개인정보보호법의이해 - 현재와달라지는점을중심으로 2011. 9. 27, 12:00-13:30 국제회의장 행안부개인정보연구회자문위원이창범 /miso4all@naver.com
1
1. 대규모개인정보침해사고빈발로국민불안감급증 최근의개인정보침해는대형화 지능화 다양화추세 - '07년 ~ '10년간약 1억건의개인정보침해사고발생 - 해킹, 내부직원유출, 담당자부주의등이주요원인 OO오픈마켓 (24건) 14만 1496명소송액 : 1,595억 OO정유사 (23건) 4만 1832명 OO텔레콤 (20건) 소송액 : 417억 1만 1831명소송액 : 127억 총 67 건 소송액 2,100 억원 (195,150 명 )
2. 개인정보보호일반법미비로법적용사각지대발생 공공기관 ( 개인정보보호법 ), 정보통신사업자 ( 정보통신망법 ) 등 개별법체계로헌법기관, 오프라인사업자, 비영리기관등은관련법부재 - 현행개별법체계에서는법적용의사각지대발생 - 개별법간보호원칙, 처리기준및추진체계가상이하여국민혼란, 일관된정책추진에한계 법적용제외사업자 73.7% (40,431 건 ) 10 년개인정보침해신고 : 총 54,382 건 법적용사업자 26.3% (14,401 건 )
3. 개인정보보호의무적용대상확대 현재 분야별개별법이있는경우에한해개인정보보호의무적용 - 공공기관 : 공공기관개인정보보호법 - 신용정보제공 이용자 : 신용정보법 - 정보통신서비스제공자 : 정보통신망법 - 준용사업자 : 정보통신망법 제정후달라지는점 적용대상의확대 : 공공 민간부문의모든개인정보처리자 - 국회 법원 헌법재판소 중앙선거관리위원회의행정사무를처리하는기관포함 - 오프라인사업자, 협회 동창회등비영리단체포함 보호범위의확대 : 컴퓨터등에의해처리되는정보외수기문서포함 - 동사무소민원신청서류등공공기관의종이문서에기록된개인정보도포함
[ 참고 ] 개인정보보호의무적용대상의변화 공공기관 준용사업자 정보통신서비스제공자 정보통신망법 적용 (49 만사업자 ) 공공기관개인정보보호법 적용 (2 만 5 천기관 ) 신용정보제공 이용자등 현행적용대상자 추가적용대상 비영리단체 정보통신서비스제공자 공공기관 신용정보제공 이용자등 기타민간사업자 ( 약 310 만 ) 법원등헌법기관 준용사업자 개인
4. 세계각국과의 FTA 대비및 IT 강국으로서의위상확보 세계각국과의 FTA 체결로상호간개인정보의교류증대예상 - 국제수준의개인정보보호체계구축필요 최근전세계적국제통상관련, 프라이버시라운드 (Privacy Round) 대두 - 주요선진국 : 개인정보보호법 을제정 시행중 - 유럽연합 (EU) : 적절한보호수준을갖춘제 3 국으로만개인정보이전 개인정보보호선진국, 진정한 IT 강국
5. 추진경과 17 대국회에서 3 개 ' 개인정보보호법 ( 안 )' 의원발의 - 노회찬의원 ( 민노당, 04.11), 이은영의원 ( 우리당, 05.7), 이혜훈의원 ( 한나라당, 05.12) - 17대국회임기만료로 3개발의법안자동폐기 개인정보보호법의원안발의 - 이혜훈의원안 (08.8.8), 변재일의원안 (08.10.27) 개인정보보호법정부안국회제출 ('08.11.28) 국회행안위상정 ('09.2.20), 공청회개최, 법안심사소위 ( 총 5 회 ) - 행안위공청회 (09.4), 법안심사소위심사 (09.2.23, 10.4.15, 10.4.19, 10.9.28. 10.9.29) 본회의의결 ( 11.3.11) 국무회의의결 ( 11.3.22), 공포 ( 11.3.29), 시행 ( 11.9.39) ( 12.3.39)
2
1. 개인정보보호법제체계의일원화 개인정보보호법은개인정보의수집 처리에관한일반법 모든분야의개인정보처리에적용 이에따라 공공기관개인정보보호법 은이법시행과동시에폐지 정보통신망법 중준용사업자및개인정보분쟁조정관련규정도폐지 개인정보의수집 처리에관한원칙을통일하고, 중복규제를제거하기 위해개인정보와관련한개별법모두폐지되는것이바람직 그러나, 모든개별법일시폐지시산업에혼란가중우려 이법보다특별히보호수준을높히거나낮추어야할경우도존재 따라서, 제정법은다른 법률 에특별한규정이있는경우에는해당개별법을우선적용하도록예외인정
[ 참고 ] 개인정보보호법체계도 공공행정 제정전 생명윤리및안전에관한법률 장기등이식에관한법률 응급의료에관한법률 초 중등교육법 교육정보시스템의운영등에관한규칙등 교육 공공기관의개인정보보호에관한법률 공공기관의정보공개에관한법률 전자정부법, 주민등록법 의료 우리나라개인정보보호법률체계 신용정보의이용및보호에관한법률 금융실명거래및비밀보장에관한법률 전자거래기본법 전자상거래등에서의소비자보호에관한법률 정보통신 금융 / 신용 정보통신망이용촉진및정보보호등에관한법률 통신비밀보호법 위치정보보호법 정보통신기반보호법 전기통신사업법 등 제정후 개인정보보호법 정보통신망법 위치정보보호법 전자상거래등에서의소비자보호에관한법률 전기통신사업법 등
