Offcanvas

보안 / 훈련|교육

강은성의 보안 아키텍트ㅣ개인정보보호 담당자가 알아야 할 개정 개인정보보호법 (2)

2023.04.13 강은성  |  CIO KR
지난 칼럼에 이어 이번 칼럼에서도 개정 개인정보보호법 중 개인정보보호 담당자가 챙겨봐야 할 사항을 검토해 보려고 한다.

개인정보보호법 각 조문의 주어는 주로 ‘개인정보처리자’이다. 이 법의 대부분이 개인정보처리자에 적용된다는 의미다. 이 법의 취지가 “이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적”(제1조(목적))으로 하는 만큼 법이 개정되거나 조문이 추가될수록 개인정보처리자의 책임과 위반 시 제재가 늘어날 가능성이 높다. 2023년 3월 개정된 내용도 마찬가지다.

‘개인정보 필수문서’의 하나로 개인정보보호 담당자가 맡고 있는 개인정보 처리방침에 관해 개정법에 중요한 변화가 있다(제30조, 제30조의2).
 

제30조(개인정보 처리방침의 수립 및 공개) 
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침을 정하여야 한다.
…(중략)...
3의3. 제23조 제3항에 따른 민감정보의 공개 가능성 및 비공개를 선택하는 방법
4의2. 제28조의2 및 제28조의3에 따른 가명정보의 처리 등에 관한 사항
…(하략)...

제26조(업무위탁에 따른 개인정보의 처리 제한)
…(중략)...
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자를 포함하며, 이하 “수탁자”라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. 
 

민감정보를 수집하는 개인정보처리자는 개인정보 처리방침에 해당 민감정보의 공개 가능성과 정보주체가 비공개를 선택하는 방법을 공개해야 한다. 개인정보 수집·이용 동의서 등을 통해 정보주체가 비공개를 선택하는 방법도 제공해야 할 것이다. 제28조의2(가명정보의 처리 등), 제28조의3(가명정보의 결합 제한)에 따라 가명정보를 처리하거나 가명정보를 결합하는 개인정보처리자라면 그에 내용 역시 개인정보 처리방침에 반영해야 한다.

무엇보다도 유의해야 할 점은 개인정보 처리업무를 위탁하는 개인정보처리자(위탁자)는 수탁자가 재위탁을 한다면 이에 관한 사항을 개인정보 처리방침에 공개해야 한다는 점이다. 현행법에서 위탁에 관한 사항(수탁자와 위탁 업무 등)만 공개하는 것과는 상당한 차이가 있다.

수탁자가 위탁받은 업무를 재위탁하려면 위탁자의 동의를 얻어야 해서(개정법 제26조 제6항) 논리적으로 가능하긴 하나, 시점의 차이가 있을 수도 있고, 재위탁 관련 사항이 변경되면 개인정보 처리방침을 개정해야 하는 부담도 생겼다. 개정법에서 아예 ‘수탁자’의 범위에 ‘재위탁 받은 자’까지 포함한 점도 눈에 띈다. 이번 개정에서 다른 쟁점이 많아 별로 눈에 띄지 않았던 조항인데, 개정의 취지와 준수를 위한 ‘가성비’를 검토해 봐야 하지 않을까 싶다.
 

제30조의2(개인정보 처리방침의 평가 및 개선권고) 
① 보호위원회는 개인정보 처리방침에 관하여 다음 각 호의 사항을 평가하고, 평가 결과 개선이 필요하다고 인정하는 경우에는 개인정보처리자에게 제61조 제2항에 따라 개선을 권고할 수 있다.
1. 이 법에 따라 개인정보 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지 여부
2. 개인정보 처리방침을 알기 쉽게 작성하였는지 여부
3. 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부
② 개인정보 처리방침의 평가 대상, 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다.

제61조(의견제시 및 개선권고)
…(중략)…
② 보호위원회는 개인정보 보호를 위하여 필요하다고 인정하면 개인정보처리자에게 개인정보 처리 실태의 개선을 권고할 수 있다. 이 경우 권고를 받은 개인정보처리자는 이를 이행하기 위하여 성실하게 노력하여야 하며, 그 조치 결과를 보호위원회에 알려야 한다.
 

제30조의2는 개인정보 처리방침의 내용을 개인정보위에서 평가하고 부족한 점이 있으면 개선을 권고하겠다는 것이다. 기본적으로는 개인정보 처리방침이 법 제30조에서 규정한 내용을 제대로 포함하는지, 알기 쉽게 작성됐는지가 평가 기준이 된다. 

