1. 데이터 3법 개요
1.1 데이터 3법이란?
통칭 : “개망신법” 또는 “데이터 3법”
구성:
- 개인정보 보호법 (개보법)
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (정보통신망법)
- 신용정보의 이용 및 보호에 관한 법률 (신용정보법)
왜 “3법”?
- 개인정보 보호 관련 3대 법률
- 2020년 8월 5일 동시 개정
- “데이터 3법 개정"이라고 불림
1.2 2020년 데이터 3법 개정 배경
(1) 규제 중복
문제:
- 3개 법이 각각 개인정보 규제
- 기업 입장에서 어느 법을 따라야 할지 혼란
예시:
[온라인 쇼핑몰이 고객 개인정보 처리하는 경우] - 개인정보보호법 - 적용 (O) - 정보통신망법 - 적용 (O) - 온라인 서비스니까 - 신용정보법 - 해당 없음 (X) - 어느 법 기준으로 암호화? 보관 기간?
(2) 데이터 활용 저해
문제:
- 엄격한 규제로 빅데이터, AI 활용 어려움
- 동의 없이 개인정보 활용 거의 불가능
예시:
[병원이 AI 암 진단 모델 개발하고 싶은 경우] - 환자 의료 데이터 필요 - 개인정보라 동의 필요 - 수만명 동의 받기 현실적으로 불가능 - 결과: 포기
(3) 해외 사례
GDPR (유럽):
- 가명정보 개념 도입
- 특정 목적 범위 내 동의 없이 활용 가능
미국:
- 산업별 규제 (금융, 의료 등)
- 비교적 유연한 활용
1.3 2020년 개정 핵심
(1) 가명정보 개념 도입
가명정보:
- 개인을 직접 알아볼 수 없게 처리한 정보
- 추가 정보 없이는 특정 개인 식별 불가
활용:
- 통계, 연구, 공익적 기록 보존 목적
- 동의 없이 활용 가능
예시:
[원본 데이터] - 홍길동, 주민번호 123456-1234567, 서울시 강남구
[가명처리 후] - ID: A1234, 연령대: 30대, 지역: 서울 (구 단위까지만) - 이 데이터로 통계 분석 가능 - 홍길동인지 알 수 없음 - 동의 불필요
(2) 규제 일원화
개인정보보호위원회:
- 3개 법 총괄
- 이전: 행정안전부 (개보법), 방통위 (정통망법), 금융위 (신용정보법)
(3) 과징금 상향
개인정보보호법:
- 매출액의 3%
정보통신망법:
- 3% 폐지 (개보법으로 통합)
신용정보법:
- 매출액의 3%
1.4 왜 비교가 중요한가?
실무 질문
Q: 우리 회사는 어느 법을 따라야 하나요?
A: 상황에 따라 다릅니다!
- 온라인 서비스 - 정보통신망법 (특별법)
- 금융/신용정보 - 신용정보법 (특별법)
- 위 경우가 아니면 - 개인정보보호법 (일반법)
- 중복 적용 가능
헷갈리는 부분
암호화 기준:
-
개인정보보호법 : AES-256, ARIA-256 등
-
정보통신망법 : AES-256, ARIA-256 등
-
신용정보법 : 128비트 이상
-
다 다름!
