콜드 월렛(Cold Wallet): 인터넷에 연결되지 않거나 스마트 계약과 상호 작용하지 않는 암호화폐 지갑
핫월렛(HotWallet): 항상 인터넷에 연결되어 바로 출금이 가능한 암호화폐 지갑
멀티시그(Multi Signature): 다중서명, 가상자산을 보관하는 전자지갑의 개인 암호키를 3개로 나눠 만들고, 이 중 2개 이상의 열쇠를 이용하면 스마트컨트랙트를 통해 출금이 이뤄지는 방식
패스프레이즈(pass phrase) : 비밀구절, 비밀번호(password)와 유사하지만 24 단어 복구 문구에 추가하여 완전히 새로운 비밀 계정에 대한 액세스를 제공하는 선택적인 패스워드. 패스워드와 같이 사용자와 같은 특정 개체만이 알고 있는 문자열로 전산 시스템에 대한 사용자 인증이나 시스템 자원에 대한 접근 권한 확인에 사용
콜드월렛룸 : 가상화폐 이용자의 전자지갑을 안전하게 보관하기 위한 보안장치
ISMS-P 인증기준 세부점검항목(230711) - 가상자산사업자 대상
[요약]
1. 월렛 관련 주요 작업 내용은 비밀로 관리하고 최소한으로 배포
2. 가상자산 관련 자산목록은 최소한으로 배포
3. 정보보호최고책임자가 정보보안점검의 날을 지정
4. 가상자산 관련 장소 및 전산설비는 내부업무용과 분리 필요
5. 월렛과 관련된 공간은 일반 보호구역과 별도로 분리하여 관리
6. 월렛 관련 시스템/인원은 별도의 네트워크 존 구성
7. IDC 내 무선네트워크 운용 금지
8. 주요정보가 저장된 시스템 작업 시 책임자가 이중확인 필요
[숫자 정리]
정보보호 예산: IT 예산의 7% 이상
IT인력: 총 임직원의 5% 이상
정보보호 인력: IT인력의 5% 이상
정보보안의 날 점검결과 보고: 매 분기
가상자산의 핫 - 콜드 월렛의 보관 비율: 2:8
정보보호 및 개인정보보호 교육 시간:
- 임원: 3시간 이상 / CISO는 6시간 이상
- 일반직원: 6시간 이상
- 정보기술: 9시간 이상
- 정보보호: 12시간 이상
중요통제구역 관리현황 점검: 매 월
정보시스템 가동기록 보관: 1년 이상
이용자 중요원장에 직접 접근하여 작업: 5년 이상 작업 내용 보관
가상자산거래기록 보관: 5년 이상
취약점 점검:
- 대외 서비스: 반기 1회 이상
- 내부 서비스: 연 1회 이상
일반 인증기준과 다르거나 추가된 부분을 따로 정리했다. (개인적으로 이해하기 쉽도록 임의대로 요약함)
1.1.5 정책 수립
취급업소의 주요 자산분류 및 작업에 대한 보안요구사항이 정책, 매뉴얼, 지침 등에 포함
핫/콜드월렛 관련 주요 작업 지침 및 절차는 비밀로 관리하고 업무상 열람이 필요한 인원으로 배포를 제한
1.1.6 자원 할당
정보기술(IT)부문과 정보보호에 필요한 예산과 인력을 지원 (아래 비율 권고)
정보보호 예산을 정보기술(IT)부문 예산의 100분의 7이상
정보기술(IT)부문 인력은 총 임직원 수의 100분의 5이상
정보보호 인력은 정보기술(IT)부문 인력의 100분의 5이상
1.2.1 정보자산 식별
가상자산과 관련한 자산을 식별하여 목록으로 관리하고, 최소한 필요한 인원에게만 제공
주요자산 예시 : 개인키, 패스프레이즈, 월렛(핫, 콜드), 월렛금고, 중요 통제구역(월렛 작업공간) CCTV, 출입통제시스템, 월렛서버 및 관련 어플리케이션, 가상자산 노드서버, 가상 인프라(스토리지 포함), 콜드/핫 월렛용 단말기(노트북, PC), 자금세탁방지(AML) 관련 시스템 등
1.2.3 위험 평가
가상자산 취급업소에서 관리하는 가상자산의 콜드웰렛과 핫 월렛의 보유액 비율에 대한 경영진의 승인 필요
가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우의 위험식별 내용 필요
가상자산 노드서버가 공인IP 사용, DMZ 구간에 위치해야 하는 등 운영상 제약이 있는 경우, 그에 따른 위험 식별 필요
1.2.4 보호대책 선정
가상자산별 블록체인에서 멀티시그를 제공하지 않는 경우, MFA(Multi Factor Authentication), 키분할, 자체 구축한 멀티시그 방식 등 이를 대체하기 위한 안전장치가 보호대책에 포함
1.4.1 법적 요구사항 준수 검토
경영진은 가상자산 거래 서비스 안전성 확보 및 이용자 보호를 위한 법적 요구사항에 대해 임직원의 준수여부를 연 1회 이상 정기적으로 검토하고 최고경영자에게 보고
1.4.2 관리체계 점검
정보보호최고책임자는 정보보안점검의 날을 지정하고, 정보보안 점검항목을 수립하여 매분기 준수여부 점검 및 그 결과를 최고경영자에게 보고
2.1.1 정책의 유지관리
가상자산과 관련된 대내외 환경 변화 발생 시 영향 검토 및 필요 시 정책, 시행문서 제ㆍ개정
중대한 변화 예시 :
가상자산의 핫 - 콜드 월렛 보유액 비율 변경 (현재 2:8)
블록체인산업 관련 정책 변경 또는 가상자산 거래 관련 규제 신설
2.2.1 주요 직무자 지정 및 관리
월렛 및 개인키, 거래원장에 접근가능한 직무에 대하여 정의
2.2.4 인식제고 및 교육훈련
정보보호 및 개인정보보호 연간 교육 계획을 수립하고 경영진의 승인 필요 (아래 유형 별 교육시간 준수)
임원 : 3시간 이상 (단, 정보보호 최고책임자는 6시간 이상)
일반직원 : 6시간 이상
정보기술부문업무 담당 직원 : 9시간 이상
정보보호업무 담당 직원 : 12시간 이상
월렛 조직내 임직원은 직무별 정보보호 전문성 제고를 위해 별도의 교육을 수행 필요
2.3.3. 외부자 보안 이행 관리
제휴, 위탁을 통한 가상자산 거래 서비스, 개인정보처리시스템 개발 시 업무에 사용되는 장소 및 전산설비는 내부업무용과 분리 설치·운영
2.4.1 보호구역 지정
콜드-핫 월렛 관련 보관, 금고, 월렛 사용을 위한 공간 등 중요 통제구역을 일반 업무/보호구역과 별도로 분리하고, 통제구역으로 지정 및 관리
월렛룸 CCTV 및 월렛룸 출입통제장치, 금고관리대장 등 월렛룸에 대한 보호대책을 마련
2.4.2 출입통제
월렛룸에 대한 출입권한은 월렛룸에 출입가능한 인원이 부여하도록 통제
중요 통제구역에 대한 출입관리시스템, CCTV 및 출입관리대장, 출입권한자의 적절성 등에 대하여 매월 관리/검토하고 책임자에게 보고
2.4.5 보호구역 내 작업
월렛룸 내 작업 시, 관련 책임자 승인 및 작업절차(코인 이관절차, 감사인 동반 입장 등)를 수립/이행
2.5.5 특수 계정 및 권한 관리
가상자산 노드서버, 키관리 시스템, 월렛서버, 월렛 관련 어플리케이션 등 주요직무에 필요한 정보시스템에 접속할 수 있는 계정/권한을 특수 계정/권한으로 식별
2.6.1 네트워크 접근
가상자산 노드서버존(블록체인 참여 및 거래를 발생시킬 수 있는 서버 등)은 내부 및 다른 서버존의 장비들과 불필요한 통신/터미널 접속이 발생하지 않도록 접근 제어
월렛 접근 인원/시스템에 대한 별도 네트워크 존을 구성하고 접근통제 정책을 적용
2.6.2 정보시스템 접근
월렛관련 서버에 직접 접속(SSH 등)하거나 클라우드 환경에서 해당 서비스를 변경할 수 있는 관리콘솔에 대한 접근통제(접근권한 분리, 망분리,추가인증,보안토큰 등) 대책 마련
2.6.4 데이터베이스 접근
가상자산 거래 관련 중요 DB(월렛관련 DB, 회원DB, 가상자산 보유 현황 등)의 테이블 목록 등 저장, 관리되고 있는 정보를 식별
2.6.5 무선 네트워크 접근
IDC 내부에 무선통신망 설치 및 운용을 금지
2.6.6 원격접근 통제
월렛 관련 시스템의 접속은 예외 없이 외부 네트워크를 통한 원격 접근을 금지
2.6.7 인터넷 접속 통제
콜드월렛 작업시 월렛 및 개인키를 사용하는 노트북은 전용장비로 구성
전용장비 미 사용 시 전원 OFF 또는, 네트워크의 접속 차단(목적외 SW 설치 및 인터넷 사용 금지)
2.7.2 암호키 관리
월렛(핫 월렛, 콜드 월렛 등) 개인키의 유출, 도난, 분실을 방지할 수 있는 보안대책 및 절차를 수립ㆍ이행하고 있는가?
신규 코인 상장 시 안전한 개인키 생성 및 배포, 보관 절차
개인키 passphrase 설정 및 관리 방안
개인키의 안전한 보관(핫월렛, 콜드월렛)
개인키 접근 및 사용 절차
개인키 접근권한자에 의한 유출 및 권한 오남용 방지 대책
개인키 백업 및 소산
개인키 관련 책임추적성 확보
블록체인 및 핫/콜드 월렛 상의 보유량 변동 모니터링
기타(키 분할, passhrase 분할, 멀티시그, H/W월렛 등)
멀티시그를 지원하지 않는 코인, 토큰, 플랫폼의 경우에도, 취급업소내 가상자산의 송/수신시 보안이 강화된 안전장치 적용
2인 이상의 MFA(Multi-Factor Authentication) 인증
자체 개발한 멀티시그 기능(2개 이상의 key가 있어야만 거래가 가능하도록 통제 적용)
외부 인터넷 구간의 가상자산 노드서버와 분산원장을 동기화하는 취급업소의 노드서버에서는 개인키 및 개인키가 포함된 월렛을 사용하지 않도록 분리
핫/콜드 월렛에서 사용되는 키, 패스프레이즈는 물리적으로 안전한 장소에 소산하여 보관
2.8.1 보안 요구사항 정의
신규 가상자산 상장 시, 멀티시그 적용여부, 가상자산 노드서버 운영, 거래결과 확인방법 등 해당 코인 관련 보안 요구사항을 정의하고 적용
2.8.2 보안 요구사항 검토 및 시험
가상자산 거래 서비스 관련 다음과 같은 행위를 하고자 하는 경우 자체 보안성심의를 실시하고 있는가?
