목적별 최소한의 개인정보 수집이 핵심, 법적 근거 등 예외사항도 존재
개인정보보호법 개정으로 온·오프라인 통합...안전 보호조치 동일하게 강화
공공기관, 권력기관으로 최소한의 개인정보 처리 원하는 정보 주체자 입장 고려해야
[보안뉴스 이소미 기자] 그간 공공기관 업무와 관련해 ‘개인정보 수집 출처 고지’가 미흡하거나 적정 범위 외에 ‘과도한 개인정보 수집 문제’ 등으로 인한 우려가 항상 존재해 왔다. 그러나 공공기관은 국민의 권리·의무와 밀접하게 연관돼 있기 때문에 개인정보보호 원칙을 보다 엄격히 준수해야 할 의무를 가진다.
이러한 가운데 개인정보보호위원회(이하 개인정보위)는 지난해 말 공공기관이 개인정보를 보다 안전하게 보호하면서도 업무는 원활하게 수행할 수 있도록 ‘개인정보보호 가이드라인 공공기관편’을 발간했다. 이는 여러 감사·수사·행정조사와 관련해 국민들의 번거로움은 덜고 불필요한 분쟁을 줄여 업무 효율성은 높임으로써 개인정보 침해를 효과적으로 예방하기 위한 목적으로 마련됐다. 이에 <보안뉴스>는 개인정보보호 가이드라인 ‘공공기관편’에서 제시하는 개인정보보호 원칙 7가지를 짚어봤다.
[이미지=gettyimagesbank]
원칙 1. 개인정보 처리·활용 시 목적에 따른 ‘최소한’의 개인정보 수집만
개인정보 수집·처리에 대한 명확한 목적과 해당 범위 내에서 최소한의 개인정보만을 적법하게 수집하는 것을 원칙으로 한다. 하지만 예외적으로 법률·대통령령·총리령·부령·조례규칙 등의 법령에 근거해 해당 개인정보가 필요한 경우 수집·처리가 가능하며 꼭 필요한 범위 내에서는 개인정보 수집이 가능하다. 또한 이와 관련해 개인정보위 심의·의결을 거친 경우 목적 외 이용·제공도 가능하다. 다만 개인정보 수집 관련 소송 발생 시 해당 수집 건에 대한 ‘입증 책임’은 개인정보처리자가 부담하는 것이 원칙이며 전혀 상관없는 대상까지 연루돼 피해를 입힐 수 있는 ‘제3자의 이익을 부당하게 침해할 우려가 있는 경우’를 제외하고 가능하다.
특히 공공기관이 ‘민감정보·고유식별정보’를 다루는 경우, 법령상 주민등록번호는 법률·대통령령 등에서 요구·허용한 경우만 처리 가능하다. 민감정보로 ‘생체인식정보’, ‘인종·민족 정보’도 포함되지만 개인정보보호법(이하 보호법) 제18조 제2항 제5호부터 제9호까지의 규정에 해당하는 경우 공공기관은 민감정보로 보지 않는다.
또한 보유기간 경과나 불필요하게 된 개인정보는 지체없이 ‘파기’하는 것이 원칙이나 공공기록물법·전자상거래법 등에 법률 목적에 우선해 ‘보관조치’ 할 수 있다.
원칙 2. 고정형·이동형 영상정보 처리기기 목적에 따른 설치·운영 및 안내 필요
CCTV 등의 ‘고정형 기기’는 시설 안전·관리, 화재 예방 등 보호법이 정한 목적에 해당되는 경우에만 설치할 수 있다. 드론·스마트폰 등의 ‘이동형 기기’의 경우 법령 등에 따른 업무 수행이나 인명 구조·구급 등의 긴급 상황 외에는 누구나 제한 없이 출입할 수 있는 ‘공개된 장소’에서만 촬영이 가능하다. 또한 설치 및 촬영 사실에 대해 불빛·소리·안내판 등으로 알려야만 한다.
