개인정보 보호 자주 묻는 질문
From CS Wiki
본 문서는 개인정보 보호 실무자 모임방에서 나오는 질문과 답변들을 정리한 문서로, 유권 해석이 아닙니다.
- 개인정보 보호에 관한 더 많은 문서는 분류:개인정보보호 에서 확인 가능합니다.
- 개인정보보호위원회에서 제공하는 FAQ도 확인하세요.
- 위키 사용에 익숙하지 않은 분들은 위키:사용법을 읽고 편집해주세요!
- 사용법이 어려울 경우 그냥 내용만 넣어주시면 잘 아시는 분들이 다듬어주실 겁니다.
답변 완료[edit | edit source]
기존 작성된 형식을 맞춰서 내용을 추가해주시면 됩니다. 중제목, 소제목은 질문을 적절히 분류하는 수준으로 구성해주세요.
개인정보 여부[edit | edit source]
- Q. 무통장입금 번호도 개인정보 인가요?
- A. 개인정보위로부터 계좌번호는 가상이냐 아니냐의 구분 없이 개인정보라는 답변을 받았다는 사례가 있음. 개인정보위의 답변에 따르면 계좌번호를 통해 개인을 추적/식별가능하고, 고시에 명시된 암호화 대상은 계좌번호의 종류를 구분하지 않는 모든 계좌번호를 통틀어서 말하는 것이라고 함. 개인정보위는 유사한 문의가 왔을 때 모두 동일한 취지로 답변을 했다고 밝혔음.
- 즉 계좌번호, 가상계좌번호(일반/기업용 모두)는 개인정보이자 암호화 대상
- Q. 회원가입 시 다른 개인정보 없이 아이디, 비밀번호만 수집 받는 것 만으로도 개인정보 수집이라고 볼 수 있는지?
- A. 경우에 따라 다르지만 개인정보로 볼 여지가 있음. 한국인터넷진흥원에서 발간한 개인정보 Q&A 자료집을 보았을 때, 아이디 / 비밀번호 / 이메일을 입력 받는 경우 개인정보를 수집하는 것이라고 해석한 사례가 있으나 아직 아이디 / 비밀번호만을 가지고 개인정보인지 여부를 규정한 사례는 없음.
- 다만 '어떤 서비스를 구현하고자 하는데 아이디 / 비밀번호만으로 간단한 회원가입을 구현하려고 한다.' 라고 했을 때 어떤 서비스에 개인을 유추할수 있는 정보들이 활용될 수 있으므로 이 정보와 아이디 / 비밀번호가 결합되면 이는 개인정보가 될 수 있다고 답변한 사례가 있음[1]. 즉, 개인과 전혀 관계가 없는 서비스에서 단순히 권한 인증 등을 위해 아이디 / 비밀번호를 사용하는 경우엔 그 정보가 개인정보라고 해석될 가능성은 낮다고 볼 수 있음[2].
- 또 다른 의견으로, 상당수의 사람들이 여러 서비스에서 동일한 아이디를 사용하고 있으므로, 아이디만으로 구글링을 했을 때도 상당한 개인정보를 파악한 경우가 있어 아이디만으로도 개인정보의 여지가 있다는 의견이 있으나 이에 대해선 해석의 여지가 분분함
개인정보 수집[edit | edit source]
- Q. 개인정보 수집·이용 동의 시 이용기간을 "이용 목적 달성후 파기(법령에 의해 보관해야 하는 정보는 그 법령에서 정하는 기간까지 보관)"라고 불명확하게 표기해도 문제가 없는지?
- 문제가 된다면 어떤 조항이나 지침, 가이드라인에 따른 것인지?
- A. 법령과 고시에 명문화 되어 있는 규정은 없음.
- 다만, 개인정보 관련 가이드에(온라인 개인정보 처리 가이드라인 6P) 수집 목적 및 보유 기간을 구체적으로 명시하고 특정해야 한다고 언급
- (추가답변1 by 펜더)"개인정보 처리방침 작성지침(공공기관편)"(2022.3. 개인정보보호위원회) 31페이지, "개인정보 처리방침 작성지침(일반)(2022.3. 개인정보보호위원회) 30페이지에 따르면, "보유기간은 '목적 달성시'와 같이 추상적으로 기재하지 않고 구체적으로 기재하여야하며, 개인정보 수집이용 시 동의 받는 사항과 일치하도록 기재하여야 함'"이라고 안내하고 있습니다.
