개인정보보호법 교육 내용 정리

https://www.privacy.go.kr/front/edu/inf/EduInfoList.do?lecture_code=01 

개인정보 포털

 

개인정보 보호법 개정으로 이용자 관련 기능 개발 시 개인정보보호법 교육을 꼼꼼히 수강하는 것이 좋다.

수강 완료 후 교육수료증 발급가능

 

 

[ 개인정보 보호법의 목적 ]

개인정보의 효율적 활용과 사생활보호, 개인정보보호의 사각지대 해소하고 적정한 규율대상 명확히 구분

[개인정보 보허법 제2조제1호]

개인정보 : 살아있는 개인에 관한 정보. 개인을 알아볼 수 있는 정보(해당정보만으로 알아볼 수 없더라도다른정보와 쉽게 결합하여 알아볼 수 있는 것)

[개인정보의 구성요소]

- 살아있는 개인에 관한 정보
: 사망한 자에 관한 정보는 개인정보가 아니다
- 단, 사망자의 정보가 유족과의 관계를 나타내거나, 유족 등의 사생활을 침해할 경우엔 보호대상
: 법인 또는 단체정보가 아닌 개인정보
- 단, 임원 및 업무담당자 이름, 자택주소, 개인연락처는 개인정보로 취급
- 특정 개인과의 관련성
: 특정 개인을 구별, 현재 및 과거의 상황 정보
: 개인정보 해당성 여부는 구체적 상황에 따라 다르게 평가
: [대전지법 논산지원 2013고단17 판결] 휴대전화번호 뒷자리 4자와 관련성이 있는 다른정보와 쉽게 결합하여 누군지 알아볼 수 있다는 판례
: 통계 등으로 변환된 정보는 특정개인을 식별할 수 없어 개인정보가 아님
- 정보의 임의성
: 모든 정보가 개인정보는 아니지만, 모든 정보가 개인정보가 될 수 있다.
- 정보의 종류 형태 성격 형식 등에 대해서는 특별한 제한 없음(디지털 형태, 수기형태, 자동처리, 수동처리 등)
: 키, 나이, 몸무게 등 객관적 사실에 관한 정보, 정보주체에 대한 제3자의 의견과 같은 주관적 평가 정보
: 정보가 반드시 '사실'이거나 '증명된 것'이 아닌 부정확하거나 허위의 정보여도 특정개인에 관한내용이면 개인정보가 될 수 있다.
- 식별 가능성
식별 : 특정개인을 다른 사람과 구분하거나 구별할수 있다는 의미
: 주민등록번호 등의 고유식별번호, 영상정보 등
: 성명만 있을 경우엔 동명이인이 존재한다면 특정인 구분X
- 단, 다른 정보와 쉽게 결합하여 특정개인을 식별할 수 있다면 개인정보에 해당
: '쉽게 결합하여'
~ 입수가능성이 있고 - 결합이 필요한 정보에 합법적으로 접근할 수 있어야 함(즉, 해킹 등은 미포함)
~ 결합가능성이 높은 - 현재의 기술 수준에 비추어 비합리적인 수준은 쉽게 결합한다는 범위에 벗어남(Ex 고가의 슈퍼컴퓨터가 필요하다던가...)
- 다양한 개인정보 : 일반정보, 정신적 정보, 통신.위치 정보, 사회적 정보, 신체적 정보, 재산 정보

[개인정보 보호의 필요성 및 원칙]

- 정보통신기술의 고도화로 쉽게 노출. 개인정보 보호 필요성 증대
- 개인정보 보호법의 준수 : 정보추제의 자유와 권리를 보장하고 국가발전과 기업이익 증진 기여

[OECD 프라이버시 8원칙]

1. 수집제한의 원칙 : 정당한 절차에 의해 정보주체의 동의를 얻어, 목적에 필요한 최소정보의 수집, 사생활침해 최소화, 익명이 가능할 경우 익명처리
2. 정보정확성의 원칙 : 이용목적에 부합되는 정확하고 완전하고 최신상태 유지
3. 목적명확화의 원칙 : 수집목적에 부합
4. 이용제한의 원칙 : 이용목적 외 다른목적에 공개, 이용, 제공 불가
5. 안전성확보의 원칙 : 분실, 불법접근, 파괴, 위조 등에 적절한 안전조치 해야함. 안전하게 관리
6. 처리방침공개의 원칙 : 용도와 방식, 개인정보보호를 위한 조치 공개
7. 정보주체참여의 원칙 : 저오주체가 개인정보 열람, 정정 및 삭제 요구 가능
8. 책임의 원칙 : 원칙이 지켜지도록 필요한 조치 취하기

