개인정보 보호법령 및 지침 고시 해설 2011. 12 행정안전부
본 해설서는 개인정보 보호법, 동법 시행령 시행규칙 및 표준지침 고시의 적용기준을 제시 하기 위한 용도로 제작되었습니다. 법령에 대한 구체적인 유권해석은 행정안전부로 문의하여 주시기 바랍니다.
약어 설명 o 중앙행정기관명 - 방송통신위원회 : 방통위 - 국가보훈처 : 보훈처 - 공정거래위원회 : 공정위 - 금융위원회 : 금융위 - 교육과학기술부 : 교과부 - 외교통상부 : 외교부 - 행정안전부 : 행안부 - 문화체육관광부 : 문화부 - 농림수산식품부 : 농림부 - 지식경제부 : 지경부 - 보건복지부 : 복지부 - 국토해양부 : 국토부 - 고용노동부 : 고용부 - 소방방재청 : 소방청 - 농촌진흥청 : 농진청 - 중소기업청 : 중기청 o 법률명 - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 : 정보통신망법 - 신용정보의 이용 및 보호에 관한 법률 : 신용정보법 - ( 舊 )공공기관의 개인정보보호에 관한 법률 : 공공기관 개인정보보호법 - 표준 개인정보보호 지침 : 표준지침 - 개인정보의 안전성 확보조치 기준 고시 : 안전성 확보조치 고시 - 개인정보 영향평가에 관한 고시 : 영향평가 고시 - i -
목 차 제1장 총칙 1 제1조 법률의 목적 3 제2조 용어의 정의 5 제3조 개인정보 보호원칙 29 제4조 정보주체의 권리 32 제5조 국가 등의 책무 36 제6조 다른 법률과의 관계 37 제2장 개인정보 보호정책의 수립 등 47 제7조, 제8조 개인정보 보호위원회 및 기능 등 49 제9조~제11조 기본계획 및 시행계획, 자료제출 요구 등 55 제12조 개인정보 보호지침 60 제13조 자율규제의 촉진 및 지원 62 제14조 국제협력 65 제3장 개인정보의 처리 67 제1절 개인정보의 수집, 이용, 제공 등 69 제15조 개인정보의 수집 이용 69 제16조 개인정보의 수집 제한 88 제17조 개인정보의 제공 91 제18조 개인정보의 이용 제공 제한 102 제19조 개인정보를 제공받은 자의 이용 제공 제한 118 제20조 정보주체 이외로부터 수집한 개인정보의 수집출처 등 고지 120 제21조 개인정보의 파기 124 제22조 동의를 받는 방법 130 제2절 개인정보의 처리 제한 140 제23조 민감정보의 처리 제한 140 제24조 고유식별정보의 처리 제한 147 - ii -
제25조 영상정보처리기기의 설치 운영 제한 154 제26조 업무위탁에 따른 개인정보의 처리 제한 180 제27조 영업양도 등에 따른 개인정보의 이전 제한 191 제28조 개인정보취급자에 대한 감독 196 제4장 개인정보의 안전한 관리 199 제29조 안전조치의무 201 제30조 개인정보 처리방침의 수립 및 공개 215 제31조 개인정보 관리책임자의 지정 223 제32조 개인정보파일의 등록 및 공개 231 제33조 개인정보 영향평가 243 제34조 개인정보 유출 통지 등 범위 273 제5장 정보주체의 권리 보장 281 제35조 개인정보의 열람 283 제36조 개인정보의 정정 삭제 291 제37조 개인정보의 처리정지 등 296 제38조 권리행사방법 및 절차 등 300 제39조 손해배상책임 307 제6장 개인정보분쟁조정위원회 313 제40조 개인정보분쟁조정위원회의 설치 및 구성 등 315 제41조, 제42조 위원의 신분보장 등 321 제43조~제48조 분쟁조정의 신청 및 효력 등 323 제49조 집단분쟁조정 329 제50조 조정절차 등 336 제7장 개인정보 단체소송 337 제51조~제53조 단체소송의 대상, 전속관할 등 339 제54조, 제55조 소송허가신청 및 허가요건 343 제56조 확정판결의 효력 345 제57조 민사소송법의 적용 등 346 - iii -
제8장 보칙 349 제58조 적용의 일부제외 351 제59조 금지행위 358 제60조 비밀유지 등 361 제61조 의견제시 및 개선권고 364 제62조 침해사실의 신고 등 367 제63조 자료제출 요구 및 검사 369 제64조~제66조 시정조치, 고발 및 징계권고 등 373 제67조 연차보고 379 제68조 권한의 위임 위탁 380 제69조 벌칙 적용 시의 공무원 의제 382 제9장 벌칙 383 제70조~제74조 벌칙 및 양벌규정 385 제75조 과태료 390 부 칙 397 제1조 시행일 399 제2조 다른 법률의 폐지 402 제3조 개인정보 분쟁조정위원회에 관한 경과조치 403 제4조 처리 중인 개인정보에 관한 경과조치 404 제5조 벌칙의 적용에 관한 경과조치 407 제6조 다른 법률의 개정 408 제7조 다른 법령과의 관계 411 부 록 개인정보 보호법 시행령 시행규칙 별표/서식 413 - iv -
제1장 총 칙 제1조 제2조 제3조 제4조 제5조 제6조 법의 목적 용어 정의 개인정보 보호원칙 정보주체의 권리 국가 등의 책무 다른 법률과의 관계
제1조 법률 시행령 시행규칙 표준지침 및 고시 법의 목적 제1조(목적) 이 법은 개인정보의 수집 유출 오용 남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 한다. 제1조(목적) 이 영은 개인정보 보호법 에서 위임된 사항과 그 시행에 관하여 필요한 사항을 규정함을 목적으로 한다. 제1조(목적) 이 규칙은 개인정보 보호법 및 같은 법 시행령에서 위임된 사항과 그 시행에 관하여 필요한 사항을 규정함을 목적으 로 한다. 제1조(목적) 이 표준 개인정보보호 지침(이하 표준지침 이라 한다)은 개인정보 보호법 (이하 법 이라 한다) 제12조제1항에 따라 개인정보처 리자가 준수하여야 하는 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정함을 목적으로 한다. <개인정보 안전성 확보조치 기준 고시> 제1조(목적) 이 기준은 개인정보 보호법 (이하 법 이라 한다)제24조제3항 및 제29조 와 같은 법 시행령(이하 영 이라 한다) 제 21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분 실 도난 유출 변조 훼손 되지 아니하도 록 안전성을 확보하기 위하여 취하여야 하 는 세부적인 기준을 정하는 것을 목적으로 한다. <개인정보 영향평가에 관한 고시> 제1조(목적) 이 고시 는 개인정보 보호법 시행령 (이하 시행 령 이라 한다) 제38조 에 따른 평가기관의 지정 및 영향평가의 절차 등에 관한 세부 기준을 정함을 목적으 로 한다. 제 1 조 이 법의 입법 목적은 개인정보의 유출 오용 남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고 개인의 존엄과 가치를 구현하기 위하여 개인정보의 처리에 관한 사항을 규정하는 것이다. 이에 따라 이 법은 개인정보의 수집 이용 제공 등 개인정보처리에 관한 기본원 칙, 개인정보의 처리 절차 및 방법, 개인정보 처리의 제한, 개인정보의 안전한 처 리를 위한 관리 감독, 정보주체의 권리, 개인정보 권리 침해에 대한 구제 등에 대 하여 규정하고 있다.
우리나라 헌법재판소는 인간의 존엄과 가치 및 행복추구권을 규정하고 있는 헌법 제10조 제1문에서 도출되는 일반적 인격권과 헌법 제17조에 의하 여 보호받고 있는 사생활의 비밀과 자유를 근거 규정으로 하여 우리나라 헌 법 상으로도 개인정보자기통제권 이 기본권으로 보장되고 있다고 보고 있다. 개인정보자기통제권이란 자신에 관한 정보가 언제 누구에게 어느 범위까지 알 려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리, 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 통제 결정할 수 있는 권 리를 말한다. 참고 대한민국 헌법 제10조 모든 국민은 인간으로서의 존엄과 가치를 가지며, 행복을 추구할 권리를 가진다. 국가는 개 인이 가지는 불가침의 기본적 인권을 확인하고 이를 보장할 의무를 진다. 참고 대한민국 헌법 제17조 모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다. 참고 개인정보자기결정권 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반 적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보 자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되 도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 즉 정보주체가 개 인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다. 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사( 私 事 )의 영역에 속하는 정 보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한 다. 또한 그러한 개인정보를 대상으로 한 조사ㆍ수집ㆍ보관ㆍ처리ㆍ이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다. (헌법재판소 판결 : 헌 재 2005. 5. 26. 99헌마513등, 공보 105, 666, 672)
제2조 용어 정의 법률 시행령 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다 1. 개인정보 란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다. 2. 처리 란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정( 訂 正 ), 복구, 이용, 제공, 공개, 파기( 破 棄 ), 그 밖 에 이와 유사한 행위를 말한다. 3. 정보주체 란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. 4. 개인정보파일 이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물( 集 合 物 )을 말한다. 5. 개인정보처리자 란 업무를 목적으로 개인정보파일을 운용하기 위 하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기 관, 법인, 단체 및 개인 등을 말한다. 6. 공공기관 이란 다음 각 목의 기관을 말한다. 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리 하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관 을 포함한다) 및 그 소속 기관, 지방자치단체 나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관 7. 영상정보처리기기 란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유 무선망을 통하여 전송하는 장치 로서 대통령령으로 정하는 장치를 말한다. 제2조(공공기관의 범위) 개인정보 보호법 (이하 법 이라 한다) 제2조제6호나목에서 대통령령으로 정하는 기관 이란 다음 각 호의 기관을 말한다. 1. 국가인권위원회법 제3조에 따른 국가인권위원회 2. 공공기관의 운영에 관한 법률 제4조에 따른 공공기관 3. 지방공기업법 에 따른 지방공사와 지방공단 4. 특별법에 따라 설립된 특수법인 5. 초ㆍ중등교육법, 고등교육법, 그 밖의 다른 법률에 따라 설치된 각급 학교 제3조(영상정보처리기기의 범위) 법 제2조제7호에서 대통령령으로 정 하는 장치 란 다음 각 호의 장치를 말한다. 1. 폐쇄회로 텔레비전: 다음 각 목의 어느 하나에 해당하는 장치 가. 일정한 공간에 지속적으로 설치된 카메라를 통하여 영상 등을 촬 영하거나 촬영한 영상정보를 유무선 폐쇄회로 등의 전송로를 통하 여 특정 장소에 전송하는 장치 나. 가목에 따라 촬영되거나 전송된 영상정보를 녹화ㆍ기록할 수 제 2 조
있도록 하는 장치 2. 네트워크 카메라: 일정한 공간에 지속적으로 설치된 기기로 촬영 한 영상정보를 그 기기를 설치ㆍ관리하는 자가 유무선 인터넷을 통 하여 어느 곳에서나 수집ㆍ저장 등의 처리를 할 수 있도록 하는 장치 개인정보 보호법 은 일반법이므로 사람 장소 사항 등에 특별한 제한이 없이 일반적으로 적용되지만, 사적인 영역에서 개개인이 보유하는 개인정보를 모두 보 호대상으로 하지는 않으므로 그 보호대상과 규율범위를 명확히 할 필요가 있다. 따라서 개인정보 보호의 사각지대 해소를 위하여 법률의 적용범위를 확대하면서 도, 개인의 사적 영역에 대한 지나친 규제가 되지 않도록 적절한 수준에서 적용범 위를 정의하고자 하였다. 제1호 개인정보 1. 개인정보 란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없 더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다. 1. 개인정보(제2조제1호) 법 제2조제1호는 개인정보의 구성요소로 1) 살아 있는 개인, 2) 특정 개인과의 관련성, 3) 정보의 임의성, 4) 식별 가능성을 적시하고 있다. 가. 살아 있는 개인 이 법에 따른 개인정보는 현재 생존( 生 存 )하고 있는 개인 에 관한 정보에 한한다. 사망한 자에 관한 정보도 개인정보의 개념에 포함시키고 있는 국가도 일부 있으나 (뉴질랜드, 캐나다 등), 대부분의 국가에서는 생존하고 있는 개인 에 관한 정보만을 보호의 대상으로 하고 있다. 따라서, 이미 사망하였거나 실종선고 등 관계 법령에 의해 사망한 것으로 간주 되는 자에 관한 정보는 개인정보로 볼 수 없다. 다만, 사망자의 정보가 사망자와 유족과의 관계를 나타내는 정보이거나 유족 등의 사생활을 침해하는 등의 경우에 는 사망자 정보인 동시에 관계되는 유족의 정보이기도 하므로 이 법에 따른 보호 대상이 될 수 있다.
참고 사자( 死 者 )의 정보가 원칙적으로 배제되는 이유 개인정보의 보호법익이라고 할 수 있는 프라이버시권(사생활의 비밀과 자유)은 인격권 으로서 권리의 주체와 분리할 수 없는 인격적 이익을 그 내용으로 하기 때문에, 상속이 불가능하고 사망자의 정보에 대해 권리를 행사할 주체가 존재하지 않게 되므로, 보호대상이 되는 개인정보의 주체를 생존하는 개인에 한함 한편, 이 법에서 개인정보의 주체는 현재 생존하고 있는 자연인( 自 然 人 )을 의미한다. 따라서 법인( 法 人 )이나 단체에 관한 정보는 원칙적으로 개인정보에 해당하지 않는다. 예를 들어 법인 또는 단체의 이름(상호), 사업자등록번호, 영업소 주소 및 전화번호, 대표자 성명 등 임원 현황, 자산 또는 자본의 규모, 주가, 영업실적, 납세실적, 영업비밀 등은 이 법에 따른 보호대상에 해당하지 않는다. 다만 기업의 영업비밀은 부정경쟁방지 및 영업비밀보호에 관한 법률 에 의하여 보호를 받는다. 나. 특정 개인과의 관련성 이 법에 따른 개인정보는 살아 있는 개인에 관한 정보이어야 한다. 즉 특정한 개인에 대한 사실, 판단, 평가 등 그 개인과 관련성을 지닌 정보여야 한다. 특정 개인과 관련성 을 지니는 정보란, 일반적으로 특정 개인의 정체성 (identity)을 구별하거나 밝혀낼 수 있는 정보(성명, 주민등록번호, 생일, 주소, 바 이오정보 등) 및 특정 개인의 과거 및 현재의 상황이나 상태를 나타낼 수 있는 정보(교육상황, 재정상황, 진료 및 건강 상태 등)가 이에 해당할 수 있다. 반면, 특정 개인을 알아볼 수 없도록 가공되었거나 통계적으로 변환된 경우에는 특정 개인과의 관련성이 없고 식별이 어려우므로 개인정보에 해당하지 않는다. 예를 들어 특정 단체 임원들의 평균연봉, 특정 대학의 해당연도 졸업생의 취업률 등의 정보는 단지 전체적인 통계적 정보만을 보여줄 뿐 특정 개인과의 관련성이 없는 정보이므로 개인정보에 해당하지 않는다. 다. 정보의 임의성 법 제2조제1호는 개인정보를 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 라고만 규정하고 있을 뿐 정보의 종류, 형태, 성격, 형식 등에 대해서는 특별한 제한을 두고 있지 않다. 따라서 개인을 알아볼 수 있는 정보에 해당하는 한, 모든 종류 및 모든 형태의 정보가 개인정보가 될 수 있다.
