1. 개인정보보호의 필요성
- 정보통신기술의 발전, 개인정보 범위 확대, 복잡
- 개인, 기업, 국가적 측면
- 개인정보 침해의 원인 : 개인정보 처리자의 사회적 책임 부족, 정보주체의 권리 부족과 문제의식 부재
| 개인정보 생명주기 | 개인정보 침해 유형 |
| 수집 | ‧ 이용자의 동의 없는 개인정보 수집 ‧ 과도한 개인정보 수집, 민감한 개인정보 수집 ‧ 관행적인 주민등록번호 수집 |
| 저장 | ‧ 개인정보의 기술적, 관리적 조치 미비로 인한 개인정보 침해 |
| 이용제공 | ‧ 고지 및 명시한 범위를 벗어난 개인정보의 목적 외 이용 ‧ 동의없는 제3자 제공 ‧ 부당한 개인정보 공유(계열사, 자회사, 패밀리사이트 등) ‧ 개인정보 매매 ‧ 개인정보 이용 동의의 철회 및 회원탈퇴 요구에 불응 |
| 파기 | ‧ 정당한 이유없는 개인정보 보유 및 미파기 |
2. 개인정보와 프라이버시
- 프라이버시 : 타인의 방해를 받지 않고 개인의 사적 영역을 유지하고자 하는 이익 또는 권리
① 사적인 사항이 공개되지 않는 이익(소극적)
② 자신이 중요한 문제에 대해 자율적이고 독자적으로 결정을 내리고자 하는 이익(적극적)
③ 분류 : 1. 공간 2. 신체 3. 통신 4.정보 -> 정보주체의 자기결정권을 위한 개념
- 개인정보자기결정권(헌법재판소) : 개인의 영역 + 공공에서 형성 및 공개된 개인정보
- 정보주체의 6대 권리
① 처리에 관한 정보를 제공
② 처리에 관한 동의 여부, 동의 범위 등 선택하고 결정
③ 처리여부를 확인하고 열람 및 전송
④ 처리 정지, 정정, 삭제 및 파기
⑤ 공정한 절차에 따라 구제
⑥ 완전히 자동화된 개인정보 결정
※ 개인정보자기결정권 -> 개인정보보호법
※ 프라이버시 -> 통신비밀보호법
※ 개인정보보호는 프라이버시의 한 내용, 통신비밀보호법은 개인정보보호법의 범주x
3. 개인정보의 정의 및 가치
가. 개인정보의 개념
개인정보(2조1호) - 살아있는 개인에 대한 정보(사자 x, 단체 x) *후손관련정보만
1. 단일정보 - 성명, 주민등록번호 및 영상 등을 통해(single out)
2. 결합정보 - 다른 정보와 쉽게 결합하여(link ablitty)
3. 가명정보 - 가명처리함으로써 원래의 상태로 복원하기 위한 정보없이는 알아볼 수 없는 정보
※ 주관적인 정보(신용평가정보 등) 포함
※ 이름 + 주소 / 이름+전화번호 / ID+IP Address
나. 개인정보의 가치와 산정방법
1. Delphi(델파이) - 전문가 판단
2. CVM(가상 가치 산정법) - 설문조사, 어느정도 금액을 지불할 의사
가. 결과물 식별
나. 가치 투영대상 구별(기명식 gift 카드, 지불의사금액 확인)
다. 가치 취합 후 평균값 환산
3. 손해배상액 - 유출 가능한 항목 분
4. 개인정보의 유형 및 특성
가. 개인정보의 종류별 구분
| 유형 | 개인정보의 예 |
| 인적사항 | 성명, 주민등록번호, 주소, 본적지, 전화번호 등 연락처, 생년월일, 출생지, 이메일 주소, 가족관계 및 가족구성원 정보 등 |
| 신체적 정보 | (신체정보) 얼굴, 지문, 홍채, 음성, 유전자정보, 키, 몸무게 등 (의료ㆍ건강정보) 건강상태, 진료기록, 신체장애, 장애등급, 병력 등 |
| 정신적 정보 | (성향정보) 도서, 비디오 등 대여기록, 잡지구독정보, 물품구매내역, 웹사이트검색내역 등 (내면의 비밀 등) 사상, 신조, 종교, 가치관, 정당, 노조 가입 및 활동내역 등 |
| 재산적 정보 | (개인금융정보) 소득, 신용카드번호, 통장계좌번호, 동산, 부동산 보유내역, 저축내역 등 (신용정보) 개인신용평가정보, 대출 또는 담보설정 내역, 신용카드 사용내역 등 |
