「개인정보 보호법」 제2차 전면 개정안 국회 통과(2)

기사 메일 보내기
보내는 기사	「개인정보 보호법」 제2차 전면 개정안 국회 통과(2)
보내는 사람	이름 손님
이메일
받는사람	이름
이메일
제목	「개인정보 보호법」 제2차 전면 개정안 국회 통과(2)
내용	[2023.03.07.] 1. 영상정보처리기기 규정 정비 개정 「개인정보 보호법」은 고정형 영상정보처리기기에 대한 규정을 정비하는 한편, 현행법이 고정형 영상정보처리기기에 대해서만 규율하고 있는 것에서 나아가 드론, 자율주행차 등 이동형 영상정보처리기기에 대한 규정을 도입하였습니다. ■ 고정형 영상정보처리기기 관련 규정 정비(제2조 제7호, 제25조 제1항) 정의 규정에서 일정한 공간에 ‘지속적 또는 주기적’으로 설치되어 있을 것을 요건으로 하여, 기존의 ‘지속성’ 외에 ‘주기성’ 요건이 추가되었습니다. 또한, 공개된 장소에서의 고정형 영상정보처리기기 설치·운영이 허용되는 경우와 관련하여 촬영된 영상정보를 저장하지 아니하는 경우로서 향후 시행령으로 정하는 경우가 추가되었고, 기존에도 허용되던 시설안전 및 화재 예방, 교통단속 등을 위한 경우에는 ‘정당한 권한을 가진 자’에 의하여 설치·운영되어야함을 명시하였습니다. ■ 이동형 영상정보처리기기에 대한 규정 신설(제2조 제7의2호, 제25조의2) 이동형 영상정보처리기기로 업무 목적으로 공개된 장소에서 개인정보에 해당하는 영상을 촬영하는 행위는 정보주체의 동의를 받는 등 제15조 제1항에 따라 개인정보의 수집·이용이 가능한 경우 외에도, 불빛, 소리, 안내판 등 대통령령으로 정하는 바에 따라 촬영 사실을 명확히 표시하여 정보주체가 촬영 사실을 알 수 있도록 하였음에도 불구하고 촬영 거부 의사를 밝히지 아니한 경우로서 정보주체의 권리를 부당하게 침해할 우려가 없고 합리적인 범위를 초과하지 않는 경우 등에 허용됩니다. 이동형 영상정보처리기기에 대한 입법의 공백을 메우기 위하여 신설된 규정으로, 현행 「개인정보 보호법」에 의하면 불특정 다수로부터 개인정보 수집 및 이용 동의를 받지 않으면 드론, 자율주행차 등을 이용한 촬영에 상당한 제약이 따른다는 문제점을 해소한 것에 의의가 있습니다. 다만, 촬영 거부 의사를 표시하는 방법 등 여전히 불분명한 부분이 존재하여 향후 시행령의 내용 및 개인정보보호위원회 등의 구체적인 해석을 지켜볼 필요가 있겠습니다. 2. 자동화된 결정에 대한 대응권 도입(제4조 제6호, 제37조의2) 개정 「개인정보 보호법」에는 정보주체의 권리 중 하나로 자동화된 결정에 대한 거부권과 설명요구권이 도입되었습니다(제37조의2, 공포 후 1년이 경과한 날부터 시행). 여기에서 ‘자동화된 결정’은 사람의 개입 없이 “인공지능 기술을 적용한 시스템 등 완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정(「행정기본법」 제20조에 따른 행정청의 자동적 처분은 제외)”을 말합니다. 정보주체는 이러한 자동화된 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에 개인정보처리자에 대하여 해당 결정에 대한 거부권과 설명요구권을 행사할 수 있습니다. 다만, 자동화된 결정이 제15조 제1항 제1호·제2호·제4호(정보주체의 동의를 받은 경우, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우, 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우)에 따라 이루어지는 경우에는 거부권을 행사할 수 없습니다. 위와 같은 정보주체의 요구에 대하여 개인정보처리자는 정당한 사유가 없는 한 자동화된 결정을 적용하지 않거나, 인적 개입에 의한 재처리·설명 등 필요한 조치를 하여야 합니다. 또한, 개인정보처리자는 정보주체가 쉽게 확인할 수 있도록 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 공개하는 등의 조치를 취하여야 합니다. 자동화된 결정에 대한 대응권은 GDPR, 「신용정보의 이용 및 보호에 관한 법률」(이하 신용정보법) 등에는 이미 도입되어 있던 것입니다. 다만, 정보주체의 권리로 GDPR은 거부권, 의견표현권 및 이의제기권을 규정하고(GDPR 제22조 제3항), 신용정보법은 설명요구권, 정보제출권 및 이의제기권을 규정하는(신용정보법 제36조의2 제1항, 제2항) 등 개정 개인정보 보호법 규정과 세부적인 부분에서 차이점이 있습니다. 