2023.3.14. 개인정보보호법 전면개정 시사점
[보호법 전면개정: 주요 내용 살펴보기 2023-04-24 20:49][edit | edit source]
개인정보 보호법 일부개정법률안(이하 “개정법”)이 2023. 2. 27. 국회 본회의를 통과하였습니다. 개정법은 2023. 3. 14. 공포되어 공포 후 6개월이 경과한 2023. 9. 15.부터 시행될 예정입니다[1].
[각주1] 다만 일부 규정은 공포된 후 1년이 경과한 날부터, 개인정보 전송요구권에 관한 규정은 공포된 후 1년이 경과한 날부터 공포 후 2년이 넘지 않는 범위에서 시행령으로 정하는 날부터 시행될 예정입니다.
이번 개정은 2011년 개인정보 보호법 제정 및 2020년 데이터 3법 개정 이후 정보 주체의 권리 보호를 강화하고 글로벌 규범과의 상호운용성을 확보하려는 취지에 따라 실질적인 전면 개정이라는 점에서 의미가 있습니다. 개정법은 (i) 개인정보 수집·이용의 법적 근거를 일부 완화하였고, (ii) 개인정보 전송요구권, 자동화된 결정에 대한 거부 및 설명요구권 등을 규정하여 정보주체의 개인정보에 대한 통제권을 강화하고, (iii) 정보통신서비스 제공자 등에 대한 특례 규정을 일반 규정으로 정비하여 정보통신서비스 제공자와 오프라인 개인정보처리자에 대한 규제를 일원화하였으며, (iv) 일부 형사적 제재 사유를 과징금 부과 사유로 전환하면서 과징금 상한 및 부과 사유를 확대하고, (v) 개인정보 국외 이전 요건을 확대하여 국제기준에 부합하도록 하였습니다. 이외에도 (vi) 이동형 영상처리 기기의 운영 기준 마련, (vii) 개인정보 분쟁조정 제도의 강화 등의 사항이 새롭게 규정되었습니다.
1. 개인정보 수집·이용의 법적 근거 완화[edit | edit source]
현행 개인정보 보호법(이하 “현행법”)하에서 개인정보의 수집·이용의 법적 근거는 정보주체의 동의를 중심으로 구성되어 있으며, 정보 주체의 동의 없는 개인정보의 수집, 이용의 경우 일부 엄격한 예외만이 규정되어 있었습니다. 개정법은 예외 사유 중 하나로 규정되어 있었던 “정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우”의 요건 중 “불가피하게” 요건을 삭제하여, 불가피성이라는 요건이 없이도 계약 이행 또는 계약 체결 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여는 정보주체의 동의 없이 개인정보를 수집, 처리할 수 있도록 하고 있습니다(제15조 제1항 제4호). 이를 통해 실무적으로 거의 사용되지 않았던 “계약 이행에 필요한 경우”가 개인정보 수집, 처리의 법적 근거로 확대될 것으로 기대됩니다[2].
[각주2] 이는 EU의 General Data Protection Regulation (“GDPR”)에 규정되어 널리 사용되고 있는 개인정보 처리 근거 중 하나인 “Contractual Necessity’와 유사합니다.
또한, 현행법은 정보통신서비스 제공자의 개인정보의 수집·이용의 법적 근거는 동의 외에는 “계약을 이행하기 위하여 필요한 개인정보로서 경제적·기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우,” “정보통신서비스의 제공에 따른 요금 정산을 위하여 필요한 경우,” “다른 법률에 특별한 규정이 있는 경우”로 한정되어 있는데, 개정법에서 정보통신서비스 제공자에 대한 특례규정이 삭제되면서 “개인정보처리자의 정당한 이익” 조항을 활용할 가능성이 열렸습니다.
2. 정보주체의 개인정보에 대한 통제권 강화[edit | edit source]
개정법은 정보주체의 개인정보 전송요구권, 자동화된 결정에 대한 거부권 및 설명 요구권 등을 도입함으로써 정보주체의 개인정보에 대한 통제권을 강화하였습니다.
