1. 개인정보 보호 관련법제 일원화 ···155 2. ‘개인정보’ 범위의 명확화 ···157 3. 개인정보 활용 빅데이터 사업 제한 및 CCTV 설치·운영 제한 완화 ···160 4. 비식별화 개인정보 이용범위 확대 ···163 5. 공익목적으로 국가기관장 또는 지자체장이 승인한 경우 위치정보보호법 적용 예외 ··165 6. 주민등록 인증시스템 개선 ···167 7. 개인정보 처리업무 수탁사 범위 한정 ···169 8. 정보통신망 이용자 개인정보 취급위탁 시 절차 개선 ···171 9. 개인정보 수집상의 형식적 동의절차 보완 ···172 10. 개인정보 제공시, 동의범위의 예외사항 개선 ···174 11. 개인정보 이용내역의 통지의무 폐지 또는 개선 ···176 12. 개인정보 국외 이전시 이용자의 개별 동의의무 삭제 ···177 13. 위치정보보호법과 개인정보보호법의 일원화, 현실화 ···178 14. 온라인상 아동청소년성보호를 위한 명확한 수범방법 제시 ···180 15. 청소년 유해매체물 심의시 관련규정 개선 ···181 16. 청소년 유해매체물 판매자 등의 연령 및 본인확인 의무 대안 마련 ···183 17. 게임 강제적 셧다운제 폐지 ···185 18. 인터넷게임 제공자의 친권자 동의 취득 및 고지의무 폐지 ···187 19. 청소년보호책임자제도 보완 ···188 20. 청소년유해매체물의 표시방법 개선 ···189 21. 성매매 경고문구 게시방법/내용 보완 ···190 22. 게임 등급 분류의 민간자율규제 전면 확대 ···192 23. 온라인 본인확인(실명, 연령확인) 입력정보 인정 ···193 24. 온라인광고에 대한 사전심의, 등급분류제도 폐지 ···195 25. 영화 광고 등의 사전심의제도 개선 ···196 26. 선거법 상 인터넷언론사 재정의 필요 ···197 27. 공직선거법 상 인터넷 게시판 등의 실명제 관련의무 규정 삭제 ···198 28. 폴사인, 면조명, 사인보등 등 옥외광고물 설치규제 완화 ···199 29. 공사현황, 공공 목적 게시물의 광고물 적용 제외 ···201
목 차
1. 개인정보 보호 관련법제 일원화
【현 황】
□ 유사한 개인정보 취급방침과 처리방침에 관한 사항을 '정보통신망 이용촉진 및 정보 보호 등에 관한 법률'과 '개인정보 보호법'에 각각 명시하고 있음
○ 정보통신망법, 개인정보보호법, 신용정보법 등 정부부처별 개인정보 관련제도 시행
□ 방통위/미래부/행자부,ⅰ)PIMS(개인정보관리체계),ⅱ)ISMS(정보보호관리체계), ⅲ)PIPL,
ⅳ)본인확인기관 점검,ⅴ) 주요정보통신기반시설(본인확인기관) 점검 등 시행중(매년 1회)
○ 개인정보보호 관리현황, 시스템 및 취약점 진단 후 인증․점검․평가
【애로사례 및 개선사유】
□ 개인정보보호 관련법제가 공공과 민간으로 이원화되고 여러 개별법이 적용되어 중복규제되는 등 혼선이 발생
○ 각법에 따라 개인정보 취급방침 또는 처리방침에 분리하여 등재하거나 경우에 따라 유사한 내용의 두 방침을 모두 등재
- 온․오프라인 통합 서비스가 많아 개인정보 취급/처리 방침 등재 기준이 모호
- 개인정보 처리 내용 확인에 대한 접근성 및 가독성이 떨어지고 유사한 내용을 이중 관리하는 등 관리적인 측면에서 효율성이 떨어짐
□ 개인정보보호 강화 위주의 법령․제도개선 추진에 따른 ICT산업의 발전 저해
○ 법령상 포괄적으로 규정된 개인정보개념 및 사전동의의무에 따라 개인정보 활용 제한
□ 사업자의 과도한 규제비용 부담으로 활발한 기업활동 위축 우려
○ 개인정보보호와 산업의 균형있는 발전을 위한 법령 통합 및 제도 정비 필요
□ ICT산업 및 신규서비스 출시에 개인정보 활용이 필수이나, 규제비용으로 투자 지연
○ IoT․빅데이터․클라우드 서비스 출시 지연, 글로벌 시장 진출 애로, 창업지원 등을 통한 스타트업 활성화 필요
□ 개인정보보호 인증․평가․점검이 대부분 하반기에 집중되어 있고, 평가항목도 유사
기대효과
∙ 개인정보 취급/처리 방침의 기준을 명확히 하고 관리 효율성 제고
현 행 개정(안)
*개인정보 보호법 제30조(개인정보 처리방침의 수립 및 공개)
①개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보 처리방 침"이라 한다)을 정하여야 한다. (이하 생략)
정보통신망법 제27조의2(개인정보 취급방침의 공개)
①정보통신서비스 제공자등은 이용자의 개인정보 를 취급하는 경우에는 개인정보 취급방침을 정 하여 이용자가 언제든지 쉽게 확인할 수 있도 록 대통령령으로 정하는 방법에 따라 공개하여 야 한다.
