05.정보보호 관리 - 02.정보보호 관련 윤리 및 법규
정보보호 및 개인정보보호법 체계
1. 개인정보보호원칙
-
개인정보보호원칙의 의미
구분 내용 규범적 입장 선언적 규범 : 그 자체가 개인정보처리자를 직접적으로 구속하지 않는다. 업무담당자 입장 ⦁ 개인정보처리자 : 행동의 지침을 제시한다.
⦁ 정책담당자 : 정책수립 및 법집행의 기준을 제시한다.헌법기관 입장 ⦁ 사법부가 법 해석의 이론적 기초를 제시한다.
⦁ 동시에 입법의 공백을 막아준다. -
국내 개인정보보호 원칙 : 개인정보보호법 제3조(개인정보보호원칙)
- 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
- 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
- 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
- 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
- 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
- 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
- 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.
- 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실처함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.
2. OECD 개인정보보호 8원칙
- 정의
- ‘사생활 보호와 개인정보의 국가 간 이동에 관한 지침’이 OECD 이사회의 권고안으로 채택되고 프라이버시 8원칙이 지난 1980년 9월 23일 발효하였다.
- 이 8원칙은 개인정보의 수집 및 관리에 대한 국제사회의 합의를 반영한 국제기준으로, 법적인 구속력은 없지만, 개인정보보호의 일반 원칙으로 인정받고 있다.
-
OECD 프라이버시 8원칙
8원칙 설명 수집제한의 원칙
(Collection Limitation Principle)개인정보의 수집은 적법하고 정당한 절차에 의하여 정보주체의 인지나 동의를 얻은 후 수집되어야 한다. 정보의 정확성의 원칙
(Data Quality Principle)개인정보는 그 이용목적에 부합되는 것이어야 하며 이용 목적에 필요한 범위 내에서 정확하고 완전하며 최신 상태를 유지해야 한다. 목적 명확화의 원칙
(Purpose Specification Principle)개인정보의 수집목적은 수집 시 특정되어 있어야 하며 그 후의 이용은 구체화된 목적달성 또는 수집목적과 부합되어야 한다. 이용제한의 원칙
(Use Limitation Principle)개인정보는 특정된 목적 이외의 다른 목적을 위하여 공개, 이용, 제공될 수 없다. 안전성 확보의 원칙
(Security Safeguards Principle)개인정보는 분실 또는 불법적인 접근, 파괴, 사용, 변조, 공개 위험에 대비하여 적절한 안전조치에 의하여 보호되어야 한다. (처리방침)공개의 원칙
(Openness Principle)정보주체가 제공한 개인정보가 어떠한 용도와 방식으로 이용,처리되고 있으며 개인정보보호를 위하여 어떠한 조치를 취하고 있는지를 공개하여야 하며, 정보 주체가 자신의 정보에 대하여 쉽게 확인할 수 있어야 한다. 정보주체의 참여의 원칙
(Individual Participation Principle)정보주체가 제공한 개인정보를 열람, 정정 및 삭제를 요구할 수 있는 절차를 마련하여야 한다. 책임의 원칙
(Accountability Principle)정보관리자 또는 개인정보처리자는 8원칙이 지켜지도록 필요한 제반 조치를 취하여야 할 책임이 있다.
3. 정보시스템 이용자 및 개인정보취급자의 금지(예방)행위
- 정보시스템 이용자의 개인정보 예방활동
- 이용자가 게시판에 글을 올릴 때 개인정보가 있는지 확인해야 한다.
- 개인정보를 삭제할 수 없다면, 마스킹 처리 후 업로드 한다.
- 개인정보가 포함된 게시글은 비밀글로 설정한다.
- 개인정보취급자의 개인정보 노출 예방활동
- 개인정보취급자는 개인정보처리자의 지휘, 감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자 등을 의미한다.
- 게시판 운영 시에 개인정보 노출에 대한 안내를 해야 한다.
- 관리자 페이지는 외부접속 차단, 패스워드 관리 등에 대해서 보호해야 한다.
- 홈페이지의 개인정보 노출여부를 점검해야 한다.
정보보호 관련 법제 및 개요
1. 정보통신망 이용촉진 및 정보보호 등에 관한 법률
- 정보통신망법의 보호영역
- 정보통신망법에 있는 개인정보보호 관련 조항은 기본적으로 정보통신서비스제공자와 ‘이용자’ 간의 관계를 규정하고 있다.
- 정보통신망법 적용대상
- 정보통신서비스 제공자
- 기간통신사업자, 별정통신사업자, 부가통신사업자, 영리를 목적으로 전기통신사업자의 전기통신역무를 이용해 정보를 제공하거나 매개하는 자
- 정보통신서비스 제공자로부터 이용자의 개인정보를 제공받은 자
- 개인정보의 취급 업무를 위탁받은 자(준용)
- 방송사업자(준용)
- 다른 법률에서 정보통신망법의 준용을 명시한 경우
- 정보통신서비스 제공자
2. 개인정보보호법
1. 개인정보보호법 제정 후 대상 및 범위
구분 | 제정 후 |
---|---|
적용대상 | 공공,민간의 모든 개인정보처리자 (통합규율 법적용 확대) |
세부 적용대상 | ⦁ 포털, 금융기관, 병원, 학원, 제조업, 서비스업 등 360만 사업자 ⦁ 부처, 지자체, 공사, 공단, 학교 등 20만 공공기관 |
적용범위 | 전자파일 외에 동창회 명부, 민원서류, 이벤트 응모권 등 수기문서 포함 |
2. 개인정보보호법 주요내용
- 제2조(정의)
- “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
- “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
- “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
- 제15조(개인정보의 수집,이용)
- 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
- 정보주체의 동의를 받은 경우
- 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
- 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
- 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
- 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
- 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
- 개인정보처리자는 제1항 제1호에 따른 동의를 받을 때에는 다음 각호의 사항을 정보주체에게 알려야 한다. 다음 각호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
- 개인정보의 수집,이용 목적
- 수집하려는 개인정보의 항목
- 개인정보의 보유 및 이용 기간
- 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
- 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
- 제16조(개인정보의 수집 제한)
- 개인정보처리자는 제15조 제1항 각호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.