가상자산 거래에 사용되는 전산프로그램을 정보시스템에 설치 및 변경
정보통신망을 이용하여 이용자를 대상으로 신규 가상자산 거래업무 수행
복수의 가상자산 거래소가 공동으로 가상자산거래 관련 표준 제정
2.8.5 소스 프로그램 관리
월렛과 관련된 소스프로그램은 개발자 및 관리자 등에 대한 접근 권한을 구분하고 인가된 사용자만이 접근할 수 있도록 엄격하게 통제
중요도가 높은 소스 코드는(커스터마이징한 월렛, 키관리 소프트웨어, 거래 프로그램 등) 접근을 통제하기 위한 사용자 인증, 권한관리 절차를 수립ㆍ이행
2.9.1 변경 관리
장애 또는 오류 등에 의한 이용자 중요 전산원장 변경을 위하여 별도의 변경절차를 수립·운용
변경 대상 및 방법 변경 권한자 지정
변경 전후내용 자동기록 및 보존
변경 의뢰 시 변경대상 업무, 변경 사유, 변경 내용, 변경요청일 및 작업완료일, 변경의뢰 요청자 및 승인내용 등을 포함
원장변경 의뢰내용 및 변경결과에 대해 그 적정성에 대해 제3자(감사자 등) 확인
안전하고 체계적인 일괄작업(batch) 수행을 위하여 다음사항을 준수
작업요청서에 의한 책임자 승인
일괄작업의 최대한 자동화 및 오류 최소화
일괄작업 오류 발생 시 책임자 확인 및 조치
모든 일괄작업내용 기록관리
일괄작업 수행자의 주요업무관련행위 책임자 모니터링
2.9.3 백업 및 복구관리
개인키, 패스프레이즈와 같이 중요정보가 저장된 디바이스, 콜드 월렛, 백업매체 등의 경우 재해ㆍ재난에 대처할 수 있도록 내화금고에 보관하고, 물리적으로 떨어진 장소에 별도 소산
클라우드를 이용하여 서비스 하는 경우에도, 장애를 대비하여 중요정보(개인키, Passphrase 등)를 물리적으로 백업하고, 소산
2.9.4 로그 및 접속기록 관리
월렛에 대한 모든 접근 및 사용은 책임추적성을 확보할 수 있도록 관련 접속기록과 권한부여 및 삭제, 거래 발생 등의 행위이력 로그를 빠짐없이 기록 (개인키값 등 과도하게 불필요한 정보가 로그기록에 저장된 채로 방치되지 않도록 기록항목 검토)
정보시스템 가동기록을 1년 이상 유지
이용자 중요원장에 직접 접근하여 조회·수정·삭제·삽입한 경우 작업자 및 작업내용 등을 기록하여 5년간 보존
2.9.5 로그 및 접속기록 점검
전산원장, 주요정보, 이용자정보 등이 저장된 정보시스템에 대한 중요작업 수행 시 책임자가 이중확인
2.10.4 전자거래 및 핀테크 보안
이용자가 취급업소의 로그인/출금/사용자 정보 변경 등의 서비스를 이용할 경우, 추가 인증수단 또는, 멀티시그를 적용
OTP, 인증서, 기기인증 등
가상자산거래기록의 보존(5년) 및 관리
2.10.6 업무용 단말기기 보안
주요 작업 담당자 및 개인정보취급자 업무용 단말기, 콜드/핫 월렛용 단말기에 대해 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 강화된 통제정책을 수립ㆍ이행
2.11.1 사고 예방 및 대응체계 구축
월렛 개인키 유출, 가상자산 탈취 등의 사고 발생시 보호대책으로 수립된 사항에 대해 대응체계 및 절차를 마련
2.11.2 취약점 점검 및 조치
정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가?
대외서비스: 반기 1회 이상
내부시스템: 연 1회 이상
2.11.3 이상행위 분석 및 모니터링
월렛 접근과 관련하여 실시간 알람 등을 통해 사고 방지 체계를 구축
월렛에 대한 비인가 접근, 권한 오남용, 개인키 접근 및 유출, 비인가자에 의한 가상자산 이체 등 비정상 행위를 탐지, 대응할 수 있도록 관련 로그 검토 및 모니터링 기준과 절차를 수립ㆍ이행
개인정보의 안전성 확보조치 기준은 반드시 잘 알아둬야 하는 문서인 만큼, 새로 발간된 문서를 보면 덜 지루하고 좋을 것 같다.
제2조(정의)
이 기준에서 사용하는 용어의 뜻은 다음과 같다. 1. “개인정보처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다. 2. “이용자”란 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제4호에 따른 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다. 3. “접속기록”이란 개인정보처리시스템에 접속하는 자가 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 “접속”이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다. 4. “정보통신망”이란 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호의 「전기통신사업법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체계를 말한다. 5. “P2P(Peer to Peer)”란 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접 연결되어 파일을 공유하는 것을 말한다. 6. “공유설정”이란 컴퓨터 소유자의 파일을 타인이 조회·변경·복사 등을 할 수 있도록 설정하는 것을 말한다. 7. “모바일 기기”란 무선망을 이용할 수 있는 스마트폰, 태블릿 컴퓨터 등 개인정보 처리에 이용되는 휴대용 기기를 말한다. 8. “비밀번호”란 정보주체 및 개인정보취급자 등이 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다. 9. “생체정보”란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 인증·식별하거나 개인에 관한 특징을 알아보기 위해 일정한 기술적 수단을 통해 처리되는 정보를 말한다. 10. “생체인식정보”란 생체정보 중 특정 개인을 인증 또는 식별할 목적으로 일정한 기술적 수단을 통해 처리되는 정보를 말한다. 11. “인증정보”란 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속을 요청하는 자의 신원을 검증하는데 사용되는 정보를 말한다. 12. “내부망”이란 인터넷망 차단, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다.
13. “위험도 분석”이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별·평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다. 14. “보조저장매체”란 이동형 하드디스크(HDD), 유에스비(USB)메모리 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 쉽게 연결·분리할 수 있는 저장매체를 말한다.
3. 접속기록은 정말 너무나도 중요한 정의이다. ISMS-P 여러 범위에 걸쳐서 등장하기 때문에, 5가지 항목을 잘 외워야 한다.
9, 10. 생체정보가 특정 개인을 인증/식별하려는 목적으로 사용되는 경우에는 생체인식정보에 해당한다.
생체인식정보는 생체인식 원본정보와 생체인식 특징정보가 있다. 원본정보로부터 특징점을 추출하는 등의 일정한 기술적 수단을 통해 생성되는 것이 특징정보이다. 예를 든다면 안면 사진은 원본정보이며, 안면의 윤곽점을 잡아 얼굴 윤곽을 통해 특정 개인을 식별한다면 얼굴 윤곽은 특징정보이다.
9. 생체(인식)정보는 개인정보에 포함되기 때문에 기본적으로는 정보주체의 동의를 받고 처리해야 한다.
9. 특정 개인을 알아보기 위해 기술적으로 처리되지 않는다면 생체정보에 해당하지 않는다. 예를 들면, 일반적인 길거리에서 지나가는 행인들을 촬영한 영상이 있다면, 해당 행인들의 영상은 생체정보가 아니다. (개인정보는 될 수 있음)
제4조(내부 관리계획의 수립·시행 및 점검)
① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는내부 관리계획을 수립·시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인·개인·단체의 경우에는 생략할 수 있다. 1. 개인정보 보호 조직의 구성 및 운영에 관한 사항 2. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항 3. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항 4. 개인정보취급자에 대한 관리·감독 및 교육에 관한 사항
5. 접근 권한의 관리에 관한 사항 6. 접근 통제에 관한 사항 7. 개인정보의 암호화 조치에 관한 사항 8. 접속기록 보관 및 점검에 관한 사항 9. 악성프로그램 등 방지에 관한 사항 10. 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항 11. 물리적 안전조치에 관한 사항
12. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항 13. 위험 분석 및 관리에 관한 사항 14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 15. 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항 16. 그 밖에 개인정보 보호를 위하여 필요한 사항
② 개인정보처리자는 다음 각 호의 사항을 정하여 개인정보 보호책임자 및 개인정보취급자를 대상으로 사업규모, 개인정보 보유 수, 업무성격 등에 따라 차등화하여 필요한 교육을 정기적으로 실시하여야 한다. 1. 교육목적 및 대상 2. 교육 내용 3. 교육 일정 및 방법
③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
④ 개인정보 보호책임자는 접근 권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연1회 이상 점검·관리 하여야 한다.
- 내부 관리계획이라는 명칭을 사용하지 않아도 무방하다.
- 해당하는 사항이 없는 항목은 목차에서 제외하거나 "해당 사항 없음"으로 작성할 수 있다. (제외 사유는 다른 관련 사항에 포함되어야 함)
제5조(접근 권한의 관리)
① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 개인정보 취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다.
② 개인정보처리자는 개인정보취급자 또는 개인정보취급자의 업무가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.
③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
④ 개인정보처리자는 개인정보처리시스템에 접근할 수 있는 계정을 발급하는 경우 정당한 사유가 없는 한 개인정보취급자 별로 계정을 발급하고 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
⑤ 개인정보처리자는 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다.
⑥ 개인정보처리자는 정당한 권한을 가진 개인정보취급자 또는 정보주체만이 개인정보처리 시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다.
1. 접근 권한은 최소한의 범위에서 부여해야 한다. 업무를 위한 최소 권한을 부여해야 오남용의 여지가 없다. 영업 부서가 회계 부서의 정보에 접근 가능하다면 최소 권한을 초과하는 권한이 부여됐을 가능성이 높다.
1. 접근 권한은 차등 부여해야 한다. 정보보호팀 소속이라는 이유 만으로 개인정보처리시스템에 대한 모든 권한을 부여하지 말고, 읽기 권한만 필요한 개인정보취급자에게는 읽기 권한만 부여해야 한다.
