- 개인정보보호위원회(이하 개인정보위)는 인공지능 기술 개발 핵심 재료인 비정형데이터에 대한 가명처리 기준 마련 > AI, 컴퓨팅 자원의 발달로 비정형데이터(이미지·영상·음성·텍스트 등) 활용수요 폭발적 증가 > 기존 가명정보 처리 가이드라인(이하 가이드라인)은 정형데이터에 대한 처리기준만 제시 > 의견수렴 등 1년여 기간 동안 준비 작업을 거쳐 가이드라인 대폭 개정
- 개정 가이드라인 내용, 목적 등 > 비정형데이터의 가명처리 및 활용간 나타날 수 있는 개인정보 위험을 사전에 확인하고 통제하기 위한 원칙 > 각 분야 사례 및 시나리오를 제공해 손쉽게 활용할 수 있도록 함 > 여러 분야에서 안전한 가명처리시 유용하게 참고
2. 주요내용
- 개인식별 위험성 검토 체크리스트 > 개인식별 위험을 판단하고 합리적인 처리방법과 수준을 정하도록함
※ 비정형데이터: 개인식별 가능 정보에 대한 판단이 상황에 따라 달라질 수 있으므로, 데이터 처리목적 및 환경, 민감도 등을 종합적으로 고려
- 비정형데이터의 개인식별 위험 요인을 완벽하게 탐지 및 처리할 수 있는 기술 부재를 보완하기 위한 조치 이행 권고 > 가명처리 기술의 적절성·신뢰성 확인 위한 근거 작성·보관 > 가명처리 결과에 대해 자체적인 추가검수 수행 > 외부전문가가 참여한 위원회의 적정성 검토 수행
- 가명처리된 비정형데이터 활용 시 관련 시스템·소프트웨어의 접근·사용 제한 등 통제방안 마련 > 비정형데이터는 기술 발달(인공지능, 데이터 복원기술)에 따른 다른 정보와의 연계·결합 없이도 개인을 재식별해낼 수 있는 위험 > 인공지능 서비스 제공 과정에서도 개인식별 위험 등 정보주체 권익 침해 가능성을 지속 모니터링 ※ 인공지능 개발·활용 과정에서 나타날 수 있는 다양한 위험을 사전에 완벽하게 제거하는 것은 불가능하기 때문
- 가명처리 단계별로 고려해야 하는 사항을 안내 > 사전준비 - 위험성 검토 - 가명처리 - 적정성 검토 - 안전한 관리
- 비정형데이터 영역은 다양한 활용사례(use-case)를 축적하는 것이 중요 > 데이터 유형, 활용 분야마다 가명처리 기준‧방법이 다양 > 관련 기술 또한 빠르게 발전하고 있기때문 > 개인정보위는 사전적정성 검토 신청을 받아 모범사례를 확산시킬 계획
* 행안부, 방통위, 금융위의 개인정보 보호 기능을 개인정보보호위원회로 통합, 망법 관련 규정의 이관, 가명정보 개념 도입 및 안전한 결합, 활용 등
- 데이터 3법 개정 국회 논의 시, 인공지능과 빅데이터 등 변화하는 환경에서 약화될 우려가 있는 국민의 정보주권 강화는 유보
> 데이터 시대로의 전화에 대응해 현실과 괴리된 불합리한 과제*가 존재
> 따라서, 데이터 경제 활성화의 장애 요인으로 작용할 우려
* 필수적 사전 동의 제도, 경직된 국외 이전 요건, 온-오프라인 규제 이원화 등
- 개보법 제정이래 민관산학의 의견을 반영한 첫번째 정부안
> 국민 신뢰 기반의 디지털 대전환을 선도하는 법적 기반 마련
1.1 개보법 시행에 따른 하위 법령 개정 방향
- 23.09.15 시행되는 후속 시행령 및 고시 등을 우선적으로 개정
- 24.03 이후 시행 예정인 개인정보 전송요구권, 자동화된 결정에 대한 정보주체 권리 등은 사전 준비 후 시행시기에 맞추어 순차적으로 개정
2023.09.15 시행 (1차)
2024.03.15 이후 시행 (2차)
① 정보통신서비스 특례 정비, 이동형 영상기기 규정 ② 동의 받는 방법 및 추가적인 이용, 제공 ③ 개인정보 처리방침 평가제, 분쟁조정제도 절차 ④ 공공시스템운영기관 특례 등 안전성 확보조치 ⑤ 국외 이전 및 중지 명령 ⑥ 과징금 부과기준, 공표명령 등
① 자동화된 결정에 대한 정보주체의 권리 ② 공공기관 개인정보 보호 수준평가 ③ 개인정보 보호책임자의 업무 및 자격요건 ④ 손해배상의 보장 대상 범위 및 기준 ⑤ 개인정보 전송요구권 관련 규정
2. 주요내용
2.1 디지털 경제 성장 견인
항목
구분
설명
이동형 영상정보처리기기 규정 마련
필요성
기존은 고정형 영상기기(CCTV)만을 규율 > 이동형 영상정보처리기기의 특성에 맞는 기준제시에 한계 > 현재 이동형 영상기기를 통한 개인정보 수집, 이용 시 일반 규정이 적용 > 따라서 정보주체의 개별적 동의를 요하는 등 산업적 측면에서 유연한 대처에 한계
개정내용
공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용하여 개인영상정보를 촬영하는 행위는 윈칙적으로 제한 > 개인정보 수집, 이용 사유에 해당하거나, 정보주체가 거부의사를 밝히지 않은 경우 예외적 허용 > 촬영을 하는 경우 불빛, 소리, 안내판, 서면, 안내방송 등으로 촬영 사실 표시
시행령
규정 신설 > 이동형 영상기기의 구체적인 범위 > 목욕실/화장실 등에서 영상기기 운영 제한의 예외 사유 > 촬영 사실 표시에 대한 방법 등
기대효과
모빌리티 시대 신산업 육성을 위한 이동형 기기 운영의 법적 근거 마련
온-오프라인 규제 일원화
필요성
데이터 3법 개정 시, 정보통신망법의 정보통신서비스 제공자 대상 개인정보 보호 관련 규정을 특례 규정으로 단순 이전 및 병합 > 온-오프라인 서비스의 경계가 모호함 > 오프라인 규제(일반 규정)와 온라인 규제(특례 규정)의 이원화: 기업의 법 적용 혼선 및 이중 부담이 발생
개정안
특례규정을 일반 규정과 일원화 > 모든 개인정보처리자 대상 동일행위-동일규제 원칙 적용 > 규정통합(유사 및 중복 규정은 일반 규정으로 통합, 정비) > 적용확대(특례 규정에만 존재하는 내용은 일반 규정으로 전환)
시행령
① 수집 출처 통지 및 이용, 제공 내역 통지 제도 정비 > 개인정보 보유량 기준으로 일원화 > 수집 출처 통지와 이용, 제공 내역 통지를 함께 통지 할 수 있도록 합리적 개선 > 이용, 제공 내역 통지가 모든 개인정보처리자로 확대됨에 따라 적용 대상을 조정 > 통지하는 방법에 개별적으로 정보주체에게 쉽게 알릴 수 있는 방법으로 다양화
② 안전성 확보 조치 중복 규정 일원화 > 일반규정(영 제30조)과 정보통신서비스제공자 특례규정(영 제48조의2)의 통합 > 안전조치를 위한 다양한 기술이 도입될 수 있도록 기술 중립적으로 정비 > 기술발전 및 다양성을 고려하여 개인정보처리시스템의 개념 및 정의 정비
③ 유출 통지 및 신고 중복 규정 일원화 > 개인정보 유출 사실을 알게 된 경우 72시간 이내 정보주체에 통지, 개인정보위(또는 KISA)에 신고 > 신고 시 개정 법률에서 개인정보 유형, 유출 경로 및 규모 등을 고려하도록 규정
