개인정보보호법 전면 개정…개인정보 전송요구권·과징금 매출액 3% 명시

국무회의 의결된 개정안 14일 공포, 9월 15일부터 시행

지난달 27일 국회를 통과한 개인정보보호법 개정안이 7일 국무회의에서 심의·의결됐다. 개정안은 오는 14일 공포돼, 9월 15일부터 시행될 예정이다.

이번 개정안에는 ▲개인정보 전송요구권 법적근거 신설 ▲사전동의 원칙 적용이 어려웠던 이동형 영상정보처리기기 규정 마련 ▲온·오프라인 사업자 규제 일원화 ▲‘동의’에만 의존하던 개인정보 처리 관행 개선 ▲자동화된 의사결정 거부, 설명 요구권 신설 ▲과징금 상한액 기준을 3% 이하로 상향, 과징금 액수 산정시 위반행위 관련 없는 매출액 제외 등의 내용이 담겼다.

개인정보보호위원회는 지난 2021년 9월 개인정보보호법 전면 개정을 위한 정부안을 국회에 제출했다. 이후 관계부처, 학계·법조계, 산업계, 시민단체 등의 의견을 반영하고 이견을 조정하는 과정을 거쳤고, 2년 여 만에 마련한 통합 개정안이 국회를 통과했다.

고학수 개인정보보호위원회 위원장은 이날 가진 기자 브리핑에서 “이번 개정은 2011년 개인정보보호법이 제정된 이래 정부가 다양한 의견을 반영해 마련한 정부안을 중심으로 국회에서 발의된 20개 의원안을 통합한 실질적인 전면 개정이라는 점에서 그 의미가 매우 크다”며 “디지털 전환이 가속화하는 환경 속에서 국민의 권리를 실질적으로 보장하고 합리적인 규제 정비로 법적 불확실성을 해소해 데이터 경제 시대 기업과 산업이 성장할 수 있는 토대를 마련했다”고 평가했다.

개인정보보호위원회는 이번 개정안에는 전 세계적인 디지털 대전환 추세에 부합하도록 ▲데이터 경제 견인 ▲국민 개인정보 신뢰 사회 구현 ▲글로벌 스탠다드에 부합하는 개인정보 규범 선도 등을 위해 시급히 필요한 내용들을 담았다고 설명했다.

전 분야 마이데이터 확산, 디지털 경제 성장 견인

이번 개정안에는 자신의 개인정보를 보유한 기업·기관에게 그 정보를 다른 곳으로 옮기도록 요구할 수 있는 ‘개인정보 전송요구권’의 일반법적 근거를 신설했다.

정보주체인 국민은 일정규모 이상의 개인정보처리자에 대해 자신의 개인정보를 본인 또는 제3자, 즉 다른 개인정보처리자나 개인정보관리 전문기관에 전송해줄 것을 요구할 수 있게 된다.

이에 따라 그간 신용정보법과 전자정부법에 따라 금융·공공 등 일부 분야에서만 제한적으로 가능했던 마이데이터 서비스가 국민 개개인의 뜻에 따라 의료·유통 등 모든 영역에서 보편적으로 이뤄질 수 있는 기반이 마련됐다.

정부는 이와 함께 다양한 데이터 간 합종연횡이 가속화되면서 혁신적 아이디어를 가진 새싹기업(스타트업) 등 다양한 경제주체가 새로운 데이터 생태계에서 성장을 주도해 나갈 것으로 기대하고 있다.

이동형 영상정보처리기기 규정 마련

이동형 영상정보처리기기가 부착된 자율주행차, 드론, 배달 로봇 등이 안전하게 운행될 수 있는 운영 기준이 생겼다.

현행법은 고정형 영상기기(CCTV)만을 규율하고 있어, 그동안 이동형 영상정보처리기기는 일상생활에서 광범위하게 사용되고 있는 현실과는 달리 명확한 규정 없이 운영돼 왔다. 이에 이동형 영상정보처리기기를 업무 목적으로 운영할 경우 촬영사실을 명확하게 표시하도록 하는 등 운영 기준을 마련했다. 이에 따라 자율주행차, 드론, 배달로봇 등 다가오는 새로운 모빌리티 신산업 육성을 위한 법적근거가 마련됐다.

온·오프라인 규제의 일원화(정보통신서비스 특례규정 정비)

누구든 법을 쉽게 준수할 수 있도록 온·오프라인으로 이원화된 규제체계를 개편해 동일행위에는 동일규제를 적용했다. 특히, 국내대리인 지정, 아동 개인정보보호 등 국민의 권리 보장에 도움이 되는 규정은 모든 분야로 확대하고, 개인정보 유효기간제, 방송사업자 특례 등과 같이 실효성이 낮은 조문은 삭제했다.

지난 데이터 3법 개정 시, 정보통신망법의 정보통신서비스 제공자 대상 개인정보 보호 관련 규정을 특례규정(제6장)으로 단순 이전·병합했었다. 온·오프라인 서비스 경계가 모호함에도 불구, 오프라인 규제(일반규정)와 온라인 규제(특례규정)의 이원화로 기업의 법 적용 혼선과 이중부담이 발생해, 정보통신서비스 특례규정을 일반규정과 일원화해 모든 개인정보처리자에게 동일한 규범을 적용토록 했다.

형식적 동의 제도 개선, 개인정보 처리방침 평가제 도입  

이번 개정안은 디지털 환경에 맞춰 국민이 자신의 권리를 실질적으로 행사할 수 있도록 개편했다. 국민과 기업·기관 간 개인정보 처리에 대한 ‘신뢰’가 축적될 수 있는 토대 마련에 기여할 것으로 정부는 기대하고 있다.

