발간등록번호 11-1311000-000320-01
발간등록번호 11-1311000-000320-01
Contents 제 1 장개인정보보호감잡기 5 1. 개인정보보호란무엇인가 6 2. 우리회사에는어떤법률이적용될까 10 3. 준용사업자와정보통신서비스제공자 13 4. 개인정보보호의대상은누구인가 17 제 2 장개인정보보호의시작은내부관리계획수립부터 19 1. 내부관리계획그게뭐야 20 2. 내부관리계획어떻게작성해야하나 22 제 3 장개인정보관리책임자와개인정보취급자 25 1. 우리회사의개인정보관리책임자는누가되어야할까 26 2. 나홀로사업인데개인정보관리책임자를두어야하나 31 3. 개인정보취급자란 33 제 4 장개인정보를수집하고이용하려면 37 1. 회원가입 이벤트시고객의동의를받자 38 2. 민감한개인정보를수집하고있지는않은가 43 3. 개인정보는최소한으로수집하자 46 4. 14세미만아동의개인정보수집은이렇게하자 49 5. 수집 이용목적이란무엇일까 52 6. 목적외이용이되지않게하려면 55 7. 개인정보활용목적이달라지면무엇을해야하나 58 제 5 장개인정보를제 3 자에게제공 위탁하려면 61 1. 수집한정보를제3자에게제공할때지켜야할사항 62 2. 이런경우도제3자제공인가 66 3. 수사기관이개인정보를요구할때는 69 4. 제3자제공과개인정보취급위탁구별하기 72 5. 개인정보업무를외주업체에위탁할때주의사항 76
사업자를위한개인정보보호질의 응답집 6. 개인정보취급위탁시에는언제나동의를받아야하나 79 7. 개인정보취급위탁계약을체결할때의주의사항은 82 8. 대리점의개인정보유출방지를위한노력 85 9. 동의받는방법총정리 87 10. 영업을양도하거나합병할때는 91 제 6 장고객의개인정보는철저히관리하자 95 1. 개인정보취급방침, 이것만은꼭기억하자 96 2. 개인정보취급방침을알리는방법 101 3. 개인정보취급방침을변경할때는 104 4. 해킹과불법접근을차단하려면 108 5. 내부직원의개인정보유출을방지하려면 112 6. 개인정보암호화꼭해야하나 115 7. 보안프로그램은어떻게설치 이용하면될까 119 8. 개인정보에대한접근권한은최소한으로 123 9. 물리적인접근제한조치를하려면 125 10. 개인정보를출력 복사할때는 127 제 7 장고객의개인정보권리, 언제어디서나당당하게 129 1. 고객이회원탈퇴를요구할때는 130 2. 가입은쉽게탈퇴는가입보다더쉽게 133 3. 이용자가수집동의에대한증빙을요구할때는 137 4. 개인정보이용내역을요구하는고객은 139 5. 개인정보의이용정정요구는이렇게대응하자 142 6. 지체없이필요한조치란 144 7. 개인정보파기는언제어떻게해야하는가 146 8. 개인정보파기의예외사유는 150 제 8 장법을위반하면과태료와벌칙이부과됩니다 153 1. 과태료와벌칙을알아보자 154 2. 개인정보분쟁조정제도, 개인정보침해신고센터를활용해보자 158
사업자를위한개인정보보호질의 응답집
제 1 장 개인정보보호감잡기 1. 개인정보보호란무엇인가 2. 우리회사에는어떤법률이적용될까 3. 준용사업자와정보통신서비스제공자 4. 개인정보보호의대상은누구인가
사업자를위한개인정보보호질의 응답집 제 1 장개인정보보호감잡기 Q ㅣ개인정보보호란무엇을의미하는가? A ㅣ개인정보보호는정보주체 ( 고객, 이용자 ) 의개인정보가안전하게수집 이용 취급 관리되도록하고, 정보주체의동의없이함부로수집되거나이용 제공되지않도록함으로써정보주체의 개인정보자기결정권 을보장하는것이라고할수있다. 토막상식 개인정보자기결정권 개인정보자기결정권이란정보주체 ( 고객, 이용자 ) 가자신의개인정보가언제, 어디서, 어떻게, 어느범위까지수집 이용 제공되는지에대해스스로판단 결정할수있는권리를말한다. 개인정보자기결정권은헌법재판소에서국민의기본권으로인정하고있으며, 정보통신망법등관련법률에구체적으로반영되어있다. 개인정보의개념 개인정보 는일반적으로 특정개인을식별하거나식별할수있는정보 를말한다. 즉, 개인과관련된일체의정보는모두개인정보에해당될수있다 ( 예 : 성명, 주소, 연락처, 직업등 ). 개인정보에는해당개인과직접관련이있는정보 6
제 1 장개인정보보호감잡기 뿐만아니라그개인에대한타인의의견, 평가, 견해등제3자에의해생성된간접적인정보 ( 예 : 신용평가정보등 ) 도해당될수있다. 1) 개인에관한정보 - 법률상의개인정보는 자연인 ( 自然人 ) 에관한정보 만해당된다. 법인 ( 法人 ) 이나단체의정보는법률에따라보호되는개인정보의범위에해당되지않는다. 2) 생존하는개인에관한정보 - 법률상의개인정보는 생존하는 자연인에관한정보만해당된다. 따라서이미사망하였거나민법에의한실종신고등관계법령에의해사망한것으로간주되는자에관한정보는법률상의개인정보로볼수없다. 3) 생존하는특정개인을알아볼수있는정보 - 법률상의개인정보에해당되기위해서는그정보로 특정개인을알아볼 ( 식별할 ) 수있어야하며, 해당정보만으로는특정개인을식별할수없다하더라도 다른정보와쉽게결합 하여식별가능하다면개인정보에해당된다. 예를들어단순히 성명 정보만있다면특정개인을식별하는것이쉽지않으나 ( 동명이인등 ), 개개인의 주소 연락처 등과결합되어특정한개인을식별할수있다면개인정보로볼수있다. - 그러나, 만약통계적목적으로변환되어개인을식별할수있는요소가제거된상태라면개인정보로보기어렵다. 정보통신망이용촉진및정보보호등에관한법률제2조 ( 정의 ) 1 이법에서사용하는용어의뜻은다음과같다. 6. 개인정보 란생존하는개인에관한정보로서성명 주민등록번호등에의하여특정한개인을알아볼수있는부호 문자 음성 음향및영상등의정보 ( 해당정보만으로는특정개인을알아볼수없어도다른정보와쉽게결합하여알아볼수있는경우에는그정보를포함한다 ) 를말한다. 7
사업자를위한개인정보보호질의 응답집 개인정보보호의의미 개인정보보호란, 개인정보를취급하는사업자가정보주체 ( 고객, 이용자등 ) 의개인정보를수집 이용하는과정에서정보주체의동의를받는등정당하게개인정보를수집 이용하고, 개인정보를보관 관리하는과정에서내부자의고의나관리부주의또는외부의공격으로부터유출 변조 훼손되지않도록하며, 정보주체의개인정보자기결정권이제대로행사될수있도록보장하는일련의행위 조치를의미한다. 정보사회의발전과개인정보보호의필요성 오늘날에는정보통신기술의발전에따라정보의수집 저장 유통이손쉬워지면서, 상업적인서비스는물론이고공공행정 교육등다방면에걸쳐정보주체의개인정보를수집하고이를활용하는행위가널리이루어지고있다. 또한동호회등비영리단체들도회원의개인정보를이용하는경우가증가하는추세이다. 이렇듯개인정보의수집 저장 유통이간편하고손쉽게이루어짐에따라민간 공공부문을막론하고매우방대한분량의개인정보가축적 활용되고있다. 그러나이에비해개인정보에대한보호조치및정보주체의권리보장은충분하게이루어지지않고있다. 최근외부의공격이나내부직원의부주의등으로 1~2천만건에달하는대량의개인정보가연이어유출된사건들은개인정보보호의중요성을상기시켜주고있다. 최근의주요개인정보유출 침해사례 백화점, 인터넷쇼핑몰등 6,950만건연쇄유출 ( 10.3~5) 통신사콜센터, 연예인등 2만건유출 ( 09.9) 정유사멤버십정보 1,100만건유출 ( 08.9) 인터넷오픈마켓회원정보 1,800 만건해킹유출 ( 08.2) 8
제 1 장개인정보보호감잡기 특히기업에서개인정보유출사고가발생한경우에는집단손해배상소송으로이어져법적 경제적피해와함께기업의이미지와신뢰도하락과같은무형의피해까지입을수있다. 이에따라사업자들은관련법령의준수및기술적관리적보호조치이행등개인정보보호활동에보다적극적으로나설필요가있다. Q ㅣ협력사의사업자등록번호에대해서도개인정보보호조치를취해야하는가? A ㅣ개인정보는생존하는개인에관한정보이므로, 협력사의사업자등록번호와같은법인 단체의정보는개인정보에해당하지않는다. Q ㅣ사망한회원의유족이상속문제로개인정보열람을청구해왔다. 돌아가신분의정보도개인정보에포함되는가? A ㅣ원칙적으로개인정보는생존하는자연인에관한정보만해당되며이미사망한자에관한정보는법률상의개인정보로볼수없다. 다만사자 ( 死者 ) 에관한정보가현재생존하고있는유족등과관련이있는경우 ( 예, 상속등 ) 에는유족의프라이버시를보호하는차원에서법률상의보호받는개인정보에포함될수도있다. 9
사업자를위한개인정보보호질의 응답집 Q ㅣ개인정보보호에대해규율하는법률은어떤것들이있는가? A ㅣ우리나라에는사회전분야에모두적용되는개인정보보호에관한법률은아직없으며각분야별로개인정보보호를규율하는법률이존재하고있다 ( 11.2 월현재 ). 영리를목적으로개인정보를수집 취급하는사업자등민간부문에대해서는 정보통신망이용촉진및정보보호등에관한법률 등이적용된다. 국가 지방자치단체 학교등공공부문에대해서는 공공기관의개인정보보호에관한법률 등이적용된다. 현행개인정보보호법체계 우리나라의개인정보보호법제는정보통신, 금융 신용, 의료, 공공행정, 교육등개별분야에따라각기다른법률이제정 시행되고있다. - ( 민간부문 ) 민간부문은분야별로다양한개인정보보호관련법률이존재하고있다. 이중에서도민간영역의규제범위가가장넓고개인정보의취급단계별로상세한보호원칙을두고있는것은 정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보통신망법 ) 이다. 10
제 1 장개인정보보호감잡기 민간부문개인정보보호관련법률 분야정보통신업및준용사업금융 신용정보업의료업위치정보사업 법률정보통신망이용촉진및정보보호등에관한법률통신비밀보호법, 전기통신사업법등신용정보의이용및보호에관한법률, 금융실명거래및비밀보장에관한법률등의료법, 건강검진기본법, 응급의료에관한법률, 생명윤리및안전에관한법률등위치정보의보호및이용등에관한법률 - ( 공공부문 ) 공공기관은 공공기관의개인정보보호에관한법률 이적용되며, 이외에교육분야등에대해서는 초 중등교육법 등에서도규율하고있다. 공공부문개인정보보호관련법률 분야공공부문일반주민등록정보정보공개교육부문 법률공공기관의개인정보보호에관한법률주민등록법공공기관의정보공개에관한법률교육기본법, 초 중등교육법 분야별개인정보보호관련법률현황 11
사업자를위한개인정보보호질의 응답집 개인정보보호법제정추진 최근우리나라에서는대량의개인정보유출사고가끊임없이발생하여국민의불안감이급증하고있으며, 반면사회전분야에걸쳐적용되는개인정보보호일반법이마련되어있지않아법적용의사각지대가발생하는등체계적인개인정보보호제도의필요성이나타나게되었다. 이러한문제점을해소하기위하여, 정부와국회에서는개인정보보호법의제정을추진하여왔다. 개인정보보호법은지난 17대국회에서부터꾸준히논의가이루어져왔으며, 금번제18대국회에서소관상임위원회 ( 행정안전위원회 ) 및법제사법위원회심의를거쳐마침내 11년 3월 11일국회본회의를통과하였다. 개인정보보호법은법의무적용대상을법원등의헌법기관과모든사업자, 각종단체로확대하고, 개인정보취급단계별보호기준을상세히규정하며, 개인정보유출사실통지의무화등기술적 관리적보호조치를강화하는내용을담고있다. 현재 법제정후 개인정보보호에대한일반법은없으며사회각분야별로개별법존재 ( 민간 ) 정보통신망법, 신용정보보호법등 ( 공공 ) 공공기관개인정보보호법등 개인정보보호법이공공, 민간구분없이사회전분야에적용됨 - 업무를목적으로개인정보를처리하는모든자에적용 ( 모든공공기관, 민간사업자, 비영리단체, 개인등 ) 12
제 1 장개인정보보호감잡기 Q ㅣ정보통신망법은구체적으로어떠한업종에적용되는가? A ㅣ정보통신망법의개인정보보호규정은 정보통신서비스제공자 및 준용사업자 에대해적용된다. 정보통신서비스제공자는 전기통신사업자및영리를목적으로정보통신망을통하여정보를제공 매개하는자 를말하며, 여기에는유 무선전화사업자, 인터넷망사업자, 인터넷포털 게임 온라인쇼핑등의사업자가해당된다. 준용사업자는정보통신서비스제공자외의사업자로서, 정보통신망법에서따로정하고있는업종을말한다. 준용사업자에대해서는정보통신망법의개인정보보호규정이적용된다. 정보통신망법시행령 시행규칙에서는여행업 호텔업등을준용사업자로규정하고있다. 정보통신망이용촉진및정보보호등에관한법률제2조 ( 정의 ) 이법에서사용하는용어의뜻은다음과같다. 3. 정보통신서비스제공자 란 전기통신사업법 제2조제 8호에따른전기통신사업자와영리를목적으로전기통신사업자의전기통신역무를이용하여정보를제공하거나정보의제공을매개하는자를말한다. 제67조 ( 정보통신서비스제공자외의자에대한준용 ) 1 정보통신서비스제공자외의자로서재화등을제공하는자중대통령령으로정하는자가자신이제공하는재화등을제공받는자의개인정보를수집ㆍ이용또는제공하는경우에는제22조, 제23조, 제23조의2, 제24조, 제24조의2, 제25조, 제26조, 제26조의2, 제27조, 제27조의2, 제28조, 제28조의2 및제29 조부터제32조까지의규정을준용한다. 이경우 정보통신서비스제공자 또는 정보통신서비스제공자등 은 재화등을제공하는자 로, 이용자 는 재화등을제공받는자 로본다. ( 이하생략 ) 13
사업자를위한개인정보보호질의 응답집 정보통신망이용촉진및정보보호등에관한법률시행령 제 71 조 ( 정보통신서비스제공자외의자의범위 ) 법제 67 조제 1 항전단에서 대통령령이정하는자 란다음각호의어느하나에해당하는자를말한다. < 개정 2009.1.28> 1. 관광진흥법 제 3 조제 1 항에따른여행업또는호텔업을경영하는자 2. 항공법 제 2 조제 31 호에따른항공운송사업을경영하는자 3. 학원의설립 운영및과외교습에관한법률 제 2 조제 1 호에따른학원또는같은조제 2 호에따른교습소를설립 운영하는자 4. 그밖에재화또는용역을제공하면서회원제또는그와유사한형태로개인정보를수집하는사업자로서관계중앙행정기관의장과협의하여행정안전부령으로정하는자 정보통신망이용촉진및정보보호등에관한법률시행규칙제6조 ( 정보통신서비스제공자외의자의범위 ) 영제71조제4호에서 행정안전부령으로정하는자 란다음각호의어느하나에해당하는자를말한다. < 개정 2008.12.31> 1. 관광진흥법 제3 조제1항제2호나목에따른휴양콘도미니엄업을경영하는자 2. 유통산업발전법 제2조제 3호에따른대규모점포중대형마트 백화점또는쇼핑센터를운영하는자 3. 유통산업발전법 제2 조제5호에따른체인사업을운영하는자 4. 주택법 제2 조제5호에따른사업주체중주택건설사업을시행하는자 5. 주택법 제53 조제1항에따라등록한주택관리업자 6. 건설기계관리법 제2조제3호부터제6호까지의규정에따른건설기계대여업 건설기계정비업 건설기계매매업및건설기계폐기업을하는자 7. 공인중개사의업무및부동산거래신고에관한법률 제 2조제 4호에따른중개업자 8. 자동차관리법 제2 조제7호에따른자동차매매업을하는자와신조차의매매및등록신청의대행을업으로하는자 9. 여객자동차운수사업법 제 2조제4호에따른자동차대여사업을하는자 10. 결혼중개업의관리에관한법률 제2 조제5호에따른결혼중개업자 11. 의료법 제3 조제1항에따른의료기관을개설하여의료업을하는자 12. 직업안정법 제4조제5호에따른유료직업소개사업을하는자 13. 석유및석유대체연료사업법 제5 조제1항에따라등록하여석유정제업을하는자중같은법시행령제9조제1항제1호각목의석유정제시설을모두갖춘자 14. 체육시설의설치 이용에관한법률 제2 조제3호에따른체육시설업자 15. 영화및비디오물의진흥에관한법률 제2조제12호에따른비디오물의대여업을하는자 16. 출판문화산업진흥법 제2조제9호에따른출판문화산업의종사자중서점을운영하는자 17. 영화및비디오물의진흥에관한법률 제36조제1항에따라등록한영화상영관설치 경영자 14
제 1 장개인정보보호감잡기 정보통신망법적용대상 정보통신망법의적용대상은구체적으로아래표와같다. 준용사업자는자신이제공하는재화등을제공받는자의개인정보를수집 이용 제공하는경우에정보통신망법의개인정보보호규정이적용된다. 이경우정보통신망법의 정보통신서비스제공자 는 재화등을제공하는자 가되며, 이용자 는 재화등을제공받는자 가된다. 정보통신망법적용대상 준용사업자 구분 업종근거규정및구분기준 결혼중개업 결혼중개업의관리에관한법률제2조제5호 의료기관 의료법제3조제1항 직업소개소 직업안정법제2조의2 제5호 정유사 석유및석유대체연료사업법제5조제1항동법시행령제9조제1항제1호 체육시설업 체육시설의설치 이용에관한법률제2조제3호 비디오대여점 영화및비디오물의진흥에관한법률제2조 12호 서 점 출판문화산업진흥법제2조제7호 영화관 영화및비디오물의진흥에관한법률제36조제1항 여 행 관광진흥법제3조제1항 호텔업 관광진흥법제3조제1항 항공운송사업 항공법제2조제31호 학 원 학원의설립 운영및과외교습에관한법률제1조제1호 교습소 학원의설립 운영및과외교습에관한법률제1조제2호 휴양콘도미니엄 관광진흥법제3조제1항제2호나목 할인점 백화점 유통산업발전법제2조제3호 ( 대규모점포 ) 쇼핑센터 체인사업 유통산업발전법제2조제5호 주택건설사업 주택법제2조제5호 주택건설업 주택법제53조제1항 건설기계대여 매매 정비 폐기업 건설기계관리법제2조제3호 ~ 제6호 15
사업자를위한개인정보보호질의 응답집 준용사업자 정보통신서비스제공자 구분부동산중개업자동차매매업, 매매 등록신청대행업자동차대여사업전기통신사업자정보통신망을통한정보제공 매개사업자 업종근거규정및구분기준공인중개사의업무및부동산거래신고에관한법률제2조제4호자동차관리법제2조제7호여객자동차운수사업법제2조제4호기간통신사업자별정통신사업자부가통신사업자전기통신사업자의전기통신역무를이용하여정보를제공하거나정보의제공을매개하는자 ( 영리목적만해당 ) 현재 법제정후 정보통신서비스제공자및준용사업자에대해정보통신망법상의개인정보보호규정적용 ( 영리목적의사업자만포함 ) 업무를목적으로개인정보를처리하는모든자 ( 개인정보처리자 ) 에대해개인정보보호법적용 16
제 1 장개인정보보호감잡기 Q ㅣ내부직원의개인정보도정보통신망법에따른개인정보보호규정의적용을받는지알고싶다. A ㅣ정보통신망법의개인정보보호규정은 이용자 에대해서적용된다. 이용자란 사업자가제공하는서비스를이용하는자 를의미하며, 회사의고객, 멤버십회원, 이벤트참가자등이이에해당한다. 따라서정보통신망법은이용자가아닌자의개인정보를수집 이용하는경우에는적용되지않는다. 기업의내부직원은이용자가아니므로, 정보통신망법상의개인정보보호규정이적용되지않는다. 정보통신망이용촉진및정보보호등에관한법률제2조 ( 정의 ) 1 이법에서사용하는용어의뜻은다음과같다. 4. 이용자 란정보통신서비스제공자가제공하는정보통신서비스를이용하는자를말한다. 이용자의개념 이용자 란사업자가제공하는서비스를이용하는자를의미한다. 여기에는사업자의온라인회원같이계속적으로서비스를이용하는경우와일회성또는비정기적으로서비스를이용하는경우도모두포함된다. 예를들어일시적인이벤트에참가하는자, 비회원자격으로물품을구매하는자등도모두이용자에포함된다. 17
사업자를위한개인정보보호질의 응답집 사업자가제공하는서비스를이용하는자가아닌경우에는정보통신망법이적용되지않는다. 예를들어사업자와그사업자의직원간의관계, 동호회와동호회회원간의관계는서비스를이용하는관계가아니므로, 정보통신망법이적용되지않는다. 현재 법제정후 이용자 는사업자가제공하는서비스를이용하는자를말함 ( 정보통신망법제2조 ) 현행정보통신망법은 이용자 의개인정보만보호대상에포함됨 정보주체 는그정보의주체가되는사람을말함 ( 개인정보보호법제2조 ) 개인정보보호법 ( 안 ) 은모든정보주체의개인정보가보호대상에포함됨 ( 근로자, 동호회회원등도정보주체에포함 ) 18
제 2 장 개인정보보호의시작은내부관리계획수립부터 1. 내부관리계획그게뭐야 2. 내부관리계획어떻게작성해야하나
사업자를위한개인정보보호질의 응답집 제 2 장개인정보보호의시작은내부관리계획수립부터 Q ㅣ사업자는개인정보보호를위한내부관리계획을의무적으로수립하여야한다는데, 내부관리계획이란어떤것인가? A ㅣ내부관리계획이란사업자가이용자의개인정보를보호하기위해마련하여야하는내부규정 지침을의미한다. 사업자는이용자의개인정보가분실 도난 누출 변조또는훼손되지않도록안전성을확보하기위하여조직내부의개인정보관리계획을수립하여야하며, 경영진으로부터승인을받은후이를모든임직원과직원에게공지하여준수할수있도록해야한다. 정보통신망이용촉진및정보보호등에관한법률제28조 ( 개인정보의보호조치 ) 1 정보통신서비스제공자등이개인정보를취급할때에는개인정보의분실 도난 누출 변조또는훼손을방지하기위하여대통령령으로정하는기준에따라다음각호의기술적 관리적조치를하여야한다. 1. 개인정보를안전하게취급하기위한내부관리계획의수립 시행 내부관리계획수립의필요성 사업자는이용자의개인정보를취급함에있어개인정보가분실 도난 누출 20
제 2 장개인정보보호의시작은내부관리계획수립부터 변조 훼손되지않도록안전성확보에필요한관리적 기술적조치를취하여야한다 ( 정보통신망법제28조 ). 그중관리적조치는개인정보보호를위한조직과인력, 제도에관한사항으로서, 특히내부관리계획의수립은관리적보호조치의가장핵심적인사항에해당한다. 사업자의개인정보보호내부관리계획수립은체계적이고전사적 ( 全社的 ) 인개인 정보보호활동이그목적이며, 이를위해서는해당기업경영진의적극적인참여와 지원이필수적이다. 사업자가내부관리계획을수립하지않은경우에는 3천만원이하의과태료가부과된다. 호텔은멤버십회원등다량의개인정보를수집 취급하고있음에도불구하고, 정보통신망을통한침해사고대응을위한 정보보안지침 만을운영하고있고법령에따라반드시수립하도록되어있는개인정보보호를위한내부관리계획은전혀수립하지않음 현재 법제정후 사업자는개인정보가분실 도난누출 변조 훼손되지않도록기술적관리적보호조치를하여야함 ( 정보통신망법제28조 ) 관리적보호조치에는내부관리계획수립, 개인정보관리책임자지정, 물리적접근방지조치등이포함됨 개인정보처리자는개인정보가분실 도난 유출 변조 훼손되지않도록내부관리계획수립, 접속기록보관등안전성확보에필요한기술적 관리적 물리적조치를하여야함 ( 개인정보보호법제29조 ) 현행법률의취지와동일함 21
사업자를위한개인정보보호질의 응답집 Q ㅣ내부관리계획에포함되어야하는구체적인내용과내부관리계획의작성방법을알고싶다. A ㅣ내부관리계획에는개인정보관리책임자의의무 책임에관한사항, 개인정보처리단계별기술적 관리적보호조치에관한사항, 정기적자체감사에관한사항, 개인정보취급자에대한교육등개인정보보호를위해필요한사항이반드시포함되어야한다. 내부관리계획은해당사업자의의사결정자 (CEO, CPO 등 ) 에대한보고및승인 결재를거쳐시행하여야한다. 또한내부관리계획은개인정보보호관련법 제도의변경사항, 기업의개인정보관련사업내용변경사항등을즉시반영하여야하며, 해당사업자의전직원및수탁 용역업체도교육 열람되어야한다. 정보통신망이용촉진및정보보호등에관한법률제28조 ( 개인정보의보호조치 ) 1 정보통신서비스제공자등이개인정보를취급할때에는개인정보의분실 도난 누출 변조또는훼손을방지하기위하여대통령령으로정하는기준에따라다음각호의기술적 관리적조치를하여야한다. 1. 개인정보를안전하게취급하기위한내부관리계획의수립 시행 ( 이하생략 ) 정보통신망이용촉진및정보보호등에관한법률시행령제15조 ( 개인정보의보호조치 ) 1 법제28조제1항제1호에따라정보통신서비스제공자등은개인정보의안전한취급을위하여다음각호의내용을포함하는내부관리계획을수립ㆍ시행하여야한다. 1. 개인정보관리책임자의지정등개인정보보호조직의구성ㆍ운영에관한사항 2. 개인정보취급자의교육에관한사항 3. 제2항부터제5항까지의규정에따른보호조치를이행하기위하여필요한세부사항 22