④ 국내대리인 지정 > 국내대리인 지정 규정을 일반 규정으로 전환함에 따라 지정 대상자의 범위를 조정
⑤ 유효기간제 규정 삭제 > 정보통신서비스를 1년 이상 이용하지 않은 경우 파기 또는 별도 분리 저장하도록 한 규정 삭제
기대효과
데이터 3법 개정 시 단순 통합한 특례를 디지털 시대에 맞게 일반규정으로 전환 > 국민과 기업의 법 적용상의 혼란과 이중부담 해소
2.2 디지털 시대에 적합한 국민의 적극적 권리 강화
항목
구분
설명
형식적 동의제도 개선
필요성
사전동의 제도에 대한 과도한 의존으로 형식적 동의 및 동의 만능주의 관행 지속 > 필수적으로 동의해야만 서비스 이용 가능 및 실체적 통제 미흡
개정내용
동의제도 개선 > 정보주체의 실질적 동의권 보장,기업 등의 합리적인 개인정보 수집, 활용 지원 목적 > 특례 규정의 필수동의 규정을 정비, 동의 이외의 개인정보 적법 처리요건 활성화 > 공중위생 목적인 경우도 수집, 이용 요건 추가 > 국민 생명 등 보호를 위해 급박한 경우 유연하게 대응할 수 있도록 처리 요건 개선
시행령
필수동의 관행 개선 > 유효한 동의 기준 명확화 > 동의 없이 처리할 수 있는 개인정보에 대하여는 법적 근거를 구분해 처리방침에 공개 > 동의를 받으려면 정보주체의 자유로운 의사에 따르도록 하는 동의 원칙 구체화 > 정보주체가 동의 여부를 선택 할 수 있다는 사실을 구분하여 표시
기대효과
정보주체가 적정한 정보를 제공받아 실질적으로 선택할 수 있는 환경 마련
개인정보 처리방침 평가제 도입
필요성
국민의 개인정보 처리에 관한 법정 고지 사항을 담은 개인정보 처리방침 > 이에 대한 내용의 적정성 및 구체성, 판단기준 미비 등 실체적 통제 미흡
개정안
개인정보 처리방침 평가제 도입 > 개인정보 처리방침의 적정성을 평가하고, 결과 개선이 필요하다고 인정하는 경우 개선을 권고 > 처리방침 작성지침 준수 여부 > 정보주체가 이해하기 쉽게 작성했는지 여부 > 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부 등 평가 개인정보처리자의 유형 및 매출액 규모, 처리하는 개인정보의 유형 및 규모, 처리 근거 및 방식 등을 종합적으로 고려하여 평가 대상을 선정할 수 있도록 규정
기대효과
개인정보처리자의 자율에 맡겨진 개인정보 처리방침에 대한 명확한 판단 기준 제시 > 처리방침 제도의 실질화 및 정보주체의 통제권 강화
개인정보 분쟁조정 제도 개선
필요성
개인정보 권리침해 시, 소송에 앞서 개인정보 분쟁조정위원회의 조정을 통해 신속하게 구제하는 분쟁조정제도 운영 > 조정신청 시 의무적으로 응해야 하는 기관은 공공기관에 한하며, 분쟁조정위에 사실 확인을 위한 조사권이 없어 적극적 조정에 한계
개정안
분쟁조정 요청 시, 의무적으로 응해야 하는 대상을 공공기관에서 모든 개인정보처리자로 확대 > 분쟁조정 관련 사실 확인이 필요한 경우 현장출입 및 자료조사 등 사실조사에 대한 법적근거를 명확히 규정 > 당사자가 조정안에 대한 수락 여부를 알리지 않을 경우 거부로 간주하던 것에서 수락으로 간주하는 것으로 기준 전환
기대효과
개인정보처리자의 조정 참여 확대 > 분쟁조정의 실효성을 확보 > 정확한 사실관계 확정으로 분쟁조정의 심의, 결정에 대한 신뢰 제고
개인정보의 사적 목적 이용 금지
필요성
개인정보취급자의 개인정보 사적 이용에 대한 제재 근거가 없어 사적으로 개인정보를 이용한 경우에도 처벌 곤란 > 개인정보의 불법 사적 이용은 중대한 범죄행위로 수사 및 형사처벌 대상이나 기존 법에는 처벌 근거가 없음
개정안
제59조 제3호 금지행위 규정 > 정당한 권한 없이 허용된 권한을 초과하여 타인의 개인정보를 이용하는 행위를 추가
기대효과
개인정보를 사적으로 무단 이용하는 것을 방지 > 정보주체의 개인정보 침해에 따른 피해 최소화
공공분야 개인정보 처리의 안전성 강화
필요성
공공부문에서 계속되어 온 개인정보 침해사고 근절을 위해 공공부문 안전조치 의무 강화, 개인정보파일 등록 대상 확대, 개인정보 영향평가 강화 등 필요
시행령
국민의 개인정보를 대규모로 처리하고 있는 공공기관 > 공공시스템 안전조치 강화, 개인정보파일 등록 정비, 개인정보 영향평가 결과 공개 등을 통해 안전성과 투명성 강화
① 주요 공공시스템을 운영하는 기관 등에 대해 안전조치 기준 강화 (24.09.15 시행) > 공공시스템 운영기관과 이용기관이 접근 권한을 체계적으로 관리 할 수 있는 근거 마련 > 접속기록 분석, 전담인력 등 배치, 시스템 관리책임자 지정 등 안전조치 의무 강화 > 권한의 범위를 초과하여 접근한 사실이 확인 될 경우 지체없이 정보주체에게 통지 등
② 공공기관의 개인정보파일 등록 대상 정비 > 내부적 업무처리 목적인 경우라도 일시적으로 처리되는 경우 등 관리의 필요가 없는 경우에만 등록 예외로 규정
③ 공공기관의 개인정보 영향평가 결과(요약본) 공개 근거 마련 > 개인정보 영향평가서 요약본을 공개할 수 있도록 하여 개인정보 처리의 투명성 강화
2.3 글로벌 스탠다드에 부합하는 법 제도 정비
항목
구분
설명
개인정보 국외이전 요건 다양화 및 보호조치 강화
필요성
국경 없는 온라인 상거래 확대 등으로 개인정보의 국외 이전 필요성이 증가 > 기존 법은 개인정보를 국외로 이전하기 위해서는 정보주체의 별도 동의 필요
개정내용
해외 법제와 상호 운용성 강화 > 동의 이외의 국외이전 적법 요건 다양화 및 중지명령권을 신설하여 보호조치 강화 > 요건 다양화: 개인정보보호 인증을 받은 경우, 이전되는 국가 또는 국제기구의 개인정보 보호 수준이 보장된다고 인정하는 경우 등으로 다양화 > 보호조치 강화: 법 위반 또는 이전 국가 등이 개인정보를 적정하게 보호하고 있지 않아 정보 주체에게 피해가 발생할 우려가 현저한 경우 등에 해당할 때 개인정보처리자에 대한 국외이전 중지 명령권 신설
시행령
-국외 이전에 관한 전문적인 검토 및 심의를 위해 국외이전전문위원회를 운영 -개인정보 보호 인증 및 국가 인정에 대한 절차 및 기준 등을 시행령에 마련 -국외 이전 중지명령의 기준과 이의 제기 절차 등 세부적인 규정을 시행령에 마련
기대효과
- 개인정보 국외이전 요건을 다양화하여 법의 유연성을 제고 - 중지명령권으로 국외이전에 따른 안전망 강화
형벌 중심을 경제제재 중심으로 전환
필요성
