나경아빠의 스케치북 - 고통은 희망의 씨앗이다

인용 및 출처 : 개인정보 보호법. 저자 이창범

제15조(개인정보의 수집ㆍ이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.

1. 정보주체의 동의를 받은 경우

2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우

5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

1. 개인정보의 수집·이용 목적

2. 수집하려는 개인정보의 항목

3. 개인정보의 보유 및 이용 기간

4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

1. 개인정보의 수집경로

- 공개된 정보라고 해서 함부로 수집하거나 이용해서는 안 된다.

- 공개자의 의사가 불분명한 경우에는 사회통념상 동의의사가 있었다고 인정되는 범위 내에서만 수집, 

   이용이 가능하다.

블로그 등에 공개한 정보를 선전, 광고, 마케팅 등에 이용하도록 허용했다고 보는 것은 무리임

2. 개인정보의 수집요건

1) 정보주체의 사전 동의를 받은 경우

- 동의의 방법으로는 기명날인, 인터넷 홈페이지 동의란 클릭, 전자우편 발송, 구두승락 등 제한

   없다.

- 고객에 대한 서비스 증진, 당사가 취급하는 신상품 안내, 최신 상품정보 제공, OOO 등, 기타

   등과 같은 막연한 표현은 피해야 한다.

- 인터넷 홈페이지에 게시한다거나 관보에 공개하는 것으로는 안 되고 반드시 정보주체에게 

   개별적으로 알려야 한다.

2) 법률규정이 있거나 법령상 의무 준수를 위해 불가피한 경우

- <법률>에 특별한 규정이 있어야 하므로 시행령, 시행규칙, 고시, 조례 등에서 규정하는 

   것은 안 된다. 그러나 법에서 구체적으로 수집, 이용의 목적 등을 규정하고 필요한 개인정보의

    항목만 시행령, 시행규칙 등에 위임하는 것은 가능

- <불가피한 경우>란 개인정보를 수집하지 않고는 법령에서 부과하는 의무를 이행하는 것이 불가

   능하거나 개인정보처리자가 다른 방법을 사용하여 의무를 이행하는 것이 현저히 곤란한 경우임

금융회사는 개인의 신용, 금융 거래에 주민번호가 필요하므로 이에 해당된다.

3) 계약 체결, 이행을 위해 불가피하게 필요한 경우

- <계약체결>에는 계약체결을 위한 준비단계도 포함

부동산거래에 있어서 계약체결 전에 해당 부동산의 등기부등본 열람 등이 이에 해당.

결혼중개회사가 중개 계약을 위해 남녀의 학력, 건강상태, 가족관계 등을 수집하는 것도 해당

- 불가피하다는 입증책임은 개인정보처리자가 부담

4) 급박한 생명, 신체, 재산상 이익을 위하여 필요한 경우

- 정신미약, 교통사고, 만취, 큰 수술 등으로 의사 표시를 할 수 없는 상태

- 주소불명, 전화불통, 이메일불통 등 불가피한 사유로 사전에 동의를 받을 수 없는 경우

정보주체 또는 법정대리인이 멀리 떨어져 있어 동의를 받기 어렵다거나, 정보주체가 동의를 

계속 거부하고 있다거나, 의도적으로 접촉을 피하고 있다는 사실만으로는 사전 동의를 받을 수

없는 경우에 해당되지는 않는다.

- 손해보다는 이익이 월등하다고 판단되는 경우에는 동의 없는 수집이 가능하다

- 제3자의 이익이 정보주체의 이익보다 월등한 경우에만 동의 없는 개인정보 수집이 가능

회사에서 기밀 유출 방지를 위해서 메신저, 메일에 대한 로깅을 해야한다고 할 경우 임직원 개인이 프라이버시 보호를 위해 동의를 하지 않는다 하더라도 회사의 존페에 관련된 중요 정보 유출 방지를 위한 것이 더 큰 이익이므로 이에 해당할 것이다.

5) 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우

- 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우에도 정보주체의 동의 없이 개인

   정보를 수집할 수 있다. 

- 개인정보처리자의 이익이 명백하게 정보주체의 권리보다 우선하여야 하고, 수집하고자 하는 개

   인정보가 개인정보처리자의 정당하 이익과 상당한 관련이 있어야 하며, 합리적인 범위를 초과해

   서는 안 된다.

요금 징수 및 정산, 영업비밀 및 도난 방지, 사업장 내 안전관리 목적으로 CCTV 설치, 대출, 

배송 등이 개인정보처리자의 정당한 이익이라 할 수 있다.

