민원인 - 대통령령 제34309호 개인정보 보호법 시행령 일부개정령 부칙 제2조제1항에 따른 개인정보 보호책임자에 관한 경과조치의 의미(대통령령 제34309호 「개인정보 보호법 시행령」 부칙 제2조제1항 등 관련)

안건번호24-0445
회신일자2024-07-24

1. 질의요지

2024년 3월 12일 대통령령 제34309호로 일부개정된 「개인정보 보호법 시행령」(이하 “개정 「개인정보 보호법 시행령」”이라 함) 제32조제4항에서는 「의료법」 제3조의4에 따른 상급종합병원 등에 해당하는 개인정보처리자는 같은 조 제3항 각 호의 구분에 따른 사람 중 별표 1에서 정하는 요건을 갖춘 사람을 개인정보 보호책임자로 지정하도록 하고, 별표 1을 신설하여 개인정보 보호책임자의 자격요건을 강화하면서, 같은 영 부칙 제2조제1항에서는 “이 영 시행 당시 종전의 제32조제2항에 따라 개인정보 보호책임자를 지정한 개인정보처리자로서 제32조제4항의 개정규정에 따른 개인정보처리자(공공시스템운영기관은 제외한다)에 해당하는 경우에는 이 영 시행일부터 2년 동안 제32조제3항·제4항 및 별표 1에 따른 개인정보 보호책임자를 지정한 것으로 본다”고 규정하고 있는바, 

  개인정보처리자(각주: 개정 「개인정보 보호법 시행령」 시행 당시 종전의 제32조제2항에 따라 개인정보 보호책임자를 지정한 개인정보처리자로서 개정 「개인정보 보호법 시행령」 제32조제4항의 개정규정에 따른 개인정보처리자(공공시스템운영기관은 제외함)에 해당하는 것을 전제로 함. )가 개정 「개인정보 보호법 시행령」 시행 당시 구 「개인정보 보호법 시행령」(각주: 2024. 3. 12. 대통령령 제34309호로 일부개정되기 전의 것을 말하며, 이하 같음) 제32조제2항에 따라 지정한 개인정보 보호책임자의 임기가 만료되어 개정 「개인정보 보호법 시행령」 시행일부터 2년 이내에 같은 영 제32조제3항·제4항 및 별표 1에 따른 강화된 자격요건을 갖추지 못한 자로 개인정보 보호책임자를 지정한 경우, 해당 개인정보처리자는 같은 영 부칙 제2조제1항에 따라 같은 영 제32조제3항·제4항 및 별표 1에 따른 개인정보 보호책임자를 지정한 것으로 볼 수 있는지?

2. 회답

  이 사안의 경우, 개인정보처리자는 개정 「개인정보 보호법 시행령」 부칙 제2조제1항에 따라 같은 영 제32조제3항·제4항 및 별표 1에 따른 개인정보 보호책임자를 지정한 것으로 볼 수 없습니다.

3. 이유

  개정 「개인정보 보호법 시행령」 제32조 및 별표 1에서는 연간 매출액 등이 1,500억원 이상인 자로서 5만명 이상의 정보주체에 관하여 민감정보를 처리하는 개인정보처리자 등 일정한 기준에 해당하는 개인정보처리자는 총 4년 이상의 개인정보보호 경력 등이 있는 사람을 개인정보 보호책임자로 지정하도록 하여 개인정보 보호책임자의 자격요건을 강화(각주: 개정 「개인정보 보호법 시행령」 개정이유 및 주요내용 참조)하면서 같은 영 부칙 제2조에서 이에 대한 경과조치를 규정하고 있는데, 법령의 개정에 따라 부칙에 규정되는 경과조치는 구법질서에서 신법질서로의 이행 과정에서 나타나는 신구법령의 적용관계를 분명히 함으로써 종전 규정에 따라 성립된 기득권을 잠정적으로 보호하고, 일정한 유예기간을 두어 새로운 제도의 안정적인 시행을 도모하려는 것으로서(각주: 법제처 2023. 10. 24. 회신 23-0733 해석례 참조 ), 이 사안의 경우 개인정보처리자가 개정 「개인정보 보호법 시행령」 부칙 제2조제1항에 따라 같은 영 제32조제3항·제4항 및 별표 1에 따른 개인정보 보호책임자를 지정한 것으로 볼 수 있는지 여부는 이러한 경과조치의 성격을 고려하여 해석해야 할 것입니다. 