②제1항에 따른 개인정보 취급방침에는 다음 각 호 의 사항이 모두 포함되어야 한다. (이하 생략)
개인정보 보호법 제30조(개인정보 취급(처리)방 침의 수립 및 공개)
①개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 취급(처리)방침(이하 "개인정보 취급(처리)방침"이라 한다)을 정하여야 한다.
(이하 생략)
⑤ 위 조항과 관련한 내용이 타 법에 규정된 경우 타 법을 따른다.
정보통신망법 제27조의2(개인정보 취급(처리)방 침의 공개)
①정보통신서비스 제공자 등은 이용자의 개인 정보를 취급하는 경우에는 개인정보 취급(처 리)방침을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법 에 따라 공개하여야 한다.
②제1항에 따른 개인정보 취급(처리)방침에는 다음 각 호의 사항이 모두 포함되어야 한다.
(이하 생략)
【개선방안】
□ 범정부 합동 개인정보보호 법제 개선 및 제도 개선 추진
○ 민관참여 제도개선 TF 및 법제연구반을 통한 개인정보보호․활용의 균형있는 법․
제도 개선안 마련
□ 개인정보 관련법령(정보통신망법 등) 정비 및 개인정보보호·활용에 관한 가이드라인 마련
○ 개인정보개념 구체화, 개인정보 비식별화․익명화 조치, 동의방식(先활용․後거부) 등 법제화
□ 정부 합동점검 체계 마련 등을 통해 유사 인증․평가․점검 통합 운영
○ 유관부처간(방통위, 미래부, 행자부 등) 합동점검체계 구축 및 주요 평가지표 통합운영 등 필요
○ 우수 사업자에 대한 인센티브 부여 등을 통해 개인정보보호 강화를 위한 사업자 자율 개선의지 제고
□ 개인정보보호법 제30조(개인정보 처리방침의 수립 및 공개) 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제27조의 2(개인정보 취급방침의 공개) 개정
○ 개인정보 취급/처리 방침 통합하여 운영(명칭 통일, 등재항목 통합 등)
2. ‘개인정보’ 범위의 명확화
【현 황】
□‘개인정보’의 범위가 명확하지 않고, 현재의 기준인 결합하여 식별가능성이 있다 는 것으로 판단할 경우, 거의 모든 정보가 개인정보에 포함됨(개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제4장, 저작권법 제103조의3)
○ 개인정보 수집·이용·파기·열람 등 동일 사항에 대해 각 법령에 유사형태로 별도 규정
□ 정보보안 및 안정성 확보에도 다양한 인증, 영향평가 등을 요구(필요한 조치)
※ 필요한 조치 : 정보보호 사전점검, 정보보호 최고책임자의 지정 등, 정보보호 안전진단, 정보 보호 관리체계의 인증, 정보보호 관리등급 부여, 침해사고의 대응 등을 의무화하여 요구 동의를 받는 방법, 개인정보의 처리 제한, 개인정보 유출 통지 등, 개인정보의 열람, 분쟁조정, 기술적·
관리적 및 물리적 안전조치의무, 개인정보 영향평가, 개인정보 보호책임자의 지정 등
□ 권리주장자가 소제기를 위해 이용자(침해자)의 개인정보 제공을 OSP에게 1차적으로 요청할 수 있도록 규정하고 있음
○ OSP가 이 요청에 응하지 않을 경우, 저작권위원회의 심의를 거쳐 문화부장관이 정보제공을 명령할 수 있음
【애로사례 및 개선사유】
□ 현행법령상 그 구성요건인 ‘개인정보’의 정의가 명확하지 않으므로 ‘개인정보’
의 유출 등에 수사기관의 자의적 해석으로 사업자를 수사 및 처벌할 수 있음(죄형 법정주의에 어긋남)
※ 예시 : 증권통 사건
○ 동일사항에 대한 중복, 이중규제 발생
□ 관할기관이 법령상 요구(필요한 조치)하는 보호조치(다양한 인증, 영향평가 등)는 기업의 상당한 자원이 소요되는 것으로 신규 비즈니스나 스타드업 등 벤처사업자의 장애 요소
□ 소제기의 목적이기는 하나 권리주장자가 직접 OSP에게 정보를 요청할 수 있고, 거부하는 경우 장관명령이 가능하므로 사업자에게 부담 가중
□ 사실상 권리주장자 일방의 주장과 행정부의 명령만으로 OSP가 이용자 개인정보를 제3자에게 제공하게 하므로 정보통신망법, 개인정보보호법 등 위반 및 부정사용의 우려
