3.1.1. 개인정 수집 제한수집ㆍ이용 (개정 23.11.23.)

개인정보는 서비스 제공을 위하여 필요한 최소한의 정보를 적법하고 정당하게 수집·이용하여야 하며, 필수정보 이외의 개인정보를 수집하는 경우에는 선택항목으로 구분하여 해당 정보를 제공하지 않는다는 이유로 서비스 제공을 거부하지 않아야 한다.정보주체의 동의를 근거로 수집하는 경우에는 적법한 방법으로 정보주체의 동의를 받아야 한다. 또한 만 14세 미 만 아동의 개인정보를 수집하는 경우에는 그 법정대리인 의 동의를 받아야 하며 법정대리인이 동의하였는지를 확인하여야 한다. (개정 23.11.23.)

 

1. 개인정보를 수집하는 경우 정보주체 동의, 법령상 의무준수, 계약 체결·이행 등 적법 요건에 따라 수집하고 있는가? (개정 23.11.23.)

상세 기준

 - 개인정보 수집 경로 별로 개인정보 수집의 적법 요건을 명확히 식별하고, 이를 입증할 수 있도록 관련 근거를 기록·관리

  : 예를 들어, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 정보주체 동의 없이 개인정보를 수집하는 경우, 해당 법률 또는 법령의 조항 등 관련 근거를 문서화

 - 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용 가능

  : 개인정보의 수집이 가능한 경우(개인정보 보호법 제15조제1항)

   1. 정보주체의 동의를 받는 경우

   2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

   3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

   4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우

   5. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

   6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

   7. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

(개정 23.11.23.)

 

2. 정보주체에게 개인정보 수집 동의를 받는 경우 동의방법 및 시점은 적절하게 되어 있는가? (개정 23.11.23.)

상세 기준

 - 개인정보 수집 동의는 수집매체의 특성에 따라 다음의 사항을 고려하여 적절한 방법으로 정보주체의 동의를 받아야 함

  : 개인정보 처리에 대한 동의를 받는 방법(개인정보 보호법 시행령 제17조제2항)

   1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법

   2. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법

   3. 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법

   4. 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법

   5. 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법

   6. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법

 - 회원가입 단계에서 개인정보를 미리 포괄적으로 수집하지 말아야 하며, 해당 정보가 필요한 시점에 수집하여야 함

  : 서비스 개시를 위하여 필요한 개인정보에 한하여 수집·이용 동의를 받아야 하며, 이후에 제공되는 서비스의 경우 해당 서비스 제공시점에 동의를 받아야 함

  : 웹사이트 회원가입 시 웹사이트 내 특정 서비스 이용에만 필요한 개인정보는 해당 서비스 이용시점에 수집

  : 다만, 반복적인 서비스의 경우로서 최초 서비스 이용 시점에 선택 동의 항목으로 분류하여 동의를 받는 경우에는 수집·이용 가능

(개정 23.11.23.)

 

3. 정보주체에게 개인정보 수집 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한 내용에 대해 알아보기 쉽게 표시하고 있는가? (개정 23.11.23.)

상세 기준

 - 정보주체로부터 개인정보 수집·이용 동의를 받을 때에는 4가지의 법정 고지사항을 구체적이고 명확하게 알리고 동의를 받아야 함

  : 개인정보의 수집·이용 동의 시 고지사항(개인정보 보호법 제15조제2항)

   1. 개인정보의 수집·이용 목적

   2. 수집하려는 개인정보의 항목

   3. 개인정보의 보유 및 이용기간

   4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용

 - 정보주체의 동의가 적법하기 위해서는 정보주체의 자유로운 의사에 따른 동의 여부 결정, 동의 내용의 구체성 및 명확성 등 적법 요건을 모두 충족하여야 함

  : 정보주체의 동의를 받을 때 충족해야 하는 조건(개인정보 보호법 시행령 제17조제1항)

   1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것 

   2. 동의를 받으려는 내용이 구체적이고 명확할 것

   3. 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것

   4. 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것

    ※ 단, 본 규정은 2024년 9월 15일부터 시행

 - 개인정보 보호법 제22조(동의를 받는 방법)제2항에 따라 개인정보 처리에 대한 동의를 서면(전자문서 및 전자거래기본법 제2조제1호에 따른 전자문서를 포함)으로 받을 때에는 다음과 같이 중요한 내용을 명확히 표시하여 알아보기 쉽게 하여야 함

  : 명확히 표시하여야 하는 중요한 내용(개인정보 보호법 시행령 제17조제3항)

   · 개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실

   · 처리하려는 개인정보 항목 중 민감정보, 여권번호, 운전면허번호, 외국인등록번호

   · 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)

   · 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적

  : 중요한 내용의 표시 방법(개인정보 처리 방법에 관한 고시 제4조)

   · 글씨의 크기, 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것

   · 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것

    ※ 종이 인쇄물, 컴퓨터 표시화면 등 서면 동의를 요구하는 매체의 특성과 정보주체의 이용환경 등을 고려하여 정보주체가 쉽게 알아볼 수 있도록 표시

※ 상세한 내용은 ʻ개인정보 처리 동의 안내서(개인정보 보호위원회)ʼ 참고

(개정 23.11.23.)

 

4. 만 14세 미만 아동의 개인정보에 대해 수집·이용·제공 등의 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받고 있는가? (개정 23.11.23.) 

상세 기준

 - 만 14세 미만 아동의 개인정보를 처리할 필요가 없는 경우에는 적절한 연령확인 절차를 통해 만 14세 미만 아동의 개인정보를 수집하지 않도록 조치

 - 만 14세 미만 아동의 개인정보를 처리할 필요가 있는 경우에는 별도의 수집 동의 양식과 법정대리인 확인 절차를 마련하여 법정대리인의 동의를 받을 수 있도록 조치

  : 법정대리인이 동의했는지를 확인하는 방법(개인정보 보호법 시행령 제17조의2제1항)

   1. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 개인정보처리자가 그 동의 표시를 확인했음을 법정대리인의 휴대전화 문자메시지로 알리는 방법

   2. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 신용카드·직불카드 등의 카드정보를 제공받는 방법

   3. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 휴대전화 본인인증 등을 통하여 본인 여부를 확인하는 방법

   4. 동의 내용이 적힌 서면을 법정대리인에게 직접 발급하거나 우편 또는 팩스를 통하여 전달하고, 법정대리인이 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법

   5. 동의 내용이 적힌 전자우편을 발송하고 법정대리인으로부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법

   6. 전화를 통하여 동의 내용을 법정대리인에게 알리고 동의를 받거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 받는 방법

   7. 그 밖에 제1호부터 제6호까지의 규정에 준하는 방법으로서 법정대리인에게 동의 내용을 알리고 동의의 의사표시를 확인하는 방법

(개정 23.11.23.)

 

5. 법정대리인의 동의를 받기 위하여 필요한 최소한의 개인정보만을 수집하고 있으며, 법정대리인이 자격 요건을 갖추고 있는지 확인하는 절차와 방법을 마련하고 있는가? (개정 23.11.23.) 

