본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

 

 

개인정보보호법이란 개인정보 처리 및 보호에 관한 법률로서, 2011년 3월 29일 공포되어 같은 날부터 시행되고 있습니다. 

 

2023년 3월 14일, 개인정보보호법 2차 개정안이 공포되었으며, 6개월이 경과한 2023년 9월 15일부터 시행될 예정입니다

 

개인정보보호법 2차 개정안에서는 정보주체의 개인정보에 대한 통제권 강화 및 개인정보관리 전문기관 또는 안전조치의무를 이행하고 인공지능 등을 이용한 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우 정보주체가 이를 거부하거나 해당 결정에 대한 설명 등을 요구할 수 있도록 하였습니다.

 

또한 종전에 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서 이관된 개인정보 보호 관련 규정이 온라인 사업자인 정보통신서비스 제공자에 대한 특례로 규정되어 동일한 행위에 대하여 온라인 사업자와 오프라인 사업자 간 적용되는 규정이 달라 불필요한 혼란이 발생한 점을 고려하여 관련 규정을 정비하였으며, 개인정보를 국외로 이전할 수 있는 경우를 확대하여 국제기준에 부합하도록 하는 등 현행 제도의 운영상 나타난 일부 미비점을 개선ㆍ보완하였습니다. 

 

이에, 이스트시큐리티와 함께 개인정보보호법 2차 개정안의 주요 내용을 살펴보도록 하겠습니다. 

 

이번 개인정보보호법 2차 개정안의 주요 내용은 다음과 같습니다. 

 

 

1. 이동형 영상정보처리기기 운영기준 마련(제2조제7호의2 및 제25조의2 신설)

 

CCTV와 같은 고정형 영상정보처리기기 외에 드론, 자율주행 자동차 등을 이용한 이동형 영상정보처리기기의 사용이 증가함에 따라, 이동형 영상정보처리기기의 정의를 마련하였습니다. 또한 이동형 영상정보처리기기로 공개된 장소에서 업무를 목적으로 사람 또는 그 사람과 관련된 사물의 영상을 촬영할 수 없도록 원칙적으로 금지하고, 예외적으로 촬영할 수 있는 경우와 이동형 영상정보처리기기의 운영 기준 등을 정하였습니다. 


* 기존에 영상정보처리기기로 정의되었던 부분을 '고정형 영상정보처리기기'와 '이동형 영상정보처리기기'로 나누고, 이동형 영상정보처리기기의 내용을 신설함.

 

제2조(정의)
7. “고정형 영상정보처리기기”란 일정한 공간에 설치되어 지속적 또는 주기적으로 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.
7의2. “이동형 영상정보처리기기”란 사람이 신체에 착용 또는 휴대하거나 이동 가능한 물체에 부착 또는 거치(据置)하여 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.

제25조의2(이동형 영상정보처리기기의 운영 제한) ① 업무를 목적으로 이동형 영상정보처리기기를 운영하려는 자는 다음 각 호의 경우를 제외하고는 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상(개인정보에 해당하는 경우로 한정한다. 이하 같다)을 촬영하여서는 아니 된다.
1. 제15조제1항 각 호의 어느 하나에 해당하는 경우
2. 촬영 사실을 명확히 표시하여 정보주체가 촬영 사실을 알 수 있도록 하였음에도 불구하고 촬영 거부 의사를 밝히지 아니한 경우. 이 경우 정보주체의 권리를 부당하게 침해할 우려가 없고 합리적인 범위를 초과하지 아니하는 경우로 한정한다.
3. 그 밖에 제1호 및 제2호에 준하는 경우로서 대통령령으로 정하는 경우
② 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있는 곳에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하여서는 아니 된다. 다만, 인명의 구조ㆍ구급 등을 위하여 필요한 경우로서 대통령령으로 정하는 경우에는 그러하지 아니하다.
③ 제1항 각 호에 해당하여 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하는 경우에는 불빛, 소리, 안내판 등 대통령령으로 정하는 바에 따라 촬영 사실을 표시하고 알려야 한다.
④ 제1항부터 제3항까지에서 규정한 사항 외에 이동형 영상정보처리기기의 운영에 관하여는 제25조제6항부터 제8항까지의 규정을 준용한다.

