꼰머의 보안공부

1. 개요

- 개인정보보호위원회(이하 개인정보위)는 인공지능 기술 개발 핵심 재료인 비정형데이터에 대한 가명처리 기준 마련
> AI, 컴퓨팅 자원의 발달로 비정형데이터(이미지·영상·음성·텍스트 등) 활용수요 폭발적 증가
> 기존 가명정보 처리 가이드라인(이하 가이드라인)은 정형데이터에 대한 처리기준만 제시
> 의견수렴 등 1년여 기간 동안 준비 작업을 거쳐 가이드라인 대폭 개정

- 개정 가이드라인 내용, 목적 등
> 비정형데이터의 가명처리 및 활용간 나타날 수 있는 개인정보 위험을 사전에 확인하고 통제하기 위한 원칙
> 각 분야 사례 및 시나리오를 제공해 손쉽게 활용할 수 있도록 함
> 여러 분야에서 안전한 가명처리시 유용하게 참고

2. 주요내용

- 개인식별 위험성 검토 체크리스트
> 개인식별 위험을 판단하고 합리적인 처리방법과 수준을 정하도록함

※ 비정형데이터: 개인식별 가능 정보에 대한 판단이 상황에 따라 달라질 수 있으므로, 데이터 처리목적 및 환경, 민감도 등을 종합적으로 고려

- 비정형데이터의 개인식별 위험 요인을 완벽하게 탐지 및 처리할 수 있는 기술 부재를 보완하기 위한 조치 이행 권고
> 가명처리 기술의 적절성·신뢰성 확인 위한 근거 작성·보관
> 가명처리 결과에 대해 자체적인 추가검수 수행
> 외부전문가가 참여한 위원회의 적정성 검토 수행

- 가명처리된 비정형데이터 활용 시 관련 시스템·소프트웨어의 접근·사용 제한 등 통제방안 마련
> 비정형데이터는 기술 발달(인공지능, 데이터 복원기술)에 따른 다른 정보와의 연계·결합 없이도 개인을 재식별해낼 수 있는 위험
> 인공지능 서비스 제공 과정에서도 개인식별 위험 등 정보주체 권익 침해 가능성을 지속 모니터링
※ 인공지능 개발·활용 과정에서 나타날 수 있는 다양한 위험을 사전에 완벽하게 제거하는 것은 불가능하기 때문

- 가명처리 단계별로 고려해야 하는 사항을 안내
> 사전준비 - 위험성 검토 - 가명처리 - 적정성 검토 - 안전한 관리

- 비정형데이터 영역은 다양한 활용사례(use-case)를 축적하는 것이 중요
> 데이터 유형, 활용 분야마다 가명처리 기준‧방법이 다양
> 관련 기술 또한 빠르게 발전하고 있기때문
> 개인정보위는 사전적정성 검토 신청을 받아 모범사례를 확산시킬 계획

- 가이드라인을 시작으로, 생성형 AI와 관련한 기준 발표 예정

3. 참고

[1] https://www.dailysecu.com/news/articleView.html?idxno=153382
[2] https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=9899#LINK

1. 개정 의의

- 20.08.05 데이터 3법(개보법, 망법, 신용정보법) 개정

> 개인정보 보호 컨트롤 타워 구축 및 데이터 경제 활성화를 위한 초석 마련

＊ 행안부, 방통위, 금융위의 개인정보 보호 기능을 개인정보보호위원회로 통합, 망법 관련 규정의 이관, 가명정보 개념 도입 및 안전한 결합, 활용 등

- 데이터 3법 개정 국회 논의 시, 인공지능과 빅데이터 등 변화하는 환경에서 약화될 우려가 있는 국민의 정보주권 강화는 유보

> 데이터 시대로의 전화에 대응해 현실과 괴리된 불합리한 과제＊가 존재

> 따라서, 데이터 경제 활성화의 장애 요인으로 작용할 우려

＊ 필수적 사전 동의 제도, 경직된 국외 이전 요건, 온-오프라인 규제 이원화 등

- 개보법 제정이래 민관산학의 의견을 반영한 첫번째 정부안

> 국민 신뢰 기반의 디지털 대전환을 선도하는 법적 기반 마련

1.1 개보법 시행에 따른 하위 법령 개정 방향

- 23.09.15 시행되는 후속 시행령 및 고시 등을 우선적으로 개정

- 24.03 이후 시행 예정인 개인정보 전송요구권, 자동화된 결정에 대한 정보주체 권리 등은 사전 준비 후 시행시기에 맞추어 순차적으로 개정

2. 주요내용

2.1 디지털 경제 성장 견인

2.2 디지털 시대에 적합한 국민의 적극적 권리 강화

2.3 글로벌 스탠다드에 부합하는 법 제도 정비

2.4 2024.03.15 이후 시행

3. 향후 계획

- 분야별 설명회, 간담회 등을 통해 법 개정 사항 통보

- 개인정보 보호법 개정사항 안내서 발간 추진

- 개인정보 보호법 시행령 2차 개정 추진

4. 참고

[1] https://www.boannews.com/media/view.asp?idx=121977&page=1&kind=2
[2] https://www.dailysecu.com/news/articleView.html?idxno=149388 

