제3절 개인정보 보호의 정의
제1항 개인정보의 정의
개인정보 보호법 제2조(정의) 제1항에서 “개인정보”란 살아있는 개인에 대한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 또는 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보라고 정의하고 있다.
개인을 알아볼 수 있는 정보는 개인에게 고유한 특성을 상징하거나 그러한 상징을 내포할 수 있는 유일한 식별자를 의미하는 것으로 주민등록번호, 운전면허번호, 외국인등록번호, 여권번호, 사원번호, 회원번호 등이 해당된다.
해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보는 우편번호, 성별, 생년월일 정보를 결합하여 개인을 식별하는 경우가 해당된다.
개인정보는 정보주체의 의사에 반하거나 정보주체가 알지 못하는 상태에서 이용될 경우 당사자의 사생활을 현저히 침해하거나 이해관 계에 영향을 미칠 수 있는 민감정보를 포괄한다. 즉 개인의 내면 사실, 신체 특징, 재산정보, 사회적 지위 등에 관하여 식별되거나 식별할 수 있는 정보를 의미한다.
l 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보
l 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보
l 유전자검사 등의 결과로 얻어진 유전정보
l 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보
l 인종이나 민족에 관한 정보
기술의 발전으로 과거에는 존재하지 않았던 RFID에 의한 위치정보, 생체 인증에 사용되는 바이오 정보, CCTV를 통해 수집되는 영상정보, 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리된 가명정보 등 새로운 유형의 개인정보가 등장하고 있다.
제2항 개인정보의 특성 및 유형
개인정보와 관련된 법률에서의 개인정보 정의를 기반으로 개인정보가 가지고 있는 특성을 정리하였으며 개인정보 해당여부 판단기준으로도 활용할 수 있다.
· ‘살아 있는’ 개인에 관한 정보이어야 한다.
원칙적으로 개인정보의 주체는 자연인이여야 하며 법인 또는 단체의 정보는 해당되지 않지만 법인, 단체의 정보에 포함되는 정보항목이 개인을 식별할 수 있을 경우 개인정보에 해당한다고 볼 수 있다.
사망하였거나 실종신고 등에 의하여 사망한 것으로 간주되는 사람에 대한 정보는 개인정보로 인정되지 않으며 사망한 사람의 정보가 생존하는 유족, 후손과 관련된 경우 이때의 정보는 유족, 후손의 개인정보로 분류할 수 있다.
· ‘개인에 관한’ 정보이어야 한다.
법인 또는 단체의 이름, 주소, 대표 연락처 등은 개인정보에 해당하지 않는다. 하지만 그 자체가 개인을 식별할 수 있는 정보일 경우 개인정보로 분류할 수 있다.
· ‘정보’의 내용, 형태 등은 제한이 없다.
‘객관적 사실’에 관한 정보나 그 사람에 대한 제3자의 의견 등 ‘주관적 평가’ 모두 개인을 식별할 수 있는 경우 개인정보로 분류한다.
· 개인을 ‘알아볼 수 있는’ 정보이어야 한다.
성명, 고유식별 정보 외에도 사상, 종교, 가치관, 정치적 성향, 건강상태, 병력, 장애여부, 범죄경력 등을 통해서도 개인을 알아볼 수 있는 경우 개인정보에 해당한다.
· 다른 정보와 ‘쉽게 결합하여’ 개인을 알아볼 수 있는 정보
정보 하나만으로는 개인을 식별할 수 없지만 여러 정보를 쉽게 결합하여 개인을 식별할 수 있는 경우에 해당하며, 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려한다.
로그기록이나 쿠키파일와 이메일주소, 고유식별정보 등을 결합하여 개인을 식별할 수 있는 경우 개인정보로 보아야 한다.
· 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리한 정보
통계작성, 과학적 연구, 공익적 기록보전을 목적으로 가명처리한 후 개인의 사생활 침해없이 안전하게 활용하기 위한 정보로써 이 또한 개인정보에 해당한다.
개인정보의 유형은 일반적으로 다음과 같이 분류할 수 있다.