경미한 위반사항까지도 형벌을 규정함 > 개인정보 업무담당자의 과중한 부담 및 업무회피 초래 > 과징금의 경우 위반행위 관련 매출액의 3% 이하로 상한액을 정하고 있어 글로벌 입법 추세에 맞춘 실효성 제고 방안 필요
개정내용
개인에 대한 형벌을 기업에 대한 경제 제재 중심으로 전환하여 실효성 제고 > 형벌 정비: 일반규정에 맞추어 정비, 과도한 형벌규정 삭제, 과징금 상한 및 대상 확대 > 과징금 확대: 개인정보처리자로 확대, 과징금 상한액 기준 변경 (전체 매축액 3% 이하) > 과징금 산정: 위반행위와 관련 없는 매출액은 제외
시행령
과징금이 위반행위에 비례하도록 산정되도록 함 > 중대하고 의도적인 위반행위에 대하여는 엄중한 과징금 > 경미한 위반행위에 대하여는 면제가 가능하도록 산정기준을 개편 > 과징금 산정 기준 금액을 결정하는 비율을 정할 때, 위반행위의 중대성 정도에 따라 4구간-구간內 비율선택 방식으로 전환 > 부담능력 등을 감안하여 과징금 납부기한을 2년의 범위 내에서 연기할 수 있도록 > 분할하여 납부할 수 있는 근거 마련
기대효과
개인정보 보호에 대한 책임을 담당자 개인에 대한 형벌 중심에서 기업에 대한 경제적 책임으로 전환 > 기업 차원의 투자를 촉진하고 불법행위에 대한 실효성 있는 억지력을 확보
2.4 2024.03.15 이후 시행
항목
구분
설명
개인정보 전송요구권 도입
필요성
데이터 경제 활성화로 개인정보가 대량 수집, 유통 > 정보주체는 본인정보를 자기주도적으로 유통, 활용하는데 한계 > 일부 분야에서 개인정보 전송요구권 근거를 마련하여 마이 데이터 사업을 추진하고 있으나, 분야별 추진 방식에 대한 개선 필요
개정내용
국민이 자신의 개인정보를 본인 또는 제3자에게 전송을 요구할 수 있는 일반적 권리로서 개인정보 전송요구권 신설 > 전송 방법, 전송 요구의 거절 및 전송 중단의 방법 등 구체적 사항은 시행령으로 위임
기대효과
국민 개개인이 데이터의 진정한 주인 > 마이데이터 제도를 통해 데이터에 기반한 다양한 서비스를 주도적으로 이용 > 다양한 비즈니스 기회가 창출되어 데이터 경제 시대 신성장을 위한 기틀 마련
자동화된 결정에 대한 정보주체의 권리 도입
필요성
인공지능 등 신기술 발전에 따라 자동화된 결정이 광범위하게 활용되면서 새로운 프라이버시 이슈 제기 > 개인 의사에 반한 자동화된 결정으로 개인의 권리가 침해되지 않도록 정보주체의 대응권 보장 필요
개정내용
완전 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우 정보주체에게 거부권, 설명 등 요구권 부여 > 개인정보처리자는 정보주체의 권리행사가 있으면 자동화 결정의 적용 배제, 인적 개입에 의한 재처리, 설명 등 조치 의무를 규정
기대효과
인공지능 등 신기술 발전에 대응하여 자동화된 결정 과정 및 결과에 대한 투명성을 높이고 정보주체인 국민의 대응권을 보장
- 데일리시큐 "[진단] 국민의힘·더불어민주당·정의당, 입법부 대표 정당들의 개인정보보호 민낯"
> 개인정보 처리방침 문구에 대한 강조가 되어있지 않음
> 이전 개인정보 처리방침 변경 내용 확인 불가
> 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는 기능 없음
> 개인정보 처리방침 문서 내 '개인정보 취급방침' 용어 사용
> 개인정보 수집항목 관련 필수항목과 선택항목을 구분해 고지하지 않음
- 관련하여 지자체, 금융, IT, 의료, 교육 등 여러 사이트의 개인정보 처리방침을 확인
> 기사에서 언급된 문제점 또는 추가적인 문제점이 있는지를 검토
2. 주요내용
- 모공제조합 개인정보 처리방침의 내용에서 문제점으로 판단되는 총 5가지 항목 확인
- 국민신문고를 통해 개인정보보호위원회에 문의 진행
2.1 가시성 문제
- 개인정보 처리방침의 조항별 글씨 크기 및 글씨체의 차이를 보여 가시성이 떨어짐
- 「개인정보 보호법」 제30조는 개인정보처리자에게 개인정보 수립·공개의무를 부과
> 제4항에 따라 보호위원회는 「개인정보 처리방침 작성지침」을 제공
「개인정보 보호법」 제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. <개정 2016. 3. 29., 2020. 2. 4.> 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항 6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다) 8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항 ② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. ③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다. ④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
개인정보 처리방침 작성지침
개인정보처리자는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항을 명시적으로 구분하여 작성해야 하며, 개인정보 처리 현황을 투명하고 구체적으로 수립 및 공개하여야 함
개인정보 처리방침은 누구나 이해하기 쉬운 명확하고 평이한 언어로 안내하여야 하며, 특히 해외사업자의 경우 국내이용자가 이해할 수 있는 쉽고 명확한 한글로 정보를 제공하여야 함
- 이에 따른 답변은 다음과 같음
① 「개인정보 보호법」 제30조 제4항에따라 보호위원회는 「개인정보 처리방침 작성지침」을 정하여 그 준수를 권장할 수 있음
② 즉, 권장 사항이므로 권장 내용을 따르지 않았다고 해서 처벌의 대상이 되지 않음
③ 단, 법에 따른 필수 작성항목을 법령에 따라 적정하게 작성하고 있어야함
- 개인정보 처리방침이란 개인정보처리자의 개인정보 처리 기준 및 보호조치 등을 작성하여 문서화한것을 말함
> 「개인정보 보호법」 제30조 제2항에따라 정보주체가 확인하기 쉽게 공개할 것을 의무화
> 또한, 개인정보 처리방침의 목적은 개인정보 처리의 투명성을 높이고, 정보주체에게 자신의 개인정보가 어떻게 처리되고 있는지 처리방침을 통해 상시적으로 확인 및 비교하도록 하여 개인정보 자기결정권을 보장하기 위함이라고 생각함
- 해당 목적을 달성하기 위해서는 개인정보처리자가 정보주체로 하여금 이해하기 쉽도록 작성하는것을 보장하도록 할 필요가 있음
> 법에서 명시한 내용을 문서에 모두 포함하였다고 하여도, 내용 작성 방식의 문제로 인해 정보주체가 쉽게 확인 및 이해하지 못하는 문제가 충분히 발생할 수 있을 것으로 생각되기 때문
