CPPG 문제 주요 출제 법령 조항

OECD 개인정보보호 8원칙

1. 수집제한의 원칙(Collection Limitation Principle) 

2. 정보 정확성의 원칙(Data Quality Principle)

3. 목적의 명확화 원칙(Purpose Specification Principle)

4. 이용제한의 원칙(Use Limitation Principle)

5. 정보의 안전한 보호에 관한 원칙(Security Safeguards Principle)

6. 공개의 원칙(Openness Principle)

7. 개인 참가의 원칙(Individual Participation Principle)

8. 책임의 원칙(Accountability Principle)

개인정보보호법 제15조

개인정보처리자가 개인정보를 수집할 수 있는 경우 6가지

1. 정보주체의 동의를 받은 경우

2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위해 불가피한 경우

3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

4. 정보주제와이 계약의 체결 및 이행을 위하여 불가피한 경우

5. 정보주체 또는 법정대리인이 의사표시를 할 수 없는 경우, 명백히 정보주체 또는 제3자의 급박한 상황인 경우^[각주:1]

6. 개인정보처리자의 정당한 이익을 달성하기 위한 경우, 명백히 정보주체의 권리보다 우선하는 경우

개인정보보호법 제15조

개인정보 수집 시 알리고 동의 받아야 하는 내용 4가지

1. 개인정보의 수집·이용 목적

2. 수집하려는 개인정보의 항목

3. 개인정보의 보유 및 이용 기간

4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익

개인정보보호법 제17조

개인정보를 제3자에게 제공 시 알리고 동의 받아야 하는 내용 5가지

1. 개인정보를 제공 받는 자

2. 개인정보를 제공받는 자의 개인정보 이용 목적

3. 제공하는 개인정보의 항목

4. 개인정보를 제공받는자의 개인정보 보유 및 이용 기간

5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익

* 수집 시와 동일한데 1번 '제3자가 누구인가' 만 추가됨

개인정보보호법 제18조

개인정보의 목적 외 이용·제공이 가능한 경우 9가지

1. 정보주체로부터 별도의 동의를 받은 경우

2. 다른 법률에 특별한 규정이 있는 경우

3. 정보주체 또는 법정대리인이 의사표시를 할 수 없는 경우, 명백히 정보주체 또는 제3자의 급박한 상황인 경우^[각주:2]

4. 통계, 학술 목적으로 특정 개인을 알아볼수 없는 형태로 제공하는 경우(비식별화)^[각주:3]

5.  공공기관  법률에서 정하는 소관 업무를 위해 불가피한 경우(보호위원회 의결 필요)

6.  공공기관  조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우

7.  공공기관  범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우

8.  공공기관  법원의 재판업무 수행을 위하여 필요한 경우

9.  공공기관  형 및 감호, 보호처분의 집행을 위하여 필요한 경우 

개인정보보호법 제20조

정보주체 이외로부터 수집시 고지사항 3가지

1. 개인정보의 수집 출처

2. 개인정보의 처리 목적

3. 개인정보 처리의 정지를 요구할 권리가 있다는 사실

개인정보보호법 제25조

영상정보처리기기의 설치·운영이 가능한 경우 5가지

1. 법령에서 구체적으로 허용하고 있는 경우

2. 범죄의 예방 및 수사를 위하여 필요한 경우

3. 시설안전 및 화재 예방을 위하여 필요한 경우

4. 교통단속을 위하여 필요한 경우

5. 교통정보의 수집·분석·제공을 위해 필요한 경우

위 경우에도 불구하고 설치·운영이 불가능한 경우

- 목욕실, 화장실, 탈의실 등 사생활을 현저히 침해할 우려가 있는 장소

위 경우에도 불구하고 설치·운영이 가능한 경우

- 교도소, 정신보건 시설 등 국가보안시설

개인정보보호법 제25조

영상정보처리기기 설치 시 안내판 포함 내용 3가지

1. 설치 목적 및 장소

2. 촬영 범위 및 시간

3. 관리책임자 성명 및 연락처

개인정보보호법 제26조, 개인정보보호법 시행령 제28조

개인정보처리업무 위탁 문서에 포함되어야 할 내용 7가지

1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항

2. 개인정보의 기술적·관리적 보호조치에 관한 사항

- 그 밖에 대통령령으로 정한 사항

3. 위탁업무의 목적 및 범위

4. 재위탁 제한에 관한 사항

5. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항

6. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리·점검·감독에 관한 사항

7. 수탁자 준수 의무 위반 시 손해배상 등 책임에 관한 사항

개인정보보호법 제27조

영업양도 등에 따른 개인정보의 이전 시 알려야 하는 사항 3가지

1. 개인정보를 이전 하려는 사실

2. 개인정보를 이전 받는 자(상호, 주소, 연락처 등)