- 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다.
- 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.
- 제18조(개인정보의 목적 외 이용,제공 제한)
- 제1항에도 불구하고 개인정보처리자는 다음 각호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다.
- 정보주체로부터 별도의 동의를 받은 경우
- 다른 법률에 특별한 규정이 있는 경우
- 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명,신체,재산의 이익을 위하여 필요하다고 인정되는 경우
- 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우
- (공공기관) 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의,의결을 거친 경우
- (공공기관) 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
- (공공기관) 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
- (공공기관) 법원의 재판업무 수행을 위하여 필요한 경우
- (공공기관) 형 및 감호, 보호처분의 집행을 위하여 필요한 경우
- 제1항에도 불구하고 개인정보처리자는 다음 각호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다.
- 제21조(개인정보의 파기)
- 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
- 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
- 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장,관리하여야 한다.
- 개인정보의 파기 방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.
- 제23조(민감정보의 처리 제한)
- 개인정보처리자는 사상,신념, 노동조합,정당의 가입,탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다.
- 제24조(고유식별정보의 처리 제한)
- 개인정보처리자는 다음 각호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 “고유식별정보”라 한다)를 처리할 수 없다.
- 정보주체에게 제15조 제2항 각 호 또는 제17조 제2항 각호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
- 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
- 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실,도난,유출,위조,변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.
- 개인정보처리자는 다음 각호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 “고유식별정보”라 한다)를 처리할 수 없다.
- 제24조의2(주민등록번호 처리의 제한)
- 제24조 제1항에도 불구하고 개인정보처리자는 다음 각호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.
- 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
- 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
- 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 행정안전부령으로 정하는 경우
- 개인정보처리자는 제24조 제3항에도 불구하고 주민등록번호가 분실,도난,유출,위조,변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.
- 개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다. <개정 2014.3.24.>
- 행정안전부장관은 개인정보처리자가 제3항에 따른 방법을 제공할 수 있도록 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련,지원할 수 있다. <본조신설 2013.8.6> <시행일:2017.3.30.>제24조의2 제1항 제1호
- 제24조 제1항에도 불구하고 개인정보처리자는 다음 각호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.
- 제25조(영상정보처리기기의 설치,운영 제한)
- 누구든지 다음 각호의 경우를 제외하고는 공개된 장소에 영상정보처리기기를 설치,운영하여서는 아니 된다.
- 법령에서 구체적으로 허용하고 있는 경우
- 범죄의 예방 및 수사를 위하여 필요한 경우
- 시설안전 및 화재 예방을 위하여 필요한 경우
- 교통단속을 위하여 필요한 경우
- 교통정보의 수집,분석 및 제공을 위하여 필요한 경우
- 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치,운영하여서는 아니 된다. 다만, 교도소, 정신보건 시설 등 법령에 근거하여 사람을 구금하거나 보호하는 시설로서 대통령령으로 정하는 시설에 대하여는 그러하지 아니하다.
- 제1항 각 호에 따라 영상정보기기를 설치,운영하려는 공공기관의 장과 제2항 단서에 따라 영상정보처리기기를 설치,운영하려는 자는 공청회,설명회의 개최 등 대통령령으로 정하는 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다.
- 제1항 각 호에 따라 영상정보처리기기를 설치,운영하는 자(이하 “영상정보처리기기운영자”라 한다)는 정보주체가 쉽게 인식할 수 있도록 다음 각호의 사항이 포함된 안내판을 설치하는 등 필요한 조치를 하여야 한다. 다만, <군사기지 및 군사시설 보호법> 제2조 제2호에 따른 군사시설, <통합방위법> 제2조 제13호에 따른 국가중요시설, 그 밖에 대통령령으로 정하는 시설에 대하여는 그러하지 아니하다.
- 설치 목적 및 장소
- 촬영 범위 및 시간
- 관리책임자 성명 및 연락처
- 그밖에 대통령령으로 정하는 사항
- 영상정보처리기기운영자는 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비춰서는 아니 되며, 녹음기능은 사용할 수 없다.
- 누구든지 다음 각호의 경우를 제외하고는 공개된 장소에 영상정보처리기기를 설치,운영하여서는 아니 된다.
- 제26조(업무위탁에 따른 개인정보의 처리 제한)
- 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각호의 내용이 포함된 문서에 의하여야 한다.
- 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 상항
- 개인정보의 기술적,관리적 보호조치에 관한 사항
- 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
- 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 “수탁자”라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
- 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
- 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실,도난,유출,위조,변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.
- 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.
- 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.
- 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각호의 내용이 포함된 문서에 의하여야 한다.
- 제30조(개인정보 처리방침의 수립 및 공개)
- 개인정보처리자는 다음 각호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제 32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.
- 개인정보의 처리 목적
- 개인정보의 처리 및 보유 기간
- 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
- 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
- 정보주체와 법정대리인의 권리,의무 및 그 행사 방법에 관한 사항
- 제31조에 따른 개인정보보호책임자의 성명 또는 개인정보보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
- 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치,운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
- 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
- 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
- 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.
- 행정자치부장관은 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다.
- 개인정보처리자는 다음 각호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제 32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.
- 제31조(개인정보보호책임자의 지정)
- 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보보호책임자를 지정하여야 한다.
