서비스 제공자 입장의 개인정보보호

2024-10-04

Write By HyunSang Park

본 글에서는 서비스 제공자 입장에서의 사용자의 개인정보를 보호하기 위해서 어떠한 조치가 필요하고 사용자에겐 어떻게 고지해야하는지에 대해서 작성하고자 합니다. 데이터3법을 중점으로 어떻게 해야 사용자의 개인정보를 안전하게 지킬 수 있을지에 대해 고민합니다.

개인정보보의 정의

개인정보보호법 제2조(정의)에서 개인정보를 정의하고 있습니다.
"개인정보"란 살아있는 개인에 관한 정보로 아래의 항목에 해당하는 정보를 말합니다.

  1. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
  2. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보.
    이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등을 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
  3. 1번 또는 3번을 가명처리함으로써 원래의 상태로 복웝하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(가명정보라 함).

개인정보보호법에선 살아있는 개인에 관한 정보이므로, 사자(死者)에 대한 개인정보는 개인정보에 포함되지 않을 수 있지만 정보통신망법 제 49조 (비밀 등의 보호)에서 정의하는 "타인의 정보"에는 해당할 수 있기 때문에 사자(死者)의 개인정보보호에도 주의를 기울여야 합니다.
대법원 판례 (2006노3110 판결) 상에서 정보통신망법의 비밀 등의 보호의무를 지키지 않아 처벌 받은 사례가 있습니다.

가명처리란?

개인정보의 정의 3번에서 말한 가명처리에 대해서 더 자세하게 설명하겠습니다.
개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말합니다.
2020년 8월 데이터 활용에 대한 시대적 요규를 반영하여 개인정보보호법이 개정되며, 개인정보처리자가 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 목적으로 개인정보를 가명처리하여 정보주체의 동의 없이도 데이터를 안전하고 유용하게 활용할 수 있는 가명정보 제도가 도입되었습니다.

서로 다른 개인정보처리자 간의 비식별화(가명) 정보를 결합할 땐 개인정보보호위원회 또는 전문기관에 의뢰해야 합니다.
개인정보처리자는 비식별화(가명)정보를 처리할 때 원래 상태로 복원하기 위한 추가정보를 별도로 분리해 관리해야 하며, 관련 법령에 따른 보호조치를 적용하지 않는 경우 관련 법령에 의거하여 처벌 받을 수도 있습니다.
적절하게 가명정보를 처리하지 않은 경우 전체 매출액의 3% 이하 또는 4억원의 과징금(개인정보 보호법 위반에 대한 과징금 부과기준 ), 5년 이하의 징역 또는 5천만 원 이하의 벌금이 부과됩니다.(71조)

가명처리 목적 및 대상:

  • 통계작성 : 특정 집단이나 대상 등에 관하여 작성한 수량적인 정보 작성
  • 과학적 연구 : 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등을 과학적 방법을 적용하는 연구
  • 공익적 기록 : 공공의 이익을 위하여 지속적으로 열람할 가치가 있는 기록을 보존하는 것.

가명처리는 개인정보보호법의 근거법령에 의거하여 관리되고 있습니다.

  • 개인정보보호법 제2조 제1호 다목
  • 개인정보보호법 제28조의 2(가명정보의 처리 등)

사용자의 개인정보를 수집하기 위해선?

개인정보 보호법에서 개인정보 수집 시 필요한 조항은 법적 근거에 기반하여 수집할 수 있습니다. 동의없이 사용자의 정보를 수집하는 것은 불법이며, 항상 유의하여 개인정보를 수집해야 합니다.

  • 제 15조 (개인정보의 수집 및 이용) : 개인정보를 수집할 때는 그 목적을 명확히 하고, 필요한 최소한의 범위 내에서 수집해야 합니다.
  • 제 16조 (개인정보의 제3자 제공) : 개인정보를 제3자에게 제공하는 경우, 제공 목적과 제공받는 자에 대한 정보를 사전에 명시해야 합니다.
  • 제 17조 (개인정보의 보유 및 이용 기간) : 개인정보의 보유 기간과 이용 목적을 명확히 하고, 이용 목적이 달성된 후에는 지체 없이 파기해야 합니다.
  • 제 22조 (정보주체의 권리) : 정보주체는 자신의 개인정보에 대해 열람, 정정, 삭제, 처리 정지를 요구할 수 있는 권리가 있으며, 이를 안내해야 합니다.
  • 제 30조 (개인정보 처리 방침의 수립 및 공개) : 개인정보 처리 방침을 수립하고 이를 공개하여야 하며, 그 내용에는 개인정보 수집 목적, 항목, 보유 기간, 권리 행사 방법 등이 포함되어야 합니다.

위 법적 근거에 의거하여, 아래와 같이 서비스 제공자는 사용자의 정보를 수집하는 경우

  1. 개인정보 수집 목적 : 개인정보를 수집하는 명확한 목적을 밝혀야 합니다.
  2. 수집하는 개인정보 항목 : 어떤 개인정보를 수집할 것인지 구체적으로 명시해야 합니다.
  3. 수집 방법: 개인정보를 어떻게 수집할 것인지(예: 온라인, 오프라인 등)에 대한 설명이 필요합니다.
  4. 이용 및 보유 기간 : 수집한 개인정보를 얼마나 오랫동안 보유할 것인지와 그 이용 목적이 종료되었을 때 어떻게 처리할 것인지 설명해야 합니다.
  5. 제3자 제공 여부 : 수집한 개인정보를 제3자에게 제공할 경우, 제공받는 자, 제공 목적 등을 명시해야 합니다.
  6. 이용자 권리 : 이용자가 자신의 개인정보에 대해 조회, 정정, 삭제 요청 등을 할 수 있는 권리를 안내해야 합니다.
  7. 안정성 확보 조치 : 개인정보를 안전하게 관리하기 위한 기술적, 관리적 조치에 대해 설명해야 합니다.
  8. 개인정보 보호 책임자 지정 : 개인정보 보호를 책임지는 담당자를 지정하고, 그 연락처를 안내해야 합니다.

함께 보면 도움이 되는 자료들.