꼰머의 보안공부

7. EU-GDPR

- 2018.05.25부터 시행중인 EU의 개인정보보호 법령

- 위반 시 과징금 등 행정처분이 부과되며, EU 내 사업장이 없더라도 EU를 대상으로 사업하는 경우 적용대상이 됨

- 적용 대상은 '국적'이 아닌, 'EU 거주자'에 해당하는 지 고려

- 적용범위: EU 내 사업장 운영+개인정보 처리 / EU 거주에게 재화나 서비스 제공 / EU 거주자의 EU 內 행동 모니터링

- 적용정보: 개인정보(식별되었거나 식별가능한 정보, 사망자와 법인은 적용 안됨) / 개인정보 처리에 적용되는 개인정보(위치정보, 온라인 식별자 등 포함)

- 과징금: 기술적, 관리적 위반_1천만 유료 또는 전세계 매출액의 2% 중 높은 금액 / 개인정보 처리원칙, 동의조건, 정보주체 권리보장 의무 위반 등_2천만 유료 또는 전세계 매출액의 4% 중 높은 금액

- 정보주체의 권리

- 2021.12.17 한-EU 개인정보보호 적정성 결정

> EU 회원국에 준하는 지위를 부여받게 되어, 한국 기업의 경우 기존의 까다로운 절차가 면제

> 역외이전 관련 의무 부담만 경감된 것으로, 금융기관이 보유한 개인 신용정보의 역외이전은 이전과 동일하게 표준계약 채결 등이 필요

7.1 주요 용어

7.2 주요 원칙

- 6가지 개인정보 적법 처리 조건

- 기업은 개인정보 처리전에 반드시 적법한 처리 근거를 확보하였는지 여부를 확인할 필요가 있음

① 개인정보 처리의 적법성(Lawfulness of Processing)

② 동의(Consent)

③ 아동 개인정보(Children's personal data)

④ 민감 정보(Special categories of personal data)

7.3 조항

- 정보를 제공받을 권리 [제12~14조]

> 컨트롤러는 공정하고 투명한 처리 원칙을 보장하기 위해 정보주체에게 본인의 개인정를 어떻게 처리하고 있는지에 관한 정보를 명확하고 쉬운 언어로, 무상으로 알려주어야 함

- 정보주체의 열람권 [제12,15조]

> 컨트롤러는 정보주체가 개인정보 처리 내용과 그 적법성을 확인할 수 있도록 정보주체의 요구가 있을 경우 자신의 개인정보 및 다음의 모든 정보에 대해 열람할 수 있도록 조치

① 처리목적

② 관련된 개인정보의 유형

③ 개인정보를 제공받았거나 제공받을 수령인 또는 수령인의 범주

④ (가능하다면) 개인정보의 예상 보유 기간 또는 (가능하지 않다면) 해당 기간을 결정하기 위한 기준

⑤ 본인의 개인정보에 대한 수정, 삭제 또는 제한이나 처리에 대한 반대를 요구할 수 있는 권리의 유무

⑥ 감독기구에 민원을 제기할 수 있는 권리

⑦ 개인정보가 정보주체로부터 수집되지 않은 경우 그 출처에 대한 모든 가용한 정보

⑧ 프로파일링 등 자동화된 결정의 유무 및 이에 따른 유의미한 정보와 이러한 처리의 유의성과 예상되는 결과

- 정정권 [제12,16,19조]

> 정보주체는 개인정보가 부정확하거나 불완전하다면 이에 대한 정정을 요구할 권리가 있고, 컨트롤러는 정보주체의 정정권리를 보장할 수 있도록 필요한 조치를 하여야 함

- 삭제권(잊힐권리) [제12,17,19조]

> 정보주체는 본인에 관한 개인정보의 삭제를 컨트롤러에게 요구할 권리를 가지며 컨트롤러는 개인정보 처리목적의 달성, 정보주체의 동의 철회 등의 경우에 개인정보를 삭제하여야 함

