개인정보보호
개인정보보호란 근본적으로 정보주체의 개인정보 자기결정권을 철저히 보장하는 것을 의미한다. 현행 개인정보보호관련 법령에 따라 개인정보의 수집·이용·제공 등을 하는 자에게 일정한 제한 및 준수의무를 부여하고, 정보주체인 개인은 개인정보의 열람·정정·삭제 등을 청구할 수 있다.
개요[편집]
개인정보보호란 근본적으로 정보주체의 개인정보 자기결정권을 철저히 보장하는 것을 의미하는데, 이때 개인정보 자기결정권이란 자신에 관한 정보가 언제, 어떻게 그리고 어느 범위까지 타인에게 전달되고 이용될 수 있는지를 그 정보주체가 스스로 결정할 수 있는 권리를 말한다. 현행 개인정보보호관련 법령에서는 개인정보의 유출·오용·남용 등의 방지와 적절한 수집 및 활용을 보장하기 위하여 개인정보를 수집·이용·제공 등을 하는 자에게 아래와 같은 일정한 개인정보 수집·이용·제공 상의 제한 및 그에 따른 의무를 준수하도록 하여 개인정보를 보호하면서 동시에 적절하게 개인정보를 수집 및 활용할 수 있도록 하고 있다.
- 필요 최소한의 수집, 민감정보수집 제한
- 개인정보 이용·제공 제한
- 수집된 개인정보의 안전성 확보 의무
- 개인정보 수집·이용·제공·이전 시 정보주체의 동의 획득
- 개인정보 수집 목적 달성 시 파기 의무 등
또한 개인정보 수집의 대상자인 개인에게는 개인정보의 수집에 동의하지 않거나 수집된 개인정보를 열람·정정·삭제 등을 청구할 수 있도록 함으로써 개인정보를 보호받을 수 있도록 하고 있다. 개인정보가 침해된 경우에는 개인정보침해신고센터에 신고하거나 개인정보 분쟁조정위원회에 분쟁조정을 신청할 수 있으며, 개인정보를 침해당한 개인이 손해배상청구를 할 수 있다. 위법하게 개인정보를 침해한 자는 행정상의 제재를 받는다.
개인정보보호법[편집]
개인정보보호법은 세계 각국과의 FTA 대비 및 IT 강국으로서의 위상확보와 개인정보의 유출 및 오·남용 등의 근절을 통해 안전하고 신뢰받는 정보사회를 구현을 위해 마련되었다.
- 제1조(목적)
이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다. <개정 2014. 3. 24.>
- 제2조(정의)
이 법에서 사용하는 용어의 뜻은 다음과 같다. <개정 2014. 3. 24.> 1. "개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다. 2. "처리"란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다. 3. "정보주체"란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. 4. "개인정보파일"이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다. 5. "개인정보처리자"란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다. 6. "공공기관"이란 다음 각 목의 기관을 말한다. 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체 나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관 7. "영상정보처리기기"란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.
- 제3조(개인정보 보호 원칙)
① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다. ② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다. ③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다. ④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다. ⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다. ⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다. ⑦ 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다. ⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.
- 제4조(정보주체의 권리)
정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다. 1. 개인정보의 처리에 관한 정보를 제공받을 권리 2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리 3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리 4. 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리 5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
- 제5조(국가 등의 책무)
① 국가와 지방자치단체는 개인정보의 목적 외 수집, 오용ㆍ남용 및 무분별한 감시ㆍ추적 등에 따른 폐해를 방지하여 인간의 존엄과 개인의 사생활 보호를 도모하기 위한 시책을 강구하여야 한다. ② 국가와 지방자치단체는 제4조에 따른 정보주체의 권리를 보호하기 위하여 법령의 개선 등 필요한 시책을 마련하여야 한다. ③ 국가와 지방자치단체는 개인정보의 처리에 관한 불합리한 사회적 관행을 개선하기 위하여 개인정보처리자의 자율적인 개인정보 보호활동을 존중하고 촉진ㆍ지원하여야 한다. ④ 국가와 지방자치단체는 개인정보의 처리에 관한 법령 또는 조례를 제정하거나 개정하는 경우에는 이 법의 목적에 부합되도록 하여야 한다.
- 제6조(다른 법률과의 관계)
개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다. <개정 2014. 3. 24.>
원칙[편집]
개인[편집]
개인정보를 지키기 위해서 인터넷 사용 시 또는 생활속애서 실천해야 할 개인정보보호 오남용 피해방지 10계명은 다음과 같다.