1. 개요

- 데일리시큐 "[진단] 국민의힘·더불어민주당·정의당, 입법부 대표 정당들의 개인정보보호 민낯"

> 개인정보 처리방침 문구에 대한 강조가 되어있지 않음

> 이전 개인정보 처리방침 변경 내용 확인 불가

> 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는 기능 없음

> 개인정보 처리방침 문서 내 '개인정보 취급방침' 용어 사용

> 개인정보 수집항목 관련 필수항목과 선택항목을 구분해 고지하지 않음

- 관련하여 지자체, 금융, IT, 의료, 교육 등 여러 사이트의 개인정보 처리방침을 확인

> 기사에서 언급된 문제점 또는 추가적인 문제점이 있는지를 검토

2. 주요내용

- 모공제조합 개인정보 처리방침의 내용에서 문제점으로 판단되는 총 5가지 항목 확인

- 국민신문고를 통해 개인정보보호위원회에 문의 진행

2.1 가시성 문제

- 개인정보 처리방침의 조항별 글씨 크기 및 글씨체의 차이를 보여 가시성이 떨어짐

- 「개인정보 보호법」 제30조는 개인정보처리자에게 개인정보 수립·공개의무를 부과

> 제4항에 따라 보호위원회는 「개인정보 처리방침 작성지침」을 제공

- 이에 따른 답변은 다음과 같음

① 「개인정보 보호법」 제30조 제4항에따라 보호위원회는 「개인정보 처리방침 작성지침」을 정하여 그 준수를 권장할 수 있음

② 즉, 권장 사항이므로 권장 내용을 따르지 않았다고 해서 처벌의 대상이 되지 않음

③ 단, 법에 따른 필수 작성항목을 법령에 따라 적정하게 작성하고 있어야함

- 개인정보 처리방침이란 개인정보처리자의 개인정보 처리 기준 및 보호조치 등을 작성하여 문서화한것을 말함

> 「개인정보 보호법」 제30조 제2항에따라 정보주체가 확인하기 쉽게 공개할 것을 의무화

> 또한, 개인정보 처리방침의 목적은 개인정보 처리의 투명성을 높이고, 정보주체에게 자신의 개인정보가 어떻게 처리되고 있는지 처리방침을 통해 상시적으로 확인 및 비교하도록 하여 개인정보 자기결정권을 보장하기 위함이라고 생각함

- 해당 목적을 달성하기 위해서는 개인정보처리자가 정보주체로 하여금 이해하기 쉽도록 작성하는것을 보장하도록 할 필요가 있음

> 법에서 명시한 내용을 문서에 모두 포함하였다고 하여도, 내용 작성 방식의 문제로 인해 정보주체가 쉽게 확인 및 이해하지 못하는 문제가 충분히 발생할 수 있을 것으로 생각되기 때문

