개인정보보호법

개념
개인정보의 정의 - 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보 와 쉽게 결합하여 알아볼 수 있는 것을 포함)

  1. 개인정보의 개념과 개인정보보호법

가.개인정보의 정의

  • 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보 와 쉽게 결합하여 알아볼 수 있는 것을 포함)

유형

개인정보 상세 내용

식별 정보

- 여권번호, 면허번호, 외국인등록번호

민감 정보

- 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보이며 처리제한이 있는 정보
예) 사상, 신조, 종교, 정치적 성향, 신장, 체중, 건강상태, 병력, 장애여부 등

 

나. 개인정보보호법의 목적

  • 개인정보의 수집•유출•오용•남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 함.
  • 개인정보보호법은 개인정보 자기결정권이라는 국민의 기본 권리를 보장하기 위해 등장함

c.f) 개인정보 자기결정권 : 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리

다. 법 제정 배경

구분

내용

대규모 로 국민 불안감 급증

- 최근의 개인정보 침해는 대형화•지능화•다양화 추세

- 해킹, 내부직원 유출, 담당자 부주의 등이 주요 원인

개인정보보호 발생

- 공공기관(개인정보보호법), 정보통신사업자 (정보통신망법) 등 개별법 체계로 헌법기관, 오프라인 사업자, 비영리기관 등은 관련법 부재

- 개별법간 보호원칙, 처리기준 및 추진체계가 상이하여 국민 혼란, 일관된 정책 추진에 한계

세계 각국과의 및 IT 강국으로서의 위상 확보

- 최근 전 세계적 국제통상 관련, 프라이버시 라운드(Privacy Round) 대두

- 유럽연합(EU) : 적절한 보호수준을 갖춘 제3국으로만 개인정보 이전

 

라. 개인정보보호법의 특징

구분

내용

법률 적용대상 및 범위확대

- 적용대상: 공공 / 민간 부문의 모든 개인정보처리자

- 적용범위: 전자파일 형태 외에 민원서류, 이벤트 응모권 등 수기문서도 포함

다른 법률과의 관계

- 개인정보보호법은 일반법이므로 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보보호법 적용

법추진체계 일원화

- 17개 부처 38개 법률의 개별법 체계에서 개인정보보호법(일반법) 개별법 체계로 정비

- 보호위원회(심의•의결) - 행안부(총괄 집행) - 부처(소관 집행)로 일원화

 

 

II. 개인정보보호법 구성도 및 주요 조항

가. 개인정보보호법 개념구성도

 

나. 개인정보 보호법 주요 조항

주요 항목

내용

보호의무 적용대상의 확대

- 분야별 개별법에 따라 시행되던 개인정보 보호의무 적용대상을 공공/민간 부문의 모든 개인정보처리자료로 확대 적용

보호 범위의 확대

- 컴퓨터 등에 의해 처리되는 정보 외 동사무소 민원신청서류 등 종이문서에 기록된 개인정보도 보호 대상에 포함

고유식별정보 처리 제한

- 주민번호 등 고유식별정보는 원칙적 처리 금지, 사전 규제 제도 신설(위반시 5년 이하 징역 또는 5천만원 이하 벌금)

- 주민번호와 회원가입방법 제공 의무화 및 암호화 등의 안전조치 의무화(위반시 3천만원 이하 과태료)

영상정보 처리기기 규제

- 공개된 장소에 설치, 운영하는 영상정보처리기기 규제를 민간까지 확대

- 설치목적을 벗어난 카메라 임의조작, 다른 곳을 비추는 행위, 녹음금지(위반시 3년 이하 징역 또는 3천 만원 이하 벌금)

개인정보 수집, 이용 제공기준

- 공공민간 통일된 처리원칙과 기준 적용 개인정보 수집,이용 가능 요건 확대(위반시 5년 이하 징역 또는 5천 만원 이하 벌금)

개인정보 유출통지 및 신고제 도입

- 정보주체에게 유출 사실을 통지

- 대규모 유출 시에는 행안부 또는 전문기관에 신고

 

 