예를 들어 특정 개인의 신장, 체중, 나이 등 객관적 사실에 관한 정보에서부터, 직장에서 직원에 대한 근무평가나 금융기관에서 개인의 신용도 평가 등 그 사람에 대한 제3자의 의견 평가와 같은 주관적 정보도 개인정보에 해당된다. 또한 개인 정보가 되기 위해서는 그 정보가 반드시 사실이거나 증명될 필요는 없으며, 심지어 부정확한 정보 또는 허위의 정보라도 특정한 개인과 관련성을 지닌다면 개인정보가 될 수 있다. 정보의 처리 형식이나 처리 매체에도 제한이 없다. 컴퓨터 등에 저장된 문서 파일 등 전자기( 電 磁 氣 )적 형태의 정보, 종이문서에 기록된 수기( 手 記 ) 형태의 정보, 녹음된 음성정보, CCTV에 찍힌 영상정보, 기타 문자ㆍ부호ㆍ그림ㆍ숫자ㆍ사진ㆍ 그래픽ㆍ이미지ㆍ음성ㆍ음향ㆍ영상ㆍ화상 등의 형태로 처리된 정보도 모두 포함 될 수 있다. 라. 식별 가능성 이 법에 따른 개인정보는 개인을 알아볼 수 있는 정보이어야 한다. 즉 특정한 개인을 식별할 수 있는 정보가 개인정보에 해당한다. 여기에서 식별 이란 특정 개인을 다른 사람과 구분하거나 구별할 수 있다는 의미이다. 예를 들어 대한민국의 국민 중에서 특정 개인을 구분할 수 있는 신원정보(성 명, 주민등록번호, 본적, 주소 등), 학교 직장 단체 등 소속된 곳에서 특정 개 인을 구분할 수 있는 정보(성명, 학번, 사번, 학년, 직급 등), 기업의 고객 중에서 특정 개인을 구분할 수 있는 정보(성명, ID 등 고객관리정보, 결재정보, 재화 용역 공급을 위한 주소지 및 연락처) 등이 이에 해당한다. 이 외에도 개인의 사적 생활관계와 연관되어 그 개인을 타인과 구분하거나 구별 할 수 있는 정보라면 모두 개인정보에 해당될 수 있다. 또한 여기에서 개인을 알아볼 수 있는 정보라는 것은, 사전에 친분 관계 등이 있는 사람이 특정 개인을 알아보는 것 뿐만 아니라, 그 특정 개인을 전혀 모르던 사람이더라도 객관적으로 그 특정 개인을 다른 사람과 구분 구별할 수 있다면 모두 개인정보에 포함될 수 있다는 의미이다. 개인정보의 식별성과 관련하여 주의할 점은, 한가지 정보만으로는 특정인을 알 아볼 수 없는 경우가 많이 존재한다는 것이다. 예를 들어 성명만 있는 경우에는 만약 동명이인이 존재한다면 특정인을 구별할 수 없게 된다. 따라서 개인정보의 식별성이란 곧 정보의 결합 또는 조합을 통하여 특정 개인을 구분 구별하는 것을 의미한다고 할 수 있다. 이에 따라서 법 제2조제1호에서는 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것 을 포함시키고 있다.
여기서 법 제2조제1호는 쉽게 결합하여 라는 표현을 사용하고 있는데, 여기서 쉽게 라는 표현은 합리적으로 라는 의미로 해석하여야 한다. 즉 쉽게 결합 이라는 표현은 각각의 정보가 물리적 과학적으로 결합할 수 있다는 가능성보다는 그 각각의 정보 결합의 수단 방법이 합리적으로 이루어질 수 있다는 의미로 보아야 한다. 물리적 과학적으로는 해당 정보의 결합에 따라 정보주체의 식별이 가능하 다고 하더라도, 식별을 위해 불합리할 정도의 시간, 노력, 비용이 투입되어야 한다면 그런 단편적인 정보들은 식별성이 있다고 할 수 없다. 참고 EU개인정보보호지침 전문 제26조 어떤 사람이 식별 가능한 상태인지 여부를 판단하기 위해서는 개인정보처리자 또는 임의 의 다른 사람이 그 사람을 식별하기 위하여 합리적으로 사용할 가능성이 있는 모든 수 단을 고려해야 한다. 2. 관련 현행법 정보통신망법 은 생존하는 개인에 관한 정보, 개인 식별가능성이 있는 정보를 개인정보 로 규정하고 있어, 개인정보의 개념에 대해서는 이 법과 큰 차이가 없다. 다만, 정보통신망법 은 부호 문자 음성 음향 및 영상 등의 정보 라고 열거하여 개인정보의 유형을 보다 구체적으로 규정하고 있다. 또한, 신용정보법 은 개인신용정보를 개인의 신용도와 신용거래능력 등을 판단할 때 필요한 정보라고 규정하면서, 구체적인 정보는 대통령령에서 규정하는 입법형식을 취하고 있다. 정보통신망법 신용정보법 6. "개인정보"란 생존하는 개인에 관한 정보로서 성명ㆍ주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호ㆍ문자ㆍ음성ㆍ음향 및 영 상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다) 를 말한다. 1. "신용정보"란 금융거래 등 상거래에 있어서 거래 상대방의 신용도와 신 용거래능력 등을 판단할 때 필요한 정보로서 대통령령으로 정하는 정보 를 말한다. 2. "개인신용정보"란 신용정보 중 개인의 신용도와 신용거래능력 등을 판 단할 때 필요한 정보로서 대통령령으로 정하는 정보를 말한다. 신용정보법 시행령 제2조(정의) 2 법 제2조제2호에서 "대통령령으로 정하는 정보"란 제1항에 따른 신용정보 중 기업 및 법인에 관한 정보를 제외한 개인에 관한 신용정보를 말한다.
제2호 처리 2. 처리 란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂 正 ), 복구, 이용, 제공, 공개, 파기( 破 棄 ), 그 밖에 이와 유사한 행위를 말한다. 1. 처리(제2조제2호) 개인정보를 활용하기 위해서는 수집 생성에서부터 기록 저장, 전송 전달, 가공 편집, 수정 보완 삭제, 검색 출력, 조회, 이용 제공 공유 공개, 보존 파기 파쇄 등 여러 단계의 다양한 처리과정을 거쳐야 한다. 이러한 일련의 과정을 포괄하는 개념으로 개 인정보 보호법 은 처리라는 용어를 사용하고 있다. 처리는 정의에서 규정한 행위 외에도 그 밖에 이와 유사한 모든 행위 가 포함되는데, 이에는 개인정보의 전송, 전달, 열람, 이전, 공유, 위탁 등이 포함될 수 있다. 다만, 다른 사람이 처리하고 있는 개인정보를 단순히 전달, 전송 또는 통과만 시켜주는 행위는 처리에 해당하지 않는다. 예컨대 우편배달사업자나 인터넷서비스 제공자는 다른 사람의 개인정보를 단순히 전달 또는 전송하는 업무만 담당하게 되는데 이 때 우편배달사업자 등의 전달 또는 전송 행위는 개인정보의 처리로 보지 않는다. 2. 관련 현행법 정보통신망법 은 별도로 처리 의 개념을 규정하고 있지는 않으며, 제25조에 서 개인정보의 수집 보관 처리 이용 제공 관리 파기 등을 취급 이라고 일괄하여 약 칭하고 있다. 신용정보법 은 컴퓨터를 이용한 정보의 입력 저장 가공 편집 검색 삭제 출력 외에 신용정보의 배달 우송 전송 등의 방법을 통한 제공도 처리 에 포함하여 규정하고 있다. 관련법과 비교할 때, 개인정보 보호법 은 처리 를 컴퓨터를 이용한 정보처 리에 한정하지 않고, 개인정보를 수집 이용 제공하는 행위까지 포괄하고 있어 매우 넓게 정의하고 있다. 정보통신망법 제25조(개인정보의 취급위탁) 1 정보통신서비스 제공자와 그로부터 제24 조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 "정보통신서 비스 제공자등"이라 한다)는 제3자에게 이용자의 개인정보를 수집 보 관 처리 이용 제공 관리 파기 등(이하 "취급"이라 한다)을 할 수 있도록 업무를 위탁(이하 "개인정보 취급위탁"이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. (이하 생략)
신용정보법 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. 13. "처리"란 다음 각 목의 어느 하나에 해당하는 행위를 말한다. 가. 컴퓨터를 이용하여 신용정보를 입력 저장 가공 편집 검색 삭제 또는 출력하는 행위 나. 신용정보를 배달 우송 또는 전송 등의 방법으로 타인에게 제공하는 행위 다. 그 밖에 가목 또는 나목과 비슷한 행위
제3호 정보주체 3. 정보주체 란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보 의 주체가 되는 사람을 말한다. 1. 정보주체(제2조제3호) 정보주체(data subject)란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. 이 법에 의한 권리의 행사주체라고도 할 수 있다. 이 법의 보호를 받는 정보주체가 되기 위해서는 첫째, 처리되는 정보에 의하여 알아볼 수 있는 사람이어야 하고, 둘째, 법인이나 단체가 아닌 살아있는 사람이어야 하며, 마지막으로 처리되는 정보의 주체가 되는 자이어야 한다. 그가 살아있는 사람인 한 국적이나 신분에 관계없이 누구나 정보주체가 될 수 있다. 다시 말해 대한민국 국적을 가지고 있지 않은 외국인도 이 법에 따라 개인 정보가 처리되는 경우에는 정보주체가 될 수 있고, 소비자, 근로자, 환자, 학생, 교사, 군인, 공무원, 피의자, 죄수, 행정조치 대상자 등 누구든지 공평하게 이 법에 의해 보호를 받은 정보주체가 될 수 있다. 2. 관련 현행법 개인정보 보호법 과 신용정보법 은 해당 정보에 의해서 식별되는 자로서 해 당 정보의 주체를 정보주체 로 규정하고 있는 반면, 정보통신망법 은 보호대 상을 정보통신서비스를 이용하는 자(이용자)로 규정하고 있어 서비스의 이용관계 에 있는 자로 한정하고 있다. 정보통신망법 신용정보법 제2조(정의) 4. "이용자"란 정보통신서비스 제공자가 제공하는 정보 통신서비스를 이용하는 자를 말한다. 제2조(정의) 3. "신용정보주체"란 처리된 신용정보로 식별되는 자로 서 그 신용정보의 주체가 되는 자를 말한다.
제4호 개인정보파일 4. 개인정보파일 이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적 으로 배열하거나 구성한 개인정보의 집합물( 集 合 物 )을 말한다. 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 의미한다. 즉 개인의 이름이나 고유식별정보, ID 등을 색인(index)이나 검색값으로 하여 쉽게 검색할 수 있도록 체계적으로 배열 구성한 집합물을 말한다. 개인정보파일은 일반적으로 전자적 형태로 구성된 데이터베이스(database; DB) 를 의미하는 경우가 많지만, 그 외에 체계적인 검색 열람을 위한 색인이 되어 있 는 수기( 手 記 ) 문서 자료 등도 포함된다. 예를 들어 기업에서 고객의 성명, ID 등으로 검색 활용이 가능하도록 구성된 고 객정보 데이터베이스, 병원에서 환자에 대해 작성된 진료기록부 파일, 공공기관 에서 관리하는 각종 행정처분 내역 파일 등이 포함될 수 있다. 그러나 개인정보 가 기재되어 있는 문서의 단순한 집합물에 불과하고 체계적으로 배열 검색할 수 있도록 구성되어 있지 않은 경우에는 개인정보파일에 해당하지 않을 수 있다. 제5호 개인정보처리자 5. 개인정보처리자 란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다. 1. 개인정보처리자(제2조제5호) 이 법의 기본적인 수범자는 개인정보처리자이다. 이는 업무를 목적으로 개인정 보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하 는 공공기관, 법인, 단체, 사업자 및 개인 등을 말한다. 개인정보처리자는 개인정보취급자 와 구분된다. 개인정보처리자는 개인정보 를 처리하는 공공기관이나 사업자 단체 자체를 의미하지만, 개인정보취급자는 개 인정보처리자의 지휘 감독을 받아 개인정보를 처리하는 임직원, 시간제근로자 등 을 말한다.
