개인정보 보호 준수 감사 관리 대책(의견안)

안내하고 표준화하기 위해개인정보 보호규정 준수 감사"중화인민공화국"에 따르면 활동개인정보보호법" 및 기타 법률 및 규정에 따라 중국 사이버 관리국은 "개인 정보 보호 준수 감사 관리 조치(의견 초안)" 초안을 작성했으며 현재 대중에게 공개되어 의견을 받고 있습니다. 대중은 다음 채널과 방법을 통해 피드백을 제공할 수 있습니다.

1. 중화인민공화국 법무부 중국정부법률정보망(www.moj.gov.cn, www.chinalaw.gov.cn)에 로그인한 후, "입법의견 수집"란에 입력하세요. 홈페이지 메인 메뉴를 통해 의견을 보내주세요.

2. shujuju@cac.gov.cn으로 이메일을 보내주세요.

3. 귀하의 의견을 우편으로 다음 주소로 보내주십시오: 중국 사이버 관리국 네트워크 데이터 관리국, No. 15 Fucheng Road, Haidian District, Beijing, Postal Code 100048. 봉투에 "개인 정보 보호 준수 감사에 대한 의견 모집"이라고 기재하십시오. 관리 대책."

의견 제출 기한은 2023년 9월 2일입니다.

첨부: 개인정보 보호 준수 감사 관리 대책(의견 초안)

국가인터넷정보실

2023년 8월 3일
개인정보보호 준수감사 관리조치

 

(의견 초안)

 

제1조는 개인정보 보호 준수 감사 활동을 지도 및 표준화하고 개인정보 처리 활동의 준수 수준을 향상시키기 위해 "중화인민공화국 개인정보 보호법" 및 기타 법률, 행정 규정 및 관련 국가 규정에 따라 제정되었습니다. , 개인정보 권익을 보호하는 방법입니다.

제2조 개인정보 처리자는 정기적으로 개인정보 보호 준수 감사를 실시하거나, 개인정보 보호 책임을 수행하는 부서의 요구 사항에 따라 전문 기관에 개인정보 처리 활동에 대한 준수 감사를 실시하도록 위탁하고 개인정보 보호 활동에 대한 준수 감사를 실시합니다. 감독관리에는 이 방법을 적용한다.

제3조 이 방법에서 말하는 '개인정보 보호 준수 감사'란 개인정보 처리자의 개인정보 처리 활동이 법률, 행정법규를 준수하는지 여부를 검토, 평가하는 감독 활동을 의미합니다.

제4조 개인정보를 취급하는 사람이 100만명 이상인 개인정보처리자는 연 1회 이상 개인정보 보호 준수 감사를 실시하고, 기타 개인정보 처리자는 2년에 1회 이상 개인정보 보호 준수 감사를 실시해야 합니다.

제5조 개인정보 처리자는 개인정보 보호 준수 감사를 자체적으로 실시할 수 있으며, 이는 실제 상황에 따라 본 조치의 요구 사항에 따라 조직의 내부 기관 또는 전문 위탁 기관이 실시할 수 있습니다.

제6조 개인정보 보호 책임을 수행하는 부서는 직무 수행 중 개인정보 처리 활동에 있어 위험성이 더 높거나 개인정보가 발생한다는 사실을 발견했습니다.정보 보안만일 사고가 발생하는 경우, 개인정보처리자는 전문기관에 위탁하여 개인정보 처리활동에 대한 준법감사를 실시하도록 요구받을 수 있습니다.

제7조 개인정보처리자가 개인정보 보호 업무를 수행하는 부서의 요구에 따라 개인정보 보호 준수 감사를 실시하는 경우, 통지를 받은 후 지체 없이 전문 기관을 선정하여 개인정보 보호 준수 감사를 실시해야 합니다. .

제8조 개인정보처리자가 개인정보 보호 업무를 수행하는 부서의 요구에 따라 개인정보 보호 준수 여부 감사를 전문기관에 위탁하는 경우에는 해당 전문기관이 다음 각 호의 권한을 정상적으로 행사할 수 있도록 하여야 합니다.

(1) 관련 문서 또는 정보에 대한 접근을 제공하거나 지원하도록 요청합니다.

(2) 개인정보 처리 활동과 관련된 장소에 들어가는 행위

(3) 구내에서 진행되는 개인정보 처리 활동을 관찰합니다.

(4) 관련 사업 활동과 이들이 의존하는 정보 시스템을 조사합니다.

(5) 개인정보 처리활동과 관련된 장비 및 시설을 점검하고 테스트합니다.

(6) 개인정보 처리 활동과 관련된 데이터 또는 정보를 검색하고 검토합니다.

(7) 개인정보 처리 활동과 관련된 담당자와의 면담

(8) 관련 문제에 대한 조사, 질의 및 증거 수집을 수행합니다.

(9) 준수 감사 업무를 수행하는 데 필요한 기타 권한.

