1. 개인정보의 정의
- 개인의 신체, 재산, 사회적 지위, 신분 등에 관한 사실, 판단, 평가 등을 나타내는 일체의 모든 정보
| 종류 | 설명 |
| 신분관계 | 성명, 주민번호, 주소, 본적, 가족관계, 본관 등 |
| 내면의 비밀 | 사상, 신조, 종교, 가치관, 정치적 성향 등 |
| 심신의 상태 | 건강상태, 신장, 체중 등 신체적 특징, 병력, 장애정도 등 |
| 사회 경력 | 학력, 직업, 자격, 전과 여부 등 |
| 경제관계 | 소득규모, 재산보유상황, 거래내역, 신용정보, 채권채무관계 등 |
| 새로운 유형 | 생체인식정보(지문, 홍채, DNA 등), 위치정보 등 |
개인정보 보호법 제2조(정의)
1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)
| 구분 | 설명 |
| 살아 있는 개인에 관한 정보 |
- 자연인에 관한 정보로, 사망했거나 실종선고 등 관계 법렵에 의거 사망한 것으로 간주되는 경우 개인정보가 아님 - 단, 사망자의 정보라 하더라도 유족과의 관계를 알 수 있는 정보는 유족의 개인정보에 해당 |
| 개인에 관한 정보 | - 자연인에 관한 정보로, 법인 또는 단체에 관한 정보는 개인정보가 아님 |
| 정보의 내용, 형태 등은 제한 없음 |
- 정보의 내용, 형태 등은 제한이 없어 개인을 식별할 수 있는 모든 정보가 개인정보에 해당 - 디지털 형태, 수기, 자동 처리, 수동 처리 등 형태 또는 처리방식과 관계없이 모두 개인정보에 해당 - 정보주체의 '객관적 사실', 제3자의 '주관적 평가', 부정확 또는 허위 정보라도 특정 개인에 관한 정보일 경우 개인정보에 해당 |
| 개인을 알아볼 수 있는 정보 |
- 해당정보를 처리하는 자의 입장에서 합리적으로 활용될 가능성이 있는 수단을 고려해 개인을 알아볼 수 있다면 개인정보에 해당 |
| 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보 |
- '쉽게 결합하여'의 의미는 결합 대상이 될 정보의 '입수 가능성'이 있어야 하고, '결합 가능성'이 높아야 함을 의미 - 입수 가능성: 합법적으로 접근, 입수할 수 있어야 함을 의미 - 결합 가능성: 현재 기술 수준에 비추어 비용, 노력이 합리적이어야 함 |
| 가명정보 | - 가명처리를 하여 원래의 상태로 복원하기 위한 추가정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보 |
- 개인정보와 구별해야 하는 개념
| 종류 | 설명 |
| 개인정보 | - 개인정보보호법 제2조(정의) 참고 |
| 가명정보 | - 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하여 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리(가명처리)하여 원래 상태로 복원하기 위한 추가정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보 |
| 익명정보 | - 더 이상 특정 개인인 정보주체를 식별할 수 없도록 처리한 정보 - 추가정보를 사용하여도 특정 개인을 알 수 없는 정보(시간, 비용, 기술 등을 합리적으로 고려해야 함) |
| 추가정보 | - 개인정보의 전부 또는 일부를대체하는 데 이용된 수단이나 방식, 가명정보와의 비교, 대조 등을 통해 삭제 또는 대체된 개인정보를 복원할 수 있는 정보 |
| 결합정보 | - 합법적으로 접근해 두 개 이상의 정보를 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보 |
