-
개인정보 보호법
: 개인정보 보호에 관해 규정한 일반법으로, 개인정보의 유출, 오용, 남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고 개인과 존엄의 가치를 구현하기 위하여 개인정보의 처리에 관한 사항을 규정하고 있습니다.
국가법령정보 - 개인정보 보호법
구성 : 조(제1조) > 항(①) > 호(1) > 목(가)
주로 참조되는 3장 15조부터 시작
3장 제1절: 개인 수집의 수집 및 이용
제15조: 당사자의 동의와 특별법에 의해 수집될 수 있다.
1항. 개인이 동의하거나, 법률(타법, 망법, 전자 통신법 등)에 의한 특별한 규정이 있을 때
2항. 개인정보 수집에 대한 동의 내용( 수집 목적, 이용기간, 동의 거부에 대한 불이익 등)
제16조 1항: 개인정보는 최소한으로 수집한다. 입증책임은 개인정보 처리자가 부담한다.
제21조: 개인정보가 불필요하게 되었을 때 지체 없이 파기한다. 여기서 '지체 없이'는 '표준 개인정보 보호지침'에서 5일 이내로 기간이 명시된다.
제22조: 동의는 명시적(수집정보 하나하나 분명히 밝혀서), 별도(추가되는 정보 요청은 별도로 요청)로 받아야 한다.
3장 제2절 : 개인정보 처리의 제한
제24조 1항: 정보주체에게 고유 식별정보들(이름, 운전면허번호, 생년월일 등)에 대한 동의는 개별적으로 받아야 한다.
제24조 2항: 주민등록번호는 법률에 의해 통과되지 않는 이상 수집될 수 없다.
제25조 : 아무나 CCTV를 설치할 수 없다. 녹음도 불가하며 법령에 의해 정해진 곳이 아니면 설치가 불허된다.
제26조: 업무*위탁에 대한 개인정보 처리 제한
: 표준화된 계약서 양식(온라인 존재)을 사용하고, 수탁자에 대한 충분한 교육을 제공한다. 정보주체가 수탁자를 언제든지 확인할 수 있도록 공개되어야 한다.
제27조: 영업양도에 따른 개인정보 이전 시, 이전 사실과 양도 사실에 대해 정보주체에게 반드시 통지하여야 한다.
제28조: 개인정보취급자에 대하여 정기적으로 연 1회 필요한 교육을 실시하여야 한다. (전자금융감독 규정에 직급별 교육시간 명시)
4장 개인정보의 안전한 관리
제30조:개인정보 처리 방침의 수립 [최근 업데이트]
: 개인정보 처리 방침이 변경될 경우 정보주체가 쉽게 확인할 수 있도록 공개해야 한다.
제31조: 개인정보보호 보호책임자를 지정하고 공개해야 한다.
제34조: 개인정보 유출 통지에 대한 주체는 개인정보 처리자이다.
개인정보 처리자가 1건이라도 유출되었으면 알게 되었을 때 5일 이내(표준 개인정보 보호지침)에 정보주체에 다음 각 호를 알려줘야 한다. => 유출 항목, 경위, 대응 조치, 담당부서 연락처 등
제39조: 개인정보 유출 통지에 대한 신고 특례
정보통신서비스 제공자의 경우 1건이라도 유출을 알게 된 때 전문기관(KISA)에 경과 24시간 이내에 통지 및 신고를 해야 한다.
제5장 정보주체의 권리보장: EU의 **GDPR내용 반영 항목
제35조: 정보주체의 열람을 요구받았을 때 대통령령으로 정하는 기간(10일)에 따라 알려주거나 사유를 말해줘야 한다.
제39조: 손해배상 관련. 2항에는 300만 원 이하의 손해배상 청구권 명시되어 있다.
GDPR
: 2018년 5월 25일부터 시행되고 있는 EU(유럽연합)의 개인정보보호 법령으로 위반 시 과징금 등 행정처분이 부과될 수 있으며, EU 내 사업장이 없더라도 EU를 대상으로 사업을 하는 경우 적용대상이 될 수 있어 우리 기업의 주의가 필요함.
출처 : https://gdpr.kisa.or.kr/gdpr/static/whatIsGdpr.do
도움을 주신 분 : https://cloudinfosec.tistory.com/
감사합니다.
'Security' 카테고리의 다른 글
WIPS (0) 2022.07.25 File Download Bypass - 파일 다운로드 우회 (0) 2022.07.25 Digital Forensic 2 - 디지털 포렌식 2 (0) 2022.05.23 Digital Forensic - 디지털 포렌식 (0) 2022.05.20 Forensic - 포렌식 (2) 2022.05.19