COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved. 1 2012년 12월 개인정보 보호법의 이해와 적용.

Presentation on theme: "COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved. 1 2012년 12월 개인정보 보호법의 이해와 적용."— Presentation transcript:

1 COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved. 1 2012년 12월 개인정보 보호법의 이해와 적용

2 II III 개인정보 관련 업무처리 주요 쟁점 목 차 I 개인정보 보호 개요 금융분야 개인정보보호법 적용 관계

3 - 3 - I. 개인정보 보호 개요

4 개인정보란 ? 교육 정보 근로 정보 자격 정보 주민등록번호 이름, 주소 가족관계 등 통화 · 문자내역, IP 주소 화상정보, GPS 등의 정보 신체정보 의료 · 건강정보 신체적 정보 일반적정보 통신 · 위치정보 개인 금융정보 개인 신용정보 재산적정보 기호, 성향 신념, 사상 정신적정보 “ 개인의 사적 영역과 관련된, 개인을 식별할 수 있는 일체의 정보 ” ※ ‘ 개인정보 ’ 라 함은 그 정보 만으로도 개인을 식별할 수 있는 정보(성명, 주민번호, 영상 등)와 다른 정보와 쉽게 결합하여 특정 개인을 식별할 수 있는 정보(전화번호, 주소 등)를 포함

5 개인정보의 활용 확대 결혼중개업 주유 고객 멤버십 주유 마일리지 제공 홈네트워킹 관리 온라인 정보제공 DB 연계를 통한 행정효율화 등 온라인 수강신청, 수강자 관리 인터넷  오프라인 연계 학습환경 온 · 오프라인을 통해 맞춤형 결혼 중개 정유업 학원,교습소 여행업 주택관리업 공공기관 전자항공권 발권 실시간 온라인 예약 “정보 기술과 결합하여 새로운 공공, 민간 서비스 출현” 인터넷, 모바일 예매 무인발권시스템 영화관

6 개인정보 침해사고 증가 학생정보 보험사에 제공 ‘ 선거인명색인부 ’ 나돌아 지자체 홈피에도 개인정보 ‘ 줄줄 ’ 샌다. 공공기관 직원들, 개인정보 무단열람 국가전산망 서 개인정보 빼내 채권추심 OO백화점 회원 개인정보 대량 유출 OO백화점 회원 개인정보 대량 유출 유가환급금 신청때 개인정보 샜다. 스마트폰 개인정보 ‘ 술술 ’ 미술대회 접수자 개인정보 대거 유출 미술대회 접수자 개인정보 대거 유출 OO 홈피, 4만명 정보 노출 행정문서 관리 허점.. 개인정보 줄줄 ( ’ 08.12) 지자체-병원 홈피도 정보유출 불감 주민정보 인터넷 노출 헌 책방에서 줄줄 새는 개인정보 헌 책방에서 줄줄 새는 개인정보 보안조치 없이 외부 제공 법학적성시험 응시자 1만여명 성적, 개인정보 노출 법학적성시험 응시자 1만여명 성적, 개인정보 노출 돈받고 개인정보 유출 개인정보 뒤져, 노조 탈퇴 종용

7 개인정보 침해로 인한 피해 매출감소가치하락신뢰저하 고객 이탈 잠재고객 외면 경쟁사의 비방 대상 정보주체의 배상 소송 손해배상금 지급 소송비용 발생 기관 이미지 하락 개인정보 유출

8 개인정보 침해 관련 집단소송 1,026 명 피해 1 인당 20 만원 배상 판결 1 인당 10 만원 배상 판결 290 명 피해 1 인당 70 만원 배상 판결 D 오픈마켓 C 게임사 E쇼핑몰F정유사G통신사 소송 진행중 1 차 판결 항소 2,000 만 명 1,125 만 명 1,800 만 명 600 백만 명 유출 피해자 배상금액 44 명 피해 A은행 B전자 “ 개인정보 유출 피해자들의 집단 소송 다수 발생 ”

9 개인정보 보호의 중요성 개인정보 유출 등 정신적 피해, 보이스 피싱 등에 의한 금전적 손해, 유괴 등 각종 범죄에 노출 우려 개인정보는 기업의 자산 그 자체, 개인정보 유출시 기업 이미지 실추, 집단 손해배상 등으로 기업 경영 타격 정부 및 공공행정 신뢰성 하락, 국가 브랜드 가치 하락, 프라이버시 라운드 대두에 따른 산업 전반 수출애로 개인정보 보호는 국가 · 사회 안전 및 기업 발전의 필수 요소

10 - 10 - 총칙 (1) 용어정의 개인정보 처리 정보주체 개인정보 처리자 개인정보 파일 영상정보 처리기기  성명, 주민번호 등을 통하여 살아있는 개인을 알아볼 수 있는 정보  다른 정보와 용이하게 결합하여 개인을 알아볼 수 있는 정보 ※ 성명, 주소, 전화번호 등 이외에 컴퓨터 IP주소, e-mail 등도 개인정보에 포함됨  개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 기타 이와 유사한 행위  처리되는 정보에 의해 알아볼 수 있는 그 정보의 주체가 되는 사람 ※ 개인정보보호법 상의 정보주체는 정보통신망법 상의 이용자(정보통신서비스 이용자)나 신용정보법상 신용정보주체(신용정보로 식별되는 자)보다 넓은 개념  업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 처리하는 공공기관, 법인, 단체, 개인 등 ※ 개인정보보호법 상의 개인정보처리자는 정보통신망법 상 서비스제공자(영리목적 운영)나 신용정보법 상의 신용정보 제공 이용자(신용정보회사 등) 보다 넓은 개념  개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보 집합물  일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 전송하는 장치 ※ 폐쇄회로 텔레비전(CCTV), 네트워크 카메라 등 1

