본문 바로가기
KO EN JP CN
지식재산권 사회공헌 인재채용
메뉴
지식재산권 인재채용 사회공헌위원회 재단법인 나은
사무소 위치 연락처
레이어 닫기
검색
뉴스레터

온라인 규제와 오프라인 규제를 일원화 하는 개인정보 보호법 및 시행령 개정안 시행

2023.09.15
프린트

정보주체의 권리 강화, 개인정보 처리 관련 규정 통합·정비, 형벌에서 경제제재 중심으로의 전환 등을 주요 골자로 하여 2023. 9. 15. 시행되는 개정 ‘개인정보 보호법’과 관련하여, 동법 시행령의 개정안(이하 “시행령 개정안”)이 2023. 9. 5. 국무회의에서 의결 및 공포되었습니다. 

본 시행령 개정안은 ① 정보주체의 자기결정권을 실질적으로 보장하기 위해 동의 여부를 선택할 수 있도록 동의의 원칙을 개선하고, ② 온라인과 오프라인으로 구분하여 달리 규율하고 있는 현행 개인정보 보호법의 여러 규정들을 디지털 시대로의 전환 및 글로벌 스탠다드에 맞게 일원화하며, ③ 공공부문에서 계속되는 개인정보 침해사고 예방을 위한 안전조치 강화 등을 주요 내용으로 하고 있습니다.
 
본 시행령 개정안은 개정 개인정보보호법과 마찬가지로 2023. 9. 15. 시행됩니다. 참고로, 개인정보 보호법 개정 사항 중 2024. 3. 15. 시행 예정인 ① 개인정보 전송요구권, ② 자동화된 결정에 대한 정보주체의 권리, ③ 공공기관 개인정보 보호수준 평가 등에 대한 시행령 개정안은 올해 10월부터 단계적으로 추가 입법예고될 예정입니다.

본 시행령 개정안에서 다루고 있는 이슈 별 주요 내용은 아래와 같습니다.
 

구분

주요 내용

개인정보 처리 요건

  • (동의를 받는 방법) 동의의 요건으로 (1) 정보주체의 자유로운 의사에 따른 동의일 것, (2) 동의 받으려는 내용이 구체적이고 명확할 것, (3) 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것, (4) 정보주체에게 동의 여부에 대한 의사를 명확하게 표시할 수 있는 방법을 제공할 것 등을 명시

이동형 영상정보처리기기

  • (이동형 영상정보처리기기의 정의) 이동형 영상정보처리기기를 (1) 안경, 시계 등 사람의 신체, 의복에 착용하는 장치(“착용형 장치”), (2) 이동통신단말장치, 디지털 카메라 등 사람이 손쉽게 휴대할 수 있는 장치(“휴대형 장치”), (3) 차량, 무인항공기 등 이동 가능한 물체에 부착 또는 거치하는 장치(“부착·거치형 장치”) 등으로 분류

  • (촬영 사실 표시 방법) 이동형 영상정보처리기기 활용 시 불빛, 소리, 안내판, 서면, 안내 방송 또는 그 밖에 이에 준하는 수단·방법으로 촬영 사실을 표시하고 알리도록 하되, 촬영 방법의 특성상 촬영 사실을 표시하고 알리기 어려운 경우(예: 드론), 개인정보보호위원회가 구축하는 인터넷 사이트에 공지하는 방법으로 알릴 수 있도록 규정

개인정보의 국외이전 제한

  • (개인정보 보호 수준 인정) 국가/국제기구에 대한 개인정보 보호 수준을 인정할 때 고려하여야 하는 사항 및 절차(국외이전전문위원회의 평가, 정책협의회 협의) 규정

  • (중지 명령의 기준) (1) 국외 이전되었거나 추가 이전이 예상되는 개인정보의 유형 및 규모, (2) 관계 규정 위반의 중대성, (3) 피해가 중대하거나 회복하기 어려운지 여부, (4) 명백히 정보주체에게 이익이 되는지 여부, (5) 시정조치를 통해 개인정보 보호 및 침해 방지가 가능한지 여부, (6) 이전 받는 자/이전대상국이 피해 구제를 위한 실효적인 수단을 갖추고 있는지 여부, (7) 이전 받는 자/이전대상국에서 중대한 개인정보 침해가 발생하는 등 개인정보를 적정하게 보호하기 어렵다고 인정할 만한 사유가 존재하는지 여부를 종합적으로 고려한다고 규정

개인정보 처리방침 평가제

  • (평가 대상) 평가 대상자는 (1) 개인정보처리자의 유형 및 매출액 규모, (2) 민감정보 및 고유식별정보 등 처리하는 개인정보의 유형 및 규모, (3) 개인정보 처리의 법적 근거 및 방식, (4) 법 위반행위 발생 여부, (5) 아동·청소년 등 정보주체의 특성을 종합적으로 고려하여 선정

