개인정보보호법 2일차

개인정보 보호법 개요

• 국내 법 체계와 개인정보보호법

 

 

• 개인정보보호법 개정 이력

 

 

• 개인정보보호법 원칙

‣ 처리 목적의 명확화, 목적 내에서 적법하고 정당하게 최소 수집(제15조)

‣ 처리 목적 내에서 처리, 목적 외 활용 금지

‣ 처리 목적 내에서 정확성•완전성•최신성 보장(제3조 3항)

‣ 정보주체의 권리침해 위험성 등을 고려하여 안전하게 관리(제29조)

‣ 개인정보 처리사항 공개, 정보주체의 권리보장

‣ 사생활 침해 최소화 방법으로 처리

‣ 가명/익명처리가 가능한 경우 가명/익명으로 처리

‣ 개인정보 처리자의 책임 준수, 정보주체의 신뢰성 확보

 

• 정보주체의 권리 보장

‣ 개인정보의 처리에 관한 정보를 제공받을 권리

‣ 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택, 결정할 권리

‣ 개인정보의 처리 여부 확인, 개인정보 열람을 요구할 권리(사본 발급 포함)

‣ 개인정보의 처리 정지, 정정•삭제 및 파기를 요구할 권리

‣ 개인정보의 처리로 인한 피해를 신속, 공정하게 구제받을 권리

개인정보 자기결정권⭐ ‣ 자신에 관한 정보가 언제, 어떻게, 어느 범위까지 수집, 이용, 공개될 수 있는지를 정보주체가 스스로 통제, 결정할 수 있는 권리

 

• 타 법률과의 관계

‣ 개인정보 보호법은 개인정보 보호 분야의 일반법

⇒ 사회 전반의 개인정보 보호를 규율

⇒ 모든 공공기관, 사업자, 법인, 단체, 개인 등

‣ 다른 법률에 특별한 규정이 있는 경우

⇒ 위치정보법, 신용정 보법, 전자금융거래법, 의료법 등

 

• 개인정보 보호법 조항 예시(법 제15조)

 

 

안전한 관리 기준 (제29조)

• 개인정보처리 시스템의 범위

‣ 개인정보 처리자

⇒ "개인정보 처리자"란 업무를 목적으로 개인정보 파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말함

‣ 개인정보책임자

⇒ 개인정보처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자

‣ 개인정보취급자

⇒ 개인정보 처리자의 지휘·감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제 근로자 등

‣ 개인정보처리 시스템

⇒ 데이터베이스 시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템

 

• 안전한 관리 기준 관련 조항

‣ 안전성 확보조치 기준

이 기준은「개인정보 보호법」(이하 "법"이라 한다) 제23조 제2항, 제24조 제3항 및 제29조와 같은 법 시행령(이하 "영"이라 한다) 제21조 및 제30조에 따라 개인정보 처리자가 개인정보를 처리함에 있어서 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ 변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.

 

‣ 기술적 관리적 보호조치 기준

① 이 기준은 「개인정보 보호법」(이하 "법"이라 한다) 제29조 및 같은 법 시행령 제48조의 2 제3항에 따라 정보통 신서 비스 제공자 등(법 제39조의 14에 따라 준용되는 자를 포함한다. 이하 같다)이 이용자의 개인정보를 처리함에 있어 서 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성 확보를 위하여 필요한 기술적· 관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한다.

② 정보통신서비스 제공자 등은 사업규모, 개인정보 보유 수 등을 고려하여 스스로의 환경에 맞는 개인정보 보호조치 기준을 수립하여 시행하여야 한다.

 

• 개인정보의 안전성 확보조치 기준과 기술적 관리적 보호조치 기준 비교

 

• 개인정보 처리단계와 법령

 

 

• 개인정보 수집·이용(제15조)

‣ 정보주체의 동의를 받은 경우

⇒ 동의받을 때 고지의무 사항(위반 시 3천만 원 이하의 과태료)

1. 수집·이용 목적

2. 수집 항목

3. 보유 이용 기간

4. 동의 거부 권리 및 동의거부 불이익 내용

‣ 법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우

‣ 공공기관이 법령 등에서 정한 소관업무를 위해 불가피한 경우

‣ 정보주체와의 계약 체결·이행에 불가피한 경우

‣ 명백히 정보주체 등의 급박한 생명, 신체, 재산의 이익을 위해 필요한 경우

‣ 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우로서, 명백하게 정보주체의 권리보다 우선하는 경우

위반 시 5천 만원 이하의 과태료

 

• 개인정보의 수집 제한(제16조)

‣ 필요 최소한의 개인정보 수집

⇒ 정보주체의 동의를 받거나 법령의 처리 근거 또는 계약의 체결·이행 등을 불가피하게 개인정보 수집하는 경우에도 처리 목적 달성에 필요한 최소한의 개인정보만을 수집

