프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2016.11.01 – 9.23일 망법개정안 입법예고! 기업이 대처해야 할 3가지 주요변화

목록

Privacy Report
2016.11
정보통신망법 입법예고 원문보기
2016.09.23. 방송통신위원회 공고 제016-56호
정보통신망법 일부개정안
입법예고에 따른 변화
기업이 대처할 3가지 주요 변화
기업이 대처할 기타 주요 변화
1
서비스 개선에 관하여는 이용자의 추가 동의 불요
완화
3
개인정보 처리정지 요구권 신설
강화
2
개인정보 수집 /이용 /제3자 제공 사전동의 예외 확대
완화
2
부정한 목적으로 개인정보를 수집할 경우만 형사처벌
완화
3
개인정보 국외이전시 사전동의에 대한 예외 사유 추가
완화
<부정하게
수집된 점을 알면서
개인정보를
제공받은 자> 처벌
강화
주요변화2
주요변화1
<개인정보
유상제공여부>를
알리고
동의받을 의무 신설
강화
강화
주요변화3
국외 재이전되는
개인정보
보호조치
강화
기업은 어떻게 대처해야하는가?
개인정보 수집/이용 및 제3자 제공시 의무 변화
서비스 개선에
관하여는
추가동의 불필요
개인정보 수집 /이용
및 제3자 제공시
사전동의 예외 추가
개인정보 유상제공
여부를 알리고
동의받을 의무 신설
(기존 서비스와 합리적인
관련성이 있는 기능추가 등)
서비스 개선
의 경우는
개인정보
수집/이용 목적의
변경 사항으로 보지않아
이용자의 추가 동의가
필요하지 않음
22조 ①항 단서
사전동의를 받을 수 없고 급박한
생명/재산의 이익을 위해 필요한 경우
22조 ②항 3호
이용자의 개인정보자기결정권
강화를 위한 개정으로서
이용자가 유상판매 여부를
인지할 수 있도록
사업자가 이용자에게
유상여부를 고지하도록 하고
이를 확인한 후 이용자가
동의여부를 선택
24조의2 ①항 5호
개인정보보호법과의 통일성을
위한 개정으로서 계약체결 및
이행을 위해 불가피한 경우
22조 ②항 1호
제3자 제공시에도 동일
24조의2 ①항
<대처> 기업은 약관/개인정보처리지침/개인정보 제공동의서 등에
제3자 유상제공 여부를 명시해야 함
부정하게 수집된 점을 알면서 개인정보를 제공받은 자 처벌
현행법상 제공받은 자에 관하여는 처벌 규정이 없었으므로
개정안에서 부정한 방법으로 개인정보
가 수집된 점을 알면서도
영리 또는 부정한 목적으로 개인정보를 제공받은 자에 대하여도 벌칙이
신설됨
71조 ①항 1호
주요변화1
주요변화2
<대처> 내부직원들이 ‘부정한 방법으로 수집된 개인정보를 영리
또는 부정한 목적으로 제공’ 받고있지 않는지 주기적으로 관리
개인정보 처리정지 요구권 신설
기존 동의철회권에 비하여 자기결정권 측면에서 강화된 개인정보 처리정지 요구권을 신설해야 함.
기업은 처리정지 절차를 표시/고지하여야 하고, 처리정지 거부시 지체없이 거절통지를 해야 함.
30조
<대처> 기업은 개인정보처리지침 등에 철회권 및 철회절차를 명시하고
처리정지절차 매뉴얼을 구비해야 함
개인정보 국외이전 동의 예외 사유 및 재이전시 의무사항 확대
개인정보 국외이전
사전동의 예외사유 추가
개인정보 국외이전은
원칙적으로
이용자의 동의를 요하고,
예외적으로 법률 및 국제협정에
특별한 규정이 있는 경우,
계약의 체결/이행을 위하여
필요한 경우,
국외이전받는 자가
방통위가 지정하는 인증을
받은 경우에 대해서는
이용자의 동의를 요하지 않음
63조 ③항
1
국외 재이전되는
개인정보 보호
2
국외이전된 개인정보가
재이전하는 경우에도
국외이전시
개인정보보호 규정이
동일하게 적용. 따라서
원칙적 동의가 필요하며,
기술적/관리적
보호조치 의무 등
규정이 적용됨.
