2011. 9. 29 ( 목 ) 이규정 ( 한국정보화진흥원 )
2
1. 개인정보의이용과침해는정보사회의빛과그림자 개인정보의가치 개인정보의비즈니스가치증대 다양한개인정보수집처의존재 디지털개인정보의무한복제와빠른전파성 전사회적인정보화진전 및 IT 에대한의존도증대 개인정보 유출위험 증대 4
2. 개인정보침해의파급효과 개인 기업 국가 개인정보의안전한이용은개인과사회발전의필수요소 5
3. 개인정보침해의모습 불법적수집 이용 내부자고의 민감정보의무단수집 이용 업무수탁자 수기문서정보부실관리 외부공격 ( 해커 ) 기술적무단수집 6
4. 개인정보의침해규모 개인정보침해규모 개인정보침해민원의지속적인증가 < 개인정보민원증가추이 > 54,832건 개인정보침해집단소송 유출피해자 1인당 50 500만원청구 다만, 최근최종판결은 0 20만원수준 대규모유출시기관 기업등에막대한재정적피해가능 39,811 건 기업명 발생연도 정보유출건수청구금액 (1 인당 ) 엔씨소프트 2005 40 50 만명 500 만원 25,333 건 25,965 건 35,167 건 국민은행 2006 3 만여명 300 만원 하나로텔레콤 2008 600 만명 100 만원 18,206 건 옥션 2008 1,080 만명 300 만원 GS 칼텍스 2008 1,125 만명 100 만원 아이폰위치추적 2011 300 만여명 100 만원 2005 년 2006 년 2007 년 2008 년 2009 년 2010 년 네이트 2011 3,500 만여명 50 만원 7
5. 공공기관의개인정보유출사례 개인정보 오 남용 내부자관리부실로인한유출 개인정보매매 개인정보과다보유 도주차량을찾으려는동료의요청을받고모지자체공무원이차량등록시스템관리자에게부탁하여개인정보 150 건유출 ( 09.10 월 ) 경기도모교육지원청장학사가지방선거관련하여, 교직원 3 천명정보유출 ( 10.5 월 ) 모공단직원이고객정보 10 만건이기록된서류미파기및차량에방치, 업무와연관없이개인정보 86 여만건무단조회 ( 10.7 월 ) 모주민센터공무원이심부름센터에 520 여건개인정보유출, 등초본은건당 5 만원, 가족관계등록부는건당 10 만원에판매 ( 11.7 월 ) 국가기관의개인정보보유및유출실태조사 ( 김을동의원 ) 국세청 8 억천명 (21%), 경찰청 1 억 2 천건 (27%) 의개인정보를규정된기핚을넘겨보유 ( 11.2 월 ) 8
1. 개인정보보호법제정의추진경과 공공기관의개인정보보호에관한법률제정 ('94.1.7) 신용정보의이용및보호에관한법률제정 ['95.1.5) 정보통신망이용촉진등에관한법률전부개정 ('99.2.8) 17 대국회에서 3 개 ' 개인정보보호법 ( 안 )' 의원발의 - 노회찬의원 ( 민노당, 04.11), 이은영의원 ( 우리당, 05.7), 이혜훈의원 ( 한나라당, 05.12) - 17대국회임기만료로 3개발의법안자동폐기 18 대국회에서개인정보보호법의원안발의 - 이혜훈의원안 (08.8.8), 변재일의원안 (08.10.27) 개인정보보호법정부안국회제출 ('08.11.28) 국회행안위상정 ('09.2.20), 공청회개최, 법안심사소위 ( 총 5 회 ) 본회의의결 ( 11.3.11), 공포 ( 11.3.29), 시행예정 ( 11.9.30) - 개인정보보호법시행령공포 (11.9.29) 10
