안녕하세요! 디센트 법률사무소 레이첼 에디터입니다. 잘 지내셨나요?😆

날이 이젠 너무 따뜻하고 포근하네요~딱 좋은 날씨에 디센트 뉴스레터 읽으면서 하루를 시작해보는 건 어떠신가요?

오늘의 주제는 개인정보보호법입니다!🤩

[개인정보보호법]이 2011년 법 제정 이후 처음으로 전면 개정되어 오는 9월 15일부터 시행된다고 합니다. 이번 개정안이 무려 2년여의 길고 긴 협의 과정을 거쳐 만들어진 통합안이라고 합니다! 어떻게 바뀌었을지 정말 궁금해지는데요!

그런데 말입니다! 개인정보보호법에 대해 알아보기 전! 한 가지 궁금한 점이 생겼습니다. 개인정보를 보호! 보호! 보호! 하자! 개인정보를 보호해야 한다는 사실은 아는데, 왜 보호해야 하는 거죠?!?!?!💁‍♀️

그 이유에 대해서 먼저 알아보겠습니다. 과거에는 개인정보를 보호해야 할 필요성이 크지 않았습니다. 개인 데이터가 단순히 개인에 대한 정보에 불과했기 때문이죠. 그러나, 인터넷과 기술이 발달한 지금 개인정보의 중요성이 높아졌고, 현재 개인정보는 마케팅, 빅데이터, 인공지능 등 다양한 분야에서 중요한 데이터로 활용되고 있습니다. 또한, 개인정보를 대한민국 헌법에서도 보호해주고 있습니다. 헌법 제10조에서는 모든 국민은 인간으로서의 존엄과 가치를 가지고 있으며, 행복추구권을 명시하고 있습니다. 그리고 제17조에서는 모든 국민은 사생활의 비밀과 자유를 침해받지 않을 권리를 명시하고 있습니다. 개인의 정보가 본인의 의지에 반해 유출된다면 이 두 가지 헌법적 권리를 침해하는 것으로 봅니다. 개인정보보호는 선택이 아닌 필수입니다. 그럼 개인정보는 무조건 보호해야 하는 거 아닌가요? 라고 생각이 들 수 있습니다. 문제는 이런 개인 정보 보호에만 너무 방점을 뒀을 때, 공익·사회적·과학적 연구 목적 등 활용에 제동이 걸린다는 점입니다. 따라서, 개인정보가 활용되는 분야가 많아짐에 따라 조건 없는 보호가 아닌 실질적인 규제가 필요합니다. 이번에 바뀐 개인정보보호법에는 실질적인 규제가 많이 담겨있으니 디센트 변호사님들과 함께 데이터 업계의 지각 변동과 스타트업들에게 어떤 새로운 기회가 찾아오게 되는지 함께 알아보도록 하겠습니다🤗

안녕하세요. 디센트 법률사무소 진현수 대표 변호사입니다. 오늘의 주제인 개인정보보호법 개정안에 대하여 함께 알아보도록 하겠습니다.

마이데이터(전송요구권)의 법적 근거가 마련됩니다.

마이데이터는 ‘개인정보의 주체는 나’라는 개념으로 우리나라에 뒤늦게 도입된 제도입니다. 자신의 개인정보를 가지고 있는 기관에 자신 또는 내가 지정하는 기관으로 개인정보를 전송할 수 있는 법률상의 권리가 부여됩니다. 예를 들어보면, 마이데이터 사업자가 레이첼에게 “금융회사에 등록된 너의 개인정보 데이터를 사용하고 싶은데 허락해줄래?”라고 물으면, 레이첼이 “그래, 내 데이터는 금융회사에 있으니까 거기서 알아서 가져가!”라고 동의해주게 됩니다. 그럼 이제 마이데이터 사업자는 금융회사에 등록된 레이첼의 데이터를 조회할 수 있습니다. 이렇게 레이첼은 자신의 개인정보 전송을 요구할 수 있습니다. 이 서비스가 여러 금융회사를 대상으로 확장되면 서로 다른 은행의 입출금 내역을 합쳐 자신의 소비성향이나 자산 상태를 한눈에 보고 그에 맞는 계좌나 카드를 만들 수 있게 됩니다. 아직도 너무 낯설게 느껴지신다고요? 마이데이터를 이용한 자산관리 앱인 토스와 뱅크샐러드를 사용해 보신 적 있으신가요? 사용해 보신 적 있으시다고요? 이렇게 이미 우리 실생활에 자연스럽게 마이데이터는 사용되고 있습니다.

그러나 어떤 데이터를 어디까지 공유할 수 있는지에 대한 정도가 불분명하다는 게 사용자들에게 불편함이 초래될 수 있고, 정보가 공유되는 만큼 유출되거나 악용될 수도 있다는 단점도 존재합니다.

AI 개인정보 처리로 이루어지는 결정에 대한 설명요구권과 거부권이 신설됩니다.

