Part2. 개인정보보호제도

 

1. 개인정보보호 관련 법률 체계

01) 우리나라 개인정보보호 관련 주요 법 체계

 (1) 대한민국 개인정보보호 관련 법제

1) 대한민국의 법제 구조

단계 : 법제	개인정보보호 조항	내용
1단계 : 헌법	헌법 제 10조	모든 국민은 존엄 가치, 행복 추구권, 국가는 개인이 가지는 불가침의 기본적 인권을 확인하고 보장
	헌법 제 17조	모든 국민은 사생활의 비밀과 자유를 침해받지 않을 권리
2단계 : 법률	개인정보보호법	사회 전반의 개인정보보호 규율
	정보통신망법, 신용정보법 등	규율 대상자 특정하여 개인정보보호 규율
3~4단계 : 시행령(대통령령,총리령, 부령)	대통령령, 국무총리령, 행정안정부령 등	법률엣 정하는 개인정보보호 상세사항 명령
5단계 : 행정규칙(훈령, 예규, 고시, 지침 등)	개인정보의 안전성 확보조치 기준, 개인정보의 기술적 관리적 보호조치 기준, 표준 개인정보보호 지침 등	법률, 시행령에 규정된 개인정보보호 관련 구체적 기준 및 가이드

 

(2) 법제 간 충돌 시 적용 원칙

법 적용의 원칙	설명	적용 사례
상위법 우선의 원칙	법규범 간에 충돌할 때 상위법이 우선 적용됨	헌법 > 법률 > 시행령 > 고시, 자치법규 예) 헌법 > 개인정보보호법
특별법(개별법) 우선의 원칙	특별법과 일반법이 충돌할 때 특별법이 우선 적용됨	특별법 > 일반법 예) 정보통신망법 > 개인정보보호법 단, 특별법에 해당 규정이 없으면 일반법 적용
신법 우선의 원칙	신법과 구법이 충돌할 때 신법이 우선 적용됨	신규 제개정 법제 > 기존 법제

 

(3) 개인정보 보호 추진 체계

1) 개인정보 보호 추진체계 변화

• 데이터 3법 개정으로 여러 부처에 분산되었던 개인정보보호 감독 체계가 개인정보보호 위원회로 일원화됨에 따라 2020/08/05, 개인정보보호위원회는 통합 감독기구 기능을 수행하는 독립적인 중앙행정기관으로 출범하였다.
• 행정안전부(오프라인), 방송통신위원회(온라인), 금융위원회(신용정보)로 감독 기능이 분산되었으나, 행정안전부, 방송통신위원회의 감독 기능 및 금융위원회의 일부 감독 기능(상거래기업)이 개인정보보호위원회로 일원화 되었다.

 

02 개인정보보호 관련 법 개요

(1) 개인정보보호 법규 수범자

수범자는 어떤 법규범이 직접적으로 규율하는 대상으로 헌법, 법률, 법규명령이 직접 규율대상으로 하는 사람, 즉 당해법률(구체적인 개별법률)의 의무자로 개별법, 개별규범을 직접 지켜야 하는 사람(사물)을 의미한다.

기본권의 소지자와 기본권의 수범자라는 개념과 구별해야 한다. 기본권의 소지자는 기본권을 향유하는 주권자인 국민을 의미하고, 기본권의 수범자는 주권자의 기본권을 보호해야 할 의무를 지는 국가기관, 지자체, 공법인을 의미한다.

(2) 개인정보보호 적용 대상

구분	개인정보보호법(2020.08.05.)	정보통신망법(2021.12.09.)
규제기관	개인정보보호위원회	방송통신위원회
정의	업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인	[전기통신사업법] 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자
목적	●업무목적 - 직업상 또는 사회생활상의 지위에 기항 계속적으로 종사하는 사무나 사업의 일체를 의미하는 것으로 보수 유무나 영리 여부와는 관계가 없으며, 단 1회의 행위라도 계속/반복의 의사가 있다면 업무로 볼 수 있음	●영리목적의 의미  - 재산상 이익을 취득하거나 이윤을 추구하려는 목적이 있음을 의미. 그러므로 학술/종교/자선단체 등 비영리단체가 순수하게 해당 단체의 설립목적을 실현하기 위해 웹사이트를 개설하여 운영하는 경우는 정보통신서비스 제공자로 보기 어려움
적용대상	●공공기관  - 국회, 법원, 헌법재판소, 중앙선거관리위원회, 중앙행정기관, 지방자치단체, 각급 학교 등 ●법인 ●단체 ●개인	●전기통신사업자  - 기간통신사업자(KT, LGU+, SKT)  - 별정통신사업자(국제전화서비스, 인터넷 접속, 인터넷 전화, 주차안심서비스 등)  - 부가통신사업자(포털사이트, 게임사이트, 쇼핑몰, 커뮤니티 등)
보호대상	정보주체란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체과 되는 사람	이용자란 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자
대상자	개인정보처리자	정보통신서비스 제공자

 

(3) 정보통신서비스 제공자 해당 여부

정보통신서비스 제공자란 전기통신사업법 규정에 의한 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다.

정보통신서비스 제공자로부터 이용자의 개인정보를 제공받은 자는 정보통신서비스 관리를 받지 않고 자기 책임하에 제공받은 목적 범위 내에서 개인정보를 이용하는 자이므로 정보통신서비스 제공자와 유사한 정도의 의무를 부담한다.

구분(전기통신사업자)	정보통신 서비스 제공자 해당 여부(정보통신서비스 제공자에 해당)
상법상의 상인 및 회사	상법상의 상인 및 회사는 영리를 목적으로 사업을 영위하므로 구체적인 영리행위가 없어도 기본적으로 정보통신서비스 제공자에 해당
비영리 법인	학솔/종교/자선/기예/사교 등 영리 어난 사업을 목적으로 설립된 비영리법인이 순수하게 해당 법인의 설립 목적을 실현하기 위해 정보통신서비스를 제공하는 경우 정보통신서비스 제공자에 해당하지 않음 다만, 비영리법인이 수익사업을 위해 정보통신서비스를 제공하는 경우 정보통신 서비스 제공자에 해당
특수 법인	특수법인이 법률상 목적 중 비영리사업을 위해 정보통신서비스를 제공하는 경우 정보통신서비스 제공자에 해당하지 않음 다만, 특수법인이 목적사업으로 수행하는 영리사업을 위해 정보통신서비스를 제공하는 경우 정보통신서비스 제공자에 해당
공기업	기본적으로 영리를 목적으로 사업을 영위하므로 해당 사업을 목적으로 서비스를 제공하는 경우 정보통신서비스 제공자에 해당
준정부기관	정부 업무의 수탁 수행 또는 기금관리 업무를 수행하는 점에서 기본적으로 정보통신서비스 제공자에 해당하지 않음
기타 공공기관	개별적으로 영리 목적의 정보통신서비스 제공 여부를 판단 연구개발목적기관으로 분류된 경우 원칙적으로 정보통신서비스 제공자에 해당 하지 않는 것으로 판단
의료기관	의료기관이 웹사이트 등 정보통신서비스를 제공하면서 경제적 이익을 취할 목적으로 영리행위를 하는 경우에는 정보통시서비스 제공자에 해당 다만, 의료기관이 내원 환자를 대상으로 오프라인 진료만을 수행하는 경우(진료사전예약을 위한 웹사이트, 전화예약 서비스 등을 운영하는 경우 포함)에는 정보통신서비스 제공자에 해당하지 않음
학교	관련 법률에 따라 설립되어 교육을 수행하는 학교는 그 범위 안에서는 비영리 목적에 해당하므로 원칙적으로 정보통신서비스 제공자에 해당하지 않음 다만, 사립학교 등이 상행위 등 영리 목적으로 정보통신서비스를 제공하는 경우에는 정보통신서비스 제공자에 해당
금융회사	금융회사는 영리를 목적으로 금융업을 영위하는 자이므로 기본적으로 정보통신서비스 제공자 해당

