본문 바로가기
[개인정보 보호법 시행령 2차 개정①] ‘데이터 시대’ 대응해 불합리한 규제 개선
김대은 기자|kde125@kidd.co.kr
페이스북 트위터 카카오스토리 네이버블로그 프린트 PDF 다운로드

[개인정보 보호법 시행령 2차 개정①] ‘데이터 시대’ 대응해 불합리한 규제 개선

데이터 3법 개정 당시 ‘주춤’한 과제 추진해

기사입력 2024-03-19 18:00:49
페이스북 트위터 카카오스토리 네이버블로그 프린트 PDF 다운로드
[개인정보 보호법 시행령 2차 개정①] ‘데이터 시대’ 대응해 불합리한 규제 개선
현장 설명회 전경

[산업일보]
2011년 제정된 개인정보 보호법은 ‘개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다’라고 법 제정의 의의를 밝히고 있다. 이 법은 2023년 3월 14일 개정안이 공포됐고 작년 9월 15일에 개정된 1차 시행령에 이어, 이달 15일 2차 시행령이 개정됐다.

개인정보보호위원회(이하 개인정보위)가 18일 개최한 ‘개인정보 보호법 및 시행령 2차 개정사항 현장 설명회’는 송파구 한국광고문화회관에서 200석의 규모로 준비됐다. 그러나 기업 법무팀, 공공기관 담당자 등 많은 실무자의 참석으로 자리가 부족해 간이의자를 행사장 통로를 비롯한 군데군데 추가로 비치했다. 자리에 앉지 못한 일부 참석자들은 선채로 설명회에 귀를 기울이기도 했다.

개인정보위 이정렬 사무처장은 인사말에서 “개인정보 보호와 활용에 대해 많은 실무진들의 관심을 받았는데 충분한 자리를 제공하지 못해 죄송하다”라고 사과를 전하기도 했다.

본보에서는 열기가 높았던 현장 설명회를 바탕으로 이번 2차 시행령 개정사항에 대해 살펴봤다.
[개인정보 보호법 시행령 2차 개정①] ‘데이터 시대’ 대응해 불합리한 규제 개선
개인정보호위원회 김직동 개인정보정책과장

개인정보보호법 1차 시행령
개인정보위의 김직동 개인정보정책과장은 2차 시행 규정 설명에 앞서, 1차 시행령의 주요 내용에 대해 소개했다.

우선, 개인정보위는 데이터 3법(개인정보 보호법·정보통신망법·신용정보법)이 2020년 8월 5일 개정됨에 따라, 행정안전부와 방송통신심의위원회, 금융위원회의 일부 개인정보 보호 기능을 통합하며 출범했다.

김직동 개인정보정책과장은 “데이터 3법 개정 논의 당시, 인공지능(AI)과 빅데이터 등 변화하는 정보 환경에서 약화될 우려가 있는 국민의 정보주권 강화는 차기 과제로 유보됐었는데, 이번 개정을 통해 디지털 대전환을 선도하는 법적기반을 마련한 것”이라고 설명했다.

“데이터 3법 개정 시 방통위가 소관하고 있던 규정들이 ‘묶여만’ 있었다고 한다면, 지난해 3월 공포된 개정안을 통해 ‘융합’을 이뤄냈다”라고 평가하며 “개인정보위는 3차 시행령 개정을 준비 중인데, ‘개인정보 전송 요구권’ 등이 포함된다.”라고 전하기도 했다.

이어진 그의 설명을 살펴보면, 기존 개인정보 보호법은 과속 단속 카메라를 비롯한 고정형 CCTV를 타깃으로 제25조를 제정했다. 그러나 자율주행 배달로봇를 비롯한 ‘이동형 영상정보처리기기’가 도입됐다. 이들은 장애물 회피나 주변 사물 인식 등을 위해 다수의 카메라가 운용되며, 카메라를 통해 사람을 식별하며 개인정보를 다루기 때문에 제15조에 따라 정보주체의 동의를 받는 구조로 대응해 왔다.

