제 3절 우리나라 민감정보제도 쟁점과 현안
현행「정보통신망법」은 ‘민감정보’라고 명확히 규율하고 있지 않다. 다만 제23조 제1항에서 ‘정보통신서비스 제공자는 ①사상, 신념, ②가족 및 친인척 관계, ③학력(學歷)·병력(病歷), 기타 사회활동 경력 등 개인의 권리·이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개인정보를 타 개인정보에 비하여 특 별히 규정하여 이러한 정보에 대하여는 원칙적으로 수집을 금지하되 ①이용자 의 동의를 받거나 ②다른 법률에 따라 특별히 수집 대상 개인정보로 허용된 경 우에만 필요한 범위에서 최소한으로 수집할 수 있도록 규정하고 있다.
<표 2-3> 개인정보 보호법과 정보통신망법상 민감정보
「개인정보 보호법」이 민감정보의 판단기준을 “사생활 침해 우려”만 규정 하고 있는 반면, 「정보통신망법」은 민감정보의 판단여부를 “사생활 침해”
뿐만 아니라 “개인의 권리·이익 침해”까지 포함하고 있으므로 「정보통신망 법」민감정보의 범위가 더 넓어 질 수 있다.
또한 「개인정보 보호법」은 사생활을 현저히 침해할 우려여부에 대한 해 - 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
개인정보 보호법 정보통신망법
민 감 정보
① 사상·신념
② 노동조합·정당의 가입·탈퇴
③ 정치적 견해
④ 건강, 성생활 등에 관한 정 보
⑤ 유전정보
⑥ 범죄경력에 관한 정보
① 사상, 신념
② 가족 및 친인척관계
③ 학력(學歷)·병력(病歷)
④ 기타 사회활동 경력
열거규정 예시규정
판 단 기준
사생활을 현저히 침해할 우려 가 있는지 여부
개인의 권리·이익이나 사생 활을 뚜렷하게 침해할 우려 가 있는지 여부
석의 여지가 크기 때문에 민감정보로 특별히 보호할 필요가 있다고 사회적 합 의가 이루어진 정보를 상황에 맞게 규정할 수 있도록 대통령령에 위임하여 현 재 6가지 종류의 정보를 민감정보로 열거하고 있다. 반면「정보통신망법」은
“기타 ~~등 개인의 권리·이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개 인정보”라고 규정함으로서 앞에 제시된 정보는 예시적 사항이며 추가적 민감 정보가 법률상 포섭될 수 있도록 규정하고 있다.
<표 2-4> 「개인정보 보호법」과 「정보통신망법」의 규율현황
개인정보 보호법 정보통신망법 비고
수집·
이용
- 정보주체의 동의 - 계약의 체결 및 이행 - 법률에 특별한 규정,
법령상 의무 준수 - 공공기관의 소관 업무 수행 - 정보주체·제3자의 급박 한 생명, 신체, 재산의 이 익
- 개인정보처리자의 정당 한 이익을 달성
- 정보주체의 동의 - 계약의 이행, 요금
정산
- 법률에 특별한 규 정
「개인정보 보 호법」이 「정 보통신망법」
규정 포괄
동의에 의한 수집 시 고지사
항
- 수집·이용 목적 - 개인정보의 항목 - 보유·이용 기간
- 동의 거부 권리가 있다 는 사실 등
- 수집·이용 목적 - 개인정보의 항목 - 보유·이용 기간
「개인정보 보 호법」이 「정 보통신망법」
규정 포괄
개인정 보수집 제한
- 필요최소한 수집 원칙 - 불필요한 정보 수집 거부
에 대하여 서비스 제공 거 부 불가
- 불필요한 개인정보 수집 에는 동의하지 아니할 수 있다는 사실 고지
- 필요최소한 수집 원칙
- 불필요한 정보 수집 거부에 대하여 서비 스 제공 거부 불가
「개인정보 보 호법」이 「정 보통신망법」
규정 포괄
민감정 보
- 원칙: 수집금지
- 예외 : 별도의 동의, 법 령의 요구 또는 허용
- 원칙 : 수집금지 - 예외 : 동의, 법률
에 의해 허용된 경 우
「개인정보 보 호법」이 「정 보통신망법」
규정 포괄
제3자 제공
- 정보주체의 동의
- 법률에 특별한 규정, 법령상 의무 준수 - 공공기관의 법령상 소관
업무 수행
- 정보주체·제3자의 급박 한 생명, 신체, 재산의 이 익
- 정보주체의 동의 - 법률에 특별한 규
정
- 요금정산을 위하여 필요한 경우
「정보통신 망 법 」 상 특 별 규 정 존재
관리
- 개인정보 보호책임자 지정 - 개인정보처리방침 공개 - 개인정보 보호 인증 - 개인정보 영향평가
- 개인정보 보호책임자 지정
- 개인정보처리방침 공개
「개인정보 보 호법」이 「정 보통신망법」
규정 포괄
파기
- 보유기간의 경과 - 처리 목적 달성
- 기타 개인정보가 불필요 하게 되었을 때
- 보유기간 경과 - 수집·이용목적달성 - 사업의 폐업 - 1년 동안 미이용자
정보
「정보통신 망 법 」 상 특 별 규 정 존재
개인정 보누출 통지·
신고
- 지체 없이 해당 정보주 체에게 통지
- 행정자치부장관 또는 전 문기관에 신고
- 24시간 이내에 이 용자에게 통지 - 방송통신위원회 또
는 한국인터넷진흥 원에 신고
규 정 내 용 대동소이 신고기관만 다름
보호조 치
기술적·관리적·물리적 조치 - 내부 관리계획 수립·시행 - 접근 통제 및 권한 제한 조치 - 안전하게 저장·전송할 수
있는 암호화 기술의 적용 - 접속기록 보관, 위·변조 방지 조
치
- 보안프로그램 설치 및 갱신
- 보관시설 마련, 잠금장치
기술적·관리적 조치 - 내부 관리계획 수립·
시행
- 접근 통제장치의 설치·
운영
- 안전하게 저장·전송 할 수 있는 암호화 기술의 적용
- 접속기록 위·변조 방지 조치
「개인정보 보 호법」이 「정 보통신망법」
규정 포괄