개인정보 보호법 개정법 해설

개인정보 보호법이 2023. 3. 14. 개정되었고, 개정법이 2023. 9. 15. 전면 시행됩니다. 

이번에는 상당히 많은 내용이 개정되었고, 일부 내용은 향후 시행착오가 있을 것 같다는 예상도 됩니다. 

 

전면 개정된 개인정보 보호법 내용을 크게 분류하면 ① 정보주체의 권익보호, ② 온, 오프라인 이중 규제 등 개선, ③ 공공기관 안전성 강화, ④ 글로벌 스탠다드의 4가지 카테고리로 나눌 수 있고, 아래에서는 일반 사람들이 가장 관심을 가지고 있는 정보주체의 권익보호에 대해서 설명해 보고자 합니다.  

 

[개인정보 보호법 개정법 해설 정보주체의 권익보호]

 

1. 14세 미만 아동의 생명, 신체 등 보호를 위한 내용 

 

배경) 급박하게 아동 성범죄 피해가 예상되는 상황에서 쏘카서비스를 이용한 범죄자의 주소 정보를 수사기관에 즉시 제공하지 않아 피해를 막지 못한 사례가 있었고, 이를 방지하기 위해 다음과 같은 규정을 신설하였습니다. 

제5조(국가 등의 책무) ③ 국가와 지방자치단체는 만 14세 미만 아동이 개인정보 처리가 미치는 영향과 정보주체의 권리 등을 명확하게 알 수 있도록 만 14세 미만 아동의 개인정보 보호에 필요한 시책을 마련하여야 한다. [신설 2023. 3. 14.] [[시행일 2023.9.15]]

 

2. 정보 주체의 권리 강화 등 

 

배경) 코로나 19 확산을 막기 위해 수집한 개인정보에 대하여는 개인정보 보호법 적용이 배제되어 파기, 안전조치 등 의무를 이행하지 않은 결과가 발생하였습니다. 

이에 개정법에서는 향후에 공공의 안전을 위해 개인정보를 수집, 이용, 제공할 수 있으나 안전조치, 파기, 정보주체의 권리 등의 의무를 준수하도록 개정하였습니다.

제4조(정보주체의 권리) 정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
[개정 2023.3.14] [[시행일 2023.9.15]]
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대한 열람(사본의 발급을 포함한다. 이하 같다) 및 전송을 요구할 권리
4. 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리
5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
6. 완전히 자동화된 개인정보 처리에 따른 결정을 거부하거나 그에 대한 설명 등을 요구할 권리

제5조(국가 등의 책무) ⑤ 국가와 지방자치단체는 개인정보의 처리에 관한 법령 또는 조례를 적용할 때에는 정보주체의 권리가 보장될 수 있도록 개인정보 보호 원칙에 맞게 적용하여야 한다. [개정 2023.3.14] [[시행일 2023.9.15]]

제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다. [개정 2023.3.14] [[시행일 2023.9.15]]

 

3. 민감정보 관련 개인정보처리자의 의무 

 

배경) 카카오맵 서비스 이용자가 스스로 저장한 폴더가 기본설정이 "공개"로 되어 있는 사실을 모른 채 건강 등 민감한 정보를 입력하여 공개된 사례가 발생하였고, 이에 개정법에서는 개인정보 처리자가 민간 정보가 정보주체의 의도와 달리 공개되지 않도록 민감 정보의 공개 가능성 및 비공개를 선택하는 방법을 쉽게 알리도록 규정하였습니다. 

제23조(민감정보의 처리 제한)
 ③ 개인정보처리자는 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알려야 한다. [신설 2023.3.14] [[시행일 2023.9.15]]

 

4. 개인정보를 사적인 용도로 활용할 경우 엄격한 형사처벌 

 

배경) 경찰관이 민원 처리 과정에서 알게 된 개인정보를 이용하여 사적으로 연락한 사례가 발생하였고, 이에 개정법은 개인정보를 사적인 목적으로 이용하는 행위를 엄격하게 금지하고 이를 위반하면 5년 이하의 징역에 처하도록 개정하였습니다. 

