2. 2018년 개인정보 보호 상담 사례집

제1장

 

개인정보침해신고센터는 

 

(상담) 담당자가 내용을 확인 후 원칙적으로 7일 이내에 답변

 

(신고) 접수일로부터 60일 이내에 완료하는것을 목적으로 함

 

사례) 선고운동 문자메시지는 영리목적의 광고성 정보에 해당하지 않으며

정보통신망을 이용한 선거운동 정보의 전송은 공직선거법에 합법적으로 가능함에도 불구하고,
선거운동 문자메시지 관련 개인정보침해 상담, 신고가 증가하는 것은 개인정보 수집 출처가 불분명하거나 선거운동 문자메시지의 수신 거부 불응에 대해 개인정보침해라고 느끼는 경향이 높아지고 있음을 보여주고 있음

 

 

제2장

번호	상황	설명	법 조항
개인정보의 수집
1-1	정책홍부 퀴즈이벤트 진행시 개인정보 수집	정부기관이 개인정보 취득 동의 여부만을 확인하고 고지사항의 전부 또는 일부를 알리지 않았다면 정보주체의 동의가 있었다고 보기 어려움	개보법 15조 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 함
1-2	아동의 개인정보 수집	필요 최소한의 정보(성명, 연락처)는 법정대리인의 동의없이 아동으로부터 직접 수집할 수 있습니다. 이 경우 아동에게 자신의 신분과 연락처, 법정대리인의 성명과 연락처를 수집하는 이유를 알려야 합니다. 법정대리인의 동의를 거부하거나 동의여부가 확인되지 않은 경우 수집일로부터 5일 이내에 파기하여야 합니다.  법정대리인의 동의를 받기 위한 용도로만 사용하여야 하며, 정보주체의 동의없이 홍보문자를 보내는 행위는 영리목적 광고성 정보 전송시 사전에 수신 동의를 받도록 규정하고 있는 정보통신망법 제50조1항 위반의 여지를 받을 수 있습니다.	개보법 22조,  정보통신망법 제50조 명시적인 사전동의를 받아야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 사전동의를 받지 아니한다.  1. 수신자와 거래한 것과 동종의 재화 등에 대한 영리목적의 광고성 정보를 전송하려는 경우 2. 전화권유판매자가 육성으로 수신자에게 개인정보의 수집 출처를 고지하고 전화권유를 하는 경우
1-3	선거운동 문자메시지에 대한 수신 거부 불응	정보 수신자의 명시적인 수신거부의사에 반하여 선거운동 목적의 정보를 전송하여서는 안됩니다.  1년 이하의 징역 또는 100만원이하의 벌금에 처할 수 있습니다.  수신거부를 하였음에도 불구하고 계속 문자메시지를 발송한다면 공직선거법 위반에 해당될 수 있습니다.	공직선거법 제82조의5 누구든지 숫자, 부호 또는 문자를 조합하여 전화번호, 전자우편주소 등 수신자의 연락처를 자동으로 생성하는 프로그램 그 밖의 기술적 장치를 이용하여 선거운동정보를 전송하여서는 아니된다.
1-4	선거운동 문자메시지의 스팸 신고 여부	6개월 이내에 자신이 처리하고 수신자와 거래한 것과 동종의 재화 등에 대한 영리목적의 광고성 정보를 전송하려는경우 명시적인 수신거부 의사표시에 반하여 선거운동 목적의 정보를 전송할 수 없도록 규정하고 있으므로 명시적으로 수신거부 의사를 밝힐 필요가 있음	정보통신망법 제50조(영리목적의 광고성 정보 전송 제한)
1-5	회원 가입 시 과도한 개인정보 수집	최소한의 개인정보를 수집하여야 하며, 주민등록번호는 법률 또는 대통령령 등의 근거로 수집하여야 하므로 정보주체의 동의가 있더라도 수집을 할 수 없음	개보법 제16조, 23조, 24조의 2
1-6	관광지 주변 숙박업체의 홍보문자를 위한 개인정보 수집	숙박업체는 홍보문자 발송을 위해 차량 운전자의 전화번호를 이용할 수 없고, 홍보를 위해서는 정보주체의 동의를 받아야 함	개보법 15조
개인정보의 이용, 제3자 제공
