정보보안 및 개인정보보호 관련 법률 - 개인정보보호법

 

 

개인정보보호법

개인정보보호법과 시행령은 “개인정보의 수집, 유출, 오용, 남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정”하기 위해 2011년 3월 29일 법률 제10465호로 제정 후 2011년 9월 30일부터 시행된 법률이다. 이 법은 국제적으로 통용되고 있는 개인정보 보호 원칙을 반영하고 있다. 동 법의 “개인정보 보호 원칙”(법 제3조)은 1980년에 제정된 ‘OECD 프라이버시 8원칙(OECD Privacy Principles)’을 반영하여 작성된 것이다.

 

개인정보보호법은 개인정보 라이프사이클 단계별로 개인정보를 관리하도록 규정하고 있다. 개인정보 라이프사이클이란 개인정보처리자가 해당 서비스를 제공하기 위해 이용자의 개인 정보를 “수집·이용, 제공·위탁, 관리, 파기”하는 일련의 단계를 의미한다

 

① 수집·이용
“개인정보의 수집·이용”이 가능한 범위는 다음에 한해서 가능하도록 명시하고 있다(법 제15조). 

『1. 정보 주체의 동의받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보 주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보 주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.』 

또한, 개인정보의 수집·이용 시에 제한 내용은 “목적에 필요한 최소한의 개인정보를 수집하여야” 하며(법 제16조), “범위를 초과하여 이용”할 수 없도록 명시하고(법 제18조), “거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위”를 “금지행위”로 규정하고 있다(법 제59조). 

② 제공·위탁
“개인정보처리자가 개인정보를 제3자에게 제공” 가능한 범위를 다음과 같이 명시하고 있다(법 제17조). 

『1. 정보 주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
5. 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우』 

또한, “개인정보의 목적 외 이용·제공이 가능한 경우”는 다음과 같다(법 제18조). 

『1. 정보 주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우
5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우
6. 조약, 그 밖의 국제협정 이행을 위하여 외국 정부 또는 국제기구에 제공하기 위하여 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
8. 법원의 재판업무 수행을 위하여 필요한 경우
9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우』 

“개인정보를 받은 자가 개인정보를 목적 외 이용·제공이 가능한 경우”는 다음과 같다(법 제19조). 

『1. 정보 주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우』 

개인정보의 처리업무를 위탁하는 경우에는 “수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공”을 금지하고 있으며, “개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원”으로 인정하도록 하고, 위탁 시에 위탁 문서에 다음 내용을 포함하도록 명시하고 있다(법 제26조). 

『1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적·관리적 보호조치에 관한 사항
3. 위탁하는 사무의 목적과 범위, 재위탁 제한에 관한 사항
4. 개인정보의 관리현황점검 및 수탁자 소속 직원의 교육에 관한 사항
5. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등에 관한 사항』 

또한, 위탁자가 업무 위탁으로 인하여 지켜야 할 의무사항을 아래와 같이 규정하고 있다(법 제26조).  

『1. 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 수탁자 교육
2. 처리 현황 점검 등 수탁자가 개인정보를 안전하게 처리하는지를 감독』 

③ 안전 관리
개인정보보호법에서 내부자의 개인정보 및 비밀 누설을 금지하는 조항을 아래와 같이 규정하고 있다.

『제59조(금지행위) 개인정보를 처리하거나 처리하였던 자는 다음 각호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.
1. 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위
2. 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위
3. 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출하는 행위

제60조(비밀 유지 등) 다음 각호의 업무에 종사하거나 종사하였던 자는 직무상 알게 된 비밀을 다른 사람에게 누설하거나 직무상 목적 외의 용도로 이용하여서는 아니 된다.
1. 제8조에 따른 보호위원회의 업무
2. 제33조에 따른 영향평가 업무
3. 제40조에 따른 분쟁조정위원회의 분쟁조정 업무』 

위의 “금지행위”(법 제59조) 조항에서는 “개인정보를 처리하거나 처리하였던 자”를 내부자로 볼 수 있으며, 이들 내부자로 인한 개인정보 누설과 훼손, 멸실, 변경, 위조, 유출하는 행위를 금지하고 있다. “비밀 유지”(법 제60조) 조항에서는 “보호위원회의 업무”, “영향평가 업무”, “분쟁조정위원회의 분쟁조정 업무” 종사자를 광의의 내부자로 볼 수 있으며 이들에게 직무상 알게 된 비밀을 누설하지 못하도록 규정하고 있다.
또한, “안전조치 의무”(법 제29조) 조항을 별도로 “안전성 확보에 필요한 기술적·관리적 및 물리적 조치”를 취하도록 하고 있다. 

『제29조(안전조치 의무) 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.』 

위의 “안전조치의무” 조항의 상세내용으로 “개인정보의 안전성 확보 조치”(시행령 제30조) 조항을 아래와 같이 규정하고 있다.  

『제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는 법 제29조에 따라 다음 각호의 안전성 확보 조치를 하여야 한다.
1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행
2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
3. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치
5. 개인정보에 대한 보안프로그램의 설치 및 갱신
6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
② 안전행정부 장관은 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다.
③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 안전행정부 장관이 정하여 고시한다.』 

 

④ 정보 주체 권익 보호
개인정보보호법은 다양한 정보주체의 권익보호 조항을 두고 있다. 우선, “개인정보가 유출되었음을 알게 되었을 때는 지체 없이 해당 정보 주체에게” 알리도록 규정한 “개인정보 유출 통지”(법 제34조) 조항이 있으며, “정보 주체가 자신의 개인정보에 대한 열람을 해당 개인정보처리자에 요구”할 수 있는 “개인정보의 열람”(법 제35조) 조항과 “정보 주체가 개인정보처리자에 그 개인정보의 정정 또는 삭제를 요구”할 수 있는 “개인정보의 정정·삭제”(법 제36조) 조항을 명시하고 있다. 또한, “정보 주체가 개인정보처리자에 자신의 개인정보 처리의 정지를 요구”할 수 있는 “개인정보의 처리정지”(법 제37조) 조항과 “정보 주체는 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구”할 수 있도록 명시한 “손해배상책임”(법 제39조) 조항을 규정하고 있다. 더불어, “정보 주체의 권리”(법 제4조) 조항을 아래와 같이 명시하고 있다.  

『제4조(정보 주체의 권리) 정보 주체는 자신의 개인정보 처리와 관련하여 다음 각호의 권리를 가진다.
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리
4. 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리
5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리』 

⑤ 파기
동 법에서는 “개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기”하도록 명시하고 있으며 “파기할 때는 복구 또는 재생”되지 않도록 하거나 “보존하여야 하는 경우에는 다른 개인정보와 분리하여서 저장·관리”하도록 명시하고 있다(법 제21조).  

『제21조(개인정보의 파기) 
① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때는 복구 또는 재생되지 아니하도록 조치하여야 한다.
③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보 파일을 다른 개인정보와 분리하여서 저장·관리하여야 한다.
④ 개인정보의 파기 방법 및 절차 등에 필요한 사항은 대통령령으로 정한다』 

또한, 개인정보 보호법 시행령에는 “개인정보의 파기 방법”(시행령 제16조) 조항을 통해 파기 방법을 규정하고 있다.  

『제16조(개인정보의 파기 방법) 개인정보처리자는 법 제21조에 따라 개인정보를 파기할 때는 다음 각호의 구분에 따른 방법으로 하여야 한다.
1. 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각』