O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

[법무법인 민후 l 김경환 변호사] 금융기관에서의 개인정보보호

1.324 visualizações

Publicada em

Publicada em: Direito
  • Seja o primeiro a comentar

[법무법인 민후 l 김경환 변호사] 금융기관에서의 개인정보보호

  1. 1. 금융기관에서의 개인정보보호 법무법인 민후 김경환 변호사
  2. 2. - 2 - 목 차 개인정보보호 법령과 적용순서 3 개인 신용 정보의 개념( ) 6 개인 신용 정보의 수집( ) 15 개인 신용 정보의 이용( ) 23 개인 신용 정보의 제공( ) 29 개인 신용 정보의 위탁( ) 43 주민번호의 처리 48 개인 신용 정보의 관리( ) 49 개인정보처리방침의 공개 54 개인 신용 정보의 파기( ) 56 개인 신용 정보의 유출( ) 61 정보주체의 권리 64 과징금 부과 71 손해배상 제도 73 개인영상정보 77
  3. 3. - 3 - 개인정보보호 법령과 적용순서 개인정보보호법○ 공공기관 오프라인 기업 행정자치부: , / 정보통신망법○ 온라인 기업 정보통신망서비스제공자 방송통신위원회: ( ) / 신용정보법○ 신용정보회사 신용정보집중기관 및 신용정보제공 이용자: , ㆍ 전자금융거래법○ 금융회사 전자금융업자 및 전자금융보조업자: ㆍ 금융실명법○ 금융회사등:
  4. 4. - 4 - 적용순서○ 개인정보보호법 제 조 개인정보 보호에 관하여는 다른 법률에 특별한[ 6 : 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다] 인터넷기업 정보통신망법 개인정보보호법- : → 금융기관 신용정보법 개인정보보호법- : → 공공기관 개인정보보호법- : 오픈마켓이 준수하여야 하는 법ex) ? 결제대행사가 준수하여야 하는 법ex) ? 신한은행이 소셜커머스업을 할 때 준수하여야 하는 법ex) ? 의료정보 처리시 지켜야 하는 법ex) ?
  5. 5. - 5 - 적용순서○ - 신용정보 중 개인신용정보 신용정보법 개인정보보호법: ( )⇒ ★ 신용정보 중 법인등신용정보 신용정보법- : 신용정보 아닌 개인정보 개인정보보호법- : 다만 전자금융거래법 금융실명법 금융지주회사법 등은 개별법으로서- , , , 우선 적용됨
  6. 6. - 6 - 개인 신용 정보의 개념( ) 개인정보 개인정보보호법 제 조 제 호( 2 1 )○ 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영상 등을 통- , 하여 개인을 알아볼 수 있는 정보 해당 정보만으로는 특정 개인을 알( 아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포 함한다) 살아 있는 개인1) 개인에 관한 정보2) 식별할 수 있는 정보 식별성 직접 식별정보3) [ , ] 쉽게 결합하여 식별할 수 있는 정보 결합용이성 간접 식별정보4) [ , ]
  7. 7. - 7 - 살아 있는 개인○ 김구 선생의 자손들에 관한 정보ex) ? 뉴질랜드 캐나다는 사망자의 정보까지 포함함 사후 년 정도ex) , ( 20 )
  8. 8. - 8 - 개인에 관한 정보○ 기업의 주소 연락처 신용정보 등ex) , , ? 기업의 대표이름 예 삼안실업 대표 이만수ex) ? ( : )
  9. 9. - 9 - 식별할 수 있는 정보○ 특정 대학의 년 취업률ex) 2013 ? 이 장소에서 빨간색 머리를 하고 있는 대 남자ex) 20 ? 휴대전화번호ex) ? 얼굴 정보ex) CCTV ? 콜센터 대화 녹음파일ex) ? 주소 맥 주소ex) IP , (MAC) ?
  10. 10. - 10 - 쉽게 결합하여 식별할 수 있는 정보○ 휴대전화의ex) IMEI 국제단말기인증번호( , international mobile equipment identity) 특정인의 휴대폰에 저장된 휴대전화 자리ex) 4 결합용이성의 판단은 현실적 가능성으로 잠재적 가능성으로ex) / ?
