[2023.03.07.]
개인정보 보호법 일부개정법률(이하 “개정법률”)이 2023. 2. 27. 국회 본회의를 통과하였습니다. 개정법률은 (1) 정보주체의 권리 강화 방안으로 개인정보 전송요구권, 자동화된 의사결정에 대한 설명요구권 및 거부권을 도입하였고. (2) 개인정보 처리의 근거를 합리화하였으며, (3) 개인정보 국외 이전 방식을 다양화하면서, 개인정보 보호위원회에게 개인정보 국외 이전에 대한 중지명령권을 부여하는 등 규제기관의 권한을 확대하였으며, (4) 이동형 영상정보처리 기기의 근거를 마련하였고, (5) 일부 법 위반 행위에 대해서는 과징금 부과 기준을 ‘전체 매출액’으로 상향하는 내용도 포함하고 있습니다. 나아가, 정보통신서비스 제공자 등에 대한 특례를 삭제하고, 관련 내용을 일원화하여 정보통신망법과의 단순한 물리적 결합이 아닌 진정한 의미의 통합 개인정보 보호법으로 개정되었다는데 상당한 의미가 있습니다.
금일 국무회의에서 의결된 개정법률은 3월 14일 공포되어 공포 후 6개월이 경과한 날인 9월 14일 시행될 예정입니다. 다만, 개인정보관리 전문기관, 자동화된 의사결정에 대한 설명요구권 및 거부권 등에 관한 규정은 공포 후 1년이 경과한 날부터, 개인정보 전송요구권에 관한 규정은 공포 후 1년이 경과한 날부터 공포 후 2년이 넘지 않는 범위에서 시행령으로 정하는 날부터 시행될 예정입니다(부칙 제1조).
개정법률의 주요 내용은 다음과 같습니다
I. 정보주체의 권리 강화
1. 전송요구권
개정법률은 정보주체가 정보주체 본인에 관한 정보를 자신 또는 ‘개인정보관리 전문기관’ 또는 ‘제3자’에게 전송을 요구할 권리를 신설하였습니다(제35조의2 제1항, 제2항). 개인정보관리 전문기관은 개인정보 전송 요구권의 행사지원, 정보주체의 권리 권리행사를 지원하기 위한 개인정보 전송시스템의 구축 및 표준화, 정보주체의 권리행사를 지원하기 위한 개인정보의 관리·분석, 그 밖에 정보주체의 권리행사를 효과적으로 지원하기 위하여 시행령으로 정해질 업무 등을 수행하게 됩니다(개인정보 보호법 제35조의3). 전송되는 정보를 수신하는 ‘제3자’는 안전조치의무를 이행하고 시행령으로 정해질 시설 및 기술 기준을 충족해야 합니다(제35조의2).
한편, 정보주체가 전송요구권을 행사할 수 있는 개인정보는 개인정보처리자가 동의를 받거나 계약의 체결 및 이행 과정에서 정보주체의 요청에 따른 조치를 이행하기 위해 정보주체로부터 수집, 이용하는 개인정보 등으로 제한되고, 개인정보처리자가 수집된 정보를 분석·가공하여 별도로 생성한 정보는 전송요구 대상에서 제외됩니다(제35조의2 제1항). 정보주체의 전송 요구가 있을 경우 개인정보처리자는 요구 받은 개인정보를 컴퓨터 등 정보처리장치로 처리 가능한 형태로 전송하여야 합니다(제35조의2 제3항).
2. 자동화된 의사결정에 대한 대응권
개정법률은 개인정보처리자가 ‘완전히 자동화된 시스템(인공지능 기술을 적용한 시스템)으로 개인정보를 처리하여 이루어지는 결정’(이하 “자동화된 결정”)을 한 경우에는 정보주체에게 그 결정에 대한 ‘설명 등을 요구’할 수 있는 권리를 부여하고(제37조의2 제2항), 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우 정보주체가 이를 ‘거부’할 수 있는 권리를 신설하였습니다(제37조의2 제1항).
