‘개인정보 보호법’ 개정안(이하 “본 개정안”)이 2023. 2. 27. 국회 본회의를 통과하였습니다. 이후 본 개정안은 정부 이송, 국무회의 의결 등 일련의 절차를 거쳐 공포되며, 공포 후 6개월이 경과한 날부터 시행될 예정입니다.

본 개정안은 지난 해 국회 정무위원회를 통과한 기존 개정안(이하 “정무위원회 의결안”)이 법제사법위원회 심사 과정에서 일부 수정된 것입니다. 정무위원회 의결안에 관한 내용은 지난 뉴스레터(링크)에서 자세히 확인하실 수 있으며, 아래에서는 수정된 주요 내용에 대하여 설명 드립니다.

• 정보주체가 전송 요구를 철회할 수 있는 근거 조항이 추가되었습니다(제35조의2 제5항). 한편, 행정청이 내리는 자동적 처분은 자동화된 결정의 범위에서 제외되었습니다(제37조의2 제1항). 이는 법률로 정하는 바에 따라서만 자동적 처분을 내릴 수 있도록 한 행정기본법과의 체계 정합성을 고려한 것으로, 자동적 처분에 대한 대응권은 해당 처분의 근거 법률에서 논의될 것으로 예상됩니다.

• 현행법 상 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 ‘가명정보’를 처리할 수 있습니다(제28조의2 제1항). 이와 관련하여, 정무위원회 의결안은 정보주체의 동의 없이 할 수 있는 처리의 범위에 ‘개인정보의 가명처리’를 포함시켰으나 이는 가명처리의 범위를 확대하는 것으로 오인될 소지가 있다는 우려에 따라 본 개정안에서 제외되었습니다.

• 정무위원회 의결안은 국가 또는 지방자치단체가 이동형 영상정보처리기기를 운영하는 과정에서 그 촬영 사실을 표시하는 경우 법령에서 정하는 소관 업무의 수행이 불가능한 때에는, 해당 사실을 표시하거나 알리지 아니할 수 있다고 정하고 있었습니다. 그 경우, 촬영 사실, 목적, 일시 및 장소 등을 일정한 방법에 따라 정보주체에게 사후적으로 알리거나 공지하여야 한다는 규정을 두고 있었으나, 국가가 드론 등을 활용하여 시민을 감시할 수 있게 될 것이라는 우려가 제기됨에 따라 해당 내용은 본 개정안에서 제외되었습니다. 결론적으로, 본 개정안에 따라 이동형 영상정보처리기기를 운영하는 경우에는 예외 없이 그 촬영 사실을 표시하고 알려야 합니다(제25조의2 제3항).

• 한편, 정무위원회 의결안은 개인정보 처리방침의 평가 시 ‘개인정보 처리방침의 작성지침을 준수하였는지 여부’를 고려하도록 하였습니다. 그러나 이는 해당 지침의 준수를 단순히 ‘권장’할 수 있도록 한 개인정보 보호법 제30조 제4항의 취지에 부합하지 아니한다고 보아, ‘개인정보 보호법에 따라 개인정보 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지 여부’로 수정되었습니다(제30조의2 제1항 제1호). 이상과 같이 개인정보 처리방침의 평가에 대한 법적 근거가 마련된 만큼, 각 평가 기준을 중심으로 개인정보 처리방침을 미리 점검해 볼 필요가 있겠습니다.
   

상기 외에 본 개정안의 내용은 정무위원회 의결안과 큰 차이가 없으며, 그 주요 내용 및 시사점은 아래와 같습니다.

본 개정안은 전송 요구권 및 자동화된 결정에 대한 대응권을 도입하는 한편, 개인정보처리자, 정보통신서비스 제공자등으로 이원화 되어 있던 법 체계를 일원화 하고 제재의 중심을 과징금으로 전환하는 등 개인정보의 보호 및 활용 실무에 적지 않은 변화를 가져올 것으로 예상됩니다. 다만, 본 개정안은 ① 이동형 영상정보처리기기 운영 시 그 촬영 사실을 표시하고 알리는 방법, ② 전송 요구의 대상이 되는 정보의 범위, ③ 자동화된 결정의 기준·절차 및 개인정보가 처리되는 방식의 공개 등에 필요한 사항 등과 같이, 여러 주요한 내용을 대통령령으로 정하도록 위임하고 있습니다. 따라서 이후 대통령령을 통하여 본 개정안의 내용이 구체화 되는 과정을 계속 주목할 필요가 있습니다.

[영문] Amendment to the PIPA Passed by the National Assembly