III. 개인정보보호법 구성체계개인정보보호법 변경내역

가. 개인정보보호 체계 일원화

http://krsec.net/wp-content/uploads/2011/05/jtkb03.jpg

나. 개인정보보호 행정체계 일원화

http://krsec.net/wp-content/uploads/2011/05/jtkb02.jpg

다. 개인정보 처리단계(LifeCycle)별 의무사항

처리단계

개인정보보호법령규정

- 개인정보 수징.이용

- 개인정보 수집의 제안(필요 최소한의 정보수집 등)

- 민감정보 및 고유식별정보 처리제한

- 인터넷상 주민번호 이외의 회원가입 방법제공

- 영상정보처리기기 설치.원영, 개인정보처리방침 공개

- 개인정보 보호책임자 지정

- 개인정보 안정성 확보조치

- 개인정보의 제3자 제공, 목적외 이용제공 금지

- 개인정보 처리위탁, 영업양도 등 개인정보 이전

- 개인정보파기

- 개인정보 유출통지.신고 및 개인정보 침해신고

- 개인정보 열람, 정정.삭제, 처리정지권

- 개인정보 분쟁조정위원회 및 집단분쟁조정

- 권리침해 중지 단체소송

 

개인정보 LifeCycle별 개인정보보호를 위한 법령 규정

 

[참조] 개인정보보호법 전문

VI.  개인정보보호법 전문 요약


  1.    – 목적, 정의, 개인정보보호원칙, 다른 법률과의 관계 등
      2장.개인정보보호정책의 수립등
       – 개인정보보호위원회, 기본계획·시행계획 수립, 개인정보보호지침, 자율규제촉진 등
      3장.개인정보의 처리
       – 수집·이용·제공 등 처리기준, 민감정보·고유식별정보 제한, 영상정보처리기기 제한 등
      4장.개인정보의 안전한 관리
       – 안전조치의무, 개인정보파일 등록·공개,  개인정보영향평가, 유출통지제도 등
      5장.정보주체의 권리 보장
       – 열람요구권, 정정·삭제요구권, 처리정지요구권, 권리행사방법 및 절차, 손해배상책임 등
      6장.개인정보분쟁조정위원회
       – 분쟁조정위원회 설치·구성, 분쟁조정의 신청방법·절차, 효력, 집단분쟁조정제도 등
      7장.개인정보 단체소송
       – 단체소송 대상, 소송허가요건, 확정판결의 효력 등
      8장.보칙
       – 적용제외, 금지행위, 침해사실신고, 시정조치 등
      9장.벌칙
       – 벌칙, 과태료 및 양벌규정 등
 

 

VII. 개인정보보호법의 주요 내용 및 권리

가. 개인정보보호법의 주요내용

요약

주요내용

공공, 민간단체 모두적용

- 국회, 법원 등 헌법기관, 동창회, 친목회 등 비영리단체를 포함, 업무상 개인정보파일을 운용하기 위하여 개인정보를 처리하는 모든 자에 대하여 법률을 적용

단계별 처리원칙 및 보호기준강화

- 정보주체의 동의, 법률의 규정이 있는 등 일정 기준에 해당하는 경우 수집, 이용, 제공을 허용하고 동의를 얻는 경우 정보주체에게 수집, 목적, 이용기간 등을 반드시 고지하도록 명시함.

- 수집, 보유 및 활용, 제공, 파기까지 처리원칙규정

- 최소화의 원칙, 개인정보의 자기결정권을 존중

적용문서범위

- 전사적으로 처리되는 문서 및 수기문서까지 포함

파기

- 수집, 이용 목적 달성 등으로 불필요하게 된 때에는 지체 없이 개인정보를 파기

주민등록번호 등 고유식별 정보에 대한 보호를 강화

- 주민등록번호 등 고유식별번호의 오남용, 도용 근절을 위해 고유식별번호 처리를 원칙적으로 금지하고 정보주체의 별도의 동의나 법령규정이 있는 경우 예외적으로 사용할 수 있도록 함

일정수준이상 개인정보 처리자는 i-pin의 의무화

- 일정기준 이상의 개인정보처리자는 인터넷 웹사이트 회원가입 등 본인확인이 필요한 경우 주민등록번호 이외의 방법(i-pin, 공인인증서 등)을 반드시 제공하도록 의무화

