개인정보보호법 제1장 총칙 : 정보보안담당자가 알아야 할 정보보호 관련 법규

반응형

회사마다 보호해야 하는 정보가 다르고, 정보보안담당자는 회사의 정보보호 자산을 분류하고 보호하는 업무를 합니다. 보통은 영업기밀에 해당하는 설계도, 문서 등이 이에 해당되며, 회사의 서비스를 이용하는 고객이 있다면 고객의 개인정보도 포함됩니다. 이번에 소개하고자 하는 개인정보보호법은 보안을 하는 사람이라면 한 번쯤 들어본 경험이 있을 겁니다. 정보보안담당자라면 어떤 부분을 알고 있어야 하는지 알아보겠습니다.

 

개인정보보호법 핵심 내용 정리

개인정보보호법을 볼때 [ 제1장 총칙 ]은 가장 핵심이 되는 내용들이 포함되어 있습니다.

개인정보보호법의 목적, 정의, 개인정보 보호 원칙, 정보주체의 권리, 국가 등의 책무, 다른 법과의 관계 등 소위 액기스 내용들이 있으므로 법령을 자세히 읽어보시길 추천드립니다.

개인정보보호법에 대하여

제1조. 목적

• 개인정보보호 법의 포인트는 국가가 국민의 개인정보에 대해 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 갖고 있습니다.
  
  회사 입장에서 개인정보 보호는 국가가 개인의 권리를 보호해 주기 위한 법령을 준수하는 부분에 포커싱을 하고 있습니다. 정보보안 담당자는 개인정보보호법을 준수하는 안전성 확보조치를 구성 및 운영해야 합니다. 

      최신 법률 조회 및 다운로드 : 국가법령정보센터 링크(클릭)    

 

제 2조. 정의 (간단하게 요약)

• 개인정보: 살아 있는 개인을 식별할 수 있는 정보(예: 성명, 주민등록번호, 영상). 가명처리로 복원 불가능한 정보도 포함. 정보가 단독으로 개인을 특정할 수 없더라도, 다른 정보와 쉽게 결합해 개인을 알아볼 수 있다면 개인정보에 해당.
• 가명처리: 개인정보 일부를 삭제·대체해 추가 정보 없이는 개인 식별이 불가능하도록 처리.
• 처리: 개인정보의 수집, 생성, 저장, 사용, 제공, 삭제 등 모든 작업.
• 정보주체: 개인정보의 주체가 되는 사람.
• 개인정보파일: 개인정보를 체계적으로 배열한 정보 집합물.
• 개인정보처리자: 공공기관, 법인, 단체, 개인 등 개인정보를 처리하는 주체.
• 공공기관: 국회, 법원, 지방자치단체 등 행정사무를 처리하는 기관.
• 고정형 영상정보처리기기: 고정된 장소에서 영상을 촬영·전송하는 장치.
• 이동형 영상정보처리기기: 착용·휴대 가능하거나 이동 가능한 장치로 영상을 촬영·전송.
• 과학적 연구: 과학적 방법을 적용한 기술 개발, 실증 및 연구.

실무에서 개인정보보호법을 다룬다면 법령에 나오는 정의는 해당 단어에 대한 상세한 설명을 담고 있으니 숙지해두어야 합니다. 실제 업무에서 고객 DB에 대해서 어떤 게 식별가능한 개인정보인지, 개인정보파일이 어떤 것인지 판단할 때와 회사에 있는 CCTV를 어떻게 운영해야 하는지의 디테일한 부분 등의 내용이 있는 해당 법령을 읽을 때, 위의 정의를 알고 있어야 이해하기가 수월해집니다.

 

제 3조. 개인정보 처리 원칙

• 수집 제한의 원칙: 개인정보는 적법하고 공정한 수단에 의해 최소한으로 수집.
• 정확성의 원칙: 개인정보는 정확하고 최신 상태로 유지.
• 이용 제한의 원칙: 정보주체의 동의 없이 제3자에게 제공하거나 목적 외로 이용해서는 안됨.
• 목적 명확성의 원칙: 수집 목적을 분명히 하고, 그 목적 내에서만 이용.
• 안전성 확보의 원칙: 개인정보의 안전한 처리를 위한 기술적·관리적 조치.
• 공개의 원칙: 개인정보 처리에 관한 사항을 투명하게 공개.
• 정보주체 참여의 원칙: 정보주체는 자신의 개인정보에 대한 열람, 정정, 삭제를 요구 가능.

