개인정보보호위원회: 두 판 사이의 차이

개요

기관 소개

개인정보보호위원회는 개인정보의 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 설립된 합의제 중앙행정기관이다. 개인정보보호위원회는 개인정보 보호와 관련된 법령 개선, 정책·제도·계획 수립, 권리침해 조사 및 처분, 국제기구와 외국의 개인정보 보호기구와의 교류 및 협력, 정책과 실태의 조사·연구, 기술개발 지원과 전문인력 양성 등에 대한 업무를 수행한다.^[1](개인정보 보호법 제7조의8^[2])

매 3년마다 개인정보보호기본계획을 수립하고 정부의 시행계획을 매년 심의·의결한다. 그리고 매년 개인정보 보호시책의 수립과 시행 보고서를 작성하여 국회에 제출한다.

2020년 8월 5일 개인정보보호위원회는 여러 부처에 분산되어 있던 개인정보 보호기능을 일원화해 개인정보보호 관련 정책 관리를 총괄하는 장관급 중앙행정기관으로 출범하였다. 공식 출범한 개인정보보호위원회는 2019년 2월 개정된 데이터3법(개인정보보호법, 정보통신망법, 신용정보법의 이달 시행에 따라 행정안정부, 방송통신위원회, 금융위원회 등에 분산되었던 개인정보보호 기능을 통합한 컨트롤타워 역할을 수행한다.^[3]

기관 상징^[4]

• 대한민국 정부의 역사와 전통, 미래 비전을 구현하기 위해 모든 국민적 공감대 형성이 가능한 소재로서 '태극'을 사용한다.
• 「정부기에 관한 공고(대통령 공고)^[5]」에 따라 통일된 정부상징을 적용한다.
• 태극문양은 청·홍·백의 조합과 담백함으로 대한민국다움을 극대화하고, 열린 조형으로 국민, 세계, 미래를 향해 진취적인 대한민국 정부를 표상한다.
• 글꼴은 한글 창제기의 글꼴인 정음체를 현대적 감각에 맞게 발전시켜 태극과의 조화를 추구하고 정부상징이 갖는 최고의 권위를 뒷받침한다.

기관 캐릭터^[6]

지킹별의 락스타(Lock star)는 개인정보 침해로부터 안전할 때 노래하는 캐릭터이다.

개인정보 유출 문제를 예방하기 위해 대한민국으로 날아왔다.

락스타(Lock star)라는 이름은 Lock(잠그다)와 Star(스타)라는 의미를 담고 있다.

연혁 ^[7]

2011년 9월 30일: 대통령 소속으로 개인정보 보호위원회 설치.

2012년 1월 30일: GPEN(Global Privacy Enforcement Network)^[8] 가입.

2012년 3월 6일: APPA(Asia Pacific Privacy Authorities)^[9] 가입.

2012년 10월 22일: ICDPPC(International Conference of Data Protection and Privacy Commissioners) 가입.

2012년 8월 5일: 국무총리 소속으로 변경, 중앙행정기관으로 격상.

2016년 7월 26일: 개인정보 보호 강화 필요성 증대에 따라 개인정보 침해요인 평가 기능 신설 및 개인정보 분쟁조정 기능 이관 등 조직·정원 확대

2020년 8월 11일: 법률 제17472호로 정부조직법에도 중앙행정기관으로 명시.

구성 조직과 기능

개인정보보호위원회는 위원장 1명과 부위원장 1명을 포함한 위원 9명으로 구성된 기관이다. 위원은 개인정보 보호에 관한 경력과 전문지식이 풍부한 사람 중에서 대통령이 임명하며, 위원장과 부위원장은 국무총리의 제청을, 위원 2명은 위원장의 제청을, 2명은 여당의 추천을, 3명은 야당의 추천을 거친다. 위원의 임기는 3년이며, 한 차례 연임이 가능하다.

회의는 위원장이 필요하다고 인정하거나 재적위원 1/4 이상의 요구로 위원장이 소집한다. 재적위원 과반수의 출석으로 개의하고 출석위원 과반수의 찬성으로 의결한다. 효율적인 업무 수행을 위해 위원 3명으로 구성되는 소위원회를 둘 수 있으며, 사무를 처리하기 위해 사무처를 둔다.^[10]

국무회의에서 의결된 「개인정보 보호위원회 직제」^[11]에서는 개인정보 보호위원회의 하부조직을 규정하고 있다.

개인정보 보호위원회가 합의제행정기관에서 독자적인 조직운영 권한을 가지는 국무총리 소속 장관급 중앙행정기관으로 격상됨에 따라 예산, 인사 등의 기관운영에 필요한 업무 수행을 위해 기획조정관, 대변인, 운영지원과 등이 설립되었다.

