1.

인터넷망 차단조치 제도 개선

기존 고시는 대규모 개인정보처리자^[1]의 개인정보취급자의 개인정보취급자의 모든 기기에 대해 일괄적으로 인터넷망 차단조치를 적용하도록 되어 있어 인공지능·클라우드 등 최신 기술의 활용을 제한하는 면이 있었습니다.

이번 개정을 통해 대규모 개인정보처리자가 개인정보취급자의 기기에 위험분석을 실시하여 위험 수준이 낮은 것으로 판단되거나 위험을 낮출 수 있는 보호조치를 적용한 경우에는 인터넷망 차단조치 대상에서 제외될 수 있도록 규제를 완화하였습니다. 다만, 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자나 민감정보 또는 비밀번호, 생체인식정보, 고유식별정보 등을 다운로드하거나 파기할 수 있는 개인정보취급자의 기기는 여전히 인터넷망 차단조치 대상에 해당합니다(제6조의2).
 

2.

오픈마켓 판매자 등에 대한 플랫폼 사업자의 책임 강화

기존 고시에 따르면 오픈마켓 판매자 등 플랫폼을 이용하여 개인정보를 처리하는 자들은 안전한 인증수단 적용 및 접속기록 보관 의무의 대상에서 제외되어 있었습니다.

이번 개정을 통해 외부에서 개인정보처리시스템에 접속할 때 안전한 인증수단을 적용해야 하는 대상이 ‘개인정보처리시스템에 대한 정당한 접근권한을 가진 자(정보주체는 제외)’로 확대되었고(제6조 제2항), 접속기록 보관 대상은 기존 ‘개인정보취급자’에서 ‘개인정보처리시스템에 접속한 자(정보주체는 제외)’로 확대하였습니다(제8조 제1항). 나아가 접근권한 차등부여의 대상 또한 ‘개인정보취급자’에서 ‘업무수행자’로 확대되었으며(제5조 제1항), 일정 횟수 이상 인증에 실패하면 접근을 제한하는 대상 역시 '개인정보취급자 또는 정보주체’에서 ‘개인정보처리시스템에 접근하는 모든 자’로 확대되었습니다(제5조 제6항).
 

3.

접속기록 점검 주기 유연화

기존 고시에서는 개인정보처리시스템의 접속기록 점검 주기를 “월 1회 이상”으로 명시하고 있었는데, 이번 개정을 통해 개인정보처리자가 접속기록 및 다운로드 상황을 확인하고 점검하는 주기·방법·사후조치절차 등을 내부관리계획으로 자율적으로 정할 수 있도록 하였습니다(제8조 제2항).
 

4.

내부관리계획 수립 항목 확대

기존 고시에서는 ‘출력·복사 시 안전조치’와 ‘개인정보 파기 관련 사항’이 내부관리계획 수립 대상으로 포함되어 있지 않았으나, 이번 개정을 통해 상기 사항들도 내부관리계획 수립 항목에 포함되었습니다(제4조).