| 개인영상 정보 | - 영상정보처리기기에 의해 촬영, 처리되는 영상정보 중 영상으로서 해당 개인을 식별할 수 있는 정보 |
| 개인신용정보 | - 신용정보의 이용 및 보호에 관한 법률 제2조(정의) “개인신용정보”란 기업 및 법인에 관한 정보를 제외한 살아 있는 개인에 관한 신용정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다. 가. 해당 정보의 성명, 주민등록번호 및 영상 등을 통하여 특정 개인을 알아볼 수 있는 정보 나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보 |
| 개인위치정보 | - 특정 개인의 위치정보 - 위치정보만으로는 특정 개인의 위치를 식별할 수 없더라도 다른 정보와 용이하게 결합하여 특정 개인의 위치를 식별할 수 있는 정보를 포함 |
2. 프라이버시와 개인정보
- 정보주체의 권리는 소극적인 권리인 프라이버시권과 적극적 권리인 개인정보의 자기결정권이 있음
> 프라이버시권: 사생활에 관한 이익을 총칭, 공간 / 개인 / 정보 프라이버시로 나뉨
> 개인정보 자기결정권: 자신에 관한 정보를 보호받기 위해 자신에 관한 정보를 자율적으로 결정하고 관리할 수 있는 권리
3. 개인정보의 유형 및 종류
> 일반정보(이름, 주민번호), 경제정보, 사회정보, 통신정보, 민감정보 등
> 제공정보: 이용자가 회원가입 등 직접 제공하는 정보_회원가입을 위한 신상정보, 본인확인을 위한 제공정보 등
> 생성정보: 서비스를 사용하는 과정에서 생성되는 이용자에 관한 정보_서비스 이용기록, 접속로그, 쿠키 등
4. 개인정보의 특성
> 식별성에 대한 평가기준: Single out(특정 개인만을 분리 가능) / Linkability(2개 이상의 데이터를 연결할 수 있는지 여부) / Inference(추론에 의한 연결 가능 여부)
> 식별성에 따른 분류: 개인식별정보 / 개인식별정보와 결합된 개인식별가능정보 / 개인식별정보와 결합되지않은 개인식별가능정보
> 수집출처에 따른 분류: 이용자로부터 수집한 정보 / 사업자가 생성한 정보 / 공개된 정보를 수집한 정보
5. 개인정보 가치산정
- 가치산정을 통해 개인정보 유출 시 위험 전가 통제수단인 손해배상액을 산정할 수 있음
| 가치산정방법 | 판단주체 | 내용 |
| 델파이 | - 전문가 판단(Expert Judgement) | - 전문가의 판단에 의한 사회학적 산정 방식 |
| CVM | - 가장 대표적인 가치산정 방법론 - 비시장자원의 가치를 산정하는데 활용되는 경제학적 방식 |
- 설문조사에 기초한 가치산정 방식 - WTP의 존재 여부 확인 - 피조사자들의 답변 간 평균치를 산정 |
| CVM: 가상가치평가법(Contignet Valuation Method)로 비시장재화의 가상시장을 설정하고 소비자 설문을 통해 WTP 선정 비시장자원: 자원이 거래되는 시장이 존재하지 않는 자원 WTP: 최대지불금액(Willing To Pay)로 소비자가 해당 재화의 대가로 지불할 의사가 있는 최대액 |
||
> 손해배상액 산정
① 개인정보가 유출된 상황을 가정해 유출 시 예측되는 손해배상액을 해당 개인정보의 가치로 간주하는 방식
② 가치 산정이 간편하고 다양한 시나리오 개발을 통해 실제 상황에 대응 가능
③ 산정된 손해배상액을 근거로 위험 전가 통제 구현 가능
④ 상황별 유출 가능한 개인정보항목을 식별할 수 있고, 항목별 중요도 및 개수 매트릭스화 가능
⑤ 예상 손해배상액의 총합 산정 가능
> CVM 가치산정 단계
① 설문조사 대상 및 질의로 대상 식별
