🧡💛❤️개인정보 보호법 표준해석 사례 공개🧡💛❤️

🧡💛❤️

개인정보 보호법 표준해석 사례 공개

2021-08-03

생활 속 궁금한 개인정보, 표준해석 사례로 제공한다
- 개인정보위, 국민 다수가 궁금해하는 개인정보 관련 문답 제시 -

신원확인을 위해 다양한 상황에서 주민등록증 복사를 요구하는데, 주민등록증을 그대로 복사해도 될까? 법령에 근거가 없으면 주민등록번호를 수집할 수 없으므로 주민등록번호 뒤의 6자리가 복사되지 않도록 주의해야 한다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

 

출처 :  공지사항 | 개인정보보호위원회 > > 알림 · 소식>새소식 (pipc.go.kr)

 

            https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=7468

개인정보 보호법 표준 해석례.pdf

0.57MB

 

1. 자동차등록번호 및 차대번호가 개인정보인지?

□ (문의) 행정기관 민원 담당자입니다. 관내에 신고된 어린이 통학버스의 자동차등록번호 일체 또는 차대번호 일체를 공개해 달라고 정보공개 청구가 들어왔습니다. 이 2가지 사항이 개인정보에 해당하는지 알고 싶습니다.

□ (답변) 자동차등록번호 및 차대번호는 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 개인정보로 볼 수 있음

○ 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보이며, 해당 정보만으로 는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아 볼 수 있는 경우도 포함됨(개인정보보호법 제2조 제1호)

○ 자동차등록번호는 자동차등록원부 등 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보에 해당한다고 판단 됨(보호위원회 결정 제2019- 16-260호 참조)

 일반인이 특정인의 개인정보임을 알아보기 어려운 대상이라도 주변인물, 관련 업무 처리자 등을 통해 쉽게 알 수 있는 경우 개인정보로 볼 수 있음

 

○ 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보이며, 해당 정보만으로 는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아 볼 수 있는 경우도 포함 됨(개인정보보호법 제2조 제1호)

- 아파트 동․호수는 입주자들의 성명과 쉽게 결합하여 특정 개인을 알아 볼 수 있는 개인정보이므로 동·호수를 아이디로 쓰는 경우 예기치 않게 과도한 개인정보가 노출될 우려가 있음

- 따라서, 홈페이지 운영자는 「개인정보 보호법」제30조 및 「표준 개인정보 보호지침」제19조에 따라 개인정보 처리방침을 정하여 가입단 계에서 충분히 알리고 정보주체의 동의를 받아야 하며, 보호법 제29조 에 따른 안전조치의무를 다하여 개인정보가 안전하게 관리되도록 하 여야 함

 

6. 회사건물 출입기록이 개인정보에 해당하는지?

□ (문의) OO빌딩의 관리를 맡고 있는 업체의 직원입니다. OO빌딩 입주사인 A사에서 소속직원들의 건물 출입기록 정보의 제공을 요청하여 개인정보라고 제공할 수 없다고 거절하니 법적 근거를 요청한 상태입니다.

□ (답변) 빌딩의 출입기록은 개인을 알아볼 수 있는 개인정보에 해당함

○ 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우도 포함 됨(개인정보보호법 제2조 제1호)

○ 따라서, 고객사 직원의 빌딩 출입기록은 객관적 사실로서 개인을 알아 볼 수 있는 개인정보에 해당

 

○ 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우도 포함 됨(개인정보보호법 제2조 제1호)

 

17. 지인(제3자)으로부터 정보주체의 개인정보를 수집해도 되는지?

□ (문의) 온라인 서비스 제공기업입니다. 이번에 새롭게 출시한 서비스에 대해 마케팅 캠페인을 하면서 참가자에게 지인의 개인정보를 입력하고 동의를 받고자 하는데 개인정보 보호법에 위반되는지? 

