개인정보 보호법 시행령 개정안의 주요 내용 소개
작성자
admin
작성일
2023-05-30 19:46
조회
304
개인정보 보호법 시행령 개정안의 주요 내용 소개
개인정보보호위원회(이하 “보호위원회”)는 2023. 9. 15. 시행 예정인 개정 개인정
보 보호법(이하 “개정법”)에 대한 개인정보 보호법 시행령 개정안(이하 “시행령 개정
안”)을 입법예고 하였습니다. 시행령 개정안은 40일의 입법예고 기간(2023. 5. 19. ~
2023. 6. 28)을 거친 뒤 개정법과 함께 2023. 9. 15.에 시행될 예정입니다.1)
이번 시행령 개정안은 (1) 모든 개인정보처리자에 대한 규제 일원화, (2) 정보주체의
실질적 동의권 보장을 위한 규정 정비, (3) 개인정보 국외 이전 요건 다양화에 따른 구
체적 근거 마련, (4) 영상정보처리기기 관련 설치·운영 지침 구체화, (5) 과징금 부과
규정 정비, (6) 분쟁조정제도 등에 대한 구체적인 내용을 담고 있습니다.
시행령 개정안의 주요 내용은 다음과 같습니다.
1. 모든 개인정보처리자에 대한 규제 일원화
개정법이 정보통신서비스 제공자와 일반 개인정보처리자에 대한 규정을 통합함에
따라 시행령 개정안에서는 모든 개인정보처리자에 대하여 일원화된 규제를 구체적
으로 규정하였습니다.
우선, 기존에는 정보통신서비스 부문 매출액 및 이용자수를 기준을 충족하는 정보통
신서비스제공자등이 이용 내역 통지 의무를 부담하고 있으나2), 개인정보 이용·제공
내역 통지 의무 규정이 통합됨에 따라 시행령이 개정되어, 전년도말 기준 직전 3개월
간 일일 평균 기준 (i) 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보를
처리하거나, (ii) 100만명 이상의 정보주체에 관한 개인정보를 처리하는 모든 개인정
보처리자가 통지의무를 부담하게 되었습니다(영 제15조의3)3).
1) 2024. 3. 15. 이후 시행 예정인 개인정보 전송요구권 및 자동화된 결정에 대한 정보주체의 권리에 대한 규정, 공공기
관의 개인정보 보호수준 평가 등에 관한 시행령 개정안은 2023년 하반기 중 추가로 입법예고될 예정입니다.
2) 정보통신서비스 부문 전년도 매출액이 100억원 이상이거나 전년도말 기준 직전 3개월간 개인정보가 저장·관리되고
있는 이용자 수가 일일평균 100만명 이상인 정보통신서비스제공자 등은 현행 개인정보보호법 제39조의8 제1항 및
동법 시행령 제48조의6 제1항에 따라 개인정보 이용 내역 통지 의무를 부담합니다.
3) 다만, (i) 정보주체가 통지에 대한 거부의사를 표시한 경우, (ii) 법 제20조 제2항에 따른 수집 출처 등 통지를 통해 개인
정보 이용·제공내역을 정보주체에게 통지한 경우, (iii) 정보주체가 해당 개인정보처리자의 임직원 또는 다른 개인정보
처리자의 임직원(업무 수행을 위해 연락처 등 개인정보의 처리가 필요한 경우에 한한다)인 경우, (iv) 법률에 규정이 있
거나 법령 상 의무를 준수하기 위하여 개인정보를 저장·관리하고 있는 경우에는 통지를 하지 아니할 수 있습니다.
Related Areas
IP & Technology
Data & Technology
손도일 변호사
02-528-5836
dison@yulchon.com
김선희 변호사
02-528-5838
kimsh@yulchon.com
안다연 변호사
02-528-5254
dyahn@yulchon.com
허승진 변호사
02-528-5567
sjheo@yulchon.com
Contact
2
또한, 현행법상 개인정보 유출시 ‘지체없이’ 정보주체에게 통지하고 보호위원회 또는 전문기관에 신고하여야 하는데, 일
반 개인정보처리자와 정보통신서비스 제공자의 통지 및 신고 시기에 차이가 있었습니다4). 그러나 시행령 개정안에 따
르면, 모든 개인정보처리자는 유출 사실을 알게 될 경우 정당한 사유가 없는 한 72시간 내 정보주체에 통지하여야 하고,
(i) 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우, (ii) 민감정보, 고유식별정보가 유출된 경우, (iii) 외부로부터의
불법적 접근에 의해 개인정보가 유출된 경우 등 3가지에 해당될 때에는 72시간 내에 보호위원회 또는 전문기관에 신고
하여야 합니다(영 제40조)5).
