[개인정보 A to Z] "이런 것도 개인정보에 속하나요?" Q&A로 살펴보는 개인정보 보호의 중요성!
다들 잘 아시겠지만 리마인드 차원에서 한 번 더 짚고 넘어갈게요. 개인정보란 무엇이냐? '살아있는 개인을 알아볼 수 있는 정보, 다른 정보와 쉽게 결합해 특정 개인을 식별할 수 있는 정보'를 의미합니다. 특정 개인을 식별할 수 있는 정보로는 주민번호, 영상정보, 지문 등이 해당되겠어요. 개인정보의 종류는 일반적 정보, 통신 위치 정보, 사회적 정보, 정신적 정보, 신체적 정보, 재산적 정보로 나눌 수 있으며 개인정보의 범위는 아래 표를 참고해주세요!
개인정보의 종류
일반적 정보 |
주민등록번호, 이름, 주소, 전화번호 |
통신 위치 정보 |
통화, IP주소, GPS 등 |
사회적 정보 |
교육 정보, 근로 정보, 자격 정보 |
정신적 정보 |
기호, 성향, 신념, 사상 |
신체적 정보 |
신체정보, 의료, 건강정보 |
재산적 정보 |
개인, 신용정보, 부동산, 주식 |
개인정보의 범위
등급 |
등급설명 |
분류 |
대상 개인정보 |
1등급 |
그 자체로 개인의 식별이 가능하거나 매우 민감한 개인정보 또는 관련 법령에 따라 처리가 엄격하게 제한된 개인정보 |
고유식별정보 |
주민등록번호, 여권번호, 운전면허번호, 외국인 등록번호 |
민감정보 |
사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 병력, 신체적·정신적 장애, 성적 취향, 유전자 검사 정보, 범죄 경력정보 등 사생활을 현저하게 침해할 수 있는 정보 |
||
인증 정보 |
비밀번호, 바이오정보(홍재, 지문 등) |
||
신용정보/금융정보 |
신용정보, 신용카드번호, 계좌번호 등 |
||
의료 정보 |
건강상태, 진료기록 등 |
||
위치정보 |
개인 위치정보 등 |
||
2등급 |
조합되면 명확히 개인의 식별이 가능한 정보 |
개인 식별 정보 |
이름, 주소, 전화번호, 핸드폰번호, 이메일주소, 생년월일, 성별 등 |
개인 관련 정보 |
학력, 직업, 키, 몸무게, 혼인여부, 가족상황, 취미 등 |
||
3등급 |
개인식별정보와 조합되면 부가적인 정보를 제공하는 간접 개인정보 |
자동생성정보 |
IP주소, MAC주소, 사이트 방문기록, 쿠키 등 |
가공정보 |
통계성 정보, 가입자 성향 등 |
||
제한적 본인 식별정보 |
회원번호, 사번, 내부용 개인식별정보 등 |
※ 출처: 한국인터넷진흥원(KISA)
자, 이제부터 본격적으로 개인정보에 관한 Q&A 시간을 가져볼게요! 질문 들어갑니다~
Q1. 휴대전화번호 뒤 4자리도 개인정보에 해당할까요?
A. 휴대전화번호 뒷자리 4자만으로도 그 전화번호 사용자가 누구인지를 식별할 수 있는 경우가 있고, 특히 그 전화번호 사용자와 일정한 인적 관계를 맺어온 사람이라면 더더욱 그러할 가능성이 높겠지요. 설령 휴대전화번호 뒷자리 4자만으로는 그 전화번호 사용자를 식별하지 못하더라도 그 번호와 관련 있는 다른 정보 (생일, 기념일, 집 전화번호, 가족 전화번호, 기존 통화내역 등)과 쉽게 결합하여 그 전화번호 사용자가 누구인지를 알아볼 수도 있기 때문에 개인정보로 볼 수 있습니다! (대전지법 논산지원, 2013고단17판결)
Q2. 개인정보 유출되면 어떤 피해가 있어요?
