2023-09-15부로 개정된 개인정보보호법

2023년 9월 15일 발효된 대한민국의 개인정보 보호법(PIPA) 개정안은 국가의 데이터 보호 규정을 대대적으로 개편합니다. 주요 변화는 데이터 주체의 권리를 강화하고, 규제를 간소화하며, 새로운 기술과 데이터를 통해 한국의 디지털 경제 성장을 촉진하는 것을 목표로 했습니다.

개정된 개인정보 보호법에 도입된 주요 변경 사항은 다음과 같습니다.

1. 정보주체 권리 강화 : 개정안에는 정보이동권과 자동화된 의사결정에 반대할 권리가 추가되었습니다. 이를 통해 개인은 자신의 개인 데이터에 대해 더 큰 통제권을 가질 수 있습니다.
2. 긴급 상황에서의 데이터 처리 유연성 : 공중 보건 위기와 같이 물리적 위협으로부터 사람들을 긴급히 보호해야 하는 긴급 상황에서는 데이터 처리에 더 많은 자유가 있습니다.
3. 분쟁 해결 절차 : 개정안은 권리가 침해되었을 수 있는 개인에게 신속한 구제 조치를 제공하기 위해 개인 정보 보호 관련 분쟁 해결 프로세스를 수정합니다.
4. 데이터 컨트롤러를 위한 간소화된 적용 : 이 법은 온라인 서비스 제공업체에 대한 특정 조항을 제거하여 모든 데이터 컨트롤러에 대해 보다 통일된 규칙 세트를 적용합니다.
5. 형사 처벌에서 경제 제재로 전환 : 개정안은 데이터 유출에 대한 형사 처벌에서 대신 경제 제재를 선호합니다.
6. 해외 데이터 전송에 대한 추가 근거 : 이제 이 법은 EU GDPR과 유사한 표준에 더욱 밀접하게 맞춰 개인 정보의 해외 전송에 대한 더 많은 근거를 제공합니다.
7. 보안 조치 요구 사항 : 데이터 관리자는 개인정보보호위원회(PIPC) 및 한국인터넷진흥원(KISA)이 규정한 포괄적인 보안 조치를 구현해야 합니다. 이러한 조치에는 내부 관리 계획, 개인 정보 보호 담당자 임명, 위험 평가 및 기술적 보호 조치가 포함됩니다.
8. 법적 요건 명확화 : 이번 개정안은 특히 온라인과 오프라인 사업 간 불명확하거나 일관성이 없었던 규제를 명확화하고 간소화하는 것을 목표로 합니다.

이번 수정안은 빠르게 발전하는 디지털 경제의 맥락에서 한국의 데이터 보호 표준을 글로벌 관행에 맞추기 위한 중요한 단계입니다.

2023-09-15부로 개정된 개인정보보호법

개인정보보호위원회(PIPC) 및 한국인터넷진흥원(KISA)이 규정한 포괄적인 보안 조치

한국의 개인정보보호위원회(PIPC)와 한국인터넷진흥원(KISA)은 데이터 관리자에 대한 포괄적인 보안 조치 요구 사항을 제시했습니다. 이러한 보안 조치의 주요 구성 요소는 다음과 같습니다.

• 내부관리계획 : 정보처리자는 개인정보가 분실, 도난, 누출, 변조, 훼손되지 않도록 내부관리계획을 수립하고 시행하여야 합니다. 이 계획에는 개인 정보 보호 최고 책임자(CPO) 지정, CPO와 개인 정보를 처리하는 직원의 역할 및 책임, 직원 교육, 액세스 관리 등과 같은 다양한 측면이 포함됩니다.
• 기술적·관리적 대책 : 개인정보의 암호화, 접속기록의 보관·점검, 악성프로그램 차단, 물리적 안전조치, 정보처리자에 대한 관리·감독 등을 포함합니다. 이러한 조치는 다양한 위협과 취약성으로부터 개인정보를 보호하기 위해 고안되었습니다.
• 최고 개인정보 보호 책임자 및 최고 정보 보안 책임자 임명 : 데이터 관리자는 CPO를 지정해야 하며, 온라인 서비스 제공업체의 경우 최고 정보 보안 책임자(CISO)를 지정해야 합니다. 이러한 담당자는 개인 데이터의 무결성과 보안을 유지하는 데 있어 특정한 책임과 역할을 가지고 있습니다.
• 사고 대응 계획 : 데이터 관리자는 재난이나 사고 발생 시 개인 정보를 보호하기 위한 대응 전략을 마련해야 합니다. 여기에는 개인정보처리시스템에 대한 백업 및 복구 계획이 포함됩니다.
• 위험 평가 및 규정 준수 모니터링 : 정기적인 위험 평가 및 취약성 검색이 필수적입니다. 여기에는 개인정보 위험 평가를 수행하고 식별된 위험을 완화하기 위해 필요한 조치를 취하는 것이 포함됩니다.
• 액세스 제어 및 내부자 위협 프로그램 : 차별화된 액세스 제어 구현, 사용자 계정 관리, 비밀번호 정책 시행이 중요합니다. 이는 개인정보에 대한 무단 접근을 방지하는 데 도움이 됩니다.
• 다중인증 및 피싱방지대책 : 개인정보처리시스템에 대한 원격접속을 확보하고, 인터넷을 통한 보안사고를 예방하기 위해 필요합니다.

