개인정보보호위원회는 6.28 제11회 전체회의에서 내년부터 2026년까지 향후 3년간의 우리나라 개인정보에 관한 정책방향을 담은 ‘개인정보 보호 기본계획(2024-2026)’을 의결하였습니다. ‘개인정보 보호 기본계획(2024-2026)’ 전문은 여기에서 확인이 가능합니다.
이번 기본계획은 “국민 신뢰 기반의 디지털 대전환 선도”라는 비전하에 3대 추진 전략과 10대 과제로 구성되어 있는데, 아래에서는 그 주요 내용을 살펴보도록 하겠습니다.
1. 추진 전략 및 과제
| 구분 | 추진전략 | 추진과제 |
| 전략 1 | 데이터 경제시대 선도 | ① 개인정보 가치 창출 |
| ② 신뢰할 수 있는 신기술 이용 환경 조성 | ||
| ③ 개인정보의 안전한 활용 촉진 | ||
| 전략 2 | 개인정보 안심사회 구현 | ④ 정보주체 두텁게 보호 |
| ⑤ 공공부문 보호수준 강화 | ||
| ⑥ 기업의 자율적인 보호활동 지원 | ||
| ⑦ 법·제도 엄정, 신속 집행 및 운영 | ||
| 전략 3 | 글로벌 데이터 신질서 주도 | ⑧ 신뢰할 수 있는 개인정보 국외이전 환경 조성 |
| ⑨ 디지털 대전환에 따른 개인정보 패러다임 전환 선도 | ||
| ⑩ 개인정보 분야 글로벌 리더십 확보 |
2. 각 과제별 주요 내용
(1) 데이터 경제시대 선도
| ① 개인정보 가치 창출 | ||
| 세부과제 | 주요 내용 | |
| 전 분야 마이데이터 생태계 확립 | 가. 국민 체감 마이데이터 서비스 발굴 | |
| 나. 마이데이터 참여유인 제고 | ||
| 마이데이터의 성공적 안착을 위한 핵심 인프라 구축 |
가. 마이데이터 법·제도 기반 조성 | |
| 나. 마이데이터 지원 플랫폼 구축 및 운영 | ||
| 다. 마이데이터 표준화 추진 | ||
| 안전하고 체계적인 마이데이터 확산 |
가. 실질적 선택에 기반한 전송요구권 행사체계 구현 | |
| 나. 개인정보 전송·활용 과정에서 보호체계 고도화 | ||
| 다. 각계의 전문가가 유기적으로 함께하는 정책 추진체계 정립 | ||
[법·제도 정비 계획]
- ’23.3.14. 개인정보보호법 개정으로 신설된 개인정보 전송요구권(시행일 미정)을 전 분야에 단계적으로 확대하여 국민의 자기결정권 강화를 위한 법제도 정비. 이를 위해 전송요구·다운로드권, 전송중단권 등 정보주체 권리 실질화를 위해 시행령, 고시, 가이드라인 등 하위법령에 세부기준을 마련
- 개인정보 전송 유도행위(다크패턴 등)에 대한 방지대책을 수립하고 데이터 수신자에 대한 안전한 관리감독 기준 마련
| ② 신뢰할 수 있는 신기술 이용 환경 조성 | ||
| 세부과제 | 주요 내용 | |
| 인공지능 시대에 대응한 규제혁신 추진 |
가. 인공지능 환경에서의 개인정보 보호·규제방안 마련 | |
| 나. 자동화된 결정과 프로파일링에 대한 합리적 개인정보 처리기준 마련 | ||
| 다. 실효성 있는 AI 규제 설계 및 집행을 위한 소통·협력 창구 운영 | ||
| 디지털 신기술 환경에서의 개인정보 보호방안 마련 |
가. 개인정보 보호 강화 기술(PET) R&D 및 보급 활성화 | |
| 나. 생체인식 서비스 활성화에 따른 개인정보 법제도 기반 마련 | ||
| 다. 클라우드 등 신기술 서비스에서의 개인정보 보호방안 연구 | ||
