인용 및 출처 : 알기쉬운 개인정보보호의 이해와 활용(저자 : 이기혁, 이강신, 박진식, 최일훈)



개인정보의 유출로 집단소송이 가능함에 따라 피해 보상금이 기업의 재무와 주가에 직접적인 영향을 미치고 있다. 따라서, 기업의 입장에서는 피해 보상금 또는 위자료 판단 기준를 살펴봄으로써 "보안 경영" 측면에서 어떠한 대비를 해야하는지 검토할 필요가 있다.


1. 개인정보 유출사고 단계별 위자료 산정시의 고려요소


사고의 단계 

영향 요소 

 사고발생 이전

 개인정보의 수집 목적

 해당 기업의 규모 및 성격

 사전 보안 조치 여부

 사고의 내용 및 경위

 유출의 주체

 개인정보 유출 사고에 있어서의 고의, 과실의 유무 및 그 정도

 유출 정보의 규모 및 성격, 전파가능성

 사고 이후의 조치

 사후조치의 신속성, 적절성

 피해자에 대한 사고의 고지 및 피해회복조치의 유무

 2차적 피해 발생 여부


2. 개인정보 유출 사례에서의 위자료 산정시 고려요소


영향 요소 

N온라인 게임업체 

K은행 사건 

L전자 사건 

1심판결 : 50만원

2심판결 : 10만원 

1심판결 : 10만원

2심판결 : 20만원 

1심판결 : 70만원

2심판결 : 30만원 

개인정보

수집목적 

   - 2심: 영리목적  - 2심: 영리목적 

사전 보안조치

여부 

     - 2심: 당시의 기준수준에
   비추어 충분하다고는 볼
   수 없으나 나름대로의 보
   보안조치를 취함

고의, 과실의 유무

및 그 정도 

 

 - 2심: 피고 직원의 단순 실

   수 및 약관상에서 개인정보

   유출시 책임 규정

 - 2심: 제3자의 범죄행위가
   직접적 원인

유출정보의 규모

및 성격, 전파

가능성 

 - 2심: 유출된 사람은 40~

   50만명으로 추산되며,

   사고기간이 5일에 불과

   

 - 1심
   * 이메일을 전송받아 열람
     한 641명은 피해자임
   * 유출된 파일이 개인의

     이메일 계정으로 전송

   * 이메일 주소는 다른 개인

     정보와 결합하지 않으면

     신분도용 등의 피해가 발

     생하기 어려움

 - 2심

   * 성명, 이메일주소, 특히

     주민번호는 신분도용의

     문제까지 발생할 수 있는

     중요 정보임

   * 암호화하지 않음

   * 정보는 결합함으로써 개

     인의 식별가능성이 커지

     는데 결합되어 유출

 - 1심
   학력사항, 자기소개 등

   개인적으로 상당히 민감

   한 정보임을 고려하되,

   원고들의 성명, 주민번호

   등 직접 불법적인 용도에

   사용되기 쉬운 정보는

   열람되지 않음

 - 2심

   * 사적인 영역의 민감한

      정보까지 침해

   * 성명, 주민번호가 열람

      되지 않음

   * 원고의 신원을 구체적

      으로 특정하기는 어려

      움

   * 원개인정보가 저장이나

      재전송이 어려운 방식

      으로 열람됨

사호조치의 신속성,

적절성 

 - 2심: 시스템 패치작업,
   비밀번호 강제변경 등의
   사후조치
 - 1심
   * 1시간 이내에 사고를 인
      지하고 이메일 발송을
      강제 중단
   * 포털사이트 운영자에게
      이메일을 회수하여 줄
      것을 요청

 - 1심
   * 게시된 지 55분 후에

     삭제

   * 1시간 38분 후에는 채용

     사이트 서버의 접속차단

 - 2심

   * 시스템 모니터링이 아

     니라 다른 인터넷 게시

     판의 모니터링을 통하

     여 이 사건 사고가 발견

   * 사고발생 후 해킹방지

     시스템을 보완하는 등

     의 조치

피해자에 대한

사고의 고지 및

피해회복 조치의

유무 

 - 1심: 별다른 보상 조치를 

   취한 바가 없음

 - 2심: 개인정보 도용의 위험
   이 완전히 제거되지 못한
   점(정보도용차단서비스가
   제3자의 정보도용 시도에
   대한 완벽한 차단책이 되지

   못하고, 서비스 제공시기도

   1년간으로 제한)

 - 2심

   * 이메일 등을 통하여

     안내하지 않음

   * 개인정보 유출여부,

     유출된 정보가 무엇인

     지 확인하여주지 않음

   * 미흡하나마 사과 및 재

     발방지를 다짐한 점

2차적 피해

발생 여부 

 - 1심: 현실적, 경제적으로

   입은 손해는 확인되지

   아니한 점

 - 2심: 실제로 도용되었다

   는 사실이 밝혀지지 아니

   한 점

 - 1심: 악용, 도용 사실이 구

   체적으로 증명되지 않음

 - 1심: 정보가 외부에 확산

   되거나 불법적인 용도에

   사용되지 않음

 - 2심

   * 2차적인 피해 확산가능

     성은 높지 아니함

   * 정보가 외부에 확산되

     거나 불법적인 용도에

     사용되지는 않음


K 은행의 경우 주민번호까지 유출되었지만 주민번호가 아닌 민감정보가 유출된 L 전자의 위자료가 더 크게 나왔다. 각 사의 대응/조치 소요 시간이 1시간 이내와 55분/1시간 38분 차이는 있지만 민감정보를 더 중요시 하는건 아닌지 생각이 든다


3. 개인정보 유출 사고시 기업의 책임을 줄이기 위한 전략


우리나라의 법원의 태도는 기본적으로 정보를 유출한 기업에 대해 상당히 관대

기업이 개인정보 유출 사고에 대해 면책되거나 책임이 경감되도록 하기 위해서는 모든 단계의 요소들에 대해 모든 사항을 고려하여 전사적 차원의 노력을 기울어야 한다.


