기술신뢰자 취미생활

전체 글: 326개의 글

비밀번호 일방향 암호화 홈페이지 로그인

2016.11.03

비밀번호 일방향 암호화 홈페이지 로그인

동호회 개인정보보호 암호화

2016.11.03

동호회 개인정보보호 암호화

개인정보보호 소득세법 기부금 영수증처리

2016.11.03

개인정보보호 소득세법 기부금 영수증처리

리콜을 위한 개인정보수집시 동의여부

2016.11.03

리콜을 위한 개인정보수집시 동의여부

아파트 관리사무소 개인정보수집은 어디까지일까요

2016.11.03

아파트 관리사무소 개인정보수집은 어디까지일까요

임직원 개인정보중 채용전형시 유의사항 입니다. 입사시험 문제는 공개해야 할까요

2016.11.03

임직원 개인정보중 채용전형시 유의사항 입니다. 입사시험 문제는 공개해야 할까요

개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의

2016.11.03

개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의

퇴직급여, 연말정산, 카드회사 관련 개인정보

2016.11.03

퇴직급여, 연말정산, 카드회사 관련 개인정보

내부 임직원용 개인정보처리방침 및 인재풀 운영할 때 개인정보 유의사항입니다.

2016.11.03

내부 임직원용 개인정보처리방침 및 인재풀 운영할 때 개인정보 유의사항입니다.

복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다.

2016.11.03

복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다.

개인정보 보유기간 책정기준표

2016.10.30

개인정보 보유기간 책정기준표

2016.10.30

정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다

영리목적의 광고성 정보 전송 시 ‘광고’ 표시의무를 위반한 온라인쇼핑몰에 대한 손해배상 요구한 경우 손해배상의무를 기각했다.

2016.10.30

영리목적의 광고성 정보 전송 시 ‘광고’ 표시의무를 위반한 온라인쇼핑몰에 대한 손해배상 요구한 경우 손해배상의무를 기각했다.

인터넷 서비스 가입시 주민등록 번호를 수집한 정보통신서비스 제공자에 대한 손해배상 요구

2016.10.28

인터넷 서비스 가입시 주민등록 번호를 수집한 정보통신서비스 제공자에 대한 손해배상 요구

임직원 이메일 정보가 개인정보인지 여부

2016.10.28

임직원 이메일 정보가 개인정보인지 여부

개인정보안전성확보조치기준(행자부 고시, 2016.9.1 시행)

2016.10.27

개인정보안전성확보조치기준(행자부 고시, 2016.9.1 시행)

필수자료: 개인정보 수집,제공 작성 가이드라인

2016.10.26

필수자료: 개인정보 수집,제공 작성 가이드라인

표준개인정보보호지침(출처: 행자부 고시 제2016-21호)

2016.10.26

표준개인정보보호지침(출처: 행자부 고시 제2016-21호)

인터넷 자기게시물 접근배체요청권 가이드라인(출처: 방송통신위원회)

2016.10.26

인터넷 자기게시물 접근배체요청권 가이드라인(출처: 방송통신위원회)

운영모드 정리

2016.10.26

운영모드 정리

암호문 공격 분류

2016.10.25

암호문 공격 분류

유럽 사법재판소 판결 유동IP 주소는 개인정보

2016.10.24

유럽 사법재판소 판결 유동IP 주소는 개인정보

스마트폰앱 개인정보보호 가이드라인(한국인터넷진흥원)

2016.10.24

스마트폰앱 개인정보보호 가이드라인(한국인터넷진흥원)

사업자 개인정보보호 자율검검 체크리스트(한국인터넷진흥원)

2016.10.24

사업자 개인정보보호 자율검검 체크리스트(한국인터넷진흥원)

개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원)

2016.10.24

개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원)

KT 유출사고

2016.10.24

KT 유출사고

병원 개인정보 (0)	2017.01.12
개인정보 수탁자가 개인정보를 유출한 경우, 위탁자의 책임 여부 (0)	2016.12.17
동호회 개인정보보호 암호화 (0)	2016.11.03
개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0)	2016.11.03
퇴직급여, 연말정산, 카드회사 관련 개인정보 (0)	2016.11.03

개인정보 수탁자가 개인정보를 유출한 경우, 위탁자의 책임 여부 (0)	2016.12.17
비밀번호 일방향 암호화 홈페이지 로그인 (0)	2016.11.03
개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0)	2016.11.03
퇴직급여, 연말정산, 카드회사 관련 개인정보 (0)	2016.11.03
복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다. (0)	2016.11.03

개인정보보호 교육과 관련한 Q&A (0)	2016.12.17
직원 주민등록번호 수집, 범죄 관련 정보 수집, 가족 복지혜택 개인정보 수집 어떻게 해야 하나요 (0)	2016.11.03
아파트 관리사무소 개인정보수집은 어디까지일까요 (0)	2016.11.03
임직원 개인정보중 채용전형시 유의사항 입니다. 입사시험 문제는 공개해야 할까요 (0)	2016.11.03
개인정보 보유기간 책정기준표 (0)	2016.10.30

직원 주민등록번호 수집, 범죄 관련 정보 수집, 가족 복지혜택 개인정보 수집 어떻게 해야 하나요 (0)	2016.11.03
리콜을 위한 개인정보수집시 동의여부 (0)	2016.11.03
임직원 개인정보중 채용전형시 유의사항 입니다. 입사시험 문제는 공개해야 할까요 (0)	2016.11.03
개인정보 보유기간 책정기준표 (0)	2016.10.30
영리목적의 광고성 정보 전송 시 ‘광고’ 표시의무를 위반한 온라인쇼핑몰에 대한 손해배상 요구한 경우 손해배상의무를 기각했다. (0)	2016.10.30

임직원 개인정보중 채용전형시 유의사항 입니다. 입사시험 문제는 공개해야 할까요

Posted by techshield

2016. 11. 3. 21:20 IT, 저작권 이야기

채용전형 시 유의사항 >

○ 서류전형

- 입사지원서 및 증빙서류 등을 통한 주민등록번호 수집 불가 * 본인 확인이 필요한 경우 주소, 전화번호 등 활용

- 채용전형과 무관한 정보(정치적 성향, 가족의 직업, 신체정보 등) 수집 불가 * 채용대행사 및 시중에 유통되는 입사지원서 및 이력서 양식을 활용할 경우, 반드시 필요한 항목에 ‘필수’를 표기하여 불필요한 개인정보의 수집 방지

* 자기소개서에 전형과 무관한 사생활 정보, 민감정보 등를 기재하지 않도록 안내 - 행정편의를 위해 서류전형 단계에서 면접 및 입사 이후에 필요한 개인 정보까지 일괄적으로 수집하는 것은 금지

- 본인으로부터 직접 개인정보를 수집하는 것이 원칙이며, 제3자로부터 제공받는 것이 불가피한 경우 관련 정보주체로부터 내용(출처, 수집 내용 등)을 알려주어야 함

- 입사지원자가 제출한 각종 개인정보(학력, 경력, 자격, 성적 등)의 진위 확인이 필요한 경우, 관련 증명서 활용 * 입사지원자의 성명, 주민등록번호 등을 해당 증명서 생성(발급)기관에 제공하고 관련 증명서의 진위를 확인하는 방법은 새로운 개인정보의 수집을 수반하므로 가급적 활용하지 않는 것이 바람직함

○ 신체검사

- 직무수행 가능여부 등의 판단을 위해 신체검사를 실시할 경우, 필요한 범위에서 최소한의 건강정보를 수집해야 하며 지원자의 동의를 받아 실시 * 채용예정업무의 특성에 따라 수집 정보의 종류 및 범위를 결정

○ 합격 통보

- 합격여부는 당사자에게 직접 통보가 될 수 있도록 전화, 이메일 등을 활용(홈페이지를 통한 통보는 비밀번호 등으로 본인 확인 후 실시)

○ 전형 종료 후 파기 및 보관

- 전형 및 이의신청 절차 등이 종료된 후 입사지원자의 개인정보는 지체 없이(5일 이내) 파기하는 것이 원칙

- 인재의 수시선발 등을 위해 탈락자의 개인정보 보관 ․ 이용이 필요한 경우, 기간을 정하여 당사자로부터 별도 동의를 받아야 함

* 별도 동의를 받아서 보관․ 이용하는 중이라도 정보주체의 삭제 요구가 있는 경우 즉시 삭제 후 정보주체에게 통지

* 별도 동의를 받아서 보관하는 경우 기업이 그 동의사실에 대한 입증책임 등을 부담

입사지원자 권익보호

○ 개인정보의 제3자 제공 금지 - 입사지원자의 개인정보를 법률근거 등의 정당한 사유 없이 제3자에게 제공할 수 없으며, 제공이 필요할 경우 당사자의 동의가 있는 경우 등 제3자 제공 허용요건에 해당하는 경우 제공

○ 채용 전형을 온라인 채용대행업체 등에 위탁할 경우, 관리 감독 철저 - 입사지원자의 개인정보처리 위탁은 필수적 기재사항이 기재된 문서로 처리(표준 개인정보처리 위탁 계약서

참고) - 개인정보보호 관계 법령 위반에 따른 손해배상 책임에 대하여는 수탁자를 사용자(위탁자)의 소속직원으로 간주 * 위탁업무 내용과 개인정보 처리업무 수탁자를 정보주체가 언제든지 쉽게 확인할 수 있도록 사용자의 인터넷 홈페이지 등에 게재·공개

○ 채용시험 성적 열람요구가 있을 경우, 공개하는 것이 원칙

- 입사지원자의 채용시험 성적은 개인정보이므로 성적 열람에 대한 요구가 있는 경우 해당 정보주체가 본인임을 확인한 후 본인에게 직접 공개하는 것이 원칙 * 입사지원자의 채용시험 성적확인 요구에 대응하기 위한 절차 마련 필요

- 생명 ․ 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 등에는 열람의 제한 또는 거절 가능(개인정보 보호법 제35조 제4항)

* 다만, 시험문제 및 면접기법 등은 개인정보가 아니므로 개인정보 보호법에 따른 공개대상이 아님

출처: 개인정보보호 가이드라인 – 인사･노무편 행정자치부･고용노동부(2015)

'IT, 저작권 이야기' 카테고리의 다른 글

리콜을 위한 개인정보수집시 동의여부 (0)	2016.11.03
아파트 관리사무소 개인정보수집은 어디까지일까요 (0)	2016.11.03
개인정보 보유기간 책정기준표 (0)	2016.10.30
영리목적의 광고성 정보 전송 시 ‘광고’ 표시의무를 위반한 온라인쇼핑몰에 대한 손해배상 요구한 경우 손해배상의무를 기각했다. (0)	2016.10.30
인터넷 서비스 가입시 주민등록 번호를 수집한 정보통신서비스 제공자에 대한 손해배상 요구 (0)	2016.10.28

Trackback: Comment:

개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의

Posted by techshield

2016. 11. 3. 21:14 IT, 저작권 이야기/[TS] 정보보호

- < 개인정보 자기결정권 > - 인간의 존엄과 가치, 행복추구권을 규정한 ｢헌법｣ 제10조제1문에서 도출되는 일반적 인격권 및 ｢헌법｣ 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리 - 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리 - 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한 되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함함. - 또한 그러한 개인정보를 대상으로 한 조사 ․ 수집 ․ 보관 ․ 처리 ․ 이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당함 (헌재 2005. 5. 26. 99헌마513등, 공보 105, 666, 672)

- OECD 가이드라인

OECD 가이드라인

목적에 필요한 최소한 범위안에서 적법하고 정당하게 수집

수집 제한의 원칙

처리목적 범위 안에서 정확성·완전성·최신성 보장 정보 정확성의 원칙

처리목적의 명확화 목적 명확화 원칙

필요 목적 범위 안에서 적법하게 처리, 목적 외 활용 금지 이용 제한의 원칙

정보주체의 권리침해 위험성 등을 고려, 안전성 확보 안전성 확보 원칙

개인정보 처리사항 공개(처리방침 공개, 법 제30조) 공개의 원칙

열람청구권 등 정보주체의 권리보장 정보주체 참여 원칙

개인정보처리자의 책임준수·실천, 신뢰성 확보 노력 책임의 원칙

- 신입사원 채용을 위해 입사지원서를 받으려고 합니다. 개인정보를 얻기 위해서 지원자의 동의를 받아야 하나요?

답변) 민감정보, 고유식별정보를 제외하고 채용을 위해 필요한 최소한의 개인정보에 관하여는 동의 없이 수집할 수 있습니다. ○ ‘계약의 체결’에는 계약 체결을 위한 준비단계도 포함됩니다. 회사가 근로계약 체결 전에 지원자의 이력서 등을 수집 ․ 이용하는 경우가 이에 해당됩니다. ○ 일반적으로 주민번호는 채용 전형을 위해서는 수집할 수 없으며, 법령에 구체적인 근거가 있는 경우에만 수집 가능합니다. ○ 최소한의 개인정보 예시 - 지원자를 확인하는데 필요한 이름, 생년월일 - 지원자와 연락하는데 필요한 연락처, 주소 - 지원자의 직무수행능력을 평가하는데 필요한 학력, 성적, 자격사항 등 (채용예정 직위의 직무수행을 위해 관련 학력, 경력이 요구되는 경우) ○ 참고로 온라인 채용사이트 운영자 및 채용대행사 등은 구직자에게 개인정보 처리에 대해 구체적으로 안내하고 동의를 받은 후 동의 받은 범위에서만 관련 정보를 활용 ․ 제공하여야 합니다. ※ 관련법률 : 개인정보 보호법 제15조(개인정보의 수집․ 이용) 제1항 제4호, 위반 시 5천만원 이하의 과태료

출처: 개인정보보호 가이드라인 – 인사･노무편 행정자치부･고용노동부(2015)

'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글

비밀번호 일방향 암호화 홈페이지 로그인 (0)	2016.11.03
동호회 개인정보보호 암호화 (0)	2016.11.03
퇴직급여, 연말정산, 카드회사 관련 개인정보 (0)	2016.11.03
복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다. (0)	2016.11.03
정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다 (0)	2016.10.30

Trackback: Comment:

퇴직급여, 연말정산, 카드회사 관련 개인정보

Posted by techshield

2016. 11. 3. 00:27 IT, 저작권 이야기/[TS] 정보보호

사용자가 「근로자퇴직급여 보장법」에 따라 퇴직연 금사업자와 퇴직연금운용관리계약 또는 자산관리 계약을 체결하여 연금 또는 자산을 관리하도록 하 는 경우, 직원의 개인정보를 퇴직연금사업자에게 제공할 때 직원의 동의가 필요한가요?

o 사용자가 퇴직연금운용관리계약 또는 자산관리계약을 체결하여 퇴직금제도에 관한 자신의 업무를 퇴직연금사업자에게 위탁하고 근 로자의 개인정보를 제공하는 경우 ｢개인정보 보호법｣ 제26조에 따른 업무위탁에 따른 것으로 직원의 동의를 받지 않아도 됩니다. o 다만, 이 경우에도 퇴직연금사업자는 퇴직연금가입자의 성명, 주소 등의 개인정보를 퇴직연금의 운용과 관련된 업무수행에 필요한 범위 에서만 사용하여야 합니다.

회사가 직원교육, 연말정산업무를 외부교육업체, 연 말정산업체에 위탁하는 경우 직원의 개인정보를 제 공할 때 동의를 받아야 하는지?

o 회사는 ｢개인정보 보호법｣ 제26조에 따라 개인정보처리가 수 반되는 업무인 직원교육 및 직원의 연말정산업무를 외부 업체에 위탁할 수 있으며, 위탁업무 수행을 위해 직원의 개인정보를 제 공하는 경우 직원의 동의를 필요로 하지 않습니다. o 다만, 이 경우에도 직원교육, 연말정산 등 근로자 개인정보처 리가 수반되는 업무의 위탁은 반드시 문서에 의하여야 하며, 위 탁업무 내용을 직원이 언제든지 쉽게 확인할 수 있도록 내부 게 시판 등을 통해 직원들에게49 공개하여야 합니다.

카드회사로부터 직원의 재직유무, 근무부서, 직위 등의 개인정보를 문의하는 경우 알려줄 수 있는지?

o 회사는 ｢개인정보 보호법｣ 제18조제2항제1호에 따라 재직유무, 근무 부서, 직위 등을 카드회사에게 알려주기 위해서는 해당 직원의 별도의 동의를 받아야 합니다. o 신용카드사업자는 ｢여신전문금융업법｣ 제14조 및 동법 시행령 제6 조의7에 따라 신용카드 또는 직불카드를 발급하기 전에 카드신청자의 재직여부 등을 확인할 필요가 있는 경우 카드신청자에게 재직증명서 등을 제출하도록 한 후 제출된 재직증명서의 진위여부를 회사에 확인 할 수 있습니다.

출처: 개인정보보호종합포털

'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글

동호회 개인정보보호 암호화 (0)	2016.11.03
개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0)	2016.11.03
복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다. (0)	2016.11.03
정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다 (0)	2016.10.30
운영모드 정리 (0)	2016.10.26

Trackback: Comment:

내부 임직원용 개인정보처리방침 및 인재풀 운영할 때 개인정보 유의사항입니다.

Posted by techshield

2016. 11. 3. 00:25 IT, 저작권 이야기/[TS] 사례연구

1. 내부 임직원용 개인정보처리방침과 개인정보 수집ㆍ이용 동의서의 개인정보 수집 목적에 주요 업무, 주요 서비스를 명기하고 기타 관련사항들은 업무지원이라고 포괄적으로 명시할 수 있나요 ?

개인정보처리방침을 공개하고 및 개인정보 수집ㆍ이용 동의서를 징 구하는 이유는 정보주체에게 개인정보처리자의 개인정보처리현황을 알리기 위한 것이므로 개인정보 수집·이용 목적은 최대한 구체적으로 가능한 업무목적을 기재하셔야 합니다. o 구체적으로 명시한 수집ㆍ이용 목적 외에 부수적인 업무목적을 모두 나열하기가 어려운 경우 ‘기타 업무지원’이라고 표기할 수 있으나, 이 경우에도 '기타 업무지원 등'에 대한 내용은 정보주체들이 예측가능하 고 합리적인 범위내의 업무나42 서비스를 의미해야 합니다.

2. 채용시 입사지원자의 개인정보를 수집ㆍ이용할 때 유의 사항은

무엇인가요?

회사는 ｢개인정보 보호법｣ 제15조제1항제4호에 따라 채용을 위하여 반드시 필요한 개인정보는 입사지원자의 동의 없이 수집하여 이용할 수 있으며, 채용계약 체결을 위한 필수적인 정보가 아닌 경우 ｢개인정 보 보호법｣ 제15조제1항제1호에 따라 반드시 입사지원자의 동의를 받 아야 합니다.

채용과정이 종료되면 입사지원자의 개인정보는 더 이상 불필요하게 되었으므로, 회사는 탈락자의 개인정보를 지체없이 파기하여야 합니다. 다만, 인재 DB 등을 구축하여 상시채용시스템을 운영하는 경우 보유기 간을 명시하고 입사지원자의43동의를 받아 보관할 수 있습니다.

3. 회사감사부서에서 감사의 목적으로 임직원 가족의 주민등록번호, 주소, 성명, 연락처 등을 이용하여 임직원의 비리를 조사할 수 있나요?

회사는 ｢개인정보 보호법｣ 제15조제1항에 따라 수집한 개인정보를 수집한 목적 범위에서만 이용해야 하므로, 복리후생제공 등을 위해 수 집한 직원가족의 개인정보를 감사목적으로 이용하기 위해서는 ｢개인정 보 보호법｣ 제18조제2항제1호에 따라 직원가족의 별도의 동의를 받아 야 합니다.

출처: 개인정보보호종합포털

'IT, 저작권 이야기 > [TS] 사례연구' 카테고리의 다른 글

개인정보는 개인에 관한 정보이여야 한다 (0)	2017.01.09
공공기관은 고객만족도 조사를 위해 고객의 동의 없이 개인정보 처리 (0)	2016.12.17
내부 직원에 대한 교육실시, 교육 성적 관리·처리 업무 등을 외부 업체에 (0)	2016.12.17
학원 수강생의 합격 및 수상 내용을 학원 홍보에 이용 가능 여부 (0)	2016.12.17
임직원 이메일 정보가 개인정보인지 여부 (0)	2016.10.28

Trackback: Comment:

복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다.

Posted by techshield

2016. 11. 3. 00:16 IT, 저작권 이야기/[TS] 정보보호

회사가 복지서비스를 제공하기 위해 근로자 또는 근로자 가족의 개인 정보를 수집하면서 동의를 얻어야 하는지 여부 회사가 근로자의 복리후생을 위해 가족의 이름, 생년월일, 연락처 등의 개인 정보를 수집하는 경우, 가족구성원의 동의를 받아야 하나요?

｢근로복지기본법｣상 회사는 근로자 및 근로자의 가족에 대한 복리후생 제공을 위하여 가족의 개인정보를 가족구성원의 동의 없이 수집·이용할 수 있습니다. 상세설명 사업자가 정보주체의 개인정보를 이용하여 서비스를 제공하기 위해서는 정보주체로부터 개인정보 수집·이용 동의를 획득하여야 하며, 법률의 특별한 규정이 있는 경우, 법령상 의무를 준수하기 위하여 불가피한 경우, 계약의 체결·이행에 불가피한 경우 등에는 정보 주체의 동의 없이도 개인정보를 수집·이용할 수 있습니다.

본 사안의 경우, 회사에서는 ｢근로복지기본법｣에 따라 자녀 학비 지원, 직계존속 건강 진단, 주택지원 등 근로자 및 근로자 가족에 대한 복지를 제공해야 합니다. 또한, 복지 제공이 근로조건에 포함되어 있다면, ‘근로 계약의 체결·이행에 필요한 경우’에도 필요합니다. 따라서 근로자 가족의 개별적 동의가 없더라도 개인정보 수집·이용이 가능합니다. 그러나 주민등록번호 등 고유식별정보는 법령에서 구체적으로 요구 및 허용하는 경우를 제외하고 정보주체의 별도 동의를 받아야 합니다. 23 다만, 부득이하게 가족관계 및 연령확인 등을 위한 가족관계증명서 등을 확인할 경우 에는 가족의 주민등록번호 뒷자리가 노출되지 않도록 처리한 후, 제출하는 것이 바람직 합니다.

'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글

개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0)	2016.11.03
퇴직급여, 연말정산, 카드회사 관련 개인정보 (0)	2016.11.03
정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다 (0)	2016.10.30
운영모드 정리 (0)	2016.10.26
암호문 공격 분류 (0)	2016.10.25

Trackback: Comment:

개인정보 보유기간 책정기준표

Posted by techshield

2016. 10. 30. 19:15 IT, 저작권 이야기

개인정보는 목적 범위 내에서만 사용하고 목적 달성시 파기하는 것이 원칙입니다.

다만,

제60조(개인정보파일 보유기간의 산정) ① 보유기간은 전체 개인정보가 아닌 개별 개인정보의 수집부터 삭제까지의 생애주기로서 보유목적에 부합된 최소기간으로 산정하되, 개별 법령의 규정에 명시된 자료의 보존기간에 따라 산정해야 한다.
② 개별 법령에 구체적인 보유기간이 명시되어 있지 않은 경우에는 개인정보 보호책임자의 협의를 거쳐 기관장의 결재를 통하여 산정해야 한다. 다만, 보유기간은 별표 1의 개인정보파일 보유기간 책정 기준표에서 제시한 기준과「공공기록물 관리에 관한 법률 영」에 따른 기록관리기준표를 상회할 수 없다.
③ 정책고객, 홈페이지회원 등의 홍보 및 대국민서비스 목적의 외부고객 명부는 특별한 경우를 제외하고는 2년을 주기로 정보주체의 재동의 절차를 거쳐 동의한 경우에만 계속하여 보유할 수 있다.

는 규정을 참조하시고, 다음과 같은 책정기준표를 참고할 수 있습니다.

개인정보파일 보유기간 책정 기준표
보유기간
대상 개인정보파일

- 영구
1. 국민의 지위, 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일
2. 국민의 건강증진과 관련된 업무를 수행하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일

- 준영구
1. 국민의 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 개인이 사망, 폐지 그 밖의 사유로 소멸되기 때문에 영구 보존할 필요가 없는 개인정보파일
2. 국민의 신분증명 및 의무부과, 특정대상 관리 등을 위하여 행정기관이 구축하여 운영하는 행정정보시스템의 데이터 셋으로 구성된 개인정보파일

- 30년
1. 관계 법령에 따라 10년 이상 30년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일

- 10년
1. 관계 법령에 따라 5년 이상 10년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일

- 5년
1. 관계 법령에 따라 3년 이상 5년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일

- 3년
1. 행정업무의 참고 또는 사실 증명을 위하여 1년 이상 3년 미만의 기간 동안 보존할 필요가 있는 개인정보파일
2. 관계 법령에 따라 1년 이상 3년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일
3. 각종 증명서 발급과 관련된 개인정보파일(단 다른 법령에서 증명서 발급 관련 보유기간이 별도로 규정된 경우 해당 법령에 따름)

- 1년
1. 상급기관(부서)의 요구에 따라 단순 보고를 위해 생성한 개인정보파일

'IT, 저작권 이야기' 카테고리의 다른 글

아파트 관리사무소 개인정보수집은 어디까지일까요 (0)	2016.11.03
임직원 개인정보중 채용전형시 유의사항 입니다. 입사시험 문제는 공개해야 할까요 (0)	2016.11.03
영리목적의 광고성 정보 전송 시 ‘광고’ 표시의무를 위반한 온라인쇼핑몰에 대한 손해배상 요구한 경우 손해배상의무를 기각했다. (0)	2016.10.30
인터넷 서비스 가입시 주민등록 번호를 수집한 정보통신서비스 제공자에 대한 손해배상 요구 (0)	2016.10.28
필수자료: 개인정보 수집,제공 작성 가이드라인 (0)	2016.10.26

Trackback: Comment:

정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다

Posted by techshield

2016. 10. 30. 12:41 IT, 저작권 이야기/[TS] 정보보호

TS Comment:

cctv 영상정보도 개인정보에 해당하므로, 무단으로 제3자 제공은 금지됩니다.

1. 사건의 개요

◦신청인들은 피신청인이 관리하는 아파트에 거주하는 선거관리위원으로 주민의 요청에

따라 뇌물을 수수한 입주자대표의 해임투표를 진행하고 이 결과를 아파트 게시판에

부착하였다.

◦피신청인은 신청인들이 아파트게시판에 해임투표결과를 부착하는 내용이 촬영된

CCTV정보와 선거인명부를 동의 없이 제3자인 입주자대표에게 제공하였고, 입주자

대표는 피신청인이 제공한 정보를 이용하여 신청인들을 명예훼손으로 고소하였다.

◦이에, 신청인들은 정보주체의 동의 없이 CCTV영상정보 및 선거인명부를 제3자

(입주자대표)에게 제공한 아파트관리사무소에 대한 손해배상 및 제도개선을 요구하는

분쟁조정을 신청하였다.

2. 피신청인의 주장

◦피신청인은 입주자대표에게 CCTV영상정보를 제공한 것은 「주택법」 시행규칙 제24조의

3 및 아파트관리규약에 따라 ‘범죄의 수사와 공소의 제기 및 유지에 필요한 경우’에

해당된다고 판단하였기 때문이라고 하고, 선거인명부는 제공하지 않았다고 소명함

◦또한, 신청인들이 불법선거를 저질러 입주민간의 질서를 어지럽히고도 선거 목적을

달성하지 못하자 이해당사자가 아닌 관리사무소에 개인에 대한 손해를 주장하고

있는바, 이는 신청인들의 분풀이라고 보여 진다고 주장함

3. 사실조사

가. 피신청인에 대한 법률적용 여부

◦피신청인은 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른

사람을 통하여 개인정보를 처리하는 자로서, 「개인정보 보호법」의 “개인정보처리자”에

해당하여 이 법의 적용을 받음

나. 신청인들과 피신청인과의 관계

◦신청인들은 OOOOO아파트의 입주민으로 입주자대표회의의 선거관리위원이며, 피

신청인은 동 아파트의 관리주체인 관리사무소임

다. 피신청인이 CCTV영상정보를 수집 및 입주자대표에게 제공한 경위

◦피신청인은「주택법」제55조, 동법 시행규칙 및 관리규약에 의하여 아파트단지내의

질서를 유지하도록 되어있으며, 이에 따라 CCTV를 설치해서 운영하고 있음

◦신청인들이 입주자대표 해임투표결과를 게시한 행위는 피신청인의 아파트관리규약을

위반한 행위이기 때문에 게시행위가 촬영된 CCTV영상정보를 저장 및 해당 게시물을

철거하였고, 그 사실을 서면으로 기록하여 보관하였다고 소명함

◦또한, 피신청인은 이 사안의 CCTV영상을 입주자대표의 요청에 따라 제공하였다고

소명함

라. 피신청인이 선거인명부를 수집한 경위

◦신청인들은 입주자대표 해임투표를 아파트관리사무소 선거관리위원회의 승인을 받지

않고 진행한 후에, ‘선거실시’의 승인을 요청하기 위해 선거인명부를 포함한 선거관련

문서를 피신청인에게 제공하였고 피신청인은 이를 보관함

제1절 침해유형별조정사례 81

마. 피신청인이 선거인명부를 제3자에게 제공하였는지 여부

<신청인 주장>

◦신청인들은 피신청인에게 선거인명부, 해임투표결과공고 등 해임투표와 관련된 자료를

제공했으며 피신청인은 이 자료를 보관하던 중에 정보주체의 동의 없이 해당자료를

입주자대표에게 제공하였다고 주장함

<피신청인 주장>

◦피신청인은 신청인들로부터 선거인명부와 해임투표 관련자료를 제공받았지만 선거인

명부는 입주자대표에게 제공하지 않았다고 소명함

<사실조사결과>

◦피신청인이 입주자대표에게 선거인명부를 제공하였는지 여부에 대하여는 양 당사자가

주장하는 바가 다르고, 이를 입증할 만한 자료가 없어 진위여부를 확인할 수 없었음

바. 피신청인이 CCTV영상정보를 제3자에게 제공한 경위

◦피신청인은 「주택법」 시행규칙 제24조의3 제3호 ‘범죄의 수사와 공소의 제기 및

유지에 필요한 경우’에 해당한다고 판단하여 촬영 자료를 열람·제공했다고 소명함

4. 위원회 의견

가. 피신청인이 신청인들의 개인정보를 동의 없이 제3자(입주자대표)에게 제공한 행위에

대한 책임유무

◦｢개인정보 보호법｣ 제18조(개인정보의 목적 외 이용·제공 제한) 에서는 “개인정보

처리자는 개인정보를 최초 개인정보의 수집·이용에 따른 범위를 초과하여 이용하거나

제3자에게 제공하여서는 아니된다”고 규정한다.

｢주택법｣ 시행규칙 제24조의3(촬영자료 열람·제공 등의 제한) 에서는 “관리주체는

폐쇄회로 텔레비전의 촬영자료를 보안 및 방범 목적 외의 용도로 활용하거나 타인에게

열람하게 하거나 제공하여서는 아니 된다”고 규정한다.

｢표준 개인정보 보호지침｣ 제44조 제1항에서는 “영상정보처리기기운영자는 ① 정보

주체에게 동의를 얻은 경우 ② 다른 법률에 특별한 규정이 있는 경우 ③ 정보주체

또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전

동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체,

재산의 이익을 위하여 필요하다고 인정되는 경우 등을 제외하고는 개인영상정보를

수집 목적이외로 이용하거나 제3자에게 제공하여서는 아니된다”고 규정한다.

[민간분야 영상정보처리기기 설치·운영 가이드라인](행정자치부)에서는 “범죄수사와

공소제기 유지를 위해 수사기관 등에서 개인정보가 포함된 자료제출을 요구하는 경

우 원칙적으로 법관의 영장이나 법원의 제출명령이 있는 경우에만 본인 동의 없이

제공할 수 있다”고 설명한다. 이는 CCTV영상정보 유출시 그 위험성이 크기 때문에

일반 개인정보 제3자 제공의 요건보다 엄격하게 규제하여 CCTV영상정보의 보호를

두텁게 하기 위한 것으로 해석된다.

◦사안에서 피신청인이 신청인들의 모습이 담긴 CCTV영상정보를 제3자인 입주자대표

에게 제공하기 위해서는 정보주체인 신청인들로부터 동의, 다른 법률의 특별한 규정이

있거나, 또는 법관의 영장이나 법원의 제출명령이 있어야 하나, 그러한 절차를 거치지

아니하였으므로 피신청인이 입주자대표에게 개인정보를 제공한 행위는 ｢개인정보

보호법｣ 제18조 및 ｢주택법｣ 시행규칙 제24조의3 규정을 위반하였다고 판단되어

아래와 같이 결정한다.