② 개인정보의 가치를 투영할 수 있는 대상 구별
③ ①, ②를 통해 확인된 개별 개인정보 항목의 가치를 취합하여 평균값으로 환산
6. 해외 개인정보보호 제도
> 개인정보를 '개인을 식별할 수 있거나 식별가능한 개인에 대한 정보'로 규정하며 전산 정보와 수기 정보를 모두 포함
> 미국은 자율규제 중심이고, EU는 정부규제 중심
> Safe-Harbor 협정
① EU 개인정보보호법 시행으로 적절한 개인정보보호 체계가 없는 국가로의 개인정보 이전이 제한
② 이에, EU 집행위원회와 미국 상무부가 2000년 체결한 개인신상정보 전송에 관한 협정
③ 이를 준수하는 기업은 EU-미국간 개인정보를 공유하는 대신 적합한 보호조치를 취해야함
④ 유럽과의 무역을 원하는 기업은 미국 상무성 세이프 하버에 등록하고, 협정을 준수하면 EU에서 미국으로 전송되는 개인정보를 보호하기 위한 적절한 보호 조치를 취한 것으로 간주
⑤ 협정 주요 내용
| 구분 | 내용 |
| 고지 (Notice) |
- 개인정보의 수집, 이용목적, 용도, 정보를 제공하는 제3자의 유형, 문제제기, 권리행사 시 접근방법 등에 대하여 고지 |
| 선택 (Choice) |
- 제3자 제공 여부 및 최초 수집목적과 양립할 수 없는 다른 목적으로의 정보 사용 여부에 대해 옵트 아웃 방식의 선택권 제공 - 민감한 정보의 경우 옵트 인 방식의 선택권 제공 |
| 제공 (Onward Transfer) |
- 위탁처리 등 제3자에게 개인정보를 제공할 경우, 당사자에게 고지하고 선택권을 부여하여야 함 |
| 접근 (Access) |
- 정보주체의 접근권과 정정요구권을 보장 |
| 안전성 (Security) |
- 개인정보를 손실, 오용, 권한 없는 접근, 변경, 파기로부터 보호하기 위한 합리적 예방조치를 취하여야 함 |
| 데이터 무결성 (Data Intergration) |
- 당초 수집 및 이용목적에 부합합 개인정보의 이용 - 정확성, 완전성, 최신성 확보 |
| 이행 (Enforcement) |
- 원칙의 준수를 담보할 수 있는 구제수단, 분쟁해결절차, 제재수단이 확보되어야 함 |
참고
개인정보 보호법 | 국가법령정보센터 | 법령 > 본문
개인정보 보호법 [시행 2020. 8. 5.] [법률 제16930호, 2020. 2. 4., 일부개정]
www.law.go.kr
개인정보 보호법 시행령 | 국가법령정보센터 | 법령 > 본문
개인정보 보호법 시행령 [시행 2022. 10. 20.] [대통령령 제32813호, 2022. 7. 19., 일부개정]
www.law.go.kr
정보통신망이용촉진및정보보호등에관한법률
www.law.go.kr
정보통신망법시행령
www.law.go.kr
GDPR 홈페이지
2022 EU GDPR 가이드북 / 개인정보보호위원회, 한국인터넷진흥원 작성일:2023-01-06 조회수:2421 2020 GDPR 가이드북의 개정판입니다. 가이드북 신구 변동 사항은 본문 6~7p에서 확인하실 수 있습니다. 이전
gdpr.kisa.or.kr
'개인정보보호(법) > CPPG' 카테고리의 다른 글
| Part 2. 개인정보보호의 제도_개인정보보호 원칙과 의무 (0) | 2023.04.13 |
|---|---|
| Part 2. 개인정보보호의 제도_개인정보보호 관련 법률 체계 (0) | 2023.04.13 |
| Part 1. 개인정보보호의 이해_기업의 사회적 책임 (0) | 2023.04.11 |
| Part 1. 개인정보보호의 이해_개인정보보호의 중요성 (0) | 2023.04.10 |
| Part 1. 개인정보보호의 이해_개인정보의 개요 #2 (0) | 2023.04.09 |