[주요 개정 사항]
* 현재 입법예고되었으며 2023.09.15 기준 시행 예정
1) 정보통신서비스 특례 규정 삭제에 따른 규제의 일원화
- 현행법 “제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례” 규정 일괄 삭제
- 이에 따라 개인정보처리자와 정보통신서비스 제공자를 가리지 않고 동일행위-동일규제 이루어질 예정
- → 개인정보보호법 처음 공부하는 사람에게 부담감을 덜어줄 것으로 예상
2) 아동의 개인정보 보호 조문 신설
- 제22조의2(아동의 개인정보 보호) 조문 신설
- 이에 따라 만 14세 미만 아동의 개인정보 처리를 법 조문에서 규정하게 됨
3) 개인정보 전송 요구권에 대한 조문 신설
- 제35조의2(개인정보의 전송 요구) 조문 신설
- 정보주체의 권리 보장 및 개인정보 활용도 높이기 위함
4) 전체 매출액의 3% 이하로 과징금 상한선 변경
- 다만, 위반행위와 관련없는 매출액은 제외 (현행법은 위반행위와 관련있는 매출액의 3%)
- 의의 : 입증책임 전가
- 즉, 과징금 산출 시 현행법에서는 특정 매출액이 위반행위와 관련 있다는 것을 개보위에서 입증하여야 했으나, 개정안에서는 위반행위와 관련 없다는 것을 사업자가 입증해야 함
5) 개인정보 파기 특례 규정 삭제
- 정보통신서비스 1년의 기간 동안 미사용한 경우 개인정보 파기 또는 분리보관 규정 삭제
- 해외 사업자에 대하여 실효성 확보가 어려워 형평성에 어긋나는 현실 등을 반영
6) 개인정보 이용 · 제공 내역의 통지 조문 신설
- 제20조의2(개인정보 이용 · 제공 내역의 통지) 조문 신설
- 개인정보 이용·제공 내역 확인할 수 있는 정보시스템 접속 방법을 주기적으로 정보주체에게 통지하여야 함
- 즉, 개인정보 이용 · 제공 내역 조회 시스템 구축 필요할 가능성이 있음 (추후 확인 필요)
7) 재위탁 시 위탁자 동의 조항 신설
- 수탁자는 재위탁에 대하여 의무적으로 위탁자의 동의를 받아야 함
- 개인정보 처리 업무를 위탁받아 처리하는 자(수탁자)로부터 다시 위탁받은 자(재위탁자)도 수탁자에 해당하도록 개정됨
- 이에 따라 개인정보 처리방침에는 재수탁자를 포함한 수탁자를 공개하도록 개정됨
8) 개인정보 처리방침 평가 및 개선권고 조문 신설
- 제30조의2(개인정보 처리방침의 평가 및 개선권고) 조문 신설
9) 사전 실태점검에 대한 조문 신설
- 제63조의2(사전 실태점검) 조문 신설
- 보호위원회가 실태점검 할 수 있는 근거조문이 마련됨
10) 개인정보 침해 통지 및 신고
- 유출 통지 및 신고 기간을 기존 5일 -> 72시간 이내로 변경
- 정보통신서비스 제공자와 개인정보처리자의 상이한 규정 통합
- 유출신고 기준 명확화(아래에 해당하지 않으면 신고 불필요)
- 1천명 이상의 정보주체에 관한 개인정보 유출인 경우
- 유출된 개인정보가 민감정보 또는 고유식별정보인 경우
- 해킹 등 외부로부터의 불법 접근에 의한 유출인 경우 - "정당한 사유가 없는 한 72시간 이내"로 하여 해킹의 경우 유출을 인지하는 것이 늦어지는 것 반영
- 해킹 등은 정당한 사유에 포함될 것
