2020. 2. 4 공포 / 2020. 8. 5 시행
개인정보보호법·정보통신망법·신용정보법을 동시에 개정하여 가명정보 개념을 도입하고 데이터 활용 기반을 마련했습니다. 개인정보보호위원회가 독립 중앙행정기관으로 출범했습니다.
가명정보 도입
시험 출제개정 전
개인정보와 익명정보만 존재. 데이터 활용을 위한 법적 근거 부재.
개정 후
가명정보 개념 신설(제2조). 통계작성·과학적 연구·공익적 기록보존 목적으로 동의 없이 처리 가능(제28조의2). 가명정보 결합 전문기관 지정 제도 도입.
개인정보보호위원회 독립 출범
시험 출제개정 전
행정안전부 소속 심의·의결 기관.
개정 후
국무총리 소속 독립 중앙행정기관(합의제)으로 격상. 개인정보보호 관련 법령 소관, 조사·처분 권한 강화.
정보통신망법 개인정보 조항 이관
개정 전
온라인 개인정보는 정보통신망법, 오프라인은 개인정보보호법 이원화.
개정 후
정보통신망법 개인정보 관련 조항을 개인정보보호법으로 통합. 일원화로 규제 중복 해소.
가명정보 안전조치 의무
시험 출제개정 전
없음.
개정 후
가명정보 처리 시 안전조치(분리 보관, 재식별 금지, 관리·감독) 의무화. 재식별 시 즉시 처리 중단 및 보호위원회 신고.
CPPG 시험 포인트
가명정보 vs. 익명정보 vs. 개인정보 3가지 구분, 가명정보 처리 허용 목적(통계·연구·공익기록), 개인정보보호위원회 법적 위상이 핵심 출제 포인트입니다.
2023. 3. 14 공포 / 2023. 9. 15 시행
2011년 제정 이후 가장 큰 규모의 전면 개정입니다. 개인정보 이동권·자동화 결정 거부권 신설, 과징금 기준 강화(매출액 3%), 온·오프라인 통합 규제 완성이 핵심입니다.
개인정보 이동권 신설
시험 출제개정 전
정보주체가 자신의 개인정보를 다른 사업자에게 전송 요구할 권리 없음.
개정 후
제35조의2 신설. 개인정보처리자에게 본인 또는 지정 사업자에게 개인정보 전송을 요구할 수 있는 권리 부여. 마이데이터 제도의 법적 근거.
자동화된 결정 거부권·설명 요구권
시험 출제개정 전
없음.
개정 후
제37조의2 신설. AI·알고리즘 등 자동화 처리에만 의존한 결정에 대해 거부하거나 인간 검토를 요구할 권리 도입. EU GDPR 제22조와 유사.
과징금 기준 대폭 강화
시험 출제개정 전
위반 행위 관련 매출액의 3% 이하(법 위반 유형 제한적).
개정 후
전체 매출액의 3% 이하로 확대. 과징금 부과 대상 위반 유형도 확대(불법 수집·이용·제공, 안전조치 미이행 등). 국외 이전 위반 포함.
국외 이전 규정 정비
시험 출제개정 전
정보통신서비스 분야(온라인)와 일반 분야(오프라인) 국외 이전 규정 이원화.
개정 후
국외 이전 허용 요건 일원화(제28조의8~제28조의12). 표준 계약, 인증, 적정성 결정, 별도 동의 4가지 방법으로 통합. 국외 이전 중지 명령 권한 부여.
개인정보 보호책임자(CPO) 전문성 강화
시험 출제개정 전
대규모 개인정보 처리자의 CPO 지정 의무, 자격 기준 미흡.
개정 후
대기업·1만명 이상 처리자 등은 CPO 전담조직 운영 의무화. CPO가 개인정보 보호 활동을 직접 수행하고 경영진에 보고하는 체계 강화.
손해배상 책임 강화
개정 전
고의·과실 입증 책임 정보주체에게.
개정 후
법정 손해배상제 도입(제39조). 실손해 입증 없이 300만원 이하 법정배상액 청구 가능. 징벌적 손해배상 5배 한도 유지.