1. 본인이 자신의 정보를 조회/수정하는 것은 본 접근 권한에 포함되지 않는다.(정보주체 본인이 자신의 개인정보는 조회/수정 가능해야 함)
1. 특히 가명정보를 처리하는 경우, 가명정보와 추가정보에 접근할 수 있는 담당자를 반드시 구분해야 한다.(가명정보와 추가정보는 분리보관 필요)
2. 퇴직자 뿐만 아니라 휴직자, 장기 부재자의 경우에도 권한을 변경 또는 회수하는 것이 바람직하다.
3. 접근 권한 변경 내역에는 신청자, 신청일시, 승인자, 접근 권한 정보, 변경 사유 등이 포함되어야 한다.
6. 일정 횟수 이상 인증에 실패하여 접근이 제한된 사용자의 접근 권한을 복구할 때에는 사용자 본인이 맞는지 먼저 확인해야 한다.
제6조(접근통제)
① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 안전조치를 하여야 한다. 1. 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가받지 않은 접근을 제한 2. 개인정보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응
② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다.
③ 개인정보처리자는 처리하는 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 개인정보취급자의 컴퓨터 및 모바일 기기 등에 조치를 하여야 한다.
④ 개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 접속이 차단되도록 하는 등 필요한 조치를 하여야 한다.
⑤ 개인정보처리자는 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치를 하여야 한다.
다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리 시스템을 구성 ·운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접근 제한에는 IP주소 뿐만 아니라 포트, MAC 기반이나 여러 기능을 혼합하여 제한이 가능하다. 탐지/대응하는 내용에는 IP/Port 뿐만 아니라 이상행위에 대한 탐지도 이루어져야 한다.(과도한 실패 로그, 부적절한 명령어 입력 등)
2. 안전한 인증수단과 안전한 접속수단의 자이를 명확히 알아야 한다.
1) 안전한 인증수단: ID/PW 외 추가적인 인증을 적용(인증서, 보안토큰, 일회용 비밀번호 등)
2) 안전한 접속수단: 접속 내용이 외부에 노출되지 않거나, 노출되더라도 암호화 등을 통해 안전을 보장(VPN, 전용선 등)
3. 개인정보 유/노출 방지 조치 예시:
1) 홈페이지 주소, 소스코드 등에 개인정보 사용 금지
2) 관리자 페이지 노출 금지
3) 엑셀 파일 숨기기 기능 사용 시 유의
4) 시큐어 코딩 도입
5) 취약점 점검 및 개선
4. 세션 타임아웃 설정은 필수적이다. 보통 10분~60분 사이가 적절하나, 그 타임아웃의 적절성은 신청기관에서 증명해야 한다. 특별한 상황/환경으로 인해 장기접속이 필요할 경우에는 장기접속 설정 사유, 설정 기간 등의 기록을 관리하는 것이 바람직하다.
4. 접속 차단은 개인정보처리시스템과 연결이 차단되어 정보 송수신이 불가능한 상태가 되어야 한다.
4. 접속 차단 미조치 예시:
1) 화면보호기만 설정한 경우
2) 재 접속 시 자동 로그인이 가능한 경우
3) 접속 차단시간을 예외적 적용 이후 원복이 되지 않은 경우
5. 업무용 모바일 기기의 보호조치 예시:
1) 비밀번호, 지문 등을 사용한 화면 잠금 적용
2) 내부 데이터 암호화
3) USIM 잠금 설정
4) 모바일 기기 제조사 및 이동통신사가 제공하는 원격 잠금, 원격 데이터 삭제
5) MDM 등을 통한 관리
6. 망분리를 해야하는 대상에 대해 명확히 알아둬야 한다. (개인정보 다운로드/파기 또는 접근 권한 설정 가능한 단말기)
제7조(개인정보의 암호화)
① 개인정보처리자는 비밀번호, 생체인식정보 등 인증정보를 저장 또는 정보통신망을 통하여 송·수신하는 경우에 이를 안전한 암호 알고리즘으로 암호화하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
② 개인정보처리자는 다음 각 호의 해당하는 이용자의 개인정보에 대해서는 안전한 암호 알고리즘으로 암호화하여 저장하여야 한다. 1. 주민등록번호 2. 여권번호 3. 운전면허번호 4. 외국인등록번호 5. 신용카드번호 6. 계좌번호 7. 생체인식정보
③ 개인정보처리자는 이용자가 아닌 정보주체의 개인정보를 다음 각 호와 같이 저장하는 경우에는 암호화하여야 한다. 1. 인터넷망 구간 및 인터넷망 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우 2. 내부망에 고유식별정보를 저장하는 경우(다만, 주민등록번호 외의 고유식별정보를 저장하는 경우에는 다음 각 목의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다) 가. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과 나. 암호화 미적용시 위험도 분석에 따른 결과
④ 개인정보처리자는 개인정보를 정보통신망을 통하여 인터넷망 구간으로 송·수신하는 경우에는 이를 안전한 암호 알고리즘으로 암호화하여야 한다.
⑤ 개인정보처리자는 이용자의 개인정보 또는 이용자가 아닌 정보주체의 고유식별정보, 생체인식정보를 개인정보취급자의 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 안전한 암호 알고리즘을 사용하여 암호화한 후 저장하여야 한다.
⑥ 10만명 이상의 정보주체에 관하여 개인정보를 처리하는 대기업·중견기업·공공기관 또는 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 중소기업·단체에 해당하는 개인정보 처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.
1. 인증정보: 개인정보처리시스템 또는 정보통신망 관리 시스템 등에 대한 접속자 신원 검증에 사용하는 정보
1. 인증정보는 내부망 및 인터넷 망 모두 포함하는 모든 통신망에서 송/수신 시 암호화 해야 한다.
1. 안전한 암호화 알고리즘은 SHA 해시 224비트 이상, AES 키 길이 128비트 이상, RSA 키 길이 2048비트 이상을 말한다.
또한 DES, MD5, SHA1과 같은 보안강도가 낮은 알고리즘은 사용해서는 안 된다.
2. 이용자의 고유식별정보+신용카드번호, 계좌번호, 생체인식정보는 암호화 하여 저장해야 한다.
2. 이용자가 아닌 정보주체는 조건이 좀 더 완화되어 있다. 고유식별정보만 암호화를 하면 되는데, 내부망에 저장할 때에는 주민등록번호 외에는 영향평가 또는 위험도 분석을 통해 암호화 적용 여부를 임의로 정할 수 있다.
2. 단말기, 보조저장매체 등에 저장할 때 이용자는 모든 개인정보를 암호화 해야 하며, 이용자가 아닌 정보주체는 고유식별정보, 생체인식정보만 암호화 하면 된다.
2. 아래 표는 정말 중요하다. 표의 내용을 직접 물어보지는 않고, 인터뷰에 녹여서 물어보기 때문에, 특정 경우에 어떤 개인정보가 암호화 대상인지 알아둬야 한다.
6. 10만명 이상 정보주체의 개인정보를 처리하는 대기업, 중견기업, 공공기관 + 100만명 이상 정보주체의 개인정보를 처리하는 중소기업, 단체는 암호키 관리 절차가 필요하다. 처리하는 개인정보의 규모가 큰 회사에 적용되는 조건이다. 다만, 기업의 조건에 따라 암호키 관리 절차 필요 여부를 알 수 있어야 한다.
6. 암호키 관리 절차: 키 생성, 분배, 운영, 폐기 등
제8조(접속기록의 보관 및 점검)
① 개인정보처리자는 개인정보취급자의 개인정보처리시스템에 대한 접속기록을 1년 이상 보관·관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관·관리하여야 한다. 1. 5만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리시스템에 해당하는 경우 2. 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템에 해당하는 경우 3. 개인정보처리자로서 「전기통신사업법」제6조제1항에 따라 등록을 하거나 같은 항 단서에 따라 신고한 기간통신사업자에 해당하는 경우
② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보의 다운로드가 확인된 경우에는 내부 관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.
③ 개인정보처리자는 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하기 위한 조치를 하여야 한다.
1. 접속기록: 접속 일시, 접속지 IP주소, 식별자, 처리한 정보주체 정보, 수행 업무
1. 일반적인 개인정보처리자는 1년 이상만 접속기록을 보관하면 되지만, 5만명 이상 개인정보 처리, 고유식별정보/민감정보 처리, ISP는 2년 이상 보관해야 한다는 차이가 있다. 해당 정보주체 수 조건이 개인정보보호법과는 상이하기 때문에 유의해서 암기해야 한다.
2. 월 1회 이상 반드시 개인정보처리시스템의 접속기록 등을 점검해야 한다. 특히 개인정보가 다운로드된 경우는 사유를 꼭 확인해야 한다.
3. 접속기록 보관 조치 예시: 상시 백업하여 별도의 저장장치에 보관, 덮어쓰기 방지 매체, 백업 매체+무결성 확인 정보 등
제9조(악성프로그램 등 방지)
① 개인정보처리자는 악성프로그램 등을 방지·치료할 수 있는 보안 프로그램을 설치·운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다. 1. 프로그램의 자동 업데이트 기능을 사용하거나, 정당한 사유가 없는 한 일 1회 이상 업데이트를 실시하는 등 최신의 상태로 유지 2. 발견된 악성프로그램 등에 대해 삭제 등 대응 조치
② 개인정보처리자는 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우 정당한 사유가 없는 한 즉시 이에 따른 업데이트 등을 실시하여야 한다.
1. 백신 프로그램에 대한 내용이다.
2. 즉시 라는 단어는 바로 당장을 말하는 것은 아니고, 시스템 영향도 등을 고려하여 업데이트 적용까지 고려되는 합리적인 시간을 의미한다. 그 합리성은 신청기관에서 증명해야 한다.
제10조(물리적 안전조치)
① 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립·운영하여야 한다.
② 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
③ 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련하여야 한다. 다만, 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 이를 적용하지 아니할 수 있다.
1. 출입통제 절차 예시: 출입 요청/승인 체계 운영, 출입 기록 작성 및 관리 등(수기 또는 전자적 매체 활용)
1. 개인정보를 보관하고 있는 물리적 보관 장소가 없는 경우에는 출입통제 절차가 반드시 필요하지는 않다.
