개인정보 보호법의 이해 2012. 5 1
개인정보 홍보 동영상
목 차 개인정보보호법 필수 이행사항 Ⅰ Ⅱ Ⅲ 개인정보 유출과 보호 필요성 개인정보보호법의 주요내용 목 차 Ⅰ 개인정보 유출과 보호 필요성 Ⅱ 개인정보보호법의 주요내용 - 그 간의 추진경과, 법령 지침(고시) 등 핵심내용 개인정보보호법 필수 이행사항 Ⅲ <참고> 법 위반사례 및 조치사항(DON’Ts & DOs)
I. 개인정보 유출과 보호 필요성
“정보 기술과 결합하여 새로운 공공, 민간 서비스 출현” 개인정보의 활용 확대 “정보 기술과 결합하여 새로운 공공, 민간 서비스 출현” 온라인 정보제공 DB 연계를 통한 행정효율화 등 온·오프라인을 통해 맞춤형 결혼 중개 공공기관 학원,교습소 온라인 수강신청, 수강자 관리 인터넷오프라인 연계 학습환경 결혼중개업 주유 고객 멤버십 주유 마일리지 제공 영화관 인터넷, 모바일 예매 무인발권시스템 정유업 여행업 주택관리업 전자항공권 발권 실시간 온라인 예약 홈네트워킹 관리
개인정보 침해사고 증가 국가전산망서 개인정보 빼내 채권추심 지자체-병원 홈피도 정보유출 불감 OO 홈피, 4만명 정보 노출 ‘선거인명색인부’ 나돌아 돈받고 개인정보 유출 공공기관 직원들, 개인정보 무단열람 행정문서 관리 허점.. 개인정보 줄줄(’08.12) 스마트폰 개인정보 ‘술술’ OO백화점 회원 개인정보 대량 유출 지자체 홈피에도 개인정보 ‘줄줄’ 샌다. 법학적성시험 응시자 1만여명 성적, 개인정보 노출 개인정보 뒤져, 노조 탈퇴 종용 보안조치 없이 외부 제공 국가전산망서 개인정보 빼내 채권추심 유가환급금 신청때 개인정보 샜다. 학생정보 보험사에 제공 미술대회 접수자 개인정보 대거 유출 헌 책방에서 줄줄 새는 개인정보 주민정보 인터넷 노출
개인정보 침해사고 증가 성명, 아이디, 주민등록번호, 비밀번호 등 유출
ID, 비밀번호, 이름, 휴대폰번호, 이메일주소, 주민등록번호 유출 개인정보 침해사고 증가 ID, 비밀번호, 이름, 휴대폰번호, 이메일주소, 주민등록번호 유출
주민등록번호의 구조와 의미 <출생지역 조합번호 4자리의 의미> 생년 월 일 성별 출생지역조합번호 오류검증 번호 20C 남1 여2 21C 남3 여4 출생지역의 같은 성씨 출생 신고 순번 경기도 부천시가 명예시민인 둘리에게 발급한 주민등록증입니다. <출생지역 조합번호 4자리의 의미> 첫 번째 – 출생신고를 한 특별시. 광역시. 도 두 번째 – 시.군.구 세 번째 – 동.읍.면 네 번째 – 통.반.리
주민등록번호의 쓰임과 유출시 문제점 공공 기관 민간 사업자 유출시 문제점 전자민원 등 온라인 민원 서비스에서 본인확인에 사용 오프라인에서 세무, 조세, 민원, 병역, 복지 등 행정업무 수행에 사용 민간 사업자 온라인 상 본인확인, 성인인증, 실명확인, 신용카드 등록 등에 사용 오프라인에서 포인트 적립 등 부가서비스, 금융상품 거래, 보험상품 가입 등에 사용 유출시 문제점 유출된 주민번호는 불법 매매, 명의도용(금융계좌, 휴대폰 개설, 사이버머니 판매) 신분증 위조 등 각종 범죄와 사기에 악용
“개인정보 유출 피해자들의 집단 소송 다수 발생” 개인정보 침해 관련 집단소송 “개인정보 유출 피해자들의 집단 소송 다수 발생” A 은행 B 전자 1,026명 피해 1인당 20만원 배상 판결 290명 피해 C 게임사 1인당 70만원 배상 판결 44명 피해 1인당10만원 배상 판결 D 오픈마켓 E 쇼핑몰 F 정유사 G 통신사 유출 피해자 2,000만 명 1,125만 명 1,800만 명 600백만 명 배상금액 소송 진행중 1차 판결 항소
개인정보 보호의 중요성 개인 기업 국가 개인정보 보호는 국가 · 사회 안전 및 기업 발전의 필수 요소 개인정보 유출 등 정신적 피해, 보이스 피싱 등에 의한 금전적 손해, 스팸메일, 유괴 등 각종 범죄에 노출 우려 기업 개인정보는 기업의 자산 그 자체, 개인정보 유출시 기업 이미지 실추, 집단 손해배상 등으로 기업 경영 타격 국가 정부, 공공행정의 신뢰성 하락, 국가 브랜드 하락, 프라이버시 라운드 대두에 따른 IT산업 수출애로 개인정보 보호는 국가 · 사회 안전 및 기업 발전의 필수 요소
II. 개인정보 보호법의 주요 내용 13
1. 그간의 추진경과
1. 그간의 추진 경과 17대 국회, 3개 개인정보보호법안 의원 발의 18대 국회, 3개 개인정보보호법안 발의 노회찬 의원(민노당, 04.11), 이은영 의원(우리당, 05.7), 이혜훈 의원(한나라당, 05.12) 17대 국회 임기만료로 3개 발의법안 자동 폐기 18대 국회, 3개 개인정보보호법안 발의 이혜훈 의원안(08.8.8), 변재일 의원안(08.10.27), 정부안(08.11.28) 국회 행안위 상정('09.2.20), 행안위 법안소위(5회), 법사위 법안소위('11.1) 본회의 의결('11.3.11), 공포('11.3.29), 시행('11.9.30) 개인정보보호 연구회 구성·운영('11.4) 학계, 법조계 등 전문가로 연구회를 구성(회장:홍준형) 하여 시행령 , 지침·고시 제정 등 지원 시행령 및 시행규칙 제정 (‘11.9.30) 입법예고(11.5.24), 공청회(11.6.2), 규제심사(11.9.4), 차관회의(11.9.16), 공포(11.9.27) 개인정보보호 표준지침 및 분야별 고시 제정('11.9.30 ) 표준 개인정보보호 지침(영상정보처리기기 운영관리지침, 공공기관 파일관리지침 포함), 개인정보의 안전성 확보조치 기준 고시, 개인정보 영향평가 고시
<참고> 개인정보보호법 개정 전.후 비교 구 분 기 존 (공공기관의 개인정보보호에 관한 법률) 개 정 개인정보보호법(’11.9월 시행) 규율대상 공공기관, 정보통신사업자 등 개별법이 규정하고 있는 경우 (51만 사업자) 공공·민간의 모든 개인정보 처리자 (350만 사업자) 보호범위 컴퓨터 등에 의해 처리되는 개인정보파일 종이문서에 기록된 개인정보도 포함 주민등록번호 등 고유식별정보 처리제한 고유식별정보의 민간사용을 사전적 제한 규정 없음 원칙적 처리금지 ✽ 정보주체의 별도 동의, 법령의 근거가 있는 경우 등은 예외 허용 유출 통지 관련 제도 없음 개인정보 유출통지 의무화 집단분쟁조정 집단분쟁제도 도입(재판상 화해 효력) 단체소송 단체소송(권리침해 중지) 도입 위원회 국무총리 소속 개인정보보호 심의위원회 대통령 소속 개인정보보호위원회
