게시일 : 2023. 05. 18.
「개인정보 보호법 시행령」 개정안 입법예고
개인정보보호 위원회 보도자료에 게시된 내용으로 2023. 09. 15. 시행될 시행령 개정안에 대한 내용입니다.
(출처 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=8868)
입법예고 기간은 5/19(금)~6/28(수)까지 입니다.
주요 개정 사항은 다음과 같습니다.
【 동의받을 때 국민의 실질적 선택이 가능하도록 개선 】
첫째, 정보주체인 국민이 스스로 자신의 개인정보에 대한 권리를 실질적으로 행사할 수 있도록 동의의 원칙을 구체화하고, 개인정보처리방침 평가제를 통해 개인정보처리방침을 단계적으로 개선할 수 있는 기반을 마련하였다.
동의를 받으려면 ‘정보주체의 자유로운 의사’에 따르도록 하는 등 동의 원칙을 구체화하고, 정보주체가 동의 여부를 선택할 수 있다는 사실을 구분하여 표시하도록 하였다.
또한, 개인정보처리자의 유형, 개인정보 처리 형태 등을 고려하여 개인정보처리방침 평가 대상자를 선정한 후, 동의 등 처리 근거가 적정한지, 개인정보처리방침을 이해하기 쉽게 수립하여 공개하고 있는지 등을 평가하여 개선할 수 있도록 구체화하였다.
【 온라인과 오프라인 구분 없이 동일한 기준 적용 : 규제 정비 】
둘째, 온라인과 오프라인으로 구분하여 달리 규율해 온 이원화된 규제를 디지털 사회에 맞는 규제로 일원화하고, 드론·자율주행차 등 이동형 영상정보처리기기가 보편화되는 환경에 맞추어 운영기준을 정비하였다.
정보주체가 아닌 제3자로부터 개인정보를 수집하여 출처를 통지해야 하는 경우(수집 출처 통지)와 개인정보 이용·제공 내역을 통지해야 하는 경우(이용내역 통지)의 통지의무 대상자의 범위를 수집 출처 통지 기준에 맞추어 정비하고 통지도 함께 할 수 있도록 개선하였다.
개인정보의 안전조치 기준이 온라인과 오프라인으로 구분되어 있는 문제를 해소하기 위해 온라인 기준을 중심으로 통합하고, 안전조치를 위한 다양한 기술이 도입될 수 있도록 특정 기술을 채택해야 하는 것으로 오인될 수 있는 용어를 삭제*하는 등 관련 규정을 기술 중립적으로 정비하였다.
* (예) 백신, 보안서버 등 용어 삭제, 저장·전송 시 암호화 외에 암호화에 상응하는 조치 추가 등
정보주체가 정보통신서비스(온라인)를 1년 이상 이용하지 않은 경우 파기하거나 별도 분리하여 저장하도록 한 규정(유효기간제)을 삭제하고, 파기의 일반원칙에 따라 목적이 달성되었거나 보유기간이 종료되면 지체없이 파기하도록 하였다.
※ (예) 코로나19 상황에서 해외 여행이 제한되어 면세점 홈페이지 서비스 이용이 1년 동안 없어서 파기 등의 조치를 하는 경우 이용자와 기업 모두 불편 발생
과징금이 위반행위에 비례하여 산정되도록, 중대하고 의도적인 위반행위에 대하여는 엄중한 과징금을, 경미한 위반행위에 대하여는 면제까지 가능하도록 산정기준을 개편하였다.
과징금 산정을 위한 기준이 되는 금액(기준금액)을 결정하는 비율(부과기준율)을 결정할 때, 위반행위의 중대성 정도*에 따라 현행 3구간-단일 비율 방식에서 4구간-구간 내 차등 비율 방식으로 전환하였다. 이번 개정안의 산정기준은 법 시행일 이후 위반행위에 대하여 모든 개인정보처리자와 개인정보 처리업무를 위탁받은 수탁자까지 확대하여 적용될 예정이다.
* 위반행위의 중대성 판단 기준 : 1. 위반행위의 내용 및 정도, 2. 개인정보의 유형과 정보주체에게 미치는 영향, 3. 정보주체의 피해 규모 등을 종합적으로 고려
개인정보가 유출되었다는 사실을 알게 된 경우 유출된 개인정보가 민감정보 또는 고유식별정보인 경우, 해킹 등 외부로부터 불법적인 접근에 의한 유출인 경우, 1천명 이상인 경우에는 정당한 사유가 없는 한 72시간 이내에 개인정보위(또는 한국인터넷진흥원)에 신고하도록 하였다.