1) 사고발생 이전 단계

- 개인정보 수집을 최소화

- 수집된 정보를 암호화

- 침해사고가 발생할 수 있는 가능성을 점검

- 개인정보 영향평가를 통해 개인정보를 활용하는 새로운 정보시스템의 도입, 기존 정보시스템의 중대

  한 변경시 시스템의 구축 운영이 개인정보 관련 법률에 부합하는지 점검

- 개인정보 라이프 사이클에 따라 개인정보에 미칠 영향에 대해 미리 조사, 분석, 평가


수집과 암호화, 취약점 점검은 다들 많이 하지만 상시적인 영향평가와 라이프사이클을 통한 분석은 자체적으로 하기엔 부담도 되지만 나름의 프로세스를 만들어 적용해보고 차후 전문업체를 통해 보완해 나가면 좋을거 같다.

일단 업무 중심적(계좌 개설, 금융상품매매 등의 whole process) 으로 필요한 개인정보 수집 여부, 이용 여부, 제공 여부 등으로 따져봐야겠다.


2) 사고발생 단계

- 최대한 사고를 빨리 탐지

- 안전하게 사고 경위를 기록

- 네트워크와 시스템으로부터 침해사고 관련 증거들을 수집

- 개인정보 유출 탐지 모니터링 시스템 구축

- 시스템을 종료하지 않은 상태에서도 실시간으로 사고에 대한 증거를 수집할 수 있는 디지털 포렌식

  기술가 요구됨

- 이상 징후와 사고 당시의 시스템 및 네트워크 상황을 안전하게 로그로 기록하고 무결성을 보장할

  수 있는 시스템 필요


개인정보 유출 탐지 모니터링 시스템은 이전에도 내 블로그에서도 이야기했지만 업무 시스템에서개인정보를 엑셀로 다운로드 받는걸 DB 이력으로 저장하고 해당 파일을 DRM 의 암호해제를 하고 다시 그 파일을 메일/USB 등으로 유출하는지 모니터링할 수 있다. 

파일명 변경 등에 대해서는 파일에 대한 인덱싱, 해시값등을 통해 고민을 해볼 필요가 있겠다


3) 사고 이후 사후처리 단계

- 피해가 다른 영역으로 전파되거나 2차적인 피해가 발생하지 않도록 차단

- 개인들이 피해로부터 회복할 수 있도록 지원

- 신속하게 관련 기관에 사고발생 신고

- 디지털 포렌식 기술을 통해 사고관련 증거를 수집, 분석함으로써 피해재발 방지대책 및 피해 경감

  을 위한 조치

- 신속하게 피해자 개개인에게 개별적으로 피해 사실을 통지

- 피해 사실을 본인이 확인할 수 있는 본인 피해 확인 서비스를 제공

- 아이디, 비밀번호를 변경하도록 요청


EBS, Nate 에서 내 개인정보가 유출되었는지 알려주는 팝업창을 본거 같은데 다 저러한 이유때문있구나.

일반 기업체의 보안 담당자들도 디지털 포렌식 기술 습득이 필요해질듯 싶다.

Posted by i kiss you
,

출처 및 인용 : 라영주 인포섹 컨설턴트, 개인정보보호 실천가이드 中

  이창범, 개인정보 보호법 中



1. 개인정보보호 내부관리계획


개인정보 보호법 시행령

제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.

1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행


1) 기업/기관 내에서 효과적으로 개인정보보호 활동을 시작하기 위해서는 가장 먼저 내부관리계획을 

    수립해야 한다.


2) 개인정보보호 내부관리계획 : 해당 조직의 특성이 반영된 내부 기준으로서의 개인정보보호 

    정책(Policy)이나 지침(guideline)을 의미.


3) 단편적이고 단발적인 보안 대책이 아닌 체계적이고 개인정보보호 실천을 위해 반드시 필요하다.


4) 개인정보 안전성 확보 조치 중의 <내부관리계획>은 개인정보 보호책임자 지정, 개인정보 보호 책임자

   와 개인정보취급자으 역할, 책임, 안전성 확보에 필요한 조치, 개인정취급자에 대한 교육 등에 관한 사항

   이 포함된 중/장기 관점의 계획이라고 할 수 있다.

개인정보 보호책임자의 업무 중 <개인정보 보호 계획>은 매년 반복적으로 수립해야 할 개인정보 보호

교육, 시스템 정기점검, 시설/장비 도입 및 교체, 개인정보 처리관행 개선 등에 관한 사항이 포함된 

연도별 계획이라고 할 수 있다.


<내부관리계획>은 개인정보처리자가 내부 "규정" 또는 "지침"의 형태로 수립/운영

<개인정보 보호 계획>은 개인정보 보호책임자가 입안의 책임을 지며 보통 "계회", "사업" 등의 형태로 존재


2. 내부관리계획 예제


제1장 총칙

제1조(목적)

제2조(적용범위)

제3조(용어정의)

제2장 내부관리계획의 수립 및 시행

제4조(내부관리계획의 수립 및 승인)

제5조(내부관리계획의 공표)

제3장 개인정보보호책임자의 의무와 책임

제6조(개인정보보호책임자의 지정)

제7조(개인정보보호책임자의 의무와 책임)

제8조(개인정보취급자의 범위 및 의무와 책임)

제4장 개인정보보호 조직 구성/운영

제9조(개인정보보호 조직)

제10조(역할별 의무와 책임)

제5장 개인정보의 처리단계별 기술적/관리적 보호조치

제11조(물리적 접근제한)

제12조(개인정보취급자의 접근 권한 관리 및 인증)

제13조(개인정보의 암호화)

제14조(접근통제)

제15조(접근기록의 위변조 방지)

제16조(보안프로그램의 설치 및 운영)

제17조(출력복사시의 보호조치)

제6장 정기적인 자체감사

제18조(자체감사 주기 및 절차)

제19조(자체감사 결과 반영)

제7장 개인정보보호 교육

제20조(개인정보보호 교육 계획의 수립)

제21조(개인정보보호 교육의 실시)