‣ 최소한의 개인정보 수집이라는 입증책임은 개인정보 처리자가 부담

‣ 최소한의 정보 외의 개인정보 수집에는 동의 거부 가능

‣ 최소한의 개인정보 이외의 개인정보 수집에 동의하지 않다는 이유로 재화 등 제공 거부 금지(위반 시 3천만 원 이하의 과태료)

 

• 동의 받는 방법(제22조)

‣ 정보주체(법정대리인 포함)의 동의를 받을 때에는 각각의 동의사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 함

‣ 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의 필요한 개인정보를 구분

⇒ 개인정보의 수집·이용, 개인정보의 제삼자 제공, 민감정보의 처리, 고유 식별정보의 경우

⇒ 동의 없이 처리 가능한 개인정보라는 입중책임은 개인정보 처리자에게 있음

‣ 홍보나 마케팅 등의 이유로 개인정보 처리 동의를 받으러 할 때는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 함

‣ 선택적으로 동의할 수 있는 사항을 동의하지 않는다는 이유로 재화 또는 서비스의 제공 거부 금지 (위반 시 3천만 원 이하의 과태료)

‣ 만 14세 미만 아동의 개인정보를 처리하려면 법정대리인의 동의를 받아야 함

⇒ 법정대리인의 동의를 받기 위해 필요한 최소한의 정보(성명,연락처)는 해당 아동으로부터 직접 수집할 수 있음

‣ 동의서에 명확히 표시하여야 하는 사항

① 재화나 서비스의 홍보 및 판매 권유 등을 위해서 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실 ② 개인정보 중 다음의 사항  - 민감정보, 여권번호, 운전면허번호, 외국인등록번호 ③ 개인정보의 보유 및 이용 기간(제공시에는 제공받는 자의 보유 및 이용기간) ④ 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적

‣표시방법(전자문서와 서명동의 시)

① 글씨는 9포인트 이상의 크기로 하되 다른 내용보다 20% 이상 크게 할 것 ② 다른 색의 글씨, 굵은 글씨 또는 밑줄 등을 사용하여 명확히 드러나게 할 것 ③ 중요한 내용이 많은 경우에는 별도로 요약하여 제시할 것

 

• 개인정보 처리 동의서 작성 시 점검 사항

‣ 작성 전 확인사항

	확인사항	고려사항
1	업무처리에 필요한 개인정보 확인	최소한의 개인정보, 민담정보, 공유식별정보의 처리 여부
2	동의가 필요한지 여부 확인	동의 필요 여부의 확인
3	개인정보의 보유기간 확인	개인정보의 보유기간 확인
4	개인정보의 제3자 제공 여부 확인	제3자 제공 여부, 동의 필요 여부 확인 필요
5	개인정보 처리업무 위탁 여부 확인	위탁사실, 위탁내용, 수탁자등의 처리방침 게시 연계
6	개인정보 목적 외 이용·제공 여부 확인	동의받은 사항의 변경, 별도 동의 필요 여부 확인
7	동의 거부 시 불이익 확인	불이익 범위 여부의 확인

‣ 동의 후 조치 사항

	확인사항	고려사항
1	동의 의사 확인	동의받은 사실의 입증
2	동의 입증	동의받은 사실의 입증
3	필수 선택항목의 구분	특례조항

‣ 개인정보 처리 동의 시 잘못된 사례

• 개인정보 수집 목적 범위내 제삼자 제공(제17조)  ⇒ 위반 시 5년 이하의 징역 또는 5천만 원 이하의 벌금

‣ 정보주체의 동의를 받은 경우

※ 동의 받을 때 고지읨수사항 (위반시 3천만원 이항의 과태료) ① 개인정보를 제공받는 자 ② 제공받는 자의 개인정보 이용 목적 ③ 제공하는 개인정보의 항목 ④ 제공받는 자의 개인정보 보유·이용기간 ⑤ 동의거부 권리 및 동의거부 시 불이익 내용

‣ 다음의 경우에 따라 수집한 목적 범위 내에서 제공하는 경우

① 법률의 특별한 규정, 법령상의무 준수를 위해 불가피한 경우 ② 공공기관이 법령 등에서 정한 소관업무를 위해 불가피한 경우 ③ 명백히 정보주체 등의 급박한 생명, 신체, 재산의 이익을 위해 필요한 경우

 

• 개인정보 제3자 제공의 정의와 예시

• 개인정보 수집 목적 외 이용·제삼자 제공(제18조)

목적 외 이용·제공은 원칙적으로 금지 다만 아래 사항 중 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없는 경우 예외적 허용

