개인정보보호관리체계 _1. 개인정보 이해
1-1. 개인정보와 관련 법률 용어
개인정보 정의
- 살아있는 개인에 관한 정보
- 개인을 알아볼 수 있는 정보 (직접식별정보)
- 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 (간접식별정보)
- 원래의 상태로 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보 (가명정보)
살아있는
- 법적으로 사망한 것으로 간주되는 자는 보호 대상 x
- 사망자의 정보가 사망자와 유족의 관계를 나타내는 정보라면 사망자의 정보이면서 동시에 유족의 정보가 되므로 보호 대상 o
개인에 관한
- 개인정보의 주체는 자연인. 법인 및 단체는 포함 x
- 대표자를 포함한 임원진, 업무 담당자 등은 법인의 정보이면서 개인의 정보이므로 개인을 식별할 수 있는 정보로 해석 가능
- 사물에 관한 정보는 포함 x (사물등의 제조, 소유자 정보는 개인정보 o = 특정 소유자를 인식하는 데 이용된다면 개인정보)
- 반드시 특정 1인에 대한 정보만은 x
- 직간접적으로 2인 이상에 관한 정보는 각각의 개인정보에 해당
정보의 내용과 형태 제한 x
- 형태, 처리 방식과 관계 없이 모두 개인정보
- 객관적 사실, 주관적 평가 모두 포함
- 부정확하거나 허위인 정보라도 특정인에 관한 정보면 개인정보가 될 수 있음
개인을 알아볼 수 있는 정보
- 처리하는 자 입장에서 합리적인 수단을 이용해 개인을 알아볼 수 있다면 개인정보
- 특정 개인을 알아볼 수 없도록 통계적으로 변환한 정보는 포함 x
다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보
- 특정 정보 자체만으로 개인을 알아볼 수는 없지만 다른 정보와 쉽게 결합해서 알아볼 수 있으면 개인정보 (혈액형과 주소, 생년월일과 이름 등)
- 이 때 결합할 다른 정보는 해당 정보 외 다른 모든 정보로 개인정보처리자가 보관하고 있거나 합리적으로 입수 가능한 정보를 포함
- 쉽게 결합한다는 것은 결합 대상이 될 정보의 입수 가능성이 있고, 결합 가능성이 높아야함
추가 정보 사용 , 결합 없이는 특정 개인을 알아볼 수 없는 정보
- 특정 개인을 알아볼 수 있는 원래 상태로 복원하기 위해 추가 정보의 사용 결합이 필요한 정보
- 가명처리 : 개인정보를 가명화하기 위해 사용할 수 있는 모든 비식별 기법, 추가정보 없이는 개인을 알아볼 수 없도록 처리
- 가명정보 포함. 추가 정보 사용 결합 없이는 식별 불가능하기 때문
- 가명처리 결과 해당 정보만으로 특정 개인을 알아볼 수 없어야 제대로 된 가명처리가 된 것
개인정보 이해관계자
1. 정보 주체
- 처리되는 정보에 의해 알아볼 수 있는 사람
- 살아있는 사람. 법인x 단체x
- 처리되는 정보의 주체가 되는 사람
- 신분 국적 등과 무관하게 정보 주체가 될 수 있고, 누구든 개인정보보호법상 정보 주체가 됨
2. 개인정보처리자
구성 요건 4가지
- 업무 목적 개인정보 처리
- 개인정보파일 운용을 위한 것 (쉽게 개인정보를 검색할 수 있도록 규칙에 따라 체계적 배열, 구성한 집합물)
- 스스로 또는 타인을 통해 개인정보 처리 (스스로 , 타인을 통해 처리 모두 가능)
- 공공기관, 법인, 단체, 개인 모두 포함. (개인정보 대상자와 달리 처리자는 단체도 포함)
3. 개인정보취급자
- 개인정보처리자의 지휘 감독을 받아 개인정보를 처리하는 자
- 개인정보에 접근하여 처리하는 모든 자, 직접적 업무 담당자를 포함
개인정보 유형
- 제공정보 : 정보 주체가 직접 제공한 정보
- 생성정보 : 개인정보처리자가 서비스를 제공하는 과정에서 생성, 결합되는 정보 주체 관련 정보
(그 자체로서 보다는 이용자가 제공한 제공정보와 결합하여 개인식별 가능한 경우에 개인정보로 인정)
개인정보의 가치
- 개인은 개인정보 공급자, 기업과 공공기관은 개인정보 수요자로 각각의 입장에서 사적, 상업적, 공적 가치를 지니고 있으며 가치 극대화를 추구하지만 각 가치는 trade - off 관계로 동시 실현이 힘들어 양자가 서로 상충하는 관계
- 기업의 상업적 가치 극대화 추구는 개인의 사적 가치 및 공공기관의 공적 가치를 침해할 수 있으니 개인정보보호 수준을 측정하고 가치 평가가 높을 수록 더 높력해야 함
개인정보 가치 산정 방법
- 개인정보 가치의 편향성 : 정보주체는 과평가(내 정보 너무 소중해), 개인정보처리자는 저평가(이정도 피해는 괜찮)하는 경향.
(정보주체인 개인정보 소유자는 유출피해에 따라 보상을 원하며, 개인정보를 이용하는 사업자인 개인정보처리자는 유출 피해에 따라 보상해주어야 하므로 저평가하는 경향이 있는 것임. -> 객관적으로 증명된 가치 산정 방식에 기초해야.)
- 설문조사를 통해 획득한 가치로 개인정보의 가치 대략 산정
-- CVM : 가상가치산정법 , 비시장자원에 대한 가치 측정을 위한 것임. 조사자에 의한 편의가 발생.
-- 델파이기법 : 전문가 패널에 의존하여 질문자와 전문가의 상호작용을 통해 가치를 예측함. 대략적인 정보 산정만 가능함. 전문가의 의견은 일바인의 의견과 가치를 충분히 반영하지 못하기도.
- 손해배상액 계산법
-- 손 손해배상액 계산법 : 손해배상 소송판결을 참고해 개인정보 항목과 배상액을 기초로 개인정보 가치 역산정
'[ Computer Security ] > PIMS' 카테고리의 다른 글
| [PIMS 개인정보보호관리체계] 2-3. 미국과 EU의 개인정보 정리 (2) | 2023.10.17 |
|---|---|
| [PIMS 개인정보보호관리체계] 2-2. 유럽의 개인정보(2) (0) | 2023.10.17 |
| [PIMS 개인정보보호관리체계] 2-2. 유럽의 개인정보 (1) (0) | 2023.10.17 |
| [PIMS 개인정보보호관리체계] 2-1. 미국의 개인정보 (2) | 2023.10.17 |
| [PIMS 개인정보보호관리체계] 1-4. 개인정보 이해 정리 (1) | 2023.10.16 |
| [PIMS 개인정보보호관리체계] 1-3. 개인정보 보호의 컴플라이언스 (0) | 2023.10.12 |
| [PIMS 개인정보보호관리체계] 1-2. 개인정보 보호 (0) | 2023.10.12 |
