CPPG 18. 개인정보 간접 수집

1. 개인정보 간접 수집

• 정보주체 이외란?
  • 정보주체 이외로부터 수집한 개인정보에는 제삼자로부터 제공받은 정보, 신문 잡지, 인터넷 등에 공개되어 있어 수집한 정보 등이 해당됨.
  • 인물 DB 사업자가 학교, 기관 홈페이지 등에 공개된 자료를 통하여 개인정보를 수집하는 경우가 이에 해당한다. 그러나 자체적으로 생산하거나 생성된 정보는 제외함
• 통지 거부 사유
  • 통지로 인하여 다른 사람의 생명, 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 때에도 개인정보처리자는 정보주체의 고지요구를 거부할 수 있음
  • 수사기관이 제보자 또는 참고인의 신분을 피의자에게 알릴 경우 생명, 신체의 위험이 따를 수 있으므로 개인정보의 출처 통지를 거부할 수 있음
  • 개인정보보호법에 따른 정보주체의 권리보다 명백히 우선하는 경우에만 한함
• 개인정보 자동수집 장치 (쿠키)
  • 이용자에게 개별적인 맞춤서비스를 제공하기 위해 이용정보를 저장하고 수시로 불러오는 쿠키를 사용
  • 쿠키는 웹사이트를 운영하는데 이용되는 서버(http)가 이용자의 컴퓨터 브라우저에게 보내는 소량의 정보이며 이용자들의 PC 컴퓨터 내 하드디스크에 저장
  • 쿠키의 사용목적은 이용자가 방문한 각 서비스와 웹 사이트들에 대한 방문 및 이용형태, 인기검색어, 보안접속 여부 등을 파악하여 이용자에게 최적화된 정보 제공을 위해 사용
• 가명정보의 처리에는 사용되지 않음
• 대량의 개인정보처리자 간접 수집 시 통지 의무
  • 통지의무가 부과되는 개인정보처리자 요건
    • 5만명 이상 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 자
    • 100만 명 이상의 정보주체에 관한 개인정보를 처리하는 자
  • 통지해야 할 사항
    • 개인정보의 수집 출처
    • 개인정보의 처리 목적
    • 개인정보 처리의 정지를 요구할 권리가 있다는 사실
  • 통지 시기
    • 개인정보를 제공받는 날로부터 3개월 이내
    • 단, 동의를 받는 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는 제공받은 날로부터 3개월 이내에 통지하거나 그 동의를 받은 날로부터 기산하여 연 1회 이상 통지
  • 통지 방법
    • 서면, 전화, 문자 전송, 전자 우편 등 정보주체가 쉽게 ㅇㄹ 수 있는 방법

2. 목적 외 이용 및 제공 제한

• 목적 외 이용사례
  • 공무원들에게 업무용으로 발급한 이메일 계정 주소로 사전 동의절차 없이 교육 마케팅 홍보자료를 발송한 경우
  • 조세 담당 공무원이 자신과 채권채무 관계로 소송 중인 사람에 관한 납세정보를 조회하여 소송에 이용한 경우
  • 상품 배송을 목적으로 수집한 개인정보를 사전에 동의받지 않은 자사의 별도 상품, 서비스의 홍보에 이용
  • 고객 만족도 조사, 판촉 행사, 경품 행사에 응모하기 위하여 입력한 개인정보를 사전에 동의받지 않고 자사의 할인판매행사 안내용 광고물 발송에 이용
  • A/S 센터에서 고객 불만 및 불편 사항을 처리하기 위해 수집한 개인정보를 자사의 신상품 광고에 이용
  • 공개된 개인정보의 성격과 공개 취지 등에 비추어 그 공개된 목적을 넘어 DB 마케팅을 위하여 수집한 후 이용하는 행위
• 목적 외 제공사례
  • 주민센터 복지카드 담당 공무원이 복지카드 신청자의 개인정보 (홍보 마케팅 등으로 개인정보 제공을 동의하지 않은 경우)를 정보주체의 동의 없이 사설학습지 회사에 제공
  • 홈쇼핑 회사가 주문상품을 배달하기 위해 수집한 고객정보를 정보주체의 동의 없이 계열 콘도미니엄사에 제공하여 콘도미니엄 판매용 홍보자료 발송에 활용