개인정보파일등록제

- 개인정보파일 현황의 투명한 관리 및 공개를 위해 ‘개인정보파일 등록 및 공개 제도’ 도입

개인정보영향평가제도입

- 대규모 개인정보파일 구축 및 연계, 연동경우 개인정보 침해 위험성과 보호대책을 미리 평가하여 취약점을 개선하는 개인정보영향평가의 의무화

유출, 무단열람 등 불법행위에 대한 처벌수위 대폭강화

- 개인정보유출, 무단열람 등 불법행위에 대해 처벌수위를 민간수준으로 강화(현행 3년 이하 징역 -> 5년 이하 징역)

- 명백한 위법사항에는 징계권고, 시정명령, 형사고발, 위반사실공표 등을 통하여 실효성 있는 제재

개인정보유출 시 지체 없는 통보 의무화

- 개인정보 유출 발생시 개인정보처리자가 유출된 개인정보의 항목, 유출발생경위 및 시점, 피해 최소화를 위한 방법 등을 지체 없이 통지토록 의무화

전문추진체계 마련

- 국무총리실 산하에 개인정보보호위원회(민간인 위원장)을 구성, 개인정보관련 업무를 심의, ‘개인정보보호분쟁위원회’를 공공, 민간의 모든 개인정보 분쟁을 조정할 수 있도록 대상을 확대

개인정보보호법의 보장된 권리

구분

내용

개인정보 유출통지 및 신고제

- 개인정보처리자는 개인정보 유출 시 지체 없이(5일 이내) 정보주체에게 유출사실 통지(법 제 34조, 표준지침 제 27조)

정보주체의 열람, 정정•삭제, 처리정지권보장

- 정보주체는 자신의 개인정보에 대한 열람, 정정•삭제, 처리정지를 개인정보처리자에 대해 요구할 수 있음(법 제 35조 ~ 제 37조)

개인정보 침해신고

- 개인정보에 관한 권리, 이익을 침해 받은 사람은 행정안전부 장관에게 침해사실을 신고(법 제 62조)

개인정보 분쟁조정 및 단체소송

- 개인정보 관련한 분쟁의 조정을 원하는 자는 개인정보분쟁조정위원회에 분쟁조정을 신청할 수 있음(법 제 43조)

VIII. 개인정보보호법의 준수를 위한 이행 사항

구분

내용

무분별한 개인정보 수집 자제

- 불필요하게 주민번호 등 개인정보를 수집하는 경우, 관리소홀로 인해 해킹 등 유출사고 책임이 크게 증가하므로 서비스 제공에 필요한 최소한의 개인정보수집이 현명

주민등록번호 등 고유식별정보와 종료, 건강정보 등 민감정보는 원칙적 처리금지

- 고유식별정보와 민감정보는 ①정보주체의 별도의 동의 ②법령에서 구체적으로 명시하거나 허용하는 경우를 제외하고 처리할 수 없도록 규제가 강화됨. 수집 시 법령에 근거가 있는지, 홈페이지 또는 서식에 별도의 동의서식을 갖추고 있는지 살펴서 법 위반사례가 없도록 함

목적 외 이용이나 제3자 제공에 대한 주의

- 법령의 근거 없이 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공하지 않도록 주의하여야 함. 지인이나 심부름센터 등에 개인정보를 고의적으로 유출하는 것은 물론, 인터넷에 잘못 게시하여 개인정보가 유출되는 경우도 불법적인 제3자 제공이므로 관리를 철저히 하여야 함.

개인정보 위탁 시 정보주체에게 고지하고 관리책임을 이행

- 홍보 또는 조사목적으로 개인정보 처리업무를 위탁할 때 정보주체에게 고지해야 함. 예를 들어, 수탁자인 조사회사의 잘못으로 개인정보가 유출되어 피해가 발생한 경우, 위탁자가 손해배상을 해야 함. 위탁자는 수탁자를 관리감독 할 책임이 부과되므로 수탁자 교육 등을 철저히 이행해야 함.

