개인정보 라이프사이클에 따른

최근 법적 이슈 및 그 대응방안

2015. 6. 30. PIS Fair 2015

법무법인 민후 김경환 변호사

(oalmephaga@minwho.kr)

목차

• <수집> 일반적으로 공개된 개인정보의 수집

• <제공 > 수사기관ㆍ법원ㆍ세무서에의 개인정보 제공

• <주민번호> 주민번호 암호화 의무

• <바이오정보> 바이오정보와 민감정보

• <위탁> 수탁자의 보호조치 위반에 대한 위탁자의 책임

• <관리> 보호조치 위반과 개인정보 유출

• <관리> 개정 고시의 주요 내용

• <유출> 불법 제공시 개인정보 유출통지 의무

• <파기> 개인정보 유효기간 및 미파기 벌칙

<수집> 일반적으로 공개된 개인정보의 수집

• 개보법 제20조(정보주체 이외로부터 수집한 개인정보의 수

집 출처 등 고지) ① 개인정보처리자가 정보주체 이외로부터

수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있

으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야

한다.

• 방통위 빅데이터 개인정보보호 가이드라인 제4조 제1항 :

정보통신서비스 제공자가 개인정보가 포함된 공개된 정보를

비식별화 조치한 경우에는 이용자의 동의 없이 수집‧이용할

수 있다. 다만, 이용자의 동의를 받거나 법령상 허용하는 경

우에는 비식별화 조치를 취하지 아니하고 수집‧이용할 수 있

다.

법규정

크롤링 등

예

공공기관 및 기업의 대응방안

• 서울중앙지방법원(항소심 2013나49885 판결)에서, 1) 비영리목적으로 수집

하는 경우 공개된 자료의 성질이나 공개 당시의 상황에 비춰 정보주체의동의

의사가 인정되는 범위에서 적법하고, 동의의사를 벗어난 경우는 원칙적으로

위법하지만, 다만 이 경우에도 공적인 존재나 공적인 개인정보 내용인 경우에

는 적법하며, 2) 영리목적으로 수집하는 경우 언론 고유의 목적을 달성하기

위해 수집하는 경우는 적법하고 ② 단순 영리 목적으로 수집하는 경우는 설령

정보주체가 공적인 존재라 하더라도 위법하다고 판시함

• 위 판결의 취지에 비추어 보면, 위 판결 내용의 개인정보 외에는 비식별화 처리

후에 수집하여야 함

<수집> 일반적으로 공개된 개인정보의 수집

법규정 • 개보법 제18조(개인정보의 목적 외 이용ㆍ제공 제한) ② 제

1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하

나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부

당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목

적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다.

다만, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한

정한다. 7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필

요한 경우 8. 법원의 재판업무 수행을 위하여 필요한 경우

<제공> 수사기관ㆍ법원ㆍ세무서에의 개인정보 제공

공공기관 및 기업의 대응방안

• 공공기관 : 영장 없이도 수사기관ㆍ법원에 제공 가능

• 기업

1) 수사 목적(수사기관)은 원칙적으로 영장 필요. 다만 전기통신사업자가 이용자의

개인정보를 제공하는 경우는 영장 불요. 주의할 점은 반드시 영장 유형 확인할 것

* 통신사실확인자료 / 감청 / 압수수색

2) 재판 목적(법원)은 영장 불요

3) 과세 목적(국세청, 세무서)은 영장 필요

<제공> 수사기관ㆍ법원ㆍ세무서에의 개인정보 제공

법규정

개보법 제24조의2(주민등록번호 처리의 제한) ② 개인정보처리자는 제24조제3

항에도 불구하고 주민등록번호가 분실·도난·유출·변조 또는 훼손되지 아니하도

록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상

및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출

시 영향 등을 고려하여 대통령령으로 정한다.