- 처리 제한권 [제12,18,19조]

> 정보주체는 자신에 관한 개인정보의 처리를 차단하거나 제한할 권리를 가지며, 개인정보처리가 제한되면 컨트롤러는 그 정보를 보관하는 것만 가능

- 개인정보 이동권 [제12,20조]

> 정보주체나 다른 컨트롤러에게 자신의 데이터를 제공할 것을 요구할 수 있는 권리

- 반대권 [제12,21조]

> 정보주체는 프로파일링 등 본인과 관련한 개인정보의 처리에 대해 언제든지 반대할 권리를 지님

> 컨트롤러는 정보주체에게 최초 고지하는 시점에 반대권에 대한 내용을 다른 정보와 분리하여 분명하게 알려줘야 함

- 프로파일링을 포함한 자동화된 의사결정 [제12,22조]

> 법적 효력을 초래하거나 이와 유사한 중대한 효과를 미치는 사항에 대하여 프로파일링을 포함한 자동화된 처리에만 근거한 인적개입 없는 결정의 적용을 받지 않을 권리

7.4 기업의 책임성 강화

- 기업의 책임성 강화 대책

① DPO(Data Protection Officer) 지정: 법과 실무에 대한 전문적 지식과 업무수행 능력 필요 / 내외부자 모두 가능

② 개인정보 영향평가(DPIA)

③ DPbD(Data Protection by design and by default)

> DPbD의 원칙을 충족하는 내부 정책과 조치를 채택 및 시행_개인정보처리의 최소화, 처리에 필요한 보호조치, 가명처리 등

> 모든 프로젝트의 초기단계에서 개인정보 보호를 중요한 고려사항으로 하고, 라이프 사이클 전반에 걸쳐 개인정보를 보호하는 것을 권장

④ 처리활동의 기록

> 피고용인 250명 이상인 컨트롤러와 프로세서는 GDPR 준수를 입증하기 위해 본인 책임하에 개인정보 처리활동의 기록을 유지하여야 함

> 피고용인 250명 미만이어도, 정보주체의 권리와 자유에 위험을 초래하거나, 민감정보 처리, 유조판결 및 형사범죄 관련 개인정보 처리 시 처리활동 기록이 필요

⑤ 기술적 관리적 보호조치

7.5 DPO 요건

1. 개인정보의 정의

- 개인의 신체, 재산, 사회적 지위, 신분 등에 관한 사실, 판단, 평가 등을 나타내는 일체의 모든 정보

개인정보 보호법 제2조(정의)
1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)

- 개인정보와 구별해야 하는 개념

2. 프라이버시와 개인정보

- 정보주체의 권리는 소극적인 권리인 프라이버시권과 적극적 권리인 개인정보의 자기결정권이 있음

> 프라이버시권: 사생활에 관한 이익을 총칭, 공간 / 개인 / 정보 프라이버시로 나뉨

> 개인정보 자기결정권: 자신에 관한 정보를 보호받기 위해 자신에 관한 정보를 자율적으로 결정하고 관리할 수 있는 권리

3. 개인정보의 유형 및 종류

> 일반정보(이름, 주민번호), 경제정보, 사회정보, 통신정보, 민감정보 등

> 제공정보: 이용자가 회원가입 등 직접 제공하는 정보_회원가입을 위한 신상정보, 본인확인을 위한 제공정보 등

> 생성정보: 서비스를 사용하는 과정에서 생성되는 이용자에 관한 정보_서비스 이용기록, 접속로그, 쿠키 등

4. 개인정보의 특성

> 식별성에 대한 평가기준: Single out(특정 개인만을 분리 가능) / Linkability(2개 이상의 데이터를 연결할 수 있는지 여부) / Inference(추론에 의한 연결 가능 여부)

