개인정보보호법에 서술된 개인정보의 처리에 관한 사항을 알아보는 시간

본 포스터는 CPO포럼의 39회 기준 CPPG 가이드북의 내용을 담고있습니다.

개인정보의 처리 제한

민감정보의 처리제한

개인정보보호법 제23조(민감정보의 처리 제한)

  1. 개인정보처리자는 사상, 신념, 노동조합, 정당의 가입 및 탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
    1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
    2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
  2. 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.

개인정보보호법 시행령 제18조(민감정보의 범위)

법 제23조제1항 각 호 외의 부분 본문에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다.

  1. 유전자검사 등의 결과로 얻어진 유전정보
  2. 형의 실효등에 관한 법률 제2조제5호에 따른 범죄경력자료에 해당하는 정보
  3. 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보
  4. 인종이나 민족에 관한 정보

민감정보의 처리 제한의 해석

개인정보에는 개인에 관한 객관적인 신상정보 외에도 그 사람을 주관적으로 판단, 평가할 수 있는 자료가 되는 정보도 포함될 수 있다. 이러한 정보들로 인하여 특정 개인에게 사회적 차별이 가해질 수 있거나 개인의 사생활이나 인권이 현저히 침해될 우려가 있는 경우에는 해당 정보를 보다 엄격히 보호하여야 한다.

개인정보보호법 제23조제1항제1호의 ‘정보주체의 별도 동의가 있는 경우’란 다른 개인정보의 처리와 분리하여 민감정보 처리에 대하여 정보주체가 이를 명확히 인지하고 명시적으로 자신의 동의 의사를 밝힌 경우를 말한다. 제22조(동의하는 방법)에서는 민감정보의 동의를 제15조, 제17조 등 다른 개인정보 처리에 대한 동의와 분리하여 받도록 명시함으로써 민감정보가 엄격히 보호될 수 있도록 규정하고 있다.

또한 ‘법령에서 민감정보의 처리를 요구하거나 허용하는 경우’라 함은 다른 법령에서 민감정보의 처리를 구체적으로 언급하고 있거나 해석상 요구되는 경우를 포함한다.

고유식별정보의 처리 제한

개인정보보호법 제24조(고유식별정보의 처리 제한)

  1. 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 “고유식별정보”라 한다)를 처리할 수 없다.
    1. 정보주체에게 제15조제2항 각 호 또는 제17종제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
    2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
  2. 삭제
  3. 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.
  4. 보호위원회는 처리하는 개인정보의 종류, 규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제3항에 따라 안전성 확보에 필요한 조치를 하였는지에 관하여 대통령령으로 정하는 바에 따라 정기적으로 조사하여야 한다.
  5. 보호위원회는 대통령령으로 정하는 전문기관으로 하여금 제4항에 따른 조사를 수행하게 할 수 있다.

개인정보보호법 제24조의2(주민등록번호 처리의 제한)

  1. 제24조의제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.
    1. 법률, 대통령령, 국회규칙, 대법원규칙, 헌법재판소규칙, 중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
    2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
    3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회가 고시로 정하는 경우
  2. 개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.
  3. 개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.
  4. 보호위원회는 개인정보처리자가 제3항에 따른 방법을 제공할 수 있도록 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련, 지원할 수 있다.

고유식별정보의 처리 제한의 해석

공공, 민간 부문에서 주민등록번호 등의 개인정보가 광범위하게 수집되고 개인정보DB의 키 값으로도 사용됨에 따라 그 유출이나 오용가능성이 날로 높아지고 있다. 이러한 개인정보 유출 및 남용을 방지하기 위하여 개인정보보호법은 원칙적으로 고유식별정보의 처리를 금지하고, 법령상의 예외 등 일정한 경우에만 주민등록번호 등 고유식별정보의 처리를 허용하고 그 경우 교유식별정보의 유출 등을 방지하기 위하여 대통령령이 정하는 바에 따라 암호화 등 안전성 확보조치를 취할 것을 규정하고 있다.

개인정보보호법 시행령 제19조는 고유식별번호로서 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호를 정하고 있다.

또한 법령 등에 따라 주민등록번호를 수집, 이용할 수 있는 경우일지라도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법(대체수단)의 제공을 의무화하고 있다.

영상정보처리기기의 설치 및 운영 제한

가이드북 포스트가 느려져서 조문은 뒤에서 법령을 세세히 알아볼 때 하나씩 다루도록 하고, CPO포럼에서 사용하는 법령의 해석을 중점적으로 정리하겠습니다.

