정보보안 이것저것

데이터 3법 개정사항(요약)

kevin oh 2020. 4. 15. 08:00

개인정보 보호법 개정안

○ 가명정보 도입 등을 통한 데이터 활용 제고

- 개인이 알아볼 수 없도록 안전하게 처리된 가명정보 개념 도입

- 가명정보는 통계작성, 과학적 연구, 공익적 기록보존 목적으로 정보주체의 동의없이 처리 허용

- 서로 다른 기업이 보유하고 있는 가명정보를 보안시설을 갖춘 전문기관에게 결합할 수 있도록 함

 

○ 동의없이 처리할 수 있는 개인정보의 합리화

- 수집 목적과 합리적으로 관련된 범위 내에서 대통령령이 정하는 바에 따라 개인정보의 추가적인 이용·제공·허용

 

○ 개인정보의 범위 명확화

- 개인정보 중 다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 정보의 판단 기준 신설

- 시간·비용·기술 등 모든 수단을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보(익명정보)의 법 적용 배제 명확화

 

○ 개인정보 보호체계 일원화

- ‘개인정보보호위원회국무총리 소속의 합의제 중앙행정기관으로 격상

- 행안부와 방통위의 개인정보 보호관련 기능 전부와 금융위의 일반상거래 기업 조사·처분권을 개인정보보호위원회로 이관해 감독기구 일원화

 

정보통신망법 개정안

○ 개인정보 보호 관련 사항은 ‘개인정보보호법’으로 이관

○ 온라인 상 개인정보 보호 관련 규제와 감독 주체 ‘개인정보보호위원회’로 변경
- 정보통신망법에 규정된 개인정보 보호에 관한 사항을 ‘개인정보보호법’으로 이관
- 온라인상의 개인정보 보호와 관련된 규제와 감독의 주체를 방통위에서 ‘개인정보보호위원회’로 변경

 

데이터 3법 시행령 개정안 입법예고(20200331)

 

-      개인정보의 추가적인 이용·제공( 14조의2)

개인정보처리자는 당초 개인정보를 수집했던 목적과 상당한 관련성, 수집한 정황과 처리 관행에 비춘 예측 가능성, 추가 처리가 정보주체나 제3자의 이익을 부당하게 침해하지 않을 것 등의 요건을 갖춘 경우 수집한 개인정보를 정보주체의 동이없이 추가로 이용 제공할 수 있게 된다.

이는 EU GDPR에서 수집 목적과 양립가능한 범위 내에서 추가 처리를 허용하는 요건과 유사한 내용으로, 추가로 동의를 받아야 했던 경직성을 완화할 수 있을 것으로 기대된다.

- 가명정보 결합 절차 및 전문기관 지정( 29조의2, 29조의3)

가명정보를 결합하고자 하는 개인정보처리자는 보호위원장 또는 관계 중앙행정기관의 장이 지정하는 전문기관에 결합신청서를 제출 할 수 있다.

전문기관이 가명정보를 결합해주면, 개인정보처리자는 전문기관내에 마련된 안전한 분석 공간에서 결합된 정보를 분석 할 수 있다.

- 가명정보의 안전성 확보조치( 29조의5)

○ 가명정보 처리 목적, 보유기간, 파기 등의 사항으로 기록으로 작성하여 보관하게 함으로써 안전성을 확보할 수 있도록 하였다.

 민감정보에 생체인식정보와 인종·민족정보를 포함하여 더욱 보호 될 수 있도록 하였다.

 

개인을 알아볼 목적으로 사용하는 지문·홍채·안면 등 생체인식 정보는 개인 고유의 정보로서 유출 시 되돌릴 수 없는 피해가 발생할 가능성이 커서 이를 별도로 규율할 필요가 있고, 인종·민족정보는 우리 사회가 다문화 사회로 변화함에 따라 처리 과정에서 개인을 차별하는 데 사용되지 않도록 보호할 필요성이 높아졌다. 이에 따라, 생체인식정보와 인종·민족정보를 민감정보에 새롭게 추가하여 별도로 정보주체의 동의를 받아서 처리하도록 하였다.

 

○ 데이터 3법 개정으로 온라인 상의 개인정보보호를 규율하던 정보통신망법의 개인정보 보호 규정이 개인정보 보호법으로 통합됨에 다라 정보통신망법 시행령 규정 중 위임근거가 사라진 조항들을 삭제하였다.

 

개인정보 보호법 시행 이후에는 정보통신서비스 제공자도 개인정보보호법을 적용받게 되며, 이관된 업무는 보호위에서 수행한다.

 

개인정보의 안전성확보조치 기준

법적 근거 : 개인정보보호법, 개인정보보호법 시행령

개인정보보호법(제23조)민감정보의 처리 제한

개인정보보호법(제24조)고유식별정보의 처리제한

개인정보보호법(제29조)안전조치의무

개인정보보호법 시행령(제21조)고유식별정보의 안전성 확보 조치


개인정보보호법 시행령(제30조)개인정보의 안전성 확보 조치

 

주요 내용 : 내부관리계획의 수립 시행

 

(제5조)접근 권한의 관리 – 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 해야한다. 

(제6조)접근통제 – 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지않는 경우에는 자동적으로 시스템 접속이 차단되도록 해야한다.

(제7조)개인정보의 암호화 – 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체를 통하여 전달하는 경우에는 이를 암호화 해야한다. 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다. 

 

(재8조)접속기록의 보관 및 점검 – 개인의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드 한 것이 발견되었을 경우에는 내부 관리계획으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다. 

(제9조)악성프로그램 등 방지 – 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지, 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트를 실시 해야한다. 

(제10조)관리용 단말기의 안전조치 – 관리용 단말기에 대해 개인정보처리시스템의 관리, 운영, 개발,보안 등의 목적으로 업무 처리를 하는 특정 직원 등에 한하여 접근을 허용하는 등 업무관련자 이외의 인가 받지 않는 사람이 관리용 단말기에 접근하여 임의 조작하지 못하도록 접근통제 등의 안전조치를 해야한다. 

(제11조)물리적 안전조치 – 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립·운영 해야한다. 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관 해야한다. 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련하여야 한다. 다만, 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 이를 적용하지 아니할 수 있다. 

(제12조)재난·재해 대비 안전조치 – 개인정보처리자는 화재, 홍수, 단전 등의 재해·재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검 해야한다. 개인정보처리자는 재해·재난 발생시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련 해야한다. 

(제13조)개인정보의 파기 – 개인정보처리자는 개인정보를 파기 할 경우 완전파괴, 전용 소각장비를 이용하여 삭제, 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 등 어느 하나의 조치를 해야한다.

출처 : 대한민국 정책브리핑, 국가법령정보센터