이 외에도 시행령 개정안은 개인정보의 안전성 확보조치 관련 규정을 통합하고(영 제30조), 국내대리인 지정 대상자 결
정 기준을 일반 개인정보처리자에게도 적용하기 위해 정보통신서비스 매출액 기준을 삭제하는 등(영 제32조의2) 규정
을 정비하였습니다.
2. 정보주체의 실질적 동의권 보장 관련
개정법에서 정보주체의 형식적인 동의에 의존하던 개인정보의 수집·이용·제공 요건을 다양화하면서, 시행령 개정안은
정보주체의 실질적 동의권을 보장하기 위한 방안을 마련하였습니다.
현행 시행령은 동의 방법에 대한 형식 요건만을 규정하고 있었으나 시행령 개정안은 정보주체로부터 받은 동의가 적법
하기 위해서는 ① 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있어야 하고, ② 동의 내용이 구체적이고 명
확하여야 하고, ③ 평이하고 이해하기 쉬운 문구를 사용하여야 하며, ④ 정보주체에게 동의 여부에 대한 의사를 명확하
게 표시할 수 있는 방법을 제공하여야 한다고 하여 동의의 적법성을 확보하기 위한 실질적인 요건을 명시적으로 규정하
였습니다(영 제17조). 또한, 정보주체의 동의 없는 개인정보의 추가적인 이용·제공이 지속적으로 발생하는 경우에는 관
련 내용을 개인정보 처리방침에 공개하여야 합니다(영 제14조의2).
개인정보처리자의 책임성을 높이고 국민의 알권리 보장을 위해 “처리방침 평가제”가 도입되었으므로, 시행령 개정안에
서는 보호위원회의 평가대상 선정 기준 및 평가 기준을 마련하였습니다(영 제31조의2 및 제31조의3).
3. 개인정보 국외 이전 요건 다양화 관련 구체적 근거 마련
개정법을 통해 개인정보의 국외 이전 요건이 다양화되고, 보호위원회가 개인정보의 국외 이전 중지를 명령할 수 있는 근
거 규정이 마련됨에 따라, 시행령 개정안은 신설 국외 이전 요건의 구체적인 기준을 마련하고 국외 이전 중지 명령의 기
준 및 이의제기 절차를 정하였습니다.
4) 일반 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때 근무일 기준 5일 이내에 정보주체에게 통지하여야 보호위원회 또는 는 전문기관에 신고하여야 하나
(개인정보 보호법 제34조), 정보통신서비스제공자등은 정당한 사유가 없는 한 24시간 이내에 통지 및 신고를 하여야 합니다(동법 제39조의4).
5) 단, 개인정보 유출 등의 경로가 확인되어 해당 개인정보를 회수∙삭제하는 등 조치를 통해 정보주체의 권익 침해 가능성이 현저히 낮아진 경우에는 신고의무가 면제됩니
다.
3
개정법에 따라 개인정보처리자가 보호위원회가 고시하는 인증을 받은 경우 및 개인정보가 이전되는 국가 또는 국제기
구가 개인정보 보호 수준 인정을 받은 경우 정보주체의 동의 없이도 개인정보의 국외 이전이 가능해졌으므로, 개인정보
보호 수준 인정 시 보호위원회가 고려하여야 하는 사항 및 절차 등을 시행령 개정안에 규정되었습니다(영 제29조의10,
제29조의11).
보호위원회가 개인정보 국외 이전 중지 명령을 내리기 위해서는 ① 이전되는 개인정보의 유형 및 규모, ② 법 위반의 중
대성 정도, ③ 정보주체에게 발생한 피해가 중대하거나 회복하기 어려운 피해인지 여부, ④ 이전 중지가 정보주체에게
명백히 이익이 되는지 여부 등을 종합적으로 고려하고 국외이전전문위원회의 심의를 거쳐야 합니다(영 제29조의12).
4. 영상정보처리기기 관련 설치·운영 지침 구체화
개정법이 영상정보처리기기 규정을 고정형과 이동형으로 구분하여 규정하였으므로, 시행령 개정안은 고정형 영상정보
처리기기와 이동형 영상정보처리기기의 설치·운영 지침을 정비하였습니다.