2. 개인정보보호법제정배경 1. 대규모개인정보침해사고빈발로인한국민불안감해소 최근의개인정보침해는대형화 지능화 다양화추세 - '07 년 ~ '10 년간약 1 억건의개인정보침해사고발생 2. 개인정보보호일반법미비로법적용사각지대제거 공공기관 ( 공공기관개인정보보호법 ), 정보통신사업자 ( 정보통신망법 ) 등 개별법체계로헌법기관, 오프라인사업자, 비영리기관등은관련법부재 3. 세계각국과의 FTA 대비및 IT 강국으로서의위상확보 외국과의 FTA 체결로상호간개인정보의교류증대, 프라이버시 라운드 (Privacy Round) 대비국제수준의개인정보보호체계구축필요 11
3. 개인정보보호법의구성 제 1 장총칙 - 목적, 정의, 개인정보보호원칙, 다른법률과의관계등 제 2 장개인정보보호정책의수립등 - 개인정보보호위원회, 기본계획 시행계획수립, 개인정보보호지침, 자율규제촉진등 본문 9 장 75 개조, 부칙 제 3 장개인정보의처리 - 수집 이용 제공등처리기준, 민감정보 고유식별정보제한, 영상정보처리기기제한등 제 4 장개인정보의안전한관리 - 안전조치의무, 개인정보파일등록 공개, 개인정보영향평가, 유출통지제도등 제 5 장정보주체의권리보장 - 열람요구권, 정정 삭제요구권, 처리정지요구권, 권리행사방법및절차, 손해배상책임등 제 6 장개인정보분쟁조정위원회 - 분쟁조정위원회설치 구성, 분쟁조정의신청방법 절차, 효력, 집단분쟁조정제도등 제 7 장개인정보단체소송 단체소송대상, 소송허가요건, 확정판결의효력등 제 8 장보칙 - 적용제외, 금지행위, 침해사실신고, 시정조치등 제 9 장벌칙 벌칙, 과태료및양벌규정등 부칙 - 시행일, 경과조치, 다른법률의개정등 12
4. 개인정보보호원칙확립 OECD 가이드라인 1. 수집제한의원칙 2. 정보정확성의원칙 3. 목적명확화원칙 4. 이용제한의원칙 5. 안전보호의원칙 6. 공개의원칙 7. 개인참가의원칙 8. 책임의원칙 개인정보보호법 목적에필요한최소한범위안에서적법하고정당하게수집처리목적범위안에서정확성 안전성 최신성보장처리목적의명확화필요목적범위안에서적법하게처리, 목적외활용금지정보주체의권리침해위험성등을고려, 안전성확보개인정보처리사항공개열람청구권등정보주체의권리보장개인정보처리자의책임준수 실천, 신뢰성확보노력 13
5. 개인정보보호관련법체계변화 제정전 제정후 공공기관의개인정보보호에관한법률 공공행정 공공기관의정보공개에관한법률 정보통신 전자정부법, 주민등록법 정보통신망이용촉진및정보보호등에관한법률 위치정보보호법 통신비밀보호법 전기통신사업법 등 개인정보보호법 정보통신 교육 금융 / 신용 금융실명거래및비밀보장등에관한법률 신용정보의이용및보호에관한법률 금융 / 신용 의료 교육 의료 교육기본법 초 중등교육법 교육정보시스템의운영등에관한규칙 등 의료법, 건강검진기본법 생명윤리및안전에관한법률 장기등이식에관한법률 응급의료에관한법률 정보통신망법, 위치정보법 교육기본법, 초 중등교육법 금융실명거래및비밀보장에관한법률 신용정보의이용및보호에관한법률 의료정보보호관련법 등 14
6. 개인정보보호의범위확대 법적규제의사각지대를해소하여국가사회전반의개인정보보호체계확립 공공 민간및온 오프라인을통합규율 공공기관 준용사업자 정보통신서비스제공자 정보통신망법 적용 (49 만사업자 ) 공공기관개인정보보호법 적용 (2 만 5 천기관 ) 신용정보제공 이용자등 현행적용대상 (52 만 ) 추가적용대상 (310 만 ) 비영리단체 정보통신서비스제공자 공공기관 신용정보제공 이용자등 민간사업자 법원등헌법기관 준용사업자 개인 15
