본문 바로가기
[개인정보 보호법 시행령 2차 개정③] 공공기관의 개인정보 보호수준 평가해 개선 권고 가능
김대은 기자|kde125@kidd.co.kr
페이스북 트위터 카카오스토리 네이버블로그 프린트 PDF 다운로드

[개인정보 보호법 시행령 2차 개정③] 공공기관의 개인정보 보호수준 평가해 개선 권고 가능

손해배상책임 이행 의무대상, ‘정보통신서비스 제공자’→‘모든 개인정보 처리자’로 확대

기사입력 2024-03-23 09:16:53
페이스북 트위터 카카오스토리 네이버블로그 프린트 PDF 다운로드
[산업일보]
▶'[개인정보 보호법 시행령 2차 개정②] AI 결정에 대한 국민 권리 보장 및 CPO제도 개선' 기사에서 이어집니다.
[개인정보 보호법 시행령 2차 개정③] 공공기관의 개인정보 보호수준 평가해 개선 권고 가능
개인정보보호위원회 자율정책과 황주영 사무관

‘개인정보 보호수준 평가’로 공공기관의 개인정보 보호 역량 강화
개인정보보호위원회(이하 개인정보위)는 매년 공공기관의 개인정보 관리 수준을 자료를 중심으로 진단해 왔다. 그러나 평가대상 선정, 평가 절차, 개선·이행 조치 등에 대한 명확한 법적 근거가 없어 진단결과 환류의 어려움이 있었다.

개인정보위 자율정책과 황주영 사무관은 “11조의 2조항을 신설해 공공기관의 개인정보 보호수준을 평가하고, 결과를 바탕으로 개선 권고가 가능하도록 ‘개인정보 보호수준 평가(이하 보호수준 평가)’에 대한 법적근거를 마련했다”라며 “보호수준 평가 시행을 위해 평가대상과 평가기준 및 절차, 자료제출 범위 등도 구체화했다”라고 말했다.

보호수준 평가 대상에는 ▲중앙행정기관 및 소속기관, 지방자치단체, 시·도 교육청, 교육지원청 ▲‘공공기관 운영에 관한 법률’ 제4조에 해당하는 공공기관과 ‘지방공기업법’에 해당하는 지방공사와 지방공단 ▲시행령 제2조, 제4호 및 제5호에 따른 공공기관 중 개인정보 처리 업무의 특성 등을 고려해 개인정보위가 고시하는 기준에 해당하는 기관이 포함된다.

세부기준으로 특별법에 의해 설립된 특수법인과 ‘고등교육법’ 제2조에 따른 학교 중 보호수준평가가 필요한 기관에 대해 개인정보위가 정할 수 있게 됐다.

‘개인정보 보호수준 평가에 관한 고시’ 제2조 제2항은 이에 대해 구체적으로, ▲5만 명 이상의 민감정보 또는 고유식별정보를 처리하는 경우 ▲100만 명 이상의 개인정보를 처리하는 경우 ▲최근 3년간 침해사고가 2회 이상 발생했거나 과징금 또는 과태료 처분 등 1회 이상 받은 경우 ▲개인정보 침해 우려가 크게 판단되는 경우라고 규정하고 있다.

평가기준은 개인정보 정책과 업무의 수행실적 및 개선 정도, 관리체계의 적정성, 정보주체의 권리보장을 위한 조치사항 및 이행정도, 개인정보 침해방지 조치사항 및 안전성 확보 조치 이행정도 등을 기준으로 한다. 황주영 사무관은 “4월 중 기준 별 세부 평가지표를 별도로 마련해 평가계획으로 공개할 예정”이라고 해설했다.

평가절차는 평가계획 수립 및 통보, 평가단 구성, 자료 제출, 평가 수행, 결과 통지 순으로 진행된다. 개인정보위는 평가 대상 기관의 장에게 평가계획을 통보하고, 제출한 자료와 현장 방문으로 평가해 차년도 상반기에 발표할 계획이다.

평가단은 ‘고등교육법’ 제2조에 따른 학교에서 조교수 이상으로 재직하며 개인정보 보호 관련 경력 3년 이상인 사람, 개인정보 또는 정보보호, 보안분야에서 3년 이상 업무 경력을 갖춘 사람, 개인정보위가 경력과 전문지식이 풍부하다고 인정하는 사람으로 구성되며 임기는 1년이다.
[개인정보 보호법 시행령 2차 개정③] 공공기관의 개인정보 보호수준 평가해 개선 권고 가능
출처=개인정보보호위원회

황 사무관은 “평가 결과의 환류를 위해 우수기관 및 소속 직원에 대해 포상할 수 있도록 법과 고시에 명시해 표창 수여, 포상금 지급 등의 우대 조치할 것”이라며 “또, 개선을 권고하거나 미흡기관에 대한 현장 컨설팅 및 실태점검도 할 수 있다”라고 설명했다.

이어, “권고를 받은 기관의 장은 조치를 반드시 이행해 개인정보위에 알려야 하고, 평가에 필요한 사항들의 지원에 대해 노력해야 한다”라고 강조했다.

