1. 개인정보보호 관련 법률 체계
1) 개인정보보호 관련법 개요
○ 국내 개인정보보호는 정보통신, 공공 행정, 금융 신용, 의료, 교육 등 분야 별로 개별 법률에 의하여 처리되어 왔다.
○ 각 분야 별로 법률을 적용하여 개인정보보호를 처리하게 되어 개별 법률 사이에는 법률의 적용을 받지 않는 사각 지대가 존재하였다.
- 인터넷진흥원 개인정보침해신고센터 자료에 따르면, .2010년 침해신고 접수 건수 54,832건 중에 ‘정보통신망법’을 적용하지 않는 건수가 38,414건으로 70%에 달하였다.
2) 개인정보보호법 제정
○ 개인정보보호법 제정 및 시행
- 제정: 2011. 3. 29.
- 시행: 2011. 9. 30.
- 일반법
○ 규율 대상 확대
|
대상자
|
대상 수량
|
종전
|
사업자
|
61만개
|
개인정보보호법
|
공공기관, 사업자
|
350만개
|
3) 개인정보보호보호법 주요 내용
○ 적용 사업자
- 공공기관 및 민간 분야 모든 사업자, 개별법 우선 적용(제6조)
○ 적용 범위 확대
- 개인정보를 취급하는 공공기관 및 민간 분야 모든 사업자로 확대
- ‘정보통신망법’의 적용을 받지 않던 민간사업자, 비영리단체
- ‘공공기관의 개인정보보호에 관한 법률’의 적용을 받지 않던 입법부 및 사법부
- 기존은 원칙적으로 컴퓨터 등을 이용하여 전자적으로 처리되는 개인정보만을 대상으로 하였으나, 개인정보보호법은 제한을 두지 않아 종이문서에 수기로 기재한 개인정보도 개인정보 처리절차에 따라 관리하여야 한다.
○ 개인정보 처리절차
- 개인정보 수집, 이용, 제공, 업무위탁, 파기에 대한 절차 규정
- 정보주체 이외로부터 수집한 개인정보 처리 시 정보주체 요구가 있으면 정보주체에 고지할 의무(제20조)
- 고유식별정보 처리의 원칙적 제한(제24조)
- 개인정보 업무위탁 시 정보주체에 고지의무(제26조), ‘정보통신망법’은 동의 요구
- 정보주체의 권리 보장(제35조, 제36조, 제37조, 제38조)
○ 개인정보처리자의 손해배상책임
- 개인정보처리자에게 무과실 입증 책임
- 개인정보처리자에게 법률상 의무를 준수하고 상당한 주의와 감독을 게을리 하지 아니한 경우에 손해배상책임 감경 규정
○ 집단적 분쟁조정제도, 단체소송
- 개인정보분쟁조정위원회에 조정을 신청
- 당사자가 수락한 조정 내용을 재판상 화해와 동일 효력
- 개인정보처리자가 거부하면 법원에 단체소송 제기 가능
4) 정보통신망 이용촉진 및 정보보호 등에 관한 법률(특례로 이동)
○ 정보통신망법의 보호영역
- 개인정보 수집, 이용, 제공, 업무위탁, 파기에 대한 절차 규정
- 수범자: 정보통신서비스 제공자, 준용사업자(오프라인으로 대규모 개인정보를 취급하는 22개 업종)
○ 정보통신서비스 제공자
- 전기통신사업자: 전기통신사업법 규정
사업자
|
서비스
|
방송통신위원회
|
기간통신사업자
|
- 초고송인터넷기업, 이동통신사 등
- 유, 무선 통신사업자 |
허가
|
별정통신사업자
|
- 기간통신사업자의 설비 이용 전기통신역무 제공
- 국제전화서비스, 재판매사업자 |
등록
|
부가통신사업자
|
- 기간통신사업자 설비 임차하여 전기통신역부 제공
- 포털사이트, 게임사이트 |
신고
|
- 영리목적의 정보제공자 및 정보제공 매개자: 전자우편 서비스
○ 이용자
- 정보통신망법 상의 개인정보보호 대상은 정보통신서비스를 이용하는 자의 개인정보를 보호
- 포괄적 개념으로 웹사이트에서 회원가입하여 단순한 일시적 상담, 이벤트 참가하여도 포함
5) 법률간 관계
○ 개인정보보호법
- 일반법으로 특별한 규정이 없는 한 개인정보보호법을 따른다. (제6조)
- 특별법: 정보통신망법, 신용정보보호법 등
○ 정보통신망법(특례로 이동)
- 일반법으로 다른 법률에서 특별히 규정된 경우 외에는 정보통신망법으로 정하는 바에 따른다(제5조)
※ 각 분야별 특별법을 우선 적용하고, 특별법에 적용되지 않은 경우는 정보통신망법을 따르고, 이외 전체적으로 개인정보보호법을 따른다.
