개인정보 영향평가 수행안내서 part3(개인정보 영향평가 항목) 개인정보 처리단계별 보호조치 - 3.1 수집

출처: https://www.kisa.or.kr/2060301/form?postSeq=63&lang_type=KO#fnPostAttachDownload

해당 포스트는 상기 개인정보 영향평가 수행안내서를 기준으로 작성됩니다.

---

 

개인정보 영향평가 항목 설명

3. 개인정보 처리단계별 보호조치

3.1 수집

3.1.1 개인정보 수집의 적합성 : 개인정보를 수집하는 경우 정보주체의 동의를 받거나, 법령 등에 따라 적법하게 수집하도록 계획하고 있는가?

1. 개인정보의 수집 시 아래와 같이 보호법 제15조 제1항 각 호의 어느 하나에 해당하는 적법한 근거가 있어야 한다.
① 정보주체의 동의를 받은 경우
② 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
③ 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
④ 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우
⑤ 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
⑥ 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지아니하는 경우에 한한다.
⑦ 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우
2. 개인정보 수집 시 정보주체의 동의를 받아 처리하는 개인정보 항목은 동의를 받을 때 정보주체의 자유로운 의사에 따라 동의 여부를 결정할 수 있어야 하며, (서비스 제공 과정에서 정보주체의 자유로운 의사를 제약하는 경우 개별 상황에 따라서는 보호법 제22조 또는 제15조 위반이 될 수 있다는 점에 유의) 동의를 받지 않고 처리하는 개인정보 항목은 동의 외의 다른 적법 근거(예: 법률, 법령상 의무 준수, 공공기관이 법령 등에서 정하는 소관 업무 수행, 계약의 체결‧이행 등)를 확인하고 개인정보 흐름표에 기재하여야 한다. (수집 근거가 보호법 제15조제1항제2호(법률에 특별한 규정 또는 법령상 의무 준수) 및 제3호(공공기관이 법령 등에서 정하는 소관 업무 수행)인 경우, 그 근거가 되는 다른 법령도 포함하여 기재하여야 함)
3. 정보주체의 동의를 받는 경우에는 관련 사항을 모두 알려야 한다.
① 개인정보의 수집·이용 목적
② 수집하려는 개인정보의 항목
③ 개인정보의 보유 및 이용 기간
④ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
4. 정보주체의 동의 여부, 동의 일시 등을 사후에 확인할 수 있도록 개인정보처리시스템에 관련 내용이 기록되어야 한다.
5. SNS, 인터넷 홈페이지 등 공개된 매체 및 장소에서 개인정보를 수집하는 경우에는 정보주체의 공개 목적· 범위 및 사회 통념상 동의 의사가 있다고 인정되는 범위 내에서만 수집·이용하여야 한다.
※ 개인정보 흐름분석 결과를 바탕으로 모든 평가업무별 수집 흐름별로 점검 필요

• 본 지표에서는 개인정보 흐름도 등 개인정보 흐름분석 결과를 바탕으로 각 개인정보 수집 경로 및 흐름별로 개인정보 수집의 근거가 적절한지 평가한다. 개인정보를 수집하는 경로가 평가 업무별로 상이하거나 온라인, 오프라인 등 다양하게 존재한다면 해당 경로 상의 모든 개인정보 수집절차가 적절한지 빠짐없이 확인하여야 한다.
• '법률에 특별한 규정이 있거나' : 법률에 특별한 규정이 있어야 하므로 시행령이나 시행규칙에 규정하는 것은 안된다.

• '법령상 의무 준수' :  법률에 의한 의무뿐만 아니라 시행령, 시행규칙에 따른 의무도 포함된다.
• ‘불가피한 경우’란 개인정보를 수집하지 않고는 법령에서 부과하는 의무를 이행하는 것이 불가능하거나 개인정보처리자가 다른 방법을 사용하여 의무를 이행하는 것이 현저히 곤란한 경우를 의미한다.