반응형

제71조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다. [개정 2016.3.29, 2020.2.4, 2023.3.14] [[시행일 2023.9.15]]
2. 제18조제1항·제2항, 제27조제3항 또는 제28조의2(제26조 제8항에 따라 준용되는 경우를 포함한다), 제19조 또는 제26조 제5항을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자

제19조(개인정보를 제공받은 자의 이용ㆍ제공 제한) 개인정보처리자로부터 개인정보를 제공받은 자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다.
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우

제26조(업무위탁에 따른 개인정보의 처리 제한) ⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.

 

5. 개인정보 처리 동의 관련 

 

위 부분은 현실적인 문제와 지적을 반영하여 개정되었습니다.

 

개인정보처리자가 정보주체의 동의를 받아 개인정보를 처리하고자 할 때에는 정보주체의 자유로운 의사에 따라 동의 여부를 선택할 수 있도록 하였고, 동의 여부를 선택할 수 있다는 사실을 구분하여 표시해야 합니다.

다만, 동의를 받은 경우 외에도 계약 이행 등을 위해 필요한 경우에는 불가피한 상황이 아니라도 정보주체가 충분히 예상할 수 있는 상황이므로 동의 없이 개인정보 수집, 이용할 수 있도록 하였습니다.

제4조(정보주체의 권리) 정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
[개정 2023.3.14] [[시행일 2023.9.15]]
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리

제15조(개인정보의 수집ㆍ이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. [개정 2023.3.14] [[시행일 2023.9.15]]
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우
5. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
7. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집·이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다. [신설 2020.2.4] [[시행일 2020.8.5]]

 

6. 국민의 개인정보 침해에 대한 분쟁조정 강화 

 

개정 당시 법령에 의하면 정보주체인 국민이 분쟁조정을 신청하더라도 상대방이 공공기관인 경우에만 참여 의무가 있었지만, 2023. 9. 15. 시행되는 개정법은 모든 개인정보처리자가 분쟁조정에 참여해야 합니다.

 

개인정보 분쟁조정위원회 조정안에 대하여 수용하기 어려운 경우, 15일 이내에 거부의사를 이메일, 우편 등으로 분쟁조정위원회에 통지해야 하고, 이를 하지 않으면 수락한 것으로 간주될 뿐만 아니라 재판상 화해와 동일한 효력이 발생하게 됩니다.

제43조(조정의 신청 등) ① 개인정보와 관련한 분쟁의 조정을 원하는 자는 분쟁조정위원회에 분쟁조정을 신청할 수 있다.
② 분쟁조정위원회는 당사자 일방으로부터 분쟁조정 신청을 받았을 때에는 그 신청내용을 상대방에게 알려야 한다.
③ 개인정보처리자가 제2항에 따른 분쟁조정의 통지를 받은 경우에는 특별한 사유가 없으면 분쟁조정에 응하여야 한다. [개정 2023.3.14] [[시행일 2023.9.15]]

제45조(자료의 요청 및 사실조사 등) ① 분쟁조정위원회는 제43조제1항에 따라 분쟁조정 신청을 받았을 때에는 해당 분쟁의 조정을 위하여 필요한 자료를 분쟁당사자에게 요청할 수 있다. 이 경우 분쟁당사자는 정당한 사유가 없으면 요청에 따라야 한다.
② 분쟁조정위원회는 분쟁의 조정을 위하여 사실 확인이 필요한 경우에는 분쟁조정위원회의 위원 또는 대통령령으로 정하는 사무기구의 소속 공무원으로 하여금 사건과 관련된 장소에 출입하여 관련 자료를 조사하거나 열람하게 할 수 있다. 이 경우 분쟁당사자는 해당 조사·열람을 거부할 정당한 사유가 있을 때에는 그 사유를 소명하고 조사·열람에 따르지 아니할 수 있다. [신설 2023.3.14] [[시행일 2023.9.15]]
③ 제2항에 따른 조사·열람을 하는 위원 또는 공무원은 그 권한을 표시하는 증표를 지니고 이를 관계인에게 내보여야 한다. [신설 2023.3.14] [[시행일 2023.9.15]]
④ 분쟁조정위원회는 분쟁의 조정을 위하여 필요하다고 인정하면 관계 기관 등에 자료 또는 의견의 제출 등 필요한 협조를 요청할 수 있다. [신설 2023.3.14] [[시행일 2023.9.15]]
⑤ 분쟁조정위원회는 필요하다고 인정하면 분쟁당사자나 참고인을 위원회에 출석하도록 하여 그 의견을 들을 수 있다. [개정 2023.3.14] [[시행일 2023.9.15]]
[본조제목개정 2023.3.14] [[시행일 2023.9.15]]

