'개인정보보호법'에 해당되는 글 34건

이 글은 ChatGPT를 통해 작성되었습니다.

개인정보보호 법제는 국가의 주권과 문화, 정보통제 철학에 따라 크게 속지주의(Territorial Principle)와 속인주의(Nationality Principle) 관점으로 나뉘어 접근할 수 있습니다. 이 글에서는 주요 국가들의 개인정보보호법을 이러한 두 관점에서 비교해 정리해보겠습니다.

1. 개념 정리

• 속지주의(Territoriality Principle): 해당 국가 영토 내에서 처리되는 정보에 대해 법률이 적용됨.
  • 예: 외국 기업이라도 자국민의 데이터를 자국 내에서 수집·처리하면 법 적용
• 속인주의(Nationality Principle): 자국민의 정보에 대해 국가의 법률이 적용됨.
  • 예: 자국민의 개인정보가 해외에서 처리되더라도 보호 대상

실제 대부분 국가는 속지주의를 중심으로 하되, 특정 요소에서는 속인주의적 요소도 포함한 혼합형 모델을 택하고 있습니다.

2. 주요국 법제 비교

국가/지역 기본 원칙 속지주의 요소 속인주의 요소 특징

3. 해석과 실무적 시사점

• GDPR은 속지주의에서 출발하지만 'EU 시민 + EU 거주자' 중심으로 속인주의적 요소가 내포됨. 역외이전 요건이 대표적.
• 중국 PIPL은 국가 주권의 확장을 위해 속지주의를 강화한 특수한 케이스. ‘데이터의 주권적 자원화’가 특징.
• 대한민국은 아직까지는 속지주의 중심이나, 국제적 협력 과정이나 데이터 이전 규제에서 속인주의의 가능성이 늘어나는 추세.
• 기업 입장에서 속지주의 관점에서 현지 법을 우선 이해하되, 고객의 국적, 데이터 흐름, 역외 이전 여부에 따라 속인주의 적용 가능성도 점검해야 합니다.

결론

개인정보보호 법률의 적용범위를 이해할 때 "어디서 처리했는가?"(속지주의)와 "누구의 정보인가?"(속인주의)를 함께 고려하는 것이 중요합니다. 특히 글로벌 서비스, 클라우드 기반 비즈니스, 데이터 이전이 활발한 조직일수록 양자 관점의 통합적 이해가 필요합니다.

이 글은 ChatGPT를 이용해 작성했습니다.
내용에 대해서는 충분한 검수와 교정을 거쳤으니 내용에 대해 환각효과에 따른 위험을 우려하실 필요는 없습니다.
업계에 계시는 많은 분들의 의견을 언제나 환영합니다.

개인정보 업무를 하다 보면 자주 접하는 단어들이 있습니다.
바로 '옵트인(Opt-in)'과 '옵트아웃(Opt-out)'입니다.

처음에는 그냥 영어 표현처럼 들리지만, 이 두 가지 개념은 개인정보 보호 실무에서 매우 중요한 기준이 됩니다.
오늘은 이 개념들이 어떤 의미를 가지는지, 그리고 우리나라 개인정보보호법에서는 어떻게 적용하고 있는지 함께 정리해보겠습니다.

옵트인(Opt-in)과 옵트아웃(Opt-out)이란?

• 옵트인(Opt-in): 사용자가 명시적으로 동의해야 개인정보 수집이나 활용이 가능한 방식입니다.
  쉽게 말해, '나는 이걸 원해요'라고 직접 표시해야 수집·이용이 가능합니다.
• 옵트아웃(Opt-out): 사용자가 별도로 거부 의사를 표시하지 않으면 개인정보 수집·이용이 가능한 방식입니다.
  기본은 동의로 보고, 싫으면 "거부하겠습니다"라고 의사표시를 해야 합니다.

간단히 정리하면 다음과 같습니다.

구분 설명 예시

※ 주의: '옵트아웃' 방식은 무제한 허용되지 않으며, 엄격한 요건 하에서만 가능합니다.

개인정보보호법에서의 적용

우리나라 개인정보보호법은 '개인정보 자기결정권'을 핵심 가치로 삼고 있습니다.
따라서 개인정보를 처리할 때는 옵트인 방식을 원칙으로 요구합니다.

