제 5 장 개인정보 보호

제 5 장 개인정보 보호

2008.10

도 경 화

1. 개인정보보호란 무엇인가 ?

1.1 개인정보의 정의

1.2 개인정보의 세가지 개념

1.3 개인정보 침해시 벌칙

1.1 개인정보의 정의

Pirvacy 의 어원 프라이버시 (Privacy) 라는 용어는 ‘사람의 눈을 피하다’라는

뜻의 라틴어 ‘ Privatun’ 에서 유래

과거 ( 정보화 사회 이전 ) 사생활의 평온을 침해 받지 아니하고 사생활의 비밀을 함부로

공개 당하지 아니할 권리

혼자 있을 권리 (1888 년 미국 토마스 쿨리 판사 )

현대 ( 정보화 사회 ) 자신에 관한 정보 ( 개인정보 ) 를 관리 , 통제 할 수 있는 권리

자기 정보 통제권

법적 정의

공공기관의 개인정보보호에 관한 법률의 정의

개인 정보란 ? 생존하는 개인에 대한 정보로서 당해 정보에 포함되어 있는 성

명 , 주민등록번호 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보

당해 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함

• 내면의 비밀 : 종교 , 가치관 , 사상 , 신조 , 양심 등

• 심신의 상태 : 신체적 특징 , 건강상태 , 병력 등

• 사회경력 : 학력 , 범죄경력 , 직업 , 자격 등

• 경제 관계 : 소득 , 재산상황 , 채권채무관계 등

• 생활 / 가정 / 신분관계 : 성명 , 주민등록번호 , 주소 , 본적 등

1.2 Privacy 의 세가지

사생활 보호권 이는 주거 등 사적인 공간을 포함한 사생활을 침해받지 아니할

권리

의사소통의 프라이버시권 이는 개인간의 의사소통 내용의 비밀을 보장받을 수 있는 권리

정보의 프라이버시권 이는 앞서 지적한 프라이버시의 적극적 개념으로서 자신의

개인정보에 대한 통제권을 행사할 수 있는 권리

헌법상의 논의 제 10 조 “모든 국민은 인간으로서의 존엄과 가치를 가지며 ,

행복을 추구할 권리를 가진다 . 국가는 개인이 가지는 불가침의 기본적 인권을 확인하고 이를 보장할 의무를 가진다 .”

제 17 조 “모든 국민은 사생활의 비밀과 자유를 침해 받지 아니한다”

제 18 조 “모든 국민은 통신의 비밀을 침해 받지 아니한다”

분야별 관련 법

1.3 개인정보 침해시 벌칙 개인 비밀 침해

타인의 정보 훼손 , 침해 , 도용 다음 각호의 1 에 해당하는 자는 5 년 이하의 징역 또는 5천만원 이하의 벌금에 처한다 .

6. 제 49 조의 규정을 위반하여 타인의 정보를 훼손하거나 타인의 비밀을 침해 · 도용 또는 누설한 자

[ 정보통신망이용촉진및정보보호등에관한법률 제 71 조 ( 벌칙 )] – 현재 개정 추진중 다음 각 호의 어느 하나에 해당하는 자는 5 년 이하의 징역 또는 5 천만원

이하의 벌금에 처한다 .< 개정 2002.12.18, 2007.1.26, 2007.12.21> 1. 제 24 조 · 제 24 조의 2 제 1 항 및 제 2 항 또는 제 26 조제 3 항 ( 제 67

조에 따라 준용되는 경우를 포함한다 ) 의 규정을 위반하여 개인정보를 이용하거나 제 3 자에게 제공한 자 및 그 사정을 알고 영리 또는 부정한 목적으로 개인정보를 제공받은 자

2. 삭제 <2007.1.26> 3. 제 28 조의 2( 제 67 조에 따라 준용되는 경우를 포함한다 ) 의 규정을

위반하여 이용자의 개인정보를 훼손 · 침해 또는 누설한 자 4. 제 48 조제 2 항의 규정을 위반하여 악성프로그램을 전달 또는 유포한 자 5. 제 48 조제 3 항의 규정을 위반하여 정보통신망에 장애를 발생하게 한 자 6. 제 49 조의 규정을 위반하여 타인의 정보를 훼손하거나 타인의 비밀을 침해

· 도용 또는 누설한 자

1.3 개인정보

[ 정보통신망이용촉진및정보보호등에관한법률 제 72 조 ( 벌칙 )] ① 다음 각 호의 어느 하나에 해당하는 자는 3 년 이하의 징역 또는 3 천만원

이하의 벌금에 처한다 . < 개정 2005.12.30, 2007.12.21>

1. 제 48 조제 1 항의 규정을 위반하여 정보통신망에 침입한 자 2. 제 66 조를 위반하여 직무상 알게 된 비밀을 타인에게 누설하거나 직무상

목적외에 이를 사용한 자 3. 제 49 조의 2 제 1 항의 규정을 위반하여 타인의 개인정보를 수집한 자 4. 제 53 조제 1 항에 따른 등록을 하지 아니하고 그 업무를 수행한 자 5. 다음 각 목의 어느 하나에 해당하는 행위를 통하여 자금을 융통하여 준 자

또는 이를 알선한 자 가 . 재화등의 판매 · 제공을 가장하거나 실제 매출금액을 초과하여

통신과금서비스에 의한 거래를 하거나 이를 대행하게 하는 행위 나 . 통신과금서비스이용자로 하여금 통신과금서비스에 의하여 재화등을 구매

· 이용하도록 한 후 통신과금서비스이용자가 구매 · 이용한 재화등을 할인하여 매입하는 행위

② 제 1 항제 1 호의 미수범은 처벌한다 . < 신설 2004.1.29>

1.3 개인정보

[ 통신비밀보호법제 16 조 ( 벌칙 )] 다음 각호의 1 에 해당하는 자는 10 년 이하의 징역과 5 년 이하의

자격정지에 처한다 .