  11. 11. - 11 - 특수한 개인정보○ - 민감정보 사상 신념 노동조합 정당의 가입 탈퇴 정치적 견해 건강 성: · , · · , , , 생활 등에 관한 정보 그 밖에 정보주체의 사생활을 현저히 침해할 우려, 가 있는 개인정보 - 고유식별정보 주민등록번호 여권번호 운전면허번호 외국인등록번호: , , , - 개인영상정보 생체정보 바이오인식정보( )?※ 민감정보 고유식별정보 원칙적 수집금지 별도의 동의 필요: ,※ ㆍ 주민번호 주민번호수집 법정주의:※ 개인영상정보 수집목적 한정 동의 대신에 안내판 설치로 갈음함: ,※
  12. 12. - 12 - 개인신용정보○ - 신용정보 중 개인의 신용도와 신용거래능력 등을 판단할 때 필요한 정보 특정 신용정보주체를 식별할 수 있는 정보 개인의 성명 주소 주민1. : , , 등록번호 외국인등록번호 여권번호 성별 국적 및 직업 등에 관한 사, , , , 항( 호 호까지의 어느 하나에 해당하는 정보와 결합되는 경우만 해2 ~5 당) 신용정보주체의2. 거래내용을 판단할 수 있는 정보 개인의 대출 보증: , , 담보제공 당좌거래 가계당좌거래 포함 신용카드 할부금융 시설대여, ( ), , , 와 금융거래 등 상거래와 관련하여 그 거래의 종류 기간 금액 및 한, , 도 등에 관한 사항
  13. 13. - 13 - 신용정보주체의3. 신용도를 판단할 수 있는 정보 금융거래 등 상거래: 와 관련하여 발생한 개인의 연체 부도 대위변제 대지급과 거짓 속, , , , 임수 그 밖의 부정한 방법에 의한 신용질서 문란 행위와 관련된 금액, 및 발생 해소의 시기 등에 관한 사항ㆍ 신용정보주체의4. 신용거래 능력을 판단할 수 있는 정보 금융거래 등: 상거래에서 신용거래능력을 판단할 수 있는 개인의 재산 채무 소득ㆍ ㆍ 의 총액 및 납세실적 호부터 제 호까지와5. 1 4 유사한 정보 개인과 관련한 법원의 심판 결정: ㆍ 정보 조세 또는 공공요금 등의 체납정보 주민등록에 관한 정보 행정, , , 처분에 관한 정보 중 금융거래 등 상거래와 관련한 정보 및 기타 신용 정보주체의 신용등급 등에 관한 사항으로서 금융위원회가 고시하는 정 보
  14. 14. - 14 - 개인의 휴대전화번호는 개인정보인가 개인신용정보인가ex) ? ? 전화번호가 호 내지 호 정보와 결합되어 있는 경우는 개인신용정보2 5 , 로서 신용정보법이 적용됨 전화번호가 단독으로 있거나 호 정보와만. , 1 결합되어 있는 경우는 개인정보로서 개인정보보호법이 적용됨 법인등의 신용정보는ex) ? 법인등의 임원이나 직원의 신용정보는ex) ?
  15. 15. - 15 - 개인 신용 정보의 수집( ) 개인정보의 수집 (○ 개인정보보호법 제 조15 ) 정보주체의 동의를 받은 경우 사전에 일정사항의 고지 필요1. ( [informed 명시적 동의consent], [express consent]) 개인정보의 수집 이용 목적1. · 수집하려는 개인정보의 항목2. 개인정보의 보유 및 이용 기간3. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이4. 익이 있는 경우에는 그 불이익의 내용
  16. 16. - 16 - 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한2. 경우 담배판매시 청소년 여부를 확인하는 경우ex) 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한3. 경우 국민건강보험공단이 보험급여관리를 위하여 진료내역을 수집하는ex) 경우 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우4. 택배회사가 주소지 정보를 받는 경우ex) 병원에서 진료를 위하여 본인의 병력을 알리는 경우ex)
  17. 17. - 17 - 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나5. 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제 자의 급박한 생명 신체 재산의 이익을 위하여 필요하다고 인3 , , 정되는 경우 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백6. 하게 정보주체의 권리보다 우선하는 경우 이 경우 개인정보처리자의 정. 당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경 우에 한한다. 요금을 정산하는 경우ex) 채권 추심하는 경우ex) 명함을 주고받는 경우ex)
  18. 18. - 18 - 개인정보 수집 제한 개인정보보호법 제 조( 16 )○ 개인정보처리자는 제 조제 항15 1① 각 호의 어느 하나에 해당하여 개인정보 를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여 야 한다 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처. 리자가 부담한다. 개인정보처리자는 정보주체의② 동의를 받아 개인정보를 수집하는 경우 필 요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다. 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집③ 에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공 을 거부하여서는 아니 된다.
  19. 19. - 19 - 개인신용정보의 수집 신용정보(○ 법 제 조 제 항 시행15 2 ) <2015. 9. 12. > 해당 신용정보주체의 동의0. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한1. 경우 은행법 제 조의 에 따른 불공정영업행위 금지에 관한 사항을 준수ex) 52 2 하기 위해 연락처 계좌번호 등 개인정보를 수집하는 경우, 신용정보주체와의 금융거래 등 상거래계약의 체결 및 이행을 위하여 불2. 가피하게 필요한 경우 계좌이체거래를 위해서 수신자의 계좌번호를 수집하는 경우 보험계ex) , 약체결을 위하여 고객의 성명 연락처 등 개인정보를 수집하는 경우,
  20. 20. - 20 - 신용정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거3. 나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 신용정 보주체 또는 제 자의 급박한 생명 신체 재산의 이익을 위하여 필요하다3 , , 고 인정되는 경우 신용정보제공 이용자의 정당한 이익을 달성하기 위하여 필요한 경우로서4. · 명백하게 신용정보주체의 권리보다 우선하는 경우 이 경우 신용정보제. 공 이용자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하· 지 아니하는 경우에 한정한다.
  21. 21. - 21 - 개인신용정보 수집시 유의사항○ 수집금지 사유 신용정보법 제 조 제 항- ( 16 1 ) 국가의 안보 및 기밀에 관한 정보1. 기업의 영업비밀 또는 독창적인 연구개발 정보2. 3. 개인의 정치적 사상 종교적 신념 그 밖에 신용정보와 관계없는 사생, , 활에 관한 정보 확실하지 아니한 개인신용정보4. 다른 법률에 따라 수집이 금지된 정보5. 직업 등을 수집하면서 정당인 종교인임을 알게 되거나 세금우대통장,※ ㆍ 개설을 통해 장애인 고엽제 피해자 민주화운동 부상자 등임을 알5/18ㆍ ㆍ 게 되는 등 간접적으로 사생활 정보를 알게 된 경우까지 포함하지 않음
  22. 22. - 22 - 제 자를 통한 수집 개인정보보호법 제 조3 ( 20 )○ 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에- 는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에 게 알려야 한다. 개인정보의 수집 출처1. 개인정보의 처리 목적2. 제 조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실3. 37 수집 동의 면제 조항인가ex) ?
