이따금씩 사업장이 『정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)』의 적용 대상인지 아니면 『개인정보 보호법』의 적용을 받는 기관(기업)인지를 판단하지 못해 혼란스러워 하는 경우가 있습니다. 때문에 사업장이 어느 법률의 적용을 받는지 잘 판단해야 하며 적용받는 해당 법령에 정보보호를 위해 어떤 조항이 있는지 보다 주의를 기울여야 합니다.
(※이 포스트에서는 정보통신망법과 개인정보보호법 기준에 대해서만 설명합니다. 은행과 같이 정보통신서비스를 제공하고 있으나 다른 특별법 적용대상이고 해당 법령에서 금융관련 정보통신서비스 및 정보보호에 관한 규제가 있을 경우 해당 법령을 우선 적용 받습니다. ※)
정보통신망법 적용 대상 사업자 (2018.02.10 기준)
일단 정보통신망법은 정보통신망을 이용해 영리 목적의 서비스를 제공하는 사업자는 모두 적용대상입니다. 다만 매출이 미미하지만 사업자로 등록된 사업자의 경우 특별한 기준이 명시되어 있지 않으나 묵시적으로 정보통신망법의 적용대상에서 예외로 보고 있습니다.
그 이유는 「정보통신망법 제47조(정보보호 관리체계의 인증)」에서 다음과 같이 규정하고 있기 때문입니다.
제47조(정보보호 관리체계의 인증) ① 과학기술정보통신부장관은 정보통신망의 안정성·신뢰성 확보를 위하여 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계(이하 “정보보호 관리체계”라 한다)를 수립·운영하고 있는 자에 대하여 제4항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다. <개정 2012.2.17., 2013.3.23., 2015.12.1., 2017.7.26.>
② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. <신설 2012.2.17., 2015.12.1.>
1. 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자
2. 집적정보통신시설 사업자
3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자
위 기준 중 3의 기준에 부합하지 않는 대부분의 소상공인이나 사업자의 경우 “정보보호 관리체계 인증”을 받지 않아도 되기 때문에 정보통신망법의 적용 대상이긴 하지만 정보통신망법 상의 기술적·관리적 보호조치를 이행하고 “인증”을 받아야 할 “의무”는 없다고 판단하는 조금 말이 되지 않는 상황이 발생합니다.
그럼에도 불구하고 예외로 보는 것은 정보통신망법 적용 대상이라 하더라도 그만한 자금력이 없는데 정보통신망법과 그 이하 법령에서 요구하는 정보통신서비스 제공자의 의무인 기술적·관리적 보호조치를 요구하는 것은 무리이기 때문입니다. 그래서 매출액 및 세입과 연간 매출액 그리고 3개월간의 일일평균 이용자 수를 기준으로 “의무” 대상자 여부를 판단하는 것이라고 봐야 합니다.
정보통신망법은 특별법입니다. 따라서 제47조(정보보호 관리체계의 인증)의 정보보호 관리체계 인증 의무 대상 기준에 해당되는 사업자 및 기관 이외의 사업자는 정보통신망법을 지켜야할 의무는 없다고 일반적으로 판단합니다. 하지만 개인정보를 조금이라도 수집하는 사업자 및 공공기관은 일반법인 「개인정보보호법」의 적용을 받게 됩니다.
정보통신망법과 개인정보보호법의 차이
개인정보를 조금이라도 수집하는 모든 사업자, 단체 및 개인은 원칙적으로 개인정보보호법 적용대상자 입니다. 개인정보보호법은 일반법이기 때문에 정보통신망법 보다 그 적용대상이 월등히 많습니다. 두 법은 유사한 점도 많지만 차이점도 꽤나 많습니다.
그리고 두 법의 차이점을 이해하는 것이 꽤나 헷갈리기 때문에 일부 정보보호전공 관련 대학에서는 두 법의 차이점을 분석해 레포트로 제출하라는 과제를 낼 정도입니다. 그리고 ISMS (or ISMS-P) 인증심사나 ISO27001 심사 때도 법적인 의무사항과 관련해 심사원들 조차도 헷갈려하는 경우가 많습니다.
가장 대표적인 차이 중 하나가 “개인정보 이용내역 통지제”를 들 수 있습니다.
정보통신망법에서는 망법 대상자에게 모두 동일한 기준을 제시하고 있습니다. 정보통신망법 제30조의2(개인정보 이용내역의 통지)에서는 다음과 같이 명시하고 있습니다.
