|
|
(서울=연합뉴스) 차민지 기자 = 앞으로 일평균 100만명 이상 개인정보를 처리하는 대규모 사업자는 개인정보취급자(직원)의 업무용 기기 위험도를 평가해 인터넷망 차단 조치를 선별 적용할 수 있게 된다.
이번 개정안은 ▲ 인터넷망 차단조치 개선 ▲ 오픈마켓 판매자 등에 대한 플랫폼 사업자의 책임 강화 ▲ 개인정보처리자 자율보호 체계 강화 ▲ 내부관리계획 수립 항목 확대 등의 내용을 담고 있다.
기존에는 대규모 개인정보 처리자가 개인정보처리시스템에서 개인정보를 내려받거나 파기할 수 있는 직원(개인정보취급자)의 모든 기기에 대해 인터넷망을 차단해야 했다.
개정안 시행에 따라 앞으로는 각 기기의 위험도를 분석해 위험성이 감지되면 추가 보호조치를 하거나, 위험성이 낮은 개인정보만 처리하는 경우 차단조치 대상에서 제외할 수 있다.
개인정보위 관계자는 "데이터 중요도 등을 중심으로 한 보호체계로 전환해 인공지능·클라우드 등을 보다 원활히 활용할 수 있게 하자는 취지"라고 설명했다.
그동안 오픈마켓 판매자처럼 플랫폼을 통해 개인정보를 처리하는 자는 플랫폼 사업자의 인증수단 적용이나 접속기록 보관 의무에서 제외돼 있었다.
개정안은 이를 개선하기 위해 접근권한을 차등 부여해야 하는 대상을 기존 '개인정보취급자'에서 '업무수행자' 전체로 확대했다.
또 일정 횟수 이상 인증에 실패하면 접근을 제한하도록 한 대상도 '개인정보취급자 또는 정보주체'에서 '개인정보처리시스템에 접근하는 모든 자'로 넓혔다.
외부에서 개인정보처리시스템에 접속할 때 안전한 인증수단을 적용해야 하는 대상은 '개인정보처리시스템에 대한 정당한 접근권한을 가진 자'로 개선했다.
접속기록 보관 대상 역시 '개인정보취급자'에서 '개인정보처리시스템에 접속한 자'로 확대했다.
다만 점검과 사후조치는 현실적인 여건을 고려해 '개인정보취급자'에 한정해 수행하도록 했다.
또 개인정보위는 형식적 절차 중심이라는 지적을 받아온 안전성 확보조치 기준을 손봐, 개인정보처리자가 점검 주기·방법·사후조치 절차 등을 스스로 정할 수 있도록 바꿨다.
규제 완화 및 정의 관련 조항은 이날부터 즉시 시행된다. 내부관리계획 수립 등 준비가 필요한 조항은 1년 뒤부터 적용된다.
개인정보위는 이번 개정 내용을 반영한 '개인정보의 안전성 확보조치 안내서'를 연내 발간하고, 관계자 대상 설명회를 열어 세부 내용을 안내할 계획이다.
chacha@yna.co.kr
<연합뉴스>
