Transcript Chapter 8

목차
개인정보 개요
개인정보 침해와 유형
개인정보침해 사전대응방안
개인정보침해 사후대응방안
2
개인정보 개요
“식별 또는 식별 가능한 생존하는 개인에 관한 정
보”
개인정보의 성립요건
생존하는 개인 정보
사망하였거나 사망으로 추정 되는
자에 대한 정보는 보호 대상이 아님
사망자와 유족간의 관계를
나타내는 정보는 유족에 대한 식별
가능. 따라서, 개인정보
개인 식별 가능한 정보
다른 정보와 결합하여 개인을
식별할 수 있는 정보도 개인정보임
예) 주소+성명 => ***에 사는 특정인
성명+전자메일=>***가 사용하는
메일 (전자메일 ID는 고유하게
부여)
개인정보 개념 확대
산업사회 : 이름, 주민번호 등 개인식별 정보
정보사회 : 위치정보, 생태정보, RFID, 통신사실확인자료
3
개인정보의 유형
구
분
내
용
일반
일반정보
이름, 주민등록번호,
주소,
전화번호,
생년월일,
이메일주소,
ID/PW, IP주소 등
민감정보
: 정보주체의
기본적 인권을
현저하게
침해할
우려가
있는 정보
정보
 신앙, 인종, 건강상태, 신용정보, 출신지, 본적지, 범죄기록, 병력 등
신체정보 얼굴,지문,홍채,음성,유전자정보,키,몸무게
신체적
 민감정보의 수집은 우선적으로 제한됨
정보
의료/건강 동의나
건강상태,
진료기록,
신체장애,
장애등급 엄격한 관리 필요
 단, 정보주체의
법률에
근거할
경우 수집가능,
정신적
정보
기호/성향
도서, 비디어대여기록, 잡지구독정보,여행 등 활동내역, 물품구매내역 등
신념/사상
종교 및 활동내역, 정당, 노조 가입여부 및 활동내역
재산적
정보
개인/금융
소득정보, 신용카드 번호 및 비밀번호, 통장계좌번호 및 비밀번호, 재산 내역 등
신용정보
개인신용평가정보, 대출 또는 담보설정내역, 신용카드 사용내역
교육정보
학력,성적,출석상황, 상벌기록,생활기록부
법적정보
전과, 범죄기록, 과태료 납부내역
근로정보
직장,고용주,근무처, 상벌기록, 직무평가기록
통신정보
통화내역, 인터넷 웹사이트 접속내역
위치정보
IP주소, 개인위치 정보
병역정보
군번, 계급, 근무부대
사회적
정보
기타
4
개인정보 보호의 중요성
 개인정보의 오남용 및 부적절한 누출은 개인에 대한 편견, 명예훼손,
경제적인 손실, 신용(도덕, 금융 등)의 저하, 범죄에 사용 등을 초래
 개인정보 오남용은 가십과는 비교할 수 없을 만큼 근본적으로 심각하
고 장기간 영향을 미침
 개인정보의 유출은 시장경제에서 주 구성원인 개인과 기업 간의 자율
적경쟁을 방해 (기업이 개인정보를 이용해 시장경쟁에서 개인에 대해
우위 점유하고, 소비자의 자율적인 시장 활동 및 선택의 권리를 제약
가능)
5
OECD의 개인정보 보호 원칙
원칙
내용
수집제한의 원칙
개인정보는 합법적 절차에 의해 수집
목적명시의 원칙
정보수집의 목적이 명확히 제시
정확성 확보의 원칙
이용 목적에 필요한 범위에서 정확
이용제한의 원칙
명시된 목적 외의 다른 용도 사용 불가
안전성 확보의 원칙
각종 위험으로부터 보호
개인참여의 원칙
자기 정보의 소재를 확인할 권리를 가짐
책임의 원칙
개인정보 관리자는 정보 관리의 책임
6
개인정보 침해
개인정보 침해
당해 정보주체와 관련된 정보가 오/남용(도용, 변경, 유출,