5. 위원회 결정

◦이 사건에서 피신청인은 신청인들의 개인정보가 포함된 영상정보를 신청인들로부터

동의를 받지 않고 제3자에게 제공함으로써, 신청인들로 하여금 자신의 개인정보에

대한 오·남용 우려 등 정신적 피해를 입혔음이 인정되므로, 신청인들에게 각각 금

200,000원의 손해배상금을 지급하여야 한다.

◦또한, 피신청인이 처리하고 있는 입주민들의 개인정보를 보호하기 위한 방안을 마련

해야 할 것이며, 개인정보를 취급하는 직원에 대한 개인정보보호 관련 법령 및 인식

제고 교육을 실시해야 하고, 재발방지를 위해 필요한 계획을 수립하고 이행하여야

한다. 해당계획서는 서면으로 우리 위원회에 제출하고, 이행이 완료되는 시점에 그

이행 결과를 통보하여야 한다.

출처: 개인정보보호 분쟁사례집

'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글

개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0)	2016.11.03
퇴직급여, 연말정산, 카드회사 관련 개인정보 (0)	2016.11.03
복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다. (0)	2016.11.03
운영모드 정리 (0)	2016.10.26
암호문 공격 분류 (0)	2016.10.25

Trackback: Comment:

영리목적의 광고성 정보 전송 시 ‘광고’ 표시의무를 위반한 온라인쇼핑몰에 대한 손해배상 요구한 경우 손해배상의무를 기각했다.

Posted by techshield

2016. 10. 30. 12:35 IT, 저작권 이야기

영리목적의 광고성 정보 전송 시 광고 표시 의무 관련 분쟁조정사례입니다.

1회라는 점도 주목할 필요가있어 보입니다.

1. 사건의 개요

◦신청인은 2015. 4. 2. 피신청인이 운영하는 온라인 쇼핑몰 ‘OOO몰’로부터, 영리

목적의 광고성 이메일을 수신하였는데, 피신청인이 발송한 이메일 제목에는 “(광고)”

라는 문구가 표시되어 있지 않았다.

◦이에 신청인은 광고성 정보 발송 시 표시의무를 위반한 피신청인에 대하여 정신적

손해배상을 요구하는 분쟁조정을 신청하였다.

2. 피신청인의 주장

◦해당 민원 건은 ‘15.4.2. 당사가 “(광고)”문구를 누락한 채 신청인에게 광고성 이메일을

발송하였고, 이에 대하여 신청인이 한국인터넷진흥원 불법스팸대응센터에 신고 접수 함

(’15.4.14.)

- ‘15.4.16. 한국인터넷진흥원 불법스팸대응센터에 소명자료를 제출하였으나, 신청인이

동일 내용으로 분쟁조정을 신청한 건임

◦당사는 기존 광고성 메일 전송 시에는 “(광고)”문구를 누락 없이 기재하여 발송해

왔으며, 디폴트로 “(광고)” 문구가 들어가 있기는 하지만, 광고 메일 외에 공지메일

등을 전송 할 경우에는 제목에서 “(광고)” 문구를 삭제해서 보내야하기 때문에 담당자가

제목 수정 시 삭제하고 발송해 왔음

- 본 건은 이메일 발송 작업 진행 시, 담당자가 제목을 수정하는 과정에서 실수로

앞의 “(광고)” 부분까지 삭제해서 신청인이 해당 이메일을 받아보게 된 건으로,

2015 개인정보분쟁조정 사례집

현재 이메일 발송시스템에 “광고문구 체크박스”를 만들어 광고 이메일 발송 시

“(광고)” 문구를 체크 할 수 있도록 하고, “(광고)”문구를 삭제할 경우에는 ‘안내

메시지 팝업’을 통하여 재차 체크할 수 있도록 개선 조치하였음

3. 사실관계 조사

가. 피신청인에 대한 법률적용 여부

◦피신청인은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 규정된 “전자적

전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자”에 해당되어, 이 법의

규정을 적용함

나. 피신청인과 신청인과의 관계

◦신청인은 피신청인이 운영하는 홈페이지의 통합 회원으로, 광고목적의 이메일 수신에

동의하였으며 현재까지 수신동의 관련 사항이 변동된 이력은 없는 것으로 확인됨

다. 피신청인이 신청인에게 광고성 정보 발송 시 제목 부분에“(광고)”표시를 하였는지

여부

◦피신청인이 운영하는 온라인 쇼핑몰 ‘OOO몰’은 ‘15년 1월 부터 ’15년 4월까지 약

180여회 신청인에게 광고성 정보를 발송하였고, 이 기간 중 ‘15. 4. 2. 발송된 해당

이메일 1회를 제외하고는 제목에 (광고)표시 의무를 준수한 것으로 확인됨

4. 위원회 의견

◦｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣(이하 “정보통신망법”이라 한다)

제50조(영리목적의 광고성 정보 제한) 제4항에서는 영리목적의 광고성 정보를 전자

우편이나 그 밖에 대통령령으로 정하는 매체를 이용하여 전송하는 자는 대통령령으로

제3장 주요 피해구제 사례분석

제1절 침해유형별조정사례 95

정하는 바에 따라, 전송정보의 유형 및 주요내용, 전송자의 명칭 및 연락처, 수신

거부의 의사표시를 쉽게 할 수 있는 조치 및 방법에 관한 사항 등에 대하여 광고성

정보에 구체적으로 밝혀야 한다고 규정한다.

같은 법 시행령 제61조(영리목적의 광고성 정보 전송기준) 제3항에서는 법 제50조

제4항에 따라 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는

해당 정보의 제목이 시작되는 부분에“(광고)”표시를 명시해야 한다고 규정한다.

◦사안에서 피신청인이 신청인에게 발송한 이메일의 내용은 판매제품에 대한 소개 및

할인 등 이벤트에 대한 정보로 ｢정보통신망법｣에 규정된 영리목적의 광고성 정보에

해당한다고 판단되는바, 피신청인은 이를 전자우편 등을 통하여 신청인에게 전송할

경우, 관련법령에 규정된 의무를 준수하여야 하나, 제목 시작 부분에 “(광고)”표시를

하지 않는 등 표시의무를 준수하지 않음으로써, ｢정보통신망법｣ 제50조 제4항 등

관련 규정을 충실히 이행하지 않은 것으로 판단된다. 그러나 이로 인하여 신청인에게

정신적으로 위자할 만한 손해가 발생하였다고 보기는 어렵다고 판단되어 아래와 같이

결정한다.

5. 위원회 결정

◦｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣(이하 “정보통신망법”이라 한다)

제50조(영리목적의 광고성 정보 제한) 제4항에서는 영리목적의 광고성 정보를 전자

우편이나 그 밖에 대통령령으로 정하는 매체를 이용하여 전송하는 자는 대통령령으로

제3장 주요 피해구제 사례분석

제1절 침해유형별조정사례 95

정하는 바에 따라, 전송정보의 유형 및 주요내용, 전송자의 명칭 및 연락처, 수신

거부의 의사표시를 쉽게 할 수 있는 조치 및 방법에 관한 사항 등에 대하여 광고성

정보에 구체적으로 밝혀야 한다고 규정한다.

같은 법 시행령 제61조(영리목적의 광고성 정보 전송기준) 제3항에서는 법 제50조

제4항에 따라 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는

해당 정보의 제목이 시작되는 부분에“(광고)”표시를 명시해야 한다고 규정한다.

◦사안에서 피신청인이 신청인에게 발송한 이메일의 내용은 판매제품에 대한 소개 및

할인 등 이벤트에 대한 정보로 ｢정보통신망법｣에 규정된 영리목적의 광고성 정보에

해당한다고 판단되는바, 피신청인은 이를 전자우편 등을 통하여 신청인에게 전송할

경우, 관련법령에 규정된 의무를 준수하여야 하나, 제목 시작 부분에 “(광고)”표시를

하지 않는 등 표시의무를 준수하지 않음으로써, ｢정보통신망법｣ 제50조 제4항 등

관련 규정을 충실히 이행하지 않은 것으로 판단된다. 그러나 이로 인하여 신청인에게

정신적으로 위자할 만한 손해가 발생하였다고 보기는 어렵다고 판단되어 아래와 같이

결정한다.

출처: 개인정보분쟁조정사례집

'IT, 저작권 이야기' 카테고리의 다른 글

임직원 개인정보중 채용전형시 유의사항 입니다. 입사시험 문제는 공개해야 할까요 (0)	2016.11.03
개인정보 보유기간 책정기준표 (0)	2016.10.30
인터넷 서비스 가입시 주민등록 번호를 수집한 정보통신서비스 제공자에 대한 손해배상 요구 (0)	2016.10.28
필수자료: 개인정보 수집,제공 작성 가이드라인 (0)	2016.10.26
표준개인정보보호지침(출처: 행자부 고시 제2016-21호) (0)	2016.10.26

Trackback: Comment:

인터넷 서비스 가입시 주민등록 번호를 수집한 정보통신서비스 제공자에 대한 손해배상 요구

Posted by techshield

2016. 10. 28. 00:23 IT, 저작권 이야기

환자 보호자의 주민등록번호를 동의 없이 수집한
의료기관에 대한 제도개선 요구

- 손해배상 청구를 기각한 사례입니다.

1. 사건개요
◦2015.7.29. 신청인은 유선을 통하여 피신청인의 고객센터 상담원과 인터넷서비스 신규가입에 대한 상담을 진행하였다.
◦상담과정에서 신청인이 서비스 가입 의사를 명확히 밝히지 않는 등 신규가입 절차가
원만히 진행되지 않았음에도 불구하고, 피신청인의 상담원은 신청인의 주민등록번호등 개인정보를 수집하였다.
◦이에 신청인은 서비스 가입 문의 시 주민등록번호를 수집한 피신청인에 대하여 손해배상을 요구하는 분쟁조정을 신청하였다.

2. 피신청인 주장
◦신청인과 당사 상담원과의 서비스 무료제공 개월 수에 대하여 조율이 되지 않은 상태
에서 가입절차가 진행되어 발생한 건으로, 당사는 고객에게 상품가입 진행 시 상품설명에 대해서 충분히 제공하고, 고객이 명확한 가입의사를 밝힌 경우 개인정보를 수취하여 가입을 진행하겠음
◦또한 재발방지를 위해서 고객센터 내부적으로 개인정보 취득 전 고객동의를 확인 후 진행하여 개인정보를 좀 더 민감하게 다룰 수 있도록 노력하겠음

3. 사실조사
가. 피신청인에 대한 법률적용 여부
◦피신청인은 「전기통신사업법」의 기간통신사업자로서 「정보통신망 이용촉진 및 정보
보호 등에 관한 법률」에 따른 정보통신서비스 제공자에 해당되어 이 법의 적용을 받음
나. 피신청인과 신청인과의 관계
◦신청인은 피신청인이 제공하는 인터넷 및 이동통신 서비스 관련 이용사실이 없음
다. 피신청인이 신청인의 주민등록번호를 수집한 상세경위
◦신청인은 2015.7.29. 인터넷 및 TV 서비스 신규가입을 위하여 피신청인의 고객센터와 유선상담을 진행함
◦상담 시, 신규가입과 관련한 프로모션 사항에 대하여 신청인 및 피신청인 간 합의점을찾지 못한 상태로 통화가 계속됨
◦계속된 통화에도 프로모션 조건에 대하여 신청인과 합의점을 찾지 못하자, 피신청인의상담원은 자신의 개인 휴대전화 번호를 알려 드릴테니, 가입 가능하실 때 연락주시면도움을 드리겠다고 응대 하면서, 신청인의 성명, 주민등록번호, 주소 등 개인정보를수집함
◦피신청인의 상담원은 통화 초반 일반 대리점에서는 현금 2-30만원을 지급한다는
신청인의 주장에, 그것은 불법으로 받으시게 되면 환수 당할 수 있으니 절대 받으시면 안된다고 수차례 안내하였으나, 신청인과의 언쟁 이후 통화 종료 직전에는 현금2-30만원을 받으실 수 있는 방법을 확인했다며 신청인에게 일반 대리점을 통해가입하는 것을 권고 하는 등 일관된 안내를 하고 있지 않았던 것으로 확인됨
라. 유선을 통하여 피신청인의 인터넷 및 TV 등 서비스 가입 시 주어지는 프로모션에대하여 단순문의 하였을 경우, 이루어지는 절차
◦피신청인은 단순한 프로모션 문의에 대해서는 개인정보를 취득하지 않고 있으며, 문의후 가입 의사를 밝힌 경우에만 가입 진행을 위해 개인정보를 수집한다고 소명함
마. 유선을 통하여 피신청인의 인터넷 및 TV 등 서비스에 대한 가입의사를 밝혔을 경우,이루어지는 절차
◦고객이 가입의사를 나타냈을 경우, 피신청인은 이름, 주민번호, 주소를 확인하여설치가 가능한 지역인지 확인 후, 휴대전화 인증 등으로 본인확인을 진행함
- 이후 기타 사항(요금 납부방법, 설치일 등)에 대하여 확인하고, 개인정보 활용에대한 고지 및 고객 동의를 얻으면 가입이 종료됨

4. 위원회 의견
◦｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣(이하 ‘정보통신망법’이라 한다)
제22조(개인정보의 수집․이용 동의 등)제1항에서는 정보통신 서비스 제공자는 이용자의
개인정보를 수집하는 경우에는 개인정보의 수집·이용 목적, 수집하는 개인정보의
항목, 개인정보의 보유 및 이용기간 등을 이용자에게 알리고 동의를 받아야 한다고
규정한다.
◦사안에서 신청인은 피신청인의 인터넷․TV서비스의 신규가입을 위하여 피신청인과
상담을 진행하였고, 해당 서비스에 가입하지 않았음에도 주민등록번호 등 개인정보를 피신청인에게 제공하였다. 그러나 상담내용을 살펴보면, 긴 상담통화 과정에서 신청인과피신청인은 자신이 주장하는 서비스 가입조건 등에 대하여 서로가 동의한 것으로오인함에 따라 신규 가입을 위해 필요한 개인정보가 수집된 것이고, 이것은 신청인과피신청인 간 명확한 의사소통이 이루어지지 않아 발생된 상황으로, 위와 같은 상황을종합적으로 고려하였을 때, 이용자의 개인정보 수집·이용 시 동의 절차를 충실히이행하지 않은 피신청인의 책임은 인정되나, 이로 인하여 신청인이 금전적으로 배상할만한 정신적 피해를 입었다고 보기는 어렵다고 판단되어 아래와 같이 결정한다.

5. 위원회 결정
◦신청인의 피신청인에 대한 손해배상 청구를 기각한다.
◦피신청인은 고객의 유선 문의 또는 서비스 가입절차 진행시, 수집․이용하는 개인정보에 대하여 관련법령에 따라 명확히 고지하고, 동의를 얻을 수 있도록 절차를 개선하고,고객센터 등 고객 문의사항에 대응하는 직원들에 대한 개인정보보호 관련 법령 및 인식제고 교육 등 재발방지 조치에 필요한 계획을 수립하고 이행하여야 한다. 해당계획서는 서면으로 우리 위원회에 제출하고, 이행이 완료되는 시점에 그 이행 결과를
통보하여야 한다.

출처: 개인정보 분쟁조정 사례집

'IT, 저작권 이야기' 카테고리의 다른 글

개인정보 보유기간 책정기준표 (0)	2016.10.30
영리목적의 광고성 정보 전송 시 ‘광고’ 표시의무를 위반한 온라인쇼핑몰에 대한 손해배상 요구한 경우 손해배상의무를 기각했다. (0)	2016.10.30
필수자료: 개인정보 수집,제공 작성 가이드라인 (0)	2016.10.26
표준개인정보보호지침(출처: 행자부 고시 제2016-21호) (0)	2016.10.26
인터넷 자기게시물 접근배체요청권 가이드라인(출처: 방송통신위원회) (0)	2016.10.26

Trackback: Comment:

임직원 이메일 정보가 개인정보인지 여부

Posted by techshield

2016. 10. 28. 00:15 IT, 저작권 이야기/[TS] 사례연구

개인정보의 개념

회사에서 직원의 개인정보파일을 만들려고 하는데 직원들의 이메일이 개인

정보에 해당하나요?

개인정보는 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을

통하여 개인을 알아볼 수 있는 정보뿐만 아니라, 해당 정보만으로는 특정 개인을

알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것은 모두

개인정보에 포함됩니다.

※ 성명, 이메일 주소, 특히 주민등록번호는 원고들 개개인에 대한 식별수단으로서 그 유출로

인하여 신분도용의 문제까지 발생할 수 있는 중요 정보이고, 더구나 이들 정보가 ‘성명, 주민등록번호, 이메일 주소’ 또는 ‘성명, 이메일 주소’의 형태로 서로 결합됨으로써 개인의 식별가능성이 훨씬 커지며, 상품이나 서비스를 제공하는 사업자에게는 홍보활동 등의 유용한 영업수단이 된다고 볼 수 있음(서울고법 2007.11.27. 선고 2007나33059 판결)

상세설명

일반적으로 개인정보란 생존하는, 개인에 관한 정보로서 특정 개인을 식별하거나

식별할 수 있는 모든 정보입니다.

여기서 개인정보의 주체는 자연인(自然人)이어야 하며, 법인(法人) 또는 단체의 정보는 해당되지 않습니다.

따라서 법인의 상호, 영업소재지, 대표이사의 성명, 이사·감사 등 임원 정보, 자산,

영업실적 등의 정보는 개인정보의 범위에 해당하지 않습니다.

개인에 관한 정보란 당해 개인에 대한 사실·판단·평가 등 개인에 관한 정보를 말합

니다. 따라서 현행 ｢개인정보 보호법｣, ｢정보통신망법｣은 개인정보에 대한 구체적이고

세부적인 기준이나 요건을 규정하고 있지 않으므로 특정 개인과 관련된 모든 정보는

개인정보에 해당된다고 볼 수 있습니다.

또한 개인정보로 인정되기 위해서는 해당 정보가 특정 개인을 식별하거나 식별 가능

해야 합니다. 따라서 해당 개인정보가 이미 통계적으로 변환되어 특정 개인이라는 사실을 식별할 수 없다면 개인정보라고 할 수 없습니다.

해당 정보만으로 개인을 식별할 수 있는 경우뿐만 아니라 다른 정보와 쉽게 결합해서

특정 개인의 식별이 가능한 경우에도 그 정보를 개인정보로 규정하고 있습니다.

예를 들어, 주민등록번호는 개인마다 고유한 것으로 개인을 손쉽게 식별할 수 있으므로 개인정보에 해당됩니다. 이와 달리 주소, 전화번호, 이메일 등이 독자적으로 노출되었을 때에는 개인을 식별할 수 없습니다. 하지만 다른 정보와 결합하면 특정 개인을 식별할 수 있게 되므로 개인정보로 볼 수 있습니다.

개인정보는 성명, 주민등록번호 등 인적사항에서부터 사회·경제적 지위와 상태, 교육,

건강·의료, 재산, 문화 활동 및 정치적 성향과 같은 내면의 비밀에 이르기까지 그 종류가 매우 다양하고 폭넓습니다.

또한 사업자의 서비스에 이용자가 직접 회원으로 가입하거나 등록할 때, 사업자에게

제공하는 정보뿐만 아니라 이용자가 서비스를 이용하는 과정에서 생성되는 통화내역,

로그기록, 구매내역 등도 개인정보가 될 수 있습니다.

출처: 안전행정부, KISA 개인정보보호 상담사례집

'IT, 저작권 이야기 > [TS] 사례연구' 카테고리의 다른 글

개인정보는 개인에 관한 정보이여야 한다 (0)	2017.01.09
공공기관은 고객만족도 조사를 위해 고객의 동의 없이 개인정보 처리 (0)	2016.12.17
내부 직원에 대한 교육실시, 교육 성적 관리·처리 업무 등을 외부 업체에 (0)	2016.12.17
학원 수강생의 합격 및 수상 내용을 학원 홍보에 이용 가능 여부 (0)	2016.12.17
내부 임직원용 개인정보처리방침 및 인재풀 운영할 때 개인정보 유의사항입니다. (0)	2016.11.03

Trackback: Comment:

개인정보안전성확보조치기준(행자부 고시, 2016.9.1 시행)

Posted by techshield

2016. 10. 27. 08:16 IT, 저작권 이야기/[TS] IT 지침, 가이드, 법령

◉ 행정자치부고시 제2016-35호

개인정보의 안전성 확보조치 기준

[시행 2016.9.1.] [행정자치부고시 제2016-35호, 2014.12.30, 일부개정]

제1조(목적) 이 기준은 「개인정보 보호법」(이하 “법”이라 한다) 제23조제2항, 제24조제3항 및 제29조와 같은 법 시행령(이하 “영”이라 한다) 제21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실․도난․유출․위조․변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적․관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.

제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.

1. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

2. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.

3. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

4. “대기업”이란 「독점규제 및 공정거래에 관한 법률」제14조에 따라 공정거래위원회가 지정한 기업집단을 말한다.

5. “중견기업”이란「중견기업 성장촉진 및 경쟁력 강화에 관한 특별법」제2조에 해당하는 기업을 말한다.

6. “중소기업”이란 「중소기업기본법」제2조 및 동법 시행령 제3조에 해당하는 기업을 말한다.

7. “소상공인”이란 「소상공인 보호 및 지원에 관한 법률」제2조에 해당하는 자를 말한다.

8. “개인정보 보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항에 해당하는 자를 말한다.

9. “개인정보취급자”란 개인정보처리자의 지휘․감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.

10. “개인정보처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.

11. “위험도 분석”이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별․평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다.

12. “비밀번호”란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.

13. “정보통신망”이란 「전기통신기본법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집․가공․저장․검색․송신 또는 수신하는 정보통신체계를 말한다.

14. “공개된 무선망”이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다.

15. “모바일 기기”란 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용 기기를 말한다.

16. “바이오정보”란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.

17. “보조저장매체”란 이동형 하드디스크, USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 연결․분리할 수 있는 저장매체를 말한다.

18. “내부망”이란 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다.

19. “접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속자 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 “접속”이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.

20. “관리용 단말기”란 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다.

제3조(안전조치 기준 적용) 개인정보처리자가 개인정보의 안전성 확보에 필요한 조치를 하는 경우에는 [별표] 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준을 적용하여야 한다. 이 경우 개인정보처리자가 어느 유형에 해당하는지에 대한 입증책임은 당해 개인정보처리자가 부담한다.

제4조(내부 관리계획의 수립․시행) ① 개인정보처리자는 개인정보의 분실․도난․유출․위조․변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립․시행하여야 한다.

1. 개인정보 보호책임자의 지정에 관한 사항

2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항

3. 개인정보취급자에 대한 교육에 관한 사항

4. 접근 권한의 관리에 관한 사항

5. 접근 통제에 관한 사항

6. 개인정보의 암호화 조치에 관한 사항

7. 접속기록 보관 및 점검에 관한 사항

8. 악성프로그램 등 방지에 관한 사항

9. 물리적 안전조치에 관한 사항

10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항

11.개인정보 유출사고 대응 계획 수립·시행에 관한 사항

12. 위험도 분석 및 대응방안 마련에 관한 사항

13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항

14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

15. 그 밖에 개인정보 보호를 위하여 필요한 사항

② [별표]의 유형1에 해당하는 개인정보처리자는 제1항에 따른 내부 관리계획을 수립하지 아니할 수 있고, [별표]의 유형2에 해당하는 개인정보처리자는 제1항제12호부터 제14호까지를 내부 관리계획에 포함하지 아니할 수 있다.

③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.

④ 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검․관리하여야 한다.

제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.

② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.

③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.

④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.

⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.

⑥개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.

⑦ [별표]의 유형1에 해당하는 개인정보처리자는 제1항 및 제6항을 아니할 수 있다.

제6조(접근통제) ① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한

2. 개인정보처리시스템에 접속한 IP (Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응

② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다.

③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.

④ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출․변조․훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.

⑤개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.

⑥ 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.

⑦ 개인정보처리자는 업무용 모바일 기기의 분실․도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.

⑧ [별표]의 유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수 있다.

제7조(개인정보의 암호화) ① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.

② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.

③ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.

④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.

1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과

2. 암호화 미적용시 위험도 분석에 따른 결과

⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.

⑥ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립․시행하여야 한다.

⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.

⑧ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제6항을 아니할 수 있다.

제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관․관리하여야 한다.

② 개인정보처리자는 개인정보의 분실․도난․유출․위조․변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야 한다.

③ 개인정보처리자는 개인정보취급자의 접속기록이 위․변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.

제9조(악성프로그램 등 방지) 개인정보처리자는 악성프로그램 등을 방지․치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치․운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.

1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지

2. 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트를 실시

3. 발견된 악성프로그램 등에 대해 삭제 등 대응 조치

제10조(관리용 단말기의 안전조치) 개인정보처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 다음 각 호의 안전조치를 하여야 한다.

1. 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치

2. 본래 목적 외로 사용되지 않도록 조치

3. 악성프로그램 감염 방지 등을 위한 보안조치 적용

제11조(물리적 안전조치) ① 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립․운영하여야 한다.

② 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.

③ 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출․입 통제를 위한 보안대책을 마련하여야 한다. 다만, 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 이를 적용하지 아니할 수 있다.

제12조(재해․재난 대비 안전조치) ① 개인정보처리자는 화재, 홍수, 단전 등의 재해․재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 한다.

② 개인정보처리자는 재해․재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다.

③ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제1항부터 제2항까지 조치를 이행하지 아니할 수 있다.

제13조(개인정보의 파기) ① 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다.

1. 완전파괴(소각․파쇄 등)

2. 전용 소자장비를 이용하여 삭제

3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행

② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다.

1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독

2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제

부 칙

제1조(시행일) 이 고시는 2016년 9월 1일부터 시행한다.

제2조(적용례) 영 제21조의2제2항에 따른 주민등록번호의 암호화 적용시기 이후에는 고유식별정보 중 주민등록번호는 제7조제4항을 적용하지 아니한다.

[별표]

개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준

유형

적용 대상

안전조치 기준

유형1

(완화)

․1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인

· 제5조:제2항부터 제5항까지

· 제6조:제1항, 제3항, 제6항 및 제7항

· 제7조:제1항부터 제5항까지, 제7항

· 제8조

· 제9조

· 제10조

· 제11조

· 제13조

유형2

(표준)

․100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업

․10만명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관

․1만명 이상의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인

· 제4조:제1항제1호부터 제11호까지 및 제 15호, 제3항부터 제4항까지

· 제5조

· 제6조:제1항부터 제7항까지

· 제7조:제1항부터 제5항까지, 제7항

· 제8조

· 제9조

· 제10조

· 제11조

· 제13조

유형3

(강화)

․10만명 이상의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관

․100만명 이상의 정보주체에 관한 개인정보를 보유한 중소기업, 단체

· 제4조부터 제13조까지

'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글

표준 개인정보 유출사고 대응 매뉴얼 (0)	2017.01.09
개인정보 안전성 확보조치 기준 (0)	2017.01.09
개인정보보호 소득세법 기부금 영수증처리 (0)	2016.11.03
스마트폰앱 개인정보보호 가이드라인(한국인터넷진흥원) (0)	2016.10.24
사업자 개인정보보호 자율검검 체크리스트(한국인터넷진흥원) (0)	2016.10.24

Trackback: Comment:

필수자료: 개인정보 수집,제공 작성 가이드라인

Posted by techshield

2016. 10. 26. 11:30 IT, 저작권 이야기

출처:PRIVACY.GO.K

개인정보_수집제공_동의서_작성_가이드라인.hwp

정보주체의 개인정보 보호를 위해 도입된 개인정보의 수집‧제공 동의 제도가 내용도 복잡하고 형식적으로 이뤄져 국민 불편을 초래하고 있으며, 동의가 필요 없는 사항도 관행적으로 동의를 받는 등 문제점을 야기하고 있어, 형식화된 동의제도 개선 및 실질적인 개인정보 자기결정권 보장을 위해 붙임과 같이『개인정보 수집/제공 동의서 가이드라인』을 마련하였습니다.

개인정보 수집․제공 동의서 작성 가이드라인

동의서 작성절차 및 유의사항

관계법령

󰊱 준비 단계

① 업무처리에 필요한 개인정보 파악

○ 처리하고자 하는 업무에 꼭 필요한 최소한의 개인정보는 어떤

것들이 있는지 파악합니다.

※ A업무 처리 시(예시) : 성명, 전화번호, 이메일, 주소, 성별, 나이

개인정보

보호법(이하 ‘법)

제16조제1항

○ 고유식별정보나 민감정보는 일반 개인정보와 구분하여 처리하여야

하므로 처리하고자 하는 개인정보 중에 고유식별정보나 민감정보가 있는지 확인해야 합니다.

* 고유식별정보 : 주민등록번호, 운전면허번호, 여권번호, 외국인등록번호

** 민감정보 : 사상‧신념, 노동조합‧정당의 가입‧탈퇴. 정치적 견해, 건강,

성생활 등에 관한 정보, 유전정보, 범죄경력자료 등

법 제23조,

제24조

② 개인정보의 보유기간 확인

○ 개인정보 처리방침이나 관련 법령 등을 통해 수집‧이용할 개인

정보의 보유기간을 확인합니다.

○ 일시적인 개인정보 수집․이용 등 보유기간이 따로 명시되어

있지 않다면 업무의 특성을 고려하여 필요최소한의 보유기간을

설정하시면 됩니다.

법 제21조, 제30조

③ 수집․이용에 정보주체의 동의가 필요한지 확인

○ 개인정보를 수집‧이용하기 위해서는 다음 중 어느 하나에 해당하지 않는다면 반드시 정보주체의 동의를 받아야 합니다.

<<동의없이 개인정보 수집․이용이 가능한 경우>>

1. 법률에 특별한 규정이 있거나 법령상 의무 준수를 위해 불가피한 경우

2. 공공기관이 법령 등에서 정하는 소관업무 수행을 위해 불가피한 경우

3. 정보주체와의 계약의 체결 및 이행을 위해 불가피하게 필요한 경우

4. 정보주체 또는 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

※ 이 경우 당해 사유가 해소된 때에는 개인정보의 처리를 즉시 중단하고, 정보주체에게 개인정보 수집․이용한 사실, 그 사유와 이용내역을 통지

5. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우

법 제15조

제1항

○ 민감정보 또는 고유식별정보*를 처리하기 위해서는 정보주체의 별도 동의가 필요합니다. 다만, 법령에서 민감정보 또는 고유식별정보의 처리를 요구하거나 허용하는 경우에는 동의를 받지 않고 개인정보의 수집‧이용이 가능합니다.

* 주민등록번호는 법령의 근거가 있거나 정보주체 또는 제3자의 급박한

생명, 신체, 재산의 이익을 위하여 명백히 필요한 경우에만 수집․이용 가능

법 제23조,

제24조,

제24조의2

○ ‘정보통신서비스 제공자’인 경우에는 ｢정보통신망 이용 촉진 및

정보보호에 관한 법률｣ 제22조제2항에 따라 다음의 어느 하나에

<<동의없이 개인정보 수집․이용이 가능한 경우>>

1. 정보통신서비스 제공에 관한 계약 이행을 위해 필요한 개인정보로서 경제적·기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우

2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우

3. 다른 법률에 특별한 규정이 있는 경우
해당하는 경우에는 동의없이 개인정보를 수집‧이용할 수 있습니다.

정보통신망법

제22조

○ 수집‧이용하고자 하는 개인정보의 정보주체가 만14세 미만의

아동인 경우에는 해당 아동의 법정대리인의 동의를 받아야 합니다.

법 제22조 제5항

⑤ 개인정보의 제3자 제공 여부 파악

○ 개인정보처리자가 수집한 개인정보를 제3자에게 제공하려는 개인정보가 어떠한 것이 있는지 파악합니다.

○ 이 경우 다음의 사항을 확인해야 합니다.

<<제3자 제공시 확인사항>>

1. 개인정보를 제공받는 자

2. 개인정보를 제공받는 자의 개인정보 이용 목적

3. 제공하는 개인정보 항목

4. 개인정보를 제공받는 자의 개인정보 보유 및 이용기간

5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

법 제17조

제1항

○ 개인정보를 제3자에게 제공하기 위해서는 정보주체의 별도의 동의가 필요합니다. 다만, 다음 각 호 어느 하나의 수집목적 범위에서 제공하는 경우 정보주체의 동의 없이도 가능합니다.

<<동의없이 제3자 제공이 가능한 경우>>

1. 법률에 특별한 규정이 있거나 법령상 의무 준수를 위해 불가피한 경우

2. 공공기관이 법령 등에서 정하는 소관업무 수행을 위해 불가피한 경우

3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

법 제17조

제1항

<<동의없이 제3자 제공이 가능한 경우>>

1. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우

2. 이 법 또는 다른 법률에 특별한 규정이 있는 경우
○ 정보통신서비스 제공자도 이용자의 개인정보를 제3자에게 제공하려면 정보주체의 동의가 필요합니다. 다만, 다음 어느 하나에 해당하는 경우에는 동의를 받지 않아도 됩니다.