과태료:
- 개인정보보호법 : 최대 5천만원
- 정보통신망법 : 최대 3천만원
- 신용정보법 : 최대 5천만원
2. 3개 법 기본 비교
2.1 종합 비교표
| 구분 | 개인정보보호법 | 정보통신망법 | 신용정보법 |
|---|---|---|---|
| 적용 대상 | 모든 개인정보처리자 | 정보통신서비스 제공자 | 신용정보회사 등 |
| 보호 대상 | 개인정보 | 개인정보 (+ 통신비밀) | 신용정보 (개인신용정보 포함) |
| 주무 부처 | 개인정보보호위원회 | 과기정통부 | 금융위원회 |
| 처벌 | 5년 이하 징역, 5천만원 이하 벌금 | 5년 이하 징역, 5천만원 이하 벌금 | 5년 이하 징역, 5천만원 이하 벌금 |
| 과징금 | 매출액 3% 이하 | (폐지, 개보법 적용) | 매출액 3% 이하 |
| 과태료 | 최대 5천만원 | 최대 3천만원 | 최대 5천만원 |
| 암호화 | AES-256 등 | AES-256 등 | 128비트 이상 |
| 보관 기간 | 목적 달성 시 파기 | 목적 달성 시 파기 | 목적 달성 시 파기 |
| CISO | (규모별 상이) | 의무 (일정 규모) | 의무 (신용정보회사 등) |
| ISMS | (없음) | 의무 (일정 규모) | (없음) |
| 특징 | 일반법 | 온라인 서비스 특화 | 금융·신용 특화 |
2.2 법률 위계
[법률 위계 구조] - 개인정보보호법 (일반법) - 특별법 1 : 정보통신망법 - 특별법 2 : 신용정보법
원칙 : 특별법이 일반법에 우선
적용 순서:
[판단 순서] - 1. 신용정보법 해당? - 신용정보법 적용 - 2. 정보통신망법 해당? - 정보통신망법 적용 - 3. 위 2개 해당 안 됨 - 개인정보보호법 적용
3. 적용 대상 비교
3.1 개인정보보호법
적용 대상: 모든 개인정보처리자
개인정보처리자: “업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등”
쉽게:
- 공공기관 : 해당
- 기업 : 해당
- 단체 : 해당
- 개인사업자 : 해당
- 거의 모든 조직
예시:
[적용 대상 예시] - 병원 (환자 개인정보) - 학원 (학생 개인정보) - 부동산 중개사 (고객 개인정보) - 개인 사업자 (고객 개인정보)
3.2 정보통신망법
적용 대상: 정보통신서비스 제공자
정보통신서비스 제공자 (제2조): “정보통신망을 이용하여 타인의 통신을 매개하거나 정보를 제공 또는 매개하는 자”
쉽게:
- 온라인 서비스 제공자
- 웹사이트, 앱 운영자
예시:
[적용 (O)] - 포털 (네이버, 다음) - SNS (카카오톡, 인스타그램) - 쇼핑몰 (쿠팡, 11번가) - 게임 (넥슨, 넷마블) - 배달 앱 (배달의민족, 쿠팡이츠)
[적용 (X)] - 오프라인만 운영 (온라인 서비스 없음) - 내부 시스템만 (외부 서비스 없음)
판단 기준:
[Q1. 온라인 서비스를 제공하는가?] - NO - 정보통신망법 적용 안 됨 - YES - 다음 질문으로
[Q2. 타인(이용자)에게 제공하는가?] - NO - 정보통신망법 적용 안 됨 - YES - 정보통신망법 적용
3.3 신용정보법
적용 대상:
- 신용정보회사
- 신용정보 이용자
- 신용정보 제공·이용자
신용정보회사 (제2조): “신용조회업, 신용평가업 등을 영위하는 회사”
[신용정보회사 예시] - NICE신용평가정보 - 코리아크레딧뷰로 (KCB) - 한국신용정보원
신용정보 이용자: “신용정보를 이용하여 금융거래 등 상거래를 하는 자”
[적용 (O)] - 은행 (신한, 국민, 우리 등) - 카드사 (신한카드, 삼성카드 등) - 보험사 (삼성생명, 한화생명 등) - 캐피탈 (현대캐피탈, 롯데캐피탈 등) - 저축은행 - 증권사
[적용 (X)] - 일반 쇼핑몰 (신용정보 처리 안 함)
신용정보 제공·이용자: “신용정보를 타인에게 제공하거나 타인으로부터 제공받아 본인의 영업에 이용하는 자”
[예시] - 통신사 (요금 연체 정보) - 렌탈 회사 (연체 정보)
3.4 중복 적용 사례
사례 1: 온라인 쇼핑몰
[쿠팡 - 적용 법률] - 개인정보보호법 (O) - 개인정보 처리 - 정보통신망법 (O) - 온라인 서비스 - 신용정보법 (X) - 신용정보 처리 안 함 - 결과 : 개인정보보호법 + 정보통신망법, 정보통신망법 우선 (특별법)
