오늘날 우리는 다양한 온라인 서비스와 행정 업무를 처리하면서 개인정보를 제공해야 하는 경우가 많습니다. 하지만 모든 개인정보가 동일하게 취급되는 것은 아닙니다. 특히, 민감정보는 일반 개인정보보다 더욱 엄격한 보호를 받아야 하는 정보로 분류됩니다. 이번 글에서는 개인정보 보호법상 민감정보의 개념과 처리 제한에 대해 자세히 알아보겠습니다.
1. 민감정보란 무엇인가?
민감정보는 일반 개인정보보다 더 높은 수준의 보호가 필요한 정보로, 특정 개인의 사상, 신념, 건강 상태, 유전 정보 등과 같이 민감한 내용을 포함하고 있습니다. 개인정보 보호법 제23조제1항 및 시행령 제18조에 따르면, 민감정보는 다음과 같은 정보를 포함합니다:
⊙ 사상, 신념, 정치적 견해, 노동조합·정당 가입·탈퇴 등과 관련된 정보
⊙ 개인의 건강 및 성생활에 관한 정보
⊙ 유전자검사 등의 결과로 얻어진 유전 정보
⊙ 범죄경력자료(형의 실효 등에 관한 법률에 따른 정보)
⊙ 특정 개인을 식별할 목적으로 생성된 신체적, 생리적, 행동적 특징 정보(예: 생체정보)
⊙ 인종 및 민족에 관한 정보
이러한 정보들은 개인의 사생활을 침해할 위험이 크기 때문에 특별한 경우를 제외하고는 수집 및 이용이 엄격히 제한됩니다.
2. 민감정보의 처리 제한
개인정보처리자는 원칙적으로 민감정보를 처리해서는 안 됩니다. 그러나 다음과 같은 경우에는 예외적으로 처리할 수 있습니다.
1) 정보주체의 동의를 받은 경우
민감정보를 수집·이용하거나 제공하려는 경우, 정보주체에게 아래 사항을 명확히 알리고 별도의 동의를 받아야 합니다.
⊙ 개인정보의 수집·이용 목적
⊙ 수집하려는 개인정보의 항목
⊙ 개인정보의 보유 및 이용 기간
⊙ 동의 거부 권리 및 거부 시 불이익 내용
동의는 반드시 일반 개인정보의 처리 동의와 별도로 받아야 하며, 정보주체가 이해할 수 있도록 명확한 방식으로 제공해야 합니다.
2) 법령에 의해 허용되는 경우
법령에서 특정한 목적을 위해 민감정보의 처리를 요구하거나 허용하는 경우에는 동의 없이도 처리가 가능합니다. 예를 들어, 다음과 같은 경우가 해당됩니다.
⊙ 다른 법률에서 정하는 소관 업무 수행에 필요하여 개인정보 보호위원회의 심의·의결을 거친 경우
⊙ 외국정부 또는 국제기구와의 조약 및 협정을 이행하기 위한 경우
⊙ 범죄 수사, 공소 제기 및 유지, 법원의 재판 업무 수행, 형 및 감호처분의 집행 등에 필요한 경우
※ "개인정보"란 살아 있는 개인에 관한 정보로서 다음의 어느 하나에 해당하는 정보를 말합니다(「개인정보 보호법」 제2조제1호).
1. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
2. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 함)
3. 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보
※ "가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말합니다(「개인정보 보호법」 제2조제1호의2).
※ “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말합니다(「개인정보 보호법」 제2조제3호).
※ “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다(「개인정보 보호법」 제2조제5호).
3. 민감정보 처리 위반 시 처벌
민감정보를 부당하게 처리할 경우 개인정보 보호법에 따라 강력한 처벌을 받을 수 있습니다.
⊙ 정보주체의 동의 없이 민감정보를 처리한 경우 → 5년 이하의 징역 또는 5천만 원 이하의 벌금
⊙ 민감정보 보호를 위한 안전조치를 하지 않은 경우 → 3천만 원 이하의 과태료
⊙ 민감정보를 동의 없이 제공한 경우 → 전체 매출액의 3% 이내에서 과징금 부과 가능
또한, 불법적으로 취득한 민감정보를 이용해 경제적 이득을 얻었을 경우, 해당 이익은 몰수되거나 그에 상응하는 금액이 추징될 수 있습니다.
4. 민감정보 보호를 위한 조치
개인정보처리자는 민감정보를 안전하게 관리하기 위해 다음과 같은 조치를 취해야 합니다.
⊙ 접근 권한 통제
민감정보에 대한 접근 권한을 최소화하고, 필요한 사람만 접근할 수 있도록 설정해야 합니다.
⊙ 암호화 저장
민감정보를 저장할 때는 반드시 암호화하여 보호해야 합니다.
⊙ 안전한 전송 방식 사용
이메일, 네트워크 등을 통해 민감정보를 주고받을 때 보안이 강화된 방식(예: SSL, VPN 등)을 사용해야 합니다.
⊙ 보관 기간 제한
민감정보는 필요한 기간 동안만 보관하고, 보관 기간이 지나면 안전한 방법으로 폐기해야 합니다.
⊙ 비공개 선택 옵션 제공
민감정보가 포함될 가능성이 있는 서비스에서는 정보주체가 비공개를 선택할 수 있도록 해야 합니다.
5. 결론
민감정보는 개인의 프라이버시와 직결되는 중요한 정보이므로 일반 개인정보보다 더욱 철저한 보호가 필요합니다. 따라서 개인정보처리자는 민감정보를 처리할 때 법적 요건을 철저히 준수하고, 정보주체의 권리를 충분히 보장해야 합니다. 또한, 개인정보 보호법을 위반할 경우 강력한 처벌이 뒤따를 수 있으므로, 기업과 기관들은 이를 숙지하고 철저한 보안 조치를 마련해야 합니다. 개인정보 보호는 단순한 법적 의무를 넘어 신뢰를 구축하는 중요한 요소입니다. 안전한 정보 관리를 통해 개인정보를 보호하고, 정보주체가 안심하고 서비스를 이용할 수 있도록 노력해야 하겠습니다.
출처 찾기쉬운 생활법령 정보 https://www.easylaw.go.kr