개인의 건강, 금융, 관심사, 위치, 업무 등 여러 데이터를 기반으로 새롭게 만들어낸 분석과 예측과 같은 개인 프로파일링에 대한 규제입니다. 이를 통해 디지털 시대에 적합한 국민의 적극적 권리가 강화하게 되었습니다.

아래 내용 중 어느 하나에 해당한다면 개인정보를 국외로 이전할 수 있습니다.

□ 정보주체가 동의한 경우

□ 법률, 조약, 국제협정에 개인정보 국외 이전에 관한 특별한 규정이 있는 경우

□ 계약의 체결과 이행을 위해 개인정보의 처리위탁, 보관이 필요한 경우로 정보주체로부터 개인정보 국외이전에 관한 동의 취득 시 사전에 알려야 하는 사항을 개인정보 처리방침에 공개한 경우

□ 개인정보를 이전받은 자가 개인정보보호 인증 등을 받은 경우

□ 개인정보가 이전되는 국가 등의 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등의 보호 수준이 실질적으로 개인정보 보호 수준과 동등한 수준을 갖추었다고 인정하는 경우

개인정보 국외이전 요건을 다양화하여 법의 유연성을 제고하는 한편 중지명령권으로 국외이전에 따른 안전망을 강화하는 효과를 기대할 수 있습니다.

자율주행 자동차, 드론, 배달 로봇에 부착되는 영상정보처리기기를 설치하고 촬영 사실을 명확하게 표시하도록 하는 운영 기준이 마련됩니다. 현행법에서는 CCTV와 같은 고정형 영상기기만을 영상정보처리기기로 규정하고 이를 제재하는 것 외에, 이동형 영상기기에 관하여는 별도로 규제하고 있지 않아, 법적 사각지대로 여겨져 왔습니다. 이번 개정안을 통해 논란 많던 이동형 기기에 대해 정의가 내려진 것 같고 관련 법적 규율 체계를 규정했다는 점에서 의의가 있다고 볼 수 있습니다. 다만, 촬영만은 허용하고 있습니다. 대신 촬영 사실을 명확히 표시하여야 하고 촬영 거부 의사를 밝히지 아니하거나 권리를 부당하게 침해하지 않았을 때만 활용할 수 있습니다.

개인정보보호법 위반 시 과도한 징역형을 과징금으로 대체하되 이를 상향함으로써 실효성을 높입니다. 다만, 과징금이 관련 매출액의 3%가 아닌 전체 매출액의 3%로 변경되어 위반 시 경제적 부담이 커집니다.

정리하자면, 2023년 개인정보 보호법 개정안으로 마이데이터가 전면 도입됩니다. 금융 데이터뿐만 아니라 모든 분야의 데이터에 대하여 마이데이터 서비스 사업이 가능해집니다. 개인정보 국외이전이 자유로워짐에 따라 우리나라 기업과 외국 기업 간의 개인정보를 활용한 협업이나 사업 확장이 수월해집니다. 벌칙 규정이 완화됨에 따라 사업자의 형사처벌이 부담이 완화되었지만 기존 관련 매출액의 3%에서 전체 매출액의 3%로 변경됨에 따라 경제적 부담이 커집니다. 법 시행 후 하위 법령을 통해 구체적인 절차와 가이드라인이 제공될 예정이므로 지속적인 모니터링이 필요할 것으로 보입니다. 마지막으로, 이번 전면 개정안은 GDPR규정을 반영하여 국제표준에 부합하고자 하는 시도로 보이고, 사업자로서는 충분히 숙지하여 예측하지 못한 리스크에 대비하시길 바랍니다.

*일반 데이터 보호규정(GDPR ; General Data Protecting Regulation)

2018년 5월 25일 발표된 EU의 개인정보 보호법으로, 어떤 개인의 정보가 이용될 때 그 정보가 어떤 방식으로 왜 사용되는지 설명을 요청할 수 있습니다. 정보의 수정이나 삭제를 요구하는 것도 가능하며, 한 업체에 제공했던 정보를 다른 업체로 옮기는것과 정보가 원치 않는 방식으로 형성되거나 처리될 경우 그 과정 자체를 거부할 수 도 있습니다. GDPR은 세계에서 가장 엄격한 데이터 개인정보 보호법으로 간주합니다.

디센트 변호사님들과 함께 개인정보보호법 개정안에 대해서 알아보았습니다! 재밌고 유익하셨나요? 이번 개정안을 통해 전보다 더 개인의 데이터에 대한 주체로서 데이터에 기반한 다양한 서비스를 주도적으로 이용할 수 있게 된 것 같고, 개인정보보호조치가 강화된 것 같네요! 개인정보가 안전하게 지켜지는 세상이 되길 바라며 오늘 디센트 뉴스레터는 마치겠습니다.

혹, 구독자분들 중 개인정보보호법에 대해서 더 궁금한 부분이 있으시면 언제든지 하단에 구글폼을 통해 질문해주세요!