개인정보보호를 아십니까?

"뭘 당연한 소리를." 하고 넘길 수 있는 질문입니다.

그러나 내가 이에 대해서 명확히 잘 알고 있는가?
내 개발에 개인정보보호에 관한 지식이 even 하게 녹아들어 있는가?
이러한 생각을 하니 저는 그만 자신을 잃어버리고 말았습니다.

이런 저에게 KISIA(한국정보보호산업협회)에서 주관하는 '개인정보보호 기초 과정'에 참여할 수 있는 기회가 주어져 열심히 교육을 듣고 왔습니다.

많은 개발자가 관련 교육이 없는 상태로 선배들의 발자국을 쫓아 개발을 이어나가고 있을 것입니다.
사수가 없는 경우에는 더욱 막막하겠지요.

이러한 분들에게 미약한 도움이 되어드리면 좋겠다는 생각에 교육 내용을 정리하여 공유하니 필요하신 분은 참고 부탁드립니다.
만약 왜곡된 정보가 있다면 댓글로 알려주세요.
빠르게 수정하겠습니다!

---

주의사항:

• 저는 법률 관련 종사자가 아니기에 왜곡되거나 부족한 정보를 제공할 수 있습니다.
  이 글은 참고용으로만 봐주시기를 바랍니다.
• 개인정보보호 법률은 근 10년간 시대에 맞추어 많은 개편이 이루어지고 있습니다.
  시간의 흐름에 따라 변경되는 내용이 있을 수 있으니 참고 부탁드립니다.
• 개인정보 관련 조항은 기존에 정보통신망법에 속해 있었으나 근 몇 년 사이 개편이 이루어져 별도로 분리되었습니다.
  이로 인해 개인정보보호법의 위상이 상승하게 되었습니다.

---

개인정보? 고유식별정보? 가명정보? 익명정보? 민감정보?

(이렇게 많다고? 라고 비전공자는 생각합니다.)

• 개인정보:
  이름, 주민등록번호 등 개인을 식별할 수 있는 정보.
  직관적으로 봤을 때는 개인 정보가 아니나 다른 정보와 결합해서 개인을 유추해 낼 수 있다면 그 또한 개인정보로 취급합니다.
  여기서 말하는 다른 정보는 입수 가능성과 접근성 등을 전체적으로 고려해서 판단됩니다.
  (애매하다 싶으면 다 개인정보로 취급하는 게 좋습니다.)

 

• 고유식별정보:
  주민등록번호, 여권 번호, 운전면허번호, 외군인등록번호
  여기서 가장 까다로운 정보는 주민등록번호입니다.
  5가지 규칙. 즉 법률, 대통령령, 국회규칙, 대법원규칙, 헌법재판속칙, 중앙선거관리위원회 규칙에 따라 사용 가능 여부가 갈립니다.
  5만 명 이상의 고유식별정보를 관리하는 기업은 정기적으로 보호위원회위의 조사를 받아야 합니다.
  
  

 

• 가명정보:
  개인정보 일부를 삭제, 대체하여 가명처리한 정보. (김00, 이0원, 박0 등)
  이 상태만으로는 개인을 식별할 수 없는 정보여야 합니다.
  이 가명정보는 큰 기업 아니면 계륵과 같은 조항이라 하셨습니다.(빅 데이터를 위해 있는 조항이라고 보시면 됩니다.)
  사용하기 까다로우며 잘못 사용할 경우 과징금을 받습니다.
  관리 인원이 최소 3명이 필요하다고 하셨습니다.
  통계작성, 과학적 연구, 공익적 기록보존을 위해서는 동의 없이 가명 정보 처리 사용이 가능합니다.
  마케팅 통계를 위해 가명정보 사용이 가능합니다.
  새로운 서비스 개발, 제품 개발을 위해 사용할 수 있습니다.
  가명정보 처리를 위한 가이드라인

 

• 익명정보:
  법률에는 익명 정보라는 단어가 없습니다.
  보통개인정보 보호법의 제58조 2항을 지칭하여 사용됩니다.
  특정 누군가를 식별할 수 없는 정보입니다.
  닉네임 같은 것이죠!