개인정보 전송요구권
개정법에 따라 정보주체는 개인정보처리자에 대하여 자신의 개인정보를 자신 또는 제3자(개인정보관리 전문기관[3] 및 대통령령으로 정하는 안전 기준을 충족한 자를 포함)에게로 전송할 것을 요구할 수 있게 됩니다. 정보주체가 전송을 요구할 수 있는 개인정보는 컴퓨터 등 정보처리장치로 처리되는 개인정보에 한정되며, 개인정보처리자가 수집한 개인정보를 기초로 분석·가공하여 별도로 생성한 정보는 전송요구권의 대상에서 제외됩니다.
[각주3] 개인정보관리 전문기관은 개인정보의 전송 요구권 행사 지원 등 정보주체의 권리행사를 지원하기 위한 업무를 수행하는 기관으로서 보호위원회 또는 관계 중앙행정기관의 장으로부터 지정을 받은 기관을 말합니다(개정법 제35조의3).
전송 요구를 받은 개인정보처리자는 시간, 비용, 기술적으로 허용되는 합리적인 범위 내에서 정보를 전송할 의무가 있고, 정보주체의 본인 확인이 되지 않는 경우 등에는 전송 요구를 거절하거나 전송을 중단할 수 있습니다. 그리고 개정법은 개인정보 전송요구권의 행사가 타인의 권리나 정당한 이익을 침해하여서는 아니됨을 명시하고 있습니다.
개인정보 전송요구권은 금융 및 공공 분야에 한정되었던 마이데이터 사업을 다른 산업 분야로 확대하기 위한 제도적 기반으로 이해되며, 이번 개정에 따라 관련 산업의 성장이 기대됩니다. 다만 세부사항에 관한 규율은 시행령에 위임되어 있으므로 관련 논의에 대하여 지속적으로 모니터링할 필요가 있습니다.
자동화된 결정에 대한 정보주체의 권리
정보주체는 자동화된 결정[4]이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우 해당 결정을 거부할 수 있고, 개인정보처리자가 자동화된 결정을 한 경우 그 결정에 대하여 설명 등을 요구할 수 있습니다. 정보주체가 이러한 요구를 한 경우 개인정보처리자는 정당한 사유가 없는 한 자동화된 결정의 적용을 적용하지 아니하거나 인적 개입에 의한 재처리·설명 등 필요한 조치를 하여야 합니다.
[각주4] 자동화된 결정이란 완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정을 의미하는 것으로서, 개인정보 처리의 의사결정에서 사람의 개입이 배제된 것을 의미합니다. 개정법은 인공지능 기술을 적용한 시스템으로 개인정보를 처리하여 이루어지는 결정도 자동화된 결정에 포함된다고 명시하고 있습니다.
최근 인공지능 기술 등이 광범위하게 확대됨에 따라 새로운 프라이버시 이슈가 제기되고 있는 상황에서, 위 권리를 통해 정보주체가 본인의 개인정보를 주도적으로 이용하면서 통제권을 행사할 수 있도록 함으로써 개인정보 자기 결정권을 두텁게 보호할 수 있는 기반이 될 수 있을 것으로 기대됩니다.
3. 정보통신서비스 제공자와 오프라인 개인정보처리자에 대한 규제 일원화[edit | edit source]
현행법은 데이터 3법 개정에 따라 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 “정보통신망법”)에서 이관된 개인정보 보호 관련 규정을 정보통신서비스 제공자[5]에 대한 특례 조항으로 규정하고 있습니다. 개정법은 정보통신서비스 제공자 등에 대한 특례 규정을 일반 규정으로 정비하여 정보통신서비스 제공자와 오프라인 개인정보처리자에 대한 규제를 일원화하였습니다.
[각주5] 정보통신서비스 제공자는 (i) 전기통신사업자와 (ii) 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 의미합니다(정보통신망법 제2조 제1항 제3호). 일반적으로 정보통신서비스 제공자의 범위는 넓게 해석되며, 자사 제품에 관한 정보를 제공하기 위하여 웹사이트를 운영하는 경우도 이에 포함될 수 있습니다.