2.2 열람요구서, 위임장 등 다운로드 기능 부재
- 데일리시큐의 기사에서는 열람요구서, 위임장 등을 다운로드할 수 있는 기능이 없음을 문제점으로 지적
> 확인 결과 일부 사이트의 경우 다운로가 아닌 해당 파일이 위치한 경로 또는 법 별지 서식 이용 안내
- 공제조합 또한 별지 서식이용을 안내하고 있음
> 따라서, 단순히 다운로드 기능이 없다고 해서 문제점으로 지적하는 것은 합당하지 않다고 판단하여 문의 진행
- 이에 따른 답변은 다음과 같음
> 열람요구서 및 위임장 다운로드 기능과 관련하여, 개인정보 처리방침에 포함하는 것을 의무화하지 않음
> 개인정보 처리자의 자율에 맡겨진 사항
- 정보주체는 개인정보처리자가 처리하는 자신의 개인정보를 열람한 후 정정 또는 삭제를 요구할 수 있음
> 해당 과정을 처리하는 방식이 업종별로 상이할 수 있겠지만, 정보주체의 권리를 보장하기 위해 통일된 방식을 사용하는 것이 좋을것 같음
2.3 개인정보보호법 시행규칙 단어 사용
- 개인정보보호법에서 행안부령(행정안전부)으로 정하던 사항을 개인정보보회위원회가 정하여 고시하도록 개인정보보호법이 개정됨
> 따라서, "개인정보보호법 시행규칙" 단어를 삭제하거나 다른 단어로 정정되어야 할 것임
- 공제조합은 개인정보보호법 시행규칙을 아직 사용하는 것으로 확인
- 이에 따른 답변은 다음과 같음
> 기존의 「개인정보 보호법 시행규칙」 은 현재 「개인정보 보호 처리 방법에 관한 고시」 로 변경
> 용어의 변경이 필요함
- 관련 내용은 23.09.15부터 시행되는 개인정보보호법에 의거 개선될 것으로 기대됨
제30조의2(개인정보 처리방침의 평가 및 개선권고)
① 보호위원회는 개인정보 처리방침에 관하여 다음 각 호의 사항을 평가하고, 평가 결과 개선이 필요하다고 인정하는 경우에는 개인정보처리자에게 제61조제2항에 따라 개선을 권고할 수 있다. 1. 이 법에 따라 개인정보 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지 여부 2. 개인정보 처리방침을 알기 쉽게 작성하였는지 여부 3. 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부 ② 개인정보 처리방침의 평가 대상, 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다. [본조신설 2023. 3. 14.] [시행일: 2023. 9. 15.] 제30조의2
2.4 개인정보 수집 항목 관련 필수 및 선택 항목 미분류와 과다수집
- 「개인정보 보호법」 제3조 제1항에서 목적에 필요한 최소한의 개인정보만을 적법하고 정당하게 수집하도록 지정
> 작성지침에서는 수집목적에 필요한 최소한의 정보(필수항목)와 그 외의 정보(선택항목)을 구분하여 기재 안내
* 다만, 선택항목을 따로 두지 않고 필수항목만을 수집하는 경우에는 필수항목/수집항목을 구분하지 않아도 됨
- 공제조합의 경우 필수와 선택항목의 구분이 없으며 원적, 본적, 종교 등 불필요한 정보를 수집하는 것으로 판단
- 이에 따른 답변은 다음과 같음
>구체적 사실확인이 필요한 사안으로 일률적으로 답변하기 어려움
2.5 개인정보 자동 수집 장치의 설치ㆍ운영 및 거부에 관한 사항
-「개인정보 보호법」 제30조 제1항 제7호에서개인정보 자동 수집 장치의 설치, 운영 및 근거에 관한 사항을 포함하도록 지정
> 작성지침에서는 쿠키와 같이 개인정보를 자동으로 수집하는 장치를 설치 및 운영할 경우, 설치 및 운영, 그 거부에 관한 사항을 기재하여야 함
- 공제조합의 경우 관련되 내용을 "생성정보 수집 툴을 통한 수집"으로 안내
- 이에 따른 답변은 다음과 같음
>구체적 사실확인이 필요한 사안으로 일률적으로 답변하기 어려움
3. 문의 및 답변 전문
문의
답변
안녕하세요.
데일리시큐를통해 국내 입법부 대표 정당의 개인정보 처리방침 관련 문제점을 확인하였습니다.
관련하여 지자체, 금융, IT, 의료, 교육 등 여러 사이트의 개인정보 처리방침을 확인하여 기사에서 언급한 문제점과 기타 문제점이 있는지 찾아보았습니다.
모공제조합 개인정보 처리방침을 보던 중 궁금한 사항이 있어 문의 드립니다.
① 가시성 문제 개인정보 처리방침 작성 가이드라인에 따르면 정보주체가 쉽게 확인할 수 있도록 작성해야 하는 것으로 확인됩니다.
하지만, 조합의 개인정보 처리방침을 확인해보니 각 조항의 글씨 크기 및 글씨체가 큰 차이를 보이고 있어 가시성이 확보되지 않는 것으로 판단되어 문의 드립니다.
② 열람요구서, 위임장 등 다운로드 기능 부재 데일리시큐에서 확인한 기사에 따르면 열람요구서와 위임장 등을 다운로드 할 수 있는 기능이 없는 점을 문제점으로 꼽았습니다.
하지만, 일부 사이트의 경우 다운로드가 아닌 해당 파일이 위치한 경로나 개인정보보호법 시행령의 별지 서식을 사용하는 것을 안내하고 있었습니다.
조합의 경우에도 시행령 별지 서식 이용을 안내하고 있습니다.
그렇다면, 기사에서 언급한 다운로드 기능 부재의 경우는 문제점으로 선정할 수 없을것이라고 생각되어 문의 드립니다.
③ 개인정보보호법 시행규칙 단어 사용 개인정보보호법에서 행안부령으로 정하던 사항을 개인정보보호위원회가 정하여 고시하도록 변경됨에 따라 20.08.05부터 개인정보보호법 시행규칙이 전부 폐지된 것으로 알고있습니다.
조합의 경우 "개인정보 보호법 시행규칙" 또는 "개인정보보호법시행규칙" 단어를 사용하고 있는 것으로 확인되어 문의 드립니다.
④ 개인정보 수집 항목 관련 필수 및 선택 항목 미분류와 과다수집 개인정보 처리방침 작성 가이드라인에서는 필요한 최소한의 항목(필수항목)과 그 외 정보(선택항목)을 구분하여 기재하며, 필수항목만을 수집하는 경우에는 구분하지 않아도 된다고 안내하고 있습니다.
조합의 경우 필수 및 선택 구분을 두지않고 있으며, 수집하는 개인정보 또한 원적, 본적, 해외여행, 종교 등 불필요한 정보를 수집하고 있는것으로 판단되어 문의 드립니다.
⑤ 개인정보 자동 수집 장치의 설치ㆍ운영 및 거부에 관한 사항 개인정보 처리방침 작성 가이드라인에서는 쿠키 등과 같이 개인정보를 자동으로 수집하는 장치를 설치 및 운영할 경우 설치ㆍ운영 및 거부에 관한 사항을 공개하도록 되어있습니다.
조합의 경우 수집방법의 하나로 생성정보 수집 툴을 통한 수집으로만 안내를 하고있어 관련 정보가 부족하다고 판단되어 문의 드립니다.
