어렵기만 한 개인정보보호법, 어떻게 해석해야 할지 난감할 때가 많지 않으신가요? 지난 7월 31일 개인정보보호위원회에서는 ‘2023 개인정보 보호법 표준 해석례’를 공개하였습니다. 이번 표준 해석례는 개인정보 처리자뿐만 아니라 국민들의 개인정보보호법에 대한 이해도 제고를 위해 마련되었으며, 인사노무, 공동주택, 영상정보, 온라인플랫폼, 제도일반 등 5개분야의 대표사례 30건을 정리하였습니다.
개인정보 보호법 표준 해석례가 필요한 이유는 무엇일까요? 디지털로의 전환이 빨라지는 환경 속에서 개인정보보호가 중요하다는 인식과 함께 개인정보의 활용에 대한 관심이 증가하였습니다. 따라서 개인정보 관련 업무 종사자들뿐만 아니라 일반 국민들도 개인정보 보호 법령에 대한 관심이 높아지고 있습니다. 실제로 개인정보보호위원회에서는 개인정보 보호 법령에 대한 국민들의 관심과 질문이 증가하면서, 질의 건수가 2021년부터 지속적으로 증가하고 있다고 합니다. 특히 올해 상반기 질의 건수는 2022년 전체 질의건수의 절반을 넘어섰습니다.
출처: 개인정보보호위원회
이처럼 개인정보 보호법을 보다 쉽고 자세히 이해하기 위해서는 표준 해석례가 반드시 필요할텐데요, 이번 게시글에서는 주목할만한 사례들에 대해 살펴보도록 하겠습니다.
스마트폰에서 인증한 지문정보는 민감정보에 해당하는지?
(문의) 정보주체의 지문정보를 추출하여 이용하려면 민감정보 수집・이용에 대한 동의를 받아야 하는 것으로 알고 있습니다. 그런데 앱이 정보주체의 지문정보에 접근하거나 저장하지 않고 스마트폰에서 본인 여부에 대해 확인한 결과값만 제공받는 것도 민감정보 이용에 해당하나요?
(답변) 스마트폰에 내장된 지문으로 본인확인한 결과값은 민감정보에 해당하지 않으므로 결과값 이용은 일반 개인정보의 이용에 해당함
○ 개인정보보호법 시행령 제18조 제3호에서는 민감정보를 다음과 같이 규정하고 있습니다.
개인정보보호법 시행령 제18조(민감정보의 범위)
법 제23조제1항 각 호 외의 부분 본문에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다.
1. 유전자검사 등의 결과로 얻어진 유전정보
2. 「형의 실효 등에 관한 법률」 제2조제5호에 따른 범죄경력자료에 해당하는 정보
3. 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보
4. 인종이나 민족에 관한 정보
제 3조에 따르면 기술적으로 추출한 지문, 홍채, 정맥, 안면 정보는 민감정보에 해당합니다.
○ 개인정보처리자가 민감정보를 이용하려면 보호법 제15조에 따른 동의항목과 다른 별도의 항목에 이용하려는 민감정보의 내용을 표시하여 정보주체가 선택적으로 동의할 수 있도록 하여야 합니다. 다만, 정보주체가 스마트폰에 지문정보를 등록하고 필요할 때 지문을 입력하여 본인이 맞는지에 대해 확인만 하고 스마트폰이 결과값으로 예, 아니오만 제공한다면 이는 민감정보에 해당하지 않으므로 앱이 이를 이용하는 경우 민감정보 이용에 대한 동의를 받지 않아도 됩니다.
회사에서 직원의 주민등록번호를 수집해도 되는지?
(문의) 회사로부터 주민등록번호 뒷자리까지 기재를 강요받았습니다. 퇴사 이후에 주민등록번호가 유출되어 개인 신상에 피해가 있을 것으로 예상됩니다. 생년월일 말고 주민등록번호 뒷자리까지 회사가 수집할 수 있나요? 보호법 위반 아닌가요?
(답변) 회사가 단체보험 및 4대보험 가입, 급여에 대한 소득세 원천징수 등을 위해 주민등록번호를 수집할 수 있습니다.
○ 보호법 제24조의2에서는 법률·대통령령 등에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우, 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우를 제외하고는 개인정보처리자는 주민등록번호를 처리할 수 없다고 규정하고 있습니다.