정보통신망법

제24조의2

○ 개인정보를 국외의 제3자에게 제공할 때에도 정보주체의 동의를

받아야 합니다.

<<개인정보의 국외의 제3자 제공시 확인사항>>

1. 개인정보를 제공받는 자

2. 개인정보를 제공받는 자의 개인정보 이용 목적

3. 제공하는 개인정보 항목

4. 개인정보를 제공받는 자의 개인정보 보유 및 이용기간

5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

법 제17조

제3항

○ 제3자 제공하고자 하는 개인정보의 정보주체가 만14세 미만의

아동인 경우에는 해당 아동의 법정대리인의 동의를 받아야 합니다.

법 제22조 제5항

⑥ 개인정보의 수집‧이용 및 제3자 제공에 대한 동의 거부시 불이익 검토

○ 개인정보 수집‧이용 및 제3자 제공에 대하여 정보주체가 동의하지

않을 경우 정보주체에게 어떠한 불이익이 있는지 검토합니다.

※ 예시) 고객맞춤형 서비스 제한, 마일리지‧포인트 적립 불가 등

법 제15조,

제17조,

제18조

⑦ 개인정보 처리업무 위탁 여부 검토

○ 개인정보처리자가 개인정보 처리가 수반되는 업무처리를 위탁 하고자 할 때에는 별도 동의 없이 홈페이지 등에 위탁하는 업무의 내용과 수탁자를 게재하면 됩니다.

법 제26조

○ 정보통신서비스 제공자는 제3자에게 개인정보 수집·보관·처리·이용·제공·관리·파기 등의 업무를 위탁하는 경우 정보조체에게 위탁을 받는 자와 그 업무내용을 알리고 동의를 받아야 합니다.

※ 다만, 정보통신서비스의 제공에 관한 계약 이행, 정보주체 편의 증진 등을 위하여 필요한 경우로서 개인정보취급방침에 공개하거나 전자우편 등으로 정보주체에게 알린 경우에는 동의를 받지 않아도 됨

정보통신망법 제25조

※ 최초 수집 이후 당초 수집목적의 범위를 벗어나 이용‧제공이 필요한 경우

○ 개인정보를 당초 수집한 목적의 범위를 벗어나 이용하거나 제3자에게 제공하고자 하는 경우 정보주체의 동의를 받아야 합니다.

○ 그러나 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없는 경우로서 아래의 어느 하나에 해당하는 경우에는 정보주체의 동의없이 개인정보를 당초 수집한 목적의 범위를 벗어나 이용하거나 제3자에게 제공할 수 있습니다.(다만, 4번~8번은 공공기관에만 해당)

1. 다른 법률에 특별한 규정이 있는 경우

2. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

3. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 제공하는 경우

4. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우

5. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우

6. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우

7. 법원의 재판업무 수행을 위하여 필요한 경우

8. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

법 제18조

※ 동의를 받은 사항(항목, 목적, 보유‧이용 기간 등)을 변경하는 경우그 사실을 알리고 동의를 받아야 합니다

※ 개인정보의 목적외 이용․제공 동의서 작성시 유의사항

○ 업무여건 변화 등으로 인하여 이미 수집․이용 중인 개인정보를 당초 수집 목적의 범위를 초과하여 이용하거나 제3자에게 제공하여야 하는 경우에는 해당하는 정보주체로부터 별도의 동의서를 받아야 합니다.

○ 이 경우 일반 동의서 양식을 그대로 사용하여도 무방합니다.

󰊲 작성 단계

① 동의서 제목 기재

○ 개인정보 수집‧이용에 대한 동의를 받고자 한다는 것을 정보주체가 쉽게 알 수 있도록 동의서 상단에 기재합니다.

※ 예시) ○○회원 가입을 위한 개인정보 수집‧이용 동의서,○○이벤트 참가를 위한 개인정보 수집‧이용 동의서

○ 개인정보 수집‧이용과 함께 제3자 제공을 하려고 하는 경우에는 이에 대한 동의도 받는다는 것을 명시해야 합니다.

※ 예시) ○○회원 가입을 위한 개인정보 수집‧이용 및 제3자 제공 동의서

② 동의서 작성 안내

○ 개인정보 수집‧이용(및 제공)에 대한 안내와 동의서 작성 시 정보주체가 주의하여야 할 사항 등을 기재합니다.

※ 예시) ○○회원 가입을 위하여 아래의 개인정보 수집‧이용( 및 제공)에 대한 내용을 자세히 읽어 보신 후 동의 여부를 결정하여 주시기 바랍니다.

③ 개인정보 수집‧이용 내역 기재

○ ‘준비단계’의 ①, ②번에서 검토된 내용을 바탕으로 개인정보 수집․이용 내역을 아래의 예시를 참고하여 작성합니다.

< 작성 예시 >

□ 개인정보 수집․이용 내역

항 목

수집목적

보유기간

성명, 전화번호

신제품에 대한 SMS 홍보

1년

법 제15조,

제22조 제3항

표준개인정보보호지침 제13조

④ 동의 거부권 및 동의 거부에 따른 불이익 안내

○ 정보주체는 위 개인정보 수집‧이용에 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익 내용을 기재합니다.

※ 예시) 위와 같이 개인정보를 수집‧이용하는데 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 일부 서비스 받으실 수 없습니다.

법 제15조

제2항

⑤ 정보주체의 동의여부 확인

○ 정보주체가 개인정보 수집‧이용에 동의하는지에 대한 의사를

명확하게 표시할 수 있도록 작성합니다

○ 수집‧이용하고자 하는 개인정보의 정보주체가 만14세 미만의 아동이라면 반드시 법정대리인의 동의를 받아야 합니다.

※ 이 경우 법정대리인의 성명, 연락처 등 동의를 받기 위해 필요한 최소한의 개인정보는 법정대리인의 동의 없이 해당 아동으로부터 수집 가능

< 작성 예시 >

위와 같이 개인정보를 수집․이용하는데 동의하십니까? ( 예, 아니오 )

년 월 일

본인 성명 (서명 또는 인)

※ 정보주체가 만14세 미만의 아동인 경우

위와 같이 개인정보를 수집․이용하는데 동의하십니까? ( 예, 아니오 )

년 월 일

본 인 성명 (서명 또는 인)

법정대리인 성명 (서명 또는 인)

※ 온라인으로 동의를 받는 경우

위와 같이 개인정보를 수집․이용하는데 동의하십니까?

동의함

□

동의하지 않음

□

* 법정대리인의 동의를 받아야 하는 경우 본인확인 절차를 거쳐 정당한 법정대리인인지를 확인하고 해당 법정대리인이 체크하도록 구현합니다.

법 제15조,

제22조제5항

⑥ 민감정보 처리에 대한 동의여부 확인(필요시)

○ ‘준비단계’ ③번에서 민감정보를 처리하기 위하여 정보주체의 동의가 필요하다고 검토되었다면 아래의 예시와 같이 동의서를 별도로 작성하여야 합니다.

※ 다만, 법령의 근거 등으로 정보주체의 동의가 필요없다고 검토되었다면 아래의 ⑨번에서 그 내용을 안내하시면 됩니다.

○ 정보주체는 위 민감정보 처링에 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익 내용을 기재합니다.

< 작성 예시 >

아래와 같이 민감정보를 처리합니다.

항 목

수집목적

보유기간

민감정보 항목 기재

수집목적 기재

보유기간 기재

※ 위와 같이 개인정보를 처리하는데 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 일부 서비스 제공이 제한 될 수 있습니다.

위와 같이 민감정보를 처리하는데 동의하십니까? (예, 아니오)

년 월 일

본인 성명 (서명 또는 인)

※ 정보주체가 만14세 미만의 아동인 경우

위와 같이 민감정보를 처리하는데 동의하십니까? ( 예, 아니오 )

년 월 일

본 인 성명 (서명 또는 인)

법정대리인 성명 (서명 또는 인)

※ 온라인으로 동의를 받는 경우

위와 같이 민감정보를 처리하는데 동의하십니까?

동의함

□

동의하지 않음

□

* 법정대리인의 동의를 받아야 하는 경우 본인확인 절차를 거쳐 정당한 법정대리인인지를 확인하고 해당 법정대리인이 체크하도록 구현합니다.

법 제23조,

제22조제5항

⑦ 고유식별정보 처리에 대한 동의여부 확인(필요시)

○ ‘준비단계’ ③번에서 고유식별정보를 처리하기 위해 정보주체의 동의가 필요하다고 검토되었다면 아래의 예시와 같이 동의서를 별도로 작성하여야 합니다.

※ 다만, 법령의 근거 등으로 정보주체의 동의가 필요없다고 검토되었다면 아래의 ⑨번에서 그 내용을 안내하시면 됩니다.

○ 위 고유식별정보 처리에 동의를 거부할 권리가 있다는 사실과 동의 거부에 따른 불이익이 있는 경우 그 불이익 내용을 기재합니다.

○ 고유식별정보중 주민등록번호는 정보주체의 동의를 받아서는 처리할 수 없으며, 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우나 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우에만 처리할 수 있음을 유의하시기 바랍니다.

< 작성 예시 >

아래와 같이 고유식별정보를 처리합니다.

항 목

수집목적

보유기간

고유식별정보 항목 기재

수집목적 기재

보유기간 기재

※ 위와 같이 고유식별정보 처리에 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 일부 서비스 제공이 제한 될 수 있습니다.

위와 같이 고유식별정보를 처리하는데 동의하십니까? (예, 아니오)

년 월 일

본인 성명 (서명 또는 인)

※ 정보주체가 만14세 미만의 아동인 경우

위와 같이 고유식별정보를 처리하는데 동의하십니까? ( 예, 아니오 )

년 월 일

본 인 성명 (서명 또는 인)

법정대리인 성명 (서명 또는 인)

※ 온라인으로 동의를 받는 경우

위와 같이 고유식별정보를 처리하는데 동의하십니까?

동의함

□

동의하지 않음

□

* 법정대리인의 동의를 받아야 하는 경우 본인확인 절차를 거쳐 정당한 법정대리인인지를 확인하고 해당 법정대리인이 체크하도록 구현합니다.

법 제24조,

제24조의2,

제22조제5항

⑧ 개인정보 제3자 제공 내역 기재 및 정보주체의 동의여부 확인(필요시)

○ ‘준비단계’의 ⑤번에서 파악된 개인정보 제3자 제공 내역이 ‘준비단계’ ⑥번에서 정보주체의 동의를 받아야 한다고 검토되었다면 아래의 예시와 같이 동의서를 별도로 작성합니다.

○ 정보주체는 위 개인정보 제공에 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익 내용을 기재합니다.

< 작성 예시 >

제공 받는자

제공 항목

제공 목적

보유기간

제공받는 자의 명칭

제공하는 개인정보 항목

제공받는 자가 이용하고자 하는 목적

제공받는 자가 보유하는 기간

※ 위와 같이 개인정보를 제공하는데 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 일부 서비스를 제한 받으실 수 없습니다.

위와 같이 개인정보를 제공하는데 동의하십니까? (예, 아니오)

년 월 일

본인 성명 (서명 또는 인)

※ 정보주체가 만14세 미만의 아동인 경우

위와 같이 개인정보를 제공하는데 동의하십니까? (예, 아니오)

년 월 일

본 인 성명 (서명 또는 인)

법정대리인 성명 (서명 또는 인)

※ 온라인으로 동의를 받는 경우

위와 같이 개인정보를 제공하는데 동의하십니까?

동의함

□

동의하지 않음

□

* 법정대리인의 동의를 받아야 하는 경우 본인확인 절차를 거쳐 정당한 법정대리인인지를 확인하고 해당 법정대리인이 체크하도록 구현합니다.

법 제17조,

제18조

⑨ 정보주체의 동의없이 수집‧이용하는 개인정보 내역 고지

○ ‘준비단계’ ③번에서 정보주체의 동의없이 개인정보를 수집‧이용할

수 있다고 확인된 사항을 예시와 같이 작성합니다.

< 작성 예시 >

개인정보보호법 제15조제1항제3호에 따라 아래와 같이 개인정보를 수집‧이용합니다.

개인정보 항목

개인정보 처리사유

수집 근거

해당 개인정보 항목 기재

수집․이용 목적 기재

근거 법령 등 기재

개인정보보호

표준지침

제13조제2항

⑩ 개인정보처리 업무위탁에 대한 동의여부 확인(정보통신망서비스 제공자에 한함)

○ 정보통신망서비스 제공자는 개인정보 처리 업무를 제3자에게

위탁하고자 한다면 위탁받는 자와 그 업무내용을 정보주체에게

알리고 동의를 받아야 합니다. 다만, 정보통신 서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 위 사항을 공개하거나 전자우편 등으로 이용자에게 알린 경우에는 동의 절차를 거치지 아니할 수 있습니다.

< 작성 예시 >

당사는 ○○개인정보처리시스템의 유지보수를 위하여 아래와 같이 개인정보처리 업무를 위탁합니다.

취급을 위탁 받는자(수탁업체)

업무내용

[업체명]

위탁업무 기재

위와 같이 개인정보 처리업무를 위탁 하는데 동의하십니까?(예, 아니오)

※ 그 외 개인정보처리자는 위탁자와 위탁하는 업무내용을 홈페이지에 게재하면 됩니다. 홈페이지가 없는 경우에는 그 내용을 사무실에 게시하거나 관보, 주요 일간지, 소식지 등에 게재할 수 있습니다.

정보통신망법

제25조

붙임

동의서 작성 사례

󰊱 인사/노무

운전직 채용을 위한 개인정보 수집‧이용 및 제3자 제공 동의서(예시)

당사는 운전직 직원 채용을 아래와 같이 개인정보를 수집‧이용 및 제3자 제공하고자 합니다. 내용을 자세히 읽으신 후 동의 여부를 결정하여 주십시오.

□ 개인정보 수집‧이용 내역

수집‧이용 항목

수집․이용 목적

보유기간

경력, 운전면허번호

채용절차 진행, 경력․자격 확인

｢채용공정화에 관한 법률｣에 따라 채용 종료후 180일까지

※ 위의 개인정보 수집‧이용에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 채용심사를 할 수 없어 채용에 제한을 받을 수 있습니다.

☞ 위와 같이 개인정보를 수집·이용하는데 동의하십니까? (예, 아니오)

□ 민감정보 처리 내역

항 목

수집목적

보유기간

정신질환 여부

운전직 채용 관리

｢채용공정화에 관한 법률｣에 따라 채용 종료후 180일까지

※ 위의 민감정보 처리에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 채용심사를 할 수 없어 채용에 제한을 받을 수 있습니다.

☞ 위와 같이 민감정보를 처리하는데 동의하십니까? (예, 아니오)

□ 고유식별정보 수집‧이용 내역

항 목

수집목적

보유기간

운전면허번호

운전직 채용 관리

｢채용공정화에 관한 법률｣에 따라 채용 종료후 180일까지

※ 위의 고유식별정보 처리에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 채용심사를 할 수 없어 채용에 제한을 받을 수 있습니다.

☞ 위와 같이 고유식별정보를 처리하는데 동의하십니까?(예, 아니오)

□ 개인정보 3자 제공 내역

제공받는자

제공 목적

제공 항목

보유기간

○○계열사

채용절차 진행

학력, 경력

｢채용공정화에 관한 법률｣에 따라 채용 종료후 180일까지

※ 위의 개인정보 제공에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 채용심사를 할 수 없어 채용에 제한을 받을 수 있습니다.

☞ 위와 같이 개인정보를 제3자에게 제공하는데 동의하십니까? (예, 아니오)

년 월 일

본인 성명 (서명 또는 인)

00회사 귀중

󰊲 학교

현장체험학습을 위한 개인정보 수집‧이용 및 제공 동의서(예시)

본교는 2015년 ○월 ○○일 실시할 예정인 현장체험학습과 관련하여 아래와 같이 개인정보를 수집‧이용 및 제3자에게 제공하고자 합니다. 내용을 자세히 읽으신 후 동의 여부를 결정하여 주십시오.

□ 개인정보 수집‧이용 내역

항 목

수집목적

보유기간

학생 : 성명, 학년, 반, 전화번호

학부모 : 성명, 전화번호

현장체험학습 운영

1년

※ 위의 개인정보 수집‧이용에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 현장체험학습에 제한을 받을 수 있습니다.

☞ 위와 같이 개인정보를 수집·이용하는데 동의하십니까? ( 예, 아니오)

□ 민감정보 처리 내역

항 목

수집목적

보유기간

질병명, 감염 기간, 질병 감염 경로

학생의 위생관리

1년

※ 위의 민감정보 처리에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 현장체험학습에 제한을 받을 수 있습니다.

☞ 위와 같이 민감정보를 처리하는데 동의하십니까? (예, 아니오)

□ 개인정보 제3자 제공 내역

제공받는 기관

제공목적

제공하는 항목

보유기간

oo군부대

현장체험학습장 출입자 신분확인

학생의 성명, 학년, 반, 전화번호

1년

※ 위의 개인정보 제공에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 현장체험학습에 제한을 받을 수 있습니다.

☞ 위와 같이 개인정보를 제3자 제공하는데 동의하십니까? (예, 아니오)

<기타 고지 사항>

개인정보 보호법 제15조제1항제3호에 따라 정보주체의 동의 없이 개인정보를 수집‧이용합니다.

개인정보 처리사유

개인정보 항목

수집 근거

학사관리

학생 : 성명, 생년월일, 주소,

보호자 : 성명, 생년월일

｢초·중등교육법｣ 제25조

｢학교생활기록의 작성 및 관리에 관한 규칙｣

년 월 일

본인 성명 (서명 또는 인)

법정대리인 성명 (서명 또는 인)

00학교장 귀중

󰊳 병원

문자알림서비스 가입을 위한 개인정보 수집‧이용, 제공 동의서(예시)

○○병원은 문자알림 서비스 제공을 위하여 아래와 같이 개인정보를 수집‧이용 및 제공하고자 합니다. 내용을 자세히 읽으신 후 동의 여부를 결정하여 주십시오.

□ 개인정보 수집‧이용 내역

항 목

수집목적

보유기간

성명, 전화번호

예방접종 안내, 최신의학정보

1년

※ 위의 개인정보 수집‧이용에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 서비스 제공에 일부 제한을 받을 수 있습니다.

☞ 위와 같이 개인정보를 수집·이용하는데 동의하십니까? ( 예, 아니오)

□ 개인정보 제3자 제공 내역

제공받는 기관

제공목적

제공하는 항목

보유기간

oo연구소

맞춤형 의학정보 수집

성별, 결혼 여부, 연령, 관심분야

1년

※ 위의 개인정보 제공에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 서비스 제공에 일부 제한을 받을 수 있습니다.

☞ 위와 같이 개인정보를 제3자 제공하는데 동의하십니까? (예, 아니오)

<기타 고지 사항>

개인정보 보호법 제15조제1항제2호에 따라 정보주체의 동의 없이 개인정보를 수집‧이용합니다.

개인정보 처리사유

개인정보 항목

수집 근거

진료기록부 작성

성명, 생년월일, 주소, 병명

｢의료법｣ 제22조,

동법 시행규칙 제14조

년 월 일

본인 성명 (서명 또는 인)

법정대리인 성명 (서명 또는 인)

00병원장 귀중

󰊴 여행업

멤버십 회원 가입을 위한 개인정보 수집‧이용 및 제공 동의서(예시)

○○여행사의 멤버십 회원제 운영을 위하여 아래와 같이 개인정보를 수집‧이용 및 제공하고자 합니다. 내용을 자세히 읽으신 후 동의 여부를 결정하여 주십시오.

□ 개인정보 수집‧이용 내역

항 목

수집․이용 목적

보유기간

성명(국문/영문), 연락처

여행상품 및 항공권 예약,

멤버십 마일리지 관리

2년

※ 위의 개인정보 수집‧이용에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 서비스 제공에 일부 제한을 받을 수 있습니다.

☞ 위와 같이 개인정보를 수집·이용하는데 동의하십니까? ( 예, 아니오)

□ 개인정보 3자 제공 내역

제공받는자

제공 목적

제공 항목

보유기간

○○호텔

숙박시설 정보 제공

관심 여행지, 여행이력

1년

※ 위의 개인정보 제공에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 서비스 제공에 일부 제한을 받을 수 있습니다.

☞ 위와 같이 개인정보를 제3자 제공하는데 동의하십니까? (예, 아니오)

년 월 일

본인 성명 (서명 또는 인)

○○여행사 귀중

󰊵 건설

홈페이지 회원 가입을 위한 개인정보 수집‧이용 및 제3자 제공 동의서(예시)

○○건설사 홈페이지 회원제 운영을 위하여 아래와 같이 개인정보를 수집․이용 및 제공하고자 합니다. 내용을 자세히 읽으신 후 동의 여부를 결정하여 주십시오.

□ 개인정보 수집‧이용 내역

항목

수집목적

보유기간

성명, 주소, 연락처

신규분양 안내, 건설 동향 정보 제공

1년

※ 위의 개인정보 수집‧이용에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 서비스 제공에 일부 제한을 받을 수 있습니다.

☞ 위와 같이 개인정보를 수집·이용하는데 동의하십니까? ( 예, 아니오)

□ 개인정보 제3자 제공 내역

제공기관

수집목적

항목

보유기간

○○건축연구소

맞춤형 건설 동향 정보 수집

생년월일, 결혼여부, 관심지역, 성별

1년

※ 위의 개인정보 제공에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 서비스 제공에 일부 제한을 받을 수 있습니다.

☞ 위와 같이 개인정보를 제3자 제공하는데 동의하십니까? (예, 아니오)

년 월 일

본인 성명 (인 또는 서명)

○○건설사 대표 귀중

󰊵 유선방송사

유선방송 가입을 위한 개인정보 수집‧이용 및 제공, 위탁 동의서(예시)

○○유선방송의 케이블TV 가입을 위하여 아래와 같이 개인정보를 수집‧이용 및제공, 위탁하고자 합니다. 내용을 자세히 읽으신 후 동의 여부를 결정하여 주십시오.

□ 개인정보 수집‧이용 내역

항 목

수집․이용 목적

보유기간

성명, 주소, 연락처

케이블 TV 서비스 제공

2년

※ 위의 개인정보 수집‧이용에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 서비스 제공에 일부 제한을 받을 수 있습니다.

☞ 위와 같이 개인정보를 수집·이용하는데 동의하십니까? ( 예, 아니오)

□ 개인정보 3자 제공 내역

제공받는자

제공 목적

제공 항목

보유기간

○○리서치

케이블 TV 만족도 조사

성명, 전화번호

1년

※ 위의 개인정보 제공에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 원활한 서비스 제공에 일부 제한을 받을 수 있습니다.

☞ 위와 같이 개인정보를 제3자 제공하는데 동의하십니까? (예, 아니오)

□ 개인정보 취급업무 위탁 내역

취급을 위탁 받는자(수탁업체)

업무내용

○○정보통신

케이블TV 신설‧폐지, AS 등 유지보수

위와 같이 개인정보 취급업무를 위탁 하는데 동의하십니까? (예, 아니오)

년 월 일

본인 성명 (서명 또는 인)

○○케이블방송사 귀중

'IT, 저작권 이야기' 카테고리의 다른 글

영리목적의 광고성 정보 전송 시 ‘광고’ 표시의무를 위반한 온라인쇼핑몰에 대한 손해배상 요구한 경우 손해배상의무를 기각했다. (0)	2016.10.30
인터넷 서비스 가입시 주민등록 번호를 수집한 정보통신서비스 제공자에 대한 손해배상 요구 (0)	2016.10.28
표준개인정보보호지침(출처: 행자부 고시 제2016-21호) (0)	2016.10.26
인터넷 자기게시물 접근배체요청권 가이드라인(출처: 방송통신위원회) (0)	2016.10.26
유럽 사법재판소 판결 유동IP 주소는 개인정보 (0)	2016.10.24

Trackback: Comment:

표준개인정보보호지침(출처: 행자부 고시 제2016-21호)

Posted by techshield

2016. 10. 26. 11:23 IT, 저작권 이야기

｢표준 개인정보보호 지침(고시)｣

◉ 행정자치부 고시 제2016-21호

표준 개인정보 보호지침

제1장 총칙

제1조(목적) 이 지침은 「개인정보 보호법」(이하 "법"이라 한다) 제12조제1항에 따른 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정함을 목적으로 한다.

제2조(용어의 정의) 이 지침에서 사용하는 용어의 뜻은 다음과 같다.

1. "개인정보 처리"란 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

2. "개인정보처리자"란 업무를 목적으로 법 제2조제4호에 따른 개인정보파일을 운용하기 위하여 개인정보를 처리하는 모든 공공기관, 영리목적의 사업자, 협회·동창회 등 비영리기관·단체, 개인 등을 말한다.

3. "공공기관"이란 법 제2조제6호 및 「개인정보 보호법 시행령」(이하 "영"이라 한다) 제2조에 따른 기관을 말한다.

4. "친목단체"란 학교, 지역, 기업, 인터넷 커뮤니티 등을 단위로 구성되는 것으로서 자원봉사, 취미, 정치, 종교 등 공통의 관심사나 목표를 가진 사람간의 친목도모를 위한 각종 동창회, 동호회, 향우회, 반상회 및 동아리 등의 모임을 말한다.

5. "개인정보 보호책임자"란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항에 해당하는 자를 말한다.

6. "개인정보취급자"란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.

7. "개인정보처리시스템"이란 데이터베이스 시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 응용시스템을 말한다.

8. "영상정보처리기기"란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 일체의 장치로서 영 제3조에 따른 폐쇄회로 텔레비전 및 네트워크 카메라를 말한다.

9. "개인영상정보"란 영상정보처리기기에 의하여 촬영·처리되는 영상정보 중 개인의 초상, 행동 등과 관련된 영상으로서 해당 개인을 식별할 수 있는 정보를 말한다.

10. "영상정보처리기기운영자"란 법 제25조제1항 각 호에 따라 영상정보처리기기를 설치·운영하는 자를 말한다.

11. "공개된 장소"란 공원, 도로, 지하철, 상가 내부, 주차장 등 불특정 또는 다수가 접근하거나 통행하는 데에 제한을 받지 아니하는 장소를 말한다.

제3조(적용범위) 이 지침은 전자적 파일과 인쇄물, 서면 등 모든 형태의 개인정보파일을 운용하는 개인정보처리자에게 적용된다.

제4조(개인정보 보호 원칙) ① 개인정보처리자는 개인정보 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.

② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.

③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성과 최신성을 유지하도록 하여야 하고, 개인정보를 처리하는 과정에서 고의 또는 과실로 부당하게 변경 또는 훼손되지 않도록 하여야 한다.

④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 그에 상응하는 적절한 관리적·기술적 및 물리적 보호조치를 통하여 개인정보를 안전하게 관리하여야 한다.

⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리가 보장될 수 있도록 합리적인 절차와 방법 등을 마련하여야 한다.

⑥ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적법하게 개인정보를 처리하는 경우에도 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.

⑦ 개인정보처리자는 개인정보를 적법하게 수집한 경우에도 익명에 의하여 업무 목적을 달성할 수 있으면 개인정보를 익명에 의하여 처리될 수 있도록 하여야 한다.

⑧ 개인정보처리자는 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.

제5조(다른 지침과의 관계) 중앙행정기관의 장이 소관 분야의 개인정보 처리와 관련한 개인정보 보호지침을 정하는 경우에는 이 지침에 부합되도록 하여야 한다.

제2장 개인정보 처리 기준

제1절 개인정보의 처리

제6조(개인정보의 수집·이용) ① 개인정보의 "수집"이란 정보주체로부터 직접 이름, 주소, 전화번호 등의 개인정보를 제공받는 것뿐만 아니라 정보주체에 관한 모든 형태의 개인정보를 취득하는 것을 말한다.

② 개인정보처리자는 다음 각 호의 경우에 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용할 수 있다.

1. 정보주체로부터 사전에 동의를 받은 경우

2. 법률에서 개인정보를 수집·이용할 수 있음을 구체적으로 명시하거나 허용하고 있는 경우

3. 법령에서 개인정보처리자에게 구체적인 의무를 부과하고 있고, 개인정보처리자가 개인정보를 수집·이용하지 않고는 그 의무를 이행하는 것이 불가능하거나 현저히 곤란한 경우

4. 공공기관이 개인정보를 수집·이용하지 않고는 법령 등에서 정한 소관 업무를 수행하는 것이 불가능하거나 현저히 곤란한 경우

5. 개인정보를 수집·이용하지 않고는 정보주체와 계약을 체결하고, 체결된 계약의 내용에 따른 의무를 이행하는 것이 불가능하거나 현저히 곤란한 경우

6. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자(정보주체를 제외한 그 밖의 모든 자를 말한다)의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

7. 개인정보처리자가 법령 또는 정보주체와의 계약 등에 따른 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 다만, 이 경우 개인정보의 수집·이용은 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니한 경우에 한한다.

③ 개인정보처리자는 정보주체로부터 직접 명함 또는 그와 유사한 매체(이하 "명함등"이라 함)를 제공받음으로써 개인정보를 수집하는 경우 명함등을 제공하는 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다.

④ 개인정보처리자는 인터넷 홈페이지 등 공개된 매체 또는 장소(이하 "인터넷 홈페이지등"이라 함)에서 개인정보를 수집하는 경우 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지등의 표시 내용에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다.

⑤ 개인정보처리자는 계약 등의 상대방인 정보주체가 대리인을 통하여 법률행위 또는 의사표시를 하는 경우 대리인의 대리권 확인을 위한 목적으로만 대리인의 개인정보를 수집·이용할 수 있다.

⑥ 근로자와 사용자가 근로계약을 체결하는 경우 「근로기준법」에 따른 임금지급, 교육, 증명서 발급, 근로자 복지제공을 위하여 근로자의 동의 없이 개인정보를 수집·이용할 수 있다.

제7조(개인정보의 제공) ① 개인정보의 "제공"이란 개인정보의 저장 매체나 개인정보가 담긴 출력물·책자 등을 물리적으로 이전하거나 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제3자의 접근권한 부여, 개인정보처리자와 제3자의 개인정보 공유 등 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위를 말한다.

② 법 제17조의 "제3자"란 정보주체와 정보주체에 관한 개인정보를 수집·보유하고 있는 개인정보처리자를 제외한 모든 자를 의미하며, 정보주체의 대리인(명백히 대리의 범위 내에 있는 것에 한한다)과 법 제26조제2항에 따른 수탁자는 제외한다(이하 같다).

③ 개인정보처리자가 법 제17조제2항제1호에 따라 정보주체에게 개인정보를 제공받는 자를 알리는 경우에는 그 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처를 함께 알려야 한다.

제8조(개인정보의 목적 외 이용·제공) ① 개인정보처리자가 법 제18조제2항에 따라 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 이용 기간, 이용 형태 등을 제한하거나, 개인정보의 안전성 확보를 위하여 필요한 구체적인 조치를 마련하도록 문서(전자문서를 포함한다. 이하 같다)로 요청하여야 한다. 이 경우 요청을 받은 자는 그에 따른 조치를 취하고 그 사실을 개인정보를 제공한 개인정보처리자에게 문서로 알려야 한다.

② 법 제18조제2항에 따라 개인정보를 목적 외의 용도로 제3자에게 제공하는 자는 해당 개인정보를 제공받는 자와 개인정보의 안전성 확보 조치에 관한 책임관계를 명확히 하여야 한다.

③ 개인정보처리자가 법 제18조제3항제1호에 따라 정보주체에게 개인정보를 제공받는 자를 알리는 경우에는 그 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처를 함께 알려야 한다.

④ 개인정보처리자가 법 제18조제2항제4호에 따라 개인정보를 제3자에게 제공하는 경우에는 다른 정보와 결합하여서도 특정 개인을 알아볼 수 없는 형태로 제공하여야 한다.

제9조(개인정보 수집 출처 등 고지) ① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 법 제20조제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니 하다.

1. 고지를 요구하는 대상이 되는 개인정보가 법 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우

2. 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

② 개인정보처리자는 제1항 단서에 따라 제1항 전문에 따른 정보주체의 요구를 거부하는 경우에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 그 거부의 근거와 사유를 정보주체에게 알려야 한다.

제10조(개인정보의 파기방법 및 절차) ① 개인정보처리자는 개인정보의 보유 기간이 경과하거나 개인정보의 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 그로부터 5일 이내에 그 개인정보를 파기하여야 한다.

② 영 제16조제1항제1호의 ‘복원이 불가능한 방법’이란 현재의 기술수준에서 사회통념상 적정한 비용으로 파기한 개인정보의 복원이 불가능하도록 조치하는 방법을 말한다.

③ 개인정보처리자는 개인정보의 파기에 관한 사항을 기록·관리하여야 한다.

④ 개인정보 보호책임자는 개인정보 파기 시행 후 파기 결과를 확인하여야 한다.

