[보안] 개인정보 처리 원칙과 개인정보 자기결정권

 개인정보보호법에 따른 개인정보 처리 원칙과 개인정보 자기결정권에 대해 알아봅니다. (출처: 개인정보보호위원회)

 

[ Contents ]

 

 

1. 개인정보 처리 원칙

- 목적 명확화 원칙
- 최소 수집 원칙
- 목적 외 이용금지 원칙
- 정확성·최신성 원칙
- 안전성 확보 원칙: 관리적, 기술적, 물리적 보호조치

 개인정보 처리자는 위와 같은 원칙을 준수해야 합니다.

 목적이 명확해야하고 최소 범위에서만 수집하며, 수집한 개인정보는 목적 외 이용되어서는 안 됩니다. 또한 개인정보의 정확성 및 최신성을 보장해야 합니다. 비밀번호 변경 외에도 가끔씩 신상정보 갱신을 요구할 때가 있는데, 해당 경우가 정확성 및 최신성을 보장하는 방식 중 하나입니다.

 또한 안전성을 위한 관리적, 기술적, 물리적 보호조치가 동반되어야 합니다. 그렇기에 예전 공공기관은 무조건 내부에 서버와 DB를 보유했으나, 지금은 클라우드 환경도 점차 허용되고 있죠. 공공기관 입장에서는 보안과 책임도 외부 업체에 전가할 수 있으니, 매력적인 선택지가 될 수 있겠네요. (물론 관리 감독 책임은 피할 수 없습니다.)

 

 

- 투명성 원칙: 개인정보 처리방침 공개, 열람청구권
- 사생활 침해 최소화 원칙
- 가명·익명 처리 원칙
- 책임 준수 원칙

 투명성을 위한 개인정보 처리방침을 공개하고 열람 청구권을 보장해야 합니다. 요즘은 이메일로 회원약관 변경이나, 정기 알림이 자주 오죠. 이것도 개인정보 보호법의 일환이라고 보시면 되겠습니다

 개인정보 처리자는 정보 주체의 사생활 침해는 최소화하고, 가명 및 익명 처리하며 항상 책임을 준수해야 합니다.

 

 

 

2. 개인정보 자기결정권

- 정보를 제공받을 권리
- 동의 선택 및 거부권
- 열람 및 사본 요구권
- 정정·삭제 요구권
- 처리정지 요구권
- 신속·공정한 피해 구제를 받을 권리

 다음은 정보주체의 '개인정보 자기결정권'입니다.

 자신의 개인정보에 대해, 정보 주체는 열람 및 사본을 요구할 수 있으며 정정 및 삭제도 가능합니다. 물론 정보를 삭제하거나 동의 거부를 한다면 서비스 이용에 제약은 있을 수 있습니다.

 (개인정보보호 위원회에서는 서비스와 밀접한 관련이 없는 정보 제공 동의 거부로 서비스 이용에 제약을 주는 경우를 금하고 있습니다. 하지만 대부분 서비스와 관련이 있는 정보이므로, 마케팅 목적 외에는 정보 주체가 거부할 경우 서비스 이용이 어려울 수 있습니다.)