게시일 : 2025-07-14
개인정보보호위원회에서 기존의 '개인정보보호법 해설서(2020)'를 대체할 '개인정보 처리 통합 안내서(2025.7.)'를 발간하였습니다.
-머리말-
2023년 개인정보 처리 체계가 전면 개편되어 개인정보 처리와 관련한 개편 내용에 대하여 현장에서 이해하기 쉽도록 사례를 중심으로 체계적인 안내가 필요한 상황입니다.
이에 따라 2020년 발간한 “개인정보 보호 법령 및 지침・고시 해설”(이하 “법 해설서”)과
“2023년 개인정보 보호법 및 시행령 개정사항 안내” (2023.12.)를 중심으로
현장에서 요청한 사례 등을 추가하여 개인정보 처리의 전반적인 내용을 담은 “개인정보 처리 통합 안내서”를 마련하였습니다.
개인정보 처리 업무에 참고하시기 바랍니다.
O [CELA] 주요 쟁점 정리
| No | 주제 | 주요 내용 요약 | 페이지 참조 |
| 1 | 필수 동의 삭제 | - 필수 동의 대신 고지·확인 절차 전환(권고)
- 계약이행 목적 정보는 동의 대상 제외하고 처리방침에 명시 | 20, 126, 127, 128, 132 |
| 2 | 개인정보 수집・이용
(법령상 제공) | - 기업이 공공기관의 자료 제출을 요구 받을 시, 당초 '수집한 목적 외 제공'에 해당
- 별도 검토가 필요. 정보주체·제3자 이익 침해 우려 시 거부 가능 | 29 |
| 3 | 위탁 vs 제3자 제공 구분 | - 개인정보 이전 시, 법적 성격 사전 판단 및 검토 필요
- 제3자 제공에 해당 시, 근거 확보 필요 | 74 |
| 4 | 동의 없이 추가 이용·제공 | - 관련성·예측가능성·이익침해 여부·안전조치 충족 필요
- 중개서비스는 관련성·예측가능성 통상 충족, 지속시 처리방침 공개·CPO 점검 | 76, 79, 101 |
| 5 | 목적 외 제공 제한 해석 | - ‘다른 법률 특별 규정’은 상대방(제3자)의 제공 의무·제재 규정까지 있어야 인정
- 공공기관 요구 시 개별 법률 확인 | 86, 87 |
| 6 | 수집 목적 내 이용 (정당한 이익) | - 동의 없이 FDS 등 부정행위 탐지에 기존 기록 활용 가능 | 100 |
| 7 | 가명·익명 기반 목적 외 이용 | - AI 개발 등 위해 가명처리 후 동의 없이 이용 가능(보이스피싱·의료 AI 등) | 101 |
| 8 | 파기의무 발생 | - 불필요 시점·기간을 사전에 고지해 예측가능성 부여 필요 | 105 |
| 9 | 파기 시기 | - 불필요해진 후 5일 이내 파기(표준 개인정보 보호지침) | 108 |
| 10 | 법정 보관 개인정보 분리 | - DB와 분리·권한 최소화, 다른 목적 재이용 금지, 처리방침에 공개 | 110 |
| 11 | 맞춤형 컨텐츠의 추천 | - 본질적 계약 내용·약관 명시·충분 고지 시, 별도 동의 없이 가능 | 47, 127 |
| 12 | 서면 동의 시, 글씨 크기 | - 9pt 규정은 삭제되었지만, 실질적으로 알아보기 어렵게 해서는 안 됨 | 128 |
| 13 | 아동 연령 확인 | - 모든 처리에 필수 아님. 아동지향적 서비스 유형이면 확인 필요 | 138 |
| 14 | 민감정보 공개 위험 | - 기본값 비공개, 사용자가 스스로 공개 여부 선택 가능하도록 적용 | 146 |
| 15 | 고유식별정보 정기조사 대상 | - 민간도 5만명 이상의 고유식별정보 처리 시, 정기조사 대상자 해당 | 153 |
| 16 | 주민등록번호 암호화 의무 | - 영향평가 결과, 위험도 분석 결과와 무관하게 암호화 필수 | 158 |
| 17 | 단체보험용 임직원 주민등록번호 처리 | - 보험업법 시행령·상법 근거로 가능 | 159 |
| 18 | 채용 시, 주민등록번호 수집 가능 여부 | - 법률근거 없으므로 불가. 최종합격 후 가능 | 159 |