2.2 열람요구서, 위임장 등 다운로드 기능 부재

- 데일리시큐의 기사에서는 열람요구서, 위임장 등을 다운로드할 수 있는 기능이 없음을 문제점으로 지적

> 확인 결과 일부 사이트의 경우 다운로가 아닌 해당 파일이 위치한 경로 또는 법 별지 서식 이용 안내

- 공제조합 또한 별지 서식이용을 안내하고 있음

> 따라서, 단순히 다운로드 기능이 없다고 해서 문제점으로 지적하는 것은 합당하지 않다고 판단하여 문의 진행

- 이에 따른 답변은 다음과 같음

> 열람요구서 및 위임장 다운로드 기능과 관련하여, 개인정보 처리방침에 포함하는 것을 의무화하지 않음

> 개인정보 처리자의 자율에 맡겨진 사항

- 정보주체는 개인정보처리자가 처리하는 자신의 개인정보를 열람한 후 정정 또는 삭제를 요구할 수 있음

> 해당 과정을 처리하는 방식이 업종별로 상이할 수 있겠지만, 정보주체의 권리를 보장하기 위해 통일된 방식을 사용하는 것이 좋을것 같음

2.3 개인정보보호법 시행규칙 단어 사용

- 개인정보보호법에서 행안부령(행정안전부)으로 정하던 사항을 개인정보보회위원회가 정하여 고시하도록 개인정보보호법이 개정됨

> 따라서, "개인정보보호법 시행규칙"  단어를 삭제하거나 다른 단어로 정정되어야 할 것임

- 공제조합은 개인정보보호법 시행규칙을 아직 사용하는 것으로 확인

- 이에 따른 답변은 다음과 같음

> 기존의 「개인정보 보호법 시행규칙」 은 현재 「개인정보 보호 처리 방법에 관한 고시」 로 변경

> 용어의 변경이 필요함

- 관련 내용은 23.09.15부터 시행되는 개인정보보호법에 의거 개선될 것으로 기대됨

2.4 개인정보 수집 항목 관련 필수 및 선택 항목 미분류와 과다수집

- 「개인정보 보호법」 제3조 제1항에서 목적에 필요한 최소한의 개인정보만을 적법하고 정당하게 수집하도록 지정

> 작성지침에서는 수집목적에 필요한 최소한의 정보(필수항목)와 그 외의 정보(선택항목)을 구분하여 기재 안내

* 다만, 선택항목을 따로 두지 않고 필수항목만을 수집하는 경우에는 필수항목/수집항목을 구분하지 않아도 됨

- 공제조합의 경우 필수와 선택항목의 구분이 없으며 원적, 본적, 종교 등 불필요한 정보를 수집하는 것으로 판단

- 이에 따른 답변은 다음과 같음

> 구체적 사실확인이 필요한 사안으로 일률적으로 답변하기 어려움

2.5 개인정보 자동 수집 장치의 설치ㆍ운영 및 거부에 관한 사항

- 「개인정보 보호법」 제30조 제1항 제7호에서 개인정보 자동 수집 장치의 설치, 운영 및 근거에 관한 사항을 포함하도록 지정

> 작성지침에서는 쿠키와 같이 개인정보를 자동으로 수집하는 장치를 설치 및 운영할 경우, 설치 및 운영, 그 거부에 관한 사항을 기재하여야 함

- 공제조합의 경우 관련되 내용을 "생성정보 수집 툴을 통한 수집"으로 안내

- 이에 따른 답변은 다음과 같음

> 구체적 사실확인이 필요한 사안으로 일률적으로 답변하기 어려움

3. 문의 및 답변 전문

4. 참고

[1] https://www.dailysecu.com/news/articleView.html?idxno=148012
[2] https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=7034
[3] https://www.privacy.go.kr/front/bbs/bbsView.do?bbsNo=BBSMSTR_000000000049
[4] https://www.moleg.go.kr/lawinfo/makingInfo.mo?mid=a10104010000&lawSeq=59913&lawCd=0&lawType=TYPE5&currentPage=1&keyField=&keyWord=&stYdFmt=&edYdFmt=&lsClsCd=&cptOfiOrgCd=
[5] https://ggonmerr.tistory.com/327