2. 개인정보보호행정체계의일원화 제정전 행정안전부 중앙행정기관 공공부문 지자체 공공기관개인정보보호심의위원회 ( 국무총리소속 ) 정책심의총괄. 준용기타공공기관사업자 민간부문 행안부방통위금융위 정보통신서비스제공자 개인정보분쟁조정위원회 신용정보이용 제공기관 피해구제 기타 의료교육노동등 제정후 피해구제 대통령 개인정보보호위원회 심의 의결 시정권고 헌법기관 중앙행정기관 지방자치단체 개인정보분쟁조정위원회 행안부 방통위 금융위 보건복지가족부 교육과학기술부 기타 소관분야및소속기관의개인정보보호 공공기관, 기타민간분야총괄 정보통신분야 금융, 신용분야 소속 공공기관 의료분야 교육분야 노동, 법무등기타
[ 참고 ] 행정주체별 ( 정책기관별 ) 기능및역할 개인정보보호위원회 개인정보보호정책심의 의결 개인정보보호기본및시행계획심의 의결 정책, 법령및제도의개선에관한사항 공공기관간의의견조정 법령의해석. 운용 공공기관의목적외이용 제공 심의 의결 중앙행정기관, 지자체에대한시정권고 국회에대한연차보고서제출 영향평가결과, 개선권고등심의 의결 행정안전부 개인정보보호업무의총괄 조정 기본계획수립 시행 표준개인정보보호지침제정 개인정보처리방침작성지침제정 권고 개인정보유출통지운영 법위반행위조사, 시정권고 명령, 과태료부과 개인정보파일등록접수및현황공개 자율규제촉진및지원시책 개인정보영향평가관리운영 소관분야개인정보보호시행계획수립 소관분야개인정보보호지침마련 개인정보처리자에게처리실태개선. 권고 중앙행정기관 소관분야및개별법개인정보보호업무수행 법취지에부합하도록소관법령정비 법위반행위조사, 시정권고명령, 과태료부과 소속기관, 소관공공기관에의견제시및지도. 권고
[ 참고 ] 지방자치단체에대한특칙 지자체의책무 ( 제 5 조 ) : 조례개정, 관행개선, 자율적개인정보활동지원 자료제출의무 ( 제 11 조 ) : 기본계획수립에필요한자료요청 ( 행안부 ) 수수료조례제정 ( 제 47 조 ) : 개인정보열람수수료징수 - 수입증지, 전자지불수단, 통신과금서비스 집단분쟁조정의뢰 ( 제 49 조 1 항 ) : 집단적성격의개인정보민원처리 의견제시 / 지도. 점검실시 ( 제 61 조 ) : 소속기관등의개인정보처리 침해행위중지 / 개인정보처리일시중지명령 ( 제 64 조 ) : 소속기관등위반행위
[ 참고 ] 개인정보보호심의위원회 VS 개인정보보호위원회 개인정보보호심의위원회 소속국무총리대통령 구성 10 인이내의위원으로구성 위원장 : 행정안전부차관 위원 : 공공기관직원과민간전문가 간사 : 행안부개인정보보호업무담당공무원 임기 2 년 3 년 성격심의기구심의. 의결기구 심의사항 개인정보보호정책, 제도개선 처리정보이용. 제공에대한공공기관간의견조정 개인정보사전협의와관련한사항 공공기관의처리정보목적외이용. 제공 개인정보보호에관하여국무총리또는위원장이개인정보보호법부의하는소개사항 개인정보보호위원회 15 인이내의위원으로구성위원장 : 대통령이위촉하는민간전문가상임위원 : 위원중에서 1 인 위원 : 대통령이임명. 위촉하는중앙행정기관공무원과민간전문가 ( 국회선출 5 명, 대법원장지명 5 명포함 ) 개인정보보호기본계획및시행계획 개인정보보호정책, 법령, 제도개선 개인정보처리에관한공공기관간의견조정 개인정보보호법령의해석. 운용 공공기관의개인정보목적외이용. 제공 공공기관의영향평가결과에대한의견제시 의견제시, 시정명령권고, 처리결과공포 연차보고서의작성. 제출에관한사항 개인정보보호에관하여대통령, 위원장또는위원 2 인이상이부의하는사항
3. 개인정보보호기본원칙 OECD 가이드라인 1. 수집제한의원칙 2. 정보정확성의원칙 3. 목적명확화원칙 4. 이용제한의원칙 5. 안전보호의원칙 6. 공개의원칙 7. 개인참가의원칙 8. 책임의원칙 개인정보보호법 ( 안 ) 목적에필요한최소한범위안에서적법하고정당하게수집처리목적범위안에서정확성, 안전성, 최신성보장처리목적의명확화필요목적범위안에서적법하게처리, 목적외활용금지정보주체의권리침해위험성등을고려, 안전성확보개인정보처리사항공개열람청구권등정보주체의권리보장개인정보처리자의책임준수 실천, 신뢰성확보노력
4. 개인정보보호법구성체계 제 1 장총칙 - 목적, 정의, 개인정보보호원칙, 다른법률과의관계등 개인정보보호법 본문 9 장 7 5 개조문, 부칙 제 2 장개인정보보호정책의수립등 - 개인정보보호위원회, 기본계획 시행계획수립, 개인정보보호지침, 자율규제촉진등 제 3 장개인정보의처리 - 수집 이용 제공등처리기준, 민감정보 고유식별정보제한, 영상정보처리기기제한등 제 4 장개인정보의안전한관리 - 안전조치의무, 개인정보파일등록 공개, 개인정보영향평가, 유출통지제도등 제 5 장정보주체의권리보장 - 열람요구권, 정정 삭제요구권, 처리정지요구권, 권리행사방법및절차, 손해배상책임등 제 6 장개인정보분쟁조정위원회 - 분쟁조정위원회설치 구성, 분쟁조정의신청방법 절차, 효력, 집단분쟁조정제도등 제 7 장개인정보단체소송 단체소송대상, 소송허가요건, 확정판결의효력등 제 8 장보칙 - 적용제외, 금지행위, 침해사실신고, 시정조치등 제 9 장벌칙 벌칙, 과태료및양벌규정등 부칙 : 시행일, 경과조치, 다른법률의개정등
3