제11조(재해·재난 대비 안전조치)
10만명 이상의 정보주체에 관하여 개인정보를 처리하는 대기업·중견기업·공공기관 또는 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 중소기업·단체에 해당하는 개인정보처리자는 화재, 홍수, 단전 등의 재해·재난 발생 시 개인정보처리시스템 보호를 위한 다음 각 호의 조치를 하여야 한다. 1. 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검 2. 개인정보처리시스템 백업 및 복구를 위한 계획을 마련
- 암호키 관리 절차와 마찬가지로, 10만명 이상 정보주체의 개인정보 처리하는 대기업, 중견기업, 공공기관+100만명 이상 정보주체의 개인정보 처리하는 중소기업, 단체는 위기대응 메뉴얼을 마련하고 정기적으로 점검해야 하며, 개인정보처리시스템 백업 및 복구 계획이 있어야 한다.
- 백업 및 복구 계획에는 재난 별 초기대응 방안, 백업 및 복구 우선순위, RPO/RTO, 각 담당자별 역할, 비상연락망 등이 포함된다.
제12조(출력·복사시 안전조치)
① 개인정보처리자는 개인정보처리시스템에서 개인정보의 출력시 (인쇄, 화면표시, 파일생성 등) 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화하여야 한다. ② 개인정보처리자는 개인정보가 포함된 종이 인쇄물, 개인정보가 복사된 외부 저장매체 등 개인정보의 출력·복사물을 안전하게 관리하기 위해 필요한 안전조치를 하여야 한다.
1. 용도에 따른 최소한의 항목만 출력되어야 한다. 나머지 항목은 아예 표기를 하지 않거나 마스킹하는 방법 등을 통해 처리해야 한다.
1. 출력 시 안전조치 예시:
1) 문서 파일 내 숨겨진 항목에 개인정보 저장 X
2) 웹페이지 소스에 개인정보 저장 X
3) like 검색이 아닌 일치 검색 또는 다중조건 검색으로만 개인정보 확인하도록 조치
2. 출력/복사물 보호조치 예시:
1) 출력/복사물 생성/관리대장 마련
2) 워터마크, 복합기 보안(사원증 태그)
3) 파기 절차 및 계획 마련
4) DRM이나 보안 USB, DLP 등 적용
제13조(개인정보의 파기)
① 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다. 1. 완전파괴(소각·파쇄 등) 2. 전용 소자장비(자기장을 이용해 저장장치의 데이터를 삭제하는 장비)를 이용하여 삭제 3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다. 1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독 2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 구멍 뚫기 등으로 삭제
③ 기술적 특성으로 제1항 및 제2항의 방법으로 파기하는 것이 현저히 곤란한 경우에는 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치를 하여야 한다.
1. 개인정보의 파기 방법은 중요하다. 암기하기에 어렵지 않으니 무조건 알아둬야 한다.
1. 데이터가 복원되지 않도록 파기하는 방법에는 덮어쓰기(3회 이상), 완전포맷(3회 이상), 암호화 후 키 폐기 등이 있다.
2. 개인정보를 일부만 파기할 때 전자적 파일의 경우에는 일부 파기 후 주기적으로 모니터링 및 점검을 해야 한다.
3. 블록체인 등 기술을 적용하여 파기가 곤란한 경우에는 익명처리 등을 적용해야 한다. 또한 블록체인에 저장된 개인정보 파기 시에는 개인 솔트값(키값)을 함께 삭제해야 한다.
그 외 공공기관과 관련된 내용은 포기하고 다른 내용을 더 공부하는 것이 낫다고 생각하기 때문에, 내용을 굳이 정리하지는 않았다.
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
개인정보의 안전성 확보 조치 (시행령 제30조)
1. 내부 관리계획의 수립ㆍ시행 및 점검 - 개인정보취급자 관리ㆍ감독 및 교육 - 개인정보 보호책임자 포함 개인정보 보호 조직의 구성 ㆍ운영 2. 개인정보 접근 권한 제한 - 개인정보처리시스템 접근 권한 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행 - 인증수단 적용 기준의 설정 및 운영 3. 개인정보 접근 통제 - 개인정보처리시스템에 대한 침입 탐지 및 차단 - 망 분리 (일일평균 이용자 수 100만명 이상인 개인정보처리자만 해당) 4. 개인정보 안전하게 저장 및 전송 - 비밀번호 일방향 암호화 저장 - 주민번호 등의 정보 암호화 저장 - 개인정보 또는 인증정보 송수신 시 해당 정보 암호화 5. 접속기록의 보관 및 위조ㆍ변조 방지 - 접속기록(접속일시, 접속지 정보, 계정, 처리한 정보주체 정보, 수행업무) - 접속기록의 안전한 보관 6. 백신 설치ㆍ운영과 주기적 갱신ㆍ점검 조치 7. 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
잘 알아둬야 하는 개인정보의 안전성 확보 조치 기준은 별도의 포스팅에서 다룰 예정이다.
개인정보보호법과 안전성 확보 조치 기준은 서로 연결되어 있기 때문에 내용을 연관지어서 알아야 한다.
제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.
순번
항목
필수 여부
1
처리 목적
필수
2
처리 및 보유 기간
필수
3
처리 항목
필수
4
파기절차 및 파기방법
필수 + 보존 시 근거와 보존 항목
5
정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법(열람, 정정/삭제, 자동화된 결정 거부/설명 요구 등)
필수
6
민감정보의 공개 가능성 및 비공개를 선택하는 방법
해당 시
7
제3자 제공 관련 사항
해당 시
8
위수탁 관련 사항
해당 시
9
국외 이전의 근거 및 관련사항(이전 항목, 이전 국가/시기/방법, 이전받는 자, 이전받는 자의 이용목적 및보유ㆍ이용 기간, 이전 거부방법, 절차 및 거부의 효과)
해당 시
10
국내 대리인 지정
해당 시
11
개인정보 보호책임자의 성명 및 관련 부서의 명칭 및 연락처
필수
12
개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항
해당 시
13
자동수집장치를 통해 제3자가 행태정보를 수집하는 경우의 그 수집/이용 및 거부
해당 시, 권장
14
국외 이전의 근거 및 관련사항(이전 항목, 이전 국가/시기/방법, 이전받는 자, 이전받는 자의 이용목적 및 보유ㆍ이용 기간, 이전 거부방법, 절차 및 거부의 효과)
해당 시
15
개인정보의 안전성 확보 조치 사항
필수
16
국외에서 국내 정보주체 개인정보 수집시 개인정보를 처리하는 국가명
해당 시
17
가명정보의 처리 등
해당 시
18
정보주체 권익침해에 대한 구제 → 관련 전문기관 정보 안내
권장
19
고정형 영상정보처리기기 운영/관리방침
해당 시
20
이동형 영상정보처리기기 운영/관리방침
해당 시
21
개인정보 처리방침 변경사항→ 개정 이력 및 이전버전 내용 포함(신구대조표)
필수
② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.
④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다.
개인정보 처리방침을 보고 필수적인 내용이 전부 적절하게 포함되어 있는지 식별할 수 있어야 한다. 선택적으로 포함되어야 하는 항목도 누락 여부를 식별해낼 수 있어야 한다.
개인정보 처리방침 작성 가이드라인도 참조할 만 하다.
제30조의2(개인정보 처리방침의 평가 및 개선권고)
① 보호위원회는 개인정보 처리방침에 관하여 다음 각 호의 사항을 평가하고, 평가 결과 개선이 필요하다고 인정하는 경우에는 개인정보처리자에게 제61조제2항에 따라 개선을 권고할 수 있다. 1. 이 법에 따라 개인정보 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지 여부 2. 개인정보 처리방침을 알기 쉽게 작성하였는지 여부 3. 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부
개인정보 처리방침의 평가 대상 및 절차(시행령 제31조의2) 및 개인정보 처리방침 평가에 관한 고시
1. 평가대상 선정기준 (매년 평가 시작일 기준 14일 전까지 평가계획 수립) 1) 전년도 매출액 1500억 이상 + 3개월 간 개인정보 정보주체 수 일일 평균 100만명 이상 2) 민감정보 또는 고유식별정보 3개월 간 정보주체 수 일일 평균 5만명 이상 3) 개인정보 처리방침 내 정보주체의 동의없이 처리할 수 있는 개인정보와 동의를 받아 처리하는 개인정보를 구분하지 않은 경우 4) 완전히 자동화된 시스템 또는 새로운 기술을 통해 개인정보를 처리함으로 인해 침해 발생 우려가 있는 경우 5) 최근 3년 간 개인정보 유출 또는 과징금/과태료를 부과받은 경우 6) 19세 미만 아동 또는 청소년이 주된 이용자인 정보통신서비스 제공자
2. 평가계획 통보 - 평가 개시 10일 전까지 해당 개인정보 처리자에게 평가계획을 통보해야 함
3. 평가위원회 구성 - 위원장 1명 + 위원 20명~50명 (위원 임기 1년)
4. 이의 신청 - 평가결과 통보일 기준 20일 이내에 개보위에 이의신청 가능 - 30일 이내에 이의신청 검토 후 결과 통지해야 함 (14일 연장 가능)
개보위에서 개인정보 처리방침을 평가할 수도 있다. 개인정보 처리방침에 문제가 있어 보이거나, 유출 사례가 있는 경우에는 조사받을 수도 있다.
10일 전에 통보한 후 바로 조사를 올 수 있다.
제32조(개인정보파일의 등록 및 공개)
① 공공기관의 장이 개인정보파일을 운용하는 경우에는 다음 각 호의 사항을 보호위원회에 등록하여야 한다. 등록한 사항이 변경된 경우에도 또한 같다. 1. 개인정보파일의 명칭 2. 개인정보파일의 운영 근거 및 목적 3. 개인정보파일에 기록되는 개인정보의 항목 4. 개인정보의 처리방법 5. 개인정보의 보유기간 6. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자 7. 그 밖에 대통령령으로 정하는 사항
>>
8. 개인정보의 정보주체 수
9. 개인정보 처리 담당부서
10. 열람 요구 처리부서
② 다음 각 호의 어느 하나에 해당하는 개인정보파일에 대하여는 제1항을 적용하지 아니한다.
1.국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일 2.범죄의 수사, 공소의 제기및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일 3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일 4.일회적으로 운영되는 파일등 지속적으로 관리할 필요성이 낮다고 인정되어 대통령령으로 정하는 개인정보파일 5. 다른 법령에 따라 비밀로 분류된 개인정보파일
③ 보호위원회는 필요하면 제1항에 따른 개인정보파일의 등록여부와 그 내용을 검토하여 해당 공공기관의 장에게 개선을 권고할 수 있다.
