개인정보보호법
개인정보보호법의 개요
- 당사자의 동의 없는 개인정보 수집 및 활용하거나 제3자에게 제공하는 것을 금지하는 등 개인정보보호를 강화한 내용을 담아 제정한 법률
- 개인정보 보호를 위한 법체계를 일원화하고 개인의 권익 보호를 강화하기 위한 법
개인 정보의 범위(제2조 제1호)
- 어떤 정보가 개인 정보에 해당하는지는 그 정보가 특정 개인을 알아볼 수 있게 하는 다른 정보와 쉽게 결합할 수 있는가에 따라 결정
- 법원은 그 정보 자체로는 누구의 정보인지 알 수 없더라도 다른 정보와 결합 가능성을 비교적 넓게 인정하여 개인 정보에 해당한다 판단
- 광범위한 데이터가 개인 정보에 해당할 수 있음을 유의
개인정보의 처리 위탁
- 손해가 발생한 경우 정보주체의 손해배상 청구에 대한 위탁자가 책임을 질 수 있음
| 개인정보보호법 | 내용 |
| 제26조 제1항 | 일정한 내용을 기재한 문서에 의하여 업무 위탁이 이루어져야 함 |
| 제26조 제3항, 동법 시행령 제28조 제3항 |
위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 하는바, 개인정보처리 방침에 해당 내용을 추가하여 공개하거나, 사업장 등의 보기 쉬운 장소에 게시하는 방법 등을 시행해야 함 |
| 제26조 제4항 | 수탁자에 대한 교육 및 감독 의무를 부담하게 됨 |
| 제26조 제6항 | 수탁자가 위탁 받은 업무와 관련하여 개인 정보를 처리하는 과정에서 개인정보보호법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 봄 |
개인정보의 제3자 제공
| 개인정보보호법 | 내용 |
| 제17조 제1항 | 정보주체로부터 개인정보 제3자 제공을 받아야 함 |
개인정보 처리 위탁과 제3자 제공 판단 기준
<서울중앙지방법원 2018. 8. 16 선고 2017노1296 판결 참조>
- 개인정보의 취득목적과 방법
- 대가 수수 여부
- 수탁자에 대한 실질적인 관리/감독 여부
- 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향
- 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등
정보통신망법
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률
정보통신망법의 개요
- 정보통신망의 개발과 보급 등 이용 촉진과 함께 통신망을 통해 활용되고 있는 정보보호에 관해 규정한 법률
개인정보의 처리 위탁
- 원칙적으로는 개인정보 처리위탁을 받은 자, 개인정보 처리위탁을 하는 업무의 내용을 이용자에게 알리고 동의를 받아야 함
- 정보통신서비스 제공자 등은 정보통신서비스의 제공에 관한 계약을 이행하고 이용자의 편의 증진 등을 위해 필요한 경우에는 고지절차와 동의절차를 거치지 않고 이용자에게 이에 관해 알리거나 개인정보 처리방침 등에 이를 공개할 수 있음(정보통신망법 제25조 제2항)
- 만일 제3자에게 데이터 분석을 위탁할 경우, 해당 서비스가 정보통신서비스 제공에 관한 계약을 이행하고 이용자의 편의 증진을 위함것인지 검토해야 함
신용정보보호법
- 신용정보의 이용 및 보호에 관한 법률
신용정보보호법의 개요
- 개인신용정보를 신용정보회사 등에게 제공하고자 하는 경우에 해당 개인으로부터 서면 또는 공인전자서명이 있는 전자문서에 의한 동의 등을 얻어야 함
- 신용정보주체는 신용정보회사 등이 본인에 관한 신용정보를 제공하는 때에는 제공받는자, 그 이용 목적, 제공한 본인정보의 주요 내용 등을 통보하도록 요구하거나 인터넷을 통하여 조회할 수 있도록 요구할 수 있음
- 신용정보회사 등이 보유하고 있는 본인정보의 제공 또는 열람을 청구할 수 있고, 사실과 다른 경우에는 정정을 청구할 수 있음
개인정보의 범위
- 제2조 제1호 및 제2호, 제34조 제1항
"신용정보"란 금융거래 등 상거래에 있어 거래 상대방의 신용을 판단할 때 필요한 정보로서 다음 각 목의 정보를 뜻함
- 특정 신용정보주체를 식별할 수 있는 정보
- 신용정보주체의 거래내용을 판단할 수 있는 정보
- 신용정보주체의 신용도를 판단할 수 있는 정보
- 신용정보주체의 신용거래능력을 판단할 수 있는 정보
- 그 밖에 위에 서술한 내용과 유사한 정보
개인신용정보
- "개인신용정보"란 신용정보 중 개인의 신용도와 신용거래능력 등을 판단할 때 필요한 정보를 뜻함
- "개인신용정보"는 기업 및 법인에 관한 정보를 제외한 살아 있는 개인에 관한 정보로서 성명/주민등록번호 등을 통하여 개인을 알아볼 수 있는 정보이며, 신용정보주체의 거래내용, 신용도, 신용거래능력 등과 결합되는 경우에만 개인신용정보에 해당함
