2022개인정보 주요 이슈 법령 해석 사례 30선 (요약 및 원본)

2022개인정보 주요 이슈 법령 해석 사례 30선을 작성하였습니다. 답변은 원본을 참고하여 요약하여 작성하였으며, 2022년 사례집이기 때문에 개인정보의 안정성 확보 조치 등이 조금 달라 제가 현행에 맞춰 최대한 답변을 달았습니다. 부족하거나 틀린 부분이 있을테니 이상하다고 싶은 부분은 개인정보보호법 또는 개인정보보호법 시행령 참고하시면서 보시면 될 것 같습니다. 아래는 제가 작성한 요약본과 원본 첨부하였습니다.

2022_개인정보_주요_이슈_법령해석_사례_30선.docx

0.03MB

2022_개인정보_주요_이슈_법령해석_사례_30선.pdf

2.45MB

 

---

1. 개인정보의 수집 ･ 이용

1. 아파트 관리사무소가 방문자에 대한 개인정보를 방문 자동차에 부착도록 요구할 수 있는지? 
   • 아파트 관리사무소는 의무 수행을 위해 필요한 경우 차량 소유자 확인 및 주차 관리를 위한 개인정보(주민등록번호 제외)를 최소한으로 수집･이용할 수 있습니다. 또한, 개인정보는 사생활 침해가 최소화되도록 처리 및 관리되어야 합니다.
2. 병원 안내데스크에서 내원자를 대상으로 공개된 연명부에 개인정보를 기재토록 하는 것이 목적 외 제공에 해당하는 지?
   • 병원이 환자 관리를 위해 내원자의 성명과 생년월일을 대기 명단에 기재하도록 하는 것은 목적 내 이용에 해당합니다. 그러나 개인정보 보호 조치가 미흡할 경우 개인정보 침해 우려가 있습니다. 따라서 연명부 사용 시 제3자 제공에 대한 고지와 동의를 받고 운영해야 하며, 병원은 개인정보가 외부에 노출되지 않도록 적절한 보호 조치를 시행하고, 정보주체의 사생활 침해를 최소화할 방안을 마련해야 합니다.
3. 개인정보 처리를 위한 각종 동의서를 작성할 때, '정보주체와의 계약 체결 및 이행'에 필요한 개인정보를수집하면서 동의가 필요 없는 개인정보도 체크란을 만들어야 하는지, 아니면 동의가 필요한 선택정보, 민감정보, 고유식별정보, 제3자 동의에만 체크란을 만들어야 하는지?
   • 개인정보 처리를 위한 동의서를 작성할 때는 ‘동의를 받아야 하는 사항’과 ‘동의가 필요 없는 사항’을 명확히 구분해야 합니다. 동의 없이 처리할 수 있는 개인정보는 동의 항목에서 제외하는 것이 바람직하며, 동의를 받아야 하는 선택정보, 민감정보, 고유식별정보, 제3자 제공 동의에 대해서만 체크란을 만들어 동의를 받는 것이 적절합니다.
4. 웹에서 임시로 만들어지는 개인정보파일인 쿠키를 활용한 맞춤형 광고가 개인정보의 적법한 이용 범위에 있는지?
   • 쿠키는 여러 쿠키 정보를 결합하거나 다른 정보와 쉽게 결합해 특정 개인을 식별할 수 있는 경우 개인정보로 간주되며, 쿠키를 광고 등 홍보 목적으로 이용할 때에는 정보주체의 사전 동의가 필요합니다. 
5. 개인정보 수집 시 정보주체의 동의절차 없이 약관에 관한 동의만받아도 되는지?
   •  개인정보 처리 시에는 개인정보 보호법에 따라 정보주체로부터 명시적이고 개별적인 동의를 받아야 하며, 약관에 대한 포괄적 동의만으로는 개인정보 수집 동의의 효력이 인정되지 않을 수 있습니다. 약관은 개인정보 수집 동의 절차를 대체할수 없으며, 각 동의 사항을 구분하여 정보주체가 이를 명확히 인지할 수 있도록 하고 동의를 받아야합니다. 다만, 개별법에서 약관에 개인정보 수집에 관한 사항을 명시하도록 규정한 경우는 예외가 될 수 있습니다.