사례 2: 은행
[신한은행 - 적용 법률] - 개인정보보호법 (O) - 개인정보 처리 - 정보통신망법 (O) - 온라인 뱅킹 - 신용정보법 (O) - 신용정보 처리 - 3개 법 모두 적용 - 신용정보법 우선 (가장 특수) - 신용정보법에 없는 사항은 정보통신망법 - 둘 다 없으면 개인정보보호법
사례 3: 병원
[○○병원 - 적용 법률] - 개인정보보호법 (O) - 환자 개인정보 - 정보통신망법 (△) - 홈페이지 운영 시 - 신용정보법 (X) - 신용정보 처리 안 함 - 개인정보보호법 (주), 홈페이지 있으면 정보통신망법 일부 적용
사례 4: 제조업
[자동차 제조사 - 적용 법률] - 개인정보보호법 (O) - 직원, 고객 개인정보 - 정보통신망법 (X) - 온라인 서비스 주력 아님 - 신용정보법 (X) - 신용정보 처리 안 함 - 개인정보보호법만 적용
4. 보호 대상 비교
4.1 개인정보 vs 개인정보 vs 신용정보
개인정보보호법
개인정보 (제2조): “살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보”
- 성명, 주민등록번호, 영상 등을 통하여 개인을 알아볼 수 있는 정보
- 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보
범위:
- 가장 넓음
- 이름, 연락처, 주소 등 모든 개인 관련 정보
정보통신망법
개인정보 (제2조): “생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향·영상 및 생체특성 등에 관한 정보(해당 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)”
범위:
- 개인정보보호법과 거의 동일
신용정보법
신용정보 (제2조): “금융거래 등 상거래에 있어서 거래 상대방의 신용 판단과 관련되는 정보”
개인신용정보: “신용정보 중 개인에 관한 정보”
범위:
- 식별정보 : 이름, 주민등록번호, 주소, 연락처, 직업, 직장 등
- 신용거래정보 : 대출, 카드 이용, 연체 등
- 신용능력정보 : 소득, 재산, 채무 등
- 신용평가정보 : 신용등급, 신용점수 등
- 공공정보 : 체납, 파산, 회생 등
특징:
- 금융·신용 관련 정보에 한정
- 일반 개인정보보다 좁음
4.2 비교 예시
[홍길동, 30대, 서울 거주, 직장인] - 개인정보보호법 : 개인정보 (O) - 정보통신망법 : 개인정보 (O) - 신용정보법 : 식별정보만으로는 신용정보 아님, 단 금융거래 맥락에서는 신용정보 (O)
[홍길동, 신한카드 연체 3회] - 개인정보보호법 : 개인정보 (O) - 정보통신망법 : 개인정보 (O) - 신용정보법 : 신용정보 (O) - 신용거래정보
5. 주요 규정 비교
5.1 동의
개인정보보호법
제15조 (개인정보의 수집·이용): “개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다”
- 1호 : 정보주체의 동의를 받은 경우
- 2호 : 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
- 3호 : 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
- 4호 : 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
- 5호 : 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
- 6호 : 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우
정보통신망법
제22조 (개인정보의 수집·이용 동의 등): “정보통신서비스 제공자는 이용자의 동의를 받아 개인정보를 수집할 수 있다”
예외:
- 계약 이행
- 법령상 의무
- 급박한 생명·신체 위험
특징:
- 개인정보보호법보다 예외 범위 좁음
- 동의 원칙 강함
신용정보법
제32조 (개인신용정보의 수집·조사): “신용정보회사등은 다음 각 호의 어느 하나에 해당하는 경우 개인신용정보를 수집하거나 조사할 수 있다”