나아가, 개인정보처리자는 정보주체가 자동화된 결정을 거부하거나 이에 대한 설명 등을 요구한 경우에는 정당한 사유가 없는 한 자동화된 결정의 적용을 적용하지 아니하거나 인적 개입에 의한 재처리·설명 등 필요한 조치를 하여야 합니다(제37조의2 제3항). 개인정보처리자는 자동화된 결정의 기준과 절차를 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개하여야 하도록 하고 있습니다(제37조의2 제4항)
II. 개인정보 처리 근거의 합리화
현행 개인정보 보호법은 개인정보의 수집, 이용 시 동의 면제 사유로 정보주체와의 계약의 체결 및 이행을 위해 ‘불가피하게 필요한 경우’ 등을 규정하고 있었으나 개정법률은 위 동의 면제 사유를 ‘정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우’로 변경하여 개인정보 처리의 근거를 합리화하였습니다(제15조제1항 제4호).
한편, 개인정보 처리의 근거 중 ‘정당한 이익’과 관련하여, 현행 개인정보 보호법에서는 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 개인정보를 수집할 수 있도록 하였으나, 구체적인 상황에서 ‘의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우’에 대한 해석이 제한적인 바(예컨대, 현재 인질을 잡고 있는 연락 가능한 테러리스트의 개인정보 처리), 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 경우에는 개인정보를 수집할 수 있도록 그 요건을 합리적으로 개선하였습니다(제15조제1항제5호)
III. 국외 이전 방식 다양화
현행 개인정보 보호법은 개인정보 처리자가 개인정보를 국외의 제3자에게 이전할 경우 원칙적으로 정보주체에게 관련 사항을 알리고 동의를 받도록 하였으나, 개정법률은 개인정보처리자가 (1) 정보주체의 별도의 동의를 받은 경우 외에도 (2) 개인정보가 이전되는 국가 또는 국제기구가 개인정보 보호법이 정한 수준의 보호 수준을 갖추었다고 개인정보 보호위원회가 인정하는 경우(제28조의8 제1항 제5호), (3) ‘개인정보를 이전 받는 자’가 법 제32조의2에 다른 개인정보 보호 인증 등 개인정보 보호위원회의 고시로 정해질 인증을 받은 경우로 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치 등을 취한 경우(제28조의8 제1항 제4호)등에는 개인정보를 국외의 제3자에게 이전할 수 있도록 허용하고 있습니다.
나아가, 개정법률은 개인정보 보호위원회의 국외 이전 중지명령권을 신설하여 (1) 개인정보처리자가 법을 위반하여 개인정보를 국외 이전할 경우(제28조의9 제1항 제1호) 혹은 (2) 개인정보가 이전되는 자 또는 국가의 보호수준이 개인정보 보호법 보호 수준에 적정하게 보호하지 아니하여 정보주체에게 피해가 발생하거나 발생할 우려가 있는 경우(제28조의9 제1항 제2호) 개인정보 보호위원회가 국외 이전의 중지를 명할 수 있도록 하고 있습니다.
IV. 이동형 영상정보처리기기 규율 신설
현행 개인정보 보호법은 CCTV와 같이 고정형 영상정보처리기기만을 규율하고 있었으나, 개정법률은 드론, 자율주행차와 같은 이동형 영상정보처리기기를 규율하는 규정을 신설하였습니다(제25조의2). 개정법률은 공개된 장소에서 업무를 목적으로 이동형 영상정보처리기기로 촬영하는 것을 원칙적으로 금지하되, 예외적으로 정보주체의 동의 등 개인정보 보호법 제15조 제1항 각호의 어느 하나에 해당하는 경우 또는 불빛, 소리 등으로 촬영 사실을 명확히 표시하였음에도 정보주체가 촬영 거부 의사를 밝히지 않은 경우 등에는 촬영을 허용하고 있습니다(제25조의2 제1항, 제3항).
V. 과징금 상한액의 기준을 ‘전체 매출액’으로 변경
현행 개인정보 보호법은 “위반행위와 관련한 매출액”의 3% 이하 금액을 과징금의 산정 기준으로 규정하고 있으나, 개정법률은 “전체 매출액”의 3% 이하에 해당하는 금액을 과징금으로 부과할 수 있다고 규정하여 그 기준액을 대폭 상향하였습니다(제64조의2 제1항). 다만, 보호위원회가 실제 과징금 산정 시에는 ‘전체 매출액에서 위반행위와 관련이 없는 매출액을 제외’하도록 하여 비례성을 확보하였습니다(제64조의2 제2항). 한편, 개인정보처리자가 정당한 사유 없이 매출액 산정자료의 제출을 거부하거나 거짓의 자료를 제출한 경우에는 해당 개인정보처리자의 전체 매출액을 기준으로 산정하되 해당 개인정보처리자 및 비슷한 규모의 개인정보처리자의 개인정보 보유 규모, 재무제표 등 회계자료, 상품·용역의 가격 등 영업현황 자료에 근거하여 매출액을 추정할 수 있도록 규정하였습니다.
