지난 2024. 11. 8.자 뉴스레터1에서 「네트워크 데이터안전 관리조례」2(2025. 1. 1.부터 시행, 이하 “「관리조례」”)의 공포 배경 및 총론적 일반조항 들에 대해 소개하였습니다. 이번에는 그에 이 어 「관리조례」의 개인정보 보호와 중요데이터 안전 관련 조항들 및 기존 「개인정보보호법」 및 「데이터안전법」과의 차이점을 분석합니다.

I. 개인정보 보호와 중요데이터 안전  

「관리조례」는 제3장에서 개인정보보호 관련 조항들(제21조 ~ 제28조)을, 제4장에서  중요데이터 안전 관련 조항들 (제29조 ~ 제33조)을 상세히 규정하여 기존 「개인정보보호법」 및 「데이터안전법」의 관련 내용들을 더욱 구체적으로 보완하였습니다.  

1. 개인정보 보호  

1) 개인정보처리방침 공개 원칙  
개인정보처리자는 개인정보처리방침(이하 “처리방침”)을 제정하여 법정 고지사항을 정보주체에게 고지할 수 있습니다(「개인정보보호법」 제17조). 이번 「관리조례」에서는 처리방침에 기재해야 하는 항목에 대해 더욱 세부적으로 규정하고 처리방침의 고지∙작성 방식에 대해서도 명확히 하였습니다.

2) 수집 동의 규칙 보완  
「관리조례」는 개인이 개인정보 처리 거절 의사를 명확히 표명한 이후에도 개인정 보처리자가 계속하여 빈번하게 개인정보 처리 동의를 구하는 행위를 명시적으로 금지하였 습니다(제22조 제(5)호). 이는 2019. 11. 28.에 공표된 「App 개인정보 위법 수집∙사용 행위 인정방법」3에 처음으로 규정되었던 내용인데, 이번 「관리조례」에서는 App 뿐 만 아니라 모든 네트워크 데이터처리자의 개인정보 수집 행위에 적용되도록 명문화 하였습니다. 따라서, 향후 App 운영자를 포함한 모든 개인정보처리자는 개인이 그 개인정보처리를 거절하는 의사표시를 한 다음에는 개인에게 다시 동의를 구하지 않도록 할 필요가 있습니다. 

또한, 「관리조례」에서는 안면인식 등 자동화 수집 기술을 이용하여 개인정보를  수집함에 따른 네트워크 데이터처리자의 익명화처리 의무를 명시하였습니다. 「관리조례」 제24조에 의하면, 자동화 수집 기술을 이용하여 불가피하게 수집된 필수적이 아닌4개인정보 또는 법률에 따라 개인의 동의를 취득하지 못한 개인정보의 경우,  개인이 계정을 말소한 경우, 네트워크 데이터처리자는 개인정보를 삭제하거나 익명화 처리해야 합니다. 법률 및 행정법규에서 정한 보관기간이 만료되지 않았거나 기술적으로 개인정보의 삭제 또는 익명화 처리가 어려운 경우 네트워크 데이터처리자 는 보관 및 필요한 안전보호 조치 이외의 개인정보 처리행위를 중단해야 합니다.

3) 개인정보 이전 규칙 세부화  
「개인정보보호법」 제45조 제3항에 따라, 개인이 자신의 개인정보를 그가 지정하는  개인정보처리자에게 이전할 것을 요청하는 경우 개인정보처리자는 해당 이전 경로 를 제공하여야 합니다. 이번 「관리조례」에서는 위 개인정보 이전 규칙을 보다 세부 화 하였습니다. 「관리조례」 제25조는 이를 보다 구체화하여에 의하면 다음의 요건에 부합하는 개인정보 이 전 요청에 대해 네트워크 데이터처리자는 개인이 지정한 다른 네트워크 데이터처리자에게 관련 개인정보를 방문, 취득할 수 있는 경로를 제공해야 합니다. 

이는 빈번하고 불합리하고 불법적인 개인정보 이전 요청으로 인한 개인정보처리 자의 부담을 줄이고, 한국의 마이데이터 서비스와 같이 개인신용정보를 통합하여 관리하는 근거를 마련하고자 추가된 조항인 것으로 보입니다.