- 예시
- 개인정보 : 성명과 연락처
- 개인신용정보 : 성명과 연락처 및 거래금액
개인신용정보의 처리 위탁
- 신용정보회사 등은 그 업무 범위에서 의뢰인의 동의를 받아 다른 신용정보회사에 신용정보의 수집/조사를 위탁할 수 있음
- 신용정보회사, 신용정보집중기관, 은행, 금융지주회사, 금융투자업자, 보험회사 등은 신용정보 처리 위탁 시 금융위원회에 보고해야 하며, 이에 관한 구체적인 사항은 '금융회사의 정보처리 업무 위탁에 관한 규정'에 따름
- 특정 신용정보 주체를 식별할 수 있는 정보는 암호화하거나 봉함 등의 보호조치를 하여야 하며, 신용정보가 분실/도난/유출/변조 또는 훼손당하지 않도록 수탁자를 연 1회 이상 교육하여야 함
- 위탁계약의 이행에 필요한 경우로써 수집된 신용정보의 처리를 위탁하기 위해 제공하는 경우 정보주체의 동의를 받지 않아도 됨(신용정보보호법 제17초, 동법 시행령 제14조)
개인신용정보의 제3자 제공
- 개인신용정보를 타인에게 제공하려는 경우 정보주체에 서비스 제공을 위해 필수적 동의 사항과 그 밖의 선택적 동의 사항을 구분하여 설명한 후 각각 동의를 받도록 함(신용정보보호법 제32조, 제34조 등)
- 기타 개인정보 제공 시 개인정보보호법 적용 됨
개인식별정보
- "개인식별정보"란 생존하는 개인의 성명, 주소 및 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 국내거소신고번호 및 성별, 국적 등 개인을 식별할 수 있는 정보를 말함
2020년 데이터 3법의 주요 개정 내용
- 데이터 3법
- 개인정보 보호법
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률
- 신용정보의 이용 및 보호에 관한 법률
| - 데이터 이용 활성화를 위한 '가명정보' 개념 도입 및 데이터간 결합 근거 마련 - 개인정보보호 관련 법률의 유사/중복 규정을 정비 및 거버넌스 체계 효율화 - 데이터 활용에 따른 개인정보처리자 책임 강화 - 다소 모호했던 개인정보의 파단기준 명확화 |
* 거버넌스(governance) : 과거의 일방적인 정부 주도적 경향에서 벗어나 정부, 기업, 비정부기구 등 다양한 행위자가 공동의 관심사에 대한 네트워크를 구축하여 문제를 해결하는 새로운 국정운영의 방식
개인정보보호법 주요 개정 내용
- 개인정보 관련 개념을 개인정보, 가명정보, 익명정보로 구분
- 가명정보를 통계 작성 연구, 공익적 기록보존 목적을 처리할 수 있도록 허용
- 가명정보 이용시 안전장치 및 통제 수단 마련
- 분산된 개인정보보호 감독기관을 개인정보보호위원회로 일원화
- 개인정보보호위원회는 국무총리 소속 중앙행정기관으로 격상
정보통신망법 주요 개정 내용
- 개인정보보호 관련 사항을 개인정보보호법으로 이관
- 온라인상 개인정보보호 관련 규제 및 감독 주체를 개인정보보호위원회로 변경
신용정보보호법 주요 개정 내용
- 가명정보 개념을 도입해 빅데이터 분석 및 이용의 법적 근거 마련
- 가명정보는 통계작성, 연구, 공익적 기록보존 등을 위해 신용정보 주체의 동의 없이 이용, 제공 가능
유럽 연합과 미국의 개인정보보호 체계
유럽 연합(EU)
* GDPR(General Data Protection Regulation) : 유럽 의회에서 유럽 시민들의 개인정보 보호를 강화하기 위해 만든 통합 규정
- 유럽 연합의 시민 데이터를 활용하는 경우 GDPR 준수
- GDPR은 정보주체의 권리와 기업의 책임성 강화 등을 주요 내용으로 하며 위반 시 과징금 부과
- GDPR의 주요 항목
- 사용자가 본인의 데이터 처리 관련 사항을 제공 받을 권리
- 열람/정정/삭제 요청 권리
- 데이터 이동 권리
- 처리 거부 요청 권리 등
미국
- 시장 자율 규율(self-regulation) 방식
- EU, 한국과 같이 공공 부문과 민간 부문을 포괄하는 개인정보보호에 관한 일반법이나 연방법률 미존재
- 공공 부문 : 프라이버시법(Privacy Act)이 개인정보보호 일반법 역할
- EU, 한국과 같이 공공 부문과 민간 부문을 포괄하는 개인정보보호에 관한 일반법이나 연방법률 미존재
- 영역별로 개인정보보호를 규율하는 개별 법률이 각 분야별 개인정보보호를 담당
- 금융, 통신, 금융, 교육, 의료, 근로자 정보 등
- 주 법체계에서는 EU의 GDPR 제정 이후 캘리포니아 주의 캘리포니아 소비자 개인정보보호법(California Consumer Privacy Act, CCPA)을 시작으로 많은 주들이 포괄적인 일반 개인정보보호법 도입 예정
참고