> 메일로 수신한 계정 정보 확인 결과 PW가 평문으로 노출되어 있었고, KISA에 1차 문의 진행
[사진 1] 평문으로 노출된 PW
답변 요약
- 개인정보 보호법 제29조(안전조치의무) > 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
- 개인정보 보호법제29조를 근거하여 시행령 제16조제2항, 제30조 및 제30조의2에서 다음의 기준을 정함 > 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손 되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하고 있음
- 개인정보의 안전성 확보조치 기준에서의 비밀번호 > 정보주체 및 개인정보취급자 등이 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보 > 제7조 제1항: 개인정보처리자는 비밀번호, 생체인식정보 등 인증정보를 저장 또는 정보통신망을 통하여 송·수신하는 경우에 이를 안전한 암호 알고리즘으로 암호화 > 제7조 제4항: 개인정보처리자는 개인정보를 정보통신망을 통하여 인터넷망 구간으로 송·수신하는 경우에는 이를 안전한 암호 알고리즘으로 암호화
- 정보통신망을 통한 개인정보 암호화 전송을 위해 프로토콜이 탑재된 기술을 활용하거나, 개인정보를 암호화 저장한 후 이를 전송하는 방법 등을 사용할 수 있으며 만약 암호화 응용프로그램 대신하여 보안서버를 구축하고 있다면 이를 본 법률에 저촉된다고 보기는 어려울 것 > 단, 개인정보의 기술적 관리적 보호조치 기준 제6조제3항에 따른 보안서버를 구축하고 있지 않은 경우 문제의 소지가 있을 수 있음
- 문의 시 제출한 증적자료를 바탕으로 조사 착수 여부에 대해 검토 > 단, 신고서가 누락된 경우 상담으로 처리되므로, 검토를 원하는 경우 접수방법을 참고하여 접수 권고
2. 계정 정보 평문 노출 관련 1차 신고
- 위 내용과 관련하여 KISA에 개인정보 침해 신고 접수
> 추가로, 도서 문의 후 계정 탈퇴를 진행하였으나 즉각 삭제가 아닌 일정 시간 후 삭제되어 관련 내용에 관한 문의 진행
> 삭제 후 일정 시간 동안 계정 찾기를 통해 ID/PW를 찾을 수 있었으며, 마찬기지로 PW가 평문으로 노출되어 수신
> 개인정보 삭제 요구와 관련된 답변을 수신 하였으며, 비밀번호 평문 노출 관련 신고를 권고
※ 개인정보 침해 또는 노출 신고 시 해당 내용만을 양식에 맞추어 신고할 필요가 있음을 인지
답변 요약
- 개인정보 보호법 제36조(개인정보의 정정·삭제) > 제1항: 자신의 개인정보의 열람을 요구한 정보주체는 그 개인정보의 정정 또는 삭제를 요구할 수 있음 > 제2항: 제1항에 따른 정보주체의 요구를 받은 개인정보처리자는 다른 법령에 특별한 규정이 있는 경우를 제외하고는 정보주체의 요구에 필요한 조치를 하여야 함 > 제6항: 제1항·제2항에 따른 정정 또는 삭제 요구 통지 방법 및 절차 등에 필요한 사항을 시행령 제43조(개인정보의 정정·삭제 등)로 정하고 있음
- 개인정보 보호법 제36조 제6항을 근거하여 시행령 제43조(개인정보의 정정·삭제 등) 제3항 > 개인정보의 정정·삭제 요구를 받은 개인정보처리자는 요구를 받는 날로부터 근무일 기준 10일이내에 조치 하도록 규정 > 따라서, 삭제 요구 후 기간 내 조치한 경우 위반의 소지가 있다고 보기는 어려움
- 개인정보의 삭제로 인하여 관련 자료의 첨부가 어려움 > 침해받은 자에 해당함을 입증할 수 없으나 개인정보 보호법 위반의 소지가 있고, 제3자가 개인정보의 권리 또는 이익을 현저히 침해받을 우려가 있음 > 따라서, 신고를 원하는 경우 공익신고자 보호법에 따른 공익신고에 해당하므로 개인정보보호위원회로 신고 권고
3. 계정 정보 평문 노출 관련 2차 신고
- 개인정보보호위원회로 신고 및 KISA로 민원 이송 답변
답변 요약
- 안전조치의무 위반 등 개인정보 침해신고 관련 내용 > 개인정보보호법 제62조(침해 사실의 신고 등) 및 시행령 제59조(침해 사실의 신고 등)에 따라 개인정보보호법 침해사실을 접수 및 조사할 수 있도록 한국인터넷진흥원으로 이송
4. 계정 정보 평문 노출 관련 3차 신고
- KISA로부터 해당 민원은 이전 개인정보 노출 신고건과 동일한 건으로 침해신고센터에서 검토 진행 안내 메일 수신
> KISA 개인정보침해신고센터로부터 안전조치 의무 시행(비밀번호 암호화) 관련 신고 접수 안내 메일 수신 후 대기 중
- 국제표준암호 적용, 망분리 개선, 개인정보보호법 시행령 개정안 시행 - 26년 표준암호 도입, 25년 망분리 정책 폐기 및 26년 MLS 도입, 9.15 개보법 시행령 개정안 시행
내용
① 26년부터 전 공공분야에 국제표준암호 허용 - 05년 암호모듈 검증 제도(KCMVP) 시행 당시 SEED, ARIA, HIGHT, LEA만 허용 > 외국에서 개발한 암호에 대학 해독 우려가 있어 나온 조치 > 보안 환경의 변화로 국제화와 범용성을 고려해 글로벌 표준 허용 의견이 대두되면서 AES 허용 논의 시작
- 국정원, KCMVP에 AES 허용 방안 검토 > AES 안정성 충분한 입증, 경제적 효과, 산학역 전문가 의견 등을 고려 > 14년 논의된 바 있으나 외산 암호에 대한 불신·암호 산업 및 학계에 대한 보호 등을 이유로 성사되지 않음 > 22년 IoT, 자율주행차량 등에 AES 활용도가 높아져 연구용역 결과 AES 허용이 필요하다는 결론 도출 > 산업계 및 시험기관의 준비기간을 도려 26년 01월부터 시행할 예정 > 25년 07월까지 가이드라인과 자가시험도구를 새롭게 개발해 배포할 예정이며, 시험기관을 추가 지정해 검증수요 증가에 대비
=================================================================================== ② 망분리 정책 폐기 및 MLS 로드맵 공개 - 다중보안체계(MLS) 내년부터 도입 > 기존 망분리 정책은 AI 등 신기술을 활용할 수 없게 막아옴 > 업무 중요도에 따라 적절한 보안 조치를 갖추면 외부 인터넷 망과 연결해 업무를 볼 수 있도록 함
- 기존 망분리 정책 > 업무망에서는 인터넷을 사용할 수 없게 차단하고, 업무망과 분리된 별도의 PC를 사용해 인터넷에 접속 > 보안성은 우수하나, AI 클라우드 기반 소프트웨어(SaaS) 등 신기술 활용의 어려움과 공공 데이터 공유 활성화를 어렵게 하는 지적
- 국정원, 망분리 대안으로 MLS 로드맵 공개 > MLS: 시스템을 기밀(C), 민감(S), 공개(O) 등급으로 분류 후 등급별 차등적 보안통제를 적용해 보안성 확보 및 인터넷 단절 없는 업무 환경 구현을 목표 > 업무 정보의 C·S·O 등급분류 기준 ⒜ 기밀·민감 정보: 정보공개법과 공공데이터법 등에 따라서 각급 기관이 지정한 비공개 정보 ⒝ 공개 정보: 기밀·민감 정보 이외에 것과 민감 정보 중에서도 가명 처리한 것 > 업무 정보가 운영되는 시스템의 등급 기준: 여러 등급의 정보가 섞여 있을 경우 상위 등급 기준으로 시스템 기준을 분류한다는 원칙