훼손 등) 됨으로써 정보 주체의 자기정보통제권이 침해되
는것
개인정보 침해 유형
개인정보생명주기(Lifecycle)별 구분
시대별 구분
7
개인정보 침해 유형
유형 1 : Lifecycle별 구분
수집
저장 및 관리
이용 및 제공
파기
유형 2 : 시대별 구분
2004년 이전
■ 인식 부족
- 수집이용에 대한
명확한 동의없이
개인정보 활용
2005 ~ 2006년
2007년 이후
■ 내부자 고의 등
■ 해킹 등 기술
- 2005년 국내
통신사가 DB판매
- 개인의 의식변화
- 은행 대상 해킹
- 백화점 해킹
8
LifeCycle별 침해 유형
수집
저장 및 관리
동의 없는 개인정보
수집 및 수집 시 고지
사항 불이행
조작내부 취급자에 의한
개인정보의 유출,훼손,
변경 등
동의 및 고지 없는 개인
정보 주체외로부터의
수집
외부인의 불법적 접근에
의한 개인정보 유출 및
훼손, 변경
법정 대리인의 동의없는
개인정보의 수집
사업자의 인식부족, 과실
등으로 인한 개인정보의
공개
서비스 이용과 관련없는
과도한 개인정보의 수집
기술적, 관리적 조치
미비로 인한 개인정보
유출
해킹 등 불법 수단에
의한 개인정보의 수집
개인정보 관련 고객 claim
에 대한 불응 또는 미조치
이용 및 제공
파기
동의 없는 개인정보의
무단 제공 및 공유
수집 및 목적 달성 후
개인 정보의 미파기
당초 수집시에 고지한
이용목적을 넘어서는
개인정보의 이용
개인 정보 삭제 요구의
불응
타인의 개인정보를 무단
으로 이용하는 경우
기망에 의한 개인정보의
수집
9
개인정보침해 사전대응방안
I-PIN
쿠키(cookie)
개인정보 오남용 방지 10계명
PC자동보안 업데이트
SNS와 개인정보보호
CheckPrivacy 활용
10
I-PIN(인터넷개인식별번호)
Internet Personal Identification Number
주민등록번호를 안전하고 유연한 개인식별번호로 대체 이용
I-PIN
도입전
회원 가입
(성명/주민등록번호 제
공)
이용자
공공기관 홈페이지
주민등록번호 저장
(노출 시 변경 불가)
I-PIN
도입후
회원 가입
(I-PIN 아이디/비밀번
호)
이용자
실명확인 요청
실명확인기관
실명확인 결과
실명확인 서비스 이용 시
I-PIN 서비스 요청
I-PIN 센터
공공기관 홈페이지
개인식별번호 제공
개인식별번호 저장
(노출 시 폐기/재발급 가
능)
11
I-PIN과 주민등록번호 실명확인
I-PIN인증
주민번호 실명확인
주민등록번호 저장
웹사이트 저장 안됨
개별 웹사이트 저장
유출 위험
 주민등록번호 외부
노출 가능성 적음
 I-PIN노출시 폐지/
신규 발급 가능
 주민등록번호 외부
노출 가능성 많음
 주민등록번호 노출
시 변경 불가능
웹사이트상 본인
확인시 사용방법
I-PIN 아이디/비밀번호
사용
주민번호 사용
12
쿠키(cookie)

•
•

•
쿠키
1994년 넷스케이프에 의해 사용된 기술
사용자가 인터넷사이트 방문시 발생하는 사용자 관련 정보 파일(4KB)
C:\Document and Settings\사용자이름\Cookies에서 실제 자신이 인터넷을 이용하면서
생성된 쿠키 확인 가능
쿠키 목적
이전 방문한 사이트에 재접속시, 웹사이트는 사용자 컴퓨터에 저장된 쿠키를 통해 사용자