[표] 개인정보 유형 (개인정보분쟁위원회)
| 유형구분 | 개인정보 항목 |
| 일반정보 | 이름, 주민등록번호, 운전면허번호, 주소, 전화번호, 생년월일, 출생지, 본적지, 성별, 국적 |
| 가족정보 | 가족구성원들의 이름, 출생지, 생년월일, 주민등록번호, 직업, 전화번호 |
| 교육 및 훈련정보 | 학교출석사항, 최종학력, 학교성적, 기술 자격증 및 전문 면허증, 이수한 훈련 프로그램, 동아리활동, 상벌사항 |
| 병역정보 | 군번 및 계급, 제대유형, 주특기, 근무부대 |
| 부동산정보 | 소유주택, 토지, 자동차, 기타소유차량, 상점 및 건물 등 |
| 소득정보 | 현재 봉급액, 봉급경력, 보너스 및 수수료, 기타소득의 원천, 이자소득, 사업소득 |
| 기타 수익정보 | 보험 (건강, 생명 등) 가입현황, 회사의 판공비, 투자프로그램, 퇴직프로그램, 휴가, 병가 |
| 신용정보 | 대부잔액 및 지불상황, 저당, 신용카드, 지불연기 및 미납의 수, 임금압류 통보에 대한 기록 |
| 고용정보 | 현재의 고용주, 회사주소, 상급자의 이름, 직무수행평가기록, 훈련기록, 출석기록, 상벌기록, 성격 테스트결과 직무태도 |
| 법적정보 | 전과기록, 자동차 교통 위반기록, 파산 및 담보기록, 구속기록, 이혼기록, 납세기록 |
| 의료정보 | 가족병력기록, 과거의 의료기록, 정신질환기록, 신체장애, 혈액형, IQ, 약물테스트 등 각종 신체테스트 정보 |
| 조직정보 | 노조가입, 종교단체가입, 정당가입, 클럽회원 |
| 통신정보 | 전자우편(E-mail), 전화통화내용, 로그파일(Log file), 쿠키(Cookies) |
| 위치정보 | GPS나 휴대폰에 의한 개인의 위치정보 |
| 신체정보 | 지문, 홍채, DNA, 신장, 가슴둘레 등 |
| 습관 및 취미정보 | 흡연, 음주량, 선호하는 스포츠 및 오락, 여가활동, 비디오 대여기록, 도박성향 |
제3항 개인정보 보호와 프라이버시
앞에서 “개인정보”란 살아 있는 개인을 식별할 수 있는 정보라 정의하였으며 “개인정보 보호(Data Protection)”란 정보주체의 개인정보 자기결정권을 보장하는 것을 의미한다. (“개인정보 자기결정권”이란 자신에 관한 정보가 수집, 처리, 이용되는 과정에서 정보주체가 스스로 결정할 수 있는 권리를 의미한다.) (행안부, 한국인터넷진흥원)
“프라이버시”란 타인의 방해를 받지 않고 개인의 사적인 영역을 유지하고자 하는 권리를 의미한다.
개인정보 보호와 프라이버시는 다음 두 가지 차이점을 가지고 있다.
l 프라이버시는 자신의 권리로서 누구의 간섭도 받지 않고 독립적으로 그 권리를 행사할 수 있으나, 개인정보는 그 개인정보를 실질적으로 수립·관리하고 있는 사람이나 조직·기업의 권리도 인정 필요하다.
l 프라이버시는 인격권 그 자체이지만 개인정보는 인격권의 침해가 없더라도 보호해야 할 경우가 있다. 예를 들어 정보주체의 계좌번호나 신용카드번호가 유출된 경우 인격권에 영향을 미치지 않지만 개인정보 보호의 대상으로써 적절한 보호대책이 적용되어야 한다.
(“인격권”이란 자신과 분리할 수 없는 인격적 이익의 향유를 내용으로 하는 인격의 자유로운 발현에 관한 권리로서 인격 형성, 유지, 보호를 받을 수 있는 권리를 말한다.)
예컨데 봉투에 적힌 수신인과 발신인 정보(이름, 주소 등)은 ‘개인정보’이며, 봉투 안에 들어있는 문서의 내용은 ‘프라이버시’라고 볼 수 있다.