VI. 기타
1. 정보통신서비스제공자 등에 대한 특례규정 삭제
개정법률은 모든 개인정보처리자에 대한 동일규제원칙을 적용하여 정보통신서비스제공자에게만 적용되던 개인정보 이용내역 통지 제도, 손해배상 보상 제도, 국내대리인 지정 제도, 과징금 등의 조항들을 일반 규정으로 전환하여 모든 개인정보처리자에게 적용되도록 하였습니다. 다만, 기존 특례에서 정보통신서비스제공자에게 부과되었던 개인정보 유효기간 제도(1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 파기할 의무)는 삭제되었습니다.
2. 개인정보처리방침 관리 권한 및 개인정보 침해조사 및 제재기능 강화
개정법률은 개인정보 보호위원회가 개인정보처리방침이 1) 알기 쉽게 작성되었는지, 2) 작성 지침을 준수했는지, 3) 공개되었는지 등을 평가하고 개선을 권고할 수 있다는 조문을 신설하였으며(제30조의2 제1항), 개인정보 보호위원회가 시정조치를 취하기 위한 요건 중 ‘회복하기 어려운 피해가 발생할 우려’를 삭제하여 시정조치 권한을 확대하였습니다(제64조 제1항).
3. 개인정보 분쟁조정제도 의무 참여 및 강제 조사 실시
현행 개인정보 보호법은 분쟁조정의 통지를 받은 경우, 특별한 사유가 없는 한 분쟁조정에 응하여야 하는 의무를 공공기관만 부담하도록 하고 있었으나, 개정법률은 그 대상을 모든 개인정보처리자로 확대하였습니다(제43조 제3항). 그리고, 분쟁조정위원회가 사실확인이 필요한 경우 사건과 관련된 장소에 출입하여 관련 자료를 조사하거나 열람할 수 있다고 하여(제45조 제2항) 분쟁조정위원회에 강제적인 사실조사권을 부여하고 있습니다.
4. 재위탁의 경우 동의 요구
현행 개인정보 보호법은 수탁자의 재위탁에 관한 사항을 위탁자와 수탁자 간 계약으로 정하도록 규율할 뿐 재위탁을 위한 위탁자의 동의를 요구하지 않는 반면, 개정법률은 수탁자가 위탁받은 개인정보 처리 업무를 다시 위탁하려는 경우 위탁자의 동의를 받도록 요구하고 있습니다(제26조 제6항).
5. 손해배상책임 한도액 상향
개정법률은 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우 손해배상책임의 한도액을 종전 3배에서 5배로 상향하였습니다(제39조 제3항).
6. 자료제출명령 및 비밀유지명령 근거 규정 신설
개정법률은 개정법률 위반에 따른 손해배상청구소송에서 법원이 당사자의 신청에 따라 자료제출명령을 할 수 있도록 하고, 일정한 요건이 갖추어진 경우 당사자의 신청에 따라 비밀유지명령을 하거나 또는 그 명령을 취소할 수 있도록 하였습니다(제39조의3부터 제39조의5).
7. 과태료 규정 정비
개정법률은 개인정보 영향평가를 실시하지 않거나 그 결과를 개인정보 보호위원회에 제출하지 아니한 자에게 3천만원 이하의 과태료를 부과하도록 하였습니다(제75조 제2항 제16호). 그리고, 손해배상책임 이행을 위해 보험 또는 공제에 가입하거나 준비금을 적립하도록 하는 규정을 위반한 개인정보처리자에게 과태료를 부과하는 규정을 삭제하는 등(제75조 제3항 제1호 삭제) 과태료 규정을 정비하였습니다.