• ‘법령 등에서 정하는 소관업무’란 ｢정부조직법｣ 및 각 기관별 직제령․직제규칙, 개별 조직법 등에서 정하고 있는 소관 사무 이외에, ｢주민등록법｣, ｢국세기본법｣, ｢의료법｣, ｢국민건강보험법｣ 등 소관법령에 의해서 부여된 권한과 의무, 지방자치 단체의 경우 조례에서 정하고 있는 업무 등을 의미한다.
• '명백히 정보주체 등의 이익을 위한 경우' : 개인정보의 수집·이용 목적이 명백하게 정보주체 또는 제3자의 생명·신체·재산상의 이익을 위한 것이어야 한다. 이익이 되지만 동시에 손해가 될 수도 있는 경우에는 정보주체의 동의없이 개인정보를 수집할 수 없다. 문제는 제3자에게는 명백히 이익이 되지만 정보주체에게는 손해가 되는 경우이다. 이 경우에는 제3자의 이익이 정보주체의 이익보다 월등한 경우에만 동의없는 개인정보 수집이 가능하다고 하여야 할 것이다. 특히 제3자의 재산상 이익은 정보주체의 생명, 신체상 이익을 앞설 수는 없다고 보아야 한다.
• '급박한 생명·신체·재산상 이익' : 생명·신체·재산상 이익이 급박해야 한다. 정보주체 또는 법정대리인의 동의를 받을 수 있는 충분한 시간적 여유가 있거나 다른 수단에 의해서도 생명, 신체, 재산상의 이익을 보호할 수 있다면 급박한 상태에 있다고 할 수 없다.

3.1.2 개인정보 수집의 적합성 : 개인정보를 수집하는 경우 목적에 필요한 최소한의 범위에서만 수집하도록 계획하고 있는가?

1. 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 하며, 해당 개인정보가 최소한의 개인정보라는 입증 책임은 개인정보처리자가 부담한다

• 정보주체의 자유로운 의사에 따른 동의를 받는 경우 필요 최소한의 정보 이외의 것도 수집·이용할 수 있다. 그러나 이를 위해 필요 최소한의 정보라고 하여 정보주체의 동의를 의무화하거나 강요해서는 안된다.

• 최소한의 개인정보라는 입증책임은 개인정보처리자가 부담한다. 즉 개인정보처리자가 수집한 개인정보가 정당한 목적을 위해 수집한 개인정보라고 하더라도 정보주체가 최소수집원칙을 위배하여 처리한 것이라고 주장하여 손해배상청구소송을 제기하는 경우 개인정보처리자가 그 목적 달성을 위해 필요한 최소한의 개인정보라는 것을 입증해야 한다.

3.1.3 개인정보 수집의 적합성 : 민감정보를 처리하는 경우 다른 개인정보의 처리에 대한 동의와 별도로 구분하여 동의를 받거나, 법령 등에 따라 적법하게 처리하도록 계획하고 있는가?

1. 민감정보의 처리는 원칙적으로 금지되어 있으므로, 민감정보의 수집 및 처리가 업무상 반드시 필요한지 검토되어야 한다. 2. 민감정보의 수집᛫처리가 필요한 경우, 아래와 같이 정보주체의 별도 동의를 받거나 법령에 근거해야 한다.
① 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받는 경우
② 법령에서 민감정보의 처리를 요구하거나 허용하는 경우

• 민감정보는 원칙적으로 처리가 금지되어 있으며, 정보주체의 명시적 동의가 있거나 법령에 근거가 있는 등 예외적인 사유가 있을 때에만 처리를 인정하고 있다. 결국 정보주체의 별도 동의를 받는 경우에는 민감정보의 수집᛫처리가 가능하지만 법의 취지를 고려할 때 업무상 반드시필요한 것이 아니라면 수집 및 처리를 하지 않는 것이 바람직하다.

• 「개인정보 보호법」에 따른 민감정보는 공공기관이 다음의 업무수행을 위하여 처리하는 경우에는 민감정보로 보지 않는다.
  • 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 개인정보보호위원회의 심의·의결을 거친 경우
  • 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 개인정보보호위원회의 심의·의결을 거친 경우
  • 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
  • 법원의 재판업무 수행을 위하여 필요한 경우
  • 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

3.1.4 개인정보 수집의 적합성 : 고유식별정보(주민등록번호 제외)를 처리하는 경우 다른 개인정보의 처리에 대한 동의와 별도로 구분하여 동의를 받거나, 법령 등에 따라 적법하게 처리하도록 계획하고 있는가?