2. 법령, 지침(고시) 핵심내용
총칙 (1) 개인정보의 의미 (용어정의) 1 개인정보 처리 정보주체 처리자 파일 영상정보 처리기기 총칙 (1) 개인정보의 의미 (용어정의) 1 개인정보 처리 정보주체 처리자 파일 영상정보 처리기기 성명, 주민번호 등을 통하여 살아있는 개인을 알아볼 수 있는 정보 다른 정보와 용이하게 결합하여 개인을 알아볼 수 있는 정보 ※ 성명, 주소, 전화번호 등 이외에 컴퓨터 IP주소, e-mail 등도 개인정보에 포함됨 ※ 명함, 이메일 수집? 개인신용정보? 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 기타 이와 유사한 행위 처리되는 정보에 의해 알아볼 수 있는 그 정보의 주체가 되는 사람 ※ 정보통신망법 상의 이용자는 ‘영리목적으로 서비스를 이용하는 사람’이 해당되므로 개인정보보호법에 따른 정보주체와는 구분됨(신용정보법 상 신용정보주체) 업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 처리하는 공공기관, 법인, 단체, 개인 등 ※ 정보통신망법 상 정보통신서비스제공자는 ‘영리목적으로 서비스를 제공하는 자’를 의미하므로 개인정보보호법의 개인정보처리자와 구분됨(신용정보법 상 신용정보업, 신용정보회사) 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보 집합물 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 전송하는 장치 ※ 폐쇄회로 텔레비전(CCTV), 네트워크 카메라
(2) 법률 적용대상 및 범위 확대 법 시행 이전 법 시행 이후 분야별 개별법이 있는 경우에 한해 개인정보 보호의무 적용(약 51만) - 공공기관 : 「공공기관 개인정보보호법」 - 신용정보 제공·이용자 : 「신용정보법」 - 정보통신서비스제공자 : 「정보통신망법」 - 여행사, 백화점 등 준용사업자 : 「정보통신망법」 법 시행 이후 적용대상 : 공공·민간부문의 모든 개인정보처리자 - 포털, 금융기관, 병원, 학원, 제조업, 서비스업 등 72개 업종 350만 전체 사업자 - 국회·법원·헌법재판소·중앙선거관리위원회 등 헌법기관 - 부처, 지자체, 공사, 공단, 학교 등 2.8만 전체 공공기관 - 사업자 협회 · 동창회 등 비영리단체 적용범위 : 전자파일 형태외 동창회 명부, 민원서류, 이벤트 응모권 등 수기문서 포함 ※ 법 적용 일부 제외(법58조) 영상정보처리기기는 개인정보 수집이용(법 제15조), 동의 받는 방법(법 제22조), 영업양도 시 개인정보 이전 제한(법 제27조), 유출통지(법 제34조), 개인정보 처리정지권(법 제37조) 적용 제외 동창회, 동호회 등 친목도모 단체의 개인정보 처리는 개인정보 수집이용(법 제11조), 개인정보 처리방침(법 제30조), 개인정보 보호책임자 지정(법 제31조) 적용 제외
정보통신망법, 신용정보보호법과의 적용 관계 (법 제6조) (3) 다른 법률과의 관계 정보통신망법, 신용정보보호법과의 적용 관계 (법 제6조) 개인정보보호법은 일반법이므로 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보보호법 적용 주민등록번호 등 고유식별정보 및 민감정보 처리제한, 영상정보처리기기 설치운영 제한, 유출통지제, 집단분쟁조정제, 권리침해 중지 단체소송 등은 정보통신망법, 신용정보법 수범자 (포털, 망사업자, 금융기관 등)에게도 모두 적용 ※ ’12.2월 조문별 적용 관계를 정리한 ‘법령·지침 해설서’ 발간
행안부, 방통위 이외 각 부처는 소관 개인정보보호 분야별 지원, 협조 (4) 법 추진체계 일원화 17개 부처 38개 법률의 개별법 체계에서 개인정보보호법(일반법)-개별법 체계로 정비 보호위원회(심의·의결)-행안부(총괄 집행)-부처(소관 집행)로 일원화 제정 전 중앙행정기관 기타 공공기관 지자체 정책 심의 총괄. 준용 사업자 정보통신 서비스 제공자 신용정보 이용·제공 기관 행안부 방통위 금융위 의료 교육 노동 등 기타 공공기관 개인정보보호심의위원회 (국무총리 소속) 개인정보분쟁조정위원회 피해구제 공공부문 민간부문 행정안전부 정보통신 분야 방송통신위원회 행안부, 방통위 이외 각 부처는 소관 개인정보보호 분야별 지원, 협조 공공기관, 기타 민간분야 총괄 행정안전부 개인정보 분쟁조정위원회 시정 권고 심의·의결 개인정보보호위원회 피해구제 제정 후 헌법기관 지방자치단체 중앙행정기관 대 통 령
개인정보 처리단계별 의무사항 2 개인정보보호법령 규정 수집 이용 저장 관리 제공 위탁 파기 권리 보장 <처리단계> 개인정보 수집·이용 개인정보 수집의 제한 (필요 최소한의 정보수집 등) 민감정보 및 고유식별정보 처리제한 인터넷상 주민번호 이외의 회원가입 방법 제공 영상정보처리기기 설치·운영, 개인정보처리방침 공개 개인정보 보호책임자 지정 개인정보 안전성 확보조치 개인정보의 제3자 제공, 목적외 이용제공 금지 개인정보 처리위탁, 영업양도 등 개인정보 이전 개인정보 파기 개인정보 유출통지·신고 및 개인정보 침해신고 개인정보 열람, 정정·삭제, 처리정지권 개인정보 분쟁조정위원회 및 집단분쟁조정 권리침해 중지 단체소송 권리 보장 벌칙 및 경과조치
