CPPG 공부 : 개인정보 보호원칙 및 OECD 8원칙

본 포스터는 CPO포럼의 39회 기준 CPPG 가이드북의 내용을 담고있습니다.

개인정보 보호원칙 및 OECD 8원칙

개인정보보호법상의 개인정보 보호원칙

개인정보보호법 제3조 (개인정보 보호 원칙)

1. 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
2. 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
3. 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성을 보장되도록 하여야 한다.
4. 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
5. 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
6. 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
7. 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다.
8. 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.

보호원칙의 제정

개인정보보호법은 헌법재판소가 인정한 ‘개인정보자기결정권’의 취지 및 ‘OECD 프라이버시 8원칙’, ‘EU 개인정보 보호지침’에 채택된 ‘APEC 프라이버시 원칙’ 등의 내용을 참고하여 이를 동 법률의 총칙 규정으로 삼았다.

위 제3조는 개인정보보호법의 기본원칙을 천명한 선언적인 규범으로서 동 조 위반에 따른 형사적, 행정적 제재가 부가되는 것은 아니지만, 위 조항의 내용은 개별조항에서 구체적인 보호의무로 표현되고 있다.

OECD 프라이버시 보호 8원칙

OECD 가이드라인은 개인정보의 이용과 관련하여 총 8개의 원칙을 규정하고 있다.

1. 수집제한의 원칙(Collection Limitation Principle) : 무차별적인 개인정보 수집 제한, 정보 수집을 위한 정보주체의 인지 또는 동의, 범죄 수사 활동의 경우처럼 때에 따라서는 인지 또는 동의가 없음도 인정
2. 정보정확성의 원칙(Data Qulity Principle) : 정보가 사용될 목적과 관련, 목적에 필요한 범위 내에서 정확하고, 완전하며, 최신의 것
3. 목적의 명확화 원칙(Purpose Specification Principle) : 정보의 수집 이전 또는 수집 시점까지는 정보의 사용될 목적을 알 수 있어야 하고, 목적의 변경이 있을 시엔 그것까지 명시될 것을 요구
4. 이용제한의 원칙(Use Limitation Principle) : 명시된 목적과는 다른 목적을 위하여 공개되거나 이용가능하게 되거나 또는 달리 이용되어서는 안 된다고 규정, 다만 정보주체의 동의 또는 법적 근거에 의한 경우에는 가능
5. 정보의 안전한 보호에 관한 원칙(Security Safeguards Principle) : 적절한 보안유지 조치에 의하여 보호되어야 한다.
6. 공개의 원칙(Openness Principle) : 개인정보와 관련된 제도 개선, 실무 및 정책에 관하여 일반적으로 공개 정책을 취해야 하며, 개인정보의 존재와 성격, 주요 사용 목적, 정보처리자의 신원 및 소재지를 즉시 파악할 수 있는 장치가 마련
7. 개인 참가의 원칙(Individual Participation Principle) : 개인은 자신과 관계된 정보를 정보처리자가 보유하고 있는지 여부에 대하여 정보처리자로 부터 직접 또는 다른 경로를 통해 확인하고, 자신과 관계된 정보가 적절한 기간 내에, 비용이 부과되는 경우 과도하지 않은 범위에서, 적절한 방식으로, 그리고 즉시 알아 볼 수 있는 형태로 자신에게 동보되도록 하며, 이러한 것들이 거절되는 경우 그 사유를 물어 답을 요구하고, 그러한 거절에 대하여 이의를 제기할 수 있는 것을 말한다. 또한 개인은 이 원칙에 따라 자신과 관계된 정보에 이의를 제기할 수 있어야 하고, 이의가 받아들여질 경우 해당 정보는 삭제, 정정, 완성 또는 수정될 수 있어야 한다.
8. 책임의 원칙(Accountability Principle) : 정보처리자는 다른 7개의 원칙들의 시행 조치를 이행하는 데 책임을 다하여야 한다는 것으로, 개인정보 처리가 제3자에 의해 이루어졌다고 하더라도 이러한 의무는 유지된다.