개인정보보호법 개요
개인정보보호법은 개인정보의 수집·이용·제공·파기 등 전 처리 과정을 규율하는 기본법입니다. 정보보안기사 시험에서 법령 파트는 매회 출제되며, 핵심 조항을 정확히 숙지해야 합니다.
주요 용어 정의
- 개인정보: 살아 있는 개인에 관한 정보로, 성명·주민등록번호 등 개인을 알아볼 수 있는 정보 (결합 시 알아볼 수 있는 정보 포함)
- 개인정보처리자: 업무를 목적으로 개인정보를 처리하는 공공기관, 법인, 개인 등
- 정보주체: 처리되는 개인정보의 당사자
- 수탁자: 처리자로부터 개인정보 처리를 위탁받은 자
개인정보 처리 원칙 (7가지)
- 목적 명확화: 처리 목적을 명확히 하여 최소한으로 수집
- 최소 수집: 목적에 필요한 범위 내 최소한의 개인정보 수집
- 목적 범위 내 이용·제공
- 정확성 보장: 개인정보를 정확하고 최신 상태로 유지
- 안전성 확보: 기술적·관리적·물리적 보호 조치
- 투명성 확보: 처리 사항을 정보주체에게 공개
- 정보주체 권리 보장: 열람·정정·삭제·처리정지권
정보주체의 권리
- 열람 요구권: 본인 개인정보 열람 요구
- 정정·삭제 요구권: 오류 정정 및 파기 요구
- 처리정지 요구권: 개인정보 처리 중단 요구
- 동의 철회권: 수집·이용 동의 언제든지 철회
- 이동권(2023년 추가): 정보주체가 본인 데이터를 타 사업자에 이전 요구
개인정보 국외이전 제한
- 원칙: 국외이전 시 정보주체에게 고지 후 동의 받아야 함
- 예외: 계약 이행에 필요한 경우, 충분한 개인정보 보호 수준 확인된 국가
- 표준 계약 조항(SCC) 활용 가능
GDPR (EU 개인정보보호 규정) 비교
- 적용 범위: EU 거주자 개인정보 처리하는 전 세계 기업에 적용 (역외적용)
- 정보주체 권리: 잊혀질 권리(Right to be Forgotten), 데이터 이동권, 프로파일링 거부권
- DPO(Data Protection Officer): 일정 규모 이상 기업 의무 지정
- 위반 시 제재: 전 세계 연간 매출액의 4% 또는 2,000만 유로 중 높은 금액
- 72시간 통지: 개인정보 침해 발생 시 72시간 내 감독 기관 통지 의무
가명정보와 익명정보
- 가명정보: 추가 정보 없이는 개인을 알아볼 수 없도록 처리한 정보. 통계·연구·공익 목적으로 동의 없이 활용 가능
- 익명정보: 어떠한 방법으로도 개인을 알아볼 수 없도록 처리한 정보. 개인정보보호법 미적용
시험 핵심 포인트
- 개인정보 처리 원칙 7가지: 목적명확화, 최소수집, 목적범위, 정확성, 안전성, 투명성, 권리보장
- GDPR 위반 제재: 연 매출 4% 또는 2천만 유로
- GDPR 침해 통지: 72시간 이내
- 가명정보: 동의 없이 통계·연구 활용 가능
- DPO: GDPR 의무 지정, 개인정보 처리 감독
마무리
개인정보보호법 파트는 법령 조항을 정확히 암기해야 하는 영역입니다. GDPR과의 비교 포인트와 가명정보·익명정보의 차이를 중점적으로 학습하세요.