2과목부터 배점이 점점 커지고 있다.
1과목보다는 2,3,4 과목이 과락할 가능성은 적지만,
배점이 높은 비율을 차지하는 만큼 정확하고 많이 아는 것이
중요할 것으로 예상된다.
'개인정보 라이프 사이클' 이라는 것은
법상에는 명시되어 있지 않은 개념이다.
단지, 라이프 사이클이라고 표기하는 이유는 개인정보보호법 제15조부터
수집·이용, 제공, 관리, 파기에 대한 내용이 나오고,
이런식으로 사이클을 도는 형태의 모양이 나오기 때문이다.
개인정보처리자는 해당 정보주체의 동의를 받은 후
수집·이용을 하고, 제3자제공 혹은 위탁을 통해 개인정보를 제공한다.
해당 개인정보는 안전성 확보조치 기준에 따라 관리하게 되고,
개인정보 보유 기간의 만료 혹은 정보주체의 요구에 의해 파기한다.
다시금 정보주체의 동의를 받고 수집·이용을 하게 되면
이것이 바로 '개인정보 라이프 사이클'이 되는 것이다.
해당 용어에 대한 설명은 이정도로 마치고,
본격적으로 개인정보 라이프 사이클에 대하여 알아보자.
출제기준에 따른 3과목 내용 요약
Ⅲ. 개인정보 라이프 사이클 관리 (25점)
1. 개인정보 수집, 이용
① 개인정보 오너십의 이해
> 정보주체의 관점으로 정보주체들은 개인정보의 오너십을 갖는 주체가 본인임을 인식하지 못하는 경우가 많이 있다. 정보주체는 자신에 관한 정보를 적극적으로 관리·통제할 수 있는 권리를 보유하고 있음을 알 필요가 있다. 즉, 개인정보처리자가 불명확하게 개인정보를 수집하였거나, 동의 받은 목적 범위를 넘어서 이용하는 등의 개인정보관리자로서의 권리를 남용하여 발생하는 각종 부작용을 예방하기 위해 정보주체가 자신의 정보를 확인하고 정정할 수 있는 청구권적 성격의 권리를 갖고 있음을 의미한다.
> 정보주체의 관점에서 오너십의 예로 개인정보유출사고에 대한 손해배상소송, 위치정보무단수집에 대한 위자료 지급명령소송, 개인정보분쟁조정위원회를 통한 분쟁조정신청 등 적극적인 권리주장에 대한 내용이 존재한다.
> 개인정보처리자의 관점에서 개인정보의 라이프 사이클에 대해 전반적으로 책임질 수 있는 오너십을 갖는 것은 개인정보처리자의 덕목일 뿐만 아니라 사회적 책임(CSR)이라 할 수 있다.
> 보안 업무의 발전 과정은 1980년대 이전 관리부서에 소속에서 1980년대 보안관리자로, 1990년대에는 보안 담당 이사로, 2000년대에는 정보보호책임자(CSO, CPO)로, 2010년대에는 위기관리총괄책임자(CISO, CRO)로 기업에서의 위상이 점차 증가하였다.
② 개인정보 수집·이용 원칙
> 개인정보보호법 제15조 개인정보의 수집·이용에 따라 개인정보처리자는 정보주체의 개인정보를 수집·이용하고자 하는 경우에는 다음 항목의 내용을 고지하여 동의를 받아야만 하고, 이 중 어느 하나가 변경되는 경우에도 개별적인 동의를 받아야한다.
> 개인정보보호법 제15조2항에 따른 동의 항목
1) 개인정보의 수집·이용 목적
2) 수집하려는 개인정보의 항목
3) 개인정보의 보유 및 이용 기간
4) 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
> 해당 동의 항목은 정보통신서비스 제공자의 개인정보 수집·이용에 대한 특례에서 1가지가 빠져있는데, 4번째 항목인 동의를 거부할 권리가 있다는 사실 및 그에 따른 불이익의 내용이 특례 조항에서는 빠져있다는 것이 차이점이다.
> 위에 나오는 동의 항목에 대하여 '1) 정보주체의 동의를 받은 경우'를 제외하고도 5가지의 항목 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. (제15조1항)
2) 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3) 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4) 정보주체와의 계약의 체곌 및 이행을 위하여 불가피하게 필요한 경우
5) 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6) 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 '명백하게' 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
> 개인정보처리자가 회원가입 등 개인정보를 수집·이용하는 경우에 서비스이용약관에 개인정보처리방침의 해당 내용을 기재한 후 '포괄적인 동의'를 받는 것은, 관련 법에서 명시한 동의 방법에 해당하는 올바른 수집·이용 동의 방법이 아니다.
> 개인정보 수집·이용 시 동의가 필요한 사항은 다음과 같다.
● 정보통신 서비스 가입
- 유무선 통신서비스 가입
- 웹사이트 회원 가입
● 오프라인 서비스 이용
- 회원제 서비스 가입
- 비회원제 서비스 이용
● 단순 상담 게시판
● 이벤트 개최
> 개인정보처리자는 정보주체의 개인정보를 수집하는 경우에는 해당 목적에 필요한 최소한의 개인정보에 대해서만 수집해야 하며, 해당 목적에 필요한 최소한의 개인정보 수집이라는 것에 대한 입증(책임)은 개인정보처리자가 부담한다.
> 해당 내용은 개인정보보호법 제16조 개인정보의 수집 제한에 대한 내용이다. 이에 더하여 개인정보처리자는 제15조3항에 따라 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.
