마이데이터 시대 여는 개인정보 보호법 전면 개정 주요 내용

2023. 3. 7, 개인정보보호위원회는 2. 27일 국회를 통과한 「개인정보 보호법」 개정안이 국무회의에서 의결되어 3. 14. 공포, 9. 15.부터 시행될 예정이라고 밝혔습니다.

이번 개정을 통해 전 세계적인 디지털 대전환 추세에 부합하도록 데이터 경제 견인, 국민 개인정보 신뢰 사회 구현, 국제 기준(글로벌 스탠다드)에 부합하는 개인정보 규범 선도 등을 위하여 시급히 필요한 내용들이 담겼습니다. 특히 2011년 법 제정 이후 처음으로 정부가 학계·법조계·산업계·시민단체 등과 2년여의 협의 과정을 거쳐 다양한 의견을 반영하여 정비한 실질적인 전면 개정(정부안 중심으로 20개 의원안 통합)이라는 점에서 매우 의미가 큽니다.
 
특히 ‘개인정보 전송요구권’이 도입되면서, 일부 산업에서만 한정적으로 이용되던 마이데이터 서비스가 모든 산업분야 영역으로 확장될 수 있는 근거가 마련되었습니다. 
 
뿐만 아니라 정보통신서비스사업자에 대한 특례 규정이 일반규정으로 통합·정비됨에 따라, 정보통신서비스사업자에 적용되던 많은 규정들이 완화 내지는 폐지되었는데, 정보통신서비스사업자들은 개인정보 보호법 개정을 통해 새롭게 적용되는 규제 및 폐지된 규제를 점검하고 개인정보 보호정책 및 내부관리계획 등을 새로 정비할 필요가 있습니다.
 
또한, 개인에 대한 형벌 위주 규정이 경제벌 중심으로 전환됨에 따라서 개인정보 침해 사고 등이 발생하는 경우 형사처벌의 위험은 낮아졌지만, 반면에 과징금 상한액 상향 등 보다 강한 경제재재가 부과될 가능성이 커졌으므로, 법적 준거성 및 안전성 확보를 위한 사전 예방적 조치가 더욱 필요해보입니다. 
 
개정된 법의 주요 내용을 살펴보면 다음과 같습니다.
 

「개인정보 보호법」 개정 의의

 

「개인정보 보호법」 개정 주요내용 요약

 

1. 전 분야 마이데이터 확산, 디지털 경제 성장 견인

 국민이 신뢰할 수 있는 개인정보 활용 기반 조성으로 데이터 시대 신기술·신산업이 발전할 수 있는 혁신적 변화의 계기 마련

개인정보 전송요구권 신설

현행 금융·공공 분야에서만 제한적 도입
→ 자신의 개인정보를 본인 또는 제3자에게 전송을 요구할 수 있는 일반적인 권리로서 전송요구권 신설

• 전송 요구의 대상이 되는 정보의 범위, 전송 요구의 방법, 전송의 기한 및 방법, 전송 요구 철회의 방법, 전송 요구의 거절 및 전송 중단의 방법 등 필요한 사항은 대통령령으로 정함

 

이동형 영상정보처리기기 규정

자율주행차, 드론, 배달로봇 등 이동형 기기의 영상정보 수집에 대한 입법 미비
→ 이동형 기기의 특성을 반영한 수집기준, 촬영 사실 표시 등 합리적인 운영기준 마련
 

온·오프라인 규제 일원화

온·오프라인 규제 이원화로 기업의 법 적용 혼선 및 이중부담 발생
→ 일반규정과 특례규정을 일원화하여 ‘동일행위-동일규제’ 원칙 적용으로 불합리한 규제 정비
 

2. 디지털 시대에 적합한 국민의 적극적 권리 강화

디지털 환경에 맞추어 국민이 자신의 권리를 실질적으로 행사할 수 있도록 개편하여 국민과 기업·기관 간 개인정보 처리에 대한 ‘신뢰’가 축적될 수 있는 토대 마련

개인정보 처리요건 정비

복잡하고 형식적인 동의제도 운영으로 정보주체의 실질적 선택권이 없는 필수동의 강제 관행
→ 계약 체결·이행 요건을 정비하여 필수동의 관행을 개선하고, 공중위생 등 처리에 대한 안전조치를 강화
 

개인정보 처리방침 평가제 도입

처리방침의 수립·공개 의무만 있고 내용에 대한 판단 기준 부재
→ 처리방침의 적정성 여부, 알기 쉽게 작성했는지 여부 등을 평가하여 필요시 개선권고 할 수 있도록 개선
 

자동화된 결정 대응권

AI 등을 활용한 자동화된 결정이 광범위하게 활용되면서 새로운 프라이버시 이슈 제기
→ 자동화된 결정이 정보주체의 권리· 의무에 영향을 미치는 경우, 거부 및 설명 등 요구권 신설
 

개인정보 분쟁 조정

소액사건이 대부분인 개인정보 분쟁 조정에 대한 적극적 조정에 한계
→ 분쟁조정 의무 참여 대상을 모든 개인정보처리자로 확대하고, 사실확인이 필요한 경우 사실조사 근거 마련
 

사적 목적 이용 금지

개인정보취급자의 개인정보 사적 이용에 대한 제재근거 부재
→ 금지행위 규정에 정당한 권한 없이 허용된 권한을 초과하여 타인의 개인정보를 ‘이용’하는 행위 추가
 

3. 국제 기준(글로벌 스탠다드)에 부합하는 법제도 정비

국제 통상에서 데이터가 차지하는 중요성이 점점 높아지고 있는 상황에서 국제 기준에 부합하고 개인정보 국제 규범을 선도할 수 있도록 국외이전, 과징금 제도 등을 정비
 

국외이전 요건 다양화 및 중지명령권 신설

국외이전 환경이 다양하게 변하고 있음에도 국외 이전 시 추가적 별도 동의 필요
→ 해외 법제와의 상호 운용성을 위해 동의 이외의 국외이전 요건을 다양화하고 국외이전 중지명령권을 신설
 

과징금·벌칙 규정 정비

업무담당자에 대한 형벌 중심의 규제로 개인정보 보호에 대한 기업의 실질적인 투자 유인이 부족
→ 과도한 형벌 규정을 경제제재 중심으로 전환하는 대신, 과징금 상한 및 대상 확대 등을 통해 실효성 확보

• 정보통신서비스제공자에 대한 형벌 규정 삭제(동의 없는 개인정보 수집, 안전조치 의무 위반으로 개인정보 유출, 개인정보 파기의무 위반, 만 14세 미만 아동 법정대리인 동의의무 위반)
• 위반행위와 관련 있는 매출액을 기초로 과징금을 산정하므로, 위반행위와의 관련성이 없다는 것은 사업자가 입증하도록 입증책임이 전환됨

 

참고자료

개인정보보호위원회 2023. 3. 7일자 보도자료, "개인정보 보호법 전면개정, 데이터 신경제 시대 열린다",  https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?mCode=C020010000#LINK 

개인정보보호위원회