2-1	결혼사진업체의 홍보 목적 고객 결혼사진 이용	정보주체는 당초 이용 범위를 초과하여 개인정보가 이용되는 경우 변경되는 내용을 명확하게 인지하고 동의를 하여야 함	개보법 18조
2-2	법률사무소의 업무상 개인정보 누설	업무상 알게 된 개인정보를 누설하거나 권한없이 다른 사람이 이용하도록 제공하여서는 안됩니다. 5년이하의 징역 또는 5천만원 이하의 벌금	개보법 59조 (제59조2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은자)
2-3	영업양도 등의 목적으로 개인정보 이전	서면등의 방법으로 법 제27조1항 각 호의 사항을 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 함	개보법 27조 1. 이전사실 2. 성명, 주소, 연락처 3. 거부권 시행령 29조 인터넷 홈페이지에 30일 이상 게재
2-4	성형 전, 후 사진의 병원 홍보 목적 이용	의료법 등 관련 규정에 따른 진료기록으로써 환자 진료 목적 범위내에서만 수집, 이용할 수 있음	개보법 23조
개인정보 안전성 확보조치
3-1	홈페이지 로그인 비밀번호 암호화 미조치	비밀번호는 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않아야 하는 중요한 정보입니다.  따라서 비밀번호를 정보통신망을 통하여 송수신하는 경우 보안서버 구축 등을 통해 암호화 하여야 합니다.  일방향 암호화하여 저장하여야 합니다.  인증검사 시에는 사용자가 입력한 비밀번호를 일방향 함수에 적용하여 얻은 결과 값과 시스템에 저장된 값을 비교하여 인증된 사용자임을 확인하는 것	정통망법 제28조 시행령 15조 개인정보의 기술적, 관리적 보호조치 기준 6조
3-2	평생교육원 홈페이지 개인정보 포함 파일 노출	1. 엑셀파일을 삭제하여야 하고,  2. 접속자 수 및 파일 다운로드 건수 등을 파악하여 노출 현황을 파악하여야 함 개인정보 처리 절차별 준수사항 금지사항 및 유노출 및 침해 신고 등에 따른 사실 확인 및 보고 절차 등의 개인정보보 교육을 실시하여야 함	개보법 29조
3-3	입사지원자에 대한 불합격 사실 통지 시 개인정보 유출	1) 유출된 개인정보의 항목 2) 유출된 시점과 그 경위 3) 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 4)  개인정보처리자의 대응조치 및 피해 구제절차 5) 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처를 정보주체에게 알려야 함 1천명이상의 정보주체에 관한 통지의무와 조치결과를 지체없이 신고	개보법 29조, 34조 1천명 이상의 정보주체에 관한 개인정보가 유출도니 경우에는 서면등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 제34조 1항 각 호의 사항을 7일 이상 게재하여야 함
3-4	홈페이지 이벤트 참여자 개인정보 노출	성명과 휴대전화번호를 모두 홈페이지에 공개한다면 스팸이나 보이스피싱 등에 개인정보가 악용될 위험성이 있음	개보법 29조, 3조
3-5	개인정보처리방침 공개 의무	알기 쉽고 구체적으로 명확하게 표시	개보법 30조
3-6	SNS 채팅방 개인정보 노출	노출현황 파악, 삭제 요청 개인정보 처리 절차별 준수사항 및 금지사항 개인정보 유노출 및 침해신고 등에 따른 사실 교육 실시	개보법 29조
3-7	개인정보취급자의 개인정보 누설	직무상 알고 있는 개인정보를 누설할 경우 5년 이하의 징역 또는 5천만원 이하의 벌금에 처할 수 있음	정통망법 28조의 2(개인정보의 누설 금지)
