개인정보 생명주기 관리 - 개인정보 수집·이용 목적외 이용금지

4.개인정보 수집·이용 목적외 이용금지

■■■ 개인정보보호법 ■■■ 제18조(개인정보의 이용ㆍ제공 제한) ① 개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다. ② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다. 1. 정보주체로부터 별도의 동의를 받은 경우 2. 다른 법률에 특별한 규정이 있는 경우 3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우 5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우 6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우 7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 8. 법원의 재판업무 수행을 위하여 필요한 경우 9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우 ③ 개인정보처리자는 제2항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 1. 개인정보를 제공받는 자 2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다) 3. 이용 또는 제공하는 개인정보의 항목 4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다.) 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 ④ 공공기관은 제2항제2호부터 제6호까지, 제8호 및 제9호에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 안전행정부령으로 정하는 바에 따라 관보 또는 인터넷 홈페이지 등에 게재하여야 한다. ⑤ 개인정보처리자는 제2항 각 호의 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다. 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 한다.

 

■■■ 정보통신망법 ■■■ 제24조(개인정보의 이용 제한) 정보통신서비스 제공자는 제22조 및 제23조제1항 단서에 따라 수집한 개인정보를 이용자로부터 동의받은 목적이나 제22조제2항 각 호에서 정한 목적과 다른 목적으로 이용하여서는 아니 된다.

 

벌칙 규정	벌칙
개인정보의 목적 외 이용·제공	5년 이하의 징역 또는 5천만원 이하의 벌금

 

○ (사전동의를 받은 경우) 원칙적으로 회원가입이나 이벤트 참여 또는 서비스 이용 시 고지한 수집·이용 목적내에서 이용자의 개인정보를 이용하여야 하며, 만약 원래의 수집·이용 목적이 변경되거나 추가되는 경우 변경 또는 추가되는 목적에 대해 별도의 동의를 얻어야 한다.

 

■■■ 수집·이용 목적의 변경시 별도의 동의를 얻어야 하는 경우 예시 ■■■ ▶ 상품배송 목적만으로 수집한 개인정보를 자사 상품의 통신판매 광고에 이용시 ▶ 고객 만족도 조사, 판촉행사, 경품행사 만을 위해 제공한 개인정보를 자사의 할인 판매 행사 안내용 광고물 발송에 이용시 ▶ A/S센터에서 불편 처리를 위해서만 수집한 개인정보를 자사의 신상품 광고에 이용시 ▶ 회원으로 가입하기 위하여 제공한 정보를 회원가입과 무관한 우편 주문 판매에 이용시 ▶ 임상목적으로 촬영한 환자의 수술(시술)사진을 병원 홍보 목적으로 공개하는 경우

 

○ (사전동의를 받지 않은 경우) 개인정보 수집시 동의획득 예외의 경우에는 원래 이용자의 동의를 얻지 않았기 때문에 동의를 받은 수집 및 이용 목적 범위를 특정하기 어려우므로 이 경우에는 법률 제22조제2항 각 호에서 규정한 목적(계약의 이행, 요금정산, 다른 법률에 특별한 규정)안에서만 이용하여야 하며 그이외의 목적으로 이용하고자 하는 경우에는 이용자의 별도 동의를 얻어야 한다.

 

알아두기 □ 사업자의 해지 고객정보 관리 ○ (해지 고객정보 보유) 고객이 서비스 계약을 해지한 경우 해당 고객정보는 정보통신망법 제29조에 따라 수집·이용목적이 달성됨에 따라 지체없이 파기하는 것이 원칙이다. 다만 다른 법률(예로, 국세기본법 제85조3 등)에 따라 또는 이용자의 동의에 근거하여 해지 고객정보를 보유할 수 있고, 보유기간이 종료되면 지체없이 파기하여야 한다. ○ (해지 고객정보 관리방법) 해지고객의 정보를 보유시 보유목적에 따라 최소한의 정보를 보유하여야 하고, 현재 서비스를 이용하는 고객정보와는 분리하여 보관하여야 하며, 해지 고객 정보에 대한 접근권한은 최소한으로 설정하는 등 기술적·관리적인 조치를 취하여야 한다. ○ (해지 고객정보의 보유목적외 이용) 그럼에도 불구하고 해지 고객정보를 이용하여 신상품 홍보에 이용하거나 서비스 재가입을 권유하는 행위는 해지 고객정보의 보유목적을 벗어나 정보를 이용하는 것으로써 정보통신망법 제24조의 위반가능성이 있다. 해지고객 정보의 목적외 이용은 형사처벌 대상일 뿐 만 아니라 기업의 고객관리에 대한 신뢰성을 현저히 저하시키므로 사업자는 해지 고객정보 관리에 각별한 주의가 필요하다.

 

 

■■■ 제3자 제공과 위탁의 구분 ■■■

(1) 제 3자 제공

 

 

 

(2) 업무 위탁

 

 

 

(3) 위탁과 제3자 제공 업무 구분 예시

"구독"과 "좋아요"를 눌러주세요. 
블로그 운영에 큰 힘이 됩니다.