- 1호 : 신용정보주체의 동의를 받은 경우
- 2호 : 계약의 체결·유지·이행·관리 등을 위하여 필요한 경우
- 3호 : 법령에 따른 의무 이행
특징:
- 계약 이행 범위 넓음 (금융거래 특성)
비교 정리
| 구분 | 개인정보보호법 | 정보통신망법 | 신용정보법 |
|---|---|---|---|
| 원칙 | 동의 (6가지 예외) | 동의 (좁은 예외) | 동의 (금융 특화 예외) |
| 계약 | 계약 체결·이행 시 (O) | 계약 이행 시 (O) | 계약 체결·유지·이행·관리 (O) |
| 정당한 이익 | 가능 (단, 정보주체 권리보다 우선 시) | 없음 | 없음 |
| 엄격성 | 중간 | 가장 엄격 | 중간 (금융 특화) |
5.2 민감정보
개인정보보호법
제23조 (민감정보의 처리 제한): “개인정보처리자는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다”
- 1호 : 정보주체의 별도 동의를 받은 경우
- 2호 : 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
민감정보 범위:
- 사상·신념
- 노동조합·정당 가입·탈퇴
- 정치적 견해
- 건강, 성생활
- 유전정보, 바이오정보
- 범죄 경력
정보통신망법
제23조 (민감정보의 처리): “정보통신서비스 제공자는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 정보로서 대통령령으로 정하는 정보를 처리하여서는 아니 된다. 다만, 정보주체에게 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우에는 그러하지 아니하다”
범위:
- 개인정보보호법과 동일
신용정보법
제32조 (개인신용정보의 수집·조사): “신용정보회사등은 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활, 그 밖에 신용정보주체의 사생활을 현저히 침해할 우려가 있는 개인신용정보로서 대통령령으로 정하는 정보를 수집하거나 조사해서는 아니 된다. 다만, 신용정보주체가 명시적으로 동의한 경우에는 그러하지 아니하다”
범위:
- 개인정보보호법과 동일
비교 정리
| 구분 | 개인정보보호법 | 정보통신망법 | 신용정보법 |
|---|---|---|---|
| 민감정보 | 사상·신념, 정치, 건강, 성생활, 유전, 바이오, 범죄 | 사상·신념, 정치, 건강, 성생활, 유전, 바이오, 범죄 | 사상·신념, 정치, 건강, 성생활 등 |
| 동의 | 별도 동의 | 별도 동의 | 명시적 동의 |
| 예외 | 법령 허용 시 (O) | 없음 | 없음 |
5.3 고유식별정보
개인정보보호법
제24조 (고유식별정보의 처리 제한): “개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보를 처리할 수 없다”
- 1호 : 정보주체의 별도 동의를 받은 경우
- 2호 : 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
고유식별정보:
- 주민등록번호
- 여권번호
- 운전면허번호
- 외국인등록번호
정보통신망법
제23조의2 (주민등록번호의 처리 제한): “정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 이용자의 주민등록번호를 수집·이용할 수 없다”
- 1호 : 주민등록번호 수집·이용이 불가피한 경우로서 대통령령으로 정하는 경우
- 2호 : 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
특징:
- 주민등록번호만 별도 규정
- 사실상 수집 금지 (예외 극히 제한적)
신용정보법
제32조 (개인신용정보의 수집·조사): 고유식별정보 별도 규정 없음
주민등록번호:
- 금융거래 특성상 필수
- 별도 제한 없음 (일반 개인신용정보로 취급)
비교 정리
| 구분 | 개인정보보호법 | 정보통신망법 | 신용정보법 |
|---|---|---|---|
| 주민등록번호 | 별도 동의 or 법령 허용 | 사실상 금지 | 제한 없음 (금융 필수) |
| 기타 고유식별정보 | 별도 동의 or 법령 허용 | (규정 없음, 개보법 준용) | (규정 없음, 개보법 준용) |