  23. 23. - 23 - 개인 신용 정보의 이용( ) 이용○ 개인정보처리자가 바뀌지 않은 경우: 예 한 회사의 다른 부서끼리 개인정보를 건네는 경우) 제공○ 개인정보처리자가 바뀌는 경우 받는 자의 처리 목적을 위하여 건네: , 는 경우 공유는 지속적인 제공으로 취급( ) 예 다른 회사의 마케팅 목적으로 그 회사에 건네는 경우) 위탁〇 개인정보처리자가 바뀌는 경우 주는 자의 처리 목적을 위하여 건네: , 는 경우 예 우리 회사의 마케팅 목적으로 타 회사에 건네는 경우)
  24. 24. - 24 - 목적 내 이용과 목적 외 이용○ 수집 목적을 고려하여 결정- 목적 외 이용 금지 목적제한성- ⇒
  25. 25. - 25 - 목적제한성○ 목적 범위 내의 처리이면 아무런 조치 취하지 않아도 됨- 목적 범위 외의 처리이면 별도의 동의를 얻어야 함- 목적 범위 내의 처리라도 중요한 처리이면 고지 등을 하여야 함- 동의 고지 통지 공개, ,※ ㆍ 동의 쌍방 합의- : 고지 통지 일방 특정인- : ,ㆍ 공개 일방 불특정인- : ,
  26. 26. - 26 - 수집 고지 이후 동의( ) 목적 외 제공 별도의 동의( ) 목적 내 제공 조치 불요( ) 목적 외 이용 별도의 동의( ) 목적 내 중요 이용‘ ’ 위탁은공개 영업양도는고지( , ) 목적 내 단순 이용‘ ’ 조치 불요( ) 제공 고지 이후 동의( ) 이용
  27. 27. - 27 - 개인신용정보의 목적외 이용 신용정보법 제 조 시행( 33 ) <9. 12. >○ 개인이 제 조제 항 각 호의 방식으로 이 조 각 호 외의 부분 본문에서1. 32 1 정한 목적 외의 다른 목적에의 이용에 동의한 경우 개인이 직접 제공한 개인신용정보 그 개인과의 상거래에서 생긴 신용정보2. ( 를 포함한다 를) 제공받은 목적으로 이용하는 경우 상품과 서비스를 소개( 하거나 그 구매를 권유할 목적으로 이용하는 경우는 제외한다) 제 조제 항3. 32 4 각 호의 경우 그 밖에 제 호부터 제 호까지의 규정에 준하는 경우로서 대통령령으로4. 1 3 정하는 경우
  28. 28. - 28 - 심사부서에서 수집한 개인신용정보를 마케팅부서에서 이용할 수 있는ex) 가? 심사부서와 마케팅부서는 같은 회사 내의 정보 이전이므로 제 자 제- , 3 공이 아니라 이용에 해당함 만일 심사부서의 수집목적에 마케팅 목적이 없었다면 이는 목적외 이- , 용이므로 신용정보법 제 조에 의하여 판단함33 마케팅 부서가 마케팅 목적으로 개인정보를 활용한다면 이는 신용정- 보법 제 조에 포섭이 되지 않으므로 결국 마케팅 부서는 별도의 동33 , 의를 얻지 못한 한 이용 불가
  29. 29. - 29 - 개인 신용 정보의 제공( ) 개인정보의 목적 범위 내 제공 허용:○ 정보주체의 동의를 얻은 경우 개인정보보호법 제 조 제 항 제 호1. ( 17 1 1 ) 수집 이용 동의와의 관계 수집 이용과는 별개의 동의를 얻어야 함- :ㆍ ㆍ 고지의무 제공받는 자 제공목적 제공항목 보유기간 동의거부권- : , , , , 특정의무 제공받는 자를 특정하여야 함 따라서 마케팅 업체 라고 하- : . ' ' 여 제공받는 자를 특정하지 않은 경우에는 제공이 허용되지 않음 동의 받는 시기 수집과 동시 또는 제공시 중 선택할 수 있음- :
  30. 30. - 30 - 제 조제 항제 호 제 호 및 제 호에 따라 개인정보를 수집한 목적 범위2. 15 1 2 · 3 5 에서 개인정보를 제공하는 경우 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피○ 한 경우 제 호( 2 ) 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한〇 경우 제 호( 3 ) 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거〇 나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제 자의 급박한 생명 신체 재산의 이익을 위하여 필요하3 , , 다고 인정되는 경우 제 호( 5 )
  31. 31. - 31 - 개인정보의 목적 범위 외 제공 원칙적으로 불허 다음은 허용: ,○ 정보주체로부터1. 별도의 동의를 받은 경우 조 항 호(18 2 1 ) 고지의무 제공받는 자 제공목적 제공항목 보유기간 동의거부권- : , , , , 특정의무 제공받는 자를 특정하여야 함- : 다른 법률에 특별한 규정이 있는 경우 호2. (2 ) 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나3. 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제 자의 급박한 생명 신체 재산의 이익을 위하여 필요하다고 인3 , , 정되는 경우 호(3 )
  32. 32. - 32 - 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을4. 알아볼 수 없는 형태로 개인정보를 제공하는 경우 호(4 ) 개인정보를 목적 외의 용도로 이용하거나 이를 제 자에게 제공하지 아니5. 3 하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호 위원회의 심의 의결· 을 거친 경우 호 공공기관에 한함(5 , ) 조약 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공6. , 하기 위하여 필요한 경우 호 공공기관에 한함(6 , ) 예컨대 와 의 협정- US EU PNR(Passenger Name Record)