- 전환 계획 ⒜ 올해까지 MLS 기반 구체화하고 내년부터 시행 및 고도화해 26년부터 전환 가속화 ⒝ 국가정보보안기본지침과 MLS 관련 가이드라인 개정·제정 및 내년 상반기 전 국가 공공기관 대상 지침 공표 ⒞ MLS 도입으로 영향 받는 공공 보안 제도와 CSAP(클라우드 보안인증) 재정비 > 내년 상반기까지 현행 CSAP의 상·중·하 보안 기준을 CSO 개념으로 재정립: 인증 반복을 없애고 간소화 > 공공기관별로 보안 등급을 나눈 현행 공공 보안검증 제도도 CSO를 적용해 일괄 정비
=================================================================================== ③ 개인정보보호법 시행령 개정안 09.15 시행 - 동의를 받아 개인정보를 수집·이용에 관한 보호법 시행령(이하 영) 규정(영 §17①)이 시행될 예정 > 99년 정통망법 개정 후 서비스 제공시 정보주체 동의를 받아야 했음 > 서비스 제공 계약에 필요해도 정보주체 동의 필요 등 문제가 존재 > 11년 개보법 제정 후 계약 체결과 이행을 위해 불가피한 경우 외에는 필수 동의 관행이 지속 > 23년 개보법 개정을 통해 신뢰에 기반할 경우 별도 동의 없이 개인정보를 이용할 수 있도록하고, 동의가 꼭 필요한 경우에 한정해 명시적인 동의를 받도록 개선
- 주요 내용 ⒜ 동의를 받을 때 충족해야 하는 사항(시행령 제17조제1항) > 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것 > 동의를 받으려는 내용이 구체적이고 명확할 것 > 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것 > 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것
⒝ 개인정보 수집·이용시 동의 여부 및 방법 안내 > 서비스 이용계약 관련 개인정보는 동의 없이 수집·이용 > 서비스 이용계약과 관련 없는 개인정보는 동의원칙 준수 > 계약 관련 개인정보와 그 외 개인정보가 포함된 경우 분리 조치 > 민감정보·고유식별정보의 경우 서비스에 불가피한 경우 필수동의
- 개선 계획 > 현장의 혼선이 없도록 개인정보 처리 통합 안내서 발표 예정
기타
- AES 허용 이점 > 국내 업체의 수출 경쟁력 강화 > 개발 편의겅 증대 > 무역장벽 논란 해소
- MLS 전환 전망 > 국가 공공기관 시스템에 AI와 클라우드가 연계되어 업무 효율성 제고 및 우수한 공공 서비스 개발
- 개인정보 처리 통합 안내서 > 개인정보보호원칙, 수집·이용·제공, 파기, 동의받는 방법, 위·수탁 등 개인정보 처리 단계별로 준수해야 하는 사항을 사례 중심으로 종합적으로 제시할 계획
* 행안부, 방통위, 금융위의 개인정보 보호 기능을 개인정보보호위원회로 통합, 망법 관련 규정의 이관, 가명정보 개념 도입 및 안전한 결합, 활용 등
- 데이터 3법 개정 국회 논의 시, 인공지능과 빅데이터 등 변화하는 환경에서 약화될 우려가 있는 국민의 정보주권 강화는 유보
> 데이터 시대로의 전화에 대응해 현실과 괴리된 불합리한 과제*가 존재
> 따라서, 데이터 경제 활성화의 장애 요인으로 작용할 우려
* 필수적 사전 동의 제도, 경직된 국외 이전 요건, 온-오프라인 규제 이원화 등
- 개보법 제정이래 민관산학의 의견을 반영한 첫번째 정부안
> 국민 신뢰 기반의 디지털 대전환을 선도하는 법적 기반 마련
[사진 1] 개인정보호법 개정 의의
1.1 개보법 시행에 따른 하위 법령 개정 방향
- 23.09.15 시행되는 후속 시행령 및 고시 등을 우선적으로 개정
- 24.03 이후 시행 예정인 개인정보 전송요구권, 자동화된 결정에 대한 정보주체 권리 등은 사전 준비 후 시행시기에 맞추어 순차적으로 개정
2023.09.15 시행 (1차)
2024.03.15 이후 시행 (2차)
① 정보통신서비스 특례 정비, 이동형 영상기기 규정 ② 동의 받는 방법 및 추가적인 이용, 제공 ③ 개인정보 처리방침 평가제, 분쟁조정제도 절차 ④ 공공시스템운영기관 특례 등 안전성 확보조치 ⑤ 국외 이전 및 중지 명령 ⑥ 과징금 부과기준, 공표명령 등
① 자동화된 결정에 대한 정보주체의 권리 ② 공공기관 개인정보 보호 수준평가 ③ 개인정보 보호책임자의 업무 및 자격요건 ④ 손해배상의 보장 대상 범위 및 기준 ⑤ 개인정보 전송요구권 관련 규정
2. 주요내용
2.1 디지털 경제 성장 견인
항목
구분
설명
이동형 영상정보처리기기 규정 마련
필요성
기존은 고정형 영상기기(CCTV)만을 규율 > 이동형 영상정보처리기기의 특성에 맞는 기준제시에 한계 > 현재 이동형 영상기기를 통한 개인정보 수집, 이용 시 일반 규정이 적용 > 따라서 정보주체의 개별적 동의를 요하는 등 산업적 측면에서 유연한 대처에 한계
개정내용
공개된 장소 등에서 업무 목적으로 이동형 영상정보처리기기를 이용하여 개인영상정보를 촬영하는 행위는 윈칙적으로 제한 > 개인정보 수집, 이용 사유에 해당하거나, 정보주체가 거부의사를 밝히지 않은 경우 예외적 허용 > 촬영을 하는 경우 불빛, 소리, 안내판, 서면, 안내방송 등으로 촬영 사실 표시
시행령
규정 신설 > 이동형 영상기기의 구체적인 범위 > 목욕실/화장실 등에서 영상기기 운영 제한의 예외 사유 > 촬영 사실 표시에 대한 방법 등
기대효과
모빌리티 시대 신산업 육성을 위한 이동형 기기 운영의 법적 근거 마련
온-오프라인 규제 일원화
필요성
데이터 3법 개정 시, 정보통신망법의 정보통신서비스 제공자 대상 개인정보 보호 관련 규정을 특례 규정으로 단순 이전 및 병합 > 온-오프라인 서비스의 경계가 모호함 > 오프라인 규제(일반 규정)와 온라인 규제(특례 규정)의 이원화: 기업의 법 적용 혼선 및 이중 부담이 발생
개정안
특례규정을 일반 규정과 일원화 > 모든 개인정보처리자 대상 동일행위-동일규제 원칙 적용 > 규정통합(유사 및 중복 규정은 일반 규정으로 통합, 정비) > 적용확대(특례 규정에만 존재하는 내용은 일반 규정으로 전환)
시행령
① 수집 출처 통지 및 이용, 제공 내역 통지 제도 정비 > 개인정보 보유량 기준으로 일원화 > 수집 출처 통지와 이용, 제공 내역 통지를 함께 통지 할 수 있도록 합리적 개선 > 이용, 제공 내역 통지가 모든 개인정보처리자로 확대됨에 따라 적용 대상을 조정 > 통지하는 방법에 개별적으로 정보주체에게 쉽게 알릴 수 있는 방법으로 다양화
② 안전성 확보 조치 중복 규정 일원화 > 일반규정(영 제30조)과 정보통신서비스제공자 특례규정(영 제48조의2)의 통합 > 안전조치를 위한 다양한 기술이 도입될 수 있도록 기술 중립적으로 정비 > 기술발전 및 다양성을 고려하여 개인정보처리시스템의 개념 및 정의 정비