1. 제 3 조의 규정에 위반하여 우편물의 검열 또는 전기통신의 감청을 하거나 공개되지 아니한 타인간의 대화를 녹음 또는 청취한 자

2. 제 1 호의 규정에 의하여 지득한 통신 또는 대화의 내용을 공개하거나 누설한 자

[ 형법 제 316 조제 2 항 ( 비밀침해 )] 타인간의 대화등 내용 녹음 , 청취 , 공개 , 누설 다음 각호의 1 에

해당하는 자는 7 년이하의 징역에 처한다 .1. 제 3 조의 규정에 위반하여 우편물의 검열 , 전기통신의 감청 또는 공개되지 아니한 타인간의 대화를 녹음 또는 청취하거나 그 취득한 통신 또는 대화의 내용을 공개하거나 누설한 자2.....

공공기관의 개인정보보호에 관한 법률

제 3 조의 2 ( 개인정보보호의 원칙 )

① 공공기관의 장은 개인정보를 수집하는 경우 그 목적을 명확히 하여야 하고 , 목적에 필요한 최소한의 범위 안에서 적법하고 정당하게 수집하여야 하며 , 목적 외의 용도로 활용하여서는 아니 된다 .

② 공공기관의 장은 처리정보의 정확성 및 최신성을 보장하고 , 그 보호의 안전성을 확보하여야 한다 .

③ 공공기관의 장은 개인정보관리의 책임관계를 명확히 하여야 한다 .

④ 공공기관의 장은 개인정보의 수집 · 활용 등 개인정보의 취급에 관한 사항을 공개하여야 하며 , 개인정보처리에 있어서 처리정보의 열람청구권 등 정보주체의 권리를 보장하여야 한다 .

[ 본조신설 2007.5.17]

가벼워진 민원서류 빨라진 민원처리

3. 근거법령

Ⅱ- 6

제 10 조 ( 처리정보의 이용 및 제공의 제한 ) ① 보유기관의 장은 다른 법률에 따라 보유기관 내부 또는 보유기관 외의 자에

대하여 이용하게 하거나 제공하는 경우를 제외하고는 당해 개인정보파일의 보유목적 외의 목적으로 처리정보를 이용하게 하거나 제공하여서는 아니 된다 . < 개정 2007.5.17>

② 보유기관의 장은 보유목적에 따라 처리정보를 이용하게 하거나 제공하는 경우에도 업무수행에 필요한 최소한의 범위로 그 이용 또는 제공을 제한하여야 한다 . < 신설 2007.5.17>

③ 보유기관의 장은 제 1 항의 규정에 불구하고 다음 각 호의 어느 하나에 해당하는 경우에는 당해 개인정보파일의 보유목적외의 목적으로 처리정보를 이용하게 하거나 제공할 수 있다 . 다만 , 다음 각 호의 어느 하나에 해당하는 경우에도 정보주체 또는 제 3 자의 권리와 이익을 부당하게 침해할 우려가 있다고 인정되는 때에는 그러하지 아니하다 . < 개정 1999.1.29, 2007.5.17>

• 1. 정보주체의 동의가 있거나 정보주체에게 제공하는 경우 • 2. 처리정보를 보유목적 외의 목적으로 이용하게 하거나 제공하지 아니하면

다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 제 20 조에 따른 공공기관개인정보보호심의위원회의 심의를 거친 경우

• 3. 조약 기타 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하는 경우

• 4. 통계작성 및 학술연구등의 목적을 위한 경우로서 특정개인을 식별할 수 없는 형태로 제공하는 경우

가벼워진 민원서류 빨라진 민원처리

3. 근거법령

Ⅱ- 7

공공기관의 개인정보보호에 관한 법률 5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소부명등으로 동의를 할 수 없는 경우로서 정보주체외의 자에게 이용하게 하거나 제공하는 것이 명백히 정보주체에게 이익이 된다고 인정되는 경우 6. 범죄의 수사와 공소의 제기 및 유지에 필요한 경우 7. 법원의 재판업무수행을 위하여 필요한 경우 ④ 보유기관의 장은 제 3 항제 2 호 내지 제 7 호의 규정에 의하여 처리정보를 정보주체외의 자에게 이용하게 하거나 제공하는 때에는 처리정보를 수령한 자에 대하여 사용목적 · 사용방법 기타 필요한 사항에 대하여 제한을 하거나 처리정보의 안전성확보를 위하여 필요한 조치를 강구하도록 요청하여야 하며 , 이러한 요청을 받은 정보수령자는 처리정보의 안전성 확보를 위한 조치를 취하여야 한다 . < 개정 2007.5.17>

⑤ 보유기관으로부터 처리정보를 제공받은 자는 보유기관의 동의 없이 당해 처리정보를 제 3 자에게 이용하게 하거나 제공하여서는 아니 된다 .

