「개인정보 단체소송규칙」 제정(2011. 9.28, 대법원규칙 제2358호)

「개인정보 보호위원회 규정」 제정(2011. 9.29, 대통령령 제23174호)

「법원 개인정보 보호에 관한 규칙」 제정(2011.10.26, 대법원규칙 제2360호)

「헌법재판소 개인정보 보호규칙」 제정(2012. 7.13, 헌법재판소규칙 제298호)

「선거관리위원회 개인정보 보호에 관한 규칙」 제정(2012.10.30, 선거관리위원회규칙 제384호)

「개인정보 보호법」에서 개인정보란 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보를 말한다. 이러한 개인정보는 컴퓨터 파일 등의 형태로 처리·보관되는 경우가 많기 때문에 한꺼번에 대량의 개인정보 유출이 가능하고, 일단 개인정보가 유출되면 여러 사람에게 다발적으로 전파·확산되어 한 사람의 피해는 작은 반면 한번에 수십만, 수백만명에게 피해가 발생하게 되는 특성을 갖고 있다.

정보보호 수준의 각국 비교는 세계경제포럼(WEF, World Economic Forum)의 네트워크 준비 지수 중 ‘인터넷 보안서버 보급률’이 유일한 지표이다. 이에 따르면 우리나라의 2008년도 국가간 정보보호 수준 비교에서 51위(아이슬란드, 미국, 캐나다, 오스트레일리아, 뉴질랜드, 룩셈부르크, 스위스, 영국, 덴마크, 아일랜드가 1～10위, 일본은 18위)를 차지하고 있어 개선이 시급한 실정이었다.

「개인정보 보호법」은 기존에 개인정보 보호와 관련하여 공공부문은 「공공기관의 개인정보보호에 관한 법률」, 민간부문은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「통신비밀보호법」, 「신용정보의 이용 및 보호에 관한 법률」 등 개별법을 통해 영역별로 규제되던 것을 2011년에 공공·민간부문을 통합하여 개인정보 보호를 위한 기본법으로 제정되었다.

「개인정보 보호법」은 ①수집제한의 원칙(Collection Limitation Principle, 필요 최소한으로 수집), ②정보품질 확보의 원칙(Data Quality Principle, 정확한 개인정보의 유지 관리), ③목적 명시의 원칙(Purpose Specification Principle, 수집 및 이용목적 명시), ④이용제한의 원칙(Use Limitation Principle, 수집 및 이용목적 이외의 사용제한), ⑤안전성 확보의 원칙(Security Safeguards Principle, 개인정보 보호조치 확보), ⑥공개의 원칙(Openness Principle, 개인정보 보호방침 공개), ⑦개인참여의 원칙(Individual Participation Principle, 개인이 직접 정정, 동의 철회, 불만처리, 분쟁조정 요구), ⑧책임의 원칙(Accountability Principle, 개인정보 관리책임자를 지정하여 관리) 등 국제적으로 정립된 OECD 개인정보보호 8원칙(OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)을 충실히 반영하였다. 아울러 개인정보 피해가 발생한 경우에는 개인이 소송을 통해 피해를 구제받는 것이 현실적으로 곤란한 측면이 있기 때문에 일정한 요건을 갖춘 소비자단체 또는 비영리단체가 피해자를 대표하여 권리침해 행위의 금지·중지를 구할 수 있는 단체소송제도를 도입하였다.

「개인정보 보호법」은 개인정보의 보호범위, 추진체계, 보호기준, 처리제한, 영향평가, 유출사실 신고, 피해구제제도 등 개인정보 처리원칙과 개인정보에 대한 권리와 이익의 보장에 필요한 사항을 규정하고 있다.

(가) 개인정보 보호의 범위

업무상 개인정보를 처리하는 자는 모두 「개인정보 보호법」에 따른 개인정보 보호규정을 준수하도록 규정하고, 전자적으로 처리되는 개인정보 외에 수기(手記) 문서까지 개인정보 보호범위에 포함하여 기존 개인정보 보호 관련 개별법의 적용을 받지 않던 사각지대를 해소하였다.

(나) 개인정보 보호위원회

대통령 소속으로 개인정보 보호위원회를 설치하여 개인정보 보호 기본계획과 시행계획, 법령 및 제도개선 등 개인정보에 관한 주요 사항을 심의하도록 규정하였다. 2012년 1월에 제1차 개인정보 보호 기본계획(2012～2014), 2013년 12월에 제2차 개인정보 보호 기본계획(2015～2017)이 수립되었다.