제8장 개인정보보호 유출 시 사고 대응

제22조(개인정보 유출 탐지 시 보고체계 수립)

제23조(개인정보 유출 탐지 시 통보 등 처리체계 수립)


개인정보 보호 계획 예제 (출처 : 페이스북 지인)


1. 내부/외부 규정 및 지침 제정 현황

1.1 내부 규정 및 지침

1.2 개인정보보호 규정 및 지침

1.3 기타법령 관련

1.4 내부 규정 개정 계획

2. 개인정보보호 운영현황

2.1 개인정보보호협의회 운영 현황

2.2 이사회 보고

2.3 CISO, CPO 선임 현황

3. 개인정보보호 내부통제

3.1 내부통제 현황

3.2 외부수탁업체

3.3 본사/지점

4. 기타점검

4.1 개인정보관리 자가 점검

4.1.1 '2012 개인정보관리 자가 점검결과

4.1.2 '2013 개인정보관리 자가 점검계획

4.1.3 미완료 항목에 대한 이행현황 및 계획

4.2 개인정보보호 수준 자가진단

4.2.1 '2012 개인정보보호 수준 자가진단 결과

4.2.2 '2013 개인정보보호 수준 자가진단 계획

5. 보안 취약점 점검 수행 결과/계획

5.1 주요 취약점 점검 결과

5.1.1 금융보안연구원/코스콤 취약점 점검 결과

5.1.2 상반기 취약점 점검 결과

5.1.3 연간 취약점 정기평가 점검 결과

6. 개인정보보호 KPI 현황

6.1 '2012 측정결과

6.2 '2013 계획

7. 개인정보보호교육

7.1 '2012 교육실시 결과

7.2 '2013 교육실시 계획

8. '2013 개인정보보호 관련 프로젝트 


3. 개인정보보호 조직 구성


- 개인정보보호 책임자(CPO)를 지정

- 관련 부서들을 총괄/조율

- 개인정보보호 업무를 수행하는 실무 담당자 구성

- 개인정보보호 책임자는 임원이나 정보주체의 고충처리를 담당하는 부서의 책임자가 바람직

- IT보안부서, 개인정보취급부서, compliance 대응부서 등 관련 조직을 중식으로 협의체 정례화


4. 개인정보 흐름 및 위험 분석


- 개인정보 흐름 분석은 개인정보 생명주기(Life Cycle : 수집 - 저장 - 이용 - 제공 - 파기)에 따라 개인정보

   의 최초 수집 채널, 보유 형태, 개인정보 처리자의 이용/제공 현황, 파기 방법 등을 분석

- 개인정보 흐름상에서 상존하는 취약점 식별

- 취약점의 위험 분석을 통해 발견된 高 위험군의 서비스나 또는 업무 프로세스, 개인정보 처리자 등에 대해

   서는 보호조치를 집중 적용/관리가 필요

- 업무 목적 내에서 필요한 최소한의 개인정보를 도출함으로써 불필요하거나 과도한 개인정보의 수집을 원

   천적으로 제한토록 할 수 있다.


5. 개인정보보호법에 따른 기술적 보호대책


구분 

기술적 보호대책 

법률적 근거 

필수 

 - 접근 권한관리(IAM/DB접근제어) 
 - 방화벽

 - 침입탐지시스템

 - 망분리/NAC

 - 시행령 제30조 1항 2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치

필수 

 - 개인정보 전송관리 시스템

 - 시행령 제30조 1항 3. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치

필수 

 - 로그 수집 및 위/변조 방지 솔루션 

 - 시행령 제30조 1항 4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치

필수 

 - 패치관리시스템(PMS)

 - PC 매체제어 및 백신 프로그램

 - 시행령 제30조 1항 5. 개인정보에 대한 보안프로그램의 설치 및 갱신

필수 

 - SOC(Security Operation Center) 또는
   물리보안 영역

 - 시행령 제30조 1항 6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

필수

 - 영구삭제(S/W, H/W, 문서파기) 솔루션

 - 법 제21조 (개인정보의 파기)
 - 시행령 제16조 (개인정보의 파기방법)

필수 

 - 암호화(DRM/DB암호화/파일암호화)

   솔루션

 - 시행령 제21조 (고유식별정보의 안전성 확보 조치)

선택 

 - 개인정보유출시스템(DLP)

 - 시행령 제30조 1항 3. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치

 - 시행령 제30조 1항 5. 개인정보에 대한 보안프로그램의 설치 및 갱신


2011년 버전의 책 내용이라 보완이 필요.

일단 대략적인 관점에서 정리 ㅜㅜ

Posted by i kiss you
,

출처 및 인용 : 염흥렬 순천향대학교 교수, 개인정보보호 실천가이드 中



개인정보 보호법으로 변화되는 주요 사항(자료출처 : 행정안전부)


항목 

AS-IS

개인정보 보호법 시행 이후 

이전 법 규율

- 정보통신, 금융 등 분야별 개별

  법에 의해 규율 

- 공공 민간 통합 규율, 법적용 대상 확

  대(헌법기관, 지방공사, 공공기관, 중

  앙행정기관, 교육 기관 등) 

보호 범위

- 전자적으로 처리되는 개인정보
  파일 
- 전자적으로 처리된 개인정보에 더해
  종이문서까지 보호 범위 확대 

 수집 이용 및 제공 기준

- 분야별 개별법에 따른 처리 기준 

- 공공과 민간을 망라한 일관성있고 표준
  화된 개인정보처리 원칙 제시 

고유식별번호 처리 제한 

- 민간 사용을 제한하는 규정 없음 

- 원칙적으로 처리를 금지했으나, 별도

  동의나 법령의 근거가 있을 경우 예외

  인정 

영상정보처리기기 규제 

- 공공기관이 설치 운영하는 CCT

  V 에 한해 규율 

- 민간까지 확대했으며 CCTV 외에 

  네트워크 카메라도 포함 

 유출통지

- 관련 제도 없음  - 의무화 

 집단분쟁조정

- 관련 제도 없음 

- 집단분쟁조정 도입(재판상 화해 효력

  부여) 