제9조 개인정보처리자가 개인정보 보호 업무를 수행하는 부서의 요구에 따라 개인정보 보호 준수 감사를 전문기관에 위탁한 경우, 영업일 기준 90일 이내에 개인정보 보호 준수 감사를 완료해야 합니다. 복잡한 경우에는 개인정보처리자가 이를 수행자에게 보고하여야 하며, 정보보호 담당부서의 승인을 받아 적절하게 연장할 수 있습니다.

제10조 개인정보 처리자가 개인정보 보호 업무를 수행하는 부서의 요구에 따라 개인정보 보호 준수 감사를 전문기관에 위탁하는 경우, 개인정보 보호 업무를 수행하는 부서의 요구 사항에 따라 개인정보 보호 준수 감사를 구성하고 실시해야 합니다. 필요한 준법 감사 절차를 이행한 후, 전문기관이 발행한 개인정보 보호 준법 감사 보고서를 개인정보 보호 업무를 수행하는 부서에 적시에 제출합니다. 개인정보 보호 준수감사보고서에는 준법감사책임자와 전문기관 담당자가 서명하고 전문기관 직인을 날인하여야 합니다.

제11조 개인정보처리자가 개인정보 보호 업무를 수행하는 부서의 요구에 따라 개인정보 보호 준수 여부 감사를 전문기관에 위탁한 경우에는 해당 전문기관의 시정 건의에 따라 시정하고 이를 보고하여야 합니다. 전문기관의 검토 후 정정 상황을 파악하고, 개인정보 보호 업무를 수행하는 부서로 보내드립니다.

제12조 개인정보 보호 준수 감사를 실시하는 전문기관은 독립성과 객관성을 유지하여야 하며, 동일한 감사 대상에 대해 연속 3회 이상 개인정보 보호 준수 감사를 실시하여서는 안됩니다.

제13조 국가 사이버보안 및 정보화 부서는 국무원 공안 기관 및 기타 관련 부서와 함께 종합 계획, 합리적인 배치, 개인정보 보호 준수감사 전문기관에 대한 매년 평가를 구성하고, 평가에 따라 개인정보 보호 준수감사 전문기관 추천 디렉토리를 동적으로 조정합니다.

개인정보 처리자는 권장목록에 포함된 전문기관을 우선적으로 개인정보 보호 준수 감사 활동을 수행할 것을 권장합니다.

제14조 전문기관은 개인정보보호 준법감사활동에 종사할 때 정직하고 올바르며 공정하고 객관적으로 전문적인 준법감사 판단을 하여야 한다.

전문기관은 개인정보 보호 준수여부 감사를 제3자에게 위탁하거나 위탁할 수 없습니다.

전문기관이 개인정보 보호 준수 감사 업무를 수행하면서 취득한 정보는 개인정보 보호 준수 감사 업무에 필요한 경우에만 이용 가능하며, 다른 목적으로 사용할 수 없습니다. 전문 기관은 취득한 정보에 대해 비밀유지 책임을 집니다. 이를 위해 상응하는 기술적 조치 및 기타 필요한 조치를 취합니다.데이터 보안.

전문기관은 개인정보 보호 준수감사 업무를 수행함에 있어 개인정보처리자의 정상적인 업무활동을 악의적으로 방해하여서는 아니 됩니다.

전문기관이 허위, 부정확한 보고, 기타 위반사항을 신고한 경우, 개인정보 처리자 및 관련 당사자는 개인정보 보호 업무를 수행하는 부서에 불만을 제기할 수 있으며, 개인정보 보호 업무를 수행하는 부서의 확인을 받은 경우에는 영구적으로 해당 기관에 포함되지 않도록 조치됩니다. 개인정보보호 전문 준법감시기관 추천 디렉토리입니다.

제15조 본 방법의 규정을 위반할 경우 <중화인민공화국 개인정보 보호법> 등 법률, 법규에 따라 처리하며, 범죄가 성립될 경우 형사책임을 추궁한다. 법.

제16조 본 방법은 중국 사이버공간관리국이 해석하고 해당연도부터 시행한다.

붙임: 개인정보 보호 준수 감사 참고사항

 

개인정보 보호 준수 감사 참고사항

제1조 이 요점은 "중화인민공화국 개인정보 보호법" 등 법률, 행정법규 및 국가 표준의 강제 요구 사항에 따라 제정되었으며 개인 정보 보호 준수 감사 실시에 대한 참고 자료를 제공합니다.

제2조 개인정보 보호 준수 감사는 먼저 다음 사항을 중심으로 개인정보 처리 활동의 적법성에 대한 기본 조건을 검토합니다.