대표 적용 규정은 다음과 같습니다.

법 조항 주요 내용 적용 방식

이처럼 기본은 '옵트인', 예외적으로만 '옵트아웃'이 인정되는 구조입니다.

실무 예외: 가명정보 처리

가명정보를 통계작성, 과학적 연구, 공익적 기록 보존 목적으로 처리할 경우에는 별도 동의 없이 사용할 수 있습니다.
하지만 이 경우에도 정보주체에게 적절히 고지하고, 필요할 경우 거부할 수 있는 절차(옵트아웃)를 제공해야 합니다.

실무에서 주의할 점

특히 개인정보 수집 화면을 구성할 때 체크박스 설정은 매우 민감한 부분입니다.

• 옵트인: 체크박스는 초기 상태가 비활성화되어 있어야 하며, 사용자가 직접 체크해야만 동의가 성립합니다.
• 옵트아웃: 필요한 경우, 별도로 고지한 뒤, 사용자가 명확히 거부할 수 있도록 해야 합니다.

잘못된 예시

[v] 광고 수신 동의 (체크된 상태) → 위반 가능성 높음

올바른 예시

[ ] 광고 수신 동의 (비활성화된 상태)

실제 사례로 보는 중요성

• 한 이커머스 기업은 회원 가입 시 광고성 정보 수신을 미리 체크된 상태로 제공하여 과징금과 시정명령을 받았습니다.
• 또 다른 기업은 '동의하지 않으면 서비스 이용 제한' 같은 불합리한 조건을 붙였다가, 개인정보보호위원회의 제재를 받았습니다.

이처럼 '체크박스 하나' 때문에 발생하는 리스크가 결코 가볍지 않습니다.

요즘 AI 서비스에서의 옵트아웃 트렌드

최근 생성형 AI 서비스에서도 이용자의 데이터 활용에 대해 옵트아웃 선택권을 제공하는 사례가 늘고 있습니다.

• 예를 들어 딥시크, 오픈AI 등은 설정을 통해 "내 대화를 학습에 사용하지 않겠다"는 옵션을 제공합니다.
• 이는 정보주체의 자기결정권을 강화하려는 글로벌 흐름과 맞닿아 있습니다.

하지만, 초기 설정이 '수집 동의'로 되어 있거나, 옵트아웃 절차가 복잡할 경우 여전히 규제 이슈가 발생할 수 있어 주의가 필요합니다.

정리

• 개인정보보호법은 옵트인을 기본 원칙으로 합니다.
• 옵트아웃은 제한적으로만 인정되며, 대표적인 예외가 가명정보 처리입니다.
• 개인정보 수집 화면 설계, 동의 방식 고지, 거부권 보장 모두 꼼꼼히 신경 써야 합니다.
• 작은 실수 하나가 곧바로 '법 위반'으로 이어질 수 있으니, 항상 정보주체의 관점에서 설계하고 검토하는 것이 핵심입니다.

1. 시행령 제17조(동의를 받는 방법) 제1항 신설

이번 개정에서 가장 중요한 내용은 제1항제1호입니다.
자유로운 의사에 따라 동의여부를 결정할 수 없기 때문에 더이상 ‘필수동의’는 사용할 수 없습니다.
기존의 ‘필수동의’는 원칙적으로는 필요한 최소한의 범위에서 받아야 했지만 ‘동의 만능주의’에 따라 계약이나 서비스 이행에 불필요한 내용까지도 필수동의에 통합시켜 수집해온 경우가 상당히 많았습니다. 이번 개정과 이미 3월14일에 개정된 법 제15조제1항제4호에 따라 계약 이행에 필요한 정보는 수집 동의가 불필요해졌으며, 그 외의 정보는 정보주체가 선택적으로 동의할 수 있어야 합니다.

