[개인정보] 개인정보보호법 개정법률안 정리

● 개인정보보호법 일부개정법률안

<2023.03.14 공포> <2023.09.15 시행>

 

1. 동의없이 고객의 정보를 수집,이용할 수 있는 범위 확대(제15조)
- 체결한 계약을 이행하기 위해 또는 계약 체결과정에서 정보주체의 요청을 이행하기 위해 필요한 경우 동의없이 수집 가능(제1항 제4호)
- 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요한 경우(제1항 제5호)
- 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우 동의없이 수집 가능(제1항 제7조)

2. 동의없이 고객의 정보를 제공할 수 있는 범위 확대(제17조)
- 개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우 수집한 목적 범위 내에서 동의없이 제공 가능(제1항 제2호)

3. 이동형 영상정보처리기기 규정 신설(제25조의2)
- 용어 수정 (영상정보처리기기 > 고정형 영상정보처리기기)
- 현행법은 CCTV와 같은 고정형 영상정보처리기기만을 적용 대상으로 하고 있어, 드론, 블랙박스, 스마트폰 등의 영상정보처리기기에 대한 규율이 부재했는데, 개정안에서는 이동형 영상정보처리기기의 설치와 운영에 관련된 내용을 신설하였음
- 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련한 사물의 영상 촬영은 금지됨. 다만, 정보주체가 촬영사실을 알 수 있도록 하였음에도 불구하고 촬영 거부 의사를 밝히지 않은 경우 촬영을 할 수 있음(제1항)
- 촬영하는 경우 불빛, 소리, 안내판 등 대통령령으로 정하는 바에 따라 촬영사실을 표시하고 알려야 함.(제3항)

제75조(과태료)
1항 4호 신설
불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등의 개인 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼수 있는 곳에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영한 자에 대한 과태료 추가

제2항제7의2 신설
제25조의2제1항을 위한반 자에 대한 과태료

4. 개인정보 국외이전 요건 다양화(제28조의8 신설)
- 1) 정보주체의 별도동의, 2) 법률,조약,국제협력에 규정이 있는 경우, 3) 정보주체와의 계약체결,이행을 위하여 개인정보의 처리위탁,보관이 필요한 경우 4) 개인정보를 이전받는 자가 보호위원회에서 고시하는 인증을 받은 경우. 5) 개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호수준이 동법에 따른 개인정보 보호수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우에는 개인정보의 국외이전이 가능하도록 국외이전의 요건을 다양화함

5. 개인정보처리방침에 대한 관리 강화(제30조의2 신설)
- 개인정보보호위원회는 개인정보처리방침의 법 준수 여부, 쉽게 작성했는지 여부 등을 평가하여 개인정보처리자에게 개선을 요구할 수 있고, 개인정보처리자는 조치 결과를 개보위에 알려야함(제1항)

6. 개인정보 전송요구권 신설(제35조의2)
- 현재 금융, 공공분야에 제한적으로 도입된 개인정보 전송요구권이 개인정보보호법에 신설됨으로 전 분야에 대한 개인정보 전송요구권이 도입됨
* 당사는 전송요구권이 이미 반영된 신용정보법에 따라 개인신용정보의 전송요구권 행사에 응하고 있음(마이데이터 서비스)

7. 자동화된 결정에 대한 설명요구권 및 거부권 신설(제37조의2)
- 인공지능 기술을 적용한 시스템 등 완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정이 본인의 권리 또는 의무에 중대한 영향을 미치는 경우 개인정보처리자에 대하여 해당 결정을 거부하거나 결정에 대한 설명을 요구할 수 있음

8. 정보통신서비스 제공자에 대한 규제 일원화
- 온라인과 오프라인상의 개인정보 처리에 대한 규제가 이원화되어 있는 현행법의 체계를 일원화하여 모든 개인정보처리자에 대해 동일행위-동일규제 원칙 적용
- 개인정보 유출등의 통지, 신고에 대한 기준은 제34조제1항 및 3항으로 통일(현행 제39조의4)
- 장기 미접속 회원(1년이상)에 대한 파기, 분리보관 및 통지의무 삭제(현행 제39조의6)
- 개인정보 이용 내역 통지는 기존 정보통신서비스 제공자에서 모든 개인정보처리자로 확대(현행 제39조의8)

---

● 개인정보보호법 시행령 개정안
<23.09.15. 시행>

1. 동의받을 때 국민의 실질적 선택이 가능하도록 개선
- '정보주체의 자유로운 의사'에 따르도록 하는 등 동의 원칙을 구체화하고, 정보주체가 동의여부를 선택할 수 있다는 사실을 구분하여 표시

 

- 형식적으로 체크해왔던 '개인정보 수집 필수동의란'은 없어짐
  > 상호계약 등 합리적으로 예상할 수 있는 범위 내에서는 동의 없이도 개인정보 수집과 이용이 가능
  > 단, 서비스 제공과 본질적으로 관련 없는 부분에 대해서는 기존처럼 ‘선택동의’에 의해 개인정보가 수집된다.

