CPPG10. 개인정보의 중요성

1. 정보화 사회 개인정보 침해

• 개인정보 침해 배경
  • Digital: 정보의 수집, 유통 지워짐
  • Risk: 사생활 침해의 위험성 증가
  • Technology: 기술 발전, 개인정보 침해 방법
  • Indifferent: 개인정보 수집과 침해에 대한 문제의식 부족
• 정보사회 개인정보 침해
  • 개인정보 노출, 개인정보 미파기, 위치정보 노출, 개인정보 탈취, 개인정보 도용

2. 개인정보 침해 유형

• 정보 주체가 자신의 저옵의 사회적 가치에 대한 인식을 제대로 가지지 못해 개인정보 자기 결정권을 행사하지 못하고 있고, 사업자의 사회적 책임이 부족하고 관련 법률에 대한 인식이 저조
• 주민등록번호 수집이 관행화
• 개인정보보호 실천의지 부족으로 고충을 외면하거나 방치하는 경우
• 마케팅을 위한 불필요한 개인정보를 추가로 수집
• 개인정보처리자의 기술적, 관리적 보호 시급
• 개인정보 침해 원인 및 이슈
  • 유출, 침해의 초 대량화
  • 개인정보 취급분야 확대
  • 새로운 기술의 발달
  • 정보주체의 인식 변화
• 스팸
  • 정보통신망을 통해 수신자의 명시적인 사전 동의 없이 일방적으로 전송되는 영리 목적의 광고성 정보
• 불법스팸
  • [정보통신망 이용촉진 및 정보보호 등에 관한 법률] 제50조부터 제50조의 8의 규정을 위반하여 전송 또는 게시되는 영리 목적의 광고성 정보로 불법스팸은 형사 처벌 및 과태료 부과의 대상이 됨
• 스팸의 문제점 및 정부대책
  • 정보화 사회로 광고성 정보 전송 비용 저렴
  • 수신자가 수신을 원하지 않음에도 불구하고 전송자가 무작위로 전송
  • 이용자는 불필요한 정보를 확인, 삭제, 거부하기 위하여 시간을 낭비
    • 스팸 전송을 차단하기 위하여 많은 정책을 만들고 법을 집행
    • 광고성 정보는 전송단계에서 대응하는 것이 효과적
• 개인정보 행위별 침해 유형
  • 부적절한 접근과 수집: 해킹, 동의받지 않은 수집, 과도한 수집 등
  • 부적절한 모니터링: 고지하지 않은 CCTV 촬영, 쿠키 무단 수집
  • 부적절한 분석: 고지하지 않은 사적인 분석, 동의받지 않은 분석
  • 부적절한 이전: 고객에게 알리지 않고 타기업에 개인정보를 넘기는 행위
  • 원하지 않은 영업 행위: 스팸메일, 정크메일, 영리목적의 광고성 정보 전송
  • 부적절한 저장: 불안전한 개인정보 저장
• 개인정보 생명주기별 침해 유형
  • 수집
    • 이용자의 동의 없는 개인정보 수집, 과도한/민감한 개인정보 수집, 관행적인 주민등록번호 수지
    • 법적대리인의 동의 없이 아동의 개인정보 수집
    • 해킹 등 불법 수단에 의한 개인정보 수집
    • 기망 등 사기적 수단에 의한 개인정보 수집
  • 저장
    • 개인정보의 기술적, 관리적 조치 미비로 인한 개인정보 유출
    • 외부인의 불법적인 접근에 의한 개인정보 유출 및 훼손
    • 사업자의 인식 부족, 과실 등으로 인한 개인정보의 공유
  • 이용 및 제공
    • 고시, 명시한 범위를 벗어난 개인정보의 목적 외 이용
    • 정보 주체의 동의 없는 제삼자 제공, 공유 (계열사, 자회사, 패밀리 사이트 등)
      • 개인정보 매매
      • 개인정보의 이용 동의 철회 및 회원 가입 탈퇴 불응)
  • 파기
    • 정당한 이유 없이 수집 목적 달성 후 미파기
• 개인정보 유출로 인한 2차 침해 유형
  • 명의 도용: 회원가입, 자격도용, 오프라인 서비스 명의 도용
    • 다수 사이트에서 도용된 개인정보로 회원가입 가능
  • 불법 유통 유포: 개인정보 불법 유통(영업, 스팸, TM에 활용), 인터넷 유포
    • 영업점, 스팸발송업자, TM업자에게 판매하여 이용 가능
  • 스팸 피싱: 불법 스팸, 보이스 피싱
    • 불법 스팸, TM발송, 기관 사칭 전화 사기
  • 금전적 이익 수취: 신분증 위조, 금융 범죄
    • 전문가 위주 기술 필요, 추가 인증 시 도용 곤란
  • 사생활 침해: 사생활 정보 유출
    • 개인 SNS 비공개 내용 유출 가능

