[개인정보보호위원회] 개인정보 침해요인 평가 지침 (2020.08)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호위원회] 개인정보 침해요인 평가 지침 (2020.08)

○ 자료명 : 개인정보 침해요인 평가 지침

○ 제정일 : 2020년 08월

○ 주관부처 : 개인정보보호위원회

---

200826 개인정보 침해요인 평가 지침.hwp

0.31MB

(붙임2) 개인정보 침해요인 평가 요청서.hwp

0.02MB

개인정보 침해요인 평가 지침 (2020.08) : 개인정보보호위원회

---

개요

○ 침해요인 평가 의의

• 법령상의 개인정보 침해 유발요인을 개선하여 개인정보 유출과 오․남용을 방지함으로써 정보주체의 개인정보자기결정권*을 실질적으로 구현
• “자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리”(헌재 2005.5.26. 99헌마513등; 2005.7.21. 2003헌마282등)

○ 침해요인 평가 목적

• 개인정보 유출사고 발생에 따른 사회․경제적 피해가 반복되고 있어 법령․제도의 입안단계에서 개인정보 침해 유발요인을 종합적이고 체계적으로 분석․평가하여 국민의 소중한 개인정보를 보호
• 법령의 입안과정에서 개인정보 관련 다른 법령과의 정합성을 고려함으로써 개인정보 관련 법령 간 중복 또는 상충 요인 제거

○ 추진근거 : 개인정보보호법 (2016.07.25 시행)

개인정보보호법 제8조의 2 (개인정보 침해요인 평가)

• 개인정보 침해요인 평가 요청
• 해당 법령의 개인정보 침해요인을 분석․검토

개인정보보호법 시행령 제9조의 3 (개인정보 침해요인 평가 절차 등)

• 개인정보 침해요인 평가 절차, 평가 요청서, 평가 내용, 평가결과의 통보
• 침해요인 평가의 세부기준 및 방법 수립, 전문가 자문 의뢰 등

---

운영

○ 운영 및 관련기관

개인정보보호위원회 (개인정보보호법 제8조의2, 동법 시행령 제9조의3)

• 중앙행정기관 소관 법령 제․개정 시 개인정보 침해요인을 평가하고 개선을 권고할 수 있음

개인정보보호위원회 內 소위원회 (개인정보보호법 제7조의 12)

• 보호위원회는 효율적인 업무수행을 위해 소위원회를 구성하고, 소위원회는 유사·반복되는 사항 등을 심의·의결
• 중요사항은 소위원회 심의 후 전체회의에서 심의·의결

평가 대상기관(법령 제․개정 권한이 있는 중앙행정기관)

• 법령(안)의 평가요청 및 평가에 필요한 각종 자료 등의 작성․제출
• 평가결과에 따른 개선조치 노력 등

개인정보보호위원회 사무처

• 법령(안)의 평가, 평가 관련 자료 작성 및 제출 등에 따른 실무 지원

---

평가대상 및 내용

○ 평가대상

개인정보 처리를 수반하는 정책이나 제도를 도입․변경하는 제․개정 법령안

• (개인정보) 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
• ※ 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함

[개인정보 예시]

기본정보

• 성명, 주소, 전화번호, 영상정보(사진, 동영상, CCTV 등) 등

고유식별정보

• 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호

민감정보

• 사상․신념, 노동조합의 가입․탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보
• 유전자검사 등의 결과로 얻어진 유전정보
• 형의 선고․면제 등 범죄경력에 관한 정보

기타 개인정보

• 바이오정보(지문․얼굴․홍채․정맥․음성․필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보)
• 개인신용정보(개인의 대출․보증․당좌거래․신용카드․할부금융 등 상거래의 종류․기간․금액․한도, 개인의 직업․재산․채무․소득의 총액 및 납세실적 등)
• 개인위치정보(개인이 특정한 시간에 존재하거나 존재하였던 장소에 관한 정보로서 ｢전기통신사업법｣ 제2조제2호 및 제3호에 따른 전기통신설비 및 전기통신회선설비를 이용하여 수집된 정보)
• 그 밖에 개인 식별이 가능한 정보 또는 다른 정보와 결합하여 쉽게 특정 개인을 식별할 수 있는 정보(전자메일, 복지수급자번호, 자동차번호, 자격․면허번호, 군번, 개인사업자등록번호 등)

