| 디지털 시대「개인정보 보호법」개정안 국회제출 - 개인정보 전송요구권 도입, 디지털 중심 법체계 정비 등 - |
□ 개인정보보호위원회(위원장 윤종인‧이하 ‘개인정보위’)는 9월 28일 국무회의에서 정부 내 합의를 거친 「개인정보 보호법」개정안이 의결되어 9월 중 국회에 제출될 예정이라고 밝혔다.
○ 이번 개정안은 2011년 개인정보 보호법 제정 이후 최초로 정부가 주도하여 산업계, 시민단체, 관계부처 등의 다양한 의견을 반영하여 마련한 실질적인 전면 개정안이라는 점에서 그 의미가 크다.
□ 개인정보위는 이번 개정안을 통해 코로나19에 따른 온택트(Ontact, 비대면ㆍ온라인 생활방식) 일상화 등 우리 사회의 디지털 대전환에 맞춰 국민의 개인정보는 더욱 두텁게 보호하고 개선이 필요한 불합리한 규제는 대폭 정비한다.
【 디지털 대전환 시대에 적합한 국민의 권리 강화 】
□ 첫째, 인공지능(AI) 등 신기술 발전에 대응하여 정보주체인 국민의 권리를 강화하기 위해 본인의 개인정보 이동을 요구할 수 있는 전송요구권과 자동화된 결정에 대한 거부 등 대응권을 신설한다.
○ 전송요구권* 도입으로 정보주체인 국민은 자신의 개인정보를 본인 또는 다른 기업에게 직접 전송하도록 요구할 수 있게 된다.
* 개인정보 전송요구권 : 정보주체인 국민이 기업 등 개인정보처리자가 보유한 본인의 개인정보를 자신 또는 다른 기업에게 전송해 줄 것을 요구할 수 있는 권리
- 일반법인 개인정보 보호법에 전송요구권을 도입함에 따라 현재 금융ㆍ공공 등 일부 분야에서만 추진 중인 마이데이터 사업이
全국민, 全분야 마이데이터 산업으로 확산될 것으로 전망된다.
- 또한, 일부 플랫폼 기업으로 데이터가 집중되는 독점 현상을 완화하고, 새싹기업(스타트업) 등 다양한 경제주체들이 데이터를 안전하게 활용할 수 있는 기반도 마련될 것으로 기대된다.
○ 인공지능(AI) 등 신기술이 국민생활에 큰 영향을 미칠 것으로 예상됨에 따라, 과세대상ㆍ복지 수혜자격 결정ㆍ신용등급 등 완전히 자동화된 결정으로 인해 자신의 권리와 의무에 중대한 영향을 받게 되는 경우 이를 거부하거나 이에 대한 설명을 요구할 수 있는 권리*를 도입한다.
* 자동화된 결정에 대한 대응권 : 사람의 개입없이 완전히 자동화된 시스템에 의한 결정으로 권리 또는 의무에 중대한 영향을 받은 경우 거부하거나 설명을 요구할 수 있는 권리
○ 디지털 시대 아동의 권리 강화를 위해 이해하기 쉬운 양식 사용 등의 의무를 온라인 사업자에서 오프라인 등 전체 개인정보처리자로 확대하고, 국가와 지방자치단체는 아동에 대한 개인정보 보호 시책을 마련하도록 하여 아동의 개인정보 보호를 더욱 강화하였다.
【 디지털 중심 법체계 정비로 신기술 성장기반 마련 】
□ 둘째, 그동안 일반 국민과 기업에게 법 적용의 혼선과 이중부담의 원인이 되어 왔던 온-오프라인 이중규제, 개인영상정보 처리 등 신기술환경 변화에 따라가지 못하는 규제 등을 디지털 전환에 맞추어 대폭 정비한다.
