오늘은 개인정보보호법에서 이야기하는 개인정보의 라이프사이클에 대한 조항을 살펴보고자 한다.
제15조~제16조 개인정보의 수집/이용
제17조~제20조 개인정보의 제공, 목적 외 이용/제공
제21조 개인정보의 파기
제22조 동의를 받는 방법
그중 오늘은 제15조 ~ 제17조까지 살펴보겠다.
제15조(개인정보의 수집/이용)
ㅇ 개인정보를 수집할 수 있는 경우
- 정보주체의 동의를 받은 경우
- 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
- 공공기관이 법률 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
- 정보주체와의 계약의 체결 및 이행을 위하여 불가피한 경우
- 정보주체 또는 그 법정대리인이 의사표현을 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
- 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우(처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우)
ㅇ 개인정보를 수집 동의 시 안내사항
- 개인정보의 수집/이용 목적
- 수집하려는 개인정보의 항목
- 개인정보의 보유 및 이용기간
- 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익
ㅇ (신설된 내용) 개인정보 처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 다음 사항을 고려하여 정보주체의 동의 없이 개인정보를 이용할 수 있다. 이 경우 개인정보처리자는 고려사항에 대한 판단 기준을 개인정보 처리방침에 공개하고, 개인정보 보호책임자는 해당 기준에 따라 개인정보의 추가적인 이용 또는 제공을 하고 있는지 여부를 점검한다.
- 정보주체에게 불이익이 발생하는지 여부
- 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
- 당초 수집 목적과 관련성이 있는지 여부
- 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
- 정보주체의 이익을 부당하게 침해하는지 여부
- 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
제16조(개인정보의 수집 제한)
ㅇ 개인정보처리자는 제15조에 따라 개인정보를 수집할 경우 반드시 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집 입증책임은 개인정보처리자가 부담한다.
ㅇ 개인정보처리자는 최소한의 정보 외의 개인정보를 수집하는 경우 동의하지 않을 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다. 이 경우 동의하지 않는다고 재화나 서비스 제공을 거부할 수 없다.
-> 개인정보 동의서 징구 시, 선택적 동의 항목과 필수적 동의 항목을 별도로 명시하고 동의를 받아야 한다. 선택적 동의 항목은 동의하지 않더라도 재화나 서비스 제공을 거부하지 않는다.
제17조(개인정보의 제공)
ㅇ 다음에 해당할 경우 개인정보를 제3자에게 제공할 수 있다.
- 정보주체의 동의를 받은 경우
- 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
- 공공기관이 법률 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
- 정보주체 또는 그 법정대리인이 의사표현을 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
- 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
ㅇ 개인정보를 제3자에게 제공하거나 국외의 제3자에게 제공할 경우 다음 사항을 알리고 동의를 받아야 한다.
- 개인정보를 제공받는 자
- 개인정보를 제공받는 자의 개인정보 이용 목적
- 제공하는 개인정보의 항목
- 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
- 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
ㅇ (신설된 내용) 개인정보 처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 다음 사항을 고려하여 정보주체의 동의 없이 개인정보를 제공할 수 있다. 이 경우 개인정보처리자는 고려사항에 대한 판단 기준을 개인정보 처리방침에 공개하고, 개인정보 보호책임자는 해당 기준에 따라 개인정보의 추가적인 이용 또는 제공을 하고 있는지 여부를 점검한다.
- 정보주체에게 불이익이 발생하는지 여부
- 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
- 당초 수집 목적과 관련성이 있는지 여부
- 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
- 정보주체의 이익을 부당하게 침해하는지 여부
- 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
ㅇ (신설된 내용) 개인정보를 제공받은 자는 다음 각 호의 안전성 확보 조치를 해야 한다.
1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부관리계획의 수립ㆍ시행
- 개인정보 보호책임자의 지정 등 개인정보 보호 조직의 구성ㆍ운영에 관한 사항
- 개인정보 취급자의 교육에 관한 사항
- 제2호부터 제6호까지의 규정에 따른 조치를 이행하기 위하여 필요한 세부 사항
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치
- 개인정보처리시스템에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행
- 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영
- 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단
[전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일 평균 100만 명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억 원 이상인 정보통신서비스 제공자 등만 해당한다] - 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정 및 운영
- 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치
3. 접속기록의 위조ㆍ변조 방지를 위한 다음 각 목의 조치
- 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속 일시, 처리내역 등의 저장 및 이의 확인ㆍ감독
- 개인정보처리시스템에 대한 접속기록을 별도의 저장장치에 백업 보관
4. 개인정보가 안전하게 저장ㆍ전송될 수 있도록 하기 위한 다음 각 목의 조치
- 비밀번호의 일방향 암호화 저장
- 주민등록번호, 계좌정보 및 제18조제3호에 따른 정보 등 보호위원회가 정하여 고시하는 정보의 암호화 저장
- 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신ㆍ수신하는 경우 보안서버 구축 등의 조치
- 그밖에 암호화 기술을 이용한 보안조치
5. 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터 바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 하기 위한 백신 소프트웨어 설치 및 주기적 갱신ㆍ점검 조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치
-> 해당 내용은 안전성 확보조치 기준에 대한 간략한 내용이다. 개인정보보호 포탈에는 안전성확보조치 기준에 대한 설명 자료가 있다. 용량이 커서 파일을 첨부하지는 못했다.
'ISMS-P' 카테고리의 다른 글
| ISMS-P 개인정보보호법 주요내용 정리(4) 제21조 ~ 제22조 (0) | 2020.09.16 |
|---|---|
| ISMS-P 개인정보보호법 주요내용 정리(3) 제18조 ~ 제20조 (0) | 2020.09.15 |
| ISMS-P 개인정보보호법 주요내용 정리(1) 제2조 ~ 제4조 개인정보 관련 용어 정의, 기본 원칙, 정보주체의 권리 (0) | 2020.09.11 |
| ISMS-P정보통신망법 주요내용 정리(2) 제46조 ~ 제48조의4 (0) | 2020.09.11 |
| 정보통신망법 주요내용 정리(1) 제2조 ~ 제45조의3 (0) | 2020.09.10 |