⑤ 개인정보처리자 중 공공기관의 개인정보파일 파기에 관하여는 제55조 및 제56조를 적용한다.

제11조(법령에 따른 개인정보의 보존) ① 개인정보처리자가 법 제21조제1항 단서에 따라 법령에 근거하여 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 물리적 또는 기술적 방법으로 분리하여서 저장·관리하여야 한다.

② 제1항에 따라 개인정보를 분리하여 저장·관리하는 경우에는 개인정보 처리방침 등을 통하여 법령에 근거하여 해당 개인정보 또는 개인정보파일을 저장·관리한다는 점을 정보주체가 알 수 있도록 하여야 한다.

제12조(동의를 받는 방법) ① 개인정보처리자가 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 하며, 정보주체의 동의는 동의가 필요한 개인정보에 한한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다.

② 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 법 제18조제3항 각 호의 사항을 알리고 동의를 받아야 한다.

1. 개인정보를 수집·이용하고자 하는 경우로서 법 제15조제1항제2호 내지 제6호에 해당하지 않은 경우

2. 법 제18조제2항에 따라 개인정보를 수집 목적 외의 용도로 이용하거나 제공하고자 하는 경우

3. 법 제22조제3항에 해당하여 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하고자 하는 경우

4. 주민등록번호 외의 고유식별정보 처리가 필요한 경우로서 법령에 고유식별정보 처리 근거가 없는 경우

5. 민감정보를 처리하고자 하는 경우로서 법령에 민감정보 처리 근거가 없는 경우

③ 개인정보처리자는 제2항 각 호에 해당하여 개인정보를 처리하고자 하는 경우에는 정보주체에게 동의 또는 동의 거부를 선택할 수 있음을 명시적으로 알려야 한다.

④ 개인정보처리자는 법 제15조제1항제2호 내지 제6호에 따라 정보주체의 동의 없이 개인정보를 수집하는 경우에는 개인정보를 수집할 수 있는 법적 근거 등을 정보주체에게 알리기 위해 노력하여야 한다.

⑤ 개인정보처리자가 영 제17조제1항제2호의 규정에 따라 전화에 의한 동의와 관련하여 통화내용을 녹취할 때에는 녹취사실을 정보주체에게 알려야 한다.

⑥ 개인정보처리자가 친목단체를 운영하기 위하여 다음 각 호의 어느 하나에 해당하는 개인정보를 수집하는 경우에는 정보주체의 동의 없이 개인정보를 수집·이용할 수 있다.

1. 친목단체의 가입을 위한 성명, 연락처 및 친목단체의 회칙으로 정한 공통의 관심사나 목표와 관련된 인적 사항

2. 친목단체의 회비 등 친목유지를 위해 필요한 비용의 납부현황에 관한 사항

3. 친목단체의 활동에 대한 구성원의 참석여부 및 활동내용에 관한 사항

4. 기타 친목단체의 구성원 상호 간의 친교와 화합을 위해 구성원이 다른 구성원에게 알리기를 원하는 생일, 취향 및 가족의 애경사 등에 관한 사항

⑦ 개인정보처리자가 정보주체의 동의를 받기 위하여 동의서를 작성하는 경우에는 「개인정보 수집·제공 동의서 작성 가이드라인」을 준수하여야 한다.

제13조(법정대리인의 동의) ① 영 제17조제3항에 따라 개인정보처리자가 법정대리인의 성명·연락처를 수집할 때에는 해당 아동에게 자신의 신분과 연락처, 법정대리인의 성명과 연락처를 수집하고자 하는 이유를 알려야 한다.

② 개인정보처리자는 법 제22조제5항에 따라 수집한 법정대리인의 개인정보를 법정대리인의 동의를 얻기 위한 목적으로만 이용하여야 하며, 법정대리인의 동의 거부가 있거나 법정대리인의 동의 의사가 확인되지 않는 경우 수집일로부터 5일 이내에 파기해야 한다.

제14조(정보주체의 사전 동의를 받을 수 없는 경우) 개인정보처리자가 법 제15조제1항제5호 및 법 제18조제2항제3호에 따라 정보주체의 사전 동의 없이 개인정보를 수집·이용 또는 제공한 경우 당해 사유가 해소된 때에는 개인정보의 처리를 즉시 중단하여야 하며, 정보주체에게 사전 동의 없이 개인정보를 수집·이용 또는 제공한 사실과 그 사유 및 이용내역을 알려야 한다.

제15조(개인정보취급자에 대한 감독) ① 개인정보처리자는 개인정보취급자를 업무상 필요한 한도 내에서 최소한으로 두어야 하며, 개인정보취급자의 개인정보 처리 범위를 업무상 필요한 한도 내에서 최소한으로 제한하여야 한다.

② 개인정보처리자는 개인정보 처리시스템에 대한 접근권한을 업무의 성격에 따라 당해 업무수행에 필요한 최소한의 범위로 업무담당자에게 차등 부여하고 접근권한을 관리하기 위한 조치를 취해야 한다.

③ 개인정보처리자는 개인정보취급자에게 보안서약서를 제출하도록 하는 등 적절한 관리·감독을 해야 하며, 인사이동 등에 따라 개인정보취급자의 업무가 변경되는 경우에는 개인정보에 대한 접근권한을 변경 또는 말소해야 한다.

제2절 개인정보 처리의 위탁

제16조(수탁자의 선정 시 고려사항) 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 "위탁자"라 한다)가 개인정보 처리 업무를 위탁받아 처리하는 자(이하 "수탁자"라 한다)를 선정할 때에는 인력과 물적 시설, 재정 부담능력, 기술 보유의 정도, 책임능력 등 개인정보 처리 및 보호 역량을 종합적으로 고려하여야 한다.

제17조(개인정보 보호 조치의무) 수탁자는 위탁받은 개인정보를 보호하기 위하여 「개인정보의 안전성 확보조치 기준 고시」에 따른 관리적·기술적·물리적 조치를 하여야 한다.

제3절 개인정보 처리방침 작성

제18조(개인정보 처리방침의 작성기준 등) ① 개인정보처리자가 개인정보 처리방침을 작성하는 때에는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항을 명시적으로 구분하되, 알기 쉬운 용어로 구체적이고 명확하게 표현하여야 한다.

② 개인정보처리자는 처리하는 개인정보가 개인정보의 처리 목적에 필요한 최소한이라는 점을 밝혀야 한다.

제19조(개인정보 처리방침의 기재사항) 개인정보처리자가 개인정보 처리방침을 작성할 때에는 법 제30조제1항에 따라 다음 각 호의 사항을 모두 포함하여야 한다.

1. 개인정보의 처리 목적

2. 처리하는 개인정보의 항목

3. 개인정보의 처리 및 보유 기간

4. 개인정보의 제3자 제공에 관한 사항(해당하는 경우에만 정한다)

5. 개인정보의 파기에 관한 사항

6. 개인정보 처리 수탁자 담당자 연락처, 수탁자의 관리 현황 점검 결과 등 개인정보처리 위탁에 관한 사항(해당하는 경우에만 정한다)

7. 영 제30조제1항에 따른 개인정보의 안전성 확보조치에 관한 사항

8. 개인정보의 열람, 정정·삭제, 처리정지 요구권 등 정보주체의 권리·의무 및 그 행사방법에 관한 사항

9. 개인정보 처리방침의 변경에 관한 사항

10. 개인정보 보호책임자에 관한 사항

11. 개인정보의 열람청구를 접수·처리하는 부서

12. 정보주체의 권익침해에 대한 구제방법

제20조(개인정보 처리방침의 공개) ① 개인정보처리자가 법 제30조제2항에 따라 개인정보 처리방침을 수립하는 경우에는 인터넷 홈페이지를 통해 지속적으로 게재하여야 하며, 이 경우 "개인정보 처리방침"이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.

② 개인정보처리자가 인터넷 홈페이지를 운영하지 않는 경우 또는 인터넷 홈페이지 관리상의 하자가 있는 경우에는 영 제31조제3항 각 호의 어느 하나 이상의 방법으로 개인정보 처리방침을 공개하여야 한다. 이 경우에도 "개인정보 처리방침"이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.

③ 개인정보처리자가 영 제31조제3항제3호의 방법으로 개인정보 처리방침을 공개하는 경우에는 간행물·소식지·홍보지·청구서 등이 발행될 때마다 계속하여 게재하여야 한다.

제21조(개인정보 처리방침의 변경) 개인정보처리자가 개인정보 처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개하여야 하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개하여야 한다.

제4절 개인정보 보호책임자

제22조(개인정보 보호책임자의 공개) ① 개인정보처리자가 개인정보 보호책임자를 지정하거나 변경하는 경우 개인정보 보호책임자의 지정 및 변경 사실, 성명과 부서의 명칭, 전화번호 등 연락처를 공개하여야 한다.

② 개인정보처리자는 개인정보 보호책임자를 공개하는 경우 개인정보 보호와 관련한 고충처리 및 상담을 실제로 처리할 수 있는 연락처를 공개하여야 한다. 이 경우 개인정보 보호책임자와 개인정보 보호 업무를 처리하는 담당자의 성명, 부서의 명칭, 전화번호 등 연락처를 함께 공개할 수 있다.

제23조(개인정보 보호책임자의 교육) 영 제32조제3항에 따라 행정자치부장관이 개설 운영할 수 있는 개인정보 보호책임자에 대한 교육의 내용은 다음 각 호와 같다.

1. 개인정보 보호 관련 법령 및 제도의 내용

2. 법 제31조제2항 및 영 제32조제1항 각 호의 업무수행에 필요한 사항

3. 그 밖에 개인정보처리자의 개인정보 보호를 위하여 필요한 사항

제24조(교육계획의 수립 및 시행) ① 행정자치부장관은 매년 초 당해 연도 개인정보 보호책임자 교육계획을 수립하여 시행한다.

② 행정자치부장관은 제1항의 교육계획에 따라 사단법인 한국개인정보보호협의회 등의 단체에 개인정보 보호책임자 교육을 실시하게 할 수 있다.

③ 행정자치부장관은 개인정보 보호책임자가 지리적·경제적 여건에 구애받지 않고 편리하게 교육을 받은 수 있는 여건 조성을 위해 노력하여야 한다.

제5절 개인정보 유출 통지 및 신고 등

제25조(개인정보의 유출) 개인정보의 유출은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서 다음 각 호의 어느 하나에 해당하는 경우를 말한다.

1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우

2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우

3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우

4. 기타 권한이 없는 자에게 개인정보가 전달된 경우

제26조(유출 통지시기 및 항목) ① 개인정보처리자는 개인정보가 유출되었음을 알게 된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각 호의 사항을 알려야 한다. 다만 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 그로부터 5일 이내에 정보주체에게 알릴 수 있다.

1. 유출된 개인정보의 항목

2. 유출된 시점과 그 경위

3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

4. 개인정보처리자의 대응조치 및 피해구제절차

5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

② 개인정보처리자는 제1항 각 호의 사항을 모두 확인하기 어려운 경우에는 정보주체에게 다음 각 호의 사실만을 우선 알리고, 추후 확인되는 즉시 알릴 수 있다.

1. 정보주체에게 유출이 발생한 사실

2. 제1항의 통지항목 중 확인된 사항

③ 개인정보처리자는 개인정보 유출 사고를 인지하지 못해 유출 사고가 발생한 시점으로부터 5일 이내에 해당 정보주체에게 개인정보 유출 통지를 하지 아니한 경우에는 실제 유출 사고를 알게 된 시점을 입증하여야 한다.

제27조(유출 통지방법) ① 개인정보처리자는 정보주체에게 제26조제1항 각 호의 사항을 통지할 때에는 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통하여 지체 없이 정보주체에게 알려야 한다.

② 개인정보처리자는 제1항의 통지방법과 동시에, 홈페이지 등을 통하여 제26조제1항 각 호의 사항을 공개할 수 있다.

제28조(개인정보 유출신고 등) ① 개인정보처리자는 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 조치결과를 5일 이내에 행정자치부장관 또는 영 제39조제2항의 전문기관에게 신고하여야 한다.

② 제1항에 따른 신고는 별지 제1호서식에 따른 개인정보 유출신고서를 통하여 하여야 한다.

③ 개인정보처리자는 전자우편, 팩스 또는 영 제39조제2항에 따른 전문기관의 인터넷 사이트를 통하여 유출신고를 할 시간적 여유가 없거나 그밖에 특별한 사정이 있는 때에는 먼저 전화를 통하여 제26조제1항의 사항을 신고한 후, 별지 제1호서식에 따른 개인정보 유출신고서를 제출할 수 있다.

④ 개인정보처리자는 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 제26조제1항에 따른 통지와 함께 인터넷 홈페이지 등에 정보주체가 알아보기 쉽도록 제26조제1항 각 호의 사항을 7일 이상 게재하여야 한다.

제29조(개인정보 유출 사고 대응 매뉴얼 등) ① 다음 각 호의 어느 하나에 해당하는 개인정보처리자는 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 「개인정보 유출 사고 대응 매뉴얼」을 마련하여야 한다.

1. 법 제2조제6호에 따른 공공기관

2. 그 밖에 1만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리자

② 제1항에 따른 개인정보 유출 사고 대응 매뉴얼에는 유출 통지·조회 절차, 영업점·인터넷회선 확충 등 고객 민원 대응조치, 현장 혼잡 최소화 조치, 고객불안 해소조치, 피해자 구제조치 등을 포함하여야 한다.

③ 개인정보처리자는 개인정보 유출에 따른 피해복구 조치 등을 수행함에 있어 정보주체의 불편과 경제적 부담을 최소화할 수 있도록 노력하여야 한다.

제30조(개인정보 침해 사실의 신고 처리 등) ① 개인정보처리자의 개인정보 처리로 인하여 개인정보에 관한 권리 또는 이익을 침해받은 사람은 법 제62조제2항에 따른 개인정보침해 신고센터에 침해 사실을 신고할 수 있다.

② 제1항에 따른 개인정보침해 신고센터는 다음 각 호의 업무를 수행한다.

1. 개인정보 처리와 관련한 신고의 접수·상담

2. 개인정보 침해 신고에 대한 사실 조사·확인 및 관계자의 의견 청취

3. 개인정보처리자에 대한 개인정보 침해 사실 안내 및 시정 유도

4. 사실 조사 결과가 정보주체의 권리 또는 이익 침해 사실이 없는 것으로 판단되는 경우 신고의 종결 처리

5. 법 제43조에 따른 개인정보 분쟁조정위원회 조정 안내 등을 통한 고충 해소 지원

제6절 정보주체의 권리 보장

제31조(개인정보 열람 연기 사유의 소멸) ① 개인정보처리자가 법 제35조제3항 후문에 따라 개인정보의 열람을 연기한 후 그 사유가 소멸한 경우에는 정당한 사유가 없는 한 사유가 소멸한 날로부터 10일 이내에 열람하도록 하여야 한다.

② 정보주체로부터 영 제41조제1항제4호의 규정에 따른 개인정보의 제3자 제공 현황의 열람청구를 받은 개인정보처리자는 국가안보에 긴요한 사안으로 법 제35조제4항제3호마목의 규정에 따른 업무를 수행하는데 중대한 지장을 초래하는 경우, 제3자에게 열람청구의 허용 또는 제한, 거부와 관련한 의견을 조회하여 결정할 수 있다.

제32조(개인정보의 정정·삭제) ① 개인정보처리자가 법 제36조제1항에 따른 개인정보의 정정·삭제 요구를 받았을 때는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 그 개인정보를 조사하여 정보주체의 요구에 따라 정정·삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.

② 정보주체의 정정·삭제 요구가 법 제36조제1항 단서에 해당하는 경우에는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 삭제를 요구할 수 없는 근거법령의 내용을 정보주체에게 알려야 한다.

제33조(개인정보의 처리정지) ① 개인정보처리자가 정보주체로부터 법 제37조제1항에 따라 개인정보처리를 정지하도록 요구받은 때에는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 개인정보 처리의 일부 또는 전부를 정지하여야 한다. 다만, 법 제37조제2항 단서에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.

② 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 정당한 사유가 없는 한 처리정지의 요구를 받은 날로부터 10일 이내에 해당 개인정보의 파기 등 정보주체의 요구에 상응하는 조치를 취하고 그 결과를 정보주체에게 알려야 한다.

제34조(권리행사의 방법 및 절차) ① 개인정보처리자는 정보주체가 법 제38조제1항에 따른 열람등요구를 하는 경우에는 개인정보를 수집하는 방법과 동일하거나 보다 쉽게 정보주체가 열람요구 등 권리를 행사할 수 있도록 간편한 방법을 제공하여야 하며, 개인정보의 수집시에 요구되지 않았던 증빙서류 등을 요구하거나 추가적인 절차를 요구할 수 없다.

② 제1항의 규정은 영 제46조에 따라 본인 또는 정당한 대리인임을 확인하고자 하는 경우와 영 제47조에 따른 수수료와 우송료의 정산에도 준용한다.

제3장 영상정보처리기기 설치·운영

제1절 영상정보처리기기의 설치

제35조(적용범위) 이 장은 영상정보처리기기운영자가 공개된 장소에 설치·운영하는 영상정보처리기기와 이 기기를 통하여 처리되는 개인영상정보를 대상으로 한다.

제36조(영상정보처리기기 운영·관리 지침) ① 영상정보처리기기 운영·관리 지침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.

② 영상정보처리기기 운영·관리 지침을 마련한 경우에는 법 제30조에 따른 개인정보 처리방침을 정하지 아니하거나, 영상정보처리기기 설치·운영에 관한 사항을 법 제30조에 따른 개인정보 처리방침에 포함하여 정할 수 있다.

제37조(관리책임자의 지정) ① 영상정보처리기기운영자는 개인영상정보의 처리에 관한 업무를 총괄해서 책임질 관리책임자를 지정하여야 한다.

② 제1항의 관리책임자는 법 제31조제2항에 따른 개인정보 보호책임자의 업무에 준하여 다음 각 호의 업무를 수행한다.

1. 개인영상정보 보호 계획의 수립 및 시행

2. 개인영상정보 처리 실태 및 관행의 정기적인 조사 및 개선

3. 개인영상정보 처리와 관련한 불만의 처리 및 피해구제

4. 개인영상정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축

5. 개인영상정보 보호 교육 계획 수립 및 시행

6. 개인영상정보 파일의 보호 및 파기에 대한 관리·감독

7. 그 밖에 개인영상정보의 보호를 위하여 필요한 업무

③ 법 제31조에 따른 개인정보 보호책임자가 지정되어 있는 경우에는 그 개인정보 보호책임자가 관리책임자의 업무를 수행할 수 있다.

제38조(사전의견 수렴) 영상정보처리기기의 설치 목적 변경에 따른 추가 설치 등의 경우에도 영 제23조제1항에 따라 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다.

제39조(안내판의 설치) ① 영상정보처리기기운영자는 정보주체가 영상정보처리기기가 설치·운영 중임을 쉽게 알아볼 수 있도록 법 제25조제4항 본문에 따라 다음 각 호의 사항을 기재한 안내판 설치 등 필요한 조치를 하여야 한다.

1. 설치목적 및 장소

2. 촬영범위 및 시간

3. 관리책임자의 성명 또는 직책 및 연락처

4. 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우, 수탁자의 명칭 및 연락처

② 제1항에 따른 안내판은 촬영범위 내에서 정보주체가 알아보기 쉬운 장소에 누구라도 용이하게 판독할 수 있게 설치되어야 하며, 이 범위 내에서 영상정보처리기기운영자가 안내판의 크기, 설치위치 등을 자율적으로 정할 수 있다.

③ 공공기관의 장이 기관 내 또는 기관 간에 영상정보처리기기의 효율적 관리 및 정보 연계 등을 위해 용도별·지역별 영상정보처리기기를 물리적·관리적으로 통합하여 설치·운영(이하 ‘통합관리’라 한다)하는 경우에는 설치목적 등 통합관리에 관한 내용을 정보주체가 쉽게 알아볼 수 있도록 제1항에 따른 안내판에 기재하여야 한다.

제2절 개인영상정보의 처리

제40조(개인영상정보 이용·제3자 제공 등 제한 등) ① 영상정보처리기기운영자는 다음 각 호의 경우를 제외하고는 개인영상정보를 수집 목적 이외로 이용하거나 제3자에게 제공하여서는 아니 된다. 다만 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다.

1. 정보주체에게 동의를 얻은 경우

2. 다른 법률에 특별한 규정이 있는 경우

3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인영상정보를 제공하는 경우

5. 개인영상정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우

6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우

7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우

8. 법원의 재판업무 수행을 위하여 필요한 경우

9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

제41조(보관 및 파기) ① 영상정보처리기기운영자는 수집한 개인영상정보를 영상정보처리기기 운영·관리 방침에 명시한 보관 기간이 만료한 때에는 지체 없이 파기하여야 한다. 다만, 다른 법령에 특별한 규정이 있는 경우에는 그러하지 아니하다.

② 영상정보처리기기운영자가 그 사정에 따라 보유 목적의 달성을 위한 최소한의 기간을 산정하기 곤란한 때에는 보관 기간을 개인영상정보 수집 후 30일 이내로 한다.

③ 개인영상정보의 파기 방법은 다음 각 호의 어느 하나와 같다.

1. 개인영상정보가 기록된 출력물(사진 등) 등은 파쇄 또는 소각

2. 전자기적(電磁氣的) 파일 형태의 개인영상정보는 복원이 불가능한 기술적 방법으로 영구 삭제

제42조(이용·제3자 제공·파기의 기록 및 관리) ① 영상정보처리기기운영자는 개인영상정보를 수집 목적 이외로 이용하거나 제3자에게 제공하는 경우에는 다음 각 호의 사항을 기록하고 이를 관리하여야 한다.

1. 개인영상정보 파일의 명칭

2. 이용하거나 제공받은 자(공공기관 또는 개인)의 명칭

3. 이용 또는 제공의 목적

4. 법령상 이용 또는 제공근거가 있는 경우 그 근거

5. 이용 또는 제공의 기간이 정하여져 있는 경우에는 그 기간

6. 이용 또는 제공의 형태

② 영상정보처리기기운영자가 개인영상정보를 파기하는 경우에는 다음 사항을 기록하고 관리하여야 한다.

1. 파기하는 개인영상정보 파일의 명칭

2. 개인영상정보 파기 일시 (사전에 파기 시기 등을 정한 자동 삭제의 경우에는 파기 주기 및 자동 삭제 여부에 관한 확인 시기)

3. 개인영상정보 파기 담당자

제43조(영상정보처리기기 설치 및 관리 등의 위탁) ① 영상정보처리기기운영자가 영 제26조제1항에 따라 영상정보처리기기의 설치·운영에 관한 사무를 제3자에게 위탁하는 경우에는 그 내용을 정보주체가 언제든지 쉽게 확인할 수 있도록 영 제24조에 따른 안내판 및 영 제27조에 따른 영상정보처리기기 운영·관리 방침에 수탁자의 명칭 등을 공개하여야 한다.

② 영상정보처리기기운영자가 영 제26조제1항에 따라 영상정보처리기기의 설치·운영에 관한 사무를 제3자에게 위탁할 경우에는 그 사무를 위탁받은 자가 개인영상정보를 안전하게 처리하고 있는지를 관리·감독하여야 한다.

제3절 개인영상정보의 열람등 요구

제44조(정보주체의 열람등 요구) ① 정보주체는 영상정보처리기기운영자가 처리하는 개인영상정보에 대하여 열람 또는 존재확인(이하 "열람등"이라 한다)을 해당 영상정보처리기기운영자에게 요구할 수 있다. 이 경우 정보주체가 열람등을 요구할 수 있는 개인영상정보는 정보주체 자신이 촬영된 개인영상정보 및 명백히 정보주체의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 개인영상정보에 한한다.

② 영상정보처리기기운영자가 공공기관인 경우에는 해당 기관의 장에게 별지 제2호서식에 따른 개인영상정보 열람·존재확인 청구서(전자문서를 포함한다)로 하여야 한다.

③ 영상정보처리기기운영자는 제1항에 따른 요구를 받았을 때에는 지체 없이 필요한 조치를 취하여야 한다. 이때에 영상정보처리기기운영자는 열람등 요구를 한 자가 본인이거나 정당한 대리인인지를 주민등록증·운전면허증·여권 등의 신분증명서를 제출받아 확인하여야 한다.

④ 제3항의 규정에도 불구하고 다음 각 호에 해당하는 경우에는 영상정보처리기기운영자는 정보주체의 개인영상정보 열람등 요구를 거부할 수 있다. 이 경우 영상정보처리기기운영자는 10일 이내에 서면 등으로 거부 사유를 정보주체에게 통지하여야 한다.

1. 범죄수사·공소유지·재판수행에 중대한 지장을 초래하는 경우(공공기관에 한함)

2. 개인영상정보의 보관기간이 경과하여 파기한 경우

3. 기타 정보주체의 열람등 요구를 거부할 만한 정당한 사유가 존재하는 경우

⑤ 영상정보처리기기운영자는 제3항 및 제4항에 따른 조치를 취하는 경우 다음 각 호의 사항을 기록하고 관리하여야 한다.

1. 개인영상정보 열람등을 요구한 정보주체의 성명 및 연락처

2. 정보주체가 열람등을 요구한 개인영상정보 파일의 명칭 및 내용

3. 개인영상정보 열람등의 목적

4. 개인영상정보 열람등을 거부한 경우 그 거부의 구체적 사유

5. 정보주체에게 개인영상정보 사본을 제공한 경우 해당 영상정보의 내용과 제공한 사유

⑥ 정보주체는 영상정보처리기기운영자에게 정보주체 자신의 개인영상정보에 대한 파기를 요구하는 때에는 제1항에 의하여 보존을 요구하였던 개인영상정보에 대하여만 그 파기를 요구할 수 있다. 영상정보처리기기운영자가 해당 파기조치를 취한 경우에는 그 내용을 기록하고 관리하여야 한다.

제45조(개인영상정보 관리대장) 제42조제1항 및 제2항, 제44조제5항 및 제6항에 따른 기록 및 관리는 별지 제3호서식에 따른 ‘개인영상정보 관리대장’을 활용할 수 있다.

제46조(정보주체 이외의 자의 개인영상정보 보호) 영상정보처리기기운영자는 제44조제2항에 따른 열람등 조치를 취하는 경우, 만일 정보주체 이외의 자를 명백히 알아볼 수 있거나 정보주체 이외의 자의 사생활 침해의 우려가 있는 경우에는 해당되는 정보주체 이외의 자의 개인영상정보를 알아볼 수 없도록 보호조치를 취하여야 한다.

제4절 개인영상정보 보호 조치

제47조(개인영상정보의 안전성 확보를 위한 조치) 영상정보처리기기운영자는 개인영상정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 법 제29조 및 영 제30조제1항에 따라 안전성 확보를 위하여 다음 각 호의 조치를 하여야 한다.

1. 개인영상정보의 안전한 처리를 위한 내부 관리계획의 수립·시행, 다만 「개인정보의 안전성 확보조치 기준 고시」제2조제4호에 따른 ‘소상공인’은 내부관리계획을 수립하지 아니할 수 있다.

2. 개인영상정보에 대한 접근 통제 및 접근 권한의 제한 조치

3. 개인영상정보를 안전하게 저장·전송할 수 있는 기술의 적용 (네트워크 카메라의 경우 안전한 전송을 위한 암호화 조치, 개인영상정보파일 저장시 비밀번호 설정 등)

4. 처리기록의 보관 및 위조·변조 방지를 위한 조치 (개인영상정보의 생성 일시 및 열람할 경우에 열람 목적·열람자·열람 일시 등 기록·관리 조치 등)

5. 개인영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치

제48조(개인영상정보처리기기의 설치·운영에 대한 점검) ① 공공기관의 장이 영상정보처리기기를 설치·운영하는 경우에는 이 지침의 준수 여부에 대한 자체점검을 실시하여 다음 해 3월 31일까지 그 결과를 행정자치부장관에게 통보하고 영 제34조제3항에 따른 시스템에 등록하여야 한다. 이 경우 다음 각 호의 사항을 고려하여야 한다.

1. 영상정보처리기기의 운영·관리 방침에 열거된 사항

2. 관리책임자의 업무 수행 현황

3. 영상정보처리기기의 설치 및 운영 현황

4. 개인영상정보 수집 및 이용·제공·파기 현황

5. 위탁 및 수탁자에 대한 관리·감독 현황

6. 정보주체의 권리행사에 대한 조치 현황

7. 기술적·관리적·물리적 조치 현황

8. 영상정보처리기 설치·운영의 필요성 지속 여부 등

② 공공기관의 장은 제1항과 제3항에 따른 영상정보처리기기 설치·운영에 대한 자체점검을 완료한 후에는 그 결과를 홈페이지 등에 공개하여야 한다.

③ 공공기관 외의 영상정보처리기기운영자는 영상정보처리기기 설치·운영으로 인하여 정보주체의 개인영상정보의 침해가 우려되는 경우에는 자체점검 등 개인영상정보의 침해 방지를 위해 적극 노력하여야 한다.

제4장 공공기관 개인정보파일 등록·공개

제1절 총칙

제49조(적용대상) 이 장의 적용대상은 다음과 같다.

1. 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체

2. 「국가인권위원회법」에 따른 국가인권위원회

3. 「공공기관의 운영에 관한 법률」에 따른 공공기관

4. 「지방공기업법」에 따른 지방공사 및 지방공단

5. 특별법에 의하여 설립된 특수법인

6. 「초·중등교육법」,「고등교육법」및 그 밖의 다른 법률에 따라 설치된 각급 학교

제50조(적용제외) 이 장은 다음 각 호의 어느 하나에 해당하는 개인정보파일에 관하여는 적용하지 아니한다.

1. 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속기관을 포함한다)에서 관리하는 개인정보파일

2. 법 제32조제2항에 따라 적용이 제외되는 다음 각목의 개인정보파일

가. 국가안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일

나. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일

다. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일

라. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일

마. 다른 법령에 따라 비밀로 분류된 개인정보파일

3. 법 제58조제1항에 따라 적용이 제외되는 다음 각목의 개인정보파일

가. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보파일

나. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일

다. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일

4. 영상정보처리기기를 통하여 처리되는 개인영상정보파일

5. 자료·물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보파일

6.「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융기관이 금융업무 취급을 위해 보유하는 개인정보파일

제2절 개인정보파일의 등록주체와 절차

제51조(개인정보파일 등록 주체) ① 개인정보파일을 운용하는 공공기관의 개인정보 보호책임자는 그 현황을 행정자치부에 등록하여야 한다.

② 중앙행정기관, 광역자치단체, 특별자치시도, 기초자치단체는 행정자치부에 직접 등록하여야 한다.

③ 교육청 및 각급 학교 등은 교육부를 통하여 행정자치부에 등록하여야 한다.

④ 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관을 통하여 행정자치부에 등록하여야 한다.

제52조(개인정보파일 등록 및 변경 신청) ① 개인정보파일을 운용하는 공공기관의 개인정보취급자는 해당 공공기관의 개인정보 보호책임자에게 개인정보파일 등록을 신청하여야 한다.

② 개인정보파일 등록 신청 사항은 다음의 각 호와 같다. 신청은 「개인정보 보호법 시행규칙」(이하 "시행규칙"이라 한다) 제3조제2항에 따른 별지 제2호서식의 ‘개인정보파일 등록·변경등록 신청서‘를 활용할 수 있다.

1. 개인정보파일을 운용하는 공공기관의 명칭

2. 개인정보파일의 명칭

3. 개인정보파일의 운영 근거 및 목적

4. 개인정보파일에 기록되는 개인정보의 항목

5. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수

6. 개인정보의 처리 방법

7. 개인정보의 보유 기간

8. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자

9. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서

10. 개인정보의 열람 요구를 접수·처리하는 부서

11. 개인정보파일의 개인정보 중 법 제35조제4항에 따라 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유

12. 법 제33조제1항에 따른 개인정보 영향평가를 받은 개인정보파일의 경우에는 그 영향평가의 결과

③ 개인정보취급자는 등록한 사항이 변경된 경우에는 시행규칙 제3조제2항에 따른 별지 제2호서식의 ‘개인정보파일 등록·변경등록 신청서‘를 활용하여 개인정보 보호책임자에게 변경을 신청하여야 한다.

제53조(개인정보파일 등록 및 변경 확인) ① 개인정보파일 등록 또는 변경 신청을 받은 개인정보 보호책임자는 등록·변경 사항을 검토하고 그 적정성을 판단한 후 행정자치부에 등록하여야 한다.

② 교육청 및 각급 학교 등의 개인정보 보호책임자는 교육부에 제1항에 따른 등록·변경 사항의 검토 및 적정성 판단을 요청한 후, 교육부의 확인을 받아 행정자치부에 등록하여야 한다.

③ 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관에 제1항에 따른 등록·변경 사항의 검토 및 적정성 판단을 요청한 후, 상위 관리기관의 확인을 받아 행정자치부에 등록하여야 한다.

