공공정책 위키(Public Policy Wiki)에 오신 것을 환영합니다


공공정책 위키 시작하기

개인정보보호위원회: 두 판 사이의 차이

Public Policy Wiki
둘러보기로 이동 검색으로 이동
 
(같은 사용자의 중간 판 7개는 보이지 않습니다)
4번째 줄: 4번째 줄:


=== 기관 소개 ===
=== 기관 소개 ===
'''개인정보보호위원회'''는 개인정보의 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 설립된 합의제 중앙행정기관이다. 개인정보보호위원회는 개인정보 보호와 관련된 법령 개선, 정책·제도·계획 수립, 권리침해 조사 및 처분, 국제기구와 외국의 개인정보 보호기구와의 교류 및 협력, 정책과 실태의 조사·연구, 기술개발 지원과 전문인력 양성 등에 대한 업무를 수행한다.<ref>[https://www.pipc.go.kr/np/default/page.do?mCode=F010010010 개인정보보호위원회 공식 홈페이지]</ref>(개인정보 보호법 제7조의8<ref>개인정보 보호법 제7조의8(보호위원회의 소관 사무) https://www.law.go.kr/lsInfoP.do?lsId=011357&ancYnChk=0#J7:8</ref>)
'''개인정보보호위원회'''는 개인정보의 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 설립된 합의제 중앙행정기관이다. 개인정보보호위원회는 개인정보 보호와 관련된 법령 개선, 정책·제도·계획 수립, 권리침해 조사 및 처분, 국제기구와 외국의 개인정보 보호기구와의 교류 및 협력, 정책과 실태의 조사·연구, 기술개발 지원과 전문인력 양성 등에 대한 업무를 수행한다.<ref>개인정보보호위원회-기관소개 https://www.pipc.go.kr/np/default/page.do?mCode=F010010010</ref>([https://www.law.go.kr/법령/개인정보보호법/(20240315,19234,20230314)/제7조의8 개인정보 보호법 제7조의8])


매 3년마다 개인정보보호기본계획을 수립하고 정부의 시행계획을 매년 심의·의결한다. 그리고 매년 개인정보 보호시책의 수립과 시행 보고서를 작성하여 국회에 제출한다.
매 3년마다 개인정보보호기본계획을 수립하고 정부의 시행계획을 매년 심의·의결한다. 그리고 매년 개인정보 보호시책의 수립과 시행 보고서를 작성하여 국회에 제출한다.
11번째 줄: 11번째 줄:
[[파일:개인정보보호위원회 문양.png|섬네일|개인정보보호위원회 기관문양(MI)|270x270픽셀]]
[[파일:개인정보보호위원회 문양.png|섬네일|개인정보보호위원회 기관문양(MI)|270x270픽셀]]


=== 기관 상징<ref>개인정보보호위원회 공식 홈페이지-기관상징 https://www.pipc.go.kr/np/default/page.do?mCode=F010010020</ref> ===
=== 기관 상징<ref>개인정보보호위원회-기관상징 https://www.pipc.go.kr/np/default/page.do?mCode=F010010020</ref> ===


* 대한민국 정부의 역사와 전통, 미래 비전을 구현하기 위해 모든 국민적 공감대 형성이 가능한 소재로서 '태극'을 사용한다.
* 대한민국 정부의 역사와 전통, 미래 비전을 구현하기 위해 모든 국민적 공감대 형성이 가능한 소재로서 '태극'을 사용한다.
* 「정부기에 관한 공고(대통령 공고)<ref>정부기에 관한 공고-국가법령정보센터 https://www.law.go.kr/%ED%96%89%EC%A0%95%EA%B7%9C%EC%B9%99/%EC%A0%95%EB%B6%80%EA%B8%B0%EC%97%90%EA%B4%80%ED%95%9C%EA%B3%B5%EA%B3%A0</ref>」에 따라 통일된 정부상징을 적용한다.
* [https://www.law.go.kr/%ED%96%89%EC%A0%95%EA%B7%9C%EC%B9%99/%EC%A0%95%EB%B6%80%EA%B8%B0%EC%97%90%EA%B4%80%ED%95%9C%EA%B3%B5%EA%B3%A0 「정부기에 관한 공고(대통령 공고)」]에 따라 통일된 정부상징을 적용한다.
* 태극문양은 청·홍·백의 조합과 담백함으로 대한민국다움을 극대화하고, 열린 조형으로 국민, 세계, 미래를 향해 진취적인 대한민국 정부를 표상한다.
* 태극문양은 청·홍·백의 조합과 담백함으로 대한민국다움을 극대화하고, 열린 조형으로 국민, 세계, 미래를 향해 진취적인 대한민국 정부를 표상한다.
* 글꼴은 한글 창제기의 글꼴인 정음체를 현대적 감각에 맞게 발전시켜 태극과의 조화를 추구하고 정부상징이 갖는 최고의 권위를 뒷받침한다.
* 글꼴은 한글 창제기의 글꼴인 정음체를 현대적 감각에 맞게 발전시켜 태극과의 조화를 추구하고 정부상징이 갖는 최고의 권위를 뒷받침한다.
[[파일:락스타(Lock star).png|섬네일|개인정보보호위원회 기관 캐릭터 락스타(Lock star)]]
[[파일:락스타(Lock star).png|섬네일|개인정보보호위원회 기관 캐릭터 락스타(Lock star)]]


=== 기관 캐릭터<ref>개인정보보호위원회 공식 홈페이지-기관캐릭터 https://www.pipc.go.kr/np/default/page.do?mCode=F010010030</ref> ===
=== 기관 캐릭터<ref>개인정보보호위원회-기관캐릭터 https://www.pipc.go.kr/np/default/page.do?mCode=F010010030</ref> ===
지킹별의 락스타(Lock star)는 개인정보 침해로부터 안전할 때 노래하는 캐릭터이다.
지킹별의 락스타(Lock star)는 개인정보 침해로부터 안전할 때 노래하는 캐릭터이다.


37번째 줄: 37번째 줄:
2012년 3월 6일: APPA(Asia Pacific Privacy Authorities)<ref>[https://www.appaforum.org/members/ APPA 홈페이지]</ref> 가입.
2012년 3월 6일: APPA(Asia Pacific Privacy Authorities)<ref>[https://www.appaforum.org/members/ APPA 홈페이지]</ref> 가입.


 
•APPA는 아시아·태평양 13개국 19개 회원 기관이 참여하고 있는 아태 지역 개인정보 감독기구 협의체이다. 매년 연 2회 정기 회의를 개최하고 있다. APPA를 통하여 회원 기관은 각 국가별 개인정보보호 법제 동향, 개인정보보호 인식 제고, 피해 구제 사례 등을 공유하고 규제의 복잡성 해소 및 합리적 규제와 법 집행을 위해 협력하고 있다.<ref>개인정보보호위원회-해외 개인정보 감독기구·협의체-APPA https://www.pipc.go.kr/np/default/page.do?mCode=D060020020</ref>


2012년 10월 22일: ICDPPC(International Conference of Data Protection and Privacy Commissioners) 가입.
2012년 10월 22일: ICDPPC(International Conference of Data Protection and Privacy Commissioners) 가입.
56번째 줄: 56번째 줄:
개인정보보호위원회는 위원장 1명과 부위원장 1명을 포함한 위원 9명으로 구성된 기관이다. 위원은 개인정보 보호에 관한 경력과 전문지식이 풍부한 사람 중에서 대통령이 임명하며, 위원장과 부위원장은 국무총리의 제청을, 위원 2명은 위원장의 제청을, 2명은 여당의 추천을, 3명은 야당의 추천을 거친다. 위원의 임기는 3년이며, 한 차례 연임이 가능하다.
개인정보보호위원회는 위원장 1명과 부위원장 1명을 포함한 위원 9명으로 구성된 기관이다. 위원은 개인정보 보호에 관한 경력과 전문지식이 풍부한 사람 중에서 대통령이 임명하며, 위원장과 부위원장은 국무총리의 제청을, 위원 2명은 위원장의 제청을, 2명은 여당의 추천을, 3명은 야당의 추천을 거친다. 위원의 임기는 3년이며, 한 차례 연임이 가능하다.


회의는 위원장이 필요하다고 인정하거나 재적위원 1/4 이상의 요구로 위원장이 소집한다. 재적위원 과반수의 출석으로 개의하고 출석위원 과반수의 찬성으로 의결한다. 효율적인 업무 수행을 위해 위원 3명으로 구성되는 소위원회를 둘 수 있으며, 사무를 처리하기 위해 사무처를 둔다.<ref>위키백과, 개인정보보호위원회 https://ko.wikipedia.org/wiki/%EB%8C%80%ED%95%9C%EB%AF%BC%EA%B5%AD_%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%9C%84%EC%9B%90%ED%9A%8C</ref>[[파일:개인정보보호위원회 조직도.png|섬네일|가운데|500x500픽셀|개인정보보호위원회 조직도.]]국무회의에서 의결된 「개인정보 보호위원회 직제」<ref>개인정보 보호위원회 직제-국가법령정보센터 https://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%9C%84%EC%9B%90%ED%9A%8C%EC%A7%81%EC%A0%9C</ref>에서는 개인정보 보호위원회의 하부조직을 규정하고 있다.
회의는 위원장이 필요하다고 인정하거나 재적위원 1/4 이상의 요구로 위원장이 소집한다. 재적위원 과반수의 출석으로 개의하고 출석위원 과반수의 찬성으로 의결한다. 효율적인 업무 수행을 위해 위원 3명으로 구성되는 소위원회를 둘 수 있으며, 사무를 처리하기 위해 사무처를 둔다.<ref>위키백과, 개인정보보호위원회 https://ko.wikipedia.org/wiki/%EB%8C%80%ED%95%9C%EB%AF%BC%EA%B5%AD_%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%9C%84%EC%9B%90%ED%9A%8C</ref>[[파일:개인정보보호위원회 조직도.png|섬네일|가운데|500x500픽셀|개인정보보호위원회 조직도.]]국무회의에서 의결된 [https://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%9C%84%EC%9B%90%ED%9A%8C%EC%A7%81%EC%A0%9C 「개인정보 보호위원회 직제」]에서는 개인정보 보호위원회의 하부조직을 규정하고 있다.


개인정보 보호위원회가 합의제행정기관에서 독자적인 조직운영 권한을 가지는 국무총리 소속 장관급 중앙행정기관으로 격상됨에 따라 예산, 인사 등의 기관운영에 필요한 업무 수행을 위해 기획조정관, 대변인, 운영지원과 등이 설립되었다.
개인정보 보호위원회가 합의제행정기관에서 독자적인 조직운영 권한을 가지는 국무총리 소속 장관급 중앙행정기관으로 격상됨에 따라 예산, 인사 등의 기관운영에 필요한 업무 수행을 위해 기획조정관, 대변인, 운영지원과 등이 설립되었다.
84번째 줄: 84번째 줄:
위 조직도에서, 국제협력담당관실은 개방형 직위이고, 조사조정국의 조사 3팀은 2025년 1월 31일까지 존속하는 한시조직으로, 한시조직은 한시적으로 발생하는 행정수요에 대처하기 위해 필요한 경우 혹은 기존의 보조기관과 보좌기관으로는 그 목적을 달성하기 곤란한 중요한 업무가 발생한 경우에 해당한다면 그 소속기관에 설치되는 한시적인 보조를 맡는 조직을 뜻한다.([https://www.law.go.kr/LSW//lsLinkCommonInfo.do?lsJoLnkSeq=1020690751&chrClsCd=010202&ancYnChk= 행정기관의 조직과 정원에 관한 통칙 제17조의3])
위 조직도에서, 국제협력담당관실은 개방형 직위이고, 조사조정국의 조사 3팀은 2025년 1월 31일까지 존속하는 한시조직으로, 한시조직은 한시적으로 발생하는 행정수요에 대처하기 위해 필요한 경우 혹은 기존의 보조기관과 보좌기관으로는 그 목적을 달성하기 곤란한 중요한 업무가 발생한 경우에 해당한다면 그 소속기관에 설치되는 한시적인 보조를 맡는 조직을 뜻한다.([https://www.law.go.kr/LSW//lsLinkCommonInfo.do?lsJoLnkSeq=1020690751&chrClsCd=010202&ancYnChk= 행정기관의 조직과 정원에 관한 통칙 제17조의3])