  33. 33. - 33 - 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 공공기관에7. ( 한함) 법원의 재판업무 수행을 위하여 필요한 경우 공공기관에 한함8. ( ) 형 및 감호 보호처분의 집행을 위하여 필요한 경우 공공기관에 한9. ( ) , (刑 함)
  34. 34. - 34 - 개인정보의 제공 정리○ 수사 목적 수사기관 원칙적으로 영장 필요1. ( ) : 이용자 개인정보 전기통신사업자는 영장 불요1) : 김연아 유인촌 사건ex) ㆍ 통신사실확인자료 영장 필요2) : 감청 영장 필요3) : 송 수신이 완료된 개인정보 영장 필요4) :ㆍ 카카오톡 사건ex) 다만 공공기관은 영장 불요*
  35. 35. - 35 - 재판 목적 법원 영장 불요2. ( ) : 과세 목적 국세청 세무서 영장 필요3. ( , ) : 네이버와 파워블러거 사건ex)
  36. 36. - 36 - 개인신용정보의 제공 신용정보법 제 조( 32 )○ 사전에 원칙적으로 동의를 얻어야 함 서면 전자문서 녹취 등 다- ( , , PDA, , 만 동의 방식의 특성상 동의 내용을 전부 표시하거나 알리기 어려운 경우 에는 해당 기관의 인터넷 홈페이지 주소나 사업장 전화 번호 등 동의 내 용을 확인할 수 있는 방법을 안내하고 동의를 받을 수 있다) 부터는 서비스 제공을 위하여 필수적 동의사항과 그 밖의2016. 3. 12.※ 선택적 동의사항을 구분하여 설명한 후 각각 동의를 받아야 함
  37. 37. - 37 - 동의를 얻지 않은 경우라도 신용정보법 제 조 제 항에 해당하는 경우는- 32 4 동의 없이 제공 가능 신용정보회사가 다른 신용정보회사 또는 신용정보집중기관과 서로 집1. 중관리 활용하기 위하여 제공하는 경우· 2. 계약의 이행에 필요한 경우로서 제 조제 항에 따라 신용정보의 처리17 2 를 위탁하기 위하여 제공하는 경우 3. 영업양도 분할 합병· · 등의 이유로 권리 의무의 전부 또는 일부를 이전하· 면서 그와 관련된 개인신용정보를 제공하는 경우 금융위의 승인 필요 승인 의무 부터는 현재 거래 중( ). 2016. 3. 12.※ 인 신용정보주체의 개인신용정보와 분리하여 관리하여야 함
  38. 38. - 38 - 채권추심 추심채권을 추심하는 경우만 해당한다 인가 허가의 목적 기4. ( ), · , 업의 신용도 판단 유가증권의 양수 등 대통령령으로 정하는 목적으로, 사용하는 자에게 제공하는 경우 법원의 제출명령 또는 법관이 발부한 영장에 따라 제공하는 경우5. 범죄 때문에 피해자의 생명이나 신체에 심각한 위험 발생이 예상되는6. 등 긴급한 상황에서 제 호에 따른 법관의 영장을 발부받을 시간적 여5 유가 없는 경우로서 검사 또는 사법경찰관의 요구에 따라 제공하는 경 우 이 경우 개인신용정보를 제공받은 검사는 지체 없이 법관에게 영. 장을 청구하여야 하고 사법경찰관은 검사에게 신청하여 검사의 청구, 로 영장을 청구하여야 하며 개인신용정보를 제공받은 때부터 시간, 36 이내에 영장을 발부받지 못하면 지체 없이 제공받은 개인신용정보를
  39. 39. - 39 - 폐기하여야 한다. 7. 조세에 관한 법률에 따른 질문 검사 또는 조사를 위하여 관할 관서의· 장이 서면으로 요구하거나 조세에 관한 법률에 따라 제출의무가 있는 과세자료의 제공을 요구함에 따라 제공하는 경우 국제협약 등에 따라 외국의 금융감독기구에 금융회사가 가지고 있는8. 개인신용정보를 제공하는 경우 그 밖에 다른 법률에 따라 제공하는 경우9. 제공 이후 제공하려는 자 또는 제공받은 자는 반드시 개인신용정보의 제공- 사실 및 이유 등을 해당 신용정보주체에게 알려야 함 통지의무( ) 제공시 개인신용정보를 제공받는 자의 신원 과 이용 목적을 확인하여- ( )身元 야 함 신원확인의무( )
  40. 40. - 40 - 개인신용정보의 제공 정리○ 개인신용정보의 경우- ( ) 법원은 무조건 제공1. 수사기관은 영장이 있어야 제공 다만 긴급한 경우에는 사후영장으로 대2. , 체 가능 세무서 국세청도 제공3. ㆍ 개인정보의 경우- ( ) 법원은 무조건 제공1. 수사기관은 영장이 있어야 제공2. 세무서 국세청은 불가3. ㆍ
  41. 41. - 41 - 개인식별정보의 제공 이용 신용정보법 제 조( 34 )○ ㆍ 신용정보제공 이용자가 개인을 식별하기 위하여 필요로 하는 정보로서 대·① 통령령으로 정하는 정보 이하 개인식별정보 라 한다 를 신용정보회사등( " " ) 에 제공하려는 경우에는 해당 개인의 동의를 받아야 한다. 개인식별정보가 이 법에 따라 개인신용정보를 제공받기 위하여③ 신용정보 주체를 특정할 목적으로 제공 이용되는 경우· 에는 제 항 및 제 항을 적용1 2 하지 아니한다. 개인식별정보가 제 조제 항제 호부터 제 호까지의 규정에 따라 제공32 4 4 9 ·④ 이용되는 경우에는 제 항 및 제 항을 적용하지 아니한다1 2 .