상세 기준

 - 법정대리인 동의를 받기 위하여 필요한 최소한의 정보(법정대리인의 성명·연락처에 관한 정보)는 법정대리인의 동의 없이 아동으로부터 직접 수집이 가능함

  : 다만 법정대리인의 성명·연락처를 수집할 때에는 해당 아동에게 자신의 신분과 연락처, 법정대리인의 이름과 연락처를 수집하고자 하는 이유를 알려야 함(표준 개인정보 보호지침 제13조제1항)

  : 아동으로부터 수집한 법정대리인의 개인정보는 동의를 얻기 위한 용도로만 활용하여야 함

- 법정대리인의 동의를 얻기 위해서는 아동이 제공한 정보가 진정한 법정대리인의 정보인지와 법정대리인의 진위 여부를 확인하여야 함

  : 법정대리인의 미성년자 여부 확인

  : 아동과의 나이 차이 확인 등

   ※ (참고)미성년자의 법정대리인

    · 1차적으로 아동의 부모 등 친권자가 법정대리인에 해당(민법 제911조)

    · 미성년자에게 부모가 없거나 부모가 친권을 행사할 수 없는 때에는, 2차적으로 후견인이 법정 대리인이 되며, 후견인은 지정후견인(민법 제931조), 선임후견인(민법 제932조) 순서를 따름

 - 법정대리인이 동의를 거부하거나, 법정대리인의 동의 의사가 확인되지 않은 경우 수집일로부터 5일 이내에 파기하여야 함(표준 개인정보 보호지침 제13조제2항)

(개정 23.11.23.)

 

6. 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항 등의 고지 시 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어로 표현하고 있는가? (개정 23.11.23.) 

상세 기준

 - 아동이 이해하기 쉬운 언어, 그림, 동영상 등 아동 친화적인 방식으로 정보를 투명하게 전달

 - 연령대별 아동의 역량과 이용행태 등을 고려

  ※ 상세한 내용은 ʻ아동·청소년 개인정보 보호 가이드라인(개인정보 보호위원회)ʼ 참고

(개정 23.11.23.)

 

7. 정보주체 및 법정대리인에게 동의를 받은 기록을 보관하고 있는가? (개정 23.11.23.) 

상세 기준

 - 기록으로 남겨야 할 사항 : 동의 일시, 동의 항목, 동의자(법정대리인이 동의한 경우 법정대리인 정보), 동의 방법 등

 - 보존기간 : 회원탈퇴 등으로 인하여 해당 개인정보를 파기할 때까지

(개정 23.11.23.)

 

8. 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 정보주체에게 알리고 있는가? (개정 23.11.23.) 

상세 기준

 - 정보주체의 동의 없이 개인정보 수집·이용이 가능한 경우 : 개인정보 보호법 제15조제1항 제2호부터 제7호에 해당하는 경우

 - 정보주체에게 알려야 할 사항 : 동의 없이 처리할 수 있는 개인정보 항목 및 처리의 법적 근거

 - 정보주체에게 알리는 방법 : 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 서면등의 방법(서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법)으로 정보주체에게 통지

(개정 23.11.23.)

 

9. 정보주체의 동의 없이 개인정보의 추가적인 이용 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립· 이행하고, 추가적인 이용이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가? (개정 23.11.23.) 

상세 기준

 - 개인정보의 추가적인 이용 시 고려사항(개인정보 보호법 시행령 제14조의2제1항)

  1. 당초 수집 목적과 관련성이 있는지 여부

  2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부

  3. 정보주체의 이익을 부당하게 침해하는지 여부

  4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부

(개정 23.11.23.)

 

    운영 내역(증적) 예시 (개정 23.11.23.)

 

  • 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 모바일앱 회원가입 화면, 이벤트 참여 등)
  • 오프라인 개인정보 수집 양식(회원가입신청서 등)
  • 개인정보 수집 동의 기록(회원 데이터베이스 등)
  • 법정대리인 동의 기록
  • 개인정보 처리방침

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.) 

 

  1. 쇼핑몰 홈페이지에서 회원가입 시 회원가입에 필요한 개인정보 외에 추후 물품 구매 시 필요한 결제·배송 정보를 미리 필수 항목으로 수집하는 경우
  2. 개인정보 보호법을 적용받는 개인정보처리자가 개인정보 수집 동의 시 고지 사항에 ʻ동의 거부 권리 및 동의 거부에 따른 불이익 내용ʼ을 누락한 경우
  3. 개인정보 수집 동의 시 수집하는 개인정보 항목을 구체적으로 명시하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하는 경우
  4. Q&A, 게시판을 통하여 비회원의 개인정보(이름, 이메일, 휴대폰번호)를 수집하면서 개인정보 수집 동의 절차를 거치지 않은 경우
  5. 만 14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의를 받지 않은 경우
  6. 만 14세 미만 아동에 대하여 서비스를 제공하고 있지 않지만, 회원가입 단계에서 입력받는 생년월일을 통하여 나이 체크를 하지 않아 법정대리인 동의 없이 가입된 만 14세 미만 아동 회원이 존재한 경우
  7. 법정대리인의 진위 여부를 확인하는 절차가 미흡하여 미성년자 등 아동의 법정대리인으로 보기 어려운데도 법정대리인 동의가 가능한 경우
  8. 만 14세 미만 아동으로부터 법정대리인 동의를 받는 목적으로 법정대리인의 개인정보(이름,휴대폰번호)를 수집한 이후 법정대리인의 동의가 장기간 확인되지 않았음에도 이를 파기하지 않고 계속 보유하고 있는 경우
  9. 법정대리인 동의에 근거하여 만 14세 미만 아동의 개인정보를 수집하였으나, 관련 기록을 보존하지 않아 법정대리인 동의와 관련된 사항(법정대리인 이름, 동의 일시 등)을 확인할 수 없는 경우
  10. (CELA)개인정보 수집 후 동의를 적용하여 동의 시점이 적절하지 않은 경우
  11. (CELA)개인정보 수집 후 동의를 적용하여 동의 시점이 적절하지 않은 경우
  12. (CELA)개인정보 수집·이용 동의 시 중요 내용에 대한 강조 표기가 누락된 경우
  13. (CELA)동의를 거부하여도 동의한 것으로 시스템 상 적용이 되는 경우
  14. (CELA)개인정보 수집·이용 동의 절차에서 법적인 준수 요건을 반영하지 않은 경우

3.1.2. 개인정보 수집 동의제한

개인정보는 정보주체(이용자)의 동의를 받거나 관계 법령에 따라 적법하게 수집하여야 하며, 만 14세 미만 아동의 개인정보를 수집하려는 경우에는 법정대리인의 동의를 받아야 한다. 개인정보를 수집하는 경우 처리 목적에 필요한 최소한의 개인정보만을 수집하여야 하며, 정보주체가 선택적으로 동의할 수 있는 사항 등에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하지 않아야 한다. (개정 23.11.23.) 

 

1. 개인정보를 수집하는 경우 그 목적에 필요한 범위에서 최소한의 정보만을 수집하고 있는가? (개정 23.11.23.)

상세 기준

 - 정보주체의 동의를 받거나 법률 근거, 법령상 의무준수, 계약의 체결·이행 등을 근거로 정보주체 동의 없이 개인정보를 수집하는 경우에도 그 목적에 필요한 최소한의 개인정보만을 수집하여야 함

 - 최소한의 개인정보에 대한 입증책임은 개인정보처리자가 부담하므로 필수로 수집하는 정보에 대하여 서비스 제공 등에 필요한 최소한의 개인정보임을 입증할 수 있어야 함(이때 최소한의 개인정보란 해당 서비스의 본질적 기능을 위하여 반드시 필요한 정보를 말함)

 ※ 최소정보(예시)

  · 쇼핑업체가 고객에게 상품을 배송하기 위하여 수집한 이름, 주소, 전화번호 등은 필요 최소한의 개인정보라고 할 수 있으나, 직업, 생년월일 등 배송과 관련 없는 개인정보를 요구하는 것은 최소정보의 범위를 벗어난 것임

  · 경품 행사에 응모한 고객에게 경품추첨 사실을 알리는데 필요한 개인정보 외에 응모자의 성별, 자녀 수, 동거 여부 등 사생활의 비밀에 관한 정보, 고유식별정보 등을 요구하는 것은 최소정보의 범위를 벗어난 것임

  · 취업 희망자의 경력, 전공, 자격증 등에 관한 정보는 업무 능력을 판단하기 위한 최소한의 정보라고 할 수 있으나, 가족관계, 결혼유무, 본적(원적) 등에 관한 정보는 최소한의 정보를 벗어난 것임

(개정 23.11.23.)