가. 업무를 목적으로 한 것일 것 개인정보처리자가 되기 위해서는 업무를 목적으로 개인정보를 처리하여야 한다. 순수한 개인적인 활동이나 가사활동을 위해서 개인정보를 수집 이용 제공하는 자는 개인정보처리자가 아니다. 예를 들어 사적인 친분관계를 위하여 휴대폰에 연락처 정보, 이메일 주소록 등을 저장하는 경우는 당연히 개인정보처리자에 해당 하지 않는다. 업무 란 직업상 또는 사회생활상의 지위에 기하여 계속적으로 종사하는 사 무나 사업의 일체를 의미하는 것으로 보수 유무나 영리 여부와는 관계가 없으며, 단 1회의 행위라도 계속 반복의 의사가 있다면 업무로 볼 수 있다. 또한 업무란 직업상 또는 사회생활상 지위에 기하여야 하므로, 예를 들어 지인들에게 모임을 안내하기 위해 전화번호 및 이메일주소를 수집하는 행위나 결혼을 알리기 위해 청첩장을 돌리는 행위 등은 업무를 목적으로 한 것이 아니다. 참고 판례상 업무 의 개념 업무방해죄에 있어서의 업무란 직업 또는 사회생활상의 지위에 기하여 계속적으로 종사하는 사무나 사업의 일체를 의미하고, 그 업무가 주된 것이든 부수적인 것이든 가리지 아니하며, 일회적인 사무라 하더라도 그 자체가 어느 정도 계속하여 행해지는 것이거나 혹은 그것이 직업 또는 사회생활상의 지위에서 계속적으로 행하여 온 본래의 업무수행과 밀접불가분의 관계에서 이루어진 경우에도 이에 해당함(대법원 2005. 4. 15. 선고 2004도8701 판결 등 참조) 업무상과실치사상죄에 있어서의 업무란 사람의 사회생활면에 있어서의 하나의 지위로서 계속적으로 종사하는 사무를 말하고, 여기에는 수행하는 직무 자체가 위험성을 갖기 때문에 안전배려를 의무의 내용으로 하는 경우는 물론 사람의 생명 신체의 위험을 방지하는 것을 의무내용으로 하는 업무도 포함된다 할 것이다(대법원 1988. 10. 11. 선고 88도1273 판결, 2002. 5. 31. 선고 2002도1342 판결 등 참조). 업무상 횡령죄에서 업무 란 법령, 계약에 의한 것뿐만 아니라 관례를 좇거나 사실상의 것이거나를 묻지 않고 같은 행위를 반복할 지위에 따른 사무를 가리키는 것이다(대법원 2006. 4. 27. 선고 2003도135). 나. 개인정보파일을 운용하기 위한 것일 것 개인정보를 수집, 이용, 제공하고 있다고 해서 모두가 개인정보처리자가 되는 것은 아니다. 개인정보 보호법 상 개인정보처리자가 되기 위해서는 개인정보 파일을 운용하고 있어야 한다. 즉 개인정보파일을 운용하기 위하여 개인정보를 처리하는 자만이 개인정보처리자가 된다.
EU 개인정보보호지침을 비롯하여 영국, 일본 등의 개인정보 보호법 도 모든 개인 정보가 아니라 특정한 파일체계의 일부를 구성하고 있거나, 구성하도록 예정되어 있거 나, 그런 의도로 처리되는 개인정보에 한하여 동법의 적용을 받도록 규정하고 있다. 일회성 메모나 문서작성 행위까지 개인정보처리로 본다면 법이 개인의 사소한 행위에까지 규제하게 되어 불합리한 결과를 초래하게 된다. 이에 따라 개인정보 수집 이용 제공 등에 대한 동의, 개인정보에 대한 보호조치 등의 의무를 부과 하는 대상은 개인정보파일을 운용하는 자로 한정하여 규제의 합목적성과 실효성을 담보하고자 하였다. 다. 스스로 또는 다른 사람을 통하여 개인정보를 처리 개인정보처리자는 스스로 개인정보를 처리할 수도 있지만 다른 사람을 통해서도 개인정보를 처리할 수 있다. 즉 자신이 직접 개인정보를 수집, 가공, 편집, 이용, 제공, 전송하지 아니하고 다른 사람 예컨대 수탁자, 대리인, 이행보조자 등을 통해서 처리하는 경우에도 개인정보처리자에 해당한다. 라. 공공기관, 법인, 단체, 개인 등일 것 개인정보 보호법 은 개인정보 보호를 위한 일반법이므로 개인정보를 수집, 이용, 제공 등 처리하는 모든 자에게 적용될 수 있도록 개인정보처리자 의 개념을 폭 넓게 정의하였다. 적용대상을 특정 목적이나 업종으로 한정하는 것은 개인 정보보호 사각지대 해소라는 법률 제정 취지에 부합하지 않기 때문이다. 개인정보처리자는 공공기관, 영리 비영리 법인, 영리 비영리 단체, 개인이 모두 포함된다. 기존의 공공기관 개인정보보호법, 정보통신망법 등과는 달리 공공부문 과 민간부문이 모두 포함되며, 주식회사와 같은 영리기업은 물론 동창회 동호회와 같은 비영리단체도 포함된다. 개인에는 1인 사업자, 개인활동가 등 본인의 업무를 목적으로 개인정보를 처리하는 경우가 포함된다. EU 개인정보보호지침도 개인정보처리자(data controller)를 개인정보의 처리를 결 정하는 자라고 정의하면서 공공기관과 민간기관을 모두 포함시키고 있다.
2. 관련 현행법 정보통신망법 은 법 수범자로서 정보통신서비스 제공자 를 규정하고 있 다. 이는 전기통신사업법 에 의한 전기통신사업자 및 영리를 목적으로 전기통 신사업자의 전기통신역무를 이용하여 정보를 제공 또는 정보 제공을 매개하는 자를 말한다. 영리를 목적으로 하는 경우로 한정함으로써, 영리 비영리를 구분하 지 않는 개인정보처리자와는 개념상 차이가 있다. 신용정보법 은 법 수범자로서 신용정보제공 이용자 를 규정하고 있다. 이 는 상거래를 위하여 신용정보를 타인에게 제공하거나 제공받아 본인의 영업에 이용하는 자 및 이에 준하는 자를 말한다. 상거래를 위하여 영업에 이용하는 경 우만 한정되므로 역시 개인정보 보호법 상의 개인정보처리자와는 차이가 있 다. 정보통신망법 신용정보법 3. "정보통신서비스 제공자"란 전기통신사업법 제2조제8호에 따 른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신 역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다. 7. "신용정보제공 이용자"란 고객과의 금융거래 등 상거래를 위하 여 본인의 영업과 관련하여 얻거나 만들어 낸 신용정보를 타인에 게 제공하거나 타인으로부터 신용정보를 제공받아 본인의 영업에 이용하는 자와 그 밖에 이에 준하는 자로서 대통령령으로 정하는 자를 말한다. 3. 질의응답 FAQ 개인정보처리자로부터 제공받은 개인정보를 처리(저장, 정정, 복구 등) 하는 자는 개인정보처리자(해외소재 회사 포함)인지? 다른 사람을 통하여 개인정보를 수집하는 자도 개인정보처리자에 해당되며, 개인정보 처리자로부터 제공받은 개인정보를 처리하는 자도 개인정보처리자에 해당된다(법 제19조).
제6호 법률 시행령 공공기관 6. 공공기관 이란 다음 각 목의 기관을 말한다. 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리 하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관 을 포함한다) 및 그 소속 기관, 지방자치단체 나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관 제2조(공공기관의 범위) 개인정보 보호법 (이하 "법"이라 한다) 제2 조제6호나목에서 "대통령령으로 정하는 기관"이란 다음 각 호의 기 관을 말한다. 1. 국가인권위원회법 제3조에 따른 국가인권위원회 2. 공공기관의 운영에 관한 법률 제4조에 따른 공공기관 3. 지방공기업법 에 따른 지방공사 및 지방공단 4. 특별법에 의하여 설립된 특수법인 5. 초 중등교육법, 고등교육법 및 그 밖의 다른 법률에 따라 설치된 각급 학교 1. 공공기관(제2조제6호) 개인정보 보호법 상 공공기관은 특별한 지위를 가진다. 우리나라 개인정보 보호법 은 유럽연합 회원국의 입법례를 따라 공공부문과 민간부문을 구분하지 않고 하나의 법률에 의하여 동일한 개인정보 보호원칙을 적용하는 단일법주의를 채택하고 있다. 하지만 공공기관에 대해서는 몇 가지 중요한 특례를 인정하고 있다. < 공공기관에 대한 특례규정 > 의무가 강화된 조항 의무가 완화한 조항 영상정보처리기기 설치 운영시 공청회 설 정보주체 동의 없는 개인정보 수집 이용 명회 등 의견수렴 의무(제25조제3항) 사유 확대(제15조제1항제3호) 영상정보처리기기 설치 운영에 관한 업무위 개인정보 목적외 이용 제공 사유의 확대 탁 절차 요건 강화(제25조제8항) (제18조제2항단서) 개인정보파일 등록 공개 의무(제32조) 개인정보처리방침 제정 공개 의무 완화 개인정보 영향평가 실시의무(제33조) (제30조제1항) 개인정보열람 요구권 행사 편의를 위한 별 개인정보 열람요구권 제한 거절 사유 확 도의 단일창구 마련(제35조제1항) 대(제35조제4항제3호) 개인정보처리 정지요구권 거절 사유 확대 (제37조제2항제3호) 통계법에 따라 처리된 개인정보에 대한 법률 적용의 일부 제외(제58조제1항제1호)
< 공공기관의 분류 > 국회-국회사무처, 국회도서관 등 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무 처리 기관 법원-법원행정처 헌법재판소-헌법재판소사무처 중앙선거관리위원회-중앙선거관리위원회 사무처 공 공 기 관 중앙행정기관 및 그 소속기관 정부조직법 상의 부 처 청 등 대통령 소속기관 국무총리 소속기관 상기 기관의 소속기관 지방자치단체 지방자치단체 소속기관 기타 국가기관 및 공공단체 중 대통령령이 정하는 기관 가. 헌법기관 국회 법원 헌법재판소 중앙선거관리위원회의 행정사무를 처리하는 기관이라 함은 각각 국회사무처, 국회도서관, 국회입법조사처, 국회예산정책처, 법원행정처, 헌법 재판소사무처, 중앙선거관리위원회사무처 등을 말한다. 기존의 공공기관 개인 정보 보호법 에서는 공공기관의 정의에서 헌법기관이 제외되어 있었으나 국회, 법원, 헌법재판소, 중앙선거관리위원회 등이 취급하는 개인정보의 양과 빈도가 낮지 않아 개인정보 보호법 에서는 공공기관에 헌법기관도 추가하였다. 나. 중앙행정기관 및 그 소속 기관 중앙행정기관에는 정부조직법 제2조제2항에 따른 중앙행정기관(부 처 청)과
동법 제5조의 합의제행정기관이 포함된다. 현재 정부조직법 상 중앙행정기관으로는 15부, 2처, 18청이 있고, 합의제행정기관으로는 국가배상심의위원회, 중앙노동위원회, 중앙토지수용위원회 등이 있다. 또한 중앙행정기관에는 대통령 소속기관과 국무총리 소속기관도 포함된다. 대통령 소속기관으로는 감사원, 국가정보원, 방송통신위원회, 국가과학기술위원회 등이 있고, 국무총리 소속기관으로는 법제처, 국가보훈처, 공정거래위원회, 금융위원회, 국민권익위원회 등이 있다. 중앙행정기관의 소속기관도 공공기관에 해당되므로 중앙행정기관이 그 소관 사무의 수행을 위하여 설치 운영하는 정부조직법 제3조의 특별지방행정기관(지방체신청, 지방국세청 등)과 제4조의 부속기관(시험연구기관, 교육훈련기관, 문화기관, 의료기 관, 제조기관, 자문기관 등)도 공공기관에 포함된다. 국가인권위원회법 제3조에 따른 국가인권위원회는 시행령 제2조제1호에 따라 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관 에 포함된다. 다. 지방자치단체 지방자치단체란 국가 아래에서 국가영토의 일부를 구성요소로 하고 그 구역 안의 주민을 법률이 정하는 범위 안에서 지배할 수 있는 권한을 가진 단체를 말한다. 지방자치단체는 자치행정의 주체로서 국가로부터 행정권의 일부를 부여받은 공공단체이며 지방자치법 제3조제1항에 따라 공법인( 公 法 人 )이기도 하다. 지방자치단체의 종류로는 우선 지방자치법 제2조제1항에 따른 광역자치단체 (특별시, 광역시, 도, 특별자치도)와 기초자치단체(시, 군, 구)가 있으며, 동법 제2조 제3항에 따른 특별지방자치단체(자치단체조합)가 있다. 또한 지방자치단체 소속 행정기관으로 자치경찰기관, 소방기관, 교육훈련기관, 보건진료기관, 시험연구기관 및 중소기업지도기관 등의 직속기관이 있고( 지방자치법 제113조), 그밖에 사업소( 지방자치법 제114조), 출장소( 지방자치법 제115조), 합의제행정기관( 지방자치법 제116조), 심의회 위원회 등의 자문기관( 지방자치법 제116조의2) 등도 지방자치단체 소속 행정기관에 포함된다. 그 외에 지방자치단체 하부행정기관으로 자치구가 아닌 구, 읍, 면, 동이 있다( 지방자치법 제117조). 한편, 지방자치단체의 교육 과학 및 체육에 관한 사무를 분장하기 위하여 지방 교육자치에 관한 법률 에 따라 교육위원회(제4조), 교육감(제18조), 하급교육행정 기관(제34조) 등의 별도기관이 있다.
