개인정보보호법은 개인정보의 수집·이용·제공·파기 등 전 과정에서 정보주체의 권리를 보호하고, 개인정보 처리에 관한 기준을 규정하는 법률이다. 2011년 3월 29일 제정되어 9월 30일 시행되었으며, 이후 수차례 개정을 거쳐 오늘에 이른다. 개인정보 보호의 헌법적 기반은 헌법 제17조 '사생활의 비밀과 자유'와 헌법 제10조 '인간의 존엄과 가치'에서 도출된다.
법 제정 배경
2000년대 들어 인터넷 확산과 함께 개인정보 침해 사고가 급증했다. 2008년 옥션 해킹으로 1,081만 명의 개인정보가 유출되었고, 2011년 SK컴즈(네이트·싸이월드) 해킹으로 3,500만 명의 개인정보가 유출된 것이 직접적 입법 계기가 되었다. 기존에는 정보통신망법, 신용정보법, 의료법 등 분야별 법률에서 파편적으로 규율하던 개인정보 보호를 일원화한 것이다.
주요 내용
개인정보보호법은 개인정보를 '살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보'로 정의한다. 주요 원칙은 ① 목적 명확성(수집 목적을 명확히 하고 목적 내에서만 처리), ② 최소 수집(목적에 필요한 최소한의 정보만 수집), ③ 안전성 확보(기술적·관리적 보호 조치), ④ 정보주체 권리 보장(열람권, 정정·삭제권, 처리 정지권) 등이다. 개인정보 처리자는 수집 전 정보주체의 동의를 받아야 하며, 민감정보(사상·신념, 건강·성생활, 유전 정보 등)는 별도의 동의가 필요하다.
2020~2023년 주요 개정
2020년 '데이터 3법' 개정은 개인정보보호법 역사에서 가장 큰 전환점이다. 핵심은 '가명처리' 개념의 도입이다. 가명처리된 정보는 통계 작성, 과학적 연구, 공익적 기록 보존 목적으로 동의 없이도 활용할 수 있게 되었다. 이는 빅데이터·AI 산업 육성을 위해 개인정보 활용의 유연성을 높인 것이다. 또한 개인정보 보호 기관을 기존 행정안전부·방송통신위원회에서 개인정보보호위원회로 일원화했다. 2023년 9월에는 영향평가 의무 확대, 과징금 강화(전체 매출액의 3% 이내), 이동권(데이터 포터빌리티) 도입 등의 개정이 이루어졌다.
주요 위반 사례와 제재
최근 주요 위반 사례를 보면, 카카오는 2022년 카카오톡 오픈채팅 개인정보 유출 사건으로 개인정보보호위원회로부터 151억 원의 과징금을 부과받았다. LG유플러스는 2023년 약 29만 명의 고객 개인정보 유출로 68억 원의 과징금을 받았다. 메타(페이스북)는 이용자 동의 없이 맞춤 광고에 활용한 혐의로 2022년 308억 원의 과징금을 부과받아 국내 개인정보 규제 사상 최고액을 기록했다. 개인정보보호위원회는 매년 수백 건의 개인정보 침해 신고를 처리하며 관련 기업들에 시정명령과 과태료를 부과하고 있다.
국제 비교와 GDPR
유럽연합의 일반개인정보보호규정(GDPR, 2018년 시행)은 전 세계 개인정보 보호 기준의 표준으로 인정받는다. GDPR은 위반 시 전 세계 연간 매출액의 4% 또는 2,000만 유로 중 높은 금액을 과징금으로 부과할 수 있어 실효성이 높다. 한국 개인정보보호법도 GDPR에 수렴하는 방향으로 개정이 이루어지고 있으며, 2021년 EU-한국 간 '개인정보 보호 적정성 결정'이 내려져 한국은 EU 기준에 부합하는 나라로 인정받았다.
