본문 바로가기

개인정보교육 당신의 정보는 안전하십니까?

♬☺♥☘∂ 2020. 6. 29.

예전에 우리가 가지고 있던 최고의 개인정보는 주민등록증과 운전면허증 또는 주민등록등본 등이었습니다. 그러나 디지털 시대가 된 지금 우리의 개인정보는 인터넷 세상을 떠돌다 언제 노출되거나 유출될 지 알 수 없게 되었습니다.

 

뉴스를 보면 신용카드 정보가 유출되어 본인이 계산하지도 않았는데도 불구하고 카드결제가 되었다는 문자가 오거나 인터넷뱅킹을 사용한 적이 없는데 통장에서 돈이 빠져나갔다는 소식을 접하게 됩니다.

 

대형 포털 사이트에서조차 회원들의 개인정보 수만건이 유출되고 보험회사가 가지고 있던 고객의 계약서 원본이나 정보들이 아무런 동의없이 폐기된 사건도 발생한 적이 있습니다.

 

 

 

디지털 시대를 살아가는 우리의 정보는 생각보다 많습니다. 한 사람을 특정 지을 수 있는 이름이나 주민번호는 물론이고 병원에 있는 자신의 병력과 진료이력, 학력을 들여다 볼 수도 있고 평소에 관심있어 하는 물건이 어떤 것인지 인터넷에 검색하면 그조차도 기록으로 남게 됩니다.

 

한국에서는 5인 이상 사업장에 대하여 1년에 한 번 이상 교육하도록 법으로 정해놓은 법정의무교육이 있는데 성희롱예방교육, 장애인인식개선교육, 산업안전보건교육 그리고 개인정보 보호교육이 그것입니다. 그만큼 중요한 것이 개인정보인데 지금부터 자세히 살펴 보도록 하겠습니다.

 

 

개인정보란 성명, 주민등록번호 및 영상 등을 통하여 살아있는 개인을 알아볼 수 있는 정보를 말하며 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보 또한 개인정보에 포함이 됩니다.

 

2016년 대법원 판결을 보면 개인정보는 개인의 신체, 신념 , 사회적 지위, 신분 등과 같이 인격주체성을 특정 짓는 사항으로서 개인의 동일성을 식별할 수 있게 하는 일체의 정보를 의미하며, 반드시 개인의 내밀한 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지도 포함됩니다.

 

 

그러면 휴대전화 번호 뒤 4자리도 개인정보에 포함이 될까요? 휴대전화번호 뒷자리 4자만으로도 그 전화번호 사용자가 누구인지를 식별할 수 있는 경우가 있고, 특히 그 전화번호 사용자와 일정한 인적 관계를 맺어온 사람이라면 더더욱 그러할 가능성이 높습니다.

 

그리고 휴대전화번호 뒷자리 4자만으로는 그 전화번호 사용자를 식별하지 못한다 하더라도 그 뒷자리 번호 4자와 관련성이 있는 다른 정보(생일, 기념일, 가족 전화번호, 기존 통화내역)와 쉽게 결합하여 그 전화번호 사용자가 누구인지를 알아볼 수 있다면 개인정보로 볼수있습니다.

 

 

개인정보가 노출 또는 유출되면 심각한 불이익이나 정신적 스트레스를 얻게 되기 때문에 자신에 관한 정보가 언제, 어떻게, 어느 범위까지 수집, 이용, 공개될 수 있는지를 정보주체가 스스로 통제, 결정할 수 있는 권리를 가지는데 이것을 개인정보의 가지결정권이라고 합니다.

 

개인정보 보호법은 개인정보 분야의 일반법으로서 다른 특별법과 충돌이 일어나는 경우가 발생하는데 특별법 우선의 원칙에 의하여 정보통신망법이나 신용정보법 등이 우선 적용되지만 그러한 규정이나 법이 없을 시에는 개인정보 보호법이 적용됩니다.

 

개인정보 보호의 원칙

 

사회 생활을 영위해야 하는 개인으로써는 어떤 식으로든 자신의 정보를 제공하지 않으면 알 수 없거나 하지 못하는 일들이 많이 있습니다. 예를 들어 가족관계증명서를 떼거나 이벤트 응모를 하고자 할 때 자신의 개인정보를 입력하고 그 정보의 이용을 동의하지 않으면 안되는 것입니다.

