지난 5월 18일 개인정보보호위원회는 개인정보 보호법 시행령 개정안(이하 “개정안”)을 입법예고 한다고 밝혔습니다. 개정안은 2023. 3. 14. 공포된 개인정보 보호법 개정법률(이하 “개정법률”)에 따른 후속 조치로 5월 19일부터 6월 28일까지 40일 간의 입법예고 기간 동안 의견 수렴 과정을 거쳐 확정될 것입니다. 개정안은 확정된 이후 개정법률과 마찬가지로 9월 15일부터 시행될 예정이나, 동의를 받는 방법(제17조 제1항)과 공공시스템 운영기관 안전조치 특례 신설규정(제30조의2)은 1년 후인 2024년 9월 15일부터 시행될 예정입니다. 개정안의 주요 내용은 다음과 같습니다. 

I.    주요내용

1.    동의를 받는 방법 및 추가적인 이용·제공 요건 정비

개정안은 정보주체로부터 받은 동의가 적법하기 위한 조건을 다음과 같이 구체적으로 제시하고 있습니다(제17조 제1항):

①    정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것
②    동의 내용이 구체적이고 명확할 것
③    평이하고 이해하기 쉬운 문구를 사용할 것
④    정보주체에게 동의 여부에 대한 의사를 명확하게 표시할 수 있는 방법을 제공할 것

나아가, 개정안은 개인정보의 추가적 이용·제공이 “지속적”으로 발생하는 가능한 경우에 개인정보 처리방침에 해당 내용을 공개하도록 규정하고 있습니다(제14조의2 제2항).

2.    개인정보 처리방침의 평가

개정안은 ① 개인정보처리자의 유형 및 매출액 규모, ② 민감정보 및 고유식별정보 등 처리하는 개인정보의 유형 및 규모, ③ 개인정보 처리의 근거 및 형태·방식, ④ 개인정보 보호 법령 위반행위 발생 여부, ⑤ 아동·청소년 등 정보주체의 특성을 종합적으로 고려하여 평가 대상자를 선정하도록 하고(제31조의2), 개인정보보호위원회로 하여금 개인정보 처리 근거, 정보주체의 권리 보장 등 법에서 개인정보 처리방침에 포함하도록 규정하고 있는 사항을 구체적이고 적정하게 수립하였는지 여부 등을 기준으로 개인정보 처리방침을 평가하도록 규정하고 있습니다(제31조의3). 

3.    개인정보 국외 이전 및 중지 명령

개정안은 개인정보의 국외 이전 현황 등의 점검 및 분석 등을 심의하는 국외이전전문위원회를 신설하고 있으며(제29조의9), 개인정보보호위원회가 개정법률 제28조의8 제1항 제4호 소정의 인증을 정하려는 경우에 거쳐야 하는 절차(제29조의10), 개정법률 제28조의8 제1항 제5호에 따라 개정법률에 규정된 개인정보 보호 수준과 실질적으로 동등한 수준에 있다고 판단되는 국가 및 국제기구를 인정할 때에 고려하여야 하는 사항(제29조의11) 등 개정법률에서 추가된 국외 이전 요건의 상세 사항을 규정하고 있습니다. 나아가, 개정안은 개인정보보호위원회가 국외 이전의 중지 명령을 내릴 때 고려하여야 하는 사항(제29조의12), 절차 등과 국외 이전 중지명령에 대한 이의제기 절차를 규정하고 있습니다(제29조의13).

4.    고정형 영상정보처리기기 운영 개선

개정안은 촬영된 영상정보를 저장하지 않는 경우에는 출입자 수 등 통계값 산출을 위해 필요한 경우, 성별, 연령대 등 통계적 특성값을 도출하기 위해 필요한 경우 등의 목적으로 고정형 영상정보처리기기를 운영할 수 있도록 규정하고 있습니다(제22조 제1항).

5.    이동형 영상정보처리기기 운영 제한 예외

개정안은 인명의 구조·구급 등을 위하여 필요한 경우에는 “범죄, 재난, 화재 또는 이에 준하는 상황”에서 이동형 영상정보처리기기를 운영할 수 있도록 하고, 드론에 의한 항공촬영 등 촬영 방법의 특성으로 인해 촬영 사실을 알리기 어려운 경우에는 홈페이지 공지 등으로 알릴 수 있도록 하였습니다(제27조의2, 제27조의3).

