개인정보보호법 제정 2010. 행정안전부
목 차 Ⅰ. 개인정보보호법제정필요성 1 Ⅱ. 법제정추진경과 2 Ⅲ. 개인정보보호법정부안 3 1. 구성체계 2. 주요내용 Ⅳ. 의원님발의안 9 1. 이혜훈의원님발의안 2. 변재일의원님발의안 < 참고 1> 개인정보보호법제정으로현재와달라지는점 < 참고 2> 개인정보보호법정부안과의원안비교
Ⅰ 개인정보보호법제정필요성 각급기관, 사업자등의끊임없는개인정보침해사고발생 GS 칼텍스 1,100 만건개인정보유출등해킹, 내부직원유출, 담당자 부주의등으로 07~ 10 년간 8,000 만건침해사고발생 ( 한국인터넷진흥원 ) 인터넷쇼핑몰등 2,000 만건유출 ( 10.3), GS 칼텍스 1,100 만건유출 ( 08.9), 옥션 1,084 만건 해킹 ( 08.2), SK 콜센터연예인등 2 만건유출 ( 09.9), 청계천헌책방 15 만건판매 ( 10.1) 병무청홈페이지 3 만건유출 ( 08.7), 대학 시도교육청 61,000 건유출 ( 07~ 09) 최근의개인정보침해는대형화 지능화 다양화추세 개인정보란? : 생존하는개인의성명, 주민번호, 전화번호, 영상, 지문, 소득등개인식별정보 개인정보유출은국가사회전반에걸쳐심각한피해초래 ( 국가 ) 전자정부의신뢰성하락및프라이버시라운드의 대두에따른 IT 산업의수출애로, 국가브랜드하락등을야기 ( 기업 ) 기업의이미지실추, 소비자단체의불매운동 및 다수피해자에대한집단적손해배상시기업경영에큰타격 옥션, GS 칼텍스등 60여건소송제기, 19만 4천명소송참가, 소송청구액 2.,100 억원 ( 국민 ) 정신적피해뿐만아니라명의도용, 보이스피싱에의한금전적손해및유괴등각종범죄에노출우려 05~ 07 년개인정보침해피해규모는총 10 조 7000 억원으로추정 ( 한국인터넷진흥원 ) - 1 -
현행개인정보보호법제 체계는개인정보유출대응에한계 개인정보보호에대한일반법이없어법적용의사각지대가발생하고, 개별법간처리기준등이상이하여국민의혼란초래 - 공공기관 ( 공공기관개인정보보호법 ), 정보통신사업자 ( 정보통신망법 ) 등개별법체계로법원등헌법기관, 오프라인사업자, 비영리기관등은법적용배제 09 년개인정보침해사고신고건수 32,422 건중법적용제외사업자가 68.1%(22,067 건 ) 개인정보보호법제및체계 공공부문 행정안전부관계중앙행정기관장 ( 공공기관개인정보보호법 ) 민간부문 방통위 정보통신 ( 정보통신망법 ) 행안부 백화점ㆍ호텔ㆍ여행사등 ( 정보통신망법 ) 금융위 금융 신용 ( 신용정보이용및보호법등 ) 심의기구공공기관개인정보심의위원회 ( 공공기관개인정보보호법 ) 피해구제 ( 민간부문 ) 개인정보분쟁조정위원회 ( 정보통신망법 ) Ⅱ 법제정추진경과 08.11.28 개인정보보호법정부안국회제출 - 국회제출에앞서법제정을위한 2회공청회개최 ( 08.6/ 08.8) 이혜훈의원안발의 ( 08.8), 변재일의원안발의 ( 08.10) 09.2.20 / 2.23 국회행안위상정, 법안심사소위상정 09.4.23 행안위주관공청회개최 - 2 -
Ⅲ 개인정보보호법정부안 1 구성체계 : 본문 8 장 64 조, 부칙 7 조 - 3 -
