데이터 3법과 개인정보보호
📌 현대 사회와 개인 정보
1. 디지털 사회에서의 개인정보 이슈
개인의 의지와 관계없이 모든 것이 기록되는 사회
나의 정보가 언제 어떻게 기록됐는지 알 수 없는 사회
나의 정보를 누가 처리하고 알고 있는지 알 수 없는 사회
나의 정보를 왜 처리하고 있는지 알 수 없는 사회
나의 정보를 안전하게 관리하고 있는지 알 수 없는 사회
나의 정보를 어떻게 사용할 것인지 알 수 없는 사회
인지할 수 없는 복잡한 프로세스
내부자에 의한 개인정보 오남용
(1) N번방
(2) 송파구 스토킹 살인사건
외부 해커에 의한 개인정보 유출
싸이월드 개인정보 유출사고
① 해커가 이스트소프트 백신 업데이터 서버 침투
② 업데이트 서버에 악성코드 배포
③ 업데이터 서버에 접속한 싸이월드 소속 지원 PC 감염
④ 감염된 PC를 통한 내부 DB 접근
⑤ 이름, 전화번호, 주민등록번호 등 회원정보 유출
개인정보 유출 및 침해사고 경로와 2차 피해
(1) 개인정보 수집 및 이용
공공기관
오프라인 사업자
통신 사업자
온라인 사업자(게임사, 쇼핑몰 등)
동호회
(2) 개인정보 유출경로
내부자의 고의
관리자 부주의
위탁대리점 수탁사
외부 공격(해커)
(3) 개인정보 거래
온라인
(다크웹 등을 통한 개인정보 거래)
오프라인
저장매체를 통한 판매
(4) 2차 피해
명의 도용
→ 대포폰 개설
→ 대포통장 개설
→ 신용카드 발급
→ 회원가입
악성 행위
→ 스팸 발송
→ 명예훼손
→ 보이스 피싱, 스미싱 등
→ 사기 행위 악용
2. 개인정보보호의 필요성과 개인정보 보호법
개인정보 보호법 제정 배경(2011년)
| 이슈사항 | 세부 이슈사항 | 기대 효과 |
|---|---|---|
| 개인정보 침해사고 | 개인정보 활용 범위 증가 개인정보 가치 증대 대규모 개인정보 침해사고의 빈번한 발생 | 개인정보 보호를 위한 체계적인(법, 감독, 기준 등) 대응 |
| 법 적용 사각지대 해소 | 법 적용대상 사각지대의 발생 개인정보 관련 개별법간 보호 원칙, 처리 기준 및 행정 체계 상이 | 법, 제도의 일원화 |
| 국제적 흐름의 동참 | 다국적 기업 등장 국가간 정보 교류 빈번 프라이버시 라운드 대두 | 국제적 수준의 개인정보 보호 체계 구축 |
개인정보 보호법 제정 및 개정 이력
📌 개인정보와 개인정보 처리 업무
💡 개인정보에 대한 입장 차이
1. 개인정보의 이해
개인정보의 예시
| 구분 | 예시 | 내용 |
|---|---|---|
| 인적사항 | 일반정보 가족정보 | 성명, 주민등록번호, 주소, 연락처, 생년월일, 출생지, 성별 가족 관계 및 가족구성원 정보 등 |
| 신체적 정보 | 신체 정보 의료·건강 정보 | 얼굴, 홍채, 음성, 유전자 정보, 지문, 키 몸무게 등 건강상태, 진료기록, 신체장애, 장애등급, 병력, 혈액형, IQ, 약물테스트 등의 신체검사 정보 등 |
| 정신적 정보 | 기호·성향 정보 내면의 비밀 정보 | 도서·비디오 등 대여기록, 잡지구독정보, 물품구매내역, 웹사이트 검색내역 등 사상, 신조, 종교, 가치관, 정당·노조 가입여부 및 활동내역 등 |
| 사회적 정보 | 교육정보 병역정보 근로정보 법정정보 | 학력, 성적, 출석, 기술 자격증 및 전문 면허증 보유내역, 상벌기록, 생활기록부, 건강기록부 등 병역여부, 군번 및 계급, 제대유형, 근무부대, 주특기 등 직장, 고용주, 근무처, 근로경력, 상벌기록, 직무평가기록 등 전과·범죄 기록, 재판 기록, 과태료 납부내역 등 |
| 재산적 정보 | 소득정보 신용정보 부동산정보 | 봉급액, 보너스 및 수수료, 이자소득, 사업소득 등 대출 및 담보설정 내역, 신용카드번호, 통장계좌번호, 신용평가 정보 등 소유주택, 토지, 자동차, 기타소유차량, 상점 및 건물 등 |
개인정보의 개념
'살아있는'
사망, 실종 선고 등 사망한 것으로 간주되는 자에 관한 정보는 개인정보로 볼 수 없음
사용자의 정보라고 하더라도 유족과의 관계를 알 수 있는 정보는 유족의 개인정보에 해당
국적이나 신분에 관계없이 법 적용 대상
→ Ex. 외국인, 피의자 정보 등
'개인에 관한' 정보
법인 또는 단체의 정보는 해당 X
단, 연관성에 따라 개인정보가 될 수 있음
→ Ex. 대표자 성명, 담당자 전화번호
