개인정보보호법
- 정리 -
개인정보보호법은 2011년 3월 29일 제정되어
오늘날까지 16번의 개정을 통해 다듬어져 왔다.
총 10장 76조, 10개의 부칙으로 이루어져있고,
명령으로는 대통령령(개인정보 보호법 시행령)과
부령(개인정보 보호법 시행규칙)이 있다.
행정규칙으로는 개인정보의 안전성 확보조치 기준이 있으며,
행정안전부에서 해설서를 통해 배포하여
실무에서 활용할 수 있는 상세한 규칙을 안내하고 있다.
그 뿌리가 되는 개인정보보호법의 주요 내용들을 살펴보자.
정리
| 항목 | 내용 | 법률 근거 |
| 목적 | 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다. | 제1장 제1조 |
| 원칙 | 목적에 맞는 최소한의 개인정보만을 적법하게 수집해야 한다. | 제1장 제3조 1항 |
| 목적 외 용도로 활용해서는 아니 된다. | 제1장 제3조 2항 | |
| 개인정보처리자는 침해받을 가능성과 위험 정도를 고려하여 안전하게 관리해야 한다. | 제1장 제3조 4항 | |
| 개인정보 처리에 관한 사항을 공개해야 하며, 정보주체의 권리를 보장하여야 한다. | 제1장 제3조 5항 | |
| 정보주체의 사생활 침해를 최소화하는 방법으로 처리하여야 한다. | 제1장 제3조 6항 | |
| 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있다면 1순위 익명, 2순위 가명 처리될 수 있도록 한다. | 제1장 제3조 7항 (2020.02.04 개정) |
|
| 개인정보처리자는 정보주체의 신뢰를 얻기 위하여 노력하여야 한다. | 제1장 제3조 8항 | |
| 권리 | 정보주체는 개인정보 처리에 관한 정보를 제공받을 권리가 있다. | 제1장 제4조 1항 |
| 정보주체는 개인정보 처리에 관한 동의 여부, 범위 등 선택하고 결정할 권리가 있다. | 제1장 제4조 2항 | |
| 정보주체는 처리 여부를 확인하고 열람(사본 발급 포함)을 요구할 수 있다. | 제1장 제4조 3항 | |
| 정보주체는 개인정보의 처리 정지, 정정, 삭제, 파기를 요구할 수 있다. | 제1장 제4조 4항 | |
| 개인정보의 처리로 인해 발생한 피해를 구제받을 권리가 있다. | 제1장 제4조 5항 | |
| 관계 | 개인정보 보호에 관해 다른 법률에 특별 규정이 있는 경우를 제외하고는 이 법을 따른다. | 제1장 제6조 (2014.03.24 개정) |
| 정책 수립 | 보호위원회는 개인정보 보호와 정보주체의 권익 보장을 위해 3년 마다 기본계획을 관계 중앙행정기관의 장과 협의하여 수립한다. | 제2장 제9조 (2015,07.24 개정) |
| 보호위원회는 개인정보 보호지침(표준지침)을 정하여 개인정보 처리자에게 준수를 권장할 수 있다. | 제2장 제12조 2항 (2020.02.04 개정) |
|
| 처리 | 정보주체의 동의를 받은 경우 개인정보를 수집할 수 있다. | 제3장 제15조 1항 |
| 개인정보처리자는 정보주체가 필요한 최소한의 정보 외 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화나 서비스의 제공을 거부해서는 아니 된다. | 제3장 제16조 3항 (2013.08.06 개정) |
|
| 개인정보처리자는 보유기간의 경과, 처리 목적 달성 등 불필요하게 되었을 때 지체 없이 파기해야 한다. | 제3장 제21조 1항 | |
| 별도로 동의를 얻거나 법령에서 허용하는 경우 외 민감정보를 처리해서는 아니된다 | 제3장 제23조 | |
| 별도로 동의를 얻거나 법령에서 허용하는 경우 외 고유식별정보를 처리해서는 아니된다. | 제3장 제24조 | |
