CPPG 개인정보보호의 이해 오답노트

1 개인정보 정의

• 사망했거나 실종선고를 받은 자연인에 관한 정보는 개인정보에 해당하지 않는다.
• 대표자를 포함한 임원진과 업무 담당자의 이름, 자택주소 및 개인연락처, 사진은 업무적으로는 개인정보가 아니나, 사적으로는 개인정보로 취급된다.
• 혈액형, 생년월일은 특정 개인을 식별할 수 있는 개인정보에 해당하지 않는다. 다만 다른 정보와 결합하면 특정 개인을 식별할 수 있는 개인정보가 된다.
• 초고가의 컴퓨터를 이용하여 결합한 개인정보는 개인정보에 해당하지 않는다.
• 거래내역 등 개인의 상거래정보는 개인정보에 해당한다.

2. 개인정보의 권리 중 프라이버시의 범주

• 정보 프라이버시: 정보주체의 자기결정권
  • 컴퓨터 등 전자적 형태로 수집되는 것 제한
• 개인 프라이버시: 우편, 전화대화, 이메일 통신 보호
  • 개인의 신체적, 물리적 존재와 관련된 것 제한 (마약, 유전자)
• 공간 프라이버시: 가정, 직장 등 CCTV 감시, ID체크 침해 방지
  • 다른 개인의 환경에 침입 제한

3. 개인정보

• 개인정보보호는 정보주체의 권리로 프라이버시와 개인정보 자기 결정권으로 구분한다.
• 프라이버시는 소그적 권리로 '혼자 있을 권리'로 볼 수 있다.
• 프라이버시는 다른 사람의 개인정보 접근을 제한하는 선택권과 비밀, 또는 다른 사람에게 어떤 정보를 숨기는 선택권을 보장한다.
• 개인정보의 자기 결정권은 적극적 권리로 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리를 말한다.
• 개인정보 자기결정권은 적극적 권리로 '개인정보를 대상으로 한 조사, 수집, 보관, 처리, 이용 등의 행위에 대한 선택을 할 수 있는 권리'이다.
• 개인정보보호 법제에서 프라이버시 보호와 개인정보 자기결정권은 핵심이며, 미국과 EU 유럽 회원국 모두 이를 지향한다. 다만, 미국은 자율규제 중심 유럽은 정부규제 중심이다.

4. 개인정보보호와 관련된 정보

• 가명정보는 추가정보의 사용, 결함 없이는 특정 개인을 알아볼 수 없는 정보이다.
• 가명정보는 개인정보에 해당하고, 익명정보는 개인정보에 해당하지 않는다.
• 익명정보는 특정 개인을 알아볼 수 없는 정보로 자유롭게 제한 없이 사용 가능
• 추가정보는 개인정보의 전부 또는 일부를 대체하는데 이용된 수단이나 방식으로 매핑테이블이나 알고리즘 등을 의미
• 결합정보는 합법적으로 접근하여 그 지배력을 확보할 수 있는 두 개 이상의 정보를 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보로 기술 수준, 시간, 비용, 노력이 합리적으로 산정되어야 한다.
• 개인영상정보란 영상정보처리기기에 의하여 촬영, 처리되는 영상정보 중 개인의 초상, 행동 등과 관련된 영상으로서 해당 개인을 식별할 수 있는 정보이다.

5. 개인정보의 가치산정법 CVM

• CVM은 설문조사에 기초한 가치 산정방식이다.
• WTP는 소비자가 해당 재화의 대가로 지불할 의사가 있는 최대액이다.
• 지불의사액은 피조사자들의 답변 간 평균치를 산정해서 도출한다.
• CVM은 비사장 자원의 가치를 산정하는데 활용되는 경제학적 방식이다.
• 손해배상액은 개인정보가 유출된 상황을 가정하고 상황별 유출 가능한 개인정보 항목을 식별한 후 항목 별 중요도 및 개수 매트릭스 화하여 예상 손해배상액의 총합을 산정한다.

