[정보보안기사] 정보보안 관리 및 법규

개인정보 보호법

개념

개인정보란 살아있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.

 

① 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 없는 정보 (성별)

② 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 (유추)

③ 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용 결합 없이는 특정 개인을 알아볼 수 없는 정보

 

개인정보처리자란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인 단체 및 개인 등을 말한다.

영상정보처리기기란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.

  

제3조 개인정보 보호 원칙

① 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.

② 개인정보 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로는 활용하여서는 아니된다.

③ 개인 정보의 정확성, 안정성 및 최신성이 유지되어야 한다.

④ 정보주체의 권리가 침해받을 가능성과 그 위험정도를 고려하여 개인정보를 안전하게 관리해야 한다.

⑤ 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람 청구권 등 정보주체의 권리를 보장하여야 한다.

⑥ 사생활 침해를 최소화 하는 방법으로 개인정보를 처리해야 한다.

⑦ 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 익명처리로 목적을 달성할 수 없는경우는 가명에 의하여 처리될 수 있어야 한다. (반드시 실명으로 처리해야 한다.)

⑧ 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위해 노력해야한다.

 

제 4조 정보주체의 권리

우리나라는 개인정보 자기 결정권 또는 개인정보 자기통제권을 인정하고 있다.

정보주체는 개인정보 처리와 관련하여 각 호의 권리를 같는다.

 

① 정보를 제공받을 권리

② 동의 여부, 동의 범위 등을 선택하고 결정할 권리

③ 처리 여부를 확인하고 개인정보에 대하여 열람(사본도 포함)을 요구할 권리

④ 처리 정지, 정정, 삭제 및 파기를 요구할 권리

⑤ 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리

 

개인정보의 처리에 관한 정보를 제공할 권리

 

제 6조 다른 법률과의 관계

개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이법에서 정하는 바에 따른다.

 

제7조 개인정보보호위원회

개인정보 보호에 대한 사무를 독립적으로 수행하기 위하여 국무총리 소속으로 개인정보 보호 위원회를 둔다.  (대통령)

 

제7조의 2(보호위원회의 구성)

보호위원회는 상임위원 2명(위원장 1명, 부위원장 1명)을 포함한 총 9명의 위원으로 구성한다.

위원장과 부위원장은 국무총리의 제청으로, 그외에 위원중 2명은 위원장의 제청으로, 2명은 대통령이 소속되거나 소속되었던 정당의 교섭단체의 추천으로, 3명은 기외의 교섭단체 추천으로 대통령이 임명 또는 위촉한다.

 

위원장 부위원장: 국무총리

2명: 위원장, 대통령소속 정당의 교섭단체

3명: 그외의 교섭단체

 

제7조의 4(위원의 임기)

위원의 임기는 3년으로 하되, 한 차례만 연임할 수 있다.

 

제7조의 10(회의)

보호위원회의 회의는 위원장이 필요하다고 인정하거나 재적위원 4/1이상의 요구가 있는 경우 위원장이 소집한다.

 

제 9조 기본 계획

보호위원회는 개인정보의 보호와 정보주체의 권인 보장을 위하여 3년마다 개인정보보 보호 기본 계획을 관계 중앙행정기관의 장과 협의하여 수립한다.

 

제 10조 시행 계획

중앙행정기관의 장은 기본 계획에 따라 매년 개인정보 보호를 위한 시행계획을 작성하여 보호위원회에 제출하고 보호위원회의 심의 의결을 거쳐 시행해야 한다.

 

제 15조 개인정보의 수집 이용

최소한의 개인정보라는 입증 책임은 개인정보처리자가 입증한다. (개인정보 담당자, 개인정보 책임자, 정보주체)

 

개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.

① 정보주체의 동의를 받을 경우

② 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

③ 공공기관이 법령 등에서 정하는 소관 업무를 수행하기 위하여 불가피할 경우

④ 정보주체와의 개약의 채결 및 이행을 위하여 불가피하게 필요할 경우 (제공 불가능)

⑤ 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 사전동의를 받을 수 없는 경우 정보 주체 또는 제3자의 박한 생명, 신체 ,재산의 이익을 위하여 필요하다고 인정되는 경우

⑥ 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우 이 경우 개인정보 처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다. (제공 불가능)

 

경품당첨 등에 참여할 수 없는 불이익이 발생할 수 있는 경우

 

개인정보처리자는 제1항제1호에 따른 동의를 받을 떄에는 다음 각 호의 사항을 정보주체에게 알려야한다.

① 개인정보의 수집 및 이용 목적

② 수집하려는 개인정보의 항목

③ 개인정보의 보유 및 이용기간

④ 동의를 거부할 수 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

 

개인정보처리자는 여러 여부를 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.

 

제 16조 개인정보의 수집 제한

개인정보처리자는 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야한다.