3. 개인정보를 목적 외의 용도로 이용, 제공이 가능한 경우

• 공공기관, 공공기관 외 둘 다 가능
  • 정보주체의 별도의 동의가 있는 경우
  • 다른 법률에 특별한 규정이 있는 경우
  • 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소 불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제삼자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
  • 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우
• 공공기관만 가능
  • 개인정보를 목적 외의 용도로 이용하거나 이를 제삼자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의, 의결을 거친 경우
  • 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에게 제공하기 위하여 필요한 경우
  • 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
  • 법원의 재판업무 수행을 위하여 필요한 경우
  • 형 및 감호, 보호처분의 집행을 위하여 필요한 경우
• 다른 법률의 특정한 규정 사례
  • 소득세법 제170조에 따른 세무공무원의 조사, 질문
  • 감사원법 제27조에 따른 감사원의 자료 요구
  • 국가유공자 등 예우 및 지원에 관한 법률 제77조에 따른 국가보훈처장의 자료제공 요구
  • 병역법 제81조 제2항에 따른 병무청장의 자료제공 요구
  • 부패방지 및 국민권익위원회 설치와 운영에 관한 법률 제42조 제1항 및 제3항에 따른 국민권익위원회의 자료제출 요청 등
• 개인정보의 단계별 규제 수준 비교
  • 수집 이용 및 제공기준
    • 동의: 정보주체의 동의를 받은 경우 -> 수집 이용 및 제공 가능
    • 법률 규정: 법률에 특별한 규정이 있거나 법률상 의무를 준수하기 위하여 불가피한 경우 -> 수집 및 해당 목적범위 안에서 이용, 제공 가능
    • 공공기관 소관 업무 수행
      • 공공기관이 소관 업무의 수행을 위하여 불가피한 경우 -> 수집 및 해당 목적범위 안에서 이용, 제공 가능
    • 계약 이행: 계약의 이행을 위하여 불가피하게 수반되는 경우 -> 수집 및 해당 목적 범위 안에서 이용 가능(제공 불가)
    • 정보주체 또는 제삼자의 이익
      • 정보주체 또는 제3자의 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우로서 정보주체의 사전 동의를 받기 곤란한 경우 -> 수집 및 해당 목적범위 안에서 이용, 제공 가능
    • 개인정보처리자의 이익
      • 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백히 정보주체의 권리보다 우선하는 경우 -> 수집 및 해당 목적범위 안에서 이용 가능 (제공불가)
  • 목적 외 이용, 제공 기준
    • 공통 기준: 정보주체 또는 제3자의 이익을 부당하게 침해하지 않는 범위 안에서만 목적 외 이용, 제공이 가능
    • 동의: 정보주체로부터 별도의 동의를 받은 경우 (모든 개인정보처리자)
    • 법률 규정: 다른 법률에 특별한 규정이 있는 경우 (모든 개인정보처리자)
    • 공공기관 소관업무 수행
      • 개인정보를 목적 외로 이용하거나 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의를 거친 경우 (공공기관만 적용)
    • 정보주체 또는 제3자의 이익
      • 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
    • 통계 학술 목적
    • 국제 협정 이행
    • 범죄 수사
    • 재판 형, 감호 집행

3. 목적 외 이용, 제공 시 수행 내역

• 1단계: 목적 외 이용 및 제공 가능 여부 확인 (정보주체의 동의를 받아야 하는 경우 동의서 필수)
• 2단계: 제공 방법 확인 (공문, 서면 등)
• 3단계: 제공받는 자에게 이용 목적 및 이용 방법, 그 밖에 사항 제한
• 4단계: 제공 후 안전성확보조치를 위해 구체적인 조치를 마련하도록 문서 (전자문서 등) 요청
• 5단계: 홈페이지 게시 및 목적 외 이용 관리대장에 작성하여 보관

4. 개인정보 목적 외 이용 및 제삼자 제공 시 대장에 기록, 관리해야 하는 사항

• 이용하거나 제공하는 개인정보 또는 개인정보파일 명칭
• 이용기관 또는 제공받는 기관의 명칭
• 이용 목적 또는 제공받는 목적
• 이용 또는 제공의 법적 근거
• 이용하거나 제공하는 개인정보의 항목
• 이용 또는 제공의 날짜, 주기 또는 기간
• 이용하거나 제공하는 형태
• 개인정보보호를 위해 제한을 하거나 필요한 조치를 마련할 것을 요청하는 경우에는 그 내용

5. 관보 또는 인터넷 홈페이지 게재 시점 및 기간

• 게재 시점: 목적 외 이용, 제공한 날로부터 30일 이내
• 게재 기간: 인터넷 홈페이지에 게재하는 경우 10일 이상