라. 공공기관의 운영에 관한 법률 제4조에 따른 공공기관 공공기관의 운영에 관한 법률 제4조에 따라 지정된 기관을 말하며, 공기업 (시장형 공기업, 준시장형 공기업), 준정부기관(기금관리형 준정부기관, 위탁집행형 준정부기관), 기타공공기관으로 구분된다. 동법 제6조에 따라 기획재정부장관은 매 회계연도 개시후 1개월 이내에 공공기관을 새로 지정하거나, 지정을 해제하거나, 구분을 변경하여 지정하고 이를 고시한다. 다만, 기획재정부장관은 방송법 에 따른 한국방송공사와 한국교육방송공사법 에 따른 한국교육방송공사는 공공 기관으로 지정할 수 없기 때문에 공공기관에서 제외된다. 기존의 공공기관 개인정보 보호법 시행령 제2조는 금융실명거래 및 비밀 보장에 관한 법률 제2조제1호의 금융기관이 공공기관의 운영에 관한 법률 제4조에 따라 공공기관으로 지정되더라도 동법의 적용을 받는 공공기관에서 제외하고 있었으나 현행 개인정보 보호법 시행령 제2조는 이 같은 예외를 인정하고 있지 않다. < 2011년도 지정 공공기관(286개)> 구 분 시장형 공기업 (14) 준시장형 공기업 (13) 기금관리형 준정부기관 (17) 위탁집행형 준정부기관 기관명 (지경부) 한국가스공사, 한국석유공사, 한국전력공사, 한국지역난방공사, 한국중부발전(주), 한국수력원자력(주), 한국서부발전(주), 한국동서발전(주), 한국남부발전(주), 한국남동발전(주) (국토부) 인천국제공항공사, 한국공항공사, 부산항만공사, 인천항만공사 (기재부) 한국조폐공사 (문화부) 한국관광공사, 한국방송광고공사 (농림부) 한국마사회 (지경부) 한국광물자원공사, 대한석탄공사 (국토부) 대한주택보증주식회사, 제주국제자유도시개발센터, 한국감정원, 한국도로공사, 한국수자원공사, 한국토지주택공사, 한국철도공사 (교과부) 사립학교교직원연금공단 (행안부) 공무원연금공단 (문화부) 영화진흥위원회, 서울올림픽기념국민체육진흥공단, 한국문화예술위원회, 한국언론진흥재단 (지경부) 한국무역보험공사, 한국방사성폐기물관리공단 (복지부) 국민연금공단 (고용부) 근로복지공단 (금융위) 한국자산관리공사, 기술신용보증기금, 신용보증기금, 예금보험공사, 한국주택금융공사 (중기청) 중소기업진흥공단 (방통위) 한국방송통신전파진흥원 (교과부) 한국교육학술정보원, 한국과학창의재단, 한국연구재단, 한국원자력안전기술원, 한국장학재단
구 분 (66) 기타 공공기관 (176) 기관명 (행안부) 한국승강기안전관리원, 한국정보화진흥원 (문화부) 국제방송교류재단, 한국콘텐츠진흥원 (농림부) 농수산물유통공사, 축산물품질평가원, 한국농어촌공사, 수산자원사업단, 축산물위해요소중점관리기준원, 농림수산식품기술기획평가원 (농진청) 농업기술실용화재단 (지경부) 한국석유관리원, 대한무역투자진흥공사, 에너지관리공단, 한국세라믹기술원, 한국우편물류지원단, 우체국예금보험지원단, 한국가스안전공사, 한국광해관리공단, 한국디자인진흥원, 한국산업기술시험원, 한국산업기술진흥원, 한국산업기술평가관리원, 한국산업단지공단, 한국에너지기술평가원, 한국우편사업지원단, 한국전기안전공사, 한국전력거래소, 정보통신산업진흥원 (방통위) 한국인터넷진흥원 (복지부) 건강보험심사평가원, 국민건강보험공단, 한국보건산업진흥원, 한국노인인력개발원, (재)한국사회서비스관리원, 한국보건복지정보개발원 (여가부) 한국청소년상담원, 한국청소년활동진흥원 (환경부) 국립공원관리공단, 한국환경공단, 한국환경산업기술원 (노동부) 한국고용정보원, 한국산업안전보건공단, 한국산업인력공단, 한국장애인고용공단 (국토부) 교통안전공단, 한국건설교통기술평가원, 한국시설안전공단, 한국철도시설공단, 대한지적공사, 선박안전기술공단, 한국컨테이너부두공단, 한국해양수산연수원 (경찰청) 도로교통공단 (소방청) 한국소방산업기술원 (보훈처) 독립기념관, 한국보훈복지의료공단 (공정위) 한국소비자원 (금융위) 한국예탁결제원, 한국거래소 (중기청) 중소기업기술정보진흥원 (기재부) 한국수출입은행, 한국투자공사 (교과부) 강릉원주대학교치과병원, 강원대학교병원, 경북대학교병원, 경상대학교병원, 동북아역사재단, 한국고전번역원, 부산대학교병원, 서울대학교병원, 서울대학교치과병원, 전남대학교병원, 전북대학교병원, 제주대학교병원, 충남대학교병원, 충북대학교병원, 한국사학진흥재단, 한국학중앙연구원, 광주과학기술원, 기초기술연구회, 대구경북과학기술원, 한국과학기술원, 한국과학기술정보연구원, 한국기초과학지원연구원, 한국생명공학연구원, 한국원자력통제기술원, 한국천문연구원, 한국표준과학연구원, 한국한의학연구원, 한국항공우주연구원, 한국해양연구원, 한국과학기술연구원, 한국과학기술기획평가원, 한국원자력연구원, 한국원자력의학원, 평생교육진흥원 (외교부) 한국국제협력단, 한국국제교류재단, 재외동포재단 (법무부) 대한법률구조공단, 정부법무공단, 한국법무보호복지공단
구 분 기관명 (국방부) 전쟁기념사업회, 한국국방연구원, 호국장학재단 (행안부) 민주화운동기념사업회 (문화부) (재)한국문화예술회관연합회, 경북관광개발공사, 국립중앙박물관문화재단, 국민생활체육회, 그랜드코리아레저(주), 대한장애인체육회, 영상물등급위원회, 예술의전당, (재)명동 정동극장, 한국간행물윤리위원회, 한국문학번역원, 대한체육회, 한국문화관광연구원, 한국문화예술교육진흥원, 한국문화진흥주식회사, 한국영상자료원, 한국체육산업개발(주), (재)체육인재육성재단, 게임물등급위원회, 재단법인 국악방송, 태권도진흥재단, 한국저작권위원회, 한국공예디자인문화진흥원, (재)한국공연예술센터, (재)예술경영지원센터 (농림부) 가축위생방역지원본부, 한국농림수산정보센터, 특수법인 한국어촌어항협회 (지경부) 기초전력연구원, 인천종합에너지(주), (주)강원랜드, (주)한국가스기술공사, 한국생산성본부, 한국전력기술주식회사, 한국표준협회, 한일산업기술협력재단, 한전KDN, 한전KPS(주), 한전원자력연료주식회사, 한국원자력문화재단, 별정우체국 연금관리단, 대덕연구개발특구지원본부, 산업기술연구회, 한국건설기술연구원, 한국기계연구원, 한국생산기술연구원, 한국식품연구원, 한국에너지기술연구원, 한국전기연구원, 한국전자통신연구원, 한국지질자원연구원, 한국철도기술연구원, 한국화학연구원, 전략물자관리원, (재)우체국시설관리지원단, 한국로봇산업진흥원 (복지부) 국립암센터, 대한적십자사, 한국보건복지인력개발원, 한국보건의료인국가시험원, 한국장애인개발원, 한국국제보건의료재단, 한국사회복지협의회, 국립중앙의료원 (환경부) 수도권매립지관리공사 (고용부) 학교법인한국폴리텍, 노사발전재단, 한국기술교육대학교,한국승강기안전기술원, 노사공동고용지원사업단, 한국사회적기업진흥원 (국토부) 코레일네트웍스(주), 코레일로지스(주), 코레일유통(주), 코레일테크(주), 코레일관광개발(주), (주)한국건설관리공사, 주택관리공단(주), 울산항만공사, 인천항만보안(주), 부산항만보안(주), 한국해양과학기술진흥원, 항로표지기술협회 (총리실) 경제인문사회연구회, 과학기술정책연구원, 국토연구원, 대외경제정책연구원, 산업연구원, 에너지경제연구원, 정보통신정책연구원, 통일연구원, 한국개발연구원, 한국교육개발원, 한국교육과정평가원, 한국교통연구원, 한국노동연구원, 한국농촌경제연구원, 한국법제연구원, 한국보건사회연구원, 한국여성정책연구원, 한국조세연구원, 한국직업능력개발원, 한국청소년정책연구원, 한국해양수산개발원, 한국행정연구원, 한국형사정책연구원, 한국환경정책평가연구원 (보훈처) 88관광개발(주) (문화재청) 한국문화재보호재단 (산림청) 녹색사업단
구 분 기관명 (중기청) 시장경영진흥원, 신용보증재단중앙회, 중소기업유통센터, 한국벤처투자, 소상공인진흥원, 창업진흥원 (특허청) 한국발명진흥회, 한국특허정보원, 재단법인한국지식재산연구원, 한국지식재산보호협회 (식약청) 한국희귀의약품센터 (금융위) 산은금융지주, 중소기업은행, 코스콤, 한국기업데이터주식회사, 한국산업은행, 한국정책금융공사 (방사청) 국방과학연구소, 국방기술품질원 (통일부) 북한이탈주민지원재단 마. 지방공사 및 지방공단 지방자치단체가 수도사업, 공업용수도사업, 궤도사업, 자동차운송사업, 지방유료 도로사업, 하수도사업, 주택사업, 토지개발사업 등을 효율적으로 수행하기 위하여 지방공기업법 에 따라 설립한 지방공사(제49조)와 지방공단(제76조)도 공공기관 에 해당한다. 2010년 7월 1일 현재 지방공사는 52개이고 지방공단은 82개이다. 형태별 사 업 별 기업수 공 기 업 별 지 하 철 7 서울메트로, 서울도시철도공사, 부산, 대구, 인천, 광주, 대전 도시개발 16 SH, 부산, 대구, 인천, 광주, 대전, 울산, 경기, 강원, 충북, 충남, 전북, 전남, 경북, 경남, 제주 서울특별시농수산물공사, 인천교통공사, 인천광역시관광공사, 김대중컨벤션 센터, 지방공사대전엑스포과학공원, 구리농수산물도매시장관리공사, 지 방 공 사 기타공사 (지자체 100%출자) 25 경기관광공사, 광주지방공사, 용인지방공사, 하남시도시개발공사, 김 포시도시개발공사, 남양주시도시공사, 평택지방공사, 화성도시공사, 양 평지방공사, 안산도시공사, 춘천도시개발공사, 충청남도농축산물류센 터관리공사, 여수시도시공사, 구미원예수출공사, 영양고추유통공사, 청도공영사업공사, 통영관광개발공사, 창녕군개발공사, 함안지방공사 기타공사 (지자체 50% 이상출자) 4 경기평택항만공사, 고양도시공사, 태백관광개발공사, 제주관광공사 지 방 공 단 시설 환경 경륜공단 82 합계 134 < 2010년 지방공사 공단 현황(134개) > 서울, 강남구, 강동구, 강북구, 강서구, 광진구, 구로구, 금천구, 도봉구, 동대문구, 동작구, 마포구, 서대문구, 성동구, 성북구, 송파구, 양천구, 영등포 구, 용산구, 종로구, 중랑구, 은평구, 관악구, 중구, 노원구, 부산, 기장군, 대구, 인천, 인천남구, 인천남동구, 인천부평구, 인천계양구, 인천서구, 인 천중구, 강화군, 대전, 울산, 울산남구, 울주군, 수원시, 성남시, 부천시, 안양시, 용인시, 시흥시, 화성시, 김포시, 안성시, 의왕시, 오산시, 과천시, 고양시, 의정부시, 파주시, 양주시, 안산시, 군포시, 가평군, 연천군, 포천 시, 춘천시, 속초시, 동해시, 정선군, 청주시, 단양관광관리공단, 보령시, 전 주시, 구미시, 안동시, 문경관광진흥공단, 창원시, 김해시, 거제시, 양산시, 부 산환경, 대구환경, 인천환경, 광주환경, 부산경륜공단, 창원경륜공단
바. 특수법인 특별법에 의하여 설립된 특수법인들도 공공기관에 포함된다. 특수법인이란 일 반적으로 특정한 국가적 정책이나 공공의 이익을 달성하기 위한 사업의 수행을 위하여 민법 상법 이외의 특별법이나 특별규정에 의하여 설립되는 비영리법인을 말한다. 당해 법인의 설치 및 규율을 목적으로 특별히 제정된 법률에 의하여 설 립된 법인뿐만 아니라 민법 상법에 대한 상대적 의미로서의 특별법 규정에 따라 설립된 법인도 포함될 수 있다. 당해 법인의 설치 및 규율을 목적으로 특별히 제정된 법률에 의하여 설립된 법인에 국한하지 않는다고 하더라도 직 간접적으로 국가나 지방자치단체의 재정지원을 받으며, 공익적인 사무를 수행함으로써 행정상의 권리와 의무의 귀속 주체가 되어야 하고, 정책결정과 관련하여 사실상 국가 또는 지자체의 지배력 하에 있어야 한다. 이처럼 특별법에 근거해서 설립되었다고 해서 모든 법인이 특수법인이 되는 것은 아니며, 설립목적, 운영실태 등을 종합적으로 고려해서 개별적으로 평가되 어야 한다. 특수법인이 되기 위해서는 최소한 특별법에 의한 설치, 국가 자자체등 으로부터의 재정지원, 국가 또는 지자체 사무의 수탁처리, 사실상 국가 또는 지자체의 지배, 공공 또는 공익 기능 수행 등의 본질적 요소를 갖추어야 한다. 사. 각급 학교 초 중등교육법, 고등교육법 및 그 밖의 다른 법률에 따라 설치된 각급 학교들도 공공기관으로 취급된다. 초 중등교육법 에 따라 설치된 학교로는 초등학교 공민학교, 중학교 고등공민학교, 고등학교 고등기술학교, 방송통신 고등학교, 특수학교, 각종학교, 대안학교, 외국인학교 등이 있고, 고등교육법 에 따라 설치된 학교로는 대학, 산업대학, 교육대학, 전문대학, 원격대학(방송대학 통신대학 방송통신대학 사이버대학), 기술대학, 대학원대학, 각종학교 등이 있다. 다른 법률에 따라 설치된 각급 학교로는 공군항공과학고등학교( 공군항공과학 고등학교 설치법 ), 육군사관학교 해군사관학교 공군사관학교( 사관학교설치법 ), 국방 대학교( 국방대학교설치법 ), 육군3사관학교( 육군3사관학교 설치법 ), 국군간호 사관학교( 국군간호사관학교 설치법 ), 경찰대학( 경찰대학설치법 ), 울산과학 기술대학교( 국립대학법인 울산과학기술대학교 설립 운영에 관한 법률 ), 한국농 수산대학( 한국농수산대학 설치법 ), 기능대학법, 국가정보대학원( 국가정보대학원 설치법 ), 법학전문대학원( 법학전문대학원 설치 운영에 관한 법률 ) 등이 있다.
제7호 법률 시행령 표준지침 영상정보 처리기기 7. 영상정보처리기기 란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다. 제3조(영상정보처리기기의 범위) 법 제2조제7호에서 대통령령으로 정하는 장치 란 다음 각 호의 장치를 말한다. 1. 폐쇄회로 텔레비전: 다음 각 목의 어느 하나에 해당하는 장치 가. 일정한 공간에 지속적으로 설치된 카메라를 통하여 영상 등을 촬영하거나 촬영한 영상정보를 유무선 폐쇄회로 등의 전송로를 통하여 특정 장소에 전송하는 장치 나. 가목에 따라 촬영되거나 전송된 영상정보를 녹화ㆍ기록할 수 있 도록 하는 장치 2. 네트워크 카메라: 일정한 공간에 지속적으로 설치된 기기로 촬영한 영상정보를 그 기기를 설치ㆍ관리하는 자가 유무선 인터넷을 통하여 어느 곳에서나 수집ㆍ저장 등의 처리를 할 수 있도록 하는 장치 8. 영상정보처리기기 란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유 무선망을 통하여 전송하는 일체의 장치로서 시행령 제3조에 따른 폐쇄회로텔레비전(CCTV) 및 네트워크카 메라를 말한다. 9. 개인영상정보 라 함은 영상정보처리기기에 의하여 촬영 처리되 는 영상정보 중 개인의 초상, 행동 등 사생활과 관련된 영상으로서 해당 개인의 동일성 여부를 식별할 수 있는 정보를 말한다. 10. 영상정보처리기기 운영자 라 함은 개인정보 보호법 제25조제1 항 각호에 따라 영상정보처리기기를 설치 운영하는 자를 말한다. 11. 공개된 장소 라 함은 공원, 도로, 지하철, 상가 내부, 주차장 등 정보주체가 접근하거나 통행하는 데에 제한을 받지 아니하는 장소 를 말한다. 1. 영상정보처리기기(제2조제7호) 영상을 촬영하여 처리할 수 있는 기기의 용도와 종류는 매우 다양하므로, 개인 정보 보호법 에서는 개인정보 보호의 필요성이 있고 규제의 실익이 있는 범위를 한정하여 영상정보처리기기의 범위를 정하고 있다. 법 제2조제7호는 영상정보처리기기를 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치 로 정의하고 있다.
