나경아빠의 스케치북 - 고통은 희망의 씨앗이다

인용 및 출처 : 개인정보 보호법. 저자 이창범

개인정보 보호법의 체계

본문 9장 755개 조문, 부칙

제1장 총칙

- 목적, 정의, 개인정보 보호 원칙, 다른 법률과의 관계 등

제2장 개인정보 보호정책의 수립 등

- 개인정보 보호위원회, 기본계획/시행계획 수립, 개인정보 보호지침, 자율규제촉진 등

제3장 개인정보의 처리

- 수집/이용/제공 등 처리기준, 민감정보/고유식별정보 제한, 영상정보처리기기 제한 등

제4장 개인정보의 안전한 관리

- 안전조치의무, 개인정보파일 등록/공개, 개인정보 영향평가, 유출통지제도 등

제5장 정보주체의 권리 보장

- 열람요구원, 정정/삭제요구권, 처리정지요구원, 권리행사방법 및 절차, 손해배상책임 등

제6장 개인정보 분쟁조정위원회

- 분쟁조정위원회 설치/구성, 분쟁조정의 신청방법/절차, 효력, 집단분쟁조정제도 등

제7장 개인정보 단체소송   

- 단체소송 대상, 소송허가요건, 확정판결의 효력 등

제8장 보칙

- 적용제외, 금지행위, 침해사실신고, 시정조치 등

제9장 벌칙

- 벌칙, 과태료 및 양벌규정 등

제1조(목적) 이 법은 개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 한다.

1. 보호하고자 하는 법인

- 1차적 보호법익 : 사생활의 비밀

- 2차적 보호법익 : 국민의 권리와 이익 및 개인의 존엄과 가치

개인정보의 수집/이용/제공/유출 등에 의하여 영향을 받을 수 있는 제반 권리와 이익, 예를 들어 생명권, 재산권, 명예권, 초상권, 성명권, 행복추구권 등을 모두 포함 

2. 각국의 개인정보법의 입법 목적 비교

우리나라의 입법 목적은 개인의 권리 보호 측과 더 가깝다고 볼 수 있다. 하지만 개인정보로 경제적 이익을 취하는 시대적 배경을 고려한다면 우리나라의 개인정보 보호법도 개인정보의 흐름, 이전을 인정하고 그것의 법적인 근거를 마련한거 같다.

제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.

1. “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

2. “처리”란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.

5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

6. “공공기관”이란 다음 각 목의 기관을 말한다.

가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체

나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관

7. “영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.

1. 개인정보

- 개인을 알아볼 수 있는 모든 종류, 모든 형태의 정보가 개인정보가 될 수 있다.

- <객관적 사실>에 관한 정보이든 그 사람에 대한 제3자의 의견과 같은 <주관적 평가>에 관한 정보이

   든 불문한다.

- 부정확한 정보 또는 허위의 정보라도 특정한 개인에 관한 정보이면 개인정보가 된다.

- 살아 있는 개인에 관한 정보만을 개인정보로 보기 때문에 <사자(死者)>에 관한 정보나 <법인/단체>

   에 관한 정보는 개인정보로 보지 않는다.

- "쉽게 결합하여" 라는 단어는 '합리적으로' 라는 의미로 해석해야 한다. 즉 '쉽게'라는 단어는 과학적 

   가능성보다는 수단/방법의 합리성에 무게가 있다. 식별을 위해 불합리할 정도의 시간, 노력, 비용이

   투입되어야 한다면 그런 '단편적인 정보들'은 식별성이 있다고 할 수 없다.

- 컴퓨터로 처리된 개인정보에 한정하지 않고 있어 손으로 기록된 개인정보도 법의 적용 대상에 포함

단지 이 경우에 손으로 기록된 정보가 검색을 할 수 있고 기록 형식이 일정한 '개인정보파일'에 해

당될 때가 아닌가 한다.

- <개인정보 보호법>은 공개된 정보도 개인정보의 범위에 포함시켜서 함부로 수집/이용하지 못하도

   록 하고 있으나, <신용정보법> 은 적법하게 공시 또는 공개된 정보는 '개인신용정보'의 범위에서 

   제외.

금융회사는 서로 "자금세탁방지시스템(AML, Anti-Money Laundry)" 을 통해서 국내외적으로 이루어지는 불법자금의 세탁을 적발 및 예방을 하고 있다. 우리나라의 경우 불법재산의 취득/처분 사실을 가장하거나 그 재산을 은닉하는 행위 및 탈세 등도 포함인데 이에 해당하는 사람, 테러리스트들의 정보를 서로 공유한다. 거기에는 개인정보 보호법에서 고유식별정보라 칭하는 여권번호도 포함된다.

결국 이 정보는 금융회사간 공개된 정보이지만 신용정보법에서는 '개인신용정보' 범위에서 제외하므로 개인정보 보호법에서도 개인정보라 할 수 없을거 같다.

