「개인정보 보호법」 제2차 전면 개정안 국회 통과(1)

개정 「개인정보 보호법」은 일반규정과 정보통신서비스 제공자등에 대한 특례규정으로 이원화되어 있던 기존 체계를 ‘동일행위 동일규제’ 원칙에 따라 일원화 하였습니다. 구체적으로, 현행법 제6장의 정보통신서비스 제공자등에 대한 특례규정을 모두 삭제하는 한편, 일반규정과 유사한 특례규정은 일반규정에 통합하고 특례규정에만 있는 규정은 일반규정으로 전환하여 적용 범위를 확대하였습니다.

이에 따라 정보통신서비스 제공자등에만 적용되던 개인정보 이용내역 통지(제20조의2), 개인정보 국외이전(제28조의8, 제28조의9), 국내대리인 지정(제31조의2), 공중에 노출된 개인정보 삭제(제34조의2), 손해배상 보장(제39조의7, 공포 후 1년이 경과한 날부터 시행) 등의 규정이 개정 「개인정보 보호법」하에서는 온·오프라인사업자에게 동일하게 적용됩니다.

기존 「개인정보 보호법」에 대해서는 온·오프라인 서비스의 경계가 모호함에도 이중으로 규제하여 법 적용의 혼선을 야기한다는 비판이 제기되어 왔는데, 이번 개정으로 이러한 혼란이 해소될 수 있을 것으로 예상됩니다. 다만, 현행 정보통신서비스 제공자등에 대한 특례 규정이 일반규정으로 전환됨으로 인하여 특례 규정의 적용을 받지 않던 오프라인 사업자가 추가적으로 준수할 사항이 있는지 여부를 점검하고, 수범자의 구체적 범위를 시행령에 위임하는 조항들이 다수 있으므로 향후 시행령의 개정 내용도 주시할 필요가 있어 보입니다.

2. 과징금·벌칙 규정 정비(제64조의2, 제71조 내지 제73조)

개정 「개인정보 보호법」에서는 일반규정 및 특례규정의 일원화와 함께 다음과 같이 과징금·벌칙 규정 정비가 이루어졌습니다.

■ 과징금 규정 통합

현행법은 가명정보 처리 관련 위반, 주민등록번호 유출, 정보통신서비스 제공자등 특례에 따른 과징금을 각각 다른 조항에서 규정하고 있으나, 이번 개정에서는 분산된 과징금 규정을 통합하여 온·오프라인 사업자 모두에게 동일하게 적용되는 과징금 규정(제64조의2)을 신설하였습니다.

특히 기존에 과태료가 부과되던 오프라인 사업자의 동의 없는 개인정보 수집·이용, 법정대리인 동의 없는 만 14세 미만 아동 개인정보 수집·이용에 대하여 온라인 사업자의 경우와 동일하게 과징금 부과의 대상으로 정하고 있다는 점 등을 유의할 필요가 있습니다.

■ 과징금 상한 기준 변경

현행법이 과징금의 상한을 위반행위 관련 매출액의 3% 이하로 정하던 것을 전체 매출액의 3% 이하로 하되 위반행위와 관련 없는 매출액은 제외하고 산정하는 것으로 정하였습니다. 당초 정부안은 전체 매출액의 3% 이하로 과징금 상한을 상향하는 내용만을 포함하고 있었으나, 의견수렴 과정에서 관련 없는 매출액을 제외하는 규정이 추가된 것입니다. 다만, 개인정보처리자가 정당한 사유 없이 매출액 산정자료 제출을 거부하거나 거짓 자료를 제출한 경우에는 관련 없는 매출액을 포함한 전체 매출액 기준으로 과징금 상한이 산정될 수 있습니다.

■ 형벌 규정 정비

개정 「개인정보 보호법」은 온·오프라인 사업자의 동일 위반행위에 대하여 통일된 처벌을 규정하는 한편, 경제제재 중심으로의 전환을 모색하였습니다. 이에 따라 개인정보처리자의 안전성 확보조치 위반에 따른 개인정보 유출, 정보통신서비스 제공자의 동의 없는 개인정보 수집·이용 및 개인정보 파기의무 위반 등에 대한 형벌 규정이 삭제되었습니다.

참고로 처음 정부안에서는 형사처벌을 제한하는 취지에서 형벌 규정에 ‘자기 또는 제3자의 이익 목적’ 요건을 추가하는 것을 제안하였으나, 최종 통과된 개정 「개인정보 보호법」에는 위 요건이 반영되지 않았습니다.

3. 개인정보 처리 동의 요건 완화

개정 「개인정보 보호법」은 동의 없이 개인정보를 처리할 수 있는 요건을 다음과 같이 일부 완화하였습니다.