11 - 11 - (2) 법률 적용대상 및 범위 확대 법 시행 이전 분야별 개별법이 있는 경우에 한하여 개인정보 보호 의무 적용(약 51만) - 공공기관 : 「공공기관 개인정보보호법」 - 신용정보 제공·이용자 : 「신용정보법」 - 정보통신서비스제공자 : 「정보통신망법」 - 백화점 등 준용사업자 : 「정보통신망법」 법 시행 이후 - 포털, 금융기관, 유통업, 병원, 제조업, 서비스업 등 72개 업종 350만 전체 사업자 - 국회·법원·헌법재판소·중앙선거관리위원회 등 헌법기관 - 중앙부처, 지자체, 공사, 공단, 학교 등 2.8만 전체 공공기관 - 각급 교육기관 - 사업자 협회 · 동창회 등 비영리단체 적용대상 : 공공·민간부문의 모든 개인정보처리자 적용범위 : 전자파일 형태 외에 민원서류 등 수기문서도 포함

12 (3) 법 추진체계 일원화 제정 전 중앙행정기관 기타 공공기관 지자체 정책 심의 총괄. 준용 사업자 정보통신 서비스 제공자 신용정보 이용·제공 기관 행안부 방통위 금융위 의료 교육 노동 등 기타 공공기관 개인정보보호심의위원회 (국무총리 소속) 개인정보분쟁조정위원회 피해구제 공공부문 민간부문 행정안전부 - 12 - 개별법 체계에서 일반법 체계로 정비(기본원칙은 일반법, 분야별 원칙은 개별법) 보호위원회(심의·의결)-행안부(총괄 집행)-부처(소관 집행)로 일원화 정보통신 분야 방송통신위원회 각 부처는 소관 개인정보보호 분야별 지원, 협조 공공기관, 기타 민간분야 총괄 행정안전부 개인정보 분쟁조정위원회 - 주요사항 심의 의결 - 법령 해석 (관계 등) 개인정보보호위원회 피해구제 제정 후 대 통 령 금융위원회 금융,신용 분야 기타 부처 소관 분야

13 - 13 - 수집이용 제공위탁 저장관리 파기 개인정보보호법령 규정 개인정보 수집·이용 제한 ※ 필요 최소한의 정보수집, 목적외 이용 금지 등 민감정보 및 고유식별정보 처리 제한 인터넷상 주민번호 이외의 회원가입 방법 제공 영상정보처리기기 설치·운영, 개인정보처리방침 공개 개인정보보호책임자 지정 개인정보 안전성 확보조치 개인정보 파기 개인정보의 제3자 제공, 목적외 제3자 제공 금지 개인정보 처리위탁, 영업양도 등 개인정보 이전 권리 보장 개인정보 유출통지·신고 및 개인정보 침해신고 개인정보 열람, 정정·삭제, 처리정지권 분쟁조정위원회 및 집단분쟁조정 권리침해 중지 단체소송 개인정보 처리단계별 의무사항 2 벌칙 및 경과조치

14 - 14 - (1) 개인정보 수집·이용 및 제한 개인정보를 수집·이용할 수 있는 경우 (법 제15조) 처벌규정 위반 시 5 천만원 이하의 과태료 1. 정보주체의 동의를 받은 경우 2. 법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우 예) 형사사법절차 전자화 촉진법, 의료법 등 3. 공공기관이 법령에서 정한 소관업무 수행을 위해 불가피한 경우 예) 국민건강보험공단이 보험급여 관리 등을 위해 진료내역 등 정보 수집 4. 정보주체와의 계약 체결·이행을 위해 불가피한 경우 예) 쇼핑몰과 계약된 배송업체가 주문상품 배송을 위해 주소 등을 수집 5. 정보주체 등의 생명, 신체, 재산의 이익 보호 (사전동의 받기 곤란한 경우) 예) 조난, 재난을 당한 사람을 구조하기 위해 연락처, 위치정보 등 수집 6. 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 예) 정당한 서비스 제공에 따른 요금정산, 채권추심 등 1) 수집·이용 목적 2) 수집항목 3) 보유·이용기간 4) 동의거부 권리 및 동의 거부시 불이익의 내용

15 - 15 - (1) 개인정보 수집·이용 및 제한 개인정보처리자는 수집목적에 필요한 최소한의 개인정보를 수집 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담 개인정보처리자는 정보주체가 필요 최소한의 정보 외의 개인정보 수집에 동의 하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부 금지 필요 최소한의 개인정보 수집 (법 제16조) 처벌규정 위반 시 3 천만원 이하의 과태료

16 - 16 - (1) 개인정보 수집·이용 및 제한 멤버십 회원 모집시, 수집ㆍ이용목적, 수집항목, 보유·이용 기간 등을 고지하지 않고 동의 미취득 회원 가입 신청서 호텔 수집·이용 목적 수집항목 보유 및 이용기간 동의 거부시 불이익 고객 회원카드 신청서, 멤버십신청서 등 양식 정비 필요(고지사항 4개 및 동의 취득란)

17 - 17 - (2) 개인정보 목적외 이용·제3자 제공 제한 개인정보를 목적외 이용·제3자 제공할 수 있는 경우 (법 제18조) 처벌규정 위반 시 5 년 이하 징역 / 5 천만원 이하 벌금 1. 정보주체의 별도 동의를 받은 경우 2. 다른 법률에 특별한 규정이 있는 경우 3. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익에 필요한 경우 4. 통계작성∙학술연구 등의 목적을 위하여 필요한 경우 1) 제공받는 자 2) 이용 목적 (제공시는 제공받는 자의 이용목적) 3) 이용 또는 제공 항목 4) 보유 및 이용기간 5) 동의거부 권리 및 동의 거부시 불이익의 내용 5. 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우 (보호위원회의 심의·의결) 6. 조약, 기타 국제협정 이행을 위해 외국정부 등에 제공하기 위해 필요한 경우 7. 범죄수사 및 공소제기·유지에 필요한 경우 8. 법원의 재판업무 수행에 필요한 경우 9. 형 및 감호, 보호처분 집행에 필요한 경우