원칙 3. 개인정보 취급자 범위 제한 및 적절한 관리·감독 이행
개인정보의 안전한 관리를 위해 개인정보 처리 업무를 담당하는 ‘개인정보 취급자’는 최소한의 범위 제한을 뒀다. 예를 들면, 회사 직원 수가 100명이라는 가정 하에 개인정보 취급자는 2명 정도로 추려 개인정보 처리 업무를 맡긴다는 의미다. 이들을 대상으로 안전한 개인정보 관리·감독을 위해 정기적인 교육을 의무적으로 실시하도록 돼 있으나 처벌 대상은 아니다. 다만, 개인정보 유출 등의 사고 발생 시 성실한 교육 진행 여부가 경감 요소로도 작용할 수 있기 때문에 중요시 봐야 할 부분이다.
원칙 4. 개인정보 유출 방지를 위한 기술적·관리적·물리적 안전 보호조치 이행
우선적으로 개인정보 취급자가 개인정보 최소한의 수집 및 적정한 처리 업무를 이행할 수 있도록 관리·감독·교육에 대한 사항을 담은 ‘내부관리계획’을 수립 및 이행해야 한다. 또한 지난해 9월부터 시행된 개정 보호법에 따라 온·오프라인 개념이 통합되면서 모두 동일하게 기술적·물리적 조치를 마련해야 한다. 기술적 조치로 △접근통제 및 접근권한 관리 정책 수립·이행 △암호화 기술 적용 △접속기록 보관 및 접속기록의 위·변조 방지 △보안프로그램 설치 및 최신상태 유지 등을 취해야 하며, 물리적 조치로는 화재·재난으로부터의 안전과 자료 탈취 예방을 위한 △보관시설 마련 △잠금장치 설치 등이 있다.
원칙 5. 개인정보 파일 등록 및 영향평가 의무 실시 등 준수사항
개인정보를 쉽게 검색할 수 있는 엑셀·DB 형식의 개인정보 파일을 운용하는 개인정보 처리자는 이를 운용 시에 개인정보위에 등록해야 한다. 단, 범죄 수사 등의 경우는 해당하지 않는 경우도 있다. 또한 일정 규모 이상의 개인정보 파일을 운영하기 전 ‘영향평가’를 의무적으로 실시해야 한다. 개인정보 영향평가는 개인정보 침해 관련 위험요인을 분석하고 개선안을 도출해 효과적으로 예방하기 위해 진행되는 평가다.
일정 규모에 대한 기준은 민감정보·고유식별 정보 파일은 5만명 이상, 일반 개인정보 파일은 100만명 이상 운용하는 경우가 해당된다. 이외에도 지자체·복지부 등 업무상 다른 개인정보 파일과 연계하는 경우 50만명 이상에 해당되면 영향평가 의무 실시 대상자가 된다.
원칙 6. 개인정보 주체자의 자기결정권 및 권리 보장
개인정보 주체자는 개인정보 자기결정권 즉, 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 이용되도록 할 것인지 스스로 결정할 권리를 갖는다. 따라서 개인정보 처리자에게 △개인정보 열람 △정정·삭제 △처리정지 요구 시 이에 응해야 한다. 물론 법률에 따라 열람이 제한되거나 감사·조사와 관련해 업무 진행이 불가능한 경우는 제한하거나 개인정보 주체자의 처리정지 요구를 거절할 수 있다.
원칙 7. 개별 법률의 특별한 규정 등에 따른 처리
‘개인정보 보호법’은 개인정보 처리·보호에 관한 ‘일반법’이기 때문에 다른 법률에 특별한 규정이 있으면 우선적으로 그 법률을 따르도록 규정돼 있다. 특히 보호법은 다른 개별법들과도 조화롭게 해석이 이루어지는 게 중요하기 때문에 법률 상 근거로 개인정보 수집·이용·제공할 수 있다.
이번 가이드라인을 발간한 개인정보위 측은 “어떤 측면에서 공공기관은 권력기관으로 최소한의 개인정보 처리를 원하는 정보 주체자의 입장을 고려한 업무 처리가 중요하다”면서, “업무 수행 시 개인정보 보호법을 준수할 수 있도록 이번 가이드라인을 만들게 됐다”고 설명했다. 이어 “업무 진행 시 보호법 준수를 위해 더 많은 관심을 갖는 기회가 됐으면 좋겠다”고 덧붙였다.