가. 일정한 공간에 지속적으로 설치 이 법에 따른 영상정보처리기기는 일정한 공간 에 설치되어 있어야 한다. 예컨대 건물 실내, 도로, 공원 등 일정한 공간에 기반하여 영상정보처리기기가 설치되어 있 어야 함을 의미한다. 또한, 영상정보처리기기는 일정한 공간에 설치되어 있는 것만을 포함하므로, 그 촬영 범위도 일정한 공간이나 구역을 촬영하는 것으로 한정된다. 또한 이 법의 규제대상이 되는 영상정보처리기기는 지속적 으로 설치되어 있는 촬영 기기만을 의미한다. 여기서 지속적 설치의 의미는 그 촬영 기기를 어느 정도 고정적 항구적( 恒 久 的 )으로 운영할 목적으로 설치된 것을 말한다. 예를 들어, 개인이 휴대하고 있는 캠코더, 디지털카메라 등으로 촬영 공간과 촬영 대상범위를 바꾸어 가면서 영상을 촬영하는 것은 이 법에 따른 영상정보처리기기의 범주에 포함되지 않는다. 만약 개인용 촬영 기기를 일정한 공간에 설치해 두고 영 상을 촬영한다 하더라도, 그것이 고정적 항구적으로 운영할 목적이 아닌 이상은 역시 이 법에 따른 영상정보처리기기가 아니다. 다만, 일정한 공간 이라는 의미는 반드시 고정된 장소 를 의미하는 것은 아니다. 만약 이동성이 있는 공간이라 하더라도 그 촬영기기의 설치 위치와 촬영 범위가 일정하게 한정되어 있다면 이 법에 따른 영상정보처리기기에 해당된다. 예를 들어 버스, 택시 등 영업용 차량 내부에 설치된 CCTV는 차량 내부라는 일정한 공간에 설치되어 일정한 승객 탑승공간을 촬영하고 있으므로 이 법에 따 른 영상정보처리기기에 해당된다. 반면, 이른바 차량 블랙박스 와 같이 차량 내부에 설치되어 있으면서 차량 주행에 따라 외부를 촬영하는 기기의 경우에는 촬영 대상 범위가 수시로 변동되므로 이 법에 따른 영상정보처리기기에 해당되지 않는다. 한가지 주의할 점은, 영상정보처리기기가 아닌 촬영기기를 통하여 개인을 촬영하는 행위는 이 법 제25조에 따른 영상정보처리기기 규제는 적용되지 않으나, 경우에 따 라서 이 법의 다른 개인정보 보호 원칙이나 타 법의 규정이 적용될 수 있다. 예를 들어 업무를 목적으로 개인정보파일을 운용하기 위해 개인정보처리자가 개인 영상을 촬영하는 경우에는 이 법에 따른 개인정보 수집 이용 원칙 등이 적용될 수 있다. 또한 성적 욕망 또는 수치심을 유발할 수 있는 타인의 신체를 그 의사에 반하여 촬 영하는 행위 등은 성폭력범죄의 처벌 및 피해자보호 등에 관한 법률 에 의하여 제재가 가능하다.
참고 성폭력범죄의 처벌 및 피해자보호 등에 관한 법률 제14조의2 (카메라등 이용촬영) 1카메라 기타 이와 유사한 기능을 갖춘 기계장치를 이용하여 성적 욕 망 또는 수치심을 유발할 수 있는 타인의 신체를 그 의사에 반하여 촬영하거나 그 촬영물을 반포ㆍ 판매ㆍ임대 또는 공연히 전시ㆍ상영한 자는 5년 이하의 징역 또는 1천만원 이하의 벌금에 처한다. 2 영리목적으로 제1항의 촬영물을 정보통신망 이용촉진 및 정보보호 등에 관한 법 률 제2조제1항제1호의 정보통신망(이하 "정보통신망"이라 한다)을 이용하여 유포한 자 는 7년 이하의 징역 또는 3천만원 이하의 벌금에 처한다. 나. 사람 또는 사물의 영상 등을 촬영 사회 통념상 영상을 촬영 한다는 개념에는 음성 음향 녹음도 포함된다고 볼 수 있다. 그러나 CCTV와 같은 영상정보처리기기는 일정한 장소에 지속적으로 설치되어 그 촬영 범위 안에 있는 것을 전부 촬영하므로, 만약 영상정보처리기기에 음성 음향 까지 녹음된다면 예기치 않게 타인간의 대화 등이 녹음될 가능성이 있다. 그러나 공개되지 아니한 타인간의 대화를 녹음 청취하는 행위는 통신비밀보호 법 제3조를 위반하게 된다. 따라서 개인정보 보호법 에 따른 영상정보처리기기의 촬영 은 순수하게 영상만을 촬영하는 것으로 한정되며, 음성 음향을 녹음하는 것은 포함되지 않는다. 한편, 여기에서 사물 이란 개인정보 보호법 의 입법 취지를 고려할 때 이 법의 보호대상이 되는 사람과 일정한 관계가 있는 사물로 한정하여 해석해야 한다. 예를 들 어 천문대에 설치된 망원경은 비록 일정한 공간에 지속 설치되어 우주 공간(사물)을 촬영하고는 있으나 그 촬영대상이 사람과 일정한 생활 관계에 놓여져 있다고 보기 어렵기 때문에, 이 법에 따른 영상정보처리기기에 포함되지 않는다. 다. 촬영된 정보를 유 무선망을 통하여 전송 사람 사물의 영상을 촬영하는 것뿐만 아니라, 촬영된 정보를 유 무선망을 통하여 전송하는 장치도 영상정보처리기기의 개념에 포함된다. 사실상 영상정보처리기기는 단순히 영상만을 촬영하는 것이 아니라, 그 촬영 화면을 전송하여 그 설치목적에 따라 열람 활용하는 방식이 널리 이용되고 있다. 여기에는 폐쇄회로 텔레비전 (CCTV)과 같이 촬영 화면을 폐쇄망을 통해 전송하여 모니터링하는 경우, 네트워크 카메라 등과 같이 인터넷망 등을 이용해 영상을 전송하고 열람하는 경우가 모두 포 함된다.
라. 대통령령이 정하는 장치 사람 사물을 촬영할 수 있는 영상정보처리기기는 매우 다양하다. 이 같은 기기들의 사용을 모두 엄격하게 규제할 경우 사회생활이나 경제활동에 제약을 가져올 수 있기 때문에, 이 법에 따른 영상정보처리기기의 종류는 대통령령으로 정하는 기기만을 인정하고 있다. 시행령 제3조에서는 영상정보처리기기의 종류를 아래와 같이 규정하고 있다. < 영상정보처리기기의 종류 > 종 류 내 용 폐쇄회로 텔레비전 일정한 공간에 지속적으로 설치된 카메라를 통하여 영상 등을 촬 영하거나 이를 유 무선 폐쇄회로 등의 전송로를 통해 전송 또는 저장매체에 녹화 기록할 수 있도록 하는 장치 네트워크 카메라 일정한 공간에 지속적으로 설치된 쵤영기기로 수집한 영상정 보를 유 무선 인터넷을 통하여 어느 곳에서나 수신 조작 저장 등의 처리를 할 수 있도록 하는 장치
제3조 개인정보 보호원칙 법률 표준지침 제3조(개인정보 보호 원칙) 1 개인정보처리자는 개인정보의 처리 목 적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개 인정보만을 적법하고 정당하게 수집하여야 한다. 2 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적 합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여 서는 아니 된다. 3 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정 보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다. 4 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다. 5 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항 을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다. 6 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법 으로 개인정보를 처리하여야 한다. 7 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명 에 의하여 처리될 수 있도록 하여야 한다. 8 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임 과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노 력하여야 한다. 제4조(개인정보 보호 원칙) 1 개인정보를 수집하는 목적은 수집 당시에 명확히 특정되어 있어야 하고 개인정보처리자는 그 특정된 목적을 달성하 기 위하여 직접적으로 필요한 범위 내에서만 개인정보를 처리하여야 한다. 2 개인정보처리자는 개인정보의 내용이 처리당시의 사실에 부합하도 록 정확하고 최신의 상태를 유지하여야 하며, 개인정보의 처리과정에서 고의 또는 과실로 개인정보가 부당하게 변경 또는 훼손되지 않도록 하여야 한다. 3 개인정보처리자는 정보주체의 권리가 침해받을 가능성과 위험의 정도에 상응하는 적절한 기술적 관리적 및 물리적 보안조치를 통하 여 개인정보를 안전하게 관리하여야 한다. 4 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 일반적으로 공개하여야 하며, 열람청구권 등 정보주체의 권리가 보장될 수 있도록 합리적인 절차를 마련하여야 한다. 5 개인정보처리자는 처리 목적에 필요한 범위에서 개인정보를 처리하는 경우에 도 가능한 한 정보주체의 사생활 침해를 최소화하는 방법을 선택하여야 한다. 6 개인정보처리자는 이 법에 의하여 개인정보의 처리에 관한 정보주체의 동의를 얻은 경우라도 구체적인 업무의 특성상 가능한 경우에는 특정 개인을 알아볼 수 없는 형태로 개인정보를 처리하여야 한다. 제 3 조
법 제3조는 개인정보 처리와 관련하여 국제적으로 통용되고 있는 원칙들을 반영하고 있다. 제3조의 개인정보 보호 원칙은 1980년 제정된 OECD 프라이버시 8원칙 과 EU 회원국의 입법기준이 되는 EU 개인정보보호지침 (1995)을 참고하였고, 우리나라가 제정과정에서 결정적인 역할을 수행한 APEC 프라이버시 원칙 (2004)도 고려하였다. 그 밖에 법률에서 개인정보 보호 원칙을 상세하게 기술하고 있는 영국, 스웨덴, 캐나다, 홍콩, 호주, 뉴질랜드 등의 개인정보 보호법 도 참고 하였다. 개인정보 보호원칙은 선언적 규범이어서 그 자체가 개인정보처리자를 직접적으로 구속하지는 않지만, 개인정보처리자에게는 행동의 지침을 제시해 주고, 정책담당자 에게는 정책수립 및 법집행의 기준을 제시해 주며, 사법부에 대해서는 법 해석의 이론적 기초를 제시해 줌과 동시에 입법의 공백을 막아 준다. 그런 의미에서 법 제3조가 익명처리 의 원칙을 선언하고 있다는 것은 국내 개인정보보호 정책방향에 대하여 시사하는 바가 크다고 할 수 있다. < OECD 프라이버시 8원칙과 개인정보 보호원칙의 비교 > OECD 프라이버시 8원칙 수집제한의 원칙(1원칙) 정보 정확성의 원칙(2원칙) 목적 명확화의 원칙(3원칙) 이용제한의 원칙(4원칙) 안전성 확보의 원칙(5원칙) 처리방침 공개의 원칙(6원칙) 정보주체 참여의 원칙(7원칙) 책임의 원칙(8원칙) 개인정보 보호원칙 목적에 필요한 최소정보의 수집(제1항) 사생활 침해를 최소화하는 방법으로 처리(제6항) 익명처리의 원칙(제7항) 처리목적 내에서 정확성 완전성 최신성 보장(제3항) 처리목적의 명확화(제1항) 목적 범위 내에서 적법하게 처리, 목적외 활용금지(제2항) 권리침해 가능성 등을 고려하여 안전하게 관리(제4항) 개인정보 처리방침 등 공개(제5항) 열람청구권 등 정보주체의 권리보장(제5항) 개인정보처리자의 책임준수 신뢰확보 노력(제8항)
개인정보 보호 원칙에 따라 개인정보처리자는 구체적이고 명확한 수집목적을 가지고 개인정보를 수집하여야 하며, 특정된 목적 달성에 직접적으로 필요하지 않은 개인정보는 처리하여서는 안된다. 예를 들어 세탁서비스제공자는 세탁완료를 알리거나 세탁물을 배달하기 위한 목적으로 고객의 성명, 전화번호 등을 수집할 수 있으나, 고객의 주민등록번호를 수집하는 것은 목적 달성을 위해 직접적으로 필요한 정보로 보이지 않으므로 수집 이용해서는 안된다. 개인정보처리자는 개인정보의 정확성과 최신성을 확보하기 위하여 개인정보 입력시 입력내용을 사전에 확인하는 절차, 개인정보에 대한 열람 및 정정 요구 등을 통해 정확한 정보를 입력할 수 있는 절차나 방법 등을 마련하여야 하며, 오류정보를 발견한 경우 정정이나 삭제할 수 있는 절차도 마련하여야 한다. 또한 개인정보를 처리하는 과정에서 개인정보취급자 등이 고의 또는 과실로 개인정보를 변경 훼손되는 일이 없도록 주의의무를 다하여야 한다. 개인정보처리자는 정보주체의 개인정보가 분식, 도난, 누출, 변조 또는 훼손되지 않도록 안전성 확보를 위한 보안조치를 강구하여야 하며, 정보주체가 제공한 개인정보가 어떠한 용도와 방식으로 이용되고 있으며 개인정보보호를 위하여 어떠한 조치를 취하고 있는지를 공개하여야 한다. 또한 정보주체가 제공한 개인 정보를 열람, 정정 및 삭제를 요구할 수 있는 절차를 마련하여야 한다. 그밖에 개인정보처리자는 수집된 개인정보가 다른 사람에게 노출되거나 악용 되는 것을 막고 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 하며, 구체적인 업무의 특성을 반영하여 개인정보데이터 기록에서 개인식별자를 제거 하거나 대체하는 익명화 또는 비식별화 방식 등을 통해 특정 개인을 알아 볼 수 없는 형태로 개인정보를 처리하여야 한다.