제4항 개인정보 보호의 중요성
개인정보는 전자상거래, 금융거래, 회원관리 등 사회 경제의 구성, 유지, 발전을 위한 필수 요소로서 기능을 하고 있다. 특히 4차 산업혁명의 데이터경제 시대를 맞이하여 개인정보와 같은 데이터는 조직 및 기업의 부가가치를 창출할 수 있는 자산으로서 높게 평가된다.
개인정보의 활용에 있어서 순기능과 역기능을 살펴본다.
순기능 측면에서는 정보주체는 상품 구매에 대한 탐색시간 및 비용 절감, 다양한 커뮤니티 활동을 통한 정보 공유 및 부가 서비스를 받을 수 있으며 개인정보처리자는 고객 성향 분석 및 상품 개발, 타겟 마케팅 등 효과를 얻을 수 있다.
역기능 측면으로는 정보주체는 스팸메일 등 수신 증가, 개인정보 정정 비용 발생, 금융정보를 통한 불법 인출 등의 피해가 발생할 수 있으며 개인정보처리자는 관리적/물리적/기술적 인프라 비용 증가, 유출에 따른 피해 보상, 회원 탈퇴, 매출 감소, 브랜드 이미지 악영향 등의 피해가 예상된다.
개인정보가 악의적인 목적으로 이용되거나 유출될 경우, 정보주체는 1차적으로 개인의 사생활과 안전, 재산 피해를 입을 수 있으며 2차적으로는 스팸메일, 불법 텔레마케팅 등에 악용되어 원치 않는 광고성 정보를 끊임없이 수신하거나 보이스 피싱 등 범죄행위에 악용될 우려가 있다. 이렇게 유출된 개인정보는 회수가 불가능하기 때문에 피해 규모는 심각할 수밖에 없다.
조직 및 기업은 개인정보 침해사고 발생 시 각종 법률에 따른 민형사상 소송과 경제적 피해 보상, 주가 하락, 기업 이미지 및 신뢰도 하락의 피해를 입을 수 있으며 규모에 따라서 파산할 수도 있다.
유형별로는 무단사용·판매가 59억2,461만 건으로 가장 많았고 해킹에 의한 유출 1억7,584만건, 직원에 의한 유출 1억2,154만건, 관리소홀에 따른 개인정보 노출 2,738만건 등이다. 해킹을 당했거나 직원이 개인정보를 유출한 사례를 보면 암호화 등 개인정보를 보호하기 위한 기술적 보안 조치를 제대로 하지 않은 경우가 많았으며 당사자 동의 없이 비식별 조치를 거쳐 개인정보를 넘기기도 했다.
대규모 개인정보 침해는 주로 대기업에서 발생했으며 통신업계, 카드업계, 금융업계 뿐만 아니라 쇼핑, 여행, 교육, 화장품, 가상화폐 거래소, 소프트웨어업체 등 업종을 가리지 않았다. (Ai타임스, ‘개인정보 유출 사태… 해결책은 없나?’)
4차 산업혁명으로 지속적인 IT기술의 발전 및 시장변화로 개인정보 침해 가능성은 높아지고 있으며 침해로 인한 피해의 확산 속도는 빨라지고, 규모 또한 점차 대형화되는 추세에 있다.
‘개인정보 침해’란 개인정보 처리 Life Cycle 전 과정에서 발생하며 법적 근거 없는 개인정보의 수집·이용·제공은 물론 개인정보 유출, 오남용, 불법유통 등 유형을 포괄하는 것으로 볼 수 있다.
이러한 개인정보 침해는 그 자체로도 피해가 발생하지만 이로 인한 2차, 3차 피해가 추가로 발생하는 등 피해의 위험이 높아 사전에 개인정보 침해를 예방하는 것이 무엇보다 중요하다.
따라서 개인정보 침해사고가 가져올 파급력에 대해 인지하고 피해 입기 전에 조직 및 기업에서는 스스로 개인정보 보호를 위한 책임을 강화하고, 침해로부터 보호하기 위한 관리적/기술적/물리적 보호조치 마련, 개인정보취급자의 인식 제고 등의 다양하고 체계적인 개인정보 보호활동을 수행하여야 한다.