의 여러 개인 정보 수집

프라이버시 침해와 개인정보 유출
•
•
어떤 사이트에 접속하여 어떤 정보에 접속했는지 파악
어떤 상품을 구매했는지 등의 정보 파악
13
CheckPrivacy프로그램
CheckPrivacy 프로그램
웹사이트의 개인정보취급방침을 일일이 찾아서 읽지 않고도 개인정보
취급방침의 핵심적인 내용을 간편하게 확인하거나 웹사이트의 개인정
보보호 수준을 파악할 수 있도록 개발된 프로그램
14
사후방안 : 개인정보침해 신고

개인정보침해신고센터
– 개인정보 침해 관련 사항 상담 등, 동
센터에 침해 신고
– 접수된 사항에 대해 조사 후 처리하여
신고자에게 통보
– 센터에 수집된 정보는 민원처리목적으
로만 사용(3년 후 폐기)
http://privacy.kisa.or.kr/privacy/jsp/counsel_help_1.jsp
15
사후방안 : 개인정보침해분쟁조정

개인정보분쟁조정위원회
개인정보 침해 관련 분쟁 발생시 조정 역할
위원회 조정 성립시 법적 효력 발생
조정안 미수락시 민사 소송 등의 절차 필요

개인정보분쟁조정 절차
신청 사건의 접수 및 통보
사실 확인 및 당사자 의견 청취
조정전 합의 권고
위원회의 조정절차 개시
조정 성립
효력발생
16
부록
17
개인정보 침해건수
(한국인터넷진흥원 개인정보침해신고센터)
18
개인정보침해 상담건수
(한국인터넷진흥원 개인정보침해신고센터)
19
개인정보 침해사례(1)
개인정보 취급자에 의한 개인정보 침해사례
– 사례
A씨는 B기관의 직원 C씨와 음주교통사고 분쟁이 있는
상태에서,
C씨가 작성한 합의서를 확인한 결과 A씨가 제공하지
도 않은 개인
정보(주민등록번호 등)가 기재되어 있을 뿐 아니라, 다
른 가족들에
C씨가 A씨의 개인정보를 업무목적과 무관하게 열람한 사실은 관련 법
대한 정보도 있어 개인정보 침해 신고
률 위반을 하였기 때문에, B기관은 C씨를 징계조치
– 처벌
20
개인정보 침해사례(2)
기술적 관리적 보호조치 미흡으로 인한 개인정보 침해사례
– 사례
A씨는 B대학교에 취업을 위해 이력서를 제출한 적이
있는데, 일부
검색 사이트에서 자신이 제출한 이력서가 검색되는 등
개인정보가 노
출되었다는 것을 알게 되어 개인정보 침해신고
개인정보가 들어있는 문서가 노출되어 인터넷 검색엔진에서 검색
– 처벌
및 다운로드가 가능하도록 방치한 사실은 관련 법률 위반을 하였기
때문에, B대학교는 A씨를 징계조치
21
개인정보 침해사례(3)
개인정보의 보유목적외 이용 및 제공 사례
– 사례
A씨는 기초생활보장수급자인 형과 동일세대의 세대
주로서, B자치신
문사로부터 무료신문을 배송받았는데, 사실확인 결과,
C시청에서 저
소득층 무료구독료 지원사업에 협조하는 차원에서 B
자치신문사에
기초생활보장 수급대상자의 세대주명과 주소정보를
C시청이 ‘저소득층 무료구독려 지원사업’에 협조하는 차
제공
원에서 개인정보를 제공한 행위는 관련 법률 위반
– 처벌
22
개인정보 침해사례(4)
개인정보를 법적 근거없이 제3자에게 제공
– 사례
A씨는 수차례에 걸쳐 B구청에 불법주차 단속을 요청
하는 민원을
제기하였고, 이에 불만을 가진 자로부터 전화를 받았
는데, 사실확인
결과, B구청 담당자 C씨가 D동 통장의 요청에 따라 민
