개인정보 보호법 - 용어 및 개인정보 수집, 이용, 제공 등

https://www.sen.go.kr/resources/www/data/infoprotect_3_03.pdf

국외 제3자 제공 동의와 제3자 제공 동의는 별도로 동의받음

개인정보 판단기준	정보의 대상, 식별 가능성, 결합 가능성, 정보의 형태
개인정보	가명정보, 쉽게 결합해 알아볼 수 있는 정보, 개인을 알아볼 수 있는 정보, '살아있는' 개인에 관한 정보, '개인에 관한' 정보, 정보의 내용이나 형태는 제한이 없음
개인정보	- 개인정보 - 결합정보(입수 가능성 + 결합 가능성) - 가명정보
처리	개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위
정보주체	처리되는 정보에 의해 알아볼 수 있는 사람, 법인이나 단체는 해당되지 않음
개인정보처리자	업무를 목적으로 개인정보파일을 운용하기 위해 스스로 또는 다른 사람을 통해 개인정보를 처리하는 (공공기관) (단체) (법인) 및 (개인)
개인정보 보호 원칙	1. 목적 명확화 & 최소 수집 2. 목적 내에서 활용 3. 목적 내에서 정확성, 완전성, 최신성 보장 4. 안전하게 관리 5. 사생활 침해 최소화 6. 가명 & 익명 처리 7. 정보주체의 권리 보장 8. 책임을 준수하여 신뢰성을 확보
정보주체의 권리	처리에 관한 정보를 제공받을 권리 처리에 대한 동의 여부와 동의 범위를 선택할 권리 처리 여부를 확인하고 열람 등을 요구할 권리 처리 정지, 삭제, 정정 및 파기를 요구할 권리 처리로 인한 사생활 침해시 공정한 절차와 신속히 구제받을 권리
가명정보 처리	1. 통계 작성 2. 과학적 연구  3. 공익적 기록보존
개인정보 처리 단계	1. 수집 2. 보유 및 이용 3. 제공 4. 파기
개인정보 수집 · 이용(15조)	1. 정보주체의 동의 2. 법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우 - '법률'에서 수집·이용을 구체적으로 요구하거나 허용해야 함 *시행령이나 시행규칙에서 규정하는 경우는 이에 해당하지 않음 -> 개인정보처리자에게 일정한 의무를 부과하여 그 의무 준수를 위해 개인정보를 불가피하게 수집·이용할 수 밖에 없는 경우 3. 공공기관이 법령 등에서 정하는 소관업무 수행을 위해 불가피한 경우 4. 정보주체와의 계약 체결 및 이행을 위해 불가피하게 필요한 경우 5. 사전의 동의를 받을 수 없는 경우로서 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우 - 조난·홍수 등으로 실종되거나 고립된 사람을 구조하기 위해 개인정보 수집 6. 개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로서 명백히 정보주체의 권리보다 우선하는 경우 - 사업자가 요금정산·채권추심 등을 위해 고객의 서비스 이용내역 등을 생성·관리하는 경우
개인정보 수집 · 이용(15조)	개인정보의 추가적인 이용 - 당초 수집 목적과 합리적으로 관련됨 범위에서 정보주체의 동의 없이 이용 가능 판단 고려 요소 1. 당초 수집 목적과 관련성이 있는가? 2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 추가적인 이용 또는 제공에 대한 예측 가능성 있는지 여부 3. 정보주체의 이익을 부당하게 침해하는지 여부 4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치 수행 여부
최소 수집 원칙(16조)	최소한의 개인정보 수집. 단, 최소한의 개인정보 수집 입증 책임은 개인정보 처리자가 부담함 필요 최소한 정보 외의 개인정보 수집에는 동의 거부 가능을 구체적으로 알리고 수집 최소한의 개인정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 재화 등 제공 거부 금지
개인정보의 제공(17조)	물리적으로 이전 개인정보 전송 개인정보에 대한 제3자의 접근권한 부여 개인정보처리자와 제3자의 개인정보 공유 -> 개인정보의 이전 또는 공동 이용 상태 초례하는 모든 행위
개인정보 이용	같은 개인정보처리자 내의 다른 부서가 이용하는 것
업무 위탁	개인정보처리자가 업무를 처리할 목적으로 개인정보가 제3자에게 이전되는 것 *제공은 제공받는 자의 업무를 처리할 목적임
업무 양도	관리 주체가 변함, 개인정보의 처리 형태는 변하지 않음
개인정보 제공 가능	1. 정보주체의 동의를 받은 경우(목항기거 + 받는자의 성명) 2. 제15조의 1항 제 2호, 3호, 5호 및 제39조의 제 2호, 3호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우 1) 법률에 제3자 제공에 관한 특별한 규정이 있는 경우 - 법률에서 개인정보의 활용에 대하여 구체적으로 요구하거나 허용하고 있는 경우 2) 법령상 의무를 준수하기 위해 제3자 제공이 필요한 경우 3) 공공기관이 법령 등에서 정하는 소관업무 수행을 위해 불가피하게 개인정보를 수집한 경우로서 그 수집 목적 범위 내에서 제공하는 경우 -> 불가피하여 개인정볼르 제공하지 아니하고서는 권한의 행사나 의무의 이행이 불가능할 때로 쉽게 해결하기 위해 개인정보를 제공하는 경우는 제외됨