| 엄격성 | 중간 | 가장 엄격 | 가장 완화 |
5.4 암호화
개인정보보호법
안전성 확보조치 기준 제6조 (개인정보의 암호화):
비밀번호:
- 일방향 암호화 (해시)
- SHA-256 이상
고유식별정보, 바이오정보, 계좌정보:
- 안전한 암호 알고리즘
- AES-256, ARIA-256, SEED-256 등
전송:
- TLS 1.2 이상
정보통신망법
개인정보의 기술적·관리적 보호조치 기준 제6조:
비밀번호:
- 일방향 암호화 (해시)
- SHA-256 이상
주민등록번호, 계좌정보 등:
- 안전한 암호 알고리즘
- AES-256, ARIA-256, SEED-256 등
전송:
- TLS 1.2 이상
특징:
- 개인정보보호법과 거의 동일
신용정보법
신용정보법 시행령 제16조 (암호화):
비밀번호:
- 일방향 암호화 (해시)
주민등록번호, 계좌정보 등:
- 128비트 이상 암호화
전송:
- 안전한 암호화 통신 (TLS 등)
특징:
- 기준이 상대적으로 완화 (128비트 이상만)
- 구체적 알고리즘 명시 없음
비교 정리
| 구분 | 개인정보보호법 | 정보통신망법 | 신용정보법 |
|---|---|---|---|
| 비밀번호 | SHA-256 이상 해시 | SHA-256 이상 해시 | 일방향 암호화 |
| 고유식별정보 등 | AES-256 등 | AES-256 등 | 128비트 이상 |
| 전송 | TLS 1.2 이상 | TLS 1.2 이상 | 암호화 통신 |
| 엄격성 | 가장 엄격 | 가장 엄격 | 상대적 완화 |
5.5 CISO (정보보호 최고책임자)
개인정보보호법
명시 규정 없음
단, 정보통신망법, 신용정보법 등에서 CISO 지정 의무
정보통신망법
제45조의3 (정보보호 최고책임자의 지정 등):
지정 의무:
- 일정 규모 이상 정보통신서비스 제공자
구체적 기준 (시행령):
- 전년도 정보통신서비스 부문 매출액 100억원 이상
- 또는 전년도 말 기준 직전 3개월간 일일 평균 이용자 수 100만명 이상
자격:
- 임원 또는 이에 준하는 직급
- 정보보호 관련 업무 5년 이상 또는 7년 이상 경력
역할:
- 정보보호 관리체계 수립·운영
- 정보보호 취약점 분석·평가 및 개선
- 침해사고 예방 및 대응
신용정보법
제41조의2 (정보보호 최고책임자의 지정):
지정 의무:
- 신용정보회사
- 일정 규모 이상 신용정보 이용자 등
자격:
- 임원급
역할:
- 신용정보 보호 관리체계 수립·운영
- 침해사고 예방 및 대응
비교 정리
| 구분 | 개인정보보호법 | 정보통신망법 | 신용정보법 |
|---|---|---|---|
| CISO 의무 | 없음 | 있음 (일정 규모) | 있음 (신용정보회사 등) |
| 자격 | - | 경력 5년 or 7년 | 임원급 |
| 대상 | - | 매출 100억 or 이용자 100만명 | 신용정보회사 등 |
5.6 가명정보
개인정보보호법
제28조의2 (가명정보의 처리 등):
가명정보: “개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보”
활용:
- 통계 작성
- 과학적 연구
- 공익적 기록보존 등
특징:
- 동의 없이 활용 가능
- 정보주체 권리 (열람, 정정, 삭제) 제한
제한:
- 재식별 금지
- 가명정보끼리 결합 시 승인 필요
정보통신망법
제2조의8 (가명정보의 처리 특례): “정보통신서비스 제공자는 개인정보보호법 제28조의2부터 제28조의7까지 규정을 준용하여 가명정보를 처리할 수 있다”
특징:
- 개인정보보호법 준용
신용정보법
제32조의2 (가명정보의 처리 특례): 개인정보보호법과 유사
가명처리:
- 통계, 연구 목적
특징:
- 개인정보보호법과 거의 동일
비교 정리
| 구분 | 개인정보보호법 | 정보통신망법 | 신용정보법 |
|---|---|---|---|
| 가명정보 | 있음 | 있음 (개보법 준용) | 있음 (개보법 유사) |
| 활용 목적 | 통계, 연구, 공익 기록 | 통계, 연구, 공익 기록 | 통계, 연구 |
| 동의 | 불필요 | 불필요 | 불필요 |
| 결합 | 승인 필요 | 승인 필요 | 승인 필요 |
6. 실무 적용 가이드
6.1 우리 회사는 어느 법?
