▶ 개인정보 처리방침 작성 지침 (개정 가이드) 

출처 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=10127

2023년 개인정보보호법 개정 관련 내용을 추가하여 CPPG 시험 시 반드시 암기해야할 내용을 정리한 파일이다. 

ISMS-P 인증심사원 검증을 준비하고 있거나,  개인정보보호 관련 업무를 맡고 있다면 CPPG 자격증은 많은 도움이 된다.

반드시 암기해야할 내용을 정리했으며, 시험볼 사람은 다 암기하고 시험볼 것.

▶ 개인정보 영향평가 수행안내서 (개정)

출처:  지침(가이드라인) | 개인정보보호위원회 > > 정책 · 법령>법령정보 (pipc.go.kr)

내 수업을 듣는 한 아이가 '이거 드릴까요' 하면서 내 손에 벚꽃잎을 하나 놓아준다.

나는 그 아이를 잠시 쳐다 봤다. 

갑작스럽기도 했고, 예쁘기도 했다.

이런 마음이 아직 당연한 사람들을 나는 매주 본다. 

20년 넘게 아프거나, 늙었거나, 웃을 일이 없는 사람들의 표정을 보면서 살다가

팔자에도 없는 학교에서 가르치는 일을 하다보니 웃거나, 졸거나, 정신없고 예쁜 사람들의 표정을 보게 되었다. 

덕분에 나는 조금 밝아졌다.

사람 앞에서 말하는 것을 좋아하지 않는 나는 말 잘하는 사람이 되어 있었다. 

가르치거나(이말이 너무 싫다) 지식을 전하거나 조금씩 알려주면서도, 내 강의실의 아이들 만큼은 경쟁 시장에 몰아넣기는 싫었다.

경쟁은 사람을 멍들게 하고 다수의 아이들은 패자로 만든다. 

약육강식은 아프리카 초원에서나 통용되는 말이지 사람 사는 세상에서는 그리해서는 안된다.

그것보다는 그들이 같이 보고 듣고 생각하고 의견을 주고 받으며 세상 살아가는 방법을 깨우치길 바랄 뿐이다.

한국사회의 가장 문제는 '경쟁'과 '엘리트' 주의이다. 

이 두가지가 얼마나 사회악으로 작용하였는가는 경쟁적으로 공부를 하고 타인을 물리쳐 낸 그들, 소위 엘리트가 된 이들이 지금 어쩌고 있는지 보면 된다.

경쟁에서 이기고 높은 곳에 올라선 사람이 아닌 약자를 헤아리고 사회에서 구심점 역할을 할 수 있는 사람을 '엘리트'라 정의하고 싶다.

내 시대에서 경쟁을 끝내야 마땅하다.

경쟁의 삶은 행복하지 않을 뿐만아니라, 불행과 좌절만 양산한다.

언제쯤 너희에게 경쟁하지 않아도 괜찮다는 말을 할 수 있을까.

벚꽃이 가득한 교정이라며, 수업 말고 사진 찍으러 나가자는 어떤 아이의 말에 웃게된다.

그래. 4월이지.

시간은 아껴쓰기도 해야 겠지만, 이롭게도 써야 한다.

당연한 세월에서 당연하지 않은 계절을 보낸다.

너희의 젊음이 나의 청춘이지는 않지만, 너희들 덕분에 매주 힘을 얻는다.

무심한 침묵에, 잠와요 하는 투정에, 까르르 웃는 아직은 아기일지도 모르겠는 그 모습에서.

[주요개정 내용]

<자동화된 결정에 대한 정보주체의 권리(법 제37조의2)>

 O 입법 취지: AI에 의한 의사결정은 "블랙박스"로 표현되는 불투명성이 있기 때문이다.

  1. "설명 등 요구권"에서 "등"은 시행령에서 말하는 "검토요구"를 말한다.

  2. 개인의 권리,의무에 "중대한 영향"을 미치는 경우 거부권을 행사할 수 있다. 다만, 사전에 충분한 설명, 동의 받을 시 거부권 저지 가능하다.

  3. 사람이 개입하는 내용이 없어야 이 법이 적용된다.

  4. 기준, 절차, 방식에 대해 사전 공개 의무가 있다.

O 개인정보의 처리를 전제로 하며, AI의 의미있는 분석, 가공 등 처리과정이 존재해야 한다.

    AI에 의한 무작위 방식이나 분류 정도는 본 법의 적용이 없다.

O 맞춤형 광고의 경우, 최종 의사결정은 개인에 달려 있으므로 적용이 없다.

O AI에 의한 행위가 "단순한 사실의 확인"일 경우 본 법의 적용이 없다.

    권리,의무나 법적인 영향이 있어야 한다.

O AI에 의한 결정은 최종적인 것이어야 한다.

    다만, 개별단계만으로도 개인의 권리, 의무에 중대한 영향을 미칠 경우 최종적이 아니더라도 "자동화된 결정"으로 볼 수 있다.

   (예시: AI단계에서 신입사원의 "합격 / 불합격" 결정의 경우)

O 설명 요구권에서 말하는 "간결하고 의미있는 설명"인가의 여부는 "정보주체의 관점"에서 판단한다.

