국민토론
새로운 개인정보 정책 아이디어 또는 기존 정책·제도 개선 방향을 제안하고,
다수가 공감하는 안건을 숙성, 공론화할 수 있는 토론의 장입니다.
HOME 소통마당 국민토론
국민토론
37
진행 0
종료 37건
진행 0
종료 0건
0
유형
분야
상태
~
|
기타
토론종료
D-0
과징금 감경 요건에 보안 취약점 신고 포상제 참여 여부 추가 제안
개인정보 유출사고에 대한 기업 부담을 낮추고 보호 활동에 자율적인 참여를 유도하기 위해 「개인정보보호 법규 위반에 대한 과징금 부과기준」(행정예고된 개인정보 보호법 위반에 대한 과징금 부과기준)의 과징금 감경기준에 한국인터넷진흥원에서 운영 중인 보안 취약점 신고 포상제 참여 여부를 고려하게 하는 조항을 추가할 것을 제안합니다. 보안 취약점 신고 포상제는 정보통신망법 제47조의6(정보보호 취약점 신고자에 대한 포상) 및 동법 시행령 제55조의6(정보보호 취약점 신고자에 대한 포상)을 근거로, 소프트웨어 신규 취약점을 발굴하여 신고한 사람에게 과기정통부 예산으로 포상금을 지급하는 제도를 의미합니다. 국가가 포상금을 지급하는 제도이지만 기업/기관(이하 ‘참여사’)에서 공동 운영 제도에 참여할 경우 참여사가 취약점 평가위원으로 같이 참석해 최종 포상금을 결정하고 참여사에서 포상금을 지급하게 됩니다. 참여사가 공동 운영 제도에 참여하게 되면 단순히 금전적 부담을 같이 지게 되는 구조가 아니라 참여사가 사전에 지정한 범위의 시스템을 대상으로 한 취약점을 발굴하는 행위를 문제 삼지 않음으로써 화이트 해커가 법적 처벌을 받게 될 부담 없이 참여사의 시스템을 대상으로 적극적인 취약점 발굴을 할 수 있는 토대를 마련해 줍니다. (참고 : 정보통신망법 제48조(정보통신망 침해행위 등의 금지)에 근거해 정보통신망에 침입하는 행위는 금지되어 있음) 보안 취약점 신고 포상제 설명 URL : https://knvd.krcert.or.kr/rewardExplain.do 해킹이 개인정보 주요 유출사고를 초래한 주요 요인 중 하나인 점을 감안하면 보안 취약점 신고 포상제에 참여해 적극적으로 취약점을 개선하려는 기업의 행동은 개인정보 유출사고 발생 가능성을 낮출 수 있는 주요 요인일 것이며, 자발적인 참여해 의한 금전적 지출 등의 노력은 개인정보보호위원회에서 과징금 산정 시 감경 요건으로 고려해 볼법한 요소란 생각이 듭니다.(참고 : 보호위원회가 인정하는 인증(ISMS-P, ISO 27001 등)을 받은 경우 과징금 금액을 감경하는 조항은 이미 존재하며, 보안 취약점 신고 포상제 참여도 동등한 요건으로 판단 됨) 감사합니다. 개정(안) ---------------------------------------------------- "과학기술정보통신부의 위탁을 받아 한국인터넷진흥원에서 운영 중인 보안 취약점 신고 포상제 공동 운영제도에 참여하는 경우 : 100분의 20 이하에 해당하는 금액을 감경" ----------------------------------------------------
IntoTheSec