- 개인정보보호책임자는 다음 각호의 업무를 수행한다
- 개인정보보호 계획의 수립 및 시행
- 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
- 개인정보 처리와 관련한 불만의 처리 및 피해 구제
- 개인정보 유출 및 오용,남용 방지를 위한 내부통제시스템의 구축
- 개인정보보호 교육 계획의 수립 및 시행
- 개인정보파일의 보호 및 관리,감독
- 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
- 제32조(개인정보파일의 등록 및 공개)
- 공공기관의 장이 개인정보파일을 운용하는 경우에는 다음 각호의 사항을 행정자치부장관에게 등록하여야 한다. 등록한 사항이 변경된 경우에도 또한 같다.
- 개인정보파일의 명칭
- 개인정보파일의 운영 근거 및 목적
- 개인정보파일에 기록되는 개인정보의 항목
- 개인정보의 처리 방법
- 개인정보의 보유기간
- 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
- 그 밖에 대통령령으로 정하는 사항
- 공공기관의 장이 개인정보파일을 운용하는 경우에는 다음 각호의 사항을 행정자치부장관에게 등록하여야 한다. 등록한 사항이 변경된 경우에도 또한 같다.
- 제33조(개인정보 영향평가)
- 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 “영향평가”라 한다)를 하고 그 결과를 행정자치부장관에게 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 행정자치부장관이 지정하는 기관(이하 “평가기관”이라 한다)중에서 의뢰하여야 한다.
- 영향평가를 하는 경우에는 다음 각호의 사항을 고려하여야 한다.
- 처리하는 개인정보의 수
- 개인정보의 제3자 제공 여부
- 정보주체의 권리를 해할 가능성 및 그 위험 정도
- 그 밖에 대통령령으로 정한 사항
- 행정자치부장관은 제1항에 따라 제출받은 영향평가 결과에 대하여 보호위원회의 심의,의결을 거쳐 의견을 제시할 수 있다.
- 공공기관의 장은 제1항에 따라 영향평가를 한 개인정보파일을 제32조 제1항에 따라 등록할 때에는 영향평가 결과를 함께 첨부하여야 한다.
- 행정자치부장관은 영향평가의 활성화를 위하여 관계 전문가의 육성, 영향평가 기준의 개발,보급 등 필요한 조치를 마련하여야 한다.
- 제1항에 따른 평가기관의 지정기준 및 지정취소, 평가기준, 영향평가의 방법,절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
- 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 영향평가에 관한 사항은 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따른다.
- 공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적극 노력하여야 한다.
3. 개인정보보호법 시행령, 개인정보영향평가 대상
- 제35조(개인정보 영향평가의 대상) 법 제33조 제1항에서 “대통령령으로 정하는 기준에 해당하는 개인정보파일”이란 개인정보를 전자적으로 처리할 수 있는 개인정보파일로서 다음 각호의 어느 하나에 해당하는 개인정보파일을 말한다.
- 구축,운용 또는 변경하려는 개인정보파일로서 5만 명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
- 구축,운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축,운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만 명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
- 구축,운용 또는 변경하려는 개인정보파일로서 100만 명 이상의 정보주체에 관한 개인정보파일
- 법 제33조 제1항에 따른 개인정보 영향평가(이하 “영향평가”라 한다)를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일. 이 경우 영향평가 대상은 변경된 부분으로 한정한다.
- 제39조(손해배상책임)
- 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
- 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실,도난,유출,위조,변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.
- 법원은 제3항의 배상액을 정할 때에는 다음 각호의 사항을 고려하여야 한다.
- 고의 또는 손해 발생의 우려를 인식한 정도
- 위반행위로 인하여 입은 피해 규모
- 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익
- 위반행위에 따른 벌금 및 과징금
- 위반행위의 기간,횟수 등
- 개인정보처리자의 재산상태
- 개인정보처리자가 정보주체의 개인정보 분실,도난,유출 후 해당개인정보를 회수하기 위하여 노력한 정도
- 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도
3. 정보통신기반 보호법(시행령)
- 제9조(정보보호책임자의 지정 등)
- 법 제5조 제4항 본문에 따라 관리기관의 장은 소관 주요정보통신기반시설의 보호 업무를 담당하는 4급,4급 상당 공무원, 5급,5급 상당 공무원, 영관급장교 또는 임원급 관리,운영자를 정보보호책임자로 지정하여야 한다.
- 제17조(취약점 분석,평가의 시기)
- 관리기관의 장은 소관 정보통신기반시설이 주요정보통신기반시설로 지정된 때에는 지정 후 6월 이내에 법 제9조 제1항의 규정에 의한 취약점의 분석,평가를 실시하여야 한다. 다만, 관리기관의 장은 소관 주요정보통신기반시설 지정 후 6월 이내에 동 시설에 대한 취약점의 분석,평가를 시행하지 못할 특별한 사유가 있다고 판단되는 경우에는 관할 중앙행정기관의 장의 승인을 얻어 지정 후 9월 이내에 이를 실시하여야 한다.
- 관리기관의 장은 제1항에 따라 소관 주요정보통신기반시서리 지정된 후 당해 주요정보통신기반시설에 대한 최초의 취약점 분석,평가를 한 후에는 매년 취약점의 분석,평가를 실시한다. 다만, 소관 주요정보통신기반시설에 중대한 변화가 발생하였거나 관리기관의 장이 취약점 분석,평가가 필요하다고 판단하는 경우에는 1년이 되지 아니한 때에도 취약점의 분석,평가를 실시할 수 있다.
- 제18조(취약점 분석,평가 방법 및 절차)
- 법 제9조 제4항의 규정에 의한 취약점 분석,평가 기준에는 다음 각호의 사항이 포함되어야 한다.
- 취약점 분석,평가의 절차
- 취약점 분석,평가의 범위 및 항목
- 취약점 분석,평가의 방법
- 법 제9조 제4항의 규정에 의한 취약점 분석,평가 기준에는 다음 각호의 사항이 포함되어야 한다.