3-8	개인정보취급자의 개인정보 무단 이용	개인정보 누설 금지 의무 부여	정통망법 28조의 2
3-9	홈페이지 관리자 페이지 노출	접근 통제 조치를 하여야 함 설계 및 관리 미흡시 인증 우회를 통해 개인정보가 노출 될 수 있음	개보법 29조 1. 개인정보처리시스템 2. 업무용 컴퓨터 3. 모바일 기기 4. 관리용 단말기 등에 접근 통제 관한 조치를 하여야 함
4. 개인정보 파기
4-1	진료기록의 무단 방치	물리적 분쇄, 소각	개보법 21조, 의료법 시행령 15조(계속적인 진료를 위하여 필요한 경우에는 1회에 한정하여 그 기간을 연장하여 보존 할 수 있다)
4-2	홈페이지 장기 미용자 개인정보의 이용	1년 기간 동안 이용하지 경우  별도로 저장, 관리하는 경우 법률에 특별한 규정이 있는 경우를 제외하고는 해당 개인정보를 이용하거나 제공하여서는 안됨 미이용기간 다른 법령 또느 ㄴ정보주체의 요청에 따라 다르게 정할 수 잇습니다. 파기 30일 전까지 파기되는 사실, 기간 만료일 및 파기되는 개인정보항목 등을 전자우편 등을 통해 이용자에게 알려야 함 별도로 저장, 관리하는 경우라면 개인정보 이용내역 통지를 위해 개인정보를 이용하여서는 안됨 *개인정보 이용내역 통지제란? 일정 규모 이상의 사업자는 동의를 받아 개인정보를 수집한 이용자에게 주기적으로 개인정보의 수집, 이용 목적 및 수집한 개인정보의 항목 등을 통지하는 제도	정통망법 29조 시행령 16조 1. 개인정보 파기 : 파기되는 사실, 만료일, 파기되는 개인정보의 항목 2. 다른 이용자의 개인정보와 분리하여 개인정보를 저장, 관리되는 사실, 기간 만료일 및 분리, 저장되어 관리하여야 함
5. 정보주체의 권리
5-1	어린이집 개인영상정보 열람 거부	알아볼 수 없도록 보호조치 하여 열람조치를 하여야 함	영유아 보육 법15조의 5 10일이내 열람장소와 시간을 정하여 보호자에게 통지해야함
5-2	쇼핑몰 주차장 개인영상정보 열람 거부	자동차 등록번호 등으로 차량 소유지를 알아 볼 수 있는 정보이거나 다른 정보와 쉽게 결합하여 알아 볼 수 있는 정보로서 개인정보에 해당할 수 있음 절차에 따라 열람가능하나, 사유가 있을 때는 열람 제한 또는 거절 사유가 있을 때는 안됨(예: 범죄수사, 공소유지 재판수행에 중대한 지장을 초래하는 경우(공공기관에 한함))	개보법 35조(개인정보의 열람)
5-3	개인정보 유출 시 정보주체에 대한 통지 및 신고	(유출) 개보법상의 개인정보 유출이란 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용하는 것입니다. 개인정보처리시스템 해킹, 개인정보가 포함된 파일이 담긴 USB 분실 등이 대표적인 개인정보 유출의 사례입니다.  1) 유출된 항목 2) 유출된 시점과 그 경위 3) 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4)개인정보처리자의 대응조치 및 피해 구제절차 5) 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 해당 정보주체에게 정당한 사유가 없는 한 5일이내에 통지하여야 함 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우라면 서면등에 의한 개별 통지 뿐만 아니라 인터넷 홈페이지에 7일 이상 게재하여야 합니다.  다만 사업자가 정통망법의 정보통신서비스제공자인 경우 개인정보의 유출 사실을 안 때에는 24시간 내 이용자에게 통지하고 유출된 개인정보의 이용자 수를 불문하고 방통위, KISA에 신고하여야 합니다.	개보법 시행령 40조(개인정보 유출 통지의 방법 및 절차) 1천명 이상 유출된 경우 7일 이상 게재하여야 한다. 