Privacy Issues You might Wondercpoforum.or.kr/privacy2014/PDF/Track C2.pdf금융위원회와...
25
Privacy Issues You might Wonder 당신이 궁금해하는 개인정보보호 이슈
Transcript of Privacy Issues You might Wondercpoforum.or.kr/privacy2014/PDF/Track C2.pdf금융위원회와...
Privacy����������� ������������������ ����������� ������������������ Issues����������� ������������������ You����������� ������������������ might����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ ����������� ������������������ Wonder����������� ������������������
당신이 궁금해하는 개인정보보호 이슈
OECD Guideline • (OECD Guidelines on
the Protection of Privacy and Transborder Flows of Personal Data)
Convention 108 • (CoE, Convention for the
Protection of Individuals with regard to Automatic Processing of Personal Data, Council of Europe, CETS No. 108, 1981.)
EU Data Protection Directive.
• (Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data)
정보통신망이용 촉진등에관한법률
EU 프라이버시와 전기통신에 관한 지침 • Directive on Privacy and
Electronic Communication 2002 !
-정보통신망법과 비교
(1)유럽의회, ‘New EU Data Protection Rules’ 승인 제재벌금 상향 : 최고 1억 유로 또는 국제 연간 매출의 5%까지(기존안-2%) (2)유럽법원, ‘데이터보유지침’, 사생활 보호 위반 판결
개정 개인정보보호법 시행
개인정보보호법 시행(9/30)
개인정보보호 관련 입법 연혁
3.20 전산 대란 : MBC, KBS, YTN 등과 신한은행, 농협 등의 전산망 마비. 정보유출 규모 확인 불가
2013.3
IBK캐피탈 직원이 고객 8,000여명의 개인정보와 신용정보를 조회, 유출하다가 적발됨
한화손보 고객 16만명의 개인정보 유출 메리츠화재 고객 16만명의 개인정보 유출
한국 SC은행 대출정보 10만 3,000건 한국 씨티은행 대출정보 3만 4,000건
(2차 피해 사례 확인)
KB국민은행, 롯데카드, NH농협카드의 고객정보 1억 400만건의 유출사고 발생
사고자의 추가 범행 수사 중, 집단소송 제기
2013.4
2013.5
2013.11
2014.1
2013년은 개인정보 유출의 해
그림출처:보안닷컴
해킹툴 파로스를 개조한 해킹 프로그램을 이용하여 회원번호를 이용하여 1,200만건 유출한 후
텔레마케팅 업체에 판매 2014.3
• 주무부처간 경쟁적으로 규제 강화 • 신용카드사태 이후 국회 차원 관여
개인정보보호 규제 강화 추세점점 강화되어 가고 있는 규제 환경
개인정보 처리자
제24조의2 등 개정 내용(2014. 8. 7. 시행)
주민등록번호 수집 원칙적 금지(동의 받아도 수집 불가) 유출 등의 경우 5억원 이하의 과징금 부과
개인정보 보호책임자
구 개인정보 보호법 개정 개인정보 보호법
안전 행정부 장관
안전 행정부 장관
소속기관, 단체의 장
CEO 등
점점 강화되어 가고 있는 규제 환경
개인정보보호법/정보통신망법상 개인정보보호 규정은 사실 그동안 금융회사에는 엄격히
적용되지 않았음!
그러나 이번 신용카드 3사 유출을 계기로 국가적으로 개인정보보호를 강화하는 방향과
금융위/금감원이 독자적으로 개인정보보호를 관장하자는 방향이 맞물려 금융위도 개인정
보보호법상 고지/동의 원칙을 구현할 예정!
금융위원회와 금융감독원은 2014. 4. 11. '금융분야 개인정보 유출 재발방지 종합대책'의
후속조치 이행계획 점검을 위한 2차 회의에서 카드가입신청서 정보 수집 제한 및 양식 간
소화 등에 대한 진행상황을 점검하였음
점점 강화되어 가고 있는 규제 환경
이름, 집주소, 전화번호, 이메일주소, 결제계좌, 결제일, 청구지, 요청한도
정보침해 뿐만 아니라 마케팅 등 개인정보의 동의 없는 이용시 CISO/CPO/준법감시인등
에게 강력한 문책 예정!