‣ 정보주체의 별도 동의를 받은 경우

‣ 다른 법률의 특별한 규정이 있는 경우

‣ 명백히 정보주체 또는 제3자의 생명, 신체, 재산의 이익에 필요한 경우

‣ 공공기관만 해당

⇒ 개인정보를 목적 외로 이용하거나 제삼자에게 제공하지 않으면 다른 법률에서 정하는 소관업무 수행 불가한 경우로 개인정보보호위원회의 심의·의결을 거친 경우

⇒ 조약, 국제렵정 이행을 위해 외국 정부 등 제공에 필요한 경우

⇒ 범죄수사 및 공소제기·유지

⇒ 법원의 재판업무 수행

⇒ 형 및 감호, 보호처분 집행

 

• 목적 외 이용·제공(제18조)에 따른 이행사항

 

• 개인정보의 수집 출처 등 고지(제20조)

‣ 정보주체 이외로부터 수집한 개인정보를 처리할 때, 정보주체의 요구가 있으면 즉시(3일 이내) 다음의 사항을 알려야 함(위반 시 3천만 원 이항의 과태료)

⇒ 개인정보 수집 출처, 개인정보 처리 목적, 개인정보 처리 정지를 요구할 권리가 있다는 사실

‣ 일정 기준 이상의 개인정보처리자는 제삼자로부터 개인정보를 제공받은 경우 정보주체에게 수집 출처, 처리 목적, 처리정지 요구가 가능함을 고지하여야 함(위반 시 3천만 원 이하의 과태료)

‣ 단, 범죄수사, 공소 제기·유지, 형·감호 집행, 교정·보호·보안관찰 처분, 출입국 관리사항 등의 개인정보, 다른 사람의 생명·신체를 해할 우려 또는 재산·이익의 부당한 침해 우려 시에는 적용 예외

 

 

• 개인정보의 파기(제21조)

‣ 보유기관의 경과, 처리목적 달성 등 개인정보가 불필요하게 되었을 때 지체 없이(5일 이내) 파기 (위반 시 3천만 원 이하의 과태료)

‣ 개인정보 파기할 때에는 복구·재생되지 않도록 조치

‣ 다른 법령에 따라 보존하여야 하는 경우 다른 개인정보와 분리하여 저장·관리 (위반시 1천만 원 이하의 과태료)

 

• 개인정보 파기 시 고려사항

• 민감정보, 고유식별정보 처리제한(제23조, 24조)

"민감정보 및 고유식별정보는 원칙적으로 처리 금지"

‣ 정보주체에게 별도 동의를 얻거나, 법령에서 구체적으로 처리를 요구하거나 허용하는 경우에 한하여 처리

‣ 분실·도난·유출·위조·변조·훼손되지 않도록 안전성 확보조치 의무(위반 시 3천만 원 이하의 과태료)

 

 

• 주민등록번호의 처리제한(제24조의 2)

주민등록번호는 정보주체의 동의를 받아도 처리 불가

‣ 다음의 어느 하나에 해당하는 경우에만 주민등록번호 처리 가능

⇒ 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거 관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의처리를 요구하거나 허용한 경우

⇒ 정보주체또는제3자의급박한생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우

‣ 인터넷으로 회원 가입 시 주민등록번호를 사용하지 않는 가입 방법을 제공하여야 함

⇒ (예) I-PIN, 휴대폰, 공인인증서, 전자서명 등

 

 

• 영상정보처리기기의 설치·운영 제한(제25조)

‣ 다음의 경우를 제외하고는 공개된 장소에 영상정보처리기기 설치·운영 금지

⇒ 법령에서 구체적으로 허용하고 있는 경우

⇒ 범죄의 예방 및 수사를 위하여 필요한 경우

⇒ 시설안전 및 화재예방을 위하여 필요한 경우

⇒ 교통단속, 교통정보의 수집·분석 및 제공을 위하여 필요한 경우

‣ 목욕실, 화장실, 발한실, 탈의실 등의 내부를 볼 수 있도록 영상정보처리기기 설치 ·운영 금지 (위반 시 5천만 원 이하의 과태료)

※ 교도소, 정신보건시설 등법령에 근거하여 사람을 구금 또는 보호하는 시설에는 적용제외

‣ 설치 목적과 다른 목적으로 영상정보처리기기 임의 조작, 다른 곳을 비추는 행위, 녹음 기능 사용 금지 (위반 시 3년 이하의 징역 또는 3천만 원 이하의 벌금)

‣ 영상정보처리기기를 설치·운영하는 자는 정보주체가 쉽게 인식할 있도록 안내판 설치 및 개인정보가 분실·도난·유출·위조·변조·훼손되지 않도록 안전성 확보조치