 |
| 최영재〈법무법인 디라이트 변호사〉 |
업종과 무관하게 개인정보를 다루지 않는 기업은 없다고 해도 과언이 아니다. 이용자들의 생활패턴·기호·건강정보 등 계량화하기 어려운 정보를 기반으로 한 서비스 제공자라면 자칫 법위반을 지적받거나 시정조치를 요구받을 수 있다. 특히 개인정보 처리엔 민감할 수밖에 없다.
이번엔 내년 3월15일 시행 예정인 2차 개인정보 보호법 개정안에 대해 살펴보자.
2차 시행안에는 정보주체의 권리로서 완전히 자동화된 개인정보 처리에 따른 결정을 거부하거나 설명을 요구할 권리를 명시하고 있다. 예를 들어 보험가입이나 대출 과정을 AI에 의해 대체하는 경우를 의미한다.
만약 정보주체가 자동화된 결정을 거부하거나 설명을 요구한 경우 자동화된 결정을 하지 않거나 사람의 노력으로 재처리하는 등 필요한 조치를 취해야 한다는 원칙을 정했다. 또한 이때 개인정보처리자는 정보주체가 쉽게 확인할 수 있도록 자동화된 결정의 기준과 절차, 처리 방식 등을 공개해야 한다.
손해배상을 위한 조항 역시 체계상 약간 변경이 있었다. 현행법에선 정보통신서비스 제공자에 관해 제6장에서 별도로 정하면서 손해배상 보장 조항을 두고 있었다. 2차 시행안에선 모두에게 적용되는 방향으로 조항 체계가 정비되면서 내용도 보다 구체화됐다. 매출액, 개인정보 보유 규모 등 일정 기준에 해당하는 개인정보 처리자에게 보험이나 공제 가입, 준비금 적립의무가 부과된다. 조항 취지는 기존과 동일하나 정보통신서비스 제공자가 아닌 오프라인 사업자에게도 모두 적용된다는 점이 특기할 만하다. 다만 공공기관이나 비영리법인, 소상공인 중 법에서 정한 자에게 개인정보 처리를 위탁한 자는 예외다.
개정안에서 새로 도입된 개인정보 전송요구권도 살펴볼 필요가 있다. 개인정보 전송요구권은 본인 또는 제3자에게 보내는 권리로 구분된다. 제3자에게로의 전송요구권은 그 제3자가 법에서 정한 개인정보관리 전문기관이거나 혹은 법정 시설 및 기술 수준을 충족하는 경우에 한 해 인정된다. 다만 개인정보 처리자는 정보주체의 본인 여부가 확인되지 않는 등 일정 사유가 있는 경우 전송 요구를 거절하거나 전송을 중단할 수 있다.
개인정보관리 전문기관과 그에 부대한 조항 역시 2차 시행안에 포함돼 있다. 개인정보관리 전문기관은 개인정보 전송요구권 행사 지원, 개인정보 전송시스템 구축 및 표준화, 개인정보 관리 및 분석, 기타 정보주체의 권리행사 지원 업무를 수행하는 기관이다. 개인정보보호위원회 또는 관계 중앙행정기관의 장으로부터 기술 수준, 전문성, 안전성 확보 조치 수준, 재정능력 등의 심사를 거쳐 지정을 받은 곳에 한정된다. 당연히 이런 전문기관은 개인정보 전송을 강요 또는 부당하게 유도하는 행위를 해선 안 된다. 전문기관 특성을 고려한 비밀유지 의무 역시 2차 시행안에 반영됐다.최영재〈법무법인 디라이트 변호사〉
이번엔 내년 3월15일 시행 예정인 2차 개인정보 보호법 개정안에 대해 살펴보자.
2차 시행안에는 정보주체의 권리로서 완전히 자동화된 개인정보 처리에 따른 결정을 거부하거나 설명을 요구할 권리를 명시하고 있다. 예를 들어 보험가입이나 대출 과정을 AI에 의해 대체하는 경우를 의미한다.
만약 정보주체가 자동화된 결정을 거부하거나 설명을 요구한 경우 자동화된 결정을 하지 않거나 사람의 노력으로 재처리하는 등 필요한 조치를 취해야 한다는 원칙을 정했다. 또한 이때 개인정보처리자는 정보주체가 쉽게 확인할 수 있도록 자동화된 결정의 기준과 절차, 처리 방식 등을 공개해야 한다.
손해배상을 위한 조항 역시 체계상 약간 변경이 있었다. 현행법에선 정보통신서비스 제공자에 관해 제6장에서 별도로 정하면서 손해배상 보장 조항을 두고 있었다. 2차 시행안에선 모두에게 적용되는 방향으로 조항 체계가 정비되면서 내용도 보다 구체화됐다. 매출액, 개인정보 보유 규모 등 일정 기준에 해당하는 개인정보 처리자에게 보험이나 공제 가입, 준비금 적립의무가 부과된다. 조항 취지는 기존과 동일하나 정보통신서비스 제공자가 아닌 오프라인 사업자에게도 모두 적용된다는 점이 특기할 만하다. 다만 공공기관이나 비영리법인, 소상공인 중 법에서 정한 자에게 개인정보 처리를 위탁한 자는 예외다.
개정안에서 새로 도입된 개인정보 전송요구권도 살펴볼 필요가 있다. 개인정보 전송요구권은 본인 또는 제3자에게 보내는 권리로 구분된다. 제3자에게로의 전송요구권은 그 제3자가 법에서 정한 개인정보관리 전문기관이거나 혹은 법정 시설 및 기술 수준을 충족하는 경우에 한 해 인정된다. 다만 개인정보 처리자는 정보주체의 본인 여부가 확인되지 않는 등 일정 사유가 있는 경우 전송 요구를 거절하거나 전송을 중단할 수 있다.
개인정보관리 전문기관과 그에 부대한 조항 역시 2차 시행안에 포함돼 있다. 개인정보관리 전문기관은 개인정보 전송요구권 행사 지원, 개인정보 전송시스템 구축 및 표준화, 개인정보 관리 및 분석, 기타 정보주체의 권리행사 지원 업무를 수행하는 기관이다. 개인정보보호위원회 또는 관계 중앙행정기관의 장으로부터 기술 수준, 전문성, 안전성 확보 조치 수준, 재정능력 등의 심사를 거쳐 지정을 받은 곳에 한정된다. 당연히 이런 전문기관은 개인정보 전송을 강요 또는 부당하게 유도하는 행위를 해선 안 된다. 전문기관 특성을 고려한 비밀유지 의무 역시 2차 시행안에 반영됐다.최영재〈법무법인 디라이트 변호사〉
최영재 법무법인 디라이트 변호사 기자
영남일보(www.yeongnam.com), 무단전재 및 수집, 재배포금지
