1 개인정보 수집, 이용의 법적 근거를 일부 완화
- 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우”의 요건 중 “불가피하게” 요건을 삭제
- 개인정보보호법 제15조 제1항 제4호
- 불가피성이라는 요건 없이도 계약 이행 또는 계약 체결 과정에서 정보주체의 요청에 따른 조치를 이행하기 위해서는 정보주체의 동의 없이 개인정보 수집, 처리 가능
- “계약의 이행에 필요한 경우”가 개인정보 수집, 처리의 법적 근거로 확대/활용될 것으로 기대
- 이용 내역 통지 의무
- 현행 : 정보통신서비스 부문 매출액 및 이용자수를 기준으로 충족하는 정보통신서비스제공자
- 개정
- 전년도말 기준 직전 3개월간 일일 평균 기준 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보를 처리하거나,
- 100만명 이상의 정보주체에 관한 개인정보를 처리하는 모든 개인정보처리자 (영 제15조의 3)
- 개인정보 유출 시 "지체없이 신고
- 통지 : 모든 개인정보처리자는 정당한 사유가 없는 한 72시간 이내에 정보주체에게 이를 통지해야 함
- 신고 : 아래 세가지 중 해당될 경우 72시간 이내에 보호위원회 또는 전문기관에 신고
- 1천만 이상의 정보주체에 대한 개인정보가 유출된 경우
- 민감정보, 고유식별정보가 유출된 경우
- 외부로부터의 불법적 접근에 의해 개인정보가 유출된 경우
- 정보통신서비스 제공자에 대한 특례규정 삭제
- “개인정보처리자의 정당한 이익” 조항 활용될 것으로 기대
2 개인정보 전송요구권, 자동화된 결정에 대한 거부 및 설명 요구권 규정
- 정보주체의 개인정보 전송요구권, 자동화된 결정에 대한 거부권 및 설명 요구권 등 도입 > 개인정보에 대한 통제권 강화
- 개인정보 전송요구권
- 정보주체는 개인정보처리자에 대하여 자신의 개인정보를 자신 또는 제3자에게 전송할 것을 요구할 수 있음
- 요청받은 개인정보처리자는 합리적인 범위 내에서 정보를 전송할 의무가 있고, 정보주체의 본인 확인이 되지 않는 경우 등에는 전송 요구를 거절하거나 전송을 중단할 수 있음
- ** 요구할 수 있는 개인정보: 컴퓨터 등 정보처리장치로 처리되는 개인정보 한정
- ** 제 3자: 개인정보관리 전문 기관 및 대통령령으로 정하는 안전 기준을 충족한 자 포함
- ** 합리적인 범위 : 시간, 비용, 기술적으로 허용되는 범위✅ 세부 규율 시행령 확인하기 -
- ✅ 금융 및 공공 분야에 한정되었던 마이데이터 사업을 다른 산업 분야로 확대할 목적
- 자동화된 결정에 대한 정보주체의 권리
- 정보주체는 자동화된 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우 해당 결정을 거부할 수 있음
- 개인정보처리자가 자동화된 결정을 한 경우 결정에 대한 설명을 요구할 수 있음
- 개인정보처리자는 정당한 사유가 없고, 정보주체의 요구가 있다면 → 자동화된 결정 적용 X 조치 OR 인적 개입에 의한 재처리, 설명 등의 조치 해야함✅ 개인정보 자기 결정권 보호
- ✅ 인공지능 기술에 따른 프라이버시 이슈 관련 항목
3 정보통신서비스 제공자와 오프라인 개인정보처리자에 대한 규제 일원화
- 정보통신서비스 제공자에 대한 특례규정(법 제39조 3, 제29조15) 삭제
- 현행 : 개인정보처리자, 정보통신서비스 제공자 등에 대한 과징금 차이 O
- 현행 법규
- 정보통신서비스 제공자 등에 대한 특례 규정 중 상당수는 모든 개인정보처리자에 대하여 적용되는 일반 규정으로 전환되었습니다. 주요 조항은 다음과 같습니다.
- 현행법은 정보통신서비스 제공자가 개인정보의 분실·도난·유출(이하 “유출 등”) 사실을 안 때에는 24 시간 내에 해당 이용자에게 알리고 개인정보보호위원회(이하 “보호위원회”) 또는 개인정보침해 신고센터 등에 신고하여야 한다고 규정하고 있으나 개정법은 위 특례 규정을 삭제하고 일반 규정으로 통합하여 규정하였습니다. 이에 따라 모든 개인정보처리자는 개인정보의 유출 등을 알게 되었을 때 ‘지체 없이’ 해당 정보주체에게 알리고, 보호위원회 또는 개인정보침해 신고센터 등에 신고하여야 합니다(제 34 조 제 1 항, 제 3 항).
- 대통령령으로 정하는 기준에 해당하는 개인정보처리자 7)는 수집한 개인정보의 이용·제공 내역이나 이용·제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로 정보주체에게 통지하여야 합니다(제 20 조의 2).
- 개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자 8)는 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 합니다(제 39 조의.
- 국내에 주소 또는 영업소가 없는 개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 자는 국내대리인을 지정하여야 합니다(제 31 조의 2).
- 현행 법규
- 개정
- 모든 개인정보처리자를 대상으로 동일행위-동일규제 원칙 적용 > 과징금 차이 X
- 정보통신서비스 제공자가 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 파기 등 필요한 조치를 취해야 하는 조항 > 삭제
4 일부 형사적 제재 사유를 과징금 부과 사유로 전환
- 형사처벌 범위의 변화
- 아래 행위에 대한 형사처벌 삭제
- 개인정보처리자가 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실, 도난, 유출, 위조, 변조 또는 훼손당한 경우
- 정보통신서비스제공자가 이용자의 동의를 받지 아니하고 개인정보를 수집한 경우, 개인정보가 불필요하게 되었음에도 이를 파기하지 아니한 경우 등
- 아래 행위에 대한 형사처벌 추가
- 법정대리인의 동의를 받지 아니하고 만 14세 미만인 아동의 개인정보를 처리한 경우 (제71조 제1항 제3호)
- 자료의 은닉, 폐기, 접근 거부 또는 위조, 변조 등을 통하여 조사를 거부, 방해 또는 기피한 경우 (제73조 제1항 제5호)
- 과징금 상한 상향 및 대상의 확대
- 정보통신서비스 제공자의 법 위반 행위에 대한 과징금 상한
- 현행 : 개인정보처리자의 위반행위와 관련한 매출액의 100분의 3
- 개정 : 개인정보처리자의 전체 매출액의 100분의 3 (제64조의 2 제1항)
- 증빙 기준 매출액의 변화
- 현행 : 위반행위와 관련한 매출액 > 보호위원회는 위반 행위와 관련된 매출임을 입증
- 개정 : 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액 > 개인정보처리자는 위반행위와 관련이 없는 매출액임을 입증
- 입증의 책임을 가지는 주체: 보호위원회 → 개인정보처리자
- 개인정보처리자가 정당 사유없이 매출액 산정자료의 제출을 거부하거나 허위로 제출할 경우
- 전체 매출액을 기준으로 과징금 산정
- 개인정보 보유 규모, 회계자료, 영업현황 자료에 근거하여 매출액을 추정하도록 (제64조의 2 제3항)
