1 개인정보보호법의 유래
(1) 개인정보의 정의
- 식별정보 : 살아있는 개인에 대한 정보로 개인을 알아볼 수 있는 정보
- 식별가능정보 : 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보
- 성명, 전화번호, 주소는 결합하여 개인을 식별할 수 있으므로 개인정보
- 가명정보 : 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아보기 힘든 정보
(2) 프라이버시
- Samuel D. Warren & Louis D. Brandeis : 프라이버시는 혼자 있을 권리, 프라이버시 주창자
- 개인의 사적 영역에 대한 사회의 개입을 제한하는 것
- 공간 프라이버시 : 집과 직장, 공개된 장소 등에서 보호받아야 할 개입 제한
- 신체 프라이버시 : 약물 검사, 체강 검사 등 물리적 침해로부터 개인의 신체 보호
- 통신 프라이버시 : 우편, 전화, 이메일 등의 통신 보호
- 정보 프라이버시 : ICT의 발달에 따른 개인정보 주체의 수집, 처리 제어
| 정보 프라이버시
- 개인 정보가 획득, 공개 및 사용되는 조건을 통제하려는 개인의 권리
- 개인정보 자기결정권 : 자신의 정보가 언제, 누구에게, 어느 범위까지 알려지고, 이용되게 할 것인지를 정보 주체가 스스로 결정할 수 있는 권리 → 헌법에 명시되지 않은 기본권(판례)
- 사물 인터넷의 발달에 따라 개인정보의 수집과 처리가 능동적, 지속적, 대량적
2 국내 개인정보보호법의 변천
(1) 정보통신망법
- 정보통신망이용촉진에 관한 법률 99 : 전부 개정, 모양만 갖춤
- 정보통신망이용촉진및정보보호등에관한법률 01 : 전부개정, 개인정보의 틀을 갖춤
- 정보통신망법 08
- A사 개인정보 유출 사고 후
- 과징금 신설, 형사처벌 강화, 주민등록번호 외 가입
- 정보통신망법 14
- 카드 3사 개인정보 유출 사고 후
- 사생활 보호 관련 정보 수집 최소화, 유출 사고 발생 시 24시간 내 고지
- 개인정보 파기 시 복구, 재생할 수 없는 방법으로
- 정보통신망법 19 : 보험, 가입 CISO 겸직 금지
- 정보통신망법 20 : 개인정보 관련 조문 삭제, 개인정보보호법으로 이관
- 정보통신망법 21 : CISO의 업무 재정 및 CPO 겸직 허용
(2) 개인정보보호법
- 개인정보보호법 제정 11 : 개인정보보호 분야의 일반법, 국제 수준 부합
- 개인정보보호법 개정 14 : 주민번호 유출 시 과징금, 법규 위반 시 CEO/CPO 징계
- 개인정보보호법 개정 20
- 개인정보보호위원회로 규제기관 일원화 → GDPR 적절성 결정 취득을 위해
- 수집 목적과 합리적으로 관련될 경우 주체 동의없이 정보 제공 가능
- 가명처리 도입
3 국내 개인정보보호 관련 법령
(1) 신용정보법
| 1조 목적
- 신용정보의 오용, 남용으로부터 사생활의 비밀 등을 적절히 보호
| 2조 정의
- 신용정보란 금융거래 등 상거래에서 거래 상대방의 신용 판단을 위해 필요한 정보
- 특정 신용정보주체 식별 가능 정보
- 가. 살아있는 개인에 대한 정보→ 개인의 신체 일부의 특징을 컴퓨터 등 정보처리 장치에서 처리할 수 있도록 변환한 정보
- → 이와 유사하게 개통령령으로 정한 정보
- → 성명, 주소, 전화번호 및 개인 식별 번호(대통령령)
- 개인신용정보 : 살아있는 개인에 대한 신용 정보
- 신용정보주체 : 신용정보로 알아볼 수 있는자. 정보의 주체
- 가명처리
- 추가정보를 사용하지 않고 특정 개인 신용정보주체를 알아볼 수 없도록 처리하는 것
- 가명정보 : 가명처리한 개인신용정보
- 익명처리 : 더 이상 특정 개인의 신용정보주체를 알아볼 수 없도록 처리하는 것
- 본인신용정보관리산업(마이데이터)
- 신용정보를 대통령령에서 정하는 방식으로 통합하여 신용정보주체에 제공하는 행위
| 20조 신용정보관리/보호인
- 신용정보제공, 이용자는 신용정보 관리, 보호인을 1명 이상 지정해야 함
- 개인신용정보 → 개인정보보호법 제 31조 2항 1호~5호 (CPO 업무) + 점검 + 추가 가능
- 기업신용정보 → 신용정보의 수집/보유/제공/삭제 등 계획 수립 및 시행, 권리행사/피해구제
| 32조 개인신용정보의 제공 활용에 대한 동의
- 통계작성, 연구, 공익적 기록 보존을 위해 가명정보를 제공할 경우
- 통계작성은 시장조사 등 상업적 목적의 통계작성, 연구에는 산업적 연구 포함함
| 감독규정
- 신용정보법 체계 - 신용정보법 시행령, 시행규칙
- 보안 규정
- 제 19조(기술적, 물리적, 관리적 보안대책을 수립, 시행하여야 함) → 시행령 제 16조에 명시
- 신용정보업 감독규정 제 20조
(2) 위치정보법
| 수범자(규율을 받는자)
- 위치정보사업자 : 위치 정보를 수집하는 자, 이동통신사
- 위치기반서비스사업자 : 네비게이션 등 위치기반 서비스 제공자
- 8세 이하 아동의 경우 특수조항 : 노인, 아동의 경우 보호자에 의해 수집 O
| 시행령 20조
- 법 16조 1항에 따른 관리적 조치(위치정보 보호조치)는 아래와 같은 내용 초함
- 위치정보관리책임자의 지정
- 위치정보의 수집, 이용, 제공, 파기 등 각 단계별 접근 권한자 지정 및 제한
- 위치정보 취급자의 의무와 책임을 규정한 지침 마련
- 위치정보 제공사실 등을 기록한 취급대장 운영, 관리
- 위치정보 보호조치에 대한 정기적 자체 검사
(3) 의료법/약사법
| 의료법(처방전)
- 개인정보 수집 : 약사법에 따른 약사 업무 수행을 위해 정보주체의 동의 없이 수집 가능
- 개인정보 항목 : 성명, 주민등록번호, 질병분류번호, 처방 의약품 등
- 보존기간 : 조제한 날로 부터 2년, 보험급여의 경우 3년
- 보존 기간이 지난 처방전은 파기
| 약사법(조제정보)
- 개인정보 수집 : 약국에서 의약품을 조제하면 약사법에 따라 정보주체의 동의 없이 수집 가능
- 개인정보 항목 : 인적사항, 조제 연월일 등
- 보존기간 : 조제한 날로 부터 5년
- 보존 기간이 지난 개인정보는 파기
