[1주차]입문 1교시_개인정보보호법 주요내용

▶참고

https://www.privacy.go.kr/front/main/main.do

개인정보 포털

개인정보보호위원회는 개인정보의 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 설립된 합의제 중앙행정기관입니다.

www.privacy.go.kr

 

 

 

 

▶개인정보보호법 개요

1. 개인정보란? (개인정보의 판단기준)

​

1) 식별가능성

- 그 자체의 식별 가능성: 가명처리를 하여 가명정보로 만듦, 추가 정보의 결합 없이는 특정 개인을 알아 볼 수 없음

​

- 타 정보의 결합을 통한 식별 가능성: 다른 정보와 쉽게 결합하여 추정할 수 있음 즉, 정보의 결합을 통해서 쉽게 특정 개인을 구분할 수 있음

​

※가명정보: 추가정보를 사용하지 않고서는 특정 개인을 알아볼 수 없도록 가명처리한 정보

개인정보: 살아 있는 개인에 관한 정보, 성명, 주민등록번호, 영상 등을 통하여 알아볼 수 있는 정보, 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보

→ 둘 다 개인정보에 해당

단, 익명정보(다른 정보를 사용하였음에도 개인을 알아볼 수 없는 정보)는 개인정보에 해당x

​

- 정보를 통한 식별 가능성: 개인을 알아볼 수 있는 정보, 합리적으로 활용될 가능성이 있어야함

​

2) 정보의 대상: 살아있는 개인에 관한 정보만 해당, 국적이나 신분 등에 관계없이 개인정보보호법 적용

※법인 또는 단체는 x (단, 대표자 성명 , 담당자 전화번호와 같은 정보는 개인정보가 될 수 있음)

​

3) 정보의 형태: 형태와 처리방식은 무관(전자, 수기 상관x), 평가표나 예명과 같은 주관적 평가, 허위정보도 해당 가능

​

2. 개인정보 자기결정권

- 자신에 관한 정보의 수집, 공개, 이용에 대하여 정보주체가 스스로 관리하고 결정할 수 있는 권리

- 개인정보보호법 제 4조에 정보주체의 권리에 대해 명시되어 있음

​

※개인정보보호 분야의 법

↓

개인정보보호법(일반법) : 다른 법률(신용정보법, 의료법 등)에 특별한 규정이 있는 경우 해당 법률 우선 적용

​

​

​

▶개인정보보호법 개정내용

- 24.03.19 기준 총 7차례 개정

- 가장 최근인 23.9.15부터 시행된 법의 내용

1) 정보주체 권익보호

2) 온/오프라인 규제 일원화

3) 공공시스템 안전성 확보

4) 국외이전 요건 다양화

​

​

​

▶개인정보의 처리

- 개인정보보호법 제3장에 명시되어 있음

- 개인정보처리단계

개인정보처리단계

​

 

​

▶개인정보 수집, 이용할 수 있는 경우 (제 15조)

※민감정보, 고유식별정보, 주민등록번호는 제 15조에 해당 없음

​

1. 정보주체의 동의를 받은 경우 (제 22조에 동의 방법 명시)

※동의 받을 시 고지 의무 사항

① 개인정보를 제공받는 자

② 개인정보 이용 목적

③ 제공하는 개인정보의 항목

④ 개인정보 보유 및 이용 기간

⑤ 동의거부 권리 및 동의거부 시 불이익 내용

​

2. 불가피한 경우들

- 법률의 규정 및 의무 준수를 위한 경우

- 공공기관이 법령 등에서 정한 업무를 위한 경우

​

3. 정보주체와 체결한 계약을 이행하거나 계약 체결 과정에서 정보주체의 요청에 따른 조치를 이행하기 위해 필요한 경우

 