 

2. 개인정보보호 원칙과 의무

01 개인정보보호 원칙 개요

(1) 개인정보보호 원칙

법 제 3조는 개인정보 처리와 관련하여 국제적으로 통용되고 있는 원칙들을 반영하고 있다. 

제 3조의 개인정보보호 원칙은 1980년 제정된 [OECD 사생활 가이드라인] 상의 개인정보보호8원칙과 EU 회원국의 입법기준이 되는 [개인정보보호지침](95/46/EC, 1995) 이후 [일반개인정보보호법](GDPR, 2018)을 참고하였고, 우리나라가 제정과정에서 결정적인 역할을 수행한 [APEC 사생활 원칙](2004)도 고려하였다.

 

개인정보보호법 제3조(개인정보 보호 원칙)

1. 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하야 한다.
2. 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리해야 하며, 그 목적 외의 용도로 활용해서는 아니된다.
3. 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 해야 한다.
4. 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그  위험 정도를 고려하여 개인정보를 안전하게 관리해야 한다.
5. 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개해야 하며, 열람청구권 등 정보주체의 권리를 보장해야 한다.
6. 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리해야 한다.
7. 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의해 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의해 처리될 수 있도록 해야 한다.
8. 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위해 노력해야 한다.

(2) OECD 프라이버시 8원칙과 개인정보보호 원칙 비교

OECD 프라이버시 8원칙	내용	국내 개인정보보호 원칙	유럽 GDPR
1. 수집 제한의 원칙	- 합법적, 공정한 절차로 수집(동의, 법적 근거)  - 수집 시 최소한의 제한	목적에 필요한 최소정보의 수집 사생활 침해를 최소화하는 방법으로 처리	데이터 최소화
2. 정보 정확성의 원칙	- 개인정보는 이용목적에 부합되어야 함  - 이용목적 범위에서 정확하고, 완전하며 최신화	처리목적 내에서 정확성, 완전성, 최신성을 보장	정확성
3. 목적 명확화의 원칙	수집 목적은 수집 시까지 명확화 목적이 변경 시마다 명확화되도록 제한	처리목적의 명확화	목적 제한
4. 이용제한의 원칙	명확화된 목적 이외에 이용, 제공 금지 저오주체 동의, 법률 규정에 의한 경우 예외	목적 범위 내에서 적법하게 처리, 목적 외 활용금지	저장기간 제한
5. 안전성 확보의 원칙	개인정보 분실, 불법접근, 파괴, 오남용, 수정, 게시 등 위험에 대하여 합리적인 안전 조치	권리침해 가능성 등을 고려하여 안전하게 관리	무결성과 기밀성
6. 처리방침 공개의 원칙	개인정보 관련 개발, 실시, 정책을 공개 개인정보 존재, 특성, 이용목적, DPO 등 공개	개인정보 처리방침 등 공개	적법성, 공정성, 투명성
7. 정보주체 참여의 원칙	DPO로부터 본인의 개인 정보 여부 확인 권리 본인 개인정보에 대해 통지받을 권리	열람 청구권 등 정보주체의 권리 보장	N/A
8. 책임의 원칙	위의 제 원칙이 지켜지도록 필요한 제반조치 책임	개인정보처리자의 책임 준수, 신뢰확보 노력	책임성

 

02 개인정보보호 관련 법률 구성

 

03 개인정보 수집 제한

(1) 관련 법령 - 개인정보보호법(2020.08.05.) 제16조 [개인정보의 수집 제한]

1. 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하느 경우에는 그 목적에 필요한 최소한의 개인정보를 수집해야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.
2. 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다.
3. 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.

 

04 민감정보 처리제한

(1) 관련 법령 - 개인정보보호법(2020.08.05.) 제 23조 [민감정보의 처리 제한]

1. 개인정보처리자는 사상/신념, 노동조합/정당의 가입/탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정부주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보를 처리하여서는 아니된다. 다만 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
    호1 : 정보주체에게 제15조제2항 각 호 또는 제 17조제 2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
    호2 : 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
2. 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.

(2) 관련지식

1) 개인정보보호법 시행령 민감정보

 ① 유전자검사 등의 결과로 얻어진 유전정보

 ② 벌금 이상의 형의 선고/면제 및 선고유예, 보호감호, 치료감호, 보호관찰, 선고유예의 실효, 집행유예의 취소, 벌금 이상의 형과 함께 부과된 몰수, 추징, 사회봉사명령, 수강명령 등의 선고 또는 처분 등 범죄 경력에 관한 정보

 ③ 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보(특정 개인을 알아볼 목적으로 일정한 기술적 단을 통해 생성한 정보란 : 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 얼굴, 지문, 홍채, 필적 등에 관한 정보를 본인 확인이나 인증 등을 위해 다른 사람과 구별되는 특징을 추출하는 기술로 가공한 정보를 말한다.)

④ 인종이나 민족에 관한 정보

# 유전정보, 범죄경령 정보는 공공기관이 업무수행을 위하여 처리하는 경우에는 민감정보로 보지 아니하므로, 이 경우에는 정보주체로부터 별도 동의 없이 처리가 가능

 

2) 공공기관이 업무수행을 위해 정보주체의 별도 동의 없이 처리 가능 경우

개인정보보호법 시행령 제 18조(민감정보의 범위)/공공기관 해당정보, 개인정보보호법 시행령 제19조(고유식별정보의 범위) 공공기관 해당 정보

5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관업무를 수행할 수 없는 경우로서 보호위원회의 심의/의결을 거친 경우

6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우

7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우

8. 법원의 수사와 공소의 제기 및 유지를 위하여 필요한 경우

9. 형 및 감호, 보호처분의 집행을 위하여 필요한 경우

 

05 고유식별정보 처리제한

(1) 관련 법령 - 개인정보보호법(2020.08.05.) 제24조 [고유식별정보 처리제한]

1. 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보를 처리할 수 없다.
   1호 - 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
   2호 - 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
2. 삭제
3. 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.
4. 보호위원회는 처리하는 개인정보의 종류/규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제3항에 따라 안전성 확보에 필요한 조치를 하였는지에 관하여 대통령령으로 정하는 바에 따라 정기적으로 조사하여야 한다.
5. 보호위원회는 대통령령으로 정하는 전문기관으로 하여금 제4항에 따른 조사를 수행하게 할 수 있다.