○ 「근로기준법」 제41조 제1항에서는 근로자명부를 작성하고 근로자의 성명, 성별, 생년월일, 주소, 이력 등을 작성하도록 규정하고 있으나, 주민등록번호를 작성하도록 규정하고 있지는 않습니다.
○ 다만, 회사가 단체보험 가입을 위하여 직원의 주민등록번호를 처리 (「보험업법시행령」 제102조 제5항 제4호, 「상법」 제735조의3에 근거)하는 것은 가능하며, 4대 보험 가입, 급여에 대한 소득세 원천징수 등을 위해 관련 법령에서 정하는 바에 따라 기업이 해당 입사자의 주민등록번호를 수집하는 것은 가능합니다.
개인정보 국외이전 시 정보주체로부터 동의를 받아야 하는지?
(문의) 안녕하세요. 저희 회사는 정보통신망을 통해 고객의 개인정보를 처리하고 있는 온라인쇼핑몰입니다. 고객과의 커뮤니티 및 교육 진행을 위한 목적으로 개인정보를 국외이전하는 부분을 신규로 추가할 예정입니다. 혹시 이런 경우 개인정보 처리방침에 고지할 경우 기존 및 신규 이용자들에게 별도 동의를 받지 않아도 괜찮을지 문의드립니다
(답변) 정보주체의 동의를 받아 개인정보를 국외이전해야 하나, 계약체결 및 이행을 위한 처리위탁・보관의 경우 공개 또는 알림으로 갈음
○ (개정) 보호법 제28조의8 제1항에 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 법률, 조약, 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 없는 한 제2항 각 호에 따른 사항을 정보주체에게 알리고 별도의 동의를 받아야 합니다.
- 다만, 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁․보관이 필요한 경우 제2항 각 호의 사항을 개인정보처리방침에 공개하거나 전자우편 등의 방법으로 알린 경우 정보주체의 동의를 받지 않고도 국외이전 할 수 있습니다.
○ 제28조의8 제2항의 정보주체에게 알려야 할 사항은 다음과 같습니다.
- 1. 이전되는 개인정보 항목, 2. 개인정보가 이전되는 국가, 시기 및 방법, 3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처), 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간, 5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과
열람을 거쳐야 개인정보 정정,삭제를 요구할 수 있는지?
(문의) 저의 개인정보를 처리한 공공기관이나 민간회사와 같은 개인정보 처리자에게 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구하려면 반드시 열람을 거쳐야 하는지 궁금합니다.
(답변) 개인정보의 정정・삭제를 요구하려면 반드시 열람을 거쳐야 하며, 처리 정지, 동의 철회는 열람을 거치지 않고도 가능함
○ 보호법 제4조 제1호의 개인정보의 처리에 관한 정보를 제공받을 권리와 관련하여, 정보주체는 개인정보 수집, 이용, 제공 등의 처리 목적과 범위 등에 관한 정보를 개인정보처리자로부터 제공받을 권리가 있습니다.
○ 보호법 제35조(개인정보의 열람) 제1항에 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다고 규정하고 있고, 제36조(개인정보의 정정ㆍ삭제) 제1항은 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있습니다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다고 규정합니다.
○ 따라서, 정정·삭제 요구는 반드시 열람을 거쳐야 할 수 있으며, 제37조의 처리정지, 제39조의7의 동의의 철회는 열람을 거치지 않고 요구할 수 있습니다.
앞서 살펴본 바와 같이 개인정보는 관련 법령상의 규정이 복잡하기 때문에 알맞은 개인정보 처리를 위해서는 여러 방면으로 검토하는 과정이 필요합니다. 또한 관련 사례 및 표준 해석을 최소한의 기준으로 참고하며 개별 사안에 따라 다르게 판단하거나 추가적인 해석이 필요할 수 있다는 점도 염두해야 합니다. 데이터 사회에서 개인정보의 올바른 활용과 처리를 위해 개인정보 보호법에 대한 이해는 필수이지 않을까요?
2023 개인정보 보호법 표준 해석례는 개인정보위원회 홈페이지> 법령ㆍ정책> 법령정보> 지침ㆍ가이드라인에서 다운받으실 수 있습니다.
-
PREV 8월 2주차 보안 알리미
2023-08-11 -
NEXT 8월 3주차 보안 알리미
2023-08-18