- 제21조(침해사고의 통지)
- 법 제13조 제1항 전단의 규정에 의한 침해사고의 통지에는 다음 각호의 사항이 포함되어야 한다.
- 침해사고발생 일시 및 시설
- 침해사고로 인한 피해내역
- 기타 신속한 대응,복구를 위하여 필요한 사항
- 법 제13조 제1항 전단의 규정에 의한 침해사고의 통지에는 다음 각호의 사항이 포함되어야 한다.
개인정보보호 관련 용어 정의
- 정보주체
- 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람
- 법인이나 단체가 아닌 살아있는 사람
- 개인정보파일
- 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물
- 데이터베이스, 컴퓨터의 문서파일, 수기문서 자료 포함
- 개인정보처리자
- 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등
- 개인정보취급자
- 개인정보취급자의 용어 정의 비교
- 개인정보취급자는 개인정보 처리 업무를 담당하고 있는 자라면 정규직, 비정규직, 파견직, 시간제 등 모든 근로형태를 불문한다.
- 고용관계가 없더라도 실질적으로 개인정보 처리자의 지휘,감독을 받아 개인정보를 처리하는 자는 개인정보취급자에 포함된다.
- 개인정보취급자의 용어 정의 비교
개인정보보호 관련 법제
1. 개인정보 안전성 확보조치
1. 개인정보의 안전성 확보조치
- 제1조(목적) 이 기준은 ~ 중략 ~ 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실,도난,유출,위조,변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적,관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.
2. 접근권한의 관리
- 접근권한의 부여
- 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여해야 한다.
- 접근권한의 차등 방법 예시
- 권한부여 대상 : 개인별, 그룹별, 조직별, 역할별 등
- 권한유형 : 조회, 입력, 변경, 삭제, 출력, 다운로드, 권한관리 등
- 개인정보의 안전성 확보조치 기준 제5조
- 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
- 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리 시스템의 접근 권한을 변경 또는 말소하여야 한다.
- 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
- 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자 계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
- 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.
- 개인정보처리자는 권한 있는 개인정보취급자만이 개인정보 처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보 처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.
- <별표>의 유형1에 해당하는 개인정보처리자는 제1항 및 제6항을 아니할 수 있다. 별표>
- 접근권한의 변경 또는 말소
- 전보, 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 한다.
- 개인정보취급자 권한변경 내역의 기록 및 보관
- 개인정보처리시스템의 접근권한을 부여,변경 또는 말소한 내역은 책임추적성을 확보할 수 있도록 관련 사항이 모두 포함되어 기록되어야 한다.
- 개인정보의 안전성 확보조치 기준(개인정보보호법) : 최소 3년간
- 개인정보의 기술적,관리적 보호조치 기준(정보통신망법) : 최소 5년(정보통신서비스제공자)
- 개인정보처리시스템 사용자 계정
- 개인정보취급자 별로 별도 발급하고 공유되지 않도록 한다.
- 각 개인정보 취급자별 개인정보처리내역에 대한 책임 추적성(Accountability)을 확보하여야 한다.
- 비밀번호 작성규칙 적용
- 비밀번호는 문자, 숫자의 조합으로 최소 8자리 또는 10자리 이상의 길이로 구성한다.
- 최소 8자리 이상 : 두 종류 이상의 문자를 이용하여 구성한 경우(문자 종류 : 알파벳 대문자와 소문자, 특수문자, 숫자)
- 최소 10자리 이상 : 하나의 문자 종류로 구성한 경우(단, 숫자로만 구성할 경우 취약할 수 있음) -> 비밀번호는 추측하거나 유추하기 어렵도록 설정
- 동일한 문자 반복(aaabbb, 123123 등), 키보드상에서 나란히 있는 문자열(qwer 등), 일련번호(12345678 등), 가족이름, 생일, 전화번호 등은 사용하지 않는다.
- 비밀번호가 제3자에게 노출되었을 경우 지체 없이 새로운 비밀번호로 변경해야 한다.
- 비밀번호는 문자, 숫자의 조합으로 최소 8자리 또는 10자리 이상의 길이로 구성한다.
- 접근통제
- 개인정보의 안전성 확보조치 기준 제6조 (접근통제)
- 정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고방지를 위해 다음 각호의 기능을 포함한 조치를 하여야 한다.
- 개인정보처리시스템에 대한 접속 권한IP(Internet Protocol)주소 등으로 제한하여 인가받지 않은 접근을 제한
- 개인정보처리시스템에 접속한 IP(Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
- 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가살사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다.
- 개인정보처리자는 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리를 시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등의 접근 통제 등에 관한 조치를 하여야한다.
- 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출,변조,훼손되지 않도록 연 1회 이상 취약저믈 점검하고 필요한 보완 조치를 하여야 한다.
- 개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않은 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.
- 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또느 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS : Operating System)나 보안 프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.
- 개인정보처리자는 업무용 모바일 기기의 분실,도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
- <별표>의 유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수 있다. 별표>
- 정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고방지를 위해 다음 각호의 기능을 포함한 조치를 하여야 한다.
- 개인정보의 안전성 확보조치 기준 제7조 (개인정보의 암호화)
- 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
- 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
- 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ: Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
- 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각호의 기준에 따라 암호화의 적용여부 및 적용 범위를 정하여 시행할 수 있다.
- 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
- 암호화 미적용 시 위험도 분석에 따른 결과
- 1부칙 제2조(적용례) 영 제21조의 2제 2항에 따른 주민등록번호의 암호화 적용 시기 이후에는 고유식별정보 중 주민등록번호는 제7조 제4항을 적용하지 아니 한다.
- 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.
- 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성,이용,보관,배포 및 파기 등에 관한 절차를 수립,시행하여야 한다.
- 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.