| 사회적 정보 | (교육정보) 학력, 성적, 출석상황, 자격증 보유내역, 상벌기록, 생활기록부 등 (법적정보) 전과, 범죄기록, 재판 기록, 과태료 납부내역 등 (근로정보) 직장, 고용주, 근무처, 근로경력, 상벌기록, 직무평가기록 등 (병역정보) 병역여부, 군번, 계급, 근무부대 등 |
| 기타 | 전화통화내역, IP주소, 웹사이트 접속내역, 이메일 또는 전화메시지, 기타 GPS등에 의한 개인위치정보 등 |
나. 개인정보의 제공과 생성에 의한 구분
1. 제공정보 - 정보주체가 사업자에게 제공하는 정보
ex) 이름, 주민번호, 주소, 전자우편, 전화번호, 생년월일 등
2. 생성정보 - 사업자가 서비스를 제공하는 과정에서 생성되는 이용자에 관한 정보 = 로그(그 자체로서 개인정보 x)
ex) 서비스 이용 기록, 접속 로그, 쿠키, 접속 IP정보, 결제기록, 이용 정지 기록
스팸 : 정보통신망을 통해 영리 목적의 광고성 정보 ※정보통신망법 : 사전동의 필요(일부제외)
: 오후 9시부터 오전 8시까지 불가, 과태료 3천만원*메일 제외, 별도의 사전동의 필요
개인정보의 유출에 의한 1차 피해: RISK 2차 피해: Event
5. 기업의 사회적 책임과 개인정보보호 조직
- CSR 기업의 사회적 책임 :기업의 의사결정에 공공의 이익을 포함 - 사람, 지구, 이익(3P)
장점 : 규제와 간섭으로부터 자유
주의할점 : 기업의 직접적 이익 창출
- 개인정보보호 조직 -> 개인정보보호에 대한 오너십
전담자와 조직 마련, 힘, 최고경영자의 몫
- 수행 임무 : 정보보호정책수립 / 위험분석 침해사고 예방대응 / 규정관리감독 / 교육 및 예산확보 / 보안의식강화 / 책임준수
- 컴플라이언스 :
6. 해외에서의 개인정보
가. 국가별 개인정보 "정의"
| 국 가 | 개인정보의 정의 |
| 유럽 연합 |
• 자연인의 신원이 확인되었거나, 확인할 수 있는 것과 관련한 정보 • ‘신원을 확인할 수 있는 자’는 직접 혹은 간접적으로 특히 신원증명번호 혹은 신체적ㆍ생리적ㆍ정신적ㆍ경제적ㆍ문화적ㆍ사회적 동일성에 관한 하나 혹은 그 이상의 요인을 참조하여 그 신원을 알 수 있는 사람 |
| OECD | • 식별되거나 식별될 수 있는 개인에 관한 모든 정보 |
| 독일 | • 신원이 확인되었거나 확인 가능한 개인의 인적ㆍ물적 환경에 관한 일체의 정보 •「독일연방데이터보호법」제3조 |
| 영국 | • 해당 데이터 • 데이터 관리자가 보유하고 있거나 향후 관리할 가능성이 많은 해당 데이터와 기타 정보로부터 신원을 확인할 수 있는 생존하는 개인과 관련된 데이터 • 해당 개인에 대해 표현된 의견이나 데이터 관리자의 모든 지시사항, 그 사람과 관계있는 모든 타인에 관한 의견을 포함 •「데이터보호법」 |
| 미국 | • 개인에 관한 정보로 개인의 성명 또는 신분번호, 기호, 지문, 사진 등 개인에게 배정된 신분의 식별을 위한 특기사항 •「미연방프라이버시법」제55조의 2 |
| 캐나다 | • 신원을 확인할 수 있는 개인에 대한 정보 •「개인정보보호와전자문서에관한법」제2조 |
| 일본 | • 생존하는 개인에 관한 정보로서, 당해 정보에 포함되는 성명ㆍ생년월일ㆍ기타 기술 등에 의해 특정한 개인을 식별하는 일이 가능한 것 • 다른 정보와 용이하게 조합되어 식별할 수 있는 정보 포함 •「개인정보보호에관한법률」 제2조 |
| 한국 | • 살아있는 개인에 관한 정보로서 성명ㆍ주민등록번호ㆍ영상 등을 통하여 개인을 알아볼 수 있는 정보 • 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함 •「개인정보보호법」 |
나. 개인정보의 범위
| 국 가 | 내 용 |