CPPG 시험 포인트
이동권(제35조의2), 자동화 결정 거부권(제37조의2), 과징금 전체 매출액 3%, 국외 이전 4가지 방법은 2023 개정의 핵심으로 최근 시험에서 자주 출제됩니다.
2024. 3. 15 시행령 개정 / 2024. 9. 15 고시 개정
2023년 전면 개정법의 시행에 맞춰 시행령과 하위 고시를 정비했습니다. CPO 전담조직 기준, 이동권 적용 대상·절차, 자동화 결정 대상 범위가 구체화됐습니다.
CPO 전담조직 운영 기준 구체화
시험 출제개정 전
시행령상 전담조직 운영 의무 기준 불명확.
개정 후
정보통신서비스 매출 100억 이상 또는 이용자 100만명 이상, 민감·고유식별정보 50만명 이상 처리자는 CPO 전담조직 필수. 전담조직 최소 인원·자격 기준 명시.
개인정보 이동권 적용 범위 확정
시험 출제개정 전
이동권 적용 대상 사업자·데이터 범위 미확정.
개정 후
이동권 적용 대상: 정보통신서비스 제공자 중 매출·이용자 규모 기준 충족 사업자. 전송 대상 데이터: 정보주체가 제공한 데이터 + 서비스 이용 중 생성된 데이터. 전송 형식: 구조화·기계판독 가능 형태.
안전성 확보조치 기준 고시 개정
시험 출제개정 전
개인정보처리자 유형을 유형1·2·3으로 구분하여 차등 적용.
개정 후
유형 구분 방식 유지하되, 접속기록 보관 기간(5만명 이상: 2년 → 유지), 비밀번호 암호화 알고리즘 기준 강화(SHA-256 이상 권고). 클라우드·망분리 환경 적용 기준 신설.
자동화 결정 거부권 적용 범위
개정 전
자동화 결정 대상 범위 불명확.
개정 후
완전 자동화 처리에 의한 결정으로서 정보주체에게 중대한 영향을 미치는 결정에 적용. 채용·대출·보험 심사 등이 해당. 인간 개입이 있는 결정은 원칙 제외.
CPPG 시험 포인트
CPO 전담조직 운영 기준(매출·이용자 규모), 이동권 전송 데이터 범위, 개정된 안전성 확보조치 기준이 최근 출제 트렌드입니다.
2025년 시행 / 입법예고 진행 중
AI 기본법 제정(2024.1)에 연동하여 AI 처리 개인정보 보호 기준 마련, 합성데이터 법적 지위 논의, 아동·청소년 개인정보 보호 강화가 주요 이슈입니다.
AI 기본법 연동 (2024. 1. 9 제정)
개정 전
AI 시스템의 개인정보 처리에 대한 명시적 규정 부재.
개정 후
AI 기본법 제정으로 고위험 AI 시스템 규제 근거 마련. 개인정보보호법과의 연계: AI 훈련 데이터, 생성형 AI 출력물의 개인정보 처리 기준 논의 중.
합성데이터 법적 지위
개정 전
합성데이터는 개인정보보호법상 명시적 지위 없음.
개정 후
개인정보보호위원회 가이드라인: 합성데이터가 재식별 불가 수준이면 익명정보로 취급 가능. 단, 생성 과정의 원본 개인정보 처리는 동의 또는 법적 근거 필요.
아동·청소년 개인정보 보호 강화
개정 전
만 14세 미만 아동 법정대리인 동의 요건만 규정.
개정 후
만 14세~18세 청소년 대상 타겟 광고·행동 분석 제한 논의. SNS·플랫폼의 미성년자 개인정보 처리 제한 가이드라인 강화.