1. 개인정보 처리방침

- 개인정보처리자의 개인정보 처리 기준 및 보호조치 등을 「개인정보 보호법」에 따른 기재사항을 포함하여 문서화한 것

- 개인정보처리자는 개인정보보호법 제30조에 의거 개인정보 처리방침을 수립 및 공개하여야 함

> 공공기관의 경우 개인정보보호법 제32조에 의거 개인정보파일을 등록 및 공개하여야 함

※ 개인정보보호법 개정으로 23.09.15부터 제30조에 민감정보 및 가명정보와 관련된 조항이 추가

※ 개인정보보호법 개정으로 23.09.15부터 제30조의2(개인정보 처리방침의 평가 및 개선권고) 추가

1.1 개인정보보호위원회 개인정보 처리방침 작성 가이드라인

- 개인정보보호위원회는 개인정보 처리방침 작성 가이드라인을 배포

- 가이드라인 상 개인정보 처리방침 기재 사항은 다음과 같음

※ 기타 자세한 사항은 [1] 참고

2. 정당별 문제점

2.1 국민의힘

① 개인정보 처리방침 문구에 대한 강조가 되어있지 않음

② 이전 개인정보 처리방침 변경 내용 확인 불가

③ 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는 기능 없음

> 가이드라인에서 관련된 정보를 찾지못함

> 일부 지자체 개인정보 처리방침 확인 결과 열람요구서와 법정대리인 등 위임장 작성을 위한 문서 다운로드 기능이 존재

2.2 더불어민주당

① 개인정보 처리방침 문구에 대한 강조가 되어있지 않음

② 개인정보 처리방침 문서 내 '개인정보 취급방침' 용어 사용

③ 이전 개인정보 처리방침 변경 내용 확인 불가

④ 개인정보 수집항목 관련 필수항목과 선택항목을 구분해 고지하지 않음

⑤ 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는 기능 없음

2.3 정의당

① 개인정보 처리방침 확인 불가

> 우측 하단 이용안내를 통해 관련 내용을 확인할 수 있음

② '개인정보 취급방침' 용어 사용

③ 개인정보 수집항목 관련 필수항목과 선택항목을 구분해 고지하지 않음

④ 이전 개인정보 처리방침 변경 내용 확인 불가

⑤ 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는 기능 없음

3. 관련 추가 사례

- 해당 기사를 접한 후 지자체, 금융, IT, 의료, 교육 등 여러 사이트를 확인해 보았음

> 기사에서 언급한 사항과 관련된 문제점을 찾아볼 수 없었음

> 별도 페이지를 마련하는 등 더욱 세분화하여 개인정보 처리 관련 정보를 제공

- 모 조합 사이트에서 일부 문제점으로 판단되는 사항이있어 개인정보보호위원회에 문의를 진행

① 가시성 문제: 글씨 크기 및 글씨체의 차이로인한 가시성 확보의 어려움

② 열람요구서, 위임장 등 다운로드 기능 부재: 개인정보호법 별지 서식 이용 안내

③ 개인정보보호법 시행규칙 단어 사용: 20.08.05부 개인정보보호법 시행령 폐지

④ 개인정보 수집 항목 관련 필수 및 선택 항목 미분류와 과다 수집: 불필요한 정보의 수집

⑤ 개인정보 자동 수집 장치의 설치ㆍ운영 및 거부에 관한 사항: 생성정보 수집 툴을 통한 수집 중

4. 참고

[1] https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=7034
[2] https://www.dailysecu.com/news/articleView.html?idxno=148012 

1. 개요

- 개인정보보호위원회는 개인정보 보호법 시행령 개정안을 5월 19일 ~ 6월 28일간(40일) 입법예고한다고 밝힘

- 시행령 개정안은 지난 3월 14일 공포된 ‘개인정보 보호법’ 전면 개정에 따른 후속 조치

> 개인정보 보호법 개정안 공포 이후 산업계·시민단체· 학계의 의견 수렴

> 정보주체의 권리와 공공부문의 안전조치는 강화하고 불합리한 규제는 정비

- 주요 개정 내용은 다음과 같음

> 정보주체인 국민의 권리를 실질적으로 보장

> 공공분야에서의 안전조치를 강화

> 온라인과 오프라인으로 구분하여 이원화되어 있는 개인정보 보호 기준을 일원화

2. 주요 개정 사항

2.1 동의받을 때 국민의 실질적 선택이 가능하도록 개선

① 정보주체인 국민이 스스로 자신의 개인정보에 대한 권리를 실질적으로 행사할 수 있도록 동의의 원칙을 구체화

- 동의를 받으려면 ‘정보주체의 자유로운 의사’에 따르도록 하는 등 동의 원칙을 구체화

- 정보주체가 동의 여부를 선택할 수 있다는 사실을 구분하여 표시하도록

② 개인정보처리방침 평가제를 통해 개인정보처리방침을 단계적으로 개선할 수 있는 기반을 마련

- 개인정보처리자의 유형, 개인정보 처리 형태 등을 고려하여 개인정보처리방침 평가 대상자를 선정

- 동의 등 처리 근거가 적정한지, 개인정보처리방침을 이해하기 쉽게 수립 및 공개하고 있는지 등을 평가해 개선할 수 있도록 구체화

2.2 온라인과 오프라인 구분 없이 동일한 기준 적용 : 규제 정비

① 온라인과 오프라인으로 구분하여 달리 규율해 온 이원화된 규제를 디지털 사회에 맞는 규제로 일원화

- 온라인 기준을 중심으로 통합

- 안전조치를 위한 다양한 기술이 도입될 수 있도록 오인될 수 있는 용어를 삭제하는 등 관련 규정을 기술 중립적으로 정비

> 특정 기술을 채택해야 하는 것으로 오인될 수 있는 용어: 백신, 보안서버 등 용어 삭제, 저장·전송 시 암호화 외에 암호화에 상응하는 조치 추가 등

