CPPG14. 개인정보 수집 제한

1. 개인정보 수집 제한

• 제16조 (개인정보의 수집 제한)
  • 1. 개인정보처리자는 제15조 제1항의 각 호 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.
  • 2. 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보와의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다.
  • 3. 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.

2, 민감정보 처리제한

• 개인정보보호법(2024.3.15) 제23조
• 1. 개인정보처리자는 사상 신념 노동조합 정당의 가입 탈퇴 정치적 견해 건강 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보 (민감정보)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다
  • 1. 정보주체에게 제15조 제2항 각 호 또는 제17조 제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
  • 2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
• 2. 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 취함
• 3. 개인정보처리자는 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알려야 한다.

*유전정보, 범죄경력 정보는 공공기관이 업무수행을 위하여 처리하는 경우에는 민감정보로 보지 아니하므로, 이 경우에는 정보주체로부터의 별도 동의 없이 처리가 가능

3. 공공기관이 업무수행을 위해 정보주체의 별도 동의 없이 처리 가능 경우

• 개인정보보호법 시행령 제18조 (민감정보의 범위)
• 공공기관 해당 정보, 개인정보보호법 시행령 제19조 (고유식별정보의 범위) 공공기관 해당 정보
• 5. 개인정보를 목적 외의 용도로 이용하거나 이를 제삼자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 있는 경우로서 보호위원회의 심의 의결을 거친 경우
• 6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
• 7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
• 8. 법원의 재판업무 수행을 위하여 필요한 경우
• 형 및 감호, 보호처분의 집행을 위하여 필요한 경우

4. 고유식별정보 처리제한

• 제24조(고유식별정보의 처리제한)
• 1. 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 '고유식별정보'로 한다)를 처리할 수는 없다
  • 1. 정보주체엑 제15조 2항 각 호 또는 제17조 제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도의 동의를 받은 경우
  • 2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
• 2. 삭제
• 3. 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실, 도난, 유출, 위조, 변조 또는 훼손하지 않도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다
• 4. 보호위원회는 처리하는 개인정보의 종류, 규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제3항에 따라 안정성 확보에 필요한 조치를 하였는지에 관하여 대통령령으로 정하는 바에 따라 정기적으로 조사하여야 한다.
• 5. 보호위원회는 대통령령으로 정하는 전문기관으로 하여금 제4항에 따른 조사를 수행할 수 있다.

5. 고유식별번호

• 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령명으로 정하는 정보
• 시행령에서는 고유식별정보의 범위를 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호로 지정
• 시행령에 따른 고유식별정보는 공공기관이 다음의 업무수행을 위하여 처리하는 경우에는 고유식별정보로 보지 않음
• 고유식별정보 처리 허용 법령
  • 1. 금융실명 거래 및 비밀보장에 관한 법률
  • 2. 후견등기에 관한 법률
  • 3. 아동학대범죄의 처벌 등에 관한 특례법 시행령
  • 4. 청소년보호법
  • 5. 정보통신망법
• 보호위원회는 공공기관 또는 5만 명 이상 정보주체의 고유식별정보를 처리하는 개인정보 처리자에 대해서는 고유식별정보의 안전성 확보 조치를 하였는지를 2년마다 1회 이상 조사
• 보호위원회는 온라인 또는 서면을 통하여 필요한 자료를 ㅈ출하게 하는 방법
• 한국인터넷진흥원 또는 보호위원회가 정하여 고시하는 전문기관으로 하여금 조사 수행

6, 주민등록번호 처리제한

• 개인정보보호법 제24조의 2
  • 제24조 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.
    • 1. 법률, 대통령령, 국회규칙, 대법원규칙, 헌법재판소규칙, 중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
    • 2. 정보주체 또는 제삼자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
    • 3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회가 고시로 정하는 경우
  • 개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실 도난 유출 위조 변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관해야 한다.
  • 개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원을 가입할 수 있는 방법을 제공하여야 함
• 정보통신망법 제23조의 2
  • 정보통신서비스 제공자는 다음의 각 호의 어느 하나에 해당하는 경우를 제외하고는 이용자의 주민등록번호를 수집, 이용할 수 없다.
  • 1. 제23조의 3에 따라 본인확인기관으로 지정받은 경우
  • 2. 삭제
  • 3. [전기통신사업법] 제38조제1항에 따라 기간 통신사업자로부터 이동통신서비스 등을 제공받아 재판매하는 전기통신사업자가 제23조의 3에 따라 본인확인기관으로 지정받은 이동통신사업자의 본인확인업무 수행과 관련해 이용자의 주민등록번호를 수집, 이용하는 경우