(1) 개인정보 수집·이용 및 제공 처벌규정 개인정보의 수집·이용 및 제공이 가능한 경우 (법 제15조, 제17조) 처벌규정 1. 정보주체의 동의를 받은 경우 2. 법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우 3. 공공기관이 법령에서 정한 소관업무 수행을 위해 불가피한 경우 4. 정보주체와의 계약 체결·이행을 위해 불가피한 경우 5. 정보주체 등의 생명, 신체, 재산의 이익 보호 (사전동의 받기 곤란한 경우) 6. 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 처벌규정 제15조 위반 시 5천만원 이하의 과태료 제17조 위반 시 5년이하 징역 또는 5천만원이하 벌금 처벌규정 필요 최소한의 개인정보 수집 (법 제16조) 개인정보처리자는 수집목적에 필요한 최소한의 개인정보를 수집 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담 개인정보처리자는 정보주체가 필요 최소한의 정보 외의 개인정보 수집에 동의 하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부 금지 처벌규정 위반 시 3천만원 이하의 과태료
<참고1> 개인정보의 수집·이용 기준 및 절차 정보주체의 동의가 있거나, 법령 등에서 정한 소관업무 수행을 위해 불가피한 경우 등은 개인정보 수집·이용 가능 (법 제15조) 일반적으로 개인정보를 수집하려면 정보주체의 동의를 받아야 함 ※ 정보주체의 동의 거부 권리 동의 거부 시 불이익 내용 고지 법령등에서 정한 소관업무 수행을 위해 불가피한 경우는 정보주체의 동의없이 개인정보 수집이용이 가능하나, 일반적으로는 정보주체의 동의를 받아야 개인정보의 수집이용이 가능합니다. 개인정보는 최소한의로 수집하여야 하며, 민감정보와 고유식별정보는 원칙적으로 수집할 수 없으며, 만 14세 미만 아동의 개인정보를 수집하려면 법정대리인의 동의를 반드시 받아야 하고, 제3자에게 자료 제공시에는 고지 및 동의가 필요합니다. 정보주체의 동 의 개인정보 수집·이용 최소한의 정보수집 민감정보 및 고유식별정보 원칙적 수집 금지 만 14세 미만 개인정보 수집 시 법정대리인 동의 필요 제3자 제공시 고지 및 동의 필요 동의 시 고려사항 ※ 예외사항 119 구조 등 응급의료, 요금정산, 신용조회 등
<참고2> 개인정보 동의획득 양식 (예시) A사의 개인정보 수집 및 이용 회사는 회원가입, 고객상담, 서비스 제공을 위해 최초 회원가입 시 아래와 같은 개인정보를 수집하고 있습니다. <필수정보> 성명, 생년월일, 성별, 아이디, 비밀번호, 필수연락처, 가입인증정보 수집한 개인정보는 회원 유지기간 및 A/S 기간동안 보관합니다. 회원께서는 개인정보 수집 동의를 거부하실 수 있으며 다만 이 경우 회원가입이 제한됩니다. 개인정보 수집 및 이용에 동의하십니까 □ 동의함 □ 동의하지 않음 일반동의 (필요시) 고유식별정보 처리 동의 (수집 또는 제공시의 고지사항 고지) 고유식별정보 처리에 동의하십니까 □ 동의함 □ 동의하지 않음 별도동의 (필요시) 민감정보 처리 동의 (수집 또는 제공시의 고지사항 고지) 민감정보 처리에 동의하십니까 □ 동의함 □ 동의하지 않음 별도동의 (필요시) 목적 외 이용/제공 동의시 (목적 외 제공시의 고지사항 고지) 개인정보 목적외 이용/제공에 동의하십니까 □ 동의함 □ 동의하지 않음 별도동의 <선택정보> 기혼 여부, 기념일, 병력, 취미, 소득수준, 자녀 정보 ※ 선택정보 사항을 획득하지 못한 사유로 인해 서비스 제공을 거부할 수 없습니다. 선택적 개인정보 수집 및 이용에 동의하십니까 □ 동의함 □ 동의하지 않음 별도동의
(2) 개인정보 목적외 이용 및 제3자 제공 제한 개인정보의 목적외 이용 및 제공이 가능한 경우 (법 제18조) 처벌규정 1. 정보주체의 별도 동의를 받은 경우 2. 다른 법률의 특별한 규정 3. 명백히 정보주체 또는 제3자의 생명, 신체,재산의 이익에 필요한 경우 4. 통계작성,학술연구에 필요한 경우로 특정개인을 알아볼 수 없는 형태로 제공 공공기관만 해당 5. 법률에서 정하는 소관업무수행이 불가능 경우 보호위원회의 심의· 의결을 거친 경우 6. 조약, 국제협정이행을 위해 외국정부 등 제공에 필요한 경우 7. 범죄수사 및 공소제기·유지 8. 법원의 재판업무 수행 9. 형 및 감호, 보호처분 집행 처벌규정 위반 시 5년이하 징역 또는 5천만원 이하의 벌금
<참고1> 개인정보 목적외 이용 위반사례 위반 사례 업무상 사용하는 개인정보는 해당 목적으로만 이용하여야 함 (개인정보를 PC에 함부로 보관할 경우 불법이용이나 유출의 위험이 있으므로 즉시 파기) 민원 담당자가 개인적인 목적으로 민원서류를 무단 열람하여 이용하면 목적외 이용에 해당 주의사항 A기관 직원이 차량등록 업무 수행시 검색한 개인정보(100건)를 PC에 개인적으로 보관하다 기관내 민원 게시판 댓글을 다는데 사용 B기관의 민원업무 담당자가 동생 배우자의 신원확인을 위해 혼인관계 증명서를 열람 - 27 -
<참고2> 개인정보 제3자 제공 위반 사례 주의사항 A기관 직원이 업무상 관리하던 타 직원의 개인정보를 동생에게 알려주어 명절 열차표 예매에 사용하게 함 B대학교는 합격자 발표 게시물에 주민등록번호 등 개인정보를 포함 C학교는 기숙사 배정 문서에 성적, 주민번호 등 개인정보가 포함된 채 발송 D기관은 개별 통보해야 하는 개인정보가 포함된 민원서류를 민원인에게 일괄 발송 부서내 직원정보 등 소규모 개인 정보도 유출하지 않도록 주의 홈페이지 게시물 확인 철저 (홈페이지에 게시되면 즉시 삭제해도 구글 등 검색엔진에 남아 계속 열람될 수 있음) 개인정보가 포함된 파일관리 철저 (외부 문서에 잘못 첨부되지 않도록 주의하고 비밀번호를 부여하여 잘못된 열람 방지) 개인정보가 포함된 문서는 각각 해당 수신자에게만 발송 조치 - 28 -