개인정보 국외 제3자 제공	국외의 제3자에게 "제공"시에는 1. 성명, 2. 목적, 3. 항목, 4. 보유 및 이용 기간, 5. 동의 거부할 권리 있음 를 알리고 동의를 받아야 함 그러나 이 경우도 18조제2항 각 호의 어느 하나에 해당하는 경우에는 정보주체나 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 동의 받은 범위를 초과하여 국외 제3자에게 제공할 수 있음
국외 이전	국외 이전은 제공보다 개념이 넓음 *이전 > 제공 제3자에게 위탁하기 위해 국외로 옮겨지는 경우도 포함되고 위탁의 경우에는 정보주체의 동의를 받을 필요는 없고, 제26조를 따라야 함
개인정보의 목적 외 이용 제공(18조)	이용·제공의 목적을 고지하고 동의를 받은 범위나 법 또는 다른 법령에 의해 이용제공이 허용된 범위를 벗어나 개인정보를 이용하거나 제공하는 것을 의미함 ex) 조세 담당 공무원이 자신과 채권·채무 관계로 소송 중인 사람에 관한 납세정보를 조회해 소송에 이용한 경우
목적 외 이용 또는 제공 가능(18조)	1. 동의 받은 경우 2. 다른 법률에 특별한 규정이 있는 경우 -> "법률"로 한정되어 있음 시행령, 시행규칙에만 관련 규정이 있는 경우에는 허용되지 않음 위임되는 경우는 허용함 ex) 감사원법 제27조에 따른 감사원의 자료 요구 3. 급박한 생명, 신체, 재산상 이익을 위해 필요한 경우 5. 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우 6. 국제협정 이행 7. 범죄 수사와 공소의 제기 및 유지를 위해 필요한 경우 8. 법원의 재판업무 수행을 위해 필요한 경우 9. 형 집행을 위해 필요한 경우 *이 때 공공기관은 범죄 수사를 위해 필요한 경우를 제외하고 목적 외의 용도로 이용하거나 제3자에게 제공하는 경우 필요한 사항을 보호위원회가 고시로 정하는 바에 따라 인터넷 홈페이지 등에 게재하여야 함
목적 외 제공 시 보호조치	제공과 동시에 제공한 이후에 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 이용 기간, 이용 형태 등을 제한하거나, 개인정보의 안전성 확보를 위해 필요한 구체적인 조치를 마련하도록 문서로 요청하여야 함 -> 요청 받은 자는 요청에 따른 조치를 취하고 그 사실을 개인정보를 제공한 개인정보처리자에게 문서로 알려야 함
개인정보를 제공받은 자의 이용·제공 제한(19조)	개인정보처리자로부터 개인정보를 '제공'받은 자의 이용·제공을 제한 원칙적으로 제공받은 자는 해당 개인정보를 제공하거나 제공받은 목적과 다른 용도로 이용하거나 제3자에게 제공하여서는 아니됨 *하지만 이 경우도 제17조제1항제2호에 따라 목적 내에서의 이용과 제공은 허용됨 이 법은 목적 외의 이용과 제공을 금지하는 것이지, 목적 내에서의 이용과 제공은 허용함
개인정보 제공받은 자의 목적 외 이용 제공	정보주체로부터 별도의 동의를 받은 경우 다른 법률의 특별한 규정이 있는 경우
예외 사항	개인정보를 제공받은 자가 목적 외로 이용하거나 제공하는 경우는 제18조가 아닌 제19조가 적용됨
정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지(20조)	정보주체 이외로부터 수집한 개인정보란? - 제3자로부터 제공받은 정보, 인터넷 등에 공개되어 수집한 정보
고지	정보주체 이외로부터 수집한 개인정보 처리 시 정보주체의 요구가 있으면 모든 사항을 정보주체에게 알려야 함(3일 이내) 1. 개인정보의 수집 출처 2. 개인정보의 처리 목적 3. 개인정보 처리의 정지를 요구할 권리가 있다는 사실(제37조) *단 5만명 이상의 민감정보, 고유식별정보를 처리하거나 100만명 이상의 정보주체에 관해 개인정보를 처리하는 자라면 해당 내용을 정보주체의 요구가 없더라도 알려야 함(연락처가 없다면 그러하지 아니함) -> 해당 부분은 17조에 의해 동의를 받은 범위로부터 수집한 정보만 해당함 즉, 신용정보법에 따라 동의를 받아 개인정보를 제공한 자로부터 수집한 개인정보는 적용되지 않는다는 것임 (제공받는 날부터 3개월 이내 or 제공받는 것이 정보주체의 동의를 받은 범위에서 연2회 이상 주기적으로 개인정보를 제공받아 처리하는 것이라면 개인정보를 제공받은 날부터 3개월 이내에 알리거나, 동의를 받은 날부터 기산하여 연1회 이상 알려야 함) 알린 사실은 개인정보를 파기할 때까지 보관, 관리하여야 함 1. 정보주체에게 알린 사실 2. 알린 시기 3. 알린 방법 그러나 고지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보 이거나(1), 고지로 인해 다른 사람의 생명, 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 요구가 있은 날부터 3일 이내에 거부의 근거와 사유를 알려야 함 가명정보의 처리는 해당 법률이 적용되지 아니함