| 독일 | • 전자적으로 처리된 개인정보와 전자적으로 처리되지 않은 개인정보(데이터파일)를 모두 보호 대상으로 함 • <Federal Data Protection Act> |
| 영국 | • 자동화 장비에 의해 처리된 개인정보와 자동화 장비로 처리하려는 목적으로 기록된 개인정보를 모두 포함 • <Data Protection Act 1998> |
| 프랑스 | • 형식 여하에 관계없이 직접 또는 간접적으로 자연인의 신원을 확인할 수 있게 하는 정보는 모두 보호 대상 • 전산화된 개인정보와 수기에 의한 개인정보 모두 포함 •「정보처리파일및자유에관한법률」 |
| 일본 | < 민간부문 : 「개인정보보호에관한법률」> • 개인정보데이터베이스 : 개인정보를 포함한 정보의 집합물 - 특정의 개인정보를 전자계산기를 이용하여 검색할 수 있도록 체계적으로 구성한 것 - 전자계산기를 이용하는 것 외의 방법으로 특정의 개인정보를 용이하게 검색할 수 있도록 체계적으로 구성한 것 < 공공 부문 : 「행정기관이보유하는개인정보보호에관한법률」> • 행정기관이 보유하는 전산화된 개인정보 및 수기정보(행정문서 등) |
| 미국 | • 연방 프라이버시법 중심 • 적용대상 기관에서 보유하고 있는 개인에 관한 기록과 기록시스템(수기문서도 포함) • <Privacy Act : § 552a. Records maintained on individuals> |
| 캐나다 | • 물리적 형태나 특성과 관계없이 적용 (전자적 형태의 정보, 수기정보 모두 포함) • <Personal Information Protection and Electronic Documents Act §2(1)> |
다. 유럽과 미국의 차이
유럽 - 엄격하게 보호 / 성문화된 법률 / 강제력있는 규제 / 과다한 관리비용 / 현실상황 이해부족 / 외국기업준수미흡
미국 - 규제 최소화 / 자발적 참여 / 비용부담절감 / 급변하는 현실대응 / 카르텔 및 진입장벽 형성 / 강제력 결여
| 구 분 | 유 럽 (EU) | 미 국 |
| 입법방식 | • EU 회원국 공동 지침에 의거 각국마다 공공ㆍ민간 통합법 제정 | • 단일ㆍ통합법이 아닌 특정 영역의 문제해결을 위한 개별법 제정 • 최근 개인정보 침해의 심각성을 인식하고 개인정보보호법을 제정하려는 움직임을 보이고 있다. |
| 감독기구 | • 독립 감독기구 설치ㆍ운영 • 법률 위반사업자 조사ㆍ제재 및 고충처리 담당 |
• 독립 감독기구 없이 개별 부처가 담당 (FTC, 국토안보부, 교통부 등) • 사업자 조사ㆍ제재 보다는 고충처리, 기술지원 및 교육홍보에 중점 |
| 주요 규제내용 |
• 개인정보 수집전 감독기구에 이용목적 등 사전 신고 • 개인정보 수집ㆍ매매 시 본인에게 통보 • 개인정보관리책임자 채용 의무화 • 개인정보보호 체계가 미흡한 국가에 EU 시민 개인정보 이전 금지 |
• 프라이버시를 침해하지 않는 범위 내에서 개인정보의 수집ㆍ이용ㆍ매매ㆍ타켓마켓팅 등이 비교적 용이 • 기업 스스로 개인정보보호방침을 마련하여 공표 • 공표사항 미 이행 시 공정거래법 위반으로 제재 |
| 국제협력 | • 역외국에게 일정수준 이상의 보호체계를 갖추도록 요구 | • 보다 자유로운 개인정보 이전 촉구 • 규제는 전자상거래 발전을 위축시킬 것을 우려 |
라. 개인정보 보호 제도
Safe-Habor
- FIP규정, 협정 준수시 EU->미국, 2015년 무효화
- 고선제접안정이 -> 개인정보보호법 제3조랑 연관
①고지 : 수집 이용 목적, 용도, 정보를 제공하는 제3자의 유형, 문제 제기 또는 권리행사 시 접근방법
②선택 : 제3자에게 제공되는지, 최초의 수집 목적과 다르게?
