[헌법 17조] 모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다.
[헌법 10조] 모든 국민은 인간으로서의 존엄과 가치를 가지며, 행복을 추구할 권리를 가진다. 국가는 개인이 가지는 불가침의 기본적 인권을 확인하고 이를 보장할 의무를 가진다.
위 헌법은 법적으로 개인정보 자기 결정권이 기본권으로 보장되어 있음을 의미하며,
이에 대한 구체적인 시행 법률로서 2011년 3월 29일, 개인정보 수집, 유출, 오용, 남용으로부터
사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존업과 가치를
구현하기 위하여 개인정보 처리에 관한 사항을 규정하는 법이 제정되어 그 해 9월 30일에 개인정보보호법
으로 공표되었습니다.
개인정보의 중요성은 이제 굳이 말로 설명하지 않아도 모두 잘 알고 있습니다.
중요성이 커진 만큼 개인정보보호 관련 법령에 대한 관심도 많아지고 있는데요.
개인정보보호 관련 법령은 [개인정보보호법], [정보통신이용촉진 및 정보보호 등에 관한 법률],
[신용정보의 이용 및 보호에 관한 법률] 등이 있습니다.
기관, 사업자마다 개인정보보호와 관련된 법을 적용받는 법률의 차이점과 공통점을 알아보고,
이를 충족시키기 위한 기술적, 관리적 조치에 대해서도 알아보겠습니다.
ㅣ개인정보보호 관련 법령
개인정보보호법 체계
■ 법령 : 개인정보보호법, 시행령, 시행규칙
■ 행정규칙
_ 개인정보 역량평가(PIA)에 관한 고시
_ 개인정보보호 관리체계(PIMS) 인증 등에 관한 고시
_ 개인정보의 안정성 확보 조치 기준
_ 표준 개인정보 보호 지침
■ 기타 : 대부분의 기준이 행정자치부에서 관리되어 있으며 부속 안내서도 발간됨
_ 개인정보의 안정성 확보 조치 기준 해설서
_ 개인정보의 영향평가 수행 안내서
_ 개인정보의 암호화 조치 안내서
_ 개인정보보호법 해설서
정보통신망법(정보통신 이용 촉진 및 정보보호 등에 관한 법률) 체계
■ 법령 : 정보통신방법, 시행령, 시행규칙
■ 행정규칙
_ 개인정보의 기술적 관리적 보호조치 기준
_ 정보보호 관리등급 부여에 관한 고시
_ 정보보호 관리체계 인증(ISMS) 등에 관한 고시
_ 정보보호 사전점검에 관한 고시
_ 정보보호조치에 관한 지침
_ 개인정보보로 관리체계 인증 등에 관한 고시(PIMS, 2016.01.01)
■ 기타 : 과학기술정보통신부, 방송통신위원회에서 관리되고 있음
_ 개인정보의 기술적 관리적 보호조치 기준 해설서
신용정보법(신용정보의 이용 및 보호에 관한 법률) 체계
■ 법령 : 신용정보법, 시행령, 시행규칙
■ 행정규칙
_ 신용정보법 감독규정
별표2 : 신용조회업 및 신용정보집중 기관 허가에 필요한 정보처리 정보통신 설비 요건(제6조1항 관련)
별표3 : 기술적 물리적 관리적 보안대첵 마련 기준(제20조 관련)
별표4 : 신용정보제공 계약에 포함될 신용정보 보안관리대책(제21조 관련)
■ 기타 : 금융위원회에서 관리되고 있음
_ 개인정보 비식별 조치
ㅣ주요 지침 및 법령 내용
개인정보의 안정성 확보 조치 기준(2017.06.26 재개정)
개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지
아니하도록 안정성 확보에 필요한 기술적, 관리적, 물리적 안전조치에 관한 최소한의 기준을 정하는 것
개인정보처리 유형 및 개인정보 보유량에 따른 안전조치 적용 기준으로 내부관리계획, 접근권한, 접근통제, 암호화, 관리용 단말기 안전조치, 접속기록 관리, 재해재난 대비 조치, 개인정보 파기, 물리적 안전조치 등의 내용을 포함하고 있음 |
표준 개인정보 보호지침(2017.07.26 재개정)
개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정
개인정보처리자의 개인정보 수집이용, 제공, 목적 외 이용, 고지, 파기, 보존, 동의, 의탁, 유출통지 및 대응 개인영상정보의 설치 운영 등 개인정보 보호관련 전반에 대한 법령 보조 자료로 활용 됨 |
개인정보의 암호화 조치 안내서(2017.01, 행자부-KISA)