단체소송 

- 관련 제도 없음 

- 단체소송 도입 

위원회 

- 국무총리 소속 공공기관개인정
  보심의위원회(공공부문 정책

  심의) 

- 대통령 소속 개인정보보호위원회 설치
  및 운영(공공 및 민간부문 개인정보보호
  정책 심의 및 의결 기구) 


기업의 개인정보안 전략의 변화

1. 최고경영책임자의 개인정보보호 인식 강화

- 고객의 집단소송 제기로 인한 피해배상 규모가 훨씬 더 크다는 것을 인식

- 개인정보보호 문제가 IT 부서 책임자 또는 최고보안책임자 만의 몫이 아니라 최고경영책임자

  의 몫이 되어야 함을 인식해야 함

- 조직의 개인정보보호 정책 수립, 보호해야 할 자산에 대한 위협 요인 분석, 위협 요인을 

  제거하기 위한 대응책 마련에 대한 관리체계가 지속적으로 유지되도록 직접 챙겨야 함


2. 최고경영책임자에 의한 예산의 확보와 조직 운영 지원

- 별도의 개인정보보호최고책임자 임명해 책임과 권한을 동시에 부여    

- IT 부서와 개인정보보호 부서와는 독립적으로 운영

- 조직의 개인정보보호 정책을 새로운 IT 위협환경에 적응하도록 지속적으로 업데이트

예를 들어 개인정보 DB 암호화, 임직원들의 문서 보안 정책 적용(DRM : Digital Rights

Management) 등


- IT 부서와 개인정보보호 부서 간의 정보 교류와 협력 채널도 원활하게 작동토록 지원


3. 개인정보관리체계와 개인정보보호영향평가의 상시적인 관리체계의 운영

- 개인정보보호영향평가((PIA : Privacy Impact Assessment) : 정보시스템 구축 시에 개인정보보호를

  위해 고려해야 하는 필수 사항을 정의하고 이를 반영하기 위한 것임

- 개인정보관리체계를 운영을 통해 개인정보보호 정책을 구현

- 상시적인 개인정보체계를 유지해야하며 이를 위한 전담 조직은 개인정보최고책임자 하부에 

  두어야 함

- 정보시스템 신규 구축 시 개인정보보호 파일을 구축해야 한다면 반드시 개인정보보호영향

  평가를 통해 먼저 개인정보보호 기능이 IT시스템 초기 설계 시에 반영 되도록 해야 함

개인정보보호영향평가는 공공에 한하므로 민간 기업은 금감원 규정과 같은 "보안성 심의

평가" 제도를 운영해야 함


- 자체 또는 제3자의 기관에 의한 사후 감사 기능의 활성화 필요(디지털 포렌식 툴의 설치/운영)

포렌식이라고 해서 거창한 것은 아니다.

당장 내부적으로 할 수 있는 것은 업무시스템에서 엑셀로 다운로드 받을 때 '파기일자', 

'다운로드 목적' 등을 사용자가 입력하게 하고 그 정보를 DB 에 저장해서 통제하면된다.

부가적으로 DRM 과 연동한다면 관제 시스템으로의 확대가 가능하다.

Posted by i kiss you
,

인용 및 출처 : 개인정보 보호법. 저자 이창범


제15조(개인정보의 수집ㆍ이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.

1. 정보주체의 동의를 받은 경우

2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우

5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

1. 개인정보의 수집·이용 목적

2. 수집하려는 개인정보의 항목

3. 개인정보의 보유 및 이용 기간

4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용


1. 개인정보의 수집경로

- 공개된 정보라고 해서 함부로 수집하거나 이용해서는 안 된다.

- 공개자의 의사가 불분명한 경우에는 사회통념상 동의의사가 있었다고 인정되는 범위 내에서만 수집, 

   이용이 가능하다.

블로그 등에 공개한 정보를 선전, 광고, 마케팅 등에 이용하도록 허용했다고 보는 것은 무리임


2. 개인정보의 수집요건

1) 정보주체의 사전 동의를 받은 경우

- 동의의 방법으로는 기명날인, 인터넷 홈페이지 동의란 클릭, 전자우편 발송, 구두승락 등 제한

   없다.

- 고객에 대한 서비스 증진, 당사가 취급하는 신상품 안내, 최신 상품정보 제공, OOO 등, 기타

   등과 같은 막연한 표현은 피해야 한다.

- 인터넷 홈페이지에 게시한다거나 관보에 공개하는 것으로는 안 되고 반드시 정보주체에게 

   개별적으로 알려야 한다.


2) 법률규정이 있거나 법령상 의무 준수를 위해 불가피한 경우

- <법률>에 특별한 규정이 있어야 하므로 시행령, 시행규칙, 고시, 조례 등에서 규정하는 

   것은 안 된다. 그러나 법에서 구체적으로 수집, 이용의 목적 등을 규정하고 필요한 개인정보의

    항목만 시행령, 시행규칙 등에 위임하는 것은 가능

- <불가피한 경우>란 개인정보를 수집하지 않고는 법령에서 부과하는 의무를 이행하는 것이 불가

   능하거나 개인정보처리자가 다른 방법을 사용하여 의무를 이행하는 것이 현저히 곤란한 경우임

금융회사는 개인의 신용, 금융 거래에 주민번호가 필요하므로 이에 해당된다.


3) 계약 체결, 이행을 위해 불가피하게 필요한 경우

- <계약체결>에는 계약체결을 위한 준비단계도 포함

부동산거래에 있어서 계약체결 전에 해당 부동산의 등기부등본 열람 등이 이에 해당.