정보통신서비스 제공자 등에 대한 특례 규정 중 상당수는 모든 개인정보처리자에 대하여 적용되는 일반 규정으로 전환되었습니다. 주요 조항은 다음과 같습니다.
- 현행법은 정보통신서비스 제공자가 개인정보의 분실·도난·유출(이하 “유출 등”) 사실을 안 때에는 24시간 내에 해당 이용자에게 알리고 개인정보보호위원회(이하 “보호위원회”) 또는 개인정보침해 신고센터 등에 신고하여야 한다고 규정하고 있으나 개정법은 위 특례 규정을 삭제하고 일반 규정으로 통합하여 규정하였습니다. 이에 따라 모든 개인정보처리자는 개인정보의 유출 등을 알게 되었을 때 ‘지체 없이’ 해당 정보주체에게 알리고[6], 보호위원회 또는 개인정보침해 신고센터 등에 신고하여야 합니다(제34조 제1항, 제3항).
- 대통령령으로 정하는 기준에 해당하는 개인정보처리자[7]는 수집한 개인정보의 이용·제공 내역이나 이용·제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로 정보주체에게 통지하여야 합니다(제20조의2).
- 개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자[8]는 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 합니다(제39조의7).
- 국내에 주소 또는 영업소가 없는 개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 자[9]는 국내대리인을 지정하여야 합니다(제31조의2).
[각주6] 다만, 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 통지를 갈음하는 조치를 취할 수 있습니다.
[각주7] 현행 개인정보 보호법 시행령(이하 “현행 시행령”) 규정에 의하면, 개인정보의 이용·제공 내역 등을 주기적으로 정보주체에게 통지할 의무가 있는 정보통신서비스 제공자는 다음과 같습니다.
1. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도) 매출액이 100억원 이상인 정보통신서비스 제공자등
2. 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상인 정보통신서비스 제공자등
[각주8] 현행 시행령 규정에 의하면, 다음 각 호의 요건을 모두 갖춘 정보통신서비스 제공자는 보험 또는 공제에 가입하거나 준비금을 적립해야 할 의무를 부담합니다.
1. 전년도(법인의 경우에는 전 사업연도)의 매출액이 5천만원 이상일 것
2. 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 1천명 이상일 것
[각주9] 현행 시행령 규정에 의하면, 국내대리인을 지정할 의무가 있는 정보통신서비스 제공자는 다음과 같습니다.
1. 전년도(법인인 경우에는 전 사업연도) 매출액이 1조원 이상인 자
2. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도) 매출액이 100억원 이상인 자
3. 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상인 자
한편, 현행법은 정보통신서비스 제공자가 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 파기 등 필요한 조치를 취하여야 한다고 규정하고 있으나, 개정법에서는 해당 규정을 삭제하였습니다.
이번 개정을 통해 온라인과 오프라인에서의 개인정보처리자에 대한 규제가 일원화 되었으므로, 정보통신서비스 제공자 뿐만 아니라 모든 개인정보처리자는 달라지는 규제들을 살피고 이를 준수하기 위하여 전반적인 점검을 할 필요가 있겠습니다.
4. 형사적 제재에서 행정적 제재로의 전환[edit | edit source]
형사처벌 대상 범위의 변화
개정법은 현행법상 형사처벌 대상 위반행위 중 일부에 대해 형사처벌을 축소 또는 삭제하고, 행정적 제재 내지 과징금 부과 대상으로 전환하였습니다. 예를 들면, 개정법은 아래 행위들에 대한 형사처벌을 삭제하였습니다.
- 개인정보처리자가 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 경우
- 정보통신서비스제공자가 이용자의 동의를 받지 아니하고 개인정보를 수집한 경우, 개인정보가 불필요하게 되었음에도 이를 파기하지 아니한 경우 등
반면, 법정대리인의 동의를 받지 아니하고 만 14세 미만인 아동의 개인정보를 처리한 자(제71조 제1항 제3호), 자료의 은닉·폐기, 접근 거부 또는 위조·변조 등을 통하여 조사를 거부·방해 또는 기피한 자(제73조 제1항 제5호) 등이 형사처벌 대상으로 추가되었습니다.
