개인정보 보호법 해석 사례집(1.0) 정리

1. ID와 결제상품정보가 개인정보에 해당하나요?

개인정보는 결국 개인을 알아볼 수 있는지 여부에 달려 있다. 해당 내용만으로 개인을 식별할 수 있거나, 혹은 다른 정보와 결합하여 개인을 식별할 수 있다면 이는 개인 정보에 해당할 수 있다.

 

2. 가상자산 지갑주소가 개인정보에 해당하나요?

지갑주소 자체만으로는 개인을 식별하기에는 어려울 것이고, 따라서 개인정보라 보기 어려울 것이다. 그러나 다른 정보와 결합하여 특정 개인을 식별할 수 있다면 이것 역시 개인정보가 될 수 있다.

 

3. 본인확인기관이 주민등록번호를 변환한 연계정보(CI)가 개인정보에 해당하나요?

지정된 본인 확인기관이 주민등록번호를 변환한 연계정보(CI)는 다른 정보와 결합하여 특정인을 식별할 수 있으므로 개인정보에 해당한다.

 

4. 사망자 관련 정보가 개인정보에 해당하나요?

원칙적으로 사망자의 정보는 개인정보에 해당하지 않는다. 다만, 사망자 정보라 하더라도 유족과의 관계를 알 수 있는 정보인 경우에는, 살아 있는 유족의 정보로서 유족의 개인정보에 해당한다.

* 개인정보란 '살아 있는 개인에 관한 정보'다. 

 

5. 얼굴 사진이 민감정보에 해당하나요?

얼굴 사진은 일반적으로 개인정보에 해당하나, 민감정보에는 해당하지 않는다.

* 민감정보는 주관적인 것이 아니며, 정확한 대상이 정해져 있다. 민감정보란, 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보 등을 의미한다.

 

6. 직급별 전체 직원의 급여 총액이 개인정보에 해당하나요?

자연인이 아닌 법인이나 단체에 관한 정보, 개인이 특정되지 않은 통계자료는 원칙적으로 개인정보에 해당하지 않는다.

* 다만, 예외적으로 특정 직급의 전체 인원이 1명인 경우 등에는 특정 개인의 급여를 쉽게 알 수 있으므로 개인정보에 해당할 수 있다.

 

7. CCTV 열람 요구 시 모자이크 처리에 소요되는 비용은 요청하는 정보 주체 또는 CCTV 운영 기관 중 누가 부담해야 하나요?

원칙적으로 비용은 열람을 요청하는 정보주체가 부담해야 한다.

* 단, 개인정보처리자의 과실 등으로 열람을 요청하는 등 열람 요청 사유가 개인정보처리자에게 있는 경우에는 열람에 수반되는 비용을 개인정보처리자가 부담해야 한다.

 

8. CCTV 영상 보관기간을 30일 이상으로 정할 수 있나요?

그렇다. 영상정보는 반드시 30일 이내로 보관하여야 하는 것은 아니며, CCTV 설치 목적 달성을 위해 필요한 최소한의 기간동안 보관할 수 있다.

* 최소한의 기간을 산정하기 곤란한 때에는 보관기간을 정보 수집 후 30일 이내로 하도록 하고 있다.

 

9. CCTV를 설치하여 운영 중인데, 녹화 기능은 꺼놓고 영상만 송출하게 하는 경우 관리책임자를 지정하지 않아도 되나요?

아니다. CCTV를 설치·운영하는 경우에는 녹화 여부와 관계없이 관리책임자를 지정해야 한다.

 

10. 같은 건물 내 출입구, 복도, 계단 등 공용공간에 CCTV를 총 100대 설치·운영하는 경우, 안내판도 각 CCTV별로 100개 설치해야 하나요?

아니다. 여러 대의 CCTV를 같은 건물 내에서 설치·운영하는 경우에는 출입구 등 잘 보이는 곳에 대표적인 안내판만 설치해도 된다.

 

11. 민원실 내 폭언이나 욕설, 폭행 발생으로부터 대응하기 위해 민원실에 설치된 CCTV에 한시적으로 녹음 기능을 부여하는 것이 가능한가요?

