(2013.03.13) 개인정보 보호법 법령해석 - 1

인용 및 출처 : 개인정보 보호법. 저자 이창범

개인정보 보호법의 체계

본문 9장 755개 조문, 부칙

제1장 총칙

- 목적, 정의, 개인정보 보호 원칙, 다른 법률과의 관계 등

제2장 개인정보 보호정책의 수립 등

- 개인정보 보호위원회, 기본계획/시행계획 수립, 개인정보 보호지침, 자율규제촉진 등

제3장 개인정보의 처리

- 수집/이용/제공 등 처리기준, 민감정보/고유식별정보 제한, 영상정보처리기기 제한 등

제4장 개인정보의 안전한 관리

- 안전조치의무, 개인정보파일 등록/공개, 개인정보 영향평가, 유출통지제도 등

제5장 정보주체의 권리 보장

- 열람요구원, 정정/삭제요구권, 처리정지요구원, 권리행사방법 및 절차, 손해배상책임 등

제6장 개인정보 분쟁조정위원회

- 분쟁조정위원회 설치/구성, 분쟁조정의 신청방법/절차, 효력, 집단분쟁조정제도 등

제7장 개인정보 단체소송   

- 단체소송 대상, 소송허가요건, 확정판결의 효력 등

제8장 보칙

- 적용제외, 금지행위, 침해사실신고, 시정조치 등

제9장 벌칙

- 벌칙, 과태료 및 양벌규정 등

제1조(목적) 이 법은 개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 한다.

1. 보호하고자 하는 법인

- 1차적 보호법익 : 사생활의 비밀

- 2차적 보호법익 : 국민의 권리와 이익 및 개인의 존엄과 가치

개인정보의 수집/이용/제공/유출 등에 의하여 영향을 받을 수 있는 제반 권리와 이익, 예를 들어 생명권, 재산권, 명예권, 초상권, 성명권, 행복추구권 등을 모두 포함 

2. 각국의 개인정보법의 입법 목적 비교

유형	나라 및 법	입법 목적
개인의 권리 보호를 강조하는 입법 유형	호주 '프라이버시법'	개인의 프라이버시, 가족, 가정, 통신 등에 대하여 권한 없는 또는 불법적인 침해행위가 발생하지 않도록 법적 대응책을 강구하고 경제협력개발기구(OECD)의 일원으로서 OECD가 권고하고 있는 프라이버시 보호 및 개인자유에 대한 원칙을 이행하기 위한 것
	이탈리아 '개인정보 보호법'	정보주체의 권리, 기본적인 자유 및 인권을 존중하는 방향으로 특히 개인의 비밀(confidentiality)과 식별성(personal identity) 그리고 개인정보보호권을 존중하는 방향으로 개인정보가 처리되도록 보장하기 위한 것
	독일 '연방 개인정보 보호법'	개인정보의 처리 과정에서 개인의 프라이버시 침해를 방지하는데 있다
개인정보의 유용성을 고려한 입법 유형	OECD 프라이버시 가이드라인(1980)	개인정보의 자동처리와 국가 간 이전이 경제/사회의 발전 및 회원국 간 새로운 관계형성에 기여할 수 있음을 인식하고 회원국은 개인정보의 국외 이전을 부당하게 방해하는 장애물을 제거하고 새로운 장애물의 도입을 피하기 위해 노력해야 한다
	OECD 개인정보 국외 이전에 관한 선언(1985)	회원국은 국경 간 개인정보 이전이 가져다 줄 수 있는 편익을 인정하고, 데이터와 정보 및 관련 서비스에 대한 접근을 촉진해야 하며, 데이터와 정보의 국제적 교환을 방해하는 부당한 장벽의 도입을 피해야 한다.
	OECD 프라이버시 장관 선언(1998)	프라이버시 및 개인정보 보호에 관한 투명한 규범이 글로벌 네트워크의 신뢰 제고에 핵심적 요소임을 고려하면서 글로벌 네트워크상에서 중요한 권리 보호와 신뢰 구축 그리고 개인정보 국외 이전에 대한 불필요한 규제의 방지를 위한 정부의 역할이 있다.
	EU 개인정보처리에 관한 개인보호 및 개인정보의 자유로운 이전에 관한 지침(1995)	- 자연인의 기본적 권리와 자유를 보호하고 개인    정보처리와 관련한 프라이버시권을 보호 - 회원국은 기본적 권리와 자유, 프라이버시권    등의 권리 보호를 이유로 하여 회원국의 상호    간에 개인정보의 자유로운 흐름을 제한    하거나 금지할 수 없다.
	캐나다 '개인정보 보호 및 전자문서에 관한 법률'	정보의 유통과 교환을 촉진하는 기술환경의 시대에 개인의 프라이버시권과 개인정보의 수집/이용/공개의 필요성을 인정하는 방식으로 개인정보를 이용/공개하는 원칙을 확립하는 것
	일본 '개인정보 보호법'	고도정보통신사회의 진전에 따른 개인정보의 이용이 현저히 확대되고 있음에 따라 개인정보의 적정한 취급에 관한 기본원칙 및 정부에 의한 기본방침의 작성 그 밖에 개인정보의 보호에 관한 시책에 기본이 되는 사항을 정하고, 국가 및 지방공공단체의 책무 등을 명확히 밝힘과 동시에 개인정보를 취급하는 사업자가 준수하여야 하는 의무 등을 정함에 의하여 개인정보의 유용성을 배려하면서 개인의 권리이익을 보호하는 것
	프랑스 '1978년 데이터 처리, 데이터 파일 및 개인자유에 관한 법률	정보기술은 모든 시민이 이용할 수 있어야 한다. 정보기술의 발전은 국제적 협력하에 이루어져야 하며 개인의 식별성, 인권, 프라이버시, 개인 또는 공공의 자유를 침해하여서는 아니 된다