(다) 개인정보의 단계별 보호기준

개인정보를 수집, 이용, 제3자에게 제공하는 경우에는 정보주체의 동의를 얻도록 하고, 개인정보의 수집·이용목적 달성으로 불필요하게 된 때에는 지체없이 개인정보를 파기하는 등 개인정보의 수집, 이용, 제공, 파기에 이르는 각 단계별로 개인정보처리자가 준수하여야 할 처리기준을 규정하였다.

(라) 개인정보의 처리제한

사상·신념 등 민감정보의 처리, 법령에 따라 개인을 고유하게 구별하기 위해 부여된 고유식별정보의 처리, 주민등록번호의 처리, 영상정보처리기기의 설치·운영, 업무위탁에 따른 개인정보의 처리, 영업양도에 따른 개인정보의 이전 등에 대한 제한사항을 규정하였다.

(마) 개인정보 영향평가

개인정보 침해로 인한 피해는 원상회복 등 사후 권리구제가 어렵기 때문에 사전 영향평가 실시를 통해 미리 위험요인을 분석하고 이를 제거하여 개인정보의 유출·오용·남용 등의 피해를 예방하기 위해 정보주체의 권리침해 우려가 큰 경우에는 영향평가를 의무적으로 실시하도록 규정하였다.

(바) 개인정보 유출사실의 통지·신고

개인정보 유출로 인한 피해 확산을 방지하고 신속한 조치를 통한 정보주체의 권리 구제를 위해 개인정보처리자가 개인정보 유출 사실을 알았을 경우 지체없이 정보주체에게 관련 사실을 통지하고, 일정규모 이상의 개인정보가 유출되었을 경우에는 전문기관에 신고하여 피해를 최소화하는데 필요한 조치를 취하도록 규정하였다.

(사) 개인정보 피해 구제

개인정보 분쟁조정위원회, 집단분쟁조정제도, 단체소송제도, 개인정보 침해신고센터 설치·운영 등 개인정보 피해를 입은 경우 이를 구제받을 수 있도록 여러 가지 피해구제제도를 도입하였다.

아울러 「국가정보화 기본법」을 통해 국가와 지방자치단체의 국가정보화 추진 과정에서도 정보화의 역기능을 방지하고 인간의 존엄과 가치를 보장하기 위하여 개인정보 보호 대책을 마련하도록 규정하였다.

「개인정보 보호법」의 하위 법령으로는 「개인정보 단체소송규칙」 「개인정보 보호위원회 규정」 「법원 개인정보 보호에 관한 규칙」 「선거관리위원회 개인정보 보호에 관한 규칙」 「헌법재판소 개인정보 보호규칙」등이 있으며, 관계 법령으로는 「공공기관의 정보공개에 관한 법률」 「교육관련기관의 정보공개에 관한 특례법」 「금융실명거래 및 비밀보장에 관한 법률」 「DNA신원확인정보의 이용 및 보호에 관한 법률」 「위치정보의 보호 및 이용 등에 관한 법률」 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 「통신비밀보호법」 「특정 금융거래정보의 보고 및 이용 등에 관한 법률」등이 있다.

《개인정보 단체소송규칙》 (2011. 9.28, 대법원규칙 제2358호)

《개인정보 보호위원회 규정》 제정(2011. 9.29, 대통령령 제23174호)

《법원 개인정보 보호에 관한 규칙》 제정(2011.10.26, 대법원규칙 제2360호)

《헌법재판소 개인정보 보호규칙》 제정(2012. 7.13, 헌법재판소규칙 제298호)

《선거관리위원회 개인정보 보호에 관한 규칙》 제정(2012.10.30, 선거관리위원회규칙 제384호)

《국가정보화 기본법》 전부개정(2009. 5.22, 법률 제9705호)

《제1차 개인정보 보호 기본계획(2012～2014)》 안전행정부, 2012

《제2차 개인정보 보호 기본계획(2015～2017)》 안전행정부, 2013

《표준 개인정보 보호지침》 행정안전부, 2011

개인정보 보호위원회 홈페이지

개인정보보호 종합지원 포털 홈페이지

한국정보화진흥원 홈페이지

《Guidelines on the Protection of Privacy and Transborder Flows of Personal Data》 OECD, 1980