 

그래서 개인정보를 수집해서 이용하고자 할 때에는 반드시 원칙이 있습니다.

 

1. 정보주체의 동의를 받은 경우

※ 동의 받을 때 고지 의무 사항 (위반 시 3천 만원 이하의 과태료)
① 수집·이용 목적
② 수집 항목
③ 보유·이용 기간
④ 동의 거부 권리 및 동의거부 시 불이익 내용

2. 법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우
3. 공공기관이 법령 등에서 정한 소관업무를 위해 불가피한 경우
4. 정보주체와의 계약 체결·이행에 불가피한 경우
5. 명백히 정보주체 등의 급박한 생명, 신체, 재산의 이익을 위해 필요한 경우
6. 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우로서, 명백하게 정보주체의 권리보다 우선하는 경우

 

개인정보의 수집을 위해서는 개인정보주체의 동의를 받아야 하는데 개인정보의 수집과 이용 목적, 수집항목, 보유 및 이용기간, 동의 거부 권리 및 동의거부 시 불이익의 내용 등을 미리 고지할 의무가 있습니다.

 

예를 들어서 정부기관에서 정책 홍보퀴즈 이벤트를 진행하는데 참여자의 개인정보(성명, 연락처)를 수집하면서 동의여부(예, 개인정보수집에동의합니다.) 에 대한 확인만 요청하면 되는지에 대한 물음이 있을 수 있습니다.

 

간단하게 설명하자면 개인정보 수집·이용 시 개인정보의 수집·이용 목적, 수집하려는 개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용을 알리고 이벤트 참여자의 동의를 받아야 합니다.

 

따라서 개인정보 취득 동의 여부만을 확인하고 고지사항의 전부 또는 일부를 알리지 않았다면 적법한 정보주체의 동의가 있었다고 보기 어렵습니다.

 

 

개인정보에 대해서 또 한 가지 생각해보아야 할 것은 수집된 개인정보의 제 3자 제공입니다. 

 

1. 「보험업법」 제176조에 따라 보험요율산출기관은 보험계약자의 교통법규 위반 정보를 제공받아 보험회사가 보험료 산출에 이용하도록 제공하는 것이 허용됩니다.

 

2. 「학원의 설립∙운영 및 과외교습에 관한 법률」 제6조에 따른 학원의 설립∙운영하려는 자의 강사명단 등을 교육감에게 등록해야 할 의무가 있습니다.

 

3. 「소득세법」 제127조 및 제128조에 따른 소득지급자의 소득 귀속자의 대한 원천징수의무 및 원천징수 이행상황신고 등 이행하여 합니다.

 

4. 「정부조직법」 및 각 기관별 직제령∙직제규칙, 개별 조직법 등에서 정하고 있는 소관사무 「주민등록법」, 「의료법」, 「국민건강보험법」 등 개별 법에서 정하고 있는 소관사무 같이 공공기관이 법령 등에서 정한 소관업무를 위해 불가피한 경우에 개인정보의 제3자 제공이 허용됩니다.

 

 

개인정보의 목적 외 이용·제공은 원칙적으로 금지되지만 아래 사항 중 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없는 경우 예외적 허용됩니다.

 

1. 정보주체의 별도 동의를 받은 경우

2. 다른 법률의 특별한 규정이 있는 경우

3. 명백히 정보주체 또는 제3자의 생명, 신체, 재산의 이익에 필요한 경우

4. 통계작성 및 학술연구 목적에 필요한 경우로 특정 개인을 알아볼 수 없는 형태로 제공하는 경우

 

 

정보주체 이외로부터 수집한 개인정보를 처리할 때, 정보주체의 요구가 있으면 즉시(3일 이내) 다음의 사항을 알려야 하며 위반 시 3천 만원 이하의 과태료가 부과됩니다.

 

일정 기준 이상의 개인정보처리자는 제3자로부터 개인정보를 제공받은 경우,

 

1. 개인정보 수집 출처

2. 개인정보 처리 목적

3. 개인정보 처리 정지를 요구할 권리가 있다는 사실

 

다만 정보주체에게 알릴 수 있는 개인정보(연락처 등)가 없다면 적용 제외가 가능합니다.