③ 개인정보 수집·이용 시 유의사항
> 개인정보보호법 제20조 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지에 따라 정보주체의 요구가 있으면 '즉시' 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.
1) 개인정보의 수집 출처
2) 개인정보의 처리 목적
3) 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실
> 개인정보보호법 제32조 개인정보파일의 등록 및 공개에 따라 공공기관의 장은 개인정보 파일을 운용하는 경우 다음 각 호의 사항을 보호위원회에 등록해야 하고, 등록한 사항이 변경된 경우에도 또한 같다.
1) 개인정보파일의 명칭
2) 개인정보파일의 운영 근거 및 목적
3) 개인정보파일에 기록되는 개인정보의 항목
4) 개인정보의 처리방법
5) 개인정보의 보유기간
6) 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는자
7) 그 밖에 대통령령을 정하는 사항
- 개인정보파일을 운용하는 공공기관의 명칭
- 개인정보파일로 보유하고 있는 개인정보의 정보주체 수
- 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서
- 제41조에 따른 개인정보의 열람 요구를 접수·처리하는 부서
- 개인정보파일의 개인정보 중 법 제35조제4항에 따라 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 도는 거절 사유
> 개인정보 수집·이용 시 고지 방법으로는 웹사이트 상에서 동의 받는 화면 내에 해당 내용을 확인할 수 있도록 고지하거나, 해당 페이지에 링크를 클락하여 다음 페이지로 이동이 가능하도록 해야 한다. 전자우편 상에서 고지하는 경우에는 해당 내용을 바로 확인할 수 있도록 하거나 링크를 송부하여야한다. 상담원·ARS·SMS·무선인터넷 등을 통해 확인하도록 안내하는 경우에는 안내한 후 동의받기 이전에 정보주체가 고지사항을 봤는지 확인하는 방법을 제공해야 한다. 동의서나 직접 대면을 통해 정보주체에게 해당 내용을 안내하는 방법도 제공해야 한다. (우편, FAX 등)
> 개인정보 동의 획득 방법에는 인터넷사이트에 회원가입 화면, 로그인 화면 등 동의를 구하는 화면에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법이 있다. 이때, 입증방법은 정보주체가 동의 확인한 로그 기록을 보유하는 방법이 있다. 서면의 방법에는 동의 내용이 기재된 서면을 정보주체에게 직접 교부하거나, 우편 또는 팩스 등을 통해 정보주체에게 전달하고 정보주체가 서명날인한 후 제출하는 방법으로 입증방법은 정보주체가 동의한 서면을 보유하는 것이 있다. 전자우편 방법으로는 동의 내용이 기재된 전자우편을 발송하여 의사 표시가 기재 된 전자우편을 전송받는 방법으로 입증방법은 정보주체가 동의한 전자우편을 보유한다. 전화의 방법으로는 직접 전화 혹은 직접 상담원이 동의 내용을 구두로 알려주고 동의를 받거나, 일정 기간 후 재차 전화 통화로 동의를 얻는 것으로 입증방법으로는 ARS의 상담기록을 녹취하고 녹취는 상담 전에 정보주체에게 동의를 구하도록 한다.
> 위에 해당하는 내용에서 동의, 통지, 안내에 대해 정확히 인지할 필요가 있다.
> 동의는 정보주체와 개별적으로 연락을 하여야 하고 반드시 정보주체로부터 회신 등의 피드백을 받아야하는 것으로 구체적으로는 개인정보 최초 수집 시 정보 주체에게 동의 절차에 조치하는 방법으로 동의를 얻고, 추가적인 동의를 얻으려면 개별적으로 연락하고 회신을 받아야 한다.
> 통지는 정보주체와 개별적으로 연락을 하여야 하지만 회신 등의 피드백을 받을 필요는 없는 것이다. 대표적으로 영업 양도·양수 사실을 정보주체에게 통지하는 경우 전화·전자우편 등으로 해당 사실을 알리기만 하면 되고 별도로 회신 받을 필요는 없다.
> 안내(공개·게시)는 정보주체와 개별적인 연락을 할 필요도 없고 회신도 필요로 하지 않는 것이다. 웹 사이트의 공지사항, 정기간행물 등 정보주체가 서비스를 이용하면서 쉽게 확인할 수 있는 곳에 해당 정보를 게시하는 것 등이 이에 해당한다.
(출처: 정보통신서비스제공자를 위한 개인정보보호 가이드)
> 개인정보 수집·이용 단계에서의 침해유형은 다음과 같다.
1) 정보주체의 동의 없는 개인정보 수집
2) 개인정보 수집 시 고지 또는 명시 의무 불이행
3) 서비스 이용과 관련 없는 과도한 개인정보 수집
4) 동의 및 고지 없는 정보주체 이외로부터의 수집
5) 법정대리인의 동의 없는 만 14세 미만 아동의 개인정보 수집
6) 주민등록번호 등 타인 정보의 훼손 침해 도용
7) 해킹 등 불법수단에 의한 개인정보의 수집
8) 기망에 의한 개인정보의 수집
남은 내용은 다음날 이어서!
'자격증 > CPPG' 카테고리의 다른 글
| CPPG(개인정보관리사) 준비 및 요약 (7) (0) | 2022.08.17 |
|---|---|
| CPPG(개인정보관리사) 준비 및 요약 (5) (0) | 2022.08.16 |
| CPPG(개인정보관리사) 준비 및 요약 (3) (0) | 2022.08.15 |
| CPPG(개인정보관리사) 준비 및 요약 (2) (0) | 2022.08.14 |
| CPPG(개인정보관리사) 준비 및 요약 (1) (0) | 2022.08.10 |