※ 정보주체에 대한 통지는 유출규모와 무관하게 정당한 사유가 없는 한 72시간 이내에 이행
그동안 규제샌드박스 실증특례를 통해 제한적으로 운영해 온 사항을 입법화하기 위하여 영상 촬영 후 별도로 저장하지 않는 경우로서 통계 목적으로 운영하는 때에는 고정형 영상정보처리기기(CCTV 등) 설치·운영이 가능하도록 하였다.
더불어, 국민의 생명 등을 보호하기 위하여 범죄·재난·화재 등의 상황에서 인명의 구조·구급 등을 위해 영상 촬영이 필요한 경우에는 이동형 영상정보처리기기(드론, 자율주행차 등)를 통해 촬영할 수 있음을 명확히 하였다.
【 공공분야 개인정보 처리의 안전성 강화 】
셋째, 그동안 공공부문에서 계속되어 온 개인정보 침해사고를 근절하기 위하여 대규모 공공시스템을 운영하는 공공기관에 대한 안전조치 의무를 강화하고 개인정보파일 등록, 개인정보 영향평가 등 제도를 보완하였다.
공공시스템의 개인정보 유출로 인한 국민의 2차 피해*를 막기 위하여 마련한 「공공부문 개인정보 유출 방지대책」(’22.7.14. 관계부처 합동)에 따라 공공시스템 운영기관에 대한 안전조치 특례를 신설하였다.
* n번방 사건(’19년), 송파 살인사건(‘21.12월), 신당동 역무원 살인사건(‘22.9월) 등
(이하 생략)....
========================================================================================================
게시일 : 2023. 03. 07.
「개인정보 보호법」 개정안
이번 「개인정보 보호법」 개정은 전 세계적인 디지털 대전환의 추세에 따라 ▲데이터 경제 견인, ▲ 국민 개인정보 신뢰 사회 구현,
▲ 글로벌 스탠다드에 부합하는 개인정보 규범 선도 등을 위해 시급히 필요한 내용을 포함하고 있습니다.
또한, 법 제정 이후 처음으로 학계·법조계·산업계·시민단체 등과 2년여의 협의를 거쳐 실질적인 전면 개정이라는 의미가 있습니다.
업무에 참고하시기 바랍니다.
- 공포: 3월 14일
- 시행: 9월 15일
「개인정보 보호법」 개정 주요 내용
개인정보 전송요구권
정보주체가 자신의 개인정보를 본인 또는 제3자에게 전송을 요구할 수 있는 전송요구권 신설
| ▶개인정보 전송요구권
(정보주체인 국민은 일정규모 이상의 개인정보처리자에 대하여 자신의 개인정보를 ①본인, ②다른 개인정보처리자, ③개인정보관리 전문기관에 전송해 줄 것을 요구)
|
이동형 영상정보처리기기
자율주행차, 드론, 배달로봇 등 이동형 기기의 영상정보 수집 운영 기준 마련
| ▶원칙
(공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용하여 개인영상정보 촬영 제한)
▶예외
(개인정보 수집·이용 사유에 해당 또는 정보주체가 촬영 사실을 알 수 있었으나 거부의사를 밝히지 않은 경우 촬영 허용)
▶표시
(촬영 시 불빛, 소리, 안내판 등으로 촬영 사실 표시)
|
온·오프라인 규제
일반규정과 특례규정 일원화를 통해 '동일행위·동일규제' 원칙 적용
| ▶중복규정 통합
(일반규정과 유사·중복되는 특례규정을 일반규정으로 통합)
▶특례적용 확대
(손해배상 보장, 국내대리인 지정, 이용내역 통지 등 일반규정으로 전환)
▶불필요한 특례 삭제
(유효기간 경과 시 파기 또는 별도 보관 의무 삭제, 방송사업자 준용 규정 등 삭제)
|
개인정보 처리요건
필수 동의 관행 개선 및 공중위생 등 처리에 대한 안전조치 강화
(제15조, 제17조, 제18조, 제22조)
| ▶(제39조의3 '정보통신서비스 제공자의 필수 동의 규정' 삭제 및 제15조 일반규정으로 통합)
▶("불가피하게" 문구 삭제 및 개인정보처리자의 동의 없는 수집·이용에 대한 입증 책임 부담)
