[정보보안기사] 정보보안 법규 정리 -3 개인정보보호법 정리

개인정보의 정의

1) "살아있는 개인을 식별할 수 있는 정보"로 성명, 주민번호등 특정개인을 식별 할 수 있는 정보

2) 특정 개인을 알아 볼 수 없더라도 다른 정보와 결합하여 특정 개인을 알아 볼 수 있는 정보도 포함된다.

3) 개인정보의 종류

     - 일반적정보 : 성명, 주민번호, 주소

     - 정신적정보 : 사상, 성향, 기호

     - 재산/신체적정보 : 금융 및 신용정보/의료 및 건강정보

     - 통신 및 위치정보 : 통화내역, IP주소, GPS정보

4) 개인정보보호법에서는 정보통신망법과 달리 이용자이외의 임직원, 협력업체등 모든 사람의 개인정보에 적용 된다.

개인정보의 수집·이용이 가능한 경우

1) 정보주체의 동의를 받은 경우

2) 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

3) 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

4) 정보주체와 계약의 체결 및 이행을 위하여 불가피하게 수반되는 경우

5) 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 자산의 이익을 위하여 필요하다고 인정되는 경우

6) 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백히 정보주체의 권리보다 우선하는 경우

정보주체의 권리

1) 개인정보의 처리에 관한 정보를 제공 받을 권리

2) 개인정보의 처리에 관한 동의 여부, 동의 범위등을 선택, 결정할 권리

3) 개인정보의 처리여부 확인, 개인정보 열람을 요구할 권리(사본의 발급 포함)

4) 개인정보의 처리정지, 정정·삭제 및 파기를 요구할 권리

5) 개인정보의 처리피해를 신속, 공정하게 구제받을 권리

개인정보 유출 통지 및 신고

1) 개인정보 유출을 알게 되었을 때 지체 없이(5일) 이내, 서면 등의 방법으로 정해진 사항을 통지 하여야 한다.

2) 1천명 이상의 개인정보 유출시는 서면등의 방법과 함께 인터넷 홈페이지에 7일 이상 통지사항을 게재 하여야 한다.

3) 대통령령으로 정한 규모 이상(1천명 이상)의 대량 개인정보 유출시는 정보주체에게 통지뿐 아니라 5일 이내 행정안전부 및 한국인터넷진흥원에 신고하여야 한다.

4) 개인정보 유출 통지 및 신고에 관한 정보통신망법과 개인정보보호법과 비교

   - 정보통신방법 및 개인정보보호법 모두 유출시 이용자 및 정보주체에게 통지하도록 되어있다.

   - 단, 정보통신방법의 신고는 유출 인원에 관계없이 해야 하지만 개인정보보호법은 1천명 이상의 개인정보가 유출되었을 경우만 한다. 이때 정보주체에 대한 통지 및 조치결과를 신고한다. 

개인정보의 처리 제한에 관한 법령

민감정보 처리 제한

1) 민감정보는 원칙적으로 처리 금지

     - 민감정보 : 사상, 신념, 노동조합·정당가입, 건강·유전정보, 범죄경력정보

2) 정보주체의 별도 동의가 있거나 법령에서 민감정보의 처리를 요구하거나 허용하는 경우에는 예외적으로 처리가능

     - 정보주체의 별도 동의가 있는 경우란 정보주체가 이를 명확히 인지하고 명시적으로 자신의 동의 의사를 밝힌 경우를 말한다.

3) 민감정보 처리에 대한 동의는, 다른 개인정보 처리에 대한 동의와 분리하여 별도로 동의를 받는다. 

4) 민감정보를 처리하는 경우 분실·도난·유출·위조·변조 또는 훼손되지 않게 안전성 확보에 필요한 조치를 하여야 한다.

고유식별정보 처리 제한

1) 고유식별정보는 원칙적으로 처리 금지

     - 고유식별정보 : 주민등로번호, 여권번호, 운전면허번호, 외국인등록번호

2) 정보주체의 별도 동의가 있거나 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우 예외적으로 처리 가능

     - 주민번호는 정보주체의 별도 동의가 있어도 처리 불가

3) 고유식별정보 처리시 유출 등을 방지하기 위하여 암호화 등 안전성 확보조치를 취할 것을 규정하고 있다.

     - 고시 제7조(개인정보의 암호화)에 따라 암호화 적용 여부 및 범위를 정한다.

4) 다음의 경우 행정안전부 장관은 개인정보처리자가 고유식별정보에 대한 안전성 확보조치를 이행하고 있는지를 2년마다 1회 이상 조사해야 한다.

     - 공공기관

     - 5만명 이상의 정보주체에 관하여 고유식별정보를 처리하는 자

주민등록번호 처리 제한

1) 주민등록번호는 정보주체의 동의를 받더라도 처리 할 수 없다.

2) 법령에 의해서만 처리가 가능하다.

     - 근거 없이 보유하는 주민등록번호 모두 파기

     - 주민등록번호는 생년월일 , i-pin 등으로 교체

3) 법령에 의해 주민등록번호의 처리가 가능한 경우라도, 주민등록번호를 사용하지 않고 홈페이지 회원으로 가입할 수 있는 방법을 제공해야 한다.

4) 주민등록번호 처리가 불가피하다면 반드시 암호화 하여야 한다.

     - 고시 제 7조(개인정보의 암호화)를 적용하고, 대상과 시기는 대통령령으로 정한다.

5) 개인정보처리자가 처리하는 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 5억원 이하의 과징금을 부과·징수할 수 있다.

6) 대표자(CEO) 등에 대한 징계권고(제65조 제3항)

     - 법규 위반 시 행정안전부장관의 징계권고 대상에 대표자(CEO) 및 책임 있는 임원이 명시 되어있다.