산업보안관계법

산업적 가치가 높은 기술 및 관련 경영상의 정보를 보호하는 법규의 총체이다. 

(1) 포함범위

-> 산업기술 o, 방위산업기술 o, 중소기업기술 o

(2) 비밀의 형태

-> 부정 유출 규제 o, 반드시 비밀 x (특허 등과 같이 공개된 정보도 존재함)

*산업기술의 유출방지 및 보호에 관한 법률

*부정경쟁방지 및 영업비밀보호에 관한 법률 등

*방위산업기술 보호법

*발명진흥법

*지식재반기본법

산업기술의 유출방지 및 보호에 관한 법률

목표: 

산업기술의 부정한 유출을 방지하고 산업기술을 보호함으로써 국내산업의 경쟁력을 강화하고 국가의 안전보장과 국민경제의 발전에 이바지함을 목적으로 한다. 

(1) 계획수립

산업통상부장관은 관계 중앙행정기관의 장과 협의한 후 산업기술보호위원의 심의를 거쳐 산업기술의 유출방지 및 보호에 관한 종합계획을 수립, 시행하도록 하고, 관계 중앙기관의 장은 그 종합계획에 따라 세부계획을 수립 시행하여야 한다. 

산업통상부장관 

산업기술보호위원회(법 제7조제1항)

심의

종합계획의 수립 및 시행

국가핵심기술의 지정, 변경 및 해제

국가핵심기술의 수출

국가핵심기술을 보유하는 대상기관의 해외인수, 합병 등에 관한 사항 심의 

산업기술분쟁조정위훤회

산업기술의 유출에 대한 분쟁을 신속하게 조정 (법 제23조)

(2) 주의 

2-1. 국가핵심기술은 최소한의 범위해서 지정

(이해관계인에게는 의견진술의 기회를 부여해야 함)  (법 제9조제1항)

2-2. 국가핵심기술을 보유, 관리하고 있는 대상기관의 장은 국가핵심기술의 유출을

방지하기 위해 일정한 조치를 해야 함.  (법 제10조제1항)

*보안구역 설정, 전문인력의 이직 관리 및 비밀유지 등 

이를 위반하는 겨우 1천만원 이하의 과태료 (법 제39조)

2-3. 기업, 연구기관, 전문기관, 대학 등이 국가로부터 연구개발비를 지원받아

개발한 국가핵심기술을 매각, 기술이전을 하는 경우 산업통산부의 승인을 받아야 함. (법 제11조제1항)

*위반시 수출중지, 금지, 원상회복 등의 조치할 수 있음 (법 제11조제7항)

2-4. 기업, 연구기관, 전문기관, 대학 등이 보유, 관리하고 있는 승인대상이 아닌 국가핵심 기술을

해외 매각, 기술이전 등을 하는 경우 -> 산업통상자원부에 신고  (법 제11조제4항)

*국가안보와 관련되는지 여부에 대해 사전검토 신청 -> 국가안보에 심각한 영향을 주는 경우 or 허위로 신고한 경우 -> 그 국가핵심기술의 수출중지, 금지, 원상회복 등의

조치할 수 있음 (법 제11조6항), (법 제11조7항)

2-5. 비밀 유지 노력을 하지 않은 산업기술이라도 부정 유출된 경우 처벌 할 수 있음

부정한 방법으로 산업기술을 취득, 사용, 공개하는 행위

대상기관과의 계약 위반으로 산업기술의 유출, 사용, 공개, 제3자가 사용하게 하는 행위

부정한 행위가 개입된 사실을 알고도 그 산업기술을 취득, 사용, 공개하는 행위

중과실로 산업기술을 취득, 사용, 공개하는 행위

승인을 받지 않거나 부정한 방법으로 승인을 얻어 국가핵심기술을 수출하는 행위

국가핵심기술을 외국에서 사용하거나 외국에서 사용될 것임을 알면서도 승인을 받지 아니하거나 부정한

방법으로 승인을 받아 해외인수, 합병등을 하는 행위

국가핵심기술을 외국에서 사용하거나 외국에서 사용될 것임을 알면서도 신고를 하지 아니하거나 부정한 방법의

신고를 통한 해외인수, 합병 등을 하는 행위

사용권한 소멸 후 산업기술 관련 자료의 반환 및 삭제 요구 거부행위

수출중지, 금지 등 명령 불이행 행위

적법한 경로로 사업기술의 정보의 목적 외 사용행위 (법 제14조) 

*위에 열거한 항목들을 위반했을 경우 형사처벌 대상임. 

부정경쟁방지 및 영업비밀보호에 관한 법률

목표:

이 법은 국내에 널리 알려진 타인의 상표ㆍ상호(商號) 등을 부정하게 사용하는 등의 부정경쟁행위와 타인의 영업비밀을 침해하는 행위를 방지하여 건전한 거래질서를 유지함을 목적으로 한다. 