(1) 개인정보 처리에 대해 개인의 동의를 얻었는지 여부, 그리고 개인정보주체가 충분히 인지한 상태에서 자발적이고 명확하게 동의하는지 여부

(2) 개인정보를 개인의 동의에 따라 처리하는 경우, 개인정보의 처리목적, 처리방법, 처리하는 개인정보의 종류가 변경되는 경우 해당 개인의 동의를 다시 받을지 여부

(3) 개인의 동의에 따라 개인정보를 처리하는 경우, 개인에게 동의를 철회할 수 있는 편리한 방법이 제공되는지 여부

(4) 개인의 동의를 받아 개인정보를 처리하는 경우, 개인의 동의를 받은 업무를 기록하는지 여부

(5) 개인의 동의에 따라 개인정보를 처리하는 경우, 개인이 개인정보 처리에 동의하지 않거나 동의를 철회한다는 이유로 상품 또는 서비스 제공을 거부하는 상황이 있는지 여부. 제품이나 서비스를 제공하기 위해 개인정보 처리가 필요한 경우

(6) 개별 동의를 받지 않고 개인정보를 처리하는 것이 법률 및 행정 규정에 따라 개별 동의가 필요하지 않은 상황에 해당하는지 여부.

제3조 개인정보 처리규정을 감사할 때에는 다음 사항을 중점적으로 점검하여야 합니다.

(1) 개인정보처리자의 성명이나 성명 및 연락처가 진실되고 정확하며 완전하게 고지되었는지 여부

(2) 수집한 개인정보와 처리 목적, 방법, 범위가 목록 형식으로 나열되어 있는지 여부

(3) 개인정보의 보관 기간이나 보관 기간의 결정 방법, 만료 후 처리 방법, 처리 목적 달성을 위해 보관 기간이 필요한지 확인하는 데 필요한 최소한의 기간이 명시되어 있는지 여부

(4) 개인이 개인정보에 접근, 복사, 처리, 전송, 정정, 보완, 삭제, 공개, 처리 제한, 계정 취소, 동의 철회를 할 수 있는 경로와 방법이 명확하게 정의되어 있는지 여부

(5) 개인정보를 제3자에게 제공하는 경우에는 제공받는 자의 성명, 연락처, 처리목적, 처리방법 및 개인정보의 종류 등을 해당 개인에게 명확히 알리고, 별도의 동의를 받는지 여부

(6) 법률, 행정법규에서 규정하는 기타 사항.

제4조 개인정보 처리자는 개인정보를 처리할 때 통지 의무를 이행해야 하며, 감사 시 다음 사항에 중점을 두어야 합니다.

(1) 개인정보를 처리하기 전에 개인정보 처리자가 개인정보 처리 규정을 명확하고 이해하기 쉬운 언어로 눈에 띄게 개인정보 처리 규정을 진실하고 정확하며 완전하게 개인에게 알려주는지 여부

(2) 알림 텍스트의 크기, 글꼴, 색상이 개인이 알림을 모두 읽기에 편리한지 여부

(3) 오프라인 통지가 표시, 설명 등 다양한 방법을 통해 개인에 대한 통지의무를 이행하는지 여부

(4) 온라인 알림에 문자 정보를 제공할지 또는 적절한 수단을 통해 개인에 대한 알림 의무를 이행할지 여부

(5) 개인정보 처리방침이 변경되는 경우, 변경사항을 적시에 개인에게 통지할지 여부.

제5조 개인정보처리자가 개인정보를 타인과 공동으로 처리하는 경우에는 다음 각 호의 사항을 중점적으로 검토하여야 합니다.

(1) 각자의 권리와 의무에 대한 합의 여부

(2) 모든 당사자가 취하는 개인정보 보호 조치

(3) 개인정보 권리 보호 메커니즘

(4) 개인정보 보안 사고 보고 메커니즘;

(5) 개인정보 권리 침해로 인해 손해가 발생하는 경우 모든 당사자의 책임은 다음과 같습니다.

(6) 기타 법률, 행정법규에서 약정해야 하는 권리와 의무.

제6조 개인정보처리자가 개인정보 처리를 위탁하는 경우에는 다음 사항을 중점적으로 검토하여야 합니다.

(1) 개인정보 처리자가 개인정보 처리를 위탁하기 전에 개인정보 보호 영향평가를 실시하는지 여부

(2) 개인정보 처리자와 수탁자 간에 체결하는 계약에는 처리를 위탁하는 개인정보의 목적, 기간, 방법 및 종류, 수탁자가 취해야 할 기술적·관리적 조치, 쌍방의 권리와 의무 등이 규정되어 있는지 여부, 등.;

(3) 개인정보 처리자가 개인정보 위탁 처리가 법적 규정을 준수하는지 확인하기 위해 수탁자의 개인정보 처리 활동을 감독하기 위해 정기적인 검사 및 기타 방법을 채택하는지 여부

(4) 수탁자가 위탁 계약 조건을 엄격히 준수하여 개인정보를 처리하는지 여부, 합의된 처리 목적 및 방법을 넘어서 개인정보를 처리하는지 여부

(5) 위탁계약이 효력을 발생하지 아니하거나, 무효가 되거나, 철회 또는 해지된 경우 수탁자는 개인정보를 개인정보처리자에게 반환하거나 삭제할 것인지 여부

(6) 수탁자가 개인정보의 처리를 타인에게 위탁하는지 여부 및 개인정보처리자의 동의를 받았는지 여부

제7조 개인정보처리자는 합병, 개편, 분할, 해산, 파산 등의 사유로 개인정보를 이전할 필요가 있는 경우에는 다음 각 호의 사항을 중점적으로 검토하여야 합니다.

