간단하게 살펴보는 2023 개인정보보호법 개정안(9월 15일 시행)

1. 이동형 영상정보처리기기

CCTV 등의 고정형 영상기기만을 취급
➡ 드론, 자율주행 자동차 등의 이동형 영상정보처리기기가 증가함에 따라 이동형 영상정보처리기기 내용 신설
 
* 기존에 영상정보처리기기로 정의되었던 부분을 '고정형 영상정보처리기기'와 '이동형 영상정보처리기기(new)'로 나눔
 
개인정보보호법 제 25조의 2(이동형 영상정보처리기기의 운영 제한)

① 업무를 목적으로 이동형 영상정보처리기기를 운영하려는 자는 다음 각 호의 경우를 제외하고는 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상(개인정보에 해당하는 경우로 한정한다. 이하 같다)을 촬영하여서는 아니 된다. ② 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있는 곳에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하여서는 아니 된다. 다만, 인명의 구조ㆍ구급 등을 위하여 필요한 경우로서 대통령령으로 정하는 경우에는 그러하지 아니하다. ③ 제1항 각 호에 해당하여 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하는 경우에는 불빛, 소리, 안내판 등 대통령령으로 정하는 바에 따라 촬영 사실을 표시하고 알려야 한다.

 

2. 과징금 부과

위반행위 관련 매출액 3% 이하 과징금 ➡ 연간 총 매출액의 3% 이하 과징금
 
개인정보보호법 제 62조의 2(과징금의 부과)

① 보호위원회는 다음 각 호의 어느 하나라도 해당하는 경우에는 개인정보 처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. ② 보호위원회는 제 1항에 따른 과징금을 부과하려는 경우 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정한다.

개인정보 보호 책임을 담당자 개인에게 묻는 과도한 형벌 규정을 경제 제재로 전환
위반행위와 관련이 없는 매출액까지 입증해야 함으로써 더욱 강한 경제적 제재가 부과됨
 
 

3. 개인정보 전송 요구권

개인정보를 본인 또는 제3자에게 전송할 것을 요구할 수 있는 권리 도입
=> 자기 자신의 개인정보를 주도적으로 유통·활용할 수 있게 됨
 
A통신사를 이용 중에 보안이 더 우수한 B통신사로 변경할 시 A통신사에서 B통신사로 개인정보 이동이 가능해지는 것❕
 
개인정보보호법 제 35조의 4(개인정보 전송 관리 및 지원)

① 보호위원회는 제35조의2제1항 및 제2항에 따른 개인정보처리자 및 제35조의3제1항에 따른 개인정보관리 전문기관 현황, 활용내역 및 관리실태 등을 체계적으로 관리ㆍ감독하여야 한다. ② 보호위원회는 개인정보가 안전하고 효율적으로 전송될 수 있도록 다음 각 호의 사항을 포함한 개인정보 전송 지원 플랫폼을 구축ㆍ운영할 수 있다. ③ 보호위원회는 제2항에 따른 개인정보 전송지원 플랫폼의 효율적 운영을 위하여 개인정보관리 전문기관에서 구축ㆍ운영하고 있는 전송 시스템을 상호 연계하거나 통합할 수 있다. 이 경우 관계 중앙행정기관의 장 및 해당 개인정보관리 전문기관과 사전에 협의하여야 한다. ④ 제1항부터 제3항까지의 규정에 따른 관리ㆍ감독과 개인정보 전송지원 플랫폼의 구축 및 운영에 필요한 사항은 대통령령으로 정한다.

금융 및 공공 분야에 한정되었던 마이 데이터 사업을 다른 산업 분야로 확대하기 위한 제도적 기반으로 보임
 
 

4. 개인정보처리자의 개인정보 수집과 이용

필수 동의와 선택 동의의 체계 변경
서비스 제공과 본질적으로 관련 있는 내용들은 동의 없이 사업자가 수집해 가고 입증 책임은 사업자가 지게 됨
서비스 제공과 본질적으로 관련 없는 부분들에 한해서만 선택 동의에 의해서 개인정보가 수집
 
 

5. 개인정보 국외 이전

온라인 전자상거래 확대로 개인정보의 해외 이전 필요성 증가
현행 법률상 기업은 고객의 개인정보를 해외로 이전할 때마다 동의를 구해야 해 부담
동의만 이뤄지면 개인정보 보호가 취약한 지역으로도 이전이 가능해 개인정보보호가 어렵다는 문제 존재
➡ 기업이 개인정보 국외이전 인증을 받거나 개인정보 국외이전 대상국임을 인정받은 국가에는 별도 동의 없이 가능
 
✅중지 명령권(new): 법을 위반해 국외 이전하거나 개인정보를 적정하게 보호하고 있지 않다고 판단될 때 개인정보 이전을 중지하는 것
 
 

6. 개인정보 분쟁 조정 제도 강화

개인정보에 관한 분쟁조정에 참여할 의무가 있는 대상은 공공기관 한정 ➡ 모든 개인정보처리자로 확대
 
 

 7. 정보통신서비스 제공자에 대한 특례 규정 삭제

정보통신서비스 제공자에 대한 특례 규정(법 제39조의 3 내지 제29조의15) 삭제
현행 체재는 동의 없이 개인정보를 수집한 경우 온·오프라인 기업의 과징금이 상이
➡ 규정을 일원화하여 온·오프라인 기업을 망라하고 동일한 행위에 대해서는 동일한 규제를 적용
 
 

8. 개인정보 유효기간 제도 관련 규정 삭제

 정보통신서비스를 1년의 기간 동안 이용하지 않은 이용자의 개인정보를 파기 또는 분리보관해야 하는 규정 삭제
 

 

https://www.boannews.com/media/view.asp?idx=117823 

미리 살펴보는 ‘개인정보보호법’ 2차 개정안의 4가지 핵심 내용

https://www.igloo.co.kr/security-information

개인정보보호 담당자가 알아야 할 개인정보보호법 개정