Ⅰ. 개정 경위 및 배경

 

1. 개정 경위

 

일본 국회는 2020년 6월 5일 정부가 마련한 「개인정보의 보호에 관한 법률」(이하 “개인정보보호법”이라 한다) 일부 개정안을 가결했다. 개정법은 일부 규정을 제외하고 공포 후 2년 이내의 범위에서 정령으로 정하는 날부터 시행된다(6.12. 공포). 개정법은 형식상으로는 2015년 개정된(2017년 전면 시행) 개인정보보호법 부칙에 따른 것이지만, 개인정보보호법의 개정 필요성이 그만큼 크고 시급했다고 볼 수 있다. 2015년 개정 개인정보보호법 부칙 제12조제3항은 3년마다 ‘개인정보 보호에 관한 국제적인 동향, 정보통신기술의 진전, 그에 따른 개인정보를 활용한 새로운 산업의 창출 및 발전의 상황 등을 감안하고 새로운 개인정보보호법의 시행 상황에 대한 검토를 더해서 필요가 있다고 인정되면 그 결과에 따라 필요한 조치를 강구하여야 한다.’라고 규정하고 있었다.

 

이에 따라 일본 개인정보보호위원회(이하 “워원회”라 한다)는 2019년 1월 28일 제시된 「이른바 3개년 검토 착안점」에 따라 재검토를 진행하여 4월 25일 중간점검(中間整理) 보고서를 발표했고 그간의 의견을 취합해 12월 13일 「개인정보보호법 3개년 제도개정 대강」이 발표했다. 이를 바탕으로 2020년 3월 10일에는 개인정보보호법 개정안이 각의에서 결정되어 같은 날 국회에 제출됐다. 이번 개인정보보호법 개정은 2015년 개정 이후 3년 만의 개정이지만 개정의 폭은 2015년 개정법 못지않게 크고 중요하다고 할 수 있다.

 2019.01.28. 개인정보보호위원회 심의 개시, 「이른바 3개년 검토 착안점」 발표  2019.12.13. 개인정보보호위원회, 「개인정보보호법 3개년 제도개정 대강」 공표  2020.03.10. 개정 법안이 각의 결정 및 국회 제출  2020.06.05. 국회 심의 및 가결(성립)  2020.06.12. 공포 (2년 이내 정령으로 정하는 날부터 시행)  2020.07.22. 개정 개인정보보호법 정령, 규칙, 가이드라인 등의 정비에 관한 기본방침 공표

 

2. 개정배경

 

개정법은 정보주체의 권리 보호를 실효화하고, 국내외 사업자에 대한 위원회의 관리·감독권을 강화하며, 이와 함께 일본의 전 경제·사회에 걸쳐 데이터의 이용과 활용을 촉진하는데 있다.⁽¹⁾ 일본 개인정보보호위원회는 개정법의 취지와 이유를 아래와 같이 설명하고 있다.⁽²⁾

 

첫째, 개인정보 취급에 대한 개인의 관심 및 관여에 대한 기대가 높아지고 있어 개인정보보호법 제1조의 목적으로 제시된 ‘개인의 권리·이익을 보호’하기 위한 충분한 조치들을 다시 검토할 필요가 있다.

 

둘째, 2015년 개정법에서 특히 강조된 보호와 이용의 균형을 맞추는 것은 계속해서 중요하며, 기술혁신의 성과가 경제성장과 개인의 권리·이익 보호 양면에서 고루 미치도록 제도를 지향하는 것이 중요하다.

 

셋째, 디지털 개인정보의 이용과 활용이 국제적으로 활발하게 전개되고 있어 글로벌 제도와의 조화와 연계를 배려하면서 국내 제도를 다시 검토할 필요가 있다.

 

넷째, 해외 사업자가 제공하는 서비스의 이용이나 국경을 초월하여 개인정보를 취급하는 비즈니스의 확대에 따라 개인이 직면하는 리스크도 변화하고 있어 이에 대응할 필요가 있다.

 

다섯째, AI·BigData 시대를 맞아 정보주체는 자신의 개인정보가 어떻게 처리되고 있는지 파악하는 것이 어려워지고 있다. 이 같은 환경에서 사업자는 개인정보 취급시 정보주체에 대한 설명 책임을 지며 정보주체의 예측 범위 내에서 개인정보를 적정하게 이용하도록 환경을 정비하는 것이 필요하다.

 

마지막으로, 기술과 사회의 급변을 감안하여 제도 검토시 유연한 대응이 가능한 틀을 마련해야 하고, 법제도의 개선과 함께 새로운 산업의 창출을 촉진한다는 관점에서는 사업자 스스로 자신의 사업 실태에 맞는 개인정보보호가 솔선해서 행해져야 한다.

 

이와 같은 배경 하에서 개인정보보호법은 아래와 같이 방향으로 개정이 이루어졌다.

 

[표 1] 개인정보보호법의 개정 방향 및 개정 내용

1	개인의 권리 강화	-이용정지, 소거 등 개인의 청구권을 개인의 권리와 정당한 이익 침해 우려 되는 경우로까지 확대 -본인에게 개인데이터 개시(공개)를 요구하는 방법을 지시할 수 있는 권리 신설 -개인데이터 제3자 제공 기록에 대한 개인의 개시 청구권 신설 -단기 보존 데이터도 공개, 정정, 소거, 삭제, 이용·제공 정지 등의 청구권 행사 대상에 포함
2	제3자 제공에 대한 위원회의 통제권 및 투명성 강화	-옵트아웃 방식으로 제3자 제공할 수 있는 개인데이터의 범위에서 부정취득한 개인데이터와 옵트아웃 규정에 의해 제공받은 개인데이터 제외 · 현행법은 요배려정보만 제3자 제공 대상정보에서 제외 -옵트아웃 방식에 의한 개인데이터 제3자 제공시 위원회에 제출해야 할 법정신고사항 추가
3	“개인관련정보”의 개념 신설 및 행태정보 등의 수집·제공에 대한 개인의 통제권 강화	-개인관련정보(제공하는 자에게는 개인데이터에 해당하지 않아도 제공받는 자에게는 개인데이터가 될 수 있는 정보) 수집시 수집자에게 정보주체의 동의 획득 의무 신설 -개인관련정보 제공자에 대해 제공받는 자(수집자)의 동의 획득 사실 확인 및 기록 의무 부과
4	사업자의 책무 강화	-개인정보 유출, 분실, 훼손 등의 사고 발생시 보고 및 통지의 의무화 -위법 또는 부당한 행위를 조장하는 등 부적정한 방법에 의한 개인정보 이용 금지 명확화
5	사업자의 자주조직 촉진	-현행 인정개인정보보호단체 이외에 특정 분야 또는 부문만을 대상으로 한 새로운 유형의 인정개인정보보호단체 설립 허용
6	데이터의 이용·활용 촉진	-익명가공정보 이외에 가명가공정보의 개념 신설 : 개시, 삭제, 이용정지 등의 청구권 행사가 제한되나 내부적 이용만 허용
7	벌칙 규정 강화	-위원회 명령 위반, 위원회에 대한 허위보고 등에 대한 벌칙 규정 대폭 상향 -위원회 명령 위반, 부정한 이익 목적의 개인정보 데이터베이스 등의 제공· 도용에 대한 법인과 개인 간 벌칙 차등화 -위원회 명령 위반자에 대한 언론 공표 제도 신설
8	역외 적용 및 국외 이전 강화	-물품 또는 역무 제공과 관련하여 일본에 있는 개인에 관한 정보를 취급하는 외국사업자도 개인정보보호법 전면 적용 : 보고징수, 명령, 벌칙 등의 규정도 적용 대상에 포함 -국외 제공시 정보주체에게 제공받는 자 측에 관한 정보(해당 국가의 개인 정보제도 등 포함) 제공 의무 신설

 

Ⅱ. 개정 개인정보보호법의 주요 내용 설명

 