(3) 민감정보 및 고유식별정보 처리제한 내용 세부사항 처벌규정 민감정보 및 고유식별정보의 처리는 내용적으로 금지 (법 제23조, 제24조) 정보주체에게 별도 동의를 얻거나, 법령에서 구체적으로 허용된 경우에 한하여 예외적으로 처리 허용 ※ 민감정보 : 사상, 신념, 노동조합, 정당가입, 건강 등 사생활 침해 우려가 현저히 높은 개인정보 ※ 고유식별정보 : 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보 세부사항 민감정보의 범위 (영 제18조) ① 유전자 검사에 따른 유전정보 ② ‘형의 실효 등에 관한 법률’에 따른 범죄 경력 정보 고유식별정보의 범위 (영 제19조) ① 주민등록번호 ② 여권번호 ③ 운전면허번호 ④ 외국인등록번호 처벌규정 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금
(4) 인터넷상 주민등록번호 이외의 회원가입방법 제공 내용 공공기관 및 일평균 홈페이지 이용자 1만명 이상의 개인정보처리자는 정보주체가 인터넷 홈페이지를 통해 회원으로 가입할 경우, 주민등록번호 이외의 회원가입 방법을 의무 제공 (법 제24조제2항, 영 제20조) ※ 주민등록번호 이외의 회원가입 방법 : i-PIN, 공인인증서, 전자서명, OTP 등 주민번호 대체수단 제공 의무화 대상자 방통위 : 1,500개 <포털(일방문자 5만, 게임.정보통신업체(일방문자 1만)> 행안부 : 11,712개 <전체 공공기관(11,663개), 기타(49개, 일방문자1만)> 처벌규정 대체수단 미제공 시 3천만원 이하의 과태료
(5) 영상정보처리기기의 설치·운영 제한 ① 내용 영상정보처리기기는 공개된 장소에 특정 목적으로만 설치·운영 (법 제25조제1항) <영상정보처리기기 설치·운영 허용 사유> 1) 법령에서 구체적으로 허용하는 경우 2) 범죄예방 및 수사 3) 시설안전 및 화재예방 4) 교통단속 5) 교통정보의 수집·분석 및 제공 처벌규정 위반 시 3천만원 이하의 과태료 목욕실, 화장실, 탈의실 등 개인 사생활을 현저히 침해할 우려가 있는 장소에는 영상정보처리기기 설치·운영 금지 (법 제25조제2항) - 다만, 교정시설, 정신의료기관에는 설치·운영 허용 (영 제22조제1항) 처벌규정 위반 시 5천만원 이하의 과태료 영상정보처리기기 설치목적과 다른 목적으로 영상정보처리기기를 임의 조작, 다른 곳을 비추는 행위, 녹음기능 사용 금지 (법 제25조제5항) 처벌규정 위반 시 3천만원 이하 징역 또는 3천만원 이하 벌금
(5) 영상정보처리기기의 설치·운영 제한 ② 안내판 설치 영상정보처리기기 운영관리방침 수립 정보주체가 쉽게 인식할 수 있도록 안내판 설치 (법 제25조제4항, 영 제24조) <안내판 기재사항> 1) 설치목적 및 장소 2) 촬영범위 및 시간 3) 관리책임자 및 연락처 건물 안에 다수의 영상정보처리기기 설치시, 출입구 등 잘 보이는 곳에 해당 시설·장소 전체가 설치지역임을 표시하는 안내판 설치 다음의 경우, 안내판 설치에 갈음하여 인터넷 홈페이지에 기재사항 게재 <안내판 설치 예외> 1) 공공기관이 원거리 촬영, 과속, 신호위반단속 등 목적으로 설치하는 경우 2) 장소적 특성으로 안내판 설치가 불가능하거나 설치하더라도 정보주체가 쉽게 알아볼 수 없는 경우 처벌규정 위반 시 1천만원 이하의 과태료 영상정보처리기기 운영관리방침 수립 <운영관리방침 포함사항 (영 제25조)> 1) 설치근거 및 설치목적 2) 설치대수, 설치위치, 촬영범위 3) 관리책임자, 담당부서 등 4) 촬영시간, 보관기간, 보관장소, 처리방법 5) 운영자의 영상정보 확인방법 및 장소 6) 정보주체의 영상정보 열람 등 요구에 대한 조치 7) 기술적,관리적,물리적 조치 등 ※ 개인정보 처리방침으로 대체 가능
(6) 개인정보 처리방침 수립 및 공개 내용 개인정보처리방침 공개방법 처벌규정 개인정보처리자는 개인정보처리방침을 수립·공개(법 제30조제1항, 영 제31조제1항) <개인정보처리방침 포함사항> 1) 개인정보 처리목적 2) 개인정보 처리 및 보유기간 3) 개인정보 제3자 제공에 관한 사항 4) 개인정보 처리 위탁에 관한 사항 5) 정보주체의 권리·의무 및 행사방법에 관한 사항 6) 처리하는 개인정보항목 7) 개인정보 파기에 관한 사항 8) 개인정보 안전성 확보조치에 관한 사항 개인정보처리방침 공개방법 인터넷 홈페이지 첫화면 또는 첫화면과 직접 연결되는 화면에 게재 <인터넷 홈페이지 게재 불가시 공개방법 (영 제31조제3항)> 1) 사업장 등의 보기 쉬운 장소에 게시 2) 관보, 신문 게재 3) 연 2회 이상 발생하는 간행물, 소식지 등에 게재 4) 재화용역을 제공하기 위해 작성한 계약서에 게재하여 발급 처벌규정 위반 시 1천만원 이하의 과태료
<참고> 개인정보 처리방침 수립 및 공개 예시 개인정보 처리방침을 홈페이지 또는 사업장 내에 게시하여 정보주체가 쉽게 확인할 수 있도록 공개 [인터넷 홈페이지 첫화면] [사업장내 벽면에 게시] 공개사항을 모두 포함 정보주체가 쉽게 확인할 수 있도록 글자색을 달리 표시 약관 개인정보 처리방침 회사소개/투자정보 온라인제휴안내 인트라넷
(7) 개인정보 보호책임자의 지정 내용 지정요건 처벌규정 개인정보처리자는 개인정보 처리에 관한 업무를 총괄·책임지는 개인정보 보호책임자를 지정 (법 제31조) <개인정보 보호책임자 업무> (법 제31조제2항, 영 제32조제1항) 1) 개인정보 보호계획 수립·시행 2) 개인정보 처리실태 및 관행의 정기적 조사·개선 3) 불만의 처리 및 피해구제 4) 유출 및 오남용 방지를 위한 내부통제시스템 구축 5) 개인정보 보호 교육계획 수립·시행 6) 개인정보파일 보호 및 관리· 감독 7) 개인정보처리방침 수립·변경 및 시행 8) 개인정보 보호 관련 자료의 관리 9) 처리목적이 달성되거나 보유기간이 경과한 개인정보 파기 지정요건 개인정보 보호책임자 지정요건 (영 제32조제2항) ① 공공기관은 기관별 직급 명시 (개인정보처리 담당부서의 장) ② 공공기관 외의 개인정보처리자의 경우 개인 사업주, 대표자, 정보처리 업무를 담당하는 부서의 장, 개인정보 보호에 관한 소양이 있는 사람 중 어느 하나를 지정 처벌규정 위반 시 1천만원 이하의 과태료