| 19 | 재위탁에 대한 동의 시, 형식 | - 형식 제한 없음. 계약서에 범위·간소화 절차 규정 후 사후 승인 등 가능 | 171, 178 |
| 20 | 위탁업무·수탁자 공개 | - 1차 수탁자 링크로 2차 정보 제공 가능
- 대규모·빈번 변경 시 유형 중심 안내 가능 | 172 |
| 21 | 수탁자 관리·감독 방법 | - ISMS-P, 전문 기관 등 주기적 점검으로 현장점검 생략 가능 | 175 |
| 22 | 클라우드 사업자의 수탁사 해당 여부 | - 개별 서비스 목적·통제권·개인정보 처리 관여 시, 수탁사 해당
- 단순 물리적 장소 제공(개발용, 인프라 운영) 시, 수탁사 미해당 | 180 |
| 23 | 위・수탁자의 책임 경감 사유 | - 수탁자가 주기적 점검·개선 알리면 책임 경감 가능
- ISMS-P, CSAP 등 취득 | 180 |
| 24 | 수탁업체의 개인정보 보유 기간 공개 | - 공개 의무는 없으나 계약서에 반영 필요
- 수탁자는 위탁기간 초과하여 개인정보 처리 및 보유 불가 | 182 |
| 25 | 법령 근거로 수집한 개인정보의 위탁 | - 동의 없이 수집해도 위・수탁 문서 작성 필요 | 182 |
| 26 | 다수 수탁자의 경우 감독 | - 현장·비대면 등 방법 자율 선택 | 182 |
| 27 | 시스템 유지보수의 위・수탁 해당 여부 | - 원칙적으로 유지 보수는 위・수탁 해당
- 개인정보 접근 없는 단순 부품 교체는 위탁 아님 | 182 |
[표지]
[목차]
Ⅰ. 개인정보 보호의 목적과 원칙 ····· 7
1. 개인정보 보호의 목적(법 제1조)····· 8
‣ 법 제2조 제1호의 “개인정보”····· 9
2. 개인정보 보호 원칙(법 제3조)····· 13
3. 다른 법률과의 관계(법 제6조)····· 16
Ⅱ. 개인정보의 수집・이용과 제공····· 19
1. 개인정보의 수집・이용(법 제15조)····· 22
2. 개인정보의 수집 제한(법 제16조)····· 61
3. 개인정보의 목적 범위 내 제공(법 제17조)····· 66
4. 개인정보의 추가적 이용 및 제공(법 제15조 제3항, 제17조 제4항)····· 76
5. 개인정보의 목적 외 이용・제공 제한(법 제18조)····· 81
6. 개인정보를 제공받은 자의 이용・제공 제한(법 제19조)····· 97
‣ 서비스 이용자 개인정보의 이용 범위 판단기준····· 100
Ⅲ. 개인정보의 파기(법 제21조)····· 103
Ⅳ. 동의를 받는 방법(법 제22조)····· 113
Ⅴ. 특별한 보호····· 133
1. 아동의 개인정보 보호(법 제22조의2)····· 134
2. 민감정보의 처리 제한(법 제23조)····· 140
3. 고유식별정보의 처리 제한(법 제24조)····· 149
4. 주민등록번호 처리의 제한(법 제24조의2)····· 155
Ⅵ. 업무위탁에 따른 개인정보의 처리 제한(법 제26조)····· 161
‣ 표준 개인정보 처리 위탁 계약서(예시)····· 184
Ⅶ. 영업양도 등에 따른 개인정보의 이전 제한(법 제27조)····· 187
Ⅷ. 기타 사항····· 195
1. 개인정보 파기 특례규정 삭제····· 196
2. 개인정보보호위원회 안내서 현황····· 200
출처 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=11352#LINK
미리보기 : https://drive.google.com/file/d/1xmzgwyQ3-UOkCsRqdS4A1Ujc1AWqPWFi/view?usp=sharing
게시일 : 2025-07-14
개인정보보호위원회에서 기존의 '개인정보보호법 해설서(2020)'를 대체할 '개인정보 처리 통합 안내서(2025.7.)'를 발간하였습니다.
