인터넷망 일괄 차단 대신 위험도 기반 보호조치로 전환
플랫폼 사업자 책임 강화·자율보호 체계 확립·내부 관리계획 확대 반영
[서울=뉴스핌] 양태훈 기자 = 개인정보보호위원회(이하 개인정보위)가 '개인정보의 안전성 확보조치 기준' 개정안을 오늘부터 시행한다. 이로써 일평균 100만 명 이상 개인정보를 처리하는 기관에 일률적으로 적용돼 온 인터넷망 차단조치 제도가 개선된다.
31일 개인정보위는 일평균 100만 명 이상 개인정보를 저장·관리하는 개인정보처리자에게 일률적으로 적용되던 인터넷망 차단조치 제도 개선안을 담은 '개인정보의 안전성 확보조치 기준' 개정 고시를 시행한다고 밝혔다.
이번 개정안은 인터넷망 차단조치 개선 외에도 ▲오픈마켓 판매자 등에 대한 플랫폼 사업자의 책임 강화 ▲개인정보처리자 자율보호 체계 강화 ▲내부 관리계획 수립 항목 확대 등을 주요 내용으로 한다.
기존에는 개인정보처리시스템에서 개인정보를 내려받거나 파기할 수 있는 개인정보취급자가 사용하는 모든 기기에 대해 인터넷망을 차단해야 했지만, 앞으로는 취급자의 기기에 대한 위험 분석을 실시하고, 위험성이 낮은 개인정보를 처리하는 경우에는 인터넷망 차단조치 대상에서 제외할 수 있다. 다만, 접근권한을 설정하거나 민감정보·암호화 대상 정보를 다루는 컴퓨터 등은 기존과 동일하게 인터넷망 차단조치가 유지된다.
개인정보위는 이번 조치로 개인정보처리자들이 네트워크 차단 중심에서 데이터 중요도 기반의 보호체계로 전환함으로써, AI와 클라우드 등 신기술을 보다 원활하게 활용할 수 있을 것으로 기대했다.
또한 오픈마켓 판매자 등 플랫폼 이용자의 개인정보보호 강화를 위해, 개인정보처리시스템 접근권한 차등 부여 및 접속기록 보관 대상을 확대했다. 이에 따라 기존 '개인정보취급자' 중심이던 관리 범위가 '업무수행자'로 확대되며, 외부 접속 시 안전한 인증수단 적용 대상도 '개인정보처리시스템에 대한 정당한 접근권한을 가진 자'로 개선됐다.
접속기록 보관 대상 역시 '개인정보취급자'에서 '개인정보처리시스템에 접속한 자(정보주체 제외)'로 확대돼, 오픈마켓 판매자 등 플랫폼 이용자의 개인정보 관리 환경이 강화된다.
아울러 개인정보처리자가 내부 관리계획을 수립하고 점검 주기·방법·사후조치 절차 등을 자율적으로 정할 수 있도록 개선해, 형식적 절차에서 벗어난 실질적 자율보호 체계를 마련했다. 내부 관리계획 수립 항목에는 출력·복사 시 안전조치 및 개인정보 파기 관련 사항이 새로 포함됐다.
이번 개정안 가운데 일부 규제 완화 및 정의 조항은 즉시 시행되며, 내부 관리계획 수립 등 준비가 필요한 조항은 1년의 유예기간이 부여된다.
양청삼 개인정보위 개인정보정책국장은 "이번 개정을 통해 개인정보처리자가기술 환경 변화에 유연하게 대응하면서도 개인정보를 보다 안전하게 관리할 수있도록 제도적 기반을 강화했다"며 "앞으로도 개인정보위는 현장의 어려움을세심히 살피며 실질적인 지원을 아끼지 않겠다"고 밝혔다.
dconnect@newspim.com
