꼰머의 보안공부

1. 정보주체의 권리

2. 개인정보의 열람

- 열람조치 관련 사항

> 법 제35조 제3항 전단에서 "대통령령으로 정하는 기간"은 10일

> 열람은 사본의 교부, 제3자 또는 공개된 정보원으로부터 수집한 개인정보, 서비스제공 등의 과정에서 자동으로 생성된 개인정보도 포함

> 열람 요구 방법은 서면, 전화, 전자우편, 인터넷 등 정보주체가 쉽게 활용할 수 있는 방법으로 제공

> 개인정보를 수집한 창구의 지속적인 운영이 곤란한 경우를 제외하고는 최소한 수집 창구 또는 방법과 동일하게 열람을 요구할 수 있도록 하여야 함

> 인터넷 홈페이지를 운영하는 경우 홈페이지에 열람 요구 방법과 절차를 공개하여야 함

> 가명정보의 경우 개인을 알아 볼 수 있는 정보가 포함되어 있지 않으므로 열람요구권 행사할 수 없음

3. 개인정보의 정정, 삭제

> 가명정보의 경우 정정, 삭제 요구권 행사할 수 없음

4. 개인정보의 처리정지 등

- 처리정지 요구의 예외인 개인정보파일

> 가명정보의 경우 개인을 알아 볼 수 있는 정보가 포함되어 있지 않으므로 처리정지권 행사할 수 없음

> 가명정보로 처리되기 이전에는 개인정보에 대한 가명처리 정지를 요구할 수 있음

5. 권리행사의 방법 및 절차

- 신원확인 의무와 방법

> 의무: 요구한 자가 본인인지 또는 정당한 대리자인지 확인, 대리인의 경우 본인의 신원과 정보주체와의 관계 증명, 법정대리인의 경우 법정대리인을 확인할 수 있는 서면 추가 확인

> 방법: 인터넷의 경우 전자서명, 아이핀, 이동전화번호, 생년월일 등 / 오프라인의 경우 민증, 면허증, 여권, 공무원증 등

> 공공기관의 특례: 전자정부법 제36조 제1항에 따른 행정정보의 공동이용을 통해 신분확인이 가능하면 이를 통해 확인

6. 이용내역 통지

> 가명정보를 이용한 내역에 대해서는 통지 의무가 적용되지 않음

7. 손해배상 책임

- 손해배상책임의 성립요건

① 침해행위가 존재하고 위법할 것

② 손해가 발생하였을 것

③ 침해행위와 손해 사이에 인과관계가 있을 것

④ 고의 또는 과실 및 책임능력이 있을 것

> 개인정보 피해구제 제도

> 개인정보 손해배상제도

- 개인정보 손해배상책임 보장제도

> 개인정보 유출로 인한 피해 사례가 증가하며, 기업의 배상능력이 부족한 경우 피해구제가 어려워 피해구제 제도의 실효성 제고 필요

> 기업으로 하여금 손해뱅상책임의 이행을 보장하도록 보험 또는 공제에 가입하거나 준비금을 적립하도록 의무화(19.06.13)

> 적용 대상: 전년도 매출액이 5천만원 이상일 것 && 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 1천명 이상일 것

8. 국내 대리인 지정

7. 개인정보의 안전 조치 의무

- 시행령에서는 개인정보의 유출 등 피해를 막기위해 관리적, 기술적, 물리적 보호조치를 규정

8. 개인정보취급자에 대한 감독

- 개인정보취급자와 개인정보처리자의 차이

9. 가명정보 처리 

- 가명정보 처리에 대한 기록, 보관

① 가명정보 처리의 목적
② 가명처리한 개인정보의 항목
③ 가명정보의 이용내역
④ 제3자 제공 시 제공받는 자
⑤ 그 밖에 가명정보의 처리 내용을 관리하기 위하여 보호위원회가 필요하다고 인정하여 고시하는 사항

