2021년 정부가 개인정보보호법의 개정을 위한 입법을 2021년 1월 6일 예고했습니다. 2월 16일까지 약 2주동안 기업 및 시민단체 등의 의견을 수렴한 후 협의를 거쳐 법안 개정을 하는 일정입니다. 코로나로 인한 거리두기로 스마트 재택근무 및 비대면 사회로 변화하는 사회 환경에 맞추어 정보주체의 주권을 강화하고 기업에게는 이중규제로 인한 혼란과 부담을 줄이는 것이 개정 목적입니다. 개정안에 어떤 내용들이 포함되어 있는지 정리했습니다.
개정안은 크게 13가지 내용으로 구성되어있습니다.
1. 개인정보보호법과 다른 법률과의 관계 정비, 다른 법률 재정 및 개정시 개인정보보호 원칙을 준수하도록 규정
[기존안]
- 개인정보보호법과 다른 법률과의 이해상충 발생시 다른 법률을 우선 적용
[변경안]
- 개인정보보호법 외 다른 법률 제·개정 시 개인정보보호 원칙을 준수
- 개인정보와 관련해 다른 법률과 상충 시 보호법을 우선 적용, 다른 법률의 규정이 정보주체에게 더 유리할 경우에는 해당 법률 적용
2. 분야별 특성을 반영한 자율보호 활성화
[신규안]
- 기업 등이 자율규제 활동에 적극적으로 참여해 정보주체의 개인정보를 보호할 수 있도록 인센티브를 제공
- 개인정보위는 자율규제단체를 지정하고, 자율규제 활성화 및 행정·기술·재정적 지원 근거 마련
- 개정을 통해 민간과 정보 소통창구 기능을 수행하는 ‘자율규제단체 연합회’ 설립 근거 마련
3. 영상정보처리기기의 설치·운영 제한 개정
[기존안]
- 고정형 CCTV만을 규제하고 있어 드론, 자율주행차 등 이동형 기기의 특성에 맞는 기준 제시 어려움
- 드론 등을 이용한 촬영이나 카메라 정보를 통한 자율주행 구현 시 개별 정보주체에게 동의를 받아야 함
[개정안]
- 공공장소에서 업무 목적의 ‘이동형 영상정보처리기기’를 통한 개인영상정보 촬영을 원칙적으로 제한
- 단, 개정안 제15조 제1항 각 호 중에 하나에 해당하거나 촬영 사실을 표시했음에도 거부의사를 밝히지 않은 경우 예외적으로 허용
- 기존 법규가 신기술 도입과 신사업 성장 저해요소가 되는 것을 방지
4. 가명정보의 처리에 대한 정의 개정
[기존안]
- 가명정보의 처리에 관한 특례와 비밀유지 등은 ‘가명정보의 처리’로 표시
[개정안]
- ‘개인정보의 가명처리’가 포함된다는 사실 명시
- 가명정보의 경우 처리목적을 달성하면 의무적으로 파기하는 예외조항을 일부 제거
- 가명정보 결합기관의 업무수행에서 비밀유지 의무를 신설
5. 개인정보 국외이전 내용 신설
[신규안]
- GDPR 등 해외 법제와의 상호 운용성 확보 및 국외이전 개인정보보호를 강화하기 위해 국제 표준에 부합하도록 개인정보 국외이전 내용 신설
6. 개인정보 처리방침의 심사를 통해 국민의 알 권리 보장
[기존 문제점]
- 개인정보 처리방침 수립 및 공개를 의무화하고 있으나, 적절성 및 이행여부 대한 판단 기준이 없음
[신규안]
- 비영리민간단체 등이 처리방침에 대한 적정성을 심사하는 ‘개인정보 처리방침에 대한 심사제도’ 도입
- 시정조치를 부과할 수 있는 근거 마련
7. 개인정보 전송 요구권 신설
[기존 문제점]
- 개인정보가 대량으로 유통되지만 정보주체는 유통 과정 개입에 한계
[신규안]
- 정보주체가 기존 개인정보처리자에게 자신의 개인정보를 다른 개인정보처리자 및 관리 전문기관에 전송할 수 있는 권리 도입
8. 자동화된 의사결정 대응권 신설
[신규안]
- 맞춤형 서비스가 정보주체에게 법적인 영향을 주는 경우 이의제기 및 설명을 요구할 수 있는 권한 신설
- 개인정보처리자는 맞춤형 서비스를 제공할 때 기준과 절차를 정보주체가 쉽게 인식할 수 있도록 알릴 의무 발생
9. 온라인과 오프라인으로 이원화된 개인정보보호 의무 규정 일원화
[기존안]
- 유사한 조항이 온라인과 오프라인, 특례규정과 일반규정으로 구분되어 있어 사업자의 혼란 및 이중부담 발생
[개정안]
- 일반규정과 유사하거나 중복된 특례규정은 일반규정으로 통합
- 온·오프라인 모두 적용해야 하는 특례규정은 각각 다른 규정에 추가
- 국내 사업자에 대한 과도한 규제로 작용하거나 실익이 없는 특례는 폐지한다.