> 식별성에 따른 분류: 개인식별정보 / 개인식별정보와 결합된 개인식별가능정보 / 개인식별정보와 결합되지않은 개인식별가능정보

> 수집출처에 따른 분류: 이용자로부터 수집한 정보 / 사업자가 생성한 정보 / 공개된 정보를 수집한 정보

5. 개인정보 가치산정

- 가치산정을 통해 개인정보 유출 시 위험 전가 통제수단인 손해배상액을 산정할 수 있음

> 손해배상액 산정

① 개인정보가 유출된 상황을 가정해 유출 시 예측되는 손해배상액을 해당 개인정보의 가치로 간주하는 방식

② 가치 산정이 간편하고 다양한 시나리오 개발을 통해 실제 상황에 대응 가능

③ 산정된 손해배상액을 근거로 위험 전가 통제 구현 가능

④ 상황별 유출 가능한 개인정보항목을 식별할 수 있고, 항목별 중요도 및 개수 매트릭스화 가능

⑤ 예상 손해배상액의 총합 산정 가능

> CVM 가치산정 단계

① 설문조사 대상 및 질의로 대상 식별

② 개인정보의 가치를 투영할 수 있는 대상 구별

③ ①, ②를 통해 확인된 개별 개인정보 항목의 가치를 취합하여 평균값으로 환산

6. 해외 개인정보보호 제도

> 개인정보를 '개인을 식별할 수 있거나 식별가능한 개인에 대한 정보'로 규정하며 전산 정보와 수기 정보를 모두 포함

> 미국은 자율규제 중심이고, EU는 정부규제 중심

> Safe-Harbor 협정

① EU 개인정보보호법 시행으로 적절한 개인정보보호 체계가 없는 국가로의 개인정보 이전이 제한

② 이에, EU 집행위원회와 미국 상무부가 2000년 체결한 개인신상정보 전송에 관한 협정

③ 이를 준수하는 기업은 EU-미국간 개인정보를 공유하는 대신 적합한 보호조치를 취해야함

④ 유럽과의 무역을 원하는 기업은 미국 상무성 세이프 하버에 등록하고, 협정을 준수하면 EU에서 미국으로 전송되는 개인정보를 보호하기 위한 적절한 보호 조치를 취한 것으로 간주

⑤ 협정 주요 내용

참고

1. 개요

- 개인정보보호위원회와 한국인터넷진흥원은 ‘2022년 개인정보보호 및 활용조사’ 결과 발표

> 2022년 개인정보보호 및 활용조사: 국민의 개인정보보호 인식과 개인정보처리자의 개인정보보호 실태 등을 담음

> 국민 대부분이 개인정보 수집·이용·제공 등 처리에 대한 동의 내용을 번거롭다는 이유로 잘 확인하지 않음

> 반대로, 개인정보보호의 중요성에 공감하며 정부에게 교육·홍보 강화와 처벌기준 합리화 및 처벌강화를 요구

2. 개인정보보호 및 활용조사

- 개인정보보호 정책의 효과분석 및 제도 개선을 위한 기초자료로 활용하기 위해 수행하는 조사

- 행정안전부와 방송통신위원회에서 별도로 실시하던 조사를 2021년부터 개인정보위가 통합하여 매년 실시

> 특히, 이번 조사는 통계청의 통계작성 승인 이후 처음 실시한 조사로, 국내 최초 개인정보 관련 국가승인통계로 작성

- 조사 대상은 공공기관 1,000개, 종사자 수 1인 이상 사업체 8,000개, 일반국민 4,000명

2.1 주요내용

① 개인정보보호 담당 인력의 업무 경력

> 공공기관 소속 개인정보보호 담당자의 65.1%가 2년 미만 경력자

> 민간기업은 2년 이상 경력자가 65.7%

② 개인정보 업무수행 시 최대 애로사항 및 필요 정책

- 공공기관

> 애로사항: 인력 부족(78.7%)

> 필요 정책: 인력 개발(58.9%)

- 민간기업

> 애로사항: 관련 법률의 내용을 이해하기 어려움(40.1%)