제30조의2(개인정보 이용내역의 통지) ① 정보통신서비스 제공자등으로서 대통령령으로 정하는 기준에 해당하는 자는 제22조 및 제23조제1항 단서에 따라 수집한 이용자 개인정보의 이용내역(제24조의2에 따른 제공 및 제25조에 따른 개인정보 처리위탁을 포함한다)을 주기적으로 이용자에게 통지하여야 한다. 다만, 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 아니한 경우에는 그러하지 아니하다. <개정 2016.3.22>
② 제1항에 따라 이용자에게 통지하여야 하는 정보의 종류, 통지 주기 및 방법, 그 밖에 이용내역 통지에 필요한 사항은 대통령령으로 정한다. [본조신설 2012.2.17]
대통령령을 봐야겠죠?
제17조(개인정보 이용내역의 통지) ① 법 제30조의2제1항 본문에서 “대통령령으로 정하는 기준에 해당하는 자”란 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등을 말한다.
② 법 제30조의2제1항에 따라 이용자에게 통지하여야 하는 정보의 종류는 다음 각 호와 같다. <개정 2016.9.22.>1. 개인정보의 수집·이용 목적 및 수집한 개인정보의 항목2. 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목. 다만, 「통신비밀보호법」 제13조, 제13조의2, 제13조의4 및 「전기통신사업법」 제83조제3항에 따라 제공한 정보는 제외한다.3. 법 제25조에 따른 개인정보 처리위탁을 받은 자 및 그 처리위탁을 하는 업무의 내용
③ 법 제30조의2제1항에 따른 통지는 전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 연 1회 이상 하여야 한다. [본조신설 2012.8.17.]
네.. ③항에 연1회 이상 개인정보의 이용내역을 통지하라고 되어 있습니다.
하지만 개인정보보호법에서는 기관과 기업이 아무리 많은 개인정보를 수집해 보유하더라도 이용자(정보주체)에게 수집 시 이용·동의만 받았으면 이용 내역을 정기적으로 통지하라고 요구하지 않습니다.
하지만 정보통신망법의 개인정보 이용내역 통제제와는 다르지만 개인정보보호법에서도 정보주체에게 연1회 이상 무언가를 알려야하는 경우가 있습니다.
바로 정보주체 이외로부터 연2회 이상 개인정보를 제공받는 경우 연1회 이상 개인정보를 어디에서 왜 수집했는지를 통지하도록 요구하고 있습니다.
제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지) ① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.1. 개인정보의 수집 출처2. 개인정보의 처리 목적3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실
② 제1항에도 불구하고 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다. <신설 2016. 3. 29.>
③ 제2항 본문에 따라 알리는 경우 정보주체에게 알리는 시기ㆍ방법 및 절차 등 필요한 사항은 대통령령으로 정한다. <신설 2016. 3. 29.>
④ 제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다. <개정 2016. 3. 29.>1. 고지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우2. 고지로 인하여 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
2항에서 명백하게 일정 기준이상의 개인정보처리자는 정보주체(이용자) 이외로부터 개인정보를 수집할 경우 수집 출처와 처리 목적을 정보주체(이용자)에게 알리도록 되어 있습니다.
자세한 적용대상 및 통지의 시기와 방법 등은 대통령령으로 정한다고 되어 있죠? 개인정보 보호법 시행령(2017.10.19)에서는 다음과 같이 개인정보 이용에 대한 고지 의무 대상을 명시하고 있습니다.
제15조의2(개인정보 수집 출처 등 고지 대상ㆍ방법ㆍ절차) ① 법 제20조제2항 본문에서 “대통령령으로 정하는 기준에 해당하는 개인정보처리자”란 다음 각 호의 어느 하나에 해당하는 개인정보처리자를 말한다.1. 5만명 이상의 정보주체에 관하여 법 제23조에 따른 민감정보(이하 “민감정보”라 한다) 또는 법 제24조제1항에 따른 고유식별정보(이하 “고유식별정보”라 한다)를 처리하는 자2. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자
② 제1항 각 호의 어느 하나에 해당하는 개인정보처리자는 법 제20조제1항 각 호의 사항을 서면·전화·문자전송·전자우편 등 정보주체가 쉽게 알 수 있는 방법으로 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알려야 한다. 다만, 법 제17조제2항제1호부터 제4호까지의 사항에 대하여 같은 조 제1항제1호에 따라 정보주체의 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알리거나 그 동의를 받은 날부터 기산하여 연 1회 이상 정보주체에게 알려야 한다.
③ 제1항 각 호의 어느 하나에 해당하는 개인정보처리자는 제2항에 따라 알린 경우 다음 각 호의 사항을 법 제21조 또는 제37조제4항에 따라 해당 개인정보를 파기할 때까지 보관·관리하여야 한다. 1. 정보주체에게 알린 사실 2. 알린 시기 3. 알린 방법[본조신설 2016.9.29.]