 

• 민감정보
  개인정보 중에서도 사생활을 현저히 침해할 우려가 있는 개인정보.
  딱 2가지 경우에만 사용할 수 있습니다.
  동의를 받은 경우, 법령으로 허락 받은 경우.
  이를 어기면 형사 처벌 대상입니다.

---

개인정보 파일은 어떤 것들이 있을까?

• 개인 정보 DB.
• 수기 문서도 포함합니다.
• 고객 명단.
• 만약 관리하는 고객이 적으면 대충 관리하는 것도 하나의 방법입니다.
  이럴 경우 개인 정보라고 보기 어렵기 때문에 개인정보보호 법에는 접촉되지 않습니다.
  (이 방법은 개인정보보호법만을 피하기 위한 방법이며, 정보를 잘 관리하고 보안에 신경 쓰는 편이 당연히 좋습니다.)체계적으로 정리가 안되어 있는 정보는 사용하기 어려워서 해커도 피합니다.
• 블랙박스의 저장 내용도 개인정보입니다.

---

개인정보처리자란?

• 업무 목적으로 개인정보를 처리하는 사람을 지칭합니다.
• 법적으로 비영리, 무보수로 업무를 진행해도 업무 목적으로 취급됩니다.
• 만약 기업이 아닌 개인이 개인 정보를 모을 경우 이는 민법 처벌을 받으며 개인정보보호법에 접촉되지 않습니다.
  (민사 또한 만만치 않기 때문에 개인정보를 안전하고 조심히 처리해야 합니다!)

---

정보주체의 권리

정보주체:
개인정보 보호법에서 개인 정보가 식별되는 대상입니다.
이름, 주민등록번호, 연락처 등으로 식별될 수 있는 개인을 말합니다.

• 법적으로 보통 기업보다 정보주체의 권리가 더 강합니다.
• 코로나 상황 때 개인 동선을 유추하는 것을 위해 동선 정보 수집이 가능하도록 변경되었습니다.

---

개인정보보호법 중 중점적으로 볼 사항:

개인정보보호법 법령 보기

• 개인정보보호법 1장
• 개인정보보호법 3장 15조부터 끝까지(3장의 3,4절은 큰 기업이면 봐주시면 좋습니다.)
• 개인정보보호법 4장 29조(안전조치의무, 모든 기업의 정보처리자가 꼭 봐야 합니다.)
• 대부분의 기업은 이용약관을 서로 참고합니다.
  만약 부족하거나 이상할 경우 개인정보위원회가 개선 권고를 할 수 있습니다.
• 개인정보를 무단으로 제공 시 형사 처벌이 가능합니다.
• 개인정보 수집 시 필요 최소한의 정보만 수집해야 합니다.
• 아동에 관한 정보 수집은 법정 대리인을 필요로 하기 때문에 서비스 내용에 따라 아동은 가입하지 못하게 하는 경우가 더러 있습니다.
  (과징금 큼!)

---

개인정보 처리(사용, 삭제, 변경 등)할 수 있는 경우:

• 동의를 받는 경우.
  동의를 받으면 대부분의 상황에서 사용할 수 있습니다.
  동의를 하면 정보주체(사용자)가 개인정보 사용에 대한 결정권을 행사했기에 상대적으로 편하게 사용할 수 있는 것입니다.
• 아무리 동의를 받아도 주민등록번호는 사용할 수 없습니다.
  주민 번호는 개인 신분과 관련된 가장 중요한 정보이기에 절대 절대 함부로 쓸 수 없습니다.
  꼭 주민등록이 필요하면 정보주체의 동의와 법률이 허용해야 합니다.
  혹은 재산, 생명 보호 목적을 위했을 때 상황에 따라 사용할 수 있습니다.
• 개인정보보호법 제3장 15조에서 개인정보의 이용 가능한 상황에 대한 예시가 있으니 참고하시면 좋습니다.
• 택배 리콜할 때(법령상 의무를 부과했을 때) 등은 편의를 위해 개인정보를 사용할 수 있습니다.
• 계약을 위해 (택배 보내기) 등의 이유에 대해서는 정보 수집을 할 수 있습니다.
  계약 이행을 위해 개인정보를 수집할 수 있는 것입니다.
  불이익을 주는 내용이 아니기 때문에 엄청 까다롭고 엄격하게 보지는 않습니다.
• 법이 개편되어 사전 동의를 받을 수 없는 경우에 대한 규제가 2023년 완화되었습니다.