○ 지난해 데이터 3법 개정으로 별도로 규율하고 있던 온라인 특례규정을 통합하여 국민의 권리 보장에 도움이 되는 규정은 모든 분야로 확대하여 정비*하고, 실효성이 낮은 규정은 삭제**하였다.
* 해외사업자의 국내대리인 지정 의무화, 만 14세 미만 아동의 개인정보 보호,
손해배상책임의 보장, 이용내역 통지 등
** 방송사업자 준용규정, 개인정보 유효기간제
○ 급증하는 고정형ㆍ이동형 영상기기 운영 기준이 명확하지 않은 문제를 개선하기 위해 촬영이 가능한 범위 등을 구체화하였다.
- 고정형 영상기기(CCTV)의 무분별한 운영을 방지하기 위해 ‘정당한 권한을 가진 자’만 설치ㆍ운영할 수 있도록 명확히 규정하였다.
- 드론, 자율주행차 등 이동형 영상기기의 경우, 산업현장에서 실제 적용이 가능하도록 공개된 장소에서 업무를 목적으로 촬영할 수 있는 범위*를 신설하였다.
* 동의, 계약, 법률의 규정 등 적법한 수집ㆍ이용이 가능한 경우(제15조제1항 각 호), 정보주체가 촬영사실을 알 수 있었으나 거부의사를 밝히지 않은 경우
【 글로벌 규제와의 정합성 확보 】
□ 셋째, 전자상거래 확대에 따른 개인정보의 국외이전 증가 등의 변화에 대응하여 글로벌 수준에 부합하도록 개인정보 국외이전 제도를 개선하고, 법 위반에 대한 형벌 완화와 함께 과징금 제도를 정비한다.
○ 우리나라와 동등한 수준으로 개인정보를 보호하고 있는 국가 또는 기업이라고 인정되는 경우에 국외이전이 가능하도록 하고,
- 법을 위반하거나 보호수준이 취약하다고 판단되는 경우에는 국외이전을 중지할 수 있는 근거를 마련하였다.
○ 현행법은 글로벌 기준과는 달리 개인정보 보호에 대한 책임을 기업보다는 담당자 개인에 대한 형벌 중심으로 규율하고 있는 문제점을 개선하기 위해, 개인에 대한 형벌은 완화하되 기업에 대한 경제적 책임은 강화하는 방향으로 전환하였다.
- 특히, 과징금의 경우 상한액을 글로벌 수준*에 맞추어 전체 매출액(3% 이하) 기준으로 조정하고, 과징금이 책임의 범위를 벗어나 과도하게 부과되지 않도록 ‘위반행위에 상응하는 비례성’과 ‘침해 예방에 대한 효과성’이 모두 확보되도록 하였다.
* EU 개인정보보호법(GDPR) : 전세계 매출액의 4% 또는 2천만 유로 중 높은 금액
- 다만, 산업계ㆍ관계기관 등의 의견을 반영하여 개인정보가 유출된 경우에도 기업이 안전조치를 다한 경우에는 과징금 부과 대상에서 제외됨을 명확히 하였다.
○ 과징금 부과의 합리적 산정기준을 마련하기 위하여 홍대식 교수(서강대)를 반장으로 하는 「과징금 부과기준 연구반」을 구성하고,
- 10월부터 법률전문가와 산업계ㆍ시민단체 등 대표성 있는 이해관계자가 참여하는 연구반 운영 결과를 하위규정(시행령·고시) 개정안에 반영할 예정이다.
□ 그 외에도, 이번 개정안에는 기업 등 경제주체의 자율적인 보호활동을 지원하고 분쟁조정을 활성화하는 등 개선사항을 포함하였다.
○ 분쟁조정 절차에 당사자의 참여를 의무화하고, 기업 내부의 개인정보보호책임자의 독립성을 강화하였으며,
○ 자율규제단체 지정 및 연합회 설립 등을 통해 자율적인 보호활동을 지원할 수 있는 기반을 마련하였다.