(2) 관련지식

1) 고유식별정보의 정의

 ① 고유식별정보란 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보를 말한다. 법령에 의해서 개인에게 부여된 것이어야 하므로 기업, 학교 등이 소속 구성원에게 부여하는 사번, 학번 등은 고유식별정보가 될 수 없다.

또 법인이나 사업자에게 부여되는 법인등록번호, 사업자등록번호 등도 고유식별정보가 될 수 없다.

 ② 시행령에서는 고유식별정보의 범위를 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호로 정하고 있다.

다만, 시행령에 따른 고유식별정보는 공공기관이 다음의 업무수행을 위하여 처리하는 경우에는 고유식별정보로 보지 아니한다.

#법령에 의한다고 규정하고 있으므로 법률 외에 시행령, 시행규칙이 포함되며 이에 첨부된 별지 서식이나 양식도 포함된다.

 

2) 고유식별정보 처리 허용 법령

금융실명 거래 및 비밀보장에 관한 법률 - 제3조(실지명의)

후견등기에 관한 법률 - 제25조(성년후견등에 관한 기록사항)

아동학대범죄의 처벌 등에 관한 특례법 시행령 - 제7조(민감정보 및 고유식별정보의 처리)

청소년보호법 - 제16조(판매 금지 등), 제26조(심야시간대의 인터넷게임 제공시간 제한)

정보통신망법 - 제44조의5(게시판 이용자의 본인 확인)

 

3)고유식별정보 처리 실태 조사

보호위원회는 공공기관 또는 5만명 이상 정보주체의 고유식별정보를 처리하는 개인정보처리자에 대해서는 고유식별정보의 안전성 확보 조치를 하였는지를 2년마다 1회 이상 조사해야 한다.(제24조제 4항, 영 제21조제2항, 제3항).

보호위원회는 온라인 또는 서면을 통하여 필요한 자료를 제출하게 하는 방법으로 조사를 수행하며, 한국인터넷진흥원 또는 보호위원회가 정하여 고시하는 전문기관으로 하여금 조사를 수행하게 할 수 있다.

 

06 주민등록번호 처리제한

(1) 관련 법령 - 개인정보보호법 제24조의2, 정보통신망법 제23조의2

개인정보보호법 제24조의2 - [주민등록번호 처리의 제한]

정보통신망법 제23조의2 - [주민등록번호의 사용 제한]

① 제24조제 1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.   1. 법률/대통령령/국회규칙/대법원규칙/헌법재판소규칙/중앙선거관리위원회규칙 및 감사원 규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우 2. 정보주체 또는 제 3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우 3. 제1호및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회가 고시로 정하는 경우  ② 개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실/도난/유출/위조/변조/또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다. ③ 개인정보처리자는 제 1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다. ④ 보호위원회는 개인정보처리자가 제3항에 따른 방법을 제공할 수 있도록 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련/지원할 수 있다.

① 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 이용자의 주민등록번호를 수집/이용할 수 없다.   1. 제23조의3에 따라 본인확인기관으로 지정받은 경우   2. 삭제   3. [전기통신사업법] 제38조제1항에 따라 기간 통신사업자로부터 이동통신서비스 등을 제공받아 재판매하는 전기통신사업자가 제23조의3에 따라 본인확인기관으로 지정받은 이동통신사업자의 본인확인업무 수행과 관련하여 이용자의 주민등록번호를 수집/이용하는 경우 ② 제1항제3호에 따라 주민등록번호를 수집/이용할 수 있는 경우에도 이용자의 주민등록번호를 사용하지 아니하고 본인을 확인하는 방법을 제공하여야 한다.

 

(2) 관련지식

1) 주민등록번호 대체 본인확인 수단

  - 아이핀, 공인인증서, 휴대전화, 신용카드, 생년월인, 회원번호 등

 

2) 법령에 근거한 준민등록번호 수집 예시

  - 각급 행정기관의 훈령/예규/고시 및 지방자치단체의 조례/규칙 등은 주민등록번호 수집의 근거가 될 수 없음

  - 법령에서 단순히 신원확인 또는 연령확인 등의 의무만을 규정하고 있다면 이는 주민등록번호에 대한 처리근거를 구체적으로 규정한 것에 해당하지 않음

  - 주민번호 전체가 아니라 뒤7자리만 수집/이용하는 것은 주민번호의 부여체계를 활용하여 주민번호의 고유한 특성, 즉 유일성과 식별성을 이용하는 행위이므로 이는 주민번호 전체를 수집/이용하는 것으로 볼 수 있음

 

3) 주민등록번호 처리 허용 법률

법률	수집주체	예외사유
금융실명 거래 및 비밀보장에 관한 법률	금융회사 등(은행, 보험회사 및 카드회사 등)	금융 거래 시 거래자의 성명/주민번호로 실지명의 확인
전자상거래 등에서의 소비자 보호에 관한 법률	전자상거래 사업자(쇼핑몰 등 전자상거래업자)	거래 기록 및 그와 관련한 개인정보(성명, 주민번호 등) 보존
전자금융 거래법	금융기관 또는 전자금융업자	전자화폐를 사용하고자 할 경우 실지명의와 연결하여 관리
부가가치 세법	재화 또는 용역을 공급하는 자(일반 사업자)	세금계산서에 공급받은 자의 주소, 성명, 주민번호 기재
소득 세법	원천징수 의무자	원천징수영수 영수증 주민등록번호 기재
의료법	병원	진단서, 처방전, 진료기록부의 기재사항에 주민번호 포함
보험업법	금융위원회보험요율 산출기관, 보험협회, 보험회사	각 호에서 정하는 업무 수행에 불가피한 경우
자격기본법	공인자격 관리자	공인자격증 기재사항 및 관리를 위해 주민번호 수집/이용 가능
고용보험법	사업주 또는 훈련기관	직업능력개발 훈련비용 청구를 위한 지원서 작성시 훈련생의 주민번호 기재
전기통신 사업법	전기통신 사업자가 수사기관에 제출	수사기관이 전기통신사업법에 의한 통신 자료 요청 시
전자서명법	공인인증기관	공인인증 업무
방송법	방송사업자	방송사업자에 대해 정보 공개 요구
벤처기업 육성에 관한 특별조치 법	벤처기업	주식교환 시 주주의 주민번호 기재사항

 

07 영상정보처리기기의 설치/운영 제한

(1) 관련 법령 - 개인정보보호법 제25조 [영상정보처리기기의 설치/운영 제한]

① 누구든지 다음 각 호의 경우를 제외하고는 공개된 장소에 영상정보처리기기를 설치/운영하여서는 아니 된다.

