디지털 정보보호
ISMS-P
PIA
ISMS-P 학습(개인정보보호법 핵심 정리)
Posted on Aug. 16, 2022, 12:36 a.m. by ADMIN
시험 팁을 드리자면
법을 정확하기 이해해야 합니다.
물론 시험을 보기 위해서는 외울 것도 많지만,
단순 암기로 풀 수 있는 문제라면 그건 그냥 점수 주는 보너스 문제라고 생각해야 합니다.
푸는데 시간이 그만큼 별로 안 걸리다는 거니까요.
| 대구분 | 조항 | 개보법 | 정보통신망법 &
개보법(39조3~15. 정보통신서비스 제공자등의 특례) |
| 1장 총칙 등 | 대상 | 개인정보 처리자: 업무 목적 개인정보파일을 운용하는 공공(학교 포함), 기업, (친목) 단체, 개인 |
전기통신사업자, 통신과금서비스 대상자 정보통신서비스제공자 (영리 목적 정보 제공/매개자) 39.14 방송사업자(시청자 개인정보 처리 부문 특례) : 기업, 공기업, 금융사 등 (수탁자 포함) (금융사 신보법 미정의 사항) |
| 3.개인정보 처리 |
15. 개인정보 수집.이용 16. 개인정보 수집 제한 (39.3 개인정보 수집.이용 동의) |
동의: 목항기거 * 법률특별규정, 공공기관 법령 소관업무 위해 불가피, 정보주체/제3자 급박한 생명/신체/재산, 개처자 계약이행/정당이익 불가피 * 원칙: 최소 수집, 입증책임, 동의 거부권 |
동의: 목항기 * 거부: 필수 아님
(권장) * 14세 미만: 법정대리인 동의 & 확인 아동 이해 쉬운 양식 & 아동 개인정보 보호 시책 마련 * 법률특별규정, 요금 정산, 계약 이행 필요 & 경제/기술적 뚜렷 곤란 (공공x, 생명/신체/재산 x) |
| 15.3 추가 이용 17.4 추가 제공 |
당초 수집 목적과 합리적 관련 범위 내 동의 없이 이용, 제공 가능 - 수집 목적 관련성, 예측 가능성, 정보주체 이익 침해, 가명/암호화 등 안전성 - 개인정보처리방침 미리 공개, CPO 점검 |
||
| 22. 동의를 받는 방법 39.3 (개인정보 수집.이용) |
1.중요 내용: 목적 중 광고정보 수신, 항목 중 고/민(주민 x), 보유 기간,
제공받는자&목적 서명 동의 중요 내용 표시 방법: 9P, 20%, 색상 & (굵기or 밑줄), 그 밖의 내용과 별도 구분 2. 동의 불필요(필수, 법규 등), 필요(선택) 분리 *동의 필요 시, 각각 동의 (포괄 동의 X) 제3자 제공, 국외 제3자 제공, 마케팅 목적 처리, 14세 미만(법정 대리인 동의) * 특례 (동의 확인, 아동이 이해하기 쉽게 고지 의무) * 특히 구분, 별도 동의 민감/고유(주민 제외), 목적외 이용/제공, 개인정보를 제공 받은 자의 이용/제공 제한 등 |
||
| 망법 50조 (영리 목적 광고 정보 전송 제한) * 스팸 방지 |
(누구든지) 수신자 명시적 사전 동의 or 다음 2가지만 허용 1. 재화 거래 관계 직접 연락처 수집: * 영업 양수 X (종료 후 6개월 이내 동종 재화 광고 정보 전송) 2. 방문 판매 전화 육성 권유 (ARS, 보험 제외) * 수신동의 사전 동의 받은 경우 2년마다 재확인 고지 - 전송자 명칭, 수신동의 사실과 날짜 - 수신 동의 유지/철회 표시 방법 |
||
| 18.목적 외 이용/제공 (개인정보 처리자) |
별도 동의 or 법률 특별 규정, 생명/신체/재산, * 공공기관(소관업무 개보위심의, 범죄/국제/재판) (범죄/안보 외) 30일 이내 10일 이상 관보/홈피, 목적외 이용.제공 관리 대장 |
별도 동의 or 법률 특별 규정 | |
| 19. 목적 외 이용/제공 (개인정보를 제공 받은 자) |
별도
동의 or 법률 특별 규정 only (목적 내 이용/제공은 동일하게 가능) |
||
| 23. 민감, 24. 고유식별 24.2 주민번호 처리 제한 |
민감/고유식별:
