[CPPG] PART 1

< PART 1 >

 

개인정보 :

1. 살아있는 개인에 관한 정보로 개인을 식별할 수 있는 정보

2. 다른 정보와 결합해서 개인을 식별할 수 있는 정보이다.

->단, 입수 가능성(불법적인건 해당 x), 결합 가능성 (너무 고액이 든다 x)을 고려

3. 사망하거나 실종선고 등으로 사망한 것으로 간주되는 자에 대한 정보는 개인정보 x / 하지만, 유족과의 관계를 알 수 있다면 유족의 개인정보에 해당한다.

4. 개인정보의 주체는 자연인이어야하고, 법인 or 단체에 관한 정보는 개인정보 x

5. 정보의 형태 상관 x

6. 가명정보는 개인정보에 포함된다.

7. 거래내역 등 개인의 상거래 정보

*문제에서 그냥 생년월일 or 혈액형과 같이 나온다면 추가적인 결합없이는 식별이 안되기 때문에 추가정보나 결합한다는 이야기가 없다면 개인정보로 보지않는다.

 

가명정보 : 추가적인 정보의 사용 및 결합 없이는 특정 개인을 알아볼 수 없는 정보

익명정보 : 특정 개인을 알아볼 수 없는 정보 (자유롭게 이용 가능)

추가정보 : 개인정보를 복원할 수 있는 매핑 테이블, 알고리즘 등의 정보 (가명처리)

결합정보 : 합법적으로 접근해 두 개 이상의 정보를 쉽게 결합해 특정 개인을 알아볼 수 있는 정보(입수 가능성과 결합 가능성을 고려)

위치,영상,신용 정보 등도 있다.

프라이버시	개인정보 자기결정권
소극적 권리	적극적 권리
사생활,비밀의 자유 보장	개인정보 보호
비밀,사생활 키워드 ‘혼자 있을 권리’ 다른 사람의 개인정보 접근 제한	누군가에게 어느 범위까지 알려지고 이용되는지 “정보주체”가 결정할 수 있는 것 개인정보를 대상으로 한 조사,수집,보관,처리,이용 등

 

공간 프라이버시 : 한 개인이 다른 개인의 환경에 “침입”하는 것에 대한 제한

ex) CCTV,ID체크 침해 방지

-> “공간 침해”

개인 프라이버시 : 개인의 신체적, 물리적 존재와 관련되는 것을 제한

ex) 유전자,마약,체강 검사 제한,우편,전화대화,이메일 통신 보호

-> “개인”과 관련된 것

정보 프라이버시 : 컴퓨터 등 정보통신 기술의 전자적 형태로 수집되는 것에 대한 제한

ex) 정보주체의 자기결정권

-> 정보주체를 대상으로 한 “수집”과 관련

 

 

개인정보의 특성 :

single out – 특정 개인 1인만을 따로 분리할 수 있는 정보

ex) 190cm가 1명밖에 없는 데이터 셋 중, 190cm

linkability – 동일한 속성, 2개 이상의 데이터를 연결 할 수 있는지 여부

inference – 2개 이상의 정보가 연결 x, 추론에 의해 연결

 

개인정보 가치산정 :

델파이 – 전문가 판단, 사회학적 산정 방식

CVM – 비시장 자원, 설문조사, WTP(소비자가 지불할 의사가 있는 “최대”지불금액), 피조사자들의 평균치

 

미국과 유럽의 개인정보보호 비교 :

미국 – 자율 규제, 감독기구 x 개별부처 담당, 자발적 참여

유렵 – 정부 규제, 감독기구 o, 법률, 법적 소송,규제

*미국과 유럽은 프라이버시/개인정보 자기결정권 둘다 채택하고 있음. 규제방식의 차이

 

safe-Harbor :

EU와 미국상무부가 체결, 이를 준수하는 기업들은 EU와 미국 간 개인정보를 공유하는 대신 “보호조치”를 반드시 해야함.

ex) 유럽과 무역을 하고자하는 기업이 미국에 세이프하버 등록시 개인정보 보호조치를 준수한 것으로 본다. (두나라간에 개인정보보호조치의 차이가 있기에 원활한 무역활동을 위해 서로의 보호조치를 인정했다고 생각하면 될 것 같다. 그렇기에 다른나라가 세이프하버 등록/준수(보호조치를 했다)하면 유럽 or 미국에 개인정보 전송이 가능한 것)

safe-Harbor 키워드 - 기본 opt-out(민감정보는 opt-in), 정확성,완전성,최신성

*opt-in : 선동의 후사용

opt-out : 선사용 후거부의사 o 사용x

 

EU-GDPR :

1. EU의 개인정보보호 법령이다.

2. 가이드라인의 역할이기에 GDPR을 적용하고 있는 나라이더라도 추가적으로 다른 법령을 더 제정하고 있다면 그것또한 지켜야한다.

3. 위험 기반 접근방식을 택하고 있다. -> 개인정보 처리에 따른 위험수준을 고려해 유연하게 조성한다.

4. 기업의 규모, 개인정보의 규모, 서비스의 무/유료 여부 과계 x -> 규모가 크다고 정보가 많다고 서비스가 유료라고 개인정보의 질과 양이 달라지는 게 아니기 때문이다.

5. GDPR은 개인정보“처리”에 적용된다.

6. 피고용인 250명 이상 컨/프로세서는 개인정보 처리활동을 기록해야함.

