[디정위][보도자료] 시민사회단체, 입법예고된 개인정보보호법 시행령 개정안에 대한 의견서 제출

2023-06-29 76

보 도 자 료

시민사회단체, 입법예고된「개인정보보호법 시행령」개정안에 대한 의견서 제출

“영상정보처리기기 관리 및 과징금 감경 범위 등 규정 보완 필요”
“실질적 동의 조건 신설은 긍정적

  1. 경제정의실천시민연합, 민주사회를 위한 변호사모임 디지털정보위원회, 사단법인 정보인권연구소, 서울YMCA 시민중계실, 소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자연맹 등 8개 단체는 지난 5월 19일 개인정보보호위원회가 입법예고한 개인정보보호법 시행령 개정안에 대한 의견서를 개인정보보호위원회에 6/27 제출했습니다. 단체들은 이번 시행령 개정안에서 고정형·이동형 영상정보처리기기 관련 규정 보완이 필요하다는 점 및 과징금 부과 기준에 대한 개인정보보호위원회의 재량 범위가 지나치게 넓다는 점 등을 지적했습니다.
  2. 단체들은 의견서를 통해 영상정보처리기기의 경우 기술 발전, 기기 성능에 의해 촬영 결과물의 프라이버시 침해 여부가 달라질 수 있다고 우려를 표했습니다. 이는 단체들이 지난 5월 31일 발표된  윤주경 의원 대표발의 「영상정보처리기기의 설치·관리 및 개인영상정보의 보호 등에 관한 법률안」에 대한 의견서에서도 기술 발전 및 기기의 성능에 대한 사항이 있어야 한다고 짚은 바 있다고 밝혔습니다. 또한 개정안은 고정형 영상정보처리기기의 운영ㆍ관리 방침만을 담고 있어, 이동형 영상정보처리기기 관련 규정도 보완되어야 한다는 지적입니다.
  3. 또한 개정안에 따르면 과징금 부과기준에 대해 실제 적용되는 부과기준율 및 감경 규정이 개인정보보호위원회의 재량에 맡겨져 있는 바, 단체들은 위반 행위에 대한 면책 범위가 넓어질 것을 우려하며 재량 범위를 좁힐 것을 촉구했습니다. 

 

  1. 아울러 이번 개정안에서는 정보주체에 대한 고지의 수단으로 ‘알림창’이 추가되었는데, 단체들은 홈페이지 팝업창 등 개별적인 메시지가 아닐 경우 개별적 도달도가 낮다고 우려했습니다. 정보주체의 고지받을 권리를 위하여 알림창은 보조 수단으로 도입해야 옳다는 주장입니다.
  2. 이외에도 단체들은 개정안에서 개인정보파일 등록 현황 게재 및 영향평가서 전체 공개 의무화, 분쟁조정 규정에서의 법적 표현 명확화 등 개정안을 보완하라고 주장했습니다. 한편, 단체들은 이번 시행령 개정안은 형식적 동의만 받으면 동의받은 것으로 간주하는 지금까지의 잘못된 관행을 개선하는, 실질적 동의 조건이 신설됐다는 점에서 긍정적인 변화가 있었다고 평가했습니다. 끝.

 

▣ 붙임 : 개인정보보호법 시행령 관련 시민사회단체 의견서

2023년 5월 19일 개인정보보호위원회가 입법예고한 개인정보보호법 시행령 일부개정령안에 대해 다음과 같이 의견서를 제출합니다.

 

2023년 6월 27일

 

경제정의실천시민연합, 민주사회를 위한 변호사모임 디지털정보위원회, 사단법인 정보인권연구소, 서울YMCA 시민중계실, 소비자시민모임, 진보네트워크센터, 참여연대, 한국소비자연맹

 

 

개인정보보호법 시행령 일부개정령안에 대한 의견서

 

 

가. 알림창 개념 불명확

 

제15조의2(개인정보 수집 출처 등 고지 대상ㆍ방법ㆍ절차) ① 법 제20조제2항 본문에서 “대통령령으로 정하는 기준에 해당하는 개인정보처리자”란 저장ㆍ관리하고 있는 개인정보가 다음 각 호 의 어느 하나에 해당하는 개인 정보처리자를 말하며, 저장ㆍ관리하고 있는 개인정보는 전년도 말 기준 직전 3개월 간 일일 평균으로 한다.