결혼중개회사가 중개 계약을 위해 남녀의 학력, 건강상태, 가족관계 등을 수집하는 것도 해당


- 불가피하다는 입증책임은 개인정보처리자가 부담


4) 급박한 생명, 신체, 재산상 이익을 위하여 필요한 경우

- 정신미약, 교통사고, 만취, 큰 수술 등으로 의사 표시를 할 수 없는 상태

- 주소불명, 전화불통, 이메일불통 등 불가피한 사유로 사전에 동의를 받을 수 없는 경우

정보주체 또는 법정대리인이 멀리 떨어져 있어 동의를 받기 어렵다거나, 정보주체가 동의를 

계속 거부하고 있다거나, 의도적으로 접촉을 피하고 있다는 사실만으로는 사전 동의를 받을 수

없는 경우에 해당되지는 않는다.


- 손해보다는 이익이 월등하다고 판단되는 경우에는 동의 없는 수집이 가능하다

- 제3자의 이익이 정보주체의 이익보다 월등한 경우에만 동의 없는 개인정보 수집이 가능

회사에서 기밀 유출 방지를 위해서 메신저, 메일에 대한 로깅을 해야한다고 할 경우 임직원 개인이 프라이버시 보호를 위해 동의를 하지 않는다 하더라도 회사의 존페에 관련된 중요 정보 유출 방지를 위한 것이 더 큰 이익이므로 이에 해당할 것이다.


5) 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우

- 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우에도 정보주체의 동의 없이 개인

   정보를 수집할 수 있다. 

- 개인정보처리자의 이익이 명백하게 정보주체의 권리보다 우선하여야 하고, 수집하고자 하는 개

   인정보가 개인정보처리자의 정당하 이익과 상당한 관련이 있어야 하며, 합리적인 범위를 초과해

   서는 안 된다.

요금 징수 및 정산, 영업비밀 및 도난 방지, 사업장 내 안전관리 목적으로 CCTV 설치, 대출, 

배송 등이 개인정보처리자의 정당한 이익이라 할 수 있다.


제16조(개인정보의 수집 제한) ① 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.

② 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.


1. 필요한 최소한의 개인정보

- 일반적으로 필요한 최소한의 개인정보란 해당 개인정보가 없으면 계약의 체결이나 이행, 법률상 의무

   의 준수, 소관업무 수행 등이 불가능하거나 현저히 어려워지는 경우 또는 다른 방법에 의할 경우 과도

   한 비용과 시간이 요구되는 경우, 해당 개인정보는 필요한 최소한의 개인정보라고 할 수 있다.

민원처리 및 전화상담을 위해 불가피한 범위 내에서의 개인정보 수집, 이용은 정보주체의 동의 없이 가능


2. 최소정보의 수집 원칙

- <필수정보>와 <선택정보>를 구분해서 어떤 경우에도 정부주체에게 <필수정보> 이외의 개인정보 제

   공을 강요하지 못하도록 하는 것이 개인정보 최소수집 원칙에 부합

<선택정보> 수집에 동의하지 않는다면 어떤 헤택을 받지 못하는지 표기해야한다.


3. 최소정보의 입증책임

- 개인정보처리자가 해당 개인정보가 필요한 최소한의 개인정보라는 것을 입증하지 못하면 패소하게

   된다.


Posted by i kiss you
,

인용 및 출처 : 개인정보 보호법. 저자 이창범


제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.

1. “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

2. “처리”란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.

5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

6. “공공기관”이란 다음 각 목의 기관을 말한다.

가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체

나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관

7. “영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.


1. 개인정보파일

- 일정한 기준에  따라 쉽게 개인정보를 검색할 수 있도록 체계적으로 배열 또는 구성된 개인정보 집합

   물이면 되고 전자적 형태이든 수기 형태이든 차이가 없다.

고객 DB, 연체고객 리스트, 병원진료카드, 가입자 입회신청서, 출석부, 토지거래허가서 등

- "정보통신망법"과 "신용정보법" 에서는 개인정보파일에 대한 정의가 없기 때문에 파일화할 의도가 없

   는 낱개 또는 낱장의 개인정보도 개인정보 처리 원칙에 따라서 처리

- "개인정보 보호법" 에서는 개인정보처리자가 처음부터 파일화할 의도가 없었던 개인정보에 대해서는 

  "개인정보 보호법"의 원칙이 적용되지 아니한다.


2. 개인정보처리자

- 개인정보처리자는 자신의 이익을 위하여 개인정보의 처리여부, 처리목적, 처리방법 등을 자신의 책임

   아래 스스로 결정할 수 있는 자

- 개인정보취급자는 개인정보처리자를 대신하여 그의 지휘, 감독하에서만 개인정보를 처리할 수 있는

   자

- "개인정보 보호법" 에서는 업무를 목적으로 개인정보를 처리하는 자이고

   "정보통신망법"상 정보통신서비스제공자는 전기통신사업자 및 '영리를 목적으로' 서비스 제공자임

- 개인기업의 경우에는 개인정보처리자는 곧 대표인 개인이 된다.

- 자신이 직접 개인정보를 수집, 가공, 편집, 이용, 제공, 전송하지 아니하고 다른 사람 예컨대 수탁자,

   대리인, 이행보조자 등을 통해서 처리하는 경우에도 개인정보처리자에 해당

헤드헌터 등

- 개인정보취급자는 임직원, 파견근로자, 시간제근로자 등이 이에 속한다.

- 친목이나 취미를 위한 단체(동창회, 동호회 등)도 개인정보처리자에 해당

- 단체로서의 조직체계와 의사결정기구를 갖추고 있지 않은 비조직적 단체(계모임 등)는 독립된 활동

  주체로 보기 어렵기 때문에 개인정보처리자로 보기 어렵다.


3. 영상처리기기

- <일정한 공간>에 지속적으로 설치되어 있어야 하므로 개인이 휴대하여 장소를 옮겨 다니면서 촬영이 

   가능한 휴대전화나 디지털 카메라는 영상정보처리기기에서 제외

- 택시, 버스 등 차량에 설치된 카메라와 같이 이동 가능한 차량에 설치된 경우도 <일정한 공간>에 설

   치된 것으로 볼 수 있으므로 지속성 요건만 갖춘다면 영상정보처리기기에 해당

- 영상정보처리기기를 이용하여 다른 사람들 간의 대화를 녹음하거나 청취하는 것은 "통신비밀보호법"

   상 불법

- 업무를 목적으로 상대방이나 제3자의 동의 없이 그의 대화 내용을 녹음하는 행위는 "개인정보 보호법
   " 위반

- 대통령령이 정하는 장치는 "CCTV", "네트워크 카메라" 이다.