1. 개인데이터 취급에 대한 본인의 권리 강화

 

가. 이용·제공 정지 및 소거 청구권의 행사요건 완화

 

(1) 개정내용

개인데이터 이용·제공 정지 및 소거 청구권을 행사할 수 있는 사유로 i)부적정한 이용금지 규정을 위반한 경우(제16조의2), ii)보유개인데이터를 이용할 필요가 없게 된 경우, iii) 유출 등의 사고가 발생한 경우 (제22조의2), iv)그밖에 보유개인데이터의 취급으로 본인의 권리 또는 정당한 이익이 침해될 우려가 있는 경우를 추가하였다(제30조제1,5항). 다만, 보유개인데이터의 이용·제공 정지 또는 소거에 고액의 비용이 소요되거나 그밖에 이용·제공 정지 또는 소거가 곤란한 경우로서 본인의 권리 이익을 보호하기 위해 필요한 대체 조치를 취한 경우에는 본인의 청구에 따르지 않아도 되도록 예외를 인정하고 있다(제30조제6항). 현행법은 목적 외 취급(제16조), 부정한 취득(제17조), 제3자 제공 위반(제3조), 외국에 있는 제3자 제공 위반(제24조) 등 법위반 행위가 있는 경우에만 이용·제공 정지, 소거 등의 청구권을 허용하고 있다.

 

(2) 개정이유

사업자들이 자신의 개인데이터를 이용·제공정지, 소거 등을 잘 해주지 않는 것에 대하여 소비자들의 불만이 많았고, 프라이버시 마크 심사기준인 ‘JISQ 15001’의 개인정보 보호관리 시스템에서도 이용·제공 정지 등의 청구권을 넓게 인정하고 있어 개인데이터에 대한 본인의 관여를 강화한다는 관점에서 개인 청구권의 행사요건을 완화하였다.

 

(3) 우리나라와 차이

개인정보 보호법은 개인정보 처리정지(제37조제1항) 및 동의철회(제39조의7제1항)의 요건을 정하고 있지 않다. 따라서 정보주체는 언제든지 처리정지 또는 동의철회를 요구할 수 있다. 다만, 개인정보처리자는 1)법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우, 2)다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우, 3)공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우, 4)개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우에는 처리정지요구를 거절할 수 있다(제37조제2항).

 

나. 본인에게 정보의 개시(공개) 방법을 지시할 권리 부여

 

(1) 개정내용

본인이 개시(공개) 청구권 행사시 전자적 방식을 포함해 데이터의 개시 방법을 지정할 수 있는 지시권을 신설하였다(제28조제1항). 다만, 본인이 지시한 방법으로 정보를 개시할 경우 고액의 비용이 필요하거나 그밖에 해당 방법에 의한 공개가 곤란한 경우에는 서면 교부에 의한 방식으로 개시할 수 있다(제28조제2항). 현행법은 서면 교부 방식을 원칙으로 하면서 개시를 청구한 본인이 동의한 방법이 있을 때에는 그 방법으로도 공개할 수 있도록 하고 있다.

 

(2) 개정이유

개인정보취급사업자가 보유하고 있는 개인데이터의 양이 매우 방대해짐에 따라 해당 보유개인데이터를 서면으로 교부받을 경우 본인이 그 내용을 검색할 수 없고 충분히 인식하기도 어렵다. 특히 음성이나 동영상은 그 내용을 서면으로 재현하는 것 자체가 곤란하다. 따라서 개시 청구로 얻는 보유개인데이터의 이용에 있어서 본인의 편리성 향상과 개인데이터 취급에 대한 본인의 관여 촉진(개시 청구권은 이용정지, 정정·삭제, 제공정지 청구권 행사의 전제가 되는 권리)의 관점에서 전자적 기록의 제공을 포함하여 개시 방법을 지시할 수 있도록 하였다.

 

(3) 우리나라와 차이

개인정보 보호법은 정보주체가 개인정보에 관한 열람을 요구하려면 개인정보처리자가 마련한 방법과 절차에 따라 요구해야 한다고 하면서(영 제41조제1항), 동시에 개인정보처리자는 열람 요구 방법과 절차를 해당 개인정보의 수집 방법과 절차에 비하여 어렵지 않게 해야 한다고 규정하고 있다. 또한, 서면, 전화, 전자우편, 인터넷 등 다양한 매체를 열람 수단으로 허용하고 있다(영 제41조제2항). 그러나 정보주체의 매체 지시권은 명시적으로 규정하고 있지 않다.

 

 

 

다. 개시 등의 청구권의 대상이 되는 보유개인데이터의 범위 확대

 

(1) 개정내용

“보유개인데이터”의 정의를 확대하여 6개월 이내에 삭제가 예정된 단기 보존 개인데이터도 보유개인데이터의 범위에 포함시킴으로써 개시, 정정, 추가, 삭제, 소거, 이용·제공정지 등의 대상에 포함하였다(제2조제7항). 현행법은 개시 등의 청구권의 대상이 되는 보유개인데이터의 범위에서 6개월 이내에 삭제될 것이 예정된 단기 보유 개인데이터를 제외하고 있다.

 

(2) 개정이유

단기 보유 개인데이터는 취급 시간이 한정되어 있어 개인의 권리·이익을 침해할 위험성이 낮아 개인정보취급사업자의 개시 등의 비용이 본인의 청구권 행사에 따른 이익을 상회한다고 보아 청구권의 대상에서 제외하였으나, 단기 보유 개인데이터의 경우에도 유출 등의 위험이 현실적으로 존재하여 본인의 청구권 행사 이익이 개인정보취급사업자의 비용보다 낮다고 할 수 없으므로 모든 보유개인데이터를 청구권의 대상이 되도록 하였다. 참고로 일본 개인정보보호법은 개인에 관한 정보의 유형을 아래와 같이 구분하고 각각 규율 내용을 달리 규정하고 있다.

 

(3) 우리나라와 차이

개인정보 보호법은 일본법과 달리 개인정보, 개인데이터, 보유개인데이터를 구분하고 있지 않다. 따라서 개인정보처리자가 개인정보파일을 운영하여 업무 목적으로 처리하고 있는 모든 개인정보가 열람, 정정, 삭제, 처리정지 등의 요구 대상이 된다.

 

2. 개인데이터 제3자 제공에 대한 통제권 및 투명성 강화

 

가. 옵트아웃을 통해 제공할 수 있는 개인데이터의 범위 축소

 

(1) 개정내용

부정 취득한 개인데이터(제17조제1항)와 제3자로부터 옵트아웃 방식으로 제공받은 개인데이터를 다시 옵트아웃방식(opt-out)으로 제3자에게 제공할 수 없게 했다(제23조제2항 단서). 현행법은 “요배려개인정보(민감정보)”를 제외하고 명부사업자 등이 옵트아웃 방식으로 제3자에게 제공할 수 있는 개인데이터의 범위에 제한을 두고 있지 않다.

 

(2) 개정이유

일본에서도 개인데이터를 제3자에게 제공할 때에는 본인의 동의를 받는 것이 원칙이지만, 일정사항(제3자 제공을 목적으로 한다는 사실, 제3자 제공할 개인데이터의 항목, 제공 방법 등)을 본인에게 통지 또는 게시하고, 본인의 요구에 따라 개인데이터의 제공을 정지하는 것을 조건으로 하는 경우에는 본인의 동의 없이 개인데이터를 제공할 수 있다(제23조). 이른바 “옵트아웃(opt-out)”을 허용한 것이지만, 위원회에 그 사실을 신고해야 한다. 기존부터 성행했던 명부사업자를 양성화하기 위한 것인데 명부사업자들이 취득한 개인데이터는 대부분 제3자로부터 제공받은 것이다. 그러나 위원회 실태조사 결과 적정하게 취득하지 않은 개인데이터가 옵트아웃에 의해 유통되고 명부사업자끼리 명부가 거래되는 경우가 적지 않았다. 본인이 동의하거나 제공한 기억이 없는 데이터가 명부에 포함되어 있고 제공자가 불법으로 반출하거나 부정한 방법으로 취득한 명단도 포함되었다. 이처럼 암암리에 이루어지는 명부 거래에 대한 본인의 관여가 어려워짐에 따라 옵트아웃 신고 사업자에 의해 개인데이터가 부적절하게 취득·유통되는 일이 없도록 하고자 한 것이다.