별도 동의 or 법령 허용 주민: 법률, 대통령령, 국회/대법원/헌재/선관위/감사원 규칙에서 구체적 허용(OO부령/규칙/조례, 동의 x) or 정보주체/제3자 생명/신체/재산 or 불가피한 경우 개보위 고시 (방통위 고시 X) (암호화 저장, 인터넷 회원 가입 시 주민번호 대체 수단 제공) |
||
| 25. 영상정보 처리 | 누구든 공개장소 영상정보처리기기 설치/운영 불가 (법령, 범죄,
시설안전/화재, 교통 단속/정보수집만 허용) & 안내판: 설치목적/장소, 촬영범위/시간, 연락처 (군사/안보 제외) 단, 목욕실, 화장실, 발한실: CCTV 설치 불가 (교도소/정신보건시설은 가능 & 안내판도 설치) 영상정보: 개인 차량 내 블랙박스는 해당 없음 but 회사의 자율 주행 차량 영상 수집 : 현재 불법 (얼굴 자동 마스킹 필요, 법 개정 중) * 영상정보처리기기 운영.관리 방침 마련 및 공개 |
||
| 20. 간접 수집 출처 고지 | 정보 주체 요구 시 즉시 (3일 이내) or 개보법 17.1 (제 3자 제공 동의)로 받은 정보가 민감/고유 5만 or 총 100만 이상 시, 3개월 이내 (년 2회 이상 수집 시 연 1회 이상) 수목정 고지 (수집 출처/목적/정지권 단, 범죄/안보, 타인 생신제 침해 외) |
||
| 21. 파기/보존 | 보유
기간 경과/목적 달성 시 지체 없이 (정당 사유 해소 후부터 5영업일 이내)
파기 * 법령에 따른 보존 시: 분리 저장/관리 & 개인정보처리 방침 * 영상정보: (기간 산정 불가 시 30일 이내) |
||
| (39.6 개인정보 파기 특례) * 개인정보 유효기간, 장기 미이용자의 개인정보 파기 제도 |
1년 미이용자
통보 후 파기/보존 * 다른 법령이나 이용자의 별도 요청(입대 등)이 없으면, 1년 미이용자는 만료 30일 전까지 통보 후 (파기/보존 사실, 만료일, 항목) 파기 or 보존(분리) * 휴면 계정 접속로그, 결제기록 포함 |
||
| 27. 영업 양도/합병, 분할, 분할 합병 |
양도자가 미리 통지 (불가 시 30일 이상 웹 공지) * 이전 사실, 양수자 연락처, 거부권 * 양수자 통지 (양도자가 통지한 경우 생략 가능) |
||
| 17.1 제 3자 제공 | 17.1 동의 (목항기거자) or 법률 특별 규정, 공공기관 소관업무, 정보주체/제3자 생명/신체/재산 |
17.1 동의 (목항기거자) or 법률 특별 규정, 요금 정산 |
|
| 17.3 국외 제 3자 제공 (39.12 국외 이전: 제공/조회) |
17.3 국외 제 3자 제공: 동의 필수 & 개보법 위반 국외 이전 계약 불가 |
39.12 국외 제 3자 제공(조회): 동의 필수 (목항기+국가/일시/방법/성명) * 거부 없음 * 개보법 위반 국외 이전 불가 (재이전 포함) (개인정보 보호조치, 고충/분쟁 처리 계약 반영) |
|
| 26. 위탁 | |||
| (39.12 국외 이전: 위탁/보관) | 39.12
국외 위탁/보관: 동의 or 통지 or 개인정보처리방침 (목항기+ 국가/일시/방법/성명) * 거부 없음 |
||
| (39.13 국외 이전: 상호 주의) | 39.13 상호주의 (국가에 따라 국외 이전 제한 가능) | ||
| 30. 개인정보 처리방침 수립 및 공개 |
목항기+자(위탁/제3자) 파기 절차/방법 (보존 시 보존 근거: 법조항, 보존 항목), 쿠키 등 개인정보 자동수집 장치/거부 안전성 확보 조치, 정보주체 권리·의무, 행사 방법 CPO 또는 개인정보 처리/고충 부서 |
||
| 공공기관 32.개인정보파일 등록/공개 33.개인정보 영향 평가 |
신규/변경 시, 60일 이내 개보위 등록/공개 & 개인정보처리방침 공개 (범죄/수사, 내부업무 only, 영상정보 제외) *파일 명칭, 목항기+자 운영근거/처리방법, 정보주체 수량 처리/열람 부서, 열람 제한범위/사유 * 웹회원은 2년 주기 재동의 시만 보유 가능 *PIA: 침해요인 분석, 개선 대상: 5만(고/민), 50만(연계), 100만 파일 개보위 제출: 평가 결과, 개선사항(1년 이내) |