VII. 시사점
1) 개인정보 전송요구권이 도입되면서 데이터 시장의 역동적인 모습이 기대됩니다. 물론, 정보·통신 국토·교통, 유통, 교육, 문화·여가의 분야별 접근, 비정형 데이터의 전송 표준화, 개인정보관리 전문기관의 역할, 인증·식별체계의 구축 및 이종데이터의 결합, 개인정보 전송 지원 플랫폼의 역할 등에 대한 다양한 논의가 필요하겠습니다만, 종국적으로 정보주체의 권리강화 측면에서 시행령, 고시 등이 만들어질 것으로 보여집니다. 한편, 개인정보처리자는 전송요구권이 회사에 어떤 영향을 미치는지, 이를 통한 이전해야 하거나, 이전 받을 수 있는 정보가 무엇인지, API 등을 구축해야 할 시스템은 무엇인지 등을 사전에 확인하고 향후 공개될 시행령, 고시 등에 따라 준비하여야 적법한 범위 내에서 새로운 사업을 모색할 수 있을 것으로 생각됩니다.
2) 정보주체의 권리강화의 맥락에서 유럽과 같은 일반 프로파일링에 대한 규정은 아닙니다만, 인공지능과 관련된 완전 자동화된 시스템에 따른 처리에 대한 규정을 마련하고 이에 대한 투명성 원칙도 규정함으로써, 인공지능과 관련된 규정의 대한 기초를 마련한 것에 의미가 있습니다. 차제에 개인정보처리자는 인공지능의 관점에서 개인정보 처리의 라이프 사이클을 살펴보고, 이에 따른 리스크를 식별하여 대응하는 인공지능 거버넌스 체계 구축 도입을 고려할 수 있을 것으로 보여집니다.
3) 개인정보 처리 근거 규정의 합리화로 일률적인 동의 구조만을 인정하던 기존의 실무를 벗어나, 개인정보처리자가 합리적인 적법한 개인정보 처리의 근거가 무엇인지 확인하고 이를 적용할 수 있는 토대가 만들어 질 것으로 보여집니다. 물론, 이 경우에도 개인정보처리자는 해당 개인정보 처리의 근거를 채택한 이유를 명확히 소명할 수 있도록 준비하는 것이 적절할 것입니다.
4) 대한민국의 EU 적정성 결정 이후, 다양한 논의가 되었던 국외이전과 관련하여 동의, ISMS-P 등의 인증에 따른 국외이전, 국외이전 대상국에 따른 이전 등 다양한 국외이전 체계를 구축함으로써, 대한민국의 위상에 부합하는 글로벌 수준의 국외이전 법제 체계를 구축하는 것은 물론, 중지명령을 통해 국외로 이전되는 정보주체의 권리를 실질적으로 보장할 수 있을 것으로 생각됩니다. 개인정보처리자는 데이터 플로우를 통해 국외이전의 서버위치와 이전항목과 목적 등 확인하고 적절한 국외이전 방법을 채택하는 것을 고려할 수 있을 것입니다.
5) 그동안 법적용의 공백이 있었던 이동형 영상정보처리기기에 대해서는 이번 개정을 통해 영상정보의 수집, 가명처리 등의 개인정보 처리의 근거를 해석하는데 합리적인 규정으로 보여집니다. 자율주행, 드론 등 관련 기업에서는 해당 규정을 근거로 적법한 근거 내에서 영상정보가 처리될 수 있도록 하는 프로세스를 구축하는 것이 적절할 것으로 보여집니다.
6) 이외에도 형사처벌을 완화하는 대신 경제제재 기준을 강화하고, 온라인·오프라인을 모두 통합하는 개인정보 보호법 체계를 마련했다는데 큰 의미가 있습니다.
위에서 살펴본 바와 같이, 이번 개정은 개인정보 관련 법령의 실질적인 통합을 이뤄내고, 전송요구권, 개인정보처리 근거 등 비롯한 산업적 영향력을 가진 내용도 상당한 내용을 포함하고 있습니다. 개인정보처리자는 개정 개인정보 보호법에 관한 논의는 물론, 향후 공개될 시행령 및 고시를 확인하고 개인정보의 처리 근거, 개인정보의 국외이전, 전송 요구권, 완전 자동화된 시스템 등의 개정 사항에 대한 대응을 위하여, 내부 시스템과 서비스를 점검하고 새로운 데이터 경제 시대를 준비해야 할 것으로 생각됩니다.
강태욱 변호사 (taeuk.kang@bkl.co.kr)
김도엽 변호사 (doyeup.kim@bkl.co.kr)
이형규 변호사 (hyounggyu.lee@bkl.co.kr)