- 개인정보처리방침 및 이용약관 살피기 : 회원가입을 하거나 개인정보를 제공할 때에는 개인정보 취급방침 및 약관을 꼼꼼하게 읽어야 한다. 개인정보처리자는 [개인정보보호법]에 따라 회원가입 등의 방법으로 개인정보를 수집하고자 할 경우 개인정보 처리 목적, 처리 및 보유기간, 제3자 제공에 관한 사항, 정보주체의 권리·의무 및 행사방법, 위탁 업무의 내용 등 개인정보 취급 관련 내용을 개인정보처리방침에 포함하여 공개하도록 하고 있다. 따라서 이용자는 회원가입을 하거나 개인정보를 제공할 경우 사업자의 개인정보 처리 목적 등을 자세히 검토한후 가입/제공 하여야 한다.
- 비밀번호는 문자와 숫자로 8자리 이상 : 회원가입 시 비밀번호를 타인이 유추하기 어렵도록 영문/숫자 등을 조합하여 8자리 이상으로 설정해야 한다. 안전한 패스워드란 본인이 아닌 다른 사람이 쉽게 추측할 수 없으며, 인터넷을 통해 전송되는 정보를 해킹하여 이용자 패스워드를 알 수 없거나 알 수 있어도, 패스워드를 알아내는데 많은 시간이 요구되는 패스워드를 말한다.
- 비밀번호는 주기적으로 변경하기 : 자신이 가입한 사이트에 타인이 자신인 것처럼 로그인하기 어렵도록 비밀번호를 주기적으로 변경해야 한다. 권장하는 패스워드 변경주기는 6개월 이며 패스워드 변경 시 이전에 사용하지 않은 새로운 패스워드를 사용하고 변경된 패스워드는 예전의 패스워드와 연관성이 없어야 한다.
- 회원가입은 주민번호 대신 아이핀 사용 : 가급적 안전성이 높은 주민번호 대체수단으로 회원가입을 하고, 꼭 필요하지 않은 개인정보는 입력하지 않아야 한다. 아이핀(I-PIN)은 인터넷상 개인식별번호(Internet Personal Identification Number)로써, 대면확인이 어려운 온라인 에서 본인확인을 할 수 있는 수단의 하나이다. 인터넷이용자가 주민등록번호를 제공하지 않으면서 본인확인을 할 수 있는 방법이므로 개인정보(주민등록번호)의 오/남용을 줄일 수 있다. 아이핀은 이용자가 인터넷 사이트 회원가입이나 성인인증 등을 위해 자신의 신원정보를 본인확인기관에 제공하고 본인확인이 필요할 때마다 식별ID와 비밀번호를 이용하여 본인확인을 받는 방법으로, 다수의 본인확인기관이 서비스를 제공하고 있다.
- 명의도용확인 서비스 이용하여 가입정보 확인 : 타인이 자신의 명의로 신규 회원가입 시 즉각 차단하고, 이를 통지받을 수 있도록 명의도용 확인서비스를 이용해야 한다. 자신의 개인정보가 노출되어 타인이 자신의 명의로 자신도 모르게 회원가입이 되어있는 경우가 있으므로 명의도용확인 서비스를 이용하여 인터넷 가입정보 확인, 정보도용 차단, 실명인증기록 조회 등을 확인할 수 있다.
- 개인정보는 친구에게도 알려주지 않기 : 자신의 아이디와 비밀번호, 주민번호 등 개인정보가 공개되지 않도록 주의하여 관리하며 친구나 다른 사람에게 알려주지 않아야 한다. 자신의 개인정보가 노출되어 타인이 자신의 명의로 자신도 모르게 회원가입이 되어있는 경우가 있으므로 명의도용확인 서비스를 이용하여 인터넷 가입정보 확인, 정보도용 차단, 실명인증기록 조회 등을 확인할 수 있다.
- P2P 공유폴더에 개인정보 저장하지 않기 : 인터넷에 올리는 데이터에 개인정보가 포함되지 않도록 하며, P2P로 제공하는 자신의 공유폴더에 개인정보 파일이 저장되지 않도록 해야 한다. P2P서비스는 인터넷에 연결된 모든 개인 PC로부터 직접 정보를 제공받고 검색은 물론 내려 받기까지 할 수 있는 서비스로 웹사이트에 한정되어 있던 정보추출 경로를 개인, 회사가 운영하는 DB까지 확대할 수 있다. 따라서 자신의 개인정보 또는 다른 사람의 개인정보를 공유폴더에 저장하여 P2P 사이트에 올리는 것은 개인정보 노출 및 오/남용을 극대화 하는 것이라 볼 수 있으므로, 개인정보가 포함된 파일은 홈페이지나 공유폴더에 게시하지 않고 개인 메일로 전송하거나 오프라인에서 배포하여야 한다.