④ 보호위원회는 정보주체의 권리 보장 등을 위하여 필요한 경우 제1항에 따른 개인정보파일의 등록 현황을 누구든지 쉽게 열람할 수 있도록 공개할 수 있다.
⑤ 제1항에 따른 등록과 제4항에 따른 공개의 방법, 범위 및 절차에 관하여 필요한 사항은 대통령령으로 정한다.
⑥ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정한다.
공공기관만 운용하는 개인정보파일 운용 관련하여 등록해야 하는 사항을 숙지해야 한다.
등록 예외 조항 중 일회성 파일을 잘 알아둬야 한다.
제33조(개인정보 영향평가)
①공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 “영향평가”라 한다)를 하고 그 결과를 보호위원회에 제출하여야 한다.
② 보호위원회는 대통령령으로 정하는 인력ㆍ설비 및 그 밖에 필요한 요건을 갖춘 자를 영향평가를 수행하는 기관(이하 “평가기관”이라 한다)으로 지정할 수 있으며, 공공기관의 장은 영향평가를 평가기관에 의뢰하여야 한다.
③ 영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다. 1. 처리하는 개인정보의 수 2. 개인정보의 제3자 제공 여부 3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
>>
4. 민감정보 또는 고유식별정보의 처리 여부
5. 개인정보 보유기간
④ 보호위원회는 제1항에 따라 제출받은 영향평가 결과에 대하여 의견을 제시할 수 있다.
⑤ 공공기관의 장은 제1항에 따라 영향평가를 한 개인정보파일을 제32조제1항에 따라 등록할 때에는 영향평가 결과를 함께 첨부하여야 한다.
⑥ 보호위원회는 영향평가의 활성화를 위하여 관계 전문가의 육성, 영향평가 기준의 개발ㆍ보급 등 필요한 조치를 마련하여야 한다.
⑦ 보호위원회는 제2항에 따라 지정된 평가기관이 다음 각 호의 어느 하나에 해당하는 경우에는 평가기관의 지정을 취소할 수 있다. 다만, 제1호 또는 제2호에 해당하는 경우에는 평가기관의 지정을 취소하여야 한다. 1. 거짓이나 그 밖의 부정한 방법으로 지정을 받은 경우 2. 지정된 평가기관 스스로 지정취소를 원하거나 폐업한 경우 3. 제2항에 따른 지정요건을 충족하지 못하게 된 경우 4. 고의 또는 중대한 과실로 영향평가업무를 부실하게 수행하여 그 업무를 적정하게 수행할 수 없다고 인정되는 경우 5. 그 밖에 대통령령으로 정하는 사유에 해당하는 경우
⑧ 보호위원회는 제7항에 따라 지정을 취소하는 경우에는 「행정절차법」에 따른 청문을 실시하여야 한다.
⑨ 제1항에 따른 영향평가의 기준ㆍ방법ㆍ절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
영향평가의 평가기준(시행령 제38조) 및 개인정보 영향평가에 대한 고시
1. 영향평가의 기준 - 개인정보의 종류ㆍ성질, 정보주체의 수 - 안전성 확보 조치의 수준 - 개인정보 침해의 위험요인별 조치 여부 - 개보법 및 개보법 시행령에 따라 필요한 조치 또는 의무의 위반 요소
2. 영향평가서: 평가기관 > 공공기관의 장 > 개보위 * 영향평가서 포함 내용: - 대상 및 범위 - 평가 분야 및 항목 - 위험요인에 대한 분석ㆍ평가 - 조치 내용 및 개선계획 - 영향평가의 결과
* 공공기관의 장은 영향평가서 전달받은 날로부터 2개월 이내에 보호위원회에 제출 * 공공기관의 장은 영향평가 결과 개선사항으로 지적받은 사항에 대한 이행결과 및 계획 등을 영향평가서 제출받은 날로부터 1년 이내에 보호위원회에 제출
3. "개인정보 영향평가": 공공기관의 장이 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에 그 위험요인의 분석과 개선 사항 도출을 위한 평가를 말한다.
* 개인정보보호위원회 > (구성/운영) > 영향평가위원회 > (지정) > 영향평가기관
출처: 개인정보보호위원회 - 개인정보 영향평가제도
출처: 개인정보보호위원회 - 개인정보 영향평가제도
⑩ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 영향평가에 관한 사항은 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따른다.
⑪ 공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적극 노력하여야 한다.
PIA에 대한 근거 조항이다. 영향평가 시 고려사항을 잘 알아둬야 한다.
영향 평가서(2개월 이내)와 결과 및 이행조치 계획서(1년 이내)를 제출해야 하는 기간도 헷갈릴 수 있다.
영향평가는 계획 및 분석/설계 단계에서 이루어진다는 점도 중요하다. 평가절차를 전부 외울 필요는 없고, 흐름만 이해하면 될 것 같다.
제34조(개인정보 유출 등의 통지ㆍ신고)
① 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조에서 “유출등”이라 한다)되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사항을 알려야 한다. 다만, 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다. 1. 유출등이 된 개인정보의항목 2. 유출등이 된시점과 그 경위 3. 유출등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여정보주체가 할 수 있는 방법등에 관한 정보 4. 개인정보처리자의대응조치 및 피해 구제절차 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 개인정보처리자는 개인정보가 유출등이 된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
③ 개인정보처리자는 개인정보의 유출등이 있음을 알게 되었을 때에는 개인정보의 유형, 유출등의 경로 및 규모 등을 고려하여 대통령령으로 정하는 바에 따라 제1항 각 호의 사항을 지체 없이 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 보호위원회 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다.
④ 제1항에 따른 유출등의 통지 및 제3항에 따른 유출등의 신고의 시기, 방법, 절차 등에 필요한 사항은 대통령령으로 정한다.
개인정보 유출 등의 신고(시행령 제 40조)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우로서 개인정보가 유출등이 되었음을 알게 되었을 때에는72시간 이내에 법 제34조제1항 각 호의 사항을 서면등의 방법으로 보호위원회 또는 같은 조 제3항 전단에 따른 전문기관에 신고해야 한다. 다만, 천재지변이나 그 밖에 부득이한 사유로 인하여 72시간 이내에 신고하기 곤란한 경우에는 해당 사유가 해소된 후 지체 없이 신고할 수 있으며, 개인정보 유출등의 경로가 확인되어 해당 개인정보를 회수ㆍ삭제하는 등의 조치를 통해정보주체의 권익 침해 가능성이 현저히 낮아진 경우에는 신고하지 않을 수 있다. 1.1천명 이상의 정보주체에 관한개인정보가 유출등이 된 경우 2.민감정보 또는 고유식별정보가 유출등이 된 경우 3. 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 유출등이 된 경우
② 제1항에도 불구하고 개인정보처리자는 제1항에 따른 신고를 하려는 경우로서 법 제34조제1항제1호 또는 제2호의 사항에 관한 구체적인 내용을 확인하지 못한 경우에는 개인정보가 유출등이 된 사실, 그때까지 확인된 내용 및 같은 항제3호부터 제5호까지의 사항을 서면등의 방법으로 우선 신고해야 하며, 추가로 확인되는 내용에 대해서는 확인되는 즉시 신고해야 한다.
유출 등 발생 시 1조의 알려야하는 조항을 정보주체에게도 알리고, 개보위 또는 KISA에 신고해야 한다는 점을 알아둬야 한다.
1. 정보주체에게 알리는 기준: 1명 이상의 개인정보 유출 등
2. 기관에 신고하는 기준: 1000명 이상의 개인정보 유출 등 또는 1명 이상의 민감정보/고유식별정보 유출 등
3. 알리는 시기: 72시간 이내
4. 신고 예외: 3~5호만 우선 신고 가능
6. 파기
제21조(개인정보의 파기)
① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
>> 광고 기록: 6개월 보관
결제 기록: 5년 보관
계약 및 청약 철회: 5년 보관
소비자 불만 또는 분쟁 처리: 3년 보관
>> 해당 조항 내 "지체 없이" = 5일 이내
② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장ㆍ관리하여야 한다.
>> 다른 DB에 저장해야 함 (별도의 구분자만 추가하거나, 테이블을 나눴지만 권한이 분리되지 않으면 불충분함)
④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.
개인정보의 안전성 확보조치 기준
제13조(개인정보의 파기) ① 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다. 1. 완전파괴(소각ㆍ파쇄 등) 2. 전용 소자장비(자기장을 이용해 저장장치의 데이터를 삭제하는 장비)를 이용하여 삭제 3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다. 1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독 2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 구멍 뚫기 등으로 삭제
③ 기술적 특성으로 제1항 및 제2항의 방법으로 파기하는 것이 현저히 곤란한 경우에는 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치를 하여야 한다. >>익명 처리
분리 보관에 대해 명확히 알아둬야 한다. 특정 예시가 분리 보관에 부합하는지 아닌지의 여부를 알 수 있어야 하기 때문이다.
기술적으로 파기가 곤란할 때에는 익명 처리하는 것도 파기로서 인정되는 방법이다.
7. 정보주체 권리보장
제35조(개인정보의 열람)
① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다.
② 제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 보호위원회를 통하여 열람을 요구할 수 있다.
③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다.
>>10일 이내에 열람 요구에 대응해야 함
④ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다. 1. 법률에 따라 열람이 금지되거나 제한되는 경우 2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우 가.조세의 부과ㆍ징수또는 환급에 관한 업무 나. 「초ㆍ중등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의성적 평가 또는 입학자 선발에 관한 업무
>> 교원평가 다. 학력ㆍ기능 및채용에 관한 시험, 자격 심사에 관한 업무 라. 보상금ㆍ급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무 마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무
⑤ 제1항부터 제4항까지의 규정에 따른 열람 요구, 열람 제한, 통지 등의 방법 및 절차에 관하여 필요한 사항은 대통령령으로 정한다.
정보주체가 열람 요구할 수 있는 사항(시행령 제41조)
1. 개인정보의 항목 및 내용 2. 개인정보의 수집ㆍ이용의 목적 3. 개인정보 보유 및 이용 기간 4. 개인정보의 제3자 제공 현황 5. 개인정보 처리에 동의한 사실 및 내용
열람 요구에 10일 이내 대응해야 한다는 점이 중요하다. 또한, 원칙적으로 본인만 요구를 할 수 있지만 아래의 케이스는 법정대리인이 요구할 수 있다.