< 개정 2007.5.17>

⑥ 보유기관의 장은 제 3 항제 2 호 내지 제 5 호 및 제 7 호에 따라 보유목적 외의 목적으로 이용하게 하거나 제공하는 경우에는 그 이용 또는 제공의 법적 근거 · 목적 및 범위 등에 관하여 필요한 사항을 정보주체가 쉽게 확인할 수 있도록 관보 또는 인터넷 홈페이지 등에 게재하여야 한다 . < 개정 2007.5.17>

제 11 조 ( 개인정보취급자의 의무 ) 개인정보의 처리를 행하는 공공기관의 직원이나 직원이었던 자 또는 공공기관으로부터 개인정보의 처리업무를 위탁받아 그 업무에 종사하거나 종사하였던 자는 직무상 알 게 된 개인정보를 누설 또는 권한없이 처리하거나 타인의 이용에 제공하는 등 부당한 목적을 위하여 사용하여서는 아니된다 .

제 18 조의 2 ( 개인정보침해사실의 신고 등 )

① 공공기관의 장이 개인정보를 수집 · 처리하거나 개인정보파일을 보유함에 있어서 개인정보에 관한 권리 또는 이익의 침해를 받은 자는 행정자치부장관에게 그 침해사실을 신고할 수 있다 .

② 행정자치부장관은 신고된 침해사실을 확인하여 해당 공공기관의 장에게 그 확인결과를 통보할 수 있다 .

③ 제 2 항에 따라 통보를 받은 공공기관의 장은 그 처리결과를 지체 없이 행정자치부장관에게 통보하여 야 하며 , 행정자치부장관은 통보받은 처리결과를 제 1 항에 따른 신고인에게 통지하여야 한다 . [ 본조신설 2007.5.17]

5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소부명등으로 동의를 할 수 없는 경우로서 정보주체외의 자에게 이용하게 하거나 제공하는 것이 명백히 정보주체에게 이익이 된다고 인정되는 경우 6. 범죄의 수사와 공소의 제기 및 유지에 필요한 경우 7. 법원의 재판업무수행을 위하여 필요한 경우 ④ 보유기관의 장은 제 3 항제 2 호 내지 제 7 호의 규정에 의하여 처리정보를 정보주체외의 자에게 이용하게 하거나 제공하는 때에는 처리정보를 수령한 자에 대하여 사용목적 · 사용방법 기타 필요한 사항에 대하여 제한을 하거나 처리정보의 안전성확보를 위하여 필요한 조치를 강구하도록 요청하여야 하며 , 이러한 요청을 받은 정보수령자는 처리정보의 안전성 확보를 위한 조치를 취하여야 한다 . < 개정 2007.5.17>

⑤ 보유기관으로부터 처리정보를 제공받은 자는 보유기관의 동의 없이 당해 처리정보를 제 3 자에게 이용하게 하거나 제공하여서는 아니 된다 .

< 개정 2007.5.17>

⑥ 보유기관의 장은 제 3 항제 2 호 내지 제 5 호 및 제 7 호에 따라 보유목적 외의 목적으로 이용하게 하거나 제공하는 경우에는 그 이용 또는 제공의 법적 근거 · 목적 및 범위 등에 관하여 필요한 사항을 정보주체가 쉽게 확인할 수 있도록 관보 또는 인터넷 홈페이지 등에 게재하여야 한다 . < 개정 2007.5.17>

제 11 조 ( 개인정보취급자의 의무 ) 개인정보의 처리를 행하는 공공기관의 직원이나 직원이었던 자 또는 공공기관으로부터 개인정보의 처리업무를 위탁받아 그 업무에 종사하거나 종사하였던 자는 직무상 알 게 된 개인정보를 누설 또는 권한없이 처리하거나 타인의 이용에 제공하는 등 부당한 목적을 위하여 사용하여서는 아니된다 .

제 18 조의 2 ( 개인정보침해사실의 신고 등 )

① 공공기관의 장이 개인정보를 수집 · 처리하거나 개인정보파일을 보유함에 있어서 개인정보에 관한 권리 또는 이익의 침해를 받은 자는 행정자치부장관에게 그 침해사실을 신고할 수 있다 .

② 행정자치부장관은 신고된 침해사실을 확인하여 해당 공공기관의 장에게 그 확인결과를 통보할 수 있다 .

③ 제 2 항에 따라 통보를 받은 공공기관의 장은 그 처리결과를 지체 없이 행정자치부장관에게 통보하여 야 하며 , 행정자치부장관은 통보받은 처리결과를 제 1 항에 따른 신고인에게 통지하여야 한다 . [ 본조신설 2007.5.17]

가벼워진 민원서류 빨라진 민원처리

3. 근거법령

Ⅱ- 8

공공기관의 개인정보보호에 관한 법률제 20 조 ( 공공기관개인정보보호심의위원회 < 개정 2007.5.17>)

① 공공기관의 컴퓨터등에 의하여 처 리되는 개인정보의 보호에 관한 사항을 심의하기 위하여 국무총리소속하에 공공기관개인정보보호심의 위원회 ( 이하 "위원회 "라 한다 ) 를 둔다 . < 개정 2007.5.17>

② 위원회는 다음 각 호의 사항을 심의한다 . < 개정 2007.5.17>

1. 개인정보보호에 관한 정책 및 제도 개선에 관한 사항 2. 처리정보의 이용 및 제공에 대한 공공기관 간의 의견조정에 관한 사항 3. 제 6 조제 5 항에 따라 심의요청을 받은 사항 4. 제 10 조제 3 항제 2 호에 따른 처리정보의 이용 또는 제공에 관한 사항 5. 그 밖에 개인정보의 보호에 관하여 대통령령으로 정하는 사항 ③ 위원회는 위원장 1 인을 포함한 10 인 이내의 위원으로 구성한다 . < 신설 2007.5.17>