7. 개인정보보호위원회설치 위원회의설치 운영 개인정보에관한주요사항을심의 의결하는대통령소속개인정보보호위원회를두고, 위원회에사무국을설치 위원장 1명, 상임위원 1명을포함한 15명이내의위원으로구성 - 대통령임명또는위촉 5명, 국회선출 5명, 대법원장지명 5명 주요심의 의결사항 - 개인정보보호기본계획및시행계획 - 개인정보보호관련정책 제도및법령개선 - 개인정보처리관련공공기관간의견조정 - 법령의해석 운용 - 공공기관개인정보영향평가결과등 중앙행정기관, 지방자치단체, 헌법기관의법위반에대한시정조치권고 16
2. 개인정보보호행정체계의일원화 제정전 행정안전부 중앙행정기관 공공부문 지자체 공공기관개인정보보호심의위원회 ( 국무총리소속 ) 정책심의 기타공공기관 준용사업자 민간부문 행안부방통위금융위 정보통신서비스제공자 개인정보분쟁조정위원회 신용정보이용 제공기관 피해구제 기타 의료교육노동등 제정후 피해구제 대통령 개인정보보호위원회 심의 의결 시정권고 헌법기관 중앙행정기관 지방자치단체 개인정보분쟁조정위원회 행안부 방통위 금융위 보건복지가족부 교육과학기술부 기타 소관분야및소속기관의개인정보보호 공공기관, 기타민간분야총괄 정보통신분야 금융, 신용분야 소속 공공기관 의료분야 교육분야 노동, 법무등기타 17
개인정보보호위원회개인정보보호정책심의 의결 개인정보보호기본및시행계획심의 의결 정책, 법령및제도의개선에관한사항 공공기관간의의견조정 법령의해석 운용 공공기관의목적외이용 제공심의 의결 중앙행정기관, 지자체에대한시정권고 영향평가결과, 개선권고등심의 의결 국회에대한연차보고서제출 행정안전부개인정보보호정책수립 조정, 제도운영 기본계획수립 시행 표준개인정보보호지침제정 개인정보처리방침작성지침제정 권고 개인정보유출신고제운영 법위반행위조사, 시정권고 명령, 과태료부과 개인정보파일등록접수및현황공개 자율규제촉진및지원시책 개인정보영향평가관리운영 중앙행정기관소관분야의개인정보보호업무수행 소관분야개인정보보호시행계획의수립 시행 개인정보처리실태개선권고 소관분야개인정보보호지침마련 소관분야에대한과태료부과징수 소관법률따라소관분야에대한법위반조사, 시정조치, 징계권고등감독기능등수행 18
1. 개인정보와정보주체 개인정보의개념 살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 - 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함 - 전자적으로처리되는정보뿐만아니라수기문서, 종이문서도포함 정보주체 처리되는정보에의하여알아볼수있는사람으로서그정보의주체가되는사람 처리 - 개인정보의수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ), 그밖에이와유사한행위 20
2. 법의적용범위 개인정보처리자 업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체및개인등 - 공공기관, 영리목적의민간분야사업자, 협회 동창회등비영리기관 단체모두포괄 개인정보파일 : 개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로배열하거나구성한개인정보의집합물 ( 集合物 ) 종이파일도포함 공공기관 : 국회 법원 헌재 중앙선관위의행정사무처리기관, 중앙행정기관, 지방자치단체국가인권위원회, 공공기관운영법에따른공공기관, 지방공사 공단, 특수법인, 각급학교 적용의일부제외 