[표] 개인정보 피해내용
| 구분 | 피해 내용 |
| 개인 | 정신적 피해뿐만 아니라 명의도용,보이스피싱에 의한 금전적 손해,유괴 등 각종 범죄에 노출 |
| 기업 | 기업의 재화 또는 서비스를 이용하는 고객의 신뢰와 기업의 이미지 훼손, 다수 피해자에 대한 집단적 손해배상 시 기업 경영에 큰 타격 |
| 국가 | IT산업의 해외수출 애로, 전자정부의 신뢰성 하락, 국가 브랜드 하락 |
제 5 항 유럽 일반 개인정보 보호법 (GDPR)
EU 일반 개인정보 보호법(GDPR, General Data Protection Regulation)은 EU 회원국에 일괄적으로 적용되는 개인정보 보호법으로, 유럽연합에 속해 있거나 유럽경제지역(EEA)에 속해 있는 회원국의 국민의 사생활 보호와 개인정보들을 보호해주는 규제이며, 2016년 제정되어 2018년 시행되었다. GDPR은 11장 99개 조항으로 구성되어 있으며, 정보주체의 권리와 기업의 책임성 강화 등을 주요 내용으로 한다.
GDPR에서는 정보주체의 여러가지 권리를 명시하고 있다. 특히, 삭제권(‘잊힐권리’), 개인정보 이동권, 프로파일링을 포함한 자동화된 처리에 대한 선택권 등과 같은 권리를 명문화하여 기존 Directive보다 정보주체의 권리를 강화했으며 정보주체의 각 권리와 관련하여 컨트롤러(controller)가 취해야 할 조치들을 규정하고 있다.
GDPR은 EU에 사업장을 가지고 있는 기업 뿐 아니라, EU에 사업장을 가지고 있지 않더라도 EU 내 거주자에게 재화나 서비스를 제공하거나 EU 내 거주자의 EU 내에서의 행동을 모니터링하는 기업 또한 적용 대상으로 규정하고 있다.
GDPR 적용 대상 기업
l EU 국가 중 한 곳 이상에 사업장이 있는 기업
l EU에 사업장이 없지만, 유럽 거주민의 개인 데이터를 취급하는 기업
l 종업원 250명 이상의 기업
l 종업원이 250명 미만이지만, 데이터 처리가 해당인의 권리와 시민적 자유에 영향을 주거나, 이런 데이터 처리 활동이 간헐적이 아니거나, 민감한(요주의) 개인 데이터가 포함된 경우
GDPR에서는 특정 주체를 지칭하는 용어가 많이 사용된다 가장 많이 사용되는 용어는 컨트롤러와 프로세스이다.
[표] GDPR 관련 주요 주체
| 주체 | 설명 | 개인정보보호법 |
| 컨트롤러 (Controller) |
개인정보를 1차적으로 수집해서 관리하고, 수집 목적과 수단을 결정하는 사람, 법인, 기관, 단체 등 | 개인정보처리자, 위탁자 등과 |
| 프로세서 (Processor) |
컨트롤러를 대신해 개인정보를 처리하는 사람, 법인, 기관, 단체 등 | 개인정보취급자, 수탁자 등 |
정보주체의 다양한 권리
l 삭제권 (잊힐권리)
정보주체는 자신의 개인정보를 지체없이 삭제하도록 컨트롤러에게 요구할 수 있는 권리를 가지며, 컨트롤러는 개인정보 처리 목적을 달성했거나 정보주체가 동의를 철회할 경우 개인정보를 삭제해야 한다.
삭제권이 보장되는 경우는 개인정보가 원래 수집/처리 목적을 달성한 경우, 처리의 기반이 되는 동의를 철회하고, 해당 처리에 대한 기타의 법적 근거가 없는 경우, 개인정보가 불법적으로 처리된 경우, 컨트롤러에 적용되는 유럽연합 또는 회원국 법률의 법적 의무를 준수하기 위해 개인정보가 삭제되어야 하는 경우 등이 있다.