▶("공중위생, 공공의 안전을 위해 긴급히 필요한 경우" 추가)
▶("사전 동의를 받을 수 없는 경우" 삭제)
|
개인정보 처리방침 평가제
개인정보 처리방침 적정성 평가, 알기 쉬운 작성 여부 등을 평가하여 개선권고가 가능하도록 개선
| ▶제30조의2
(개인정보 처리방침의 적정성 여부, 알기 쉽게 작성하였는지 여부, 쉽게 확인할 수 있는지 등을 평가하여 개선권고 가능) |
자동화된 결정 대응권
AI를 활용한 면접, 기초수급 대상자 선정 등 자동화된 결정이 정보주체의 권리·의무에 영향을 미치는 경우 거부 및 설명 등 요구권 신설
| ▶제37조의2
(정보주체의 권리 또는 의무에 중대한 영향을 미치는 자동화된 결정에 대한 거부 및 설명을 요구할 권리 및 예외, 의무 사항 규정) |
개인정보 분쟁조정
분쟁조정 의무 참여 대상을 모든 개인 정보처리자로 확대 및 사실조사 근거 마련
| ▶제43조
(분쟁조정 요청 시, 모든 개인정보처리자의 참여 의무)
▶제45조
(현장출입 및 자료조사 등 사실조사에 대한 법적 근거)
▶ 제47조
(당사자가 조정안에 대한 '수락' 여부를 알리지 않을 경우 '수락'으로 간주)
|
사적 목적 이용 금지
금지행위 규정에 정당한 권한 없이 허용된 권한을 초과하여 타인의 개인정보를 '이용'하는 행위 추가
| ▶제59조 3호
('정당한 권한 없이 허용된 권한을 초과하여 타인의 개인정보를 이용하는 행위' 금지) |
국외이전 요건 다양화 및 중지 명령권
동의 외의 국외이전 요건 마련 및 국외이전 중지명령권 신설
| ▶제28조의8
(개인정보보호 인증을 받은 경우, 이전되는 국가 또는 국제기구의 개인정보 보호 수준이 보장된다고 인정되는 경우 등 요건 다양화) |
과징금·벌칙 규정
과도한 형벌규정을 경제제재 중심으로 전환하는 대신, 과징금 상한 및 대상 확대
| ▶제64조의2 신설
(과징금 규정 통합 정비)
▶상한액 '전체 매출액' 3% 이하 |
자세한 내용은 첨부된 파일 '230308(조간) 개인정보 보호법 전면개정, 데이터 신경제 시대 열린다(개인정보보호정책과)FN.pdf'를 참고해주시길 바라겠습니다.
출처 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?mCode=C020010000
게시일 : 2023. 05. 18.
「개인정보 보호법 시행령」 개정안 입법예고
개인정보보호 위원회 보도자료에 게시된 내용으로 2023. 09. 15. 시행될 시행령 개정안에 대한 내용입니다.
(출처 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=8868)
입법예고 기간은 5/19(금)~6/28(수)까지 입니다.
주요 개정 사항은 다음과 같습니다.
【 동의받을 때 국민의 실질적 선택이 가능하도록 개선 】
첫째, 정보주체인 국민이 스스로 자신의 개인정보에 대한 권리를 실질적으로 행사할 수 있도록 동의의 원칙을 구체화하고, 개인정보처리방침 평가제를 통해 개인정보처리방침을 단계적으로 개선할 수 있는 기반을 마련하였다.
동의를 받으려면 ‘정보주체의 자유로운 의사’에 따르도록 하는 등 동의 원칙을 구체화하고, 정보주체가 동의 여부를 선택할 수 있다는 사실을 구분하여 표시하도록 하였다.
또한, 개인정보처리자의 유형, 개인정보 처리 형태 등을 고려하여 개인정보처리방침 평가 대상자를 선정한 후, 동의 등 처리 근거가 적정한지, 개인정보처리방침을 이해하기 쉽게 수립하여 공개하고 있는지 등을 평가하여 개선할 수 있도록 구체화하였다.
【 온라인과 오프라인 구분 없이 동일한 기준 적용 : 규제 정비 】
둘째, 온라인과 오프라인으로 구분하여 달리 규율해 온 이원화된 규제를 디지털 사회에 맞는 규제로 일원화하고, 드론·자율주행차 등 이동형 영상정보처리기기가 보편화되는 환경에 맞추어 운영기준을 정비하였다.