※ 붙임2 개인정보 보호법 개정안 주요내용 참조
□ 윤종인 개인정보위 위원장은 “이번 개정안은 디지털 대전환 시대에 선제적으로 대응하기 위해 다양한 이해관계자와 조율을 거쳐 어렵게 마련된 점을 고려하여, 국회에서 신속한 논의가 이루어지기를 희망한다”면서,
○ “앞으로도 이번 개정안에 머무르지 않고, 아동ㆍ청소년 등 취약계층 보호, 민감정보ㆍ생체정보ㆍ영상정보 등 국민생활에 큰 영향을 미치는 개인정보에 대하여도 지속적으로 개선하여 국민의 개인정보 자기결정권이 보다 실질적으로 보장될 수 있도록 노력할 것”이라고 밝혔다.
| 참고 1 | 개인정보보호법 개정의 기본 방향 |
| 참고 2 | 개정안 주요내용 |
| 1. 데이터 시대의 정보주체 권리 실질화 |
① 개인정보 전송요구권(이동권) 도입
□ (필요성) 데이터 경제 활성화로 개인정보가 대량 수집·유통되고 있으나, 정보주체는 본인정보를 자기주도적으로 유통·활용하는데 한계
○ 금융·공공 등 일부 분야에서 전송요구권(이동권) 근거*를 마련하여 마이데이터 사업을 추진하고 있으나, 분야별 추진방식에 대한 개선 필요
* (신용정보법) 개인신용정보의 전송요구권, (전자정부법) 공공분야 행정정보 제공요구권
□ (개정안) 본인정보를 본인 또는 제3자에게 전송 요구할 수 있도록 일반적 권리(분야별 개인정보 이동권을 포섭)로서 개인정보 전송요구권(이동권) 신설
※ 전송방법, 전송 요구의 거절 및 전송중단의 방법 등 구체적 사항은 시행령으로 위임
→ 정보주체의 개인정보 통제권 강화와 함께 全분야로의 마이데이터 확산 효과
② 동의제도 개선
□ (필요성) 주요국 대비 복잡하고 경직적인 동의제도 운용으로 기업‧기관 등 개인정보처리자는 합리적인 개인정보 처리 및 활용에 제약을 받고,
- 정보주체 또한 복잡한 고지사항과 절차 등으로 ‘동의의 형식화’가 만연
□ (개정안) 기업 등의 합리적 개인정보 수집·활용을 지원하고, 정보주체의 실질적 동의권을 보장하기 위한 동의제도 개선
○ (‘불가피’ 요건 삭제) 서비스 계약체결‧이행에 필수적인 개인정보는 동의 없이도 수집·이용이 가능하도록 기존의 ‘불가피하게’ 요건을 삭제하여 과도한 사전동의 의존방식을 합리적으로 정비
○ (사후 통제 강화) 개인정보 처리방침에 대한 평가제도 도입으로 형식적 동의관행을 보완하고 실체적 통제권 강화 병행
③ 자동화된 결정에 대한 정보주체의 권리 도입
□ (필요성) AI 등 발전에 따라 자동화된 결정(신용등급, 인사채용 등)이 광범위하게 활용되면서 특정인에 대한 감시·편견 등 새로운 프라이버시 이슈 제기
○ 자동화 결정으로 인한 기본권 침해방지를 위해 최소한의 대응권 보장 필요
□ (개정안) 산업적 효용과 정보주체 권리 간 균형을 고려하여 자동화된 결정에 대한 거부, 설명요구 등 권리를 도입하되, 적용범위 명확화
○ 자동화된 결정이 정보주체의 권리 또는 의무에 영향을 미치는 경우, 해당 결정에 대한 거부, 설명요구 등 권리를 신설
| 2. 이원화된 규제정비 및 신기술 성장기반 마련 |
④ 이원화된 규제의 일원화(정보통신서비스 특례규정 정비)
□ (필요성) 데이터 3법 개정 시, 정보통신망법의 정보통신서비스 제공자 대상 개인정보 보호 관련 규정을 특례규정(제6장)으로 단순 이전·병합