18 (2) 개인정보 목적외 이용·제3자 제공 제한 마트 고객 대형마트 생명보험사 보험상품 홍보전화 물품구입 후 받은 응모권으로 경품행사 참여 동의 없이 고객정보 제공 대형마트에서 경품행사에 응모한 고객 개인정보를 동의 없이 제휴관계인 생명보험사에 제공

19 (2) 개인정보 목적외 이용·제3자 제공 제한 초고속인터넷업체에서 고객 정보를 부가서비스 마케팅 등을 위해 이용 및 텔레마케팅 업체에 제공 고객 초고속인터넷 부가서비스 홍보 서비스 가입시 포괄 동의 텔레마케팅업체 법원은 수집목적에서 벗어난 개인정보이용 등으로 판단 - 고객 2,340명에게 약 4억원 배상판결 (11. 7월)

20 - 20 - (3) 민감정보 및 고유식별정보 처리제한 세부사항 내용 민감정보 및 고유식별정보의 처리는 원칙적으로 금지 (법 제23조, 제24조) 정보주체에게 별도 동의를 얻거나, 법령에서 구체적으로 허용된 경우에 한하여 예외적으로 처리 허용 ※ 민감정보 : 사생활 침해 우려가 현저히 높은 개인정보 ※ 고유식별정보 : 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보 민감정보의 범위 (법 제23조, 영 제18조) ① 사상·신념, 노동조합·정당의 가입탈퇴, 정치적 견해, 건강, 성생활 관련정보 ② 유전자 검사에 따른 유전정보 ③ ‘형의 실효 등에 관한 법률’에 따른 범죄 경력 정보 고유식별정보의 범위 (영 제19조) ① 주민등록번호 ② 여권번호 ③ 운전면허번호 ④ 외국인등록번호 처벌규정 위반 시 5 년 이하의 징역 또는 5 천만원 이하의 벌금

21 - 21 - (3) 민감정보 및 고유식별정보 처리제한 주민등록번호 등 고유식별정보를 별도 동의 없이 일괄적으로 동의획득 후 수집 민감정보에 대한 무단 수집 고유식별정보에 대한 무단 수집 이름 주민등록번호 여권번호 자동차등록번호 전화번호 - * 회원가입을 위한 필수항목입니다. 종교 본인병력 가족병력 지지하는 정당 * 회원가입을 위한 필수항목입니다. 이름 주민번호 주소 핸드폰번호 유선번호 직장명 직장주소 연소득 주거형태 배우자 정보 취미

22 - 22 - (4) 인터넷상 주민등록번호 이외의 회원가입방법 제공 세부사항 내용 공공기관 및 일평균 홈페이지 이용자 1만명 이상의 개인정보처리자는 정보주체가 인터넷 홈페이지를 통해 회원으로 가입할 경우, 주민등록번호 이외의 회원가입 방법을 의무적으로 제공 (법 제24조제2항, 영 제20조) ※ 주민등록번호 이외의 회원가입 방법 : i-PIN, 공인인증서, 전자서명, OTP 등 행정안전부장관은 대체수단 제공 관련 사항을 행정안전부 홈페이지에 게재 (영 제20조제2항) 처벌규정 대체수단 미제공 시 3 천만원 이하의 과태료 1) 대체수단을 제공해야 하는 개인정보처리자의 명칭 및 인터넷 홈페이지 주소 2) 대체수단의 제공 기한 3) 제공할 수 있는 대체수단의 방법, 종류

23 - 23 - (4) 인터넷상 주민등록번호 이외의 회원가입방법 제공

24 - 24 - (5) 영상정보처리기기의 설치·운영 제한 ① 내용 영상정보처리기기는 공개된 장소에 특정 목적으로만 설치·운영 (법 제25조제1항) 목욕실, 화장실, 탈의실 등 개인 사생활을 현저히 침해할 우려가 있는 장소에는 영상정보처리기기 설치·운영 금지 (법 제25조제2항) - 다만, 교정시설, 정신의료기관에는 설치·운영 허용 (영 제22조제1항) 영상정보처리기기 설치목적과 다른 목적으로 영상정보처리기기를 임의 조작, 다른 곳을 비추는 행위, 녹음기능 사용 금지 (법 제25조제5항) 처벌규정 위반 시 3 천만원 이하 징역 또는 3 천만원 이하 벌금 1) 법령에서 구체적으로 허용하는 경우 2) 범죄예방 및 수사 3) 시설안전 및 화재예방 4) 교통단속 5) 교통정보의 수집·분석 및 제공 처벌규정 위반 시 5 천만원 이하의 과태료 처벌규정 위반 시 3 천만원 이하의 과태료

25 안내판 설치 - 25 - (5) 영상정보처리기기의 설치·운영 제한 ② 정보주체가 쉽게 인식할 수 있도록 안내판 설치 (법 제25조제4항, 영 제24조) 1) 설치목적 및 장소 2) 촬영범위 및 시간 3) 관리책임자 및 연락처 건물 안에 다수의 영상정보처리기기 설치시, 출입구 등 잘 보이는 곳에 해당 시설·장소 전체가 설치지역임을 표시하는 안내판 설치 가능 다음의 경우, 안내판 설치에 갈음하여 인터넷 홈페이지에 기재사항 게재 1) 공공기관이 원거리 촬영, 과속, 신호위반단속 등 목적으로 설치하는 경우 2) 장소적 특성으로 안내판 설치가 불가능하거나 설치하더라도 정보주체가 쉽게 알아볼 수 없는 경우 처벌규정 위반 시 1 천만원 이하의 과태료 영상정보처리기기 운영관리방침 수립 1) 설치근거 및 설치목적 2) 설치대수, 설치위치, 촬영범위 3) 관리책임자, 담당부서 등 4) 촬영시간, 보관기간, 보관장소, 처리방법 5) 운영자의 영상정보 확인방법 및 장소 6) 정보주체의 영상정보 열람 등 요구에 대한 조치 7) 기술적,관리적,물리적 조치 등 ※ 개인정보 처리방침에 포함 가능

