보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

1천명 이상 민감정보 유출시 72시간 이내 개인정보위·KISA에 신고해야

입력 : 2023-05-18 15:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
개인정보 보호법 시행령 개정안 입법예고
정보주체인 국민이 동의 여부를 선택할 수 있도록 개선
온라인과 오프라인 구분 없이 동일한 기준 적용
공공분야에 대한 개인정보 안전성 강화


[보안뉴스 원병철 기자] 앞으로 1천명 이상의 민감정보 또는 고유식별정보가 유출됐을 경우 72시간(2일)이내 개인정보위나 KISA에 신고해야 한다. 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 이와 같은 내용이 담긴 ‘개인정보 보호법(법률 제19234호, 2023.9.15. 시행)’ 시행령 개정안을 5월 19일부터 6월 28일까지(40일) 입법예고한다고 밝혔다.

[이미지=gettyimagesbank]


이번 시행령 개정안은 지난 3월 14일 공포된 ‘개인정보 보호법’ 전면 개정에 따른 후속 조치로, 정보주체인 국민의 권리를 실질적으로 보장하고 공공분야에서의 안전조치를 강화하면서, 온라인과 오프라인으로 구분하여 이원화되어 있는 개인정보 보호 기준을 일원화하는 내용을 담고 있다.

한편, 내년 3월 15일 이후 시행 예정인 개인정보 전송요구권 관련 규정, 자동화된 결정에 대한 정보주체의 권리, 공공기관 개인정보 보호수준 평가 등에 관한 사항은 다양한 의견 수렴을 거친 후 법 시행 시기에 맞추어 하반기 중 추가로 입법예고할 예정이다. 개인정보 보호법 시행령 개정안의 주요 내용은 다음과 같다.

동의 받을 때 국민의 실질적 선택이 가능하도록 개선
첫째, 정보주체인 국민이 스스로 자신의 개인정보에 대한 권리를 실질적으로 행사할 수 있도록 동의의 원칙을 구체화하고, 개인정보처리방침 평가제를 통해 개인정보처리방침을 단계적으로 개선할 수 있는 기반을 마련했다. 동의를 받으려면 ‘정보주체의 자유로운 의사’에 따르도록 하는 등 동의 원칙을 구체화하고, 정보주체가 동의 여부를 선택할 수 있다는 사실을 구분해 표시하도록 했다.

또한, 개인정보처리자의 유형, 개인정보 처리 형태 등을 고려해 개인정보처리방침 평가 대상자를 선정한 후, 동의 등 처리 근거가 적정한지, 개인정보처리방침을 이해하기 쉽게 수립해 공개하고 있는지 등을 평가해 개선할 수 있도록 구체화했다.

온라인과 오프라인 구분 없이 동일한 기준 적용 : 규제 정비
둘째, 온라인과 오프라인으로 구분해, 달리 규율해온 이원화된 규제를 디지털 사회에 맞는 규제로 일원화하고, 드론·자율주행차 등 이동형 영상정보처리기기가 보편화되는 환경에 맞추어 운영기준을 정비했다.

정보주체가 아닌 제3자로부터 개인정보를 수집해 출처를 통지해야 하는 경우(수집 출처 통지)와 개인정보 이용·제공 내역을 통지해야 하는 경우(이용내역 통지)의 통지의무 대상자의 범위를 수집 출처 통지 기준에 맞추어 정비하고 통지도 함께 할 수 있도록 개선했다.

▲온라인·오프라인 각각 나뉜 수집 출처 기준을 통합했다[자료=개인정보위]


개인정보의 안전조치 기준이 온라인과 오프라인으로 구분되어 있는 문제를 해소하기 위해 온라인 기준을 중심으로 통합하고, 안전조치를 위한 다양한 기술이 도입될 수 있도록 특정 기술을 채택해야 하는 것으로 오인될 수 있는 용어를 삭제하는 등 관련 규정을 기술 중립적으로 정비했다. 예를 들면, 백신이나 보안서버 등의 용어를 삭제하고, 저장·전송 시 암호화 외에 암호화에 상응하는 조치를 추가했다.

아울러 정보주체가 정보통신서비스(온라인)를 1년 이상 이용하지 않은 경우 파기하거나 별도 분리하여 저장하도록 한 규정(유효기간제)을 삭제하고, 파기의 일반원칙에 따라 목적이 달성되었거나 보유기간이 종료되면 지체없이 파기하도록 했다.

