1. 개인정보 보호법 개정(2023.02)의 배경 및 의의
배경: 디지털 대전환에 따른 데이터 활용 급증, 개인정보 전송요구권 등 신규 서비스 등장, 온-오프라인으로 이원화된 규제 체계의 통합 필요성 증대.
의의: '보호'와 '활용'의 균형을 도모하고, 정보주체의 자기결정권을 강화하여 글로벌 스탠다드(GDPR 등)에 부합하는 체계 마련.
2. 1) 개인정보 보호법 개정안의 주요 내용
| 구분 | 주요 내용 | 세부 설명 |
| 정보주체 권리 강화 | 개인정보 전송요구권 | 본인의 정보를 본인이나 제3자에게 전송하도록 요구할 수 있는 권리 (마이데이터 확산) |
| 자동화 의사결정 대응권 | AI 등을 활용한 자동화된 결정에 대해 거부하거나 설명을 요구할 권리 | |
| 규제 합리화 | 온-오프라인 통합 | 정보통신서비스 제공자 특례 규정을 삭제하고 일반 규정으로 통합 (동일 행위 동일 규제) |
| 이동형 영상정보처리기기 | 자율주행차, 드론 등 이동형 기기의 촬영 요건 및 운영 기준 마련 | |
| 형벌 중심에서 경제적 제재로 | 과징금 부과 체계 개편 | 과징금 상한액을 '전체 매출액의 3% 이하'로 조정 (위반 행위와 연관성 고려) |
| 국외 이전 요건 다양화 | 국외 이전 대상 확대 | 동의 외에도 적정성 결정, 표준계약서 등을 통한 국외 이전 경로 다변화 |
3. 2) 개인정보 관련 개별 주체들과 개인정보 처리 흐름
개인정보 처리 프로세스는 정보주체를 중심으로 수집부터 폐기까지의 생명주기를 가집니다.
개별 주체:
정보주체: 처리되는 정보에 의해 식별될 수 있는 사람 (권리의 주체).
개인정보처리자: 업무를 목적으로 개인정보파일을 운용하기 위해 스스로 또는 타인을 통해 개인정보를 처리하는 공공기관, 법인, 단체 및 개인.
개인정보수탁자: 처리자로부터 개인정보 처리 업무를 위탁받아 수행하는 자.
처리 흐름 (Life-cycle):
수집/채집: 최소 수집의 원칙, 적법한 동의 또는 법적 근거에 기반.
저장/관리: 암호화, 접근 제어 등 기술적·관리적 보호조치 적용.
이용/제공: 수집 목적 범위 내 이용, 제3자 제공 시 별도 동의 필요.
파기: 보유 기간 경과 또는 목적 달성 시 복구 불가능한 방법으로 파기.
4. 3) 개인정보 전송요구권과 AI 활용을 위한 자동화 의사결정 대응권
이번 개정의 핵심인 '데이터 주권' 강화를 위한 두 가지 신설 권리입니다.
가. 개인정보 전송요구권 (Right to Data Portability)
개념: 정보주체가 개인정보처리자에게 자신의 정보를 본인, 또는 일정한 요건을 갖춘 제3자(신뢰할 수 있는 전문기관 등)에게 전송해 줄 것을 요구하는 권리.
기대 효과: 금융·공공을 넘어 전 산업(의료, 유통 등)으로 마이데이터(MyData) 서비스 확산 및 데이터 이동성 확보.
나. 자동화된 의사결정에 대한 대응권 (Right to Object to Automated Decision-making)
개념: 인공지능(AI) 등 완전히 자동화된 시스템에 의한 결정이 자신의 권리나 의무에 중대한 영향을 미치는 경우, 이를 거부하거나 설명을 요구할 수 있는 권리.
대응 방식:
거부권: 자동화된 결정의 적용을 받지 않을 권리.
설명요구권: 결정의 기준, 로직 등에 대해 이해하기 쉬운 설명을 요구할 권리.
재검토 요구: 결정 결과에 대해 이의를 제기하고 인적 개입을 통한 재검토 요구.
5. 기술사적 제언: 신뢰 기반의 데이터 경제 활성화 전략
Privacy by Design (PbD): 기획·설계 단계부터 개인정보 보호를 고려하는 PbD 원칙을 준수하여 자동화 의사결정의 투명성 확보 필요.
기술적 보호조치 고도화: 전송요구권 대응을 위한 표준 API 보안 강화 및 동형암호, 차분 프라이버시 등 프라이버시 보존 기술(PET) 도입 검토.
결언: 이번 개정법은 '데이터 활용'을 촉진하면서도 정보주체의 권리를 실질적으로 보장하는 전환점임. 기술사는 법적 준거성을 바탕으로 안전한 데이터 활용 아키텍처를 설계하고 운영할 수 있는 전문성을 갖춰야 함.
댓글 없음:
댓글 쓰기