개인정보 정의
(1) 개념
- 개인정보란 본인의 의사에 반하거나 본인이 알지 못하는 상태에서 이용될 경우 정보주체의 안녕과 이해관계에 영향을 미칠 수 있는 개인과 관련된 모든 정보로 폭넓게 해석될 수 있다.
(2) 정의
- 개인정보는 해당 정보만으로 또는 다른 정보와 결합하여 개인을 식별할 수 있는 정보이다.
(3) 법령상 정의(개인정보보호법)
2조 1항 : 개인정보란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가목 : 개인을 알아볼 수 있는 정보 / 나목 : 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보 / 다목 : 가명처리함으로써 원래 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보(가명정보)
(4) 해석
- 살아있는 개인에 관한 정보로서 특정 개인을 식별하거나 식별 가능한 정보
- 법인 또는 단체의 정보는 해당되지 않는다(ex 법인의 상호, 영업소재지, 대표이사 성명, 임원정보, 자산, 영업실적 등)
- 사망한 자의 정보라도 생존하는 유족 등 후손과 관련된 정보의 경우 개인정보로 될 수 있다.
(5) 프라이버시
- 미국에서의 프라이버시 : 타인의 방해를 받지 않고 개인의 사적 영역을 유지하고자 하는 이익 또는 권리
- 프라이버시권 보호법익 : 사적인 사항이 공개되지 않는 이익, 중요한 문제에 대해 자율적이고 독자적으로 결정 내릴 수 있는 이익
- 정보프라이버시(=개인정보자기결정권) : 개인정보가 요구·공개·사용되어지는 정보에 관한 통제권을 주장할 수 있는 권리
- 개인정보는 프라이버시 영역에 속하는 정보프라이버시의 보호대상
개인정보 유형 및 종류
(1) 유형
- 인적사항 : 성명, 주민등록번호, 주소, 본적지, 전화번호 등 연락처, 생년월일, 출생지, 이메일 주소, 가족관계 등
- 신체적 정보 : 얼굴, 지문, 홍채, 음성, 유전자정보, 키, 몸무게 등 / 건강상태, 진료기록 등
- 정신적 정보 : 도서·비디오 등 대여기록, 잡지구독정보, 물품구매내역, 검색내역 등 / 사상, 종교, 가치관, 정당, 노조 등
- 재산적 정보 : 소득, 신용카드번호, 통장계좌번호, 부동산 보유내역 등 / 개인신용평가정보, 대출내역, 카드 사용내역 등
- 사회적 정보 : 학력, 성적, 생활기록부 등 / 전과, 범죄기록 등 / 직장, 근무처 등 / 병역여부, 군번 등
- 기타 : 통화내역, IP주소, 개인위치정보 등
(2) 종류
- 제공정보 : 이용자가 직접 회원가입이나 서비스 등록을 위해 사업자에게 제공하는 정보
- 생성정보 : 사업자가 서비스 제공하는 과정에서 생성되는 이용자에 관한 정보
- 생성정보는 그 자체로는 개인정보로 인정되기 어려운 경우가 많으며 제공정보 등과 결합하여 개인 식별 가능한 경우에 한하여 개인정보로 인정될 수 있다.
(3) 처리방식
| 옵트인(OPT-IN) | - 정보주체가 동의를 해야만 개인정보를 처리할 수 있는 방식 - 개인정보를 수집, 제공, 이용하거나 광고 메일, SMS 등을 보낼 때 정보주체가 이에 대한 동의를 한 경우에만 개인정보를 처리 가능 - 유럽 연합은 개인정보 처리시 공공 및 민간 기관에서 OPT-IN 관점을 적용 - 우리나라는 OPT-IN 관점에서 개인정보보호 정책을 수립 및 개정 |