- 정보주체가 정보통신서비스(온라인)를 1년 이상 이용하지 않은 경우 파기하거나 별도 분리하여 저장하도록 한 규정(유효기간제)을 삭제

> 목적이 달성되었거나 보유기간이 종료되면 지체없이 파기하도록 규정

- 과징금이 위반행위에 비례하여 산정되도록 개편

> 중대하고 의도적인 위반행위에 대하여는 엄중한 과징금

> 경미한 위반행위에 대하여는 면제까지 가능

> 과징금 산정을 위한 기준이 되는 금액(기준금액)을 결정하는 비율(부과기준율) 산정 방식 변경

- 개인정보 유출 사실 인지 후 72시간 이내 개인정보위원회 또는 한국인터넷진흥원에 신고

> 개인정보가 유출되었다는 사실을 알게 된 경우 유출된 개인정보가 민감정보 또는 고유식별정보인 경우, 해킹 등 외부로부터 불법적인 접근에 의한 유출인 경우, 1천명 이상인 경우에는 정당한 사유가 없는 한 72시간 이내에 개인정보위(또는 한국인터넷진흥원)에 신고

※ 정보주체에 대한 통지는 유출규모와 무관하게 정당한 사유가 없는 한 72시간 이내에 이행 

② 드론·자율주행차 등 이동형 영상정보처리기기가 보편화되는 환경에 맞추어 운영기준을 정비

- 영상 촬영 후 별도로 저장하지 않는 경우로서 통계 목적으로 운영하는 때에는 고정형 영상정보처리기기(CCTV 등) 설치·운영이 가능하도록 함

> 그동안 규제샌드박스 실증특례를 통해 제한적으로 운영해 온 사항을 입법화하기 위한 목적

- 국민의 생명 등을 보호하기 위하여 범죄·재난·화재 등의 상황에서 인명의 구조·구급 등을 위해 영상 촬영이 필요한 경우

> 이동형 영상정보처리기기(드론, 자율주행차 등)를 통해 촬영할 수 있음을 명확히 함

③ 통지의무 대상자의 범위를 수집 출처 통지 기준에 맞추어 정비하고 통지도 함께 할 수 있도록 개선

> 정보주체가 아닌 제3자로부터 개인정보를 수집하여 출처를 통지해야 하는 경우(수집 출처 통지)

> 개인정보 이용·제공 내역을 통지해야 하는 경우(이용내역 통지)

2.3 공공분야 개인정보 처리의 안전성 강화

① 공공부문의 개인정보 침해사고를 근절하기 위하여 안전조치 의무 강화

- 대규모 공공시스템을 운영하는 공공기관에 대한 안전조치 의무를 강화

> 개인정보파일 등록, 개인정보 영향평가 등 제도를 보완

> 공공시스템의 개인정보 유출로 인한 2차 피해를 막기 위하여 마련한 공공부문 개인정보 유출 방지대책에 따라 공공시스템 운영기관에 대한 안전조치 특례를 신설

2.4 기타

- 법 개정으로 글로벌 스탠다드에 맞게 개인정보의 국외 이전 요건이 다양화되고 국외이전 중지명령이 도입됨에 따라 그 세부적인 절차와 기준 등을 구체화

- 해외사업자의 국내대리인 지정 기준을 개정법 취지에 맞게 정비

3. 참고

- 개보법에서 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우 KISA에 기술 지원을 요청할 수 있음

> KISA는 독립적 조사가 불가하며, 담당부처 요청에 따라 기술 지원 업무를 수행

> 이에 따라, 기술 지원 외 기업에서 자체적으로 수행하는 분석 및 대응의 적절성 여부 확인 불가

※ 기업이 자체적으로 사고 분석을 실시하는 경우도 있지만 시스템 포맷 등을 통해 무마하는 경우도 많았음

> 민관합동조사단의 구성으로만 침해사고의 원인분석에 KISA의 임직원이 참여가 가능

망법 개정 전후 비교

망법 개정 전 주요 사항 및 문제점

① 기업에는 신고의무만 고지

> 기술 지원 미동의 시 자체 조치 등 대응의 적절성을 확인할 방법의 부재

※ 기업이 자체적으로 사고 분석을 실시하는 경우도 있지만 시스템 포맷 등을 통해 무마하는 경우도 많았음

② 중대한 침해사고의 경우에만 접속기록 등 관련 자료의 보전 및 제출

> 피해확산 방지를 위해 필요한 침해사고 관련 정보 수집 불가능

> 망법 제48조의4 제2항, 제3항에 의거 중대한 침해사고의 경우에만 관련 자료의 보전 및 제출을 명할 수 있음

※ 중대한 침해사고

> 중대한 침해사고의 정의를 찾아보았는데, 망법 제47조의4에서 "중대한 침해사고로 인해 이용자의 정보시스템 또는 정보통신망 등에 심각한 장애가 발생할 가능성"을 기준으로 판단