> 필요 정책: 처벌규정 강화(44.6%)

- 개보위에 따르면 개인정보 유출 규모는 증가하고 있으나, 중징계 등 징계는 약화되고 있어 관련 내용 논의 필요

> 개인정보 유출 규모: 17년 2개 기관, 3만 6천건 → 21년 22개 기관, 21만 3천건

> 중징계 건수: 경징계 186건이고, 중징계는 19건

③ 정보주체 부문 조사 결과

- 개인정보 제공 시 개인정보 수집·이용·제공 등 처리에 대한 동의 내용을 확인하는 경우는 37.8%에 그침

> 확인하지 않는 이유로는 번거로움 37.4% > 내용이 많고 이해하기 어려움 32.7% 순

- 그러나, 국민 86.1%가 개인정보보호가 중요하다고 응답

> 우선되어야할 정부 정책으로는 교육 및 홍보 58% > 처벌기준 합리화 및 처벌강화 46.7% > 전문인력 양성 44.9% 순

④ 개인정보 전송요구권이 다양한 분야에 도입되는 근거가 마련됨에 따른 마이데이터 활용 기대 분야

-  보건‧의료 64.5% > 금융 63.7% > 정보‧통신 56.2% > 교육 27.9% > 고용‧노동 24.9%

> 23.03 개보법 개정으로 개인정보 전송요구권 확대

> 개인정보 전송요구권: 정보주체가 기관·기업 등 개인정보처리자에게 자신의 개인정보를 정보주체 본인 또는 타기관 등에 전송하여 줄 것을 요구할 수 있는 권리

⑤ 개인정보처리자는 마이데이터 서비스 제공 시 애로사항

- 공공기관은 국민 인식 및 홍보 부족 33.9% > 전송인프라 부족 31.7%

- 민간기업은 개인정보 유출사고 위험 72.7% > 전송인프라 구축 25.3%

> 관계 부처의 참여 및 협업과 국민들의 관심이 필요

3. 참고

[1] https://www.korea.kr/news/pressReleaseView.do?newsId=156559788 

1. 카딩 서비스 바이든캐시(BidenCash), 전세계 신용카드 정보 200만건 이상 공개

1. 개요

- 카딩 서비스를 제공하는 바이든캐시에서 260MB의 데이터를 무료 공개

※ 카딩 서비스: 불법 또는 도난 당한 카드 정보를 거래 및 무단 사용을 용이하게 하는 사이버 범죄 웹사이트

- 바이든캐시는 22.10월에도 약 120만건의 카드정보를 공개했으며, 국내 카드정도보 포함되어 있음

2. 주요내용

- 공개된 데이터는 약 220만건으로, 카드정보와 개인정보를 포함

- 카드정보: 카드번호, 유효기간, CVV 번호 등

- 개인정보: 카드 소유자 이름, 이메일, 전화번호, 주소 등

3. 대응방안

- 불법으로 사용되는 카드 정보 FDS 등록 및 사용자 안내 조치

※ FDS(Fraud Detection System):  전자 금융 거래에서 다양하게 수집된 정보를 종합적으로 분석해 의심거래를 탐지하고 이상금융거래를 차단하는 시스템