---

과태료와 과징금의 차이

과태료와 과징금은 둘 다 법 위반에 대한 제재로 부과되는 금전적 처분이지만, 성격과 목적이 다릅니다.

과태료

• 목적: 행정질서 위반에 대한 제재로 부과합니다. 주로 경미한 법규 위반에 대한 처벌로 사용됩니다.
• 성격: 형벌과는 달리, 행정적 제재에 속합니다.
  예를 들어, 주차 위반, 소음 규제 위반 등이 이에 해당합니다.
• 부과 주체: 행정기관이 직접 부과하며, 형사재판을 거치지 않습니다.

과징금

• 목적: 경제적 이득을 제한하거나 불법 행위로 얻은 이익을 환수하기 위해 부과합니다.
  예를 들어, 공정거래법 위반, 불법 광고 등에 해당합니다.
• 성격: 행정적 처분이지만, 위반 행위로 얻은 이익을 환수하는 데 초점이 있습니다.
• 부과 주체: 행정기관이 부과하며, 경우에 따라 형사 처벌과 별도로 부과될 수 있습니다.

---

개인정보보호로 인한 과태료:

• 과태료와 관련된 사항은 너무나 많으나 과태료도 과징금도 꼭 피해야 하고 지켜야 하는 기본 의무입니다.
• 그렇기 때문에 다소 많더라도 하나씩 읽어보시면서 미비 사항을 업데이트하시면 좋을 것 같습니다.
• 관련 법령은 개인정보 보호법 제75조(과태료) 부분에서 확인하실 수 있습니다.
• 개인정보가 유출된 경우 꼭 고객에게 통지해야 합니다.
  (이전에는 온라인 24시간 이내, 오프라인은 5일 이내 통지를 했어야 합니다. 그러나 이제는 72시간 이내 일괄적으로 통지해야 합니다. 이 사항을 지키지 않을 경우 과태료 대상입니다.)
• 개인정보를 파기해야 하나 파기하지 않았다면 과징금은 아니지만 최대 3천만 원의 과태료 부과가 가능합니다.  
• 제64조의 2(과징금의 부과)의 제4조(암호화 등 안전성 확보 조치 이행 노력)를 어기면 과태료 대상입니다.
  이 내용은 무조건 들어가야 하는데 퀄리티가 낮다고 뭐라 하지는 않지만, 사건이 터졌는데 너무 엉성하면 과징금 대상입니다.

---

개인정보보호로 인한 과징금:

• 제64조의 2(과징금의 부과) 항목을 보고 9개의 규제를 꼭! 피해야 합니다.
• 과징금은 최대 전체 매출의 3%를 과징액으로 낼 수 있습니다.
  이에 대한 이의 신청은 기업이 보건위에 직접 제출해야 하기 때문에 사전에 과징금과 과태료 항목은 잘 처리해 두는 것이 좋습니다.
• 개인정보윈회의 결과 공표를 보면 어떤 기업이 개인정보 보호를 위반했는지 볼 수 있습니다.
  개보위 결과 공표 페이지
• 개인 정보를 분실하고 유출하면 과징금 대상입니다!
  온라인 개인정보처리자의 경우 오프라인에 비해 관리하는 정보가 많기 때문에 과징금의 액수가 상대적으로 더 큽니다.