□ (답변) 지인(제3자)으로부터 개인정보 수집·이용 동의를 받을 수 없음

○ 일반 개인정보처리자는 「개인정보 보호법」제15조 제1항 제1호에 따 라, 정보통신서비스 제공자는 제39조의3 제1항에 따라 동의 내용을 정보주체에게 알리고 동의를 받은 경우 개인정보를 수집·이용할 수 있음

- 두 경우 모두 정보주체가 아닌 지인(제3자)의 동의를 받아 개인정보를 수집·이용하는 행위는 정보주체의 동의 없이 수집하는 것으로 위법 한 행위에 해당함

 

23. 개인 진료기록을 의료진이 사전에 열람한 경우 불법인지?

□ (문의) 환자가 병원에 입원하고 퇴원후 다시 재입원하였을 때 1차 입원 내역을 환자가 열람신청하지 않은 상태에서 병동 간호사가 진료목적으 로 열람하였을 경우 개인정보보호법 위반인가요?

□ (답변) 환자의 동의를 받아 1차 진료기록을 사전 열람할 수 있음

○ 「개인정보 보호법」제6조에 따라 개인정보 보호에 관하여 다른 법률 에 특별한 규정이 있는 경우 다른 법률을 우선 적용하여야 하나, 「의료법」제21조(기록열람)에 의료기관 종사자의 환자 의료기록 열람 에 대한 규정이 없으므로 보호법을 적용하여야 함

○ 다만, 「개인정보 보호법」제23조 제1항 제1호에 따라 개인정보처리자 는 건강에 관한 정보 등 민감정보에 대해 정보주체에게 제15조 제2항 각 호 또는 제17조 제2항 각 호의 사항을 알리고 다른 개인정보의 처 리에 대한 동의와 별도로 동의를 받아 처리할 수 있음 

- 따라서 재입원 환자의 진료에 참고하기 위해 의료기관 종사자가 1차 진료기록을 사전 열람하려면 환자의 동의를 받아야 함

 

46. 신규회원의 추천인 개인정보 입력을 암묵적 동의로 볼 수 있는지?

□ (문의) 서비스 신규 가입자의 추천인 이벤트에 신규 가입자는 기존 가입자의 이름과 휴대전화번호 4자리를 입력하여 응모할 수 있습니다. 이때 기존 가입자의 동의를 받아야 하나요? 추천인의 정보를 입력하는 것으로 기존가입자의 암묵적인 동의를 받았다고 볼 수 있지 않은지 궁금합니다.

□ (답변) 암묵적 동의 또는 포괄 동의 형태는 인정되지 않음

○ 개인정보처리자는 「개인정보 보호법」제15조 제1항 제1호에 따라, 정 보통신서비스 제공자는 정보주체로부터 법 제39조의3 제1항에 따라 동의 내용을 정보주체에게 알리고 동의를 받은 경우 개인정보를 수집·이용할 수 있음. 이 때 동의의 방법은 법 제22조에 따름

- 정보주체에게 알리지 않고 제3자로부터 이름과 휴대전화번호 등 개인 정보를 제공받으면 법 위반이며, 암묵적 동의 또는 포괄 동의 형태는 인정되지 않음

- 예를 들어, 이벤트 주체가 기존 가입자에게 무작위 값으로 된 추천인 코드를 발급하고 이를 제공받은 기존 가입자가 자기 추천인 코드(개인정보)를 지인에게 제공하여 이를 제출하게 하는 경우 이벤트를 위해 발급한 추천인 코드(개인정보)를 목적 범위 내에서 이용한 것으로 볼 수 있음

 

47. SNS로 회원가입 시 동의받지 않고 추가정보를 수집해도 되는지?

□ (문의) A사에서 회원가입 방법 중 하나로 SNS를 통한 회원가입(소셜로그인) 기능을 제공하고 있습니다. 이 과정에서, A사는 SNS 회사로부터 제공받은 정보 외에 이용자로부터 이름, 휴대폰 번호, 이메일을 수집 및 저장하고 있습니다.

이때 이용자로부터 동의를 받지 않은 채 A사의 개인정보 처리방침에만 SNS 간편 회원가입 시 개인정보 수집 항목으 로 이름, 휴대폰 번호, 이메일을 수집하고 있다고 명시하면, 개인정보 보호법에 위배되는지요?

