개인정보처리자 대상 일률적인 인터넷망 차단조치 규제를 개선한다
- 개인정보처리자의 처리환경을 고려, 위험분석을 통해 인터넷망 차단 차등 적용
- '개인정보의 안전성 확보조치 기준' 고시 개정안 행정예고(7.21.~8.9.)
개인정보보호위원회(위원장 고학수, 이하 '개인정보위')가 개인정보처리시스템에 접속이 가능한 기기에 대한 인터넷망 차단 조치를 개인정보 처리환경에 따라 차등 적용할 수 있도록 규제를 개선한다.
개인정보위는 이 같은 내용을 담은「개인정보의 안전성 확보조치 기준」고시 개정안을 7월 21일부터 8월 9일까지(20일) 행정예고한다고 밝혔다.
이번 고시 개정안은 인공지능, 클라우드 등 기술의 급격한 발전과 데이터 중심 보호 체계로의 전환에 발맞춰, 개인정보처리자(이하 '처리자')의 처리환경*에 맞는 개인정보 안전성 확보에 필요한 조치를 담고 있다.
* 처리자가 처리하는 개인정보의 규모·유형, 처리 목적, 정보주체에 미치는 영향 등
주요 개정내용은 다음과 같다.
첫째, '일정 기준에 해당하는 처리자*(이하 '대규모처리자')'에게 적용되는 인터넷 접속 차단 조치**를 개선한다. 기존 대규모처리자는 개인정보처리시스템(이하 '처리시스템')에서 개인정보를 내려받거나 파기할 수 있는 개인정보취급자(이하 '취급자')의 모든 기기에 대한 인터넷망을 차단해야만 했다. 그러나, 이번 개정으로 대규모처리자가 위험분석 후 위험수준이 낮은 것으로 판단되거나 위험을 감소시킬 수 있는 보호조치를 적용한 경우에는 선별적으로 취급자의 기기에 대한 인터넷망 접속이 가능하도록 했다.
* 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자
** 처리시스템에서 개인정보를 내려받거나 파기하거나 처리시스템에 대한 접근 권한을 설정할 수 있는 컴퓨터 등의 기기에 인터넷망을 차단하는 조치
둘째, 처리자의 처리시스템 접속 인가 범위를 확대한다. 이번 개정으로 ①처리자가 처리시스템에 대한 접근권한을 부여·통제하는 대상 및 ②처리자가 처리시스템에 대한 접속기록을 보관·관리해야할 대상범위가 변경되었다.* 이에 따라 처리시스템 접속 시 처리자가 안전한 인증수단을 적용해야만 하는 대상이 확대되는 등 안전한 개인정보 처리를 위한 처리자의 의무를 강화하였다. 또한, 처리자에게 인가받지 못한 자의 처리시스템에 대한 접근을 막고, 처리시스템에 보관된 접속 기록 등을 통해 개인정보 유출 등 발생 시 책임성이 강화될 전망이다.
* (기존) '취급자' → (변경) '처리시스템에 대한 정당한 접근 권한을 가진자(오픈마켓 입점 판매자 등)'
마지막으로, 처리자가 개인정보 처리환경에 맞게 처리시스템에 대한 접속기록 점검 주기 등*을 설정할 수 있도록 하였다. 기존에는 처리자가 처리시스템에 대해 월 1회 이상 접속기록을 점검하여야 했지만, 앞으로는 보유한 개인정보의 규모·유형 등의 처리환경을 고려하여, 처리시스템의 접속기록 점검 주기 등을 내부 관리계획에 반영하여 운영할 수 있다.
* 처리시스템의 접속기록 및 개인정보 내려받기 상황을 확인하고 점검하는 주기·방법·사후조치 절차 등
양청삼 개인정보정책국장은 "인공지능과 데이터 활용의 중요성이 커진 현시점에서, 대규모처리자가 개인정보의 처리 목적․방법․맥락 등을 종합적으로 고려하고 위험 분석을 통해 인터넷망 차단 여부를 스스로 결정하도록 하였다"며, 행정예고 과정에서 추가 의견을 들어 이를 충실히 검토할 계획이라고 밝혔다.
이번 고시 개정안은 개인정보위 누리집*(www.pipc.go.kr)에서 확인할 수 있으며, 의견이 있는 기관·단체 또는 개인은 전자우편 및 일반우편 등**으로 8월 9일까지 의견을 제출할 수 있다.
* 개인정보위 누리집(www.pipc.go.kr) > 위원회소식 > 새소식 > 공지사항
** (우)03171, 서울특별시 종로구 세종대로 209, 301호 정부서울청사 개인정보보호위원회 신기술개인정보과, 전자우편 hongsoonjung@korea.kr, 팩스번호 02-2100-3006
※ 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.
- 담당자 : 신기술개인정보과 정홍순(02-2100-3067)