이러한 조치는 기술적 보호 조치와 관리 관행을 모두 포괄하는 개인 정보 보호에 대한 포괄적인 접근 방식을 반영합니다. 이는 강력한 데이터 보호 표준에 대한 한국의 약속에 따라 개인 데이터의 무결성, 기밀성 및 가용성을 보장하도록 설계되었습니다 .

 

EU GDPR

유럽 ​​연합의 일반 데이터 보호 규정(GDPR)은 2018년 5월 25일 발효된 획기적인 개인 정보 보호법입니다. 이는 전 세계 데이터 개인 정보 보호에 관한 가장 중요한 법률 중 하나를 나타내며 데이터 보호 방식에 광범위한 영향을 미쳤습니다. 전역적으로 처리됩니다. GDPR의 주요 측면은 다음과 같습니다.

1. 범위 : GDPR은 EU 내에 기반을 둔 조직뿐만 아니라 EU 데이터 주체에게 상품이나 서비스를 제공하거나 EU 데이터 주체의 행동을 모니터링하는 경우 EU 외부 조직에도 적용됩니다. 이러한 폭넓은 적용 가능성은 데이터 보호 관행에 전 세계적으로 영향을 미칩니다.
2. 동의 : GDPR의 핵심 원칙 중 하나는 개인 데이터 처리에 대한 명확하고 적극적인 동의 요구 사항입니다. 이 동의는 자유롭게, 구체적으로, 정보를 바탕으로, 모호하지 않게 제공되어야 합니다.
3. 데이터 주체 권리 : GDPR은 EU 시민에게 데이터 액세스, 잊혀질 권리(데이터 삭제), 데이터 이동성에 대한 권리, 데이터 처리에 반대할 권리 등의 권리를 포함하여 개인 데이터에 대한 강화된 통제권을 제공합니다.
4. 데이터 보호 책임자(DPO) : 특정 조직에서는 GDPR 준수 감독, 평가 수행, 데이터 주체 및 규제 당국의 연락 창구 역할을 수행하는 데이터 보호 책임자를 임명해야 합니다.
5. 개인 정보 보호 설계 및 기본 : 이 원칙은 데이터 보호 조치가 처음부터 비즈니스 프로세스 및 시스템 개발에 통합되도록 요구합니다.
6. 데이터 위반 알림 : 데이터 위반이 발생한 경우 GDPR은 조직이 72시간 이내에 해당 데이터 보호 당국에 통보해야 하며, 어떤 경우에는 위반의 영향을 받은 개인에게 알려야 한다고 규정하고 있습니다.
7. 규정 위반 시 처벌
   •  GDPR은 비준수에 대해 상당한 벌금을 부과하며, 이는 위반 회사의 전 세계 연간 매출액의 4% 또는 2천만 유로(둘 중 더 높은 금액)까지 부과될 수 있습니다.
   • 이로 인해 전 세계 조직은 데이터 보호의 우선순위를 정하게 되었습니다.
     1. 국제 데이터 전송 : GDPR은 개인 데이터를 EU 외부로 전송하는 것을 제한합니다. 전송은 적절한 보호를 받는 것으로 간주되는 국가로만 허용되거나 표준 계약 조항 또는 구속력 있는 기업 규칙과 같은 승인된 메커니즘을 사용하는 경우에만 허용됩니다.
     2. 기록 보관 : 조직은 데이터 처리 활동에 대한 자세한 기록을 유지하여 GDPR 준수를 입증해야 합니다.
     3. 영향 평가 : GDPR은 조직이 개인의 권리와 자유에 높은 위험을 초래할 수 있는 처리 활동에 대해 DPIA(데이터 보호 영향 평가)를 수행하도록 요구합니다.
     4. 아동 데이터 : GDPR은 특히 소셜 네트워킹과 같은 상업용 인터넷 서비스의 맥락에서 아동의 개인 데이터에 대한 추가 보호를 제공합니다.

GDPR은 데이터 보호 및 개인 정보 보호에 대한 글로벌 벤치마크를 설정하여 다른 관할권에서도 유사한 규정을 채택하도록 영향을 미쳤습니다. 개인 정보 보호 및 개인 데이터 보호를 보장하기 위한 포괄적인 접근 방식은 전 세계 조직에 큰 영향을 미쳐 데이터 관리 및 보안에 대한 보다 사려 깊고 엄격한 접근 방식으로 이어졌습니다.