2. 현대카드 카드정보 유출

1. 개요

- 현대카드에서 일부 회원들에게 ‘[현대카드] 카드정보 유출 관련 안내’ 메일 발송

- 최근 신용카드 카드정보가 일부 온라인 쇼핑몰이나 해외 직구사이트에서 불법 유통되고 있음이 확인

2. 주요내용

- 카드사에서 유출된 것이 아니며, 온라인 쇼핑몰에 피싱 결제 페이지를 삽입하는 해킹 수법을 통해 진행된 것으로 추정

- 카드정보: 카드번호, 유효기간, CVC, 비밀번호 2자리

3. 대응방안

- 불법으로 사용되는 카드 정보 FDS 등록 및 사용자 안내 조치

- 안내 메일을 참고하여 카드 재발급 신청

3. 다크웹에 '업카' 회원 정보 유출

1. 개요

- 박차컴퍼니에서 운영하는 중고차 거래 플랫폼 업카의 회원정보가 다크웹에 유출

- 현대캐피탈과 제휴하여 운영중인 플랫폼

2. 주요내용

- 해킹포럼에 1만6000명여건의 정보를 갖고 있다고 주장하며, 데이터를 판매한다는 게시글이 업로드

- 박차 홈페이지 게시글 "[공지] 박차컴퍼니 해킹에 대한 후속조치 보고서"에 따르면 SQL Injection 공격으로 데이터 탈취 발생

- 게시정보: 담당자명, 업체 주소, 이메일주소, 전화번호, 팩스정보, 사업자번호, 법인번호, 환불계좌

3. 대응방안

- SQL Injection뿐만 아니라 전반적인 웹 해킹을 대응하기 위한 보안 규정 준수 및 모니터링 강화

4. Lockbit 랜섬웨어 국세청 해킹 주장

1. 개요

- 23.03.29 Lockbit 랜섬웨어 조직은 자신들의 사이트에 국세청 해킹 언급

2. 주요내용

- 23.04.01 오후 8시 유출 데이터 공개 예고

- 국세청 전산 관련 부서는 시스템 등을 점검했으나 외부 해킹 흔적을 발견하지 못하였으며, 락빗은 국세청에 금품 등 대가를 요구한 것도 없었음

3. 대응방안

- 랜섬웨어 대응 방안 준수 및 모니터링 강화

5. 쿠팡 개인정보 유출

1. 개요

- 23.01.25 다크웹 해킹포럼 누리집에 쿠팡 거래 정보 판매글 게시

2. 주요내용

- 쿠팡에서 물품 구매 기록이 있는 사람들의 개인정보 46만건이 유출

- 유출정보: 이름, 주소, 전화번호, 상품 거래 정보 등

- 쿠팡이 아닌 오픈마켓 셀러가 주문한 고객 정보를 배송업체에 전달하는 과정에서 일부 정보가 유출된 것으로 판단

※ 쿠팡 입장: 고객이 동의하면 고객 정보가 오픈마켓 판매자에게 이전되는 '개인정보 제3자 제공동의'(개인정호보호법)에 의거 국내 오픈마켓 쇼핑몰 고객 정보는 해당 판매자가 정보 관리를 책임지며, 대부분의 오픈마켓 판매자가 영세하다 보니 관리나 신고가 미흡한 경우가 많음

- 23.03.21 쿠팡은 입장 자료를 통해 "수차례 조사를 통해 다시 한번 확인한 결과 그러한 사실이 전혀 없다" 발표

※ 쿠팡 입장: 개인정보보호위원회: 유출사고 사실관계 확인 중

3. 대응방안

- 해킹 관련 대응 방안 준수 및 모니터링 강화

6. 해외사례

- 인도 최대 민간 은행인 HDFC은행(HDFC Bank)의 자회사로부터 7.5GB, 7300만 건의 데이터를 훔쳐내 공개

※ 유출정보: 이름, 생년월일, 전화번호, 이메일 주소, 대출 세부 정보, 거래 관련 정보 등

7. 참고사항

- 금융사에서는 2차 피해 예방을 위한 조치 필요 - FDS 등 모니터링

- 랜섬웨어, 공급망 공격 등에 대한 대응방안 모색 필요

1. 개요

- 지난달 27일 국회를 통과한 ‘개인정보 보호법’ 개정안이 국무회의에서 의결

- 개인정보 보호법 개정은 2011년 법 제정 이후 처음으로 이뤄진 전면 개정

- 정부가 학계·법조계·산업계·시민단체 등과 2년여의 협의 과정을 거쳐 정비

- 개인정보 보호법개정안은 오는3월 14일 공포되어, 9월 15일부터 시행될 예정

2. 주요 개정 사항

- 전 세계적인 디지털 대전환 추세에 부합하도록 ▴데이터 경제 견인, ▴국민 개인정보 신뢰 사회 구현, ▴글로벌 스탠다드에 부합하는 개인정보 규범 선도 등을 위하여 시급히 필요한 내용을 적용