개인정보 보호위원회에 두는 공무원의 정원은 다음과 같다.<ref>위키백과, 대한민국 개인정보보호위원회 https://ko.wikipedia.org/wiki/%EB%8C%80%ED%95%9C%EB%AF%BC%EA%B5%AD_%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%9C%84%EC%9B%90%ED%9A%8C#cite_note-11</ref>
개인정보 보호위원회에 두는 공무원의 정원은 다음과 같다.<ref>위키백과, 대한민국 개인정보보호위원회 https://ko.wikipedia.org/wiki/%EB%8C%80%ED%95%9C%EB%AF%BC%EA%B5%AD_%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%9C%84%EC%9B%90%ED%9A%8C#%EC%A0%95%EC%9B%90</ref>
[[파일:개인정보위 구성.png|가운데|섬네일|500x500픽셀|개인정보위원회에 두는 공무원의 정원.]]
[[파일:개인정보위 구성.png|가운데|섬네일|500x500픽셀|개인정보위원회에 두는 공무원의 정원.]]
== '''정책 및 법령''' ==
[https://www.law.go.kr/lsSc.do?section=&menuId=1&subMenuId=15&tabMenuId=81&eventGubun=060101&query=%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4+%EB%B3%B4%ED%98%B8%EB%B2%95#undefined 개인정보 보호법]은 개인정보의 수집, 유출, 오용, 남용으로부터 사생활의 비밀 등을 보호하고 개인정보의 처리 및 보호에 관한 사항을 정함으로써 국민의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 하는 대한민국의 법률이다. [https://www.law.go.kr/lsSc.do?section=&menuId=1&subMenuId=15&tabMenuId=81&eventGubun=060101&query=%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4+%EB%B3%B4%ED%98%B8%EB%B2%95#undefined 개인정보 보호법 시행령]은 개인정보 보호법에서 위임된 사항과 그 시행에 필요한 사항을 규정함을 목적으로 한다. 개인정보 보호법에서 나타나는 “대통령령으로 정하는 기관”을 정의하고 공공기관의 범위를 정하며, 영상정보처리기기의 범위 또한 정한다. 개인정보 보호위원회는 영리를 목적으로 한 업무에 종사해서는 안 되며, 보호위원회에 여러 호의 분야별 전문위원회를 둔다.
=== 국민정책 ===
국민정책으로는 개인정보 열람 등 요구, 개인정보 분쟁조정 제도의의, 개인정보 유출 신고, 개인정보 침해신고 제도가 존재한다.
==== 개인정보 열람 등 요구 ====
개인정보 열람 등 요구란 정보주체가 자신의 개인정보를 수집한 기관을 대상으로 개인정보 수집내역, 제3자 제공내역 등을 열람하거나 개인정보의 정정, 삭제, 처리정지를 요구할 수 있는 제도이다. 인터넷에서 회원가입, 실명인증 등을 위해 실시된 주민번호, 아이핀, 휴대폰을 통한 본인확인 내역을 제공해주는 본인확인 내역 조회 서비스도 존재한다. 이 정책은 개인정보 유출 및 오남용으로 인한 명의의 도용과 사생활침해 피해를 최소화하고 정보주체의 개인정보 자기결정권을 보장하주는 것을 목적으로 하며, 개인정보 보호법 [https://www.law.go.kr/법령/개인정보보호법/(20240315,19234,20230314)/제4조 4조(정보주체의 권리)], [https://www.law.go.kr/법령/개인정보보호법/(20240315,19234,20230314)/제35조 35조(개인정보의 열람)], [https://www.law.go.kr/법령/개인정보보호법/(20240315,19234,20230314)/제37조 37조(개인정보의 처리정지 등)], [https://www.law.go.kr/법령/개인정보보호법/(20240315,19234,20230314)/제38조 38조(권리행사의 방법 및 절차)]를 법적근거로 두고 있다.
[[파일:개인정보 열람요구 절차.jpg|가운데|섬네일|500x500픽셀|개인정보 열람 등 요구 처리 절차.<ref>개인정보보호위원회-개인정보 열람 등 요구<nowiki/>https://www.pipc.go.kr/np/default/page.do?mCode=D030010000</ref>]]
==== 개인정보 분쟁조정 ====
개인정보 분쟁조정 제도는 매우 빠른 파급속도와 어려운 원상회복의 문제를 지닌 개인정보 피해를 신속하고 간편하게 구제하기 위해 도입되었으며, 개인정보에 관한 분쟁이 발생하였을 때 비용이 많이 들고 시간이 오래 걸리는 소송제도의 대안으로서 비용 없이 신속하게 분쟁을 해결하여 개인정보 침해를 당한 국민의 피해를 신속하고 원만하게 구제할 수 있다. 신청 내용과 요건에 따라 개인정보 분쟁조정과 집단분쟁조정으로 구분하여 조정절차를 달리 운영한다.
'''개인정보 분쟁조정'''은 개인정보 처리와 관련하여 당사자 사이 분쟁 발생 시 조정을 원하는 자는 누구든지 신청이 가능하며, 신청 내용에는 법령 위반행위의 중지, 손해배상 청구 등의 적극적 권리 행사도 포함된다. 개인정보 분쟁조정은 신청사건의 접수 및 통보, 사실확인 및 당사자 의견청취, 조정전 합의권고, 위원회의 조정절차 개시, 조정의 성립, 효력의 발생이라는 절차를 거친다.
[[파일:개인정보분쟁조정절차.jpg|가운데|섬네일|개인정보 분쟁조정 절차. <ref>개인정보보호위원회-개인정보 분쟁조정 https://www.pipc.go.kr/np/default/page.do?mCode=D030020020</ref>]]
'''집단분쟁조정'''은 수많은 개인정보의 유출 및 오남용 사건을 개별적 분쟁조정절차를 통해 처리함으로써 발생하는 많은 시간과 비용의 낭비를 최소화하고 집단적분쟁사건을 효율적이고 신속히 처리하기 위해 하나의 분쟁조정절차를 통해 일괄적으로 해결하는 분쟁조정제도이다. 집단분쟁조정절차는 피해를 입은 정보주체의 수가 50인 이상이어야 하는 조건이 충족되어야 하고, 신청사건의 중요한 쟁점은 사실상 또는 법률상 공통되어야 한다. 집단 분쟁조정은 조정의 신청, 분쟁조정절차의 개시 및 공고, 참가신청, 조정결정, 조정의 효력발생, 보상권고 등의 절차를 거친다.
[[파일:집단분쟁조정절차.jpg|가운데|섬네일|집단분쟁조정 절차. <ref>개인정보보호위원회-집단분쟁조정<nowiki/>https://www.pipc.go.kr/np/default/page.do?mCode=D030020030</ref>]]
==== 개인정보 유출 ====
개인정보 유출은 법령이나 개인정보처리자의 자유로운 의사에 의한 것이 아닌, 개인정보가 개인정보처리자의 통제권을 벗어나 제3자가 그 정보를 알 수 있는 상태에 이른 것을 말한다.
'''개인정보처리자'''는 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우, 민감정보 또는 고유식별정보다 유출된 경우, 개인정보처리시스템이나 취급자가 개인정보를 관리하는 기기에 대한 외부의 침투로 인해 정보가 유출된 경우 중 하나에 해당하는 경우에 72시간 이내에 개인정보 유출신고를 하여야 한다.
'''상거래기업 및 법인'''은 1만명 이상 신용정보주체의 개인신용정보가 유출 및 누설된 경우 72시간 이내에 유출신고를 하여야 한다.
개인정보 유출 미신고 시 개인정보 보호법 [https://www.law.go.kr/법령/개인정보보호법/(20240315,19234,20230314)/제75조 제75조(과태료)] 제2항 제18호에 따라 3천만원 이하의 과태료가 부과된다.
개인정보 유출은 [https://www.law.go.kr/법령/개인정보보호법/(20240315,19234,20230314)/제34조 개인정보 보호법 제34조(개인정보 유출 통지 등)], [https://www.law.go.kr/법령/신용정보의이용및보호에관한법률/(20230915,19234,20230314)/제39조의4 신용정보의 이용 및 보호에 관한 법률 제39조의4(개인신용정보 누설통지 등)]을 법적 근거로 둔다.
==== 개인정보 침해신고 제도 ====
개인정보 침해신고 제도는 개인정보에 관한 권리 또는 이익을 개인정보처리자에 의해 침해당했을 경우 개인정보위가 개인정보 보호법 등 관련 법령에 따라 신고 접수 전문기관으로 지정한 한국인터넷진흥원(KISA)의 개인정보침해 신고센터에 피해 내용을 신고할 수 있는 제도이다. 신고가 접수된 사항은 법규 위반 여부를 검토하여 신속히 고충을 해결하고 침해행위 시정 등 행정지도를 실시하고 결과를 신고자에게 통보한다. 개인정보처리자의 법 위반 여부나 위반사항 시정 등에 따라 행정조사로 전환하여 결과를 개인정보위로 통보하기도 한다. 개인정보 침해신고의 절차는 인터넷 등을 통한 상담의 접수, 신고인의 침해받은 권리를 구제하는 행정지도, 행정지도 과정에서 혹 해결되지 않은 고충을 추가적으로 해결하기 위한 행정조사로의 전환 등의 과정을 거친다.
개인정보 침해신고 제도는 [https://www.law.go.kr/법령/개인정보보호법/(20240315,19234,20230314)/제62조 개인정보 보호법 제62조(침해 사실의 신고 등)]을 법적 근거로 둔다.
=== 기업정책 ===
기업정책으로는 가명처리•가명정보 결합, 인증제도, 기술 R&D 로드맵, 기술 표준화 로드맵이 존재한다.
==== 가명정보 ====
가명정보는 개인정보를 가명처리한 것인데, 이러한 가명정보는 원래의 상태로 복원하기 위한 추가 정보의 활용 없이는 특정 개인을 알아볼 수 없는 정보이다. 가명처리 제도는 2020년 8월 빅데이터 시대 신성장 동력인 데이터의 활용에 대한 시대의 요구를 반영하여 개인정보 보호법이 개정되면서, 개인정보처리자가 통계, 연구 등을 목적으로 개인정보를 가명처리하여 정보주체의 동의 없이도 데이터를 인전하게 활용할 수 있도록 도입한 제도이다. 가명처리의 절차는 목적 설정 등의 사전준비, 위험성 검토, 가명처리, 적정성 검토, 안전한 관리의 과정으로 이루어진다.
가명정보는 개인정보 보호법 [https://www.law.go.kr/법령/개인정보보호법/(20240315,19234,20230314)/제2조 제2조제1호(정의)], [https://www.law.go.kr/법령/개인정보보호법/(20240315,19234,20230314)/제28조의2 제28조의2(가명정보의 처리 등)]을 근거법령으로 둔다.
서로 다른 개인정보처리자 간의 가명정보의 결합은 개인정보 보호법 제28조의3에 따라 통계작성, 과학적 연구, 공익적 기록보존 등을 목적으로 하며, 이러한 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관에서 수행해야 한다.
[[파일:가명정보결합.jpg|가운데|섬네일|500x500픽셀|가명정보 결합의 절차. <ref>개인정보보호위원회-가명처리·가명정보 결합<nowiki/>https://www.pipc.go.kr/np/default/page.do?mCode=D040010000</ref>]]
가명정보의 결합은 [https://www.law.go.kr/법령/개인정보보호법/(20240315,19234,20230314)/제28조의3 개인정보 보호법 제28조의3(가명정보의 결합 제한)]을 근거법령으로 둔다.
==== 인증제도(ISMS-P) ====
인증제도는 개인정보보호 관리체계 인증(PIMS)과 정보보호 관리체계 인증(ISMS)으로 개별 운영되던 인증체계를 하나로 통합한 통합인증제도로, 2018년 11월 7일부터 시행되었다. 기업과 기관은 정보보호 및 개인정보보호 관리체계 인증을 통해 자사의 개인정보 보호 및 정보보안에 대한 대외 신뢰도를 향상하고 내·외부의 개인정보 침해 위험의 저감을 기대할 수 있다. 인증절차는 인증심사의 신청, 심사, 보완조치, 인증위원회의 개최, 인증서 발금, 사후관리로 이루어져 있다.
[[파일:인증절차.jpg|가운데|섬네일|500x500픽셀|인증절차의 기본 흐름. <ref>개인정보보호위원회-인증제도(ISMS-P) https://www.pipc.go.kr/np/default/page.do?mCode=D040020000</ref>]]
인증제도는 [https://www.law.go.kr/법령/개인정보보호법/(20240315,19234,20230314)/제32조의2 개인정보 보호법 제32조의2(개인정보 보호 인증)]을 법적 근거로 한다.
==== 기술 R&D 로드맵('22~'26) ====
기술 R&D 로드맵은 데이터 경제 시대에 정보주체의 권리를 두텁게 보호하고 안전한 활용을 지원하기 위해 개인정보에 특화된 보호·활용 기술에 대한 연구개발(R&D)를 추진하여, 개인정보 보호·활용 기술분류체계와 국내·외 기술 및 표준화 동향 등을 고려하여 수립하고, 정보주체 권리보장, 유·노출 최소화, 안전한 활용 등 3대 분야 11대 핵심기술과 37개의 세부기술을 포함한 향후 5년간의 연구개발 계획을 포함한다.
[[파일:기술 R&D 로드맵(22~26).png|가운데|섬네일|500x500픽셀|기술 R&D 로드맵('22~'26) 주요 핵심기술. <ref>개인정보보호위원회-기술 R&D 로드맵(’22~’26) https://www.pipc.go.kr/np/default/page.do?mCode=D040050000</ref> ]]
==== 기술 표준화 로드맵('23~'27) ====
기술 표준화 로드맵은 개인정보 핵심기술의 국제선점을 통해 개인정보 기술·산업의 국제적 경쟁력을 확보하고 개인정보 분야 연구개발(R&D) 성과 확산을 목적으로 하며, 개인정보 보호·활용 기술분류체계와 국내·외 기술 및 표준화 동향 등을 고려하여 수립하고, 국제표준 선점 필요성과 시장의 수요 등을 고려하여 선정한 3대 분야(정보주체 권리보장, 처리단계별 보호 강화, 안전한 활용)12개 핵심표준을 선정한다.
[[파일:기술표준화로드맵.png|가운데|섬네일|500x500픽셀|기술 표준화 로드맵('23~'27) 주요 핵심기술. <ref>개인정보보호위원회-기술 표준화 로드맵('23~'27) https://www.pipc.go.kr/np/default/page.do?mCode=D040060000</ref>]]
=== 공공정책 ===
공공정책으로는 기본계획 및 시행계획, 개인정보 영향평가, 개인정보 침해요인 평가, 공공기관 관리수준 진단이 존재한다.
==== 기본계획 및 시행계획 ====
'''기본계획'''은 개인정보의 보호와 정보주체의 권익 보장을 위하여 3년마다 수립되는 법정계획으로, 개인정보보호위원회가 수립주체가 된다. 기본목표와 추진방향, 제도 및 법령의 개선, 개인정보 보호를 위해 필요한 사항 등을 그 내용으로 한다.
제 1~3차 기본계획은 2011년에 최초 시행된 개인정보 보호법의 안정적인 정착과 이해관계자의 역량강화를 강조하고, 4차 기본계획은 개인정보보호위원회가 중앙행정기관으로 새롭게 출범한 후 개인정보의 컨트롤타워로서의 기능과 정책을 추진하는 것을 목표로 한다. 이번 기본계획은 국민 신뢰 기반의 디지털 대전환 선도를 비전으로 하여 데이터 경제시대의 선도와 개인정보 안심사회 구현, 글로벌 데이터 신질서 주도라는 3대 추진전략과 핵심과제 10개를 마련하고 있다.
[[파일:기본계획.png|가운데|섬네일|589x589픽셀|개인정보 보호 기본계획의 비전 및 전략. <ref>개인정보보호위원회-기본계획·시행계획-기본계획 https://www.pipc.go.kr/np/default/page.do?mCode=D050010010</ref>]]
시행계획은 개인정보 보호 기본계획에 따라 51개의 각 중앙행정기관(19부 3처 19청 7위원회, 감사원, 국가정보원, 국무조정실)의 장이 기관단위의 연도별 추진계획을 작성하여 시행한다.
시행계획 작성의 절차는 개인정보보호위원회의 작성지침 수립 및 통보, 중앙행정기관의 시행계획 작성 및 제출, 개인정보보호위원회의 검토 및 심의·의결로 구성되어 있다.
시행계획의 주요 내용으로는 개인정보 이슈 진단 및 대응방향, 개인정보보호 현황, 전년도 실적, 금년도 현황, 차년도 계획 등이 있다.
[[파일:시행계획.png|가운데|섬네일|500x500픽셀|시행계획의 법적근거. <ref>개인정보보호위원회-기본계획·시행계획-시행계획 https://www.pipc.go.kr/np/default/page.do?mCode=D050010020</ref>]]
==== 개인정보 영향평가 ====
개인정보 영향평가는 개인정보파일의 도입·변경 시 위험요인을 분석하고 개선사항을 도출하기 위해 사전에 조사, 분석 및 평가하기 위한 제도이다. 개인정보 영향평가를 통해 설계단계부터 개인정보 침해위험성을 파악하고 개선함으로써 시스템 운영 시의 침해위협을 최소화하고 효과적인 대응책을 사전에 마련할 수 있다.
개인정보 영향평가의 처리 절차로는 우선 개인정보보호위원회의 영향평가 기관의 지정을 시작으로, 공공기관이 평가기관에 평가를 의뢰하고 평가기관이 공공기관에 수행결과를 제출한다. 그 후 공공기관이 개인정보보호위원회에 결과를 제출하고, 필요시 개인정보위에서 공공기관에게 의견을 제시하는 과정을 거친다.
