수달정보보호

개인정보위, 개인정보 처리방침 작성지침 개정본 공개

개인정보보호위원회에서 4월 21일(월) 개인정보 처리방침 작성지침 개정본을 공개하였다. 이번 작성지침 개정본은 2025년 처리방침 평가 시행을 앞두고, 개인정보처리자가 실효성 있는 처리방침을 수립할 수 있도록 지원하기 위해 마련됐다. 개정의 주요 내용은 다음과 같다. ① ’24년 9월 개편된 개인정보 동의제도와 관련하여, 정보주체의 동의없이 처리 가능한 개인정보 항목과 동의가 필요한 항목을 처리방침에 다양한 예시와 함께 구체화하였다.* 예시 1. '회원서비스 운영', '판매 상품에 대한 A/S(에이에스) 상담' 등 계약의 체결·이행에 관한 사항은 동의 없이 처리* 예시 2. '민감정보', '고유식별정보', '개인정보의 제3자 제공'의 경우, 계약의 체결·이행이더라도 동의를 받은 경우에만 처리 가능 ..

작년에도 4월에 했으니, 올해도 4월에 할 것 같았고, 올해도 나를 참여시킬 것이 뻔히 보였다. 그래서 미리 준비를 해둔 게 있다. 아무래도 미리 준비하기에 가장 적합한 것은 교육적인 부분이었다. 정보보호 전문서비스 기업에 등재된 전문인력의 경우, 최근 1년 동안 20시간 이상의 정보보호 및 정보통신의 교육을 수료해야 한다. 컨설팅의 경우 보통 연초에는 사업이 끝나고 비수기를 맞이하면서 인원들이 많이 모이게 되는데, 나도 1월에 철수하고 나서 인원들을 많이 만나 최대한 교육에 대한 가스라이팅 아닌 가스라이팅을.. 했다. 이사님들에게도.. 했다. 본사에서 인증심사를 준비하는 것이 벌써 3번째인데, 아마 꽤나 많은 동료들은 이 인증심사를 준비하는 것을 싫어할 것이다. 그런데 나는 이게 썩 싫지는 않다. 물론..

인공지능을 발전할 때는 방대한 데이터 처리를 기초로 하고 있어 기존의 개인정보 보호원칙과 상당한 충돌이 있음. 또한, 목적제한의 원칙에 따라 인공지능의 발전 방향성이 문제가 되고 있음.  인공지능 개발·운영 단계별 개인정보 보호 고려사항 중 공개된 개인정보 처리의 법적 근거에 대한 문제가 있음. 공개된 개인정보를 처리할 수 있는 근거는 무엇일까? 로앤비 판결,2014다25080에 따르면, 학습데이터의 처리와 관련하여 공개된 정보의 인공지능 개발 목적의 수집은 특별한 사정이 없는 한, 정보주체의 '동의가 있었다고 객관적으로 인정되는 범위 내'의 개인정보 처리로 인정된다고 해석하기 어렵다고 보았다. 판례에서 정보주체의 명시적 동의가 없는 경우, 객관적 동의 의사가 추단되는 범위 내에서 일반적 이익형량 기준을..

2022년 이태원 할로윈 사망 사고 당시, 사망자들의 신상 정보를 특정 단체에서 발표하여 문제가 불거진 적이 있다. 그리고 경찰은 해당 단체가 유족의 동의 없이 사망자의 정보를 공개했다는 이유로, 개인정보보호법 위반으로 검찰에 송치했다. 개인정보는 '살아있는' 개인에 대한 정보이기에, 경찰은 유족에 관한 정보를 알 수 있다는 것을 내용으로 하였는데, 아직 결과는 나오지 않았다. 그리고 이 사건이 꽤나 오래되었으나, 아직까지도 결론은 나지 않았다. 이 사건에서 공개된 것은 '이름'인데, 사망자의 이름만으로 유족의 정보를 알 수 있을까? 그런데 사실 '이름'만 공개된 것은 아니라고 볼 수있다. 국민 다수는 이 사건에 대해 인지하고 있으며, 따라서 표면적으로 공개된 것은 '이름' 뿐이지만, 우리는 사망자의 사..

가장 개인정보처리방침을 잘 작성한 곳은 어딜까? 보통 그런 물음을 던지면 네이버, 쿠팡, 넷마블 등등의 답변이 현업 종사자들의 입에서 나오곤 한다. 그런데 설령 그렇다 하더라도, 개인정보처리방침을 평가하고, 컨설팅을 하는 곳은 분명 어떤 '기준'을 제시하는 곳일 테다. 최근들어 개인정보처리방침을 적정성, 가독성, 접근성 면에서 평가하는 평가제가 등장하면서, 이제는 단순히 법적인 내용이나 가이드라인만을 따질 것이 아니게 되었기 때문이다.  개보위의 개인정보처리방침을 누르면 가장 먼저 소개되는 것은 우측 상단의 요약본이다. 요약본을 클릭한 결과, 총 3페이지로 구성된 자료를 다운받을 수 있었다. 그리고 거기에는 크게 4가지의 항목에 대한 소개가 있었다. 1. 수집 및 목적'최소한의 수집'과 '목적 외 이용 ..