1. 안녕하십니까? 귀하께서 국민신문고를 통해 신청하신 민원(신청번호 -)에 대한 검토 결과를 다음과 같이 알려드립니다.
2. 귀하께서는 개인정보 처리방침과 관련한 것으로 이해됩니다.
3. 귀하의 질의사항에 대해 검토한 의견은 다음과 같습니다.
가. 「개인정보 보호법」 제30조는 개인정보처리자에게 개인정보 수립·공개의무를 부과하고 있으며, 보호위원회는 개인정보의 처리방침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있습니다. 이에 「개인정보 처리방침 작성지침」은 권장 사항이며 법에서 정하고 있는 개인정보 처리방침 필수 작성항목을 법령에 따라 적정하게 작성하고 있다면 처리방침 작성지침에서 권장하는 내용을 따르지 않았다고 해서 처벌의 대상이 되지 않습니다.
나. 개인정보 처리방침의 가시성과 관련해서 표준지침에 따르면 개인정보처리자가 개인정보 처리방침을 작성할 때에는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항을 명시적으로 구분하되, 알기 쉬운 용어로 구체적이고 명확하게 표현하도록 하고 있습니다.
다. 열람요구서 및 위임장 다운로드 기능과 관련해서 개인정보 처리방침 작성지침이나 표준지침에서는 이 같은 기능을 추가할 것을 의무화하고 있지 않으며 개인정보처리자의 자율에 맡겨진 사항임을 알려드립니다.
라. 개인정보 보호법 시행규칙 단어 사용과 관련해서, 기존의 「개인정보 보호법 시행규칙」 은 현재 「개인정보 보호 처리 방법에 관한 고시」 로 변경되었으므로 용어의 변경이 필요함을 안내드립니다.
마. 개인정보 수집 관련 필수, 선택항목 구분, 불필요한 정보인지 여부 및 개인정보 자동수집장치와 관련된 방식의 적합성 여부 등과 관련해서는 구체적 사실확인이 필요한 사안으로 일률적으로 답변드리기 어려운 점 양해 바랍니다.
4. 귀하의 질문에 만족스러운 답변이 되었기를 바라며, 답변 내용에 대한 추가 설명이 필요한 경우 -에게 연락주시면 친절히 안내해 드리도록 하겠습니다. 감사합니다. 끝.
- 개인정보처리자의 개인정보 처리 기준 및 보호조치 등을 「개인정보 보호법」에 따른 기재사항을 포함하여 문서화한 것
- 개인정보처리자는 개인정보보호법 제30조에 의거 개인정보 처리방침을 수립 및 공개하여야 함
> 공공기관의 경우 개인정보보호법 제32조에 의거 개인정보파일을 등록 및 공개하여야 함
※ 개인정보보호법 개정으로 23.09.15부터 제30조에 민감정보 및 가명정보와 관련된 조항이 추가
※ 개인정보보호법 개정으로 23.09.15부터 제30조의2(개인정보 처리방침의 평가 및 개선권고) 추가
개인정보보호법 제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. <개정 2016. 3. 29., 2020. 2. 4.> 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항 6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다) 8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.
④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
1.1 개인정보보호위원회 개인정보 처리방침 작성 가이드라인
- 개인정보보호위원회는 개인정보 처리방침 작성 가이드라인을 배포
- 가이드라인 상 개인정보 처리방침 기재 사항은 다음과 같음
※ 기타 자세한 사항은 [1] 참고
1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항 (해당되는 경우에만 정함) 4. 개인정보의 파기절차 및 파기방법(법 제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목) 5. 개인정보처리의 위탁에 관한 사항 (해당되는 경우에만 정함) 6. 정보주체와 법정대리인의 권리․의무 및 그 행사방법에 관한 사항 7. 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 8. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항 (해당되는 경우에만 정함) 9. 처리하는 개인정보의 항목 10. 개인정보의 안전성 확보조치에 관한 사항 11. 개인정보 처리방침의 변경에 관한 사항 12. 개인정보의 열람청구를 접수․처리하는 부서 13. 정보주체의 권익침해에 대한 구제방법 14. 가명정보를 처리하는 경우 가명정보 처리에 관한 사항(해당되는 경우에만 작성) - 가명정보의 처리 목적 - 가명정보의 처리 및 보유 기간 - 가명정보의 제3자 제공에 관한 사항(해당되는 경우에만 작성) - 가명정보 처리의 위탁에 관한 사항(해당되는 경우에만 작성) - 가명처리하는 개인정보의 항목 - 법 제28조의4에 따른 가명정보의 안전성 확보조치에 관한 사항 15. 국내대리인을 지정한 경우 국내대리인의 성명(법인의 경우 그 명칭 및 대표자의 성명), 주소(법인의 경우 영업소 소재지), 전화번호 및 전자우편 주소 (해당되는 경우에만 작성) 16. 추가적인 이용·제공 관련 영 제14조의2 제1항 각 호의 고려사항에 대한 판단기준 (해당되는 경우에만 작성) 17. 영상정보처리기기 운영․관리에 관한 사항 (「개인정보 보호법」 제25조제7항에 따른 ‘영상정보처리기기 운영․관리방침’을 개인정보처리방침에 포함하여 정하는 경우) 18. 그 밖에 개인정보처리자가 개인정보 처리 기준 및 보호조치 등에 관하여 자율적으로 개인정보 처리방침에 포함하여 정한 사항
2. 정당별 문제점
2.1 국민의힘
① 개인정보 처리방침 문구에 대한 강조가 되어있지 않음
개인정보보호위원회 개인정보 처리방침 작성 가이드라인
반드시 “개인정보 처리방침”이라는 명칭을 사용하고, 글자크기․색상 등을 활용하여 다른 고지사항(이용약관, 저작권 안내 등)과 구분하여 정보주체가 쉽게 확인하도록 해야 함
② 이전 개인정보 처리방침 변경 내용 확인 불가
개인정보보호위원회 개인정보 처리방침 작성 가이드라인
개인정보 보호법, 같은 법 시행령 및 표준 개인정보 보호지침(이하 ‘표준지침’)은 “개인정보 처리방침”에 포함되어야 하는 사항을 규정함 11. 개인정보 처리방침의 변경에 관한 사항
③ 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는 기능 없음
> 가이드라인에서 관련된 정보를 찾지못함
> 일부 지자체 개인정보 처리방침 확인 결과 열람요구서와 법정대리인 등 위임장 작성을 위한 문서 다운로드 기능이 존재
개인정보보호위원회 개인정보 처리방침 작성 가이드라인
해당 개인정보처리자에 대해 정보주체가 지니는 개인정보 열람, 정정․삭제, 처리정지 등 행사방법, 행사절차 등을 구체적으로 기재