26 (5) 영상정보처리기기의 설치·운영 제한 ② 안내판 예시 설치목적 및 장소, 촬영범위 및 시간, 관리책임자에 관한 사항을 정확히 기재 백화점 등의 경우 출입구 등 잘 보이는 곳에 해당 시설·장소 전체가 설치지역임을 표시하는 안내판 설치 가능

27 - 27 - (6) 개인정보 처리방침 수립 및 공개 내용 개인정보처리자는 개인정보처리방침을 수립·공개 (법 제30조제1항, 영 제31조제1항) 처벌규정 위반 시 1 천만원 이하의 과태료 1) 개인정보 처리목적 2) 개인정보 처리 및 보유기간 3) 개인정보 제3자 제공에 관한 사항 4) 개인정보 처리 위탁에 관한 사항 5) 정보주체의 권리·의무 및 행사방법에 관한 사항 6) 처리하는 개인정보항목 7) 개인정보 파기에 관한 사항 8) 개인정보 안전성 확보조치에 관한 사항 개인정보처리방침 공개방법 인터넷 홈페이지 첫화면 또는 첫화면과 직접 연결되는 화면에 게재 1) 사업장 등의 보기 쉬운 장소에 게시 2) 관보, 신문 게재 3) 연 2회 이상 발생하는 간행물, 소식지 등에 게재 4) 재화용역을 제공하기 위해 작성한 계약서에 게재하여 발급

28 - 28 - (6) 개인정보 처리방침 수립 및 공개

29 - 29 - (7) 개인정보 보호책임자의 지정 개인정보처리자는 개인정보 처리에 관한 업무를 총괄·책임지는 개인정보 보호책임자를 지정 (법 제31조) ※ 다른 업무와 겸임 가능 처벌규정 위반 시 1 천만원 이하의 과태료 (법 제31조제2항, 영 제32조제1항) 1) 개인정보 보호계획 수립·시행 2) 개인정보 처리실태 및 관행의 정기적 조사·개선 3) 불만의 처리 및 피해구제 4) 유출 및 오남용 방지를 위한 내부통제시스템 구축 5) 개인정보 보호 교육계획 수립·시행 6) 개인정보파일 보호 및 관리· 감독 7) 개인정보처리방침 수립·변경 및 시행 8) 개인정보 보호 관련 자료의 관리 9) 처리목적이 달성되거나 보유기간이 경과한 개인정보 파기 내용 지정요건 개인정보 보호책임자 지정요건 (영 제32조제2항) ① 공공기관은 기관별 직급 명시 (개인정보처리 담당부서의 장) ② 공공기관 외의 개인정보처리자의 경우 사업주, 대표자, 정보처리 업무를 담당하는 부서의 장, 개인정보 보호에 관한 소양이 있는 사람 중 어느 하나를 지정

30 - 30 - (8) 개인정보의 안전성 확보조치 세부사항 (영 제30조) 내용 개인정보가 분실·도난·유출·변조·훼손되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 조치 이행 (법 제29조) 관리적 보호조치 - 내부관리계획 수립·시행 기술적 보호조치 - 접근통제 및 접근권한 제한 조치 - 개인정보의 안전한 저장·전송을 위한 암호화 또는 이에 상응하는 조치 - 접속기록의 보관 및 위·변조 방지조치 - 보안프로그램의 설치 및 갱신조치 물리적 보호조치 - 개인정보 안전한 보관을 위한 보관시설 마련 또는 잠금장치 설치 처벌규정 미이행시 3천만원 이하의 과태료, 미이행으로 인한 유출시 2년 이하 징역 또는 1천만원 이하 벌금

31 - 31 - 개인정보의 안전성 확보조치 고시 구분주요내용 내부관리계획(제3조) 보호책임자 지정 및 역할과 책임, 취급자 교육 등 ※ 소상공인은 내부관리계획 수립의무 면제 접근권한 관리(제4조) 업무수행에 필요한 최소한의 범위로 차등 부여 접근권한 부여기록은 최소 3년간 보관 비밀번호 관리(제5조) 비밀번호 작성규칙 수립 의무화 접근통제시스템(제6조) 방화벽 등 접근통제시스템 설치·운영 업무용 컴퓨터만을 이용해 개인정보 처리시, 접근통제시스템 설치의무 면제 (O/S, 보안프로그램의 접근통제기능 이용) 암호화(제7조) 암호화 대상 : 고유식별정보, 비밀번호, 바이오정보 암호화 기준 - (전송시) 정보통신망 송수신 등의 경우 암호화 - (저장시) ① 비밀번호 및 바이오정보 암호화 (비밀번호는 일방향 암호화) ② 고유식별정보는 인터넷구간, DMZ구간 저장시 암호화하고 내부망 저장시 위험도 분석에 따라 암호화 적용여부, 적용범위 결정 접속기록 보관(제8조) 최소 6개월 이상 보관 보안프로그램(제9조) 백신소프트웨어 등 보안프로그램 설치, 자동 또는 일1회 이상 업데이트 물리적 접근방지(제10조) 개인정보 물리적 보관장소에 대한 출입통제절차 등 (서면 보관장소, 개인정보처리시스템 설치장소 등)

32 (8) 개인정보의 안전성 확보조치 해킹 시도 리조트 해커 불법 개인정보 구매자 개인정보 판매 암호화 되지 않은 회원의 주민등록번호, 비밀번호 유출 리조트에서 주민등록번호, 비밀번호 등을 암호화하지 않고 평문으로 보관해 오다가 해킹으로 유출 홍길동 601111- 1234567 김순돌 420112- 2345123 … 781230- 2345123 … 801231- 2011111