정보를 재이전하는 자 및
재이전받는 자도
개정안의 적용을 받는
행위의무자로 규정됨
63조 ⑥항
국외이전 중단명령
및 벌칙규정 신설
3
개인정보보호가
저해될 우려가 있는 경우
방송통신위원회가
국외이전/재이전을
중단하는 명령을 할 수 있고
이를 불이행하는 경우
형사처벌 가능
63조 ⑦항
73조 9호
부정한 목적으로 개인정보를 수집할 경우만 형사처벌
개정안은
거짓이나 그 밖의 부정한 수단/방법으로 개인정보를 수집한 경우
에만
형벌이 적용되도록 하여 형사 처벌의 범위를 합리화함
71조 ①항 1호
주요변화3
<대처> 기업은 개인정보 국외이전 업무처리시 계약서 등에
개인정보 보호조치를 강제하는 문구를 명시해야 함
조항
개정여부
변경내용
의의
유의할 점
제재조치
22조
개인정보의
수집/이용
동의 등
신설
① 정보통신서비스 제공자는
이용자의 개인정보를 이용하려고
수집하는 경우에는
다음 각 호의 모든 사항을
이용자에게 알리고 동의를 받아야 한다.
다음 각 호의 어느 하나의 사항을
변경하려는 경우에도 또한 같다.
다만, 제1호의 개인정보의
수집/이용 목적과 관련하여
기존 서비스와 합리적인 관련성이 있는
기능 추가 등 서비스의 개선은
목적변경으로 보지 않는다.
서비스 개선은
추가적인 동의가
필요하지 않음
기존 서비스와
합리적인
관련성이 있는
기능의
해석범위에 관해
논란의
여지가 있음
개정안 71조
벌칙에 의해
5년 이하의 징역
또는
5천만원 이하의
벌금 부과
개정
② 1. 정보통신서비스의 제공에 관한
계약을
체결 또는 이행하기 위하여
불가피하게 필요한 경우
개인정보보호법
15조 4호와 통일
신설
② 3. 이용자 또는 그 법정대리인이
의사표시를 할 수 없는 상태에 있거나
주소불명 등으로 사전 동의를
받을 수 없는 경우로서
명백히 이용자 또는 제3자의
급박한 생명, 신체, 재산의
이익을 위하여
필요하다고 인정되는 경우
(기존 3호는 4호로 변경되고
3호에 위 조항 신설)
개인정보보호법
15조 5호와 통일
22조
개인정보의
제공
동의 등
신설
① <정보통신서비스 제공자가
이용자의 개인정보를 제3자에게
제공하는 경우 동의 받을 사항>
5. 개인정보 유상 제공 여부
정보주체의
자기결정권 강화,
이용자가 유상판매
여부를 인지하여
제3자 제공
동의여부를 선택하게 됨
정보통신서비스
제공자는 약관,
개인정보처리방침,
개인정보 제공동의서
등에 본 항목을
추가하여야 함
25조
개인정보의
처리위탁
개정
개인정보의 처리위탁에 관한 사항을,
(현 행) 정보주체에게 모두 알리고
동의를 받도록 함
(변경안)
대통령령이 정하는 방식으로
정보주체에게 알리고
이를 개인정보 처리 방침에
공개하도록 함
개인정보보호법
26조 ②항과 통일
2천만원 이하
과태료
76조 ②항 1호
개정안 세부내용 분석 및 기업의 대응방안
(파란색 텍스트 : 신설 or 추가된 규정)
조항
개정여부
변경내용
의의
유의할 점
제재조치
30조
이용자의
권리 등
신설
① 이용자는
정보통신서비스 제공자등에 대하여
언제든지
개인정보 처리의 정지를
요구할 수 있다.
개인정보 수집/이용/제공 등의
동의 철회 요구
→ 개인정보 처리의 정지 요구
개인정보보호법
37조의 개인정보
처리정지 요구권에
상응하여 규정개정,
현행법상 동의예외
규정에 해당하여 동의를
받지 않고 개인정보를
수집한 경우 철회 규정이
적용되기 어려운 점을
개선하는 취지
약관 및 개인정보
처리방침의
개인정보 철회규정을
개인정보 처리정지
요구권을 수정하여야
하고 이용자에게
정보처리 요구방법
등에 관하여
안내하여야 함
신설
② 정보통신서비스 제공자등은
이용자가 ①항에 따라
처리의 정지를 요구하였을 때는
지체없이 그 요구에 따라
개인정보 처리의 전부 또는 일부를
정지하여야 하고, 처리가 정지된
개인정보를 복구/재생할 수 없도록
파기하는 등 필요한 조치를 하여야 한다.
