(CPPG) 개인정보 보호법 해석 사례집 1.0 요약

24년 6월에 나온 개인정보 보호법 해석 사례집1.0이다.

원본은 개인정보포털에서 다운로드 가능하다.

https://www.privacy.go.kr/front/bbs/bbsView.do?bbsNo=BBSMSTR_000000000049&bbscttNo=20725

개인정보 포털

 

그림(1) 개인정보해석사례집 출처 : 개인정보포털

 

개인적인 기준으로 요약하여 정리하였으니 요약이 마음에 들지 않더라도 이해부탁드립니다. 

 

개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알 아볼 수 있는 경우도 포함됩니다(보호법 제2조 제1호).

 

정의

 

1. ID와 결제상품정보가 개인정보에 해당하나요? 

요약 : ID는 개인정보, 결제상품정보는 다른 상품과 결합 시 개인정보로 간주한다.

 

2. 가상자산 지갑주소가 개인정보에 해당하나요? 

요약 : 가상자산 지갑주소 단독으론 개인정보가 아니지만, 거래소의 실명확인 결과나 연계된 은행의 실명확인 입출금 계정 정보등으로 결합하여 가상자산 지갑주소가 누구인지 알아 볼 수 있다면 개인정보에 해당한다.

 

3. 개인의 치아 엑스레이 사진이 개인정보에 해당하나요?   

요약 : 치아 엑스레이 사진 단독으론 개인정보가 아니지만, 진료기록 등 개인을 식별할 수 있는 설명 데이터를 결합하여 개인을 알아 볼 수 있는 경우 개인정보에 해당한다.

 

4. 교통법규 위반 차량의 법칙금 납부 여부가 개인정보에 해당하나요?

요약 : 범칙금 남부 여부 단독으로는 개인정보가 아닐 수 있지만, 차량 소유자 정보나 위반자 정보와 결합하여 특정 개인을 식별할 수 있다면 개인정보에 해당한다.

 

5. 본인확인기관이 주민등록번호를 변환한 연계정보(CI)가 개인정보에 해당하나요?

요약 : 다른정보와 쉽게 결합하여 특정 개인을 알아볼 수 있어 개인정보에 해당한다.

 

6. 사망자 관련 정보가 개인정보에 해당하나요?

요약 : 사망했거나 관계 법령에 따라 사망한 것으로 보는 자는 정보는 개인정보로 해당하지 않는다.

 

7. 얼굴 사진이 민감정보에 해당하나요?

요약 : 여권사진이나 증명사진 등 얼굴 사진은 일반적으로 개인정보에 해당하며, 민감정보에는 해당하지 않는다.

그러나 일반적인 얼굴 사진을차후에 인증 · 식별 등의 목적으로 일정한 기술적 사진으로 처리할 경우 해당 정보는 보호법 시행령 제18조 3호에 따른 민감정보에 해당한다.

 

8. 직금별 전체 직원의 급여 총액이 개인정보에 해당하나요?

요약 : 개인이 특정되지 않은 자료는 개인정보에 해당하지 않고, 특정 직급 등의 통계자료에 1명만 있다면 개인정보에 해당할 수 있다.  

 

9. 탑승객의 지하철 이용 정보가 개인정보에 해당하나요?

- ex) 홍길동이 2021년 7월 1일 08시 30분 충무로역에서 전철을 갈아탐: 개인정보

- ex) 2021년 7월 1일 08시 30분 충무로역의 환승인원은 약 500여 명임: 개인정보 아님

요약 : 특정 개인이 누구인 지 알아볼 수 있다면 개인정보로 해당하고, 포괄적인 정보는 개인정보로 해당하지 않는다.

 

10. 회사건물 출입기록이 개인정보에 해당하나요?

요약 : 회사건물 출입기록은 개인정보에 해당하지 않고, 건물 출입 기록에 기재된 기업명, 소속등을 결합하면 개인정보에 해당한다.  