○ 온·오프라인 서비스 경계가 모호함에도 불구, 오프라인 규제(일반규정)와 온라인 규제(특례규정)의 이원화로 기업의 법 적용 혼선 및 이중부담 발생
| < 사 례 > | ||
| ▸ 동의없이 개인정보를 수집하여 같은 위반행위를 한 경우, 공공ㆍ오프라인 기업은 과태료 5천만원 이하, 온라인 기업은 관련 매출액의 3% 이하 과징금 및 5년 이하 징역 | ||
□ (개정안) 정보통신서비스 특례규정을 폐지하여 모든 개인정보처리자에게 동일한 규범 적용
○ (규정통합) 일반규정과 유사·중복되는 특례규정*은 일반규정으로 통합·정비하여 온-오프라인 사업자 간 상이한 규정내용 또는 벌칙을 단일화
* 개인정보 수집·이용 동의, 14세 미만 개인정보 수집, 개인정보 유출 시 통지·신고, 보호조치 특례 등
○ (적용확대) 특례규정에만 있는 손해배상 보장제도, 국내대리인 지정제도, 개인정보 이용내역 통지 등은 일반규정으로 전환하여 모든 분야로 확대 적용
⑤ 이동형 영상기기 개인영상정보 보호 근거 마련
□ (필요성) 현행법은 고정형 영상기기(CCTV) 만을 규율하고 있어, 급증하는 이동형 영상기기(드론, 자율주행차 등)의 특성에 맞는 기준 제시에 한계
○ 현재 이동형 영상기기를 통한 개인정보 수집‧이용 시 일반규정이 적용되어 정보주체의 개별적 동의를 요하는 등 산업진흥 측면에서 유연한 대처에 한계
□ (개정안) 공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용하여 개인영상정보를 촬영하는 행위를 원칙적으로 제한하고,
○ 제15조제1항 각 호의 어느 하나에 해당하거나, 정보주체가 촬영 사실을 알 수 있었으나 거부의사를 밝히지 않은 경우에는 촬영을 허용
| 3. 글로벌 규제와의 정합성 확보 |
⑥ 개인정보 국외이전 방식 다양화
□ (필요성) 국경 없는 온라인 전자상거래 확대로 개인정보의 국외이전 필요성이 증가하고 있으나, 국외이전시 정보주체 동의 요구로 기업부담 유발
○ 반면, 동의만 있으면 개인정보 보호가 취약한 지역으로의 이전이 제한없이 가능하여 오히려 실질적 개인정보 보호에 소홀할 우려
□ (개정안) 개인정보의 안전한 국외이전을 위한 동의 외 요건 다양화
○ (요건 다양화) 적정한 개인정보 보호 수준이 보장된다고 개인정보위가 인정하는 국가 또는 기업으로 동의 없이 국외이전 허용 (EU GDPR 국외이전 제도 참조)
○ (보호조치 강화) 법을 위반하여 개인정보를 국외이전하거나 개인정보를 적정하게 보호하고 있지 않다고 판단 시 중지 명령권 신설
⑦ 형벌 중심을 경제제재 중심으로 전환
□ (필요성) 과실로 인한 정보유출, 경미한 위반사항까지 징역 등의 형사벌을 규정함으로써 개인정보 업무담당자의 과중한 부담 및 업무회피 초래
○ 과징금의 경우 ‘위반행위 관련 매출액’의 3% 이하로 정보통신서비스 제공자에게만 부과되고 있어 실효성 논란 제기
※ 전세계 매출액 기준 : EU(4% 이하), 캐나다(5% 이하 추진중) / 전년도 매출액 기준 : 중국(5% 이하)
□ (개정안) 형사벌 중심을 경제제재 중심으로 전환하여 실효성 제고
