개인정보보호법 개정에 따른 국내 기업의 필수 이행 사항

개념 또는 사건 개요

개인정보보호법은 정보주체의 개인정보를 보호하고 개인정보 처리의 적정성을 보장하기 위해 제정된 법률입니다. 2023년 9월 15일 시행된 개인정보보호법 3차 개정은 급변하는 디지털 환경 변화와 정보주체의 권익 강화를 위해 이루어졌습니다. 주요 개정 내용은 정보주체의 권리 강화(개인정보 이동권, 자동화된 결정에 대한 거부권 등), 개인정보 처리자의 책임 강화, 제재 기준 합리화 등을 포함합니다. 특히 온라인-오프라인 구분 없이 통합적인 법 적용 체계를 마련하여 모든 개인정보 처리자가 동일한 규율을 적용받게 되었습니다.

핵심 포인트 정리

• 개인정보 이동권 도입: 정보주체가 본인 정보를 다른 기업이나 기관으로 이전하도록 요구할 수 있는 권리가 신설되었습니다. 데이터 전송 요구권 행사에 대비한 시스템 구축 및 절차 마련이 필요합니다.
• 자동화된 결정에 대한 정보주체의 권리 강화: 인공지능(AI) 기반 의사결정 등 자동화된 시스템이 개인에게 중대한 영향을 미치는 경우, 정보주체가 설명 요구, 이의 제기, 재검토 요구 등을 할 수 있는 권리가 도입되었습니다.
• 과징금 산정 기준 변경: 위반행위와 관련 없는 매출액을 제외하고, 위반행위와 관련된 매출액을 기준으로 과징금을 부과하도록 변경되어 제재의 합리성을 제고했습니다.
• 개인정보 유출 통지 및 신고 기준 완화: 정보주체의 권리 침해 가능성이 낮을 경우 유출 통지 및 신고 의무를 면제할 수 있도록 변경되었습니다. 다만, 권리 침해 '가능성' 판단 기준에 대한 내부 가이드라인 마련이 필요합니다.
• 개인정보 처리방침 평가제 도입: 일정 규모 이상의 개인정보 처리자에 대해 처리방침의 적정성 및 투명성을 평가하는 제도가 도입되었습니다(시행령에 따라 대상 확대 가능성).
• 온라인-오프라인 개인정보 처리 기준 통합: 정보통신망법상 개인정보보호 조항이 개인정보보호법으로 흡수되어 단일 법률 체계로 운영됩니다. 모든 개인정보 처리자는 동일한 보호 기준을 적용받습니다.

보안·개인정보 실무 관점에서의 의미

정보보안담당자 관점

• 데이터 이동성 및 상호운용성 확보: 개인정보 이동권에 대비하여 안전한 데이터 전송 및 연동을 위한 기술적·관리적 보호 조치 강화가 필요합니다. API 기반 데이터 연동 표준화 및 보안 설계 검토를 진행해야 합니다.
• 시스템 변경 및 업데이트: 개인정보 이동권 및 자동화된 결정에 대한 권리 행사 지원을 위한 시스템 개선 및 기능 추가 요구가 발생할 수 있습니다. 데이터 연동 시스템, 사용자 권한 관리 시스템 등에 대한 변경 관리 및 보안 취약점 점검을 강화해야 합니다.
• 개인정보 유출 대응 절차 재정비: 유출 통지 및 신고 기준 완화에 따른 내부 의사결정 프로세스 및 기술적 판단 기준 수립이 필요합니다. 침해 사고 발생 시 권리 침해 가능성 평가를 위한 전문가 자문 또는 내부 역량 강화를 고려해야 합니다.
• 데이터 흐름 및 보안 감사 강화: 마이데이터 등 데이터 이동이 활발해질수록 데이터 흐름에 대한 가시성 확보 및 이상 징후 탐지 역량 강화가 중요해집니다.

개인정보보호담당자 관점

• 개인정보 처리방침 전면 재검토 및 업데이트: 개정된 법률 내용(이동권, 자동화된 결정 권리 등)을 반영하여 개인정보 처리방침을 개정하고, 이를 정보주체가 쉽게 이해할 수 있도록 명확하게 안내해야 합니다.
• 정보주체 권리 행사 지원 절차 마련: 개인정보 이동 요구, 자동화된 결정에 대한 이의 제기 등 새로운 정보주체의 권리 행사를 접수하고 처리하기 위한 내부 절차 및 양식 마련, 담당자 교육이 필수적입니다.
• 내부 개인정보 관리 체계 재정비: 온라인-오프라인 구분 없는 통합 법 적용에 맞춰 모든 개인정보 처리 활동에 대한 법적 준수 여부를 점검하고, 필요한 경우 내부 지침 및 매뉴얼을 개정해야 합니다.
• 개인정보 영향평가(PIA) 및 위험 분석 강화: 새로운 서비스 도입 시 개인정보 이동권 및 자동화된 결정에 대한 권리 침해 위험을 사전에 식별하고, 이에 대한 대응 방안을 마련하는 데 중점을 두어야 합니다.
• 임직원 교육 강화: 개정된 법령 내용 및 이에 따른 실무 변경 사항에 대해 모든 임직원을 대상으로 정기적이고 체계적인 교육을 실시해야 합니다.

정리

개인정보보호법 3차 개정은 정보주체의 권리를 강화하고 개인정보 처리자의 책임을 명확히 하는 데 초점을 맞추고 있습니다. 국내 기업은 개인정보 이동권, 자동화된 결정에 대한 권리 보장 등 새로운 법적 요구사항을 충족하기 위한 시스템 및 절차 마련에 즉시 착수해야 합니다. 또한, 온라인-오프라인 구분 없는 통합 법 적용에 따라 전사적인 개인정보 관리 체계를 점검하고, 개인정보 처리방침을 개정하며, 임직원 교육을 강화하는 것이 필수적입니다. 정보보안 담당자는 안전한 데이터 이동을 위한 기술적 기반을, 개인정보보호 담당자는 정보주체 권리 행사 지원 및 내부 거버넌스 강화를 주도해야 합니다.