제3조(개인정보 보호 원칙) ① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.

② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.

③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.

④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.

⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.

⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.

⑦ 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.

⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.


1. 이 조는 개인정보 처리와 관련하여 국젝적으로 통용되고 있는 원칙들을 반영하고 있다. 1980년 제정된 

   "OECD 프라이버시 8원칙"과 EU 회원국의 입법기준이 된 "EU 개인정보 보호지침"(1995)을 참고하였고,

   우리나라가 제정 과정에서 결정적인 역할을 한 "APEC 정보 프라이버시 원칙"(2004)도 고려하였다.


2. OECD 프라이버시 8원칙과 개인정보 보호 원칙의 비교


OECD 프라이버시 8원칙 

개인정보 보호 원칙(제3조)

- 수집제한의 원칙(1원칙)

- 목적에 필요한 최소정보의 수집(제1항)

- 사생활 침해를 최소화하는 방법으로 처리(제6항)

- 익명처리의 원칙(제7항) 

- 정보 정확성의 원칙(2원칙)

- 처리 목적 내에서 정확성, 완전성, 최신성 보장(제3항)

- 목적 명확화의 원칙(3원칙)

- 처리 목적의 명확화(제1항)

- 이용제한의 원칙(4원칙)

- 목적 범위 내에서 적법하게 처리, 목적 외 활용금지(제2항) 

- 안전성 확보의 원칙(5원칙) 

- 권리침해 가능성 등을 고려하여 안전하게 관리(제4항) 
- 처리방침 공개의 원칙(6원칙)  - 개인정보 처리방침 등 공개(제5항) 
- 정보주체 참여의 원칙(7원칙) 

- 열람청구권 등 정보주체의 권리 보장(제5항) 

- 책임의 원칙  - 개인정보처리자의 책임준수, 신뢰확보 노력(제8항) 


3. 각 법의 개인정보 보호 원칙


개인정보 보호 원칙 

대한민국

1. 처리목적 명확화의 원칙
2. 최소수집의 원칙
3. 적법한 수집 원칙
4. 목적외 이용금지 원칙

5. 정확성의 원칙

6. 안전성의 원칙

7. 공개의 원칙

8. 정보주체 권리 존중의 원칙

9. 사생활침해 최소화의 원칙

10. 익명처리의 원칙

11. 책임의 원칙 

UN 개인정보파일 규제 가이드라인 

1. 합법성과 공정성의 원칙
2. 정확성의 원칙

3. 목적 구체화의 원칙

4. 정보주체 참여의 원칙

5. 비차별의 원칙

6. 예외 명확화의 원칙

7. 보안의 원칙

8. 감독 및 제재의 원칙

9. 국외이전 보장의 원칙

10. 적용범위에 관한 원칙 

EU 개인정보 보호지침

1. 적법처리의 원칙

2. 목적 명확화의 원칙

3. 이용제한의 원칙

4. 관련성의 원칙

5. 정확성의 원칙

6. 익명성의 원칙 

프랑스의 개인정보 보호 원칙

1. 불법수집 금지의 원칙
2. 정보처리 거절의 원칙
    -> 자기에 관한 개인정보의 처리에 반대할 권리를 갖는다

3. 사전통지의 원칙

4. 보존기간준수의 원칙

5. 안전보호조치의 원칙

6. 민감정보 수집제한의 원칙

    -> 인종, 정치적, 사상적, 종교적 신조, 노동조합 등

7. 액세스권에 관한 원칙

8. 정정요구권에 관한 원칙 

영국의 개인정보 보호 원칙 

1. 적법처리이 원칙
2. 목적 명확화의 원칙
3. 관련성의 원칙
4. 정확성의 원칙

5. 파기의 원칙

6. 정보주체권리 보호의 원칙

7. 안전성의 원칙

8. 국외이전 제한의 원칙

    -> 유럽경제공동체 밖의 나라나 지역으로 개인정보 이전 금지

미국의 개인정보 보호 원칙

1. 제3자 제공 제한의 원칙
2. 정보접근권에 관한 원칙

3. 정정의 원칙

4. 목적제한의 원칙

5. 직접 수집의 원칙

6. 사전통지의 원칙

7. 정확성, 합목적성, 현재성, 완전성의 원칙

8. 민감정보 보유금지의 원칙

9. 안전조치의 원칙 


제6조(다른 법률과의 관계) 개인정보 보호에 관하여는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「신용정보의 이용 및 보호에 관한 법률」 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.


1. "정보통신망법"과의 관계

1) 중복되지 않은 규정의 적용

- "정보통신망법"의 적용을 받은 정보통신서비스제공자는 "정보통신망법"에 규정된 사항에 대해서

   는 "정보통신망법"을 따라야 하고, "정보통신망법"에 규정되어 있지 아니한 사항에 대해서는 

   "개인정보 보호법"의 규정에 따라야 한다

2) 중복규정의 적용기준

- 더 상세한 법률이 상대 법률과 모순 또는 충돌이 발생하지 않는다면 더 상세한 법률을 따라야 

   한다.

3) "개인정보 보호법" 우선 적용

- "개인정보 보호법"의 규정을 적용해도 "정보통신망법"과 모순되지 아니하고, "개인정보 보호법"

   과 모순되지 아니하고 "개인정보 보호법"의 관련 규정을 배제하려는 명시적 또는 묵시적 의도가

   없으면 "개인정보 보호법"이 우선 적용된다.

4) "정보통신망법" 우선 적용

- 단순히 명칭만 다를 뿐 역할, 기능이 같거나 유사한 경우에는 개별법, 즉 "정보통신망법" 에서 

   규정하고 있는 명칭과 법률을 따르면 된다.

이 경우는 정보통신을 이용해 서비스를 제공하는 자에 한할 것이다.