3. 정보주체가 개인정보 이전을 원치 않는 경우 조치 방법

개인정보보호법 제30조, 개인정보보호법 시행령 제31조

개인정보처리방침에 포함되어야 하는 내용 9가지

1. 개인정보의 처리 목적

2. 개인정보의 처리 및 보유 기간

3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

5. 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항

6. 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처

7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)

- 그 밖에 대통령령으로 정한 사항

8. 처리하는 개인정보의 항목

9. 개인정보의 파기에 관한 사항

개인정보보호법 제31조, 개인정보보호법 시행령 제32조

개인정보 보호책임자의 역할 9가지

1. 개인정보 보호 계획의 수립 및 시행

2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축

5. 개인정보 보호 교육 계획의 수립 및 시행

6. 개인정보파일의 보호 및 관리·감독

- 그 밖에 대통령령으로 정한 사항

7. 개인정보 처리방침의 수립·변경 및 시행

8. 개인정보 보호 관련 자료의 관리

9. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

개인정보보호법 시행령 제32조, 정보통신망법 시행령 제13조

개인정보 보호책임자의 지정요건

1. 공공기관 : 3~4급 공무원 등(복잡하므로 법 참조. 시험을 위해 다 외울 필요는 없음)

2. 사업주, 대표자, 임원(임원이 없는 경우엔 관련 업무 부서장)

3. 정보통신망법에서는 임원 유무와 관련 없이 부서장 지정 가능

개인정보보호법 제32조

개인정보 보호 인증(PIMS) 관련 숫자

1. 유효기간은 (3년)으로 한다.

2. (연 1회)이상 사후관리를 한다.

3. 총 (86)개 항목 : 관리 과정(16), 생명주기 및 권리보장(20), 개인정보 보호조치(50)

개인정보보호법 제33조, 개인정보보호법 시행령 35조

개인정보 영향평가(PIA) 대상 4가지

1. 5만명이상의 민감정보 또는 고유식별번호 처리되는 개인정보 파일

2. 50만명 이상의 개인정보가 연계되는 개인정보 파일

3. 100만명 이상의 개인정보를 다루는 개인정보파일

4. 영향평가를 받은 개인정보파일을 변경하는 경우

※ 다소 축약하여 표현하였으므로 정확한 내용은 여기 참조

개인정보보호법 제33조, 개인정보보호법 시행령 36조

개인정보 영향평가(PIA) 고려항목 5가지

1. 처리하는 개인정보의 수

2. 개인정보의 제3자 제공 여부

3. 정보주체의 권리를 해할 가능성 및 그 위험 정도

- 그 밖에 대통령령으로 정한 사항

4. 민감정보 또는 고유식별정보의 처리 여부

5. 개인정보 보유기간

개인정보보호법 제34조

개인정보 유출 시 정보주체에게 통지할 사항 5가지

1. 유출된 개인정보의 항목

2. 유출된 시점과 그 경위

3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

4. 개인정보처리자의 대응조치 및 피해 구제절차

5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

개인정보_유출_시_필수_조치요령_및_표준_통지문안.hwp

개인정보보호법 제34조, 개인정보보호법 시행령 39조

개인정보 유출 시 전문기관 통지 기준

- 개인정보처리자는 (1만)명 이상의 개인정보가 유출된 경우에는 행정안전부 장관 또는 대통령령으로 정하는 전문기관에 신고하여야 한다.