2 주요내용 용어의정의및보호위원회등 용어의정의 ( 개인정보 ) 생존하는개인에관한정보로성명, 주민등록번호및 영상등을통하여개인을식별할수있는정보 ( 개인정보파일 ) 개인정보를쉽게검색할수있도록일정한 규칙에따라체계적으로배열또는구성한개인정보의집합물 전자적으로처리하는데이터베이스뿐만아니라서류기록도포함 ( 개인정보처리자 ) 업무상목적으로개인정보파일을운영하는 공공기관, 법인, 단체, 사업자및개인등 법원 국회등헌법기관, 영리 비영리법인, 오프라인사업자까지포함 업무상목적 은직업또는사회생활상의지위에기하여계속적으로종사하는사무나사업의일체를말함 ( 대법원판례 ) 개인정보보호위원회 ( 구성 ) 국무총리소속심의위원회, 위원장포함 15 인이내 - 고위공무원, 시민사회단체ㆍ소비자단체ㆍ사업자단체추천자등 - 위원장 ( 민간인 ) 및위원은국무총리가위촉 ( 기능 ) 기본계획및시행계획, 제도및법령개선, 개인정보 이용ㆍ제공, 법령해석, 시정조치권고등주요정책사안심의 다른법률과의관계 일반법이므로다른법률 ( 정보통신망법, 신용정보보호법, 위치정보 보호법등 ) 에특별한규정이있는경우외에는동법률을적용 - 4 -
개인정보의처리원칙 개인정보의수집 이용, 제 3 자제공및파기 ( 수집ㆍ이용 ) 정보주체의동의, 법률규정등일정한경우에만 개인정보를수집하도록하고, 수집목적범위안에서이용가능 - 동의획득시에는 1 개인정보의수집 이용목적 2 수집항목, 3 개인정보의보유및이용기간등을명확히고지 수집ㆍ이용동의원칙의예외 : 공공기관이법령등에서정하는소관업무수행을위해불가피한경우, 계약체결및이행을위해불가피한경우, 정보주체및제 3 자의이익을위한경우로사전동의가곤란한경우등 ( 제 3 자제공 ) 개인정보의목적외이용ㆍ제공은원칙적으로금지 - 동의를얻거나법률의규정이있는경우, 범죄수사, 법원의 재판업무수행등을위한경우는예외허용 ( 파기 ) 개인정보의처리목적달성등으로불필요하게된때 에는지체없이해당개인정보를파기 동의 를받는방법 개인정보의목적외이용ㆍ제공, 고유식별정보등에대한 동의절차강화 - 계약의체결등을위한필수동의사항과선택사항을구분 하도록하여정보주체의자기정보결정권보장 < 필수동의와선택동의예시 > o ( 필수동의 ) 고객이증권사에서체크카드발급시증권사는체크카드업무를취급하지않으므로제휴사인은행에개인정보제공이필수 o ( 선택동의 ) 서비스제공과무관한마케팅목적의이용에대한동의, 부가서비스제공 ( 포인트적립, VIP 우대등 ) 을위한제휴사간개인정보공유등 - 5 -
개인정보의처리제한 고유식별정보의처리제한 주민등록번호등법령에따라부여된개인의고유식별정보는원칙적으로처리를금지 - 인터넷홈페이지회원가입을위해본인확인이필요한경우대체수단 (I-PIN 등 ) 을반드시제공하도록의무화 < 고유식별정보처리의예외적허용 > 1 정보주체의별도동의, 2 법령에따라처리가허용된경우, 3 공공기관이법률에서정하는소관업무수행을위하여불가피한경우로서대통령령이정하는경우 개인정보처리의위탁 개인정보처리위탁하는경우수탁자및위탁업무내용을인터넷홈페이지등에 공개 하도록의무화 마케팅목적으로개인정보처리를위탁하는경우서면, 전자우편, 전화등을통해정보주체에게반드시 고지 하도록의무화 위탁자의수탁자에대한감독의무및배상책임규정 수탁자는위탁받은업무범위를초과하여개인정보를이용하거나제 3 자에게제공금지 - 안전성확보조치등개인정보처리자로서의의무이행 영상정보처리기기의설치제한 범죄예방및수사, 화재예방등특정목적을위한경우공개된장소에영상정보처리기기설치를허용 목욕실, 화장실, 탈의실등에는설치 운영금지 - 다만, 교도소 정신보건시설등구금또는보호시설은예외 안내판설치의무화, 임의조작, 녹음기능사용금지 - 6 -
개인정보의안전한관리 기술적ㆍ관리적보호조치강화 개인정보의분실ㆍ도난ㆍ유출ㆍ변조또는훼손방지를위한안전성확보의무부과 개인정보처리목적, 위탁ㆍ제공현황, 정보주체의권리등을기재한 개인정보처리방침 을수립ㆍ공개의무화 개인정보처리현황수시점검, 개선조치등을수행하는 개인정보관리책임자 를지정의무화 개인정보처리자는개인정보유출사실을인지한경우지체없이해당정보주체에게관련사항을통지하도록의무화 공공기관의특례 공공기관이보유하는개인정보파일은목적ㆍ근거ㆍ기간등일정사항을행안부장관에게등록하고, 행안부장관은이를공개 공공기관은개인정보파일운용으로정보주체의개인정보침해가우려되는경우개인정보영향평가를의무적으로수행정보주체의권리 개인정보열람, 정정ㆍ삭제및처리정지요구권보장 - 개인정보처리자가보유중인개인정보의정확성및최신성을담보하고, 정보주체의자기정보결정권을강화 - 7 -