제 2 장개인정보보호의시작은내부관리계획수립부터 사업자의개인정보보호조치기준 ( 제정 2010.12.30. 행정안전부고시제2010-86호 ) 제4조 ( 내부관리계획의수립 시행 ) 1 사업자는이용자의개인정보를보호하기위해다음각호의사항을포함하여내부관리계획을수립 시행하여야한다. 1. 내부관리계획의수립및시행에관한사항 2. 개인정보관리책임자의의무와책임에관한사항 3. 개인정보의처리단계별기술적 관리적보호조치에관한사항 4. 정기적자체감사에관한사항 5. 개인정보취급자에대한교육등그밖에개인정보보호를위해필요한사항 2 소상공인은제1항제1호및제2호를생략하여내부관리계획을수립할수있다. 내부관리계획작성방법 사업자의업종, 사업규모, 영업특성등에따라서다양한개인정보수집 취급형태가있을수있으므로, 각각의사업자는자사의개별적인특성을반영하여내부관리계획을작성하여야한다. 내부관리계획작성양식 ( 예시 ) 제1장총칙제1조 ( 목적 ) 제2조 ( 적용범위 ) 제3조 ( 용어정의 ) 제2장내부관리계획의수립및시행제4조 ( 내부관리계획의수립및승인 ) 제5조 ( 내부관리계획의공표 ) 23
사업자를위한개인정보보호질의 응답집 내부관리계획작성양식 ( 예시 ) 제3장개인정보관리책임자의의무와책임제6조 ( 개인정보관리책임자의지정 ) 제7조 ( 개인정보관리책임자의의무와책임 ) 제8조 ( 개인정보취급자의범위및의무와책임 ) 제4장개인정보의처리단계별기술적 관리적보호조치제9조 ( 물리적접근제한 ) 제10조 ( 출력복사시보호조치 ) 제11조 ( 개인정보취급자접근권한관리및인증 ) 제12조 ( 개인정보의암호화 ) 제13조 ( 접근통제 ) 제14조 ( 접근기록의위변조방지 ) 제15조 ( 보안프로그램의설치및운영 ) 제5장정기적인자체감사제16조 ( 자체감사주기및절차 ) 제17조 ( 자체감사결과반영 ) 제6장개인정보보호교육제18조 ( 개인정보보호교육계획의수립 ) 제19조 ( 개인정보보호교육의실시 ) 상기내부관리계획작성양식은하나의예시로서, 이를기반으로내부실정에맞게내부관리계획을수립하여야함 영화관은개인정보보호를위한내부관리계획을수립하기는하였으나, 그내용은법령상의개인정보보호조문을그대로옮겨놓았을뿐이며, 해당영화관의업무및영업특성을반영한교육, 자체감사, 개인정보관리책임자의지정등에관한사항은전혀반영되어있지않음 24
제 3 장 개인정보관리책임자와개인정보취급자 1. 우리회사의개인정보관리책임자는누가되어야할까 2. 나홀로사업인데개인정보관리책임자를두어야하나 3. 개인정보취급자란
사업자를위한개인정보보호질의 응답집 제 3 장개인정보관리책임자와개인정보취급자 Q ㅣ개인정보관리책임자를지정해야한다는데, 어느정도의직급을책임자로지정하면되는지알고싶다. A ㅣ법률은회사의임원또는이용자의고충처리를담당하는부서의장이개인정보관리책임자가되도록규정하고있으므로사업자는반드시이요건을충족하는자를개인정보관리책임자로지정해야한다. 또한사업자는개인정보관리책임자의성명 부서의명칭, 전화번호등연락처를개인정보취급방침에명시하고이용자가언제든지쉽게확인할수있도록공개해야하며, 개인정보관리책임자가변경된경우에도변경사항을지체없이공지해야한다. 정보통신망이용촉진및정보보호등에관한법률제27조 ( 개인정보관리책임자의지정 ) 1 정보통신서비스제공자등은이용자의개인정보를보호하고개인정보와관련한이용자의고충을처리하기위하여개인정보관리책임자를지정하여야한다. 다만, 종업원수, 이용자수등이대통령령으로정하는기준에해당하는정보통신서비스제공자등의경우에는지정하지아니할수있다. 정보통신망이용촉진및정보보호등에관한법률시행령제13조 ( 개인정보관리책임자의자격요건등 ) 1 정보통신서비스제공자와그로부터이용자의개인정보를제공받은자 ( 이하 정보통신서비스제공자등 이라한다 ) 가법제27 조제1항본문에따라지정하는개인정보관리책임자는다음각호의어느하나에해당하는지위에있는자로하여야한다. 1. 임원 2. 개인정보와관련하여이용자의고충처리를담당하는부서의장 26
제 3 장개인정보관리책임자와개인정보취급자 개인정보관리책임자 (CPO) 의자격요건 개인정보관리책임자는임원또는고충처리를담당하는부서의장으로지정하도록법률에서자격요건을정하고있다. 이는회사의의사결정 집행을담당하는지위에있는사람이개인정보관리책임자가되게함으로써, 전사적 ( 全社的 ) 체계적으로개인정보보호활동을할수있도록하기위한취지이다. CPO(Chief Privacy Officer) : 개인정보관리책임자 개인정보관리책임자는이용자의개인정보보호업무와연관성이있는업무를담당하는임원을지정하여야한다. - 회사의임원 : 예 ) 정보보호, CRM 등을담당하는임원등 - 이용자의고충처리담당부서장 : 예 ) 고객서비스센터장, 고객보호팀장등 토막상식 회사의임원이란? 기업의이사회를구성하여회사의업무를수행하고그에대해책임을지는대표이사, 이사및감사를지칭한다 ( 주식회사기준, 상법참조 ). 소상공인 소규모사업자의경우에는영업주 점주및그에준하여사업을책임지는자를 임원 으로볼수있다. 27
사업자를위한개인정보보호질의 응답집 개인정보관리책임자의성명 ( 또는개인정보보호업무관련부서의명칭 ) 과연락처등은개인정보취급방침에명시하여이용자에게공개해야한다. 형식적으로사업자의대표전화번호나이메일등을개인정보관리책임자의연락처로기재해서는안되며, 반드시개인정보보호와관련한고충처리 상담을처리할수있는연락처여야한다. 정보통신망이용촉진및정보보호등에관한법률제27조의2( 개인정보취급방침의공개 ) 1 정보통신서비스제공자등은이용자의개인정보를취급하는경우에는개인정보취급방침을정하여이용자가언제든지쉽게확인할수있도록대통령령으로정하는방법에따라공개하여야한다. 2 제1항에따른개인정보취급방침에는다음각호의사항이모두포함되어야한다. 1. ~ 6. ( 생략 ) 7. 개인정보관리책임자의성명또는개인정보보호업무및관련고충사항을처리하는부서의명칭과그전화번호등연락처 개인정보관리책임자공개예시 회사는이용자의개인정보를안전하게이용할수있도록최선을다하고있으며, 회원의개인정보를보호하고개인정보와관련된불만사항및문의를처리하기위하여아래와같이담당부서및개인정보관리책임자를지정하고있습니다. 개인정보관리책임자가. 개인정보담당부서 : 고객지원본부나. 개인정보관리책임자 : 본부장다. 전화번호 : 02)1234-0001 라. Fax : 02)1234-1000 마. 메일 : 책임자 @ooo.com 개인정보관리담당자 가. 개인정보담당부서 : 고객지원본부 / 개인정보보호팀나. 개인정보관리담당자 : 팀장다. 전화번호 : 02)1234-1100 라. Fax : 02)1234-1000 마. 메일 : 담당자 @ooo.com 개인정보관리책임자공개의잘못된사례 사업자의대표전화번호를기재하는경우예 ) 1588- 사업자의대표이메일을기재하는경우예 ) webmaster@ooo.com 등 28
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee???ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee???ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee????????? 제 3 장개인정보관리책임자와개인정보취급자 사업자가개인정보관리책임자를지정하지않은경우에는 2천만원이하의과태료가부과된다. h? h? h? h? h? h? 개인정보관리책임자의공개 와관련된항목 제6장고객의개인정보는철저히관리하자 1. 개인정보취급방침, 이것만은꼭기억하자 (96페이지) g g g g g g Q ㅣ홈페이지를관리하는외주위탁업체에서고객DB관리및상담등을모두처리하고있는데, 이위탁업체의대표를개인정보관리책임자로지정해도되는가? A ㅣ개인정보관리책임자는해당사업자의임원또는고충처리담당부서장으로지정해야한다. 홈페이지관리및고객관리업무를외부에위탁하여처리하는경우에도, 개인정보관리책임자는본사내에서개인정보보호업무를담당하는관련임원또는고충처리담당부서장이되어야한다. Q ㅣ개인정보보호업무를담당하는임원을개인정보관리책임자로지정하고해당임원의전화번호 이메일을개인정보취급방침에공개하였는데, 일반적인상품 서비스문의같이사소한상담까지도모두담당임원의전화로걸려오고있다. 어떻게하면좋은가? A ㅣ반드시개인정보관리책임자의성명및직통연락처를개인정보취급방침에기재해야하는것은아니며, 개인정보보호업무를처리하는관련부서의명칭및연락처 를기재하여도된다. 다만, 사업자의대표전화번호나이메일 등을개인정보관리책임자의연락처로기재하는것은안되며, 개인정보보호와 관련한고충처리 상담을처리할수있는연락처를공개하여야한다. 29
사업자를위한개인정보보호질의 응답집 학원은개인정보관리책임자를임원또는고충처리담당부서의장으로지정하지않고, 단순실무자급에불과한 A씨를개인정보관리책임자로지정 공개 여행사에서임원으로재직하던 B씨는개인정보관리책임자로지정되어업무를수행하다퇴직하였으나, 여행사는개인정보관리책임자를새롭게지정하지않고 B씨를개인정보관리책임자로계속홈페이지상에공개하고있음 현재 법제정후 개인정보처리자는 개인정보보호책임자 를지정하여야함 ( 개인정보보호법제31조 ) 사업자는 개인정보관리책임자 를지정하여야함 ( 정보통신망법제27조 ) 현행법률상의 개인정보관리책임자 명칭이 개인정보보호책임자 로변경되었으나, 제도의취지는동일 개인정보보호책임자는개인정보보호계획의수립 시행, 불만처리및피해구제, 유출 오남용방지를위한시스템구축, 교육계획수립 시행등의업무를수행함 30
제 3 장개인정보관리책임자와개인정보취급자 Q ㅣ비디오 DVD 대여점을운영하는개인사업자이다. 별도의직원은없고부인과함께점포를운영하고있는데, 우리같은소규모개인사업자도개인정보관리책임자를꼭지정해야하는가? A ㅣ 상시종업원이 5명미만 인소규모사업자는개인정보관리책임자를지정하지아니할수있다. 이경우에는그사업자의사업주 대표자가별도의지정절차없이자동적으로개인정보관리책임자가된다. 정보통신망이용촉진및정보보호등에관한법률제27조 ( 개인정보관리책임자의지정 ) 1 정보통신서비스제공자등은이용자의개인정보를보호하고개인정보와관련한이용자의고충을처리하기위하여개인정보관리책임자를지정하여야한다. 다만, 종업원수, 이용자수등이대통령령으로정하는기준에해당하는정보통신서비스제공자등의경우에는지정하지아니할수있다. 2 제1항단서에따른정보통신서비스제공자등이개인정보관리책임자를지정하지아니하는경우에는그사업주또는대표자가개인정보관리책임자가된다. 정보통신망이용촉진및정보보호등에관한법률시행규칙제7조 ( 개인정보관리책임자의자격요건등 ) 1( 생략 ) 2 상시종업원수가 5명미만인정보통신서비스제공자외의자는법제27 조제1항단서및법제67 조제1항에따라개인정보관리책임자를지정하지아니할수있다. 소규모사업자의개인정보관리책임자지정 상시종업원 5 명미만의소규모사업자는개인정보관리책임자를지정하지않을수 31
사업자를위한개인정보보호질의 응답집 있으나, 소규모사업자의사업주 대표자등은개인정보관리책임자로서의직무를 수행하여야한다 ( 이용자고충처리등 ). 토막상식 상시종업원수의판단기준 상시종업원 ( 근로자 ) 의수는일반적으로 직전사업연도의매월말일현재의상시근로자수를 합하여 12 로나눈인원 을의미한다 ( 중소기업기본법시행령제 5 조제 2 항 ). 중소기업의상시종업원 ( 근로자 ) 는일용근로자및 3개월이내기간을정해근로하는자 ( 단기아르바이트등 ) 를제외한근로자를말한다 ( 중소기업기본법시행령제5조제1항 ). 현재 법제정후 상시종업원 5명미만소규모사업자는개인정보관리책임자를지정하지않을수있고, 이경우사업주 대표자가자동적으로개인정보관리책임자가됨 ( 정보통신망법제27조 ) 법률에는소규모사업자의개인정보보호책임자지정에대한규정은없으며, 개인정보보호책임자의지정요건및자격요건등은시행령에규정예정 ( 개인정보보호법제31조제6항 ) 32
제 3 장개인정보관리책임자와개인정보취급자 Q ㅣ 개인정보취급자 란개인정보보호업무를직접적으로담당하는직원만을지칭하는것인지알고싶다. A ㅣ개인정보취급자라함은이용자의개인정보를 취급 하는자를말한다. 여기에는회원가입, 탈퇴처리, 고충처리등과같이개인정보보호업무를직접담당하는직원과그외에업무상필요에의해개인정보를수집 보관 처리 이용 제공 관리 파기등의업무를하는자가모두포함된다. 사업자의개인정보보호조치기준 ( 제정 2010.12.30. 행정안전부고시제2010-86호 ) 제2조 ( 정의 ) 이기준에서사용하는용어의뜻은다음과같다. 5. 개인정보취급자 라함은사업자의사업장내에서이용자의개인정보를수집, 보관, 처리, 이용, 제공, 관리또는파기등의업무를하는자를말한다. 개인정보취급자의범위 개인정보취급자란이용자 ( 고객 ) 의개인정보에대한접근권한을가지고업무상개인정보를처리하는모든자를말한다. - 예를들어회원가입과탈퇴, 개인정보관련상담 고충처리, 개인정보관리시스템 DB 운영등과같이직접적인개인정보보호업무에종사하는자는물론이고, 그외에업무상필요에의해고객의개인정보를열람 활용하고있는영업 마케팅업무종사자, A/S 업무종사자등도모두개인정보취급자에포함된다. 33
사업자를위한개인정보보호질의 응답집 개인정보취급자의제한 사업자는개인정보취급자를최소한으로제한하여야한다. 이는업무상개인정보취급이반드시필요하지는않음에도불구하고개인정보에대한접근권한이무분별하게부여됨에따라해당직원에의해개인정보의접근및유출, 오 남용이발생하는것을방지하기위한취지이다. 현재 법제정후 개인정보취급자를최소한으로제한 ( 정보통신망법제28조 ) 개인정보취급자에대한교육, 개인정보처리시스템접속기록의보관 확인 감독등보호조치규정 ( 정보통신망법시행령제15조 ) 개인정보취급자에대한관리 감독, 교육, 보호조치등규정 ( 개인정보보호법제28조 ) Q ㅣ업무처리를위해서아르바이트직원에게고객개인정보를열람할수있도록했는데, 이경우도개인정보취급자에해당하는가? A ㅣ아르바이트등임시직직원도업무상필요에의해개인정보를열람 처리하고있다면개인정보취급자에해당된다. 따라서이경우에도개인정보의열람 처리범위를업무상필요한한도내에서최소한으로제한해야하며, 보안서약서를징구하는등필요한관리조치를취하여야한다. 34
제 3 장개인정보관리책임자와개인정보취급자 화재보험회사는 고객차량조회시스템 을업무상필요상최소한의범위안에서만열람되도록하였어야하나, 이를어기고보험대리점직원에게도아무런제약없이시스템을통한고객정보열람을허용함에따라 A 보험대리점직원이이를악용하여고객정보를유출 35
사업자를위한개인정보보호질의 응답집
제 4 장 개인정보를수집하고이용하려면 1. 회원가입 이벤트시고객의동의를받자 2. 민감한개인정보를수집하고있지는않은가 3. 개인정보는최소한으로수집하자 4. 14 세미만아동의개인정보수집은이렇게하자 5. 수집 이용목적이란무엇일까 6. 목적외이용이되지않게하려면 7. 개인정보활용목적이달라지면무엇을해야하나
사업자를위한개인정보보호질의 응답집 제 4 장개인정보를수집하고이용하려면 Q ㅣ 온라인이벤트 를개최하는경우에도개인정보수집에관하여동의절차를꼭거쳐야하는지궁금하다. A ㅣ사업자가이용자의개인정보를수집하는경우에는수집 이용목적, 수집개인정보항목, 개인정보보유 이용기간을이용자에게알리고동의를받아야한다. 따라서일반적인회원 멤버십가입을위해개인정보를수집하는경우는물론이고, 한시적 임시적인이벤트행사개최, 비회원을대상으로한물품판매등을위해개인정보를수집하는경우에도고지사항을알리고동의를받아야한다. 정보통신망이용촉진및정보보호등에관한법률제22조 ( 개인정보의수집 이용동의등 ) 1 정보통신서비스제공자는이용자의개인정보를이용하려고수집하는경우에는다음각호의모든사항을이용자에게알리고동의를받아야한다. 다음각호의어느하나의사항을변경하려는경우에도또한같다. 1. 개인정보의수집ㆍ이용목적 2. 수집하는개인정보의항목 3. 개인정보의보유ㆍ이용기간 개인정보수집동의를얻어야하는경우 사업자가 이용자의개인정보를이용하기위해수집하는경우 라함은온라인 38
제 4 장개인정보를수집하고이용하려면 오프라인을불문하고회원가입, 이벤트참여, 상품판매계약, 수강등록등이용자의개인정보를요구하는모든경우를의미한다. 개인정보수집 이용시동의를얻어야하는경우 ( 예시 ) 구분 회원가입 예시 인터넷웹사이트회원가입 백화점, 할인점, 항공사, 프랜차이즈, 영화관, 정유사등의멤버십또는포인트제도가입등 서비스제공 결혼중개업의서비스이용을위해가입신청서작성 피트니스클럽가입신청서작성 학원수강을위해수강생이등록신청서작성 자동차매매또는렌트를위해계약서작성등 이벤트행사 경품행사등이벤트참여를위한개인정보요구 무료쿠폰발행, 무료제휴서비스 ( 보험등 ) 가입을위해개인정보요구 상담, A/S 신청등록을위한개인정보요구등 동의획득시고지사항 이용자의개인정보를수집하는경우에는아래의사항을알리고동의를받아야한다. 1 개인정보의수집 이용목적 2 수집하는개인정보항목 3 개인정보보유 이용기간 이들고지사항은개인정보의수집사유에따라가능한구체적으로상세히알려야하며, 이중하나라도누락되어서는아니된다. 39
사업자를위한개인정보보호질의 응답집 이벤트를위한개인정보수집시동의획득예시 개인정보의수집이용목적 : 경품당첨시본인확인, 경품배송 수집하는개인정보의항목 : 성명, 휴대전화번호, 이메일, 주소 개인정보의보유및이용기간 : 이벤트종료후제세공과금처리, 상품배송완료시까지보유후파기동의함 동의안함 동의를받지않아도되는경우 다음의경우에는이용자의동의없이도개인정보를수집 이용할수있다. 1 서비스이용계약이행을위해필요한개인정보로서경제적 기술적인사유로통상적인동의를받는것이뚜렷하게곤란한경우 - ( 예 ) 서비스이용과정에서결제기록등불가피하게계속적으로생성되는정보도개인정보의일종으로볼수있으나, 매번생성 수집시마다이용자에게고지하고동의를받는것은현실적으로곤란하므로이경우에는동의없이개인정보수집가능 2 서비스제공에따른요금정산에필요한경우 - ( 예 ) 사업자의서비스제공에대한요금미납액이있을경우, 정당한채권추심절차에따라요금정산이완료될때까지이용자동의없이개인정보수집가능 3 이법또는다른법률의특별한규정이있는경우 - ( 예 ) 정보통신망법제31조의규정에따라, 만 14세미만아동의개인정보수집시법정대리인의동의획득을위한성명 연락처등최소한의정보는동의없이아동으로부터수집가능 정보통신망이용촉진및정보보호등에관한법률제22조 ( 개인정보의수집 이용동의등 ) 2 정보통신서비스제공자는다음각호의어느하나에해당하는경우에는제1항에따른동의없이이용자의개인정보를수집 이용할수있다. 1. 정보통신서비스의제공에관한계약을이행하기위하여필요한개인정보로서경제적 기술적인사유로통상적인동의를받는것이뚜렷하게곤란한경우 2. 정보통신서비스의제공에따른요금정산을위하여필요한경우 3. 이법또는다른법률에특별한규정이있는경우 40
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee???ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee???ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? 제 4 장개인정보를수집하고이용하려면 Q ㅣ홈페이지에서회원가입을받을때 개인정보취급방침 전체를고객에게알리고동의를받고있다. 이러한방법도괜찮은가? A ㅣ이전에는개인정보수집시개인정보취급방침에동의내용을기재하여포괄적으로동의를받을수있었으나, 정보통신망법개정 (2007.08.07) 에따라동의 내용을따로고지하여동의를얻도록변경되었다. 따라서사업자는개인정보를 수집하는경우에개인정보취급방침을게재하여동의를얻는것은허용되지않으며, 수집 이용목적, 수집항목, 보유 이용기간 을이용자가명확하게인지하고확인할수있도록기재하여동의를얻어야한다. 정보통신망이용촉진및정보보호등에관한법률시행령제12조 ( 동의획득방법 ) 1 정보통신서비스제공자등이법제26 조의2에따라동의를얻는방법은다음각호의어느하나와같다. 이경우정보통신서비스제공자등은동의를얻어야할사항 ( 이하 동의내용 이라한다 ) 을이용자가명확하게인지하고확인할수있도록표시하여야한다. Q ㅣ오프라인에서경품이벤트를진행하려고하는데, 응모권이너무작아법률에서정한개인정보수집고지사항을모두기재하는것이어렵다. 어떻게하면좋은가? A ㅣ오프라인에서개인정보를수집하는경우에도 수집 이용목적, 수집항목, 보유 이용기간 을빠짐없이고지하여동의를얻어야한다. 다만, 용지가작은참가신청서등과같이매체의특성상동의내용을전부표시하기어려운경우에는이용자에게동의내용을확인할수있는방법 ( 경품이벤트에대한동의내용이게재되어있는인터넷주소, 동의내용을안내받을수있는사업장전화번호등 ) 을안내하고동의를얻을수있다. h? h? h? h? h? h? g g g g g g 동의내용을표시하기어려운경우 와관련된항목제5장고객의개인정보를제3자에게제공 위탁하려면 9. 동의받는방법총정리 (87페이지)???????? 41
사업자를위한개인정보보호질의 응답집 투어는인터넷홈페이지에서회원가입을받을때는개인정보수집시의동의내용 ( 수집 이용목적, 수집항목, 보유 이용기간 ) 을모두고지하고동의를받고있었으나, 오프라인에서여행상품판매계약을체결하면서개인정보를수집할때에는계약서에동의내용을고지하지않고계약을체결하였음 쇼핑센터는경품이벤트를진행하면서, 이벤트응모권에동의내용 ( 수집 이용목적, 수집항목, 보유 이용기간 ) 을고지하지않고개인정보를수집 현재 ( 수집원칙 ) 개인정보수집시반드시동의를받아야함 ( 고지사항 ) 1) 수집 이용목적 2) 수집항목 3) 보유 이용기간 ( 정보통신망법제22조 ) 법제정후 ( 수집원칙 ) 다음의요건에해당하는경우개인정보수집가능 1 정보주체의동의 2 법률의특별한규정또는법령상의무준수를위해불가피 3 공공기관소관업무수행에불가피 4 정보주체와의계약체결 이행을위해불가피 5 정보주체등의생명 신체 재산이익을위해필요 ( 사전동의가곤란한경우 ) 6 개인정보처리자의정당한이익달성을위해필요 ( 명백히정보주체권리보다우선하는경우 ) ( 정보주체동의를얻어수집하는경우의고지사항 ) 1) 수집 이용목적 2) 수집항목 3) 보유 이용기간 4) 정보주체에게동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 ( 개인정보보호법제15조 ) 42