1. 만 14세 미만 미성년자: 법정대리인만 요구 가능함
2. 만 14세 이상 미성년자: 법정대리인 또는 본인이 요구 가능함
열람을 요구할 수 있는 사항도 중요하다.
제35조의2(개인정보의 전송 요구)
① 정보주체는 개인정보 처리 능력 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 다음 각 호의 요건을 모두 충족하는 개인정보를 자신에게로 전송할 것을 요구할 수 있다.
1. 정보주체가 전송을 요구하는 개인정보가 정보주체 본인에 관한 개인정보로서 다음 각 목의 어느 하나에 해당하는 정보일 것 가. 제15조제1항제1호, 제23조제1항제1호 또는 제24조제1항제1호에 따른동의를 받아 처리되는개인정보 나. 제15조제1항제4호에 따라 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 처리되는 개인정보 다. 제15조제1항제2호ㆍ제3호, 제23조제1항제2호 또는 제24조제1항제2호에 따라 처리되는 개인정보 중 정보주체의 이익이나 공익적 목적을 위하여 관계 중앙행정기관의 장의 요청에 따라 보호위원회가 심의ㆍ의결하여 전송 요구의 대상으로 지정한 개인정보
2. 전송을 요구하는 개인정보가 개인정보처리자가 수집한 개인정보를 기초로분석ㆍ가공하여 별도로 생성한 정보가 아닐 것 3. 전송을 요구하는 개인정보가 컴퓨터 등 정보처리장치로 처리되는 개인정보일 것
② 정보주체는 매출액, 개인정보의 보유 규모, 개인정보 처리 능력, 산업별 특성 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 제1항에 따른 전송 요구 대상인 개인정보를 기술적으로 허용되는 합리적인 범위에서 다음 각 호의 자에게 전송할 것을 요구할 수 있다. 1. 제35조의3제1항에 따른 개인정보관리 전문기관 2. 제29조에 따른 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자
③ 개인정보처리자는 제1항 및 제2항에 따른 전송 요구를 받은 경우에는 시간, 비용, 기술적으로 허용되는 합리적인 범위에서 해당 정보를 컴퓨터 등 정보처리장치로 처리 가능한 형태로 전송하여야 한다.
④ 제1항 및 제2항에 따른 전송 요구를 받은 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 법률의 관련 규정에도 불구하고 정보주체에 관한 개인정보를 전송하여야 한다. 1. 「국세기본법」 제81조의13 2. 「지방세기본법」 제86조 3. 그 밖에 제1호 및 제2호와 유사한 규정으로서 대통령령으로 정하는 법률의 규정
⑤ 정보주체는 제1항 및 제2항에 따른 전송 요구를 철회할 수 있다.
⑥ 개인정보처리자는 정보주체의 본인 여부가 확인되지 아니하는 경우 등 대통령령으로 정하는 경우에는 제1항 및 제2항에 따른 전송 요구를 거절하거나 전송을 중단할 수 있다.
⑦ 정보주체는 제1항 및 제2항에 따른 전송 요구로 인하여 타인의 권리나 정당한 이익을 침해하여서는 아니 된다.
최근 마이데이터 등으로 인해 중요해지는 조항이다.
마이데이터 가이드라인 을 참조하여 전송기관과 중계기간의 차이, 전송 절차 등의 상세한 내용을 알아야 한다.
제36조(개인정보의 정정ㆍ삭제)
① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.
② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ㆍ삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.
>> 10일 이내
③ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
④ 개인정보처리자는 정보주체의 요구가 제1항 단서에 해당될 때에는 지체 없이 그 내용을 정보주체에게 알려야 한다.
⑤ 개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주체에게 정정ㆍ삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다.
제37조(개인정보의 처리정지 등)
① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의정지를 요구하거나 개인정보 처리에 대한동의를 철회할 수 있다. 이 경우 공공기관에 대해서는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다.
② 개인정보처리자는 제1항에 따른 처리정지 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다. 1.법률에 특별한 규정이 있거나법령상 의무를 준수하기 위하여 불가피한 경우 2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 3.공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는소관 업무를 수행할 수 없는 경우 4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우
③ 개인정보처리자는 정보주체가 제1항에 따라 동의를 철회한 때에는 지체 없이 수집된 개인정보를 복구ㆍ재생할 수 없도록 파기하는 등 필요한 조치를 하여야 한다. 다만, 제2항 각 호의 어느 하나에 해당하는 경우에는 동의 철회에 따른 조치를 하지 아니할 수 있다.
④ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하거나 제3항 단서에 따라 동의 철회에 따른 조치를 하지 아니하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다.
⑤ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다. >> 처리 정지 요구가 인정된다면, 해당 개인정보를 처리할 이유가 소멸되는 것이기 때문에 지체없이 파기해야 함
제37조의2(자동화된 결정에 대한 정보주체의 권리 등)
① 정보주체는 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함한다)으로 개인정보를 처리하여 이루어지는 결정(「행정기본법」 제20조에 따른 행정청의 자동적 처분은 제외하며, 이하 이 조에서 “자동화된 결정”이라 한다)이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 개인정보처리자에 대하여 해당 결정을 거부할 수 있는 권리를 가진다. 다만, 자동화된 결정이 제15조제1항제1호ㆍ제2호 및 제4호에 따라 이루어지는 경우에는 그러하지 아니하다.
② 정보주체는 개인정보처리자가 자동화된 결정을 한 경우에는 그 결정에 대하여 설명 등을 요구할 수 있다.
③ 개인정보처리자는 제1항 또는 제2항에 따라 정보주체가 자동화된 결정을 거부하거나 이에 대한 설명 등을 요구한 경우에는 정당한 사유가 없는 한 자동화된 결정을 적용하지 아니하거나 인적 개입에 의한 재처리ㆍ설명 등 필요한 조치를 하여야 한다.
>> 요구에 응해 조치할 경우: 30일 이내 + 서면 등 (2회 연장 가능)
요구에 불응해 거절할 경우: 10일 이내 + 서면 등
④ 개인정보처리자는 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.
>> 개인정보 처리방침에 포함해야 함
AI를 주로 활용하지만 사람의 개입이 다소 포함되어 있는 경우와 같이 완전히 자동화되지 않은 결정에 대해서는 적용할 수 없는 법이다.
제38조(권리행사의 방법 및 절차)
① 정보주체는 제35조에 따른 열람, 제35조의2에 따른 전송, 제36조에 따른 정정ㆍ삭제, 제37조에 따른 처리정지 및 동의 철회, 제37조의2에 따른 거부ㆍ설명 등의 요구(이하 “열람등요구”라 한다)를 문서 등 대통령령으로 정하는 방법ㆍ절차에 따라 대리인에게 하게 할 수 있다.
② 만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동의 개인정보 열람등요구를 할 수 있다.
③ 개인정보처리자는 열람등요구를 하는 자에게 대통령령으로 정하는 바에 따라 수수료와 우송료(사본의 우송을 청구하는 경우에 한한다)를 청구할 수 있다. 다만, 제35조의2제2항에 따른 전송 요구의 경우에는 전송을 위해 추가로 필요한 설비 등을 함께 고려하여 수수료를 산정할 수 있다.
④ 개인정보처리자는 정보주체가 열람등요구를 할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개하여야 한다. 이 경우 열람등요구의 방법과 절차는 해당 개인정보의수집 방법과 절차보다 어렵지 아니하도록하여야 한다.
⑤ 개인정보처리자는 정보주체가 열람등요구에 대한 거절 등 조치에 대하여 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하고 안내하여야 한다.
8. 손해배상 및 분쟁조정
제39조(손해배상책임)
① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
③ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그손해액의 5배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.
④ 법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다. 1. 고의 또는 손해 발생의 우려를 인식한 정도 2. 위반행위로 인하여 입은 피해 규모 3. 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익 4. 위반행위에 따른 벌금 및 과징금 5. 위반행위의 기간ㆍ횟수 등 6. 개인정보처리자의 재산상태 7. 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도 8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도
제39조의2(법정손해배상의 청구)
① 제39조제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
>> 구체적인 손해액 산정이 어려울 경우
일반인은 구체적인 손해액 산정이 어렵기 때문에, 손해배상 시에는 법정손해배상으로 청구하면 법원이 손해액을 산정하도록 할 수 있다.
제39조의7(손해배상의 보장)
① 개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 제39조 및 제39조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.
② 제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 조치를 하지 아니할 수 있다. 1. 대통령령으로 정하는공공기관, 비영리법인 및 단체 2. 「소상공인기본법」 제2조제1항에 따른소상공인으로서 대통령령으로 정하는 자에게 개인정보 처리를 위탁한 자 3. 다른 법률에 따라 제39조 및 제39조의2에 따른 손해배상책임의 이행을 보장하는보험 또는 공제에 가입하거나준비금을 적립한 개인정보처리자
③ 제1항 및 제2항에 따른 개인정보처리자의 손해배상책임 이행 기준 등에 필요한 사항은 대통령령으로 정한다.
손해배상책임 최소 금액 기준(시행령 제48조의7)
규모와 매출에 따른 적립금액 기준을 잘 알아둬야 한다. 인터뷰 예시에서는 "적립금은 xx원입니다." 라는 식으로 단 1줄로 나오지만, 해당 기준을 모르면 적립금이 적은지 많은지를 거의 알 수 없다.
제49조(집단분쟁조정)
① 국가 및 지방자치단체, 개인정보 보호단체 및 기관, 정보주체, 개인정보처리자는 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우로서 대통령령으로 정하는 사건에 대하여는 분쟁조정위원회에 일괄적인 분쟁조정(이하 “집단분쟁조정”이라 한다)을 의뢰 또는 신청할 수 있다.
② 제1항에 따라 집단분쟁조정을 의뢰받거나 신청받은 분쟁조정위원회는 그 의결로써 제3항부터 제7항까지의 규정에 따른 집단분쟁조정의 절차를 개시할 수 있다. 이 경우 분쟁조정위원회는 대통령령으로 정하는 기간 동안 그 절차의 개시를 공고하여야 한다.
>>14일 내절차의 개시 공고 의무
③ 분쟁조정위원회는 집단분쟁조정의 당사자가 아닌 정보주체 또는 개인정보처리자로부터 그 분쟁조정의 당사자에 추가로 포함될 수 있도록 하는 신청을 받을 수 있다.