개인정보보호법에 따라 개인정보처리자가 개인정보를 안전하게 저장, 전송하는데
사용되는 암호화 기술에 대한 안내
암호화 적용 기준표 참고 |
개인정보의 기술적 관리적 보호조치 기준(2015.05.19)
정보통신서비스 제공자 등이 이용자의 개인정보를 취급함에 있어서 개인정보가 분실, 도난, 누출, 변조, 훼손 등이 되지 아니하도록 안전성을 확보하기 위해 취해야하는 기술적, 관리적 보호조치의 최소한의 기준을 정하는 것
내부관리계획, 접근통제/접속기록 위변조 방지, 개인정보 암호화, 물리적 접근방지, 물리적 보호조치, 악성 프로그램 방지 드의 지침을 담고 있음 |
정보보호조치에 관한 지침
정보통신서비스 제공자가 정보통신 서비스를 제공하는데 사용되는 정보통신망의 안정성 및 정보의 신뢰성을 확보하기 위한 보호조치의 구체적인 내용을 정함
기술적, 관리적, 물리적 보호조치의 구체적인 내용을 36개 항목으로 카테고리화하여 분류함 |
신용정보업 감독규정 별표3-기술적, 물리적, 관리적 보안대책 마련 기준
신용정보제공 이용자, 신용조회업자, 신용조사업자, 채권추심업자 등 신용정보업(일명 금융권)자가
지켜야할 신용정보의 오남용으로부터 사생활의 비밍 등을 보호하고자 하는 목정을 달성하기 위한 기준을
마련함
접근통제/접속기록의 위변조 방지, 개인신용정보의 암호화, 컴퓨터 바이러스 방지, 출력복사 시 보호조치, 신용정보의 수집, 이용, 제공, 폐기, 관리 관련 지침, 신용정보 이용제한에 대한 기준 등을 제시함 |
ㅣ개인정보보호법과 타 법령과의 관계
개인정보보호법의 성격
다른 법률에 특정한 규정이 있는 경우는 그 법률이 우선시 되며,
없는 경우에는 일반법인 개인정보보호법을 적용
예) 정보통신망법, 신용정보법, 위치정보 보호법, 전자상거래법이 개인정보보호법 보다 우선
법률 적용 기준
개별법과 이 법이 모순이 발생할 경우에만 개별법 규정이 적용
개별법이 강화되어 있건 완화되어 있건 개별법이 우선 적용 됨
단, 개별법의 시행령이나 시행규칙, 고시, 조례 등은 개인정보보호법 및 시행령 보다
우선 적용되지 않으나, 그 시행령 등이 법률의 위함을 받은 경우는 제외
예) 근로자의 단체 여행보험은 개인정보보호법상 임직원의 별도 동의나 다른 법률의 특별한 규정이 있는
경우 제3자 제공 가능하나, 상법은 단체 상해보럼 계약의 경우 서면 동의 없어도 동의 없이 회사가 수집한
개인정보를 보험회사인 제3자에게 제공할 수 있도록 규정하며, 이 경우 동의 없이 제3자에게 제공 가능
다른 법률과의 관계
영상정보처리기기, 영향평가, 고유식별정보 및 민감정보 처리제한, 집단분쟁 조정제도, 권리침해 행위 단체 소송, 정보주체 이외로부터 수집한 개인정보의 출저고지는 개인정보보호법에만 규정되어 있으므로 개인정보보호법의 적용을 받음
개인정보보호 책임자 제도와 유사한 제도를 타 법에 의해 운영 중인 경우 별도 지정이 필요 없으나,
개인정보보호책임자의 업무를 동시에 수행해야 함
예) 신용정보법 : 신용정보관리 책임자 / 정보통신망법 : 개인정보보호 책임자
ㅣ법 수검자의 범위
[개인정보보호법] 개인정보처리자
개인정보를 처리하는 공공기관, 법인, 단체, 사업자 및 개인으로 업무를 목적으로 개인정보를 처리해야 함
친목, 가사, 친분 등의 목적으로 휴대폰 등에 저장하는 경우 개인정보처리자가 아님
[정보통신망법] 정보통신서비스 제공자
전기통신사업법상의 전기통신사업자 및 영리목적으로 전기통신사업자의 통신역무를 위하여
정보제공 또는 정보제공을 매개하는 자
예) 유, 무선 통신회선 사업자, 포털, SNS 기업, 전자화폐거래소, 인터넷 쇼핑몰, 방송 등 미디어기업,
텔레마케팅 등
[신용정보법] 신용정보제공 이용자
상거래를 위해 신용정보를 타인에게 제공하거나 제공받아 본인의 영업에 이용하는
은행권, 증권, 보험, 카드, 대부, 임대 가공 조합(협동조합), 재정과 관련된 공공기관
ㅣ개인정보보호법 및 타 법령간의 주요 내용 비교
개인정보의 범위
개인정보보호법과 정보통신망법은 개인정보의 개념을 규정하고 있고,
신용정보법은 개인신용정보와 개인식별정보의 개념을 규정하고 있다.