현안과 과제
AI·빅데이터 시대의 개인정보 보호는 '활용'과 '보호'의 균형이 핵심 과제다. AI 모델 학습에 사용된 개인정보의 처리 적법성 문제, 얼굴인식·생체 인식 기술의 규율 문제, 데이터 브로커 규제, 어린이 온라인 개인정보 보호 강화 등이 현재 진행 중인 쟁점이다. 개인정보보호위원회는 2024년 '개인정보 보호 기본계획'을 발표하고 AI 개인정보 처리 가이드라인 마련, 국제 협력 강화 등을 추진하고 있다.
특히 딥페이크 기술과 결합된 개인정보 침해, SNS 플랫폼의 무분별한 개인정보 수집, 해외 플랫폼 사업자에 대한 국내법 적용 문제가 새로운 쟁점으로 부상하고 있다. 2024년 개인정보보호위원회는 구글과 메타에 대한 행태 정보 기반 맞춤 광고 관련 조사를 진행했다. 또한 배달의민족·쿠팡·카카오 등 빅테크 기업의 대규모 개인정보 처리에 대한 감독도 강화되는 추세다. 개인정보 보호법 위반 시 과징금이 전체 매출액의 3% 이내로 강화된 만큼, 기업들의 개인정보 관리 비용과 컴플라이언스 부담도 증가하고 있다. 개인정보보호위원회는 매년 '개인정보 침해 신고센터(국번 없이 182)'를 통해 수십만 건의 상담 및 신고를 처리하고 있다.
개인정보보호법은 여러분의 이름, 주소, 전화번호 같은 개인정보를 함부로 수집하거나 사용하지 못하도록 정한 법이에요. 2011년에 만들어졌고, 인터넷 시대에 개인정보 침해가 급증하면서 필요성이 커졌어요.
왜 이 법이 생겼나요?
2000년대 이후 인터넷 사용이 늘면서 해킹으로 개인정보가 대량 유출되는 사고가 잦아졌어요. 2011년 네이트·싸이월드 해킹으로 무려 3,500만 명의 개인정보가 새어나갔어요. 이런 일을 막기 위해 개인정보를 보호하는 통합 법률이 필요해진 거예요.
주요 내용
이 법에 따르면 기업이나 기관이 여러분의 개인정보를 수집하려면 반드시 동의를 받아야 해요. 또 꼭 필요한 정보만 최소한으로 수집해야 하고, 안전하게 관리해야 해요. 여러분도 자신의 개인정보를 열람하거나 삭제를 요청할 권리가 있어요.
최근 변화
2020년 '데이터 3법' 개정으로 개인 식별 정보를 지운 '가명 정보'는 연구나 통계 목적으로 동의 없이도 쓸 수 있게 되었어요. AI와 빅데이터 산업을 키우기 위해서예요.
위반하면 어떻게 되나요?
페이스북(메타)은 2022년 이용자 동의 없이 광고에 개인정보를 사용해서 308억 원이라는 엄청난 벌금을 냈어요. 카카오도 151억 원의 과징금을 받았어요. 개인정보 보호 규정을 어기면 기업들도 큰 처벌을 받는답니다.
여러분의 이름, 생일, 주소 같은 정보를 '개인정보'라고 해요. 개인정보보호법은 이런 정보를 함부로 사용하지 못하도록 보호하는 법이에요.
인터넷을 많이 사용하다 보면 개인정보를 입력할 때가 많아요. 앱에 가입할 때, 온라인 쇼핑할 때 등이요. 예전에는 이런 정보가 해킹당해 나쁜 사람들에게 유출되는 일이 많았어요.
그래서 2011년에 개인정보보호법을 만들었어요. 이 법에 따르면 회사들은 개인정보를 모을 때 반드시 허락을 받아야 하고, 안전하게 보관해야 해요. 만약 개인정보를 함부로 사용하면 아주 큰 벌금을 내야 해요.
여러분도 개인정보 보호에 주의해야 해요. 모르는 사람이나 사이트에 이름, 전화번호, 학교 이름 같은 정보를 함부로 알려주면 안 된답니다!
