프라이버시 이슈를 보다, 프리-뷰 안녕하세요. 구독자님! 새로운 모습으로 인사드려요😊 오늘의 프리-뷰는 특별히 2023년 새해를 맞아, 개인정보 보호법 개정안 심층 분석호로 찾아왔습니다! 논쟁이 핫했던 이슈는 무엇인지, 사업자가 주의해야 할 부분은 무엇인지 지금부터 알려드릴게요. |
|
|
2021년 9월 국회에 제출된 개인정보 보호법 개정안이 14개월 만에 드디어 정무위원회를 통과했습니다. 2020년 12월 개정 계획안이 발표된 이후 2021년 상반기 내 통과가 목표였지만 지금까지 국회에 머물러 있었는데요. 법안 처리 과정에서 가장 오랜 시간이 소요되는 단계를 통과하였으니, 올해엔 통과가 가능할 것으로 보여요.
이번 개정안은 개인정보 보호법 ‘2차’ 개정안으로, 우여곡절이 참 많았습니다. 개인정보 보호법에 대한 대폭적인 개정안이라 평가받았지만, 산업계의 강한 반발을 받았으며 최종 국회 통과하기도 전에 개인정보보호위원회 위원장이 임기를 남긴 채 사임하기도 했죠. |
|
|
이제부턴 줄임말로 부를게요! (개인정보 보호법 → 개보법, 개인정보보호위원회 → 개인정보위) |
|
|
🙋♀️ 내 개인정보, 이쪽으로 옮겨주세요
이번 개정안의 핵심❗ “개인정보 전송요구권”이 새로 생겼어요. 금융 분야에서 먼저 시행 중인 ‘마이데이터’ 산업이 모든 분야에서 가능해지려면 꼭 필요한 권리예요.
전송요구권이 뭔데?
A에게 있는 내 개인정보를
B에게 전송하라고 요구할 수 있는 권리를 말해요.
A 서비스를 이용하다가 ‘서비스 품질이 별로네.’ ‘내 개인정보 보호를 안 하는데?’라는 생각이 들면 내 정보를 B 서비스로 보내달라고 할 수 있는 거죠.
내 개인정보를 내가 원하는 시간과 장소와 범위로 사용할 수 있게, 전송을 요구할 수 있는 ‘주권’을 보장한다는 의미예요. 여러 곳에 흩어진 개인정보를 한곳에서 관리할 수도 있어서 편리해요.
예를 들면..
싸이월드가 2020년 서비스 종료되면서 미니홈피 사진과 다이어리들은 모두 사라질 위기에 처했었죠😥(지금은 복구가 되었지만요.)
이런 사태의 재발을 막기 위해 발의된 일명 ‘싸이월드 추억 보호법’ 에 개인정보 전송 요구에 대한 조항이 포함됐어요. 이용자가 서비스 제공자에게 개인정보 전송을 요구하면, 요구에 응해야 한다는 내용이에요.
👉 즉, 싸이월드처럼 서비스가 종료하더라도, 서비스에 저장되었던 내 개인정보는 내 것이니 전송을 요구할 수 있다는 거죠!
위 싸이월드 사례에서 말하는 내 개인정보가 ‘기억될 권리’도 ‘정보 주권’ 즉, 정보주체의 ‘개인정보 자기결정권’을 보장해야 한다는 내용이예요.
하지만 전송요구권을 부정적으로 바라보는 시각도 있어요.
- 기업: 데이터를 전송하기 위한 설비 투자 비용, 유지·관리 비용이 너무 많이 들어. 이익은… 글쎄?🤷♀️
- 시민단체: 개인정보 제공이 너무 쉬워져. 클릭 몇 번으로 개인정보가 옮겨가니, 잘못 클릭했다간 개인정보 유출 위험성이 더 커지겠네.
|
|
|
👬 구분 없이! 모두 동일하게!
앞으로는 개인정보를 처리하는 자라면,
온라인과 오프라인 상관없이 모두 같은 규정을 적용받아요.
당연한 소리 아니냐고요?
지금까지는 이렇지 않았어요. 오프라인 사업자에겐 일반 규정을, 온라인 사업자에겐 정보통신망법에서 가져온 정보통신서비스 제공자 대상 특례 규정을 적용됐었거든요. 하지만 이제 오프라인과 온라인 둘 다 서비스를 운영하는 경우가 많다 보니, 이 둘을 구분하기가 애매해진 거죠. 그래서 이 특례 규정을 없애고, 모두 일반 규정으로 통합했어요.
|
|
|
💯 개인정보 처리방침, 관리는 잘 하고 있니?
회사가 이용자들의 개인정보를 어떻게 수집하고 관리하는지 안내하는 문서, 개인정보 처리방침 📑
다들 어떻게 관리하고 계시나요? 아예 처리방침이 없거나 개인정보 약관, 개인정보 취급방침으로 잘못 알고 계시는 분들도 많은데요. 이제 개인정보 처리방침이 잘 작성되었는지 평가하는 제도가 시작돼요.
