1. 개인정보 수집, 이용

1. 개인정보 오너십의 이해 

1.1 정보주체의 관점

 - 정보주체들은 개인정보의 오너십이 본인에게 있다는 것을 인식해야 함

 - 개인정보처리자의 오남용에 대비·대응하기 위해 청구권적 성격을 적극 활용하여야 함

 - 최근 각종 개인정보 유출 사고로 정보주체들의 의식이 높아짐

1.2 개인정보처리자의 관점

 - 수집하는 시점부터 파기하는 시점까지 라이프사이클에 따라 철저한 관리 필요

 - 수익위주의 서비스개발 주력으로 라이프사이클 오너십 상실

 - 개인정보 보호 및 활용이 기업의 존폐를 좌우할 정도로 중요하다는 사실 인식 필요

1.3 개인정보최고 책임자의 변화

 - `80s 보안 관리자 : 출입통제 등 물리적인 관점에서의 보안

 - `90s 보안 담당 이사 : 인적, 지적, 물적 자산 총괄 감독. 감사업무 추가

 - `00s CSO, CPO : 최고보안책임자, 개인정보보호책임자가 일반화 됨

 - `10s CISO, CRO : 정보보안, 위기관리라는 보안의 새로운 축이 부상함

 - 정보보호 담당자의 역할

  (1) 정보보호 정책의 수립 및 총괄 조정 승인

  (2) 위험 분석, 관리 및 침해사고 예방 및 대응

  (3) 정보보호 관련 규정 준수 관리·감독 및 효과적인 보고 절차 수립·이행

  (4) 보안의식 강화 교육, 훈련을 위한 예산확보 및 시행

2. 개인정보 수집,이용 원칙 

2.1 개인정보 수집·이용 시 동의 획득

 - 법에서 정한 고지항목들을 나열한 후 동의를 받아야 한다

 - 고지 내용 중 변경사항이 있다면 다시 해당 내용을 고지하고 동의를 받아야 한다

 - 포괄적인 동의가 아닌 서비스별로 개별적인 동의를 받는 것이 바람직하다

 ex) 단순 상담, 비회원제 서비스 이용, 회원제 서비스 가입, 이벤트 참여 등

2.2 개인정보 수집·이용 시 동의 예외

 - 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

  ex) 정보통신망법의 요금정산 등

 - 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

  ex) 주민등록 등초본 교부, 전출입신고 등

 - 정보주체와의 계약 체결 및 이행을 위해 불가피하게 필요한 경우

  ex) 물품구매 후 배송을 위한 주소, 연락처 수집 등

 - 정보주체와 연락이 불가능한 상태에서 명백히 정보주체 또는 제3자의 급박한 상황을 위해 필요한 경우

  ex) 위치정보법상의 긴급구조 등

 - 개인정보처리자의 정당한 이익을 달성하기 위한 경우로 명백히 정보주체의 권리보다 우선하는 경우

  ex) 신용정보법상의 채권추심 등

2.3 필요 최소한의 개인정보 수집

 - 개인정보처리자는 특정 목적으로 개인정보 수집 시 목적 달성을 위한 최소한의 개인정보만 수집해야 함

 - 최소한의 개인정보인지에 대한 입증 책임은 개인정보처리자에게 있음

 - 개인정보처리자는 수집하는 개인정보가 각각 어떤 경우에 필요한지 기록·관리하여 고객응대, 분쟁시에 활용할수 있다.

 - 최소한의 항목만을 필수항목으로 분류하고 나머지 부가적인 정보는 선택항목으로 분류하여야 한다.

 - 개인정보처리자는 정보주체가 선택항목에 대해 동의를 하지 않았다는 이유로 서비스 제공을 거부할 수 없다.

3. 개인정보 수집, 이용 시 유의 사항 

3.1 정보주체 이외 수집 출처 표시

 - 정보주체 이외로부터 수집된 개인정보 처리시, 정보주체의 요구가 있을 경우 아래의 사항을 알려야 한다.

  (1) 개인정보의 수집 출처

  (2) 개인정보의 처리 목적

  (3) 개인정보의 처리정지 권리

 - 대통령령에서 정하는 일정 규모 이상의 개인정보처리자는 정보주체의 요청이 없어도 수집·처리 즉시 통지하여야 한다.

3.2 공공기관의 개인정보파일 등록

 - 공공기관장은 개인정보파일을 운용하는 경우 다음의 내용을 안행부 장관에게 등록 하여야 한다. 변경시에도 같다.

  (1) 개인정보파일의 명칭

  (2) 개인정보파일의 운영 근거 및 목적

  (3) 개인정보파일에 기록되는 개인정보의 항목

  (4) 개인정보의 처리방법

  (5) 개인정보의 보유기간

  (6) 개인정보를 통상적 또는 반복적으로 제공하는 경우 제공받는 자

  (7) 그 밖에 대통령령에서 정하는 사항

   -1. 개인정보파일을 운용하는 공공기관의 명칭

   -2. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수

   -3. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서

   -4. 개인정보의 열람 요구를 접수·처리하는 부서

   -5. 법 제35조제4항에 따른 열람 제한에 관한 내용(범위, 사유)

3.3 개인정보 수집·이용 시 고지, 동의획득 방법

 3.3.1 고지 : 고지는 단순히 해당 내용에 접근할 수 있도록 해 두는 것만으론 부족하고, 직접적으로 알리는 방법을 통하여야 한다.

ex) 웹사이트 상에서의 고지는 동의 받는 화면에서 내용을 보이게 하거나, 링크를 사용하는 경우엔 링크를 클릭하여 확인하는 경우에만 다음 단계로 이동하도록 해야 함

 3.3.2 동의 : 정보주체의 동의획득 여부는 개인정보처리자에게 입증책입이 있기 때문에 각 사항에 맞는 근거를 확보해야 한다.

- 인터넷 사이트 : 정보주체가 동의한 로그기록 보유

- 서면 : 정보주체가 동의한 서면 스캔·편철하여 보관

- 전자우편 : 정보주체가 동의의사를 담아 회신한 전자우편을 보유

- 전화 : 정보주체에게 동의를 구하고 동의내용을 녹취

 * 동의, 통지, 안내의 구분

- 동의 : 정보주체와 개별적인 소통이 이루어져야 하고 정보주체의 명시적인 피드백이 있어야 함

- 통지 : 정보주체에게 개별적으로 연락 하여야 하지만 피드백이 필요하진 않음

- 안내 : 정보주체가 쉽게 접근할 수 있는 경로에 게시 하는 등

3.4 개인정보 수집·이용 단계 침해유형

 - 정보주체의 동의 없는 개인정보 수집 : 개인정보보호법 제15조 위반

 - 개인정보 수집 시 고지 또는 명시 의무 불이행 : 개인정보보호법 제15조 위반

 - 서비스 이용과 관련 없는 과도한 개인정보의 수집 : 개인정보보호법 제16조 위반

 - 동의 및 고지 없는 정보주체 이외로부터의 수집 : 개인정보보호법 제20조 위반

 - 법정대리인의 동의 없는 만 14세 미만 아동 개인정보 수집 :  개인정보보호법 제22조 위반

 - 주민등록번호 등 타인 정보의 훼손 침해 도용 :  개인정보보호법 제59조 위반

 - 해킹 등 불법수단에 의한 개인정보 수집 : 개인정보보호법 제59조 위반

 - 기망에 의한 개인정보의 수집 :  개인정보보호법 제59조 위반