개인정보보호법의 보호원칙에 대한 벌칙조항 연구 A Legal Study of Punishments in Terms of Principles of Private Informaion Protection Law 전동진(Jeon, Dong-Jin)*19) 정진홍(Jeong, Jin-Hong)**20) 목 차 Ⅰ. 들어가는 말 Ⅱ. OECD 개인정보 보호원칙과의 비교 1. OECD개인정보 보호원칙 2. 개인정보보호법 보호원칙 Ⅲ. 보호원칙 관련 벌칙조항 및 지침 Ⅳ. 나가는 말 * 서울과학종합대학원 경영학박사 수료, 제1저자 Email: webcgi@naver.com ** 서울과학종합대학원 산업정보대학원장, 교신저자 Email: jhjeong@assist.ac.kr
l 122 정보법학 제16권 제2호 요 l 최근 개인정보의 해킹사고가 계속 증가하고 있는 데에 따라 기업의 CEO나 최고경 영진이 새로 제정된 개인정보보호법에 따라 각자의 비즈니스 환경에 어떻게 대응해 야 할지 관심이 많아 졌다. 이 논문은 전체 개인정보보호법 중에 제 3조 개인정보보호 법의 기본 보호원칙에 초점을 맞추었다. 기본원칙의 유래와 근간을 연구한 결과 OECD 기본 8원칙의 국제표준을 적극적으로 수용하였다. 결과적으로 개인정보보호법 과 OECD 8원칙 조항은 거의 일치함을 확인하였고 제70조에서 제75조 조항 중 주요 벌칙조항들은 기본원칙을 어긴 것이 대부분이다. 특히 정보주체의 동의를 받지 않고 개인정보를 제 3자에 제공하는 것은 가장 엄중한 처벌조항이 되었다. 이 논문에서는 새로운 개인정보보호법 중 특히 벌칙조항에 대해 민사소송 및 형벌사항에 대한 준비 를 위하여 상세한 지침을 제시하였다. 약 주 제 어 CEO, 최고경영진, 개인정보보호법, OECD 8원칙 Ⅰ. 들어가는 말 최근 계속되는 개인정보 대량 유출 사건이 언론에서 보도되고 개인정보보호법이 시행되면서 대기업뿐만 아니라 중소 규모의 기업 경영인들도 개인정보보호법에 대한 대비에 관심이 많아졌다. 기업의 규모와 상관없이 개인정보를 다량 보유하고 있는 기업들은 정보시스템 및 IT서비스에 대한 증가로 인하여 개인정보유출에 대 한 우려가 늘어나고 있다. 이에 개인정보의 이용, 처리자, 취급자 및 업체가 많아질 수록 유출 포인트가 많아지고 개인정보보호에 대한 기업의 고민은 점점 깊어지고 있다. 실제로 개인정보 침해건수의 사례를 그림 1에서 보면 2011년에 122,215건으로 전년 대비 220%로 증가함을 알 수 있고, 주민번호 등 타인정보 훼손, 침해, 도용 사례가 67,094건으로 가장 많았으며, 전년대비 660%로 증가하였음을 볼 수 있다.
전동진ㆍ정진홍 : 개인정보보호법의 보호원칙에 대한 벌칙조항 연구 123 <그림 1> 개인정보 침해건수(E-나라지표) 1) 구체적으로 표 1을 살펴보면 2010년에는 신용정보침해 등 정보통신망법 적용대 상 이외의 개인정보침해 사례가 38,414건으로 가장 많았으며 전년도 대비 약 60% 증가함을 볼 수 있다. 2009년에는 개인정보 침해건수는 총 35,167건으로 전년대비 약 12% 감소함을 알 수 있고, 신용정보침해 등 정보통신망법 적용대상 이외의 개인정보침해 사례가 23,893건으로 가장 많았으며 전년도에 비해 약 1% 감소함을 볼 수 있다. 향후에는 다양한 기기와 환경인 스마트폰, 클라우드, SNS서비스의 확산으로 개 인정보 유출사고, 정보주체의 개인정보에 대한 관심증가로 인해 개인정보침해 신 고 건수는 계속 증가할 것으로 예상된다. 2) 개인정보보호법을 보면 법령상 중ㆍ소규모의 쇼핑몰이나 개인사업자인 경우에 따로 개인정보관리 책임자가 지정이 안되어 있으면 개인사업자나 법인의 대표자 가 개인정보처리자가 된다. 또한 개인정보 유출 사고시 책임을 대표자가 지며 양 벌규정에 의하여 과태료 및 처벌을 감수하게 되었다. 또한 개인정보의 관리 부주의로 인하여 개인정보를 유출 또는 노출하였을 경우, 기업브랜드 가치 하락, 평판의 악화, 악의적인 단체나 해커들의 협박이나 정보주체 1) 한국인터넷진흥원 개인정보 침해신고센터 접수자료 2) 방송통신위원회, 개인정보보호윤리과, 지표 담당
