입법 이슈

[정무(금융)]개인정보 보호법 개정

관리자
2023-08-04

개인정보 보호법 일부 개정

 

김성천 연구소장

 

2023. 2. 27. 개인정보보호법 일부개정법률안(이하 “개정법”)이 국회 본회의를 통과했다. 개정법은 2023. 3. 14. 공포되어 6개월이 경과한 2023. 9. 15.부터 시행(일부 법률은 2024.3.15.부터)될 예정이다.

 

1. 개정이유

정보주체의 개인정보에 대한 통제권을 강화하기 위하여 정보주체가 개인정보처리자에게 자신의 개인정보를 정보주체 본인, 개인정보관리 전문기관 또는 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자에게 전송할 것을 요구할 수 있도록 하고, 인공지능 등을 이용한 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우 정보주체가 이를 거부하거나 해당 결정에 대한 설명 등을 요구할 수 있도록 하며, 종전에 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서 이관된 개인정보 보호 관련 규정이 온라인 사업자인 정보통신서비스 제공자에 대한 특례로 규정되어 동일한 행위에 대하여 온라인 사업자와 오프라인 사업자 간 적용되는 규정이 달라 불필요한 혼란이 발생한 점을 고려하여 관련 규정을 정비하는 한편,

개인정보의 국외 이전이 증가함에 따라 개인정보를 국외로 이전할 수 있는 경우를 확대하여 국제기준에 부합하도록 하는 등 현행 제도의 운영상 나타난 일부 미비점을 개선ㆍ보완함.

 

2. 주요 개정 내용

가. 이동형 영상정보처리기기 운영 기준 마련(제2조제7호의2 및 제25조의2 신설)

1) CCTV와 같은 고정형 영상정보처리기기 외에 드론, 자율주행 자동차 등을 이용한 이동형 영상정보처리기기의 사용이 증가함에 따라, 이동형 영상정보처리기기의 정의를 마련함.

2) 이동형 영상정보처리기기로 공개된 장소에서 업무를 목적으로 사람 또는 그 사람과 관련된 사물의 영상을 촬영할 수 없도록 원칙적으로 금지하고, 예외적으로 촬영할 수 있는 경우를 정보주체의 동의를 받은 경우, 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 등으로 정하며, 촬영을 하는 경우에는 불빛, 소리, 안내판 등으로 촬영 사실을 표시하도록 하는 등 이동형 영상정보처리기기의 운영 기준 등을 정함.

 나. 정보주체는 인공지능 기술을 적용한 시스템을 포함하는 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 결정을 거부하거나 해당 결정에 대한 설명 등을 요구할 수 있도록 함(제4조제6호 및 제37조의2 신설).

 다. 개인정보 보호위원회로 하여금 매년 공공기관 등의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고할 수 있도록 함(제11조의2 신설).

 라. 종전에는 개인정보처리자가 정보주체와 계약 체결 및 이행을 위하여 불가피하게 필요한 경우에만 개인정보를 수집할 수 있도록 하던 것을 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우, 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 경우에는 개인정보를 수집할 수 있도록 그 요건을 합리적으로 개선함(제15조제1항제4호ㆍ제5호, 같은 항 제7호 신설).

마. 개인정보의 국외 이전 및 국외 이전 중지 명령(제28조의8 및 제28조의9 신설)

1) 종전에는 정보주체의 별도 동의가 있는 경우에만 개인정보를 국외로 이전할 수 있도록 하던 것을 앞으로는 개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준의 보호 수준을 갖추었다고 개인정보 보호위원회가 인정하는 경우 등에도 개인정보를 국외로 이전할 수 있도록 하여 국외 이전의 요건을 국제기준에 부합하도록 다양화 함.

2) 개인정보 보호위원회는 개인정보처리자가 이 법을 위반하여 개인정보를 국외로 이전하는 경우 등에는 해당 개인정보처리자에게 국외 이전을 중지할 것을 명할 수 있도록 함.

 바. 개인정보 영향평가를 실시하는 평가기관의 지정취소 근거 및 사유를 규정하고, 지정취소를 하려는 경우 「행정절차법」상 청문 절차를 거치도록 함(제33조제7항ㆍ제8항 신설).

 사. 정보주체가 개인정보처리자에게 그가 처리하는 자신의 개인정보를 정보주체 본인, 개인정보관리 전문기관 또는 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자에게 전송할 것을 요구할 수 있도록 하고, 개인정보 전송 요구의 요건 등을 정함(제35조의2 신설).

 아. 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우 손해배상책임의 한도액을 종전 손해액의 3배에서 5배로 상향함(제39조제3항).

 자. 이 법 위반에 따른 손해배상청구소송에 관하여 법원이 당사자의 신청에 따라 자료제출명령을 할 수 있도록 하고, 일정한 요건이 갖추어진 경우 법원이 당사자의 신청에 따라 비밀유지명령을 하거나 또는 그 명령을 취소할 수 있도록 함(제39조의3부터 제39조의5까지).

 차. 정보통신서비스 제공자 등의 개인정보 처리에 관하여는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서 이관된 특례 규정을 적용하도록 하던 것을 모든 개인정보처리자에 대하여 동일 행위에 동일 규제를 적용할 수 있도록 종전의 특례 규정을 삭제하고 이를 모든 개인정보처리자에 대한 일반 규정으로 정비함(현행 제39조의3부터 제39조의8까지 등 삭제).