③제공 : 제3자에게 제공시 당사자에게 고지 및 선택권 부여
④접근 : 정보주체의 접근권과 정정요구권
⑤안전성 : 합리적 예방조치
⑥정보무결성 : 정확성완전성최신성
⑦이행 : 구제수단과 분쟁해결절차, 제재수단
OECD 프라이버시 보호 8원칙
- 수정목이정공개책
①수집 제한(1항 6항 7항) : 무차별적 개인정보 수집x, 정보주체의 인지 또는 동의 / 예외: 범죄수사
②정보 정확성(3항) : 목적 부합, 필요한 범위 내에서 정확 완전 최신
③목적 명확화(1항): 수집 시점까지 명확, 변경 발생시 명시
④이용 제한(2항): 목적 명확화에 의하여 공개, 이용, 이용가능 제한
⑤정보의 안전한 보호(4항): 유실, 불법적 접근, 파괴, 이용, 수정, 공개 등 적절한 보안유지조치
⑥공개(5항): 일반적인 공개 - 존재, 성격, 주요이용목적, 정보처리자, 소재지 등
⑦개인 참가(5항): 정보처리자로부터 직접 또는 다른경로로 확인받을 권리, 거부에 대한 의의 제기, 해당정보에 대한 관리
⑧책임(8항): 정보처리자가 7개원칙 시행
EU-US 프라이버시 실드
- 2016년 7월 12일 제정, 2020년 무효화
EU GDPR
- (시행) 2018년 5월 25일, (제정) 2016년 5월
- 적용대상
1. EU에 사업장을 운영하는 기업
2. 인터넷 홈페이지를 통해 EU에 거주하는 주민에게 물품·서비스를 제공하는 기업
3. EU에 거주하는 주민의 행동을 모니터하는 기업
4. EU주민의 민감한 정보를 처리하거나, 아동의 정보를 처리하는 기업 *아동 = 만 16세미만 or 13세 미만
5. 공개적으로 접근 가능한 장소에 대한 대규모의 체계적인 모니터링을 하는 기업(CCTV)
- 기본원칙
①합법성·공정성 · 투명성 ②목적 제한 ③개인정보 최소처리 ④정확성 ⑤보유기간 제한 ⑥무결성과 기밀성 ⑦책임성
- 합법처리기준
①정보주체동의 ②계약이행 ③법적의무이행 ④정보주체 또는 다른사람 중대한 이익 ⑤공익 또는 공적권한 행사 ⑥기업 또는 제3자의 적법한 이익 추구
- 정보주체의 권리
①접근권 ②정정권 ③삭제권 ④처리제한권 ⑤개인정보 이동권 ⑥반대권 ⑦프로파일링 거부권
- 기업 책임
가. DPO(개인정보보호책임자)지정
나. 기록(1. 250명이상 - 기록 유지 / 2. 250명 이하 - ①정보주체권리 위험 ②민감정보 ③유죄판결 및 형사범죄)
다. 대리인 지정(EU역외에서 처리시 EU역내에 대리인 지정)
라. 개인정보 영향평가
마. Data Protection by design and by default
바. 개인정보 침해 사고 신고·통지(72시간 이내) 및 기록유지
- 컨트롤러 및 프로세서
가. 컨트롤러(처리자) : 컨트롤러 단독 혹은 제3자와 공동 / 자연인, 법인, 정부부처 및 관련기관, 기타단체 등
나. 프로세서(수탁자) : 컨트롤러를 대신하여 개인정보 처리
다. 수령인과 제3자(제3자) : 공개 ·제공받는 자연인, 법인, 정부부처 및 관련기관, 기타단체 ※특정한 문의회신에서 해당 x
- 기타
- 프로파일링(자동화) / 가명처리 / 정보사회서비스 / 감독기구