③ 유출 통지 및 신고 중복 규정 일원화 > 개인정보 유출 사실을 알게 된 경우 72시간 이내 정보주체에 통지, 개인정보위(또는 KISA)에 신고 > 신고 시 개정 법률에서 개인정보 유형, 유출 경로 및 규모 등을 고려하도록 규정
④ 국내대리인 지정 > 국내대리인 지정 규정을 일반 규정으로 전환함에 따라 지정 대상자의 범위를 조정
⑤ 유효기간제 규정 삭제 > 정보통신서비스를 1년 이상 이용하지 않은 경우 파기 또는 별도 분리 저장하도록 한 규정 삭제
기대효과
데이터 3법 개정 시 단순 통합한 특례를 디지털 시대에 맞게 일반규정으로 전환 > 국민과 기업의 법 적용상의 혼란과 이중부담 해소
2.2 디지털 시대에 적합한 국민의 적극적 권리 강화
항목
구분
설명
형식적 동의제도 개선
필요성
사전동의 제도에 대한 과도한 의존으로 형식적 동의 및 동의 만능주의 관행 지속 > 필수적으로 동의해야만 서비스 이용 가능 및 실체적 통제 미흡
개정내용
동의제도 개선 > 정보주체의 실질적 동의권 보장,기업 등의 합리적인 개인정보 수집, 활용 지원 목적 > 특례 규정의 필수동의 규정을 정비, 동의 이외의 개인정보 적법 처리요건 활성화 > 공중위생 목적인 경우도 수집, 이용 요건 추가 > 국민 생명 등 보호를 위해 급박한 경우 유연하게 대응할 수 있도록 처리 요건 개선
시행령
필수동의 관행 개선 > 유효한 동의 기준 명확화 > 동의 없이 처리할 수 있는 개인정보에 대하여는 법적 근거를 구분해 처리방침에 공개 > 동의를 받으려면 정보주체의 자유로운 의사에 따르도록 하는 동의 원칙 구체화 > 정보주체가 동의 여부를 선택 할 수 있다는 사실을 구분하여 표시
기대효과
정보주체가 적정한 정보를 제공받아 실질적으로 선택할 수 있는 환경 마련
개인정보 처리방침 평가제 도입
필요성
국민의 개인정보 처리에 관한 법정 고지 사항을 담은 개인정보 처리방침 > 이에 대한 내용의 적정성 및 구체성, 판단기준 미비 등 실체적 통제 미흡
개정안
개인정보 처리방침 평가제 도입 > 개인정보 처리방침의 적정성을 평가하고, 결과 개선이 필요하다고 인정하는 경우 개선을 권고 > 처리방침 작성지침 준수 여부 > 정보주체가 이해하기 쉽게 작성했는지 여부 > 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부 등 평가 개인정보처리자의 유형 및 매출액 규모, 처리하는 개인정보의 유형 및 규모, 처리 근거 및 방식 등을 종합적으로 고려하여 평가 대상을 선정할 수 있도록 규정
기대효과
개인정보처리자의 자율에 맡겨진 개인정보 처리방침에 대한 명확한 판단 기준 제시 > 처리방침 제도의 실질화 및 정보주체의 통제권 강화
개인정보 분쟁조정 제도 개선
필요성
개인정보 권리침해 시, 소송에 앞서 개인정보 분쟁조정위원회의 조정을 통해 신속하게 구제하는 분쟁조정제도 운영 > 조정신청 시 의무적으로 응해야 하는 기관은 공공기관에 한하며, 분쟁조정위에 사실 확인을 위한 조사권이 없어 적극적 조정에 한계
개정안
분쟁조정 요청 시, 의무적으로 응해야 하는 대상을 공공기관에서 모든 개인정보처리자로 확대 > 분쟁조정 관련 사실 확인이 필요한 경우 현장출입 및 자료조사 등 사실조사에 대한 법적근거를 명확히 규정 > 당사자가 조정안에 대한 수락 여부를 알리지 않을 경우 거부로 간주하던 것에서 수락으로 간주하는 것으로 기준 전환
기대효과
개인정보처리자의 조정 참여 확대 > 분쟁조정의 실효성을 확보 > 정확한 사실관계 확정으로 분쟁조정의 심의, 결정에 대한 신뢰 제고
개인정보의 사적 목적 이용 금지
필요성
개인정보취급자의 개인정보 사적 이용에 대한 제재 근거가 없어 사적으로 개인정보를 이용한 경우에도 처벌 곤란 > 개인정보의 불법 사적 이용은 중대한 범죄행위로 수사 및 형사처벌 대상이나 기존 법에는 처벌 근거가 없음
개정안
제59조 제3호 금지행위 규정 > 정당한 권한 없이 허용된 권한을 초과하여 타인의 개인정보를 이용하는 행위를 추가
기대효과
개인정보를 사적으로 무단 이용하는 것을 방지 > 정보주체의 개인정보 침해에 따른 피해 최소화
공공분야 개인정보 처리의 안전성 강화
필요성
공공부문에서 계속되어 온 개인정보 침해사고 근절을 위해 공공부문 안전조치 의무 강화, 개인정보파일 등록 대상 확대, 개인정보 영향평가 강화 등 필요
시행령
국민의 개인정보를 대규모로 처리하고 있는 공공기관 > 공공시스템 안전조치 강화, 개인정보파일 등록 정비, 개인정보 영향평가 결과 공개 등을 통해 안전성과 투명성 강화
① 주요 공공시스템을 운영하는 기관 등에 대해 안전조치 기준 강화 (24.09.15 시행) > 공공시스템 운영기관과 이용기관이 접근 권한을 체계적으로 관리 할 수 있는 근거 마련 > 접속기록 분석, 전담인력 등 배치, 시스템 관리책임자 지정 등 안전조치 의무 강화 > 권한의 범위를 초과하여 접근한 사실이 확인 될 경우 지체없이 정보주체에게 통지 등
② 공공기관의 개인정보파일 등록 대상 정비 > 내부적 업무처리 목적인 경우라도 일시적으로 처리되는 경우 등 관리의 필요가 없는 경우에만 등록 예외로 규정
③ 공공기관의 개인정보 영향평가 결과(요약본) 공개 근거 마련 > 개인정보 영향평가서 요약본을 공개할 수 있도록 하여 개인정보 처리의 투명성 강화
2.3 글로벌 스탠다드에 부합하는 법 제도 정비
항목
구분
설명
개인정보 국외이전 요건 다양화 및 보호조치 강화
필요성
국경 없는 온라인 상거래 확대 등으로 개인정보의 국외 이전 필요성이 증가 > 기존 법은 개인정보를 국외로 이전하기 위해서는 정보주체의 별도 동의 필요
개정내용
해외 법제와 상호 운용성 강화 > 동의 이외의 국외이전 적법 요건 다양화 및 중지명령권을 신설하여 보호조치 강화 > 요건 다양화: 개인정보보호 인증을 받은 경우, 이전되는 국가 또는 국제기구의 개인정보 보호 수준이 보장된다고 인정하는 경우 등으로 다양화 > 보호조치 강화: 법 위반 또는 이전 국가 등이 개인정보를 적정하게 보호하고 있지 않아 정보 주체에게 피해가 발생할 우려가 현저한 경우 등에 해당할 때 개인정보처리자에 대한 국외이전 중지 명령권 신설
시행령
-국외 이전에 관한 전문적인 검토 및 심의를 위해 국외이전전문위원회를 운영 -개인정보 보호 인증 및 국가 인정에 대한 절차 및 기준 등을 시행령에 마련 -국외 이전 중지명령의 기준과 이의 제기 절차 등 세부적인 규정을 시행령에 마련
기대효과
- 개인정보 국외이전 요건을 다양화하여 법의 유연성을 제고 - 중지명령권으로 국외이전에 따른 안전망 강화
형벌 중심을 경제제재 중심으로 전환
필요성
경미한 위반사항까지도 형벌을 규정함 > 개인정보 업무담당자의 과중한 부담 및 업무회피 초래 > 과징금의 경우 위반행위 관련 매출액의 3% 이하로 상한액을 정하고 있어 글로벌 입법 추세에 맞춘 실효성 제고 방안 필요