덧붙여, “평가에 필요한 자료를 제출하지 않거나 거짓으로 제출했을 시 1천만 원 이하의 과태료 처분을 받을 수 있다”라며 “평가의 신뢰성을 확보하고 올바른 평가 제도로 안착하는 과정”이라고 언급했다.
[개인정보 보호법 시행령 2차 개정③] 공공기관의 개인정보 보호수준 평가해 개선 권고 가능
개인정보보호위원회 분쟁조정과 심우상 사무관

손해배상책임 보장 의무대상자 범위 개선돼
2차 시행령의 개정으로, 기존의 정보통신서비스 제공자 등을 대상으로 하던 ‘손해배상의 보장’ 특례규정이 삭제됐다. 손해배상 책임의 이행 의무대상이 모든 개인정보처리자로 확대된 것이다.

개인정보위 분쟁조정과 심우상 사무관은 “의무 대상의 변경에 따라 구체적 기준 등 조정이 필요했다”라며 “의무대상의 매출액 및 개인정보 수 기준을 조정하고 면제 대상에 대한 기준을 마련했다”라고 말했다.

개정 내용을 살펴보면, 보유량 기준 의무대상이 1천 명 이상 이용자 수에서 1만 명 이상 정보주체수로 조정됐다. 매출액 기준으로는 5천만 원 이상에서 10억 원 이상으로 올랐다. 매출이 없는 공공기관은 법인세법에 따른 기관의 소득으로 매출액을 정한다.

의무가 면제되는 대상의 범위도 규정됐다.

개인정보 보호법상 공공기관은 윈직적으로는 의무적용을 면제한다. 다만, CPO(개인정보보호책임자)지정시 자격요건 의무 대상인 기관은 의무적용 대상이다. 또, 시행령 제2조2호부터 제5호까지 해당되는 공공기관 중, ‘시행령 제32조제4항 각 호’의 적용을 받는 공공기관도 의무를 적용한다.
시행령 제32조제4항 각 호
1. 연간 매출액 등이 1천500억원 이상인자로서 다음 각 목의 어느 하나에 해당하는 자(제2조제5호에 따른 각급 학교 및 ‘의료법’ 제3조에 따른 의료기관은 제외한다)
가. 5만 명 이상의 정보주체에 관해 민감정보 또는 고유식별정보를 처리하는 자
나. 100만 명 이상의 정보주체에 관해 개인정보를 처리하는 자
2. 직전 연도 12월 31일 기준으로 재학생 수가 2만 명 이상인 ‘고등교육법’ 제2조에 따른 학교
3. ‘의료법’ 제3조의 4에 따른 상급종합병원
4. 공공시스템 운영기관

‘공익법인 설립·운영에 관한 법률’ 제2조에 해당하는 공익법인, ‘비영리민간단체 지원법’ 제4조에 따라 등록한 단체는 예외없이 면제 대상이다.

‘소상공인기본법’ 제2조 1항에 따른 소상공인으로, 개인정보가 분실·도난·유출·위조·변조·훼손되지 않도록 개인정보의 저장·관리업무를 위탁받았고 손해배상 책임의 이행을 보장하는 보험·공제·준비금을 적립하는 등 필요한 조치를 하는 전문 위탁자에게 개인정보 저장·관리 업무를 위탁한 경우에도 의무가 면제된다.

심우상 사무관은 “개인정보 손해배상책임 보장제도와 관련해 손해보험사에 문의하는 경우가 많을 것으로 예상된다”라며 “기존 안내서를 개정해 손해보험협회를 통해 각 손해보험사에 배포할 예정”이라고 밝혔다.

기타 시행령 개정사항
이 밖에도 개인정보위는 ‘고유식별정보 관리실태 정기조사’의 기간을 2년에서 3년으로 조정했다. 더불어, ‘개인정보 보호수준 평가’를 비롯한 정기점검이 이뤄지는 경우 중복조사 방지를 위한 제외 규정을 마련할 계획이다.

국외에서 국내 정보주체의 개인정보를 수집해 처리하는 경우에는 처리 국가명과 국외 이전 시 법적 근거를 개인정보 처리방침에 기재하도록 추가하기도 했다.

2023년 규제개혁위원회의 재검토기한 심사결과를 반영해 ‘개인정보 처리자 간 가명정보의 결합’의 재검토 기한을 2년에서 3년으로 변경했고, ‘CPO 자격요건 및 독립성 준수사항’과 ‘자동화된 결정에 대한 권리’, 두 가지 신설 규정에 대해 재검토 기한을 2년으로 설정했다.

한편, 개인정보위는 향후 분야별 설명회·간담회를 통해 법 개정 사항을 홍보하고, 개인정보 전송요구권이 포함된 개인정보 보호법 시행령 3차 개정을 추진할 것이라고 밝히기도 했다.
다아라 온라인 전시관 GO


0 / 1000
주제와 무관한 악의적인 댓글은 삭제될 수 있습니다.
0 / 1000




추천제품