6.    과징금 부과기준

개정안은 과징금 산정 시 매출액이 없거나 매출액의 산정이 곤란한 경우에 “수익사업을 영위하지 아니하여 매출액이 없거나 객관적인 매출액의 산정이 곤란한 경우”를 추가하였고 위반행위와 관련이 없는 매출액의 범위를 “명백히 개인정보의 처리와 관련이 없는 재화 또는 서비스의 매출액 등”으로 구체화하였습니다(제60조의2 제2항). 나아가, 위반행위의 중대성 정도에 따라 과징금 산정 부과기준율을 차등적으로 산정하는 등 과징금 산정기준과 산정절차를 구체화하였습니다(별표 1의5)

7.    개인정보 유출등의 통지·신고

기존에는 개인정보가 유출이 된 경우 개인정보처리자와 정보통신서비스 제공자등에게 적용되는 통지·신고 기준이 달랐으나, 개정안은 모든 개인정보처리자에 대하여 유출 사실을 알게 되었을 때에는 정당한 사유가 없는 한 서면등의 방법으로 72시간 이내에 정보주체에게 유출 사실 등을 알리도록 하면서(제39조 제1항), ① 1천명 이상의 정보주체에 관한 개인정보가 유출등이 된 경우, ② 민감정보, 고유식별정보가 유출등이 된 경우, ③ 외부로부터의 불법적인 접근에 의해 개인정보가 유출등이 된 경우 72시간 이내에 보호위원회·전문기관에 신고하도록 하여(제40조 제1항), 모든 개인정보처리자에게 개인정보 유출등의 통지·신고 기준을 동일하게 적용하고 있습니다.

8.    개인정보 수집 출처 통지와 이용·제공 내역 통지 기준 정비

개정안은 개인정보 수집 출처 등 통지와 개인정보 이용·제공 내역 통지의 의무 대상자를 ① 5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 자, ② 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자로 통일하고 통지방법에 문자전송, 알림창 등을 추가하여 현재 실무 관행을 반영하도록 하였습니다(제15조의2, 제15조의3).

9.    기타

1)    아동의 개인정보 보호
개정안은 일반 개인정보처리자에게 적용되는 규정(종전 시행령 제17조 제4항)과 정보통신서비스 제공자등에게 적용되는 특례 규정(종전 시행령 제48의3)으로 분산되어 있는 아동의 개인정보 보호 관련 규정을 일반규정으로 통합하여 정비하였습니다(제17조의2).

2)    개인정보의 안전성 확보 조치
개정안은 일반 개인정보처리자에게 적용되는 규정(종전 시행령 제30조)과 정보통신서비스 제공자등에게 적용되는 특례 규정(종전 시행령 제48조의2)으로 이원화되어 있던 안전조치 규정을 통합하여 모든 개인정보처리자에게 동일한 기준이 적용될 수 있도록 정비하였고, 특정 기술을 채택하여야 하는 것으로 오인될 수 있는 용어를 삭제하여 기술중립성 원칙을 반영하였습니다(제30조).

3)    국내대리인의 지정
개정안은 국내대리인 지정 대상자의 범위에서 정보통신서비스 부문 매출액 기준을 삭제하고, “이용자 수”를 “국내 정보주체의 수”로 변경하는 등 일반 개인정보처리자도 국내대리인 지정 대상자의 범위에 포함됨을 명확히 하였습니다(제32조의2).

4)    1년 이상 미이용 이용자 정보 분리보관 또는 파기 의무 삭제
개정안은 정보통신서비스 제공자등이 이용자가 정보통신서비스를 일정 기간 동안 이용하지 않는 경우에 해당 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장·관리하여야 하는 의무를 삭제하였습니다(제48조의5).

5)    개인정보 분쟁조정제도 개선
개정안은 분쟁조정 전문위원회의 구성, 분쟁조정의 통지 방법, 분쟁조정 사실조사 원칙 및 절차, 분쟁조정위원회의 조정안 제시 및 통지 방법 등 세부 절차를 규정하고 있습니다(제49조의2, 제51조의2 내지 제51조의5).

6)    결과의 공표 및 공표명령
개정법률은 개선권고, 시정조치 명령, 고발 또는 징계권고 및 과태료 부과의 내용 및 결과에 대하여 공표할 것을 명할 수 있도록 하는 공표명령 제도를 정하고 있고(개정법률 제66조 제2항), 개정안은 공표명령의 기준 및 절차 등 세부적인 사항을 규정하고 있습니다(제61조 제2항 내지 제4항).

7)    과태료 규정 정비
개정법률이 과태료 면제를 허용함에 따라(개정법률 제75조 제5항), 개정안은 과태료 부과기준에 “과태료 금액을 줄이거나 면제할” 수 있음을 명시하고, 위반횟수에 따른 과태료 금액을 정비하였습니다(별표 2).

II.    시사점

1.    개인정보 처리 근거 관련

개정안은 동의를 받는 방법을 구체화하고 있습니다. 개정법률은 개인정보 처리의 근거 중 하나로 정보주체와의 계약의 체결 및 이행을 위해 “불가피하게 필요한 경우”를 삭제하고 그 요건을 합리적으로 개선하였습니다(개정법률 제15조 제1항 제4호). 이에 따라, 필수동의를 포함한 동의를 받는 방법에 대한 전반적인 재검토가 필요할 수 있습니다. 나아가, 개정안에서는 동의의 적법 요건에 관하여 “정보주체의 자유로운 의사에 따른 동의 여부를 결정할 수 있을 것”을 규정함으로써 동의는 본질적으로 자율적이고, 선택적이라는 점을 명확히 하였습니다. 