124 정보법학 제16권 제2호 의 손해배상청구 등으로 직접적, 간접적, 재정상의 손해를 감수해야 한다. 이에 개인정보유출사고 발생시 면책이 되거나 책임이 경감되도록 하기 위해서 모든 단계의 요소들에 대하여 내부통제를 통해 보안강화에 적극적으로 참여하고 개인정보보호법의 법률과 제도적 규제와 특히 개인정보보호법의 주요 원칙의 사 항을 파악하여 개인정보보호에 전사적인 차원의 노력을 기울여야 한다. <표 1> 개인정보 침해건수(E-나라지표) 3) 구분 2007 2008 2009 2010 2011 합계 25,965 39,811 35,167 54,832 122,215 개인정보무단수집 1,166 1,129 1,075 1,267 1,623 개인정보 무단이용 제공 1,001 1,037 1,171 1,202 1,499 주민번호등 타인정보 도용 9,086 10,148 6,303 10,137 67,094 회원탈퇴 또는 정정 요구 불응 865 949 680 826 662 법적용 불가 침해사례 12,495 24,144 23,893 38,414 38,172 기타 1,350 2,404 2,045 2,986 13,165 Ⅱ. OECD 개인정보 보호원칙과의 비교 1. OECD개인정보 보호원칙 표 2를 보면 OECD보호원칙의 내용은 개인정보보호 원칙과 7번 조항을 제외하 고 거의 일치함을 알 수 있다. 이 원칙은 OECD 회원국 뿐 만 아니라 우리나라, 일 본을 비롯한 세계 각국의 개인정보보호법 제정에 중요한 모델이 되었다. 개인정보보호와 관련된 법과 제도들은 국내외를 막론하고 OECD가 제정한 8원 칙에 기초하고 있다. 국가 간의 경제적 협력이 증가하면서 OECD는 국제적으로 유 통되는 정보에 관심을 갖고 있었다. 특히 전자상거래가 국제적인 관심사로 부각되 고 있었지만 개인정보의 유출에 대한 우려가 전자상거래 발전에 커다란 장애가 될 것이라고 판단한 OECD는 각 나라가 합의하는 통일된 개인정보보호지침의 제정을 준비하였다. 그리하여 채택된 원칙이 프라이버시 보호와 개인데이터의 국제유통에 대한가이드라인에 관한 이사회 권고안, 1980이다. 4) 3) 방송통신위원회 (한국인터넷진흥원 개인정보침해신고센터 접수자료)
전동진ㆍ정진홍 : 개인정보보호법의 보호원칙에 대한 벌칙조항 연구 125 1 목적명확화의 원칙(Purpose specification principle) 개인정보를 수집할 때는 목적이 명확해야하고 이를 이용할 경우에도 애초의 목 적과 모순되지 않아야 한다. 2 이용제한의 원칙(Use limit principle) 개인정보는 정보주체의 동의가 있는 경우나 법률의 규정에 의한 경우를 제외하 고는 명확화된 목적 이 외의 용도로 공개되거나 이용되어서는 안된다. 3 정보정확성의 원칙(Data quality principle) 개인정보는 그 이용 목적에 부합하는 것이어야 하고 이용 목적에 필요한 범위 내에서 정확하고 완전하며 최신의 상태로 유지하여야 한다. 4 안전성확보의 원칙(Security safeguards principle) 개인정보의 분실, 불법적인 접근, 파괴, 사용, 수정, 공개 위험에 대비하여 합리 적인 안전보호장치를 마련해야 한다. 5 공개의 원칙(Openness principle) 개인정보에 관한 개발, 운용 및 정책에 관해서는 일반적인 공개정책을 취하여 야 한다. 6 수집제한의 원칙(Collection limitation principle) 모든 개인정보는 적법하고, 공정한 수단에 의해 수집되어야 하며, 정보주체에 게 알리거나 동의를 얻은 후 수집되어야 한다. 7 개인참가의 원칙(Individual participation principle) 개인은 자기에 관한 정보의 소재를 확인할 권리를 가지며, 필요한 경우에는 자 신에 관한 정보를 합리적인 기간 내에 합리적인 비용과 방법에 의해 알기 쉬운 형태로 통지받을 권리를 갖는다. 8 책임의 원칙(Accountability principle) 개인정보관리자는 위의 제 원칙을 실시하기 위한 조치에 따를 책임이 있다. 4) 이기혁, 이강신, 박진식, 개인정보보호의이해와 활용, 2011, 89면 참조.