- <별표>의 유형1 및 유형2에 해당하는 개인정보처리자는 제6항을 아니할 수 있다. 별표>
-
개인정보의 안전성 확보조치 기준에 따른 암호화 대상 및 적용기준
구분 암호화 대상 적용기준 정보통신망, 보조저장매체를 통한 송신 시 비밀번호, 바이오정보, 고유식별정보 암호화 송신 개인정보처리시스템에 저장 시 비밀번호 일방향(해시 함수) 암호화 저장 바이오정보 암호화 저장 (고유식별정보)주민등록번호 암호화 저장 (고유식별정보)여권번호, 외국인등록번호, 운전면허정보 암호화 적용여부,적용범위를 정하여 시행
⦁ 개인정보 영향평가 대상이 되는 공공 기관의 경우, 그 개인정보 영향평가의 결과
⦁ 암호화 미적용 시 위험도 분석에 따른 결과업무용 컴퓨터, 모바일기기에 저장 시 비밀번호, 바이오정보, 고유식별정보 암호화 저장(비밀번호는 일방향저장)
- 개인정보의 안전성 확보조치 기준 제6조 (접근통제)
- 접속기록의 보관 및 점검
-
접속기록의 보관 및 점검(접속기록의 위,변조 방지) 비교
구분 개인정보의 안전성 확보조치 기준
(개인정보보호법)개인정보의 기술적,관리적 보호조치 기준
(정보통신망법)접속기록의 보관 ⦁ 1년 이상 보관,관리, 5만 명 이상의 정보주체에 관하여 개인정보를 처리하거나 고유식별자 또는 민감 정보를 정리하는 개인정보시스템의 경우 2년 이상 보관관리
⦁ 개인정보를 다운로드한 것이 발견 되었을 경우에는 내부관리 계획으로 정하는 바에 따라 그 사유를 반드시 확인해야 함최소 6개월 이상 보관,관리(기간통신사업자 최소2년) 접속기록의 점검 월 1회 이상 점검 월 1회 이상 정기적 확인,감독
-
- 악성 프로그램 등 방지
- 개인정보의 안전성 확보조치 기준 제9조(악성프로그램 등 방지)
- 개인정보 처리자는 악성프로그램 등을 방지,치료할 수 있는 백신 소프트웨어 등의 보안프로그램을 설치,운영하여야 하며, 다음 각호의 사항을 준수하여야 한다.
- 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지
- 악성프로그램 관련 경보가 발령된 경우 또는 사용중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트를 실시
- 발견된 악성프로그램 등에 대해 삭제 등 대응 조치
- 개인정보 처리자는 악성프로그램 등을 방지,치료할 수 있는 백신 소프트웨어 등의 보안프로그램을 설치,운영하여야 하며, 다음 각호의 사항을 준수하여야 한다.
- 개인정보의 안전성 확보조치 기준 제9조(악성프로그램 등 방지)
- 관리용 단말기 안전조치
- 개인정보 안전성 확보조치 기준 제10조(관리용 단말기의 안전조치)
- 개인정보처리자는 개인정보유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 다음 각호의 안전조치를 하여야 한다.
- 인가받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
- 본래 목적 외로 사용되지 않도록 조치
- 악성프로그램 감염 방지 등을 위한 보안조치 적용
- 개인정보처리자는 개인정보유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 다음 각호의 안전조치를 하여야 한다.
- 개인정보 안전성 확보조치 기준 제10조(관리용 단말기의 안전조치)
- 물리적 안전조치
- 개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치)
- 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립,운영하여야 한다.
- 개인정보처리자는 개인정보가 포함된 서류,보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
- 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출,입 통제를 위한 보안 대책을 마련하여야 한다. 다만, 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 이를 적용하지 아니할 수 있다.
- 개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치)
- 재해, 재난대비 안전조치
- 개인정보의 안전성 확보조치 기준 제12조(재해, 재난대비 안전조치)
- 개인정보처리자는 화재, 홍수, 단전 등의 재해,재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응 절차를 마련하고 정기적으로 점검하여야 한다.
- 개인정보처리자는 재해,재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다.
- <별표>의 유형1 및 유형2에 해당하는 개인정보처리자는 제1항부터 제2항까지 조치를 이행하지 아니할 수 있다. 별표>
- 개인정보의 안전성 확보조치 기준 제12조(재해, 재난대비 안전조치)
- 개인정보 파기
- 개인정보의 안전성 확보조치 기준 제13조(개인정보의 파기)
- 개인정보처리자는 개인정보를 파기할 경우 다음 각호 중 어느 하나의 조치를 하여야 한다.
- 완전파괴(소각,파쇄 등)
- 전용 소자장비를 이용하여 삭제
- 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
- 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때는 다음 각호의 조치를 하여야 한다.
- 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독
- 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제
- 개인정보처리자는 개인정보를 파기할 경우 다음 각호 중 어느 하나의 조치를 하여야 한다.
- 개인정보처리자는 보유기관의 경과, 개인정보의 처리목적 달성 등 개인정보가 불필요하게 되었을 때는 지체 없이 그 개인정보를 파기하여야 한다.
- 개인정보의 안전성 확보조치 기준 제13조(개인정보의 파기)
2. 위치정보의 보호 및 이용 등에 관한 법률
- 제15조(위치정보의 수집 등의 금지)
- 누구든지 개인 또는 소유자의 동의를 얻지 아니하고 당해 개인 또는 이동성이 있는 물건의 위치정보를 수집,이용 또는 제공하여서는 아니된다. 다만, 다음 각호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
- 제29조제1항에 따른 긴급구조기관의 긴급구조요청 또는 같은 조 제7항에 따른 정보발송요청이 있는 경우
- 제29조제2항에 따른 경찰관서의 요청이 있는 경우
- 다른 법률에 특별한 규정이 있는 경우
- 누구든지 타인의 정보통신기기를 복제하거나 정보를 도용하는 등의 방법으로 위치정보사업자등을 속여 타인의 개인위치정보를 제공받아서는 아니된다.