금융회사 보안담당자들도 이제 개인정보보호법령의 고지/동의 원칙 등 모든 법리를 잘 파
악하여 대비할 필요
개인정보 보호법 정보통신망법상 고지/동의 원칙 등
개인정보 보호법 일부개정 법률안이상직 의원 3배 이내의 범위에서 배상할 책임을 부여하고, 집단소송제도 도입. 안전행정부장관의 손해배상명령권 도입
정청래 의원 안전성 확보 조치를 하지 아니하여 개인정보를 도난 등을 당한 경우 그 벌칙을 강화
김영주 의원 금융감독원에 대한 위임규정을 명확히 하여, 금융기관에 대한 개인정보 보호 관련 관리·감독을 강화
박남춘 의원 고유식별정보, 민감정보 유출될 경우 규모에 관계없이 안전행정부장관 등에게 통지하도록 함
문희상 의원 고유식별정보와 민감정보의 유출등시 과징금 부과요건을 확대, 재산상 이득액의 2배 이상 10배 이하의 벌금
최원식 의원 현행법 위반 유무에 관계없이 ‘개인정보를 처리하는 과정’에서 손해가 발생한 경우에는 손해배상책임을 부담
박대동 의원 보험에 가입하거나 금융회사에 자산을 예탁하게 함으로써 피해보상 체계를 구축하고, 미가입시 과태료 부과
진선미 의원 대통령 소속 개인정보 보호위원회를 중앙행정기관으로 격상하고 개인정보보호 추진 체계를 일원화
권은희 의원 법정손해배상제도 도입, 단체소송을 통해 권리 침해 행위에 대한 금지 및 중지만을 구할 수 있었던 상황을 개선
변재일 의원 재산적·비재산적 손해를 입은 경우에도 손해배상을 청구할 수 있도록 함(미연방 대법원 판결, Federal Aviation Administration v. Cooper에서는 정신적 손해에 대한 청구권을 부인)
국회 계류 중인 개정안 모음(1)
점점 강화되어 가고 있는 규제 환경
정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정 법률안
임수경 의원 전반적인 개인정보 보안조치 의무를 부여하여 책임을 확대
박대출 의원 일정규모 이상인 경우 의무적으로 정보보호 관리체계 인증(ISMS)을 받도록 하며, 인증을 받지 않는 등의 법률 위반에 대하여는 징역형 또는 벌금형으로 처벌하도록 변경
박대동 의원 보험에 가입하거나 금융회사에 자산을 예탁하게 함으로써 피해보상 체계를 구축하고, 위반시 과태료 부과
유승희 의원 정보보안 최고책임자의 지정을 의무화하고, 이를 위반한 기업에 대한 벌칙을 신설
진선미 의원 규제 및 감독의 주체를 개인정보 보호위원회로 변경하여 개인정보 보호를 위한 추진 체계를 일원화
이상일 의원 현행법 위반 유무에 관계없이 ‘개인정보를 처리하는 과정’에서 손해가 발생한 경우에는 손해배상책임을 부담
유승희 의원 영리목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받도록 하고, 수신거부의사를 표시하였을 경우에는 전송하지 못하도록 함
권은희 의원 법정손해배상제도의 도입 및 입증책임을 전환 / 과징금을 1/100 -> 3/100으로 상향 고의 또는 중대한 과실로 위반행위를 한 때에는 2분의 1의 범위 내에서 과징금을 가산
국회 계류 중인 개정안 모음(2)
점점 강화되어 가고 있는 규제 환경
신용정보의 이용 및 보호에 관한 법률 일부개정 법률안김재경 의원 필수적 동의사항과 선택적 동의사항을 구분하고 선택적 동의사항에 대한 미동의를 이유로 거절ㆍ중지 불가