최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.

개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외에 개인 정보 수집에는 동의하지 아니할 수 있다는 사실을 분명히 알리고 개인정보를 수집해야한다.

개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.

 

제 17조 개인정보의 제공 

정보주체의 동의를 받은 경우

 

개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

① 개인정보를 제공받는 자

② 개인정보를 제공받는 자의 개인정보 이용 목적

③ 제공하는 개인정보의 항목

④ 개인정보 보유 및 이용 기간

⑤ 동의를 거부할 권리가 있다는 사실 및 거부에 따른 불이익이 있을 경우에는 불이익에 대한 내용

 

제 18조 개인정보의 목적 외 이용 제공 제한

개인정보처리자는 정보주체에게 이용 제공의 목적을 고지하고 동의를 받은 범위나 이법 또는 다른 법령에 의하여 이용 제공이 허용된 범위를 벗어나서 개인정보를 이용하거나 제공하면 안된다.

다만 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공할 수 있는 예외적인 사유를 규정하고 있다. 이 경우에도 정보주체 또는 제 3자의 이익을 부당하게 침해할 우려가 있을 때에는 개인정보를 목적 외의 용도로 이용하거나 제 3자에게 제공할 수 없다.

 

민감정보

사상 신념

노동조합 정당의 가입 및 탈퇴

정치적 견해

건강, 성생활 등에 관한 정보

환자의 병력

운전면허의 면허 번호

외국인등록번호

 

잘못된 민감정보: 혈액형, 결혼 여부, 성별

개인정보 수집 이용의 잘못된 사례

① 경품당첨 등에 참여할 수 없는 불이익

② 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보처리위탁(개인정보의 처리)에 대한 동의

③ 정당한 이익을 달성하기 위해 필요한 경우로서 명백하게 정보 주체의 권리보다 우선하는 경우에는 정보주체 동의 없이 개인정보를 제3자에게 제공할 수 있다.(3자 제공 불가능)

④ 민감정보에 바이오 정보(신체정보)가 해당된다.

⑤ 정보 주체의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 개인정보처리자(정보주체)의 권리보다 우선하는 경우

⑥ 국외의 제3자에게 제공할 때는 정보주체의 동의를 구하지 않아도 된다.(구해야 한다.)

개인정보 수집 사례

① 거래 채결 전에 거래 상대방의 신용도 평가를 위해 정보를 수집 이용하는 행위

② 채용 및 근로채결 결정 전에 이력서 ,졸업증명서, 성적증명서 등 정보를 수집 이용하는 경우

동호회의 운영을 위하여 회원의 개인정보를 수집 이용하는 경우

③ 홈페이지에 담당 직원의 회사 전화 번호 또는 이메일이 기재된 경우 담당직원이 담당하고 있는 업무와 관련하여 전화번호를 수집 이용할 수 있다.

개인정보 수집의 잘못된 사례

① 채용 면접시 입사지원자의 신원확인을 위해 주민등록번호를 수집하는 행위

② 홈페이지에 게시된 전화번호 또는 이메일을 이용하여 대출, 홍보성 이벤트를 하는 경우

개인정보의 파기 및 보존

① 개인정보의 이용목적이 달성된 때에는 즉시 파기하여야 한다.

② 파기하지 않고 보관할 시에는 다른 개인정보와 분리하여 저장 보관한다.

③ 전자적 파일 형태인 경우, 복원이 불가능한 방법으로 영구 삭제한다.

④ 요금 정산이 끝난 소비자의 개인정보는 채권 소멸기간까지 남아있어도 개인정보를 보관할 수 없다.

개인정보의 파기 및 보존의 잘못된 사례

① 개인정보 삭제 시 만일의 경우에 대비하여 일정기간 보관한다.

개인정보 처리 제한(제3장제2절)

정보주체의 동의가 없거나 법적 근거가 없을 경우 적용되는 개인정보 처리 제한에 해당한다.

개인정보처리자가 정보주체의 동의를 얻거나 법령에서 구체적으로 해당 정보의 처리를 요구하거나 허용하는 경우에만 이용이 가능하다. (교통단속, 시설 안전, 화재예방을 위해 사용)

 

① 민감정보의 처리 제한

② 고유식별정보의 처리 제한

③ 주민등록번호 처리의 제한

 

주민등록정보 처리

① 주민번호를 정당하게 처리할 근거를 가졌다면 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민번호를 사용하지 않고 회원으로 가입할 수 있는 방법을 제공해야 한다. 

② 주민등록번호를 처리할 수 있는 법령상 근거는 법률 제24조의2에 명시되어있다. (법률, 시행령 시행규칙을 모두 포함)

③ 직원의 주민번호를 단체보험 가입 목적으로 처리할 수 있다.