- 개인정보 비식별화

> 데이터 내에 개인을 식별할 수 있는 경우, 이의 일부 또는 전부를 삭제, 또는 일부를 속성 정보로 대체 처리하여 다른 정보와 결합하여도 특정 개인을 식별하기 어렵도록 하는 조치

- 가명정보 결합체계

> 사전준비 - 가명처리 - 적정성검토 및 추가 가명처리 - 활용 및 사후관리

- 개인정보의 가명, 익명처리 기술 종류

① 개인정보 삭제: 삭제기술, 부분삭제, 행 항목 삭제, 로컬삭제, 마스킹

② 개인정보 일부 또는 전부 대체: 마스킹, 통계도구(총계처리, 부분총계), 일반화(일반, 랜덤, 제어 라운딩, 상하단코딩, 로컬 일반화, 범위방법, 문자데이터 범주화), 암호화(양방향, 일방향, 순서보존, 형태보존, 동형, 다형성), 무작위화(잡읍추가, 순열, 토큰화, 난수생성)

③ 기타기술: 표본추출, 해부화, 재현데이터, 동형비밀분산, 차분프라이버시

10. 개인정보 처리방침

- 개인정보 처리방침 포함 사항(시행령 31조)

> 처리하는 개인정보의 항목, 제30조 또는 제48조의2에 따른 개인정보의 안전성 확보 조치에 관한 사항

- 개인정보 처리방침 공개 방법

- 공공기관 개인정보 처리방침 등록 면제가 가능한 경우

11. 개인정보보호책임자

- 개인정보 보호책임자의 자격 요건

- 개인정보 보호책임자와 정보보호 최고책임자의 업무 비교

12. 개인정보 유출통지 및 신고

- 개인정보 유출 신고기준

- 개인정보 유출 기준

① 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우 
② 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우 
③ 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우 
④ 기타 권한이 없는 자에게 개인정보가 전달된 경우 

- 유출 통지 관련 주의사항

> 유출된 개인정보의 수량, 종류, 시기 등은 따지지 않으므로, 단 1건의 개인정보가 유출되었더라도 통지해야 함

> 유출이 발생한 즉시가 아닌 유출 사실을 알게 되었을 때 통지 의무가 발생

> 가명정보 유출의 경우 적용되지 않음

13. 개인정보파일 등록 및 공개

1. 개인정보보호 원칙 개요

- 법 제3조 원칙은 OECD 사생활 가이드라인 상의 개인정보보호 8원칙을 참고

> OECD 8원칙

① 수집제한의 원칙: 합법 및 공정한 수집, 최소 정보 수집 / 제3조 ①, ② - GDPR 데이터 최소화

② 정보 정화성의 원칙: 이용 목적에 부합, 목적 범위 내 정확, 완전, 최신화 / 제3조 ③ - GDPR 정확성

③ 목적 명확화의 원칙: 기존 수집 목적 및 목적 변경 시 명확화 / 제3조 ① - GDPR 목적제한

④ 이용제한의 원칙: 목적외 이용, 제공 금지 및 동의, 법률 규정에 의거한 처리 / 제3조 ② - GDPR 저장기간 제한

⑤ 안전성 확보의 원칙: 분실, 불법, 파괴, 오남용, 수정, 게시 등 위험에 대한 합리적 안전조치 / 제3조 ④ - GDPR 무결성과 기밀성

⑥ 처리방침 공개의 원칙: 관련 정책 공개 / 제3조 ⑤ - GDPR 적법성, 공정성, 투명성

⑦ 정보주체 참여의 원칙: 자신의 정보에 대해 확인 및 통지 / 제3조 ⑤

⑧ 책임의 원칙: 기타 제반 조치 / 제3조 ⑧ - GDPR 책임성

2. 개인정보 수집 제한

3. 민감정보 처리제한

> 개인정보보호법 시행령 제18조(민감정보의 범위)에 따른 민감정보

① 유전자검사 등의 결과로 얻어진 유전정보
② 「형의 실효 등에 관한 법률」 제2조제5호에 따른 범죄경력자료에 해당하는 정보
③ 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보
④ 인종이나 민족에 관한 정보

