홈페이지를 개발하는 경우 개발자들은 서비스 개발에만 치중하여 개인정보보호 관련 조치 사항은 누락하고 개발하는 경우가 많습니다.
홈페이지 개발자 또는 운영자가 개발자에게 홈페이지 개발 의뢰 시 개인정보보호 사항을 놓치지 않고 의뢰할 수 있도록 개발자/운영자 입자에서 서술한 개인정보보호 가이드를 알려드립니다.
첫번째로 개인정보 생명 주기에 따른 보호조치에 대해 알아보도록 하겠습니다.
<참고로 여기에 작성된 자료는 한국인터넷진흥원에서 발간된 자료를 기초로 하였고, 일부 제 의견도 포함되어 있습니다.>
<기존에 작성된 자료를 웹에 옮기다 보니 일부 내용이 깔끔하게 보이지 않을 수도 있습니다.>
제 1 절 개인정보 생명 주기에 따른 보호방침
1. 개인정보 생명 주기
개인정보의 흐름은 개인정보의 수집․관리․이용․파기의 순서로 정의될 수 있으며 이를 개인정보의 생명주기라고 한다.
이용장의 개인정보를 취급하는 사업자들의 개인정보 처리 과정은 그림 3-1과 같이 크게 4가지 단계로 구분되어 진다.
(그림 3-1) 개인정보의 생명주기별 보호방침
웹사이트를 운영하는 과정에서 지켜야 할 개인정보보호에 관한 세부고려사항들은 개인정보 생명주기에 따라서 그림 3-2와 같이 나타낼 수 있다.
(그림 3-2) 개인정보 취급과정에서의 개인정보보호 고려사항
2. 웹페이지별 개인정보보호 고려사항
개인정보보호와 관련된 웹페이지는 그림 3-3과 같이 분류할 수 있으며 페이지별 필요한 개인정보보호와 관련된 주요항목들은 그림 3-3과 같이 구분할 수 있다.
(그림 3-3) 페이지별 개인정보보호 고려사항
위와 같은 웹페이지별 개인정보보호 고려사항을 웹사이트 설계 및 개발 과정부터 개발자가 개인정보보호의 중요성을 인식하고 개인정보 수집에서 파기까지의 흐름을 명확히 판단한다면 개발 오류로 인한 개인정보 사고를 줄일 수 있다. 또한 개발 이후에 운영상에서 개인정보보호 미흡한 사항을 발견하여 재 수정하는 것보다는 설계 시부터 고려하여 개발하는 것이 추가적인 비용을 절감하는 방법이기도 하다.
3. 정보통신망법 개인정보보호 사항
표 3-1은 웹사이트를 개발하고 운영하는 과정에서 의무적으로 지켜야할 정보통신망 이용촉진 및 정보보호등에 관한 법률에 관한 사항을 정리한 것이다.
[표 3-1] 웹사이트 개발과 운영에 필요한 정보통신망법
주요내용 |
조치사항 |
법률조항 |
개인정보 수집․이용 동의 등 |
개인정보 수집 시 개인정보의 수집․이용목적, 수집하는 개인정보 항목, 개인정보의 보유 및 이용기간을 고지하고 이용자 동의를 획득하도록 규정 |
제22조 |
개인정보 수집의 제한 등 |
개인정보 수집 시 서비스에 필요한 최소한의 정보와 그 외 부가적인 선택정보는 구분하여 수집하도록 조치 |
제23조 |
주민등록번호 외의 회원 가입 방법 제공 |
일정규모의 사업자는 주민등록번호 이오의 회원 가입 방법을 이용자에게 제공하여 회원 가입 방법을 선택할 수 있도록 조치 |
제23조의2 |
개인정보의 이용 제한 |
동의받은 개인정보 수집목적과 다르게 이용 금지 |
제24조 |
개인정보의 제공 동의 등 |
제3자 제공 시 정보주체 동의 획득 및 규정된 용도외 사용 금지 |
제24조의2 |
개인정보의 취급위탁 |
개인정보 취급위탁 시 정보주체 동의, 수탁자 관리감독 의무, 책임소재에 관한 규정 |
제25조 |
영업의 양수 등에 따른 개인정보의 이전 |
영업 양수 등에 따른 개인정보 이전에 관한 사실, 동의철회 방법및절차 등에 대하여 이용자에게 고지 |
제26조 |
개인정보관리 책임자의 지정 |
개인정보보호 활동이 체계적이고 전사적인 계획하에 수행될 수 있도록 개인정보관리 책임자를 지정하고 그 자격요건 및 역할 규정 |
제27조 |
개인정보 취급방침의 공개 |
이용자의 개인정보를 취급할 경우, 개인정보 취급방침을 이용자에게 공개하도록 명시 |
제27조의2 |
개인정보의 보호조치 |
개인정보보호에 따른 기술적․관리적 조치에 대하여 명시 |
제28조 |
개인정보 누설 금지 |
개인정보취급자의 개인정보 훼손ㆍ침해 또는 누설 금지 |
제28조의2 |
개인정보의 파기 |
개인정보 이용 목적달성 및 이용기간 종료, 사업폐지에 따른 개인정보 파기에 관한 규정 |
제29조 |
이용자의 권리 등 |
개인정보를 제공한 이용자의 동의 철회․정정요구에 대하여 취해야할 조치 |
제30조 |
법정대리인의 권리 |
법정대리인의 동의․이용자의 권리 행사에 대하여 명시 |
제31조 |
표 3-2는 표 3-1에서 언급하고 있는 주요 법률을 위한 했을 경우에 받게 되는 벌칙이다.
