FAQ

  • 1. 해외 개인정보 유출 신고 시 해당국가 개인정보 감독기구 안내

    Q1.

    해외에서 제 개인정보가 유출되었습니다. 어떻게 대응하면 될까요?

    A1.

    해외에서는 각 국가별로 개인정보보호 관련 기구를 운영하고 있습니다. 해당 개인정보 감독기구 민원 제기 절차를 확인하시고 참고하시기 바랍니다. 현재 그리스, 뉴질랜드, 미국, 영국, 일본, 캐나다, 프랑스, 호주, 홍콩 등 9개국의 개인정보 침해 관련 민원제기 절차에 대한 간단한 국문 번역이 되어 있습니다.

    9개국 민원제기 절차 소개

  • 2. 해외의 개인정보 감독기구

    Q1.

    해외의 개인정보 감독기구는 어떤 것이 있나요?

    A1.

    해외 개인정보 감독기구는 아래와 같습니다.

    1. 아시아․태평양 지역 개인정보 감독기구

    2. 유럽지역 개인정보 감독기구

  • 3. 해외 사이트 내 개인정보 유출 시 조치 안내

    Q1.

    제 주민번호가 중국 사이트에 거래 되는 것 같습니다. 조치방법이 없을까요?

    A1.
    • 1) KISA 118로 민원신청을 먼저 해 주시기 바랍니다. 민원 신청 시 본인의 개인정보가 노출된 웹페이지 정보(URL, 화면 캡쳐 등)를 제공하여 주시면 KISA 해당부서에 이관하여 해당 정보통신 사업자가 소재한 국가를 확인합니다. 중국으로 확인된 경우, KISA에서 운영하고 있는 한중인터넷협력센터로 민원을 이관하여 중국 정보 통신 서비스 제공 사업자에게 삭제요청을 합니다. 삭제 요청 거부 시 ISC를 통해 삭제를 요청할 수도 있습니다. 민원에 의한 개인정보 노출 조치 외에도, KISA에서는 자동검색을 통한 개인정보 노출 탐지, 삭제를 위한 활동을 병행하고 있습니다.
    • 2) 중화권 웹사이트 및 모바일 앱, SNS 등에 노출된 한국인의 개인정보 및 불법유통 게시글의 탐지·삭제를 위해 KISA에서 한중인터넷협력센터를 운영하고 있습니다.
    • 3) 아래의 절차에 따라 한중인터넷협력센터가 ISC에 노출된 한국인의 개인정보를 삭제해 줄 것을 요청하고 이를 통해 더 이상의 개인정보 유출로 인한 피해확산을 방지하고 있습니다.

    Q2.

    트위터 등 중국 외 해외 사이트에서 거래 되는 경우는 어떻게 조치해야 할까요?

    A2.
    • 1) 이 역시 중국 사이트에서 거래되는 경우와 동일합니다. 우선 KISA 118로 민원신청을 해주시길 바랍니다. 민원 신청 시 본인의 개인정보가 노출된 웹페이지 정보(URL, 화면 캡쳐 등)를 제공하여 주시면 KISA 해당부서에 이관하여 해당 정보통신 사업자가 소재한 국가를 확인합니다. 개인정보 미국, 영국, 프랑스, 일본 등 중국 외 사이트에서 개인정보가 거래되고 있는 것으로 확인된 경우, KISA에서 운영하고 있는 개인정보대응센터로 민원을 이관하여 해외 정보 통신 서비스 제공 사업자에게 삭제요청을 합니다. KISA에서는 효과적인 개인정보보호 조치를 위해 구글, 페이스북, 트위터 등 주요 포털 및 SNS 서비스 제공 사업자와 협력하고 있으며, 118로 신고되는 민원 이외에도 시스템을 활용한 모니터링을 통하여 개인정보 노출 및 불법유통 게시물 탐지·삭제를 위한 활동을 병행하고 있습니다.
    • 2) 개인정보대응센터 및 한중인터넷협력센터에서는 자국민의 불법유통 개인정보 및 유·노출된 개인정보를 지속적으로 모니터링하고 있으며, 아래 절차를 통하여 안전한 개인정보보호 문화 확산을 위해 노력하고 있습니다.

  • 4. 개인정보 유출 확인 안내

    Q1.

    개인정보 유출 및 도용여부를 확인하기 위해서 아래의 사이트를 한번 이용해 보시기 바랍니다.

    A1.
    • 개인정보 유출 및 도용여부를 확인하기 위해서 아래의 사이트를 한번 이용해 보시기 바랍니다.
    • ‘e프라이버시 클린서비스’를 통해 이용자 명의로 만들어진 계정을 모니터링 할 수 있습니다.