이번 개정으로 「개인정보 보호법」에도 자동화된 결정에 대한 대응권이 신설된 것은 인공지능 기술의 발전으로 개인정보처리자가 자동화된 결정을 광범위하게 활용하는 추세에 맞추어 정보주체의 권리 침해를 방지하기 위한 조치로 평가할 수 있습니다. 3. 개인정보 국외이전 요건 다양화 및 국외이전 중지명령권 신설 개정 「개인정보 보호법」은 개인정보 국외이전 규정을 정비하고 신설하였으므로, 개인정보 국외이전을 계획하는 사업자들은 그 요건과 함께 개인정보보호위원회의 중지명령의 대상이 되지 않도록 다음 내용을 면밀히 확인할 필요가 있어 보입니다. ■ 개인정보 국외이전의 요건 다양화(제28조의8) 개정 「개인정보 보호법」은 분산되어 있던 개인정보 국외이전에 관한 규정들(제17조 제3항, 제39조의12)을 삭제하고, 별도 조항을 신설하였습니다. 현행법이 규정하고 있는 정보주체의 동의 이외에 다음과 같이 요건이 확대되었습니다. ① 정보주체가 별도 동의한 경우 ② 법률, 조약, 국제협정에 개인정보 국외이전에관한 특별한 규정이 있는 경우 ③ 계약의 체결과 이행을 위해 개인정보의 처리위탁·보관이필요한 경우로서 - 정보주체로부터 개인정보 국외이전에 관한 동의 취득 시 사전에 알려야 하는 사항을 개인정보 처리방침에 공개한 경우, 또는 - 위 사항을 전자우편 등 시행령으로정하는 방법에 따라 정보주체에게통지한 경우 ④ 개인정보를 이전받는 자가 개인정보보호위원회가 고시하는 개인정보 보호 인증 등을 받은 경우로서 아래 조치를 모두 한 경우 - 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치 - 인증받은 사항을 개인정보가이전되는 국가에서 이행하기 위해 필요한 조치 ⑤ 개인정보가 이전되는 국가 또는 국제기구의 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등의 보호 수준이 「개인정보 보호법」에 따른 보호 수준과 실질적으로 동등한 수준임을 개인정보보호위원회가인정하는 경우 한편, 정보주체로부터 동의 취득 시 사전에 알려야 하는 사항으로 ‘개인정보 이전 거부 방법, 절차 및 거부의 효과’가 추가되었으며, 알려야 하는 사항을 변경하는 경우에도 동의를 취득해야 한다는 내용 또한 추가되었습니다. ■ 개인정보 국외이전에 대한 중지명령권(제28조의9) 개인정보 국외이전에 대한 중지명령권에 관한 조항도 신설되었습니다. 개인정보보호위원회는 개인정보 국외이전이 계속 중이거나 추가적인 국외이전이 예상되는 경우로서 다음의 어느 하나에 해당하는 경우, 개인정보처리자에게 국외이전의 중지를 명할 수 있습니다. 개인정보처리자는 명령을 받은 날부터 7일 이내에 이의를 제기할 수 있습니다. ① 국외이전의 요건을 충족하지 않았는데 국외이전을 하는 경우 ② 국외이전을 하면서 개인정보 보호법상 규정을 준수하지 않거나 시행령으로 정하는 보호조치를 취하지 않는 경우 ③ 「개인정보 보호법」을 위반하는 사항을 내용으로 국외이전에 관한 계약을 체결하는 경우 ④ 개인정보를 이전받는 자, 국가 또는 국제기구가 「개인정보 보호법」에 따른 개인정보 보호 수준에 비하여 개인정보를 적정하게 보호하지 않아 정보주체에게 피해가 발생하거나 발생할 우려가 현저한 경우 한편, 개정 「개인정보 보호법」에 따르면 위 조항들을 위반하는 경우 전체 매출액(위반행위와 관련 없는 매출액 제외)의 100분의 3 이하에 해당하는 금액의 과징금이 부과될 수 있습니다(제64조의2 제7호 및 제8호). 이번 개정은 개인정보 국외이전의 요건을 확대하여 국외이전에 대한 증가하는 수요를 반영하는 한편, GDPR에서 감독기관의 권한으로 이미 규정하고 있던(제 58조 제2항 (j)) 개인정보 국외이전에 대한 중지명령권을 명시함으로써 국제 기준과의 간극을 좁혔다고 평가됩니다. 다만 개정 「개인정보 보호법」은 GDPR이 역외이전의 요건의 하나로 규정하고 있는 표준 개인정보보호 조항(standard data protection clauses, 제46조 제2항 (c))은 인정하지 않는 등 세부적인 부분에서 차이가 있습니다. 박광배 변호사 (kwangbae.park@leeko.com) 윤종수 변호사 (jay.yoon@leeko.com) 고환경 변호사 (hwankyoung.ko@leeko.com) 채성희 변호사 (sunghee.chae@leeko.com) 손경민 변호사 (kyungmin.son@leeko.com)