Personal Information Protection Act
The Personal Information Protection Act safeguards individuals' rights throughout all stages of personal data collection, use, provision, and disposal, establishing standards for handling personal information. Enacted on March 29, 2011, and implemented on September 30 of the same year, it underwent several revisions thereafter. Its constitutional foundation for privacy stems from Articles 17 ('Right to Privacy and Freedom') and 10 ('Human Dignity and Value') of the Constitution.
Legislative Background
The surge in personal data breaches coincided with the rapid expansion of the internet in the 2000s. Notably, the 2008 Auction hack exposed 10.81 million records, and the 2011 SK Communications (Nate and Cyworld) breach exposed 35 million records, directly prompting legislative action. This act unified fragmented regulations across various sectors like telecommunications and healthcare into a cohesive framework for personal information protection.
Key Provisions
The Act defines personal information as data enabling identification of living individuals through identifiers such as names, resident registration numbers, and images. Key principles include:
1. Purpose Clarity: Clearly defining data collection purposes and limiting processing to those purposes.
2. Minimal Data Collection: Collecting only the minimum necessary information for specific purposes.
3. Security Measures: Implementing technical and administrative safeguards.
4. Subject Rights: Ensuring rights such as access, correction, deletion, and processing suspension for individuals whose data is handled.
Prior to collection, consent from data subjects is required, with additional consent needed for sensitive information like political beliefs, health details, and genetic data.
Major Revisions (2020-2023)
The 2020 'Data 3 Act' amendments marked a significant shift, introducing the concept of pseudonymization. This allows pseudonymized data to be used for statistical analysis, scientific research, and public record preservation without explicit consent, fostering flexibility in big data and AI applications. Additionally, the Personal Information Protection Commission replaced previous oversight bodies, including the Ministry of the Interior and Safety and the Korea Communications Commission. In September 2023, further amendments expanded impact assessments, increased fines up to 3% of total revenue, and introduced data portability rights.
Notable Violations and Penalties
Recent high-profile cases include:
Kakao: In 2022, fined ₩15.1 billion by the Personal Information Protection Commission for a data breach in KakaoTalk Open Chat.
LG Uplus: Penalized ₩6.8 billion in 2023 for a data breach affecting approximately 290,000 customers.
Meta (Facebook): Imposed a record-breaking fine of ₩30.8 billion in 2022 for unauthorized use of user data for targeted advertising, setting a precedent for stringent domestic regulations.
The Personal Information Protection Commission handles hundreds of privacy infringement cases annually, issuing corrective orders and fines to non-compliant entities.
International Comparison with GDPR
The European Union’s General Data Protection Regulation (GDPR), implemented in 2018, sets global standards for data protection. With penalties up to 4% of global annual revenue or €20 million (whichever is higher), GDPR ensures robust enforcement. Efforts to align Korean regulations with GDPR have been ongoing, culminating in the EU recognizing South Korea’s adequacy in personal information protection in 2021.
Current Challenges and Future Directions
In the era of AI and big data, balancing utilization and protection of personal information remains critical. Key issues include ensuring lawful processing of personal data used in AI models, regulating facial recognition and biometric technologies, overseeing data brokers, and enhancing protection for children’s online data. The Personal Information Protection Commission has outlined a 'Basic Plan for Personal Information Protection' for 2024, focusing on guidelines for AI data processing, international cooperation, and addressing emerging challenges like deepfake technology and unregulated data practices by social media platforms.
With increased penalties up to 3% of total revenue, companies face heightened compliance costs and regulatory burdens. The commission continues to manage over 180,000 inquiries annually through the 'Personal Information Infringement Reporting Center' (toll-free 182).
English version not yet available.
English version not yet available.
문서 정보
최초 작성
최종 갱신
분량
2,203자 (성인 기준)
분류
법·정책
HANGUL.WIKI가 정리·작성한 문서입니다. 정확성을 위해 노력하나 오류가 있을 수 있으므로,
중요한 내용은 공식 출처를 통해 확인하시기 바랍니다.
내용의 오류나 정정 요청은 오류·정정 신고로 알려주시면 검토 후 반영합니다.