126 정보법학 제16권 제2호 <표 2> OECD개인정보보호 8원칙 5) OECD 8원칙 내 용 비고 6) 1. 목적명확화의 원칙 2. 이용제한의 원칙 3. 정보정확성의 원칙 4. 안정성 확보의 원칙 5. 공개의 원칙 6. 수집제한의 원칙 개인정보 수집시 목적 명시 명시된 목적에 적합한 개인정보의 이용 정보주체의 동의가 있거나 법규정이 있는 경우를 제 외하고는 목적 외 이용 및 공개 금지 개인정보는 그 이용목적에 부합해야 하고 필요한 범 위안에서 정확하고 완전하고 최신의 것이어야 한다. 개인정보의 침해, 누설, 도용 등을 방지하기 위한 물 리적, 기술적, 안전조치 확보. 개인정보의 처리 및 보호를 위한 정책의 공개 개인정보관리자의 신원 및 연락처, 개인정보의 존재 사실, 이용 목적 등에 대한 접근 용이성 확보. 적법하고 공정한 방법을 통한 개인정보의 수집 정보주체의 인지 또는 동의를 얻어 개인정보 수집 민감한 개인정보의 수집 정보주체의 개인정보 열람ㆍ정정ㆍ삭제 청구권 보장 7. 개인 참가의 원칙 정보주체가 합리적인 시간과 방법으로 알기 쉬운 방 법으로 통지 받을 권리를 갖는다. 8. 책임의 원칙 개인정보 관리자에게 원칙 준수의무 및 책임 부과 8 1 2 3 4 5 6 2. 개인정보보호법 보호원칙 1 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야하고 그 목적에 필요 한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다. 2 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정 보를 처리하여야하며, 그 목적 외의 용도로 활용하여서는 아니 된다. 3 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확 성, 완전성 및 최신성이 보장되도록 하여야 한다. 4 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 5) OECD, OECD Guidelines on the Protection of Privacy and Trans boarder Flows of Personal Data, http://www.oecd.org. 6) 개인정보보호법의 보호원칙 번호
전동진ㆍ정진홍 : 개인정보보호법의 보호원칙에 대한 벌칙조항 연구 127 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다. 5 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개 하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다. 6 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다. 7 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처 리될 수 있도록 하여야 한다. 8 개인정보처리자는 이법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하 고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다. Ⅲ. 보호원칙 관련 벌칙조항 및 지침 1. 제71조 1호ㆍ2호(이용제한의 원칙) 제71조 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5 천만 원 이하의 벌금에 처한다. 1. 제17조제1항제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자 2. 제18조제1항,제2항, 제19조, 제26조제5항 또는 제27조제3항을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 이의 경우는 최근의 개인정보 문제에 있어 가장 핵심적인 원칙이라고 할 수 있 다. 많은 업체들이 개인정보를 이용하여 전략적 제휴를 하거나 심지어는 개인정보 를 돈을 받고 판매하기도 한다. 이것은 OECD의 이용제한의 원칙 에도 위배될 뿐 아니라 현행법에도 위배되는 행위이다. 만약 개인정보를 이용자 동의없이 제3자에 게 제공하는 것을 용인한다면 우리는 개인정보에 관한 어떠한 권리도 행사할 수 없게 된다. 만약 A라는 업체가 이용자의 동의를 구하지 않고 개인정보를 넘겼다면 이용자는 자신의 정보가 B와 C라는 업체에 제공된 사실조차 모르기 때문에 개인 정보를 열람할 수도, 수정할 수도, 삭제할 수도 없게 된다. 때문에 현행법에서는 이
128 정보법학 제16권 제2호 조항을 어겼을 경우에는 단순히 과태료 부과처분이 아니라 징역형에 처함으로써 엄격하게 제제하고 있다. [개인정보 제공 동의 지침] 당사는 을 회사와의 제휴업무에 따라 을 회사의 상품판매 및 마케팅 등의 목적으로 아래와 같이 개인정보를 수집ㆍ이용 및 제공하는 내용을 관계 법령에 따 라 고지하오니, 동의해주시기 바랍니다. (개인정보를 제공받는 자) (주) 병 회사, 마케팅 제휴사, (개인정보를 제공받는 자의 개인정보 이용목적) 텔레마케팅 및 이 메일 마케팅시 활용, 본 이용 목적외에 다른 목적으로 사용되지 않습니다. (제공하 는 개인정보 항목) 이름, 전화번호, 이메일, 주소 (개인정보를 제공받는 자의 개인 정보 보유 및 이용기간) 제휴기간 내 단, 해당 사업자와의 제휴기간이 종료된 후 고객정보는 폐기됩니다. (단, 기타 법령에 따로 정하는 경우는 해당 기간까지 보관) 동의 동의하지 않음 2. 제75조1항1호(수집제한의 원칙) 제75조 1항 다음 각 호의 어느 하나에 해당하는 자에게는 5천만 원 이하의 과태료 를 부과한다. 1. 제15조제1항을 위반하여 개인정보를 수집한자 제15조제1항의 조항 정보주체의 동의를 받은 경우 를 위반하여 개인정보를 수 집한 자. 최근 인터넷 게시판에 이용자가 공개한 이메일주소들을 취합하여 이를 마케팅 수단으로 이용하는 개인사업자와 기업들이 늘어나고 있다. 이들이 아르바이트생을 고용하여 일일이 인터넷을 서핑하면서 개인정보를 수집하건, 인터넷프로그램을 이 용하여 자동으로 수집하건 간에 이는 정보주체에게 알리지도 않고, 정보주체의 동 의를 구하지도 않은 상태에서 수집한 것이기 때문에 이 원칙에 위배되는 부도덕한 행위라고 할 수 있다. 비록 개인이 자발적으로 공개한 이메일정보이긴 하지만 이 정보를 광범위하게 수집하여 마케팅 수단으로 이용했다면 이는 분명히 개인의 사 생활 침해에 해당된다고 볼 수 있다. 설령 공개되어 있는 개인정보라 하더라도 함 부로 수집해서는 안 될 것이다.
