2023년 9월 15일에 시행된 「개인정보 보호법 및 시행령」의 주요 개정 내용

2023년 9월 15일에 시행된 「개인정보 보호법 및 시행령」의 주요 개정 내용

---

 1. 정보주체인 국민의 권리 보장, 「개인정보 보호법 및 시행령」의 주요 개정 방향

개정 방향	- 정보주체인 국민의 권리는 실질적으로 보장하면서 온라인-오프라인으로 이원화되어 있는 개인정보 처리 기준을 디지털 환경에 맞게 일원화하는 등 각 계에서 논의되어 온 다양한 내용 개정

-   개인정보 보호법 시행에 따라 개인정보를 처리하는 과정에서 준수해야 할 사항에 많은 변화 예상

---

2. 국민 권익보호 및 현장 규제 개선의 개인정보 보호법 및 시행령 주요 개정 내용

가. 국민의 권익보호 실질적 향상

규정 및 제도	주요 개정 내용	설명
개인정보 처리 관련 규정	개인정보 수집ㆍ이용 및 제공	- 필수 동의 관행 개선 - 코로나 19등 상황에서 안전조치 강화 - 급박한 상황에서 국민의 생명 등 보호 강화
	개인정보 처리방침 평가 (법 제30조의 2)	- 개인정보 처리방침에 대해 보호위원회가 내용의 적정성, 이해의 용이성, 접근성 등을 평가 - 평가 대상은 정보주체의 특성 등을 종합적으로 고려하여 보호위원회가 선정할 계획 - 평가 기준은 각 기준별 세부 평가지표를 마련하여 객관적으로 평가할 계획 - 개인정보 처리방침을 대상으로 평가하며, 평가 과정에서 사실 확인이나 소명 등 의견 제출을 요청할 수 있도록 시행령에 평가 절차 구체화
개인정보 유출 등의 통지 및 신고	개인정보 유출 등의 통지 및 신고 (법 제34조)	- 개인정보 유출 통지의 경우 시행령 제39조에서 개인정보가 유출되었음을 알게 되었을 때에는 72시간 이내에 정보주체에게 알리도록 기준 일원화 - 유출 신고의 경우 시행령 제40조에서 1천명 이상 유출, 민감정보ㆍ고유 식별정보가 1건이상 유출, 외부로부터의 불법적인 접근에 의해 1건이상 유출되었음을 알게 되었을 때 72시간 이내 신고하도록 기준 일원화

- 영상정보ㆍ온-오프라인 이원화된 규제 등은 현장의 규제 개선 요청을 반영하여 개선.

 

나. 현장의 규제 개선 요청 반영

규정 및 제도	주요 개정 내용	설명
영상정보처리기기 규정	고정형 영상정보처리기기 (법 제25조)	- 도로, 공원 등 불특정 다수가 이용하는 공개된 장소에서 고정형 영상정보처리기기(CCTV)를 설치ㆍ운영할 수 있는 경우를 확대 - 시설 관리 목적, 인구밀집도 분석, 디지털 광고 등을 위해 촬영한 영상을 저장하지 않고 통계값 또는 특정값 산출 용도로 활용
	이동형 영상정보처리기기 (법 제25조의 2)	- 업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기를 통해 개인정보에 해당하는 영상을 촬영하는 경우 적용 - 자율주행차, 배달로봇, 드론 등의 유ㆍ무인 이동체가 촬영사실을 명확히 표시하여 정보주체가 알 수 있도록 하는 경우 주행 경로상의 영상을 촬영하여 장애물 파악 및 회피등을 위해 활용
수집 출처 및 이용 ㆍ제공 내용 통지 제도	개인정보 수집 출처 등 통지 (법 제20조, 영 제15조의 2)	- 법 제20조제2항에서 정하는 의무적으로 수집 출처 등의 통지를 해야 하는 대상을 정할 때의 정보주체의 수 산정기준을 법 제20조의2에 따른 이용ㆍ제공 내역 통지의 산정기준과 동일하게 정비 - 이용ㆍ제공 내역의 통지를 서면ㆍ전자우편ㆍ전화ㆍ문자전송 외에도 알림창을 통해 알리는 방법을 추가하여 추가 통지 방법 다양화
	개인정보 이용ㆍ제공내역의 통지 (법 제20조의2, 영 제15조의 3)	- 이용ㆍ제공 내역 통지 제도가 현행 시행령의 매출액 기준은 삭제하여 의무대상에서 제외 - 이용ㆍ제공 내역에 대한 안내 제도의 취지를 고려하여 통지 대상에서 제외되는 정보주체의 범위 명확화 - 통지의 주기 및 방법은 연 1회 이상 주기적으로 정보주체에게 통지하고 그 시기는 개인정보처리자가 자유로이 결정 - 재화 및 서비스를 제공하는 과정에서 정보주체가 쉽게 알 수 있도록 알림창을 통해 알리는 방법을 추가로 활용 가능

- 공공분야에서 개인정보가 안전하게 처리될 수 있도록 안정성 확보조치 등을 강화

 