| 옵트아웃(OPT-OUT) | - 정보주체의 동의를 받지 않고 개인정보를 처리하는 방식 - 단, 정보주체가 거부 의사를 밝힌 경우에는 개인정보를 처리를 바로 중지 의무 - 대표적인 예로는 광고를 위한 메일을 보낼 때, 수신자가 발송자에게 수신거부 의사를 밝혀야만 메일발송을 금지하고 수신거부 의사를 밝히기 전에는 모든 수신자에게 메일을 보내는 경우가 있다. - 미국은 개인정보 활용한 빅데이터 처리 등의 목적으로 수집시 민간 기관에 OPT-OUT 관점을 적용 |
개인정보 가치산정
(1) 델파이(Delphi) 기법
- 전문가 판단에 기초한 가치산정방식
(2) 가상가치산정법(CVM, Contingent Valuation Method)
- 설문조사에 기초한 가치산정방식으로서, 주로 비시장 자원에 대해 가치 산정하는 경제학적 방식
- Step1 : 설문조사 대상 및 질의로 확인해야 할 결과물 식별
- Step2 : 개인정보 가치를 투영할 수 있는 대상을 구별
ex 사람들이 어느정도 금액 지불 의사(WTP, Willingness To Pay)가 존재하는지 확인
- Step3 : 확인된 개별 개인정보 항목의 가치를 취합하여 이를 평균값으로 환산
(3) 시나리오
- 개인정보가 유출된 다양한 상황을 가정하고, 해당 상황별로 유출 가능한 개인정보 항목을 분석하여 각 항목의 중요도 및 개수를 정리하여 개인정보 가치로 활용 가능
- 개인정보 가치산정이 편리, 다양한 시나리오를 개발하여 실제 상황에 대응 가능
개인정보 침해
(1) 유형
- 수집 : 이용자의 동의 없는 개인정보 수집 / 과도한 개인정보 수집 / 관행적인 주민등록번호 수집
- 이용·제공 : 고지 및 명시한 범위를 벗어난 개인정보 목적 외 이용 / 동의없는 제3자 제공 / 부당한 개인정보 공유 / 개인정보 매매 / 개인정보 이용 동의 철회 및 회원탈퇴 요구에 불응
- 저장 : 개인정보의 기술적, 관리적 보호조치 미비로 인한 개인정보 침해
- 파기 : 정당한 이유없는 개인정보 보유 및 미파기
* 스팸 : 정보통신망을 통해 이용자가 원하지 않음에도 불구하고 일방적으로 전송되는 영리목적의 광고성 정보
* 불법스팸 : 정보통신망법 50조부터 50조의8을 위반하여 전송 또는 게시되는 영리목적의 광고성 정보
(2) 침해 원인
- 주된 원인은 기업 등 개인정보처리자의 사회적 책임 결여에서 기인
개인정보 보호 필요성 및 중요성 인식
(1) 개인의 입장
- 개인정보 침해를 당한 경우, 정신적 피해·재산적 피해·범죄에 노출될 우려가 있다.
- 2차 피해가 실시간으로 발생할 수 있다는 특성이 있으며, 개인정보 유·노출 근원을 확인하는데 많은 자원이 소요
(2) 기업의 입장
- 개인정보 유출 등 사고 발생한 경우, 기업 이미지 실추·매출 감소·가치 하락
(3) 정부의 입장
- 정부 또는 공공기관의 개인정보 보호·관리는 개인에 비해 더 높은 비난 가능성을 내포
(4) 기업의 사회적 책임(CSR, Corporate Social Responsibility)
- 사업자가 법률, 윤리적 기준, 국제적 규범에 부합하는 활동을 하고 있는지를 모니터링 및 확인하는 내용으로 구성
- 기업의 의사결정과정에 공공의 이익을 포함하는 개념, 사람(People)·지구(Planet)·이익(Profit)이라는 3P를 중요시 한다.
개인정보보호 조직
(1) 조건
- 기업이 개인정보보호 시작할 때는 먼저 오너십을 가질 수 있는 개인정보보호 전담자와 조직부터 마련하는게 중요
- 개인정보보호 문제는 최고보안책임자만이 아니라 최고경영책임자(CEO)의 몫이 되어야 한다.
- 전담 조직은 개인정보최고책임자 하부에 두어야 한다.