 

(3) 우리나라와 차이

개인정보 보호법은 옵트아웃 방식에 의한 개인정보 제3자 제공을 허용하고 있지 않다. 따라서 1)법령에 특별한 규정이 있는 경우, 2)정보주체 또는 제3자의 급박한 생명·신체·재산상 이익 보호를 위해 필요한 경우 등을 제외하고는 정보주체의 동의를 받아야 제3자 제공이 가능하다(제17조, 제18조, 제23조, 제24조 등). 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자는 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처하도록 되어 있다(제71조).

 

나. 옵트아웃 제공시 위원회에 대한 신고사항 확대

 

(1) 개정내용

위원회에 옵트아웃 신고 시 i)개인정보취급사업자의 성명 또는 명칭, 주소 및 법인의 대표자 성명, ii)제공할 개인데이터의 취득방법, iii)그밖에 개인의 권리·이익 보호를 위해 필요한 것으로써 위원회 규칙으로 정한 사항을 신고사항에 추가하고, 변경사항이 발생한 경우에도 변경 신고를 하도록 했다(제23조제2,3항). 현행법에서는 제3자 제공을 목적으로 한다는 사실, 제3자 제공할 개인데이터의 항목, 제3자 제공 방법 등만 법정 신고사항이고, 신고사업자의 명칭, 주소 등은 법정 신고사항으로 되어 있지 않다.

 

(2) 개정이유

옵트아웃 규정은 개인데이터의 활용 관점에서 보면 그 필요성이 인정되나 개인의 권리·이익 관점에서 보면 부적절한 취급이 우려되는 제도이다. 위원회 실태조사 결과 신고사업자 중 신고 후 주소 변경 등에 의해 연락처가 바뀌거나 소재불명으로 연락이 닿지 않는 사업자가 확인되었다. 따라서 위원회의 적정한 집행력 확보의 관점에서 옵트아웃 신고사업자의 신고의무를 강화하였다.

 

(3) 우리나라와 차이

개인정보 보호법은 개인정보의 판매를 명시적으로 금지하고 있지는 아니하나 동시에 개인정보 판매를 업으로 하는 명부사업자에 대한 신고, 등록, 허가, 금지 등의 규정도 두고 있지 않다. 따라서 개인정보 제3자 제공(판매)시 개인정보처리자는 위원회 등에 대한 신고의무를 지지 아니한다.

 

다. 개인데이터 제3자 제공 기록에 대한 개인의 개시(공개) 청구권 신설

 

(1) 개정내용

개인데이터를 제공한 자와 제공받은 자는 각각 본인의 청구가 있는 때에는 개인데이터의 수수에 관한 기록을 공개하도록 하고 있다(제28조제5항). 다만, 개인데이터 수수에 관한 기록·확인·보관 및 개시 의무는 본인의 동의 및 옵트아웃 방식에 의한 제3자 제공에 대해서만 적용되고 위탁 또는 공동이용에 따른 제공에는 적용되지 않는다.⁽³⁾ 현행법에서는 개인데이터의 수수사실을 확인, 기록 및 보관할 의무만 부여하고 이를 본인에게 공개할 의무는 부여하고 있지 않다. 개인데이터를 제3자에게 제공한 자(명부사업자 포함)는 해당 개인데이터를 제공한 연월일, 제공받을 제3자의 명칭, 그 밖에 위원회 규칙으로 정한 사항을 기록· 보관해야 하고(제25조제1항), 제공받은 자는 해당 개인데이터를 제공받은 연월일, 제공한 제3자의 명칭 및 주소(법인 및 단체의 경우에는 그 대표자 또는 관리인 포함), 해당 개인데이터의 취득 경위, 그 밖에 개인정보 보호위원회 규칙으로 정한 사항을 확인·기록 및 보관해야 한다(제26조제3항).

 

(2) 개정이유

현행법상 개인데이터 수수 사실의 확인·기록 및 보관 의무는 부정한 수단에 의해 취득된 개인정보가 전전 유통되는 것을 방지하고 개인데이터 유통에 대한 추적 가능성을 확보하기 위한 것이다. 그런데 본인의 개시 청구권이 보장되지 않아 감독기관만을 위한 추적 가능성일 뿐 본인을 위한 추적가능성은 담보되어 있지 않다는 비판을 받아 왔다. 추적가능성은 본인에게 있어서도 이용·제공 정지 등의 청구권 행사에 있어 꼭 필요한 요소인바 본인에게 공개 청구권을 부여할 필요가 있다.

 

 

(3) 우리나라와 차이

개인정보 보호법은 정보주체에게 개인정보 열람요구권을 부여하고(제35조), 개인정보처리자에게 정보 주체 이외로부터 수집한 개인정보의 수집 출처 등을 고지할 의무를 부여하고 있다(제20조). 또한, 개인 정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청해야 한다(제18조제5항). 그러면서도 개인데이터 수수 사실의 확인·기록 및 보관 의무는 규정하고 있지 않아 정보주체의 열람요구권 등이 사실상 형해화되고 있다.

 

3. 개인데이터 유출 등에 대한 개인정보취급사업자의 책무 강화

 

가. 개인데이터 유출 등의 사고 발생시 보고 및 통지 의무화

 

(1) 개정내용

개인데이터의 유출, 멸실, 훼손, 그밖에 개인의 권리·이익을 침해할 우려가 크다고 보아 위원회 규칙으로 정한 데이터 안전 관련사고 발생 시 개인정보취급사업자는 위원회에 그 사실을 보고해야 한다. 다만, 수탁자의 경우에는 개인정보취급사업자(위탁자)에게 유출 등의 사고를 통지한 경우에는 통지의무가 면제된다 (제22조의2제1항). 또한, 개인정보취급사업자는 본인에 대해서는 유출 등의 사고를 통지해야 하지만, 주소 불명, 연락처 미기재 등으로 본인에 대한 통지가 어렵고 본인의 권리·이익을 보호하기 위해 필요한 대체 조치를 취한 경우에는 통지 의무가 면제된다(제22조의2제1항).

 

다만, 개인정보취급사업자의 보고 부담, 실행 가능성 등을 고려하여 위원회 규칙으로 경미한 사고는 보고하지 않아도 되도록 보고대상이 되는 유출 등의 유형을 일정 수 이상의 개인데이터, 요배려정보 등의 유출로 한정하고, 보고 기한도 특정하지 않은 채 “신속하게” 보고하도록 하며, 보고처도 위원회(또는 권한 위임 관청)로 일원화 할 계획이다. 현행법에서는 유출 등의 보고가 의무로 규정되어 있지 않고 “노력” 의무로 되어 있고, 신고처도 위원회, 권한 위임 관청, 인정개인정보보호단체 등으로 분산되어 있다(위원회 고시).

 

(2) 개정이유

유출 등의 보고가 의무화 되어 있지 아니하여 일부 사업자들이 유출 등의 사고에 적극적으로 대응하지 않고 있으며, 사업자들이 보고하거나 공개하지 아니하면 위원회가 사안을 파악하지 못한 채 적절한 대응을 할 수 없었다. 또한 유출 등의 사고를 본인에게 통지하지 않으면 본인의 2차 피해로 이어질 수 있고 권리 행사 등 필요한 조치를 강구할 수 없게 할 우려가 있다. 더 나아가 유출 등의 보고는 해당 사업자를 적절히 감독하는 것뿐만 아니라, 당국이 관련 사업자들이 참고해야 할 정보를 적극적으로 배포하거나 조언함으로써 다른 사업자들의 적절한 대응으로 연결한다는 의미도 있다. 사업자 측에서도 유출 등의 보고에 대해 일정한 경감조치를 마련하는 것을 전제로 법령상 보고대상을 명확히 해주는 것이 보고를 할지 말지 망설이지 않게 해주는 측면이 있다.