(1) 영업비밀

정의: 

비밀로서 관리되고 있을 것 + 기술, 경영상의 유용한 정보여야 함.

기술

1-1. 제품개발에 상당한 노력, 비용 투자된 경우 (공개 x)

1-2. 연구개발보고서 및 실험데이터 

* 연구에 실패한 데이터라도 경제적 가치를 지니면 보호대상임

1-3. 물질의 배합방법: 의약품, 음료수, 향수, 커피 등 원료나 성분의 배합방법 (공개 x)

1-4. 컴퓨터 프로그램: 원시코드를 보호함 + 아이디어, 알고리즘도 영업비밀로 보호받을 수 있음.

경영

1-5. 고객명부 (공개 x)

1-6. 기업의 중, 단기 계획, 경영전략, 신상품의 개발 및 판매, 투자계획, m&a 계획 등

1-7. 기업이 독자적으로 소유하고 있는 영업상 아이디어

1-8. 특정 상품에 대한 고객의 성별, 직업, 소득수준, 연령별 향후 소비추이를 예측할 수 있는 정보활동, 마케팅에 관한 매뉴얼

1-9. 재무경리, 경영분석 등과 같은 정보

(2) 제한

2-1. 비밀유지서약서 작성:

대외적 용역개발, 공동 연구, 기술이전협상 등에서도 발생

2-2. 전직금지의무:

연구, 개발부서의 연구원 및기술임원 등이 경쟁기업으로 옮겨 영업비밀을 유출 및 사용하는 것을 예방하기 위해 

전직금지계약을 체결할 수 있음.

2-3. 가처분:

영업비밀의 불법적 사용이나 침해의 우려가 있는 경우 법원에 가처분 신청을 할 수 있음. 

2-4. 조정 및 중재에 의한 분쟁해결

조정: 전문적인 조정인에 의하여 분쟁하결이 가능함. -> 분쟁으로 인한 후유증 최소화

중재: 당사자 간 서면에 의한 합의 (중재인에게 부탁하여 해결)

2-5. 경고서한:

소송이나 조정, 중재에 앞서 영업비밀 침해 또는 침해의 우려가 있는 자에게 경고서한의 

내용증명을 우편으로 보냄 -> 침해해위 예방의 효과를 기대할 수 있음 

(3) 구제

민사적 구제

영업비밀 침해행위에 대해 민사상 침해행위 금지 또는 예방청구권을 인정

+손해배상청구권(손해액의 3배 이내에서), 신용회복청구권 등을 인정 

형사적 구제

영업비밀 무단유출, 삭제, 반환 명령을 받아도 무시하는 행위는

10년 이하의 징역 또는 5억원 이하의 벌금

중소기업기술 보호지원에 관한 법률

목표: 

이 법은 중소기업기술 보호를 지원하기 위한 기반을 확충하고 관련 시책을 수립ㆍ추진함으로써 중소기업의 기술보호 역량과 기술경쟁력을 강화하고 국가경제의 발전에 이바지함을 목적으로 한다. 

중소벤처기업부장관

중소기업기술분쟁 조정, 중재위원회 

-> 중소기업 기술 분쟁에 대해 신속, 원만한 해결 지원

(1) 기술보호기반 조성

1-1. 기술보호 3개년 지원계획 수립, 기술보호정책 수립, 추진을 위한 관계행정기관 전문가 등과의 협의

1-2. 중소기업 기술보호 애로 해소를 위한 상담, 자문 등 지원사업의 법적 추진근거를 명확히 함.

1-3. 기술보호 전담기간 지정, 전문인력 양성, 보안관제서비스 및 보안시스템 구축 지원 등 중소기업 기술보호 기반 조성에 필요한 사항을 규정함.

(2) 행정조사 및 시정권고

침해행위

2-1. 중소기업기술을 부정한 방법으로 취득, 사용 또는 공개하는 경우

2-2. 위 행위가 개입된 사실을 알고 중소기업기술을 취득, 사용 또는 공개하는 행위

2-3. 위 행위가 개임된 사실임을 중대한 과실로 알지 못하고 침해대상 중소기업기술을 취득, 사용 또는 공개하는 행위이다. 

신고와 조사

중소기업기술 침해행위 사실을 조사하기 위해 관련 기관 또는 사업자 등에 자료제출을 요구하거나 소속 공무원으로 하여금 그 사무소, 사업장 등 필요한 장소에 출입하여 장부, 설비, 시설 및 그 밖의 물건을 조사하게 할 수 있음

시정권고 및 공표

중소벤처기업부장관은 행정조사 결과  중소기업기술 침해행위가 있다고 판단할 상당한 근거가 있고 

이미 피해가 발행하였거나 회복하기 어려운 피해가 발생할 우려가 있다고 인정될 경우 30일 이내의 기간을 정하여 그행위의 중지, 향후 재발 방지, 그 밖에 필요한 사항을 시정하도록 권고할 수 있다.