※ 공공기관이 업무수행을 위한 목적(법 제18조제2항제5호~제9호)으로 처리하는 경우 각 정보는 민감정보에 해당하지 않으므로, 주체로부터의 별도 동의 없이 처리 가능

4. 고유식별정보 처리제한

- 고유식별정보의 정의

> 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보

> 시행령에서는 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호로 정의

> 법령에 의해 개인에 부여된 것이므로, 사번, 학번, 법인등록번호, 사업자등록번호 등은 고유 식별정보가 될 수 없음

※ 고유식별정보는공공기관이 업무수행을 위하여 처리하는 경우 고유식별정보로 보지않음

- 고유식별정보 처리 실태 조사

> 근거: 개보법 제24조 제4항, 시행령 제21조 제2항 및 제3항

> 보호위원회는 공공기관 또는 5만명 이상의 정보주체에 관하여 고유식별정보를 처리하는 개인정보처리자에 대해서는 고유식별정보의 안전석 확보를 하였는지를 2년마다 1회 이상 조사

> 보호위원회는 온라인 또는 서면을 통하여 필요한 자료를 제출하게 하는 방법으로 조사를 수행하며, 한국인터넷진흥원 또는 보호위원회가 정하여 고시하는 전문기관으로 하여금 조사를 수행하게 할 수 있음

5. 주민등록번호 처리제한

- 주민등록번호 대체 본인확인 수단

> 아이핀, 공인인증서, 휴대전화, 신용카드, 생년월일, 회원번호 등

6. 영상정보처리기기의 설치, 운영 제한

- 영상정보처리기기의 정의

> 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유무선망을 통해 전송하는 장치

- 영상정보처리기기 적용범위

> 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유무선망을 통해 전송하는 장치로 한정

- 영상정보처리기기 적용대상

> 영상정보처리기기를 설치, 운영하는 자라면 누구든지 영상처리기기에 관한 규제대상에 포함

- 공개된 장소에서의 설치, 운영 금지

> 불특정 다수가 출입하거나 이용할 수 있도록 허용된 장소 / 도로, 공원, 공항, 백화점, 대형마트, 버스 등

- 영상정보처리기기 운영, 관리에 포함 사항

① 영상정보처리기기의 설치 근거 및 설치 목적
② 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위
③ 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람
④ 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법
⑤ 영상정보처리기기운영자의 영상정보 확인 방법 및 장소
⑥ 정보주체의 영상정보 열람 등 요구에 대한 조치
⑦ 영상정보 보호를 위한 기술적ㆍ관리적 및 물리적 조치
⑧ 그 밖에 영상정보처리기기의 설치ㆍ운영 및 관리에 필요한 사항

- 개인영상정보의 열람 등 요구

> 정보주체 자신이 촬영된 개인영상정보

> 명백히 정보주체의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 개인영상정보

※ 영상정보처리기기운영자의 조치

> 열람 등의 요구를 받았을 경우 지체없이 필요한 조치를 취해야함

> 사생활 침해 방지 등을 위해 본인 또는 정당한 대리인인지 신분증명서를 제출받아 확인

> 다음 사유에 해당하는 경우 열람 등 요구를 거부할 수 있으며, 10일 이내 서면 등으로 거부 사유를 통지해야 함

① 범죄수사, 공소유지, 재판수행에 중대한 지장을 초래하는 경우(공공기관에 한함)

② 개인영상정보의 보관기간이 경과하여 파기한 경우

③ 기타 정보주체의 열람 등 요구를 거부할 만한 정당한 사유가 존재하는 경우

- 개인영상정보 제공 시 준수사항 및 절차

> 사유 발생 > 신청서 제출 > 본인 여부 및 신청서 확인 > 영상 유무, 3자포함 확인 > 마스킹 등 처리 후 제공 > 안전한 관리 > 파기

> 준수사항: 명확한 목적 명시, 필요한 최소 자료 요청 및 제공, 제공받은 자는 목적 범위 내 안전한 관리, 제공 기관은 제공 사실을 인터넷 등에 공개 및 기록 관리, 목적 달성 등 불필요 시 즉시 파기 및 파기 사실 통보

