개인정보보호법

 

개인정보보호법

글.  오상문 sualchi@daum.net

 

2011년 9월 말일, 개정된개인정보보호법이 시행되었는데, 2012년 3월 말까지는 계도기간이라서 피부에 와닿지 않다보니

그게 산업과 문화 전반에 걸쳐서 얼마나 중요한 영향을 주는 것인지 잘 모르는 분들이 많은 것 같습니다. 

하지만 이제 2012년 4월1일부터는 개인정보보호법을 위반한 업체에 대한 법적인 구속과 제한력이 생기므로

개인정보보호법을 제대로 이해하고 실천하시기 바랍니다.

 

 

개인정보보호법 전문 살펴보기>> 국회법률지식정보시스템: http://likms.assembly.go.kr/law/jsp/law/Main.jsp

개인정보 보호법 ( 제정 2011.03.29 법률 제10465호 )

개인정보 보호법 시행령 ( 제정 2011.09.29 시행령 제23169호 )

개인정보 보호법 시행규칙 ( 제정 2011.09.29 시행규칙 제241호 )

 

2011년 3월 29일 법률 제10465호로 제정된 개인정보 보호법은 

제1장 총칙,

제2장 개인정보 보호정책의 수립 등,

제3장 개인정보의 처리,

제4장 개인정보의 안전한 관리,

제5장 정보주체의 권리 보장,

제6장 개인정보분쟁조정위원회,

제7장 개인정보 단체소송,

제8장 보칙,

제9장 벌칙 등 전문 75조와 부칙으로 이루어졌다.

 

 

개인정보 보호법 요점 정리 (법률 명칭: 개인정보 보호법)                                                               2011.3.29 제정, 2011.9.30 시행 (일부 2011.3.30시행)

 

개인정보보호법의 목적

개인정보 수집, 유출, 오용, 남용, 보관, 접근, 제공, 복구, 삭제, 폐기 등에 이르는 모든 과정에 대한 제한 사항을 다룬다.

 

개인정보란?

사망유무	유형	예	비고
살아 있는 자	개인 식별 정보	성명, 영상(이미지), 주민등록번호, 여권등록번호, 운전면허번호 등	무조건 암호화 저장
	혼합 식별 정보	주소, 전화번호, 학번, 군번, 은행계좌 등	다른 정보와 쉽게 결합하여 개인 식별이 가능한 정보도 개인정보에 해당함.
죽은 자			살아있는 자와 관련된 정보이거나

 

개인정보파일 (규칙에 맞게 정리된 개인정보 집합물)

데이터베이스 자료, 파일 자료, 문서 파일, 이미지 파일, 인쇄/필기한 기록물 등

 

정보주체와 개인정보처리자

개인정보의 대상이 되는 자를 정보주체라 한다.

개인정보를 관리하고 처리하는 자를 개인정보처리자라 한다.

 

개인정보보호법 적용 대상

공공기관, 연구기관, 사업체, 사업자, 개인이다.

즉, 개인정보를 다루는 모든 기관과 사람에 적용한다.

비업무용 개인정보를 다루는 개인들도 개인정보보호법을 준수해야 한다.

 

영상정보처리기기 (대통령령으로 정하는 장치)-일정 지역에 지속해서 설치되어 사람이나 사물 영상을 촬영하는 장치-촬영 내용을 유무선망으로 전송하는 장치

 

개인정보 8대 보호 원칙

- 목적에 맞게 최소한으로 적법하고 정당하게 수집하라.-  목적에 맞는 용도로 처리하고 사용하라. (수집,생성,기록,저장,보류,가공,편집,검색,출력,정정,복구, 이용, 제공, 공개, 파기 등 유사행위)- 목적에 맞는 범위에서 개인정보의 정확성, 완전성, 최신성을 보장해야 한다.- 개인정보 처리 목적 범위에서 피해자(정보주체)가 없도록 안전하게 관리하라.- 개인정보 처리방침 등 개인정보처리에 관한 사항을 공개하고 열람청구권을 보장한다.- 사생활침해를 최소화하는 방법으로 개인정보를 처리한다.- 익명처리가 가능한 경우에는 익명처리가 가능하도록 해야 한다.- 개인정보보호법 및 관계법령을 따르고 정보주체의 신뢰를 얻기 위해 노력하라.

 

 

정보주체의 권리  (정보주체: 자기 개인정보를 제공한 자)

처리 방침 확인, 동의 여부와 범위, 처리 여부, 개인정보 열람과 사본 발급, 처리 정지 요구, 정정/삭제/파기 요구, 피해 발생 시 신속/공정 절차에 따라 구제받을 권리

 

개인정보보호법과 다른 법과의 관계

 

다른 법률이 정한 규정이 있는 경우를 제외하고 이 법에서 정하는 바에 따른다.

(다른 법률: 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 등)

이법의 발효와 함께 효력을 잃은 법은 개인정보보호법을 따른다. 

 

개인정보보호법 시행 수립 및 시행 사항 결정자

대통령령으로 정한다. (시행은 개인정보 보호위원회의 심의/의견을 거친다.)