(1) 개인정보처리자가 개인에게 제공받는 자의 성명 또는 성명 및 연락처를 알려주는지 여부

(2) 제공받는 당사자가 개인정보 처리자로서의 의무를 계속 수행하는지 여부

(3) 수령인이 원래의 처리 목적과 방법을 변경할 경우 법률, 행정법규의 관련 규정에 따라 다시 개인의 동의를 받아야 하는지 여부.

제8조 개인정보처리자가 처리한 개인정보를 다른 개인정보처리자에게 제공하는 경우에는 다음 각 호의 사항을 중점적으로 검토하여야 한다.

(1) 개인의 별도 동의를 얻었는지 여부

(2) 수신자의 이름, 연락처, 처리 목적, 처리 방법 및 개인정보 유형을 개인에게 통지하는지 여부

(3) 양 당사자가 합의한 처리 목적, 처리 방법 및 유형의 범위 내에서 수신 당사자가 개인 정보를 처리하는지 여부

(4) 처리 목적이나 방법이 변경되는 경우 법률 및 행정 규정에 따라 개인의 동의를 다시 받아야 하는지 여부

(5) 사전 개인정보 보호 영향평가를 실시했는지 여부.

제9조 개인정보처리자가 자동화된 의사결정을 활용하여 개인정보를 처리하는 경우 감사는 자동화된 의사결정의 투명성과 결과의 공정성 및 공평성을 평가하는 데 중점을 두어야 합니다.

(1) 자동화된 의사결정에 의해 처리되는 개인정보의 종류와 그에 따른 영향을 개인에게 사전에 알리고 있는지 여부

(2) 자동화된 의사결정 알고리즘 모델의 결함을 최소화하기 위해 알고리즘 모델이 관련 국가 규정에 따라 사전에 안전성 평가 및 제출되었는지 여부 적용 시나리오 및 주요 기능이 변경되는 경우 알고리즘 모델이 재조정되었는지 여부 -평가됨;

(3) 알고리즘 모델의 과학기술윤리 검토가 사전에 이루어졌는지 여부

(4) 사전에 개인정보 보호 영향평가를 실시했는지 여부

(5) 이용자가 자동화된 의사결정을 통해 개인의 권리에 중대한 영향을 미치는 결정을 편리한 방법으로 거부할 수 있도록 보호 메커니즘을 제공하거나, 개인정보처리자가 중대한 영향을 미치는 결정을 하도록 요구할 것인지 여부 자동화된 의사결정을 통해 사용자의 개인 권리에 대해 설명합니다.

(6) 자동화된 의사결정 서비스에 사용되는 개인 특성에 따라 사용자 태그를 삭제하거나 수정하는 기능을 사용자에게 제공하는지 여부

(7) 알고리즘 및 매개변수 모델을 보호하기 위해 필요한 조치가 취해졌는지 여부

(8) 자동화된 의사결정 정보 및 결과의 악의적인 조작을 방지하기 위해 개인정보 처리, 라벨 관리, 모델 교육 등 자동화된 의사결정 과정에서 수동 작업을 기록하는지 여부

(9) 개인에게 정보 및 상업적 마케팅을 강요할 때, 개인 특성을 겨냥하지 않은 옵션도 제공하는지, 자동화된 의사결정 서비스를 거부할 수 있는 편리한 방법을 제공하는지 여부

(10) 자동화된 의사결정이 소비자 선호, 거래 습관 등에 따른 거래 조건에서 개인에게 불합리한 차별 대우를 가하는 것을 방지하기 위한 효과적인 조치가 취해졌는지 여부

(11) 기타 자동화된 의사결정의 투명성과 결과의 공정성과 정의에 영향을 미칠 수 있는 사항.

제10조 개인정보처리자가 처리하는 개인정보를 공개하는 경우에는 다음 사항을 중점적으로 검토하여야 합니다.

(1) 개인정보처리자가 처리하는 개인정보를 공개하기 전에 개별 동의를 받았는지 여부, 그 승인이 사실이고 유효한지, 개인정보가 개인의 의사에 반하여 공개되는지 여부

(2) 개인정보 처리자가 개인정보를 공개하기 전 개인정보 보호 영향평가를 실시했는지 여부.

제11조 개인정보 처리자가 공공장소에 영상 수집 또는 개인식별 장치를 설치하는 경우 영상 수집 또는 개인정보 식별 장치 설치의 적법성 및 개인정보 수집 목적을 중점적으로 검토해야 합니다. 리뷰 내용에는 다음이 포함되지만 이에 국한되지는 않습니다.

(1) 공공의 안전을 유지하기 위해 필요한지, 수집된 정보를 상업적 목적으로 처리하는지 여부

(2) 눈에 띄는 알림 표시가 있는지 여부

(3) 개인정보처리자가 수집한 개인영상 및 식별정보를 공안유지 이외의 목적으로 이용하는 경우에는 당해 개인에게 별도의 동의를 받는지 여부.

