개인정보보호법 전면 개정(2023.03.14. 공표)

개인정보 보호법 전면개정, 데이터 신경제 시대 열린다

- 「개인정보 보호법」개정안 국무회의 의결, 3월 14일 공포 예정 -

 

□ 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 지난달  (2023.2. 27일) 국회를 통과한 「개인정보 보호법」 개정안이 오늘 국무회의에서 의결되었다고 밝혔다.

 

○ 이번 개정안에는 전 세계적인 디지털 대전환 추세에 부합하도록

 

▴데이터 경제 견인,

▴국민 개인정보 신뢰 사회 구현,

▴국제 기준(글로벌 스탠다드)에 부합하는 개인정보 규범 선도

 

등을 위하여 시급히 필요한 내용들을 담았다.

 

○ 특히, 2011년 법 제정 이후 처음으로 정부가 학계·법조계·산업계·시민단체 등과 2년여의 협의 과정을 거쳐 다양한 의견을 반영하여 정비한 실질적인 전면 개정(정부안 중심으로 20개 의원안 통합)이라는 점에서 매우 의미가 크다.

 

□ 법 개정의 주요 내용은 다음과 같다.

 

【 전 분야 마이데이터 확산, 디지털 경제 성장 견인 】

 

□ 첫째, 국민이 신뢰할 수 있는 개인정보 활용 기반 조성으로 데이터 시대 신기술·신산업이 발전할 수 있는 혁신적 변화의 계기가 마련되었다.

 

○ 자신의 개인정보를 보유한 기업·기관에게 그 정보를 다른 곳으로 옮기도록 요구할 수 있는 ‘개인정보 전송요구권’의 일반법적 근거를 신설하였다.

 

- 이에 따라 그간 금융·공공 등 일부 분야에서만 제한적으로 가능했던 마이데이터 서비스가 국민 개개인의 뜻에 따라 의료·유통 등 모든 영역에서 보편적으로 이루어질 수 있는 기반이 마련되었다.

 

- 더불어, 다양한 데이터 간 합종연횡이 가속화되면서 혁신적 아이디어를 가진 새싹기업(스타트업) 등 다양한 경제주체가 새로운 데이터 생태계에서 성장을 주도해 나갈 것으로 기대된다.

 

○ 이동형 영상정보처리기기가 부착된 자율주행차, 드론, 배달 로봇 등이 안전하게 운행될 수 있도록 합리적인 기준을 마련하였다.

 

- 그동안 이동형 영상정보처리기기는 일상생활에서 광범위하게 사용되고 있는 현실과는 달리 명확한 규정 없이 운영되어 왔다.

 

- 이에, 이동형 영상정보처리기기를 업무 목적으로 운영할 경우 촬영사실을 명확하게 표시하도록 하는 등 운영 기준을 마련하였다.

 

※

현행

고정형 CCTV만 규율 →

개선

이동형 기기의 특성을 반영한 합리적 운영 기준 마련

 

○ 누구든 법을 쉽게 준수할 수 있도록 온·오프라인으로 이원화된 규제체계를 개편하여 동일행위에는 동일규제가 적용되도록 하였다.

 

- 특히, 국민의 권리 보장에 도움이 되는 규정은 모든 분야로 확대*하고, 실효성이 낮은 조문은 삭제**하였다.

 

※

현행

온·오프라인 구분 규율(14개 조항) →

개선

통합·정비(12개 조항), 삭제(2개 조항)

* 국내대리인 지정, 아동 개인정보보호 등, ** 개인정보 유효기간제, 방송사업자 특례

 

【 디지털 시대에 적합한 국민의 적극적 권리 강화 】

 

□ 둘째, 디지털 환경에 맞추어 국민이 자신의 권리를 실질적으로 행사할 수 있도록 개편하여 국민과 기업·기관 간 개인정보 처리에 대한 ‘신뢰’가 축적될 수 있는 토대를 마련하였다.

 

○ 그간 정보주체의 ‘동의’에만 과도하게 의존했던 개인정보 처리 관행에서 벗어나, 상호계약 등 합리적으로 예상할 수 있는 범위 내에서는 동의 없이도 개인정보 수집·이용이 가능하도록 정비하였다.

 

- 또한, 개인정보위가 기업·기관의 개인정보 처리방침을 평가한 후 개선하도록 하여 국민이 자신의 개인정보 처리에 대해 보다 쉽고 정확하게 알 수 있도록 개선할 수 있는 기반을 마련하였다.

 

※ 개인정보 처리요건 :

현행

동의 위주 →

개선

계약 이행, 공중위생 등 안전 추가
개인정보 처리방침 :

현행

평가·관리체계 부재 →

개선

평가 및 개선권고 근거 마련

 

○ 인공지능을 활용한 자동화된 결정이 채용 면접, 복지수급자 선정 등과 같이 국민에게 중대한 영향을 미치는 경우, 이에 대해 거부하거나 설명을 요구할 수 있는 권리를 신설하였다.

 

○ 디지털 세대인 아동에게 개인정보 관련 내용을 알릴 때에는 이해하기 쉬운 양식·언어 사용 의무를 온라인 분야에서 모든 분야로 확대하고, 국가·자치단체의 아동 개인정보 보호 시책 의무를 명확히 하였다.

 

○ 개인정보 분쟁조정 절차에 참여 의무를 공공기관에서 전체 개인정보처리자로 확대하고, 분쟁조정을 위해 사실확인이 필요한 경우 사실조사 근거를 마련하는 등 분쟁해결을 위한 제도를 정비하였다.

 

※ 분쟁조정 참여 의무 :

현행

공공기관 →

개선

모든 개인정보처리자
분쟁조정 사실조사 :

현행

자료 제출만 규정 →

개선

 

사실조사 규정 추가

【 국제 기준(글로벌 스탠다드)에 부합하는 법제도 정비 】

 

□ 셋째, 국제 통상에서 데이터가 차지하는 중요성이 점점 높아지고 있는 상황에서 국제 기준에 부합하고 개인정보 국제 규범을 선도할 수 있도록 국외이전, 과징금 제도 등을 정비하였다.

 

○ 그동안 개인정보를 국외로 이전하려면 정보주체의 ‘동의’가 필요하였으나, 동의 외에도 계약·인증·적정성결정 등으로 국외이전 요건을 다양화하여 국제 규범과의 상호운용성을 확보하였다.

 

- 다만, 해당 국가가 개인정보를 적정하게 보호하고 있지 않다고 판단되는 경우에는 국외이전 중지를 명령할 수 있는 근거도 마련하여 우리 국민의 개인정보 침해를 사전에 방지할 수 있도록 하였다.

 

※

현행

‘동의’ 시 이전 →

개선

요건 확대(동의+계약·인증·적정성결정 등), 중지명령권 신설

 

○ 국제 기준(글로벌 스탠다드)과 달리, 개인정보 보호 책임을 기업보다는 담당자 개인에 대한 형벌 위주로 규율하고 있는 문제를 개선하기 위해, 과도한 형벌을 경제벌 중심으로 전환하였다.

 

- 특히, 과징금 상한액은 글로벌 수준에 맞추어 전체 매출액의 3% 이하로 조정하고, 산정 시 위반행위와 관련 없는 매출액은 제외하도록 하여 비례성과 효과성을 모두 확보할 수 있도록 하였다.

 

※ 형벌 체계 :

현행

수집·이용/파기 등 경미사항도 형벌 →

개선

과징금·과태료로 전환
과징금 상한 :

현행

‘위반행위 관련 매출액’ 기준 →

개선

‘전체 매출액’ 기준

 

□ 이 밖에도, 매년 공공기관의 개인정보 보호 수준을 평가할 수 있는 근거와 개인정보 침해 발생 위험성이 높고 효과적인 대응이 필요한 경우 사전에 실태점검을 할 수 있는 근거 등도 포함하여 공공·민간의 개인정보 보호체계를 공고히 하였다.

 

□ 한편, 오늘 국무회의에서 의결된 「개인정보 보호법」개정안은 오는 3월 14일 공포되어, 9월 15일부터 시행될 예정이다.

 

□ 고학수 개인정보위 위원장은 “국민은 언제든 자신의 개인정보를 실질적으로 통제하여 권리를 행사할 수 있고, 기업은 국민의 신뢰를 기반으로 데이터를 안전하게 활용할 수 있는 선순환 구조가 정착되어야 한다”며,

 

○ “앞으로 위원회에서는 ‘국가 마이데이터 혁신 로드맵’ 마련 등을 통하여 디지털 대전환 시대에 국민이 신뢰하고 체감할 수 있는 개인정보의 비전과 정책방향을 제시하겠다”고 밝혔다.

 

 

 

참고1	「개인정보 보호법」 개정 의의

참고2	「개인정보 보호법」 개정 주요내용 요약

구 분	현 행	개 정
1. 신기술·신산업 등 데이터 경제 성장 견인
개인정보 전송요구권 신설	ㆍ금융·공공 분야에서만 제한적 도입	ㆍ자신의 개인정보를 본인 또는 제3자에게 전송을 요구할 수 있는 일반적인 권리로서 전송요구권 신설
이동형 영상정보처리기기 규정	ㆍ자율주행차, 드론, 배달로봇 등 이동형 기기의 영상정보 수집에 대한 입법 미비	ㆍ이동형 기기의 특성을 반영한 수집 기준, 촬영 사실 표시 등 합리적인 운영기준 마련
온·오프라인 규제 일원화	ㆍ온·오프라인 규제 이원화로 기업의 법 적용 혼선 및 이중부담 발생	ㆍ일반규정과 특례규정을 일원화하여 ‘동일행위-동일규제’ 원칙 적용으로 불합리한 규제 정비
2. 디지털 시대에 적합한 국민의 적극적 권리 강화
개인정보 처리요건 정비	ㆍ복잡하고 형식적인 동의제도 운영으로 정보주체의 실질적 선택권이 없는 필수동의 강제 관행	ㆍ계약 체결·이행 요건을 정비하여 필수동의 관행을 개선하고, 공중위생 등 처리에 대한 안전조치를 강화
개인정보 처리방침 평가제 도입	ㆍ처리방침의 수립·공개 의무만 있고 내용에 대한 판단 기준 부재	ㆍ처리방침의 적정성 여부, 알기 쉽게 작성했는지 여부 등을 평가하여 필요시 개선권고 할 수 있도록 개선
자동화된 결정 대응권	ㆍAI 등을 활용한 자동화된 결정이 광범위하게 활용되면서 새로운 프라이버시 이슈 제기	ㆍ자동화된 결정이 정보주체의 권리·의무에 영향을 미치는 경우, 거부 및 설명 등 요구권 신설
개인정보 분쟁조정	ㆍ소액사건이 대부분인 개인정보 분쟁조정에 대한 적극적 조정에 한계	ㆍ분쟁조정 의무 참여 대상을 모든 개인정보처리자로 확대하고, 사실확인이 필요한 경우 사실조사 근거 마련
사적 목적 이용 금지	ㆍ개인정보취급자의 개인정보 사적 이용에 대한 제재근거 부재	ㆍ금지행위 규정에 정당한 권한 없이 허용된 권한을 초과하여 타인의 개인정보를 ‘이용’하는 행위 추가
3. 글로벌 스탠다드에 부합하는 법 제도 정비
국외이전 요건 다양화 및 중지명령권 신설	ㆍ국외이전 환경이 다양하게 변하고 있음에도 국외 이전 시 추가적 별도 동의 필요	ㆍ해외 법제와의 상호 운용성을 위해 동의 이외의 국외이전 요건을 다양화하고 국외이전 중지명령권을 신설
과징금·벌칙 규정 정비	ㆍ업무담당자에 대한 형벌 중심의 규제로 개인정보 보호에 대한 기업의 실질적인 투자 유인이 부족	ㆍ과도한 형벌 규정을 경제제재 중심으로 전환하는 대신, 과징금 상한 및 대상 확대 등을 통해 실효성 확보

참고3	「개인정보 보호법」 개정 주요내용

 

 

2. 디지털 시대에 적합한 국민의 적극적 권리 강화

 

① (동의 제도 개선) 개인정보 처리요건 정비 및 처리방침 평가제 도입

□ (필요성) 복잡하고 경직적인 동의제도 운용으로 기업‧기관 등 개인정보처리자는 합리적인 개인정보 처리 및 활용에 제약을 받고,

○ 정보주체 또한 복잡한 고지사항과 절차 등으로 ‘동의의 형식화’가 만연

□ (개정내용) 기업의 합리적이고 책임있는 개인정보 수집·이용을 활성화하고, 정보주체의 실질적 동의권을 보장하기 위한 동의제도 개선

○ 개인정보 처리요건 정비(제15조·제17조·제18조·제22조)