2023-06-06
| 2
기타
토론종료
D-0
개인정보온마당의 활성화를 위한 노력
안녕하세요. 최근에는 개인정보의 중요성이 증가하였지만, 일반 공공기관, 기업, 단체의 담당자들은 여전히 개인정보와 관련된 업무에 어려움을 겪고 있으며, 이를 위한 이해와 노력이 필요합니다. 개인정보 온마당은 매우 유용한 플랫폼이지만, 많은 사람들이 이를 알지 못하고 홍보도 효과적으로 이루어지지 않는 단점이 있습니다. 저 또한 다양한 세미나나 강의를 통해 홍보를 하고 있지만, 이것만으로는 부족하다는 생각이 듭니다. 해당 담당부서의 보다 적극적인 홍보가 필요합니다. 또한, 온마당의 기능에서도 답변을 했을 때 피드백을 문자나 이메일로 알려주거나 앱을 통해 쉽게 확인하고 물어볼 수 있는 다양한 방식이 적용되면 좋을 것 같습니다. 전문회원의 다양한 의견을 청취할 수 있는 커뮤니티도 필요합니다. 앞으로 계속 노력하고 계시겠지만 개인정보 온마당에 대한 중요성을 더욱 어필하고 알리려고 하는 노력이 필요하다고 생각합니다. 다양한 의견을 청취하고 국민과 개인정보 담당자들이 쉽게 접근할 수 있는 온마당이 되기 위해 모임을 만들고 서로 교류할 수 있는 절차도 마련되었으면 좋겠습니다. 그래야 보다 정확하고 다양한 의견이 나오며 전문성도 향상될 것으로 생각됩니다. 아래 댓글로 다양한 아이디어를 제언하면 좋을 것 같습니다. ^^ 감사합니다.
개인정보보호전문가

2023-05-24
| 7
기타
토론종료
D-0
PBD 우수사례 공모 제안
안녕하세요. 요즘 배송을 위한 송장에 노출된 개인정보에 관심을 갖고 살펴보고 있었는데 회사마다 송장이 조금씩 다르더군요. 개인정보 제거를 위해 손쉽게 제거할 수 있는 송장도 있는 반면에 뜯어내기 어렵게 부착이 되어 있는 것도 있었고 송장에 휴대폰 번호가 기재되어 있지 않은 송장도 있었습니다. 개인적으로는 일반적인 포함하고 있는 3대 정보(성명, 휴대폰 번호, 주소)가 없는 송장은 전혀 예상하지 못했습니다. 기재되어 있지 않다는건 필요한 정보를 확인(처리)하기 위해서는 별도의 시스템(예: 단말 내 앱)이 있단 의미같고 배송원 입장에서는 배송 과정에서 시스템을 확인하는 과정이 수반될 것이라 큰 번거로움이 있을걸로 예상됩니다. 그럼에도 개인정보 보호를 위한 누군가의 어려운 의사결정이 있지 않았을까란 생각도 해보았고요. (저만의 추측이라 사실과 다를 수도 있으며, 송장얘기를 하기 위해서 글을 작성한다기 보단 Privacy 중심 설계를 언급하고자 조심스레 들어본 예입니다.) 본론으로 들어가보면, PBD(Privacy By Design)의 중요성은 개인정보보호위원회 뿐만 아니라 모두가 알고 있지만 기능성/편리성과 상충되는 경우가 있기 때문에 개인정보처리자가 이를 고려하고 실제 적용하는건 쉽지 않습니다. 이 시간에도 프라이버시 중심 설계를 고민하며 이해관계자들을 설득하고 있을지 모르는 개인정보보호 담당자들에게 힘을 실어주기 위해 PBD 우수사례를 공모 또는 발굴해 개인정보처리자를 시상 하거나 개인정보보호위원회 홈페이지를 통해 홍보를 하는건 어떨까요? 중요성을 널리 알릴 수 있고 조직(기업) 홍보에도 도움을 줄 수 있다는 인식을 심어줄 수 있는 등 여러 장점이 있을거 같은데 아직까지는 공모 사례가 없었던 것 같아 글을 남겨 봅니다.
IntoTheSec