정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조의4(이용자의 정보보호)
③ 주요정보통신서비스 제공자는 정보통신망에 중대한 침해사고가 발생하여 자신의 서비스를 이용하는 이용자의 정보시스템 또는 정보통신망 등에 심각한 장애가 발생할 가능성이 있으면 이용약관으로 정하는 바에 따라 그 이용자에게 보호조치를 취하도록 요청하고, 이를 이행하지 아니하는 경우에는 해당 정보통신망으로의 접속을 일시적으로 제한할 수 있다. <개정 2020. 6. 9.>

> 중대한 침해사고의 명확한 정의나 기준과 중대한 침해사고의 결과로 이어지는 심각한 장애의 정의 또한 명확히 찾지 못함

> KISA "침해사고 예방·대응 및 피해확산 방지를 위한 정보통신망법 개선방안 연구" p.85에서는 다음과 같이 표현을 찾음

> 명확한 정의 없이 공격의 규모와 결과를 통해 중대한 침해사고로 규정한다는데, 사고를 조사하는 조사관의 개인적인 판단에 기초하는것 같음(조사관의 판단에따라 같은 사고라도 중대한 침해사고로 규정되지 않을 수도 있을것 같음...)

여기서 중대한 침해사고와 관련하여 그 구체적인 개념을 정의한 규정 은 없다. 다만 디도스(DDos) 공격, 메일 폭탄 등과 같이 이용자의 정보시 스템이나 정보통신망에 상당한 장애를 일으킬 수 있는 사고를 의미한다. 이용자에 대한 보호조치 요청은 이용자에게 부담을 주고 경제적 피해로 이어질 수 있으므로 침해사고의 위험, 범위 등이 크고 광범위한 경우에 한해서 제한적으로 행사된다. 특히 접속 제한 조치는 다른 이용자의 정 보시스템이나 정보통신망에 피해를 줄 것이 명확한 경우에 한하여 매우 예외적으로 인정된다.

> 민·관합동조사단 구성 및 운영에 관한 훈령에서도 중대한 침해사고와 관련된 사항을 찾을 수 있음

민·관합동조사단 구성 및 운영에 관한 훈령 제3조(조사단의 설치·운영시기)
과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 중대한 침해사고가 발생하면 조사단을 구성·운영할 수 있다.
1. 주요정보통신기반시설에 발생한 침해사고의 원인분석을 위하여 필요한 경우
2. 정보보호 관리체계 인증 의무 대상자의 정보통신망에 발생한 침해사고의 원인분석을 위하여 필요한 경우
3. 원인을 알 수 없는 해킹에 의한 다발적 피해발생이 우려되는 경우
4. 그 밖에 유사한 침해사고의 확산, 신종 침해사고 등 과학기술정보통신부장관이 조사가 필요하다고 판단하는 경우

망법 개정 후 주요 사항

① 기존 신고 의무에 추가적으로 원인 분석 및 피해 확산 방지 의무 부여

> 기업이 피해확산 방지를 위한 조치에 더 적극적으로 참여를 이끌어내기 위함

② 침해사고 구분 없이 자료 보전 및 제출

> 중소기업의 경우 침해사고 발생 시 대처할 여력이 없으므로 민관이 협업해 대응하자는 의미

> 자료를 제출하지 않을 시에는 망법 제76조 제3항 11의3호 및 12호에 의거 행정처분이 수반되기 때문에는 의무사항

> 자료 제출 거부, 거짓 제출의 횟수에 따라 차등 부과 (1회 위반: 300만원, 2회 위반: 600만원, 3회 위반: 1천만원)

1. 개요

- 개인정보보호위원회와 한국인터넷진흥원은 ‘2022년 개인정보보호 및 활용조사’ 결과 발표

> 2022년 개인정보보호 및 활용조사: 국민의 개인정보보호 인식과 개인정보처리자의 개인정보보호 실태 등을 담음

> 국민 대부분이 개인정보 수집·이용·제공 등 처리에 대한 동의 내용을 번거롭다는 이유로 잘 확인하지 않음

> 반대로, 개인정보보호의 중요성에 공감하며 정부에게 교육·홍보 강화와 처벌기준 합리화 및 처벌강화를 요구

2. 개인정보보호 및 활용조사

- 개인정보보호 정책의 효과분석 및 제도 개선을 위한 기초자료로 활용하기 위해 수행하는 조사

- 행정안전부와 방송통신위원회에서 별도로 실시하던 조사를 2021년부터 개인정보위가 통합하여 매년 실시

> 특히, 이번 조사는 통계청의 통계작성 승인 이후 처음 실시한 조사로, 국내 최초 개인정보 관련 국가승인통계로 작성

- 조사 대상은 공공기관 1,000개, 종사자 수 1인 이상 사업체 8,000개, 일반국민 4,000명

2.1 주요내용

① 개인정보보호 담당 인력의 업무 경력

> 공공기관 소속 개인정보보호 담당자의 65.1%가 2년 미만 경력자

> 민간기업은 2년 이상 경력자가 65.7%

② 개인정보 업무수행 시 최대 애로사항 및 필요 정책

- 공공기관

> 애로사항: 인력 부족(78.7%)