2.2 더불어민주당
① 개인정보 처리방침 문구에 대한 강조가 되어있지 않음
② 개인정보 처리방침 문서 내 '개인정보 취급방침' 용어 사용
③ 이전 개인정보 처리방침 변경 내용 확인 불가
④ 개인정보 수집항목 관련 필수항목과 선택항목을 구분해 고지하지 않음
개인정보보호위원회 개인정보 처리방침 작성 가이드라인
수집목적에 필요한 최소한의 정보(필수항목)과 그 외의 정보(선택항목)을 구분하여 기재함 다만, 선택항목을 따로 두지 않고 필수항목만을 수집하는 경우에는 필수항목/선택항목을 구분하지 않아도 됨
⑤ 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는 기능 없음
2.3 정의당
① 개인정보 처리방침 확인 불가
> 우측 하단 이용안내를 통해 관련 내용을 확인할 수 있음
② '개인정보 취급방침' 용어 사용
③ 개인정보 수집항목 관련 필수항목과 선택항목을 구분해 고지하지 않음
④ 이전 개인정보 처리방침 변경 내용 확인 불가
⑤ 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는기능 없음
3. 관련 추가 사례
- 해당 기사를 접한 후 지자체, 금융, IT, 의료, 교육 등 여러 사이트를 확인해 보았음
> 기사에서 언급한 사항과 관련된 문제점을 찾아볼 수 없었음
> 별도 페이지를 마련하는 등 더욱 세분화하여 개인정보 처리 관련 정보를 제공
- 모 조합 사이트에서 일부 문제점으로 판단되는 사항이있어 개인정보보호위원회에 문의를 진행
① 가시성 문제: 글씨 크기 및 글씨체의 차이로인한 가시성 확보의 어려움
② 열람요구서, 위임장 등 다운로드 기능 부재: 개인정보호법 별지 서식 이용 안내
③ 개인정보보호법 시행규칙 단어 사용: 20.08.05부 개인정보보호법 시행령 폐지
④ 개인정보 수집 항목 관련 필수 및 선택 항목 미분류와 과다 수집: 불필요한 정보의 수집
⑤ 개인정보 자동 수집 장치의 설치ㆍ운영 및 거부에 관한 사항: 생성정보 수집 툴을 통한 수집 중
- 개인정보보호위원회는 개인정보 보호법 시행령 개정안을 5월 19일 ~ 6월 28일간(40일) 입법예고한다고 밝힘
- 시행령 개정안은 지난 3월 14일 공포된 ‘개인정보 보호법’ 전면 개정에 따른 후속 조치
> 개인정보 보호법 개정안 공포 이후 산업계·시민단체· 학계의 의견 수렴
> 정보주체의 권리와 공공부문의 안전조치는 강화하고 불합리한 규제는 정비
- 주요 개정 내용은 다음과 같음
> 정보주체인 국민의 권리를 실질적으로 보장
> 공공분야에서의 안전조치를 강화
> 온라인과 오프라인으로 구분하여 이원화되어 있는 개인정보 보호 기준을 일원화
2. 주요 개정 사항
2.1 동의받을 때 국민의 실질적 선택이 가능하도록 개선
① 정보주체인 국민이 스스로 자신의 개인정보에 대한 권리를 실질적으로 행사할 수 있도록 동의의 원칙을 구체화
- 동의를 받으려면 ‘정보주체의 자유로운 의사’에 따르도록 하는 등 동의 원칙을 구체화
- 정보주체가 동의 여부를 선택할 수 있다는 사실을 구분하여 표시하도록
② 개인정보처리방침 평가제를 통해 개인정보처리방침을 단계적으로 개선할 수 있는 기반을 마련
- 개인정보처리자의 유형, 개인정보 처리 형태 등을 고려하여 개인정보처리방침 평가 대상자를 선정
- 동의 등 처리 근거가 적정한지, 개인정보처리방침을 이해하기 쉽게 수립 및 공개하고 있는지 등을 평가해 개선할 수 있도록 구체화
2.2 온라인과 오프라인 구분 없이 동일한 기준 적용 : 규제 정비
① 온라인과 오프라인으로 구분하여 달리 규율해 온 이원화된 규제를 디지털 사회에 맞는 규제로 일원화
- 온라인 기준을 중심으로 통합
- 안전조치를 위한 다양한 기술이 도입될 수 있도록 오인될 수 있는 용어를 삭제하는 등 관련 규정을 기술 중립적으로 정비
> 특정 기술을 채택해야 하는 것으로 오인될 수 있는 용어: 백신, 보안서버 등 용어 삭제, 저장·전송 시 암호화 외에 암호화에 상응하는 조치 추가 등
- 정보주체가 정보통신서비스(온라인)를 1년 이상 이용하지 않은 경우 파기하거나 별도 분리하여 저장하도록 한 규정(유효기간제)을삭제
> 목적이 달성되었거나 보유기간이 종료되면 지체없이 파기하도록 규정
- 과징금이 위반행위에 비례하여 산정되도록 개편
> 중대하고 의도적인 위반행위에 대하여는 엄중한 과징금
> 경미한 위반행위에 대하여는 면제까지 가능
> 과징금 산정을 위한 기준이 되는 금액(기준금액)을 결정하는 비율(부과기준율) 산정 방식 변경
과징금 산정을 위한 기준금액 결정 비율
위반행위의 중대성 정도에 따라 현행 3구간-단일 비율 방식에서4구간-구간 내 차등 비율 방식으로 전환
위반행위의 중대성 판단 기준
1. 위반행위의 내용 및 정도 2. 개인정보의 유형과 정보주체에게 미치는 영향 3. 정보주체의 피해 규모 등을 종합적으로 고려
- 개인정보 유출 사실 인지 후 72시간 이내 개인정보위원회 또는 한국인터넷진흥원에 신고
> 개인정보가 유출되었다는 사실을 알게 된 경우 유출된 개인정보가 민감정보 또는 고유식별정보인 경우, 해킹 등 외부로부터 불법적인 접근에 의한 유출인 경우, 1천명 이상인 경우에는 정당한 사유가 없는 한 72시간 이내에 개인정보위(또는 한국인터넷진흥원)에 신고
※ 정보주체에 대한 통지는 유출규모와 무관하게 정당한 사유가 없는 한 72시간 이내에 이행
② 드론·자율주행차 등 이동형 영상정보처리기기가 보편화되는 환경에 맞추어 운영기준을 정비
- 영상 촬영 후 별도로 저장하지 않는 경우로서 통계 목적으로 운영하는 때에는 고정형 영상정보처리기기(CCTV 등) 설치·운영이 가능하도록 함
> 그동안 규제샌드박스 실증특례를 통해 제한적으로 운영해 온 사항을 입법화하기 위한 목적
- 국민의 생명 등을 보호하기 위하여 범죄·재난·화재 등의 상황에서 인명의 구조·구급 등을 위해 영상 촬영이 필요한 경우
> 이동형 영상정보처리기기(드론, 자율주행차 등)를 통해 촬영할 수 있음을 명확히 함
③ 통지의무 대상자의 범위를 수집 출처 통지 기준에 맞추어 정비하고 통지도 함께 할 수 있도록 개선
> 정보주체가 아닌 제3자로부터 개인정보를 수집하여 출처를 통지해야 하는 경우(수집 출처 통지)
> 개인정보 이용·제공 내역을 통지해야 하는 경우(이용내역 통지)
2.3 공공분야 개인정보 처리의 안전성 강화
① 공공부문의 개인정보 침해사고를 근절하기 위하여 안전조치 의무 강화
- 대규모 공공시스템을 운영하는 공공기관에 대한 안전조치 의무를 강화
> 개인정보파일 등록, 개인정보 영향평가 등 제도를 보완
개인정보파일 등록
- 그동안 공공기관이 관리하는 개인정보파일이 내부적 업무처리 목적인 경우에는 등록 대상에서 제외 - 일시적으로 처리되는 경우 등 관리 필요가 없는 경우 외에는 등록하여 관리하도록 함 > 등록 예외 ① 일회적 행사 수행 ② 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리 ③ 저장하거나 기록하지 않을 목적으로 수집된 개인정보 파일