      ‘e프라이버시 클린서비스는 인터넷을 이용하면서 본인확인 한 내역(주민번호, 아이핀, 휴대폰 인증)을 통합 조회하고 희망 시 회원탈퇴 처리를 지원해 드리고 있습니다.

      e프라이버시 클린서비스 바로가기

    • 그리고 ‘NICE 지킴이’라는 사이트에 접속하시면, 이용자의 명의가 사용된 내용을 한눈에 확인하실 수 있습니다. 그리고 이용자의 개인정보를 보호하는 서비스도 이용하실 수 있습니다.

      NICE 지킴이 바로가기

  • 5. 유럽개인정보 보호법 GDPR 안내

    Q1.

    GDPR이 무엇인가요? GDPR에 대한 내용을 확인하고 싶습니다.

    A1.

    GDPR(일반 개인정보 보호법(General Data Protection Regulation)은 2016년 5월 유럽연합(EU)에서 EU 회원국 간 개인정보의 자유로운 이동을 보장하는 동시에 EU 시민의 개인정보 보호 권리를 강화하기 위해 제정되어 2년의 유예기간 끝에 2018년 5월 본격 시행되었습니다.

    이에 행정안전부와 KISA는 2018년 지난 5월, ‘우리 기업을 위한 EU 일반 개인정보 보호법 가이드북’을 발간하여 우리 국민과 기업이 GDPR에서 규정하는 개인정보 보호법의 세부 지침을 쉽게 이해하도록 하여 기업 생태계에 맞는 개인정보보호 기반을 구축하고 글로벌 경쟁력을 높이도록 하였습니다.해당 가이드북은 2017년 5월 발간된 ‘우리 기업을 위한 GDPR 안내서’와 2017년 12월 발간된 ‘우리 기업을 위한 GDPR 1차 가이드라인’내용 전반을 통합하여 독자의 정보 접근성을 높이고 구체적인 사례와 참고자료를 제시하고 있습니다.

    아래에 해당하는 자료를 통하여 GDPR에 대한 보다 상세한 내용을 확인하시기 바랍니다.

  • 6. 국외 개인정보 법률 관련 주요 질문과 감독기구 답변

    Q1.

    저는 유럽에서 정보통신 서비스를 제공하고 있는 개인정보처리자입니다. 얼마나 많은 개인정보를 수집할 수 있나요?

    A1.

    개인정보는 합법적 목적 이행을 위해 반드시 필요한 경우가 아닌 경우 처리할 수 없습니다. 가능한 경우 익명의 데이터를 사용해야 하며, 개인정보를 처리한다 하더라도 필수불가결하고 적합한 목적 외에 수집하는 것은 지양해야 합니다. 이를 개인정보 최소수집의 원칙이라고 합니다. 이때 얼마나 많은 개인정보를 수집해야 하는지 평가하고, 관련 없는 개인정보 수집을 최소화하는 것은 해당 기관 / 기업에게 책임이 있습니다.

    Q2.

    저는 영국에서 거주하고 있는 정보주체입니다. 특정 기업에서 제가 원하지 않는 저의 개인정보를 처리하고 있는 것으로 보입니다. 이에 어떻게 대응할 수 있나요?

    A2.

    정보주체는 자신의 개인정보가 사용되는 방식을 제한할 수 있고, 필요한 경우 개인정보 삭제·중지 요청을 할 수 있습니다. 이를 ‘개인정보 처리 제한권(Right to restriction)’이라고 합니다. 개인정보 처리 제한권을 행사하기 위한 절차는 다음과 같습니다.

    ① 해당 조직·기업에 당신의 요청을 직접적으로 전달합니다.

    ② 사용을 제한하고 싶은 개인정보의 종류와 그 이유를 제공합니다.

    이러한 요청은 구두 또는 서면으로 이뤄질 수 있으나, 영국 개인정보 감독기구 ICO(International Commissioner’s Office)에서는 구두 요청 역시 서면으로 보관하는 것을 권장합니다. 서면을 통해 정보주체는 자신의 개인정보 처리에 대한 우려와 증거제시, 해결책 제공 요청을 증빙할 수 있습니다.

    Q3.

    미국에서 별도의 아동 개인정보 보호법이 있는 것으로 알고 있습니다. 아동 개인정보 보호법에 대해 자세히 설명해 주세요.

    A3.