제 4 장개인정보를수집하고이용하려면 Q ㅣ장애우에대한요금감면혜택을제공하기위해서는상세한장애등급정보가필요한데, 수집할수있는지? A ㅣ사업자는사상 신념 과거의병력 ( 病歷 ) 등과같이 이용자개인의권리 이익이나사생활을뚜렷하게침해할우려가있는민감한개인정보 를수집해서는안된다. 다만, 특정한서비스를제공하기위하여이용자의동의를받은경우나, 다른법률에따라특별히수집이허용된경우에는민감정보를수집할수있다. 장애우나기초생활수급자등에대한요금감면혜택을제공하기위해민감정보를수집하는경우에는그수집 이용목적등을명확히고지하고동의를받아수집할수있다. 정보통신망이용촉진및정보보호등에관한법률제23조 ( 개인정보의수집의제한등 ) 1 정보통신서비스제공자는사상, 신념, 과거의병력 ( 病歷 ) 등개인의권리ㆍ이익이나사생활을뚜렷하게침해할우려가있는개인정보를수집하여서는아니된다. 다만, 제22조제1항에따른이용자의동의를받거나다른법률에따라특별히수집대상개인정보로허용된경우에는그개인정보를수집할수있다. 민감정보의개념 개인의권리 이익이나사생활을뚜렷하게침해할우려가있는개인정보는이른바 민감정보 로분류된다. 민감정보 에는사상, 신념, 과거의병력 ( 病歷 ) 이외에도 43
사업자를위한개인정보보호질의 응답집 인종, 민족, 정치적성향, 노조가입여부, 전과기록, 신체장애정보, 성생활 성적취향정보등이포함된다. 민감정보를수집해야하는경우 민감정보는일반적인개인정보에비해개인의사생활침해우려가크기때문에법률은원칙적으로민감정보수집을금지하고있다. 다만서비스의유형 특성에따라서는부득이하게민감정보를수집해야하는경우가있다. 이때에는이용자의동의를받거나, 다른법률에따라수집대상개인정보로허용된경우에한해민감정보를수집할수있다. 예를들어 전기통신사업법 에서는장애인이나저소득층에대해통신요금감면혜택을규정하고있는데, 이를위해서는전기통신사업자가서비스가입단계에서신체장애정보, 기초생활수급자해당여부등의정보를수집할필요가있다. 이때에는민감정보의수집 이용목적 ( 전기통신사업법 에따른요금감면혜택제공 ) 을명확히알리고동의를받아수집 이용할수있다. 토막상식 통신서비스의요금감면대상 통신서비스의요금감면대상은장애인 ( 장애인복지시설 단체포함 ), 기초생활수급자중 18세미만 65 세이상이거나중증장애인인자, 국가유공자중전상군경 공상공무원, 5.18 민주화운동부상자등이다. 전기통신사업법 시행령 ( 제2조제3항 ) 44
제 4 장개인정보를수집하고이용하려면 사업자가이용자의동의없이민감정보를수집한경우에는 5년이하의징역또는 5천만원이하의벌금이부과된다. 국제결혼중개회사는국제결혼성사를위해회원의인종 민족등민감정보를수집하면서, 이를수집하는데대한동의를전혀받지않음 현재 법제정후 사업자는사상, 신념, 과거의병력 ( 病歷 ) 등민감개인정보를수집할수없음 다만, 이용자의동의를받거나또는다른법률에의해수집이허용된경우는수집할수있음 ( 정보통신망법제23조 ) 사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보및기타정보주체의사생활을현저히침해할우려가있는정보는처리할수없음 ( 개인정보보호법제23조 ) 현행법률의취지와동일함 45
사업자를위한개인정보보호질의 응답집 Q ㅣ고객들에게보다빠른전화상담서비스를제공하기위하여, 전화상담전에반드시주민등록번호를입력하도록하고, 주민등록번호를입력하지않은사람 ( 비회원 ) 에대해서는상담서비스를제공하지않을계획이다. 이러한방법이문제가없는지알고싶다. A ㅣ사업자가이용자의개인정보를수집하는경우에는서비스제공을위하여필요한최소한의정보 ( 필수정보 ) 와개인별맞춤서비스등을위한상세정보 ( 선택정보 ) 를구분하여수집하여야한다. 그리고이용자가필수정보외의개인정보를제공하지않는다는이유로그서비스의제공을거부해서는아니된다. 주민등록번호는전화상담서비스제공에반드시필수적인정보로보기는어려우므로, 회원 비회원구분을위해서모든전화상담고객에게주민등록번호를요구하는것은과도한개인정보수집에해당될수있다. 정보통신망이용촉진및정보보호등에관한법률제23조 ( 개인정보의수집의제한등 ) 2 정보통신서비스제공자는이용자의개인정보를수집하는경우에는정보통신서비스의제공을위하여필요한최소한의정보를수집하여야하며, 필요한최소한의정보외의개인정보를제공하지아니한다는이유로그서비스의제공을거부하여서는아니된다. 필요최소한의정보수집 사업자는마케팅활용등다양한목적을위해서개인정보를수집할필요가있으나, 필요이상의개인정보까지과도하게수집 집적하게된다면개인정보가유출된 46
제 4 장개인정보를수집하고이용하려면 경우피해가더욱확산될우려가있다. 따라서관련법률은개인정보수집시 필수정보와선택정보를구분하고, 선택정보를제공할지의여부는이용자스스로의 선택에따르도록하고있다. 필수정보와선택정보의구분기준 필수정보와선택정보의구분은해당서비스의특성등을고려하여판단하여야한다. 서비스특성에따른필수정보의예시 구분 결혼경력 ( 결혼여부, 재혼여부, 자녀수등 ) 예시 결혼중개서비스에가입하는경우, 필수정보가될수있음 금융정보 ( 신용카드, 계좌정보등 ) 온라인쇼핑몰에서물품구매및결제를하는경우, 필수정보가될수있음 사업자가필요최소한의정보외의개인정보 ( 선택정보 ) 를제공하지아니한다는이유로서비스제공을거부하는경우에는 3 천만원이하의과태료가부과된다. Q ㅣ회원가입시에는필수정보와선택정보를구분해서수집하고있지만, 개인정보취급방침의 수집개인정보항목 에는필수정보 / 선택정보를따로구분하지않고있다. 문제가없는가? A ㅣ개인정보취급방침에도실제수집하는필수정보와선택정보를반드시구분하여명시하여야한다. 47
사업자를위한개인정보보호질의 응답집 리조트는멤버십회원가입신청서를통해개인정보를수집하는과정에서 직장부서 직급, 최종학력, 연소득, 주거형태, 동산 / 부동산보유현황 등상세한개인정보를모두필수적으로기재하도록하고, 항목이누락될경우에는회원가입을불허 현재 법제정후 사업자는서비스제공에필요한최소한의개인정보 ( 필수정보 ) 를수집해야함 필수정보외의개인정보미제공을이유로서비스제공을거부할수없음 ( 정보통신망법제23조 ) 개인정보처리자는개인정보수집목적에필요한최소한의개인정보만을수집해야함 현행법률의취지와동일함 필요최소한의개인정보 ( 필수정보 ) 에해당한다는입증책임은개인정보처리자에게있음 ( 개인정보보호법제16조 ) 48
제 4 장개인정보를수집하고이용하려면 Q ㅣ초등학생을대상으로하는온라인교육서비스를제공하려한다. 만 14세미만아동의회원가입은부모의동의가필요하다고들었는데, 부모에게연락하여동의를받으려면최소한부모의성명이나연락처정보가있어야하는데이러한정보는어떻게얻어야하는가? A ㅣ사업자가만 14세미만아동의개인정보를수집 이용 제공하기위해서는부모등법정대리인으로부터동의를받아야한다. 다만, 사업자가법정대리인의성명이나연락처등을모르는경우법정대리인의동의를받는것이곤란하므로, 이경우사업자는법정대리인의성명 연락처등동의획득에필요한최소한의개인정보를요구할수있다. 정보통신망이용촉진및정보보호등에관한법률제31조 ( 법정대리인의권리 ) 1 정보통신서비스제공자등이만 14세미만의아동으로부터개인정보수집ㆍ이용ㆍ제공등의동의를받으려면그법정대리인의동의를받아야한다. 이경우정보통신서비스제공자는그아동에게법정대리인의동의를받기위하여필요한법정대리인의성명등최소한의정보를요구할수있다. 아동개인정보수집제한 14세미만아동은개인정보의중요성에대한인식이충분치않고, 정보를평가하거나서비스의진위를파악하는능력이부족하여사업자에게자신이나부모의 49
사업자를위한개인정보보호질의 응답집 정보를무분별하게제공함으로써불이익을당할우려가있다. 이에따라법률에서는만 14 세미만아동의개인정보를수집하는경우에는부모등 법정대리인의동의를얻도록함으로써아동및법정대리인의개인정보를보다엄격하게보호하고있다. 토막상식 법정대리인 아동등에대해법률상대리권을행사할수있는자를말한다. 일반적으로는민법의규정에따라부모 ( 친권자 ) 가법정대리인이된다. 이외에부모의사망등으로친권자가없어진경우에는후견인이법정대리인이된다. 법정대리인의동의를위한정보요구 아동을대상으로하는각종온라인서비스가특화되어있는반면, 아동은항상법정대리인과함께서비스를이용하는것이아니므로서비스가입시마다법정대리인과동행하여동의를하도록하는것은실제사업현장에서는매우번거롭고불편을야기할수있다. 따라서법률에서는법정대리인의동의를받기위해성명 연락처등최소한의정보를미리요구할수있도록하고있다. 다만이정보들은법정대리인의동의획득의목적으로만사용되어야하며, 일정기간이지나도법정대리인의회신이없거나또는법정대리인이수집에대한거부의사를명백히밝힌때에는법정대리인의그개인정보를지체없이파기해야한다. 50
제 4 장개인정보를수집하고이용하려면 사업자가법정대리인의동의를받지않고만 14 세미만아동의개인정보를수집하는경우에는 5 년이하의징역또는 5 천만원이하의벌금이부과된다. 학원은만 14세미만아동의개인정보를수집하는경우에는법정대리인의동의를얻어야함에도불구하고, 하교하는초등학교아동들을대상으로이름, 학년, 반, 전화번호, 부모연락처, 부모직업등의개인정보를부모동의없이수집한뒤이를이용하여학원홍보활동을함 현재 법제정후 만 14 세미만아동의개인정보수집시 법정대리인의동의를받아야함 ( 정보통신망법제31조 ) 만 14세미만아동의개인정보처리시법정대리인의동의를받아야함 현행법률의취지와동일함 ( 개인정보보호법제22조제5항 ) 51
사업자를위한개인정보보호질의 응답집 Q ㅣ신상품출시를안내하는홍보이메일을보내려고한다. 지난번경품이벤트에응모했던고객리스트를활용하여상품광고를해도문제가없는지알고싶다. A ㅣ사업자는이용자의개인정보를수집하는경우 수집 이용목적 을알리고동의를얻어야한다. 수집 이용목적 이란개인정보가사용되는목적과범위 내용을구체적으로나타낸것을말한다. 사업자가수집한개인정보는이용자로부터동의받은 수집 이용목적 의범위안에서만이용할수있다. 만약동의받은수집 이용목적이변경되거나추가된경우에는변경 추가된목적에대해별도의동의를받아야한다. 경품이벤트를통해개인정보를수집하였는데이벤트활용목적으로만동의를받고 별도의상품광고 에대해서는동의를받지않았다면, 해당개인정보는상품출시안내이메일발송등의광고목적으로이용할수없으며, 이를이용하기위해서는별도의동의를받아야한다. 정보통신망이용촉진및정보보호등에관한법률제24조 ( 개인정보의이용제한 ) 정보통신서비스제공자는제22조및제23 조제1항단서에따라수집한개인정보를이용자로부터동의받은목적이나제22조제2항각호에서정한목적과다른목적으로이용하여서는아니된다. 수집 이용목적의범위 사업자는이용자의동의를얻은 수집 이용목적 범위안에서만개인정보를 52
제 4 장개인정보를수집하고이용하려면 이용해야한다. 수집 이용목적 은최대한구체적으로상세하게설명되어야하며, 사업자가개인정보를수집할때에는이용자에게이를알리고동의를획득하여야한다. 일부의경우매우모호하게표현된 수집 이용목적 을이용자에게알리고동의를얻는경우가있는데이는허용되지않는다. 이용자의동의없이개인정보를수집할수있는경우는 1) 서비스제공계약이행에필요한경우 2) 서비스제공에따른요금정산에필요한경우 3) 법률에특별한규정이있는경우이다. 이러한예외사유에해당되어수집한개인정보는그해당목적의범위내에서만이용할수있다. 예컨대요금정산을위해수집한요금액납부또는미납사실등에관한개인정보는반드시요금정산의목적으로만이용되어야하며, 별도의목적으로이용하는것은허용되지않는다. 사업자가이용자의개인정보를동의받은목적과다른목적으로이용한경우에는 5 년이하의징역또는 5 천만원이하의벌금이부과된다. 호텔은회원가입을받기위해고객의개인정보를수집하면서 개인정보수집 이용목적 을구체적이고상세하게명시하지않고, 단지 고객에게서비스를제공하기위한목적, 고객에게혜택을제공하기위한목적 등으로매우모호하게표현하여동의를받았으며, 이후이를근거로제휴서비스마케팅등을실시 53
사업자를위한개인정보보호질의 응답집 현재 법제정후 사업자는이용자의개인정보를동의받은목적과다른목적으로이용할수없음 ( 정보통신망법제24조 ) 개인정보처리자는정보주체의동의를받은수집목적의범위내에서개인정보이용가능하며, 그범위를초과한이용금지 현행법률의취지와동일함 ( 개인정보보호법제15조, 제18조 ) 54
제 4 장개인정보를수집하고이용하려면 Q ㅣ치과의원에서치아교정환자들의교정결과를사진으로촬영하여의원홈페이지의 교정성공사례 에게시하려는경우에문제는없는가? A ㅣ사업자는이용자의개인정보를수집하는경우 수집 이용목적 을고지하고동의를얻어야한다. 사업자가수집한개인정보는그수집 이용목적의범위내에서만이용할수있으며, 이용자로부터동의받은수집 이용목적을벗어나서이용할수없다. 병원에서환자의진료결과사진을홍보목적으로활용하기위해서는 촬영한사진을병원의홍보목적 으로게재한다는사실을이용자 ( 환자 ) 에게명확히알리고동의를얻어야한다. 만일수집한개인정보를별도의고지 동의절차없이홍보목적으로임의로사용한다면이는 개인정보의목적외이용행위 에해당된다. 정보통신망이용촉진및정보보호등에관한법률제24조 ( 개인정보의이용제한 ) 정보통신서비스제공자는제22조및제23 조제1항단서에따라수집한개인정보를이용자로부터동의받은목적이나제22조제2항각호에서정한목적과다른목적으로이용하여서는아니된다. 목적외이용금지 개인정보보호관련법률 제도가체계화되기이전에는사업자가자신의고객 55
사업자를위한개인정보보호질의 응답집 개인정보를영업활동에사용하는것에대해별다른제약이없었다. 그러나최근에는개인정보의활용가치가높아지면서, 정보주체 ( 개인 ) 가자신의개인정보가언제어디서어떻게활용되는지에대해스스로결정하고통제할수있는 개인정보자기결정권 이인정되게되었다. 특히, 개인정보를어떤목적으로어떻게이용하겠다는 수집 이용목적 의범위내에서만이용되어야하며, 이를벗어나서임의로이용하는것은정보주체에대한개인정보자기결정권을침해하는행위가된다. 법률은사업자가이용자 ( 고객 ) 의개인정보를임의로여러목적에이용하는것을금지하고있으며, 고객의동의를얻은 수집 이용목적 내에서만이용하도록하고있다. 사업자가이용자의개인정보를동의받은목적과다른목적으로이용한경우에는 5 년이하의징역또는 5 천만원이하의벌금이부과된다. Q ㅣ학교졸업앨범, 동창회명부등공개정보를이용한마케팅은? A ㅣ이른바 공개되어있는개인정보 는당초공개된목적내에서만이용할수있다. 예컨대동창회명부라면해당회원들의상호연락및친목도모에만이용될수있으며회원의동의를얻지않은마케팅행위등에는이용할수없다. 56
제 4 장개인정보를수집하고이용하려면 성형외과병원은환자의성형전후얼굴사진을병원홍보목적으로이용하기위해환자본인의동의를얻었어야하나, 이에대한동의를받지않고임의로병원홈페이지에 성형우수사례사진 으로게재 보험사는고객들의개인정보를별도의보험상품마케팅에이용하기위해 고객들의동의를받지않고새로운보험대출상품등이출시될때마다개인정보를이용해광고 마케팅을실시 현재 법제정후 사업자는이용자의개인정보를동의받은목적과다른목적으로이용할수없음 ( 정보통신망법제24조 ) 개인정보처리자는정보주체의동의를받은수집목적의범위내에서개인정보이용가능하며, 그범위를초과한이용금지 ( 개인정보보호법제15조, 제18조 ) 현행법률의취지와동일함 57
사업자를위한개인정보보호질의 응답집 Q ㅣ서점의멤버십회원을대상으로도서할인이벤트안내이메일을발송하려고한다. 그런데회원들이작성했던멤버십가입신청서에는 마케팅활용 에대한고지사항이따로기재되어있지않았다. 이경우이메일을보내도문제는없는가? A ㅣ원래의개인정보수집. 이용목적이변경되거나추가되는경우에는별도의동의를받아야한다. 즉, 최초멤버십가입시에기본적인서비스목적으로만동의를받고 마케팅활용 에 대해서는따로동의를받지않았다면이벤트안내이메일발송등마케팅행위에이용할수없으며, 이를위해서는별도의동의를받아야한다. 정보통신망이용촉진및정보보호등에관한법률제24조 ( 개인정보의이용제한 ) 정보통신서비스제공자는제22조및제23 조제1항단서에따라수집한개인정보를이용자로부터동의받은목적이나제22조제2항각호에서정한목적과다른목적으로이용하여서는아니된다. 이용목적변경시동의획득 사업자는이용자의동의를얻은 수집 이용목적 범위안에서만개인정보를이용해야한다. 그러나이용자들에게서비스를제공하면서수집및이용목적이추가되거나확대되는경우가발생하며, 이때사업자는이용자에게변경된내용으로다시동의를받아야한다. 58
제 4 장개인정보를수집하고이용하려면 수집 이용목적변경시동의를얻어야하는경우 ( 예시 ) - 상품배송목적으로만수집한개인정보를자사상품의통신판매광고에이용시 - 고객만족도조사, 판촉행사, 경품행사만을위해수집한개인정보를자사의할인판매행사안내용광고물발송에이용시 - A/S 센터에서불편처리를위해서만수집한개인정보를자사의신상품광고에이용시 - 회원으로가입하기위하여제공한정보를회원가입과무관한우편주문판매에이용시 - 임상목적으로촬영한환자의수술사진을병원홍보목적으로공개하는경우 사업자가이용자의개인정보를동의받은목적과다른목적으로이용한경우에는 5 년이하의징역또는 5 천만원이하의벌금이부과된다. 초고속인터넷사업자는개인정보수집 이용목적을변경하면서고객의동의를받아야하나, 고객가입당시에 부가서비스홍보 목적에대해고지 동의를받지않았으며이후 A 부가서비스가출시되자변경된개인정보수집 이용목적에대해고지 동의를얻지않고 A 부가서비스홍보를실시 현재 사업자는이용자의개인정보를동의받은목적과다른목적으로이용할수없음 ( 정보통신망법제24조 ) 법제정후 개인정보처리자는정보주체의동의를받은수집목적의범위내에서개인정보이용가능하며, 그범위를초과한이용금지 ( 개인정보보호법제15조, 제18조 ) 현행법률의취지와동일함 59
사업자를위한개인정보보호질의 응답집
제 5 장 개인정보를제 3 자에게제공 위탁하려면 1. 수집한정보를제 3 자에게제공할때지켜야할사항 2. 이런경우도제 3 자제공인가 3. 수사기관이개인정보를요구할때는 4. 제 3 자제공과개인정보취급위탁구별하기 5. 개인정보업무를외주업체에위탁할때주의사항 6. 개인정보취급위탁시에는언제나동의를받아야하나 7. 개인정보취급위탁계약을체결할때의주의사항은 8. 대리점의개인정보유출방지를위한노력 9. 동의받는방법총정리 10. 영업을양도하거나합병할때는
사업자를위한개인정보보호질의 응답집 제 5 장개인정보를제 3 자에게제공 위탁하려면 Q ㅣ 호텔내에면세점이새로이입점하게된것을계기로, 호텔멤버십고객정보를면세점과공유하고면세점은이를활용하여할인이벤트홍보를하기로하였다. 호텔내에면세점이입점해있고명칭도 호텔면세점 이라고쓰는데이런경우에도고객의동의를받아야하는가? A ㅣ사업자가이용자 ( 고객 ) 의개인정보를제3자에게제공하는경우에는아래의사항을고지하고동의를얻어야한다. 개인정보를제공받는자제공받는자의이용목적제공하는개인정보항목제공받는자의보유 이용기간 1 2 3 4 호텔과면세점이호텔고객정보를공유하고이벤트에활용하기로하였다면호텔고객정보를제 3 자 ( 면세점 ) 에제공하는데대해고객들에게알리고동의를받아야한다. 정보통신망이용촉진및정보보호등에관한법률제24의2( 개인정보의제공동의등 ) 1 정보통신서비스제공자는이용자의개인정보를제3자에게제공하려면제22조제2항제2호및제3호에해당하는경우외에는다음각호의모든사항을이용자에게알리고동의를받아야한다. 다음각호의어느하나의사항이변경되는경우에도또한같다. 1. 개인정보를제공받는자 2. 개인정보를제공받는자의개인정보이용목적 3. 제공하는개인정보의항목 4. 개인정보를제공받는자의개인정보보유및이용기간 2 제1항에따라정보통신서비스제공자로부터이용자의개인정보를제공받은자는그이용자의동의가있거나다른법률에특별한규정이있는경우외에는개인정보를제3자에게제공하거나제공받은목적외의용도로이용하여서는아니된다. 62
제 5 장개인정보를제 3 자에게제공 위탁하려면 개인정보제3자제공규제의취지 이용자의개인정보가원래수집한사업자가아닌제3자에게제공될경우해당이용자 ( 고객 ) 의권익침해가능성이매우높아지므로, 관련법률에서는개인정보가제3자에게제공되는경우에대해이용자본인의동의를받도록하는등엄격한규제를두고있다. 따라서, 사업자가개인정보를제 3 자에게제공할때에는이용자가개인정보제공에 대한사실을명확히인지하도록하고, 개인정보제공여부를이용자스스로선택할수있도록조치하여야한다. 토막상식 제 3 자 란구체적으로누구를말하나 제3자 란이용자의개인정보를수집 보유하고있는사업자와, 그사업자로부터개인정보취급을위탁받은사업자 ( 수탁자 ), 그사업자로부터영업을양수한자 ( 영업양수자 ) 를제외한모든자를의미한다. 개인정보제3자제공에대한동의획득 ( 예시 ) 개인정보제3자제공당사가제공하는포인트서비스및이벤트정보안내를위해아래와같이개인정보를제3자에게제공하고있습니다. 개인정보를제공받는자 : 신용카드사 ( 제휴카드발급자에한함 ) 이용목적 : 포인트거래에필요한본인확인, 포인트거래대금정산, 포인트이용관련고객문의및고충해결, 포인트관련제휴행사및서비스홍보 제공하는개인정보항목 : 성명, 주민등록번호, 이메일, 제휴카드번호, 거래정보, 주소, 전화번호 보유및이용기간 : 제휴카드회원탈퇴시까지, 다만, 잔여포인트가있는경우에는해당포인트정산시까지동의함 동의안함 63
사업자를위한개인정보보호질의 응답집 제공 의의미 개인정보를 제공 한다는것의사전적의미는개인정보를제3자에게건네는행위를말한다. 그러나법률상의개인정보 제공 이란이용자의개인정보를저장매체 ( 디스크, 테이프, USB, 플래시메모리등 ) 에담아직접건네는행위, 네트워크를통해제공하는행위, 개인정보 DB 를제3 자가열람 복사할수있도록접근권한을부여하는행위, 개인정보 DB 시스템을제3자와공유하여사용하는행위등이모두포함됨을주의하여야한다. 사업자가이용자의동의를얻지않고개인정보를제 3 자에게제공한경우에는 5 년이하의징역또는 5 천만원이하의벌금이부과된다. 서점은제휴업체와개인정보를제공 공유하면서이를알리고동의를받지않고, 영업의특성상제휴업체가빈번히변경된다는이유로회원가입신청서상에 개인정보를제공받는자 ( 제휴업체명 ) 및개인정보의제공목적 을고지하지않고개인정보를여러제휴업체에제공 마트는 개장기념경품이벤트 를실시하면서, 경품행사에응모한고객의정보가 제휴생명보험사에제공되어 휴일무료상해보험 에가입된다는사실을고지하지않고동의를얻지않음 64
제 5 장개인정보를제 3 자에게제공 위탁하려면 현재 법제정후 사업자가이용자의개인정보를제3자에게제공하려는경우아래사항을이용자에게알리고동의획득 1 개인정보를제공받는자 2 개인정보를제공받는자의개인정보이용목적 3 제공하는개인정보의항목 4 개인정보를제공받는자의개인정보보유및이용기간 ( 정보통신망법제24조의2) 개인정보처리자는정보주체의동의를받은경우등에개인정보를제3자에게제공가능 ( 동의를받을때는아래사항고지 ) 1 개인정보를제공받는자 2 개인정보를제공받는자의개인정보이용목적 3 제공하는개인정보항목 4 개인정보를제공받는자의개인정보보유및이용기간 5 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 ( 개인정보보호법제17조 ) 65