1. 용어의정의 (1) 개인정보 " 개인정보 " 란생존하는개인에관한정보로서성명, 주민등록번호, 영상등을통하여개인을알아볼수있는정보 처리 " 처리 " 란개인정보의수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기기타이와유사한모든행위 정보주체 " 정보주체 " 란수집 처리되는정보에의하여알아볼수있는사람으로서 그정보의주체가되는사람
1. 용어의정의 (2) 개인정보파일 " 개인정보파일 " 이란개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로배열하거나구성한개인정보의집합물 - 개인정보가전자적인매체에저장되거나저장될예정인것까지포함 - 전자적인형태뿐만아니라수기문서도포함 공공기관개인정보보호법제2조제4호개인정보보호법제2조제4호 컴퓨터등에의하여처리할수있도록체계적으로구성된개인정보의집합물로서자기테이프, 자기디스크등전자적인매체에기록된것 개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로배열하거나구성한개인정보의집합물 개인정보처리자 업무를목적으로개인정보파일을운영하기위해스스로또는다른사람을 통해개인정보를처리하는공공기관, 법인, 단체, 사업자, 개인
1. 용어의정의 (3) 개인정보처리자 업무를목적으로개인정보파일을운영하기위해스스로또는다른사람을 통해개인정보를처리하는공공기관, 법인, 단체, 사업자, 개인 공공기관 국회, 법원, 헌법재판소, 중앙선거관리위원회의행정사무처리기관 중앙행정기관및그소속기관, 지방자치단체 기타국가기관및공공단체 헌법기관의행정사무를처리하는기관을추가 공공기관개인정보보호법제 2 조제 1 호 국가행정기관 지방자치단체그밖의공공단체중대통령령이정하는기관 개인정보보호법제 2 조제 6 호 그밖의국가기관및공공단체중대통령령으로정하는기관 초 중등교육법 및 고등교육법, 그밖의다른법률에따라설치된각급학교 공공기관의운영에관한법률제 4 조에따른공공기관 공공기관의운영에관한법률제 4 조에따른공공기관 지방공기업법 에따른지방공사및지방공단특별법에따른특수법인초. 중. 고. 대학교및그밖의각급학교
2. 개인정보기본계획및시행계획수립 (1) 주요내용개인정보보호기본계획의수립 시행 ( 법제9조 ) 행안부장관은관계중앙행정기관장과협의하여 3년마다기본계획수립 * 보호위원회의심의 의결을거쳐기본계획확정. 시행 < 기본계획에포함될내용 > 1. 개인정보보호의기본목표와추진방향 2. 개인정보보호와관련된제도및법령의개선 3. 개인정보침해방지를위한대책 4. 개인정보보호자율규제의활성화 5. 개인정보보호교육 홍보의활성화 6. 개인정보보호를위한전문인력의양성 7. 그밖에개인정보보호를위하여필요한사항
2. 개인정보기본계획및시행계획수립 (2) 주요내용개인정보보호시행계획의수립 시행 ( 법제10조 ) 중앙행정기관장은기본계획에따라매년개인정보보호시행계획수립 - 행안부장관은시행계획작성지침을마련하여중앙행정기관에제공중앙행정기관의장은보호위원회의심의 의결을거쳐시행계획시행 - 시행계획추진실적을매년 1월말까지행안부에제출 제정후달라지는점중앙행정기관의장은행안부가제공한지침에따라매년소관분야개인정보보호시행계획수립또한, 매년시행계획추진실적을점검하여행안부에제출
3. 개인정보보호지침의제정및권고 (1) 주요내용 표준개인정보보호지침 ( 법제 12 조제 1 항 ) ( 행안부장관 ) 개인정보보호처리에관한기준, 개인정보침해유형및예방조치등에관한표준지침을정해개인정보처리자에게권고분야별개인정보보호지침 ( 법제 12 조제 2 항 ) ( 중앙행정기관의장 ) 표준지침에따라소관분야의개인정보처리와관련한개인정보보호지침을정해개인정보처리자에게권고 제정후달라지는점 중앙행정기관의장은별도의법제정없이이법에따라소관분야의개인정보보호지침제정 시행가능 기술변화 환경변화등에탄력적대응
3. 개인정보보호지침의제정및권고 (2) 소관분야별지침 중앙행정기관행안부방통위복지부노동부 소관분야별지침 영상정보처리기기설치 운영지침위탁업무처리를위한개인정보보호지침고유식별정보처리지침쇼핑몰사업자의개인정보보호지침등 방송 통신사업자의개인정보보호지침 LBS 사업자의개인정보보호지침등 병원 약국등의료기관의개인정보보호지침요양 복지기관의개인정보보호지침등 근로관계에서의개인정보보호지침등
3. 개인정보수집 이용기준 (1) 주요내용 법령등에서규정한공공기관의소관업무수행등을위해필요한경우개인정보수집 이용가능 동의없이개인정보를수집할수있는경우를법령등에서규정한소관업무수행으로한정 - 그밖에정보주체의동의없이개인정보수집 이용이가능한경우를구체화 제정후달라지는점 기존에는공공기관이 소관업무수행 을위해필요한경우정보주체의동의없이도특별한제한없이개인정보수집 이용이가능 법제정으로 법령등에서정하는소관업무수행 을위해불가피한경우에만동의없이개인정보수집 이용가능 - 법령등에서구체적으로규정하고있는소관업무수행과관련된경우가아니면개인정보수집 이용불가능 - 법령에는법률뿐만아니라시행령, 시행규칙포함