처리방침 작성 지침을 잘 지켰는지, 이용자가 이해하기 쉬운지, 언제든지 확인하기 쉬운 위치에 공개되어 있는지, 처리방침 상의 내용을 잘 지키고 있는지 등을 평가하는 거예요. 예를 들어, 처리방침에는 ‘개인정보를 암호화해 보관한다’고 적어놓고 다르게 관리하는 건 아닌지 등을 판단하는 거죠.
개인정보 처리방침과 관련하여 최대 1천만 원의 과태료가 부과될 수 있으니😱 미리미리 대비하시는 걸 추천드려요. |
|
|
💸 감빵 대신 돈 내! 과징금 규정이 달라졌어요
이번 개정안에서 가장 🔥핫했던 내용! 개인정보 침해사고가 발생했을 때 받는 처벌이 확 달라졌어요.
- 담당자님, 이제는 감옥에 가지 않아도 돼요: 지금까지는 침해 사고가 발생하면 기업의 담당자가 책임을 지고 징역을 받기도 했는데요(형벌 중심). 이를 없애고, 이젠 실질적 책임 주체인 기업에게 과징금을 내리겠대요(경제 재재 중심).
👉 사고가 발생하면 기업은 담당자 한 사람에게 책임을 몰고 감옥에 보내는, 일명 ‘꼬리 자르기’가 가능했는데 이를 금지한 거예요.
- 주의! 과징금 상한액이 올라갔어요: 과징금 선정 기준이 바뀌었어요. 앞으로의 과징금은 '전체 매출액'에서 '위반 행위와 관련 없는 매출'을 제외한 금액에서 산정돼요.(기존 : 위반 행위 관련 매출액의 3% 이하) 위반 행위와 관련 없다는 건 기업이 직접 입증해야 하고요.
👉 결국 기업의 부담이 커진거예요. 관련이 없다는 걸 인정받지 못하면 결국 전체 매출액의 최대 3%를 과징금으로 내야 하니까요. 개인정보 보호뿐만 아니라 회계 처리에 대한 부담도 커진 거죠.
왜 이렇게 바뀌는 거야?
- 위반 관련 매출 파악에 대한 어려움: 페이스북의 개인정보 무단 제공 사건에 대해 개인정보위가 과징금 67억을 부과한 적이 있는데요. 이 과징금을 산정하기 위한 과정에서 페이스북이 조사에 제대로 응하지 않아 조사 시작부터 처분까지 2년 반 이상이 걸렸어요.
기업이 자료를 제출하지 않으면 사업별 매출 규모를 파악하기 어려웠어요. 해외 빅테크 기업에겐 엄청난 매출액에 비해 과징금액이 코딱지만 하다 보니 제재 효과도 적었죠😥 이 사건이 시발점이 되어, 법률 개정이 논의되기 시작했어요.
- 다른 법률에 비해 낮은 한도: EU GDPR(일반 개인정보 보호법)에서는 전체 매출액 기준, 최대 4%를 과징금으로 부과할 수 있어요. 우리나라 신용정보법도 과징금 상한액이 전체 매출액의 3%고요. 이에 비해 우리나라 개보법의 과징금 한도가 낮다는 거죠.
1년 넘게 지속된 논란
처음 개정안이 발표되고, 과징금 조항에 대한 논란이 뜨거웠어요. 최초 계획안에서는 전체 매출액의 3%를 과징금으로 부과하겠다는 내용이었거든요. 위반 행위 관련 없는 매출액을 제외하겠다는 내용도 없이요.
찬반 의견을 들어보자면:
⭕ 나는 찬성
- 개인정보위의 단독 결정이 아니라고. 형사처분을 완화하고 경제적 제재로 전환해달라는 기업의 요구를 받아들인 거야. 근데 경제적 제재마저 완화해달라고? 개인정보에 대한 보호 조치 의무를 아예 지지 않겠다는 말이야?
(기업이 요구한 이유: 형사처분 위험성이 크다 보니 경험 있는 인재를 확보하기 어렵고, 재능 있는 인재도 이 시장으로 들어오려 하지 않는다.)
- 반복적이고 의도적으로 침해한 기업만 3%를 부과할 예정이래. 평소 개인정보 보호를 잘 하고 있었다면 봐준다는데? 3%는 상한선일 뿐. 큰 과징금을 처벌받는 일은 없을 거야.
❌ 나는 반대
- 위반행위에 비해 너무 과도한 과징금이 부과될 수 있어.
- 형평성이 없어. 과징금 자체가 위반행위로 얻게 된 경제적 이익을 박탈하기 위한 목적이라고. 과징금의 기준을 '전체 행위'로 규정하는 건 헌법상 행정별 비례 원칙에 부합하지 않아.
- 기업 부담이 증가하면 관련 산업의 발전이 저해될 수 있어. 중소나 벤처기업은 매출액 대비 영업이익률이 2~3%밖에 되지 않는다고. 너무 큰 타격이 될 거야.