개인정보 영향평가는 [https://www.law.go.kr/법령/개인정보보호법/(20240315,19234,20230314)/제33조 개인정보 보호법 제33조(개인정보 영향평가)]를 근거로 하며, 영 제35조에 해당하는 개인정보파일을 구축 및 운영하거나 기존 시스템은 변경 또는 연계하려는 공공기관을 대상으로 한다.
==== 개인정보 침해요인 평가 ====
개인정보 침해요인 평가제도는 중앙행정기관의 장이 법령의 제정·개정을 통해 개인정보 처리를 수반하는 정책이나 제도의 도입·변경의 경우 보호위원회가 해당 법령의 개인정보 침해요인을 평가하는 제도이다. 보호위원회는 해당 법령에 개인정보 침해요인이 존재할 경우 소관기관의 장에게 개선사항을 권고한다. 이는 법령·제도에 있어 개인정보 침해 요인을 종합적으로 분석하여 국민의 개인정보를 보호하고 관련 법령 간의 정합성을 고려하여 법령 간의 중복 또는 상충 요인을 제거하는 것을 목적으로 한다.
개인정보 침해요인의 평가는 중앙행정기관이 제정, 개정하는 법령안을 대상으로 하며, 정보처리의 필요성, 권리보장의 적정성, 정보관리의 안전성을 주 평가내용으로 삼는다. 평가절차는 크게 법령안의 입안 및 관계기관의 협의 단계, 입법예고의 단계, 규제심사의 단계, 법제처의 심사단계, 법령안 공포 및 시행의 단계로 나누어진다. 입안 및 협의단계에서는 평가요청서의 작성·제출과 평가요청서의 검토가 있으며, 입법예고단계에서는 침해요인이 없을 경우 절차가 종료되고, 계속해서 요청서를 검토할 수 있다. 요청서의 검토 이후 평가결과를 통보할 때 '원안동의'로 결과가 통보되면 절차가 종료되며, '개선권고'로 결과가 통보되면 개선의견을 반영하고 요청서를 계속해서 검토하게 된다. 그 후 해당부서에서 개선의견을 수용하였는지의 여부를 확인하고 관리한다.
==== 공공기관 관리수준 진단 ====
공공기관 관리수준 진단제도는 공공기관의 개인정보 관리체계와 유출예방 활동 등을 진단하여 국민의 개인정보가 안전하게 관리될 수 있는 기반 조성을 유도하기 위한 제도이다. 개인정보 관리수준의 진단 분야 마련 및 개선, 매뉴얼 제작, 계획 통보 및 진단기관 대상 설명회 개최, 진단위원회의 구성 및 운영, 기관별 실적 온라인 접수, 현장검증 대상기관 선정, 최종결과 통보 및 개선조치 지원 등이 주요 내용이다.
진단 제도는 일반적으로, 6월말에 진단 매뉴얼의 마련 및 설명회가 진행되고, 7월~8월에 현장 컨설팅에 들어간다. 9월~10월에는 기관별 자체진단 수행 및 증빙자료를 온라인으로 등록하고, 12월 말에는 정책 및 혁신업무의 실적 증빙자료를 온라인으로 등록한다.<ref>증빙자료 온라인 등록 사이트 https://intra.privacy.go.kr/uat/uia/egovLoginUsr.do</ref> 그 후 1월~3월에는 정책·혁신업무의 서면진단과 공통업무 증빙자료의 재검증, 현장방문이 이루어지고 4월말에 비로소 가점, 감점의 반영 및 최종결과를 확정짓는다.
공공기관 관리수준 진단제도는 [https://www.law.go.kr/법령/개인정보보호법/(20240315,19234,20230314)/제11조 개인정보 보호법 제11조(자료제출 요구 등) 제 2항]을 근거로 하며, 중앙행정기관 및 산하 공공기관, 지방자치단체, 지방공기업을 대상으로 적용한다.
== '''국외정보 및 해외동향''' ==
=== 일본 ===
==== 기본적 체계 ====
일본은 '개인정보보호 기본방침'과 '개인정보보호법'을 토대로 공공 분야와 민간 분야를 대상으로 한 개인정보보호 법률과 가이드라인이 제정되었다. 공통부문, 민간부문, 공공부문 각각을 대상으로 한 개별 개인정보보호법 등이 폐지되고 단일 법률로 통합되었다.
일본의 개인정보보호법의 연혁은 다음과 같다.<ref>개인정보보호위원회-국가별 정보-일본 개인정보보호 법 행정 체계 현황 및 주요 위반사례-법률체계 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS270&mCode=D060010000&nttId=9632&etc2=%EC%9D%BC%EB%B3%B8</ref>
* 88년 : 개인정보보호를 위한 최초의 법률로서 '행정기관이 보유한 전자계산기처리와 관련된 개인정보보호에 관한 법률'을 마련.
* 03년 5월 : 민간 영역을 규제대상에 포함시킨 '개인정보보호법' 최초 제정.
* 15년 9월 : 개인정보의 이용 규제 완화, 개인정보의 제3자 활용 요건 구체적으로 명시한 개정 개인정보보호법 공포.
* 17년 5월 : 개정된 개인정보보호법의 시행 돌입.
* 20년 6월 : 혁신 기술 기반, 개인정보 활용 조건을 명확히 하고 기업이 개인의 인터넷 열람 이력을 제3자에게 제공하는 행위의 규제를 위해 개정안이 의회 통과.
* 22년 4월 : 개정법률의 시행 시작.
일본의 개인정보보호법은 제정 당시 공공부문에 적용되는 '행정기관의 개인정보보호법' 등의 4가지 관련 법률도 함께 정비되었다. 이와 함께 의료, 금융 분야 등의 가이드라인도 마련되어 개인정보보호에 대한 국민 의식의 증대와 개인정보의 보호가 가능해졌다. 15년 9월의 개정안은 개인정보보호의 강화와 기존 법률의 모호성을 제거하였고, 일본의 데이터 보호 체제를 유럽의 GDPR과 같은 다른 주요 국가의 데이터 규제와 조화시킬 수 있도록 하였다. 또한 2015 개정안 부칙에는 '3년마다 재검토' 규정이 포함되어 있어 이에 따라 개인 권리 보호, 국제적 제도 조화, 빅데이터 시대 대응을 중심으로 2020년에 개인정보보호법이 한번 더 개정되었다.<ref>네이버 프라이버시 센터(글로벌 지원)-일본-일본 개인정보보호법. https://privacy.naver.com/global_support?menu=global_support_japan_privacy</ref>
일본의 개인정보 감독기관은 개인정보보호위원회로서 16년에 출범했으며 일본 도쿄에 본사를 두고 있다. 일본의 개인정보보호위원회는 개인정보의 효과적인 활용을 통해 새로운 산업의 창출 및 활력 있는 경제사회와 풍요로운 국민 생활의 실현, 개인정보의 유용성과 권익의 담보를 위한 개인정보의 적정한 취급을 확보하는 것을 임무로 삼는다. 동 위원회는 개인정보보호법에 근거하여 개인정보보호에 관한 기본방침 마련, 취급 감독, 인정 개인정보보호 단체 관리 등의 업무를 실시한다.
개인정보보호위원회는 개인정보보호 관련 민원, 침해 접수, 조사, 집행과 같은 개인정보보호 업무 이외에 부가적인 기능을 수행하는데, 개인정보 교류를 위한 국제적 데이터 환경의 구축, 국외이전 제도의 확대 추진, 제도환경의 정비 및 국제 표준 기업 인증 제도 마련, 글로벌 개인정보 감독기관들이 참여하는 GPA(Global Privacy Assembly) 등의 포럼<ref>[https://globalprivacyassembly.org/ GPA 홈페이지]</ref>에 적극적으로 참여하여 정보를 수집하는 등의 기능이 존재한다.
GPA는 92개 국가 및 경제협의체의 140개 회원 기관이 참여하고 있는 글로벌 개인정보 감독기구협의체이다. 매년 1회 정기 총회를 개최하여 다양한 협력 방안을 논의한다. GPA는 개인정보보호 관련 지식 전파, 지원을 통해 각 국의 감독기구가 효과적으로 업무를 수행할 수 있도록 지원하고 다양한 역량 강화 활동을 수행한다.<ref>개인정보보호위원회-해외 개인정보 감독기구·협의체-GPA https://www.pipc.go.kr/np/default/page.do?mCode=D060020010</ref>
일본의 개인정보보호위원회는 크게 위원회와 위원회 업무를 지원하기 위한 사무국 조직으로 구성되는데, 위원장과 위원 8인(비상근 4인 포함)으로 구성되어 있다. 개인정보보호위원회의 조직도는 공개되고 있지 않다.<ref>개인정보보호위원회-국가별 정보-일본 개인정보보호 법 행정 체계 현황 및 주요 위반사례-행정체계 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS270&mCode=D060010000&nttId=9631&etc2=%EC%9D%BC%EB%B3%B8</ref>
==== 최근 행정처분<ref>개인정보보호위원회-국가별 정보-일본 개인정보보호법 행정 체계 현황 및 주요 위반사례-최근 행정처분 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS270&mCode=D060010000&nttId=9627&etc2=%EC%9D%BC%EB%B3%B8</ref> ====
22/23년 개인정보 취급사업자에 대한 데이터 유출 관련 민원 접수 건은 총 7,685건으로, 개인정보보호위원회가 직접 보고받은 것이 4,217건, 위임 부처를 경유해서 보고받은 것과 임의 보고 건은 각각 3,468건 및 837건으로 나타났다.
피해 1건당 정보 유출이 이뤄진 인원수는 1,000명 이하가 93.8%로 가장 많았고, 5만 이상의 비율도 0.5%를 기록했다. 유출 정보의 유형은 고객정보가 83.9%로 가장 큰 비중을 차지하였고, 형태는 종이매체가 95.1%로 대부분을 차지했으며, 전자매체만 유출된 것은 0.2%에 불과했다.
최근의 처분사례로는 타인의 개인정보를 웹사이트 게재한 익명의 사업자에 대한 개인정보 침해 중단을 위한 명령 부과 사례가 존재한다.
해당 사건에서 익명의 사업자는 파산절차 개시 결정을 받은 사람의 개인정보를 웹사이트에 불법적으로 공개했으며, 해당 사업자는 공고의 형태로 관보에 게재된 파산자 등의 개인정보를 데이터베이스화하여 본인의 동의를 얻지 않고 자사의 웹사이트에 게재했다. 이를 통해 접속자는 누구나 해당 데이터베이스를 이용할 수 있었고, 불특정 다수가 파산자 등의 개인정보를 열람하여 파산자에게 직·간접적 피해를 주었다.
개인정보위는 사업자의 행위를 개인정보보호법 제27조 위반에 따른 개인정보 제3자 위법 공개행위로 간주하여 사업자 웹사이트를 통한 개인정보 공개의 중단을 권고하고 본인의 동의를 얻거나 적절한 조치의 강구 전에는 웹사이트를 통한 개인정보 공개의 재개는 안 된다고 요구하였다. 그러나 익명의 사업자는 정당한 이유 없이 위원회의 권고를 거부하였고, 이에 위원회는 강제성이 담보된 명령을 내려, 다음과 같은 세부사항의 이행을 명했다.
* 웹사이트를 통한 개인정보 공개 중단
* 웹사이트를 통한 개인정보 공개 시 사전에 본인 동의 필수 획득 및 동법에 따른 조치 마련
* 상기 조치를 개인정보보호위원회가 확인하기 전까지 웹사이트를 통한 개인정보 공개 재개 금지
==== 해외동향 및 사례-EAZY 서비스 ====
일본의 택배사 야마토운송유통은 2021년 택배 전표에서 수신인, 주소 등의 개인정보를 별표로 가리고 세부 정보를 QR코드로 확인하는 비대면택배 서비스 'EAZY'를 도입했다. 이 서비스를 이용할 경우 타인이 택배전표를 통해 개인정보를 알아볼 수 없어 개인정보 유출의 위험이 줄어들게 된다. 또한 택배박스를 버릴 때 개인정보의 유출을 우려하여 일일이 전표를 제거하는 번거로운 과정을 생략할 수 있다.<ref>개인정보보호위원회-해외 동향 및 사례-일본, 개인정보 가리는 택배전표 등장 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS105&mCode=D060030020&nttId=7369</ref>
=== 영국 ===
==== 기본적 체계 ====
영국에는 개인의 프라이버시권을 부여하는 헌법이 없고, 그 대신 개인정보보호 일반법에 해당하는 영국 일반 개인정보보호법(UK GDPR) 및 개인정보보호법 2018(DPA 2018)을 필두로 각 영역별 필요에 따라 도입된 개별 법률로 개인정보보호 법제가 구성되어 있다. 개별 법률에는 공공기관이 다루는 개인정보에 대한 국민들의 알 권리를 보장하는 정보자유법, 정보통신 분야의 개인정보를 다루는 프라이버시 전자통신규정, 의료분야의 기록에 대한 열람권을 규율하는 건강기록접근법 등이 존재한다.
'''영국 일반 개인정보보호법'''은 유럽연합 탈퇴선언 이후 명명되었다. 유럽연합 탈퇴 이후 유럽연합 법률이 더 이상 영국 내에 적용되지 않는 법적 공백이 발생했고, 영국은 유럽연합 탈퇴법을 제정하여 EU 법령이 그대로 영국 국내법으로서 기능하도록 노력했다. 영국은 개인정보보호, 프라이버시, 전자 커뮤니케이션 수정법을 제정하여 개인정보 관련 법률에 수정을 가하며 개인정보보호 법제 전반을 정비하였다.
'''개인정보보호법(DPA 2018)'''은 84년 최초 제정되어 한 차례 개정을 거쳐 오늘날에 이르렀고, EU 회원국 내 동일한 법률의 적용을 위해 유럽연합 일반 개인정보보호법은 회원국별 상황을 반영할 수 있도록 재량권을 부여하였다. 현재 시행 중인 DPA 2018은 영국의 유럽연합 탈퇴로 인해 개인정보보호 등의 법 제정을 계기로 한 차례 더 수정을 거쳤다. 개인정보보호법 2018은 총 7장 215개 조항으로 이루어져 있다.
'''정보자유법'''은 국가 정책의 투명성과 국민의 알권리를 보장하는 법으로, 해당 법에서 공공기관 보유 정보에 국민의 접근 권한을 명시함에 따라 공공기관은 수행활동에 대한 정보를 공개해야 하고 국민은 정보를 요청할 권리를 가진다.
'''프라이버시 전자통신규정'''은 EU의 개인정보 및 전자통신 지침의 제정에 따라 03년 도입되고, 개인정보보호 일반법을 보완하여 전자통신 상의 구체적인 권한을 규정하였다. 해당 규정에 따라 전자적 수단을 통한 마케팅 등의 이용정보를 추적하는 경우, 공공 전자통신 서비스의 보안 영역이나 통신 네트워크 및 서비스를 이용하는 이용자의 프라이버시에 대해 규율한다.
'''건강기록접근법'''은 건강기록에 접근하는 권리를 규정하기 위해 1990년 제정되었다. 해당 법에 따라 개인은 개인을 치료한 의료기관의 의료기록에 접근하거나 개인 전담의가 작성한 관리기록에 접근할 권한을 가진다.
영국의 개인정보 감독기구인 ICO는 위 법률 중 일부와 기타 법률을 포함하여 총 10개의 법률을 소관하고 있다.<ref>개인정보보호위원회-국가별 정보, 영국 개인정보보호 법 행정 체계 현황 및 주요 위반사례-법률체계. https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS270&mCode=D060010000&nttId=9697&etc2=%EC%98%81%EA%B5%AD</ref> ICO는 84년에 설립된 행정기관으로, 영국 윔슬로우에 본사를 두고 있다. ICO는 개인정보보호와 관련한 본질적 업무인 민원접수, 침해사고 접수, 조사, 집행 등에 더하여 행동규약 개발, 수수료 납부대상 기업 DB 관리 등의 부가적인 활동을 수행한다. ICO의 조직 구성은 크게 규제 부문과 운영 부문으로 양분되는데, 규제 부문 하에는 총 11개의 국, 운영 부문 하에는 총 14개의 국의 편성된다.
규제 부문에서는 4개국을 규제 감독 담당이 관할하고, 2개국은 규제 리스크 담당, 5개국은 규제 정책 담당이 관할한다. 23년 11월 기준 규제 리스크 담당은 후임이 정해지지 않아 임시로 규제 감독 담당이 해당 2개국을 지휘하고 있다.
운영 부문에서는 전략적 변혁 담당이 1개국, 법률 자문 담당이 5개국, 기업 데이터, 디지털 및 기술 담당이 8개국을 관할 중이다.
ICO는 홈페이지에서 각 조직별 담당 업무를 모두 공개하는 것이 아닌 일부 부서의 역할만을 소개한다.<ref>개인정보보호위원회-국가별 정보, 영국 개인정보보호 법 행정 체계 현황 및 주요 위반사례-행정체계. https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS270&mCode=D060010000&nttId=9696&etc2=%EC%98%81%EA%B5%AD</ref>
==== 최근 행정처분 ====
[[파일:틱톡.jpg|섬네일|180x180픽셀|TikTok의 로고.]]
22/23년 기준 ICO에 접수된 민원은 총 33,753건으로 전년도에 비해 7.13% 감소했다. 토지 및 부동산, 금융·보험·신용, 보건, 일반 비즈니스 분야의 민원의 전체 민원의 절반가량을 차지했다.
최근의 처분사례로는 아동 개인정보보호를 위한 충분한 조치를 취하지 않고 아동 개인정보를 무단으로 활용한 TikTok에 과징금을 부과한 사례가 있다.
TikTok은 13세 미만 아동이 해당 플랫폼을 이용할 때 부모로부터 적절한 동의를 얻지 않고, 아동 정보처리의 목적을 충분히 설명하지 않았으며, 합법적이고 투명한 방식으로 개인정보를 처리하지 않았다. 22년 9월 ICO는 TikTok의 개인정보 미보호 혐의로 2,700만 파운드의 과징금을 부과할 수 있다는 의향서를 전달한 바 있다. 조사 결과 ICO는 TikTok이 내부적으로 13세 미만 아동의 플랫폼 사용 문제를 인지했음에도 불구하고 조치를 취하지 않았다는 사실을 확인하였다. 결국 ICO는 TikTok에 대해 UK GDPR 제5조제1항제a호, 제12조, 제13조 위반을 이유로 1,270만 파운드의 과징금을 부과했다.<ref>개인정보보호위원회-국가별 정보, 영국 개인정보보호 법 행정 체계 현황 및 주요 위반사례-최근 행정처분 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS270&mCode=D060010000&nttId=9692&etc2=%EC%98%81%EA%B5%AD</ref>
==== 해외동향 및 사례-ICO의 아동 개인정보 보호 전략 ====