④ 위원장은 행정자치부차관으로 하고 , 위원은 공공기관의 소속직원과 개인정보에 관한 학식과 경험이 풍부한 자 중에서 위원장의 추천으로 국무총리가 임명 또는 위촉한다 . < 신설 2007.5.17>

⑤ 위원의 임기는 2 년으로 한다 . 다만 , 공공기관의 소속 직원인 위원은 그 직에 있는 동안 재임한다 . < 신설 2007.5.17>

⑥ 그 밖에 위원회의 조직 및 운영에 관하여 필요한 사항은 대통령령으로 정한다 .

제 23 조 ( 벌칙 )

① 공공기관의 개인정보처리업무를 방해할 목적으로 공공기관에서 처리하고 있는 개인정보를 변경 또는 말소한 자는 10 년 이하의 징역에 처한다 .

② 제 11 조의 규정을 위반하여 개인정보를 누설 또는 권한없이 처리하거나 타인의 이용에 제공하는 등 부당한 목적으로 사용한 자는 3 년 이하의 징역 또는 1 천만원 이하의 벌금에 처한다 .

③ 거짓 그 밖의 부정한 방법으로 공공기관으로부터 처리정보를 열람 또는 제공받은 자는 2 년 이하의 징역 또는 700 만원 이하의 벌금에 처한다 .

< 개정 2007.5.17>

제 20 조 ( 공공기관개인정보보호심의위원회 < 개정 2007.5.17>)

① 공공기관의 컴퓨터등에 의하여 처 리되는 개인정보의 보호에 관한 사항을 심의하기 위하여 국무총리소속하에 공공기관개인정보보호심의 위원회 ( 이하 "위원회 "라 한다 ) 를 둔다 . < 개정 2007.5.17>

② 위원회는 다음 각 호의 사항을 심의한다 . < 개정 2007.5.17>

1. 개인정보보호에 관한 정책 및 제도 개선에 관한 사항 2. 처리정보의 이용 및 제공에 대한 공공기관 간의 의견조정에 관한 사항 3. 제 6 조제 5 항에 따라 심의요청을 받은 사항 4. 제 10 조제 3 항제 2 호에 따른 처리정보의 이용 또는 제공에 관한 사항 5. 그 밖에 개인정보의 보호에 관하여 대통령령으로 정하는 사항 ③ 위원회는 위원장 1 인을 포함한 10 인 이내의 위원으로 구성한다 . < 신설 2007.5.17>

④ 위원장은 행정자치부차관으로 하고 , 위원은 공공기관의 소속직원과 개인정보에 관한 학식과 경험이 풍부한 자 중에서 위원장의 추천으로 국무총리가 임명 또는 위촉한다 . < 신설 2007.5.17>

⑤ 위원의 임기는 2 년으로 한다 . 다만 , 공공기관의 소속 직원인 위원은 그 직에 있는 동안 재임한다 . < 신설 2007.5.17>

⑥ 그 밖에 위원회의 조직 및 운영에 관하여 필요한 사항은 대통령령으로 정한다 .

제 23 조 ( 벌칙 )

① 공공기관의 개인정보처리업무를 방해할 목적으로 공공기관에서 처리하고 있는 개인정보를 변경 또는 말소한 자는 10 년 이하의 징역에 처한다 .

② 제 11 조의 규정을 위반하여 개인정보를 누설 또는 권한없이 처리하거나 타인의 이용에 제공하는 등 부당한 목적으로 사용한 자는 3 년 이하의 징역 또는 1 천만원 이하의 벌금에 처한다 .

③ 거짓 그 밖의 부정한 방법으로 공공기관으로부터 처리정보를 열람 또는 제공받은 자는 2 년 이하의 징역 또는 700 만원 이하의 벌금에 처한다 .

< 개정 2007.5.17>

가벼워진 민원서류 빨라진 민원처리

3. 근거법령

Ⅱ- 9

공공기관의 개인정보보호에 관한 법률

계 국가행정기관 교육기관 자치단체 기타 공공기관

계 4 3 10 5

’04 년 5 1 - 3 1

’05 년 12 3 2 3 4

’06 년( 상반기 )

6 - 1 4 -

계

사법처리 징계처분형벌 ,

행정벌

소계

징역

벌금

추징

재판중

수사중

소계

파면

해임

정직

감봉

견책

경고 등

계 34 4 4 30 1 1 3 8 17 4

’04 년 11 2 2 9 3 4 2 2

’05 년 17 2 2 15 1 1 3 10 2

’06 년상반기

6 6 1 5

[ 표 1] 연도별‧기관별 처벌 현황[ 표 1] 연도별‧기관별 처벌 현황

[ 표 2] 처벌내용별 현황[ 표 2] 처벌내용별 현황

가벼워진 민원서류 빨라진 민원처리

3. 근거법령

Ⅱ- 10

공공기관의 개인정보보호에 관한 법률[ 표 3] 개인정보 유출에 따른 처벌 사례[ 표 3] 개인정보 유출에 따른 처벌 사례

일자 직급 사건 내용 처벌

03.10 7 급세무과 차량등록 컴퓨터를 이용 , 차량소유자의 전화번호 등의 개인정보 60 건을 친인척인 000 에 제공 , 000 은 심부름센터직원에게 금품을 받고 이를 유출함 . 유출자료는 러브호텔을 드나드는 불륜남녀를 촬영 , 금품갈취 , 협박 등의 범행에 이용됨