1. 고유식별정보의 처리는 원칙적으로 금지되어 있으므로, 고유식별정보의 수집 및 처리가 업무상 반드시 필요한지 검토되어야 한다.
2. 고유식별정보(주민등록번호 제외)의 수집᛫처리가 필요한 경우, 아래와 같이 정보주체의 별도 동의를 받거나 법령에 근거해야 한다.
① 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받는 경우
② 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우

• 고유식별정보는 원칙적으로 처리가 금지되어 있으며, 정보주체의 명시적 동의가 있거나 법령에근거가 있는 등 예외적인 사유가 있을 때에만 처리를 인정하고 있다. 결국 정보주체의 별도 동의를 받는 경우에는 고유식별정보의 수집᛫처리가 가능하지만 법의 취지를 고려할 때 업무상 반드시 필요한 것이 아니라면 수집 및 처리를 하지 않는 것이 바람직하다.
• 고유식별정보란 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호가 이에 해당된다.
• 고유식별정보도 민감정보와 마찬가지로 원칙적으로 처리할 수 없다. 다만 별도로 정보주체의 동의를 받는 경우와 법령에서 고유식별정보의 처리를 요구하거나 허용하고 있는 경우에는 예외가인정된다. 하지만 주민등록번호에 한해서는 ‘주민등록번호 수집 법정주의’에 따라 법률, 시행령 등에 근거가 없다면 정보주체의 별도 동의를 받는다 하더라도 주민등록번호의 수립 및 처리는 금지된다.

3.1.5 개인정보 수집의 적합성 : 주민등록번호는 법적 근거가 있는 경우에 한하여 처리하고 있으며, 인터넷 홈페이지에 대해서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있도록 계획하고 있는가?

1. 주민등록번호 처리 법정주의에 따라 법적 근거가 있는 경우에 한해 주민등록번호를 수집, 이용, 제공하여야 한다.
① 법률, 대통령령, 국회규칙, 대법원규칙, 헌법재판소규칙, 중앙선거관리위원회규칙 및 감사원 규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
② 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
2. 법적 근거에 따라 주민등록번호 처리가 가능한 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공해야 한다.

• 2014년 8월 7일 ‘주민등록번호 처리 법정주의‘의 시행 따라 주민등록번호의 처리가 원칙적으로 금지되었으며, 아래 사유에 해당하는 경우에만 예외적으로 허용이 된다.

• 주민등록번호 뒷자리를 수집᛫이용하여 회원의 유일성과 식별성을 확보하는 것은 주민등록번호의체계를 활용하여 주민등록번호 고유의 특성을 이용하는 것이므로 주민등록번호를 수집᛫이용하는경우에 해당한다고 볼 수 있다. 따라서 법률, 대통령령으로 주민등록번호를 수집할 수 있는 구체적 근거가 없다면 주민등록번호의 뒷자리를 수집᛫이용할 수 없다.
• 법적 근거에 따라 주민등록번호를 수집할 수 있는 경우라 하더라도 정보주체가 인터넷 홈페이지를통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다
  • 구두, 서면, 전화, 팩스 등을 통해서 회원을 가입받는 경우에는 주민번호대체수단을 도입하지 않아도 된다.
  • 모바일을 통해 회원가입을 받는 경우에도 주민등록번호 대체수단을 제공하여야 한다.
• 주민등록번호 대체수단으로는 아이핀(i-Pin), 휴대폰본인확인, 공동인증서 등의 방법이 있다.

3.1.6 동의받는 방법의 적절성 : 정보주체의 동의를 받아 개인정보를 수집하는 경우 ‘정보주체의 자유로운 의사’에 따라 동의 여부를 결정할 수 있도록 계획하고 있는가?

1. 정보주체로부터 개인정보 처리에 대한 동의를 받을 때에는 ‘정보주체의 자유로운 의사’에 따라 동의 여부를 결정할 수 있도록 동의 절차를 마련하여야 한다. (동의하지 않으면 재화 공급 또는 서비스 제공 자체를 거부하는 방식으로 운영할 경우 정보주체의 자유로운 의사 형성을 제한하게 되므로 동의를 받는 방법에 저촉될 수 있다.)
※ 동의하지 않을 경우에도 서비스 자체의 이용은 가능하나 정보주체의 자유로운 의사를 제약하지 않는 일부 부가서비스 이용을 제한하는 것은 가능함
2. 정보주체가 주도적으로 동의 의사를 표시할 수 있도록 동의 양식을 구성하여야 한다. (‘동의함’에 Default 체크 금지 등) 3. 동의에 대한 기록(동의 여부, 동의 일시 등)은 사후에 확인이 가능하도록 개인정보처리시스템 등에 기록이 보존되어야 한다.