① 필수동의 강제 관행 개선	ㆍ정보통신서비스 제공자의 필수 동의(제39조의3) 규정을 삭제하고, 일반규정(제15조)으로 통합 ㆍ계약 체결·이행에 필요한 경우 요건을 정비(‘불가피하게’ 삭제)하고, 동의 없는 수집·이용에 대한 입증 책임은 개인정보처리자가 부담
② 코로나19 상황 안전조치 강화	ㆍ개인정보 처리요건에 ‘공중위생, 공공의 안전을 위해 긴급히 필요한 경우’ 수집·이용 요건을 추가하여, 코로나19 등 공중위생 목적인 경우에도 안전조치, 파기 등 개인정보 보호법 적용 ※ 제58조(제3장~제8장 제외) 제1항제3호 삭제 후 수집·이용요건에 추가
③ 국민 생명보호 관련 개선	ㆍ개인정보 처리요건 중 긴급상황 요건에서 ‘사전 동의를 받을 수 없는 경우’ 요건을 삭제하여, 국민의 생명 등 보호를 위해 급박한 경우 개인정보 수집·이용 및 제공이 가능하도록 개선

○ 개인정보 처리방침 평가제 도입(제30조의2)

- 국민의 개인정보 자기결정권 보장을 위해 처리방침을 수립·공개하도록 하고 있으나, 내용의 적정성 등 기준이 없어 실효성에 문제

- 이에 처리방침의 적정성 여부, 알기 쉽게 작성했는지 여부, 쉽게 확인할 수 있는지 등을 평가하여 필요시 개선권고 할 수 있도록 개선

□ (기대효과) 복잡해지는 디지털 시대에 맞게 정보주체가 적정한 정보를 제공받아 알고 실질적으로 선택할 수 있는 환경 마련

○ 공중위생, 공공안전을 위한 개인정보 처리의 경우에도 안전조치를 강화하고, 국민의 생명 등 보호를 위한 경우 처리요건을 합리적으로 개선

② 자동화된 결정에 대한 정보주체의 권리 도입

□ (필요성) 인공지능(AI) 등 신기술 발전에 따라 자동화된 결정(인사채용, 복지수급자선정등)이 광범위하게 활용되면서 새로운 프라이버시 이슈 제기

○ 개인 의사에 반한 자동화된 결정으로 개인의 권리가 침해되지 않도록 정보주체의 대응권 보장 필요

□ (개정내용) 완전 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우 정보주체에게 거부권·설명 등 요구권 부여

○ 개인정보처리자는 정보주체의 권리행사가 있으면 자동화 결정의 적용 배제·인적 개입에 의한 재처리·설명 등 조치 의무를 규정

구 분	개인정보보호법(제37조의2)	신용정보법(제36조의2)	EU 개인정보보호법(GDPR, 제22조)
주 체	정보주체	개인인 신용정보주체	개인정보주체
대 상	개인정보처리자	신용정보제공‧이용자등	컨트롤러
권리 내용	ㆍ정보주체의 권리 또는 의무에 중대한 영향을 미치는 자동화된 결정에 대한 거부 및 설명을 요구할 권리	ㆍ자동화평가 여부와 결과에 대한 설명 요구 ㆍ유리한 정보의 제출 ㆍ기초정보 정정‧삭제 및 평가결과 재산출 요구	ㆍ본인에게 중대한 영향을 미치는 자동화된 처리에만 의존하는 결정의 적용을 받지 않을 권리
권리 예외	거부권 예외(설명요구 가능) ①동의 ②법률상 특별한 규정 ③계약 체결‧이행	요구에 대한 거절 ①법률에 특별한 규정 ②상거래 관계 설정 및 유지가 곤란한 경우	적용받지 않을 권리 예외 ①동의 ②EU‧회원국 법률 허용 ③계약 체결‧이행
개인정보처리자의 의무	ㆍ거부, 설명 등 요구 시 정당한 사유가 없는 한 적용 배제, 인적 개입에 의한 재처리, 설명 등 필요한 조치 의무 부여	-	ㆍ①, ③의 경우 인적 개입 요구, 본인의 관점 피력, 이의제기 권리 보호를 위한 적절한 조치 시행 의무 부여

□ (기대효과) 인공지능 등 신기술 발전에 대응하여 자동화된 결정 과정 및 결과에 대한 투명성을 높이고 정보주체인 국민의 대응권을 보장

③ 개인정보 분쟁조정제도 개선

□ (필요성) 개인정보 권리침해 시, 소송에 앞서 개인정보 분쟁조정위원회의 조정을 통해 신속하게 구제(침해중지, 손해배상 등)하는 분쟁조정제도 운영

○ 조정신청 시 의무적으로 응해야 하는 기관은 공공기관에 한하며, 분쟁조정위에 사실 확인을 위한 조사권이 없어 적극적 조정에 한계

□ (개정내용) 분쟁조정 요청 시, 의무적으로 응해야 하는 대상을 공공기관에서 모든 개인정보처리자로 확대(제43조)

○ 분쟁조정 관련 사실 확인이 필요한 경우 현장출입 및 자료조사 등 사실조사에 대한 법적근거를 명확히 규정(제45조)

○ 당사자가 조정안에 대한 수락 여부를 알리지 않을 경우 ‘거부’로 간주하던 것에서 ’수락‘으로 간주하는 것으로 기준 전환(제47조)

□ (기대효과) 개인정보처리자의 조정 참여 확대로 분쟁조정의 실효성을 확보하고, 정확한 사실관계 확정으로 분쟁조정의 심의‧결정에 대한 신뢰 제고

 

④ 개인정보의 사적 목적 이용 금지

□ (필요성) 개인정보취급자의 개인정보 사적 이용에 대한 제재 근거가 없어 사적으로 개인정보를 이용한 경우에도 처벌 곤란

○ 개인정보의 불법 사적 이용은 중대한 범죄행위로 수사 및 형사처벌 대상이나 현행법에는 처벌 근거가 없음

※ 수능감독관이 수험표 정보로 연락하는 행위, 민원인의 휴대전화 번호를 사적으로 이용 등

□ (개정내용) 제59조제3호 금지행위 규정에 정당한 권한 없이 허용된 권한을 초과하여 타인의 개인정보를 ‘이용’하는 행위를 추가

□ (기대효과) 개인정보를 사적으로 무단 이용하는 것을 방지함으로써 정보주체의 개인정보 침해에 따른 피해 최소화

3. 글로벌 스탠다드에 부합하는 법 제도 정비

① 개인정보 국외이전 요건 다양화 및 보호조치 강화

□ (필요성) 국경 없는 온라인 전자상거래 확대 등으로 개인정보의 국외 이전 필요성이 증가하고 있으나, 현행법은 개인정보를 국외로 이전하기 위해서는 정보주체의 별도 동의 필요

□ (개정내용) 해외 법제와 상호 운용성 강화를 위해 동의 이외의 국외이전 요건을 다양화하고, 중지명령권을 신설하여 보호조치 강화

○ (요건 다양화) 국외이전 요건을 개인정보보호 인증을 받은 경우, 이전되는 국가 또는 국제기구의 개인정보 보호 수준이 보장된다고 인정하는 경우 등으로 다양화

※ 국외이전 요건 규정 정비(제28조의8)

① 정보주체의 별도 동의, ② 법률 또는 조약에 규정이 있는 경우, ③ 계약 체결 및 이행에 필요한 개인정보 처리위탁·보관을 위하여 법정고지사항을 개인정보 처리방침에 공개하거나 정보주체에게 알리는 경우, ④ 개인정보를 이전받는 자가 개인정보위가 정하여 고시하는 인증을 받은 경우, ⑤ 이전되는 국가·국제기구의 개인정보 보호수준이 개인정보보호법에 따른 보호수준과 동등하다고 보호위원회가 인정하는 경우

	< 참고 : EU의 한국에 대한 적정성 결정 >
▸유럽연합(EU)의 한국에 대한 개인정보 보호 적정성 결정('21.12.17.)으로 한국은 선진수준의 개인정보보호 국가로 인정 및 EU 진출 기업의 법적 리스크, 시간·비용 부담 대폭 완화 - EU 진출 한국기업이 별도 절차없이 EU의 개인정보 이전 가능(EU 공공데이터도 이전 가능)

○ (보호조치 강화) 법 위반 또는 개인정보가 이전되는 국가 등이 개인정보를 적정하게 보호하고 있지 않아 정보주체에게 피해가 발생할 우려가 현저한 경우 등에 해당할 때 개인정보처리자에 대한 국외이전 중지 명령권 신설(제28조의9)

□ (기대효과) 개인정보 국외이전 요건을 다양화하여 법의 유연성을 제고하는 한편 중지명령권으로 국외이전에 따른 안전망 강화

○ 자유로운 정보의 국가 간 흐름을 강조하고 있는 EU, 미국, 일본 등 주요 국가와의 정합성을 확보하여 국가 간 교류 협력 촉진

② 형벌 중심의 제재를 경제제재 중심으로 전환

□ (필요성) 경미한 위반사항까지도 형벌을 규정함으로써 개인정보 업무담당자의 과중한 부담 및 업무회피 초래

○ 과징금의 경우 ‘위반행위 관련 매출액’의 3% 이하로 상한액을 정하고 있어 글로벌 입법 추세에 맞춘 실효성 제고 방안 필요

※ (EU·영국) 전세계 매출액의 4%, (중국) 전년도 매출액 5%, (싱가포르) 전년도 매출액 10%,
(미국) FTC법에 따라 위반 개별 건당 최대 1만달러의 과징금 부과

□ (개정내용) 형벌 중심을 경제제재 중심으로 전환하여 실효성 제고

○ (형벌 정비) 정보통신서비스 제공자에게만 적용되던 형벌규정을 일반규정에 맞추어 정비하고, 과도한 형벌규정은 삭제*하는 대신 과징금 상한 및 대상 확대 등을 통해 실효성 확보

* 동의 없는 개인정보 수집, 파기의무 위반, 만 14세 미만 아동 법정대리인 동의확인 의무 위반(동의의무 위반은 형벌 유지), 안전조치 불이행으로 인한 개인정보 유출 등

○ (과징금 실효성 확보) 과징금 규정을 통합 정비하여 정보통신서비스 제공자에 적용되는 과징금을 개인정보처리자로 확대하고, 과징금 상한액 기준을 ‘위반행위 관련’에서 ‘전체 매출액’ 3% 이하로 변경

- 다만, 과징금 산정 시에는 위반행위에 상응하는 비례성과 효과성이 확보되도록 ‘위반행위와 관련 없는 매출액’은 제외

현행	과징금 부과 기준	→	개정
가명정보 처리(28조의6)	전체 매출액 3% 이하		‣과징금 규정을 통합 정비(제64조의2 신설) ‣상한액 ‘전체 매출액’ 3% 이하 ※ 과징금 산정 시 위반행위와 관련 없는 매출액 제외
	매출액 없는 경우 4억원 or 자본금 3% 중 큰 금액 이하
주민번호 유출(제34조의2)	5억원 이하
망법 특례(제39조의15)	위반행위 관련 매출액 3% 이하
	매출액 없거나 산정 곤란 시 4억원 이하

□ (기대효과) 개인정보 보호에 대한 책임을 담당자 개인에 대한 형벌 중심에서 기업에 대한 경제적 책임으로 전환하여, 기업 차원의 투자를 촉진하고 불법행위에 대한 실효성 있는 억지력을 확보