개인정보보호법 제34조의2

주민등록번호 사고 시 과징금액 및 부과 고려사항 3가지

- 금액 : (5억)원 이하

1. 안전성 확보에 필요한 조치 이행 노력 정도

2. 침해된 주민등록번호의 정도

3. 피해확산 방지를 위한 후속조치 이행 여부

개인정보보호법 제35조

개인정보 열람요구를 제한·거절할 수 있는 사유 3가지

1. 법률에 따라 열람이 금지되거나 제한되는 경우

2. 다른 사람의 권리를 부당하게 침해할 우려가 있는 경우^[각주:4]

3. 공공기관이 아래 항목의 업무를 하는데 중대한 지장이 있는 경우

가. 조세의 부과, 징수, 환급 관련

나. 학교 성적평가, 입학자 선발

다. 채용, 자격 심사에 관한 업무

라. 현재 진행중인 보상금 산정 업무

마. 다른 법률에 의한 감사·조사

개인정보보호법 제36조

개인정보 처리정지를 거절할 수 있는 사유 4가지

1. 법률에 특별한 규정이 있거나 법 준수를 위해 불가피한 경우

2. 다른 사람의 권리를 부당하게 침해할 우려가 있는 경우^[각주:5]

3. 공공기관이 법에서 정한 소관업무를 하기 위해 불가피한 경우

4. 정보주체와 약정한 서비스를 제공할 수 없게 되는데, 약정 해지에 대한 명확한 의사를 밝히지 않은 경우

개인정보보호법 제39조

손해배상액 산정 시 고려사항 8가지

1. 고의 또는 손해 발생 우려 인식 정도

2. 위반행위로 인하여 입은 피해 규모

3. 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익

4. 위반행위에 따른 벌금 및 과징금

5. 위반행위의 기간·횟수 등

6. 개인정보처리자의 재산상태

7. 유출된 개인정보 회수를 위해 노력한 정도

8. 정보주체의 피해구제를 위해 노력한 정도

개인정보보호법 제44조

개인정보 분쟁조정 기한 및 조정안 포함 사항 3가지

- 분쟁조정위원회는 부득이한 사정이 있지 않는 한 (60일) 이내에 심사를 하여 조정안을 작성 하여야 한다.

1. 조사 대상 침해행위의 중지

2. 원상회복, 손해배상, 그 밖에 필요한 구제조치

3. 재발을 방지하기 위하여 필요한 조치

개인정보보호법 제51조

개인정보 단체소송의 제기 자격

1. 공정거래위원회에 등록된 소비자 단체

가. 정보주체의 권익증진을 주 목적으로 하는 단체

나. 정회원수가 (1천)명 이상일 것

다. 등록 후 (3년)이 경과하였을 것

2. 비영리민간단체 지원법에 따른 시민단체

가. 동일한 피해자 (100명)이상으로부터 소송 제기를 요청 받을 것

나. 개인정보보호를 목적으로 (3년)이상 활동 실적이 있을 것

다. 상시 구성원 수가 (5천)명 이상일 것

라. 중앙행정기관에 등록되어 있을 것

정보통신망법 제29조, 정보통신망법 시행령 제16조

유효기간이 지난 개인정보 파기(분리보관) 전 고지항목

1. 파기

- 개인정보가 파기 된다는 사실

- 기간 만료일 

- 파기 되는 개인정보 항목

2. 분리보관

- 개인정보가 분리되어 저장·관리된다는 사실

- 기간 만료일 

- 분리되어 저장·관리 되는 개인정보 항목

정보통신망법 제30조의2, 정보통신망법 시행령 제17조

정보통신서비스제공자의 개인정보 이용내역 통지 항목 3가지

1. 수집·이용 목적 및 수집한 개인정보 항목

2. 개인정보를 제공 받은 자와 제공 목적, 제공한 항목

3. 개인정보 처리위탁을 받은 자 및 위탁 업무 내용

정보통신망법 제47조, 정보통신망법 시행령 제49조

정보보호관리체계(ISMS) 필수 인증 대상

1. 정보통신망을 제공하는 자(ISP)

2. 집적정보통신시설 사업자(IDC)

- 재판매 사업자(VIDC)는 매출액 100억원 이상만

3. 연간매출액 또는 세입이 1,500억원 이상인 상급종합병원

4. 연간매출액 또는 세입이 1,500억원 이상인 학생수 1만명 이상 학교

5. 정보통신서비스 전년도 매출액 100억원 이상인 자

6. 전년도 말 기준 직전 3개월 일평균 이용자 수 100만명 이상인 자

1. 법 조항 전문 : 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 [본문으로]
2. 법 조항 전문 : 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 [본문으로]
3. 개인의 흡연여부를 조사하여, 20대 흡연율 40%과 같이 알아볼수 없는 형태로 제공은 동의 없이 가능 [본문으로]
4. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 [본문으로]
5. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 [본문으로]