||
| 정보통신 (39.8 이용 내역 통지) |
대상: 전년도 정보통신 서비스 매출 100억 이상 or 전년말 3개월 평균 저장/관리 이용자 100만명 이상인 정보통신 서비스 제공자등 * 망분리 대상 * 연 1회 통지 항목: 목항+자 (이용자가 거부 불가) 수집/이용 목적, 항목 (제공 받은자/목적/항목) |
||
| 정보통신 (39.10 노출 개인정보 삭제, 차단) |
주민,
계좌, 카드번호 등 이용자 개인정보의 정보통신망을 통해 공중 노출 방지 (구글 검색, 개보위/KISA 요청 시 삭제/차단) |
||
| 31. CPO 지정 | 처,
청, 고위공무원, 교육청 (3급 이상), 시도(4급), 학교(행정사무
총괄자), 그외 공공기관(담당 부서장) 기업: 대표, 임원 (없는 경우만 담당 부서장) * 소상공인: 별도 지정 없으면 대표이사 소상공인 = 소기업(정보통신제공자 50억 이하 매출) & 5명 미만 상시 종업원 |
||
| (망법 39.6: CISO) | 직위: 임원급 & 과기부 신고 의무 제외: 자본금 1억 이하 부가통신사업자, 소상공, 소기업 겸직 제한: 자산 5조 (ISMS 의무 대상 5천억) |
||
| (39.11 글로벌 기업 국내 대리인 지정) |
대상: 글로벌 매출 1조 or 망분리 대상(백백) 역할: CPO, 피해구제, 유출대응, 개보위 대응 지정: 서면 (개인정보처리방침에 성명, 주소, 연락처 공개) |
||
| 3장. 가명 정보 | 동의 없이 과학연구, 통계, 공익 기록 보존 가능 가능 사례: 목적 명확, 제공 받은 곳에서 보유한 다른 정보와 결합해 재식별 가능성 X (특정개인 알아보기 위해 가명 처리: 과징금 총매출 3%, 징역 5년, 벌금 5천만) |
||
| 제4장 개인정보의 안전한 관리 |
39.2 보호 인증 | 39.2 개인정보 보호 인증: PIPL, PMS -> ISMS-P (선택) | 망법 47조: ISMS 의무 대상자 |
| 34.개인정보 유출 시 고객 통지 (신고, 게시) (39.4 개인정보 유출 통지 & 신고) (법규) 유출: 통제권 상실 or 비인가 접근 (판례) 누출 통제권 상실 and 비인가 접근 * USB 분실(유출)해도, 비인가 접근 없으면 누출 X |
(5일 이내) 고객 통지 * 정당사유(긴급조치 등) 후 그로부터 5일 이내 * 통지항목: 유출항목, 시점&경위, 정보주체 대응 방법, 처리자 조치&피해구제절차, 피해 접수처 ★ 1천명 이상: (개보위or KISA) 신고 & 7일 이상 게시 * 신고 내용: 통지 내용 및 조치 결과 * 개인정보 유출 대응 매뉴얼 (의무: 공공기관 or 1천명 이상 개인정보 처리자) * 가명정보도 신고 (통지는 면제) |
(24시간 이내) 고객 통지 & 신고 * 정당사유(긴급조치 등) 후 그로부터 24시간 이내 * 통지항목: 유출항목, 시점, 이용자 대응 방법, 정보통신서비스제공자등의 대응조치, 피해 접수처 * 이용자 연락처 없으면, 30일 이상 게시 등 ★ 1 건이라도 유출 시, 개보위 or KISA 신고 * 신고 내용: 통지 내용과 동일 * 가명정보: 통지/신고 모두 면제 |
|
| 34.2 과징금의 부과 | 주민번호 분실.도난.유출.위조.변조.훼손 : 5억원 이하 과장금 과징금 부과 고려 사항: 24조 3항의 안전성 확보 노력, (분실등) 주민번호 수, 피해확산 방지 후속조치 이행 여부 (30일 초과: 가산금 년 6%, 최대 60개월) |
||
| (39.15 과징금의 부과 특례) |
안전조치(29조) 위반 행위 관련 매출 3% 이하 (산정 불가시 4억 이하) ① 기준 금액(중대성: 위반내용/정도, 취득이익) ② 필수 가중/감경(위반기간/횟수: 50%) ③ 추가(위반주도, 방해/협력, ISMS인증, 자진신고: 50%) |
||
| 5장 정보주체의 권리 보장 |
35~38.