개인정보보호법 제25조 제1항에 고정형 영상정보처리기기를 설치 및 운영할 수 있는 경우가 제한적으로 열거되어 있
었는데, 개정법 및 시행령 개정안에 따라 고정형 영상정보처리기기 설치·운영 제한에 대한 예외로 촬영된 영상정보를
저장하지 않고 출입자 수 등 통계값 산출을 위해 필요한 경우, 성별·연령대 등 통계적 특성값을 도출하기 위해 필요한 경
우 등에도 공개된 장소에서 고정형 영상정보처리기기 운영이 가능해졌습니다(영 제22조).
새롭게 도입된 이동형 영상정보처리기기의 경우, 원칙적으로 불특정 다수가 이용하고 개인의 사생활을 현저히 침해할
우려가 있는 장소의 내부를 볼 수 있는 곳에서는 촬영하여서는 아니되나(개정법 제25조의2 제2항), 예외적으로 범죄,
재난, 화재, 또는 이에 준하는 상황에서 인명의 구조·구급을 위해 영상 촬영이 필요한 경우 개인의 사생활을 현저히 침해
할 우려가 있는 장소의 내부를 볼 수 있는 곳에서도 이동형 영상정보처리기기를 운영할 수 있도록 하였습니다(영 제27
조의2). 또한, 이동형 영상정보처리기기로 촬영을 하는 경우 불빛, 소리, 안내판 등으로 정보주체가 촬영 사실을 쉽게 알
수 있도록 표시하고 알려야 하는데, 드론에 의한 항공촬영 등 촬영 방법의 특성상 촬영 사실을 정보주체에게 알리기 어
려운 경우에는 홈페이지 공지 등으로 알릴 수 있도록 하였습니다(영 제27조의3).
5. 과징금 부과 규정 정비
개정법에서 과징금 상한을 ‘전체 매출액의 100분의 3’으로 상향하고(법 제64조의2 제1항), 과징금 산정 기준을 ‘전체
매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액’으로 규정함에 따라 시행령 개정안은 ‘위반행위와 관련이
없는 매출액’의 범위를 ① 명백히 개인정보의 처리와 관련이 없는 재화 또는 서비스의 매출액 또는 ② 해당 개인정보처
리자가 위반행위로 인하여 영향을 받는 재화·서비스의 매출액이 아니라는 입증자료를 제출한 경우로서 보호위원회가
인정하는 매출액에 대한 해당 사업연도 직전 3개 사업연도의 연평균 매출액으로 구체화하였습니다(영 제60조의 2).
4
또한, 시행령 개정안은 별표1의5를 개정하여 과징금 납부기한 연기 및 분할 납부 근거를 마련하고, 과징금 부과 여부 결
정 및 산정 기준, 산정 절차를 구체화하였습니다. 단, 개인정보처리자 등에게 본인의 행위가 위법하지 않다고 잘못 인식
할 만한 정당한 사유가 있는 경우, 위반행위의 내용·정도가 경미한 경우, 정보주체에게 피해가 발생하지 않았거나 경미
한 경우로 개인정보보호위원회가 고시하는 기준에 해당하는 경우에는 과징금을 부과하지 않을 수 있습니다.
6. 분정조정제도 제도 구체화
기존에는 공공기관이 아닌 개인정보처리자는 분쟁조정에 대한 참여 여부를 자유롭게 결정할 수 있었으나, 개정법은 원
칙적으로 모든 개인정보처리자가 개인정보에 관한 분쟁조정에 참여할 의무가 있다고 하면서, 예외적으로 ①분쟁조정
신청 이전에 이미 소가 제기된 경우, ②분쟁조정이 확정 판결 등의 방법으로 이미 종결된 경우, ③분쟁조정위원회에서
심의 결정 종결 처리한 사건을 다시 조정 신청한 경우 등에는 개인정보처리자가 분쟁 조정에 응하지 않을 수 있다고 규
정하였습니다(영 제51조의2).
또한, 분쟁조정 사실조사와 관련하여 사실조사의 원칙을 명문화하고 절차 및 방법을 구체화하였으며, 자료의 요청 및 사
실조사는 분쟁 조정에 필요한 최소한의 범위 안에서 실시되어야 한다는 사실조사의 원칙을 명문화하고, 당사자에게 증
거 및 자료 제출에 관한 공평하고 충분한 기회가 주어져야 한다는 원칙을 제시하였습니다(영 제51조의3).