[법·제도 정비 계획]
- 공개된 정보, 서비스 과정에서 생성된 정보 등을 AI 학습에 활용하는 경우 개인정보 처리 원칙과 기준 마련
- ‘개인정보 보호법’에 신설된 ‘완전히 자동화된 결정’의 기준 및 절차, 정보주체의 권리 행사 등에 관한 하위 법령 및 가이드라인 마련 등을 통해 명확한 기준 제시
- AI 환경에서 새롭게 대두되는 이슈(개인정보 처리 고지방법, 비정형 데이터 처리기준 등)에 대한 규제 방향 공동 설계
- 생체정보 암호화 및 처리기록 보관 등 안전조치 강화, 실시간 원격 생체식별시스템 제한 등의 기준 제시
- 클라우드 서비스 제공자와 이용자 간 명확한 개인정보 처리 권한, 책임소재 명확화 기준 등을 반영한 가이드라인 마련
| ③개인정보의 안전한 활용 촉진 | ||
| 세부과제 | 주요 내용 | |
| 가명정보 안전 활용 지원 확대 |
가. 가명정보 활용 종합지원체계 고도화 | |
| 나. 가명정보 제도 개선 | ||
| 다. 가명·익명화를 통한 안전한 데이터 활용 확산 | ||
| 안전한 데이터 활용을 위한 법·제도 기반 조성 |
가. 합성데이터 생성 및 검증체계 구축 | |
| 나. 개인정보 안심구역 도입 및 실증사업 지원 | ||
| 다. 데이터 혁신을 위한 개인정보 규제 샌드박스 도입 연구 | ||
[법·제도 정비 계획]
- 보건·의료정보 등의 안전한 활용절차 법제화
- ‘개인정보 보호법’과 ‘신용정보의 이용 및 보호에 관한 법률’에 따라 이원화된 가명처리 및 결합요건, 절차 등 정비
- 개인정보 규제를 유예·면제해 다양한 융합서비스, 신기술이 창출될 수 있도록 개인정보 규제 샌드박스 제도의 법적 근거 마련 검토
(2) 개인정보 안심사회 구현
| ④정보주체 두텁게 보호 | ||
| 세부과제 | 주요 내용 | |
| 정보주체 권리 실질화 | 가. 개인정보 동의제도 실효성 제고 | |
| 나. 개인정보 열람, 통지 등 제도 실질화 | ||
| 다. 실효적인 개인정보 분쟁조정제도 운영 | ||
| 라. 개인정보 보호 실천 생활화 | ||
| 개인정보 보호 사각지대 해소 |
가. 아동·청소년 등 디지털 네이티브 세대 보호체계 강화 | |
| 나. 어르신·장애인 등 정보취약계층 보호체계 구축 | ||
| 다. 사망자의 디지털 유산에 대한 보호방안 마련 | ||
[법·제도 정비 계획]
- 개인정보 열람, 정정·삭제, 이용내역 및 유출사실 통지 등 관련 법제 개선방안 연구 및 연구 결과를 반영한 안내서 마련
- 법적 보호 연령 확대, 연령에 적합한 개인정보처리 체계 도입 등 세대 특성 반영한 (가칭) 아동·청소년 개인정보 보호법 제정
| ⑤공공부문 보호수준 강화 | ||
| 세부과제 | 주요 내용 | |
| 공공의 개인정보 보호수준 강화 |
가. 공공부문 개인정보 안전조치 강화 및 이행실태 점검 | |
| 나. 공공기관 개인정보 보호수준 평가제 도입 | ||
| 다. 개인정보 영향평가 제도 내실화 | ||
| 디지털플랫폼정부 신뢰성 제고 지원 |
가. DPG 개인정보 보호를 위한 상시 지원체계 구축 | |
| 나. DPG의 안정적 정착을 위한 제도 기반 마련 | ||
| 다. 정보주체 권리를 보장하는 DPG 실현 | ||
[법·제도 정비 계획]
- 초거대 AI 인프라를 활용한 대국민 맞춤형 서비스 제공에 있어, 개인정보 처리에 대한 법령상 근거 및 가이드라인 마련