> 필요 정책: 인력 개발(58.9%)

- 민간기업

> 애로사항: 관련 법률의 내용을 이해하기 어려움(40.1%)

> 필요 정책: 처벌규정 강화(44.6%)

- 개보위에 따르면 개인정보 유출 규모는 증가하고 있으나, 중징계 등 징계는 약화되고 있어 관련 내용 논의 필요

> 개인정보 유출 규모: 17년 2개 기관, 3만 6천건 → 21년 22개 기관, 21만 3천건

> 중징계 건수: 경징계 186건이고, 중징계는 19건

③ 정보주체 부문 조사 결과

- 개인정보 제공 시 개인정보 수집·이용·제공 등 처리에 대한 동의 내용을 확인하는 경우는 37.8%에 그침

> 확인하지 않는 이유로는 번거로움 37.4% > 내용이 많고 이해하기 어려움 32.7% 순

- 그러나, 국민 86.1%가 개인정보보호가 중요하다고 응답

> 우선되어야할 정부 정책으로는 교육 및 홍보 58% > 처벌기준 합리화 및 처벌강화 46.7% > 전문인력 양성 44.9% 순

④ 개인정보 전송요구권이 다양한 분야에 도입되는 근거가 마련됨에 따른 마이데이터 활용 기대 분야

-  보건‧의료 64.5% > 금융 63.7% > 정보‧통신 56.2% > 교육 27.9% > 고용‧노동 24.9%

> 23.03 개보법 개정으로 개인정보 전송요구권 확대

> 개인정보 전송요구권: 정보주체가 기관·기업 등 개인정보처리자에게 자신의 개인정보를 정보주체 본인 또는 타기관 등에 전송하여 줄 것을 요구할 수 있는 권리

⑤ 개인정보처리자는 마이데이터 서비스 제공 시 애로사항

- 공공기관은 국민 인식 및 홍보 부족 33.9% > 전송인프라 부족 31.7%

- 민간기업은 개인정보 유출사고 위험 72.7% > 전송인프라 구축 25.3%

> 관계 부처의 참여 및 협업과 국민들의 관심이 필요

3. 참고

[1] https://www.korea.kr/news/pressReleaseView.do?newsId=156559788 

1. 개요

- 지난달 27일 국회를 통과한 ‘개인정보 보호법’ 개정안이 국무회의에서 의결

- 개인정보 보호법 개정은 2011년 법 제정 이후 처음으로 이뤄진 전면 개정

- 정부가 학계·법조계·산업계·시민단체 등과 2년여의 협의 과정을 거쳐 정비

- 개인정보 보호법개정안은 오는3월 14일 공포되어, 9월 15일부터 시행될 예정

2. 주요 개정 사항

- 전 세계적인 디지털 대전환 추세에 부합하도록 ▴데이터 경제 견인, ▴국민 개인정보 신뢰 사회 구현, ▴글로벌 스탠다드에 부합하는 개인정보 규범 선도 등을 위하여 시급히 필요한 내용을 적용

2.1 마이데이터 확산 및 데이터 경제 성장 견인

- 요약

① 데이터 경제의 확산에 따른 개인정보 자기결정권의 범위 확대 및 개인의 주도적인 데이터 기반 서비스 이용

② 고정형 영상기기에서 이동형 영상정보처리기기의 도입과 활용에 관한 근거 마련

③ 기존 데이터 3법의 단순한 이전 및 병합으로인한 모호성, 중복성 제거, 규제 확대 및 불필요 규제 삭제

- 자신의 개인정보를 보유한 기업·기관에게 그 정보를 다른 곳으로 옮기도록 요구할 수 있는 ‘개인정보 전송요구권’의 일반법적 근거를 신설

> 금융·공공 등 일부 분야에서만 제한적으로 가능했던 마이데이터 서비스가 개인의 뜻에 따라 의료·유통 등 모든 영역에서 보편적으로 이루어질 수 있는 기반을 마련

