2장 - 개인정보보호 제도

1. 개인정보보호 관련 법률 체계 

    - 개인정보보호 관련 법 개요 

정보통신 - 정보통신망 이용 촉진 및 정보보호 등에 관한 법률

공공 - 공공기관의 개인정보보호에 관한 법률

금융 - 신용정보의 이용 및 보호에 관한 법률

의료 - 보건의료기본법, 의료법

교육 - 교육기본법, 초·중등 교육법

제정 : 2011. 3. 29 / 시행 2011. 9. 30 일반법

    - 우리나라 개인정보보호 관련 주요 법 체계

개인정보처리자의 손해배상책임

징벌적 손해배상 : 훼손(Event)된 경우로서 손해액의 5배를 넘지 아니하는 범위

법정 손해배상 : 39조제1항에도 불구 300만원 이하의 범

 

39조 7 손해배상의 보장 보험 또는 공제에 가입하거나 준비금 적립

 

개인정보 유출 시 정보주체 통지 및 전문기관 신고

- 알게되었을 때, 지체없이, 72시간 이내

- ①항목, ②시점과 경위, ③최소화방법, ④피해 및 구제절차, ⑤담당부서 및 연락처

- 필요한 조치를 하고 전문기관(한국인터넷진흥원)에 신고

- 긴급한 조치, 천재지변 있으면 72시간 이후

- 서면 등, 연락처 없으면 홈페이지 30일 이상, 없으면 보기 쉬운 장소

- ①1천명 이상 ②민감정보 또는 고유식별정보 ③ 불법적인 접근

 

2. 개인정보보호 원칙과 의무 

가. 개인정보보호 원칙 비교

개인정보보호법	OECD 프라이버시 8원칙	GDPR
– 목적에 필요한 최소정보의 수집(제1항) 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다. – 사생활 침해를 최소화하는 방법으로 처리(제6항) ⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다. – 익명처리의 원칙(제7항) ⑦ 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.	① 수집제한의 원칙 (Collection Limitation Principle) 개인정보의 수집은 제한을 두어야하며 어떠한 개인정보도 합법적이고 공정한 절차에 의하여야 하고, 가능한 경우에는 데이터 주체에게 알리거나 허락을 받은 후에 수집하여야 한다.	⑤ 보유기간 제한의 원칙 ⑥ 무결성과 기밀성의 원칙
– 처리목적 내에서 정확성, 완전성, 최신성 보장(제3항) ③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.	② 정보 정확성의 원칙 (Data Quality Principle) 개인정보는 그 이용목적에 부합되는 것이어야 하며, 이용목적에 필요한 범위 안에서 정확하고 완전하며 최신의 것이어야 한다.	④ 정확성의 원칙
– 처리목적의 명확화(제1항) ① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다	③ 목적 명확화 원칙 (Purpose Specfication Principle) 개인정보의 수집 목적은 늦어도 수집 시까지 명확화 되어야 하며,그 후의 이용은 수집목적의 실현 또는 수집목적과 양립되어야 하고 목적이 변경될 때마다 명확화 될 수 있는 것으로 제한되어야한다.	③ 개인정보 최소처리 원칙
– 목적 범위 내에서 적법하게 처리 및 목적외 활용금지 (제2항) ② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.	④ 이용 제한의 원칙 (Use Limitaion Principle) 개인정보는 제9조에 의하여 명확화 된 목적이외에 목적을 위하여 개시, 이용, 기타 사용에 제공되어서는 안 된다. 다만, 다음과 같은 경우에는 그러지 아니하다. ① 정보주체의 동의가 있는 경우 ② 법률의 규정에 의한 경우	① 합법성·공정성·투명성 ② 목적 제한의 원칙
– 권리침해 가능성 등을 고려하여 안전하게 관리(제4항) ④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.	⑤ 정보의 안전한 보호의 원칙 (Security Safeguards Principle) 개인정보는 그 분실 또는 불법적인 접근, 파괴, 사용, 수정, 개시 등의 위험에 대하여 합리적인 안전조치를 함으로써 보호하여야 한다.	⑥ 무결성과 기밀성의 원칙
– 개인정보 처리방침 등 공개(제5항) ⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.	⑥ 공개의 원칙 (Openness Principle) 개인정보와 관련된 개발, 실시, 정책에 대하여는 일반적인 공개정책을 취하여야 한다. 개인정보의 존재, 성질, 그 주요 이용목적과 함께 정보관리자의 신원과 주소를 명확하게 하기위한 수단은 용이하게 이용할 수 있어야 한다.	① 합법성·공정성·투명성
– 열람청구권 등 정보주체의 권리보장(제5항) ⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.	⑦ 개인 참가의 원칙 (Individual Participation Principle) 개인정보주체가다음의 권리를갖는다. ① 정보관리자가 자기에 관한 정보를 갖고 있는지 여부에 대하여 정보관리자 또는 기타의 자로부터 확인을 받는 권리 ② 개인에 관한 정보를 다음과 같이 정보주체에게 통지하도록 하는 권리 (a) 합리적인 기간 내 (b) 만일 필요하다면 과다하지 않은 비용으로 (c) 합리적인 방법과 (d) 알기 쉬운 형태로 ③ 위의 ① 및 ②의 요구가 거부당한 경우에는 그 이유를 밝히도록 하고 이와 같은 거부에 대하여 이의를 제기하는 권리 ④ 자기에 관한 정보에 대하여 이의를 제기하고 그 이의가 인정되지 않을 경우에는 그 정보를 소각, 수정, 완전화, 보완하게 하는권리	① 합법성·공정성·투명성
– 개인정보처리자의 책임준수․신뢰확보 노력(제8항) ⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.	⑧ 책임의 원칙 (Accountability Principle) 정보관리자는 위의 원칙들을 실시하기 위한 조치에 따를 책임이 있다.	⑦ 책임성의 원칙