원의 원만한
B구청 관계자가 관할지역 통장의 요청에 따라 신고인의 개인정보를
해결을 위해 A씨의 성명과 연락처를 제공
동의없이 제공한 행위는 법률 위반
– 처벌
23
수집단계의 침해유형
수집단계의 침해 – 개인정보 수집 유형
구분
수집 경로
내용
 서비스 이용계약 체결을 위해 정보주체로부터 직접
수집하는 경우 (웹사이트 회원가입, off-line에서의
회원가입 신청서 작성등
 정보주체 이외로부터 수집하는 경우
(게시판에 공개된 정보의 수집, 명함, 졸업명부,
전화번호 등에서 수집)
 서비스 제공 및 이용 관계에 의한 수집(회원 가입)
 해킹 등 불법 수단에 의하여 수집하는 경우
수집 방법
 Cookie 정보의 수집
 스파이웨어 등 정보의 자동수집
 교통카드, RFID등에 의한 수집
24
수집단계의 침해(1)
수집단계의 침해 침해유형
개인정보 수집시
미고지 (동의 없는
개인정보 수집 포함)
동의 및 고지 없는
개인 정보
주체이외로부터의
수집
법정 대리인의 동의
없는 개인정보의
수집
수집단계 침해 유형별 사례
침해사례
개선방향
인터넷 쇼핑몰 등에서 물품 구매를 위해
회원 가입을 하여 성명, 주민번호, 주소 등
개인정보를 제공하였으나, 제공하는 개인
정보의 수집 및 이용목적, 보유기간,
회원탈퇴 방법 등 관련 사항이 전혀
고지되어 있지 않은 경우
정보통신망법
제22조에 의하여
규제 가능
웹사이트에서의 인물정보 서비스 제공 등을
통하여 개인정보를 수집, TM 등에 활용
또는
법제화 필요
(수집 및 이용시
고지하는 방안 등)
게임웹사이트가 법정대리인(부모)의 동의
없이 아동을 회원가입시켜 당해 아동이
게임, 아이템 등을 결재하여 부모의 인지
없이 많은 요금이 청구되는 사례
정보통신망법
제31조에 의하여
규제 가능
25
수집단계의 침해(2)
수집단계의 침해 침해유형
개인정보 수집시
미고지 (동의 없는
개인정보 수집 포함)
동의 및 고지 없는
개인 정보
주체이외로부터의
수집
기망에 의한
개인정보수집
수집단계 침해 유형별 사례
침해사례
개선방향
인터넷 서비스 회원가입시 직업, 종교,
군복무 경력 등 당해 서비스 이용과 전혀
관계없는 정보를 제공하여야 회원가입이
가능한 사례
정보통신망법
트로이 목마 등 해킹 프로그램을 이용하여
타인의 ID 및 비밀번호를 수집하여 이를
활용하여 타인 명의로 인터넷 회원가입을
하거나, 금융 서비스를 제공받는 등 경제적
이익을 취하는 경우
정보통신망법
제23조에 의하여
규제 가능
제48조, 제49조
및 제50조의 2에
의하여 규제 가능
경품당첨을 가장하여 주민번호 등
개인정보를 입력하도록 한 후 경품제공은
전혀 이루어지지 않는 사기성 개인정보의
수집 사례
26
저장 및 관리단계의 침해
저장 및 관리 단계
유형
저장 유형
관리 유형
내용
 정보를 DB화하여 정보시스템의 서버 및 컴퓨터
하드디스크에 저장 (디지털)
 회원가입신청서 등 문서를 캐비닛, 금고등 특정 장소에
보관 (아날로그)
 정보보호 시스템(방화벽, 암호화 S/W의 활용 등)을 통한
기술적 조치
 개인정보 취급 및 관리에 대한 내부 지침 마련, 취급자에
대한 교육등을 통한 관리적 조치
27
저장 및 관리단계의 침해
저장 및 관리 단계의 침해
침해유형
침해사례
개선방향
사업자의 인식부족,