개인정보파일은 DB보안프로그램, 암호화 소프트웨어 등 안정한 방법을 사용하여 보관

- 개인정보파일은 유출되었을 때 명의도용, 불법마케팅, 보이스피싱 등에 악용될 수 있으므로 안정한 방법으로 보관해야 함. 안전하게 보관하기 위해서는 개인정보를 암호화하고 DB에 접근권한 제한, 백신프로그램 설치, 방화벽 등 침입차단시스템을 설치하고 필요한 보호조치를 취해야 함. 특히 PC에 개인정보를 함부로 보관하여 유출되지 않도록 주의해야 함

이미 수집된 개인정보파일을 이용한 후에는 알아볼 수 없도록 파기

- 개인정보의 보유이용기간이 끝난 경우, 이용목적을 달성한 경우에는 문서를 분쇄하거나 소각해 파기해야 함. 컴퓨터로 저장된 문서를 가지고 있는 경우라면 포맷이나 삭제 소프트웨어를 사용해서 파기 처리함.

관련 문서를 명확히 구비하고 정보주체의 열람 청구에 신속히 대응

- 개인정보처리방침, CCTV 안내판, CCTV 운영방침 등 의무적으로 공개가 필요한 문서들과 내부관리계획 등 수립하여야 하는 문서를 점검하여 누락되지 않도록 준비함.

- 열람청구 등에 대한 정보주체의 요구가 있을 경우 지체 없이 처리하여야 함.

개인정보 유출통지, 집단분쟁조정, 단체소송에 대비

- 개인정보가 유출된 경우 정보주체에게 즉시 알리고, 사실확인, 홈페이지 차단, 비밀번호 변경공지 등 초동 조치를 신속히 하여야 함. 유출 대응을 지연하는 경우에는 과태료가 부과되고, 유출이 확인될 경우 피해자는 분쟁조정위원회에 집단분쟁조정 또는 법원에 권리침해 단체소송을 제기할 수 있으므로 철저히 대비해야 함.

 

[참고] OECD 개인정보보호 8원칙 및 개인정보보호

 항목

설명

수집제한의 원칙

- 적법하고 공정한 방법으로 개인정보 수집

- 개인정보주체의 인지 또는 동의를 얻어 개인정보 수집

- 민감한 개인정보 수집제한

정보정확성의 원칙

- 이용목적과 관련성 요구

- 이용목적상 필요한 범위 내에서 개인정보의 정확성, 완전성, 최신성 확보

목적명시의 원칙

- 수집이전 또는 수집 당시에 목적 명시

- 명시된 목적에 적합한 개인정보의 이용

이용제한의 원칙

- 정보주체의 동의가 있거나 법규정이 있는 경우를 제외하고는 목적 외 이용 및 공개금지

안전성확보의 원칙

- 개인정보의 침해, 누설, 도용 등을 방지하기 위한 물리적, 조직적, 시술적 안전조치 확보

공개의 원칙

- 개인정보 처리 및 보호를 위한 정책의 공개

- 개인정보관리자의 신원 및 연락처, 개인정보의 존재사실, 이용 목적 등에 대한 접근 용이성 확보

개인참가의 원칙

- 정보주체의 개인정보 열람, 정정, 삭제청구권 보장

- 정보주체가 합리적 시간과 방법에 의해 개인정보에 접근할 수 있도록 보장

책임의 원칙

- 개인정보 관리자에게 원칙준수의무 및 책임 부과

 

 

[참고]데이터 베이스의 데이터암호화 방식 비교

구분

API방식

Filtering 방식

하이브리드 방식

암호화/보안 방식

별도AP개발/통합

DB내 설치/연동

별도의 어플라이언스/설치

서버성능부하

Application 서버에서 암/복호화

DB서버에 암/복호화, 정책관리, 키관리 부하 발생

DB/어플라이언스에서 분산 부하 분산

시스템 통합 용이성

Application 개발 통합기간 필요

Application 변경 불필요

Application 변경 불필요

암호화 대상 발생시

Application 수정

간단한 지정으로 가능

간단한 지정으로 가능

관리편의성

Application 변경 및 암호화 필드 변경에 따른 유지보수 필요

관리자용 GUI이용, 다수DB통합관리 가능 편의성 높음

관리자용 GUI이용 다수 DB톤합관리 가능 편의성 높음

 

 

댓글