[개인정보보호법] 제 3장 개인정보의 처리(2)

제 2절 개인정보의 처리 제한

(1) 23조 민감정보의 처리 제한

|  1항 개인정보 처리자는 민감정보를 처리해선 안돼! 아래는 예외야

• 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
• 법령에서 민감정보의 처리를 요구하거나 허용
  • 의료법 | 진료기록의 사본 이송
  • 병역법 | 학교생활기록부 및 학생건강기록부

|  2항 민감정보를 처리할 경우 안전성 확보에 필요한 조치 해야해

• 안전조치 의무를 해야해 → 제 29조 하위 시행령
• 서비스 제공 전 공개 가능성 및 비공개 방법 알려줘

|  생체인식정보

• 생체정보 : 특정 개인을 식별, 인증하거나 개인에 관한 특징 알아보기 위해 일정한 기술적 수단을 통해 처리되는 정보 → 바이오 정보
  • 인증에 사용 : 사전에 저장된 정보와 대조
  • 식별에 사용 : 여러 사람 중 특정 개인을 구분하여 확인
• 생체인식정보 : 생체정보 중 특정 개인을 인증, 식별할 목적으로 일정한 기술적 수단으로 처리
  • 생체인식 원보 정보 : 수집, 입력
  • 생체인식 특징 정보 : 기술적 수단을 통해 생성 → 민감정보

 

(2) 24조 고유식별정보의 처리 제한

|  고유식별정보

• 법령에 따라 개인을 고유하게 구별하기 위해 부여된 식별정보 → 개인정보보호법 규정
• 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호
  • 신용정보법(개인식별번호)는 국내거소신고번호를 포함함
• 고유식별정보 처리 원칙적으로 금지
  • Q 학번, 사번 → 법령에 의해 규정 X
  • Q 건강보험증 번호 → 개인정보보호법에 의해 규정 X

|  고유식별정보 처리 가능

• 정보주체의 별도의 동의를 받은 경우 → 명시적 동의
• 법령에서 구체적으로 고유식별정보의 처리 요구할 경우 → 법률, 시행령, 시행규칙
  • 성년후견 : 주민등록번호, 외국인등록번호
  • 관세법 : 여권번호
  • 고용보험법 → 외국인 등록 번호
  • Q 청소년 보호법 → 구체적으로 어떤 정보 수집할지 규정 안했으므로 해당 사항 X

|  안전성 확보 조치 및 보호위원회

• 3항 안전성 확보 조치 → 개인정보보호 안전성 확보 조치 준용
• 4항 보호관리위원회의 정기적 조사
  • 공공기관, 5만명 이상의 고유식별정보 처리하는 자
  • 2년 마다 정기적, 자료 제출
  • 대통령령이 정하는 전문기관 → 한국인터넷진흥원

|  24조2 주민등록번호 처리 제한

• 주민등록번호 원칙적 처리 금지
  • 주민등록번호 처리 법정주의
  • 정보주체의 동의가 있어도 법적인 수집 목적과 근거 없이 처리 불가
  • 수집 목적과 근거가 있을 때는 동의 안받아도 됨 → 목적과 근거 법령 명시
• 아래의 경우 처리 가능
  • 법률, 대통령령, 국회규칙, 개법원규칙 등에서 구체적으로 주민등록번호 처리 요구
  • 정보주체 또는 제 3자의 급박한 이익을 위해 명백히 필요할 경우
  • 불가피한 경우로 보호위원회가 고시로 정한 경우 → 시행규칙은 X
  • ex. 고등교육법, 국민연금법, 국민건강보험법
• 안전성 확보 조치
  • 암호화하여 안전하게 보관
  • 개인정보보호법 고유식별정보 안전성 확보 조치 준용
• 주민등록번호 대체가입수단 제공하렴

 

(3) 25조 고정형 영상정보처리기기의 설치/운영 제한

|  1항 공개된 장소에 고정형 영상정보처리기기 설치 금지야

• 누구든지 공개된 장소에 고정형 영상정보처리기기의 설치, 운영 금지
• 일정한 공간에 설치, 지속적 또는 주기적으로 사람, 사물의 영상을 촬영하는 대통령령으로 정하는 장치
  • CCTV, 네트워크 카메라, 촬영전송된 영상을 저장하는 장치
  • 개인영상정보 : 개인을 식별할 수 있는 정보
  • Q 자동자 블랙박스 → 자동차가 이동하므로 이동형
• 녹음 사용 금지
• 설치 목적 외 이용 금지
• 안전성 확보 조치 의무