| ⑥기업의 자율적인 보호활동 지원 | ||
| 세부과제 | 주요 내용 | |
| 민관협력 문제해결형 자율규제 |
가. 분야별·업종별 민관협력 자율규제 확대 | |
| 나. 민간분야의 자율보호 활동 모니터링 및 평가체계 마련·운영 | ||
| 다. 개인정보 보호책임자(CPO) 중심의 선순환 체계 조성 | ||
| 라. 개인정보 처리의 투명성·책임성 강화 지원 | ||
| 기업 개인정보 보호역량 제고 |
가. 개인정보 보호 담당자 역량 강화 | |
| 나. 산·학 연계 개인정보 혁신인재 양성 기반 구축 | ||
| 다. 개인정보 보호 중심 설계(PbD) 인증제도 도입 및 확산 | ||
[법·제도 정비 계획]
- 온라인플랫폼 분야 7대 업종별 민관협력 자율규제 계속 추진 및 데이터 신산업 분야 등으로 확대
- 개인정보 처리방침 작성지침 개선, 평가제 실시
| ⑦법·제도 엄정, 신속 집행 및 운영 | ||
| 세부과제 | 주요 내용 | |
| 신속한 개인정보 침해 대응 |
가. 다크패턴 등 신유형 개인정보 침해 대응체계 마련 | |
| 나. 개인정보 유·노출 및 불법유통 대응체계 고도화 | ||
| 다. 개인정보 유출 자가점검 지원체계 개선 | ||
| 법 집행령 강화 | 가. 국내 생활 밀접 서비스의 개인정보 보호 사전 실태점검 강화 | |
| 나. 국내대리인 지정제도 정착 | ||
| 다. 글로벌 공동조사 및 집행력 강화방안 마련 | ||
[법·제도 정비 계획]
- 다크패턴 실태 파악하여 위법사항은 엄중 처벌하고 2차 피해 예방을 위한 가이드라인 마련
- 국내대리인의 실질적 운영과 각종 의무에 대한 집행력 확보 수단 마련을 위한 법·제도 개선 검토 및 관련 입법 지원. 이를 위해 국내법인 우선 지정, 대리 업무 범위 조정, 관리·감독 의무 위반 및 국내대리인 연락처 미공개에 관한 처벌규정 등 검토
(3) 글로벌 데이터 신질서 주도
| ⑧ 신뢰할 수 있는 개인정보 국외이전 환경 조성 | ||
| 세부과제 | 주요 내용 | |
| 개인정보 국외 이전 법제의 상호운용성 강화 |
가. 선제적 개인정보 보호수준 평가 및 국외이전제도 활성화 | |
| 나. 다양화된 국외 이전제도의 정착 지원 | ||
| 안전한 국외 이전 환경 조성 | 가. 데이터 국제 협정 전략적 추진 | |
| 나. 글로벌 플랫폼 기업의 개인정보 보호수준 강화 | ||
[법·제도 정비 계획]
- 국내 진출 글로벌 플랫폼 기업이 국내 법·제도를 충실히 지키도록 지속적인 모니터링 및 필요시 개선권고 등 합리적 법 집행 병행
| ⑨ 디지털 대전환에 따른 개인정보 패러다임 전환 선도 | ||
| 세부과제 | 주요 내용 | |
| 합리적 개인정보 규제 개선 |
가. 개인정보 보호 원칙 및 처리기준 정비 | |
| 나. 개인정보 처리 위·수탁, 제3자 제공에 관한 규제 개선 | ||
| 다. 개인영상정보의 안전한 보호 및 합리적 활용 기반 마련 | ||
| 라. 개인정보 관련 법령 간 정합성 제고 및 침해요인 개선 | ||
| 마. 글로벌 스탠다드에 부합하는 규제 정비 추진 | ||
| 변화하는 글로벌 사회에 발맞춘 개인정보 이슈 선제적 대응 |
가. 위험 기반 개인정보 보호체계 연구 | |