| 법령에서의 허용, 범죄 예방 및 수사, 시설 안전과 화재 예방, 교통 단속, 교통정보 수집과 분석 외 공개된 장소에서 영상정보처리기기를 설치·운용하여서는 아니된다. | 제3장 제25조 | |
| 위탁자는 위탁 내용과 수탁자를 정보주체에게 알려야 한다. | 제3장 제26조 | |
| 개인정보가 안전하게 관리될 수 있도록 개인정보 취급자에 대해 관리·감독해야 한다. | 제3장 제28조 | |
| 가명정보는 정보주체의 동의없이 처리할 수 있다. | 제3장 제28조의2 (2020.02.04 신설) |
|
| 가명정보의 결합은 보호위원회 또는 관계 정앙행정기관의 장이 지정하는 전문기관이 수행한다. | 제3장 제28조의3 (2020.02.04 신설) |
|
| 가명정보를 원래의 상태로 복원하기 위한 추가 정보는 별도로 분리하여 보관·관리하고 안전성 확보에 필요한 조치를 해야한다. | 제3장 제28조의4 (2020.02.04 신설) |
|
| 누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니된다. | 제3장 제28조의5 (2020.02.04 신설) |
|
| 관리 | 개인정보처리자는 분실·도난·유출·위조·변도 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다. | 제4장 제29조 (2015.07.24 개정) |
| 개인정보 처리 목적, 보유 기간, 제3자 제공에 관한 사항, 위탁에 관한 사항, 정보주체의 권리·의무 및 행사방법, 개인정보 보호책임자의 성명 또는 부서명과 연락처, 자동으로 수집하는 장치의 설치·운영 및 거부에 관한 사항, 그 밖에 시행령에서 정의한 사항을 개인정보처리방침으로 정해야 한다. | 제4장 제30조 (2020.02.04 개정) |
|
| 개인정보 보호책임자를 지정해야 한다. | 제4장 제31조 | |
| 개인정보 처리 및 보호와 관련한 조치가 이 법에 부합하는지 등에 관하여 인증할 수 있고, 유효기간은 3년으로 하며 보호위원회는 연 1회 이상 사후관리를 실시해야 한다. | 제4장 제32조의2 (2020.02.04 개정) |
|
| 권리 | 정보주체는 자신의 개인정보 처리 내용에 대한 열람을 개인정보처리자에게 요구할 수 있다. | 제5장 제35조 (2020.02.04 개정) |
| 다른 법령에서 개인정보가 수집 대상으로 명시되어 있는 경우가 아니라면, 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. | 제5장 제36조 | |
| 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 손해배상을 청구할 수 있다. | 제5장 제39조 | |
| 특례 | 이용자의 개인정보를 수집하거나 이용목적, 수집하는 개인정보의 항목, 보유·이용 기간 중 하나라도 변경하는 경우에는 모든 내용을 알리고 동의를 받아야 한다. | 제6장 제39조의3 |
| 개인정보의 분실·도난·유출 사실을 안 때에는 유출 항목, 발생 시점, 이용자가 취할 수 있는 조치, 제공자등의 대응 조치, 이용자가 상담 등 접수할 수 있는 부서 및 연락처를 24시간 이내에 이용자에게 알리고 보호위원회 또는 대통령령으로 정하는 전문기관에 신고해야 한다. | 제6장 제39조의4 | |
| 연락처를 수집한 경우에는 이용자의 개인정보의 이용내역을 주기적으로 이용자에게 통지하여야 한다. | 제6장 제39조의8 (2020.02.04 신설) |
|
| 정보통신서비스 제공자 등은 주민등록번호, 계좌정보, 신용카드정보 등 이용자의 개인정보가 정보통신망을 통해 노출되지 않도록 해야 한다. | 제6장 제39조의10 (2020.02.04 신설) |
|
| 이법을 위반하는 사항을 내용으로 하는 국제계약을 체결해서는 아니 된다. | 제6장 제39조의12 (2020.02.04 신설) |