6. EU-GDPR의 DPO 지정 의무

• EU를 대상으로 비즈니스를 진행하지 않으면 DPO 임명 의무가 없다.
• EU를 대상으로 비즈니스를 하고 기업의 핵심활동이 대규모의 개인정보를 정기적이고 체계적으로 모니터링하는 처리활동을 포함하면 DPO 임명의무가 있다.
• EU를 대상으로 비즈니스를 하고 기업의 핵심활동이 민감정보 및 범죄 경력에 관련된 대규모의 처리활동을 포함하면 DPO 임명의무가 있다.
• EU-GDPR은 공동 DPO를 지정할 수 있다.
• DPO는 컨트롤러 또는 컨트롤러의 직원이거나 (내부 DPO), 개인 또는 조직이 서비스 계약에 근거하여 (외부 DPO) 직무를 이행할 수 있다.

7. EU-GDPR의 적용대상

• EU 내에 사업장을 운영하여, 개인정보를 처리하는 자
• EU 내에서 EU 거주자에게 재화나 서비스를 제공하는 자
• EU 외에서 EU 거주자의 EU 내 행동을 모니터링하는 자
• EU 내에서 EU 거주자의 EU 내 행동을 모니터링하는 자

8. EU-GDPR에 따른 개인정보 역외이전이 가능한 경우

• EU 외 개인정보 역외 이전 (EEA내, 적정성 결정, 보호 조치, 예외 인정에 부합하여야 이전이 가능)
• EEA 내 지역으로 이전
• EEA 외 지역이나 적정성 결정을 받은 국가로의 이전
• EEA 외 지역에서 적절한 보호조치가 적용되는 지역으로 이전
• 특정 상황에 대한 명시적 동의, 계약 이행이 인정되는 경우

9. EU-GDPR에 따른 개인정보 보호 관련 용어 설명

• 개인정보는 이름, 식별번호, 위치정보, 온라인 식별자 등의 식별자를 참조하거나, 하나 또는 그 이상의 신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성에 대한 사항들을 참조하여 식별할 수 있는 사람을 뜻한다.
• 컨트롤러는 개인정보의 처리 목적 및 수단을 단독 또는 제삼자와 공동으로 결정하는 자연인, 법인, 공공 기관, 에이전시, 기타 단체를 의미한다.
• 프로세서는 컨트롤러의 개인정보를 처리하는 자연인, 법인, 공공 기관, 에이전시, 기타 단체 등을 의미한다.
• 수령인은 제삼자인지 여부와 관계없이 개인정보가 공개되는 자연인이나 법인, 공공당국, 기관 또는 단체를 의미
• 가명화는 추가적인 정보의 사용 없이 더 이상 특정 정보주체를 식별할 수 없는 방식이다.

10. GDPR의 민감정보 및 범죄정보 처리

• 생체정보도 민감정보에 포함되나 모든 생체정보가 민감정보에 포함되는 것은 아니고 정보주체를 식별할 목적으로 이용되는 생체정보 (지문, 홍채, 성문, 안면윤곽 등)만 민감정보로 보호받는다.
• 민감정보는 정보주체에 대한 불법적인 차별을 목적으로 이용되는 등 정보주체의 기본적 권리와 자유에 보다 중요한 위협을 초래할 수 있다.
• 국경을 넘은 심각한 보건 위협으로부터 보호 또는 의료 혜택 및 약품이나 높은 수준의 의료 장비 확보 등 공중보건 영역에서 공익을 위하여 필요한 경우 민감정보 처리가 가능하다.
• 범죄정보는 GDPR의 제10조에 의해서 별도로 보호를 받고 있기 때문에 제9조의 민감정보 처리에 관한 규정은 적용되지 않는다.
• 정보주체의 명시적 동의를 획득한 경우 처리가 가능하나, 다만 동의에 근거하는 것이 EU 또는 회원국 법률에 의해 금지되는 경우는 제외한다.