훈계 및 벌금

500 만원

04.6 7 급 00동사무소에 근무하면서 주민등록등 · 초본을 부정하게 발급하여 개인정보를 누설하고 , 2 천여만원의 수입증지 수수료 손실

감봉 3월

04.6 5 급구직등록자 개인정보 파일에서 100 명을 선정 , 관련 개인정보를 유출하여 본인의 논문작성을 위한 설문대상자로 활용

견책

04.7 6 급 개인에 대한 급여 내역 2,776 건을 보험회사및 병원 직원에게 제공 해임

04.107 급 ,

6 급 정 00 은 시군구종합행정시스템 관리실무자로 본인의 ID/PW 를 유출하였고 , 김 00 은 사용자 권한없이 관리자의 ID/PW 를 이용하여 개인별 토지현황을 조회

감봉 3 개월 , 견책

05.6 - 초등학교 선배가 자신의 학원을 홍보하기 위해 학생명부를 요구 , 학생명부 (1,862 명 ) 를 복사하여 유출 견책

05.9

5 급 ,

6 급 ,

7 급

공익근무요원이 직원 ID 를 무단으로 사용하여 개인 신상정보를 조회하여 이를 인터넷 채팅으로 알게 된 상대방에게 누설

경고 , 주의 , 주의

06.6 -00 대학교 00 사업단 직원이 동 사업단 홈페이지에 교육이수자 명단을 게재하면서 이들의 주민등록번호도 함께 게재

경고

2. 개인정보보호 이슈들

2.1 기업과 개인정보 DB

2.2 국가와 개인정보 DB

2.3 주민등록제도

2.4 도청과 감청

2.5 스팸메일

3.1 기업과 개인정보 DB

정보처리기술의 획기적인 발달은 개인에 관한 정보를 대량으로 수집하여 이를 분석하기 용이하기 함으로써 개인정보에 관한 상업적 이용가능성이 높아짐

1980 년 OECD 에서는 프라이버시 보호에 관한 가이드라인을 채택 급속히 변화하는 환경에서도 적용될 수 있는 큰 원칙을 제시

우리나라에서도 온라인 개인정보보호를 위해 1999년 7월 "정보통신망이용촉진등에관한법률 "을 개정하여 정보통신망을 통해 수집 . 유통되는 개인정보에 관한 보호규정들을 신설

3.1 기업과 개인정보 DB

허브사이트 제휴 업체간의 정보 공유 ( 원패스아이디 ) 제휴업체수의 차이

옥션의 경우 6 개 제휴업체 ( 인티즌 , 와우북 , 맥스무비 , 메뉴판 , 베베타운 , 네오넷 )

와우북의 경우 16 개 제휴업체

새로운 제휴업체 발생시

• 자동으로 사용자 의지와 무관하게 가입 ?

특정 업체의 가입 /탈퇴의 어려움

3.2 국가와 개인정보 DB

국가감시가 양면성 안보와 질서 , 행정의 효율성이라는 점에서는 正의 기능을 수행

역으로 감시의 대상인 국민들의 입장에서 보면 단순한 사생활의 침해라는 수준을 넘어서서 , 권력의 일방향적 흐름에 의한 , 자기지배원리의 현저한 왜곡현상이 수반

제반의 국가과정에 적극적으로 참여하는 능동적 시민으로서의 국민이 아니라 , 국가는 자신이 수집 , 관리하는 정보에 의하여

• 실제의 생활과는 괴리된 프로파일을 만들고 이에 따라 그 국가작용의 내용과 형식 , 절차를 결정함으로써 사회에는 현실의 시민이 아닌 가상적 시민 (virtual citizen) 만이 존재하고 되고 여기서 파생되는 시민의 소외현상은 민주주의의 가장 본질적인 내용까지 침해하게 되는 극단적 상황까지도 예견 될 수 있음

3.3 주민등록제도

너무나 많은 정보를 닮고있는 주민등록번호 13 자리의 숫자로 이루어진 이 주민등록번호는 다른 여타

자료의 보조 없이도 주민등록번호 자체만으로 성별 , 출신연대 , 생년월일 , 나이 , 출생지역 , 신고순위는 물론 번호의 오류 여부까지 확인할 수 있다

개인 정보가 어디로 샐지 모름

국가기간전산망 - 정보통신기술을 이용하여 개인정보를 전자데이터베이스화한 순간부터 더욱 용이하게 이용될 수 있다는 가능성 내포

3.4 도청과 감청

현행 통신비밀보호법에 의한 통신제한조치 및 긴급처분규정으로 인한 수사기관에 의한 감청등의 무분별한 남용과 우리사회에 횡행하는 불법도청 , 통신상의 개인정보유출로 인하여 심각한 인권침해를 낳고 있고 국민 개개인의 자유로운 생활이 위협받고 있음

정부 수사기관의 감청증가 (9/8/2001 대한매일신문 기사 인용 ) 통신사업자들이 수사기관에 협조한 감청건수는 전년 동기의 1,

183 건에서 1,489건으로 25.9%증가

통신자료 제공은 7 만 4,451 건에서무려 71%가 증가한 12 만7,289건

4. 각국의 개인정보 보호

4.1 OECD 의 개인정보 보호

4.2 미국의 개인정보 보호

4.3 EU 의 개인정보 보호

4.4 일본의 개인정보 보호

4.5 한국의 개인정보 보호

4.1. OECD 의 개인정보 보호

프라이버시 보호와 개인 정보의 국제 유통에 대한 지침 (1980 년 9 월 ) 수집 제한의 원칙 (Collection Limitation)

• 개인 데이터의 수집에 재한을 두어야 하며 개인 데이터 수집 방법은 적법하며 공정한 수단에 의해 행하도록 하여야 한다 . 경우에 따라서는 정보주체에 알리거나 동의를 구해야 한다 .

