뉴스레터

TMT/IP 2024-10-07
  • 공유하기

    1. URL

TMT/IP 이슈리포트 - 2024. 9. 15. 시행된 개정 개인정보 보호법 시행령

2024. 9. 15. 시행된 개정 개인정보 보호법 시행령


법무법인 대륙아주 김정은 변호사1



1. 들어가며

정보주체가 완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 자동화된 결정에 대해 거부하거나 설명을 요구할 수 있도록 하고, 개인정보 보호위원회가 공공기관 등의 개인정보 보호수준을 평가할 수 있도록 하는 등의 내용으로 개인정보 보호법(법률 제19234호, 2023. 3. 14. 공포, 2024. 3. 15. 시행)이 개정되었습니다.

이에 법률에서 위임된 사항과 그 시행에 필요한 사항을 정하고 현행 제도를 보완하기 위하여 2023. 9. 12., 2024. 3. 12. 두 차례에 거쳐 개인정보 보호법 시행령(이하 ‘시행령’이라고 합니다)이 일부 개정되었습니다.

2023. 9. 12. 개정된 시행령(대통령령 제33723호)은 2023. 9. 15. 시행되었고 2024. 3. 12. 개정된 시행령(대통령령 제34309호)은 2024. 3. 15. 시행되었으나, 그 중 시행령 제17조 제1항, 시행령 제30조의2, 시행령 제32조 제4항 제4호는 2024. 9. 15.부터 시행되었습니다.

이하에서는 2024. 9. 15.부터 시행된 시행령의 주요 내용을 설명드리겠습니다.




2. 2024. 9. 15. 시행된 개인정보 보호법 시행령의 주요 내용

가. 개인정보 수집・이용 동의를 받는 방법 (시행령 제17조 제1항)

개인정보처리자는 법 제15조 제1항 제1호부터 제7호까지의 사유 중 어느 하나에 해당하는 경우 개인정보를 수집할 수 있습니다.

즉, ① 정보주체의 동의를 받은 경우, ② 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우, ③ 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우, ④ 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우, ⑤ 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우, ⑥ 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우, ⑦ 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우에, 개인정보처리자는 개인정보를 수집할 수 있고 그 수집 목적의 범위에서 이용할 수 있습니다(법 제15조 제1항).

위 ①의 경우에 정보주체의 동의를 받는 세부적인 방법에 관하여는 시행령이 정하고 있는데(법 제22조 제7항 참조), 개정 시행령 제17조 제1항은 개인정보처리자가 정보주체의 동의를 받는 경우 충족하여야 하는 조건에 관하여 아래와 같이 정하였습니다.

1) 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것
2) 동의를 받으려는 내용이 구체적이고 명확할 것
3) 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것
4) 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것

위 조건들은 시행령 개정 이전에도 법원의 판시 등에서 사용되어 왔지만, 시행령 개정으로 인하여 법령에 명문화되었습니다.

개인정보처리자는 정보주체로부터 개인정보 처리에 대한 동의를 받을 때 위 조건들을 모두 충족하여야 함을 유의해야 합니다.


나. 공공시스템 안전조치 특례 (시행령 제30조의2)

개인정보 보호법 제29조는 개인정보처리자로 하여금 개인정보가 분실・도난・유출・위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적・관리적 및 물리적 조치를 하여야 한다고 정하고 있습니다. 시행령은 제30조에서 이러한 안전조치의무의 구체적인 내용에 관하여 정하고 있는데, 개정 시행령에서는 제30조의2에 공공시스템*을 운영하는 공공기관의 경우 다른 개인정보처리자와 달리 추가로 준수하여야 하는 안전성 확보 조치에 관한 내용을 신설하였습니다.

* 공공시스템이란 개인정보 보유량, 취급자 수 등 조건을 고려하여 개인정보 보호위원회가 지정하는 집중관리시스템을 뜻합니다. 


공공시스템 운영 공공기관이 취하여야 하는 추가적인 조치의 주요 내용은 다음과 같습니다.

