'보유기간 지나면 바로 파기'...개인정보보호법 시행령 개정안 입법예고

[아이뉴스24 김혜경 기자] 개인정보보호위원회가 개인정보 보유기간이 지나면 바로 파기하는 등 안전조치 기준을 온라인으로 일원화하는 것을 골자로 한 '개인정보 보호법 시행령' 개정안을 입법예고했다.

개인정보위는 시행령 개정안을 오는 19일부터 다음달 28일까지 입법예고한다고 18일 밝혔다.

이번 시행령 개정안은 지난 3월 14일 공포된 개인정보 보호법 2차 개정에 따른 후속 조치다. 내년 3월 15일 이후 시행 예정인 개인정보 전송요구권 관련 규정, 자동화된 결정에 대한 정보주체의 권리 등은 하반기 중 추가 입법 예고할 예정이다.

'정보주체의 자유로운 의사'에 따르도록 동의 원칙을 구체화하고, 정보주체가 동의 여부를 선택할 수 있다는 사실을 구분해 표시하도록 했다. 개인정보처리방침 평가 대상자를 선정한 후 개인정보처리방침을 이해하기 쉽게 수립해 공개하고 있는지 등을 평가‧개선할 수 있도록 구체화했다.

개인정보 안전조치 기준을 온라인 중심으로 일원화했다. 안전조치를 위한 다양한 기술이 도입될 수 있도록 특정 기술을 채택해야 하는 것으로 오인될 수 있는 용어를 삭제했다. 백신, 보안서버를 비롯해 '저장‧전송 시 암호화 외 암호화에 상응하는 조치' 추가 등이다.

정보주체가 정보통신서비스를 1년 이상 이용하지 않은 경우 파기하거나 별도 분리해 저장하도록 한 규정을 삭제했다. 목적이 달성되었거나 보유기간이 종료되면 지체없이 파기하도록 조치했다.

과징금이 위반행위에 비례해 산정되도록 기준을 개편했다. 위반행위 중대성 정도에 따라 현행 '3구간‧단일 비율 방식'에서 '4구간‧구간 내 차등 비율 방식'으로 전환했다. 산정기준은 모든 개인정보처리자와 개인정보 처리 업무를 위탁받은 수탁자까지 확대‧적용될 예정이다. 중대성 판단 기준은 ▲위반행위 내용‧정도 ▲개인정보의 유형과 정보주체에 미치는 영향 ▲정보주체의 피해 규모 등이다.

개인정보 유출 사실을 인지한 경우 ▲유출 개인정보가 민감정보 혹은 고유식별정보인 경우 ▲해킹 등 외부 불법적인 접근에 의한 유출인 경우 ▲1천명 이상인 경우에는 정당한 사유가 없는 한 72시간 이내에 신고하도록 했다. 정보주체에 대한 통지는 유출 규모와 무관하게 정당한 사유가 없는 한 72시간 이내에 이행해야 한다.

또 공공시스템 개인정보 유출로 인한 2차 피해를 막기 위해 공공시스템 운영기관에 대한 안전조치 특례도 신설했다.

고학수 개인정보위 위원장은 "정보주체 권리와 공공 부문 안전 조치는 강화하고 불합리한 규제는 정비하는 내용을 개정안에 담았다"며 "입법예고 이후에도 다양한 의견을 들어 시행령에 반영해 나갈 것"이라고 말했다.

김혜경 기자의 다른 기사 보기

• 개인정보보호법 개정안 본회의 통과…"마이데이터 전면 확대"

• "내 정보 제3자에 전송"…개인정보 보호법 개정안 9월 시행