김기준 의원 최소수집을 명문화하고, 수집항목을 금융위원회에 보고, 일정규모 이상은 신용정보관리보호인을 ‘임원’으로 지정
부좌현 의원 개인신용정보를 제공받는 자의 신원과 목적을 확인하지 않는 경우에 대한 과태료 금액을 두 배로 상향(1,000)
이학영 의원 신용정보관련 집단소송제도 도입, 제3자 제공에 거부한다는 이유로 불이익을 줄 수 없도록 명시
인재근 의원 신용정보를 훼손, 유출 등 하는 경우 관련 영업수익의 100분의 10이하의 과징금 부과
김영주 의원 신용정보주체에 대한 통지, 금융위원회 신고 등 제도적 보완
박대동 의원 보험가입 또는 자산을 예탁할 의무 부과
김용태 의원 모집인의 불법수집 여부를 확인할 의무 및 적발시 위탁계약 해지 의무 부과, 위반시 형사처벌(3년, 3천만원)
강기정 의원 신용정보가 유출된 경우 유출 자체를 손해로 간주, 손해의 3배 범위 내에서 손해배상, 집단소송제도 도입
김정훈 의원 신용정보관리보호인을 ‘임원’으로 지정, 5년 이내 삭제(또는 분리보관) 등
김기식 의원 제공,활용시 매번 사전에 개별적 동의를 받도록 함. 필수적/선택적 항목 구분, 이용,제공 내역 즉시 통보
국회 계류 중인 개정안 모음(3)
점점 강화되어 가고 있는 규제 환경
전자금융거래법 일부개정 법률안
김기준 의원 정보기술부문 인력에 외주인력을 포함, 산정하는 것은 계속 허용하되, 정보기술부문 인력의 70% 이상은 내부인력으로 충원하도록 의무화함
김기준 의원 전자금융거래기록이 불필요하게 되었을 때에는 이를 파기할 의무를 명시함
인재근 의원현행법은 금융회사 또는 전자금융업자가 안전성 확보조치를 다하지 못할 경우 업무정지명령에 갈음하여 5,000만원 이하의 과징금을 부과하고, 전자금융거래정보를 제공, 누설하거나 목적외 사용시 5년 이하의 징역 또는 3,000만원 이하의 벌금에 처하고 있음 과징금을 대통령령으로 정하는 영업수익의 100분 10 이하로 부과(신설) 10년 이하의 징역 또는 1억원 이하의 벌금으로 상향
김정훈 의원정보보호최고책임자(CISO) 겸직 제한
전자금융거래정보의 유출 등에 대한 형벌 상향(10년 이하의 징역 또는 5억원 이하의 벌금) 전자금융거래의 안전성과 신뢰성을 확보하기 위한 의무를 부과하고, 과태료의 상한을 5,000만원으로 함
국회 계류 중인 개정안 모음(4)
점점 강화되어 가고 있는 규제 환경
당신이 궁금해하는 개인정보보호 유출의 원인과 형태
수집된 개인정보
오남용 유출 (누출)
절도형 횡령형
교육, 훈련 부족 개인정보보호 문화 미정착
교육, 훈련 부족 개인정보보호 문화 미정착
보안시스템의 부재, 한계
최근 카드3사, 시중은행, 보험사 개인정보 유출사고
원인에 적합한 대응방안 마련 필요
2013 Cost of Data Breach Study:!Global Analysis
원인에 적합한 대응방안 마련 필요
회사 개인정보보호체계에 대한 정확한 판단. 법령 및 주무부처의 요구사항 분석.
교육
교육
취약점 파악 및 보완대책 마련 정기적인 점검과 교육으로 보호체계 강화
원인에 적합한 대응방안 마련 필요
당신이 궁금해하는
개인정보보호 이슈
회사가 보관 중인 데이터를 기초로 빅데이터 분석을 통해 신상품을 개발하거나 마
케팅을 강화하고자 합니다. 현행법상 문제가 없는지요?
