24. 개인정보보호법 개요 2

새로운 대상 규율

이동형 영상정보처리기기의 설치 및 운영 제한

이동형 영상정보처리기기

사람이 신체에 착용 또는 휴대하거나,이동 가능한 물체에 부착 또는 거치하여

사람 또는 사물의 영상 등을 촬영하거나 이를 유, 무선망을 통하여 전송하는 장치

- 착용형: 안경 또는 시계 등 사람의 신체나 의복에 착용

- 휴대형: 휴대전화기 또는 디지털 카메라 등 사람이 손쉽게 휴대

- 부착, 거치형: 차량이나 무인항공기 등 이동 가능한 물체에 고정적으로 부착 또는 거치

 

 

이동형 영상정보처리기기의 설치·운영 제한 (제 25조의 2)

업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기로 촬영은 일반적으로 금지(제1항)

사람 또는 그 사람과 관련된 사물의 영상(개인영상정보)을 촬영 금지

- 업무 목적: 개인정보처리자. 일반 개인은 제외

- (참고) 고정형 영상정보처리기기는 누구든지 공개된 장소에서 원칙적으로 설치운영 금지(제25조 제1항)

 

촬영이 허용되는 경우(제1항 제1호~제3호)

제15조(개인정보의 수집·이용) 제1항 각 호(제1호~제7호)의 어느 하나에 해당하는 경우

▲ 촬영 사실을 명확히 표시하여 정보주체가 촬영 사실을 알 수 있도록 하였음에도 불구하고

▲ 촬영 거부 의사를 밝히지 아니한 경우

▲ 이 경우 정보주체의 권리를 부당하게 침해할 우려가 없고 합리적인 범위를 초과하지 아니하는 경우로 한정

 

촬영 제한 구역

목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소

촬영 제한 구역임에도 촬영할 수 있는 경우: 인명의 구조·구급 등을 위하여 필요한 경우

 

이동형 영상정보처리기기 운영에 관한 사항 (제 4항)

제25조(고정형 영상정보처리기기의 설치·운영 제한)

- 제6항~제8항 준용 ▪ 제6항: 안전성 확보 조치(제29조)

- 제7항: 고정형 영상정보처리기기 운영·관리방침 (개인정보 처리방침)

- 제8항: 위탁 운영 가능

제25조 제5항은 준용에서 제외

- 이동형 영상정보처리기기는 기기의 임의 조작이나 녹음 기능 사용 가능

 

 

개인정보 전송 요구권 (제 35조의 2 ~ 제 35조의 4)

정보주체가 개인정보처리자에게 자신에 관한 개인정보를 본인 또는 개인정보관리 전문기관(또는 다른 개인정보처리자)에 전송해달라고 요구살 수 있는 권리

 

[신설] 개인정보의 전송 요구 (제 35조의 2)

전송 요구 대상 개인정보

- 정보주체의 동의를 얻어 수집한 개인정보(민감정보, 고유식별정보 포함)

- 필수 개인정보: 계약 체결 또는 계약의 이행을 위해 정보주체의 동의 없이 수집한 개인정보(제15조 제1항 제4호)

- 개인정보위가 전송 대상으로 의결한 개인정보

 

전송 요구권의 종류

 

[신설]개인정보관리 전문기관(제 35조의 3)

지정

- 개인정보위 또는 관계 중앙행정기관이 승인

업무

1. 개인정보의 전송 요구권(제35조의2)행사 지원

2. 정보주체의 권리행사를 지원하기 위한 개인정보 전송시스템의 구축 및 표준화

3. 정보주체의 권리행사를 지원하기 위한 개인정보의 관리 및 분석

4. 그 밖에 정보주체의 권리행사를 효과적으로 지원하기 위하여 대통령령으로 정하는 업무

지정 요건

1. 개인정보를 전송ㆍ관리ㆍ분석할 수 있는 기술수준 및 전문성을 갖추었을 것

2. 개인정보를 안전하게 관리할 수 있는 안전성 확보조치 수준을 갖추었을 것

3. 개인정보관리 전문기관의 안정적인 운영에 필요한 재정능력을 갖추었을 것

 

개인정보 전송 관리 및 지원(제 35조의 4)