1. 법령에서 구체적으로 허용하고 있는 경우
2. 범죄의 예방 및 수사를 위하여 필요한 경우
3. 시설안전 및 화재 예방을 위하여 필요한 경우
4. 교통단속을 위하여 필요한 경우
5. 교통정보의 수집/분석 및 제공을 위하여 필요한 경우

② 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치/운영하여서는 아니 된다. 다만, 교도소, 정신보건 시설 등 법령에 근거하여 사람을 구금하거나 보호하는 시설로서 대통령령으로 정하는 시설에 대하여는 그러하지 아니하다.

③ 제1항 각 호에 따라 영상정보처리기기를 설치/운영하려는 공공기관의 장과 제2항 단서에 따라 영상정보처리기기를 설치/운영하려는 자는 공청회/설명회의 개최 등 대통령령으로 정하는 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다.

④ 제1항 각 호에 따라 영상정보처리기기를 설치/운영하는자는 정보주체가 쉽게 인식할 수 있도록 다음 각 호의 사항이 포함된 안내판을 설치하는 등 필요한 조치를 하여야 한다. 다만 [군사기지 및 군사시설 보호법] 제2조제2호에 따른 군사시설, [통합방위법] 제2조제13호에 따른 국가중요시설, 그 밖에 대통령령으로 정하는 시설에 대하여는 그러하지 아니하다.

1. 설치 목적 및 장소
2. 촬영 범위 및 시간
3. 관리책임자 성명 및 연락처
4. 그 밖에 대통령령으로 정하는 사항

⑤ 영상정보처리기기운영자는 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비춰서는 아니 되며, 녹음기능은 사용할 수 없다.

⑥ 영상정보처리기기운영자는 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 제29조에 따라 안전성 확보에 필요한 조치를 하여야 한다.

⑦ 영상정보처리기기운영자는 대통령령으로 정하는 바에 따라 영상정보처리기기 운영/관리 방침을 마련하여야 한다.  이 경우 제30조에 따른 개인정보 처리방침을 정하지 아니할 수 있다.

⑧ 영상정보처리기기운영자는 영상정보처리기기의 설치/운영에 관한 사무를 위탁할 수 있다. 다만, 공공기관이 영상정보처리기기 설치/운영에 관한 사무를 위탁하는 경우에는 대통령령으로 정하는 절차 및 요건에 따라야 한다.

 

(2) 관련지식

1) 영상정보처리기기 정의

 "영상정보처리기기란" - 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유/무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.

 

2) 영상정보처리기기 적용범위

제25조에 의하여 설치/운영이 금지 또는 제한되는 영상정보처리기기는 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유/무선망을 통하여 전송하는 장치에 한정한다(제2조제7호.) 구체적으로 폐쇄회로 텔레비전(CCTV)과 네트워크 카메라가 이에 속한다.(영제3조). 차량에 설치되어 외부를 촬영하는 블랙박스는 일정한 공간에 지속적으로 설치된 것으로 볼 수 없고 이동성을 전제로 하므로 이에 속한다고 볼 수 없다.

 

3)영상정보처리기기 적용대상

제25조의 적용 대상은 공개된 장소에 영상정보처리기기를 설치/운영하는 '모든 자'에게 적용된다. 즉, 업무를 목적으로 개인정보파일을 운용하기 위하여 영상정보를 처리하는 '개인정보처리자'가 아니더라도 영상정보처리기기를 설치/운영하는 자라면 누구든지 영상정보처리기기에 관한 규제대상에 포함된다.

 

4) 공개된 장소에서의 설치/운영 금지

'공개된 장소'란 도로, 공원, 광장, 지하철역 등의 공공장소와 같이 불특정 다수가 출입하거나 이용할 수 있도록 허용된 장소, 즉 정보주체가 접근하거나 통행하는 데에 제한을 받지 아니 하는 장소를 의미한다. 따라서 특정인들 또는 특정한 용건이 있는 사람만 출입할 수 있거나, 출입이 엄격히 통제되는 장소는 여기서 말하는 '공개된 장소'에 해당하지 않는다.

 

5) 공개된 장소

 ① 도로, 공원, 공항, 항만, 주차장, 놀이터, 지하철역 등의 공공장소

 ② 백화점, 대형마트, 상가, 놀이공원 등 시설

 ③ 버스, 택시 등 누구나 탑승할 수 있는 대중교통

 

6) 영상정보처리기기 여부

법령	해당여부	공개장소	일정공간 지속촬영
택시, 버스 등의 CCTV	O	O	O
택시/버스 등에 설치된 블랙박스	X	O	X
개인 승용차에 설치된 블랙박스	X	X	X
관공서, 기업 등의 건물에 설치된 CCTV	O	O	O
사업장 내부에 설치된 CCTV	X	X	O

7) 영상정보처리기기 설치 허용 법령

법령	사례
주차징법 시행규칙	주차대수 30대를 초과하는 규모의 자주식 주차장
아동복지법	유치원, 초등학교, 특수학교, 보육시설 등 아동보호구역
폐광지역개발 지원에 관한 특별법 시행령	카지노사업자는 호텔의 내부 및 외부의 주요 지점
외국인보호규칙	외국인보호시설
공중위생관리법 시행규칙	목욕장업자는 목욕실, 발한실, 탈의실 이외의 시설
국제항해선박 및 항만시설의 보안법 시행규칙	국제여객선터미널의 여객 대기지역, 항만시설
생명윤리 및 안전에 관한 법률 시행규칙	체세포복제배아연구기관은 실험실 및 보관시설의 감시

8) 안내판 및 홈페이지 게재 내용 예시

설치목적 : 범죄 예방 및 시설안전

설치장소 : 출입구의 벽면/천장, 엘리베이터/각층의 천장

촬영범위 : 출입구, 엘리베이터 및 각층 복도(360도)

촬영시간 : 24시간 연속 촬영

관리책임자 : 000(전화번호)

수탁관리자 : 00업체 누구누구

 

9) 영상정보처리기기 운영/관리에 포함 사항

1. 영상정보처리기기의 설치 근거 및 설치 목적
2. 영상정보처리기기의 설치 대수, 설치 위치 및 촬영범위
3. 관리책임자, 담당부서 및 영상정보에 대한 접근 권한이 있는 사람
4. 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법
5. 영상정보처리기기운영자의 영상정보 확인방법 및 장소
6. 정보주체의 영상정보 열람 등 요구에 대한 조치
7. 영상정보 보호를 위한 기술적/관리적 및 물리적 조치
8. 그밖에 영상정보처리기기의 설치/운영 및 관리에 필요한 사항

10) 개인영상정보의 열람등 요구

 ① 정보주체 자신이 촬영된 개인영상정보

 ② 명백히 정보주체의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 개인영상정보

 

08 개인정보의 안전 조치 의무

(1) 관련 법령 - 개인정보보호법 제29조 [안전조치의무]

이 법 시행령에서는 개인정보의 유출 등 피해를 막기 위한 조치로서 조직/인력 등에 대한 관리적 보호 조치 개인정보처리시스템 등에 대한 기술적 보호 조치, 개인정보가 보관된 장소나 매체에 대한 물리적 보호조치를 규정하고 있다.