1) 개인정보의 안전한 처리를 위한 내부 관리계획에 공공시스템별로 작성한 안전성 확보 조치를 포함할 것(시행령 제30조의2 제1항 제1호)
2) 공공시스템에 접속하여 개인정보를 처리하는 기관이 정당한 권한을 가진 개인정보취급자에게 접근 권한을 부여・변경・말소 등을 할 수 있도록 하는 등 접근 권한의 안전한 관리를 위해 필요한 조치 (시행령 제30조의2 제1항 제2호)
3) 개인정보에 대한 불법적인 접근 및 침해사고 방지를 위한 공공시스템 접속기록의 저장・분석・점검・관리 등의 조치 (시행령 제30조의2 제1항 제3호)
4) 정당한 권한 없는 또는 허용된 권한을 초과하는 개인정보 접근 사실이 확인된 경우 정보주체에 해당 사실과 피해 예방을 위해 필요한 사항을 통지(시행령 제30조의2 제2항)
5) 공공시스템의 규모와 특성, 해당 공공시스템이용기관의 수 등을 고려하여 개인정보의 안전한 관리에 관련된 업무를 전담하는 부서를 지정하여 운영하거나 전담인력을 배치 (시행령 제30조의2 제3항)
6) 공공시스템별로 해당 공공시스템을 총괄하여 관리하는 부서의 장을 관리책임자로 지정 (시행령 제30조의2 제4항)
7) 공공시스템의 안전성 확보 조치 이행상황 점검 및 개선에 관한 사항을 협의하기 위하여 공공시스템운영협의회를 공공시스템별로 설치・운영 (시행령 제30조의2 제5항)


다. 자격요건을 갖춘 개인정보 보호책임자(전문 CPO)의 지정 적용대상에 공공시스템 운영기관 포함 (시행령 제32조 제4항 제4호)

개인정보 보호책임자의 전문성 강화를 목적으로 매출액, 개인정보 보유 규모를 고려하여 일정기준 이상 개인정보처리자는 개인정보보호 경력, 정보보호 경력, 정보기술 경력을 합하여 총 4년 이상 보유하고 그 중 개인정보보호 경력을 최소 2년 이상 보유한 개인정보 보호책임자를 지정해야 합니다. 구체적으로 ① 연간 매출액 또는 수입이 1,500억원 이상인 자로서, 100만명 이상의 개인정보 또는 5만명 이상의 민감・고유식별정보를 처리하는 자, ② 직전 연도 12. 31. 기준 재학생 수가 2만명 이상인 대학, ③ 상급종합병원, ④ 공공시스템 운영기관이 본 조 적용 대상이 됩니다.

* 전문 CPO 지정제도에 관한 보다 구체적인 내용은 본 법무법인이 2024. 5. 10. 발간한 이슈리포트를 참고하시기 바랍니다.
(https://www.draju.com/ko/sub/newsletters.html?type=view&bsNo=4078&langNo=&page=1&sK=CPO&sFlag=1)


시행령 제32조는 2024. 3. 15. 시행되었으나, 시행령 제30조의2가 2024. 9. 15. 시행됨에 따라 공공시스템 운영 공공기관에 대해서는 시행일을 2024. 9. 15.로 정하였습니다(시행령 제32조 제4항 제4호).



3. 시사점

 시행령 제17조 제1항 시행에 따라 개인정보처리자가 정보주체의 동의를 받을 때에는 정보주체가 동의의 대상이 되는 내용을 명확하게 인지하고 자유로운 의사에 따라 동의 여부를 선택할 수 있도록 동의 절차와 방법을 재정비할 필요가 있습니다.

시행령 제30조의2, 제32조 제4항 제4호의 공공시스템 운영기관의 강화된 개인정보 보호조치 의무가 시행되어, 적용 대상이 되는 공공기관의 경우 안전조치 의무 준수를 위한 시스템을 철저히 마련하여야 합니다. 공공시스템 운영기관이 법 제29조, 시행령 제30조의2를 위반하여 안전성 확보에 필요한 조치를 하지 않은 경우 3천만원 이하의 과태료(법 제75조 제2항 제5호)가 부과될 수 있고, 법 제31조, 시행령 제32조를 위반하여 요건을 갖춘 개인정보 보호책임자를 지정하지 않은 경우 1천만원 이하의 과태료(법 제75조 제4항 제9호)가 부과될 수 있기 때문에, 공공시스템 운영기관은 개정 시행령상 의무 이행을 위해 세심하게 준비할 필요가 있습니다.





 


  1. 현재 법무법인(유한) 대륙아주의 파트너변호사로서, 주요 업무분야는 지적재산, 정보보안, TMT (Technology, Media & Telecom), 엔터테인먼트, 바이오/헬스케어 등입니다. 지적재산권, 영업비밀, 부정경쟁행위, 개인정보보호 관련 민·형사 소송 및 자문 등의 업무를 주로 담당하고 있으며, 개인정보보호위원회 개인정보보호 기본계획(2024-2026) 수립 연구반으로 활동하였습니다.