전송 요구권을 시행하기 위해 개인정보위가 할 업무 규정

 

 

자동화 결정에 대한 정보주체의 권리 (제 37조의 2)

정보주체의 권리(제4조)

- 개인정보의 처리에 관한 정보를 제공받을 권리

- 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리

- 개인정보의 처리 여부를 확인하고 개인정보에 대한 열람(사본의 발급을 포함한다. 이하 같다) 및 전송을 요구할 권리

- 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리

- 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리

- [신설] 완전히 자동화된 개인정보 처리에 따른 결정을 거부하거나 그에 대한 설명 등을 요구할 권리

 

자동화 결정에 대한 정보주체의 권리(제 37조의 2)

자동화된 결정: AI 등을 적용한 완전히 자동화된 시스템으로 개인정보를 처리하여 이뤄지는 결정

- AI 기반 면접, 자기소개서 평가, 신용평가

정보주체의 권리

- 결정 거부권 결정을 거부할 수 있는 권리

- 설명 요구권 결정에 대한 설명 요구

- 예외) 제15조 제1항 제1호, 제2호, 제4호에 따라 이루어지는 경우

 

개인정보처리자의 의무

결정 거부, 설명 요구에 대한 개인정보처리자의 조치(제3항)

- 자동화된 결정을 적용 제외

- 인적 개인에 의한 재처리

- 설명

자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개 (제 4항)

- 개인정보 처리방침에 공개

 

 

서비스에 영향이 많은 개정

개인정보의 수집 및 이용 (제 15조)

필수 개인정보의 동의 없는 수집 가능 (제 4호)

- 개정 전: 정보 주체와의 계약의 채결 및 이행을 위하여 불가피하게 필요한 경우

- 개정 후: 정보 주체와의 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우

 

기타

5. [개정] 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 (제 5호)

7. [신설] 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

 

 

 

정보 주체의 동의를 받는 방법 (제 22조)

 

 

개인정보 유출 등의 통지 및 신고 - 통지

적용 조항

법 제34조(개인정보 유출 등의 통지·신고), 시행령 제39조(개인정보 유출 통지의 방법 및 절차)

 

정의

[개정] 개인정보 유출 등 개인정보가 분실, 도난, 유출

 

통지 요건

(1명 이상의 정보주체의) 개인정보가 유출 등이 되었음을 알게 되었을 때

 

통지 기한

[개정] 유출사실을 알았을 때 지체없이 – 정당한 사유가 없는 한 72시간 이내 (영 제39조 제1항)

[개정] [예외] 72시간이 넘어 통지할 수 있는 경우

- 유출 등이 된 개인정보 의 확산 및 추가 유출등을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출 등이 된 개인정보의 회수·삭제 등 긴급한 조치가 필요한 경우에는

그 조치를 한 후 지체 없이 정보주체에게 통지 가능(영 제39조 제1항)

 

통지 방법

- 개별 통지(서면 등의 방법)

- [예외] 연락처가 없으면 30일 이상 인터넷 홈페이지에 게시 (인터넷 홈페이지가 없으면, 사업장 등 보기 쉬운 장소에 30일 이상 게시)

 

통지 내용

다음 5가지를 정보주체에 통지

1. 유출 등이 된 개인정보의 항목

2. 유출 등이 된 시점과 그 경위

3. 유출 등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

4. 개인정보처리자의 대응조치 및 피해 구제절차

5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

[통지 내용 예외]

위 1 또는 2를 파악하지 못한 경우, 파악한 것과 3~5를 먼저 정보주체에 통지(우선 통지)하고, 나머지는 파악한 즉시 통지(추후 통지)

 

 

개인정보 유출 등의 통지 및 신고 - 신고

적용 조항

법 제34조(개인정보 유출 등의 통지·신고), 시행령 제40조(개인정보 유출 등의 신고)

 

정의

개인정보 유출 등 개인정보가 분실, 도난, 유출

 

신고 요건

- 개인정보 유출 등이 되었음을 알게 되었을 때 다음 중 하나에 해당하는 경우(영 제40조 제1항)

1. 1천 명 이상의 정보주체에 관한 개인정보가 유출 등이 된 경우

2. [신설] 민감정보, 고유식별정보가 유출 등이 된 경우

3. [신설] 외부로부터의 불법적인 접근에 의해 개인정보가 유출 등이 된 경우 (해킹에 의한 개인정보 유출 등)