---

업무위탁과 제3자 제공의 차이

위 기준은 시대에 따라 변경될 수 있습니다!

• 업무 위탁과 제3자 제공의 가장 큰 차이는 누구의 이익을 위해 처리하느냐가 가장 중요합니다.
  두 개념에서 애매할 때는 보수적으로 제3자 제공으로 생각하고 정보주체의 동의를 받는 게 좋습니다.

 

업무위탁

• 홈쇼핑 > 택배 회사, 고객관리(전화 업무 상담센터) > 고객 주소 알려주기.
  위 케이스는 업무 위탁입니다. 이때 자사 홈페이지에 어떠한 업무를 어떤 이유로 위탁한다고 명시해야 합니다.
• 마케팅 수신 동의 같은 동의 사항은 정보주체에 불리하게 작용할 수 있기 때문에 따로 고지해야 합니다.

 

제3자 제공

• 사업제휴, 개인정보 판매는 제3자 제공으로 취급합니다.
• 경품 응모를 하는데 개인정보를 수집해서 마케팅 목적으로 활용하는 경우는 악용으로도 볼 수 있습니다.
• 최근에는 법이 바뀌어서 문제 발생 시 위탁자와 수탁자 모두 손해배상 책임을 집니다.

 

정보주체 동의 구하기

• 마케팅 수신 동의는 무조건 각각 동의를 구해야 합니다.
• 인수 합병의 경우에는 업무의 형태가 변하지 않기 때문에 동의를 구하지 않아도 됩니다.
  (대신 통지를 해야 합니다. 보통 이메일의 형식을 사용하며 누구에게 이전하고, 이전받는 자의 정보, 원하지 않을 경우 동의 철회 방법 등을 안내해야 합니다.)

---

개인정보 파기하는 법

• 개인정보 파기 조항은 21조를 참고해 주세요.
• 개인정보보호법 3장 21조에 따라 개인정보를 파기할 때는 복구와 재생이 불가능하게 해야 합니다.
• 개인정보를 몇 년 동안 보존해야 한다. 이런 내용이 있으면 가지고 있는 게 맞고, 없다면 즉시 파기하는 게 맞습니다.
  (이때는 보존만 하는 것이고, 별도로 이용할 수는 없습니다. 보존 기간에 개인정보를 이용하면 위법입니다. 이러한 보존용 개인정보는 “미파기 개인정보”이며 분리> 저장> 관리를 해야 합니다. 보통 하드디스크 하나를 따로 마련하여 저장합니다.)
• 원칙에 따라서는 보유 기관의 경과에 따라 그날그날 파기를 하는 게 맞습니다.
  그러나 위 사항을 매일매일 하는 것은 업무적으로 무리가 있을 수 있으니 ”표준개인정보보호지침”에 따라 5일 이내에 파기하면 된다고 고시(가이드라인)에 명시되어 있습니다.
• 탈퇴나 정보 보존 기간이 끝남, 목적 달성 등의 이유로 개인정보 파기가 진행될 경우 이를 개인 정보가 불필요하게 되었다고 판단합니다.
• 각 업종에 따라 개인 정보를 보존할 수 있는 최장 기간이 있으니 업종을 확인하여 적용해야 합니다.
• 파기 소홀은 과징금은 아니지만 최대 3천만 원의 과태료 부과가 가능합니다.

