[260406] 개인정보 관련 개념 이해(입문)_개인정보 보호법의 흐름과 관련 법제

[1] 개인정보 보호법 제.개정

>> 법 제정 배경, 제.개정 연혁, 주요 개정 흐름

[개인정보 보호법 제정 배경]

• 정보사회 고도화▶개인정보 수집.이용의 일상화
• 2000년대 이후 급격한 정보화.온라인화->개인정보 유출.오용.남용 등 침해사례 증가
• 기존 개별법(정보통신망법, 공공기관법 등) 중심 규율의 한계로 보호 사각지대 존재▶기존 개별법에 흩어져 있던 보호규정의 통합 필요

 

개인정보 보호법(2011년 3월 29일 제정, 2011년 9월 30일 시행)

"공공.민간 구분 없는 통합적 개인정보 보호법으로 출범"

 

---

 

[개인정보보호법 제정 목적 및 의의]

국가사회 전반의 개인정보 보호원칙 확립

공공.민간 통합 규율을 통한 국민의 사생활 및 권익 보호

국제수준의 개인정보 보호체계 구축

개인정보처리 전 단계 수집-파기 까지 관리 기준 명문화

사전예방 중심의 개인정보 영향평가.유출통지신고 제도 도입

정보주체 권리 중심의 패러다임 장착

 

---

 

[제.개정 연혁]

1. 개인정보 보호법 제정(11.03)

• 개인정보보호위원회 설치
• 고유식별정보 제한
• 영상정보처리기기 규율
• 개인정보 영향평가제, 유출 통지.신고제 도입
• 분쟁조정위원회, 단체소송제 도입
• 정보주체 권리 보장

(주민번호 전방위 사용으로 대규모 유출사고 많이 발생)

 

2. 1차 개정(13.08)

• 주민등록번호 처리 제한
• 과징금 제도 신설
• 대표자.임원 징계 권고 제도 도입
• 기업의 개인정보 보호 책임성 강화

(14년 초 카드사 개인정보 유출사고 이후 주민번호 평문 저장(암호화 미비) 문제로 2차 피해 확산

 

3. 2차 개정(14.03)

• 주민등록번호 암호화 의무화
• 개인정보 '처리' 정의 강화 (연계.연동 추가)

4. 3차 개정(15.07)

• 개인정보보호위원회 권한 강화(이행점검.자료요구 등)
• 징벌적.법정 손해배상제 도입▶피해구제 강화
• 개인정보 보호 인증제 근거 신설
• 불법유통행위 처벌 강화 및 범죄수익 몰수추징 근거 신설

5. 4차 개정(16.03)

• 정보주체 이외로부터 수집 시 고지 의무 신설
• 민감정보 처리 시 안전조치 의무화
• 고유식별정보 처리 정기적 조사 실시 의무화
• 주민등록번호 수집 근거 한정
• 개인정보처리방침 기재사항 확대
  • 개인정보 보호책임자 정보, 쿠키 수집 거부 방법 등
• 영상정보처리기기 안내판 설치 의무 법제화

(개인정보 수집.이용 동의서 작은 글씨, 어려운 용어 등으로 정보주체가 내용을 이해하기 어렵고, 형식적 동의 관행화)

 

6. 5차 개정(17.04)

• 개인정보 수집.이용 동의서 내용 '명확히 표시' 규정
  • 형식적 동의에서 실질적 동의로
• 명확한 표시 기준 마련(가독성 확보)
• 동의 절차의 실질화(중요정보는 별도 표시.강조 의무)

(기존 규제 중심 법체계의 데이터 활용 제약, 개인정보 감독기능 행정안전부.방송미디어통신위원회.개인정보보호위원회로 분산)

 

7. 6차 개정(20.02)-데이터 활용 기반 정비

• 가명정보 개념 도입 및 처리 근거 마련-데이터 활용의 법적 근거 창출
• 개인정보보호위원회-독립 중앙행정기관 승격(감독기구 일원화)
• 정보통신망법의 개인정보 보호 규정을 개인정보 보호법으로 일원화
• 동의 없는 합리적 이용 허용-데이터 활용 활성화 기반 마련
• 데이터 3법(개인정보 보호법, 정보통신망법, 신용정보법)의 중복 규정 정비

8. 7차 개정(23.03)-정보주체 권리 실질화 및 AI 시대 대응

• 개인정보 이동권 신설(전송요구권)
• 자동화된 결정 대응권 도입(AI 거부.설명요구권)
• 이동형 영상정보처리기기 기준 신설
• 개인정보 예외적 수집 허용 범위 확대
• 개인정보 국외이전 규정 정비(GDPR 수준으로)
• 징벌적 손해배상 강화(손해액의 5배 상향)
• 과징금 산정 합리화(관련 매출만 포함)
• 분쟁조정제도 개선
  • 조정 불응 시 "거부 간주"-"수락 간주"
• 온.오프라인 동일규제 정비(특례 삭제)

9. 8차 개정(25.04)[시행 25.10.02]

• 해외 개인정보처리자의 국내대리인 지정 요건 강화 ▶ 실질적 통제 가능한 법인 지정 의무
• 국내대리인 관리.감독 의무 및 대리인 정보공개(개인정보 처리방침에 포함) 의무 신설
• 위반 시 과태료

 

---

 

[주요 개정 흐름]

2011년 제정 이후 8차례 개정을 거치며 '보호 중심'에서 '활용과 보호의 균형'으로 발전!