 

  - OECD 8원칙 

제3조 개인정보보호 원칙

①처리목적 명확, 최소한 수집

②목적외 사용 금지

③정확성, 완전성, 최신성(고의 또는 과실로 부당하게 변경 또는 훼손 x)

④안전하게 관리

⑤처리에 관한 사항 공개, 정보주체의 권리 보장(합리적인 절차와 방법)

⑥사생활 침해 최소화

⑦익명처리 가능한 경우 가명(- 가명정보특례)

⑧책임의무 준수

가명처리

- 개인정보 -> 추가정보 -> 가명처리 -> 가명정보 -> 가명 정보처리

- 통계, 과학, 공익 등 정보주체 동의 없이 가명정보 처리 가능

- 서로 다른 처리자간의 가명정보 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관

- 원래의 상태로 복원하기 위한 추가 정보 별도 분리

- 처리기간 별도 지정, 파기한날부터 3년이상 보관

- 특정 개인 알아보면 지체없이 회수파기

①②③④⑤⑥⑦⑧

    - 필요최소한의 개인정보 수집

제15조

- 수집하는 경우

①정보주체 동의

②법률, 법률상의 의무 준수

③공공기관이 법렵등의 소관업무

④정보주체와 체결한 계약 이행

⑤생명, 신체, 재산

⑥개인정보처리자의 정당한 이익//빚

⑦공중위생 등//코로나

- 동의 받을것

①수집·이용 목적

②항목

③기간

④거부할 권리 및 불이익

- 가명처리 근거 조건

 

제3조(개인정보 보호 원칙) : 목적에 필요한 범위에서 최소한의 개인정보만 수집

제16조(개인정보의 수집 제한) : ①목적에 필요한 최소한 수집, 입증 책임은 개인정보처리자, ② 알리고 수집 ③ 동의 안한다고 서비스 제공 거부x 

제22조(동의를 받는 방법) : 법정대리인 포함, 명확하게 인지

①정보주체 수집이용동의

②3자제공동의

③정보주체 별도 동의

④정보주체 별도 동의

⑤⑥⑦⑧

 

 

 

 

    - 목적외 개인정보 활용 금지 

 

    - 개인정보의 정확성, 완전성, 최신성 보장 

    - 안전조치 의무

    - 개인정보처리방침의 수립 및 공개

평가대상

1. 매출액 1,500억 이상, 3개월간 정보주체수 일일평균 100만 이상

2. 3개월간 민감정보 또는 고유식별정보 5만 이상(내부직원 제외)

3. 개인정보 처리방침에 법 제22조제3항에 따라 정보주체의 동의 없이 처리할 수 있는 개인정보의 항목과 처리 의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하고 있지 않을 것

4. 법 제37조의2에 따라 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함한다)으로 개인정보를 처 리하거나, 그 밖에 새로운 기술을 이용한 개인정보 처리 방식으로 인하여 개인정보 침해 발생 우려가 있을 것

5. 최근 3년 간  2회 이상 개인정보 유출되었거나 보호위원회로부터 과징금, 과태료 부과

6. 19세 미만 아동 또는 청소년 정보통신서비스

    - 정보주체의 권리보장 
    - 사생활 침해의 최소화 
    - 익명처리 원칙 
    - 법령 준수의무 
    - 개인정보의 처리제한 
    - 개인정보 보호책임자의 지정 
    - 개인정보파일의 등록 및 공개

3. 정보주체의 권리 
    - 개인정보처리에 관한 정보를 제공받을 권리 
    - 개인정보처리에 관한 동의권 
    - 개인정보 열람권 
    - 개인정보 처리정지, 정정, 삭제권 
    - 법정대리인의 권리 
    - 개인정보처리로 인하여 발생한 피해를 구제받을 권리

4. 분쟁해결절차 
    - 개인정보 분쟁조정 
    - 단체소송