4. 기타 개정사항

구분	개정 주요내용
제5조(국가 등의 책무)	ㆍ만 14세 미만 아동의 개인정보 보호에 대한 시책마련 신설, 법령·조례 적용 시 개인정보 보호 원칙에 부합하도록 조문 명확화
제6조(다른 법률과 관계)	ㆍ개인정보 처리 및 보호에 관한 사항임을 명확하게 하고, 개별법 제정 시에도 개인정보 보호 원칙을 고려하도록 함
제11조의2(보호 수준 평가)	ㆍ보호위원회로 하여금 매년 공공기관의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고할 수 있도록 함
제13조의2(개인 정보보호의 날)	ㆍ매년 9월 30일을 개인정보 보호의 날로 지정하고, 개인정보 보호의 날이 포함된 주간에 개인정보 보호 문화 확산을 위한 각종 행사를 실시
제21조(개인정보 파기)	ㆍ가명정보도 파기의무가 적용됨을 명확히 하고, 가명정보 처리 시 처리목적 등을 고려하여 처리기간을 별도로 정할 수 있도록 함
제22조(동의를 받는 방법)	ㆍ제22조의2 아동의 개인정보보호 조항 신설에 따른 체계 정비, ‘구분하여 각각 동의’ 받아야 하는 사항에 대한 체계 정비 등
제23조(민감정보 처리 제한)	ㆍ개인정보처리자가 민감정보 공개로 인해 사생활 침해의 위험성이 있다고 판단하는 경우, 사전에 민감정보의 공개 가능성 및 비공개 선택 방법을 정보주체에게 알기 쉽게 고지할 의무 규정
제25조(고정형 영상정보처리기기의 설치·운영 제한)	ㆍ고정형 영상정보처리기기 설치·운영 주체를 정당한 권한을 가진 자로 명확히 함 ㆍ촬영된 영상정보를 저장하지 아니하는 경우로서 대통령령으로 정하는 경우 고정형 영상정보처리기기를 설치·운영할 수 있도록 함
제26조(업무위탁 처리제한)	ㆍ수탁자는 개인정보 처리 업무 재위탁 시 위탁자의 동의를 받도록 함 ㆍ과징금(제64조의2)·벌칙(제71조~제73조)·과태료(제75조) 개별조문에서 수탁자도 적용대상에 포함됨을 명시
제31조(개인정보 보호책임자 지정)	ㆍ독립성 보장 규정 신설, 개인정보 보호책임자 협의회 운영 신설, 시행령에 규정된 지정 예외 사유를 법률로 상향 등
제32조(개인정보 파일의 등록·공개)	ㆍ파일 등록 예외 사유에서 ‘공공기관의 내부적 업무처리’를 공공기관에서 일회적으로 처리하는 경우 등으로 수정
제39조(손해배상 책임)	ㆍ개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우 손해배상책임의 한도액을 종전 3배에서 5배로 상향
제39조의3 ~ 제39조의6 신설	ㆍ손해배상청구소송에서 법원의 자료제출 명령, 비밀유지 명령, 소송기록 열람 등의 청구통지 등의 규정을 신설
제58조(적용의 일부 제외)	ㆍ공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보에 대하여도 개인정보보호법이 적용되도록 적용 제외 조항 정비
제63조의2(사전 실태점검)	ㆍ개인정보 침해사고의 발생 위험성이 높고 효과적인 대응이 필요한 경우, 사전 실태점검을 통해 침해를 예방할 수 있는 근거 마련
제64조(시정조치)	ㆍ개인정보 보호법을 위반한 경우 시정조치 명령이 가능하도록 요건을 정비하여 법 위반상태를 신속히 해소할 수 있는 근거 마련
제66조(결과 공표)	ㆍ과징금의 부과에 따른 공표 근거를 추가하고, 시정조치 명령 등을 받았다는 사실을 공표하도록 명령할 수 있는 근거 마련
제75조(과태료)	ㆍ과태료 부과 시 위반행위의 정도‧동기‧결과, 개인정보처리자의 규모 등을 고려하여 감경하거나 면제할 수 있는 근거 마련
부칙(시행일)	ㆍ공포 후 6개월이 경과한 날부터 시행(원칙) ㆍ공포 후 1년이 경과한 날부터 시행 : 제11조의2(보호수준 평가), 제31조(개인정보보호책임자 지정), 제35조의3(개인정보관리 전문기관), 제37조의2(자동화된 결정에 대한 정보주체의 권리 등), 제39조의7(손해배상의 보장), 제60조(비밀유지 등) 제5호, 제75조(과태료) 제2항제16호·제20호·제21호·제24호 및 같은 조 제4항제1호·제9호의 개정규정 ㆍ공포 후 1년이 경과한 날부터 공포 후 2년이 넘지 아니하는 범위에서 대통령령으로 정하는 날 : 제35조의2(개인정보의 전송 요구)의 개정규정

보도 일시

2023. 3. 7.(화) 14:00

배포 일시

2023. 3. 7.(화) 07:30

 

담당 부서	개인정보정책국	책임자	과 장	이병남	(02-2100-3051)
	개인정보보호정책과	담당자	사무관 사무관	임종철 정승인	(02-2100-3055) (02-2100-3057)

개인정보 보호법 전면개정, 데이터 신경제 시대 열린다

- 「개인정보 보호법」개정안 국무회의 의결, 3월 14일 공포 예정 -

 

 

□ 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 지난달 27일 국회를 통과한 「개인정보 보호법」 개정안이 오늘 국무회의에서 의결되었다고 밝혔다.

 

○ 이번 개정안에는 전 세계적인 디지털 대전환 추세에 부합하도록 ▴데이터 경제 견인, ▴국민 개인정보 신뢰 사회 구현, ▴국제 기준(글로벌 스탠다드)에 부합하는 개인정보 규범 선도 등을 위하여 시급히 필요한 내용들을 담았다.

 

○ 특히, 2011년 법 제정 이후 처음으로 정부가 학계·법조계·산업계·시민단체 등과 2년여의 협의 과정을 거쳐 다양한 의견을 반영하여 정비한 실질적인 전면 개정(정부안 중심으로 20개 의원안 통합)이라는 점에서 매우 의미가 크다.

 

□ 법 개정의 주요 내용은 다음과 같다.

 

【 전 분야 마이데이터 확산, 디지털 경제 성장 견인 】

 

□ 첫째, 국민이 신뢰할 수 있는 개인정보 활용 기반 조성으로 데이터 시대 신기술·신산업이 발전할 수 있는 혁신적 변화의 계기가 마련되었다.

 

○ 자신의 개인정보를 보유한 기업·기관에게 그 정보를 다른 곳으로 옮기도록 요구할 수 있는 ‘개인정보 전송요구권’의 일반법적 근거를 신설하였다.

 

- 이에 따라 그간 금융·공공 등 일부 분야에서만 제한적으로 가능했던 마이데이터 서비스가 국민 개개인의 뜻에 따라 의료·유통 등 모든 영역에서 보편적으로 이루어질 수 있는 기반이 마련되었다.

 

- 더불어, 다양한 데이터 간 합종연횡이 가속화되면서 혁신적 아이디어를 가진 새싹기업(스타트업) 등 다양한 경제주체가 새로운 데이터 생태계에서 성장을 주도해 나갈 것으로 기대된다.

 

○ 이동형 영상정보처리기기가 부착된 자율주행차, 드론, 배달 로봇 등이 안전하게 운행될 수 있도록 합리적인 기준을 마련하였다.

 

- 그동안 이동형 영상정보처리기기는 일상생활에서 광범위하게 사용되고 있는 현실과는 달리 명확한 규정 없이 운영되어 왔다.

 

- 이에, 이동형 영상정보처리기기를 업무 목적으로 운영할 경우 촬영사실을 명확하게 표시하도록 하는 등 운영 기준을 마련하였다.

 

※

현행

고정형 CCTV만 규율 →

개선

이동형 기기의 특성을 반영한 합리적 운영 기준 마련

 

○ 누구든 법을 쉽게 준수할 수 있도록 온·오프라인으로 이원화된 규제체계를 개편하여 동일행위에는 동일규제가 적용되도록 하였다.

 

- 특히, 국민의 권리 보장에 도움이 되는 규정은 모든 분야로 확대*하고, 실효성이 낮은 조문은 삭제**하였다.

 

※

현행

온·오프라인 구분 규율(14개 조항) →

개선

통합·정비(12개 조항), 삭제(2개 조항)

* 국내대리인 지정, 아동 개인정보보호 등, ** 개인정보 유효기간제, 방송사업자 특례

【 디지털 시대에 적합한 국민의 적극적 권리 강화 】

 

□ 둘째, 디지털 환경에 맞추어 국민이 자신의 권리를 실질적으로 행사할 수 있도록 개편하여 국민과 기업·기관 간 개인정보 처리에 대한 ‘신뢰’가 축적될 수 있는 토대를 마련하였다.

 

○ 그간 정보주체의 ‘동의’에만 과도하게 의존했던 개인정보 처리 관행에서 벗어나, 상호계약 등 합리적으로 예상할 수 있는 범위 내에서는 동의 없이도 개인정보 수집·이용이 가능하도록 정비하였다.

 

- 또한, 개인정보위가 기업·기관의 개인정보 처리방침을 평가한 후 개선하도록 하여 국민이 자신의 개인정보 처리에 대해 보다 쉽고 정확하게 알 수 있도록 개선할 수 있는 기반을 마련하였다.

 

※ 개인정보 처리요건 :

현행

동의 위주 →

개선

계약 이행, 공중위생 등 안전 추가
개인정보 처리방침 :

현행

평가·관리체계 부재 →

개선

평가 및 개선권고 근거 마련

 

○ 인공지능을 활용한 자동화된 결정이 채용 면접, 복지수급자 선정 등과 같이 국민에게 중대한 영향을 미치는 경우, 이에 대해 거부하거나 설명을 요구할 수 있는 권리를 신설하였다.

 

○ 디지털 세대인 아동에게 개인정보 관련 내용을 알릴 때에는 이해하기 쉬운 양식·언어 사용 의무를 온라인 분야에서 모든 분야로 확대하고, 국가·자치단체의 아동 개인정보 보호 시책 의무를 명확히 하였다.

 

○ 개인정보 분쟁조정 절차에 참여 의무를 공공기관에서 전체 개인정보처리자로 확대하고, 분쟁조정을 위해 사실확인이 필요한 경우 사실조사 근거를 마련하는 등 분쟁해결을 위한 제도를 정비하였다.

 

※ 분쟁조정 참여 의무 :

현행

공공기관 →

개선

모든 개인정보처리자
분쟁조정 사실조사 :

현행

자료 제출만 규정 →

개선

사실조사 규정 추가

【 국제 기준(글로벌 스탠다드)에 부합하는 법제도 정비 】

 

□ 셋째, 국제 통상에서 데이터가 차지하는 중요성이 점점 높아지고 있는 상황에서 국제 기준에 부합하고 개인정보 국제 규범을 선도할 수 있도록 국외이전, 과징금 제도 등을 정비하였다.

 

○ 그동안 개인정보를 국외로 이전하려면 정보주체의 ‘동의’가 필요하였으나, 동의 외에도 계약·인증·적정성결정 등으로 국외이전 요건을 다양화하여 국제 규범과의 상호운용성을 확보하였다.

 

- 다만, 해당 국가가 개인정보를 적정하게 보호하고 있지 않다고 판단되는 경우에는 국외이전 중지를 명령할 수 있는 근거도 마련하여 우리 국민의 개인정보 침해를 사전에 방지할 수 있도록 하였다.

 

※

현행

‘동의’ 시 이전 →

개선

요건 확대(동의+계약·인증·적정성결정 등), 중지명령권 신설

 

○ 국제 기준(글로벌 스탠다드)과 달리, 개인정보 보호 책임을 기업보다는 담당자 개인에 대한 형벌 위주로 규율하고 있는 문제를 개선하기 위해, 과도한 형벌을 경제벌 중심으로 전환하였다.

 

- 특히, 과징금 상한액은 글로벌 수준에 맞추어 전체 매출액의 3% 이하로 조정하고, 산정 시 위반행위와 관련 없는 매출액은 제외하도록 하여 비례성과 효과성을 모두 확보할 수 있도록 하였다.

 

※ 형벌 체계 :

현행

수집·이용/파기 등 경미사항도 형벌 →

개선

과징금·과태료로 전환
과징금 상한 :

현행

‘위반행위 관련 매출액’ 기준 →

개선

‘전체 매출액’ 기준

 

□ 이 밖에도, 매년 공공기관의 개인정보 보호 수준을 평가할 수 있는 근거와 개인정보 침해 발생 위험성이 높고 효과적인 대응이 필요한 경우 사전에 실태점검을 할 수 있는 근거 등도 포함하여 공공·민간의 개인정보 보호체계를 공고히 하였다.

 

□ 한편, 오늘 국무회의에서 의결된 「개인정보 보호법」개정안은 오는 3월 14일 공포되어, 9월 15일부터 시행될 예정이다.

 

□ 고학수 개인정보위 위원장은 “국민은 언제든 자신의 개인정보를 실질적으로 통제하여 권리를 행사할 수 있고, 기업은 국민의 신뢰를 기반으로 데이터를 안전하게 활용할 수 있는 선순환 구조가 정착되어야 한다”며,

 

○ “앞으로 위원회에서는 ‘국가 마이데이터 혁신 로드맵’ 마련 등을 통하여 디지털 대전환 시대에 국민이 신뢰하고 체감할 수 있는 개인정보의 비전과 정책방향을 제시하겠다”고 밝혔다.