대중소기업 상생협력 촉진법

목표

이 법은 대기업과 중소기업 간 상생협력(相生協力) 관계를 공고히 하여 대기업과 중소기업의 경쟁력을 높이고 대기업과 중소기업의 양극화를 해소하여 동반성장을 달성함으로써 국민경제의 지속성장 기반을 마련함을 목적으로 한다. 

(1) 기술자료란?

물품등의 제조방법, 생산방법, 그 밖에 영업활동에 유용하고 독립된 경제적 가치를 가지는 것으로서 대통령령으로 정하는 자료로 정의하고 있음. 

기술자료는 크게 두가지로 나눌 수 있음.

1. 특허권, 실용신안권, 디자인보호권 등 -> 산업재산권과 관련된 기술자료

2.제조, 생산, 판매방법 등 -> 기타 영업활동에 유영한 기술, 경영상의 정보

(2) 제한

2-1. 기술탈취 금지:

수탁기업과 위탁기업은 기술자료에 대하여 기술자료의 제공 목적 및 범위, 비밀유지 의무의 내용, 계약 위반에 따른 손해배상 등에 관한 사항 등을 담은 비밀유지계약을 서면으로 체결하여야 함.

* 큰회사(위탁기업), 작은회사(수탁기업)

2-2. 정당한 사유 없이 기술자료 제공을 요구하는 행위, 기술자료 임치를 요구한 수탁기업에 불이익을 주는 행위 등에 대하여 관계 기관에 고지하였다는 것을 이유로 불이익을 주거나 위탁기업이 수탁기업의 기술잘에 대한 유용행위를 하는 경우에는 발생한 손해의 3배 이하에서 배상책임을 지는 징벌적 손해제도를 도입하였음.

이의 경우 손해 발생의 고의, 과실이 없음을 위탁기업이 입증하도록 하고 있음. (법 제40조의2)

대외무역법상의 전략물자 통제

(1) 정의

대량파괴무기(WMD), 재래식무기 및 그 운반수단인 미사일의 제조, 개발, 사용, 보관에 이용가능한 물품, SW및 기수을 말한다.  -> 수출에 제한이 될 수 있음. 

(2) 제한

국내 -> 국외로 갈 때 허가 받아야 함.

문제 생길 시 이동중지명령 내릴 수 있음. 

방위산업기술 보호법 

(1) 정의

방위산업과 관련한 국방과학기술 중 국가안보 등을 위하여 보호되어야 하는 기술

* 방사청장이 지정 및 고시 

(2) 제한

2-1. 부정한 방법으로 방위산업기술을 취득 -> 사용 또는 공개하는 경우

(법 제10조제1호)

2-2. 2-1에 해당하는 내용을 알고도 방위산업기술을 취득, 사용 공개하는 행위

(법 제10조제2호)

2-3. 2-1에 해당하는 행위를 중대한 과실로 알지 못하고 방위산업기술을 취득, 사용, 공개하는 행위

(법 제10조제3호)

국가연구개발혁신법

 국가연구개발사업의 운영, 추진 등에 관한 사항을 범부처 공통규범으로 통합, 체계화하는 등의 내용으로 2020년 제정

(1) 보안과제

보안이 필요한 연구개발과제를 보안과제로 분류할 수 있음

1-1. 외국에서 기술이전을 거부하여 국산화를 추진 중인 기술

1-2. 보호의 필요성이 인정되는 미래핵심기술

1-3. 산업기술 유출방지 및 보호에 관한 법률 제2조2호에 따른 국가핵심기술

1-4. 대외무역법 제19조1항에 따른 수출허가 등 제한이 필요한 기술

(2) 일반과제

보안과제로 지정되지 아니한 과제

형법

산업보안 관련 범죄

업무상 배임, 횡령죄, 절도죄, 업무상 비밀누설죄, 장물취득죄, 증거인멸죄 등 

횡령: 

타인의 재물을 보관한 자가 그 재물을 횡령하거나 반환을 거부할 때

-> 5년 이하의 징역 또는 1500만원 이하의 벌금(법 제355조제1항)

배임: 

타인의 사무를 처리하는 자가 그 임무에 위배되는 행위 -> 재산산의 이득, 제3자로 하여금 이를 취득하게 하여 손해를 가한 때 

-> 10년이하의 징역 또는 3천만원 이하의 벌금(법 제356조)

특정경제범죄 가중처벌등에 관한 법률

횡령, 배임 또는 업무상 횡령 및 배임으로 얻은 이득액이 5억 원 이상일 경우, 

특정경제범죄 가중처벌법에 따라 더 무겁게 처벌함.