3. 개인정보 유노 출

• 개인정보 유출은 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 경우 (고의, 부주의 기인)
• 개인정보 노출은 유출의 한 부분으로 홈페이지 이용자가 해킹 등 특별한 방법을 사용하지 않고, 인터넷을 이용하면서 타인의 개인정보를 취득할 수 있도록 인터넷상에서 관련 정보가 방치, 주로 홈페이지 관리자의 부주의
  
  • 개인정보 노출
    • 법적 책임: 형사처벌 대상 아님
    • 주체: 내부자, 외부자, 내부자 및 외부자
    • 사례:
      • 개인정보가 포함된 게시물이 누구든지 알아볼 수 있는 상태로 등록된 경우
      • 이용자 문의 댓글에 개인정보가 공개되어 노출이 된 경우
      • 개인정보가 포함된 첨부파일을 홈페이지 상에 개시한 경우
    • 대응방안:
      • 신속히 노출 페이지 삭제 또는 비공개 처리
      • 검색엔진에 노출된 개인정보 삭제 요청 및 로봇 배제 규칙 적용 외부 검색엔진의 접근 차단
      • 시스템 계정, 로그 등을 점검 후 분석 결과에 따른 접속 경로 차단, 제삼자 접근 여부 파악
      • 재발방지를 위해 서버, PC 등 정보처리 시스템의 백신을 최신으로 업데이트 후 디렉터리 점검
  • 개인정보 유출
    • 형사처별 대상(고의, 과실)
    • 주제: 내부자
    • 사례
      • 개인정보가 저장된 DB 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
      • 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일, 문서, 저장매체 등이 잘못된 ㄱㅇ우
      • 개인정보가 포함된 서면, 이동식 저장 장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
    • 대응방안
      • 유출된 정보주체에게 지체 없이 통지 (72시간 이내)
      • 피해 최소화를 위한 대책 마련 및 필요한 조치 실시
        • 1. 1천 명 이상의 정보주체에 관한 개인정보가 유출등이 된 경우
        • 2. 민감정보 또는 고유식별정보가 유출된 경우
        • 3. 개인정보처리시스템 또는 개인정보 취급자가 개인정보처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 유출된 경우
        • 개인정보보호위원회 또는 한국인터넷 진흥원에 신고하고, 정보주체 통지를 위해 개인정보 유출 사실을 홈페이지에 30일 이상 게재
    • 개인정보 피해구제 제도
      • 개인정보침해 신고상담
        • 제도개선권고, 행정처분의 로, 수사의뢰 (개인정보보호법 제62조 근거)
        • 개인정보침해신고센터 이용
      • 개인정보분쟁조정
        • 제도개선권고, 손해배상권고 (개인정보보호법 제43조 근거)
        • 개인정보분쟁조정위원회 이용
      • 민사소송
        • 손해배상 청구 (개인정보보호법 제39조 근거)