기사 메일 보내기

보내는 기사

보내는 사람

이름 손님

이메일

받는사람

이름

이메일

제목

「개인정보 보호법」 제2차 전면 개정안 국회 통과(2)

내용

[2023.03.07.]

1. 영상정보처리기기 규정 정비

개정 「개인정보 보호법」은 고정형 영상정보처리기기에 대한 규정을 정비하는 한편, 현행법이 고정형 영상정보처리기기에 대해서만 규율하고 있는 것에서 나아가 드론, 자율주행차 등 이동형 영상정보처리기기에 대한 규정을 도입하였습니다.

■ 고정형 영상정보처리기기 관련 규정 정비(제2조 제7호, 제25조 제1항)

정의 규정에서 일정한 공간에 ‘지속적 또는 주기적’으로 설치되어 있을 것을 요건으로 하여, 기존의 ‘지속성’ 외에 ‘주기성’ 요건이 추가되었습니다. 또한, 공개된 장소에서의 고정형 영상정보처리기기 설치·운영이 허용되는 경우와 관련하여 촬영된 영상정보를 저장하지 아니하는 경우로서 향후 시행령으로 정하는 경우가 추가되었고, 기존에도 허용되던 시설안전 및 화재 예방, 교통단속 등을 위한 경우에는 ‘정당한 권한을 가진 자’에 의하여 설치·운영되어야함을 명시하였습니다.

■ 이동형 영상정보처리기기에 대한 규정 신설(제2조 제7의2호, 제25조의2)

이동형 영상정보처리기기로 업무 목적으로 공개된 장소에서 개인정보에 해당하는 영상을 촬영하는 행위는 정보주체의 동의를 받는 등 제15조 제1항에 따라 개인정보의 수집·이용이 가능한 경우 외에도, 불빛, 소리, 안내판 등 대통령령으로 정하는 바에 따라 촬영 사실을 명확히 표시하여 정보주체가 촬영 사실을 알 수 있도록 하였음에도 불구하고 촬영 거부 의사를 밝히지 아니한 경우로서 정보주체의 권리를 부당하게 침해할 우려가 없고 합리적인 범위를 초과하지 않는 경우 등에 허용됩니다.

이동형 영상정보처리기기에 대한 입법의 공백을 메우기 위하여 신설된 규정으로, 현행 「개인정보 보호법」에 의하면 불특정 다수로부터 개인정보 수집 및 이용 동의를 받지 않으면 드론, 자율주행차 등을 이용한 촬영에 상당한 제약이 따른다는 문제점을 해소한 것에 의의가 있습니다. 다만, 촬영 거부 의사를 표시하는 방법 등 여전히 불분명한 부분이 존재하여 향후 시행령의 내용 및 개인정보보호위원회 등의 구체적인 해석을 지켜볼 필요가 있겠습니다.

2. 자동화된 결정에 대한 대응권 도입(제4조 제6호, 제37조의2)

개정 「개인정보 보호법」에는 정보주체의 권리 중 하나로 자동화된 결정에 대한 거부권과 설명요구권이 도입되었습니다(제37조의2, 공포 후 1년이 경과한 날부터 시행). 여기에서 ‘자동화된 결정’은 사람의 개입 없이 “인공지능 기술을 적용한 시스템 등 완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정(「행정기본법」 제20조에 따른 행정청의 자동적 처분은 제외)”을 말합니다. 정보주체는 이러한 자동화된 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에 개인정보처리자에 대하여 해당 결정에 대한 거부권과 설명요구권을 행사할 수 있습니다. 다만, 자동화된 결정이 제15조 제1항 제1호·제2호·제4호(정보주체의 동의를 받은 경우, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우, 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우)에 따라 이루어지는 경우에는 거부권을 행사할 수 없습니다.