2023-03-21
| 1
기타
토론종료
D-0
개인정보수준진단 전담조직 명확화
현재 대학에서는 정보보호 수준진단을 하고 있습니다. 그러나 문제점은 정보보호 및 개인정보보호 인력 전담조직에 관한 체크 항목이 있습니다. 현재 많은 대학에서는 정보보호 및 개인정보보호 전담인력이 없고 대부분 겸직으로 일하고있습니다. 겸직으로 일하게되면 문제점이 하나에 집중해도 모르자를판에 겸직을 하고있으니 정보보호 및 개인정보보호를 놓치는 부분이 많습니다. 대학에서 원하는건 개인정보보호 위원회가 지침을 만들던 아니면 시행령을 많들어서 전담조직을 신설하고 겸직을 금지 하도록 법을 만들어서 많은 대학에 공문으로 보내주세요 그래야 대학의 기관장들이나 부기관장들이 움직입니다. 아무리 밑에서 말해도 위에서는 움직이지를 않습니다.
중거리대포알

2023-02-25
| 2
민감/고유식별정보
토론종료
D-0
고유식별정보에 연계정보 추가를 제안합니다.
유출시 매우 큰 영향을 미칠 수 있는 "연계정보"의 보호를 위해 "고유식별정보"로 지정하는 방안을 제안합니다. 1. 제안 배경 「본인확인기관 지정 등에 관한 기준」 제2조에 정의되어 있는 "연계정보"(CI)의 유용성은 "본인신용정보관리업"(마이데이터)에서 두드러지게 나타나고 있다고 생각합니다. 흩어져 있는 정보를 정보주체의 식별자 하나로 통제할 수 있다보니 그 효용성도 입증되었다고 봅니다. 하지만, "연계정보"의 사용은 늘어가는데 비해, 보호수준은 못따라간다고 보입니다. "연계정보"의 위험성은 이미 많이 논의 되어 온것으로 알고 있습니다. 하지만 이해관계자도 많고, "연계정보"를 대체할 만한 효율적인 수단이 없다보니 여전히 가장 선호되는 식별자로 쓰이고 있는것 같습니다. 2. 제안 내용 "연계정보"의 안전한 활용을 위해 보호가 반드시 필요하기에 "고유식별정보"에 "연계정보" 추가를 제안합니다. 시행령의 개정으로 처리할 수 있도록 「개인정보 보호법 시행령」 제19조(고유식별정보의 범위)에 다음과 같이 "연계정보"를 추가하는 방안을 제안합니다. ------------------------------- 「개인정보 보호법 시행령」 제19조(고유식별정보의 범위) 법 제24조제1항 각 호 외의 부분에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다. 1. 「주민등록법」 제7조의2제1항에 따른 주민등록번호 2. 「여권법」 제7조제1항제1호에 따른 여권번호 3. 「도로교통법」 제80조에 따른 운전면허의 면허번호 4. 「출입국관리법」 제31조제5항에 따른 외국인등록번호 ========== 추가 ========== 5. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제23조의3에 따른 본인확인기관이 본인확인기관간 공유하기 위해 주민등록번호를 이용하여 생성한 연계정보 ------------------------------- 3. 기대 효과 "연계정보"의 중요성을 개인정보처리자에게 확실하게 인식시킬수 있을것이며, "고유식별정보"의 암호화 의무에 따른 "연계정보"의 암호화를 통해 유출사고 예방 및 사고발생 시 추가 유출사고의 방지를 기대할 수 있을 것입니다. - 끝 -
개인정보보호 가이드

