개인정보 보호법 해석 (사례 중심)

Q. 과학적 연구 등 목적으로 가명정보를 처리하는 경우, 그 가명정보를 유상 판매하는 것이 가능한가?

A. 과학적 연구 등 목적으로 가명정보를 처리하면서 그 대가를 받는 것은 가능

-> 통계작성, 과학적 연구, 공익적 기록보존 등의 목적 내에서 가명정보를 제공하면서 제공에 소요된 비용에 대해 적절한 기준에 따라 산정하여 대가를 받는 것은 가능

-> 그러나, 해당 목적 범위를 벗어나 판매할 목적으로 가명정보를 처리하는 것은 허용되지 않음

Q. 이름, 주민등록번호 등 개인을 직접 알아볼 수 있는 정보만 삭제하면 가명정보가 되는가?

A. 가명처리 시 그 자체로 개인을 알아볼 수 있는 정보는 삭제해야 하며 개인 식별 가능성도 종합적으로 고려해야함

-> 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 안 되므로 개인정보를 가명처리하는 경우 그 자체로 개인을 직접적으로 알아볼 수 있는 정보인 성명, 고유식별정보 등은 삭제하는 것이 원칙

-> 다만, ‘성별’, ‘연령’, ‘거주 지역’ 등 단일 항목으로는 개인을 알아볼 수 없으나 다른 정보와 결합되었을 때 개인을 알아볼 가능성이 높은 정보나 희귀성씨가 포함된 경우, 특정 지역 국회의원 등 개인을 알아볼 가능성이 높은 정보(특이정보)까지 종합적으로 고려하여 개인이 식별될 위험도를 낮춰야 안전한 가명정보로 볼 수 있음

Q. 제3자에게 제공한 가명정보를 제3자가 활용하는 과정에서 정보주체에게 피해가 발생한 경우 가명정보를 제공한 자도 처벌을 받는가?

A. 가명정보를 제공받은 자가 안전조치 미이행으로 문제가 발생하였거나 고의로 재식별 행위를 하였다면 해당 행위자인 제공받은 자만 제재 대상이 되며, 제공한 자는 제재 대상이 되지 않음

-> 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있고, 이에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 안됨

-> 또한, 가명정보를 처리하는 자는 특정 개인을 알아보기 위한 목적으로 가명정보를 처리하는 것이 금지되는데(보호법 제28조의5 제1항), 가명정보 처리 과정에서 의도치 않게 특정 개인을 알아볼 수 있는 정보가 생성되었다는 사실만으로는 제재 대상이 되지 않음 단, 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수·파기해야함(보호법 제28조의5 제2항).

Q. 감염병 환자의 개인정보는 어느 정도까지 공개할 수 있나요?

A. 주의 이상의 위기경보 발령 시 감염병 환자의 이동경로 등은 신속히 공개하여야 하나, 감염병 예방과 관계없는 정보는 공개대상에서 제외

-> 감염병 확산으로 인해 ‘주의’ 이상의 위기경보가 발령되면 ‘감염병 환자의 이동경로, 이동수단, 진료의료기관 및 접촉자 현황, 감염병의 지역별·연령대별 발생 및 검사 현황’ 등 국민들이 감염병 예방을 위하여 알아야 하는 정보를 신속히 공개하여야 하나(「재난 및 안전관리 기본법」 제38조 제2항, ｢감염병의 예방 및 관리에 관한 법률｣ 제34조의2 제1항), ‘성별, 나이, 성명, 읍·면·동 단위 이하의 거주지 주소’ 등 감염병 예방과 관계없다고 판단되는 정보는 공개대상에서 제외(｢감염병의 예방 및 관리에 관한 법률 시행령｣ 제22조의2 제1항)

Q. 건강검진 대상자의 성명, 주민등록번호가 포함된 명단을 실수로 대상자가 속한 기관이 아닌 다른 기관에 발송하였다면 개인정보 유출에 해당하는가?

A. 개인정보 유출에 해당

-> 개인정보의 분실·도난·유출은 ‘법령이나 개인정보처리자의 자유로운 의사에 의하지 않고 개인정보가 해당 개인정보처리자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것’을 의미(표준지침 제25조).