'정보의 내용·형태' 등은 제한 X
전자, 수기 등 형태와 처리 방식 무관
주관적 평가, 허위정보라도 해당될 수 있음
→ Ex. 평가표, 예명, 생활기록부
개인을 '알아볼 수 있는' 정보
해당 정보를 처리하는 자의 입장에서 합리적으로 활용 될 가능성이 있는 수단 고려
→ c.f. 고유식별정보, 주민등록번호
'쉽게 결합'하여 알아볼 수 있는 정보
다른 정보의 입수 가능성 등 개인을 알아보는데 소요되는 시간, 비용, 기술 등을 합리적으로 고려
💡 타 정보와의 결합을 통한 식별 가능성 (상황마다 다름)
Ex. 통상적으로 전화번호 뒷자리는 개인정보 X
→ 그러나 인구가 적은 마을에서의 전화번호 뒷자리는 개인정보 가능
Ex. '정OO': 개인정보 X
→ 'SK쉴더스 루키즈 19기 정OO': 개인정보 O
가명정보
그 자체의 식별 가능성
가명처리를 하여 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보
개인정보의 개념에 대한 예시
1. 가상자산 사업자가 성명, 전자우편 등 개인을 특정할 수 있는 어떠한 정보도 가지지 않은 상태에서 오직 가상자산 지갑주소만을 처리하는 경우에도 가상자산 지갑주소가 개인정보에 해당하나요?
→ 가상자산 지갑주소 자체만으로는 개인을 알아볼 수 없어도 거래계좌, 이름 등을 통해 특정 개인을 알아볼 수 있다면 개인정보에 해당
2. 배송업체에서 물품을 배송시킬 때 배송 주소와 함께 공동현관 출입 번호를 수집하고 있습니다. 이 경우 개인정보로 봐야 하나요? 만일, 아파트 입주민 개별로 즉, 호수마다 다르게 공동현관 출입번호를 설정하는 경우에는 개인정보에 해당하나요?
→ 공동현관의 출입번호는 개인정보로 보기 어려우나, 개별 세대별로 출입번호가 부여된 경우 개인정보로 볼 수 있음
3. 정보주체가 지문정보를 추출하여 이용하려면 민감정보 수집·이용에 대한 동의를 받아야 하는 것으로 알고 있습니다. 그런데 앱이 정보주체의 지문정보에 접근하거나 저장하지 않고 스마트폰에서 본인 여부에 대해 확인한 결과값만 제공받는 것도 민감정보 이용에 해당하나요?
→ 스마트폰에 내장된 지문으로 본인확인한 결과값은 민감정보에 해당하지 않으므로 결과값 이용은 일반 개인정보의 이용에 해당
2. 개인정보 처리자와 개인정보 처리
개인정보 처리와 처리 시스템의 이해
개인정보 처리자
업무를 목적으로 개인정보 파일을 운용하기 위해 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등
개인정보 처리 시스템
데이터베이스 시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템
개인정보 처리 시스템의 일반적인 구성
행정기관에서의 일반적인 개인정보 처리 목적
💡 처리 단계
① 수집·이용
② 제공
③ 관리(저장)
후에 파기
기업에서의 일반적인 개인정보 처리목적 예시
3. 개인정보 처리 목적
개인정보 처리 방침 수립과 공개
📢 개인정보 보호법 제30조(개인정보 처리방침의 수립 및 공개)
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유기간
3. 개인정보의 제3자 제공에 관한 사항 (해당하는 경우에만)
4. 개인정보 처리의 위탁에 대한 사항 (해당하는 경우에만)
5. 정보주체와 법정 대리인의 권리·의무 및 그 행사 방법에 관한 사항
6. 처리하는 개인정보의 항목
7. 개인정보의 파기에 관한 사항
8. 개인정보의 안전성 확보 조치에 관한 사항
9. 개인정보 자동 수집 장치의 설치·운영 및 거부에 관한 사항 (해당하는 경우에만)
10. 개인정보 보호 책임자의 성명 또는 개인정보 보호 업무 부서의 명칭과 전화번호 등 연락처
11. 개인정보 처리 방침 변경에 관한 사항
② 개인정보 처리자가 개인정보 처리 방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
📢 시행령 제31조
② 개인정보 처리자는 법 제30조 제2항에 따라 수집하거나 변경한 개인정보 처리 방침을 개인정보 처리자의 인터넷 홈페이지에 지속적으로 게재하여야 한다.
개인정보 처리 방침 조사 (발란)
개인정보 흐름도 (발란)
4. 개인정보 처리 관련 과태료 처분
기업 및 기관의 개인정보 보호 위반과 과태료 처분 사례
