본문 바로가기
KO EN JP CN
지식재산권 사회공헌 인재채용
메뉴
지식재산권 인재채용 사회공헌위원회 재단법인 나은
사무소 위치 연락처
레이어 닫기
검색
뉴스레터

개인정보 보호법 시행령 개정안 국무회의 의결

2023.09.20
프린트

개인정보보호위원회가 지난 2023. 5. 19. 입법예고한 개인정보 보호법 시행령 개정안이 2023. 9. 5. 국무회의에서 의결되어, 개정 개인정보 보호법과 함께 2023. 9. 15. 시행되었습니다.
 
지난 2023. 5. 22.자 “개인정보 보호법 시행령 개정안 입법예고” 뉴스레터(링크)에서 말씀 드린 바와 같이 개정 시행령은 ① 정보주체의 자기결정권을 실질적으로 보장하기 위해 동의 여부를 선택할 수 있도록 동의의 원칙을 개선하고, ② 온라인과 오프라인으로 구분하여 달리 규율하고 있는 현행 개인정보 보호법의 여러 규정들을 디지털 시대로의 전환 및 글로벌 스탠다드에 맞게 일원화하며, ③ 공공부문에서 계속되는 개인정보 침해사고 예방을 위한 안전조치 강화 등을 주요 내용으로 하고 있습니다. 개정 시행령에서 다루고 있는 이슈 별 주요 내용은 아래와 같습니다.
 

구분

주요 내용

개인정보 처리 요건

  • (동의를 받는 방법) 동의의 요건으로 (1) 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것, (2) 동의를 받으려는 내용이 구체적이고 명확할 것, (3) 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것, (4) 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것 등을 명시

이동형 영상정보처리기기

  • (이동형 영상정보처리기기의 정의) 이동형 영상정보처리기기를 (1) 안경, 시계 등 사람의 신체, 의복에 착용하는 장치(“착용형 장치”), (2) 이동통신단말장치, 디지털 카메라 등 사람이 손쉽게 휴대할 수 있는 장치(“휴대형 장치”), (3) 차량, 드론 등 이동 가능한 물체에 부착 또는 거치하는 장치(“부착·거치형 장치”) 등으로 분류
    ※ 부착·거치형 장치의 경우 입법예고안과 달리 이동 가능한 물체에 ‘고정적’으로 부착한다는 개념 표지가 삭제됨

  • (촬영 사실 표시 방법) 이동형 영상정보처리기기 활용 시 불빛, 소리, 안내판, 안내서면, 안내방송 또는 그 밖에 이에 준하는 수단·방법으로 촬영 사실을 표시하고 알리도록 하되, 촬영 방법의 특성상 촬영 사실을 알리기 어려운 경우(예: 드론) 개인정보보호위원회가 구축하는 인터넷 사이트에 공지하는 방법으로 알릴 수 있도록 규정
    ※ 입법예고안에서는 촬영 사실을 알리기 어려운 경우의 공지 방법을 고시에 위임하고 있었으나, 확정된 개정 시행령에서는 보호위원회가 구축하는 인터넷 사이트에 공지하는 방법으로 알리도록 명시

개인정보의 국외이전 제한

  • (개인정보 보호 수준 인정) 국가/국제기구에 대한 개인정보 보호 수준을 인정할 때 고려하여야 하는 사항 및 절차(국외이전전문위원회의 평가, 정책협의회 협의) 규정

  • (중지 명령의 기준) (1) 국외 이전되었거나 추가 이전이 예상되는 개인정보의 유형 및 규모, (2) 관계 규정 위반의 중대성, (3) 피해가 중대하거나 회복하기 어려운지 여부, (4) 명백히 정보주체에게 이익이 되는지 여부, (5) 시정조치를 통해 개인정보 보호 및 침해 방지가 가능한지 여부, (6) 이전받는자·이전대상국이 피해구제를 위한 실효적인 수단을 갖추고 있는지 여부, (7) 이전받는자·이전대상국에서 중대한 개인정보 침해가 발생하는 등 개인정보를 적정하게 보호하기 어렵다고 인정할 만한 사유가 존재하는지 여부를 종합적으로 고려한다고 규정

개인정보 처리방침 평가제

  • (평가 대상) 평가 대상자는 (1) 개인정보처리자의 유형 및 매출액 규모, (2) 민감정보 및 고유식별정보 등 처리하는 개인정보의 유형 및 규모, (3) 개인정보 처리의 법적 근거 및 방식, (4) 법 위반행위 발생 여부, (5) 아동·청소년 등 정보주체의 특성을 종합적으로 고려하여 선정