 

 

영상정보

 

11. CCTV 열람 요구 시 모자이크 처리에 소요되는 비용을 정보주체에게 청구할수 있나요?

요약 : 정보주체의 요청에 의해 발생한 비용은 실비의 범위 내에서 청구 가능하지만(보호법 제 38조 5항), 개인정보처리자 과실로 발생한 요청이라면 비용을 청구할 수 없다.(보호법 시행령 제 47조 제2항)

 

12. CCTV 영상 보관기간을 30일 이상으로 정할 수 있나요?

- CCTV 설치 목적을 달성을 위해 보관 기간을 반드시 30일 이내로 제한되지 않으며, 필요한 최소한의 기간 동안 보관 가능하다.

요약 : 최소한의 기간을 산정하기 곤란한 경우에는 보관기간을 30일 이내로 정하는 것이 바람직하다. (표준지침 제41조 제2항)

 

13. CCTV를 설치하여 운영 중인데, 녹화 기능은 꺼놓고 영상만 송출하게 하는 경우 관리책임자를 지정하지 않아도 되나요?

요약 : 녹화를하고 있지않더라고 CCTV를 설치·운영 중이라면 해당 고정형 영상정보처리기기운영자는 관리책임자를 지정해야한다.

 

14. 같은 건물 내 출입구, 복도, 계단 등 공용공간에 CCTV를 총 100대 설치·운영하는 경우, 안내판도 각 CCTV별로 100개 설치해야 하나요?

요약 : 여러 대의 CCTV를가튼 건물 내에서 설치·운영하는 경우에는 출입구 등 잘 보이는 곳에 대표적인 안내판만 설치해도된다.

 

15. 민원실 내 폭언이나 욕설, 폭행 발생으로부터 대응하기 위해 민원실에 설치된 CCTV에 한시적으로 녹음 기능을 부여하는 것이 가능한가요?

요약 : 공개된 장소에서 고정형 영상정보처리기기를 통하여 녹음하는 것은 금지된다.

 

16. 민원인이 분실물을 찾을 목적으로 기관이 설치·운영하고 있는 CCTV의 열람을 요구할 경우 열람시켜주어야 할 의무가 있나요?

요약 : 열람을 요구 받을 때에는 10일 이내에 정보주체가 열람할 수 있도록 하고, 해당 기간내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 사유를 알리고 연기, 그 사유가 소멸하면 지체 없이 열람하게한다. 열람을 요구한 정보주체 이외의 자를 명백히 알아볼 수 있거나 정보주체 이외의 자의 사생활 침해 우려가 있는 경우 모자이크 등 비용 정보주체에게 청구한다.  

* 법률에 따라 열람이 금지되거나 제한되는 경우, 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 바당하게 침해할 우려가 있는 경우 열람 제한 하거나 거절 할 수 있다.

 

17. 범죄 예방및 시설 안전을 위해 행정복지센터 민원실에 설치·운영 중인 CCTV 영상을 같은 목적으로 민원실 내 모니터로 송출해도 되나요?

요약 : 민원실에서 CCTV로 촬영한 영상을 모니터로 송출할 경우, 그 민원실에 있는 자들로서는 모니터에 나타나는 영상을 보는 것과 육안으로 근처에 있는 사람을 직접 보는 것 사이에 본질적인 차이가 없고, 자신의 모습이 모니터에 나오는 것을원하지 않으면 현장을 이탈함으로써 개인영상정보를 관리·통제할 수 있다.

 

18. 불법 주·정차 단속용 또는 방법용으로 CCTV를 설치·운영하고 있는 공공기관이 설치 목적에 교통정보 수집을 추가할 수 있나요?

요약 : 교통정보의 수집·분석을 위해 정당한 권한을 가진 공공기관이 행정절차법에 따른 의견청취등의 절차를 거친 경우 가능하다.

 

19. 조리시설과 어린이 놀이시설을 갖춘 '키즈카페'는 CCTV 영상을 며칠간 보관할 수 있나요?

요약 : 보유 목적의 달성을 위한 최소한의 기간 동안 보관하되, 그러한 기간을 산정하기 어려울 땐 30일 이내로 보관한다.

- ex) 어린이집은 60일 이상보관한다.(영유아보육법 제15조의4 제3항)

 

20. 주차장에서 발생한 사고와 관련하여 사고차량 차주 본인이 아닌, 그가 가입한 보험사의 CCTV 영상 열람 요구에 응해도 되나요?