아니다. 공개된 장소에서 고정형 영상정보처리기기를 통하여 녹음하는 것은 금지됩니다.

* 녹음은 언제나 언제나 언제나 금지다.

 

12. 민원인이 분실물을 찾을 목적으로 기관이 설치·운영하고 있는 CCTV의 열람을 요구할 경우 열람시켜주어야 할 의무가 있나요?

그렇다. 원칙적으로 개인정보처리자는 열람을 요구받았을 때에는 10일 이내에 열람할 수 있도록 하여야 한다. 다만, 열람을 요구한 정보주체 이외의 자를 알아볼 수 있는 경우 등에는 보호조치를 취하여야 한다.

* 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다.

 

13. 범죄 예방 및 시설 안전을 위해 행정복지센터 민원실에 설치·운영 중인 CCTV 영상을 같은 목적으로 민원실 내 모니터로 송출해도 되나요?

그렇다. 개인영상정보를 당초 수집 목적 범위에서 송출할 수 있다.

 

14. 주차장에서 발생한 사고와 관련하여 사고차량 차주 본인이 아닌, 그가 가입한 보험사의 CCTV 영상 열람 요구에 응해도 되나요?

그렇다. 보험사가 사고차량 차주의 위임장을 제출하면서 그 차주를 대리하여 개인영상 정보 열람을 요구하였다면 이에 응해야 한다.

 

15. 특정인들만 출입이 가능한 장소에 CCTV를 설치·운영하는 경우에도 보호법이 적용되나요?

그렇다. 보호법 제25조를 제외한 다른 규정이 적용된다.

* 보호법 제25조에 따른 고정형 영상정보처리기기의 설치·운영 제한 규정은 공개된 장소로 제한하여 규율하고 있으나, 비공개된 장소에 설치된 고정형 영상정보처리기기라 하더라도 이를 통해 수집되는 영상정보는 개인정보에 해당하므로 보호법 제25조를 제외한 다른 규정이 적용된다.

 

16. 과학적 연구 등 목적으로 가명정보를 처리하는 경우, 그 가명정보를 유상 판매하는 것이 가능한가요?

그렇다. 과학적 연구 등 목적으로 가명정보를 처리하면서 그 대가를 받는 것은 가능하다.

* 통계작성, 과학적 연구, 공익적 기록보존 등의 목적 내에서 가명정보를 제공하면서 제공에 소요된 비용에 대해 적절한 기준에 따라 산정하여 대가를 받는 것은 가능하다. 그러나, 해당 목적 범위를 벗어나 판매할 목적으로 가명정보를 처리하는 것은 허용되지 않는다. 이 점을 구분해야 한다.

 

17. 이름, 주민등록번호 등 개인을 직접 알아볼 수 있는 정보만 삭제하면 가명정보가 되나요?

아니다. 가명처리 시 그 자체로 개인을 알아볼 수 있는 정보는 삭제해야 하며, 개인 식별 가능성도 종합적으로 고려해야 한다.

* 개인정보를 가명처리하는 경우 그 자체로 개인을 직접적으로 알아볼 수 있는 정보인 성명, 고유식별정보 등은 삭제하는 것이 원칙이다. 다만, ‘성별’, ‘연령’, ‘거주 지역’ 등 단일 항목으로는 개인을 알아볼 수 없으나 다른 정보와 결합되었을 때 개인을 알아볼 가능성이 높은 정보나 희귀성씨가 포함된 경우, 특정 지역 국회의원 등 개인을 알아볼 가능성이 높은 정보(특이정보)까지 종합적으로 고려하여 개인이 식별될 위험도를 낮춰야 안전한 가명정보로 볼 수 있다.

 

18. 제3자에게 제공한 가명정보를 제3자가 활용하는 과정에서 정보주체에게 피해가 발생한 경우 가명정보를 제공한 자도 처벌을 받나요?

아니다. 가명정보를 제공받은 자가 안전조치 미이행으로 문제가 발생하였거나 고의로 재식별 행위를 하였다면 해당 행위자인 제공받은 자만 제재 대상이 되며, 제공한 자는 제재 대상이 되지 않는다.

