정보보호관리체계(ISMS-P)/개인정보보호

개인정보보호 제도(1)

자격증 홀릭 2022. 6. 12. 09:49
728x90
반응형

1. 개인정보보호 관련 법률 체계

1) 개인정보보호 관련법 개요


○ 국내 개인정보보호는 정보통신, 공공 행정, 금융 신용, 의료, 교육 등 분야 별로 개별 법률에 의하여 처리되어 왔다.

국내 개인정보보호 관련 법률 체계

○ 각 분야 별로 법률을 적용하여 개인정보보호를 처리하게 되어 개별 법률 사이에는 법률의 적용을 받지 않는 사각 지대가 존재하였다.
- 인터넷진흥원 개인정보침해신고센터 자료에 따르면, .2010년 침해신고 접수 건수 54,832건 중에 정보통신망법을 적용하지 않는 건수가 38,414건으로 70%에 달하였다.

2) 개인정보보호법 제정

○ 개인정보보호법 제정 및 시행
- 제정: 2011. 3. 29.
- 시행: 2011. 9. 30.
- 일반법

개인정보보호법과 정보통신망법 관계

 

○ 규율 대상 확대

 
대상자
대상 수량
종전
사업자
61만개
개인정보보호법
공공기관, 사업자
350만개

3) 개인정보보호보호법 주요 내용

○ 적용 사업자
- 공공기관 및 민간 분야 모든 사업자, 개별법 우선 적용(6)

○ 적용 범위 확대
- 개인정보를 취급하는 공공기관 및 민간 분야 모든 사업자로 확대
- ‘정보통신망법의 적용을 받지 않던 민간사업자, 비영리단체
- ‘공공기관의 개인정보보호에 관한 법률의 적용을 받지 않던 입법부 및 사법부
- 기존은 원칙적으로 컴퓨터 등을 이용하여 전자적으로 처리되는 개인정보만을 대상으로 하였으나, 개인정보보호법은 제한을 두지 않아 종이문서에 수기로 기재한 개인정보도 개인정보 처리절차에 따라 관리하여야 한다.

○ 개인정보 처리절차
- 개인정보 수집, 이용, 제공, 업무위탁, 파기에 대한 절차 규정
- 정보주체 이외로부터 수집한 개인정보 처리 시 정보주체 요구가 있으면 정보주체에 고지할 의무(20)
- 고유식별정보 처리의 원칙적 제한(24)
- 개인정보 업무위탁 시 정보주체에 고지의무(26), ‘정보통신망법은 동의 요구
- 정보주체의 권리 보장(35, 36, 37, 38)

○ 개인정보처리자의 손해배상책임
- 개인정보처리자에게 무과실 입증 책임
- 개인정보처리자에게 법률상 의무를 준수하고 상당한 주의와 감독을 게을리 하지 아니한 경우에 손해배상책임 감경 규정

○ 집단적 분쟁조정제도, 단체소송
- 개인정보분쟁조정위원회에 조정을 신청
당사자가 수락한 조정 내용을 재판상 화해와 동일 효력
- 개인정보처리자가 거부하면 법원에 단체소송 제기 가능

4) 정보통신망 이용촉진 및 정보보호 등에 관한 법률(특례로 이동)

○ 정보통신망법의 보호영역
- 개인정보 수집, 이용, 제공, 업무위탁, 파기에 대한 절차 규정
- 수범자: 정보통신서비스 제공자, 준용사업자(오프라인으로 대규모 개인정보를 취급하는 22개 업종)

○ 정보통신서비스 제공자
- 전기통신사업자: 전기통신사업법 규정

사업자
서비스
방송통신위원회
기간통신사업자
- 초고송인터넷기업, 이동통신사 등
- 유, 무선 통신사업자
허가
별정통신사업자
- 기간통신사업자의 설비 이용 전기통신역무 제공
- 국제전화서비스, 재판매사업자
등록
부가통신사업자
- 기간통신사업자 설비 임차하여 전기통신역부 제공
- 포털사이트, 게임사이트
신고

- 영리목적의 정보제공자 및 정보제공 매개자: 전자우편 서비스

○ 이용자
- 정보통신망법 상의 개인정보보호 대상은 정보통신서비스를 이용하는 자의 개인정보를 보호
- 포괄적 개념으로 웹사이트에서 회원가입하여 단순한 일시적 상담, 이벤트 참가하여도 포함

5) 법률간 관계

○ 개인정보보호법
- 일반법으로 특별한 규정이 없는 한 개인정보보호법을 따른다. (제6조)
- 특별법: 정보통신망법, 신용정보보호법 등

○ 정보통신망법(특례로 이동)
- 일반법으로 다른 법률에서 특별히 규정된 경우 외에는 정보통신망법으로 정하는 바에 따른다(제5조)
※ 각 분야별 특별법을 우선 적용하고, 특별법에 적용되지 않은 경우는 정보통신망법을 따르고, 이외 전체적으로 개인정보보호법을 따른다.
 