1.ㆍ2. (현행과 같음 )

② 제1항 각 호의 어느 하나에 해당하는 개인정보처리자는 법 제20조제1항 각 호의 사항을 서면ㆍ전자우편ㆍ전화ㆍ문자전송 ㆍ알림창 등 정보주체가 쉽게 알 수 있는 방법으로 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알려야 한다. 다만, 법 제20조제1항 각 호의 모든 사항을 법 제20조의2에 따라 통지한 경우에는 그러하지 아니하다

 

고지의 수단으로 ‘알림창’이 추가되었는데, 그 의미가 명확하지 않음. 만일 홈페이지 팝업창 등 개별적인 메시지가 아닐 경우, 개별 이용자에게 고지되지 않을 가능성이 큼. 만일 팝업창을 통한 알림도 가능하다면, 다른 알림보다 개별적 도달도가 낮기에 다른 알림의 보조 수단으로만 도입해야 할 것임. 정보주체의 고지받을 권리가 충분히 보장되지 않고 처리자의 편의성만 확대하는 것이 되지 않기 위해서는, 알림창의 개념이 보다 명확하게 규정되어야 할 것임.

 

 

나. 실질적 동의의 조건 신설 

 

<신 설>제17조(동의를 받는 방법) 

① 법에 따른 정보주체(법 제22조의2제1항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의가 적법하기 위해서는 다음 각 호의 조건을 모두 충족하여야 한다.

1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것

2. 동의 내용이 구체적이고 명확할 것

3. 평이하고 이해하기 쉬운 문구를 사용할 것

4. 정보주체에게 동의 여부에 대한 의사를 명확하게 표시할 수 있는 방법을 제공할 것

 

제17조 제1항의 신설은 실질적 동의의 요건을 규정한 것으로 형식적인 동의만 받으면 동의를 받은 것으로 간주되는 현실의 잘못된 관행을 개선하는데 필요하다는 점에서 매우 긍정적임.

 

 

다. 영상정보처리기기 설치ㆍ운영 제한의 예외

 

제22조(영상정보처리기기 설치ㆍ운영 제한의 예외) 

① 법 제25조제1항제6호에서 “대통령령으로 정하는 경우”란 다음 각 호의 어느 하나에 해당하는 경우로서 촬영된 영상을 별도로 저장하지 아니하는 경우를 말한다.

1. 출입자 수 등 통계값 산출을 위해 필요한 경우

2. 성별, 연령대 등 통계적 특성값을 도출하기 위해 필요한 경우

3. 그 밖에 제1호 및 제2호에 준하는 경우로서 보호위원회의 심의ㆍ의결을 거친 경우

 

시행령안 제22조는 고정형 영상정보처리기기를 설치ㆍ운영할 수 있는 경우로서, 촬영된 영상을 별도로 저장하지 아니하는 경우를 세부적으로 규정하고 있음. 그런데 1호, 2호와 같이 통계값 산출을 위해서는 촬영된 영상을 얼굴인식 기술을 통해 분석해야 하는데, 이때 촬영된 영상은 삭제하도록 하고 있으면서도 통계값 산출을 위해 추출된 생체인식정보 역시 통계값 산출을 위해 사용한 이후 바로 삭제해야 하는지 명확하지 않음. 촬영된 영상이 삭제되었어도 이러한 생체인식정보가 보관, 축적된다면 통계 목적 외에 개인 식별 목적으로 남용될 가능성을 배제할 수 없게 되므로, 이러한 위험성을 막기 위해서는 촬영된 영상 뿐만 아니라 영상을 통해 추출된 생체인식정보 역시 삭제할 것을 명확하게 규정하여야 할 것임.

 

 

라. 고정형영상정보처리기기 운영ㆍ관리 방침

 

제25조(고정형영상정보처리기기 운영ㆍ관리 방침) 

①고정형영상정보처리기기운영자는 법 제25조제7항에 따라 다음 각 호의 사항이 포함된 영상정보처리기기 운영ㆍ관리 방침을 마련하여야 한다.

1. 고정형영상정보처리기기의 설치 근거 및 설치 목적

2. 고정형영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위

3. 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람

4. 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법

5. 고정형영상정보처리기기운영자의 영상정보 확인 방법 및 장소

6. 정보주체의 영상정보 열람 등 요구에 대한 조치

7. 영상정보 보호를 위한 기술적ㆍ관리적 및 물리적 조치

8. 그 밖에 고정형영상정보처리기기의 설치ㆍ운영 및 관리에 필요한 사항

 