 

2011: 기초 법제 정립기

-공공.민간 통합 개인정보 보호 법체계 구축

 

2013-2017: 보호 강화기

-주민등록번호 보호, 기업 책임강화, 영향평가제 등

 

2020: 데이터 활용 기반 정비기

-가명정보 도입 및 감독체계 일원화(개인정보보호위원회 중심) 등

 

2023-2025: 신기술.글로벌 대응기

-이동권.AI 대응권 도입, 해외사업자 책임 강화, 국외이전 규제 정비 등

---

[향후 과제]

디지털 전환 시대에 맞춰 개인정보 보호를 규제에서 신뢰 기반 혁신으로 전환

정보주체 권리의 실질적 강화: 이용자 중심의 데이터 주권 체계 완성

글로벌 협력: EU GDPR 등 국제 기준과의 정합성 확보, 글로벌 데이터 이동.활용 협력체계 강화

신기술 대응 및 거버넌스 고도화: AI, IoT, 클라우드 등 신기술 환경에 적합한 선제적 개인정보 보호체계 구축

 

 

[2] 개인정보 보호법 체계

>> 관련 법제 체계, 개인정보 보호법 구성

 

[개인정보보호법]

규제기관: 개인정보보호위원회

-독립적 집행, 주요사항 심의.의결, 정책, 제도, 법령 개선 및 해석

 

정의: 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인

업무 목적]

-직업상 또는 사회생활상의 지위에 가하여 계속적으로 종사하는 사무나 사업의 일체를 의미하는 것으로

보수유무나 영리 여부와는 관계가 없으며,

단 1회의 행위라도 계속.반복의 의사가 있다면 업무로 볼 수 있음.

 

적용대상: 공공기관, 법인, 단체, 개인

공공기관) 국회, 법원, 헌법재판소, 중앙선거관리위원회, 중앙행정기관, 지방자치단체, 각급 학교 등

 

보호대상: 정보주체란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서의 그 정보의 주체가 되는 사람

 

대상자: 개인정보처리자

---

 

[관련 주요 법 체계]

1단계.

헌법)

• 모든 국민은 존엄 가치, 행복 추구권, 국가는 개인이 가지는 불가침의 기본적 인권을 확인하고 보장
• 모든 국민은 사생활의 비밀과 자유를 침해 받지 않을 권리

2단계

법률)

• 개인정보 보호법: 사회 전반의 개인정보보호 규율
• 정보통신망법, 신용정보법 등: 규율 대상자 특정하여 개인정보보호 규율

5단계

행정규칙) 개인정보의 안전성 확보조치 기준, 표준 개인정보 보호 지침 등

• 법률,시행령에 규정된 개인정보 보호 관련 구체적 기준 및 가이드

 

[개인정보 보호법/정보통신망법/신용정보법]-특별법 우선 원칙 적용

개인정보 보호법-(일반법)

• 공공기관+민간기업 모두 포함 대상
• 개인정보 보호의 기본 원칙과 공통 기준을 규정

정보통신망법-(특별법)

• 정보통신서비스 제공자 등 온라인 사업자 대상
• 과거에는 개인정보 보호법보다 우선 적용되던 특례법적 성격이었으나, 2020년 이후 대부분의 개인정보 조항이 개인정보 보호법으로 이관.통합됨

신용정보법-(특별법)

• 신용정보회사.금융기관 등 금융부문 개인정보 처리자
• 금융거래 및 신용평가 등 특수한 개인정보(신용ㅇ정보)에 관한 별도 규율

---

[개인정보 보호법 조항 구성]

제1장-2장| 개인정보보호 기본 원칙 및 정책 체계-법 목적.정의.기본원칙 등

제3장-4장| 개인정보 처리 기준 및 안전조치-수집.이용.제공.관리.파기 등

제5장| 정보주체 권리 보장-열람.정정.삭제.처리정지 등

제7장-8장| 침해분쟁 조정 및 구제절차-행정적.사법적, 개별적.집단적 권리구제

제9장-10장| 감독, 벌칙 등-보호위원회 권고, 과징금, 양벌규정 등

 

제1장 총칙: (3)개인정보 보호 원칙, (4)정보주체의 권리

제2장 개인정보 보호정책의 수립: (7)개인정보 보호위원회

제3장 개인정보의 처리:

