개인정보보호 제도(2)

2. 개인정보보호 원칙과 의무

1) 개인정보보호법 상 개인정보 보호원칙

■■■ 관련 법률 ■■■ 제3조(개인정보 보호 원칙) ① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다. ② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다. ③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다. ④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다. ⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다. ⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다. ⑦ 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다. ⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.

○ 헌법재판소가 인정한 ‘개인정보자기결정권’의 취지 및 국제적으로 통용되는 ‘OECD 프라이버시 8원칙’, EU국가들의 입법기준이 되는 ‘EU개인정보 보호지침’, 2004. 10.에 채택된 ‘APEC 프라이버시 원칙’ 등의 내용을 참고하여 개인정보보호법의 총칙 규정으로 삼았다.
- ‘정보통신망법’, ‘신용정보보호법’은 이런 규정이 없다.

○ 위 제3조는 ‘개인정보보호법’의 기본원칙을 천명한 선언적인 규범으로서 동 조 위반에 따른 형사적, 행정적 제재가 부과되는 것은 아니지만 위 조항의 내용은 개별 조항에서 구체적인 보호의무로 표현되고 있다.
 
 
2) OECD 프라이버시 보호 8원칙
- ‘OECD 프라이버시 가이드라인’은 1980년 OECD 회원국들에 의해 만장일치로 채택된 것으로,
- 프라이버시와 개인정보보호에 관한 원칙의 표준으로 대표되고 있으며,
- OECD 회원국들은 개인정보보호와 관련된 법 제정 시 OECD 가이드라인의 원칙들을 고려하여야 하고,
- 그 이행을 위해 협력하고 노력하여야 한다.
 
○ 수집제한의 원칙(Collection Limitation Principle)
- 정보 수집 제한과 정보 수집 수단의 요건에 관한 것
- 무차별적인 개인정보를 수집하지 않도록 제한할 것
- 정보 수집을 위해서는 정보주체의 인지 또는 동의가 최소한의 요건이라는 것
- 예외: 범죄 수사 활동
 
○ 정보정확성의 원칙(Data Quality Principle)
- 개인정보가 사용될 목적에 부합되는 것
- 이용목적에 필요한 범위 안에서 정확하고, 완전하며, 최신의 것
 
○ 목적 명확화 원칙(Purpose Specification Principle)
- 개인정보 수집 목적은 수집 시점까지는 알려질(명확화) 것
- 목적의 변경이 발생 할 때마다 명시될 것
- 정보정확성의 원칙과 이용제한의 원칙과 매우 밀접한 연관성을 갖는 것

○ 이용제한의 원칙(Use Limitation Principle)
- 목적 명확화 원칙에 의하여 명시된 목적 외의 목적으로 공개, 이용, 이용가능 제한될 것
- 예외: 정보주체의 동의, 법률의 규정
○ 안전한 보호의 원칙(Security Safeguards Principle)
- 개인정보의 유실, 불법적 접근, 파괴, 이용, 수정, 공개 등 위험에 대하여 적절한 보안유지 조치에 의해 보호
 
○ 공개의 원칙(Openness Principle)
- 개인정보와 관련된 제도 개선, 실무, 정책에 대해 일반적인 공개 정책 견지
- 개인정보의 존재, 성격, 주요 이용 목적, 정보처리자(Data controller)의 신원, 소재지를 즉시 파악할 수 있는 장치 마련
 
○ 개인 참가의 원칙(Individual Participation Principle)
- 개인은 자신과 관련한 정보를 정보처리자(Data controller)가 보유하고 있는지 여부에 대해 정보처리자로부터 직접 또는 다른 경로로 확인 받을 권리
- 합리적 기간 내에, 비용이 부과되는 경우 과다하지 않는 범위 내에서, 합리적인 방법과 알기 쉬운 형태로 통지받을 권리
- 요구가 거부당한 경우, 이유를 요구하고, 거부에 대해 이의를 제기하는 권리
- 이의가 인정되지 않은 경우, 해당 정보를 삭제, 수정, 완성 및 보완하게 하는 권리
 
○ 책임의 원칙(Accountability Principle)
- 정보처리자가 다른 7개 원칙들의 시행 조치를 이행하는데 책임성
- 제3자에 의하여 처리되더라도 의무는 유지

3. 개인정보의 처리 제한

1) 민감정보의 처리 제한

■■■ 관련 법률 ■■■ [개인정보보호법] 제23조(민감정보의 처리 제한) 개인정보처리자는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 "민감정보"라 한다.)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다. 1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우

 

○ 개인정보 가운데 사람을 주관적으로 판단, 평가할 수 있는 자료는 특정 개인에게 사회적 차별이 가해질 수 있거나 개인의 사생활이나 인권이 현저히 침해될 우려가 있는 경우에 해당 정보를 엄격히 보호하여야 한다.
 
○ 민감정보 내용
- 법률: ① 사상, 신념, ② 노동조합,정당의 가입,탈퇴, ③ 정치적 견해, ④ 건강, 성생활 등에 관한 정보, ⑤ 대통령령이 정하는 정보
- 시행령: ① 유전정보, ② 범죄경력
 
○ 민감정보는 원칙적 처리 금지
 
○ 처리 금지 예외
- 정보주체의 동의가 있는 경우(정보주체가 명확히 인지하고 명시적으로 동의의사를 밝힌 경우)
- 법률에서 명시적으로 민감정보를 요구하거나 허용하는 경우
 
 
2) 고유식별정보의 처리 제한

■■■ 관련 법률 ■■■ [개인정보보호법] 제24조(고유식별정보의 처리 제한) ① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 "고유식별정보"라 한다)를 처리할 수 없다. 1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우 ② 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입할 경우 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다. ③ 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다. ④ 안전행정부장관은 제2항에 따른 방법의 제공을 지원하기 위하여 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련할 수 있다.

○ 고유식별번호 정의: 시행령 제19조
- 주민등록번호: 주민등록법
- 여권번호: 여권법
- 운전면허의 면허번호: 도로교통법
- 외국인등록번호 출입국관리법
 
○ 고유식별정보의 처리 금지
- 원칙적 고유식별정보 처리 금지
- 예외: 정보주체의 동의, 법령에서 구체적으로 요구 또는 허용

○ 인터넷 상 주민등록번호 대체수단 강구
- 수범자: 대통령령이 정하는 기준(공공기관, 전년도말 기준 직전 3개월간 일 평균 1만명 이상 홈페이지)
- 방법: 홈페이지를 통하여(한정)
- 회원으로 가입할 경우(한정)
- 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법: 대표 i-Pin
 
○ 안전성 확보 조치
- 고유식별정보가 분실•도난•유출•변조 또는 훼손되지 않도록 대통령령이 정하는 암호화 등 안전성 확보 조치
- 조치 방법: 시행령에 따른 ‘개인정보의 안전성 확보 조치 기준’ (안전행정부고시 제2011-43호)
 
○ 대체수단 제공 시행 시기
- 2012년 3월 30일부터(부칙 제1조)