 

2. 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알리고 있는가? (개정 23.11.23.)

상세 기준

 - 어떤 정보가 필요 최소한의 정보이고 아닌지를 정보주체가 쉽게 알아볼 수 있도록 구분해서 고지

 - 필요 최소한의 정보가 아닌 정보에 대해서는 재화 또는 서비스의 이용에 방해를 받음이 없이 자유롭게 동의를 거부할 수 있음을 고지

(개정 23.11.23.)

 

3. 정보주체가 수집 목적에 필요한 최소한의 정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하고 있는가? (개정 23.11.23.)

상세 기준

 - 정보주체가 선택항목에 대한 동의를 거부하더라도 서비스의 이용이 가능하다는 사실을 명확하게 표시하여 알 수 있도록 고지

 - 회원가입 과정에서 선택정보에 대하여 동의를 하지 않거나 입력을 하지 않더라도 회원가입 등 필수적인 서비스는 이용이 가능하도록 구현

   ※ 상세한 내용은 ʻ알기쉬운 개인정보 처리 동의 안내서(개인정보 보호위원회)ʼ 참고

(개정 23.11.23.)

 

    운영 내역(증적) 예시

 

  • 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 화면 등)
  • 오프라인 개인정보 수집 양식(멤버십 가입신청서 등)
  • 개인정보 처리방침

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.) 

 

  1. 계약의 체결 및 이행을 근거로 정보주체 동의 없이 개인정보를 수집하면서 계약의 체결 및 이행을 위해 반드시 필요하지 않은 개인정보 항목까지 과도하게 수집하는 경우
  2. 채용 계약 시 채용 예정 직무와 직접 관련이 없는 가족사항 등 과도한 개인정보를 수집하는 경우
  3. 정보주체로부터 선택사항에 대한 동의를 받으면서 해당 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리지 않은 경우
  4. 회원가입 양식에서 필수와 선택 정보를 구분하여 별도 동의를 받도록 되어 있었으나, 선택정보에 대하여 동의하지 않아도 회원가입이 가능함을 정보주체가 인지할 수 있도록 구체적으로 알리지 않은 경우(개인정보 입력 양식에 개인정보 항목별로 필수, 선택 여부가 표시되어 있지 않은 경우 등)
  5. 홈페이지 회원가입 화면에서 선택사항에 대하여 동의하지 않거나 선택정보를 입력하지 않으면 다음 단계로 넘어가지 않거나 회원가입이 차단되는 경우

  6. (CELA)개인정보 수집이용 시 필수동의와 선택동의를 구분하지 않고 있는 경우

3.1.3. 주민등록번호 처리 제한

주민등록번호는 법적 근거가 있는 경우를 제외하고는 수집·이용 등 처리할 수 없으며, 주민등록번호의 처리가 허용된 경우라 하더라도 인터넷 홈페이지 등에서 대체수단을 제공하여야 한다.

 

1. 주민등록번호는 명확한 법적 근거가 있는 경우에만 처리하고 있는가?

상세 기준

  - 주민등록번호 수집 등 처리가 가능한 경우 (동의에 근거한 수집은 불가함)

    [개인정보 보호법]

      ① 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우

      ② 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우

      ③ 주민등록번호 처리가 불가피한 경우로서 개인정보보호위원회가 고시로 정하는 경우

        ※ 시행규칙, 조례, 훈령 등에 근거한 주민등록 번호 처리는 불가함.

    [정보통신망법]

      ① 본인확인기관으로 지정받은 경우

      ② 「전기통신사업법」 제38조제1항에 따라 기간통신사업자로부터 이동통신서비스 등을 제공받아 재판매하는 전기통신사업자가 제23조의3에 따라 본인확인기관으로 지정받은 이동통신사업자의 본인확인업무 수행과 관련하여 이용자의 주민등록번호를 수집·이용하는 경우

 

2. 주민등록번호의 수집 근거가 되는 법조항을 구체적으로 식별하고 있는가? (개정 23.11.23.)

상세 기준

  - “법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우”라 함은 법률 또는 대통령령, 총리령, 부령에 개인정보처리자로 하여금 주민등록번호의 처리를 요구·허용하도록 하는 구체적인 근거규정이 마련되어 있는 것을 의미함

 - ʻ법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우ʼ라 함은 법률 등 중 최소한 어느 하나에 개인정보처리자로 하여금 주민등록번호의 처리를 요구하거나 허용하도록 하는 구체적인 규정이 존재하는 것을 말함

 - 개인정보 보호법 제24조의2제1항제1호는 주민등록번호를 처리할 수 있는 법령의 범위를 한정하고 있으므로 시행규칙을 근거로는 주민등록번호 처리 불가

 - 개인정보 보호법 제24조의2제1항제2호에 따라 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우에는 예외적으로 주민등록번호의 처리 가능

 - 개인정보 보호법 제24조의2제1항 각 호에서 정하는 예외사유에 해당되지 않는 한 주민등록번호를 수집하거나 제3자에게 제공하거나 저장·보유하는 것도 금지됨

    ※ 법령에 근거한 주민등록번호 수집(예시) 주민등록번호 처리 관련 적법성 판단 예시

      - 시행규칙 및 각급 행정기관의 훈령·예규·고시 및 지방자치단체의 조례·규칙 등은 주민등록번호 수집의 근거가 될 수 없음

      - 법령에서 단순히 신원확인 또는 연령확인 등의 의무만을 규정하고 있다면 이는 주민등록번호에 대한 처리근거를 구체적으로 규정한 것에 해당하지 않음 

      - 주민등록번호 전체가 아니라 뒤 7자리만 수집·이용하는 것은 주민등록번호의 부여 체계를 활용하여 주민등록번호의 고유한 특성, 즉 유일성과 식별성을 이용하는 행위이므로 이는 주민등록번호 전체를 수집·이용하는 것으로 볼 수 있음 (뒤 7자리 중 일부만 처리하는 경우에도 마찬가지임)

   - 입사지원자가 최종 합격하여 직원이 되기 전까지는 법률이나 대통령령에서 기업이 해당 지원자의 주민등록번호를 처리하도록 하는 규정이 없으므로, 이력서·지원서 등에 주민등록번호를 기재하도록 하는 것은 금지됨. 다만 최종합격한 후에는 고용보험 등 4대 보험 가입, 급여 원천징수 등을 위해 관련 법률이나 대통령령에서 정하는 바에 따라 기업이 해당 지원자의 주민등록번호를 수집 등 처리하는 것은 가능

   - 신분확인 목적으로 주민등록번호가 기재된 신분증을 육안으로 확인하고 돌려주는 행위는 주민등록번호를 수집하는 행위가 아니므로 주민등록번호 처리금지 원칙에 위배되지 않음

(개정 23.11.23.)