포괄적 의미에서 3개의 법에서 규정하고 있는 개인정보에 대한 기준은 동일하다고 볼 수 있다.
[개인정보보호법] 제2조 제1호
개인정보란 살아있는 개인에 관한 정보로서, 성명, 주민등록번호, 영상 등을 통하여 개인을
알아볼 수 있는 정보
해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을
포함한다.
[정보통신망법] 제2조 제1항 제6호
개인정보란 생종하는 개인에 관한 정보로서, 성명, 주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는
부호, 문자, 음성, 음향, 영상 등의 정보
해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는
그 정보를 포함한다.
개인정보보호법상 정보주체를 이용자라 한다.
[신용정보법] 제2조 제1호 및 제2호 제24조 1항
신용정보란 금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한 정보로서
다음 각 목의 정보
가. 특정 신용정보주체를 식별할 수 있는 정보
나. 신용정보주체의 거래 내용을 판단할 수 있는 정보
다. 신용정보주체의 신용도를 판단할 수 있는 정보
라. 신용정보주체의 신용거래 능력을 판단할 수 있는 정보
개인신용정보한 시용정보 중 개인의 신용도와 신용거래능력 등을 판단할 때 필요한 정보를 말한다.
개인식별정보란 생존하는 개인의 성명, 주소, 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호,
국내거소신고번호, 성별, 국적 등 개인을 식별할 수 있는 정보를 말한다.
개인정보보호법상의 정보주체를 신용정보주체라 한다.
개인정보의 처리
개인정보보호법과 정보통신망법, 신용정보법에서 규정하는 대부분의 입법취지는 동일하며,
세부사항에 대한 명시가 각 법령마다 차이가 있다.
개인정보의 안전한 관리
[개인정보보호법] 개인정보 안정성 확복 조치 기준
개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준을 적용하고 있으며 다음과 같다.
가. 유형1(완화) : 1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인
비용부담을 고려하되, 개인 PC에서 발생할 수 있는 개인정보에 대한 접근통제,
저장시 암호화 등의 가장 기본적인 조치에 대해 기준을 마련
나. 유형2(표준) : 100만명 미만의 정보주체의 과한 개인정보를 보유한 중소기업
10만명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
내부관리계획 포함 접근권한 통제, 암호화 조치, 접속기록 보관, 악성프로그램 방지,
물리적 안전조치, 유출사고 대응 등의 안전조치 기준
다. 유형3(강화) : 10만명 이상의 정보주체에 관한 개인정보를 보유한 대기어브 중견기업, 공공기관
100만명 이상의 정보주체에 관한 개인정보를 보유한 중소기업, 단체
유형2를 초함하고, 위험분석, 재난대비, 수탁자관리감돋 등의 사항이 추가적으로 포함됨
[정보통신망법] 개인정보보호법상의 안정성 확보조치 기준에 대비해 유사한 내용을 규정
명확한 유형 분리를 하고 있지 않으나, 일일 이용자 수 100만명 이상이거나
정보통신서비스 매출이 100억 이상인 사업자에 한해 다음 사항을 추가적으로 시행해야 한다.
가. 개인정보처리시스템에 대한 접근권한 기준 수립시행(망분리 요건)
나. Firewall, IDS 설치 운영
다. 개인정보취급자의 외부 인터넷망 차단
라. 비밀번호 생성방법 및 주기 기준 설정 운영
[신용정보법] 신용정보감독규정 내 기술적, 물리적, 관리적, 보안대책 기준 제시
유형분리를 하고 있지 않으며, 신용정보회사로 규정하고 있다.