그간 정보주체의 ‘동의’에만 과도하게 의존했던 개인정보 처리 관행에서 벗어나, 상호계약 등 합리적으로 예상할 수 있는 범위 내에서는 동의 없이도 개인정보 수집·이용이 가능하도록 정비했다. 정보통신서비스 제공자의 필수 동의(제39조의3) 규정을 삭제, 일반규정(제15조)으로 통합했고, 동의 없는 수집·이용에 대한 입증 책임은 개인정보처리자가 부담하도록 개인정보 처리요건을 손질했다.

또한 개인정보위가 기업·기관의 개인정보 처리방침을 평가한 후 개선하도록 해 국민이 자신의 개인정보 처리에 대해 보다 쉽고 정확하게 알 수 있도록 개선할 수 있는 기반을 마련했다.

자동화된 결정에 대한 정보주체의 권리 도입

인공지능(AI)을 활용한 자동화된 결정이 채용 면접, 복지수급자 선정 등과 같이 국민에게 중대한 영향을 미치는 경우, 이에 대해 거부하거나 설명을 요구할 수 있는 권리도 신설했다.

AI 등 신기술 발전에 따라 자동화된 결정이 광범위하게 활용되면서 개인의 권리가 침해되지 않도록 정보주체의 대응권이 보장돼야 한다는 취지에서다.

이에 개정안은 개인정보처리자는 정보주체의 권리행사가 있으면 자동화 결정의 적용 배제·인적 개입에 의한 재처리·설명 등 조치 의무를 규정했다.

아울러 디지털 네이티브인 아동에게 개인정보 관련 내용을 알릴 때에는 이해하기 쉬운 양식·언어 사용 의무를 온라인 분야에서 모든 분야로 확대하고, 국가·자치단체의 아동 개인정보 보호 시책 의무를 명확히 했다.

개인정보 분쟁조정제도 개선

개인정보 분쟁조정제도도 개선했다. 개인정보 권리침해 시, 소송에 앞서 개인정보 분쟁조정위원회의 조정을 통해 신속하게 구제(침해중지, 손해배상 등)하는 개인정보 분쟁조정 요청시 의무적으로 응해야 하는 기관을 공공기관에서 전체 개인정보처리자로 확대했다. 또 분쟁조정을 위해 사실확인이 필요한 경우 사실조사 근거를 마련했고, 당사자가 조정안에 대한 수락 여부를 알리지 않을 경우 ‘거부’로 간주하던 것에서 ’수락‘으로 간주하는 것으로 기준을 전환했다.

개인정보 국외이전, 과징금 상향으로 경제제재 중심으로 전환

개인정보보호위는 이번 개정이 글로벌 통상에서 데이터가 차지하는 중요성이 점점 높아지고 있는 상황에서 글로벌 스탠다드에 부합하고 개인정보 국제 규범을 선도할 수 있도록 정비했다고 강조했다.

우선 그동안 개인정보를 국외로 이전하려면 정보주체의 ‘동의’가 필요했으나, 동의 외에도 계약·인증·적정성결정 등으로 국외이전 요건을 다양화해 글로벌 규범과의 상호운용성을 확보했다.

다만, 해당 국가가 개인정보를 적정하게 보호하고 있지 않다고 판단되는 경우에는 국외이전 중지를 명령할 수 있는 근거도 마련해 우리 국민의 개인정보 침해를 사전에 방지할 수 있도록 했다.

더불어 글로벌 스탠다드와 달리, 개인정보보호 책임을 기업보다는 담당자 개인에 대한 형벌 위주로 규율하고 있는 문제를 개선하기 위해, 과도한 형벌을 경제벌 중심으로 전환했다.

특히, 과징금 상한액은 글로벌 수준에 맞춰 전체 매출액의 3% 이하로 조정하고, 산정 시 위반행위와 관련 없는 매출액은 제외하도록 해 비례성과 효과성을 모두 확보할 수 있도록 했다.

이밖에도 매년 공공기관의 개인정보보호 수준을 평가할 수 있는 근거와 개인정보 침해 발생 위험성이 높고 효과적인 대응이 필요한 경우 사전에 실태점검을 할 수 있는 근거 등도 포함해 공공·민간의 개인정보보호체계를 공고히했다.

고학수 개인정보위 위원장은 “국민은 언제든 자신의 개인정보를 실질적으로 통제해 권리를 행사할 수 있고, 기업은 국민의 신뢰를 기반으로 데이터를 안전하게 활용할 수 있는 선순환 구조가 정착되어야 한다”며, “앞으로 위원회에서는 ‘국가 마이데이터 혁신 로드맵’ 마련 등을 통해 디지털 대전환 시대에 국민이 신뢰하고 체감할 수 있는 개인정보의 비전과 정책방향을 제시하겠다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

[컨퍼런스 안내] 클라우드 보안 & 제로트러스트 컨퍼런스 2024

  • 일시: 2024년 7월 4일 오전 8:40 ~ 오후 6:00
  • 장소: 서울 서초구 강남대로 213 양재 엘타워 6층 그레이스홀

[무료 웨비나] B2B기업, AI 시대 어떻게 고객을 발굴할 것인가?

  • 정민아 <하룻밤에 읽는 B2B 마케팅> 저자
  • 2024년 7월 9일 14:00~15:00

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다