■ 현행법이 정보주체와의 계약 체결 및 이행을 위해 ‘불가피하게 필요한’ 경우 동의 없이 개인정보 수집·이용이 가능하다고 규정하던 것에서 ‘불가피하게’ 요건을 삭제하였습니다(제15조 제1항 제4호). 이는 정보주체의 형식적인 사전 동의에 과도하게 의존하는 불합리를 해소하기 위함으로 이해됩니다.

■ 현행법이 ‘정보주체 또는 그 법정대리인의 동의를 받을 수 없고, 명백히 생명·신체·재산 이익을 위해 필요한 경우’ 동의 없이 개인정보의 목적 외 이용·제공이 가능하도록 규정한 것에서 전단의 ‘동의를 받을 수 없는 경우’ 요건을 삭제하였습니다(제18조 제2항 제3호). 이는 국민의 생명 등 보호를 위해 급박한 경우에 한하여 개인정보 처리요건을 완화한 것으로, 당초 정부안에는 관련 내용이 포함되지 않았으나 민형배·이정문 의원안에서 제안됨에 따라 반영되었습니다.

■ 코로나19 예방과 같은 목적을 고려하여 ‘공중위생 목적 등 공공의 안전과 안녕을 위해 긴급히 필요한 경우’에 동의 없이 개인정보의 수집·이용 및 목적 외 이용·제공이 가능하도록 하는 규정이 신설되었습니다(제15조제1항 제7호, 제18조 제2항 제10호).

4. 개인정보 분쟁조정제도 실질화

개인정보 관련 분쟁에서 개인정보 분쟁조정위원회(이하 분쟁조정위원회)의 조정을 통한 구제 절차인 분쟁조정제도를 실질화하기 위해 다음과 같이 기존 규정을 정비하고 분쟁조정위원회의 권한을 강화하는 조항을 신설하였습니다.

■ 분쟁조정에 응해야 하는 의무 참여 대상자를 공공기관에서 ‘개인정보처리자 일반’으로 확대함(제43조 제3항).

■ 분쟁조정위원회로부터 제시받은 조정안의 수락 여부를 15일 이내에 알리지 않은 경우 거부로 간주하던 것을 ‘수락을 간주’하는것으로 전환함(제47조 제3항).

■ 분쟁조정위원회의위원 정수를 20명에서 30명으로 상향함(제40조 제2항).

■ 위원회 위원 또는 사무기구 소속 공무원이 사건 관련 장소에 출입하여 관련 자료를 조사·열람할 수 있도록 하는 사실조사 권한이 부여됨. 참고로, 당초 정부안에는 사실조사 거부권이 포함되지 않았으나 최종 통과된 「개인정보 보호법」에서는 분쟁당사자가 정당한 사유를 소명하고 거부할 수 있도록 규정함(제45조 제2항, 제3항).

■ 관계 기관에 대한 자료·의견 제출 등 협조 요청이 가능해짐(제45조 제4항).

기존 「개인정보 보호법」 하에서는 분쟁조정위원회의 적극적 조정에 한계가 있다고 평가되었는데, 이번 개정을 통해 분쟁조정제도가 강화되어 정보주체가 분쟁조정제도를 통하여 권리를 구제받으려는 사례가 증가할 것으로 예상됩니다.

5. 그 밖의 개정 내용

■ 개인정보처리자는 재화·서비스 제공 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 경우, 재화·서비스의 제공 전에 민감정보의 공개 가능성 및 비공개 선택 방법을 사전에 고지하여야함(제23조 제3항).

■ 제28조의2 또는 제28조의3에 따라 처리된 가명정보에대해서 파기의무를 부과함(제28조의7).

■ 개인정보 처리방침에 관하여 작성지침 준수 여부, 알기 쉽게 작성하였는지 여부, 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부를 평가하고 개선을 권고할 수 있는 평가제도가 도입되었으며, 평가 대상, 기준 및 절차 등에 필요한 사항은 향후 시행령으로 정해질 예정임(제30조의2).

■ 개인정보를 처리하거나 처리하였던 자가 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출하는 행위 외에 ‘이용’하는 행위도 금지행위에 해당하여 5년 이하의 징역 또는 5천만원 이하의 벌금에 처할 수 있게 됨(제59조 제3호, 제71조 제10호).

■ 개인정보보호위원회가 과태료를 부과·징수하는 경우, 위반행위의 정도·동기·결과, 개인정보처리자의 규모 등을 고려하여 과태료를 감경하거나 면제할 수 있는 규정 신설(제75조 제5항 단서)

박광배 변호사 (kwangbae.park@leeko.com)

윤종수 변호사 (jay.yoon@leeko.com)

고환경 변호사 (hwankyoung.ko@leeko.com)

채성희 변호사 (sunghee.chae@leeko.com)

손경민 변호사 (kyungmin.son@leeko.com)

리걸 에듀

1/3