정보주체가 아닌 제3자로부터 개인정보를 수집하여 출처를 통지해야 하는 경우(수집 출처 통지)와 개인정보 이용·제공 내역을 통지해야 하는 경우(이용내역 통지)의 통지의무 대상자의 범위를 수집 출처 통지 기준에 맞추어 정비하고 통지도 함께 할 수 있도록 개선하였다.
개인정보의 안전조치 기준이 온라인과 오프라인으로 구분되어 있는 문제를 해소하기 위해 온라인 기준을 중심으로 통합하고, 안전조치를 위한 다양한 기술이 도입될 수 있도록 특정 기술을 채택해야 하는 것으로 오인될 수 있는 용어를 삭제*하는 등 관련 규정을 기술 중립적으로 정비하였다.
* (예) 백신, 보안서버 등 용어 삭제, 저장·전송 시 암호화 외에 암호화에 상응하는 조치 추가 등
정보주체가 정보통신서비스(온라인)를 1년 이상 이용하지 않은 경우 파기하거나 별도 분리하여 저장하도록 한 규정(유효기간제)을 삭제하고, 파기의 일반원칙에 따라 목적이 달성되었거나 보유기간이 종료되면 지체없이 파기하도록 하였다.
※ (예) 코로나19 상황에서 해외 여행이 제한되어 면세점 홈페이지 서비스 이용이 1년 동안 없어서 파기 등의 조치를 하는 경우 이용자와 기업 모두 불편 발생
과징금이 위반행위에 비례하여 산정되도록, 중대하고 의도적인 위반행위에 대하여는 엄중한 과징금을, 경미한 위반행위에 대하여는 면제까지 가능하도록 산정기준을 개편하였다.
과징금 산정을 위한 기준이 되는 금액(기준금액)을 결정하는 비율(부과기준율)을 결정할 때, 위반행위의 중대성 정도*에 따라 현행 3구간-단일 비율 방식에서 4구간-구간 내 차등 비율 방식으로 전환하였다. 이번 개정안의 산정기준은 법 시행일 이후 위반행위에 대하여 모든 개인정보처리자와 개인정보 처리업무를 위탁받은 수탁자까지 확대하여 적용될 예정이다.
* 위반행위의 중대성 판단 기준 : 1. 위반행위의 내용 및 정도, 2. 개인정보의 유형과 정보주체에게 미치는 영향, 3. 정보주체의 피해 규모 등을 종합적으로 고려
개인정보가 유출되었다는 사실을 알게 된 경우 유출된 개인정보가 민감정보 또는 고유식별정보인 경우, 해킹 등 외부로부터 불법적인 접근에 의한 유출인 경우, 1천명 이상인 경우에는 정당한 사유가 없는 한 72시간 이내에 개인정보위(또는 한국인터넷진흥원)에 신고하도록 하였다.
※ 정보주체에 대한 통지는 유출규모와 무관하게 정당한 사유가 없는 한 72시간 이내에 이행
그동안 규제샌드박스 실증특례를 통해 제한적으로 운영해 온 사항을 입법화하기 위하여 영상 촬영 후 별도로 저장하지 않는 경우로서 통계 목적으로 운영하는 때에는 고정형 영상정보처리기기(CCTV 등) 설치·운영이 가능하도록 하였다.
더불어, 국민의 생명 등을 보호하기 위하여 범죄·재난·화재 등의 상황에서 인명의 구조·구급 등을 위해 영상 촬영이 필요한 경우에는 이동형 영상정보처리기기(드론, 자율주행차 등)를 통해 촬영할 수 있음을 명확히 하였다.
【 공공분야 개인정보 처리의 안전성 강화 】
셋째, 그동안 공공부문에서 계속되어 온 개인정보 침해사고를 근절하기 위하여 대규모 공공시스템을 운영하는 공공기관에 대한 안전조치 의무를 강화하고 개인정보파일 등록, 개인정보 영향평가 등 제도를 보완하였다.
공공시스템의 개인정보 유출로 인한 국민의 2차 피해*를 막기 위하여 마련한 「공공부문 개인정보 유출 방지대책」(’22.7.14. 관계부처 합동)에 따라 공공시스템 운영기관에 대한 안전조치 특례를 신설하였다.
* n번방 사건(’19년), 송파 살인사건(‘21.12월), 신당동 역무원 살인사건(‘22.9월) 등
(이하 생략)....
========================================================================================================
게시일 : 2023. 03. 07.