3. 개인정보수집 이용기준 (2) [ 참고 ] 개인정보수집 이용기준 ( 법제 15 조 1 항 ) 1. 정보주체의동의를받은경우 2. 법률에특별한규정, 법령상의무준수를위해불가피한경우 3. 법률등에서정한공공기관의소관업무수행을위해불가피한경우 4. 정보주체와의계약체결 이행을위해불가피한경우 5. 정보주체등의생명, 신체, 재산의이익보호 ( 사전동의받기곤란한경우 ) 6. 개인정보처리자의정당한이익달성을위해필요한경우 - 명백하게정보주체의권리보다우선 ( 정보주체의과도한프라이버시침해는허용불가 ) 벌칙규정 수집이용기준위반 : 5 천만원이하과태료
4. 개인정보수집 이용절차 방법 (1) 주요내용 공공기관이정보주체의동의를받아개인정보를수집 이용하고자하는경우미리정보주체에게개인정보의수집 이용목적등을미리고지 < 고지항목 ( 제 15 조제 2 항 )> 1. 개인정보의수집ㆍ이용목적 2. 수집하려는개인정보의항목 3. 개인정보의보유및이용기간 4. 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 처벌규정 위반시 3 천만원이하벌금 수집목적에필요한최소한의개인정보만을수집하여야하며, 최소한의개인정보라는입증책임을공공기관이부담 - 정보주체가최소한의정보외의개인정보수집에동의하지아니한다는이유로정보주체에게재화또는서비스제공거부금지처벌규정위반시 3천만원이하벌금
4. 개인정보수집 이용절차 방법 (2) 제정후달라지는점현재는개인정보수집시수집의법적근거등을문서또는인터넷홈페이지를통해정보주체가그내용을쉽게확인할수있도록안내하면충분 - 법제정으로개인에대한개별적인고지시스템도입필요또한, 현재는최소수집원칙이선언적의무에불과하나제정법에서는입증책임을공공기관에부과하고위반시처벌
5. 개인정보제공 공유기준 주요내용 법령등에서정하는공공기관의소관업무수행등을위해필요한경우개인정보제 3 자제공또는공유가능 개인정보수집 이용의경우와달리계약체결및이행, 개인정보처리자의정당한이익달성목적으로는제 3 자제공 공유불가 제정후달라지는점 현재는당해개인정보파일의보유외의목적으로제공불가 - 다른법률에따라보유기관내부또는보유기관외의자에대하여제공하는경우제외법제정으로공공기관도법령등에서정한소관업무를통해, 국민의생명 신체 재산보호등을위해제3자제공및공유가능
6. 개인정보제공 공유절차 방법 주요내용 정보주체의동의를받아개인정보를제 3 자에게제공또는공유하고자하는경우에는미리정보주체에게제공받는자등을미리고지 < 고지항목 ( 제 17 조제 2 항 )> 1. 개인정보를제공받는자 2. 개인정보를제공받는자의개인정보이용목적 3. 제공하는개인정보의항목 4. 개인정보를제공받는자의개인정보보유및이용기간 개인정보를국외의제 3 자에게제공할때에도제 17 조제 2 항의사항을정보주체에게알리고동의획득필요 - 이법을위반하는내용으로개인정보국외이전에관한계약체결금지 제정후달라지는점 현재는개인정보제 3 자제공이나국외제공 이전에대하여특별한제한 이없으나향후제 3 자제공을위한고지 동의절차마련필요
7. 개인정보목적외이용 제공기준 주요내용 개인정보는법령에서정하고있거나사전에이용 제공의목적을고지하고동의받은범위내에서만이용또는제공가능 < 목적외이용및제 3 자제공이가능한경우 > 1. 정보주체의별도동의 2. 통계작성 학술연구등의목적을위하여필요한경우, 개인정보보호위원회의심의 의결을거친경우 3. 범죄의수사, 공소제기및유지, 법원의재판업무수행을위해필요한경우등 - 정보주체또는제 3 자의이익을침해할우려가있는때에는목적외의용도로이용하거나제 3 자에게제공불가 제정후달라지는점 현재는정보주체의동의만있으면목적외이용또는제공이가능 - 법제정으로목적외이용또는제공을위해서는별도의동의를받아야함
[ 참고 ] 개인정보의목적외이용 제공기준 ( 법제 18 조제 2 항 ) 1. 정보주체의동의또는정보주체에게제공하는경우 2. 다른법률에특별한규정이있는경우 3. 명백히정보주체또는제3자의급박한생명, 신체, 재산이익을위해필요한경우 ( 의사표시불능상태, 주소불명등사전동의를받을수없는경우 ) 4. 통계작성, 학술연구등을위한목적으로개인을알아볼수없는형태로제공 5. 다른법률상의소관업무수행불가한경우 ( 보호위원회의심의 의결 ) 6. 조약, 국제협정이행을위해외국정부 국제기구제공에필요한경우 7. 범죄의수사, 공소의제기 유지를위해필요한경우 8. 법원의재판업무수행을위해필요한경우 9. 형 ( 刑 ) 및감호, 보호처분집행 제 5 호 ~ 제 9 호는공공기관만해당 처벌규정 위반시 5 년이하징역또는 5 천만원이하벌금
8. 개인정보목적외이용 제공절차 방법 주요내용 정보주체의별도동의를받아개인정보를목적외로이용또는제공하고자하는경우에는미리정보주체에게제공받는자등을미리고지 < 고지항목 ( 제 18 조제 3 항 )> 1. 개인정보를제공받는자 2. 개인정보의이용목적 ( 제공시에는제공받는자의이용목적을말한다 ) 3. 이용또는제공하는개인정보의항목 4. 개인정보의보유및이용기간 ( 제공시에는제공받는자의보유및이용기간 ) 정보주체의별도동의없이목적외로이용하거나제 3 자에게제공하는경우그법적근거, 목적, 범위등에관한사항을관보 홈페이지등에게재 제정후달라지는점 정보주체의별도동의를받아개인정보를목적외로이용하거나제공 하는절차가새로마련되었으므로별도동의시스템마련필요