개인정보처리자는 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적/관리적 및 물리적 조치를 해야 한다.

① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다.

1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립/시행
2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
3. 개인정보를 안전하게 저장/전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조/변조 방지를 위한 조치
5. 개인정보에 대한 보안프로그램의 설치 및 갱신
6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

② 보호위원회는 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 자원을 할 수 있다.
③ 제 1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.

 

09 개인정보취급자에 대한 감독

(1) 관련 법령 - 개인정보보호법 제28조 개인정보취급자에 대한 감독

① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제 근로자 등 개인정보처리자의 지휘/감독을 받아 개인정보를 처리하는자에 대하여 적절한 관리/감독을 행해야 한다.

② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보 취급자에게 정기적으로 필요한 교육을 실시하여야 한다.

 

(2) 관련지식

1) 개인정보취급자와 개인정보처리자의 차이

구분	개인정보처리자	개인정보취급자
정의	업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 자	개인정보처리자의 지휘/감독을 받아 개인정보를 처리하는 자
대상	공공기관, 법인, 단체 및 개인	임직원, 파견근로자, 시간제근로자
유의사항	개인정보취급자에 대한 관리/감독 의무 개인정보취급자에 대한 정기적 교육 의무 대표자, 개인정보보호책임자가 아닌 조직체	정규직, 비정규직, 하도급, 시간제 등 모든 근로형태를 불문 고용관계가 없더라도 개인정보취급자에 포함됨 개인정보 처리업무 등을 수탁받아 처리하고 있는 수탁자 포함

 

10 가명정보 처리

(1) 관련 법령 - 개인정보보호법 제28조의 2~7 [가명정보 처리]

제28조의2 - 가명정보의 처리

① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.

② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.

 

제28조의3 - 가명정보의 결합 제한

① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.

② 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 제58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다.

③ 제 1항에 따른 결합 절차와 방법, 전문기관의 지정과 지정 취소 기준/절차, 관리/감독, 제2항에 따른 반출 및 승인 기준/절차 등 필요한 사항은 대통령령으로 정한다.

 

제28조의4 - 가명정보에 대한 안전조치의무

① 개인정보처리자는 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관/관리하는 등 해당 정보가 분실/도난/유출/위조/변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적/관리적 및 물리적 조치를 해야 한다.

② 개인정보처리자는 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시 제공받는 자 등  가명정보처리 내용을 관리하기 위해 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관해야 한다.

 

제28조의5 - 가명정보 처리 시 금지의무

① 누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다.

② 개인정보처리자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수/파기해야 한다.

 

제28조의6 - 가명정보 처리에 대한 과징급 부과

① 보호위원회는 개인정보처리자가 제28조의 5제1항을 위반하여 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우 전체 매출액의 100분의 3이하에 해당하는 금액을 과징금으로 부과할 수 있다. 다만, 매출액이 없거나 산전이 곤란한 경우로서 대통령령으로 정하는 경우에는 4억원 또는 자본금의 100분의 3 중 큰 금액 이하로 과징금을 부과할 수 있다.

② 과징금의 부과/징수 등에 필요한 사항은 제34조의2제3항부터 제5항까지의 규정을 준용한다.

 

(2) 관련지식

1) 가명정보에 적용되지 않는 규정

2) 통계작성 

3) 과학적 연구

4) 공익적 기록보존

5) 가명정보 제3자 제공 시의 금지사항

6) 가명정보 처리에 대한 기록/보관

 

#개인정보/가명정보/익명정보 개념

구분	개인정보	가명정보	익명정보
개념	특정 개인에 관한 정보, 개인을 알아볼 수 있게 하는 정보	추가정보의 사용 없이는 특정 개인을 알아볼 수 없게 조치한 정보	더 이상 개인을 알아볼 수 없게(복원 불가능할 정도로) 조치한 정보
활용범위	사전적익 구체적인 동의를 받은 범위 안에서 활용 가능	통계 작성(상업적 목적 포함), 과학적 연구(산업적 연구 포함), 공익적 기록 보존	개인정보가 아니기 때문에 제한없이 자유롭게 활용
개념도	Identified	Pseudonymized	anonymized

 

# 개인정보의 가명/익명처리 기술 종류

삭제기술 - 삭제, 부분삭제, 행 항목삭제, 로컬 삭제, 마스킹

통계도구 - 총계처리, 부분 총계

일반화 기술 - 일반 라운딩, 랜던 라운딩, 제어 라운딩, 상하단 코딩, 로컬 일반화, 범위 방법, 문자데이터 범주화, 양방향 암호화

암호화 - 일방향 암호화(암호학적 해시함수), 순서보존 암호화, 형태보존 암호화, 동형 암호화, 다형성 암호화

무작위화 기술 - 잡음 추가, 순열, 토큰화, 난수생성기

가명/익명처리를 위한 다양한 기술 - 표본추출, 해부화, 재현데이터, 동형비밀분산, 차분 프라이버시

 

11 개인정보 처리방침

(1) 관련 법령 - 개인정보보호법 제30조 [개인정보 처리방침의 수립 및 공개]

① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리방침을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.

1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항
   3의2.  개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다.)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우만)
5. 정보주체와 법정대리인의 권리/의무 및 그 행사방법에 관한 사항
6. 제31조에 따른 개인정보보호 책임자의 성명 또는 개인정보보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속 정보파일 등 개인정보를 자동으로 수집하는 장치의 설치/운영 및 그 거부에 관한 사항
8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개해야 한다.

③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.

④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다.

 

(2) 관련지식

1) 개인정보 처리방침 포함사항(시행령 31조)

 

2) 개인정보 처리방침 임의기재사항(개인정보 처리방침 작성 예시/보호위원회)

① 정보주체의 권익침해에 대한 구제방법

② 개인정보의 열람청구를 접수/처리하는 부서

③ 영상정보처리기기 운영/관리에 관한 사항

 

3) 개인정보 처리방침 공개 방법 - 개인정보보호법 시행령 제31조 개인정보 처리방침의 내용 및 공개방법

1. 개인정보처리자의 사업장 등의 보기 쉬운 장소에 게시하는 방법
2. 관보(개인정보처리자가 공공기관인 경우만 해당한다)나 개인정보처리자의 사업장 등이 있는 시/도 이상의 지역을 주된 보급지역으로 하는 [신문 등의 진흥에 관한 법률] 제2조제1호가목/다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적으로 싣는 방법
4. 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법

-> 인터넷 홈페이지, 사업장, 간행물, 신문, 관보, 계약서

 