기획조정관은 고위공무원단에 속하는 일반직공무원으로 보하며, 각종 정책과 주요업무계획 수립의 총괄, 예산의 편성, 조직의 관리, 혁신업무 총괄, 위원회 업무 통계, 위원회의 규칙과 구성에 관한 사항 등 여러 사항에 관하여 사무처장을 보좌한다.

대변인은 고위공무원단에 속하는 일반직공무원으로 보하며, 대변인은 주요 정책에 관한 대국민 홍보계획의 수립 및 조정, 위원회의 정책 홍보의 관리, 업부의 대외 발표 사항 관리, 언론취재 지원 및 브리핑, 온라인대변인 운영 및 소셜 미디어 상의 정책소통 총괄, 위원회 홈페이지의 운영 등의 여러 사항에 관하여 위원장을 보좌한다.

운영지원과의 운영지원과장은 3급 또는 4급으로 보하며, 위원회 소속 공무원의 임용, 복무, 훈련, 징계, 연금 등의 인사사무와 보안 및 당직근무에 관한 사항, 위원회 내의 공무원단체, 직장예비군의 관리, 위원회의 정보공개제도 운영 및 기록물의 관리 외에도 위원회 내 다른 부서의 소관에 속하지 않는 사항들을 분장한다.

개인정보정책국은 개인정보 보호 관련 정책의 수립•총괄 및 조정, 개인정보 보호 기본계획의 수립, 인공지능 등의 신기술 관련 개인정보 보호 정책, 가명처리 정책, 개인정보처리자의 자율규체 촉진 및 지원에 관한 사항 등을 수행한다.

개인정보정책국은 행정안전부, 방송통신위원회 등의 개인정보 보호정책 및 법•제도의 관리 기능을 통합하여 설치되었다.

조사조정국은 행정안전부 및 방송통신위원회의 침해조사 기능과 개인정보 보호위원회의 침해평가, 분쟁조정 등의 기능을 맡게 된다. 조사조정국은 개인정보 보호 실태점검 및 침해조사, 개인정보 침해 모니터링 및 상황관리, 과징금 부과 등의 행정처분, 법령 등의 개인정보 침해요인 평가, 분쟁조정위원회 사무지원 등의 기능을 수행한다.

범정부 마이데이터추진단은 개인정보보호위원회가 마이데이터 사업을 위해 구성한 집단이다. 단장은 국장급이고, 전략기획팀, 서비스혁신팀, 인프라표준화팀 등 총 3개팀으로 구성되어 있다.

마이데이터추진단은 2023년 초 개인정보위원회가 마이데이터 세부 실현 전략으로 제시한 개인정보 전송요구권의 행사를 보장하기 위해 법제도 세부기준 확립, 마이데이터 이용과정을 기술적으로 지원하는 온라인 플랫폼, 데이터의 막힘없는 이동을 위한 표준화 등 마이데이터 핵심 인프로 구축 사업을 담당한다.

정원은 총 15명으로, 15명 중 10명이 개인정보위 외 타부처 인원으로 구성된다.

마이데이터 추진단은 데이터 보유자가 능동적으로 데이터를 제공하는 선순환 구조가 확립되도록 인센티브 시스템을 설계하고 신뢰성의 확보를 위해 인증 및 보안체계를 수립하는 것을 목표로 한다.^[12]

범정부 마이데이터추진단은 위원장 직속 별도기구로, 일시적인 범부처의 협력이 필요하면 별도정원을 두어 임시조직을 운영하는 것도 가능하다.^[13]

위 조직도에서, 국제협력담당관실은 개방형 직위이고, 조사조정국의 조사 3팀은 2025년 1월 31일까지 존속하는 한시조직으로, 한시조직은 한시적으로 발생하는 행정수요에 대처하기 위해 필요한 경우 혹은 기존의 보조기관과 보좌기관으로는 그 목적을 달성하기 곤란한 중요한 업무가 발생한 경우에 해당한다면 그 소속기관에 설치되는 한시적인 보조를 맡는 조직을 뜻한다.(행정기관의 조직과 정원에 관한 통칙 제17조의3)

개인정보 보호위원회에 두는 공무원의 정원은 다음과 같다.^[14]

정책 및 법령

개인정보 보호법은 개인정보의 수집, 유출, 오용, 남용으로부터 사생활의 비밀 등을 보호하고 개인정보의 처리 및 보호에 관한 사항을 정함으로써 국민의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 하는 대한민국의 법률이다. 개인정보 보호법 시행령은 개인정보 보호법에서 위임된 사항과 그 시행에 필요한 사항을 규정함을 목적으로 한다. 개인정보 보호법에서 나타나는 “대통령령으로 정하는 기관”을 정의하고 공공기관의 범위를 정하며, 영상정보처리기기의 범위 또한 정한다. 개인정보 보호위원회는 영리를 목적으로 한 업무에 종사해서는 안 되며, 보호위원회에 여러 호의 분야별 전문위원회를 둔다.