- (추가답변2 by 펜더)또한, "표준 개인정보보호지침" 제60조제1항에서는 보유기간은 전체 개인정보의 수집부터 삭제까지의 생애주기로서 보유목적에 부합된 최소기간으로 산정하도록 규정하고 있는 바, 질문에서 '이용 목적 달성 후 파기'라는 표현은 수집시점부터 '이용목적 달성 시점'까지를 보유기간으로 산정한다는 의미인데, '이용목적 달성 시점'의 경우 개인정보처리자가 자의적으로 해석이 가능하고, 정보주체 입장에서는 예측이 어려운 시점이므로 "개인정보보호법" 제4조제1호 및 제4호에 따른 정보주체의 권리를 침해할 가능성이 높습니다.
- Q. 개인정보 처리방침 개정 시 일반적으로 7일 전에 사전 공지 하는 것이 관례처럼 되어 있는데 법적 근거가 있는 것인지?
- A. 개인정보 보호 관련 법제에 7일을 규정하고 있는 것은 없음.
- 전자상거래 이용약관 개정 시 최소 7일 이전에 공지를 하도록 하는 지침(전자상거래 등에서의 소비자보호 지침)이 있어 이 관례를 따르는 경우가 많은 것으로 보임.
- 또한 한국인터넷진흥원(KISA)에서 개인정보 처리방침 예시(양식)을 만들 때 7일로 명시해둔 바가 있어 이를 따르는 경우도 많았을 것으로 추정.
- 공식적으로 정해진 구체적인 날짜는 없으며[3] 이용자들이 피해를 보지 않을 선에서 적당한 날짜를 정해 사전 공지를 해주면 되는 것으로 확인됨.
- Q. 상당기간 이전에 개인정보 수집 및 이용 동의를 받아놓고 시일이 지나서 수집을 받아도 되는지
- A. 개인정보 보호법상 시점과 관련해서는 개인정보 수집 동의는 수집 전에만 받으면 된다고 되어 있어 컴플라이언스적으로는 문제 없음. 다만 민원이 제기되거나 감사가 진행되른 경우 선관주의 의무나 명시적 동의확보(동의를 한 시점에 수집이 이루어지지 않았으며, 수집 동의 사실을 인지하지 못한 시점에 수집됨)와 관련하여 일부 과실이 있는 것으로 판단될 수 있음. 어떤 정보를 얼마나 긴 기간 차이를 두고 동의받는지 고려하여 신중하게 검토 필요.
개인정보 이용[edit | edit source]
- Q. 가명처리를 통해 개인정보를 분석하고자 함. 가명처리가 제대로 되었는지에 대한 법률적 리스크 해소를 위해 가명처리가 잘 되었는지 국가 기관 등에 인증이나 심사를 받는 절차가 있는지?
- A. 가명처리의 적정성을 평가해주는 공적인 기관은 없음.
- 참고로 개인신용정보를 익명처리한 경우엔 데이터전문기관에서 익명처리 적정성 평가를 받을 수 있음
- A. 가명처리의 적정성을 평가해주는 공적인 기관은 없음.
- Q. 온라인 쇼핑몰에서 고객의 구매 정보를 분석해서 신제품 기획도 하고 마케팅 전략도 수립하려고 함. 회원 가입 시 '정보 분석을 통한 신제품 기획 및 마케팅 전략 수립' 이라는 목적을 명시하지 않았는데, 이렇게 고객의 구매 데이터를 통계적인 목적으로 분석을 하는 것도 목적으로 별도 명시해야 하는지?
- Q. 가명정보 결합을 하려고 하는데 금융회사의 정보와 비금융회사 정보가 결합되는 경우라면 신용정보법에 따른 데이터전문기관과 개인정보 보호법에 따른 결합전문기관 중 원하는 곳을 선택해서 진행할 수 있는지?