우리나라의 입법 목적은 개인의 권리 보호 측과 더 가깝다고 볼 수 있다. 하지만 개인정보로 경제적 이익을 취하는 시대적 배경을 고려한다면 우리나라의 개인정보 보호법도 개인정보의 흐름, 이전을 인정하고 그것의 법적인 근거를 마련한거 같다.

제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.

1. “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

2. “처리”란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.

5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

6. “공공기관”이란 다음 각 목의 기관을 말한다.

가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체

나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관

7. “영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.

1. 개인정보

- 개인을 알아볼 수 있는 모든 종류, 모든 형태의 정보가 개인정보가 될 수 있다.

- <객관적 사실>에 관한 정보이든 그 사람에 대한 제3자의 의견과 같은 <주관적 평가>에 관한 정보이

   든 불문한다.

- 부정확한 정보 또는 허위의 정보라도 특정한 개인에 관한 정보이면 개인정보가 된다.

- 살아 있는 개인에 관한 정보만을 개인정보로 보기 때문에 <사자(死者)>에 관한 정보나 <법인/단체>

   에 관한 정보는 개인정보로 보지 않는다.

- "쉽게 결합하여" 라는 단어는 '합리적으로' 라는 의미로 해석해야 한다. 즉 '쉽게'라는 단어는 과학적 

   가능성보다는 수단/방법의 합리성에 무게가 있다. 식별을 위해 불합리할 정도의 시간, 노력, 비용이

   투입되어야 한다면 그런 '단편적인 정보들'은 식별성이 있다고 할 수 없다.

- 컴퓨터로 처리된 개인정보에 한정하지 않고 있어 손으로 기록된 개인정보도 법의 적용 대상에 포함

단지 이 경우에 손으로 기록된 정보가 검색을 할 수 있고 기록 형식이 일정한 '개인정보파일'에 해

당될 때가 아닌가 한다.

- <개인정보 보호법>은 공개된 정보도 개인정보의 범위에 포함시켜서 함부로 수집/이용하지 못하도

   록 하고 있으나, <신용정보법> 은 적법하게 공시 또는 공개된 정보는 '개인신용정보'의 범위에서 

   제외.

금융회사는 서로 "자금세탁방지시스템(AML, Anti-Money Laundry)" 을 통해서 국내외적으로 이루어지는 불법자금의 세탁을 적발 및 예방을 하고 있다. 우리나라의 경우 불법재산의 취득/처분 사실을 가장하거나 그 재산을 은닉하는 행위 및 탈세 등도 포함인데 이에 해당하는 사람, 테러리스트들의 정보를 서로 공유한다. 거기에는 개인정보 보호법에서 고유식별정보라 칭하는 여권번호도 포함된다.

결국 이 정보는 금융회사간 공개된 정보이지만 신용정보법에서는 '개인신용정보' 범위에서 제외하므로 개인정보 보호법에서도 개인정보라 할 수 없을거 같다.

2. 처리

- SNS 환경에서 개인정보의 <공개>는 <제공> 못지않게 중요한 의미를 가지지만 우리나라 "개인정보

   보호법"에서는 보호의 사각지대임

전달, 제공, 공유, 공개의 용어는 개인정보의 처리할 특정 상대방이 존재함을 의미하는거 같다.

따라서 페이스북의 개인정보 공개에 대해서 특정인을 지정해서 공개하는 것이라 할 수 없다고 볼 수 있다.

3. 정보주체

- 국적이나 신분에 관계없이 살아있는 누구나 정보주체가 될 수 있다.

- "정보통신망법"의 권리주체를 정보통신서비스제공자(개인정보처리자)가 제공하는 서비스를 이용

   하는 '이용자'로 한정

금융위원회에서는 금융회사가 정통통신망법 대상이 아니라고 하고

방송통신위원회는 금융회사도 정통통신망법 대상이지만 주민번호가 꼭 필요한 업종은 제외한다는 규정에 따라 제외라고 한다.

두 위원회간 법리 해석은 정식적인 문서로 된건 없고 서로 적당한 선에서 타협하는거 같다.

하지만 농협, 현대캐피탈 같은 사고가 터지면 양 위원회는 모두 관여하는거 같다.

- "신용정보법"도 금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한 정보의 처리

   에 관한 법률이므로 원칙적으로 상거래 관계의 존재를 전재로 정보주체를 정의한다.

- "정보통신망법"과 "신용정보법"은 노사관계, 공사관계 등에서 적용되지 않지만 "개인정보 보호법"은 

   개인정보처리자와 정보주체 사이에 특별한 계약관계를 요구하고 있지 않다.

따라서 회사 임직원의 개인정보도 개인정보 보호법의 적용을 받는다