 

2. 개인정보의 제공

1. 정보주체의 동의 없이 수집한 개인정보를 수집 목적 범위를 확대해 제3자에게 제공할 수 있는지?
   • 개인정보처리자가 적법하게 수집한 개인정보를 추가적인 목적으로 이용하려면 당초 수집 목적과 추가적 이용 및 제공 목적 사이에 관련성이 있어야 하며, 정보주체가 그 목적을 예측할 수 있어야 합니다. 추가적 이용 · 제공 목적 사이에 관련성이 있어야 하며, 정보주체가 그 목적을 예측할수 있어야 합니다. 추가적 이용 · 제공이 가능합니다. 그러나 개인정보를 제3자에게 제공하거나 업무 편의를 위해 수집 목적을 확대하여 처리하는 것은 주의가 필요하며, 명확한 기준을 따르고, 개인정보처리방침에 그 내용을 공개해야 합니다.
2. 계약 체결 · 이행 등 목적으로 정보주체의 동의없이 수집한 개인정보를 수집 목적 범위를 확대해 제3자에게 제공할 수 있는지?
   • 개인정보처리자는 계약 체결 및 이행등 목적(법 제15조제1항제4호, 제6호)으로 동의 없이 수집한 개인정보를 제3자에게 제공할 경우, 정보주체의 동의가 필요합니다. 법 제17조제4항에 따라 당초 수집 목적과 합리적으로 관련된 범위 내에서 추가적인 이용은 가능하나, 제3자 제공은 해당되지 않으며, 정보주체의 동의 없이 제3자 제공을 할 수 없습니다.
3. 중고자동차매매사업자가 고객과 매매상담을 할 때, 매매 대상 중고자동차의 정비(수리)이력정보의 제공을 요청받고 있습니다. 해당 중고자동차의 정비(수리)이력정보를 제공하는 것이 개인정보의 제3자 제공에 해당하는지, 해당한다면, 정비(수리)이력 정보를 제공하기 위하여 필요한 조치가 무엇인지?
   자동차정비사업자가 자신이 정비하고 있는 자동차를 구매하려는 사람이 자동차의 정비(수리)이력정보를 알려달라고 하는데, 이 경우(정비)수리이력정보를 알려주어도 되는지?
   • 중고자동차의 정비(수리)이력정보는 '다른 정보와 결합하여 정보주체를 알아볼 수 있는 개인정보'에 해당합니다. 따라서, 자동차 매매업자나 정비업자가 이러한 정보를 제공하기 위해서는 자동차 소유자의 동의가 필요합니다. 자동차 소유자의 동의를 받지 않고는 해당 정보를 제3자에게 제공할 수 없습니다. 자동차 소유자가 동의하지 않는 경우, 매매업자나 정비업자는 고객에게자동차이력관리정보를 조회할 수 있는 공공 인터넷 사이트를 안내해야 합니다. 
4. 주차장에 주차하여 놓은 자동차를 긁고 지나가는 사고가 발생한 때, 피해차량 차주가 사고 장면 및 가해 차량 번호판을 확인하여 위하기 CCTV 녹화 영상의 열람을 요구하는 경우에 해당 영상정보에 대하여 비식별조치를마친 후 열람할 수 있도록 하여야 하는지, 아니면 비식별조치 없이 열람하게 할 수 있는지, 그리고 해당 영상을 USB에 저장하여 제공할 수 있는지?
   • 주차장 사고를 녹화한 CCTV 영상 또는 가해 차량의 번호판 모두 개인정보에 해당하며, 해당 영상을 열람하거나 저장매체에 제공할 때는 다른 사람의 개인영상정보가 포함되어 있는 경우 비식별조치를 해야합니다. 피해 차량 차주가 해당 영상을 요청할 때, 영상정보처리기기운영자는 해당 차주 또는 그 대리인임을 확인하고, 열람 시에는 개인정보 보호를 위한 조치를 취해야 합니다. 비식별조치 후 USB, CD 등의 저장매체에 제공할 수 있으며, 필요한 경우 비용을 청구할 수 있습니다.
5.  입주민이 실명 또는 별칭으로 가입한 공동주택의 홈페이지에서 주민들이 서로의 개인정보를 공유하는 것이 개인정보의 유출에 해당합니까?