• 민감한 개인정보의 수집제한

정보 정확성의 원칙 (Data Quality)

• 개인 데이터는 그 이용 목적에 따라야 하며 이용 목적에 필요한 범위 내에서 정확 , 안전 그리고 최신의 것을 가져야 한다 .

4.1. OECD 의 개인정보 보호

목적 명확성의 원칙 (Purpose Specification)

• 개인 데이터의 수집 목적은 수집 시 보다 늦지 않은 시점에서 명확하게 되어야 하며 그 후의 데이터 이용은 해당 수집 목적의 달성 또는 수집 목적에 모순되지 않도록 하며 목적의 변경 시에 명확화 된 다른 목적의 달성에 한정되어야 한다 .

이용 제한의 원칙 (Use Limitation)

• 개인 데이터는 명확화 된 목적 이외의 목적을 위해서는 데이터 주체의 동의가 있는 경우나 법률의 규정에 의한 경우를 제외하고는 공개나 이용 , 그 외의 사용에 대해서는 금지 되어야 한다 .

4.1. OECD 의 개인정보 보호

보안의 원칙 (Security Safeguards)

• 데이터는 분실 또는 부당한 접근 , 파괴 , 사용 , 수정 , 공개의 위험에 대해서 합리적인 안전보장 조치에 의해 보호되지 않으면 안된다 .

공개의 원칙 (Openness)

• 개인 데이터에 관한 개발 , 운용 및 정책에 관해서는 일반적인 공개 정책이 취해지지 않으면 안된다 . 개인 데이터의 존재 , 성질 및 주요 목적과 함께 데이터 관리자의 식별 , 통상의 주소를 분명히 하기 위한 수단이 쉽게 적용될 수 있도록 하여야 한다 .

4.1. OECD 의 개인정보 보호

개인 참가의 원칙 (Individual Participation)

• 개인은 다음 4가지 권리를 가진다 .

– 데이터 관리자는 자기 데이터 유무를 확인할 수 있다 .– 자기 데이터를 알 수 있다 .– 1 또는 2 가 거부되었을 때 사유를 들을 수 있다 .– 자기 데이터에 관한 이의 신청이 인정될 때는 데이터를

소거 , 수정 , 완전히 교정할 수 있다 .

책임의 원칙 (Accountability)

• 전기통신분야에 있어서 고용문제에 대한 데이터 관리자는 상기의 원칙을 실시하기 위한 조치에 책임을 가진다 .

4.2 미국의 개인정보 보호

개인정보취급 원칙을 규정하고 있는 법 프라이버시 법 (1974년 )

문서작업감축 법 (1980 년 )

컴퓨터자료의 상호비교 및 프라이버시 보호 법 , 비디오 프라이버시 보호법 (1988 년 )

개인 정보 보호에 관한 5 개의 기본 원칙 기록의 존재 자체를 비밀로 해서는 안된다 .

어떤 개인정보가 어디에 쓰여지는지 본인이 알 방법이 있어야 한다 .

4.2 미국의 개인정보 보호

본인의 승낙 없이 다른 곳에 개인 정보가 이용되는 것을 방지할 방법이 있어야 한다 .

틀린 정보는 정정할 방법이 있어야 한다 .

관리자는 데이터의 신뢰성을 확보해야 하고 오용을 방지할 예방 조치를 강구해야 한다 .

UN 의 개인정보보호

UN 이 개인정보 내지 프라이버시와 관련한 사안에 대하여 본격적인 관심을 표명한 것은 1990 년 이후

1990 년 전산처리 된 개인정보 파일의 규제지침 (Guideline for the Regulation of Computerized Personal Data Files) ① 합법성과 공정성의 원칙 (Principle of Lawfulness and

Fairness), ② 정확성 원칙 (Principle of Accuracy), ③ 목적구체화의원칙 (Principle of the Purpose-specification), ④ 개인접근의 원칙 (Principle of Interested-person Access), ⑤ 비차별 원칙 (Principle of Non-discrimination), ⑥ 안전성 원칙(Principle of Security)

제 6 조에서 정보보호원칙의 적용으로부터 배제되는 경우 국가안보․공공질서․공중 보건 또는 공중도덕과 관련된 정보처리는 제 1

원칙부터 제 4 원칙의 적용을 받지 않음 다만 , 이 경우에도 회원국에서 이러한 적용제외에 대한 사항을 법률로

명시하고 있고 필요최소한의 수준으로 적용배제의 범위를 제한하고 있는 경우에만 가능

또한 차별금지원칙의 적용제외는 오직 인권보호와 차별방지를 위한 국제인권법의 한계 내에서만 허용

4.3. EU 의 개인정보 보호

‘ 개인데이터의 처리와 개인데이터의 자유로운 유통에 관련된 개인정보 지침’ (1995 년 10월 ) 경제 활동이나 행정목적 , 기타 모든 영역에 있어서 개인