(3) 우리나라와 차이

개인정보 보호법은 일찍부터 개인정보 유출 등의 사고에 대해서 신고 및 통지 의무를 규정하고 있다. 개인정보처리자는 1건의 개인정보라도 분실, 도난, 유출 등의 사실을 안 때에는 지체 없이(통상 3일) 정보주체에게 통지해야 하고, 유출 등의 건수가 1,000명 이상인 경우에는 개인정보보호위원회에 지체 없이 신고해야 한다(제34조). 정보통신서비스제공자등은 유출 등의 사실을 안 때로부터 24시간 이내 이용자에게 통지를 해야 하고, 유출 등이 된 개인정보가 1건에 불과하더라도 유출 등의 사실을 안 때로부터 24시간 이내에 개인정보보호위원회에 신고해야 한다(제39조의4).

 

나. 부적정한 방법에 의한 개인정보 이용 금지 명확화

 

(1) 개정내용

개인정보취급사업자는 위법 또는 부당한 행위를 조장하거나 유발할 “우려”가 있는 방법으로 개인데이터를 이용해서는 안 된다는 취지를 명확히 하고 있다(제16조의2). 현행법은 개인정보취급사업자는 거짓 기타 부정한 수단에 의해 개인정보를 취득하여서는 안 된다고만 규정함으로써(제17조제1항) 취득에 대해서만 규율하고 이용 방식이나 용도에 대해서는 특별한 제한을 두고 있지 않다.

 

(2) 개정이유

데이터 분석기술 등의 급속한 발전으로 잠재적으로 개인의 권리·이익의 침해로 이어질 수 있는 개인정보의 이용 형태가 나타나면서 개인들의 우려가 높아지고 있다. 이에 따라 현행법의 규정에 비추어 보아 “위법”의 상태는 아니라 하더라도 위법 또는 부당한 행위를 조장하거나 유발할 우려가 있는 방법으로 개인정보를 이용하는 사례들이 발견되고 있다. 하지만, 경제계에서는 개정법이 위법 또는 부당한 행위를 조장하거나 유발할 “우려”가 있는 방법으로 이용하는 것까지 금지하고 있어 향후 개인데이터 이용에 큰 장애 요소가 될 것이라는 지적을 하고 있다. 지금까지는 컴플라이언스 관점에서 개인데이터 이용에 관한 규정만 준수하면 되었지만, 앞으로는 이용이 “부적정” 한지 여부까지 고려해야 한다.

 

(3) 우리나라와 차이

개인정보 보호법 상 개인정보처리자는 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집해야 하고 목적에 필요한 범위에서 적합하게 개인정보를 처리해야 하며 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리해야 한다(제3조). 또한, 개인정보를 처리하거나 처리하였던 자는 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받거나 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위가 금지된다(제59조). 이에 따라 우리나라에서는 GDPR과 마찬가지로 “근거 없는” 개인정보 수집·이용은 위법으로 평가를 받는다.

 

 

 

4. 개인정보취급사업자의 자주적인 활동 촉진

 

가. 인정개인정보보호단체의 인정제도 개선

 

(1) 개정내용

인증개인정보보호단체란 개인정보보호를 추진하는 자주적인 단체로 위원회의 인정을 받은 단체이다. 현행법에서는 해당 사업자의 모든 사업 부문을 대상으로 하는 단체만 허용하고 있으나, 개정법은 해당 사업자의 특정분야 또는 특정부문만을 대상으로 하는 인정개인정보보호단체의 설립도 허용하고 있다 (제47조제2항).

 

(2) 개정이유

기업의 사업부문이 다각화 하고 특히 인터넷 관련 서비스가 급증하면서 하나의 기업이 다양한 사업부문을 갖게 되었으나 기존의 인정개인정보호단체는 해당 사업자의 전체 사업부문을 대상으로 하고 있어 분야별 또는 부문별 사업의 특성을 살리기 어려웠다. 따라서 사업자의 특정 사업 부문만(전자상거래 부문, 인공지능 부문 등)을 대상으로 하는 특정분야 인정개인정보보호단체를 허용할 필요성이 커지고 있다.

 

(3) 우리나라와 차이

개인정보 보호법은 개인정보처리자의 자율적인 개인정보 보호활동을 촉진하고 지원하기 위하여 개인정보 보호와 관련된 기관ㆍ단체의 육성 및 지원, 자율규약의 제정ㆍ시행 지원, 그 밖에 개인정보처리자의 자율적 개인정보 보호활동을 지원할 수 있지만 별도의 인정개인정보보호단체제도를 도입하고 있지는 않다(제13조). 따라서 사업자들이 개인정보보호단체를 설립·운영하고자 한다면 민법(제32조) 등에 근거해서 설립해야 한다.

 

나. 보유개인데이터 및 공동이용에 관한 공표사항의 내실화

 

(1) 개정내용

개인정보취급사업자가 공표해야 할 “법정 공표사항”을 확대하였다. 보유개인데이터에 관한 사항으로는 i)사업자의 주소, ii)법인의 대표자 성명(제27조제1항), iii)제3자 제공시 제공 기록의 열람 절차(제28조제5항), iv)이용정지 등의 청구권 행사절차(제30조제5항)가 추가되고, 공동이용과 관련해서는 기존의 5개 항목에다 i)개인데이터 관리책임자의 주소와 ii)관리책임자인 법인의 대표자 성명이 추가되었다(제23조제5항). 이밖에도 정령 개정에 의하여 법정 공표사항이 추가될 예정이다.

 

(2) 개정이유

개인정보보호를 위한 체제정비, 적정한 취급을 위한 대응조치 등은 사업자가 취급하는 정보의 성질 등에 따라 자주적으로 이루어질 것이 요구되는데 이와 같은 대응을 촉진한다는 관점에서 어떤 틀을 만들어 주는 것이 사업자 및 경영자의 의식을 높이는데 중요하다. 이에 따라 개인정보영향평가 실시, 개인정보보호책임자 지정 등의 의무화가 검토되었으나, 이는 오히려 사업자의 자주적인 노력을 저해할 수 있다는 지적에 따라 보유개인데이터 취급 등에 관한 공표사항만 추가하는 것으로 하였다.

 

(3) 우리나라와 차이

개인정보 보호법상 개인정보처리자는 개인정보의 처리 목적, 처리 및 보유 기간, 제3자 제공, 파기 절차 및 방법, 처리 위탁 등에 관한 사항이 포함된 개인정보의 처리방침을 수립해야 하고, 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 공개해야 한다(제30조).

 

5. 개인데이터의 안전한 이용·활용 확대 및 촉진

 

가. 가명가공정보의 정의 신설 및 활용 기준 마련

 

(1) 개정내용

개인식별부호를 포함한 개인정보에 대해서는 개인식별정보의 전부를 삭제하거나 복원할 수 없는 다른 정보로 대체하는 것에 의해, 그 이외의 개인정보에 대해서는 이름 등 특정 개인을 식별할 수 있는 정보를 삭제하거나 복원할 수 없는 다른 정보로 대체함으로써 다른 정보와 대조하지 않고는 특정 개인을 식별할 수 없도록 개인정보를 가공해서 얻은 개인에 관한 정보를 “가명가공정보”로 정의하고(제2조제9항제1,2호), 가명가공정보는 가공 전의 개인정보로 복원하거나 특정 개인을 식별하지 않을 것을 조건으로 하여 “기업 내부”에서는 본인의 동의 없이 분석·이용할 수 있게 했다(제35조의2, 제35조의3).

