2. 개인정보보호 원칙과 의무

1. OECD 8원칙 

 1.1 OECD의 프라이버시 보호 8원칙

(1) 수집제한의 원칙(Collection Limitation Principle) : 무분별한 개인정보 수집이 일어나지 않도록 입법을 권고. 정보 수집을 위해선 정보주체의 인지 또는 동의가 최소한의 요건. 그러나 범죄 수사 등 때에 따라선 권리가 보장될 수 없음도 인정하고 있다.

(2) 정보 정확성의 원칙(Data Quality Principle) : 그 정보가 사용될 목적 범위 내에서 정확/완전한 최신의 것이어야 한다. 

(3) 목적의 명확화 원칙(Purpose Specification Principle) : 개인정보의 수집 시엔 개인이 그 정보가 사용될 목적을 알고 있어야 함. 목적의 변경이 있을 경우 그에 대한 명시가 있어야 함.

(4) 이용제한의 원칙(Use Limitation Principle) : 목적의 명확화 원칙에 의하여 명시된 목적과는 다른 목적을 위해서 이용될 수 없음

(5) 정보의 안전한 보호에 관한 원칙(Security Safeguards Principle) : 개인정보 침해사고 등의 위험에 대비한 적절한 보안조치가 필요함

(6) 공개의 원칙(Openness Principle) : 개인정보과 관련된 제도, 정책은 공개되어야 함. 개인정보의 존재, 목적, 정보처리자의 신원등을 알 수 있어야 함

(7) 개인 참가의 원칙(Individual Participation Principle) : 개인은 자신과 관계된 정보를 보유하고 있는지 확인하고, 적절한 기간 내에, 비용이 과도하게 부담되지 않는 범위에서, 적절한 방식으로, 즉시 알아볼수 있는 방식으로 자신에게 통보되도록 하며, 거절되는 경우엔 그 사유를 요구하고 이의 제기를 할 수 있어야 한다.

(8) 책임의 원칙(Accountability Principle) : 정보처리자가 다른 7개의 원칙을 이행하는데 책임을 다하여야 한다. 개인정보 처리가 제3자에게 위임되었다고 해도 이러한 의무는 유지된다.

 1.2 개인정보보호법의 개인정보 보호 원칙

(1) 개인정보처리자는 개인정보 처리 목적을 명확하게 하고 목적에 필요한 최소한의 정보만을 적법하고 정당하게 수집해야 한다.

(2) 개인정보처리자는 개인정보 처리 목적에 필요한 범위에서 적합하게 처리하여야 하며, 목적 외로 활용하여서는 아니된다.

(3) 개인정보처리자는 개인정보 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.

(4) 개인정보처리자는 개인정보 처리 방법·종류 등에 따라 정보주체의 권리 침해 및 위험 정도를 고려하여 안전하게 관리하여야 한다.

(5) 개인정보처리자는 개인정보 처리방침 등 처리에 관한 사항을 공개하고, 열람청구권등 정보주체의 권리를 보장하여야 한다.

(6) 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방향으로 개인정보를 처리하여야 한다.

(7) 개인정보처리자는 개인정보의 익명 처리가 가능한 경우에는 익명으로 처리될 수 있도록 하여야 한다.

(8) 개인정보 처리자는 법령에서 규정하고 있는 책임·의무를 준수·실천함으로써 정보주체의 신뢰를 얻기 위해 노력 하여야 한다.

* 개인정보보호법이 OECD 프라이버시 보호 8원칙을 참고하였다는 것을 알수 있다. 

2. 개인정보 처리방침

 2.1 개인정보 처리방침에 포함 되어야 할 내용

개인정보보호법

정보통신망법

1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항 6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다) 8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항  8.1 처리하는 개인정보의 항목  8.2 개인정보의 파기에 관한 사항  8.3 개인정보의 안전성 확보 조치에 관한 사항

1. 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목 및 수집방법 2. 개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명(법인인 경우에는 법인의 명칭을 말한다), 제공받는 자의 이용 목적과 제공하는 개인정보의 항목 3. 개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 파기방법(제29조제1항 각 호 외의 부분 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다) 4. 개인정보 처리위탁을 하는 업무의 내용 및 수탁자(해당되는 경우에만 처리방침에 포함한다) 5. 이용자 및 법정대리인의 권리와 그 행사방법 6. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항 7. 개인정보 보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처