 

 

 

2. 자동화된 결정에 대한 정보주체의 권리 추가(제4조제6호 및 제37조의2 신설)

 

자동화된 시스템으로 인한 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우, 해당 결정을 거부하거나 해당 결정에 대한 설명등을 요구할 수 있는 정보주체의 권리를 추가하였습니다. 

제4조(정보주체의 권리) 6
완전히 자동화된 개인정보 처리에 따른 결정을 거부하거나 그에 대한 설명 등을 요구할 권리

제37조의2(자동화된 결정에 대한 정보주체의 권리 등) ① 정보주체는 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함한다)으로 개인정보를 처리하여 이루어지는 결정(「행정기본법」 제20조에 따른 행정청의 자동적 처분은 제외하며, 이하 이 조에서 “자동화된 결정”이라 한다)이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 개인정보처리자에 대하여 해당 결정을 거부할 수 있는 권리를 가진다. 다만, 자동화된 결정이 제15조제1항제1호ㆍ제2호 및 제4호에 따라 이루어지는 경우에는 그러하지 아니하다.

② 정보주체는 개인정보처리자가 자동화된 결정을 한 경우에는 그 결정에 대하여 설명 등을 요구할 수 있다.

③ 개인정보처리자는 제1항 또는 제2항에 따라 정보주체가 자동화된 결정을 거부하거나 이에 대한 설명 등을 요구한 경우에는 정당한 사유가 없는 한 자동화된 결정을 적용하지 아니하거나 인적 개입에 의한 재처리ㆍ설명 등 필요한 조치를 하여야 한다.

④ 개인정보처리자는 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.

⑤ 제1항부터 제4항까지에서 규정한 사항 외에 자동화된 결정의 거부ㆍ설명 등을 요구하는 절차 및 방법, 거부ㆍ설명 등의 요구에 따른 필요한 조치, 자동화된 결정의 기준ㆍ절차 및 개인정보가 처리되는 방식의 공개 등에 필요한 사항은 대통령령으로 정한다.

 

 


3. 개인정보의 국외 이전 및 국외 이전 중지 명령(제28조의8 및 제28조의9 신설)

 

종전에는 정보주체의 별도 동의가 있는 경우에만 개인정보를 국외로 이전할 수 있도록 하던 것을 앞으로는 개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준의 보호 수준을 갖추었다고 개인정보 보호위원회가 인정하는 경우 등에도 개인정보를 국외로 이전할 수 있도록 하여 국외 이전의 요건을 국제기준에 부합하도록 다양화 하였으며,  개인정보처리자가 이 법을 위반하여 개인정보를 국외로 이전하는 경우 등에는 개인정보 보호위원회가 해당 개인정보처리자에게 국외 이전을 중지할 것을 명할 수 있도록 함.

 

제28조의8(개인정보의 국외 이전) ① 개인정보처리자는 개인정보를 국외로 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 절에서 “이전”이라 한다)하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 국외로 이전할 수 있다.

1. 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우

2. 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우

3. 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁ㆍ보관이 필요한 경우로서 다음 각 목의 어느 하나에 해당하는 경우

가. 제2항 각 호의 사항을 제30조에 따른 개인정보 처리방침에 공개한 경우
나. 전자우편 등 대통령령으로 정하는 방법에 따라 제2항 각 호의 사항을 정보주체에게 알린 경우

4. 개인정보를 이전받는 자가 제32조의2에 따른 개인정보 보호 인증 등 보호위원회가 정하여 고시하는 인증을 받은 경우로서 다음 각 목의 조치를 모두 한 경우

가. 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치
나. 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치

5. 개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우

② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 미리 다음 각 호의 사항을 정보주체에게 알려야 한다.

1. 이전되는 개인정보 항목
2. 개인정보가 이전되는 국가, 시기 및 방법
3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처를 말한다)
4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간
5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과

③ 개인정보처리자는 제2항 각 호의 어느 하나에 해당하는 사항을 변경하는 경우에는 정보주체에게 알리고 동의를 받아야 한다.