다만 인터넷 홈페이지를 운영하지 아니하는 개인정보처리자의 경우에는 서면 등의 방법과 함께 사업장 등의 보기 쉬운 장소에 법 34조 제1항 각 호의 사항을 7일이상 게시하여야 함 정통망법 제27조의 3(개인정보 유출등의 통지, 신고) 정당한 사유없이 그 사실을 안 때부터 24시간을 경과하여 통지 신고해서는 안된다.  정당한 사유가 있는 경우에는 법 27조의 3, 1항각 호의 사항을 자신의 인터넷 홈페이지에 30일이상 게시하는 것으로 제1항의 통지를 갈음할 수 있다.  정당한 사유를 지체없이 서면으로 방통위에 소명하여야 한다.
6. 고유식별정보 처리 제한
6-1	주차 차량 등록을 위한 주민등록 번호 수집	법률 및 대통령령이 없다면 고객의 동의 받는다 하더라도 주민등록번호 수집은 허용되지 않음	개보법 24조의2
6-2	티켓 불법 예매 확인을 위한 신분증 사본 요구	(목적 외 )개인정보 수집과는 별도로 불법 예매 여부 확인을 위해 개인정보 제출을 요구하는 것으로 보임 수집, 이용 목적, 보유기간 등에 대해 정보주체에게 명확하게 알리고 수집하여야 함 미리 이용약관이나 개인정보처리방침 등에 게시하는 것이 바람직 본인 확인이 필요한 경우 다른 본인확인 대체 수단을 이용하는 것이 바람직	개보법 3조
6-3	수강신청 환불을 위해 신분증 사본 요구	과도한 개인정보 수집에 해당됨 주소를 확인할 필요가 있으면 증빙서류를 붙이지 아니하고 주민등록증으로 확이하도록 규정하고 있음	주민등록법 17세이상의 자에 대하여 확인할 필요가 있으면 증빙서류를 붙이지 아니하고 주민등록증으로 확인하여야 함 1. 민원서류나 그 밖의 서류를 접수할 때 2. 특정인에게 자격을 인정하는 증서를 발급할 때 3. 그 밖에 신분을 확인하기 위하여 필요할 때
7. 개인영상정보처리기기 설치, 운영
7-1	개인의 임의적인 공개된 장소 CCTV 설치, 운영	예외 사유 1. 법령에서 구체적으로 허용하고 있는 경우 2. 범죄의 예방 및 수사를 위하여 필요한 경우 3. 시설안전 및 화재 예방을 위하여 필요한 경우 4. 교통단속을 위하여 필요한 경우 5. 교통정보의 수집, 분석 및 제공을 위하여 필요한 경우	개보법 25조
7-2	학원 내 다수의 CCTV설치시 안내판 설치	설치할 수 있음	개보법 25조 1. 설치 목적 및 장소 2. 촬영 범위 및 시간 3. 관리책임자 성명 및 연락처 4. 그 밖에 대통령령으로 정하는 사항
7-3	재건축 단치 내 CCTV 설치, 운영	법령에 구체적으로 허용하고 있는 경우나, 공공의 이익을 위하여 필요한 경우에는 예외적으로 설치 운영을 허용하고 있음 보호 의무를 이행하여야 함	개보법 25조 국가중요시설 그 밖에 대통령령으로 정하는 시설에 대해서는 그러하지 아니한다. 도시주거환경정비법 52조 사업시행기간 동안, 폐쇄회로 텔레비전 설치 등 범죄예방대책 등
7-4	CCTV 설치로 인한 타인의 사생활 침해	설치 목적에 따라 타인의 사적 공간을 비추지 않도록 하여야 함	개보법 25조
8. 기타
8-1	타인 계정 도용을 통한 메신저 피싱	계정 도용신고 등을 하여 실제 금전적 피해가 발생하지 않도록 해야함 메신저서비스사업자에 계정 도용 신고 등을 하여 임시 사용 정지 등의 조치를 취하여 더 이상의 메신저 피싱 피해가 발생하지 않도록 하여야 함
8-2	홈페이지 회원 가입 시 명의 도용	해당 계정에 대해서 삭제 또는 처리 정지 요청을 하여야 함 다른 사람의 주민등록번호를 부정사용한 행위는 주민등록법 위반으로 형사처벌 대상이 됨	주민등록법 37조10조 명시한 의사에 반하여 공소를 제기할 수 있음
8-3	SNS 계정 도용을 통한 성인물 게시	계정도용신고 등을 통해 임시 사용 정지 조치 등을 취해 더 이상 도용하지 못하도록 하여야 함