3. 공공분야 개인정보 및 글로벌 스탠다드 반영의 개인정보 보호법 및 시행령 주요 개정 내용

가. 공공분야 개인정보 안전성 확보

규정 및 제도	주요 개정 내용	설명
안전조치 의무 일원화 및 공공기관 안전조치 강화	안전성 확보 조치 (영 제30조)	- 개인정보처리자는 개인정보의 안전한 처리를 위하여 내부 관리계획을 수립ㆍ시행하고, 이에 대한 이행 실태를 점검, 관리 - 개인정보처리자는 개인정보에 대한 접근 권한을 제한하기 이하여 필요한 접근권한의 관리, 인증수단의 적용 등 안전조치 기준 수립ㆍ시행 - 개인정보처리시스템에 대한 침입을 탐지하고 차단하는 등 개인정보에 대한 접근 통제 조치 이행 - 개인정보의 안전한 전송, 저장을 위해 암호화 및 기술변화에 유연하게 대응 가능하도록 개선 - 개인정보의 오ㆍ남용, 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손에 대응하기 위해 개인정보취급자의 접속기록을 보관ㆍ관리하고 월 1회이상 점검 - 악성프로그램 등을 통해 개인정보가 위ㆍ변조, 유출되지 않도록 이를 방지하고 치료할 수 있는 보안 프로그램 설치ㆍ운영 - 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관장소를 별도로 두는 경우 출입통제 절차 수립ㆍ운영
	공공시스템운영기관 등의 안전성 확보 조치 (영 제 30조의 2)	- 공공시스템이랑 개인정보 보유량, 취급자 수 등을 고려하여 보호위원회가 지정하는 집중관리시스템을 의미 - 보호위원회는 공공부문 개인정보 유출방지대책과 공공부문 집중관리시스템 개인정보 안전조치 강화계획을 수립하면서 선정된 집중관리시스템 1,515개(126종) 을 지정하였고 단계적 확대 예정

- 글로벌 스탠다드를 반영하여 개인정보의 국외 이전 요건을 다양화하고 과징금 제도 개편

 

나. 글로벌 스탠다드 반영

규정 및 제도	주요 개정 내용	설명
국외 이전 요건 다양화 및 보호조치 강화	국외 이전 요건 다양화 (법 제28조의 8)	- 온라인과 오프라인을 구분하여 달리 규율하고 있던 개인정보 국외 이전 규정을 하나의 조항으로 일원화 - 보호위원회가 고시하는 개인정보 국외 이전 인증을 받은 경우 이전 받은 국가ㆍ국제기구의 개인정보 보호 수준이 우리 법에 따른 개인정보 보호 수준과 같다고 인정하는 경우를 추가
	국외 이전 중지 명령 (법 제28조의 9)	- 보호위원회는 이전하는 또는 이전 받는 자가 정보주체에게 피해를 발생하거나 발생 우려가 현저한 경우 해당 개인정보처리자에게 국외 이전 중지 가능 - 국외 이전 중지를 명령받은 개인정보처리자가 이에 불복하는 경우, 명령을 받은 날로 7일 이내에 이를 증빙하는 서류를 첨부하여 보호위원회에 제출하는 방식으로 이의제기 가능
분쟁조정 제도 개선	개인정보 분쟁조정제도 개선 (법 제40~47조, 제50조의 2)	- 분쟁조정 의무참여제의 전면 확대 - 분쟁사건의 사실관계 확인을 위한 현장조사권 신설 - 조장안에 대한 수락 여부를 알리지 않을 경우 수락 간주
과징금 ㆍ형벌 ㆍ과태료 등 제제 규정 정비	과징금 (법 제64조의 2)	- 일반 규정과 정보통신서비스 제공자 특례에 산재되어 있는 과징금 규정을 일원화 - 과징금 대상자를 전체 개인정보처리자로 확대하고 수탁자도 과징금 부과 대상에 포함 - 기준금액 산정 후 1차, 2차 조정, 부과 과징금 결정을 순차적으로 거쳐 산정
	공표 및 공표명령 (법 제66조)	- 공표 대상 처분에 법 제64조의 2에 따른 과징금 부과를 공표 대상 처분으로 추가 - 개인정보보호위원회가 중앙행정기관으로 출범함에 따라 관계 중앙행정기관의 장이 소관 법률에 규정이 있어야만 공표할 수 있도록 한 규정 삭제
	형벌 (법 제70조, 제71조, 제72조, 제73조)	- 과징금 제도를 강화하면서 과도한 형벌 규정 정비 - 수탁자의 위반행위에 대해서도 개인정보처리자와 동일하게 제제할 수 있도록 명문화
	과태료 (법 제75조)	- 중대한 위반행위는 과징금으로 전환하고, 과태료 면제 요건 신설 등을 통해 경직적으로 운영되던 과태료 제도를 합리적으로 개선

- 주요 개정 사항 외에 아동의 개인정보, 민감정보 처리 제한 등 기타 내용 개정

---

4. 개인정보 보호법 및 시행령 기타 개정 내용