영상정보처리기기는 기술 발전, 기기 성능에 의해 촬영 결과물의 프라이버시 침해 여부가 달라질 수 있음. 시민사회단체는 윤주경 의원 대표발의 「영상정보처리기기의 설치·관리 및 개인영상정보의 보호 등에 관한 법률안」에 대한 의견서(2023년 5월 31일 발표)에서, “정보주체가 영상정보처리기기가 자신에게 미칠 수 있는 영향을 이해할 수 있기 위해서는, 영상정보처리기기의 해상도, 줌 기능, 동작 감시 기능 등 해당 기기의 주요 성능 및 기기의 모델명에 대한 사항”이 운영ㆍ관리 방침에 포함되어야 한다고 지적한 바 있음. 아직 별도의 영상정보처리기기에 대한 법안이 입법화되지 않은 바, 시행령에도 이를 고려한 규정이 포함되어야 할 것임. 이에 덧붙여, 제3자 제공 및 처리의 위탁 관련된 사항도 제25조에 포함될 필요가 있음. 또한, 영상정보의 경우 실시간 관제가 되고 있는지 역시 정보주체의 프라이버시권에 큰 영향을 미칠 수 있기 때문에 실시간 관제가 되고 있는지 여부, 설치 목적 내에서 임의 조작이 가능한지 여부 등도 공개하도록 규정하여야 할 것임.

 

 

마. 이동형영상정보처리기기 관련 규정 보완 

 

제23조(고정형 영상정보처리기기 설치 시 의견 수렴), 제24조(안내판의 설치 등), 제25조(고정형 영상정보처리기기 운영ㆍ관리 방침), 제27조(고정형 영상정보처리기기 설치ㆍ운영 지침)의 경우 고정형 영상정보처리기기만을 대상으로 하고 있을 뿐, 이동형 영상정보처리기기에 대해서는 관련 규정을 두고 있지 않음. 참고로 현재 국회에 발의되어 있는, 윤주경 의원 대표발의 「영상정보처리기기의 설치·관리 및 개인영상정보의 보호 등에 관한 법률안」의 경우, 이동형 기기에 대해서도 설치 시 의견수렴이나 운영ㆍ관리 방침과 관련된 규정을 두고 있음. (물론 윤주경 의원안도 보완이 필요함) 이동형 기기의 특성을 고려하여 적절하게 수정될 필요는 없지만, 이동형 영상정보처리기기와 관련해서도 설치 시 의견수렴, 안내판의 설치, 운영ㆍ관리 방침, 설치ㆍ운영 지침 관련 규정을 두어야 할 것임. 

 

 

바. 개인정보처리방침 평가대상 

 

<신 설>제31조의2(개인정보 처리방침의 평가 대상) 

보호위원회는 법 제30조의2제1항에 따라 개인정보 처리방침을 평가하는 경우 다음 각 호의 사항을 종합적으로 고려하여 평가 대상자를 선정한다.

1. 개인정보처리자의 유형 및 매출액 규모

2. 민감정보 및 고유식별정보 등 처리하는 개인정보의 유형 및 규모

3. 개인정보 처리의 근거 및 형태ㆍ방식

4. 개인정보 보호 법령 위반행위 발생 여부

5. 아동ㆍ청소년 등 정보주체의 특성

 

이 조항에 따르면 개인정보보호위원회는 평가대상을 정해야만 평가할 수있도록 되어있음. 그렇다면, 개인정보 처리방침의 평가 대상 선정에 대한 기준 4호 관련, 법령 위반행위가 확인된 것 뿐만 아니라, 범위를 넓혀 개인정보 침해신고, 분쟁조정, 민원 등의 발생 여부도 고려해야 함. 제48조의9를 참조하자면, ‘이 법을 위반하여 개인정보 침해 사건ㆍ사고가 발생하였거나 발생할 가능성이 있는 경우’ 등 보다 포괄적으로 법에 규정해야 할 것임.

 

 

사. 개인정보파일의 등록 및 공개 

 

제34조(개인정보파일의 등록 및 공개 등) 

① (생 략)

② 보호위원회는 법 제32조제4항에 따라 개인정보파일의 등록 현황을 인터넷 홈페이지에 게재할 수 있다.

 

현재는 개인정보파일 등록 현황을 인터넷 홈페이지에 게재하도록 의무화하고 있는데, 이를 보호위원회가 재량으로 하지 않을 수 있도록 완화하고 있음. 그 근거가 명확하지 않으며, 게재하지 않을 수 있는 특별한 이유가 있다면 시행령에 명확하게 규정해야 하며, 그 외에는 모두 게재하도록 의무화해야 할 것임. 

 

 

아. 영향평가서의 공개 

 

제38조(영향평가의 평가기준 등)

<신설> ③ 보호위원회 또는 공공기관의 장은 법 제33조제1항에 따라 영향평가를 받은 개인정보파일을 운용하는 경우에는 제38조제2항제7호에 따른 영향평가서를 요약한 내용을 공개할 수 있다.

