[정보보안기사] 개인정보 보호법 총칙 제3장 개인정보의 처리 : 제2절 개인정보의 처리 제한

---

 

[정보보안기사] 개인정보 보호법 총칙 제3장 개인정보의 처리 : 제2절 개인정보의 처리 제한

 

---

 

(제23조/제24조) 민감정보/고유식별정보의 처리 제한

(가) 민감정보 및 고유식별정보는 원칙적으로 처리를 금지한다.

(나) 단, 다음 중 하나에 해당하는 경우에는 민감정보 및 고유식별정보의 처리가 가능하다.

1. 정보주체에게 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 구체적으로 처리를 요구하거나 허용하는 경우
   • 위 규정에도 불구하고 주민등록번호는 법률 또는 법령 등에 구체적으로 처리 근거가 있어야 처리할 수 있음

(다) 개인정보처리자는 민감정보 및 고유식별정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 안전성 확보조치를 해야한다.

---

(제24조의2) 주민등록번호 처리의 제한

(가) 고유식별정보 중 주민등록번호는 정보주체의 동의를 받아도 처리가 불가하며 다음의 어느 하나에 해당하는 경우에만 주민등록번호 처리가 가능하다.

1. 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
3. 위의 사항에 준하는 경우로서 보호위원회가 고시로 정하는 경우

(나) 주민등록번호를 처리하는 경우에도 정보주체가 인터넷(홈페이지 등)으로 회원 가입 시 주민등록번호를 사용하지 않는 가입 방법(대체수단)을 제공해야한다.

---

(제25조) 고정형 영상정보처리기기의 설치·운영 제한

(가) 다음의 경우를 제외하고는 공개된 장소에 고정형 영상정보처리기기 설치·운영을 금지한다.

1. 법령에서 구체적으로 허용하고 있는 경우
2. 범죄의 예방 및 수사를 위하여 필요한 경우
3. 시설의 안전 및 관리, 화재 예방을 위하여 정당한 권한을 가진 자가 설치·운영하는 경우
4. 교통단속을 위하여 정당한 권한을 가진자가 설치·운영 하는 경우
5. 교통정보의 수집·분석 및 제공을 위하여 정당한 권한을 가진 자가 설치·운영하는 경우
6. 촬영된 영상정보를 저장하지 아니하는 경우로서 대통령령으로 정하는 경우
   • 출입자 수, 성별, 연령대 등 통계값 또는 특성값 산출을 위해 촬영된 영상정보로 일시적으로 처리하는 경우

(나) 개인의 사생활을 현저히 침해할 우려가 있는 장소(목욕실, 화장실, 발한실, 탈의실 등)의 내부를 볼 수 있는 고정형 영상정보처리기기 설치·운영을 금지한다.

(다) 고정형 영상정보처리기기를 설치·운영하는 자는 정보주체가 쉽게 인식할 수 있도록 "CCTV 설치 안내"등 필요한 조치를 해야 한다.

1. 설치 목적 및 장소
2. 촬영 범위 및 시간
3. 관리책임자의 연락처

---

(제25조의2) 이동형 영상정보처리기기의 운영 제한

(가) 업무를 목적으로 이동형 영상정보처리기기를 운영하려는 자는 다음의 경우를 제외하고는 공개된 장소에 이동형 영상정보처리기기의 운영을 금지한다.

1. 제15조1항에 따라 개인정보를 수집·이용할 수 있는 경우
2. 촬영 사실을 명확히 표시하여 정보주체가 촬영 사실을 알 수 있도록 하였음에도 거부 의사를 밝히지 않은 경우
   • 정부주체의 권리를 부당하게 침해할 우려가 없고 합리적인 범위를 초과하지 않은 경우로 한정

(나) 개인의 사생활을 현저히 침해할 우려가 있는 장소(목욕실, 화장실, 발한실, 탈의실 등)의 내부를 볼 수 있는 이동형 영상정보처리기기 설치·운영을 금지한다.

(다) 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하는 경우 불빛, 소리, 안내판 등으로 촬영 사실을 표시하고 알려야 한다.

---

(제26조) 업무위탁에 따른 개인정보의 처리 제한

(가) 개인정보의 제3자 제공과 위탁의 차이점

(나) 개인정보의 처리 업무를 위탁하는 경우 다음 내용이 포함된 문서로 해야 한다.

1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적·관리적 보호조치에 관한 사항
3. 그 밖의 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
   • 위탁업무의 목적 및 범위
   • 재위탁 제한에 관한 사항
   • 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
   • 위탁업무에 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
   • 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등의 책임에 관한 사항

(다) 개인정보의 처리 업무를 위탁하는 개인정보처리자(위탁자)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(수탁자)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개해야 한다.

1. 위탁자의 인터넷 홈페이지에 지속적으로 게재
2. 인터넷 홈페이지에 게재할 수 없는 경우에는 다음의 하나 이상의 방법으로 공개
   • 위탁자의 사업자 등의 보기 쉬운 장소에 게시
   • 관보(공공기관인 경우)나 해당 지역을 주된 보급지역으로 하는 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
   • 같은 제목으로 연2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속해서 싣는 방법
   • 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법

(라) 위탁 정보 인터넷 홈페이지 공개 예시(KISA 아카데미 홈페이지 > 개인정보 처리방침)

(마) 재화 또는 서비스의 홍보나 판매를 권유하는 업무(마케팅 업무)를 위탁할 때는 업무 내용과 수탁자를 서면 등의 방법으로 정보주체에게 알려야 한다.

(바) 위탁자는 수탁자가 개인정보를 안전하게 관리할 수 있도록 수탁자를 교육하고 감독한다.

(사) 수탁자는 위탁받은 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공해서는 안된다.

(아) 수탁자는 위탁받은 개인정보의 처리 업무를 제3자에게 다시 위탁하려는 경우에는 위탁자의 동의를 받아야 한다.

(자) 수탁자의 이 법 위반으로 발생한 손해배상책임에 대해서는 수탁자를 위탁자의 소속 직원으로 본다. 즉 위탁자에게 손해배상책임이 있다.