 

[개인정보 보호법 체계]

- 단일법주의 : 공공부문과 민간부문을 구분X
- 일반법. 다른 법률에 특별한 규정이 있는경우를 제외하곤 이 법을 따름

[달라진 개인정보 보호법]

- 2020년 8월 5일
- 개인정보의 판단기준 명확화
- 익명은 동의없이 통계 연구 등에 이용가능
- 수집목적과 합리적 관련범위내에선 활용 확대가능(기업불편 해소)
- 여러 기구로 나누어져있었는데 개인정보보호위원회로 통합
- 개인정보처리자 책임성 강화

 

[개인정보 처리단별 보호]

- 프라이버시 보호 적용설계(Privacy by Design)

[개인정보 수집]

- 정보주체로부터 직접 수집이 원칙
- 업무처리 과정에서 생성되는 개인정보 : 고객성향, 위치정보 등...
- 동의서는 동의주체가 알아보기 쉽게 표기, 글자는 9포인트 이상, 다른내용보다 20% 이상 크게, 글씨 색깔, 굵기 또는 밑줄 사용

[수집제한의 원칙]

- 정보주체가 필요 최소한의 정보 외의 개인정보 수집에 동의하지 않는다는 이유로 정보주체에게 재화 또는 서비스 제공을 거부할 순 없다.
1. 민감정보, 고유식별정보 처리제한
: 정보주체의 별도동의, 법적으로 허용된 경우에만 예외
- 민감정보 : 사상,신념,정치견해,건강,성생활,유전정보,범죄경력 등
- 고유식별정보 : 주민등록번호
2. 주민등록번호 수집 법정주의 : 처리 원칙적으로 금지.
- 단, 허용되는 경우 : 법적 or 급박한 생명, 신체, 재산의 이익에 의해 필요 등...
3. 만14세 미만 아동
: 법정대리인(부모 등)의 동의 필요
4. 홍보 및 마케팅 목적 개인정보 처리
: 정보주체가 명확히 인지할 수 있게 알린 후 동의받아야 함

[개인정보 제공,위탁,영업양도]

: 개인정보가 제3자에게 이전되거나 공동으로 처리하게 됨
- 제공 : 제공받는 자의 업무 처리목적 및 이익을 위해 이전 또는 공동 처리. 제공받은 책임하에 개인정보 처리
- 업무위탁 : 개인정보처리자의 업무를 처리할 목적, 위탁자에게 손해배상책임
- 영업양도 및 합벽 : 개인정보의 관리주체만 변함.

[제3자 제공]

- 정보주체의 명확한 동의를 받아야 한다.
- 제공 시 제공받는 자의 서명과 연락처, 이용목적, 보유 및 이용기간, 동의 거부 시 불이익이 있는경우 그 내용, 여러명일 경우 각각 제공해야 함

[제3자 제공이 가능한 경우]

- 정보주체 동의를 받은 경우
- 법률에 특별한 규정 or 법령상 의무 준수를 위해
- 공공기관이 소관업무 수행 시
- 명백히 정보주체가 급박한 생명, 신체, 재산의 이익을 위해 필요한 경우

[국외 제3자 제공]

- 정보주체의 동의 필요

[목적 외 이용.제공]

이용 : 개인정보처리자 내에서 개인정보의 지배.관리권 이전 없이 스스로 목적으로 쓰는 것
제공 : 제3자에게 개인정보 지배.관리권 이전
- 동의받기, 법률에 의해, 익명으로 통계 및 연구에 제공

[처리위탁]

- 위탁계약서 필요
- 수탁자 교육하고 수탁자가 개인정보를 안전하게 처리하는지 감독

[영업양도]

- 개인정보 이전 사실 통지 : 원칙은 서면으로 알려야 하지만 예외적으론 인터넷 홈페이지 또는 사업장 등 보기쉬운 장소에 30일 이상 게시

[영상정보처리기기 운영 및 제한]