9. 정보주체이외로부터개인정보수집 이용기준 주요내용 정보주체의이외로부터수집시수집출처등고지의무화 ( 법제 20 조 ) 정보주체의요구가있으면수집출처, 처리목적, 개인정보처리정지요구권이있다는사실을고지할의무발생 < 고지의무예외사항 > 1. 국가안전, 외교상비밀, 범죄수사등목적의일부개인정보파일의경우 2. 고지로인해타인의생명 신체를해할우려가있거나타인의재산등이익에대한부당한침해우려가있는경우 제정후달리지는점 현재정보주체이외로부터수집한개인정보에대하여공공기관에특별한의무미부과, 향후공공기관상호간에주고받은개인정보나공개된자료로부터수집된개인정보에대해서는기록관리 ( 수집출처, 처리목적등 ) 를철저히하여민원대비필요 처벌규정 위반시 3 천만원이하과태료
10. 개인정보파기의방법 절차 주요내용 공공기관이개인정보의처리목적달성등으로해당개인정보가불필요하게되었을때는지체없이파기 개인정보를파기하지않고보존해야하는경우해당개인정보또는개인정보파일을다른개인정보와분리저장 < 다른법령에따라예외적으로보존이필요한사례 > 통신비밀보호법제 15 조의 2 - 검사 사법경찰관 수사기관의장의통신제한조치및통신사실확인자료제공요청시전기통신사업자의협조의무 제정후달라지는점 법제정에따라, 파일의보유목적이계속중이라도해당개인정보의처리목적이달성되면즉시삭제필요
11. 개인정보처리에대한동의방법 절차구체화 (1) 주요내용 정보주체의동의를받을때각각의동의사항을구분하여정보주체가명확히인지할수있도록알리고동의 처벌규정 위반시 3 천만원이하과태료 동의없이처리할수있는개인정보와동의가필요한개인정보구분 처벌규정 위반시 1 천만원이하과태료 홍보 판매권유목적의개인정보처리에대한동의를받을때에는정보주체에게그사실을명확히알리고동의 만 14 세미만아동의개인정보처리시는법정대리인이동의 ( 법제 22 조제 5 항 ) 처벌규정 위반시 5 천만원이하과태료
11. 개인정보처리에대한동의방법 절차구체화 (2) 제정후달리지는점 서비스제공등을위해필수적인최소한의개인정보외에는개인정보처리의동의여부, 동의범위등을정보주체가자유스럽게선택할수있도록조치 - 개인정보처리거부를이유로재화또는서비스제공거절불가 현재는 14 세미만아동의개인정보도아동본인의동의가있으면수집 처리가능하나, 제정법에따르면반드시법정대리인의동의를받아야가능
12. 업무위탁에따른개인정보처리기준 (1) 주요내용 개인정보처리업무위탁시문서에의하도록의무화 [ 문서작성의무 ] 개인정보처리업무를위탁시문서에의해야함 [ 고지의무 ] 위탁업무내용및수탁자를언제든지확인가능하도록공개 처벌규정 위반시 3 천만원이하과태료 [ 관리감독의무 ] 그밖에공공기관은개인정보분실 도난 훼손등을방지하기위해수탁자에대한교육, 처리상태점검등수탁자에대한관리감독책임 [ 재제공금지의무 ] 수탁자는위탁받은업무범위를초과한개인정보이용및제 3 자제공불가 처벌규정 위탁범위초과하여이용제공시 5 년이하의징역또는 5 천만원이하의벌금 [ 마케팅목적위탁의특례 ] 홍보 판매권유업무를위한개인정보처리위탁시에는위탁업무의내용과수탁자를정보주체에게고지
12. 업무위탁에따른개인정보처리기준 (2) 제정후달리지는점 공공기관은현재다른공공기관또는관련자문기관에대해서만개인정보처리에관한사무위탁가능 신법은수탁자자격을특별히제한하고있지는않으나문서방식요구 [ 참고 ] 위탁시문서에포함하여야하는사항 [ 법제 26 조 ] 위탁업무수행목적외개인정보의처리금지에관한사항 개인정보의기술적 관리적보호조치에관한사항 그밖에개인정보의안전한관리를위해대통령령으로정한사항 - 위탁하는사무의목적및범위 - 재위탁제한에관한사항 - 개인정보에대한접근제한등안전성확보조치에관한사항 - 개인정보의관리현황점검및소속직원의교육에관한사항 - 수탁자의의무위반시손해배상책임등에관한사항
13. 민감정보의처리기준 주요내용 민감정보는원칙적으로 처리 금지, 예외적으로만처리가능 < 민감정보의정의 >( 법제 23 조 ) 사상 신념, 노동조합 정당의가입 탈퇴, 건강, 성생활등에관한정보및그밖에정보주체의사생활을현저히침해할우려가있는개인정보 < 예외적허용 > 1. 다른개인정보의처리에대한동의와별도로정보주체의동의를받은경우 2. 법령에서민감정보의처리를요구하거나허용하는경우 처벌규정 위반시 5 년이하징역또는 5 천만원이하벌금 제정후달리지는점현재도민감정보의 수집 은원칙적으로금지되나, 정보주체의동의가있거나다른법률에수집대상개인정보가명시되어있으면가능그러나제정법은일반정보와구분해별도동의를요구하고있고, 수집이외에이용 제공등의처리도제한 금지
14. 고유식별정보의처리기준 주요내용 주민등록번호등고유식별정보는원칙적처리금지 ( 법제 24 조 ) < 고유식별정보의정의 > 법령에따라개인을고유하게구별하기위해부여된식별정보 ( 주민등록번호, 운전면허번호, 여권번호, 외국인등록번호등 ) < 예외적허용 > 1. 다른개인정보의처리에대한동의와별도로정보주체의동의를받은경우 2. 법령에서민감정보의처리를요구하거나허용하는경우 처벌규정 제정후달리지는점 위반시 5 년이하징역또는 5 천만원이하벌금 현재는공공기관이 소관업무수행 을위해필요한경우, 정보주체의동의없이도특별한제한없이고유식별정보처리가능 - 법제정으로 법령에서구체적으로처리를요구하거나허용 하는경우에만처리가능 - 정보주체의동의받아민감정보처리시다른정보와구분해별도동의필요