  42. 42. - 42 - 개인정보의 영업양도 등에 의한 이전 통지의무:○ 개인정보처리자는 영업의 전부 또는 일부의 양도 합병 등으로 개인정보를·① 다른 사람에게 이전하는 경우에는 미리 다음 각 호의 사항을 대통령령으로 정하는 방법에 따라 해당 정보주체에게 알려야 한다. 개인정보를 이전하려는 사실1. 개인정보를 이전받는 자의 성명 주소 전화번호 및 그 밖의 연락처2. , , 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차3. 영업양수자등은 개인정보를 이전받았을 때에는② 지체 없이 그 사실을 대 통령령으로 정하는 방법에 따라 정보주체에게 알려야 한다 다만 개인정보. , 처리자가 제 항에 따라 그 이전 사실을 이미 알린 경우에는 그러하지 아니1 하다.
  43. 43. - 43 - 개인 신용 정보의 위탁( ) 개인정보의 위탁 개인정보보호법 제 조( 26 )○ 절차< > 동의 불요 공개로 족함- , 다만 정보통신망법 적용 기업은 동의 필요- 유형< > 처리업무 위탁 개인정보의 수집이나 관리 업무 자체를 위탁하는 경우- : 취급업무 위탁 업무를 위탁하면서 부수적으로 개인정보를 넘기는 경우- : 예 마케팅업무 위탁 계약이행업무 위탁) ,
  44. 44. - 44 - 절차< > 문서화 의무 제 조 제 항 위탁업무 수행 목적 외 개인정보의 처리 금- ( 26 1 ) : 지에 관한 사항 개인정보의 기술적 관리적 보호조치에 관한 사항 그 밖, · , 에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항이 포함되어 야 함 공개의무 원칙 제 항 수탁자 위탁업무 정보통신망법 동의의무- ( 2 ) : , * : 고지의무 예외 제 항 마케팅 목적의 위탁시- ( 3 ) : 수탁자의 교육 의무 위탁자의 관리 감독 의무 제 항- ( 4 )ㆍ ㆍ
  45. 45. - 45 - 금융회사가 호스팅 업체에게 개인정보 관리를 맡긴 경우 이는 위탁ex) DB , 인가 아니면 제 자 제공인가3 ? 위탁 개인정보처리자가 바뀌는 경우 중 주는 자의 처리 목적을 위하여: ,〇 건네는 경우 예 우리 회사의 마케팅 목적으로 타 회사에 건네는 경우) 제공 개인정보처리자가 바뀌는 경우 중 받는 자의 처리 목적을 위하여: ,○ 건네는 경우 예 다른 회사의 마케팅 목적으로 그 회사에 건네는 경우)
  46. 46. - 46 -
  47. 47. - 47 - 개인신용정보의 위탁 신용정보법 제 조( 17 )○ 신용정보 수집 조사 위탁시는 의뢰인의 동의 필요- ㆍ 신용정보 처리 위탁시는 동의 불요하나 아래와 같은 제약이 있음- 자본금 억원 이상인 기업에게 위탁하여야 함1) 1 금융위원회에 처리위탁 사실을 신고하여야 함 계약체결 이후 영업일2) ( 7 이내) 신용정보제공계약에 신용정보 보안관리 대책이 포함되어야 함3) 위탁 업무의 내용 및 수탁자 등을 공시하여야 함4) 식별정보 등에 대한 암호화 조치 의무5) 재위탁 금지 금융위가 인정하는 경우는 재위탁 허용6) ( )
  48. 48. - 48 - 주민번호의 처리 개인정보보호법 제 조의24 2○ 주민번호수집 법정주의- 암호화 의무 부터- (2016. 1. 1. ) 시행령 준비 중※ 별도의 홈페이지 가입 방법 제공- 신용정보법상 개인식별정보○ 개인식별정보 개인의 성명 주소- : , , 주민등록번호 외국인등록번호 국내거, , 소신고번호 여권번호 성별 국적 등 개인을 식별할 수 있는 정보, , ,
  49. 49. - 49 - 개인 신용 정보의 관리( ) 개인정보 안전성 확보를 위한:○ 관리적ㆍ기술적ㆍ물리적 보호조치 개인정보의 안전한 처리를 위한 내부 관리계획의 수립 시행1. · 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치2. 개인정보를 안전하게 저장 전송할 수 있는 암호화 기술의 적용 또는 이에3. · 상응하는 조치 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조 변조4. · 방지를 위한 조치 개인정보에 대한 보안프로그램의 설치 및 갱신5. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치6. 등 물리적 조치
  50. 50. - 50 - 개인정보 내부관리계획:○ 외부에 공개할 필요 없고 내부적으로 사용되는 문서- , 개인정보 보호책임자의 지정에 관한 사항1. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항2. 개인정보의 안전성 확보에 필요한 조치에 관한 사항3. 개인정보취급자에 대한 교육에 관한 사항4. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한5. 사항 년부터 추가(2015 ) 그 밖에 개인정보 보호를 위하여 필요한 사항6.