제25조(영상정보처리기기의 설치 및 운영 제한)제1항은 공개된 장소에서 영상정보처리기기를 설치 및 운영하는 것을 규율하므로 집안 내부를 촬영하도록 설치된 영상정보처리기기(예 : 홈네트워크 서비스 등) 또는 직장에서 출입이 통제된 사무실, 작업장 내부에 설치된 영상정보처리기기 등은 동 조항의 적용을 받지 않는다고 해석된다. 이는 일반적인 개인정보처리기준인 동의여부에 따라 처리된다.

제25조 제1항 다음 각 호의 경우를 제외하고는 공개된 장소에 영상정보처리기기를 설치, 운영하여서는 아니 된다.

  1. 법령에서 구체적으로 허용하고 있는 경우
  2. 범죄의 예방 및 수사를 위하여 필요한 경우
  3. 시설안전 및 화재 예방을 위하여 필요한 경우
  4. 교통단속을 위하여 필요한 경우
  5. 교통정보의 수집, 분석 및 제공을 위하여 필요한 경우

제25조제1항 각 호에 따라 영상정보처리기기를 설치, 운영하는 자는 정보주체가 쉽게 인식할 수 있도록 대통령령으로 정하는 바에 따라 안내판 설치 등 필요한 조치를 하여야 한다. 그러나 시행령 제24조제4항에서 규정하고 있는 시설에 설치하는 영상정보처리기기에 대하여는 안내판을 설치하지 않을 수 있다.

업무위탁에 따른 개인정보 처리 제한

해석

업무효율화, 서비스개선, 비용절감 등의 이유로 각종 업무가 아웃 소싱되고 있으나 그 과정에서 개인정보가 전전유통, 공유, 유출되면서 개인정보 침해사례가 발생하고 있다. 개인정보보호법은 이러한 유형의 침해를 방지하기 위하여 위탁자 및 수탁자에게 일정한 의무와 책임을 부과하고 있다. 업무위탁과 제3자 제공은 개인정보의 처리목적과 관리범위 등 그 성격은 상이하지만 외형적 형태는 유사하므로 다음과 같이 이를 구분하는 것이 필요하다.

  • 업무위탁은 개인정보처리자의 업무범위 내에서 개인정보 처리가 행해지지만, 제3자 제공은 제3자의 이익이나 목적을 위해서개인정보를 처리한다.

  • 업무위탁은 개인정보처리자의 관리범위 내에서 업무가 행해지지만, 제3자 제공은 일단 제공된 뒤에는 개인정보처리자의 관리가 미치치 못한다.

  • 업무위탁은 위탁자의 관리가 가능하고 위탁자의 이익을 위하여 수행되므로 위탁자의 관리감독책임 및 손해배상책임을 인정할 수 있으나, 제3자 제공은 일단 제공된 후에는 개인정보처리자의 지배범위를 벗어나게 되고 제3자의 이익을 위한 것이므로 개인정보처리자에게 관리감독책임 및 손해배상책임을 묻기가 어렵다.

따라서 제3자 제공은 정보주체의 동의 등 엄격한 사전규율에 의하여 정보주체의 이익을 보호하는 한편, 업무위탁은 업무효율성 증대와 비용절감 등을 고려하여 허용하되 개인정보처리자의 수탁자 관리, 감독책임을 강화하는 방향으로 달리 규율하는 것이 개인정보보호법의 태도이다.

위탁자의 책임

  • 문서에 의한 업무위탁
  • 위탁사실 공개의무
  • 위탁사실 고지의무
  • 수탁자에 대한 관리, 감독의무
  • 수탁자의 불법행위로 인한 손해배상책임

수탁자의 책임

  • 수탁자는 개인정보처리자로부터 위탁받은 해당 업무범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.

  • 수탁자의 이러한 위반행위에 대하여 위탁자는 동조 제6항에 따라 민법 제756조의 사용자책임을 부과한다.

영업양도 등에 따른 개인정보의 이전 제한

영업양도, 합병 시 고객정보도 함께 이전되는 경우가 많은데 이 경우 개인정보의 제3자 제공과 유사한 문제가 발생한다. 이를 제3자 제공과 같이 정보주체의 동의를 요하게 한다면 현실적으로 영업양도, 합병을 불가능하게 할 수 있으므로 사업자의 입장을 고려하여 통지만으로 개인정보의 이전을 가능하게 하고 사전 통지에 의하여 정보주체가 개인정보 이전에 대하여 거부할 기회를 갖도록 하였다.

영업양수인 등은 영업양도인이 개인정보 이전사실 등을 정보주체에게 알리지 않은 경우 개인정보 이전사실을 대통령령이 정하는 방법에 따라 정보주체에게 알려야 한다.

영업양수인은 영업양도인으로부터 이전받은 개인정보를 당초의 목적 범위 내에서만 이용, 제3자 제공할 수 있으며, 그 목적 범위 외에서 이용, 제공하려면 동법 제18조에 따라 별도의 동의 등의 요건을 충족시켜야 한다.