제4조 정보주체의 권리 제4조(정보주체의 권리) 정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다. 1. 개인정보의 처리에 관한 정보를 제공받을 권리 2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리 3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리 4. 개인정보의 처리 정지, 정정 삭제 및 파기를 요구할 권리 5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리 1. 연혁 법 제4조가 규정하고 있는 정보주체의 권리는 각국의 판례와 입법례를 통해서 확립된 것이다. EU개인정보보호지침 상 정보주체는 정보를 제공받을 권리, 자신의 개인정보에 대한 접근권, 부정확한 정보의 수정 삭제 폐쇄요구권, 개인정보의 처리를 거부할 권리, 개인정보가 직접판매에 이용되는 것을 거부할 권리, 자동처리정보만으로 불이익을 받지 않을 권리를 가진다. 우리나라 정보통신망법 도 동의철회권, 열람요구권, 정정요구권 등을 규정하고 있으며, 구( 舊 ) 공공기관 개인정보 보호법 도 정보주체의 열람청구권과 정정 및 삭제청구권을 인정하고 있었다. 우리나라 헌법재판소는 이른바 개인정보자기결정권 또는 개인정보자기 통제권 을 인정하고 있다. 헌법재판소는 개인정보자기결정권으로 보호하려는 내용을 위 각 기본권들 및 헌법원리들 중 일부에 완전히 포섭시키는 것은 불가능 하다고 할 것이므로, 그 헌법적 근거를 굳이 어느 한두 개에 국한시키는 것은 바람 직하지 않은 것으로 보이고, 오히려 개인정보자기결정권은 이들을 이념적 기초로 하는 독자적 기본권으로서 헌법에 명시되지 아니한 기본권이라고 보아야 할 것 이다 라고 판시하면서 헌법 제17조의 사생활의 비밀과 자유, 헌법 제10 조 제1문의 인간의 존엄과 가치 및 행복추구권에 근거를 둔 일반적 인격권 또는 위 조문들과 동시에 우리 헌법 의 자유민주적 기본질서 규정 또는 국민주권원리 와 민주주의원리 등을 이념적 기초로 하여 헌법 에 명시되지 아니한 독자적 기본권으로 개인정보자기결정권을 인정하고 있다(헌재 2005.05.26, 99헌마513, 판 례집 제17권 1집, 668)
참고 개인정보자기결정권 관련 헌법재판소 판례 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 즉 정보주 체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다. 개인의 고유성, 동일성을 나타내는 지문은 그 정보주체를 타인으로부터 식별가능하게 하는 개인정보 이므로, 시장 군수 또는 구청장이 개인의 지문정보를 수집하고, 경찰청장이 이를 보 관 전산화하여 범죄수사목적에 이용하는 것은 모두 개인정보자기결정권을 제한하는 것이라고 할 수 있다. 헌재 2005. 5. 26., 99헌마513, 2004헌마190(병합) 또한, 개인정보에 관한 권리에 대하여 대법원은 국군보안사령부가 민간인들을 대상으로 미행, 망원활용, 탐문채집 등의 방법으로 개인정보를 수집, 관리한 사례에서 헌법 제10조의 행복추구권과 헌법 제17조의 사생활의 비밀과 자유에 관한 규정은 개인의 사생활 활동이 타인으로부터 침해되거나 사생활이 함부로 공개되지 아니할 소극적인 권리는 물론, 오늘날 고도로 정보화된 현대사회에서 자신에 대한 정보를 자율적으로 통제할 수 있는 적극적인 권리까지도 보장하기 위한 것이다 라고 판시하였다(대법원 1998. 7. 24. 선고, 96다42789 판결). 이렇듯, 개인정보자기결정권은 헌법상 사생활의 비밀과 자유 그리고 행복추구권 으로부터 도출되는 독자적 기본권이라는 것이 우리나라 법원, 헌법재판소의 일반적인 입장이다. 개인정보자기결정권의 권원인 프라이버시권이나 행복추구권은 모두 인격발현과 밀접한 관련성을 가지는 기본권이고, 사법의 영역에서는 인격권의 일종이라고 보아야 할 것이다. 현실적으로 제기된 개인정보의 침해에 관한 소송을 보더라도, 원고는 대부분 개인정보에 관한 권리가 인격권의 일종임을 전제로 하여 정신적 손해의 배상을 구하고 있고, 법원도 위자료의 지급을 명하고 있다. 다만 개인정보가 경제 사회 활동 목적으로 유통되거나 이용되는 현실을 도외시할 수 없는데, 그렇다면 개인정보자기결정권은 순수하게 인격적 이익만 보호한다기보다 는 자신의 개인정보가 무단으로 영리목적에 활용되지 않도록 제어한다는 의미에 서 재산적 이익도 부수적으로 보호하는 특수한 인격권이라고 할 수 있다. 제 4 조 2. 권리의 내용 가. 개인정보 처리에 관한 정보를 제공받을 권리 정보주체는 개인정보 수집, 이용, 제공 등의 처리 목적과 범위 등에 관한 정보를 개인정보처리자로부터 제공받을 권리가 있다. 이에 따라 개인정보처리자는 개인
정보 수집 이용 제공 목적 범위 등의 고지, 개인정보처리방침의 제정 공개 등 의 의무를 진다. 나. 동의, 동의범위 등을 선택하고 결정할 권리 개인정보자기결정권의 핵심은 정보주체가 개인정보처리자의 개인정보 처리에 대하여 실질적인 통제권을 갖는 것이다. 정보주체에게 개인정보 처리여부 및 동의범위 등을 선택할 수 있는 권리를 부여한다고 하더라도 개인정보처리자가 사실상 동의를 강요하면 정보주체의 권리가 형식화하기 때문에 포괄적인 동의를 금지하고 있다. 다. 개인정보의 처리유무를 확인하고 열람을 요구할 권리 정보주체가 자신의 개인정보를 누가 얼마나 가지고 있고 어떻게 이용 제공 관리하고 있는지를 확인할 수 있도록 자신의 개인정보에 접근권을 보장하고 있다. 열람 요구권은 개인정보처리자의 무분별한 개인정보 수집 이용 제공을 방지하는 기능도 수행한다. 라. 개인정보의 정정 삭제 및 파기를 요구할 권리 개인정보처리자의 잘못된 개인정보 처리로 인한 피해를 방지하기 위하여 정보 주체에게 불완전하거나 부정확한 정보에 대한 정정 삭제 파기를 요구할 권리 를 보장하고 있다. 또한 개인정보 유출 등의 피해를 방지하고 오남용이 발생하지 않도록 개인정보의 처리목적이 달성되는 등 개인정보를 계속해서 보관할 필요성이 없어진 경우에는 자신의 개인정보를 파기해 달라고 요구할 수도 있다. 마. 피해를 신속하고 공정한 절차에 따라 구제받을 권리 정보주체는 개인정보의 수집, 이용, 제공 등으로 피해가 발생한 경우, 신속하고 공정한 절차에 따라 피해의 심각성에 비례하여 적절한 보상을 받을 권리를 가진다. 이 같은 권리를 보장하기 위해 개인정보 보호법 은 입증책임의 전환, 분쟁조정 제도 및 권리침해 중지 단체소송제도 등을 도입하고 있다.
3. 권리의 제한 정보주체의 권리는 제한할 수 없는 절대적인 권리는 아니다. 헌법 제37조 제2항에 의하면, 국민의 자유와 권리는 국가안전보장 질서유지 또는 공공복리를 위하여 필요한 경우에 한하여 법률로써 제한할 수 있다. 일반적으로 정보주체의 권리는 국방, 경찰, 수사, 재판, 조세 등을 위한 공권력의 발동과 관련하거나, 타 인의 기본권과 충돌되는 경우에 제한될 수 있다. 공권력에 의하여 이루어지는 개인정보의 조사, 저장, 제공, 공개 등은 정보주체의 권리에 대한 제한이라고 할 수 있으므로 그 제한에는 반드시 법률의 수권이 있 어야 한다. 그런데 개인정보의 처리를 허용하는 법률이 존재할지라도 그 법률은 반드시 법치국가원리에서 도출되는 명확성의 원칙을 따라야 한다. 정보주체의 권리를 제한함에 있어서는 개인정보의 수집ㆍ보관ㆍ이용 등의 주체, 목적, 대상 및 범위 등을 법률에 구체적으로 규정함으로써 그 법률적 근거를 보다 명확히 하는 것이 바람직하나, 개인정보의 종류와 성격, 정보처리의 방식과 내용 등에 따라 수권 법률의 명확성 요구의 정도는 달라진다. 개인정보자기결정권을 제한하는 입법으로는 형사소송법, 국가정보원법, 통계법, 전자정부법, 공직자윤리법, 의료법, 도로교통법, 국민건강 보험법, 행정기관의 정보공개에 관한 법률 등을 들 수 있다.
제5조 국가 등의 책무 제5조(국가 등의 책무) 1 국가와 지방자치단체는 개인정보의 목적 외 수집, 오용 남용 및 무분별한 감시 추적 등에 따른 폐해를 방지하여 인간의 존엄 과 개인의 사생활 보호를 도모하기 위한 시책을 강구하여야 한다. 2 국가와 지방자치단체는 제4조에 따른 정보주체의 권리를 보호하기 위하 여 법령의 개선 등 필요한 시책을 마련하여야 한다. 3 국가와 지방자치단체는 개인정보의 처리에 관한 불합리한 사회적 관행 을 개선하기 위하여 개인정보처리자의 자율적인 개인정보 보호활동을 존중 하고 촉진 지원하여야 한다. 4 국가와 지방자치단체는 개인정보의 처리에 관한 법령 또는 조례를 제정 하거나 개정하는 경우에는 이 법의 목적에 부합되도록 하여야 한다. 1. 인간존엄 및 사생활 보호를 위한 시책 강구 현대 복지국가에서 인간의 존엄과 개인의 사생활 보호는 국가 및 지방자치단체의 기본적 책무가 되고 있다. 국가 및 지방자치단체는 매년 개인정보의 이용 및 보호 실태를 조사하여 인간의 존엄과 개인의 사생활을 보호할 수 있는 시책을 수립 시행하여야 한다. 2. 법령의 개선 등 필요한 시책 마련 주민등록번호의 과도한 수집 이용에서 보듯이 행정 효율화, 공공의 이익보호, 경제 활성화 등을 이유로 법령에 의해서 국민의 개인정보가 과도하게 수집 이용되고 있다. 국가와 지방자치단체는 개인정보 보호법 의 입법취지를 고려하여 개인 정보의 오 남용을 방지하기 위하여 관련 법령을 개선하는 등의 노력을 기울여야 한다. 3. 개인정보보호 자율규제 촉진 지원 사회 전반에 개인정보보호 제도와 관행이 정착되기 위해서는 개인정보처리자의 자율규제가 활성화되어야 한다. 이를 위해 국가와 지방자치단체는 개인정보처리 자의 자발적인 개인정보보호 활동을 존중하고 촉진 지원하여 개인정보처리에 관 한 불합리한 사회적 관행을 개선하고 개인정보가 안전하게 처리될 수 있는 사회 적 환경을 조성할 책무가 있다. 4. 법령 조례 제 개정시 이 법 목적에 부합 국가 및 지방자치단체는 개인정보 처리에 관한 법령 또는 조례, 소관 부처 지침을 제 개정할 때 사생활의 비밀 및 자유 보호, 국민의 권리 및 이익 증진, 개인의 존 엄과 가치 구현이라고 하는 이 법의 목적에 부합할 수 있도록 하여야 한다.