2. "신용정보법"과의 관계

1) "정보통신망법" 적용처럼 해당 법을 적용받는 업종, 기관의 경우 더 상세한 법률이 우선 적용된다.

Posted by i kiss you
,

인용 및 출처 : 개인정보 보호법. 저자 이창범


개인정보 보호법의 체계

본문 9장 755개 조문, 부칙


제1장 총칙

- 목적, 정의, 개인정보 보호 원칙, 다른 법률과의 관계 등

제2장 개인정보 보호정책의 수립 등

- 개인정보 보호위원회, 기본계획/시행계획 수립, 개인정보 보호지침, 자율규제촉진 등

제3장 개인정보의 처리

- 수집/이용/제공 등 처리기준, 민감정보/고유식별정보 제한, 영상정보처리기기 제한 등

제4장 개인정보의 안전한 관리

- 안전조치의무, 개인정보파일 등록/공개, 개인정보 영향평가, 유출통지제도 등

제5장 정보주체의 권리 보장

- 열람요구원, 정정/삭제요구권, 처리정지요구원, 권리행사방법 및 절차, 손해배상책임 등

제6장 개인정보 분쟁조정위원회

- 분쟁조정위원회 설치/구성, 분쟁조정의 신청방법/절차, 효력, 집단분쟁조정제도 등

제7장 개인정보 단체소송   

- 단체소송 대상, 소송허가요건, 확정판결의 효력 등

제8장 보칙

- 적용제외, 금지행위, 침해사실신고, 시정조치 등

제9장 벌칙

- 벌칙, 과태료 및 양벌규정 등


제1조(목적) 이 법은 개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 한다.


1. 보호하고자 하는 법인

- 1차적 보호법익 : 사생활의 비밀

- 2차적 보호법익 : 국민의 권리와 이익 및 개인의 존엄과 가치

개인정보의 수집/이용/제공/유출 등에 의하여 영향을 받을 수 있는 제반 권리와 이익, 예를 들어 생명권, 재산권, 명예권, 초상권, 성명권, 행복추구권 등을 모두 포함 


2. 각국의 개인정보법의 입법 목적 비교


 유형

 나라 및 법

 입법 목적

개인의 권리 보호를 강조하는 입법 유형

호주 '프라이버시법'

개인의 프라이버시, 가족, 가정, 통신 등에 대하여 권한 없는 또는 불법적인 침해행위가 발생하지 않도록 법적 대응책을 강구하고 경제협력개발기구(OECD)의 일원으로서 OECD가 권고하고 있는 프라이버시 보호 및 개인자유에 대한 원칙을 이행하기 위한 것

이탈리아 '개인정보 보호법'

정보주체의 권리, 기본적인 자유 및 인권을 존중하는 방향으로 특히 개인의 비밀(confidentiality)과 식별성(personal identity) 그리고 개인정보보호권을 존중하는 방향으로 개인정보가 처리되도록 보장하기 위한 것

독일 '연방 개인정보 보호법'

개인정보의 처리 과정에서 개인의 프라이버시 침해를 방지하는데 있다

개인정보의 유용성을 고려한 입법 유형

OECD 프라이버시 가이드라인(1980)

개인정보의 자동처리와 국가 간 이전이 경제/사회의 발전 및 회원국 간 새로운 관계형성에 기여할 수 있음을 인식하고 회원국은 개인정보의 국외 이전을 부당하게 방해하는 장애물을 제거하고 새로운 장애물의 도입을 피하기 위해 노력해야 한다

OECD 개인정보 국외 이전에 관한 선언(1985)

회원국은 국경 간 개인정보 이전이 가져다 줄 수 있는 편익을 인정하고, 데이터와 정보 및 관련 서비스에 대한 접근을 촉진해야 하며, 데이터와 정보의 국제적 교환을 방해하는 부당한 장벽의 도입을 피해야 한다.

OECD 프라이버시 장관 선언(1998)

프라이버시 및 개인정보 보호에 관한 투명한 규범이 글로벌 네트워크의 신뢰 제고에 핵심적 요소임을 고려하면서 글로벌 네트워크상에서 중요한 권리 보호와 신뢰 구축 그리고 개인정보 국외 이전에 대한 불필요한 규제의 방지를 위한 정부의 역할이 있다.

EU 개인정보처리에 관한 개인보호 및 개인정보의 자유로운 이전에 관한 지침(1995)

- 자연인의 기본적 권리와 자유를 보호하고 개인

   정보처리와 관련한 프라이버시권을 보호

- 회원국은 기본적 권리와 자유, 프라이버시권

   등의 권리 보호를 이유로 하여 회원국의 상호

   간에 개인정보의 자유로운 흐름을 제한

   하거나 금지할 수 없다.

캐나다 '개인정보 보호 및 전자문서에 관한 법률'

정보의 유통과 교환을 촉진하는 기술환경의 시대에 개인의 프라이버시권과 개인정보의 수집/이용/공개의 필요성을 인정하는 방식으로 개인정보를 이용/공개하는 원칙을 확립하는 것

일본 '개인정보 보호법'

고도정보통신사회의 진전에 따른 개인정보의 이용이 현저히 확대되고 있음에 따라 개인정보의 적정한 취급에 관한 기본원칙 및 정부에 의한 기본방침의 작성 그 밖에 개인정보의 보호에 관한 시책에 기본이 되는 사항을 정하고, 국가 및 지방공공단체의 책무 등을 명확히 밝힘과 동시에 개인정보를 취급하는 사업자가 준수하여야 하는 의무 등을 정함에 의하여 개인정보의 유용성을 배려하면서 개인의 권리이익을 보호하는 것

프랑스 '1978년 데이터 처리, 데이터 파일 및 개인자유에 관한 법률

정보기술은 모든 시민이 이용할 수 있어야 한다. 정보기술의 발전은 국제적 협력하에 이루어져야 하며 개인의 식별성, 인권, 프라이버시, 개인 또는 공공의 자유를 침해하여서는 아니 된다


우리나라의 입법 목적은 개인의 권리 보호 측과 더 가깝다고 볼 수 있다. 하지만 개인정보로 경제적 이익을 취하는 시대적 배경을 고려한다면 우리나라의 개인정보 보호법도 개인정보의 흐름, 이전을 인정하고 그것의 법적인 근거를 마련한거 같다.