과징금 상한 상향 및 대상의 확대
현행법은 개인정보처리자의 주민등록번호 분실 등에 대한 과징금 상한을 5억원으로, 정보통신서비스 제공자의 법 위반 행위에 대한 과징금 상한을 개인정보처리자의 ‘위반행위와 관련한 매출액의 100분의 3’으로 규정하고 있습니다. 개정법은 과징금 부과 규정을 정비하면서 과징금 상한을 개인정보처리자의 ‘전체 매출액의 100분의 3’으로 상향하였습니다(제64조의2 제1항).
다만, 개정법은 위반행위의 심각성에 비례하여 과징금이 부과되도록 하기 위하여 과징금 산정 기준을 ‘전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액’으로 규정하였습니다(제64조의2 제2항). 이로 인해 과징금을 부과하기 위해 ‘위반행위와 관련한 매출액’을 보호위원회가 입증하여야 했던 기존과 달리, 개정법 하에서는 처분 대상자인 개인정보처리자가 ‘위반행위와 관련이 없는 매출액’을 입증하여야 합니다.
또한 개인정보처리자가 정당한 사유 없이 매출액 산정자료의 제출을 거부하거나 거짓의 자료를 제출한 경우에는 ‘전체 매출액’을 기준으로 과징금을 산정하고, 개인정보 보유 규모, 회계자료, 영업현황 자료에 근거하여 매출액을 추정할 수 있도록 하였습니다(제64조의2 제3항).
또한, 현행법상 정보통신서비스 제공자가 아닌 개인정보처리자가 정보주체의 동의 없이 개인정보를 수집할 경우에는 과태료 부과 대상, 동의 없이 제공하거나 안전성 확보에 필요한 조치를 하지 아니하여 개인정보 유출 등이 발생한 경우 형사처벌 대상이었으나, 개정법에서는 과징금 부과 대상인 위반행위에 포함되는 등 과징금 부과 대상이 확대되었다는 점을 유의할 필요가 있습니다.
그동안 지속적으로 문제가 제기되었던 개인정보 보호 책임을 담당자 개인에게 묻고 형벌로 규율하는 등의 과도한 형벌 규정을 경제 제재로 전환하였으나, 과징금 상한 및 대상이 확대 되었으므로 경우에 따라서는 더욱 강한 경제 제재가 부과될 수 있게 되었습니다. 따라서 사전적· 예방적 차원의 Compliance 중요성이 더욱 강조될 것입니다.
5. 개인정보 국외 이전 요건의 다양화 및 국외 이전 중지 명령[edit | edit source]
현행법은 개인정보처리자가 개인정보를 국외 이전하기 위해서는 정보주체의 동의를 받아야 하는 것을 원칙으로 규정하고 있으나[10] 개정법은 개인정보의 국외 이전 요건을 국제기준에 부합하도록 다양화하였습니다. 추가된 국외 이전 요건에는 (i) 법률, 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우, (ii) 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁·보관이 필요한 경우, (iii) 개인정보를 이전받는 자가 개인정보 보호 인증을 받은 경우, (iv) 개인정보가 이전되는 국가 또는 국제기구가 국내법과 실질적으로 동등한 개인정보 보호 수준을 갖춘 경우 등이 포함되어 있습니다(제28조의8 제1항).
[각주10] 다만 정보통신서비스 제공자가 국외에 개인정보 처리위탁·보관을 하려는 경우로서 개인정보 처리방침에서 국외 이전에 관한 사항을 공개한 경우에는 정보주체의 동의를 거치지 아니할 수 있도록 규정하고 있습니다.
한편 개정법은, 개인정보 국외 이전 요건을 위반한 경우, 개인정보 보호법 관련 조항을 위반하는 내용으로 개인정보 국외 이전에 관한 계약을 체결한 경우, 개인정보를 이전 받는 자 등이 개인정보를 적정하게 보호하지 못하여 정보주체에게 피해가 발생할 우려가 현저한 경우 등에 보호위원회가 개인정보처리자에게 개인정보의 국외 이전을 중지할 것을 명할 수 있도록 하였습니다(제28조의9). 국외 이전 중지 명령의 기준, 불복 절차 등 구체적인 사항에 관하여는 추후 시행령 개정을 주시할 필요가 있습니다.