- A. 결합당사자 여럿 중에 하나라도 '신용정보회사등'인 경우엔 신용정보법에 따른 데이터전문기관에서 결합을 해야 함. 개인정보보호법이 일반법, 신용정보법이 특별법의 지위를 가지고 있으며 신용정보법에선 신용정보회사등이 제3자와 데이터를 결합하고자 하는 경우엔 신용정보법에 따른 데이터전문기관에서 결합해야 한다고 하였기 때문
개인정보 제공[edit | edit source]
- Q. 개인정보처리시스템 유지보수나 개발을 외부 업체에 위탁하였음. 개인정보 위수탁에 해당하는지?
- A. 어떤 방식으로 업무를 위탁하고 관리하는지에 따라 다름. 개발이나 유지보수 과정에서 개인정보에 접근이 가능하다면 개인정보 위탁으로 볼 수 있으며, 개인정보 위탁에 따른 관리·감독이나 교육 의무 등의 의무가 있음.단 개발이나 유지보수 업무를 위탁하면서도 실제 개인정보가 없는 개발·QA시스템에만 접근 가능토록하거나 다른 방법으로 개인정보에 대한 접근은 차단한 경우, 또는 업무상 개인정보를 볼 일이 없을 경우의 위탁(시스템 부품교체 등)은 개인정보 위탁이 아니라고 볼 수 있음.
(참고) Q. 시스템에 대한 단순 유지 보수를 위탁하는 경우에도 개인정보 처리 위수탁인가요?
A. 개인정보 처리 시스템의 유지 보수를 외부에 위탁한 경우, 개인정보 처리 위수탁으로 볼 수 있습니다. ‘개인정보 보호법’ 제2조 제2호에 의하면 ‘처리란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 유사한 행위’로 규정하고 있습니다. 유지 보수는 저장 또는 보유 업무의 일부를 구성하고, 또한 그와 유사한 행위에 해당하는 것으로 볼 수 있습니다. 다만, 시스템의 부품만 교체하는 등 개인정보에 접근하지 아니하는 경우라면 개인정보 처리 위수탁이 아닙니다. (개인정보 처리 위수탁 안내서, 행정안전부, 2018.7.)
- Q. 다른 회사의 직원이 파견되어 개인정보 취급 업무를 하고 있는 경우, 해당 직원은 개인정보 취급자로 관리되어야 하는가, 해당 업체가 수탁자로 취급되어야 하는가?
- A. 운영되는 방식이나 계약 내용에 따라 달라질 수 있음. 해당 개인정보 취급 업무의 역할이 그 회사 자체에 있고, 실무적인 내용을 처리하기 위해 단기적으로 출장·파견 근무를 하는 것이라면 회사와 회사 간 개인정보 수탁으로 처리될 수도 있음.
- ex) 개인정보 파기업무를 하기 위해 운동 및 파쇄 인력이 출장 온 경우, 개인정보 처리시스템 유지관리 업체가 트러블 슈팅을 위해 엔지니어를 보낸 경우
- 그러나 단순 인력 파견을 하는 회사이거나, 해당 업무에 대한 역할이 파견 직원 개인에게 주어진 것이고 이 업무에 대한 교육이나 관리를 현장의 직원들이 하는 것이라면 이는 회사 대 회사의 위수탁이 아닌 개인정보취급자로서의 관리가 더 적절하다고 할 수 있음.
- ex) IT인력 파견 업체에서 개인정보처리시스템 관리가 가능한 인력을 단순히 배정하여 파견한 경우. 해당 인력이 개인정보처리자에게 교육을 받고 업무를 수행하는 경우 등
개인정보 파기[edit | edit source]
- Q. 개인정보 파기 확인서에 담당자의 날인이 필요하다는 법률 근거 조항이 있는지?
- A. 법령과 고시에 명문화 되어 있는 규정은 없음.
- 다만, 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기는 개인정보 보호책임자의 업무 중 하나이므로(개인정보 보호법 시행령 제32조) 개인정보 보호책임자 명의의 파기 확인서(직인 날인된 공문 등)를 요구하는 경우가 많음
답변 미완료[edit | edit source]
답변을 얻을 수 없었거나 불확실한 답변을 얻은 경우 이곳에 올려주십시오. 답변이 어느정도 완료된 경우 상단의 '답변 완료'로 이동시켜 주십시오.