제12조 개인정보처리자가 공개된 개인정보를 처리하는 경우에는 개인정보처리자가 다음 각 호의 위반행위를 하였는지 여부를 중심으로 감사를 실시합니다.

(1) 공개된 개인정보에 포함된 이메일 주소, 휴대전화번호 등으로 공개 목적과 관련 없는 정보를 전송하는 행위

(2) 공개된 개인정보를 이용하여 사이버 폭력을 행사하는 행위

(3) 개인이 명시적으로 처리를 거부한 공개 개인정보를 처리합니다.

(4) 공개된 개인정보를 본인의 동의 없이 처리하는 것은 개인의 권익에 중대한 영향을 미칩니다.

제13조 개인정보 처리자가 민감한 개인정보를 처리하는 경우 감사에서는 다음 사항에 중점을 두어야 합니다.

(1) 생체정보, 종교적 신념, 특정 신원, 건강상태, 금융계좌, 소재지 등 민감한 개인정보를 처리함에 있어 사전에 본인의 별도 동의를 받았는지 여부

(2) 만 14세 미만 미성년자의 개인정보를 처리하는 경우, 해당 미성년자의 부모 또는 기타 보호자의 사전 동의를 받았는지 여부

(3) 민감한 개인정보를 처리하는 목적과 방법이 적법하고 적법하며 필요한지 여부

(4) 민감한 개인정보의 처리가 상품이나 서비스 제공, 법적 의무나 의무 이행 등 특정 목적과 밀접하게 관련되어 있는지 여부, 처리가 필수적이지 않은지 여부

(5) 사전에 개인정보 보호 영향 평가를 실시하고 민감한 개인정보 처리의 필요성과 개인의 권익에 미치는 영향을 개인에게 통지하는지 여부

(6) 법률, 행정법규에 따라 서면 동의가 필요한 경우 서면 동의를 얻었는지 여부

(7) 민감한 개인정보를 처리하는 과정이 적법하고 규정을 준수하는지 확인하기 위해 민감한 개인정보를 처리하는 과정을 기록하는지 여부.

제14조 개인정보 처리업체의 업무가 만 14세 미만 미성년자의 개인정보를 처리하는 경우에는 감사 시 다음 사항에 중점을 두어야 합니다.

(1) 미성년자의 개인정보 취급에 관한 특별규정 제정 여부

(2) 미성년자 및 그 보호자에게 미성년자의 개인정보 처리 목적, 처리 방법, 처리 필요성, 처리하는 개인정보의 종류 및 취해진 보호 조치에 대한 고지 여부

(3) 미성년자 또는 보호자의 불필요한 개인정보 처리에 동의를 강요하는 행위가 있는지 여부.

제15조 개인정보처리자가 개인정보를 해외에 제공하는 경우에는 다음 사항을 중점적으로 검토하여야 합니다.

(1) 100만명 이상의 개인정보를 취급하는 중요 정보 인프라 운영자 및 개인정보 처리자가 해외에 제공하는 개인정보가 국가 사이버보안정보화 부서가 주관하는 보안 평가를 받았는지 여부

(2) 전년도 1월 1일부터 10만명의 개인정보 또는 1만명의 민감한 개인정보를 국외에 제공한 개인정보처리자가 국가사이버공간부에서 주관하는 보안평가를 받았는지 여부

(3) 중화인민공화국 영토 내에 저장된 개인정보를 외국 사법기관 또는 법집행기관에 제공하는지 여부와 제공하는 경우 중화인민공화국 주관기관의 승인을 받았는지 여부

(4) 중화인민공화국이 체결 또는 참가한 국제조약이나 협정에서 중화인민공화국 경외에서 개인정보를 제공하는 조건을 규정한 경우 해당 규정을 준수해야 하는지 여부

(5) 국가사이버공간부 규정에 따라 전문기관으로부터 개인정보보호에 관한 인증을 받았는지, 국가사이버공간부에서 제정한 표준계약에 따라 해외수령자와 계약을 체결했는지 여부 법률, 행정법규 또는 국가 사이버공간 부문의 규정을 준수한 경우 기타 조건

(6) 해외수취인이 위치한 국가 또는 지역의 개인정보 보호정책 및 정책을 이해하고 있는지 여부사이버 보안아웃바운드 개인정보에 대한 환경의 영향

(7) 개인정보 제공 제한 또는 금지 대상 기관 및 개인에 대한 개인정보 제공 위반 여부.

제16조 개인정보를 해외에 제공하는 개인정보 처리자는 해외 수신자의 개인정보 처리 활동이 중화인민공화국 개인정보 보호법에서 규정한 개인정보 보호 기준을 충족하도록 필요한 조치를 취해야 합니다. 감사는 다음을 포함하되 이에 국한되지 않고 개인정보 처리자가 해외 수신자에 대해 취한 감독 조치의 효율성을 조사하는 데 중점을 두어야 합니다.