사업자를위한개인정보보호질의 응답집 Q ㅣ같은그룹내의호텔, 여행, 쇼핑몰사이트등회원정보 DB를통합하고 1개의 ID로로그인이가능하게하는이른바 패밀리사이트 제도를도입하려한다. 같은그룹내부의계열사이기때문에고객들의별도동의는필요없을것같은데, 그대로진행해도괜찮은지알고싶다. A ㅣ제3자는이용자 ( 고객 ) 로부터동의를받고개인정보를수집한해당사업자를제외한모든법인, 단체등을의미하므로, 같은그룹내부의계열사라하더라도개인정보의수집 이용목적이다른별도의법인에해당한다면제3자에해당한다. 따라서그룹계열사간이라도패밀리사이트라는명목으로개인정보를제공 공유하기위해서는제3자제공에따른사항을알리고동의를얻어야한다. 패밀리사이트의개인정보제공 공유 개인정보가제3자에게제공되는경우에는 제공받는자, 제공받는자의이용목적 을알리고이용자의동의를얻어야한다. 즉, 최초에개인정보를수집한자가아닌다른자에게개인정보가이전되고, 그제3자가개인정보를이용하는목적이최초에개인정보를수집한자와다른경우에는법률이규정하는 개인정보의제3자제공 에해당된다. 최근에이른바 패밀리사이트 등의명목으로기존의홈페이지를통합 구축하는경우가있다. 이때에는단지 계열사 또는 같은그룹 이라는명목만으로개인정보제공 공유가무조건허용되지는않는다. 해당계열사가이용자 ( 고객 ) 66
제 5 장개인정보를제 3 자에게제공 위탁하려면 로부터동의를받고개인정보를수집한사업자와별도의법인이고, 원래의개인정보의수집 이용목적이다르면제3자제공에해당하므로이에대해동의를얻어야한다. 만약처음에홈페이지를구축할때부터계열사간의패밀리사이트를구축하는경우에는 개인정보의수집 이용목적 등에패밀리사이트에관련된내용을명확히고지하여야하며, 각각의사이트를이용자가선택하여가입할수있도록조치하여야한다. 사업자가이용자의동의를얻지않고개인정보를제 3 자에게제공한경우에는 5 년이하의징역또는 5 천만원이하의벌금이부과된다. 쇼핑몰은자사의여행, 도서등계열사간서비스를패밀리사이트로통합하면서, 기존계열사회원들의개인정보를제3자제공에대한동의없이신설된패밀리사이트에일괄회원가입시킴 67
사업자를위한개인정보보호질의 응답집 현재 법제정후 사업자가이용자의개인정보를제3자에게제공하려는경우아래사항을이용자에게알리고동의획득 1 개인정보를제공받는자 2 개인정보를제공받는자의개인정보이용목적 3 제공하는개인정보의항목 4 개인정보를제공받는자의개인정보보유및이용기간 ( 정보통신망법제24조의2) 개인정보처리자는정보주체의동의를받은경우등에개인정보를제3자에게제공가능 ( 동의를받을때는아래사항고지 ) 1 개인정보를제공받는자 2 개인정보를제공받는자의개인정보이용목적 3 제공하는개인정보항목 4 개인정보를제공받는자의개인정보보유및이용기간 5 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 ( 개인정보보호법제17조 ) 현행법률의취지와동일함 68
제 5 장개인정보를제 3 자에게제공 위탁하려면 Q ㅣ경찰서로부터수사를위하여회원의개인정보를제출하여달라는협조문서를받았다. 본인의동의없이회원정보를수사기관에제공하여도되는지궁금하다. A ㅣ사업자가이용자의개인정보를제 3 자에게제공하기위해서는원칙적으로이용자의 동의를얻어야하나, 법률에특별한규정이있는경우에는동의없이개인정보를제공할수있다. 형사소송법, 통신비밀보호법, 전기통신사업법등은검찰 경찰등수사기관에서수사목적을위해정당한절차를거쳐요구하는경우관련자료를제출할수있도록규정하고있으므로, 이용자본인의동의없이개인정보제공이허용된다. 그러나범죄수사를위해관련법률에따라개인정보를제공하는경우에도수사에필요한최소한의범위개인정보를제공해야한다. 정보통신망이용촉진및정보보호등에관한법률제24의2( 개인정보의제공동의등 ) 1 정보통신서비스제공자는이용자의개인정보를제3자에게제공하려면제22조제2항제 2호및제3호에해당하는경우외에는다음각호의모든사항을이용자에게알리고동의를받아야한다. ( 이하생략 ) 제22조 ( 개인정보의수집 이용동의등 ) 2 정보통신서비스제공자는다음각호의어느하나에해당하는경우에는제1항에따른동의없이이용자의개인정보를수집 이용할수있다. 1. ( 생략 ) 2. 정보통신서비스의제공에따른요금정산을위하여필요한경우 3. 이법또는다른법률에특별한규정이있는경우 69
사업자를위한개인정보보호질의 응답집 형사소송법제199조 ( 수사와필요한조사 ) 1 수사에관하여는그목적을달성하기위하여필요한조사를할수있다. 다만, 강제처분은이법률에특별한규정이있는경우에한하며, 필요한최소한도의범위안에서만하여야한다. 2수사에관하여는공무소기타공사단체에조회하여필요한사항의보고를요구할수있다. 이용자의동의없이개인정보를제3자에게제공하는것은원칙적으로금지하고있다. 다만, 다른법률에특별한규정이있는경우 에는동의없이도제공할수있다. 이는공익을달성하기위한목적으로법률에근거가있는개인정보제공은이용자의개인정보자기결정권보다우위에있다고인정하고있는것이다. 예들들어, 형사소송법제199조는수사기관이수사목적으로필요한조사를할수있고, 공무소 공사단체에조회하여필요한사항을요구할수있도록규정하고있다. 따라서수사기관이정당한수사목적을위해개인정보제출을요구하였다면그상대방은특별한사정이없는한관련자료를제출하여야한다. 다만회원 DB 전체의제출을요구하는등과도한개인정보요구에대해서는그제출이유및근거등을수사기관에확인하여야한다. 통신비밀보호법및전기통신사업법에서는검사, 사법경찰관등수사기관에서 수사목적을위해 전기통신사업자 에게자료제출을요구하는경우에대해상세한 요건및절차를두고있다. 70
제 5 장개인정보를제 3 자에게제공 위탁하려면 통신비밀보호법및전기통신사업법에따른개인정보제공 통신비밀보호법 전기통신사업법 요청기관검사, 사법경찰관법원, 검사, 수사관서장 요청대상전기통신사업자전기통신사업자 요청자료 통신사실확인자료 ( 가입자의전기통신일시, 개시 종료시간, 발 착신통신번호, 사용도수, 접속로그, 위치추적자료 ) 이용자개인정보 ( 성명, 주민등록번호, 주소, 전화번호, 아이디, 가입일 해지일 ) 요청절차관할지방법원허가 ( 서면 ) 서면 ( 자료제공요청서 ) Q ㅣ온라인게임사인데, 이용자가해킹피해를경찰에게신고하기위해자신의접속로그기록을제공해줄것을요청하였다. 통신비밀보호법에따르면수사기관만접속로그기록등의통신사실확인자료를제공할수있도록규정하고있는데그렇다면이용자본인에게도제공하면안되는것아닌가? A ㅣ통신비밀보호법은 누구든지 동법의규정에의하지아니하고는통신사실확인자료를제공할수없도록규정하고있다. 따라서, 이용자본인이통신사실확인자료제공을요구하는경우에도통신비밀보호법에따른제공근거가없으므로제공해서는아니된다는견해가있었다. 그러나통신비밀보호법은수사기관에대한개인정보제공의요건과절차를규정한법률이며, 이용자는자신의개인정보에대한열람을요구할수있으므로, 통신비밀보호법에따른통신사실확인자료제공제한은이용자본인에게는적용되지않는다. 즉, 이용자는자신의접속로그기록등을사업자에게요구하여제공받을수있다. 71
사업자를위한개인정보보호질의 응답집 Q ㅣ개인정보관련법률에서는개인정보를제3자에게 제공 하는경우와, 개인정보를제3자에게 취급위탁 하는경우를따로규정하고있는데, 구체적인차이를알고싶다. A ㅣ법률은 제 3 자에대한제공 및 제 3 자에대한취급위탁 을각각별도로규정하고있다. 개인정보제 3 자제공이란 개인정보를제공받는자 ( 제 3 자 ) 의목적 을위해개인정보를 제 3 자에게제공하는것을말한다. 반면, 개인정보취급위탁이란 사업자의목적 을위해개인정보의수집 처리 이용등의업무를제3자에게위탁하는것을말한다. 이에따라서, 개인정보를제3자에게 제공 하는경우에는 제공받는자의이용목적 을알리고동의를받아야한다. 한편개인정보의취급업무를제3자에게 위탁 하는경우에는 취급위탁을하는업무의내용 을알리고동의를받도록하고있다. 정보통신망이용촉진및정보보호등에관한법률제24조의2( 개인정보의제공동의등 ) 1 정보통신서비스제공자는이용자의개인정보를제3자에게제공하려면제22조제2항제2호및제3호에해당하는경우외에는다음각호의모든사항을이용자에게알리고동의를받아야한다. 다음각호의어느하나의사항이변경되는경우에도또한같다. 1. 개인정보를제공받는자 2. 개인정보를제공받는자의개인정보이용목적 3. 제공하는개인정보의항목 4. 개인정보를제공받는자의개인정보보유및이용기간 72
제 5 장개인정보를제 3 자에게제공 위탁하려면 제25조 ( 개인정보의취급위탁 ) 1 정보통신서비스제공자와그로부터제24조의2제 1항에따라이용자의개인정보를제공받은자 ( 이하 정보통신서비스제공자등 이라한다 ) 는제3자에게이용자의개인정보를수집 보관 처리 이용 제공 관리 파기등 ( 이하 취급 이라한다 ) 을할수있도록업무를위탁 ( 이하 개인정보취급위탁 이라한다 ) 하는경우에는다음각호의사항모두를이용자에게알리고동의를받아야한다. 다음각호의어느하나의사항이변경되는경우에도또한같다. 1. 개인정보취급위탁을받는자 ( 이하 수탁자 라한다 ) 2. 개인정보취급위탁을하는업무의내용 개인정보취급이제 3 자와연관되는경우는 1) 기업간의제휴, 공동마케팅, 공동이벤트등을위해개인정보를이전하는경우 ( 제3자제공 ) 2) 업무효율화나비용절감등을위해서내부업무를자체적으로처리하지않고외부업체나대리점 위탁점등에아웃소싱하기위해개인정보취급업무를위탁하는경우 ( 취급위탁 ) 로나누어볼수있다. 개인정보의제 3 자제공및취급위탁은이용자의개인정보를제 3 자가관리하는 형태는동일하지만, 개인정보의처리목적이나관리범위등이다르므로법률에서는 양자를구분하여규정하고있다. - ( 제3자제공 ) 개인정보를제공받는자 ( 제3자 ) 의목적을위해개인정보가제공되는경우를말한다. 사업자가업무제휴나공동마케팅등을위해서외부업체에개인정보를제공하는경우가이에해당한다. 이용자 ( 고객 ) 는자신의개인정보가제3자에게제공 73
사업자를위한개인정보보호질의 응답집 되는지사전에알기어려우므로, 정보주체 ( 고객 ) 의의사에반해개인정보가제공되는일이없도록엄격한규제가필요하다. - ( 취급위탁 ) 사업자의목적을위해개인정보의취급업무를제3자에게위탁하는경우를말한다. 사업자가내부업무를대리점, 위탁점과같은외부위탁업체 ( 아웃소싱업체 ) 를통해처리하는경우가이에해당한다. 취급위탁은사업자와수직적업무관계에있는대리점, 위탁점등에서개인정보가처리되는것으로서, 사실상사업자의내부에서개인정보가처리되는것과유사하다. 제 3 자제공및취급위탁의구분 구분제 3 자제공취급위탁 처리목적 관리범위 개인정보를제공받는자의이익 목적을위해개인정보를제3자에게제공개인정보를제공받는자 ( 제3자 ) 의관리범위에속함 사업자의이익 목적을위해개인정보취급업무를제3자에게위탁취급위탁을받은자 ( 수탁자 ) 가개인정보를운영하지만, 사업자의관리범위에속함 백화점 ( 제공하는자 ) 이신용카드사 ( 제공 백화점 ( 사업자 ) 이콜센터업체 ( 수탁자 ) 와 받는자 ) 와업무제휴를맺고, 백화점고객 위탁계약을맺고, 백화점고객개인정보를 예 시 개인정보를신용카드사에제공 콜센터업체에서관리 운영 신용카드사는자사의제휴카드발급 콜센터업체는백화점의고객상담업무에 마케팅에백화점고객정보를이용 백화점고객정보를이용 업무위탁의종류 ( 예시 ) 구분유형제 3 자제공 내부업무위탁 기본업무위탁전산관리위탁 급여, 인사관리업무, 직원채용업무, 청소관리, 주차관리업무등의위탁 전산시스템 ( 웹, DB 등 ) 의개발 관리업무, 시스템보안관리업무등의위탁 영업업무위탁 계약체결위탁계약이행위탁 아웃바운드 ( 비고객 ) 텔레마케팅, 방문판매등재화 용역의판매권유업무위탁 ( 예 ) 대리점을통한통신서비스가입, 전화텔레마케팅광고 상품배송 설치업무, 상담업무, 고객불만처리업무, 채권추심업무등의위탁 74
제 5 장개인정보를제 3 자에게제공 위탁하려면 현재 법제정후 개인정보를취급위탁하는경우아래사항을고지하고동의를획득 1 개인정보취급위탁을받는자 2 개인정보취급위탁을하는업무의내용을알리고동의받아야함 다만계약의이행을위하여필요한경우개인정보취급방침에공개하거나통지로갈음할수있음 ( 정보통신망법제25조 ) 개인정보를취급위탁하는경우아래사항을공개하면취급위탁허용 1 위탁하는업무의내용 2 수탁자 현행법률상의동의획득규정을삭제함으로써취급위탁요건완화 ( 개인정보보호법제26조 ) 75
사업자를위한개인정보보호질의 응답집 Q ㅣ여행사를운영하면서예약확인및고객상담업무를전문콜센터에서처리하고있는데, 자사에서진행하는고객대상이벤트와여행상품홍보업무도해당콜센터에서모두진행하려고한다. 관련법률상문제는없는지알고싶다. A ㅣ사업자가제3자에게개인정보의수집, 보관등취급업무를위탁하는경우에는취급위탁을받는자 ( 수탁자 ) 및취급위탁을하는업무의내용을고지하고이용자의동의를받아야한다. 다만, 서비스제공계약의이행을위해필요한경우에는위의고지 동의절차를거치지않고, 취급위탁을받는자및취급위탁을받는업무의내용을개인정보취급방침에공개하거나이용자에게통지하여, 이를대신할수있다. 질의와같이본래의서비스이행을위한취급위탁업무가아닌별도의이벤트, 홍보등의업무를위탁하기위해서는이용자의별도동의를받아야한다. 정보통신망이용촉진및정보보호등에관한법률제25조 ( 개인정보의취급위탁 ) 1 정보통신서비스제공자와그로부터제24조의2제 1항에따라이용자의개인정보를제공받은자 ( 이하 정보통신서비스제공자등 이라한다 ) 는제3자에게이용자의개인정보를수집ㆍ보관ㆍ처리ㆍ이용ㆍ제공ㆍ관리ㆍ파기등 ( 이하 취급 이라한다 ) 을할수있도록업무를위탁 ( 이하 개인정보취급위탁 이라한다 ) 하는경우에는다음각호의사항모두를이용자에게알리고동의를받아야한다. 다음각호의어느하나의사항이변경되는경우에도또한같다. 1. 개인정보취급위탁을받는자 ( 이하 수탁자 라한다 ) 2. 개인정보취급위탁을하는업무의내용 2 정보통신서비스제공자등은정보통신서비스의제공에관한계약을이행하기위하여필요한경우로서제1항각호의사항모두를제27조의2제1항에따라공개하거나전자우편등대통령령으로정하는방법에따라이용자에게알린경우에는개인정보취급위탁에따른제1항의고지절차와동의절차를거치지아니할수있다. 제1항각호의어느하나의사항이변경되는경우에도또한같다. 76
제 5 장개인정보를제 3 자에게제공 위탁하려면 개인정보취급위탁규제의취지 최근사업자의업무효율화, 비용절감등다양한목적으로각종업무를외부에위탁하는사례가증가하고있다. 즉, 기본적인고객상담, A/S 업무이외에도상품배송, 마케팅, 전산관리, 근로자급여및인사관리등다양한형태의업무위탁이일반화되는추세이다. 대부분의업무위탁은개인정보를수집한사업자가제3자에게개인정보를이전하여처리하므로, 해당이용자의권익침해가능성이높아진다. 따라서개인정보취급업무를제3자에게위탁하는경우도원칙적으로이용자본인의동의를받도록하고있다. 개인정보취급위탁시고지사항및동의획득 개인정보취급위탁시에는아래의사항을이용자에게알리고동의를획득하여야한다. 1 취급위탁을받는자 ( 수탁자 ) 2 취급위탁을하는업무의내용 개인정보취급위탁동의획득예시 개인정보취급위탁당사의서비스이행을위해아래와같이개인정보취급업무를위탁합니다. 취급위탁을받는자 텔레마케팅 취급위탁을하는업무의내용 제휴상품및서비스에대한홍보및안내 동의함 동의안함 77
사업자를위한개인정보보호질의 응답집 사업자의종류나규모에따라서는전국단위영업을하는여행사 항공사대리점, 백화점 쇼핑센터의콜센터등과같이 취급위탁을받는자 가매우많기때문에, 이를일일이열거하고동의를받기어려운경우가있다. 이경우에는대표적인업체명, 업체수등을기재하고상세한내역은개인정보취급방침에게재하여이용자가확인할수있도록조치할수있다. 물론이경우에도고지사항이게재된인터넷페이지주소등을동의문에안내하여야한다. 정보통신망이용촉진및정보보호등에관한법률시행령제12조 ( 동의획득방법 ) 1( 생략 ) 2 정보통신서비스제공자등은개인정보수집매체의특성상동의내용을전부표시하기어려운경우이용자에게동의내용을확인할수있는방법 ( 인터넷주소ㆍ사업장전화번호등 ) 을안내하고동의를얻을수있다. 사업자가이용자의동의를얻지않고개인정보취급을제 3 자에게위탁한경우에는 5 년이하의징역또는 5 천만원이하의벌금이부과된다. 쇼핑센터는고객정보를이용한제휴상품홍보텔레마케팅을외주업체에위탁하면서고객에대해고지및동의를얻었어야하나, 이러한절차없이단순히개인정보취급방침에고지한뒤텔레마케팅업무를취급위탁함 78
제 5 장개인정보를제 3 자에게제공 위탁하려면 Q ㅣ요금고지서를우편 DM으로발송하는업무를외부업체에위탁하려하는경우에고객이우편 DM 발송의위탁에대해동의하지않는다면, 본사에서일일이직접배송을해야하는가? A ㅣ요금고지서 DM 발송, 상담, A/S 등 서비스제공에관한계약을이행하기위해필요한개인정보취급위탁 은이용자의동의없이도가능하다. 이경우사업자는위탁업무의내용및수탁자를개인정보취급방침에공개하거나이용자에대해통지하여야한다. 정보통신망이용촉진및정보보호등에관한법률제25조 ( 개인정보의취급위탁 ) 1( 생략 ) 2 정보통신서비스제공자등은정보통신서비스의제공에관한계약을이행하기위하여필요한경우로서제1항각호의사항모두를제27조의2제1항에따라공개하거나전자우편등대통령령으로정하는방법에따라이용자에게알린경우에는개인정보취급위탁에따른제1항의고지절차와동의절차를거치지아니할수있다. 제1항각호의어느하나의사항이변경되는경우에도또한같다. 서비스제공에관한계약을이행하기위해필요한개인정보취급위탁 이란만일해당업무를위탁하지않으면이용자에게정상적인서비스를제공하기어려운경우로서, 일반적으로고객상담, A/S 업무, 제품배송등이이에포함된다. 이러한필수적인업무위탁에대해서도이용자의동의유무에따라위탁의허용여부를결정하게한다면, 만일이용자가위탁에동의하지않은경우에는본사 79
1 2 사업자를위한개인정보보호질의 응답집 에서모든업무를직접처리해야하는불합리한결과가나타나게된다. 따라서 서비스제공에관한계약을이행하기위해필요한개인정보취급위탁 에대해서는 동의를받지않아도취급위탁이가능하도록규정하고있다. 서비스제공에필요한개인정보취급위탁시공개 통지사항 서비스제공에관한계약을이행하기위해필요한개인정보취급위탁 시에는아래의사항을개인정보취급방침에공개하거나이용자에게통지하여야한다. 1 취급위탁을받는자 ( 수탁자 ) 2 취급위탁을하는업무의내용 서비스제공에필요한개인정보취급업무위탁예시 전화, 온라인등을이용한고객상담업무 요금고지서및 DM 발송 제품의배송 제품의 A/S 및반품등불만처리 연체요금정산을위한채권추심업무위탁등 Q ㅣ서비스제공에필수적인개인정보취급위탁은따로동의를받지않아도되는대신관련사항을공개하여야하는데, 구체적공개방법은? A ㅣ서비스제공에관한계약이행을위해필요한취급위탁은아래 2 가지방법중택일하여이용자에게공개하거나알리면된다. 취급위탁을받는자및취급위탁을하는업무의내용을개인정보취급방침에명시하고, 인터넷홈페이지게재, 점포 사무소게재 비치, 간행물 소식지 홍보지 청구서등에지속게재등의방법으로공개 취급위탁을받는자및취급위탁을하는업무의내용을전자우편ㆍ서면ㆍ모사전송ㆍ전화또는이와유사한방법에따라이용자에게알림 80
제 5 장개인정보를제 3 자에게제공 위탁하려면 Q ㅣ병원과의료정보전달시스템관리업체간에환자의정보를공유하는것도취급위탁에따른동의를받아야하는가? A ㅣ의료법등에따른전자처방전, 전자의무기록등의공유 제공을위해관리업체를활용하는것은 서비스제공에관한계약을이행하기위해필요한개인정보취급위탁 에해당하므로별도의동의획득없이이용자에대한공개 통지만으로위탁이가능하다. 투어는고객에대해전화를통한여행계약체결안내와같은필수업무를외주업체에위탁하고있으나, 이러한업무위탁에대해개인정보취급방침에공개하거나고객에게통지하지않고취급위탁을계속함 81
사업자를위한개인정보보호질의 응답집 Q ㅣ고객센터업무를아웃소싱하려고한다. 아웃소싱업체와개인정보취급위탁계약을체결할때에계약서에반드시포함시켜야하는사항은무엇이있는가? A ㅣ수탁자 ( 아웃소싱업체 ) 와취급위탁계약을체결할때에는계약서에수탁자명, 수탁업무명, 개인정보취급기간 ( 계약기간 ), 수탁자의개인정보취급목적, 위탁자의관리 감독사항, 보호조치, 수탁자의책임등을명시하는것이바람직하다. 정보통신망이용촉진및정보보호등에관한법률제25조 ( 개인정보의취급위탁 ) 1~2 ( 생략 ) 3 정보통신서비스제공자등은개인정보취급위탁을하는경우에는수탁자가이용자의개인정보를취급할수있는목적을미리정하여야하며, 수탁자는이목적을벗어나서이용자의개인정보를취급하여서는아니된다. 4 정보통신서비스제공자등은수탁자가이장의규정을위반하지아니하도록관리 감독하여야한다. 5 수탁자가개인정보취급위탁을받은업무와관련하여이장의규정을위반하여이용자에게손해를발생시키면그수탁자를손해배상책임에있어서정보통신서비스제공자등의소속직원으로본다. 제3자제공에비해취급위탁의허용요건을완화하는이유는취급위탁을위해제공한개인정보가위탁자의관리범위안에포함되어있어개인정보취급위탁시에는위탁자가해당개인정보에대한철저한관리 감독을하여야함을의미한다. 82
제 5 장개인정보를제 3 자에게제공 위탁하려면 이를위해서는위탁자와수탁자가취급위탁계약을체결할때부터계약서에관련사항을명확히반영하고, 개인정보침해방지를위한보호조치가수탁업체에확보되도록정함과동시에위탁자와수탁자와의책임관계를명확하게규정함으로써실효적인관리 감독체계를확보하여야한다. 따라서, 사업자가수탁자와위탁계약을체결하는때에는다음의사항을포함하여계약서를작성하는것이바람직하다. 취급위탁계약서반영사항 ( 예시 ) - 수탁자명 ( 정확한법인명 ) - 수탁업무명 ( 구체적업무명시 ) - 계약기간 ( 개인정보취급기간 ) - 수탁자의개인정보취급목적 - 위탁자의관리 감독사항 - 수탁자의기술적 관리적보호조치 - 침해사고발생시수탁자의책임 - 개인정보침해로인한손해배상책임 - 계약종료시개인정보반환또는파기에관한사항등 여행사는여행지현지에서의고객서비스를위해이른바지역여행사와업무위탁계약을체결하였으나, 개인정보수탁업무에대한내용및기술적 관리적보호조치등관한사항을위탁계약서에전혀반영하지않고업무위탁계약을체결하여운영 83
사업자를위한개인정보보호질의 응답집 현재 법제정후 개인정보처리자가개인정보처리업무를위탁하는경우다음내용이포함된문서로처리하여야함 계약서 ( 문서 ) 에포함되어야하는사항에대해서는별도규정없음 1. 위탁업무수행목적외개인정보처리금지 2. 개인정보의기술적 관리적보호조치에관한사항 3. 기타개인정보의안전한관리를위하여대통령령으로정하는사항 ( 개인정보보호법제26조제1항 ) 84