<주민번호> 주민번호 암호화 의무

2016년 1월 1일부터 시행

<주민번호> 주민번호 암호화 의무

공공기관 및 기업의 대응방안

• 내년부터 주민번호 암호화를 시행할 의무가 있음

1) 저장 형태나 전송 중인 경우를 불문하고 모두 암호화 의무 있음

2) 현재는 개인정보 영향평가 결과나 위험도 분석 결과에 따라 내부망에서는

암호화 의무가 면제되나 앞으로는 이러한 예외가 없어질 예정임

• 다만 대통령령이 아직 제정 이전인바, 사업규모나 개인정보 보유량에 따라 단

계적인 시행이 있을 것으로 예상함

법규정 • 행자부 안정성확보조치기준 고시 제2조 제14호 : 14. "바이

오정보”라 함은 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인

을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로

서 그로부터 가공되거나 생성된 정보를 포함한다.

• 같은 고시 : 제6조(개인정보의 암호화) ③ 개인정보처리자는

비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단

비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방

향 암호화하여 저장하여야 한다.

<바이오정보> 바이오정보와 민감정보

공공기관 및 기업의 대응방안

• 테크, IoT 등의 목적 때문에 바이오정보의 사용은 급증하나, 유출로 인한 피해

가 매우 크기 때문에 관리상의 주의를 다하여야 함

• 인증 목적으로만 사용하여야 하고, (양방향) 암호화하여 보관하여야 하며, 개

인정보와 구분하여 별도로 보관하는 것이 바람직함

• 바이오정보라도 인증 목적이 아닌 다른 목적으로 사용할 때는 별도의 절차를

거쳐야 함 (예 : 민감정보)

<바이오정보> 바이오정보와 민감정보

• 개보법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가

제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포

함된 문서에 의하여야 한다.

<위탁> 수탁자의 보호조치 위반에 대한 위탁자의 책임

④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·

변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통

령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감

독하여야 한다.

⑦ 수탁자에 관하여는 제15조부터 제25조까지, 제27조부터 제31조까지,

제33조부터 제38조까지 및 제59조를 준용한다. [제29조(안전성확보조치의

무)도 포함]

• 제26조 4항 위반시 처벌규정 없음

법규정

공공기관 및 기업의 대응방안

• 해킹에 의한 개인정보 유출의 경우, 위탁자는 행정 제재받을 가능성 낮음. 그럼에

도 불구하고 민사책임은 위탁자와 수탁자가 같이 부담을 함.

• 개인정보 미파기의 경우, 위탁자는 행정 제재받을 수 있음

[수탁자의 위반 행위를 위탁자의 행위로 볼 수 있는 경우]

<위탁> 수탁자의 보호조치 위반에 대한 위탁자의 책임

<관리> 보호조치 위반과 개인정보 유출

• 정보통신망법 제64조의3 : 제64조의3(과징금의 부과 등) ① 방송통신위원회는

다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신서비스

제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을

과징금으로 부과할 수 있다.

법규정

이용자의 개인정보를 분실·도난·누출·변조 또는 훼손한 경우로서 제28조제

1항제2호부터 제5호까지의 조치를 하지 아니한 경우

공공기관 및 기업의 대응방안

• 기술적 보호조치 해태와 개인정보 유출 사이에 ‘인과관계’를 요하지 않는 것이 이

조항의 태도임

• 다만 ‘관련성’은 필요하다는 것이 실무의 태도임

• 사례 : 배달통 개인정보 유출사건(과징금 7천958만원)

<관리> 보호조치 위반과 개인정보 유출

<관리> 개정 고시의 주요 내용

행자부 고시 (2014. 12. 30. 시행)

• 고유식별정보를 처리하는 인터넷

홈페이지의 연 1회 이상 취약점

점검 의무

• 공개된 무선망 사용시 접근통제ㆍ

개인정보 암호화 등 보호조치

• 개인정보처리시스템의 접속기록

을 반기별로 1회 이상 점검 의무

• 업무용 모바일 기기에 비밀번호

설정 등의 보호조치 의무

• 보조저장장치의 반출입 통제 의무

방통위 고시 (2015. 5. 19. 시행)