 

 

 

참고1	「개인정보 보호법」 개정 의의

참고2	「개인정보 보호법」 개정 주요내용 요약

구 분	현 행	개 정
1. 신기술·신산업 등 데이터 경제 성장 견인
개인정보 전송요구권 신설	ㆍ금융·공공 분야에서만 제한적 도입	ㆍ자신의 개인정보를 본인 또는 제3자에게 전송을 요구할 수 있는 일반적인 권리로서 전송요구권 신설
이동형 영상정보처리기기 규정	ㆍ자율주행차, 드론, 배달로봇 등 이동형 기기의 영상정보 수집에 대한 입법 미비	ㆍ이동형 기기의 특성을 반영한 수집 기준, 촬영 사실 표시 등 합리적인 운영기준 마련
온·오프라인 규제 일원화	ㆍ온·오프라인 규제 이원화로 기업의 법 적용 혼선 및 이중부담 발생	ㆍ일반규정과 특례규정을 일원화하여 ‘동일행위-동일규제’ 원칙 적용으로 불합리한 규제 정비
2. 디지털 시대에 적합한 국민의 적극적 권리 강화
개인정보 처리요건 정비	ㆍ복잡하고 형식적인 동의제도 운영으로 정보주체의 실질적 선택권이 없는 필수동의 강제 관행	ㆍ계약 체결·이행 요건을 정비하여 필수동의 관행을 개선하고, 공중위생 등 처리에 대한 안전조치를 강화
개인정보 처리방침 평가제 도입	ㆍ처리방침의 수립·공개 의무만 있고 내용에 대한 판단 기준 부재	ㆍ처리방침의 적정성 여부, 알기 쉽게 작성했는지 여부 등을 평가하여 필요시 개선권고 할 수 있도록 개선
자동화된 결정 대응권	ㆍAI 등을 활용한 자동화된 결정이 광범위하게 활용되면서 새로운 프라이버시 이슈 제기	ㆍ자동화된 결정이 정보주체의 권리·의무에 영향을 미치는 경우, 거부 및 설명 등 요구권 신설
개인정보 분쟁조정	ㆍ소액사건이 대부분인 개인정보 분쟁조정에 대한 적극적 조정에 한계	ㆍ분쟁조정 의무 참여 대상을 모든 개인정보처리자로 확대하고, 사실확인이 필요한 경우 사실조사 근거 마련
사적 목적 이용 금지	ㆍ개인정보취급자의 개인정보 사적 이용에 대한 제재근거 부재	ㆍ금지행위 규정에 정당한 권한 없이 허용된 권한을 초과하여 타인의 개인정보를 ‘이용’하는 행위 추가
3. 글로벌 스탠다드에 부합하는 법 제도 정비
국외이전 요건 다양화 및 중지명령권 신설	ㆍ국외이전 환경이 다양하게 변하고 있음에도 국외 이전 시 추가적 별도 동의 필요	ㆍ해외 법제와의 상호 운용성을 위해 동의 이외의 국외이전 요건을 다양화하고 국외이전 중지명령권을 신설
과징금·벌칙 규정 정비	ㆍ업무담당자에 대한 형벌 중심의 규제로 개인정보 보호에 대한 기업의 실질적인 투자 유인이 부족	ㆍ과도한 형벌 규정을 경제제재 중심으로 전환하는 대신, 과징금 상한 및 대상 확대 등을 통해 실효성 확보

참고3	「개인정보 보호법」 개정 주요내용

1. 데이터 경제 성장 견인

① 개인정보 전송요구권(이동권) 도입

□ (필요성) 데이터 경제 활성화로 개인정보가 대량 수집·유통되고 있으나, 정보주체는 본인정보를 자기주도적으로 유통·활용하는데 한계

○ 금융·공공 등 일부 분야에서 전송요구권(이동권) 근거*를 마련하여 마이데이터 사업을 추진하고 있으나, 분야별 추진방식에 대한 개선 필요

* (신용정보법) 개인신용정보의 전송요구권, (전자정부법) 공공분야 행정정보 제공요구권

□ (개정내용) 국민이 자신의 개인정보를 본인 또는 제3자에게 전송을 요구할 수 있도록 일반적 권리로서 개인정보 전송요구권(이동권) 신설

※ 전송방법, 전송 요구의 거절 및 전송중단의 방법 등 구체적 사항은 시행령에 위임

구 분	주요내용
정보주체	▸정보주체인 국민은 일정규모 이상의 개인정보처리자에 대하여 자신의 개인정보를 ①본인, ②다른 개인정보처리자, ③개인정보관리 전문기관에 전송해 줄 것을 요구
보유기관 (개인정보 처리자)	▸전송요구를 받은 개인정보처리자는 ①정보주체 본인, ②다른 개인정보처리자, ③개인정보관리 전문기관에 전송해야 할 의무를 부담 ※ 매출액, 개인정보의 규모, 처리능력, 산업별 특성 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자 ▸시간, 비용, 기술적으로 허용되는 합리적인 범위 내에서 해당 정보를 컴퓨터 등 정보처리장치로 처리 가능한 형태로 전송
수신기관 (개인정보 처리자)	▸개인정보를 전송받은 개인정보처리자는 정보주체와의 계약ㆍ동의를 통해 정보주체에 맞는 서비스를 제공 ※ 안전조치의무를 이행하고 대통령령으로 정하는 시설·기술 기준을 충족하는 자
개인정보관리전문기관	▸정부의 지정을 받아 개인정보의 전송 요구권 행사 지원, 개인정보 전송시스템의 구축 및 표준화, 개인정보의 관리ㆍ분석 등의 업무 수행
전송정보	▸모든 분야의 개인정보를 포괄하되, 동의 또는 계약에 따라 컴퓨터 등 정보처리장치로 처리되는 개인정보를 대상으로 함 ※ 수집한 개인정보를 기초로 분석ㆍ가공하여 별도로 생성한 정보는 제외

□ (기대효과) 국민 개개인이 데이터의 진정한 주인으로서 마이데이터 제도를 통해 데이터에 기반한 다양한 서비스를 주도적으로 이용하고,

○ 이를 통해 다양한 비즈니스 기회가 창출되어 데이터 경제 시대 신성장을 위한 기틀을 마련

 

② 이동형 영상정보처리기기 규정 마련

□ (필요성) 현행법은 고정형 영상기기(CCTV) 만을 규율하고 있어, 급증하는 이동형 영상기기(자율주행차,드론,배달로봇등)의 특성에 맞는 기준 제시에 한계

○ 현재 이동형 영상기기를 통한 개인정보 수집‧이용 시 일반규정이 적용되어 정보주체의 개별적 동의를 요하는 등 산업적 측면에서 유연한 대처에 한계

□ (개정내용) 공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용하여 개인영상정보를 촬영하는 것을 원칙적으로 제한하되,

○ 개인정보 수집ㆍ이용 사유(제15조제1항 각 호*)에 해당하거나, 정보주체가 촬영 사실을 알 수 있었으나 거부의사를 밝히지 않은 경우 촬영 허용

* 정보주체의 동의를 받은 경우, 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 등

○ 촬영을 하는 경우에는 불빛, 소리, 안내판 등으로 촬영 사실을 표시하도록 하는 등 이동형 영상정보처리기기의 운영 기준 마련

□ (기대효과) 자율주행차, 드론, 배달로봇 등 다가오는 모빌리티 시대 신산업 육성을 위한 이동형 기기 운영을 위한 법적 근거 마련

③ 온·오프라인 규제의 일원화(정보통신서비스 특례규정 정비)

□ (필요성) 데이터 3법 개정 시, 정보통신망법의 정보통신서비스 제공자 대상 개인정보 보호 관련 규정을 특례규정(제6장)으로 단순 이전·병합

○ 온·오프라인 서비스 경계가 모호함에도 불구, 오프라인 규제(일반규정)와 온라인 규제(특례규정)의 이원화로 기업의 법 적용 혼선 및 이중부담 발생

※ 사례 : 동의 없이 개인정보를 수집하여 같은 위반행위를 한 경우

- (일반규정) 공공ㆍ오프라인 기업은 과태료 5천만원 이하

- (특례규정) 온라인 기업은 관련 매출액의 3% 이하 과징금 및 5년 이하 징역

□ (개정내용) 정보통신서비스 특례규정을 일반규정과 일원화하여 모든 개인정보처리자에게 동일한 규범 적용

○ (중복규정 통합) 일반규정과 유사·중복되는 특례규정은 일반규정으로 통합·정비하여 온-오프라인 사업자 간 상이한 규정 단일화

○ (특례적용 확대) 특례에만 있는 손해배상 보장, 국내대리인 지정, 이용내역 통지 등은 일반규정으로 전환하여 확대 적용

○ (불필요한 특례 삭제) 유효기간(1년) 경과 시 파기 또는 별도 보관 의무 삭제, 방송사업자 준용 규정 등 불필요한 특례규정 삭제

특례규정	개정내용
개인정보 수집·이용 동의(제39조의3 ①②③)	‧ 제15조ㆍ제16조 일반규정에 통합
만14세 미만 아동 정보 수집(제39조의3 ④⑤⑥)	‧ 제22조의2ㆍ제5조제3항 신설하여 적용 확대
유출 통지·신고제도(제39조의4)	‧ 제34조 일반규정에 통합
보호조치에 대한 특례(제39조의5)	‧ 제28조 일반규정에 통합
유효기간제(제39조의6)	‧ 삭제 (이용자와 기업의 불편 해소)
동의철회권 규정(제39조의7)	‧ 제37조 일반규정에 통합
이용내역 통지제(제39조의8)	‧ 제20조의2 신설하여 적용 확대
손해배상책임의 보장(제39조의9)	‧ 제39조의3 신설하여 적용 확대
노출된 개인정보 삭제(제39조의10)	‧ 제34조의2 신설하여 적용 확대
국내대리인 지정(제39조의11)	‧ 제31조의2 신설하여 적용 확대
국외이전・상호주의(제39조의12・13)	‧ 제28조의8~제28조의11까지 신설하여 적용 확대
방송사업자등 특례(제39조의14)	‧ 삭제(방송사업자등도 개인정보처리자에 포섭 가능)
과징금 특례(제39조의15)	‧ 제64조의2 신설하여 적용 확대

□ (기대효과) 데이터 3법 개정 시 단순 통합한 정보통신서비스 제공자에 대한 특례를 디지털 시대에 맞게 일반규정으로 전환하여 국민과 기업의 법 적용상의 혼란과 이중부담 해소

2. 디지털 시대에 적합한 국민의 적극적 권리 강화

 

① (동의 제도 개선) 개인정보 처리요건 정비 및 처리방침 평가제 도입

□ (필요성) 복잡하고 경직적인 동의제도 운용으로 기업‧기관 등 개인정보처리자는 합리적인 개인정보 처리 및 활용에 제약을 받고,

○ 정보주체 또한 복잡한 고지사항과 절차 등으로 ‘동의의 형식화’가 만연

□ (개정내용) 기업의 합리적이고 책임있는 개인정보 수집·이용을 활성화하고, 정보주체의 실질적 동의권을 보장하기 위한 동의제도 개선

○ 개인정보 처리요건 정비(제15조·제17조·제18조·제22조)

① 필수동의 강제 관행 개선	ㆍ정보통신서비스 제공자의 필수 동의(제39조의3) 규정을 삭제하고, 일반규정(제15조)으로 통합 ㆍ계약 체결·이행에 필요한 경우 요건을 정비(‘불가피하게’ 삭제)하고, 동의 없는 수집·이용에 대한 입증 책임은 개인정보처리자가 부담
② 코로나19 상황 안전조치 강화	ㆍ개인정보 처리요건에 ‘공중위생, 공공의 안전을 위해 긴급히 필요한 경우’ 수집·이용 요건을 추가하여, 코로나19 등 공중위생 목적인 경우에도 안전조치, 파기 등 개인정보 보호법 적용 ※ 제58조(제3장~제8장 제외) 제1항제3호 삭제 후 수집·이용요건에 추가
③ 국민 생명보호 관련 개선	ㆍ개인정보 처리요건 중 긴급상황 요건에서 ‘사전 동의를 받을 수 없는 경우’ 요건을 삭제하여, 국민의 생명 등 보호를 위해 급박한 경우 개인정보 수집·이용 및 제공이 가능하도록 개선

○ 개인정보 처리방침 평가제 도입(제30조의2)

- 국민의 개인정보 자기결정권 보장을 위해 처리방침을 수립·공개하도록 하고 있으나, 내용의 적정성 등 기준이 없어 실효성에 문제

- 이에 처리방침의 적정성 여부, 알기 쉽게 작성했는지 여부, 쉽게 확인할 수 있는지 등을 평가하여 필요시 개선권고 할 수 있도록 개선

□ (기대효과) 복잡해지는 디지털 시대에 맞게 정보주체가 적정한 정보를 제공받아 알고 실질적으로 선택할 수 있는 환경 마련

○ 공중위생, 공공안전을 위한 개인정보 처리의 경우에도 안전조치를 강화하고, 국민의 생명 등 보호를 위한 경우 처리요건을 합리적으로 개선

② 자동화된 결정에 대한 정보주체의 권리 도입

□ (필요성) 인공지능(AI) 등 신기술 발전에 따라 자동화된 결정(인사채용, 복지수급자선정등)이 광범위하게 활용되면서 새로운 프라이버시 이슈 제기