   • 입주민이 실명이나 별칭으로 가입한 공동주택 홈페이지에서 서로의 개인정보를 공유하는 것은, 공동주택관리법령에 따라 별도의 규정이 있거나 정보주체가 자발적으로 동의하지 않는 한 개인정보의 노출에 해당하며, 금지됩니다. 특히, 개인정보처리자인 관리사무소가 운영하는 홈페이지에서는 입주민의 이름, 연락처, 동 · 호수 등의 개인정보가 특정되면 개인정보보호법의 적용을 받습니다.
6. 코로나 창궐한 이후 비대면 온라인 화상회의 또는 수업이 많이 이루어지고 있는데, 회의 또는 수업 참석자의 얼굴, 음성, 발언 등이 상호 공유되는 경우 개인정보 유출 또는 제3자 제공에 해당되는 것인지?
   • 온라인 화상회의나 수업 중 참석자의 얼굴, 음성, 발언 등의 공유는 참석자 간 자발적인 정보제공으로, 개인정보 유출이나 제3자 제공으로 간주되지 않습니다. 다만, 회의나 수업 영상이 저장되고 보관되는 경우에는 사전에 참석자에게 해당 사실과 보유 목적, 보유 기간, 동의 거부 권리 및 그에 따른 불이익을 알리고 동의를 받아야 합니다.
7.  개인정보 보호법 제20조 제2항 및 같은법 시행령 제15조의2에 근거해 정보주체의 동의를 받고 제3자로서 개인정보를 제공받은 시행령 제15조의2에 해당하는 개인정보처리자가 시행령제15조의2 제2항 단서 규정에 근거해, 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우, 연 1회만 고지하면 되는지?
   • 정보주체의 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우, 해당 정보주체에게 연 1회이상 고지하면 됩니다. 고지의무는 개인정보를 제공받은 날부터 3개월 이내에 알리거나, 동의를 받은 날부터 기산하여 연 1회 이상 알리는 방식으로 이행할 수 있습니다.
8. 관리사무소가 세대 간 분쟁해결 목적으로 분쟁조정 당사자의 연락처 또는 세대주 성명을 분쟁조정 신청자에게 제공하는 것이 개인정보의 제3자 제공에 해당하져 정보주체의 동의가 필요한지?
   • 관리사무소가 아파트 단지 내에서 발생한 분쟁과 관려해, 분쟁신청 당사자의 요청으로 상대측 정보주체의 연락처 또는 세대주 성명을 제공하는 행위는 개인정보의 제3자 제공에 해당하여, 개인정보 보호법에서 정한 바에 따른 제3자 제공에 관한 적법한 법적 근거(법 제17조, 제18조 등)가 없다면, 원칙적으로 정보주체의 동의가 필요합니다.
9. 공동주택 게시판에 주민 연명부를 게시할 경우, 개인정보 유출 또는 제3자 제공에 해당 하는지?
   •  공동주택 게시판에 주민 연병부를 게시하는 것은 개인정보의 제3자 제공에 해당할 수 있으며, 이는 개인정보 유출로 간주될 위험이 있습니다. 따라서 정보주체의 동의 없이 이러한 정보를 게시하는 것은 적법하지 않으며, 정보주체의 명시적 동의가 필요합니다. 게시가 불가피한 경우에도 개인정보 보호를 위한 적절한 조치와 제한이 요구됩니다.
10. 스키장에서 스키어 간 충돌 사고가 발생해 사건 해결을 위해 관리사무소가 사건 당사자들을 불러 조서를 쓰는 과정에서, 화질이 좋지 않아 정확한 개인을 식별할 수 없는 CCTV 영상을 증빙용으로 활용할 경우, 사건 당사자들 간에 서로를 알고 있다면 정보주체 동의 없이 사건 당사자 일방에게 해당 영성을 제공할 수 있는지? 
    • 당사자 간에 서로를 알고 있고, 조서를 작성 중에 있다면, 해당 CCTV 영상은 다른 정보와 결합해 개인을 식별할 수 있다면 이는 개인정보에 해당하며, 이를 제공하는행위는 제3자 제공에 해당하여 정보주체의 동의가 필요합니다. 정보주체의 동의 없이 제공하려면 적법한 근거가 있어야 하며, 영상 제공 시 비식별 조치 등 사생활 보호 조치를 취해야 합니다. 