2. 시행령 제30조의2(공공시스템운영기관 등에 대한 개인정보 안전성 확보 조치 등 특례) 신설

제1항에 따라 공공시스템을 운영하는 공공기관은 개인정보의 안전성 확보조치 기준에 따른 조치 이외에 각호에서 요구하는 항목에 관한 조치를 추가로 해야 합니다. 시행령에서 요구하는 내용에 따라 공공시스템 운영기관은 공공시스템 운영기관의 공무원 뿐 아니라 공공시스템 이용기관의 공무원에 관해서도 관리를 해야 할 것으로 보입니다.
제2항의 경우 기존 안전성확보조치에서는 접근권한과 접속기록에 대해 점검하도록 하는 요구사항만 존재하였으나 여기에 접근권한이 없는 자가 접근한 경우 지체없이 정보주체에게 알리도록 하는 내용이 추가되었습니다.
접근권한에 관한 제어가 정상적으로 되어 있는 경우 권한이 없는자가 개인정보에 접근할 수 없어야 하며 따라서 정보주체에게 그 사실을 알리게 되는 경우가 없어야 할 것이나 제어 오류 등으로 인해 개인정보에 접근이 가능한 경우 결국 검토가 가능한 것은 로그시스템이며 이에 따라 개인정보 접속기록 검토 방안에 대해 다시한번 검토가 필요할 것으로 보입니다.

3. 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등) 제4항제4호 신설

공공시스템 운영기관의 경우 개인정보 보호책임자의 요건을 충족하는 사람을 개인정보 보호책임자로 임명해야 합니다.

개인정보보호법 2차 개정이 지난 9월 15일에 시행되었습니다.
이번 개인정보보호법 개정의 주요 골자가 그동안 특례조항으로 분리되었던 정보통신서비스제공자와 그 외의 개인정보처리자의 규제 통합인 만큼 분리되어 있었던 안전성 확보조치 고시인 개인정보의 안전성 확보조치 기준과 개인정보의 기술적 관리적 보호조치 기준 역시 통합되었습니다.

이에 따라 하위 고시인 개인정보의 기술적 관리적 보호조치 기준이 폐기되고 개인정보의 안전성 확보조치 기준으로 통합되면서 개정된 개인정보의 안전성 확보조치 기준이 9월 22일 시행되었습니다.

전체적으로 상당히 합리적인 변경이라고 생각됩니다.

크게 변경된 내용은 다음과 같습니다.

1. 이번 개정 고시에서 '이용자'에 대한 정의를 다시 한번 내렸습니다.(제2조 제2호)
기존 안전성 확보조치에서는 '정보주체', 기술적 관리적 보호조치에서는 '이용자'라는 명칭으로 보호대상을 정의했습니다만 비슷한 내용으로 기본적으로 보호대상인 개인을 '정보주체'로 표현하되 망분리 등 정보통신서비스제공자에게 적용되는 규제에 대해 '이용자'라는 용어를 이용해 정보주체 중 정보통신서비스를 이용하는 정보주체에 대해 분리했습니다.

2. 기존 안전성확보조치기준에서 유형2에 해당하는 소상공인, 개인, 단체에 대한 예외조항이 상당수 삭제되었습니다.(제4조 ~ 제6조)

3. 개인정보 내부관리계획에 취약점 점검에 관한 사항이 포함되어야 합니다.(제4조제1항제10호)

4. 고시의 일원화로 인해 정보통신서비스제공자의 경우 접근권한 부여 기록 보존기간이 5년에서 3년으로 축소되었습니다.(제5조제3항)

5. 개인정보취급자 계정 발급 시 '정당한 사유가 없는 한' 개인정보취급자별로 계쩡을 발급하도록 하여 공용계정을 발급할 수 있는 단서조항이 추가되었습니다.(제5조제4항)

6. 비밀번호 외에도 다양한 인증수단을 사용할 수 있도록 법령이 개정됨에 따라 비밀번호 작성규칙 등 비밀번호에 관한 규제가 삭제되었습니다.(제5조)

7. 망분리 의무 기준에서 매출액 기준은 삭제되고 이용자 수가 전년도 4/4분기 일평균 100만명 이상인 경우에만 망분리 의무를 지도록 변경되었습니다. 또한 클라우드가 활성화 됨에 따라 클라우드 서비스를 이용하는 경우 해당 클라우드 접속은 망분리 환경에서도 접속할 수 있도록 변경되었습니다.(제6조제6항)

