2023년 「개인정보 보호법」 전면 개정, 어떤 점이 달라졌나

- 「개인정보 보호법」 개정 안내서 최종 공개

  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 2023년 3월 「개인정보 보호법」을 전면 개정하여 공포한 이후 시행령·고시 등 후속 개정이 마무리됨에 따라 개정사항을 상세히 설명한 ‘개인정보 보호법 및 시행령 개정 안내서’를 마련해 공개*했다고 밝혔다.

  * 개인정보위 누리집(pipc.go.kr/공지사항), 개인정보 포털(privacy.go.kr/지침자료)

  안내서는 지난 9월 공개한 초안을 바탕으로 업종별 현장 설명회*를 통해 제기된 의견과 개정이 마무리된 고시·지침 등의 내용을 반영해 최종 확정되었다. 안내서에 수록된 주요 내용은 다음과 같다.

  * 민간·공공분야 설명회(9.13, 9.14.), 소상공인·전문수탁사 설명회(9.21.), 종합 설명회(12.11.) 등

  첫째, 국민의 권익 보호가 보다 실질적으로 이루어질 수 있도록 국민의 생명·신체 등 보호를 위해 명백히 필요한 경우에는 관계기관에 개인정보 제공이 가능하도록 법 체계를 정비하였고, 국민이 개인정보 분쟁조정을 신청한 경우 모든 개인정보처리자가 참여하도록 의무화하였다.

 ※ 체감사례

 ① 국민이 생명·신체 등 위험에 처하여 명백히 구조가 필요한 상황인 경우에는 구조기관 등에 개인정보를 제공하여 골든타임 내 조치가 가능하도록 함

     ② 개정 전에는 공공기관만 분쟁조정 참여 의무 대상이라 민간기업 대상으로 분쟁조정을 신청해도 참여하지 않는 경우가 많았는데, 이제는 민간기업도 의무적으로 참여하도록 하여 개인정보 침해로 인한 분쟁조정을 받을 수 있게 됨

  둘째, 폐쇄회로 텔레비전(CCTV)와 같은 고정형 영상정보처리기기와 드론·자율주행차 등 이동형 영상정보처리기기에 대한 운영 기준을 마련하여 합리적인 목적 범위 내에서의 영상정보의 촬영이 가능하도록 하였다.

   ※ 체감사례

     ① 공개된 매장 내에서 방문객 수 집계 등 통계를 목적으로 CCTV를 설치하여 촬영된 영상을 저장하지 않고 일시적으로 처리하는 것이 가능해짐

     ② 시설에 대한 정당한 권한을 가진 소유자 또는 관리자는 주차장 이용 요금징수 등과 같은 정상적인 시설 관리를 목적으로 CCTV를 설치하여 운영할 수 있도록 명확히 함

     ③ 자율주행차, 배달로봇, 드론 등 유·무인 이동체가 촬영사실을 명확히 표시하여 정보주체가 알 수 있도록 한 경우에는 주행 경로상의 영상을 촬영하여 장애물 파악 및 회피 등을 위해 활용할 수 있게 됨

  셋째, 온-오프라인으로 이원화된 규정들은 ‘동일행위 동일규제 원칙’에 따라 모든 개인정보처리자에게 동일한 기준을 적용하도록 하였다.

   ※ 체감사례

     ① 온라인과 오프라인 서비스를 함께 하는 경우 안전조치 등 서로 다른 규정의 적용을 받아 시스템 별도 구축 등이 필요했으나, 법 개정으로 규정이 일원화되어 법 준수 비용이 낮아지고 정보주체의 권리도 효과적으로 보호할 수 있게 됨

     ② 1년 동안 온라인 서비스를 이용하지 않은 이용자의 개인정보를 파기하거나 별도 분리 보관하도록 한 유효기간제를 폐지하고 상황에 맞게 자율적 휴면정책을 운영하도록 함

     ③ 개인정보 수집 출처 통지와 이용·제공 내역 통지를 함께 할 수 있도록 함

     ④ 모든 개인정보처리자는 개인정보가 유출되었음을 알게 된 경우 공휴일 여부와 관계없이 72시간 내에 정보주체에게 통지하고 개인정보위(privacy.go.kr)에 신고하도록 함

  넷째, 국민의 개인정보가 대규모로 관리되고 있는 주요 공공시스템 운영기관에 대하여 안전성 확보 조치를 강화하였고, 개인정보를 사적인 목적으로 이용한 경우에는 형벌을 부과할 수 있도록 하였다.

   ※ 체감사례

     ① n번방 사건, 송파 살인사건, 신당동 살인사건 등 공공부문에서의 개인정보 유출로 인한 피해를 막기 위해 공공시스템별 관리책임자 지정, 개인정보취급자 계정 관리의무 강화, 공공시스템 접속기록 저장·분석 및 점검 강화, 정당한 권한 없이 개인정보에 접근한 사실이 확인되는 경우 정보주체에게 통지 등 공공시스템에 대한 안전조치를 강화함

     ② 업무 수행 과정에서 알게 된 연락처 등 개인정보를 사적으로 이용한 자에 대하여 5년 이하의 징역 또는 5천만 원 이하의 벌금에 해당하는 형벌에 처할 수 있게 됨

  다섯째, 의도적·반복적 위반행위에 대하여는 엄중한 제재를, 단순 과실이나 정보주체에게 피해 가능성이 없는 경미한 위반행위에 대하여는 면제까지 가능하도록 과징금·과태료 등 제재규정을 개편하였다.

   ※ 체감사례

     ① 과징금은 위반행위의 정도에 따라 ‘전체 매출액의 3%’부터 ‘면제’까지 가능하고, 동일한 위반행위에 대하여는 과징금을 부과한 경우 과태료를 부과할 수 없도록 함

     ② ‘온라인 사업자의 수집·이용 동의·파기의무 위반‘, ‘개인정보처리자의 안전조치 위반 관련 개인정보 유출’에 대한 형벌을 삭제하는 대신 과징금 등 경제적 제재를 강화함

  한편, 개인정보위는 「개인정보 보호법」 개정사항 중 내년 3월 15일 시행 예정인 자동화된 결정에 대한 정보주체의 권리 등의 규정*에 대하여도 시행령 개정 일정에 맞추어 별도의 안내서를 마련하여 공개할 계획이다.

  * 자동화된 결정에 대한 정보주체의 권리, 개인정보 보호책임자의 자격요건, 손해배상책임 보험 등 가입대상자 기준, 공공기관 개인정보 보호수준 평가, 개인정보 처리방침의 내용 및 공개방법, 고유식별정보 관리실태 정기조사 등

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 개인정보보호정책과 임종철(02-2100-3055), 정승인(02-2100-3057), 김다혜(02-2100-3047)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”