(1) 해외 수신자의 상황이 알려져 있고 이해되고 있는지 여부, 특히 수신자가 필요한 개인 정보 보호 능력을 갖추고 있는지 여부

(2) 개인 정보 보호에 대한 우리나라 법률 및 행정 규정의 요구 사항을 해외 수신자에게 알리고 있는지 여부와 해외 수신자가 해당 보호 조치를 취해야 하는지 여부

(3) 해외 수취인에게 협약체결, 정기점검 등을 통해 개인정보 보호 의무를 효과적으로 이행하도록 독려하는지 여부

제17조 개인정보 삭제 권리 보호를 감사할 때 다음 상황에서 개인정보 삭제에 중점을 두어야 합니다.

(1) 개인정보 처리 목적이 달성되었거나, 달성할 수 없거나, 처리 목적 달성에 더 이상 필요하지 않은 경우

(2) 제품 또는 서비스 제공을 중단하거나 계정을 취소합니다.

(3) 개인과 합의한 보관 기간에 도달한 경우

(4) 개인의 동의 철회

(5) 자동수집 기술 등을 이용하여 불필요한 개인정보 또는 동의 없이 개인정보를 수집하는 것을 회피하는 것은 불가능합니다.

(6) 개인정보 처리자는 법률, 행정 규정 또는 계약을 위반하여 개인정보를 처리합니다.

개인정보 처리자는 법률, 행정법규에서 규정한 보유 기간이 만료되지 않았거나 개인정보 삭제가 기술적으로 어려운 경우, 보관 이외의 처리를 중단하고 필요한 보안 조치를 취해야 합니다.

제18조 개인정보처리자는 개인의 개인정보 권리 행사권을 보호해야 하며, 감사 시 다음 사항에 중점을 두어야 합니다.

(1) 개인이 자신의 권리를 행사할 수 있는 신청 승인 메커니즘이 확립되어 있는지 여부

(2) 개인정보에 대한 접근, 복사, 전송, 정정, 보완, 삭제를 위한 편리한 방법을 개인에게 제공하는지 여부

(3) 개인의 권리 행사 신청에 적시에 대응하는지, 처리 의견이나 집행 결과를 적시에 완전하고 정확하게 통지하는지 여부.

제19조 개인정보 처리자는 개별 신청에 응답하고 개인정보 처리 규칙을 설명해야 하며 감사 시 다음 내용을 중점적으로 평가해야 합니다.

(1) 개인정보처리자가 개인정보 처리규칙에 대한 설명을 요청하는 개인의 요청을 접수하고 처리할 수 있는 편리한 방법과 수단을 제공하는지 여부

(2) 개인정보 처리자가 개인의 요청을 받은 후 합리적인 시간 내에 자신의 개인정보 처리 규정을 알기 쉽고 알기 쉬운 언어로 설명하는지 여부.

제20조 개인정보 보호에 대한 주요 책임은 개인정보 처리자에게 있으며, 감사에서는 다음 사항을 포함하되 이에 국한되지 않는 개인정보 처리자의 주요 책임 이행을 평가하는데 중점을 두어야 합니다.

(1) 개인 정보 처리의 성격, 규모, 복잡성 및 위험에 대한 개인 정보 보호 시스템의 공식화, 조직 구조 및 관리 절차의 적응성

(2) 개인정보 보호 책임 분담이 합리적인지, 책임이 명확한지, 보고 관계가 명확한지 여부

(3) 개인정보 처리자가 개인정보 보호를 위해 제공하는 인적, 재정적, 물질적 보호와 기업의 사업 규모, 운영 계획, 개인정보 준법 리스크 관리가 양립할 수 있는지 여부.

제21조 개인정보 처리자는 법률 및 행정법규의 규정에 따라 내부 관리 시스템과 운영 절차를 제정하고, 조직 구조와 직무 책임을 명확히 하며, 업무 프로세스를 확립하고, 내부 통제 시스템을 개선하며, 개인정보 처리의 규정 준수 및 보안을 보장해야 합니다. 감사에서는 다음을 포함하되 이에 국한되지 않는 개인정보 보호를 위한 개인정보 처리자의 내부 관리 시스템 및 운영 절차를 검토하는 데 중점을 두어야 합니다.

(1) 개인정보 보호 업무의 정책, 목표, 원칙이 법률, 행정법규를 준수하는지 여부

(2) 개인정보 보호 조직 구조, 인력 배치, 행동 규범 및 관리 책임이 이행해야 할 개인정보 보호 책임과 일치하는지 여부

(3) 개인정보의 종류, 출처, 민감도, 목적 등에 따라 개인정보를 분류하고, 표적관리 또는 보안기술적 조치를 취하고 있는지 여부

(4) 개인정보 보안 사고에 대한 긴급 대응 메커니즘이 구축되어 있는지 여부

(5) 개인정보 보호 영향평가 및 준법감시 시스템 구축 여부

(6) 개인정보 보호에 관한 불만사항 및 신고를 원활하게 접수하는 절차가 확립되어 있는지 여부

(7) 개인정보 보호 보안 교육 및 훈련 계획을 수립하고 시행할지 여부

(8) 개인정보 보호 책임자 및 관련 인력에 대한 성과평가 체계가 구축되어 있는지 여부

(9) 개인정보 처리에 종사하는 자에 대한 개인정보 침해 처리 또는 위반 책임 제도가 확립되어 효과적으로 시행되고 있는지 여부

(10) 법률, 행정법규가 규정하는 기타 내용.