과실 등으로
개인정보가 공개된
경우
 인터넷 쇼핑목 운영자가 상품의 품직에 대해
이의를 제기한 소비자의 신상정보 및 거래 정보
등을 그대로 게시판에 공개한 사례
성형외과 병원이 고객의 성형수술 전후사진을
웹사이트에 무단 게재한 사례
(병원은 현행 정보통신망법의 적용대상자가 아
니어서 규제 불가)
정보통신망법
제24조에 의하여 규제
가능
법적용대상자확대필
요
기술적 관리적 조치
미비로 인한
개인정보유출
사업자의 업무실수(요금내욕 발송 이메일 리스
트를 한명씩 밀려 입력함으로써 다른 사람에게
요금내역서가 송부됨)로 고객 3천명의 신용카드
번호 및 신상정보 등이 유출된 사건
정보통신망법
제28조에 의하여 규제
가능
개인정보와 관련된
고객 항의 (정정,
열람청구)등에 대한
불응 또는 미조치
인터넷 웹사이트 가입자가 서비스 이용 중단을
위해 회원탈퇴를 하고자 하였으나, 탈퇴 방법이
없거나, 탈퇴방법이 마련되어 있어도 사업자가
이행하지 않음으로써 계속적으로 이용요금이 부
가되거나, 광고성 전자우편이 수신되는 경우
정보통신망법
제30조에 의하여 규제
가능
28
이용 및 제공단계의 침해
이용 및 제공 단계의 침해
침해유형
침해사례
개선방향
타인 개인 정보의
도용 등을 통한 무단
이용
타인의 사진 및 전화번호 등을 무단
게재함으로써 개인의 명예훼손 및 정신적
피해를 발생시키는 경우
정보통신망법
제61조에 의하여
규제 가능
정보주체의 동의
없는 개인정보의
무단 제공 및 공유
인터넷 웹사이트 사업자가 제휴 업체
(보험, 카드사 등) 에 정보 주체의 동의
없이 개인정보를 제공하고 제휴 업체들은
제공 받은 개인정보를 활용하여 TM 등
마케팅을 실시한 사례
정보통신망법
제24조에 의하여
규제 가능
수집 시에 고지한
이용목적을 넘는
개인 정보 이용
이동통신사가 고객의 정보를 활용하여
요청하지 도 않은 유료 부가서비스를
무단으로 가입시킨 사례
정보통신망법
제24조에 의하여
규제 가능
29
파기단계의 침해
파기 단계의 침해
침해유형
침해사례
웹사이트 회원 탈퇴 후에도 지속적으로
광고성 전자우편이 전송되는 경우
수집 및 목적 달성
후에도 개인정보를
파기하지 않는 경우
이동통신사가 자사의 서비스 이용
해지고객의 개인정보를 파기하지
아니하고 보관하는 경우
* 다른 법령 규정 등에 의하여 보관할
피룡서이 있는 경우 미파기 및 지연 가능
개선방향
정보통신망법
제61조에 의하여
규제 가능
정보통신망법
제24조에 의하여
규제 가능
30
PC자동보안 업데이트 프로그램

PC자동보안 업데이트 프로그램
바이러스나 해킹 등에 의해 발생 가능한 개인정보 유출 또는 PC
성능저하 등의 문제 방지 가능

프로그램 사용방법
(1) 웹사이트
(http://www.boho.or.kr/pccheck/pcch_05_01.jsp?page_id=5)
에 접속하여 PC자동보안 업데이트 프로그램 다운
(2) 다운받은 프로그램(PCSmileInstaller.exe)을 실행
(3) 자동으로 설치가 진행되면 종료
(4) 정상적으로 설치되면 윈도우 제어판의 '프로그램추가/제거'에
'PC 자동
보안업데이트'항목이 추가
31
개인정보 오남용방지 10계명
① 회원 가입을 하거나 개인정보를 제공시, 개인정보취급방침 및 약관 확인.