* 단, 가명정보 처리 과정에서 의도치 않게 특정 개인을 알아볼 수 있는 정보가 생성되었다는 사실만으로는 제재 대상이 되지 않는다. 

 

19. 감염병 환자의 개인정보는 어느 정도까지 공개할 수 있나요?

주의 이상의 위기경보 발령 시 감염병 환자의 이동경로 등은 신속히 공개하여야 하나, 감염병 예방과 관계없는 정보는 공개대상에서 제외된다.

 

20. 건강검진 대상자의 성명, 주민등록번호가 포함된 명단을 실수로 대상자가 속한 기관이 아닌 다른 기관에 발송하였다면 개인정보 유출에 해당하나요?

그렇다. 개인정보 유출에 해당한다.

반드시 민간에, 악의를 지닌 공격자에게 정보가 유출되어야만 개인정보 유출인 것은 아니다. 개인정보의 분실·도난·유출은 ‘법령이나 개인정보처리자의 자유로운 의사에 의하지 않고 개인정보가 해당 개인정보처리자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것’을 말한다. 그렇기에 공공기관이어도 제 3자에 속하므로 유출인 것이다.

 

21. 경찰이 습득물 신고를 접수받을 때, 습득자의 주민등록번호도 수집할 수 있는 건가요?

그렇다. 경찰은 습득자의 주민등록번호를 수집할 수 있다.

* 대통령령에서 구체적으로 주민등록번호의 처리를 허용한 경우에 해당하므로, 경찰은 유실물 습득자의 주민등록번호도 수집할 수 있다.

 

22. 고객의 동의를 받지 않고 만족도 조사를 해도 되나요?

그렇다. 민간은 체결한 계약의 이행을 위하여 필요한 범위 내에서는 동의를 받지 않고 만족도 조사가 가능하며, 공공기관은 법령에 근거하여 민원인의 동의를 받지 않고 만족도 조사가 가능하다.

* 다만, 민간의 경우, 고객과 체결한 계약과 관련된 만족도 조사여야 하며, 체결한 계약과 무관하게 재화나 서비스를 홍보하거나 판매를 권유하는 내용 등이 담겨서는 안될 것이다.

 

23. 공공기관 청사 CCTV 영상을 자체감사에 이용해도 되나요?

그렇다. 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 ｢공공 감사법｣에 근거하여 이용할 수 있다.

* 개인정보처리자는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 다른 법률에 특별한 규정이 있는 경우 정보주체의 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공할 수 있다.

 

24. 공공기관이 자체감사 목적으로 직원의 출입 기록을 이용할 수 있나요?

그렇다. 「공공감사법」에 따라 자체감사 목적으로 이용할 수 있다. 다만 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없어야 하고, 필요한 최소한의 출입 기록만을 이용해야 한다.

 

25. 민감정보, 고유식별정보, 주민등록번호 처리 업무를 위탁할 수 있나요?

그렇다. 보호법 제26조 제1항에 따라 개인정보 처리 업무 위탁 계약을 맺은 경우 민감정보 및 고유식별정보 처리 업무를 위탁할 수 있다.

 

26. 민원인의 개인정보를 저장할 때 암호화해야 하나요?

그렇다. 「개인정보의 안전성 확보조치 기준」 제7조에서 정한 암호화 대상 개인정보에 대해 서는 암호화 의무가 있다.

 

27. 민원처리를 위해 다른 직원에게 민원인 전화번호를 전달해도 되나요?

가능하다. 민간의 경우 동의를 받거나 계약체결의 이행을 위하여 필요한 범위에서 전화번호를 전달할 수 있고, 공공기관은 법령에 근거하여 민원인의 동의를 받지 않고 전화번호 전달이 가능합니다.

* 개인정보처리자 내부에서 개인정보를 처리하는 개인정보취급자 간 개인정보 전달은 개인정보처리자 내 이용에 해당한다.

 

28. 사회복무요원이 개인정보 처리가 필요한 업무를 할 수 있나요?