• 제1절. 개인정보의 수집.이용.제공 등
  • 수집.이용/ 제공/ 통지/ 파기/ 아동
• 제2절. 개인정보 처리 제한
  • 민간정보
  • 고유식별정보, 주민등록번호
  • 고정형/이동형 영상정보처리기
  • 업무위탁
  • 영업양도
• 제3절. 가명정보의 처리에 관한 특례
  • 가명정보
• 제4절. 개인정보의 국외 이전
  • 국외 이전

제4장 개인정보의 안전한 관리:

• 안전조치의무
• 개인정보 처리방침
• 개인정보 보호책임자
• 국내대리인
• 개인정보 보호 인증
• 개인정보 영향 평가
• 유출 통지.신고

제5장 정보주체의 권리보장

• 열람
• 전송 요구
• 정정.삭제
• 처리정지
• 자동화된 결정에 대한 정보주체 권리
• 손해배상책임

제7장 개인정보 분쟁조정위원회: 분쟁조정위원회

제8장 개인정보 단체소송: 단체소송

 

---

[개인정보의 안전성 확보조치 기준]

2023년 개정을 통해 기존 개인정보처리자와 정보통신서비스 제공자로 이원화 되어있던 안전조치 고시를 통합하고 공공시스템 운영기관의 안전조치를 강화함

[특례규정_정보통신서비스 제공자 대상] 개인정보의 기술적.관리적 보호조치 기준(폐지)

-[일반규정] 개인정보의 안전성 확보조치 기준(통합)

 

규제기관: 개인정보보호위원회

대상자: 개인정보처리자

목적

-개인정보가 분실.도난.유출.위조.변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적.관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.

 

(처벌규정)

• 안전성 확보에 필요한 조치를 하지 않은 자: 3천만원 이하 과태료
• 개인정보처리자가 처리하는 개인정보가 분실.도난.유출.위조.변조.훼손된 경우: 위반행위와 관련한 매출액의 100분의 3이하 과징금

(다만, 개인정보가 분실.도난.유출.위조.변조.훼손되지 아니하도록 개인정보처리자가 제29조에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다)

 

 

문제 1

다음 중 개인정보 보호법 제정 배경으로 옳지 않은 것은?

A. 정보화로 인해 개인정보 수집·이용이 일상화됨
B. 개인정보 유출 및 오용 사례가 감소함
C. 기존 개별법 중심 규율의 한계 존재
D. 공공·민간 통합 규율 필요성 증가

정답: B

 

(풀이)

 

• 2000년대 이후 정보화로 인해 개인정보 유출·오용·남용 사례는 증가함
• 따라서 “감소했다”는 B는 틀린 보기
• 나머지는 모두 제정 배경에 해당

 

문제 2

다음 중 2020년 6차 개정 내용으로 가장 적절한 것은?

A. 주민등록번호 암호화 의무화
B. 개인정보 이동권(전송요구권) 도입
C. 가명정보 개념 도입 및 처리 근거 마련
D. 징벌적 손해배상 5배 상향

정답: C

 

(풀이)

 

• A → 2014년 개정
• B → 2023년 개정
• C → 2020년 개정 핵심 (데이터 3법)
• D → 2023년 개정

문제 3

개인정보 보호법 제정의 목적 및 의의를 3가지 이상 서술하시오.

 

• 공공·민간 통합 개인정보 보호체계 구축
• 국민의 사생활 및 권익 보호
• 국제 수준의 개인정보 보호체계 마련
• 개인정보 처리 전 과정(수집~파기) 관리 기준 명문화
• 사전 예방 중심 제도 도입(영향평가, 유출통지 등)
• 정보주체 권리 중심 패러다임 확립

키워드: 통합 규율 / 권리 보호 / 국제 기준 / 전 과정 관리 / 사전 예방

 

문제 4

개인정보 보호법의 주요 개정 흐름을 시기별로 구분하여 서술하시오.

 

 

• 2011년: 기초 법제 정립기 (통합 법체계 구축)
• 2013~2017년: 보호 강화기 (주민등록번호 보호, 기업 책임 강화 등)
• 2020년: 데이터 활용 기반 정비기 (가명정보 도입, 감독기구 일원화)
• 2023~2025년: 신기술 및 글로벌 대응기 (이동권, AI 대응권, 국외이전 규정 정비)

핵심 흐름:
“보호 중심 → 활용과 보호의 균형 → AI·글로벌 대응”

 

문제 5

개인정보 보호법과 정보통신망법, 신용정보법의 관계를 설명하시오.

 

• 개인정보 보호법은 일반법으로 모든 개인정보 처리자를 대상으로 적용됨
• 정보통신망법과 신용정보법은 특정 분야를 규율하는 특별법임
• 특별법 우선 원칙이 적용됨
• 2020년 이후 정보통신망법의 개인정보 규정은 대부분 개인정보 보호법으로 통합됨

핵심 구조:

• 개인정보 보호법 = 기본 틀(일반법)
• 정보통신망법·신용정보법 = 분야별 특수 규율(특별법)