CPPG 시험 포인트
2025년 개정 사항은 아직 시험 반영이 불확실합니다. AI 기본법의 개요와 개인정보보호법과의 관계 정도만 파악해 두세요.
| 구분 | 개인정보 | 가명정보 | 익명정보 |
|---|---|---|---|
| 정의 | 다른 정보와 쉽게 결합해 개인 식별 가능 | 추가 정보 없이는 개인 식별 불가 (복원 가능) | 어떠한 방법으로도 개인 식별 불가 (복원 불가) |
| 처리 근거 | 동의 또는 법적 근거 필요 | 통계·연구·공익기록 목적 시 동의 없이 처리 가능 | 개인정보보호법 적용 제외 (자유롭게 활용) |
| 안전조치 | 개인정보보호법 전면 적용 | 안전조치 의무·재식별 금지·별도 보관 | 법적 의무 없음 |
| 정보주체 권리 | 열람·정정·삭제·이동·처리정지 전부 가능 | 권리 행사 제한 (일부 예외) | 권리 행사 불가 (개인 특정 불가) |
| 법적 근거 | 제2조 제1호 | 제2조 제1호의2, 제28조의2~7 | 제58조의2 |
제35조의2
개인정보의 전송 요구 (이동권)
정보주체가 개인정보처리자에게 본인 또는 지정 사업자에게 개인정보를 전송하도록 요구할 수 있는 권리. 마이데이터의 법적 근거.
제37조의2
자동화된 결정에 대한 거부권 등
완전 자동화 처리에만 의존한 결정(채용·대출·보험 등)에 대해 인간 검토를 요구하거나 거부할 수 있는 권리. EU GDPR 제22조 유사.
제28조의8~12
개인정보의 국외 이전 (일원화)
온·오프라인 국외 이전 규정 통합. 허용 방법: ①정보주체 동의 ②표준 계약 ③인증 ④적정성 결정. 중지 명령 신설.
제64조의2
과징금 (전체 매출액 기준)
위반 행위 관련 매출액 → 전체 매출액의 3% 이하로 확대. 글로벌 플랫폼에도 동일 적용. GDPR과 유사한 강력한 제재.
①개인정보 이동권 신설(제35조의2): 정보주체가 자신의 데이터를 다른 사업자에게 전송 요구 가능. ②자동화된 결정 거부권(제37조의2): AI·알고리즘 결정에 인간 검토 요구 가능. ③과징금 강화: 전체 매출액의 3% 이하로 확대. ④국외 이전 규정 일원화: 표준계약·인증·적정성 결정·별도 동의 4가지 방법으로 통합. 이 4가지가 최근 CPPG 시험에서 자주 출제됩니다.
원칙적으로 시험 시행일 기준 6개월 이전에 공포·시행된 법령 개정 사항이 반영됩니다. 2023년 전면 개정(2023.9.15 시행)은 2023년 12월 이후 시험부터 반영됐으며, 이동권·자동화 결정 거부권·과징금 강화 문제가 실제로 출제됐습니다. 공식 출제 기준은 한국CPO포럼 공고문을 확인하세요.
가명정보는 개인정보와 익명정보의 중간 개념으로, 통계작성·과학적 연구·공익적 기록보존 목적으로 정보주체 동의 없이 처리할 수 있습니다. 이로써 빅데이터 분석, 의료 연구, 금융 데이터 활용의 법적 근거가 마련됐습니다. CPPG 시험에서는 가명정보의 처리 허용 목적 3가지, 안전조치 의무, 재식별 금지 원칙이 핵심 출제 포인트입니다.
2023년 전면 개정으로 신설된 이동권(제35조의2)은 시행령에서 정하는 규모 이상의 개인정보처리자에게 적용됩니다. 정보주체는 자신이 제공한 데이터와 서비스 이용 중 생성된 데이터를 구조화·기계판독 가능한 형태로 본인 또는 지정 사업자에게 전송하도록 요구할 수 있습니다. 단계적으로 적용 대상을 확대할 예정입니다.
2023년 개정 전에는 과징금이 "위반 행위 관련 매출액의 3% 이하"로, 위반 유형이 제한적이었습니다. 2023년 개정 후에는 "전체 매출액의 3% 이하"로 기준이 확대됐고, 과징금 부과 대상 위반 유형(불법 수집·이용·제공, 안전조치 미이행, 국외 이전 위반 등)도 대폭 늘었습니다. 글로벌 기업에도 동일하게 적용됩니다.
2023 전면 개정·이동권·자동화 거부권·과징금 강화 반영
700+ 실전 문제 · AI 취약점 분석 · 가입 즉시 100문제 무료