(2) 역할
- CISO(최고정보보호책임자)/CSO(최고보안책임자) 보좌 및 개인정보보호에 대한 합리적 보장 제공
- 개인정보보호에 대한 Compliance 담보
- 개인정보보호 인식 향상(교육, 워크숍, 포스터, 뉴스레터 등 / 다양한 부서 인원을 직접 참여하게 하는 방법)
해외 개인정보보호 제도 소개
(1) 주요국가의 개인정보 정의
- 대부분의 국가는 공통적으로 개인을 식별할 수 있거나 식별 가능한 개인에 관한 정보라고 규정
(2) 주요국가의 개인정보 범위
- 대부분의 국가는 전산화하여 처리된 개인정보 뿐만 아니라 수기에 의한 개인정보도 포함
(3) 유럽과 미국의 개인정보 보호에 대한 차이점
- 유럽 : 나치의 개인정보 오·남용으로 인한 유태인 학살경험 이후 전통적으로 개인정보를 인권적 차원에서 엄격하게 보호, 법률에 의한 규제를 선호
- 미국 : 개인정보 관련 규제를 최소화하는 경향, 개인정보 수집·이용·매매 등이 비교적 용이
(4) Safe-Harbor 7원칙
- 미국과 EU는 전자상거래 등 원활한 산업발전을 위해 개인정보 전송에 대한 Safe-Harbor 협정을 체결
- 내용 : 고지(Notice),선택(Choice),제공(Transfer),접근(Access),안전성(Security),무결성(Integration),이행(Enforcement)
(5) OECD 개인정보 8원칙
- 수집 제한의 원칙, 정보 정확성의 원칙, 목적 명확화의 원칙, 이용 제한의 원칙, 안전성 확보의 원칙, 공개의 원칙, 개인 참가의 원칙, 책임의 원칙
(6) HIPPA
- 미국 연방법으로 의료 보험의 이동성과 신뢰성에 관한 법률
- 환자 정보를 보호하려는 목적
(7) EU GDPR
- 일반 개인정보보호법(General Data Protection Regulation)
- 목적 : 자연인에 관한 개인정보 보호권을 보호(1조2항), EU 역내에서 개인정보의 자유로운 이동(1조3항)을 보장
GDPR vs 개인정보보호법
(1) 법 적용 범위
- 해외 사업자에 대한 법 적용 : EU 내에 사업장이 없더라도 물품 서비스 공급을 위해 EU 내 거주하는 사람의 개인정보 처리하는 사업자에게도 법 적용 명문화
| EU GDPR | 한국 개인정보보호법 |
| ◎ 적용대상 : 아래의 경우에 적용(3조) - EU 내의 정보처리자, 수탁자의 활동 - EU 내에 설립되지 않은 정보처리자가 EU 내에 거주하는 사람 물품 서비스를 제공 - EU 내에서 발생하는 개인의 행동을 감시 |
해외 사업자에 대해서는 명시적 규정 부존재 |
(2) 기업의 책임성 강화
- 개인정보보호책임자 지정 : GDPR은 개인정보보호책임자의 자격으로 전문지식 및 업무수행 능력을 명시
| EU GDPR | 한국 개인정보보호법 |
| ◎ 자격요건 : 개인정보보호법과 실무에 대한 전문적 지식과 업무 수행 능력(37조) ◎ 위반시 처벌 가능 |
◎ 자격요건 : 사업주 또는 대표자, 임원 등(31조) ◎ 위반시 처벌 가능 |
- 개인정보 처리활동 기록 유지 : 우리나라는 접속기록에 대해서만 보관 의무 규정된 반면, GDPR은 개인정보 처리활동 전반을 기록하도록 명시
| EU GDPR | 한국 개인정보보호법 |
| ◎ 기록대상 : 아래의 항목을 기록 유지, 다만 250인 미만 기업이나 조직에는 미적용(30조) - 정보처리자, 대리인, 담당자 등의 이름, 연락처 - 개인정보 처리 목적 및 항목 - 개인정보를 제공받는 자의 범주 및 국가 - 적절한 안전조치에 대한 문서 ◎ 위반시 처벌 가능 |
◎ 기록대상 : 개인정보 침해사고 발생에 대응하기 위한 접속기록 보관(29조) ◎ 위반시 처벌 가능 |
- 역내 대리인 지점 : EU 역내 사업장이 없는 기업이 EU 주민에게 물품 서비스 제공을 위해 개인정보 처리하는 경우에는 EU 역내 대리인을 서면으로 지정해야 함
| EU GDPR | 한국 개인정보보호법 |
| ◎ 지정요건 : 아래의 경우 역내 대리인 서면 지정(27조) - EU 내에 설립되지 않은 정보처리자가 물품 서비스 공급을 위해 EU 내에 거주하는 사람의 개인정보를 처리 - EU 내에서 발생하는 개인의 행동을 감시하는 경우 ◎ 위반시 처벌 : 최대 1천만 유로 또는 전세계 매출 2% 중 높은 금액 |
관련 규정 없음 |