---

(처리)

• 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위

(수반)

• 특정 법령 조항의 운영이나 법 집행 과정에서 개인정보 처리가 주로 또는 부수적으로 발생하는 경우 등
• 법령 조항의 운영 : 해당 법령 조항에 따라 다수 또는 대량의 개인정보를 처리할 제도적 근거가 마련되는 경우
• ※ (예시) 신용정보법 개정에 따라 민간 신용정보 집중기관의 범위가 확대되는 경우, 영유아보육법 개정에 따라 어린이집 내 CCTV 설치가 의무화되는 경우 등
• 법 집행 : 해당 법령 조항에 따라 개별주체에 대한 개인정보 처리가 이루어지게 되는 경우
• ※ (예시) 식품위생법상 사업허가신청 수리 시 관할 구청이 신청자 또는 그 대리인의 개인정보를 처리하는 경우, 디엔에이신원확인법 제정에 따라 수형자 및 범죄용의자에 대한 감식시료의 채취가 허용되는 경우 등
• 기타 : 해당 법령 조항에 따라 정보주체의 권리 또는 정보처리자의 책임관계에 변동을 가져오는 경우
• ※ (예시) 특정 법령에 개인정보보호 규정 위반에 대한 형벌 규정이 존재하는데 개인정보보호법과 동일한 사유에 대하여 처벌 범위를 상당히 축소시키거나 구제범위를 제외시키거나 형벌의 수위를 매우 낮추는 등의 경우

(대상법령)

• 법률․대통령령(시행령)․총리령․부령(시행규칙)
• ※보호위원회는 법령안을 평가하면서 침해유발요인이 있다고 판단되는 행정규칙(훈령, 예규, 고시, 공고, 지침 등)이 있는 경우 별도로 제도개선 권고 가능(개인정보보호법 제7조의9제4항)

○ 평가내용

① 정보처리 필요성 :

• 개인정보 수집․이용․제공 등의 필요성, 목적의 명확성, 목적에 필요한 최소정보의 수집

주요 검토 내용

• 법령상 의무준수, 소관업무 수행 등을 위해 개인정보 수집이 반드시 필요한지 여부 및 수집근거의 적정성 검토
• 목적에 필요한 최소한의 개인정보만을 수집하는지 여부
• 수집대상 정보가 명확하게 특정화 되어 있는지 여부
• 고유식별정보 또는 민감정보의 처리가 법령상 의무준수, 소관업무 수행 등을 위해 불가피한지 여부
• 영상정보처리기기 설치․운영, 기타 개인정보 등의 처리가 반드시 필요한지 여부
• 목적 외 이용 및 제3자 제공을 허용하려는 경우 반드시 필요한지, 정보주체 또는 제3자의 이익을 부당하게 침해하는지 여부
• 개인정보 국외 이전의 필요성 검토

② 권리보장 적정성 :

• 개인정보 자기결정권을 보장하기 위한 제반 제도의 타당성

주요 검토 내용

• 정보주체의 열람을 금지하거나 제한하는 경우에 그 제한이 불가피한지 여부
• 개인정보의 정정, 삭제, 처리정지 요구를 제한하는 경우에 그 제한이 불가피한지 여부
• 정보주체 이외로부터 수집한 개인정보의 수집 출처 고지를 제한하는 경우에 그 제한이 불가피한지 여부
• 개인정보의 처리 업무를 제3자에게 위탁할 경우 수탁자에 대한 적절한 관리, 감독 규정을 두고 있는지 여부 및 정보주체에게 위탁하는 업무의 내용과 수탁자에 대한 정보고지(공개)를 제한하는 경우에 그 제한이 불가피한지 여부
• 개인정보 유출 시 사고처리절차, 손해배상을 위한 요구절차, 배상액 산정 기준 등의 유무와 타 법령과의 정합성 검토

③ 정보관리 안전성 :