④ 개인정보처리자는 제1항 각 호 외의 부분 단서에 따라 개인정보를 국외로 이전하는 경우 국외 이전과 관련한 이 법의 다른 규정, 제17조부터 제19조까지의 규정 및 제5장의 규정을 준수하여야 하고, 대통령령으로 정하는 보호조치를 하여야 한다.

⑤ 개인정보처리자는 이 법을 위반하는 사항을 내용으로 하는 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.

⑥ 제1항부터 제5항까지에서 규정한 사항 외에 개인정보 국외 이전의 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다.


제28조의9(개인정보의 국외 이전 중지 명령) ① 보호위원회는 개인정보의 국외 이전이 계속되고 있거나 추가적인 국외 이전이 예상되는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자에게 개인정보의 국외 이전을 중지할 것을 명할 수 있다.

1. 제28조의8제1항, 제4항 또는 제5항을 위반한 경우

2. 개인정보를 이전받는 자나 개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보 보호 수준에 비하여 개인정보를 적정하게 보호하지 아니하여 정보주체에게 피해가 발생하거나 발생할 우려가 현저한 경우

② 개인정보처리자는 제1항에 따른 국외 이전 중지 명령을 받은 경우에는 명령을 받은 날부터 7일 이내에 보호위원회에 이의를 제기할 수 있다.
③ 제1항에 따른 개인정보 국외 이전 중지 명령의 기준, 제2항에 따른 불복 절차 등에 필요한 사항은 대통령령으로 정한다.

 

 

4. 개인정보 전송 요구권 신설(제35조의2 신설)

 

정보 주체가 개인정보처리자에 대하여 본인의 개인정보를 본인 또는 제3자에게 전송하도록 요구할 수 있는 권리인 개인정보 전송요구권을 새롭게 도입하였습니다. 

 

제35조의2(개인정보의 전송 요구) ① 정보주체는 개인정보 처리 능력 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 다음 각 호의 요건을 모두 충족하는 개인정보를 자신에게로 전송할 것을 요구할 수 있다.

1. 정보주체가 전송을 요구하는 개인정보가 정보주체 본인에 관한 개인정보로서 다음 각 목의 어느 하나에 해당하는 정보일 것

가. 제15조제1항제1호, 제23조제1항제1호 또는 제24조제1항제1호에 따른 동의를 받아 처리되는 개인정보

나. 제15조제1항제4호에 따라 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 처리되는 개인정보

다. 제15조제1항제2호ㆍ제3호, 제23조제1항제2호 또는 제24조제1항제2호에 따라 처리되는 개인정보 중 정보주체의 이익이나 공익적 목적을 위하여 관계 중앙행정기관의 장의 요청에 따라 보호위원회가 심의ㆍ의결하여 전송 요구의 대상으로 지정한 개인정보

2. 전송을 요구하는 개인정보가 개인정보처리자가 수집한 개인정보를 기초로 분석ㆍ가공하여 별도로 생성한 정보가 아닐 것

3. 전송을 요구하는 개인정보가 컴퓨터 등 정보처리장치로 처리되는 개인정보일 것

② 정보주체는 매출액, 개인정보의 보유 규모, 개인정보 처리 능력, 산업별 특성 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 제1항에 따른 전송 요구 대상인 개인정보를 기술적으로 허용되는 합리적인 범위에서 다음 각 호의 자에게 전송할 것을 요구할 수 있다.

 

 

 

5. 정보통신서비스 제공자 등의 개인정보 처리에 관하여는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서 이관된 특례 규정을 적용하도록 하던 것을 모든 개인정보처리자에 대하여 동일 행위에 동일 규제를 적용할 수 있도록 정비(현행 제39조의3부터 제39조의8까지 등 삭제)

 

정보통신서비스 제공자 등의 개인정보 처리에 관하여는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서 이관된 특례 규정을 적용하도록 하던 것을 모든 개인정보처리자에 대하여 동일 행위에 동일 규제를 적용할 수 있도록 종전의 특례 규정을 삭제하고 이를 모든 개인정보처리자에 대한 일반 규정으로 정비하였습니다.