4) 공공기관 개인정보 처리방침 등록 면제가 가능한 경우

 - 개인정보보호법 제32조 개인정보파일의 등록 및 공개

1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일
3. [조세범처벌법]에 따른 범칙행위 조사 및 [관세법]에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
4. 공공기관의 내부적업무처리만을 위하여 사용되는 개인정보파일
5. 다른 법령에 따라 비밀로 분류된 개인정보파일

 - > 비밀, 범죄수사, 형 집행, 안전, 내부적 업무, 조세, 출입국, 관세

 

 - 개인정보보호법 제58조 적용의 일부 제외

1. 공공기관이 처리하는 개인정보 중 [통계법]에 따라 수집되는 개인정보
2. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보
3. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인 정보
4. 언론, 종료단체, 정당이 각각 취재/보도, 선교, 선거 입후보자 추천 등 고유 목적을 달성하기 위하여 수집/이용되는 개인정보

 - 표준 개인정보보호지침 제50조

1. 자료/물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보파일
2. [금융실명거래 및 비밀보장에 관한 법률]에 따른 금융기관이 금융업무 취급을 위해 보유하는 개인정보파일

 

12 개인정보보호 책임자

(1) 관련 법령 - 개인정보보호법 제31조 [개인정보 보호책임자의 지정]

① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보보호책임자를 지정해야 한다.

② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.

1. 개인정보보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용/남용 방지를 위한 내부통제시스템의 구축
5. 개인정보보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리/감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

③ 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.

④ 개인정보 보호책임자는 개인 정보보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다.

⑤ 개인정보처리자는 개인정보보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다.

⑥ 개인정보보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다.

 

 - 개인정보보호법 시행령 제32조 [개인정보 보호 책임자의 업무 및 지정 요건]

① 법 제31조제2항제7호에서 "대통령령으로 정한 업무"란 다음 각 호와 같다.

1. 법 제30조에 따른 개인정보 처리방침의 수립/변경 및 시행
2. 개인정보보호 관련 자료의 관리
3. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

 

(2) 관련지식

1) 개인정보 보호책임자의 자격요건

구분	개인정보 보호책임자의 자격요건(영 제32조제2항)	관련 근거
민간기업	사업주 또는 대표자, 임원(임원이 없는 경우 개인정보 처리업무 담당 부서장) # 중소기업기본법에 따른 소기업 따른 중 업종별 상시근로자수 5명 미만(광업, 제조업, 건설업 및 운수업은 10명 미만) 시 CPO 지정하지 않을 수 있으며 대표자가 CPO가 됨	개인정보보호법
공공기관	- 국회, 법원 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관 : 고위공무원단에 속하는 공무원  - 정무직 공무원을 장으로 하는 국가기관 : 3급 이상 공무원  - 기타 국가기관 : 해당기관의 개인정보 처리 업무 관련 업무 담당부서장  - 시·도 및 시·도 교육청 : 3급 이상 공무원  - 각급 학교 : 해당 학교 행정사무를 총괄하는 사람  - 기타 공공기관 : 개인정보 처리 관련 업무를 담당하는 부서장	개인정보보호법 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건) 제 2항 제1호

 

2) 개인정보 보호책임자와 정보보호 최고책임자의 업무 비교

개인정보 보호책임자의 업무(법 제31조제2항, 영 제32조제1항)	정보보호 최고책임자의 지정 등(정보통신망법 제45조의3)
1. 개인정보보호 계획의 수립 및 시행 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 3. 개인정보 처리와 관련한 불만의 처리 및 피해 4. 개인정보 유출 및 오용·남용 방지를 위한 내부 통제시스템의 구축 5. 개인정보보호 교육 계획의 수립 및 시행 6. 개인정보파일의 보호 및 관리·감독 7. 법 제30조에 따른 개인정보 처리방침의 수립·변경 및 시행 8. 개인정보보호 관련 자료의 관리 9. 처리목적이 달성되거나 보유기간이 경과한 개인 정보의 파기	1. 정보보호관리체계의 수립 및 관리·운영 2. 정보보호 취약점 분석·평가 및 개선 3. 침해사고의 예방 및 대응 4. 사전 정보보호 대책 마련 및 보안조치 설계·구현 등 5. 정보보호 사전 보안성 검토 6. 중요 정보의 암호화 및 보안서버 적합성 검토 7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치이ㅡ 이행

 

3) 개인정보 보호책임자와 개인정보 취급자의 업무 비교

 

13 개인정보 유출통지 및 신고

(1) 관련 법령

개인정보보호법 제34조[개인정보 유출 통지]

개인정보보호법 제389조의4[개인정보 유출 등의 통지/신공 대한 특례]

① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.   1. 유출된 개인정보의 항목   2. 유출된 시점과 그 경위   3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 ② 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다. ③ 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체없이 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 피해 확산 방지, 피해복구 등을 위한 기술을 지원할 수 있다. ④ 제 1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.

① 제34조제1항 및 제3항에도 불구하고 정보통신서비스 제공자와 그로부터 제17조제1항에 따라 이용자의 개인정보 제공받은자는 개인정보의 분실/도난/유출 사실을 안 때에는 지체없이 다음 각 호의 사항을 해당 이용자에게 알리고 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 하며 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지/신고해서는 아니 된다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다.  1. 유출 등이 된 개인정보 항목  2. 유출등이 발생한 시점  3. 이용자가 취할 수 있는 조치  4. 정보통신서비스 제공자등의 대응조치  5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처 ② 제1항의 신고를 받은 대통령령으로 정하는 전문기관은 지체 없이 그 사실을 보호위원회에 알려야 한다. ③ 정보통신서비스 제공자등은 제1항에 따른 정당한 사유를 보호위원회에 소명하여야 한다. ④ 제 1항에 따른 통지 및 신고의 방법/절차 등에 필요한 사항은 대통령령으로 정한다.

 

(2) 관련지식

1) 유출 시 정보주체에게 알려야 하는 사항

 - 개인정보처리자 : 개인정보 항목, 시점과 경위, 정보주체 방법, 개인정보처리자 대응조치 및 피해구제절차, 신고 접수 담당부서 및 연락처

 - 정보통신서비스 제공자 : 개인정보 항목, 시점, 이용자 조치, 정보통신서비스 제공자 대응조치, 신고 접수 부서 및 연락처

 

2) 개인정보 유출 신고 기준

구분	개인정보처리자(개인정보보호법 제34조)	정보통신서비스 제공자 등(개보법 제39조의4)
신고 대상 건수	1천명 이상 정보주체에 관한 개인정보 유출 시	유출 건수와 무관
신고 시점	유출되었음을 알게 되었을 때 지체없이(5일 이내)	정당한 사유가 없는 한 그 사실을 안 때부터 24시간 이내
신고 기관	보호위원회 또는 KISA	보호위원회 또는 KISA
통지	1. 유출된 개인정보의 항목 2. 유출된 시점과 그 경위 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해 구제절차 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처	1. 유출된 개인정보의 항목 2. 유출등이 발생한 시점 3. 이용자가 취할 수 있는 조치 4. 정보통신서비스 제공자등의 대응 조치 5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
신고방법
인터넷 홈페이지	7일 이상 게재(홈페이지 미운영시 사업장 등에 게시 가능)	30일 이상 게시(이용자 연락처를 알 수 없는 등 정당한 사유가 있는 경우)

 

3) 개인정보 유출 기준(표준지침 제25조)

① 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우

② 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우

③ 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 그 밖의 저장매체가 권한이 없는 자에게 잘못 전달된 경우

④ 그 밖에 권한이 없는 자에게 개인정보가 전달된 경우

 

4) 유출 통지 관련 주의사항

① 1건이라도 유출되었더라도 통지해야 한다. 외국은 미국처럼 예외도 있다.