절도죄: 

타인의 재물을 절취한 자는 6년 이하의 징역 또는 1천만원 이하의 벌금에 처한다 (법 제329조)

추상적인 아이디어 자체는 절도죄의 대상이 아니지만, 설계도면이나 합병계획서 같은 자료가 담긴 CD, 디스켓 등을 훔치면 절도죄가 성립함.

이때, 해당 자료가 영업비밀이 아니더라도 회사의 재산을 무단으로 가져간 것이므로 절도죄가 될 수 있습니다. 실제로 한 영업부장이 회사의 주문 양식 파일을 디스켓에 담아 빼돌린 사건에서 절도죄로 처벌받은 사례가 있음.

*지식재산기본법은 지식재산 전반의 큰 그림과 방향을 제시하는 기본법이고, 발명진흥법은 그 중 '발명'을 장려하기 위한 구체적인 방법을 규정하는 개별법임.

발명진흥법

목표: 

이 법은 발명을 장려하고 발명의 신속하고 효율적인 권리화와 사업화를 촉진함으로써 산업의 기술 경쟁력을 높이고 나아가 국민경제 발전에 이바지함을 목적으로 한다. 

(1) 발명

자유발명: 

회사의 업무범위에 속하지 않는 발명

업무발명: 

회사의 범위에 속하지만, 종업원의 직무범위에 속하지 않는 발명을 의미함. 

(2) 통지 및 권리승계

2-1. 종업원이 직무발명을 완성한 경우, 지체 없이 그 사실을 사용자에게 문서로 알려야 한다. 2인 이상이 공동으로 직무발명을 완성한 경우 -> 공동으로 알려야 함. (법 제12조) 

2-2. 종업원으로부터 통지를 받은 사용자는 4개월 내에 그 발명에 대한 권리의 승계 여부를 종업원에게 문서로 알려야 함. (법 제13조제1항)

2-3. 사용자가 4개월 내에 권리의 승계의사를 알린 때에는 그 발명에 대한 권리는 사용자에게 승계된 것으로 본다. 

(법 제13조제2항)

2-4. 종업원이 직무발명에대하여 권리를 사용자 등에게 승계하거나 전용실시권을 설정한 경우, 정당한 보상을 받을 권리가 생김. + 출원유보 -> 사용자가 직무발명을 승계한 후, 영업비밀 등의 이유로 출원하지 않거나 출원을포기하는 경우 종원원에게 주어지는 보상을 의미함.

* 전용실시권이란? 특허권자가 자신의 특허 발명을 타인에게 독점적으로 실시할 수 있도록 허락하는 권리를 말합니다. 

(3) 보상

3-1. 사용자는 보상형태와 보상액을 결정하기 위한 기준, 지급방법 등이 명시된 보상규정을 작성하고 종업원등에게 서면으로 알려야 함. (법 제15조제2항)

3-2. 보상규정의 작성 및 변경에 관하여 종업원 등과 협의해야 함. 

만약 종업원 등에게 불리하게 변경하는 경우 -> 종업원 등의 과반수의 동의를 받아야 함. (법 제15조제3항)

3-3. 사용자 등은 보상규정에 따라 결정된 보상액 등 보상의 구체적 사항을 서면으로 알려야 한다. (법 제15조제4항)

3-4. 사용자 등이 이러한 절차에 따라 종업원 등에게 보상한 경우 -> 정당한 보상을 지급한 것으로 봄.

다만, 발명에 대해 사용자 및 종업원 등이 공헌한 정도를 고려하지 아니한 경우 -> 인정 x (법 제15조제6항)

지식재산기본법

목표: 

이 법은 지식재산의 창출ㆍ보호 및 활용을 촉진하고 그 기반을 조성하기 위한 정부의 기본 정책과 추진 체계를 마련하여 우리 사회에서 지식재산의 가치가 최대한 발휘될 수 있도록 함으로써 국가의 경제ㆍ사회 및 문화 등의 발전과 국민의 삶의 질 향상에 이바지하는 것을 목적으로 한다. 

(1) 기본 개념 및 과정

발명신고 -> 출원 전 심사 -> 명세서 작성 및 출원 -> 보유특허의 유지 및 관리

발명신고

1-1. 연구자의 직무로 인한 발명의 결과 -> 그 기관에 통보

종업원 발명신고 규정 규정 -> 종업원의 근무규정 or 근로계약에 규정해야 함. 