특히, 개정법률은 개인정보처리자는 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하여야 합니다(개정법률 제22조 제3항). 관련하여, 개정안은 개인정보 처리근거를 개인정보 처리방침의 평가 기준의 하나로 규정하고 있습니다(제31조의3 제1항 제1호). 그렇다면, 개정법률, 개정안의 내용에 비추어 볼 때 개인정보처리자는 동의의 적법요건, 개인정보 처리방침의 공개 등을 종합적으로 고려하여 개인정보 처리의 적법한 근거를 마련해야 할 것으로 생각됩니다.

한편, 종전 시행령의 경우 시행령 제14조의2 제1항에 따른 개인정보의 추가적인 이용 또는 제공의 경우 모두 개인정보 처리방침에 “미리 공개”하도록 하였었는데, 개정안은 추가적인 이용 또는 제공이 “지속적으로” 발생하는 경우에 개인정보 처리방침에 공개하도록 하여 개인정보의 추가적인 이용 또는 제공 요건을 일부 완화하였습니다. 

2.    국외 이전 관련 

개정안은 국외이전전문위원회를 별도로 신설하여 ① 개인정보의 국외 이전 정책 자문 및 제도 개선에 관한 사항, ② 개인정보의 국외 이전 현황 등의 점검 및 분석, ③ 개정안에서 국외이전전문위원회의 심의가 필요하다고 정한 사항, ④ 그 밖에 개인정보의 국외 이전과 관련하여 개인정보보호위원회가 심의를 요청한 사항을 심의하고, 필요한 경우 의견을 개인정보보호위원회에 제출할 수 있도록 하고 있습니다(제29조의9 제2항). 개정안은 국외 이전 중지 명령을 내릴 때에는 반드시 국외이전전문위원회의 심의를 거치도록 하였습니다(제29조의12 제2항). 향후 국외이전전문위원회를 통한 인증, 인정, 중지명령에 관한 다양한 논의가 진행될 것으로 보입니다. 

3.    고정형 영상정보처리기기 관련

기존 규제샌드박스 실증특례를 통해 제한적으로 허용되어 왔던 고정형 영상정보처리기기 운영 방식이 일반적으로 허용되게 된다는 점을 주목할 필요가 있습니다. 개정안이 시행되면 모든 고정형 영상정보처리기기 운영 사업자는 촬영된 영상정보를 저장하지 않는 경우, 통계 산출 목적으로 고정형 영상정보처리기기를 운영할 수 있게 됩니다(제22조 제1항). 이에 따라 실생활에서 통계산출 목적의 다양한 고정형 영상정보처리기기가 활성화될 수 있어 보입니다.  

4.    과징금 부과기준

개정안의 과징금 산정기준은 법 시행일 이후 위반행위에 대하여 모든 개인정보처리자 및 개인정보 처리업무를 위탁받은 수탁자에게 적용될 예정이므로 수탁자의 개인정보 처리에 상당한 주의가 필요해 보입니다.  나아가, 개정안이 시행되면, 중대하고 의도적인 위반행위에 대하여는 엄중한 과징금이 부과되는 반면에, 경미한 위반행위에 대하여는 과징금에 면제된다는 점도 유의할 필요가 있습니다. 

5.    온ㆍ오프라인의 동일 기준 적용

1)    유효기간제 폐지
개정안은 정보주체가 1년 이상 장기로 서비스를 이용하지 않은 경우 파기하거나 별도로 분리하여 저장하도록 한 이른바 ‘유효기간제’ 규정(영 제48조의5)을 삭제하여 개인정보 파기의 일반원칙이 적용되도록 하였습니다.

2)    유출 등의 통지 통합
개정안에서는 모든 개인정보처리자는 72시간 이내에 정보주체에게 유출 사실 등을 알려야 하며(제39조 제1항), 유출된 개인정보가 민감정보 또는 고유식별정보인 경우, 해킹 등 외부로부터 불법적인 접근에 의한 유출인 경우, 1천명 이상인 경우에는 정당한 사유가 없는 한 ‘72시간’ 이내에 개인정보보호위원회(또는 한국인터넷진흥원)에 신고하여야 합니다(제40조 제1항). 기존 정보통신서비스 제공자등의 24시간의 통지·신고 기한이 실무적으로 과도한 부담이었으므로 합리적인 기준으로 보여집니다. 

3)    수집출처, 이용내역 통지 통합
제3자로부터 개인정보를 수집하여 그 출처를 통지해야 하는 경우와 개인정보 이용·제공 내역을 통지해야 하는 경우의 통지 의무 대상자가 중복되지 않도록 대상자 범위를 수집 출처 통지 기준과 동일하게 규정하였습니다(제15조의2, 제15조의3)