4. 정보주체의 급박한 생명, 신체 , 재산의 이익을 위해 필요한 경우

​

ex 1) 인터넷 쇼핑몰에서 상품을 구매한 고객의 결제, 배송, AS 등의 계약 이행을 위해 주소, 연락처, 결제정보를 수집하고 이용

ex 2) 백화점에서 상품구매 및 배송서비스를 위해 불가피하게 필요한 개인정보 외에 오배송 등 방지를 위해 이름, 이메일, 배송희망시간 등을 수집하여 배송목적으로 이용하는 경우

ex 3) 맞춤형 추천을 위해 검색기록 등 수집하여 이용하는 경우

ex 4) 회사의 고용주와 지원자가 근로계약 체결 전에 이력서, 졸업증명서 등 정보를 수집하는 경우

​

5. 개인정보처리자의 정당한 이익 달성을 위해 정보주체의 권리보다 명백히 우선하는 경우

​

6. 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

​

​

​

▶개인정보의 수집 제한(제 16조)

- 필요한 최소한의 개인정보만을 수집 (제 15조에 따라 정보주체의 동의를 받거나 법령의 처리 또는 계약의 체결 및 이행 등을 위해 불가피하게 수집하는 경우도 포함)

- 입증책임: 개인정보처리자가 부담

- 필요한 최소한의 개인정보 외의 수집에는 거부 가능

→ 동의하지 않는다는 이유로 재화 등 제공 거부 금지

​

​

​

▶동의 받는 방법(제 22조)

1. 각각의 동의사항을 구분하여 정보주체가 명확하게 인지할 수 있도록 알려야함

→ 동의없이 처리할 수 있는 개인정보 (입증책임은 개인정보처리자에게) vs 동의가 필요한 개인정보 구분

​

2. 홍보, 마케팅의 이유로 동의를 받을 시 명확하게 알려야함

​

3. 선택사항을 동의하지 않는다는 이유로 재화, 서비스의 제공 거부 금지

​

4. 만 14세 미만 아동의 개인정보 처리 시 법정대리인의 동의를 받아야함 ( 단, 성명, 연락처 등 필요한 최소한의 정보는 아동이 직접 입력 가능)

​

5. 표시방법도 따로 명시되어 있음

전자문서와 서면동의 시 표시방법

※자동 수집되는 개인정보의 동의 필요

- 서비스 제공계약 이행과는 무관학 목적으로 이용하기 위해 수집 시에는 선택항목으로 분류하여 별도의 동의 필요

- 개인별 맞춤형 광고에 활용하고자 하는 경우

​

 

 

​

▶민감정보, 고유식별정보 처리 제한(제 23,24조)

※ 민감정보: 사상, 신념, 노동조합/정당가입, 건강정보, 유전정보, 범죄경력 정보, 생체정보, 인종 및 민족 정보

고유식별정보: 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)

​

- 별도의 동의를 받거나 법령에서 구체적으로 처리를 요구하거나 허용하는 경우에만 처리

- 안전성 확보조치 의무 필요

 

※주민등록번호의 처리 제한

→ 정보주체의 동의를 받아도 처리불가

→ 아래 사진 속 어느 하나에 해당하는 경우만 처리 가능

주민등록번호 처리 가능한 경우

→ 회원 가입 시 주민등록번호를 사용하지 않는 가입 방법(휴대폰 번호, 공인인증서 등) 제공해야함

​

 

 

​

▶개인정보 수집 목적 범위 내 제3자 제공(제 17조)

※민감정보, 고유식별정보, 주민등록번호는 제 17조에 해당 없음

​

- 개인정보의 제공: 개인정보가 담긴 출력물 등 물리적인 이전, 네트워크를 통한 전송, 제3자의 접근권한 부여, 개인정보처리자와 제3자의 개인정보 공유 등 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위

(표준지침 제7조 제1항)

​

- 수집, 이용할 수 있는 1, 2,4,6번 경우와 동일한 경우에서 제공 가능

​

- 제3자 제공 예시

제 3자의 개인정보 제공 예시

​

​

​

▶개인정보 수집 목적 범위 외 제3자 제공(제 18조)

