개인정보보호위, 2차 개인정보보호법 개정안 검토
과징금 부과대상 온오프라인 관계없이 전체 기업·기관으로 확대
부과기준, 위반행위 관련 매출액 3%→전체 매출액 3%로 상향
온라인 사업자 G사와 오프라인 사업자 H사는 고객의 동의 없이 개인정보를 무단 수집하다가 적발됐다. 현재는 G사는 위반행위 관련 매출액의 3% 이하 과징금, 5년 이하 징역 또는 5천만원 이하 벌금을, H사는 5천만원 이하 과태료만 내면 되나 앞으로는 과징금이 대폭 강화된다.
과장금 부과대상을 정보통신서비스 제공자에서 전체 기업 ‧기관으로 확대하고, 부과기준도 위반행위 관련 매출액 3%에서 전체 매출액 3%로 상향되기 때문이다.
개인정보보호위원회(위원장‧윤종인)는 지난 23일 제9회 전체회의에서 개인정보보호법 2차 개정안을 검토했다.
개정안은 정보주체의 권리보장 강화, 개인정보 규제 및 제재 합리화, 규제 합리적 개선 및 입법상 미비점 정비가 골자다.
우선 디지털 환경의 변화에 따라 약화될 우려가 있는 국민의 정보 주권이 강화된다. 이를 위해 먼저 개인정보 이동권(전송 요구권), 자동화된 의사결정에의 대응권을 도입한다. 자신의 개인정보가 언제, 누구에게, 어느 범위까지 이용‧제공되도록 할 것인지 스스로 결정할 수 있도록 한 것.
또한 인공지능의 발전과 함께 자동화된 의사결정이 보편화됨에 따라 정보주체에게 법적 효과 또는 이에 준하는 영향을 미치는 경우 해당 의사결정에 대한 거부, 이의제기, 설명요구권 신설 등 국민의 적극적 대응권도 보장된다.
아울러 분쟁조정 요청시 의무적으로 응해야 하는 대상을 공공기관에서 모든 개인정보처리자로 확대하고, 개인정보 분쟁조정위에 사실조사권을 부여한다.
또한 일반규정과 유사·중복되는 정보통신서비스 특례규정은 폐지하고, 일반규정으로 일원화한다. 이를 통해 온·오프라인 사업자 간 상이한 규정내용 또는 벌칙을 단일화해 모든 개인정보처리자에게 동일한 규범을 적용하고, 특례규정에만 있는 손해배상 보장제도, 국내대리인 지정제도, 개인정보 이용내역 통지 등은 모든 분야로 확대 적용한다.
■ 관련 법률 비교
|
구분 |
GDPR(제20조) |
신정법(제33조의2) |
보호법 개정안 |
|
주체 |
개인정보주체 |
개인인 신용정보주체 |
정보주체 |
|
상대방 |
컨트롤러 |
신용정보제공‧이용자등 |
개인정보처리자 |
|
주요 |
‧ 자신의 개인정보를 체계적 형식으로 제공받거나, 다른 처리자에게 이전할 것을 요구할 수 있는 권리 |
‧ 개인신용정보를 본인 또는 본인신용정보관리회사 등에 전송 요구할 수 있는 권리 |
‧ 자신의 개인정보를 자신, 다른 개인정보처리자 또는 개인정보관리 전문기관에 전송 요구할 수 있는 권리 |
|
정보 범위 |
‧ 정보주체의 동의 또는 계약의 이행을 위한 경우 ‧ 자동화된 수단에 의한 경우 ※ 처리자가 생성‧파생한 정보 제외 |
‧ 신용정보주체로부터 수집한 정보 ‧ 신용정보주체가 제공한 정보 ‧ 권리‧의무관계에서 생성한 정보 ※ 신용정보제공‧이용자등이 별도 생성하거나 가공한 신용정보 제외 |
‧ 동의 또는 계약에 따라 처리되는 경우 ‧ 컴퓨터가 인식할 수 있고 자동화된 방법으로 처리 |
|
권리 |
‧ 다른 개인의 권리와 자유 침해 불가 |
‧ 신용정보주체의 본인여부가 확인되지 않는 경우 등 배제 |
‧ 법률에 특별한 규정이 있는 경우 등 적용 배제 ‧ 타인의 권리와 정당한 이익 침해 불가 |
|
구분 |
GDPR(제22조) |
신정법(제36조의2) |
보호법 개정안 |
|
주체 |
개인정보주체 |
개인인 신용정보주체 |
정보주체 |
|
상대방 |
컨트롤러 |
신용정보제공‧이용자등 |
개인정보처리자 |
|
주요 |
‧ 프로파일링 등 본인에 관한 법적효력을 초래하는 자동화된 처리에만 의존하는 결정의 적용 금지 |
