[보안] 개인정보 보호법 2023년 9월 개정안: 개인정보 전송요구권, 필수동의 생략, 관리감독 강화, 영상정보처리기기/AI 규제, 온오프라인 일원화, 가명정보와 국외이전 규제 강화

 2020년 8월에 데이터 3법 시행 및 개인정보 보호위원회가 출범한 후, 개인정보 보호법이 일부 개정되었습니다. 2023년 9월부터 시행되는 개정안에 대해 알아봅니다.

 

[ Contents ]

 

 

1. 개인정보 전송요구권(이동권)

정보주체가 자신의 개인정보를 본인 또는 제3자에게 전송 요구할 수 있는 권리

 

 빅데이터 분석, AI 학습에는 많은 데이터가 요구됩니다. 이에 따라 개인정보가 대량 수집 및 유통되고 있으나, 정보주체는 본인정보를 주도적으로 유통 및 활용하는 데에 한계가 있었습니다. 예를 들어 멜론에서 유튜브 뮤직으로 옮겼을 때, 가장 큰 불편함은 새로 재생목록을 생성하고 좋아하는 노래에 다시 ♥ 표시를 해야 한다는 점입니다. 그래야 제대로 된 음악 추천을 받을 수 있죠.

 

출처: 마이데이터 종합포털

 그러나, 이제부터는 자신의 개인정보를 본인 또는 제3자에게 전송할 수 있습니다. 멜론의 재생 및 좋아요 내역을 유튜브 뮤직으로 옮겨달라고 요청할 수도 있겠죠. 일명 '마이 데이터 서비스'라고도 하며, 공공 및 금융권에서는 이미 시행하고 있었습니다. 금융권의 마이 데이터 서비스를 통해서, 타 은행의 계좌정보 및 거래내역을 하나의 은행앱에서 조회하신 적이 있을 겁니다. (스타벅스 쿠폰을 뿌리면서 이벤트를 많이 했었죠..)

 이처럼 자신의 개인정보를 원하는 개인정보 수신기관에게 양도 요청할 수 있으며, 개인정보 전송기관은 전송해야할 의무가 생겼습니다. (전송 비용은 전송기관에서 부담)

 해당 권리를 잘 이용하면 자신의 개인정보 데이터를 다운로드해서 관리할 수 있고, 타 정보기관에 전송하여 분석 및 활용 서비스를 받을 수도 있습니다.

 

 

 

2. 개인정보 필수 동의 개선

서비스 제공에 필수적인 정보는 이용자 동의 없이도 수집 가능

 

 회원가입 및 서비스 신청을 할 때 입력하는 개인정보를 '필수 동의' 해야만 서비스를 이용할 수 있었습니다. 거부는 할 수 있지만, 그러면 서비스 이용을 할 수 없었죠. 따라서 형식상의 동의 절차였습니다. 정보주체도 자신이 입력한 개인정보가 이용 및 활용될 것을 알고 있으며, 정보를 기입한 것 자체가 동의한 것으로 볼 수 있다는 취지입니다.

 개정 이후부터는 동의를 받지 않더라도, 서비스 제공에 필수적인 정보는 수집 및 이용이 가능합니다. 다만 서비스 발전이나 홍보 등의 부수적인 목적일 경우에는 반드시 정보주체의 동의를 받아야 합니다. 동의 없는 수집 이용에 대한 입증 책임은 개인정보처리자가 부담해야 하며, 아마도 이 때문에 기존 방식을 상당 기간은 고수할 듯으로 보입니다.

 그외 국민 생명 및 재산보호, 안전과 관련된 긴급 상황에서도 정보주체 동의 없이 수집 이용 및 제공이 가능하도록 개정되었습니다. (코로나 19 등 감염병, 재난 상황 포함)

 

반응형

 

- 개인정보 수집 이용 시
- (목적 내) 제3자 제공 시 또는 목적 외 이용 및 제공 시
- 개인정보처리자로부터 개인정보를 제공받은 자의 이용 및 제공 시
- 민감정보, 고유식별정보의 수집 시
- 홍보 마케팅 시

 서비스 제공에 필수적인 개인정보 동의는 생략할 수 있으나, 정보주체로부터 위 항목을 구분해서 동의받는 절차는 그대로 유지됩니다.

 

 

 

3. 개인정보 보호수준 평가 강화 및 보호위원회 관리감독 강화

평가 기준과 방법 뿐만 아니라 평가결과에 대한 개선권고와 권고에 대한 강화된 개선조치 요구

 

2023년 개인정보 관리수준 진단 지표 (출처: 개인정보보호위원회)

 개인정보 보호위원회가 개인정보 처리방침을 평가하고, 평가 결과 개선이 필요하다고 판단하는 경우에는 해당 개인정보처리자에게 개선을 권고할 수 있습니다.

 '강제'가 아니라 '권고' 수준에 그쳤지만, 사실상 '강력 권고' 라고 볼 수 있겠습니다. 공공기관의 경우에는 개인정보보호를 위한 자료제출요구권과 사전 보호활동 권한이 강화되었기 때문에, 더더욱 주의가 필요하겠습니다.

 

 

 

4. 영상정보처리기기 설치 및 운영

드론, 자율주행차 등 이동형 영상정보처리기기 운영 시, 촬영을 사전 고지 후 문제 발생 시 사후 대응

 

 이전에는 공개된 장소에 설치되어 일정한 공간을 촬영하는 영상기기가 제재 대상이었습니다. 그래서 차량에 블랙박스를  설치할 수 있었죠.

 하지만 요즘은 CCTV 외에도 자율주행차, 드론 등 다양한 형태의 이동형 영상정보처리기기가 증가하고 있습니다. 이에 대한 법적 기준 및 근거를 마련한 것으로, 촬영 시에는 불빛이나 안내판, 안내방송 등으로 촬영 사실을 알려야 합니다.

 

 

 

5. 자동화된 의사결정과 정보주체의 권리 보장

자동화된 결정의 기준과 절차, 개인정보의 처리 방식에 대한 확인 절차를 명확하게 설명 및 공개

 

 자동화된 결정이란 '완전히 자동화된 시스템(ex. AI)으로 개인정보를 처리하여 이루어지는 결정'을 의미합니다. 최근에는 추천 알고리즘 외에도 AI채용 등 AI를 이용한 중요 업무처리가 늘고 있죠.

 정보주체가 개인정보처리자에게 정당한 사유 없이 한 자동화된 결정을 적용하지 않거나, 재처리 및 설명 등을 요구할 수 있도록 조치한 법안입니다. AI채용으로 탈락한 경우, 합격시켜달라고 우길 수는 없지만 탈락 사유는 요구할 수 있겠습니다. 

 

 

 

6. 기타 개정 사항

- 온·오프라인 규제 일원화: 온·오프라인 관계없이, 모든 개인정보처리자에게 동일한 규범을 적용
- 가명정보 처리 제도 개선: 가명정보도 파기의무 적용, 처리기간과 보관사항도 규정
- 개인정보 국외이전: 국외이전 중지 명령권 신설, 국외 이전 요건 다양화

 

 온라인과 오프라인 사업에 대한 규제를 동일시 했고, 가명정보와 국외이전에 대한 규제도 추가되었습니다.

 그 외에도 세부적인 변경사항이 많으니, 개인정보 포털을 참고하시면 좋겠습니다.