제16조(개인정보의 수집 제한) ① 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.

② 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.

1. 필요한 최소한의 개인정보

- 일반적으로 필요한 최소한의 개인정보란 해당 개인정보가 없으면 계약의 체결이나 이행, 법률상 의무

   의 준수, 소관업무 수행 등이 불가능하거나 현저히 어려워지는 경우 또는 다른 방법에 의할 경우 과도

   한 비용과 시간이 요구되는 경우, 해당 개인정보는 필요한 최소한의 개인정보라고 할 수 있다.

민원처리 및 전화상담을 위해 불가피한 범위 내에서의 개인정보 수집, 이용은 정보주체의 동의 없이 가능

2. 최소정보의 수집 원칙

- <필수정보>와 <선택정보>를 구분해서 어떤 경우에도 정부주체에게 <필수정보> 이외의 개인정보 제

   공을 강요하지 못하도록 하는 것이 개인정보 최소수집 원칙에 부합

<선택정보> 수집에 동의하지 않는다면 어떤 헤택을 받지 못하는지 표기해야한다.

3. 최소정보의 입증책임

- 개인정보처리자가 해당 개인정보가 필요한 최소한의 개인정보라는 것을 입증하지 못하면 패소하게

   된다.

인용 및 출처 : 개인정보 보호법. 저자 이창범

제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.

1. “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

2. “처리”란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.

5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

6. “공공기관”이란 다음 각 목의 기관을 말한다.

가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체

나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관

7. “영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.

1. 개인정보파일

- 일정한 기준에  따라 쉽게 개인정보를 검색할 수 있도록 체계적으로 배열 또는 구성된 개인정보 집합

   물이면 되고 전자적 형태이든 수기 형태이든 차이가 없다.

고객 DB, 연체고객 리스트, 병원진료카드, 가입자 입회신청서, 출석부, 토지거래허가서 등

- "정보통신망법"과 "신용정보법" 에서는 개인정보파일에 대한 정의가 없기 때문에 파일화할 의도가 없

   는 낱개 또는 낱장의 개인정보도 개인정보 처리 원칙에 따라서 처리

- "개인정보 보호법" 에서는 개인정보처리자가 처음부터 파일화할 의도가 없었던 개인정보에 대해서는 

  "개인정보 보호법"의 원칙이 적용되지 아니한다.

2. 개인정보처리자

- 개인정보처리자는 자신의 이익을 위하여 개인정보의 처리여부, 처리목적, 처리방법 등을 자신의 책임

   아래 스스로 결정할 수 있는 자

- 개인정보취급자는 개인정보처리자를 대신하여 그의 지휘, 감독하에서만 개인정보를 처리할 수 있는

   자

- "개인정보 보호법" 에서는 업무를 목적으로 개인정보를 처리하는 자이고

   "정보통신망법"상 정보통신서비스제공자는 전기통신사업자 및 '영리를 목적으로' 서비스 제공자임

- 개인기업의 경우에는 개인정보처리자는 곧 대표인 개인이 된다.

- 자신이 직접 개인정보를 수집, 가공, 편집, 이용, 제공, 전송하지 아니하고 다른 사람 예컨대 수탁자,

   대리인, 이행보조자 등을 통해서 처리하는 경우에도 개인정보처리자에 해당

헤드헌터 등

- 개인정보취급자는 임직원, 파견근로자, 시간제근로자 등이 이에 속한다.

- 친목이나 취미를 위한 단체(동창회, 동호회 등)도 개인정보처리자에 해당

- 단체로서의 조직체계와 의사결정기구를 갖추고 있지 않은 비조직적 단체(계모임 등)는 독립된 활동

  주체로 보기 어렵기 때문에 개인정보처리자로 보기 어렵다.

3. 영상처리기기

- <일정한 공간>에 지속적으로 설치되어 있어야 하므로 개인이 휴대하여 장소를 옮겨 다니면서 촬영이 

   가능한 휴대전화나 디지털 카메라는 영상정보처리기기에서 제외

- 택시, 버스 등 차량에 설치된 카메라와 같이 이동 가능한 차량에 설치된 경우도 <일정한 공간>에 설

   치된 것으로 볼 수 있으므로 지속성 요건만 갖춘다면 영상정보처리기기에 해당

- 영상정보처리기기를 이용하여 다른 사람들 간의 대화를 녹음하거나 청취하는 것은 "통신비밀보호법"

   상 불법

- 업무를 목적으로 상대방이나 제3자의 동의 없이 그의 대화 내용을 녹음하는 행위는 "개인정보 보호법
   " 위반

- 대통령령이 정하는 장치는 "CCTV", "네트워크 카메라" 이다.