 

 

※ 고지의무 대상 개인정보처리자

 - 5만명 이상의 민감정보 또는 고유식별정보를 처리하는 자

 - 100만명 이상의 정보주체에 대한 개인정보를 처리하는 자

 

※ 고지 방법 및 시기

 - 서면, 전화, 문자전송, 전자우편 등 방법으로 개인정보를 제공받은 날로부터 3개월 이내

 - 정보주체의 동의를 받은 범위에서 연 2회 이상 주기적으로 제공받는 경우 제공 받은 날로부터 3개월 이내 또는 동의를 받은 날로 부터 기산하여 연 1회 이상

 

※ 고지하였다는 사실, 알린 시기, 알린 방법을 개인정보 파기할 때까지 보관하고 관리해야 합니다. 

 

※ 단, 범죄수사, 공소 제기·유지, 형·감호 집행, 교정·보호·보안관찰 처분, 출입국 관리사항 등의 개인정보, 다른 사람의 생명·신체를 해할 우려 또는 재산·이익의 부당한 침해 우려 시에는 적용하지 않습니다.

 

개인정보의 파기

 

개인정보는 보유기간의 경과, 처리목적 달성 등 개인정보가 불필요하게 되었을 때 지체 없이(5일 이내) 파기하여야 합니다. 이를 위반 했을시에는 3천만원 이하의 과태료가 부과되며 다른 법령에 따라 보존하여야 하는 경우에는 보존이 가능합니다. 

 

개인정보 파기할 때에는 복구·재생되지 않도록 조치하여야 하며 다른 법령에 따라 보존하여야 하는 경우 다른 개인정보와 분리하여 저장·관리하여야 합니다. 이를 위반 하면 1천만원 이하의 과태료가 부과됩니다.

 

 

개인정보 수집 및 이용 동의서 받는 법

 

정보주체(법정대리인 포함)의 동의를 받을 때에는 각각의 동의사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 합니다.

 

또한 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 합니다.

 - 개인정보의 수집·이용, 개인정보의 제3자 제공, 민감정보의 처리, 고유식별정보의 경우

 - 동의 없이 처리 가능한 개인정보라는 입증책임은 개인정보처리자에게 있음

 

홍보나 마케팅 등의 이유로 개인정보 처리 동의를 받으려 할 때는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 합니다.

 

선택적으로 동의할 수 있는 사항을 동의하지 않는다는 이유로 재화 또는 서비스의 제공을 거부할 시에는 3천 만원 이하의 과태료가 부과됩니다.

 

그리고 만 14세 미만 아동의 개인정보를 처리하려면 법정대리인의 동의를 받아야 하며 이를 위반할 시에는 5천 만원 이하의 과태료가 부과됩니다. 그러나 법정대리인의 동의를 받기 위해 필요한 최소한의 정보(성명, 연락처)는 해당 아동으로부터 직접 수집할 수 있습니다.

 

동의서에 명확시 표시하여야 하는 사항

 

1. 재화나 서비스의 홍보 및 판매 권유 등을 위해서 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실

2. 개인정보 중 다음의 사항

 -민감정보, 여권번호, 운전면허번호, 외국인등록번호

3. 개인정보의 보유 및 이용 기간 (제공 시에는 제공받는 자의 보유 및 이용기간)

4. 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적

 

※ 동의서 표시방법

 

1. 글씨는 9포인트 이상의 크기로 하되 다른 내용보다 20% 이상 크게 할 것.

2. 다른 색의 글씨, 굵은 글씨 또는 밑줄 등을 사용하여 명확히 드러나게 할 것.

3. 중요한 내용이 많은 경우에는 별도로 요약하여 제시할 것.

 

 

민감정보 및 고유식별정보는 원칙적으로 처리가 금지되어 있습니다. 그러나 정보주체에게 별도의 동의를 얻거나 법령에서 구체적으로 처리를 요구하거나 허용하는 경우에 한하여 처리가 가능합니다. 그럼에도 불구하고 주민등록번호는 법률 또는 대통령령 등에 구체적으로 처리근거가 있어야 처리가 가능합니다.

 

한 가지 예로 입사지원서 접수, 필기시험, 면접 등 채용 전형과정에서는 해당 전형에 필요한 최소한의 개인정보만 수집하여야 하며 특히 주민등록번호는 법령에 처리 근거 등의 예외적인 사유가 존재 하지 않은 한 원칙적으로 수집이 금지되므로 채용 전형 과정에서는 주민등록번호를 처리할 수 없습니다.