15. 고유식별정보의처리방법 절차 주요내용암호화등대통령령이정하는바에따라안전성확보조치의무화 ( 법제24조제3항 ) 고유식별정보의분실 도난 유출 변조 훼손등방지인터넷본인확인을위한대체수단강구의무화 ( 제24조제2항 ) 주민번호를사용하지않고회원으로가입할수있는방법제공 ( 전자서명, I-PIN, 휴대전화인증등 ) 제정후달라지는점현재는주민번호를인터넷본인확인수단또는 DB검색 KEY값으로사용하는데제한이없음법제정으로주민번호를이용한본인확인또는 DB검색이제한 금지됨에따라대체수단도입필수
[ 참고 ] 안전성확보를위한관리적 기술적조치 ( 대통령령 ) 1. 개인정보의안전한처리를위한내부관리계획의수립및시행 2. 개인정보를직접처리하는소속직원 수탁자등에대한교육계획수립및실시 3. 개인정보가기록된서면, 입출력자료, 이동식저장매체등기록물의관리및보호조치 4. 내부관리계획에따른정기적인자체감사의실시 5. 개인정보에대한접근권한의제한및관리 6. 개인정보에대한접근권한을확보하기위한식별및인증조치 7. 개인정보에대한권한없는접근을차단하기위한침입차단 방지시스템설치등조치 8. 민감정보, 고유식별정보등중요개인정보의암호화등개인정보의유출방지를위한조치 9. 접속기록의보관및위조 변조방지를위한조치 10. 운영체제등소프트웨어의보완취약점수정 보완을위한프로그램의설치및주기적인갱신 점검
16. 영상정보처리기기설치 운영기준 주요내용 특별한공익적필요에한해공개장소영상정보처리기기설치 운영허용 ( 법제 25 조제 1 항 ) < 영상정보처리기기설치 운영허용기준 > 1. 법령에서구체적으로허용하고있는경우 4. 교통단속을위하여필요한경우 2. 범죄의예방및수사를위하여필요한경우 5. 교통정보수집 분석 제공을위하여필요한경우 3. 시설안전및화재예방을위하여필요한경우 처벌규정 위반시 3 천만원이하과태료 목욕탕 화장실 탈의실등개인사생활침해우려가현저한장소에영상정보처리기기설치 운영금지 ( 법제 25 조제 2 항 ) < 예외적허용 > 교도소, 정신보건시설등법령에의하여구금하거나보호하는시설로대통령령으로정하는시설 처벌규정 위반시 5 천만원이하과태료 제정후달라지는점 현재는 CCTV 설치목적이범죄예방 교통단속등 공익 을위해필요한경우로일반화 법제정으로설치목적이범죄예방 수사, 시설안전, 화재예방, 교통단속등으로제한
17. 영상정보처리기기설치 운영및방법 절차 (1) 주요내용 관계전문가등의견수렴 공청회, 설명회등대통령령으로정하는절차에따라미리관계전문가및이해관계인의견수렴 정보주체가쉽게인식할수있도록안내판설치등필요한조치 < 안내판설치등조치의무면제대상 ( 대통령령 )> 1. 군사시설보호법에따른군사시설 2. 통합방위법에따른국가중요시설 3. 보안업무규정에따른보안목표시설 처벌규정 위반시 1 천만원이하과태료 영상정보분실 도난 유출 변조 훼손등을방지하기위한안전성확보조치 처벌규정 처벌규정 안전성확보조치의무위반시 3 천만원이하과태료 안전성확보미조치로개인정보분실 도난 유출 변조또는훼손시 2 년이하징역또는 1 천만원이하벌금
17. 영상정보처리기기설치 운영방법 절차 (2) 주요내용 영상정보처리기기설치 운영사무위탁시대통령령이정하는절차 요건준수 < 영상정보처리기기설치 운영사무위탁절차 요건 > 1. 수탁자의자격 - 전문장비 기술및인력을갖춘공공기관또는전문기관 2. 위탁계약서등에위탁조건명시 - 위탁사무의범위, 개인정보접근제한등개인정보보호에필요한세부사항 3. 수탁기관의명칭, 담당자및연락처등안내판게재 영상정보처리기기운영 관리지침의마련및시행 ( 개인정보처리방침수립 공개의무는면제 ) 금지행위 설치목적과다른목적으로영상정보처리기기임의조작및다른장소비추는행위, 녹음기능사용등금지 처벌규정 위반시 3 년이하징역또는 3 천만원이하벌금
18. 개인정보의안전성확보조치 주요내용 개인정보처리자는개인정보가분실 도난 유출 변조또는훼손되지아니하도록기술적 관리적및물리적조치강구 ( 법제 29 조 ) - 개인정보의안전한처리를위한내부관리계획의 수립및시행 - 개인정보를직접처리하는소속직원 수탁자등 에대한교육계획수립및실시 - 개인정보가기록된서면, 입 출력자료, 이동식저 장매체등기록물의관리및보호조치 - 내부관리계획에따른정기적인자체감사의실시 - 보호 ( 보안 ) 구역지정 관리적조치의예 물리적조치의예 - 출입통제 잠금장치. 감시장치설치등 제정후달라지는점 기술적조치의예 - 개인정보시스템에대한접근권한의제한및관리 - 개인정보시스템에대한접근권한을확인하기위한 식별및인증조치 - 권한없는접근을차단하기위한침입차단 방지시스템 의설치등조치 - 민감정보, 고유식별정보등중요개인정보의암호화 등개인정보유출방지를위한조치 - 접속기록의보관및위조 변조방지를위한조치 - 운영체제등소프트웨어의보안취약점수정 보완을 위한프로그램의설치및주기적인갱신 - 보안프로그램의설치및주기적인갱신및점검 안전성확보에필요한조치를기술적, 관리적, 물리적조치로구체화가능