두개의 기준을 제시하고 있습니다. “5만명 이상의 민감정보 또는 고유식별번호를 제공받아 처리하는 개인정보처리자”와 “100만명 이상의 개인정보를 처리하는 자”로 명시하고 있습니다. 이에 해당하는 개인정보처리자가 흔하지는 않긴 합니다.
역으로 위의 조건에 해당되지 않는 개인정보처리자 즉 사업자나 개인은 정보주체(이용자) 이외로부터 개인정보를 수집해도 이용자에게 알릴 의무가 없다는 이야기가 됩니다.
다음으로 비교해볼만한 규정은 개인정보의 암호화에 대한 규정입니다.
개인정보의 암호화
두 법에서는 개인정보의 암호화 의무에 대해서도 조금씩 다르게 규정하고 있습니다.
개인정보보호법에서는 크게 두 개의 조항에서 개인정보에 대한 암호화를 규정하고 있습니다.
제24조(고유식별정보의 처리 제한) ③ 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다. 제24조의2(주민등록번호 처리의 제한)
② 개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다
고유식별정보에 대해 암호화 조치 등을 수행하라고 요구합니다. 여기서 등~이 중요합니다. 반드시 암호화를 해야한다는 것은 아니라는 것을 암시(?)하죠. 그리고 두 번째 조항에 보면 고유식별정보 중에서도 주민등록번호는 암호화 조치를 통해 안전하게 보관하라고 되어 있죠. 즉 주민번호는 무조건 암호화 해야하지만 그 외의 고유식별정보는 암호화 예외도 있을 수 있다고 보여집니다.
그리고 고유식별정보의 경우에도 시기적으로 유예를 하고 있는 듯 보입니다. 자세한 내용은 개인정보보호법 시행령(2017.10.19)에서는 다음과 같이 암호화 의무 대상과 기한을 명시하고 있습니다.
제21조의2(주민등록번호 암호화 적용 대상 등) ① 법 제24조의2제2항에 따라 암호화 조치를 하여야 하는 암호화 적용 대상은 주민등록번호를 전자적인 방법으로 보관하는 개인정보처리자로 한다.② 제1항의 개인정보처리자에 대한 암호화 적용 시기는 다음 각 호와 같다.1. 100만명 미만의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2017년 1월 1일2. 100만명 이상의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2018년 1월 1일③ 행정안전부장관은 기술적· 경제적 타당성 등을 고려하여 제1항에 따른 암호화 조치의 세부적인 사항을 정하여 고시할 수 있다. <개정 2017.7.26.>[본조신설 2015.12.30.]
즉 2018년 1월 1일까지는 모든 개인정보처리자는 모두 주민등록번호를 암호화 해야 하는 것 같습니다. 그렇다면 예외는 없을까요? ③ 에 명시한 행정안전부 장관의 고시 「개인정보의 안전성 확보조치 기준(2017.7.26)」에 암호화에 대한 세부 사항이 나와 있는 것 같습니다. 관련 내용은 제4조(내부 관리계획의 수립.시행)에 나와 있습니다.
제4조(내부 관리계획의 수립·시행) ① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야 한다.1. 개인정보 보호책임자의 지정에 관한 사항2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항3. 개인정보취급자에 대한 교육에 관한 사항4. 접근 권한의 관리에 관한 사항5. 접근 통제에 관한 사항6. 개인정보의 암호화 조치에 관한 사항7. 접속기록 보관 및 점검에 관한 사항8. 악성프로그램 등 방지에 관한 사항9. 물리적 안전조치에 관한 사항10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항11.개인정보 유출사고 대응 계획 수립·시행에 관한 사항12. 위험도 분석 및 대응방안 마련에 관한 사항13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항15. 그 밖에 개인정보 보호를 위하여 필요한 사항② [별표]의 유형1에 해당하는 개인정보처리자는 제1항에 따른 내부 관리계획을 수립하지 아니할 수 있고, [별표]의 유형2에 해당하는 개인정보처리자는 제1항제12호부터 제14호까지를 내부 관리계획에 포함하지 아니할 수 있다.③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.④ 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검·관리하여야 한다.
고유식별번호인 주민등록번호의 암호화는 6. 개인정보의 암호화 조치에 관한 사항에 해당됩니다. 그런데 ②에 보면 [별표]의 유형1에 해당되는 개인정보처리자는 내부 관리계획을 수립하지 않을 수 있다고 명시되어 있습니다. 계획을 수립하지 않아도 된다는 것은 “하지 않아도 된다”는 의미죠. 그렇다면 [별표]를 봐야 합니다. 보지 않고서 “암호화하지 않아도 된다”고 섣부르게 판단하면 안됩니다.