- 개보법 일부 적용제외 및 사유

> 제15조(개인정보의 수집, 이용) 정보주체에 대한 개인정보 수집, 이용 고지 및 동의 획득 의무 - 안내판 설치 등의 의무로 갈음

> 제22조(동의를 받는 방법) 정보주체에게 각각의 동의사항을 구분해 알리고, 개별 동의 획득 - "불특정 다수"의 특성상 동의 곤란

> 제27조(영업양도 등에 따른 개인정보의 이전 제한) 영업의 양도, 합병 시 통지의무 - "불특정 다수"의 특성상 동의 곤란

> 제34조(개인정보 유출 통지 등) 개인정보 유출사고 발생 시 정보주체에 대한 통지 및 관계기관에 대한 신고의무 - "불특정 다수"의 특성상 동의 곤란

> 제37조(개인정보 처리정지 등) 개인정보처리자가 처리하고 있는 자신의 개인정보에 대한 처리정지 요구 - 특정 정보주체만 처리정지 불가

1. 우리나라 개인정보보호 관련 주요 법 체계

- 대한민국 법제 구조

- 법제간 충동 시 적용 원칙

> 상위법 우선의 원칙: 법규범 간 충돌이 있을 경우 상위법 우선 적용 / 헌법 > 법률 > 시행령 > 고시, 자치법규

> 특별법(개별법) 우선의 원칙: 특별법과 일반법이 충동할 경우 특별법 우선 적용 / 특별법 > 일반법

> 신법 우선의 원칙: 신법과 구법이 충동할 경우 신법 우선 적용 / 신규 제개정 법제 > 기존 법제

- 개인정보 보호 추진체계

> 데이터 3법 개정으로 분산된 개인정보보호 감독 체계가 개인정보보호위원회로 일원화되어 2020.08.05 출범

> 행안부, 방통위의 감독 기능 및 금융위원회의 일부 감독 기능이 개인정보보위원회로 일원화

- 개인정보보호 관련 법 개요

> 수범자(受範者): 어떤 법규범이 직접적으로 규율하는 대상 즉, 당해법률의 의무자로, 개별법, 개별규범을 직접 지켜야 하는 사람(사물)

> 개인정보보호 적용 대상

- 정보통신서비스 제공자 해당 여부

> 정보통신서비스 제공자: 전기통신사업법 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자

> 정보통신서비스 제공자로부터 개인정보를 제공받는 자는 정보통신서비스 제공자의 관리를 받지 않고 자기 책임하에 제공받은 목적 범위 내에서 개인정보를 이용하는 자이므로 정보통신서비스 제공자와 유사한 정도의 의무를 부담

1. 개인정보의 중요성 인식

- 개인정보는 전자상거래, 고객관리, 금융거래 등 사회 구서으 유지, 발전을 위한 필수적 요소

- 데이터 경제에서 개인정보와 같은 데이터는 기업 및 기관의 입장에서도 부가가치를 창출할 수 있는 자산적 가치

- 개인정보 가치 사승

> 개인정보 수집 및 이용 동기와 효과

① 고객 확보: 마케팅 - 고객 확보

② 고객 유지: 개인적 욕구 만족 및 차별화 - 맞춤화 서비스로 고객 충성도 상승

③ 수요 파악: 트렌트 파악으로 제품 공급 관리 - 매출, 이익 증가 / 비용 절감

> 개인정보 영역 확대

① 4차 산업혁명의 시데로 발전함에 따라 개인정보의 범위와 영역이 확장

2. 개인정보보호 조직 구성 및 운영

- 기업의 사회적 책임(CSR: Corporate Social Responsibility)