|  공개되지 않은 장소에 설치, 운영하는 것은 일반 개인정보보호법(15조) 적용해

• 공개된 장소 : 정보주체가 접근, 통행하는데 제한을 받지 않는 장소
  • Q 회사 사무실 → 비공개 장소, 6조(개인정보처리자의 정당한 이익)에 의해 설치 O
  • Q 대문 앞 CCTV → 목적에 맞춰 거리에 지나가는 사람 비추지 않게 설치할 시 O
• 공개된 장소에 설치할 경우 : 법령에서 구체적(명시적 열거)으로 허용하는 경우에 가능
  • 어린이집, 보육시설, 학교, 도시공원 등 아동보호구역
  • 주차대수 30대 초과하는 규모의 자주식주차장
  • 범죄의 예방 및 수사
  • 시설의 안전 및 관리를 위해 정당한 권한을 가진 자 : 사유재산의 보호
  • 교통단속, 교통정보 수집
  • 촬영된 영상정보를 저장하지 아니하는 경우

|  개인정보에 대한 법 적용 예외

• 불특정다수에게 동의 취득이 어려운 경우 안내판으로 대체
  • 아동의 개인정보 보호
  • 영업양도 등에 따른 개인정보의 이전
  • 개인정보 유출 등의 통지, 신고
  • 개인정보 처리 정리 → 특정 주체만 개인정보 처리 정지 불가
• 안내판 설치 예외
  • 군사시설, 국가중요시설, 국가보안시설
  • 안내판의 필요성이 적거나 못 세우는 곳 → 홈페이지에 안내판 내용 게시

|  사례

• 탈의실에 CCTV 설치 → 사생활 침해 우려 장소
• 사무실 내, 방법용 설치한 영상처리기기 목적 미고지 → 고지 의무 위반

|  25조2 이동형 영상정보처리기기의 설치/운영 제한

• 공개된 장소에서 이동형 영상정보처리기기로 촬영 금지
• 업무를 목적으로 할 경우 공개된 장소에서 사람 또는 관련된 사물의 영상 촬영 금지
  • 업무 목적 : 개인정보처리자 개념. 일반인 제외
  • 고정형은 누구나 → 이동형은 공개된 장소에서
• 사람이 신체에 착용, 휴대하거나 이동 가능한 물체에 부탁 또는 거치하여 사람 또는 사물의 영상을 촬영하거나 이를 유, 무선망을 통하여 전송하는 장치
  • 스마트폰, 비디오 카메라, 드론, 블랙박스, 삼각대 스마트폰
• 촬영 가능한 경우
  • 제 15조의 어느 하나에 해당하는 경우
  • 촬영 사실을 명백히 표시(불빛, 소리, 안내판)하여 알렸음에도 거부 의사를 밝히지 않은 경우
  • 정보주체의 권리를 부당하게 침해할 우려가 없고 합리적인 범위를 초과하지 않는 경우
• 촬영 제한 : 개인의 사생활을 현저히 침해할 수 있는 곳
  • 목욕탕, 화장실, 발한실, 탈의실
  • 예외 : 인명의 구족 구급 등을 위해 필요한 경우
• 25조의 안전성 확보 조치, 개인정보처리 방침, 위탁 운영 가능 준용

 

(4) 26조 업무위탁에 따른 개인정보의 처리 제한

|  1항 개인정보처리자가 제 3자에게 위탁할 경우 문서/전자 문서로 계약해야해

• 위탁업무 수행 목적 외 개인정보 처리 금지 사항
• 개인정보의 기술적, 관리적 보호 조치 사항
• 안전관리를 위해 대통령령으로 정한 사항
  • 위탁 업무의 목적 및 범위 → 위탁자는 수집 목적이 명확
  • 재위탁 제한 사항
  • 안전성 확보 조치 사항
  • 위탁 업무와 관련해 보유하고 있는 개인정보 관리 현황 점검 및 감독
  • 수탁자가 준수해야 할 의무 위반한 경우 손해배상 등 책임

|  2항 위탁자는 위탁업무 내용과 수탁자를 정보주체가 확인할 수 있도록 해줘야 해

• 위탁자 : 개인정보의 처리 업무를 위탁하는 개인정보 처리자(수탁자는 X)
• 개인정보보호처리방침에 반영 : 수정할 시 사용자에게 알려야해
• 3항 홍보, 판매 권유 업무 위탁 시 서면 등의 방법으로 개별통지, 서면 불가 시 홈피 30일
• 4항 위탁자는 수탁자를 교육하고 감독해야 할 의무가 있어
• 5항 수탁자는 위탁받은 업무 범위를 초과하거나 제 3자에게 제공하면 안돼
• 6항 제 3자에게 재위탁 할 경우 위탁자의 동의 받아야해
  • 위탁(CJ대한통운) → 재위탁(해외배송)
• 7항 수탁자가 위탁받은 업무와 관해 개인정보처리할 때 수탁자를 개인정보처리자 소속으로 봐
  • 손해배상에 대한 책임은 위탁자
  • 위탁자는 수탁자에게 구상권 청구 가능

 

(5) 28조 개인정보취급자에 대한 감독

- 1항 개인정보처리자는 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘 감독을 받아 개인정보를 처리하는 자(개인정보취급자)에 대해 적절한 관리, 감독의 의무가 있어