개인정보 보호법 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안(이하 “정보통신망법”)이 지난 3월 2일 국회 본회의를 통과하였습니다. 개인정보보호법 개정안은 개인정보 수집출처 등 고지의무 강화 등을 주요내용으로 하고 있으며, 정보통신망법 개정안은 스마트폰 App. 개발자의 동의의무 강화, 개인정보 국외이전 유형 특정 및 제재규정 신설, 속이는행위에 의한 개인정보 수집을 알게 된 경우 이용자에대한 통지의무 부여 등을 주요 내용으로 하고 있습니다.
참고로, 개인정보 보호법은 개인정보 보호 관련 법령의 기본법으로 모든 사업자에 대해 적용이 있고, 정보통신망법은 웹사이트 등 온라인을 통해 고객의 개인정보를 수집∙이용하는 사업자(정보통신서비스 제공자)에 대해 적용이 있습니다.
I. 개인정보 보호법 개정 내용
1. 개인정보 수집출처 등 고지의무 강화
개정안은 개인정보의 종류‧규모, 종업원 수 및매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 정보주체 이외로부터 개인정보를 수집하여 처리하는때에는 정보주체에게 수집 출처와 처리 목적등을 반드시 고지하도록 규정하여(제20조 제2항 본문) 개인정보 수집출처 등 고지의무를 강화하였습니다. 이에 따라 기존에는 정보주체의요구가 있을 시에만 고지하였던 것에 반해 개정안 시행 이후에는 대통령령으로 정한 기준에해당하는 개인정보처리자는 정보주체의 요구여부와 상관없이 수집출처 등을 고지하여야 할것으로 보입니다. 본 규정은 공포 후 6개월이경과한 날부터 시행될 예정입니다.
2. 개인정보 처리방침 포함 내용 강화
개정안에서는 정보통신망법상의 개인정보 취급방침에 포함되어야 할 사항과 동일하게 개인정보 처리방침에도 “개인정보 보호책임자의성명 또는 개인정보 보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처”, “인터넷 접속정보파일 등 개인정보를자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항”을 포함하도록 하였습니다(제30조 제1항 제6호 및 제7호). 본 규정은 시행 후 6개월이내에 개인정보 처리방침을 개정하도록 하고 있으므로 공포 후 1년이내에 위와같은 사항이 포함되도록 개인정보 처리방침을개정하여야 할 것으로 보입니다.
II. 정보통신망법 개정 사항
1. 스마트폰 App. 개발자의 개인정보 동의징구 의무 강화
개정안은 스마트폰 App.개발자가 이용자의스마트폰에 대한 접근권한 취득시 필요한 권한과 선택적 권한을 구분하여 명확히 알리고 동의를 받아야 하며, 이용자가 선택적 접근권한에 동의하지 않는다는 이유로 프로그램 자체를이용할 수 없도록 하는 것을 금지하는 규정을신설하였습니다(제22조의2 제1항 및 제2항). 이에 따라 개정안 시행 이후에는 스마트폰App.에서 스마트폰 내의 정보에 대한 접근권한을 취득하는 경우 반드시 필수적 사항과 선택적 사항을 구분하여 알리고 동의를 받아야합니다. 본 규정은 1년의 유예기간을 두어 공포 후 1년이 경과한 날부터 시행될 예정입니다.
2. 개인정보 국외이전 유형 특정 및 제재규정신설
개정안은 개인정보 국외이전의 유형을 “제공(조회되는 경우를 포함한다)·처리위탁·보관”으로 특정하여 법 해석 및 적용상의 혼란을 방지하였으며, 이용자의 동의가 없이 국외이전을할 경우에는 위반행위와 관련한 매출액의 100분의 3 이하의 과징금을 부과하도록 함으로서위반시 제재 규정을 신설하였습니다(제63조제2항 본문). 다만, 개정안은 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의증진 등을 위하여 필요한 경우로서 개인정보를국외 처리위탁‧보관하는 때에는 동의를 면제하는 규정도 신설하였습니다(제63조 제2항 단서). 본 규정은 공포 후 6개월이 경과한 날부터시행될 예정입니다.
3. 속이는 행위에 의한 개인정보 수집을 알게된 경우 이용자에 대한 통지의무 부여
개정안은 정보통신서비스 제공자가 속이는 행위로 개인정보를 수집하는 등의 위반행위를 알게 된 경우 적극적으로 이용자에게 이를 알리도록 의무화 하는 규정을 신설하였습니다(제49조의2 제3항 제3호). 본 규정과 관련하여서는 공포 후 6개월 이내에 이용자에게 안내메시지를 보낼 수 있는 설비를 구축하도록 하고 있으므로 이에 따른 준비가 필요할 것으로보입니다.
4. 재위탁 요건 강화
개정안은 위탁자의 동의를 받은 경우에 한하여재위탁을 허용함으로서 재위탁요건을 강화하였습니다(제25조 제7항). 이는 업무위탁시의문서에 재위탁 제한에 관한 내용이 있는 경우에만 재위탁을 금지한 개인정보 보호법 관련규정과 비교하여 재위탁요건을 더욱 강화한 것으로서 개정안 시행 이후 정보통신서비스와 관련한 재위탁시에는 이러한 점에 대해 유의할필요가 있습니다. 본 규정은 공포 후 6개월이경과한 날부터 시행될 예정입니다.
5. 개인정보 보호법상의 규정 도입
개정안에서는 개인정보 취급업무 위탁시 개인정보 보호법과 동일하게 문서에 의하도록 하였으며 위탁자에게 수탁자에 대한 교육의무를 부과하였습니다(제25조 제4항 및 제5항). 본 규정은 공포 후 6개월이 경과한 날부터 시행될예정입니다.
아울러, 개정안은 개인정보 관리책임자라는 용어를 개인정보 보호법과 동일하게 개인정보 보호책임자라는 용어로 통일하였으며, 개인정보보호책임자가 개인정보 보호와 관련하여 이 법및 다른 관계 법령의 위반 사실을 알게 된 경우보고의무를 신설하였습니다(제27조 제4항). 본 규정은 공포 후 6개월이 경과한 날부터 시행될 예정입니다.
끝으로, 개정안은 징벌적 손해배상 및 몰수·추징 규정을 도입하였습니다. 본 규정은 개인정보 보호법상의 동일 규정의 시행시기와 맞추어2016. 7. 25.부터 시행될 예정입니다.
***
이상과 같이 개인정보 수집출처 등 고지의무 강화, 스마트폰 App. 개발자의 동의 징구 의무 강화, 국외이전 규정 위반에 대한 제재규정 신설 등 개인정보 보호가 한층 더 강화되었는바 기업의 개인정보에 관한 법률 준수 필요성이 더욱 높아졌으며, 이에 따라 기업의개인정보 보호에 관한 지속적인 관심이 요구된다고하겠습니다.