개정내용
개인에 대한 형벌을 기업에 대한 경제 제재 중심으로 전환하여 실효성 제고 > 형벌 정비: 일반규정에 맞추어 정비, 과도한 형벌규정 삭제, 과징금 상한 및 대상 확대 > 과징금 확대: 개인정보처리자로 확대, 과징금 상한액 기준 변경 (전체 매축액 3% 이하) > 과징금 산정: 위반행위와 관련 없는 매출액은 제외
시행령
과징금이 위반행위에 비례하도록 산정되도록 함 > 중대하고 의도적인 위반행위에 대하여는 엄중한 과징금 > 경미한 위반행위에 대하여는 면제가 가능하도록 산정기준을 개편 > 과징금 산정 기준 금액을 결정하는 비율을 정할 때, 위반행위의 중대성 정도에 따라 4구간-구간內 비율선택 방식으로 전환 > 부담능력 등을 감안하여 과징금 납부기한을 2년의 범위 내에서 연기할 수 있도록 > 분할하여 납부할 수 있는 근거 마련
기대효과
개인정보 보호에 대한 책임을 담당자 개인에 대한 형벌 중심에서 기업에 대한 경제적 책임으로 전환 > 기업 차원의 투자를 촉진하고 불법행위에 대한 실효성 있는 억지력을 확보
2.4 2024.03.15 이후 시행
항목
구분
설명
개인정보 전송요구권 도입
필요성
데이터 경제 활성화로 개인정보가 대량 수집, 유통 > 정보주체는 본인정보를 자기주도적으로 유통, 활용하는데 한계 > 일부 분야에서 개인정보 전송요구권 근거를 마련하여 마이 데이터 사업을 추진하고 있으나, 분야별 추진 방식에 대한 개선 필요
개정내용
국민이 자신의 개인정보를 본인 또는 제3자에게 전송을 요구할 수 있는 일반적 권리로서 개인정보 전송요구권 신설 > 전송 방법, 전송 요구의 거절 및 전송 중단의 방법 등 구체적 사항은 시행령으로 위임
기대효과
국민 개개인이 데이터의 진정한 주인 > 마이데이터 제도를 통해 데이터에 기반한 다양한 서비스를 주도적으로 이용 > 다양한 비즈니스 기회가 창출되어 데이터 경제 시대 신성장을 위한 기틀 마련
자동화된 결정에 대한 정보주체의 권리 도입
필요성
인공지능 등 신기술 발전에 따라 자동화된 결정이 광범위하게 활용되면서 새로운 프라이버시 이슈 제기 > 개인 의사에 반한 자동화된 결정으로 개인의 권리가 침해되지 않도록 정보주체의 대응권 보장 필요
개정내용
완전 자동화된 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우 정보주체에게 거부권, 설명 등 요구권 부여 > 개인정보처리자는 정보주체의 권리행사가 있으면 자동화 결정의 적용 배제, 인적 개입에 의한 재처리, 설명 등 조치 의무를 규정
기대효과
인공지능 등 신기술 발전에 대응하여 자동화된 결정 과정 및 결과에 대한 투명성을 높이고 정보주체인 국민의 대응권을 보장
- 데일리시큐 "[진단] 국민의힘·더불어민주당·정의당, 입법부 대표 정당들의 개인정보보호 민낯"
> 개인정보 처리방침 문구에 대한 강조가 되어있지 않음
> 이전 개인정보 처리방침 변경 내용 확인 불가
> 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는 기능 없음
> 개인정보 처리방침 문서 내 '개인정보 취급방침' 용어 사용
> 개인정보 수집항목 관련 필수항목과 선택항목을 구분해 고지하지 않음
- 관련하여 지자체, 금융, IT, 의료, 교육 등 여러 사이트의 개인정보 처리방침을 확인
> 기사에서 언급된 문제점 또는 추가적인 문제점이 있는지를 검토
2. 주요내용
- 모공제조합 개인정보 처리방침의 내용에서 문제점으로 판단되는 총 5가지 항목 확인
- 국민신문고를 통해 개인정보보호위원회에 문의 진행
2.1 가시성 문제
- 개인정보 처리방침의 조항별 글씨 크기 및 글씨체의 차이를 보여 가시성이 떨어짐
[사진 1] 글씨 크기 차이 문제점
- 「개인정보 보호법」 제30조는 개인정보처리자에게 개인정보 수립·공개의무를 부과
> 제4항에 따라 보호위원회는 「개인정보 처리방침 작성지침」을 제공
「개인정보 보호법」 제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. <개정 2016. 3. 29., 2020. 2. 4.> 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항 6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다) 8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항 ② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. ③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다. ④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
개인정보 처리방침 작성지침
개인정보처리자는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항을 명시적으로 구분하여 작성해야 하며, 개인정보 처리 현황을 투명하고 구체적으로 수립 및 공개하여야 함
개인정보 처리방침은 누구나 이해하기 쉬운 명확하고 평이한 언어로 안내하여야 하며, 특히 해외사업자의 경우 국내이용자가 이해할 수 있는 쉽고 명확한 한글로 정보를 제공하여야 함
- 이에 따른 답변은 다음과 같음
① 「개인정보 보호법」 제30조 제4항에따라 보호위원회는 「개인정보 처리방침 작성지침」을 정하여 그 준수를 권장할 수 있음
② 즉, 권장 사항이므로 권장 내용을 따르지 않았다고 해서 처벌의 대상이 되지 않음
③ 단, 법에 따른 필수 작성항목을 법령에 따라 적정하게 작성하고 있어야함
- 개인정보 처리방침이란 개인정보처리자의 개인정보 처리 기준 및 보호조치 등을 작성하여 문서화한것을 말함
> 「개인정보 보호법」 제30조 제2항에따라 정보주체가 확인하기 쉽게 공개할 것을 의무화
> 또한, 개인정보 처리방침의 목적은 개인정보 처리의 투명성을 높이고, 정보주체에게 자신의 개인정보가 어떻게 처리되고 있는지 처리방침을 통해 상시적으로 확인 및 비교하도록 하여 개인정보 자기결정권을 보장하기 위함이라고 생각함
- 해당 목적을 달성하기 위해서는 개인정보처리자가 정보주체로 하여금 이해하기 쉽도록 작성하는것을 보장하도록 할 필요가 있음
> 법에서 명시한 내용을 문서에 모두 포함하였다고 하여도, 내용 작성 방식의 문제로 인해 정보주체가 쉽게 확인 및 이해하지 못하는 문제가 충분히 발생할 수 있을 것으로 생각되기 때문
2.2 열람요구서, 위임장 등 다운로드 기능 부재
- 데일리시큐의 기사에서는 열람요구서, 위임장 등을 다운로드할 수 있는 기능이 없음을 문제점으로 지적
> 확인 결과 일부 사이트의 경우 다운로가 아닌 해당 파일이 위치한 경로 또는 법 별지 서식 이용 안내
- 공제조합 또한 별지 서식이용을 안내하고 있음
> 따라서, 단순히 다운로드 기능이 없다고 해서 문제점으로 지적하는 것은 합당하지 않다고 판단하여 문의 진행