[이소미 기자(boan4@boannews.com)]
개인정보보호법 개정으로 온·오프라인 통합...안전 보호조치 동일하게 강화
공공기관, 권력기관으로 최소한의 개인정보 처리 원하는 정보 주체자 입장 고려해야
[보안뉴스 이소미 기자] 그간 공공기관 업무와 관련해 ‘개인정보 수집 출처 고지’가 미흡하거나 적정 범위 외에 ‘과도한 개인정보 수집 문제’ 등으로 인한 우려가 항상 존재해 왔다. 그러나 공공기관은 국민의 권리·의무와 밀접하게 연관돼 있기 때문에 개인정보보호 원칙을 보다 엄격히 준수해야 할 의무를 가진다.
이러한 가운데 개인정보보호위원회(이하 개인정보위)는 지난해 말 공공기관이 개인정보를 보다 안전하게 보호하면서도 업무는 원활하게 수행할 수 있도록 ‘개인정보보호 가이드라인 공공기관편’을 발간했다. 이는 여러 감사·수사·행정조사와 관련해 국민들의 번거로움은 덜고 불필요한 분쟁을 줄여 업무 효율성은 높임으로써 개인정보 침해를 효과적으로 예방하기 위한 목적으로 마련됐다. 이에 <보안뉴스>는 개인정보보호 가이드라인 ‘공공기관편’에서 제시하는 개인정보보호 원칙 7가지를 짚어봤다.
[이미지=gettyimagesbank]
원칙 1. 개인정보 처리·활용 시 목적에 따른 ‘최소한’의 개인정보 수집만
개인정보 수집·처리에 대한 명확한 목적과 해당 범위 내에서 최소한의 개인정보만을 적법하게 수집하는 것을 원칙으로 한다. 하지만 예외적으로 법률·대통령령·총리령·부령·조례규칙 등의 법령에 근거해 해당 개인정보가 필요한 경우 수집·처리가 가능하며 꼭 필요한 범위 내에서는 개인정보 수집이 가능하다. 또한 이와 관련해 개인정보위 심의·의결을 거친 경우 목적 외 이용·제공도 가능하다. 다만 개인정보 수집 관련 소송 발생 시 해당 수집 건에 대한 ‘입증 책임’은 개인정보처리자가 부담하는 것이 원칙이며 전혀 상관없는 대상까지 연루돼 피해를 입힐 수 있는 ‘제3자의 이익을 부당하게 침해할 우려가 있는 경우’를 제외하고 가능하다.
특히 공공기관이 ‘민감정보·고유식별정보’를 다루는 경우, 법령상 주민등록번호는 법률·대통령령 등에서 요구·허용한 경우만 처리 가능하다. 민감정보로 ‘생체인식정보’, ‘인종·민족 정보’도 포함되지만 개인정보보호법(이하 보호법) 제18조 제2항 제5호부터 제9호까지의 규정에 해당하는 경우 공공기관은 민감정보로 보지 않는다.
또한 보유기간 경과나 불필요하게 된 개인정보는 지체없이 ‘파기’하는 것이 원칙이나 공공기록물법·전자상거래법 등에 법률 목적에 우선해 ‘보관조치’ 할 수 있다.
원칙 2. 고정형·이동형 영상정보 처리기기 목적에 따른 설치·운영 및 안내 필요
CCTV 등의 ‘고정형 기기’는 시설 안전·관리, 화재 예방 등 보호법이 정한 목적에 해당되는 경우에만 설치할 수 있다. 드론·스마트폰 등의 ‘이동형 기기’의 경우 법령 등에 따른 업무 수행이나 인명 구조·구급 등의 긴급 상황 외에는 누구나 제한 없이 출입할 수 있는 ‘공개된 장소’에서만 촬영이 가능하다. 또한 설치 및 촬영 사실에 대해 불빛·소리·안내판 등으로 알려야만 한다.