-> 따라서 대상자가 속한 기관이 아닌 다른 기관에 실수로 대상자의 성명, 주민등록번호가 포함된 명단을 발송한 것은 개인정보처리자의 관리·통제권을 벗어나 제3자가 내용을 알 수 있게 한 것으로서 개인정보 유출에 해당

Q. 경찰이 습득물 신고를 접수받을 때, 습득자의 주민등록번호도 수집할 수 있는가?

A. 경찰은 습득자의 주민등록번호를 수집할 수 있음

-> 타인이 유실한 물건을 습득한 자는 이를 신속하게 유실자 또는 소유자, 그 밖에 물건회복의 청구권을 가진 자에게 반환하거나, 경찰서에 제출해야 하며(「유실물법」 제1조 제1항), 경찰서에 습득물을 제출할 때에는, 습득물 신고서를 작성한 후 이를 함께 제출해야함. 습득물 신고서 양식에는 습득자의 주민등록번호 작성란이 포함되어 있음(「유실물법 시행령」 제1조 제1항, 별지 제1호 서식).

-> 이는 대통령령에서 구체적으로 주민등록번호의 처리를 허용한 경우에 해당하므로 경찰은 유실물 습득자의 주민등록번호도 수집할 수 있음

Q. 고객의 동의를 받지 않고 만족도 조사를 해도 되는가?

A. 민간은 체결한 계약의 이행을 위하여 필요한 범위 내에서는 동의를 받지 않고 만족도 조사가 가능하며, 공공기관은 법령에 근거하여 민원인의 동의를 받지 않고 만족도 조사가 가능

-> 민간의 경우, 물건 판매 또는 서비스 제공 등 고객과 체결한 계약의 이행을 위하여 필요한 경우에는 정보주체의 동의 없이 개인정보를 이용하여 만족도 조사를 할 수 있음(보호법 제15조 제1항 제4호). 다만, 이 경우 고객과 체결한 계약과 관련된 만족도 조사여야 하며, 체결한 계약과 무관하게 재화나 서비스를 홍보하거나 판매를 권유하는 내용 등이 담겨서는 안됨

-> 공공기관의 경우, 만족도 조사 업무는 법령 등에서 정하는 소관 업무에 해당하므로 정보주체의 동의 없이 개인정보를 이용하여 만족도 조사를 할 수 있음(보호법 제15조 제1항 제3호).

-> 「공공기관의 운영에 관한 법률」 제13조에서 국민에게 직접 서비스를 제공하는 기관의 경우 매년 1회 이상 고객만족도 조사를 실시하여야 한다고 규정하고 있으며, 「민원처리에 관한 법률」 제26조에서 행정기관의 장은 처리한 민원에 대하여 민원인의 만족 여부 및 개선사항 등을 조사하여 업무에 반영할 수 있다고 규정 따라서, 공공기관이 제공한 서비스 또는 처리한 민원에 대한 만족도 조사를 실시하는 것은 법령에서 정하는 소관 업무를 수행하는 것이므로 수집 목적 범위에서 정보주체의 동의 없이 개인정보를 이용할 수 있음

Q. 공공기관 청사 CCTV 영상을 자체감사에 이용해도 되는가?

A. 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 ｢공공 감사법｣에 근거하여 이용할 수 있음

-> 개인정보처리자는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 다른 법률에 특별한 규정이 있는 경우 정보주체의 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공할 수 있음

-> ｢공공감사법｣ 제20조 제1항, 제3항에서 자체감사를 위하여 공무원 및 소속 직원에게 자료 제출을 요구할 수 있다고 규정하고 있으며, 해당 조항은 보호법 제18조 제2항 제2호의 ‘다른 법률의 특별한 규정’에 해당(개인정보보호위원회 결정 제2021-106-011호)

-> 따라서, 「공공감사법」의 적용을 받는 공공기관은 보호법 제18조 제2항 제2호에 따라 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 청사관리 목적으로 설치하여 수집한 CCTV 영상정보를 자체감사 목적으로 이용할 수 있으나, 보호법 제3조의 개인정보 보호 원칙에 따라 그 목적에 필요한 범위에서 최소한의 개인정보가 처리되도록 하여야 하고 정보주체의 사생활 침해를 최소화하는 방법으로 처리하여야 하므로, 자체감사에 필요한 최소한의 CCTV 영상정보만을 처리해야함