- 이에 따른 답변은 다음과 같음
> 열람요구서 및 위임장 다운로드 기능과 관련하여, 개인정보 처리방침에 포함하는 것을 의무화하지 않음
> 개인정보 처리자의 자율에 맡겨진 사항
- 정보주체는 개인정보처리자가 처리하는 자신의 개인정보를 열람한 후 정정 또는 삭제를 요구할 수 있음
> 해당 과정을 처리하는 방식이 업종별로 상이할 수 있겠지만, 정보주체의 권리를 보장하기 위해 통일된 방식을 사용하는 것이 좋을것 같음
2.3 개인정보보호법 시행규칙 단어 사용
- 개인정보보호법에서 행안부령(행정안전부)으로 정하던 사항을 개인정보보회위원회가 정하여 고시하도록 개인정보보호법이 개정됨
> 따라서, "개인정보보호법 시행규칙" 단어를 삭제하거나 다른 단어로 정정되어야 할 것임
- 공제조합은 개인정보보호법 시행규칙을 아직 사용하는 것으로 확인
[사진 2] 개인정보보호법 시행규칙 사용
- 이에 따른 답변은 다음과 같음
> 기존의 「개인정보 보호법 시행규칙」 은 현재 「개인정보 보호 처리 방법에 관한 고시」 로 변경
> 용어의 변경이 필요함
- 관련 내용은 23.09.15부터 시행되는 개인정보보호법에 의거 개선될 것으로 기대됨
제30조의2(개인정보 처리방침의 평가 및 개선권고)
① 보호위원회는 개인정보 처리방침에 관하여 다음 각 호의 사항을 평가하고, 평가 결과 개선이 필요하다고 인정하는 경우에는 개인정보처리자에게 제61조제2항에 따라 개선을 권고할 수 있다. 1. 이 법에 따라 개인정보 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지 여부 2. 개인정보 처리방침을 알기 쉽게 작성하였는지 여부 3. 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부 ② 개인정보 처리방침의 평가 대상, 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다. [본조신설 2023. 3. 14.] [시행일: 2023. 9. 15.] 제30조의2
2.4 개인정보 수집 항목 관련 필수 및 선택 항목 미분류와 과다수집
- 「개인정보 보호법」 제3조 제1항에서 목적에 필요한 최소한의 개인정보만을 적법하고 정당하게 수집하도록 지정
> 작성지침에서는 수집목적에 필요한 최소한의 정보(필수항목)와 그 외의 정보(선택항목)을 구분하여 기재 안내
* 다만, 선택항목을 따로 두지 않고 필수항목만을 수집하는 경우에는 필수항목/수집항목을 구분하지 않아도 됨
- 공제조합의 경우 필수와 선택항목의 구분이 없으며 원적, 본적, 종교 등 불필요한 정보를 수집하는 것으로 판단
- 이에 따른 답변은 다음과 같음
>구체적 사실확인이 필요한 사안으로 일률적으로 답변하기 어려움
2.5 개인정보 자동 수집 장치의 설치ㆍ운영 및 거부에 관한 사항
-「개인정보 보호법」 제30조 제1항 제7호에서개인정보 자동 수집 장치의 설치, 운영 및 근거에 관한 사항을 포함하도록 지정
> 작성지침에서는 쿠키와 같이 개인정보를 자동으로 수집하는 장치를 설치 및 운영할 경우, 설치 및 운영, 그 거부에 관한 사항을 기재하여야 함
[사진 3] 작성지침에 따른 작성 예시
- 공제조합의 경우 관련되 내용을 "생성정보 수집 툴을 통한 수집"으로 안내
- 이에 따른 답변은 다음과 같음
>구체적 사실확인이 필요한 사안으로 일률적으로 답변하기 어려움
[사진 4] 공제조합의 안내
3. 문의 및 답변 전문
문의
답변
안녕하세요.
데일리시큐를통해 국내 입법부 대표 정당의 개인정보 처리방침 관련 문제점을 확인하였습니다.
관련하여 지자체, 금융, IT, 의료, 교육 등 여러 사이트의 개인정보 처리방침을 확인하여 기사에서 언급한 문제점과 기타 문제점이 있는지 찾아보았습니다.
모공제조합 개인정보 처리방침을 보던 중 궁금한 사항이 있어 문의 드립니다.
① 가시성 문제 개인정보 처리방침 작성 가이드라인에 따르면 정보주체가 쉽게 확인할 수 있도록 작성해야 하는 것으로 확인됩니다.
하지만, 조합의 개인정보 처리방침을 확인해보니 각 조항의 글씨 크기 및 글씨체가 큰 차이를 보이고 있어 가시성이 확보되지 않는 것으로 판단되어 문의 드립니다.
② 열람요구서, 위임장 등 다운로드 기능 부재 데일리시큐에서 확인한 기사에 따르면 열람요구서와 위임장 등을 다운로드 할 수 있는 기능이 없는 점을 문제점으로 꼽았습니다.
하지만, 일부 사이트의 경우 다운로드가 아닌 해당 파일이 위치한 경로나 개인정보보호법 시행령의 별지 서식을 사용하는 것을 안내하고 있었습니다.
조합의 경우에도 시행령 별지 서식 이용을 안내하고 있습니다.
그렇다면, 기사에서 언급한 다운로드 기능 부재의 경우는 문제점으로 선정할 수 없을것이라고 생각되어 문의 드립니다.
③ 개인정보보호법 시행규칙 단어 사용 개인정보보호법에서 행안부령으로 정하던 사항을 개인정보보호위원회가 정하여 고시하도록 변경됨에 따라 20.08.05부터 개인정보보호법 시행규칙이 전부 폐지된 것으로 알고있습니다.
조합의 경우 "개인정보 보호법 시행규칙" 또는 "개인정보보호법시행규칙" 단어를 사용하고 있는 것으로 확인되어 문의 드립니다.
④ 개인정보 수집 항목 관련 필수 및 선택 항목 미분류와 과다수집 개인정보 처리방침 작성 가이드라인에서는 필요한 최소한의 항목(필수항목)과 그 외 정보(선택항목)을 구분하여 기재하며, 필수항목만을 수집하는 경우에는 구분하지 않아도 된다고 안내하고 있습니다.
조합의 경우 필수 및 선택 구분을 두지않고 있으며, 수집하는 개인정보 또한 원적, 본적, 해외여행, 종교 등 불필요한 정보를 수집하고 있는것으로 판단되어 문의 드립니다.
⑤ 개인정보 자동 수집 장치의 설치ㆍ운영 및 거부에 관한 사항 개인정보 처리방침 작성 가이드라인에서는 쿠키 등과 같이 개인정보를 자동으로 수집하는 장치를 설치 및 운영할 경우 설치ㆍ운영 및 거부에 관한 사항을 공개하도록 되어있습니다.
조합의 경우 수집방법의 하나로 생성정보 수집 툴을 통한 수집으로만 안내를 하고있어 관련 정보가 부족하다고 판단되어 문의 드립니다.
1. 안녕하십니까? 귀하께서 국민신문고를 통해 신청하신 민원(신청번호 -)에 대한 검토 결과를 다음과 같이 알려드립니다.
2. 귀하께서는 개인정보 처리방침과 관련한 것으로 이해됩니다.
3. 귀하의 질의사항에 대해 검토한 의견은 다음과 같습니다.
가. 「개인정보 보호법」 제30조는 개인정보처리자에게 개인정보 수립·공개의무를 부과하고 있으며, 보호위원회는 개인정보의 처리방침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있습니다. 이에 「개인정보 처리방침 작성지침」은 권장 사항이며 법에서 정하고 있는 개인정보 처리방침 필수 작성항목을 법령에 따라 적정하게 작성하고 있다면 처리방침 작성지침에서 권장하는 내용을 따르지 않았다고 해서 처벌의 대상이 되지 않습니다.