• 보호조치 기준이 최소한의 기준임을

명확히 하고 사업규모ㆍ개인정보 보

유 수 등을 고려하여 자율 기준을 수

립 시행

• 내부관리계획에 수탁자 관리ㆍ감독

사항, 개인정보 유출시 대응절차 및

방법 규정

• 개인정보처리시스템에 대한 개인정

보취급자의 접속이 필요한 시간 동

안만 최대 접속시간 제한 등의 조치

• 보안 프로그램의 일 1회 이상 업데

이트를 실시

• 물리적 보호조치 의무

<유출> 불법 제공시 개인정보 유출통지 의무

• 개보법 제34조 ① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지

체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다. ③ 개인정보처리자는 대

통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항

에 따른 조치 결과를 지체 없이 행정자치부장관 또는 대통령령으로 정하는 전문기관에

신고하여야 한다. 이 경우 행정자치부장관 또는 대통령령으로 정하는 전문기관은 피해

확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다.

법규정

• 개보법 제75조(과태료) ② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하

의 과태료를 부과한다. 8. 제34조제1항을 위반하여 정보주체에게 같은 항 각 호의 사실

을 알리지 아니한 자 9. 제34조제3항을 위반하여 조치 결과를 신고하지 아니한 자

공공기관 및 기업의 대응방안

• 의도적으로 제3자에게 불법 제공한 경우도 ‘유출’에 포함된다고 보는 것이 실무의

태도. 즉 의도적인 불법 제공도 통지 및 신고 의무가 있다고 봄에 주의해야 함

• 사견 : 의도적인 경우는 제외해야 하고, 따라서 제3자에게 불법 제공한 경우는 통

지 및 신고 의무가 없음

<유출> 불법 제공시 개인정보 유출통지 의무

정보통신망법 제29조 제2항 : 정보통신서비스 제공자등은 정보통신서비스를 대통령령으로 정

하는 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하

는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다.

<파기> 개인정보 유효기간 및 미파기 벌칙

개인정보 유효기간 법규정(시행일 : 2015. 8. 18.)

시행령 제16조 : ① 법 제29조제2항에서 "대통령령으로 정하는 기간"이란 1년을 말한다. 다

만, 다음 각 호의 경우에는 해당 호에 따른 기간으로 한다. 1. 다른 법령에서 별도의 기간을 정

하고 있는 경우: 해당 법령에서 정한 기간 2. 이용자의 요청에 따라 기간을 달리 정한 경우: 달

리 정한 기간 ② 정보통신서비스 제공자등은 이용자가 정보통신서비스를 제1항의 기간 동안

이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이

용자의 개인정보와 분리하여 별도로 저장ㆍ관리하여야 한다.

부칙 제2조(개인정보의 파기 등에 관한 적용례) 제16조제1항 각 호 외의 부분 본문의 개정규

정은 2015년 8월 18일 전에 수집하거나 제공받은 개인정보에 대해서도 적용한다.

• 정보통신망법 제29조 제1항 : 정보통신서비스 제공자등은 다음 각 호의 어느 하

나에 해당하는 경우에는 지체 없이 해당 개인정보를 복구·재생할 수 없도록 파기

하여야 한다. 다만, 다른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그러

하지 아니하다.

• 정보통신망법 제73조(벌칙) : 다음 각 호의 어느 하나에 해당하는 자는 2년 이하

의 징역 또는 2천만원 이하의 벌금에 처한다.

<파기> 개인정보 유효기간 및 미파기 벌칙

1의2. 제29조제1항을 위반하여 개인정보를 파기하지 아니한 자(제67조에 따라

준용되는 경우를 포함한다)

개인정보 미파기 법규정(시행일 : 2015. 8. 18.)

공공기관 및 기업의 대응방안

• 기업이 연락을 한 것만으로 ‘이용’으로 보기 어려운바, 1년 안에 이용자의 적극적

인 이용을 유도함

• 이용자의 요청에 따라 장기간의 기간을 정할 수 있는바, 필요하면 수집시부터 장

기간의 기간을 정함

• 미파기시 형사처벌 대상이고 양벌규정이 적용되므로 보관기관 도과시 ‘즉시’ 파

기하여야 함

<파기> 개인정보 유효기간 및 미파기 벌칙

-끝-