② 개인정보의 유출 사실을 '알게 되었을 때'이므로, 유출 사실이 일어났다고 해서 바로 통지의무가 발생하는 것은 아니며, 유출 사실을 개인정보처리자가 인지한 시점에서 유출통지 의무가 발생한다.

③ 개인정보가 개인정보처리자의 관리/통제권을 벗어난 제3자가 그 개인정보를 알 수 있는 상태에 이르렀다는 사실을 알게 되었을 때도 이에 해당한다.

④ 가명정보가 유출된 경우에는 적용되지 않는다.

 

5) 개인정보 유출사고 대응 계획 예시

① 개인정보 유출의 정의 및 사례/유형

② 개인정보 유출사고 예방을 위한 안전조치 및 상시 모니터링 수행

③ 개인정보 유출사고 대응팀 구성/운영 및 비상연락망

④ 개인정보 유출사고시 단계별 대응절차 - 사고인지 및 긴급조치, 유출통지 및 신고, 피해신고 접수 및 피해구제, 사고 원인 분석 및 안전조치, 재발방지 대책 수립/운영 등

 

14 개인정보파일 등록 및 공개

(1) 관련 법령 - 개인정보보호법 제32조 [개인정보파일 등록 및 공개]

① 공공기관의 장이 개인정보파일을 운용하는 경우에는 다음 각 호의 사항을 보호위원회에 등록해야 한다. 등록한 사항이 변경된 경우에도 같다.

1. 개인정보파일의 명칭
2. 개인정보파일의 운영 근거 및 목적
3. 개인정보파일에 기록되는 개인정보의 항목
4. 개인정보의 처리 방법
5. 개인정보의 보유기간
6. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
7. 그 밖에 대통령령으로 정하는 사항

② 다음 각 호의 어느 하나에 해당하는 개인정보파일에 대하여는 제1항을 적용하지 아니한다.

1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
3. [조세범처벌법]에 따른 범칙행위 조사 및 [관세법]에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
4. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
5. 다른 법령에 따라 비밀로 분류된 개인정보파일

③ 보호위원회는 필요하면 제1항에 따른 개인정보파일의 등록사항과 그 내용을 검토하여 해당 공공기관의 장에게 개선을 권고할 수 있다.

④ 보호위원회는 제1항에 따른 개인정보파일의 등록 현황을 누구든지 쉽게 열람할 수 있도록 공개하여야 한다.

⑤ 제 1항에 따른 등록과 제4항에 따른 공개의 방법, 범위 및 절차에 관하여 필요한 사항은 대통령령으로 정한다.

⑥ 국회, 법원, 헌법재판소, 중앙선거관리위원회의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회 규칙으로 정한다.

 

 - 개인정보보호법 시행령 제33조 [개인정보파일의 등록사항]

제32조제1항제7호에서 대통령령으로 정하는 사항이란 다음 각 호의 사항을 말한다.

1. 개인정보파일을 운용하는 공공기관의 명칭
2. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수
3. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서
4. 제41조에 따른 개인정보의 열람 요구를 접수/처리하는 부서
5. 개인정보파일의 개인정보 중 법 제35조제4항에 따라 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유

제34조 [개인정보파일의 등록 및 공개]

① 개인정보파일을 운용하는 공공기관의 장은 그 운용을 시작한 날부터 60일 이내에 보호위원회가 정하여 고시하는 바에 따라 보호위원회에 법 제32조제1항 및 이 영 제33조에 따른 등록사항의 등록을 신청해야 한다.

//

 

(2) 관련지식

1) 개인정보파일 정의

 : 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.

개인정보파일은 일반적으로 전자적 형태로 구성된 데이터베이스를 의미하는 경우가 많지만, 그 외에 체계적인 검색/열람을 위한 색인이 되어 있는 수기 문서 자료 등도 포함된다.

2) 등록면제 개인정보파일(표준지침제50조)

3) 등록의무 적용예외

4) 개인정보파일 등록 현황 관리 시스템 예시

5) 개인정보파일 등록 사항(법 제32조1항, 영 제33조)

6) 보호위원회 등록이 면제되는 개인정보파일

 

3. 정보주체의 권리

01 정보주체의 권리 - 개보법 제4조 [정보주체의 권리]

(1) 관련 법령

정보주체는 자신의 개인정보 처리와 관련하여 다음 각호의 권리를 가진다.

1. 개인정보의 러치에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다)을 요구할 권리
4. 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리
5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리

순번	정보주체의 권리	설명
1	개인정보 처리에 관한 정보를 제공받을 권리	- 개인정보 수집·이용·제공 목적·범위 등의 고지, 개인정보 처리방침의 수립·공개 등의 의무  - 정보통신서비스 제공자등은 개인정보 이용내역의 통지 의무
2	동의 여부, 동의범위 등을 선택하고 결정할 권리	- 자신의 개인정보 자기결정권  - 개인정보 처리 여부 및 동의 범위 등을 선택할 수 있는 권리
3	개인정보의 처리 유무를 확인하고 열람을 요구할 권리	- 자신의 개인정보에 접근권  - 개인정보처리자의 무분별한 개인정보 수집·이용·제공을 방지하는 기능
4	개인정보의 처리정지·정정·삭제 및 파기를 요구할 권리	- 개인정보처리자의 잘못된 개인정보 처리로 인한 피해를 방지  - 개인정보 수집·이용·제공 등에 관한 동의를 철회할 권리  - 자신의 개인정보를 파기 요구할 권리
5	피해를 신속하고 공정한 절차에 따라 구제받을 권리	- 개인정보의 수집·이용·제공 등으로 피해가 발생한 경우, 신속하고 공정한 절차에 따라 피해의 심각성에 비례하여 적절한 보상을 받을 권리  - 입증책임의 전환, 분쟁조정제도 및 권리침해 중지 단체소송제도, 법정·징벌적 손해배상 제도, 정보통신서비스 제공자등의 손해배상 책임 보장 조치 의무

 

02 개인정보의 열람 - 개보법 제35조 [개인정보의 열람]

(1) 관련 법령

① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다.

② 제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 보호위원회를 통하여 열람을 요구할 수 있다.