다만, 다음 각 호의 어느 하나에
해당하는 경우에는 그 처리정지 요구를
거절할 수 있다.
1. 법률에 특별한 규정이 있거나
법령상 의무를 준수하기 위하여
불가피한 경우
2. 다른 사람의 생명/신체를
해할 우려가 있거나 다른 사람의
재산과 그 밖의 이익을
부당하게 침해할 우려가 있는 경우
3. 개인정보를 처리하지 아니하면
계약의 이행이 곤란한 경우로서
이용자가 그 계약의 해지의사를
명확하게 밝히지 아니한 경우
4. 정보통신서비스의 제공에 따른
요금정산을 위하여 필요한 경우
(기존 ②항은 ⑤항으로 변경)
②항 각 호의
경우에 해당하는
경우가 아닌 이상
지체없이
개인정보 처리를
정지할 의무 신설
위반행위를 한 자
및 그러한 행위를
하도록 한 자에게
3천만원 이하
과태료 부과
76조 ①항 5호
신설
③ 정보통신서비스 제공자등은
②항 단서에 따라 처리정지 요구를
거절하였을 때에는 이용자에게
지체 없이 그 사유를 알려야 한다
개인정보 처리정지
요구에 관한
거절사유를 지체없이
통지할 의무를
부과하면서
본 의무에 관하여
과태료 부과 규정을
신설함
본 과태료
부과 규정 대상인
행위자 범위확대:
30조 ⑨항의
영업양수자,
67조의
방송사업자
위반시
2천만원 이하
과태료 부과
76조 ②항
6호
이용자의 범위:
31조 ③항의
아동 이용자의
법정대리인의
개인정보 처리정지,
열람, 제공 또는
오류정정 요구에
관하여도
본 조항 적용
조항
개정여부
변경내용
의의
유의할 점
제재조치
30조
이용자의
권리 등
신설
④ ①항부터 ③항까지의 규정에 따른
처리정지의 요구, 처리정지의 거절,
통지 등의 방법 및 절차에
필요한 사항은 대통령령으로 정한다.
개정
⑧ (현행 ⑥항) 정보통신서비스
제공자등은 ①항에 따른
처리의 정지 또는 ⑤항에 따른
개인정보의 열람/제공 또는 오류의
정정을 요구하는 방법을
쉽게 알 수 있도록 표시하거나
고지하여야 한다.
현행법은 열람 및
오류 정정요구방법
자체가 쉬워야 한다고
규정하는 것으로
해석되나 개정안은
요구 방법이 공개되어
쉽게 그 방법을
찾을 수 있도록
하라는 취지로 해석됨
개인정보보호법과
구별되는 신설 규정
위반행위를 한 자
및 그러한 행위를
하도록 한 자에게
76조 ①항
5호에 따라
3천만원 이하
과태료 부과
개인정보 열람/제공
또는 오류의 정정
요구방법을 표시
또는 고지하여야 함
63조
국외이전
개인정보의
보호
개정
① 정보통신서비스 제공자등은
이용자의 개인정보를 국내에서
외국으로 이전하여 처리
(국외이전이라 한다)
하고자 하는 경우에는
이용자의 동의를 받아야 한다.
개인정보보호법
17조 ③항 관련 규정
위반행위와 관련한
매출액의
100분의3 이하에
해당하는
과징금 부과
64조의3 ①항 8호
개정
② 정보통신서비스 제공자등은
①항에 따른 동의를 받으려면
미리 다음 각 호의 사항 모두를
이용자에게
알리고 공개하여야 한다.
1. 국외 이전되는 개인정보 항목
2. 개인정보가 이전되는 국가 및
이전시기
3. 개인정보를 이전받는 자의 성명
(법인인 경우에는 그 명칭 및 연락처)
4. 개인정보를 이전받는 자의
개인정보 이용목적 및 보유/이용기간
개정안에서 삭제된
현행법 ②항은 이용자
편의증진을 위해
각 호를 이용자에게
알린 경우 동의의무를
면제하고 있었음.
위 규정이 삭제됨에
따라 동의의무
면제사유에는
이용자 편의 증진이
해당되지 않음
②항 2호에서
이전 방법이
삭제됨에 따라
이전방법에 관하여는
더 이상
공개할 필요 없음
2천만원 이하
과태료
76조 ②항 5호
현행법에는
이용자에게
고지 또는 동의를
얻으면 되었으나,
개정안은 공개의
개념이 추가됨.