○ 개인 의사에 반한 자동화된 결정으로 개인의 권리가 침해되지 않도록 정보주체의 대응권 보장 필요

□ (개정내용) 완전 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우 정보주체에게 거부권·설명 등 요구권 부여

○ 개인정보처리자는 정보주체의 권리행사가 있으면 자동화 결정의 적용 배제·인적 개입에 의한 재처리·설명 등 조치 의무를 규정

구 분	개인정보보호법(제37조의2)	신용정보법(제36조의2)	EU 개인정보보호법(GDPR, 제22조)
주 체	정보주체	개인인 신용정보주체	개인정보주체
대 상	개인정보처리자	신용정보제공‧이용자등	컨트롤러
권리 내용	ㆍ정보주체의 권리 또는 의무에 중대한 영향을 미치는 자동화된 결정에 대한 거부 및 설명을 요구할 권리	ㆍ자동화평가 여부와 결과에 대한 설명 요구 ㆍ유리한 정보의 제출 ㆍ기초정보 정정‧삭제 및 평가결과 재산출 요구	ㆍ본인에게 중대한 영향을 미치는 자동화된 처리에만 의존하는 결정의 적용을 받지 않을 권리
권리 예외	거부권 예외(설명요구 가능) ①동의 ②법률상 특별한 규정 ③계약 체결‧이행	요구에 대한 거절 ①법률에 특별한 규정 ②상거래 관계 설정 및 유지가 곤란한 경우	적용받지 않을 권리 예외 ①동의 ②EU‧회원국 법률 허용 ③계약 체결‧이행
개인정보처리자의 의무	ㆍ거부, 설명 등 요구 시 정당한 사유가 없는 한 적용 배제, 인적 개입에 의한 재처리, 설명 등 필요한 조치 의무 부여	-	ㆍ①, ③의 경우 인적 개입 요구, 본인의 관점 피력, 이의제기 권리 보호를 위한 적절한 조치 시행 의무 부여

□ (기대효과) 인공지능 등 신기술 발전에 대응하여 자동화된 결정 과정 및 결과에 대한 투명성을 높이고 정보주체인 국민의 대응권을 보장

③ 개인정보 분쟁조정제도 개선

□ (필요성) 개인정보 권리침해 시, 소송에 앞서 개인정보 분쟁조정위원회의 조정을 통해 신속하게 구제(침해중지, 손해배상 등)하는 분쟁조정제도 운영

○ 조정신청 시 의무적으로 응해야 하는 기관은 공공기관에 한하며, 분쟁조정위에 사실 확인을 위한 조사권이 없어 적극적 조정에 한계

□ (개정내용) 분쟁조정 요청 시, 의무적으로 응해야 하는 대상을 공공기관에서 모든 개인정보처리자로 확대(제43조)

○ 분쟁조정 관련 사실 확인이 필요한 경우 현장출입 및 자료조사 등 사실조사에 대한 법적근거를 명확히 규정(제45조)

○ 당사자가 조정안에 대한 수락 여부를 알리지 않을 경우 ‘거부’로 간주하던 것에서 ’수락‘으로 간주하는 것으로 기준 전환(제47조)

□ (기대효과) 개인정보처리자의 조정 참여 확대로 분쟁조정의 실효성을 확보하고, 정확한 사실관계 확정으로 분쟁조정의 심의‧결정에 대한 신뢰 제고

 

④ 개인정보의 사적 목적 이용 금지

□ (필요성) 개인정보취급자의 개인정보 사적 이용에 대한 제재 근거가 없어 사적으로 개인정보를 이용한 경우에도 처벌 곤란

○ 개인정보의 불법 사적 이용은 중대한 범죄행위로 수사 및 형사처벌 대상이나 현행법에는 처벌 근거가 없음

※ 수능감독관이 수험표 정보로 연락하는 행위, 민원인의 휴대전화 번호를 사적으로 이용 등

□ (개정내용) 제59조제3호 금지행위 규정에 정당한 권한 없이 허용된 권한을 초과하여 타인의 개인정보를 ‘이용’하는 행위를 추가

□ (기대효과) 개인정보를 사적으로 무단 이용하는 것을 방지함으로써 정보주체의 개인정보 침해에 따른 피해 최소화

3. 글로벌 스탠다드에 부합하는 법 제도 정비

① 개인정보 국외이전 요건 다양화 및 보호조치 강화

□ (필요성) 국경 없는 온라인 전자상거래 확대 등으로 개인정보의 국외 이전 필요성이 증가하고 있으나, 현행법은 개인정보를 국외로 이전하기 위해서는 정보주체의 별도 동의 필요

□ (개정내용) 해외 법제와 상호 운용성 강화를 위해 동의 이외의 국외이전 요건을 다양화하고, 중지명령권을 신설하여 보호조치 강화

○ (요건 다양화) 국외이전 요건을 개인정보보호 인증을 받은 경우, 이전되는 국가 또는 국제기구의 개인정보 보호 수준이 보장된다고 인정하는 경우 등으로 다양화

※ 국외이전 요건 규정 정비(제28조의8)

① 정보주체의 별도 동의, ② 법률 또는 조약에 규정이 있는 경우, ③ 계약 체결 및 이행에 필요한 개인정보 처리위탁·보관을 위하여 법정고지사항을 개인정보 처리방침에 공개하거나 정보주체에게 알리는 경우, ④ 개인정보를 이전받는 자가 개인정보위가 정하여 고시하는 인증을 받은 경우, ⑤ 이전되는 국가·국제기구의 개인정보 보호수준이 개인정보보호법에 따른 보호수준과 동등하다고 보호위원회가 인정하는 경우

	< 참고 : EU의 한국에 대한 적정성 결정 >
▸유럽연합(EU)의 한국에 대한 개인정보 보호 적정성 결정('21.12.17.)으로 한국은 선진수준의 개인정보보호 국가로 인정 및 EU 진출 기업의 법적 리스크, 시간·비용 부담 대폭 완화 - EU 진출 한국기업이 별도 절차없이 EU의 개인정보 이전 가능(EU 공공데이터도 이전 가능)

○ (보호조치 강화) 법 위반 또는 개인정보가 이전되는 국가 등이 개인정보를 적정하게 보호하고 있지 않아 정보주체에게 피해가 발생할 우려가 현저한 경우 등에 해당할 때 개인정보처리자에 대한 국외이전 중지 명령권 신설(제28조의9)

□ (기대효과) 개인정보 국외이전 요건을 다양화하여 법의 유연성을 제고하는 한편 중지명령권으로 국외이전에 따른 안전망 강화

○ 자유로운 정보의 국가 간 흐름을 강조하고 있는 EU, 미국, 일본 등 주요 국가와의 정합성을 확보하여 국가 간 교류 협력 촉진

② 형벌 중심의 제재를 경제제재 중심으로 전환

□ (필요성) 경미한 위반사항까지도 형벌을 규정함으로써 개인정보 업무담당자의 과중한 부담 및 업무회피 초래

○ 과징금의 경우 ‘위반행위 관련 매출액’의 3% 이하로 상한액을 정하고 있어 글로벌 입법 추세에 맞춘 실효성 제고 방안 필요

※ (EU·영국) 전세계 매출액의 4%, (중국) 전년도 매출액 5%, (싱가포르) 전년도 매출액 10%,
(미국) FTC법에 따라 위반 개별 건당 최대 1만달러의 과징금 부과

□ (개정내용) 형벌 중심을 경제제재 중심으로 전환하여 실효성 제고

○ (형벌 정비) 정보통신서비스 제공자에게만 적용되던 형벌규정을 일반규정에 맞추어 정비하고, 과도한 형벌규정은 삭제*하는 대신 과징금 상한 및 대상 확대 등을 통해 실효성 확보

* 동의 없는 개인정보 수집, 파기의무 위반, 만 14세 미만 아동 법정대리인 동의확인 의무 위반(동의의무 위반은 형벌 유지), 안전조치 불이행으로 인한 개인정보 유출 등

○ (과징금 실효성 확보) 과징금 규정을 통합 정비하여 정보통신서비스 제공자에 적용되는 과징금을 개인정보처리자로 확대하고, 과징금 상한액 기준을 ‘위반행위 관련’에서 ‘전체 매출액’ 3% 이하로 변경

- 다만, 과징금 산정 시에는 위반행위에 상응하는 비례성과 효과성이 확보되도록 ‘위반행위와 관련 없는 매출액’은 제외

현행	과징금 부과 기준	→	개정
가명정보 처리(28조의6)	전체 매출액 3% 이하		‣과징금 규정을 통합 정비(제64조의2 신설) ‣상한액 ‘전체 매출액’ 3% 이하 ※ 과징금 산정 시 위반행위와 관련 없는 매출액 제외
	매출액 없는 경우 4억원 or 자본금 3% 중 큰 금액 이하
주민번호 유출(제34조의2)	5억원 이하
망법 특례(제39조의15)	위반행위 관련 매출액 3% 이하
	매출액 없거나 산정 곤란 시 4억원 이하

□ (기대효과) 개인정보 보호에 대한 책임을 담당자 개인에 대한 형벌 중심에서 기업에 대한 경제적 책임으로 전환하여, 기업 차원의 투자를 촉진하고 불법행위에 대한 실효성 있는 억지력을 확보

4. 기타 개정사항

구분	개정 주요내용
제5조(국가 등의 책무)	ㆍ만 14세 미만 아동의 개인정보 보호에 대한 시책마련 신설, 법령·조례 적용 시 개인정보 보호 원칙에 부합하도록 조문 명확화
제6조(다른 법률과 관계)	ㆍ개인정보 처리 및 보호에 관한 사항임을 명확하게 하고, 개별법 제정 시에도 개인정보 보호 원칙을 고려하도록 함
제11조의2(보호 수준 평가)	ㆍ보호위원회로 하여금 매년 공공기관의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고할 수 있도록 함
제13조의2(개인 정보보호의 날)	ㆍ매년 9월 30일을 개인정보 보호의 날로 지정하고, 개인정보 보호의 날이 포함된 주간에 개인정보 보호 문화 확산을 위한 각종 행사를 실시
제21조(개인정보 파기)	ㆍ가명정보도 파기의무가 적용됨을 명확히 하고, 가명정보 처리 시 처리목적 등을 고려하여 처리기간을 별도로 정할 수 있도록 함
제22조(동의를 받는 방법)	ㆍ제22조의2 아동의 개인정보보호 조항 신설에 따른 체계 정비, ‘구분하여 각각 동의’ 받아야 하는 사항에 대한 체계 정비 등
제23조(민감정보 처리 제한)	ㆍ개인정보처리자가 민감정보 공개로 인해 사생활 침해의 위험성이 있다고 판단하는 경우, 사전에 민감정보의 공개 가능성 및 비공개 선택 방법을 정보주체에게 알기 쉽게 고지할 의무 규정
제25조(고정형 영상정보처리기기의 설치·운영 제한)	ㆍ고정형 영상정보처리기기 설치·운영 주체를 정당한 권한을 가진 자로 명확히 함 ㆍ촬영된 영상정보를 저장하지 아니하는 경우로서 대통령령으로 정하는 경우 고정형 영상정보처리기기를 설치·운영할 수 있도록 함
제26조(업무위탁 처리제한)	ㆍ수탁자는 개인정보 처리 업무 재위탁 시 위탁자의 동의를 받도록 함 ㆍ과징금(제64조의2)·벌칙(제71조~제73조)·과태료(제75조) 개별조문에서 수탁자도 적용대상에 포함됨을 명시
제31조(개인정보 보호책임자 지정)	ㆍ독립성 보장 규정 신설, 개인정보 보호책임자 협의회 운영 신설, 시행령에 규정된 지정 예외 사유를 법률로 상향 등
제32조(개인정보 파일의 등록·공개)	ㆍ파일 등록 예외 사유에서 ‘공공기관의 내부적 업무처리’를 공공기관에서 일회적으로 처리하는 경우 등으로 수정
제39조(손해배상 책임)	ㆍ개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우 손해배상책임의 한도액을 종전 3배에서 5배로 상향
제39조의3 ~ 제39조의6 신설	ㆍ손해배상청구소송에서 법원의 자료제출 명령, 비밀유지 명령, 소송기록 열람 등의 청구통지 등의 규정을 신설
제58조(적용의 일부 제외)	ㆍ공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보에 대하여도 개인정보보호법이 적용되도록 적용 제외 조항 정비
제63조의2(사전 실태점검)	ㆍ개인정보 침해사고의 발생 위험성이 높고 효과적인 대응이 필요한 경우, 사전 실태점검을 통해 침해를 예방할 수 있는 근거 마련
제64조(시정조치)	ㆍ개인정보 보호법을 위반한 경우 시정조치 명령이 가능하도록 요건을 정비하여 법 위반상태를 신속히 해소할 수 있는 근거 마련
제66조(결과 공표)	ㆍ과징금의 부과에 따른 공표 근거를 추가하고, 시정조치 명령 등을 받았다는 사실을 공표하도록 명령할 수 있는 근거 마련
제75조(과태료)	ㆍ과태료 부과 시 위반행위의 정도‧동기‧결과, 개인정보처리자의 규모 등을 고려하여 감경하거나 면제할 수 있는 근거 마련
부칙(시행일)	ㆍ공포 후 6개월이 경과한 날부터 시행(원칙) ㆍ공포 후 1년이 경과한 날부터 시행 : 제11조의2(보호수준 평가), 제31조(개인정보보호책임자 지정), 제35조의3(개인정보관리 전문기관), 제37조의2(자동화된 결정에 대한 정보주체의 권리 등), 제39조의7(손해배상의 보장), 제60조(비밀유지 등) 제5호, 제75조(과태료) 제2항제16호·제20호·제21호·제24호 및 같은 조 제4항제1호·제9호의 개정규정 ㆍ공포 후 1년이 경과한 날부터 공포 후 2년이 넘지 아니하는 범위에서 대통령령으로 정하는 날 : 제35조의2(개인정보의 전송 요구)의 개정규정