33 - 33 - (9) 개인정보 파기 조치 내용 보유기간의 경과, 개인정보 처리목적 달성 등 개인정보가 불필요하게 되었을 때는 지체 없이 (5일 이내) 개인정보 파기 (법 제21조, 표준지침 제11조) 처벌규정 위반 시 3 천만원 이하의 과태료 파기방법 (영 제`16조) 개인정보가 복구 또는 재생되지 아니하도록 파기 - 전자적 파일 형태 : 복원이 불가능한 방법으로 영구 삭제 ※ 복원이 불가능한 방법 : 사회 통념상 현재 기술 수준에서 적절한 비용이 소요되는 방법 (표준지침 제11조제2항) - 기록물, 인쇄물, 서면 등 : 파쇄 또는 소각 다만, 다른 법령에 따라 보존해야 하는 경우에는 미파기 주민등록 자료(영구) : 주민등록법 소비자 분쟁처리 관련 기록(3년), 요금정산(5년), 계약 및 청약철회(5년) : 전자상거래법 의료기록부(10년), 진단서 등의 부본(3년) : 의료법 시행규칙

34 - 34 - 국민의 권리 보장 (1) 개인정보 유출통지 및 신고 내용 개인정보처리자는 개인정보 유출시 지체없이 (5일 이내) 정보주체에게 유출사실 통지 (법 제34조, 표준지침 제27조) 처벌규정 통지 · 신고 미이행 시 3 천만원 이하의 과태료 통지방법 통지 방법 (영 제40조제1항) - 서면, 전자우편, FAX, 전화, 문자전송 또는 이에 상당하는 방법 - 1만명 이상 개인정보 유출시, 통지와 동시에 인터넷 홈페이지에 7일 이상 게재 (영 제40조제3항) 유출된 개인정보 확산 및 추가유출 방지를 위하여 접속경로 차단, 취약점 점검·보완, 유출 개인정보 삭제 등 긴급한 조치 필요시 해당 조치를 취한 후 정보주체에게 통지 가능 (영 제40조제1항) 1만명 이상 개인정보 유출시 지체없이 (5일 이내) 행정안전부 또는 한국정보화진흥원, 한국인터넷진흥원에 신고 (법 제34조제3항, 영 제39조) ※ 개인정보 유출에 따른 금융사기, 보이스피싱 등 2차 피해 방지를 위해 전문기관은 기술 지원 3

35 - 35 - 내용 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 해당 정보주체의 요구가 있으면 즉시 수집 출처 등을 알려야 함 (법 제20조) 처벌규정 위반 시 3 천만원 이하의 과태료 조치사항 정보주체의 요구에 따라 알려야 하는 사항 (법 제20조) 1. 개인정보의 수집 출처 2. 개인정보의 처리 목적 3. 법 제37조에 따라 개인정보 처리의 정지를 요구할 권리가 있다는 사실 법률상 즉시 알리도록 하고 있으므로 최대한 빨리 알려야 함 금융 (2) 개인정보의 출처 고지 의무 ※ 금융기관 실무상 고객과의 분쟁이 자주 발생할 수 있는 내용이므로 주의 필요

36 - 36 - 내용 정보주체는 자신의 개인정보에 대한 열람, 정정·삭제, 처리정지를 개인정보처리자에 대해 요구할 수 있음 (법 제35조~제37조) 처벌규정 위반 시 3 천만원 이하의 과태료 조치사항 개인정보 열람 요구 대응조치 (영 제41조) - 내용적으로 10일 이내에 열람할 수 있도록 조치, - 열람할 수 없는 정당한 사유가 있을 경우 정보주체에게 그 사유를 알리고 열람 연기 (사유가 소멸하면 지체없이 열람) 개인정보 정정·삭제, 처리정지 요구 대응조치 (영 제43조) - 10일 이내에 조치, 단 열람 거부사유가 있는 경우 거부 통지 가능 1) 법률의 규정 2) 타인의 생명, 신체, 재산 침해우려가 있는 경우 3) 공공기관의 조세부과 징수·환급, 교육기관 성적평가·입학자 선발, 채용 시험·보상금 산정·감사조사 업무 (3) 정보주체의 열람, 정정·삭제, 처리정지권 보장

37 - 37 - (4) 개인정보 침해신고 내용 개인정보에 관한 권리, 이익을 침해받은 사람은 행정안전부장관에게 침해사실을 신고 (법 제62조) 개인정보침해신고센터 행정안전부장관은 개인정보 침해신고의 접수, 처리 등 업무를 효율적으로 수행하기 위하여 한국인터넷진흥원을 개인정보침해신고센터 운영을 위한 전문기관으로 지정 (법 제62조제2항, 영 제59조) (법 제62조제3항) 1) 개인정보 처리와 관련한 신고의 접수, 상담 2) 사실의 조사, 확인 및 관계자의 의견 청취 3) 위의 업무에 딸린 업무 개인정보침해신고센터 ☎ 국번없이 118 홈페이지 : privacy.kisa.or.kr ※ 개인정보 침해신고 건수 : ’09년 3만 5천여건 ’10년 5만 5천여건

38 - 38 - (5) 개인정보 분쟁조정 및 단체소송 분쟁조정 개인정보 관련한 분쟁의 조정을 원하는 자는 개인정보분쟁조정위원회에 분쟁조정을 신청할 수 있음 (법 제43조) (법 제40조) 개인정보에 관한 분쟁의 조정을 위하여 설치 (위원장 1명 포함 20명 이내의 위원으로 구성) 분쟁조정의 내용은 재판상 화해 효력 (제47조제5항) ※ 재판상 화해 : 소송 중 양 당사자가 화해하여 소송을 종료시키기로 하는 합의, 확정판결과 동일 효력 집단분쟁조정 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우 집단분쟁조정을 신청할 수 있음 (법 제49조) (영 제52조) 1) 피해 또는 권리침해를 입은 정보주체 수가 50명 이상 2) 사건의 중요한 쟁점이 사실상, 법률상 공통 단체소송 소비자단체, 비영리민간단체는 개인정보처리자가 집단분쟁조정 거부 또는 결과 불수락 시 법원에 권리침해행위의 금지·중지 소송 제기 (법 제51조)