④ 분쟁조정위원회는 그 의결로써 제1항 및 제3항에 따른 집단분쟁조정의 당사자 중에서 공동의 이익을 대표하기에 가장 적합한 1인 또는 수인을 대표당사자로 선임할 수 있다.
⑤ 분쟁조정위원회는 개인정보처리자가 분쟁조정위원회의 집단분쟁조정의 내용을 수락한 경우에는 집단분쟁조정의 당사자가 아닌 자로서 피해를 입은 정보주체에 대한 보상계획서를 작성하여 분쟁조정위원회에 제출하도록 권고할 수 있다.
⑥ 제48조제2항에도 불구하고 분쟁조정위원회는 집단분쟁조정의 당사자인 다수의 정보주체 중 일부의 정보주체가 법원에 소를 제기한 경우에는 그 절차를 중지하지 아니하고, 소를 제기한 일부의 정보주체를 그 절차에서 제외한다.
⑦ 집단분쟁조정의 기간은 제2항에 따른 공고가 종료된 날의 다음 날부터 60일 이내로 한다. 다만, 부득이한 사정이 있는 경우에는 분쟁조정위원회의 의결로 처리기간을 연장할 수 있다.
⑧ 집단분쟁조정의 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
제51조(단체소송의 대상 등)
다음 각 호의 어느 하나에 해당하는 단체는 개인정보처리자가 제49조에 따른 집단분쟁조정을 거부하거나 집단분쟁조정의 결과를 수락하지 아니한 경우에는 법원에 권리침해 행위의 금지ㆍ중지를 구하는 소송(이하 “단체소송”이라 한다)을 제기할 수 있다.
>> 집단분쟁조정이 성립되지 않을 경우 단체소송 제기 가능
1. 「소비자기본법」 제29조에 따라 공정거래위원회에 등록한소비자단체로서 다음 각 목의 요건을 모두 갖춘 단체 가. 정관에 따라 상시적으로 정보주체의 권익증진을 주된 목적으로 하는 단체일 것 나. 단체의 정회원수가 1천명 이상일 것 다. 「소비자기본법」 제29조에 따른 등록 후 3년이 경과하였을 것
2. 「비영리민간단체 지원법」 제2조에 따른비영리민간단체로서 다음 각 목의 요건을 모두 갖춘 단체 가. 법률상 또는 사실상 동일한 침해를 입은 100명 이상의 정보주체로부터 단체소송의 제기를 요청받을 것 나. 정관에 개인정보 보호를 단체의 목적으로 명시한 후 최근 3년 이상 이를 위한 활동실적이 있을 것 다. 단체의 상시 구성원수가 5천명 이상일 것 라. 중앙행정기관에 등록되어 있을 것
소비자단체와 비영리민간단체는 집단분쟁조정이 성립되지 않은 건에 대해 단체소송을 제기할 수 있다. 전부 다 외울 수 있다면 좋겠지만, 소비자단체와 비영리민간단체 기준을 전부 외워야 할지는 약간 의문이다. 눈에 익숙해지는 정도면 충분할 것 같다.
① 개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제28조의8제1항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다.
>> 정보주체에게 동의받은 목적 범위 내에서만 이용 및 제공해야 함
② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만,제5호부터 제9호까지에 따른 경우는공공기관의 경우로 한정한다.
1. 정보주체로부터별도의동의를 받은 경우 2. 다른법률에 특별한 규정이 있는 경우 3. 명백히 정보주체 또는 제3자의급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는소관 업무를 수행할 수 없는 경우로서보호위원회의 심의ㆍ의결을 거친 경우 6.조약, 그 밖의국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우 7.범죄의 수사와공소의 제기 및 유지를 위하여 필요한 경우 8.법원의 재판업무수행을 위하여 필요한 경우 9.형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우 10. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우
③ 개인정보처리자는 제2항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를제공받는 자 2. 개인정보의이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다) 3. 이용 또는 제공하는 개인정보의항목 4. 개인정보의보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다) 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
④ 공공기관은 제2항제2호부터 제6호까지, 제8호부터 제10호까지에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 보호위원회가 고시로 정하는 바에 따라관보 또는 인터넷 홈페이지 등에 게재하여야 한다.
>> 목적 외 이용/제공한 날로부터 30일 이내에 게재해야 함(인터넷 홈페이지 게재 시 10일 이상 유지)
⑤ 개인정보처리자는 제2항 각 호의 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다. 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 한다.
중요한 내용이 많은 조항이다.
1. 개인정보를 목적 외 용도로 이용/제공 시의 요건(5~9호는 공공기관으로 한정 > 관보 또는 인터넷 홈페이지에 공개)
2. 목적 외 이용/제공을 위해 동의받을 시 동의 항목
3. 공공기관은 관보 또는 인터넷 홈페이지 등에 게재(30일 이내 / 인터넷은 10일 이상 유지)
제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지)
①정보주체 이외로부터 수집한 개인정보 처리 시 정보주체의 요구가 있으면 아래의 모든 사항을 알려야 함
1. 수집 출처
2. 처리 목적
3. 처리 정지 요구 및 동의 철회 권리가 있다는 사실
>> 정보주체가 1~3번 중 하나라도 요구한다면 3가지 사항을 반드시 모두 알려야 함(1~2가지만 알리면 안 됨)
②기준에 부합하는 개인정보 처리자는 정보주체 이외로부터 수집 및 처리 시 1항의 모든 사항을 정보주체에게 알려야 함(개인정보에 연락처 없으면 해당 X)
>> 제20조의2(개인정보 이용ㆍ제공 내역의 통지)와 함께 통지할 수 있음
수집출처 통지 세부사항(시행령 제15조의2)
1. 통지 기준: - 5만명 이상 민감정보/고유식별정보 처리 - 100만명 이상의 개인정보 처리
2. 통지 시기: 개인정보 제공받은 날로부터 3개월 이내 (주기적 제공 시 연 1회 이상)
3. 통지 방법 - 서면, 전자우편, 전화, 문자전송 등 - 재화 및 서비스 제공 과정에서 쉽게 알 수 있는 알림창
4. 통지 내역 보관(개인정보 파기 시까지) - 정보주체에게 알린 사실 - 알린 시기 - 알린 방법
정보주체 요구 시 알려야 하는 사항(1개라도 요구하면 3개 모두 알려야 함)
+ 5만명/100만명 이상 개인정보처리자는 정보 수집 및 처리 시 3개월 이내에 통지하고, 통지 내역을 파기 시까지 보관 필요
제20조의2(개인정보 이용ㆍ제공 내역의 통지)
①기준에 부합하는 개인정보 처리자는개인정보의 이용ㆍ제공 내역(을 확인할 수 있는 방법)을 주기적으로 정보주체에게 통지해야 함
>> 통지내역 보관 의무 X
수집출처 통지 세부사항(시행령 제15조의3)
1. 통지 기준: - 5만명 이상 민감정보/고유식별정보 처리 - 100만명 이상의 개인정보 처리
2. 통지 시기: 연 1회 이상
3. 통지 방법 - 서면, 전자우편, 전화, 문자전송 등 - 재화 및 서비스 제공 과정에서 쉽게 알 수 있는 알림창
4. 통지 항목 - 개인정보의 수집ㆍ이용 목적 및 수집한 개인정보의 항목 - 개인정보를 제공받은 제3자와 그 제공 목적 및 제공한 개인정보의 항목
5. 통지 예외대상 - 거부의사 표시한 정보주체 - 개인정보처리자 소속 임직원 또는 업무 관련기관 - 법률 상 규정 또는 법령 상 의무 - 공공기관 소관업무 관련
매년 이용/제공 내역을 통지해야 하는 의무를 발생시키는 조항이다. 통지 항목이 다른 항목들과 다르기 때문에 유의해야 한다.
통지 예외대상도 중요하다.(법률 또는 공공기관 소관업무로 인한 이용은 통지하지 않아도 되며, 개인정보처리자 소속 임직원도 통지 예외대상임)
제22조의2(아동의 개인정보 보호)
① 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 하며, 법정대리인이 동의하였는지를 확인하여야 한다.
>> 동의 시 적법한 법정대리인인지 본인확인 등을 통해 검증 필요
② 제1항에도 불구하고 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보로서 대통령령으로 정하는 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다.
>> 최소한의 정보: 법정대리인 성명 및 연락처 (동의하지 않을 경우5일 이내법정대리인 개인정보 삭제)
③ 개인정보처리자는 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 할 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용하여야 한다.
>> 법정대리인 동의받는 방법
1) 인터넷 사이트 이용 + 핸드폰 문자메시지
2) 인터넷 사이트 이용 + 카드정보 제공
3)인터넷 사이트 이용 + 핸드폰 본인인증
4) 직접 서명날인 후 제출
5) 전자우편 이용
6) 전화로 동의 또는 전화로 확인할 수 있는 방법 제공
제23조(민감정보의 처리 제한)
①개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다. 1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
>> 민감정보: 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활, 유전정보, 범죄경력자료, 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보, 인종/민족
② 민감정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 조치를 하여야 한다.
③ 개인정보처리자는 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알려야 한다.
특정 정보가 민감정보에 포함되는지 잘 숙지해야 하며, 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 재화/서비스 제공 전에 알려야 한다는 점도 중요하다. 보통은 개인정보 처리방침에 포함한다.
제24조(고유식별정보의 처리 제한)
① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 “고유식별정보”라 한다)를 처리할 수 없다. 1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
>> 고유식별정보: 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호
③ 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.
④ 보호위원회는 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제3항에 따라 안전성 확보에 필요한 조치를 하였는지에 관하여 대통령령으로 정하는 바에 따라 정기적으로 조사하여야 한다.
>> 아래 대상에 대해 3년에 1회 정기적으로 조사해야 함
1만명 이상의 고유식별정보를 처리하는 공공기관
법 위반 이력/내용/정도를 고려하여 조사의 필요성이 인정되는 공공기관
공공기관 외 고유식별정보 5만명 이상 처리하는 개인정보처리자
⑤ 보호위원회는 대통령령으로 정하는 전문기관으로 하여금 제4항에 따른 조사를 수행하게 할 수 있다.
제24조의2(주민등록번호 처리의 제한)
① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다. 1. 법률ㆍ대통령령ㆍ국회규칙ㆍ대법원규칙ㆍ헌법재판소규칙ㆍ중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우 2. 정보주체 또는 제3자의급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우 3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회가 고시로 정하는 경우
>> 정보주체의 동의 만으로는 처리하면 안 됨
② 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록암호화조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.