• 개인정보처리자는 정보주체의 동의가 필요 없는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 한다. 정보주체의 동의가 필요 없는 개인정보에는 계약의 체결 및 이행을 위해 필수적인 정보, 법령상 의무준수를 위해 불가피한 정보, 급박한 생명᛫신체᛫재산상 이익보호를위해 필요한 정보, 개인정보처리자의 정당한 이익 달성을 위해 필요한 정보 등이 해당되며, 동의가필요하지 않다는 입증책임은 개인정보처리자가 부담한다.
• 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 개인정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다.(보호법 제16조제2항) 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.(보호법 제16조제1항)
• 정보주체가 목적 외 이용 및 제공에 대한 동의(보호법 제18조제2항제1호), 홍보ㆍ판매 권유를 위한 동의(보호법 제22조제1항제7호)를 거부하였다는 이유로 개인정보처리자는 재화 또는 서비스의 제공을 거부하지 못한다. 또한 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 않는다는 이유로 재화 또는 서비스의 제공을 거부하는 것도 금지된다(보호법 제16조제3항). 이는 개인정보의 수집에 대해 형식적으로 정보주체의 동의를 받았으나, 실질적으로 동의가 강요되는 불합리를 방지하기 위함이다. 그러나 합리적인 사유에 근거를 둔 거부는 가능하다.

3.1.7 동의받는 방법의 적절성 : 만 14세 미만 아동의 개인정보를 수집하는 경우 법정대리인의 동의를 받고, 법정대리인이 동의하였는지를 확인하도록 계획하고 있는가?

1. 만 14세 미만 아동의 개인정보를 처리하기 위하여 동의를 받으려는 경우에는 그 법정대리인의 동의를 받아야 하며 법정대리인이 동의하였는지를 확인하여야 한다.
2. 법정대리인 여부를 확인하는 절차는 정당한 주의의무에 따라 적절히 수행되어야 한다.
3. 법정대리인이 동의를 거부하거나 일정 기간 동의 의사가 확인되지 않은 경우, 지체 없이 관련 개인정보를 파기하여야 한다.
4. 법정대리인 동의에 대한 기록(동의자, 동의 여부, 동의 일시 등)은 사후에 확인이 가능하도록 개인정보처리시스템 등에 기록이 보존되어야 한다

• 만 14세 미만 아동의 경우 개인정보의 중요성이나 위험성에 대한 인식이 현저히 부족하고, 정보 수집 목적의 진위를 평가하는 능력이 부족하기 때문에 아동을 대상으로 한 무분별한 정보수집을 방지하기 위하여 법정대리인이 미성년자를 대신해서 동의를 하도록 한 것이다.
• 법정대리인의 동의를 얻기 위해서는 법정대리인의 이름과 연락처를 알아야 하기 때문에 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보(이름과 연락처)는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다. 이 경우 해당 아동에게 자신의 신분과 연락처, 법정 대리인의 성명과 연락처를 수집하고자 하는 이유를 알려야 한다(표준 개인정보 보호지침 제13조제1항). 또한 아동으로부터 수집한 법정대리인의 개인정보를 동의를 얻기 위한 용도로만 사용해야하며, 동의에 대한 거부의사가 확인된 경우와 동의여부가 확인되지 아니한 채 5일이 경과한 경우에는 당해 개인정보를 파기하여야 한다.

• 해당 아동의 법정대리인이 맞는지에 대해서는 정당한 주의의무 관점에서 최대한 노력하여야 한다(아동과 법정대리인의 최소 나이 차이 확인, 법정대리인에 대한 본인확인 수단 적용 등).

3.1.8 동의받는 방법의 적절성 : 개인정보 관련 동의를 서면으로 받을 때에는 중요한 내용을 명확히 표시하여 알아보기 쉽게 하고, 개인정보 수집᛫이용, 제3자 제공, 목적 외 이용 등에 대해 각각 구분하여 동의를 받도록 계획하고 있는가?

