(2013.03.15) 개인정보 보호법 법령해석 - 2

인용 및 출처 : 개인정보 보호법. 저자 이창범

제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.

1. “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

2. “처리”란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.

5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

6. “공공기관”이란 다음 각 목의 기관을 말한다.

가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체

나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관

7. “영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.

1. 개인정보파일

- 일정한 기준에  따라 쉽게 개인정보를 검색할 수 있도록 체계적으로 배열 또는 구성된 개인정보 집합

   물이면 되고 전자적 형태이든 수기 형태이든 차이가 없다.

고객 DB, 연체고객 리스트, 병원진료카드, 가입자 입회신청서, 출석부, 토지거래허가서 등

- "정보통신망법"과 "신용정보법" 에서는 개인정보파일에 대한 정의가 없기 때문에 파일화할 의도가 없

   는 낱개 또는 낱장의 개인정보도 개인정보 처리 원칙에 따라서 처리

- "개인정보 보호법" 에서는 개인정보처리자가 처음부터 파일화할 의도가 없었던 개인정보에 대해서는 

  "개인정보 보호법"의 원칙이 적용되지 아니한다.

2. 개인정보처리자

- 개인정보처리자는 자신의 이익을 위하여 개인정보의 처리여부, 처리목적, 처리방법 등을 자신의 책임

   아래 스스로 결정할 수 있는 자

- 개인정보취급자는 개인정보처리자를 대신하여 그의 지휘, 감독하에서만 개인정보를 처리할 수 있는

   자

- "개인정보 보호법" 에서는 업무를 목적으로 개인정보를 처리하는 자이고

   "정보통신망법"상 정보통신서비스제공자는 전기통신사업자 및 '영리를 목적으로' 서비스 제공자임

- 개인기업의 경우에는 개인정보처리자는 곧 대표인 개인이 된다.

- 자신이 직접 개인정보를 수집, 가공, 편집, 이용, 제공, 전송하지 아니하고 다른 사람 예컨대 수탁자,

   대리인, 이행보조자 등을 통해서 처리하는 경우에도 개인정보처리자에 해당

헤드헌터 등

- 개인정보취급자는 임직원, 파견근로자, 시간제근로자 등이 이에 속한다.

- 친목이나 취미를 위한 단체(동창회, 동호회 등)도 개인정보처리자에 해당

- 단체로서의 조직체계와 의사결정기구를 갖추고 있지 않은 비조직적 단체(계모임 등)는 독립된 활동

  주체로 보기 어렵기 때문에 개인정보처리자로 보기 어렵다.

3. 영상처리기기

- <일정한 공간>에 지속적으로 설치되어 있어야 하므로 개인이 휴대하여 장소를 옮겨 다니면서 촬영이 

   가능한 휴대전화나 디지털 카메라는 영상정보처리기기에서 제외

- 택시, 버스 등 차량에 설치된 카메라와 같이 이동 가능한 차량에 설치된 경우도 <일정한 공간>에 설

   치된 것으로 볼 수 있으므로 지속성 요건만 갖춘다면 영상정보처리기기에 해당

- 영상정보처리기기를 이용하여 다른 사람들 간의 대화를 녹음하거나 청취하는 것은 "통신비밀보호법"

   상 불법

- 업무를 목적으로 상대방이나 제3자의 동의 없이 그의 대화 내용을 녹음하는 행위는 "개인정보 보호법
   " 위반

- 대통령령이 정하는 장치는 "CCTV", "네트워크 카메라" 이다.

제3조(개인정보 보호 원칙) ① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.

② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.

③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.

④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.

⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.

⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.

⑦ 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.

⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.

1. 이 조는 개인정보 처리와 관련하여 국젝적으로 통용되고 있는 원칙들을 반영하고 있다. 1980년 제정된 

   "OECD 프라이버시 8원칙"과 EU 회원국의 입법기준이 된 "EU 개인정보 보호지침"(1995)을 참고하였고,

   우리나라가 제정 과정에서 결정적인 역할을 한 "APEC 정보 프라이버시 원칙"(2004)도 고려하였다.