제6조 다른 법률과의 관계 법률 표준지침 제6조(다른 법률과의 관계) 개인정보 보호에 관하여는 정보통신 망 이용촉진 및 정보보호 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 등 다른 법률에 특별한 규정이 있는 경우를 제 외하고는 이 법에서 정하는 바에 따른다. 제5조(다른 지침과의 관계) 중앙행정기관의 장이 소관 분야의 개인정 보 처리와 관련한 개인정보 보호지침을 정하는 경우에는 표준지침에 부합되도록 하여야 한다. 1. 개인정보 보호법의 성격 개인정보 보호에 관하여 이 법 이외에 다른 개별법이 있는 경우 이 법과 그 개별법 사이의 관계를 규정한 것이다. 개인정보 보호법 은 개인정보 보호에 관한 일반법적 성격을 가지므로 다른 법률에 특별한 규정이 있는 경우에는 그 법률의 규정이 우선하여 적용된다. 이는 해당 분야의 특수성을 고려한 것이다. 현재 정보통신망법, 신용정보법, 위치정보의 보호 및 이용 등에 관한 법률, 전자상거래 소비자보호법 등 다수의 개별법에서 개인정보의 처리 및 보호에 관한 규정을 두고 있다. 따라서 조문별로 개인정보 보호법에 우선하여 적 용여부를 검토하여야 한다. 다만, 위치정보법은 일반법인 개인정보 보호법에 대한 특별법에 해당하므로 모든 조문이 개인정보 보호법에 우선하여 적용된다. 일반적으로 개인정보보호에 관한 일반법을 두고 있는 나라에서는 개인정보보호 에 관하여 개별법은 두고 있는 사례는 찾아보기 어렵다. 이는 개인정보처리자에게 혼란을 주고 중복규제의 폐해가 크기 때문이다. 특정 산업이나 분야에 대해서 이 법과 다른 개인정보처리원칙이 필요하다면 그것에 한해서만 소관 법률에 예외규 정이나 특칙규정을 두면 되고 분야별 특성에 맞는 구체적인 처리기준은 제12조 에 따른 분야별 개인정보보호지침에 의해서 해결하여야 한다. 제 5 6 조 2. 법률의 적용기준 정보통신망법 등 개별법을 적용받는 자라고 해서 이 법의 적용이 면제되는 것은 아니다. 개인정보를 처리하는 자는 누구든지 이 법의 규정을 적용받는다. 다만, 해당 개별법에 이 법의 내용과 다른 특별한 규정이 있고 그 내용이 이 법 의 내용과 상충되는 경우, 그것에 한해서만 해당 법률의 규정이 우선 적용된다. 그러나 개별법에서 이 법의 내용과 다른 규정을 두고 있다고 해서 무조건 해
당 개별법의 규정이 우선 적용되는 것은 아니다. 개별법의 목적, 취지 등을 전반 적으로 고려해서 이 법의 적용을 배제할 의도가 분명하다고 인정되는 경우 또는 이 법의 규정을 그대로 적용할 경우 이 법과 개별법 사이에 모순이 발생하거나 불합리한 상황 또는 왜곡된 결과가 발생하는 경우만 개별법 규정이 적용된다. 예를 들어, 개별법 적용 대상자라 하더라도 처리대상 정보주체와의 관계가 해 당법률에서 규율하는 관계(정보통신서비스 제공자와 이용자 관계)가 아니라면 개인정보 보호법 을 적용받는다. 예를 들어 인물정보사이트를 운영하고 있는 정보통신서비스 제공자는 사이트를 이용하는 고객과의 관계에서는 정보통신망법 이 적용되나, 인물DB를 구성하는 개별 정보주체와의 관계는 서비스 제공자와 이 용자의 관계가 아니므로 개인정보 보호법 이 적용된다. 이것은 특수한 분야를 규율하는 개별법의 관계가 아니기 때문이다. 개인정보 보호법 은 일반법으로서 개인정보 처리에 관한 경제 사회의 공통 적이고 평균적인 요구수준을 반영하고 있으므로, 다른 법률의 규정이 이 법의 규 정보다 보호수준을 더 강화하고 있는 경우는 물론 이 법의 규정보다 더 보호수 준을 완화하고 있는 경우에도 해당 개별법의 규정이 우선하여 적용된다. 다른 법률 에 특별한 규정이 있는 경우에만 그 법률의 규정이 이 법에 우 선하여 적용되므로 법률이 아닌 시행령이나 시행규칙 고시, 조례 등에 이 법과 다른 특별한 규정이 있는 경우에는 그 시행령 등은 우선 적용되지 않는다. 그런 경우에는 당연히 이 법이 우선하여 적용된다. 다만, 그 시행령 등이 법률의 위임 을 받은 것일 경우에는 그 시행령 등이 우선하여 적용된다. 3. 다른 법률의 폐지 및 다른 법률의 개정 개인정보 보호법 의 시행에 따라, 공공기관 개인정보 보호법 은 폐지한다 (부칙 제2조). 또한 다른 법령에서 공공기관 개인정보 보호법 을 인용하였던 조 문은 개인정보 보호법 을 인용하는 것으로 개정된다. 정보통신망법 의 일부 규정도 개인정보 보호법 의 시행에 따라 일부 규정 이 개정되거나 삭제되었다. 특히 개인정보분쟁조정위원회 관련 조문(제4장제4절, 제66조제1호) 및 정보통신망법 상 준용사업자 관련 조문(제67조)은 개인정보 보호법 시행에 따라 이 법의 적용대상이 되므로 삭제되었다. 과거 정보통신망법 은 원칙적으로 정보통신서비스 제공자와 정보통신서비스를 이용하는 자의 관계에서 개인정보를 처리하는 경우에 적용되었으며, 이 외에 회원 제로 개인정보를 수집하여 재화 용역을 공급하는 사업자 (여행업자, 호텔업자, 항
공운송업자, 학원, 교습소 등)를 준용사업자로 규정하여 정보통신서비스 제공자와 마찬가지로 정보통신망법 의 개인정보 보호 관련 내용을 적용하여 왔다. 이는 정보통신서비스 업종 이외의 업종에서도 다량의 개인정보를 수집 이용함에 따라 서 이러한 업종에도 정보통신망법을 적용하여 개인정보를 보호하기 위한 취지였 다. 그러나 개인정보 보호법 이 시행됨으로써 정보통신망법 에서 준용사업 자 규정(제67조)을 별도로 둘 필요가 없어짐에 따라 해당 조항은 삭제되었으며, 준용사업자 업종들은 개인정보 보호법 에 따른 개인정보 처리자에 포함되게 되었다. < 삭제된 정보통신망법 제67조 > 제67조 (정보통신서비스 제공자 외의 자에 대한 준용) 1 정보통신서비스 제공자 외의 자로서 재화등을 제공하는 자 중 대통령령으로 정하는 자가 자신이 제공하는 재화등을 제공받는 자의 개인정보를 수집 이용 또는 제공하는 경우에는 제22조, 제23조, 제23 조의2, 제24조, 제24조의2, 제25조, 제26조, 제26조의2, 제27조, 제27조의2, 제28조, 제28조의2 및 제29조부터 제32조까지의 규정을 준용한다. 이 경우 정보통신서비스 제 공자 또는 정보통신서비스 제공자등 은 재화등을 제공하는 자 로, 이용자 는 재화등을 제공받는 자 로 본다. 또한 제22조, 제23조, 제23조의2, 제24조, 제24조의2, 제25조, 제26조, 제26조의2, 제27조, 제27조의2, 제28조, 제28조의2 및 제29조부터 제32조까 지의 규정을 준용하는 자에 대하여는 제27조제1항 제3항, 제27조의2제1항 제3항 및 제28조제1항에 따른 기준, 방법 등 세부사항을 행정안전부령으로 정한다. 대상 업종 근거 법령 舊 정보통신망법 규정 여행업 또는 호텔업 관광진흥법 제3조제1항 시행령 제71조제1호 항공운송사업 항공법 제2조제31호 시행령 제71조제2호 학원 또는 교습소 학원의 설립 운영 및 과외교습에 관한 법률 제2조제1호 및 제2호 시행령 제71조제3호 휴양콘도미니엄업 관광진흥법 제3조제1항제2호나목 시행규칙 제6조제1호 대형마트 백화점 쇼핑센터 유통산업발전법 제2조제3호 시행규칙 제6조제2호 체인사업 유통산업발전법 제2조제5호 시행규칙 제6조제3호 주택건설사업 주택법 제2조제5호 시행규칙 제6조제4호 주택관리업자 주택법 제53조제1항 시행규칙 제6조제5호 건설기계대여업 건설기계정비업 건설기계매매업 건설기계폐기업 부동산 중개업자 자동차매매업, 신조차 매매 및 등록신청의 대행업 < 舊 정보통신망법 상 준용사업자 목록> 건설기계관리법 제2조제3부터 제6호 공인중개사의 업무 및 부동산 거래신고에 관한법률 제2조제4호 자동차관리법 제2조제7호 시행규칙 제6조제6호 시행규칙 제6조제7호 시행규칙 제6조제8호
자동차대여사업 여객자동차운수사업법 제2조제4호 시행규칙 제6조제9호 결혼중개업자 결혼중개업의 관리에 관한 법률 제2조제5호 시행규칙 제6조제10호 의료업 의료법 제3조제1항 시행규칙 제6조제11호 유료직업소개사업 직업안정법 제4조제5호 시행규칙 제6조제12호 석유정제업 (석유정제시설을 모두 갖춘 자) 체육시설업자 석유 및 석유대체연료 사업법 제5조제1항 체육시설의 설치 이용에 관한 법률 제2조제3호 시행규칙 제6조제13호 시행규칙 제6조제14호 비디오물의 대여업 영화 및 비디오물의 진흥에 관한 법률 제2조제12호 시행규칙 제6조제15호 서점 출판문화사업진흥법 제2조제9호 시행규칙 제6조제16호 영화상영관 설치 경영자 영화 및 비디오물의 진흥에 관한 법률 제36조제1항 시행규칙 제6조제17호 사례 정보통신망법에 규정이 미비하거나 없는 경우 개인정보 보호법 적용 정보통신망법 에는 개인정보 유출 통지 신고에 관한 규정이 없으나 개인정보 보 호법 은 개인정보 유출사고시 통지 신고의무를 부여하고 있다(제34조). 따라서 정보 통신서비스제공자의 개인정보 유출사고 발생시에는 개인정보 보호법 에 따라 유 출 통지 신고 의무를 져야 한다. 또한, 개인정보를 제공받는 자의 이용 제공자(제19조), 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지(제20조), 민감정보의 처리제한(제23조), 고유식별정보 의 처리제한(제24조), 개인정보취급자에 대한 감독(제28조), 개인정보 유출통지 신 고(제34조), 개인정보의 처리정지(제37조), 집단분쟁조정(제49조), 권리침해중지 단체 소송(제52조) 등은 정보통신망법에 특별한 규정이 없으므로 개인정보 보호법이 우선 적용된다. 다만 의견제시 및 개선권고(제61조), 자료제출 요구 및 검사(제63조), 시정 조치(제64조), 고발 및 징계권고(제65조), 결과의 공표(제66조)의 경우에는 정보통신 망법이 우선하여 적용되고, 필요한 경우 개인정보 보호법이 보충하여 적용될 수 있 다.
사례 상법 우선 적용 개인정보 보호법 에서는 정보주체로부터 별도의 동의를 받거나, 다른 법률의 특별 한 규정이 있는 경우 등에 한하여 개인정보를 제3자에게 제공할 수 있다(제15조제1 항 및 제18조제2항). 근로자의 복리후생을 위해 회사가 근로자를 일괄하여 피보험자 로 하는 단체보험을 체결하는 경우, 회사는 직원의 개인정보를 제3자인 보험자에게 제공해야 하는데, 개인정보 보호법 에 따라 직원의 별도의 동의를 받아야 한다. 그러나 상법 은 타인의 생명보험과 관련하여 제731조제1항에서 타인의 사망을 보 험사고로 하는 보험계약에는 보험계약 체결 시에 그 타인의 서면에 의한 동의를 얻 어야 한다 고 규정하고 있고, 단체의 대표자가 그 단체의 구성원의 전부 또는 일부를 피보험자로 하여 보험자와 1개의 보험계약을 체결함으로써 성립하는 단체보험의 경 우, 상법 제735조의3제1항에 따라 단체의 규약에 따라 구성원의 전부 또는 일부 를 피보험자로 하는 생명보험계약을 체결하는 경우에는 제731조를 적용하지 아니한 다 고 규정하고 있다. 상해보험의 경우에도 상법 제739조에 따라 생명보험에 관한 규정이 준용되므로 단체상해보험계약을 체결하기 위해서는 보험계약체결에 대한 근로 자의 동의를 갈음하는 규약이 있는 경우 근로자의 서면동의가 없어도 된다. 따라서 단체보험계약체결에 관한 사항을 포함하고 있는 규약이 있는 경우에는 근 로자의 동의없이 회사가 수집한 개인정보를 보험회사인 제3자에게 제공할 수 있도 록 규정하고 있는 상법 이 적용된다. 상법 제735조의3에서 말하는 규약의 의미는 단체협약, 취업규칙, 정관 등 그 형식 을 막론하고 단체보험의 가입에 관한 단체내부의 협정에 해당하는 것이고, 당해 보험 가입과 관련하여 상세한 사항까지 규정할 것을 요하지 않지만 대표자가 구성원을 위 하여 일괄하여 계약을 체결할 수 있다는 취지는 담겨 있어야 할 것이다(대법원 2006.4.27. 선고2003다60259판결). 예를 들어 취업규칙 등에 생명보험가입에 관한 조항 을 두고, 보험금의 지급은 사망퇴직금이나 사망위로금의 지급에 충당하는 규정을 두 고 있고 근로자가 서명날인하였다면 피보험자의 동의에 갈음할 수 있을 것이다. 그러 나 규약에 단체보험계약체결에 관한 사항을 포함하지 않고 단순히 퇴직금, 사망위로 금 등만 규정하고 있는 경우에는 근로자의 동의가 서면동의가 필요하다. 4. 다른 법률과의 관계 개인정보 보호법 은 일반법으로서 모든 개인정보처리자와 정보주체와의 관계에 적용된다. 다만, 정보통신망법 에 따른 정보통신서비스 제공자와 정보통신서비스 이용자의 관계, 신용정보법 에 따른 신용정보사업자와 신용정보주체와의 관계에 있어서 해당 법에 특별한 규정이 있다면 그 규정을 따른다. 영상정보처리기기, 영향평가, 고유식별정보 및 민감정보 처리 제한, 유출통지제, 집 단분쟁조정제도, 권리침해행위 단체소송, 정보주체 이외로부터 수집한 개인정보의 출 처 고지 등 개인정보 보호법 에만 규정되어 있는 내용은 당연히 개인정보 보 호법 이 적용된다. 그러나 같은 내용에 관하여 달리 규정되어 있는 경우 개별법을 적용하므로, 개인정보 보호법 제15조제2항에 따른 수집 이용시의 동의사항은 정보통신서비 스 제공자와 이용자의 관계에 있어서는 적용되지 않고, 정보통신망법 제22조