1. 정보주체의 동의를 받을 때에는 개인정보의 수집 및 이용, 홍보 및 판매 권유를 위한 처리, 제3자 제공, 목적 외 이용 및 제공 등 각각의 동의사항을 구분하여 정보주체가 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다.
2. 정보주체에게 동의를 서면(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 전자문서를 포함한다)으로 받을 때에는 「개인정보 보호법 시행령」 제17조제3항으로 정하는 내용을 「개인정보 처리 방법에 관한 고시」 제4조로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다.
① 「개인정보 보호법 시행령」 제17조제3항으로 정하는 내용
- 개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
- 「개인정보 보호법 시행령」 제18조에 따른 민감정보, 시행령 제19조제2호부터 제4호까지의 규정에 따른 여권번호, 운전면허번호, 외국인등록번호
- 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)
- 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적
② 「개인정보 처리 방법에 관한 고시」 제4조로 정하는 방법
- 글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것
- 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록그 밖의 내용과 별도로 구분하여 표시할 것

• 정보주체는 개인정보 처리에 대한 동의 여부를 결정하고 선택할 수 있는 권리가 보장되어 있으나, 실제로는 정보주체의 동의가 강제되는 경우가 많아 정보주체의 개인정보자기결정권을 보장하기 위하여 동의 방법을 법률로 구체화한 것이다.
• 개인정보처리자가 개인정보 처리에 대하여 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하여 받아야 하며, 정보주체가 동의를 구분해서 할 수 있다는 사실을 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다. 개인정보처리자는 목적에 필요한 최소한의 개인정보만을 수집하여야 하는바, 재화 또는 서비스 제공에 기본적으로 관련되는 사항과 부가적으로 관련되는 사항을 구분하여 이를 정보주체에게 알리고 동의를 받아야 한다.
• 정보주체의 개인정보보호를 위해서 실제로 정보주체가 동의한 사실이 명확히 확인될 수 있어야 하며, 개인정보처리자의 편의를 위해 일괄적으로 동의 여부를 묻는 전자우편을 발송한 후 거부 의사표시가 없을 경우 이를 동의로 간주하는 등의 방법은 적절하지 않다.
• 「개인정보 보호법」은 특히 정보주체가 좀 더 신중한 의사결정을 해야 할 필요가 있는 사항에 대해서는 동의의 내용과 의미를 명확하게 인지한 상태에서 동의 여부를 결정할 수 있도록 통상의 동의와 구분해서 별도의 동의를 받도록 하고 있다. 이때에도 개인정보처리자는 정보주체가 다른 개인정보처리의 목적과 별도로 동의 여부를 표시할 수 있도록 조치를 취하고 동의를 받아야 한다.
• 다른 동의와 구분해서 별도 동의를 받아야 하는 경우에는 개인정보의 목적 외 이용·제공 동의(제18조제2항제1호), 개인정보를 제공받은 자의 이용᛫제공 제한(제19조제1호), 민감정보 처리 동의(제23조제1항제1호), 고유식별정보 처리 동의(제24조제1항제1호) 등이 해당된다. 예컨대, 고유식별정보를 수집할 때에는 「고유식별정보 수집᛫이용᛫제공에 대한 동의」를, 건강정보에 관한 정보를 수집할 때에는 「건강정보(민감정보) 수집᛫이용᛫제공에 대한 동의」를 별도로 분리해서 목적 등을 고지하고 동의를 받아야 한다.

3.1.9 동의받는 방법의 적절성 : 정보주체의 동의 없이 처리할 수 있는 개인정보의 항목과 그 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 서면등의 방법으로 정보주체에게 알리도록 계획하고 있는가?

1. 개인정보처리자는 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 전자우편등에 따라 정보주체에게 알려야 한다.
2. 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다.

• 개인정보처리자가 개인정보를 수집 또는 제공할 경우 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의를 받아 처리하는 개인정보를 구분하여야 한다.
• 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 전자우편 등에 따라 정보주체에게 알려야 한다.

3.1.10 동의받는 방법의 적절성 : 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 민감정보가 포함될 경우 재화 또는 서비스 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알리도록 계획하고 있는가?

1. 개인정보처리자는 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알려야 한다.

• 개인정보처리자는 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알려야 한다.
• 다만, 공개 게시판, 소셜네트워크서비스(SNS) 등 서비스 자체가 공개를 기본으로 하여 상호 의사소통을 목적으로 하고 있어 정보주체가 공개 게시판 등에 스스로 입력하는 정보가 공개된다는 사실을 이미 알고 있다고 볼 수 있는 경우에는 공개 가능성 등을 알리지 않을 수 있다.
• 개인정보처리자는 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 경고창 등을 활용하여 정보주체가 알아보기 쉽게 알리고, 개인정보 처리방침을 통해 공개 가능성 및 비공개를 선택하는 방법을 공개해야 한다.