□ (답변) 정보주체의 동의를 받지 않고 추가정보를 수집·이용하면 법 위 반에 해당함

○ 개인정보처리자는 「개인정보 보호법」제15조 제1항 제1호에 따라, 정 보통신서비스 제공자는 정보주체로부터 법 제39조의3 제1항에 따라 동의 내용을 정보주체에게 알리고 동의를 받은 경우 개인정보를 수집·이용할 수 있음. 이 때 동의의 방법은 법 제22조에 따름

- 따라서, 제3자인 SNS사가 동의 받은 이외의 추가 정보를 수집·이용 하면서 정보주체에게 알리고 동의를 받아야 함에도 동의를 받지 않고 처리방침에만 기재한 경우 법에 위반됨

 

48. ARS로 개인정보 수집·제공 동의를 받아도 되는지?

□ (문의) 매장을 운영하면서 고객들에게 홍보 자료를 제공하고 포인트를 적립하여 제공하려고 합니다. 이를 위해 ARS를 통해 개인정보 수집· 제공 동의를 받으려 하는데 가능한지?

□ (답변) 개인정보 수집·제공 동의를 받기 위해 ARS를 이용할 수 있음

○ 「개인정보 보호법」제22조에 따라 개인정보처리자가 정보주체의 개 인정보 제공동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주 체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 하 며, 같은 법 시행령 제17조 제1항에 서면, 전화, 인터넷, 전자우편 등 의 방법으로 개인정보 수집 동의를 받을 수 있음 - 다만, 동의에 대한 입증책임은 개인정보처리자에게 있으므로 동의받은 내용을 기록·보관하여야 함

- 만약 전화로 동의를 받을 경우 전화를 건 사실만으로 동의했다는 것 을 입증하기 어려우므로 특정 번호를 누르거나 동의내용을 음성녹음하는 방법으로 동의의 의사표현을 받을 것을 권장함

 

 

49. 주민등록증의 개인정보는 어디까지 수집할 수 있는지? □

 

(문의) 개인정보 보호법에 따라 개인 사업자가 주민등록증을 수집할 수 없는 것으로 알고 있습니다만, 혹시 어느 정도 수집할 수 있는지요? 예를 들면 이름, 주민등록번호 앞자리, 주민등록번호 첫 번째 뒷자리, 발행일, 주민등록기관, 사진 중에서…. - 

□ (답변) 이름, 생년월일, 성별, 발행일, 주민등록기관, 사진은 주민등록번호가 아니므로 동의를 받아 수집할 수 있음

○ 「개인정보 보호법」제24조의2에 따라 개인정보처리자는 법률 등에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우 등 외에 는 주민등록번호를 처리할 수 없음

- 이 때 주민등록번호란 주민등록법 제7조의2에 따라 시장ㆍ군수 또는 구청장이 주민에게 개인별로 고유한 등록번호를 부여한 것으로 생년 월일, 성별을 포함한 13자리의 번호임

- 따라서 이름, 생년월일, 성별, 발행일, 주민등록기관, 사진은 주민등록 번호가 아니므로 동의를 받아 수집할 수 있음

 

63. 개인정보 처리 수탁자를 개인정보 처리방침에 공개해야 하는지?

□ (문의) 안녕하세요? 개인정보 보호법에는 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재하는 방법으로 공개를 하라 고 되어 있는데, 개인정보 처리방침에 관련 내용을 포함해서 공개하면 되는 건가요?

□ (답변) 개인정보 처리업무의 위수탁에 관한 사항을 개인정보 처리방침 에 기재하여 공개

○ 「개인정보 보호법」제26조 제2항에 개인정보 처리업무를 위탁하는 업무의 내용과 위탁받아 처리하는 자를 정보주체가 언제든지 쉽게 확 인할 수 있도록 하였고, 제30조 제1항 제4호에 개인정보처리의 위탁에 관한 사항을 개인정보 처리방침에 기재하도록 하였음

- 또한 시행령 제31조 제2항에 개인정보 처리방침을 인터넷 홈페이지에 지속적으로 게재하도록 하였으므로 수탁자 변경사항을 지속적으로 업 데이트하여야 함

 

64. 간편결제사에 고객의 결제를 맡기면 위수탁에 해당하는지?

