개인정보보호법
역사와 용어 정리
개인정보보호법은 아마 우리에게도 익숙한 이름의 법 가운데 하나일 것이다.
뉴스에서 개인정보 유출사고에 대한 보도로 접했을 수 있고,
온라인 회원가입 등 약관사항에 개인정보 처리방침이나 고유식별정보 처리 동의 등을 보았을 것이다.
모두 개인정보보호법에 근거하여 시행중인 지침들이라고 할 수 있다.
역사
70-80년대만 해도 전화번호부에 모든 정보가 있거나,
연예인의 프로필 정보에 주민번호가 공개되는 등 인식이 자리하지 못했다.
하지만 점차 인터넷이 보급되면서 해외에서 먼저 필요성을 인지하고,
1980년 OECD의 '개인정보보호 8원칙' 이 최초 국제규범으로 채택되었다.
이후, 여러 국가에서 개인정보 보호원칙을 선언하였으며,
우리나라도 2011.03.29 개인정보보호법을 제정하게 된다.
그렇다면 그 전에는 어떻게 관리했을까?
각각 분야에 해당하는 개별 법률을 통해 관리되고 있었다.
'정보통신망법', '의료법', '신용정보보호법',
'공공기관의 개인정보보호에 관한 법률' 등등이다.
'공공기관의 개인정보보호에 관한 법률'은 '개인정보보호법'에 흡수되었고,
비로소 공공과 민간을 모두 관리할 수 있게 되었다.
여전히 신용정보보호법, 의료법, 금융법 등 유효하기때문에
만약 은행이 인터넷 뱅킹 서비스를 이용하여 개인정보를 처리하게 된다면,
'인터넷'은 정보통신망에 해당하고, '뱅킹'은 금융에 해당하므로 둘 다 적용해야한다.
다만, 중복되는 부분은 금융법을 우선으로, 그 외 개인정보보호법을 따른다.
즉, 개인정보보호법의 등장으로 보안 위협이 되는 구멍(hole)을 보완할 수 있게 되었다.
용어
개인정보보호법에서 정의한 용어를 우선 알아보자.
용어 | 설명 |
개인정보 | 살아있는 개인에 관한 정보 - 성명, 주민번호 등 개인을 특정할 수 있는 정보 - 특정하지 않아도, 다른 정보와 결합하여 개인을 알아볼 수 있는 정보 - 다른 정보와 결합없이 개인을 알아볼 수 없게 처리된 정보(가명정보) ※ 즉, 법인이나 사물은 개인정보가 아니다. |
고유식별정보 | 개인을 고유하게 식별할 수 있는 정보 - 주민등록번호, 운전면허번호, 여권번호, 외국인등록번호에 해당 |
민감정보 | 개인정보보호법 제23조제1항 및 개인정보보호법 시행령 제18조에 해당하는 정보 - 사상, 신념, 노동조합 및 정당의 가입/탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보 - 인종, 민족에 관한 정보 - 유전자검사 정보 - 범죄경력자료에 해당하는 정보 - 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 수 있는 기술적 수단을 통해 생성한 정보 |
정보주체 | 처리되는 정보에 의해 알아볼 수 있는 사람으로, 정보의 주체가 되는 사람 |
정보주체정보 | 정보주체의 정보 |
개인정보파일 | 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(데이터베이스). |
개인정보처리자 | 업무 목적으로 개인정보 파일을 운용하기 위해 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 기관, 법인, 단체, 개인 등을 지칭 |
개인정보취급자 | 개인정보처리자의 지위·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 지칭 |
개인정보 보호책임자 | 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자 |
개인정보처리시스템 | 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템 |
위험도 분석 | 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별·평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위 |
정보통신망 | 전기통신기본법 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체계를 지칭 |
공개된 무선망 | 불특정 다수가 무선접속장치(AP)를 통해 인터넷을 이용할 수 있는 망 |
모바일 기기 | 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용 기기 |
바이오정보 | 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함 |
보조저장매체 | 이동형 하드디스크, USB메모리, CD, DVD 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 PC 등과 용이하게 연결·분리할 수 있는 저장매체 |
내부망 | 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간 |
접속기록 | 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체정보, 수행업무 등을 전자적으로 기록한 것 |
접속 | 개인정보 처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태 |
처리 | 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위 |
수행업무 | 개인정보취급자가 개인정보처리시스템을 이용하여 개인정보를 처리한 내용을 알 수 있는 정보 - 검색, 열람, 조회, 입력, 수정, 삭제, 출력, 다운로드 등 |
처리한 정보주체 정보 | 개인정보취급자가 누구의 개인정보를 처리하였는지를 알 수 있는 식별정보 - ID, 고객번호, 학번, 사번 등 |
접속지 정보 | 개인정보 처리시스템에 접속한 자의 컴퓨터 또는 서버의 IP 주소 등 |
계정 | 개인정보 처리시스템에서 접속자를 식별할 수 있도록 부여된 ID 등 계정 정보 |
관리용 단말기 | 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보 처리시스템에 직접 접속하는 단말기 |
직접 접속 | 물리적 구조와 상관없이 단말기에서 개인정보처리시스템에 대하여 관리, 운영, 개발, 보안 등의 목적으로 활용할 수 있는 명령어 등을 직접 입력하여 처리할 수 있는 상태 |
정리
개인정보는 살아있는 개인에 관한 정보로, 굉장히 포괄적인 의미를 지녔다.
여기서는 영상정보나 가명정보, 위치정보를 포함하지 않았으나,
후에 다룰 내용 또한 개인정보 보호를 위해 필요하기 때문에 그 범위는 더욱 넓다.
과거 개인정보 유출에 따른 피해사례와 규모,
개인의 재산과 안전에 직접적인 영향을 줄 수 있는 부분이기때문에
앞으로도 지속해서 강화되고 넓어질 것으로 보인다.
특히, 인공지능 및 빅데이터, 사물인터넷 등 기술이 활발해지면서
다양한 단말기와 망에서 알게모르게 우리 정보가 쓰이고 있다.
개인정보보호법에서는 정보주체의 권익보호를 위해 의의제기나 파기요청 등
요구할 권리가 다양한 형태로 보장하고 있으니,
1차 적으로 본인의 정보는 본인이 잘 알아보고 관리하자.
참고
개인정보보호포털(https://www.privacy.go.kr/)
법제처(https://www.moleg.go.kr/)
찾기쉬운생활법령정보(https://www.easylaw.go.kr/CSP/Main.laf)
마치며
CPPG 시험이 코로나로 인해 연기되어서 정리 중이다.
당분간은 개인정보 보호나 관련 내용 위주로 포스팅이 될 것 같다.
끝.
'IT > 정보보안' 카테고리의 다른 글
[개인정보보호] CPPG(개인정보관리사) :: 37회 합격 후기 (0) | 2023.02.26 |
---|---|
[데이터3법] 정보통신망법, 개인정보보호법, 신용정보법 :: 가명정보 (0) | 2021.08.24 |
[개인정보보호] 개인정보보호법 :: 정리 (0) | 2021.08.24 |
[개인정보] 개인정보 보호법 표준 해석례 정리 (0) | 2021.08.22 |
[법] 법의 구조 :: 헌법, 법률, 명령, 조례, 규칙 (+정의의 여신) (0) | 2021.08.21 |