제 5 장개인정보를제 3 자에게제공 위탁하려면 Q ㅣ대리점직원이고객의개인정보를부정이용하여고객에게피해를입힌사례가발생한경우, 대리점직원의행위에대하여본사에책임이있는가? A ㅣ위탁자 ( 본사 ) 는수탁자 ( 대리점 ) 에대해법률의개인정보보호규정을준수하도록관리 감독할의무가있으며, 수탁자가법령을위반하여이용자에게손해를발생시킨경우에는위탁자가이에대한책임을지도록하고있다. 따라서사례와같은대리점직원의행위에대해서는본사가손해배상책임을부담한다. 정보통신망이용촉진및정보보호등에관한법률제25조 ( 개인정보의취급위탁 ) 1~2 ( 생략 ) 3 정보통신서비스제공자등은개인정보취급위탁을하는경우에는수탁자가이용자의개인정보를취급할수있는목적을미리정하여야하며, 수탁자는이목적을벗어나서이용자의개인정보를취급하여서는아니된다. 4 정보통신서비스제공자등은수탁자가이장의규정을위반하지아니하도록관리 감독하여야한다. 5 수탁자가개인정보취급위탁을받은업무와관련하여이장의규정을위반하여이용자에게손해를발생시키면그수탁자를손해배상책임에있어서정보통신서비스제공자등의소속직원으로본다. 일반적으로위탁 ( 위임 ) 계약에있어서그행위로인한법률효과는수탁자가아니라 85
사업자를위한개인정보보호질의 응답집 위탁자 ( 본사 ) 에귀속된다. 또한개인정보취급과관련한위탁에있어서위탁자의관리 감독책임에대해별도의규정이없다면, 대부분의위탁자는개인정보침해로인한책임을상대적약자인수탁자에게전가하게될우려가있다. 이러한취지에서관련법률은위탁자의관리 감독책임과더불어특히손해배상은위탁자가책임지도록규정하고있다. 본사와대리점이취급위탁계약을체결하고자하는때에는대리점의개인정보유출방지를비롯한개인정보보호조치의무를명문화하여야한다. 또한, 본사와대리점과의책임관계를명확하게하고, 재위탁에관한사항도계약내용에포함토록하여실효성있는관리 감독체계를마련하여야한다. Q ㅣ T/M업무를위탁중에이용자가 T/M 거부의사를밝혔음에도불구하고이후에도수탁업체에서계속 T/M을실시하여문제가되었다면이는본사의책임이아니지않는가? A ㅣ위탁자에게는개인정보취급위탁에대한관리 감독책임및민사상손해배상책임이부여되어있으므로, T/M 거부에대한조치등을관리 감독하지못한책임이부과된다. 수탁업체직원이아파트 MDF 실에서경쟁관계에있는통신업체의고객개인정보를빼낸행위에대해, 본사의담당직원도관리책임미비를이유로수사기관에입건 86
제 5 장개인정보를제 3 자에게제공 위탁하려면 Q ㅣ여행사에서는주로전화로문의 예약을받는경우가많다. 그런데전화로개인정보를수집할경우, 고지사항을모두알리고동의를받으려면통화시간이매우길어진다. 이용자의동의획득을위한다른방법은없는가? A ㅣ법률은인터넷사이트, 서면, 전자우편, 전화등각각의서비스유형에따른동의획득방법을규정하고있다. 전화로개인정보수집에대한동의를얻고자하는경우에는, 동의내용을이용자에게알리고구두로동의를얻거나, 또는고지사항이기재된인터넷주소등을안내하고추후구두로동의를얻는방법을이용할수있다. 정보통신망이용촉진및정보보호등에관한법률제26조의2( 동의를받는방법 ) 제22조제1항, 제23조제1항단서, 제24조의2제1항ㆍ제2항, 제25조제1항, 제26조제3항단서또는제63조제2항에따른동의 ( 이하 개인정보수집ㆍ이용ㆍ제공등의동의 라한다 ) 를받는방법은개인정보의수집매체, 업종의특성및이용자의수등을고려하여대통령령으로정한다. 정보통신망이용촉진및정보보호등에관한법률시행령제12조 ( 동의획득방법 ) 1 정보통신서비스제공자등이법제26조의2에따라동의를얻는방법은다음각호의어느하나와같다. 이경우정보통신서비스제공자등은동의를얻어야할사항 ( 이하 동의내용 이라한다 ) 을이용자가명확히인지하고확인할수있도록표시하여야한다. 1. 인터넷사이트에동의내용을게재하고이용자가동의여부를표시하도록하는방법 2. 동의내용이기재된서면을이용자에게직접교부하거나, 우편또는모사전송을통하여전달하고이용자가동의내용에대하여서명날인후제출하도록하는방법 3. 동의내용이기재된전자우편을발송하여이용자로부터동의의의사표시가기재된전자우편을전송받는방법 4. 전화를통하여동의내용을이용자에게알리고동의를얻거나인터넷주소등동의내용을확인할수있는방법을안내하고재차전화통화를통하여동의를얻는방법 87
사업자를위한개인정보보호질의 응답집 2 정보통신서비스제공자등은개인정보수집매체의특성상동의내용을전부표시하기어려운경우이용자에게동의내용을확인할수있는방법 ( 인터넷주소 사업장전화번호등 ) 을안내하고동의를얻을수있다. 동의를획득해야하는경우 개인정보수집, 제3자제공, 개인정보취급위탁등에대해이용자의동의를획득하여야한다. 동의를획득해야하는경우 정보통신망법조항 주요내용 제 22 조제 1 항개인정보를수집하는경우 ( 동의를받은사항에대해변경이발생한경우포함 ) 제23조제1항제24조의2 제1항제24조의2 제2항제25조제1항제26조제3항 민감한개인정보를수집하는경우개인정보를제3자에게제공하는경우개인정보를제공받은자가또다른제3자에게개인정보제공하는경우개인정보를취급위탁하는경우영업양수자등이목적외로개인정보이용 제공하는경우 매체별동의획득방법 개인정보의수집, 제공, 이용, 위탁등에대해동의를획득하는방법은매체별로다음과같다. 88
제 5 장개인정보를제 3 자에게제공 위탁하려면 매체 인터넷 동의받는방법 동의내용을기재하고이용자가동의여부를선택하도록하는방법 ( 동의항목에체크하게하거나, 아이콘을클릭하는방식 ) 서 면 동의내용이기재된서면을이용자에게직접교부하거나, 우편또는모사전송 (FAX) 등을통해이용자에게전달한후, 이용자가서명날인하여제출하는방법 전자우편 동의내용이기재된전자우편을발송한후이용자로부터동의서가기재된전자우편을회신받는방법 전 화 전화를통해동의내용을이용자에게알리고동의를얻는방법 동의내용이기재된인터넷주소등동의내용을확인할수있는방법을안내하고추후전화통화로동의를얻는방법 동의내용을전부표시하기어려운경우의동의획득방법 사업자는개인정보수집매체의특성상동의내용을전부표시하기어려운경우에는동의내용이기재된 인터넷주소 나동의내용을안내받을수있는 전화번호 등을안내하고동의를얻을수있다. 전화를통한동의를얻는경우에녹취여부 전화로동의를얻는경우에다른매체와는달리기본적으로음성 ( 구두 ) 을통해동의의사표시를하므로, 나중에이용자가동의를했는지여부를어떻게입증할것인가의문제가나타난다. 이를위해서는고지사항을이용자에게안내하고동의의사를확인하는대화를녹취하여입증자료로삼아야한다. 89
사업자를위한개인정보보호질의 응답집 Q ㅣ PDA 단말기를이용한서비스이용계약을체결하는경우에개인정보수집 이용에대한동의방법으로고객이 PDA 단말기에직접서명하는것도가능한가? A ㅣ PDA 단말기를통하여서명을하는방식도가능하다. 다만, 이경우개인정보수집시의고지사항을이용자에게명확히고지하고동의를얻어야한다. 고지사항이많으면동의내용을확인할수있는방법 ( 인터넷주소등 ) 을안내하여야한다. 90
제 5 장개인정보를제 3 자에게제공 위탁하려면 Q ㅣ다른사업자와영업을합병하게되어서고객을대상으로통지를하려고하는데, 우리회사및합병회사가모두다통지를해야하는가? A ㅣ영업양도, 합병등으로개인정보를이전하는경우에는개인정보를이전하는자및이전받는자가 개인정보이전사실, 이전받는자의성명 ( 명칭 ) 주소 전화번호등 연락처, 이용자가개인정보이전을원하지않는경우동의철회방법 절차 를이용자에게알려야한다. 다만, 개인정보를이전하는자 ( 사업자 ) 가관련사실을알린경우에는이전받는자 ( 영업양수자등 ) 는알리지않아도된다. 정보통신망이용촉진및정보보호등에관한법률제26조 ( 영업의양수등에따른개인정보의이전 ) 1 정보통신서비스제공자등이영업의전부또는일부의양도ㆍ합병등으로그이용자의개인정보를타인에게이전하는경우에는미리다음각호의사항모두를인터넷홈페이지게시, 전자우편등대통령령으로정하는방법에따라이용자에게알려야한다. 1. 개인정보를이전하려는사실 2. 개인정보를이전받는자 ( 이하 영업양수자등 이라한다 ) 의성명 ( 법인의경우에는법인의명칭을말한다. 이하이조에서같다 ) ㆍ주소ㆍ전화번호및그밖의연락처 3. 이용자가개인정보의이전을원하지아니하는경우그동의를철회할수있는방법과절차 2 영업양수자등은개인정보를이전받으면지체없이그사실을인터넷홈페이지게시, 전자우편등대통령령으로정하는방법에따라이용자에게알려야한다. 다만, 정보통신서비스제공자등이제1항에따라그이전사실을이미알린경우에는그러하지아니하다. 91
사업자를위한개인정보보호질의 응답집 영업양도 합병등의경우에는기존사업자가가지고있던개인정보 DB 등영업자산에대한권리 의무가포괄적으로승계되므로, 개인정보의제 3 자제공이나취급위탁처럼개인정보이전에대한통제를엄격하게할필요가없다. 또한영업양도 합병등에대해일일이정보주체의동의를받도록할경우에는현실적으로많은시간과비용을요하며결과적으로는기업결합자체를사실상불가능하게할우려도있다. 따라서영업양도 합병등은개인정보이전에관한사항을이용자에게사전에알리고, 이에따라이용자가조치를취함으로써이전을가능하도록하고있다. 토막상식 영업양도 와 합병 영업양도 는영업과관련한재산, 영업비결, 고객관계, 경영조직등일체를이전하는행위 ( 계약 ) 을말하며, 합병 은둘이상의회사가계약에의해서하나의회사로합치는것을말한다. 즉, 합병은당사회사의일부또는전부가소멸하며, 존속회사또는신설회사가소멸하는회사의모든권리 의무를포괄적으로승계한다. 원칙적으로영업양도자및양수자는모두통지의무가있으나, 영업양도자가미리통지한경우는양수자는통지를하지않아도된다. 이는관련한사항을이미양도자로부터통지받아조치를취할수있음에도양수자로부터통지를받도록의무화하는것은불필요하기때문이다. 영업양도 합병등으로개인정보를이전하는경우에는아래의사항을이용자에게알려야한다. 1 개인정보를이전하려는사실 2 개인정보의이전을받는자 ( 영업양수자등 ) 의성명 ( 법인의경우에는법인의명칭 ) 주소 전화번호그밖의연락처 3 이용자가개인정보의이전을원하지않는경우그동의를철회할수있는방법및절차 92
제 5 장개인정보를제 3 자에게제공 위탁하려면 영업의양도 합병에관한사실을통지하는방법은인터넷홈페이지게시및 전자우편, 서면, 모사전송, 전화등을이용하여통지하면된다. 이용자의연락처를 알수없는경우에는인터넷홈페이지에최소 30일이상영업양도 합병에관한사실을게시해야한다. 영업양도 합병시통지문 ( 예시 ) 는 2011 년 1월 1일자로 사업및홈페이지의운영을 사에양도하게되었습니다. 이로인해회원여러분의개인정보또한 사에이전하게되었습니다. 홈페이지운영을양도받은 사의세부사항은다음과같습니다. 법인명 : 사주소 : 서울시강남구역삼동 xxx 번지전화번호 : 02 123 4567 기타연락처 : 담당자 @xxxxxx.xxx 개인정보의이전을원하지않는경우당사홈페이지 (www.xxxxx.xxx) 에서회원탈퇴를하실수있습니다. 천재 지변, 기타사유등으로홈페이지게시도곤란한경우에는, 전국을보급지역으로하는 2개이상의일반일간신문에관련사항을 1회이상공고하여야한다. 정보통신망이용촉진및정보보호등에관한법률시행령제11조 ( 영업의양도등에따른개인정보이전시의통지 ) 1법제26조제1항각호외의부분및제2항본문에서 대통령령이정하는방법 이란전자우편 서면 모사전송 전화또는이와유사한방법중어느하나의방법을말한다. 2 정보통신서비스제공자등또는영업양수자등이과실없이이용자의연락처를알수없는경우에해당되어제1항의방법에따라통지할수없는경우에는인터넷홈페이지에최소 30일이상게시하여야한다. 3 천재 지변그밖에정당한사유로제2항에따른홈페이지게시가곤란한경우에는 신문등의자유와기능보장에관한법률 에따른전국을보급지역으로하는 2 이상의일반일간신문 ( 이용자의대부분이특정지역에거주하는경우에는그지역을보급구역으로하는일반일간신문 ) 에 1회이상공고하는것으로갈음할수있다. 사업자가영업양도 합병등에따른개인정보이전사실을알리지않은경우에는 2천만원이하의과태료가부과된다. 93
사업자를위한개인정보보호질의 응답집 Q ㅣ쇼핑몰을양도하려고하는데, 관련법률을보니 지체없이 통지하라는내용이있다. 어느정도의시점에서통지를해야하는가? A ㅣ영업양도 합병등이이사회의결등을통해공식화된이후에는즉시이용자들에게통지를하여야한다. 소규모사업자의경우에는영업양도계약을체결하는등영업양도가확실시되는시점에서통지하여야한다. 케이블방송사는초고속인터넷서비스를운영하다가이를 A 통신사업자에게양도하면서고객들에게별도의통지를전혀하지않아, 영업양도 합병시통지의무 위반의책임을물어 만원의손해배상소송 현재 법제정후 사업자는영업의전부또는일부의양도 합병등으로개인정보를다른 사람에게이전하는경우아래사항을이용자에게통지 1. 개인정보이전사실 2. 개인정보를이전받는자의성명, 주소, 전화번호및그밖의연락처 3. 정보주체가개인정보의이전을원하지않은경우조치할수있는방법및절차 ( 정보통신망법제25조 ) 개인정보처리자는영업의전부또는일부의양도 합병등으로개인정보를다른사람에게이전하는경우아래사항을정보주체에게통지 현행법률의취지와동일함 ( 개인정보보호법제27조 ) 94
제 6 장 고객의개인정보는철저히관리하자 1. 개인정보취급방침, 이것만은꼭기억하자 2. 개인정보취급방침을알리는방법 3. 개인정보취급방침을변경할때는 4. 해킹과불법접근을차단하려면 5. 내부직원의유출을방지하려면 6. 개인정보암호화꼭해야하나 7. 보안프로그램은어떻게설치 이용하면될까 8. 개인정보에대한접근권한은최소한으로 9. 물리적인접근제한조치를하려면 10. 개인정보를출력 복사할때는
사업자를위한개인정보보호질의 응답집 제 6 장고객의개인정보는철저히관리하자 Q ㅣ사업자는 개인정보취급방침 이라는것을작성해서게시해야한다고들었는데, 구체적으로어떠한내용을담아야하는지알고싶다. A ㅣ사업자는 개인정보취급방침 을정하고, 이용자 ( 고객 ) 가언제든지쉽게확인할수있도록공개하여야한다. 개인정보취급방침에는아래의사항이반드시포함되어야하며, 그외에도이용자가추가적으로알아야할개인정보보호관련사항이있다면포함하여공개해야한다. 1 개인정보의수집 이용목적, 수집하는항목, 수집방법 2 ( 개인정보를제3자에게제공하는경우 ) 제공받는자의성명 ( 또는법인명칭 ), 제공받는자의이용목적, 제공항목 3 개인정보의보유 이용기간, 파기절차, 파기방법 ( 다른법률에따라보존해야하는경우에는보존근거및보존항목 ) 4 ( 개인정보취급위탁을하는경우 ) 개인정보취급위탁을하는업무내용및수탁자 5 이용자및법정대리인의권리와행사방법 6 인터넷접속파일등개인정보를자동으로수집하는장치의설치 운영및거부에관한사항 7 개인정보관리책임자의성명 ( 또는개인정보보호업무및관련고충을처리하는부서의명칭 ), 전화번호등연락처 정보통신망이용촉진및정보보호등에관한법률제27조의2( 개인정보취급방침의공개 ) 1( 생략 ) 2 제1항에따른개인정보취급방침에는다음각호의사항이모두포함되어야한다. 1. 개인정보의수집ㆍ이용목적, 수집하는개인정보의항목및수집방법 96
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee???ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee???ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? 제 6 장고객의개인정보는철저히관리하자 2. 개인정보를제3자에게제공하는경우제공받는자의성명 ( 법인인경우에는법인의명칭을말한다 ), 제공받는자의이용목적과제공하는개인정보의항목 3. 개인정보의보유및이용기간, 개인정보의파기절차및파기방법 ( 제29 조각호외의부분단서에따라개인정보를보존하여야하는경우에는그보존근거와보존하는개인정보항목을포함한다 ) 4. 개인정보취급위탁을하는업무의내용및수탁자 ( 해당되는경우에만취급방침에포함한다 ) 5. 이용자및법정대리인의권리와그행사방법 6. 인터넷접속정보파일등개인정보를자동으로수집하는장치의설치ㆍ운영및그거부에관한사항 7. 개인정보관리책임자의성명또는개인정보보호업무및관련고충사항을처리하는부서의명칭과그전화번호등연락처 개인정보취급방침의공개의무화 사업자의개인정보처리기준과보호조치등을외부에공개하도록의무화함으로써, 이용자 ( 고객 ) 는그사업자가어떻게개인정보를처리하고보호하는지를쉽게확인할수있으며, 자기개인정보의수집 이용 제공여부를판단할수있다. 또한, 사업자는대외적으로개인정보처리의투명성을높이고부족한부분을개선할수있도록함으로써자율적인개인정보보호노력을장려할수있다. h? h? h? h? h? h? 개인정보취급방침공개 와관련된항목 제 6 장고객의개인정보는철저히관리하자 2. 개인정보취급방침을알리는방법 (101 페이지 ) g g g g g g???????? 97
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee???ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee???ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? 사업자를위한개인정보보호질의 응답집 토막상식 외국에도개인정보취급방침이있을까? 미국, 일본, 유럽등대부분의주요국가에서도우리나라와마찬가지로인터넷웹사이트등에서개인정보취급방침을게시하는것이일반적이다. 외국에서는주로 Privacy Policy' 라는명칭으로취급방침을공개하고있는데, 여기에기재되는내용은개인정보의수집 이용에관한사항, 개인정보의제공 공유에관한사항, 관리책임부서의연락처등이다. 개인정보취급방침작성시유의점 개인정보취급방침에포함되는사항은그사업자의서비스현황을반영하여최대한구체적이고정확하게표현하여야한다. 예를들어 개인정보의수집 이용목적 을단순히 서비스제공, 다양한콘텐츠제공 등과같이추상적이고모호한표현으로기재하는것은바람직하지않다. 또한, 개인정보취급방침에명시된사항들은그사업자가이용자 ( 고객 ) 에게동의를받기위해알리는사항들과일치하여야한다. 예를들어개인정보취급방침에기재된 개인정보의수집 이용목적 은회원가입시이용자에게알리고동의를받는 개인정보의수집 이용목적 과일치하여야한다. h? h? h? h? h? h? 개인정보수집 이용목적 과관련된항목 제4장개인정보를수집하고이용하려면 1. 회원가입 이벤트시고객의동의를받자 (38페이지) g g g g g g???????? 또한, 개인정보취급방침은단순히인터넷웹사이트에서의개인정보처리현황만을다루는것이아니라, 그사업자가서비스를제공하는모든영역에있어서의개인정보처리기준을명시 공개하는것임을유의하여야한다. 즉, 인터넷웹사이트외에전화 서면등을통해서도회원가입을받고있다면, 개인정보취급방침에도 전화 서면을통한개인정보수집과관련한사항 이모두명시되어있어야한다. 98
제 6 장고객의개인정보는철저히관리하자 사업자가개인정보취급방침을공개하지아니한경우에는 2천만원이하의과태료가부과된다. Q ㅣ신입직원채용을위해온라인입사지원사이트를개설하였는데, 이때에도 개인정보취급방침 을작성 공개하여야하는가? A ㅣ현행정보통신망법은영리를목적으로개인정보를수집 이용하는사업자와이용자 ( 고객 ) 와의관계에대해서적용된다. 따라서 신입직원채용을위한웹사이트 는법률의적용대상이아니므로, 온라인입사지원사이트의개인정보취급방침을공개해야할법적인의무는없다. 그러나해당기업의자체적인판단에따라개인정보취급방침을작성 공개하는것은무방하다. 백화점은홈페이지에개인정보취급방침을게재하고는있으나, 개인정보취급위탁사항, 개인정보관리책임자지정등개인정보취급방침에반드시포함시켜야하는사항을일부누락하여게재 99
사업자를위한개인정보보호질의 응답집 현재 법제정후 개인정보취급방침 작성및공개 ( 정보통신망법제27조의2) 1. 개인정보의수집ㆍ이용목적, 수집하는개인정보의항목및수집방법 2. 개인정보를제3자에게제공하는경우제공받는자의성명 ( 법인인경우에는법인의명칭 ), 제공받는자의이용목적과제공하는개인정보의항목 3. 개인정보의보유및이용기간, 개인정보의파기절차및파기방법 ( 개인정보를보존하여야하는경우에는그보존근거와보존항목 ) 4. 개인정보취급위탁을하는업무의내용및수탁자 ( 해당되는경우에만포함 ) 5. 이용자및법정대리인의권리와그행사방법 6. 인터넷접속정보파일등개인정보를자동으로수집하는장치의설치ㆍ운영및그거부에관한사항 7. 개인정보관리책임자의성명 ( 또는관련부서명칭 ) 과그전화번호등연락처 개인정보처리방침 수립및공개 ( 개인정보보호법제30조 ) 1. 개인정보의처리목적 2. 개인정보의처리및보유기간 3. 개인정보의제3자제공에관한사항 ( 해당되는경우에만정한다 ) 4. 개인정보의처리위탁에관한사항 ( 해당되는경우에만정한다.) 5. 정보주체의권리 의무및그행사방법에관한사항 6. 그밖에개인정보의처리에관하여대통령령으로정한사항 현행법률의취지와동일하며, 다만 개인정보취급방침 개인정보처리방침 으로명칭이변경됨 100
제 6 장고객의개인정보는철저히관리하자 Q ㅣ우리회사는인터넷홈페이지가있지만, 고객가입과서비스제공은점포나대리점을통해서이루어지고있다. 이런경우홈페이지에개인정보취급방침을공개하지않아도되는가? A ㅣ사업자가개인정보취급방침을공개할때에는개인정보의수집장소와매체등을고려하여다음중하나이상의방법으로공개하여야한다. 1 인터넷홈페이지의첫화면또는첫화면과의연결화면을통하여이용자가볼수있도록하는방법 ( 글자크기, 색상등을활용하여개인정보취급방침을쉽게확인할수있도록표시해야함 ) 2 점포 사무소안의보기쉬운장소에써붙이거나비치하여열람하도록하는방법 3 같은제목으로연 2회이상계속적으로발행하여이용자에게배포하는간행물 소식지 홍보지 청구서등에지속적으로게재하는방법 4 재화또는용역을제공하기위한계약서에게재하여배포하는방법 질의와같이점포및대리점을통해서만고객가입과개인정보를수집하는경우에도, 위항목중하나이상의방법으로개인정보취급방침을공개하여야한다. 정보통신망이용촉진및정보보호등에관한법률제27조의2( 개인정보취급방침의공개 ) 1 정보통신서비스제공자등은이용자의개인정보를취급하는경우에는개인정보취급방침을정하여이용자가언제든지쉽게확인할수있도록대통령령으로정하는방법에따라공개하여야한다. 101
사업자를위한개인정보보호질의 응답집 정보통신망이용촉진및정보보호등에관한법률시행규칙제8조 ( 개인정보취급방침의공개방법등 ) 1 정보통신서비스제공자외의자는법제27 조의2제1 항및제67 조제1항에따라개인정보의수집장소와매체등을고려하여다음각호중어느하나이상의방법으로개인정보취급방침을공개하되, 그명칭을 개인정보취급방침 이라고표시하여야한다. 1. 인터넷홈페이지의첫화면또는첫화면과의연결화면을통하여법제27 조의 2제2 항각호의사항을재화또는용역을제공받는자가볼수있게하는방법. 이경우글자크기, 색상등을활용하여개인정보취급방침을쉽게확인할수있도록표시하여야한다. 2. 점포 사무소안의보기쉬운장소에써서붙이거나갖춰놓고열람하게하는방법 3. 같은제목으로연 2회이상계속적으로발행하여이용자에게배포하는간행물 소식지 홍보지 청구서등에지속적으로게재하는방법 4. 재화또는용역을제공하기위한이용계약서에게재하여배포하는방법 개인정보취급방침의공개방법취지 개인정보취급방침은이용자 ( 고객 ) 로하여금사업자가어떠한기준에따라개인정보를처리하고보호하는지를쉽게확인할수있도록하기위한취지이다. 그러나만일개인정보취급방침의공개방법이통일되어있지않으면, 이용자는개인정보취급방침의공개여부를확인하기어렵다. 이에따라관련법률에서는개인정보취급방침공개방법표준을제시하고있다. 개인정보취급방침의공개시주의할점 이전에는사업자에따라 개인정보보호정책, 개인정보취급정책 등다양한용어가혼재되어사용되기도하였으나, 현재는반드시 개인정보취급방침 이라는명칭을사용하여야한다. 102
