2과목 개인정보보호 제도

EU-US Safe-Habor 협정 7원칙

원칙	의미
고지	개인정보의 수집 이용목적, 용도, 정보를 제공하는 제3자의 유형, 문제 제기 또는 권리행사 시 접근방법 등에 대하여 고지
선택	개인정보가 제3자에게 제공되는지 여부 및 최초의 수집목적과 양립할 수 없는 다른 목적으로 정보가 사용될 것인지 여부에 대해 옵트 아웃 방식의 선택권을 제공(민감한 정보에 대해서는 옵트 인 방식의 선택권 제공)
제공	개인정보의 위탁처리 등과 같이 제3자에게 개인정보를 제공할 경우, 당사자에게 고지함은 물론 선택권을 부여해야 함
접근	정보 주체의 접근권과 정정요구권을 보장
안전성	개인정보를 손실, 오용, 권한 없는 접근, 변경, 파기로부터 보호하기 위한 합리적 예방조치를 취하여야 함
정보 무결성	당초의 수집 및 이용목적에 부합한 개인정보의 이용, 정확성 완전성 최신성의 확보
이행	원칙의 준수를 담보할 수 있는 구체수단과 분쟁해결절차, 제재수단이 확보

 

OECD 프라이버시 보호 8원칙

원칙	의미
수집 제한의 원칙	○ 무자별적인 개인정보를 수집하지 않도록 제한할 것 ○ 정보 수집을 위해서는 정보주체의 인지 또는 동의가 최소한의 요건이라는 것
정보 정확성의 원칙	○ 개인정보가 사용될 목적에 부합되는 것 ○ 이용목적에 필요한 범위 안에서 정확하고, 완전하며, 최신의 것
목적 명확화의 원칙	○ 개인정보 수집 목적은 수집 시점까지는 알려질 것 (명확화할 것) ○ 목적의 변경이 발생할 때마다 명시될 것 ○ 정보정확성의 원칙과 이용제한의 원칙과 매우 밀접한 연관성을 갖는 것
이용제한의 원칙	○ 목적 명확화 원칙에 의하여 명시된 목적 외의 목적으로 공개, 이용, 이용 가능 제한 될 것 ○ 예외 : 정보주체의 동의, 법률의 규정 등
정보 안전성의 원칙	○ 개인정보의 유실, 불법적 접근, 파괴, 이용, 수정, 공개 등 위험에 대하여 적절한 보안 유지 조치에 의해 보호
공개의 원칙	○ 개인정보와 관련된 제도 개선, 실무, 정책에 대해 일반적인 공개 정책 견지 ○ 개인정보의 존재, 성격, 주요 이용 목적, 정보처리자의 신원, 소재지를 즉시 파악할 수 있는 장치마련
개인 참여의 원칙	○ 개인은 자신과 관련한 정보를 정보처리자가 보유하고 있는지에 대해 정보처리자로부터 직접 또는 다른 경로로 확인받을 권리 ○ 요구가 거부당한 경우, 이유를 요구하고, 거부에 대해 이의를 제기하는 권리 ○ 이의가 인정되지 않은 경우, 해당 정보를 삭제, 수정, 완성 및 보완하게 하는 권리
책임의 원칙	정보처리자가 다른 7개 원칙의 시행 조치를 이행하는데 책임성

 

EU-US Privacy Shield 

- 기업들은 먼저 미상무부에게 신청

- 해마다 갱신

- 탈퇴한 기업들의 명단도 조회 가능

 

APEC CBPR

- APEC 회원국 간 전자상거래 활성화와 안전한 개인정보의 이전을 위해 기업의 개인정보보호 수준을 평가하여 인증하기 위한 글로벌 인증체계

 

 

---

 

정보통신망법

■ 전기통신사업자

- 기간통신사업자 : 초고속 인터넷기업, 이동통신사 등

- 별정통신사업자 : 구내전화, 국제전화 서비스 등

- 부가통신사업자 : 포털사이트, 게임사이트, 온라인쇼핑몰, 커뮤니티 등

 

■ 정보통신서비스 제공자

- 전기통신사업자 + 영리목적으로 법에따라 개인정보를 제공하는자 

 

■ 정보통신서비스 제공자등

- 전기통신사업자 + 영리목적으로 개인정보를 제공하는자 + 이용자의 동의를 얻어 개인정보를 제공받은 자

 

정보통신망법엔 고유식별정보, 민감정보, 영상정보처리기기에 대한 내용이 없음.

