0. 들어가며
21년 1월에 입법예고 되었던 개인정보 보호법(이하 "개보법") 전면 개정안이 올해 3.7.에 국무회의에서 의결되어 3.14.에 공포되었습니다. 입법예고부터 의결까지 2년 여가 걸린 개정안은 오는 9.15.부터 본격적인 시행을 앞두고 있습니다.
정보보호 담당자로서 실무적으로 어떤 변경사항이 있는지 짚어보기 위해 관련 내용을 확인해 보았습니다.
1. 개정안 요약
전면 개정이라는 표현에서 보듯이 많은 부분이 바뀌었는데요. 개정법 전문은 국가법령정보센터에서 확인할 수 있습니다.
개인적으로 개정법 중 실무자 입장에서 주목할 부분은 다음 5가지라고 생각이 됩니다.
- 개인정보 전송요구권 신설
- 온·오프라인 규제 일원화
- 개인정보 처리방침 평가제 도입
- 국외이전 요건 다양화 및 중지명령권 신설
- 과징금·벌칙 규정 정비
2. 주목할 부분
2.1. 개인정보 전송요구권 신설(제35조의2)
제35조의2(개인정보의 전송 요구)
① 정보주체는 개인정보 처리 능력 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 다음 각 호의 요건을 모두 충족하는 개인정보를 자신에게로 전송할 것을 요구할 수 있다.
1. 정보주체가 전송을 요구하는 개인정보가 정보주체 본인에 관한 개인정보로서 다음 각 목의 어느 하나에 해당하는 정보일 것
가. 제15조제1항제1호, 제23조제1항제1호 또는 제24조제1항제1호에 따른 동의를 받아 처리되는 개인정보
나. 제15조제1항제4호에 따라 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 처리되는 개인정보
다. 제15조제1항제2호ㆍ제3호, 제23조제1항제2호 또는 제24조제1항제2호에 따라 처리되는 개인정보 중 정보주체의 이익이나 공익적 목적을 위하여 관계 중앙행정기관의 장의 요청에 따라 보호위원회가 심의ㆍ의결하여 전송 요구의 대상으로 지정한 개인정보
2. 전송을 요구하는 개인정보가 개인정보처리자가 수집한 개인정보를 기초로 분석ㆍ가공하여 별도로 생성한 정보가 아닐 것
3. 전송을 요구하는 개인정보가 컴퓨터 등 정보처리장치로 처리되는 개인정보일 것
② 정보주체는 매출액, 개인정보의 보유 규모, 개인정보 처리 능력, 산업별 특성 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 제1항에 따른 전송 요구 대상인 개인정보를 기술적으로 허용되는 합리적인 범위에서 다음 각 호의 자에게 전송할 것을 요구할 수 있다.
1. 제35조의3제1항에 따른 개인정보관리 전문기관
2. 제29조에 따른 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자
③ 개인정보처리자는 제1항 및 제2항에 따른 전송 요구를 받은 경우에는 시간, 비용, 기술적으로 허용되는 합리적인 범위에서 해당 정보를 컴퓨터 등 정보처리장치로 처리 가능한 형태로 전송하여야 한다.
④ 제1항 및 제2항에 따른 전송 요구를 받은 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 법률의 관련 규정에도 불구하고 정보주체에 관한 개인정보를 전송하여야 한다.
1. 「국세기본법」 제81조의13
2. 「지방세기본법」 제86조
3. 그 밖에 제1호 및 제2호와 유사한 규정으로서 대통령령으로 정하는 법률의 규정
⑤ 정보주체는 제1항 및 제2항에 따른 전송 요구를 철회할 수 있다.
⑥ 개인정보처리자는 정보주체의 본인 여부가 확인되지 아니하는 경우 등 대통령령으로 정하는 경우에는 제1항 및 제2항에 따른 전송 요구를 거절하거나 전송을 중단할 수 있다.
⑦ 정보주체는 제1항 및 제2항에 따른 전송 요구로 인하여 타인의 권리나 정당한 이익을 침해하여서는 아니 된다.
⑧ 제1항부터 제7항까지에서 규정한 사항 외에 전송 요구의 대상이 되는 정보의 범위, 전송 요구의 방법, 전송의 기한 및 방법, 전송 요구 철회의 방법, 전송 요구의 거절 및 전송 중단의 방법 등 필요한 사항은 대통령령으로 정한다.개정법에 따라 정보주체는 개인정보처리자에게 자신 또는 제3자에게 자신의 개인정보를 전송하도록 요구할 수 있습니다. 이때 정보주체가 전송을 요구할 수 있는 정보는 본인에 관한 개인정보로 한정되며, 개인정보처리자가 분석ㆍ가공하여 별도로 생성한 정보 또는 정보처리장치로 처리되지 않는 정보에 대해서는 전송을 요구할 수 없습니다.