- 개인정보 영향평가 : 우리나라는 공공부문에만 개인정보 영향평가를 의무화하는 반면, GDPR은 일정 요건에 해당하는 경우 민간영역도 영향평가를 실시해야 함
| EU GDPR | 한국 개인정보보호법 |
| ◎ 평가대상 : 아래 요건에 해당하는 경우(35조) - 개인정보 처리 유형에 따라 개인의 권리와 자유에 중대한 위험을 초래할 가능성이 있는 경우 - 프로파일링을 포함한 자동화 처리에 근거한 평가로써 그 평가에 근거한 결정이 개인에게 중대한 영향을 미치는 경우 - 민감정보에 대한 대규모 처리하는 경우 - 공개적이고 접근 가능한 장소에 대한 대규모의 체계적인 모니터링 ◎ 위반시 처벌 가능 |
◎ 평가대상 : 아래 요건에 해당하는 공공기관(33조) - 100만명 이상의 개인정보파일 운영시 - 50만명 이상의 개인정보파일 연계시 - 5만명 이상의 민감정보, 고유식별정보 운영시 - 영향평가 후 운용체계를 변경하려는 경우 ◎ 위반시 처벌 규정 없음 |
(3) 정보주체의 권리 강화
- 개인정보 이동권 : 자신의 개인정보를 여러 다른 서비스에 걸쳐 재사용할 수 있도록 개인정보의 이동을 요구할 수 있는 권리
| EU GDPR | 한국 개인정보보호법 |
| ◎ 개요 : 정보주체가 자신이 제공했던 개인정보를 체계적 형태(CSV, XML 등)로 다시 전달받거나 그 개인정보를 다른 정보처리자에게 이전할 것을 요구할 수 있는 권리(20조) ◎ 권리행사 요건 : 아래에 해당하는 개인정보 처리시(단, 타인의 권리 침해하지 않아야 함) - 동의나 계약에 따라 개인정보를 처리하는 경우 - 자동 수단을 통한 개인정보 처리가 수행되는 경우 ◎ 미이행시 처벌 가능 |
관련 규정 없음 |
- 처리제한권
| EU GDPR | 한국 개인정보보호법 |
| ◎ 개요 : 자신의 개인정보에 대한 처리 또는 이용 제한을 요구할 권리(18조) ◎ 권리행사 요건 : 아래에 해당하는 경우 - 정보주체가 개인정보 정확성에 이의를 제기하는 경우 - 청구권의 입증이나 행사, 방어를 위해 요구하는 경우 - 정보주체가 이용 제한을 요청하는 경우 등 ◎ 미이행시 처벌 가능 |
◎ 개요 : 자신의 개인정보에 대한 처리 정지 등을 요구할 권리(37조) ◎ 미이행시 처벌 가능 |
- 삭제권
| EU GDPR | 한국 개인정보보호법 |
| ◎ 개요 : 자신의 개인정보에 대한 삭제를 요구할 권리(17조) ◎ 권리행사 요건 : 아래에 해당하는 경우 - 개인정보가 더이상 필요하지 않은 경우 - 정보주체가 동의를 철회하는 경우 - 정보주체가 프로파일링 또는 마케팅을 위한 개인정보 처리를 반대하는 경우 - 개인정보가 불법적으로 처리된 경우 - 법적 의무를 준수하기 위해 삭제해야 하는 경우 ◎ 미이행시 처벌 가능 |
◎ 개요 : 자신의 개인정보에 대한 정정 또는 삭제를 요구할 권리(36조) ◎ 권리행사 요건 : 다른 법령에서 수집 대상으로 명시되어 있는 개인정보를 제외하고는 삭제해야 함 ◎ 미이행시 처벌 가능 |
- 프로파일링 거부권
| EU GDPR | 한국 개인정보보호법 |
| ◎ 개요 : 프로파일링 등 자동화된 처리에 의해서만 자신에게 중대한 영향을 미치는 사항을 결정하는 것을 반대할 권리(22조) ◎ 권리행사 요건 : 아래의 경우를 제외하고 권리행사 가능 - 계약을 체결 또는 이행하는데 필요한 경우 - EU 또는 회원국 법률에 따른 경우 - 정보주체의 명백한 동의에 기반하는 경우 ◎ 미이행시 처벌 가능 |
관련 규정 없음 |
(4) 개인정보 국외 이전
- 우리나라는 개인정보 국외 이전시 원칙적으로 본인 동의를 요하는 반면, GDPR은 EU가 인정한 적절한 보호조치가 있는 경우 이전 허용
| EU GDPR | 한국 개인정보보호법 |
| ◎ 허용요건 : EU에서 인정하는 경우(45조, 46조) - (기업 차원) 표준계약 체결, 구속력있는 의무적 기업규칙(BCR), 공인 행동강령, 유럽 개인정보보호인증 등 - (국가 차원) EU 집행위원회의 적정성 결정 - (기타) 명시적 동의, 중요한 공익상 이유 등 ◎ 위반시 처벌 가능 |
◎ 허용요건 : 개인정보를 제공받는 자, 이용 목적 등을 알리고 동의를 받은 경우(17조) - 온라인 사업자의 경우에는 정보통신망법 63조에 따라 정보주체 동의 없이 이전 가능 ◎ 위반시 처벌 가능 |