 

(제39조의3 앞의 "제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례" 삭제)

제39조의3(자료의 제출) ① 법원은 이 법을 위반한 행위로 인한 손해배상청구소송에서 당사자의 신청에 따라 상대방 당사자에게 해당 손해의 증명 또는 손해액의 산정에 필요한 자료의 제출을 명할 수 있다. 다만, 제출명령을 받은 자가 그 자료의 제출을 거부할 정당한 이유가 있으면 그러하지 아니하다.

② 법원은 제1항에 따른 제출명령을 받은 자가 그 자료의 제출을 거부할 정당한 이유가 있다고 주장하는 경우에는 그 주장의 당부(當否)를 판단하기 위하여 자료의 제시를 명할 수 있다. 이 경우 법원은 그 자료를 다른 사람이 보게 하여서는 아니 된다.

③ 제1항에 따라 제출되어야 할 자료가 「부정경쟁방지 및 영업비밀보호에 관한 법률」 제2조제2호에 따른 영업비밀(이하 “영업비밀”이라 한다)에 해당하나 손해의 증명 또는 손해액의 산정에 반드시 필요한 경우에는 제1항 단서에 따른 정당한 이유로 보지 아니한다. 이 경우 법원은 제출명령의 목적 내에서 열람할 수 있는 범위 또는 열람할 수 있는 사람을 지정하여야 한다.

④ 법원은 제1항에 따른 제출명령을 받은 자가 정당한 이유 없이 그 명령에 따르지 아니한 경우에는 자료의 기재에 대한 신청인의 주장을 진실한 것으로 인정할 수 있다.

⑤ 법원은 제4항에 해당하는 경우 신청인이 자료의 기재에 관하여 구체적으로 주장하기에 현저히 곤란한 사정이 있고 자료로 증명할 사실을 다른 증거로 증명하는 것을 기대하기도 어려운 경우에는 신청인이 자료의 기재로 증명하려는 사실에 관한 주장을 진실한 것으로 인정할 수 있다.

제39조의4(비밀유지명령) ① 법원은 이 법을 위반한 행위로 인한 손해배상청구소송에서 당사자의 신청에 따른 결정으로 다음 각 호의 자에게 그 당사자가 보유한 영업비밀을 해당 소송의 계속적인 수행 외의 목적으로 사용하거나 그 영업비밀에 관계된 이 항에 따른 명령을 받은 자 외의 자에게 공개하지 아니할 것을 명할 수 있다. 다만, 그 신청 시점까지 다음 각 호의 자가 준비서면의 열람이나 증거조사 외의 방법으로 그 영업비밀을 이미 취득하고 있는 경우에는 그러하지 아니하다.

1. 다른 당사자(법인인 경우에는 그 대표자를 말한다)
2. 당사자를 위하여 해당 소송을 대리하는 자
3. 그 밖에 해당 소송으로 영업비밀을 알게 된 자

② 제1항에 따른 명령(이하 “비밀유지명령”이라 한다)을 신청하는 자는 다음 각 호의 사유를 모두 소명하여야 한다.

1. 이미 제출하였거나 제출하여야 할 준비서면, 이미 조사하였거나 조사하여야 할 증거 또는 제39조의3제1항에 따라 제출하였거나 제출하여야 할 자료에 영업비밀이 포함되어 있다는 것
2. 제1호의 영업비밀이 해당 소송 수행 외의 목적으로 사용되거나 공개되면 당사자의 영업에 지장을 줄 우려가 있어 이를 방지하기 위하여 영업비밀의 사용 또는 공개를 제한할 필요가 있다는 것

③ 비밀유지명령의 신청은 다음 각 호의 사항을 적은 서면으로 하여야 한다.

1. 비밀유지명령을 받을 자
2. 비밀유지명령의 대상이 될 영업비밀을 특정하기에 충분한 사실
3. 제2항 각 호의 사유에 해당하는 사실

④ 법원은 비밀유지명령이 결정된 경우에는 그 결정서를 비밀유지명령을 받을 자에게 송달하여야 한다.