요약 : 보험사가 사고차량 차주의 위임장을 제출하면 그 차주를 대리하여 개인영상 정보 열람을 요구한다면 응해야한다.

 

21. 특정인들만 출입이 가능한 장소에 CCTV를 설치·운영하는 경우에도 보호법이 적용되나요?

- 보호법 제25조를 제외한 다른 규정이 적용된다.

- ex) 제25조는 공개된 장소로 제한하여 규율.

 

 

 

가명정보

 

22. 과학적연구 등 목적으로 가명정보를 처리하는 경우, 그 가명정보를 유상 판매하는 것이 가능한가요?
요약 : 통계작성, 과학적 연구, 공익적 기록보존 등 목적으로 가명정보를 처리하면서 그 대가를 받는 것은 가능하며, 이 외에는 판매 불가.

 

23. 이름, 주민등록번호 등 개인을 직접 알아볼 수 있는 정보만 삭제하면 가명정보가 되나요?

- 다만, ‘성별’, ‘연령’, ‘거주 지역’ 등 단일 항목으로는 개인을 알아볼 수 없으나 다른 정보와 결합되었을 때 개인을 알아볼 가능성이 높은 정보나 희귀성씨가 포함된 경우, 특정 지역 국회의원 등 개인을 알아볼 가능성이 높은 정보(특이정보)까지 종합적으로 고려하여 개인이 식별될 위험도를 낮춰야 안전한 가명정보로 볼 수 있습니다.
요약 : 가명처리 시 그 자체로 개인을 알아볼 수 있는 정보는 삭제해야 하며 개인 식별 가능성도 종합적으로 고려한다.

 

 

 

24. 제3자에게 제공한 가명정보를 제3자가 활용하는 과정에서 정보주체에게 피해가 발생한 경우 가명정보를 제공한 자도 처벌을 받나요?

요약 : 가명정보를 제공받은 자가 안전조치 미행으로 문제가 발생하였거나 고의로 재식별 행위를 하였다면 해당 행위자인 제공받은 자만 제재 대상이 되며, 제공한 자는 제재 대상이 되지 않는다.

 

 

공공서비스

 

25. 감염병 환자의 개인정보는 어느 정도까지 공개할 수 있나요?

- 성별, 나이, 성명, 읍·면·동 단위 이하의 거주지 주소’ 등 감염병 예방과 관계없다고 판단되는 정보는 공개대상에서 제외

요약 : 주의 이상의 위기경보 발령 시 감염병 화잔의 이동경로 등 신속히 공개하여야 하나, 감염병 예방과 관계없는 정보는 공개대상에서 제외된다.

 

26. 건강검진 대상자의 성명, 주민등록번호가 포함된 명단을 실수로 대상자가 속한 기관이 아닌 다른 기관에 발송하였다면 개인정보 유출에 해당하나요?

요약 : 개인정보 유출에 해당한다.

 

27. 경찰이 습득물 신고를 접수받을 때, 습득자의 주민등록번호도 수집할 수 있는 건가요?

요약 : 습득문 신고서 양식에 습득자의 주민등록번호 작성란이 포함되어 있어, 경찰은 습득자의 주민등록번호를 수집할 수 있다.

 

28. 고객의 동의를 받지 않고 만족도 조사를 해도 되나요?

요약 : 민간은 체결한 계약의 이행을 위하여 필요한 범위 내에서는 동의를 받지 않고 만족도 조사가 가능하며, 공공기관은 법령에 근거하여 민원인의 동의를 받지 않고 만족도 조사가 가능하다.

 

29. 공공기관 청사 CCTV 영상을 자체감사에 이용해도 되나요?

요약 : 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 '공공감사법'에 근거하여 이용할 수 있다. 30. 공공기관이 자체감사 목적으로 직원의 출입 기록을 이용할 수 있나요?요약 : '공공감사법'에 따라 자체 감사 목적으로 이용할 수 있다. 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없어야하고, 필요한 최소한의 출입기록만 이용한다.

 

31. 민감정보, 고유식별정보, 주민등록번호 처리 업무를 위탁할 수 있나요?