※민감정보, 고유식별정보, 주민등록번호는 제 18조에 해당 없음

​

- 목적 외 이용 및 제공은 원칙적으로 금지하나 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없는 경우 예외적 허용 가능

예외적 허용 가능한 경우

​

​

​

▶개인정보의 수집 출처 등 고지(제 20조)

- 정보주체의 요구가 있다면 3일 이내 개인정보 수집 출처, 처리 목적, 처리 정지 및 동의 철회 요구 권리 고지

- 예외: 1. 범죄수사, 공소 제기, 형 집행, 교정/보호/관찰 처분, 출입국 관리사항 등의 개인정보

2. 다른 사람의 생명이나 신체를 해할 우려 또는 재산,이익의 부당한 침해 우려 시

​

 

 

​

▶고정형 영상정보처리기(CCTV) 및 이동형 영상정보처리기기의 설치 운영 및 제한(제 25, 제 25조의 2)

1. 고정형 영상정보처리기기

​

1) 공개된 장소에서 설치 및 운영이 가능한 경우( 다음 4가지의 경우를 제외하곤 금지)

① 법령에서 구체적으로 허용한 경우

② 범죄의 예방 및 수사에 필요한 경우

③ 시설안전 및 화재 예방을 위하여 필요한 경우

④ 교통단속, 교통정보의 수집, 분석, 제공을 위하여 필요한 경우

​

2) 설치 및 운영 시 금지 사항

- 목욕실, 화장실, 탈의실 등의 내부를 촬영 금지

- 설치 목적과는 다른 목적으로 임의 조작, 다른 곳을 비추는 행위, 녹음 기능 금지

​

3) 정보주체가 쉽게 인식할 수 있도록 안내판 설치 및 안전성 확보 조치 필요

​

2. 이동형 영상정보처리기기

1) 사람이 신체에 착용·휴대하거나 이동 가능한 물체에 부착·거치하여 촬영, 전송하는 장치

ex) 드론, 자율주행자동차, 로봇, 캠코더, 핸드폰 카메라

​

2) 업무를 목적으로 공개된 장소에서 촬영 금지

​

3) 예외적으로 허용 되는 경우

예외적으로 이동형 영상정보처리기의 설치 및 운영이 허용되는 경우

4) 촬영 사실을 명확히 표시

​

 

 

​

▶업무위탁에 따른 개인정보 처리 제한(제 26조)

1. 업무 위탁 사례

ex) 고객대상 만족도 조사를 실시하는 ㄱ기업 - ㄱ기업과 계약을 맺고 고객 리스트를 제공받는 A컨설팅 회사

여기서, ㄱ기업은 위탁사, A컨설팅 회사는 수탁사

​

2. 문서화 해야함

개인정보 처리업무 위탁 시 문서에 포함될 내용

3. 위탁하는 업무 내용, 수탁자를 인터넷에 공개

​

4. 홍보나 판매 권유 업무 위탁 시 업무 내용과 수탁자를 정보주체에게 통지

​

5. 수탁자의 교육 및 감독 필요

​

6. 수탁자는 위탁 받은 업무 범위를 초과한 개인정보 이용 및 제3자 제공 금지

​

※개정 후 위탁자의 책임 확대 및 수탁자의 책임 강화

1) 수탁자의 정의 확대: 수탁자가 위탁자로부터 위탁받은 업무를 다시 위탁받은 재수탁자 포함

2) "수탁자가 재위탁 시 위탁자의 동의 필요"라는 조항 신설

3) 제63조(자료제출 요구 및 검사), 제63조의 2(사전 실태점검), 제64조의 2(과징금 부과) 조항 추가

​

​

​

▶개인정보의 파기(제 21조)

- 보유기간의 경과, 처리목적 달성 등 개인정보가 더이상 필요하지 않게 되었을 때 5일 이내 파기

(단, 다른 법령에 따라 보존해야하는 경우는 다른 개인정보와 분리하여 저장, 관리)