19. 개인정보처리방침 의수립 시행 (1) 주요내용 공공기관은개인정보처리방침을정해정보주체가쉽게확인할수있는방법으로공개 ( 법제 30 조 ) < 개인정보처리방침에포함되어야할사항 > 1. 개인정보의처리목적및보유기간 2. 개인정보의제 3 자제공에관한사항 3. 개인정보의위탁에관한사항 4. 정보주체의권리 의무및그행사방법에관한사항 5. 그밖에개인정보의처리에관하여대통령령으로정한사항 3,4 는해당되는경우에만정함 < 개인정보처리방침의공개방법 > 1. 관보에게재 2. 인터넷홈페이지첫화면또는첫화면과연결화면을통해공개 3. 동일한제호로연 2 회이상계속적으로발행되는간행물 소식지 홍보지 청구서등에지속적게재 4. 제화, 용역제공을위한이용계약서등에게재 < 개인정보처리방침작성예외 > 영상정보처리기기운영 관리지침을정한경우 ' 개인정보처리방침 작성지침의제정 권고 행안부장관은공공기관에개인정보처리방침작성지침을정해권고가능
19. 개인정보처리방침 의수립 시행 (2) 제정후달라지는점 행안부에등록해야할파일의범위가확대 조정됨에따라개인정보처리방침을수립 공개해야할파일범위도확대 체신관서의금융업무취급관련개인정보파일, 자료 물품 금전등의송부만을목적으로하는개인정보파일등도처리방침수립 공개대상 개인정보처리방침내용과계약내용이다른경우정보주체에게유리한것을적용
20. 개인정보파일의등록및공개 (1) 주요내용 공공기관이개인정보파일보유 운영시처리의투명성및관리의적정성을위하여개인정보파일등록제실시 [ 법제 32 조 ] 공공기관은행안부장관에게개인정보파일의명칭 운영근거 처리방법 보유기간등을등록행안부장관은개인정보파일등록시스템구축 운영, 개인정보파일등록현황공개, 등록사항과내용에대한개선권고등의권한보유 제정후달라지는점 개인정보파일보유 변경협의제에서등록제로전환현재는공공기관이행안부와협의만하면되나, 제정법에따라행안부는공공기관에게개선권고가가능하고지침도제정하여권고가능 등록대상개인정보파일의범위가현재보다다소확대 개인정보파일등록예외관련대통령령에정하도록한위임규정삭제 - 개인정보파일의등록대상범위가다소확대되었다고볼수있음
[ 참고 ] 개인정보파일등록사항및등록면제대상 개인정보파일등록사항 개인정보파일의명칭, 운영근거및목적 개인정보파일에기록되는개인정보의항목 개인정보의처리방법및보유기간 개인정보를통상적또는반복적으로제공하는경우에는그제공받는자 그밖에대통령령으로정하는사항 개인정보파일등록면제대상 국가안전, 외교상비밀, 그밖에국가의중대한이익에관한사항을기록한개인정보파일 범죄의수사, 공소의제기및유지, 형및감호의집행, 교정처분, 보호처분, 보안관찰처분과출입국관리에관한사항을기록한개인정보파일 조세범처벌법에따른범칙행위조사및관세법에따른범칙행위조사에관한사항을기록한개인정보파일 공공기관의내부적업무처리만을위하여사용되는개인정보파일 다른법령에따라비밀로분류된개인정보파일
21. 개인정보유출사실의통지및신고 주요내용 개인정보유출시지체없이정보주체에게유출사실을고지 ( 법제 34 조제 1 항 ) < 정보주체에대한고지사항 > 유출개인정보항목, 시점및경위 유출로인한피해최소화를위해정보주체가할수있는방법 개인정보처리자의대응조치및피해구제절차 피해발생의경우, 신고접수담당부서및연락처등 대규모유출시에는행정안전부또는전문기관에지체없이신고 ( 법제 34 조제 3 항 ) 행안부또는전문기관은피해확산방지및피해복구를위한기술지원 처벌규정 제정후달라지는점 위반시 3 천만원이하과태료 현재는개인정보유출사고시공공기관의통지및신고의무불비 - 법제정으로개인정보유출시이를정보주체에게통지하는의무신설
22. 개인정보영향평가의실시및제출 주요내용 대규모개인정보파일운영시사전평가의무화 ( 법제 33 조 ) < 영향평가실시대상개인정보파일 ( 시행령 )> 1.5 만명이상개인정보파일구축시, 민감정보또는고유식별정보처리가예상되는경우 2.50 만명이상개인정보파일구축 운영시, 다른파일과연계또는연동하려는경우 3.100 만명이상개인정보파일구축. 운영시, 4. 개인정보파일운영체계변경시 영향평가결과를행정안전부에제출개인정보파일등록시평가결과제출평가기관은행안부가별도지정 제정후달라지는점 < 개인정보영향평가제도란? > 개인정보의수집 활용이수반되는신규사업또는변경사업추진시, 개인정보의오 남용으로인한프라이버시침해여부를조사 예측 검토하여개선하는제도 현재는일부공공기관에서만자율적으로시행하고있으나, 법제정후영향평가실시의무화 행안부장관은보호위원회심의 의결을거쳐평가결과에대한의견제시가능
23. 개인정보열람요구권의행사및제한 주요내용 정보주체는해당공공기관또는행안부장관에게자신의개인정보처리에대한열람요구가능열람을허용하는경우해당업무수행에중대한지장을초래할우려가있는경우에는정보주체에게그사유를알리고열람제한 거절가능 정보주체의개인정보처리에대한열람요구권 ( 법제 35 조 ) 제정후달라지는점 현재는개인정보파일에기재된범위안에서만열람요구가가능하지만 모든개인정보로확대 해당공공기관뿐만아니라행안부에대해서도열람청구권행사가능열람청구권을제한 거절할수있는사유축소 - 부동산투기방지, 불공정증권거래방지등의사유는폐지 - 보상금 급부금등이산정 평가, 감사 조사업무는현재진행중인경우에만제한 거절가능