-머리말-
2023년 개인정보 처리 체계가 전면 개편되어 개인정보 처리와 관련한 개편 내용에 대하여 현장에서 이해하기 쉽도록 사례를 중심으로 체계적인 안내가 필요한 상황입니다.
이에 따라 2020년 발간한 “개인정보 보호 법령 및 지침・고시 해설”(이하 “법 해설서”)과
“2023년 개인정보 보호법 및 시행령 개정사항 안내” (2023.12.)를 중심으로
현장에서 요청한 사례 등을 추가하여 개인정보 처리의 전반적인 내용을 담은 “개인정보 처리 통합 안내서”를 마련하였습니다.
개인정보 처리 업무에 참고하시기 바랍니다.
O [CELA] 주요 쟁점 정리
- 계약이행 목적 정보는 동의 대상 제외하고 처리방침에 명시
(법령상 제공)
- 별도 검토가 필요. 정보주체·제3자 이익 침해 우려 시 거부 가능
- 제3자 제공에 해당 시, 근거 확보 필요
- 중개서비스는 관련성·예측가능성 통상 충족, 지속시 처리방침 공개·CPO 점검
- 공공기관 요구 시 개별 법률 확인
- 대규모·빈번 변경 시 유형 중심 안내 가능
- 단순 물리적 장소 제공(개발용, 인프라 운영) 시, 수탁사 미해당
- ISMS-P, CSAP 등 취득
- 수탁자는 위탁기간 초과하여 개인정보 처리 및 보유 불가
- 개인정보 접근 없는 단순 부품 교체는 위탁 아님
[표지]
[목차]
Ⅰ. 개인정보 보호의 목적과 원칙 ····· 7
1. 개인정보 보호의 목적(법 제1조)····· 8
‣ 법 제2조 제1호의 “개인정보”····· 9
2. 개인정보 보호 원칙(법 제3조)····· 13
3. 다른 법률과의 관계(법 제6조)····· 16
Ⅱ. 개인정보의 수집・이용과 제공····· 19
1. 개인정보의 수집・이용(법 제15조)····· 22
2. 개인정보의 수집 제한(법 제16조)····· 61
3. 개인정보의 목적 범위 내 제공(법 제17조)····· 66
4. 개인정보의 추가적 이용 및 제공(법 제15조 제3항, 제17조 제4항)····· 76
5. 개인정보의 목적 외 이용・제공 제한(법 제18조)····· 81
6. 개인정보를 제공받은 자의 이용・제공 제한(법 제19조)····· 97
‣ 서비스 이용자 개인정보의 이용 범위 판단기준····· 100
Ⅲ. 개인정보의 파기(법 제21조)····· 103
Ⅳ. 동의를 받는 방법(법 제22조)····· 113
Ⅴ. 특별한 보호····· 133
1. 아동의 개인정보 보호(법 제22조의2)····· 134
2. 민감정보의 처리 제한(법 제23조)····· 140
3. 고유식별정보의 처리 제한(법 제24조)····· 149
4. 주민등록번호 처리의 제한(법 제24조의2)····· 155
Ⅵ. 업무위탁에 따른 개인정보의 처리 제한(법 제26조)····· 161
‣ 표준 개인정보 처리 위탁 계약서(예시)····· 184
Ⅶ. 영업양도 등에 따른 개인정보의 이전 제한(법 제27조)····· 187
Ⅷ. 기타 사항····· 195
1. 개인정보 파기 특례규정 삭제····· 196
2. 개인정보보호위원회 안내서 현황····· 200
출처 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=11352#LINK
미리보기 : https://drive.google.com/file/d/1xmzgwyQ3-UOkCsRqdS4A1Ujc1AWqPWFi/view?usp=sharing