2. 중요데이터 안전  

1) 중요데이터 인정 규칙  
「관리조례」 제62조 제(4)호에 따르면, “중요데이터”란 특정 분야, 특정 대상, 특정  지역 또는 일정한 정밀도와 규모를 가진 데이터로서, 일단 변조, 파괴, 유출 또는  불법 취득, 불법 이용되는 등의 경우, 국가안전, 경제운용, 사회안정, 공공건강과 안전 등에 영향을 미칠 수 있는 데이터를 가리킵니다. 

과거 「데이터안전법」 등에서는 각 지역/부서별로 관련 산업의 중 요데이터 리스트를 제정하여 공표한다고만 규정하고 있고(제21조 제3항), 아직까지  세부 중요데이터 리스트를 공표한 지역 또는 산업은 없어 어떠한 데이터가 중요데 이터에 해당하는지 여부 내지 그 중요데이터의 인정 기준이 구체적으로 무엇인지에  대한 불확실성이 존재하였고, 이로 인해 관련 기업들이 많은 불편함을 겪고 있었습 니다. 이와 관련하여 2024. 3. 22.자로 공표된 「데이터 국경간 유동을 촉진하고 규범화 하기 위한 규정」5에서는 관련 부서, 지역에서 공표 또는 고지한 중요데이터에 해당 하지 않는 데이터를 국외이전 하는 경우 중요데이터 국외이전 안전평가 신고를 할 필요가 없음을 명확히  하였습니다(제2조).  

나아가 이번 「관리조례」에서는 상기와 같이 관련 부서, 지역에서 중요데이터를 식 별하는 경우 “제때에”에 관련 기업들에게 공표 또는 고지해야 하는 의무를 더욱 명확히 하였습니다.

이와 동시에, 위 조항에서는 여전히 기업(데이터처리자)의 중요데이터 식별 및 신고 의무를 규정하고 있는 바, 명백히 중요데이터에 해당할 것으로 판단되는 데이터를 처리하는 경우에는 관련 부서에 문의하여 확인을 받아 보는 것이 바람직합니다.

2) 대량의 개인정보를 처리하는 개인정보처리자의 데이터안전 보호 의무  
「데이터 국외이전 안전평가방법」6 제4조 제(2)호에 따라 100만명 이상의 개인정보 를 국외에 제공하는 데이터처리자는 중요데이터 안전평가 의무를 이행해야 합니다. 이에 따라 특정 수량 이상의 개인정보가 중요데이터에 해당되는지 여부에 대한 논의가 계속되었고, 위 「데이터 국외이전 안전평가방법」에 따라 100만명 이상의 개인정보를 처리하는 개인정보처리자이기만 하면 중요데이터 처리자로 인정 되어 관련 중요데이터 보호 의무를 부담해야 하는지에 대한 논란이 있었습니다. 이에 대해 「관리조례」 제28조에서는 “1,000만명 이상의 개인정보를 처리하는 네트워크 데이터처리자에 한해 중요데이터 처리자의 데이터안전 보호 의무(네트워크 데이터 보호책임자와 네트워크 데이터 보호관리기구 설립, 합병, 구조조정, 분할 시 보고의무 등)를 이행해야 한다”고 명확히 규정하였습니다. 이는 상기 「데이터 국외이 전 안전평가방법」상 국외이전 안전평가 요건(100만명)에 비하여 상당히 완화된 기준입니다.  

3) 중요데이터 리스크 평가  
이번 「관리조례」에서는 중요데이터 처리자의 리스크 평가 의무를 더욱 구체적으로 규정하였습니다.

그 밖에, 중요데이터의 처리자는 「관리조례」 제31조에 따른 중요데이터 제3자 제공, 위탁처리 또는 공 동처리의 경우 외에도, 「관리조례」 제32조에 따라 매년 정기적으로 리스트 평가를 진행해야 하고 그 평가보고서를 관련 주관부서에 제출해야 합니다.

다음 회에서는 「관리조례」의 데이터 국외이전 관련 세부 규정들에 대해 살펴보겠습니다.
 

1. 본 법무법인의 2024.11.8.자 뉴스레터를 참고하시기 바랍니다
2. 网络数据安全管理条例
3. App违法违规收集使用个人信息行为认定方法
4. 서비스 등을 제공하기 위하여 필수적인 정보가 아닌 정보를 의미.
5. 促进和规范数据跨境流动规定
6. 数据出境安全评估办法