 2.2 개인정보 처리방침 공개 방법

개인정보보호법

정보통신망법

② 개인정보처리자는 법 제30조제2항에 따라 수립하거나 변경한 개인정보 처리방침을 개인정보처리자의 인터넷 홈페이지에 지속적으로 게재하여야 한다. ③ 제2항에 따라 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 수립하거나 변경한 개인정보 처리방침을 공개하여야 한다. 1. 개인정보처리자의 사업장등의 보기 쉬운 장소에 게시하는 방법 2. 관보(개인정보처리자가 공공기관인 경우만 해당한다)나 개인정보처리자의 사업장등이 있는 시·도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목·다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법 3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속적으로 싣는 방법 4. 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법

① 법 제27조의2제1항에 따라 정보통신서비스 제공자등은 개인정보를 처리(개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다. 이하 이 조, 제15조, 제17조 및 제34조에서 같다)하는 경우에는 개인정보의 수집 장소와 매체 등을 고려하여 다음 각 호 중 어느 하나 이상의 방법으로 개인정보 처리방침을 공개하되, 그 명칭을 '개인정보 처리방침'이라고 표시하여야 한다. 1. 인터넷 홈페이지의 첫 화면 또는 첫 화면과의 연결화면을 통하여 법 제27조의2제2항 각 호의 사항을 이용자가 볼 수 있도록 하는 방법. 이 경우 정보통신서비스 제공자등은 글자 크기, 색상 등을 활용하여 이용자가 개인정보 처리방침을 쉽게 확인할 수 있도록 표시하여야 한다. 2. 점포·사무소 안의 보기 쉬운 장소에 써 붙이거나 비치하여 열람하도록 하는 방법 3. 동일한 제호로 연 2회 이상 계속적으로 발행하여 이용자에게 배포하는 간행물·소식지·홍보지·청구서 등에 지속적으로 게재하는 방법 ② 법 제27조의2제3항에 따른 개인정보 처리방침의 변경 이유 및 내용은 다음 각 호의 방법 중 어느 하나 이상의 방법으로 공지한다.   1. 정보통신서비스 제공자등이 운영하는 인터넷 홈페이지의 첫 화면의 공지사항란 또는 별도의 창을 통하여 공지하는 방법 2. 서면·모사전송·전자우편 또는 이와 비슷한 방법으로 이용자에게 공지하는 방법 3. 점포·사무소 안의 보기 쉬운 장소에 써 붙이거나 비치하는 방법

3. 개인정보보호 책임자

 3.1 개인정보보호 책임자의 책임과 의무

개인정보보호법	정보통신망법
1. 개인정보 보호 계획의 수립 및 시행 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제 4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축 5. 개인정보 보호 교육 계획의 수립 및 시행 6. 개인정보파일의 보호 및 관리·감독 7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무  7.1 법 제30조에 따른 개인정보 처리방침의 수립·변경 및 시행  7.2 개인정보 보호 관련 자료의 관리  7.3 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기	1. 정보보호관리체계의 수립 및 관리·운영 2. 정보보호 취약점 분석·평가 및 개선 3. 침해사고의 예방 및 대응 4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등 5. 정보보호 사전 보안성 검토 6. 중요 정보의 암호화 및 보안서버 적합성 검토 7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

 3.2 개인정보보호 책임자의 지정 요건 

개인정보보호법

정보통신망법

1. 공공기관: 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등  가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 "고위공무원"이라 한다) 또는 그에 상당하는 공무원  나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다) 또는 그에 상당하는 공무원  다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원  라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다): 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장  마. 시·도 및 시·도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원  바. 시·군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원  사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람  아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다. 2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람  가. 사업주 또는 대표자  나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)

① 정보통신서비스 제공자등은 이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하여 개인정보 보호책임자를 지정하여야 한다. 다만, 종업원 수, 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자등의 경우에는 지정하지 아니할 수 있다.  ② 제1항 단서에 따른 정보통신서비스 제공자등이 개인정보 보호책임자를 지정하지 아니하는 경우에는 그 사업주 또는 대표자가 개인정보 보호책임자가 된다. ③ 개인정보 보호책임자의 자격요건과 그 밖의 지정에 필요한 사항은 대통령령으로 정한다. ④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 정보통신서비스 제공자등의 사업주 또는 대표자에게 개선조치를 보고하여야 한다. 다만, 제2항에 따라 사업주 또는 대표자가 개인정보 보호책임자가 되는 경우에는 개선조치 보고에 대한 사항을 적용하지 아니한다.