제47조(분쟁의 조정) ① 분쟁조정위원회는 다음 각 호의 어느 하나의 사항을 포함하여 조정안을 작성할 수 있다.
1. 조사 대상 침해행위의 중지
2. 원상회복, 손해배상, 그 밖에 필요한 구제조치
3. 같거나 비슷한 침해의 재발을 방지하기 위하여 필요한 조치
② 분쟁조정위원회는 제1항에 따라 조정안을 작성하면 지체 없이 각 당사자에게 제시하여야 한다.
③ 제2항에 따라 조정안을 제시받은 당사자가 제시받은 날부터 15일 이내에 수락 여부를 알리지 아니하면 조정을 수락한 것으로 본다. [개정 2023.3.14] [[시행일 2023.9.15]]
④ 당사자가 조정내용을 수락한 경우(제3항에 따라 수락한 것으로 보는 경우를 포함한다) 분쟁조정위원회는 조정서를 작성하고, 분쟁조정위원회의 위원장과 각 당사자가 기명날인 또는 서명을 한 후 조정서 정본을 지체 없이 각 당사자 또는 그 대리인에게 송달하여야 한다. 다만, 제3항에 따라 수락한 것으로 보는 경우에는 각 당사자의 기명날인 및 서명을 생략할 수 있다. [개정 2023.3.14] [[시행일 2023.9.15]]
⑤ 제4항에 따른 조정의 내용은 재판상 화해와 동일한 효력을 갖는다.

 

7. 손해배상청구 소송에서 국민의 정보접근권 강화 

 

통상 정보주체의 손해배상 소송에 있어서는 손해의 증명과 관련된 자료를 확보하는 것이 쉽지 않았는데, 개정법은 법원이 손해배상청구소송에서 당사자의 신청에 따라 손해의 증명 또는 손해액의 산정에 필요한 자료의 제출을 명할 수 있도록 하였습니다. 

제39조의3(자료의 제출) ① 법원은 이 법을 위반한 행위로 인한 손해배상청구소송에서 당사자의 신청에 따라 상대방 당사자에게 해당 손해의 증명 또는 손해액의 산정에 필요한 자료의 제출을 명할 수 있다. 다만, 제출명령을 받은 자가 그 자료의 제출을 거부할 정당한 이유가 있으면 그러하지 아니하다.
② 법원은 제1항에 따른 제출명령을 받은 자가 그 자료의 제출을 거부할 정당한 이유가 있다고 주장하는 경우에는 그 주장의 당부(當否)를 판단하기 위하여 자료의 제시를 명할 수 있다. 이 경우 법원은 그 자료를 다른 사람이 보게 하여서는 아니 된다.
③ 제1항에 따라 제출되어야 할 자료가 「부정경쟁방지 및 영업비밀보호에 관한 법률」 제2조제2호에 따른 영업비밀(이하 "영업비밀"이라 한다)에 해당하나 손해의 증명 또는 손해액의 산정에 반드시 필요한 경우에는 제1항 단서에 따른 정당한 이유로 보지 아니한다. 이 경우 법원은 제출명령의 목적 내에서 열람할 수 있는 범위 또는 열람할 수 있는 사람을 지정하여야 한다.
④ 법원은 제1항에 따른 제출명령을 받은 자가 정당한 이유 없이 그 명령에 따르지 아니한 경우에는 자료의 기재에 대한 신청인의 주장을 진실한 것으로 인정할 수 있다.
⑤ 법원은 제4항에 해당하는 경우 신청인이 자료의 기재에 관하여 구체적으로 주장하기에 현저히 곤란한 사정이 있고 자료로 증명할 사실을 다른 증거로 증명하는 것을 기대하기도 어려운 경우에는 신청인이 자료의 기재로 증명하려는 사실에 관한 주장을 진실한 것으로 인정할 수 있다.
[전문개정 2023.3.14] [[시행일 2023.9.15]]