위와 같은 정보주체의 요구에 대하여 개인정보처리자는 정당한 사유가 없는 한 자동화된 결정을 적용하지 않거나, 인적 개입에 의한 재처리·설명 등 필요한 조치를 하여야 합니다. 또한, 개인정보처리자는 정보주체가 쉽게 확인할 수 있도록 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 공개하는 등의 조치를 취하여야 합니다.

자동화된 결정에 대한 대응권은 GDPR, 「신용정보의 이용 및 보호에 관한 법률」(이하 신용정보법) 등에는 이미 도입되어 있던 것입니다. 다만, 정보주체의 권리로 GDPR은 거부권, 의견표현권 및 이의제기권을 규정하고(GDPR 제22조 제3항), 신용정보법은 설명요구권, 정보제출권 및 이의제기권을 규정하는(신용정보법 제36조의2 제1항, 제2항) 등 개정 개인정보 보호법 규정과 세부적인 부분에서 차이점이 있습니다.

이번 개정으로 「개인정보 보호법」에도 자동화된 결정에 대한 대응권이 신설된 것은 인공지능 기술의 발전으로 개인정보처리자가 자동화된 결정을 광범위하게 활용하는 추세에 맞추어 정보주체의 권리 침해를 방지하기 위한 조치로 평가할 수 있습니다.

3. 개인정보 국외이전 요건 다양화 및 국외이전 중지명령권 신설

개정 「개인정보 보호법」은 개인정보 국외이전 규정을 정비하고 신설하였으므로, 개인정보 국외이전을 계획하는 사업자들은 그 요건과 함께 개인정보보호위원회의 중지명령의 대상이 되지 않도록 다음 내용을 면밀히 확인할 필요가 있어 보입니다.

■ 개인정보 국외이전의 요건 다양화(제28조의8)

개정 「개인정보 보호법」은 분산되어 있던 개인정보 국외이전에 관한 규정들(제17조 제3항, 제39조의12)을 삭제하고, 별도 조항을 신설하였습니다. 현행법이 규정하고 있는 정보주체의 동의 이외에 다음과 같이 요건이 확대되었습니다.

① 정보주체가 별도 동의한 경우

② 법률, 조약, 국제협정에 개인정보 국외이전에관한 특별한 규정이 있는 경우

③ 계약의 체결과 이행을 위해 개인정보의 처리위탁·보관이필요한 경우로서

- 정보주체로부터 개인정보 국외이전에 관한 동의 취득 시 사전에 알려야 하는 사항을 개인정보 처리방침에 공개한 경우, 또는

- 위 사항을 전자우편 등 시행령으로정하는 방법에 따라 정보주체에게통지한 경우

④ 개인정보를 이전받는 자가 개인정보보호위원회가 고시하는 개인정보 보호 인증 등을 받은 경우로서 아래 조치를 모두 한 경우

- 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치

- 인증받은 사항을 개인정보가이전되는 국가에서 이행하기 위해 필요한 조치

⑤ 개인정보가 이전되는 국가 또는 국제기구의 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등의 보호 수준이 「개인정보 보호법」에 따른 보호 수준과 실질적으로 동등한 수준임을 개인정보보호위원회가인정하는 경우

한편, 정보주체로부터 동의 취득 시 사전에 알려야 하는 사항으로 ‘개인정보 이전 거부 방법, 절차 및 거부의 효과’가 추가되었으며, 알려야 하는 사항을 변경하는 경우에도 동의를 취득해야 한다는 내용 또한 추가되었습니다.

■ 개인정보 국외이전에 대한 중지명령권(제28조의9)

개인정보 국외이전에 대한 중지명령권에 관한 조항도 신설되었습니다. 개인정보보호위원회는 개인정보 국외이전이 계속 중이거나 추가적인 국외이전이 예상되는 경우로서 다음의 어느 하나에 해당하는 경우, 개인정보처리자에게 국외이전의 중지를 명할 수 있습니다. 개인정보처리자는 명령을 받은 날부터 7일 이내에 이의를 제기할 수 있습니다.

