현행 민감정보 규율내용과 한계 - 정보통신서비스 분야의 민감정보 유형과 보호방안 연구

제 3절 우리나라 민감정보제도 쟁점과 현안

현행「정보통신망법」은 ‘민감정보’라고 명확히 규율하고 있지 않다. 다만 제23조 제1항에서 ‘정보통신서비스 제공자는 ①사상, 신념, ②가족 및 친인척 관계, ③학력(學歷)·병력(病歷), 기타 사회활동 경력 등 개인의 권리·이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개인정보를 타 개인정보에 비하여 특 별히 규정하여 이러한 정보에 대하여는 원칙적으로 수집을 금지하되 ①이용자 의 동의를 받거나 ②다른 법률에 따라 특별히 수집 대상 개인정보로 허용된 경 우에만 필요한 범위에서 최소한으로 수집할 수 있도록 규정하고 있다.

<^{표 2－3}> 개인정보 보호법과 정보통신망법상 민감정보

「개인정보 보호법」이 민감정보의 판단기준을 “사생활 침해 우려”만 규정 하고 있는 반면, 「정보통신망법」은 민감정보의 판단여부를 “사생활 침해”

뿐만 아니라 “개인의 권리·이익 침해”까지 포함하고 있으므로 「정보통신망 법」민감정보의 범위가 더 넓어 질 수 있다.

또한 「개인정보 보호법」은 사생활을 현저히 침해할 우려여부에 대한 해 - 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

개인정보 보호법 정보통신망법

민 감 정보

① 사상·신념

② 노동조합·정당의 가입·탈퇴

③ 정치적 견해

④ 건강, 성생활 등에 관한 정 보

⑤ 유전정보

⑥ 범죄경력에 관한 정보

① 사상, 신념

② 가족 및 친인척관계

③ 학력(學歷)·병력(病歷)

④ 기타 사회활동 경력

열거규정 예시규정

판 단 기준

사생활을 현저히 침해할 우려 가 있는지 여부

개인의 권리·이익이나 사생 활을 뚜렷하게 침해할 우려 가 있는지 여부

석의 여지가 크기 때문에 민감정보로 특별히 보호할 필요가 있다고 사회적 합 의가 이루어진 정보를 상황에 맞게 규정할 수 있도록 대통령령에 위임하여 현 재 6가지 종류의 정보를 민감정보로 열거하고 있다. 반면「정보통신망법」은

“기타 ~~등 개인의 권리·이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개 인정보”라고 규정함으로서 앞에 제시된 정보는 예시적 사항이며 추가적 민감 정보가 법률상 포섭될 수 있도록 규정하고 있다.

<^{표 2－4}> 「개인정보 보호법」과 「정보통신망법」의 규율현황

개인정보 보호법 정보통신망법 비고

수집·

이용

- 정보주체의 동의 - 계약의 체결 및 이행 - 법률에 특별한 규정,

법령상 의무 준수 - 공공기관의 소관 업무 수행 - 정보주체·제3자의 급박 한 생명, 신체, 재산의 이 익

- 개인정보처리자의 정당 한 이익을 달성

- 정보주체의 동의 - 계약의 이행, 요금

정산

- 법률에 특별한 규 정

「개인정보 보 호법」이 「정 보통신망법」

규정 포괄

동의에 의한 수집 시 고지사

항

- 수집·이용 목적 - 개인정보의 항목 - 보유·이용 기간

- 동의 거부 권리가 있다 는 사실 등

- 수집·이용 목적 - 개인정보의 항목 - 보유·이용 기간

「개인정보 보 호법」이 「정 보통신망법」

규정 포괄

개인정 보수집 제한

- 필요최소한 수집 원칙 - 불필요한 정보 수집 거부

에 대하여 서비스 제공 거 부 불가

- 불필요한 개인정보 수집 에는 동의하지 아니할 수 있다는 사실 고지

- 필요최소한 수집 원칙

- 불필요한 정보 수집 거부에 대하여 서비 스 제공 거부 불가

「개인정보 보 호법」이 「정 보통신망법」

규정 포괄

민감정 보

- 원칙: 수집금지

- 예외 : 별도의 동의, 법 령의 요구 또는 허용

- 원칙 : 수집금지 - 예외 : 동의, 법률

에 의해 허용된 경 우

「개인정보 보 호법」이 「정 보통신망법」

규정 포괄

제3자 제공

- 정보주체의 동의

- 법률에 특별한 규정, 법령상 의무 준수 - 공공기관의 법령상 소관

업무 수행

- 정보주체·제3자의 급박 한 생명, 신체, 재산의 이 익

- 정보주체의 동의 - 법률에 특별한 규

정

- 요금정산을 위하여 필요한 경우

「정보통신 망 법 」 상 특 별 규 정 존재

관리

- 개인정보 보호책임자 지정 - 개인정보처리방침 공개 - 개인정보 보호 인증 - 개인정보 영향평가

- 개인정보 보호책임자 지정

- 개인정보처리방침 공개

「개인정보 보 호법」이 「정 보통신망법」

규정 포괄

파기

- 보유기간의 경과 - 처리 목적 달성

- 기타 개인정보가 불필요 하게 되었을 때

- 보유기간 경과 - 수집·이용목적달성 - 사업의 폐업 - 1년 동안 미이용자

정보

「정보통신 망 법 」 상 특 별 규 정 존재

개인정 보누출 통지·

- 지체 없이 해당 정보주 체에게 통지

- 행정자치부장관 또는 전 문기관에 신고

- 24시간 이내에 이 용자에게 통지 - 방송통신위원회 또

는 한국인터넷진흥 원에 신고

규 정 내 용 대동소이 신고기관만 다름

보호조 치

기술적·관리적·물리적 조치 - 내부 관리계획 수립·시행 - 접근 통제 및 권한 제한 조치 - 안전하게 저장·전송할 수

있는 암호화 기술의 적용 - 접속기록 보관, 위·변조 방지 조

치

- 보안프로그램 설치 및 갱신

- 보관시설 마련, 잠금장치

기술적·관리적 조치 - 내부 관리계획 수립·

시행

- 접근 통제장치의 설치·

운영

- 안전하게 저장·전송 할 수 있는 암호화 기술의 적용

- 접속기록 위·변조 방지 조치

「개인정보 보 호법」이 「정 보통신망법」

규정 포괄

문서에서 정보통신서비스 분야의 민감정보 유형과 보호방안 연구 (페이지 37-41)