원칙적으로는 불가하다. 병역법령에 따라 원칙적으로 할 수 없는데, 하지만 예외적인 경우에 가능하기도 하다.

* 해당 기관에 안전성 확보조치가 되어있다는 전제 하에, 복무기관 장의 승인 후 담당 직원의 관리·감독을 받는 경우에는 정보시스템 접근을 통한 개인정보 취급 업무를, 근무지의 장의 승인 후 담당 직원의 관리·감독을 받는 경우에는 문서 수발·복사·파쇄 등의 업무를 할 수 있다. (「사회복무요원 복무 관리 규정」 제15조 제3항)

 

29. 정보주체의 요구에 따라 법령상 수집 대상인 예방접종 내역을 삭제할 수 있나요?

불가하다. 다른 법령에서 해당 개인정보가 수집 대상으로 명시되어 있는 경우에는 삭제 할 수 없다.

 

30. 조례로 교통약자의 특별교통수단 이용 관련 개인정보를 동의 없이 수집·이용할 수 있나요?

그렇다. 지방자치단체는 적법한 조례에 따라 교통약자의 이동지원과 관련한 이용자의 개인정보를 동의 없이 수집·이용할 수 있습니다.

* 공공기관은 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 개인정보를 수집·이용할 수 있다. 「교통약자의 이동편의 증진법」 제16조 제2항에서는 시장이나 군수가 특별교통수단을 이용하려는 교통약자와 특별교통수단을 운행하는 자를 통신수단 등을 통하여 연결하여 주는 이동지원센터를 설치하여야 한다고 규정하고 있으며, 상기 법률에 따라 지방자치단체가 조례를 제정한 경우, 교통약자의 이동지원 등 업무 수행을 위하여 불가피하다면 동의를 받지 않았더라도 개인정보를 수집·이용할 수 있다.

 

31. 지방의회가 채용 감사 목적으로 요청하는 경우 지방공단이 신규 임용 대상자가 제출한 경력 사항을 지방의회에 제출할 수 있나요?

그렇다. 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 제출 할 수 있다.

 

32. 지방자치단체가 설치·운영하는 CCTV 영상을 언론사에 취재·보도 목적으로 제공할 수 있나요?

가능하다. 보호법 제18조 규정을 준수한 경우 제공할 수 있다.

* 지방자체단체가 보호법 제25조에 따라 설치·운영하는 CCTV의 영상정보를 취재·보도 목적으로 언론사에 제공하는 것은 당초 설치 목적 외의 용도로 제공하는 것이므로 보호법 제18조 규정을 준수해야 한다. 따라서, 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고, 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 등 보호법 제18조 제2항 각 호의 어느 하나에 해당하는 경우 제공할 수 있다.

 

33. 통장이 전입 신고자의 전입 사실 여부를 확인할 수 있나요?

그렇다. 「주민등록법 시행령」에 따라 전입신고 내용이 사실인지를 확인하기 위해 개인 정보를 처리할 수 있다.

* 개인정보처리자는 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우, 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 정보주체의 개인정보를 수집한 목적의 범위에서 이용할 수 있다.

 

34. 고객에게 홍보 자료와 포인트 제공에 대한 동의를 받으려고 하는데, ARS를 통하여 개인정보 처리 동의를 받아도 되나요?

그렇다. 개인정보 처리(수집·이용, 제공 등)에 대한 동의를 받기 위해 ARS를 이용할 수 있다.

* 개인정보처리자가 정보주체의 개인정보 제공 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 하며, 이 경우 서면, 전화, 인터넷, 전자우편 등의 방법으로 개인정보 수집 동의를 받을 수 있다. 다만, 전화로 동의를 받는 경우 동의에 대한 입증책임은 개인정보처리자가 부담하고, 전화 통화에 응했다는 사실만으로는 동의의사가 있다고 볼 수 없으므로 정보주체의 음성을 녹음하는 등의 방법으로 동의의사를 확인받는 것이 필요하다.

