개인정보보호법 키워드 정리 (2023 상반기 기준)
가명처리: 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것 / 가명정보로 만드는 행위
가명정보 처리: 가명처리한 개인정보(가명정보)를 수집, 이용, 제공 등 처리
가명정보: 가명처리함으로써 원래의 상태로 복원하기 위한 추가정보의 사용/결합 없이는 특정 개인을 알아볼 수 없는 정보
가명정보는 개인정보의 한 종류
익명정보:익명처리한 개인정보
익명처리: 더 이상특정개인인 신용정보주체를알아볼 수없도록 개인신용정보를 처리하는것
가명정보처리 > 가명처리
가명정보 처리의 안정성
1. 가명처리 방법의 안정성
2. 가명정보 및 추가정보 관리의 안정성
3. 개인정보를 복원하려는 행위의 법적 금지와 처벌
가명정보 처리에 관한 특례 (일반 조문보다 우선 적용)
1. 과학적 연구 - 실제 서비스에 사용하면 안됨
2. 통계 작성 - 상업적 통계도 포함
3. 공익적 기록보존
민감정보를 가명처리 할 수 있나?
민감정보: 처리 금지 원칙, 정보주체 동의를 통해 처리
가명처리: 세 가지 목적으로 정보주체의 동의 없이 처리 가능
가명정보의 안전성 확보 필요성 - 정보주체의 동의 없이 가명정보 처리 가능하므로
가명정정보 및 추가정보 관리의 안정성
- 제3자 제공 시 추가 정보 포함 금지
- 가명정보 결합 제한 - 결합 전문 기관에서만 결합 가능. 결합 전문기관의 장의 승인을 받아야 외부 반출 가능
개인정보를 복원하려는 행위의 법적 금지와 처벌 - 형사처벌: 5년 이하의 징역 또는 5000만원 이하의 벌금 / 과징금: 전체 매출액의 3% 이하
가명정보에 대한 안정성 확보 조치 작성, 보관해야할 기록
1. 가명정보 처리의 목적
2. 가명처리한 개인정보의 항목
3. 가명정보의 이용 내역
4. 제3자 제공 시 제공받는 자
벌금 - 위반 행위 주체, 관리감독자
과징금 - 처리자
가명정보 처리 특례 - 개인정보보호법 일반 조문보다 우선 적용
가명처리, 가명정보, 가명정보의 처리 - 가명정보의 처리 범위에 가명처리를 포함하여 규정
가명정보 처리의 목적 - 목적에 부합하면, 정보주체의 동의 없이 가명정보 처리 가능
가명정보의 결합 - 결합 전문기관을 통해서 해야함
국외 이전의 종류 - 제3자 제공, 개인정보 처리위탁, 보관
개인정보 국외 이전은 일반적으로 금지
금지 → 가능한 경우
- 정보주체의 별도 동의
- 정보주체와의 계약 체결 및 이행을 위하여 필요한 경우로서 개인정보처리방침에 공개하거나 개별 통지한 경우
- 법률, 조약, 국제협정에 개인정보 이전에 관한 내용이 있는 경우
- 이전받는 자가 ISMS-P 인증을 받고 개인정보 안전조치, 정보주체 권리보장에 필요한 조치를 수행
- 개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호 수준이 우리나라와 동등 수준을 갖췄다고 개인정보위가 인정하는 경우
국외 이전 동의받을 때 정보주체에 알려야 할 사항
이전되는 개인정보 항목 / 개인정보가 이전되는 국가, 시기 및 방법 / 개인정보를 이전받는 자의 성명 / 개인정보를 이전받는 자의 개인정보 이용목적 및 보유, 이용 기간 / 개인정보의 이전 거부 방법, 절차 및 거부의 효과
* 제3자 제공동의를 받을 때에서 추가된 사항: 국가, 시기, 방법, 연락처
개인정보를 국외 이전할 수 있는 경우(국외 제3자 제공)
개인정보 처리자: 정보주체 동의
정보통신서비스 제공자 등: 이용자 동의
Positive: 다 안되고 ~만 됨
Negative: 다 되고 ~만 안됨
개인정보를 이전받은 자가 해당 개인정보를 제3국으로 이전하는 경우
개인정보처리자 → 개인정보를 이전받는 자
개인정보를 이전받는 자 → 제3국에서 개인정보를 이전받는 자
정보통신서비스 제공자 등은 개인정보의 분실, 도난, 유출 사실을 안 때에는 전문기관에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지/신고해서는 아니된다
개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관/관리하여야 한다.
