자유로운 의사에 따라 동의 여부를 선택토록 해야...계약 이행 위한 경우에는 동의 없이 수집·이용
[금융소비자뉴스 박도윤 기자] 앞으로는 개인정보 취급자가 정보를 사적으로 유용하면 최대 5년의 징역에 처해질 수 있다.
정보주체인 국민의 개인정보를 더욱 엄격히 보호하기 위해 개인정보를 사적인 목적으로 이용하는 행위를 엄격히 금지하고, 위반할 경우 5년 이하의 징역 또는 5000만원 이하의 벌금에 해당하는 형사처벌을 하도록 규정한 개정 개인정보보호법이 이달 시행되기 때문이다.
개인정보보호위원회는 5일 국무회의에서 이 같은 내용을 담은 개인정보보호법 시행령 개정안이 의결됐다고 밝혔다.
지난 3월 14일 공포된 개인정보보호법과 후속 개정 시행령은 이달 15일부터 시행된다.
개정법은 법인이나 단체와는 달리 개인정보 처리자가 아닌 취급자에 해당된다며 규정하지 않았던 개인에 대한 처벌 규정을 명확히 했다.
긴급 구조를 해야 하거나 코로나19 등 공공의 안전을 위해 필요한 경우에는 개인정보를 수집·이용·제공할 수 있도록 했으나 개인정보 안전조치·파기·정보주체의 권리 보장 등 의무를 준수토록 했다.
내년 9월 15일부터는 정보주체가 자신의 자유로운 의사에 따라 동의 여부를 선택할 수 있도록 해 그간의 형식적인 개인정보 수집 동의 절차도 개선했다.
다만 계약 이행을 위해 필요한 경우에는 개인정보를 동의 없이 수집·이용할 수 있도록 했다.
과징금 상한액은 전체 매출액 기준으로 산정하고 그 중 위반행위와 관련없는 매출액은 제외되는데 사업자가 개인정보보호법 위반 행위와 관련 없는 매출을 증명해야 한다.
기존에는 개인정보위가 과징금 산정에 포함할 매출 부문을 하나씩 입증해야 했는데, 관련 자료를 기업이 보유하고 있다 보니 과징금 산정에 어려움이 많았다.
기존에는 개인정보 질서 위반행위에 대한 과태료 부과는 의무였으나 앞으로는 위반행위의 정도나 동기, 결과, 개인정보 처리자의 규모에 따라 면제까지 가능해진다.
또 소상공인이 법을 알지 못해 발생하는 과태료 규정은 삭제되는 대신, 개인정보 보호 시정조치 명령 이후 불이행하면 과태료를 부과하는 체제로 전환한다.
개인정보 유출 인지 시 개인정보 당국에의 신고 시한은 앞당겨졌다.
모든 개인정보처리자는 개인정보가 유출됐다는 사실을 알게 됐을 때, 유출된 개인정보 규모가 1000명 이상인 경우, 민감정보나 고유식별 정보가 유출된 경우, 해킹 등 외부로부터 불법적인 접근에 의한 유출인 경우 72시간 이내에 당국에 신고해야 한다.
정보주체에 대한 통지도 유출 규모와 무관하게 72시간 이내에 이행해야 한다.