  먼저 개정 「개인정보 보호법 시행령」 부칙 제2조에서 조의 제목을 “개인정보 보호책임자에 관한 경과조치”로 규정하고 있고, 같은 조 제1항에서는 강화된 자격요건을 갖춘 개인정보 보호책임자를 지정해야 하는 개인정보처리자가 같은 영 시행 당시 종전의 규정에 따라 개인정보 보호책임자를 지정한 경우 같은 영 시행일부터 2년 동안은 같은 영에 따른 개인정보 보호책임자를 지정한 것으로 보도록 규정하고 있는바, 해당 경과조치는 종전의 규정에 따라 지정된 개인정보 보호책임자의 법적 지위가 침해되거나 불리해지는 것을 방지하는 한편, 강화된 자격요건을 갖춘 개인정보 보호책임자를 지정해야 하는 개인정보처리자의 부담을 완화하기 위하여 종전의 규정에 따라 지정된 개인정보 보호책임자가 유지되는 경우에 한하여 개정 「개인정보 보호법 시행령」 시행 이후 2년 동안은 종전의 규정에 따라 개인정보 보호책임자를 지정한 개인정보처리자와 그 개인정보처리자가 지정한 개인정보 보호책임자의 법적 지위를 보호하려는 취지의 규정이라고 할 것이므로, 비록 이 영 시행일부터 2년 이내의 기간에 해당되더라도 종전의 규정에 따라 지정된 개인정보 보호책임자를 교체하여 새로운 개인정보 보호책임자를 지정하는 경우까지 이 사안의 경과조치가 적용되는 것은 아니라고 할 것입니다.

  그리고 개인정보 보호책임자는 개인정보 보호 계획의 수립·시행, 개인정보 처리 실태 조사 및 개선, 개인정보 처리 관련 불만의 처리 및 피해 구제 등의 업무를 수행하면서, 개인정보 처리에 관한 업무를 총괄해서 책임지는 자(「개인정보 보호법」 제31조제1항 및 제3항)로서 데이터 경제 시대에 개인정보 활용 확대에 따른 개인정보 침해 위험이 높아지고 있는 상황(각주: 2021. 9. 28. 의안번호 제12723호로 발의된 개인정보 보호법 일부개정법률안에 대한 국회 정무위원회 심사보고서 참조 ) 등을 고려하여 개인정보 보호책임자의 전문성을 강화하기 위하여 개정 「개인정보 보호법 시행령」 제32조제4항 및 별표 1에서는 개인정보 보호책임자의 자격요건을 강화한 것인데, 같은 영 시행 이후 구 「개인정보 보호법 시행령」 제32조제2항에 따라 지정된 개인정보 보호책임자를 교체하고 새로운 개인정보 보호책임자를 지정하는 경우까지 개정 「개인정보 보호법 시행령」 부칙 제2조제1항이 적용되어 강화된 개정 규정의 적용을 유예하는 것으로 해석하는 것은 개인정보 보호책임자의 자격요건을 강화한 개정취지에도 부합하지 않습니다. 