제 6 장고객의개인정보는철저히관리하자 개인정보취급방침은위의 4가지방법중어느하나이상의방법을선택하여공개하여야하며, 이용자 ( 고객 ) 가가장많이이용하는매체 장소에우선적으로개인정보취급방침을공개하여야한다. 인터넷홈페이지에개인정보취급방침을공개할경우에는글자크기, 색상등을 활용하여알기쉽게표시하여야한다. 구체적으로는다른고지사항보다큰글씨나 굵은글씨 ( 볼드체 ) 를사용하고눈에띄는색상을사용하면된다. < 홈페이지개인정보취급방침공개예시 > 회사소개채용공고이용약관개인정보취급방침청소년보호정책 호텔은웹사이트상에개인정보취급방침을공개하고있으나, 이용자가쉽게 인지할수있도록글자크기 색상등을다르게하지않고다른고지사항과똑같은 글자크기및색상으로표시 현재 법제정후 이용자가쉽게확인할수있도록행정안전부령이정하는방법에따라공개 ( 정보통신망법제27조의2) 개인정보처리방침을수립하거나변경하는경우에는정보주체가쉽게확인할수있도록대통령령으로정하는방법에따라공개 ( 개인정보보호법제30조 ) 103
사업자를위한개인정보보호질의 응답집 Q ㅣ고객들에게새로운서비스를제공함에따라서개인정보의수집 이용목적, 수집하는항목등도새롭게변경되었다. 이러한경우에는개인정보취급방침에어떻게반영하여야하나? A ㅣ개인정보취급방침을변경하려면변경이유, 변경내용을아래의방법에따라서지체없이이용자에게공지하고, 이용자가언제든지변경된사항을쉽게알아볼수있도록조치하여야한다. 1 인터넷홈페이지첫화면의공지사항란또는별도의창을통하여공지하는방법 2 서면 FAX 전자우편또는이와비슷한방법으로이용자에게공지하는방법 3 점포 사무소안의보기쉬운장소에써서붙이거나갖춰놓는방법 4 이용계약서에게재하여배포하는방법 정보통신망이용촉진및정보보호등에관한법률제27조의2( 개인정보취급방침의공개 ) 3 정보통신서비스제공자등은제1항에따른개인정보취급방침을변경하는경우에는그이유및변경내용을대통령령으로정하는방법에따라지체없이공지하고, 이용자가언제든지변경된사항을쉽게알아볼수있도록조치하여야한다. 정보통신망이용촉진및정보보호등에관한법률시행규칙제8조 ( 개인정보취급방침의공개방법등 ) 2 법제27조의2제3항및제67 조제1항에따른개인정보취급방침의변경이유및내용은다음각호중어느하나이상의방법으로공지한다. 1. 정보통신서비스제공자외의자가운영하는인터넷홈페이지의첫화면의공지사항란또는별도의창을통하여공지하는방법 2. 서면ㆍ모사전송ㆍ전자우편또는이와비슷한방법으로재화또는용역을제공받는자에게공지하는방법 3. 점포ㆍ사무소안의보기쉬운장소에써서붙이거나갖춰놓는방법 4. 재화또는용역을제공하기위한이용계약서에게재하여배포하는방법 104
제 6 장고객의개인정보는철저히관리하자 개인정보취급방침변경방법규정취지 개인정보취급방침에기재된내용은사업자의서비스변경 폐지, 인력 내부조직의변경등에따라서달라질수있다. 그러나이러한변경사항들이개인정보취급방침에제때반영되지않는다면, 이용자 ( 고객 ) 는어떤내용이어떻게바뀌었는지를확인하기어렵다. 이에따라법률에서는개인정보취급방침을변경할때에는, 변경이유 변경사유를고지하도록하고있다. 개인정보취급방침변경시주의할점 개인정보취급방침변경고지를할때에는해당개인정보취급방침의변경 시행일자도명확히기재함으로써이용자가변경된개인정보취급방침의적용시기를알수있도록조치해야한다. 개인정보취급방침변경공지문 ( 예시 ) 1. 시행일시 : 20XX. 03. 01 2. 변경사유 : I-PIN 서비스도입에따른수집항목변경안내 3. 변경내용 변경전 변경후 1.1 개인정보수집항목 - 성명, 아이디 (ID), 주민등록번호, 주소, 이메일, 휴대전화번호, 결제정보 1.1 개인정보수집항목 - 성명, 아이디 (ID), 주소, 이메일, 휴대전화번호, 결제정보 (I-PIN을입력하여회원으로가입하는경우에는주민등록번호를수집하지않음 ) 105
사업자를위한개인정보보호질의 응답집 개인정보관련사항변경시취급방침공개사항과동의받아야할사항 변경항목 변경에따른조치 개인정보취급방침변경 이용자의별도동의획득 동의획득관련정보통신망법조항 개인정보수집 이용목적 O O 제 22 조제 1 항제 1 호 1 수집하는개인정보항목 O O 제 22 조제 1 항제 2 호 수집방법 O X - 2 ( 개인정보를제3자에게제공하는경우 ) 제공받는자의성명 O O 제 24 조의 2 제 1 항제 1 호 제공받는자의이용목적 O O 제 24 조의 2 제 1 항제 2 호 제공하는개인정보항목 O O 제 24 조의 2 제 1 항제 3 호 3 개인정보보유 이용기간 O O 제 22 조제 1 항제 3 호 개인정보파기절차 파기방법 O X - O 4 ( 개인정보취급을위탁하는경우 ) 취급위탁을하는업무의내용및수탁자 O ( 다만서비스계약이행에필요한위탁의경우는동의불필요 ) 제25조제1항제1호및제2호 5 이용자및법정대리인권리와행사방법 O X - 6 인터넷접속정보파일등개인정보를자동으로수집하는장치의설치 운영 거부에관한사항 O X - 7 개인정보관리책임자의성명 ( 부서명칭 ) 과연락처 O X - 106
제 6 장고객의개인정보는철저히관리하자 학원은학원안내전화상담을담당하던업체가 A콜센터에서 B콜센터로변경됨에따라, 이를개인정보취급방침에반영하고그변경사실을이용자에게공지하였어야하나, 실제로는개인정보취급방침에변경내용을반영하기만하고이용자에게변경사실을공지하지는않음 현재 법제정후 개인정보취급방침을변경하는경우에는그이유및변경사항을행정안전부령으로정하는방법에따라지체없이공지하고, 이용자가언제든지변경된사항을쉽게알아볼수있도록조치 ( 정보통신망법제27조의2) 개인정보처리방침을수립하거나변경하는경우에는정보주체가쉽게확인할수있도록대통령령으로정하는방법에따라공개 ( 개인정보보호법제30조 ) 107
사업자를위한개인정보보호질의 응답집 Q ㅣ최근에해킹을통한개인정보유출사례가언론에많이보도되고있는데, 우리회사의개인정보 DB에대한해킹을차단하려면어떤조치를취해야하는가? A ㅣ정보통신망을통해개인정보에불법적으로접근하는행위를방지하기위해서침입차단시스템 침입탐지시스템등접근통제장치를설치하여야한다. 정보통신망이용촉진및정보보호등에관한법률제28조 ( 개인정보의보호조치 ) 1 정보통신서비스제공자등이개인정보를취급할때에는개인정보의분실ㆍ도난ㆍ누출ㆍ변조또는훼손을방지하기위하여대통령령으로정하는기준에따라다음각호의기술적ㆍ관리적조치를하여야한다. 2. 개인정보에대한불법적인접근을차단하기위한침입차단시스템등접근통제장치의설치ㆍ운영 정보통신망이용촉진및정보보호등에관한법률시행규칙제9조 ( 개인정보의보호조치 ) 2 법제28 조제1항및제67 조제1항에따른개인정보의안전성확보에필요한기술적조치는다음각호와같다. 2. 개인정보에대한권한없는접근을차단하기위한암호화와방화벽설치등의조치 사업자의개인정보보호조치기준 ( 제정 2010.12.30. 행정안전부고시제2010-86호 ) 제11조 ( 접근통제 ) 1 사업자는정보통신망을통한불법적인접근및침해사고방지를위해다음각호의기능을포함한시스템을설치 운영하여야한다. 1. 개인정보처리시스템에대한접속권한을 IP주소등으로제한하여인가받지않은접근을제한 2. 개인정보처리시스템에접속한 IP주소등을재분석하여불법적인개인정보유출시도를탐지 108
1 2 3 제 6 장고객의개인정보는철저히관리하자 접근통제장치의종류 정보통신망을통한불법적인접근을차단 통제할수있는장치로는침입차단시스템, 침입탐지시스템, 침입방지시스템등이있다. - ( 침입차단시스템 ) 일반적으로방화벽 (firewall) 이라고도부르며, 개인정보처리시스템에대한접속권한을 IP 주소등으로제한하여인가받지않은접근을차단 제한할수있는시스템 을말한다. - ( 침입탐지시스템 ) 사업자의개인정보처리시스템에접속한 IP, 트래픽등을재분석하여불법적인정보유출시도를탐지할수있는시스템을말한다. - ( 침입방지시스템, 기타 ) 최근에는침입차단시스템과침입탐지시스템이동시에구현되어있는침입방지시스템 (IPS; Intrusion Prevention System) 이나웹방화벽, 보안운영체제 (Secure OS) 등도널리이용되고있다. 설치방법 다양한상용침입차단 탐지시스템및공개 무료 S/W 등이있으므로, 해당사업자의규모, 서비스유형, 개인정보처리시스템특성등에따라접근통제장치를설치 운영하면된다. 정보보호평가 인증제품확인방법 국가정보원 IT보안인증사무국웹사이트방문 (http://service2.nis.go.kr/) Quick Menu에서 인증제품목록 선택다음의방법에따라제품검색 - 침입차단시스템 : 검색창에서 제품유형 을선택후 FW 를입력하고 검색 클릭 - 침입탐지시스템 : 검색창에서 제품유형 을선택후 IDS' 를입력하고 검색 클릭 - 침입방지시스템 : 검색창에서 제품유형 을선택후 IPS' 를입력하고 검색 클릭 - 웹방화벽 : 검색창에서 제품유형 을선택후 웹방화벽 ' 를입력하고 검색 클릭 - 보안운영체제 : 검색창에서 제품유형 을선택후 접근통제시스템 ' 을입력하고 검색 클릭 109
사업자를위한개인정보보호질의 응답집 토막상식 정보보호제품평가 인증제도 정보보호제품평가 인증제도는민간업체가개발한정보보호제품의안정성 신뢰성을정부가보증함으로써사용자들이안심하고제품을사용할수있도록지원하는제도를말한다. 우리나라에서는 1998년부터정보보호제품평가 인증제도를도입했으며, 2002년부터는국제공통평가기준 (Common Criteria) 에따라정보보호제품을평가 인증하고있다. 접근통제장치의설치 운영등기술적 관리적조치를하지아니하여이용자의개인정보를분실 도난 누출 변조 훼손한자에대해서는 2년이하의징역또는 1천만원이하의벌금이부과된다. Q ㅣ소규모사업자는별도의개인정보처리시스템없이 PC만이용해서업무를처리하는경우가많다. 이런경우에도침입차단 탐지시스템을설치 운영해야하는가? A ㅣ소규모사업자의경우에는해당사업자의규모에맞게시스템을운영하면된다. - ( 자체시스템및서버가없는중소 영세사업자 ) 인터넷데이터센터 (IDC) 나호스팅업체등에서제공하는보안서비스를이용 - ( 개인사업자 ) PC 를이용해서만업무를처리하는경우에는 PC운영체제에서자체제공하는방화벽기능을이용하거나 PC 용침입차단시스템등의 S/W를이용 110
제 6 장고객의개인정보는철저히관리하자 Windows XP에서의방화벽설정방법시작 설정 제어판 보안센터 Windows 방화벽 사용 에체크 확인클릭 공개용 ( 무료 ) S/W를사용하는경우에는보안수준을사전점검할필요가있음 ( 한국인터넷진흥원 공개용웹방화벽을이용한홈페이지보안 참조, http://www.krcert.or.kr/firewall2/) 현재 사업자는개인정보에대한불법적인접근을차단하기위한침입차단시스템등접근통제장치를설치ㆍ운영 ( 정보통신망법제28조제1항제2호 ) 법제정후 개인정보처리자는개인정보가분실 도난 유출 변조 훼손되지아니하도록안전성확보에필요한기술적 관리적및물리적조치이행 ( 구체적조치는대통령령으로정함 ) ( 개인정보보호법제29조 ) 111
사업자를위한개인정보보호질의 응답집 Q ㅣ내부직원이개인정보처리시스템에서개인정보를유출하는행위를방지하기위해서는어떤조치를취하면되는가? A ㅣ사업자는내부직원등에의한개인정보의유출을방지하기위하여접속기록의보존및위조 변조방지를위한조치를취하여야한다. 정보통신망이용촉진및정보보호등에관한법률제28조 ( 개인정보의보호조치 ) 1 정보통신서비스제공자등이개인정보를취급할때에는개인정보의분실ㆍ도난ㆍ누출ㆍ변조또는훼손을방지하기위하여대통령령으로정하는기준에따라다음각호의기술적ㆍ관리적조치를하여야한다. 3. 접속기록의위조ㆍ변조방지를위한조치 정보통신망이용촉진및정보보호등에관한법률시행규칙제9조 ( 개인정보의보호조치 ) 2 법제28 조제1항및제67 조제1항에따른개인정보의안전성확보에필요한기술적조치는다음각호와같다. 3. 접속기록의위조ㆍ변조방지를위한조치 사업자의개인정보보호조치기준 ( 제정 2010.12.30. 행정안전부고시제2010-86호 ) 제12조 ( 접속기록의위 변조방지 ) 1 사업자는개인정보취급자가개인정보처리시스템에접속한기록을월 1회이상정기적으로확인 감독하여야하며, 최소 6개월이상접속기록을보존 관리하여야한다. 2 개인정보취급자의접속기록이위 변조되지않도록해당접속기록을별도의물리적인저장장치에보관하고정기적으로백업을수행하여야한다. 112
제 6 장고객의개인정보는철저히관리하자 접속기록위 변조방지조치취지 개인정보의대량유출사고는해킹과같은외부의공격으로발생하는경우도있으나, 내부의직원 ( 본사직원, 대리점 영업점직원등 ) 에의해유출되는경우도상당수발생하고있다. 그러나만일내부직원의개인정보처리시스템접속현황에대한기록이없거나위 변조되었다면, 실제내부직원에의한개인정보유출이발생했다하더라도유출사고의원인조차파악할수없게된다. - 따라서개인정보처리시스템의접속기록를보존하고해당접속기록이위 변조되지않도록관리하는것은내부직원에의한악의적인접근 유출시도를예방하고, 사고발생시사고원인을파악할수있는중요한수단이된다. 이러한취지에서법률은개인정보처리시스템에대한접속기록을보존하고위 변조되지않도록조치를취할것을규정하고있다. 접속기록위 변조방지조치세부내용 사업자는개인정보취급자 ( 직원등 ) 가개인정보처리시스템에접속한기록을최소 6개월이상보존 관리해야하며, 월 1회이상정기적으로확인 감독하여야한다. - 접속기록의항목에는개인정보취급자의식별정보, 이용자 ( 고객 ) 의식별정보, 접속일시, 접속지, 수행업무등이포함되어야한다. 접속기록항목 ( 예시 ) 취급자식별정보정보주체식별정보접속일시접속지수행업무 홍길동 (K00050) 성춘향 (850301) 20XX.05.01 15:00:00 172.168.11.11 온라인상담 113
사업자를위한개인정보보호질의 응답집 접근기록의위조 변조방지를위한조치등기술적 관리적조치를하지아니하여이용자의개인정보를분실 도난 누출 변조 훼손한자에대해서는 2년이하의징역또는 1천만원이하의벌금이부과된다. 쇼핑몰은고객개인정보처리시스템접속기록에대한보존 관리조치를전혀실시하지않아, 내부직원이직무수행상필요한경우가아님에도불구하고단순호기심등으로고객개인정보및구매내역등을손쉽게무단열람 학원은개인정보처리시스템에대한접속기록의저장공간이부족하다는이유로, 접속기록을최소 6개월간보존해야함에도불구하고단지 1개월간만보관한뒤모두파기 현재 법제정후 개인정보처리자는개인정보가 사업자는접속기록의위조ㆍ변조방지를위한조치를하여야함 ( 정보통신망법제28조제1항제3호 ) 분실 도난 유출 변조 훼손되지아니하도록안전성확보에필요한기술적 관리적및물리적조치이행 ( 구체적조치는대통령령으로정함 ) ( 개인정보보호법제29조 ) 114
제 6 장고객의개인정보는철저히관리하자 Q ㅣ규모가작은중소기업으로인터넷회원수도많지않고보유하고있는개인정보도성명, ID, 비밀번호, 주민등록번호, 주소등비교적단순한경우인데도꼭암호화를해야하나? A ㅣ사업자는개인정보를안전하게저장 전송하기위하여암호화기술등을이용한보안조치를취하여야한다. 질의한사업자의경우에는비밀번호의일방향암호화저장, 주민등록번호의안전한암호화저장, 인터넷회원의로그인시보안서버적용등의조치를이행하여야한다. 정보통신망이용촉진및정보보호등에관한법률제28조 ( 개인정보의보호조치 ) 1 정보통신서비스제공자등이개인정보를취급할때에는개인정보의분실ㆍ도난ㆍ누출ㆍ변조또는훼손을방지하기위하여대통령령으로정하는기준에따라다음각호의기술적ㆍ관리적조치를하여야한다. 4. 개인정보를안전하게저장ㆍ전송할수있는암호화기술등을이용한보안조치 정보통신망이용촉진및정보보호등에관한법률시행령제15조 ( 개인정보의보호조치 ) 4 법제28조제1항제4호에따라정보통신서비스제공자등은개인정보가안전하게저장ㆍ전송될수있도록다음각호의보안조치를하여야한다. 1. 비밀번호및바이오정보 ( 지문, 홍채, 음성, 필적등개인을식별할수있는신체적또는행동적특징에관한정보를말한다 ) 의일방향암호화저장 2. 주민등록번호및계좌정보등금융정보의암호화저장 3. 정보통신망을통하여이용자의개인정보및인증정보를송신ㆍ수신하는경우보안서버구축등의조치 4. 그밖에암호화기술을이용한보안조치 정보통신망이용촉진및정보보호등에관한법률시행규칙제9조 ( 개인정보의보호조치 ) 2 법제28 조제1항및제67조제1항에따른개인정보의안전성확보에필요한기술적조치는다음각호와같다. 2. 개인정보에대한권한없는접근을차단하기위한암호화와방화벽설치등의조치 115
사업자를위한개인정보보호질의 응답집 사업자의개인정보보호조치기준 ( 제정 2010.12.30. 행정안전부고시제2010-86호 ) 제10조 ( 개인정보의암호화 ) 1 사업자는주민등록번호, 신용카드번호, 계좌번호등중요개인정보에대해서는안전한암호알고리즘으로암호화하여저장하여야한다. 2 사업자는비밀번호및바이오정보가복호화되지아니하도록일방향암호화하여저장하여야한다. 3 사업자는정보통신망을통해이용자의개인정보등을송 수신할때에는보안서버등의조치를통해이를암호화하여야한다. 4 중요개인정보를업무용컴퓨터에저장하여관리하는경우암호화소프트웨어나일반업무용프로그램 ( 엑셀, 한글등 ) 에서제공하는암호화방법을사용하여야한다. 개인정보암호화의취지 개인정보가암호화되지않고저장또는전송되고있다면, 만일내 외부의불법적인접근이나공격에의해해당개인정보가유출 노출되었을경우개인정보의내용을확인하여손쉽게 2차범죄에악용할수있게된다. 그러나개인정보가안전하게암호화되어관리되고있다면해당개인정보가유출 노출되었다하더라도 2차범죄에악용되는것을방지할수있다. 개인정보암호화의세부기준 개인정보저장시암호화 - ( 비밀번호, 바이오정보 ) 비밀번호및바이오정보는복호화되지아니하도록 일방향암호화 하여저장하여야한다. 일방향암호화를적용한개인정보는사업자가그내용을알수없으므로, 예컨대이용자가비밀번호의분실등을이유로비밀 116
제 6 장고객의개인정보는철저히관리하자 번호를알려달라고요청하는경우에는이에응할방법이없다. 따라서이러한경우에는다른수단을사용하여 ( 예를들어생년월일, 주소, 연락처등의정보를이용자에게확인하는방법 ) 이용자의신원을확인한뒤이용자에게임시로비밀번호를부여하여로그인하도록하고, 그이후에이용자본인이원하는새로운비밀번호를설정하도록하여야한다. - ( 주민등록번호, 금융정보 ) 주민등록번호및계좌번호 신용카드번호등금융정보는유 노출시 2차피해가발생할가능성이매우높으므로, 이정보들은 안전한암호알고리즘 으로암호화하여저장하여야한다. 토막상식 일방향암호화 / 안전한암호알고리즘 일방향암호화란개인정보에 일방향함수 ( 해쉬함수 ) 를적용하여암호화하는방식을말한다. 개인정보에일방향암호화를적용하면원래의개인정보로복호화할수없다. 안전한암호알고리즘 이란최소 80 비트이상의보안강도를가지는대칭키암호알고리즘을 말한다.( 자세한사항은한국인터넷진흥원암호이용활성화홈페이지 (http://seed.kisa.or.kr) - 자료실 - 암호알고리즘및키길이이용안내서 를참조 ) 개인정보전송시암호화 - 사업자가정보통신망을통하여이용자의개인정보를송 수신할경우에는보안서버등을이용하여암호화전송함으로써노출및불법적인접근으로인한 2차피해를방지하여야한다. 보안서버구축에관한자세한사항은한국인터넷진흥원보안서버홈페이지참조 (http://secsv.kisa.or.kr) 암호화기술등을이용한보안조치등기술적 관리적조치를하지아니하여이용자의개인정보를분실 도난 누출 변조 훼손한자에대해서는 2년이하의징역또는 1천만원이하의벌금이부과된다. 117
사업자를위한개인정보보호질의 응답집 Q ㅣ서비스제공이나상담등을위해서는회원들의주민등록번호앞 6자리 ( 생년월일 ) 를활용할경우가많은데, 주민등록번호를모두암호화하면암호화 / 복호화에따라시스템에상당한부하가발생한다. 별다른방법이없는가? A ㅣ주민등록번호, 계좌번호, 신용카드번호등은원칙적으로전부암호화해야하나, 시스템운영이나고객식별을위해해당개인정보를활용해야하는경우에는그개인정보의일부만을암호화할수있다. - ( 주민등록번호 ) 생년월일및성별을포함한앞 7자리를제외하고뒷자리 6개번호이상을암호화 ( 예 ) 750101-1###### - ( 신용카드번호 ) 카드유형정보를포함한 6자리를제외하고뒷자리 10개이상을암호화 ( 예 ) 4902-20##-####-#### 백화점은고객개인정보암호화조치의무를이행하지않고단순한평문으로개인정보를보관하여오다가, 해커의공격에의해대량의개인정보를유출당함 온라인게임사는이용자의 ID, 비밀번호등개인정보를암호화되지않고평문으로로그파일에저장되도록함에따라, 기술적보호조치미비를이유로고객들로부터손해배상소송 현재 사업자는개인정보를안전하게저장ㆍ전송할수있는암호화기술등을이용한보안조치를하여야함 ( 정보통신망법제28조제1항제4호 ) 법제정후 개인정보처리자는개인정보가분실 도난 유출 변조 훼손되지아니하도록안전성확보에필요한기술적 관리적및물리적조치이행 ( 구체적조치는대통령령으로정함 ) ( 개인정보보호법제29조 ) 118
제 6 장고객의개인정보는철저히관리하자 Q ㅣ바이러스방지를위한백신프로그램을설치해야한다고해서프로그램을구입하고 PC에설치하였다. 더이상의보호조치는필요없는가? A ㅣ사업자는백신소프트웨어의설치 운영등컴퓨터바이러스에의한침해방지조치를취하여야한다. 백신소프트웨어는최초에설치하는것도중요하지만, 이후지속적으로업데이트하여최신의컴퓨터바이러스나악성코드를방지할수있도록최선의상태를유지시키는것이필요하다. 정보통신망이용촉진및정보보호등에관한법률제28조 ( 개인정보의보호조치 ) 1 정보통신서비스제공자등이개인정보를취급할때에는개인정보의분실ㆍ도난ㆍ누출ㆍ변조또는훼손을방지하기위하여대통령령으로정하는기준에따라다음각호의기술적ㆍ관리적조치를하여야한다. 5. 백신소프트웨어의설치ㆍ운영등컴퓨터바이러스에의한침해방지조치 정보통신망이용촉진및정보보호등에관한법률시행규칙제9조 ( 개인정보의보호조치 ) 2 법제28 조제1항및제67조제1항에따른개인정보의안전성확보에필요한기술적조치는다음각호와같다. 4. 침해사고방지를위한보안프로그램의설치및운영 사업자의개인정보보호조치기준 ( 제정 2010.12.30. 행정안전부고시제2010-86호 ) 제13조 ( 보안프로그램의설치및운영 ) 사업자는개인정보를개인정보처리시스템또는업무용컴퓨터에보관하는경우에는보안프로그램을설치 운영하여야하며, 다음각호의사항을준수하여야한다. 1. 개인정보의취급및처리와관련된모든업무용컴퓨터에대해백신소프트웨어의자동업데이트사용또는엔진업데이트여부를최소일 1회이상확인 2. 악성프로그램관련경보가발령된경우또는사용중인소프트웨어의제작업체에서업데이트공지가있는경우관련백신소프트웨어의엔진업데이트및패치설치 119