개인정보 열람, 정정/삭제, 처리 정지, 권리행사 방법/절차 |
35. 정보주체의 열람 요구: 10일 이내 결과 통지 - 거부: 법률, 다른사람 생명/신체/재산 침해, 공공기관 (조세, 학교 성적/평가, 채용 시험/심사, 보상금 산정/감사) - 대상: 항목 및 내용, 목적, 기간, 제3자 제공 현황, 처리 동의 사실 및 내용 36. 열람 가능한 경우: 정정/삭제 요구도 가능 * 삭제 거부: 법령에 의한 보존 의무 있는 경우 37. 처리 정지 요구: 동의항목 포함 모든 개인정보 (단, 공공기관은 등록 개인정보파일에 한함) 38. 권리 행사 방법/절차 마련 & 공개 * 최소한의 실비 청구 가능 |
|
| (39.7 이용자 권리 특례) | 동의
철회, 열람, 정정 요구 시, 수집보다 쉬운 방법 제공 (동의 철회 시 지체 없이 피기) * 회원 탈퇴 |
||
| 39. 손해배상 책임 | ① 손해 배상 청구: 개인정보처리자가 고의/과실 없음 입증 필요 * 책임 성립 요건 ①개인정보처리자 법위반, ②손해(본인재산/정신적 통상), ③연관성, ④고의/과실 & 책임능력 ② 징벌적 손해 배상: 원고의 입증 책임, 손해액의 3배 이하 * 배상액 산정 의무 고려사항: 고의/손해인식, 피해액, 개처자 이익/재산, 벌금/과징금, 위반기간/횟수, 개인정보 회수 노력, 피해구제 노력 청구권 소멸: 인지 후 3년, 불법행위 이후 10년 |
||
| 39.2 법정 손해배상 | 정신적 손해 배상: 개인정보 처리자가 고의/과실 없음 입증 필요, 300만원 이하 | ||
| 6장 정보통신 서비스 제공자등의 특례 |
39.9 손해배상 보장 | N/A | 손해배상 책임 보험/공제/준비금 대상: 정보통신서비스제공자등 (전년도 총 매출 5천만원 & 직전 3개월 평균 저장/관리 이용자 1천명 이상) * 저장/관리: 휴면/별도 보존 이용자 포함 |
| 7장 개인 정보 분쟁 조정 위원회 |
40~50.
