개인정보보호법

개인정보보호법

개인정보의 처리 및 보호에 관한 일반법 (2011년 제정, 2020년/2023년 개정)

목적: 개인정보 자기결정권 보장, 정보주체 권리 보호, 개인정보 처리 기준

특징: 일반법 지위, 개인정보보호위원회 관장, 민간+공공 적용

주요 조항별 내용

• •제15조(수집·이용): 동의 또는 법률 근거/계약 이행/정당한 이익 시 수집 가능, 목적 범위 내 이용, 2023년 개정으로 '정당한 이익' 근거 추가
• •제17조(제3자 제공): 정보주체 동의 필요, 제공받는 자/목적/항목/보유기간/거부권 고지, 법률 근거 시 동의 없이 제공 가능
• •제18조(목적 외 이용·제공): 원칙적 금지, 예외: 정보주체 동의, 다른 법률 특별 규정, 범죄 수사, 급박한 생명·신체 보호
• •제23조(민감정보): 사상·신념·노동조합가입·건강·성생활·유전자·범죄경력·생체인식정보, 별도 동의 또는 법령 근거 필요
• •제24조(고유식별정보): 주민등록번호·여권번호·운전면허번호·외국인등록번호, 별도 동의 또는 법령 근거 필요, 주민번호는 원칙적 수집 금지(제24조의2)
• •제28조의2~7(가명정보): 통계작성/과학적연구/공익적기록보존 목적 시 동의 없이 처리 가능, 결합전문기관을 통한 결합, 재식별 금지 의무
• •제29조(안전성 확보조치): 접근통제(권한관리/접근IP제한), 암호화(비밀번호/고유식별정보/바이오), 접속기록 보관(최소 1년), 물리적 안전조치
• •제33조(개인정보 영향평가, PIA): 공공기관 5만 명 이상 민감정보/고유식별정보 처리 시 의무, 위험요인 분석 및 개선
• •제34조(유출 통지): 1,000명 이상 유출 시 72시간 이내 정보주체 통지 + 개인정보위 신고, 유출 항목/시점/대응조치 포함
• •제35~37조(정보주체 권리): 열람권(제35조), 정정·삭제권(제36조), 처리정지권(제37조), 10일 이내 조치
• •제39조의15(과징금): 2023년 개정으로 전체 매출액 3% 이하(금액 상한 폐지), GDPR 수준으로 강화
• •제28조의8(자동화된 의사결정): 2023년 신설, 정보주체가 자동화된 결정에 대해 거부·설명 요구 가능

처리 원칙: 목적 명확화, 최소 수집, 목적 외 이용 금지, 정확성, 안전성, 투명성

민감정보: 사상·신념, 건강, 유전자, 범죄경력 등 별도 동의 필요

고유식별정보: 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호

2023년 주요 개정 사항

• •과징금 상한 폐지(매출 3%), 징벌적 손해배상 도입
• •자동화된 의사결정 거부권 신설
• •정당한 이익 처리 근거 추가(제15조)
• •아동 개인정보 보호 강화(보호자 동의 14세 미만)
• •개인정보 전송요구권 도입
• •국외 이전 규정 정비(적정성 결정, 표준계약)

적용사례: 개인정보 처리, 마케팅, 빅데이터 분석, 공공서비스

비교: 개인정보보호법(일반법) vs 정보통신망법(온라인) vs 신용정보법(금융)

연관: GDPR, 데이터3법, ISMS-P, 가명정보