개인정보 보호기준, 온라인 중심 일원화
공공시스템 운영기관 안전조치 특례 신설
정보파일 등록관리 원칙…일시 처리 등 제외
온라인과 오프라인으로 이원화돼 있는 개인정보 보호 기준이 온라인 중심으로 일원화된다. 또한 온라인 회원 가입때 개인정보 동의 여부를 선택할 수 있도록 별도 표시된다.
개인정보보호위원회는 개인정보보호법 시행령 개정안을 내달 28일까지 40일간 입법예고한다고 19일 밝혔다.
이번 개정안은 지난 3월14일 공포된 개인정보보호법 전면 개정에 따른 후속 조치다. △국민이 동의 여부 실질적 선택토록 개선 △개인정보 보호 기준 일원화 △공공분야 개인정보 처리 안정성 강화가 골자다.
개인정보위는 내년 3월15일 이후 시행 예정인 개인정보 전송요구권 관련 규정, 자동화된 결정에 대한 정보주체의 권리, 공공기관 개인정보 보호수준 평가 등에 관한 사항은 다양한 의견 수렴을 거친 후 법 시행시기에 맞춰 하반기 중 추가로 입법예고할 예정이다.
먼저 국민이 자유로운 의사에 따라 동의할 수 있도록 동의 여부를 선택할 수 있다는 사실을 구분 표시토록 했다. 개인정보처리방침 평가제를 통해 개인정보처리방침을 단계적으로 개선할 수 있는 기반도 마련했다.
온라인과 오프라인으로 이원화돼 있는 개인정보 보호 기준도 온라인 중심으로 일원화된다.
수집 출처 통지 및 이용내역 통지의 통지의무 대상자의 범위를 수집출처 통지 기준에 맞춰 정비하고 통지도 함께 할 수 있도록 개선했다.
이에 따라 앞으로는 5만명 이상 민감정보·고유식별정보를 처리하거나 100만명 이상 개인정보 처리하면 통지 의무대상이다. 현행 이용내역 통지는 정보통신서비스 매출액 100억원 이상, 100만명 이상 개인정보 처리가 기준이다.
정보주체가 정보통신서비스(온라인)를 1년 이상 이용하지 않은 경우 파기하거나 별도 분리해 저장하도록 한 규정(유효기간제)은 삭제했다. 코로나19 상황에서 해외 여행이 제한돼 면세점 홈페이지 서비스 이용이 1년 동안 없어 파기 등의 조치로 이용자와 기업 모두 불편이 발생하는 상황 등을 막기 위한 것이다.
과징금 산정기준도 개편했다. 중대하고 의도적인 위반행위는 중과하고, 경미한 위반행위는 과징금을 면제할 수 있도록 했다. 이를 위해 위반행위 중대성 정도에 따라 현행 3구간-단일 비율 방식에서 4구간-구간 내 차등비율 방식으로 전환했다.
N번방 사건, 송파 살인사건, 신당동 역무원 살인사건 등 공공기관의 개인정보 유출로 인한 국민의 2차 피해를 막기 위해 공공시스템 운영기관에 대한 안전조치 특례도 신설됐다.
그동안 공공기관이 관리하는 개인정보파일이 내부적 업무처리 목적인 경우에는 등록대상에서 제외됐으나 일시적으로 처리되는 경우 등 관리 필요가 없는 경우 외에는 등록해 관리한다.
공공기관이 개인정보 영향평가를 수행해야 하는 시점은 개인정보파일 운용 또는 변경 전으로 명확히 하고, 영향평가서 요약본을 공개할 수 있도록 하여 공공기관의 개인정보를 투명하게 관리한다.
법 개정으로 글로벌 스탠다드에 맞게 개인정보의 국외 이전 요건이 다양화되고 국외이전 중지명령이 도입됨에 따라 세부절차와 기준 등을 구체화했으며, 해외사업자의 국내대리인 지정 기준을 개정법 취지에 맞게 정비했다.
고학수 개인정보위원장은 "지난 3월 법 공포 이후 산업계·시민단체·학계의 의견을 계속해 들어왔으며, 정보주체의 권리와 공공부문의 안전조치는 강화하고 불합리한 규제는 정비하는 내용을 개정안에 담았다"고 밝혔다.
이어 "개정된 개인정보 보호법이 현장에서 차질없이 시행될 수 있도록 입법예고 이후에도 다양한 의견을 들어 시행령에 반영해 나갈 것"이라고 덧붙였다.
이번 시행령 개정안에 대해 의견이 있는 기관·단체 또는 개인은 국민참여입법센터 또는 개인정보위 전자우편 및 일반우편으로 내달 28일까지 의견을 제출할 수 있다.