 

개인정보 영향평가서를 공개하도록 한 것은 바람직한 변화임. 다만, 공개 대상을 요약본으로 한정하고 있는데, 공개해서는 안될 특별한 이유가 있는 사항들을 제외하고는 공개하지 않을 이유가 무엇인지 의문임. 또한 시행령안은 이 마저도 공개를 의무화하지 않고 재량으로 공개 여부를 선택할 수 있도록 하고 있음. 이렇게 할 경우 공공기관이 영향평가서를 공개할 동기가 있을지 의문임. 영향평가서 공개 문화를 형성하기 위해서는 특별한 예외적인 경우를 제외하고는 영향평가서 전체 공개를 의무화해야 할 것임. 

 

 

자. 조사ㆍ열람 당사자 개념의 불명확 

 

<신 설>제51조의3(자료의 요청 및 사실조사 등) 

① 법 제45조에 따른 자료의 요청 및 사실조사는 분쟁조정에 필요한 최소한의 범위 안에서 실시하여야 하며, 당사자에게 관련 증거 및 자료를 제출할 수 있는 공평하고 충분한 기회를 주어야 한다.

② 법 제45조제2항 전단에서 “대통령령으로 정하는 사무기구의 소속 공무원”이란 보호위원회의 사무처 내 분쟁조정 업무를 담당하는 부서의 소속 공무원을 말한다.

③ 법 제45조제2항에 따라 조사ㆍ열람하고자 할 때에는 사전에 법 제40조제6항에 따른 조정부의 의결을 거쳐야 한다.

④ 분쟁조정위원회는 법 제45조제2항에 따라 조사ㆍ열람을 하고자 하는 경우에는 그 7일 전 까지 해당 당사자에게 다음 각 호의 사항을 문서로 알려야 한다. 다만, 긴급한 경우에는 기간을 줄일 수 있다.

1. 조사ㆍ열람의 목적

2. 조사ㆍ열람의 기간과 장소

3. 조사ㆍ열람자의 직위와 성명

4. 조사ㆍ열람의 범위와 내용

5. 제출 자료

6. 조사ㆍ열람 거부 및 제재 

7. 그 밖에 분쟁조정과 관련하여 필요한 사항

⑤ 분쟁조정위원회가 법 제45조 제2항에 따라 조사ㆍ열람을 할 때에는 조사ㆍ열람 당사자 또는 해당 당사자가 지명하는 자가 입회하거나 의견을 진술하게 할 수 있다.

⑥ 법 제45조에 따라 자료의 요청 및 사실조사를 실시한 자는 이를 통해 알게 된 정보를 관련분쟁조정 이외의 목적으로 이용하거나 제공하여서는 아니 된다.

 

5항에 따르면 조사ㆍ열람 당사자 또는 해당 당사자라고 표현되어 있는데, 조사ㆍ열람 당사자가 정확히 누구인지, 피신청인/신청인 등 표현을 명확히 할 필요성이 있음. 

 

 

차. 과징금 부과기준 

 

[별표 1의5]

1. 과징금 부과 여부의 결정

과징금은 위반행위의 내용ㆍ정도 등을 종합적으로 고려하여 그 부과 여부를 결정하되, 다음의 어느 하나에 해당하는 경우에는 과징금을 부과하지 않을 수 있다.

가. 본인의 행위가 위법하지 않은 것으로 잘못 인식할 만한 정당한 사유가 있는 경우

나. 위반행위의 내용ㆍ정도가 경미한 경우

다. 정보주체에게 피해가 발생하지 않았거나 경미한 경우로서 위반

행위를 시정하고 보호위원회가 정하여 고시하는 기준에 해당되는 경우

2. 과징금의 산정단계 및 산정방식과 고려 사유

과징금은 법 제64조의2제4항 각 호에 따른 고려 사항과 이에 영향을 미치는 행위를 종합적으로 고려하여 가목에 따라 산정된 기준금액에 나목에 따른 1차 조정, 다목에 따른 2차 조정, 라목에 따른 부과과징금의 결정을 순차적으로 거쳐 산정한다. 다만, 가중하는 경우에도 법 제64조의2제1항에 따른 과징금 금액의 상한을 넘을 수 없다.

가. 기준금액의 산정

1) 기준금액은 제60조의2제1항에 따른 전체 매출액에서 같은 조 제3항에 따른 위반행위와 관련이 없는 매출액을 제외한 매출액에 위반행위의 중대성에 따라 다음과 같이 구분된 과징금의 산정비율(이하 “부과기준율”이라 한다)을 곱하여 산출한 금액으로 한다.