2.1 마이데이터 확산 및 데이터 경제 성장 견인

- 요약

① 데이터 경제의 확산에 따른 개인정보 자기결정권의 범위 확대 및 개인의 주도적인 데이터 기반 서비스 이용

② 고정형 영상기기에서 이동형 영상정보처리기기의 도입과 활용에 관한 근거 마련

③ 기존 데이터 3법의 단순한 이전 및 병합으로인한 모호성, 중복성 제거, 규제 확대 및 불필요 규제 삭제

- 자신의 개인정보를 보유한 기업·기관에게 그 정보를 다른 곳으로 옮기도록 요구할 수 있는 ‘개인정보 전송요구권’의 일반법적 근거를 신설

> 금융·공공 등 일부 분야에서만 제한적으로 가능했던 마이데이터 서비스가 개인의 뜻에 따라 의료·유통 등 모든 영역에서 보편적으로 이루어질 수 있는 기반을 마련

> 다양한 데이터 간 합종연횡이 가속화하면서 혁신적 스타트업 등 다양한 경제주체가 새로운 데이터 생태계에서 성장을 주도할 것으로 기대

- 이동형 영상정보처리기기가 부착된 자율주행차, 드론, 배달 로봇 등이 안전하게 운행될 수 있도록 합리적인 기준도 마련

> 이동형 영상정보처리기기는 일상생활에서 광범위하게 사용되고 있는 현실과는 달리 명확한 규정 없이 운영

> 이동형 영상정보처리기기를 업무 목적으로 운영할 경우 촬영사실을 명확하게 표시하도록 하는 등 운영 기준을 마련

- 누구든 법을 쉽게 준수할 수 있도록 온·오프라인으로 이원화된 규제체계 개편

> 동일행위에는 동일규제가 적용

> 국민의 권리 보장에 도움이 되는 규정은 모든 분야로 확대하고, 실효성이 낮은 조문은 삭제

2.2 디지털 시대에 적합한 국민의 적극적 권리 강화

- 요약

① 기업의 합리적, 효율적, 책임감 있는 개인정보 수집 및 이용 활성화

② 개인정보 처리방침의 적정성, 이해성, 접근성 등을 평가와 필요에따른 개선권고 도입

③ 인공지능(AI) 도입에따른 정보주체의 권리 침해 방지를 위한 권리 도입

④ 개인정보 분쟁 참여 대상 확대를통한 분쟁의 실효성과 결정에 신뢰를 제공

⑤ 개인정보취급자의 개인정보 사적(불법)이용에대한 처벌 근거 도입

- 디지털 환경에 맞추어 국민이 자신의 권리를 실질적으로 행사할 수 있도록 개편

> 국민과 기업·기관 간 개인정보 처리에 대한 신뢰가 축적될 수 있는 토대를 마련

- 정보주체의 동의에만 과도하게 의존했던 개인정보 처리 관행 개편

> 상호계약 등 합리적으로 예상할 수 있는 범위 내에서는 동의 없이도 개인정보 수집·이용이 가능하도록 정비

> 개인정보위가 기업·기관의 개인정보 처리방침을 평가한 후 개선하여, 자신의 개인정보 처리에 대해 보다 쉽고 정확하게 알 수 있도록 개선

- 인공지능을 활용한 자동화된 결정이 국민에게 중대한 영향을 미치는 경우 이에 대해 거부하거나 설명을 요구할 수 있는 권리 신설

- 아동에게 개인정보 관련 내용을 알릴 때에는 이해하기 쉬운 양식·언어 사용 의무를 온라인 분야에서 모든 분야로 확대

> 국가·자치단체의 아동 개인정보 보호 시책 의무를 명확히함

- 개인정보 분쟁조정 절차에 참여 의무를 공공기관에서 전체 개인정보처리자로 확대

> 분쟁조정을 위해 사실확인이 필요한 경우 사실조사 근거를 마련하는 등 분쟁해결을 위한 제도도 정비

2.3 글로벌 스탠다드에 부합하는 법제도 정비

- 요약

① 개인정보 국외이전의 필요성 증가에따라 해외 법과의 상호 운용성 강화 및 중지권 도입으로 안전성 강화

② 과도한 형벌에따른 개인정보업무담당자의 업무 부담과 업무회피 등의 문제 해소를 위한 실효성있는 처벌 규정 도입

- 전세계적으로 데이터가 차지하는 중요성이 점점 높아지고 있는 상황

> 글로벌 스탠다드에 부합하고 개인정보 국제 규범을 선도할 수 있도록 국외이전, 과징금 제도 등을 정비

> 개인정보를 국외로 이전하려면 정보주체의 동의 필요

> 동의 외에도 계약·인증·적정성결정 등으로 국외이전 요건을 다양화해 글로벌 규범과의 상호운용성을 확보

> 해당 국가가 개인정보를 적정하게 보호하고 있지 않다고 판단되는 경우 국외이전 중지를 명령할 수 있는 근거도 마련

- 개인정보 보호 책임을 과도한 형벌을 경제벌 중심으로 전환

> 글로벌 스탠다드와 달리 개인정보 보호 책임을 기업보다는 담당자 개인에 대한 형벌 위주로 규율

> 과징금 상한액은 글로벌 수준에 맞추어 전체 매출액의 3% 이하로 조정

> 산정 때 위반행위와 관련 없는 매출액은 제외하도록 해 비례성과 효과성을 모두 확보

- 공공·민간의 개인정보 보호체계 강화

> 매년 공공기관의 개인정보 보호 수준을 평가할 수 있는 근거 포함