○ (형벌 정비) 정보통신서비스 제공자에게만 적용되던 형벌규정*을 삭제하고, 개인정보 유출 시 형벌은 삭제하는 대신 과징금 실효성 확보
* 수집·이용 미동의 / 파기의무 위반 / 만 14세 미만 아동 법정대리인 동의확인 의무 위반 / 보호조치 불이행으로 인한 개인정보 유출 등 형벌규정 삭제
○ (과징금 실효성 확보) 정보통신서비스제공자에 적용되는 과징금을 개인정보처리자로 확대하고, 과징금 상한액 기준을 ‘위반행위 관련’에서 ‘전체 매출액’으로 변경
- 과징금이 책임의 범위를 벗어나 과도하게 부과되지 않도록 ‘위반행위에 상응하는 비례성’과 ‘침해 예방에 대한 효과성’을 확보하도록 함
- 또한 개인정보 유출 등의 경우 개인정보처리자가 안전성 확보조치를 다한 경우에는 과징금 부과가 면제됨을 명확히 함
| 4. 개인정보 보호 생태계 조성 |
⑧ 개인정보 자율보호 활성화
□ (필요성) 개인정보 축적‧활용이 급증하는 데이터 경제 시대에는 정부 주도 규제만으로는 한계 → 분야별 특성을 반영한 기업‧기관의 자율보호 활성화 필요
□ (개정안) 기업‧기관의 자율적 개인정보 보호 활동(자율규약, 개선지도, 교육‧홍보 등)을 활성화하기 위해 분야별 자율규제단체 지정 및 지원 근거 마련
⑨ 분쟁조정 관련 사실조사제 도입
□ (필요성) 개인정보 권리침해 시, 소송에 앞서 개인정보 분쟁조정위원회의 조정을 통해 신속하게 구제(침해중지, 손해배상 등) 하는 분쟁조정제도 운영 중
○ 조정신청 시 의무적으로 응해야 하는 기관은 공공기관에 한하며, 분쟁조정위에 사실 확인을 위한 조사권이 없어 적극적 조정에는 한계
□ (개정안) 분쟁조정 요청 시, 의무적으로 응해야 하는 대상을 공공기관에서 모든 개인정보처리자로 확대하고, 개인정보 분쟁조정위에 사실조사권 부여
⑩ 개인정보 침해 조사 및 제재 기능 강화
□ (필요성) 시정명령 부과 요건*이 지나치게 경직적이고 조사 거부 등에 대한 제재수준이 미흡
* 개인정보가 침해되었다고 판단할 상당한 근거가 있고, 이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다고 인정되는 경우에 한하여 시정명령 가능(법 제64조)
○ 개인정보취급자의 개인정보 사적이용 및 수탁자에 대한 제재근거 또한 부재
□ (개정안) 시정명령 부과 요건을 합리화하고 조사 거부 등에 대한 과태료 상향
○ 개인정보취급자가 ‘업무상 알게 된 개인정보를 사적 목적으로 이용 시’ 처벌근거 마련, 개인정보처리 수탁자도 과태료‧과징금‧형벌 등 제재대상에 포함*
* 현행법은 수탁자에게 개인정보처리자의 의무규정을 준용토록 하고 있으나, 제재대상에는 누락
'Privacy Security' 카테고리의 다른 글
| 2021년 개인정보보호 실태조사 결과 (0) | 2022.02.17 |
|---|---|
| 개인정보 보호 활용 기술 연구개발 후보 기술 정리 (0) | 2021.11.18 |
| 대법 '개인정보 유출' KT 과징금 7,000만원 취소 판결문 직접 살펴보니.. (0) | 2021.09.15 |
| 개인정보 이동권 도입에 즈음하여.... (1) | 2021.02.11 |
| 대출비교서비스 금리비교 시 개인정보 제휴사로 무더기로 넘어가…‘마케팅 활용 우려’ (0) | 2021.01.10 |