- 개인정보보호법과 차이점
1. 특별한 유형의 개인정보(민감정보)와 범죄경력 및 범죄행위에 관련한 개인정보 구분
2. 컨트롤러(위탁자)는 처리의 목적과 수단만 규정, 정보의 처리 위탁 필요x
3. DPO는 전문적 자질 필요
APEC CBPR(6개분야 50가지 항목)
- 9원칙 : 고수목선무보열책피
①고지 ②수집제한 ③목적 내 이용 ④선택권 ⑤무결성 ⑥보호대책 ⑦열람·정정 ⑧책임성 ⑨피해 구제
- 참여국가(9개) : 미국, 멕시코, 일본, 캐나다, 싱가포르, 호주, 대만, 필리핀
- 인증심사 : 3~5개월 소요, 유효기간 1년
가. 인증심사 준비 : 1개월 이상 운영, 자가평가지 확인, 인증범위내 업무 확인
나. 인증심사 : 1)인증심사 사전준비
2)인증심사 시작회의
3)인증심사
4)결함보고서 확인
5)인증심사 종료회의
6)보완조치 내역서 제출 : 40일이내(최대 100일) 보완조치, 최대 100일
다. 인증서 발급 : 1)인증위원회 심의의결
2)인증서 수령
라. 인증 유지관리 : 인증서 갱신 신청
7. 기타 개인정보보호 이해
- 개인정보보호법 정보통신서비스 제공자 등
① 기간통신사업자 - 기간통신역무 제공(SK, KT, LG)
② 부가통신사업자 - 기간통신역무외(네이버, 다음)
- E프라이버시 클린서비스(제35~38조) : 흩어져있는 내 정보 조회 / 유출, 명의도용, 사생활 침해 예방 및 대응 / 변경되었거나 잘못된 개인정보 확인 및 수정 지원
- 털린 내정보 찾기 서비스(제34조) : 1)사이트 접속 2)사용자 인증 3)유출조회 4)결과 안내
- 마이데이터(제35조의2 ~4) : 고객의 전송요구권 행사
8. 정보통신망법
- 용어정의
1. 정보통신망 : 「전기통신사업법」제2조제2호 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체제
2. 정보통신서비스 : 「전기통신사업법」제2조제6호 정보를 제공하거나 정보의 제공을 매개하는 것
3. 정보통신서비스 제공자 : 「전기통신사업법」제2조제8호 (전기통신사업자, 영리 목적 전기통신역무이용) 정보제공하거나 정보제공 매개하는 자
4. 이용자 : 정보통신서비스를 이용하는자
5. 전자문서 : 전자적인 형태로 작성되어 송수신되거나 저장된 문서형식으로 표준화된 것
6. 침해사고 : 가. 해킹, 바이러스, 디도스 등 / 나. 우회공격
7. 게시판 : 정보통신망이용 일반에게 공개할 목적의 컴퓨터 프로그램이나 기술적 장치
8. 통신과금서비스
- 주민번호제한 : 정보통신서비스 제공자
1. 본인확인기관(NICE)으로 지정받은 경우
2. 대상 : 「전기통신사업법」따라 기간통신사업자로부터 서비스를 재공받는 전기통신사업자
용도 : 이동통신사업자의 본인확인업무
'자격증 > CPPG' 카테고리의 다른 글
| 5장 - 개인정보 관리체계 (0) | 2024.08.19 |
|---|---|
| 4장 - 개인정보의 보호조치 (0) | 2024.08.19 |
| 2장 - 개인정보보호 제도 (0) | 2024.04.06 |