④ 제1항부터 제3항의 등록은 60일 이내에 하여야 한다.

제54조(개인정보파일 표준목록 등록과 관리) ① 특별지방행정기관, 지방자치단체, 교육기관(학교 포함) 등 전국적으로 단일한 공통업무를 집행하고 있는 기관은 각 중앙행정기관에서 제공하는 ‘개인정보파일 표준목록’에 따라 등록해야 한다.

② 전국 단일의 공통업무와 관련된 개인정보파일 표준목록은 해당 중앙부처에서 등록·관리해야 한다.

제55조(개인정보파일의 파기) ① 공공기관은 개인정보파일의 보유기간 경과, 처리 목적 달성 등 개인정보파일이 불필요하게 되었을 때에는 지체 없이 그 개인정보파일을 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.

② 공공기관은 개인정보파일의 보유기간, 처리 목적 등을 반영한 개인정보 파기계획을 수립·시행하여야 한다. 다만, 영 제30조제1항제1호에 따른 내부 관리계획이 수립되어 있는 경우에는 내부 관리계획에 개인정보 파기계획을 포함하여 시행할 수 있다.

③ 개인정보취급자는 보유기간 경과, 처리 목적 달성 등 파기 사유가 발생한 개인정보파일을 선정하고, 별지 제4호서식에 따른 개인정보파일 파기요청서에 파기 대상 개인정보파일의 명칭, 파기방법 등을 기재하여 개인정보 보호책임자의 승인을 받아 개인정보를 파기하여야 한다.

④ 개인정보 보호책임자는 개인정보 파기 시행 후 파기 결과를 확인하고 별지 제5호서식에 따른 개인정보파일 파기 관리대장을 작성하여야 한다.

제56조(개인정보파일 등록 사실의 삭제) ① 개인정보취급자는 제55조에 따라 개인정보파일을 파기한 경우, 법 제32조에 따른 개인정보파일의 등록사실에 대한 삭제를 개인정보 보호책임자에게 요청해야 한다.

② 개인정보파일 등록의 삭제를 요청받은 개인정보 보호책임자는 그 사실을 확인하고, 지체 없이 등록 사실을 삭제한 후 그 사실을 행정자치부에 통보한다.

제57조(등록·파기에 대한 개선권고) ① 공공기관의 개인정보 보호책임자는 제53조제1항에 따라 검토한 개인정보파일이 과다하게 운용되고 있다고 판단되는 경우에는 개선을 권고할 수 있다.

② 교육청 및 각급 학교, 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관의 개인정보 보호책임자는 제53조제2항 및 제53조제3항에 따라 검토한 개인정보파일이 과다하게 운용된다고 판단되거나, 등록되지 않은 파일이 있는 것으로 확인되는 경우에는 개선을 권고할 수 있다.

③ 행정자치부장관은 개인정보파일의 등록사항과 그 내용을 검토하고 다음 각 호의 어느 하나에 해당되는 경우에는 법 제32조제3항에 따라 해당 공공기관의 개인정보 보호책임자에게 개선을 권고할 수 있다.

1. 개인정보파일이 과다하게 운용된다고 판단되는 경우

2. 등록하지 않은 개인정보파일이 있는 경우

3. 개인정보파일 등록 사실이 삭제되었음에도 불구하고 개인정보파일을 계속 보유하고 있는 경우

4. 개인정보 영향평가를 받은 개인정보파일을 보유하고 있음에도 그 결과를 등록사항에 포함하지 않은 경우

5. 기타 법 제32조에 따른 개인정보파일의 등록 및 공개에 위반되는 사항이 있다고 판단되는 경우

④ 행정자치부장관은 제3항에 따라 개선을 권고한 경우에는 그 내용 및 결과에 대하여 개인정보 보호위원회의 심의·의결을 거쳐 공표할 수 있다.

⑤ 행정자치부장관은 공공기관의 개인정보파일 등록·파기 현황에 대한 점검을 실시할 수 있다.

제3절 개인정보파일의 관리 및 공개

제58조(개인정보파일대장 작성) 공공기관은 1개의 개인정보파일에 1개의 개인정보파일대장을 작성해야 한다.

제59조(개인정보파일 이용·제공 관리) 공공기관은 법 제18조제2항 각 호에 따라 제3자가 개인정보파일의 이용·제공을 요청한 경우에는 각각의 이용·제공 가능 여부를 확인하고 별지 제6호서식의 ‘개인정보 목적 외 이용·제공대장’에 기록하여 관리해야 한다.

제60조(개인정보파일 보유기간의 산정) ① 보유기간은 전체 개인정보가 아닌 개별 개인정보의 수집부터 삭제까지의 생애주기로서 보유목적에 부합된 최소기간으로 산정하되, 개별 법령의 규정에 명시된 자료의 보존기간에 따라 산정해야 한다.

② 개별 법령에 구체적인 보유기간이 명시되어 있지 않은 경우에는 개인정보 보호책임자의 협의를 거쳐 기관장의 결재를 통하여 산정해야 한다. 다만, 보유기간은 별표 1의 개인정보파일 보유기간 책정 기준표에서 제시한 기준과「공공기록물 관리에 관한 법률 영」에 따른 기록관리기준표를 상회할 수 없다.

③ 정책고객, 홈페이지회원 등의 홍보 및 대국민서비스 목적의 외부고객 명부는 특별한 경우를 제외하고는 2년을 주기로 정보주체의 재동의 절차를 거쳐 동의한 경우에만 계속하여 보유할 수 있다.

제61조(개인정보파일 현황 공개 및 방법) ① 공공기관의 개인정보 보호책임자는 개인정보파일의 보유·파기현황을 주기적으로 조사하여 그 결과를 해당 공공기관의 개인정보 처리방침에 포함하여 관리해야 한다.

② 행정자치부장관은 개인정보파일 등록 현황을 누구든지 쉽게 열람할 수 있도록 공개하여야 한다.

③ 행정자치부는 전 공공기관의 개인정보파일 등록 및 삭제 현황을 종합하여 매년 공개해야 하며, 개인정보파일 현황 공개에 관한 업무를 전자적으로 처리하기 위하여 정보시스템을 구축·운영할 수 있다.

제5장 보칙

제62조(친목단체에 대한 벌칙조항의 적용배제) ① 친목단체의 개인정보처리자에 대하여는 법 제75조제1항제1호, 법 제75조제2항제1호, 법 제75조제3항제7호 및 법 제75조제3항제8호의 벌칙을 적용하지 아니한다.

② 제1항에서 규정한 사항을 제외한 벌칙규정은 친목단체의 개인정보처리자에 대하여도 적용한다.

제63조(처리 중인 개인정보에 관한 경과조치) ① 법 시행 전에 근거법령 없이 개인정보를 수집한 경우 당해 개인정보를 보유하는 것은 적법한 처리로 본다. 다만, 이 법 시행 이후 기존의 수집목적 범위 내에서 이용하는 경우를 제외하고 개인정보를 새롭게 처리하는 경우에는 법, 영, 시행규칙 및 이 지침에 따라야 한다.

② 법 시행 전에 법률의 근거 또는 정보주체의 동의 없이 제3자로부터 개인정보를 제공받아 목적 외의 용도로 이용하고 있는 개인정보처리자는 정보주체의 동의를 받아야 한다.

③ 법 시행 전에 개인정보를 수집한 개인정보처리자는 기존의 수집목적 범위에도 불구하고 제1항 단서 및 제2항을 준수하기 위하여 새롭게 정보주체의 동의를 받을 목적으로 법 시행 전에 수집한 개인정보를 이용할 수 있다.

부칙<제2016-00호,2016.6.00.> 이 규정은 발령한 날부터 시행한다.

[별지 제1호서식]

개인정보 유출신고서

기관명

정보주체에의

통지 여부

유출된 개인정보의 항목 및 규모

유출된 시점과

그 경위

유출피해 최소화 대책ㆍ조치 및 결과

정보주체가 할 수 있는 피해 최소화 방법 및 구제절차

담당부서ㆍ담당자 및 연락처

성명

부서

직위

연락처

개인정보

보호책임자

개인정보

취급자

유출신고접수기관

기관명

담당자명

연락처

[별지 제2호서식]

(앞 쪽)

개인영상정보(□ 존재확인 □ 열람 ) 청구서

※ 아래 유의사항을 읽고 굵은 선 안쪽의 사항만 적어 주시기 바랍니다.

처리기한

10일 이내

청구인

성명

전화번호

생년월일

정보주체와의 관계

주소

정보주체의

인적사항

성명

전화번호

생년월일

주소

청구내용

(구체적으로 요청하지 않으면 처리가 곤란할 수 있음)

영상정보기록기간

(예 : 2011.01.01 18:30 ~ 2011.01.01 19:00)

영상정보처리기기 설치장소

(예 : 00시 00구 00대로 0 인근 CCTV)

청구 목적 및 사유

「표준 개인정보 보호지침」제44조에 따라 위와 같이 개인영상정보의 존재확인, 열람을 청구합니다.

년 월 일

청구인 (서명 또는 인)

○○○○ 귀하

담당자의 청구인에 대한 확인 서명

[별지 제3호서식]

개인영상정보 관리대장

번호

구분

일시

파일명/

형태

담당자

목적/

사유

이용․

제공받는 제3자

/열람등 요구자

이용․

제공 근거

이용․제공 형태

기간

1

□ 이용

□ 제공

□ 열람

□ 파기

2

□ 이용

□ 제공

□ 열람

□ 파기

3

□ 이용

□ 제공

□ 열람

□ 파기

4

□ 이용

□ 제공

□ 열람

□ 파기

5

□ 이용

□ 제공

□ 열람

□ 파기

6

□ 이용

□ 제공

□ 열람

□ 파기

7

□ 이용

□ 제공

□ 열람

□ 파기

[별지 제4호서식]

개인정보파일 파기 요청서

작성일

작성자

파기 대상 개인정보파일

생성일자

개인정보취급자

주요 대상업무

현재 보관건수

파기 사유

파기 일정

특기사항

파기 승인일

승인자

(개인정보 보호책임자)

파기 장소

파기 방법

파기 수행자

입회자

폐기 확인 방법

백업 조치 유무

매체 폐기 여부

[별지 제5호서식]

개인정보파일 파기 관리대장

번호

개인정보

파일명

자료의 종류

생성일

폐기일

폐기사유

처리담당자

처리부서장

[별지 제6호서식]

개인정보 목적 외 이용․제공 대장

구분

주요내용

① 개인정보파일명

② 이용․제공받는 기관

③ 이용․제공일자

④ 이용․제공주기

⑤ 이용․제공형태

⑥ 이용․제공목적

⑦ 이용․제공근거

⑧ 이용․제공항목

⑨ 비고

[별표 1호]

개인정보파일 보유기간 책정 기준표

보유기간

대상 개인정보파일

영구

1. 국민의 지위, 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일

2. 국민의 건강증진과 관련된 업무를 수행하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일

준영구

1. 국민의 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 개인이 사망, 폐지 그 밖의 사유로 소멸되기 때문에 영구 보존할 필요가 없는 개인정보파일

2. 국민의 신분증명 및 의무부과, 특정대상 관리 등을 위하여 행정기관이 구축하여 운영하는 행정정보시스템의 데이터 셋으로 구성된 개인정보파일

30년

1. 관계 법령에 따라 10년 이상 30년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일

10년

1. 관계 법령에 따라 5년 이상 10년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일

5년

1. 관계 법령에 따라 3년 이상 5년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일

3년

1. 행정업무의 참고 또는 사실 증명을 위하여 1년 이상 3년 미만의 기간 동안 보존할 필요가 있는 개인정보파일

2. 관계 법령에 따라 1년 이상 3년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일

3. 각종 증명서 발급과 관련된 개인정보파일(단 다른 법령에서 증명서 발급 관련 보유기간이 별도로 규정된 경우 해당 법령에 따름)

1년

1. 상급기관(부서)의 요구에 따라 단순 보고를 위해 생성한 개인정보파일

'IT, 저작권 이야기' 카테고리의 다른 글

인터넷 서비스 가입시 주민등록 번호를 수집한 정보통신서비스 제공자에 대한 손해배상 요구 (0)	2016.10.28
필수자료: 개인정보 수집,제공 작성 가이드라인 (0)	2016.10.26
인터넷 자기게시물 접근배체요청권 가이드라인(출처: 방송통신위원회) (0)	2016.10.26
유럽 사법재판소 판결 유동IP 주소는 개인정보 (0)	2016.10.24
개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원) (0)	2016.10.24

Trackback: Comment:

인터넷 자기게시물 접근배체요청권 가이드라인(출처: 방송통신위원회)

Posted by techshield

2016. 10. 26. 11:18 IT, 저작권 이야기

｢인터넷 자기게시물 접근배제요청권 가이드라인｣(안)

2016. 04.

1.

기본방향

o 2014년 유럽사법재판소(ECJ)가 이용자의 시효가 지난 채무 관련 기사에 대해 검색사업자의 검색목록 삭제 책임을 인정한 이후, 소위 ‘잊힐 권리’의 도입방안에 대해 활발한 국내외 논의가 이루어지고 있으나,

- 세부내용에 있어서는 다양한 주장과 시각이 제기되고, 해당 권리가 적용된 EU에서도 프라이버시와 표현의 자유 등 권리 간의 균형과 조화 및 법제화 방안에 대한 논란이 지속

o 한국의 경우 EU와 달리 제3자 게시물에 대해 임시조치 등* 기존 구제수단이 있으나, 자기게시물의 경우 회원 탈퇴 등으로 관리권을 상실한 경우 이용자의 명백한 의사에도 불구하고 구제가 곤란

* 저작권법상 구제수단(복제자료), 언론중재법상 구제수단(언론기사), 정보통신망법상 구제수단(제3자 권리침해 게시물) 등 기존 제도를 적극 활용 가능

o 이에 따라, 사각지대에 있는 자기게시물에 대한 관리권을 상실한 이용자를 효과적으로 구제하면서도 표현의 자유 침해 등 부작용을 최소화할 수 있도록 필요최소한의 범위에서 가이드라인을 마련

2.

목 적

o 본 가이드라인은 헌법상의 개인정보 자기결정권, 행복추구권 및 사생활의 비밀과 자유, 그리고, 정보통신망법상의 정보통신서비스제공자의 책무 등에 근거하여 이용자 본인이 인터넷상 게시한 게시물에 대하여 타인의 접근 배제를 요청할 수 있는 권리 (이하 “자기게시물 접근배제요청권”이라 한다)를 보장

o 정보통신서비스 제공자는 이용자의 개인정보를 보호하고 건전하고 안전한 정보통신서비스를 제공하여 이용자 권익을 보호할 책무를 부담하므로, 이용자의 자기게시물 접근배제요청 의사를 존중하여 표현의 자유 및 알권리 등과 적절한 조화를 이루도록 노력

< 자기게시물 접근배제요청 개요 >

이

용

자

본

인

① 이용자 본인이 직접 자기게시물 삭제 시도

② 직접 삭제가 어려운 경우, 게시판 관리자에게 접근배제 요청

③ 게시판 관리자의 접근배제 조치 후, 검색목록 배제를 원하는 경우 검색서비스사업자에게 검색목록 배제 요청

※ (예외) 게시판 관리자가 사이트 관리 중단 등으로 접근배제 조치를 취하지 않는 경우, 검색서비스 사업자에게 직접 검색목록 배제 요청

(요청) (통지)

사

업

자

< 게시판 관리자 >

- 블라인드 처리 방법으로 접근배제 조치 실시

< 검색서비스 사업자 >

- 캐시 등을 삭제하여 검색목록에서 배제하는 방법으로 접근배제 조치 실시

(이의신청) (통지)

제

3

자

접근배제 요청인이 아닌 자신이 해당 게시물을 게시한 것임을 주장하는 제3자가 접근재개 요청

3.

이용자 본인의 접근배제 요청

[권리행사 대상 : 자기게시물 및 사자(死者)게시물]

o 정보통신망을 통하여 이용자 본인이 게시한 글(댓글 포함), 사진, 동영상 및 이에 준하는 기타 게시물

o 사자(死者)가 생전에 접근배제요청권의 행사를 위임한 지정인 또는 사자(死者)의 유족*이 접근배제를 요청하는 경우, 사자(死者)가 정보통신망을 통하여 게시한 글(댓글 포함), 사진, 동영상 및 이에 준하는 기타 게시물(지정인과 유족의 의견이 다른 경우에는 특별한 사정이 없는 한 지정인의 의견에 따른다)

* 유족 : 사망한 사람의 배우자와 직계비속으로 한정하되, 배우자와 직계비속이 모두 없는 경우에는 직계존속이, 직계존속도 없는 경우에는 형제자매가 그 유족이 되며, 같은 순위의 유족이 2명 이상 있는 경우에는 유족 전원이 합의하여 요청권 행사

※ 지정인이나 유족은 사망사실증명서, 접근배제요청인 지정서(p.9 참조)나 가족관계증명서 등 사자(死者)와의 관계 증명을 위해 필요한 서류 및 접근배제 요청 게시물이 사자가 게시한 게시물임을 입증할 수 있는 자료를 제출하여 접근배제 요청

< 권리행사 대상 예시 >

◈ 자기 게시물에 댓글이 달려 게시물 내용을 인터넷에서 삭제하기 어려운 경우

◈ 회원 탈퇴 또는 1년간 계정 미사용 등으로 회원정보가 파기됨에 따라 이용자 본인이 직접 삭제하기 어려운 게시물인 경우

◈ 회원 계정정보를 분실하여 이용자 본인이 삭제하기 어려운 경우

◈ 게시판 관리자가 사업의 폐지 등으로 사이트 관리를 중단한 경우 (검색서비스 사업자에 대해서 검색목록 배제의 방법으로 접근배제를 요청)

◈ 사자(死者)가 생전에 접근배제요청권의 행사를 위임한 지정인 또는 유족이 사자(死者)의 인터넷 게시물에 대한 접근배제를 요청하는 경우

◈ 게시판 관리자가 게시물 삭제 권한을 제공하지 않아, 이용자가 스스로 게시물을 삭제할 수 없는 경우

[권리행사 주체 및 상대방]

o (주체) 자연인 누구든지 가능(법인 제외)

o (상대방) 정보통신망을 이용한 게시판을 직접 관리‧운영하는 정보통신서비스 제공자(이하 ‘게시판 관리자’) 또는 정보통신망을 이용한 검색 서비스를 제공하는 사업자(이하 ‘검색서비스 사업자’)

※ 국내에서 한국어 서비스를 제공하는 해외 사업자 포함

[요청 방법 및 절차]

o 자기게시물 접근배제요청권을 행사하고자 하는 자는 우선 이용자 본인이 직접 해당 게시물을 삭제할 수 있는지 시도

※ 이용자 본인이 직접 해당 게시물을 삭제할 수 있는 경우, 사업자는 자기게시물 접근배제요청 거부 가능

o 이용자 본인이 직접 게시물을 삭제하기 어려운 경우, 게시판 관리자에게 인터넷에 게재된 자기게시물의 접근배제를 요청

※ 타인의 게시물에 대하여 부당한 방법을 통해 허위로 접근배제를 요청하는 경우, 관련 법률에 따라 민사‧형사상의 책임을 부담할 수 있음

- 이용자 본인(이하 ‘요청인’)은 접근배제요청시 아래와 같이 요청인이 게시한 자기게시물임을 입증할 수 있는 자료 등을 첨부

< 자기게시물 접근배제 요청시 제출하여야 하는 항목 >

1. 접근배제를 원하는 게시물 및 게시물의 위치자료(URL)

2. 요청인이 해당 게시물을 게시하였다는 사실을 입증할 수 있는 자료

3. 접근배제를 요청하는 사유

※ [별지 2] 자기게시물 접근배제 요청서(예시) 참조(p.10)

o 게시판 관리자가 접근배제 조치를 취하는 경우, 검색목록의 배제를 추가적으로 원하는 요청인은 게시판 관리자의 접근배제 조치사실을 입증할 수 있는 자료(접근배제통보서)를 첨부하여 검색서비스 사업자에게 검색목록 배제를 요청

o 다만, 게시판 관리자의 사이트 관리 중단 등 특별한 사유*로 인해 게시판 관리자가 접근배제 조치를 취하지 않는 경우, 요청인은 증빙자료**를 첨부하여 검색서비스 사업자에게 검색목록 배제를 요청

* 특별한 사유 : ① 게시판 관리자가 사업을 폐지한 경우, ② 기타 게시판이 사실상 운영되지 않아 게시물 접근배제가 어렵다고 검색서비스 사업자가 판단하는 경우

** 자기게시물 접근배제 요청시의 제출항목, 특별한 사유 중 ①에 해당하는 경우에는 국세청 홈페이지에서 확인한 폐업확인 자료 등

4.

사업자의 접근배제 판단‧조치

[접근배제 판단·조치]

o 게시판 관리자의 경우

- 게시판 관리자는 요청인이 제출한 입증자료를 종합적으로 고려하여 해당 게시물이 이용자 본인의 자기게시물이라고 합리적으로 판단되는 경우, 해당 게시물에 대한 블라인드 처리 방법으로 지체없이 접근배제 조치 실시

< 자기게시물 판단방법 예시 >

그림 예시

설명

<이용자 본인이 게시하였음을 확인할 수 있는 다양한 입증자료를 종합적으로 고려>

o 게시물*에서 나타나는 성별‧나이‧직장‧학교‧거주지역‧사진 및 동영상 인물 등 각종 정보와의 동일성 확인

* 접근배제 요청 게시물, 동일 서비스 내에 같은 ID/별명/IP주소로 게시한 타 게시물

※ 허위 신청 등으로 인해 부당하게 게시물이 삭제될 가능성이 있으므로, 게시판 관리자는 해당 게시물을 블라인드 처리하여 게시물에 대한 제3자의 접근을 방지

o 검색서비스 사업자의 경우

- (게시판 관리자가 접근배제 조치를 취한 경우) 검색서비스 사업자는 요청인의 접근배제요청서 및 게시판 관리자의 접근배제통보서를 기초로 지체없이 캐시 등을 삭제하여 검색목록에서 배제하는 방법으로 접근배제 조치를 실시

- (게시판 관리자가 접근배제 조치를 취하지 않은 경우) 게시판 관리자의 사이트 관리 중단 등 특별한 사유*가 있어 요청인이 검색서비스 사업자에게 곧바로 검색목록 배제를 요청하는 경우, 검색서비스 사업자는 증빙자료를 기초로 검색목록 배제 여부를 결정하여 조치

[접근배제 예외기준]

o 게시판 관리자 및 검색서비스 사업자(이하 ‘게시판 관리자 등’)는 아래의 경우, 요청인의 접근배제요청 거부 가능

- 접근배제를 요청받은 게시물이 다른 법률 또는 법령에서 위임한 명령 등에 따라 접근차단 또는 삭제가 금지되어 게시판 관리자 등이 해당 게시물의 보존의무를 부담하는 경우 (법원의 증거보전결정 등에 따라 보존의무가 있는 경우 등 포함)

- 접근배제를 요청받은 게시물이 공익과 상당한 관련성이 있는 경우 (정무직 공무원 등 공인이 자신의 공적 업무와 관련하여 게시한 게시물인 경우 혹은 공직자 및 언론기관 관계인 등이 게시한 게시물이 그 업무에 관한 것으로서 공적 관심사에 해당하는 경우)

5.

결과 통보 및 제3자의 이의신청

[접근배제 결과 통보]

o 제출 자료에 의해 자기게시물임이 입증되어 접근배제 조치를 취한 경우, 게시판 관리자 등은 접근배제 결정 게시물 및 그 위치자료, 접근배제 일시 등을 우편․모사전송․전자우편 등의 방법 중 하나 이상으로 접근배제 요청인에게 통보

- 게시판 관리자는 접근배제 조치를 한 게시물에 대해서, 게시자의 요청으로 접근배제 조치를 하였다는 사실을 해당 게시물 자리에 공시하는 등의 방법으로 제3자가 알 수 있도록 조치

o 자기게시물임이 입증되지 않거나 접근배제 예외기준에 해당하여 접근배제 요청을 거부하는 경우, 게시판 관리자 등은 접근배제 거부게시물 및 그 위치자료, 거부사유 등을 우편․모사전송․전자우편 등의 방법 중 하나 이상으로 접근배제 요청인에게 통보

[제3자의 이의신청]

o 이의신청 주체 : 해당 게시물에 대해, 접근배제 요청인이 게시한 것이 아니라 자신이 게시한 것임을 주장하는 제3자

o 접근배제 조치된 게시물에 관하여 권리를 주장하는 이의신청인은 게시판 관리자 등에게 접근재개를 요구하는 사유 및 이에 대한 입증자료를 첨부하여 접근재개를 요청

o 게시판 관리자 등은 이의신청인의 제출 자료에 의하여 이의신청 사유가 입증된 경우 즉시 접근재개 조치를 취하고, 접근배제 요청인 및 이의신청인에게 접근배제 결과통보와 동일한 방법으로 접근재개 게시물, 접근재개 예정일, 접근재개 사유 등을 통보

※ [별지3] 접근재개 요청서(예시) 참조(p.12)

[접근배제‧재개 거부]

o 사업자는 요청인 또는 이의신청인이 제출한 입증자료가 불충분한 경우 추가적인 입증자료를 요청할 수 있으며, 입증이 충분치 않다고 판단되는 경우 접근배제‧재개 요청 거부 가능

[별지 제1호] (앞쪽)

※ 접수일자

※ 접수번호

접근배제요청인 지정서

신청인

성 명

전자우편

전화번호

지정인

성 명

전자우편

전화번호

신청인과의 관계

지정 대상

게시판 관리자

(또는 검색서비스사업자)

지정 사유

지정인의

접근배제요청

제한 범위

(제한 사항이 없을 경우 생략)

위와 같이 접근배제요청인을 지정합니다.

년 월 일

(서명 또는 인)

게시판 관리자 ○ ○ ○ ○ ○ 귀하

(또는 검색서비스사업자)

<개인정보의 수집 및 이용 동의 안내>

1. 수집하려는 개인정보의 항목

- 신청인 및 지정인의 성명, 전화번호, 전자우편, 신청인과 지정인의 인적 관계

2. 개인정보의 수집 및 이용 목적

- 본인 식별 절차 및 자기게시물 접근배제요청인 지정업무, 접근배제 요청업무의 처리

3. 개인정보의 이용 및 보유기간

- 수집된 정보는 자기게시물 접근배제 요청 처리 및 접근재개 요청 처리 완료시까지 보유

4. 동의를 거부할 권리가 있으며, 거부시 접근배제요청인 지정 및 접근배제 요청 업무 처리에 제한이 있을 수 있습니다.

본인은 위 항목에 대한 개인정보 수집․이용․보유에 동의합니다.

신청인 (서명 또는 인) 지정인 (서명 또는 인)

210mm×297mm(일반용지60g/㎡(재활용품))

[별지 제2호] (앞쪽)

※ 접수일자

※ 접수번호

자기게시물 접근배제 요청서

접근배제 요청인

(권리 주장자)

성 명

전자우편

전화번호

접근배제 요청 게시물

※ 대량일 경우 뒤쪽 사용

접근배제 요청 게시물의

위치자료(URL)

※ 대량일 경우 뒤쪽 사용

자기게시물

접근배제

요청 사유

위와 같이 게시물의 접근배제를 요청하오니 즉시 조치하여 주시기 바랍니다.

년 월 일

신청인 (서명 또는 인)

게시판 관리자 ○ ○ ○ ○ ○ 귀하

(또는 검색서비스사업자)

<개인정보의 수집 및 이용 동의 안내>

1. 수집하려는 개인정보의 항목

- 성명, 전화번호, 전자우편, 요청인이 제출한 자기게시물 입증자료에 포함된 ID, IP주소 등의 개인정보 (요청인의 제출 자료에 따라서 수집 개인정보가 상이할 수 있음)

2. 개인정보의 수집 및 이용 목적

- 본인 식별 절차 및 자기게시물 접근배제 요청 처리

3. 개인정보의 보유 및 이용기간

- 자기게시물 접근배제 요청 처리 및 접근재개 요청 처리 완료시까지

4. 동의를 거부할 권리가 있으며, 거부시 접근배제 요청 처리에 제한이 있을 수 있습니다.

본인은 위 항목에 대한 개인정보 수집․이용․보유에 동의합니다.

신청인 (서명 또는 인)

※ 첨부서류

1. 요청인 또는 사자(死者)가 해당 게시물을 게시하였다는 사실을 입증할 수 있는 자료

2. 사자(死者) 게시물에 대하여 접근배제요청 지정인이 접근배제를 요청하는 경우, 지정 사실을 입증할 수 있는 접근배제요청인지정서

210mm×297mm(일반용지60g/㎡(재활용품))

(뒤쪽)

No

접근배제 요청 게시물

접근배제 요청 게시물의 위치자료(URL)

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

[별지 제3호]

(앞쪽)

※ 접수일자

※ 접수번호

접근재개 요청서

접근재개 요청인

(이의신청인)

성 명

전자우편

전화번호

재개 요청 게시물

※ 대량일 경우 뒤쪽 사용

재개 요청 게시물의 위치자료 (URL)

※ 대량일 경우 뒤쪽 사용

중단 일시

접근재개

요청 사유

위와 같이 검색배제 게시물의 접근재개를 요청합니다.

년 월 일

(서명 또는 인)

게시판 관리자 ○ ○ ○ ○ ○ 귀하

(또는 검색서비스사업자)

<개인정보의 수집 및 이용 동의 안내>

1. 수집하려는 개인정보의 항목

- 성명, 전화번호, 전자우편, 요청인이 제출한 접근재개 사유의 입증자료에 포함된 ID, IP주소 등의 개인정보 (요청인의 제출 자료에 따라서 수집 개인정보가 상이할 수 있음)

2. 개인정보의 수집 및 이용 목적

- 본인 식별 절차 및 자기게시물 접근재개 요청 처리

3. 개인정보의 보유 및 이용기간

- 수집된 정보는 자기게시물 접근배제 요청 처리 및 접근재개 요청 처리 완료시까지

4. 동의를 거부할 권리가 있으며, 거부시 접근재개 요청 처리에 제한이 있을 수 있습니다.

본인은 위 항목에 대한 개인정보 수집․이용․보유에 동의합니다.

신청인 (서명 또는 인)

※ 첨부서류

1. 접근재개 사유가 존재함을 입증할 수 있는 자료

210mm×297mm(일반용지60g/㎡(재활용품))

(뒤쪽)

No

접근재개 요청 게시물

접근재개 요청 게시물의 위치자료 (URL)

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

인터넷_자기게시물_접근배제요청권_가이드라인.hwp

필수자료: 개인정보 수집,제공 작성 가이드라인 (0)	2016.10.26
표준개인정보보호지침(출처: 행자부 고시 제2016-21호) (0)	2016.10.26
유럽 사법재판소 판결 유동IP 주소는 개인정보 (0)	2016.10.24
개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원) (0)	2016.10.24
KT 유출사고 (0)	2016.10.24

Trackback: Comment:

운영모드 정리

Posted by techshield

ECB

CBC

CFB

OFB

CTR

장점

- 간단하고

신속한 장점

- 기밀성 낮음

패턴반복성X

패팅불요

패팅불요

패딩불요

고속처리

OFB와 같은 스트림 암호

에러전이

X

O

2개의

평문블록)

O

그 후의 모든

암호문에 대한

에러전이

X

X

병렬처리

암호화, O

복호화 O

암호화 병렬X

복호화병렬 O

복호화병렬 O

암호화병렬 X

암호화X

복호화X

암호화O
복호화O

구조

암/복호화 같은 구조

암/복호화 같은 구조

위성과 같은

NOISY채널에 사용

단점

기밀성이 낮음

패턴

패턴 O

패턴반복성 X

공격

암호문 삭제,

교체에

의한 평문조작

적극적 공격자가 암호문 비트반전시키면

대응 평문블록이 비트 반전

암호문

비트반전시키면

대응 평문블록이 비트 반전

재전송 공격

O

O

초기화

벡터

비밀일 필요는 없으나 무결성

(미리약속)

초기화벡터에 대한 공격 가능

1단계 앞에 블록이 없으므로

랜덤비트열

사용

개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0)	2016.11.03
퇴직급여, 연말정산, 카드회사 관련 개인정보 (0)	2016.11.03
복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다. (0)	2016.11.03
정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다 (0)	2016.10.30
암호문 공격 분류 (0)	2016.10.25

Trackback: Comment:

암호문 공격 분류

Posted by techshield

암호문에 대한 공격은 다음과 같이 구분할 수 있습니다.

암호문단독공격

(COA)

Ciphertext only

Attack

- 공격자가 암호키를 사용하여 같은 알고리즘으로 암호화된

암호문 집합보유한 경우 이용합니다.

- 평문을 찾거나, 암호키를 찾거나,

- 암호화할수 있는 새로운 알고리즘을 발견하는 것을

목적으로 합니다.