개인정보 파기(21조)	1. 개인정보 수집한 목적이 달성된 경우 파기 (근무일 기준 5일 이내에 파기하여야 함) 2. 목적이 달성된 경우에도 계속해서 보유할 경우(법령에 따라 보존하여야 하는 경우) 개인정보의 유출과 오용 가능성이 높아져 더 이상 개인정보가 불필요하게 된 때에는 이를 파기하도록 함으로써 개인정보를 안전하게 보호하려는 것 -> 별도의 DB에 보관하는 경우가 많음 파기 방법 - 복원하거나 재생할 수 없는 형태로 완벽하게 파기 인쇄물: 소각 전자기적: 소자 장비나 덮어쓰기, 파괴 일부 개인정보만을 파기하는 경우 위의 방법으로 파기하는 것이 어려우면 해당 정보만을 삭제한 후(인쇄물의 경우에는 마스킹, 천공)에 해당 정보가 복구 및 재새되지 않도록 관리 및 감독하여야 함
보존 의무 관련 법률	전자상거래 등에서의 소비자 보호에 관한 법률 1. 표시·광고에 관한 기록: 6개월 2. 계약 또는 청약철회 등에 관한 기록: 5년 3. 대금결제 및 재화등의 공급에 관한 기록: 5년 4. 소비자의 불만 또는 분쟁처리에 관한 기록: 3년 통신비밀보호법 로그기록: 3개월 시외/시내 전화 역무: 6개월
동의를 받는 방법(22조)	- 동의를 받을 때는 각각의 동의사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알려야 함(1천만원 이하의 과태료) - 동의를 서면으로 받을 때는 대통령령으로 정한 중요한 내용을 명확하고 알기 쉽게 표기(1천만원 이하의 과태료) - 동의 없이 처리할 수 있는 개인정보와 동의가 필요한 개인정보를 구분하여야 함(1천만원 이하의 과태료) - 홍보 또는 판매가 목적일 경우 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 함(1천만원 이하의 과태료) - 선택적으로 동의할 수 있는 사항을 동의하지 않는다는 이유로 재화 또는 서비스의 제공을 거부하여서는 안 됨(3천만원 이하의 과태료) - 만 14세 미만 아동의 개인정보를 처리하려면 법정대리인의 동의를 받아야 함(5천만원 이하의 과태료)
동의의 구체적인 방법(각각 동의)	1. 수집·이용 동의(15조) 2. 제3자 제공 동의(17조) 3. 국외 제3자 제공 동의(17조) -> 국외의 제3자 제공 동의는 제3자 제공 동의와 별도로 받아야 함 4. 마케팅 목적 처리 동의(22조) 5. 법정대리인의 동의(22조), 이때 최소한의 정보는 법정 대리인의 동의 없이 해당 아동으로부터 직접 수집이 가능함 -> 동의에 대한 거부의사가 확인된 경우 & 동의여부가 확인되지 아니한 채 3일이 경과한 경우에는 당해 개인정보를 파기하여야 함
동의의 구체적인 방법(별도 동의)	1. 목적 외 이용·제공 동의(18조) 2. 개인정보를 제공받는 자의 이용·제공 제한(19조) 3. 민감정보 처리 동의(23조) 4. 고유식별정보 처리 동의(24조)
동의를 받는 방법	시행령에서 동의를 받을 때, 동의를 받는 방법을 고지함 1. 서명 직접 발급, 우편, 팩스를 통해 전달하고 서명하거나 날인한 동의서를 발급 받음 2. 전화를 통해 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인 3. 전화를 통해 동의 내용을 정보주체에게 알리고 인터넷 주소 등을 통해 확인하도록 한 후 다시 전화를 통해 동의 사항에 대한 동의의 의사표시를 진행  (중략) 서면으로 동의를 받을 때는 대통령령으로 정하는 사항(민감정보, 고유식별정보, 보유 및 이용 기간, 개인정보 이용 목적, 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위해 해당 개인정보를 이용해 정보주체에게 연락할 수 있다는 사실)을 명확하게 표시해야 함

*정보통신망법과의 통합을 통한 법령 일원화 -> 적용 관계 등 혼란을 야기하던 것을 통합함

 

제17조의 법령상 의무를 준수하기 위해 제3자 제공이 필요한 경우

- 수집 목적 범위 내에서 개인정보를 제공하는 것임

ex) 학원을 설립·운영하려는 자의 강사명단 등을 교육감에게 등록하여야 하는 의무(「학원의 설립·
운영 및 과외교습에 관한 법률」 제6조)를 이행하기 위한 교육감으로의 개인정보의 제공

 

제18조의 다른 법률에 특별한 규정이 있는 경우

- 수집 목적하고 다르게 법률에서 제공을 원하는 경우임

ex) 소득세법 제170조에 따른 세무공무원의 조사, 질문