개인정보보호위원회는 개인정보 보호법을 위반한 ㈜우리카드에 134억 5,100만 원의 과징금 부과와 더불어 시정명령·공표명령을 의결하였다. 개인정보위는 24년 4월 ㈜우리카드의 신고와 함께 (주)우리카드 가맹점 대표자의 개인정보가 카드 신규 모집에 이용된다는 언론보도 등에 따라 조사에 착수하였고, 조사 결과 ㈜우리카드가 가맹점주의 개인정보를 동의 없이 신규 카드발급 마케팅에 활용한 행위와 영업센터 직원이이를 카드 모집인에게 전달한 사실을 확인하였다. ㈜우리카드 인천영업센터는 신규 카드발급 마케팅을 통한 영업실적 증대를위해 22년 7월부터 24년 4월까지 카드가맹점의 사업자등록번호를 가맹점관리 프로그램에 입력하여 가맹점주 최소 131,862명의 성명, 주민등록번호, 휴대전화번호, 주소 등 개인정보를 조회하였..

개인정보 손해배상책임보장제도는 그간 분명 유명무실했다고 말할 수 있다. 개인정보 유출 사고 대비 보상 건수만 보더라도 그러하다. 개인정보 손해배상책임 보장제도는 개인정보 유출 피해 발생 시기업의 배상능력이 부족한 경우에도 피해구제가 가능하도록 보험·공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 의무화하는 제도인데, 실제 통계를 따졌을 때 지급이 5%도 안 되었다는 점을 고려한다면 이 제도에는 분명 변화가 필요했다. 그렇다면 왜 그동안은 이 제도가 유명무실했을까? 그동안 개인정보 손해배상책임 보장제도는 매출액이 10억 원 이상이면서 저장·관리하는 정보주체 수가 1만 명 이상인 개인정보처리자를 의무대상으로하였으나, ① 의무대상 파악이 어려웠다. 따라서 개보위는 이번에 칼을 빼들면서 실질적 점검·관리를..

개인정보보호위원회와 한국인터넷진흥원은 2024년에 신고된 개인정보 유출 사고를 분석하여, 원인별 예방책을 담은 「2024년 개인정보 유출 신고 동향 및 예방 방법」을 발간했다.  2024년에 있었던 개인정보 유출 신고는 총 307건으로, 전년도(318건)와 비슷한 양상을 보였다. 굳이 따지자면 오히려 줄어들었다고 할 수 있겠다.전년도 보다 비중이 다소 높아지긴 했는데, 역시나 유출의 가장 큰 원인이 되는 것은 해킹이다. 여기서 원인 미상이라는 것이 대폭 늘어난 게 참 흥미롭다. 원인 미상이라는 것은 사실 어떤 사건이건, 있어서는 안되는 일이다. 원인을 모르면, 또 당한다는 것은 당연하기 때문이다. 그렇다면 왜 원인 미상일까? 원인이라는 것은 가장 단순하게 생각한다면, 로그에서 그 정보를 알아낼 수 있을 ..

특징기존 NIST 지침2025 NIST 지침비밀번호 길이 요구사항최소 8자 최소 12에서 16자복잡성 요구사항필수(대소문자 혼합/특수문자)필수는 아니며, 길이에 초점비밀번호 변경60~90일마다타협안에 한하여 결정비밀번호 힌트 사용허용금지문자 집합 지원제한모든 ASCII 와 유니코드 지원비밀번호 관리자 권장제한강력하게 권장 1. 복잡성이 아닌 길이에 초점이제는 복잡성이 아닌 길이에 초점을 맞춘다. 길이가 늘어났지만, 복잡성에 포커스를 두지 않기 때문에 사용자 입장에서는 오히려 부담이 줄어들었다고 볼 수 있다. 특히, 일부 기업에서는 반드시 대문자를 넣도록 요구하는 경우가 있는데, 이런 것들이 이용자들에게 불편을 줄 수 있기 때문이다. 그리고 이미 많은 이용자들이 특수문자+알파벳+숫자의 조합을 활용한 PW ..

개인정보보호위원회는 국민생활과 밀접한 7개 분야에 대한 24년 개인정보 처리방침 평가 결과를 공개했다. 2024년 평가제 적용대상은 총 7개 분야 49개 기업으로 진행됐다.  이번 평가는 다음과 같은 기준으로 평가되었다.① 적정성: 보호법상 처리방침에 포함해야 할 사항을 적정하게 정하고 있는지 ② 가독성: 처리방침을 알기 쉽게 작성했는지③ 접근성: 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 전문가위원(30명) 평가와 이용자평가단(50명) 평가를 병행해 진행된 이번 평가 결과 대상기업 평균점수는, 100점 만점 기준으로 가독성 69.1점, 접근성 60.8점, 적정성 53.4점 순으로 나타났다. 또한 12개의 해외사업자의경우 개인정보 공유·협력 등 국내법‧정책과 다르게 표현하거나, 번역투 문장..