개인정보보호위원회

보 도 자 료

보도 일시

2023. 3. 7.(화) 14:00

배포 일시

2023. 3. 7.(화) 07:30

담당 부서	개인정보정책국	책임자	과 장	이병남	(02-2100-3051)
	개인정보보호정책과	담당자	사무관 사무관	임종철 정승인	(02-2100-3055) (02-2100-3057)

개인정보 보호법 전면개정, 데이터 신경제 시대 열린다

- 「개인정보 보호법」개정안 국무회의 의결, 3월 14일 공포 예정 -

 

 

□ 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 지난달 27일 국회를 통과한 「개인정보 보호법」 개정안이 오늘 국무회의에서 의결되었다고 밝혔다.

 

○ 이번 개정안에는 전 세계적인 디지털 대전환 추세에 부합하도록 ▴데이터 경제 견인, ▴국민 개인정보 신뢰 사회 구현, ▴국제 기준(글로벌 스탠다드)에 부합하는 개인정보 규범 선도 등을 위하여 시급히 필요한 내용들을 담았다.

 

○ 특히, 2011년 법 제정 이후 처음으로 정부가 학계·법조계·산업계·시민단체 등과 2년여의 협의 과정을 거쳐 다양한 의견을 반영하여 정비한 실질적인 전면 개정(정부안 중심으로 20개 의원안 통합)이라는 점에서 매우 의미가 크다.

 

□ 법 개정의 주요 내용은 다음과 같다.

 

【 전 분야 마이데이터 확산, 디지털 경제 성장 견인 】

 

□ 첫째, 국민이 신뢰할 수 있는 개인정보 활용 기반 조성으로 데이터 시대 신기술·신산업이 발전할 수 있는 혁신적 변화의 계기가 마련되었다.

 

○ 자신의 개인정보를 보유한 기업·기관에게 그 정보를 다른 곳으로 옮기도록 요구할 수 있는 ‘개인정보 전송요구권’의 일반법적 근거를 신설하였다.

 

- 이에 따라 그간 금융·공공 등 일부 분야에서만 제한적으로 가능했던 마이데이터 서비스가 국민 개개인의 뜻에 따라 의료·유통 등 모든 영역에서 보편적으로 이루어질 수 있는 기반이 마련되었다.

 

- 더불어, 다양한 데이터 간 합종연횡이 가속화되면서 혁신적 아이디어를 가진 새싹기업(스타트업) 등 다양한 경제주체가 새로운 데이터 생태계에서 성장을 주도해 나갈 것으로 기대된다.

 

○ 이동형 영상정보처리기기가 부착된 자율주행차, 드론, 배달 로봇 등이 안전하게 운행될 수 있도록 합리적인 기준을 마련하였다.

 

- 그동안 이동형 영상정보처리기기는 일상생활에서 광범위하게 사용되고 있는 현실과는 달리 명확한 규정 없이 운영되어 왔다.

 

- 이에, 이동형 영상정보처리기기를 업무 목적으로 운영할 경우 촬영사실을 명확하게 표시하도록 하는 등 운영 기준을 마련하였다.

 

※

현행

고정형 CCTV만 규율 →

개선

이동형 기기의 특성을 반영한 합리적 운영 기준 마련

 

○ 누구든 법을 쉽게 준수할 수 있도록 온·오프라인으로 이원화된 규제체계를 개편하여 동일행위에는 동일규제가 적용되도록 하였다.

 

- 특히, 국민의 권리 보장에 도움이 되는 규정은 모든 분야로 확대*하고, 실효성이 낮은 조문은 삭제**하였다.

 

※

현행

온·오프라인 구분 규율(14개 조항) →

개선

통합·정비(12개 조항), 삭제(2개 조항)

* 국내대리인 지정, 아동 개인정보보호 등, ** 개인정보 유효기간제, 방송사업자 특례

【 디지털 시대에 적합한 국민의 적극적 권리 강화 】

 

□ 둘째, 디지털 환경에 맞추어 국민이 자신의 권리를 실질적으로 행사할 수 있도록 개편하여 국민과 기업·기관 간 개인정보 처리에 대한 ‘신뢰’가 축적될 수 있는 토대를 마련하였다.

 

○ 그간 정보주체의 ‘동의’에만 과도하게 의존했던 개인정보 처리 관행에서 벗어나, 상호계약 등 합리적으로 예상할 수 있는 범위 내에서는 동의 없이도 개인정보 수집·이용이 가능하도록 정비하였다.

 

- 또한, 개인정보위가 기업·기관의 개인정보 처리방침을 평가한 후 개선하도록 하여 국민이 자신의 개인정보 처리에 대해 보다 쉽고 정확하게 알 수 있도록 개선할 수 있는 기반을 마련하였다.

 

※ 개인정보 처리요건 :

현행

동의 위주 →

개선

계약 이행, 공중위생 등 안전 추가
개인정보 처리방침 :

현행

평가·관리체계 부재 →

개선

평가 및 개선권고 근거 마련

 

○ 인공지능을 활용한 자동화된 결정이 채용 면접, 복지수급자 선정 등과 같이 국민에게 중대한 영향을 미치는 경우, 이에 대해 거부하거나 설명을 요구할 수 있는 권리를 신설하였다.

 

○ 디지털 세대인 아동에게 개인정보 관련 내용을 알릴 때에는 이해하기 쉬운 양식·언어 사용 의무를 온라인 분야에서 모든 분야로 확대하고, 국가·자치단체의 아동 개인정보 보호 시책 의무를 명확히 하였다.

 

○ 개인정보 분쟁조정 절차에 참여 의무를 공공기관에서 전체 개인정보처리자로 확대하고, 분쟁조정을 위해 사실확인이 필요한 경우 사실조사 근거를 마련하는 등 분쟁해결을 위한 제도를 정비하였다.

 

※ 분쟁조정 참여 의무 :

현행

공공기관 →

개선

모든 개인정보처리자
분쟁조정 사실조사 :

현행

자료 제출만 규정 →

개선

사실조사 규정 추가

【 국제 기준(글로벌 스탠다드)에 부합하는 법제도 정비 】

 

□ 셋째, 국제 통상에서 데이터가 차지하는 중요성이 점점 높아지고 있는 상황에서 국제 기준에 부합하고 개인정보 국제 규범을 선도할 수 있도록 국외이전, 과징금 제도 등을 정비하였다.

 

○ 그동안 개인정보를 국외로 이전하려면 정보주체의 ‘동의’가 필요하였으나, 동의 외에도 계약·인증·적정성결정 등으로 국외이전 요건을 다양화하여 국제 규범과의 상호운용성을 확보하였다.

 

- 다만, 해당 국가가 개인정보를 적정하게 보호하고 있지 않다고 판단되는 경우에는 국외이전 중지를 명령할 수 있는 근거도 마련하여 우리 국민의 개인정보 침해를 사전에 방지할 수 있도록 하였다.

 

※

현행

‘동의’ 시 이전 →

개선

요건 확대(동의+계약·인증·적정성결정 등), 중지명령권 신설

 

○ 국제 기준(글로벌 스탠다드)과 달리, 개인정보 보호 책임을 기업보다는 담당자 개인에 대한 형벌 위주로 규율하고 있는 문제를 개선하기 위해, 과도한 형벌을 경제벌 중심으로 전환하였다.

 

- 특히, 과징금 상한액은 글로벌 수준에 맞추어 전체 매출액의 3% 이하로 조정하고, 산정 시 위반행위와 관련 없는 매출액은 제외하도록 하여 비례성과 효과성을 모두 확보할 수 있도록 하였다.

 

※ 형벌 체계 :

현행

수집·이용/파기 등 경미사항도 형벌 →

개선

과징금·과태료로 전환
과징금 상한 :

현행

‘위반행위 관련 매출액’ 기준 →

개선

‘전체 매출액’ 기준

 

□ 이 밖에도, 매년 공공기관의 개인정보 보호 수준을 평가할 수 있는 근거와 개인정보 침해 발생 위험성이 높고 효과적인 대응이 필요한 경우 사전에 실태점검을 할 수 있는 근거 등도 포함하여 공공·민간의 개인정보 보호체계를 공고히 하였다.

 

□ 한편, 오늘 국무회의에서 의결된 「개인정보 보호법」개정안은 오는 3월 14일 공포되어, 9월 15일부터 시행될 예정이다.

 

□ 고학수 개인정보위 위원장은 “국민은 언제든 자신의 개인정보를 실질적으로 통제하여 권리를 행사할 수 있고, 기업은 국민의 신뢰를 기반으로 데이터를 안전하게 활용할 수 있는 선순환 구조가 정착되어야 한다”며,

 

○ “앞으로 위원회에서는 ‘국가 마이데이터 혁신 로드맵’ 마련 등을 통하여 디지털 대전환 시대에 국민이 신뢰하고 체감할 수 있는 개인정보의 비전과 정책방향을 제시하겠다”고 밝혔다.

 

 

 

참고1	「개인정보 보호법」 개정 의의

참고2	「개인정보 보호법」 개정 주요내용 요약

구 분	현 행	개 정
1. 신기술·신산업 등 데이터 경제 성장 견인
개인정보 전송요구권 신설	ㆍ금융·공공 분야에서만 제한적 도입	ㆍ자신의 개인정보를 본인 또는 제3자에게 전송을 요구할 수 있는 일반적인 권리로서 전송요구권 신설
이동형 영상정보처리기기 규정	ㆍ자율주행차, 드론, 배달로봇 등 이동형 기기의 영상정보 수집에 대한 입법 미비	ㆍ이동형 기기의 특성을 반영한 수집 기준, 촬영 사실 표시 등 합리적인 운영기준 마련
온·오프라인 규제 일원화	ㆍ온·오프라인 규제 이원화로 기업의 법 적용 혼선 및 이중부담 발생	ㆍ일반규정과 특례규정을 일원화하여 ‘동일행위-동일규제’ 원칙 적용으로 불합리한 규제 정비
2. 디지털 시대에 적합한 국민의 적극적 권리 강화
개인정보 처리요건 정비	ㆍ복잡하고 형식적인 동의제도 운영으로 정보주체의 실질적 선택권이 없는 필수동의 강제 관행	ㆍ계약 체결·이행 요건을 정비하여 필수동의 관행을 개선하고, 공중위생 등 처리에 대한 안전조치를 강화
개인정보 처리방침 평가제 도입	ㆍ처리방침의 수립·공개 의무만 있고 내용에 대한 판단 기준 부재	ㆍ처리방침의 적정성 여부, 알기 쉽게 작성했는지 여부 등을 평가하여 필요시 개선권고 할 수 있도록 개선
자동화된 결정 대응권	ㆍAI 등을 활용한 자동화된 결정이 광범위하게 활용되면서 새로운 프라이버시 이슈 제기	ㆍ자동화된 결정이 정보주체의 권리·의무에 영향을 미치는 경우, 거부 및 설명 등 요구권 신설
개인정보 분쟁조정	ㆍ소액사건이 대부분인 개인정보 분쟁조정에 대한 적극적 조정에 한계	ㆍ분쟁조정 의무 참여 대상을 모든 개인정보처리자로 확대하고, 사실확인이 필요한 경우 사실조사 근거 마련
사적 목적 이용 금지	ㆍ개인정보취급자의 개인정보 사적 이용에 대한 제재근거 부재	ㆍ금지행위 규정에 정당한 권한 없이 허용된 권한을 초과하여 타인의 개인정보를 ‘이용’하는 행위 추가
3. 글로벌 스탠다드에 부합하는 법 제도 정비
국외이전 요건 다양화 및 중지명령권 신설	ㆍ국외이전 환경이 다양하게 변하고 있음에도 국외 이전 시 추가적 별도 동의 필요	ㆍ해외 법제와의 상호 운용성을 위해 동의 이외의 국외이전 요건을 다양화하고 국외이전 중지명령권을 신설
과징금·벌칙 규정 정비	ㆍ업무담당자에 대한 형벌 중심의 규제로 개인정보 보호에 대한 기업의 실질적인 투자 유인이 부족	ㆍ과도한 형벌 규정을 경제제재 중심으로 전환하는 대신, 과징금 상한 및 대상 확대 등을 통해 실효성 확보