24년 ICO에서는 온라인 상에서의 아동 개인정보 보호를 위한 전략을 발표하였다. ICO는 아동의 안전한 서비스 이용을 위해 소셜 미디어 및 비디오 공유 플랫폼이 개선해야 할 우선 순위와 산업별 규정 준수 방법을 제시하였고, 21년 아동 실천 강령의 도입 후 더 나은 개인정보 보호를 위해 온라인 상에서 아동의 개인정보가 올바르게 사용되도록 온라인 서비스들과 지속적으로 협력하였다. 24년~25년 아동 강령 전략은 기본 설정, 맞춤형 광고, 추천 시스템, 13세 미만 아동의 개인정보 사용 등 네 가지 영역을 중심으로 개인정보 보호 관행 개선을 촉구하였다.<ref>개인정보보호위원회-해외 동향 및 사례-영국 ICO, 온라인 상에서의 아동 개인정보 보호를 위한 전략 발표 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS105&mCode=D060030020&nttId=10088</ref>
{| class="wikitable"
|+
|개인정보 보호 및 위치정보에 관한 기본 설정
|아동의 프로필은 비공개, 위치추적 기능은 해제를 기본 설정으로
-아동의 위치정보 확인 및 추적 기능은 아동에 대한 정보 오용에 따라 아동의 신체적/정신적 안전을 해칠 위험이 있음
|-
|맞춤형 광고를 위한 아동 프로파일링
|프로파일링은 해제를 기본 설정으로
-아동은 자신의 개인정보가 수집되고 있다는 사실, 해당 정보가 맞춤형 광고에 사용될 수 있다는 사실을 인지하지 못할 수 있고, 아동의 개인정보에 대한 자율성 및 통제권이 약화될 수 있음
|-
|콘텐츠 추천을 위한 아동의 개인정보 사용
|콘텐츠 추천 알고리즘은 아동의 행동 추적 정보 및 검색기록 등의 정보를 활용하여 콘텐츠 피드를 생성
-콘텐츠 피드는 아동에게 자해, 자살충동 등의 유해 콘텐츠를 노출할 가능성이 있고, 추천 시스템의 설계 방식은 아동이 장시간 플랫폼을 이용하게 하여 아동의 플랫폼과 더 많은 개인정보를 공유하도록 함
|-
|13세 미만 아동의 개인정보 사용
|13세 미만 아동은 온라인 서비스가 자신의 개인정보를 사용하는 것에 동의 불가, 부모의 동의 반드시 요구
-온라인 서비스가 아동 개인정보 사용에 관한 동의를 획득하는 방법, 연령 확인 기술을 통한 사용자 연령 식별, 적절한 보호 조치 적용 방법 등이 잠재적 피해를 완화하는 데 있어 중요함
|}
=== 미국 ===
==== 기본적 체계 ====
미국의 개인정보보호 법제는 EU의 GDPR과 같은 개인정보보호에 관한 일반법을 갖고 있지 않다. 미국은 개별법주의 체계를 취하고 있어 일반법보다는 각 영역에서의 별도의 법률을 제정하는 방식을 택하고 있다. 다만 전 세계적으로 일반 개인정보보호법을 도입하는 국가가 늘어감에 따라 미국 의회도 연방 개인정보보호법안을 발의하였다. 미국의 법률체계는 연방법 법률체계와 주법률체계로 양분되어 있어 개인정보보호 관련 법률도 구분해서 보아야 한다.<ref>개인정보보호위원회-국가별 정보-미국 개인정보보호 법 행정 체계 현황 및 주요 위반사례-법률체계 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS270&mCode=D060010000&nttId=9731&etc2=%EB%AF%B8%EA%B5%AD</ref>
'''연방법 법률체계'''에서는 개인정보보호를 광범위하게 포괄하고 규율하는 일반법은 존재하지 않고, 연방법 체계에서는 일반법 대신 개별적인 법률이 공공 및 민간부문의 산업별 개인정보 보호를 각각 규율하는 형식을 취한다. 연방의 공공부문의 개인정보를 보호 및 규율하기 위한 74년 제정 프라이버시법은 공공부문의 개인정보보호 일반법으로서 역할을 담당한다.
'''주법률체계'''에서도 연방법과 마찬가지로 각 영역별로 개별적 개인정보보호 법률을 두고 있는 것이 일반적이지만 캘리포니아주를 필두로 전 분야를 아우르는 개인정보 보호법을 제정하는 추세이다. 캘리포니아주는 미국 최초의 민간분야 개인정보보호 일반법(CCPA)을 18년 제정하였고 20년 11월 3일 해당 법을 일부 개정하기 위한 법안(CPRA)이 제정되었으며, 개정된 CCPA의 조항은 23년 7월 시행 예정이었으나 새크라멘토 상급 법원은 CPRA 규정의 시행일을 24년 3월로 연기하였다. 그 후 13개가량의 주도 포괄적인 개인정보보호법을 제정하였고, 현재 개인정보보호법이 제정된 주는 총 14개주로 확대되었다.
미국은 유럽 각국의 개인정보 감독기관 같은 개인정보보호 전담 연방기구는 없고, 기존 연방정부 조직이 공공 및 민간부문의 개인정보보호와 관련한 제한적 역할을 수행한다. 공공부문에서는 관리예산국이, 민간부문에서는 연방거래위원회가 개인정보보호 역할을 제한적으로 수행한다. 캘리포니아주에서는 캘리포니아 개인정보 감독기관이 주 범위 내의 소비자 개인정보보호를 주관한다.<ref>개인정보보호위원회-국가별 정보-미국 개인정보보호 법 행정 체계 현황 및 주요 위반사례-행정체계 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS270&mCode=D060010000&nttId=9730&etc2=%EB%AF%B8%EA%B5%AD</ref>
==== 해외동향 및 사례-빅테크 규제 ====
24년 4월 7일, 미국 여당·야당이 Google, Meta 및 TikTok 등 빅테크를 겨냥한 포괄적인 개인정보보호권리법안(APRA)에 합의하였다. 여야는 기업이 온라인 상에서 소비자로부터 수집할 수 있는 정보의 양을 결정하는 표준의 필요성이 제기됨에 따라 APRA에 합의하면서, 사용자의 동의 없이 영리 목적의 사용자 행동 추적 등의 행위를 금지함으로써 빅테크를 규제하고자 했다. APRA은 미국 전역에서 개인정보 보호에 대한 표준화된 접근 방식을 제공하는 것을 목표로 한다.<ref>개인정보보호위원회-해외 동향 및 사례-미국 여·야, 빅테크 규제 위해 연방 개인정보보호 법안 합의 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS105&mCode=D060030020&nttId=10109</ref>
{| class="wikitable"
|+
|국가 차원의 통일된 프라이버시 권리 확립
| -국가 차원의 개인정보 보호 표준 설정, 현행 주법 간 격차 해소
-실제 제품 및 서비스 제공 시 필요한 정보만 수집
-민감한 개인정보를 제3자에게 전송 시 명시적인 동의를 확보하도록 함
-맞춤형 광고 거부 허용 등
|-
|데이터 프라이버시 권리 행사 권한 부여
| -개인이 자신의 개인정보 보호 권리를 침해하는 자를 고소하고 손해배상을 청구할 수 있도록 허용
-중대한 개인정보 침해 발생 시 기업이 강제로 중재하지 못함
|-
|시민권 보호
| -기업이 개인정보 사용하여 개인을 차별하지 못함
-주거, 의료, 교육 등 의사결정에 관한 기업의 알고리즘 사용을 거부할 수 있도록 허용
-알고리즘이 청소년을 포함한 개인을 차별 등의 위험에 빠뜨리지 않도록 알고리즘에 대한 연례 검토 의무화
|-
|기업 책임 및 데이터 보안 의무 확립
| -신원 도용 및 개인정보 침해 방지 위해 데이터 보안 표준 마련
-기업이 법률적 요구에 따라 고객의 개인정보 보호에 필요한 모든 조치를 취하도록 경영진에게 책임 부과
-개인정보가 해외 적대국으로 전송된 경우 정보주체에게 통지
-위반 사항에 대한 단속 권한을 연방거래위원회, 각 주에게 부여
|}
== '''사건·사고''' ==
=== 보이스피싱 범죄자의 목소리 민감정보 분류 논란 ===
2024년, 보이스피싱 범죄자의 목소리를 '민감정보'로 분류해 당사자의 동의 없이 피싱 방지 인공지능 개발에 사용할 수 없다는 정부의 지침이 나왔다. 정부는 관련 법령을 미흡하다 보고 생채정부 규제 조항을 명시하기로 했다. 그러나 피싱 피해가 만연한 상황에서 범죄자의 음성을 보호하는 것이 맞는가 하는 논란은 불가피했다. 정부는 범죄자의 음성을 텍스트화해 제공하는 방안을 제시했으나 명백한 한계가 있기 때문이다.
개인정보보호위원회는 금융감독원과 국립과학수사연구원과의 협력을 통해 통신사에 보이스피싱 범죄자의 음성 자료를 제공하는 사업을 주도하였다. 실제 피싱 통화 데이터를 인공지능에 학습시켜 피싱 전화가 올 경우 경고음이 울리거나, 경고문자가 발송되거나, 전화를 자동으로 끊는 시스템을 구축할 목적이었다. 개인정보위는 이 과정에서 금융감독원이 확보한 피싱범의 녹음파일이 통신사에 제공할 수 없는 민감정보라고 결론 내렸다.
금감원은 피싱범의 목소리가 담긴 1만3000여건의 음성파일을 확보 중에 있으며, 제보를 받기 위해서는 제보자가 개인정보 수집 및 이용에 동의해야 하고 개인정보의 이용 목적도 명확히 표기하며 목소리를 수집하였다. 그러나 개인정보위는 피싱범의 동의 없는 제3자의 제공은 위법이라고 판단했으며, 한 관계자는 "보이스피싱 통화 시에 등장하는 상대방(피싱범)이 자신의 민간정보를 제3자에 제공하라고 동의하지 않았으므로 이를 민간 통신사에 제공할 수는 없다"는 의견을 밝히며 통화 내용을 문자화 및 가명화하여 통신사에 제공할 것이라고 설명했다.
이에 대해 피싱범의 목소리 보호가 피싱 예방보다 중요하냐는 의문이 제기되었고, 더 나아가 목소리 자체가 민감정보가 될 수 없다는 점도 논란거리가 되었다. 민감정보는 개인정보보호법과 시행령에서 언급되지만, 목소리 관련한 직접적 조항이 없기 때문이다. 그렇기에 공익 목적을 위한 목소리 정보 제공의 규제는 지나치다는 지적에 힘이 실린다. 반면에 민감한 생체정보를 AI에 무분별하게 유입되는 것을 우려해야 한다는 여론이 존재하기도 한다.<ref>홍재원, 아주로앤피, [단독] "보이스피싱범 목소리는 민감정보"...SKT·KT, '예방 AI'에 사용 못한다, 2024.04.24 https://www.lawandp.com/view/20240424101817507</ref>
이에 개인정보위원회는 보도가 나가자 '[https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS210&mCode=C020020000&nttId=10112 피싱 방지 AI 개발을 적극 지원하고 있습니다]'라는 공식 해명자료를 배포했다. 해당 보도자료에는 통신사 측이 텍스트 정보를 사용하기로 해 지원했을 뿐이라 음성파일 제공이 불법인지 검토 자체가 이루어지지 않았다는 주장을 하고 있다. 통신사가 개발을 검토 중이었던 AI 서비스가 음성이 아닌 텍스트를 활용한 모델이었기에 텍스트 형태로 제공하는 방안만을 논의한 것이라는 주장이다.
=== 개인정보 보호법의 국내기업 제약 ===
구글 인스타그램의 해외 플랫폼은 대부분이 개인정보를 마구잡이로 수집하여 고객 맞춤형 서비스로 시장을 파고들고 있다. 해외의 플랫폼 대부분에서는 개인정보 수집 및 이용 동의 화면을 찾아보기 어려우며, 데이터 수집 내용이나 활용 목적 등에 관한 고지도 불명확하다.  정부는 2022년 이용자의 동의 없이 개인정보를 수집한 구글과 메타에 대해 1000억원의 과징금을 부과했으나, 구글과 메타는 다른 사업자들이 수집한 개인정보를 받아들인 것 뿐이라고 주장하며 행정소송을 제기하였다.
이에 현재 사회에서 한국은 개인정보 보호 규정이 깐깐하다는 지적이 나왔다. 단순한 개인정보에 관한 과한 규제에 대해 지적하는 것만이 아니라, 균형잡히지 못한 영향력이 문제로 제기되는 것이다. 개인정보보호법의 개정을 통해 과징금이 위반행위 관련 매출의 3% 이하에서 전체 매출의 3% 이하로 상향 조정되었으나 이러한 영향력이 국내 플랫폼에만 한정되어 있는 것이 문제상황이라는 것이다.
한국 정부가 해외 빅테크의 대응에 속수무책인 상황이 현 인공지능 시대에 치명적이라는 지적도 존재한다. 마이크로소프트 등은 인터넷에 공개된 데이터를 수집하여 AI모델을 학습시키고, 이 과정에서 주민등록번호 등의 중요 개인정보가 포함될 수 있다. 이러한 상황 속에서 한국의 개인정보보호법은 해외 플랫폼만 그대로 두고 국내 IT기업의 발목만 잡는 것이 아닌가 하는 논란을 한국경제 기사 측에서 제시했다.<ref>정지은, 한국경제, 韓 개인정보 보호법, 국내 IT기업만 '발목', 2024.04.08 https://www.hankyung.com/article/2024040879981</ref>
이에 개인정보보호위원회는 [https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS210&mCode=C020020000&nttId=10073 해당 기사가 사실과 다르다는 해명자료]를 공개하였다. 해당 자료에 따르면 개인정보 보호법은 우리 국민의 개인정보를 처리하여 서비스를 제공하는 국내, 국외 기업을 모두 대상으로 하며, 해외 기업도 국내 기업과 동일한 법을 적용받고, 이에 따라 상향 조정된 과징금 부과 규정도 국내외를 불문하고 모든 개인정보처리자에 적용되는 규정이라고 해명했다. 해외사업자의 개인정보 보호법 적용 안내서도 공개하며 개인정보 보호법이 국내외 사업자 간 차별 없이 적용됨을 거듭하여 강조했다. 그리고 개인정보위는 AI 서비스의 확산에 따른 프라이버시 침해를 우려해 AI 서비스 제공업자를 대상으로 한 실태점검 및 학습데이터에 중요 개인정보가 포함되지 않도록 심의·의결한 바 있음을 밝혔다.
=== 예약 앱 사용 맛집의 개인정보보호법 위반 여부 논의 ===
전화 예약을 받지 않고 예약 앱만 쓰게 하는 맛집에 대해 개인정보보호법 위반이라는 해석을 내놓은 개인정보보호위원회가 논란이 되고 있다. 예약 앱 자체를 위반으로 삼기보다는 위치 등의 추가적인 개인정보를 요구하는 지에 대해 종합적으로 판단할 것이라고 입장을 바꾸었기 때문에 더욱 논란이 커졌다. 개인정보보호위원회 측에서는 해당 예약 앱 사례는 고객에게 성명, 연락처 등의 필수적인 정보 외에도 위치, 프로필, 별칭 등의 선택적으로 동의할 수 있는 정보가 수집될 수 있는 앱 설치를 요구하는 경우를 전제로 한다 설명했다.
그러나 개인정보보호위원회는 줄을 세우는 대신 앱에서 간편하게 선착순 대기를 할 수 있게 하는 앱을 설치하도록 하는 것이 위법이고, 맛집이 대체수단 없이 앱으로만 예약을 받으면 개인정보보호법 위반이라고 언급했다.
이러한 개인정보위의 해석은 과도하다는 논란이 제기되었다. 개인정보보호위원회 위원을 지낸 구태언 법무법인 린 최고비전책임자는 이런 해석이 개인정보를 보호하려다 실패했다고 비판했다. 예약방식은 '앱'이든 '전화'이든 '수기'이든 그것은 상인의 자유영역에 있다는 주장이다. 구 변호사는 이러한 해석이 소상공인 보호에 어긋나고 소비자의 불편을 오히려 가중시키며, 디지털 경제의 발전을 가로막는 것이라는 의견을 밝혔다.<ref>김현아, 이데일리, "'예약 앱'만 쓰는 맛집, 개인정보보호법 위반 아냐"..물러선 해석, 2024.01.09 https://www.edaily.co.kr/news/read?newsId=03709686638756080&mediaCodeNo=257</ref>
이러한 논란이 일자 개인정보보호위원회에서는 [https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS210&mCode=C020020000&nttId=9843 해당 보도가 사실이 아니라는 해명자료를 공개했다.] 개인정보위는 예약 앱만 쓰도록 강요하면 개인정보 보호법에 위반된다는 일반화된 해석을 한 적이 없으며, 따라서 입장도 바뀌지 않았음을 주장했다. 또한 개인정보위는 예약 목적과 관련이 없는 정보가 수집될 수 있는 앱 설치 강요에 법의 위반소지가 있다고 해석하였으나, 일부 언론에서 예약 앱을 통해서만 예약을 받는 것만으로 개인정보 보호법에 위반된다고 오해하는 사례가 있다고 밝혔다.
=== 개인정보 보호법의 비대면진료 제약 논란 ===
2023년 8월 한국경제 측에서는 비대면진료가 개인정보보호법에 막혀 불편한 서비스로 변질되었다는 주장의 기사를 공개했다.<ref>오현아, 한국경제, 대상 환자 서류로 증빙하라니...불편 커진 비대면진료 존폐 위기, 2023.08.28 https://www.hankyung.com/article/2023082853261</ref> 비대면진료 분야에서 유명한 플랫폼인 닥터나우와 나만의닥터가 9월부터 시범사업 대상자임을 서류로 증빙하는 환자에게만 서비스를 제공하기로 했기 때문에 비대면진료가 유명무실해질 것이라는 우려 섞인 목소리가 나왔다. 의료진이 시범사업 대상은 진료 과정에서 가려내는 방식을 쓰는 상황에서 시범사업 대상자 여부를 미리 가려내지 않다 보니 의사가 비대면진료를 중단하는 사례가 빈번히 나왔으며, 환자들이 일일이 서류를 제출해야 서비스의 이용이 가능하다는 것으로 인해 환자의 불편이 커질 것이라는 논란이 일었다. 업체들이 서비스를 바꾼 이유는 개인정보 보호법 때문에 환자의 개인 의료정보를 확인하기 어려워졌기 때문이라는 주장이다.
보건복지부에서는 초진 대상자 여부를 확인할 수 있도록 정보를 개선하겠다는 입장을 밝혔지만 이 정보는 환자 본인과 의사만 확인할 수 있으며, 복지부 관계자는 비대면진료 플랫폼에 해당 정보의 공유를 검토 중에 있지만 법적 근거가 없어 어려움을 겪고 있다고 밝혔으며, 업계에서는 비대면진료 이용자가 급감할 것을 우려했다.
이러한 논란에 대해 개인정보보호위원회는 [https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS210&mCode=C020020000&nttId=9135 해당 보도가 사실과 다르다는 해명자료를 등록했다.] 개인정보위는 환자의 주소 정보를 비대면 진료 서비스 시범사업 대상자의 확인을 위해 의료기관에 제공하는 것이 개인정보 보호법 상으로 가능하다고 밝혔다. 또한, 비대면 진료 플랫폼 업체는 환자로부터 개인정보 제공에 대한 동의를 받은 후 의료기관으로부터 개인정보를 제공받을 수 있다는 내용도 명시하였다.