---

이동형/고정형 영상정보처리기기 관련 법

• 영상정보처리기기는 고정형과 이동형으로 나뉩니다.
  고정형: CCTV, 네트워크 카메라 등.
  고정형의 특징: 고정되어야 하고, 유무선 망으로 촬영함. 공개된 장소(이게 중요. 15조, 25조로 나뉨)여야 합니다. 비공개 장소일 경우 일반적 개인 수집 이용의 목적으로 설치할 수 있습니다.
  이동형: 차량이나 드론 등 이동 수단에 부착되어, 이동하면서 영상 정보를 수집할 수 있는 장비입니다.(블랙박스)
• 비공개 공간일 경우 동의를 구해야 합니다. 공개 공간은 안전이나 관리 등을 위해 동의를 구할 필요가 없습니다.
• 통계를 위해서 영상을 저장하지 않는 경우에는 촬영해도 됩니다. (보통 공익적 목적을 위해 필요로 하기 때문.)
• 녹음기는 사용하면 안 됩니다. 이는 도청/감청의 위험이 있어서 형사 처벌 대상입니다.
• 유튜버, 스트리머, BJ가 외부에서 촬영할 때 촬영 사실을 명확히 표시하고, 촬영 거부 의사를 정보주체가 거부 의사를 밝히지 않은 경우에는 촬영할 수 있습니다.
  이 부분은 추후 문제가 될 여지가 크고, 쟁점의 논란이 될 예정으로 보이며 불빛이나 안내판, 안내 방송 등을 통해 항상 방송 중임을 명시해야 합니다.
  지금은 법 자체가 애매한 상황이기 때문에 나중에 문제가 생기면 판례를 봐야 할 것으로 보입니다.

---

안정성 확보 조치

• 책임자를 두어야 하고, 해당 책임자의 아이디/비밀번호는 내부에서 공유하면 안 됩니다.
• 내부 관리 계획을 수립하여 어떻게 관리하고, 실무자가 누구고, 책임자가 누구고, 암호화 여부 등을 기재해야 합니다.
• 이용자 수가 100만 이상이면 망 분리를 해야 합니다.
• 이용자가 10만 이상이면 개인 정보를 암호화 처리해야 합니다.
• 개인정보의 안전성 확보 조치 기준의 제4조를 어기면 과징금 대상입니다.
  위 내용은 무조건 들어가야 하는데 퀄리티가 낮다고 뭐라 하지는 않지만, 사건이 터졌는데 너무 엉성하면 과징금 대상입니다.
• 연 1회 위 사항들의 점검 관리를 해야 합니다.
• 개인정보취급자와 정보주체의 인증수단은 안전하게 보관해야 합니다.
• 일정 횟수 로그인에 실패하면 일정 시간 막거나 다른 방식으로 인증할 수 있도록 하는 게 좋습니다.

---

개인정보에 대한 접근 통제

• 외부로부터의 비정상 접근을 막는 것이 가장 중요합니다.
• 외부에서 접근할 때는 아이디/비밀번호 말고 더 강력한 인증 수단을 쓰면 좋습니다.
  예시: 2차 인증.
• 몇 분 이상 장치를 사용하지 않을 때는 자동 로그아웃 시키면 좋습니다.
• 개인 정보의 암호화: 인증 정보와 관련된 모든 정보는 암호화 대상입니다.
  이용자의 개인정보는 안전한 암호 알고리즘으로 암호화하여 저장해야 합니다.
• 개인의 접속 기록은 1년 이상 보존해야 합니다.
  접속 기록이란 식별자(id), 접속 일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 기록한 내용입니다.
• 유출에 대하여 월 1회 이상 점검을 해야 하고, 관련 정보 다운로드는 반드시 그 사유를 확인하여야 합니다.
• 접속 기록 형식은 위조가 어려운 형식으로 제출할 수 있도록 해야 합니다.
  이는 제출자 본인이 자료를 위조할 수 있기 때문이다.

---

개인정보 관련 내용은 복잡하고 중요하기 때문에 다소 글이 길어지고 말았습니다.

긴 글 읽어주셔서 감사드리며 이 내용은 2024년 10월을 기준으로 작성된 글이기 때문에 먼 훗날 이 글을 보시는 분들은 참고 용도로만 봐주시기를 바랍니다.

좋은 하루 보내세요!

---

참고 문헌:

https://www.gne.go.kr/upload_data/board_data/BBS_0000852/163895639273171.pdf
(경상남도교육청의 개인정보 보호법령 해석 실무 교재)

개인정보보호법

개인정보 포털

부산지방법원 2017노4344 - CaseNote

대법원 2014다235080 - CaseNote