동창회, 동호회등친목도모를위한단체를운영하기위하여개인정보를처리 하는경우일부규정의적용배제 - 개인정보수집 이용 ( 제 15 조 ), 개인정보처리방침공개 ( 제 30 조 ), 개인정보보호책임자지정 ( 제 31 조 ) 적용제외 공개된장소의 CCTV 운영 : 수집 이용제한 ( 제 15 조 ), 동의방법 ( 제 22 조 ), 영업양도 시고지의무 ( 제 27 조 ), 유출통지 ( 제 34 조 ), 처리정지요구 ( 제 37 조 ) 적용제외 21
포괄적적용제외 공공기관이처리하는개인정보중 통계법 에의하여수집되는개인정보 국가안전보장과관련된정보분석을목적으로수집또는제공요청되는개인정보 공중위생등공공의안전과안녕을위하여긴급히필요한경우로서일시적으로처리되는개인정보 언론, 종교단체, 정당이각각취재 보도, 선교, 선거입후보자추천등고유목적을달성하기위하여수집 이용하는개인정보 다른법률과의관계 개인정보보호에관하여는정보통신망법, 신용정보법등다른법률에특별한규정이있는경우를제외하고는개인정보보호법적용 - 동일사안에대해다른법률에특별히다른규정이있는경우에한해개인정보보호법적용제외 22
3. 개인정보의처리단계별보호기준 개인정보의수집 이용 개인정보수집 이용의요건 - 정보주체의동의를받은경우 수집 이용목적, 수집항목, 보유 이용기간, 동의거부권등고지 - 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 - 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 - 정보주체와의계약의체결및이행을위하여불가피하게필요한경우 - 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 - 개인정보처리자의정당한이익을달성하기위하여필요한경우로서명백하게정보주체의권리보다우선하는경우 필요최소한의개인정보수집, 미동의를이유로재화나서비스제공거부금지 수집 이용목적의범위를초과한이용의제한 정보주체이외로부터수집처리시정보주체의요구가있으면출처등고지의무 23
3. 개인정보의처리단계별보호기준 (2) 개인정보의제공 제3자제공을위해서는정보주체의동의필요 ( 수집목적범위내제공시예외 ) - 제공받는자, 이용목적, 개인정보항목, 보유 이용기간, 동의거부권고지의무 국외이전시에도정보주체동의필요, 법위반내용의국외이전계약체결금지 동의범위를초과한제3자제공금지 별도동의, 다른법률규정, 통계작성및학술연구, 범죄수사와공소의제기 유지등제3 자제공금지의예외인정 ( 제18조2항 ) 제공받은자의제공목적외이용또는제3자제공금지 ( 별도동의, 다른법률규정이있는경우예외 ) 영업양도 합병등에의한개인정보이전시개인정보처리자와영업양수자등은정보주체에고지 - 서면 전자우편 모사전송 전화 휴대전화 문자전송, 홈페이지또는영업장게시등 24
3. 개인정보의처리단계별보호기준 (3) 개인정보처리업무의위탁 처리업무위탁시목적 범위, 재위탁제한, 안전성확보조치, 점검등문서화 위탁업무의내용, 수탁자의공개의무 재화나서비스의홍보 판매권유업무의위탁시정보주체에대한고지의무 개인정보의보호를위한수탁자교육, 처리현황점검등감독책임 손해배상책임에대하여수탁자를개인정보처리자의소속직원으로간주 개인정보의파기 처리목적달성등불필요시지체없이정보파기의무 ( 법령에따른보존은예외 ) 파기시에는복구또는재생되지않도록조치 - 출력물, 서면등은파쇄또는소각, 전자적파일형태는복원이불가능한방법으로영구삭제 복원이불가능한방법 : 사회통념상현재의기술수준에서적절한비용이소요되는방법 법령에따른보존시해당개인정보또는파일과다른개인정보의분리저장 관리 25