  51. 51. - 51 - 개인신용정보 신용정보법 제 조 제 조 등( 19 , 20 )○ 신용정보법 개인정보보호법 전자금융거래법에서 규정하는 안전성 확보- , , 조치를 모두 준수하여야 함 신용정보법 신용정보업감독규정- ⇒ 전자금융거래법 전자금융감독규정- ⇒ 개인정보보호법 안전성확보조치기준- ⇒
  52. 52. - 52 - 용어가 다른 경우 각 법률에서 규정하는 안전성 확보 조치 중 제정 취지나:○ 내용이 사실상 일치하는 규정의 경우에는 하나의 법률에서 정하는 사항을 준수하여도 각 법률의 규정을 모두 준수한 것으로 간주될 수 있음 - 내부관리계획과 신용정보관리기준 내부관리규정( ) 신용정보관리기준 내부: ( 관리규정 에는 내부관리계획에 들어가야 할 내용이 모두 포함되어 있어야) 함 - 개인정보보호책임자와 신용정보관리 보호인ㆍ 신용정보관리 보호인은 개: ㆍ 인정보보호책임자의 역할을 겸임 가능함 다만 신용정보관리 보호인은. ㆍ 개인정보보호책임자의 역할을 하여야 함 신용정보관리 보호인은 주기적으로 보고서를 작성하여야 하며 이를,※ ㆍ 대표이사 및 이사회에 보고하고 금융위원회에 제출하여야 한다.
  53. 53. - 53 - 안전성확보조치기준 개정사항 (2014. 12. 30.)○ 홈페이지에서 주민번호 취급하는 경우 연 회 이상 취약점 점검 의무- 1 홈페이지에서 주민번호 처리시 정보주체의 추가정보 확인- 모바일기기에 비밀번호 설정 등 보호조치 의무- 접속기록 반기별 점검 의무- 보조저장장치의 반 출입 통제 정책 수립- ㆍ
  54. 54. - 54 - 개인정보처리방침의 공개 개인정보처리방침 개인정보보호법 제 조( 30 )○ 작성 및 공개 의무- 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약- 의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.
  55. 55. - 55 - 신용정보활용체제 신용정보법 제 조( 31 )○ 신용정보활용체제를 공개하면 개인정보처리방침을 공개할 필요가 없다- , . 다만 개인정보처리방침에 포함될 내용이 전부 신용정보활용체제에 포함되- 어 있어야 한다.
  56. 56. - 56 - 개인 신용 정보의 파기( ) 개인정보의 파기 개인정보보호법 제 조( 21 )○ 보유기간의 경과 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하- , 게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다 일 정도. (5 ) 다만 법령상 보존의무 있는 개인정보는 예외 이 경우 다른 개인정보와 분- . 리 저장하여야 함ㆍ 년 보존의무 있는 개인정보는 언제 파기ex) 5 ?
  57. 57. - 57 - 안전성확보조치기준 제 조 개인정보의 파기 개인정보처리자는 개인정10 ( )○ ① 보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다. 완전파괴 소각 파쇄 등1. ( · ) 전용 소자장비를 이용하여 삭제2. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행3. 개인정보처리자가 개인정보의② 일부만을 파기하는 경우 제 항의 방법으로, 1 파기하는 것이 어려운 때에는 다음 각 호의 조치를 하여야 한다. 전자적 파일 형태인 경우 개인정보를 삭제한 후 복구 및 재생되지 않도록1. : 관리 및 감독 제 호 외의 기록물 인쇄물 서면 그 밖의 기록매체인 경우 해당 부분을2. 1 , , , : 마스킹 천공 등으로 삭제,
  58. 58. - 58 - 개인신용정보의 파기○ 개인정보보호법에 따름-
  59. 59. - 59 - 개인신용정보의 보유기간 신용정보법 제 조의 시행( 20 2) <2016. 3. 12. >○ 신용정보제공 이용자는 금융거래 등·① 상거래관계 고용관계는 제외한다 이( . 하 같다)가 종료된 날부터 금융위원회가 정하여 고시하는 기한까지 해당 신용정보주체의 개인신용정보가 안전하게 보호될 수 있도록 접근권한을 강화하는 등 대통령령으로 정하는 바에 따라 관리하여야 한다. 신용정보제공 이용자는 금융거래 등·② 상거래관계가 종료된 날부터 최장 5 년 이내 해당 기간 이전에 정보 수집 제공 등의 목적이 달성된 경우에는( · 그 목적이 달성된 날부터 개월 이내 에 해당 신용정보주체의 개인신용3 ) 정보를 관리대상에서 삭제하여야 한다 다만 다음 각 호의 경우에는 그. , 러하지 아니하다. 다른 법률에 따른 의무를 이행하기 위하여 불가피한 경우1.
  60. 60. - 60 - 개인의 급박한 생명 신체 재산의 이익을 위하여 필요하다고 인정되는2. · · 경우 그 밖에 예금 보험금의 지급 보험사기자의 재가입 방지를 위한 경우3. · , 등 개인신용정보를 보존할 필요가 있는 경우로서 대통령령으로 정하 는 경우 신용정보제공 이용자가 제 항 단서에 따라 개인신용정보를 삭제하지 아· 2③ 니하고 보존하는 경우에는 현재 거래 중인 신용정보주체의 개인신용정보 와 분리하는 등 대통령령으로 정하는 바에 따라 관리하여야 한다. 신용정보제공 이용자가 제 항에 따라 분리하여 보존하는 개인신용정보를· 3④ 활용하는 경우에는 신용정보주체에게 통지하여야 한다.