나. 개인정보 처리방침의 가시성과 관련해서 표준지침에 따르면 개인정보처리자가 개인정보 처리방침을 작성할 때에는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항을 명시적으로 구분하되, 알기 쉬운 용어로 구체적이고 명확하게 표현하도록 하고 있습니다.
다. 열람요구서 및 위임장 다운로드 기능과 관련해서 개인정보 처리방침 작성지침이나 표준지침에서는 이 같은 기능을 추가할 것을 의무화하고 있지 않으며 개인정보처리자의 자율에 맡겨진 사항임을 알려드립니다.
라. 개인정보 보호법 시행규칙 단어 사용과 관련해서, 기존의 「개인정보 보호법 시행규칙」 은 현재 「개인정보 보호 처리 방법에 관한 고시」 로 변경되었으므로 용어의 변경이 필요함을 안내드립니다.
마. 개인정보 수집 관련 필수, 선택항목 구분, 불필요한 정보인지 여부 및 개인정보 자동수집장치와 관련된 방식의 적합성 여부 등과 관련해서는 구체적 사실확인이 필요한 사안으로 일률적으로 답변드리기 어려운 점 양해 바랍니다.
4. 귀하의 질문에 만족스러운 답변이 되었기를 바라며, 답변 내용에 대한 추가 설명이 필요한 경우 -에게 연락주시면 친절히 안내해 드리도록 하겠습니다. 감사합니다. 끝.
- 개인정보처리자의 개인정보 처리 기준 및 보호조치 등을 「개인정보 보호법」에 따른 기재사항을 포함하여 문서화한 것
- 개인정보처리자는 개인정보보호법 제30조에 의거 개인정보 처리방침을 수립 및 공개하여야 함
> 공공기관의 경우 개인정보보호법 제32조에 의거 개인정보파일을 등록 및 공개하여야 함
※ 개인정보보호법 개정으로 23.09.15부터 제30조에 민감정보 및 가명정보와 관련된 조항이 추가
※ 개인정보보호법 개정으로 23.09.15부터 제30조의2(개인정보 처리방침의 평가 및 개선권고) 추가
개인정보보호법 제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. <개정 2016. 3. 29., 2020. 2. 4.> 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항 6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다) 8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.
④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
1.1 개인정보보호위원회 개인정보 처리방침 작성 가이드라인
- 개인정보보호위원회는 개인정보 처리방침 작성 가이드라인을 배포
- 가이드라인 상 개인정보 처리방침 기재 사항은 다음과 같음
※ 기타 자세한 사항은 [1] 참고
1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항 (해당되는 경우에만 정함) 4. 개인정보의 파기절차 및 파기방법(법 제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목) 5. 개인정보처리의 위탁에 관한 사항 (해당되는 경우에만 정함) 6. 정보주체와 법정대리인의 권리․의무 및 그 행사방법에 관한 사항 7. 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 8. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항 (해당되는 경우에만 정함) 9. 처리하는 개인정보의 항목 10. 개인정보의 안전성 확보조치에 관한 사항 11. 개인정보 처리방침의 변경에 관한 사항 12. 개인정보의 열람청구를 접수․처리하는 부서 13. 정보주체의 권익침해에 대한 구제방법 14. 가명정보를 처리하는 경우 가명정보 처리에 관한 사항(해당되는 경우에만 작성) - 가명정보의 처리 목적 - 가명정보의 처리 및 보유 기간 - 가명정보의 제3자 제공에 관한 사항(해당되는 경우에만 작성) - 가명정보 처리의 위탁에 관한 사항(해당되는 경우에만 작성) - 가명처리하는 개인정보의 항목 - 법 제28조의4에 따른 가명정보의 안전성 확보조치에 관한 사항 15. 국내대리인을 지정한 경우 국내대리인의 성명(법인의 경우 그 명칭 및 대표자의 성명), 주소(법인의 경우 영업소 소재지), 전화번호 및 전자우편 주소 (해당되는 경우에만 작성) 16. 추가적인 이용·제공 관련 영 제14조의2 제1항 각 호의 고려사항에 대한 판단기준 (해당되는 경우에만 작성) 17. 영상정보처리기기 운영․관리에 관한 사항 (「개인정보 보호법」 제25조제7항에 따른 ‘영상정보처리기기 운영․관리방침’을 개인정보처리방침에 포함하여 정하는 경우) 18. 그 밖에 개인정보처리자가 개인정보 처리 기준 및 보호조치 등에 관하여 자율적으로 개인정보 처리방침에 포함하여 정한 사항
2. 정당별 문제점
2.1 국민의힘
[사진 1] 국민의힘 홈페이지
① 개인정보 처리방침 문구에 대한 강조가 되어있지 않음
개인정보보호위원회 개인정보 처리방침 작성 가이드라인
반드시 “개인정보 처리방침”이라는 명칭을 사용하고, 글자크기․색상 등을 활용하여 다른 고지사항(이용약관, 저작권 안내 등)과 구분하여 정보주체가 쉽게 확인하도록 해야 함
② 이전 개인정보 처리방침 변경 내용 확인 불가
개인정보보호위원회 개인정보 처리방침 작성 가이드라인
개인정보 보호법, 같은 법 시행령 및 표준 개인정보 보호지침(이하 ‘표준지침’)은 “개인정보 처리방침”에 포함되어야 하는 사항을 규정함 11. 개인정보 처리방침의 변경에 관한 사항
③ 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는 기능 없음
> 가이드라인에서 관련된 정보를 찾지못함
> 일부 지자체 개인정보 처리방침 확인 결과 열람요구서와 법정대리인 등 위임장 작성을 위한 문서 다운로드 기능이 존재
개인정보보호위원회 개인정보 처리방침 작성 가이드라인
해당 개인정보처리자에 대해 정보주체가 지니는 개인정보 열람, 정정․삭제, 처리정지 등 행사방법, 행사절차 등을 구체적으로 기재
2.2 더불어민주당
[사진 2] 더불어민주당 홈페이지
① 개인정보 처리방침 문구에 대한 강조가 되어있지 않음
② 개인정보 처리방침 문서 내 '개인정보 취급방침' 용어 사용
③ 이전 개인정보 처리방침 변경 내용 확인 불가
④ 개인정보 수집항목 관련 필수항목과 선택항목을 구분해 고지하지 않음
개인정보보호위원회 개인정보 처리방침 작성 가이드라인
수집목적에 필요한 최소한의 정보(필수항목)과 그 외의 정보(선택항목)을 구분하여 기재함 다만, 선택항목을 따로 두지 않고 필수항목만을 수집하는 경우에는 필수항목/선택항목을 구분하지 않아도 됨
⑤ 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는 기능 없음
2.3 정의당
[사진 3] 정의당 홈페이지
① 개인정보 처리방침 확인 불가
> 우측 하단 이용안내를 통해 관련 내용을 확인할 수 있음
② '개인정보 취급방침' 용어 사용
③ 개인정보 수집항목 관련 필수항목과 선택항목을 구분해 고지하지 않음