4. 민감정보의처리제한 규정내용 정보주체의사생활을현저히침해할우려가있는민감정보는처리를금지 위반시 5 년이하징역또는 5 천만원이하벌금 민감정보 : 사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 유전정보, 전과 수형기록등범죄경력에관한정보 민감정보의수집허용사유 - 정보주체의별도동의가있거나 - 다른법률에서명시적으로민감정보처리를요구하거나허용하는경우에는예외적으로처리가능 26
5. 고유식별정보의처리제한강화 규정내용 주민등록번호등고유식별정보는원칙적으로처리금지 고유식별정보 : 주민번호, 운전면허번호, 여권번호, 외국인등록번호등법령에따라개인을고유하게구별하기위해부여된정보 - 별도로동의를얻거나법령에의한경우등에한해제한적으로예외인정 고유식별정보의분실 도난 변조 훼손등의방지를위해암호화등안전성확보조치의무화 홈페이지회원가입시주민등록번호외의회원가입방법을반드시제공하도록의무화 (ex. 전자서명, I-PIN, 휴대전화인증등 ) - 공공기관, 전년도말기준직전 3개월간홈페이지이용정보주체수가일일평균 1만명이상 주민등록번호대체방법제공은 2012년 3월 30일부터시행 27
6. 영상정보처리기기의설치제한근거마련 규정내용 특정한경우외에공개된장소의영상정보처리기기 ( 네트워크카메라포함 ) 설치 운영제한 - 법령에서구체적으로허용하고있는경우 - 범죄의예방및수사를위해필요한경우 - 시설안전및화재예방을위해필요한경우 - 교통단속을위해필요한경우 - 교통정보의수집분석및제공을위해필요한경우에만가능 불특정다수가이용하는목욕실, 화장실, 탈의실등개인의사생활을현저히침해할우려가있는장소내부를볼수있도록설치금지 - 교도소, 정신보건시설등법령에의한구금또는보호시설은예외인정 설치목적과다른목적으로임의조작및녹음기능사용금지 설치시전문가및이해관계인의견수렴, 안내판설치, 운영 관리지침마련, 안전성확보조치등 28
7. 개인정보의안전한관리책임 (1) 개인정보취급자감독 임직원, 파견근로자, 시간제근로자등개인정보처리자의지휘 감독을받아개인정보를처리하는자에대하여관리 감독시행 개인정보취급자에대한정기적인교육실시 안전조치의무 개인정보가분실 도난 유출 변조 훼손되지않도록내부관리계획수립, 접속기록보관등기술적 관리적 물리적안전조치의무 - 개인정보의안전한처리를위한내부관리계획의수립 시행 - 개인정보에대한접근통제및접근권한의제한조치 - 개인정보를안전하게저장 전송할수있는암호화기술의적용또는이에상응하는조치 전자매체에저장하는개인정보는 2012년말까지암호조치완료 - 개인정보침해사고의발생에대응하기위한접속기록의보관및위 변조방지조치 - 개인정보에대한보안프로그램의설치및갱신 - 개인정보의안전한보관을위한보관시설의마련또는잠금장치의설치등물리적조치 29
7. 개인정보의안전한관리책임 (2) 개인정보처리방침의공개 개인정보처리목적, 처리및보유기간, 위탁, 제3자제공, 정보주체의권리 의무보호등에관한사항에대한자체적인기준이나방침을정하여공개 개인정보보호책임자의지정 개인정보처리업무를총괄해서책임질개인정보보호책임자지정의무화 - 개인정보보호계획수립, 처리실태 관행의정기조사및개선, 민원처리 피해구제, 내부통제시스템구축, 교육, 개인정보파일의보호 관리 감독, 개인정보의파기등 개인정보보호책임자의자격요건 - 공공기관 : 각기관의조직특성에맞게 1급 ~4급공무원, 개인정보처리담당부서장등 - 공공기관이외 : 사업주또는대표자, 개인정보처리담당부서장등 30