    정보주체는 관련 전문지식이 없거나 익숙하지 않기 때문이다.

O 만약 계약서로 "자동화된 결정"을 명시하고 포함 시, 정보주체는 "거부권"행사 불가능하다.

    충분히 안내 후 동의를 받는 방법으로도 정보주체의 "거부권"행사 저지가 가능하다.

    다만, 이러한 "거부권 행사"의 거절 시에도 이에 대한 내용을 30일 이내 통지해야 한다. 정당한 사유가 있을 경우 2회 연장하여 총 90일까지 연장 가  능하다.

O 개인정보처리자의 조치 의무

 - 자동화 거부 시 : 해달 결정 적용 후 공지한다. 재처리 요구 시 처리 후 알려야 한다.

 - 설명 요구 시 알려야 할 내용

  1. 결정의 결과

  2. 사용된 개인정보의 유형

  3. 결정의 주요 기준

  4. 절차

 - 설명 요구의 거절 시 : "정당한 사유 있을 시" 거절 가능하다. 다만 "지체없이" 알려야 한다. "지체없이"의 기준은 10일 정도(고시 예정)로 생각하고 있다.

O "중대한 영향"의 판단 기준(고시 예정, 3월 말 사례 소개 예정)

  1. 기본권 보호 관련성

  2. 권리가 박탈되거나 행사가 불가능

  3. 수인하기 어려운 의무가 발생

  4. 지속적인 제한

  5. 영향을 미치기 전의 상태로 회복하거나(회복 가능성) 영향을 회피할 가능성이 있는지(회피 가능성)

     등을 종합적으로 판단한다.

O "민감정보"와 "14세 미만 아동의 정보"의 자동화 처리(유럽은 금지)

 - 현행법상 금지되지는 않음.

 - 항목, 목적 등을 구체화하고 거부권이 있음을 알려야 하며, 절차를 공개 하여야한다.

O 사례 : AI단계에서 채용이 불합격 된 정보주체가 설명 요구 시

 - 반드시 사람 손을 거쳐서 다시 판단해야 할 필요는 없으며, 프로그램 오류가 없었는지 정도만 확인해서 알려도 무방하다.

<개인정보 보호책임자 경력 인정에 관한 고시(CPO)>

O 학부 및 석사, 박사 : 개인정보보호관련 학과 개설 예정

O 개인정보 보호법 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등)

  ③ 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다.

    2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람

     가. 사업주 또는 대표자

     나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)

 => 여기서 "임원"의 의미는 "법인세법, 상법"상 정의된 임원을 말한다

  => (참고)법인세법 시행령 제40조

   1. 법인의 회장, 사장, 부사장, 이사장, 대표이사, 전무이사 및 상무이사 등 이사회의 구성원 전원과 청산인

   2. 합명회사, 합자회사 및 유한회사의 업무집행사원 또는 이사

   3. 유한책임회사의 업무집행자

   4. 감사

   5. 그 밖에 제1호부터 제4호까지의 규정에 준하는 직무에 종사하는 자

  => (참고)상법에서 말하는 임원이란 ‘주주총회에서 선임된 이사와 감사’를 말한다. 반드시 등기된 이사와 감사일 필요는 없다.

<공공기관 개인정보 보호수준평가>

O 공공기관 CPO의 CPPG 취득은 정성적 지표로서 가산점 사항이다. 의무적인 사항은 아니다.

<손해배상책임 보장 의무대상자의 범위> (안내서:3월말 배포 예정)

O 공공기관은 매출액이 없는 경우 "법인세"기준의 소득으로 판단한다.

O 사립병원 : 10억+1만명 시 의무

    공공기관은 "상급종합병원(47개)"만 의무, 나머지 의무 면제

O 적용 유예기간은 특별히 없으며, 현재 직접 과태료 규정은 없으며 시정 조치(개인정보 보호법 64조)를 받을 수 있다.

   시정조치 명령에 따르지 않을 시, 개인정보보호법 제75조(과태료) 2항 27호에 따라 3천만원의 과태료 부과 가능하다.

▶ 개인정보 보호법 및 2차 시행령 개정사항 안내서

▶ 개인정보 보호법 및 2차 시행령 설명 자료

출처 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=9986

JavaScript를 Backend로 사용하면서(Node.js) 개발에 대한 시큐어코딩 가이드

VanillaJS , ReactJS  , ExpressJS 개발 시 에 대한 안전한 시큐어 코딩 예시가 명시되어 있음

▶ JavaScript 시큐어코딩 가이드(2023개정판)

출처 : https://www.kisa.or.kr/2060204/form?postSeq=14&page=1#fnPostAttachDownload

게시일 : 2024-03-27

정보통신망법 개정사항이 반영되었으며, 주요 개정 내용은 다음과 같습니다.

 - 불법스팸 전송차 처벌 강화 및 통신사의 전송방지 책임성 강화를 위한 처벌 상향

 - 이용자 수신 동의 및 전송자 금지행위 관련 해석이 모호한 단어를 명시적 단어로 변경 등

▶ 불법 스팸 방지를 위한  안내서(6차)_개정판

출처 : https://spam.kisa.or.kr/spam/na/ntt/selectNttInfo.do?mi=1020&nttSn=2241&bbsId=1002