 

3. 법적 근거에 따라 정보주체(이용자)의 주민등록번호 수집이 가능한 경우에도 아이핀, 휴대폰 인증 등 주민등록번호를 대체하는 수단을 제공하고 있는가? 법적 근거에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하고 있는가? (개정 23.11.23.)

상세 기준

 - 주민등록번호 대체가입수단 예시 : 아이핀, 휴대전화, 신용카드, 인증서 등

    ※ 대체수단을 이용한 인증값(예시)

      - CI(Connection Information, 연계 정보) : 본인확인기관에서 대체수단을 통한 본인확인의 경우 생성되는 일방향 암호화된 88byte 문자열,  외부 연계정보로만 활용되어야 하며 내부 식별용으 로는 사용하지 않는 것이 바람직함

      - DI(Duplication Information, 중복가입정보) : 본인확인기관에서 대체수단을 통한 본인확인의 경우에 생성되는 일방향 암호화된 64byte 문자열, 사이트 내 이용자의 중복 계정 생성을 제한하기 위하여 사용함

 

    운영 내역(증적) 예시 (개정 23.11.23.) 

 

  • 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여, 멤버십 가입신청서 등)
  • 온라인 개인정보 수집 양식(본인확인 등 대체수단 제공 화면)
  • 오프라인 개인정보 수집 양식(회원가입신청서 등)
  • 주민등록번호를 처리하는 경우 주민등록번호 처리 근거 증거자료 (개정 23.11.23.)
  • 개인정보 처리방침

 

    ** 인증심사 결함사항 예시 **

 

  1. 홈페이지 가입과 관련하여 실명확인, 단순 회원관리 목적을 위하여 정보주체(이용자)의 동의에 근거하여 주민등록번호를 수집한 경우
  2. 정보주체의 주민등록번호를 시행규칙이나 지방자치단체의 조례에 근거하여 수집한 경우
  3. 비밀번호 분실 시 본인확인 등의 목적으로 주민등록번호 뒷 6자리를 수집하지만, 관련된 법적 근거가 없는 경우
  4. 채용전형 진행단계에서 법적 근거 없이 입사지원자의 주민등록번호를 수집한 경우
  5. 콜센터에 상품, 서비스 관련 문의 시 본인확인을 위하여 주민등록번호를 수집한 경우
  6. 주민등록번호 수집 법정주의 시행 이전에 수집하여 저장하고 있던 주민등록번호를 현재 법적 근거가 없음에도 파기하지 않고 보관하고 있는 경우
  7. 주민등록번호 수집의 법적 근거가 있다는 사유로 홈페이지 회원가입 단계에서 대체수단을 제공하지 않고 주민등록번호를 입력받는 본인확인 및 회원가입 방법만을 제공한 경우

3.1.4. 민감정보 및 고유식별정보의 처리 제한

민감정보와 고유식별정보(주민등록번호 제외)를 처리하기 위해서는 법령에서 구체적으로 처리를 요구하거나 허용하는 경우를 제외하고는 정보주체의 별도 동의를 받아야 한다.

 

1. 민감정보는 정보주체(이용자)로부터 별도의 동의를 받거나 관련 법령에 근거가 있는 경우에만 처리하고 있는가? (개정 23.11.23.) 

상세 기준

  - 민감정보의 범위

    ① 사상·신념 : 각종 이데올로기 또는 사상적 경향, 종교적 신념 등

    ② 정치적 견해 : 정치적 사안에 대한 입장이나 특정 정당의 지지여부에 관한 정보

    ③ 노동조합·정당의 가입·탈퇴 : 노동조합 또는 정당에의 가입·탈퇴에 관한 정보

    ④ 건강 및 성생활에 관한 정보 : 개인의 과거 및 현재의 병력(病歷), 신체적·정신적 장애(장애등급 유무 등), 성적취향 등에 관한 정보. 혈액형은 이에 해당하지 않음 (개정 23.11.23.)

    ⑤ 사생활을 현저하게 침해할 우려가 있는 개인정보

      : 유전자 검사 등의 결과로 얻어진 유전 정보, 범죄 경력에 관한 정보

      : 벌금 이상의 형의 선고·면제 및 선고 유예, 보호감호, 치료감호,  보호관찰, 선고유예의 실효, 집행유예의 취소, 벌금 이상의 형과 함께 부과된 몰수, 추징, 사회봉사명령, 수강명령 등의 선고 또는 처분 등 범죄경력에 관한 정보

      : 개인의 신체적·생리적·행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통한 생성한 정보(생체인식 특징정보) (개정 23.11.23.)

      : 인종이나 민족에 관한 정보

  - 민감정보의 처리가 가능한 경우

    ① 정보주체(이용자)로부터 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우

    ② 법령에서 민감정보의 처리를 요구하거나 허용하는 경우

 

2. 고유식별정보(주민등록번호 제외)는 정보주체(이용자)로부터 별도의 동의를 받거나 관련 법령에 구체적인 근거가 있는 경우에만 처리하고 있는가? (개정 23.11.23.) 

상세 기준

  - 고유식별정보의 범위

    ① 주민등록번호(단,  주민등록번호 수집 법정주의에 따라 동의에 근거한 수집은 불가함)

    ② 여권번호

    ③ 운전면허번호

    ④ 외국인등록번호

  - 고유식별정보(주민등록번호 제외)의 처리가 수집이 가능한 경우 (개정 23.11.23.)

    ① 정보주체(이용자)로부터 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받는 경우

    ② 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우

 

3. 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알리고 있는가? (개정 23.11.23.)

상세 기준

 - 해당되는 경우 개인정보 처리방침에도 공개 필요 (개정 23.11.23.)

 

    운영 내역(증적) 예시

 

  • 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 등)
  • 오프라인 개인정보 수집 양식(회원가입신청서 등)
  • 개인정보 처리방침

 

    ** 인증심사 결함사항 예시 **

 

  1. 민감정보 또는 고유식별정보에 대하여 별도 동의를 받으면서 고지해야 할 4가지 사항 중에 일부를 누락하거나 잘못된 내용으로 고지하는 경우 (동의 거부 권리 및 동의 거부에 따른 불이익 사항을 고지하지 않은 경우 등)
  2. 장애인에 대한 요금감면 등 혜택 부여를 위하여 장애여부 등 건강에 관한 민감정보를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우
  3. 회원가입 시 외국인에 한해 외국인등록번호를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우

3.1.5. 간접수집 보호조치

정보주체(이용자) 이외로부터 개인정보를 수집하거나 제공받는 경우에는 업무에 필요한 최소한의 개인정보만 수집·이용하여야 하고 법령에 근거하거나 정보주체(이용자)의 요구가 있으면 개인정보의 수집 출처, 처리목적, 처리정지의 요구권리를 알려야 한다.

 

1. 정보주체(이용자) 이외로부터정보주체 이외의 제3자로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의획득 책임이 개인정보를 제공하는 자에게 있음을 계약을 통하여 명시하고 있는가? (개정 23.11.23.)

상세 기준

  - 적법한 절차에 따라 수집·제공되는 정보인지 여부를 확인

 

2. 공개된 매체 및 장소에서 개인정보를 수집하는 경우 정보주체의 공개 목적‧범위 및 사회 통념상 동의 의사가 있다고 인정되는 범위 내에서만 수집‧이용하는가? (개정 23.11.23.) 