과징금이 위반행위에 비례하여 산정되도록 중대하고 의도적인 위반행위에 대해서는 엄중한 과징금을, 경미한 위반행위에 대해서는 면제까지 가능하도록 산정기준을 개편했다.

과징금 산정을 위한 기준이 되는 금액(기준금액)을 결정하는 비율(부과기준율)을 결정할 때, 위반행위의 중대성 정도에 따라 현행 3구간-단일 비율 방식에서 4구간-구간 내 차등 비율 방식으로 전환했다. 이번 개정안의 산정기준은 법 시행일 이후 위반행위에 대하여 모든 개인정보처리자와 개인정보 처리업무를 위탁받은 수탁자까지 확대해 적용될 예정이다.

개인정보가 유출되었다는 사실을 알게 된 경우 유출된 개인정보가 민감정보 또는 고유식별정보인 경우, 해킹 등 외부로부터 불법적인 접근에 의한 유출인 경우, 1천명 이상인 경우에는 정당한 사유가 없는 한 72시간 이내에 개인정보위(또는 한국인터넷진흥원)에 신고하도록 했다.

그동안 규제샌드박스 실증특례를 통해 제한적으로 운영해온 사항을 입법화하기 위해 영상 촬영 후 별도로 저장하지 않는 경우로서, 통계 목적으로 운영하는 때에는 고정형 영상정보처리기기(CCTV 등) 설치·운영이 가능하도록 했다.

더불어, 국민의 생명 등을 보호하기 위해 범죄·재난·화재 등의 상황에서 인명의 구조·구급 등을 위해 영상 촬영이 필요한 경우에는 이동형 영상정보처리기기(드론, 자율주행차 등)를 통해 촬영할 수 있음을 명확히했다.

공공분야 개인정보 처리의 안전성 강화
셋째, 그동안 공공부문에서 계속되어 온 개인정보 침해사고를 근절하기 위해 대규모 공공시스템을 운영하는 공공기관에 대한 안전조치 의무를 강화하고, 개인정보파일 등록, 개인정보 영향평가 등 제도를 보완했다.

공공 시스템의 개인정보 유출로 인한 국민의 2차 피해를 막기 위해 마련한 ‘공공부문 개인정보 유출 방지대책(2022.7.14. 관계부처 합동)’에 따라 공공시스템 운영기관에 대한 안전조치 특례를 신설했다.

▲공공시스템 운영기관에 대한 안전조치 특례 주요내용[자료=개인정보위]


그동안 공공기관이 관리하는 개인정보파일이 내부적 업무처리 목적인 경우에는 등록 대상에서 제외되었으나, 일시적으로 처리되는 경우 등 관리 필요가 없는 경우 외에는 등록해 관리하도록 했다. 등록 예외는 ①일회적 행사 수행 ②공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리 ③저장하거나 기록하지 않을 목적으로 수집된 개인정보 파일 등이다.

공공기관이 개인정보 영향평가를 수행해야 하는 시점을 개인정보파일 운용 또는 변경 전으로 명확히 하고, 영향평가서 요약본을 공개할 수 있도록 해 공공기관의 개인정보를 투명하게 관리하도록 했다.

한편, 법 개정으로 글로벌 스탠다드에 맞게 개인정보의 국외 이전 요건이 다양화되고 국외이전 중지명령이 도입됨에 따라, 그 세부적인 절차와 기준 등을 구체화했으며, 해외사업자의 국내대리인 지정 기준을 개정법 취지에 맞게 정비했다.

고학수 개인정보위 위원장은 “지난 3월 법 공포 이후 산업계·시민단체·학계의 의견을 계속해서 들어 왔으며, 정보주체의 권리와 공공부문의 안전조치는 강화하고 불합리한 규제는 정비하는 내용을 개정안에 담았다”며, “개정된 ‘개인정보 보호법’이 현장에서 차질 없이 시행될 수 있도록 입법예고 이후에도 다양한 의견을 들어 시행령에 반영해 나갈 것”이라고 밝혔다.

이번 시행령 개정안에 대해 의견이 있는 기관·단체 또는 개인은 국민참여입법센터 또는 개인정보위 전자우편 및 일반우편 등으로 6월 28일까지 의견을 제출할 수 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)