[뉴스읽기] 강은성의 보안 아키텍트ㅣ개인정보보호 담당자가 알아야 할 개정 개인정보보호법

 

1. 제15조( 개인정보의 수집·이용) 불가피 삭제

개정 전: 제15조(개인정보의 수집·이용)  ① 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. …(중략)... 4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 …(하략)...

개정 후: 제15조(개인정보의 수집·이용)  ① 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. …(중략)... 4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 …(하략)...

 

제15조제1항은 개인정보처리자가 정보주체의 개인정보를 수집할 수 있는 법적 근거이다. 제1호는 정보주체의 동의를 받아 개인정보를 수집하는 경우고, 제2호~제6호는 정보주체의 동의 없이 개인정보를 수집할 수 있는 경우의 나열이다. 

 

그 중 제4호는 개인정보처리자가 서비스를 제공하는 데 반드시 필요한 정보주체의 개인정보인 '개인정보 필수 항목' 수집에 관한 규정이다.

 

'불가피하게'가 삭제됨으로써 개인정보 수집 이용 동의서에서 필수 항목에 대한 동의가 없어지고, 선택 항목에 대한 동의만 남는 등의 변화가 생길 수도 있다. 

여전히 해당 항목이 서비스의 필수 항목임을 입증하는 건 개인정보처리자의 책임이라는 점에서 유의해야 한다. 

 

2. '정보통신서비스 제공자 등'에게 적용되었던 '제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례'가 없어졌다.

(1) 특례 조항을 일반 조항으로 통합(대체)

특례 조항이 삭제되고, 그에 해당하는 개인정보보호법 일반 조항이 적용된다. 해당 특례 조항은 다음과 같다.

• 제39조의3(개인정보의 수집·이용 동의 등에 대한 특례) → 제15조(개인정보의 수집·이용)
• 제39조의4(개인정보 유출등의 통지·신고에 대한 특례) → 제34조(개인정보 유출 통지 등)
• 제39조의7(이용자의 권리 등에 대한 특례) → 제35조(개인정보의 열람), 제36조(개인정보의 정정·삭제)

(2) 특례 조항의 삭제

특례 조항이 삭제되고 그에 해당하는 개인정보보호법 일반 조항이 없어서 해당 규정이 사라진다. 

• 제39조의5(개인정보의 보호조치에 대한 특례) – 개인정보취급자 최소화
• 제39조의6(개인정보의 파기에 대한 특례) - 1년 동안 사용하지 않은(로그인하지 않은) 개인정보를 파기하거나 휴면 처리(분리 보관)하는 ‘개인정보 유효기간제’의 근거 조문
• 제39조의14(방송사업자 등에 대한 특례) - 개인정보처리자에 해당

(3) 특례 조항을 일반 조항으로 전환

특례 조항을 일반 조항으로 전환하여 모든 개인정보처리자에 확대 적용된다.

 

• 제39조의8(개인정보 이용내역의 통지) → 제20조의2(개인정보 이용·제공 내역의 통지) 
• 제39조의9(손해배상의 보장) → 제39조의7(손해배상의 보장) – 일정 요건의 개인정보처리자는 손해배상 책임 이행을 위해 보험 또는 공제, 준비금을 적립해야 함
• 제39조의10(노출된 개인정보의 삭제·차단) → 제34조의2(노출된 개인정보의 삭제·차단)
• 제39조의11(국내대리인의 지정) → 제31조의2(국내대리인의 지정)
• 제39조의12(국외 이전 개인정보의 보호) → 3장 제4절 개인정보의 국외 이전
• 제39조의13(상호주의) → 3장 제4절 개인정보의 국외 이전
• 제39조의15(과징금) → 제64조의2(과징금의 부과)

---

 

3. 개인정보 처리방침에 관한 변화(제30조, 제30조의2)

 

제30조(개인정보 처리방침의 수립 및 공개)  ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침을 정하여야 한다. …(중략)... 3의3. 제23조 제3항에 따른 민감정보의 공개 가능성 및 비공개를 선택하는 방법 4의2. 제28조의2 및 제28조의3에 따른 가명정보의 처리 등에 관한 사항 …(하략)... 제26조(업무위탁에 따른 개인정보의 처리 제한) …(중략)... ② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자를 포함하며, 이하 “수탁자”라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

 

민감정보를 수집하는 개인정보처리자는 개인정보 처리방침에 해당 민감정보의 공개 가능성과 정보주체가 비공개를 선택하는 방법을 공개해야 한다. 

개인정보 처리업무를 위탁하는 개인정보처리자는 수탁자가 재위탁을 한다면 이에 관한 사항을 개인정보 처리방침에 공개해야 한다. 

 

출처 CIO 강은성 교수님

https://www.ciokorea.com/news/282331