‧ 자동화평가 여부와 그 결과에 대한 설명 및 이의제기 권리 보장 |
‧ 자동화된 개인정보 처리에만 의존하여 정보주체에 법적 효력 등을 미치는 경우 대응권 보장 |
|
적용 범위 |
‧ ①계약 체결 또는 이행에 필요한 경우 ②EU 또는 회원국 법률이 허용하는 경우 ③개인정보주체의 명백한 동의에 근거하는 경우 적용 배제 |
‧ 법률에 특별한 규정이 있거나, 신용정보주체 요구에 따를 시 상거래관계 설정 및 유지가 곤란한 경우 적용 배제 |
‧ 동의 또는 법률상 특별한 규정이 있는 경우에는 거부권 불인정 |
|
주요 권리 |
‧ 컨트롤러의 인적 개입 확보, 본인의 관점 피력, 이의제기 권리 |
‧ 기초정보 정정‧삭제 요구, 자동화평가 결과를 다시 산출할 것을 요구 |
‧ 개인정보 처리에 대한 배제, 재처리, 설명 등 요구 |
가장 눈에 띄는 부분은 제재대상 확대와 경제 제재 중심으로의 전환이다. 개정안은 형벌 요건을 제한하는 대신 EU 등 해외 주요국의 입법례에 따라 과징금을 대폭 강화했다. 개인정보 침해사고는 기업의 경제적 이득을 목적으로 하는 경우가 많은 반면, 형벌 중심의 제재는 개인에 대한 과도한 처벌을 초래한다는 판단에서다.
아울러 개인정보 취급자가 업무상 알게 된 개인정보를 사적 목적으로 이용시 처벌근거를 마련하고, 개인정보처리 수탁자도 과태료·과징금·형벌 등 제재대상에 포함했다.
이에 따라 앞으로 개인정보를 무단수입하다가 적발되면 온·오프라인 사업자에 대한 구분없이 법위반사항에 대해 전체 매출액의 3%이하 과징금을 부과받게 된다.
■ 일반규정과 특례간 제재수준 비교
|
구 분 |
일반규정 |
특례규정 |
→ |
개정안 |
|
수집·이용 미동의 |
5천만원 이하 과태료 |
|
전체 매출액 100분의3 이하 과징금 |
|
|
제3자 제공 미동의 |
5년 이하 징역 또는 |
(자기 또는 제3자의 이익 목적 시) |
||
|
전체 매출액 100분의3 이하 과징금 |
||||
|
목적 외 이용·제공 |
5년 이하 징역 또는 5천만원 이하 벌금 |
(자기 또는 제3자의 이익 목적 시) 5년 이하 징역 또는 5천만원 이하 벌금 |
||
|
전체 매출액 100분의3 이하 과징금 |
||||
|
만14세미만 아동 미동의 |
5천만원 이하 과태료 |
(자기 또는 제3자의 이익 목적 시) 5년 이하 징역 또는 5천만원 이하 벌금 |
||
|
전체 매출액 100분의3 이하 과징금 |
||||
|
민감정보 처리기준 위반 |
5년 이하 징역 또는 5천만원 이하 벌금 |
(자기 또는 제3자의 이익 목적 시) 5년 이하 징역 또는 5천만원 이하 벌금 |
||
|
전체 매출액 100분의3 이하 과징금 |
||||
|
개인정보 미파기 |
3천만원 이하 과태료 |
|
3천만원 이하 과태료 |
|
|
정정·삭제 미조치 후 이용·제공 |
2년 이하 징역 또는 2천만원 이하 벌금 |
|
2년 이하 징역 또는 2천만원 이하 벌금 |
|
|
전체 매출액 100분의3 이하 과징금 |
개인영상정보 보호 강화를 위해 공개된 장소 등에서 업무 목적으로 드론, 자율주행차 등 이동형 영상정보처리기기를 이용해 개인영상정보를 촬영하는 행위를 원칙적으로 제한한다. 현행 법은 현행 법은 고정형 영상기기(CCTV) 만을 규율하고 있어 입법공백이 있었다.
또한 국제표준에 부합하도록 적정한 개인정보 보호 수준이 보장되는 국가로의 안전한 이전을 허용하는 등 국외이전 방식을 다양화한다. 해외 직접구매, 전자상거래 등의 일상화로 개인정보의 국외이전이 증가하고 있으나, 동의 없이는 국외이전을 제한하는 한계가 있다는 판단에서다.
아울러 기업 기관의 자율적 개인정보 보호 활성화를 위해 분야별 자율규제단체 지정 및 지원근거를 마련하고, 안전한 가명정보 처리를 위해 가명정보 결합에 관한 업무수행에 대한 비밀유지 의무도 신설했다.
