CPPG 공부 : 정보주체의 권리

정보주체의 권리를 알아보자

본 포스터는 CPO포럼의 39회 기준 CPPG 가이드북의 내용을 담고있습니다.

정보주체의 권리

개인정보보호법 제4조는 정보주체의 5대 권리를 선언하고 있는바, 이는 동법 제3조 개인정보 보호원칙과 함께 개인정보보호의 기본 원리 및 이념을 강조하고 있는 조항이라고 볼 수 있다. 이러한 정보주체의 권리는 헌법상의 기본권인 ‘개인정보자기결정권’의 내용을 법률의 형태로 구체화한 것이다.

개인정보처리에 관한 정보를 제공받을 권리

정보주체는 개인정보의 수집, 이용, 제공, 파기 등 개인정보의 처리에 관한 사항을 개인정보처리자로부터 제공받을 권리가 있다. 이를 위하여 개인정보처리자는 수집, 이용, 제공목적 등에 관한 고지의무 및 개인정보처리방침의 공개의무 등을 준수하여야 한다.

개인정보의 처리에 관한 동의여부, 동의범위 등을 선택하고 결정할 권리

개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이므로, 정보주체가 개인정보의 처리에 관하여 자율적, 실질적인 동의권을 확보하는 것은 개인정보자기결정권의 본질적인 요소이다.

이러한 동의권이 형식화되지 않기 위하여, 개인정보의 수집 및 이용 등의 목적, 개인정보의 항목 등이 정보주체에게 정확히 고지되어야 하고, 이에 반하여 포괄적인 동의를 하도록 강요하는 것은 금지된다.

개인정보의 처리 여부를 확인하고 개인정보에 대한 열람을 요구할 권리

개인정보보호법은 정보주체가 개인정보의 수집 및 이용 등의 상태를 확인하고 이를 관리할 수 있도록 개인정보 열람청구권을 보장하고 있다.

정보주체는 개인정보처리자에 대하여 개인정보의 열람을 요구할 수 있다. 이 경우 정보주체는 웹사이트 회원정보(이름, 주소, 아이디 등)와 같이 정보주체가 직접 제공한 개인정보 외에도 개인정보처리자가 다른 경로를 통하여 수집 및 보관하고 있는 개인정보(주문내역, 통화내역, 신용카드 사용내역, 진료기록 등)도 열람가능하다. 이는 개인정보보호법 제20조(정보주체 이외로부터 수집한 개인정보의 수집출처 등 고지) 규정과 일정부분 대응된다.

개인정보처리자가 정보주체로부터 열람요구를 받은 때에는 원칙적으로 지체 없이 이에 응하여야 하나, 법률의 규정에 의하여 비밀로 취급되는 개인정보파일에 포함된 개인정보, 타인의 생명, 신체, 재산을 부당하게 침해할 우려가 있는 경우, 일정 범위의 공공기관의 업무에 중대한 지장을 초래하는 경우에는 열람을 제한하거나 거부할 수 있다.

개인정보의 처리 정지, 정정과 삭제 및 파기를 요구할 권리

개인정보보호법은 개인정보의 부당한 이용 및 잘못된 정보로 인한 정보주체의 피해를 막기 위하여 개인정보의 처리정지요구권, 정정과 삭제 및 파기를 요구할 권리를 보장하고 있다.

헌법상 기본권인 ‘개인정보자기결정권’은 개인정보처리에 관한 동의권 및 동의철회권을 핵심요소로 하고 있으므로, 정보주체가 원하지 않는 개인정보처리를 저지할 수 있는 권리가 보장되어야 한다.

민간분야에 적용되는 법률인 ‘정보통신망법’ 및 ‘신용정보보호법’은 대체로 정보주체의 동의에 의하여 개인정보가 처리되므로 동의철회권을 두어 개인정보의 삭제 및 처리정지를 할 수 있으나, 공공분야는 정보주체의 동의 외에 법령의 규정, 공익상의 필요 등의 요소를 고려하고 있으므로, 동의철회권보다 넓은 개념인 처리정지 요구권을 두는 것이 바람직하다.