이번 개정에 따라 개인정보를 국외에 이전할 예정인 개인정보처리자는 다양한 이전 요건들을 고려하면서 국외 이전 시보호위원회의 중지 명령 대상이 되지 않도록 하는 방안을 강구할 필요가 있을 것입니다.
6. 이동형 영상처리기기 운영 기준 마련[edit | edit source]
개정법은 드론 등과 같은 이동형 영상처리기기를 새롭게 정의하고, 개인정보의 수집이 수반되는 이동형 영상처리기기에 대한 운영 기준을 마련하였습니다. 특히, 개정법 하에서는 촬영 사실을 명확히 표시하여 정보주체가 촬영 사실을 알 수 있도록 하는 경우 이동형 영상처리기기를 통한 개인정보(얼굴 정보 등)의 촬영이 가능합니다(제25조의2). 다만 개정법 하에서도 “촬영”만을 허용하고 있으므로, 해당 개인정보를 “이용” 또는 “제공”하는 등 추가적으로 처리하기 위해서는 정보주체의 동의 등 기타 법적 근거를 갖추어야 합니다.
7. 개인정보 분쟁조정 제도 강화[edit | edit source]
현행법 하에서 개인정보에 관한 분쟁조정에 참여할 의무가 있는 대상은 공공기관에 한정되어 있었으나, 개정법은 이 범위를 모든 개인정보처리자로 확대하였습니다. 이에 개인정보처리자는 분쟁조정에 관한 통지를 받은 경우 특별한 사유가 없는 한 분쟁조정 절차에 참여하여야 합니다(제43조 제1항). 또한 현행법 하에서 개인정보처리자가 분쟁조정위원회로부터 조정안을 제시 받은 날부터 15일 이내에 수락 여부를 알리지 않을 경우 조정을 거부한 것으로 간주하던 것을, 개정법 하에서는 조정안을 수락한 것으로 간주하고 있습니다(제47조 제3항).
더불어, 개정법은 기존에 존재하지 않던 분쟁조정위원회의 자료 요청 및 사실조사 권한을 신설하였습니다. 이에 분쟁조정위원회는 분쟁의 조정을 위하여 사실 확인이 필요한 경우 사건과 관련된 장소에 출입하여 관련 자료를 조사·열람할 수 있으며, 필요한 경우 관계 기관 등에 자료 또는 의견의 제출을 요구할 수 있습니다(제45조).
시사점[edit | edit source]
- 개인정보처리자는 개인정보 전송요구권, 자동화된 결정에 대한 권리 등 새로 도입된 정보주체의 권리를 반영하여 개인정보보호정책 및 개인정보 처리방침을 점검하여야 할 필요가 있습니다. 특히, 개인정보 전송요구권의 도입으로 마이데이터 사업이 금융, 공공 분야를 넘어 확대됨에 따라 관련 산업의 발전을 기대해 볼 수 있을 것입니다.
- 개인정보처리자는 개정법에 따라 달라지는 의무 내용을 반영하여 개인정보보호정책 및 개인정보 처리방침을 점검할 필요가 있겠습니다. 특히 기존에 정보통신서비스 제공자가 아닌 개인정보처리자(고용관계 등 포함)의 경우 개정법의 규제 일원화로 인해 의무사항이 확대되는 부분들을 점검할 필요가 있겠습니다.
- 과징금 상한 및 대상이 확대 되었으므로 경우에 따라서는 더욱 강한 경제 제재가 부과될 수 있게 되었습니다. 따라서 사전적·예방적 차원의 Compliance 중요성이 더욱 강조될 것입니다. 모든 개인정보처리자는 개인정보 보호법을 준수하기 위하여 사전적이고 예방적인 컴플라이언스 점검을 시행할 필요가 있을 것입니다.