2. 처리

- SNS 환경에서 개인정보의 <공개>는 <제공> 못지않게 중요한 의미를 가지지만 우리나라 "개인정보

   보호법"에서는 보호의 사각지대임

전달, 제공, 공유, 공개의 용어는 개인정보의 처리할 특정 상대방이 존재함을 의미하는거 같다.

따라서 페이스북의 개인정보 공개에 대해서 특정인을 지정해서 공개하는 것이라 할 수 없다고 볼 수 있다.

3. 정보주체

- 국적이나 신분에 관계없이 살아있는 누구나 정보주체가 될 수 있다.

- "정보통신망법"의 권리주체를 정보통신서비스제공자(개인정보처리자)가 제공하는 서비스를 이용

   하는 '이용자'로 한정

금융위원회에서는 금융회사가 정통통신망법 대상이 아니라고 하고

방송통신위원회는 금융회사도 정통통신망법 대상이지만 주민번호가 꼭 필요한 업종은 제외한다는 규정에 따라 제외라고 한다.

두 위원회간 법리 해석은 정식적인 문서로 된건 없고 서로 적당한 선에서 타협하는거 같다.

하지만 농협, 현대캐피탈 같은 사고가 터지면 양 위원회는 모두 관여하는거 같다.

- "신용정보법"도 금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한 정보의 처리

   에 관한 법률이므로 원칙적으로 상거래 관계의 존재를 전재로 정보주체를 정의한다.

- "정보통신망법"과 "신용정보법"은 노사관계, 공사관계 등에서 적용되지 않지만 "개인정보 보호법"은 

   개인정보처리자와 정보주체 사이에 특별한 계약관계를 요구하고 있지 않다.

따라서 회사 임직원의 개인정보도 개인정보 보호법의 적용을 받는다

인용 및 출처 : 개인정보 보호법. 저자 이창범

개인정보 관련 관련 법에서의 정의

개인정보 보호법

"개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼

수 있는 정보 (해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼

수 있는 것을 포함한다) 를 말한다.

정보통신망법

생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호,

문자, 음성, 음향 및 영상 등의 정보 (해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와

쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다) 를 말한다.

따라서 개인정보에 대한 정보통신망법의 정의와 개인정보 보호법의 정의는 표현만 다를 뿐 내용상으로는 다르지 않다.

신용정보법 에서는 개인정보라는 용어 대신에 "개인신용정보"와 "개인식별정보"라는 용어를 사용한다.

"개인정보 보호법"은 공개된 정보도 개인정보의 범위에 포함시켜 함부로 수집, 이용하지 못하도록 하고 있으나, "신용정보법"은 적법하게 공시 또는 공개된 정보는 '개인신용정보'의 범위에서 제외시켜 규율 대상이 아니라고 한다.

"개인정보 보호법"상의 정의로는 개인신용정보와 개인식별정보는 물론, 적법하게 공시 또는 공개된 정보도 개인정보의 범위에 포함되므로 "개인정보 보호법"에 의한 보호를 받는다.

신용기관이나 은행에서는 연체자, 신용불량자, 테러리스트를 관리하고 이것을 공유하고 있어 업무에 활용하고 있다. 따라서 적법하게 신용불량자, 테러리스트에 대해서 산출이 되고 공시 또는 공개가 되면 신용정보법 상으로는 문제가 되지않는걸로 이해가 된다.

인용 및 출처 : 개인정보 보호법. 저자 이창범

개인정보 보호법에서는 "개인정보" 를 아래와 같이 정의하고 있다.

제2조(정의)

1. "개인정보" 란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 

    수 있는 정보 (해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수

    있는 것을 포함한다) 를 말한다.

개인정보를 '성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보' 라고만 규정하고 있고

정보의 성격, 내용, 형식 등에 대해서는 특별한 제한을 두고 있지 않다.

따라서, 개인을 알아볼 수 있는 정보가 되는 모든 종류, 모든 형태의 정보가 개인정보가 될 수 있다.

"객관적 사실", "주관적 사실", "부정확한 정보", "허위의 정보" 라도 개인의 관한 정보이면 개인정보가 된다.

어느 회사, 모 부서의 키 174cm, 몸무게 67kg 남자라는 객관적 정보도 개인정보가 되고 그 부서에 키 크고 뚱뚱하고 쇼핑몰 자주 이용하는 그 사람도 개인정보가 될 수 있다.

모 조합의 조합장이 함바집으로부터 1억 수수했다 라는 거짓 정보도 개인정보가 될 수 있다.

임직원이 업무 목적으로 주고 받은 메일의 내용이나 첨부 파일에 있는 개인에 관한 정보는 "개인정보 보호법" 상의 개인정보가 되지만 개인 또는 가사 목적으로 주고받은 이메일 속의 개인에 관한 정보는 개인정보로 보지 않는다.