개인정보 전송 대상으로 지정된 제3자에 대한 구체적인 내용은 시행령이 발표되어야 알 수 있겠지만, 추측하기로 KISA나 금융보안원이 개인정보관리 전문기관이 될 가능성이 클 것으로 생각됩니다.
개인정보 전송 요구를 받은 개인정보처리자는 정보주체의 본인 여부를 우선적으로 확인하고, 정당한 요구인 경우에는 시간, 비용, 기술적으로 허용되는 합리적인 범위내에서 정보를 전송할 의무가 있습니다. 따라서, 정보보호 담당자는 개인정보 전송 요구에 따른 ① 내부 절차와 정책 ② 개인정보관리 전문기관과의 마이데이터 계약 또는 표준 API 방식 구현 ③ 마이데이터 전송을 위한 시스템/백엔드 단의 검토 등을 수행해야 할 것으로 예상됩니다.
무엇보다 가장 중요한 부분은 다른 조문과 달리 시행일이 지정되지 않았다는 점인데요. 구체적인 시행령과 전문기관 지정 현황, 데이터 전송 규격 등 부수적인 내용이 정리되어야 시행일이 지정될 것으로 생각합니다.
2.2. 온·오프라인 규제 일원화(제6장 삭제)
제39조의3 개인정보의 수집ㆍ이용 동의 등에 대한 특례
제39조의4 개인정보 유출등의 통지ㆍ신고에 대한 특례
제39조의5 개인정보의 보호조치에 대한 특례
제39조의6 개인정보의 파기에 대한 특례
제39조의7 이용자의 권리 등에 대한 특례
제39조의8 개인정보 이용내역의 통지
제39조의9 손해배상의 보장
제39조의10 노출된 개인정보의 삭제ㆍ차단
제39조의11 국내대리인의 지정
제39조의12 국외 이전 개인정보의 보호
제39조의13 상호주의
제39조의14 방송사업자등에 대한 특례
제39조의15 과징금의 부과 등에 대한 특례개인정보 파기, 이용내역 통지 등 온라인 사업자(정보통신서비스 제공자)의 규제를 별도로 정의한 제6장의 내용이 전부 삭제되었습니다.
그간 하나의 법 안에서 온·오프라인 사업자를 별도로 규정함에 따라 혼란이 야기되어 왔기에 바람직한 방향이라고 생각되는데요.
다만, 정보보호 담당자 입장에서는 챙겨야 할 부분이 있습니다.
- 제39조의8 → 제20조의2로 개정됨에 따라 개인정보 이용ㆍ제공 내역 또는 이용ㆍ제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 정보주체에게 통지하여야 합니다. 해당 조문은 마이데이터 도입에 따른 사항이라고 추측됩니다.
- 제39조의6이 삭제됨에 따라 1년 또는 지정한 기간동안 서비스에 접속하지 않은 이용자의 개인정보를 삭제 또는 별도 보관 의무가 없어졌습니다.
2.3. 개인정보 처리방침 평가제 도입(제30조의2)
제30조의2(개인정보 처리방침의 평가 및 개선권고)
① 보호위원회는 개인정보 처리방침에 관하여 다음 각 호의 사항을 평가하고, 평가 결과 개선이 필요하다고 인정하는 경우에는 개인정보처리자에게 제61조제2항에 따라 개선을 권고할 수 있다.
1. 이 법에 따라 개인정보 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지 여부
2. 개인정보 처리방침을 알기 쉽게 작성하였는지 여부
3. 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부
② 개인정보 처리방침의 평가 대상, 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다.개인정보 처리방침의 내용과 구성, 공개 방법의 적정성을 평가하고 개선을 권고할 수 있도록 개정되었습니다. 기존에도 KISA 또는 방통위가 처리방침에 대한 개선을 요청하고 있었으나, 이에 대한 법적 근거를 마련하기 위한 조치라고 생각됩니다.
개인정보 처리자는 개선 권고를 받은 경우, 권고임에도 불구하고 제61조제2항에 따라 개선의 이행을 성실하게 노력하여야 합니다.
평가 대상 등의 세부적인 사항은 시행령으로 정하고 있으나, 정보통신서비스 제공자의 경우 대부분 평가 대상에 포함될 것으로 생각됩니다. 따라서, 담당자는 개인정보 처리방침 작성지침 등을 참고해 적정성을 사전에 점검하여 개선 권고를 예방하는 것이 바람직할 것으로 생각됩니다.
2.4. 국외이전 요건 다양화 및 중지명령권 신설(제28조의8, 제28조의9)
제28조의8(개인정보의 국외 이전)
① 개인정보처리자는 개인정보를 국외로 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 절에서 “이전”이라 한다)하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 국외로 이전할 수 있다.