8. 기존 안전성 확보조치에서는 고유식별정보 내부망 저장 시 영향평가 또는 위험도 분석에 따라 암호화 적용여부를 결정할 수 있었으나 주민등록번호는 내부망 저장시에도 반드시 암호화 하도록 변경되었습니다.(제7조제3항제2호)

9. 개인정보 접속기록의 별도 물리적 저장장치 백업 의무는 삭제되었으며 안전하게 보관하기 위한 조치를 취하면 됩니다.(제8조제3항)

10. 관리용 단말기의 안전조치에 관한 조항이 삭제되었습니다.(기존 제10조)
다만, 접근통제나 악성프로그램 방지 등의 내용은 다른 조항에서 규제하고 있으며 본래 목적 외로 사용을 금지한다는 내용만 삭제되었다고 볼 수 있습니다.

위 내용은 최종 고시된 내용을 기준으로 비교한 내용이며
7월 6일 최초 행정예고한 내용과도 상당부분 달라졌습니다.
첨부한 PDF 파일에는 초안에서 변경된 내용도 함께 기재했습니다.

검토서의 의견은 어디까지나 제 개인적인 의견으로 업무하시는데 참고용으로 사용하실 수는 있지만
법무검토를 받거나 개보위 질의를 통해 작성한 내용이 아니므로
이슈 발생 시 근거로 사용할 수 없음을 미리 알려드립니다.

1월 18일 뉴스입니다.

사이버 모의훈련 했더니... 45개사 중 40개가 홈페이지 취약점 발견돼 ①해킹메일 전송 후 대응 절차 점검 ②디도스(DDoS) 공격 및 복구 점검 ③기업의 홈페이지 및 서버를... 1배 이상 증가해 기업들이 사이버 위협에 인식과 대응능력 향상에 관심이 높아지고 있음을 알 수 있었다.해킹메...

[최정식 발행인 칼럼] 드론 공격에 대한 사이버보안 대책 마련해야 할 시점 드론의 경우, 제한된 자원으로 인해 보안을 고려한 설계가 부족하여 전파간섭이나 통신 교란, 해킹 등으로... 그리고 해킹에 의한 데이터 유출 및 탈취 등 보안 위협으로부터 드론 안전성을 확보하기 위해 ‘드론 보안인증...

공동주택에서 발생하는 개인정보 문제, 이렇게 해결하세요! 개인정보위, ‘공동주택 개인정보보호 상담사례집’ 발간 △사례1. 입주민 A씨가 아파트 관리사무소에 입주자대표회의 회의록 열람을 요청합니다. 제공해도 되는지요?‘동주택관리법’에 따라 입주자대표회의는...

크롬 기반 웹 브라우저들의 반란, “웹사이트들은 허락부터 받아라” 이로써 브라우저를 통해 침투하는 방식의 해킹 공격을 보다 어렵게 만들겠다는 게 앞으로 구글 크롬 보완의 가장 큰 방향이라고 한다.크롬 측은 이러한 변경 사항을 크롬 98부터 크롬 101까지 점진적으로 크롬...

[사설]망분리 규제, 이젠 거둘 때 많은 스타트업 기업은 정부가 해킹 방지 등을 위해 대형 금융사에 적용하는 '물리적 망분리'를 그대로... 물론 각종 정보 유출과 해킹 증가 등으로 강력한 보안 체계 구축이 필요하다. 다만 개발과 혁신을 막아서는 획일화된...

[ET톡]해 넘긴 개인정보보호법 개정안 개인정보보호법 전면개정안 처리가 해를 넘겼지만 진척이 없다. 지난해 규제개혁위원회, 법제처, 국무회의 등을 거치며 개정안이 절차적 정당성을 갖추고 국회로 넘어갔지만 감감무소식이다. 개정안은 국회 정무위원회...

<보안뉴스>

<IT소식>

2월 17일 뉴스입니다.

<보안뉴스>

<IT소식>

2월 9일 뉴스입니다.

<보안뉴스>

<IT소식>

2월 8일 뉴스입니다.

<보안뉴스>

<IT소식>

2월 4일 뉴스입니다.

<보안뉴스>

<IT소식>

<행사/교육소식>

1월 27일 뉴스입니다.

<보안뉴스>

<IT소식>