기지평문공격

(KPA)

Known plain text Attack

- 암호문 뿐만 아니라 대응되는 평문을 보유한 경우

사용합니다.

- 암호문/평문쌍을 선택할 수는 없다는 것이

선택평문공격과의 차이점 입니다.

- 암호키를 찾거나 암혹문을 복호화할수 있는

  새로운 알고리즘을 발견하는 것을 목적으로 하는 점은

  동일합니다.

선택평문공격

(CPA)

Chosen Plaintext Attack

- 공격자가 평문과 암호문쌍의 유한집합을 의미합니다.

- 차이점은 공격자는 자신이 원하는

평문과 암호문쌍을 가질수 있으므로, 기지평문공격과

차이점이 있습니다.

- 다만, 공격이 시작된 이후에는 새로운 쌍을 얻을 수

없습니다.

- 하지만, 적응적 선택평문공격(Adaptive CPA)에서는

  공격을하면서 평문과 암호문 쌍 얻을 수 있습니다.

선택암호문 공격

(CCA)

Chosen

Cipher text Attack

- 암호문에 대응하는 평문을 얻을 수 있습니다.

- 주로 공개키 알고리즘을 분석할 때 사용하며

  가장 강력한 공격방법에 해당합니다.

개인정보의 자기결정권 헌법재판소 판례와 OECD 가이드라인 신입사원채용시 입사지원서 동의 (0)	2016.11.03
퇴직급여, 연말정산, 카드회사 관련 개인정보 (0)	2016.11.03
복지서비스 제공을 위해서 회사는 별도의 동의가 불필요합니다. (0)	2016.11.03
정보주체의 동의 없이 명예훼손 관련 CCTV영상정보를 제3자(입주자대표)ㅇ에게 제공한 아파트관리사무소에 대한 손해배상책임을 인정했다 (0)	2016.10.30
운영모드 정리 (0)	2016.10.26

Trackback: Comment:

유럽 사법재판소 판결 유동IP 주소는 개인정보

Posted by techshield

1. 경위

독일 대법원으로부터 CJEU는 Preliminary Ruling으로 다음 2가지 사항에 대해 eu directive에 따라 검토요청을 받았습니다.
1) 유동 IP가 개인정보에 해당하는 지
2) 웹사이트의 보안과 운여을 위해 개인정보를 처리하는 것

그 질문의 내용은 다음과 같습니다.

1) Must Article 2(a) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (1) — the Data Protection Directive — be interpreted as meaning that an Internet Protocol address (IP address) which a service provider stores when his website is accessed already constitutes personal data for the service provider if a third party (an access provider) has the additional knowledge required in order to identify the data subject?

2) Does Article 7(f) of the Data Protection Directive preclude a provision in national law under which a service provider may collect and use a user’s personal data without his consent only to the extent necessary in order to facilitate, and charge for, the specific use of the telemedium by the user concerned, and under which the purpose of ensuring the general operability of the telemedium cannot justify use of the data beyond the end of the particular use of the telemedium

ip 주소를 이용자가 접속한 기간 이외에 이보다 길게 저장하는 것이 가능하냐가 문제가 될 것입니다.

2. 판결내용

- 2016년 10월 19일 유럽사법재판소(CJEU)가 Patrick Breyer v Germany 건에서 다음과 같이 판결하였습니다.

- 유동 ip와 관련하여

EU directive 2(a)에 따라 간접적으로 개인을 식별할 수 있는 정보도 개인정보에해당하며, 이성적으로 사용할 수 있는 정보(컨트롤러 뿐만 아니라) 다른 사람에의해서도, 식별될 경우 개인정보에 해당하며

이는 곧, 모든 식별할 수 있는 정보가 한 사람에 있어야 하는 것은

아님을 의미합니다.

- 운영을 위한 처리에 관련하여
CJEU판결에 명시적으로 언급된 것은 아니나, 개별 이용자들의 개인정보 처리에 대해 법률적인 이익이 있다는 것을 의미한 것이라 볼 수 있습니다.

결론적으로, 유동 IP의 경우 설령 웹사이트 운영자가 IP주소를 통해 개인을 식별하지는 못한다고 하더라도, ISP가 IP주소와 결합하여 개인을 식별할 수 있으므로 개인정보에 해당합니다.

그 판결문은 다음과 같습니다.

출처:http://curia.europa.eu/juris/document/document.jsf?text=&docid=184668&pageIndex=0&doclang=en&mode=req&dir=&occ=first&part=1&cid=1143961

JUDGMENT OF THE COURT (Second Chamber)

19 October 2016 (*)

(Reference for a preliminary ruling — Processing of personal data — Directive 95/46/EC — Article 2(a) — Article 7(f) — Definition of ‘personal data’ — Internet protocol addresses — Storage of data by an online media services provider — National legislation not permitting the legitimate interest pursued by the controller to be taken into account)

In Case C‑582/14,

REQUEST for a preliminary ruling under Article 267 TFEU, from the Bundesgerichtshof (Federal Court of Justice, Germany), made by decision of 28 October 2014, received at the Court on 17 December 2014, in the proceedings

Patrick Breyer

Bundesrepublik Deutschland,

THE COURT (Second Chamber),

composed of M. Ilešič, President of the Chamber, A. Prechal, A. Rosas (Rapporteur), C. Toader and E. Jarašiūnas, Judges,

Advocate General: M. Campos Sánchez-Bordona,

Registrar: V. Giacobbo-Peyronnel, Administrator,

having regard to the written procedure and further to the hearing on 25 February 2016,

after considering the observations submitted on behalf of:

– Mr Breyer, by M. Starostik, Rechtsanwalt,

– the German Government, by A. Lippstreu and T. Henze, acting as Agents,

– the Austrian Government, by G. Eberhard, acting as Agent,

– the Portuguese Government, by L. Inez Fernandes and C. Vieira Guerra, acting as Agents,

– the European Commission, by P.J.O. Van Nuffel and H. Krämer, and P. Costa de Oliveira and J. Vondung, acting as Agents,

after hearing the Opinion of the Advocate General at the sitting on 12 May 2016,

gives the following

Judgment

1 This request for a preliminary ruling concerns the interpretation of Article 2(a) and 7(f) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ 1995 L 281, p. 31).

2 The request has been made in proceedings between Mr Patrick Breyer and the Bundesrepublik Deutschland (Federal Republic of Germany) concerning the registration and storage by the latter of the internet protocol address (‘IP address’) allocated to Mr Breyer when he accessed several internet sites run by German Federal institutions.

Legal context

EU law

3 Recital 26 of Directive 95/46 reads as follows:

‘Whereas the principles of protection must apply to any information concerning an identified or identifiable person; whereas, to determine whether a person is identifiable, account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person; whereas the principles of protection shall not apply to data rendered anonymous in such a way that the data subject is no longer identifiable; whereas codes of conduct within the meaning of Article 27 may be a useful instrument for providing guidance as to the ways in which data may be rendered anonymous and retained in a form in which identification of the data subject is no longer possible.’

4 Article 1 of that directive provides:

‘1. In accordance with this Directive, Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data.

2. Member States shall neither restrict nor prohibit the free flow of personal data between Member States for reasons connected with the protection afforded under paragraph 1.’

5 Article 2 of the same directive provides:

‘For the purpose of this Directive:

(a) “Personal data” shall mean any information relating to an identified or identifiable natural person (“data subject”); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;

(b) “processing of personal data” (“processing”) shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organisation, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;

…

(d) “controller” shall mean the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data; where the purposes and means of processing are determined by national or Community laws or regulations, the controller or the specific criteria for his nomination may be designated by national or Community law;

…

(f) “third party” shall mean any natural or legal person, public authority, agency or any other body other than the data subject, the controller, the processor and the persons who, under the direct authority of the controller or the processor, are authorised to process the data;

…’

6 Article 3 of Directive 95/46, entitled ‘Scope’, provides:

‘1. This Directive applies to the processing of personal data wholly or partly by automated means, and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system.

2. This Directive shall not apply to the processing of personal data:

– in the course of an activity which falls outside the scope of Community law, such as those provided for by Titles V and VI of the Treaty on European Union and in any case to processing operations concerning public security, defence, State security (including the economic well-being of the State when the processing operation relates to State security matters) and the activities of the State in areas of criminal law,

…’

7 Article 5 of that directive reads as follows:

‘Member States shall, within the limits of the provisions of this Chapter, determine more precisely the conditions under which the processing of personal data is lawful.’

8 Article 7 of the directive is worded as follows:

‘Member States shall provide that personal data may be processed only if:

(a) the data subject has unambiguously given his consent; or

(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; or

(d) processing is necessary in order to protect the vital interests of the data subject; or

(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller or in a third party to whom the data are disclosed; or

(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed, except where such interests are overridden by the interests for fundamental rights and freedoms of the data subject which require protection under Article 1(1).’

9 Article 13(1) of Directive 95/46 provides:

‘Member States may adopt legislative measures to restrict the scope of the obligations and rights provided for in Articles 6(1), 10, 11(1), 12 and 21 when such a restriction constitutes a necessary measures to safeguard:

…

(d) the prevention, investigation, detection and prosecution of criminal offences, or of breaches of ethics for regulated professions;

…’

German law

10 Paragraph 12 of the Telemediengesetz (Law on telemedia) of 26 February 2007 (BGBl. 2007 I, p. 179, ‘TMG’), provides:

‘(1) A service provider may collect and use personal data to make telemedia available only in so far as this law or another legislative provision expressly relating to telemedia so permits or the user has consented to it.

(2) Where personal data have been supplied in order for telemedia to be made available, a service provider may use them for other purposes only in so far as this law or another legislative provision expressly relating to telemedia so permits or the user has consented to it.

(3) Except as otherwise provided, the provisions concerning the protection of personal data which are applicable in the case in question shall apply even if the data are not processed automatically.’

11 Paragraph 15 of the TMG provides:

‘(1) A service provider may collect and use the personal data of a user only to the extent necessary in order to facilitate, and charge for, the use of telemedia (data concerning use). Data concerning use include, in particular:

1. particulars for the identification of the user,

2. information about the beginning, end and extent of the particular use, and

3. information about the telemedia used by the user.

(2) A service provider may combine the data concerning use of a user relating to the use of different telemedia to the extent that this is necessary for purposes of charging the user.

…

(4) A service provider may use data concerning use after the end of the use to the extent that they are required for purposes of charging the user (invoicing data). The service provider may block the data in order to comply with existing limits on storage periods laid down by law, statutes or contract.’

12 Under Paragraph 3(1) of the Bundesdatenschutzgesetz (Federal Data Protection Law) of 20 December 1990 (BGBl. 1990 I, p. 2954, ‘personal data are individual indications concerning the personal or factual circumstances of an identified or identifiable natural person (data subject). …’.

The dispute in the main proceedings and the questions referred for a preliminary ruling

13 Mr Breyer has accessed several websites operated by German Federal institutions. On the websites, which are accessible to the public, those institutions provide topical information.

14 With the aim of preventing attacks and making it possible to prosecute ‘pirates’, most of those websites store information on all access operations in logfiles. The information retained in the logfiles after those sites have been accessed include the name of the web page or file to which access was sought, the terms entered in the search fields, the time of access, the quantity of data transferred, an indication of whether access was successful, and the IP address of the computer from which access was sought.

15 IP addresses are series of digits assigned to networked computers to facilitate their communication over the internet. When a website is accessed, the IP address of the computer seeking access is communicated to the server on which the website consulted is stored. That connection is necessary so that the data accessed maybe transferred to the correct recipient.

16 Furthermore, it is clear from the order for the reference and the documents before the Court that internet service providers allocate to the computers of internet users either a ‘static’ IP address or a ‘dynamic’ IP address, that is to say an IP address which changes each time there is a new connection to the internet. Unlike static IP addresses, dynamic IP addresses do not enable a link to be established, through files accessible to the public, between a given computer and the physical connection to the network used by the internet service provider.

17 Mr Breyer brought an action before the German administrative courts seeking an order restraining the Federal Republic of Germany from storing, or arranging for third parties to store, after consultation of the websites accessible to the public run by the German Federal institutions’ online media services, the IP address of the applicant’s host system except in so far as its storage is unnecessary in order to restore the availability of those media in the event of a fault occurring.

18 Since Mr Breyer’s action at first instance was dismissed, he brought an appeal against that decision.

19 The court of appeal varied that decision in part. It ordered the Federal Republic of Germany to refrain from storing or arranging for third parties to store, at the end of each consultation period, the IP address of the host system from which Mr Breyer sought access, which was transmitted when he consulted publicly accessible websites of the German Federal institutions’ online media, where that address is stored together with the date of the consultation period to which it relates and where Mr Breyer has revealed his identity during that use, including in the form of an electronic address mentioning his identity, except in so far as that storage is not necessary in order to restore the dissemination of those media in the event of a fault occurring.

20 According to the court of appeal, a dynamic IP address, together with the date on which the website was accessed to which that address relates constitutes, if the user of the website concerned has revealed his identity during that consultation period, personal data, because the operator of that website is able to identify the user by linking his name to his computer’s IP address.

21 However, the court of appeal held that Mr Breyer’s action could not be upheld in other situations. If Mr Breyer does not reveal his identity during a consultation period, only the internet service provider could connect the IP address to an identified subscriber. However, in the hands of the Federal Republic of Germany, in its capacity as provider of online media services, the IP address is not personal data, even in combination with the date of the consultation period to which it relates, because the user of the websites concerned is not identifiable by that Member State.

22 Mr Breyer and the Federal Republic of Germany each brought an appeal on a point of law before the Bundesgerichtshof (Federal Court of Justice, Germany) against the decision of the appeal court. Mr Breyer sought to have his application for an injunction upheld in its entirety. The Federal Republic of Germany sought to have it dismissed.

23 The referring court states that the dynamic IP addresses of Mr Breyer’s computer stored by the Federal Republic of Germany, acting in its capacity as an online media services provider, are, at least in the context of other data stored in daily files, specific data on Mr Breyer’s factual circumstances, given that they provide information relating to his use of certain websites or certain internet files on certain dates.

24 Nevertheless, the data stored does not enable Mr Breyer to be directly identified. The operators of the websites at issue in the main proceedings can identify Mr Breyer only if the information relating to his identity is communicated to them by his internet service provider. The classification of those data as ‘personal data’ thus depends on whether Mr Breyer is identifiable.

25 The Bundesgerichtshof (Federal Court of Justice) refers to the academic disagreement relating to whether, in order to determine whether someone is identifiable, an ‘objective’ or ‘relative’ criterion must be used. The application of an ‘objective’ criterion would have the consequence that data such as the IP addresses at issue in the main proceedings may be regarded, at the end of the period of use of the websites at issue, as being personal data even if only a third party is able to determine the identity of the data subject, that third party being, in the present case, Mr Breyer’s internet service provider, which stored the additional data enabling his identification by means of those IP addresses. According to a ‘relative’ criterion, such data may be regarded as personal data in relation to an entity such as Mr Breyer’s internet service provider because they allow the user to be precisely identified (see, in that connection, judgment of 24 November 2011, Scarlet Extended, C‑70/10, EU:C:2011:771, paragraph 51), but not being regarded as such with respect to another entity, since that operator does not have, if Mr Breyer has not disclosed his identity during the consultation of those websites, the information necessary to identify him without disproportionate effort.

26 If the dynamic IP addresses of Mr Breyer’s computer, together with the date of the relevant consultation period, were to be considered as constituting personal data, the referring court asks whether the storage of those IP addresses at the end of that consultation period is authorised by Article 7(f) of that directive.

27 In that connection, the Bundesgerichtshof (Federal Court of Justice) states, first, that under Paragraph 15(1) of the TMG, online media services providers may collect and use the personal data of a user only to the extent that that is necessary to facilitate and charge for the use of those media. Second, the referring court states that, according to the Federal Republic of Germany, storage of those data is necessary to guarantee the security and continued proper functioning of the online media services that it makes accessible to the public, in particular, enabling cyber attacks known as ‘denial-of-service’ attacks, which aim to paralyse the functioning of the sites by the targeted and coordinated saturation of certain web servers with huge numbers of requests, to be identified and combated.

28 According to the referring court, if and to the extent it is necessary for the online media services provider to take measures to combat such attacks, those measures may be regarded as necessary to ‘facilitate … the use of telemedia’ pursuant to Paragraph 15 of the TMG. However, academic opinion mostly supports the view, first, that the collection and use of personal data relating to the user of a website is authorised only in order to facilitate the specific use of that website and, second, that those data must be deleted at the end of period of consultation concerned if they are not data required for billing purposes. Such a restrictive reading of Paragraph 15(1) of the TMG would prevent the storage of IP addresses from being authorised in order to guarantee in a general manner the security and continued proper functioning of online media.

29 The referring court asks whether that interpretation, which is the interpretation advocated by the court of appeal, is in accordance with Article 7(f) of Directive 95/46, having regard, in particular with the criteria laid down by the Court in paragraph 29 et seq. of the judgment of 24 November 2011, ASNEF and FECEMD (C‑468/10 and C‑469/10, EU:C:2011:777).

30 In those circumstances the Bundesgerichtshof (Federal Court of Justice) decided to stay the proceedings before it and to refer the following questions to the Court for a preliminary ruling:

‘(1) Must Article 2(a) of Directive 95/46 … be interpreted as meaning that an internet protocol address (IP address) which an [online media] service provider stores when his website is accessed already constitutes personal data for the service provider if a third party (an access provider) has the additional knowledge required in order to identify the data subject?

(2) Does Article 7(f) of [that directive] preclude a provision in national law under which a service provider may collect and use a user’s personal data without his consent only to the extent necessary in order to facilitate, and charge for, the specific use of the telemedium by the user concerned, and under which the purpose of ensuring the general operability of the telemedium cannot justify use of the data beyond the end of the particular use of the telemedium?’

Consideration of the questions referred for a preliminary ruling

The first question

31 By its first question, the referring court asks essentially whether Article 2(a) of Directive 95/46 must be interpreted as meaning that a dynamic IP address registered by an online media services provider when a person accesses a website that that provider makes accessible to the public constitutes, with regard to that service provider, personal data within the meaning of that provision, where, only a third party, in the present case the internet service provider, has the additional data necessary to identify him.

32 According to that provision, ‘personal data’ ‘mean any information relating to an identified or identifiable natural person (“data subject”)’. Pursuant to that provision, an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his or her physical, physiological, mental, economic, cultural or social identity.

33 As a preliminary point, it must be noted that, in paragraph 51 of the judgment of 24 November 2011, Scarlet Extended (C‑70/10, EU:C:2011:771), which concerned inter alia the interpretation of the same directive, the Court held essentially that the IP addresses of internet users were protected personal data because they allow users to be precisely identified.

34 However, that finding by the Court related to the situation in which the collection and identification of the IP addresses of internet users is carried out by internet service providers.

35 In the present case, the first question concerns the situation in which it is the online media services provider, namely the Federal Republic of Germany, which registers IP addresses of the users of a website that it makes accessible to the public, without having the additional data necessary in order to identify those users.

36 Furthermore, it is common ground that the IP addresses to which the national court refers are ‘dynamic’ IP addresses, that is to say provisional addresses which are assigned for each internet connection and replaced when subsequent connections are made, and not ‘static’ IP addresses, which are invariable and allow continuous identification of the device connected to the network.

37 The referring court’s first question is based therefore on the premiss, first, that data consisting in a dynamic IP address and the date and time that a website was accessed from that IP address registered by an online media services provider do not, without more, give the service provider the possibility to identify the user who consulted that website during that period of use and, second, the internet services provider has additional data which, if combined with the IP address would enable the user to be identified.

38 In that connection, it must be noted, first of all, that it is common ground that a dynamic IP address does not constitute information relating to an ‘identified natural person’, since such an address does not directly reveal the identity of the natural person who owns the computer from which a website was accessed, or that of another person who might use that computer.

39 Next, in order to determine whether, in the situation described in paragraph 37 of the present judgment, a dynamic IP address constitutes personal data within the meaning of Article 2(a) of Directive 96/45 in relation to an online media services provider, it must be ascertained whether such an IP address, registered by such a provider, may be treated as data relating to an ‘identifiable natural person’ where the additional data necessary in order to identify the user of a website that the services provider makes accessible to the public are held by that user’s internet service provider.

40 In that connection, it is clear from the wording of Article 2(a) of Directive 95/46 that an identifiable person is one who can be identified, directly or indirectly.

41 The use by the EU legislature of the word ‘indirectly’ suggests that, in order to treat information as personal data, it is not necessary that that information alone allows the data subject to be identified.

42 Furthermore, recital 26 of Directive 95/46 states that, to determine whether a person is identifiable, account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person.

43 In so far as that recital refers to the means likely reasonably to be used by both the controller and by ‘any other person’, its wording suggests that, for information to be treated as ‘personal data’ within the meaning of Article 2(a) of that directive, it is not required that all the information enabling the identification of the data subject must be in the hands of one person.

44 The fact that the additional data necessary to identify the user of a website are held not by the online media services provider, but by that user’s internet service provider does not appear to be such as to exclude that dynamic IP addresses registered by the online media services provider constitute personal data within the meaning of Article 2(a) of Directive 95/46.

45 However, it must be determined whether the possibility to combine a dynamic IP address with the additional data held by the internet service provider constitutes a means likely reasonably to be used to identify the data subject.

46 Thus, as the Advocate General stated essentially in point 68 of his Opinion, that would not be the case if the identification of the data subject was prohibited by law or practically impossible on account of the fact that it requires a disproportionate effort in terms of time, cost and man-power, so that the risk of identification appears in reality to be insignificant.

47 Although the referring court states in its order for reference that German law does not allow the internet service provider to transmit directly to the online media services provider the additional data necessary for the identification of the data subject, it seems however, subject to verifications to be made in that regard by the referring court that, in particular, in the event of cyber attacks legal channels exist so that the online media services provider is able to contact the competent authority, so that the latter can take the steps necessary to obtain that information from the internet service provider and to bring criminal proceedings.

48 Thus, it appears that the online media services provider has the means which may likely reasonably be used in order to identify the data subject, with the assistance of other persons, namely the competent authority and the internet service provider, on the basis of the IP addresses stored.

49 Having regard to all the foregoing considerations, the answer to the first question is that Article 2(a) of Directive 95/46 must be interpreted as meaning that a dynamic IP address registered by an online media services provider when a person accesses a website that the provider makes accessible to the public constitutes personal data within the meaning of that provision, in relation to that provider, where the latter has the legal means which enable it to identify the data subject with additional data which the internet service provider has about that person.

The second question

50 By its second question, the referring court asks essentially whether Article 7(f) of Directive 95/46 must be interpreted as precluding the legislation of a Member State under which an online media services provider may collect and use a user’s personal data without his consent only to the extent necessary in order to facilitate, and charge for, the specific use of those services by the user concerned, and under which the purpose of ensuring the general operability of those services cannot justify use of the data beyond the end of the particular use of them.

51 Before answering that question, it must be determined whether the processing of personal data at issue in the main proceedings, that is dynamic IP addresses of users of certain websites of the German Federal institutions, is excluded from the scope of Directive 95/46 under Article 3(2), first indent thereof, pursuant to which that directive does not apply to personal data processing operations concerning, in particular, the activities of the State in areas of criminal law.

52 In that connection, it must be recalled that the activities mentioned by way of examples by that provision are, in any event, activities of the State or of State authorities and unrelated to the fields of activity of individuals (see judgments of 6 November 2003, Lindqvist, C‑101/01, EU:C:2003:596, paragraph 43, and of 16 December 2008, Satakunnan Markkinapörssi and Satamedia, C‑73/07, EU:C:2008:727, paragraph 41).

53 In the present case, subject to verifications to be made in that regard by the referring court, it appears that the German Federal institutions, which provide the online media services and which are responsible for the processing of dynamic IP addresses act, in spite of their status as public authorities, as individuals and outside the activities of the State in the area of criminal law.

54 Therefore, it must be determined whether the legislation of a Member State, such as that at issue in the main proceedings, is compatible with Article 7(f) of Directive 95/46.

55 To that end, it is important to recall that the national legislation at issue in the main proceedings, as interpreted in the restrictive sense described by the referring court, authorises the collection and use of personal data relating to a user of those services, without his consent, only to the extent that is necessary to facilitate and charge for the specific use of online media by the user concerned, even though the objective aiming to ensure the general capacity relating to the functioning of the online media may justify the use of those data at the end of that period of use of such media.

56 Pursuant to Article 7(f) of Directive 95/46, personal data may be processed if ‘processing is necessary for the purposes of the legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection under Article 1(1)’ of the Directive.

57 The Court has held that Article 7 of Directive 95/46 sets out an exhaustive and restrictive list of cases in which the processing of personal data can be regarded as being lawful and that the Member States cannot add new principles relating to the lawfulness of the processing of personal data or impose additional requirements that have the effect of amending the scope of one of the six principles provided for in that article (see, to that effect, judgment of 24 November 2011, ASNEF and FECEMD, C‑468/10 and C‑469/10, EU:C:2011:777, paragraphs 30 and 32).

58 Article 5 of Directive 95/46 authorises Member States to specify, within the limits of Chapter II of that directive and, accordingly, Article 7 thereof, the conditions under which the processing of personal data is lawful, the margin of discretion which Member States have pursuant to Article 5 can therefore be used only in accordance with the objective pursued by that directive of maintaining a balance between the free movement of personal data and the protection of private life. Under Article 5 of Directive 95/46, Member States also cannot introduce principles relating to the lawfulness of the processing of personal data other than those listed in Article 7 thereof, nor can they amend, by additional requirements, the scope of the six principles provided for in Article 7 (see, to that effect, judgment of 24 November 2011, ASNEF and FECEMD, C‑468/10 and C‑469/10, EU:C:2011:777, paragraphs 33, 34 and 36).

59 In the present case, it appears that Paragraph 15 of the TMG, if it were interpreted in the strict manner mentioned in paragraph 55 of the present judgment, has a more restrictive scope than that of the principle laid down in Article 7(f) of Directive 95/46.

60 Whereas Article 7(f) of that directive refers, in a general manner, to ‘the legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed’, Paragraph 15 of the TMG authorises the service provider to collect and use personal data of a user only in so far as that is necessary in order to facilitate, and charge for, the particular use of electronic media. Therefore, Paragraph 15 of the TMG precludes the storage of personal data, after the consultation of online media, in a general manner in order to guarantee the use of those media. The German Federal institutions, which provide online media services, may also have a legitimate interest in ensuring, in addition to the specific use of their publicly accessible websites, the continued functioning of those websites.

61 Thus, as the Advocate General pointed out, in points 100 and 101 of his Opinion, such national legislation goes further than defining the notion of ‘legitimate interests’ in Article 7(f) of Directive 95/46, in accordance with Article 5 of Directive 95/46.

62 Article 7(f) of that directive precludes Member States from excluding, categorically and in general, the possibility of processing certain categories of personal data without allowing the opposing rights and interests at issue to be balanced against each other in a particular case. Thus, Member States cannot definitively prescribe, for certain categories of personal data, the result of the balancing of the opposing rights and interests, without allowing a different result by virtue of the particular circumstances of an individual case (see, to that effect, judgment of 24 November 2011, ASNEF and FECEMD, C‑468/10 and C‑469/10, EU:C:2011:777, paragraphs 47 and 48).

63 As regards the processing of personal data of the users of online media websites, legislation, such as that at issue in the main proceedings, reduces the scope of the principle laid down in Article 7(f) of Directive 95/46 by excluding the possibility to balance the objective of ensuring the general operability of the online media against the interests or fundamental rights and freedoms of those users which, in accordance with that provision, calls for protection under Article 1(1) of that directive.

64 It follows from all of the foregoing considerations that the answer to the second question is that Article 7(f) of Directive 95/46 must be interpreted as meaning that it precludes the legislation of a Member State under which an online media services provider may collect and use personal data relating to a user of those service, without his consent, only in so far as the collection and use of that information are necessary to facilitate and charge for the specific use of those services by that user, even though the objective aiming to ensure the general operability of those services may justify the use of those data after consultation of those websites.

Costs

65 Since these proceedings are, for the parties to the main proceedings, a step in the action pending before the national court, the decision on costs is a matter for that court. Costs incurred in submitting observations to the Court, other than the costs of those parties, are not recoverable.

On those grounds, the Court (Second Chamber) hereby rules:

1. Article 2(a) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data must be interpreted as meaning that a dynamic IP address registered by an online media services provider when a person accesses a website that the provider makes accessible to the public constitutes personal data within the meaning of that provision, in relation to that provider, where the latter has the legal means which enable it to identify the data subject with additional data which the internet service provider has about that person.

2. Article 7(f) of Directive 95/46 must be interpreted as precluding the legislation of a Member State, pursuant to which an online media services provider may collect and use personal data relating to a user of those services, without his consent, only in so far as that the collection and use of that data are necessary to facilitate and charge for the specific use of those services by that user, even though the objective aiming to ensure the general operability of those services may justify the use of those data after a consultation period of those websites.

필수자료: 개인정보 수집,제공 작성 가이드라인 (0)	2016.10.26
표준개인정보보호지침(출처: 행자부 고시 제2016-21호) (0)	2016.10.26
인터넷 자기게시물 접근배체요청권 가이드라인(출처: 방송통신위원회) (0)	2016.10.26
개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원) (0)	2016.10.24
KT 유출사고 (0)	2016.10.24

Trackback: Comment:

스마트폰앱 개인정보보호 가이드라인(한국인터넷진흥원)

Posted by techshield

법률조항

조항 문구

주요 내용

위반시 조치

제30조

이용자의 권리 등

o 본인 관련하여 열람, 제공 및 오류정정 요구 가능 (➁항)

1. 이용자의 개인정보

2. 이용자의 개인정보 이용 및 제3자 제공 현황

3. 제3자 제공자에게 이용자의 개인정보 수집·이용·제공 등의 동의한 현황

o 과태료 (3천만원이하)

o 시정명령 (제64조4항)

o 이용자가 동의 철회 요구시 지체없이 필요한 조치(➂항)

o 이용자가 열람 또는 제공 요구시 지체없이 조치 (➃항)

o 이용자가 오류 정정 요구시 지체없이 정정 또는 못하는 사유를 고지하는 등 필요한 조치하고, 그 경우 이용자의 개인정보 이용·제공 불가 (➄항)

o 징역 (5년 이하),

벌금 (5천만원 이하)

o 시정명령 (제64조4항)

o 동의 철회, 열람·제공 또는 오류의 정정을 요구하는 방법은 수집방법보다 쉬워야 함 (➅항)

o 과태료 (3천만원이하)

o 시정명령 (제64조4항)

o 영업양수자등에 대해서도 이 조항을 준용(➆항)

o 징역 (5년 이하),

벌금 (5천만원 이하)

o 시정명령 (제64조4항)

제30조의2

개인정보 이용내역의 통지

o 대통령령이 정하는 기준＊에 해당 하는 자는 동의를 받고 수집한 이용자의 개인정보의 이용내역(제3자 제공 및 취급위탁 포함)을 주기적으로 통지 의무 (➀항)

o 과태료 (3천만원이하)

o 시정명령 (제64조4항)

o 이용자에게 통지해야 하는 정보의 종류, 통지 주기 및 방법 등은 대통령령으로 정함 (➁항)

제31조

법정대리인의 권리

o 만14세 미만 아동의 개인정보 수집·이용·제공 등의 동의는 법정 대리인의 동의를 획득해야 하고, 그 아동에게 필요 최소한 법정대리인의 정보 요구 가능 (➀항)

o 징역 (5년 이하),

벌금 (5천만원 이하)

o 과징금 (매출액 3% 이하)

o 시정명령 (제64조4항)

o 법정대리인의 동의 철회,열람 또는 오류 정정의요구는 제30조➂항~➄항을 준용 (➁항)

o 징역 (5년 이하),

벌금 (5천만원 이하)

o 과태료 (3천만원이하)

o 시정명령 (제64조4항)

제32조

손해배상

o 이용자가 손해를 입으면 손해배상 청구 가능, 단, 고의 및 과실이 없음에 대한 책임은 정보통신사업자 제공자등이 입증 의무

-

제63조

국외 이전 개인정보의 보호

o 망법을 위반하는 내용으로 국제계약 체결 불가(➀항)

o 시정명령 (제64조4항)

o 개인정보 국외 이전시 이용자의 동의 의무(➁항)

o ➁항에 따른 동의시 사전 고지 사항(➂항)

- 이전되는 개인정보 항목

- 이전되는 국가, 이전일시 및 이전방법

- 이전받는 자의 성명(법인은 명칭, 책임자 연락처)

- 이전받는 자의 개인정보 이용목적 및 보유·이용기간

o 동의 받아 국외 이전시 보호조치 강구(➃항)

제67조

방송사업자에 대한 준용

o 지상파·종합유선·위성·방송채널사용사업자·공동체라디오·중계유선·음악유선·전송망사업자전광판방송사업자는 시청자의 개인정보 수집·이용 또는 제공하는 경우 제22조부터 제32조까지 준용(➀항)

해당 벌칙 적용

o 수탁자에 관해서는 제22조부터 24조의2와 제26조부터 제31조까지 준용 (➁항)

표준 개인정보 유출사고 대응 매뉴얼 (0)	2017.01.09
개인정보 안전성 확보조치 기준 (0)	2017.01.09
개인정보보호 소득세법 기부금 영수증처리 (0)	2016.11.03
개인정보안전성확보조치기준(행자부 고시, 2016.9.1 시행) (0)	2016.10.27
사업자 개인정보보호 자율검검 체크리스트(한국인터넷진흥원) (0)	2016.10.24

Trackback: Comment:

사업자 개인정보보호 자율검검 체크리스트(한국인터넷진흥원)

Posted by techshield

표준 개인정보 유출사고 대응 매뉴얼 (0)	2017.01.09
개인정보 안전성 확보조치 기준 (0)	2017.01.09
개인정보보호 소득세법 기부금 영수증처리 (0)	2016.11.03
개인정보안전성확보조치기준(행자부 고시, 2016.9.1 시행) (0)	2016.10.27
스마트폰앱 개인정보보호 가이드라인(한국인터넷진흥원) (0)	2016.10.24

Trackback: Comment:

개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원)

Posted by techshield

[ 정보통신서비스 제공자등을 위한 ]

개인정보 유출 대응 매뉴얼

2016. 8. 31.