<<개정안에 대한 시사점>>
• 정보주체의 개인정보 자기결정권 보장을 위해 실질적 동의권이 강조됨에 따라, 향후 동의를 받을 때에는 정보주
체가 실질적 의사에 의해 동의 여부를 결정, 표시할 수 있도록 함으로써 동의의 적법성이 인정될 수 있도록 관련
절차 및 형식을 점검할 필요가 있습니다. 특히, 사용자와 근로자 등과 같이 대등하지 않은 관계에서 동의에 대한
적법성을 인정받기 위하여, 자유로운 의사에 의한 동의가 가능하도록 해당 서비스에 직접적으로 필요한 최소한
의 개인정보 수집 등 구체적인 방안을 강구하여야 할 것입니다.
• 개인정보 국외 이전 요건 다양화 및 고정형·이동형 영상정보처리기기 설치 및 운영 근거가 마련됨에 따라 관련 산
업이 활성화 될 것으로 기대됩니다. 이를 활용하고자 개인정보처리자는 개정 개인정보보호법 및 동법 시행령 개정
안 뿐만 아니라 개인정보보호위원회의 고시 등을 통해 규제 실무가 구체화 되는 과정을 주목할 필요가 있습니다.
• 과징금 상한 및 대상이 확대됨에 따라 강한 경제 제재 부과가 가능해졌습니다. 모든 개인정보처리자는 새로운
규제 환경 하에서 관계 법규를 준수하기 위해 사전적이고 예방적인 차원의 컴플라이언스 점검을 시행할 필요가
있습니다. 그리고 개인정보처리자에게 위반행위와 관련이 없는 매출액에 대한 입증책임이 부여된 만큼 “관련 매
출액” 관리와 함께 세분화된 과징금 부과 기준 등을 참고하여 위반 행위가 발생시 효과적으로 대응함으로써 규
제 리스크를 관리하기 위한 업무 절차 점검 및 개선 방안 마련을 고려할 필요가 있겠습니다.
법무법인(유) 율촌의 뉴스레터는 일반적인 정보제공만을 목적으로 발행되므로 이에 수록된 내용은 법무법인(유) 율촌의
공식적인 견해나 구체적인 사안에 관한 법률의견이 아님을 알려드립니다.
개인정보보호위원회(이하 “보호위원회”)는 2023. 9. 15. 시행 예정인 개정 개인정
보 보호법(이하 “개정법”)에 대한 개인정보 보호법 시행령 개정안(이하 “시행령 개정
안”)을 입법예고 하였습니다. 시행령 개정안은 40일의 입법예고 기간(2023. 5. 19. ~
2023. 6. 28)을 거친 뒤 개정법과 함께 2023. 9. 15.에 시행될 예정입니다.1)
이번 시행령 개정안은 (1) 모든 개인정보처리자에 대한 규제 일원화, (2) 정보주체의
실질적 동의권 보장을 위한 규정 정비, (3) 개인정보 국외 이전 요건 다양화에 따른 구
체적 근거 마련, (4) 영상정보처리기기 관련 설치·운영 지침 구체화, (5) 과징금 부과
규정 정비, (6) 분쟁조정제도 등에 대한 구체적인 내용을 담고 있습니다.
시행령 개정안의 주요 내용은 다음과 같습니다.
1. 모든 개인정보처리자에 대한 규제 일원화
개정법이 정보통신서비스 제공자와 일반 개인정보처리자에 대한 규정을 통합함에
따라 시행령 개정안에서는 모든 개인정보처리자에 대하여 일원화된 규제를 구체적
으로 규정하였습니다.
우선, 기존에는 정보통신서비스 부문 매출액 및 이용자수를 기준을 충족하는 정보통
신서비스제공자등이 이용 내역 통지 의무를 부담하고 있으나2), 개인정보 이용·제공
내역 통지 의무 규정이 통합됨에 따라 시행령이 개정되어, 전년도말 기준 직전 3개월
간 일일 평균 기준 (i) 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보를
처리하거나, (ii) 100만명 이상의 정보주체에 관한 개인정보를 처리하는 모든 개인정
보처리자가 통지의무를 부담하게 되었습니다(영 제15조의3)3).
1) 2024. 3. 15. 이후 시행 예정인 개인정보 전송요구권 및 자동화된 결정에 대한 정보주체의 권리에 대한 규정, 공공기
관의 개인정보 보호수준 평가 등에 관한 시행령 개정안은 2023년 하반기 중 추가로 입법예고될 예정입니다.
