2024 개인정보 사례집 발간

2024 개인정보 사례집.pdf

0.86MB

2024년 6월 30일부로 개보위(개인정보보호위원회)에서 개인정보 사례집을 새로 발간했다.

CPPG를 준비하면서 개인정보 사례집은 많이 봤었는데 최신화된 사례집을 보면서 개인정보 여부를 검증하는 최근 사례는 어떤 것이 있는지 확인할 수 있었다. 이 중 조금 특이한 사례들이 있어 가져와 봤다.

[1. 엑스레이 사진]

Q. 개인의 치아 엑스레이 사진이 개인정보에 해당하나요?
A. ① 치아 엑스레이 사진 그 자체만으로는 개인정보에 해당하지 않을 수 있으나, ② 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있다면 개인정보에 해당할 수 있습니다.

설명: ① 치아 엑스레이 사진만으로 정보주체를 알아볼 수 없는 경우 개인정보 보호법에서 보호하는 개인정보로 보기 어려우나, ② 진료기록 등 설명 데이터가 있어 이를 쉽게 결합하여 특정 개인을 알아볼 수 있는 경우 개인정보에 해당합니다.
※ 개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우도 포함됩니다(개인정보 보호법 제2조 제1호).

위 사례의 경우 엑스레이 사진에 대해 개인정보 여부를 파악하고 있는데 당연 사진 자체만으로는 개인정보로 인식될 수 없을 것이나 다른 정보와 결합된다면 충분히 개인정보로 볼 수도 있게 된다.

 

[ 2. 얼굴 사진 ]

[개인정보의 정의] – 2024년 사례집, 제9면

Q. 얼굴 사진이 민감정보에 해당하나요?
A. 아니요, 얼굴 사진은 일반적으로 개인정보에 해당하나, 민감정보에는 해당하지 않습니다.

설명: 민감정보는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보 등을 의미합니다(개인정보 보호법 제23조, 동법 시행령 제18조 제3호). 따라서 여권사진이나 증명사진 등 얼굴 사진은 일반적으로 개인정보에 해당하나 민감정보에는 해당하지 않습니다.
* 다만, 일반적인 얼굴 사진을 차후에 인증·식별 등의 목적으로 일정한 기술적 수단으로 처리할 경우 해당 정보는 개인정보 보호법 시행령 제18조 제3호에 따른 민감정보에 해당합니다.

개보법에서 기본적으로 '민감정보'라 함은 위 설명과 같이 사상, 신념, 건강, 성생활 등의 정보로 볼 수 있다. 여기서 얼굴 사진과 같은 경우도 요즘엔 신상 공개 등이 논란이 되는 경우가 많아서 민감정보로 해당도 되지 않을까 생각해봤는데 얼굴 사진은 아직 민감정보에는 해당되지 않는다고 한다. 하지만 사회의 흐름에 따라서 법이 바뀐다면 충분히 민감정보로 바뀔수도..

 

[ 3. 연구용 가명정보의 상업적 이용 ]

[가명정보] – 2024 사례집, 제29면

Q. 과학적 연구 등 목적으로 가명정보를 처리하는 경우, 그 가명정보를 유상 판매하는 것이 가능한가요?
A. 네, 과학적 연구 등 목적으로 가명정보를 처리하면서 그 대가를 받는 것은 가능합니다.

설명: 통계작성, 과학적 연구, 공익적 기록보존 등의 목적 내에서 가명정보를 제공하면서 제공에 소요된 비용에 대해 적절한 기준에 따라 산정하여 대가를 받는 것은 가능합니다. 그러나, 해당 목적 범위를 벗어나 판매할 목적으로 가명정보를 처리하는 것은 허용되지 않습니다(개인정보 보호법 제28조의2).

이건 좀 헷갈렸는데 가명정보의 경우는 통계작성, 연구 등 목적이라면 해당 대상의 동의 없이도 마음대로 사용할 수 있다. 다만, 이걸 상업적으로 판매하는 것도 가능한가?에 대해 헷갈릴 수 있는데 상업적 이용 또한 가능한 것으로 보인다. 가명정보는 사실 그 자체로 개인을 알아보기 어려우니 사실상 이렇게 써도 큰 상관이 없지 않을까 싶기도 하다.

 

[ 4. 가명정보 여부 ]

[가명정보] – 2024사례집, 제30면

Q. 이름, 주민등록번호 등 개인을 직접 알아볼 수 있는 정보만 삭제하면 가명정보가 되나요?
A. 아니요, 가명처리 시 그 자체로 개인을 알아볼 수 있는 정보는 삭제해야 하며 개인식별 가능성도 종합적으로 고려해야 합니다.

설명: 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 안 되므로(개인정보 보호법 제28조의2 제2항), 개인정보를 가명처리하는 경우 그 자체로 개인을 직접적으로 알아볼 수 있는 정보인 성명, 고유식별정보 등은 삭제하여야 합니다. 또한 ‘성별’, ‘연령’, ‘거주 지역’ 등 단일 항목으로는 특정 개인을 알아볼 수 없으나 다른 정보와 결합되었을 때에는 특정 개인을 알아볼 가능성이 높은 정보나 또는 희귀성씨나 특정지역 국회의원이라는 지위와 같이 그 자체로 특정 개인을 알아볼 가능성이 높은 정보(특이정보)가 포함되어 있는 경우에는 제반 정보를 종합적으로 고려하여 개인이 식별될 위험도를 낮춰야 안전한 가명정보로 볼 수 있습니다.

가명정보는 기본적으로 그 자체만으로 개인을 식별할 수 없어야하는게 정석인데 개인정보만 삭제하면 가명정보가 되느냐를 물어본 것이다. 하지만 단순히 그것만 삭제한다고 해도 여전히 개인 식별이 가능할 우려가 존재하기 때문에 개인식별 가능성을 종합적으로 고려해야 할 것이다.

 

[ 5. 감염병 환자의 개인정보 ]

[개인정보 공개∙개인정보 유출] – 2024 사례집, 제35면

Q. 감염병 환자의 개인정보는 어느 정도까지 공개할 수 있나요?
A. 주의 이상의 위기경보 발령 시 감염병 환자의 이동경로 등은 신속히 공개하여야 하나, 감염병 예방과 관계없는 정보는 공개대상에서 제외됩니다.

설명: 감염병 확산으로 인해 ‘주의’ 이상의 위기경보가 발령되면 ‘감염병 환자의 이동경로, 이동수단, 진료의료기관 및 접촉자 현황, 감염병의 지역별·연령대별 발생 및 검사 현황’ 등 국민들이 감염병 예방을 위하여 알아야 하는 정보를 신속히 공개하여야 하나(재난 및 안전관리 기본법 제38조 제2항, 감염병의 예방 및 관리에 관한 법률 제34조의2 제1항), ‘성별, 나이, 성명, 읍·면·동 단위 이하의 거주지 주소’ 등 감염병 예방과 관계없다고 판단되는 정보는 공개대상에서 제외됩니다(감염병의 예방 및 관리에 관한 법률 시행령 제22조의2 제1항).

최근까지만 해도 감염병이 대 유행을 탄 만큼 이러한 법도 잘 인식하고 있어야하는데, 감염병 환자의 이동경로 등은 별도 동의 없이 신속하게 공개된다. (재난관리법에 따라서, 개보법보다 타 법이 우선시되는것은 알고 있을 것이다.) 단, 감염병 예방이나 대응과 관련 없는 정보(성별, 나이, 성명 등)는 공개대상에서 제외가 된다고 한다.