◇ 개인정보 유출 대응 매뉴얼은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제28조제1항제1호(개인정보를 안전하게 처리하기 위한 내부관리계획의 수립‧시행), 같은 법 시행령 제15조제1항, 개인정보의 기술적‧관리적 보호조치 기준(방통위 고시) 제3조제6호(개인정보의 분실‧도난‧누출‧변조‧훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항)를 기반으로 정보통신서비스 제공자등이 자사의 개인정보가 유출된 사실을 알게 된 후 준수해야 할 조치사항을 안내하고 있습니다.

◇ 정보통신서비스 제공자등은 매뉴얼을 참고하여 자사의 상황에 맞게 「개인정보 유출 대응 매뉴얼」을 마련하고, 내부관리계획에 매뉴얼을 포함하여 보호조치 이행을 위한 세부적인 추진방안을 수립‧시행하여야 합니다.

◇ 이 매뉴얼은 유출사고 발생 직후 정보통신서비스 제공자등이 신속한 조치를 통해 개인정보의 추가 유출을 막고, 유출로 인한 이용자 피해를 최소화하기 위한 필수조치를 설명하고 있습니다.

◇ 따라서, 정보통신서비스 제공자등은 평상 시에 개인정보 보호조치 및 웹 취약점 점검 등을 통해 개인정보가 안전하게 보호될 수 있도록 자사의 환경에 맞는 보호조치 수준을 설정하고 유지하여야 합니다.

◇ 추가적으로 개인정보 보호와 관련한 규정에 대하여는 「정보통신서비스 제공자를 위한 개인정보보호 법령 해설서」, 「개인정보의 기술적‧관리적 보호조치 기준 해설서」등을 참조해 주시기 바랍니다.

☞ 자료 : 개인정보보호 포털(www.i-privacy.kr) / 자료실 / 안내서 및 해설서

목 차

Ⅰ. 개인정보 유출 신속대응체계 구축 1

1. 개인정보 유출사실 CEO 보고 1

2. 개인정보 유출 신속대응팀 구성‧운영 2

Ⅱ. 유출 원인 파악 및 추가 유출 방지조치 3

1. 해킹의 경우 3

2. 내부자 유출의 경우 4

3. 이메일 오발송의 경우 4

4. 개인정보 노출의 경우 4

Ⅲ. 개인정보 유출 신고 및 통지 5

1. 침해사고 신고 5

2. 개인정보 유출 신고 7

3. 개인정보 유출 통지 9

Ⅳ. 이용자 피해구제 및 재발방지 대책 마련 13

1. 개인정보 유출 사고 전파 13

2. 이용자 피해구제 관련 민원 대응 강화 13

3. 원인분석 및 재발방지 대책 마련 15

[참고1] 해킹에 의한 개인정보 유출 시 조치사항 17

[참고2] 개인정보 유출 신고서 양식 19

[참고3] 개인정보 유출에 따른 2차피해 유형 및 대응요령 20

< 개인정보 유출 대응 절차(요약) >

Ⅰ. 개인정보 유출 신속대응체계 구축

◇ 개인정보 유출 사실을 알게 된 경우, 개인정보보호책임자는 즉시 CEO에게 보고하고 개인정보보호‧정보호호 부서를 중심으로 「개인정보 유출 신속대응팀」을 구성하여, 추가 유출 및 이용자 피해발생 방지를 위한 조치를 강구하여야 함

개인정보 유출사실 CEO 보고

o (전직원) 개인정보 유출사실을 발견하거나 의심스러운 정황을 알게된 경우에는 즉시 개인정보보호 담당자에게 전화, 이메일 등으로 신고

o (개인정보보호 담당자) 신고를 받은 후 즉시 유출사실을 확인할 수 있는 부서에 유출사실, 규모, 경로 등 확인을 요청하고, 개인정보보호 책임자에게 전화, 이메일 등으로 신속하게 유출사실과 대응상황을 보고

o (개인정보보호 책임자) 현재까지 파악된 상황을 CEO에게 신속하게 보고하고 새로운 상황이 발생될 때마다 수시로 보고해야 하며, 개인정보 유출이 확인되면 즉시 「개인정보 유출 신속대응팀」을 소집하여야 함

o (CEO) 전체 대응방향을 결정하고 「개인정보 유출 신속대응팀」을 중심으로 유관부서가 유기적으로 대응하여 추가 피해가 발생하지 않도록 지휘

2. 「개인정보 유출 신속대응팀」 구성‧운영

o (구성) 내․외부 개인정보 유출 사고 발생 시 사고의 분석, 처리, 사후 복구 및 예방 조치 등을 위해 ｢개인정보 유출 신속대응팀｣을 운영

정보통신 서비스제공자 등

개인정보

유출

신속대응팀

개인정보보호 책임자

· 개인정보 유출 대응 총괄 지휘

· 개인정보 유출대응 신속대응팀 구성·운영

개인정보보호 담당자

· 유관기관에 개인정보 유출 신고

· 이용자에게 개인정보 유출 통지

정보보호 담당자

· 유관기관에 침해사고 신고

· 사고경위 분석, 시스템 복구 등 침해대응

고객지원 부서

· 정부, 언론사, 이용자 민원 대응

· 이용자 피해구제 및 분쟁조정 기구 안내

전직원

· 개인정보 유출 확인 시 부서장 또는 개인정보보호 부서에 신고

· 침해사고 발생 확인 시 부서장 또는 정보보호 부서에 신고

· 개인정보 유출 신속대응팀 요청에 따른 유출대응 지원

o (역할) ‘개인정보보호책임자’를 중심으로 사업자 내부 조직 및 인력을 효율적으로 재구성하여 유출원인 분석 및 대응, 유출신고‧통지, 이용자 피해구제 등 고객지원 등으로 세분화하여 신속히 대응

- 개인정보 유출 관련 사항에 대하여는 CEO에게 보고하여야 함

※ 정보통신망법 제27조제4항 : 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 정보통신서비스 제공자등의 사업주 또는 대표자에게 개선조치를 보고하여야 한다.(’16.9.23.시행)

Ⅱ. 유출 원인 파악 및 추가 유출 방지 조치

◇ 개인정보 유출원인을 파악한 후 추가 유출 방지를 위해 유출 원인 별 보호조치 실시

1. 해킹의 경우

o (긴급 조치) 해킹 등 침해사고 발생으로 인해 개인정보가 유출된 사실을 알게 된 경우에는 개인정보 추가 유출 방지를 위한 대책을 마련하고 피해를 최소화할 수 있는 조치를 강구하여야 함

- 추가 유출 방지를 위해 시스템 일시정지, 이용자 및 개인정보취급자 비밀번호 변경*, 유출 원인 분석, 기술적 보안조치 강화, 시스템 변경, 기술지원 의뢰 및 복구 등과 같은 긴급조치를 시행하여야 함

* 일방향 암호화되지 않은 비밀번호가 유출된 경우에는 비밀번호를 변경하지 않으면 이용할 수 없도록 하고, 일방향 암호화된 비밀번호가 유출된 경우에도 비밀번호 변경을 유도하여 추가 피해 예방에 노력하여야 함

- 개인정보 유출의 직접‧간접적인 원인을 즉시 제거하고, 미비한 보호조치 부분을 파악하여 보완하여야 함

o (필요시 기술지원 요청) 기술력 등의 한계로 자체 긴급조치가 어려운 경우 한국인터넷진흥원에 기술지원을 요청할 수 있음

기술지원 내용

개인정보가 유출되었을 것으로 의심되는 개인정보처리시스템의 접속권한 삭제·변경 또는 폐쇄 조치 지원

네트워크, 방화벽 등 대·내외 시스템 보안점검 및 취약점 조치 지원

향후 수사 등에 필요한 접속기록 등 증거 보존 조치 지원

☞ 참고1 : 해킹에 의한 개인정보 유출 시 조치사항

2. 내부자 유출의 경우

o 개인정보 유출자가 개인정보처리시스템에 접속한 이력 및 개인정보 열람‧다운로드 등 내역을 확인하여야 함

o 개인정보 유출자의 개인정보처리시스템에 대한 접근형태가 정상인지 비정상인지 여부를 확인하고, 비정상적인 접속인 경우 우회경로를 확인하여 접속을 차단하여야 함

o 개인정보취급자의 개인정보처리시스템 접속계정, 접속권한, 접속기록 등을 검토하여 추가적인 유출 여부를 확인하여야 함

o 개인정보 유출에 활용된 단말기(PC, 스마트폰 등)와 매체(USB, 이메일, 출력물 등)를 회수하고, 수사기관과 협조하여 유출된 개인정보를 회수하기 위한 모든 방법을 강구하여야 함

3. 이메일 오발송의 경우

o 이메일 회수가 가능한 경우에는 즉시 회수 조치하고, 불가능한 경우에는 이메일 수신자에게 오발송 메일의 삭제를 요청하여야 함

o 메일서버 외 첨부파일서버(대용량 메일 등)를 이용하는 경우 첨부파일서버 운영자에게 관련 파일의 삭제를 요청하여야 함

4. 개인정보가 외부에 노출된 경우

o (외부 검색엔진을 통한 노출의 경우) 노출된 사업자의 웹페이지 삭제를 검토하고, 검색엔진에 노출된 개인정보 삭제를 요청하여야 하며, 필요시 로봇배제 규칙을 적용하여 외부 검색엔진의 접근을 차단하여야 함

o (관리자 페이지에 접속하여 노출된 경우) 관리자의 접속 IP를 제한하고, 소스코드를 수정하여 사용자 인증 절차를 추가하여야 함

o (개인정보취급자 부주의로 인한 노출의 경우) 게시글 및 첨부파일 내 개인정보 노출 부분을 마스킹(* 처리)하여 다시 게시하여야 함

Ⅲ. 개인정보 유출 신고 및 통지

◇ (신고) 개인정보 유출사실을 알게 된 경우 즉시(24시간 이내) 해커 등 유출자 검거를 위해 경찰청 사이버안전국에 수사 요청하고, 미래창조과학부‧한국인터넷진흥원에 침해사고 신고 및 방송통신위원회‧한국인터넷진흥원에 개인정보 유출 신고

◇ (통지) 유출된 개인정보로 추가 피해가 발생하지 않도록 개인정보 유출을 알게 된 후 즉시(24시간 이내) 해당 이용자에게 개인정보 유출사실을 통지

1. 침해사고 신고

<침해사고 대응 체계>

가. 경찰청(사이버 안전국)에 수사 요청

o 개인정보 유출로 인한 피해를 막기 위해서는 해커 등 개인정보 유출자 검거 및 개인정보 회수를 위한 조치가 선행되어야 함

o 따라서, 개인정보 유출사실을 알게 된 경우에는 즉시 경찰청 사이버 안전국에 범인 검거를 위한 수사를 요청하고 유출된 개인정보 회수를 위한 조치 실시

※ 사이버범죄 신고 :　경찰청 사이버안전국 / 사이버범죄신고‧상담 / 사이버범죄신고하기

나. 미래창조과학부‧한국인터넷진흥원(보호나라)에 침해사고 신고

o 인터넷 상 침해사고가 발생하면 즉시 미래창조과학부 또는 한국인터넷진흥원에 신고하여 침해사고 원인분석 및 취약점 보완조치 등을 실시하여야 함

　 ※ 침해사고 신고 : KISA 보호나라 / 상담 및 신고 / 해킹 사고, ☏ 국번없이 118

2. 개인정보 유출 신고

o (신고 시점) 개인정보의 유출사실*을 알게 된 경우 즉시(24시간 이내) 개인정보 유출사실을 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 함

* 개인정보보호법(1만건 이상)과는 달리 개인정보 유출 규모와 관계없이 신고하여야 함

- 구체적인 내용이 확인되지 않은 경우에는 그 때까지 확인된 내용을 중심으로 우선 신고하고, 추가로 확인되는 내용은 확인되는 즉시 신고

※ 구체적 사실관계 파악을 이유로 신고를 지연하는 경우에는 3천만원 이하의 과태료가 부과될 수 있음

o (신고 항목) 개인정보 유출 신고를 할 때에는 ① 유출된 개인정보 항목, ② 유출이 발생한 시점, ③ 이용자가 취할 수 있는 조치, ④ 정보통신서비스 제공자등의 대응조치, ⑤ 이용자가 상담 등을 접수할 수 있는 부서 및 연락처를 명시하여야 함

신고 항목

유의사항

① 유출된 개인정보 항목

․유출된 개인정보 항목을 모두 기재해야 하며, ‘등’과 같이 일부 생략하거나 휴대전화번호와 집 전화번호를 ‘전화번호’로 기재하여서는 안됨

․유출된 개인정보의 모든 항목을 적어야 하며, 유출 규모도 현 시점에서 파악된 내용을 모두 작성

② 유출이 발생한 시점

․유출시점, 인지시점을 명확히 구분하여 날짜 및 시간 모두 작성해야 하며, 유출경위와 인지경위를 작성해야 함

③ 이용자가 취할 수 있는 조치

․개인정보 유출로 발생 가능한 스팸 문자, 보이스피싱, 금융사기와 같은 2차적인 피해 방지를 위해 이용자가 할 수 있는 조치를 기재(예: 비밀번호 변경 등)

④ 정보통신서비스 제공자등의 대응조치

․유출사실을 안 후 긴급히 조치한 내용과 향후 이용자의 피해구제를 위한 계획 및 절차를 기재

ex) 경찰에 신고, 일시적 홈페이지 로그인 차단(홈페이지 해킹일 경우) 등

⑤ 이용자가 상담 등을 접수할 수 있는 부서 및 연락처

․실제 신고 접수 및 상담이 가능한 전담 처리부서와 해당 담당자 연락처를 기재

⑥ 기타

․유출된 기관명, 사업자번호, 사업자 주소, 웹사이트 주소 기재

o (신고 방법) 방송통신위원회와 한국인터넷진흥원이 운영 중인 “개인정보보호 포털”(www.i-privacy.kr)*을 통해 해당 시점까지 확인된 내용을 중심으로 신고

- 전화, 팩스, 이메일, 우편 등의 방법을 이용하는 경우에는 정확한 신고 접수 여부를 반드시 확인하여야 함(신속한 신고-접수를 위해 “개인정보보호 포털” 활용)

* 유출 신고 : 개인정보보호 포털 / 개인정보 신고 / 개인정보 누출 신고 / 사업자

<개인정보 유출 및 침해사고 신고 경로>

구 분

전화번호

팩스번호

전자우편주소

인터넷 사이트

한국인터넷

진흥원

개인정보 유출

118

02-405-5229

118@kisa.or.kr

www.i-privacy.kr

침해사고

www.krcert.or.kr

☞ 참고2 : 개인정보 유출 신고서 양식

3. 개인정보 유출 통지

o (통지 시점) 개인정보 유출시 침해사실을 인지한 시점으로부터 즉시(24시간 이내) 개인정보 유출사실을 이용자에게 통지하여야 함

- 온라인의 경우 유출된 개인정보의 확산 속도가 빨라 피해가 가중될 수 있으므로 먼저 파악한 유출사실을 신속하게 통지하여 추가 피해를 방지하는 것이 중요함

- 구체적인 내용이 확인되지 않은 경우에는 그 때까지 확인된 내용을 중심으로 우선 개별 통지하고, 추가로 확인되는 내용에 대해서는 확인되는 즉시 개별 또는 홈페이지를 통해 신속히 통지하여야 함

※ 구체적 사실관계 파악을 이유로 이용자 통지를 지연하는 경우에는 3천만원 이하의 과태료가 부과될 수 있음

- 유출된 개인정보가 대규모여서 24시간 이내에 전체 통지가 기술적으로 불가능한 경우에는 우선적으로 홈페이지 팝업창 등을 통해 방문하는 이용자가 모두 알 수 있도록 현재까지 파악된 유출사실을 게시한 후 개별 통지를 병행하여야 함

※ 개인정보가 유출된 이용자가 유출사실을 신속히 인지한 후 대비할 수 있도록 가능한 모든 방법을 병행하여야 함

☞ 잘못된 대응사례①

o OO사는 이상 징후를 인지하고 5일 후, 개인정보 유출사실을 확인하고 2일 후부터 유출 통지를 실시함

o 침해사고로 추정되는 이상 징후를 알게 된 경우에는 즉시 미래창조과학부‧한국인터넷진흥원에 침해신고를 하여야 하고, 개인정보가 유출된 사실을 알게 된 경우에는 24시간 이내에 해당 이용자에게 유출 통지를 이행하여야 함

☞ 잘못된 대응사례②

o OO사는 해커에 의해 개인정보가 유출된 사실을 확인한 후 경찰청에 신고하였으나, 수사관으로부터 해커가 검거될 때까지는 유출 통지를 유보해 달라는 구두 요청을 받고 30일 이상 통지를 지연

o 해커 검거를 통해 유출된 개인정보를 회수하기 위해 반드시 필요한 경우로서 경찰청으로부터 공식 문서로 반드시 필요한 최소한의 기간 동안 유출통지 보류를 요청받은 경우에는 방송통신위원회에 유출 신고 후 협의하여야 하고 사유를 소명하여야 함

o (통지 대상) 개인정보가 유출된 사실을 알게 된 경우에는 유출된 이용자 수, 유출된 개인정보의 유형에 관계없이 유출 통지 절차를 운영하여야 함

☞ 잘못된 대응사례①

o OO사는 개인정보 유출을 알게 된 후 유출된 이용자를 대상으로 유출통지를 실시하였으나, ‘아이디’, ‘아이디+일방향 암호화된 비밀번호’만 유출된 이용자에 대하여는 별도의 통지절차를 이행하지 않음

o 유출된 개인정보의 유형이 ‘아이디+비밀번호’만이더라도 별도 분리 보관되어 있는 연락처 정보 등을 활용하여 유출 통지를 진행해야 하고, 연락처가 없는 경우에는 홈페이지를 통해 30일 이상 게시하여야 함

☞ 잘못된 대응사례②

o OO사는 개인정보취급자가 업무상 e-메일을 보내면서 붙임 파일로 이용자 10여명의 인적사항이 담긴 파일을 다른 사람에게 잘못 보냈으나, 해당 파일에 담긴 이용자에게 별도의 유출 통지절차를 이행하지 않음

o 정보통신망법 제27조의3의 규정은 유출된 경우이면 그 수량과 관계없이 통지‧신고하여야 함

o (통지 방법) 통지를 할 때에는 이용자가 실제로 확인 가능하도록 이용빈도가 높은 방법*을 우선 활용하여 통지하는 것이 바람직함

※ (예) 휴대전화번호를 보유하고 있는 경우에는 전화통화 및 문자를 통해 우선 통지하고, 곤란한 경우에는 이메일, 팩스, 우편 등의 방법을 활용

- 이용자의 연락처를 알 수 없는 등 정당한 사유가 있어 통지가 불가능한 경우에는 자신의 인터넷 홈페이지에 30일 이상 게시하여 접속하는 이용자가 알 수 있도록 유지하여야 함

※ 홈페이지에 게시할 때에는 ‘사과문’, ‘개인정보 유출 안내’ 등의 제목을 사용하되, 법정 통지사항이 모두 포함되어야 함

- 천재지변이나 그 밖에 정당한 사유로 홈페이지 게시조차 곤란한 경우에는 「신문 등의 진흥에 관한 법률」에 따른 전국을 보급지역으로 하는 둘 이상의 일반일간신문에 1회 이상 공고하여야 함

<홈페이지 개인정보 유출 통지문(예시)>

o (유출 확인절차 마련) 홈페이지 등을 통해 개인정보 유출사실을 확인할 수 있는 절차를 마련하여 운영하는 것이 바람직함

- 홈페이지 구성 시에는 확인 과정에서 추가적인 개인정보 유출이 발생하지 않도록 웹 취약점을 제거한 후 운영하고, 전송구간 암호화(보안서버 구축 등)를 이행하는 등의 조치를 하여야 함

- 본인확인을 명목으로 주민등록번호를 입력하도록 유도하는 것은 인터넷 상 주민번호 사용 제한에 반할 수 있음을 유의해야 함 　

☞ 잘못된 대응사례

o OO사는 개인정보 유출을 알게 된 후 자사 홈페이지를 통해 이용자가 자신의 개인정보가 유출되었는지 여부를 확인하는 페이지를 운영하였으나,

- 본인확인을 위해 이름과 주민등록번호를 입력하도록 하고, 전송구간 암호화 조치를 취하지 않음

o 본인확인을 위해 유출된 정보를 입력하도록 하는 것과 개인정보와 인증정보 전송구간 암호화 조치를 하지 않은 경우 추가적인 개인정보 유출의 위험이 발생할 수 있으므로,

- 유출 확인 페이지를 운영할 때에는 주민등록번호를 활용하지 않도록 하고, 전송구간 암호화 조치(보안서버 구축 등)를 반드시 이행하여야 함

Ⅳ. 이용자 피해구제 및 재발방지 대책 마련

◇ 이용자 피해구제 방법을 안내하고, 유사 사고의 재발방지를 위해 대책 마련

1. 개인정보 유출 사고 전파

o 개인정보 침해 발생을 인지한 경우 임직원 및 이해관계가 있는 사업자에게 개인정보 유출 상황을 전파하여 유사 피해가 발생할 수 있음을 전파하여야 함

o 전파 시에는 한국인터넷진흥원과 협의를 통해 기 구축되어 있는 사업자 핫라인을 활용

2. 이용자 피해구제 관련 민원 대응 강화

o 이용자 개인정보 유출 문의에 신속히 대응할 수 있도록 스크립트와 유출통지문을 작성하고 필요시 이용자 상담 회선을 증설

o 전화, 이메일, 홈페이지, SNS 등 다양한 채널을 통해 이용자의 개인정보 유출사실, 유출경위를 확인할 수 있는 창구를 마련

o 이용자에게 피해 발생에 따른 구제절차를 안내하고, 이용자의 요청이 있는 경우에는 별도의 “개인정보 유출 확인서” 발급 절차를 운영

- (개인정보 분쟁조정위원회) 개인정보보호위원회에 설치되어 있는 개인정보 분쟁조정위원회를 통해 개인정보 유출에 따른 분쟁조정 절차가 있음을 안내

☞ 홈페이지(www.kopico.go.kr) 및 분쟁조정위원회에 우편(03171 서울특별시 종로구 세종대로 209 정부서울청사 4층 개인정보 분쟁조정 위원회) 또는 FAX(02-2100-2485) 이용

- (손해배상제도 안내) 법정손해배상제도, 징벌적 손해배상제도 등 민사소송을 통해 피해구제 절차를 진행할 수 있음을 안내

☞ 참고3 : 개인정보 유출에 따른 2차 피해 유형 및 대응요령 안내

o 이용자에게 개인정보 유출로 인해 보이스피싱, 파밍 등 추가 피해가 발생할 수 있으므로 피해 방지를 위한 유의사항을 안내

- 금융감독원과 경찰청에서 합동으로 운영 중인 보이스피싱 지킴이 홈페이지의 대처요령, 을 참조하여 안내

3. 유출 원인분석 및 재발방지 대책 마련

o 개인정보 유출 원인에 맞는 대책을 마련하고, 유사 사고 재발 방지를 위해 개인정보보호 교육을 실시하여야 함

o 개인정보 유출사고 시나리오 작성 및 모의훈련을 실시하여 개인정보 유출 대응체계를 점검

o 홈페이지의 취약점을 연 1회 이상 정기적으로 점검하여야 하며, 중소기업의 경우에는 한국인터넷진흥원에서 제공하는 웹 취약점 점검 서비스를 이용할 수 있음

※ 웹취약점 점검 신청 페이지 : KISA 보호나라 → 보안서비스 → 웹취약점 점검

o 유출사고 취약점을 반영하여 전사적으로 개인정보 취급자 대상 개인정보보호 및 정보보호 인식 제고 교육을 실시

　※ 개인정보 교육 페이지 : KISA 개인정보보호 포털 / 개인정보보호교육 / 온라인 교육 / 사업자 대상

o 개인정보가 인터넷 상에 노출되는 것을 방지하기 위해 검색엔진의 로봇배제 규칙을 적용하여 홈페이지 접근을 제한하고,

- 홈페이지에 첨부파일을 포함한 게시글 작성시 개인정보 포함여부를 확인하여야 하며,

- 이용자에게 게시글 작성시 개인정보가 노출되지 않도록 주의할 것을 안내하고,

- 관리자 페이지에 접근하는 IP제한 또는 VPN 등 안전한 접속수단을 사용하여야 함

참고 1

해킹에 의한 개인정보 유출 시 조치사항

□ 해커가 삽입한 악성코드 확인 및 삭제

o 한국인터넷진흥원에서 배포중인 ‘휘슬’을 활용하여 웹서버에 삽입된 악성코드와 웹쉘 파일을 찾아서 삭제

　※ 악성코드 탐지도구 제공 페이지 : KISA 보호나라 → 다운로드 → 휘슬 / 캐슬

□ 침해 발생 시스템의 계정, 로그 등을 점검하여 침해 현황 확인

점검 항목

점검 내용

비고

계정

· 사용하지 않는 계정 및 숨겨진 계정 확인

- 윈도우 : [관리도구]→[컴퓨터 관리]→

[로컬사용자 및 그룹]→[사용자] 정보 확인

- 리눅스 : /etc/passwd 확인

‧ $ 문자가 포함된 계정 확인

‧ 패스워드 미설정 계정 확인

‧ /bin/bash 설정 계정 확인

로그파일

· 이벤트 로그 및 시스템 로그 변조 유무 확인

- 윈도우 : [관리도구]→[컴퓨터 관리]→

[이벤트뷰어] 확인

- 리눅스 : /var/log/secure, message 등 확인

· 윈도우 웹로그 경로 및 변조 유무 확인

- [관리도구]→[인터넷정보서비스(IIS)관리]에서

· 리눅스 웹로그 경로 확인

- /usr/local/apache/logs 확인

‧ 웹로그 생성/수정 시간 확인

웹쉘

· 확장자별 웹쉘 패턴 점검

- asp, aspx, asa, cer, cdx, php, jsp, html, htm, jpg, jpeg, gif, bmp, png

‧ 휘슬 사용

백도어

· 네트워크 상태 확인

- nmap -sV 침해사고시스템IP

· 비정상 포트 및 외부연결 확인

- 윈도우 : netstat, TCPView 등 사용

- 리눅스 : netstat -nlp, lsof -i

‧ 6666, 6667 등 의심 Port 확인

‧ 의심 Port를 사용하는 프로세스 확인

루트킷

· 숨겨진 프로세스 및 비정상 프로세스 확인

· 변조된 파일 및 시스템 명령어 확인

- Windows : IceSword, GMER 등 사용

- Linux : Rootkit Hunter, Check Rootkit 등 사용

‧ Rootkit Hunter 업데이트 필수

□ 로그분석 결과에 따른 접속경로 차단 등

o 로그 분석 결과 침입자 접속경로가 확인된 경우 접속경로를 차단하고 경유한 시스템은 추가적인 분석

구분

접속 경로 차단 방법

비고

서버

· 윈도우

[제어판]→[Windows 방화벽]→[일반]방화벽 사용→[예외]→원격데스크톱→편집→범위변경→사용자 지정 목록 설정(허용할IP)

특정 IP에 원격데스크톱 서비스를 허용하고 나머지 IP접속은 차단

· 리눅스

iptables -A INPUT -p TCP --dport 22 -s 허용할IP –j ACCEPT

iptables -A INPUT -p TCP --dport 22 -s –j DROP

특정 IP에 ssh 서비스를 허용하고 나머지 IP접속은 차단

네트

워크

· 방화벽/라우터/스위치

access-list 101 permit tcp 허용할IP host 접근서버IP eq 22

interface ethernet 0

ip access-group 101 in

특정 IP에 ssh 서비스 허용정책을 ethernet 0 인터페이스에 인바운드 정책 적용

□ 기타 조치사항

o 서버, PC 등 정보처리시스템의 백신을 최신으로 업데이트하고 전체 디렉토리를 점검

o 직원 PC의 운영체제, 오피스 프로그램의 보안 업데이트를 실시

o 가능한 경우 침해사고 원인을 식별하고 재발방지를 위해 개인정보 유출 시스템의 휘발성 및 비활성 정보 수집

- 기술적인 사항은 한국인터넷진흥원이 배포하는 ｢침해사고 분석절차 안내서｣ 참조

　※ 제공 페이지 : 한국인터넷진흥원 / 자료실 / 관련법령·기술안내서 / 기술안내 가이드 / 침해사고 분석절차 안내서

o 수사시관과 협조하여 유출된 개인정보를 회수하기 위한 조치를 강구

참고 2

개인정보 유출 신고서 양식

☞ 내려받기 : 개인정보보호 포털(www.i-privacy.kr/개인정보유출신고/신고안내/서면신고)

사업자 개인정보 유출 신고서

(필수)가 표시되어있는 항목을 꼭 기재 부탁드리며, 부족한 내용이 있을 경우 연락이 갈 수 있습니다.

기관명(필수)

사업자번호(필수)

사업자주소

(사업자등록기준)

웹 사이트 주소

누출된 개인정보의 항목 및 규모(필수)

누출이 발생된 시점,

누출 인지 시점 및 경위(필수)

이용자가 취할 수 있는 조치(필수)

정보통신서비스 제공자등의 대응조치(필수)

이용자가 상담 담당부서ㆍ담당자 및 연락처(필수)

성명

연락처

이메일

개인정보 보호책임자

개인정보

보호담당자

※ 하단은 접수기관에서 기재하는 부분이므로 신고자는 기재하실 필요가 없습니다.