• 개인정보취급방침에서 ‘맞춤형 정보제공’을 수집목적으로 게시하고, 정보주체로부터 이에 대해 고지 및 동의를 얻었다면 수집 목적 내 이용으로 보아야 할 것입니다. 참고로, 대부분의 취급방침에는 “신규서비스 개발 및 마케팅,광고에 활용” 등과 같은 내용이 적시되어 있습니다.
!• 빅데이터 분석을 위해 익명화 처리를 하는 경우가 있는데, 비식별화된 정보라도 일정한 분석 또는 다른 정보와 결합하여 개인식별성이 생기는 경우가 있을 수 있는데, 이 경우 기존에 고지하고 동의 받은 목적 범위 내라면 새로운 동의는 받을 필요가 없을 것입니다.
Privacy Issue 1
건강진단 관련하여 직원의 동의 없이도 개인정보를 병원에 제공해도 되는지요?
업무상 주민등록번호를 제공하고 있는데 법적으로 문제가 없는지요?
• 제3자 제공이라는 견해도 있을 수 있으나, 관련법령(산업안전보건법 제43조 제1항)의 내용, 건강진단을 제공하는 직간접적 목적, 업무의 처리 과정, 병원의 마케팅 등을 위하여 개인정보를 제공하는 것은 아닌 점 등을 종합하여 볼 때 ‘업무위탁’이라고 봄이 타당합니다(개인정보 보호법 제26조).
!• 주민등록번호의 경우 현행 개인정보 보호법 제24조에 따라 별도의 동의가 필요합니다. - 그러나 개정 개인정보 보호법 제24조의2에 따르면 별도의 동의가 있더라도 주민등록번호를 처리할 수 없으며, 법령상 근거가 있거나 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우, 안전행정부령으로 정하는 경우에 한하여 처리할 수 있습니다.
Privacy Issue 2
Privacy Issue 3
• 개인정보를 제 3자에게 제공하는 경우에는 제3자 제공(개인정보 보호법 제 17조)과 업무위탁(개인정보 보호법 제 26조) 두 가지로 분류할 수 있습니다.
!• 제3자 제공이라는 견해도 있을 수 있으나 여행 혜택을 제공하는 직간접적 목적, 업무의 처리 과정 등을 종합하여 볼 때 ‘업무위탁’이라고 봄이 타당합니다(개인정보 보호법 제26조). !
• 회사가 관리감독 의무를 회피하기 위해서는 당사자들에게 연락을 한 뒤 개별적으로 여행사와 계약을 체결하도록 하고(연락하지 않은 자는 혜택 포기로 간주), 여행사로부터 명단을 받아 확인한 후 금전적 지원을 하는 방식을 취할 경우 리스크를 줄일 수 있을 것입니다.
실적우수자, 우수고객을 대상으로 여행 혜택을 부여하고 있습니다.
회사가 대상자의 이름과 전화번호를 주는 것의 법적 성질이 무엇인가요?
Privacy Issue 4
• 서울고등법원 2012. 10. 18. 선고 2011나19012 판결(확정)!- 일반적인 수사협조 의무를 확인하고 있을 뿐 수사기관의 개인정보 제공 요청에 따라야 할 어떠한 의무도 없고, 회사는 세부적 기준을 마련하는 등으로 이용자의 개인정보를 보호하기 위한 충분한 조치를 취할 의무가 있음. 회사는 乙이 입은 정신적 손해에 대해 위자료 50만원을 지급할 의무가 있음!‣ 1심은 원고 청구를 기각 : 서울중앙지방법원 2011. 1. 13. 선고 2010가합72873 판결!
!• 관련 규정 : 형사소송법 제199조 제2항(수사와 필요한 조사), 제215조 제1항(압수, 수색, 검증), 전기통신사업법 제83조 제3항(통신비밀의 보호) 등
저희는 일반 기업입니다. 수사기관이나 행정기관에서 개인정보를 제공하여 줄 것을
공문으로 요청받은 경우 이에 따라야 하는지요?