다만, 표현과 정보의 자유에 대한 권리 행사, 컨트롤러에 적용되는 유럽연합 또는 회원국 법률의 법적 의무를 준수하는데 처리가 요구되는 경우 또는, 공익을 위해서 또는 컨트롤러에게 부여된 공적 권한을 행사하여 업무를 수행하는 경우, 공중보건 분야의 공익상의 이유인 경우, 공익적 기록보존 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적에 해당하는 경우로서, 정보주체의 권리가 그 처리의 목적 달성을 불가능하게 하거나 중대하게 손상시킬 것으로 예상되는 경우, 법적 권리의 확립, 행사 또는 방어를 위한 경우 등의 경우에는 개인정보를 처리할 수 있다.
l 개인정보 처리제한권
정보주체는 자신의 개인정보 처리를 차단하거나 제한할 수 있다.
이 경우 컨트롤러는 그 개인정보를 보관할 수 있으며 정보주체의 동의가 있거나 법적 권리의 확립, 행사 또는 방어를 위해, 또는 제3자나 법인의 권리를 보호하거나 유럽연합 또는 회원국의 중요한 공익상의 이유에 한해서만 처리될 수 있다.
컨트롤러가 처리제한을 해제하는 경우 사전에 정보주체에게 고지하여야 한다.
l 개인정보 이동권
특정 컨트롤러나 프로세서가 보유한 자신의 개인정보를 다른 곳으로 이동할 수 있도록 요청할 수 있다.
정보주체에 관한 개인정보이며, 프로파일링 됐고, 이러한 요구를 통해 타인의 자유나 권리를 침해하지 않는 경우라면 다른 서비스 제공 기업으로 정보를 이전하도록 요구할 수 있다.
단 해당 권리는 공익을 위해 또는 컨트롤러에게 부여된 공식업무수행에 필요한 처리의 경우에는 적용되지 않는다.
l 프로파일링을 포함한 자동화 처리 선택권
정보주체는 법적 효력을 초래하거나 본인에게 중대한 영향을 미치는 사항에 대해 자신의 개인정보가 프로파일링 되지 않도록 요구할 수 있다.
원칙적으로 정보주체는 프로파일링을 거부할 수 있지만, 자신이 이에 대해 명시적인 동의를 했거나, 계약 사항에 포함돼 있을 경우, 혹은 법률에서 허용하는 경우에는 예외로 한다.
GDPR 규정을 위반하는 경우, 기업들은 위반으로 인해 발생한 손해를 입은 정보주체에게 손해배상 책임을 져야 하며, 위반 사항에 대해서는 과징금이 부과된다. 특히, 심각한 위반으로 판단되는 경우 직전 회계년도의 전세계 연간 매출액 4% 또는 2천만 유로 중 높은 금액을 과징금으로 부과하고 있습니다. GDPR에서 과징금 부과 대상에 해당하지 않는 위반 사항에 대해서는 각 회원국에서 별도로 규정하는 처벌 조항에 의해 제재를 받게 된다.
