1. 개인정보보호 관련 법률 체계

1. 개인정보보호 관련 법

 1.1 개인정보보호법 제정

   1.1.1 개인정보보호법 제정 이전

- 아래 3가지 법률이 개인정보보호를 주로 다루었다.

  (1) 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)

  (2) 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법)

  (3) 공공기관의 개인정보보호에 관한 법률

- 위 법률들은 각각 적용 대상이 있는 법률이라 개인정보를 처리하는 사업자 중 적용을 받지 않는 사작지대 발생

   1.1.2 개인정보보호법 제정 이후

- 공공기관의 개인정보보호에 관한 법률 흡수 통합

- 51만개 사업자 -> 350만개의 모든 공공기관과 사업자로 확대 적용

 1.2 개인정보보호법

  1.2.1 적용 대상 및 적용 범위

- 적용 대상 : 공공·민간 분야의 모든 사업자

- 적용 범위 : 전자적으로 처리되는 개인정보 외 종이문서 등의 수기 정보 포함

  1.2.2 주요 내용

- 개인정보 처리절차

- 개인정보처리자의 손해배상책임

- 개인정보 유출 시 정보주체 통지 및 전문기관 신고

- 집단적 분쟁조정제도, 단체소송의 도입

- 경과규정 : 법령 시행 이전에 처리된 개인정보는 다른 법령에 만족했었으면 OK

 1.3 정보통신망법

  1.3.1 적용 대상 : 정보통신 서비스 제공자

- 전기통신사업자(기간통신사업자, 별정통신사업자, 부가통신사업자)

- 영리를 목적으로 통신, 컴퓨터 관련 기술을 활용하여 정보 서비스를 제공하는 자

  (일반적인 인터넷 쇼핑몰 등 웹사이트를 사업에 이용하는 대부분의 사업자)

  1.3.2 적용 범위 : 이용자

- 해당 정보통신서비스를 이용하는 자(개인정보보호법에서의 정보주체)

- 정보통신서비스 이용자가 아닌 다른 개인의 정보는 정보통신망법 적용대상이 아니다(개인정보보호법)

- 그러나, 웹사이트 회원가입 외에도 일시적 상담, 이벤트 참가 이용자도 이용자로 봄

 1.4 개인정보보호법과 정보통신망법의 차이

구분	개인정보보호법에만 있고  정보통신망법엔 없는 내용	정보통신망법에만 있고  개인정보보호법에는 없는 내용
원칙	개인정보보호 8원칙
수집	정보 주체 이외로부터 개인정보 수집 시 정보 주체 고지 의무
동의	정보주체의 이익을 위한 경우 동의 예외  동의 거부 시 불이익 사실 고지
최소한	수집 정보가 최소한의 정보인지 사업자의 입증 책임
고유식별번호	다른 개인정보랑 별도로 동의를 받은 경우 사용 가능  (단, 주민등록번호는 제외)	방통위 고시, 본인확인기관 등 예외 사유
목적 외 사용	공공기관 등 목적 외 이용 가능한 예외 사유
제3자 제공	동의 거부 시 불이익 사실 고지  제3자에 대한 안전성 확보 조치
위탁	수탁자에 대한 교육 및 관리감독 의무
교육	개인정보 취급자에 대한 교육 및 감독 책임
파기	보존해야 하는 경우 분리보관	개인정보 유효기간 제도
주체의 권리	처리 정지, 삭제 요구  권리행사 방법 및 절차	동의 철회  동의 철회, 정정은 수집의 방법 보다 더 쉬워야 함
열람	열람 제한·거절 시 통보 의무, 절차 등 구체화	이용내역 주기적 통지
영상정보	영상정보 관련 규제 신설
영향평가	공공기관 영향평가 규정
인증	개인정보보호 관리체계(PIMS) 인증	정보보호 관리체계(ISMS) 인증
분쟁 조정	단체 소송 및 집단 분쟁 조정

- 개인정보보호법은 정보통신망법을 적용받은 사업자들에게도 모두 적용되므로, 망법에 없고 개보법에 있는 내용들은 다 같이 적용된다.

- 정보통신망법은 한정된 대상에만 적용되는 만큼 개인정보보호법보다 대체로 강하게 다룬다.

  (법령만 보면 개보법이 더 빡빡해 보이기도 하지만, 고시까지 가면 망법이 더 엄격함)

- 개인정보보호법은 공공기관의 개인정보보호에 관한 법률이 흡수 통합된 만큼 공공기관에 대한 예외 사항이 많이 포함 되어 있다.

 1.5 각 법률 간의 관계

  - 적용순서 : 신용정보법 > 정보통신망법 > 개인정보보호법

  ex) 신용정보를 다루는 금융회사가 웹사이트를 통해 개인정보를 수집할 경우

1) 신용정보법이 우선 적용되고, 신용정보법에 없는 내용은 정보통신망법이 우선 적용되고, 나머지 언급되지 않은 부분에 대해선 개인정보 보호법이 적용된다.

2) 3가지 법에 다 있지만 내용이 조금 다른 개인정보 동의, 철회권은 신용정보법에 있는 내용대로 적용

3) 정보통신망법에만 있는 개인정보처리방침 웹사이트 공개 방법은 망법에 있는 대로 적용

4) 앞선 2가지 법에 규정되지 않고 개인정보보호법에만 있는 내용은 모두 적용

  - 바꾸어 설명하면,

1) 개인정보를 다루는 모든 회사는 개인정보보호법이 적용된다.

2) 정보통신망법 대상이고 개인정보보호법 대상이면 2가지 법을 모두 충족 하여야 한다.

3) 상충되는 부분이 있으면 정보통신 망법을 우선으로 적용한다.

4) 신용정보법도 위와 같은 맥락으로 보면 됨

2. 우리나라 개인정보보호 관련 주요 법 체계

 2.1 개인정보보호법 

- 개인정보보호법 시행령 (대통령령)

- 개인정보의 안전성 확보조치 기준 (행정안전부 고시)

- 표준 개인정보 보호지침 (행정안전부 지침)

 2.2 정보통신망법

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 (대통령령)

- 개인정보의 기술적·관리적 보호조치 기준 (방송통신위원회 고시)

 2.3 신용정보법

- 신용정보의 이용 및 보호에 관한 법률 시행령 (대통령령)

- 신용정보업감독규정 (금융위원회 고시)

- 신용정보법은 일부 금융회사에 한정되어 적용받기 때문에 CPPG에서 많이 다루지 않는다.

 * 국내 법은 법령, 시행령, 고시로 이루어진 경우가 많다. 법령은 개정이 어렵기 때문에 법령에선 큰 그림만 그려두고 세부 방침은 대통령령으로 정하게 하여 행정부에서 관리하도록 한다. 그리고 그보다 더 구체적이고 기술적인 기준은 대통령령에서 또 장관고시로 정하게 하고 있다. 법의 큰 방향은 쉽게 바뀌지 않지만 세부적이고 기술적인 내용은 좀 더 쉽게 개정이 가능하도록 하여 시대적 변화에 뒤쳐지지 않고 현실적인 조정이 가능하도록 하고 있다.