그러나, 거리 등을 거니는 배달로봇의 특성상 카메라에 인식되는 불특정 다수에게 동의를 얻는 데 어려움이 있었다. 때문에 개인정보위는 규제 샌드박스로 일정한 조건에서 예외 사항을 만들었고, 관련 산업계에서는 규제 개선을 요구했다.

1차 시행령에서는 제25조의2를 신설해 합법적인 처리 근거를 마련했다. 공개된 장소에서 업무 목적의 촬영을 원칙적으로 제한하되, 촬영 사실을 명확히 표시했음에도 정보주체가 촬영 거부 의사를 밝히지 않는 경우에는 예외적으로 허용한다. 이때, 불빛·소리·안내판·서면·안내방송 등으로 촬영 사실을 표시해야 한다.

‘정보통신서비스의 특례규정’은 데이터 3법 개정시 정보통신서비스 제공자 대상 개인정보 보호 관련 규정을 단순 통합해버려, 온·오프라인 서비스 경계의 모호함에도 오프라인과 온라인 규제가 이원화돼 있어 법 적용의 혼선과 기업의 이중부담이 발생했다.

시행령은 이러한 특례규정(온라인)을 일반 규정(오프라인)과 일원화해 모든 개인정보처리자를 대상으로 ‘동일행위-동일규제’원칙을 적용했다. 또. 특정한 기술을 채택해야 하는 것으로 오인 될 수 있는 용어를 삭제해 관련 규정을 ‘기술 중립적’으로 정비했다.
[개인정보 보호법 시행령 2차 개정①] ‘데이터 시대’ 대응해 불합리한 규제 개선
개인정보보호위원회 김직동 개인정보정책과장

개인정보 유출을 개인정보처리자가 인지한 경우에는 72시간 이내에 정보주체에 통지하고 개인정보위나 한국인터넷 진흥원에 신고하게 했다. 정보주체의 연락처를 알 수 없는 경우에는 홈페이지에 30일 이상 개시하게끔 조정했다.

유출 신고 대상은 정보주체 1천 명 이상의 개인정보가 유출됐거나 민감정보·고유식별정보가 1건이라도 유출된 경우, 해킹 등 외부 침입에 의해 유출되는 경우 무조건적인 신고가 이뤄져야 하게끔 규정됐다.

개인정보위는 형식적인 동의제도를 개선하기도 했다. 제15조 4항의 ‘정보주체와의 계약의 체결 및 이행을 위해 불가피하게 필요한 경우’에서 ‘정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위해 필요한 경우’로 고쳤다. 이제 쇼핑몰 배송과정에서 주소·전화번호 같이 당연히 필요한 개인정보는 동의없이 수집할 수 있다는 것이다.

또한, 개인정보처리자의 자율에 맡겨진 개인정보 처리방침에 대한 명확한 판단기준을 제시하는 ‘개인정보 처리방침 평가제’를 도입했다.

분쟁조정 요청 시 의무적으로 응해야 하는 대상을 공공기관에서 모든 개인정보 처리자로 확대하고 사실조사에 대한 법적근거 규정, 조정안 수락여부 미응답 시 수락으로 간주하는 등 ‘개인정보 분쟁 제도’도 개선했다.

‘N번방 사건’, ‘송파 세 모녀 살인 사건’ 등의 발단이 된 개인정보의 사적 목적 무단 이용에 대한 처벌 근거도 마련했고, 공공분야 개인정보 처리의 안전성을 강화했다.

이 밖에도 김직동 과장은 글로벌 스탠다드에 한국의 법 제도가 부합하도록 개인정보의 국외이전 요건을 다양화하고 보호조치를 강화하는 한편, 개인에 대한 형벌 중심의 규정을 기업에 대한 경제 제재 중심으로 전환해 실효성을 제고 했다고 해설했다.

▶'[개인정보 보호법 시행령 2차 개정②]' 기사로 이어집니다.
다아라 온라인 전시관 GO


0 / 1000
주제와 무관한 악의적인 댓글은 삭제될 수 있습니다.
0 / 1000




추천제품



산업전시회 일정