□ 개인정보 정의 관련 외국입법례
○ EU :“신체, 정신, 심리, 경제, 문화, 사회적 특성의 요소에 의해 직접 또는 간접 적으로 식별되는 자연인에 관한 정보”(EU 개인정보보호지침 제2조(a))
○ 영국 :“당해 데이터 및 데이터관리자가 보유하고 있거나 보유할 가능성이 있는 데이터(data) 또는 기타의 정보(information)로부터 신원을 확인할 수 있는 생존하는 개인에 관한 데이터”(Data Protection Act 1998 제1조제1항)
○ 독일 :“관련 자연인을 특정하는 또는 특정할 수 있는 인적인 또는 물적인 일체 의 정보”(독일 개인정보보호법 제3조제1항)
○ 일본 :“생존하는 개인에 관한 정보로서, 당해 정보에 포함되는 성명, 생년월일 기타 서술 등에 의해 특정한 개인을 식별하는 일이 가능한 것(다른 정보와 용이 하게 조합되어, 그에 의해 특정한 개인을 식별하는 일이 가능하게 되는 것을 포함) 을 말함(일본 개인정보보호법 제2조)
□ 국가별로 개인정보보호 관련 개별 법령 존재 방식이 상이
○ 통합방식 : EU, ○ 분할방식 : 일본, ○ 개별방식 : 미국
□ 해외에는 민간부문에 대한 정보보호 인증 의무화 관련 법령은 없음
○ 호주, 일본 등은 민관 자율규제로 정보보안 수행
○ 미국, EU 등의 정보보안 관련법령에서는 해킹, 부정접근 등 침해에 대해서만 규제
□ 해외는 행정부 명령으로 개인정보를 제공하는 사례가 없음
○ 독일 저작권법 제101조에 따라 통신(사실)정보(전기통신법 제3조 제30호)를 이용 해야만 정보를 얻을 수 있다면, 법원의 사전 명령에 의해서만 가능
【개선방안】
□ 외국입법례, 판례 및 해석례 등을 종합적으로 검토하여‘개인정보’의 명확한 범위 확정
○ 개인정보보호 법령의 통일적인 규정
□ 법령상 요구(필요한 조치)하는 보호조치이행은 매출액, 종업원수 등이 고려된 단계적 진행이 필요하며, 보호조치를 위해 필요한 자금 등의 지원정책도 고려
□ 권리주장자의 명확한 권리가 입증이 되었을 경우 제공하며, 주무부처 장의 제출 명령이 아닌 법원의 판단에 의한 사업자의무 발생 시 제출하는 것으로 개정
※ 개인정보보호법 제2조(정의)(이 법에서 사용하는 용어의 뜻은 다음과 같다.)
1.“개인정보”란 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개 인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정 보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
7.“영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.
※ 개인정보보호법 제15조(개인정보의 수집·이용)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우(중략)
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체 에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의 를 받아야 한다.
1. 개인정보의 수집·이용 목적 (중략)
※ 개인정보보호법 제25조(영상정보처리기기의 설치·운영 제한)
① 누구든지 다음 각 호의 경우를 제외하고는 공개된 장소에 영상정보처리기기를 설치·운 영하여서는 아니 된다.
1. 법령에서 구체적으로 허용하고 있는 경우 2. 범죄의 예방 및 수사를 위하여 필요한 경우 3. 시설안전 및 화재 예방을 위하여 필요한 경우 4. 교통단속을 위하여 필요한 경우
5. 교통정보의 수집·분석 및 제공을 위하여 필요한 경우
3. 개인정보 활용 빅데이터 사업 제한 및 CCTV 설치·운영 제한 완화
【현 황】
□ 개인정보보호법 외 금융은 신용정보보호법, 정보통신은 정보통신망법, 의료는 의료 법 등이 각 산업의 개인정보를 규율
○ 개인정보 활용 빅데이터 사업 제한 및 CCTV 설치 및 운영 제한
【애로사례 및 개선사유】
□ 개인정보는 사전 동의 후 수집해야 하나, 최근 IoT 기술 등을 활용하는 사업에서