정보보안 기사 실기 - 정보보안 관리 및 법규 (1)
■ 개인정보 보호법
1. 제1장 총칙
제1조(목적)
※ 모든 법에 제1장 1조는 해당 법을 제정한 목적에 대해 다룬다.
이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다.
제2조(정의)
이 법에서 사용하는 용어의 뜻은 다음과 같다.
1. "개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
DHCP로 할당 받은 IP는 개인정보로 볼 수 없지만, IP + 시간이 결합되면 개인정보로 볼 수 있게 된다.
다. 가목 또는 나목을 제1호의 2에 따라 가명 처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용 및 결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 "가명 정보"라 한다)
개인을 알아볼 수 있으면 개인정보가 되고, 개인정보를 감춘 정보를 익명정보라 하며, 이 둘 사이에 있는 정보를 가명 정보라고 한다. 즉 가명 정보는 개인정보를 최대한 노출하지 않고 활용하기 위한 정보이다.
"가명 처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
2. "처리"란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말한다.
3. "정보주체"란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
4. "개인정보파일"이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.
개인정보보호법의 적용대상은 민간기관, 공공기관, 비영리기관이며 개인정보를 처리하는 시스템을 개발해야 하는 경우에는 공공기관은 민간기관이 행하는 법률에 추가로 개인정보 파일 등록, 개인정보 영향평가(PIA, Privacy Impact Assessment)를 추가적으로 해야 한다.
5. "개인정보처리자"란 업무를 목적으로 개인정보 파일을 운용하기 위하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
개인정보처리자가 일을 맡기는 사람을 개인정보취급자라고 하며 정보주체의 개인정보를 핸들링하기 때문에, 개인정보처리자는 개인정보취급자에 대해 관리 및 감독을 해야 하며 교육을 시킬 의무가 있게 된다.
6. "공공기관"이란 다음 각 목의 기관을 말한다.
가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관 및 그 소속 기관, 지방자치단체
나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관
7. "영상정보처리기기"란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.
조건 1. 고정된 장소
- 따라서 블랙박스는 개인정보법에 영향받지 않는다.
조건 2. 공개된 장소(도로 및 공원)
- 불특정 다수의 동의를 받기는 불가능하므로, 안내판을 부착해야만 한다.
8. "과학적 연구"란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 말한다.
제4조(정보주체의 관리)
정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다.)을 요구할 권리
4. 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리
5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
제5조(국가 등의 책무)
① 국가와 지방자치단체는 개인정보의 목적 외 수집, 오용 및 남용, 감시 및 추적 등에 폐해를 방지하여 인간의 존엄과 개인의 사생활 보호를 도모하기 위한 시책을 강구하여야 한다.
② 국가와 지방자치단체는 제4조에 따른 정보주체의 권리를 보호하기 위하여 법령의 개선 등 필요한 시책을 마련하여야 한다.
③ 국가와 지방자치단체는 개인정보의 처리에 관한 불합리한 사회적 관행을 개선하기 위하여 개인정보처리자의 자율적인 개인정보 보호활동을 존중하고 촉진 및 지원하여야 한다.
④ 국가와 지방자치단체는 개인정보의 처리에 관한 법령 또는 조례를 제정하거나 개정하는 경우에는 이 법의 목적에 부합되도록 하여야 한다.
제6조(다른 법률과의 관계)
개인정보보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.
제3장 개인정보의 처리
개인정보에 관련된 법은 개인정보보호법과 망법 두 군데 존재하였으며, 개인정보위원회가 만들어지면서 망법에 있던 제6장의 내용이 개인정보보호법으로 이동하게 되었다.
제15조(개인정보의 수집·이용)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우.
이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한 한다.
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집·이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용(6장 특례는 제외)
③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 이 개인정보를 이용할 수 있다. [ 신설 2020.02.04 ]
제16조(개인정보의 수집 제한)
① 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.
즉, 개인정보보호법에서는 필수정보를 최소화해야하며 필수정보와 선택정보를 명확하게 구분해야한다.
② 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다. [ 신설 2013.08.06 ]
③ 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다. [ 개정 2013.08.06 ]
개인정보가 회사로 들어오는 경우를 수집, 나가는 경우를 제공과 위탁이라고 한다.
1. 제공 : 개인정보의 이용 목적이 변경되고, 통제를 하지 않거나 할 수 없는 경우
- 경품에 추첨을 위해 수집한 개인정보를 A회사가 다른 B회사에 팔아 넘기는 경우
- 개인정보처리자 입장에서 위탁보다는 제공이 관리 및 감독을 하지 않고 책임을 가질 필요가 없어 편하지만 정보주체의 재 동의가 필요.
2. 위탁 : 개인정보의 이용 목적이 유지가되며 통제를 해야하는 경우
- 고객이 주문한 제품을 택배회사를 통해 전달하는 경우
- 개인정보처리자는 위탁한 업체를 관리 및 감독해야하는 의무를 가진다.