④ 이전 개인정보 처리방침 변경 내용 확인 불가
⑤ 개인정보 열람요구서와 위임장 등을 다운로드 할 수 있는기능 없음
3. 관련 추가 사례
- 해당 기사를 접한 후 지자체, 금융, IT, 의료, 교육 등 여러 사이트를 확인해 보았음
> 기사에서 언급한 사항과 관련된 문제점을 찾아볼 수 없었음
> 별도 페이지를 마련하는 등 더욱 세분화하여 개인정보 처리 관련 정보를 제공
- 모 조합 사이트에서 일부 문제점으로 판단되는 사항이있어 개인정보보호위원회에 문의를 진행
① 가시성 문제: 글씨 크기 및 글씨체의 차이로인한 가시성 확보의 어려움
② 열람요구서, 위임장 등 다운로드 기능 부재: 개인정보호법 별지 서식 이용 안내
③ 개인정보보호법 시행규칙 단어 사용: 20.08.05부 개인정보보호법 시행령 폐지
④ 개인정보 수집 항목 관련 필수 및 선택 항목 미분류와 과다 수집: 불필요한 정보의 수집
⑤ 개인정보 자동 수집 장치의 설치ㆍ운영 및 거부에 관한 사항: 생성정보 수집 툴을 통한 수집 중
- 개보법에서 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우 KISA에 기술 지원을 요청할 수 있음
> KISA는 독립적 조사가 불가하며, 담당부처 요청에 따라 기술 지원 업무를 수행
> 이에 따라,기술 지원 외 기업에서 자체적으로 수행하는 분석 및 대응의 적절성 여부 확인 불가
※ 기업이 자체적으로 사고 분석을 실시하는 경우도 있지만 시스템 포맷 등을 통해 무마하는 경우도 많았음
>민관합동조사단의 구성으로만 침해사고의 원인분석에 KISA의 임직원이 참여가 가능
개인정보 보호법 제34조(개인정보 유출 통지 등)
① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다. 1. 유출된 개인정보의 항목 2. 유출된 시점과 그 경위 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해 구제절차 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 ② 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다. ③ 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 행정안전부장관 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 행정안전부장관 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26.> ④ 제1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
개인정보 보호법 시행령 제39조(개인정보 유출 신고의 범위 및 기관)
① 법 제34조제3항 전단에서 “대통령령으로 정한 규모 이상의 개인정보”란 1천명 이상의 정보주체에 관한 개인정보를 말한다. <개정 2017. 10. 17.>
② 법 제34조제3항 전단 및 후단에서 “대통령령으로 정하는 전문기관”이란 각각 한국인터넷진흥원을 말한다. <개정 2015. 12. 30., 2016. 7. 22.>
정보통신망법 시행령 제59조(민ㆍ관합동조사단의 구성ㆍ운영)
① 법 제48조의4제3항에 따른 민ㆍ관합동조사단(이하 “조사단”이라 한다)은 단장과 부단장을 포함하여 20명 내외의 조사단원으로 구성하되, 침해사고의 규모 및 유형을 고려하여 단원의 수를 조정할 수 있다. ② 조사단원은 다음 각 호의 어느 하나에 해당하는 사람 중에서 과학기술정보통신부장관이 임명 또는 위촉하고, 단장은 제1호의 사람 중 과학기술정보통신부장관이 지명하는 4급 이상의 공무원으로, 부단장은 제3호의 사람 중 과학기술정보통신부장관이 지명하는 사람으로 한다. 1. 침해사고를 담당하는 과학기술정보통신부 소속 공무원 2. 침해사고에 관한 전문지식과 경험이 있는 사람 3. 인터넷진흥원의 임직원 4. 그 밖에 침해사고의 원인 분석에 필요하다고 인정되는 사람 ③ 조사단은 침해사고의 원인을 분석하는 원인조사반과 분석한 결과를 검증하는 검증분석반으로 구성한다. 다만, 조사단의 단장이 필요하다고 인정하는 때에는 원인조사반과 검증분석반을 통합하여 운영하거나 다른 반을 둘 수 있다. ④ 조사단의 단장은 침해사고의 원인 분석을 위해 필요한 경우 관련 전문가 또는 정보보호 전문업체에 자문을 구할 수 있다. ⑤ 공무원이 아닌 조사단원과 제4항에 따른 관련 전문가 등에게는 예산의 범위에서 수당, 여비 또는 그 밖에 필요한 경비를 지급할 수 있다. ⑥ 조사단의 단장은 침해사고의 원인 분석이 끝나면 지체 없이 결과보고서를 작성하여 과학기술정보통신부장관에게 보고해야 한다. ⑦ 과학기술정보통신부장관은 조사단의 구성 목적을 달성했다고 인정하는 경우에는 조사단을 해산할 수 있다. ⑧ 제1항부터 제7항까지에서 규정한 사항 외에 조사단의 구성ㆍ운영에 필요한 사항은 과학기술정보통신부장관이 정한다. [전문개정 2022. 12. 9.]
망법 개정 전후 비교
망법 개정 전 주요 사항 및 문제점
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의4(침해사고의 원인 분석 등)
① 정보통신서비스 제공자 등 정보통신망을 운영하는 자는 침해사고가 발생하면 침해사고의 원인을 분석하고 피해의 확산을 방지하여야 한다. ② 과학기술정보통신부장관은 정보통신서비스 제공자의 정보통신망에 중대한 침해사고가 발생하면 피해 확산 방지, 사고대응, 복구 및 재발 방지를 위하여 정보보호에 전문성을 갖춘 민ㆍ관합동조사단을 구성하여 그 침해사고의 원인 분석을 할 수 있다. <개정 2013. 3. 23., 2017. 7. 26.> ③ 과학기술정보통신부장관은 제2항에 따른 침해사고의 원인을 분석하기 위하여 필요하다고 인정하면 정보통신서비스 제공자와 집적정보통신시설 사업자에게 정보통신망의 접속기록 등 관련 자료의 보전을 명할 수 있다. <개정 2013. 3. 23., 2017. 7. 26.> ④ 과학기술정보통신부장관은 침해사고의 원인을 분석하기 위하여 필요하면 정보통신서비스 제공자와 집적정보통신시설 사업자에게 침해사고 관련 자료의 제출을 요구할 수 있으며, 제2항에 따른 민ㆍ관합동조사단에게 관계인의 사업장에 출입하여 침해사고 원인을 조사하도록 할 수 있다. 다만, 「통신비밀보호법」 제2조제11호에 따른 통신사실확인자료에 해당하는 자료의 제출은 같은 법으로 정하는 바에 따른다. <개정 2013. 3. 23., 2017. 7. 26.> ⑤ 과학기술정보통신부장관이나 민ㆍ관합동조사단은 제4항에 따라 제출받은 자료와 조사를 통하여 알게 된 정보를 침해사고의 원인 분석 및 대책 마련 외의 목적으로는 사용하지 못하며, 원인 분석이 끝난 후에는 즉시 파기하여야 한다. <개정 2013. 3. 23., 2017. 7. 26.> ⑥ 제2항에 따른 민ㆍ관합동조사단의 구성과 제4항에 따라 제출된 침해사고 관련 자료의 보호 등에 필요한 사항은 대통령령으로 정한다. [전문개정 2008. 6. 13.]