(8) 개인정보의 안전성 확보조치 내용 세부사항 (영 제30조) 처벌규정 개인정보가 분실·도난·유출·변조·훼손되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 조치 이행 (법 제29조) 세부사항 (영 제30조) 관리적 보호조치 - 내부관리계획 수립·시행 기술적 보호조치 - 접근통제 및 접근권한 제한 조치 - 개인정보의 안전한 저장·전송을 위한 암호화 또는 이에 상응하는 조치 - 접속기록의 보관 및 위·변조 방지조치 - 보안프로그램의 설치 및 갱신조치 물리적 보호조치 - 개인정보 안전한 보관을 위한 보관시설 마련 또는 잠금장치 설치 처벌규정 미이행시 3천만원 이하의 과태료, 미이행으로 인한 유출시 2년 이하 징역 또는 1천만원 이하 벌금
<참고> 개인정보의 안전성 확보조치 고시(안) ※ 소상공인(5인 미만) 또는 중소사업자(50인 미만)가 내부직원의 개인정보망을 보유한 시스템은 적용 제외 구분 주요내용 내부관리계획(제3조) 보호책임자 지정 및 역할과 책임, 취급자 교육 등 ※ 소상공인은 내부관리계획 수립의무 면제 접근권한 관리(제4조) 업무수행에 필요한 최소한의 범위로 차등 부여 접근권한 부여기록은 최소 3년간 보관 비밀번호 관리(제5조) 비밀번호 작성규칙 수립 의무화 접근통제시스템(제6조) 방화벽 등 접근통제시스템 설치·운영 업무용 컴퓨터만을 이용해 개인정보 처리시, 접근통제시스템 설치의무 면제 (O/S, 보안프로그램의 접근통제기능 이용) 암호화(제7조) 암호화 대상 : 고유식별정보, 비밀번호, 바이오정보 암호화 기준 (전송시) 정보통신망 송수신 등의 경우 암호화 (저장시) ① 비밀번호 및 바이오정보 암호화 (PW 일방향 암호화) ② 고유식별정보는 인터넷구간, DMZ구간 저장시 암호화하고 내부망 저장시 위험도 분석에 따라 암호화 적용여부, 적용범위 결정 접속기록 보관(제8조) 최소 6개월 이상 보관 보안프로그램(제9조) 백신소프트웨어 등 보안프로그램 설치, 자동 또는 일1회 이상 업데이트 물리적 접근방지(제10조) 개인정보 물리적 보관장소에 대한 출입통제절차 등 ※ 안전성 확보조치 고시(안)은 개인정보보호 종합포털(www.privacy.go.kr) 게재
(9) 개인정보 처리업무 위탁 기준 내용 홍보 및 판매권유 위탁 위탁자 및 수탁자의 책임 처벌규정 제3자에게 개인정보 처리업무 위탁시, 문서에 의하여야 함 (법 제26조, 영 제28조) 개인정보처리자는 위탁사실을 정보주체가 쉽게 확인토록 공개 (법 제26조제2항) 위탁자의 인터넷 홈페이지 첫화면 또는 첫화면과 직접 연결되는 화면을 통하여 공개사항을 게재 (영 제28조제2항) 홍보 및 판매권유 위탁 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁 시 위탁사실을 정보주체에게 고지 (법 제26조제3항) 고지방법 (영 제28조제4항) 서면, 전자우편, FAX, 전화, 문자 또는 이에 상당하는 방법 위탁사실을 과실없이 고지할 수 없는 경우 (영 제28조제5항) - 위탁사실을 인터넷 홈페이지에 30일 이상 게재(홈페이지가 없는 경우 사업장 등에 게재) 위탁자 및 수탁자의 책임 위탁자는 수탁자가 개인정보를 안전하게 처리하는지 감독 (법 제26조제4항) 수탁자가 위탁받은 업무와 관련하여 이 법을 위반하여 손해배상책임 발생시, 수탁자를 개인정보처리자의 소속직원으로 간주 (법 제26조제6항) 처벌규정 위반 시 3천만원 이하의 과태료
(10) 영업양도 등에 따른 개인정보 이전제한 내용 고지방법 (영 제 29조) 처벌규정 개인정보처리자는 영업의 전부, 일부의 양도·합병 등으로 개인정보를 다른 사람에게 이전하는 경우, 다음 사항을 정보주체에 고지 (법 제27조제1항) <영업양도 등 고지시항> 1) 개인정보 이전사실 2) 개인정보를 이전 받는 자(영업양수자 등)의 성명, 주소, 전화번호, 연락처 3) 정보주체가 개인정보 이전을 원하지 않는 경우 조치할 수 있는 방법 및 절차 개인정보처리자가 통지한 경우, 영업양수자 등은 고지의무 면제 고지방법 (영 제 29조) 서면, 전자우편, FAX, 전화, 문자전송 또는 이에 상당하는 방법 과실 없이 정보주체에게 고지할 수 없는 경우 해당 사항을 인터넷 홈페이지에 30일 이상 게재 (인터넷 홈페이지가 없는 경우에는 사업장 등의 보기 쉬운 장소에 게재) 처벌규정 위반 시 1천만원 이하의 과태료
(11) 개인정보 파기조치 내용 파기방법 (영 제`16조) 처벌규정 보유기간의 경과, 개인정보 처리목적 달성 등 개인정보가 불필요하게 되었을 때는 지체 없이 (5일 이내) 개인정보 파기 (법 제21조, 표준지침 제11조) 다만, 다른 법령에 따라 보존해야 하는 경우에는 미파기 소비자 분쟁처리 관련 기록(3년), 요금정산(5년), 계약 및 청약철회(5년) : 전자상거래법 의료기록부(10년), 진단서 등의 부본(3년) : 의료법 시행규칙 파기방법 (영 제`16조) 개인정보가 복구 또는 재생되지 아니하도록 파기 - 전자적 파일 형태 : 복원이 불가능한 방법으로 영구 삭제 ※ 복원이 불가능한 방법 : 사회 통념상 현재 기술 수준에서 적절한 비용이 소요되는 방법 (표준지침 제11조제2항) - 기록물, 인쇄물, 서면 등 : 파쇄 또는 소각 처벌규정 위반 시 3천만원 이하의 과태료
국민의 권리 보장 (1) 개인정보 유출통지 및 신고제 3 국민의 권리 보장 (1) 개인정보 유출통지 및 신고제 내용 개인정보처리자는 개인정보 유출시 지체없이 (5일 이내) 정보주체에게 유출사실 통지 (법 제34조, 표준지침 제27조) 1만명 이상 개인정보 유출시 지체없이 (5일 이내) 행정안전부 또는 한국정보화진흥원, 한국인터넷진흥원에 신고 (법 제34조제3항, 영 제39조) ※ 개인정보 유출에 따른 금융사기, 보이스피싱 등 2차 피해 방지를 위해 전문기관은 기술 지원 통지방법 통지 방법 (영 제40조제1항) - 서면, 전자우편, FAX, 전화, 문자전송 또는 이에 상당하는 방법 - 1만명 이상 개인정보 유출시, 통지와 동시에 인터넷 홈페이지에 7일 이상 게재 (영 제40조제3항) 유출된 개인정보 확산 및 추가유출 방지를 위하여 접속경로 차단, 취약점 점검·보완, 유출 개인정보 삭제 등 긴급한 조치 필요시 해당 조치를 취한 후 정보주체에게 통지 가능 (영 제40조제1항) 처벌규정 통지·신고 미이행 시 3천만원 이하의 과태료