2024년 6월 19일 (수) 18:00 기준 최신판


개요

기관 소개

개인정보보호위원회는 개인정보의 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 설립된 합의제 중앙행정기관이다. 개인정보보호위원회는 개인정보 보호와 관련된 법령 개선, 정책·제도·계획 수립, 권리침해 조사 및 처분, 국제기구와 외국의 개인정보 보호기구와의 교류 및 협력, 정책과 실태의 조사·연구, 기술개발 지원과 전문인력 양성 등에 대한 업무를 수행한다.[1](개인정보 보호법 제7조의8)

매 3년마다 개인정보보호기본계획을 수립하고 정부의 시행계획을 매년 심의·의결한다. 그리고 매년 개인정보 보호시책의 수립과 시행 보고서를 작성하여 국회에 제출한다.

2020년 8월 5일 개인정보보호위원회는 여러 부처에 분산되어 있던 개인정보 보호기능을 일원화해 개인정보보호 관련 정책 관리를 총괄하는 장관급 중앙행정기관으로 출범하였다. 공식 출범한 개인정보보호위원회는 2019년 2월 개정된 데이터3법(개인정보보호법, 정보통신망법, 신용정보법의 이달 시행에 따라 행정안정부, 방송통신위원회, 금융위원회 등에 분산되었던 개인정보보호 기능을 통합한 컨트롤타워 역할을 수행한다.[2]

개인정보보호위원회 기관문양(MI)

기관 상징[3]

  • 대한민국 정부의 역사와 전통, 미래 비전을 구현하기 위해 모든 국민적 공감대 형성이 가능한 소재로서 '태극'을 사용한다.
  • 「정부기에 관한 공고(대통령 공고)」에 따라 통일된 정부상징을 적용한다.
  • 태극문양은 청·홍·백의 조합과 담백함으로 대한민국다움을 극대화하고, 열린 조형으로 국민, 세계, 미래를 향해 진취적인 대한민국 정부를 표상한다.
  • 글꼴은 한글 창제기의 글꼴인 정음체를 현대적 감각에 맞게 발전시켜 태극과의 조화를 추구하고 정부상징이 갖는 최고의 권위를 뒷받침한다.
개인정보보호위원회 기관 캐릭터 락스타(Lock star)

기관 캐릭터[4]

지킹별의 락스타(Lock star)는 개인정보 침해로부터 안전할 때 노래하는 캐릭터이다.

개인정보 유출 문제를 예방하기 위해 대한민국으로 날아왔다.

락스타(Lock star)라는 이름은 Lock(잠그다)와 Star(스타)라는 의미를 담고 있다.

연혁 [5]

2011년 9월 30일: 대통령 소속으로 개인정보 보호위원회 설치.


2012년 1월 30일: GPEN(Global Privacy Enforcement Network)[6] 가입.


2012년 3월 6일: APPA(Asia Pacific Privacy Authorities)[7] 가입.

•APPA는 아시아·태평양 13개국 19개 회원 기관이 참여하고 있는 아태 지역 개인정보 감독기구 협의체이다. 매년 연 2회 정기 회의를 개최하고 있다. APPA를 통하여 회원 기관은 각 국가별 개인정보보호 법제 동향, 개인정보보호 인식 제고, 피해 구제 사례 등을 공유하고 규제의 복잡성 해소 및 합리적 규제와 법 집행을 위해 협력하고 있다.[8]

2012년 10월 22일: ICDPPC(International Conference of Data Protection and Privacy Commissioners) 가입.


2012년 8월 5일: 국무총리 소속으로 변경, 중앙행정기관으로 격상.


2016년 7월 26일: 개인정보 보호 강화 필요성 증대에 따라 개인정보 침해요인 평가 기능 신설 및 개인정보 분쟁조정 기능 이관 등 조직·정원 확대


2020년 8월 11일: 법률 제17472호로 정부조직법에도 중앙행정기관으로 명시.

구성 조직과 기능

개인정보보호위원회는 위원장 1명과 부위원장 1명을 포함한 위원 9명으로 구성된 기관이다. 위원은 개인정보 보호에 관한 경력과 전문지식이 풍부한 사람 중에서 대통령이 임명하며, 위원장과 부위원장은 국무총리의 제청을, 위원 2명은 위원장의 제청을, 2명은 여당의 추천을, 3명은 야당의 추천을 거친다. 위원의 임기는 3년이며, 한 차례 연임이 가능하다.

회의는 위원장이 필요하다고 인정하거나 재적위원 1/4 이상의 요구로 위원장이 소집한다. 재적위원 과반수의 출석으로 개의하고 출석위원 과반수의 찬성으로 의결한다. 효율적인 업무 수행을 위해 위원 3명으로 구성되는 소위원회를 둘 수 있으며, 사무를 처리하기 위해 사무처를 둔다.[9]

개인정보보호위원회 조직도.

국무회의에서 의결된 「개인정보 보호위원회 직제」에서는 개인정보 보호위원회의 하부조직을 규정하고 있다.

개인정보 보호위원회가 합의제행정기관에서 독자적인 조직운영 권한을 가지는 국무총리 소속 장관급 중앙행정기관으로 격상됨에 따라 예산, 인사 등의 기관운영에 필요한 업무 수행을 위해 기획조정관, 대변인, 운영지원과 등이 설립되었다.

기획조정관은 고위공무원단에 속하는 일반직공무원으로 보하며, 각종 정책과 주요업무계획 수립의 총괄, 예산의 편성, 조직의 관리, 혁신업무 총괄, 위원회 업무 통계, 위원회의 규칙과 구성에 관한 사항 등 여러 사항에 관하여 사무처장을 보좌한다.

대변인은 고위공무원단에 속하는 일반직공무원으로 보하며, 대변인은 주요 정책에 관한 대국민 홍보계획의 수립 및 조정, 위원회의 정책 홍보의 관리, 업부의 대외 발표 사항 관리, 언론취재 지원 및 브리핑, 온라인대변인 운영 및 소셜 미디어 상의 정책소통 총괄, 위원회 홈페이지의 운영 등의 여러 사항에 관하여 위원장을 보좌한다.

운영지원과의 운영지원과장은 3급 또는 4급으로 보하며, 위원회 소속 공무원의 임용, 복무, 훈련, 징계, 연금 등의 인사사무와 보안 및 당직근무에 관한 사항, 위원회 내의 공무원단체, 직장예비군의 관리, 위원회의 정보공개제도 운영 및 기록물의 관리 외에도 위원회 내 다른 부서의 소관에 속하지 않는 사항들을 분장한다.

개인정보정책국은 개인정보 보호 관련 정책의 수립•총괄 및 조정, 개인정보 보호 기본계획의 수립, 인공지능 등의 신기술 관련 개인정보 보호 정책, 가명처리 정책, 개인정보처리자의 자율규체 촉진 및 지원에 관한 사항 등을 수행한다.

개인정보정책국은 행정안전부, 방송통신위원회 등의 개인정보 보호정책 및 법•제도의 관리 기능을 통합하여 설치되었다.

조사조정국은 행정안전부 및 방송통신위원회의 침해조사 기능과 개인정보 보호위원회의 침해평가, 분쟁조정 등의 기능을 맡게 된다. 조사조정국은 개인정보 보호 실태점검 및 침해조사, 개인정보 침해 모니터링 및 상황관리, 과징금 부과 등의 행정처분, 법령 등의 개인정보 침해요인 평가, 분쟁조정위원회 사무지원 등의 기능을 수행한다.

범정부 마이데이터추진단은 개인정보보호위원회가 마이데이터 사업을 위해 구성한 집단이다. 단장은 국장급이고, 전략기획팀, 서비스혁신팀, 인프라표준화팀 등 총 3개팀으로 구성되어 있다.

마이데이터추진단은 2023년 초 개인정보위원회가 마이데이터 세부 실현 전략으로 제시한 개인정보 전송요구권의 행사를 보장하기 위해 법제도 세부기준 확립, 마이데이터 이용과정을 기술적으로 지원하는 온라인 플랫폼, 데이터의 막힘없는 이동을 위한 표준화 등 마이데이터 핵심 인프로 구축 사업을 담당한다.

정원은 총 15명으로, 15명 중 10명이 개인정보위 외 타부처 인원으로 구성된다.

마이데이터 추진단은 데이터 보유자가 능동적으로 데이터를 제공하는 선순환 구조가 확립되도록 인센티브 시스템을 설계하고 신뢰성의 확보를 위해 인증 및 보안체계를 수립하는 것을 목표로 한다.[10]

범정부 마이데이터추진단은 위원장 직속 별도기구로, 일시적인 범부처의 협력이 필요하면 별도정원을 두어 임시조직을 운영하는 것도 가능하다.[11]

위 조직도에서, 국제협력담당관실은 개방형 직위이고, 조사조정국의 조사 3팀은 2025년 1월 31일까지 존속하는 한시조직으로, 한시조직은 한시적으로 발생하는 행정수요에 대처하기 위해 필요한 경우 혹은 기존의 보조기관과 보좌기관으로는 그 목적을 달성하기 곤란한 중요한 업무가 발생한 경우에 해당한다면 그 소속기관에 설치되는 한시적인 보조를 맡는 조직을 뜻한다.(행정기관의 조직과 정원에 관한 통칙 제17조의3)

개인정보 보호위원회에 두는 공무원의 정원은 다음과 같다.[12]

개인정보위원회에 두는 공무원의 정원.

정책 및 법령

개인정보 보호법은 개인정보의 수집, 유출, 오용, 남용으로부터 사생활의 비밀 등을 보호하고 개인정보의 처리 및 보호에 관한 사항을 정함으로써 국민의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 하는 대한민국의 법률이다. 개인정보 보호법 시행령은 개인정보 보호법에서 위임된 사항과 그 시행에 필요한 사항을 규정함을 목적으로 한다. 개인정보 보호법에서 나타나는 “대통령령으로 정하는 기관”을 정의하고 공공기관의 범위를 정하며, 영상정보처리기기의 범위 또한 정한다. 개인정보 보호위원회는 영리를 목적으로 한 업무에 종사해서는 안 되며, 보호위원회에 여러 호의 분야별 전문위원회를 둔다.

국민정책

국민정책으로는 개인정보 열람 등 요구, 개인정보 분쟁조정 제도의의, 개인정보 유출 신고, 개인정보 침해신고 제도가 존재한다.

개인정보 열람 등 요구

개인정보 열람 등 요구란 정보주체가 자신의 개인정보를 수집한 기관을 대상으로 개인정보 수집내역, 제3자 제공내역 등을 열람하거나 개인정보의 정정, 삭제, 처리정지를 요구할 수 있는 제도이다. 인터넷에서 회원가입, 실명인증 등을 위해 실시된 주민번호, 아이핀, 휴대폰을 통한 본인확인 내역을 제공해주는 본인확인 내역 조회 서비스도 존재한다. 이 정책은 개인정보 유출 및 오남용으로 인한 명의의 도용과 사생활침해 피해를 최소화하고 정보주체의 개인정보 자기결정권을 보장하주는 것을 목적으로 하며, 개인정보 보호법 4조(정보주체의 권리), 35조(개인정보의 열람), 37조(개인정보의 처리정지 등), 38조(권리행사의 방법 및 절차)를 법적근거로 두고 있다.

개인정보 열람 등 요구 처리 절차.[13]

개인정보 분쟁조정

개인정보 분쟁조정 제도는 매우 빠른 파급속도와 어려운 원상회복의 문제를 지닌 개인정보 피해를 신속하고 간편하게 구제하기 위해 도입되었으며, 개인정보에 관한 분쟁이 발생하였을 때 비용이 많이 들고 시간이 오래 걸리는 소송제도의 대안으로서 비용 없이 신속하게 분쟁을 해결하여 개인정보 침해를 당한 국민의 피해를 신속하고 원만하게 구제할 수 있다. 신청 내용과 요건에 따라 개인정보 분쟁조정과 집단분쟁조정으로 구분하여 조정절차를 달리 운영한다.

개인정보 분쟁조정은 개인정보 처리와 관련하여 당사자 사이 분쟁 발생 시 조정을 원하는 자는 누구든지 신청이 가능하며, 신청 내용에는 법령 위반행위의 중지, 손해배상 청구 등의 적극적 권리 행사도 포함된다. 개인정보 분쟁조정은 신청사건의 접수 및 통보, 사실확인 및 당사자 의견청취, 조정전 합의권고, 위원회의 조정절차 개시, 조정의 성립, 효력의 발생이라는 절차를 거친다.

개인정보 분쟁조정 절차. [14]

집단분쟁조정은 수많은 개인정보의 유출 및 오남용 사건을 개별적 분쟁조정절차를 통해 처리함으로써 발생하는 많은 시간과 비용의 낭비를 최소화하고 집단적분쟁사건을 효율적이고 신속히 처리하기 위해 하나의 분쟁조정절차를 통해 일괄적으로 해결하는 분쟁조정제도이다. 집단분쟁조정절차는 피해를 입은 정보주체의 수가 50인 이상이어야 하는 조건이 충족되어야 하고, 신청사건의 중요한 쟁점은 사실상 또는 법률상 공통되어야 한다. 집단 분쟁조정은 조정의 신청, 분쟁조정절차의 개시 및 공고, 참가신청, 조정결정, 조정의 효력발생, 보상권고 등의 절차를 거친다.

집단분쟁조정 절차. [15]

개인정보 유출

개인정보 유출은 법령이나 개인정보처리자의 자유로운 의사에 의한 것이 아닌, 개인정보가 개인정보처리자의 통제권을 벗어나 제3자가 그 정보를 알 수 있는 상태에 이른 것을 말한다.

