SK shieldus Rookies 16기 (데이터3법과 개인정보보호 #02)

만두다섯개·2023년 11월 23일

클라우드 클라우드보안

SK 루키즈 16기

목록 보기

22/52

주요 정보

교육 과정명 : 클라우드기반 스마트융합보안 과정 16기
교육 회차 정보 : '23. 11. 23. 데이터3법과 개인정보보호 #02

피드백

개인정보보호 진단과정 실습 중 문제가 무엇인지 통찰하는 능력 요구
데이터(DB, 개인정보보호 진단목록 일치여부) 해석 가능 여부와 데이터를 나만의 시선으로 진단한지가 요구된다.

#_1 개인정보 보호법의 이해

개인정보 보호법 개요

상위의 법이 하위의 법 보다 우선시된다.
신법이 구법보다 우선시된다.
특별법이 일반법보다 우선시된다.
법률 : 법
법령 : 법 + 시행령
헌법 -> [법률, 조약, 국제협규] -> [대통령령(시행령), 국회규칙, 대법원규칙, 등] -> 총리령, 부령 -> [행정규칙, 자치법규]
헌법 대비 하위법들이 위헌법률심판을 통해 헌법을 위헌으로 만들 수 있다.

타 법률과의 관계

개인정보 보호법은 개인정보 보호 분야의 일반법이다.

사회 전반의 개인정보 보호 규율
모든 공공기관, 사업자, 법인, 단체, 개인 등

다른 법률에 특별한 규정이 있는 경우 : 해당 법률의 규정을 우선 적용(위치정보법, 신용정보법, 전자금융거래법, 의료법)
개인정보 보호법 제2조 4. 개인정보파일의 정의 : “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다. (DB, 엑셀 파일 등을 말함)

국가법령정보 센터

개인정보 보호법 주요 내용

정보주체는 정보 수검자로부터 다양한 권리를 요구할 수 있고, 법적으로 보호받을 수 있다.

제 3장 개인정보의 처리 중점

1. 개인정보 수집 관련 고시

개인 동의를 받는다.
법에 근거해 수집, 특별한 경우

정보주체로부터 별도의 동의를 받은 경우 => 정보주체의 동의가 얼마나 이해했는지 여부에 따라 동의에 대한 무게가 달라진다. 전문가들의 비판이 존재한다.
2-1. 고유식별정보처리 제한
제24조(고유식별정보의 처리 제한) ① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 “고유식별정보”라 한다)를 처리할 수 없다.
고유식별정보 처리 호

정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우

제15조(개인정보의 수집ㆍ이용) ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
제17조(개인정보의 제공) ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

2. 개인정보 처리 관련 고시

2-2. 주민등록번호 처리 제한

제24조의2(주민등록번호 처리의 제한) ① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다. <개정 2014. 11. 19., 2016. 3. 29., 2017. 7. 26., 2020. 2. 4.>

주민등록번호 처리 호

법률ㆍ대통령령ㆍ국회규칙ㆍ대법원규칙ㆍ헌법재판소규칙ㆍ중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회가 고시로 정하는 경우

3. 개인정보의 목적 외 이용 및 제공 제한

제18조(개인정보의 목적 외 이용ㆍ제공 제한) ① 개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제28조의8제1항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다. <개정 2020. 2. 4., 2023. 3. 14.>② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제5호부터 제9호까지에 따른 경우는 공공기관의 경우로 한정한다. <개정 2020. 2. 4., 2023. 3. 14.>

정보주체로부터 별도의 동의를 받은 경우
다른 법률에 특별한 규정이 있는 경우
명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
삭제 <2020. 2. 4.>
개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의ㆍ의결을 거친 경우
조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
법원의 재판업무 수행을 위하여 필요한 경우
형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

정보주체의 동의를 받거나, 다른 법률에 특별한 규정이 있는 경우, 정보주체의 생명,신체,재산의 이익을 위해 필요하다고 인정되는 경우 등 특수한 경우에는 개인정보를 목적 외의 용도로 이용 가능.
공공기관에서도 제5호부터 9호까지의 경우 개인정보의 목적 외 이용 가능.

4. 개인정보 수집 제한

제16조(개인정보의 수집 제한) ① 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.
② 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다. <신설 2013. 8. 6.>
③ 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.

개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니된다. -> 필수 정보 외의 정보를 수집할 수 없도록 할 수 있지만, 서비스 제공의 불이익은 준다고 보통 명시됌

개인정보 처리와 침해사례

2022년 분쟁조정사례집 해석

개인정보 처리와 침해사례 실습

개인정보 분쟁 조정을 담은 내용으로, 분쟁발생 이후 해당 내용을 신청하면, 위원회에서 분쟁을 판단해 답변한 내용을 담고 있다.
분쟁 예시 : 구매자가 무인계산대에서 구매 후 매장을 나가려고 하자, 직원이 계산여부를 확인하기 위해 구매자의 개인정보가 존재하는 영수증을 뽑아 대조하였음. 구매자는 자신의 개인정보를 무단으로 사용한 건에 대해 분쟁조정을 신청함.
분쟁 결과 : 무인 물품 계산대를 사용했다는 것, 직원은 물품구매 계약 체결 및 이행을 위해 적법하게 수집한 것이므로 해당 사건을 기각.