1-2. 특허관리부서는 정기적으로 연구자에 대한 상담, 특허개발, 실험실 관리전략 해야 함 -> 우수 발명 발굴 위해

1-3. 특허관리부서는 전략적으로 특허관리를 할 수 있어야 함 -> 연구개발 결과 외부에 논문 공개시, 신규성 상실하여 특허 인정 x 

출원 전 심사

1-4. 출원 전 심사 -> 직무발명 해당 여부, 직무발명 승계 여부, 출원의 심사를 포괄하는 활동임.

1-5. 특허획득 및 사업화 가능성 낮은 등급 -> 승계 x, 승계 o 의 경우 -> 비밀정보로 관리

1-6. 회사 내의 직무발명심의위원회 -> 출원전 심사 결정 

명세서 작성 및 출원

1-7. 연구자 연구결과 설명, 변리사가 연구자의 연구결과를 바탕으로 문서 작성

보유특허의 유지 및 관리

1-8. 등록결정이 난 특허 -> 연차료 납부를 통해 권리를 유지해야 함.

일정기간이 지나면 특허를 포기할 수 있음. but 무조건 포기보다는 보다 엄격한 심사 수반되야 함 -> 추후 활용될 여지가 있기 때문에

1-9. 5년부터 특허 유지 여부 판단할 필요 있음 -> 연도별로 연차등록료가 납부해야 하는데, 7년차부타 연차등록료가 증가하기 때문

(2) 침해대응 방법

판단 -> 대응 -> 모니터링 

2-1. 판단 특허권자의 정당한 허락없이 무단으로 특허를 무단으로 사용하는 것

(영리 or 비영리적으로)

*전문가와 법원이 추후 판단 

2-2. 대응 

ㄱ. 조기공개신청 및 보상금청구권 행사: 출원은 출월일로부터 18개월 후에 공개되지만, 제 3자에 의한 침해가 발생한 경우 -> 서면으로 경고할 수 있음. 

공개 후에도 지속적으로 실시 -> 경고 받은 시점~특허권 설정등록 기간 동안 해당되는 보상금 받을 수 있음.

ㄴ.우선심사청구: 특허 출원된 발명을 제3자가 실시, 실시 준비하는 경우 -> 우선심사 대상 -> 우선심사 청구해야 함. 

ㄷ. 권리확인심판: 특허권자가 특허 침해자를 상대로 자신의 특허권을 침해한다는 적극적 권리확인심판을 법원에 제기할 수 있음. 

ㄹ. 침해금지 및 손해배상 청구소송: 특허의 권리가 침해된 경우 -> 손해배상 청구 가능(침해자가 특허발명을 통해 얻은 이익 등)

침해자가 고의로 침해한 경우 -> 징벌적 손해배상 청구 가능(3배 이내 범위를 한도로 함)

특허권자의 신용이 실추된 경우 -> 손해배상 + 신용회복조치 청구 가능

가처분 신청도 가능하다. 

ㅁ. 형사적 해결방법: 특허법에는 특허권을 침해한 자는 7년 이하의 징역 또는 1억원 이하의 벌금에 처한다고 규정하고 있음. 반의사불벌죄임. 

2-3. 모니터링 

특허권자는 자신의 특허가 침해되는지 계속 모니터링 해야 함.

개인정보보호법

개인정보 침해로 인한 국민의 피해를 규제하여 사생활을 보호하고, 개인정보에 대한 국민의 권리와 이익보장을 위해 2011년 09월 30일 시행하였음.

국무총리

개인정보보호위원회

개인정보 관련 정책을 만들고 법규를 감독함

법을 어긴 기업이나 기관을 조사하고 처벌함

개인정보 유출로 인한 피해를 구제하고 분쟁을 조정함

개인정보 보호의 중요성을 홍보하고 교육함.

개인정보 보호의 정의

"개인정보란" 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보, 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다. (개인정보 보호법 제2조 1항)

개인정보란? 

개인을 식별할 수 있는, 생존하는 자연인에 관한 일체의 정보를 의미함. 

ex) 위치, 영상정보, 빅데이터 등

일반적 정보: 

주민등록번호, 이름, 주소, 가족, 전화번호, 생년월일 등이 있음

교육 및 훈련 정보: 주민번호, 면허번호

병역정보: 

군번, 계급, 주특기, 근무부대

사회적 정보: 

교육 정보, 근로 정보, 자격 정보가 있음

개인의 성향: 

기호, 신념, 사상

통신 위치정보:

 ip주소, 화상정보, gps 등의 정보가 있음

재산적 정보: 

개인 금융정보, 신용정보

신체적 정보: 

의료, 건강정보, 혈액형

용어 설명:

 살아있는:  생존자만 보호대상이 된다. 사자의 정보는 제외된다.