> 기업활동에 의해 영향을 받거나 주는 직간접적인 이해관계자들에 대하여 발생 가능한 제반 이슈들에 대한 법적, 경제적, 윤리적 책임

> 기업의 리스크를 줄이고 기회를 포착하여 중장기적 기업가치를 제고할 수 있도록 추진하는 '이해관계자 기반 경영활동'

> 단계: 자선적 책임 > 윤리적 책임 > 법률적 책임 > 경제적 책임

> 개인정보보호 중심의 CSR은 고객의 긍정적 이미지를 더욱 효과적으로 형성 가능함

- 정보보호 조직 및 정보보호 거버넌스

> 정보보호 업무: 정보보호 조직과 비정보보호 조직이 협업하여 수행하는 전사 업무

> 정보보호 업무는 최고경영층이 관심을 갖고 전사적으로 지휘, 통제해 나가야하는 업무

- (개인)정보보호 조직 구성

> 최고경영층은 조직과 인력, 예산에서 최종 의사결정자로, CISO 조직의 업무에 걸맞은 조직과 인력을 구성해야 함

> 최고경영층의 (개인)정보보호 역할

> 조직의 구성, 운영 방향

> 개인정보보호 조직의 역할

3. 개인정보보호 관련 국제표준

- ISO 27701은 최초의 글로벌 개인정보보호 경영시스템 표준

> PIMS(Privacy Information Management System: 개인정보보호 경영시스템) 구축 요구사항, 목표 및 관리 수단이 포함 됨

> 개인정보보호를 위한 중요한 단계로, 조직에 데이터 및 개인정보보호 행동 방법에 대한 실제 지침을 제공해 기존의 규정을 충족

> ISO/IEC 27701:2019는 국제 정보보호 표준 세트로, Information technology - Security techniques - Information security management system - Requirements로 구성