[표 3-2] 정보통신망법 위반에 따른 벌칙
구분 |
주요내용 |
‘09.4.22 이후 (법률 제9637호 기준) |
개인정보 수집 |
동의 없는 개인정보 수집(제22조) |
o 5년이하 징역 또는 5천만원이하 벌금 o 매출액 100분1 이하 과징금 |
민감한 개인정보 수집(제23조) |
||
법정대리인 동의 없는 아동 개인정보 수집(제31조) |
||
필요한 최소한의 개인정보 이외의 정보를 미제공한 이유로 서비스 제공 거부(제23조) |
o 과태료 3천만원 이하 |
|
쥔등록번호 외의 회원가입방법 미조치(제23조의2) |
||
개인정보 이용 및 제공 |
동의 받은 목적과 다른 목적으로 개인정보 이용(제24조) |
o 5년이하 징역 또는 5천만원이하 벌금 o 매출액 100분1 이하 과징금 |
이용자 동의 없는 개인정보 제3자 제공(제24조의2) |
||
개인정보 취급위탁 |
이용자 동의 없는 개인정보 취급위탁(제25조) |
|
개인정보 취급위탁 사실의 미공개(제25조) |
o 과태료 2천만원 이하 |
|
개인정보관리책임자의 지정 |
개인정보관리책임자 미지정(제27조) 개인정보관리책임자 미공개(제27조의2) |
o 과태료 2천만원 이하 |
개인정보 보호조치 |
기술적․관리적 조치의 미이행(제28조) |
o 과태료 3천만원 이하 |
기술적․관리적 조치의 미이행으로 인한 개인정보 누출(제28조) |
o 2년이하 징역 또는 1천만원 이하 벌금 o 1억원 이하의 과징금 |
|
개인정보취급자의 개인정보 훼손․침해․누설 금지(제28조의2) |
o 5년이하 징역 또는 5천만원이하 벌금 |
|
개인정보의 이전 |
영업양수 등에 따른 개인정보 이전 사실을 미고지(제26조) |
o 과태료 2천만원 이하 |
개인정보 파기 |
개인정보의 미파기(제29조) |
o 과태료 3천만원 이하 |
이용자 권리 |
이용자의 동의철회․열람․정정요 미조치(제30조③) |
o 과태료 3천만원 이하 |
이용자의 동의철회․열람․정정요구를 개인정보 수집방법보다 어렵게 함(제30조➅) |
개인정보는 수집, 저장, 이용, 파기의 생명주기를 가지며, 표 3-3은 개인정보 생명주기를 웹페이지별로 해당하는 부분을 표시하였다.
[표 3-3] 페이지별 고려해야 할 개인정보 생명주기
구 분 |
수 집 |
저 장 |
이 용 |
파 기 |
초기화면 |
|
|
|
|
회원가입 |
O |
|
|
|
회원정보조회 |
|
O |
|
|
회원정보수정 |
|
O |
|
|
회원탈퇴 |
|
|
|
O |
이용자 로그인 |
O |
O |
|
|
게시판 페이지 |
O |
O |
|
|
주문 페이지 |
O |
O |
|
|
결제 페이지 |
O |
O |
O |
|
A/S 및 불만접수 |
O |
O |
O |
|
상담문의 |
O |
O |
O |
|
견적(예약)의뢰 |
O |
O |
O |
|
입사지원 |
O |
O |
|
|
관리자 페이지 |
O |
O |
O |
O |
개인정보 안심진단 서비스 개인정보보호 컨설팅 - 케이핌(www.kpim.co.kr)
'개인정보 보호방법 알아보기' 카테고리의 다른 글
| 웹사이트 개발/운영자를 위한 개인정보보호 가이드3_개인정보 생명 주기에 따른 보호방침 (2) | 2011.11.15 |
|---|---|
| 웹사이트 개발/운영자를 위한 개인정보보호 가이드2_개인정보 생명 주기에 따른 보호방침 (0) | 2011.11.14 |
| 개인정보 파기 예외 사유는 (0) | 2011.09.09 |
| 개인정보 파기는 언제 어떻게 해야 되는가? (1) | 2011.09.06 |
| 개인정보의 지체없이 필요한 조치란? (0) | 2011.09.05 |