8. 개인정보파일의등록및공개 규정내용 개인정보파일운용시행정안전부장관에게등록 ( 등록사항변경시에도등록 ) - 개인정보파일의명칭, 운영근거및목적, 기록되는개인정보의항목, - 개인정보의처리방법및보유기간, 통상적 반복적으로제공받는자등 기존개인정보파일을운용하는공공기관은시행일로부터 60일이내에등록 개인정보파일등록규정적용예외 - 국가안전, 외교상비밀, 그밖에국가의중대한이익에관한사항을기록한개인정보파일 - 범죄수사, 공소의제기및유지, 형및감호의집행, 교정처분, 보호처분, 보안관찰처분과출입국관리에관한사항을기록한개인정보파일 - 조세법범칙행위조사및관세법범칙행위조사에관한사항을기록한개인정보파일 - 공공기관의내부적업무처리만을위하여사용되는개인정보파일 - 다른법령에따라비밀로분류된개인정보파일 행정안전부장관은개인정보파일의등록현황을누구든지쉽게열람할수있도록공개 31
9. 개인정보영향평가실시 규정내용 공공기관의개인정보파일운용으로개인정보침해우려시위험요인분석과개선사항도출을위한영향평가실시의무화 - 5만명이상정보주체에관한개인정보파일신규구축, 변경으로민감정보 고유식별정보처리 - 50만명이상개인정보파일의구축 운영시다른개인정보파일과연계 연동 - 연평균 100만명이상정보주체에관한개인정보포함 민간부문은자율적으로실시 공공기관은행안부장관이지정하는평가기관에게영향평가의뢰 세부적인평가기관의자격기준, 평가기준은고시로구체화 평가결가는행안부에제출, 행안부장관은보호위원회의심의 의결을거쳐의견제시가능 시행후 5년이내에영향평가결과를행안부에제출 32
10. 정보주체의권리보장및피해구제 규정내용 [ 정보주체의권리보장 ] 개인정보의열람, 정정 삭제, 처리정지요구권등 - 대리인에의한권리행사, 14세미만아동의법정대리인의열람등요구권 - 열람등요구자에대한실비범위의수수료와우송료청구가능 [ 개인정보유출통지 ] 유출정보의항목, 유출시점 경위, 구제절차등통지의무 [ 침해신고 ] 개인정보에관한권리 이익을침해받은자는행정안전부에신고가능 - 신고의접수 상담, 사실의조사 확인등을위해침해신고센터운영 [ 분쟁조정기능강화 ] 20명이내위원으로분쟁조정위원회구성 운영 - 개인정보피해가대량 소액인특성을고려하여집단분쟁조정제도도입 [ 단체소송 ] 개인정보권리침해행위의금지 중지를위한단체소송제도도입 단체소송의남발방지를위해사전에집단분쟁조정제도를거치고, 단체소송의 대상을권리침해행위의금지 중지청구소송으로제한 33
11. 개인정보의유출 침해에대한대응 규정내용 개인정보유출신고의무 - 대규모 (1 만명이상 ) 개인정보유출시행정안전부또는전문기관에신고의무 - 관계기관은피해확산방지및피해복구를위한기술지원 법위반행위의감독 - 행정안전부 : 법위반사항발견, 신고접수등의경우자료제출요구또는검사, 침해행위중지등시정조치명령, 수사기관고발및책임있는자의징계권고등 - 보호위원회 : 중앙행정기관, 지자체, 헌법기관에대한시정조치권고 - 관계중앙행정기관 : 소관법률에따라자료제출요구또는검사, 시정조치, 고발 징계권고등 34