 

개인정보 보호지침 권장 행정안전부장관은 표준 개인정보 보호지침(표준지침)을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. 중앙행정기관의 장은 표준지침에 따라 소관 분야 지침을 정하여 권장할 수 있다.국회, 법원, 헌법재판소, 중앙선거관리위원회는 해당 기관과 소속 기관의 개인정보 보호지침을 정하여 시행할 수 있다.

 

개인정보 수집/이용이 가능한 경우

-정보주체의 동의 시 -법률 규정 시 또는 법령 준수를 위해 불가피한 경우 -공공기관이 정한 업무를 수행을 위해 불가피한 경우-정보주체와의 계약 체결과 이행을 위해 불가피한 경우 -정보주체와 법정대리인이 의사표현을 할 수 없거나 주소불명 등의 사전 동의를 받을 수 없는 경우로서 정보주체나 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우 -개인정보처리자의 정당한 이익을 달성하기 위한 경우. 단, 정보주체의 권리보다 명백히 우선해야 하고 합리적인 범위를 초과해서는 안 된다.

 

개인정보처리자가 정보주체에 알려야 하는 경우

-개인정보 수집, 이용 목적-수집하려는 개인정보 항목들 -개인정보 보유 및 이용 기간-동의 거부 권리가 있다는 사실과 동의 거부 시 불이익 내용

 

가입자 동의 거부 시 제한사항

최소한의 개인정보를 제외한 개인정보 수집에 동의하지 않을 권리가 가입자에게 있으며, 거부한 개인정보를 이유로 재화 또는 서비스 제공을 거부할 수 없다.

 

 

개인정보를 국내 제3자에게 제공(공유)할 때

-반드시 동의를 받고 제공해야 한다.-동의를 받을 때는 정보주체에게 다음 사항을 알려야 한다. 제공받는 자, 이용목적, 개인정보 항목, 보유 및 이용기간 동의를 거부할 수 있다는 사실과 그 불이익의 내용 (서비스 제한은 할 수 없다.)

 

개인정보를 국외의 제3자에게 제공(공유)할 때

국내 제3자 제공에 대한 사항을 따라야 하며, 이 법을 위반하는 계약을 제3자와 체결해서는 안 된다.

 

개인정보의 이용 제한 예외

정보주체와의 별도 동의 시 (단, 동의 시에는 관련된 개인정보보호법을 따를 것)

다른 법률에 특별 규정이 있는 경우

법원, 보호위원회 등의 정당한 업무 수행을 위한 경우

통계작성, 학술연구에서 특정개인을 알아볼 수 없도록 사용하는 경우

조약, 국제협약에 필요한 경우

범죄수사, 공소 업무에 필요한 경우

 

공공기관이 적법한 절차를 따라서 목적 외 이용하거나 제3자 제공 시

공기관은 목적 외 용도나 제3자에게 제공하는 경우에 행정안전부령에 따라서 관보 또는 인터넷 홈페이지 등에 게재한다.

 

개인정보 파기와 보존

파기할 때는 복구 또는 재생되지 않도록 파기할 것

보존해야 하는 경우에는 다른 개인정보와 별도로 분리하여 저장하고 관리할 것

파기 방법과 절차는 대통령령으로 정한다.

 

개인정보 동의를 받는 방법

정보주체가 명확하게 인식할 수 있도록 각각의 동의사항을 구분하여 동의를 받는다.

동의 없이 처리할 수 있는 정보와 정보주체의 동의를 받아야 하는 정보를 구분한다.

(동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다.)

재화나 서비스를 홍보하거나 판매를 권유하기 위한 개인정보의 처리 동의는 정보주체가 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다.

만14세 미만 아동의 개인정보를 처리 시 이 법에 따른 동의를 받아야 할 때는 그 법정대리인의 동의를 받아야 한다. (법정대리인의 동의를 받기 위한 최소한의 정보를 아동으로부터 직접 수집할 수 있다.)

 

민감정보 제한

개인의 사상/신념, 노동조합/정당 가입과 탈퇴, 정치견해, 건강, 성생활 등 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보이며 대통령령으로 정한다.

이러한 개인정보는 다음의 경우를 제외하고 처리할 수 없다.

-민감정보에 대한 별도 동의를 받은 경우 -법령에 의해 요구되거나 허용된 경우

 

고유식별정보 제한

동의를 받거나 법령에 따라 요구/허용된 경우를 제외하고 개인정보처리자는 대통령령으로 정한 고유식별정보를 다룰 수 없다.