제22조 개인정보 처리자는 처리하는 개인정보의 규모와 유형에 적합한 보안 기술 조치를 채택하고, 개인정보 처리자가 취한 기술 조치의 유효성을 평가해야 하며, 평가 내용은 다음을 포함하되 이에 국한되지 않습니다.

(1) 관련 국가 표준 또는 기술 요구 사항을 참조하고 개인 정보의 기밀성, 무결성 및 가용성을 달성하기 위해 상응하는 보안 기술 조치를 채택하는지 여부

(2) 추가정보를 이용하지 않고도 개인정보의 식별성을 제거하거나 축소할 수 있도록 암호화, 비식별화 등 보안기술적 조치를 채택하고 있는지 여부

(3) 채택된 보안 기술 조치가 관련 직원의 개인정보 접근, 복사, 전송 등에 대한 운영 권한을 합리적으로 결정하고, 처리 과정에서 개인정보에 대한 무단 접근 및 남용 위험을 줄일 수 있는지 여부.

제23조 개인정보 처리자에 대한 교육훈련 계획의 수립 및 이행을 감사할 때 다음 사항을 중점적으로 평가해야 합니다.

(1) 관리 인력, 기술 인력, 운영자 및 모든 직원을 대상으로 해당 안전 교육 및 훈련이 계획대로 실시되는지 여부와 해당 인력의 개인 정보 보호 인식 및 기술이 평가되는지 여부

(2) 교육 내용, 교육 방법, 교육 대상, 교육 빈도 등이 개인정보 보호 요구를 충족할 수 있는지 여부.

제24조 국가 사이버 보안 및 정보화 부서에서 요구하는 개인 정보의 양을 처리하는 개인 정보 처리자는 개인 정보 처리 활동의 준수를 책임지는 개인 정보 보호 담당자를 지정해야 합니다. 감사 중에는 다음 사항에 중점을 두어야 합니다.

(1) 개인정보 보호 담당자가 해당 업무 경험과 전문 지식을 갖추고 있으며, 개인정보 보호 관련 법률 및 행정 규정을 숙지하고 있는지 여부

(2) 개인정보 보호 책임자가 명확하고 분명한 책임을 갖고 있는지, 조직 내 개인정보 처리와 관련된 관련 부서 및 인력을 조정할 수 있는 충분한 권한을 부여받았는지 여부

(3) 개인정보 보호책임자가 개인정보 보호팀장을 지명하고, 원활한 의사소통 및 연락을 유지할 수 있는 권리가 있는지 여부

(4) 개인정보 보호 책임자가 개인정보 처리와 관련된 주요 사항을 결정하기 전에 관련 의견 및 제안을 제시할 권리가 있는지 여부

(5) 개인정보 보호 책임자가 조직의 개인정보 처리에 있어 비준수 업무를 중단하고 필요한 시정 조치를 취할 수 있는 권한을 가지고 있는지 여부

(6) 개인정보 처리자가 개인정보 보호 책임자의 연락처를 공개하고, 개인정보 보호 책임자의 성명, 연락처 등을 개인정보 보호 업무를 수행하는 부서에 신고하는지 여부 .

제25조 개인정보 처리자가 실시하는 개인정보 보호 영향 평가를 감사할 때 검토는 영향 평가의 실시 및 내용에 중점을 두어야 합니다.

(1) 개인의 권익에 중대한 영향을 미치는 개인정보 처리 활동을 수행하기 전에 법률, 행정법규의 규정에 따라 개인정보 보호 영향 평가를 통과했는지 여부.

(2) 개인정보 처리 활동의 적법성, 적법성, 필요성에 대한 분석 및 평가 여부, 개인정보의 과도한 수집 여부

(3) 개인의 독립적 의사결정권 제한, 차등 대우 유발, 개인 명예 훼손 또는 정신적 스트레스 유발, 개인 재산 피해 유발 등 안전 위험에 대한 분석 및 평가가 있었는지 여부

(4) 취해진 보호 조치의 적법성, 효율성 및 적응성이 분석되고 평가되었는지 여부

(5) 개인정보 보호 영향평가서 및 처리기록을 3년 이상 보관하는지 여부.

제26조 개인정보 처리자는 개인정보 보안사고에 대한 긴급계획을 수립해야 합니다. 감사 중에는 다음을 포함하되 이에 국한되지 않는 비상 대응 계획의 포괄성, 효율성 및 집행 가능성을 평가해야 합니다.