> 개인정보 침해 발생 위험성이 높고 효과적인 대응이 필요한 경우 사전에 실태점검을 할 수 있는 근거 포함

3. 참고

[1] https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020000000&nttId=8674#LINK 

[2] https://www.dailysecu.com/news/articleView.html?idxno=144134 

[3] https://n.news.naver.com/article/018/0005437894?cds=news_my_20s 

[4] https://www.boannews.com/media/view.asp?idx=114945&page=1&kind=2 

제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지) 

① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.

1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실

② 제1항에도 불구하고 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다. <신설 2016. 3. 29.>

③ 제2항 본문에 따라 알리는 경우 정보주체에게 알리는 시기ㆍ방법 및 절차 등 필요한 사항은 대통령령으로 정한다. <신설 2016. 3. 29.>

④ 제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다. <개정 2016. 3. 29.>
1. 고지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우
2. 고지로 인하여 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

제19조(개인정보를 제공받은 자의 이용ㆍ제공 제한)
개인정보처리자로부터 개인정보를 제공받은 자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다.
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우

제18조(개인정보의 목적 외 이용ㆍ제공 제한)

① 개인정보처리자는 개인정보를 제15조제1항 및 제39조의3제1항 및 제2항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다. <개정 2020. 2. 4.>

② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 

다만, 이용자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 처리하는 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)의 경우 제1호ㆍ제2호의 경우로 한정하고, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다. <개정 2020. 2. 4.>
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 삭제 <2020. 2. 4.>
5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의ㆍ의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
8. 법원의 재판업무 수행을 위하여 필요한 경우
9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

③ 개인정보처리자는 제2항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다)
3. 이용 또는 제공하는 개인정보의 항목
4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

④ 공공기관은 제2항제2호부터 제6호까지, 제8호 및 제9호에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 보호위원회가 고시로 정하는 바에 따라 관보 또는 인터넷 홈페이지 등에 게재하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>

⑤ 개인정보처리자는 제2항 각 호의 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다. 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 한다.