[ 요약 ] 개인정보보호법규정체계 처리단계별보호기준 수집 이용민감정보처리고유식별정보처리 CCTV 설치 운영 제공 / 국외이전 / 영업양도 합병처리업무의위탁개인정보의파기 개인정보의안전한관리 정보주체의권리보장 개인정보취급자감독 안전조치의무 개인정보처리방침공개 열람 정정 삭제 처리정지요구권 개인정보유출통지의무 개인정보침해신고 개인정보보호책임자지정 ( 공공 ) 개인정보영향평가 ( 공공 ) 개인정보파일등록 공개 분쟁조정위원회 ( 집단분쟁조정 ) 단체소송제도화 유출 침해대응체계 개인정보유출신고의무 자료제출요구및검사권 시정조치명령 수사기관고발, 징계권고 정책추진체계 개인정보보호위원회의설치 운영 개인정보보호기본계획, 시행계획의수립 시행 자율규제의촉진및지원 35
1. 개인정보보호법제정으로달라지는점 구분 규율대상보호범위수집 이용 제공기준고유식별정보처리제한통지의무영상정보처리기기규제 현행 공공기관, 정보통신사업자등개별법에따라제한적적용 (51만개사업자 ) 공공기관은컴퓨터등에의해처리되는개인정보파일개별법에따라상이한처리기준고유식별정보의사용제한규정없음정보통신서비스제공자에한해주민번호대체수단제공의무화관련제도없음공공기관의폐쇄회로TV(CCTV) 설치 운영제한 개인정보보호법 ('11.9 월시행 ) 공공 민간의모든개인정보처리자 (350만개사업자 ) 종이문서에기록된개인정보도포함공공 민간을망라하는단일기준원칙적처리금지 ( 별도동의, 법령근거공공민간주민번호대체수단제공의무화 ( 공공, 일부민간 ) 암호화등안전성확보조치의무개인정보처리업무위탁, 영업양도에따른개인정보이전시통지의무화공개된장소의모든설치 운영규제 ( 공공 민간 ) 네트워크카메라도포함 37
1. 개인정보보호법제정으로달라지는점 (2) 구분 처리업무의위탁개인정보파일등록 공개및영향평가유출통지 신고집단분쟁조정단체소송위원회 현행 위탁자의손해배상책임만규정공공기관이개인정보파일보유시행안부장관과사전협의행안부장관은사전협의파일관보공고관련제도없음관련제도없음관련제도없음국무총리소속심의위원회 ( 공공기관 ) 개인정보보호법 ('11.9 월시행 ) 처리업무위탁의문서화위탁업무내용과수탁자의공개의무재화 서비스의홍보나판매권유업무위탁시정보주체에게고지의무공공기관이개인정보파일보유시행안부장관에게등록행안부장관은등록사항공개공공민간공공기관의대규모개인정보파일구축등의경우영향평가의무화개인정보유출통지 신고의무화집단분쟁조정제도도입단체소송 ( 권리침해금지중지 ) 도입대통령소속개인정보보호위원회 38
2. 개인정보보호법위반에따른벌칙 (1) 구분위반내용벌칙 수 집 ㆍ 이 용 제 공 ㆍ 위 탁 안 전 관 리 민감정보 ( 사상ㆍ싞념ㆍ정당가입ㆍ건강등 ) 처리기준위반 ( 제23조 ) 5년이하징역또는 5 고유식별정보 ( 주민등록ㆍ여권ㆍ운젂면허번호ㆍ외국인등록번호 ) 처리기준위반 ( 제24조 ) 천만원이하벌금 부당핚수단이나방법에의해개인정보를취득하거나개인정보처리에관핚동의를얻는행위를핚자 ( 제 59 조 ) 개인정보의수집기준위반 ( 제 15 조 ) 만 14 세미만아동의개인정보수집시법정대리인동의획득여부위반 ( 제 22 조 ) 탈의실ㆍ목욕실등영상정보처리기기설치금지위반 ( 제 25 조 ) 최소핚의개인정보외정보의미동의를이유로재화또는서비스제공거부 ( 제 16 조, 제 22 조 ) 주민등록번호를제공하지아니핛수있는방법미제공 ( 제 21 조 ) 동의획득방법위반하여동의받은자 ( 제 22 조 ) 3 년이하징역또는 3 천만원이하벌금 5 천만원이하과태료 3 천만원이하과태료 1 천만원이하과태료 정보주체의동의없는개인정보제3자제공 (17조) 5년이하징역또는 5 개인정보의목적외이용ㆍ제공 ( 제18조, 제19조, 제26조, 제27조 ) 천만원이하벌금 개인정보주체에게알려야핛사항을미고지 ( 제 15 조, 제 17 조, 제 18 조, 제 20 조, 제 26 조 ) 