(1) 실제 사업상황을 바탕으로 개인정보 보안 위험을 체계적으로 평가하고 예측하였는지 여부

(2) 지도사상, 기본전략, 조직구조, 인력, 기술, 물자지원, 지휘 및 처리 절차, 긴급 및 지원 조치 등이 예상되는 위험에 대처하기에 충분한지 여부

(3) 관련 인력을 대상으로 비상계획 교육을 실시하고 비상계획 훈련을 정기적으로 실시하는지 여부.

제27조 개인정보 처리자의 개인정보 보안 사고에 대한 긴급대응 및 처리를 평가할 때에는 주로 다음 요소를 고려해야 합니다.

(1) 개인정보 보호 사고의 영향, 범위 및 피해 가능성이 비상계획 및 운영절차에 따라 신속하게 파악되었는지, 사고 원인을 분석, 판단하고 피해 확대를 방지하기 위한 조치를 제안했는지 여부 ;

(2) 신고 채널이 설치되어 있는지, 사고 발생 후 72시간 이내에 개인정보 보호 업무를 수행하는 부서 및 개인에게 신고할 수 있는지 여부

(3) 개인정보보호사고로 인한 손실 및 피해위험을 최소화하기 위한 적절한 조치가 취해졌는지 여부.

제28조 대규모 인터넷 플랫폼 운영자는 개인정보 보호를 감독하기 위해 주로 외부 구성원으로 구성된 독립 조직을 설립해야 합니다. 감사에서는 독립기관의 독립성, 직무수행능력, 감독역할 등을 평가해야 한다.

(1) 외부 구성원이 개인정보 처리자 및 그 대주주와 관계를 맺고 있어 독립적이고 객관적인 판단을 저해할 수 있는지 여부를 중점적으로 검토하여, 개인정보 보호를 감독하는 독립 기관의 독립성을 평가합니다.

(2) 외부위원이 그에 상응하는 전문지식, 능력, 경험을 갖추고 있는지, 개인정보처리자의 개인정보 보호를 감독·지도하고 객관적이고 공정한 의견을 제시할 수 있는지를 중심으로 직무수행능력을 평가합니다. 그리고 제안;

(3) 개인정보 처리자에 대한 준법감시체계 구축, 플랫폼 규정 제정, 주요 개인정보 보안사고 처리, 기업의 사회적 책임 이행 촉구 등에 있어 독립기관의 역할을 중심으로 독립기관의 감독 역할을 평가한다. 책임.

제29조 대규모 인터넷 플랫폼의 규칙과 관련하여 다음 사항을 중점적으로 감사해야 합니다.

(1) 플랫폼 규칙의 적법성 및 준수 여부, 법률 및 행정 규정과의 충돌 여부를 평가합니다.

(2) 악의적인 경쟁이 있는지 여부, 소비자 권리에 대한 영향 및 공정한 경쟁, 선의, 공공 질서 및 선량한 관습의 원칙을 위반하는 기타 콘텐츠가 있는지 여부 등 플랫폼 규칙의 공정성과 공평성을 평가합니다.

(3) 플랫폼 규칙의 개인정보 보호 조항의 유효성, 플랫폼, 플랫폼 내 제품 또는 서비스 제공자의 개인정보 보호 권리와 의무가 합리적으로 정의되어 있는지, 운영자가 플랫폼에서 개인정보를 처리하는지 여부를 평가합니다. 플랫폼의 규제 여부, 운영자의 개인정보 보호 의무가 명확한지 여부

(4) 플랫폼 규칙의 이행 여부를 확인하고 샘플링 및 기타 방법을 통해 플랫폼 규칙이 효과적으로 이행되는지 확인합니다.

제30조 대규모 인터넷 플랫폼 운영자는 자사 플랫폼에서 제품 또는 서비스 제공자의 개인정보 처리 활동을 감독해야 합니다. 감사 중에는 다음 사항에 중점을 두어야 합니다.

(1) 플랫폼 내 제품 또는 서비스 제공자의 개인정보 처리 규정의 적법성 및 합리성을 정기적으로 검토하는지 여부

(2) 플랫폼의 제품 또는 서비스 제공업체의 개인정보 처리 관련 법률 및 행정 규정 준수 여부를 정기적으로 검토하는지 여부

(3) 플랫폼이 개인정보 취급에 있어 법률 및 행정법규를 심각하게 위반하는 상품 또는 서비스 제공자에 대해 서비스 제공을 즉시 중단하는지 여부.

제31조 대규모 인터넷 플랫폼 운영자는 매년 개인정보 보호의 사회적 책임 보고서를 발행해야 합니다. 감사 중에는 사회적 책임 보고서의 다음 내용을 중점적으로 공개해야 합니다.

(1) 개인정보 보호 조직구조 및 내부 관리

(2) 개인정보 보호 역량 구축

(3) 개인정보 보호 조치 및 효과

(4) 개인이 자신의 권리를 행사하기 위한 신청을 수락합니다.

(5) 독립 감독 기관의 직무 수행

(6) 주요 개인정보 보안사고 처리

(7) 법률, 행정법규가 규정하는 기타 상황.