참고3	「개인정보 보호법」 개정 주요내용

1. 데이터 경제 성장 견인

① 개인정보 전송요구권(이동권) 도입

□ (필요성) 데이터 경제 활성화로 개인정보가 대량 수집·유통되고 있으나, 정보주체는 본인정보를 자기주도적으로 유통·활용하는데 한계

○ 금융·공공 등 일부 분야에서 전송요구권(이동권) 근거*를 마련하여 마이데이터 사업을 추진하고 있으나, 분야별 추진방식에 대한 개선 필요

* (신용정보법) 개인신용정보의 전송요구권, (전자정부법) 공공분야 행정정보 제공요구권

□ (개정내용) 국민이 자신의 개인정보를 본인 또는 제3자에게 전송을 요구할 수 있도록 일반적 권리로서 개인정보 전송요구권(이동권) 신설

※ 전송방법, 전송 요구의 거절 및 전송중단의 방법 등 구체적 사항은 시행령에 위임

구 분	주요내용
정보주체	▸정보주체인 국민은 일정규모 이상의 개인정보처리자에 대하여 자신의 개인정보를 ①본인, ②다른 개인정보처리자, ③개인정보관리 전문기관에 전송해 줄 것을 요구
보유기관 (개인정보 처리자)	▸전송요구를 받은 개인정보처리자는 ①정보주체 본인, ②다른 개인정보처리자, ③개인정보관리 전문기관에 전송해야 할 의무를 부담 ※ 매출액, 개인정보의 규모, 처리능력, 산업별 특성 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자 ▸시간, 비용, 기술적으로 허용되는 합리적인 범위 내에서 해당 정보를 컴퓨터 등 정보처리장치로 처리 가능한 형태로 전송
수신기관 (개인정보 처리자)	▸개인정보를 전송받은 개인정보처리자는 정보주체와의 계약ㆍ동의를 통해 정보주체에 맞는 서비스를 제공 ※ 안전조치의무를 이행하고 대통령령으로 정하는 시설·기술 기준을 충족하는 자
개인정보관리전문기관	▸정부의 지정을 받아 개인정보의 전송 요구권 행사 지원, 개인정보 전송시스템의 구축 및 표준화, 개인정보의 관리ㆍ분석 등의 업무 수행
전송정보	▸모든 분야의 개인정보를 포괄하되, 동의 또는 계약에 따라 컴퓨터 등 정보처리장치로 처리되는 개인정보를 대상으로 함 ※ 수집한 개인정보를 기초로 분석ㆍ가공하여 별도로 생성한 정보는 제외

□ (기대효과) 국민 개개인이 데이터의 진정한 주인으로서 마이데이터 제도를 통해 데이터에 기반한 다양한 서비스를 주도적으로 이용하고,

○ 이를 통해 다양한 비즈니스 기회가 창출되어 데이터 경제 시대 신성장을 위한 기틀을 마련

 

② 이동형 영상정보처리기기 규정 마련

□ (필요성) 현행법은 고정형 영상기기(CCTV) 만을 규율하고 있어, 급증하는 이동형 영상기기(자율주행차,드론,배달로봇등)의 특성에 맞는 기준 제시에 한계

○ 현재 이동형 영상기기를 통한 개인정보 수집‧이용 시 일반규정이 적용되어 정보주체의 개별적 동의를 요하는 등 산업적 측면에서 유연한 대처에 한계

□ (개정내용) 공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용하여 개인영상정보를 촬영하는 것을 원칙적으로 제한하되,

○ 개인정보 수집ㆍ이용 사유(제15조제1항 각 호*)에 해당하거나, 정보주체가 촬영 사실을 알 수 있었으나 거부의사를 밝히지 않은 경우 촬영 허용

* 정보주체의 동의를 받은 경우, 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 등

○ 촬영을 하는 경우에는 불빛, 소리, 안내판 등으로 촬영 사실을 표시하도록 하는 등 이동형 영상정보처리기기의 운영 기준 마련

□ (기대효과) 자율주행차, 드론, 배달로봇 등 다가오는 모빌리티 시대 신산업 육성을 위한 이동형 기기 운영을 위한 법적 근거 마련

③ 온·오프라인 규제의 일원화(정보통신서비스 특례규정 정비)

□ (필요성) 데이터 3법 개정 시, 정보통신망법의 정보통신서비스 제공자 대상 개인정보 보호 관련 규정을 특례규정(제6장)으로 단순 이전·병합

○ 온·오프라인 서비스 경계가 모호함에도 불구, 오프라인 규제(일반규정)와 온라인 규제(특례규정)의 이원화로 기업의 법 적용 혼선 및 이중부담 발생

※ 사례 : 동의 없이 개인정보를 수집하여 같은 위반행위를 한 경우

- (일반규정) 공공ㆍ오프라인 기업은 과태료 5천만원 이하

- (특례규정) 온라인 기업은 관련 매출액의 3% 이하 과징금 및 5년 이하 징역

□ (개정내용) 정보통신서비스 특례규정을 일반규정과 일원화하여 모든 개인정보처리자에게 동일한 규범 적용

○ (중복규정 통합) 일반규정과 유사·중복되는 특례규정은 일반규정으로 통합·정비하여 온-오프라인 사업자 간 상이한 규정 단일화

○ (특례적용 확대) 특례에만 있는 손해배상 보장, 국내대리인 지정, 이용내역 통지 등은 일반규정으로 전환하여 확대 적용

○ (불필요한 특례 삭제) 유효기간(1년) 경과 시 파기 또는 별도 보관 의무 삭제, 방송사업자 준용 규정 등 불필요한 특례규정 삭제

특례규정	개정내용
개인정보 수집·이용 동의(제39조의3 ①②③)	‧ 제15조ㆍ제16조 일반규정에 통합
만14세 미만 아동 정보 수집(제39조의3 ④⑤⑥)	‧ 제22조의2ㆍ제5조제3항 신설하여 적용 확대
유출 통지·신고제도(제39조의4)	‧ 제34조 일반규정에 통합
보호조치에 대한 특례(제39조의5)	‧ 제28조 일반규정에 통합
유효기간제(제39조의6)	‧ 삭제 (이용자와 기업의 불편 해소)
동의철회권 규정(제39조의7)	‧ 제37조 일반규정에 통합
이용내역 통지제(제39조의8)	‧ 제20조의2 신설하여 적용 확대
손해배상책임의 보장(제39조의9)	‧ 제39조의3 신설하여 적용 확대
노출된 개인정보 삭제(제39조의10)	‧ 제34조의2 신설하여 적용 확대
국내대리인 지정(제39조의11)	‧ 제31조의2 신설하여 적용 확대
국외이전・상호주의(제39조의12・13)	‧ 제28조의8~제28조의11까지 신설하여 적용 확대
방송사업자등 특례(제39조의14)	‧ 삭제(방송사업자등도 개인정보처리자에 포섭 가능)
과징금 특례(제39조의15)	‧ 제64조의2 신설하여 적용 확대

□ (기대효과) 데이터 3법 개정 시 단순 통합한 정보통신서비스 제공자에 대한 특례를 디지털 시대에 맞게 일반규정으로 전환하여 국민과 기업의 법 적용상의 혼란과 이중부담 해소

2. 디지털 시대에 적합한 국민의 적극적 권리 강화

 

① (동의 제도 개선) 개인정보 처리요건 정비 및 처리방침 평가제 도입

□ (필요성) 복잡하고 경직적인 동의제도 운용으로 기업‧기관 등 개인정보처리자는 합리적인 개인정보 처리 및 활용에 제약을 받고,

○ 정보주체 또한 복잡한 고지사항과 절차 등으로 ‘동의의 형식화’가 만연

□ (개정내용) 기업의 합리적이고 책임있는 개인정보 수집·이용을 활성화하고, 정보주체의 실질적 동의권을 보장하기 위한 동의제도 개선

○ 개인정보 처리요건 정비(제15조·제17조·제18조·제22조)

① 필수동의 강제 관행 개선	ㆍ정보통신서비스 제공자의 필수 동의(제39조의3) 규정을 삭제하고, 일반규정(제15조)으로 통합 ㆍ계약 체결·이행에 필요한 경우 요건을 정비(‘불가피하게’ 삭제)하고, 동의 없는 수집·이용에 대한 입증 책임은 개인정보처리자가 부담
② 코로나19 상황 안전조치 강화	ㆍ개인정보 처리요건에 ‘공중위생, 공공의 안전을 위해 긴급히 필요한 경우’ 수집·이용 요건을 추가하여, 코로나19 등 공중위생 목적인 경우에도 안전조치, 파기 등 개인정보 보호법 적용 ※ 제58조(제3장~제8장 제외) 제1항제3호 삭제 후 수집·이용요건에 추가
③ 국민 생명보호 관련 개선	ㆍ개인정보 처리요건 중 긴급상황 요건에서 ‘사전 동의를 받을 수 없는 경우’ 요건을 삭제하여, 국민의 생명 등 보호를 위해 급박한 경우 개인정보 수집·이용 및 제공이 가능하도록 개선

○ 개인정보 처리방침 평가제 도입(제30조의2)

- 국민의 개인정보 자기결정권 보장을 위해 처리방침을 수립·공개하도록 하고 있으나, 내용의 적정성 등 기준이 없어 실효성에 문제

- 이에 처리방침의 적정성 여부, 알기 쉽게 작성했는지 여부, 쉽게 확인할 수 있는지 등을 평가하여 필요시 개선권고 할 수 있도록 개선

□ (기대효과) 복잡해지는 디지털 시대에 맞게 정보주체가 적정한 정보를 제공받아 알고 실질적으로 선택할 수 있는 환경 마련

○ 공중위생, 공공안전을 위한 개인정보 처리의 경우에도 안전조치를 강화하고, 국민의 생명 등 보호를 위한 경우 처리요건을 합리적으로 개선

② 자동화된 결정에 대한 정보주체의 권리 도입

□ (필요성) 인공지능(AI) 등 신기술 발전에 따라 자동화된 결정(인사채용, 복지수급자선정등)이 광범위하게 활용되면서 새로운 프라이버시 이슈 제기

○ 개인 의사에 반한 자동화된 결정으로 개인의 권리가 침해되지 않도록 정보주체의 대응권 보장 필요

□ (개정내용) 완전 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우 정보주체에게 거부권·설명 등 요구권 부여

○ 개인정보처리자는 정보주체의 권리행사가 있으면 자동화 결정의 적용 배제·인적 개입에 의한 재처리·설명 등 조치 의무를 규정

구 분	개인정보보호법(제37조의2)	신용정보법(제36조의2)	EU 개인정보보호법(GDPR, 제22조)
주 체	정보주체	개인인 신용정보주체	개인정보주체
대 상	개인정보처리자	신용정보제공‧이용자등	컨트롤러
권리 내용	ㆍ정보주체의 권리 또는 의무에 중대한 영향을 미치는 자동화된 결정에 대한 거부 및 설명을 요구할 권리	ㆍ자동화평가 여부와 결과에 대한 설명 요구 ㆍ유리한 정보의 제출 ㆍ기초정보 정정‧삭제 및 평가결과 재산출 요구	ㆍ본인에게 중대한 영향을 미치는 자동화된 처리에만 의존하는 결정의 적용을 받지 않을 권리
권리 예외	거부권 예외(설명요구 가능) ①동의 ②법률상 특별한 규정 ③계약 체결‧이행	요구에 대한 거절 ①법률에 특별한 규정 ②상거래 관계 설정 및 유지가 곤란한 경우	적용받지 않을 권리 예외 ①동의 ②EU‧회원국 법률 허용 ③계약 체결‧이행
개인정보처리자의 의무	ㆍ거부, 설명 등 요구 시 정당한 사유가 없는 한 적용 배제, 인적 개입에 의한 재처리, 설명 등 필요한 조치 의무 부여	-	ㆍ①, ③의 경우 인적 개입 요구, 본인의 관점 피력, 이의제기 권리 보호를 위한 적절한 조치 시행 의무 부여