개인정보분쟁조정위원회 ( 기능 ) 개인정보에관한분쟁의조정 - 1침해행위중지 2원상회복 손해배상 3재발방지조치에관하여조정안을작성 ( 민사상화해효력 ) ( 구성 ) 20명이내위원, 공공ㆍ민간분야별조정부운영 - 개인정보보호업무관장하는중앙행정기관공무원, 변호사, 시민단체 소비자단체추천자, 사업자단체임원등으로구성 보칙및벌칙 ( 법적용예외 ) 국가안전보장, 언론ㆍ종교ㆍ정당등의고유활동 ( 지도 점검 ) 행안부장관및관계중앙행정기관장의지도ㆍ점검권한 - 개인정보처리자에게처리실태개선권고및조치결과보고 - 개인정보침해사실신고 접수및자료제출요구 검사 - 침해행위의중지등시정조치, 고발 징계권고및결과의공표등 ( 벌칙 ) 법률위반에따른제재 - 업무방해목적의개인정보변경ㆍ말소, 민감정보무단처리, 개인정보의무단이용ㆍ제공등중대법익침해 징역 벌금형 - 개인정보관리책임자미지정, 개인정보취급방침의미공개등절차적의무위반 과태료부과 - 8 -
Ⅳ 의원님발의안 1 이혜훈의원님발의안 공공ㆍ민간을포괄하여개인정보처리원칙규정 정보주체의동의, 법령의근거, 생명ㆍ신체ㆍ재산상이익보호, 계약의체결및이행등을위해필요한경우처리허용 필수정보와선택정보를분리하여동의획득 민감정보, 고유식별정보의처리제한 국무총리소속으로 개인정보위원회 설치 ( 구성 ) 위원장 1인, 상임위원 1인포함 9인 - 위원장과상임위원 : 국무총리제청ㆍ대통령임명 - 비상임위원 : 위원장추천, 국무총리임명 ( 기능 ) 위원회는법제도및정책연구, 제도개선, 상담및피해구제, 교육ㆍ홍보, 기술개발및지원등의기능수행 - 위원회에자료제출요구권, 실태조사권, 방문조사권, 시정명령, 고발및징계권고권등의권한을부여 개인정보위원회에개인정보분쟁조정위원회를두고, 집단분쟁조정제도를도입, 조정결정에재판상화해효력부여 - 9 -
CCTV, RFID, 전자우편감시시스템등개인정보처리장치의 설치ㆍ운영에대한기준ㆍ방법ㆍ절차등마련 영리목적으로 개인정보를이용ㆍ제공하는사업 ( 마케팅등 대행사업, 개인정보제공사업 ) 은개인정보위원회에등록, 관리 개인정보유출방지를위한기술적ㆍ관리적조치, 개인정보 보호책임자지정, 개인정보누출통지및신고의무화 정보주체의열람및정정청구권, 이용및제공정지청구권, 파기ㆍ삭제청구권등규정 개인정보파일등록제, 개인정보영향평가제, 개인정보파일의 연동ㆍ연계심사제도등공공기관에대한특례규정마련 위원회는개인정보영향평가ㆍ인증기관지정및관리ㆍ감독 법률적용의예외 개인ㆍ가족의이용, 통계ㆍ연구등목적으로개인정보를 수집ㆍ처리하는경우법적용제외 취재및보도, 종교활동, 정치및정당활동목적으로개인 정보를처리하는경우일부적용제외 - 10 -
2 변재일의원님발의안 공공ㆍ민간전체에적용되는개인정보처리기준제시 정보주체의동의, 법률규정등에따라개인정보처리허용 개인이나가사목적, 국가안전보장을위하여긴급히필요한경우등에법적용예외인정 필수정보와선택정보를명확하게구분하여동의받도록규정 대통령소속으로 개인정보보호위원회 설치 ( 구성 ) 국회선출 (3 인 ), 대통령지명 (3 인 ) 대법원장지명 (3 인 ) 등 9 인을대통령이임명, 위원장은위원중에서대통령이임명 ( 기능 ) 위원회는정책개발및시행, 제도개선, 법제도연구, 고충처리, 분쟁조정및피해구제, 교육 홍보등의기능수행 - 자료제출요구권, 방문조사권, 의견제시및개선권고, 시정명령, 고발및징계권고권, 개인정보보호기준제정권등권한부여 개인정보보호위원회에개인정보분쟁조정위원회를두고, 집단분쟁조정제도도입, 조정결정에재판상화해효력부여 개인정보데이터베이스마케팅사업도입 개인정보 DB 를텔레마케팅대행, 대여등에이용하고자하는 자는위원회에등록하여관리 감독을받도록함 - 11 -