제3조(개인정보 보호 원칙) ① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.

② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.

③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.

④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.

⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.

⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.

⑦ 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.

⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.

1. 이 조는 개인정보 처리와 관련하여 국젝적으로 통용되고 있는 원칙들을 반영하고 있다. 1980년 제정된 

   "OECD 프라이버시 8원칙"과 EU 회원국의 입법기준이 된 "EU 개인정보 보호지침"(1995)을 참고하였고,

   우리나라가 제정 과정에서 결정적인 역할을 한 "APEC 정보 프라이버시 원칙"(2004)도 고려하였다.

2. OECD 프라이버시 8원칙과 개인정보 보호 원칙의 비교

3. 각 법의 개인정보 보호 원칙

제6조(다른 법률과의 관계) 개인정보 보호에 관하여는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「신용정보의 이용 및 보호에 관한 법률」 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.

1. "정보통신망법"과의 관계

1) 중복되지 않은 규정의 적용

- "정보통신망법"의 적용을 받은 정보통신서비스제공자는 "정보통신망법"에 규정된 사항에 대해서

   는 "정보통신망법"을 따라야 하고, "정보통신망법"에 규정되어 있지 아니한 사항에 대해서는 

   "개인정보 보호법"의 규정에 따라야 한다

2) 중복규정의 적용기준

- 더 상세한 법률이 상대 법률과 모순 또는 충돌이 발생하지 않는다면 더 상세한 법률을 따라야 

   한다.

3) "개인정보 보호법" 우선 적용

- "개인정보 보호법"의 규정을 적용해도 "정보통신망법"과 모순되지 아니하고, "개인정보 보호법"

   과 모순되지 아니하고 "개인정보 보호법"의 관련 규정을 배제하려는 명시적 또는 묵시적 의도가

   없으면 "개인정보 보호법"이 우선 적용된다.

4) "정보통신망법" 우선 적용

- 단순히 명칭만 다를 뿐 역할, 기능이 같거나 유사한 경우에는 개별법, 즉 "정보통신망법" 에서 

   규정하고 있는 명칭과 법률을 따르면 된다.

이 경우는 정보통신을 이용해 서비스를 제공하는 자에 한할 것이다.

2. "신용정보법"과의 관계

1) "정보통신망법" 적용처럼 해당 법을 적용받는 업종, 기관의 경우 더 상세한 법률이 우선 적용된다.

인용 및 출처 : 개인정보 보호법. 저자 이창범

개인정보 보호법에서는 "개인정보" 를 아래와 같이 정의하고 있다.

제2조(정의)

1. "개인정보" 란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 

    수 있는 정보 (해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수

    있는 것을 포함한다) 를 말한다.

개인정보를 '성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보' 라고만 규정하고 있고

정보의 성격, 내용, 형식 등에 대해서는 특별한 제한을 두고 있지 않다.

따라서, 개인을 알아볼 수 있는 정보가 되는 모든 종류, 모든 형태의 정보가 개인정보가 될 수 있다.

"객관적 사실", "주관적 사실", "부정확한 정보", "허위의 정보" 라도 개인의 관한 정보이면 개인정보가 된다.

어느 회사, 모 부서의 키 174cm, 몸무게 67kg 남자라는 객관적 정보도 개인정보가 되고 그 부서에 키 크고 뚱뚱하고 쇼핑몰 자주 이용하는 그 사람도 개인정보가 될 수 있다.

모 조합의 조합장이 함바집으로부터 1억 수수했다 라는 거짓 정보도 개인정보가 될 수 있다.

임직원이 업무 목적으로 주고 받은 메일의 내용이나 첨부 파일에 있는 개인에 관한 정보는 "개인정보 보호법" 상의 개인정보가 되지만 개인 또는 가사 목적으로 주고받은 이메일 속의 개인에 관한 정보는 개인정보로 보지 않는다.

개인정보 통제 때문에 회사 컴퓨터내 저장되는 엑셀 파일 등에 개인정보가 있으면 검출하거나 암호화 하는 솔루션이 있지만 업무 목적인지 개인 목적인지에 따라서 통제 대상이 될 수 있고 안 될 수 있다.