- 공개된 장소(공원,도로 등 불특정 다수 통행에 제한받지 않는 장소들)에서 기기설치 금지
- 영상정보처리기기 : 폐쇄회로 텔레비전(CCTV 등)
- 법령에서 구체적으로 허용하는 경우(ex 아동보호구역)
- 범죄 예방 및 수사, 시설안전 및 화재 예방, 교통관련으로 필요한 경우. 사생활 침해 우려가 있는 곳은 설치불가
- 영성정보처리기기는 녹음 기능 사용 불가
- 안내판엔 설치목적 및 장소, 촬영범위 및 시간, 관리책임자 설명 및 연락처 제공 필요 (2:30)
- 운영관리 방침 수립 및 공개
- 영상정보는 관리자 외에는 접근 금지, 잠금장치를 마련하여 보관, 관리자별 개별ID 발급

[개인정보 파기]

- 보유기간 경과, 개인정보 처리목적 달성 등 5일이내 파기 필요
- 전자적 파일 : 복원불가하게, 인쇄물은 파쇄
- 법령에 따라 보존해야할 경우 다른개인정보와 분리하여 보관

 

[개인정보의 안전조치 의무]

- 관리적 안전조치
: 내부 관리계획
- 기술적 안전조치
1. 접근권한 관리
: 개인정보 취급자가 변경될 경우 접근권한 말소시켜야함
: 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용
2. 접근통제
: 정보통신망을 통한 불법적인 접근 및 침해사고 방지(IP 제어, 접속IP 분석)
: 열람권한에 따른 통제
3. 개인정보의 암호화
: 비밀번호는 일방향(해쉬 함수) 암호화 저장 (다시 복호화 불가하게)
4. 접속기록 보관 및 점검
: 개인정보취급자의 접속기록을 최소1년이상 안전하게 보관
: 계정, 접속일시(연-월-일, 시:분:초, 접속지 정보(IP주소 등), 처리한 정보주체 정보(ID, 고객번호 등), 수행업무(열람수정삭제 등)
: 개인정보처리시스템 접속기록 월1회 이상 점검
: 개인정보 다운로드 시 사유를 확인해야함
5. 악성프로그램 등 방지
: 악성프로그램 방지, 백신소프트웨어, 보안프로그램 설치 및 운영
6. 관리용 단말기의 안전조치
: 개인정보 침해사고 방지를 위해...
1. 인가받지 않은 사람은 접근 차단
2. 본래목적 외엔 사용X
3. 보안프로그램 최신상태 유지 등 보안조치 적용
- 물리적 안전조치
- 출입통제 절차 수립.운영 : 비밀번호, 바이오 출입, 출입기록 수기
- 서류, 보존저장매체 등 잠금장치 보관
- 보조저장매체 반출.입 통제 대책

[개인정보 보호책임자]

- 위반사실 인지 시 즉시 개선조치

[개인정보파일]

- 개인정보파일 : 개인정보를 쉽게 검색할 수 있는 체계적 배열 파일
- 등록 대상 면제 : 내부적 업무처리만을 위한 사용

[개인정보 처리방침 수립.공개]

- 개인정보 처리방침 : 홈페이지에 개시, 홈페이지가 없다면, 사업장 등 보기쉬운장소에 개시

[개인정보 영향평가]

- 개인정보 오남용으로 인한 침해위험이 없는지 예측, 검토하여 개선하는 제도
- 영향평가 대상 개인정보파일
: 5만명 이상 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일

 

[정보주체의 권리행사 방법과 절차]

정보주체의 권리
1. 개인정보 열람 요구권
: 자신의 개인정보에 대한 열람을 개인정보처리자에게 요구할 수 있다.
: 개인정보주체에게 사유를 알리고 거부가능(법률에 근거, 타인에게 피해, 공공기관 관련)
2. 개인정보 정정 및 삭제 요구권
: 개인정보의 오류가 있거나 보존기간이 경과한 경우 개인정보 처리자에게 정정 또는 삭제 요구가능
3. 개인정보 처리정지 요구권(동의 철회권)
: 정보주체가 개인정보처리 활동에 대한 정지를 요구하는 것
: 개인정보 처리서 요구서 제출 시 10일이내 파기해야함

[ 개인정보 유출 및 대응방안]

개인정보 유출 : 고의.과실 여부를 붊누하고 개인정보처리자의 관리 범위를 벗어나 개인정보가 외부에 공개, 제공 누출, 누설된 모든 상태
- 유출원인 : 외부공격, 관리자 부주의, 시스템 오류, 내부직원 유출, 기타 ...
- 단 1건이상이라도 유출된 경우 : 정보주체에게 지체없이(5일 이내)유출 통지