개인정보보호위원회는 2023. 12. 29. ‘개인정보 보호법 및 시행령 개정사항 안내서’(이하 “안내서”) 최종본을 공개하였습니다(링크).
지난 2023. 9. 27. 공개된 안내서 초안과 비교하여, 안내서 최종본에 추가된 주요 내용은 다음과 같습니다:
개인정보 수집·이용
-
맞춤형 콘텐츠 추천 목적의 개인정보 수집·이용
|
– |
맞춤형 콘텐츠 추천이 계약의 본질적인 내용이며 해당 내용을 이용계약·약관 등에 명확히 규정하고 있고 정보주체가 충분히 알 수 있도록 조치하였다면, 계약 이행을 위해 별도의 동의 없이도 수집·이용 가능함을 명시 |
-
서면 동의 시 중요한 내용 강조표시 의무
|
– |
개인정보 처리 방법에 관한 고시 제4조 제1호에서 서면 동의 시 중요한 내용을 ‘9포인트 이상’, ‘다른 내용보다 20퍼센트 이상 크게’ 하도록 하는 규정은 삭제되었으나 글씨의 크기, 색깔, 굵기 또는 밑줄 등을 통하여 그 내용을 명확히 표시하도록 하고 있으므로, 글씨 크기를 의도적으로 작게 하는 등 정보주체를 기만하거나 알아보기 어려운 형태로 동의를 받아서는 안 된다는 점을 명시 |
영상정보처리기기 규정
-
고정형 영상정보처리기기를 통해 수집된 영상정보의 이용
|
– |
촬영된 영상정보를 저장하지 않는 경우에 한하여 통계값 또는 통계적 특성값 산출 목적의 고정형 영상정보처리기기 설치 및 운영이 가능하므로, 범죄예방 및 시설안전 등의 목적으로 설치하여 촬영한 영상정보를 일정 기간 저장하는 고정형 영상정보처리기기를 통해 수집된 영상정보를 통계작성, 과학적 연구, 공익적 기록보존 목적으로 이용하고자 하는 경우에는 해당 영상정보를 가명처리하여야 함을 명시 |
-
이동형 영상정보처리기기 관련 규정의 해석 및 촬영사실 표시 방법
|
– |
촬영 사실을 명확히 표시하였음에도 불구하고 정보주체가 촬영 거부 의사를 밝히지 아니한 경우에 이동형 영상정보처리기기를 통해 영상을 촬영할 수 있도록 한 개인정보 보호법 제25조의2 제1항 제2호는 조사, 단속 등과 같이 본질적으로 정보주체의 권리행사를 수용할 수 없는 업무에 대하여는 적용되지 않으며, 그러한 업무 수행을 위한 영상 촬영은 개인정보 보호법 제15조 제1항에 따른 개인정보 수집 및 이용에 대한 법적 근거를 갖추어야 함을 명시 |
|
– |
자율주행차, 로봇, 드론, 바디캠 등 주요 이동형 영상정보처리기기별 촬영사실 표시 방법 및 필수적인 표시내용 관련 권고사항을 제시 |
개인정보 이용·제공내역 통지
-
퇴직자에 대한 개인정보 이용·제공 내역 통지의무 면제
|
– |
개인정보 보호법 시행령 제15조의3 제2항 제2호에 따라, 개인정보처리자가 업무수행을 위해 그에 소속된 임직원의 개인정보를 처리한 경우 해당 정보주체는 통지의 대상에서 제외되는데, 비록 퇴사하였다고 하더라도 소속되었던 임직원으로서의 지위에 기반하여 경력증명서 등의 발급을 위해 퇴직 근로자의 개인정보를 보유·이용하는 경우에는 소속된 임직원에 준하여 개인정보를 처리하는 것으로 보아 통지 대상에서 제외할 수 있음을 명시 |
-
신용정보법에 따른 개인신용정보조회시스템을 구축하고 있는 경우의 통지 의무
|
– |