6) 개인정보보호법과 정보통신망법 비교
구분
|
정보통신망법
|
개인정보보호법
|
개인
정보 수집 |
ㅇ 조항 없음
|
ㅇ(제20조) 정보주체 이외로부터 수집한 개인정보의 출처 및 목적, 정지요구권리 고지
|
ㅇ(제22조) 수집 시 동의 획득
|
ㅇ(제15조) 수집 시 동의 획득
-정보주체 이익을 위한 경우 등 동의 예외 조항 추가 -고지사항에 대한 동의를 거부할 수 있다는 사실 및 동의거부에 따른 불이익이 있는 경우 그 불이익에 따른 내용 추가 |
|
ㅇ(제23조) 필요최소한의 정보수집
|
ㅇ(제16조) 필요 최소한의 정보수집
-최소한에 대한 사업자 입증 책임 추가 |
|
ㅇ(제23조) 민감정보 수집 제한
|
ㅇ(제23조) 민감정보 수집 제한
|
|
ㅇ(제31조) 아동 개인정보 수집 시 법정대리인 동의 획득
|
ㅇ(제22조 ⑤) 아동 개인정보 수집 시 법정대리인 동의 획득
|
|
수집
|
ㅇ(제23조의 2) 주민등록번호 외의 회원가입 방법 조치
|
ㅇ(제24조) 주민등록번호 등 고유식별정보 수집 시 이용자 별도 동의 획득 등 고유식별정보 처리 체한
-주민등록번호 외 회원 가입 방법 제공 의무 |
개인
정보 이용 및 제공 |
ㅇ(제24조) 목적 외 사용 금지
|
ㅇ(제18조) 목적 외 사용 금지
-예외 조항에 공공기관 등의 사유 추가 |
ㅇ(제24의 2①) 제3자 제공 시 이용자 동의 획득
|
ㅇ(제17조) 제3자 제공 시 이용자 동의 획득
-동의 거부 시 불이익 사실 고지 의무 추가 ㅇ(제18조) 제공받은 제3자에 대해 안전성 확보 조치 등 규제 의무 추가 |
|
ㅇ(제24조의 2②) 제공받은 자의 목적 외 이용 및 재제공 금지
|
ㅇ(제19조) 제공받은 자의 목적 외 이용 및 재제공 금지
|
|
개인
정보 취급 위탁 |
ㅇ(제25조) 개인정보 취급 위탁 시 동의 획득 의무
|
ㅇ(제26조) 개인정보 처리 업무 위탁 시 위탁 목적 외 이용 등에 관한 사항을 문서로 명시하여야 함
-위탁 사실 공개 의무 -텔레마케팅 업무 위탁 시 정보 주체 고지 의무 -위탁 목적 외 이용 금지 의무 |
영업
양수 양도 |
ㅇ(제26조①) 영업 양수•양도 시 통지
|
ㅇ(제27조) 영업 양수•양도 시 통지
|
ㅇ(제26조③) 영업양수자 등이 당초 목적과 다른 목적으로 개인정보 이용•제3자 제공 금지
|
ㅇ(제27조) 영업양수자 등이 당초 목적과 다른 목적으로 개인정보 이용•제3자 제공 금지
|
|
개인
정보 관리 |
ㅇ(제27조) 개인정보관리책임자 지정
|
ㅇ(제31조) 개인정보보호책임자 지정
|
ㅇ(제27조의2) 개인정보취급방침 공개
|
ㅇ(제30조) 개인정보처리방침 공개
|
|
ㅇ(제28조) 기술적•관리적 보호 조치