 

3. 개인정보의 파기

1. 쇼핑몰, 음식점 등 비대면으로 온라인 판매 또는 배달을 하는 업체에서 빈번히 물품(음식)을 주문하는 경우 수집한 개인정보의 보유기간 및 파기 시점은?
   • 온라인 주문 계약 체결 및 이행을 위해 수집한 개인정보는 전자상거래법에 따라 계약, 대금결제 및 물품 공급에 관한 기록은 5년간 보존할 수 있습니다. 그러나 개인정보 보호법에 따라 이용자가 1년 동안 서비스를 이용하지 않을 경우 개인정보를 파기하거나 별도로 분리 저장해야 하며, 파기 시점은 최종 주문일의 다음 날부터 기산됩니다.
   • ｢전자상거래법｣에 따라 표시·광고 기록은 6개월, 계약 및 대금결제 기록은 5년, 소비자 불만 기록은 3년 동안 보존
2. 문서를 파기･보관할 때 보유목적이 서로 다른 개인정보의 경우 어느 정도까지 파기 또는 분리 보관해야 하는지?
   • 개인정보는 보유목적 및 법적 요건에 따라 각각 구분하여 보유기간을 산정하고, 보유기간이 서로 다른 개인정보가 포함된 경우에는 보유기간이 경과한 개인정보를 파기하고, 보존해야 하는 개인정보는 물리적 또는 기술적 방법으로 저장 · 관리해야 합니다. 또한, 개인정보 처리방침 등을 통해 해당 개인정보의 보존 근거를 정보주체가 알 수 있도록 공개해야 합니다.

 

4. 영상정보처리기기의 설치 · 운영의 제한

1. 영상정보처리기기를 설치하여 근로자의 근무행태를 모니터링하거나 영상정보의 목적 외 이용 · 제공을 위한 법적 근거가 무엇인지?
   출입통제가 이루어지는 사무공간에서 영상정보처리기기를 설치 · 운영하는 경우 '직장괴롭힘 금지 법령의 규정'(근로기준법 제76조의2, 제93조 제11호, 제116조; 장애인차별금지 및 권리구제 등에 관한 법률 제32조, 공무원직장협의회의 설립 · 운영에 관한 법률 제5조 제1항 제5호)에 근거해 직장 내 괴롭힘 또는 차별행위가 발생하거나 발생하였음을 증명하기 위한 자료로 영상정보를 이용할 수 있는 법적 근거가 무엇인지?
   • 근로자의 근무행태를 모니터링하기 위해 사무실에 CCTV를 설치하려면 근로자 동의가 필요합니다.
   • 시설 안전 및 도난 방지와 같은 목적일 경우, 명백히 정보주체의 권리보다 우선하는 경우에는 동의 없이 설치 · 운영할 수 있습니다.
   • 직장 내 괴롭힘 조사 시 기존 CCTV를 활용할 경우, 개인영상정보주체의 동의를 받거나 노사협의회 협의를 거쳐야 합니다.
   • 국가인권위원회나 공공감사기구가 조사 시 법적 근거를 바탕으로 영상정보 제출을 요구할 수 있습니다.
2. 드론, 스마트폰 등 이동형 영상정보처리기기에 의한 영상정보처리가 정보주체의 동의 없는 개인정보 수집에 해당하는 지?
   • 이동형 영상정보처리기기로 개인을 촬영하는 것은 개인정보보호법 제15조에 따른 개인정보 수집에 해당합니다.
   • 개인정보 수집 시 정보주체의 동의나 법적 근거가 필요하며, 정보주체의 사생활 침해를 최소화해야 합니다.
   • 익명처리된 정보는 개인정보 보호법의 적용을 받지 않습니다.