- 정보보호 및 개인정보보호 관련 인증

1. 정보화와 개인정보 등 사생활 노출

- SNS는 사회 전반적으로 개인의 사생활 게재를 통해 주변인과의 소통, 정보 공유, 홍보 등을 목적으로 함

- 개인정보는 신뢰적인 정보를 기반으로 하는 SNS에서는 유출 위험이 더욱 크며 SNS의 역기능도 점차 증가

- 개인정보 침해 배경

① 유비쿼터스 사회, 네트워크 기반 정보사회로 정보의 수집 및 유통이 쉬워짐

② 개인정보의 자기결정권 범위가 넓어진 만큼 사생활 침해의 위험성 또한 증가

③ 기술발전으로 정보수집과 처리 능력이 향상되어 개인정보 침해 방법 다양화

④ 개인정보 수집과 침해에 대한 문제 의식 부족

- 정보사회 개인정보 침해

① 개인정보 노출: 검색 엔진을 통해 노출 > 사생활 침해 문제 발생 가능

② 개인정보 미파기: 회원탈퇴 이후 등에도 지속 저장, 공개 > 개인정보 자기통제권 침해 가능

③ 위치정보 노출: 스마트폰에서 제공하는 위치기반 서비스 등 > 개인 위치 정보 노출로 인한 범죄 악용 가능

④ 개인정보 탈취: 스피어 피싱을 통해 계정정보 등 개인정보 탈취 > 2차 피해 발생 가능

⑤ 개인정보 도용: 계정 등을 도용해 특정인 또는 기업으로 위장, 위조 > 2차 피해 발생 가능

2. 개인정보 침해 유형

- 개인정보보호의 중요성에 대한 사회 전박적인 인식이 저조하며, 침해 원인은 다음과 같음

> 개인정보 자기결정권 행사 불가

> 사업자의 사회적 책임이 부족

> 관련 법률에 대한 인식 부족

> 주민등록번호 수집의 관행화

> 개인정보보호 실천의지 부족으로 고충 외면, 방치

> 마케팅을 위한 불필요 개인정보 추가 수집

> 개인정보처리자의 기술적 관리적 보호 조치 미흡 등

- 스팸(주체의 명시적 사전 동의 없이 발송) 및 불법스팸(정통망법 제50조~제50조의8 규정을 위반하여 발송) 문제

> 원인: 정보화 사회로 광고성 정보 저렴한 전송  / 무작위 대량 발송 / 불필요 정보 확인, 삭제, 거부 등을 위한 시간 낭비

> 대책: 스팸 전송 차단을 위한 정책 및 입법 / 전송 단계에서 대응하는 것이 효과적

- 개인정보 침해 유형

> 행위별 유형: 부적절한 접근, 수집 / 모니터링 / 분석 / 이전 / 저장, 원하지 않는 영업 행위

> 유출로 인한 2차 침해 유형: 명의 도용 / 불법 유통 유포 / 스팸 / 금전적 이익 수취 / 사생활 침해

> 생명주기별 유형

- 개인정보 유노출

> 유출: 주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 경우, 고의 또는 부주의에 기인

> 노출: 인터넷을 이용하면서 타인의 개인정보를 취득할 수 있도록 인터넷 상에서 관련 '정보가 방치'된 상태, 관리자 및 이용자의 부주의에 기인

- 개인정보 보호의 필요성

> 개인정보 침해로 인한 2차 침해 및 주체별 책무

> 개인정보 피해구제 제도

① 개인정보침해 신고상담

⒜ 제도개선권고, 행정처분의뢰, 수사의뢰(개보법 제62조 근거)

⒝ 개인정보침해신고센터 이용

② 개인정보분쟁조정

⒜ 제도개선권고, 손해배상권고(개보법 제43조 근거)

⒝ 개인정보분쟁조정위원회 이용

③ 민사소송

⒜ 손해배상 청구(개보법 제39조 근거)

7. EU-GDPR

- 2018.05.25부터 시행중인 EU의 개인정보보호 법령

- 위반 시 과징금 등 행정처분이 부과되며, EU 내 사업장이 없더라도 EU를 대상으로 사업하는 경우 적용대상이 됨

- 적용 대상은 '국적'이 아닌, 'EU 거주자'에 해당하는 지 고려

- 적용범위: EU 내 사업장 운영+개인정보 처리 / EU 거주에게 재화나 서비스 제공 / EU 거주자의 EU 內 행동 모니터링

- 적용정보: 개인정보(식별되었거나 식별가능한 정보, 사망자와 법인은 적용 안됨) / 개인정보 처리에 적용되는 개인정보(위치정보, 온라인 식별자 등 포함)

- 과징금: 기술적, 관리적 위반_1천만 유료 또는 전세계 매출액의 2% 중 높은 금액 / 개인정보 처리원칙, 동의조건, 정보주체 권리보장 의무 위반 등_2천만 유료 또는 전세계 매출액의 4% 중 높은 금액

- 정보주체의 권리

- 2021.12.17 한-EU 개인정보보호 적정성 결정

> EU 회원국에 준하는 지위를 부여받게 되어, 한국 기업의 경우 기존의 까다로운 절차가 면제

> 역외이전 관련 의무 부담만 경감된 것으로, 금융기관이 보유한 개인 신용정보의 역외이전은 이전과 동일하게 표준계약 채결 등이 필요

7.1 주요 용어

7.2 주요 원칙

- 6가지 개인정보 적법 처리 조건

- 기업은 개인정보 처리전에 반드시 적법한 처리 근거를 확보하였는지 여부를 확인할 필요가 있음

① 개인정보 처리의 적법성(Lawfulness of Processing)

② 동의(Consent)

③ 아동 개인정보(Children's personal data)

④ 민감 정보(Special categories of personal data)

7.3 조항

- 정보를 제공받을 권리 [제12~14조]

> 컨트롤러는 공정하고 투명한 처리 원칙을 보장하기 위해 정보주체에게 본인의 개인정를 어떻게 처리하고 있는지에 관한 정보를 명확하고 쉬운 언어로, 무상으로 알려주어야 함