  61. 61. - 61 - 개인 신용 정보의 유출( ) 개인정보의 유출통지 개인정보보호법 제 조( 34 )○ 미국 캘리포니아주법에서부터 시작한 제도- (Data security breach notification) - 지체 없이 신고 및 통지 정보통신망법은 시간 내( 24 ) 신고의무 만명 이상의 개인정보가 유출되면 일 이내에 안전행정부나- : 1 5 한국정보화진흥원 한국인터넷진흥원에도 신고하여야 한다 다만 이 경우, . 정보주체에의 개별 통지에 그쳐서는 아니 되고 홈페이지에 유출통지 내용, 개항목 을 일 이상 게시하여야 한다(5 ) 7 .
  62. 62. - 62 - 통지의무 개인정보가 유출된 즉시 정보주체에게 지체 없이 개별적으로- : 통지하여야 하고 이 경우 통지의 방법은 서면 전자우편 팩스 전화 문, , , , , 자전송 등의 방법을 활용할 수 있다 정당한 사유 가 없는 한 일 이내에( 5 통지) 개인정보의 누출 등에 대한 대책을 마련하고 그 피해를 최소화할 수 있는- 조치를 강구하여야 함 불법적인 제 자 제공시 통지의무 존재하는지3 ?※
  63. 63. - 63 - 개인신용정보의 유출통지 신용정보법 제 조의( 39 2)○ 신용정보가 업무 목적 외로 누설되었음을 알게 된 때- , 지체 없이 통지 신ㆍ 고 의무 발생 통지의무는 규모 한정 없이 모두 해당- 신고의무는 대통령령으로 정하는 규모 이상의 신용정보가 누설된 경우에- 해당함
  64. 64. - 64 - 정보주체의 권리 개인정보보호법 제 조35-38○ 개인정보 열람권- 개인정보 정정 삭제권- ㆍ 개인정보 처리정지권-
  65. 65. - 65 - 잊혀질 권리※ 개념< > - Right to be forgotten 년 의 레딩이 제안한 권리- 2012 EU 적법한 게시글에 대하여 삭제를 요청할 수 있는 권리- 취지 정보주체의 개인정보 자기결정권 확대 사회적 갱생- : , 최근 최고재판소에서 잊혀질 권리를 명시적으로 인정함- EU
  66. 66. - 66 - 유럽사법재판소의 마리오 곤잘레스 사건< (2014.5.13.)> 년 스페인의 변호사 곤잘레스는 부채 때문에 생긴부동산압류기사에1) 1998 대한삭제를언론사및구글에요청하였으나거절당하여스페인정보보호청에신 청을함 스페인정보보호청은 구글에 대한 링크 삭제만을 결정하였으나구글은불복2) 하여스페인법원에소송을제기하였으나스페인법원은유럽사법재판소에소송 을넘김 유럽사법재판소는 곤잘레스의 손을 들어 줌3) 이후 구글은 잊혀질권리 을 제공 시작4) ‘ ’ Webform (2014.5.30.)
  67. 67. - 67 - 신용정보법 제 조 제 조35 ~ 39○ 조 신용정보 제공사실의 통보요구 신용정보주체는 신용정보회사등이 본- 35 ( ) 인에 관한 신용정보 이하 본인정보 라 한다 를( " " ) 제공하는 경우에는 대통령 령으로 정하는 바에 따라 제공받은 자 그 이용 목적 제공한 날짜 제공, , , 한 본인정보의 주요 내용 등을 알리도록 요구하거나 인터넷 홈페이지를 통하여 조회할 수 있도록 하여 줄 것을 요구할 수 있다. 제 조 신용정보 이용 및 제공사실의 조회 신용정보회사등은 개인35 ( )※ ① 신용정보를 이용하거나 제공한 경우 대통령령으로 정하는 바에 따라 다음 각 호의 구분에 따른 사항을 신용정보주체가 조회할 수 있도록 하여야 한다 시행. <2016. 3. 12. >
  68. 68. - 68 - 제 조 상거래 거절 근거 신용정보의 고지 등 신용정보제공 이용자가- 36 ( ) ·① 신용조회회사 및 신용정보집중기관으로부터 제공받은 개인신용정보로서 대 통령령으로 정하는 정보에 근거하여 상대방과의 상거래관계 설정을 거절 하거나 중지한 경우에는 해당 신용정보주체의 요구가 있으면 그 거절 또 는 중지의 근거가 된 정보 등 대통령령으로 정하는 사항을 본인에게 고지 하여야 한다. 제 조 개인신용정보 제공 이용 동의 철회권 등 개인인 신용정보주- 37 ( )ㆍ ① 체는 제 조제 항 각 호의 방식으로 동의를 받은 신용정보제공 이용자에32 1 · 게 신용조회회사 또는 신용정보집중기관에 제공하여 개인의 신용도 등을 평가하기 위한 목적 외의 목적으로 행한 개인신용정보 제공 동의를 대통 령령으로 정하는 바에 따라 철회할 수 있다.
