정보주체가 그들의 개인정보의 처리와 관련해 문의할 수 있는 연락처/정보주체가 그들의 개인정보의 수집, 사용 및 유출에 대해 행사할 수 있도록 개인정보관리자가 제공하는 선택 및 수단
상기 제공되어야 하는 정보는 개인정보가 수집되어지는 순간 혹은 그 이전에 제공되어야 하나 불가피하게 그러지 못한 경우, 현실적으로 가능한 가장 빠른 시간 안에 제공하여야 함
안전성
개인정보관리자는 보유하고 있는 개인정보의 손실, 허가받지 않은 접근, 파괴, 수정 혹은 오용을 방지하기 위해 적절한 보안수단을 제공해야 함
그러한 보안수단은 발생 가능한 위험의 정도와 비례해 이루어져야 하고, 보유하고 있는 내용은 정기적인 검토와 평가를 받아야 함
정확성
개인정보는 정확하고, 완전하고, 최신성을 유지하여야 함
정보접근권
정보주체는 개인정보관리자가 자신에 관한 정보를 가지고 있는지 여부를 확인할 수 있으며 합리적 시간 안에 적정한 방식 및 비용으로 자신의 정보에 접근할 수 있음
정보주체는 자신의 정보의 정확성에 의문을 제기할 수 있으며 잘못된 정보에 대하여 수정삭제를 요청할 수 있음
단 상기 접근권과 수정요구권의 내용을 실행하는 비용이 개인의 프라이버시침해 위험에 비추어 과도하거나 적합하지 않을시, 혹은 보안 및 상업적 이윤과 관련한 이유로 인해 유출되어서는 안 되는 경우에는 그러하지 아니함
정보주체의 상기 권리들이 거부되었을 경우 정보주체에게 그 이유가 고지 되어야 함
책임
정보관리자는 위에서 언급된 원칙들에 순응해야 할 책임이 있음
개인정보가 다른 제3자나 조직에 이전되었을 경우 국내적으로나 국외적으로나 정보관리자는 정보수령자나 조직이 이러한 원칙들에 의거해 정보보호를 할 수 있도록 보장하기 위한 조치 및 의무를이 행하여야 함
5) ICDPC의 개인정보보호 규칙
국제개인정보보호기구회의(ICDPC; International Conference of Data Protection Commissioners)는 개인정보의 보호를 위한 각국의 개인정보기구(Data Protection Authority)연합체로서 각 국가의 개인정보 보호현황을 모니터하고 정보보호를 위한 국제적 협력을 위하여 조직된 국제기구이다. ICDPC는 당초 EU 개인정보보호기구 간 정보교류를 위한 회의(Conference)로 출발하였으나, 2001년부터 참여범위를 EU 외로 확대하면서 국제기구(협의체) 성격으로 변화하였다. 현재 영국, 호주, 캐나다 등 50개가 넘는 개인정보관련기구가 등록되어 있으며, 우리나라도 2004년 폴란드에서 열린 총회에서 KISA가 정식 회원으로 가입되었다. OECD 가이드라인에서는 개인정보보호를 위한 특별한 기구를 설립하거나 신뢰할 수 있는 현존하는 기구를 선택하여 개인정보보호 관리체계를 발전시키도록 규정하고 있지만, 특정 기구의 세부적인 역할을 규정하고 있지는 않다. 그러나 EU 등 권위 있는 국제기구에서 각 회원국 또는 회원국과의 정보교류를 희망하는 국가에 대하여 개인정보보호기구의 설립을 촉구하고 개인정보보호수준에 따라 자국의 개인정보 이전 유무 등의 조치가 이어지자 대부분의 국가에서 개인정보보호를 위한 국가기구의 설립이 절실해졌다.
ICDPC는 이러한 개인정보보호기구들의 연합체로 개인정보보호기구의 요건을 정하고, 요건을 충족하는 경우 자격 있는 개인정보보호기구로 인정하고, 매년 9월 정기회의를 개최하여 각국의 관련 이슈를 논의하는 등 개인정보보호를 위한 노력을 계속하고 있다.
ICDPC는 국제적으로 새롭게 부각되는 개인정보보호 관련 이슈들에 대해 공동해결책을 모색하고 이에 대한 결의안을 제출하는 등 국제사회의 개인정보보호 논의를 이끌어 가는 핵심기구로, 그 가입절차가 매우 까다롭다. ICDPC의 규정에 의하면 “개인정보보호기구가 개인정보보호기능을 수행함에 있어 필요한 정도의 자율성과 독립성을 확보하여야 한다”고 하여 독립적으로 그 직무를 수행할 수 있는 법률적, 실질적인 권한을 가져야 한다고 하고 있다51. ICDPC에서는 각국의 개인정보보호기관을 심사하여 자격 있는 개인정보보호기관으로 인정(Accreditation)하고 인정된 기관에 한하여 ICDPC의 회원자격을 부여하고 있다. 현재 영국(개인정보보호원), 캐나다(개인정보보호감독관) 등 28개국 50개 기관이 인정을 받았으며, 그 자격요건은 ① 법률에 근거하여 설립된 공공기관(public body)일 것 ② 업무수행 기준 및 절차가 OECD Guideline(1980) 등 국제기준에 부합할 것 ③ 자료제출 요구권 및 조사권, 법률 이행 요구권(시정요구, 고발권) 등 직무수행에 필요한 최소한의 법적 권한을 보유하여야 한다. 그 외에도 주요 임무로 공공기관 또는 민간 사업자에 대한 법적 자문, 개인정보와 관련된 고충의 처리, 공공기관 및 민간 사업자의 개인정보보호관련 법률의 이행상태를 감시할 수 있는 기능을 보유하고, 개인정보보호에 대한 교육홍보, 국가 간 정보이전에 대한 국제협력 등을 수행할 수 있어야 한다.
참고자료
강경근, 인터넷 사회에서의 개인정보보안과 정보기반보호, 인터넷 법률, 7월호, 2000.
고봉상 외, 벤처기업의 성과 결정요인에 관한 실증연구, 벤처경영연구 6-2호, 한국중소기업학회, 2003.
권영성, 헌법학원론, 법문사, 2005.
권헌영, 개인정보보호법 입법을 다시 거론하며, 토지공법연구 43-3, 한국토지공법학회, 2009.
문명재, 정책도구 연구의 이론적 좌표와 쟁점, 정책지식 제73호, 2008.
서정록이남주, 조직ㆍ문화적 특성과 성과측정지표 특성이 기업성과에 미치는 영향, 회계연구 13-1호, 대한회계학회, 2008.
성낙인, 헌법학, 법문사, 2006.
유홍림박성준, 중소기업 R&D 지원정책 성과의 영향요인에 관한 실증연구, 한국 행정논집 19-1호, 한국정부학회, 2007.
이창범, 정보통신망 신뢰성 및 안전성 확보방안연구, 한국인터넷진흥원, 2009.
정구헌정승렬, 정보보호 통제활동이 조직유효성에 미치는 영향, 지능정보연구, 2011.
최명길 외, 정보보호정책의 성숙도에 영향을 미치는 요인에 관한 연구, 정보보호학회논문지, 2008.
홍정선, 행정법원론, 박영사, 2006.