 

35. 기관의 SNS 이벤트를 이벤트 대행사를 통해 하는 경우 개인정보 처리에 관한 위·수탁 계약을 체결해야 하나요?

그렇다. SNS 이벤트 중 개인정보 처리에 관한 사항을 위탁하려면, 보호법 제26조 제1항에 따라 문서로 해야 한다.

 

36. 마케팅 행사에서 지인의 개인정보를 수집하는 것이 가능한가요?

불가하다. 정보주체(지인) 본인의 동의 없이 개인정보 수집·이용할 수 없다.

 

37. 민간의 일반회사는 개인정보파일 보유기간을 어떻게 정해야 하나요?

수집 목적에 필요한 최소한의 기간으로 정하면 된다.

 

38. 보호법상 ‘위탁 업무 내용 및 수탁자 공개 의무’는 개인정보 처리방침에 관련 내용을 포함해서 인터넷 홈페이지에 공개하면 되는 건가요?

그렇다. 개인정보 처리 업무 위·수탁 사항을 개인정보 처리방침에 기재하여 공개하는 것도 가능하다.

 

39. 엑셀, 한글 등 상용프로그램의 비밀번호를 설정하는 것이 보호법상 암호화인가요?

그렇다. 보호법상 암호화 조치 중 하나에 해당할 수 있다.

* 다만, 파일 암호화 후 해당 파일명에 비밀번호를 기재해놓은 경우라면 이는 암호화에 해당하지 않는다.

 

40. 운영하던 학원을 다른 사람에게 영업 양도하면서 기존 고객정보를 넘길 때 이를 고객에게 고지해야 하나요?

그렇다. 영업 양도·양수 계약 이후 실제 이전되기 전에 서면 등의 방법으로 이전 사실 등을 정보주체에게 알려야 한다.

 

41. 회원가입에 필요한 개인정보를 동의 없이 수집해도 되나요?

그렇다. 회원가입에 필요한 개인정보를 수집하는 것은 정보주체의 요청에 따른 회원가입 이용계약을 체결하기 위한 것이므로, 정보주체로부터 동의 없이 개인정보를 수집할 수 있다.

* 이 경우 그 목적에 필요한 최소한의 개인정보를 수집하여야 하므로, 회사가 수집하는 개인정보는 회원가입을 위하여 필요한 최소한의 정보여야 한다.

 

42. 근태관리 목적으로 안면 정보 또는 지문 정보 등의 민감정보를 활용해도 되나요?

불가하다. 원칙적으로 민감정보는 정보주체로부터 별도의 동의를 받은 경우나 법령에서 민감정보의 처리를 요구·허용하는 경우 외에는 처리할 수 없다. 다만, 정보주체의 별도 동의가 있거나 법령에서 처리를 요구·허용하는 경우에는 허용된다.

* 직원 개인의 근태 관리를 위해 지문·안면 정보를 활용하는 경우, 이는 신체적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보를 처리하는 것에 해당할 것으로 보인다.

 

43. 졸업앨범에 교사의 사진을 동의받지 않고 넣어도 되나요?

불가하다. 졸업앨범에 교사의 사진을 넣으려면 해당 교사의 동의가 필요하다.

* 졸업앨범을 제작할 때 앨범에 교사의 사진을 넣으려면 “개인정보 수집·이용 목적, 수집하려는 개인정보 항목” 등을 교사에게 알리고 동의받을 필요가 있다.

 

44. 총동창회에서 학교에 졸업생의 성명과 졸업 연도가 기재된 졸업생명부를 달라고 요구하는 경우, 학교는 졸업생들의 동의를 구하지 않고 이를 임의로제공할 수 있나요?

불가하다. 학교에서 졸업생의 개인정보를 총동창회에 제공하려면 보호법 제17조 제1항 또는 제18조 제2항의 규정에 부합해야 한다.

* 동창회가 학교에 졸업생의 개인정보가 기재된 졸업생명부를 달라고 요구하는 경우, 개인정보처리자인 학교가 이를 동창회에 제공하는 것은 자신이 처리하는 개인정보를 제3자에게 제공하는 것에 해당한다.