2) 정보통신서비스 부문 전년도 매출액이 100억원 이상이거나 전년도말 기준 직전 3개월간 개인정보가 저장·관리되고
있는 이용자 수가 일일평균 100만명 이상인 정보통신서비스제공자 등은 현행 개인정보보호법 제39조의8 제1항 및
동법 시행령 제48조의6 제1항에 따라 개인정보 이용 내역 통지 의무를 부담합니다.
3) 다만, (i) 정보주체가 통지에 대한 거부의사를 표시한 경우, (ii) 법 제20조 제2항에 따른 수집 출처 등 통지를 통해 개인
정보 이용·제공내역을 정보주체에게 통지한 경우, (iii) 정보주체가 해당 개인정보처리자의 임직원 또는 다른 개인정보
처리자의 임직원(업무 수행을 위해 연락처 등 개인정보의 처리가 필요한 경우에 한한다)인 경우, (iv) 법률에 규정이 있
거나 법령 상 의무를 준수하기 위하여 개인정보를 저장·관리하고 있는 경우에는 통지를 하지 아니할 수 있습니다.
Related Areas
IP & Technology
Data & Technology
손도일 변호사
02-528-5836
dison@yulchon.com
김선희 변호사
02-528-5838
kimsh@yulchon.com
안다연 변호사
02-528-5254
dyahn@yulchon.com
허승진 변호사
02-528-5567
sjheo@yulchon.com
Contact
2
또한, 현행법상 개인정보 유출시 ‘지체없이’ 정보주체에게 통지하고 보호위원회 또는 전문기관에 신고하여야 하는데, 일
반 개인정보처리자와 정보통신서비스 제공자의 통지 및 신고 시기에 차이가 있었습니다4). 그러나 시행령 개정안에 따
르면, 모든 개인정보처리자는 유출 사실을 알게 될 경우 정당한 사유가 없는 한 72시간 내 정보주체에 통지하여야 하고,
(i) 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우, (ii) 민감정보, 고유식별정보가 유출된 경우, (iii) 외부로부터의
불법적 접근에 의해 개인정보가 유출된 경우 등 3가지에 해당될 때에는 72시간 내에 보호위원회 또는 전문기관에 신고
하여야 합니다(영 제40조)5).
이 외에도 시행령 개정안은 개인정보의 안전성 확보조치 관련 규정을 통합하고(영 제30조), 국내대리인 지정 대상자 결
정 기준을 일반 개인정보처리자에게도 적용하기 위해 정보통신서비스 매출액 기준을 삭제하는 등(영 제32조의2) 규정
을 정비하였습니다.
2. 정보주체의 실질적 동의권 보장 관련
개정법에서 정보주체의 형식적인 동의에 의존하던 개인정보의 수집·이용·제공 요건을 다양화하면서, 시행령 개정안은
정보주체의 실질적 동의권을 보장하기 위한 방안을 마련하였습니다.
현행 시행령은 동의 방법에 대한 형식 요건만을 규정하고 있었으나 시행령 개정안은 정보주체로부터 받은 동의가 적법
하기 위해서는 ① 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있어야 하고, ② 동의 내용이 구체적이고 명
확하여야 하고, ③ 평이하고 이해하기 쉬운 문구를 사용하여야 하며, ④ 정보주체에게 동의 여부에 대한 의사를 명확하
게 표시할 수 있는 방법을 제공하여야 한다고 하여 동의의 적법성을 확보하기 위한 실질적인 요건을 명시적으로 규정하
였습니다(영 제17조). 또한, 정보주체의 동의 없는 개인정보의 추가적인 이용·제공이 지속적으로 발생하는 경우에는 관
련 내용을 개인정보 처리방침에 공개하여야 합니다(영 제14조의2).
개인정보처리자의 책임성을 높이고 국민의 알권리 보장을 위해 “처리방침 평가제”가 도입되었으므로, 시행령 개정안에
서는 보호위원회의 평가대상 선정 기준 및 평가 기준을 마련하였습니다(영 제31조의2 및 제31조의3).