대통령령 기준에 해당하는 개인정보처리자는 홈페이지를 통해 회원이 가입하는 경우에 주민등록번호를 사용하지 않고도 가입할 수 있는 방법을 제공해야 한다. (2012.3.30 시행)

적법하게 고유식별정보를 처리하는 경우에도 분실,도난,유출,변조 또는 훼손되지 아니하도록 대통령령이 정하는 암호화 등의 안전 조치를 취해야 한다. (2012.3.30 시행)

 

영상정보처리기기 설치, 운영이 가능한 경우

법령이 허용하는 경우

범죄 예방 및 수사용

시설안전과 화재 예방용

교통 단속, 교통 정보 수집용

 

영상정보처리기기 설치, 운영해서는 안 되는 경우

불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있는 경우

단, 교도소, 정신보호시설 등 법령에 근거하여 사람을 구금하거나 보호하는 시설(대통령령으로 지정된 곳)은 설치할 수 있다.

 

영상정보처리기기 설치 시 주의사항

설치 목적과 다른 목적으로 영상정보처리기기를 조작하거나 다른 곳을 비춰서는 안 된다.

녹음 기능을 사용할 수 없다.

개인정보와 마찬가지로 안전 조치를 취해야 한다.

영상정보처리기기운영자는 개인정보 처리방침을 정해야 한다. (예외 있음)

영상정보처리기기의 설치. 운영에 대한 사무를 위탁할 수 있다. (공공기관은 대통령령이 정하는 절차를 따른다.)

 

영업(일부/전부) 양도 시 개인정보 이전

대통령이 정하는 방법에 따라 정보주체에게 이 사실을 알려야 한다.

(이전을 받는 자를 영업양수자라 한다.)-이전 사실-이전 받는 자(성명/법인명), 주소, 전화번호, 기타 연락처  -이전 거부 시 조치할 수 있는 방법과 절차

개인정보 양수 자는 이전 받을 때 지체 없이 정보주체에게 알려야 한다. 단, 개인정보처리자가 이미 그 사실을 알린 경우에는 그러하지 아니하다.

영업양수자는 개인정보처리가 되며, 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공할 수 있다.

 

개인정보처리자의 처리 방침 사항

-개인정보의 처리 목적 -개인정보의 처리 및 보유 기간-개인정보의 제3자 제공에 관한 사항(해당 경우만)-개인정보처리의 위탁에 관한 사항(해당 경우만)-정보주체의 권리.의무 및 그 행사방법에 대한 사항 및 대통령이 정한 사항

 

-----------------------------------------------------------------------------------

-'개인정보'란 살아 있는 개인에 관한 정보로서

  성명, 주민등록번호 및 영상 등을 통해

개인을 알아볼 수 있는 정보를

말한다(제2조).

 

-개인정보 처리자는 개인정보의 처리 목적을 명확하게 해야 하고,

  그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집해야 하며,

  개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리해야 하고

  그 목적 외의 용도로 활용해서는 안 된다(제3조).

 

-국가와 지방자치단체는 개인정보의 목적 외 수집, 오용·남용 및 무분별한 감시·추적 등에 따른 폐해를 방지하여

  인간의 존엄과 개인의 사생활 보호를 도모하기 위한 시책을 강구해야 한다(제5조).

 

-개인정보의 보호와 정보주체의 권익 보장을 위해 행정안전부장관은 3년마다 개인정보 보호 기본계획을

  관계 중앙행정기관의 장과 협의 하에 작성하여 보호위원회에 제출하고, 보호위원회의 심의·의결을 거쳐 시행해야 한다(제9조).

 

-개인정보 처리자로부터 개인정보를 제공받은 자는 정보주체로부터 별도의 동의를 받은 경우,

  다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나

  이를 제3자에게 제공해서는 안 된다(제19조).

 

-개인정보 처리자는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보,

  그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보를 처리해서는 안 된다(제23조).

 

-개인정보 처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 않도록 내부 관리계획을 수립하고,

  접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한

기술적·관리적 및 물리적 조치를

해야 한다(제29조).

 

-개인정보 처리자는 개인정보가 유출되었을 경우 지체 없이 해당 정보주체에게 유출된 개인정보의 항목, 유출된 시점과 경위,

  개인정보 처리자의 대응조치 및 피해 구제절차 등을 해당 정보주체에게 알려야 한다(제34조).

 

-정보주체는 개인정보 처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보 처리자에게 요구할 수 있다(제35조).

 

-개인정보 처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다(제36조).

 

-개인정보에 관한 분쟁을 조정하기 위해 개인정보분쟁조정위원회를 둔다(제40조).

 

-행정안전부장관은 개인정보 처리자에게 이 법 등 개인정보 보호와 관련된 법규의 위반에 따른 범죄혐의가 있다고 인정될 만한

  상당한 이유가 있을 때는 관할 수사기관에 그 내용을 고발할 수 있다(제65조).

 

-공공기관의 개인정보 처리업무를 방해할 목적으로 공공기관에서 처리하고 있는 개인정보를 변경하거나 말소하여

  공공기관의 업무 수행을 중단하거나 마비시키는 등 심각한 지장을 초래한 자는

 

10년 이하의 징역 또는 1억 원 이하의 벌금에

처한다(제70조).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

행정안전부 자료 : 2011년 개인정보보호법_시행에_따른_준비사항.pdf

 

<이상>

 

2011년 개인정보보호법_시행에_따른_준비사항.pdf

3.35MB