Q. 공공기관이 자체감사 목적으로 직원의 출입 기록을 이용할 수 있는가?

A. 「공공감사법」에 따라 자체감사 목적으로 이용할 수 있다 다만, 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없어야 하고, 필요한 최소한의 출입 기록만을 이용해야함

-> 개인정보처리자는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 다른 법률에 특별한 규정이 있는 경우 정보주체의 개인정보를 수집한 목적 외의 용도로 이용할 수 있음(보호법 제18조 제2항 제2호)

-> 감사기구의 장은 자체감사를 위하여 필요할 때에는 자체감사 대상기관 또는 그 소속 공무원이나 직원에 대하여 ‘출석·답변의 요구’, ‘관계 서류·장부 및 물품 등의 제출 요구’, ‘전산정보시스템에 입력된 자료의 조사’ 등의 조치를 할 수 있으며, 조치를 요구받은 자체감사 대상기관 및 그 소속 공무원이나 직원은 정당한 사유가 없으면 그 요구에 따라야함(「공공감사법」 제20조 제1항, 제3항).

-> 「공공감사법」 제20조 제1항 및 제3항은 요구할 수 있는 개인정보의 항목이 구체적으로 열거되어 있지 않으나, 요청할 수 있는 자료에 개인정보가 포함될 수 있음이 합리적으로 예견되므로 보호법 제18조 제2항 제2호의 ‘다른 법률의 특별한 규정’에 해당(개인정보보호위원회 의결 제2021-106-011호).

-> 따라서 「공공감사법」의 적용을 받는 공공기관은 자체감사를 위해 필요한 경우 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있는 경우를 제외하고 직원의 출입 기록을 이용할 수 있으나, 보호법 제3조의 개인정보 보호 원칙에 따라 그 목적에 필요한 범위에서 최소한의 개인정보가 처리되도록 하여야 하고 정보주체의 사생활 침해를 최소화하는 방법으로 처리하여야 하므로, 자체감사에 필요한 최소한의 출입 기록만을 처리

Q. 민감정보, 고유식별정보, 주민등록번호 처리 업무를 위탁할 수 있는가?

A. 개인정보보호법 제26조 제1항에 따라 개인정보 처리 업무 위탁 계약을 맺은 경우 민감정보 및 고유식별정보 처리 업무를 위탁할 수 있음

-> 개인정보의 처리 업무를 위탁하는 위탁자가 보호법 제23조 제1항, 제24조 제1항, 제24 조의2 제1항에 따라 민감정보·고유식별정보·주민등록번호를 처리할 수 있는 개인정보처리자라면, 제26조 제1항에 따라 위탁 계약을 체결하여 개인정보 처리 업무를 위탁받아 처리하는 수탁자 또한 위탁받은 범위 내에서 민감정보·고유식별정보·주민등록번호를 처리할 수 있음

-> 다만, 수탁자에 관하여 제23조, 제24조, 제24조의2, 제29조가 준용되므로, 수탁자 또한 제23조, 제24조, 제24조의2, 제29조에서 규정하고 있는 개인정보처리자의 안전성 확보 조치, 암호화 조치 등의 의무사항을 준수해야함

Q. 민원인의 개인정보를 저장할 때 암호화해야 하는가?

A. 「개인정보의 안전성 확보조치 기준」 제7조에서 정한 암호화 대상 개인정보에 대해서는 암호화 의무가 있음

-> 개인정보처리자는 개인정보의 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 하며, 일부 개인정보에 대하여는 암호화 조치를 하여야함(보호법 제29조, 보호법 시행령 제30조, 「개인정보의 안전성 확보조치 기준」 제7조).

-> 개인정보처리자는 비밀번호, 생체인식정보 등 인증정보를 저장하는 경우, 고유식별정보, 생체인식정보를 개인정보취급자의 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장하는 경우 등에는 해당 개인정보를 암호화하여야함(「개인정보의 안전성 확보조치 기준」 제7조 제1항, 제5항).