[별표]는 다음과 같습니다.
[별표]의 유형1은 1만명 이하의 개인정보를 보유하고 있는 개인정보처리자 입니다. 최소 기준이죠. 이 기준의 개인정보처리자의 개인정보보호조치의 최소한의 기준입니다. 최소한 5,6,7조의 일부와 8,.9,10,11조 그리고 13조를 이행해야 합니다.
그 중에서도 개인정보의 암호화는 제7조(개인정보의 암호화)에 있습니다.
제7조(개인정보의 암호화) ① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.③ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과2. 암호화 미적용시 위험도 분석에 따른 결과⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.⑥ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.⑧ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제6항을 아니할 수 있다.
[별표]에서 유형1의 사업자나 개인이 이행해야하는 조항을 붉은 색으로 표시해봤습니다. 네… 다 해야하네요. ^^ 다만 암호화에 사용되는 암호키관리는 특별히 요구하지 않습니다. 왜냐하면 개인정보를 암호화할 때 암호키관리를 ⑥항의 기준에 맞추어 이행하자면 비용이 많이 들게 될 가능성이 높거든요.
그리고 내부망에 고유식별정보를 저장하는 경우 마치 암호화 적용 여부를 자체 판단할 수 있는 것 처럼 나와 있지만 인터넷과 완전하게 물리적으로 분리되며 장비에 대한 물리적 접근등이 완벽하게 통제되지 않는 이상 암호화를 해야 합니다. 때문에 고유식별정보는 무조건 암호화한다고 생각하는 것이 마음 편합니다.
하지만 정보통신망법을 적용받는 사업자는 다릅니다. 정보통신망법 제15조(개인정보의 보호조치)를 보면 다음과 같습니다.
제15조(개인정보의 보호조치) ① 법 제28조제1항제1호에 따라 정보통신서비스 제공자등은 개인정보의 안전한 처리를 위하여 다음 각 호의 내용을 포함하는 내부관리계획을 수립·시행하여야 한다. <개정 2016.9.22.>1. 개인정보 보호책임자의 지정 등 개인정보보호 조직의 구성·운영에 관한 사항(중략~)④ 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장·전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다. <개정 2014.11.28., 2017.3.22.>1. 비밀번호의 일방향 암호화 저장2. 주민등록번호, 계좌정보 및 바이오정보 등 방송통신위원회가 정하여 고시하는 정보의 암호화 저장3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등의 조치4. 그 밖에 암호화 기술을 이용한 보안조치⑤ 법 제28조제1항제5호에 따라 정보통신서비스 제공자등은 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 백신소프트웨어를 설치하여야 하며, 이를 주기적으로 갱신·점검하여야 한다.⑥ 방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조제1항제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.[전문개정 2009.1.28.]
또 고시를 보라네요. 이번에는 방송통신위원회의 「개인정보의 기술적·관리적 보호조치 기준 고시」 입니다.
제6조(개인정보의 암호화) ① 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다.1. 주민등록번호2. 여권번호3. 운전면허번호4. 외국인등록번호5. 신용카드번호6. 계좌번호7. 바이오정보③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능④ 정보통신서비스 제공자등은 이용자의 개인정보를 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 이를 암호화해야 한다.
네… 그냥 주민등록번호부터 바이오정보까지 묻지도 따지지도 않고 암호화하라 합니다. 즉 정보통신망법 대상 사업자는 위에서 언급된 개인정보를 무조건 암호화해야 합니다.
그 외에도 영상정보처리기기(CCTV)와 관련된 규정은 정보통신망법에서는 찾아볼 수 없지만 개인정보보호법에서는 구체적으로 규정하고 있는 등 꽤 많은 차이점이 존재합니다.
이렇듯 두 법은 유사한 점도 있고 다른 점도 있습니다. 따라서 자신이 속한 사업장이 어떤 법을 적용받는지 적절하게 판단해야 합니다. 그리고 그 판단의 결과에 따라 해당 법령을 세밀하게 해석하고 정리해야 합니다. 자칫 엉뚱한 법에서 요구하는 내용을 정책과 지침에 반영하거나 자신의 사업장에 적용되어야 하는 법령을 누락시키면 큰 문제가 발생할 수도 있습니다.
— 2019.03.02. (추가) 개인정보처리 업무 위탁 동의 필요 여부에 대한 두 법령의 차이점 포스트 (보러가기)