신용정보법 제35조에 따라 정보주체가 개인신용정보의 이용 및 제공사실을 조회할 수 있도록 개인신용정보조회시스템을 구축하여 운영하고 있는 개인신용정보에 관해서는 별도로 개인정보보호법에 따른 개인정보 이용·제공 내역 통지를 하지 않아도 되나, 개인신용정보 외의 개인정보를 처리하는 경우에는 통지가 필요함을 명시 |
개인정보의 국외 이전
-
국외 소재 제3자에 대한 개인정보 제공 시 동의 의무
|
– |
개인정보 보호법상 개인정보 제3자 제공에 대한 동의와 국외 이전에 대한 동의는 별도로 구분하여 받아야 함을 명시 |
안전성 확보 조치
-
개인정보처리시스템의 예시 구체화
|
– |
보안 솔루션, 네트워크 관리 시스템 등에서 계정 관리, 알림 통지 목적으로 임직원의 개인정보를 처리하는 경우 개인정보처리시스템에 해당한다는 점 명시 |
-
이용자와 이용자가 아닌 정보주체의 구분
|
– |
이용자는 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자이므로, (1) 정보통신서비스 제공자가 아닌 공공기관 및 오프라인 사업자가 수집·이용하는 정보주체의 개인정보 및 (2) 정보통신서비스 제공자라도 임직원이나 오프라인으로 수집하여 저장·관리하는 고객의 개인정보는 이용자가 아닌 정보주체의 개인정보에 해당함을 구체화 |
개인정보 유출 통지 및 신고
-
개인정보 유출 통지 및 신고 기한 산정
|
– |
개인정보 유출 인지 시점으로부터 공휴일 등 근무일 외의 날을 별도로 고려하지 않고(즉, 근무일 외의 날을 포함하여), 72시간 내에 개인정보 유출 통지 및 신고를 하여야 함을 명시 |
과태료 및 과징금
-
개인정보 동의 사항 고지 의무 위반 시 제재
|
– |
개인정보 동의 사항 고지 의무(개인정보 보호법 제15조 제2항, 제17조 제2항 및 제18조 제3항) 위반에 대한 과태료 규정이 삭제되었으나, 동의 사항에 대한 고지가 개인정보 보호법 제22조 및 동법 시행령 제17조를 위반하여 정보주체가 명확하게 인지할 수 있도록 알린 경우에 해당하지 않는 경우에는 동의 획득 의무(개인정보 보호법 제15조 제1항, 제17조 제1항 및 제18조 제1항 내지 제2항) 위반으로 과징금 부과 대상이 될 수 있다는 점 명시 |
유효기간제 규정 삭제
-
휴면정책 변경 시 조치
|
– |
유효기간제 규정 삭제로 개인정보 휴면정책이 변경된 경우 가입자들에게 사전 안내가 필요하며, 이 때 정책 변경사항 안내를 마케팅 또는 광고 목적으로 이용하는 것은 개인정보 보호법 및 정보통신망법에 반할 소지가 있음을 명시 |
|
– |
당초 회원가입 시 정보주체로부터 동의받은 내용과 현재의 서비스 내용 간에 변경된 사항이 있는 경우에는 변경된 사항에 추가 동의를 받아야 함을 명시 |
|
– |
개인정보 보호법상 개인정보 제3자 제공에 대한 동의와 국외 이전에 대한 동의는 별도로 구분하여 받아야 함을 명시국세기본법, 전자상거래법 등 다른 법률에 따라 개인정보를 일정기간 이상 보관하여야 하는 경우의 분리 보관 의무(개인정보 보호법 제21조 제3항)는 유효기간제와는 구분되므로 계속해서 분리 보관하여야 함을 명시 |
위 안내서 최종본은 개정 개인정보 보호법의 해석 및 집행에 관한 개인정보보호위원회의 입장을 담고 있으므로, 향후 개정 개인정보 보호법에 따라 개인정보를 처리하심에 있어 위 안내서의 내용을 주요하게 참고하실 필요가 있겠습니다.
관련 이슈