10. 개인정보분쟁조정제도 개정
[기존안]
- 개인정보 유출에 대한 보상, 개인정보 수집목적 외 이용 등 분쟁 발생 시 조정에 의무적으로 응해야 하는 대상은 공공기관으로 한정
- 개인 및 기관은 사실 확인을 위한 조사 근거가 없었음
[개정안]
- 의무대상을 공공기관뿐만 아니라 사업자 등 모든 개인정보처리자로 확대
- 관계기관의 자료요청이나 현장조사 등에 대한 법적근거 마련
11. 일부 보호법 적용 예외 대상 삭제
[기존안]
- 감염병예방법, 통계법 등이 개인정보보호법 적용 예외 대상으로 명시됨
[개선안]
- 감염병예방법, 통계법은 개인정보보호법 상에 적용 예외 대상으로 명시된 내용 삭제
- 통계법과 감염병예방법 등에서는 개인정보 수집 및 이용에 관한 구체적인 규정을 두고 있어 굳이 예외 대상으로 두지 않아도 되어도 예외에 속하게 때문
12. 개인정보위의 침해조사 및 제제기능 강화
[기존안]
- 현행법상 개인정보위가 시정명령을 내리기 위해서는 ‘개인정보 침해라고 판단할 명확한 근거가 있고, 유출로 인해 큰 피해가 예상될 때’만 시정명령이 가능
[개선안]
- 개정 보호법은 이러한 시정명령 부과요건을 합리화하고, 시정조치를 내렸다는 사실 공표할 수 있는 법적 근거를 마련할 계획
13. 벌칙에 관한 규정 개정
[기존안]
- 처벌 규정은 5년 이하의 징역 또는 5,000만 원 이하의 벌금 등 개인에 대한 처벌을 유도
[개선안]
- 형벌을 줄이는 대신, EU 등 주요국의 입법에 따라 ‘행정처분’인 과징금으로 전환
- 각 서비스별 규모와 유형이 다른 벌칙을 매출액의 최대 3%이하의 과징금으로 변경
- 형벌의 범죄구성 요건을 ‘자기 또는 제3자의 이익을 목적’으로 유출한 경우로 제한
- 과실이나 시스템 오류로 인한 유출 시 개인에 대한 지나친 형벌을 줄어듬
-----
[Summary]
1. 개인정보보호법과 다른 법률과의 관계 정비
2. 분야별 특성을 반영한 자율보호 활성화
3. 영상정보처리기기의 설치·운영 제한 개정
4. 가명정보의 처리에 대한 정의 개정
5. 개인정보 국외이전 내용 신설
6. 개인정보 처리방침의 심사를 통해 국민의 알 권리 보장
7. 개인정보 전송 요구권 신설
8. 자동화된 의사결정 대응권 신설
9. 온라인과 오프라인으로 이원화된 개인정보보호 의무 규정 일원화
10. 개인정보분쟁조정제도 개정
11. 일부 보호법 적용 예외 대상 삭제
12. 개인정보위의 침해조사 및 제제기능 강화
13. 벌칙에 관한 규정 개정
-----
블로그 포스팅은 아래 기사에 요약본입니다.
https://www.boannews.com/media/view.asp?idx=94020&kind=