개인정보 영향평가
- 공공기관이 개인정보 영향평가를 수행해야 하는 시점을 개인정보파일 운용 또는 변경 전으로 명확화 - 영향평가서 요약본을 공개할 수 있도록 하여 공공기관의 개인정보를 투명하게 관리하도록 함
> 공공시스템의 개인정보 유출로 인한 2차 피해를 막기 위하여 마련한 공공부문 개인정보 유출 방지대책에 따라 공공시스템 운영기관에 대한 안전조치 특례를 신설
2.4 기타
- 법 개정으로 글로벌 스탠다드에 맞게 개인정보의 국외 이전 요건이 다양화되고 국외이전 중지명령이 도입됨에 따라 그 세부적인 절차와 기준 등을 구체화
- 개보법에서 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우 KISA에 기술 지원을 요청할 수 있음
> KISA는 독립적 조사가 불가하며, 담당부처 요청에 따라 기술 지원 업무를 수행
> 이에 따라,기술 지원 외 기업에서 자체적으로 수행하는 분석 및 대응의 적절성 여부 확인 불가
※ 기업이 자체적으로 사고 분석을 실시하는 경우도 있지만 시스템 포맷 등을 통해 무마하는 경우도 많았음
>민관합동조사단의 구성으로만 침해사고의 원인분석에 KISA의 임직원이 참여가 가능
개인정보 보호법 제34조(개인정보 유출 통지 등)
① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다. 1. 유출된 개인정보의 항목 2. 유출된 시점과 그 경위 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해 구제절차 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 ② 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다. ③ 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 행정안전부장관 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 행정안전부장관 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26.> ④ 제1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
개인정보 보호법 시행령 제39조(개인정보 유출 신고의 범위 및 기관)
① 법 제34조제3항 전단에서 “대통령령으로 정한 규모 이상의 개인정보”란 1천명 이상의 정보주체에 관한 개인정보를 말한다. <개정 2017. 10. 17.>
② 법 제34조제3항 전단 및 후단에서 “대통령령으로 정하는 전문기관”이란 각각 한국인터넷진흥원을 말한다. <개정 2015. 12. 30., 2016. 7. 22.>
정보통신망법 시행령 제59조(민ㆍ관합동조사단의 구성ㆍ운영)
① 법 제48조의4제3항에 따른 민ㆍ관합동조사단(이하 “조사단”이라 한다)은 단장과 부단장을 포함하여 20명 내외의 조사단원으로 구성하되, 침해사고의 규모 및 유형을 고려하여 단원의 수를 조정할 수 있다. ② 조사단원은 다음 각 호의 어느 하나에 해당하는 사람 중에서 과학기술정보통신부장관이 임명 또는 위촉하고, 단장은 제1호의 사람 중 과학기술정보통신부장관이 지명하는 4급 이상의 공무원으로, 부단장은 제3호의 사람 중 과학기술정보통신부장관이 지명하는 사람으로 한다. 1. 침해사고를 담당하는 과학기술정보통신부 소속 공무원 2. 침해사고에 관한 전문지식과 경험이 있는 사람 3. 인터넷진흥원의 임직원 4. 그 밖에 침해사고의 원인 분석에 필요하다고 인정되는 사람 ③ 조사단은 침해사고의 원인을 분석하는 원인조사반과 분석한 결과를 검증하는 검증분석반으로 구성한다. 다만, 조사단의 단장이 필요하다고 인정하는 때에는 원인조사반과 검증분석반을 통합하여 운영하거나 다른 반을 둘 수 있다. ④ 조사단의 단장은 침해사고의 원인 분석을 위해 필요한 경우 관련 전문가 또는 정보보호 전문업체에 자문을 구할 수 있다. ⑤ 공무원이 아닌 조사단원과 제4항에 따른 관련 전문가 등에게는 예산의 범위에서 수당, 여비 또는 그 밖에 필요한 경비를 지급할 수 있다. ⑥ 조사단의 단장은 침해사고의 원인 분석이 끝나면 지체 없이 결과보고서를 작성하여 과학기술정보통신부장관에게 보고해야 한다. ⑦ 과학기술정보통신부장관은 조사단의 구성 목적을 달성했다고 인정하는 경우에는 조사단을 해산할 수 있다. ⑧ 제1항부터 제7항까지에서 규정한 사항 외에 조사단의 구성ㆍ운영에 필요한 사항은 과학기술정보통신부장관이 정한다. [전문개정 2022. 12. 9.]
망법 개정 전후 비교
망법 개정 전 주요 사항 및 문제점
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의4(침해사고의 원인 분석 등)
① 정보통신서비스 제공자 등 정보통신망을 운영하는 자는 침해사고가 발생하면 침해사고의 원인을 분석하고 피해의 확산을 방지하여야 한다. ② 과학기술정보통신부장관은 정보통신서비스 제공자의 정보통신망에 중대한 침해사고가 발생하면 피해 확산 방지, 사고대응, 복구 및 재발 방지를 위하여 정보보호에 전문성을 갖춘 민ㆍ관합동조사단을 구성하여 그 침해사고의 원인 분석을 할 수 있다. <개정 2013. 3. 23., 2017. 7. 26.> ③ 과학기술정보통신부장관은 제2항에 따른 침해사고의 원인을 분석하기 위하여 필요하다고 인정하면 정보통신서비스 제공자와 집적정보통신시설 사업자에게 정보통신망의 접속기록 등 관련 자료의 보전을 명할 수 있다. <개정 2013. 3. 23., 2017. 7. 26.> ④ 과학기술정보통신부장관은 침해사고의 원인을 분석하기 위하여 필요하면 정보통신서비스 제공자와 집적정보통신시설 사업자에게 침해사고 관련 자료의 제출을 요구할 수 있으며, 제2항에 따른 민ㆍ관합동조사단에게 관계인의 사업장에 출입하여 침해사고 원인을 조사하도록 할 수 있다. 다만, 「통신비밀보호법」 제2조제11호에 따른 통신사실확인자료에 해당하는 자료의 제출은 같은 법으로 정하는 바에 따른다. <개정 2013. 3. 23., 2017. 7. 26.> ⑤ 과학기술정보통신부장관이나 민ㆍ관합동조사단은 제4항에 따라 제출받은 자료와 조사를 통하여 알게 된 정보를 침해사고의 원인 분석 및 대책 마련 외의 목적으로는 사용하지 못하며, 원인 분석이 끝난 후에는 즉시 파기하여야 한다. <개정 2013. 3. 23., 2017. 7. 26.> ⑥ 제2항에 따른 민ㆍ관합동조사단의 구성과 제4항에 따라 제출된 침해사고 관련 자료의 보호 등에 필요한 사항은 대통령령으로 정한다. [전문개정 2008. 6. 13.]