- 금융거래는 PC방에서 이용하지 않기 : 금융거래 시 신용카드 번호와 같은 금융 정보 등을 저장할 경우 암호화 하여 저장하고, 되도록 PC방 등 개방 환경을 이용하지 않아야 한다. 신용카드 번호와 같은 금융정보 등의 중요한 개인정보들을 문서에 작성하여 저장할 경우 암호화기능을 제공하는 문서프로그램(한글,MS 오피스 등) 을 사용해야 한다. 개인정보가 담긴 문서를 프린트하여 다른 사람들이 볼 수 있는 곳에 두거나, 문서파일을 PC방 등 개방 환경에서 사용 및 복사를 자제하고, 복사 시 반드시 삭제하여야 한다.
- 출처가 불명확한 자료는 다운로드 금지 : 회원가입을 하거나 개인정보를 제공할 때에는 개인정보처리방침 및 약관을 꼼꼼히 살펴야 한다. 인터넷상에서 정확히 모르는 파일을 다운로드 하게 되면 그 파일이 개인정보를 유출하는 프로그램일 경우도 있고 해킹 프로그램일수도 있어 파일을 다운로드 시행 했을 시 이용자 개인 PC에 있는 개인정보를 유/노출 시킬 수 있으므로 파일 내역을 잘 모르거나 의심이 가는 자료는 다운로드 하지 않는다.
- 개인정보 침해신고 적극 활용하기 : 개인정보가 유출된 경우 해당 사이트 관리자에게 삭제를 요청하고, 처리되지 않는 경우 즉시 개인정보 침해신고를 해야 한다.
사업자[편집]
개인정보 2.0 시대의 개막에 맞춰 사업자가 실천해야 할 사업자 개인정보보호 10가지 원칙은 다음과 같다.
- 무분별한 개인정보 수집자제 : 인터넷 쇼핑몰 등 대다수 업종은 물품을 구매하는 데 있어 주민등록번호나 생년월일은 필요치 않다. 불필요하게 개인정보를 수집하는 경우, 관리 소홀로 인해 해킹 등 유출사고 시 책임이 크게 증가하므로 서비스제공에 필요한 최소한의 개인정보수집이 현명하다.
- 개인정보 수집 시 서비스 제공에 꼭 필요한 필수정보와 선택정보 구분 : 고객정보 수집 시 해당 서비스 제공과 관련 없는 개인정보(생일, 결혼기념일 등)나 제 3자 제공 동의 여부는 고객이 선택적으로 입력할 수 있도록 하여야 한다. 선택정보를 고객이 입력하지 않았다고 해서 해당 서비스 제공을 거부하는 것은 과태료 3천만 원 부과사항이다. 법적 분쟁 시 필수정보(해당 서비스 제공에 필수적인 정보)와 선택정보가 적정한지 여부는 사업자가 입증책임을 부담한다.
- 주민등록번호 등 고유식별정보와 종교, 건강정보 등 민감 정보는 원칙적 처리금지 : 고유식별정보와 민감 정보는 ①정보 주체의 별도의 동의 ②법령에서 구체적으로 명시하거나 허용하는 경우를 제외하고는 처리(수집·관리)할 수 없으며, 수집하는 경우에도 다른 정보와 구분하여 별도의 동의를 받아야 한다. 수집 시 관련 법령에 근거가 있는지, 홈페이지 또는 서식에 일반정보와 구분하여 별도로 동의를 받고 있는지 살펴서 법 위반사례가 없도록 한다.
- 홍보·판매 목적으로 개인정보 위탁 시 고객에게 고지하고 철저히 관리 : 홍보·판매 목적으로 개인정보처리업무를 위탁할 때에는 해당 사실을 고객들에게 고지해야 한다. 또한 수탁자의 잘못으로 개인정보가 유출되어 피해가 발생한 경우, 위탁자가 손해배상을 해야 한다. 위탁자는 수탁자를 관리 감독할 책임이 부과되므로 수탁자 교육 등을 철저히 이행해야 한다.
- 개인정보 파일은 DB 보안프로그램, 암호화 소프트웨어 등 안전한 방법을 사용하여 보관 : 개인정보 파일은 유출되었을 때 명의도용, 불법마케팅, 보이스피싱 등에 악용될 수 있음으로 안전한 방법으로 보관해야 한다. 안전하게 보관하기 위해서는 DB 접근권한제한, 백신 프로그램 설치, 방화벽 등 침입 차단시스템을 설치하고 필요한 보호조치를 취해야 한다.