따라서 이용자에게
일회성 고지만 하는
것으로 그칠 것이
아니라 언제든지
이용자가 원하면
알 수 있도록
공개하여야 함
조항
개정여부
변경내용
의의
유의할 점
제재조치
63조
국외이전
개인정보의
보호
신설
③ 정보통신서비스 제공자등은
다음 각 호의 어느 하나에
해당하는 경우에는 제1항에도 불구하고
이용자의 동의 없이 개인정보를
국외이전할 수 있다.
1. 법률 혹은 대한민국을 당사자로 하는
조약, 그 밖의 국제협정에 국외이전에
관한 특별한 규정이 있는 경우
2. 계약의 체결 또는 이행을 위하여
불가피하게 필요한 경우로서
②항 각 호의 사항을 이용자에게
대통령령으로 정하는 방식으로
알리고 이를 개인정보처리방침에
공개한 경우
3. 개인정보를 국외이전받는 자가
47조의3에 따른 개인정보보호
관리체계의 인정 등 방통위가
지정하는 인정을 받은 경우
국외이전 사전동의
예외 사유 추가
개정
④ ①항 또는 ③항 2호에 따라
개인정보를 국외이전하는 경우에
개인정보를 국외이전받는 자
대통령령으로 정하는 보호조치를
하여야 한다.
국외이전받는 자를
의무의 주체로
명확하게 규정함
3천만원 이하
과태료 부과
73조 ①항
11의 2호
⑥ 개인정보를 국외이전받은 자가
국외이전된 이용자의 개인정보를
제3국으로 이전하는 경우에도
①항부터 ⑤항까지를 준용한다.
이 경우 정보통신서비스 제공자등은
개인정보를 국외이전받은 자로,
개인정보를 국외이전받은 자는
제3국에서 개인정보를 이전받은 자로
본다.
국외이전된 개인정보를
재이전하는 경우도
국외이전과 동일하게
원칙적으로 동의를
받도록 하고,
기술적/관리적
보호조치 의무를
부담하도록 함
개정안이 시행되면
사업자간 개인정보
국외 이전 계약시
개인정보보호 의무를
계약내용에 반드시
포함하여 리스크를
관리 해야 함
본 항의 준용에
의하여 ①항부터
⑤항까지의
의무 위반시
동일한 제재조치
부과됨
⑦ 정보통신서비스 제공자등
(외국에서 우리나라 이용자의 개인정보를
이전받아 처리하는 자를 포함한다)
이용자의 개인정보에 관하여
이 법을 위반하여 개인정보를
국외이전
(제3국으로의 이전을 포함한다)
함으로써 이용자의 권리가 심각하게
침해될 우려가 있다고 판단되는 경우에
방송통신위원회는 해당 국외이전의
중단을 명령할 수 있다.
방송통신위원회의
중단명령 근거규정
신설
명령 불이행시
73조에 따라
2년 이하 징역 또는
2천만원 이하
벌금 규정 신설
위반시
2년 이하 징역 또는
2천만원 이하 벌금
73조
⑨항
조항
개정여부
변경내용
유의할 점
제재조치
71조
벌칙
개정/
신설
① 1. 22조 ①항
(67조에 따라 준용되는 경우를 포함한다)
위반하여 이용자의 동의를
받지 아니하고 개인정보를 수집한 자
→ (생략) 위반하여
거짓이나
그 밖의 부정한 수단이나 방법으로
개인정보를 수집한 자
그 사정을 알면서도 영리 또는
부정한 목적으로 개인정보를
제공받은 자
현행법은 동의없는 개인정보 수집에 관하여
처벌하고 있으나,
개정안은 부정한 수단/방법으로
수집한 경우에만 형벌을 규정함 (개정)
5년 이하 징역 또는
5천만원 이하 벌금
부정한 방법으로 수집된 점을 알면서
영리 또는 부정한 목적으로 제공받은 자를
처벌(신설)
76조
과태료
신설
① 11의 2호.
63조 ⑤항
(63조 ⑥항에 따라
준용되는 경우를 포함한다)
을 위반하여
국외이전에 관한 계약을 체결한 자
국외이전시 개인정보 보호의무 위반자에 관한
제재조치가 약하다는 비판에 의해
제재조치 강화
1천만원 이하
과태료 부과