① 국외이전의 요건을 충족하지 않았는데 국외이전을 하는 경우

② 국외이전을 하면서 개인정보 보호법상 규정을 준수하지 않거나 시행령으로 정하는 보호조치를 취하지 않는 경우

③ 「개인정보 보호법」을 위반하는 사항을 내용으로 국외이전에 관한 계약을 체결하는 경우

④ 개인정보를 이전받는 자, 국가 또는 국제기구가 「개인정보 보호법」에 따른 개인정보 보호 수준에 비하여 개인정보를 적정하게 보호하지 않아 정보주체에게 피해가 발생하거나 발생할 우려가 현저한 경우

한편, 개정 「개인정보 보호법」에 따르면 위 조항들을 위반하는 경우 전체 매출액(위반행위와 관련 없는 매출액 제외)의 100분의 3 이하에 해당하는 금액의 과징금이 부과될 수 있습니다(제64조의2 제7호 및 제8호).

이번 개정은 개인정보 국외이전의 요건을 확대하여 국외이전에 대한 증가하는 수요를 반영하는 한편, GDPR에서 감독기관의 권한으로 이미 규정하고 있던(제 58조 제2항 (j)) 개인정보 국외이전에 대한 중지명령권을 명시함으로써 국제 기준과의 간극을 좁혔다고 평가됩니다. 다만 개정 「개인정보 보호법」은 GDPR이 역외이전의 요건의 하나로 규정하고 있는 표준 개인정보보호 조항(standard data protection clauses, 제46조 제2항 (c))은 인정하지 않는 등 세부적인 부분에서 차이가 있습니다.

박광배 변호사 (kwangbae.park@leeko.com)

윤종수 변호사 (jay.yoon@leeko.com)

고환경 변호사 (hwankyoung.ko@leeko.com)

채성희 변호사 (sunghee.chae@leeko.com)

손경민 변호사 (kyungmin.son@leeko.com)

기사 스크랩하기
기사제목

스크랩 보기
번호	제목	스크랩 날짜
스크랩 기사가 없습니다.

[2023.03.07.]

1. 영상정보처리기기 규정 정비

■ 고정형 영상정보처리기기 관련 규정 정비(제2조 제7호, 제25조 제1항)

■ 이동형 영상정보처리기기에 대한 규정 신설(제2조 제7의2호, 제25조의2)

2. 자동화된 결정에 대한 대응권 도입(제4조 제6호, 제37조의2)

3. 개인정보 국외이전 요건 다양화 및 국외이전 중지명령권 신설

■ 개인정보 국외이전의 요건 다양화(제28조의8)

① 정보주체가 별도 동의한 경우

② 법률, 조약, 국제협정에 개인정보 국외이전에관한 특별한 규정이 있는 경우

③ 계약의 체결과 이행을 위해 개인정보의 처리위탁·보관이필요한 경우로서

- 정보주체로부터 개인정보 국외이전에 관한 동의 취득 시 사전에 알려야 하는 사항을 개인정보 처리방침에 공개한 경우, 또는

- 위 사항을 전자우편 등 시행령으로정하는 방법에 따라 정보주체에게통지한 경우

④ 개인정보를 이전받는 자가 개인정보보호위원회가 고시하는 개인정보 보호 인증 등을 받은 경우로서 아래 조치를 모두 한 경우

- 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치

- 인증받은 사항을 개인정보가이전되는 국가에서 이행하기 위해 필요한 조치

■ 개인정보 국외이전에 대한 중지명령권(제28조의9)

① 국외이전의 요건을 충족하지 않았는데 국외이전을 하는 경우

② 국외이전을 하면서 개인정보 보호법상 규정을 준수하지 않거나 시행령으로 정하는 보호조치를 취하지 않는 경우

③ 「개인정보 보호법」을 위반하는 사항을 내용으로 국외이전에 관한 계약을 체결하는 경우

박광배 변호사 (kwangbae.park@leeko.com)

윤종수 변호사 (jay.yoon@leeko.com)

고환경 변호사 (hwankyoung.ko@leeko.com)

채성희 변호사 (sunghee.chae@leeko.com)

손경민 변호사 (kyungmin.son@leeko.com)

법률정보

「개인정보 보호법」 제2차 전면 개정안 국회 통과(2)

특수한 개인정보 처리 유형에 관한 규정