 

개정법은 가명가공정보의 개념을 도입하면서 개인정보인 가명가공정보(제35조의2제3,5,9항)와 개인정보가 아닌 가명가공정보(제35조의3제1,3항)로 나누고 있다. 다른 정보와 쉽게 대조할 수 있고 특정 개인을 식별할 수 있는 가명가공정보가 전자에 속하고(주로 개인정보취급자가 이용하는 가명가공정보), 다른 정보와 쉽게 대조할 수 없고 특정 개인을 식별할 수 없는 가명가공정보가 후자에 속한다(주로 수탁자, 공동이용자 등이 이용하는 가명가공정보).

 

“개인정보인” 가명가공정보를 취급할 때에는 이용 목적을 특정해서 “공표”(통지할 의무는 없음, 제35조의2제4항)해야 하고, 법령에 의한 경우를 제외하고 본인의 동의를 받거나 공익상 필요가 있어도 특정된 목적 외로는 이용할 수 없으나(제35조의2제3항), 이용목적 변경 범위의 제한(제15조제2항)⁽⁴⁾, 유출 등의 보고·통지(제22조의2), 보유개인데이터에 관한 사항의 공표(제27조), 본인의 청구권(제28조 내지 제34조) 등에 관한 규정은 적용되지 않는다(제35조의2제9항). “개인정보가 아닌” 가명가공정보는 개인정보가 아니므로 이용 목적 특정 및 통지·공표 의무, 목적 외 이용금지 의무가 적용되지 않으며(제15조), 보유개인데이터에 관한 사항의 공표(제27조), 본인의 청구권(제28조 내지 제34조) 등에 관한 규정도 적용되지 않는다. 하지만, 개인정보가 아닌 가명가공정보에 대해서도 개인데이터에 대한 안전관리조치(제20조), 종업원에 대한 감독(제21조), 수탁업체의 감독(제22조), 불만처리의무(제35조) 등에 관한 규정은 그대로 준용된다(35종3제3항).

 

한편, 가명가공정보는 개인정보인 가명가공정보이든 개인정보가 아닌 가명가공정보이든 법령에 의한 경우가 아니면 국내 또는 국외의 제3자에 대한 제공이 금지된다(제35조의2제6항, 제35조의3제1항). 다만, 위탁이나 재위탁, 사업승계, 공동이용에 따른 제공은 가능하다(제35조의2제6항, 제35조의3제2항⁽⁵⁾). 또한, 가명가공정보에 포함되어 있는 연락처나 그 밖의 정보를 전화, 우편, 전보, 팩스, 메일 등의 송신이나 주거 등의 방문 목적으로 이용할 수 없으며(제35조의2제8항, 제35조의3제3항), 다른 정보와 대조도 금지된다(제35조의2제7항). 더 이상 이용 필요가 없어진 가명가공정보에 대한 지체 없는 소거 의무는 면제되지만, “개인정보인” 가명가공정보와 삭제정보⁽⁶⁾ 등은 더 이상 이용할 필요가 없어진 때에는 지체 없이 소거해야 할 노력 의무가 부여된다(제35조의2제5항). 현행법은 복원이 불가능한 “익명가공정보”에 대해서만 규정하고 있다. 익명가공정보는 제3자 제공이 허용되며, 목적외 이용제한 규정도 적용되지 않는다.

 

(2) 개정이유

일본 기업의 이노베이션을 촉진하고 경쟁력을 강화하기 위해 개인데이터의 활용에 대한 경제계의 요망을 반영한 것이다. “익명가공정보”에 대해서는 그 활용의 유용성, 익명가공의 방법 어려움, 분석인재의 부재, 재식별 위험 등 때문에 활용이 저조하였다. 이에 따라 개인정보와 익명가공정보의 중간적인 규율을 받는 “가명익명정보”의 개념을 도입하여 일정한 수준의 안전성을 확보하면서 데이터로서의 유용성을 가공 전의 개인정보와 동등하게 유지함으로써 비교적 간편한 방법으로 데이터의 상세한 분석을 가능하게 할 필요가 있었다.

(3) 우리나라와 차이

개인정보 보호법은 “가명처리” 및 “가명정보”의 개념을 도입하고(제2조 제1의2호, 제1호 다목), 가명정보는 정보주체의 동의 없이 기업 내부적인 이용은 물론 제3자 제공도 가능하도록 하고 있다. 다만, 이용 또는 제공의 목적을 통계작성, 과학적 연구, 공익적 기록보존 등으로 제한하고 있다(제28조의2).

 

나. 개인관련정보(온라인 행태정보 등)의 개념 도입 및 치급 기준 마련

 

(1) 개정내용

생존하는 개인에 관한 정보로써 개인정보, 가명가공정보, 익명가공정보 중 어디에도 해당하지 않는 정보를 “개인관련정보”로 정의하고, 개인관련정보의 제3자 수집·제공에 대한 기준을 신설하였다(제26조의2). 이름 등과 연계되지 않은 인터넷 열람·검색 이력, 위치정보, 쿠키정보 등(이른바 행태정보, 기기정보 등)과 같이, 제공하는 자에게는 개인데이터에 해당하지 않아도 제공받는 자에게 개인데이터가 되는 정보가 이에 속한다. 개인관련정보를 제3자로부터 제공받고자 하는 자는 미리 본인의 동의를 받아야 하고(개인관련정보를 식별 목적으로 인정한다는 취지의 동의), 개인관련정보를 제공하는 자는 제공받는 자가 본인으로부터 적정한 동의를 받았는지 여부를 확인하고 일정기간 동안 그 사실을 기록으로 남겨야 한다(제26조의2제1,3항). 외국에 있는 제3자가 본인의 동의를 받을 때에는 해당 국가의 개인정보보호제도, 자신이 강구하고 있는 개인정보 보호조치, 그밖에 본인이 참고해야 할 정보를 제공하고 동의를 받아야 하고(제26조의2제1항제2호), 개인정보보호를 위한 적정한 조치를 취하여 본인의 동의 없이 개인관련정보를 국외에서 제공받은 경우에는 위원회 규칙으로 정하는 바에 따라 상당한 조치를 지속적으로 실시해야 한다(제26조의2제2,3항). 사업승계, 위탁, 공동이용에 따른 제공에 대해서도 동의 및 확인의 대상이 된다.⁽⁷⁾ 그러나 모든 경우에 동의 확인 의무가 부과되는 것은 아니고, 제공받을 자가 개인 식별을 위해 다른 정보와 대조할 것으로 “예상”되는 경우에 한한다. 현행법에는 개인관련정보에 관한 정의가 없고 수집·제공에 관한 기준도 없다.

 

(2) 개정이유

법률상 그 자체로는 특정 개인을 식별할 수 없어도 해당 정보를 취급하는 사업자의 내부에서 다른 정보와 용이하게 대조함으로써 특정 개인을 식별할 수 있는 정보도 개인데이터로 봄으로 쿠키 등과 연계되어 있는 이용자 데이터도 다른 정보와 용이하게 대조할 수 있고 그것에 의해 특정 개인을 식별할 수 있다면 개인데이터로 보아 왔다.⁽⁸⁾ 그러나 사업자 내부에서 다른 정보와 대조해서 특정 개인을 쉽게 식별할 수 없는 정보라도 이를 제3자에게 제공할 경우 제3자가 다른 정보와 결합하여 특정 개인을 식별할 수 있는 정보에 대해서는 그동안 견해가 일치하지 않았다. 최근 인터넷상의 이용자 데이터를 수집·축적·통합·분석하는 “DMP(Data Management Platform)” 플랫폼의 경우, 이름 등과 연결되지 않은 이용자 데이터를 수집·축적하기 때문에 해당 이용자 데이터는 개인 식별성은 없으나 제3자(B2C 사업자, 광고사업자 등)가 보유하고 있는 다른 정보와 쉽게 대조함으로써 특정 개인을 식별할 수 있는 경우가 있다. 이에 따라 인터넷 타켓팅 광고 등에 이용되는 온라인 행태정보 등에 대한 명확한 수집·제공의 기준을 제시하기 위한 것이다.

