※ 개인정보 보호법 개정 추진 경과
- 20.02 : 데이터 3법 개정(20.02.04)
- 20.08 : 데이터 3법 시행 및 개인정보 보호위원회 출법
- 20.09~ : 개인정보 보호법 2차 개정 계획 수립 및 전문가 의견 수렴
- 20.12 : 정부안 확정(20.12.23), 관계부처 의견 조회
- 21.01 : 4차위 해커톤, 입법예고, 산업계 및 시민단체 의견 청취
- 21.09~ : 법제처 법안 심사(04.20~07.27), 차관회의(07.29), 국무회의(09.28), 국회제출(09.28)
1. 개인정보 전송요구권(이동권) 도입
(1) 필요성
- 정보주체가 본인 정보를 자기주도적으로 유통 및 활용하는데 한계가 있음
- 신용정보법(제33조의2)의 개인신용정보 전송요구권 근거를 통해 마이데이터 사업 추진하고 있으나 분야별 추진 방식 개선 필요
- 정보주체의 개인정보 통제권 강화와 함께 전송요구권을 전 분야로 확산
(2) 개정안
- 본인 정보를 본인 또는 제3자(다른 개인정보처리자 또는 개인정보관리 전문기관)에게 전송 요구할 수 있는 일반적 권리로서 개인정보 전송요구권 신설
- 전송 방법, 전송 요구의 거절 및 전송 중단 방법 등 구체적 사항은 시행령으로 위임
2. 동의제도 개선
(1) 필요성
- 사전동의 제도에 대한 과도한 의존으로 형식적 동의 및 동의 만능주의 관행 지속되는 중
- 개인정보보호법 제39조의3은 동의를 적법요건으로 규정하고 있어, 국민이 필수적으로 동의해야만 서비스 이용 가능
- 국민의 개인정보 처리에 관한 법정 고지사항 등을 담은 개인정보 처리방침에 대한 실체적 통제 미흡
(2) 개정안
- 정보주체의 실질적 동의권 보장하고, 기업 등의 합리적인 개인정보 수집 활용을 지원하기 위해 개선
- 필수동의 규정을 정비하여 동의 만능주의 현상을 개선하고, 동의 이외의 개인정보 적법 처리요건 활성화
- 개인정보 처리방침의 적정성을 평가하고 평가 결과 개선이 필요하다고 인정하는 경우 개선을 권고하는 개인정보 처리방침 평가제 도입
3. 이원화된 규제의 일원화
(1) 필요성
- 데이터 3법 개정시, 정보통신망법의 정보통신서비스 제공자 대상 개인정보 보호 관련 규정을 개인정보보호법 특례규정으로 단순 이전 및 병합
- 온오프라인 서비스 경계가 모호함에도 불구하고 양 쪽의 규정이 달라서 법 적용 혼선 및 이중 부담 발생
ex) 동의없는 개인정보 수집 -> 오프라인 기업은 5천만원 이하 과태료, 온라인 기업은 관련 매출액의 3% 이하 과징금
(2) 개정안
- 정보통신서비스 특례 규정을 폐지하고, 일반 규정으로 일원화하여 모든 개인정보처리자 대상 동일행위-동일규제 원칙 적용
- 특례 규정에만 있는 손해배상 보장 제도, 국내 대리인 지정 제도, 개인정보 이용내역 통지 등은 일반 규정으로 전환하여 모든 분야로 확대 적용
4. 이동형 영상정보처리기기
(1) 필요성
- 현행법은 고정형 영상기기(CCTV)만을 규율하고 있어 드론, 자율주행차 등 이동형 영상정보처리기기가 제외됨
(2) 개정안
- 공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용하여 개인영상정보를 촬영하는 행위를 원칙적으로 제한하되, 동의 또는 법률에 특별한 규정이 있거나 촬영사실을 알 수 있었음에도 거부의사를 밝히지 않은 경우 예외적 허용
5. 개인정보 국외 이전 방식 다양화
(1) 필요성
- 개인정보 국외 이전 필요성 증가하고 있으나, 국외 이전 시 정보주체에 대한 동의 요구로 기업 부담 유발
- 정보주체의 동의만 있으면 개인정보 보호가 취약한 지역으로 이전이 가능하여 정보주체의 개인정보 보호에 소홀할 우려
(2) 개정안
- 적정한 개인정보 보호 수준이 보장된다고 개인정보보호위원회가 인정하는 국가 또는 기업으로 동의 없이 국외 이전 허용
- 법 위반하여 국외 이전하거나 개인정보를 적정하게 보호하고 있지 않다고 판단 시 중지명령권 신설
6. 형벌 중심을 경제적 제재로 전환
(1) 필요성
- 개인정보 침해에 대한 책임이 개인에 대한 형벌 중심으로 이루어지고 실질적 책임이 있는 기업에 대한 경제적 제재는 약하여 개인정보에 대한 기업의 투자 촉진하지 못하는 한계
(2) 개정안
- 형벌 정비 : 온라인 서비스 분야의 과도한 형벌규정을 일반규정에 맞추어 정비, 유출 시 형벌규정 삭제
- 과징금 확대 : 정보통신서비스 제공자등에 적용되는 과징금을 개인정보처리자로 확대하고, 상한선을 전체 매출액의 3% 이하로 상향
7. 개인정보 침해 조사 및 제재 기능 강화
(1) 필요성
- 개인정보취급자의 개인정보 사적 이용 및 수탁자에 대한 제재 근거 부재
- 현행법 제 64조 : 개인정보가 침해되었다고 판단할 상당한 근거가 있고, 이를 방치할 경우 회복하기 어려운 피해를 발생할 우려가 있다고 인정되는 경우에 한하여 시정 명령 가능
(2) 개정안
- 개인정보취급자가 업무상 알게 된 개인정보를 사적 목적으로 이용 시 처벌 근거 마련
- 개인정보 처리 수탁자도 과태료, 과징금, 형벌 등 제재 대상에 포함(현행법에는 수탁자가 제재 대상에서 누락)