상세 기준

 - SNS, 인터넷 홈페이지 등 공개된 매체 또는 장소에서 개인정보를 수집하는 경우 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지 등의 표시 내용에 비추어 사회 통념상 동의 의사가 있다고 인정되는 범위 내에서만 이용할 수 있다 (표준 개인정보 보호 지침 제6조제4항)

 

3. 서비스 계약 이행을 위하여 필요한 경우로서 사업자가 서비스 제공 과정에서 자동수집장치 등에 의하여 수집・생성하는 개인정보의 경우에도 최소수집 원칙을 적용하고 있는가?

상세 기준

  - 다만 서비스 제공 계약 이행과는 무관한 목적으로 이용하기 위해 수집하는 경우에는 선택 동의 항목으로 분류하여 별도의 사전 동의를 받아야 함 (예를 들어, 쿠키를 통하여 수집하는 행태정보를 분석하여 개인별 맞춤형 광고에 활용하는 경우 등)

 

4. 정보주체 이외로부터 수집하는 개인정보에 대하여 정보주체(이용자)의 요구가 있는 경우 즉시 필요한 사항을 정보주체(이용자)에게 알리고 있는가? (개정 23.11.23.) 

상세 기준

  - 정보주체(이용자)의 요구가 있는 경우 알려야 할 사항

    ① 개인정보의 수집 출처

    ② 개인정보의 처리 목적

    ③ 개인정보 처리의 정지를 요구할 권리가 있다는 사실

  - 정당한 사유가 없는 한 정보주체(이용자)의 요구가 있은 날로부터 3일 이내에 알려야 함 (표준 개인 정보 보호지침 제9조제1항)

  - 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있는 등으로 인하여 정보주체(이용자의 요구를 거부하는 경우에는 정당한 사유가 없는 한 정보주체의 요구가 있었던 날로부터 3일 이내에 그 거부의 근거와 사유를 알려야 함(표준 개인정보 보호지침 제9조제2항)

★ 개인정보 수집 출처 통지 거부 사유(개인정보 보호법 제20조제4항)

 1. 통지를 요구하는 대상이 되는 개인정보가 개인정보 보호법 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일(국가 안전, 외교상 비밀, 범죄의 수사, 다른 법령에 따라 비밀로 분류 등 개인정보파일의 등록 및 공개 제외 대상)에 포함되어 있는 경우

 2. 통지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

(개정 23.11.23)

 

5. 정보주체 이외로부터 수집한 개인정보를 처리하는 경우 개인정보의 종류‧규모 등이 법적 요건에 해당하는 경우 필요한 사항을 정보주체(이용자)에게 알리고 있는가? (개정 23.11.23.) 

상세 기준

 - 통지 의무 요건 및 방법

  : 통지의무가 부과되는 조건

    > 개인정보 보호법 제17조제1항제1호에 따라 정보주체의 개인정보 제3자 제공 동의를 근거로 다른 개인정보처리자로부터 개인정보를 제공받은 경우

  : 통지의무가 부과되는 개인정보처리자 요건 

    5만 명 이상 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 자

    100만 명 이상의 정보주체에 관한 개인정보를 처리하는 자

    ※ (정보주체수 산정기준) 전년도말 기준 직전 3개월 간 일일평균 기준

  : 통지하여야 할 사항

    > 개인정보의 수집 출처

    > 개인정보의 처리 목적

    > 개인정보 처리의 정지를 요구할 권리가 있다는 사실

  : 통지 시기 

    > 개인정보를 제공받는 날로부터 3개월 이내

    > 다만 동의 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는 제공받은 날부터 3개월 이내에 통지하거나 그 동의를 받은 날부터 기산하여 연 1회 이상 통지 다만, 법 제17조제2항제1호부터 제4호까지의 사항에 대하여 같은 조 제1항제1호에 따라 정보주체의 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알리거나 그 동의를 받은 날부터 기산하여 연 1회 이상 정보주체에게 알려야 함

  : 통지 방법 

    > 서면·전화·문자전송·전자우편 등 정보주체가 쉽게 알 수 있는 방법

    > 재화 및 서비스를 제공하는 과정에서 정보주체가 쉽게 알 수 있도록 알림창을 통해 알리는 방법

  : 통지 예외

    > 통지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우

    > 통지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

   ※ 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한함

  : 기타

    > 법 제20조제2항에 따라 개인정보의 수집 출처 등에 관한 사항을 알리는 것과 법 제20조의2제1항에 따른 이용·제공 내역의 통지를 함께 할 수 있음

    > 정보주체에게 수집 출처에 대하여 알린 기록을 해당 개인정보의 파기 시까지 보관·관리(정보주체에게 알린 사실, 알린 시기, 알린 방법)

 - 이 통지의무는 개인정보 보호법 제17조제1항제1호에 따라 정보주체의 동의를 받아 개인정보를 제공한 개인정보처리자로부터 수집한 개인정보에 대해서만 적용되므로 신용정보법에 따라 동의를 받아 개인정보를 제공한 자로부터 수집한 개인정보 또는 법령에 따라 제공한 개인정보에 대해서는 적용되지 않음 본 개인정보 수집 출처 통지 의무는 개인정보 보호법 제17조제1항제1호에 따라 정보주체의 동의를 받아 개인정보를 제공한 개인정보처리자로부터 수집한 개인정보에 대해서만 적용되므로 신용정보법에 따라 동의를 받아 개인정보를 제공한 자로부터 수집한 개인정보 또는 법령에 따라 제공받은 개인정보에 대해서는 적용되지 않음(개인정보 보호 법령 및 지침·고시 해설서)

 - 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 않은 경우에는 알리지 않아도 됨

(개정 23.11.23)

 

6. 정보주체에게 수집출처에 대하여 알린 기록을 해당 개인정보의 파기 시까지 보관·관리하고 있는가?

상세 기준

  - 수집출처 고지 관련 보관·관리해야할 정보(개인정보 보호법 시행령 제15조의2 제3항)

  ① 정보주체에게 알린 사실

  ② 알린 시기

  ③ 알린 방법 

 

    운영 내역(증적) 예시

 

  • 개인정보 제공 관련 계약서(제공하는 자와의 계약 사항)
  • 개인정보 수집출처에 대한 정보주체(이용자) 통지 내역
  • 개인정보 처리방침

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.) 

 

  1. 개인정보 보호법 제17조제1항제1호에 따라 다른 사업자로부터 개인정보 제공동의를 근거로 개인정보를 제공받았으나 이에 대하여 해당 정보주체에게 3개월 내에 통지하지 않은 경우(다만 제공받은 사업자가 5만명 이상 정보주체의 민감정보 또는 고유식별정보를 처리하거나 100만명 이상 정보주체의 개인정보를 처리하는 경우)
  2. 서비스 제공과 직접 관련이 없는 타겟 마케팅 목적으로 쿠키에 포함된 개인정보를 동의받지 않고 수집하는 경우
  3. 인터넷 홈페이지, SNS에 공개된 개인정보를 수집하고 있는 상태에서 정보주체(이용자)의 수집출처 요구에 대한 처리절차가 존재하지 않는 경우
  4. 법적 의무 대상자에 해당되어 개인정보 수집 출처를 정보주체에게 통지하면서 개인정보의 처리목적 또는 동의를 철회할 권리가 있다는 사실 등 필수 통지사항을 일부 누락한 경우 (개정 23.11.23.)
  5. 법적 의무 대상자에 해당되어 개인정보 수집 출처를 정보주체에게 통지하였으나, 수집 출처 통지에 관한 기록을 해당 개인정보의 파기 시까지 보관하지 않은 경우 (개정 23.11.23.)

