개인정보보호위원회는 개인정보 보호법 시행령 개정안을 이달 19일부터 다음달 28일까지 입법 예고한다고 밝혔다.
이번 시행령 개정안은 올해 3월 14일 공포된 개인정보 보호법 전면 개정에 따른 후속 조치다. 정보주체인 국민의 권리를 실질적으로 보장하고 공공 분야에서 안전 조치를 강화하면서, 온·오프라인으로 이원화돼 있는 개인정보 보호 기준을 일원화하는 내용을 담았다.
이용자 동의를 받으려면 '정보주체의 자유로운 의사'에 따르도록 해야 한다는 등 동의 원칙을 넣었다. 정보주체가 동의 여부를 선택할 수 있다는 사실을 구분해 표시하도록 했다. 또한, 개인정보 처리 방침 평가 대상자를 선정한 후, 동의 등 처리 근거가 적정한지, 개인정보 처리 방침을 이해하기 쉽게 공개했는지 등을 평가해 개선하도록 하는 내용이 포함됐다.
이번 시행령은 드론·자율주행차 등 이동형 영상정보 처리 기기가 보편화되는 환경에 맞춰 운영 기준을 정비했다.
정보주체가 아닌 제3자로부터 개인정보를 수집해 출처를 통지해야 하는 경우(수집 출처 통지)와 개인정보 이용·제공 내역을 통지해야 하는 경우(이용내역 통지)의 통지 의무 대상자의 범위를 수집 출처 통지 기준에 맞춰 바꿨다. 개인정보의 안전 조치 기준도 온라인 기준을 중심으로 통합했다.
정보 주체가 정보통신 서비스를 1년 이상 이용하지 않은 경우 개인정보를 파기하거나 별도 분리 저장하도록 한 규정(유효기간제)을 삭제하고, 파기의 일반 원칙에 따라 목적이 달성됐거나 보유 기간이 종료되면 지체 없이 파기하도록 했다.
더불어 과징금 산정 기준도 개편했다. 과징금 산정을 위한 기준 금액을 결정하는 비율(부과기준율)을 정할 때, 위반 행위의 중대성 정도에 따라 현행 3구간-단일 비율 방식에서 4구간-구간 내 차등 비율 방식으로 전환했다. 이번 개정안의 산정 기준은 법 시행일 이후 위반 행위에 대해 모든 개인정보 처리자와 개인정보 처리 업무를 위탁받은 수탁자까지 확대 적용될 예정이다.
△개인정보가 유출 사실을 알게 된 경우 △유출된 개인정보가 민감정보·고유식별정보인 경우 △해킹 등 외부로부터 불법적인 접근에 의한 유출인 경우 △개인정보 유출 인원이 1000명 이상인 경우에는 정당한 사유가 없는 한 72시간 내 개인정보위 또는 한국인터넷진흥원(KISA)에 신고하도록 했다.
영상을 별도로 저장하지 않고 통계 조사 목적으로 운영 시 고정형 영상정보 처리기기(CCTV 등) 설치·운영이 가능하다는 내용도 담겼다. 범죄·재난·화재 등 상황에서 인명 구조를 위해 영상 촬영이 필요한 경우에도 드론·자율주행차 등 이동형 영상정보 처리기기로 촬영할 수 있음을 명확히 했다.
공공기관은 앞으로 개인정보 보호 방침을 더 강화해야 한다. 이번 시행령에는 공공 시스템 운영 기관에 대한 안전 조치 특례를 신설됐다. 지난 2022년 관계 부처 협동으로 마련한 '공공 부문 개인정보 유출 방지 대책'을 따랐다.
그동안 공공기관이 관리하는 개인정보 파일이 내부 업무 처리 목적인 경우에는 등록 대상에서 제외됐으나, 일시적으로 처리되는 경우 등 관리 필요가 없는 경우 외에는 등록·관리하도록 했다. 등록 대상에서 제외되는 분야는 △일회적 행사 수행 △공공의 안전·안녕을 위해 긴급히 필요한 경우로서 일시적으로 처리 △저장하거나 기록하지 않을 목적으로 수집된 개인정보 파일 등이다.
고학수 개인정보위 위원장은 "지난 3월 법 공포 이후 산업계·시민단체·학계의 의견을 계속 들어 왔으며, 정보주체의 권리와 공공 부문의 안전 조치는 강화하고 불합리한 규제는 정비하는 내용을 개정안에 담았다"며 "개정된 개인정보 보호법이 현장에서 차질 없이 시행될 수 있도록 입법 예고 이후에도 다양한 의견을 들어 시행령에 반영해 나갈 것"이라고 말했다.
한편, 개인정보위는 내년 3월 15일 이후 시행 예정인 개인정보 전송요구권 관련 규정, 자동화된 결정에 대한 정보주체의 권리, 공공기관 개인정보 보호수준 평가 등 관련 사항에 대해 의견 수렴을 거친 후 올 하반기 추가 입법 예고할 예정이다.