- 보존의무를 규정하고 있는 법령 고려

개인정보 파기방법 및 파기절차

​

​

​

▶가명정보의 처리특례(제28조의 2)

1. 가명정보 처리 금지

1) 정보주체의 동의 없이 가명정보의 처리 금지

2) 가명정보의 제3자 제공 시 특정 개인을 알아볼 수 있는 정보의 미포함 시 처리 금지

​

2. 가명정보의 처리 단계

가명정보의 처리 단계

3. 제20조, 제27조 등 가명정보에는 적용하지 않는 개인정보보호법 조항이 있음

​

​

​

▶개인정보의 국외 이전(제3장 제4절)

1. 국외이전 요건 강화

개인정보의 국외이전 요건 강화

2. 국외이전 중지

개인정보의 국외이전 중지 요건

​

 

 

 

​

▶개인정보의 안전한 관리

- 개인정보처리자는 제30조의 사항이 포함된 개인정보의 처리방침 수립

- 개인정보 유출 통지(제34조): 72시간 이내

→ 정보주체에 통지

→ 개인정보호위원회, 한국인터넷진흥원에 신고

개인정보 유출 시 통지 방법

개인정보 유출 시 신고 방법

​

​

​

▶정보주체 권리 보장

1. 개인정보 전송요구권(제35조의 2)

- 정보주체가 개인정보처리자에게 자신의 개인정보를 본인 또는 개인정보관리 전문기관, 다른 개인정보처리자에 전송해달라고 요구하는 권리

​

- 전송 요구 대상

① 민감정보, 고유식별정보를 포함한 정보주체의 동의를 얻어 수집한 개인정보

② 필수 개인정보(계약 체결 및 이행을 위해 정보주체의 동의 없이 수집된 정보)

③ 개인정보위가 전송 대상으로 의결한 개인정보

​

- 종류

① 다운로드권: 정보주체가 개인정보처리자에게 자신의 개인정보를 정보주체 본인에게 전송해달라고 요구

② 이동요구권: 정보주체가 개인정보처리자에게 자신의 개인정보를 개인정보관리 전문기관이나 다른 개인정보처리자에 전송해달라고 요구

​

2. 열람요구권(제35조)

- 정보주체가 자신의 개인정보에 대한 열람을 요구할 수 있는 권리

- 개인정보처리자는 10일 이내에 열람하도록 하거나 정당한 거절 사유가 있다면 그 사유를 알려야함

​

3. 정정 및 삭제권(제36조)

- 정보주체가 자신의 개인정보에 대한 정정 또는 삭제를 요구할 수 있는 권리

- 개인정보처리자는 10일 이내에 처리하거나 정당한 거절 사유가 있다면 그 사유를 알려야함

​

4. 처리 정지권(제37조)

- 정보주체가 자신의 개인정보에 대한 처리 정지를 요구할 수 있는 권리

- 개인정보처리자는 10일 이내에 처리 정지, 파기 하거나 정당한 거절 사유가 있다면 그 사유를 알려야함

​

5. 동의철회권(제37조)

- 정보주체가 자신의 개인정보에 대한 동의 철회를 요구할 수 있는 권리

- 개인정보처리자는 10일 이내에 동의를 철회, 파기하거나 정당한 거절 사유가 있다면 그 사유를 알려야함

​

6. 자동화 결정에 대한 정보주체의 권리(제4조, 제37조의 2)

- 자동화된 결정: AI 등을 적용한 완전히 자동화된 시스템으로 개인정보를 처리하여 이뤄지는 결정

ex) AI기반 면접, 자소서 평가, 신용 평가

- 결정 거부권, 설명 요구권(결정에 대한 설명 요구) 행사 가능

​

​

​

▶개인정보 피해구제

① 개인정보침해 신고상담

② 개인정보분쟁조정

③ 민사소송

④ 손해배상제도: 징벌적 손해배상제도, 법적 손해배상제도