개인정보 통제 때문에 회사 컴퓨터내 저장되는 엑셀 파일 등에 개인정보가 있으면 검출하거나 암호화 하는 솔루션이 있지만 업무 목적인지 개인 목적인지에 따라서 통제 대상이 될 수 있고 안 될 수 있다.

이것을 판단하기는 어려운 일이니 기본적으로 회사 컴퓨터에 저장되는 개인정보가 포함되는 걸로 추정되는 파일들은 검출되거나 암호화 대상으로 봐야한다. 회사 컴퓨터는 개인의 목적이 아닌 회사 업무용으로 지급한 것이므로

"개인정보 보호법" 2조 1항에서는 "살아있는 개인" 에 관한 정보만을 개인정보로 보기 때문에 "죽은 사람", "법인, 단체" 에 관한 정보는 개인정보로 보지 않는다.

직간접적인 정보와 개인 사이에 관련성이 있을 때 개인정보로 판단한다.

그 판단 기준은 

(1) 해당 정보의 내용

(2) 해당 정보의 처리목적

(3) 해당 정보의 처리결과

이고 이 세 가지 요소를 분석하여 최소한 한 가지 이상의 관련 요소가 있다고 판단되면 그 정보와 개인사이에 관련성이 존재한다고 볼 수 있다.

B의사가 작성한 A환자의 정신과 진료차트는 A환자의 건강상태를 타나냄(해당 정보의 내용)

의료분쟁 발생 시 B의사의 진료방식을 평가하는 목적으로 사용 가능(해당 정보의 처리목적)

진료결과는 남편C씨의 향후 가정 내에서의 역할 변화에 영향(해당 정보의 처리결과)

따라서 A의 진료차트는 A, B, C 모두와 관련성을 가진다.

"개인정보 보호법" 상 식별의 의미는 다른 사람과의 "구분" 또는 "구별" 의 개념과 같다.

따라서 구별할 수 있는 일반 정보들 - 키, 나이, 얼굴, 헤어스타일, 출생지, 직업, 거주지, 성격 등 - 을 조합하여 간적접으로 식별할 수도 있다.

다른 정보가 결합, 조합해서 특정인을 식별해 낼 수 있는데 법에서는 "쉽게 결합하여" 라는 단어를 사용하고 있지만 이것은 "합리적으로" 라는 의미로 해석해야 한다. 즉, "쉽게" 라는 단어는 과학적 가능성보다는 수단, 방법의 합리성에 무게를 둔다.

식별을 위해 불합리할 정도의 시간, 노력, 비용이 투입되어야 한다면 그런 '단편적인 정보들'은 식별성이 있다고 볼 수 없다.

개인의 유전자 정보 등은 당장 개인을 식별할 수 없으므로 개인정보로 볼 수 없다는 의미다.

y 염색체에 변형이 일어났고 23쌍이 아닌 남자다 라는 것은 쉽게 누군지를 판단할 수 없다.

유동 IP 는 컴퓨터가 부팅시마다 IP 가 달라지는 것인데 대개는 이전에 배정받았던 IP주소를 그대로 재배정 받는 경우가 더 많다. 인터넷 서비스 제공자나 통신망 관리자는 인터넷 접속 날짜, 접속 시간, 배정된 유동 IP주소 등을 파일에 체계적으로 관리하기 때문에 유동 IP주소를 배정받은 가입자를 식별해 내는 것은 어렵지 않다. 따라서 유동 IP 정보는 개인정보로 취급해야 한다.

인터넷 검색 서비스에서 개인화 서비스라 하여 인터넷 이용 행태를 수집, 분석하여 실명에 의해 저장하지 않고 이름, 이메일 정보도 저장하지 않는다. 수집된 행위에 대한 정보는 코드값으로 저장되지만 그 자체가 특정 개인에 관한 정보이고 언제든지 정보 주체를 특정할 수 있는 상태이므로 개인정보로 봐야 한다.

다만, 서비스 제공자가 이용자의 행태를 분석하지 아니하고 통계적인 방법으로 이용자의 이용 행태를 수집, 분석해 놓은 정보는 정보주체를 특정할 수 없어 개인정보라 할 수 없다.

서점 등의 홈페이지에서는 이 책을 산 사람들이 추가 구매한 책 등으로 정보를 보여주고 있다. 결국 이런 것들이 위에 해당하는 것이 된다.

최근 증권가에서는 쇼셜 트레이딩이라고 해서 고수들의 매매 패턴을 볼 수 있거나 추적 매매 기능을 도입하고 있다. 이런 개인의 매매 정보를 다른 투자자들한테 오픈할 수 있도록 사전에 협약하지 않고 한다면 그것은 개인정보 위반이 될 것이고 A 종목을 매수한 사람들이 평균적으로 많이 매수한 또 다른 종목은 B 다라고 하면 개인정보 위반이 아니다.