 

5. 고유식별정보(주민등록번호 포함) 처리 제한

1. 수집된 고유식별정보가 목적 외 이용 · 제공(개인정보 보호법 제 18조 적용) 대상에 해당되는지 여부
   •  고유식별정보의 처리는 원칙적으로 제한됩니다.
   • 고유식별정보의 목적 외 이용 및 제공은 일반적인 개인정보와 다르게 제18조 제2항 각 호의 예외를 적용받지 않습니다.
   • 공공기관의 경우, 법 제18조 제2항 제5호부터 제9호에 해당하는 경우에는 목적 외 이용 및 제공이 가능하지만, 주민등록번호의 경우는 특별 규정(제24조의2)에 따라 예외적인 경우에만 허용합니다.
2. 주민등록번호 처리에 있어, 수범자별 적법근거는 무엇인지? (법 제24조의2와 신용정보법 제34조와의 관계)
   • 주민등록번호 수집 · 처리 시 개인정보 보호법 제24조의2가 기본적으로 적용됩니다.
   • 신용정보법 제34조에서 정보주체의 동의가 처리 근거로 포함되어 있어도, 주민등록번호 처리 시 별도의 법적 근거가 필요합니다.
   • 일반 상거래기업은 통상적으로 개인정보 보호법을 적용하며, 신용정보의 판단이 필요한 경우에만 신용정보법이 적용됩니다.

 

6. 민감정보 처리 제한

1. 수집된 생체인식정보, 인종 · 민족정보가 목적 외로 이용 또는 제공될 경우 법 제23조와 제18조 중 어떤 규정이 적용될 수 있는지?
   
   • 민감정보의 처리에는 개인정보 보호법 제23조가 제18조보다 우선적용되며, 별도의 정보주체 동의나 법적 근거가 필요합니다.
   • 공공기관의 경우, 개인정보 보호법 시행령 제 18조 단서에 따라 일정 요건(예:다른법률에서 정하는 소관 업무 수행 시 보호위원회 심의 · 의결 거친경우, 조약 관련 외국 정부 및 국제기구 제공,  범죄수사, 재판업무, 형 및 감호, 보호처분 집행할 때)에 해당하면 민감정보를 제18조의 근거로 처리할 수 있습니다.

 

7. 가명정보의 처리 등

1. 개인정보처리자가 법 제15조, 제17조, 제18조, 제23조, 제24조, 제24조의2, 제25조 등에 근거해 수집한 ㄱ인정보는 별도로 가명처리를 위해 동의를 받아야 하는 것은 아닌지?
   • 개인정보처리자는 정보주체의 동의 없이 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 가명정보를 처리할 수 있습니다.
   • 가명처리된 정보는 개인정보의 수집 목적 범위를 넘어 사용될 수 있지만, 개인을 식별할 목적으로 사용해서는 안 됩니다.
   • 가명정보는 추가 정보를 결합하지 않는 한 개인을 알아볼 수 없는 상태여야 하므로, 가명정보의 처리에는 별도의 동의를 받을 필요가 없습니다.
2. 가명정보가 유출된 경우 신고 대상인지, 신고한다면 그 기준은 무엇인지, 신고주체는 누가 되어야 하는지?
   • 개인정보 보호법에 따르면 가명정보가 유출된 경우에는 정보통신서비스 제공자의 신고 규정(제39조의4)은 적용되지 않지만, 1천 명 이상의 정보주체에 관한 대량의 가명정보가 유출된 경우에는 개인정보보호위원회나 한국인터넷진흥원에 신고해야 합니다.
   • 가명정보의 경우에도 개인정보보호법의 일부 조항이 적용되므로, 일정 규모 이상의 유출 발생 시 피해 최소화를 위한 조치 및 신고 의무가 적용됩니다.
   • 신고 주체 : 개인정보처리자, 정보통신서비스 제공자
   • 신고 시점 : 개인정보 유출 사실을 인지한 즉시, 지체 없이 신고 (5일 이내)
3. 가명정보 유출 시 신고의무의 기준이 무엇인지?
   • 가명정보는 개인정보에 해당하므로, 1천 명 이사으이 정보주체에 관한 가명정보 유출 시, 개인정보처리자 및 정보통신서비스 제공자 모두 정부 및 관계 전문기관에 신고해야 합니다.
   • 개인정보보호법 제28조의7에서 정보통신서비스 제공자의 경우 제39조의4(통지 의무)는 적용되지 않으나, 신고 의무에 해당하는 제34조 제3항은 여전히 적용됩니다.
   • 따라서 1천 명 이사으이 정보주체에 관한 가명정보가 유출되면 개인정보처리자는 개인정보보호위원회 또는 한국인터넷진흥원에 신고하여야 합니다.
   • 신고 기준 : 가명정보의 유출로 인해 1천 명 이상의 정보주체가 영향을 받는 경우
   • 신고 주체 : 개인정보처리자, 정보통신서비스 제공자 