(2) 개인정보 침해신고 내용 개인정보침해신고센터 개인정보에 관한 권리, 이익을 침해받은 사람은 행정안전부장관에게 침해사실을 신고 (법 제62조) 개인정보침해신고센터 행정안전부장관은 개인정보 침해신고의 접수, 처리 등 업무를 효율적으로 수행하기 위하여 한국인터넷진흥원을 개인정보침해신고센터 운영을 위한 전문기관으로 지정 (법 제62조제2항, 영 제59조) <개인정보침해신고센터 업무> (법 제62조제3항) 1) 개인정보 처리와 관련한 신고의 접수, 상담 2) 사실의 조사, 확인 및 관계자의 의견 청취 3) 위의 업무에 딸린 업무 개인정보침해신고센터 ☎ 국번없이 118 홈페이지 : privacy.kisa.or.kr ※ 개인정보 침해신고 건수 : ’09년 3만 5천여건 ’10년 5만 5천여건 ’11년 12만 2천여건
(3) 정보주체의 열람, 정정·삭제, 처리정지권 보장 내용 정보주체는 자신의 개인정보에 대한 열람, 정정·삭제, 처리정지를 개인정보처리자에 대해 요구할 수 있음 (법 제35조~제37조) 조치사항 개인정보 열람 요구 대응조치 (영 제41조) - 내용적으로 10일 이내에 열람할 수 있도록 조치, - 열람할 수 없는 정당한 사유가 있을 경우 정보주체에게 그 사유를 알리고 열람 연기 (사유가 소멸하면 지체없이 열람) 개인정보 정정·삭제, 처리정지 요구 대응조치 (영 제43조) - 내용적으로 10일 이내에 조치 ※ 처리정지권 (법 제37조) : 정보주체는 공공기관에 등록된 개인정보 파일 중 자신의 개인정보 처리정지 요구 가능 <열람 제한사유> 1) 법률의 규정 2) 타인의 생명, 신체, 재산 침해우려가 있는 경우 3) 공공기관의 조세부과 징수·환급, 교육기관 성적평가·입학자 선발, 채용 시험·보상금 산정·감사조사 업무 처벌규정 위반 시 3천만원 이하의 과태료
(4) 개인정보 분쟁조정 및 단체소송 분쟁조정 집단분쟁조정 단체소송 개인정보 관련한 분쟁의 조정을 원하는 자는 개인정보분쟁조정위원회에 분쟁조정을 신청할 수 있음 (법 제43조) <개인정보분쟁조정위원회> (법 제40조) 개인정보에 관한 분쟁의 조정을 위하여 설치 (위원장 1명 포함 20명 이내의 위원으로 구성) 분쟁조정의 내용은 재판상 화해 효력 (제47조제5항) ※ 재판상 화해 : 소송 중 양 당사자가 화해하여 소송을 종료시키기로 하는 합의, 확정판결과 동일 효력 집단분쟁조정 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우 집단분쟁조정을 신청할 수 있음 (법 제49조) <집단분쟁 신청대상> (영 제52조) 1) 피해 또는 권리침해를 입은 정보주체 수가 50명 이상 2) 사건의 중요한 쟁점이 사실상, 법률상 공통 단체소송 소비자단체, 비영리민간단체는 개인정보처리자가 집단분쟁조정 거부 또는 결과 불수락 시 법원에 권리침해행위의 금지·중지 소송 제기 (법 제51조)
벌칙 및 경과조치 (1) 벌칙 및 과태료 4 실체법 위반은 징역형 또는 벌금, 절차법 위반은 과태료 부과 구분 주요내용 벌칙 및 경과조치 (1) 벌칙 및 과태료 실체법 위반은 징역형 또는 벌금, 절차법 위반은 과태료 부과 구분 주요내용 처벌 및 벌칙 수집 · 이용 개인정보 안전관리 정보주체 권익보호 제공 · 위탁 파기 정보주체의 동의 없는 개인정보 제3자 제공(17조) 개인정보의 목적 외 이용·제공(18조, 제19조, 제26조) 민감정보 처리기준 위반(제23조) 고유식별정보 처리기준 위반(제24조) 부정한 수단이나 방법에 의해 개인정보를 취득하거나 개인정보처리에 관한 동의를 얻는 행위를 한 자(제59조) 개인정보의 수집기준 위반(제15조) 만 14세 미만 아동의 개인정보 수집 시 법정대리인 동의획득의무 위반 (제22조) 탈의실·목욕실 등 영상정보처리기기 설치 금지 위반(제25조) 직접마케팅 업무위탁으로 인한 개인정보 제공 시 정보주체에게 알려야 할 사항을 알리지 아니한 자 (제15조, 제17조, 제18, 제26조) 최소한의 개인정보 외 정보의 미동의를 이유로 재화 또는 서비스 제공을 거부한 자(제16조, 제22조) 주민등록번호를 제공하지 아니할 수 있는 방법 미제공(제21조) 동의획득방법 위반하여 동의 받은 자 (제22조) 5년 이하 징역 또는 5천 만원 이하 벌금 3년 이하 징역 또는 3천 만원 5천 만원 이하 과태료 3천 만원 1천 만원 동의 없는 개인정보 제3자 제공(17조) 개인정보의 목적 외 이용·제공 (18조, 제19조, 제26조) 직접마케팅 업무위탁으로 인한 개인정보 제공 시 정보주체에게 알려야 할 사항을 알리지 아니한 자(제15조, 제17조, 제18, 제26조) 업무위탁 시 공개의무 위반(제26조) 개인정보의 누설 또는 타인 이용에 제공 (제59조) 개인정보의 훼손, 멸실, 변경, 위조, 유출 (제59조) 영상정보처리기기 설치목적과 다른 목적으로 임의 조작하거나 다른 곳을 비추는 자 또는 녹음기능을 사용한 자(제25조) 직무상 알게 된 비밀을 누설하거나 직무상 목적 외 사용한 자(제60조) 안전성 확보에 필요한 보호조치를 취하지 않아 개인정보를 도난·유출·변조 또는 훼손당하거나 분실한 자(제24조, 제25조, 제29조 위반) 안전성 확보에 필요한 조치의무 불이행 (제24조, 제25조, 제29조) 개인정보를 분리해서 저장․관리하지 아니한 자(제21조) 개인정보처리방침 미공개(제30조) 개인정보관리책임자 미지정(제31조) 영상정보처리기기 안내판 설치 등 필요조치 불이행(제25조) 영상정보처리기기 설치·운영기준 위반 ( 제25조) 5년 이하 징역 또는 5천 만원 5년 이하 징역 또는 5천 만원 이하 벌금 3년 이하 징역 또는 3천 만원 이하 벌금 2년 이하 징역 또는 