3.1.6. 영상정보처리기기 설치·운영

고정형 영상정보처리기기를 공개된 장소에 설치·운영하 거나 이동형 영상정보처리기기를 공개된 장소에 설치·업무를 목적으로 운영하는 경우 설치 목적 및 위치에 따라 법적 요구사항(안내판 설치 등)을 준수하고, 적절한 보호대책을 수립·이행하여야 한다. (개정 23.11.23.)

 

1. 공개된 장소에 영상정보처리기기를 설치∙운영할 경우 법적으로 허용한 장소 및 목적인지 검토하고 있는가? (개정 23.11.23.)

상세 기준

  - 고정형 영상정보처리기기의 정의 : 일정한 공간에 설치되어 지속적 또는 주기적으로 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 폐쇄회로 텔레비전 및 네트워크 카메라를 말함(개인정보 보호법 제2조제7호 및 동법 시행령 제3조제1항)

    : 고정형 영상정보처리기기의 범위(개인정보 보호법 시행령 제3조제1항)

      1. 폐쇄회로 텔레비전: 다음 각 목의 어느 하나에 해당하는 장치  

        가. 일정한 공간에 설치된 카메라를 통하여 지속적 또는 주기적으로 영상 등을 촬영하거나 촬영한 영상정보를 유무선 폐쇄회로 등의 전송로를 통하여 특정 장소에 전송하는 장치

        나. 가목에 따라 촬영되거나 전송된 영상정보를 녹화·기록할 수 있도록 하는 장치

      2. 네트워크 카메라: 일정한 공간에 설치된 기기를 통하여 지속적 또는 주기적으로 촬영한 영상정보를 그 기기를 설치·관리하는 자가 유무선 인터넷을 통하여 어느 곳에서나 수집·저장 등의 처리를 할 수 있도록 하는 장치

(개정 23.11.23.)

  - 공개된 장소에 영상정보처리기기를 설치·운영할 수 있는 경우

    ① 법령에서 구체적으로 허용하고 있는 경우

    ② 범죄의 예방 및 수사를 위하여 필요한 경우

    ③ 시설안전 및 관리, 화재 예방을 위하여 필요한 경우정당한 권한을 가진 자가 설치·운영하는 경우

    ④ 교통단속을 위하여 필요한 경우정당한 권한을 가진 자가 설치·운영하는 경우

    ⑤ 교통정보의 수집·분석 및 제공을 위하여 필요한 경우정당한 권한을 가진 자가 설치·운영하는 경우

  - 불특정 다수가 이용하는 목욕실, 화장실, 발한실(發汗室), 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치·운영하는 것은 금지됨. 다만 교도소, 정신보건 시설 등 법령에 근거하여 사람을 구금하거나 보호하는 시설로서 대통령령으로 정하는 시설(교정시설, 수용시설을 갖추고 있는 정신의료기관, 정신질환자사회복귀시설 및 정신요양시설, 정신재활시설)에 대하여는 예외적으로 허용됨

 

2. 공공기관이 공개된 장소에 영상정보처리기기를 설치‧운영하려는 경우 공청회∙설명회 개최 등의 법령에 따른 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하고 있는가? (개정 23.11.23.)

상세 기준

  - 의견 수렴 절차를 거쳐야 하는 자

   ①  공개된 장소에 고정형 영상정보처리기기를 설치·운영하려는 공공기관의 장

   ②  개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 고정형 영상정보처리기기를 설치·운영하려는 교정시설, 정신의료기관, 정신요양시설, 정신재활시설

(개정 23.11.23.) 

  - 의견 수렴 절차

    ① 「행정절차법」에 따른 행정예고의 실시 또는 의견청취

    ② 해당 영상정보처리기기의 설치로 직접 영향을 받는 지역 주민 등을 대상으로 하는 설명회·설문조사 또는 여론조사

  - 의견 수렴 대상자

    ① 관계 전문가

    ② 해당 시설에 종사하는 사람, 해당 시설에 구금되어 있거나 보호받고 있는 사람 또는 그 사람의 보호자 등 이해관계인

 

3. 고정형 영상정보처리기기 설치‧운영 시 정보주체가 쉽게 인식할 수 있도록 안내판 설치 등 필요한 조치를 하고 있는가? (개정 23.11.23.) 

상세 기준

  - 안내판에 포함되어야 할 사항

    ① 설치 목적 및 장소

    ② 촬영 범위 및 시간

    ③ 관리책임자 성명 및 연락처

    ④ 위탁받은 자의 명칭 및 연락처(영상정보처리기기 설치·운영 사무 위탁 시)

  - 안내판 설치 예외 사항

    ① 군사시설

    ② 국가 중요시설

    ③ 국가보안 시설

  - 안내판 설치 시 고려사항

    : 정보주체가 쉽게 알아볼 수 있는 위치에 설치

    : 건물 안에 여러개의 고정형 영상정보처리기기를 설치하는 경우에는 출입구 등 잘 보이는 곳에 해단 시설 또는 장소 전체가 고정형 영상정보처리기기 설치지역임을 표시하는 안내판 설치 가능

    : 공공기관이 원거리 촬영, 과속·신호위반 단속 또는 교통흐름조사 등의 목적으로 고정형 영상정보처리기기를 설치하는 경우로서 개인정보 침해의 우려가 적은 경우, 산불감시용 고정형 영상정보처리기기를 설치하는 경우 등 장소적 특성으로 인하여 안내판을 설치하는 것이 불가능하거나 안내판을 설치하더라도 정보주체가 쉽게 알아볼 수 없는 경우에는 인터넷 홈페이지에 관련 사항 게재 가능

(개정 23.11.23.)

 

4. 업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기를 운영하는 경우 법적 허용 요건에 해당하는지를 검토하고 있는가? (개정 23.11.23.)

상세 기준

  - 이동형 영상정보처리기기의 정의 : 신체에 착용 또는 휴대하거나 이동 가능한 물체에 부착 또는 거치(据置)하여 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말함(개인정보 보호법 제2조제7호의2 및 동법 시행령 제3조제2항)

    : 이동형 영상정보처리기기의 범위(개인정보 보호법 시행령 제3조제2항)

       1. 착용형 장치: 안경 또는 시계 등 사람의 신체 또는 의복에 착용하여 영상 등을 촬영하거나 촬영한 영상정보를 수집·저장 또는 전송하는 장치

      2. 휴대형 장치: 이동통신단말장치 또는 디지털 카메라 등 사람이 휴대하면서 영상 등을 촬영하거나 촬영한 영상정보를 수집·저장 또는 전송하는 장치

      3. 부착·거치형 장치: 차량이나 드론 등 이동 가능한 물체에 부착 또는 거치(据置)하여 영상 등을 촬영하거나 촬영한 영상정보를 수집·저장 또는 전송하는 장치

  - 업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기를 운영할 수 있는 경우

    1. 개인정보 보호법 제15조제1항 각 호의 어느 하나에 해당하는 경우(정보주체의 동의 등)

    2. 촬영 사실을 명확히 표시하여 정보주체가 촬영사실을 알 수 있도록 하였음에도 불구하고 촬영 거부 의사를 밝히지 아니한 경우. 이 경우 정보주체의 권리를 부당하게 침해할 우려가 없고 합리적인 범위를 초과하지 아니하는 경우로 한정

    3. 그 밖에 제1호 및 제2호에 준하는 경우로서 대통령령으로 정하는 경우

  - 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있는 곳에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상 촬영 금지. 다만 범죄, 재난, 화재 또는 이에 준하는 상황에서 인명의 구조·구급 등을 위해 영상 촬영이 필요한 경우에는 예외적으로 촬영 가능

(개정 23.11.23.)

