온라인 서비스의 발달로 각종 서비스를 이용하기 위해서는 개인정보의 수집 및 이용에 동의할 수밖에 없습니다. 따라서 개인정보를 수집 및 이용하는 개인정보 처리자와 개인정보를 보유한 사업장에서 개인정보보호법을 준수하는 것이 중요합니다. 또한 개인정보를 제공하는 정보주체도 개인정보를 신중하게 제공해야 합니다. 그러나 잦은 법령 개정과 어려운 법률 내용으로 인해 개인정보보호법을 올바르게 준수하고 있는지 판단하기 어려운 경우가 많습니다. 따라서 개인정보보호위원회에서는 개인정보보호법의 원활한 해석을 돕기 위해 매년 개인정보보호법 해석 사례집을 발간하고 있습니다. 이번 개인정보보호법 해석 사례집에서는 개인정보의 정의, 공공서비스, 민간서비스 등의 분야로 나누어 개인정보보호에 관련한 해석을 돕고 있습니다.

• 정의

ID와 결제상품정보가 개인정보에 해당하나요?

개인정보보호법에 따른 개인정보의 정의는 다음과 같습니다.

<개인정보보호법 제 2조 1항>

제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.

1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.

가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.

다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)

<이하 생략>

이처럼 개인정보란 살아있는 개인에 관한 정보로서, 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우도 포함됩니다. 따라서 고객 ID, 결제상품정보를 다른 정보와 결합하여 특정 개인을 식별할 수 있는 경우 개인정보에 해당할 수 있습니다.

본인확인기관이 주민등록번호를 변환한 연계정보(CI)가 개인정보에 해당하나요?

Connecting Information의 약자인 CI는 본인인증기관에서 개인별로 부여하는 연계정보로, 온라인에서 개인식별을 위한 일종의 온라인 주민등록번호라고 볼 수 있습니다.

CI는 주민등록번호를 단방향 암호화한 정보로 복원이 불가능하고 그 자체로는 특정 개인을 식별할 수 없으나, 특정 개인에 고유하게 생성 및 귀속되어 유일성을 가지며, 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있어 개인정보에 해당합니다.

사망자 관련 정보가 개인정보에 해당하나요?

개인정보보호법에서는 개인정보를 살아있는 개인에 관한 정보로 정의하고 있습니다. 따라서 사망한자에 관한 정보는 원칙적으로 개인정보에 해당하지 않습니다. 그러나 사망자에 관한 정보라 하더라도 유족과의 관계를 알 수 있는 정보라면 유족의 정보로서 개인정보에 해당합니다.

• 공공 서비스
  

민원인의 개인정보를 저장할 때 암호화해야 하나요?

개인정보의 안전성 확보조치기준 제 7조에 의하면 개인정보의 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 하며, 일부 개인정보에 대해서는 암호화 조치를 하여야 합니다. 또한 개인정보처리자는 비밀번호, 생체인식정보 등 인증정보를 저장하는 경우, 고유식별정보·생체인식정보를 개인정보취급자의 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장하는 경우 등에는 해당 개인정보를 암호화하여야 합니다.

<개인정보보호법>

제29조(안전조치의무)

개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.

<개인정보의 안전성 확보조치기준>

제7조(개인정보의 암호화)

1. 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.

5. 개인정보처리자는 제1항, 제2항, 제3항 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.

• 민간 사업자
  

민간의 일반회사는 개인정보파일 보유기간을 어떻게 정해야 하나요?

민간기업은 공공기관과 달리 개인정보파일 보유기간을 별도로 규정하지 않고 있습니다. 개인정보보호법 제16조에 따라 수집목적에 필요한 최소한으로만 보유기간을 정하며, 입증책임은 개인정보처리자에게 있습니다.

사례집에서는 아래와 같은 대표적인 사례를 참고사항으로 제시하고 있습니다.

1. 홈페이지 회원가입의 경우 해당 사업자, 단체 회원탈퇴 시까지

2. 홈페이지 이용과정에서 채권, 채무관계가 발생한 경우 해당 채권 채무관계 정산 시까지

3. 재화 또는 서비스 제공의 경우 재화 또는 서비스 공급완료, 요금결제, 정산완료 시까지

4. 관계 법령 위반에 따른 수사, 조사 등이 진행 중인 경우에는 해당 수사, 조사 등의 종료 시까지

5. 「전자상거래 등에서의 소비자 보호에 관한 법률 시행령」 제6조 제1항에 따라 표시·광고에 관한 기록은 6개월, 소비자의 불만 또는 분쟁처리에 관한 기록은 3년, 계약 또는 청약철회, 대금결제, 재화 등의 공급기록은 5년 보존

회원가입에 필요한 개인정보를 동의 없이 수집해도 되나요?

기존의 개인정보보호법에서는 법에서 정한 특별한 경우를 제외하고는 정보주체의 동의를 얻은 경우에만 개인정보를 수집·이용할 수 있도록 규정하고 있어 대부분의 사업자는 이용자에게 동의를 받고 개인정보를 처리하고 있었습니다. 대부분의 경우 동의가 필요했기 때문에 이용자는 이에 대한 피로감을 느낄 수 있었습니다.

그러나 개정된 개인정보보호법에서는 제 15조가 아래와 같이 개정되었습니다.

제15조(개인정보의 수집ㆍ이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.

4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우

개정 전 개인정보보호법에서는 ‘불가피하게 필요한 경우’에만 정보주체의 동의없이 처리가 가능했습니다. 개정된 개인정보보호법에서는 이러한 단서를 삭제하여 계약 체결 및 이행을 위한 경우에는 동의를 받지 않고 개인정보의 수집 및 이용이 가능해졌습니다.

이처럼 개인정보보호법은 정보주체의 개인정보를 보호하기 위한 법이지만 올바르게 이해하지 못한다면 법을 올바르게 지키기가 어려울 것입니다. 사례집을 통해 개인정보보호법에 대한 어려움을 해소하고 정보주체와 개인정보처리자 모두 개인정보보호법을 준수할 수 있을 것입니다. 보다 많은 개인정보보호법 사례는 개인정보보호위원회 홈페이지에 기재된 개인정보보호법 해석 사례집(https://url.kr/z683ec)에서 확인하실 수 있습니다.

출처 및 참고자료

개인정보보호위원회, 개인정보보호법 해석 사례집