 

8. 개인정보의 안전성 확보조치 등

1. 개인정보 보조저장매체의 반출입 통제가 의무사항인지 권고사항인지?
   • 개인정보처리자는 개인정보가 분실 · 도난 · 유출 · 위조 · 변조 또는 훼손되지 않도록 필요한 조치를 하여야 하며, 개인정보 보호위원회의 고시에 따라 보조저장매체의 반출입 통제는 의무사항입니다.
   • 개인정보처리시스템을 운영하지 않고 업무용 컴퓨터나 모바일 기기만으로 개인정보를 처리하는 경우에는 보조저장매체의 반출입 통제 대책 마련이 의무사항은 아닙니다.
2. 정보통신서비스 제공자 등이 인터넷 홈페이지를 통한 개인정보 유 ·노출 방지를 위해 이행하여야 하는 보호조치의 범위가 어느 정도인지? (2022년 12월 사례집으로 현행과 관련하여 답 작성하였습니다.)
   • 비밀번호, 주민등록번호, 계좌번호 등 중요한 개인정보는 안전한 암호화 알고리즘을 적용해 저장 · 전송해야 합니다.
   • 개인정보에 대한 접근권한을 최소한의 인원에게 부여하고, 접근 기록을 유지 · 점검하여 불법적인 접근을 방지해야 합니다.(방화벽, VPN, 접근 제어 시스템 등 기술적 조치 적용)
   • 백신 소프트웨어, IDS 또는 IPS), 방화벽 등의 보안프로그램을 설치하고 정기적으로 갱신 · 점검하고, 최신 보안패치를 통해 악성코드 외부 공격으로부터 보호해야 합니다. (백신 매일)
   • 정기적인 보안 점검을 통해 웹사이트의 보안 취약점을 찾아 보완해야 하며, SQL Injection, XSS등 웹 취약점 대비가 필요합니다.
   • 데이터 전송 시 SSL, TLS 등 안전한 통신 프로토콜을 사용합니다.
3. 네트워크 연결 열화상 카메라를 이용한 촬영 및 전송이 개인정보의 파기의무 및 개인정보 안전성 확보지 의무를 준수해야 하는지?
   • 개인 식별성이 없는 경우 문제 없지만, 촬영 및 전송은 개인정보 보호 관점에서 개인정보의 수집 및 처리에 해당할 수 있으며, 촬영된 영상에 개인을 식별할 수 있는 정보가 포함되었다면, 개인영상정보로 간주되며, 개인정보 보호법의 규정에 따라 개인정보의 안전성 확모 의무와 파기의무를 준수해야 합니다.
   • 개인정보 파기의무 : 촬영 및 전송된 개인정보는 수집 목적이 달성되었거나 보유 기간이 경과한 경우 지체 없이 파기해야 합니다. 
   • 개인정보 안전성 확보 의무 : 네트워크 연결 열화상 카메라를 통해 촬영된 개인정보는 물리적, 기술적, 관리적 보호조치를 통해 안전하게 관리되어야 하며, 정보에 대한 접근을 제한하고 권한을 접근 통제하고, 전송되는 영상 데이터를 암호화하여 전송하고, 카메라의 펌웨어와 소프트웨어의 보안 업데이트를 진행 및 접근 기록을 남깁니다.