개인: 생존하는 사람에 해당함(법인, 단체는 포함하지 않음)

정보: 정보의 종류 형태를 제한하지 않음 

알아볼 수 있는: 특정 개인을 다른 사람과 구분하여 알아볼 수 있는 정보

다른 정보와 결합: 합리적인 비용과 시간을 통해 결합 가능한 경우 

수집, 이용 / 제공, 위탁 / 개인정보안전 관리 / 정보주체 권익보호 등으로 나뉘어져 있음.

개인정보 사이클

수집 -> 이용 -> 제3자 제공 -> 처리위탁 -> 보관 -> 파기

* 가명정보 처리 가이드라인 2024를 참고하여 작성함.

가명정보 이해

개인정보: 

그 자체만으로 특정 개인을 식별하거나, 다른 정보와 쉽게 결합해 개인을 식별할 수 있는 정보입니다. (예: 이름, 주민등록번호)

가명정보: 

다른 정보와 결합해야만 개인을 식별할 수 있는 정보입니다. 개인정보 보호법의 적용을 받지만, 익명정보보다는 더 엄격한 관리가 필요합니다. (예: 홍길동 → H001, 홍**)

(개인정보보호법 제15조제3항, 제17조제4항)

가명정보 처리 근거 도입 (법 제28조의2, 제28조의3)

익명정보:

 어떤 방법을 써도 특정 개인을 식별할 수 없는 정보입니다. 따라서 개인정보 보호법의 적용을 받지 않습니다. (예: 성별, 나이대별 통계 데이터)

(법 제58조의 2)

가명정보 결합 만들어지게 된 계기?

2017년 11월에 한 시민단체로부터 개인정보 비식별조치 가이드라인에 따라 결합을 수행한 공공기관, 기업등이 고발됨. (개인정보 비식별 조치 관련)

이에 따라 명확한 법적 조항이 필요했음 -> 가명정보 결합 근거 마련

(개인정보보호법 제28조의 3)

가명정보 관련 안전조치 필요

도입의 배경 -> 안전하게 가명정보가 처리될 수 있도록 가명정보 처리 시 필요한 안전조치 마련 필요

2단계 위험성 식별

(1) 데이터 자체 식별 위험성 요소

 목적: 가명처리 대상이 되는 정보에 식별 가능한 요소가 있는지를 파악하는 것임.

1-1. 식별정보: 특정 개인과 직접적으로 연결되는 정보 ex) 성명, 고유식별번호, 휴대전화번호, 전자우편주소 등

1-2. 식별가능정보: 다른 항목과 결합하여 식별가능성이 높아지는 정보 ex) 성별, 연령, 거주지역, 국적, 직업 등

1-3. 특이정보: 전체데이터에서 식별가능성을 갖는 고유, 희소한 값  ex) 희귀성씨, 특이한 값, 국내 최고령 등 극단값 등

1-4. 재식별시 영향도: 사회통념상 차별받을 수 있는 정보 또는 재식별로 인한 불이익이 큰 정보주체 ex) 대중적으로 유명한 사람들 

(2) 처리 환경 식별 위험성 요소

목적: 개인정보처리자는 가명정보의 활용형태(이용, 제공), 처리 장소, 처리방법(가명처리)등 가명정보 처리 상황에 따라 발생할 수 있는 식별 위험성이 있는지 검토해야 함.

2-1. 활용 형태: 내부 또는 외부에서 처리자가 보유하거나 접근 입수 가능한 정보 

2-2. 처리 장소:  해당 가명정보 외에 다른 정보의 접근, 입수가 제한된 장소에서 처리되는지 여부

2-3. 처리 방법: 가명정보를 다른 정보와 연계, 분석 결합하는 경우, 결합 후 식별가능한 항목 

(반복 제공시 식별 가능성이 높아지는 요소)

해서 안되는 행위는 p.21-p.22를 참고 

1. 식별자 (Identifier)

설명: 데이터를 통해 특정 개인을 직접적으로 식별할 수 있는 정보입니다.

예시: 이름, 주민등록번호, 휴대폰 번호, 여권 번호, 운전면허 번호.

특징: 이 정보는 그 자체만으로 한 사람을 유일하게 알아볼 수 있기 때문에, 개인정보 보호의 가장 중요한 대상입니다. 데이터 비식별화(anonymization) 과정에서는 이 정보를 삭제하거나, 암호화, 또는 가명처리하여 사용합니다.

2. 준식별자 (Quasi-Identifier)

설명: 데이터만으로는 특정 개인을 직접 식별할 수 없지만, 다른 정보와 결합하여 특정 개인을 식별할 가능성이 있는 정보입니다.

예시: 성별, 나이, 거주지(시군구), 직업, 학력, 출생지.