 

5. 업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하는 경우 불빛, 소리, 안내판 등의 방법으로 촬영 사실을 표시하고 알리고 있는가? (개정 23.11.23.)

상세 기준

 - 촬영 사실 표시 방법 : 불빛, 소리, 안내판, 서면, 안내방송 또는 그 밖에 이에 준하는 수단

 - 촬영 사실 표시 예외 : 드론에 의한 항공촬영 등 촬영 방법의 특성으로 인해 정보주체에게 촬영 사실을 쉽게 알 수 있도록 표시하고 알리기 어려운 경우에는 개인정보 보호위원회가 이동형 영상정보처리기기의 촬영사실 표시를 지원하기 위하여 구축·운영하는 홈페이지를 통해 촬영사실 및 목적, 촬영 일시 및 장소 등의 사항을 공지(표준 개인정보 보호지침 제39조의2제2항)

(개정 23.11.23.)

 

6. 영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영‧관리 방침을 마련하여 시행하고 있는가? (개정 23.11.23.) 

상세 기준

  - 고정형 영상정보처리기기운영자의 경우 고정형 영상정보처리기기 운영·관리 방침을 마련하고, 이동형 영상정보처리기기운영자의 경우 이동형 영상정보처리기기 운영·관리 방침을 마련 (개정 23.11.23.)

  - 영상정보처리기기 운영·관리 방침에 포함하여야 할 사항

    ① 영상정보처리기기의 설치 근거 및 설치 목적

    ② 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위

    ③ 관리책임자 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람

    ④ 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법

    ⑤ 영상정보처리기기운영자의 영상정보 확인 방법 및 장소

    ⑥ 정보주체의 영상정보 열람 등 요구에 대한 조치

    ⑦ 영상정보 보호를 위한 기술적·관리적 및 물리적 조치

    ⑧ 그 밖에 영상정보처리기기의 설치·운영 및 관리에 필요한 사항

 - 개인정보 처리방침을 정할 때 영상정보처리기기 운영·관리에 관한 사항을 포함시킨 경우에는 영상정보 처리기기 운영·관리 방침을 마련하지 아니할 수 있음 (개정 23.11.23.)

  - 고정형 영상정보처리기기가 설치된 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비추지 않도록 규정에 포함할 필요가 있음하고 관리·감독 수행

  - 고정형 영상정보처리기기의 녹음 기능을 사용할 수 없도록 조치 필요

 

7. 영상정보의 보관 기간을 정하고 있으며, 보관 기간 만료 시 지체 없이 삭제파기하고 있는가? (개정 23.11.23.) 

상세 기준

  - 영상정보의 보유 목적 달성을 위한 최소한의 기간으로 보관 기간 결정

  - 다만, 영상정보의 보관 기간과 관련하여 다른 법령에 특별한 규정이 있는 경우에는 해당 규정에 따라 보관 (개정 23.11.23.)

  - 영상정보처리기기운영자가 그 사정에 따라 보유 목적의 달성을 위한 최소한의 기간을 산정하기 곤란 한 때에는 보관 기간을 개인영상정보 수집 후 30일 이내로 함(표준 개인정보 보호지침 제41조제2항)

 

8. 영상정보처리기기 설치‧운영에 관한 사무를 위탁하는 경우 관련 절차 및 요건에 따라 계약서에 반영하고 있는가? (개정 23.11.23.)

상세 기준

  - 영상정보처리기기 설치·운영사무 위탁 계약서에 포함되어야 할 내용 공공기관의 영상정보처리기기 설치·운영 사무 위탁 계약서에 포함되어야 할 내용(개인정보 보호법 시행령 제26조제1항) (개정 23.11.23.)

    ① 위탁하는 사무의 목적 및 범위

    ② 재위탁 제한에 관한 사항

    ③ 영상정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항

    ④ 영상정보의 관리 현황 점검에 관한 사항

    ⑤ 위탁받는 자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

 

    운영 내역(증적) 예시

 

  • 영상정보처리기기 운영 현황
  • 영상정보처리기기 안내판
  • 영상정보처리기기 운영·관리방침
  • 영상정보처리기기 관리화면(계정/권한 내역, 영상정보 보존기간 등)
  • 영상정보처리기기 운영 수탁자와의 계약서 및 점검 이력

 

    ** 인증심사 결함사항 예시 **

 

  1. 영상정보처리기기 안내판의 고지 문구가 일부 누락 되어 운영되고 있거나 영상정보처리기기 운영·관리 방침을 수립·운영하고 있지 않는 경우
  2. 영상정보처리기기 운영·관리 방침을 수립 운영하고 있으나 방침의 내용과 달리 보관기간을 준수하지 않고 운영되거나, 영상정보 보호를 위한 접근통제 및 로깅 등 방침에 기술한 사항이 준수 되지 않는 등 관리가 미흡한 경우
  3. 영상정보처리기기의 설치·운영 사무를 외부업체에 위탁을 주고 있으나 영상정보의 관리 현황 점검에 관한 사항, 손해배상 책임에 관한 사항 등 법령에서 요구하는 내용을 영상정 보처리기기 업무 위탁 계약서에 명시하지 않은 경우
  4. 영상정보처리기기의 설치·운영 사무를 외부업체에 위탁을 주고 있으나 영상정보처리기기 안내판에 수탁자의 명칭과 연락처를 누락하여 고지한 경우

3.1.7. 홍보 및 마케팅 목적 활용 시 조치의 개인정보 수집ㆍ이용

재화나 서비스의 홍보, 판매 권유, 광고성 정보전송 등 마케팅 목적으로 개인정보를 수집·이용하는 경우에는 그 목적을 정보주체(이용자)가 명확하게 인지할 수 있도록 고지하고 동의를 받아야 한다.

3.1. 개인정보 수집 시 보호조치

 

1. 정보주체(이용자)에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보 처리에 대한 동의를 받는 경우 정보주체(이용자)가 이를 명확하게 인지할 수 있도록 알리고 별도의 동의를 받고 있는가? (개정 23.11.23.) 

상세 기준

  - ‘홍보 및 마케팅’ 목적으로 개인정보를 수집하면서 ‘부가서비스 제공’, ‘제휴 서비스 제공’ 등으로 목적 을 기재하는 행위 금지

  - 상품 홍보, 마케팅 목적으로 수집하는 개인정보는 다른 목적으로 수집하는 정보와 명확하게 구분하여 동의를 받고 수집

  - 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실을 명확하게 표시하여 알아보기 쉽도록 동의서 양식 구현(글씨의 크기,는 최소한 9포인트 이상으로 다른 내용보다 20퍼센트 이상 크게 하고 글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용을 명확히 표시) (개정 23.11.23.)

 

2. 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 경우 수신자의 명시적인 사전 동의를 받고 있으며, 2년 마다 정기적으로 수신자의 수신동의 여부를 확인하고 있는가? (개정 23.11.23.) 