처리방침 작성 시 참고할 수 있는 문서로는 시행령 제31조(개인정보 처리방침의 내용 및 공개방법 등), ‘표준지침’ 제3절(개인정보 처리방침 작성) 제18조~제21조, 「개인정보 보호 법령 및 지침·고시 해설」(개인정보위, 2020. 12.), 「개인정보 처리방침 작성지침」(개인정보위, 2022. 3.) 등이 있다. 개정된 조항에 관해서는 이들 문서의 개정판에서 다룰 것으로 보인다.

개인정보보호책임자(CPO)에 관한 규정(제31조)도 일부 개정됐다. 
 

제31조(개인정보 보호책임자의 지정)
① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다. 다만, 종업원 수, 매출액 등이 대통령령으로 정하는 기준에 해당하는 개인정보처리자의 경우에는 지정하지 아니할 수 있다. 
② 제1항 단서에 따라 개인정보 보호책임자를 지정하지 아니하는 경우에는 개인정보처리자의 사업주 또는 대표자가 개인정보 보호책임자가 된다. 

…(중략)...
⑥ 개인정보처리자는 개인정보 보호책임자가 제3항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 되며, 개인정보 보호책임자가 업무를 독립적으로 수행할 수 있도록 보장하여야 한다. 
…(중략)...
⑨ 제1항에 따른 개인정보 보호책임자의 자격요건, 제3항에 따른 업무 및 제6항에 따른 독립성 보장 등에 필요한 사항은 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정한다. 
 

개정된 조문이 많아 보이지만, 기업에 변화가 필요한 내용은 그리 많지 않다. 제1항과 제2항은, 현행법 제31조와 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등)의 규정과 많이 다르지 않아서 CPO가 “업무를 독립적으로 수행할 수 있도록 보장”(제6항)하기 위해 시행령에서 어떤 사항을 규정할지 궁금한 정도다. 

다들 공감하다시피 기업 개인정보 보호의 핵심은 ‘개인정보보호 거버넌스’이고, 이는 CPO와 CPO 조직의 위상과 직결돼 있다. 1999년 2월 ‘개인정보 보호’가 처음 우리나라 법률에 도입된 ‘정보통신망 이용 촉진 등에 관한 법률’부터 현 개인정보보호법까지 24년 동안 법률에서 CPO(예전 명칭은 ‘개인정보 관리책임자’)를 규정하고 있지만, 기업 현장에서는 CPO의 위상이 그리 높지 않다. 개인정보위가 가장 주목해야 할 지점이 아닌가 한다. 이를 위해 CPO가 임원이어야 한다는 규정은 명확히 유지할 필요가 있다. 2021년 6월 중견기업 이하에서 ‘과장 CISO’가 가능하도록 개정된 정보통신망법을 따라가지 말아야 한다는 점을 강조하고 싶다(강은성의 보안 아키텍트ㅣ정보보호최고책임자(CISO)와 개인정보보호책임자(CPO)의 자격 요건, 2022.2.14).

한 가지 반가운 점은 2008년 1월 A 쇼핑몰 개인정보 유출 사고를 계기로 정보통신망법에 신설되어 개인정보보호법까지 이어 온 ‘CPO 형사처벌 조항’이 드디어 삭제됐다는 점이다.
 

제73조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다.
1. 제23조 제2항, 제24조 제3항, 제25조 제6항, 제28조의4 제1항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 자
1의2. 제21조 제1항을 위반하여 개인정보를 파기하지 아니한 정보통신서비스 제공자 등
…(하략)...
 

제73조 제1호는 개인정보 사고가 발생했을 때 CPO 개인을 형사처벌할 수 있고, 제1호의2는 2013년 카드 3사 개인정보 유출 사고를 계기로 개인정보의 미파기 책임까지 형사처벌할 수 있는 규정이어서 안 그래도 기업 현장에서 개인정보 리스크 때문에 맡고 싶지 않은 CPO직을 기피 직책으로 만든 요인의 하나였는데, 늦었지만 삭제된 것은 다행한 일이 아닐 수 없다(강은성의 보안 아키텍트 | 개인정보 유출과 개인정보보호책임자(CPO)의 형사처벌(2018.11.7).


* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 서울여자대학교 정보보호학과 조교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.