특징: 예를 들어, '나이 30대', '성별 남성', '거주지 서울'이라는 정보만으로는 특정 개인을 식별하기 어렵습니다. 하지만 만약 이 정보를 가진 사람이 해당 집단에 1명뿐이라면, 개인을 식별할 수 있게 됩니다. 가명처리 과정에서는 이 준식별자의 조합을 통해 K-익명성과 같은 보호 모델을 적용하여 재식별 위험을 낮추는 것이 중요합니다.

3. 민감속성 (Sensitive Attribute)

설명: 개인의 사생활을 현저히 침해할 우려가 있는 정보로, 법적으로 특별히 보호받는 정보입니다.

예시: 질병 이력, 병원 진료 기록, 범죄 기록, 정치적 견해, 종교, 성생활.

특징: 민감속성은 개인 식별에 직접적으로 사용되지는 않지만, 유출될 경우 개인에게 심각한 피해를 줄 수 있습니다. 따라서 이 정보는 가명처리 과정에서 특히 엄격하게 보호되어야 합니다. 예를 들어, L-다양성이나 T-근접성과 같은 보호 모델을 적용하여 동질 그룹 내 민감속성의 분포를 다양하게 만드는 조치를 취합니다.

4. 비민감속성 (Non-sensitive Attribute)

설명: 개인의 사생활을 침해할 우려가 거의 없는 일반적인 정보입니다.

예시: 상품 구매 날짜, 이용 서비스 종류, 주문 수량, 방문 기록 등.

특징: 이 정보는 민감하지 않으므로, 데이터 분석이나 활용의 주요 대상이 됩니다. 비식별화 과정에서 재식별 위험이 없다고 판단되면 원본 그대로 사용될 수 있으며, 민감속성과 결합하여 분석의 깊이를 더하는 데 활용됩니다.

요약하자면,

식별자는 '누구'인지 직접 알려주는 정보입니다.

준식별자는 '누구'인지 간접적으로 추론할 수 있는 정보입니다.

민감속성은 '무엇을 경험했는지'와 관련된 매우 사적인 정보입니다.

비민감속성은 '무엇을 했는지'와 관련된 일반적인 정보입니다.

1. 삭제 (데이터 삭제)

이 기법들은 데이터를 제거하거나 숨기는 방식입니다.

삭제: 가장 기본적인 방법으로, 식별성이 높은 전체 컬럼(예: 이름, 주민등록번호)을 아예 지워버리는 것을 말합니다.

부분삭제: 데이터의 일부만 지우거나 가립니다. 예를 들어, 전화번호 '010-1234-5678'을 '010-1234-****'와 같이 만드는 것입니다.

행 항목 삭제: 한 행(레코드) 내의 특정 데이터만 지우고, 다른 값들은 그대로 둡니다.

로컬삭제: 재식별 위험이 높은 특정 데이터(예: 극히 드문 값)만 선별적으로 지우는 것입니다.

부분삭제: '010-1234-5678'을 '010-1234-****'로 바꾸거나, '홍길동'을 '홍**'으로 가리는 것.

로컬삭제: 데이터에서 유일하게 한 명만 나타나는 '98세'라는 나이 정보를 '삭제'하는 것.

2. 총계처리 및 일반화 (데이터 일반화)

이 기법들은 데이터를 그룹으로 묶거나 반올림하여 덜 구체적으로 만듭니다.

총계처리: 개별 데이터를 합산하여 통계 값(예: 평균, 합계)으로 바꾸는 것입니다. 예를 들어, 개인별 급여 대신 그룹의 평균 급여만 보고하는 방식입니다.

부분총계: 데이터의 특정 부분에만 총계 처리를 적용합니다.

일반 라운딩: 숫자 데이터를 특정 단위로 반올림하는 것입니다 (예: 나이 27세를 '30세'로).

랜덤 라운딩: 데이터에 무작위 값을 더한 후 반올림하여 원본 값을 더 불분명하게 만듭니다.

셀 라운딩: 특정 그룹 내 모든 값들을 같은 값으로 반올림하여 데이터의 세분성을 줄이는 것입니다.

상하단 코딩: 데이터의 이상치를 처리하는 기법으로, 특정 상한값보다 높은 값은 상한값으로, 하한값보다 낮은 값은 하한값으로 일괄 변경합니다.

로컬 일반화: 재식별 위험이 있는 데이터만 선별적으로 일반화하는 것입니다.

범위 방법: 특정 값을 '25세~30세'와 같이 범위로 표시하는 것입니다.

숫자 데이터의 범주화: 숫자 데이터를 '20대', '30대'와 같은 범주로 바꾸는 것입니다.

문자 데이터의 범주화: 텍스트 데이터를 더 넓은 범주로 묶는 것입니다 (예: '서울시 강남구'를 '서울시'로).

범주화: '30세'를 '30대'로 바꾸거나, '서울시 강남구'를 '서울시'로 바꾸는 것.