② 회원 가입시, 영문자와 숫자 등으로 8자리 이상으로 설정.
③ 가능한 한, I-PIN 등 활용하고, 꼭 필요하지 않은 개인정보는 미제공.
④ 자신이 가입한 사이트에 서 비밀번호 등 주기적으로 변경.
⑤ 타인이 자신의 명의로 회원가입을 방지할 수 있는 명의도용 확인서비스 이용.
⑥ 자신의 IDᆞ비밀번호 등 개인정보가 공개되지 않도록 주의해서 관리.
⑦ 인터넷에 올리는 데이터에 개인정보가 포함되지 않게 주의.
⑧ 인터넷 금융거래시, 금융 정보 등 암호화후 저장. 공공장소에서 금융거래 피할
것.
⑨ 인터넷에서 아무 자료나 함부로 다운로드 하지 않게 주의.
32
SNS이용자 개인정보보호 수칙
① SNS에 올리는 개인정보는 악용 소지가 있으니 신중히 선택하여 공개
② 가족이나 친구등 타인 정보도 함부로 게시하지 않도록 합시다
③ SNS 이용시, 반드시 공개설정 범위를 직접 확인하고 재설정
④ 신뢰할만한 사람만 친구로 추가하도록 합시다
⑤ SNS에 업로드한 글과 개인정보의 위험성을 항상 기억하도록 합시다
⑥ SNS 이용시, 나의 행동정보가 광고등에 오남용될 가능성이 있으므로
개인정보 활용 동의시 신중을 기하도록 합시다
⑦ 나의 위치정보 및 이동경로가 악용될 수 있으므로 미이용시 서비스 off
⑧ 아동 및 청소년에 대해 지도자는 적극적 관심과 지도를 합시다
⑨ SNS상에서 개인정보를 보호하기 위한 권리를 적극적으로 행사합시다
⑩ SNS이용시 개인정보 오남용되었을 경우,
에 도움 요청
33
SNS 사업자 개인정보보호수칙
① 이용자의 개인정보 제공 및 공개를 최소화
② 이용자의 게시물에 대해 게시기간을 설정할 수 있도록 운영
③ 이용자의 지인의 개인정보 수집시 목적을 밝히고, 해당 이용자의 동의 받을 것
④ Open API를 통한 제3자의 개인정보 불법 수집 및 유출 못하게 관리감독
⑤ SNS를 통한 허위정보 확산 방지 및 이용자와 타인의 명예나 이익 존중케 유도
⑥ 이용자의 행태정보가 오남용되지 않도록 적절한 보호조치를 취한다
⑦ 미성년자의 개인정보 보호를 위한 보호수단을 마련하고 이행
⑧ 이용자의 디지털 유산의 유출 및 확산을 방지할 수 있는 조취를 취한다
⑨ 서비스를 제공하는 현지의 법과 제도 준수
⑩ 건전한 SNS 이용문화 정착을 위해 적극적으로 노력
34
뉴미디어서비스 개인정보보호수칙
서비스 제공자
서비스 이용자
수집
- 방침수립
- 책임자지정
- 수집원칙
-정보제공 최소화
- 보호조치 확인
이용
- 목적내 이용및 제공
- 개인정보 공개 설정
- 보호조치
-공개범위 최소화
- 정기적 업데이트
- 중요 정보의 안전한 관리
- 기능 비활성화
제공
- 개인정보 위탁
- 국외이전
- 양도시 고지의무
- 신중한 정보 공유
파기
- 개인정보 파기
-
정보주체 권
- 유출 신고
리강화
-아동의 개인정보 보호인식 제고
- 권리 보자
- 침해 신고
35