(3) 우리나라와 차이

온라인 행태정보에 관해서 개인정보 보호법은 특별한 규정을 두고 있지 아니하나, 정부는 「온라인 맞춤형 광고 개인정보보호 가이드라인」(방송통신위원회·한국인터넷진흥원, 2017.2)을 제정해 시행하고 있다. 동 가이드라인은 웹 사이트 방문 이력, 앱 사용 이력, 구매 및 검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악하고 분석할 수 있는 온라인상의 이용자 활동정보(행태정보)가 개인 식별정보와 결합할 때에는 개인정보가 되므로 이용자의 사전 동의를 받아야 한다고 설명하고 있으나, 식별정보와 쉽게 결합이 가능한 상태라도 실제 결합되어 있지 않으면 개인정보가 아닌 것으로 보고 있다.

 

6. 개인정보보호법 위반에 대한 벌칙규정의 강화

 

가. 개인정보보호위원회 명령 위반 등에 대한 벌칙 강화

 

(1) 개정내용

위원회의 명령 위반과 위원회에 대한 허위보고에 대해서 각각 법정형을 인상하였다. 명령위반에 대해서는 6개월 이하의 징역 또는 30만 엔 이하의 벌금에서 1년 이하의 징역 또는 100만 엔 이하의 벌금으로 인상하고, 허위보고 등에 대해서는 30만 엔 이하의 벌금에서 50만 엔 이하의 벌금으로 인상하였다 (제83~85조). 또한 위원회의 명령을 받는 자가 해당 명령을 위반한 경우에는 명령위반 사실을 공표할 수 있게 했다(제42조제4항).

 

(2) 개정이유

일본은 국제사회에 비하여 개인정보보호법 위반에 대한 벌칙이 낮아 위반행위 억제에 대한 실효성이 낮다는 비판을 꾸준히 받고 있다. 그러나 행정지도, 시정권고, 시정명령 등에 의하여 위법상태가 시정되고 있는 실태여서 벌칙의 강화는 최소화하였다.

 

(3) 우리나라와 차이

개인정보 보호법 상 개인정보보호위원회의 명령 위반에 대해서는 3천만 원 이하의 과태료, 관계 물품ㆍ 서류 등 자료를 제출하지 아니하거나 거짓으로 제출하거나 출입ㆍ검사를 거부ㆍ방해 또는 기피에 대해서는 1천만 원 이하의 과태료를 부과하도록 규정하고 있다(제75조).

 

나. 부정 제공 등에 대한 벌금형의 인상 및 차등화

 

(1) 개정내용

데이터베이스 등의 부정 제공과 위원회 명령 위반에 대한 벌금형의 경우 법인에 대한 벌금형의 최고액을 1억 엔 이하로 대폭 인상하였다(제87조). 현재는 개인과 법인의 벌금형이 데이터베이스 부정 제공의 경우 50만 엔으로 같고, 위원회 명령 위반의 경우에도 개인과 법인의 벌금형이 30만 엔으로 동일하다.

 

 

(2) 개정이유

벌칙은 위반행위를 억제하기 위한 최종적인 실효성 확보 수단인데, 법인과 개인의 경제력에 차이가 큼에도 불구하고 벌금형의 상한액이 동일하여 자력이 충분한 법인에 대해서는 벌칙 규정의 억제 효과를 기대하기 어렵다는 비판이 컸다.

 

(3) 우리나라와 차이

개인정보 보호법은 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자에 대해서는 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처하도록 규정하고 있다. 다만, 법위반에 대한 양벌 규정 적용 시 자연인과 법인 간에 차등을 두고 있지 않다(제71조, 제74조)..

 

7. 개인정보보호법의 역외적용과 국외이전 규제 강화

 

가. 외국사업자에 대한 보고징수, 출입검사, 명령, 벌칙 규정의 적용

 

(1) 개정내용

일본 내에 있는 사람에 대한 물품 또는 용역의 제공과 관련하여 그 개인을 본인으로 하는 개인정보, 가명가공정보, 익명가공정보 및 개인관련정보를 “취급”한 개인정보취급사업자가 외국에서 그 정보를 취급하는 경우에 대해서도 위원회가 보고징수, 명령, 명령위반 사실의 공표, 외국사업자에 대한 출입검사(현장 점검) 등을 할 수 있게 하고 벌칙 규정을 적용할 수 있게 하였다(제40조제1항, 제75조). 이 경우 외국의 주권과 관계에서 상대 국가의 동의 없이 외국 영역 내에서 공권력을 행사할 수 없으므로 외국 감독당국과 법률 집행에 대한 협력 절차를 마련하고(촉탁송달 등), 아울러 실효적으로 권한을 행사하고 적정절차를 담보하기 위하여 공시송달, 영사송달 등의 송달 절차를 마련하였다(제58조의4).

 

현행법 하에서는 역외적용의 대상이 “개인정보”와 “익명가공정보”로 되어 있고 해당 정보를 해외에 있는 사업자가 “취득”한 경우에 한해서 위원회가 해외사업자에 대해서 지도 및 조언(제41조), 위반행위의 중지 및 그밖에 위반을 시정하기 위해서 필요한 조치의 권고(제42조제1항) 등 강제력이 수반되지 않는 권한만 행사할 수 있고 보고징수, 출입검사, 명령, 명령위반사실 공표, 벌칙 등과 같은 강제력이 수반되는 규정은 적용하지 않고 있다.

 

(2) 개정이유

최근 외국 사업자의 개인정보 유출 사고와 법위반 행위가 빈번하고, 외국 사업자에게 지도, 조언, 권고 등을 해도 이를 이행하지 않을 경우 강제할 수 있는 수단이 없다. 이에 따라 공평성 관점에서 국내 사업자와 외국 사업자의 차별 취급에 대한 지적이 있다. 따라서 개인정보보호법에 상당하는 외국의 개인정보보호법을 집행하는 외국 감독당국에 대해서 상호주의원칙에 따라 해당 외국의 법률에 근거한 법의 집행에 대해서 협력을 구하는 것 이외에(제78조) 국내법을 직접 적용하여 실효성을 확보하고자 한 것이다. 이에 따라 규율대상을 “취득” 정보에서 “취급” 정보로 확대하고, 위원회의 권한도 지도 및 권고에서 보고징수, 출입 검사, 명령, 벌칙으로까지 강화하였다.

 

(3) 우리나라와 차이

개인정보 보호법은 역외 적용에 대해서 명시적인 규정을 두고 있지 아니하나 실무와 판례는 그동안 개인정보보호법(구 정보통신망법)의 역외 적용을 인정해 오고 있다. 다만, 외국에서의 법집행 방법이나 법집행에 대한 외국 감독당국과의 협력 절차는 마련되어 있지 않으며 영사송달, 공시송달 등의 송달 절차도 구체화 되어 있지 않다. 또한 익명정보는 개인정보 보호법의 적용 범위에서 제외함으로써 국내 사업자는 물론 해외 사업자에 대해서도 규율대상에서 제외된다.

 

나. 개인데이터 국외 이전 시 본인에 대한 정보제공 의무 충실화

 

(1) 개정내용

외국에 있는 제3자에게 개인데이터를 제공(위탁과 공유를 포함)하고자 하는 경우에는 원칙적으로 본의의 동의를 받아야 하고, 동의를 받을 때에는 위원회 규칙으로 정한 바에 따라 미리 i)해당 국가의 개인정보보호제도, ii)제공받을 자가 강구하고 있는 개인정보 보호조치 iii)그밖에 본인이 참고해야 할 정보를 제공하도록 했다(제24조제1,2항). 또한, 외국의 제3자가 개인데이터의 적정한 취급을 보장할 수 있는 체제를 갖추고 있어 본인의 동의를 받지 않고 개인데이터를 제공할 수 있는 경우에도 개인정보취급사업자는 위원회가 규칙으로 정한 바에 따라 외국의 제3자가 개인정보보호를 위한 상당한 조치를 지속적으로 실시하도록 하기 위해 필요한 조치를 강구함과 동시에 본인의 요구에 따라 해당 조치에 관한 정보를 제공하도록 하고 있다(제24조제3항).