 

- 대신 정부가 기업이나 기관의 개인정보 처리방침을 평가함(개인정보처리방침 평가에 관한 고시)
  > 개인정보 처리방침의 적정성, 명확성, 접근성 등에 대한 평가

2. 온라인과 오프라인 구분 없이 동일한 기준 적용
- 개인정보의 수집 출처 통지(영 제15조의2)와 이용·제공 내역 통지(영 제48조의6)의 기준을 통합
  > 법 제39조의8(개인정보 이용내역의 통지)이 삭제되고 법 제20조의2(개인정보의 이용·제공 내역의 통지)가 신설되면서 기존에 '정보통신서비스 제공자'에 한해서만 이행되었던 이용내역 통지를 수집 출처 통지 기준인 모든 '개인정보처리자'로 통합적용

- 개인정보의 안전성 확보조치 기준을 통합(영 제30조)
  > 정보통신서비스 제공자 특례조항이 삭제되면서 이원화하여 규정하고 있던 안전조치 규정을 모든 '개인정보처리자'에게 동일한 기준으로 통합 정비

- 정보통신서비스제공자의 개인정보 유효기간제를 없애고, 목적이 달성되었거나 보유기간이 종료되면 지체없이 파기
  > 영 제48조의5(개인정보의 파기 등에 관한 특례) 삭제로 개인정보 파기의 일반원칙이 적용됨
  > 별도 분리보관 의무가 없어짐

- 개인정보 유출 시 통지 및 신고기준 단일화(민감정보 또는 고유식별정보, 불법적인 접근에 의한 유출, 1천명 이상인 경우 정당한 사유가 없는 한 72시간 이내에 개인정보보호위원회 또는 KISA 신고 / 통지 기준은 1명)
  > 개인정보 처리 주체별로 신고 기준이 달랐으나 모든 '개인정보처리자'에 대해서 단일 기준으로 통합
  > 유출인지를 전혀 몰랐을 경우도 신고 지연의 정당한 사유라고 인정하여 개인정보처리자의 부담을 줄임

- 해외 사업자의 국내대리인 지정, 손해배상 책임보험 가입 등의 의무를 기존 '정보통신서비스 제공자'에서 모든 '개인정보처리자'로 대상을 확대 통합함

3. 개인정보 분쟁조정위원회 제도 개선
- 영 제51조의2 ~ 제51조의5 신설
  > 분쟁조정을 위한 사실 확인이 필요한 경우 사실조사, 분쟁 당사자가 수락 여부를 알리지 않은 경우의 수락 간주
  > 사실조사 원칙 및 절차, 수락 간주에 따른 분쟁조정위원회의 조정안 제시 방법 및 통지 방법 등 세부적인 절차 규정을 정비

4. 과징금 부과기준 마련
- 과징금 산정을 위한 기준이 되는 금액(기준금액)을 결정하는 비율(부과기준율)을 결정할 때 현행 3구간-단일 비율 방식에서 4구간-구간 내 차등 비율 방식으로 전환 
  > 법 시행일 이후 위반행위에 대하여 모든 개인정보처리자와 개인정보 처리업무를 위탁받은 수탁자까지 확대하여 적용

5. 마이데이터
- 정보 주체가 개인정보처리자에 대해 자신 또는 다른 개인정보처리자에게 개인정보를 전송할 것을 요구할 수 있는 권리가 신설

6. 개인정보 국외 이전 요건 완화
- 개인정보를 이전받는 자가 ISMS-P 등 개인정보보호위원회가 정하는 인증을 받았거나, 이전되는 국가 등의 개인정보 보호 수준을 개인정보위가 인정하는 경우 국외 이전이 허용

7. 개인정보 영향 평가를 하지 않거나 결과를 개인정보보보위원회에 미제출 시 과태료 3천만원 부과 사항 신설

---

● 개인정보보호법 일부개정법률안 기준 회사 반영사항
<2023.09.15 시행>

1. 용어의 변경
- 영상정보처리기기에 대해 고정형, 이동형으로 구분
- 용어 수정 및 정의 추가
- 제2조(정의) 참고

2. 개인정보 이용내역 통지 명칭 및 근거 변경
- 기존 법 제39조의8 삭제로 정보통신서비스제공자에만 해당되던 개인정보 이용내역 통지를 개인정보처리자로 대상 확대
- 제20조의2(개인정보 이용,제공 내역의 통지) 참고

3. 개인정보 유출 등의 통지, 신고 근거 변경
- 기존 법 제39조의4(개인정보 유출 등 통지,신고 특례) 조항 삭제로 개인정보 유출 신고의무 기준 변경 예상,(단, 정보주체에 대한 통지의무는 1명 이상으로 변동없음)
- (현재) 1명 이상 유출 시 24시간 내 보호위원회 또는 전문기관에 신고
- (개정) 1000명 이상 유출 시 72시간 내 신고
- 제34조(개인정보 유출 등의 통지,신고) 참고

4. 장기 미접속 회원에 대한 파기, 분리보관 및 통지의무 삭제
- 기존 법 제39조의6 삭제로 장기 미접속 회원(1년 이상)에 대한 파기, 분리보관 및 통지의무 없음
- 제39조의6(개인정보의 파기에 대한 특례) 참고

5. 개인정보 처리업무 재위탁시 동의 필수
- "수탁자는 위탁받은 개인정보의 처리 업무를 제3자에게 다시 위탁하려는 경우에는 위탁자의 동의를 받아야한다."라는 조항의 신설
- 재위탁동의서가 없는 경우 필수로 재위탁에 대한 동의 근거를 유지해야함(재위탁 동의서 또는 동의를 했다고 볼 수 있는 근거 문서화)

6. 개인정보처리방침 내 재위탁사 공개
- 법 제26조(업무위탁에 따른 개인정보 처리제한) 제2항에 따라 수탁자를 공개하고 있음
- 개정안 제26조 제2항은 개인정보를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁하는 제3자를 포함하여 수탁자라고 명시하고 있음
- 이에따라 개인정보처리방침에 재수탁사 까지 범위를 넓혀 공개할 필요가 있음
- 제26조제2항 참고