상세 기준

  - ‘전자적 전송매체’란 휴대전화, 유선전화, 팩스, 메신저, 이메일, 게시판 등을 말함

  - 영리목적의 광고성 정보를 전송하려면 문서(전자문서 포함) 또는 구술의 방법으로 수신자의 명시적인 수신동의를 받아야 함

    ※ 영리목적의 광고성 정보의 개념

      - 영리목적의 광고성 정보는 전송자가 경제적 이득을 취할 목적으로 전송하는 ①전송자에 관한 정보, ②전송자가 제공할 재화나 서비스의 내용을 말합니다. 전송을 하게 한 자도 전송자에 포함됨

      - 영업을 하는 자가 고객에게 보내는 정보는 원칙적으로 모두 광고성 정보에 해당함

      - 영리법인은 존재목적이 영리추구이기 때문에 원칙적으로 고객에게 전송하는 모든 정보는 영리 목적 광고성 정보에 해당하며, 비영리법인은 전송하는 정보의 성격에 따라 영리목적 광고성 여부를 판단함

      - 구체적인 재화나 서비스의 홍보가 아니더라도 수신자에게 발송하는 정보가 발신인의 이미지 홍보에 해당하는 경우에는 광고성 정보로 볼 수 있음

      - 주된 정보가 광고성 정보가 아니더라도 부수적으로 광고성 정보가 포함되어 있으면 전체가 광고성 정보에 해당함

    ※ 영리목적의 광고성 정보의 예외

      - 수신자와 이전에 체결하였던 거래를 용이하게 하거나, 완성 또는 확인하는 것이 목적인 정보

      - 수신자가 사용하거나 구매한 재화 또는 서비스에 대한 설명, 보증, 제품 리콜, 안전 또는 보안 관련 정보

      - 고객의 요청에 의해 발송하는 1회성 정보(견적서 등)

     - 수신자가 금전적 대가를 지불하고 신청한 정보(뉴스레터, 주식정보, 축산물 거래정보 등)

     - 전송자가 제공하는 재화 또는 서비스에 대해 수신자가 구매 또는 이용과 관련한 안내 및 확인 정보 등

  - 개인정보 보호법 제22조제4항에 따른제22조제1항제7호에 따른 재화나 서비스 홍보·판매권유 홍보·판매권유 목적의 동의는 전송자가 광고성 정보를 전송하기 위하여 수신자의 개인정보를 수집·이용하는 것에 대한 동의에 해당하고, 정보통신망법 제50조제1항 동의는 전송자가 보내는 광고성 정보를 수신하겠다는 것에 대한 동의에 해당하여 두 개의 동의는 구분 후 별개로 받아야 함 (개정 23.11.23.)

  - 스마트폰 앱(어플리케이션)을 다운받아 단순히 설치만 한 상태에서는 광고성 정보(앱 푸시 광고)를 전송하여서는 안 되며, 앱을 최초로 실행하는 경우 광고성 정보의 수신동의 여부를 확인하여 동의를 받은 후 광고를 전송하여야 함

  - 다만 거래관계에 의한 예외에 해당하는 경우에는 수신동의를 받지 않고 광고성 정보 전송이 가능함

    ※ 거래관계에 의한 광고성 정보전송 수신 동의 예외

      - 재화 등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 거래가 있은 날로부터 6개월 이내에 자신이 처리하고 수신자와 거래한 것과 동종의 재화 등에 대한 영리목적의 광고성 정보를 전송하려는 경우

      - 「방문판매 등에 관한 법률」에 따른 전화권유판매자가 육성으로 수신자에게 개인정보의 수집 출처를 고지하고 전화권유를 하는 경우

  - 수신자의 수신동의를 받아 광고성 정보를 전송하는 자는 수신 동의 여부를 수신동의를 받은 날부터 매 2년마다 확인해야 함

    : 수신동의자에게 수산동의 하였다는 사실에 대한 안내의무를 부과한 것이므로 재동의를 받을 필요는 없음

    : 수신자가 아무런 의사표시를 하지 않는 경우에는 수신동의 의사가 그대로 유지되는 것으로 봄

    : 수신여부 확인 시 수신자에게 알려야 할 사항

      ① 전송자의 명칭

      ② 수신동의 날짜 및 수신에 동의한 사실

      ③ 수신동의에 대한 유지 또는 철회 의사를 표시하는 방법

 

3. 전자적 전송매체를 이용한 영리목적의 광고성 정보 전송에 대하여 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우 영리목적의 광고성 정보 전송을 중단하도록 하고 있는가?

상세 기준   - 거래관계가 있더라도 수신자가 수신거부 의사를 표시한 경우 광고성 정보의 전송이 금지됨

  - 회원탈퇴를 하는 것도 수신거부 의사표시를 한 것으로 볼 수 있으므로 회원탈퇴를 한 수신인에게 광고성 정보를 전송하면 안 됨

  - 수신자가 특별히 범위를 정하여 수신동의 철회 및 수신거부 의사표시를 한 것이 아니라면 그 효력은 당해 광고만이 아니라 당해 전송자가 보내는 모든 광고에 적용됨

 

4. 영리목적의 광고성 정보를 전송하는 경우 전송자의 명칭, 수신거부 방법 등을 구체적으로 밝히고 있으며, 야간시간에는 전송하지 않도록 하고 있는가? (개정 23.11.23.) 

상세 기준

  - 전자적 전송매체를 이용하여 영리목적의 광고성 정보 전송 시 함께 알려야 할 사항

    ① 전송자의 명칭 및 연락처

    ② 수신의 거부 또는 수신동의의 철회 의사표시를 쉽게 할 수 있는 조치 및 방법에 관한 사항

      ※ 정보통신망법 시행령 별표6(영리목적의 광고성 정보의 명시사항 및 명시방법) 준수 (개정 23.11.23.)

  - 야간시간(오후 9시부터 그 다음 날 오전 8시까지)에는 전자적 전송매체를 이용하여 영리 목적의 광고성 정보 전송은 금지됨

    : 야간시간에 광고성 정보를 전송하기 위해서는 별도의 수신동의가 필요함

    : 단, 전자우편의 경우 별도 동의가 없더라도 야간 전송 가능 (개정 23.11.23.)

      ※ 상세한 내용은 ‘불법 스팸 방지를 위한 정보통신망법 안내서’ 참고

 

    운영 내역(증적) 예시

 

  • 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 모바일앱 회원가입 화면, 이벤트 참여 등)
  • 오프라인 개인정보 수집 양식(회원가입신청서 등)
  • 마케팅 동의 기록
  • 광고성 정보전송 수신동의 기록 및 수신동의 의사확인 기록
  • 광고성 정보 발송 시스템 관리자 화면(메일, SMS, 앱 푸시 등)
  • 광고성 정보 발송 문구
  • 개인정보 처리방침

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.) 

 

  1. ‘홍보 및 마케팅’ 목적으로 개인정보를 수집하면서 ‘부가서비스 제공’, ‘제휴 서비스 제공’ 등과 같이 목적을 모호하게 안내하는 경우 또는 다른 목적으로 수집하는 개인정보와 구분 하지 않고 포괄 동의를 받는 경우
  2. 온라인 회원가입 화면에서 문자, 이메일에 의한 광고성 정보 전송에 대하여 디폴트로 체크되어 있는 경우
  3. 모바일 앱에서 광고성 정보전송(앱푸시)에 대하여 거부 의사를 밝혔으나, 프로그램 오류 등의 이유로 광고성 앱 푸시가 이루어지는 경우
  4. 광고성 정보 수신동의 여부에 대해 매 2년 마다 확인을 하지 않은 경우
  5. 영리목적의 광고성 정보를 전자우편으로 전송하면서 제목이 시작되는 부분에 ʻ(광고)ʼ 표시를 하지 않은 경우 (개정 23.11.23.)

  6. (CELA)정보주체 동의 없이 행태정보를 수집하고 제3자에게 제공하여 홍보 및 마켓팅 목적으로 사용하는 경우