2022-11-05
| 4
안전성 확보조치
토론종료
D-0
개인정보 보호책임자의 역량기반 자격요건 추가
효과적인 개인정보보호를 위해 개인정보 보호책임자 혹은 개인정보 보호조직에 역량 기반 자격요건(자격증 등)을 추가 할 것을 건의 합니다. 1. 제안 배경 현행 법령에서는 CPO의 책임 및 권한을 명확히 할 수 있도록 직위에 따른 요건만 부과하고 있습니다. 하지만, 해당 직위에 있는 CPO가 관련 지식이 없거나 매우 적은 경우도 많은 것으로 알고 있습니다. 그러므로, 관련 자격을 갖춘 사람을 CPO로 지정하거나 혹은 개인정보보호 조직에 필수로 포함할 필요가 있다고 생각합니다. 2. 제안 내용 「개인정보의 안전성 확보조치 기준」에 역량 기반 자격요건을 추가하여 실질적인 개인정보 보호가 되도록 하는 것이 바람직해 보입니다. 또한, CISO와 달리 CPO의 경우 소상공인이나 개인사업자의 경우도 감안해야 할 것입니다. 이에 「개인정보의 안전성 확보조치 기준」 제3조(안전조치 기준 적용)의 개인정보처리자 유형에 따라 아래와 같은 역량 기반 자격요건의 추가를 제안합니다. ==== 개인정보처리자 유형에 따른 역량기반 자격요건 안 ==== * 유형3: 관련 역량을 갖춘 CPO 필수 지정 - CPO는 "개인정보 보호 계획의 수립 및 시행"할 수 있는 역량필요 - 또한, "내부통제시스템의 구축"에 대해 이해야함. - 이에 관련 내용이 포함되어 있는 다음 자격 중 하나이상을 요구함 1. 정보보호 / 개인정보보호 관련 학위 (학위별 추가경력 요구) 2. 정보관리기술사 (향후 정보보안기술사 시행 시 정보보안기술사 포함) 3. ISMS-P 인증심사원 4. 개인정보 영향평가 전문인력 5. 기타 개인정보보호 해외자격 ==> ISO/IEC 27701 심사원, IAPP CIPP 등 6. 기타 정보보호 관련 자격 ==> CISSP, CISA, 정보보안기사(+추가 경력) ※ 공공기관 등에는 등급기반으로 지정해야 하는데 관련 자격이 있는 직원이 없는경우가 생길수 있을 것입니다. 이런 경우를 감안하여 "유형2"처럼 조직내 필수로 하는 방식도 생각해 볼 필요가 있어보입니다. * 유형2: 개인정보 보호조직 내 자격 보유자 1인 필수 - CPO가 개인정보보호 소양이 부족하더라도 이를 보완할 수 있는 실무자를 확보 - 실무자급 이므로 다소 완화된 자격증 요건을 제시함 1. 유형3 CPO 자격요건 2. 정보보안기사/산업기사 (추가경력 요건 없음) 3. CPPG (개인정보관리사, 민간자격이나 ISMS-P 심사원 인정자격에 포함되어 있음) * 유형1: 역량기반 자격요건 면제 3. 기대 효과 정보보호 조직의 객관적 역량확보를 통해 개인정보처리자의 개인정보 보호활동이 더욱 효과적으로 운영 될 것입니다. - 끝 -
개인정보보호 가이드

2022-11-02
| 10
기타
토론종료
D-0
개인정보 지침자료 목록의 원페이지 도식화 제한
개인정보보호위원회에서 공개한 개인정보 관련 자료는 종류가 매우 다양하고 많습니다. (각종 가이드라인, 해설서, 해석례, 안내서, 지침 등) 자료가 많다보니 특정 상황에서 어떤 자료를 참고하는게 좋을지, 내가 참고하고 있는 자료가 최신 자료인지, 폐기된 가이드라인은 아닌지 등을 고민할때가 많습니다. 물론 개인정보보호 포털(privacy.go.kr) 자료마당의 지침자료에 가보면 목록화를 잘 해주시고 있고 개정본을 업로드하면 기존 자료를 노출시키지 않는 등 지속적인 관리를 해주고 계시지만... 내가 필요한 자료가 뭔지(예: 개인정보처리방침에 관해 궁금한게 있다면 개인정보 처리방침 작성지침), 어떤 자료 들이 있는지 등을 한눈에 볼 수 있게끔 모든 개인정보 지침자료를 (한 화면에)도식화해서 개인정보보호포털 자료마당 첫 화면에 배치한다면, 업계 종사자와 학생 들에게 큰 도움이 될것 같습니다. 참고할 만한 링크를 나열해보면 다음과 같고, 해당 자료를 클릭하면 업로드 되어 있는 게시물로 바로 이동하는 기능과, 개정 날짜를 옆에 기재해 가장 최근 개정일을 확인할 수 있게끔 해주시는 기능까지 구현을 해주신다면 좋겠습니다. 또한 mou(https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS212&mCode=C040030000&nttId=7615)를 체결한 한국디자인진흥원과의 협업으로 눈에 쏙쏙 들어오는 디자인을 입혀서 별도 자료로 배포하는 방법도 있을 것 같습니다. - https://www.mindmeister.com/ko/812600046/_?fullscreen=1 - http://cdn.itdaily.kr/news/photo/202207/209342_211333_4719.jpg - https://image.ahnlab.com/img_upload/kr/site/images2/product/img_sec_map.jpg
IntoTheSec