신고접수기관

기관명(지역)

접수자명

연락처

이메일

접수일자

참고 3

개인정보 유출에 따른 2차 피해 유형 및 대응요령

피해종류

활용된 개인정보 주요항목

개인정보 악용 절차

이용자 대응요령

금전적

온라인 사기쇼핑

주민등록번호, 카드번호, 유효기간 등

① 카드번호, 유효기간으로 온라인 결제가 가능한 국내외 홈쇼핑 사이트에 접속

② 홈쇼핑 홈페이지, ARS를 통한 온라인 사기 결제‧주문

• 신용카드 정지 및 재발급 신청

※ 신고기관 : 각 카드사, 한국소비자원 소비자 상담센터(☏1372) 등

명의도용을 통한 통신서비스 가입

이름, 주소, 주민등록번호 등

① 유출된 개인정보를 이용하여 휴대전화, 인터넷전화 등 가입

※ 통신서비스 가입 시 본인확인절차가 있으므로 주민등록증 위조 등 추가적인 불법 행위 수반이 예상됨

② 불법 가입한 전화번호로 스팸을 발송하여 금전적 이익을 취득함

※ 명의를 도용당한 사람은 서비스 이용제한을 당하거나 명의도용 소명절차를 밟는 등 피해를 당함

• 한국정보통신진흥협회(KAIT)의 명의도용방지서비스(M-Safer)를 통한 불법 통신서비스 신규가입 여부 확인

※ 신고기관 : 통신민원조정센터(msafer.or.kr)

※ 명의도용방지서비스(M-Safer) : 통신서비스 신규가입시 이메일‧문자로 가입여부 통보

명의도용을 통한 신용카드 복제

이름, 신용카드 번호, 유효기간 등

① 유출된 개인정보를 이용하여 신용카드 불법 복제

※ 특수장비를 이용하여 카드번호, 유효기간, 이름 등으로 복제 가능

② 불법 복제된 카드를 국내외에서 활용하여 상품 결제 등에 악용

※ 국내외 POS단말기의 경우 마그네틱 부분만을 이용하여 결제 가능

• 신용카드 정지 및 재발급 신청, 이용내역 통지 서비스 가입

※ 신고기관 : 각 카드사, 경찰, 금융감독원(☏1332)

스미싱

휴대전화번호

① ‘정보유출 확인 안내' 등 금융기관을 사칭하는 문자메시지에 악성코드(인터넷주소)를 삽입하여 발송

② 금융기관 사칭 메시지를 받은 피해자가 인터넷주소(URL)를 클릭하면 악성코드에 감염되어 소액결제 피해 및 개인‧금융정보 탈취

• 수상한 문자메시지 삭제 및 메시지 상 링크 클릭하지 않기 또는 카드사 공지 전화번호 확인

※ 신고기관 : 카드사, 경찰, 불법스팸대응센터(☏118)

비금전적

보이스피싱

신용카드번호, 휴대전화, 집전화번호, 집주소 등

① 경찰, 금융감독당국 또는 금융회사 직원을 사칭하여 전화

② 금융관련 업무 목적 사칭을 통한 개인정보‧금융정보 탈취(비밀번호, 보안카드번호 등)

③ 유출된 금융사를 사칭, 개인정보 유출 확인을 빙자하여 ARS를 통해 계좌번호/비밀번호 등 금융정보 입력 요청

• 수상한 전화 거부 및 각 카드사에서 공지한 전화번호 확인

※ 신고기관 : 카드사, 경찰, 불법스팸대응센터(☏118)

명의도용을 통한 온라인회원 가입

이름, 이메일, 연락처 등

① 유출된 개인정보를 이용하여 웹사이트 가입

※ 일부 홈페이지의 경우 이름, 이메일, 연락처만으로 회원가입 가능

② 명의도용을 통해 본인도 모르는 수십여개의 웹사이트 가입하여 개인정보 불법 이용

• e프라이버시 클린서비스(www.eprivacy.go.kr)를 활용한 해당 사이트 탈퇴 요청

※ 신고기관 : 경찰, 불법스팸대응센터(☏118)

※ 국내 사이트로 주민번호 사용 내역이 있는 경우만 가능하며, 주민번호 미사용시 서비스 불가

휴대전화/이메일 스팸발송

휴대전화 번호, 이메일 주소 등

① 유출된 개인정보를 이용해 불특정 다수에게 스팸 발송

※ 유출된 모든 휴대전화, 이메일로 도박 등 스팸 무작위 발송 가능

※ 신용정보, 연소득등 활용 대출 스팸 발송, 자동차 보유여부를 활용한 보험 스팸 발송 등 특정유형의 개인에 대한 타겟 마케팅 가능

② 휴대전화, 이메일 서비스 이용자는 원치 않는 홍보‧마케팅 광고 수신

• 지능형 스팸차단서비스를 이용한 스팸 차단, 수신 스팸 적극 신고

※ 신고기관 : 카드사, 경찰, 불법스팸대응센터(☏118)

※ 지능형 스팸차단서비스 : 발신‧회신번호 등 발송패턴을 분석하여 스팸을 차단해주는 서비스

사회공학적 기법을 활용한 악성코드 유포메일 발송

이메일주소 등

① 해커가 특정 대상을 목표로 스팸/피싱 시도용 첨부파일이 포함되어 있거나 연결을 유도 URL이 포함된 이메일 발송

② 수신자들이 이메일에 포함된 첨부파일 및 URL을 클릭

③ 해커가 수신자의 PC를 장악하여 기밀 및 개인정보를 빼냄

• 의심가는 이메일을 받은 경우 함부로 열람하지 않고 바로 삭제

• 사용자 PC의 바이러스 백신을 항상 최신버전으로 유지 및 정기적 검사 수행

※ 신고기관 : 경찰, 불법스팸대응센터(☏118)

필수자료: 개인정보 수집,제공 작성 가이드라인 (0)	2016.10.26
표준개인정보보호지침(출처: 행자부 고시 제2016-21호) (0)	2016.10.26
인터넷 자기게시물 접근배체요청권 가이드라인(출처: 방송통신위원회) (0)	2016.10.26
유럽 사법재판소 판결 유동IP 주소는 개인정보 (0)	2016.10.24
KT 유출사고 (0)	2016.10.24

Trackback: Comment:

KT 유출사고

Posted by techshield

파라미터 변조

파라미터 변조란 매개변수의 변조를 의미하는 것으로

정보를 빼내기 위해 서버의 파일시스템 경로를 악의적으로 변경하는 공격. 공격자는 사이트의 URL 파라미터를 변경해 데이터베이스에 침입하여 정보를 변조 또는 유출시킵니다.(출처: TTA, 한국정보통신기술협회).

1. KT 유출사고

- 14년 3월 6일, KT 홈페이지 해킹으로 가입고객의 1천 6백만명중에

1천2백만명의 개인정보가 유출되었습니다.

- 유출된 정보는 이름, 주민등록번호, 휴대전화번호, 집주소, 직업, 은행계좌 등입니다.

- KT와 제휴를 맺고 있는 텔레마케팅 업체 대표 박모(37)씨가 영업을 위해 전문해커 김모(29)씨와 정모(38)씨와 공모하여 오픈소스 프로그램(파로스 프록시)을 이용하여, 고객고유번호 9자리를 무작위로 수 차례 입력하는 프로그램을 제작하였습니다.

2. 사용된 기술

- 파라미터 기반 사용자 인증방식에서는 계정을 식별할 수 있는 식별자를 통해 구분하는 경우가 대표적이며, 이러한 식별자는 특정위치에 저장되며 이러한 식별자는 특정 위치에 저장되며 클라이언트에 저장되는 데이터(예. 쿠키)는 신뢰할 수 없는 사용자 영역에 존재하기 때문에, 사용자가 임의로 조작이 가능하다는 문제점이 발생합니다.

- 1) 사용자 인증 식별자가 클라이언트에 저장되어있고,

2) 식별자 구성형태가 단순하여 유추가능할 경우 자신의 식별자를

타인의 값으로 변조하여 쉽게 해킹이 가능합니다.

3. 경과

- 14년 6월 방통위는 방통위는 KT社에 개인정보를 다량 보유한 기간통신사업자에 걸맞은 기술적, 관리적 보호 조치를 하지 않았기 때문이라며 과징금 7천만 원과 과태료 1500만 원을 부과하였습니다.

- 이에 대해 KT는 방통위를 상대로 과징금부과 처분 취소소송을 제기하였고, 재판부는 재판부는 “KT는 해커 공격에 대비해 침입탐지방지 시스템을 운영하고 상시로 모의 해킹을 수행하는 등 보호조치 기준을 적절히 이행했다”며 “파라미터 변조 수법이 널리 알려졌기는 하나 방식에서는 무수한 패턴이 있어 이번 해킹 공격에 대비하기 어려웠다”고 밝혔습니다.

4. 파라미터 변조의 대응방식

- 공격자가 쉽게 세션 ID를 유추 하지 랜덤화와 세션 길이를 적절히 하는 것이 필요하며, 세션 사용 종료시 즉시 파기될 수 있는 조치가 필요해 보입니다.

필수자료: 개인정보 수집,제공 작성 가이드라인 (0)	2016.10.26
표준개인정보보호지침(출처: 행자부 고시 제2016-21호) (0)	2016.10.26
인터넷 자기게시물 접근배체요청권 가이드라인(출처: 방송통신위원회) (0)	2016.10.26
유럽 사법재판소 판결 유동IP 주소는 개인정보 (0)	2016.10.24
개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원) (0)	2016.10.24

Trackback: Comment:

«이전 1 ··· 8 9 10 11 다음»

[별지 제1호서식]
개인정보 유출신고서
기관명
정보주체에의 통지 여부
유출된 개인정보의 항목 및 규모
유출된 시점과 그 경위
유출피해 최소화 대책ㆍ조치 및 결과
정보주체가 할 수 있는 피해 최소화 방법 및 구제절차
담당부서ㆍ담당자 및 연락처		성명		부서	직위		연락처
	개인정보 보호책임자
	개인정보 취급자

유출신고접수기관	기관명		담당자명			연락처

[별지 제2호서식]					(앞 쪽)
개인영상정보(□ 존재확인 □ 열람 ) 청구서 ※ 아래 유의사항을 읽고 굵은 선 안쪽의 사항만 적어 주시기 바랍니다.				처리기한
				10일 이내
청구인	성명		전화번호
	생년월일		정보주체와의 관계
	주소
정보주체의 인적사항	성명		전화번호
	생년월일
	주소
청구내용 (구체적으로 요청하지 않으면 처리가 곤란할 수 있음)	영상정보기록기간	(예 : 2011.01.01 18:30 ~ 2011.01.01 19:00)
	영상정보처리기기 설치장소	(예 : 00시 00구 00대로 0 인근 CCTV)
	청구 목적 및 사유
「표준 개인정보 보호지침」제44조에 따라 위와 같이 개인영상정보의 존재확인, 열람을 청구합니다. 년 월 일 청구인 (서명 또는 인) ○○○○ 귀하
담당자의 청구인에 대한 확인 서명

번호	구분	일시	파일명/ 형태	담당자	목적/ 사유	이용․ 제공받는 제3자 /열람등 요구자	이용․ 제공 근거	이용․제공 형태	기간
1	□ 이용 □ 제공 □ 열람 □ 파기
2	□ 이용 □ 제공 □ 열람 □ 파기
3	□ 이용 □ 제공 □ 열람 □ 파기
4	□ 이용 □ 제공 □ 열람 □ 파기
5	□ 이용 □ 제공 □ 열람 □ 파기
6	□ 이용 □ 제공 □ 열람 □ 파기
7	□ 이용 □ 제공 □ 열람 □ 파기

작성일	작성자
파기 대상 개인정보파일
생성일자			개인정보취급자
주요 대상업무			현재 보관건수
파기 사유
파기 일정
특기사항
파기 승인일		승인자 (개인정보 보호책임자)
파기 장소
파기 방법
파기 수행자	입회자
폐기 확인 방법
백업 조치 유무
매체 폐기 여부

번호	개인정보 파일명	자료의 종류	생성일	폐기일	폐기사유	처리담당자	처리부서장

구분	주요내용
① 개인정보파일명
② 이용․제공받는 기관
③ 이용․제공일자
④ 이용․제공주기
⑤ 이용․제공형태
⑥ 이용․제공목적
⑦ 이용․제공근거
⑧ 이용․제공항목
⑨ 비고

보유기간	대상 개인정보파일
영구	1. 국민의 지위, 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일 2. 국민의 건강증진과 관련된 업무를 수행하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일
준영구	1. 국민의 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 개인이 사망, 폐지 그 밖의 사유로 소멸되기 때문에 영구 보존할 필요가 없는 개인정보파일 2. 국민의 신분증명 및 의무부과, 특정대상 관리 등을 위하여 행정기관이 구축하여 운영하는 행정정보시스템의 데이터 셋으로 구성된 개인정보파일
30년	1. 관계 법령에 따라 10년 이상 30년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일
10년	1. 관계 법령에 따라 5년 이상 10년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일
5년	1. 관계 법령에 따라 3년 이상 5년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일
3년	1. 행정업무의 참고 또는 사실 증명을 위하여 1년 이상 3년 미만의 기간 동안 보존할 필요가 있는 개인정보파일 2. 관계 법령에 따라 1년 이상 3년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일 3. 각종 증명서 발급과 관련된 개인정보파일(단 다른 법령에서 증명서 발급 관련 보유기간이 별도로 규정된 경우 해당 법령에 따름)
1년	1. 상급기관(부서)의 요구에 따라 단순 보고를 위해 생성한 개인정보파일

[별지 제1호] (앞쪽)
※ 접수일자		※ 접수번호
접근배제요청인 지정서
신청인	성 명		전자우편
			전화번호
지정인	성 명		전자우편
			전화번호
	신청인과의 관계
지정 대상 게시판 관리자 (또는 검색서비스사업자)
지정 사유
지정인의 접근배제요청 제한 범위	(제한 사항이 없을 경우 생략)
위와 같이 접근배제요청인을 지정합니다. 년 월 일 (서명 또는 인) 게시판 관리자 ○ ○ ○ ○ ○ 귀하 (또는 검색서비스사업자)
<개인정보의 수집 및 이용 동의 안내> 1. 수집하려는 개인정보의 항목 - 신청인 및 지정인의 성명, 전화번호, 전자우편, 신청인과 지정인의 인적 관계 2. 개인정보의 수집 및 이용 목적 - 본인 식별 절차 및 자기게시물 접근배제요청인 지정업무, 접근배제 요청업무의 처리 3. 개인정보의 이용 및 보유기간 - 수집된 정보는 자기게시물 접근배제 요청 처리 및 접근재개 요청 처리 완료시까지 보유 4. 동의를 거부할 권리가 있으며, 거부시 접근배제요청인 지정 및 접근배제 요청 업무 처리에 제한이 있을 수 있습니다. 본인은 위 항목에 대한 개인정보 수집․이용․보유에 동의합니다. 신청인 (서명 또는 인) 지정인 (서명 또는 인)
210mm×297mm(일반용지60g/㎡(재활용품))

[별지 제2호] (앞쪽)
※ 접수일자			※ 접수번호
자기게시물 접근배제 요청서
접근배제 요청인 (권리 주장자)	성 명			전자우편
				전화번호
접근배제 요청 게시물		※ 대량일 경우 뒤쪽 사용
접근배제 요청 게시물의 위치자료(URL)		※ 대량일 경우 뒤쪽 사용
자기게시물 접근배제 요청 사유
위와 같이 게시물의 접근배제를 요청하오니 즉시 조치하여 주시기 바랍니다. 년 월 일 신청인 (서명 또는 인) 게시판 관리자 ○ ○ ○ ○ ○ 귀하 (또는 검색서비스사업자)
<개인정보의 수집 및 이용 동의 안내> 1. 수집하려는 개인정보의 항목 - 성명, 전화번호, 전자우편, 요청인이 제출한 자기게시물 입증자료에 포함된 ID, IP주소 등의 개인정보 (요청인의 제출 자료에 따라서 수집 개인정보가 상이할 수 있음) 2. 개인정보의 수집 및 이용 목적 - 본인 식별 절차 및 자기게시물 접근배제 요청 처리 3. 개인정보의 보유 및 이용기간 - 자기게시물 접근배제 요청 처리 및 접근재개 요청 처리 완료시까지 4. 동의를 거부할 권리가 있으며, 거부시 접근배제 요청 처리에 제한이 있을 수 있습니다. 본인은 위 항목에 대한 개인정보 수집․이용․보유에 동의합니다. 신청인 (서명 또는 인)
※ 첨부서류 1. 요청인 또는 사자(死者)가 해당 게시물을 게시하였다는 사실을 입증할 수 있는 자료 2. 사자(死者) 게시물에 대하여 접근배제요청 지정인이 접근배제를 요청하는 경우, 지정 사실을 입증할 수 있는 접근배제요청인지정서
210mm×297mm(일반용지60g/㎡(재활용품))

(뒤쪽)
No	접근배제 요청 게시물	접근배제 요청 게시물의 위치자료(URL)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

[별지 제3호] (앞쪽)
※ 접수일자			※ 접수번호
접근재개 요청서
접근재개 요청인 (이의신청인)	성 명			전자우편
				전화번호
재개 요청 게시물		※ 대량일 경우 뒤쪽 사용
재개 요청 게시물의 위치자료 (URL)		※ 대량일 경우 뒤쪽 사용
중단 일시
접근재개 요청 사유
위와 같이 검색배제 게시물의 접근재개를 요청합니다. 년 월 일 (서명 또는 인) 게시판 관리자 ○ ○ ○ ○ ○ 귀하 (또는 검색서비스사업자)
<개인정보의 수집 및 이용 동의 안내> 1. 수집하려는 개인정보의 항목 - 성명, 전화번호, 전자우편, 요청인이 제출한 접근재개 사유의 입증자료에 포함된 ID, IP주소 등의 개인정보 (요청인의 제출 자료에 따라서 수집 개인정보가 상이할 수 있음) 2. 개인정보의 수집 및 이용 목적 - 본인 식별 절차 및 자기게시물 접근재개 요청 처리 3. 개인정보의 보유 및 이용기간 - 수집된 정보는 자기게시물 접근배제 요청 처리 및 접근재개 요청 처리 완료시까지 4. 동의를 거부할 권리가 있으며, 거부시 접근재개 요청 처리에 제한이 있을 수 있습니다. 본인은 위 항목에 대한 개인정보 수집․이용․보유에 동의합니다. 신청인 (서명 또는 인)
※ 첨부서류 1. 접근재개 사유가 존재함을 입증할 수 있는 자료
210mm×297mm(일반용지60g/㎡(재활용품))

(뒤쪽)
No	접근재개 요청 게시물	접근재개 요청 게시물의 위치자료 (URL)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

	ECB	CBC	CFB	OFB	CTR
장점	- 간단하고 신속한 장점 - 기밀성 낮음	패턴반복성X	패팅불요	패팅불요	패딩불요 고속처리 OFB와 같은 스트림 암호
에러전이	X	O 2개의 평문블록)	O 그 후의 모든 암호문에 대한 에러전이	X	X
병렬처리	암호화, O 복호화 O	암호화 병렬X 복호화병렬 O	복호화병렬 O 암호화병렬 X	암호화X 복호화X	암호화O 복호화O
구조				암/복호화 같은 구조	암/복호화 같은 구조
				위성과 같은 NOISY채널에 사용
단점	기밀성이 낮음
패턴	패턴 O	패턴반복성 X
공격	암호문 삭제, 교체에 의한 평문조작			적극적 공격자가 암호문 비트반전시키면 대응 평문블록이 비트 반전	암호문 비트반전시키면 대응 평문블록이 비트 반전
재전송 공격	O		O
초기화 벡터		비밀일 필요는 없으나 무결성 (미리약속) 초기화벡터에 대한 공격 가능	1단계 앞에 블록이 없으므로	랜덤비트열 사용

법률조항	조항 문구	주요 내용	위반시 조치
제30조	이용자의 권리 등	o 본인 관련하여 열람, 제공 및 오류정정 요구 가능 (➁항) 1. 이용자의 개인정보 2. 이용자의 개인정보 이용 및 제3자 제공 현황 3. 제3자 제공자에게 이용자의 개인정보 수집·이용·제공 등의 동의한 현황	o 과태료 (3천만원이하) o 시정명령 (제64조4항)
		o 이용자가 동의 철회 요구시 지체없이 필요한 조치(➂항)
		o 이용자가 열람 또는 제공 요구시 지체없이 조치 (➃항)
		o 이용자가 오류 정정 요구시 지체없이 정정 또는 못하는 사유를 고지하는 등 필요한 조치하고, 그 경우 이용자의 개인정보 이용·제공 불가 (➄항)	o 징역 (5년 이하), 벌금 (5천만원 이하) o 시정명령 (제64조4항)
		o 동의 철회, 열람·제공 또는 오류의 정정을 요구하는 방법은 수집방법보다 쉬워야 함 (➅항)	o 과태료 (3천만원이하) o 시정명령 (제64조4항)
		o 영업양수자등에 대해서도 이 조항을 준용(➆항)	o 징역 (5년 이하), 벌금 (5천만원 이하) o 시정명령 (제64조4항)
제30조의2	개인정보 이용내역의 통지	o 대통령령이 정하는 기준＊에 해당 하는 자는 동의를 받고 수집한 이용자의 개인정보의 이용내역(제3자 제공 및 취급위탁 포함)을 주기적으로 통지 의무 (➀항)	o 과태료 (3천만원이하) o 시정명령 (제64조4항)
		o 이용자에게 통지해야 하는 정보의 종류, 통지 주기 및 방법 등은 대통령령으로 정함 (➁항)
제31조	법정대리인의 권리	o 만14세 미만 아동의 개인정보 수집·이용·제공 등의 동의는 법정 대리인의 동의를 획득해야 하고, 그 아동에게 필요 최소한 법정대리인의 정보 요구 가능 (➀항)	o 징역 (5년 이하), 벌금 (5천만원 이하) o 과징금 (매출액 3% 이하) o 시정명령 (제64조4항)
		o 법정대리인의 동의 철회,열람 또는 오류 정정의요구는 제30조➂항~➄항을 준용 (➁항)	o 징역 (5년 이하), 벌금 (5천만원 이하) o 과태료 (3천만원이하) o 시정명령 (제64조4항)
제32조	손해배상	o 이용자가 손해를 입으면 손해배상 청구 가능, 단, 고의 및 과실이 없음에 대한 책임은 정보통신사업자 제공자등이 입증 의무	-
제63조	국외 이전 개인정보의 보호	o 망법을 위반하는 내용으로 국제계약 체결 불가(➀항)	o 시정명령 (제64조4항)
		o 개인정보 국외 이전시 이용자의 동의 의무(➁항)
		o ➁항에 따른 동의시 사전 고지 사항(➂항) - 이전되는 개인정보 항목 - 이전되는 국가, 이전일시 및 이전방법 - 이전받는 자의 성명(법인은 명칭, 책임자 연락처) - 이전받는 자의 개인정보 이용목적 및 보유·이용기간
		o 동의 받아 국외 이전시 보호조치 강구(➃항)
제67조	방송사업자에 대한 준용	o 지상파·종합유선·위성·방송채널사용사업자·공동체라디오·중계유선·음악유선·전송망사업자전광판방송사업자는 시청자의 개인정보 수집·이용 또는 제공하는 경우 제22조부터 제32조까지 준용(➀항)	해당 벌칙 적용
		o 수탁자에 관해서는 제22조부터 24조의2와 제26조부터 제31조까지 준용 (➁항)

정보통신 서비스제공자 등

개인정보 유출 신속대응팀	개인정보보호 책임자	· 개인정보 유출 대응 총괄 지휘 · 개인정보 유출대응 신속대응팀 구성·운영

	개인정보보호 담당자	· 유관기관에 개인정보 유출 신고 · 이용자에게 개인정보 유출 통지

	정보보호 담당자	· 유관기관에 침해사고 신고 · 사고경위 분석, 시스템 복구 등 침해대응

	고객지원 부서	· 정부, 언론사, 이용자 민원 대응 · 이용자 피해구제 및 분쟁조정 기구 안내

전직원	· 개인정보 유출 확인 시 부서장 또는 개인정보보호 부서에 신고 · 침해사고 발생 확인 시 부서장 또는 정보보호 부서에 신고 · 개인정보 유출 신속대응팀 요청에 따른 유출대응 지원

신고 항목	유의사항
① 유출된 개인정보 항목	․유출된 개인정보 항목을 모두 기재해야 하며, ‘등’과 같이 일부 생략하거나 휴대전화번호와 집 전화번호를 ‘전화번호’로 기재하여서는 안됨 ․유출된 개인정보의 모든 항목을 적어야 하며, 유출 규모도 현 시점에서 파악된 내용을 모두 작성
② 유출이 발생한 시점	․유출시점, 인지시점을 명확히 구분하여 날짜 및 시간 모두 작성해야 하며, 유출경위와 인지경위를 작성해야 함
③ 이용자가 취할 수 있는 조치	․개인정보 유출로 발생 가능한 스팸 문자, 보이스피싱, 금융사기와 같은 2차적인 피해 방지를 위해 이용자가 할 수 있는 조치를 기재(예: 비밀번호 변경 등)
④ 정보통신서비스 제공자등의 대응조치	․유출사실을 안 후 긴급히 조치한 내용과 향후 이용자의 피해구제를 위한 계획 및 절차를 기재 ex) 경찰에 신고, 일시적 홈페이지 로그인 차단(홈페이지 해킹일 경우) 등
⑤ 이용자가 상담 등을 접수할 수 있는 부서 및 연락처	․실제 신고 접수 및 상담이 가능한 전담 처리부서와 해당 담당자 연락처를 기재
⑥ 기타	․유출된 기관명, 사업자번호, 사업자 주소, 웹사이트 주소 기재

점검 항목	점검 내용	비고
계정	· 사용하지 않는 계정 및 숨겨진 계정 확인 - 윈도우 : [관리도구]→[컴퓨터 관리]→ [로컬사용자 및 그룹]→[사용자] 정보 확인 - 리눅스 : /etc/passwd 확인	‧ $ 문자가 포함된 계정 확인 ‧ 패스워드 미설정 계정 확인 ‧ /bin/bash 설정 계정 확인
로그파일	· 이벤트 로그 및 시스템 로그 변조 유무 확인 - 윈도우 : [관리도구]→[컴퓨터 관리]→ [이벤트뷰어] 확인 - 리눅스 : /var/log/secure, message 등 확인 · 윈도우 웹로그 경로 및 변조 유무 확인 - [관리도구]→[인터넷정보서비스(IIS)관리]에서 · 리눅스 웹로그 경로 확인 - /usr/local/apache/logs 확인	‧ 웹로그 생성/수정 시간 확인
웹쉘	· 확장자별 웹쉘 패턴 점검 - asp, aspx, asa, cer, cdx, php, jsp, html, htm, jpg, jpeg, gif, bmp, png	‧ 휘슬 사용
백도어	· 네트워크 상태 확인 - nmap -sV 침해사고시스템IP · 비정상 포트 및 외부연결 확인 - 윈도우 : netstat, TCPView 등 사용 - 리눅스 : netstat -nlp, lsof -i	‧ 6666, 6667 등 의심 Port 확인 ‧ 의심 Port를 사용하는 프로세스 확인
루트킷	· 숨겨진 프로세스 및 비정상 프로세스 확인 · 변조된 파일 및 시스템 명령어 확인 - Windows : IceSword, GMER 등 사용 - Linux : Rootkit Hunter, Check Rootkit 등 사용	‧ Rootkit Hunter 업데이트 필수

구분	접속 경로 차단 방법	비고
서버	· 윈도우 [제어판]→[Windows 방화벽]→[일반]방화벽 사용→[예외]→원격데스크톱→편집→범위변경→사용자 지정 목록 설정(허용할IP)	특정 IP에 원격데스크톱 서비스를 허용하고 나머지 IP접속은 차단
서버	· 리눅스 iptables -A INPUT -p TCP --dport 22 -s 허용할IP –j ACCEPT iptables -A INPUT -p TCP --dport 22 -s –j DROP	특정 IP에 ssh 서비스를 허용하고 나머지 IP접속은 차단
네트 워크	· 방화벽/라우터/스위치 access-list 101 permit tcp 허용할IP host 접근서버IP eq 22 interface ethernet 0 ip access-group 101 in	특정 IP에 ssh 서비스 허용정책을 ethernet 0 인터페이스에 인바운드 정책 적용

사업자 개인정보 유출 신고서 (필수)가 표시되어있는 항목을 꼭 기재 부탁드리며, 부족한 내용이 있을 경우 연락이 갈 수 있습니다.
기관명(필수)							사업자번호(필수)
사업자주소 (사업자등록기준)							웹 사이트 주소
누출된 개인정보의 항목 및 규모(필수)
누출이 발생된 시점, 누출 인지 시점 및 경위(필수)
이용자가 취할 수 있는 조치(필수)
정보통신서비스 제공자등의 대응조치(필수)
이용자가 상담 담당부서ㆍ담당자 및 연락처(필수)				성명		연락처			이메일
		개인정보 보호책임자
		개인정보 보호담당자
※ 하단은 접수기관에서 기재하는 부분이므로 신고자는 기재하실 필요가 없습니다.
신고접수기관	기관명(지역)		접수자명		연락처			이메일		접수일자

	피해종류	활용된 개인정보 주요항목	개인정보 악용 절차	이용자 대응요령
금전적	온라인 사기쇼핑	주민등록번호, 카드번호, 유효기간 등	① 카드번호, 유효기간으로 온라인 결제가 가능한 국내외 홈쇼핑 사이트에 접속 ② 홈쇼핑 홈페이지, ARS를 통한 온라인 사기 결제‧주문	• 신용카드 정지 및 재발급 신청 ※ 신고기관 : 각 카드사, 한국소비자원 소비자 상담센터(☏1372) 등
	명의도용을 통한 통신서비스 가입	이름, 주소, 주민등록번호 등	① 유출된 개인정보를 이용하여 휴대전화, 인터넷전화 등 가입 ※ 통신서비스 가입 시 본인확인절차가 있으므로 주민등록증 위조 등 추가적인 불법 행위 수반이 예상됨 ② 불법 가입한 전화번호로 스팸을 발송하여 금전적 이익을 취득함 ※ 명의를 도용당한 사람은 서비스 이용제한을 당하거나 명의도용 소명절차를 밟는 등 피해를 당함	• 한국정보통신진흥협회(KAIT)의 명의도용방지서비스(M-Safer)를 통한 불법 통신서비스 신규가입 여부 확인 ※ 신고기관 : 통신민원조정센터(msafer.or.kr) ※ 명의도용방지서비스(M-Safer) : 통신서비스 신규가입시 이메일‧문자로 가입여부 통보
	명의도용을 통한 신용카드 복제	이름, 신용카드 번호, 유효기간 등	① 유출된 개인정보를 이용하여 신용카드 불법 복제 ※ 특수장비를 이용하여 카드번호, 유효기간, 이름 등으로 복제 가능 ② 불법 복제된 카드를 국내외에서 활용하여 상품 결제 등에 악용 ※ 국내외 POS단말기의 경우 마그네틱 부분만을 이용하여 결제 가능	• 신용카드 정지 및 재발급 신청, 이용내역 통지 서비스 가입 ※ 신고기관 : 각 카드사, 경찰, 금융감독원(☏1332)
	스미싱	휴대전화번호	① ‘정보유출 확인 안내' 등 금융기관을 사칭하는 문자메시지에 악성코드(인터넷주소)를 삽입하여 발송 ② 금융기관 사칭 메시지를 받은 피해자가 인터넷주소(URL)를 클릭하면 악성코드에 감염되어 소액결제 피해 및 개인‧금융정보 탈취	• 수상한 문자메시지 삭제 및 메시지 상 링크 클릭하지 않기 또는 카드사 공지 전화번호 확인 ※ 신고기관 : 카드사, 경찰, 불법스팸대응센터(☏118)
비금전적	보이스피싱	신용카드번호, 휴대전화, 집전화번호, 집주소 등	① 경찰, 금융감독당국 또는 금융회사 직원을 사칭하여 전화 ② 금융관련 업무 목적 사칭을 통한 개인정보‧금융정보 탈취(비밀번호, 보안카드번호 등) ③ 유출된 금융사를 사칭, 개인정보 유출 확인을 빙자하여 ARS를 통해 계좌번호/비밀번호 등 금융정보 입력 요청	• 수상한 전화 거부 및 각 카드사에서 공지한 전화번호 확인 ※ 신고기관 : 카드사, 경찰, 불법스팸대응센터(☏118)
	명의도용을 통한 온라인회원 가입	이름, 이메일, 연락처 등	① 유출된 개인정보를 이용하여 웹사이트 가입 ※ 일부 홈페이지의 경우 이름, 이메일, 연락처만으로 회원가입 가능 ② 명의도용을 통해 본인도 모르는 수십여개의 웹사이트 가입하여 개인정보 불법 이용	• e프라이버시 클린서비스(www.eprivacy.go.kr)를 활용한 해당 사이트 탈퇴 요청 ※ 신고기관 : 경찰, 불법스팸대응센터(☏118) ※ 국내 사이트로 주민번호 사용 내역이 있는 경우만 가능하며, 주민번호 미사용시 서비스 불가
	휴대전화/이메일 스팸발송	휴대전화 번호, 이메일 주소 등	① 유출된 개인정보를 이용해 불특정 다수에게 스팸 발송 ※ 유출된 모든 휴대전화, 이메일로 도박 등 스팸 무작위 발송 가능 ※ 신용정보, 연소득등 활용 대출 스팸 발송, 자동차 보유여부를 활용한 보험 스팸 발송 등 특정유형의 개인에 대한 타겟 마케팅 가능 ② 휴대전화, 이메일 서비스 이용자는 원치 않는 홍보‧마케팅 광고 수신	• 지능형 스팸차단서비스를 이용한 스팸 차단, 수신 스팸 적극 신고 ※ 신고기관 : 카드사, 경찰, 불법스팸대응센터(☏118) ※ 지능형 스팸차단서비스 : 발신‧회신번호 등 발송패턴을 분석하여 스팸을 차단해주는 서비스
	사회공학적 기법을 활용한 악성코드 유포메일 발송	이메일주소 등	① 해커가 특정 대상을 목표로 스팸/피싱 시도용 첨부파일이 포함되어 있거나 연결을 유도 URL이 포함된 이메일 발송 ② 수신자들이 이메일에 포함된 첨부파일 및 URL을 클릭 ③ 해커가 수신자의 PC를 장악하여 기밀 및 개인정보를 빼냄	• 의심가는 이메일을 받은 경우 함부로 열람하지 않고 바로 삭제 • 사용자 PC의 바이러스 백신을 항상 최신버전으로 유지 및 정기적 검사 수행 ※ 신고기관 : 경찰, 불법스팸대응센터(☏118)