- 보관이 필요한 증빙서류는 법령에서 정한 보유 기간을 숙지하여 준수 : 고객의 개인정보가 담긴 계약서, 청약철회서처럼 보관하고 있지 않으면 불이익을 당할 수 있는 문서를 보관해야 하는 경우에는 법령에서 지정한 보유 기간(전자상거래법의 거래기록 보존규정 등)을 숙지하고 이를 준수하는 것이 좋다.
- 인정보파일을 수집 당시 사용 목적에 따라 이용한 후에는 알아볼 수 없도록 파기 : 개인정보의 보유이용기간이 끝난 경우, 이용목적을 달성한 경우에는 문서를 분쇄하거나 소각해 파기해야 한다. 컴퓨터로 저장된 문서를 가지고 있는 경우라면 복원할 수 없는 방법으로 파기처리 한다.
- CCTV에는 반드시 안내판 설치 : 민간에는 약 250만 대 이상의 CCTV가 설치되어 있는 것으로 추정된다. 그동안 이에 대한 관리감독 근거법률이 없었으나, 개인정보보호법 제정으로 설치운영이 제한되며, 필요한 경우라도 반드시 설치 목적 등이 포함된 안내판을 설치하여야 한다. 또한 녹음기능 사용, 당초 설치목적을 벗어난 각도조절도 할 수 없다.
- 개인정보보호에 관한 지침·문서 등을 반드시 구매 : 개인정보보호 관련 문서를 명확하게 구비하지 않았다면, 개인정보가 유출되는 경우에 책임이 보다 커질 수 있다. 내부관리계획 작성·구비, 개인정보열람청구서 등 비치, 인터넷 웹사이트의 경우 회원정보열람정정메뉴, 회원탈퇴메뉴를 쉽게 찾을 수 있도록 조치한다.
- 개인정보유출통지, 집단분쟁조정, 단체소송에 대비 : 개인정보가 유출된 경우 정보 주체에게 즉시 알리고, 사실확인, 홈페이지 차단, 비밀번호변경 공지 등 초동 조치를 신속히 하여야 한다. 또한 유출 피해자는 분쟁조정위원회에 집단분쟁조정 또는 법원에 권리침해단체소송을 제기할 수 있음으로 철저히 대비해야 한다.
사례[편집]
- 카드 3사 개인정보 유출
- 2014년 1월 8일 카드 3사의 개인정보 유출이 언론에 보도되었다. KB카드, 롯데카드, NH카드 세 곳을 모두 합해 총 1억 건이 넘는 개인정보가 유출되어 지금까지 벌어진 금융회사 고객 정보 유출 사건 중 가장 규모가 큰 사건이다. 이 사건은 2013년부터 신용정보회사 KCB의 부정사용방지시스템 개발 책임자가 일으킨 범죄로 돈을 목적으로 대출업자 및 브로커에게 고객들의 개인정보를 유출했다. 카드번호, 카드 유효기간, 이름, 주민등록번호, 연봉, 자동차 소유 등 방대한 정보가 유출되어 고객들의 피해가 컸다.[1]
- 네이트 개인정보 유출 사건
- 2011년 7월 26일 SK커뮤니케이션즈 산하의 포털 사이트 네이트에서 중국으로 추정되는 크래커에게 해킹을 당해 네이트를 이용하는 고객 약 3500만 명의 개인정보고 유출되었다. 당시 네이트는 네이트온, 싸이월드와 연결된 포털 사이트로 전 국민에 달하는 고객을 가지고 있었고 특히, 젊은 층에서 많이 이용하는 사이트였다. 이 사건에서 유출된 개인정보는 이름, 주민등록번호, 아이디, 비밀번호, 이메일, 전화번호 등이 유출되었다.[2]
각주[편집]
- ↑ 〈카드 3사 개인정보 유출 사건〉, 《지식백과》
- ↑ 〈네이트 개인정보 유출 사건〉, 《네이버캐스트》
참고자료[편집]
- 〈개인 정보 보호〉, 《네이버 국어사전》
- 〈개인정보 보호〉, 《지식백과》
- 〈카드 3사 개인정보 유출 사건〉, 《지식백과》
- 〈네이트 개인정보 유출 사건〉, 《네이버캐스트》
- 〈개인정보보호법 소개〉, 《개인정보보호 종합포털》
- 개인정보침해 신고센터 공식 홈페이지 - https://privacy.kisa.or.kr/kor/main.jsp
같이 보기[편집]