전동진ㆍ정진홍 : 개인정보보호법의 보호원칙에 대한 벌칙조항 연구 129 이에 대한 지침은 다음과 같이 개인정보의 수집/이용 동의를 명시하여야 한다. [개인정보 수집/이용 동의 지침] 을 회사는---진행을 위하여 아래와 같이 개인정보를 수집 이용하는 내용을 관 계법령에 따라 고지하오니, 동의해주시기 바랍니다. (수집/이용 항목) 이름, 전화번 호, 이메일번호, (수집/이용목적) 서비스 제공을 위한 방문확인 및 관련 이벤트 진 행, SMS 발송 등 수집한 개인정보는 본 수집/이용 목적 외에 다른 목적으로 사용 되지 않습니다. (이용, 보유 기간) 이벤트 기간 내 단, 이벤트가 종료된 후 고객정보 는 폐기됩니다.(단, 기타 법령에 따로 정하는 경우는 해당 기간까지 보관) 동의 동의하지 않음 3. 제75조1항2호(수집제한의 원칙) 제75조 다음 각 호의 어느 하나에 해당하는 자에게는 5천만 원 이하의 과태료를 부과한다. 2. 제22조제5항을 위반하여 법정대리인의 동의를 받지 아니한 자 제22조제5항의 조항을 보면 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다. [만 14세 미만 아동의 개인정보 수집 동의 지침] 이용자 및 법정 대리인은 언제든지 등록되어 있는 자신 혹은 당해 만 14세 미 만 아동의 개인정보를 조회하거나 수정할 수 있으며 가입해지를 요청할 수도 있습 니다. 이용자 혹은 만 14세 미만 아동의 개인정보 조회, 수정을 위해서는 개인정보변 경 (또는 회원정보수정 등)을, 가입해지(동의 철회)를 위해서는 회원탈퇴 를 클 릭하여 본인 확인 절차를 거치신 후 직접 열람, 정정 또는 탈퇴가 가능합니다. 혹은 개인정보관리책임자에게 서면, 전화, 또는 이메일로 연락하시면 지체 없이 조치하겠습니다. 이용자가 개인정보의 오류에 대한 정정을 요청하신 경우에는 정정을 완료하기
130 정보법학 제16권 제2호 전까지 당해 개인정보를 이용 또는 제공하지 않습니다. 또한 잘못된 개인정보를 제3자에게 이미 제공한 경우에는 정정 처리결과를 제3자에게 지체 없이 통지하여 정정이 이루어지도록 하겠습니다. 회사는 이용자 혹은 법정대리인의 요청에 의해 해지 또는 삭제된 개인정보는 개 인정보의 보유 및 이용기간에 명시된 바에 따라 처리하고 그 외의 용도로 열람 또 는 이용할 수 없도록 처리하고 있습니다. 4. 제73조 1호(안전성 확보의 원칙) 제73조 다음 각 호의 어느 하나에 해당하는 자는 2년 이항의 징역 또는 1천만 원 이하의 벌금에 처한다. 1. 제24조제3항, 제25조제6항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실,도난,유출 변조 또는 훼손당한 자 개인정보에 대한 가치가 높아지면서 개인정보에 대한 해킹 위험성도 높아지고 있다. 즉 개인정보보호라는 것이 정책적인 수단으로만 보호될 수 있는 성질의 것 이 아니라 기술적인 대책에 의해서도 보호되어야 한다는 의미이다. 작년에 해커들 이 몇몇 인터넷업체의 서버를 해킹하여 수 백 만 명의 개인정보를 빼내고 이를 판 매하려다 적발된 적이 있다. 이는 해당 서비스 업체가 아무리 정책적으로 개인정 보를 보호하려고 노력해도 기술적 대책이 동반되지 않으면 무용지물임을 말해주 는 사건이었다. [개인정보 안전성확보 지침] 1) 개인정보에 대한 접근 권한을 확인하기 위한 식별 및 인증 조치 2) 불법접근 차단을 위한 방화벽 및 IPS시스템 설치 3) 개인정보조치에 대한 권한 없는 접근을 차단하기 위한 전송암호화 등의 조치 4) 개인정보에 대한 권한 없는 접근을 차단하기 위한 저장암호화 등의 조치 첫째, 접근권한 확인을 위한 식별 및 인증 조치 개인정보처리자는 사용자 ID, 접속 IP, DB계정, 접속 어플리케이션, 암호, 유효기 간, 접근 가능시간별 인증 및 권한 사항 등을 파악하여 최소한의 권한을 부여하여 개인정보처리시 유출되는 사고를 미연에 방지해야 한다. 또한 개인정보보호 책임 자에는 전체 권한을 부여하거나 개인정보 취급자에게는 읽기 권한만 제공하는 등
전동진ㆍ정진홍 : 개인정보보호법의 보호원칙에 대한 벌칙조항 연구 131 권한에 차등도 두고 공식적인 사용자 계정 관리절차를 만들어 계정을 통제하여야 한다. 또한 개인정보의 접근 인증을 위하여 개인정보처리자는 개인정보취급자 또는 정 보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수 립하여 적용하여야 한다. 개인정보의 데이터베이스에 접근시 비밀번호는 작성규칙 을 수립한 후 DB나 접근통제시스템에 적응하여 운영하고 비밀번호는 구성하는 문 자의 종류에 따라 최소 10자리 또는 8자리 이상의 길이로 구성하여야 하며 이는 정보주체에 대한 비밀번호 작성 규칙과는 달리 반드시 준수하여야 한다. 