⑤ 비밀유지명령은 제4항의 결정서가 비밀유지명령을 받을 자에게 송달된 때부터 효력이 발생한다.

⑥ 비밀유지명령의 신청을 기각하거나 각하한 재판에 대해서는 즉시항고를 할 수 있다.

제39조의5(비밀유지명령의 취소) ① 비밀유지명령을 신청한 자 또는 비밀유지명령을 받은 자는 제39조의4제2항 각 호의 사유에 부합하지 아니하는 사실이나 사정이 있는 경우 소송기록을 보관하고 있는 법원(소송기록을 보관하고 있는 법원이 없는 경우에는 비밀유지명령을 내린 법원을 말한다)에 비밀유지명령의 취소를 신청할 수 있다.

② 법원은 비밀유지명령의 취소신청에 대한 재판이 있는 경우에는 그 결정서를 그 신청을 한 자 및 상대방에게 송달하여야 한다.

③ 비밀유지명령의 취소신청에 대한 재판에 대해서는 즉시항고를 할 수 있다.

④ 비밀유지명령을 취소하는 재판은 확정되어야 효력이 발생한다.

⑤ 비밀유지명령을 취소하는 재판을 한 법원은 비밀유지명령의 취소신청을 한 자 또는 상대방 외에 해당 영업비밀에 관한 비밀유지명령을 받은 자가 있는 경우에는 그 자에게 즉시 비밀유지명령의 취소 재판을 한 사실을 알려야 한다.

제39조의6(소송기록 열람 등의 청구 통지 등) ① 비밀유지명령이 내려진 소송(모든 비밀유지명령이 취소된 소송은 제외한다)에 관한 소송기록에 대하여 「민사소송법」 제163조제1항에 따라 열람 등의 신청인을 당사자로 제한하는 결정이 있었던 경우로서 당사자가 같은 항에서 규정하는 비밀 기재부분의 열람 등의 청구를 하였으나 그 청구 절차를 해당 소송에서 비밀유지명령을 받지 아니한 자가 밟은 경우에는 법원서기관, 법원사무관, 법원주사 또는 법원주사보(이하 이 조에서 “법원사무관등”이라 한다)는 같은 항의 신청을 한 당사자(그 열람 등의 청구를 한 자는 제외한다. 이하 제3항에서 같다)에게 그 청구 직후에 그 열람 등의 청구가 있었다는 사실을 알려야 한다.

② 법원사무관등은 제1항의 청구가 있었던 날부터 2주일이 지날 때까지(그 청구 절차를 밟은 자에 대한 비밀유지명령 신청이 그 기간 내에 이루어진 경우에는 그 신청에 대한 재판이 확정되는 시점까지를 말한다) 그 청구 절차를 밟은 자에게 제1항의 비밀 기재부분의 열람 등을 하게 하여서는 아니 된다.

③ 제2항은 제1항의 열람 등의 청구를 한 자에게 제1항의 비밀 기재부분의 열람 등을 하게 하는 것에 대하여 「민사소송법」 제163조제1항의 신청을 한 당사자 모두가 동의하는 경우에는 적용되지 아니한다.

 

(제39조의7 및 제39조의8 삭제)

 

이 밖에도 정보통신서비스 제공자등에만 적용되던 개인정보 이용내역 통지(제20조의2), 개인정보 국외이전(제28조의8, 제28조의9), 국내대리인 지정(제31조의2), 공중에 노출된 개인정보 삭제(제34조의2), 손해배상 보장(제39조의7, 공포 후 1년이 경과한 날부터 시행) 등의 규정이 개인정보 보호법 2차 개정안 하에서는 온·오프라인사업자에게 동일하게 적용될 예정입니다. 

 

개인정보보호법 2차 개정안은 오랜 시간 다양한 영역의 전문가 및 단체들의 의견을 수렴하여 정비한 개정안으로 의미가 있으며, 개인정보와 관련된 다양한 정책 변화가 일어날 것으로 예상됩니다. 

 

개인정보보호법 2차 개정안에 대한 더 자세한 내용은 국가법령정보센터 내 개인정보보호법을 확인하시기 바랍니다.