7. 기본 opt-in

 

 

 

GDPR 적용 :

EU역내 컨트롤러,프로세서 - GDPR 적용

EU역외 컨트롤러,프로세서 – 1. EU역내의 정보주체 행동 감시 모니터링

2. EU역내의 정보주체 서비스/상품 제공

-> GDPR 적용

*정보주체의 국적 상관 x/역내에 있다는 것이 그사람이 그나라 국적이라는 이야기가 아니다.

*단순히 EU역내의 정보주체가 EU역외의 컨/프로세서의 서비스를 이용한다는 것만으로는 GDPR적용여부가 부족하고 서비스/상품을 EU역내의 정보주체 “타겟팅”한다는 느낌이어야한다.

ex)한국에서 영어 홈페이지를 제작했는데 EU역내의 정보주체도 종종가입한다. -> GDPR적용을 해야한다기에는 불충분, “타겟팅”이라는 요소가 들어가면 적용

*공동 컨트롤러 가능

*EU역외에서 EU역내의 조건중 개인정보 처리시, 컨 or 프는 원칙적으로 EU내에 대리인을 서면으로 지정해야함.

 

GDPR 적정성 결정 :

2021년12월 17일 한국이 개인정보 국외이전에 있어 EU회원국에 준하는 지위를 부여받음.

-> 적정성을 받기전 – 별도의 안정성 조치 마련 해야함.

-> 적정성을 받은후 – 별도의 안정성 조치 마련 의무 면제 및 법 위반 우려 경감.

*금융기관의 개인 신용정보 역외이전은 이전과 동일하게 표준계약 체결등 필요

*적정성 결정은 별도의 안전조치 확보 의무 면제라고 보면 된다.

 

GDPR 조항 :

1. 정보를 제공받을 권리

2. 정보주체의 열람권

3. 정정권 – 1개월이내 이행

4. 삭제권(잊힐권리)

5. 처리 제한권

6. 개인정보 이동권

7. 반대권

8. 프로파일링을 포함한 자동화된 의사결정

 

DPIA(개인정보 영향평가)

 

DPO 지정 :

EU – 전문지식,외부 DPO 가능, 임무수행으로 해고나 불이익 금지,

한국(CPO) - 사업주 or 대표자, 내부자만 가능

1. EU 대상으로 비즈니스를 진행해야함.

2. EU 대상으로 비즈니스를 하면서 기업의 “핵심활동”이 “대규모”,“정기적”으로 모니터링하는 처리활동 포함시 임명 의무 있음

3. EU 대상으로 비즈니스를 하면서 기업의 “핵심활동”이 “민감정보” 및 “범죄 경력”에 관련한 “대규모”의 처리활동 포함시 임명 의무 있음

4. GDPR 공동 DPO 지정가능(DPO에게 쉽게 접근 가능하다는 전제)/한국(CPO)는 공동 x

5. 컨/프 상관없이 조건 만족하면 DPO 지정해야하는거 (꼭 둘다해야되고 이런게 아니라는 소리)

6. DPO 지정시 지역에 관한 규정은 존재 x

7. DPO 지정 후 감독당국에 통지해야함.

8. 정부부처 or 관련기관의 경우 법원은 예외

9. DPO는 GDPR을 준수하지않는 것에 개인적인 책임을 지지않는다. (GDPR의 책임은 컨/프에 있음.)/ 준수여부 모니터링 및 영향평가 관련 업무 수행

 

수령인 :

수령인이란 컨/프/정보주체/컨 또는 프에게 개인정보 처리 권한을 받은 자를 제외한 해당 개인정보를 수령한 모든자(자연인,법인,공공당국,기관,단체), 제3자 여부 관계없이

*어디서 수집했던간에 수집후 수령인이 있을시 정보주체에게 수령인 or 수령인의 범주를 알려야함.

 

민감정보 사용 키워드 : 정보주체 명시적 동의, 의무 이행, 재판 목적, 공익, 공중보건, 연구목적(공익) , 정치/철학/종교 목적의 비영일 단체 or 노동조합이 하는 처리, 생체정보 중 민감정보에 포함되는 것은 식별할 목적으로 이용되는 생체정보

*범죄정보는 GDPR에 규정이 있어 민감정보 처리에 관한 규정은 적용 x

 

역외이전 가능 조건 -

1. EEA,EU 내 국가

2. EEA,EU 외 국가일 때 적정성 결정

3. EEA,EU 외 국가일 때 “보호조치” 했을 때

4. 예외 인정(특정 상황에 대한 “명시적 동의”,“계약 이행”)

*EEA – 유럽경제지역

*EU회원국

 

개인정보 유/노출 :

유출 – 관리자의 통제 상실 or 권한 없는자의 접근 허용

-> 고의 or 과실, 내부자

72시간이내 정보주체에게 통지, 유출사실 홈페이지에 30일 이상 기재

 

노출 – 홈페이지상 개인정보를 누구든지 볼 수 있어 유출로 이어질 수 있는 상태

-> 처벌 대상 x, 내/외부자

 

기업의 사회적 책임(CSR) :

법적,경제적,윤리적 책임 감당 및 기업의 리스크를 줄이고 기회를 포착해 중장기적 기업가치를 제고할 수 있도록하는 이해관계자 기반 경영활동

-> CSR을 정보보호 영역에 집중한다고하면 고객의 긍정적 이미지를 더욱 효과적으로 형성 가능

 

 

2024년 1회차 시험을 준비하면서 작성했다.