 

(2) 개정이유

해외로의 업무 위탁이 일반화되고 비지니스 모델이 복잡화됨에 따라 개인데이터가 해외로 이전하는 일이 빈번해지면서 국외 이전에 따른 위험도 커지고 있다(개인데이터 파기·삭제 불응, 외국정부기관의 접근 등). 국가마다 보호수준이나 제도운영에 차이가 있어 개인인 본인은 물론 개인데이터를 이전하는 사업자조차 예견 가능성이 낮아 개인의 권리·이익 보호 관점에서 매우 심각한 결과를 초래할 수 있다. 따라서 정보 제공의무의 충실화가 필요하지만, 다른 한편으로 사업자에게 과중한 부담이 되지 않도록 본인의 예견 가능성을 확보하는 범위 내에서 제공하는 정보의 내용, 제3자 제공방법 등에 대해서만 보완하는 것으로 하고 있다.

 

(3) 우리나라와 차이

개인정보 보호법상 정보주체의 동의를 받거나 정보주체에 대한 고지 또는 공개의 방법으로 개인정보를 국외로 이전하고자 하는 자는 미리 이전되는 개인정보 항목, 이용 목적, 이전되는 국가, 이전일시 및 이전방법 등을 알려야 한다(제39조의12). 다만, 개인정보를 이전받는 국가 및 이전 받은 사업자의 개인정보 관련 법제도 및 관리체계가 정보주체에게 미칠 위험에 대해서는 알릴 의무가 없다.

 

Ⅲ. 그 밖의 제도 개선 및 향후의 입법과제

 

1. 공익 목적 개인데이터 활용의 유연화

 

일본 정부는 AI, Big Data 등의 첨단기술을 모든 산업과 사회에 도입하여 경제발전과 사회문제를 동시에 해결하겠다는 ‘Society 5.0’의 실현을 목표로 하고 있어 향후 데이터 수요가 급증할 것으로 예상하고 있다. 특히 개인데이터의 공익 목적 활용에 대한 요구가 클 것으로 예상하고 있다. 현행법상 개인데이터의 공익 목적 활용과 관련해서는 ‘사람의 생명, 신체 또는 재산의 보호를 위하여 필요한 경우로서 본인의 동의를 얻는 것이 곤란한 때’와 ‘공중위생의 향상 또는 아동의 건전한 육성의 추진을 위하여 특히 필요한 경우로서 본인의 동의를 얻는 것이 곤란한 때’에 한해서 본인의 동의 없이 개인데이터를 이용 또는 제공할 수 있게 하고 있다(제16조제3항).

 

그러나 지금까지 이와 같은 예외 규정은 엄격하게 운용되는 경향이 있었다. 앞으로 위원회는 안전이나 효과 측면에서 질 높은 의료서비스, 의약품, 의료기기 등의 실현을 위해 필요한 경우에는 Q&A나 가이드라인을 통해서 적극적으로 대응해 가겠다는 계획이다. 이에 따라 위원회는 개인정보 활용에 대한 상담지원체제의 내실화를 위해 가칭 ‘퍼스널 데이터의 효과적 활용 지원 창구’를 설치하고, 새로운 비즈니스 모델이나 사업자단체가 공통적으로 제기하는 개인정보 이슈에 대해 적극적인 상담으로 대응·지원하겠다는 계획이다.

 

2. 향후의 추가적인 입법과제

 

개정법에 따라 개인데이터 취급과 관련하여 사업자들이 준비해야 할 사항이 명확해진 부분이 많지만, 향후 정령, 규칙, 가이드라인 등에 의해서 구체화되어야 할 부분이 많이 남아 있다. 이에 따라 위원회는 정령, 규칙, 가이드라인 등의 정비에 대한 구체적인 로드맵을 발표한 바 있고(정령과 규칙은 2020.8.에 기본방침을 공개하고, 가이드라인은 2021.5.에 의견수렴 예정) ), 이에 따르면 2022년 봄쯤에 개정법의 전면 시행이 예상되지만, 2021년에도 다시 한 번 개인정보보호법의 일부 개정이 예정되어 있다.

 

추가 검토가 요구되는 것 중에는 법 위반행위에 대한 억제력을 강화하고 특히 외국 사업자의 법 위반행위에 대한 효과적인 법집행을 담보하기 위하여 과징금 제도의 도입 필요성에 대한 의견이 많다. 그러나 부당이득을 기준으로 과징금을 산정하고 있는 일본 법체계 특유의 제약으로 이 번 개정에서는 반영하지 못하였고 계속적으로 검토하기로 하였다. 그 이외에 정보이전권, 영향평가, 개인정보보호 책임자 지정 등이 계속적인 검토 과제로 남아 있다.

 

Ⅳ. 국내법적 시사점 및 함의

 

우리나라는 그동안 일본의 개인정보보호법에는 벤치마킹할 만한 사항이 없다고 생각돼 왔다. 그럼에도 불구하고 이번 일본의 개인정보보호법 개정 동향과 내용은 우리에게 몇 가지 시사점을 가져다준다. 우리나라 역시 데이터 경제로의 전환이 그린뉴딜정책의 핵심 전략 중 하나인 시점에서 데이터 활용과 개인정보보호 사이에서 정책결정자들의 고심이 크다.

 

1. 가명가공정보의 도입과 인공지능 진흥

 

일본은 비식별정보를 가명가공정보는 익명가공정보로 나누고 가명가공정보는 기업 내부에서만 이용할 수 있게 하고 제3자 제공시에는 익명화할 것을 요구하고 있다. 가명가공정보는 다시 개인정보인 가명가공정보와 개인정보가 아닌 가명가공정보로 나누어 규제수준을 달리하고 있다는 것이 특징이라고 할 수 있다. 이노베이션 촉진을 위해 경제계의 요망을 반영한 것이라고는 하나, 제3자 제공이 금지된 가명가공정보가 얼마나 많이 활용될지는 지켜보아야 할 것 같다.

 

우리나라는 가명정보도 제3자 제공이 가능하고 전문기관을 통해 가명정보의 결합도 가능하다. 다만, 국내에서 논의되고 있는 가명정보의 비식별화 조치 수준과 일본 개정법상의 비식별화 조치 수준에 대해서는 향후 공개될 일본 개인정보보호위원회의 가명가공정보 가이드라인을 지켜보아야 할 것이다. 우리나라보다는 상당히 완화된 수준의 비식별 조치 방법이 적용될 것으로 예상된다(연락처, 구입점, 구입일시 등 포함 허용). 또한 일본은 옵트아웃을 기반으로 한 명부사업자가 허용되고 본인 동의를 기반으로 한 정보은행도 가능하여 우리나라보다는 상대적으로 개인정보의 수집·이용 경로가 다양하다.

 

2. 옵트아웃 취급에 대한 규제강화와 정보은행 활성화

 

일본은 2015년 개인정보보호법을 개정하여 제3자 제공에 대해서는 옵트인으로 전환하였으나, 예외적으로 위원회에 옵트아웃 신고를 하면 본인의 동의 없이도 제3자 제공을 할 수 있게 하였다. 이른바 명부사업자(신고사업자)를 양성화하기 위한 것인데, 제3자로부터 부정하게 취득한 개인정보를 판매하는 등 명부사업자의 불법행위가 근절되지 않고 있어 취급할 수 있는 데이터를 제한하는 등 규제를 강화하고 있다. 대신 일본 정부는 본인(정보주체)의 “동의”를 기반으로 한 정보은행의 설립·운영을 촉진 및 지원하고 있다. 정보은행은 2016년 제정된 「관민 데이터 활용 추진 기본법」에 그 정책적 기반을 두고 있지만, 정보은행의 운영에 있어서는 「개인정보보호법」의 규정이 그대로 적용된다.