  • (평가 절차) 개인정보보호위원회는 평가 대상 개인정보처리자에게 평가 개시 10일 전까지 평가계획을 통보하고, 평가 결과를 지체 없이 개인정보처리자에게 통보

온·오프라인 규제 일원화

  • (개인정보 이용·제공 내역 통지) 전년도 말 기준 직전 3개월 간 일일 평균 기준 (1) 5만 명 이상의 정보주체에 관한 민감정보 또는 고유식별정보 처리 시, 또는 (2) 100만 명 이상의 정보주체에 관한 개인정보 처리 시 연 1회 이상 이용·제공 내역을 통지하도록 규정

  • (국내대리인 지정 대상자 범위) 국내대리인 지정 대상자 범위를 (1) 전 사업연도 전체 매출액 1조 원 이상, (2) 전년도 말 기준 직전 3개월 간 그 개인정보가 저장·관리되고 있는 국내 정보주체의 수 일일평균 100만 명 이상, 또는 (3) 자료제출을 요구 받은 자로서 국내대리인을 지정할 필요가 있다고 개인정보보호위원회가 심의·의결한 경우로 명시

  • (개인정보 유출 통지·신고) 개인정보 유출 시 그 사실을 알게 된 때부터 72시간 내에 정보주체에게 통지하도록 규정하고, (1) 1천 명 이상의 정보주체에 관한 개인정보 유출 시, (2) 민감정보 또는 고유식별정보 유출 시, 또는 (3) 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법 접근에 의한 개인정보 유출 시 72시간 내에 관계기관에 신고하도록 규정. 다만, 유출 경로가 확인되어 해당 개인정보를 회수·삭제하는 등의 조치를 통해 정보주체의 권익 침해 가능성이 현저히 낮아진 경우에는 신고 면제 가능

개인정보 분쟁조정제도

  • (조정 불응 의사 통지) 법에 따른 특별한 사유가 있어 분쟁조정에 응하지 않으려는 경우에는 분쟁조정의 통지를 받은 날부터 10일 이내에 그 사유를 명시하여 분쟁조정 불응 의사를 분쟁조정위원회에 통지하도록 규정

  • (분쟁조정 관련 조사·열람 사전고지) 분쟁조정위원회는 자료조사·열람 시 원칙적으로 그 7일 전까지 조사·열람의 목적, 기간과 장소, 범위와 내용 등 일정한 사항을 문서로 고지하도록 규정

과징금 부과 세부기준 및 절차

  • (위반행위와 관련 없는 매출액 산정 기준) (1) 개인정보의 처리와 관련이 없는 재화 또는 서비스의 매출액, 또는 (2) 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 재화 또는 서비스의 매출액이 아닌 것으로 개인정보보호위원회가 인정하는 매출액은 위반행위와 관련 없는 매출액으로서 과징금 산정 기준에서 제외될 수 있음을 명시
    ※입법예고안과 달리 (1)의 경우 “명백성” 요건이 삭제됨. (2)의 경우 개인정보처리자의 입증 자료 제출 의무가 삭제되고 개인정보보호위원회가 제출 받은 자료에 근거하여 위반행위와 관련 없는 매출액을 인정하도록 규정

  • (과징금 부과 예외사유) 위반행위를 시정하고 개인정보보호위원회가 고시하는 기준에 해당되는 경우에는 과징금을 부과하지 아니할 수 있도록 규정

  • (과징금 기준금액 산정 시 위반행위의 중대성 분류) (1) 매우 중대한 위반행위, (2) 중대한 위반행위, (3) 보통 위반행위에 더해, (4) 약한 위반행위를 추가하여, 총 네 개의 급간으로 분류

과태료 부과 세부기준 및 절차

  • (과태료 감경 또는 면제 사유 추가) 과태료 감경 또는 면제 사유로 (1) 피해 회복 및 피해 확산 방지 조치를 이행한 경우, (2) 개인정보 보호 인증 획득, 자율적인 보호 활동 등 개인정보 보호 노력이 인정되는 경우, (3) 자진신고한 경우 등을 추가

 

개인정보 보호법 개정 사항 중 시행일이 다른 ① 개인정보 전송요구권, ② 자동화된 결정에 대한 정보주체의 권리, ③ 공공기관 개인정보 보호수준 평가 등에 대한 시행령 개정안은 올해 10월부터 단계적으로 추가로 입법예고될 예정인 바, 해당 내용에 대한 시행령 개정안 입법 과정을 계속해서 살펴볼 필요가 있겠습니다.

 

[영문] State Council Adopts Amendment to PIPA Enforcement Decree

관련 이슈

#개인정보보호법 #개인정보 #프라이버시 #PIPA #Legal Update

목록

공유하기

레이어 닫기

관련 구성원

레이어 닫기

관련 구성원

레이어 닫기