□ (기대효과) 인공지능 등 신기술 발전에 대응하여 자동화된 결정 과정 및 결과에 대한 투명성을 높이고 정보주체인 국민의 대응권을 보장

③ 개인정보 분쟁조정제도 개선

□ (필요성) 개인정보 권리침해 시, 소송에 앞서 개인정보 분쟁조정위원회의 조정을 통해 신속하게 구제(침해중지, 손해배상 등)하는 분쟁조정제도 운영

○ 조정신청 시 의무적으로 응해야 하는 기관은 공공기관에 한하며, 분쟁조정위에 사실 확인을 위한 조사권이 없어 적극적 조정에 한계

□ (개정내용) 분쟁조정 요청 시, 의무적으로 응해야 하는 대상을 공공기관에서 모든 개인정보처리자로 확대(제43조)

○ 분쟁조정 관련 사실 확인이 필요한 경우 현장출입 및 자료조사 등 사실조사에 대한 법적근거를 명확히 규정(제45조)

○ 당사자가 조정안에 대한 수락 여부를 알리지 않을 경우 ‘거부’로 간주하던 것에서 ’수락‘으로 간주하는 것으로 기준 전환(제47조)

□ (기대효과) 개인정보처리자의 조정 참여 확대로 분쟁조정의 실효성을 확보하고, 정확한 사실관계 확정으로 분쟁조정의 심의‧결정에 대한 신뢰 제고

 

④ 개인정보의 사적 목적 이용 금지

□ (필요성) 개인정보취급자의 개인정보 사적 이용에 대한 제재 근거가 없어 사적으로 개인정보를 이용한 경우에도 처벌 곤란

○ 개인정보의 불법 사적 이용은 중대한 범죄행위로 수사 및 형사처벌 대상이나 현행법에는 처벌 근거가 없음

※ 수능감독관이 수험표 정보로 연락하는 행위, 민원인의 휴대전화 번호를 사적으로 이용 등

□ (개정내용) 제59조제3호 금지행위 규정에 정당한 권한 없이 허용된 권한을 초과하여 타인의 개인정보를 ‘이용’하는 행위를 추가

□ (기대효과) 개인정보를 사적으로 무단 이용하는 것을 방지함으로써 정보주체의 개인정보 침해에 따른 피해 최소화

3. 글로벌 스탠다드에 부합하는 법 제도 정비

① 개인정보 국외이전 요건 다양화 및 보호조치 강화

□ (필요성) 국경 없는 온라인 전자상거래 확대 등으로 개인정보의 국외 이전 필요성이 증가하고 있으나, 현행법은 개인정보를 국외로 이전하기 위해서는 정보주체의 별도 동의 필요

□ (개정내용) 해외 법제와 상호 운용성 강화를 위해 동의 이외의 국외이전 요건을 다양화하고, 중지명령권을 신설하여 보호조치 강화

○ (요건 다양화) 국외이전 요건을 개인정보보호 인증을 받은 경우, 이전되는 국가 또는 국제기구의 개인정보 보호 수준이 보장된다고 인정하는 경우 등으로 다양화

※ 국외이전 요건 규정 정비(제28조의8)

① 정보주체의 별도 동의, ② 법률 또는 조약에 규정이 있는 경우, ③ 계약 체결 및 이행에 필요한 개인정보 처리위탁·보관을 위하여 법정고지사항을 개인정보 처리방침에 공개하거나 정보주체에게 알리는 경우, ④ 개인정보를 이전받는 자가 개인정보위가 정하여 고시하는 인증을 받은 경우, ⑤ 이전되는 국가·국제기구의 개인정보 보호수준이 개인정보보호법에 따른 보호수준과 동등하다고 보호위원회가 인정하는 경우

	< 참고 : EU의 한국에 대한 적정성 결정 >
▸유럽연합(EU)의 한국에 대한 개인정보 보호 적정성 결정('21.12.17.)으로 한국은 선진수준의 개인정보보호 국가로 인정 및 EU 진출 기업의 법적 리스크, 시간·비용 부담 대폭 완화 - EU 진출 한국기업이 별도 절차없이 EU의 개인정보 이전 가능(EU 공공데이터도 이전 가능)

○ (보호조치 강화) 법 위반 또는 개인정보가 이전되는 국가 등이 개인정보를 적정하게 보호하고 있지 않아 정보주체에게 피해가 발생할 우려가 현저한 경우 등에 해당할 때 개인정보처리자에 대한 국외이전 중지 명령권 신설(제28조의9)

□ (기대효과) 개인정보 국외이전 요건을 다양화하여 법의 유연성을 제고하는 한편 중지명령권으로 국외이전에 따른 안전망 강화

○ 자유로운 정보의 국가 간 흐름을 강조하고 있는 EU, 미국, 일본 등 주요 국가와의 정합성을 확보하여 국가 간 교류 협력 촉진

② 형벌 중심의 제재를 경제제재 중심으로 전환

□ (필요성) 경미한 위반사항까지도 형벌을 규정함으로써 개인정보 업무담당자의 과중한 부담 및 업무회피 초래

○ 과징금의 경우 ‘위반행위 관련 매출액’의 3% 이하로 상한액을 정하고 있어 글로벌 입법 추세에 맞춘 실효성 제고 방안 필요

※ (EU·영국) 전세계 매출액의 4%, (중국) 전년도 매출액 5%, (싱가포르) 전년도 매출액 10%,
(미국) FTC법에 따라 위반 개별 건당 최대 1만달러의 과징금 부과

□ (개정내용) 형벌 중심을 경제제재 중심으로 전환하여 실효성 제고

○ (형벌 정비) 정보통신서비스 제공자에게만 적용되던 형벌규정을 일반규정에 맞추어 정비하고, 과도한 형벌규정은 삭제*하는 대신 과징금 상한 및 대상 확대 등을 통해 실효성 확보

* 동의 없는 개인정보 수집, 파기의무 위반, 만 14세 미만 아동 법정대리인 동의확인 의무 위반(동의의무 위반은 형벌 유지), 안전조치 불이행으로 인한 개인정보 유출 등

○ (과징금 실효성 확보) 과징금 규정을 통합 정비하여 정보통신서비스 제공자에 적용되는 과징금을 개인정보처리자로 확대하고, 과징금 상한액 기준을 ‘위반행위 관련’에서 ‘전체 매출액’ 3% 이하로 변경

- 다만, 과징금 산정 시에는 위반행위에 상응하는 비례성과 효과성이 확보되도록 ‘위반행위와 관련 없는 매출액’은 제외

현행	과징금 부과 기준	→	개정
가명정보 처리(28조의6)	전체 매출액 3% 이하		‣과징금 규정을 통합 정비(제64조의2 신설) ‣상한액 ‘전체 매출액’ 3% 이하 ※ 과징금 산정 시 위반행위와 관련 없는 매출액 제외
	매출액 없는 경우 4억원 or 자본금 3% 중 큰 금액 이하
주민번호 유출(제34조의2)	5억원 이하
망법 특례(제39조의15)	위반행위 관련 매출액 3% 이하
	매출액 없거나 산정 곤란 시 4억원 이하

□ (기대효과) 개인정보 보호에 대한 책임을 담당자 개인에 대한 형벌 중심에서 기업에 대한 경제적 책임으로 전환하여, 기업 차원의 투자를 촉진하고 불법행위에 대한 실효성 있는 억지력을 확보

4. 기타 개정사항

구분	개정 주요내용
제5조(국가 등의 책무)	ㆍ만 14세 미만 아동의 개인정보 보호에 대한 시책마련 신설, 법령·조례 적용 시 개인정보 보호 원칙에 부합하도록 조문 명확화
제6조(다른 법률과 관계)	ㆍ개인정보 처리 및 보호에 관한 사항임을 명확하게 하고, 개별법 제정 시에도 개인정보 보호 원칙을 고려하도록 함
제11조의2(보호 수준 평가)	ㆍ보호위원회로 하여금 매년 공공기관의 개인정보 보호 수준을 평가하고 그 결과를 바탕으로 개선을 권고할 수 있도록 함
제13조의2(개인 정보보호의 날)	ㆍ매년 9월 30일을 개인정보 보호의 날로 지정하고, 개인정보 보호의 날이 포함된 주간에 개인정보 보호 문화 확산을 위한 각종 행사를 실시
제21조(개인정보 파기)	ㆍ가명정보도 파기의무가 적용됨을 명확히 하고, 가명정보 처리 시 처리목적 등을 고려하여 처리기간을 별도로 정할 수 있도록 함
제22조(동의를 받는 방법)	ㆍ제22조의2 아동의 개인정보보호 조항 신설에 따른 체계 정비, ‘구분하여 각각 동의’ 받아야 하는 사항에 대한 체계 정비 등
제23조(민감정보 처리 제한)	ㆍ개인정보처리자가 민감정보 공개로 인해 사생활 침해의 위험성이 있다고 판단하는 경우, 사전에 민감정보의 공개 가능성 및 비공개 선택 방법을 정보주체에게 알기 쉽게 고지할 의무 규정
제25조(고정형 영상정보처리기기의 설치·운영 제한)	ㆍ고정형 영상정보처리기기 설치·운영 주체를 정당한 권한을 가진 자로 명확히 함 ㆍ촬영된 영상정보를 저장하지 아니하는 경우로서 대통령령으로 정하는 경우 고정형 영상정보처리기기를 설치·운영할 수 있도록 함
제26조(업무위탁 처리제한)	ㆍ수탁자는 개인정보 처리 업무 재위탁 시 위탁자의 동의를 받도록 함 ㆍ과징금(제64조의2)·벌칙(제71조~제73조)·과태료(제75조) 개별조문에서 수탁자도 적용대상에 포함됨을 명시
제31조(개인정보 보호책임자 지정)	ㆍ독립성 보장 규정 신설, 개인정보 보호책임자 협의회 운영 신설, 시행령에 규정된 지정 예외 사유를 법률로 상향 등
제32조(개인정보 파일의 등록·공개)	ㆍ파일 등록 예외 사유에서 ‘공공기관의 내부적 업무처리’를 공공기관에서 일회적으로 처리하는 경우 등으로 수정
제39조(손해배상 책임)	ㆍ개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우 손해배상책임의 한도액을 종전 3배에서 5배로 상향
제39조의3 ~ 제39조의6 신설	ㆍ손해배상청구소송에서 법원의 자료제출 명령, 비밀유지 명령, 소송기록 열람 등의 청구통지 등의 규정을 신설
제58조(적용의 일부 제외)	ㆍ공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보에 대하여도 개인정보보호법이 적용되도록 적용 제외 조항 정비
제63조의2(사전 실태점검)	ㆍ개인정보 침해사고의 발생 위험성이 높고 효과적인 대응이 필요한 경우, 사전 실태점검을 통해 침해를 예방할 수 있는 근거 마련
제64조(시정조치)	ㆍ개인정보 보호법을 위반한 경우 시정조치 명령이 가능하도록 요건을 정비하여 법 위반상태를 신속히 해소할 수 있는 근거 마련
제66조(결과 공표)	ㆍ과징금의 부과에 따른 공표 근거를 추가하고, 시정조치 명령 등을 받았다는 사실을 공표하도록 명령할 수 있는 근거 마련
제75조(과태료)	ㆍ과태료 부과 시 위반행위의 정도‧동기‧결과, 개인정보처리자의 규모 등을 고려하여 감경하거나 면제할 수 있는 근거 마련
부칙(시행일)	ㆍ공포 후 6개월이 경과한 날부터 시행(원칙) ㆍ공포 후 1년이 경과한 날부터 시행 : 제11조의2(보호수준 평가), 제31조(개인정보보호책임자 지정), 제35조의3(개인정보관리 전문기관), 제37조의2(자동화된 결정에 대한 정보주체의 권리 등), 제39조의7(손해배상의 보장), 제60조(비밀유지 등) 제5호, 제75조(과태료) 제2항제16호·제20호·제21호·제24호 및 같은 조 제4항제1호·제9호의 개정규정 ㆍ공포 후 1년이 경과한 날부터 공포 후 2년이 넘지 아니하는 범위에서 대통령령으로 정하는 날 : 제35조의2(개인정보의 전송 요구)의 개정규정