 

한편, 개정법은 옵트아웃 이용에 대해서도 중대한 규제를 신설하였다. “옵트아웃” 체제 하에서는 사실상 개인정보처리자에 의한 개인정보의 부적정한 이용을 막을 방법이 없다. 개인정보처리자가 적정한 이용으로 인정받기 어려운 방법이나 목적으로 개인정보를 이용하더라도 본인이 각자 사후적으로만 이용 거부권을 행사할 수 있어 피해를 회복하기 어려운 집단피해가 발생할 가능성이 매우 높고 피해가 발생해도 그 피해가 확대·확산된 후에야 인지하게 된다. 미국의 경우 옵트아웃을 허용하면서도 불공정하거나 기만적인 방법에 의한 개인정보의 이용을 금지하고 있어(FTC ACT §5) 정보주체의 동의를 받지 않아도 공정성이 담보될 수 있고, 유럽연합은 법률에 구체적으로 적법처리기준을 명시해 둠으로써(GDPR §6) 부적절한 수집·이용을 통제할 수 있으나, 일본은 그와 같은 통제장치를 마련해 두지 않고 옵트아웃제도를 운영해 왔다. 이로 인해 관보에 게재된 파산자 정보를 수집해 구글맵 상에서 서비스를 제공하는 “파산자맵” 사이트와 같은 인권침해적인 서비스들이 나타났다.

 

우리나라도 개인정보 보호법상 정보은행이 불가능한 것은 아니지만 개인정보 제3자 제공에 대한 동의를 받을 때 제3자를 특정해야 하기 때문에 정보은행의 운영이 현실적으로 어렵다. 일본의 경우 제3자 제공시 1)제3자 제공을 이용목적으로 하는 것, 2)제3자에게 제공된 개인데이터의 항목, 3)제3자에 대한 제공방법, 4)본인의 제공정지 청구권, 5)본인 요구를 접수하는 방법만 고지하면 되고 제공받을 제3자까지 고지할 의무는 없다. 다만, 정보은행의 경우 실명의 개인정보가 전전유통 될 수 있다는 우려 때문에 아직 소비자들은 호응은 낮은 것으로 보인다.

 

3. 쿠키정보 등 행태정보의 이용·제공 제한

 

개정법은 “개인관련정보”라는 새로운 개념을 도입하여 쿠키정보 등 이용한 트레킹 정보(온라인 행태정보 등)를 개인정보보호법의 규율 대상에 포함하고 있다. 미국, 유럽연합 등 다수 국가들이 개인정보와 익명 정보 사이에 다소 식별성이 떨어지는 “회색지대”의 정보가 존재함을 인정하고 이들 정보에 대해서도 넓게 개인정보성을 인정해 정보주체의 권리를 보호하면서도 동시에 유연한 법집행을 취하고 있는데 영향을 받은 것으로 보인다. 다만, 일본 개인정보보호법은 이와 같은 새로운 유형의 정보를 일률적으로 개인정보로 보지 않고 “개인관련정보”라는 새로운 명칭을 부여함으로써 일반 개인정보와 규율 수준을 달리하고 있다. 온라인광고업체, 마케팅사업자 등에게는 새로운 규제가 등장한 셈이지만, 일반 개인정보보다는 완화된 규제를 받게 되어 규제방법이 투명화 되었다는 점에서 나쁘지만은 않다고 볼 수 있다.

 

우리나라의 경우 “온라인 맞춤형 광고 개인정보보호 가이드라인”(방송통신위원회/한국인터넷진흥원, 2017.2)가 발표되긴 하였으나, 법적 근거가 부재하고 개인정보 보호법 상 개인정보의 정의 규정과 모순되는 측면이 있어 법적 근거를 명시할 필요가 있다. 그밖에 기술발전으로 인해 쿠키정보 이외에도 “제공하는 자”에게는 개인 식별성이 없으나 “제공받는 자”에게는 식별성 존재하는 유형의 정보가 날로 증가하여 이에 대한 투명한 규제기준이 필요하다.

 

4. 국외이전 및 역외적용에 대한 규제 강화

 

개정 일본 개인정보보호법은 역외 적용을 명시적으로 규정하고 있다. 이에 따라 해외사업자에 대해서도 국내 사업자에 대한 경우와 동일하게 개인정보보호법의 모든 규정이 전면적으로 적용되며, 보고징수, 출입검사, 명령, 벌칙 등의 규정도 그대로 적용된다. 또한, 역외 적용에 대한 실효성 확보를 위해 공시송달, 송달촉탁 등의 절차 규정도 마련해 두고 있다. 우리나라 개인정보 보호법은 역외적용에 대한 명시적인 규정은 없으나, 일반적으로 역외적용이 가능하다는 의견이 우세하다. 그럼에도 불구하고 해외 감독기구와의 협력절차, 송달촉탁, 공시송달 등의 절차규정이 미비하여 역외적용에 대한 준비가 미비한 상태이다.

 

또한, 개인정보 국외이전 시 정보주체에 대한 고지의무를 강화하고(해당 국가 및 수령자의 개인정보보호제도, 개인정보호 조치, 그 밖의 위험), 국외이전 이후에도 안전조치가 유지되도록 강구할 의무를 제공자에게 부과하고 있다는 점이 특징이라고 할 수 있다. 우리나라 개인정보 보호법상 요구되고 있는 정보주체에 대한 법정 고지사항은 정보주체의 선택권 행사에 별 도움을 주지 못하며 국외 제3자 제공 후의 안전장치 계속 유지에 대한 대책도 마련되어 있지 않다.

 

역외 적용규정에 따라 이제 국내 기업들도 일본 개인정보보호법의 규제를 직접 받게 되었다. 특히 “가명가공정보”는 국외 제공(위탁 또는 공동이용에 따른 제공은 제외)이 금되고, “개인관련정보”도 국외 제공에 대해서는 본인의 동의를 받아야 한다. 데이터베이스 등의 부정 제공에 따른 벌금형이 50만 엔(약 5,000만원)에서 1억 엔(약 10억 원) 이하로 대폭 인상되었는바 주의가 필요하다. 그밖에 개인정보의 부정적한 이용을 금지하고 있으므로 개인정보취급사업자는 해당 개인정보의 수집·이용이 부적정한 것인지 여부를 판단해야 한다.

[참고문헌]

 

1. 個人情報保護委員会, 「個人情報保護法, いわゆる３年ごと見直し制度改正大綱」, 令和元年 12月13日
2. 個人情報保護委員会, 改正個人情報保護法 政令・規則・ガイドライン等の整備に当たっての基本的な考え方について
3. 個人情報保護委員会, 改正法に関連する政令・規則等の整備に向けた論点について(公表事項の充実）, 令和２年10月14日
4. 個人情報保護委員会, 改正法に関連する政令・規則等の整備に向けた論点について（漏えい等報告及び本人通知）, 令和２年10月30日
5. 澤崎 敦一/村上 遼, 令和 2年 個人情報保護法改正, AMT Newsletter, 2020.7.

6 野村總合硏究所, 個人情報保護法改正における議論及びニューノーマルにおけるパソナルデータの活用のあリ方, 2020.7.2

7. 水町 雅子, 個人情報保護法改正2020年のポイント解説, 2020.4
8. 渡邉雅之, Ｑ＆Ａ改正個人情報保護法（全面改訂版), 2020 年８月 21 日
9. 保⽊野 昌稔, 個⼈情報保護法の 2020 年改正について