1. 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우
2. 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우
3. 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁ㆍ보관이 필요한 경우로서 다음 각 목의 어느 하나에 해당하는 경우
가. 제2항 각 호의 사항을 제30조에 따른 개인정보 처리방침에 공개한 경우
나. 전자우편 등 대통령령으로 정하는 방법에 따라 제2항 각 호의 사항을 정보주체에게 알린 경우
4. 개인정보를 이전받는 자가 제32조의2에 따른 개인정보 보호 인증 등 보호위원회가 정하여 고시하는 인증을 받은 경우로서 다음 각 목의 조치를 모두 한 경우
가. 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치
나. 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치
5. 개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 미리 다음 각 호의 사항을 정보주체에게 알려야 한다.
1. 이전되는 개인정보 항목
2. 개인정보가 이전되는 국가, 시기 및 방법
3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처를 말한다)
4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간
5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과
③ 개인정보처리자는 제2항 각 호의 어느 하나에 해당하는 사항을 변경하는 경우에는 정보주체에게 알리고 동의를 받아야 한다.
④ 개인정보처리자는 제1항 각 호 외의 부분 단서에 따라 개인정보를 국외로 이전하는 경우 국외 이전과 관련한 이 법의 다른 규정, 제17조부터 제19조까지의 규정 및 제5장의 규정을 준수하여야 하고, 대통령령으로 정하는 보호조치를 하여야 한다.
⑤ 개인정보처리자는 이 법을 위반하는 사항을 내용으로 하는 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.
⑥ 제1항부터 제5항까지에서 규정한 사항 외에 개인정보 국외 이전의 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다.
제28조의9(개인정보의 국외 이전 중지 명령)
① 보호위원회는 개인정보의 국외 이전이 계속되고 있거나 추가적인 국외 이전이 예상되는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자에게 개인정보의 국외 이전을 중지할 것을 명할 수 있다.
1. 제28조의8제1항, 제4항 또는 제5항을 위반한 경우
2. 개인정보를 이전받는 자나 개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보 보호 수준에 비하여 개인정보를 적정하게 보호하지 아니하여 정보주체에게 피해가 발생하거나 발생할 우려가 현저한 경우
② 개인정보처리자는 제1항에 따른 국외 이전 중지 명령을 받은 경우에는 명령을 받은 날부터 7일 이내에 보호위원회에 이의를 제기할 수 있다.
③ 제1항에 따른 개인정보 국외 이전 중지 명령의 기준, 제2항에 따른 불복 절차 등에 필요한 사항은 대통령령으로 정한다.온·오프라인 규제 일원화에 따라 제6장이 삭제되며 기존에 국외 이전을 규제하던 제39조의12를 대신하여 제28조의8, 제28조의9가 신설되었습니다.
기존에는 CSP나 CRM 등의 서비스를 이용하기 위해 개인정보를 국외로 이전하려는 경우 개인정보 처리방침에 이전 항목, 이전받는 자 등 관련 내용을 명시하였어야 했는데요. 개정법에서는 국외 이전을 가능케 하는 방법이 몇가지 추가되었습니다.
언뜻보면 개인정보를 제공받는 국외의 대상이 ISMS-P 인증을 취득하거나 GDPR을 준수할 경우, 현행과 동일하게 개인정보 처리방침에 관련 내용을 안내하면 국외 이전이 가능하기 때문에 실무적으로 편해진 것으로 생각될 수 있습니다.
다만, 23년 3월 현재 AWS, GCP, Azure 등 CSP를 비롯해 대부분의 해외 사업자가 ISMS 인증만 취득한 상황이기 때문에 상황에 따라서는 이용자로부터 국외이전에 따른 별도의 동의를 받아야 할 것으로 보입니다. 또한 세부적인 내용은 시행령으로 규정하고 있어 지속적으로 주시할 필요가 있습니다.
2.5. 과징금·벌칙 규정 정비(제64조의2)
제64조의2(과징금의 부과)
① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.
~ 생략 ~현행법에서 과징금의 상한을 ‘위반행위와 관련한 매출액의 100분의 3’으로 규정하고 있으나 개정법에서는 ‘전체 매출액(전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액)의 100분의 3'으로 상향하였습니다. 또한 과징금 부과 대상도 전보다 확대되었는데요.
실무자 입장에서는 반갑기도 하고 섬칫하기도 한 양가적인 감정이 들게하는 개정 항목인것 같습니다. 개인정보 교육이나 협업 과정에서 유용하게 활용될 수 있을 것 같다는 생각도 듭니다.
3. 참고
1. 개인정보 보호법 일부개정법률(안) 입법예고 - 법제처
2. 개인정보 보호법 전면 개정 - 법률신문
3. 개인정보 보호법 전면개정, 데이터 신경제 시대 열린다 - 개인정보보호위원회
4. 개인정보 보호법 전면개정: 주요 내용 살펴보기 - 법무법인 율촌
5. 「개인정보보호법」제2차전면개정안국회통과(1) - 법무법인 광장