1천 만원 이하 벌금 개인정보의 정정·삭제요청에 대한 필요한 조치를 취하지 않고, 개인정보를 계속 이용하거나 제3자에게 제공한 자(제36조) 2년 이하 징역 또는 개인정보의 처리정지 요구에 따라 처리를 중단하지 않고 계속 이용하거나 제3자에게 제공한 자(제37조) 개인정보 유출사실 미통지(제34조) 정보주체의 열람 요구의 부당한 제한·거절(제35조) 정보주체의 정정삭제요구에 따라 필요조치를 취하지 아니한 자(제36조) 처리정지된 개인정보에 대해 파기 등의 조치를 하지 않은 자(제37조) 시정명령 불이행(제64조) 정보주체의 열람, 정정·삭제, 처리정지 요구 거부 시 통지의무 불이행 (제35조, 제36조, 제37조) 관계물품·서류 등의 미제출 또는 허위 제출(제63조) 출입·검사를 거부·방해 또는 기피한 자 (제63조) 개인정보 미파기(제21조) 2년 이하 징역 또는 1천 만원
(2) 시행일 및 경과조치 시행일 경과조치 (영 부칙) 개인정보보호법은 ‘11.9.30(공포 후 6개월 경과일)부터 시행 (부칙 1조) 주민등록번호 외의 회원가입 방법(i-PIN등) 적용(법 제24조제2항)은 ‘12.3.30 (공포 후 1년 경과일)부터 시행 (부칙 1조) 경과조치 (영 부칙) 개인정보 암호화는 고시 수립일로부터 3개월 이내에 암호화 계획 수립, ‘12.12.31까지 암호화 적용 (영 제4조) 개인정보 영향평가는 고시 수립일로부터 3개월 이내에 영향평가 계획 수립, ‘16.9.30(5년 이내)까지 영향평가 완료 (개인정보 영향평가 고시 부칙 제2조) 법 시행 이전에 다른 법령에 따라 적법하게 처리된 개인정보, 근거 법령없이 처리된 개인정보는 이 법에 따라 처리된 것으로 간주(소급 불인정) 다만, 9.30 이후 새롭게 개인정보를 처리하는 경우 개인정보보호법 적용
III. 개인정보보호법 필수 이행사항 47
(1) 필수 이행사항 1. 무분별한 개인정보 수집 자제 2. 주민등록번호 등 고유식별정보와 불필요하게 주민번호 등 개인정보를 수집하는 경우, 관리소홀로 인해 해킹 등 유출사고 책임이 크게 증가하므로 서비스 제공에 필요한 최소한의 개인정보 수집이 현명하다. 2. 주민등록번호 등 고유식별정보와 종교, 건강정보 등 민감정보는 원칙적 처리금지 고유식별정보와 민감정보는 ①정보주체의 별도의 동의 ②법령에서 구체적으로 명시하거나 허용하는 경우를 제외하고 처리할 수 없도록 규제가 강화된다. 수집 시 법령에 근거가 있는지, 홈페이지 또는 서식에 별도의 동의 서식을 갖추고 있는지 살펴서 법 위반사례가 없도록 한다.
(2) 필수 이행사항 3. 목적외 이용이나 제3자 제공에 대한 주의 4. 개인정보 위탁시 정보주체에게 고지하고 관리책임을 이행 법령의 근거 없이 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공하지 않도록 주의하여야 한다. 지인이나 심부름센터 등에 개인정보를 고의적으로 유출하는 것은 물론, 인터넷에 잘못 게시하여 개인정보가 유출되는 경우도 불법적인 제3자 제공이므로 관리를 철저히 하여야 한다. 4. 개인정보 위탁시 정보주체에게 고지하고 관리책임을 이행 홍보 또는 조사목적으로 개인정보 처리업무를 위탁할 때 정보주체에게 고지 해야 한다. 예를 들어, 수탁자인 조사회사의 잘못으로 개인정보가 유출되어 피해가 발생한 경우, 위탁자가 손해배상을 해야 한다. 위탁자는 수탁자를 관리 감독 할 책임이 부과되므로 수탁자 교육 등을 철저히 이행해야 한다. - 49 -
(3) 필수 이행사항 5. 개인정보파일은 DB보안 프로그램, 암호화 소프트웨어 등 안전한 방법을 사용하여 보관 개인정보파일은 유출되었을 때 명의도용, 불법마케팅, 보이스피싱 등에 악용될 수 있으므로 안전한 방법으로 보관해야 한다. 안전하게 보관하기 위해서는 개인정보를 암호화하고 DB에 접근권한 제한, 백신프로그램 설치, 방화벽 등 침입차단시스템을 설치하고 필요한 보호조치를 취해야 한다. 특히, PC에 개인정보를 함부로 보관하여 유출되지 않도록 주의해야 한다 6. 이미 수집된 개인정보파일을 이용한 후에는 알아볼 수 없도록 파기 개인정보의 보유이용기간이 끝난 경우, 이용목적을 달성한 경우에는 문서를 분쇄하거나 소각해 파기해야 한다. 컴퓨터로 저장된 문서를 가지고 있는 경우라면 포맷이나 삭제 소프트웨어를 사용해서 파기 처리한다. - 50 -
(4) 필수 이행사항 7. 관련 문서를 명확히 구비하고 정보주체의 열람청구에 신속히 대응 개인정보처리방침, CCTV 운영방침, 안내판 등 의무적으로 공개가 필요한 문서들과 내부관리계획 등 수립하여야 하는 문서를 점검하여 누락되지 않도록 준비한다. 열람청구 등에 대한 정보주체의 요구가 있을 경우 지체 없이 처리하여야 한다 8. 개인정보 유출통지, 집단분쟁조정, 단체소송에 대비 개인정보가 유출된 경우 정보주체에게 즉시 알리고, 사실확인, 홈페이지 차단, 비밀번호 변경공지 등 초동조치를 신속히 하여야 한다. 유출 대응을 지연하는 경우에는 과태료가 부과되고, 유출이 확인될 경우 피해자는 분쟁조정위원회에 집단분쟁조정 또는 법원에 권리침해 단체소송을 제기할 수 있으므로 철저히 대비해야 한다. - 51 -
<참고> 법 위반 사례 및 조치사항 (DON’Ts & DOs)
(1) 개인정보 수집·이용 ·제공 동의 DON’Ts (위반사례) DOs (조치사항) 멤버십 가입 신청 시 수집·이용 목적, 수집항목, 보유기간 등에 대한 정보주체의 동의 항목 누락 14세 미만 아동에 대한 개인정보 수집 시 법정대리인 동의절차 누락 민감정보, 고유식별정보 수집 시 별도동의 미획득 정보주체의 별도 동의없이 홍보, 판매를 위해 개인정보 무단 활용 정보주체 동의없이 이벤트를 위한 개인정보 제3자 제공 개인정보 수집에 따른 동의항목 확인 만 14세 미만의 아동 정보를 처리 하기 위해 법정대리인의 동의 필요 민감정보, 고유식별정보 수집 시 별도의 동의 획득 필요 홍보, 판매 등 목적외 이용제공을 위한 별도동의 획득 및 고지 필요 개인정보 목적외 제3자 제공 시 별도의 동의 획득 필요 - 53 -