개인정보처리자는 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우, 민감정보 또는 고유식별정보다 유출된 경우, 개인정보처리시스템이나 취급자가 개인정보를 관리하는 기기에 대한 외부의 침투로 인해 정보가 유출된 경우 중 하나에 해당하는 경우에 72시간 이내에 개인정보 유출신고를 하여야 한다.

상거래기업 및 법인은 1만명 이상 신용정보주체의 개인신용정보가 유출 및 누설된 경우 72시간 이내에 유출신고를 하여야 한다.

개인정보 유출 미신고 시 개인정보 보호법 제75조(과태료) 제2항 제18호에 따라 3천만원 이하의 과태료가 부과된다.

개인정보 유출은 개인정보 보호법 제34조(개인정보 유출 통지 등), 신용정보의 이용 및 보호에 관한 법률 제39조의4(개인신용정보 누설통지 등)을 법적 근거로 둔다.

개인정보 침해신고 제도

개인정보 침해신고 제도는 개인정보에 관한 권리 또는 이익을 개인정보처리자에 의해 침해당했을 경우 개인정보위가 개인정보 보호법 등 관련 법령에 따라 신고 접수 전문기관으로 지정한 한국인터넷진흥원(KISA)의 개인정보침해 신고센터에 피해 내용을 신고할 수 있는 제도이다. 신고가 접수된 사항은 법규 위반 여부를 검토하여 신속히 고충을 해결하고 침해행위 시정 등 행정지도를 실시하고 결과를 신고자에게 통보한다. 개인정보처리자의 법 위반 여부나 위반사항 시정 등에 따라 행정조사로 전환하여 결과를 개인정보위로 통보하기도 한다. 개인정보 침해신고의 절차는 인터넷 등을 통한 상담의 접수, 신고인의 침해받은 권리를 구제하는 행정지도, 행정지도 과정에서 혹 해결되지 않은 고충을 추가적으로 해결하기 위한 행정조사로의 전환 등의 과정을 거친다.

개인정보 침해신고 제도는 개인정보 보호법 제62조(침해 사실의 신고 등)을 법적 근거로 둔다.

기업정책

기업정책으로는 가명처리•가명정보 결합, 인증제도, 기술 R&D 로드맵, 기술 표준화 로드맵이 존재한다.

가명정보

가명정보는 개인정보를 가명처리한 것인데, 이러한 가명정보는 원래의 상태로 복원하기 위한 추가 정보의 활용 없이는 특정 개인을 알아볼 수 없는 정보이다. 가명처리 제도는 2020년 8월 빅데이터 시대 신성장 동력인 데이터의 활용에 대한 시대의 요구를 반영하여 개인정보 보호법이 개정되면서, 개인정보처리자가 통계, 연구 등을 목적으로 개인정보를 가명처리하여 정보주체의 동의 없이도 데이터를 인전하게 활용할 수 있도록 도입한 제도이다. 가명처리의 절차는 목적 설정 등의 사전준비, 위험성 검토, 가명처리, 적정성 검토, 안전한 관리의 과정으로 이루어진다.

가명정보는 개인정보 보호법 제2조제1호(정의), 제28조의2(가명정보의 처리 등)을 근거법령으로 둔다.

서로 다른 개인정보처리자 간의 가명정보의 결합은 개인정보 보호법 제28조의3에 따라 통계작성, 과학적 연구, 공익적 기록보존 등을 목적으로 하며, 이러한 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관에서 수행해야 한다.

가명정보 결합의 절차. [16]

가명정보의 결합은 개인정보 보호법 제28조의3(가명정보의 결합 제한)을 근거법령으로 둔다.

인증제도(ISMS-P)

인증제도는 개인정보보호 관리체계 인증(PIMS)과 정보보호 관리체계 인증(ISMS)으로 개별 운영되던 인증체계를 하나로 통합한 통합인증제도로, 2018년 11월 7일부터 시행되었다. 기업과 기관은 정보보호 및 개인정보보호 관리체계 인증을 통해 자사의 개인정보 보호 및 정보보안에 대한 대외 신뢰도를 향상하고 내·외부의 개인정보 침해 위험의 저감을 기대할 수 있다. 인증절차는 인증심사의 신청, 심사, 보완조치, 인증위원회의 개최, 인증서 발금, 사후관리로 이루어져 있다.

인증절차의 기본 흐름. [17]

인증제도는 개인정보 보호법 제32조의2(개인정보 보호 인증)을 법적 근거로 한다.

기술 R&D 로드맵('22~'26)

기술 R&D 로드맵은 데이터 경제 시대에 정보주체의 권리를 두텁게 보호하고 안전한 활용을 지원하기 위해 개인정보에 특화된 보호·활용 기술에 대한 연구개발(R&D)를 추진하여, 개인정보 보호·활용 기술분류체계와 국내·외 기술 및 표준화 동향 등을 고려하여 수립하고, 정보주체 권리보장, 유·노출 최소화, 안전한 활용 등 3대 분야 11대 핵심기술과 37개의 세부기술을 포함한 향후 5년간의 연구개발 계획을 포함한다.

기술 R&D 로드맵('22~'26) 주요 핵심기술. [18]

기술 표준화 로드맵('23~'27)

기술 표준화 로드맵은 개인정보 핵심기술의 국제선점을 통해 개인정보 기술·산업의 국제적 경쟁력을 확보하고 개인정보 분야 연구개발(R&D) 성과 확산을 목적으로 하며, 개인정보 보호·활용 기술분류체계와 국내·외 기술 및 표준화 동향 등을 고려하여 수립하고, 국제표준 선점 필요성과 시장의 수요 등을 고려하여 선정한 3대 분야(정보주체 권리보장, 처리단계별 보호 강화, 안전한 활용)12개 핵심표준을 선정한다.

기술 표준화 로드맵('23~'27) 주요 핵심기술. [19]

공공정책

공공정책으로는 기본계획 및 시행계획, 개인정보 영향평가, 개인정보 침해요인 평가, 공공기관 관리수준 진단이 존재한다.

기본계획 및 시행계획

기본계획은 개인정보의 보호와 정보주체의 권익 보장을 위하여 3년마다 수립되는 법정계획으로, 개인정보보호위원회가 수립주체가 된다. 기본목표와 추진방향, 제도 및 법령의 개선, 개인정보 보호를 위해 필요한 사항 등을 그 내용으로 한다.

제 1~3차 기본계획은 2011년에 최초 시행된 개인정보 보호법의 안정적인 정착과 이해관계자의 역량강화를 강조하고, 4차 기본계획은 개인정보보호위원회가 중앙행정기관으로 새롭게 출범한 후 개인정보의 컨트롤타워로서의 기능과 정책을 추진하는 것을 목표로 한다. 이번 기본계획은 국민 신뢰 기반의 디지털 대전환 선도를 비전으로 하여 데이터 경제시대의 선도와 개인정보 안심사회 구현, 글로벌 데이터 신질서 주도라는 3대 추진전략과 핵심과제 10개를 마련하고 있다.

개인정보 보호 기본계획의 비전 및 전략. [20]

시행계획은 개인정보 보호 기본계획에 따라 51개의 각 중앙행정기관(19부 3처 19청 7위원회, 감사원, 국가정보원, 국무조정실)의 장이 기관단위의 연도별 추진계획을 작성하여 시행한다.

시행계획 작성의 절차는 개인정보보호위원회의 작성지침 수립 및 통보, 중앙행정기관의 시행계획 작성 및 제출, 개인정보보호위원회의 검토 및 심의·의결로 구성되어 있다.

시행계획의 주요 내용으로는 개인정보 이슈 진단 및 대응방향, 개인정보보호 현황, 전년도 실적, 금년도 현황, 차년도 계획 등이 있다.

시행계획의 법적근거. [21]

개인정보 영향평가

개인정보 영향평가는 개인정보파일의 도입·변경 시 위험요인을 분석하고 개선사항을 도출하기 위해 사전에 조사, 분석 및 평가하기 위한 제도이다. 개인정보 영향평가를 통해 설계단계부터 개인정보 침해위험성을 파악하고 개선함으로써 시스템 운영 시의 침해위협을 최소화하고 효과적인 대응책을 사전에 마련할 수 있다.

개인정보 영향평가의 처리 절차로는 우선 개인정보보호위원회의 영향평가 기관의 지정을 시작으로, 공공기관이 평가기관에 평가를 의뢰하고 평가기관이 공공기관에 수행결과를 제출한다. 그 후 공공기관이 개인정보보호위원회에 결과를 제출하고, 필요시 개인정보위에서 공공기관에게 의견을 제시하는 과정을 거친다.

개인정보 영향평가는 개인정보 보호법 제33조(개인정보 영향평가)를 근거로 하며, 영 제35조에 해당하는 개인정보파일을 구축 및 운영하거나 기존 시스템은 변경 또는 연계하려는 공공기관을 대상으로 한다.

개인정보 침해요인 평가

개인정보 침해요인 평가제도는 중앙행정기관의 장이 법령의 제정·개정을 통해 개인정보 처리를 수반하는 정책이나 제도의 도입·변경의 경우 보호위원회가 해당 법령의 개인정보 침해요인을 평가하는 제도이다. 보호위원회는 해당 법령에 개인정보 침해요인이 존재할 경우 소관기관의 장에게 개선사항을 권고한다. 이는 법령·제도에 있어 개인정보 침해 요인을 종합적으로 분석하여 국민의 개인정보를 보호하고 관련 법령 간의 정합성을 고려하여 법령 간의 중복 또는 상충 요인을 제거하는 것을 목적으로 한다.

개인정보 침해요인의 평가는 중앙행정기관이 제정, 개정하는 법령안을 대상으로 하며, 정보처리의 필요성, 권리보장의 적정성, 정보관리의 안전성을 주 평가내용으로 삼는다. 평가절차는 크게 법령안의 입안 및 관계기관의 협의 단계, 입법예고의 단계, 규제심사의 단계, 법제처의 심사단계, 법령안 공포 및 시행의 단계로 나누어진다. 입안 및 협의단계에서는 평가요청서의 작성·제출과 평가요청서의 검토가 있으며, 입법예고단계에서는 침해요인이 없을 경우 절차가 종료되고, 계속해서 요청서를 검토할 수 있다. 요청서의 검토 이후 평가결과를 통보할 때 '원안동의'로 결과가 통보되면 절차가 종료되며, '개선권고'로 결과가 통보되면 개선의견을 반영하고 요청서를 계속해서 검토하게 된다. 그 후 해당부서에서 개선의견을 수용하였는지의 여부를 확인하고 관리한다.

공공기관 관리수준 진단

공공기관 관리수준 진단제도는 공공기관의 개인정보 관리체계와 유출예방 활동 등을 진단하여 국민의 개인정보가 안전하게 관리될 수 있는 기반 조성을 유도하기 위한 제도이다. 개인정보 관리수준의 진단 분야 마련 및 개선, 매뉴얼 제작, 계획 통보 및 진단기관 대상 설명회 개최, 진단위원회의 구성 및 운영, 기관별 실적 온라인 접수, 현장검증 대상기관 선정, 최종결과 통보 및 개선조치 지원 등이 주요 내용이다.

진단 제도는 일반적으로, 6월말에 진단 매뉴얼의 마련 및 설명회가 진행되고, 7월~8월에 현장 컨설팅에 들어간다. 9월~10월에는 기관별 자체진단 수행 및 증빙자료를 온라인으로 등록하고, 12월 말에는 정책 및 혁신업무의 실적 증빙자료를 온라인으로 등록한다.[22] 그 후 1월~3월에는 정책·혁신업무의 서면진단과 공통업무 증빙자료의 재검증, 현장방문이 이루어지고 4월말에 비로소 가점, 감점의 반영 및 최종결과를 확정짓는다.

공공기관 관리수준 진단제도는 개인정보 보호법 제11조(자료제출 요구 등) 제 2항을 근거로 하며, 중앙행정기관 및 산하 공공기관, 지방자치단체, 지방공기업을 대상으로 적용한다.

국외정보 및 해외동향

일본

기본적 체계

일본은 '개인정보보호 기본방침'과 '개인정보보호법'을 토대로 공공 분야와 민간 분야를 대상으로 한 개인정보보호 법률과 가이드라인이 제정되었다. 공통부문, 민간부문, 공공부문 각각을 대상으로 한 개별 개인정보보호법 등이 폐지되고 단일 법률로 통합되었다.

일본의 개인정보보호법의 연혁은 다음과 같다.[23]

  • 88년 : 개인정보보호를 위한 최초의 법률로서 '행정기관이 보유한 전자계산기처리와 관련된 개인정보보호에 관한 법률'을 마련.
  • 03년 5월 : 민간 영역을 규제대상에 포함시킨 '개인정보보호법' 최초 제정.
  • 15년 9월 : 개인정보의 이용 규제 완화, 개인정보의 제3자 활용 요건 구체적으로 명시한 개정 개인정보보호법 공포.
  • 17년 5월 : 개정된 개인정보보호법의 시행 돌입.
  • 20년 6월 : 혁신 기술 기반, 개인정보 활용 조건을 명확히 하고 기업이 개인의 인터넷 열람 이력을 제3자에게 제공하는 행위의 규제를 위해 개정안이 의회 통과.
  • 22년 4월 : 개정법률의 시행 시작.

일본의 개인정보보호법은 제정 당시 공공부문에 적용되는 '행정기관의 개인정보보호법' 등의 4가지 관련 법률도 함께 정비되었다. 이와 함께 의료, 금융 분야 등의 가이드라인도 마련되어 개인정보보호에 대한 국민 의식의 증대와 개인정보의 보호가 가능해졌다. 15년 9월의 개정안은 개인정보보호의 강화와 기존 법률의 모호성을 제거하였고, 일본의 데이터 보호 체제를 유럽의 GDPR과 같은 다른 주요 국가의 데이터 규제와 조화시킬 수 있도록 하였다. 또한 2015 개정안 부칙에는 '3년마다 재검토' 규정이 포함되어 있어 이에 따라 개인 권리 보호, 국제적 제도 조화, 빅데이터 시대 대응을 중심으로 2020년에 개인정보보호법이 한번 더 개정되었다.[24]

일본의 개인정보 감독기관은 개인정보보호위원회로서 16년에 출범했으며 일본 도쿄에 본사를 두고 있다. 일본의 개인정보보호위원회는 개인정보의 효과적인 활용을 통해 새로운 산업의 창출 및 활력 있는 경제사회와 풍요로운 국민 생활의 실현, 개인정보의 유용성과 권익의 담보를 위한 개인정보의 적정한 취급을 확보하는 것을 임무로 삼는다. 동 위원회는 개인정보보호법에 근거하여 개인정보보호에 관한 기본방침 마련, 취급 감독, 인정 개인정보보호 단체 관리 등의 업무를 실시한다.

개인정보보호위원회는 개인정보보호 관련 민원, 침해 접수, 조사, 집행과 같은 개인정보보호 업무 이외에 부가적인 기능을 수행하는데, 개인정보 교류를 위한 국제적 데이터 환경의 구축, 국외이전 제도의 확대 추진, 제도환경의 정비 및 국제 표준 기업 인증 제도 마련, 글로벌 개인정보 감독기관들이 참여하는 GPA(Global Privacy Assembly) 등의 포럼[25]에 적극적으로 참여하여 정보를 수집하는 등의 기능이 존재한다.

GPA는 92개 국가 및 경제협의체의 140개 회원 기관이 참여하고 있는 글로벌 개인정보 감독기구협의체이다. 매년 1회 정기 총회를 개최하여 다양한 협력 방안을 논의한다. GPA는 개인정보보호 관련 지식 전파, 지원을 통해 각 국의 감독기구가 효과적으로 업무를 수행할 수 있도록 지원하고 다양한 역량 강화 활동을 수행한다.[26]

일본의 개인정보보호위원회는 크게 위원회와 위원회 업무를 지원하기 위한 사무국 조직으로 구성되는데, 위원장과 위원 8인(비상근 4인 포함)으로 구성되어 있다. 개인정보보호위원회의 조직도는 공개되고 있지 않다.[27]

최근 행정처분[28]

22/23년 개인정보 취급사업자에 대한 데이터 유출 관련 민원 접수 건은 총 7,685건으로, 개인정보보호위원회가 직접 보고받은 것이 4,217건, 위임 부처를 경유해서 보고받은 것과 임의 보고 건은 각각 3,468건 및 837건으로 나타났다.