라운딩: '12,345원'을 '12,000원'으로 반올림하는 것.

상하단 코딩: '월 소득 1억원' 같은 극단적인 값들을 일괄적으로 '1억원 이상'으로 묶어버리는 것.

3. 데이터 교란

이 기법들은 데이터에 오차나 변화를 주어 원본 정보를 가립니다.

마스킹: 데이터의 일부를 '*'와 같은 문자로 가리는 것입니다 (예: 전화번호의 뒷자리 가리기).

일방향/양방향 암호화:

일방향: 데이터를 해시(hash) 값으로 변환하여 원래 값으로 되돌릴 수 없게 합니다 (가명처리의 한 방식).

양방향: 암호화와 복호화가 모두 가능한 기법입니다. 권한이 있는 사용자만 데이터를 열어볼 수 있도록 할 때 사용합니다.

고급 암호화: 더 정교하고 복잡한 암호화 기법을 사용하는 것입니다.

잡음 추가: 데이터에 미세한 무작위 오차(noise)를 더하는 것입니다. 통계적 특성은 유지되지만 개별 데이터의 정확성은 떨어집니다.

순열(치환): 데이터 레코드 간에 값을 무작위로 섞어서 개인과 특정 정보의 연결을 끊는 것입니다.

토큰화: 민감한 데이터를 의미 없는 '토큰'으로 대체하는 것입니다 (예: 신용카드 번호를 무작위 토큰으로 대체).

잡음 추가: '나이 27세'에 무작위 오차(예: +1 또는 -1)를 더해 '28세' 또는 '26세'로 바꾸는 것.

순열(치환): 데이터셋 내의 '구매 품목'을 서로 다른 사람의 값과 무작위로 바꾸어 원래 구매자와 구매 품목의 관계를 끊는 것.

4. 키 관리 및 데이터 합성

새로운 데이터를 생성하거나 데이터 연결을 관리하는 방법입니다.

(의사)난수생성: 식별자를 무작위적이지만 예측 가능한 고유 번호로 대체하는 것입니다.

카운터: 각 레코드에 순차적인 일련번호를 부여하는 것입니다.

표본 추출: 전체 데이터 중 일부 대표적인 표본만 사용하여 분석하는 것입니다.

해부화/코드화: 데이터를 분해하거나 다른 형식의 코드로 인코딩하는 것입니다.

재현 데이터: 원본 데이터의 통계적 특성을 모방한, 가짜 데이터를 새로 만드는 것입니다.

토큰화: '신용카드 번호: 1234-5678-9012-3456'을 '토큰: TKN-1A2B-3C4D-5E6F'와 같이 무작위 코드로 대체하는 것.

재현 데이터: 원본 데이터의 평균, 표준편차 같은 통계적 특성은 같지만, 실제 개인 정보는 포함되지 않은 가상의 데이터셋을 새로 만들어 사용하는 것.

5. 프라이버시 보호 모델

이것들은 비식별화 기술의 효과를 측정하는 평가 기준입니다.

k-익명성: 데이터에서 어떤 한 사람이 최소 k-1명 이상의 다른 사람들과 같은 속성(준식별자)을 갖도록 만드는 조치와 그 측정 기준입니다.

l-다양성: k-익명성으로도 부족한 부분을 보완하기 위해, 같은 그룹 내 민감한 정보가 최소 l개 이상 다양하도록 보장하는 기준입니다.

t-근접성: l-다양성을 보완하며, 그룹 내 민감 정보의 분포가 전체 데이터의 분포와 비슷하도록 보장하는 기준입니다.

차분 프라이버시: 데이터에 정교한 무작위 오차를 더해서, 어떤 한 사람의 데이터가 있든 없든 분석 결과가 거의 변하지 않도록 수학적으로 강력한 보호를 제공하는 모델입니다.

m-유일성: 특정 속성 조합이 데이터셋에 m번 이하로 나타나도록 보장하는 기준입니다.

기타 프라이버시보호모델: 그 외의 특수화된 보호 기술들을 포괄하는 용어입니다.

k-익명성: '성별: 남, 연령: 30대, 지역: 서울시'라는 준식별자 조합을 가진 사람이 데이터셋에 최소 3명 이상(k=3) 존재하도록 데이터를 수정하는 것.

l-다양성: k-익명성이 적용된 위 그룹(성별 남, 연령 30대, 지역 서울시) 안에 '민감 정보(예: 질병)'가 최소 2개 이상(l=2) 다양하게(예: '고혈압', '당뇨병') 포함되도록 하는 것.

차분 프라이버시: 데이터 분석 결과가 '한 명의 개인' 때문에 크게 바뀌지 않도록 정교한 무작위 노이즈를 더하는 것.