개인정보 보호법 일부개정법률안(이하 “개정법”)이 2023. 2. 27. 국회 본회의를 통과 하였습니다. 개정법은 공포 후 6개월이 경과한 날부터 시행될 예정입니다. 다만, 일부 규정은 공포된 후 1년이 경과한 날부터, 개인정보 전송요구권에 관한 규정은 공포된 후 1년이 경과한 날부터 공포 후 2년이 넘지 않는 범위에서 시행령으로 정하는 날부 터 시행될 예정입니다.
개정법은, (1) 개인정보 전송요구권, 자동화된 결정에 대한 거부 및 설명요구권 등 정 보주체의 권리를 확대하고, (2) 정보통신서비스 제공자에게 적용되던 특례규정을 일 반화하였으며, (3) 동의없이 개인정보를 수집·이용할 수 있는 요건 다양화 등 개인정 보 처리 요건을 정비하는 등의 많은 개정 내용을 담고 있습니다.
금융회사의 경우 고객 데이터 처리에 있어서 신용정보의 이용 및 보호에 관한 법률 (이하 “신용정보법”)이 개인정보 보호법에 우선 적용됩니다. 그러나 신용정보법에서 개인정보 보호법의 관련 규정을 준용하는 경우가 많고 개인정보 보호법이 개인정보 보호에 관한 일반법이므로 개인정보 보호법에서 정하고 있는 사항도 함께 준수하는 경우가 일반적입니다.
이하에서는, 개정사항 중 금융회사에서도 참고하여야 할 내용을 정리하였으니 관련 내 용을 확인하여 미리 대비할 사항이 있을지 점검해볼 필요가 있을 것으로 생각됩니다.
1. 개인정보 전송요구권 보장(제35조의2)
정보주체의 개인정보 관리·통제권을 강화하기 위해 본인에 관한 개인정보를 본인 또 는 제3자(개인정보처리자 또는 개인정보관리 전문기관)에게 전송할 것을 요구할 수 있는 권리인 “개인정보 전송요구권”을 도입했습니다.
전송요구권에 따라 개인정보를 제공해야 하는 개인정보처리자의 범위, 정보를 수신 하는 자가 충족하여야 하는 시설 및 기술 기준 등은 시행령으로 정해질 예정입니다.
한편, “개인정보관리 전문기관”을 도입하여, 개인정보 보호위원회 또는 관계 중앙행 정기관의 장으로부터 지정을 받은 개인정보관리 전문기관은 정보주체의 전송요구권 행사를 지원하기 위한 개인정보의 관리·분석 등의 업무를 수행하도록 하였습니다.
전송요구권 도입은 전 분야 '마이데이터' 서비스 도입을 위한 선결조건으로서 제도적 기반이라고 해석되고 있습니다. 따라서 현재 마이데이터 서비스를 제공하고 있거나 제공 예정인 금융회사는 본 규정과 관련된 시행령이 어떻게 정해지 는지를 계속 확인할 필요가 있습니다. 또한, “개인정보관리 전문기관”의 구체적인 역할이 어떻게 정립될지 및 전 분야 마이데이터 서비스를 제공하기 위하여 전문기관 지정을 받을 필요가 있을지 또는 별도의 라이선스가 필요할지 등에 대 해서 지속적으로 논의과정을 확인할 필요가 있습니다.
2. 정보통신서비스 제공자 등에 대한 특례 삭제
개정법에서는 관련 특례 규정을 삭제하여 개인정보처리자와 정보통신서비스 제공자 등으로 이원화되어 있던 법 체계를 모든 개인정보처리자에 대한 일반규정으로 정비하였습니다.
1) 개인정보 유효기간 제도 관련 규정 삭제
정보통신서비스를 1년의 기간 동안 이용하지 아니한 이용자의 개인정보를 파기 또는 분리보관하여야 규정이 삭제 되었습니다.