39 - 39 - 구분주요내용 처벌 및 벌칙 구분주요내용 처벌 및 벌칙 구분주요내용 처벌 및 벌칙 정보주체의 동의 없는 개인정보 제3 자 제공(17조) 개인정보의 목적 외 이용·제공(18조, 제19조, 제26조) 민감정보 처리기준 위반(제23조) 고유식별정보 처리기준 위반(제24조) 부정한 수단이나 방법에 의해 개인정 보를 취득하거나 개인정보처리에 관 한 동의를 얻는 행위를 한 자(제59조) 개인정보의 수집기준 위반(제15조) 만 14세 미만 아동의 개인정보 수집 시 법정대리인 동의획득의무 위반 (제22조) 탈의실·목욕실 등 영상정보처리기기 설치 금지 위반(제25조) 직접마케팅 업무위탁으로 인한 개인 정보 제공 시 정보주체에게 알려야 할 사항을 알리지 아니한 자 (제15조, 제17조, 제18, 제26조) 최소한의 개인정보 외 정보의 미동의 를 이유로 재화 또는 서비스 제공을 거부한 자(제16조, 제22조) 주민등록번호를 제공하지 아니할 수 있는 방법 미제공(제21조) 동의획득방법 위반하여 동의 받은 자 (제22조) 5년 이하 징역 또는 5천 만원 이하 벌금 3년 이하 징역 또는 3천 만원 이하 벌금 5천 만원 이하 과태료 3천 만원 이하 과태료 1천 만원 이하 과태료 동의 없는 개인정보 제3자 제공(17조) 개인정보의 목적 외 이용·제공 (18조, 제19조, 제26조) 직접마케팅 업무위탁으로 인한 개인정 보 제공 시 정보주체에게 알려야 할 사 항을 알리지 아니한 자(제15조, 제17조, 제18, 제26조) 업무위탁 시 공개의무 위반(제26조) 개인정보의 누설 또는 타인 이용에 제공 (제59조) 개인정보의 훼손, 멸실, 변경, 위조, 유출 (제59조) 영상정보처리기기 설치목적과 다른 목 적으로 임의 조작하거나 다른 곳을 비추는 자 또는 녹음기능을 사용한 자(제25조) 직무상 알게 된 비밀을 누설하거나 직무상 목적 외 사용한 자(제60조) 안전성 확보에 필요한 보호조치를 취 하지 않아 개인정보를 도난·유출·변조 또는 훼손당하거나 분실한 자(제24조, 제25조, 제29조 위반) 안전성 확보에 필요한 조치의무 불이행 (제24조, 제25조, 제29조) 개인정보를 분리해서 저장 ․ 관리하지 아니한 자(제21조) 개인정보처리방침 미공개(제30조) 개인정보관리책임자 미지정(제31조) 영상정보처리기기 안내판 설치 등 필요조치 불이행(제25조) 영상정보처리기기 설치·운영기준 위반 ( 제25조) 5년 이하 징역 또는 5천 만원 이하 벌금 3천 만원 이하 과태료 1천 만원 이하 과태료 5년 이하 징역 또는 5천 만원 이하 벌금 3년 이하 징역 또는 3천 만원 이하 벌금 2년 이하 징역 또는 1천 만원 이하 벌금 3천 만원 이하 과태료 1천 만원 이하 과태료 개인정보의 정정·삭제요청에 대한 필 요한 조치를 취하지 않고, 개인정보를 계속 이용하거나 제3자에게 제공한 자 (제36조) 2년 이하 징역 또는 1천 만원 이하 벌금 개인정보의 처리정지 요구에 따라 처 리를 중단하지 않고 계속 이용하거나 제3자에게 제공한 자(제37조) 개인정보 유출사실 미통지(제34조) 정보주체의 열람 요구의 부당한 제 한·거절(제35조) 정보주체의 정정삭제요구에 따라 필 요조치를 취하지 아니한 자(제36조) 처리정지된 개인정보에 대해 파기 등의 조치를 하지 않은 자(제37조) 시정명령 불이행(제64조) 정보주체의 열람, 정정·삭제, 처리정 지 요구 거부 시 통지의무 불이행 (제35조, 제36조, 제37조) 관계물품·서류 등의 미제출 또는 허위 제출(제63조) 출입·검사를 거부·방해 또는 기피한 자 (제63조) 개인정보 미파기(제21조) 3천 만원 이하 과태료 1천 만원 이하 과태료 3천 만원 이하 과태료 2년 이하 징역 또는 1 천 만원 이하 벌금 벌칙 및 경과조치 _ (1) 벌칙 및 과태료 실체법 위반은 징역형 또는 벌금, 절차법 위반은 과태료 부과 4

40 경과조치 (영 부칙) - 40 - (2) 시행일 및 경과조치 시행일 개인정보보호법은 ‘11.9.30(공포 후 6개월 경과일)부터 시행 (부칙 1조) 주민등록번호 외의 회원가입 방법(i-PIN등) 적용(법 제24조제2항)은 ‘12.3.30 (공포 후 1년 경과일)부터 시행 (부칙 1조) 개인정보 암호화는 고시 수립일로부터 3개월 이내에 암호화 계획 수립, ‘12.12.31까지 암호화 적용 (영 제4조) 개인정보 영향평가는 고시 수립일로부터 3개월 이내에 영향평가 계획 수립, ‘16.9.30(5년 이내)까지 영향평가 완료 (개인정보 영향평가 고시 부칙 제2조) 법 시행 이전에 다른 법령에 따라 적법하게 처리된 개인정보, 근거 법령없이 처리된 개인정보는 이 법에 따라 처리된 것으로 간주(소급 불인정) ※ 법 시행일 이후 행정적 계도기간 6개월 부여( ’ 11.9.30일부터 ’ 12.3.30일 까지)