2022-11-01
| 2
기타
토론종료
D-0
(국민제안) 내가 원하는 개인정보 보호 및 활용 교육
1. 제안배경 개인정보보호위원회와 한국인터넷진흥원은 개인정보처리자 및 정보주체를 대상으로 다양한 개인정보 보호 및 활용 교육을 개최하고 있습니다. 신기술 및 서비스 등장 등 다양한 환경 변화에 맞는 유연한 교육과정 개설 및 국민들께서 원하시는 교육을 제공해 드리기 위해 신규 교육과정 개설 의견을 제안 받고자 합니다. 2. 제안내용 기존 교육과정 및 운영 개선방안, 신규 교육과정으로 원하시는 내용 및 방식 등에 대해 제안해 주십시오.(예 : 정보주체 권리행사 방법 등) 제안 주신 내용을 검토하여 우수제안을 선정하여 새로운 교육과정을 개설, 운영하도록 하겠습니다. <국민 제안 운영 절차> (1) (국민) 받고 싶은 교육 제안> (2) (KISA, 과정개발연구반) 제안 숙의 및 우수제안 채택* > (3) 우수제안은 올해 및 차년도 교육계획에 반영 * 채택된 우수제안에 대해서는 개별 연락 및 소정의 상품 제공 3. 기대효과 교육과정에 대한 국민 의견수렴을 통해 국민과 함께 소통하는 현장 기반의 교육과정을 개설, 운영하여 일방향적 교육과정 개설, 운영에서 벗어나 교육과정의 개방화, 개인 맞춤형 교육으로 전환될 수 있도록 하고자 합니다. 4. 참고자료 : 개인정보 보호 및 활용 교육과정 주요내용 및 연간 일정
교육운영

2022-10-20
| 8
수집·이용
토론종료
D-0
CI 정보가 주민번호인가
주민등록번호를 가공하여 생성되는 CI 정보를 주민등록번호와 동일하게 취급해야 하지 않을까요. 현재 주민번호는 법적 근거에 의해서만 수집 및 이용이 가능합니다. 그러나 CI정보는 개인정보의 하나로만 취급되고 있어 정보주체의 동의에 의해 처리가 가능한 상황입니다. 이에 CI정보의 위상을 주민번호와 동일하게 취급하는것이 바람직하지 않나 의견드립니다. (CI 사용 금지가 아닌 법적근거에 의한 수집)
prvstudy