  아울러 개정 「개인정보 보호법 시행령」 부칙 제2조제1항에서 규정한 개인정보 보호책임자에 대한 경과조치는 종전의 규정에 따라 개인정보 보호책임자를 지정한 개인정보처리자와 그 개인정보처리자가 지정한 개인정보 보호책임자의 법적 지위를 존중·보호하기 위한 예외적 조치인데, 종전의 규정에 따라 지정된 개인정보 보호책임자를 개정 「개인정보 보호법 시행령」 시행일 이후에 새로운 개인정보 보호책임자로 교체하여 지정하는 경우까지도 이러한 예외를 인정하는 경우에는 같은 영 시행 이후 새롭게 개인정보 보호책임자를 지정하는 경우와 형평성 문제가 발생할 수 있다는 점도 이 사안을 해석할 때 고려할 필요가 있습니다. 

  따라서 이 사안의 경우, 개인정보처리자는 개정 「개인정보 보호법 시행령」 부칙 제2조제1항에 따라 같은 영 제32조제3항·제4항 및 별표 1에 따른 개인정보 보호책임자를 지정한 것으로 볼 수 없습니다.

  개인정보 보호법 시행령(2024. 3. 12. 대통령령 제34309호로 일부개정된 것)
제32조(개인정보 보호책임자의 업무 및 지정요건 등) ①·② (생  략)
  ③ 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다. 
  1. 공공기관: 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등
    가. ～ 아. (생  략)
  2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
    가.·나. (생  략)
  ④ 다음 각 호의 어느 하나에 해당하는 개인정보처리자(공공기관의 경우에는 제2조제2호부터 제5호까지에 해당하는 경우로 한정한다)는 제3항 각 호의 구분에 따른 사람 중 별표 1에서 정하는 요건을 갖춘 사람을 개인정보 보호책임자로 지정해야 한다. 
  1. 연간 매출액등이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자(제2조제5호에 따른 각급 학교 및 「의료법」 제3조에 따른 의료기관은 제외한다)
    가. 5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 자
    나. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자
  2. 직전 연도 12월 31일 기준으로 재학생 수(대학원 재학생 수를 포함한다)가 2만명 이상인 「고등교육법」 제2조에 따른 학교
  3. 「의료법」 제3조의4에 따른 상급종합병원
  4. 공공시스템운영기관

  개인정보 보호법 시행령(2024. 3. 12. 대통령령 제34309호로 일부개정된 것) 부칙
제2조(개인정보 보호책임자에 관한 경과조치) ① 이 영 시행 당시 종전의 제32조제2항에 따라 개인정보 보호책임자를 지정한 개인정보처리자로서 제32조제4항의 개정규정에 따른 개인정보처리자(공공시스템운영기관은 제외한다)에 해당하는 경우에는 이 영 시행일부터 2년 동안 제32조제3항·제4항 및 별표 1에 따른 개인정보 보호책임자를 지정한 것으로 본다.
  ② (생  략)
<관계 법령>

※ 법제처 법령해석의 효력 등에 대한 안내

  법제처 법령해석은 행정부 내부에서 법령의 집행과 행정의 운영을 위해 통일성 있는 법령해석의 지침을 제시하는 제도로서, 법원의 확정판결과 같은 '법적 기속력'은 없습니다. 따라서 법령 소관 중앙행정기관 등이 구체적인 사실관계 등을 고려해 다르게 집행하는 경우도 있다는 점을 알려드립니다.
  또한 법제처 법령해석은 '법령해석 당시'의 법령을 대상으로 한 것이므로, 법령해석 후 해석대상 법령이 개정되는 등 법령해석과 관련된 법령의 내용이 변경된 경우 종전 법령에 대한 법령해석의 내용이 현행 법령과 맞지 않을 수 있으므로 현행 법령을 참고하시기 바랍니다.
  아울러「헌법」제 101조에 따라 사법권은 법원에 속하므로 「법제업무운영규정」 제26조제8항제2호 및 같은 조 제11항제2호에서는 '정립된 판례'가 있는 경우 법제처가 법령해석을 할 수 없다고 규정하고 있습니다. 따라서 법제처 법령해석과 다른 내용의 법원의 확정판결이 있는 경우 법원의 확정판결을 참고하시기 바랍니다.