강은성의 보안 아키텍트ㅣ개인정보보호 담당자가 알아야 할 개정 개인정보보호법 (1)

지난 2월 27일 국회를 통과한 개정 개인정보보호법이 3월 14일 공포되었다. 2021년 9월 정부가 ‘개인정보보호법 2차 개정안’을 국회에 제출한 지 약 1년 5개월 만의 일이다.

정부 개정안이 뼈대가 되긴 했지만, 심의 과정에서 최대 이슈가 되었던 과징금 상한액이 ‘전체 매출액’의 3%에서 “전체 매출액에서 위반행위와 관련 없는 매출액을 제외한 금액”의 3%로 변경되었고, 막바지에는 이동형 영상기기 관련 국가와 지방자치단체가 촬영 사실을 알리지 않고 촬영할 수 있다는 단서 조항이 수사기관 등에서 악용될 수 있다는 우려를 반영하여 해당 조문이 삭제되는 등 상당한 기간 상임위와 법사위, 이해관계자 사이의 다양한 논의를 거친 개정안이라고 볼 수 있다. 

언론 보도를 찾아보니 개인정보보호 일반법에서 ‘전송 요구권’이 신설되어 신용정보법에 한정되었던 ‘마이데이터 사업’이 여러 산업에서 이뤄질 수 있다는 점을 강조한 기사들이 많은 한편 시민단체 쪽에서는 인공지능을 이용한 ‘완전 자동화된 의사결정’에 대한 정보 주체의 권리 보장이 미흡하다는 비판을 내놓았다([공동논평] 국회 본회의 통과한 개인정보보호법 개정안, 국제규범과 시민사회 기대에 한참 못미쳐).

이 칼럼에서는 개정된 법에서 개인정보보호 담당자 관점에서 주목해볼 만한 내용을 정리해보고자 한다.

첫째, 법 제15조(개인정보의 수집·이용)의 개정 내용은 작아 보이지만 큰 변화가 될 수 있다.
 

개정 전: 제15조(개인정보의 수집·이용)  ① 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. …(중략)... 4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 …(하략)... 개정 후: 제15조(개인정보의 수집·이용)  ① 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. …(중략)... 4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 …(하략)...

법 제15조 제1항은 개인정보처리자가 정보주체의 개인정보를 수집할 수 있는 법적 근거이다. 아시다시피 제1호는 정보주체의 동의를 받아 개인정보를 수집하는 경우이고, 제2호~제6호는 정보주체의 동의 없이 개인정보를 수집할 수 있는 경우를 나열한 것이다. 그중 제4호는 개인정보처리자가 서비스를 제공하는 데 반드시 필요한 정보주체의 개인정보, 즉 ‘개인정보 필수 항목’ 수집에 관한 규정이다. 개정 전 조문에는 서비스를 제공하는 데 그 개인정보를 수집하는 것 이외에 다른 방법이 없다는 걸 개인정보처리자가 입증하라는 의미의 ‘불가피하게’가 있어서 이 조항이 사문화됐는데, 이번 개정에서 ‘불가피하게’가 삭제되었다.

이 개정된 법이 시행되는 9월 중순 이후에는 ‘개인정보 수집·이용 동의서’에서 필수 항목에 대한 동의가 없어지고, 선택 항목에 대한 동의만 남는 등 상당한 변화가 올 수 있다. (물론 누구도 시도하지 않으면 전혀 변화가 없을 수도 있다.) 여전히 해당 항목이 서비스의 필수 항목임을 입증하는 건 개인정보처리자의 책임이라는 점에 유의해야 한다. ‘본디’(Bondee)’ 개인정보 이슈에서 보듯 과도한 개인정보 수집이라는 인식이 대중적으로 생기면 서비스 자체가 흔들릴 수 있다. 중국의 개인정보 보호에 대한 불신이 바탕에 깔려 있는 사건이긴 하지만 말이다.

둘째, 무엇보다도 가장 큰 변화는 ‘정보통신서비스 제공자 등’에게 적용되던 ‘제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례’가 없어졌다는 점이다. 개정된 법에서는 ‘정보통신서비스 제공자’, ‘정보통신서비스 제공자 등’, ‘이용자’ 같은 정보통신망법 관련 용어를 모두 들어냈다. 이는 다음 세 가지 형태로 이뤄졌다.

(1) 특례 조항을 일반 조항으로 통합(대체)
특례 조항이 삭제되고, 그에 해당하는 개인정보보호법 일반 조항이 적용된다. 해당 특례 조항은 다음과 같다.