|
| 소송 | 분쟁조정이나 단체소송의 경우 이 법에서 규정하지 아니한 사항은 민사조정법을 준용한다. | 제7장 제50조 제8장 제57조 |
| 보칙 | 통계법, 국가안전보장과 관련된 개인정보, 공중 안전·안녕을 위해 필요한 개인정보, 언론·종교단체·정당이 각각 취재·보도·선교·선거 입후보자 추천 등 고유 목적을 달성하기 위한 개인정보, 법에서 허용한 공개장소에 설치된 영상 정보, 친목 도모를 위해 동창회·동호회에서 수집한 개인정보의 경우는 제3장부터 제7장까지 적용하지 아니한다. | 제9장 제58조 |
| 개인정보처리자가 개인정보를 처리할 때 개인정보에 관한 권리 또는 이익을 침해받은 사람은 보호위원회에 그 침해 사실을 신고할 수 있다. | 제9장 제62조 (2020.02.04 개정) |
|
| 벌칙 | 공공기관의 개인정보 처리업무를 방해할 목적으로 개인정보를 변경하거나 말소하여 업무 수행의 중단·마비 등 심각한 지장을 초래하거나, 부정한 수단과 방법으로 개인정보를 취득한 후 이를 제3자에게 제공한 자와 이를 교사·알선한 자는 10년이하의 징역 또는 1억원 이하의 벌금에 처한다. | 제10장 제70조 (2015.07.24 개정) |
| 정보주체의 동의를 받지 않았거나, 위법하여 제3자에게 제공한 자, 사정을 알고도 제공받은 자, 위법하여 민감정보나 고유식별정보를 처리한자 등 제17, 18, 23, 24, 28, 36, 39, 59조 를 위반자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다. | 제10장 제71조 (2020.02.04 개정) |
|
| 영상정보처리기기를 다른목적으로 임의 조작 또는 비추는자, 부당한 방법으로 취득하여 부정한 목적으로 제공받은 자, 직무상 알게된 비밀을 누설하거나 이용한 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다. | 제10장 제72조 |
요점
개인정보보호법의 목적은 제1장에 잘 나타나있다.
정보주체의 권익을 보호하고, 개인정보의 안전한 관리와 책임을 지시하는 내용들이다.
목적 달성을 위해 정당한 방법으로 최소한의 개인정보를 수집하고,
가급적 가명, 익명처리하며 안전하게 보관해야하고 처리 사실을 알려야한다.
또한, 보유 기간이 지났거나 정보주체의 요구가 있을 시 파기해야하고,
전문기관을 통해 주기적으로 관리·감독 받고 사고 발생시에는 과태료나 벌금형을 묻는다.
사업자마다 우선 적용받은 법률은 다를 수 있지만,
결국 개인정보보호법이 포용하는 위치(상위법)에 있기때문에
해당 법률에 없는 항목이더라도 개인정보보호법에 명시되어있다면 따라야 한다.
마치며
법률은 굉장히 딱딱하고 어렵다는 이미지가 있으나,
국민에게 적용되는 만큼 법의 취지나 목적, 정의 등 상세히 나타나있다.
또한, 법률에서 두루뭉술하더라도 명령(시행령, 시행규칙)이나
관련 해설서, 판례 등을 통해 이해를 돕고있다.
즉, 해당 법령들을 천천히 내려 읽어보면 흥미도 느끼고 이해도 쉬울 것이다.
끝.
'IT > 정보보안' 카테고리의 다른 글
| [개인정보보호] CPPG(개인정보관리사) :: 37회 합격 후기 (0) | 2023.02.26 |
|---|---|
| [데이터3법] 정보통신망법, 개인정보보호법, 신용정보법 :: 가명정보 (0) | 2021.08.24 |
| [개인정보] 개인정보 보호법 표준 해석례 정리 (0) | 2021.08.22 |
| [개인정보보호] 개인정보보호법 :: 역사와 용어 정리 (0) | 2021.08.22 |
| [법] 법의 구조 :: 헌법, 법률, 명령, 조례, 규칙 (+정의의 여신) (0) | 2021.08.21 |