CCTV, RFID, 전자우편감시시스템등자동정보처리장치를 이용한감시ㆍ추적의절차ㆍ방법규율 주민등록번호등법령에의하여부여된고유식별정보는원칙적 으로해당법령에서정한목적으로만이용 개인정보안전한관리를위한조치의무 기술적ㆍ관리적보호조치의무화 개인정보보호책임자지정, 수탁자관리ㆍ감독의무부여 개인정보누출사실통지및신고의무화 정보주체의열람ㆍ정정, 처리정지ㆍ중단요구권등규정 공공기관에대한특례규정마련 범죄수사, 재판등정보주체의동의를얻는것이업무수행에 현저한지장을미칠우려가있는경우, 동의예외를인정 개인정보파일등록제, 개인정보영향평가제, 개인정보파일의 연동ㆍ대조시협의제도등도입 - 위원회는개인정보영향평가ㆍ인증기관지정및관리ㆍ감독 재산적손해의구제와권리침해행위의중단ㆍ정지를위한 개인정보단체소송제도의도입 - 12 -
참고 1 개인정보보호법 제정으로현재와달라지는점 구분현행제정 ( 안 ) 규율대상 o 공공기관, 정보통신사업자, 신용정보 제공 이용자등분야별개별법이있는 경우에한하여개인정보보호의무적용 o 공공 민간통합규율로법적용대상확대 - 현행법적용을받지않던오프라인사업자, 의료기관, 협회 동창회등비영리단체, 국회 법원 헌법재판소 중앙선거관리위원회등으로확대 보호범위 o 공공기관은컴퓨터등에의해처리되는 개인정보파일만을보호대상으로함 o 동사무소민원신청서류등종이문서에 기록된개인정보도보호대상에포함 수집 이용및 제공기준 고유식별정보 처리제한 영상정보처리기기규제 o 공공, 정보통신등분야별개별법에따른처리기준존재 o 주민등록번호등고유식별정보의민간사용을사전적으로제한하는규정없음 o 인터넷상에서주민등록번호외의회원가입방법제공의무화 ( 정보통신서비스제공자한정 ) o 공공기관이설치 운영하는폐쇄회로텔레비전 (CCTV) 에한하여규율 - 범죄예방및교통단속등공익을위하여필요한경우전문가및이해관계인의견수렴을거쳐설치 - 녹음기능, 임의조작금지 o 공공 민간을망라하는개인정보처리원칙과기준제시 o 원칙적처리금지 - 정보주체의별도동의, 법령의근거가있는경우등은예외허용 o 인터넷상주민등록번호외의회원가입방법제공의무화대상확대 ( 정보통신서비스제공자 공공기관, 일부민간분야개인정보처리자 ) 대통령령에서의무화대상규정 o 주민등록번호등고유식별정보처리시암호화등안전조치확보의무명시 o 공개된장소에설치 운영하는영상정보처리기기규제를민간까지확대 - 공개된장소인백화점 아파트등건물주차장, 상점내 외부등에영상정보처리기기를설치할때에는법령, 범죄예방 수사, 시설안전및화재예방, 교통단속등을위해서설치가능 o 규율대상을기존 폐쇄회로텔레비전 (CCTV) 에서네트워크카메라도포함 o 공중화장실 목욕탕 탈의실등사생활침해우려가큰장소는설치금지 - 13 -
구분현행제정 ( 안 ) 텔레마케팅 등규제 o 정보통신망법 에따라정보통신서비스제공자에한하여규제 - 마케팅목적으로개인정보취급을위탁하는경우정보주체동의를받아야함 o 마케팅을위해개인정보처리에대한동의를받을때에는다른개인정보처리에대한동의와묶어서동의를받지않도록명시적으로규정 - 정보주체가알기쉽도록고지하고동의를받아야함 o 모든개인정보처리자는마케팅업무를위탁시, 정보주체에게위탁업무내용및수탁자를고지해야함 ( 정보통신서비스제공자 모든개인정보처리자로규제대상확대 ) o 공공기관이개인정보파일보유시 행정안전부장관과사전협의 o 공공기관이개인정보파일보유시 행정안전부장관에게등록 개인정보파일 등록 공개및 영향평가 o 행안부장관은사전협의파일관보공고 o 행안부장관은등록사항공개 o 공공기관대규모개인정보파일구축등침해위험이높은경우에는사전영향평가실시의무화 ( 민간은자율시행 ) 유출통지 o 관련제도없음 o 개인정보유출사실통지의무화 o 국무총리소속공공기관개인정보보호 심의위원회 - 공공부문정책심의 o 국무총리소속개인정보보호위원회설치 - 공공 민간부문개인정보보호정책을 심의하는기구 위원회 o 개인정보분쟁조정위원회 - 민간분야분쟁조정 o 개인정보분쟁조정위원회기능확대 - 공공 민간분쟁조정 - 14 -
