민감정보와 고유식별번호

■ 민감정보

 - 개인정보에는 이름, 주소, 전화번호 등과 같은 개인에 대한 객관적인 신상정보도 포함되지만, 개인의 감정이나 사상 또는 종교관 등 신상정보와 구별되는 개념의 개인정보도 포함된다

 - 자칫 이와 같은 정보들은 개인정보에 해당하지 않는 것으로 인식되기 쉬우며, 그만큼 정보주체의 프라이버시 침해 가능성도 높다고 볼 수 있다

 - 개인정보 보호법 제23조에서는 '민감정보'에 대해 아래와 같은 규정을 두고 있다

제23조(민감정보의 처리 제한) : 개인정보처리자는 사상ㆍ신념, 노종조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로써 대통령령으로 정하는 정보(이하 "민감정보"라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다. (이하 생략)

 - 이러한 민감정보는 아무래도 다른 개인정보 항목과 비교하여 보다 민감(Sensitive)하여, 침해나 유출 시 정보주체의 프라이버시에 보다 큰 영향을 미칠 수 있기 때문에 일반 개인정보와 구분하여 그 처리를 보다 엄격하게 규정한 것이다

 - 민감정보는 원칙적으로 그 처리가 금지되며, 아래와 같은 경우 예외적으로 처리가 가능하다

 

★ 민감정보 처리

  ⓐ 원칙적으로 금지되어 있지만 아래와 같은 경우에는 예외적으로 처리할 수 있다

    - 정보주체의 별도 동의가 있는 경우 : 다른 개인정보의 처리와 분리하여 민감정보 처리에 대해 정보주체가 이를 명확히 인지하고 명시적으로 자신의 동의 의사를 밝힌 경우

    - 다른 법률에서 명시적으로 민감정보 처리를 요구하거나 허용하는 경우 : 다른 법령에서 민감정보의 처리를 구체적으로 언급하고 있거나 해석상 요구되는 경우 포함

 

 

 

■ 고유식별번호

 - 개인정보 보호법 제24조에서는 '고유식별정보'에 대해 아래와 같은 규정을 두고 있다

제24조 (고유식별정보의 처리 제한)

① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 "고유식별정보"라 한다)를 처리할 수 없다

 

 1. 정보주체에게 제15조 제2항 각 호 또는 제17조 제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우

 2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우

 - 고유식별정보에는 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 등이 있다 (시행령 규정)

 - 공공, 민간 부문에서 주민등록번호와 같은 개인정보가 관행적으로 광범위하게 수집되고 있으며 개인정보 유출에 대한 위험도 계속 높아지고 있기 떄문에, 민감정보와 마찬가지로 고유식별정보 역시 원칙적으로 그 처리를 제한한다. 단, 아래와 같은 경우 예외적으로 처리가 가능할 수 있다

 

 ★ 고유식별정보 처리

  ① 원칙적으로 금지되어 있지만 아래와 같은 경우에는 예외적으로 처리할 수 있다

    - 정보주체의 별도 동의가 있는 경우

    - 다른 법률에서 명시적으로 민감정보 처리를 요구하거나 허용하는 경우

  ② 법률에서는 주민등록번호를 다량으로 수집, 보유, 활용하여 침해 위험이 높은 경우에 대비하여, 공공기관 및 일정 기준 이상의 개인정보처리자에게는 주민등록번호 대체수단 제공을 의무화하고 있다

  ③ 주민등록번호 외의 대체수단에는 공인인증서, 아이핀(i-Pin), 휴대전화 인증 등의 방법이 있다

  ④ 또한 고유식별정보가 안전하게 보호되도록 분실, 도난, 유출, 변조, 훼손 예방을 위해 암호화 등의 방법으로 안전성을 확보할 것도 같이 언급하고 있다

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」

제27조의 2 (개인정보 처리방침의 공개)

① 정보통신서비스 제공자 등은 이용자의 개인정보를 처리하는 경우에는 개인정보 처리방침을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. <개정 2016.3.22.>

② 제1항에 따른 개인정보 처리방침에는 다음 각 호의 사항이 모두 포함되어야 한다.

 <개정 2012.2.17. , 2016.3.22.>

 

1. 개인정보의 수집ㆍ이용 목적, 수집하는 개인정보의 항목 및 수집방법

2. 개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명(법인인 경우에는 법인의 명칭을 말한다), 제공받는 자의 이용 목적과 제공하는 개인정보의 항목

3. 개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 파기방법(제29조 제1항 각 호 외의 부분 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)

4. 개인정보 처리위탁을 하는 업무의 내용 및 수탁자(해당되는 경우에만 처리방침에 포함한다)

5. 이용자 및 법정대리인의 권리와 그 행사방법

6. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항

7. 개인정보 보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처