□ (문의) 당사의 결제방식은 이용자가 간편결제 서비스사에 별도 가입 후 등록한 카드 등록 또는 선불결제한 포인트로 결제처리를 하고 있습니 다. 이 과정에서 제공하는 고객정보는 ID와 결제상품정보이며, 결제처 리 결과만 통보받습니다. 이 경우 개인정보 처리 위수탁 관계로 보아 개인정보처리 위탁계약 및 관리 감독이 필요한지요?

□ (답변) 위탁자의 업무를 대행하고 보수를 받는 경우 개인정보 처리업무 위수탁에 해당하며, 제휴사의 업무를 매개로 제3자의 이익을 도모하 는 경우 개인정보의 제3자 제공에 해당함

○ 「개인정보 보호법」제26조에 따라 개인정보 처리업무를 위탁하는 경 우 제1항 각호의 내용이 포함된 문서에 의하고, 정보주체가 언제든지 확인할 수 있도록 공개해야 하며, 위탁자는 수탁자가 개인정보를 안전 하게 관리하도록 지도 감독하는 등 위탁에 따른 의무를 준수하여야 함

- ‘업무위탁’과 개인정보‘제3자 제공’모두 개인정보가 다른 사람에 게 이전하거나 다른 사람과 공동으로 이용하게 되지만, 업무위탁은 개 인정보처리자의 업무처리 범위 내에서 개인정보 처리가 행해지고 수탁자가 위탁자인 개인정보처리자의 관리·감독을 받으며, 제3자 제공 은 제3자의 이익을 위해서 개인정보 처리가 행해지고 제3자가 자신의 책임 하에 개인정보를 처리하게 됨

- 예를 들면, 업무위탁은 전자투표 대행, 회계처리 대행, 간편결제 대행 등 위탁자의 업무를 대행하고 보수를 받는 형태이고, 제3자 제공은 제 휴사 복지포인트를 매개로 카드운영, 제휴사 포인트로 쇼핑몰 판매 등 제휴자의 업무처리를 매개로 제3자의 이익을 도모하는 형태임

 개인정보 제3자 제공은 본래의 개인정보 수집·이용 목적의 범위를 넘어 정보를 제 공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정 보의 처리위탁은 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미(대법원 2017. 4. 7. 선고 2016도13263 판결 참고)

 

70. 관리사무소 소장 전화번호를 제3자에게 제공하면 위법한지?

□ (문의) 아파트 관리사무소장입니다. 입주민 한분이 개인적으로 본인의 개인 휴대전화번호를 물어봐서 알려줬더니 최근 다수의 입주민들이 개인 휴대전화로 민원을 제기하여 많은 불편을 겪고 있습니다. 저의 개인 휴대전화번호를 동의없이 제3자에게 공개한 입주민은 개인 정보법 위반에 해당되는지요?

□ (답변) 개인 휴대전화번호를 동의 없이 제3자에게 제공하면 보호법 위 반에 해당할 수 있음 

○ 「개인정보 보호법」제18조 제2항 제1호에 따라 정보주체로부터 동의 를 받은 경우 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외 이용하거나 제3자에게 제 공할 수 있음

- 아파트 관리소장의 개인정보(휴대전화번호)를 사적으로 제공받아 제3 자에게 제공하면 사인(私人)의 행위로서 처벌 규정이 없음

- 다만, 휴대전화 번호를 아파트 관리사무소에서 공식적으로 제공받은 경우 제3자에게 알려주면 법 제19조 위반에 해당될 수 있음 - 참고로, 공동주택과 관련한 개인정보처리자인 관리사무소, 입주자대표 회의, 선거관리위원회 소속 개인정보취급자(직원, 수탁자, 입주자대표, 선거관리위원)가 업무로 알게 된 관리소장의 휴대전화 번호를 권한없는 제3자에 제공한 경우 제59조 제2호 위반에 해당함

 개인정보 보호법 제19조에 따라 개인정보처리자로부터 받은 개인정보를 동의 또는 허용규정 없이 제3자에게 제공이 금지됨. 위반시 처벌규정에 해당