피해 1건당 정보 유출이 이뤄진 인원수는 1,000명 이하가 93.8%로 가장 많았고, 5만 이상의 비율도 0.5%를 기록했다. 유출 정보의 유형은 고객정보가 83.9%로 가장 큰 비중을 차지하였고, 형태는 종이매체가 95.1%로 대부분을 차지했으며, 전자매체만 유출된 것은 0.2%에 불과했다.

최근의 처분사례로는 타인의 개인정보를 웹사이트 게재한 익명의 사업자에 대한 개인정보 침해 중단을 위한 명령 부과 사례가 존재한다.

해당 사건에서 익명의 사업자는 파산절차 개시 결정을 받은 사람의 개인정보를 웹사이트에 불법적으로 공개했으며, 해당 사업자는 공고의 형태로 관보에 게재된 파산자 등의 개인정보를 데이터베이스화하여 본인의 동의를 얻지 않고 자사의 웹사이트에 게재했다. 이를 통해 접속자는 누구나 해당 데이터베이스를 이용할 수 있었고, 불특정 다수가 파산자 등의 개인정보를 열람하여 파산자에게 직·간접적 피해를 주었다.

개인정보위는 사업자의 행위를 개인정보보호법 제27조 위반에 따른 개인정보 제3자 위법 공개행위로 간주하여 사업자 웹사이트를 통한 개인정보 공개의 중단을 권고하고 본인의 동의를 얻거나 적절한 조치의 강구 전에는 웹사이트를 통한 개인정보 공개의 재개는 안 된다고 요구하였다. 그러나 익명의 사업자는 정당한 이유 없이 위원회의 권고를 거부하였고, 이에 위원회는 강제성이 담보된 명령을 내려, 다음과 같은 세부사항의 이행을 명했다.

  • 웹사이트를 통한 개인정보 공개 중단
  • 웹사이트를 통한 개인정보 공개 시 사전에 본인 동의 필수 획득 및 동법에 따른 조치 마련
  • 상기 조치를 개인정보보호위원회가 확인하기 전까지 웹사이트를 통한 개인정보 공개 재개 금지

해외동향 및 사례-EAZY 서비스

일본의 택배사 야마토운송유통은 2021년 택배 전표에서 수신인, 주소 등의 개인정보를 별표로 가리고 세부 정보를 QR코드로 확인하는 비대면택배 서비스 'EAZY'를 도입했다. 이 서비스를 이용할 경우 타인이 택배전표를 통해 개인정보를 알아볼 수 없어 개인정보 유출의 위험이 줄어들게 된다. 또한 택배박스를 버릴 때 개인정보의 유출을 우려하여 일일이 전표를 제거하는 번거로운 과정을 생략할 수 있다.[29]

영국

기본적 체계

영국에는 개인의 프라이버시권을 부여하는 헌법이 없고, 그 대신 개인정보보호 일반법에 해당하는 영국 일반 개인정보보호법(UK GDPR) 및 개인정보보호법 2018(DPA 2018)을 필두로 각 영역별 필요에 따라 도입된 개별 법률로 개인정보보호 법제가 구성되어 있다. 개별 법률에는 공공기관이 다루는 개인정보에 대한 국민들의 알 권리를 보장하는 정보자유법, 정보통신 분야의 개인정보를 다루는 프라이버시 전자통신규정, 의료분야의 기록에 대한 열람권을 규율하는 건강기록접근법 등이 존재한다.

영국 일반 개인정보보호법은 유럽연합 탈퇴선언 이후 명명되었다. 유럽연합 탈퇴 이후 유럽연합 법률이 더 이상 영국 내에 적용되지 않는 법적 공백이 발생했고, 영국은 유럽연합 탈퇴법을 제정하여 EU 법령이 그대로 영국 국내법으로서 기능하도록 노력했다. 영국은 개인정보보호, 프라이버시, 전자 커뮤니케이션 수정법을 제정하여 개인정보 관련 법률에 수정을 가하며 개인정보보호 법제 전반을 정비하였다.

개인정보보호법(DPA 2018)은 84년 최초 제정되어 한 차례 개정을 거쳐 오늘날에 이르렀고, EU 회원국 내 동일한 법률의 적용을 위해 유럽연합 일반 개인정보보호법은 회원국별 상황을 반영할 수 있도록 재량권을 부여하였다. 현재 시행 중인 DPA 2018은 영국의 유럽연합 탈퇴로 인해 개인정보보호 등의 법 제정을 계기로 한 차례 더 수정을 거쳤다. 개인정보보호법 2018은 총 7장 215개 조항으로 이루어져 있다.

정보자유법은 국가 정책의 투명성과 국민의 알권리를 보장하는 법으로, 해당 법에서 공공기관 보유 정보에 국민의 접근 권한을 명시함에 따라 공공기관은 수행활동에 대한 정보를 공개해야 하고 국민은 정보를 요청할 권리를 가진다.

프라이버시 전자통신규정은 EU의 개인정보 및 전자통신 지침의 제정에 따라 03년 도입되고, 개인정보보호 일반법을 보완하여 전자통신 상의 구체적인 권한을 규정하였다. 해당 규정에 따라 전자적 수단을 통한 마케팅 등의 이용정보를 추적하는 경우, 공공 전자통신 서비스의 보안 영역이나 통신 네트워크 및 서비스를 이용하는 이용자의 프라이버시에 대해 규율한다.

건강기록접근법은 건강기록에 접근하는 권리를 규정하기 위해 1990년 제정되었다. 해당 법에 따라 개인은 개인을 치료한 의료기관의 의료기록에 접근하거나 개인 전담의가 작성한 관리기록에 접근할 권한을 가진다.

영국의 개인정보 감독기구인 ICO는 위 법률 중 일부와 기타 법률을 포함하여 총 10개의 법률을 소관하고 있다.[30] ICO는 84년에 설립된 행정기관으로, 영국 윔슬로우에 본사를 두고 있다. ICO는 개인정보보호와 관련한 본질적 업무인 민원접수, 침해사고 접수, 조사, 집행 등에 더하여 행동규약 개발, 수수료 납부대상 기업 DB 관리 등의 부가적인 활동을 수행한다. ICO의 조직 구성은 크게 규제 부문과 운영 부문으로 양분되는데, 규제 부문 하에는 총 11개의 국, 운영 부문 하에는 총 14개의 국의 편성된다.

규제 부문에서는 4개국을 규제 감독 담당이 관할하고, 2개국은 규제 리스크 담당, 5개국은 규제 정책 담당이 관할한다. 23년 11월 기준 규제 리스크 담당은 후임이 정해지지 않아 임시로 규제 감독 담당이 해당 2개국을 지휘하고 있다.

운영 부문에서는 전략적 변혁 담당이 1개국, 법률 자문 담당이 5개국, 기업 데이터, 디지털 및 기술 담당이 8개국을 관할 중이다.

ICO는 홈페이지에서 각 조직별 담당 업무를 모두 공개하는 것이 아닌 일부 부서의 역할만을 소개한다.[31]

최근 행정처분

TikTok의 로고.

22/23년 기준 ICO에 접수된 민원은 총 33,753건으로 전년도에 비해 7.13% 감소했다. 토지 및 부동산, 금융·보험·신용, 보건, 일반 비즈니스 분야의 민원의 전체 민원의 절반가량을 차지했다.

최근의 처분사례로는 아동 개인정보보호를 위한 충분한 조치를 취하지 않고 아동 개인정보를 무단으로 활용한 TikTok에 과징금을 부과한 사례가 있다.

TikTok은 13세 미만 아동이 해당 플랫폼을 이용할 때 부모로부터 적절한 동의를 얻지 않고, 아동 정보처리의 목적을 충분히 설명하지 않았으며, 합법적이고 투명한 방식으로 개인정보를 처리하지 않았다. 22년 9월 ICO는 TikTok의 개인정보 미보호 혐의로 2,700만 파운드의 과징금을 부과할 수 있다는 의향서를 전달한 바 있다. 조사 결과 ICO는 TikTok이 내부적으로 13세 미만 아동의 플랫폼 사용 문제를 인지했음에도 불구하고 조치를 취하지 않았다는 사실을 확인하였다. 결국 ICO는 TikTok에 대해 UK GDPR 제5조제1항제a호, 제12조, 제13조 위반을 이유로 1,270만 파운드의 과징금을 부과했다.[32]

해외동향 및 사례-ICO의 아동 개인정보 보호 전략

24년 ICO에서는 온라인 상에서의 아동 개인정보 보호를 위한 전략을 발표하였다. ICO는 아동의 안전한 서비스 이용을 위해 소셜 미디어 및 비디오 공유 플랫폼이 개선해야 할 우선 순위와 산업별 규정 준수 방법을 제시하였고, 21년 아동 실천 강령의 도입 후 더 나은 개인정보 보호를 위해 온라인 상에서 아동의 개인정보가 올바르게 사용되도록 온라인 서비스들과 지속적으로 협력하였다. 24년~25년 아동 강령 전략은 기본 설정, 맞춤형 광고, 추천 시스템, 13세 미만 아동의 개인정보 사용 등 네 가지 영역을 중심으로 개인정보 보호 관행 개선을 촉구하였다.[33]

개인정보 보호 및 위치정보에 관한 기본 설정 아동의 프로필은 비공개, 위치추적 기능은 해제를 기본 설정으로

-아동의 위치정보 확인 및 추적 기능은 아동에 대한 정보 오용에 따라 아동의 신체적/정신적 안전을 해칠 위험이 있음

맞춤형 광고를 위한 아동 프로파일링 프로파일링은 해제를 기본 설정으로

-아동은 자신의 개인정보가 수집되고 있다는 사실, 해당 정보가 맞춤형 광고에 사용될 수 있다는 사실을 인지하지 못할 수 있고, 아동의 개인정보에 대한 자율성 및 통제권이 약화될 수 있음

콘텐츠 추천을 위한 아동의 개인정보 사용 콘텐츠 추천 알고리즘은 아동의 행동 추적 정보 및 검색기록 등의 정보를 활용하여 콘텐츠 피드를 생성

-콘텐츠 피드는 아동에게 자해, 자살충동 등의 유해 콘텐츠를 노출할 가능성이 있고, 추천 시스템의 설계 방식은 아동이 장시간 플랫폼을 이용하게 하여 아동의 플랫폼과 더 많은 개인정보를 공유하도록 함

13세 미만 아동의 개인정보 사용 13세 미만 아동은 온라인 서비스가 자신의 개인정보를 사용하는 것에 동의 불가, 부모의 동의 반드시 요구

-온라인 서비스가 아동 개인정보 사용에 관한 동의를 획득하는 방법, 연령 확인 기술을 통한 사용자 연령 식별, 적절한 보호 조치 적용 방법 등이 잠재적 피해를 완화하는 데 있어 중요함

미국

기본적 체계

미국의 개인정보보호 법제는 EU의 GDPR과 같은 개인정보보호에 관한 일반법을 갖고 있지 않다. 미국은 개별법주의 체계를 취하고 있어 일반법보다는 각 영역에서의 별도의 법률을 제정하는 방식을 택하고 있다. 다만 전 세계적으로 일반 개인정보보호법을 도입하는 국가가 늘어감에 따라 미국 의회도 연방 개인정보보호법안을 발의하였다. 미국의 법률체계는 연방법 법률체계와 주법률체계로 양분되어 있어 개인정보보호 관련 법률도 구분해서 보아야 한다.[34]

연방법 법률체계에서는 개인정보보호를 광범위하게 포괄하고 규율하는 일반법은 존재하지 않고, 연방법 체계에서는 일반법 대신 개별적인 법률이 공공 및 민간부문의 산업별 개인정보 보호를 각각 규율하는 형식을 취한다. 연방의 공공부문의 개인정보를 보호 및 규율하기 위한 74년 제정 프라이버시법은 공공부문의 개인정보보호 일반법으로서 역할을 담당한다.

주법률체계에서도 연방법과 마찬가지로 각 영역별로 개별적 개인정보보호 법률을 두고 있는 것이 일반적이지만 캘리포니아주를 필두로 전 분야를 아우르는 개인정보 보호법을 제정하는 추세이다. 캘리포니아주는 미국 최초의 민간분야 개인정보보호 일반법(CCPA)을 18년 제정하였고 20년 11월 3일 해당 법을 일부 개정하기 위한 법안(CPRA)이 제정되었으며, 개정된 CCPA의 조항은 23년 7월 시행 예정이었으나 새크라멘토 상급 법원은 CPRA 규정의 시행일을 24년 3월로 연기하였다. 그 후 13개가량의 주도 포괄적인 개인정보보호법을 제정하였고, 현재 개인정보보호법이 제정된 주는 총 14개주로 확대되었다.

미국은 유럽 각국의 개인정보 감독기관 같은 개인정보보호 전담 연방기구는 없고, 기존 연방정부 조직이 공공 및 민간부문의 개인정보보호와 관련한 제한적 역할을 수행한다. 공공부문에서는 관리예산국이, 민간부문에서는 연방거래위원회가 개인정보보호 역할을 제한적으로 수행한다. 캘리포니아주에서는 캘리포니아 개인정보 감독기관이 주 범위 내의 소비자 개인정보보호를 주관한다.[35]

해외동향 및 사례-빅테크 규제

24년 4월 7일, 미국 여당·야당이 Google, Meta 및 TikTok 등 빅테크를 겨냥한 포괄적인 개인정보보호권리법안(APRA)에 합의하였다. 여야는 기업이 온라인 상에서 소비자로부터 수집할 수 있는 정보의 양을 결정하는 표준의 필요성이 제기됨에 따라 APRA에 합의하면서, 사용자의 동의 없이 영리 목적의 사용자 행동 추적 등의 행위를 금지함으로써 빅테크를 규제하고자 했다. APRA은 미국 전역에서 개인정보 보호에 대한 표준화된 접근 방식을 제공하는 것을 목표로 한다.[36]

국가 차원의 통일된 프라이버시 권리 확립 -국가 차원의 개인정보 보호 표준 설정, 현행 주법 간 격차 해소

-실제 제품 및 서비스 제공 시 필요한 정보만 수집 -민감한 개인정보를 제3자에게 전송 시 명시적인 동의를 확보하도록 함 -맞춤형 광고 거부 허용 등

데이터 프라이버시 권리 행사 권한 부여 -개인이 자신의 개인정보 보호 권리를 침해하는 자를 고소하고 손해배상을 청구할 수 있도록 허용

-중대한 개인정보 침해 발생 시 기업이 강제로 중재하지 못함

시민권 보호 -기업이 개인정보 사용하여 개인을 차별하지 못함

-주거, 의료, 교육 등 의사결정에 관한 기업의 알고리즘 사용을 거부할 수 있도록 허용 -알고리즘이 청소년을 포함한 개인을 차별 등의 위험에 빠뜨리지 않도록 알고리즘에 대한 연례 검토 의무화

기업 책임 및 데이터 보안 의무 확립 -신원 도용 및 개인정보 침해 방지 위해 데이터 보안 표준 마련

-기업이 법률적 요구에 따라 고객의 개인정보 보호에 필요한 모든 조치를 취하도록 경영진에게 책임 부과 -개인정보가 해외 적대국으로 전송된 경우 정보주체에게 통지 -위반 사항에 대한 단속 권한을 연방거래위원회, 각 주에게 부여

사건·사고

보이스피싱 범죄자의 목소리 민감정보 분류 논란

2024년, 보이스피싱 범죄자의 목소리를 '민감정보'로 분류해 당사자의 동의 없이 피싱 방지 인공지능 개발에 사용할 수 없다는 정부의 지침이 나왔다. 정부는 관련 법령을 미흡하다 보고 생채정부 규제 조항을 명시하기로 했다. 그러나 피싱 피해가 만연한 상황에서 범죄자의 음성을 보호하는 것이 맞는가 하는 논란은 불가피했다. 정부는 범죄자의 음성을 텍스트화해 제공하는 방안을 제시했으나 명백한 한계가 있기 때문이다.

개인정보보호위원회는 금융감독원과 국립과학수사연구원과의 협력을 통해 통신사에 보이스피싱 범죄자의 음성 자료를 제공하는 사업을 주도하였다. 실제 피싱 통화 데이터를 인공지능에 학습시켜 피싱 전화가 올 경우 경고음이 울리거나, 경고문자가 발송되거나, 전화를 자동으로 끊는 시스템을 구축할 목적이었다. 개인정보위는 이 과정에서 금융감독원이 확보한 피싱범의 녹음파일이 통신사에 제공할 수 없는 민감정보라고 결론 내렸다.