개인정보처리자는 원칙적으로 정보주체의 요구에 따라 개인정보의 처리를 정지하여야 하나, 제37조제2항제1호 내지 제4호에 해당하는 경우에는 개인정보처리정지를 거절할 수 있고, 정보주체에게 지체 없이 그 사유를 알려야 한다.

정보주체의 정정 및 삭제 요구권(제36조)도 ‘개인정보자기결정권’의 한 내용으로서 정보주체는 오류가 있거나 보존기간을 경과하여 파기되어야 할 개인정보에 대하여 개인정보처리자에게 정정, 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집대상으로 명시되어 있는 경우에는 삭제를 요구할 수 없다. 이때에는 삭제를 할 수 없는 사유를 정보 주체에게 알려야 한다.

정보주체의 정정 및 삭제 요구를 받은 개인정보처리자는 다른 법령에 특별한 절차가 규정된 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정정 및 삭제 등 필요한 조치를 취한 후 그 결과를 정보주체에게 알려야 한다. 정보주체의 정정 및 삭제 요구사항에 대한 구체적인 확인이 필요한 경우에는 해당 정보주체에게 필요한 증빙자료를 제출하게 할 수 있다.

최근 발생하는 개인정보 유출 사고는 현재 정보통신서비스를 이용하고 있는 이용자의 개인정보 뿐만 아니라 장기간 미 이용자의 개인정보 상당 부분 포함하고 있는 것으로 나타나고 있다. 이에 ‘특례 규정’제38조의6(개인정보의 파기에 대한 특례)은 장기간 서비스를 이용하지 않고 방치되는 개인정보로 인한 이용자의 피해를 방지하고 사업자의 불필요한 개인정보의 보관을 최소화함으로써 개인정보의 오남용과 유출을 방지하기 위해 일정 기간(다른 법령에서 별도의 기간을 정하고 있거나 이용자의 요청에 따라 기간을 달리 정한 경우가 아닐 시에는 1년)동안 이용하지 않는 이용자의 개인정보를 해당기간 경과 후 즉시 파기하거나, 다른 이용자의 개인정보와 분리하여 별도 저장 및 관리해야 함을 규정하고 있다.

개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리

신속, 공정한 절차에 따라 피해를 구제받을 권리는 민사소송법의 기본 이념이라고 할 수 있지만, 특히 현대 사회에서 개인정보 유출 등에 따른 피해는 광범위하고 확산속도가 빠르며 소액다수의 피해자가 양산되고 있는 상황이므로, 신속, 공정한 절차에 따른 피해구제의 중요성은 더욱 크다.

개인정보보호법 제39조제1항은 과실 없음의 입증을 개인정보처리자에게 전환시키고 있다. 원칙적으로 불법행위책임의 입증책임은 피해자에게 있으나 개인정보보호법, 정보통신망법(제32조)은 정보주체의 권익을 위하여 이의 입증책임을 개인정보처리자, 사업자에게 돌리고 있다.

법정대리인의 권한

만 14세 미만 아동의 개인정보 처리 시 법정대리인 동의

민법상 미성년자 보호에 관한 일반규정이 있으나, 개인정보의 처리에 대하여 동의의사를 선택하고 결정할 능력이 현저히 낮은 만 14세 미만 아동을 더욱 특별히 보호하기 위하여, 만 14세 미만 아동의 개인정보를 처리할 때에는 반드시 법정대리인 동의를 받도록 하였다. - 개인정보보호법 제22조제5항

이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다. 필요한 최소한의 정보에 관하여는 대통령령에 맡겨져 있다. ‘정보통신망법’ 상의 실무를 참고하면, 대체로 법정대리인의 성명, 연락처 정도의 개인정보를 아동으로부터 수집할 수 있다.

위 법정대리인의 개인정보는 당연히 동의 획득의 목적으로만 사용되어야 하며, 법정대리인이 아동의 개인정보 수집 동의에 대한 회신을 하지 않거나 동의를 하지 않는 경우에는 해당 아동과 법정대리인의 정보를 파기하여야 할 것이다. 일반적으로 아동의 법정대리인은 친권자인 부모를 의미하나, 부모의 사망 등으로 친권자가 없는 경우에는 민법 제938조에 따라 후견인이 법정대리인이 된다. 민법에서 정한 후견인의 순위는 부모의 유언에 의한 경우, 직계혈족, 3촌 이내의 방계혈족의 순으로 이루어지며, 고아원 등 시설에 있는 아동의 경우에는 보호시설의 장이 후견인, 즉 법정대리인이 된다.