- 위치정보를 수집할 수 있는 장치가 부착된 물건을 대여하는 자는 위치정보 수집장치가 부착된 사실을 대여받은자에게 고지하여야 한다.
- 누구든지 개인 또는 소유자의 동의를 얻지 아니하고 당해 개인 또는 이동성이 있는 물건의 위치정보를 수집,이용 또는 제공하여서는 아니된다. 다만, 다음 각호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
- 제16조(위치정보의 보호조치 등)
- 위치정보사업자등은 위치정보의 누출, 변조, 훼손 등을 방지하기 위하여 위치정보의 취급,관리 지침을 제정하거나 접근권한자를 지정하는 등의 관리적 조치와 방화벽의 설치나 암호화 소프트웨어의 활용 등의 기술적 조치를 하여야 한다. 이 경우 관리적 조치와 기술적 조치의 구체적 내용은 대통령령으로 정한다.
- 위치정보사업자등은 위치정보 수집,이용,제공사실 확인자료를 위치정보시스템에 자동으로 기록되고 보존되도록 하여야 한다.
- 방송통신위원회는 위치정보를 보호하고 오용,남용을 방지하기 위하여 소속 공무원으로 하여금 제1항의 규정에 의한 기술적,관리적 조치의 내용과 제2항의 규정에 의한 기록의 보존실태를 대통령령이 정하는 바에 의하여 점검하게 할 수 있다. 3항에 따라 기술적,관리적 조치의 내용과 기록의 보존실태를 점검하는 공무원은 그 권한을 표시하는 증표를 지니고 이를 관계인에게 내보여야 한다.
- 제18조(개인위치정보의 수집)
- 위치정보사업자가 개인위치정보를 수집하고자 하는 경우에는 미리 다음 각호의 내용을 이용약관에 명시한 후 개인위치정보주체의 동의를 얻어야 한다.
- 위치정보사업자의 상호, 주소, 전화번호 그 밖의 연락처
- 개인위치정보주체 및 법정대리인(제25조제1항의 규정에 의하여 법정대리인의 동의를 얻어야 하는 경우로 한정한다)의 권리와 그 행사 방법
- 위치정보사업자가 위치기반서비스사업자에게 제공하고자 하는 서비스의 내용
- 위치정보 수집사실 확인자료의 보유근거 및 보유기간
- 그 밖에 개인위치정보의 보호를 위하여 필요한 사항으로서 대통령령이 정하는 사항
- 개인위치정보주체는 제1항의 규정에 의한 동의를 하는 경우 개인위치정보의 수집의 범위 및 이용약관의 내용 중 일부에 대하여 동의를 유보할 수 있다.
- 위치정보사업자가 개인위치정보를 수집하는 경우에는 수집목적을 달성하기 위하여 필요한 최소한의 정보를 수집하여야 한다.
- 위치정보사업자가 개인위치정보를 수집하고자 하는 경우에는 미리 다음 각호의 내용을 이용약관에 명시한 후 개인위치정보주체의 동의를 얻어야 한다.
- 제19조(개인위치정보의 이용 또는 제공)
- 위치기반서비스사업자가 개인위치정보를 이용하여 서비스를 제공하고자 하는 경우에는 미리 다음 각호의 내용을 이용약관에 명시한 후 개인위치정보주체의 동의를 얻어야 한다.
- 위치기반서비스사업자의 상호, 주소, 전화번호 그 밖의 연락처
- 개인위치정보주체 및 법정대리인(제25조제1항의 규정에 의하여 법정대리인의 동의를 얻어야 하는 경우로 한정한다)의 권리와 그 행사 방법
- 위치기반서비스사업자가 제공하고자 하는 위치기반서비스의 내용
- 위치정보 이용,제공사실 확인자료의 보유근거 및 보유기간
- 그 밖에 개인위치정보의 보호를 위하여 필요한 사항으로서 대통령령이 정하는 사항
- 위치기반서비스사업자가 개인위치정보를 개인위치정보주체가 지정하는 제3자에게 제공하는 서비스를 하고자 하는 경우에는 제1항 각호의 내용을 이용약관에 명시한 후 제공받는 자 및 제공목적을 개인위치정보주체에게 고지하고 동의를 얻어야 한다.
- 제2항의 규정에 의하여 위치기반서비스사업자가 개인위치정보를 개인위치정보주체가 지정하는 제3자에게 제공하는 경우에는 매회 개인위치정보주체에게 제공받는 자, 제공일시 및 제공목적을 즉시 통보하여야 한다.
- 위치기반서비스사업자는 제3항에도 불구하고 대통령령으로 정하는 바에 따라 개인위치정보주체의 동의를 받은 경우에는 최대 30일의 범위에서 대통령령으로 정하는 횟수 또는 기간 등의 기준에 따라 모아서 통보할 수 있다. 인위치정보주체는 제1항,제2항 및 제4항에 따란 동의를 하는 경우 개인위치정보의 이용,제공목적, 제공받는자의 범위 및 위치기반서비스의 일부와 개인위치정보주체에 대한 통보 방법에 대하여 동의를 유보할 수 있다.
- 위치기반서비스사업자가 개인위치정보를 이용하여 서비스를 제공하고자 하는 경우에는 미리 다음 각호의 내용을 이용약관에 명시한 후 개인위치정보주체의 동의를 얻어야 한다.
- 제21조(개인위치정보 등의 이용,제공의 제한 등)
- 위치정보사업자등은 개인위치정보주체의 동의가 있거나 다음 각호의 어느 하나에 해당하는 경우를 제외하고는 개인위치정보 또는 위치정보 수집,이용,제공사실 확인자료를 제18조 제1항 및 제19조 제1항,제2항에 의하여 이용약관에 명시 또는 고지한 범위를 넘어 이용하거나 제3자에게 제공하여서는 아니된다.