- 정보주체의 열람권 [제12,15조]

> 컨트롤러는 정보주체가 개인정보 처리 내용과 그 적법성을 확인할 수 있도록 정보주체의 요구가 있을 경우 자신의 개인정보 및 다음의 모든 정보에 대해 열람할 수 있도록 조치

① 처리목적

② 관련된 개인정보의 유형

③ 개인정보를 제공받았거나 제공받을 수령인 또는 수령인의 범주

④ (가능하다면) 개인정보의 예상 보유 기간 또는 (가능하지 않다면) 해당 기간을 결정하기 위한 기준

⑤ 본인의 개인정보에 대한 수정, 삭제 또는 제한이나 처리에 대한 반대를 요구할 수 있는 권리의 유무

⑥ 감독기구에 민원을 제기할 수 있는 권리

⑦ 개인정보가 정보주체로부터 수집되지 않은 경우 그 출처에 대한 모든 가용한 정보

⑧ 프로파일링 등 자동화된 결정의 유무 및 이에 따른 유의미한 정보와 이러한 처리의 유의성과 예상되는 결과

- 정정권 [제12,16,19조]

> 정보주체는 개인정보가 부정확하거나 불완전하다면 이에 대한 정정을 요구할 권리가 있고, 컨트롤러는 정보주체의 정정권리를 보장할 수 있도록 필요한 조치를 하여야 함

- 삭제권(잊힐권리) [제12,17,19조]

> 정보주체는 본인에 관한 개인정보의 삭제를 컨트롤러에게 요구할 권리를 가지며 컨트롤러는 개인정보 처리목적의 달성, 정보주체의 동의 철회 등의 경우에 개인정보를 삭제하여야 함

- 처리 제한권 [제12,18,19조]

> 정보주체는 자신에 관한 개인정보의 처리를 차단하거나 제한할 권리를 가지며, 개인정보처리가 제한되면 컨트롤러는 그 정보를 보관하는 것만 가능

- 개인정보 이동권 [제12,20조]

> 정보주체나 다른 컨트롤러에게 자신의 데이터를 제공할 것을 요구할 수 있는 권리

- 반대권 [제12,21조]

> 정보주체는 프로파일링 등 본인과 관련한 개인정보의 처리에 대해 언제든지 반대할 권리를 지님

> 컨트롤러는 정보주체에게 최초 고지하는 시점에 반대권에 대한 내용을 다른 정보와 분리하여 분명하게 알려줘야 함

- 프로파일링을 포함한 자동화된 의사결정 [제12,22조]

> 법적 효력을 초래하거나 이와 유사한 중대한 효과를 미치는 사항에 대하여 프로파일링을 포함한 자동화된 처리에만 근거한 인적개입 없는 결정의 적용을 받지 않을 권리

7.4 기업의 책임성 강화

- 기업의 책임성 강화 대책

① DPO(Data Protection Officer) 지정: 법과 실무에 대한 전문적 지식과 업무수행 능력 필요 / 내외부자 모두 가능

② 개인정보 영향평가(DPIA)

③ DPbD(Data Protection by design and by default)

> DPbD의 원칙을 충족하는 내부 정책과 조치를 채택 및 시행_개인정보처리의 최소화, 처리에 필요한 보호조치, 가명처리 등

> 모든 프로젝트의 초기단계에서 개인정보 보호를 중요한 고려사항으로 하고, 라이프 사이클 전반에 걸쳐 개인정보를 보호하는 것을 권장

④ 처리활동의 기록

> 피고용인 250명 이상인 컨트롤러와 프로세서는 GDPR 준수를 입증하기 위해 본인 책임하에 개인정보 처리활동의 기록을 유지하여야 함

> 피고용인 250명 미만이어도, 정보주체의 권리와 자유에 위험을 초래하거나, 민감정보 처리, 유조판결 및 형사범죄 관련 개인정보 처리 시 처리활동 기록이 필요