|
ㅇ(제29조) 기술적•관리적 보호 조치
|
|
ㅇ(제28조의2) 개인정보 취급자의 개인정보 훼손-침해-누설 금지
|
ㅇ(제28조) 개인정보취급자 관리•감독 및 정기 교육 의무 신설
|
|
파기
|
ㅇ(제29조) 수집 목적 달성 시 개인정보 파기
|
ㅇ(제21조) 처리 목적 달성 시 개인정보 파기
-복구 또는 재생되지 않는 파기요건 명문화 -수집 목적 달성 개인정보 보유 시 별도 분리 보유 의무 추가 |
이용자
권리 |
ㅇ별도 조항 없음.
|
ㅇ(제4조) 처리 관련 정보 제공, 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리, 처리 정지, 정정•삭제 및 파기 요구 권리, 구제받을 권리 등 이용자 권리 보호 원칙 별도 규정
|
ㅇ(제30조) 이용자의 동의철회•열람•정정 권리
|
ㅇ(제35조) 개인정보 열람 권리
-열람 제한•거절 가능한 경우 및 사유 통보 의무 구체화 ㅇ(제36조) 정정•삭제 권리 -정정•삭제 결과 통보 의무 등 구체화 ㅇ(제37조) 개인정보의 처리 정지 요청 구체화 |
|
ㅇ(제31조) 법정대리인의 권리
|
ㅇ(제38조) 법정대리인 등 대리인의 권리
|
|
ㅇ(제30조⑥) 이용자의 동의철회•열람•정정요구를 개인정보 수집 방법보다 쉽게 함.
|
ㅇ(제38조) 권리 행사 방법 및 절차 공개 의무 명시화
|
|
손해
배상 |
ㅇ(제32조) 이용자 손해 배상 청구 권리 및 사업자 입증 책임
|
ㅇ(제39조) 정보주체 손해 배상 청구 권리 및 사업자 입증 책임
-법규 준수 및 상당한 주의, 감독을 다한 경우 감경 가능 명시 |
국외
이전 |
ㅇ(제63조) 국외 이전 시 이용자 동의 획득 및 정보통신망법 위반 계약 체결 금지
|
ㅇ(제17조) 국외 이전 시 이용자 동의 획득 및 정보통신망법 위반 계약 체결 금지
|
CCTV
|
ㅇ별도 조항 없음.
|
ㅇ(제25조) 영상정보처리기기의 설치•운영 제한
|
영향
평가 |
ㅇ별도 조항 없음.
|
ㅇ(제33조⑧) 영향평가를 위해 적극 노력하여야 함.
|
유출
통지 |
ㅇ별도 조항 없음.
|
ㅇ(제34조) 유출 사실 인지 시 통지 및 피해 최소화 대책 강구 의무
|
'정보보호관리체계(ISMS-P) > 개인정보보호' 카테고리의 다른 글
개인정보보호 제도(3) - 영상정보처리기기의 설치•운영 제한 (0) | 2022.06.12 |
---|---|
개인정보보호 제도(2) (0) | 2022.06.12 |
개인정보보호의 이해(3) (0) | 2022.06.12 |
개인정보보호의 이해(2) (0) | 2022.06.12 |
개인정보보호의 이해(1) (0) | 2022.06.11 |