 

 

---

개인정보보호법

 

"개인정보파일"

개인정보파일은 컴퓨터등을 이용하여 전자적으로 처리되는 것 뿐만 아니라 종이문서에 수기로 기재한 개인정보도 포함

 

개인정보처리자의 손해배상책임(제39조, 제39조의 2)

 

징벌적 손해배상(제39조 손해배상책임)

 - 개인정보처리자가 고의 또는 과실이 없음을 입증해야함 

 - 정보주체가 입은 손해액의 3배 이내의 범위에서 배상 청구

 

법정손해배상(제39조의2 법정손해배상의 청구)

 - 정보주체에게 손해액의 증명곤란을 완화시켜주기 위한 제도로 최대 300만원 이하의 범위에서 배상 청구

 

 

개인정보 유출 시

- 개인정보 유출 시 지체없이(5일 이내) 정보주체에게 통지·고지(유출된 개인정보에 해당하는 정보주체에게만)

- 1천건 이상의 개인정보 유출시 행정안전부장관과 KISA에 신고 (5일 이내) , 위반 시 3천만원 이하의 과태료

 

※ 정보통신망법

 개인정보 유출 시 지체없이 정보주체에게 알리고 방통위 또는 KISA에 신고(24시간 이내)

 

- 유출 시 고지해야 하는 항목

1. 유출된 경위와 시점

2. 유출된 개인정보 항목

3. 정보주체가 피해를 최소화 하기 위해 할 수 있는 방법

4. 개인정보처리자가 조치한 일, 구제 절차

5. 정보주체에게 피해 발생 시 이를 신고 및 상담 할 수 있는 담당 부서의 명과 연락처

 

 

개인정보 분쟁조정, 단체소송 제도

 - 개인정보분쟁조정위원회를 통해 조정 신청

 - 분쟁조정을 통해 나온 결과는 재판상 화해와 동일 (다시 다룰 수 없음)

 - 개인정보처리자가 집단 분쟁조정 혹은 조정안을 거부 시 단체소송 제기 가능

 

제 3조 개인정보 보호원칙

1. 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.

 

2. 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.

 

3. 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.

 

4. 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.

 

5. 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.

 

6. 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.

 

7. 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.

 

8. 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.

 

 

정보주체의 권리

1. 개인정보 처리에 대한 정보를 제공받을 권리

2. 개인정보 처리에 대한 동의 여부, 동의 범위 등을 선택하고 결정할 권리

3. 개인정보 처리 여부를  확인하고 개인정보에 대한 열람을 요구할 권리

4. 개인정보의 처리 정지, 정정, 삭제 및 파기를 요구할 권리

5. 개인정보의 처리로 인해 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리

 

 

개인정보의 수집·이용

(개인정보처리자는 원래 개인정보 수집·이용이 불가능 하지만 아래의 예외를 둔다)

1. 정보주체의 동의를 받은 경우

2. 법률의 특별한 규정이 있거나 법령상 의무를 준수하기 위해 불가피한 경우

3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위해 불가피한 경우

4. 정보주체와의 계약 체결 및 이행을 위해 불가피 한 경우

5. 정보주체 또는 제3자의 명백한 신채,재산,생명의 이익을 위해 필요하다고 인정하는 경우

6. 개인정보처리자의 정당한 이익을 달성하기 위해 정보주체의 권리보다 명백하게 우선하는경우

 

※ 2~5 는 정보주체의 동의가 필요하지 않다.

 

※ 정보통신망법의 개인정보 수집·이용

- 정보통신서비스 제공자는 다음 어느 하나에 해당하는 경우에는 정보주체의 동의 없이 수집 가능

1. 계약을 이행하기 위해 필요한 경우

2. 요금 정산

3. 다른 법률에 특별한 규정