41 - 41 - II. 금융분야 개인정보보호법 적용 관계

42 - 42 - 1. 개인정보보호법의 성격 : 일반법 정보주체의 동의, 법령상 의무준수, 일정한 요건 하에서 개인정보 처리, 업무상 불필요한 개인정보나 서비스 제공과 무관한 개인정보 처리 최소화 개인정보 처리 시 안전성 조치 의무화하고, 수집 목적 달성 시 지체없이 파기 개인정보 수집·이용, 제공, 처리, 파기 단계별 공통원칙 규정 개인정보를 처리하는 자는 누구든지 이 법의 규정 적용 다만, 다른 법률의 규정이 이 법의 규정보다 개인정보보호 수준을 강화하거나 완화하는 등 특별한 규정이 있는 경우에는 개별법을 우선 적용

43 - 43 - 2. 신용정보보호법과의 적용관계 개인정보보호법신용정보법 A : 개인정보보호법 상 신규 제도 및 개별법과 비교하여 특별한 규정이 있는 경우 신용정보법 적용대상자도 개인정보보호법 모두 적용 ※ 규제의 강도가 높거나 낮은 사항은 조문별로 개인정보보호법 적용 B : 동일 사안에 대하여 개인정보보호법과 신용정보법 동시 규정된 경우 개인정보보호법, 신용법 모두 적용(이중규제 방지를 위해 신용법 우선 적용) AB

44 - 44 - 3. 보험사, 은행, 카드 등 적용관계 고유식별정보 처리제한, 유출통지, 영상정보처리기기 운영 제한, 개인정보 파기, 정보주체 이외로부터 수집한 개인정보 출처고지, 개인정보 동의받는 방법, 업무위탁 및 영업양도, 개인정보취급자 감독 등 개인정보 수집·이용, 제공 및 제한, 개인정보처리방침 공개, 보호책임자 지정 등 신용정보법에 규정이 있으나, 내용이 차이가 나는 경우 부분 적용 신용정보법 등에 없는 새로운 사항은 개인정보보호법 적용

45 - 45 - III. 개인정보 관련 업무처리 주요 쟁점

46 - 46 - 1. 법인 대표의 성명, 연락처 등도 개인정보에 해당하는지 법인 및 개인 사업자의 사업자번호, 사업장 소재지, 대표자 성명, 사무실 전화번호 등이 개인정보에 해당하는지 개인정보보호법에서 보호하고자 하는 법익은 생존하는 자연인의 개인정보이므로, 원칙적으로 법인이나 개인사업자의 정보는 개인정보에 해당하지 않음(사업자번호, 사업장 소재지, 대표자 성명, 전화번호 등) 다만, 대표자의 정보가 법인이나 사업체의 정보로서가 아니라 특정 자연인의 개인정보로 처리되는 경우에는 개인정보에 포함될 수 있음 ※ 법인 대표자라 하더라도 주민등록번호나 개인의 사생활 등은 개인정보임 관련 법령 해석 및 적용 III. 주요 쟁점

47 - 47 - 2. 대리인을 통한 금융거래시 주민등록번호 처리 동의 대리인을 통해 금융거래를 하는 경우, 금융회사가 대리인의 주민등록번호를 처리하기 위해 해당 대리인의 별도 동의를 받아야 하는지 여부 금융실명법 제3조제1항에 따라 금융회사등은 거래자의 실지명의로 (주민등록표상의 명의 등) 거래를 하여야 하며, 거래자의 범위에는 명의인을 대신하여 거래하는 가족이나 대리인도 포함될 수 있음 따라서, 실명확인 의무가 있는 거래자의 주민등록번호 수집은 개인정보보호법 제24조제1항제2호에 해당하여 별도 동의 필요 없음 ※ 금융실명법에 따른 실명확인 의무가 있는 금융거래에 한함 관련 법령 해석 및 적용 III. 주요 쟁점

48 - 48 - 3. 고객 명함으로부터 수집한 정보 이용시 별도 동의 여부 업무 관련 고객으로부터 명함을 받은 후 휴대폰 문자, E-mail 등을 통해 각종 정보 안내나 사은품 제공하고자 할 경우 별도 동의를 받아야 하는지 명시적 동의는 없었으나 업무 관련 고객으로부터 직접 명함을 받은 경우에는 관련 정보 제공 및 안내 등에 한하여 개인정보 이용 가능 다만, 통상적으로 허용될 수 있는 범위를 초과하여 과도하게 마케팅에 이용하거나 제3자 제공 등의 경우에는 정보주체의 동의를 받아야 함 ※ 표준개인정보보호지침 제6조제3항 : 명함 등의 경우에는 사회통념상 동의 의사가 있었다고 인정되는 범위내에서만 이용 가능 관련 법률 해석 및 적용 III. 주요 쟁점

49 - 49 - 4. 고객이 자신의 정보에 대한 열람, 정정, 삭제 요청시 고객이 자신의 거래내역 등에 대한 열람이나 사본을 요구하는 경우, 또는 거래내역 등을 정정이나 삭제를 요구할 경우 이를 거부할 수 있는지 개인정보법 제35조제4항에 따라 법률에 따라 열람이 제한되거나, 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있을 경우 등에는 열람 제한 가능하며 아울러, 개인정보의 열람이 제한되는 경우에 해당되는 경우에는 정정 삭제 또한 제한 가능 ※ 개인정보법상 개인정보를 열람한 자가 정정 삭제를 요구할 수 있도록 규정 다만, 신용정보법 제35조 및 제38조, 전자금융거래법 제7조 적용 대상 기관에는 해당 법률이 우선 적용될 수 있음 관련 법률 해석 및 적용 III. 주요 쟁점