③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체없이 열람하게 하여야 한다.

④ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다.

1. 법률에 따라 열람이 금지되거나 제한되는 경우
2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우

     가. 조세의 부과·징수 또는 환급에 관한 업무

     나. [초중등교육법] 및 [고등교육법]에 따른 각급 학교, [평생교육법]에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적평가 또는 입학자 선발에 관한 업무

     다. 학력·기능 및 채용에 관한 시험, 자격 심사에 관한 업무

     라. 보상금·급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무

     마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무

 

⑤ 제1항부터 제4항까지의 규정에 따른 열람 요구, 열람제한, 통지 등의 방법 및 절차에 관하여 필요한 사항은 대통령령으로 정한다.

 

 - 개보법 제39조의7 [이용자의 권리 등에 대한 특례]

① 이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집·이용·제공 등의 동의를 철회할 수 있다.

② 정보통신서비스 제공자등은 제1항에 따른 동의의 철회, 제35조에 따른 개인정보의 열람, 제36조에 따른 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다.

③ 정보통신서비스 제공자등은 제1항에 따라 동의를 철회하면 지체없이 수집된 개인정보를 복구·재생할 수 없도록 파기하는 등 필요한 조치를 하여야 한다.

 

(2) 관련 지식

1) 열람조치 기준 

법 제35조제3항 전단에서 "대통령령으로 정하는 기간"이란 10일을 말한다.

 

2) 정보주체가 열람이나 제공을 요구할 수 있는 정보 - 개보법 시행령 제41조 [개인정보의 열람 절차]

1. 개인정보의 항목 및 내용
2. 개인정보의 수집·이용의 목적
3. 개인정보 보유 및 이용기간
4. 개인정보의 제3자 제공 현황
5. 개인정보 처리에 대하여 동의한 사실 및 내용

3) 열람요구를 제한·거절할 수 있는 사유 - 개보법 제35조 [개인정보의 열람] 제4항

위에

4) 처리정지 요구 거부 사유 - 개보법 제37조 [개인정보의 처리정지] 제2항

1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가프한 경우
2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관업무를 수행할 수 없는 경우
4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우

5) 정보주체의 개인정보 열람 요구권

6) 열람 요구·방법 절차 마련 시 준수사항

① 서면, 전화, 전자우편, 인터넷 등 정보주체가 쉽게 활용할 수 있는 방법으로 제공할 것

② 개인정보를 수집한 창구의 지속적 운영이 곤란한 경우 등 정당한 사유가 있는 경우를 제외하고는 최소한 개인정보를 수집한 창구 또는 방법과 동일하게 개인정보의 열람을 요구할 수 있도록 할 것

③ 인터넷 홈페이지를 운영하는 개인정보처리자는 홈페이지에 열람 요구 방법과 절차를 공개할 것

 

7) 가명정보 적용 제외

가명정보에는 이름, 연락처 등 개인을 알아볼 수 있는 정보가 포함되어 있지 않으므로 정보주체는 가명정보에 대해 제35조에 따른 열람 요구권을 행사할 수 없다.

 

03 개인정보의 정정·삭제

(1) 관련 법령

- 개보법 제36조 [개인정보의 정정·삭제]

① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.

② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정·삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.

③ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.

④ 개인정보처리자는 정보주체의 요구가 제1항 단서에 해당될 때에는 지체없이 그 내용을 정보주체에게 알려야 한다.

⑤ 개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주체에게 정정/삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다.

⑥ 제1항·제2항 및 제4항에 따른 정정 또는 삭제 요구, 통지 방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.

 

 - 통신비밀보호법 시행령 제41조 [전기통신사업자의 협조의무]

법 제15조의2제2항에 따른 전기통신사업자의 통신사실확인자료 보관기간은 다음 각호의 구분에 따른 기간 이상으로 한다.

1. 법 제2조제11호가목부터 라목까지 및 바목에 따른 통신사실확인자료 : 12개월 다만, 시외·시내전화 역무와 관련된 자료인 경우에는 6개월로 한다.

2. 법 제2조제11호마목 및 사목에 따른 통신사실확인자료 : 3개월

 

 - 전자상거래 등에서의 소비자보호에 관한 법률 시행령 제6조[사업자가 보존하는 거래기록의 대상 등]

법 제 6조 제3항에 따라 사업자가 보존해야 할 거래기록의 대상·범위 및 기간은 다음 각 호와 같다. 다만, 법 제20조 제1항에 따른 통신판매중개자는 자신의 정보처리시스템을 통하여 처리한 기록으 ㅣ범위에서 다음 각 호의 거래기록을 보존해야 한다.

1. 표시·광고에 관한 길고 : 6개월
2. 계약 또는 청약철회 등에 관한 기록 : 5년
3. 대금결제 및 재화등의 공급에 관한 기록 : 5년
4. 소비자의 불만 또는 분쟁처리에 관한 기록 : 3년

 

04 개인정보의 처리정지 등

(1) 관련 법령 - 개보법 제37조 [개인정보의 처리정지]

① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다. 이 경우공공기관에 대하여는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다.

② 개인정보처리자는 제1항에 따른 요구를 받았을 때에는 지체없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.

1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가프한 경우
2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관업무를 수행할 수 없는 경우
4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우

③ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절했을 때에는 정보주체에게 지체없이 그 사유를 알려야 한다.

④ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체없이 해당 개인정보의 파기 등 필요한 조치를 해야 한다.

⑤ 제1항부터 제3항까지의 규정에 따른 처리정지의 요구, 처리정지의 거절, 통지 등의 방법 및 절차에 필요한 사항은 대통령령으로 정한다.

 

(2) 관련 지식

1) 처리정지 요구의 예외인 개인정보파일 (중복)

1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
3. [조세범처벌법]에 따른 범칙행위 조사 및 [관세법]에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
4. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
5. 다른 법령에 따라 비밀로 분류된 개인정보파일

2) 처리정지요구 거부사유

3) 가명정보 적용 제외

 

05 권리행사의 방법 및 절차 - 개보법 제38조 [권리행사의 방법 및 절차]

(1) 관련 법령

① 정보주체는 제35조에 따른 열람, 제36조에 따른 정정/삭제, 제37조에 따른 처리정지, 제39조의7에 따른 동의 철회 등의 요구를 문서 등 대통령령으로 정하는 방법/절차에 따라 대리인에게 하게 할 수 있다.

② 만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동의 개인정보 열람등 요구를 할 수 있다.

③ 개인정보처리자는 열람등 요구를 하는 자에게 대통령령으로 정하는 바에 따라 수수료와 우송료(사본의 우송을 청구하는 경우에 한한다)를 청구할 수 있다.

④ 

⑤ 

 

(2) 관련 지식

 

 

 

06 이용내역 통지

 

07 손해배상 책임

 

08 국내 대리인 지정

 

·

 

①

② 

③

④

⑤

⑥

⑦

⑧

 

 

4. 분쟁해결 절차