[ 참고 ] 열람제한 거절사유 1. 법률에따라열람이금지되거나제한되는경우 2. 다른사람의생명 신체를해할우려가있거나다른사람의재산과그밖의이익을부당하게침해할우려가있는경우 3. 공공기관이아래의업무를수행할때중대한지장을초래하는경우가. 조세의부과징수또는환급에관한업무나. 초 중등교육법 및 고등교육법 에따른각급학교, 평생교육법 에따른평생교육시설, 그밖의다른법률에따라설치된고등교육기관에서의성적평가또는입학자선발에관한업무다. 학력 기능및채용에관한시험, 자격심사에관한업무라. 보상금 급부금산정등에대하여진행중인평가또는판단에관한업무마. 다른법률에따라진행중인감사및조사에관한업무
24. 개인정보처리정지요구권 주요내용 정보주제는공공기관에개인정보처리정지요구 ( 법제 37 조 ) 정보주체는공공기관에게행안부에등록된개인정보파일중자신의개인정보의처리정지요구가능다만, 개인정보처리정지를허용한경우, 해당업무수행에중대한지장을초래할위험이있는경우등에는정보주체에게그사유를알리고거절가능 < 개인정보처리정지요구거절사유 > 1. 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 2. 다른사람의생명 신체를해할우려가있거나다른사람의재산과그밖의이익을부당하게침해할우려가있는경우 3. 공공기관이개인정보를처리하지않으면법률이정한소관업무를수행할수없는경우 4. 개인정보를처리하지아니하면정보주체와약정한서비스등계약이행이곤란한경우 제정후달라지는점 현재는정보주체가공공기관에대하여자신의개인정보처리에관한열람, 정정및삭제만요구가능법제정으로정보주체는개인정보처리정지요구도가능
25. 개인정보피해의구제 주요내용 개인정보에관한분쟁의조정을위하여개인정보분쟁조정위원회를설치 운영 위원장 1 명을포함한 20 명이내위원으로구성 제정후달라지는점 현재개인정보분쟁조정위원회는민간분야에서발생한개인정보관련분쟁조정업무만수행법제정으로공공분야까지개인정보분쟁조정제도의효력이확대집단분쟁조정제도의도입으로집단민원에대한철저한대비필요조정결과수락의법률효력이화해계약에서재판상화해로강화
26. 개인정보피해에대한단체소송 주요내용 개인정보침해행위금지중지를구하는단체소송제기가능 ( 법제 51 조 ) 일정요건을갖춘소비자단체와비영리단체는다수정보주체의권리보호를위해단체소송제기가능 공공기관이조정위원회의조정을거부하거나결과를수락하지않는경우 제정후달라지는점 현재도개인정보피해는소비자기본법에의거 소비자단체소송 이 가능하나소비자와사업자간의분쟁에만적용 법제정이후공공기관이개인정보단체소송의집중타깃이될가능성농후
27. 공공기관종사자의개인정보보호 주요내용 공공기관종사자의개인정보도개인정보보호법의보호대상에포함 ( 법제 2 조제 5 호 ) 직원채용시이력서 자기소개서등개인정보는근로계약의체결을위해필요한최소한의범위내에서수집 이용, 목적달성시개인정보파기근로자관리 감독을위한직원개인정보수집 이용 ( 추적 모니터링등 ) 은근로자의프라이버시를과도하게침해하지않는범위안에서행사가능인사기록카드 근무평가기록등에대한열람권자제한, 기술적 관리적보호조치등강구필요 제정후달라지는점 현재는민간부문이나공공부문모두근로자개인정보보호에관한 법적보호장치미비 법제정으로고용관계를목적으로한개인정보수집 처리도규율대상
참고 1. 법률의일부적용제외 (1) 주요내용 통계 국가안전보장 공공안전및안녕을목적으로수집 처리하는개인정보또는언론 ( 취재 보도 ), 종교단체 ( 선교 ), 정당 ( 입후보자추천 ) 등의고유목적달성을위해수집 이용하는개인정보 적용제외범위규정 제 3 장 ( 개인정보의처리 ) 제 4 장 ( 개인정보의안전한관리 ) 제 5 장 ( 정보주체의권리보장 ) 제 6 장 ( 개인정보분쟁조정위원회 ) 제 7 장 ( 개인정보단체소송 ) 공개된장소에설치한영상정보처리기기에의하여처리되는개인정보 적용제외범위규정 제 15 조 ( 개인정보의수집 이용 ) 제 22 조 ( 동의를받는방법 ) 제 27 조제 1 항, 제 2 항 ( 영업양도등에따른개인정보의이전제한 ) 제 34 조 ( 개인정보유출통지등 ) 제 37 조 ( 개인정보의처리정지등 )
참고 1. 법률의일부적용제외 (2) 주요내용 동창회 동호회등친목단체운영목적으로처리되는개인정보 적용제외범위규정 제 15 조 ( 개인정보의수집 이용 ) 제 30 조 ( 개인정보처리방침의수립및공개 ) 제 31 조 ( 개인정보보호책임자의지정 ) 적용제외개인정보의처리기준 목적달성을위하여필요한범위내에서최소한의기간에최소한의개인정보만처리가능 기술적 관리적 물리적보호조치, 고충처리조치, 그밖에개인정보의적절한처리조치의무부담
참고 2. 법시행에따른경과조치 주요내용 개인정보분쟁조정위원회에관한경과조치 ( 부칙제 3 조 ) 이법시행당시종전의분쟁조정위원회행위나분쟁조정위원회에대한행위는이법에따른위원회의행위또는위원회에대한행위로간주 현재처리중인개인정보에관한경과조치 ( 부칙제 4 조 ) 이법시행전에 다른법령 에따라적법하게처리된개인정보는이법에따라처리된것으로간주 벌칙적용에관한경과조치 ( 부칙제 5 조 ) 이법시행전 공공기관의개인정보에관한법률 과 정보통신망법 위반행위에대한벌칙은해당법률의벌칙적용