① 기업에는 신고의무만 고지
> 기술 지원 미동의 시 자체 조치 등 대응의 적절성을 확인할 방법의 부재
※ 기업이 자체적으로 사고 분석을 실시하는 경우도 있지만 시스템 포맷 등을 통해 무마하는 경우도 많았음
② 중대한 침해사고의 경우에만 접속기록 등 관련 자료의 보전 및 제출
> 피해확산 방지를 위해 필요한 침해사고 관련 정보 수집 불가능
> 망법 제48조의4 제2항, 제3항에 의거 중대한 침해사고의 경우에만 관련 자료의 보전 및 제출을 명할 수 있음
※ 중대한 침해사고
> 중대한 침해사고의 정의를 찾아보았는데, 망법 제47조의4에서 "중대한 침해사고로 인해 이용자의 정보시스템 또는 정보통신망 등에 심각한 장애가 발생할 가능성"을 기준으로 판단
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조의4(이용자의 정보보호) ③ 주요정보통신서비스 제공자는 정보통신망에 중대한 침해사고가 발생하여 자신의 서비스를 이용하는 이용자의 정보시스템 또는 정보통신망 등에 심각한 장애가 발생할 가능성이 있으면 이용약관으로 정하는 바에 따라 그 이용자에게 보호조치를 취하도록 요청하고, 이를 이행하지 아니하는 경우에는 해당 정보통신망으로의 접속을 일시적으로 제한할 수 있다. <개정 2020. 6. 9.>
> 중대한 침해사고의 명확한 정의나 기준과 중대한 침해사고의 결과로 이어지는 심각한 장애의 정의 또한 명확히 찾지 못함
> KISA "침해사고 예방·대응 및 피해확산 방지를 위한 정보통신망법 개선방안 연구" p.85에서는 다음과 같이 표현을 찾음
> 명확한 정의 없이 공격의 규모와 결과를 통해 중대한 침해사고로 규정한다는데, 사고를 조사하는 조사관의 개인적인 판단에 기초하는것 같음(조사관의 판단에따라 같은 사고라도 중대한 침해사고로 규정되지 않을 수도 있을것 같음...)
여기서 중대한 침해사고와 관련하여 그 구체적인 개념을 정의한 규정 은 없다. 다만 디도스(DDos) 공격, 메일 폭탄 등과 같이 이용자의 정보시 스템이나 정보통신망에 상당한 장애를 일으킬 수 있는 사고를 의미한다. 이용자에 대한 보호조치 요청은 이용자에게 부담을 주고 경제적 피해로 이어질 수 있으므로 침해사고의 위험, 범위 등이 크고 광범위한 경우에 한해서 제한적으로 행사된다. 특히 접속 제한 조치는 다른 이용자의 정 보시스템이나 정보통신망에 피해를 줄 것이 명확한 경우에 한하여 매우 예외적으로 인정된다.
>민·관합동조사단 구성 및 운영에 관한 훈령에서도 중대한 침해사고와 관련된 사항을 찾을 수 있음
민·관합동조사단 구성 및 운영에 관한 훈령 제3조(조사단의 설치·운영시기) 과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 중대한 침해사고가 발생하면 조사단을 구성·운영할 수 있다. 1. 주요정보통신기반시설에 발생한 침해사고의 원인분석을 위하여 필요한 경우 2. 정보보호 관리체계 인증 의무 대상자의 정보통신망에 발생한 침해사고의 원인분석을 위하여 필요한 경우 3. 원인을 알 수 없는 해킹에 의한 다발적 피해발생이 우려되는 경우 4. 그 밖에 유사한 침해사고의 확산, 신종 침해사고 등 과학기술정보통신부장관이 조사가 필요하다고 판단하는 경우
망법 개정 후 주요 사항
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의4(침해사고의 원인 분석 등)
① 정보통신서비스 제공자 등 정보통신망을 운영하는 자는 침해사고가 발생하면 침해사고의 원인을 분석하고 그 결과에 따라 피해의 확산 방지를 위하여 사고대응, 복구 및 재발 방지에 필요한 조치를 하여야 한다. <개정 2022. 6. 10.> ② 과학기술정보통신부장관은 정보통신서비스 제공자의 정보통신망에 침해사고가 발생하면 그 침해사고의 원인을 분석하고 피해 확산 방지, 사고대응, 복구 및 재발 방지를 위한 대책을 마련하여 해당 정보통신서비스 제공자에게 필요한 조치를 하도록 권고할 수 있다. <신설 2022. 6. 10.> ③ 과학기술정보통신부장관은 정보통신서비스 제공자의 정보통신망에 중대한 침해사고가 발생한 경우 제2항에 따른 원인 분석 및 대책 마련을 위하여 필요하면 정보보호에 전문성을 갖춘 민ㆍ관합동조사단을 구성하여 그 침해사고의 원인 분석을 할 수 있다. <개정 2013. 3. 23., 2017. 7. 26., 2022. 6. 10.> ④ 과학기술정보통신부장관은 제2항에 따른 침해사고의 원인 분석 및 대책 마련을 위하여 필요하면 정보통신서비스 제공자에게 정보통신망의 접속기록 등 관련 자료의 보전을 명할 수 있다. <개정 2013. 3. 23., 2017. 7. 26., 2022. 6. 10.> ⑤ 과학기술정보통신부장관은 제2항에 따른 침해사고의 원인 분석 및 대책 마련을 하기 위하여 필요하면 정보통신서비스 제공자에게 침해사고 관련 자료의 제출을 요구할 수 있으며, 중대한 침해사고의 경우 소속 공무원 또는 제3항에 따른 민ㆍ관합동조사단에게 관계인의 사업장에 출입하여 침해사고 원인을 조사하도록 할 수 있다. 다만, 「통신비밀보호법」 제2조제11호에 따른 통신사실확인자료에 해당하는 자료의 제출은 같은 법으로 정하는 바에 따른다. <개정 2013. 3. 23., 2017. 7. 26., 2022. 6. 10.> ⑥ 과학기술정보통신부장관이나 민ㆍ관합동조사단은 제5항에 따라 제출받은 자료와 조사를 통하여 알게 된 정보를 침해사고의 원인 분석 및 대책 마련 외의 목적으로는 사용하지 못하며, 원인 분석이 끝난 후에는 즉시 파기하여야 한다. <개정 2013. 3. 23., 2017. 7. 26., 2022. 6. 10.> ⑦ 제3항에 따른 민ㆍ관합동조사단의 구성ㆍ운영, 제5항에 따라 제출된 자료의 보호 및 조사의 방법ㆍ절차 등에 필요한 사항은 대통령령으로 정한다. <개정 2022. 6. 10.> [전문개정 2008. 6. 13.]
① 기존 신고 의무에 추가적으로 원인 분석 및 피해 확산 방지 의무 부여
> 기업이 피해확산 방지를 위한 조치에 더 적극적으로 참여를 이끌어내기 위함
② 침해사고 구분 없이 자료 보전 및 제출
>중소기업의 경우 침해사고 발생 시 대처할 여력이 없으므로 민관이 협업해 대응하자는 의미
> 자료를 제출하지 않을 시에는 망법 제76조 제3항 11의3호 및 12호에 의거 행정처분이 수반되기 때문에는 의무사항
> 자료 제출 거부, 거짓 제출의 횟수에 따라 차등 부과 (1회 위반: 300만원, 2회 위반: 600만원, 3회 위반: 1천만원)
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제76조(과태료)
③ 다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료를 부과한다. <개정 2009. 4. 22., 2011. 4. 5., 2012. 2. 17., 2014. 5. 28., 2015. 6. 22., 2015. 12. 1., 2016. 3. 22., 2017. 7. 26., 2018. 6. 12., 2020. 2. 4., 2020. 6. 9., 2022. 6. 10.> 11의3. 제48조의4제5항에 따른 자료를 제출하지 아니하거나 거짓으로 제출한 자 12. 제48조의4제5항에 따른 사업장 출입 및 조사를 방해하거나 거부 또는 기피한 자