국민정책

국민정책으로는 개인정보 열람 등 요구, 개인정보 분쟁조정 제도의의, 개인정보 유출 신고, 개인정보 침해신고 제도가 존재한다.

개인정보 열람 등 요구

개인정보 열람 등 요구란 정보주체가 자신의 개인정보를 수집한 기관을 대상으로 개인정보 수집내역, 제3자 제공내역 등을 열람하거나 개인정보의 정정, 삭제, 처리정지를 요구할 수 있는 제도이다. 인터넷에서 회원가입, 실명인증 등을 위해 실시된 주민번호, 아이핀, 휴대폰을 통한 본인확인 내역을 제공해주는 본인확인 내역 조회 서비스도 존재한다. 이 정책은 개인정보 유출 및 오남용으로 인한 명의의 도용과 사생활침해 피해를 최소화하고 정보주체의 개인정보 자기결정권을 보장하주는 것을 목적으로 하며, 개인정보 보호법 4조(정보주체의 권리), 35조(개인정보의 열람), 37조(개인정보의 처리정지 등), 38조(권리행사의 방법 및 절차)를 법적근거로 두고 있다.

개인정보 분쟁조정

개인정보 분쟁조정 제도는 매우 빠른 파급속도와 어려운 원상회복의 문제를 지닌 개인정보 피해를 신속하고 간편하게 구제하기 위해 도입되었으며, 개인정보에 관한 분쟁이 발생하였을 때 비용이 많이 들고 시간이 오래 걸리는 소송제도의 대안으로서 비용 없이 신속하게 분쟁을 해결하여 개인정보 침해를 당한 국민의 피해를 신속하고 원만하게 구제할 수 있다. 신청 내용과 요건에 따라 개인정보 분쟁조정과 집단분쟁조정으로 구분하여 조정절차를 달리 운영한다.

개인정보 분쟁조정은 개인정보 처리와 관련하여 당사자 사이 분쟁 발생 시 조정을 원하는 자는 누구든지 신청이 가능하며, 신청 내용에는 법령 위반행위의 중지, 손해배상 청구 등의 적극적 권리 행사도 포함된다. 개인정보 분쟁조정은 신청사건의 접수 및 통보, 사실확인 및 당사자 의견청취, 조정전 합의권고, 위원회의 조정절차 개시, 조정의 성립, 효력의 발생이라는 절차를 거친다.

집단분쟁조정은 수많은 개인정보의 유출 및 오남용 사건을 개별적 분쟁조정절차를 통해 처리함으로써 발생하는 많은 시간과 비용의 낭비를 최소화하고 집단적분쟁사건을 효율적이고 신속히 처리하기 위해 하나의 분쟁조정절차를 통해 일괄적으로 해결하는 분쟁조정제도이다. 집단분쟁조정절차는 피해를 입은 정보주체의 수가 50인 이상이어야 하는 조건이 충족되어야 하고, 신청사건의 중요한 쟁점은 사실상 또는 법률상 공통되어야 한다. 집단 분쟁조정은 조정의 신청, 분쟁조정절차의 개시 및 공고, 참가신청, 조정결정, 조정의 효력발생, 보상권고 등의 절차를 거친다.

개인정보 유출

개인정보 유출은 법령이나 개인정보처리자의 자유로운 의사에 의한 것이 아닌, 개인정보가 개인정보처리자의 통제권을 벗어나 제3자가 그 정보를 알 수 있는 상태에 이른 것을 말한다.

개인정보처리자는 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우, 민감정보 또는 고유식별정보다 유출된 경우, 개인정보처리시스템이나 취급자가 개인정보를 관리하는 기기에 대한 외부의 침투로 인해 정보가 유출된 경우 중 하나에 해당하는 경우에 72시간 이내에 개인정보 유출신고를 하여야 한다.

상거래기업 및 법인은 1만명 이상 신용정보주체의 개인신용정보가 유출 및 누설된 경우 72시간 이내에 유출신고를 하여야 한다.

개인정보 유출 미신고 시 개인정보 보호법 제75조(과태료) 제2항 제18호에 따라 3천만원 이하의 과태료가 부과된다.

개인정보 유출은 개인정보 보호법 제34조(개인정보 유출 통지 등), 신용정보의 이용 및 보호에 관한 법률 제39조의4(개인신용정보 누설통지 등)을 법적 근거로 둔다.