6) 개인정보보호법과 정보통신망법 비교

구분
정보통신망법
개인정보보호법
개인
정보
수집
ㅇ 조항 없음
ㅇ(제20조) 정보주체 이외로부터 수집한 개인정보의 출처 및 목적, 정지요구권리 고지
ㅇ(제22조) 수집 시 동의 획득
ㅇ(제15조) 수집 시 동의 획득
-정보주체 이익을 위한 경우 등 동의 예외 조항 추가
-고지사항에 대한 동의를 거부할 수 있다는 사실 및 동의거부에 따른 불이익이 있는 경우 그 불이익에 따른 내용 추가
ㅇ(제23조) 필요최소한의 정보수집
ㅇ(제16조) 필요 최소한의 정보수집
-최소한에 대한 사업자 입증 책임 추가
ㅇ(제23조) 민감정보 수집 제한
ㅇ(제23조) 민감정보 수집 제한
ㅇ(제31조) 아동 개인정보 수집 시 법정대리인 동의 획득
ㅇ(제22조 ⑤) 아동 개인정보 수집 시 법정대리인 동의 획득
수집
ㅇ(제23조의 2) 주민등록번호 외의 회원가입 방법 조치
ㅇ(제24조) 주민등록번호 등 고유식별정보 수집 시 이용자 별도 동의 획득 등 고유식별정보 처리 체한
-주민등록번호 외 회원 가입 방법 제공 의무
개인
정보
이용

제공
ㅇ(제24조) 목적 외 사용 금지
ㅇ(제18조) 목적 외 사용 금지
-예외 조항에 공공기관 등의 사유 추가
ㅇ(제24의 2①) 제3자 제공 시 이용자 동의 획득
ㅇ(제17조) 제3자 제공 시 이용자 동의 획득
-동의 거부 시 불이익 사실 고지 의무 추가
ㅇ(제18조) 제공받은 제3자에 대해 안전성 확보 조치 등 규제 의무 추가
ㅇ(제24조의 2②) 제공받은 자의 목적 외 이용 및 재제공 금지
ㅇ(제19조) 제공받은 자의 목적 외 이용 및 재제공 금지
개인
정보
취급
위탁
ㅇ(제25조) 개인정보 취급 위탁 시 동의 획득 의무
ㅇ(제26조) 개인정보 처리 업무 위탁 시 위탁 목적 외 이용 등에 관한 사항을 문서로 명시하여야 함
-위탁 사실 공개 의무
-텔레마케팅 업무 위탁 시 정보 주체 고지 의무
-위탁 목적 외 이용 금지 의무
영업
양수
양도
ㅇ(제26조①) 영업 양수•양도 시 통지
ㅇ(제27조) 영업 양수•양도 시 통지
ㅇ(제26조③) 영업양수자 등이 당초 목적과 다른 목적으로 개인정보 이용•제3자 제공 금지
ㅇ(제27조) 영업양수자 등이 당초 목적과 다른 목적으로 개인정보 이용•제3자 제공 금지
개인
정보
관리
ㅇ(제27조) 개인정보관리책임자 지정
ㅇ(제31조) 개인정보보호책임자 지정
ㅇ(제27조의2) 개인정보취급방침 공개
ㅇ(제30조) 개인정보처리방침 공개
ㅇ(제28조) 기술적•관리적 보호 조치
ㅇ(제29조) 기술적•관리적 보호 조치
ㅇ(제28조의2) 개인정보 취급자의 개인정보 훼손-침해-누설 금지
ㅇ(제28조) 개인정보취급자 관리•감독 및 정기 교육 의무 신설
파기
ㅇ(제29조) 수집 목적 달성 시 개인정보 파기
ㅇ(제21조) 처리 목적 달성 시 개인정보 파기
-복구 또는 재생되지 않는 파기요건 명문화
-수집 목적 달성 개인정보 보유 시 별도 분리 보유 의무 추가
이용자
권리
ㅇ별도 조항 없음.
ㅇ(제4조) 처리 관련 정보 제공, 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리, 처리 정지, 정정•삭제 및 파기 요구 권리, 구제받을 권리 등 이용자 권리 보호 원칙 별도 규정
ㅇ(제30조) 이용자의 동의철회•열람•정정 권리
ㅇ(제35조) 개인정보 열람 권리
-열람 제한•거절 가능한 경우 및 사유 통보 의무 구체화
ㅇ(제36조) 정정•삭제 권리
-정정•삭제 결과 통보 의무 등 구체화
ㅇ(제37조) 개인정보의 처리 정지 요청 구체화
ㅇ(제31조) 법정대리인의 권리
ㅇ(제38조) 법정대리인 등 대리인의 권리
ㅇ(제30조⑥) 이용자의 동의철회•열람•정정요구를 개인정보 수집 방법보다 쉽게 함.
ㅇ(제38조) 권리 행사 방법 및 절차 공개 의무 명시화
손해
배상
ㅇ(제32조) 이용자 손해 배상 청구 권리 및 사업자 입증 책임
ㅇ(제39조) 정보주체 손해 배상 청구 권리 및 사업자 입증 책임
-법규 준수 및 상당한 주의, 감독을 다한 경우 감경 가능 명시
국외
이전
ㅇ(제63조) 국외 이전 시 이용자 동의 획득 및 정보통신망법 위반 계약 체결 금지
ㅇ(제17조) 국외 이전 시 이용자 동의 획득 및 정보통신망법 위반 계약 체결 금지
CCTV
ㅇ별도 조항 없음.
ㅇ(제25조) 영상정보처리기기의 설치•운영 제한
영향
평가
ㅇ별도 조항 없음.
ㅇ(제33조⑧) 영향평가를 위해 적극 노력하여야 함.
유출
통지
ㅇ별도 조항 없음.
ㅇ(제34조) 유출 사실 인지 시 통지 및 피해 최소화 대책 강구 의무
728x90