개인정보보호법 2차 개정안 공포 및 시행령 개정안 발표(2)
5월 19일, 개인정보보호위원회는 개정 개인정보 보호법(법률 제19234호)에서 위임한 개인정보 보호 기준, 절차 등에 관한 사항을 구체화하는 내용의 개인정보보호법 시행령 일부 개정안을 입법예고하였습니다.
* 입법예고란?
국민의 권리 의무 또는 일생생활과 밀접한 관련이 있는 법령 등을 제정·개정·폐지 하려는 경우, 입법안의 취지 및 주요내용을 미리 예고하여 입법 내용에 대한 문제점을 검토하고 국민의 의사를 수렴 반영하여 국민의 입법 참여 기회를 확대하기 위한 제도
법령에서는 모든 상황을 규정할 수 없어 큰 원칙만 정해놓고, 시행령을 통하여 케이스별 자세한 실천방식을 규정합니다.
이번 개인정보 보호법 시행령 일부개정안은 40일의 입법예고기간(2023.05.19~2023.06.28)을 거친 뒤 개인정보보호법 2차 개정안과 함께 2023년 9월 15일 시행될 예정이며, 일부 개정안의 주요 내용은 다음과 같습니다.
1. 개인정보 자기결정권의 실질적 보장
정보주체가 실질적으로 동의권을 행사할 수 있도록 동의를 받는 방법의 원칙을 명확히 정비(영 제17조제1항)
- 동의 받는 방법의 실질적인 기준을 대법원 판례 및 EU GDPR을 참조하여 제17조제1항에 신설, 기존 형식 요건은 제2항으로 이동
개인정보의 추가적 이용·제공 요건 정비(영 제14조의2제2항)
- 정보주체가 실질적으로 동의권을 행사할 수 있도록 동의를 받는 방법의 원칙을 명확히 하고, 개인정보의 추가적 이용·제공이 지속적으로 발생하여 예상이 가능한 경우 개인정보 처리방침에 공개하도록 보완함
2. 온,오프라인 규제의 일원화
수집 출처 통지(영 제15조의2)와 이용·제공 내역 통지(영 제15조의3) 기준 정비
- 개인정보 수집 출처 등 통지와 이용·제공 내역 통지가 중복하여 적용되지않도록 의무대상을 수집 출처 등 통지 기준과 일치시키고 통지 방법 등을현실에 맞게 정비
아동의 개인정보 보호(영 제17조의2)
일반규정(종전 영 제17조제4항)과 특례규정(종전 영 제48의3)으로분산되어 있는 아동의 개인정보 보호 관련 규정을 일반규정으로 통합하여 정비
국내대리인의 지정(영 제32조의2)
- 매출액 산정범위가 전 세계 전체 매출액임을 명시적으로 규정하고 개인정보 보유 규모 기준을 일반규정으로 일원화
- 자료 제출을 요구받은 자 중 자료 제출 이행 여부 등을 고려할 때 국내대리인을 지정할 필요가 있다고 보호위원회가 인정하는 사업자로 대상 범위를 명확화
개인정보 유출등의 통지·신고(영 제39조, 제40조)
- 개인정보가 유출등이 되었음을 알게 되었을 때에는 정당한 사유가 없는 한 서면등의 방법으로 72시간 이내 통지 및 신고하도록 규정
* 1천명 이상의 개인정보가 유출된 경우
* 민감정보/고유식별정보가 유출된 경우
* 해킹 등 외부의 불법적 접근에 의해 유출된 경우
- 유출등의 경로가 확인되어 해당 개인정보를 회수·삭제하는 등의 조치를 통해 정보주체의 권익 침해 가능성이 현저히 낮은 경우에는 신고 예외
3. 영상정보처리기기 관련 설치,운영 지침 구체화
고정형 영상정보처리기기 운영 규정 개선(영 제22조제1항)
- 촬영된 영상정보를 저장하지 않는 경우에는 통계 등 목적으로 고정형 영상정보처리기기를 운영할 수 있도록 정비함
이동형 영상정보처리기기 운영 제한의 예외(영 제27조의2)
- 법 제25조의2제2항에 규정 된 ‘인명의 구조·구급 등을 위하여필요한 경우’에 대해 ‘범죄, 재난, 화재 또는 이에 준하는 상황’에서 이동형 영상정보처리기기를 운영할 수 있도록 구체화
이동형 영상정보처리기기의 촬영사실 표시(영 제27조의3)
- 드론에 의한 항공촬영 등 촬영 방법의 특성으로 인해 촬영 사실을 알리기 어려운 경우에는 홈페이지 공지 등으로 알릴 수 있도록 함
4. 개인정보 국외 이전 요건 다양화 관련 구체적 근거 마련
개인정보 국외 이전 및 중지 명령(영 제29조의7 ~ 제29조의13)
- 국외 이전의 요건에 국가·국제기구에 대한 개인정보 보호 수준인정과 보호위원회가 고시하는 인증을 개인정보처리자가 받은경우를 추가하고, 국외이전전문위원회의 심의 등 절차 규정을 구체화
- 국외 이전 중지명령의 기준과 이의 제기 절차 등 세부적인 내용을 규정을 마련
5. 과징금 벌칙 부과 규정 정비
과징금의 부과기준(영 제60조의2 ~ 제60조의4, 별표 1의5)
- 과징금 산정 시 매출액이 없거나 매출액의 산정이 곤란한 경우에 ‘수익사업을 영위하지 아니하여 매출액이 없는 경우’를 추가
- 위반행위와 관련이 없는 매출액의 범위를 ‘명백히 개인정보의 처리와 관련이 없는 재화 또는 서비스의 매출액 등’으로 구체화
- 과징금 납부기한 연기 및 분할 납부 근거를 마련하고 별표1의5의 과징금의 산정기준과 산정절차를 구체화함
- 형벌 중심의 제재를 경제벌 중심으로 전환하여 제재의 실효성 제고
과태료의 부과기준(영 제63조, 별표 2)
- 과태료 감경 및 면제 규정 신설에 따라 과태료 부과기준(별표2)의 가중·감경 사유를 정비하고 면제 근거를 신설
- 법 개정에 따른 과태료 삭제 및 신설 등에 맞춰 금액 정비
6. 공공분야 개인정보 처리의 안전성 강화
공공기관에 대한 안전조치 등을 정비(영 제30조의2)
- 주요 공공시스템을 운영하는 공공기관에 대하여 개별 공공시스템에 대한 안전조치를 내부관리계획에 포함하도록 규정
- 접근 권한에 대한 안전한 관리를 위해 필요한 조치를 명시하고, 권한의 범위를 초과하여 접근한 사실이 확인될 경우 지체없이 통지하도록 하는 등 안전조치 기준을 강화
공공기관 영향평가 지정기준 정비(영 제35조 ~ 제38조)
- 개인정보 영향평가를 수행해야 할 시점을 개인정보파일을 운용 또는 변경하기 전으로 명확히 하고
- 영향평가를 받은 개인정보파일을 운용하는 경우에는 영향평가서를 요약한 내용을 공개할 수 있도록 함
2024년 3월 15일 이후 시행 예정인 개인정보 전송요구권 및 자동화된 결정에 대한 정보주체의 권리에 대한 규정, 공공기관의 개인정보 보호수준 평가 등에 관한 시행령 개정안은 2023년 하반기 중 추가 입법 예고 예정 입니다.
자세한 내용은 여기를 참고해주시기 바랍니다
참고 :
https://www.moleg.go.kr/lawinfo/makingInfo.mo?lawSeq=73202&lawCd=0&&lawType=TYPE5&mid=a10104010000