 

다만 채용결정 후 사용자가 근로자 의무 보험 또는 국민연금 등을 처리해야 할 법령상의 의무이행을 위해 관련 법률에 따라 제공해야 하므로 수집가능하고, 이때는 근로자의 동의는 필요하지 않습니다.

 

 

영상정보처리기기(CCTV)의 설치·운영 제한

 

언제인가부터 우리 주변에는 범죄 예방이 목적인 CCTV 가 거리와 건물 곳곳에 빈틈없이 설치되어 있는 것을 볼 수 있습니다. 영상정보처리기기는 우리가 어느 곳으로 가고 무엇을 하는지 저장하기 때문에 이 또한 개인정보를 수집하고 이용하는 기능이 있습니다.

 

그래서 영상정보처리기의 설치나 운영에도 제한을 두고 있는데 다음의 경우를 제외하고는 공개된 장소에 영상정보처리기기 설치·운영 금지하고 있습니다.

 

- 법령에서 구체적으로 허용하고 있는 경우

- 범죄의 예방 및 수사를 위하여 필요한 경우

- 시설안전 및 화재 예방을 위하여 필요한 경우

- 교통단속, 교통정보의 수집·분석 및 제공을 위하여 필요한 경우

 

그리고 목욕실, 화장실, 발한실, 탈의실 등의 내부를 볼 수 있도록 영상정보처리기기를 설치 및 운영하는 것은 금지되어 있으며 이를 위반할 시에는 5천만원 이하의 과태료를 부과하고 있습니다. 다만, 교도소, 정신보건 시설 등 법령에 근거하여 사람을 구금 또는 보호하는 시설에는 적용이 제외됩니다.

 

설치목적과 다른 목적으로 영상정보처리기기를 임의 조작하거나 다른 곳을 비추는 행위, 녹음기능은 사용이 금지되어 있으며 이를 위반할 때에는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처하게 되어 있습니다. 

 

마지막으로 영상정보처리기기(CCTV)를 설치 및 운영하는 자는 정보주체가 쉽게 인식할 수 있도록 안내판을 설치해야 하고 개인정보가 분실·도난·유출·위조·변조·훼손되지 않도록 안전성을 확보하는 조치를 취하여야 합니다.

 

개인정보 안전조치 의무

 

 

개인정보가 분실·도난·유출·위조·변조 ·훼손되지 않도록 안전성 확보 조치를 해야 하는데 그 내용은 다음과 같습니다.

 

1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행

2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치

3. 개인정보를 안전하게 저장 · 전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치

4. 개인정보침해사고발생에대응하기위한접속기록의보관및위조· 변조방지를위한조치

5. 개인정보에 대한 보안프로그램의 설치 및 갱신

6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금 장치의 설치 등 물리적 조치

 

개인정보 유출 통지

 

 

개인정보가 1건이라도 개인정보 유출되었음을 알게 되었을 때에는 5일 이내에 정보주체에게 관련 사실을 통지하여야 합니다. 서면, 전자우편, 전화, 팩스, 문자전송 등의 방법으로 개별통지하면 되지만 1천명 이상의 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 7일 이상 게재하여야 합니다.

 

개인정보의 유출을 통지할 경우에는 유출된 개인정보의 항목, 유출된 시점과 그 경위, 정보주체가 할 수 있는 피해 최소화 방법, 개인정보처리자(사업자 등)의 대응조치 및 피해구제 절차, 담당부서 및 연락처 등을 포함하여 통지하여야 합니다.

 

정보의 과잉시대를 살아가고 있는 우리는 개인의 정보가 얼마나 큰 힘으르 가지고 있는지 알고 있습니다. 노출 및 유출된 정보가 얼마나 큰 피해를 가지고 오는지 알기에 개인정보에 대한 개인과 기관의 상호 노력이 필요합니다. 개인은 자신이 제공한 정보가 어떤 것인지 명확히 파악하고 지속적으로 개인정보의 유출이 없는지 모니터링 하여야 합니다.

 

개인정보를 수집하고 이용하는 기관에서도 그 정보를 목적에 맞게 이용하고 유출사건이 일어나지 않도록 안정성 강화에 최선을 다하여야 합니다.

반응형

댓글