사업자를위한개인정보보호질의 응답집 악성프로그램의개념 악성프로그램 이란의도적으로다른인터넷이용자에게피해를주고자악의적목적으로만든프로그램및실행가능한코드를의미한다. 여기에는컴퓨터바이러스 (Computer Virus), 인터넷웜 (Internet Worm), 트로이목마등이있다. - 악성프로그램은컴퓨터나서버, 데이터베이스에저장된자료를손상시키거나유출시킴으로써정상적인작업을방해한다. 특히최근에는개인정보를유출시키기위한목적의악성프로그램이많이등장하고있다. 이를방지하기위해백신소프트웨어등을이용하여악성프로그램을제거하거나감염되지않도록예방할필요가있다. 백신프로그램운영방법 악성프로그램은계속해서진화 발전되어유포되고있다. 이에대응하여백신프로그램제조사는새로운악성프로그램에대응할수있도록업데이트기능을제공하고있다. - 따라서백신소프트웨어는최소주 1회이상주기적으로갱신점검을하는것이바람직하며, 이때인터넷을이용한자동업데이트 / 실시간감지기능등을활용하면보다편리하고신속하게갱신 점검을할수있다. - 만일긴급한악성프로그램경보가발령된경우및백신소프트웨어제작업체에서업데이트공지가있는경우에는즉시최신소프트웨어로갱신 점검해야한다. 보안패치는운영체제 (OS) 나응용프로그램에내재된보안취약점보완을위해해당운영체제나프로그램제조사에서배포하는소프트웨어를말한다. 운영체제제작사등에서업데이트공지가있는경우신속히최신보안패치를적용하는것이필요하며, 가능하면자동적으로보안패치가업데이트되도록할필요가있다. 120
1 2 3 제 6 장고객의개인정보는철저히관리하자 토막상식 Windows XP 보안패치업데이트방법은? 인터넷익스플로러실행도구 Windows Update 실행최신업데이트소프트웨어확인및설치 자동보안패치설정방법은한국인터넷진흥원보호나라웹사이트참조 (http://www.boho.or.kr/pccheck/pcch_05.jsp?page_id=5) 121
사업자를위한개인정보보호질의 응답집 컴퓨터바이러스에의한침해방지조치등기술적 관리적조치를하지아니하여이용자의개인정보를분실 도난 누출 변조 훼손한자에대해서는 2년이하의징역또는 1천만원이하의벌금이부과된다. 콘도미니엄은운영체제및보안프로그램을정기적으로업데이트및관리하지않고있다가, 보안패치미적용에따른시스템취약점이발생하여해킹에의한개인정보유출피해를입음 현재 법제정후 백신소프트웨어의설치ㆍ운영등컴퓨터바이러스에의한침해방지조치 ( 정보통신망법제28조제1항제5호 ) 개인정보처리자는개인정보가분실 도난 유출 변조 훼손되지아니하도록안전성확보에필요한기술적 관리적및물리적조치이행 ( 구체적조치는대통령령으로정함 ) ( 개인정보보호법제29조 ) 122
제 6 장고객의개인정보는철저히관리하자 Q ㅣ고객모집영업을위해서본사외에대리점, 위탁점에도개인정보처리시스템접속을허용하려고한다. 접근권한을부여할때지켜야할기준에대해알고싶다. A ㅣ사업자는개인정보를취급하는자를최소한으로제한하여야한다. 특히개인정보처리시스템에대한접근권한은업무수행에필요한최소한의범위로업무담당자에따라차등부여하여야한다. 질의와같이대리점, 위탁점에개인정보처리시스템에대한접근권한을부여하는경우에도업무의성격에따라반드시필요한범위내에서최소한의자에게접근권한을부여해야한다. 정보통신망이용촉진및정보보호등에관한법률 제28조 ( 개인정보의보호조치 ) 2 정보통신서비스제공자등은이용자의개인정보를취급하는자를최소한으로제한하여야한다. 사업자의개인정보보호조치기준 ( 제정 2010.12.30. 행정안전부고시제2010-86호 ) 제9조 ( 접근권한, 인증및계정관리 ) 1 사업자는개인정보처리시스템에대한접근권한을업무수행에필요한최소한의범위로업무담당자에따라차등부여하여야한다. 2 사업자는전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을경우에는지체없이접근권한을변경또는말소하여야하며, 주기적으로접근권한을관리하여야한다. 3 사업자는제1항및제2항에의한권한부여, 변경또는말소에대한내역을기록하고, 그기록을최소 5년간보관하여야한다. 123
사업자를위한개인정보보호질의 응답집 개인정보취급자의제한 사업자는개인정보취급자를최소한으로제한하여야한다. 이는개인정보에대한접근권한이무분별하게부여됨에따라해당직원에의해개인정보의접근및유출, 오 남용이발생하는것을방지하기위한취지이다. 개인정보취급자의전보, 퇴직등으로인사이동이발생한경우에그사람이보유하고있던접근권한에대한관리가즉시이루어지지않으면예기치않은불법적접근 침해가발생할우려가있다. 따라서인사이동이있는경우에는그사람이보유하고있는접근권한을지체없이변경또는말소해야한다. 개인정보취급자의인사이동에따른접근권한관리를보다효율적으로처리하기위해서는, 업무인수인계서또는퇴직점검표등에개인정보처리시스템접근권한관리항목을반영하고확인을받는것이좋다. 또한, 사업자는개인정보처리시스템에대한접근권한부여, 변경, 말소에대한내역을 기록하고, 그기록을최소한 5 년간보관하여야한다. 통신사업자는본사및대리점의직원에대해개인정보처리시스템에대한접근권한을제한없이부여하여왔으며, 위탁영업점 ( 대리점 ) 의직원 A는이를악용하여사전승인없이개인정보를임의로열람 조회 출력 124
제 6 장고객의개인정보는철저히관리하자 Q ㅣ고객을대상으로이벤트를진행하고있는데, 개인정보가포함된응모권을사무실에놔두고있다. 이렇게개인정보자료를보관해도특별한문제는없는가? A ㅣ사업자는전산실, 자료보관실등개인정보를보관하고있는물리적보관장소에대한별도의출입통제절차를수립하여야하며, 접근기록을보관하여야한다. 질의와같은이벤트응모권등개인정보가기재된자료 서류는사무실내의별도의장소에보관하고출입통제를하거나, 최소한잠금장치를마련하여보관하는등물리적인접근방지조치를취하여야한다. 정보통신망이용촉진및정보보호등에관한법률시행규칙제9조 ( 개인정보의보호조치 ) 1 법제28조제1항및제67 조제1항에따른개인정보의안전성확보에필요한관리적조치는다음각호와같다. 3. 개인정보의안전한보관을위한잠금장치등물리적접근방지조치 사업자의개인정보보호조치기준 ( 제정 2010.12.30. 행정안전부고시제2010-86호 ) 제6조 ( 물리적접근제한 ) 1 사업자는전산실, 자료보관실등개인정보를보관하고있는물리적보관장소에대한별도의출입통제절차를수립하여야하며접근기록을보관하여야한다. 2 사업자는개인정보가포함된보조저장매체등을잠금장치가있는안전한장소에보관하여야한다. 물리적접근제한조치 개인정보를취급하는사업자는그개인정보를시스템에보관하거나또는문서, 125
사업자를위한개인정보보호질의 응답집 출력물등으로보관하는경우도많다. 따라서개인정보처리시스템에대한전산적접근통제외에, 이러한물리적보관장소에대해서도접근제한조치를취할필요가있다. 물리적보관장소에대해서는잠금장치등이마련되어야하고, 사업장에출입하는절차와는별도의출입통제절차가마련되어야한다. 즉, 개인정보를물리적으로보관하는장소에출입할수있는권한을부여받은직원만이출입이가능하도록해야하며, 그외에는비록직원이라도출입을허용해서는안된다. 보조저장매체의보관 최근에는 USB 메모리, 외장하드디스크와같은이동식보조저장매체를사용하여업무를처리하는경우가늘어나면서, 이러한이동식보조저장매체를통한개인정보유출이새로운문제가되고있다. 사업자는개인정보가포함된보조저장매체등을잠금장치가있는안전한장소에보관하여야한다. 물리적인접근제한조치등기술적 관리적조치를하지아니하여이용자의개인정보를분실 도난 누출 변조 훼손한자에대해서는 2년이하의징역또는 1천만원이하의벌금이부과된다. 정유사의직원 A는고객개인정보를아무런통제절차없이외장형하드디스크, USB 메모리등에편집 저장한뒤외부로유출 126
제 6 장고객의개인정보는철저히관리하자 Q ㅣ우리회사는업무성격상개인정보를종이에출력하는경우가많다. 이경우어떠한보호조치를취해야하는지알고싶다. A ㅣ사업자가개인정보를종이로출력하거나보조저장매체에복사할경우에는출력 복사물의일련번호, 형태, 일시, 목적, 출력 복사한자의소속 성명, 전달받을자, 파기책임자에관한사항을기록하고개인정보관리책임자의승인을받아야한다. 사업자의개인정보보호조치기준 ( 제정 2010.12.30. 행정안전부고시제2010-86호 ) 제8조 ( 출력 복사시보호조치 ) 1 개인정보취급자가개인정보를종이로출력또는보조저장매체에복사할경우에는다음각호의사항을기록하고개인정보관리책임자의승인을받아야한다. 출력 복사물을다시출력또는복사하는경우에도또한같다. 1. 출력 복사물일련번호 2. 출력 복사물의형태 3. 출력 복사일시 4. 출력 복사의목적 5. 출력 복사한자의소속및성명 6. 출력 복사물을전달받을자 7. 출력 복사물의파기 ( 예정 ) 일자 8. 출력 복사물의파기책임자등 출력 복사시보호조치 개인정보유출의대부분은내부개인정보취급자에의해서발생하고있으며대부분 127
사업자를위한개인정보보호질의 응답집 인쇄물출력이나외장하드, CD/DVD, USB 메모리등보조저장매체에복사하는형태로이루어지고있다. 따라서내부개인정보취급자가업무상개인정보를인쇄 복사할경우에는사전통제절차를거치도록하고내역을기록하도록함으로써, 개인정보유출을사전방지하는효과를거두는한편만약유출사고가발생한경우에는유출경로를확인할수있다. 출력 복사시기록할사항 출력 복사시기록할사항에대한세부적사항은다음과같다. - ( 일련번호 ) 별도일련번호가부여되는영수증, 신용카드전표, 탑승권등은출력 복사물일련번호를기록하지아니할수있다. 한편일련번호기록은디지털워터마킹기능을활용할수도있다. - ( 형태 ) 출력 복사물의형태는 종이인쇄 또는 이동식보조저장매체 등으로구분된다. 다만출력 복사물의형태를반드시 종이인쇄, USB메모리복사 등과같이기록할필요는없으며분류가가능한약어를사용하는것도무방하다. - ( 파기 ( 예정 ) 일자, 파기책임자 ) 개인정보의출력 복사물의파기일자나파기책임자를사전에알수없는경우가있다. 이러한때에는관련사항을기록하지않을수있다. 이용자본인이출력 복사를요구하는경우, 법률에따라개인정보를제공하는경우등 128
제 7 장 고객의개인정보권리, 언제어디서나당당하게 1. 고객이회원탈퇴를요구할때는 2. 가입은쉽게탈퇴는가입보다더쉽게 3. 이용자가수집동의에대한증빙을요구할때는 4. 개인정보이용내역을요구하는경우는 5. 개인정보의이용정정요구는이렇게대응하자 6. 지체없이필요한조치란 7. 개인정보파기는언제어떻게해야하는가 8. 개인정보파기의예외사유는
사업자를위한개인정보보호질의 응답집 제 7 장고객의개인정보권리, 언제어디서나당당하게 Q ㅣ이용자가회원탈퇴를요구했을때는어떤조치를취해야하는지알고싶다. A ㅣ이용자로부터회원탈퇴요구를받은경우, 사업자는원칙적으로수집된개인정보를파기하고회원자격을말소하는등의조치를지체없이취해야한다. 정보통신망이용촉진및정보보호등에관한법률제30조 ( 이용자의권리등 ) 1 이용자는정보통신서비스제공자등에대하여언제든지개인정보수집ㆍ이용ㆍ제공등의동의를철회할수있다. 3 정보통신서비스제공자등은이용자가제1항에따라동의를철회하면지체없이수집된개인정보를파기하는등필요한조치를하여야한다. 동의철회에따른조치 이용자는자신의개인정보를사업자가수집 이용 제공하는데동의할권리가인정되는한편, 언제든지그동의를철회할권리도있다. 그러나, 실제사업자의영업형태에서는 개인정보의수집 이용 제공동의철회 라는용어보다는 회원탈퇴신청, 서비스거부신청 등의용어가자주사용되므로, 이용자의요구가어느유형의동의철회에해당하는지를판단하여필요한조치를취해야한다. 동의철회에따른필요한조치의예시는아래와같다. 130
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee???ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee???ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? 제 7 장고객의개인정보권리, 언제어디서나당당하게 동의철회에따른필요한조치예시 구분실제유형필요한조치예시 수집동의철회 이용동의철회 제공동의철회 - 회원 멤버십의탈퇴 해지신청 - 제품홍보메일수신을허용한고객이메일수신을거부하는경우 - 부가서비스를신청했던고객이그부가서비스이용을거부하는경우 - 제휴이벤트에따라제휴사에개인정보제공을허용했던이용자가그제공을취소하는경우 ( 이벤트참가취소 ) 회원자격말소, 개인정보파기 개인정보파기는다른법률에의해보존이필요한경우는제외 홍보메일발송중지조치부가서비스제공중지조치 제 3 자제공된개인정보의파기 회수 만 14 세미만아동의동의철회권 만 14 세미만아동의개인정보에대한수집 이용 동의철회는그아동의법정대리인이행사할수있다. 정보통신망이용촉진및정보보호등에관한법률제31조 ( 법정대리인의권리 ) 1 ( 생략 ) 2 법정대리인은해당아동의개인정보에대하여제30조제1항및제2항에따른이용자의권리를행사할수있다. 이용자권리의공개 사업자는개인정보의수집 이용 제공에대한동의철회권등이용자의권리를개인정보취급방침에게재하여공개하여야한다. h? h? h? h? h? h? 개인정보취급방침 과관련된항목 제6장고객의개인정보는철저히관리하자 1. 개인정보취급방침, 이것만은꼭기억하자 (96페이지) g g g g g g???????? 131
사업자를위한개인정보보호질의 응답집 이용자의개인정보수집 이용 제공등의동의철회에도불구 하고사업자가지체없이개인정보를파기하는등필요한조치를 하지않은경우에는 3 천만원이하의과태료가부과된다. Q ㅣ회원탈퇴신청이있는경우회원DB에서는개인정보를삭제하지만홍보메일 DB에서는삭제되지않아회원탈퇴후에도홍보메일이발송되는경우가있다. 이러한경우도문제가될수있는가? A ㅣ이용자의회원탈퇴신청 ( 동의철회 ) 시기본적인회원자격말소등은물론이고, 홍보메일수신등회원자격에따르는모든서비스등도지체없이중지조치를취해야한다. 호텔은회원이웹사이트를통하여회원탈퇴신청을한경우, 탈퇴조치는즉시취해주고있으나회원개인정보파기등 탈퇴에따르는조치 는이행하지않아나중에광고메일이탈퇴회원에게전송 현재 이용자는사업자에대하여언제든지개인정보수집 이용 제공등의동의를철회할수있음 ( 정보통신망법제30조 ) 법제정후 정보주체는개인정보처리자에대하여자신의개인정보의정정 삭제 처리정지를요구할수있음 ( 개인정보보호법제36조, 제37조 ) 132
제 7 장고객의개인정보권리, 언제어디서나당당하게 Q ㅣ할인점고객을대상으로온 오프라인가입신청을받는멤버십제도를운영하고있는데멤버십탈퇴는잔여포인트조회 정산등을위해반드시할인점고객센터에내방하여처리하도록하고있다. 이러한방식에문제는없는지알고싶다. A ㅣ사업자는개인정보의수집 이용 제공등에대한동의철회 ( 회원탈퇴신청등 ) 방법, 개인정보에대한열람 제공 오류정정요구방법을개인정보의수집 ( 회원가입 ) 방법보다쉽게하여야한다. 따라서질의와같이멤버십가입신청을온 오프라인으로모두받고있다면, 멤버십탈퇴신청도오프라인은물론온라인으로도탈퇴가가능하도록조치하여야한다. 정보통신망이용촉진및정보보호등에관한법률제30조 ( 이용자의권리등 ) 6 정보통신서비스제공자등은제1항에따른동의의철회또는제2항에따른개인정보의열람ㆍ제공또는오류의정정을요구하는방법을개인정보의수집방법보다쉽게하여야한다. 수집보다더쉬운동의철회방법 법률은이용자의개인정보동의철회및열람 제공 오류정정요구는개인정보수집보다쉽게하도록정하고있다. 이는일부사업자들이회원확보 유지를위하여가입은손쉽게하는반면탈퇴는까다롭게하는경우를방지하기위한취지이다. 예를들어, 온라인웹사이트를통해가입신청을받았다면탈퇴신청도웹사이트를통해손쉽게이루어질수있도록조치하여야한다. 일부사업자의경우회원탈퇴 133
사업자를위한개인정보보호질의 응답집 처리시요금정산, 포인트정산, 신원확인등을이유로오프라인에서의처리를요구하는경우가종종있으나, 만약온라인으로회원가입을받았다면이러한요금정산등의조치도온라인에서처리되어야한다. 다만, 온라인으로회원탈퇴를처리하는경우에는오프라인에비해회원본인이맞는지확인하는것이상대적으로어려우므로, 예컨대본인이아닌제3자가악의적으로회원탈퇴처리를하는등의피해가나타날수있다. 예 ) 타인의게임사이트 ID, 비밀번호를도용한후게임아이템을절취한뒤회원탈퇴신청을하는사례 - 이러한피해사례를방지하기위해서는, 온라인회원탈퇴처리시에패스워드및기타인증정보 ( 공인인증서, 휴대폰인증, 아이핀등 ) 를이용하여본인인증을추가로실시하는것이안전하다. 토막상식 웹사이트회원탈퇴기능구현안내서 한국인터넷진흥원은웹사이트를통한안전한회원탈퇴기능을구현하기위한안내서를제공하고있다. www.kisa.or.kr 자료실 관련법령 안내서 해설서 웹사이트회원탈퇴기능구현안내서 사업자가개인정보의수집 이용 제공등에대한동의철회방법, 개인정보에대한열람 제공 오류정정요구방법을개인정보수집방법보다쉽게하지않은경우에는 3천만원이하의과태료가부과된다. 134
제 7 장고객의개인정보권리, 언제어디서나당당하게 Q ㅣ웹사이트에반드시 회원탈퇴 메뉴를만들어야하는가? 이메일, 전화등을통해회원탈퇴신청을받는것은안되는가? A ㅣ전화나이메일등을통한회원탈퇴조치도가능하다. 다만전화나이메일을통한회원탈퇴요청은웹사이트에서의회원탈퇴전용메뉴보다불편한점이있고, 무엇보다회원본인인지의확인 ( 본인인증 ) 이어려울수있다. 따라서온라인가입회원에대해서는가능한웹사이트에서본인인증및회원탈퇴조치가이루어지도록 회원탈퇴메뉴 를구성하는것이바람직하다. Q ㅣ게임사이트를운영하고있는데, ID 도용및이에따른게임아이템절취사건이자주발생하고있어부득이회원탈퇴신청시신원확인을위해이용자본인의신분증 ( 주민등록증등 ) 사본을반드시요구하고있다. 법률상문제는없는가? A ㅣ이용자의회원탈퇴는가입보다쉽게하여야하므로, 가입시요구되지않았던신분증사본등을탈퇴시에요구하는것은법률위반에해당한다. 타인에의한악의적인회원탈퇴를방지하기위해서는온라인상에서비밀번호외에별도의인증정보 ( 공인인증서, 휴대폰인증, 아이핀등 ) 를받아신원을확인하거나, 주민등록증진위확인서비스를이용하여본인인지여부를확인하는방법을이용할수있다. 토막상식 주민등록증진위확인서비스 주민등록증상의성명, 주민등록번호, 발급일자정보및공인인증서를이용하여그주민등록증의진위여부를확인할수있는방법이다. 이용방법 : 민원24(www.minwon.go.kr) 확인서비스 주민등록증진위확인 ( 서비스이용을위해서공인인증서필요 ) 135
사업자를위한개인정보보호질의 응답집 Q ㅣ사망한사람의회원탈퇴를유가족이대리하여요청할수있는가? A ㅣ이용자본인이사망한경우는유가족이회원의사망확인서, 가족관계등록부등을구비하여탈퇴를신청할수있다. 어학원은학원수강이력이있는회원은온라인회원탈퇴신청만으로회원탈퇴를해주지않고오프라인에서별도의상담원의면담을거쳐야만탈퇴할수있도록함으로써, 개인정보동의철회 ( 탈퇴 ) 방법을회원가입방법보다쉽게하도록규정한관련법률을위반 현재 법제정후 개인정보의수집등에대한동의철회방법은개인정보수집방법보다쉽게하여야함 ( 정보통신망법제30조 ) 개인정보의수집등에대한동의철회방법을개인정보수집방법보다쉽게하는데대한별도규정없음 개인정보의정정 삭제요구방법등에필요한사항은대통령령으로정함 ( 개인정보보호법제35조, 제36조, 제37조 ) 136
제 7 장고객의개인정보권리, 언제어디서나당당하게 Q ㅣ프랜차이즈외식업체를운영하고있는데, 고객들에게서면으로멤버십가입신청서를받은뒤포인트적립이나신메뉴안내등의서비스를제공해왔다. 그런데어떤고객이자신은멤버십가입신청서에동의한적이없다면서확인을요구해왔다. 이런경우어떻게해야하는가? A ㅣ이용자로부터개인정보수집동의여부에대한확인요구를받은경우에는지체없이해당회원의가입신청서를제시하여동의기재란의자필서명여부등을열람 확인할수있도록하여야한다. 정보통신망이용촉진및정보보호등에관한법률제30조 ( 이용자의권리등 ) 1( 생략 ) 2 이용자는정보통신서비스제공자등에대하여본인에관한다음각호의어느하나의사항에대한열람이나제공을요구할수있고오류가있는경우에는그정정을요구할수있다. 1. 정보통신서비스제공자등이가지고있는이용자의개인정보 2. 정보통신서비스제공자등이이용자의개인정보를이용하거나제3자에게제공한현황 3. 정보통신서비스제공자등에게개인정보수집 이용 제공등의동의를한현황 3 ( 생략 ) 4 정보통신서비스제공자등은제2항에따라열람또는제공을요구받으면지체없이필요한조치를하여야한다. 개인정보수집 이용 제공동의내역요구 이용자는사업자에대하여자신의개인정보또는개인정보를이용하거나제3자에게제공한현황, 이용자가수집 이용 제공등에대해동의한현황에대해열람 제공 오류정정을요구할수있다. 137
e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee? e?e??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee???ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee???ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee??ee????????? 사업자를위한개인정보보호질의 응답집 - ( 온라인 ) 개인정보처리시스템과연동하여이용자의동의내역요구를즉시열람 조회할수있도록하여야한다. - ( 서면등오프라인 ) 이용자의동의내역요구가있는경우, 서면가입신청서, FAX, 전화녹취자료등을지체없이제시하여야한다. h? h? h? h? h? h? 개인정보수집 이용 동의내역요구 와관련된항목 제7장고객의개인정보권리, 언제어디서나당당하게 4. 개인정보이용내역을요구하는고객은 (139페이지) g g g g g g 현재 법제정후 이용자는사업자에대해자신의개인정보, 개인정보이용및제3자제공현황, 개인정보수집 이용 제공등의동의를한현황에대해열람 정정을요구할수있음 ( 정보통신망법제30조제2항, 제4항 ) 개인정보처리자는정보주체로부터정당하게개인정보를수집하였고동의를획득하였다는것을입증하여야함 ( 개인정보보호법제16조제1항, 제22조제2항 ) 138
제 7 장고객의개인정보권리, 언제어디서나당당하게 Q ㅣ고객이현재까지부가서비스가입내역등의개인정보이용내역을전부확인시켜줄것을요구하고있다. 개인정보이용내역분량이매우많은데, 이러한경우에는어떻게조치하면되는가? A ㅣ사업자는이용자의열람 제공요구가있는경우에는지체없이필요한조치를취하여야한다. 질의와같이부가서비스가입내역등개인정보이용내역을요구한경우에는비록그해당기간이길고분량이많다하더라도지체없이열람 제공하여야한다. 정보통신망이용촉진및정보보호등에관한법률제30조 ( 이용자의권리등 ) 2 이용자는정보통신서비스제공자등에대하여본인에관한다음각호의어느하나의사항에대한열람이나제공을요구할수있고오류가있는경우에는그정정을요구할수있다. 1. 정보통신서비스제공자등이가지고있는이용자의개인정보 2. 정보통신서비스제공자등이이용자의개인정보를이용하거나제3자에게제공한현황 3. 정보통신서비스제공자등에게개인정보수집ㆍ이용ㆍ제공등의동의를한현황 4 정보통신서비스제공자등은제2항에따라열람또는제공을요구받으면지체없이필요한조치를하여야한다. 열람 제공및정정요구권 이용자가개인정보열람 제공및정정을요구할수있는사항은아래와같다. 개인정보그자체뿐만아니라개인정보의이용 제3자제공현황등도포함됨에유의하여야한다. 139