비밀번호 작성시 최소 10자리 이상 : 영대문자(A-Z, 26개) 영소문자(a-z,26개), 숫자(0-9,10개) 및 특수문자(32개) 중 3종류 이상으로 구성하여야 하고, 비밀번호의 주기적인 변경 은 비밀번호에 유효기간을 설정하고 적어도 6개월마다 변경함으로써 동일한 비밀 번호를 장기간 사용하지 않는다. 둘째, 불법접근 차단을 위한 방화벽 및 IPS시스템 설치 개인정보처리자는 방화벽(Firewall) 또는 침입방지시스템(IPS)설치하여 정보통신 망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치ㆍ운영하여야 한다. 방화벽은 외부로부터의 불법침입과 내부의 불법정보 유출을 방지하고 내외부 네 트워크의 상호간 영향을 차단하기 위하여 설치한 보안시스템이다. 방화벽은 필터 링방법에 따라 서비스기반 필터링, 정적패킷(Static Packet) 필터링, 상태기반검사 (Static Inspection)로 분류할 수 있다. 서비스기반 필터링 방식은 패킷내에 기록된 서비스 포트정보를 이용하여 서비스 에 대한 차단여부를 결정하는 필터링으로서, FTP, WWW 서비스 및 네트워크를 통 해 데이터를 전송하거나 연결하는 일반적인 응용프로그램까지 차단할 수 있다. 정 적패킷(Static Packet) 필터링방식은 관리자가 필터링을 위해 정의한 IP와 Port목록 으로 작성하여, 차단목록을 기반으로 OSI 7레이어의 네트워크 계층과 트랜스포트 계층에서 차단할 수 있는 필터링기법이다. 상태기반검사(Static Inspection)은 정적 패킷 필터링을 대체하기 위한 목적으로 개발된 것으로 일명, 동적패킷 필터링이라 는 이름으로 불리기도 한다. 상태기반 감시는 일정시간 동안 송수신 패킷들을 검 사하는 방법으로 특정한 수신을 요청한 송신 패킷들을 추적하여 해당 요청이 적절 한 요청이고, 송신내용 역시 적절한 응답인 경우에만 방화벽을 통과하도록 하는 방법으로 평소에 패킷은 모두 닫혀 있다가 사용이 필요할 때만 열리는 형태를 취
132 정보법학 제16권 제2호 함으로써 해커들이 인터넷에서 침해통로를 확보하기 위해 사용하는 포트스캐닝을 사전에 예방하는 방법으로 가장 많이 도입하는 방화벽이다. IPS시스템은 공격 signature를 찾아내 네트워크에 연결된 기기에서 수상한 활동 이 이뤄지는지를 감시하며, 자동으로 모종의 조치를 취함으로써 그것을 중단시키 는 보안 솔류션이다. 이것은 단순한 네트워크 단에서의 탐지가 제공하지 못하는 각종 서버를 위해 알려지지 않은 공격까지도 방어할 수 있는 실시간 침입방지시스 템으로 OS레벨에서 실시간 방어와 탐지기능을 제공한다. 따라서 기존 보안장비가 가지는 수동적인 방어개념의 방화벽이나 침입탐지시스템과 달리 침입유도시스템 이 지닌 지능적인 기능과 적극적으로 자동 대처하는 능동적인 기능이 합쳐진 개념 의 솔류션이다. 최근의 APT공격을 보면 기존보안제품을 우회하여 서버를 공격하는 해킹수법이 나 웜바이러스가 계속해서 증가할 것으로 보인다. 이러한 현실속에서 새롭게 떠오 르는 것이 바로 도 실시간으로 진행하고 있는 공격을 막아내는 IPS기술이 부각되 고 있다. IPS는 사후 대응이 아닌 사전대응, 관리와 설치의 편이어서 설치와 동시 에 사용가능, customizing 기능, Exceptions, Security Levels, Policies설정 변경, 서버 보호를 제공하는 다단계 디자인, 공격 시그너처를 찾아내고 네트워크의 트래픽을 관찰해 수상한 활동을 하는 패킷에 조치를 취한다는 것이다. 셋째, 개인정보조치에 대한 권한 없는 접근을 차단하기 위한 전송암호화 등의 조 치방안으로 가상사설망(VPN)으로 공중망을 가상의 터널링을 통해 패킷을 암호화 전송하고 수신측에서 복호화하는 방식의 가상전용 사설망으로 사용하는 암호화 장비기술이다. 개인정보를 송수신시에는 송수신 구간 암호화를 위한 VPN을 적용 해야 한다. 가상사설망(VPN)은 개인정보취급자가 사업장내의 개인정보처리시스템에 대해 원격으로 접속할 때 IPSEC 이나 SSL기반의 암호 프로토콜을 사용한 터널링기술을 통해 안정한 암호통신을 할 수 있도록 해주는 보안시스템을 의미한다. 넷째, 개인정보에 대한 권한 없는 접근을 차단하기 위한 저장암호화 등의 조치로 개인정보처리자는 개인정보를 정보통신망을 통하여 송ㆍ수신하거나 보조저장매 체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다. 비밀번호 및 바이오 정보는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다. 대체로 SHA(Secure Hash Algorithm)를 많이 사용하고 있는데 SHA(Secure Hash Algorithm) 는 NIST에서 개발한 알고리즘으로 해쉬 알고리즘으로 사용되고 있다.