    미국 의회는 1998년 ‘아동 온라인 개인정보 보호법(Children’s Online Privacy Protection Rule, 이하 COPPA)’을 제정했습니다. COPPA의 목적은 자녀의 온라인 활동에서 수집되는 자녀의 개인정보를 부모가 제어할 수 있도록 하는 것입니다. 이 법은 인터넷의 동적인 특성을 고려하여 13세 미만의 아동을 보호하기 위해 제정되었습니다.

    해당 법은 13세미만 아동을 대상으로 개인정보를 수집, 이용, 공개하는 상업용 웹 사이트 운영자 또는 온라인 서비스 제공자에게 주로 적용 됩니다. COPPA가 적용되는 운영자 또는 서비스 제공자는 다음의 규칙을 수행해야 합니다.

    • ① 아동 개인정보 수집 목적과 수단을 설명하는 개인정보 처리방침을 게시해야합니다.
    • ② 자녀의 개인정보를 수집할 경우 부모에게 직접 통보하고 확인 가능한 부모의 동의를 받아야 합니다.(단 일부 예외 조항이 있는 경우 제외)
    • ③ 부모에게 자녀의 개인정보 수집 및 활용 동의를 받을 수 있지만, 제3자에게 제공하는 것은 엄격히 금지되어 있습니다.
    • ④ 부모에게 자녀의 개인정보에 대한 열람권을 제공하여, 해당 개인정보를 검토하거나 삭제할 수 있도록 합니다.
    • ⑤ 부모에게 자녀의 개인정보에 대한 개인정보 수집·이용 제한권을 제공해야 합니다.
    • ⑥ 아동으로부터 수집한 개인정보에 대하여 기밀성, 보안성, 무결성을 보장해야 합니다.
    • ⑦ 수집한 아동의 개인정보는 당초 목적을 달성한 직후 삭제하여 비인가된 접근과 이용을 사전에 예방해야 합니다.
  • 7. GDPR 적용에 대한 가이드라인 및 참고자료

    Q.1

    GDPR을 적용 받는 기업입니다. 무엇을 어떻게 준비해야 하는지 막연합니다. 가이드라인이나 참고할 수 있는 자료가 있을까요?

    A.1

    유럽개인정보보호 이사회(EDPB)에서는 GDPR과 관련된 12개 가이드라인을 통하여 주요 주제에 대한 구체적 설명과 사례·참고자료를 제공하고 있습니다.

    이 중 개인정보 이동권, DPO(Data Protection Officer) 지정, 선임 감독 기구, 영향평가와 높은 위험을 내재한 개인정보의 처리, 과징금 부과, 개인정보 침해 통지, 자동화된 의사결정과 프로파일링, 동의, 투명성, 역외 이전 시 특정 상황에 대한 예외 조항, 인증 및 인증 기준에 대한 가이드라인이 최종 확정되어 발표되었고, 인증기관 지정 가이드라인(안) 또한 확인하실 수 있습니다.위 가이드라인 및 가이드라인(안)의 번역본과 GDPR 주요 FAQ에 대한 내용은 한국인터넷진흥원 GDPR 대응 페이지 또는 개인정보보호위원회 홈페이지에서 확인 하실 수 있습니다.

  • 8. GDPR 등 해외 개인정보보호 동향 및 대응방안 공유 관련 세미나

    Q1.

    해외 개인정보보호 동향과 대응방안에 대해 알 수 있는 교육이나 세미나가 있나요?

    A1.

    한국인터넷진흥원에서는 개인정보보호위원회, 행정안전부, 방송통신위원회 등 정부부처 및 국내·외 주요 개인정보보호 담당자들과 함께 국제 개인정보 관련 정보 및 대응방안 공유 세미나를 지속적으로 개최하고 있습니다.

    특히 2018년에는 상반기 GDPR 대응 집중 세미나 3회와 GDPR 가이드북 주요 집필진이 참여한 북콘서트, 하반기 개인정보보호 월별 세미나 4회를 통하여 약 1,900명의 개인정보보호 담당자 및 일반 국민에게 관련 정보를 공유하고 애로사항을 청취하였습니다.

    앞으로도 한국인터넷진흥원은 국민의 알 권리를 보장하고 개인정보보호 문화 확산을 위해 이와 같은 행사를 지속적으로 개최할 예정입니다. 향후 일정에 관한 공지는 공식 홈페이지의 공지사항 게시판을 통해 확인하실 수 있습니다.

    한국인터넷진흥원 공지사항 바로가기

    다음은 해외 개인정보보호 동향 및 GDPR 대응세미나 발표자료입니다.

  • 9. EU에서 수집된 개인정보 역외이전에 대한 정부차원의 지원

    Q1.