요약 : 민감정보, 고유식별정보, 주민등록번호 처리는 해당 정보를 처리할 수 있는 개인정보처리자가 위탁 계약을 통해 위탁할 수 있으며, 수탁자도 안전성 확보 조치와 암호화 조치 등의 의무를 준수해야 한다.

 

32. 민원인의 개인정보를 저장할 때 암호화해야 하나요?

요약 : 비밀번호, 생체인식정보 등 인증 정보와 고유식별정보를 컴퓨터,모바일 기기 및 보조저장매체 등에 저장할 때 암호화해야 하며, 적용 범위는 '개인정보의 안전성 확보조치 기준'에 따라 달라진다.

 

33. 민원처리를 위해 다른 직원에게 민원인 전화번호를 전달해도 되나요?

요약 : 민간의 경우 동의를 받거나 계약 체결의 이행을 위하여 필요한 범위에서 전화번호를 전달, 공공기관은 법령에 근건하여 민원인의 동의를 받지 않고 전달하며, 권한 없는 직원에게는 민원인의 정보를 전달하는 것은 개인정보 누설 또는 접근제한 위반에 해당할 수 있다.

 

34. 사회복무요원이 개인정보 처리가 필요한 업무를 할 수 있나요?

요약 : 원칙적으로 개인정보 처리 업무를 할 수 없지만, 기관의 안전성 확보조치가 이루어진 경우, 기관장의 승인과 담당 직원의 관리·감독 하에 개인정보 처리 업무를 수행할 수 있다.

 

35. 정보주체의 요구에 따라 법령상 수집 대상인 예방접종 내역을 삭제할 수 있나요?

요약 : 예방접종 내역은 법령에 의해 수집·보유되는 정보로, 정보주체가 삭제를 요구할 수 없고, 개인정보처리자는 삭제 요구 거절 사유를 통지해야한다.

 

 

36. 조례로 교통약자의 특별교통수단 이용 관련 개인정보를 동의없이 수집·이용 할 수 있나요?

요약 : 지방자치단체는 적법한 조례에 따라 교통약자의 이동지원과 관련한 이용자의 개인정보를 동의 없이 수집·이용할 수 있다.

 

37. 지방의회가 채용 감사 목적으로 요청하는 경우 지방공단이 신규 임용 대상자가 제출한 경력 사항을 지방의회에 제출할 수 있나요?

요약 : 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 제출할 수 있다.

 

38. 지방자치단체가 설치·운영하는 CCTV 영상을 언론사에 취재 취재·보도 목적으로 제공할 수 있나요?

요약 : 지방자치단체가 설치·운영하는 CCTV 영상을 언론사에 제공하는 것은 당초 목적 외 용도이므로, 정보주체의 이익을침해하지 않는 경우에 한해 제공할 수 있으며, 보호법 제 18조 규정을 준수한다.

 

39. 통장이 전입 신고자의 전입 사실 여부를 확인할 수 있나요?

요약 : 통장은 주민등록법령에 따라 전입 사실을 확인할 수 있으며, 이는 사실조사 의무 이행을 위한 개인정보 수집·이용에 해당한다.

 

 

민간사업자

 

40. 고객에게 홍보 자료와 포인트 제공에 대한 동의를 받으려고 하는데 ARS를 통하여 개인정보 처리 동의를 받아도 되나요?

요약 : 고객에게 ARS를 통해 홍보 자료와 포인트 제공에 대한 동의를 받을 수 있으며, 이 경우 동의 의사 확인을 위해 음성 녹음 등으로 기록하고, 해당 내용을 개인정보 파기 시까지 보관한다.

 

41. 기관의 SNS 이벤트를 이벤트 대행사를 통해 하는 경우 개인정보 처리에 관한 위·수탁 계약을 체결해야 하나요?

요약 : 기관이 이벤트 대행사를 통해 SNS 이벤트를 진행할 경우, 개인정보 처리에 관한 위·수탁 계약을 체결하고 수탁자 교육, 감독 등의 의무를 준수해야 한다.

 

42. 마케팅 행사에서 지인의 개인정보를 수집하는 것이 가능한가요?

요약 : 정보주체(지인)의 동의 없이 개인정보 수집·이용할 수 없다.