50 - 50 - 5. 당초 수집 목적 외 고객 개인정보 제공을 요청받은 경우 경찰서, 세무서, 시청, 구청 등에서 고객에 대한 보험계약사항을 알려달라는 요청이 있는 경우 (당초 수집 목적 외의 제3자 제공) 원칙적으로 개인정보법 제18조제2항 제1호 내지 제4호의 경우만 가능 ※ 본인 동의, 법률상 규정, 급박한 생명ㆍ신체ㆍ재산상 이익, 개인정보 익명화 개인정보 제공이 가능한 법률의 특별한 규정이 있는 경우 - 보험회사가 보험요율산출기관에 개인정보 제공(보험업법 제176조) - 교통사고환자를 치료한 의료기관이 보험회사에 진료기록 열람 허용 (자동차손해배상보장법 제14조) - 검사의 영장이나 법원의 명령(형사소송법 등) ※ 신용정보법 준용 - 금융감독원의 감독업무 수행 관련 자료제출 요구(금융위 설치법) 관련 법령 해석 및 적용 III. 주요 쟁점

51 - 51 - 6. 수사기관 등이 CCTV 정보 제공을 요청하는 경우 수사기관이 보이스피싱 등 범죄수사 목적으로 CCTV 정보 제공 요청 또는 개인이 분실물 확인을 위해 현장의 CCTV 정보 열람을 요청하는 경우 원칙적으로 법관의 영장이나 법원 제출명령이 있는 경우 제공 가능 다만, 예외적으로 개인정보보호법 제18조제2항제3호에 따라 주소불명 등으로 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산상 이익 필요성이 인정되는 경우 제공 가능 ※ 동의를 받을 수 있는 경우거나, 명백히 필요하지 않은 경우에는 인정 곤란 ※ 보이스 피싱 수사는 인정 가능, 분실물 확인은 담당자가 사실 확인 후 판단 급박한 필요성이 인정되어 영상정보를 제공하는 경우에도 최소한의 영상만 제공하여야 하며, 제공 요청하는 자에게 목적 및 근거 등을 명확히 확인 후 “ 개인영상정보 관리대장 ” (지침 서식3)에 기록 관리 관련 법령 해석 및 적용 III. 주요 쟁점

52 - 52 - 7. 법인 고객의 임직원 정보 수집 업무 관련 법인고객의 업무담당자 연락처 등 임직원 개인정보를 수집하는 경우 해당 임직원의 동의를 받아야 하는지 법인 고객과의 계약체결 및 수행을 위해 필요한 경우로서 그 범위 내에서 해당 법인 임직원의 개인정보를 수집ㆍ이용하는 것은 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 않음 따라서, 개인정보보호법 제15조제1항제6호에 따라 계약관계에 있는 상대법인의 업무담당자의 개인정보를 동의 없이 수집ㆍ이용 가능 다만, 합리적인 범위를 초과하지 않아야 하며, 해당 계약과 관련 없는 임직원 정보는 필요시 동의를 받아야 함 관련 법령 해석 및 적용 III. 주요 쟁점

53 - 53 - 8. 영업 양도에 따른 개인신용정보 이전시 적용 법률 영업 양도에 따라 고객의 개인신용정보를 이전하고자 하는 경우 개인정보보호법 또는 신용정보법 중 어느 법률을 적용 받는지 여부 영업양도 등에 따른 고객 개인정보의 이전에 대하여는 개인정보보호법 제27조와 신용정보보호법 제32조에서 정하고 있는 바 두 법률의 규정이 실질적으로 동일하다고 볼 수 있으므로 특별법인 신용정보법이 우선 적용됨 ※ 개인정보보호법 : 동의 의무 면제, 개인별 통지 또는 인터넷 게제 신용정보법 : 동의의무 면제, 개인별 통지 또는 공시, 금융위 승인 필요한 경우 있음 관련 법령 해석 및 적용 III. 주요 쟁점

54 - 54 - 9. 규제 중복에 따른 사업자 부담 증가 신용정보법, 보험업법, 금융실명제법 등은 금융위 소관이며, 개인정보 보호법은 행안부 소관으로 관련 법률 규정 집행할 시 규제중첩 발생 가능 개인정보보호법 제6조(다른 법률과의 관계)에 의하면 개인정보보호법은 일반법이므로, 정보통신망법, 신용정보법 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보보호법 적용 신용정보법에 규율되지 않은 사항을 개인정보보호법에서 규정하고 있는 경우에는 기존 입법 공백을 해소하는 것으로 이중규제가 아님 다만, 동일한 사안에 대하여 신용정보법과 개인정보보호법이 동시에 규율하는 경우에는 신용정보법을 우선 적용하여 사업자 부담 경감 ※ 관계기관 협의 하 법령별 우선 적용 기준 작성하여 가이드라인 반영 예정 관련 법령 해석 및 적용 III. 주요 쟁점

55 - 55 - 10. 금융관련 법령상 허용되는 부분에 대한 개인정보보호법 적용 신용정보법에 따라 주민등록번호 포함 개인신용정보를 본인 동의 없이 제공할 수 있는 경우에도 개인정보보호법에 따른 동의를 받아야 하는지 분야별 특성에 따라 개인정보를 더 엄격히 보호하거나, 원활한 이용이 필요한 경우가 있을 수 있음. 이에 개인정보보호법 제6조는 다른 법률에 특별한 규정이 있는 경우 해당 법률을 우선 적용토록 허용 따라서, 신용정보법 제34조제3항 및 제4항에 따라 동의 없이 개인식별정보(주민등록번호 등)을 제공할 수 있는 경우는 개인정보보호법에 따른 동의 의무가 면제됨 ※ 개인신용정보를 제공받기 위해 식별정보를 제공하는 경우, 영장, 명령, 국제협약 등 관련 법령 해석 및 적용 III. 주요 쟁점

56 - 56 - 참고자료 : 개인정보보호 종합지원 포털 : www.privacy.go.kr( 자료실 )www.privacy.go.kr