  69. 69. - 69 - 제 조 신용정보의 열람 및 정정청구 등 신용정보주체는 신용정보회- 38 ( ) ① 사등에 본인의 신분을 나타내는 증표를 내보이거나 전화 인터넷 홈페이지, 의 이용 등 대통령령으로 정하는 방법으로 본인임을 확인받아 신용정보회 사등이 가지고 있는 본인정보의 제공 또는 열람을 청구할 수 있으며 본인, 정보가 사실과 다른 경우에는 금융위원회가 정하여 고시하는 바에 따라 정정을 청구할 수 있다. 제 조의 신용조회사실의 통지 요청 신용정보주체는 신용조회회사에- 38 2( ) ① 본인의 개인신용정보가 조회되는 사실을 통지하여 줄 것을 요청할 수 있 다 시행. <2016. 3. 12. >
  70. 70. - 70 - 제 조의 개인신용정보의 삭제 요구 신용정보주체는 금융거래 등 상- 38 3( ) ① 거래관계가 종료되고 대통령령으로 정하는 기간이 경과한 경우 신용정보 제공 이용자에게 본인의 개인신용정보의 삭제를 요구할 수 있다 다만 제· . , 조의 제 항 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하20 2 2 다. 제 조 무료 열람권 신용조회회사는 년 이내로서 대통령령으로 정하는- 39 ( ) 1 일정한 기간마다 개인인 신용정보주체가 본인정보를 회 이상 무료로 제1 공받거나 열람할 수 있도록 하여야 한다.
  71. 71. - 71 - 과징금 부과 개인정보보호법 제 조의34 2○ 행정자치부장관은 개인정보처리자가 처리하는- 주민등록번호가 분실 도난· · 유출 위조 변조 또는 훼손된 경우· · 에는 억원 이하의 과징금을 부과 징수할5 · 수 있다 다만 주민등록번호가 분실 도난 유출 위조 변조 또는 훼손되지. , · · · · 아니하도록 개인정보처리자가 제 조제 항에 따른 안전성 확보에 필요한24 3 조치를 다한 경우에는 그러하지 아니하다.
  72. 72. - 72 - 신용정보법 제 조의42 2○ 금융위원회는 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는- 해당 신용정보회사등에게 대통령령으로 정하는 위반행위와 관련한 매출액 의 분의 이하에 해당하는 금액을 과징금으로 부과할 수 있다 다100 3 . 만 제 호에 해당하는 행위가 있는 경우에는, 1 억원 이하의 과징금50 을 부 과할 수 있다. 제 조제 항을 위반하여1. 19 1 개인비밀을 분실 도난 누출 변조 또는 훼손당· · · 한 경우
  73. 73. - 73 - 손해배상 제도 일반 손해배상 신용정보법 제 조 제 항( 43 1 )○ 신용정보회사등과 그 밖의 신용정보 이용자가- 이 법을 위반하여 신용정보 주체에게 피해를 입힌 경우에는 해당 신용정보주체에 대하여 손해배상의 책임을 진다 다만 신용정보회사등과 그 밖의 신용정보 이용자가 고의 또. , 는 과실이 없음을 증명한 경우에는 그러하지 아니하다.
  74. 74. - 74 - 징벌적 손해배상 신용정보법 제 조 제 항( 43 2 )○ 신용정보회사등이나 그 밖의 신용정보 이용자 수탁자를 포함한다 이하 이- ( . 조에서 같다 가 고의 또는 중대한 과실로 이 법을 위반하여 개인신용정보) 가 누설되거나 분실 도난 누출 변조 또는 훼손되어 신용정보주체에게 피해· · · 를 입힌 경우에는 해당 신용정보주체에 대하여 그 손해의 배를 넘지 아3 니하는 범위에서 배상할 책임이 있다 다만 신용정보회사등이나 그 밖의. , 신용정보 이용자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그 러하지 아니하다.
  75. 75. - 75 - 법정 손해배상 신용정보법 제 조의( 43 2)○ ① 신용정보주체는 다음 각 호의 모두에 해당하는 경우에는 대통령령으로 정 하는 기간 내에 신용정보회사등이나 그 밖의 신용정보 이용자 수탁자를 포( 함한다 이하 이 조에서 같다 에게. ) 제 조43 에 따른 손해배상을 청구하는 대 신 만원 이하의 범위에서 상당한 금액300 을 손해액으로 하여 배상을 청구 할 수 있다 이 경우 해당 신용정보회사등이나 그 밖의 신용정보 이용자는. 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. 신용정보회사등이나 그 밖의 신용정보 이용자가1. 고의 또는 과실로 이 법의 규정을 위반한 경우 개인신용정보가2. 분실 도난 누출 변조 또는 훼손· · · 된 경우 ② 법원은 제 항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의1 결과를 고려하여 제 항의 범위에서 상당한 손해액을 인정할 수 있다1 .
  76. 76. - 76 - 손해배상의 보장 신용정보법 제 조의( 43 3)○ 대통령령으로 정하는 신용정보회사등은 제 조에 따른 손해배상책임의 이- 43 행을 위하여 금융위원회가 정하는 기준에 따라 보험 또는 공제에 가입하 거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.
  77. 77. - 77 - 개인영상정보 개인영상정보에 대한 법적 처리○ 의 정의 고정 공개된 장소- CCTV : + 수집목적의 제한- 법령에서 구체적으로 허용하고 있는 경우1. 범죄의 예방 및 수사를 위하여 필요한 경우2. 시설안전 및 화재 예방을 위하여 필요한 경우3. 교통단속을 위하여 필요한 경우4. 교통정보의 수집 분석 및 제공을 위하여 필요한 경우5. · 수집시 동의 대신 안내판으로 갈음함-
  78. 78. - 78 - 의문점○ 구글 글래스는 인가ex) CCTV ? 택시 안의 카메라는 인가ex) CCTV ?
  79. 79. - 79 - 처리 방안○ 피해자에게 제공 불허- : 수사기관에 제공 허용- : 피해자의 열람 허용- : 파기 일 이내- : 30
  80. 80. - 80 - 감사합니다. (oalmephaga@minwho.kr)

×