- 위치정보 및 위치기반서비스 등의 제공에 따른 요금정산을 위하여 위치정보 수집,이용,제공사실 확인자료가 필요한 경우
- 통계작성, 학술연구 또는 시장조사를 위하여 특정 개인을 알아볼 수 없는 형태로 가공하여 제공하는 경우
- 위치정보사업자등은 개인위치정보주체의 동의가 있거나 다음 각호의 어느 하나에 해당하는 경우를 제외하고는 개인위치정보 또는 위치정보 수집,이용,제공사실 확인자료를 제18조 제1항 및 제19조 제1항,제2항에 의하여 이용약관에 명시 또는 고지한 범위를 넘어 이용하거나 제3자에게 제공하여서는 아니된다.
- 제24조(개인위치정보주체의 권리 등)
- 개인위치정보주체는 위치정보사업자등에 대하여 언제든지 제18조제1항 및 제19조제1항,제2항,제4항에 따른 동의의 전부 또는 일부를 철회할 수 있다.
- 개인위치정보주체는 위치정보사업자등에 대하여 언제든지 개인위치정보의 수집, 이용 또는 제공의 일시적인 중지를 요구할 수 있다. 이 경우 위치정보사업자등은 요구를 거절하여서는 아니되며, 이를 위한 기술적 수단을 갖추어야한다.
- 개인위치정보주체는 위치정보사업자등에 대하여 다음 각호의 어느 하나에 해당하는 자료 등의 열람 또는 고지를 요구할 수 있고, 해당 자료 등에 오류가 있는 경우에는 그 정정을 요구할 수 있다. 이 경우 위치정보사업자등은 정당한 사유없이 요구를 거절하여서는 아니된다.
- 본인에 대한 위치정보 수집,이용,제공사실 확인자료
- 본인의 개인위치정보가 이 법 또는 다른 법률의 규정에 의하여 제3자에게 제공된 이유 및 내용
- 위치정보사업자등은 개인위치정보주체가 제1항의 규정에 의하여 동의의 전부 또는 일부를 철회한 경우에는 지체없이 수집된 개인위치정보 및 위치정보 수집,이용,제공사실 확인자료(동의의 일부를 철회하는 경우에는 철회하는 부분의 개인위치정보 및 위치정보 이용,제공사실 확인자료로 한정한다)를 파기하여야 한다.
- 제25조(법정대리인의 권리)
- 위치정보사업자등이 14세 미만의 아동으로부터 제18조 제1항, 제19조 제1항,제2항 또는 제21조의 규정에 의하여 개인위치정보를 수집,이용 또는 제공하고자 하는 경우에는 그 법정대리인의 동의를 얻어야 한다.
- 제26조(8세 이하의 아동등의 보호를 위한 위치정보 이용)
- 다음 각호의 어느 하나에 해당하는 사람(이하 “8세 이하의 아동등”이라 한다)의 보호의무자가 8세 이하의 아동등의 생명 또는 신체의 보호를 위하여 8세 이하의 아동등의 개인위치정보의 수집,이용 또는 제공에 동의하는 경우에는 본인의 동의가 있는 것으로 본다.
- 8세 이하의 아동
- 피성년후견인
- <장애인복지법> 제2조 제2항 제2호에 따른 정신적 장애를 가진 사람으로서 <장애인고용촉진 및 직업재활법> 제2조 제2호에 따른 중증장애인에 해당하는 사람(<장애인복지법> 제32조에 따라 장애인 등록을 한 사람만 해당한다)
- 다음 각호의 어느 하나에 해당하는 사람(이하 “8세 이하의 아동등”이라 한다)의 보호의무자가 8세 이하의 아동등의 생명 또는 신체의 보호를 위하여 8세 이하의 아동등의 개인위치정보의 수집,이용 또는 제공에 동의하는 경우에는 본인의 동의가 있는 것으로 본다.
3. 신용정보의 이용 및 보호에 관한 법률(시행령)
- 제16조(기술적,물리적,관리적 보안대책의 수립)
- 법 제19조 제1항에 따라 신용정보회사등은 신용정보전산시스템의 안전보호를 위하여 다음 각호의 사항이 포함된 기술적,물리적,관리적 보안대책을 세워야 한다.
- 신용정보에 제3자가 불법적으로 접근하는 것을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치,운영에 관한 사항
- 신용정보전산시스템에 입력된 정보의 변경,훼손 및 파괴를 방지하기 위한 사항
- 신용정보 취급,조회 권한을 직급별,업무별로 차등 부여하는 데에 관한 사항 및 신용정보 조회기록의 주기적인 점검에 관한 사항
- 그 밖에 신용정보의 안정성확보를 위하여 필요한 사항
- 금융위원회는 제1항 각 호에 따른 사항의 구체적인 내용을 정하여 고시할 수 있다.
- 법 제19조 제1항에 따라 신용정보회사등은 신용정보전산시스템의 안전보호를 위하여 다음 각호의 사항이 포함된 기술적,물리적,관리적 보안대책을 세워야 한다.
- 제28조(개인신용정보의 제공,활용에 대한 동의)
- 신용정보제공,이용자는 법 제 32조 제1항에 따라 해당 개인으로부터 동의를 받으려면 다음 각호의 사항을 미리 알려야 한다. 다만, 동의 방식의 특성상 동의 내용을 전부 표시하거나 알리기 어려운 경우에는 해당 기관의 인터넷 홈페이지나 주소나 사업장 전화번호 등 동의 내용을 확인할 수 있는 방법을 안내하고 동의를 받을 수 있다.