정보를 수집하고 축적 , 이전하는 활동에 적용

‘ 정보통신부분에서의 개인 정보 처리 및 프라이버시 보호에 관한 지침’ (1997 년 12월 ) ISDN, 디지털 이동 네트워크를 통한 정보통신 서비스에 적용

개인데이터의 처리와 관련한 기본적 인권과 자유 , 특히 프라이버시권의 균등한 보호수준을 보장

4.3. EU 의 개인정보 보호

‘ 정보고속도로에서 신상정보의 수집처리와 관련한 개인의 보호를 위한 지침’ (1999년 2월 ) 서비스 이용자

• 어떤 정보가 수집 , 처리 ,저장되는지 알아볼 수 있는 권리

• 특정한 목적에 따라 수정 , 삭제 요구 권리

서비스 제공자

• 개인정보의 합법적이고 공정한 사용

• 개인정보의 은밀한 수집 , 기록 , 전송을 금지

APEC 의 프라이버시 보호 원칙

4.4 일본의 개인정보 보호

‘ 개인데이터 처리에 수반된 프라이버시 보호 대책’ (1982 년 7월 ) 수집제한의 원칙

이용제한의 원칙

개인참가의 원칙

적정관리의 원칙

책임 명확화의 원칙

개인정보 보호 연구회 공공부분과 민간부분 모두에 적용될 기본법 제정을 위해 활동중

5. 유비쿼터스시대 개인정보보호

유비쿼터스 환경의 도래에 따른 문제제기

앞으로 다가올 유비쿼터스 환경의 풍요롭고 편리한 삶은 우리에게 매력적으로 느껴질 수 도 있다 . 하지만 유비쿼터스 혁명으로 인하여 저절로 유토피아가 건설 될 것이라고 생각하면 큰 오산일 것이다 .

산업혁명 정보화 시대

소외 받고 학대 받는 노동자

식민 국가

개인정보의 침해빈부간정보 격차

시스템 문제생활환경 및

사회적 문제점

언제 어디서나 정보에 대한 접근이 가능한 유비쿼터스 시대는 언제 어디서나 정보의 유출과 변조가 가능한 사회가 도래할 수도 있다 . 이는

정보화 역기능보다 더욱 광범위하고 심각한 위협으로 다가올 것이다

유비쿼터스의 기술적 결함

유비쿼터스 환경에서의 사고 발생은 기존의 정보통신 및 개인정보 침해사고에 의한 영향과는 비교할 수 없을 정도의

엄청난 파급효과를 불러일으킬 수 있다

프라이버시문제

시스템의 취약성

정보 보호 문제

유비쿼터스 환경에서는 여러 정보를 쉽게 얻을 수 있고 편리성이 증대되는 반면에

그에 따른 기술적 결함도 적지 않다

다가온 Big Brother 사회공적 , 사적 공간의 경계 붕괴다가온 Big Brother 사회공적 , 사적 공간의 경계 붕괴

구글 위성사진 서비스

- 미국 주요 건물을 제외한 세계 각국의

보안 시설 공개

- 테러리스트의 정보수집 도구로 이용 우려

美 플로리다 범죄자 사진 대조 시스템

- 템파시 , 36 대의 감시카메라 설치

- 얼굴 특징을 나타내는 14~22 개 점들로 인식

- 감시적역 범죄율 34% 감소 , 주변지역 증가

하늘로부터의 감시

가정 내 프라이버시 상실

홈 네트워크에 해킹 · 바이러스 감염시

생명 · 재산피해에 직결

가정에서의 위협가정에서의 위협

홈네트워크 중 전기 , 가스의 외부접속 허용여부

홈네트워크 중 전기 , 가스의 외부접속 허용여부

신체변화 , 노화 /성장으로인한 바이오 인식 오류

신체변화 , 노화 /성장으로인한 바이오 인식 오류

자녀의 PC 이용 , TV 시청 기록 조회자녀의 PC 이용 , TV 시청 기록 조회

가정에서의 위험

회사 내 프라이버시 위협회사 내 프라이버시 위협

직원의 일거수 일투족에 대한 기록 직장 내 프라이버시 상실 - 감시 받는 휴식공간

일상적 업무가 아닌 창조적 업무에 대한 평가 절하일상적 업무가 아닌

창조적 업무에 대한 평가 절하

전화 , 인터넷 사용에 대한 모든 기록 보관전화 , 인터넷 사용에 대한 모든 기록 보관

복도 , 계단 , 휴게실 등 사적인 공간의 상실복도 , 계단 , 휴게실 등 사적인 공간의 상실

사무실에서의 위험

CCTV

자동차의 센서가 운전 습관을 관찰

동승자 , 방문지에 대한 기록 및 보관

모든 주행 정보가 중앙 텔레메틱스 센터로 전송

비밀 없는 자동차비밀 없는 자동차

제임스 터너 렌터카 사건 (2000)

GPS 를 이용한 속도위반 감지렌터카 회사가 속도위반에 대한 범칙금 ($450) 청구

GPS 를 이용한 속도위반 감지렌터카 회사가 속도위반에 대한 범칙금 ($450) 청구

교통경찰

보험회사

서비스 제공업체가 고객을 감시 서비스 제공업체가 고객을 감시

벌금청구 주체에 대한 논란난폭 운전자의 렌터카 이용제약의 적법성 논란

벌금청구 주체에 대한 논란난폭 운전자의 렌터카 이용제약의 적법성 논란

사회적 위험 – 자동차

신규가입 시 필요한 고객정보만 스캐너로 컴퓨터에 저장 , 책임자만 열람이 가능토록 암호화하고 신청서 원본을 고객에게 되돌려 줌 ※ ’04. 9월부터 모든 판매점에서 실시