2) 동의없이 국외이전이 가능한 요건 확대 및 이전 중지 명령권 신설(제4절)
정보주체로부터 별도의 국외이전 동의를 받는 경우 이외에도 개인정보가 이전되는 국가가 이 법에 따른 개인정보 보 호 수준과 동등한 보호수준을 갖추었다고 개인정보 보호위원회가 인정하는 경우 등에는 동의없이 개인정보의 국외 이전이 가능하도록 국외이전 요건을 다양화하였습니다.
3) 개인정보 이용 내역 통지 규정 정비(제20조의2)
대통령령으로 정하는 기준에 해당하는 “정보통신서비스 제공자 등”에만 부여되던 이용 내역 통지의무를 대통령령으 로 정하는 기준에 해당하는 모든 개인정보처리자에게 적용되는 것으로 규정을 정비하였습니다.
앱 또는 웹을 통해 디지털금융 서비스를 제공하는 금융회사는, 현행 개인정보 보호법 제6장 “정보통신서비스 제공 자 등의 개인정보 처리 등 특례”에 따라 일부 엄격한 의무들을 준수하여 왔습니다.
개정법에 따르면, 1) 앱서비스에 1년동안 로그인하지 아니한 이용자의 개인정보를 분리·보관할 의무가 없어질 것으로 보입니다. 또한 2) 회사가 개인정보 이용·제공내역 통지 대상에 해당하는지 여부를 판단하는 기준도 변경될 것으로 보 입니다. 이는 추후 시행령을 통해 정해질 예정입니다. 3) 앱·웹서비스를 통해 처리하는 개인정보의 국외이전에 대해서 도 동의없이 이전이 가능한 경우가 확대될 것으로 보입니다. 따라서 금융회사에서 제공하는 디지털금융 서비스와 관련 한 고객정보 처리와 관련하여 어떠한 변화가 필요할지 관련 하위규정이 정비되는 과정을 확인해볼 필요가 있습니다.
3. 개인정보 처리 요건 개정
1) 동의없이 개인정보를 수집·이용할 수 있는 요건 개선(제15조)
개정법에서는 동의없이 개인정보를 수집이용할 수 있는 요건을 개선하였습니다.
개인정보처리자가 정보주체와 계약 체결 및 이행을 위하여 불가피하게 필요한 경우에만 동의없이 개인정보를 수집· 이용할 수 있도록 하던 것을, 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 동의없이 개인정보를 수집·이용할 수 있도록 하여 예외사유의 범위를 확 대하였습니다.
또한, 정보주체의 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익 을 위하여 필요하다고 인정되는 경우에만 동의없이 개인정보를 수집·이용할 수 있도록 하던 것을, ‘사전 동의를 받을 수 없는 경우’가 아니더라도 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 경우에 는 동의없이 개인정보를 수집·이용할 수 있도록 하여 예외사유를 확대하였습니다.
이외에도 “공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우”를 새로운 예외사유로 추가하였습니다.
2) 민감정보의 공개 가능성 고지(제23조 제3항)
개인정보처리자가 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개 를 선택하는 방법을 정보주체에게 알리도록 하였습니다.
신용정보법 상의 개인신용정보 수집시의 동의 예외사유에 “「개인정보 보호법」 제15조제1항제2호부터 제6호까지 의 어느 하나에 해당하는 경우”를 포함하고 있으므로 개정법에 의해 금융회사가 동의없이 개인신용정보를 수집·이 용할 수 있는 사유의 범위도 확대될 것으로 보입니다.
또한, 개정법 시행 이후에는 앱 또는 웹을 통한 디지털금융 서비스를 제공하는 과정에서 고객의 민감정보가 공개될 가 능성이 있다면 사전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 고객에게 알려야 할 것으로 보입니다.
본 뉴스레터는 개정법의 내용 중 특히 금융회사가 관심을 가질 필요가 있는 내용을 정리한 것이므로 전체 개정 내용의 일부만을 설명하고 있습니다. 따라서, 이외의 개정 내용도 확인할 필요가 있습니다. 또한 개정 내용의 많은 부분이 추후 시행령에서 정해질 예정이므로 이후의 경과에 주목하실 필요가 있습니다.