- 개인신용정보를 제공받는 자
- 개인신용정보를 제공받는 자의 이용목적
- 제공하는 개인신용정보의 내용
- 개인신용정보를 제공받는 자(신용조회회사 및 신용정보집중기관은 제외한다)의 정보 보유 기간 및 이용 기간
- 법 제32조 제2항에 따라 신용조회회사 또는 신용정보집중기관으로부터 개인신용정보를 제공받으려는 자는 다음 각호의 사항을 해당 개인에게 알리고 동의를 받아야 한다. 다만, 동의방식의 특성상 동의 내용을 전부 표시하거나 알리기 어려운 경우에는 해당 기관의 인터넷 홈페이지 주소나 사업장 전화번호 등 동의 내용을 확일할 수 있는 방법을 안내하고 동의를 받을 수 있다.
- 개인신용정보를 제공하는 자
- 개인신용정보를 제공받는 자의 이용 목적
- 제공받는 개인 신용정보의 항목
- 개인신용정보를 제공받는 것에 대한 동의의 효력기간
- 신용정보제공,이용자는 법 제 32조 제1항에 따라 해당 개인으로부터 동의를 받으려면 다음 각호의 사항을 미리 알려야 한다. 다만, 동의 방식의 특성상 동의 내용을 전부 표시하거나 알리기 어려운 경우에는 해당 기관의 인터넷 홈페이지나 주소나 사업장 전화번호 등 동의 내용을 확인할 수 있는 방법을 안내하고 동의를 받을 수 있다.
- 제29조(개인식별정보의 제공,이용)
- 법 제32조 제1항에서 “대통령령으로 정하는 정보”란 생존하는 개인의 성명, 주소, 주민등록번호, 외국인등록번호, 국내거소신고번호, 여권번호, 성별, 국적 등 개인을 식별할 수 있는 정보를 말한다.
- 제32조(개인신용정보 제공,이용 동의 철회권 등)
- 법 제37조 제1항에 따라 개인인 신용정보주체는 동의 철회의 대상 및 내용 등을 특정하여 해당 기관의 인터넷 홈페이지, 유무선 통신, 서면, 그 밖에 금융위원회가 정하여 고시하는 방법으로 동의를 철회할 수 있다. 다만, 금융거래 등 상거래 관계를 설정하면서 동의를 한 경우에는 3개월이 지나야 철회할 수 있다.
- 법 제37조 제2항에 따라 개인인 신용정보주체는 상품이나 용역을 소개하거나 구매를 권유할 목적으로 연락하는 신용정보제공,이용자에 대하여 연락중지 청구의 대상 및 내용을 특정하여 제1항의 방법으로 본인에게 연락하는 것을 중지할 것을 청구할 수 있다.
- 제1항 및 제2항에 따른 청구를 받은 신용정보제공,이용자는 청구를 받은 날부터 1개월 이내에 그에 따른 조치를 완료하여야 한다.
- 제37조의2(민감정보 및 고유식별정보의 처리)
- 금융위원회(제37조에 따라 금융위원회의 업무를 위탁받은 자를 포함한다), 금융감독원장은 다음 각호의 사무를 수행하기 위하여 불가피한 경우 <개인정보 보호법 시행령> 제 18조 제2호에 따른 범죄경력자료에 해당하는 정보, 같은 영 제19조 제1호, 제2호 또는 제4호에 따른 주민등록번호, 여권번호 또는 외국인등록번호가 포함된 자료를 처리할 수 있다.
4. 전자서명법
- 공인인증서
- 공인인증기관이 발급하는 공인인증서에는 다음 각호의 사항이 포함되어야 한다.
- 가입자의 이름(법인의 경우에는 명칭을 말한다)
- 가입자의 전자서병검증정보
- 가인자와 공인인증기관이 이용하는 전자서명 방식
- 공인인증서의 일련번호
- 공인인증서의 유효기간
- 공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보
- 공인인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항
- 가입자가 제3자를 위한 대리권 등을 갖는 경우 또는 직업상 자격등의 표시를 요청한 경우 이에 관한 사항
- 공인인증서임을 나타내는 표시
- 공인인증기관이 발급하는 공인인증서에는 다음 각호의 사항이 포함되어야 한다.
- 제18조(공인인증서의 폐지)
- 공인인증기관은 공인인증서에 관하여 다음 각호의 1에 해당하는 사유가 발생한 경우에는 당해 공인인증서를 폐지하여야한다.
- 가입자 또는 그 대리인이 공인인증서의 폐지를 신청한 경우
- 가입자가 사위 기타 부정한방법으로 공인인증서를 발급받은 사실을 인지한 경우
- 가입자의 사망,실종선고 또는 해산 사실을 인지한 경우
- 가입자의 전자서명생성정보가 분실,훼손 또는 도난,유출된 사실을 인지한 경우
- 공인인증기관은 제1항의 규정에 의하여 공인인증서를 폐지한 경우에는 그 사실을 항상 확인할 수 있도록 지체 없이 필요한 조치를 취하여아 한다.
- 공인인증기관은 공인인증서에 관하여 다음 각호의 1에 해당하는 사유가 발생한 경우에는 당해 공인인증서를 폐지하여야한다.
- 제23조(전자서명생성정보의 보호 등)
- 누구든지 타인의 전자서명생성정보를 도용 또는 누설하여서는 아니 된다.
- 누구든지 타인의 명의로 공인인증서를 발급받거나 발급받을 수 있도록 하여서는 아니 된다.
- 누구든지 공인인증서가 아닌 인증서 등을 공인인증서로 혼동하게 하거나 혼동할 우려가 있는 유사한 표시를 사용하거나 허위로 공인인증서의 사용을 표시하여서는 아니 된다.
- 누구든지 공인인증서를 이용 범위 또는 용도에서 벗어나 부정하게 사용하여서는 아니 된다.
- 누구든지 행사하게 할 목적으로 다른 사람에게 공인인증서를 양도 또는 대여하거나 행사할 목적으로 다른 사람의 공인인증서를 양도 또는 대여 받아서는 아니 된다.
댓글남기기