[표] GDPR 개인정보 처리원칙
| 1 | 적법성, 공정성, 투명성의 원칙 (Lawfulness, fairness and transparency) |
| 2 | 목적 제한의 원칙 (Purpose limitation) |
| 3 | 개인정보처리의 최소화 (Data minimisation) |
| 4 | 정확성의 원칙(Accuracy) |
| 5 | 보관기간 제한의 원칙 (Storage limitation) |
| 6 | 무결성 및 기밀성의 원칙 (Integrity and confidentiality) |
| 7 | 책임성의 원칙 (Accountability) |
[표] GDPR 준수를 위한 준비사항
| 1. GDPR 적용 대상 및 범위 확인 | GDPR의 적용 대상 및 물리적, 지리적 범위를 파악하고 기업과에서 처리하고 있는 정보가 적용 대상인지 확인 |
| 2. DPO 지정 | DPO 의무 지정 대상자인지 확인 후, GDPR에 따른 책무를 수행할 수 있는 DPO 지정 |
| 3. GDPR 인식 제고 활동 수행 | GDPR을 준수하기 위해 임직원들에게 조직에 미칠 영향과 준수해야 할 사항 등을 교육 |
| 4. 데이터 식별 및 문서화 | GDPR의 원칙 중 하나인 책임성의 원칙 이행을 위해 수집된 데이터를 모두 식별한 후 왜 수집되었는지, 안전하게 보관되는지 등을 파악하고, 이러한 내용을 모두 문서화 |
| 5. 개인정보 영향평가 수행 | 자연인의 권리 및 자유에 대해 고 위험을 초래할 가능성이 있는 개인정보 처리에 대해 필수적으로 개인정보 영향평가 수행 |
| 6. 이용자 공개 내용 검토 | 이용자 안내 항목과 방법이 실제 현황과 일치하는지 확인하고 GDPR 기준에 맞는 이용자 안내 항목과 방법에 부합하게 안내하고 있는지 검토 |
| 7. 이용자 권리 보장 | GDPR의 이용자 권리 요구사항을 준수하기 위한 방법과 절차 수립 |
| 8. 이용자 동의 방식 검토 | GDPR 기준에 맞는 이용자 동의 조건 만족 여부 검토 아동에게 온라인 서비스를 제공하기 위해서는 대리인의 동의를 받아 아동의 정보 처리 필요 |
| 9. 개인정보 유출 신고 및 통지 | 개인정보 유출된 경우 감독 당국에 신고하고, 정보 주체에게 통지 GDPR 기준에 맞는 개인정보 유출 대응 프로세스와 매뉴얼 준비 |
| 10. EU 역내 대리인 지정 | EU 내 설립되지 않은 글로벌 기업의 경우, EU 내 대리인을 지정 컨트롤러와 프로세서를 대신하여 EU 감독 기구와 커뮤니케이션을 수행할 대리인을 지정 |
제 6 항 개인정보 보호 원칙
개인정보보호에 있어서 주요 이해관계자는 개인정보의 주인인 정보주체와 해당 개인정보를 업무 목적으로 수집, 처리, 이용하는 개인정보처리자, 정보통신서비스제공자로 구분할 수 있다.
[표] GDPR 관련 이해관계자 유형
| 이해관계자 | 관련 조항 | 정의 |
| 정보주체 | 「개인정보 보호법」 제2조제3호 | 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람 |
| 개인정보처리자 | 「개인정보 보호법」 제2조제5호 | 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등 (공공기관이란 「개인정보 보호법」 제2조제6호 및 「개인정보 보호법 시행령」 제2조 참조) |
| 정보통신서비스제공자 | 「정보통신망법」 제2조제3호 | 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자 |
다음은 이해관계자별 권리 및 의무에 관해 정리하였다.
[표] 이해관계자별 권리 및 의미
| 구분(이해관계자) | 생명주기 | 권리 및 준수사항 |
| 정보주체의 권리 | 전 생명주기 | 자신의 정보처리에 대한 권리(「개인정보 보호법」 제4조) |
| 개인정보처리자의 의무 | 수집 | 개인정보의 수집·이용(「개인정보 보호법」 제15조) |
| 14세 미만 아동의 개인정보 동의 필요시 법정 대리인 동의(「개인정보 보호법」 제22조제6항) | ||
| 최소한의 개인정보 수집(「개인정보 보호법」 제16조) | ||
| 민감정보의 처리 제한(「개인정보 보호법」 제23조) | ||
| 고유식별정보의 처리 제한(「개인정보 보호법」 제24조) | ||
| 주민등록번호 처리 제한(「개인정보 보호법」 제24조의2) | ||
| 이용 및 제공 | 목적 외 이용·제공 제한(「개인정보 보호법」 제18조) | |
| 제3자에의 제공(「개인정보 보호법」 제17조) | ||
| 개인정보 처리 업무 위탁(「개인정보 보호법」 제26조) | ||
| 영업양도 등에 따른 개인정보의 이전(「개인정보 보호법」 제27조) | ||