2022-10-11
| 7
정보주체 권리
토론종료
D-0
국토교통부 유료도로 미납통행료 등록차량의 개인정보의 보관기간 재검토
안녕하세요, 특례시민1홉니다. 행정보유 개인정보의 보관기간에 대해 토론해 보고자 합니다. || 제안배경 #국토교통부 행정보유 개인정보분을, 제3자에게 제공하거나 위탁운영하는 사안이 많습니다. 그 중, 유료도로 통행 중, 미납요금이 발생하는 경우, 자동차 등록정보 시스템내 관리되는 미납요금 관련 제3자에게 제공하는 개인 정보는 다음과 같이 설명되어 있습니다. ==== 다음 ============ - 대상: 이름, 주민(외국인)등록번호, 주소, 차대번호 - 보관기간: 영구 - 시스템: 자동차관리정보 - 개인정보파일명: 자동차등록정보 - 제3자제공현황: (1) 한국도로공사 , (2)  한국교통연구원 이에, 문제는, 1. 보관기간 실제 업무는 어찌하는지 확인할 길은 없으나, 관련 처리방침에는, 미납요금의 납부에 대해서는 언급도 없으니,  납부가 완료되었다 하더라도, 현재 기준, 영구보관이 가능합니다. 2. 가명처리 누락 미납/체납 개인정보 영구보관은 개인정보 이용목적과는 상당한 차이가 있습니다. || 제안사항 미납차량등록정보 내 개인정보 활용에 있어, 미납요금 납부 여부에 따라, 제3자에게 정보제공 하는 목적을 세분화하여, 필요에 따라, "업무목적 달성시 까지", "영구보관" 등으로 보관기간 조정을 제안합니다. 미납요금의 납부가 완료되었음에도 제3자에게 제공한,가명처리되지 않은, 체납자의 개인정보 영구보관한 행정운영의 개선을 요구합니다. 개인정보온마당 이용자 분들의 고견 구합니다. + 참고 - 소관부처: 국토교통부 (누리집) >  개인정보 제3자 제공현황 (http://www.molit.go.kr/USR/WPGE0201/m_122/DTL.jsp)
특례시민1호

2022-09-21
| 31
기타
토론종료
D-0
개인정보 보호책임자 자격요건 미충족 시 과태료 부과
1. 제안배경: 개인정보 보호책임자를 법령에서 요구하는 지정요건에 해당하지 않은 임직원으로 지정하는 사례가 존재하며 실질적인 업무수행이 원활하지 않음 2. 제안내용: 법령개정 가. 개인정보 보호법 제75조(과태료) 제4항 제8호 의 문구변경 예시) 기존: 제31조제1항을 위반하여 개인정보 보호책임자를 지정하지 아니한 자 변경: 제31조제6항을 위반하여 대통령령으로 정하는 기준에 해당하는 임직원을 개인정보 보호책임자로 지정하지 아니하거나 제31조제1항의 개인정보 보호책임자를 지정하지 아니한 자 3. 기대효과: 실질적인 법령의 자격요건을 만족하는 개인정보 보호책임자가 지정 4. 참고자료: 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제76조(과태료)
비공식활동

2022-06-22
| 2
기타
토론종료
D-0
개인정보보호 포털에 자료 업로드시 국민 편의 고려 요청
(토론까지할 주제는 아니고 간단한 제안 드립니다.) 개인정보 보호와 관련한 자료는 대부분 개인정보보호 포털(privacy.go.kr)에 업로드 됩니다. 요즘도 일부 자료는 텍스트 복사&붙여넣기가 안되는 형태로 업로드가 되어서 활용성이 떨어집니다. 최근 자료를 예로 들면 다음과 같습니다. - 자료마당 > 교육자료 > 2022년 가명정보 활용지원사업 온라인 설명회 발표자료 > 2022년_가명정보_활용지원사업_온라인_설명회_개인정보위_발표자료.pdf - 자료마당 > 지침자료 > 소상공인을 위한 개인정보보호 핸드북(2021.12, 제정) 복사&붙여넣기가 되면 자료를 읽고 활용하는 분들에게 큰 도움 될 것 같습니다! 또한 제정 자료도 있지만 개정되어 업로드 되는 자료도 굉장히 많은데 어떤 내용들이 개정되었는지를 간략하게라도 게시물 본문에 작성해 주시면 정말 좋겠습니다! 자료가 공개되면 늘 어떤게 바뀌었는지 비교해 봐야해서 힘이 듭니다. 감사합니다.
IntoTheSec

2022-05-26
| 2