3. 개인정보 국외 이전 요건 다양화 관련 구체적 근거 마련
개정법을 통해 개인정보의 국외 이전 요건이 다양화되고, 보호위원회가 개인정보의 국외 이전 중지를 명령할 수 있는 근
거 규정이 마련됨에 따라, 시행령 개정안은 신설 국외 이전 요건의 구체적인 기준을 마련하고 국외 이전 중지 명령의 기
준 및 이의제기 절차를 정하였습니다.
4) 일반 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때 근무일 기준 5일 이내에 정보주체에게 통지하여야 보호위원회 또는 는 전문기관에 신고하여야 하나
(개인정보 보호법 제34조), 정보통신서비스제공자등은 정당한 사유가 없는 한 24시간 이내에 통지 및 신고를 하여야 합니다(동법 제39조의4).
5) 단, 개인정보 유출 등의 경로가 확인되어 해당 개인정보를 회수∙삭제하는 등 조치를 통해 정보주체의 권익 침해 가능성이 현저히 낮아진 경우에는 신고의무가 면제됩니
다.
3
개정법에 따라 개인정보처리자가 보호위원회가 고시하는 인증을 받은 경우 및 개인정보가 이전되는 국가 또는 국제기
구가 개인정보 보호 수준 인정을 받은 경우 정보주체의 동의 없이도 개인정보의 국외 이전이 가능해졌으므로, 개인정보
보호 수준 인정 시 보호위원회가 고려하여야 하는 사항 및 절차 등을 시행령 개정안에 규정되었습니다(영 제29조의10,
제29조의11).
보호위원회가 개인정보 국외 이전 중지 명령을 내리기 위해서는 ① 이전되는 개인정보의 유형 및 규모, ② 법 위반의 중
대성 정도, ③ 정보주체에게 발생한 피해가 중대하거나 회복하기 어려운 피해인지 여부, ④ 이전 중지가 정보주체에게
명백히 이익이 되는지 여부 등을 종합적으로 고려하고 국외이전전문위원회의 심의를 거쳐야 합니다(영 제29조의12).
4. 영상정보처리기기 관련 설치·운영 지침 구체화
개정법이 영상정보처리기기 규정을 고정형과 이동형으로 구분하여 규정하였으므로, 시행령 개정안은 고정형 영상정보
처리기기와 이동형 영상정보처리기기의 설치·운영 지침을 정비하였습니다.
개인정보보호법 제25조 제1항에 고정형 영상정보처리기기를 설치 및 운영할 수 있는 경우가 제한적으로 열거되어 있
었는데, 개정법 및 시행령 개정안에 따라 고정형 영상정보처리기기 설치·운영 제한에 대한 예외로 촬영된 영상정보를
저장하지 않고 출입자 수 등 통계값 산출을 위해 필요한 경우, 성별·연령대 등 통계적 특성값을 도출하기 위해 필요한 경
우 등에도 공개된 장소에서 고정형 영상정보처리기기 운영이 가능해졌습니다(영 제22조).
새롭게 도입된 이동형 영상정보처리기기의 경우, 원칙적으로 불특정 다수가 이용하고 개인의 사생활을 현저히 침해할
우려가 있는 장소의 내부를 볼 수 있는 곳에서는 촬영하여서는 아니되나(개정법 제25조의2 제2항), 예외적으로 범죄,
재난, 화재, 또는 이에 준하는 상황에서 인명의 구조·구급을 위해 영상 촬영이 필요한 경우 개인의 사생활을 현저히 침해
할 우려가 있는 장소의 내부를 볼 수 있는 곳에서도 이동형 영상정보처리기기를 운영할 수 있도록 하였습니다(영 제27
조의2). 또한, 이동형 영상정보처리기기로 촬영을 하는 경우 불빛, 소리, 안내판 등으로 정보주체가 촬영 사실을 쉽게 알
수 있도록 표시하고 알려야 하는데, 드론에 의한 항공촬영 등 촬영 방법의 특성상 촬영 사실을 정보주체에게 알리기 어
려운 경우에는 홈페이지 공지 등으로 알릴 수 있도록 하였습니다(영 제27조의3).
5. 과징금 부과 규정 정비
개정법에서 과징금 상한을 ‘전체 매출액의 100분의 3’으로 상향하고(법 제64조의2 제1항), 과징금 산정 기준을 ‘전체
매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액’으로 규정함에 따라 시행령 개정안은 ‘위반행위와 관련이
없는 매출액’의 범위를 ① 명백히 개인정보의 처리와 관련이 없는 재화 또는 서비스의 매출액 또는 ② 해당 개인정보처
리자가 위반행위로 인하여 영향을 받는 재화·서비스의 매출액이 아니라는 입증자료를 제출한 경우로서 보호위원회가
인정하는 매출액에 대한 해당 사업연도 직전 3개 사업연도의 연평균 매출액으로 구체화하였습니다(영 제60조의 2).