이것을 판단하기는 어려운 일이니 기본적으로 회사 컴퓨터에 저장되는 개인정보가 포함되는 걸로 추정되는 파일들은 검출되거나 암호화 대상으로 봐야한다. 회사 컴퓨터는 개인의 목적이 아닌 회사 업무용으로 지급한 것이므로

"개인정보 보호법" 2조 1항에서는 "살아있는 개인" 에 관한 정보만을 개인정보로 보기 때문에 "죽은 사람", "법인, 단체" 에 관한 정보는 개인정보로 보지 않는다.

직간접적인 정보와 개인 사이에 관련성이 있을 때 개인정보로 판단한다.

그 판단 기준은 

(1) 해당 정보의 내용

(2) 해당 정보의 처리목적

(3) 해당 정보의 처리결과

이고 이 세 가지 요소를 분석하여 최소한 한 가지 이상의 관련 요소가 있다고 판단되면 그 정보와 개인사이에 관련성이 존재한다고 볼 수 있다.

B의사가 작성한 A환자의 정신과 진료차트는 A환자의 건강상태를 타나냄(해당 정보의 내용)

의료분쟁 발생 시 B의사의 진료방식을 평가하는 목적으로 사용 가능(해당 정보의 처리목적)

진료결과는 남편C씨의 향후 가정 내에서의 역할 변화에 영향(해당 정보의 처리결과)

따라서 A의 진료차트는 A, B, C 모두와 관련성을 가진다.

"개인정보 보호법" 상 식별의 의미는 다른 사람과의 "구분" 또는 "구별" 의 개념과 같다.

따라서 구별할 수 있는 일반 정보들 - 키, 나이, 얼굴, 헤어스타일, 출생지, 직업, 거주지, 성격 등 - 을 조합하여 간적접으로 식별할 수도 있다.

다른 정보가 결합, 조합해서 특정인을 식별해 낼 수 있는데 법에서는 "쉽게 결합하여" 라는 단어를 사용하고 있지만 이것은 "합리적으로" 라는 의미로 해석해야 한다. 즉, "쉽게" 라는 단어는 과학적 가능성보다는 수단, 방법의 합리성에 무게를 둔다.

식별을 위해 불합리할 정도의 시간, 노력, 비용이 투입되어야 한다면 그런 '단편적인 정보들'은 식별성이 있다고 볼 수 없다.

개인의 유전자 정보 등은 당장 개인을 식별할 수 없으므로 개인정보로 볼 수 없다는 의미다.

y 염색체에 변형이 일어났고 23쌍이 아닌 남자다 라는 것은 쉽게 누군지를 판단할 수 없다.

유동 IP 는 컴퓨터가 부팅시마다 IP 가 달라지는 것인데 대개는 이전에 배정받았던 IP주소를 그대로 재배정 받는 경우가 더 많다. 인터넷 서비스 제공자나 통신망 관리자는 인터넷 접속 날짜, 접속 시간, 배정된 유동 IP주소 등을 파일에 체계적으로 관리하기 때문에 유동 IP주소를 배정받은 가입자를 식별해 내는 것은 어렵지 않다. 따라서 유동 IP 정보는 개인정보로 취급해야 한다.

인터넷 검색 서비스에서 개인화 서비스라 하여 인터넷 이용 행태를 수집, 분석하여 실명에 의해 저장하지 않고 이름, 이메일 정보도 저장하지 않는다. 수집된 행위에 대한 정보는 코드값으로 저장되지만 그 자체가 특정 개인에 관한 정보이고 언제든지 정보 주체를 특정할 수 있는 상태이므로 개인정보로 봐야 한다.

다만, 서비스 제공자가 이용자의 행태를 분석하지 아니하고 통계적인 방법으로 이용자의 이용 행태를 수집, 분석해 놓은 정보는 정보주체를 특정할 수 없어 개인정보라 할 수 없다.

서점 등의 홈페이지에서는 이 책을 산 사람들이 추가 구매한 책 등으로 정보를 보여주고 있다. 결국 이런 것들이 위에 해당하는 것이 된다.

최근 증권가에서는 쇼셜 트레이딩이라고 해서 고수들의 매매 패턴을 볼 수 있거나 추적 매매 기능을 도입하고 있다. 이런 개인의 매매 정보를 다른 투자자들한테 오픈할 수 있도록 사전에 협약하지 않고 한다면 그것은 개인정보 위반이 될 것이고 A 종목을 매수한 사람들이 평균적으로 많이 매수한 또 다른 종목은 B 다라고 하면 개인정보 위반이 아니다.