2. OECD 프라이버시 8원칙과 개인정보 보호 원칙의 비교

OECD 프라이버시 8원칙	개인정보 보호 원칙(제3조)
- 수집제한의 원칙(1원칙)	- 목적에 필요한 최소정보의 수집(제1항) - 사생활 침해를 최소화하는 방법으로 처리(제6항) - 익명처리의 원칙(제7항)
- 정보 정확성의 원칙(2원칙)	- 처리 목적 내에서 정확성, 완전성, 최신성 보장(제3항)
- 목적 명확화의 원칙(3원칙)	- 처리 목적의 명확화(제1항)
- 이용제한의 원칙(4원칙)	- 목적 범위 내에서 적법하게 처리, 목적 외 활용금지(제2항)
- 안전성 확보의 원칙(5원칙)	- 권리침해 가능성 등을 고려하여 안전하게 관리(제4항)
- 처리방침 공개의 원칙(6원칙)	- 개인정보 처리방침 등 공개(제5항)
- 정보주체 참여의 원칙(7원칙)	- 열람청구권 등 정보주체의 권리 보장(제5항)
- 책임의 원칙	- 개인정보처리자의 책임준수, 신뢰확보 노력(제8항)

3. 각 법의 개인정보 보호 원칙

법	개인정보 보호 원칙
대한민국	1. 처리목적 명확화의 원칙 2. 최소수집의 원칙 3. 적법한 수집 원칙 4. 목적외 이용금지 원칙 5. 정확성의 원칙 6. 안전성의 원칙 7. 공개의 원칙 8. 정보주체 권리 존중의 원칙 9. 사생활침해 최소화의 원칙 10. 익명처리의 원칙 11. 책임의 원칙
UN 개인정보파일 규제 가이드라인	1. 합법성과 공정성의 원칙 2. 정확성의 원칙 3. 목적 구체화의 원칙 4. 정보주체 참여의 원칙 5. 비차별의 원칙 6. 예외 명확화의 원칙 7. 보안의 원칙 8. 감독 및 제재의 원칙 9. 국외이전 보장의 원칙 10. 적용범위에 관한 원칙
EU 개인정보 보호지침	1. 적법처리의 원칙 2. 목적 명확화의 원칙 3. 이용제한의 원칙 4. 관련성의 원칙 5. 정확성의 원칙 6. 익명성의 원칙
프랑스의 개인정보 보호 원칙	1. 불법수집 금지의 원칙 2. 정보처리 거절의 원칙     -> 자기에 관한 개인정보의 처리에 반대할 권리를 갖는다 3. 사전통지의 원칙 4. 보존기간준수의 원칙 5. 안전보호조치의 원칙 6. 민감정보 수집제한의 원칙     -> 인종, 정치적, 사상적, 종교적 신조, 노동조합 등 7. 액세스권에 관한 원칙 8. 정정요구권에 관한 원칙
영국의 개인정보 보호 원칙	1. 적법처리이 원칙 2. 목적 명확화의 원칙 3. 관련성의 원칙 4. 정확성의 원칙 5. 파기의 원칙 6. 정보주체권리 보호의 원칙 7. 안전성의 원칙 8. 국외이전 제한의 원칙     -> 유럽경제공동체 밖의 나라나 지역으로 개인정보 이전 금지
미국의 개인정보 보호 원칙	1. 제3자 제공 제한의 원칙 2. 정보접근권에 관한 원칙 3. 정정의 원칙 4. 목적제한의 원칙 5. 직접 수집의 원칙 6. 사전통지의 원칙 7. 정확성, 합목적성, 현재성, 완전성의 원칙 8. 민감정보 보유금지의 원칙 9. 안전조치의 원칙

제6조(다른 법률과의 관계) 개인정보 보호에 관하여는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「신용정보의 이용 및 보호에 관한 법률」 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.

1. "정보통신망법"과의 관계

1) 중복되지 않은 규정의 적용

- "정보통신망법"의 적용을 받은 정보통신서비스제공자는 "정보통신망법"에 규정된 사항에 대해서

   는 "정보통신망법"을 따라야 하고, "정보통신망법"에 규정되어 있지 아니한 사항에 대해서는 

   "개인정보 보호법"의 규정에 따라야 한다

2) 중복규정의 적용기준

- 더 상세한 법률이 상대 법률과 모순 또는 충돌이 발생하지 않는다면 더 상세한 법률을 따라야 

   한다.

3) "개인정보 보호법" 우선 적용

- "개인정보 보호법"의 규정을 적용해도 "정보통신망법"과 모순되지 아니하고, "개인정보 보호법"

   과 모순되지 아니하고 "개인정보 보호법"의 관련 규정을 배제하려는 명시적 또는 묵시적 의도가

   없으면 "개인정보 보호법"이 우선 적용된다.

4) "정보통신망법" 우선 적용

- 단순히 명칭만 다를 뿐 역할, 기능이 같거나 유사한 경우에는 개별법, 즉 "정보통신망법" 에서 

   규정하고 있는 명칭과 법률을 따르면 된다.

이 경우는 정보통신을 이용해 서비스를 제공하는 자에 한할 것이다.

2. "신용정보법"과의 관계

1) "정보통신망법" 적용처럼 해당 법을 적용받는 업종, 기관의 경우 더 상세한 법률이 우선 적용된다.