 카. 개인정보에 관한 분쟁조정제도 개선(제43조제3항, 제45조제2항부터 제4항까지 신설, 제47조제3항ㆍ제4항)

1) 분쟁조정의 통지를 받은 경우 특별한 사유가 없는 한 분쟁조정에 참여하여야 하는 대상을 공공기관에서 모든 개인정보처리자로 확대하고, 분쟁조정의 당사자가 개인정보 분쟁조정위원회로부터 조정안을 제시받은 날부터 15일 이내에 수락 여부를 알리지 아니할 경우 종전에는 조정을 거부한 것으로 간주하던 것을, 앞으로는 조정안을 수락한 것으로 간주하도록 분쟁조정제도를 개선함.

2) 개인정보 분쟁조정위원회는 사실 확인이 필요한 경우에는 사무기구의 소속 공무원 등으로 하여금 사건과 관련된 장소에 출입하여 자료를 조사하거나 열람하게 할 수 있고, 관계 기관 등에 자료 또는 의견의 제출 등 필요한 협조를 요청할 수 있도록 함.

 타. 위반행위에 대한 과징금의 상한액을 전체 매출액의 100분의 3 이하에 해당하는 금액으로 하되, 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 금액을 기준으로 과징금을 산정하도록 함(제64조의2 신설).

파. 개인정보 영향평가를 실시하지 않거나 그 결과를 보호위원회에 제출하지 아니한 자에게 3천만원 이하의 과태료를 부과함(제75조제2항제16호 신설).

 하. 손해배상책임 이행을 위해 보험 또는 공제에 가입하거나 준비금을 적립하도록 하는 규정을 위반한 개인정보처리자에 대해 과태료를 부과하는 규정을 삭제함(현행 제75조제3항제1호 삭제).

 

3. 의의

이번 개정은 2011년 개인정보 보호법이 제정된 이후 정부가 다양한 의견을 반영하여 마련한 정부안을 중심으로 국회에서 발의된 20개 의원 안을 통합한 실질적인 전면 개정이라는 점에서 의미가 있다.

 개인정보보호위원회는 이번 개정으로 디지털 전환이 가속화하는 환경 속에서 국민의 권리를 실질적으로 보장하고 합리적인 규제 정비로 법적 불확실성을 해소하여 데이터 경제 시대 기업과 산업이 성장할 수 있는 토대를 마련하겠다는 입장이다.

그러나 시민단체, 업계, 법조계 등에서의 다양한 관점에서 비판이 제기되고 있어 향후 개정 논의가 필요하다. 예를 들면 인공지능 기술 등으로 데이터 경제가 본격화되고 있는 현 시점에서 개인정보 보호법의 보호법익을 개인정보 자기결정권에 국한하는 것이 과연 타당한지 의문을 제기하는 비판이 있다. EU GDPR은 개인정보 보호권을 정보주체의 기본 권리로 인정하고 있는 것과 같이 개인정보처리자의 개인정보 처리가 투명하고 제대로 이루어지는지를 확인하고 안전한 처리가 이루어지도록 요청할 권리, 즉 개인정보 보호권(the right to protection of personal data)이 보다 실효적인 수단이 될 수 있다는 주장이 있다.

 특히 개인정보피해구제시스템의 하나인 개인정보 단체소송의 전면 개정이 필요하다. 개인정보 단체소송제도는 소비자기본법에서 최초로 도입한 소비자단체소송을 개인정보보호법에 수용한 것인데(제51조 제1항), 단체소송의 본래 목적과는 달리 적용범위와 대상에 제약이 있다. 개인정보 단체소송에서 “개인정보처리자가 제49조에 따른 집단분쟁조정을 거부하거나 집단분쟁조정의 결과를 수락하지 아니한 경우”를 “개인정보처리자가 이 법을 위반한 행위로 정보주체의 생명ㆍ신체 또는 재산에 대한 권리를 직접적으로 침해하고 그 침해가 계속되는 경우”로 하고, “법원에 권리침해 행위의 금지ㆍ중지를 구하는 소송을 제기할 수 있다.”를 “법원에 권리침해 행위의 금지ㆍ중지를 구하는 소송이나 손해배상을 청구하는 소송을 제기할 수 있다.”로 개정하여 정보주체의 권리를 실질적으로 보장해야 할 것이다.

 

[참고자료]

고환경, 개인정보 자기결정권 vs 개인정보 보호권,  법률신문 2023년 08.04

김현경, 개정 개인정보보호법의 의미와 과제, KISO저널  제51호 법제동향, 2023.5.31.

국가법령정보센터 https://www.law.go.kr/main.html

의안정보시스템 https://likms.assembly.go.kr/bill/main.do

Contact Us       이용약관      개인정보처리방침


Tel. 02-780-9972    Fax. 02-780-9975

E-mail. ilp2017@ilp.re.kr

Add. 서울특별시 영등포구 국회대로70길 12, 802호 (대산빌딩)

Biz License. 649-81-00691

Hosting by I'mweb


Copyright ⓒ 2021 입법정책연구원 All rights reserved.