다른 법 대비한 보안대책 대비 특이점은 개인신용정보의 조회권한에 대한 상세 구분,
출력복사 시 보조저장매체, 이메일 등을 통한 외부전송 시 보호조치(관리자 사전승인 시스템 구축)을
규정하고 있다.
정보주체 권리보장 및 개인정보 단체소송
가. 개인정보 열람, 정정, 사게, 처리정지에 대한 권리행사 방법 및 절차와 손해배상 책임,
법정손해배상의 청구는 정보통신망법의 경우 열람, 정정 요구와 처리가 보다 엄격하게 적용되어 있으며,
정보통신서비스자공자의 경우 이 법을 우선 적용 받는다.
신용정보보호법에서는 요청 시 삭제를 해야하나, 금융거래에 관한 정보는 5년간 보유 후 별도로 분리보관할 수 있다.
이때도 정보주체에 통보해야한다.
나. 정보주체에 의한 처리 정지는 개인정보보호법을 따르며, 조치 전까지 개인정보를 이용해서는 안된다.
다. 손해배상은 손해액의 3배가 넘지 않는 범위에서 정할 수 있으며, 손해배상액 기준은 정보통신망법이나 신용정보법이 동일하다.
다만, 신용정보법에서는 수탁자의 법 위반 시 위탁자가 손해배상 언대 책일음 지도록 명시하고 있다.
ㅣ개인정보보호법 보칙
적용의 일부 제외
_ 통계법에 따라 수집되는 개인정보
_ 국가안전보장 관련 수집되는 개인정보
_ 공중위생, 공공안녕을 위해 일시적으로 처리되는 개인정보
_ 언론, 종교, 정당 등이 고유 목적을 달성하기 위해 수집, 이용하는 개인정보
_ 친목, 동창, 동호회를 운영하기 위한 개인정보는 일부 법률조항을 적용 안함
시정조치 명령, 침해사고 보고 등 주무기관
_ 개인정보보호법 : 행정자치부
_ 정보통신망법 : 정보통신위원회, 과학기술정보통신부
_ 신용정보법 : 금융위원회, 금융감독원
위에서 언급한 법령에서 알 수 있듯이,
헌법에서 시작된 개인정보자기결정권을 기초로 법률과 대통령, 국가행정기관에서 정한 시행규칙
관련된 고시, 세칙, 기준, 가이드 등이 국민의 프라이버시를 보장해 주고 있습니다.
개인정보보호법은 이제 더이상 일반인들에게 낯선 법령이 아니며, 이미 우리는 영화나 드라마를 통해
지속적으로 인식제고를 하고 있습니다. 이런 직간접적인 경험을 통해 우리가 지키고 관심가져야할
개인정보에 대한 인식도 점점 높아지고 있습니다.
본 법령에 대한 정보를 통해 어떤 상황에서, 누구에게, 어떤 개인정보보호법이 적용되어야하며,
다른 법률과 어떤 차이점이 있는지 알 수 있는 기회가 되셨으면 합니다.
※ 참고문헌
_ 개인정보보호법, 시행령, 시행규칙(2017.10.19)
_ 개인정보의 안전성 확보조치 기준(2017.07.26)
_ 표준 개인정보 보호지침(2017.07.26)
_ 개인정보의 암호화 조치 안내서(2017.01)
_ 개인정보보호 법령 및 지침, 고시 해설(2016.12)
_ 정보통신망법(2017.07.26), 시행령(2017.09.23), 시행규칙(2017.07.26)
_ 개인정보의 기술적 관리적 보호조치 기준(2015.05.19)
_ 신용정보법(2018.05.28), 시행령(2017.10.19), 시행규칙(2015.09.12)
_ 신용정보업 감독규정(2016.10.20)
_ 개인정보 비식별 조치(2016.06.30)
ⓒ 소프트캠프 이종석 이사
'보안 이야기' 카테고리의 다른 글
비주얼 프로그래밍(Visual Programming) 활용 장단점 (0) | 2018.06.27 |
---|---|
개인정보보호법, 개인정보 위탁업무 관리 규정 (0) | 2018.06.22 |
4차 산업혁명, 앞으로 10년 산업구조와 경제 트렌드 (0) | 2018.06.15 |
양자보안의 이해와 전망 (0) | 2018.06.12 |
국내 개인정보 비식별 조치 현황과 대응 방안 (0) | 2017.10.30 |