전동진ㆍ정진홍 : 개인정보보호법의 보호원칙에 대한 벌칙조항 연구 133 이것은 임의의 데이터로부터 짧은 문자열을 만들어 내는 함수이다. 특징은 역방 향으로는 풀 수 없는 단방향함수 이며 주로 변조여부를 체크하는 무결셩 체크용으 로 사용된다. SHA-1은 SHA함수들 중 가장 많이 쓰이며, TLS, SSL, PGP, SSH, IPSEC 등 많은 보안 프로토콜과 프로그램에서 사용되고 512비트의 블록단위로 처 리하며 160비트 메시지 다이제스트 출력이 가능하다. 5. 제75조2항4호(개인 참가의 원칙) 제75조 2항 다음 각 호의 어느 하나에 해당하는 자에게는 3천만 원 이하의 과태료 를 부과한다. 4. 제21조제1항을 위반하여 개인정보를 파기하지 아니한 자 개인정보는 누구의 것인가? 바로 정보주체인 여러분의 것이다. 기업의 것이 아 니다. 이용자는 계약조건에 따라 개인정보라는 가치 있는 정보를 제공하고 이에 합당한 서비스를 제공받는 것이다. 기업들이 공짜서비스라고 말하는 것은 엄밀하 게 말하면 거짓말이다. 따라서 개인정보에 관한 모든 권리는 바로 여러분에게 있 는 것이다. 간혹 서비스에서 탈퇴하려는 이용자들의 권리를 제한하는 기업이 있는 데 이는 명백히 이용자의 권리를 침해하는 행위일 뿐만 아니라 개인참가의 원칙에 도 위배되는 행위이다. [개인정보 내부 파기 절차 지침] 개인정보보호 준수 사항 1. 개인정보의 수집목적 또는 제공받는 목적을 달성한 때에는 해당 개인정보를 지 체 없이 파기하여야 한다. 다만, 법률의 규정에 의하여 보존이 필요한 경우는 제 외한다. 2. 고객이 개인정보의 수집ㆍ이용ㆍ제공에 대한 동의를 철회하는 경우에는 본인 여부를 확인하고 해당 개인정보를 파기하는 등 지체 없이 필요한 조치를 하여야 한다. 개인정보 파기 관리대장 개인정보 보유기간 파기일자 파기결과 1 분쇄 2 소각
134 정보법학 제16권 제2호 6. 제75조2항5호(개인 참가의 원칙) 제75조 2항 다음 각 호의 어느 하나에 해당하는 자에게는 3천만 원 이하의 과태료 를 부과한다. 5. 제24조제2항을 위반하여 정보주체가 주민등록번호를 사용하지 아니 할 수 있는 방법을 제공하지 아니한 자 제24조제2항의 조항(대통령령으로 정하는 기준에 해당하는 개인정보처리자는 정보주체가 인터넷홈페이지를 통하여 회원으로 가입할 경우 주민등록번호를 사용 하지 아니하고도 회원으로 가입할 수 있는 방법을 제공한다)을 위반하여 정보주체 가 주민등록번호를 사용하지 아니할 수 있는 방법을 제공하지 아니한 자이다. [주민번호외의 회원가입] 을 회사는 회원가입, 원활한 고객 상담, 각종 서비스의 제공을 위해 최초 회 원가입 당시 아래와 같은 개인정보를 수집하고 있습니다. [일반 회원 가입 시 수집항목] 성명, 주민등록번호, 외국인등록번호 또는 여권번 호(외국인에 한함), 아이디, 비밀번호, 본인확인문답, 이메일주소, 만 14세 미만인 경우 법정대리인정보 선택사항 : 휴대폰번호 [아이핀 회원 가입 시 수집항목] 성명, 생년월일, 성별, 아이핀 번호, 아이디, 비밀번호, 본인확인문답, 이메일주소, 만14세 미만인 경우 법정대리인 정보 선택사항: 휴대폰 번호 7. 제75조3항5호(이용제한의 원칙) 제75조 3항 다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료 를 부과한다. 5. 제26조제2항을 위반하여 위탁하는 업무의 내용과 수탁자를 공개하지 아니한 자 이 조항은 제26조제1항(위탁업무 수행 목적 외 개인정보의 처리금지에 관한 사 항)을 위반하여 위탁하는 업무의 내용과 수탁자를 공개하지 아니한 자이다.