OECD 프라이버시 8원칙 기반으로 정리(정보보안기사 시험으로 )

• 수집 제한: 필요한 정보만 최소한으로 수집.
• 정보 정확성: 개인정보는 정확하고 최신 상태로 유지.
• 이용 제한: 정보주체의 동의 없이는 제3자 제공 금지.
• 목적 명확: 수집 목적을 분명히 하고, 목적 외 사용 금지.
• 안전성 확보: 개인정보를 기술적·관리적으로 안전하게 관리.
• 처리방침 공개: 개인정보 처리 방침은 투명하게 공개하고, 무단 처리는 금지.
• 정보주체 참여: 정보주체가 자신의 개인정보 처리에 대해 참여할 수 있도록 보장.
• 책임 원칙: 개인정보처리자는 정보 보호 및 처리에 대해 책임을 짐.

개인정보처리에 대한 핵심은 개인정보는 적법하게 최소한으로 수집하고, 정확성과 목적을 준수하며, 동의 없이 이용하거나 제공하지 않고, 안전하게 관리하며 처리 내용을 투명하게 공개하고 정보주체의 권리를 보장해야 합니다. 실제 업무에서 개인정보처리가 위의 사항을 준수하지 않는다면 개인정보보호법에 의해 처벌받을 수 있습니다.

 

제 4조. 정보주체의 권리

• 정보 제공 권리: 개인정보 처리에 관한 정보를 받을 권리.
• 동의 결정 권리: 동의 여부와 범위를 선택·결정할 권리.
• 열람 및 전송 권리: 개인정보 처리 여부 확인, 열람 및 전송 요구 권리.
• 정지·정정·삭제·파기 요구권: 개인정보 처리 정지, 정정, 삭제, 파기 요구 권리.
• 피해 구제 권리: 피해에 대한 신속하고 공정한 구제 요구 권리.
• 자동화 처리 거부 권리: 완전 자동화된 처리 결과를 거부하거나 설명 요구 권리.

고객이 정보주체의 권리를 요구한다면 실무자는 해당 요구사항을 처리해줘야 할 의무가 있습니다. 예시로 고객이 본인의 갱신되지 않는 채무내역이나 본인에 관한 부정확한 내용을 해당 회사에 연락하여 정정 또는 삭제 요청을 하여 처리한 내용을 통지 받을 수 있습니다. 개인정보보호담당자라면 실제로 많이 처리하는 업무입니다.

 

 

제 5조. 국가 등의 책무

• 인간 존엄과 사생활 보호: 개인정보 오용·남용 방지와 보호 시책 마련.
• 정보주체 권리 보호: 권리 보호를 위한 법령 개선 및 시책 수립.
• 아동 개인정보 보호: 만 14세 미만 아동 보호 정책 마련.
• 자율 보호활동 촉진: 자율적 보호 활동 지원 및 촉진.
• 개인정보 보호 원칙 준수: 법령 적용 시 권리 보장 및 원칙 준수.

 개인의 정보보호가 더 중요해짐에 따라 국가와 공공기관 등에서는 적극적인 개인정보 보호에 대한 사항을 법에 명시해 놓았습니다.  위의 내용과 더불어 국가가 개인정보보호법과 개인정보위원회를 두어 개인의 정보를 보호와 관리를 해주는 이유는 위의 개인정보보호법 제1장 제1조 목적에 잘 나와있습니다.

 

 

 

제 6조. 다른 법률과의 관계

• 특별법 우선의 원칙:
  개인정보 보호법은 기본법이므로, 개별 법률에 특별한 규정이 있는 경우 해당 법률이 우선 적용됩니다.
  • 예시: 의료법에서 환자정보 보호 규정을 따로 두고 있는 경우 의료법이 우선.
• 법 제정·개정 시 원칙 준수:
  개인정보 처리 및 보호와 관련된 새로운 법률을 제정하거나 기존 법률을 개정할 때는 개인정보 보호법의 목적과 원칙을 준수해야 합니다. 기타 중요한 점

개인정보실무담당자라면 개인정보보호법과 다른 법들과의 관계에서 회사가 어떤 법을 우선시해서 따라야하는지를 고민하실겁니다. 다른 글에서 해당 내용들을 자세히 알아보도록 하겠습니다.

개인정보보호법과 다른 법과의 관계(우선 적용)

 

 

 

 

      최신 법률 조회 및 다운로드 : 국가법령정보센터 링크(클릭)