>> 반드시 암호화 해야 함
③ 개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.
④ 보호위원회는 개인정보처리자가 제3항에 따른 방법을 제공할 수 있도록 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련ㆍ지원할 수 있다.
주민등록번호는 정보주체의 동의 만으로는 처리가 불가하다. 또한 암호화 조치가 무조건 적용되어야 한다.
제28조의2(가명정보의 처리 등)
① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.
가명정보를 처리할 수 있는 요건을 숙지해야 한다.
제28조의3(가명정보의 결합 제한)
① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.
② 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 익명정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다.
③ 제1항에 따른 결합 절차와 방법, 전문기관의 지정과 지정 취소 기준ㆍ절차, 관리ㆍ감독, 제2항에 따른 반출 및 승인 기준ㆍ절차 등 필요한 사항은 대통령령으로 정한다.
제28조의4(가명정보에 대한 안전조치의무 등)
① 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관ㆍ관리하는 등 해당 정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
② 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 경우 처리목적 등을 고려하여 가명정보의 처리 기간을 별도로 정할 수 있다.
③ 개인정보처리자는 가명정보를 처리하고자 하는 경우에는 가명정보의처리 목적, 제3자 제공 시제공받는 자, 가명정보의처리 기간(제2항에 따라 처리 기간을 별도로 정한 경우에 한한다) 등 가명정보의 처리 내용을 관리하기 위하여 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 하며, 가명정보를 파기한 경우에는 파기한 날부터3년 이상보관하여야 한다.
>> 가명정보 처리 시 기록 항목
1. 처리 목적
2. 가명처리 항목
3. 이용내역
4. 제3자 제공 시 제공받는 자
5. 처리 기간(처리 기간을 정한 경우에 한정)
가명정보 처리 시 기록 항목을 잘 알아둬야 한다. 일반적인 수집 동의 항목과 헷갈릴 수 있다. 해당 기록 항목은 가명정보 를 파기한 날로부터 3년 이상 보관해야 한다는 점도 중요하다.
제28조의5(가명정보 처리 시 금지의무 등)
① 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 자는 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다.
② 개인정보처리자는 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수ㆍ파기하여야 한다.
제28조의7(적용범위)
>> 가명정보 적용 예외:
1. 수집출처 통지
2. 이용/제공내역 통지
3. 영업 양수도 시 통지
4. 유출 통지/신고
5. 열람청구 등(열람 요구, 전송 요구, 정정/삭제 요구, 처리 정지 요구)
>> 가명정보 라고 해도, 아래의 내용에 대해서는 개인정보보호법 적용 대상임
1. 파기
2. 위수탁
3. 국외이전
4. 제공
제17조(개인정보의 제공)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다.
1.정보주체의 동의를 받은 경우 2. 제15조제1항제2호, 제3호 및 제5호부터 제7호까지에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우
>> 계약 체결 및 이행 목적으로는 정보주체의 동의없이 개인정보를 제공할 수 없음
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를제공받는 자 2. 개인정보를 제공받는 자의 개인정보이용 목적 3. 제공하는 개인정보의항목 4. 개인정보를 제공받는 자의 개인정보보유 및 이용 기간 5.동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그불이익의 내용
④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다.
이 조항 역시 눈감고도 외워야 하는 중요한 내용이다.
제3자 제공을 위한 동의 항목에 "받" 와 "하"를 헷갈리지 않도록 잘 알아둬야 한다.
제26조(업무위탁에 따른 개인정보의 처리 제한)
① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된문서로 하여야 한다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
>>
1) 위탁업무의 목적 및 범위
2) 재위탁 제한 (재위탁 시 위탁자 동의 필요)
3) 안전성 확보 조치
4) 관리감독 및 손해배상 등 책임
② 위탁자는 위탁 업무 내용과 (재)수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
>> 개인정보 처리방침에 공개
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를감독하여야 한다.
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.
⑥ 수탁자는 위탁받은 개인정보의 처리 업무를 제3자에게 다시 위탁하려는 경우에는위탁자의 동의를 받아야 한다.
⑦ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.
헷갈리는 내용이 많은 조항이다.
1. 위수탁 계약서에 포함되는 내용
2. 재화 또는 서비스 홍보 목적의 업무 위탁은 정보주체 통지 필요(위탁 업무 내용, 수탁자) > 정보주체 동의가 필요한 것은 아님
3. 교육 및 관리감독 의무
4. 재위탁 제한 = 위탁자 동의 필요
제27조(영업양도 등에 따른 개인정보의 이전 제한)
① 개인정보처리자는 영업의 전부 또는 일부의 양도ㆍ합병 등으로 개인정보를 다른 사람에게 이전하는 경우에는 미리다음 각 호의 사항을 대통령령으로 정하는 방법에 따라 해당 정보주체에게 알려야 한다. 1. 개인정보를이전하려는 사실 2. 개인정보를 이전받는 자(이하 “영업양수자등”이라 한다)의 성명(법인의 경우에는 법인의 명칭을 말한다), 주소, 전화번호 및 그 밖의 연락처 3. 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차
② 영업양수자등은 개인정보를 이전받았을 때에는 지체 없이 그 사실을 대통령령으로 정하는 방법에 따라 정보주체에게 알려야 한다. 다만, 개인정보처리자가 제1항에 따라 그 이전 사실을 이미 알린 경우에는 그러하지 아니하다.
>> 1차적 통지 책임은 양도자에게 있으나, 양수자에게도 2차적으로 책임이 부과됨
③ 영업양수자등은 영업의 양도ㆍ합병 등으로 개인정보를 이전받은 경우에는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공할 수 있다. 이 경우 영업양수자등은 개인정보처리자로 본다.
제28조의8(개인정보의 국외 이전)
① 개인정보처리자는 개인정보를 국외로 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 절에서 “이전”이라 한다)하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 국외로 이전할 수 있다.
1. 정보주체로부터 국외 이전에 관한별도의동의를 받은 경우 2.법률, 대한민국을 당사자로 하는조약또는 그 밖의국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우 3. 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁ㆍ보관이 필요한 경우로서 다음 각 목의 어느 하나에 해당하는 경우 가. 제2항 각 호의 사항을 제30조에 따른개인정보 처리방침에 공개한 경우 나. 전자우편 등 대통령령으로 정하는 방법에 따라 제2항 각 호의 사항을정보주체에게 알린 경우 4. ISMS-P 인증 + 다음 각 목의 조치를 모두 한 경우 가. 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치 나. 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치 5. 개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 미리 다음 각 호의 사항을 정보주체에게 알려야 한다. 1. 이전되는 개인정보항목 2. 개인정보가 이전되는국가, 시기 및 방법 3. 개인정보를 이전받는 자의성명(법인인 경우에는 그 명칭과 연락처를 말한다) 4. 개인정보를 이전받는 자의 개인정보이용목적 및 보유ㆍ이용 기간 5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과
③ 개인정보처리자는 제2항 각 호의 어느 하나에 해당하는 사항을 변경하는 경우에는 정보주체에게 알리고 동의를 받아야 한다.
④ 개인정보처리자는 제1항 각 호 외의 부분 단서에 따라 개인정보를 국외로 이전하는 경우 국외 이전과 관련한 이 법의 다른 규정, 제17조부터 제19조까지의 규정 및 제5장의 규정을 준수하여야 하고, 대통령령으로 정하는 보호조치를 하여야 한다.
⑤ 개인정보처리자는 이 법을 위반하는 사항을 내용으로 하는 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.
최근 들어 중요해지고 있는 조항이다.
국외 이전 요건이 많기 때문에 잘 알아둬야 하며, 국외 이전 동의 항목에 국가, 시기 및 방법과 거부하는 방법, 절차 및 거부의 효과가 포함된 것도 중요하다.
제28조의9(개인정보의 국외 이전 중지 명령)
① 보호위원회는 개인정보의 국외 이전이 계속되고 있거나 추가적인 국외 이전이 예상되는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자에게 개인정보의 국외 이전을 중지할 것을 명할 수 있다.
1. 제28조의8제1항, 제4항 또는 제5항을 위반한 경우 2. 개인정보를 이전받는 자나 개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보 보호 수준에 비하여 개인정보를 적정하게 보호하지 아니하여 정보주체에게 피해가 발생하거나 발생할 우려가 현저한 경우
>> 부적절한 근거를 통한 개인정보 국외 이전, 안전조치 미 수행, 개인정보보호법을 위반하여 국외 이전하는 경우
② 개인정보처리자는 제1항에 따른 국외 이전 중지 명령을 받은 경우에는 명령을 받은 날부터 7일 이내에 보호위원회에 이의를 제기할 수 있다.
제31조의2(국내대리인의 지정)
① 국내에 주소 또는 영업소가 없는 개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 자는 다음 각 호의 사항을 대리하는 자(이하 “국내대리인”이라 한다)를 지정하여야 한다. 이 경우 국내대리인의 지정은 문서로 하여야 한다. 1. 제31조제3항에 따른 개인정보 보호책임자의 업무 2. 제34조제1항 및 제3항에 따른 개인정보 유출 등의 통지 및 신고 3. 제63조제1항에 따른 물품ㆍ서류 등 자료의 제출
>>
1) 전년도 전체 매출액 1조원 이상
2) 전년도 말 직전 3개월 간 개인정보가 관리되고 있는 국내 정보주체의 수가 일 평균 100만명 이상
② 국내대리인은 국내에 주소 또는 영업소가 있어야 한다.
③ 개인정보처리자는 제1항에 따라 국내대리인을 지정하는 경우에는 다음 각 호의 사항을 개인정보 처리방침에 포함하여야 한다. 1. 국내대리인의 성명(법인의 경우에는 그 명칭 및 대표자의 성명을 말한다) 2. 국내대리인의 주소(법인의 경우에는 영업소의 소재지를 말한다), 전화번호 및 전자우편 주소
④ 국내대리인이 제1항 각 호와 관련하여 이 법을 위반한 경우에는 개인정보처리자가 그 행위를 한 것으로 본다.
국외의 개인정보처리자에게 원활한 법 적용을 위한 조치인 것 같다. 국내대리인 지정 의무 요건이 전체 매출액 1조원 이상인 점이 다른 조항과 다른 부분이다.
또한 국내대리인을 지정하는 경우에는 그 성명과 주소, 연락처를 개인정보처리방침에 포함해야 한다.