  • (평가 절차) 개인정보보호위원회는 평가 대상 개인정보처리자에게 평가 개시 10일 전까지 평가 계획을 통보하고, 평가 결과를 지체 없이 개인정보처리자에게 통보

온·오프라인 규제 일원화

  • (개인정보 이용·제공 내역 통지) 전년도 말 기준 직전 3개월 간 일일 평균 기준 (1) 5만 명 이상의 정보주체에 관한 민감정보 또는 고유식별정보 처리 시, 또는 (2) 100만 명 이상의 정보주체에 관한 개인정보 처리 시 연 1회 이상 이용·제공 내역을 통지하도록 규정

  • (국내대리인 지정 대상자 범위) 국내대리인 지정 대상자 범위를 (1) 전 사업연도 전체 매출액 1조 원 이상, 또는 (2) 전년도 말 기준 직전 3개월 간 그 개인정보가 저장·관리되고 있는 국내 정보주체의 수 일일평균 100만 명 이상, 또는 (3) 자료제출을 요구 받은 자로서 국내대리인을 지정할 필요가 있다고 개인정보보호위원회가 심의·의결한 경우로 명시

  • (개인정보 유출 통지·신고) 개인정보 유출 시 그 사실을 알게 된 때부터 72시간 내에 정보주체에게 통지하도록 규정하고, (1) 1천 명 이상의 정보주체에 관한 개인정보 유출 시, (2) 민감정보 또는 고유식별정보 유출 시, 또는 (3) 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법 접근에 의해 개인정보가 유출된 경우, 72시간 내에 관계기관에 신고하도록 규정. 다만, 유출 경로가 확인되어 해당 개인정보를 회수·삭제하는 등의 조치를 통해 정보주체의 권익 침해 가능성이 현저히 낮아진 경우에는 신고 면제 가능

개인정보 분쟁조정제도

  • (조정 불응 의사 통지) 법에 따른 특별한 사유가 있어 분쟁조정에 응하지 않으려는 경우에는 분쟁조정의 통지를 받은 날부터 10일 이내에 그 사유를 명시하여 분쟁조정 불응 의사를 분쟁조정위원회에 통지하도록 규정

  • (분쟁조정 관련 조사·열람 사전고지) 분쟁조정위원회는 자료조사·열람 시 원칙적으로 그 7일 전까지 조사·열람의 목적, 기간과 장소, 범위와 내용 등 일정한 사항을 문서로 고지하도록 규정

과징금 부과 세부기준 및 절차

  • (위반행위와 관련 없는 매출액 산정 기준) (1) 개인정보의 처리와 관련이 없는 재화 또는 서비스의 매출액, 또는 (2) 위반행위로 인하여 직·간접적으로 영향을 받는 재화 또는 서비스의 매출액이 아닌 것으로 개인정보보호위원회가 인정하는 매출액은 위반행위와 관련 없는 매출액으로서 과징금 산정 기준에서 제외될 수 있음을 명시

  • (과징금 부과 예외사유) 위반행위를 시정하고 개인정보보호위원회가 고시하는 기준에 해당되는 경우에는 과징금을 부과하지 아니할 수 있도록 규정

  • (과징금 기준금액 산정 시 위반행위의 중대성 분류) (1) 매우 중대한 위반행위, (2) 중대한 위반행위, (3) 보통 위반행위에 더해, (4) 약한 위반행위를 추가하여, 총 네 개의 급간으로 분류

과태료 부과 세부기준 및 절차

  • (과태료 감경 또는 면제 사유 추가) 과태료 감경 또는 면제 사유로 (1) 피해 회복 및 피해 확산 방지 조치를 이행한 경우, (2) 개인정보 보호 인증 획득, 자율적인 보호 활동 등 개인정보 보호 노력이 인정되는 경우, (3) 자진신고한 경우 등을 추가

 

개정 개인정보 보호법은 개인정보 보호 및 활용과 관련된 기업의 의무와 책임에 영향을 줄 수 있는 사항들을 규율하고 있으며 그 구체적인 내용은 시행령과 개인정보보호위원회의 고시 등을 통해 규정될 것입니다. 따라서 이번 시행령 개정안을 포함하여 향후 개정법의 내용이 구체화되는 과정을 계속하여 주목할 필요가 있습니다.

 

[영문] Proposed Amendment to Enforcement Decree of the PIPA Integrating Online and Offline Regulations Entered into Force

관련 이슈

#개인정보보호법 #개인정보 #TMT #2023 Issue 3 #Newszine

목록

공유하기

레이어 닫기

관련 구성원

레이어 닫기

관련 구성원

레이어 닫기