> 다양한 데이터 간 합종연횡이 가속화하면서 혁신적 스타트업 등 다양한 경제주체가 새로운 데이터 생태계에서 성장을 주도할 것으로 기대

- 이동형 영상정보처리기기가 부착된 자율주행차, 드론, 배달 로봇 등이 안전하게 운행될 수 있도록 합리적인 기준도 마련

> 이동형 영상정보처리기기는 일상생활에서 광범위하게 사용되고 있는 현실과는 달리 명확한 규정 없이 운영

> 이동형 영상정보처리기기를 업무 목적으로 운영할 경우 촬영사실을 명확하게 표시하도록 하는 등 운영 기준을 마련

- 누구든 법을 쉽게 준수할 수 있도록 온·오프라인으로 이원화된 규제체계 개편

> 동일행위에는 동일규제가 적용

> 국민의 권리 보장에 도움이 되는 규정은 모든 분야로 확대하고, 실효성이 낮은 조문은 삭제

2.2 디지털 시대에 적합한 국민의 적극적 권리 강화

- 요약

① 기업의 합리적, 효율적, 책임감 있는 개인정보 수집 및 이용 활성화

② 개인정보 처리방침의 적정성, 이해성, 접근성 등을 평가와 필요에따른 개선권고 도입

③ 인공지능(AI) 도입에따른 정보주체의 권리 침해 방지를 위한 권리 도입

④ 개인정보 분쟁 참여 대상 확대를통한 분쟁의 실효성과 결정에 신뢰를 제공

⑤ 개인정보취급자의 개인정보 사적(불법)이용에대한 처벌 근거 도입

- 디지털 환경에 맞추어 국민이 자신의 권리를 실질적으로 행사할 수 있도록 개편

> 국민과 기업·기관 간 개인정보 처리에 대한 신뢰가 축적될 수 있는 토대를 마련

- 정보주체의 동의에만 과도하게 의존했던 개인정보 처리 관행 개편

> 상호계약 등 합리적으로 예상할 수 있는 범위 내에서는 동의 없이도 개인정보 수집·이용이 가능하도록 정비

> 개인정보위가 기업·기관의 개인정보 처리방침을 평가한 후 개선하여, 자신의 개인정보 처리에 대해 보다 쉽고 정확하게 알 수 있도록 개선

- 인공지능을 활용한 자동화된 결정이 국민에게 중대한 영향을 미치는 경우 이에 대해 거부하거나 설명을 요구할 수 있는 권리 신설

- 아동에게 개인정보 관련 내용을 알릴 때에는 이해하기 쉬운 양식·언어 사용 의무를 온라인 분야에서 모든 분야로 확대

> 국가·자치단체의 아동 개인정보 보호 시책 의무를 명확히함

- 개인정보 분쟁조정 절차에 참여 의무를 공공기관에서 전체 개인정보처리자로 확대

> 분쟁조정을 위해 사실확인이 필요한 경우 사실조사 근거를 마련하는 등 분쟁해결을 위한 제도도 정비

2.3 글로벌 스탠다드에 부합하는 법제도 정비

- 요약

① 개인정보 국외이전의 필요성 증가에따라 해외 법과의 상호 운용성 강화 및 중지권 도입으로 안전성 강화

② 과도한 형벌에따른 개인정보업무담당자의 업무 부담과 업무회피 등의 문제 해소를 위한 실효성있는 처벌 규정 도입

- 전세계적으로 데이터가 차지하는 중요성이 점점 높아지고 있는 상황

> 글로벌 스탠다드에 부합하고 개인정보 국제 규범을 선도할 수 있도록 국외이전, 과징금 제도 등을 정비

> 개인정보를 국외로 이전하려면 정보주체의 동의 필요

> 동의 외에도 계약·인증·적정성결정 등으로 국외이전 요건을 다양화해 글로벌 규범과의 상호운용성을 확보

> 해당 국가가 개인정보를 적정하게 보호하고 있지 않다고 판단되는 경우 국외이전 중지를 명령할 수 있는 근거도 마련

- 개인정보 보호 책임을 과도한 형벌을 경제벌 중심으로 전환

> 글로벌 스탠다드와 달리 개인정보 보호 책임을 기업보다는 담당자 개인에 대한 형벌 위주로 규율

> 과징금 상한액은 글로벌 수준에 맞추어 전체 매출액의 3% 이하로 조정

> 산정 때 위반행위와 관련 없는 매출액은 제외하도록 해 비례성과 효과성을 모두 확보

- 공공·민간의 개인정보 보호체계 강화

> 매년 공공기관의 개인정보 보호 수준을 평가할 수 있는 근거 포함

> 개인정보 침해 발생 위험성이 높고 효과적인 대응이 필요한 경우 사전에 실태점검을 할 수 있는 근거 포함

3. 참고

[1] https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020000000&nttId=8674#LINK 

[2] https://www.dailysecu.com/news/articleView.html?idxno=144134 

[3] https://n.news.naver.com/article/018/0005437894?cds=news_my_20s 

[4] https://www.boannews.com/media/view.asp?idx=114945&page=1&kind=2