「개인정보 보호법」 개정안
이번 「개인정보 보호법」 개정은 전 세계적인 디지털 대전환의 추세에 따라 ▲데이터 경제 견인, ▲ 국민 개인정보 신뢰 사회 구현,
▲ 글로벌 스탠다드에 부합하는 개인정보 규범 선도 등을 위해 시급히 필요한 내용을 포함하고 있습니다.
또한, 법 제정 이후 처음으로 학계·법조계·산업계·시민단체 등과 2년여의 협의를 거쳐 실질적인 전면 개정이라는 의미가 있습니다.
업무에 참고하시기 바랍니다.
- 공포: 3월 14일
- 시행: 9월 15일
「개인정보 보호법」 개정 주요 내용
정보주체가 자신의 개인정보를 본인 또는 제3자에게 전송을 요구할 수 있는 전송요구권 신설
(정보주체인 국민은 일정규모 이상의 개인정보처리자에 대하여 자신의 개인정보를 ①본인, ②다른 개인정보처리자, ③개인정보관리 전문기관에 전송해 줄 것을 요구)
자율주행차, 드론, 배달로봇 등 이동형 기기의 영상정보 수집 운영 기준 마련
(공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용하여 개인영상정보 촬영 제한)
▶예외
(개인정보 수집·이용 사유에 해당 또는 정보주체가 촬영 사실을 알 수 있었으나 거부의사를 밝히지 않은 경우 촬영 허용)
▶표시
(촬영 시 불빛, 소리, 안내판 등으로 촬영 사실 표시)
일반규정과 특례규정 일원화를 통해 '동일행위·동일규제' 원칙 적용
(일반규정과 유사·중복되는 특례규정을 일반규정으로 통합)
▶특례적용 확대
(손해배상 보장, 국내대리인 지정, 이용내역 통지 등 일반규정으로 전환)
▶불필요한 특례 삭제
(유효기간 경과 시 파기 또는 별도 보관 의무 삭제, 방송사업자 준용 규정 등 삭제)
필수 동의 관행 개선 및 공중위생 등 처리에 대한 안전조치 강화
(제15조, 제17조, 제18조, 제22조)
▶("불가피하게" 문구 삭제 및 개인정보처리자의 동의 없는 수집·이용에 대한 입증 책임 부담)
▶("공중위생, 공공의 안전을 위해 긴급히 필요한 경우" 추가)
▶("사전 동의를 받을 수 없는 경우" 삭제)
개인정보 처리방침 적정성 평가, 알기 쉬운 작성 여부 등을 평가하여 개선권고가 가능하도록 개선
(개인정보 처리방침의 적정성 여부, 알기 쉽게 작성하였는지 여부, 쉽게 확인할 수 있는지 등을 평가하여 개선권고 가능)
AI를 활용한 면접, 기초수급 대상자 선정 등 자동화된 결정이 정보주체의 권리·의무에 영향을 미치는 경우 거부 및 설명 등 요구권 신설
(정보주체의 권리 또는 의무에 중대한 영향을 미치는 자동화된 결정에 대한 거부 및 설명을 요구할 권리 및 예외, 의무 사항 규정)
분쟁조정 의무 참여 대상을 모든 개인 정보처리자로 확대 및 사실조사 근거 마련
(분쟁조정 요청 시, 모든 개인정보처리자의 참여 의무)
▶제45조
(현장출입 및 자료조사 등 사실조사에 대한 법적 근거)
▶ 제47조
(당사자가 조정안에 대한 '수락' 여부를 알리지 않을 경우 '수락'으로 간주)
금지행위 규정에 정당한 권한 없이 허용된 권한을 초과하여 타인의 개인정보를 '이용'하는 행위 추가
('정당한 권한 없이 허용된 권한을 초과하여 타인의 개인정보를 이용하는 행위' 금지)
동의 외의 국외이전 요건 마련 및 국외이전 중지명령권 신설
(개인정보보호 인증을 받은 경우, 이전되는 국가 또는 국제기구의 개인정보 보호 수준이 보장된다고 인정되는 경우 등 요건 다양화)
과도한 형벌규정을 경제제재 중심으로 전환하는 대신, 과징금 상한 및 대상 확대
(과징금 규정 통합 정비)
▶상한액 '전체 매출액' 3% 이하
자세한 내용은 첨부된 파일 '230308(조간) 개인정보 보호법 전면개정, 데이터 신경제 시대 열린다(개인정보보호정책과)FN.pdf'를 참고해주시길 바라겠습니다.
출처 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?mCode=C020010000