금감원은 피싱범의 목소리가 담긴 1만3000여건의 음성파일을 확보 중에 있으며, 제보를 받기 위해서는 제보자가 개인정보 수집 및 이용에 동의해야 하고 개인정보의 이용 목적도 명확히 표기하며 목소리를 수집하였다. 그러나 개인정보위는 피싱범의 동의 없는 제3자의 제공은 위법이라고 판단했으며, 한 관계자는 "보이스피싱 통화 시에 등장하는 상대방(피싱범)이 자신의 민간정보를 제3자에 제공하라고 동의하지 않았으므로 이를 민간 통신사에 제공할 수는 없다"는 의견을 밝히며 통화 내용을 문자화 및 가명화하여 통신사에 제공할 것이라고 설명했다.

이에 대해 피싱범의 목소리 보호가 피싱 예방보다 중요하냐는 의문이 제기되었고, 더 나아가 목소리 자체가 민감정보가 될 수 없다는 점도 논란거리가 되었다. 민감정보는 개인정보보호법과 시행령에서 언급되지만, 목소리 관련한 직접적 조항이 없기 때문이다. 그렇기에 공익 목적을 위한 목소리 정보 제공의 규제는 지나치다는 지적에 힘이 실린다. 반면에 민감한 생체정보를 AI에 무분별하게 유입되는 것을 우려해야 한다는 여론이 존재하기도 한다.[37]

이에 개인정보위원회는 보도가 나가자 '피싱 방지 AI 개발을 적극 지원하고 있습니다'라는 공식 해명자료를 배포했다. 해당 보도자료에는 통신사 측이 텍스트 정보를 사용하기로 해 지원했을 뿐이라 음성파일 제공이 불법인지 검토 자체가 이루어지지 않았다는 주장을 하고 있다. 통신사가 개발을 검토 중이었던 AI 서비스가 음성이 아닌 텍스트를 활용한 모델이었기에 텍스트 형태로 제공하는 방안만을 논의한 것이라는 주장이다.

개인정보 보호법의 국내기업 제약

구글 인스타그램의 해외 플랫폼은 대부분이 개인정보를 마구잡이로 수집하여 고객 맞춤형 서비스로 시장을 파고들고 있다. 해외의 플랫폼 대부분에서는 개인정보 수집 및 이용 동의 화면을 찾아보기 어려우며, 데이터 수집 내용이나 활용 목적 등에 관한 고지도 불명확하다. 정부는 2022년 이용자의 동의 없이 개인정보를 수집한 구글과 메타에 대해 1000억원의 과징금을 부과했으나, 구글과 메타는 다른 사업자들이 수집한 개인정보를 받아들인 것 뿐이라고 주장하며 행정소송을 제기하였다.

이에 현재 사회에서 한국은 개인정보 보호 규정이 깐깐하다는 지적이 나왔다. 단순한 개인정보에 관한 과한 규제에 대해 지적하는 것만이 아니라, 균형잡히지 못한 영향력이 문제로 제기되는 것이다. 개인정보보호법의 개정을 통해 과징금이 위반행위 관련 매출의 3% 이하에서 전체 매출의 3% 이하로 상향 조정되었으나 이러한 영향력이 국내 플랫폼에만 한정되어 있는 것이 문제상황이라는 것이다.

한국 정부가 해외 빅테크의 대응에 속수무책인 상황이 현 인공지능 시대에 치명적이라는 지적도 존재한다. 마이크로소프트 등은 인터넷에 공개된 데이터를 수집하여 AI모델을 학습시키고, 이 과정에서 주민등록번호 등의 중요 개인정보가 포함될 수 있다. 이러한 상황 속에서 한국의 개인정보보호법은 해외 플랫폼만 그대로 두고 국내 IT기업의 발목만 잡는 것이 아닌가 하는 논란을 한국경제 기사 측에서 제시했다.[38]

이에 개인정보보호위원회는 해당 기사가 사실과 다르다는 해명자료를 공개하였다. 해당 자료에 따르면 개인정보 보호법은 우리 국민의 개인정보를 처리하여 서비스를 제공하는 국내, 국외 기업을 모두 대상으로 하며, 해외 기업도 국내 기업과 동일한 법을 적용받고, 이에 따라 상향 조정된 과징금 부과 규정도 국내외를 불문하고 모든 개인정보처리자에 적용되는 규정이라고 해명했다. 해외사업자의 개인정보 보호법 적용 안내서도 공개하며 개인정보 보호법이 국내외 사업자 간 차별 없이 적용됨을 거듭하여 강조했다. 그리고 개인정보위는 AI 서비스의 확산에 따른 프라이버시 침해를 우려해 AI 서비스 제공업자를 대상으로 한 실태점검 및 학습데이터에 중요 개인정보가 포함되지 않도록 심의·의결한 바 있음을 밝혔다.

예약 앱 사용 맛집의 개인정보보호법 위반 여부 논의

전화 예약을 받지 않고 예약 앱만 쓰게 하는 맛집에 대해 개인정보보호법 위반이라는 해석을 내놓은 개인정보보호위원회가 논란이 되고 있다. 예약 앱 자체를 위반으로 삼기보다는 위치 등의 추가적인 개인정보를 요구하는 지에 대해 종합적으로 판단할 것이라고 입장을 바꾸었기 때문에 더욱 논란이 커졌다. 개인정보보호위원회 측에서는 해당 예약 앱 사례는 고객에게 성명, 연락처 등의 필수적인 정보 외에도 위치, 프로필, 별칭 등의 선택적으로 동의할 수 있는 정보가 수집될 수 있는 앱 설치를 요구하는 경우를 전제로 한다 설명했다.

그러나 개인정보보호위원회는 줄을 세우는 대신 앱에서 간편하게 선착순 대기를 할 수 있게 하는 앱을 설치하도록 하는 것이 위법이고, 맛집이 대체수단 없이 앱으로만 예약을 받으면 개인정보보호법 위반이라고 언급했다.

이러한 개인정보위의 해석은 과도하다는 논란이 제기되었다. 개인정보보호위원회 위원을 지낸 구태언 법무법인 린 최고비전책임자는 이런 해석이 개인정보를 보호하려다 실패했다고 비판했다. 예약방식은 '앱'이든 '전화'이든 '수기'이든 그것은 상인의 자유영역에 있다는 주장이다. 구 변호사는 이러한 해석이 소상공인 보호에 어긋나고 소비자의 불편을 오히려 가중시키며, 디지털 경제의 발전을 가로막는 것이라는 의견을 밝혔다.[39]

이러한 논란이 일자 개인정보보호위원회에서는 해당 보도가 사실이 아니라는 해명자료를 공개했다. 개인정보위는 예약 앱만 쓰도록 강요하면 개인정보 보호법에 위반된다는 일반화된 해석을 한 적이 없으며, 따라서 입장도 바뀌지 않았음을 주장했다. 또한 개인정보위는 예약 목적과 관련이 없는 정보가 수집될 수 있는 앱 설치 강요에 법의 위반소지가 있다고 해석하였으나, 일부 언론에서 예약 앱을 통해서만 예약을 받는 것만으로 개인정보 보호법에 위반된다고 오해하는 사례가 있다고 밝혔다.

개인정보 보호법의 비대면진료 제약 논란

2023년 8월 한국경제 측에서는 비대면진료가 개인정보보호법에 막혀 불편한 서비스로 변질되었다는 주장의 기사를 공개했다.[40] 비대면진료 분야에서 유명한 플랫폼인 닥터나우와 나만의닥터가 9월부터 시범사업 대상자임을 서류로 증빙하는 환자에게만 서비스를 제공하기로 했기 때문에 비대면진료가 유명무실해질 것이라는 우려 섞인 목소리가 나왔다. 의료진이 시범사업 대상은 진료 과정에서 가려내는 방식을 쓰는 상황에서 시범사업 대상자 여부를 미리 가려내지 않다 보니 의사가 비대면진료를 중단하는 사례가 빈번히 나왔으며, 환자들이 일일이 서류를 제출해야 서비스의 이용이 가능하다는 것으로 인해 환자의 불편이 커질 것이라는 논란이 일었다. 업체들이 서비스를 바꾼 이유는 개인정보 보호법 때문에 환자의 개인 의료정보를 확인하기 어려워졌기 때문이라는 주장이다.

보건복지부에서는 초진 대상자 여부를 확인할 수 있도록 정보를 개선하겠다는 입장을 밝혔지만 이 정보는 환자 본인과 의사만 확인할 수 있으며, 복지부 관계자는 비대면진료 플랫폼에 해당 정보의 공유를 검토 중에 있지만 법적 근거가 없어 어려움을 겪고 있다고 밝혔으며, 업계에서는 비대면진료 이용자가 급감할 것을 우려했다.

이러한 논란에 대해 개인정보보호위원회는 해당 보도가 사실과 다르다는 해명자료를 등록했다. 개인정보위는 환자의 주소 정보를 비대면 진료 서비스 시범사업 대상자의 확인을 위해 의료기관에 제공하는 것이 개인정보 보호법 상으로 가능하다고 밝혔다. 또한, 비대면 진료 플랫폼 업체는 환자로부터 개인정보 제공에 대한 동의를 받은 후 의료기관으로부터 개인정보를 제공받을 수 있다는 내용도 명시하였다.

  1. 개인정보보호위원회-기관소개 https://www.pipc.go.kr/np/default/page.do?mCode=F010010010
  2. 김민선, 개인정보 컨트롤타워 '개인정보보호위원회' 5일 공식 출범, 지디넷코리아, 2020.08.04. https://zdnet.co.kr/view/?no=20200804125153
  3. 개인정보보호위원회-기관상징 https://www.pipc.go.kr/np/default/page.do?mCode=F010010020
  4. 개인정보보호위원회-기관캐릭터 https://www.pipc.go.kr/np/default/page.do?mCode=F010010030
  5. 위키백과, 개인정보보호위원회 https://ko.wikipedia.org/wiki/%EB%8C%80%ED%95%9C%EB%AF%BC%EA%B5%AD_%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%9C%84%EC%9B%90%ED%9A%8C
  6. GPEN 홈페이지
  7. APPA 홈페이지
  8. 개인정보보호위원회-해외 개인정보 감독기구·협의체-APPA https://www.pipc.go.kr/np/default/page.do?mCode=D060020020
  9. 위키백과, 개인정보보호위원회 https://ko.wikipedia.org/wiki/%EB%8C%80%ED%95%9C%EB%AF%BC%EA%B5%AD_%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%9C%84%EC%9B%90%ED%9A%8C
  10. 개인정보 보호위원회가 다음달부터 본격적으로 출범합니다, 대한민국 행정안정부 공식 블로그, 2020.07.28. https://blog.naver.com/mopaspr/222044095453
  11. 백연식, 개인정보위 '마이데이터추진단' 본격화...국가 마이데이터 전략 나온다, 디지털투데이, 2023.08.15. https://www.digitaltoday.co.kr/news/articleView.html?idxno=484883
  12. 위키백과, 대한민국 개인정보보호위원회 https://ko.wikipedia.org/wiki/%EB%8C%80%ED%95%9C%EB%AF%BC%EA%B5%AD_%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%9C%84%EC%9B%90%ED%9A%8C#%EC%A0%95%EC%9B%90
  13. 개인정보보호위원회-개인정보 열람 등 요구https://www.pipc.go.kr/np/default/page.do?mCode=D030010000
  14. 개인정보보호위원회-개인정보 분쟁조정 https://www.pipc.go.kr/np/default/page.do?mCode=D030020020
  15. 개인정보보호위원회-집단분쟁조정https://www.pipc.go.kr/np/default/page.do?mCode=D030020030
  16. 개인정보보호위원회-가명처리·가명정보 결합https://www.pipc.go.kr/np/default/page.do?mCode=D040010000
  17. 개인정보보호위원회-인증제도(ISMS-P) https://www.pipc.go.kr/np/default/page.do?mCode=D040020000
  18. 개인정보보호위원회-기술 R&D 로드맵(’22~’26) https://www.pipc.go.kr/np/default/page.do?mCode=D040050000
  19. 개인정보보호위원회-기술 표준화 로드맵('23~'27) https://www.pipc.go.kr/np/default/page.do?mCode=D040060000
  20. 개인정보보호위원회-기본계획·시행계획-기본계획 https://www.pipc.go.kr/np/default/page.do?mCode=D050010010
  21. 개인정보보호위원회-기본계획·시행계획-시행계획 https://www.pipc.go.kr/np/default/page.do?mCode=D050010020
  22. 증빙자료 온라인 등록 사이트 https://intra.privacy.go.kr/uat/uia/egovLoginUsr.do
  23. 개인정보보호위원회-국가별 정보-일본 개인정보보호 법 행정 체계 현황 및 주요 위반사례-법률체계 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS270&mCode=D060010000&nttId=9632&etc2=%EC%9D%BC%EB%B3%B8
  24. 네이버 프라이버시 센터(글로벌 지원)-일본-일본 개인정보보호법. https://privacy.naver.com/global_support?menu=global_support_japan_privacy
  25. GPA 홈페이지
  26. 개인정보보호위원회-해외 개인정보 감독기구·협의체-GPA https://www.pipc.go.kr/np/default/page.do?mCode=D060020010
  27. 개인정보보호위원회-국가별 정보-일본 개인정보보호 법 행정 체계 현황 및 주요 위반사례-행정체계 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS270&mCode=D060010000&nttId=9631&etc2=%EC%9D%BC%EB%B3%B8
  28. 개인정보보호위원회-국가별 정보-일본 개인정보보호법 행정 체계 현황 및 주요 위반사례-최근 행정처분 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS270&mCode=D060010000&nttId=9627&etc2=%EC%9D%BC%EB%B3%B8
  29. 개인정보보호위원회-해외 동향 및 사례-일본, 개인정보 가리는 택배전표 등장 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS105&mCode=D060030020&nttId=7369
  30. 개인정보보호위원회-국가별 정보, 영국 개인정보보호 법 행정 체계 현황 및 주요 위반사례-법률체계. https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS270&mCode=D060010000&nttId=9697&etc2=%EC%98%81%EA%B5%AD
  31. 개인정보보호위원회-국가별 정보, 영국 개인정보보호 법 행정 체계 현황 및 주요 위반사례-행정체계. https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS270&mCode=D060010000&nttId=9696&etc2=%EC%98%81%EA%B5%AD
  32. 개인정보보호위원회-국가별 정보, 영국 개인정보보호 법 행정 체계 현황 및 주요 위반사례-최근 행정처분 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS270&mCode=D060010000&nttId=9692&etc2=%EC%98%81%EA%B5%AD
  33. 개인정보보호위원회-해외 동향 및 사례-영국 ICO, 온라인 상에서의 아동 개인정보 보호를 위한 전략 발표 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS105&mCode=D060030020&nttId=10088
  34. 개인정보보호위원회-국가별 정보-미국 개인정보보호 법 행정 체계 현황 및 주요 위반사례-법률체계 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS270&mCode=D060010000&nttId=9731&etc2=%EB%AF%B8%EA%B5%AD
  35. 개인정보보호위원회-국가별 정보-미국 개인정보보호 법 행정 체계 현황 및 주요 위반사례-행정체계 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS270&mCode=D060010000&nttId=9730&etc2=%EB%AF%B8%EA%B5%AD
  36. 개인정보보호위원회-해외 동향 및 사례-미국 여·야, 빅테크 규제 위해 연방 개인정보보호 법안 합의 https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS105&mCode=D060030020&nttId=10109
  37. 홍재원, 아주로앤피, [단독] "보이스피싱범 목소리는 민감정보"...SKT·KT, '예방 AI'에 사용 못한다, 2024.04.24 https://www.lawandp.com/view/20240424101817507
  38. 정지은, 한국경제, 韓 개인정보 보호법, 국내 IT기업만 '발목', 2024.04.08 https://www.hankyung.com/article/2024040879981
  39. 김현아, 이데일리, "'예약 앱'만 쓰는 맛집, 개인정보보호법 위반 아냐"..물러선 해석, 2024.01.09 https://www.edaily.co.kr/news/read?newsId=03709686638756080&mediaCodeNo=257
  40. 오현아, 한국경제, 대상 환자 서류로 증빙하라니...불편 커진 비대면진료 존폐 위기, 2023.08.28 https://www.hankyung.com/article/2023082853261