참고 2 개인정보보호법정부안과의원안비교 정부안이혜훈의원안 ( 한나라당 ) 변재일의원안 ( 민주당 ) 추진체계 o 국무총리소속개인정보보호 o 국무총리소속개인정보 위원회 ( 제 9 조 ~ 제 10 조 ) - 정책심의기능수행 정책수립 집행은행안부및관계부처담당 위원회 ( 제 34 조 ~ 제 40 조 ) - 정책수립 집행기능수행 조사, 시정명령등규제권행사 o 대통령소속개인정보보호위원회 ( 제40조 ~ 제46조 ) - 정책수립 집행기능수행 조사, 시정명령등규제권행사 처리기준 o 개인정보수집 이용 ( 제15조 ), o 개인정보 수집 및 처리시 o 개인정보수집, 이용, 제공등 제공 ( 제17조 ) 기준차등화 - 제공시더욱엄격히보호 동의원칙명시 - 예외사유규정 ( 제8조 ) 처리기준동일 ( 제7조 ) o 공공기관은법령등에서 o 법령상소관사무수행등 o 정하는소관업무수행을위해예외인정 ( 제30조 ) 불가피한경우수집 이용 공공기관은법률에서정하는업무수행을위해불가피한경우로대통령령이정하는경우등처리 업무위탁 o 업무위탁시정보주체에대한 o 공개또는고지의무없음 o 공개또는고지의무없음 공개또는고지의무 ( 제25조 ) - 수탁자관리 감독, 손해배상책임등만규정 ( 제15조 ) - 수탁자관리 감독, 손해배상책임등만규정 ( 제23조 ) CCTV 등 DB 마케팅 o 영상정보처리기기설치 운영 o 개인정보처리장치설치 운영시 o 자동정보처리장치설치 운영시기준및관리책임 ( 제24조 ) 게시, 고지등 ( 제14조 ) 고지등 ( 제18조 ) o DB마케팅사업위원회등록 o DB마케팅사업위원회등록 - 및관리 감독 ( 제17조 ) 및관리 감독 ( 제17조 ) - 제3 자제공시고지의무완화 - 제3 자제공시고지의무완화 유출통지 공공기관특례 o 개인정보유출시통지 ( 제32 조 ) o 개인정보파일등록 ( 제30조 ) o 개인정보영향평가 ( 제31조 ) o 개인정보분쟁조정위원회별도설치 o 개인정보누출 공개 도용 ( 누출 o 개인정보누출 공개 도용 ( 누출등 ) 통지및신고 ( 제20 조 ) 등 ) 통지및신고 ( 제25 조 ) o 개인정보파일등록 ( 제31조 ) o 개인정보영향평가 ( 제32조 ) o 파일연계 연동시협의 ( 제33조 ) o 개인정보위원회內개인정보분쟁조정위원회설치 o 개인정보파일등록 ( 제13조 ) o 개인정보영향평가 ( 제36조 ) o 파일연계 연동시협의 ( 제14 조 ) o 개인정보보호위원회內개인정보분쟁조정위원회설치 피해구제 o 조정결정에민사상합의효력부여 ( 제44조 ) o 조정결정에재판상화해효력부여 ( 제58조 ) o 조정결정에재판상화해효력부여 ( 제62조 ) o 집단분쟁조정미도입 o 집단분쟁조정도입 ( 제60조 ) o 집단분쟁조정도입 ( 제64조 ) o 단체소송미도입 o 단체소송미도입 o 단체소송도입 ( 제 67 조 ~ 제 73 조 ) 기타 - o 표준개인정보처리방침등록 ( 제7 조 ) o 표준개인정보처리방침등록 ( 제33 조 ) o 평가 인증기관지정 ( 제52 조 ) o 평가 인증기관지정 ( 제38 조 ) - 15 -