전동진ㆍ정진홍 : 개인정보보호법의 보호원칙에 대한 벌칙조항 연구 135 [개인정보 취급 이용제한 지침] 을 회사는 기본적인 서비스 제공 및 보다 나은 서비스 제공, 그리고 고객편의 제공 등 원활한 업무수행을 위하여 아래와 같이 개인정보 취급업무를 전문 업체에 위탁하여 운영하고 있습니다. 을 회사는 위탁업무계약서 등을 통해서 개인정보보호 관련 법규의 준수, 개인 정보에 관한 비밀유지, 제3자 제공에 대한 금지, 사고시의 책임부담, 위탁기간, 처 리종료 후의 개인정보의 반화 또는 파기의무 등을 규정하고, 이를 준수하도록 관 리하고 있습니다. 본인은 <정보통신망이용촉진 및 정보보호 등에 관한 법률>의 규정에 근거한 위 의 개인정보 취급업무 위탁에 대한 내용을 확인하고 충분히 이해하며 이에 동의합 니다. -개인정보 내부관리계획 참조(비밀유지 서약, 제3자 제공 금지, 사고 시 책임사항 등) 동의 동의하지 않음 8. 제75조3항7호(공개의 원칙) 제75조 3항 다음 각 호의 어느 하나에 해당하는 자에게는 1천만 원 이하의 과태료 를 부과한다. 7. 제30조제1항 또는 제2항을 위반하여 개인정보 처리방침을 정하지 아 니하거나 이를 공개하지 아니한 자 제30조제1항의 내용은 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보 의 처리방침(이하 개인정보 처리방침 이라 한다)을 정하여야 한다. 이 경우 공공 기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방 침을 정한다. 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체의 권리ㆍ의무 및 그 행사방법에 관한 사항 6. 그 밖에 개인정보의 처리에 관하여 대통령으로 정한 사항
136 정보법학 제16권 제2호 제30조제2항은 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경 우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개 하여야 한다. 개인정보에 관한 개발, 운용 및 정책에 관해서는 일반적인 공개정책을 취하여야 한다. 개인정보의 존재, 성질 및 주요 이용 목적과 함께 정보관리자의 신원, 주소를 쉽게 알 수 있는 방법이 마련되어야 한다. 개인정보를 수집하고 있는 대부분의 웹사이트마다 개인정보보호정책 이라는 것을 제시하고 있다. 이 정책에는 개인정보를 수집하는 이유, 수집하는 개인정보, 개인정보를 보호하기 위한 대책, 정보관리자의 성명과 연락처 등이 제시되어 있다. 모드 업체가 개인정보보호정책을 제시하도록 법적으로 강제하는 이유도 바로 이 련 공개의 원칙 때문이다. [개인정보 취급방침 공개시 준수사항 지침] 개인정보 취급방침 필수 포함 항목 1. 개인정보의 수집ㆍ이용목적, 수집하는 개인정보의 항목 및 수집방법(동의 획득) 2. 제3자에게 제공하는 경우 제공받는 자의 성명(법인의 명칭), 제공받는 자의 이용 목적과 제공하는 개인정보의 항목 3. 개인정보의 보유 및 이용기간, 개인정보의 파기절차 및 파기방법(법의 단서에 따 라 개인정보를 보존하여야 하는 경우 그 보존근거와 보존하는 개인정보 항목 4. 개인정보 취급위탁을 하는 업무의 내용 및 수탁자 5. 이용자 및 법정대리인의 권리와 그 행사방법 9. 제75조3항8호(책임의 원칙) 제75조 3항 다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료 를 부과한다. 8. 제31조제1항을 위반하여 개인정보 보호책임자를 지정하지 아니한 자 이 조항의 내용은 제31조제1항(개인정보처리자는 개인정보의 처리에 관한 업무 를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다)을 위반하여 개인정 보보호 책임자를 지정하지 아니한 자 이다. 개인정보 관리자는 위에서 제시한 원칙들이 지켜지도록 필요한 제반조치를 위해
전동진ㆍ정진홍 : 개인정보보호법의 보호원칙에 대한 벌칙조항 연구 137 야 한다. 개인정보를 이용하는 자는 그에 따른 책임이 따른다. 앞서 지적한대로 정보주체 의 권리를 침해하지 말아야하며 목적에 맞게 이용해야 하며, 적합하고 공정한 수 단에 의해 수집해야하며 해킹을 막기 위한 기술적 대책까지 강구해야 한다. 이런 의미에서 본다면 개인정보는 아무나 수집해서 이용할 수 있는 성질의 것이 아니다. [개인정보 관리책임자의 지정 지침] 개인정보 관리책임자의 자격요건은 다음의 어느 하나에 해당하는 지위에 있는 사람이어야 하며, 이용자의 개인정보 이용 또는 보호와 업무연관성이 있는 자이어 야 합니다. 회사의 임원 : 마케팅부서 CRM부서, 정보보호부서 등의 임원 개인정보의 안전한 취급을 위한 내부관리계획의 수립이행 고객 개인정보의 수집이용제공 및 관리에 관한 업무의 총괄 소속직원, 수탁자 등에 대한 개인정보보호 교육 실시 개인정보의 출력복사물에 대한 사전 승인 기타 고객의 개인정보보호에 필요한 사항 등 10. 제75조3항7호(공개의 원칙) 제75조 3항 다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료 를 부과한다. 7. 제30조제1항 또는 제2항을 위반하여 개인정보 처리방침을 정하지 아 니하거나 이를 공개하지 아니한 자 제31조제1항(개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임 질 개인정보 보호책임자를 지정하여야 한다)을 위반하여 개인정보보호 책임자를 지정하지 아니한 자이다. [개인정보 관리책임자 지정 사항의 공개 지침] 개인정보관리책임자의 성명과 그 전화번호 등 연락처는 홈페이지 첫 화면에 게시하는 개인정보 취급방침에 공개하여야 함. 만약 개인정보관리책임자가 인사이 동 등의 사유로 변경되는 경우 지체 없이 변경하여 이용자가 언제든지 변경된 사