개인정보 침해신고 제도

개인정보 침해신고 제도는 개인정보에 관한 권리 또는 이익을 개인정보처리자에 의해 침해당했을 경우 개인정보위가 개인정보 보호법 등 관련 법령에 따라 신고 접수 전문기관으로 지정한 한국인터넷진흥원(KISA)의 개인정보침해 신고센터에 피해 내용을 신고할 수 있는 제도이다. 신고가 접수된 사항은 법규 위반 여부를 검토하여 신속히 고충을 해결하고 침해행위 시정 등 행정지도를 실시하고 결과를 신고자에게 통보한다. 개인정보처리자의 법 위반 여부나 위반사항 시정 등에 따라 행정조사로 전환하여 결과를 개인정보위로 통보하기도 한다. 개인정보 침해신고의 절차는 인터넷 등을 통한 상담의 접수, 신고인의 침해받은 권리를 구제하는 행정지도, 행정지도 과정에서 혹 해결되지 않은 고충을 추가적으로 해결하기 위한 행정조사로의 전환 등의 과정을 거친다.

개인정보 침해신고 제도는 개인정보 보호법 제62조(침해 사실의 신고 등)을 법적 근거로 둔다.

기업정책

기업정책으로는 가명처리•가명정보 결합, 인증제도, 기술 R&D 로드맵, 기술 표준화 로드맵이 존재한다.

가명정보

가명정보는 개인정보를 가명처리한 것인데, 이러한 가명정보는 원래의 상태로 복원하기 위한 추가 정보의 활용 없이는 특정 개인을 알아볼 수 없는 정보이다. 가명처리 제도는 2020년 8월 빅데이터 시대 신성장 동력인 데이터의 활용에 대한 시대의 요구를 반영하여 개인정보 보호법이 개정되면서, 개인정보처리자가 통계, 연구 등을 목적으로 개인정보를 가명처리하여 정보주체의 동의 없이도 데이터를 인전하게 활용할 수 있도록 도입한 제도이다. 가명처리의 절차는 목적 설정 등의 사전준비, 위험성 검토, 가명처리, 적정성 검토, 안전한 관리의 과정으로 이루어진다.

가명정보는 개인정보 보호법 제2조제1호(정의), 제28조의2(가명정보의 처리 등)을 근거법령으로 둔다.

서로 다른 개인정보처리자 간의 가명정보의 결합은 개인정보 보호법 제28조의3에 따라 통계작성, 과학적 연구, 공익적 기록보존 등을 목적으로 하며, 이러한 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관에서 수행해야 한다.

가명정보의 결합은 개인정보 보호법 제28조의3(가명정보의 결합 제한)을 근거법령으로 둔다.

인증제도(ISMS-P)

인증제도는 개인정보보호 관리체계 인증(PIMS)과 정보보호 관리체계 인증(ISMS)으로 개별 운영되던 인증체계를 하나로 통합한 통합인증제도로, 2018년 11월 7일부터 시행되었다. 기업과 기관은 정보보호 및 개인정보보호 관리체계 인증을 통해 자사의 개인정보 보호 및 정보보안에 대한 대외 신뢰도를 향상하고 내·외부의 개인정보 침해 위험의 저감을 기대할 수 있다. 인증절차는 인증심사의 신청, 심사, 보완조치, 인증위원회의 개최, 인증서 발금, 사후관리로 이루어져 있다.

인증제도는 개인정보 보호법 제32조의2(개인정보 보호 인증)을 법적 근거로 한다.

기술 R&D 로드맵('22~'26)

기술 R&D 로드맵은 데이터 경제 시대에 정보주체의 권리를 두텁게 보호하고 안전한 활용을 지원하기 위해 개인정보에 특화된 보호·활용 기술에 대한 연구개발(R&D)를 추진하여, 개인정보 보호·활용 기술분류체계와 국내·외 기술 및 표준화 동향 등을 고려하여 수립하고, 정보주체 권리보장, 유·노출 최소화, 안전한 활용 등 3대 분야 11대 핵심기술과 37개의 세부기술을 포함한 향후 5년간의 연구개발 계획을 포함한다.

기술 표준화 로드맵('23~'27)

기술 표준화 로드맵은 개인정보 핵심기술의 국제선점을 통해 개인정보 기술·산업의 국제적 경쟁력을 확보하고 개인정보 분야 연구개발(R&D) 성과 확산을 목적으로 하며, 개인정보 보호·활용 기술분류체계와 국내·외 기술 및 표준화 동향 등을 고려하여 수립하고, 국제표준 선점 필요성과 시장의 수요 등을 고려하여 선정한 3대 분야(정보주체 권리보장, 처리단계별 보호 강화, 안전한 활용)12개 핵심표준을 선정한다.

공공정책

기본계획 및 시행계획

개인정보 영향평가

개인정보 침해요인 평가

공공기관 관리수준 진단