-> 또한, 정보통신서비스 이용자와, 정보통신서비스 이용자가 아닌 정보주체의 경우에는 암호화 대상 개인정보의 종류가 달리 적용될 수 있음(「개인정보의 안전성 확보조치 기준」 제7조 제2항, 제3항).

 

Q. 민원처리를 위해 다른 직원에게 민원인 전화번호를 전달해도 되는가?

A. 민간의 경우 동의를 받거나 계약체결의 이행을 위하여 필요한 범위에서 전화번호를 전달할 수 있고, 공공기관은 법령에 근거하여 민원인의 동의를 받지 않고 전화번호 전달이 가능

-> 개인정보처리자 내부에서 개인정보를 처리하는 개인정보취급자 간 개인정보 전달은 개인정보처리자 내 이용에 해당

-> 민간의 경우, 민원인으로부터 동의를 받은 경우, 물건의 판매 또는 서비스 제공 등 계약과 관련한 민원처리에 필요한 경우 등에는 해당 범위 내에서 민원인 전화번호를 전달할 수 있음

-> 공공기관의 경우, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우, 법령 등에서 정하는 소관 업무의 수행을 위해서 불가피한 경우 정보주체의 동의 없이 개인정보를 수집·이용할 수 있으므로「민원처리에 관한 법률」에 따라 접수한 민원에 대해 처리 담당자 지정 및 처리 협조 등을 위해 다른 직원에게 민원인의 개인정보를 전달할 수 있음

-> 다만, 권한 없는 직원에게 민원인의 개인정보를 전달하는 것은 개인정보 누설 또는 접근제한 위반에 해당할 수 있음

Q. 사회복무요원이 개인정보 처리가 필요한 업무를 할 수 있는가?

A. 병역법령에 따라 원칙적으로 할 수 없으나 예외적인 경우에 할 수 있음

-> 사회복무요원이 불법적으로 타인의 개인정보를 취득하고, 이를 유출하여 범죄에 악용된 사건이 발생함에 따라, 복무관리 전반에 걸쳐 개인정보보호를 강화하기 위하여 사회복무요원은 원칙적으로 정보시스템 접근을 통한 개인정보 취급 업무 및 문서 수발·복사·파쇄 등의 업무를 할 수 없으나, 해당 기관에 안전성 확보조치가 되어있다는 전제 하에, 복무기관 장의 승인 후 담당 직원의 관리·감독을 받는 경우에는 정보시스템 접근을 통한 개인정보 취급 업무를, 근무지의 장의 승인 후 담당 직원의 관리·감독을 받는 경우에는 문서 수발·복사·파쇄 등의 업무를 할 수 있음

-> 참고로, 사회복무요원이 정당한 권한 없이 다른 사람의 정보를 검색 또는 열람한 경우 경고처분을 받게 되고, 해당 사유로 2회 이상 경고처분을 받으면 1년 이하의 징역에 처해지며, 사회복무요원이 복무 중 취득한 다른 사람의 정보를 무단으로 유출 또는 이용한 경우에는 5년 이하의 징역 또는 5천만원 이하의 벌금으로 처벌받음

Q. 정보주체의 요구에 따라 법령상 수집 대상인 예방접종 내역을 삭제할 수 있는가?

A. 다른 법령에서 해당 개인정보가 수집 대상으로 명시되어 있는 경우에는 삭제 할 수 없

-> 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있으나, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없음

-> 예방접종 실시 내역은 감염병 법령에 따라 질병관리청 및 지자체에서 수집·보유하는 자료로서, 삭제를 요구할 수 없음 다만, 이런 경우 개인정보처리자는 삭제 요구에 따르지 아니한 사실 및 이유와 이의제기방법을 「개인정보 정정·삭제 결과 통지서」로 해당 정보주체에게 알려야함

Q. 조례로 교통약자의 특별교통수단 이용 관련 개인정보를 동의 없이 수집·이용할 수 있는가?

A. 지방자치단체는 적법한 조례에 따라 교통약자의 이동지원과 관련한 이용자의 개인정보를 동의 없이 수집·이용할 수 있음

-> 공공기관은 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 개인정보를 수집·이용할 수 있으며, 지방자치단체의 경우 적법한 조례에서 정하고 있는 업무도 ‘법령 등에서 정하는 소관 업무’에 포함