| 관리(보관) | 안전성 확보(「개인정보 보호법」 제29조) | |
| 보호책임자의 지정(「개인정보 보호법」 제31조) | ||
| 유출 통지와 신고(「개인정보 보호법」 제34조) | ||
| 파기 | 파기(「개인정보 보호법」 제21조) | |
| 정보주체 권리 보장 | 개인정보의 열람(「개인정보 보호법」 제35조) | |
| 개인정보의 정정 삭제(「개인정보 보호법」 제36조) | ||
| 개인정보의 처리정지 등(「개인정보 보호법」 제37조) | ||
| 권리행사의 방법 및 절차(「개인정보 보호법」 제38조) | ||
| 손해배상책임(「개인정보 보호법」 제39조) | ||
| 법정손해배상의 청구(「개인정보 보호법」 제39조의2) | ||
| 정보통신서비스제공자의 의무 | 수집 이용 | 개인정보의 수집 이용 동의 등에 관한 특례(「개인정보 보호법」 제39조의3) |
| 유출 | 개인정보 유출 등의 통지 신고에 대한 특례(「개인정보 보호법」 제39조의4) | |
| 보호조치 | 개인정보의 보호조치에 대한 특례(「개인정보 보호법」 제39조의5) | |
| 파기 | 개인정보의 파기에 대한 특례(「개인정보 보호법」 제39조의6) | |
| 이용자 권리 | 이용자의 권리 등에 대한 특례(「개인정보 보호법」 제39조의7) | |
| 개인정보 이용내역 | 개인정보 이용내역의 통지(「개인정보 보호법」 제39조의8) | |
| 손해배상 | 손해배상의 보장(「개인정보 보호법」 제39조의9) | |
| 노출된 개인정보 | 노출된 개인정보의 삭제 차단(「개인정보 보호법」 제39조의10) | |
| 국내대리인 | 국내대리인의 지정(「개인정보 보호법」 제39조의11) | |
| 국외 이전 | 국외 이전 개인정보의 보호(「개인정보 보호법」 제39조의12) |
개인정보보호법에서는 개인정보처리자가 준수하여야 할 원칙에 대해서 규정(개인정보보호법 제3조)하고 있으며 개인정보보호를 위해 개인정보보호위원회에서는 개인정보 2.0 시대의 개막에 맞춰 사업자가 실천해야 할 개인정보 10가지 원칙을 공개했다.
[표] 개인정보처리자 준수 원칙
| 1 | 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다. |
| 2 | 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다. |
| 3 | 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다. |
| 4 | 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해 받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다. |
| 5 | 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다. |
| 6 | 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다. |
| 7 | 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다. |
| 8 | 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다. |
[표] 사업자 개인정보 10가지 원칙
| 1 | 무분별한 개인정보 수집 자제 (개인정보 처리 목적 명확화, 최소 개인정보 적법한 수집) |
| 2 | 개인정보 수집 시 서비스 제공에 꼭 필요한 필수정보와 선택정보 구분 |
| 3 | 주민등록번호 등 고유식별정보와 종교, 건강정보 등 민감정보는 원칙적으로 처리 금지 |
| 4 | 홍보 판매 목적으로 개인정보 위탁 시 고객에게 고지하고 철저히 관리 |
| 5 | 개인정보파일은 DB보안프로그램, 암호화 소프트웨어 등 안전한 방법을 사용하여 보관 |
| 6 | 보관이 필요한 증빙서류는 법령에서 정한 보유기간 숙지하여 준수 |
| 7 | 개인정보파일을 수집 당시 사용목적에 따라 이용한 후에는 알아볼 수 없도록 파기 |
| 8 | CCTV에는 반드시 안내판 설치 |
| 9 | 개인정보보호에 관한 지침, 문서 등을 반드시 구비 |
| 10 | 개인정보유출통지, 집단분쟁조정, 단체소송에 대비 |
'(부제) 나는 CISO 이다 > SecureDog 프로젝트' 카테고리의 다른 글
| 접근통제 정책 (0) | 2022.03.18 |
|---|---|
| 접근통제 절차 (0) | 2022.03.18 |
| 접근통제 정의 (0) | 2022.03.18 |
| 정보보호의 개요 (0) | 2022.03.10 |
| 정보보호의 필요성 (0) | 2022.03.10 |
댓글