• 서울고등법원 2011. 8. 26. 선고 2011나13717 판결!1. 압수수색영장의 집행에 관해서는 수사 종결 전까지 통지할 의무가 없다.!2. 통신자료제공 현황 공개 거부 관련 피해는 공개청구가 인용되면 회복된다.!
• 대법원 2011다76617호로 계속 중에 있음
고객에게 통신자료 제공 현황과 이메일에 대한 압수수색 영장의 집행에 따라 제공
한 현황을 알려주지 않은 경우 손해배상책임이 있나요?
• 관련 쟁점 : 정보통신서비스 제공자를 상대로 개인정보 보호법을 근거로 압수수색영장 등에 의해 수사기관에 제공한 내역에 대한 열람을 요구한 사례!
• 유권해석례 : 동 사안은 정보통신망법이 우선 적용되는 경우인데, 같은 법 제30조 따라 지체없이 필요한 조치를 취하여야 하고, 개인정보 보호법 제35조 제4항 제2호 내지 제3호 (마)목을 이유로 열람 요청을 제한하거나 거절할 수 없음. 정보주체 또는 이용자 본인에 관한 정보로 한정됨
Privacy Issue 5
• 동호회, 동창회 등 친목 도모를 위한 단체를 운영함에 있어서는 개인정보의 수집, 이용 등에 관한 조항이 적용되지 않습니다(개인정보 보호법 제58조). • 제15조(수집), 제30조(처리방침 수립 및 공개), 제31조(개인정보 보호책임자 지정)만 적용하지 않습니다.
!• 개인정보 보호법의 다른 규정은 준수해야 한다는 점을 주의해야 합니다.
- 예를 들어, 개인정보를 PC에 저장하는 경우 암호화를 해야 하는 경우가 있을 수 있는데, ‘고유식별정보, 비밀번호 및 바이오정보’를 저장할 때에는 암호화하여 저장하여야 하나, 단순히 ‘이름 및 연락처’를 저장할 때에는 암호화 대상이 아니라 할 것입니다.
회사 내 동호회를 운영하면서 회원들의 이름, 주민등록번호, 연락처를 정리하고 있
습니다. 이 때 회원들로부터 모두 동의를 받아야 하는지, 이 데이터를 컴퓨터에 저장
하는 경우 암호화를 해야 하는지?
Privacy Issue 6
• 이에 관한 확립된 견해나 사례는 없고, 추가 통지를 해야 한다는 견해도 있습니다만, 범행 시점이 개인정보 보호법이 시행(2011. 9. 30)되기 전이고 정보통신망법상 ‘개인정보 누출등의 통지신고 제도’가 시행(2012. 8. 18)되기 전입니다. 현행법상 통지의무 조항이 소급적용 된다는 규정이 없는 점, 추가 피해방지를 위해 필요한 조치를 이미 취한 점 등을 종합하여 보면 추가 통지는 필요 없다고 판단됩니다. - 다만, 최근 이와 관련하여 실무상 추가 확인 서비스를 제공한 사례는 있습니다.
!• 추가 유출 시점이 ‘위 제도 시행 후’인 경우는?
이용자들에 대한 유출 통지 및 피해 방지를 위해 필요한 조치를 취했는데, 추가 수사결과 2010년경 저지른 또 다른 유출 범행이 밝혀졌습니다. 별도로 통지를 해야 하나요?
Privacy Issue 7
• 개인정보 보호법 시행령은 동의를 받는 방법을 규정하고 있고(시행령 제17조 제1항), 주무부처도 포괄적 또는 묵시적 동의는 불가능하다는 입장입니다.!
!• 일정한 사항을 사전에 고지하고 동의를 받아야 하기 때문에, 부칙에 변경사항에 대해 동의 간주조항을 두더라도 동의의 효력은 발생하지 않을 것으로 보입니다.
개인정보 취급방침을 개정함에 있어 정보주체의 동의가 필요한 경우, 부칙에 동의
간주 조항을 두는 것으로 갈음할 수 있는지?
Privacy Issue 8
감사합니다.