제1항이 적용된다. 해당 사안에 있어서의 동의 사항은 수집 이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유 이용 기간이다. 한편, 다른 법에서 개인정보 보호법 제31조의 개인정보 보호책임자와 그 취지상 유사한 제도를 두고 있는 경우에는 해당 법률에 따라 지정하면 되고 개인정보 보호 법 에 따라 개인정보 보호책임자를 별도로 지정할 필요는 없다. 예컨대, 정보통 신망법 에 따라 개인정보 관리책임자를 지정하였거나, 신용정보법 에 따라 신용정 보 관리책임자를 지정하였을 경우에는 별도로 개인정보 보호책임자를 지정하지 않아도 된다. 다만 개인정보 보호법 에서 규정한 개인정보 보호책임자의 업무를 동시에 수행 하여야 한다. 구분 정보통신망법 신용정보법 제15조(개인정보의 수집 이용) 제16조(개인정보의 수집제한) 제17조(개인정보의 제공) 제18조(개인정보의 이용 제공 제한) 제19조(개인정보를 제공받는 자의 이용 제공 제한) 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지) 제21조(개인정보의 파기) 정보통신망법 제22조에 따른 이용자의 개인정보 수집은 정보 통신망법을 우선 적용하며, 그 외의 개인정보 수집시에는 개인정보 보호법 적용 정보통신망법 제23조 적용 정보통신망법 제24조의2 적용 정보통신망법 제24조 적용 개인정보 보호법 적용 개인정보 보호법 적용 정보통신망법 제29조 적용 신용정보법 제15조(신용정보에 대한 수집 조사의 원칙), 제23조 (공공기관에 대한 신용정보의 열람 및 제공 요청 등)를 제외 하고는 개인정보 보호법 적용 신용정보법상 신용정보의 수집 조사 및 처리에 관한 예외사유 (제16조)에 해당하는 경우를 제외하고 개인정보 보호법 적용 신용정보법 제32조 적용 신용정보법 제33조 적용 개인정보 보호법 적용 개인정보 보호법 적용 신용정보법 제21조에 해당하는 경우를 제외하고는 개인정보 보호법 적용
제22조(동의를 받는 방법) 제23조(민감정보의 처리제한) 재24조(고유식별 정보의 처리 제한) 제25조(영상정보 처리기기의 설 치 운영 제한) 제26조(업무위탁에 따른 개인정보의 처리 제한) 정보통신망법 제24조의2 적용 개인정보 보호법 적용 개인정보 보호법 적용 단, 주민등록번호 대체수단, 안전성 확보조치는 정보통 신망법 적용 개인정보 보호법 적용 정보통신망법 제25조 적용 신용정보법 제32조 적용. 단, 14세 미만의 아동의 동의는 개인정보 보호법 적용 신용정보법 제16조 적용 주민등록번호 대체수단에 대해서는 개인정보 보호법 적용, 안전성 확보조치에 대해서는 신용정보법 제19조의 전산시 스템의 안전보호 조치 적용 개인정보 보호법 적용 개인정보 보호법 적용 제27조(영업양도 등에 따른 개인정 보의 이전 제한) 정보통신망법 제26조 적용 개인정보 보호법 적용 제28조(개인정보 취급자에 대한 감독) 개인정보 보호법 적용 개인정보 보호법 적용 제29조(안전조치 의무) 제30조(개인정보 처리방침의 수립) 정보통신망법 제28조 적용 정보통신망법 제27조의2 적 용(개인정보 처리방침 요구 사항 모두 포함) 신용정보법 제19조 적용 신용정보법 제20조 적용(개 인정보 처리방침 요구항목 모두 포함) 제31조(개인정보 보호책임자의 지정) 제33조(개인정보 영향평가) 정보통신망법 제27조 적용 (단, 업무가 상이한 경우 개 인정보 보호책임자의 업무 추가수행) - 신용정보법 제20조 적용(단, 업무가 상이한 경우 개인정 보 보호책임자의 업무 추가 수행) 신용정보법의 적용을 받는 공공기관은 개인정보 보호법 적용
제34조(개인정보 유출 통지 신고 등) 개인정보 보호법 적용 개인정보 보호법 적용 제35조(개인정보의 열람) 정보통신망법 제30조 적용 신용정보법 제38조 적용 제36조(개인정보의 정정 삭제) 동의를 받는 방법 철회는 정보통신망법 제30조 적용, 그 외의 처리정지 요구에는 개인정보 보호법 적용 신용정보법 제38조 적용 제37조(개인정보의 처리정지 등) 개인정보 보호법 적용 개인정보 보호법 적용 제38조(권리행사의 방법 및 절차) 정보통신망법 제30조 적용 개인정보 보호법 적용 제39조(손해배상 책임) 제49조(집단분쟁 조정) 제51~57조(침해 중지 단체소송) 정보통신망법 제32조 적용 개인정보 보호법 적용 개인정보 보호법 적용 신용정보법 제43조 적용 개인정보 보호법 적용 개인정보 보호법 적용 제59조(금지행위) 정보통신망법 제28조의 적용, 단 개인정보 보호법에 따른 금지의무 준수 개인정보 보호법 적용 제60조(비밀유지 등) 개인정보 보호법 적용 개인정보 보호법 적용 제63조(자료제출 요구 및 검사) 해당 법률 위반시, 정보통신망법 제64조 및 개인정보 보호법 적용 신용정보법 제45조, 제52조 적용 제66조(결과의 공표) 해당 법률 위반시 정보통신망법 제64조 및 개인정보 보호법 적용 개인정보 보호법 적용
< 개인정보 보호 관련 법령 현황 > (17개 부처 38개 법률) 연번 소관부처 법령 주요내용 개인정보 보호법 공공 및 민간 대상 개인정보 처리 기준 및 보호조치 공공기관의 정보공개에 관한 법률(제9조) 공공기관 대상 개인정보의 관리적 기술적 보호 민원사무처리에 관한 법률(제22조) 공공기관 대상 개인정보의 비공개 1 행정 안전부 주민등록법(제30조 등) 행정기관 및 행정업무 위탁기관 민원인의 신상정보 누설 금지 전자정부법(제4조) 중앙행정기관, 지방자치단체 대상 주민등록정보의 처리 및 보호 전자서명법(제24조) 행정기관 대상 개인정보및사생활 보호원칙명시 공직자윤리법(제13조 등) 행정기관 대상 공직자재산등록정보의 보호 정보통신망 이용촉진 및 정보 보호에 관한 법률 통신사업자 대상 개인정보의 관리적 기술적 보호 2 방송통신 위원회 위치정보의 보호 및 이용 등 에 관한 법률(제3조 등) 통신사업자 등 위치정보 사업자 대상 개인 위치정보의 비밀 보호 인터넷주소자원에 관한 법률 (제15조) 인터넷주소관리기관 등 대상 인터넷주소 사용자 정보의 보호 신용정보의 이용 및 보호에 관한 법률(제16조 등) 금융기관, 신용평가기관 등 대상 신용정보 제공 활용 및 보호조치 3 금융 위원회 보험업법(제177조) 은행법(제21조의1) 보험사업자 대상 개인정보의 누설 제공 금지 금융기관의 임원 및 직원 대상 정보누설 목적외 이용 금지 금융실명거래 및 비밀보장에 관한 법률(제4조) 금융기관 대상 거래정보의 활용 및 보호 의료법(제21조의1) 병 의원 등 의료기관 대상 환자의 진료내역, 병력 등의 정보보호 4 보건 복지부 건강검진기본법(제18조) 장기 이식 등에 관한 법률 (제27조) 국가, 지방자치단체 대상 검진자료의 활용 및 보호 장기이식관리기관 등 대상 장기 이식자 등의 비밀 보호 생명윤리 및 안전에 관한 법률 (제35조) 건강검진기관 대상 유전정보 등의 보호
인체조직안전 및 관리 등에 관한 법률(제2조) 조직병원 등 대상 조직기증자 정보 보호 5 7 8 9 10 11 12 교육과학 기술부 6 법무부 공정거래 위원회 기획 재정부 교육기본법 초중등교육법 통신비밀보호법 출입국관리법 소비자기본법 전자상거래등에서의 소비자보 호에 관한 법률(제11조) 방문판매 등에 관한 법률 (제48조) 관세법(제116조) 관세사법(제14조) 교육관련 기관 등 대상 학생 신상정보 및 생활기록 정보보호 초 중 고등학교 대상 학생관련 자료제공의 제한 통신사업자 및 통신망관리자 대상 통신망을 통해전송되는 정보 보호 출입국관리업무 담당 대상 출입관리정보의 보호 국가 지방자치단체 등 대상 소비자의 개인정보 보호 명시 전자상거래 이용 기업 대상 소비자의 정보이용 등 보호 방문판매 사업자 대상 소비자 정보의 오 남용 및 도용방지 세관공무원 대상 관세정보의 보호 및 이용 관세사, 직무보조자 대상 업무상 비밀 유지 지식 경제부 전자거래기본법(제12조) 저자상거래 이용자 대상 이용자의 개인정보 보호 명시 외교 통상부 여권법(제18조) 국가(외교통상부) 대상 개인정보 보호조치 등 국토 해양부 공인중개사의 업무 및 부동산 거래신고에 관한 법률(제29조) 자동차관리법(제69조) 중개업자 및 공인중개사 대상 업무상 비밀준수 국가(국토해양부) 대상 자동차소유자 사생활 비밀 보호 고용 노동부 노동위원회법(제28조) 노동위원회의 위원, 직원 대상 업무상 비밀준수 13 국세청 국세기본법(제81조의13) 14 통계청 통계법(제33조 등) 15 경찰청 경찰관직무집행법(제2조 등) 16 병무청 병역법(제80조 등) 17 감사원 감사원법(제27조) 국세청, 세무서 등 대상 기업 및 개인 등 납세자 정보 보호 중앙, 지방자치단체 대상 통계작성 등 위한 개인정보 보호 경찰공무원 대상 치안정보의 수집 작성 및 배포 병역담당 기관 및 공무원 등 대상 병역정보의 수집 이용 등 감사원 대상 감사자료의 목적외 사용 금지
제2장 개인정보 보호정책의 수립 등 제7조 제8조 제9조 제10조 제11조 제12조 제13조 제14조 개인정보 보호위원회 보호 위원회의 기능 등 기본계획 시행계획 자료제출 요구 등 개인정보 보호지침 자율규제의 촉진 및 지원 국제협력
제7조, 제8조 개인정보 보호위원회, 기능 등 법률 제7조(개인정보 보호위원회) 1 개인정보 보호에 관한 사항을 심의 의결하기 위하여 대통령 소속으로 개인정보 보호위원회(이하 보호 위원회 라 한다)를 둔다. 보호위원회는 그 권한에 속하는 업무를 독 립하여 수행한다. 2 보호위원회는 위원장 1명, 상임위원 1명을 포함한 15명 이내의 위원으로 구성하되, 상임위원은 정무직 공무원으로 임명한다. 3 위원장은 위원 중에서 공무원이 아닌 사람으로 대통령이 위촉한다. 4 위원은 다음 각 호의 어느 하나에 해당하는 사람을 대통령이 임 명하거나 위촉한다. 이 경우 위원 중 5명은 국회가 선출하는 자를, 5 명은 대법원장이 지명하는 자를 각각 임명하거나 위촉한다. 1. 개인정보 보호와 관련된 시민사회단체 또는 소비자단체로부터 추 천을 받은 사람 2. 개인정보처리자로 구성된 사업자단체로부터 추천을 받은 사람 3. 그 밖에 개인정보에 관한 학식과 경험이 풍부한 사람 5 위원장과 위원의 임기는 3년으로 하되, 1차에 한하여 연임할 수 있다. 6 보호위원회의 회의는 위원장이 필요하다고 인정하거나 재적위원 4분의 1 이상의 요구가 있는 경우에 위원장이 소집한다. 7 보호위원회는 재적위원 과반수의 출석과 출석위원 과반수의 찬 성으로 의결한다. 8 보호위원회의 사무를 지원하기 위하여 보호위원회에 사무국을 둔다. 9 제1항부터 제8항까지에서 규정한 사항 외에 보호위원회의 조직 과 운영에 필요한 사항은 대통령령으로 정한다. 제8조(보호위원회의 기능 등) 1 보호위원회는 다음 각 호의 사항을 심의 의결한다. 1. 제9조에 따른 기본계획 및 제10조에 따른 시행계획 2. 개인정보 보호와 관련된 정책, 제도 및 법령의 개선에 관한 사항 3. 개인정보의 처리에 관한 공공기관 간의 의견조정에 관한 사항 4. 개인정보 보호에 관한 법령의 해석 운용에 관한 사항 5. 제18조제2항제5호에 따른 개인정보의 이용 제공에 관한 사항 6. 제33조제3항에 따른 영향평가 결과에 관한 사항 7. 제61조제1항에 따른 의견제시에 관한 사항 8. 제64조제4항에 따른 조치의 권고에 관한 사항 9. 제66조에 따른 처리 결과의 공표에 관한 사항 10. 제67조제1항에 따른 연차보고서의 작성 제출에 관한 사항 11. 개인정보 보호와 관련하여 대통령, 보호위원회의 위원장 또는 위 원 2명 이상이 회의에 부치는 사항 12. 그 밖에 이 법 또는 다른 법령에 따라 보호 위원회가 심의 의결 하는 사항 2 보호위원회는 제1항 각 호의 사항을 심의 의결하기 위하여 필요 하면 관계 공무원, 개인정보 보호에 관한 전문 지식이 있는 사람이 제 7 8 조
나 시민사회단체 및 관련 사업자로부터 의견을 들을 수 있고, 관계 기관 등에 대하여 자료 등의 제출을 요구할 수 있다. 시행령 제4조(위원의 제척ㆍ기피ㆍ회피) 1 법 제7조제2항에 따른 개인정보 보호위원회(이하 보호위원회 라 한다)의 위원은 다음 각 호의 어느 하나에 해당하는 사항에 대한 심의ㆍ의결에 관여하지 못한다. 1. 위원 또는 위원의 배우자, 4촌 이내의 혈족, 2촌 이내의 인척인 사람이나 그 사람이 속한 기관ㆍ단체와 이해관계가 있는 사항 2. 위원이 증언, 진술 또는 감정( 鑑 定 )을 하거나 대리인으로 관여한 사항 3. 위원이나 위원이 속한 공공기관ㆍ법인 또는 단체 등이 조언 등 지원을 하고 있는 자와 이해관계가 있는 사항 2 보호위원회가 심의ㆍ의결하는 사항과 직접적인 이해관계가 있는 자 는 제1항에 따른 제척 사유가 있거나 심의ㆍ의결의 공정을 기대하기 어 려운 사유가 있는 위원에 대해서는 그 사유를 밝혀 보호위원회에 그 위 원의 기피를 신청할 수 있다. 이 경우 위원장이 기피 여부를 결정한다. 3 위원은 제1항 또는 제2항에 해당하는 경우에는 스스로 심의ㆍ의 결을 회피할 수 있다. 제5조(전문위원회) 1 보호위원회는 법 제8조제1항에 따른 심의ㆍ의 결 사항에 대하여 사전에 전문적으로 검토하기 위하여 보호위원회에 분야별 전문위원회(이하 전문위원회 라 한다)를 둘 수 있다. 2 제1항에 따라 전문위원회를 두는 경우 각 전문위원회는 위원장 1명을 포함한 5명 이내의 위원으로 구성하되, 전문위원회 위원은 다 음 각 호의 사람 중에서 보호위원회의 동의를 받아 보호위원회 위원 장이 임명하거나 위촉하고, 전문위원회 위원장은 보호위원회 위원장 이 전문위원회 위원 중에서 지명한다. 1. 보호위원회 위원 2. 개인정보 보호 관련 업무를 담당하는 중앙행정기관의 관계 공무원 3. 개인정보 보호에 관한 전문지식과 경험이 풍부한 사람 4. 개인정보 보호와 관련된 단체 또는 사업자단체에 속하거나 그 단 체의 추천을 받은 사람 3 전문위원회의 회의는 재적위원 과반수의 출석으로 개의( 開 議 )하고, 출석위원 과반수의 찬성으로 의결한다. 제6조(의사의 공개) 보호위원회의 의사( 議 事 )는 공개한다. 다만, 보호위원 회 위원장이 필요하다고 인정하는 경우에는 공개하지 아니할 수 있다. 제7조(공무원 등의 파견) 보호위원회는 그 업무 수행을 위하여 필요 하다고 인정하는 경우에는 공공기관에 그 소속 공무원 또는 임직원 의 파견을 요청할 수 있다. 제8조(조직 및 정원 등) 이 영에서 규정한 사항 외에 보호위원회의 조직 및 정원 등에 관하여 필요한 사항은 따로 대통령령으로 정한다. 제9조(출석수당 등) 보호위원회 또는 전문위원회의 회의에 출석한 위 원, 법 제8조제2항에 따라 보호위원회에 출석한 사람 및 전문위원회 에 출석한 사람에게는 예산의 범위에서 수당ㆍ여비, 그 밖에 필요한