① 기업에는 신고의무만 고지
> 기술 지원 미동의 시 자체 조치 등 대응의 적절성을 확인할 방법의 부재
※ 기업이 자체적으로 사고 분석을 실시하는 경우도 있지만 시스템 포맷 등을 통해 무마하는 경우도 많았음
② 중대한 침해사고의 경우에만 접속기록 등 관련 자료의 보전 및 제출
> 피해확산 방지를 위해 필요한 침해사고 관련 정보 수집 불가능
> 망법 제48조의4 제2항, 제3항에 의거 중대한 침해사고의 경우에만 관련 자료의 보전 및 제출을 명할 수 있음
※ 중대한 침해사고
> 중대한 침해사고의 정의를 찾아보았는데, 망법 제47조의4에서 "중대한 침해사고로 인해 이용자의 정보시스템 또는 정보통신망 등에 심각한 장애가 발생할 가능성"을 기준으로 판단
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조의4(이용자의 정보보호) ③ 주요정보통신서비스 제공자는 정보통신망에 중대한 침해사고가 발생하여 자신의 서비스를 이용하는 이용자의 정보시스템 또는 정보통신망 등에 심각한 장애가 발생할 가능성이 있으면 이용약관으로 정하는 바에 따라 그 이용자에게 보호조치를 취하도록 요청하고, 이를 이행하지 아니하는 경우에는 해당 정보통신망으로의 접속을 일시적으로 제한할 수 있다. <개정 2020. 6. 9.>
> 중대한 침해사고의 명확한 정의나 기준과 중대한 침해사고의 결과로 이어지는 심각한 장애의 정의 또한 명확히 찾지 못함
> KISA "침해사고 예방·대응 및 피해확산 방지를 위한 정보통신망법 개선방안 연구" p.85에서는 다음과 같이 표현을 찾음
> 명확한 정의 없이 공격의 규모와 결과를 통해 중대한 침해사고로 규정한다는데, 사고를 조사하는 조사관의 개인적인 판단에 기초하는것 같음(조사관의 판단에따라 같은 사고라도 중대한 침해사고로 규정되지 않을 수도 있을것 같음...)
여기서 중대한 침해사고와 관련하여 그 구체적인 개념을 정의한 규정 은 없다. 다만 디도스(DDos) 공격, 메일 폭탄 등과 같이 이용자의 정보시 스템이나 정보통신망에 상당한 장애를 일으킬 수 있는 사고를 의미한다. 이용자에 대한 보호조치 요청은 이용자에게 부담을 주고 경제적 피해로 이어질 수 있으므로 침해사고의 위험, 범위 등이 크고 광범위한 경우에 한해서 제한적으로 행사된다. 특히 접속 제한 조치는 다른 이용자의 정 보시스템이나 정보통신망에 피해를 줄 것이 명확한 경우에 한하여 매우 예외적으로 인정된다.
>민·관합동조사단 구성 및 운영에 관한 훈령에서도 중대한 침해사고와 관련된 사항을 찾을 수 있음
민·관합동조사단 구성 및 운영에 관한 훈령 제3조(조사단의 설치·운영시기) 과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 중대한 침해사고가 발생하면 조사단을 구성·운영할 수 있다. 1. 주요정보통신기반시설에 발생한 침해사고의 원인분석을 위하여 필요한 경우 2. 정보보호 관리체계 인증 의무 대상자의 정보통신망에 발생한 침해사고의 원인분석을 위하여 필요한 경우 3. 원인을 알 수 없는 해킹에 의한 다발적 피해발생이 우려되는 경우 4. 그 밖에 유사한 침해사고의 확산, 신종 침해사고 등 과학기술정보통신부장관이 조사가 필요하다고 판단하는 경우
망법 개정 후 주요 사항
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의4(침해사고의 원인 분석 등)
① 정보통신서비스 제공자 등 정보통신망을 운영하는 자는 침해사고가 발생하면 침해사고의 원인을 분석하고 그 결과에 따라 피해의 확산 방지를 위하여 사고대응, 복구 및 재발 방지에 필요한 조치를 하여야 한다. <개정 2022. 6. 10.> ② 과학기술정보통신부장관은 정보통신서비스 제공자의 정보통신망에 침해사고가 발생하면 그 침해사고의 원인을 분석하고 피해 확산 방지, 사고대응, 복구 및 재발 방지를 위한 대책을 마련하여 해당 정보통신서비스 제공자에게 필요한 조치를 하도록 권고할 수 있다. <신설 2022. 6. 10.> ③ 과학기술정보통신부장관은 정보통신서비스 제공자의 정보통신망에 중대한 침해사고가 발생한 경우 제2항에 따른 원인 분석 및 대책 마련을 위하여 필요하면 정보보호에 전문성을 갖춘 민ㆍ관합동조사단을 구성하여 그 침해사고의 원인 분석을 할 수 있다. <개정 2013. 3. 23., 2017. 7. 26., 2022. 6. 10.> ④ 과학기술정보통신부장관은 제2항에 따른 침해사고의 원인 분석 및 대책 마련을 위하여 필요하면 정보통신서비스 제공자에게 정보통신망의 접속기록 등 관련 자료의 보전을 명할 수 있다. <개정 2013. 3. 23., 2017. 7. 26., 2022. 6. 10.> ⑤ 과학기술정보통신부장관은 제2항에 따른 침해사고의 원인 분석 및 대책 마련을 하기 위하여 필요하면 정보통신서비스 제공자에게 침해사고 관련 자료의 제출을 요구할 수 있으며, 중대한 침해사고의 경우 소속 공무원 또는 제3항에 따른 민ㆍ관합동조사단에게 관계인의 사업장에 출입하여 침해사고 원인을 조사하도록 할 수 있다. 다만, 「통신비밀보호법」 제2조제11호에 따른 통신사실확인자료에 해당하는 자료의 제출은 같은 법으로 정하는 바에 따른다. <개정 2013. 3. 23., 2017. 7. 26., 2022. 6. 10.> ⑥ 과학기술정보통신부장관이나 민ㆍ관합동조사단은 제5항에 따라 제출받은 자료와 조사를 통하여 알게 된 정보를 침해사고의 원인 분석 및 대책 마련 외의 목적으로는 사용하지 못하며, 원인 분석이 끝난 후에는 즉시 파기하여야 한다. <개정 2013. 3. 23., 2017. 7. 26., 2022. 6. 10.> ⑦ 제3항에 따른 민ㆍ관합동조사단의 구성ㆍ운영, 제5항에 따라 제출된 자료의 보호 및 조사의 방법ㆍ절차 등에 필요한 사항은 대통령령으로 정한다. <개정 2022. 6. 10.> [전문개정 2008. 6. 13.]
① 기존 신고 의무에 추가적으로 원인 분석 및 피해 확산 방지 의무 부여
> 기업이 피해확산 방지를 위한 조치에 더 적극적으로 참여를 이끌어내기 위함
② 침해사고 구분 없이 자료 보전 및 제출
>중소기업의 경우 침해사고 발생 시 대처할 여력이 없으므로 민관이 협업해 대응하자는 의미
> 자료를 제출하지 않을 시에는 망법 제76조 제3항 11의3호 및 12호에 의거 행정처분이 수반되기 때문에는 의무사항
> 자료 제출 거부, 거짓 제출의 횟수에 따라 차등 부과 (1회 위반: 300만원, 2회 위반: 600만원, 3회 위반: 1천만원)
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제76조(과태료)
③ 다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료를 부과한다. <개정 2009. 4. 22., 2011. 4. 5., 2012. 2. 17., 2014. 5. 28., 2015. 6. 22., 2015. 12. 1., 2016. 3. 22., 2017. 7. 26., 2018. 6. 12., 2020. 2. 4., 2020. 6. 9., 2022. 6. 10.> 11의3. 제48조의4제5항에 따른 자료를 제출하지 아니하거나 거짓으로 제출한 자 12. 제48조의4제5항에 따른 사업장 출입 및 조사를 방해하거나 거부 또는 기피한 자
① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.
1. 개인정보의 수집 출처 2. 개인정보의 처리 목적 3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실
② 제1항에도 불구하고 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다. <신설 2016. 3. 29.>
③ 제2항 본문에 따라 알리는 경우 정보주체에게 알리는 시기ㆍ방법 및 절차 등 필요한 사항은 대통령령으로 정한다. <신설 2016. 3. 29.>
④ 제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다. <개정 2016. 3. 29.> 1. 고지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우 2. 고지로 인하여 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
제19조(개인정보를 제공받은 자의 이용ㆍ제공 제한) 개인정보처리자로부터 개인정보를 제공받은 자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다. 1. 정보주체로부터 별도의 동의를 받은 경우 2. 다른 법률에 특별한 규정이 있는 경우