사업자를위한개인정보보호질의 응답집 열람 제공, 정정을요구할수있는사항 1. 사업자가가지고있는이용자의개인정보 2. 사업자가이용자의개인정보를이용하거나제3자에게제공한현황 3. 이용자가사업자에게개인정보수집ㆍ이용ㆍ제공등의동의를한현황 열람 제공및정정요구에따른조치 이용자가개인정보의열람 제공, 오류정정을요구한경우에는사업자는지체없이그에따른필요한조치를취하여야한다. 열람 제공, 오류정정요구시필요한조치예시 요구대상 사업자가보관하고있는개인정보 필요한조치예시 온라인을통한개인정보조회메뉴제공, 회원명부등서류를원본그대로또는복사하여이용자에게제공등 개인정보이용 제3자제공현황 부가서비스가입내역, 홍보이메일 전화발송내역, 제휴사에대한개인정보제공내역등을온라인조회메뉴를통해제공하거나관련서류로제공 개인정보수집 이용 제공등의동의현황 온라인을통한회원가입동의여부, 서면가입신청서원본등을제공 열람 제공후오류가있는경우에는그에대한정정조치포함 이용자의오류정정요구에도불구하고지체없이조치를취하지못하는경우가 있을수있다. 이때에는그사유를이용자에게알리고, 필요한조치를할때까지는 해당개인정보를이용 제공하여서는안된다. 또한, 이용자의열람 제공및정정요구도이용자의동의철회요구와마찬가지로 개인정보수집보다쉽게하여야한다. 예를들어, 온라인웹사이트를통해회원 140
제 7 장고객의개인정보권리, 언제어디서나당당하게 가입을받은경우라면개인정보의열람도온라인으로가능하도록조치하여야한다. 이용자가본인에관한개인정보의열람및제공을요구하였으나사업자가지체없이필요한조치를하지않은경우에는 3천만원이하의과태료가부과된다. 현재 법제정후 이용자는사업자에대하여본인의개인정보에대한열람 제공및오류에대한정정을요구할수있음 ( 정보통신망법제30조 ) 정보주체는개인정보처리자가처리하는자신의개인정보열람을요구할수있음 ( 개인정보보호법제35조 ) 141
사업자를위한개인정보보호질의 응답집 Q ㅣ고객들에대하여우리회사서비스의광고메일및전화 (TM) 홍보를실시하고있는데, 어떤고객이수신거부를요청하였다. 이경우취해야할조치는무엇인가? A ㅣ이용자가광고메일및전화 TM 에대한수신거부를요청한경우에사업자는지체없이발송중지및리스트삭제등필요한조치를취하여야한다. 정보통신망이용촉진및정보보호등에관한법률제30조 ( 이용자의권리등 ) 1 이용자는정보통신서비스제공자등에대하여언제든지개인정보수집ㆍ이용ㆍ제공등의동의를철회할수있다 3 정보통신서비스제공자등은이용자가제1항에따라동의를철회하면지체없이수집된개인정보를파기하는등필요한조치를하여야한다. 광고성전자우편발송, 전화 TM 등에대한수신거부 최근온라인을기반으로한사업활성화에따라대부분의사업자는고객을대상으로이메일, 전화등을통해광고나마케팅을실시하고있다. 그러나수시로전송되는대량의광고성메일이나전화TM으로이용자들이불편을호소하는사례또한증가하고있다. 이에따라이용자가개인정보를광고 마케팅등에이용하는데동의하였다하더라도이후에동의를철회할수있도록규정함으로써개인정보가무분별하게광고 마케팅에이용되는것을방지하고있다. 142
제 7 장고객의개인정보권리, 언제어디서나당당하게 특히, 현행법률은광고성메일 전화에대해서는 수신거부 제도를별도로규정하고있다. 즉수신자의명시적인수신거부의사에반하여영리목적의광고성전자우편을전송할수없다. 정보통신망이용촉진및정보보호등에관한법률제50조 ( 영리목적의광고성정보전송제한 ) 1 누구든지전자우편이나그밖에대통령령으로정하는매체를이용하여수신자의명시적인수신거부의사에반하는영리목적의광고성정보를전송하여서는아니된다. 이용자가개인정보이용에대한동의를철회하였음에도불구하고사업자가지체없이필요한조치를하지않은경우에는 3천만원이하의과태료가부과된다. 현재 법제정후 이용자가마케팅등개인정보이용에대한동의를철회한경우, 사업자는지체없이필요한조치를취하여야함 ( 정보통신망법제30조 ) 정보주체는개인정보처리자에대하여자신의개인정보의정정 삭제 처리정지를요구할수있음 ( 개인정보보호법제36조, 제37조 ) 개인정보처리자는정보주체에게재화 서비스를홍보하거나판매를권유하기위하여동의를받으려는때에는정보주체가이를명확하게인지할수있도록알리고동의를받아야함 ( 개인정보보호법제22조제3항 ) 143
사업자를위한개인정보보호질의 응답집 Q ㅣ멤버십가입고객이자신의가입내역과서비스이용내역을조회해줄것을요구하였는데, 관련서류와기록을모두찾아해당고객에게제공하는데시간이소요되었다. 그런데해당고객은법률의규정에따라 지체없이 필요한조치를취하지않았다며항의를해왔다. 지체없이 가구체적으로얼마만큼의기간을의미하는것인지알고싶다. A ㅣ 지체없이 는이용자의요구에대한조치를가장우선순위를두어처리하는데소요되는시간을말한다. 질의와같이오프라인에서의서류조사등에시간이다소소요되고, 사업자가고의로업무처리를지연한사정이없다고보이는이상이는법률에따른 지체없이 필요한조치를취한경우에해당된다. 정보통신망이용촉진및정보보호등에관한법률제30조 ( 이용자의권리등 ) 3 정보통신서비스제공자등은이용자가제1항에따라동의를철회하면지체없이수집된개인정보를파기하는등필요한조치를하여야한다. 4 정보통신서비스제공자등은제2항에따라열람또는제공을요구받으면지체없이필요한조치를하여야한다. 지체없이필요한조치 이용자가개인정보수집등에대한동의를철회하였거나개인정보등에대한열람 제공및정정을요구한경우사업자는 지체없이 필요한조치를취하여야한다. 지체없이 의기간 내역을일률적으로정하는것은곤란하며, 이용자의 144
제 7 장고객의개인정보권리, 언제어디서나당당하게 요구내용, 사업자의업무특성등을종합적으로고려하여해당사업자의조치가지체없이이루어진것인지를개별적으로판단하여야한다. - 예를들어온라인으로회원가입한고객의탈퇴신청은다른별도의사정이없는한온라인으로즉시조치가가능하여야하며, 오프라인회원가입고객의열람 정정요구는다른업무에우선하여최대한신속하게해당서류를조회 열람이가능하도록하는것이 지체없이 필요한조치를취한것에해당된다. Q ㅣ우리회사의웹사이트에는별도의회원탈퇴메뉴가없고, 게시판이나메일을통해서탈퇴신청을접수 처리하고있다. 그런데어떤회원이게시판에 3번에걸쳐회원탈퇴를요구하는글을남겼는데담당직원이다른업무로바빠처리를하지못하였다. 어떤문제가되는가? A ㅣ사업자는이용자의개인정보의수집 이용 제공등에대한동의를철회하거나, 개인정보등에대한열람 제공을요구한경우에는지체없이필요한조치를하여야한다. 질의와같이온라인을통한회원탈퇴신청의경우에는즉시처리가가능한것이통상적이므로, 바쁘다는이유만으로 3번에걸친회원탈퇴요구를처리하지못한것은 지체없이 필요한조치를취하지않은것에해당한다. 사업자는회원탈퇴요구를지체없이처리하였어야함에도불구하고, 고객 A씨가수차례에걸쳐회원탈퇴를요구하였음에도특별한이유없이한달이상회원탈퇴처리를지연 145
사업자를위한개인정보보호질의 응답집 Q ㅣ할인마트의고객들을대상으로경품추첨이벤트를실시하였는데, 이벤트종료후이벤트응모신청서는어떻게처리하면되는지알고싶다. A ㅣ경품추첨이벤트가종료된때에는응모자로부터개인정보의보유 이용기간에대해별도의동의를얻지않았다면, 지체없이개인정보가기재된응모신청서를파기하여야한다. 정보통신망이용촉진및정보보호등에관한법률제29조 ( 개인정보의파기 ) 정보통신서비스제공자등은다음각호의어느하나에해당하는경우에는해당개인정보를지체없이파기하여야한다. 다만, 다른법률에따라개인정보를보존하여야하는경우에는그러하지아니하다. 1. 제22조제1항, 제23 조제1항단서또는제24조의2제1항ㆍ제2항에따라동의를받은개인정보의수집ㆍ이용목적이나제22조제2항각호에서정한해당목적을달성한경우 2. 제22조제1항, 제23 조제1항단서또는제24조의2제 1항ㆍ제2항에따라동의를받은개인정보의보유및이용기간이끝난경우 3. 제22조제2항에따라이용자의동의를받지아니하고수집ㆍ이용한경우에는제27조의2제2항제3호에따른개인정보의보유및이용기간이끝난경우 4. 사업을폐업하는경우 개인정보파기사유 개인정보를파기하여야하는구체적예시는다음과같다. 146
제 7 장고객의개인정보권리, 언제어디서나당당하게 개인정보파기사유예시 파기사유개인정보수집 이용달성보유 이용기간종료사업폐지 구체적사례 이용자가회원 멤버십에서탈퇴한경우 이용자가참여한이벤트가종료된경우 이용자가동의한홍보 마케팅이종료된경우 개인정보수집시에동의받은보유 이용기간이종료된경우 다른법률에따라서보관해야하는기간이종료된경우 해지고객이이용요금을미납한경우, 해당요금이정산될때까지 회사의파산 청산등사업종료 해당서비스폐지 개인정보파기시점 개인정보의수집 이용목적이달성된경우등에는해당개인정보는 지체없이 파기하여야한다. 여기서의 지체없이 는시간상으로 즉시 를의미하는것은아니며, 개인정보파기에최대한의업무우선순위를두어신속히처리하는데소요되는시간을의미한다. 사업자가개인정보를지체없이파기하였는지에대해서는개인정보의저장매체, 파기방법등을종합적으로고려하여개별적으로판단하여야한다. 개인정보파기방법 개인정보를파기할때는다시재생하거나식별할수없도록파기하여야한다. - ( 서면에기재된개인정보 ) 가입신청서, 이벤트참가신청서등개인정보가기재된서면의경우에는소각, 분쇄등재생할수없는방법으로파기 - ( 전자적방법으로저장된개인정보 ) 매체를반복사용할필요가없는 CD-ROM, DVD-ROM 등 : 물리적으로파기 분쇄 매체를반복사용할필요가있는하드디스크등 : 로우레벨포맷 (Low Level Format) 등데이터복원을방지할수있는방법을사용하거나별도의전용소거 S/W를사용하여파기 147
사업자를위한개인정보보호질의 응답집 토막상식 로우레벨포맷 (Low Level Format) 하드디스크의표면에저장공간을전자적으로구분하는트랙과섹터만표시되어있는상태를말하며, 이상태에서는컴퓨터에서하드디스크를사용할수없다. 여기에컴퓨터운영체제가하드디스크를인식하고기록할수있도록파티션을분할하는것을 하이레벨포맷 (High Level Format) 이라칭한다. 사업자가별다른예외사유없이개인정보를파기하지않은경우에는 3천만원이하의과태료가부과된다. Q ㅣ경영부진으로사업을폐업하고자한다. 이경우고객개인정보는어떻게하여야하는가? A ㅣ사업자가사업을폐업하는경우에는이용자들에게사업폐업일시, 폐업사유, 보유중인개인정보의파기방침등을고지하고, 해당개인정보를모두파기하여야한다. Q ㅣ게시판에서악성댓글, 명예훼손등을반복하는이른바 불량회원 을제재하기위하여, 회원제명후일정기간동안재가입을방지하는조치를취하려한다. 그런데이를위해서는불량회원의개인정보를파기하지않고보관하는것이필요하다. 어떻게하면가능한지알고싶다. A ㅣ악성댓글, 명예훼손등을반복하는이른바 불량회원 의개인정보를파기하지않고보관하기위해서는회원가입시고지사항 ( 개인정보의수집 이용기간 ) 에게재하여동의를얻고, 개인정보취급방침및이용약관에도불량회원의탈퇴이후에개인정보보관이유를게시함으로써불량회원개인정보를보관할수있다. 148
제 7 장고객의개인정보권리, 언제어디서나당당하게 포털은약 800 만의회원을보유하고있었으나, 경영악화를이유로웹사이트를 폐쇄하게되자회원개인정보파기, 탈퇴절차안내등필요한조치를전혀취하지않고일방적으로웹사이트를폐쇄 마트등에서출력한개인정보가적법한파기절차를거치지않고외부로유출되어붕어빵포장봉투등으로재활용되다가적발 현재 법제정후 개인정보의수집 이용목적이달성된경우등에는지체없이개인정보를파기 ( 정보통신망법제29조 ) 개인정보의처리목적달성등개인정보가불필요하게되었을때에는지체없이개인정보파기 ( 개인정보보호법제21조 ) 현행법률의취지와같음 149
사업자를위한개인정보보호질의 응답집 Q ㅣ쇼핑몰에서탈퇴한회원들의개인정보를파기하려고하는데, 일부회원들은할부요금이아직미납되었거나제품 A/S 기간이남아있다. 이러한경우에는어떻게해야하는가? A ㅣ사업자는개인정보의수집 이용목적이달성된경우등에는지체없이개인정보를파기하여야하나, 예외적으로 다른법률에따라개인정보를보존하여야하는경우 에는개인정보를파기하지않고보존할수있다. 예들들어, 전자상거래등에서의소비자보호에관한법률및시행령에서는대금결제및재화공급에관한기록을 5년간보관하도록하고있으므로, 질의와같이요금미납, A/S 등에해당하는경우에는동법에의거 5년간개인정보보관이가능하다. 정보통신망이용촉진및정보보호등에관한법률제29조 ( 개인정보의파기 ) 정보통신서비스제공자등은다음각호의어느하나에해당하는경우에는해당개인정보를지체없이파기하여야한다. 다만, 다른법률에따라개인정보를보존하여야하는경우에는그러하지아니하다. 1. 제22조제1항, 제23 조제1항단서또는제24조의2제1항ㆍ제2항에따라동의를받은개인정보의수집ㆍ이용목적이나제22조제2항각호에서정한해당목적을달성한경우 2. 제22조제1항, 제23 조제1항단서또는제24조의2제 1항ㆍ제2항에따라동의를받은개인정보의보유및이용기간이끝난경우 3. 제22조제2항에따라이용자의동의를받지아니하고수집ㆍ이용한경우에는제27조의2제2항제3호에따른개인정보의보유및이용기간이끝난경우 4. 사업을폐업하는경우 150
제 7 장고객의개인정보권리, 언제어디서나당당하게 다른법률에따라보존해야하는경우 다른법률에따라개인정보를보존하여야하는경우에는다음과같다. 개인정보보존근거법률 ( 예시 ) 해당법률상법제33조국세기본법제85조의3 통신비밀보호법제15조의2 보관사유및보관기간상업장부와영업에관한중요서류 : 10년전표또는이와유사한서류 : 5년모든거래에관한장부및증빙서류 : 그거래사실이속하는과세기간에대한해당국세의법정신고기한이지난날부터 5년전기통신사업자가통신사실확인자료를제공하는데필요한성명, 주민번호, 전화번호 : 1년 전자상거래등에서의소비자보호에관한법률시행령제6조 표시광고에관한기록 : 6월계약또는청약철회등에관한기록 : 5년대금결제및재화등의공급에관한기록 : 5년소비자의불만또는분쟁처리에관한기록 : 3년 현재 법제정후 다른법률에따라개인정보를보존하여야하는경우에는개인정보를파기하지않고보존 ( 정보통신망법제29조 ) 다른법령에따라개인정보를보존하여야하는경우에는개인정보를파기하지않고보존 ( 개인정보보호법제21조 ) 현행법률의취지와같음 151
사업자를위한개인정보보호질의 응답집
제 8 장 법을위반하면과태료와벌칙이부과됩니다 1. 과태료와벌칙을알아보자 2. 개인정보분쟁조정제도, 개인정보침해신고센터를활용해보자
사업자를위한개인정보보호질의 응답집 제 8 장법을위반하면과태료와벌칙이부과됩니다 Q ㅣ사업자가개인정보보호조치를위반하였을경우과태료또는벌칙이부과된다고하는데, 과태료와벌칙의차이점은무엇이고어떠한개인정보보호위반행위에부과되는지알고싶다. A ㅣ 과태료 란일정한기준이나질서를위반한행위에대해행정관청이직접부과하는 행정질서벌 을말한다. 이는형벌이아니기때문에전과기록이남지않는다. 벌칙 ( 형벌 ) 은형법이나기타법률에규정된범죄행위에대해법원재판절차를거쳐부과하는형사벌을말한다. 여기에는징역, 벌금등이있다. 개인정보관리책임자미지정, 개인정보취급방침미공개등일정기준을위반한행위는과태료부과대상이며, 동의없는개인정보수집 이용등은벌칙대상이다. 벌칙의종류 개인정보보호위반행위에대해서는징역또는벌금의 2가지벌칙을부과하도록하고있다. - ( 징역 ) 형무소내에구치하고, 정역 ( 노동 ) 에복무하게하는형벌을말한다. - ( 벌금 ) 일정한금전을박탈하는형벌을말한다. 154
제 8 장법을위반하면과태료와벌칙이부과됩니다 토막상식 과징금은무엇인가요? 과징금은법률의무를위반한자가그행위를통해경제적이익을얻을것이예상되는경우에그부당이익을환수할목적으로부과하는행정벌을말한다. 과징금도관할행정관청이직접부과하며, 역시형벌이아니므로전과기록등과도관련이없다. 개인정보의무위반행위에대해서 전기통신사업법에의한전기통신사업자 에게만위반행위와관련한매출액의 1/100 이하의과징금을부과할수있도록규정하고있다. 과태료부과절차 위반행위에대한과태료는관할행정관청 ( 행정안전부장관또는방송통신위원회 ) 이해당위반행위를조사 확인하여부과 징수한다. 관할행정관청은과태료부과처분을하기이전에처분대상자에게 10일이상의의견진술기회를주어야한다. 의견진술은구술또는서면으로할수있으며, 이메일등의전자문서도가능하다. 만약지정된기일까지의견진술이없는때에는과태료부과처분에대한의견이없는것으로본다. 과태료부과처분은관할행정관청이위반사실 이의방법 이의기간을서면으로명시하여과태료처분대상자에게고지해야한다. 사업자는그처분을고지받은날로부터 30일이내에관할행정관청에이의를제기할수있다. 관할행정관청은과태료처분에이의가제기되면지체없이관할법원에그사실을통보하여야하며, 관할법원은 비송사건절차법 에따른과태료재판을한다. 토막상식 비송사건절차법 이란무엇인가요? 비송사건 ( 非訟事件 ) 이란국가가사법질서의유지를위하여후견적인임무를수행하는사건을말하며, 법인의등기, 경매, 사채 ( 社債 ), 회사의청산, 과태료처분등이비송사건에포함된다. 비송사건절차법은이러한비송사건의처리를규정한법률을말하며, 과태료사건에대해서는제 247 조 ~ 제 251 조에서상세한규정을두고있다. 155
사업자를위한개인정보보호질의 응답집 개인정보보호위반행위에대한벌칙 과태료 현행법률상의개인정보보호위반행위에대한과태료및벌칙의종류는아래표와같다. 개인정보보호위반행위과태료 벌칙 구분 주요내용 벌칙 동의없는개인정보수집 ( 제22조 ) 개인정보수집 이용 민감한개인정보수집 ( 제23 조 ) 벌칙 (5년이하징역또는5천법정대리인의동의없는아동개인정보수집 ( 제31 조 ) 만원이하벌금 ) 동의받은목적과다른목적으로개인정보이용 ( 제24 조 ) 필요최소한의개인정보이외의정보를제공하지아니하였다는이유로서비스제공거부 ( 제23 조 ) 과태료 (3천만원이하 ) 주민등록번호외의회원가입방법미조치 ( 제23조의2) 개인정보제공 이용자동의없는개인정보제 3 자제공 ( 제 24 조의 2) 벌칙 (5년이하징역또는5천만원이하벌금 ) 개인정보취급위탁영업양수에따른개인정보이전개인정보관리 이용자동의없는개인정보취급위탁 ( 제25조 ) 벌칙 (5년이하징역또는5천만원이하벌금 ) 개인정보취급위탁사실미공개 ( 제25 조 ) 과태료 (2천만원이하 ) 영업양도등미통지 ( 제26조제1항 ) 과태료 (2천만원이하 ) 영업양수자등이당초목적과다른목적으로 벌칙 (5년이하징역또는5천 개인정보이용또는제3자제공 ( 제26조제3항 ) 만원이하벌금 ) 개인정보관리책임자미지정 ( 제27조 ) 과태료 (2천만원이하 ) 개인정보취급방침미공개 ( 제27조의2) 과태료 2천만원이하 ) 기술적 관리적조치미이행 ( 제28조제1항제1호, 제6호 ) 과태료 (3천만원이하 ) 기술적관리적조치미이행으로인한누출 벌칙 (2년이하징역또는1천 ( 제28조제1항제2호 ~ 제5호 ) 만원이하벌금 ) 개인정보취급자의개인정보훼손 침해 누설 ( 제28 조의2) 벌칙 (5년이하징역또는5천만원이하벌금 ) 개인정보파기 개인정보미파기 ( 제 29 조 ) 과태료 (3 천만원이하 ) 이용자권리 이용자의동의철회 열람 정정요구미조치 ( 제30 조제3항, 제4항 ) 개인정보오류정정요청에대한필요조치를하지아니하고개인정보제3자제공 이용 ( 제30 조제5항 ) 이용자의동의철회 열람 정정요구를개인정보수집방법보다어렵게함 ( 제30조제6항 ) 과태료 (3천만원이하 ) 벌칙 (5년이하징역또는5천만원이하벌금 ) 과태료 (3천만원이하) 156
제 8 장법을위반하면과태료와벌칙이부과됩니다 Q ㅣ개인정보취급방침을공개하지않아서관할행정관청으로부터과태료를부과받았다. 그런데만약과태료를계속해서납부하지않는다면어떻게되는가? A ㅣ과태료처분을받은사업자는그처분을고지받은날로부터 30 일이내에관할행정관청 ( 행정안전부또는방송통신위원회 ) 에이의를제기할수있다. 만약이의제기기간에별다른이의를제기하지아니하고과태료를계속해서납부하지않으면 국세체납처분 의예에따라과태료를강제징수하게된다. 여기서 국세체납처분 이란국세징수법에의거한국세 ( 國稅 ) 의강제집행절차를 말하며, 과태료를납부하지않는경우도국세를납부하지않은경우와마찬가지로국세징수법의적용을받아강제집행한다는의미이다. 현재 법제정후 개인정보보호의무위반행위에대해과태료및벌칙규정 ( 정보통신망법 ) 개인정보보호의무위반행위에대해과태료및벌칙을부과하되, 일부위반행위에대해서는현행정보통신망법에비해형량조정 ( 개인정보보호법 ) 예 ) 법정대리인동의없는아동개인정보처리 : 5년징역 /5천만원벌금 5천만원이하과태료로조정 157
사업자를위한개인정보보호질의 응답집 Q ㅣ우리회사의홈페이지에서고객들의개인정보가노출되는사고가발생하였다. 피해를입은고객들이손해배상소송을제기하겠다고하는데, 우리회사로서는소송절차에많은시간과비용이들어갈것같아걱정이다. 소송을거치지않고도사건을원활히해결하는방법은없는가? A ㅣ개인정보분쟁조정위원회에조정신청을하면소송절차를거치지아니하고비교적빠른시간내에분쟁을해결할수있다. 개인정보분쟁조정위원회는위원장을포함하여 15인이내의법조계 학계 소비자및사업자단체전문가등으로구성되어있으며, 분쟁조정신청이접수된경우사건접수일로부터 60일이내에사실조사및양당사자의합의를거쳐조정결정을내린다. 개인정보침해로인한분쟁이면모두조정대상이될수있으며, 이용자 ( 정보주체 ) 와사업자가모두분쟁조정을신청할수있다. 정보통신망이용촉진및정보보호등에관한법률 제33조 ( 개인정보분쟁조정위원회의설치및구성 ) 1 개인정보에관한분쟁을조정하기위하여개인정보분쟁조정위원회 ( 이하 분쟁조정위원회 라한다 ) 를둔다. 정보통신망이용촉진및정보보호등에관한법률시행령 제13조 ( 개인정보관리책임자의자격요건등 ) 2 분쟁조정위원회는위워장 1명을포함한 15명이내의위원으로구성하며, 그중 1명은상임으로한다. 158
제 8 장법을위반하면과태료와벌칙이부과됩니다 개인정보분쟁조정제도의취지 개인정보와관련한분쟁을법원의소송절차에의해서만해결하려면양당사자모두많은시간과비용이소요된다. 따라서소송절차를거치지않고서도분쟁을원활히해결할수있는 대안적분쟁해결제도 (ADR: Alternative Dispute Resolution) 로서개인정보분쟁조정제도가운영되고있다. 개인정보분쟁조정절차 개인정보분쟁조정절차는다음과같다. 개인정보분쟁조정효력 조정안을제시받은날로부터 15일이내에양당사자가모두조정안을수락하는경우조정이성립한다. 이때의조정결정은 민사상합의 의효력을지닌다. 반면당사자중일방이라도조정안을거부하면조정은성립하지않으며, 이후에는민사소송을통해분쟁해결을시도하여야한다. 개인정보침해신고센터 개인정보침해신고센터는개인정보침해에대한상담및고충처리를위하여 2000년 4월한국인터넷진흥원 (KISA) 내에설치되었다. 민간및공공부문에서개인정보침해로피해를입은자는누구든지상담 고충처리를문의할수있으며, 사업자의개인정보보호관련질의 상담도접수 처리하고있다. 159