판단 순서:
[Step 1: 신용정보법 해당?] - 신용정보회사? (신용조회, 신용평가 등) - 금융회사? (은행, 카드사, 보험사 등) - YES - 신용정보법 (+ 개보법) - NO - Step 2로
[Step 2: 정보통신망법 해당?] - 온라인 서비스 제공? - 웹사이트 / 앱 운영? - YES - 정보통신망법 (+ 개보법) - NO - Step 3으로
[Step 3: 개인정보보호법] - 개인정보 처리? (거의 모든 조직) - YES - 개인정보보호법
6.2 사례별 적용 법률
사례 1: 스타트업 쇼핑몰
[A쇼핑몰 - 스타트업, 매출 10억, 온라인 쇼핑몰 (앱 + 웹)] - 개인정보보호법 (O) - 정보통신망법 (O) - 온라인 서비스 - 신용정보법 (X) - 정보통신망법 우선, 없는 사항은 개인정보보호법
[주요 의무] - 동의 획득 (정보통신망법) - 주민등록번호 수집 금지 (정보통신망법) - 암호화 (AES-256, SHA-256, TLS 1.2) - CISO 지정 - 매출 10억 - 의무 아님 - ISMS-P - 매출 10억 + 쇼핑몰 - 의무
사례 2: 인터넷 은행
[B인터넷은행 - 인터넷 뱅킹] - 개인정보보호법 (O) - 정보통신망법 (O) - 온라인 서비스 - 신용정보법 (O) - 은행 - 3개 법 모두 적용 - 신용정보법 우선 - 신용정보법에 없으면 정보통신망법 - 둘 다 없으면 개인정보보호법
[주요 의무] - 동의 (신용정보법) - 주민등록번호 수집 가능 (금융 필수) - 암호화 (128비트 이상, 단 실무에서는 AES-256) - CISO 지정 (신용정보법) - ISMS-P (정보통신망법, 매출 100억 이상)
사례 3: 오프라인 학원
[C학원 - 오프라인 학원, 온라인 서비스 없음] - 개인정보보호법 (O) - 정보통신망법 (X) - 온라인 서비스 없음 - 신용정보법 (X) - 개인정보보호법만 적용
[주요 의무] - 동의 획득 (개인정보보호법) - 주민등록번호 - 법령 허용 없으면 수집 금지 - 암호화 (AES-256, SHA-256) - CISO - 의무 없음 - ISMS-P - 의무 없음
사례 4: 병원 (홈페이지 있음)
[D병원 - 진료 + 홈페이지 예약] - 개인정보보호법 (O) - 정보통신망법 (△) - 홈페이지 있음 - 신용정보법 (X) - 개인정보보호법 주, 홈페이지 부분만 정보통신망법 일부 적용
[주요 의무] - 동의 (개인정보보호법) - 주민등록번호 수집 가능 (의료법 허용) - 암호화 (AES-256, SHA-256) - 민감정보 (건강정보) 별도 동의 - CISO - 의무 없음 - ISMS-P - 의무 없음
6.3 기준 충돌 시
원칙 : 더 엄격한 기준 적용
예시 1: 암호화
[비교] - 개인정보보호법 : AES-256 - 신용정보법 : 128비트 이상 - 결론 : AES-256 사용 (더 엄격)
예시 2: 주민등록번호
[비교] - 개인정보보호법 : 별도 동의 or 법령 허용 - 정보통신망법 : 사실상 수집 금지 - 결론 : 온라인 서비스는 수집 금지 (더 엄격)
7. 체크리스트
적용 법률 판단
- 우리 회사 업종은?