새 휴대전화를 사면서 반납하는 휴대전화는 고객이 보는 앞에서 분쇄 고객정보 취급직원의 사내 휴대전화 사용 금지 플로피 디스크 , CDR, 플래시 메모리와 같은 개인의 컴퓨터 기록장치는

회사 내 반입 금지

“ 소프트뱅크”의 손정의 사장 (’04. 4월 )“ 소프트뱅크”의 손정의 사장 (’04. 4월 )

고객 450 만명의 고객정보 유출 사고 발생 후 “미국 국방성 수준의 보안

시스템을 만들라” 지시 → 649 개 항목의 고객정보 관리 규정 마련

“NTT 도코모”의 고객정보 보호 강화

6. 개인정보 유출 문제의 해결방안

5.1. 정보문화의 확립

5.2. 법적 조치

5.3. 기술적 조치

5.1. 정보 문화의 확립

정보 윤리의 확립 실생활 사회규범으로서의 윤리를 정보 사회에 적용하는

개념

정보 교육 정보생활에 있어서 긍정적 작용을 할 수 있는 실질적 교육

정보문화를 향유 할 수 있는 기본적 자질 연마

주민번호 클린서비스 등 개인정보보호에 대한 홍보

5.2. 법적 조치

정보통신망이용촉진등에 관한 법률 및 통신비밀보호법 등의 실효성 있는 준수 확보

공공기관의 개인정보보호에 관한 법률에 OECD 8 원칙 적용

민간부분에 대한 법적 조치 필요 개인정보보호기본법 추진 등

개인정보보호를 위한 감독 기구 설치 및 기능 확보

5.3. 기술적 조치

암호화 암호기술 개발 및 자유로운 이용을 보장하는 법률의 제정

이 필요

정보보안 정보보호의 기술적 측면

• 방화벽 등 통합관리 필요

• OECD 개인정보보호 8 원칙이 적용될 수 있도록 확보

관리자에 대한 교육적 접근

I-PIN, G-PIN 등 신기술 적용

주민번호 클린서비스 등을 제공하여 확인가능하도록 조치

51

수집수집 이용 및 제공이용 및 제공 파기파기

개인정보 수집시 고객동의 개인정보 수집 시 고지 또는 명시의무 이행 과도한 개인정보의 수집 금지 법정대리인의 동의 후 아동 개인정보 수집 등

개인정보 수집시 고객동의 개인정보 수집 시 고지 또는 명시의무 이행 과도한 개인정보의 수집 금지 법정대리인의 동의 후 아동 개인정보 수집 등

개인정보보호 기술적ㆍ관리적 보호 조치 개인정보취급자에 의한 훼손 , 침해 또는 누설 방지책 마련 동의 철회ㆍ열람 또는 정정 요구 등 수응

개인정보보호 기술적ㆍ관리적 보호 조치 개인정보취급자에 의한 훼손 , 침해 또는 누설 방지책 마련 동의 철회ㆍ열람 또는 정정 요구 등 수응

수집 및 목적 달성 후 , 개인 정보의 파기 등

수집 및 목적 달성 후 , 개인 정보의 파기 등

InternetInternet

AP 서버

방화벽

DB 서버

방화벽

고객 정보

내부직원 IPS사용자

관련 업체

저장 /관리저장 /관리

파기파기

이용 /제공이용 /제공

수집수집

Web 서버

전용선 /PSTN

개인정보 불법수집 방지기술 개인정보 무단수집 및 노출 탐지 /점검 기술 개인정보 노출에 대한 예 /경보 체계 등

개인정보 불법수집 방지기술 개인정보 무단수집 및 노출 탐지 /점검 기술 개인정보 노출에 대한 예 /경보 체계 등

개인정보의 유통관리 기술 개인정보의 유통관리 기술 개인정보 파기이력 관리 , 복구 불가능한 개인정보 삭제 기술 등

개인정보 파기이력 관리 , 복구 불가능한 개인정보 삭제 기술 등

( 공통 ) 개인정보 영향평가 , 개인정보보호 기술 안전성 평가 및 개인정보 관리 기반구조 등 ( 공통 ) 개인정보 영향평가 , 개인정보보호 기술 안전성 평가 및 개인정보 관리 기반구조 등

관리관리

기술기술

저장 및 관리저장 및 관리

개인정보처리 위탁 시 고지의무 이행 고객 동의 없는 개인정보의 목적 외 이용 및 제 3 자 제공 금지 개인정보 오류정정요구 접수 후 정정 및 정보이용 등

개인정보처리 위탁 시 고지의무 이행 고객 동의 없는 개인정보의 목적 외 이용 및 제 3 자 제공 금지 개인정보 오류정정요구 접수 후 정정 및 정보이용 등

개인정보 기술적 , 관리적 보호조치 자동점검 기술 데이터베이스 보안 등 개인 정보 불법유출 방지 기술 등

개인정보 기술적 , 관리적 보호조치 자동점검 기술 데이터베이스 보안 등 개인 정보 불법유출 방지 기술 등

전반적인 개인정보보호 체계