-> 「교통약자의 이동편의 증진법」 제16조 제2항에서는 시장이나 군수가 특별교통수단을 이용하려는 교통약자와 특별교통수단을 운행하는 자를 통신수단 등을 통하여 연결하여 주는 이동지원센터를 설치하여야 한다고 규정하고 있으며, 같은 법 제16조 제12항 및 같은 법 시행령 제14조의6은 특별교통수단과 이동지원센터의 운영 등에 필요한 사항은 해당 지방자치단체의 조례로 정한다고 규정하고 있음

-> 따라서 상기 법률에 따라 지방자치단체가 조례를 제정한 경우, 교통약자의 이동지원 등 업무 수행을 위하여 불가피하다면 동의를 받지 않았더라도 개인정보를 수집·이용할 수 있음

Q. 지방의회가 채용 감사 목적으로 요청하는 경우 지방공단이 신규 임용 대상자가 제출한 경력 사항을 지방의회에 제출할 수 있는가?

A. 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 제출 할 수 있음

-> 개인정보처리자는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 다른 법률에 특별한 규정이 있는 경우 정보주체의 개인정보를 수집한 목적 외로 제3자에게 제공할 수 있음

 -> 지방의회는 「지방자치법」에 의거하여 안건의 심의와 감사 및 조사를 위하여 지방자치단체에 서류의 제출을 요구할 수 있으며, 이는 보호법 제18조 제2항 제2호의 ‘다른 법률의 특별한 규정’에 해당

-> 따라서 지방공단은 정보주체인 신규 임용대상자의 동의 없이도 그 경력 사항을 지방의회에 제출할 수 있으나, 지방의회가 제출을 요구하는 자료가 안건심의 또는 감사·조사 등에 직접 관련된 자료로서 자료의 제공이 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있는지 여부는 구체적·개별적으로 판단

Q. 지방자치단체가 설치·운영하는 CCTV 영상을 언론사에 취재·보도 목적으로 제공할 수 있는가?

A.개인정보보호법 제18조 규정을 준수한 경우 제공할 수 있음

-> 지방자체단체가 보호법 제25조에 따라 설치·운영하는 CCTV의 영상정보를 취재·보도 목적으로 언론사에 제공하는 것은 당초 설치 목적 외의 용도로 제공하는 것이므로 보호법 제18조 규정을 준수해야함

-> 따라서, 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고, 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 등 보호법 제18조 제2항 각 호의 어느 하나에 해당하는 경우 제공할 수 있음

※ 언론이 취재·보도 등 고유 목적을 달성하기 위하여 수집·이용하는 개인정보에 관하여는 제3장부터 제8장까지를 적용하지 않는다는 규정이 있으나(보호법 제58조 제1항 제4호), 이는 “언론”이 “수집·이용” 할 때 적용되는 규정이며, 다른 개인정보처리자가 보호법 제18조 규정의 제한 없이 “제공”할 수 있다는 것을 의미하지 않음

Q. 통장이 전입 신고자의 전입 사실 여부를 확인할 수 있는가?

A.「주민등록법 시행령」에 따라 전입신고 내용이 사실인지를 확인하기 위해 개인정보를 처리할 수 있음

-> 개인정보처리자는 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우, 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 정보주체의 개인정보를 수집한 목적의 범위에서 이용할 수 있음

-> 전입신고를 받은 시장·군수 또는 구청장은 신고된 내용이 포함된 사후확인용 자료를 전산으로 출력하여 신고일부터 15일 이내에 관할 통장에게 보내야 하고, 통장은 사후확인용 자료를 받은 날부터 15일 이내에 신고 내용이 사실인지를 확인한 후 그 결과를 해당 시장·군수 또는 구청장에게 알려야함

-> 통장이 개인정보취급자로서 주소지 방문, 전화 등으로 전입을 확인하는 행위는 주민등록법령에서 규정한 사실조사 의무를 준수하기 위함이므로 개인정보를 수집·이용할 수 있음