• 제39조의3(개인정보의 수집·이용 동의 등에 대한 특례) → 제15조(개인정보의 수집·이용)
• 제39조의4(개인정보 유출등의 통지·신고에 대한 특례) → 제34조(개인정보 유출 통지 등)
• 제39조의7(이용자의 권리 등에 대한 특례) → 제35조(개인정보의 열람), 제36조(개인정보의 정정·삭제)

(2) 특례 조항의 삭제
특례 조항이 삭제되고 그에 해당하는 개인정보보호법 일반 조항이 없어서 해당 규정이 사라진다. 해당 특례 조항은 다음과 같다.

• 제39조의5(개인정보의 보호조치에 대한 특례) – 개인정보취급자 최소화
• 제39조의6(개인정보의 파기에 대한 특례) - 1년 동안 사용하지 않은(로그인하지 않은) 개인정보를 파기하거나 휴면 처리(분리 보관)하는 ‘개인정보 유효기간제’의 근거 조문
• 제39조의14(방송사업자 등에 대한 특례) - 개인정보처리자에 해당

(3) 특례 조항을 일반 조항으로 전환
특례 조항을 일반 조항으로 전환하여 모든 개인정보처리자에 (확대) 적용된다. 해당 특례 조항은 다음과 같다.

• 제39조의8(개인정보 이용내역의 통지) → 제20조의2(개인정보 이용·제공 내역의 통지) 
• 제39조의9(손해배상의 보장) → 제39조의7(손해배상의 보장) – 일정 요건의 개인정보처리자는 손해배상 책임 이행을 위해 보험 또는 공제, 준비금을 적립해야 함
• 제39조의10(노출된 개인정보의 삭제·차단) → 제34조의2(노출된 개인정보의 삭제·차단)
• 제39조의11(국내대리인의 지정) → 제31조의2(국내대리인의 지정)
• 제39조의12(국외 이전 개인정보의 보호) → 3장 제4절 개인정보의 국외 이전
• 제39조의13(상호주의) → 3장 제4절 개인정보의 국외 이전
• 제39조의15(과징금) → 제64조의2(과징금의 부과)

특히 유럽연합 개인정보보호법(GDPR) 등 세계적 추세를 반영하여 기존 개인정보 국외 이전에 관한 조항(제39조의12, 제39조의13, 제17조 제3항)은 ‘제4절 개인정보의 국외 이전’(제28조의8~제28조의11)으로 다음과 같이 확대되었다.

• 제28조의8(개인정보의 국외 이전) – 기존 조항에서는 정보주체의 별도 동의가 있어야만 개인정보 국외 이전이 가능했는데, “개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준의 보호 수준을 갖추었다고 개인정보 보호위원회가 인정하는 경우”를 포함해 GDPR과 균형을 맞췄다.
• 제28조의9(개인정보의 국외 이전 중지 명령)
• 제28조의10(상호주의)
• 제28조의11(준용규정)

법률 개정에서는 보이지 않지만, 법 제29조(안전조치 의무)에도 상당한 변화가 있다.
 

제29조(안전조치의무) 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.

이 짧은 문장의 제29조는 개인정보처리자에 적용되는 시행령 제30조(개인정보의 안전성 확보 조치) 및 ‘개인정보의 안전성 확보조치 기준'(이하 안전조치 기준) 고시, 정보통신서비스 제공자 등에게 적용되는 시행령 제48조의2(개인정보의 안전성 확보 조치에 관한 특례) 및 ‘개인정보의 기술적·관리적 보호조치 기준'(이하 보호조치 기준) 고시로 이뤄진 꾸러미 규제 조항이다.

개정된 법에서 ‘정보통신서비스 제공자 등'을 들어냈으므로, 시행령에서도 삭제, 통합 등의 변경이 있을 것이고, 하위 두 고시 역시 변화가 있을 수밖에 없다. 사실 ‘안전조치 기준’과 ‘보호조치 기준’ 고시는 내용이 비슷해서 통합하자는 의견이 나온 지 꽤 됐고, 통합을 위한 작업도 일부 있었다. 이제는 근거 법률도 명확해졌으므로, 통합하는 것이 자연스럽다. 다만 지난 2016년 9월 ‘안전조치 기준’이 전부 개정되면서 도입된 ‘최소한의 기준' 개념이 유형 1~3의 개인정보처리자가 준수하여야 할 ‘최소한’의 기준인지, 실효성은 있는지 등 충분한 검토가 이뤄지기를 기대해 본다.

→강은성의 보안 아키텍트 | 접속기록 관리와 개인정보 유출 탐지


* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 서울여자대학교 정보보호학과 조교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다. ciokr@idg.co.kr