138 정보법학 제16권 제2호 항을 쉽게 알아 볼 수 있도록 조치하여야 합니다. <개인정보 관리책임자 지정 예외사항> 상시 종업원 수가 5명 미만인 사업자는 개인정보 관리책임자를 지정하지 아니할 수 있으며, 다만 이 경우 사업주 또는 대표자가 개인정보관리책임자가 됩니다. Ⅳ. 나가는 말 개인정보보호와 관련한 선행연구를 보면 법률과 제도가 완전하지 못하여서 많은 법제 분야와 기술적 측면의 많은 연구가 진행되어 왔다. 이제 개인정보보호법이 제정되고 시행하게 되어 가장 근간이 되는 개인정보보호법의 원칙을 연구함으로 써 이에 대한 명확한 법률제정 근거와 기본원칙을 살펴보고 원칙과 관련된 주요 벌칙조항에 대한 지침을 제시하여 기관이나 기업체에서 대응하는데 이 연구는 의 의가 있다고 하겠다. 첫째, 우리나라의 개인정보보호법은 글로벌 기준인 OECD의 조항을 준수하고 있 고, 국제표준의 규정을 적극적으로 수용함을 알 수 있다. 향후 국제적인 협력과 사 건에 대한 개인정보보호 정책과 프라이버시권의 보호에 관한 논의에서 정치적ㆍ 도덕적 기준으로 활용이 가능하다는 것이다. 둘째, 개인정보보호법의 원칙 중 가장 심각한 피해가 이용제한의 원칙이고 이에 대한 벌칙조항도 매우 엄중히 처벌함으로써 이에 대한 기업체의 기술적 관리적 조 치에 대한 대응이 필요한 것을 알 수 있다. 이에 대한 주요 벌칙조항에 대한 사업 장의 경영진이나 개인정보책임자가 확인할 수 있도록 기본 지침을 예시하여 개인정 보 보호원칙의 위반한 사항에 관하여 벌칙조항에 대한 대비를 할 수 있게 하였다. * 논문최초투고일: 2012년 7월 22일; 논문심사(수정)일: 2012년 8월 13일; 논문게재확정일: 2012년 8월 21일
전동진ㆍ정진홍 : 개인정보보호법의 보호원칙에 대한 벌칙조항 연구 139 참 고 문 헌 개인정보보호 기술 및 표준화 동향, 한국정보 보호진흥원, 2006.12. 개인정보 보호백서, 2009, 2010. 공공기관의 개인정보에 관한 효율성 분석, 한국지방자치학회, 2006. 국가정보원ㆍ정보통신부. 국가정보보호백서, 2010. 권성필, 전자거래와 개인정보보호에 관한 연구, 부경대학교 법학과 박사 논문, 부2009.08. 박익수, 개인정보보호기술에 관한 연구, 한국정보처리학회, 2007.12. 이춘상, 디지털 개인정보의 보호기술과 효과적인 활용에 관한 연구, 단국대학교 박사학위논문, 2009. 최진영, 개인정보 노출대응 체계,한국정보보호학회지 제19권 제6호, 2009.12. 이기혁, 이강신, 박진식, 개인정보보호의이해와 활용, 2011. 홍승필, 개인정보보호개론(사례연구 및 기술 중심으로),한티미디어, 2010. KISA 개인정보인증심사 제도자료. OECD, OECD Guidelines on the Protection of Privacy and Trans boarder Flows of Personal Data, http://www.oecd.org. Online Privacy Alliance, Guidelines for Online Privacy policies, http://www.privacyalliance.org/resources/cppguidelines.shtml Clarke, Privacy impact assessment: Its origins and development Computer Law & Security review, 2009. Cooper, Tom, Impact of Privacy and Confidentiality on Valuation: An International Perspective, Journal of Financial Management & Analysis. 2010 Frank White, The Use of Privacy Impact Assessment in Canada, Privacy files, 2001. ISO/IEC, International Standard ISO/IEC 17799 Information technology Code of practice for information security management, 2000 Office of Management and Budget. OMB Guidance for Implementing the Privacy Provisions of the E-Government Act of 2002(M-03-22).
140 정보법학 제16권 제2호 Abstract There have been a growing number of private information data leakage recently, most of CEO and top managers are interested in the new law to protect their private information data with their business environments from hacking. Among the whole private information protection law, we focused on the third article that is basic principles of the new law. we have been traced the principles of new law its origins, that was originated from OECD 8basic principles. As result, following were found, The basic principles of private information protection law correspond with OECD 8principles. The main punishments of the 70-75th articles regarded as breaking the basic principles. To offer private information data to the others by fraud without customer s agreement is treated with the most severe punishment. In this paper, we propose some detailed guidelines to prepare the new private information protection law specially punishments from lawsuit and any other penalty. Keywords: CEO, Top managers, Private information protection law, OECD 8 principles