 

43. 민간의 일반횐사는 개인정보파일 보유기간을 어떻게 정해야 하나요?

요약 : 수집 목적에 필요한 최소한의 기간으로 정하면되고, 보유기간 입증책임은 개인정보처리자가 한다.

 

44. 보호법상 '위탁 업무 내용 및 수탁자 공개 의무'는 개인정보 처리방침에 관련 내용을 포함해서 인터넷 홈페이지에 공개하면 되는 건가요?

요약 : 개인정보 처리방침에 위탁 업무 내용과 수탁자를 포함하여 인터넷 홈페이지에 공개할 수 있으며, 변경사항이 있을 경우 지속적으로 업데이트해야 한다.

 

45. 수탁자와 개인정보 처리 업무 위·수탁 계약을 체결할 예정인데 위·수탁 계약서상 수탁자 감독사항을 어떻게 작성해야 하나요?

요약 : 위·수탁 계약서 작성 시, 수탁자의 관리방법에는 전문기관,관련협회, 컨설팅 기관등을 통한 교육, 처리현황 점검, 원격점검, 솔루션 배포 등 다양한 관리 방법을 포함하여 작성할 수 있으며, '개인정보 처리 위·수탁 안내서'를 참고하여 구체화한다.

 

46. 엑셀, 한글 등 상용프로그램의 비밀번호를 설정하는 것이 보호법상 암호화인가요?

요약 : 보호법상 암호화 조치 중 하나에 해당할 수 있지만, 파일 암호화 후 해당 파일명에 비밀번호를 기재 해놓는 경우 암호화에 해당하지 않는다.

 

47. 운영한테 필라테스 학원을 다른 사람에게 영업 양도하면서 기존 고객정보를 넘길 때 이를 고객에게 고지해야 하나요?

요약 : 영업 양도·양수 계약 이후 실제 이전되기 전에 서면 등의 방법으로 이전 사실등을 정보주체에게 알려야하며, 알 수 없는 경우에는 홈페이지에30일 이상 공지해야 한다.  

 

48. 회원가입에 필요한 개인정보를 동의 없이 수집해도 되나요?

요약 : 회원가입에 필요한 개인정보를 수집하는 것은 정보주체의 요청에 따른 회원가입 이용계약을 체결하기 위한 것이므로, 정보주체로부터 동의 없이 개인정보 수집할 수 있다.

 

 

인사·노무

 

49. 근태관리 목적으로 안면 정보 또는 지문 정보 등의 민감정보를 활용해도 되나요?

요약 : 원칙적으로 민감정보는 정보주체로부터 별도의 동의를 받은 경우나 법령에서 민감정보의 처리를 요구·허용하는 경우 외에는 처리할 수 없고, 정보주체의 별도 동의가 있거나 법령에서 처리를 요구·허용하는 경우에는 가능하다.

 

50. 퇴직한 직장에서 아직도 단체 문자 메시지가 휴대폰으로 전송되고 있는데 오지 못하게 할 수 있나요?

요약 : 개인정보 처리정지를 요구하여 단체 문자 메시지를 전송하지 않도록 할 수 있고, 요청을 받은 개인정보처리자는 지체 없이 처리 중지 또는 삭제 조치를 해야하며, 처리 중지 거부 시에는 그 이유를 통지해야 한다.

 

 

학교

 

51. 졸업앨범에 교사의 사진을 동의받지 않고 넣어도 되나요?

요약 : 졸업앨범에 교사의 사진을 넣으려면 해당 교사의 동의가 필요하다.

 

52. 총동창회에서 학교에 졸업생의 성명과 졸업 연도가 기재된 졸업생명부를 달라고 요구하는 경우, 학교는 졸업생들의 동의를 구하지 않고 이를 임의로 제공할 수 있나요?

요약 : 학교가 졸업생명부를 동창회에 제공하는 것은 제 3자 제공에 해당하므로, 졸업생의 동의 없이 임의로 제공할 수 없다.

 

 

 

일단 개인정보 보호법 해석 사례집 1.0에 있는 모든 걸 요약한다고 하였는데, 비슷한 말? 똑같은 말이 많다.