- [신설] [예외] 신고하지 않을 수 있는 요건 정의

   개인정보 유출 등의 경로가 확인되어 해당 개인정보를 회수·삭제하는 등의 조치를 통해 정보주체의 권익 침해 가능성이 현저히 낮은 경우

 

신고 기한

[개정] 유출사실을 알았을 때 지체없이 - 정당한 사유가 없는 한 72시간 이내 (영 제40조 제1항)

72시간이 넘어 신고할 수 있는 예외 규정은 없음

 

신고 내용

통지 내용과 동일, 신고 내용 예외도 통지 내용 예외와 동일

 

신고처

개인정보보호위원회 또는 한국인터넷진흥원

 

 

업무 위탁에 따른 개인정보의 처리 제한 (제 26조)

 

 

개인정보 처리방침의 수립과 평가 (제 30조, 제 30조의 2)

개인정보 처리방침 수립 및 공개

개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침을 정하여야 한다.

이 경우 공공기관은 제32조(개인정보파일의 등록 및 공개)에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.

 

1. 개인정보의 처리 목적

2. 개인정보의 처리 및 보유 기간

3. 개인정보의 제3자 제공에 관한 사항

3의2. 개인정보의 파기절차 및 파기방법

3의3. 제23조 제3항에 따른 민감정보의 공개 가능성 및 비공개를 선택하는 방법 (신설)

4. 개인정보처리의 위탁에 관한 사항

4의2. 제28조의2 및 제28조의3에 따른 가명정보의 처리 등에 관한 사항(신설)

5. 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항

6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처

✓ 반드시 CPO의 이름을 적을 필요는 없음

7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)

✓ 쿠키에 대한 설명

8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

✓ 영 제31조(개인정보 처리방침의 내용 및 공개방법 등)

 

[신설] 개인정보 처리방침의 평가 및 개선권고(제 30조의 2)

평가 기준

1. 이 법에 따라 개인정보 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지 여부

2. 개인정보 처리방침을 알기 쉽게 작성하였는지 여부

3. 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부

 

평가 대상(영 제31조의2)

1. 개인정보처리자의 유형 및 매출액 규모

2. 민감정보 및 고유식별정보 등 처리하는 개인정보의 유형

3. 개인정보 처리의 근거 및 형태·방식

4. 개인정보 보호 법령 위반행위 발생 여부

5. 아동·청소년 등 정보주체의 특성

 

평가 기준 및 절차(영 제31조의 3)

 

평가를 위한 세부 절차 – 고시(예정)

 

 

정보 주체의 권리 보장(제 35조, 제 36조, 제 37조)

 

 

개인정보의 국외 이전 (제 3장 제 4절)

개인정보의 국외 이전 (제 28조의 8)

 

국외 이전 중지 명령 (제 28조의 9)

개인정보보호위에서 진행되는 개인정보 국외 이전에 대해 중지 명령을 내릴 수 있음

사전 예방 조치는 아님

 

- 국외이전중지의요건(제1항)

1. 국외 이전 가능 요건 위반(제28조의8 제1항 위반)

✓ 5가지 가능 요건 중 하나 이상 위반

2. 국외 이전 시 준수사항 위반(제28조의8 제4항 위반)

✓ 제17조(개인정보의 제공)

✓ 제18조(개인정보의 목적 외 이용·제공 제한)

✓ 제19조(개인정보를 제공받은 자의 이용·제공 제한)

✓ 제5장 정보주체의 권리 보장

3. 개인정보보호법을 위반하는 개인정보 국외 이전 계약 체결 금지 위반(제28조의8 제5항 위반)

4. 이전받는 자(기업 등)나 국가, 국제기구가 개인정보보호 수준이 적정하지 않아 정보주체에 피해가 발생하거나 발생할 우려가 현저한 경우

 

- 이의 제기(제2항)

국외 이전 중지 명령을 받은 날부터 7일 이내

 

- 시행령 규정(제3항)

개인정보 국외 이전 중지 명령의 기준(제1항)

불복 절차 등에 필요한 사항(제2항)