| 나. 기술 중립적 개인정보 보호방안 연구 | ||
| 다. ESG 관점의 개인정보 보호 인식 확대 | ||
[법·제도 정비 계획]
- ‘개인정보처리자의 정당한 이익’에 대한 판단기준 및 ‘개인정보의 추가적인 이용·제공’에 대한 적용기준 명확화
- 업종별 개인정보 처리업무 위·수탁 현황 조사하여 역할별 명확한 책임 소재 판단기준 등을 제시할 수 있도록 가이드라인 개정
- 개인정보 처리 위·수탁, 제3자 제공 시 대상(수탁자, 제3자)을 특정하지 않고 유형화된 사업군을 제시하는 방식으로 개선 검토
- 공공·민간분야 개인영상정보 처리 가이드라인 개정
- 「신용정보의 이용 및 보호에 관한 법률」, 「위치정보의 보호 및 이용 등에 관한 법률」 등에 존재하는 「개인정보 보호법」과 유사하거나 중복되는 규정 정비 추진
- 다양한 보안·인증 기술 등에 대한 선행 연구를 통해 시행령, 고시, 가이드라인 등 관련 법제도 개선방안 도출
| ⑩ 개인정보 분야 글로벌 리더십 확보 | ||
| 세부과제 | 주요 내용 | |
| 글로벌 협력 강화 | 가. 주요국 감독기구 등과 협력·공조체계 구축 및 확대 | |
| 나. 개인정보 분야 국제협의체 선도 | ||
| 다. 개인정보 부문 국제개발 협력 프로그램 발굴·추진 | ||
| 국제 컴플라이언스 역량 제고 |
가. 글로벌 프라이버시 규제정보 허브 구축 | |
| 나. 해외 진출 기업의 현지 법규준수 지원 | ||
3. 시사점
◈ 개인정보보호위원회의 향후 3년간의 기본계획을 담고 있는 만큼 여러 분야의 다양한 법률적·제도적 과제들이 포함되어 있으며, 개인정보보위원회의 정책적 방향성을 미리 살펴볼 수 있음
- 개인정보의 보호와 안전한 활용이라는 기본적인 가치를 달성하기 위한 개인정보보호위원회의 노력이 지속될 것으로 보이며, 개인정보보호위원회가 국제사회에서의 논의를 주도하는 역할을 수행하기 위해 다양한 노력들이 이루어질 것으로 예상됨
◈ 통합 개인정보보호위원회 출범 이후 3년이 도래하여 8월 제2기 위원회가 출범할 예정이므로 개인정보 분야에 있어서 많은 변화가 있을 것으로 예상됨
- 최근 개인정보 보호법 제2차 개정안이 국회를 통과하여 시행을 앞두고 있을 뿐 아니라, 기본계획상으로도 다양한 법령 및 제도의 변화가 예정되어 있는 만큼 향후 구체적인 추진 경과를 살펴보고, 그 내용과 영향을 검토하여 대비할 필요가 있음
About Shin & Kim’s ICT Group
법무법인(유) 세종은 개인정보 분야에 차별화된 전문성과 인적 네트워크(김영호 전 행정안전부 차관, 최재유 전 과학기술정보통신부 차관, 이태희 전 과학기술정보통신부 실장 등)를 보유하고 있으며, 기업들을 위하여 개인정보 보호법과 GDPR을 비롯한 국내외 개인정보 규제, 개인정보 유출사건 대응, 개인정보 보호 컴플라이언스 체계 수립 등 개인정보 보호에 관한 전문적인 자문을 제공하고 있습니다. 특히, 데이터 3법 개정 및 하위법령 제정, 관련 제도개선에 있어 민간영역에서 주도적인 역할을 수행한 바 있으며, 가명정보, 데이터 활용, ICT 산업 전반에 대한 규제 동향 파악 및 대관, 입법컨설팅, 규제영향력 분석과 기업의 전략 수립 등에 대한 법률자문을 제공하고 있으므로, 보다 전문적인 내용이나 궁금하신 사항이 있으면 언제든지 연락 주시기 바랍니다.