    GDPR 시행에 따라 EU에서 수집된 개인정보의 역외이전이 제한된다고 들었습니다. 이에 대한 정부 차원의 지원 또는 대응 방향이 궁금합니다.

    A1.

    GDPR 시행에 따라 EU 역내에서 수집된 개인정보의 역외이전은 제한됩니다. 다만 EU가 인정하는 추가적인 보호조치를 취한 경우에 예외적으로 이전을 허용하고 있습니다.

    GDPR은 EU에서 수집한 개인정보를 EU역외로 이전하기 위해 다음 4가지 보호조치를 권장하고 있습니다.

    ① 적정성 결정, ② 표준 개인정보보호 조항, ③ 구속력 있는 기업 규칙, ④ 승인된 행동규약, ④특정 상황에 대한 예외

    이에 정부는 역외이전에 대한 추가 규제 부담을 완화시키기 위하여 EU집행위와 적정성 결정(Adequacy decision)을 논의 중에 있습니다.

    적정성 평가는 EU 회원국이 아닌 제3국이 개인정보 보호를 위한 적정한 수준을 갖추고 있는지를 검토하는 것으로 적정성 결정을 받게 되면 EU에서 수집된 개인정보를 추가적인 보호조치 없이 국내로 이전할 수 있습니다. 현재까지 EU 개인정보보호 적정성 평가를 받은 국가는 미국과 뉴질랜드를 포함하여 12개국입니다.

    한국인터넷진흥원은 우리 기업의 영업환경을 보호하고 추가 규제 부담을 완화하기 위하여 적정성 승인에 최선의 노력을 기울이겠습니다.

  • 10. 기업의 임직원 개인정보 이전

    Q1.

    해외 기업과의 제휴 또는 해외 본사에 정보 공유 등을 통해 고객 또는 임직원의 개인정보를 해외에서 처리(열람, 수집, 저장 등)할 예정입니다. 이와 관련하여 기업이 조치해야할 사항이 있나요?

    A1.

    정보통신망법에 따라 우리 국민의 개인정보를 국외로 이전하여 처리하는 경우 이용자 또는 정보주체의 동의를 받고 기술적·관리적 보호조치, 분쟁해결 등에 대한 사항 등의 보호 조치를 취해야 합니다.

    단, 클라우드 등 계약이행 등을 위한 처리위탁·보관 등을 위한 경우에는 개인정보처리방침 등에 고지하는 것으로 동의를 면할 수 있습니다.

    ※ 관련 법조항 참고 : 정보통신망법 제63조(국외 이전 개인정보의 보호) 및 개인정보 보호법 제17조 (개인정보의 제공)

  • 11. 기업의 개인정보 이전 관련 국제인증 제도

    Q1.

    APEC CBPRs이 무엇인가요?

    A1.

    CBPRs(Cross-Border Privacy Rules system)은 APEC(아시아태평양경제협력체)에서 개발한 글로벌 개인정보보호 인증체계입니다. 전자상거래를 통해 회원 국 간 이전되는 개인정보 보호를 위해 개발된 회원국 공동의 개인정보 보호 기준이며, 기업의 개인정보보호 수준을 평가하는 척도로 활용될 수 있습니다.

    CBPRs은 참여 회원국의 개인정보보호 법 집행력과 회원국 간 법 집행 협력을 기반으로 운영되어, 기업의 인증에 대한 책임성이 강화될 뿐만 아니라 기업의 개인정보 유출 등 침해사고 시 회원국과의 공조를 통한 피해 구제 등을 통해 우리 국민의 개인정보보호 수준이 강화될 수 있습니다. 또한 우리 기업은 개인정보보호에 대한 국제적 신뢰를 확보하여 해외 진출을 위한 경쟁력이 높아질 것으로 기대됩니다.

    현재(2018년 12월 기준) 미국, 캐나다, 멕시코, 일본, 싱가포르, 호주, 대만과 함께 한국이 CBPRs 제도를 도입하였으며, 점차 회원국 내 확산될 것으로 전망하고 있습니다. 한국은 2019년부터 제도 운영을 하는 것을 목표로 현재 운영 준비 단계에 있습니다.

  • 12. 해외 개인정보보호 동향 파악을 위한 참고 자료

    Q1.

    해외 주요국의 개인정보보호 동향을 알고 싶은데, 참고할 만한 자료가 있을까요?

    A1.

    "한국인터넷진흥원과 개인정보보호위원회는 온라인 채널을 통해 주요국들의 법제 및 국제협약 동향을 게시하고 있습니다. 다양한 주제의 보고서를 통해 해외 각국의 개인정보보호 정책 동향과 흐름을 확인하시기 바랍니다.”

top