업무위탁시법정사항을포함핚문서에의하지아니핚자 ( 제 26 조 ) 업무위탁시공개의무위반 ( 제 26 조 ) 정보주체에게영업양도등에따른개인정보이젂사실을알리지아니핚자 ( 제 27 조 ) 3 천만원이하과태료 1 천만원이하과태료 업무상알게된개인정보를누설하거나권핚없이타인에게제공핚자 ( 제59조 ) 5년이하징역또는 5 정당핚권핚없이또는허용된권핚을초과하여타인의개인정보의훼손, 멸실, 변경, 위조, 유천만원이하벌금출 ( 제59조 ) 영상정보처리기기설치목적과다른목적으로임의조작하거나다른곳을비추는자또는녹음기능을사용핚자 ( 제 25 조 ) 직무상알게된비밀을누설하거나직무상목적외사용핚자 ( 제 60 조 ) 3 년이하징역또는 3 천만원이하벌금 39
2. 개인정보보호법위반에따른벌칙 (2) 구분위반내용벌칙 안젂성확보조치미이행으로개인정보를도난ㆍ유출ㆍ변조또는훼손당하거나분실 ( 제 24 조, 제 25 조, 제 29 조 ) 2 년이하징역또는 1 천만원이하벌금 안전관리 안젂성확보에필요핚조치의무불이행 ( 제 24 조, 제 25 조, 제 29 조 ) 영상정보처리기기설치ㆍ운영기준위반 ( 제 25 조 ) 개인정보를분리해서저장ㆍ관리하지아니핚자 ( 제 21 조 ) 개인정보처리방침미공개 ( 제 30 조 ) 개인정보관리책임자미지정 ( 제 31 조 ) 영상정보처리기기안내판설치등필요조치불이행 ( 제 25 조 ) 3 천만원이하과태료 1 천만원이하과태료 정보주체권익보호 개인정보의정정ㆍ삭제요청에대핚필요핚조치미이행및개인정보를계속이용하거나제 3 자제공 ( 제 36 조 ) 개인정보의처리정지요구에따라처리를중단하지않고계속이용하거나제 3 자에게제공 ( 제 37 조 ) 개인정보유출사실미통지또는미싞고 ( 제 34 조 ) 정보주체의열람요구의부당핚제핚ㆍ거젃 ( 제 35 조 ) 정보주체의정정ㆍ삭제요구에따라필요조치를취하지아니핚자 ( 제 36 조 ) 처리정지된개인정보에대해파기등의조치를하지않은자 ( 제 37 조 ) 시정명령불이행 ( 제 64 조 ) 2 년이하징역또는 1 천만원이하벌금 3 천만원이하과태료 정보주체의열람, 정정ㆍ삭제, 처리정보요구거부시통지의무불이행 ( 제 35 조, 제 36 조, 제 37 조 )1 천만원이하과태료 관계물품ㆍ서류등의미제출또는허위제출 ( 제 63 조 ) 출입ㆍ검사를거부ㆍ방해또는기피핚자 ( 제 63 조 ) 파기 개인정보미파기 ( 제21조 ) 3천만원이하과태료 40
3. 중앙행정기관의역할과유의사항 구분 유의사항 개인정보 처리및보호 수집 이용 제공 처리업무위탁 개인정보파기 고유식별정보처리제한 안전한관리 동의또는법적근거확보 ( 법령정비 ) 위탁업무내용 수탁자공개, 고지 수탁자교육, 처리현황점검 파기여부 ( 보존시법적근거여부 ) 보존시다른개인정보와분리저장 관리 안전성확보조치 주민번호대체수단제공 기술적 관리적 물리적안전조치 개인정보처리방침공개, 보호책임자지정 개인정보영향평가실시 소관분야 개인정보보호 및감독 개인정보보호시행계획수립 시행 (12.2.28까지보호위제출 ) 수집 이용 제공 보존등의근거확보를위한법령정비 소관분야보호지침마련, 개인정보처리실태개선 개인정보처리자감독, 자율규제촉진등 41
합법적 안전한개인정보 수집 이용 법제도의개선과 엄정한법집행 정보주체의인식향상과 사회적자율노력 사생활의비밀보호, 개인의존엄과가치구현 신뢰사회의기반조성 42
이규정 ( 한국정보화진흥원 ) 전화 : 02-2131-0141 이메일 : lkj@nia.or.kr