원칙 3. 개인정보 취급자 범위 제한 및 적절한 관리·감독 이행
개인정보의 안전한 관리를 위해 개인정보 처리 업무를 담당하는 ‘개인정보 취급자’는 최소한의 범위 제한을 뒀다. 예를 들면, 회사 직원 수가 100명이라는 가정 하에 개인정보 취급자는 2명 정도로 추려 개인정보 처리 업무를 맡긴다는 의미다. 이들을 대상으로 안전한 개인정보 관리·감독을 위해 정기적인 교육을 의무적으로 실시하도록 돼 있으나 처벌 대상은 아니다. 다만, 개인정보 유출 등의 사고 발생 시 성실한 교육 진행 여부가 경감 요소로도 작용할 수 있기 때문에 중요시 봐야 할 부분이다.
원칙 4. 개인정보 유출 방지를 위한 기술적·관리적·물리적 안전 보호조치 이행
우선적으로 개인정보 취급자가 개인정보 최소한의 수집 및 적정한 처리 업무를 이행할 수 있도록 관리·감독·교육에 대한 사항을 담은 ‘내부관리계획’을 수립 및 이행해야 한다. 또한 지난해 9월부터 시행된 개정 보호법에 따라 온·오프라인 개념이 통합되면서 모두 동일하게 기술적·물리적 조치를 마련해야 한다. 기술적 조치로 △접근통제 및 접근권한 관리 정책 수립·이행 △암호화 기술 적용 △접속기록 보관 및 접속기록의 위·변조 방지 △보안프로그램 설치 및 최신상태 유지 등을 취해야 하며, 물리적 조치로는 화재·재난으로부터의 안전과 자료 탈취 예방을 위한 △보관시설 마련 △잠금장치 설치 등이 있다.
원칙 5. 개인정보 파일 등록 및 영향평가 의무 실시 등 준수사항
개인정보를 쉽게 검색할 수 있는 엑셀·DB 형식의 개인정보 파일을 운용하는 개인정보 처리자는 이를 운용 시에 개인정보위에 등록해야 한다. 단, 범죄 수사 등의 경우는 해당하지 않는 경우도 있다. 또한 일정 규모 이상의 개인정보 파일을 운영하기 전 ‘영향평가’를 의무적으로 실시해야 한다. 개인정보 영향평가는 개인정보 침해 관련 위험요인을 분석하고 개선안을 도출해 효과적으로 예방하기 위해 진행되는 평가다.
일정 규모에 대한 기준은 민감정보·고유식별 정보 파일은 5만명 이상, 일반 개인정보 파일은 100만명 이상 운용하는 경우가 해당된다. 이외에도 지자체·복지부 등 업무상 다른 개인정보 파일과 연계하는 경우 50만명 이상에 해당되면 영향평가 의무 실시 대상자가 된다.
원칙 6. 개인정보 주체자의 자기결정권 및 권리 보장
개인정보 주체자는 개인정보 자기결정권 즉, 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 이용되도록 할 것인지 스스로 결정할 권리를 갖는다. 따라서 개인정보 처리자에게 △개인정보 열람 △정정·삭제 △처리정지 요구 시 이에 응해야 한다. 물론 법률에 따라 열람이 제한되거나 감사·조사와 관련해 업무 진행이 불가능한 경우는 제한하거나 개인정보 주체자의 처리정지 요구를 거절할 수 있다.
원칙 7. 개별 법률의 특별한 규정 등에 따른 처리
‘개인정보 보호법’은 개인정보 처리·보호에 관한 ‘일반법’이기 때문에 다른 법률에 특별한 규정이 있으면 우선적으로 그 법률을 따르도록 규정돼 있다. 특히 보호법은 다른 개별법들과도 조화롭게 해석이 이루어지는 게 중요하기 때문에 법률 상 근거로 개인정보 수집·이용·제공할 수 있다.
이번 가이드라인을 발간한 개인정보위 측은 “어떤 측면에서 공공기관은 권력기관으로 최소한의 개인정보 처리를 원하는 정보 주체자의 입장을 고려한 업무 처리가 중요하다”면서, “업무 수행 시 개인정보 보호법을 준수할 수 있도록 이번 가이드라인을 만들게 됐다”고 설명했다. 이어 “업무 진행 시 보호법 준수를 위해 더 많은 관심을 갖는 기회가 됐으면 좋겠다”고 덧붙였다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