⑤ 기술적 관리적 보호조치

7.5 DPO 요건

1. 개인정보의 정의

- 개인의 신체, 재산, 사회적 지위, 신분 등에 관한 사실, 판단, 평가 등을 나타내는 일체의 모든 정보

개인정보 보호법 제2조(정의)
1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)

- 개인정보와 구별해야 하는 개념

2. 프라이버시와 개인정보

- 정보주체의 권리는 소극적인 권리인 프라이버시권과 적극적 권리인 개인정보의 자기결정권이 있음

> 프라이버시권: 사생활에 관한 이익을 총칭, 공간 / 개인 / 정보 프라이버시로 나뉨

> 개인정보 자기결정권: 자신에 관한 정보를 보호받기 위해 자신에 관한 정보를 자율적으로 결정하고 관리할 수 있는 권리

3. 개인정보의 유형 및 종류

> 일반정보(이름, 주민번호), 경제정보, 사회정보, 통신정보, 민감정보 등

> 제공정보: 이용자가 회원가입 등 직접 제공하는 정보_회원가입을 위한 신상정보, 본인확인을 위한 제공정보 등

> 생성정보: 서비스를 사용하는 과정에서 생성되는 이용자에 관한 정보_서비스 이용기록, 접속로그, 쿠키 등

4. 개인정보의 특성

> 식별성에 대한 평가기준: Single out(특정 개인만을 분리 가능) / Linkability(2개 이상의 데이터를 연결할 수 있는지 여부) / Inference(추론에 의한 연결 가능 여부)

> 식별성에 따른 분류: 개인식별정보 / 개인식별정보와 결합된 개인식별가능정보 / 개인식별정보와 결합되지않은 개인식별가능정보

> 수집출처에 따른 분류: 이용자로부터 수집한 정보 / 사업자가 생성한 정보 / 공개된 정보를 수집한 정보

5. 개인정보 가치산정

- 가치산정을 통해 개인정보 유출 시 위험 전가 통제수단인 손해배상액을 산정할 수 있음

> 손해배상액 산정

① 개인정보가 유출된 상황을 가정해 유출 시 예측되는 손해배상액을 해당 개인정보의 가치로 간주하는 방식

② 가치 산정이 간편하고 다양한 시나리오 개발을 통해 실제 상황에 대응 가능

③ 산정된 손해배상액을 근거로 위험 전가 통제 구현 가능

④ 상황별 유출 가능한 개인정보항목을 식별할 수 있고, 항목별 중요도 및 개수 매트릭스화 가능

⑤ 예상 손해배상액의 총합 산정 가능

> CVM 가치산정 단계

① 설문조사 대상 및 질의로 대상 식별

② 개인정보의 가치를 투영할 수 있는 대상 구별

③ ①, ②를 통해 확인된 개별 개인정보 항목의 가치를 취합하여 평균값으로 환산

6. 해외 개인정보보호 제도

> 개인정보를 '개인을 식별할 수 있거나 식별가능한 개인에 대한 정보'로 규정하며 전산 정보와 수기 정보를 모두 포함

> 미국은 자율규제 중심이고, EU는 정부규제 중심

> Safe-Harbor 협정

① EU 개인정보보호법 시행으로 적절한 개인정보보호 체계가 없는 국가로의 개인정보 이전이 제한

② 이에, EU 집행위원회와 미국 상무부가 2000년 체결한 개인신상정보 전송에 관한 협정

③ 이를 준수하는 기업은 EU-미국간 개인정보를 공유하는 대신 적합한 보호조치를 취해야함

④ 유럽과의 무역을 원하는 기업은 미국 상무성 세이프 하버에 등록하고, 협정을 준수하면 EU에서 미국으로 전송되는 개인정보를 보호하기 위한 적절한 보호 조치를 취한 것으로 간주

⑤ 협정 주요 내용

참고