위반행위의 중대성  부과기준율
매우 중대한 위반행위 2.1% 이상 2.7% 이하
중대한 위반행위  1.5% 이상 2.1% 미만
보통 위반행위 0.9% 이상 1.5% 미만
약한 위반행위 0.03% 이상 0.9% 미만

2) 제60조의2제2항 각 호의 어느 하나에 해당하는 경우에는 1)에도 불구하고 위반행위의 중대성에 따라 기준금액을 다음과 같이 한다.

위반행위의 중대성  부과기준율
매우 중대한 위반행위 7억원 이상 18억원 이하
중대한 위반행위  2억원 이상 7억원 미만
보통 위반행위 5천만원 이상 2억원 미만
약한 위반행위 5백만원 이상 5천만원 미만

3) 위반행위의 중대성은 법 제64조의2제4항 각 호의 사항인 위반 행위의 내용 및 정도, 개인정보처리자가 처리하는 개인정보의 유형과 정보주체에게 미치는 영향, 위반행위로 인한 정보주체의 피해 규모 등을 종합적으로 고려하여 판단한다.

나. 1차 조정

위반행위의 기간 및 횟수 등(법 제64조의2제4항 각 호의 사항 중 부과기준율 산정 단계에서 고려된 사항은 제외한다)을 고려하여 기준금액의 100분의 100의 범위에서 보호위원회가 정하여 고시하는 기준에 따라 가중하거나 감경해야 한다.

다. 2차 조정

보호위원회와의 협조 등 위반행위를 시정하기 위한 조치 여부, 위반행위로 인한 피해의 회복 및 피해 확산 방지 조치의 이행 여부, 개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위한 노력, 위반행위의 주도 여부, 위반행위자가 위반행위의 사실을 자진신고한 경우 등(법 제64조의2제4항 각 호의 사항 중 부과기준율 산정 및 1차 조정 단계에서 고려된 사항은 제외한다)을 종합적으로 고려하여 1차 조정을 거친 금액의 100분의 50의 범위에서 보호위원회가 정하여 고시하는 기준에 따라 가중하거나 감경할 수 있다.

라. 부과과징금의 결정

1) 다음의 사항을 고려하여 다목에 따라 산정된 과징금이 과중하다고 인정되는 경우에는 해당 금액의 100분의 90 범위에서 감경할 수 있다.

가) 위반행위자의 현실적인 부담능력

나) 경제위기 등으로 위반행위자가 속한 시장ㆍ산업 여건이 현저하게 변동되거나 지속적으로 악화된 상태인지 여부

2) 다음의 어느 하나에 해당하는 경우에는 다목에 따라 산정된 과징금을 면제할 수 있다.

가) 위반행위자의 지급불능ㆍ지급정지 또는 자본잠식 등의 사유로 위반행위자가 객관적으로 과징금을 낼 능력이 없다고 인정되는 경우

나) 다목에 따라 산정된 과징금이 소액인 경우

 

매우 중대한 위반행위의 경우 2.1% 이상 2.7% 이하로 규정되어 있는데, 법에서 규정한 상한 3%에 못 미침. 부과기준율이 2.1% 이상 2.7% 이하일 경우 실제 적용되는 부과기준율은 보호위원회의 재량에 따르게 되는데, 그만큼 실제 과징금 액수가 위반행위에 대한 억지력을 가질 수 있는 수준으로 책정할 보호위원회의 책임이 증가한다는 점을 인식해야 함. 2차 조정 이후에도 현실적 부담능력 등을 고려하여, 100분의90 범위에서 감경해 준다는 규정은 감경과 관련된 보호위원회의 재량의 범위가 지나치게 넓어, 사실상 위반 행위에 대한 면책 범위가 매우 넓어질 우려가 있으므로, 재량 범위를 좁힐 필요가 있음. 

 

아울러 ‘가. 본인의 행위가 위법하지 않은 것으로 잘못 인식할 만한 정당한 사유가 있는 경우’에 과징금을 면제할 수 있도록 하고 있음. 그렇다면 실제 정보주체에게 피해를 야기한 경우에도 과징금을 면제받을 수 있을 수 있는 가능성을 열어둔 것임. 면제가 아니라 감경 사유 정도로 기준을 강화할 필요가 있음.

첨부파일

[보도자료] 시민사회단체, 입법예고된 개인정보보호법 시행령 개정안에 대한 의견서 제출.pdf

2300629디정위보도자료.png