(2) 최소정보 수집 DON’Ts (위반사례) DOs (조치사항) A사는 인터넷을 통한 신발 판매 시 주민번호, 직장정보, 소득, 자녀정보 등 필수정보와 선택정보를 구분하지 않고 포괄 동의 후 수집 신발 판매를 위한 필수정보와 부가적인 정보(선택정보)를 구분하여 동의 획득하고, 부가정보 수집에 동의하지 않은 이유로 서비스 제공 거부 금지 이름 주민번호 주소 핸드폰번호 유선번호 직장명 직장주소 연소득 주거형태 배우자 정보 취미 “주민번호, 직장정보, 소득, 주거형태 등의 정보는 최소정보인가?” 수집하는 개인정보가 최소정보라는 것은 개인정보처리자가 입증 개인정보처리자는 정보주체가 필요 최소한의 정보 외의 개인정보 수집에 동의하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부할 수 없음(과태료 3천만원) - 54 -
(3) 민감정보 및 고유식별정보 수집을 위한 별도 동의 DON’Ts (위반사례) DOs (조치사항) 고유식별정보에 대한 무단 수집 고유식별정보 및 민감정보는 내용적으로 수집이 금지되고, 필요 시 별도의 동의 획득 필요 * 회원가입을 위한 필수항목입니다. 이름 주민등록번호 여권번호 자동차등록번호 전화번호 - 수집 및 이용목적 동의 민감정보 추가수집 동의 고유식별정보 수집 동의 OOOO의 개인정보 수집 및 이용 OOOO의 민감정보 추가수집 OOOO의 고유식별정보 수집 동의 동의하지 않음 <일반동의> 민감정보에 대한 무단 수집 <별도동의> * 회원가입을 위한 필수항목입니다. 종교 본인병력 가족병력 지지하는 정당 <별도동의> - 55 -
(4) 업무 위탁, 영업양도에 따른 공개 및 고지 일반 위탁 시 공개 예시 홍보·판매 위탁·양도 시 고지 예시 재화 또는 서비스 홍보·판매 업무를 위탁하는 경우에는 업무의 내용, 수탁자를 고지 **전자 패밀리 서비스 이행을 위해 개인정보 취급 업무 중 일부를 아래와 같이 외부 전문 업체에 위탁하여 운영하고 있습니다. 위탁업무 내용 위탁업체 AAA BBB CCC DDD EEE 마케팅 업무 운영 대행을 위한 위탁- 이벤트 당첨자 상품 배송을 위한 고객정보 추출, 제품/기업 및 이벤트 홍보 메일전송을 위한 고객정보 추출등과 같은 마케팅 업무 운영 고객 응대 업무 효율성 제고를 위한 위탁 - **전자 패밀리 회원 고객문의 응대, 물품 구매관련 및 배송관련 고객 문의 응대, 만족도 조사(제품구매,배송설치,서비스) 회원제 서비스 이용에 따른 본인 실명 확인 온라인 광고, 캠페인 집행을 위한 위탁- 광고, 이벤트 등과 같은 마케팅 업무 수행에 필요한 고객 정보 추출, 활용 제품 구매에 따른 물품 배송 및 제품설치 당사의 서비스 이행을 위해 아래와 같이 개인정보 취급업무를 위탁함 o 취급위탁을 받는 자 : A 텔레마케팅 o 취급위탁 내용 : oo제휴상품 홍보 및 안내 영업의 양도 합병으로 개인정보를 이전하는 경우에는 이전 사실, 양수자의 성명, 주소, 전화번호 및 그 밖의 연락처, 이전을 원하지 않는 경우 조치방법 및 절차 등을 고지 당사는 2011년 1월 1일자로 oo사업 및 홈페이지 운영을 B사에 양도함에 따른 개인정보 이전 안내 o 영업양도로 이전 o 양수자(김**), 00구 00동, 전화 123-4567, 팩스 02-234-5678 ※ 개인정보 이전을 원하지 않는 경우 당사 홈페이지에서 회원탈퇴 가능 - 56 -
(5) 개인정보의 파기 및 회원탈퇴 DON’Ts (위반사례) DOs (조치사항) A호텔은 웹사이트 내 회원가입 회원가입 화면에 회원가입 메뉴와 동일 위치 배정 회원탈퇴 A호텔은 웹사이트 내 회원가입 화면에 회원탈퇴 메뉴가 없어 회원탈퇴가 어려움 B사는 회원탈퇴를 요청한 회원의 정보를 파기하지 않고, 탈퇴 요청한 회원에 광고 메일 전공 회원가입 화면에 회원탈퇴 메뉴 설정 관련된 회원정보 즉시 파기 개인정보의 처리목적 달성 등 개인정보가 불필요해진 경우 개인정보를 지체없이 파기 복구 또는 재생이 불가능하도록 파기(종이 세단기 분쇄, 소거 S/W 사용 데이터 파기 등) - 57 -
(6) 안전성 확보조치 DON’Ts (위반사례) DOs (조치사항) A사는 개인정보 내부관리계획을 작성하였으나, 개인 컴퓨터에 보관 B영업점은 주민번호, 비밀번호 등을 암호화하지 않은 상태로 보관하다가 외부 해킹으로 개인정보 유출 C사는 내부직원에 의해 개인정보가 유출되었으나, 개인정보 접근 사실을 기록하지 않아 유출자를 확인할 수 없음 D사는 퇴직한 직원의 접근권한을 폐기하지 않아, 퇴직 후 시스템에 접근하여 개인정보 유출 개인정보 내부관리계획을 작성하여 개인정보 보호책임자의 결재를 거쳐 시행 주민번호 등 고유식별정보, 비밀번호, 생체정보는 전송 시 암호화하고, 인터넷망과 DMZ (중간구간) 저장 시에는 암호화 내부직원의 개인정보 DB 접속 시 일시, IP주소, 접속자 성명 등 접속기록을 보관 조치 퇴직한 직원의 ID, PW를 제거하여 불법적인 접근 차단 - 58 -
(7) 영상정보처리기기 운영 DON’Ts (위반사례) DOs (조치사항) 공개된 장소에 CCTV 설치 시 설치목적, 촬영 범위 등을 기록한 안내판 설치 택시 기사는 정보주체의 동의를 받거나, 촬영 사실을 인지할 수 있는 안내문 부착하고 녹음 기능(도청) 절대 금지 목욕장, 탈의실, 화장실 등 내부를 볼 수 있는 장소에 CCTV 설치를 금지하고, 줌인·아웃 등의 각도조정 사용 금지 A아파트는 단지 내 CCTV를 별도의 안내판없이 무분별하게 설치 B택시회사는 택시 내부에 CCTV(블랙박스)를 설치하고, 승객의 동의없이 녹음 기능 사용 C찜질방은 도난방지를 위해 목욕실, 탈의실 입구에 CCTV 설치하고 회전 기능 사용 - 59 -
개인정보보호 종합지원포털 : www.privacy.go.kr 개인정보침해신고센터 : (국번없이) 118, (홈페이지) privacy.kisa.or.kr - 60 -