4
또한, 시행령 개정안은 별표1의5를 개정하여 과징금 납부기한 연기 및 분할 납부 근거를 마련하고, 과징금 부과 여부 결
정 및 산정 기준, 산정 절차를 구체화하였습니다. 단, 개인정보처리자 등에게 본인의 행위가 위법하지 않다고 잘못 인식
할 만한 정당한 사유가 있는 경우, 위반행위의 내용·정도가 경미한 경우, 정보주체에게 피해가 발생하지 않았거나 경미
한 경우로 개인정보보호위원회가 고시하는 기준에 해당하는 경우에는 과징금을 부과하지 않을 수 있습니다.
6. 분정조정제도 제도 구체화
기존에는 공공기관이 아닌 개인정보처리자는 분쟁조정에 대한 참여 여부를 자유롭게 결정할 수 있었으나, 개정법은 원
칙적으로 모든 개인정보처리자가 개인정보에 관한 분쟁조정에 참여할 의무가 있다고 하면서, 예외적으로 ①분쟁조정
신청 이전에 이미 소가 제기된 경우, ②분쟁조정이 확정 판결 등의 방법으로 이미 종결된 경우, ③분쟁조정위원회에서
심의 결정 종결 처리한 사건을 다시 조정 신청한 경우 등에는 개인정보처리자가 분쟁 조정에 응하지 않을 수 있다고 규
정하였습니다(영 제51조의2).
또한, 분쟁조정 사실조사와 관련하여 사실조사의 원칙을 명문화하고 절차 및 방법을 구체화하였으며, 자료의 요청 및 사
실조사는 분쟁 조정에 필요한 최소한의 범위 안에서 실시되어야 한다는 사실조사의 원칙을 명문화하고, 당사자에게 증
거 및 자료 제출에 관한 공평하고 충분한 기회가 주어져야 한다는 원칙을 제시하였습니다(영 제51조의3).
<<개정안에 대한 시사점>>
• 정보주체의 개인정보 자기결정권 보장을 위해 실질적 동의권이 강조됨에 따라, 향후 동의를 받을 때에는 정보주
체가 실질적 의사에 의해 동의 여부를 결정, 표시할 수 있도록 함으로써 동의의 적법성이 인정될 수 있도록 관련
절차 및 형식을 점검할 필요가 있습니다. 특히, 사용자와 근로자 등과 같이 대등하지 않은 관계에서 동의에 대한
적법성을 인정받기 위하여, 자유로운 의사에 의한 동의가 가능하도록 해당 서비스에 직접적으로 필요한 최소한
의 개인정보 수집 등 구체적인 방안을 강구하여야 할 것입니다.
• 개인정보 국외 이전 요건 다양화 및 고정형·이동형 영상정보처리기기 설치 및 운영 근거가 마련됨에 따라 관련 산
업이 활성화 될 것으로 기대됩니다. 이를 활용하고자 개인정보처리자는 개정 개인정보보호법 및 동법 시행령 개정
안 뿐만 아니라 개인정보보호위원회의 고시 등을 통해 규제 실무가 구체화 되는 과정을 주목할 필요가 있습니다.
• 과징금 상한 및 대상이 확대됨에 따라 강한 경제 제재 부과가 가능해졌습니다. 모든 개인정보처리자는 새로운
규제 환경 하에서 관계 법규를 준수하기 위해 사전적이고 예방적인 차원의 컴플라이언스 점검을 시행할 필요가
있습니다. 그리고 개인정보처리자에게 위반행위와 관련이 없는 매출액에 대한 입증책임이 부여된 만큼 “관련 매
출액” 관리와 함께 세분화된 과징금 부과 기준 등을 참고하여 위반 행위가 발생시 효과적으로 대응함으로써 규
제 리스크를 관리하기 위한 업무 절차 점검 및 개선 방안 마련을 고려할 필요가 있겠습니다.
법무법인(유) 율촌의 뉴스레터는 일반적인 정보제공만을 목적으로 발행되므로 이에 수록된 내용은 법무법인(유) 율촌의
공식적인 견해나 구체적인 사안에 관한 법률의견이 아님을 알려드립니다.