논란이 뜨겁던 과징금 상한액 규정은
결국 “전체 매출액 - 위반 행위 관련 매출액”으로 정무위원회를 통과했습니다.
개정안이 국회를 최종 통과하기까지 얼마 남지 않았기 때문에, 기업들은 미리 대비해야겠어요. |
|
|
📷 드론 촬영, 이제 규제할 거야
드론, 자율주행 자동차와 같은
‘이동형 영상기기’에 대한 규정이 새로 생겼어요.
이제 공개된 장소에서 이동형 영상기기의 촬영은 원칙적으로 허용돼요.(물론 촬영 중이라는 사실을 사람들이 인지할 수 있게 해주었을 때요😉) 단, 촬영되는 사람이 거부 의사를 밝히기 전까지만요! 촬영을 거부했다면 영상이 찍혔더라도 블러 처리나 삭제를 해야 해요.
|
|
|
🌏 한국 밖에서 개인정보 쓴다고? 이제 편하게 해!
이용자의 동의 없이도,
개인정보위가 인정하는 국가 또는 기업으로,
개인정보의 국외 이전이 가능해져요.
무슨 말이냐고요? 예를 들자면
A마켓에서 해외 배송 상품을 주문할 때, A마켓이 해외 판매자에게 배송 주문 정보와 같은 개인정보를 넘겨줘야 하는 경우가 있죠. ➡ 개인정보의 국외 이전은 이처럼 국내 이용자의 개인정보가 해외로 이동하는 걸 의미해요. 이번 변화는 이때마다 동의를 일일이 받아야 하던 불편함을 해소한 거예요.
개인정보위가 인정하는 국가란, 우리나라의 개인정보 보호 수준과 비슷한 수준을 가진 나라를 말하고요. 한국과 적정성 심사가 완료된 EU의 국가들과 영국이 해당해요.
하지만, 편해졌다고 ‘막’ 관리해선 안되겠죠?
법을 위반한 사실이나 개인정보를 안전하게 보호하고 있지 않다는 게 드러나면 국외 이전의 중지를 명령하는 ‘중지 명령권’도 생겼어요.
|
|
|
💥 개인정보 분쟁, 이제 피할 수 없어
이용자가 분쟁 조정을 신청했을 때 의무적으로 응해야 하는 대상을
공공기관에서 모든 개인정보처리자로 확대했어요.
분쟁 조정이 뭐냐고요?
개인정보 권리를 침해받으면, 보통 소송을 진행하시죠? 그전에 분쟁조정제도를 이용할 수 있어요. 개인정보 분쟁조정위원회의 조정을 통해 피해 사실에 대해 구제받을 수 있는 제도예요. 소송은 오래 걸리고 돈도 많이 드는데 반면, 좀 더 빠르고 저렴하게 손해배상을 받을 수 있어요.
개인정보 분쟁조정위원회의 권한도 강화하여 보다 적극적인 지원을 약속했어요.
|
|
|
👉 개인정보보호법 2차 개정안이 더 궁금하다면, 자세히 보기 |
|
|
개인정보보호위원회는 개인정보보호법 개정을 계기로 올해 컨트롤타워로서의 역할을 강화하고, '국민 신뢰 기반의 디지털 대전환 선도'하겠다는 비전을 가지고 2023년 업무계획을 발표했어요. |
|
|
- 마이데이터 사업 : 마이데이터 로드맵 수립(상반기), 데이터 전송 표준 분야 확대, 마이데이터 지원 플랫폼 구축
- 개인정보 활용 기반 강화 : 민관합동 개인정보 규제 혁신단 구성, 신기술 개인정보 기술표준 마련, 가명정보 활용 지원 플랫폼 고도화, 권역별 지원센터 확대, 개인정보 안심구역 시범 도입
- 글로벌 리더십 확보 : 국제 공조조사 강화, 개인정보 국외이전 실태 점검, 국내 대리인 제도 개선 등
- 규제혁신 추진 : 개인정보보호법 2차 개정 마무리, 온・오프라인 사업자에 대한 이중규제 부담 해소, 개인영상정보법 제정 추진, 민관협력 자율규제 확대
- 공공부문 개인정보 관리 : 공공부문 접속관리 시스템 설치 의무화 및 접근통제, 공공기관 원 스트라이크 아웃 제도 시행
- 신뢰할 수 있는 서비스 : 온라인 서비스 7대 분야 예방점검 실시, 명확한 가이드라인 제공
- 디지털 개인정보 보호체계 구축 : 디지털 잊힐 권리 시범사업 실시(4월), 아동・청소년 개인정보 보호법 제정안 마련 등
- 일상생활 속 프라이버시 : 개인정보보호 중심 설계 인증제 시범 실시, 온라인 맞춤형 광고 가이드라인 개정, 재난・재해 시 안전조치 의무화
|
|
|
|