- 신용정보 처리하는가?
- 온라인 서비스 제공하는가?
- 적용되는 법률 : 개인정보보호법 / 정보통신망법 / 신용정보법
준수 사항 확인
공통: - 동의 획득 (법적 근거) - 개인정보처리방침 공개 - 암호화 (비밀번호, 고유식별정보 등) - 접속기록 보관 - 교육 실시
정보통신망법 추가: - CISO 지정 (해당 시) - ISMS-P 인증 (해당 시) - 주민등록번호 수집 제한
신용정보법 추가: - CISO 지정 (신용정보회사 등) - 신용정보 관리·보호 인력 (신용정보회사)
8. 자주 묻는 질문 (FAQ)
Q1: 우리 회사는 3개 법 중 어느 법을 따라야 하나요?
[A: 판단 순서] - 금융회사? - 신용정보법 - 온라인 서비스? - 정보통신망법 - 위 해당 없음 - 개인정보보호법 - 중복 적용 가능
Q2: 3개 법이 다르면 어떻게 하나요?
A: 더 엄격한 기준 적용
예: 암호화
- 개보법 : AES-256
- 신용정보법 : 128비트
결론 : AES-256 사용
Q3: 가명정보는 모든 법에 있나요?
A: 네, 3개 법 모두 가명정보 규정 있음
- 개인정보보호법 : 원칙 규정
- 정보통신망법 : 개보법 준용
- 신용정보법 : 개보법 유사
Q4: 온라인 쇼핑몰은 주민등록번호 수집 가능한가요?
A: 원칙 불가능 (정보통신망법 적용)
예외:
- 법령에서 명시적 허용하는 경우만
- 실무에서는 거의 불가능
대안:
- 본인인증 (아이핀, 휴대폰 인증 등)
- 주민번호는 본인인증기관에만
Q5: 은행은 주민등록번호 수집 가능한가요?
A: 가능 (신용정보법 적용)
이유:
- 금융거래 특성상 필수
- 신용정보법은 제한 없음
Q6: CISO 지정은 누가 의무인가요?
A:
- 정보통신망법 : 매출 100억 or 이용자 100만명 이상
- 신용정보법 : 신용정보회사 등
Q7: ISMS-P는 누가 의무인가요?
A: 정보통신망법만 의무 규정
- 매출 100억 이상
- 또는 이용자 100만명 이상
- 또는 매출 10억 이상 쇼핑몰/PG 등
Q8: 개인정보 유출 시 어느 법으로 처벌?
A: 적용되는 법 모두 위반
예: 온라인 쇼핑몰 유출
- 개인정보보호법 + 정보통신망법 위반
- 둘 다 처벌 가능 (경합)
학습 정리
오늘 학습한 핵심 내용:
- 데이터 3법 : 개인정보보호법, 정보통신망법, 신용정보법
- 2020년 개정 : 가명정보 개념 도입, 규제 일원화
- 법률 위계 : 특별법 우선 (신용정보법 - 정보통신망법 - 개인정보보호법)
- 적용 대상 : 개보법 (모두), 정통망법 (온라인 서비스), 신용정보법 (금융·신용)
- 동의 : 정통망법이 가장 엄격
- 민감정보 : 3개 법 거의 동일
- 고유식별정보 : 정통망법이 가장 엄격 (주민번호 사실상 금지)
- 암호화 : 개보법·정통망법 (AES-256 등), 신용정보법 (128비트 이상)
- CISO : 정통망법·신용정보법만 의무
- 가명정보 : 3개 법 모두 있음 (개보법 원칙)
- 실무 적용 : 업종에 따라 적용 법률 달라짐
- 기준 충돌 시 : 더 엄격한 기준 적용