개인정보의 안정성 확보 조치에 관한 특례 보호조치
내부 관리계획 수립 / 접근 통제 / 접속 기록을 별도 저장장치에 백업 보관, 확인, 감독 / 암호화 기술을 이용한 보안 조치 /백신 소프트웨어 설치, 갱신
시행령>고시
기밀성: 권한이 있는 자만이 데이터를 열람 - 분식, 도난, 유출
무결성: 권한 있는 자만이 데이터를 변경 - 위조, 변조, 훼손
가용성: 권한 있는 자가 서비스를 사용하고자 할 떄 언제든지 사용할 수 있도록 하는 것
개인정보보호 필수문서 - 개인정보 처리방침, 개인정보보호 내부 관리계획
안전한 접속 수단 - 가상사설망, 전용회선
안전한 인증 수단 - 이중인증, 다중인증
DMZ: 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점 - 고유식별정보를 저장하는 경우에는 이를 암호화해야
보안제품 룰 DAPE
MFA - 다중인증 - 가성비 좋은 강력한 보안 수단
개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘 사용
개인정보의 암호화: 복호화 되지 아니하도록 일방향 암호화하여 저장
단순 해시, 전사서명용 해시: SHA-256 / SHA-512
개인정보 전체 파기 - 완전파괴(소각/파쇄), 전용 소자장비를 이용해 삭제(디가우저), 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
개인정보 일부 파기 - 삭제 후 복구 및 재생되지 않도록 관리 및 감독, 마스킹, 천공
개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때에는 5일 이내 파기하여야 한다.
개인정보처리자는 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
개인정보 처리방침의 게시 - 정보주체가 쉽게 확인할 수 있는 곳 = 인터넷 홈페이지에 지속적으로 게시
한 회사에 개인정보 처리방침이 여러 개일 수 있음 - 서비스마다 / 고객용 / 임직원용...
개인정보보호책임자 - 개인정보의 처리에 관한 업무를 총괄해서 책임지는 직책
보호는 처리에 포함되어있지 않음
CPO: 개인정보보호에 대한 법규와 정책, 보안기술, 조사 , 고객대응...
DPO: DPO를 지정해야 하는 컨트롤러/프로세서의 요건을 규정 / GDPR이 정하고 있는 구체적 활동 / 고지와 조언 /모니터링 / 감독 당국과의 창구 역할
개인정보 유출 등: 분실, 도난, 유출
1명 이상: 정당한 사유가 없는 한 72시간 이내 (접속경로의 차단, 취약점 점검 보와 등 긴급한 조치가 필요한 경우 그 조치를 한 후 지체 없이 정보주체에게 통지 가능)
1천명 이상, 민감정보 고유식별정보, 불법적 접근: 72시간 이내 / 예외 규정 없음
통지 방법 우선 순위: 개별통지 > 인터넷 홈피에 340일 이상 게시 > 사업장 등 보기쉬운 장소에 30일 이상 게시
개인정보 유출 신고 - 개인정보위, KISA
노출된 개인정보의 삭제/차단 위반에 관한 제재 조항은 없음
ISMS 인증 의무 대상: 전기통신사업자, 전기통신역무 이용 정부 제공자
개인정보 영향평가 - 공공기관: 5만 명 이상의 민감정보 또는 고유식별정보 / 연계 결과 50만 명 이상의 개인정보가 포함 / 100만 명 이상의 개인정보
분쟁조정 - 개인정보 분쟁조정위원회
행정처분 - 개인정보보호위원회(한국인터넷진흥원)
과징금 - 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액을 기준으로 과징금 산정 // 전체 매출액의 100분의 3을 초과하지 않는 범위
과태료: 최근 3년간 같은 위반행위로 과태료 부과 처분을 받은 경우
행정처분: 행정청이 법 집행으로서 공권력의 행사 또는 그 거부와 그 밖에 이에 준하는 행정작용
징벌적 손해배상제 -정보주체에게 손해가 발생 // 정보주체가 손해 발생 여부 입증, 손해액 산정
법정 손해배상제 - 개인정보가 분실 도난 유출 위조 변조 훼손//300만원 이하에서 법원이 판단
형차처벌 - 죄형 법정주의, 고의범의 처벌, 과실범의 처벌
동의철회권은 거절할 수 없음 - 동의 철회 시 정당한 사유에 따라 개인정보를 파기하지 않을 수 있음
열람 요구권 / 정정삭제권 / 처리정지권 = 10일 이내에 처리
10일 이내: 개인정보 열람 요구를 받은 날부터 근무일 10일 이내
4일 이내: 지체없이 개인정보 파기(파기 사유가 발생한 시점부터 근무일 5일 이내)
72시간 이내: 개인정보 유출 등 통지 신고 기간