개인정보 보호법 일부개정법률안

제안이유 최근 데이터 기반 사회로의 전환과 인공지능ㆍ빅데이터 기술의 확산에 따라 개인정보의 수집ㆍ활용 방식이 고도화되고 있으며, 이에 따른 정보주체 권리 침해 우려도 증가하고 있음. 그러나, 현행 개인정보 보호 체계는 정보주체 중심 보호라는 기본 원칙에 미치지 못하는 사각지대가 존재하는데, 복수의 개인정보처리자가 개입하는 경우 각 처리자의 입장에서 개별적으로 개인정보 여부를 판단하면 정보주체의 권리를 침해할 소지가 있으며, 기기 식별자 및 온라인 행태정보의 개인정보성을 협소하게 해석할 경우 개인 식별 가능성이 높은 정보가 무분별하게 유통될 위험이 있다는 지적이 있음. 또한, 프로파일링 기술의 발전으로 인해 개인의 성향, 능력, 행동을 평가하는 자동화된 처리 방식이 다양한 영역에서 활용되고 있으나, 이에 대한 명확한 규율이 부족하여 정보주체의 권리를 실효성 있게 보장하지 못하고 있고, SNS 및 플랫폼 기업들이 기본설정을 통해 개인정보를 과도하게 노출시키는 행태도 지속되고 있으며, 이에 따라 ‘기본설정에 의한 보호’ 원칙을 법제화할 필요성이 높아지고 있음. 이에 정보주체 중심의 개인정보 보호 원칙을 강화하고, 개인정보의 정의를 명확하게 정의하여 디지털 시대에 걸맞은 실효성 있는 보호체계를 구축하고자 함. 주요내용 가. 개인정보 여부 판단 시 정보주체의 관점 강화를 위하여 개인정보의 정의를 명확하게 정함(안 제2조제1호나목). 나. 정보주체의 권리 보호를 위하여 행태정보를 수집하는 과정에서 이용자나 기기를 특정하기 위하여 부여하는 모바일 광고 식별자 등의 온라인 식별자 또는 온라인 기기 식별자 개인정보에 해당하도록 명시함(안 제2조제1호라목 신설). 다. 프로파일링을 개인정보 처리 방식의 하나로 명시하여 법령 해석의 명확성을 제고하여 정보주체의 권리를 보장함(안 제2조제2호의2 신설). 라. 설계 및 기본설정에 의한 개인정보 보호 원칙을 도입하여 국제 규준에 맞추어 정보주체의 권리를 보호할 수 있도록 함(안 제29조의2 신설). 마. 공공기관에만 해당되는 개인정보 영향평가 의무를 민간부문으로 확대하여 정보주체의 권리를 보호함(안 제33조).