• 개인정보 처리에 따른 안전조치 및 정보처리자의 책임성 확보수단의 타당성

주요 검토 내용

• 개인정보의 처리방법․종류 및 정보주체의 권익침해 가능성을 고려하여 기술적․관리적․물리적 보호조치가 충분히 마련되었는지 여부
• 주민등록번호의 암호화조치 적정성 포함
• 개인정보의 정확성․최신성 유지를 위한 적절한 수단이 마련되었는지 여부
• 파기의 도래 기간이 개인정보 처리 목적의 달성을 위해 객관적으로 적정하게 규정되어 있는지 여부
• 개인정보의 보유기간 도과, 처리목적 달성 등에도 불구하고 개인정보를 보존하는 경우 반드시 필요한지 여부
• 벌칙 및 양형규정, 과태료 규정이 다른 개인정보 관련 법령의 일반적 범위에서 벗어난 경우 필요성 및 적정성 검토

---

평가절차

○ 평가절차 전체 흐름도

① 평가요청서 작성․제출

• 관계기관 협의를 시작하는 즉시 중앙행정기관의 장은 평가요청서를 작성하여 보호위원회에 제출
• 관계기관 협의 및 입법예고 단계에서 이미 제출한 법령(안)이 수정․보완된 경우 즉시 그 내용 및 사유를 보호위원회에 통보
• 평가요청시 제출할 자료

필수자료 : 평가요청서(법령안, 개인정보 침해요인 자체분석, 개인정보 보호 대책 등 포함)

기타자료 : 법령 제․개정계획, 관계부처 협의자료, 공청회 자료, 연구용역 자료 등

② 평가 및 결과 통보

평가기간

• 통상 입법예고기간이 끝나기 전까지 평가결과를 통보하고, 평가를 종료하기 어려운 불가피한 사정*이 있는 경우 평가기간 연장 가능
• 평가기간 연장 사유 : 입법예고기간이 단축된 경우, 평가요청서(법령안)의 지연 제출, 제출 자료의 보완, 관계기관과의 협의, 법령안의 수정․변경, 행정규칙으로의 위임사항에 대한 추가검토 등

평가결과 통보

• 보호위원회는 제출된 평가요청서(법령안)를 토대로 평가를 실시하고, ‘평가결과 통보서’를 작성하여 해당부처/부서에 통보
• 개인정보 처리를 수반하지 않는 법령은 침해요인 없음 확인 통보
• 평가대상 법령은 평가결과에 따라 원안동의, 개선권고로 구분하여 통보

원인동의 : 제출된 평가요청서(법령안)의 내용에 동의한다는 의견

• 고시․훈령․예규 등 행정규칙으로의 위임사항에 대한 추가검토가 필요한 경우 추후 해당 행정규칙의 제출을 요청할 수 있음

개선권고 : 개인정보 침해요인을 제거하기 위해 제․개정 법령안을 개선하여야한다는 의견

③ 평가결과의 처리

결과 제출

• (법제처에 제출) 해당 기관은 법제처에 법령안 심사 요청 시 침해요인 평가결과를 첨부하여 제출
• (보호위원회에 제출) 평가결과가 ‘개선권고’인 경우 해당 기관은 개선권고를 반영한 결과를 작성하여 보호위원회에 제출
• 제출시기 : 법제처 심사 완료 시까지

결과 관리

• 보호위원회는 해당 기관이 반영한 결과를 확인하여 ‘개선의견 수용․불수용․일부수용․중단’으로 표시

수용 또는 일부수용 : 해당기관/부서가 수용한 개선항목 수 및 항목을 선택

불수용 또는 중단 : 해당 사유 입력

• 보호위원회는 공포된 법령을 확인하고 개선의견이 제대로 반영되지 않은 경우 권고사항 이행여부 점검 등 추후 조치 가능

제도․법령 개선권고 및 이행점검 추진근거

【개인정보보호법】

제7조의9(보호위원회의 심의ㆍ의결 사항 등)

① 보호위원회는 다음 각 호의 사항을 심의․의결한다.

3. 개인정보 보호와 관련된 정책, 제도 및 법령의 개선에 관한 사항

④ 보호위원회는 제1항제3호의 사항을 심의․의결한 경우에는 관계 기관에 그 개선을 권고할 수 있다.

⑤ 보호위원회는 제4항에 따른 권고 내용의 이행 여부를 점검할 수 있다.