만 14세 미만 아동의 개인정보에 대한 법정대리인의 열람, 정정 과 삭제, 처리정지요구권

만 14세 미만 아동의 개인정보에 대해서는 개인정보보호법 제22조(동의받는 방법)에 따라 법정대리인이 동의권을 행사하는 것과 같은 취지로, 법정대리인이 해당 아동의 개인정보에 대한 열람, 정정과 삭제, 개인정보처리정지요구권도 행사할 수 있다. - 개인정보보호법 제38조제2항

정보통신망사업자의 특례 - 개인정보보호법 제39조의3(개인정보의 수집 및 이용 동의 등에 대한 특례)

• 정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부해서는 아니 된다. 이 경우 필요한 최소한의 개인정보는 해당 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 정보를 말한다.
• 정보통신서비스 제공자는 만 14세 미만의 아동으로부터 개인정보 수집과 이용 및 제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 하고, 대통령령으로 정하는 바에 따라 법정대리인의 동의하였는지를 확인하여야 한다.
• 정보통신서비스 제공자는 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 하는 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용하여야 한다.
• 보호위원회는 개인정보 처리에 따른 위험성 및 결과, 이용자의 권리 등을 명확하게 인지하지 못할 수 있는 만 14세 미만의 아동의 개인정보 보호 시책을 마련하여야 한다.

기타 정보통신서비스 제공자 특례 규정

개인정보보호법 제39조의9(개인정보 이용내역의 통지)

일정규모의 기준(이용자 수가 일일평균 100만명 이상 또는 정보통신서비스 부문 매출액 100억 이상)에 해당하는 정보통신서비스 제공자 등으로 하여금 이용자의 열람 요구와는 상관없이 이용자의 개인정보 이용내역(수집, 이용 목적, 수집 항목, 보유 및 이용기간, 제3자 제공, 위탁 내용 등)을 연 1회 이상 해당 이용자에게 주기적으로 통지(전자우편, 서면, 팩스, 전화 등)하도록 규정하여 이용자가 자신의 개인정보 이용내역을 정확히 알고 자기정보를 스스로 통제할 수 있도록 하고 있으며, 위반 시 3천만원의 과태료가 부과된다.

방송통신위원회에서 발간한 ‘개정 정보통신망법 개인정보보호 신규제도 안내서’에 따르면, 통신비밀보호법 제13조, 제13조의2, 제13조의4 및 전기통신사업법 제83조의제3항에 따라 수사기관에 제공한 정보는 제외된다고 설명하면서, “적시된 법률에 의한 경우와 개별 법률에서 별도의 통지절차를 규정하고 있는 수사기관에 대한 정보제공은 이용내역 통지 대상에서 제외”된다고 하여 모든 정보의 제공내역이 통지대상이 아님을 정책적으로 배려하고 있다. 제도의 명칭이 ‘개인정보 이용내역 통지제도’임에도 불구하고, 실제로 개인정보의 수집 및 이용 목적과 항목만을 통지하면 되기 때문에 해당 정보통신서비스의 개별적인 이용내역은 통지대상에 해당되지 않는 점에 유의할 필요가 있다. 또한, 이용자의 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우에는 통지를 하지 않아도 된다.

개인정보보호법 제39조의9(손해배상의 보장)

빅데이터, IoT, 인공지능 등 4차 산업혁명 시대의 신기술 확산으로 개인정보의 중요성이 높아지는 한편, 사이버 공격의 대상과 규모가 증가하는 등 개인정보 유출로 인한 이용자 피해 사례도 증가되고 있으나, 기업의 배상능력이 부족한 경우 이용자가 손해배상을 청구해도 피해구제가 어려워 이용자 피해구제 제도의 실효성 제고의 필요성이 제기 됨에 따라, 기업으로 하여금 손해배상책임의 이행을 보장하도록 보험 또는 공제에 가입하거나 준비금을 적립하도록 의무화 되었다.