제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.

1. “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

2. “처리”란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.

5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

6. “공공기관”이란 다음 각 목의 기관을 말한다.

가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체

나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관

7. “영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.


1. 개인정보

- 개인을 알아볼 수 있는 모든 종류, 모든 형태의 정보가 개인정보가 될 수 있다.

- <객관적 사실>에 관한 정보이든 그 사람에 대한 제3자의 의견과 같은 <주관적 평가>에 관한 정보이

   든 불문한다.

- 부정확한 정보 또는 허위의 정보라도 특정한 개인에 관한 정보이면 개인정보가 된다.

- 살아 있는 개인에 관한 정보만을 개인정보로 보기 때문에 <사자(死者)>에 관한 정보나 <법인/단체>

   에 관한 정보는 개인정보로 보지 않는다.

- "쉽게 결합하여" 라는 단어는 '합리적으로' 라는 의미로 해석해야 한다. 즉 '쉽게'라는 단어는 과학적 

   가능성보다는 수단/방법의 합리성에 무게가 있다. 식별을 위해 불합리할 정도의 시간, 노력, 비용이

   투입되어야 한다면 그런 '단편적인 정보들'은 식별성이 있다고 할 수 없다.

- 컴퓨터로 처리된 개인정보에 한정하지 않고 있어 손으로 기록된 개인정보도 법의 적용 대상에 포함

단지 이 경우에 손으로 기록된 정보가 검색을 할 수 있고 기록 형식이 일정한 '개인정보파일'에 해

당될 때가 아닌가 한다.


- <개인정보 보호법>은 공개된 정보도 개인정보의 범위에 포함시켜서 함부로 수집/이용하지 못하도

   록 하고 있으나, <신용정보법> 은 적법하게 공시 또는 공개된 정보는 '개인신용정보'의 범위에서 

   제외.

금융회사는 서로 "자금세탁방지시스템(AML, Anti-Money Laundry)" 을 통해서 국내외적으로 이루어지는 불법자금의 세탁을 적발 및 예방을 하고 있다. 우리나라의 경우 불법재산의 취득/처분 사실을 가장하거나 그 재산을 은닉하는 행위 및 탈세 등도 포함인데 이에 해당하는 사람, 테러리스트들의 정보를 서로 공유한다. 거기에는 개인정보 보호법에서 고유식별정보라 칭하는 여권번호도 포함된다.

결국 이 정보는 금융회사간 공개된 정보이지만 신용정보법에서는 '개인신용정보' 범위에서 제외하므로 개인정보 보호법에서도 개인정보라 할 수 없을거 같다.


2. 처리

- SNS 환경에서 개인정보의 <공개>는 <제공> 못지않게 중요한 의미를 가지지만 우리나라 "개인정보

   보호법"에서는 보호의 사각지대임

전달, 제공, 공유, 공개의 용어는 개인정보의 처리할 특정 상대방이 존재함을 의미하는거 같다.

따라서 페이스북의 개인정보 공개에 대해서 특정인을 지정해서 공개하는 것이라 할 수 없다고 볼 수 있다.


3. 정보주체

- 국적이나 신분에 관계없이 살아있는 누구나 정보주체가 될 수 있다.

- "정보통신망법"의 권리주체를 정보통신서비스제공자(개인정보처리자)가 제공하는 서비스를 이용

   하는 '이용자'로 한정

금융위원회에서는 금융회사가 정통통신망법 대상이 아니라고 하고

방송통신위원회는 금융회사도 정통통신망법 대상이지만 주민번호가 꼭 필요한 업종은 제외한다는 규정에 따라 제외라고 한다.


두 위원회간 법리 해석은 정식적인 문서로 된건 없고 서로 적당한 선에서 타협하는거 같다.

하지만 농협, 현대캐피탈 같은 사고가 터지면 양 위원회는 모두 관여하는거 같다.


- "신용정보법"도 금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한 정보의 처리

   에 관한 법률이므로 원칙적으로 상거래 관계의 존재를 전재로 정보주체를 정의한다.

- "정보통신망법"과 "신용정보법"은 노사관계, 공사관계 등에서 적용되지 않지만 "개인정보 보호법"은 

   개인정보처리자와 정보주체 사이에 특별한 계약관계를 요구하고 있지 않다.

따라서 회사 임직원의 개인정보도 개인정보 보호법의 적용을 받는다


Posted by i kiss you
,

수업 방침

- 중간 고사는 3번째 수업 후 오픈북으로 한다.

- 기말 고사는 모든 수업이 끝난 후 토요일에 오픈북으로 한다.


개인정보보호의 버전

개인정보보호 1.0

- off line 에 낱장의 문서로 개인정보가 있을 때

- 1980년대 이전


개인정보보호 2.0

- 신용법, 정보통신망법 등 개별/특별 법들이 생김

- 1980년대 ~ 2011년

- 개인정보들이 집적, 대량, 유통되고 개인정보의 경제적 가치가 늘어나면서 문제가 발생


개인정보보호 3.0

- 2011년 이후

- 개인정보 보호법 개정

- 개인정보 보호법인 일반법과 기존에 만들어진 개별/특별법들의 충돌이 발생

- 기술은 발전하는데 법령이 이를 못 따라감이 발생


개인정보 보호법이 필요한 이유

기술적으로 가능하다고 해서 모든 걸 기술적으로 저장, 유통한다면 인간이 가치를 지니고 존엄을 가질 수 없다.

cctv 에서 영상만 저장하고 음성을 녹음하지 않는 것은 이러한 이유임.

제3자를 탓하는 내용까지 저장한다면 개인의 존엄에 상처가 생김. 

법으로서 개인정보 보호와 개인의 존엄과 가치의 밸런싱을 유지.

Posted by i kiss you
,