개인정보보호법은 개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 하는 법률입니다.
이 법은 2011년 3월 29일에 공포되어 2011년 9월 30일부터 시행되었으며, 2023년 9월 15일에 개정되었습니다.
개인정보보호법의 주요 내용
개인정보의 정의: 개인정보는 생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명, 주민등록번호 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보(당해 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함한다)를 말합니다.
개인정보의 수집·이용·제공: 개인정보의 수집·이용·제공은 정보주체의 동의를 받아야 하며, 동의를 받은 목적의 범위 내에서만 할 수 있습니다. 동의를 받을 때에는 수집·이용·제공하는 개인정보의 항목, 목적, 기간, 제3자 제공의 경우 제공받는 자, 제공목적, 제공하는 개인정보의 항목 등을 명시하거나 고지하여야 합니다.
개인정보의 보유·파기: 개인정보의 보유·파기는 개인정보의 수집·이용·제공에 관한 동의를 받은 목적이 달성되거나 보유기간이 종료되면 지체 없이 파기하여야 합니다. 파기 방법은 기록된 매체의 종류에 따라 다르며, 재생이 불가능한 방법으로 파기하여야 합니다.
개인정보의 안전성 확보조치: 개인정보의 안전성 확보조치는 개인정보의 유출, 변조, 훼손 등을 방지하기 위하여 기술적·관리적·물리적 조치를 하여야 합니다. 예를 들면, 개인정보의 암호화, 접근권한의 제한, 개인정보처리시스템의 보안프로그램 설치, 개인정보의 취급자를 최소한으로 제한, 개인정보가 포함된 서류나 저장매체 등을 잠금장치가 있는 안전한 장소에 보관하는 등의 조치가 있습니다.
개인정보의 열람·정정·삭제·처리정지 요구: 정보주체는 개인정보를 처리하는 개인정보처리자에게 자신의 개인정보를 열람하거나 정정·삭제·처리정지를 요구할 수 있습니다. 개인정보처리자는 정보주체의 요구가 정당한 경우에는 지체 없이 조치하여야 합니다.
개인정보의 이전·파기·처리정지 등의 통지: 개인정보처리자는 개인정보의 이전·파기·처리정지 등의 사실을 정보주체에게 통지하여야 합니다. 통지 방법은 서면, 전자우편, 모사전송, 전화, 문자메시지 등의 방법을 사용할 수 있습니다.
개인정보의 유출 등의 신고·통지: 개인정보처리자는 개인정보의 유출, 변조, 훼손 등의 사고가 발생하거나 발생할 우려가 있는 경우에는 지체 없이 정보주체와 개인정보보호위원회에게 신고·통지하여야 합니다. 신고·통지 방법은 서면, 전자우편, 모사전송, 전화, 인터넷 등의 방법을 사용할 수 있습니다.
개인정보보호위원회의 설치 및 운영: 개인정보보호위원회는 개인정보보호법의 시행을 위하여 개인정보보호정책의 수립, 개인정보보호법 위반행위의 조사·심의·의결, 개인정보보호법 위반행위에 대한 과징금 부과, 개인정보 분쟁조정 등의 업무를 수행합니다.
개인정보보호법의 위반에 대한 제재: 개인정보보호법을 위반한 개인정보처리자에게는 과징금, 과태료, 벌금, 징역 등의 제재가 부과될 수 있습니다. 제재의 종류와 범위는 위반한 사항의 내용과 정도에 따라 다르며, 개인정보보호법의 제73조부터 제76조까지에서 구체적으로 규정하고 있습니다.
개정안 주요내용
정보주체인 국민의 권익 보호 강화: 급박한 생명·신체·재산의 이익을 위해 개인정보를 우선적으로 처리할 수 있게 하고, 민감정보의 공개 가능성을 줄이고, 사적인 목적으로 개인정보를 이용하는 행위를 엄격히 금지하였습니다. 또한, 동의 방법에 대한 원칙을 준수하도록 하고, 개인정보처리방침 평가제와 분쟁조정제도를 강화하였습니다.
규제 개선: 온라인과 오프라인에서 동일한 기준을 적용하고, 드론이나 자율주행차 등 이동형 영상정보처리기기의 운영 기준을 마련하였습니다. 또한, 14세 미만 아동의 개인정보 수집에 대한 의무를 모든 개인정보처리자에게 확대하고, 개인정보 유출 등의 신고·통지 의무를 통일하였습니다.
공공분야 등 개인정보 처리의 안전성 강화: 공공기관이나 공공시스템운영기관은 개인정보의 안전성을 확보하기 위해 개인정보보호책임자를 지정하고, 개인정보보호조치계획을 수립·시행하도록 하였습니다. 또한, 개인정보위는 개인정보처리자에게 개인정보의 안전조치 기준을 정하고, 이를 준수하도록 권고하거나 공표할 수 있습니다.
글로벌 스탠다드 반영: 개인정보위는 국외로 개인정보를 이전하거나 제공하는 개인정보처리자에게 적정한 보호수준을 갖추도록 하고, 이를 위반한 경우에는 개인정보의 이전이나 제공을 중지하도록 명령할 수 있습니다. 또한, 개인정보위는 국제적인 개인정보 보호 협력을 강화하고, 개인정보 보호에 관한 국제표준을 수립하거나 참여할 수 있습니다.