개인정보 분쟁 조정 위원회 구성, 집단 분쟁 조정 절차 등 |
목적:
자주적 분쟁 해결 * 소송에 준해 공정 피해 구제 (비용/시간 절감)
* 공공기관 응할 의무 有 일반 분쟁 조정: 원하는 자가 신청→사실 조사/합의 권고→60일 이내 조정안 작성→ (15일 이내) 수락 or 거부 집단 분쟁 조정: - 대상: 50명 이상의 개인정보 처리 관련 피해 사건 (합의/개별 소송자 제외) - 절차: 국가/단체/정보주체/개인정보처리자가 신청 → 접수, 요건 심사, 취하 or 개시 의결 → 개시 공고(14일 이상) * 추가 참가 신청 접수(정보주체/개인정보처리자) & 대표 당사자 선임 → 사실 조사, 조정 전 합의 권고 - (미합의 시) 공고 종료 후 60일이내 조정안 제시 (연장 가능) * 조정 성립 시 이행 (강제 집행: 침해중지/원상회복/손해배상/재발방지 등) * 재판상 화해(확정 판결 효력) - 당사자 이외의 자(집단 분쟁 조정 미참여자)에 대한 보상 권고 (사업자가 수락 시 15일 이내 보상 계획서 제출) * 기각/각하, 불성립(15일 이내 미수락) : 단체 소송/개별 소송 등 |
|
| 8장 개인 정보 단체 소송 |
51~57
개인정보 단체 소송 대상, 민사 소송법 적용 * 유럽: 단체 소송(침해 중지 청구) * 미국: 집단 소송(금전 피해 구제) |
분쟁조정 전치주의: 개인정보처리자가 개인정보 집단분쟁조정 거부, 불성립 시만 가능 신청자: 소비자단체, 비영리 민간단체 only (피해자 집단 아님) 청구범위: 정보주체 권리침해 금지/중지(피해 확산 방지/예방 only) * (소송 중) 권리침해 중지 시 자동 종료 * 집행정지/가처분 신청 불가 * 유출/오남용 금전 피해 구제는 정보주체 별 별도 민사 소송 필요 * 법원의 허가 개시 시 금전채권의 보전을 목적으로 하는 가압류 규정 활용 X (가처분 규정 활용 가능) 기각 판결 효력: 다른 단체 동일 적용 (같은 건으로 타단체에서 소송 불가) * 피해자 개별 소송은 가능 * 확정 판결 효력 정지: 공공기관에서 새로운 증거가 나타나거나 원고 고의가 밝혀진 경우 |
|
| 9장 보칙 |
58. 적용 일부 제외 | 일부
제외: 공공(통계법 수집), 국가안전보장(수집/제공), 공중위생(긴급/일시), 공개장소 영상정보 수집, * 언론(취재/보도), 종교(교인/선교/홍보/홈페이지/봉사), 정당(후보추천/홍보/당원 모집) 등 고유 목적 위해 수집, 이용하는 개인 정보: 3~7장 제외 ☞ 수집/이용/제공/공개 구분, 법 취지 고려 * 친목 단체(동창/동호회): 15.수집/이용, 개인정보처리방침 공개, CPO 지정만 제외 (나머지는 동일) -> 이 경우에도 목적 범위 내 최소한의 기간, 항목만 처리. 보호조치, 고충처리 등을 마련 |
|
| 58.2 적용 제외 | 익명 정보 | ||
| 59 금지 행위, 60. 비밀 유지 | 거짓/부정 개인정보 취득/처리 동의 받기, 업무 정보 누설/제공, 타인정보 유출/오남용/훼손 등 금지 | ||
| 61. 의견제시 및 개선 권고 63. 자료제출 요구 및 검사 65. 고발 및 징계 권고 |
개보위: 모든 개인정보처리자에게 가능 (중앙행정기관장에게 검사 요구, 공동 참여 요청, 합동 실태 점검 가능) * KISA 지원, 공무원 파견 포함 중앙행정기관장: 별도 소관 법률이 있는 경우만 가능 |
||
| 64. 시정 조치 명령 | 개인정보 침해 상당 근거 & 방치 시 피해 회복 어려운 경우 개보위: 법 위반자에게 침해 중지, 처리 정지 등 명령 가능 * 지방 공기업/공단 포함 (중앙행정기관, 지자체, 국회, 법원, 헌법재판소, 선거관리위원회에게는 시정 조치 '권고' 만 가능) 중앙행정기관장: 별도 소관 법률이 있는 경우만 가능 (개보위가 시정 권고 시 특별 사유 없으면 존중 필요) |
||
| 62. 침해 신고 | 개보위에서
전문기관 지정(개인정보침해 신고센터,
한국인터넷진흥원) * 신고 접수/상담, 조사, 시정 유도 |
||
| 10장 벌칙 |
70~76 | 벌칙(형벌 징역/벌금): 10년/1억원, 5년/5천만원,
3년/3천만원, 2년/2천만원 이하 양벌 규정: 행위자가 '업무에 관하여' 법 위반 시 개인정보처리자(법인/개인)도 벌금형 몰수/추징 : 법 위반 관련 금품/이익 등 과태료(행정관청이 부과) : 수집 위반(5천), 이용/파기/보안/권리보장(3천), 운영/관리(1~2천만원 이하) * 과징금(ex: 주민번호 유출 시 5억원 이하) 부과 시 과태료 부과 불가 |
|
Log in and leave a comment