A. 개인과 기업, 국가 3가지 차원으로 나누어서 살펴보겠습니다. 개인의 경우, 정신적 피해 및 보이스 피싱 등에 의한 금전적 손해가 발생할 수 있으며, 유괴 등의 생명, 신체를 위협하는 각종 범죄에 노출될 우려가 있어요. 기업은 이미지 실추 및 소비자단체 등의 불매운동, 다수 피해자에 대한 집단적 손해 배상 등으로 재정적 손실이 발생하겠습니다. 국가 차원에서는 정부, 공공행정의 신뢰도 및 국가 브랜드가 하락할 수 있고 이에 따라 수출에 어려움이 발생하기도 합니다. 피부로 더 와 닿을 수 있도록, 개인정보 유출 시 그 피해가 얼마나 치명적인지 최근 사례도 같이 훑어보고 넘어갈까요?
(개인) 생명에 위협을 받았어요!
"경북하나센터 해킹당해, 탈북민 997명 개인정보 유출"
경북 지역에 거주했던 탈북민 997명의 이름, 생년월일, 주소 등이 담긴 개인정보가 해킹을 통해 유출됐어요. 탈북민의 지역 정착을 지원해주는 하나센터 앞으로 악성코드가 심어진 해킹 메일이 왔고, 직원이 해당 메일을 열람하다가 개인정보가 유출됐습니다. 탈북민들은 자신보다도 북한에 있는 가족들의 신변이 걱정돼 잠을 못 이뤘다고 해요.
▶ 관련 기사: 오마이뉴스 바로가기
(기업) 손해배상은 물론 기업 이미지도 실추됐어요!
"인터파크, 개인정보 유출 관련 45억 과징금"
해킹 사건으로 1천만 명 이상의 고객 정보가 유출된 인터넷 쇼핑몰 인터파크가 45억의 과징금을 내게 됐어요. 해커가 가족을 사칭한 이메일로 한 직원의 사내 PC를 악성 코드에 감염시키고 전산망에 침입하면서, 아이디와 비밀번호, 휴대전화 번호, 주소 등 1천 30만여 명의 고객 정보가 유출됐습니다.
▶ 관련 기사: KBS NEWS 바로가기
Q3. 학원에서 수강생의 성명, 성별, 생년월일, 지역, 출신학교, 휴대전화번호 등을 적으라고 하는데, 과도한 수집이 아닌가요?
A. 학원은 「학원의 설립, 운영 및 과외교습에 관한 법률 시행규칙」 제 16조에 따라 수강생 대장을 기록, 유지해야 합니다. 수강생 대장에는 등록번호, 성명, 생년월일, 주소, 전화번호, 입원 연월일, 퇴원 연원일 등을 기재하도록 하고 있는데요, 그 외 성별이나 지역, 출신학교는 법령에서 정한 항목이 아니므로 학원 운영을 위해 반드시 필요한 경우가 아니라면 수집하지 말아야 합니다.
※ 출처: 한국인터넷진흥원, 개인정보 보호 상담 사례집, 2017.1
이와 비슷하게, 주변에서 쉽게 볼 수 있는 '개인정보 수집 목적 외 이용, 제3자 제공' 사례에는 어떤 것들이 있을까요?
(목적 외 이용 위반 사례)
- 사전 동의 절차 없이 교육 등 마케팅 홍보자료를 이메일 발송한 경우
- 세무 공무원이 자신과 채권·채무 관계로 소송 중인 사람의 납세정보를 조회해 소송에 활용한 경우
- 상품배송을 목적으로 수집한 개인정보를 동의받지 않고 상품, 서비스의 홍보에 이용한 경우
- 인물검색 포털 등에 공개된 개인정보를 활용해 마케팅에 이용하는 경우
(목적 외 제공 위반 사례)
- 주민센터 복지카드 담당 공무원이 복지카드 신청자의 개인정보를 정보 주체의 동의 없이 사설 학습지 회사에 제공
- 홈쇼핑 회사가 주문상품을 배달하기 위해 수집한 고객정보를 정보 주체의 동의 없이 계열 콘도미니엄 사에 제공해 콘도미니엄 판매용 홍보자료 발송에 활용
- 자치단체가 운영하는 쇼핑몰의 회원에게 동의 없이 자치단체장의 시정 현황 홍보
- 선거인명부를 법적 근거 없이 지역 내 후보자 선거사무소에 제공
Q4. 대학 홈페이지 등에 공개된 교수 등의 개인정보를 이용해 인물 DB를 만드는 경우, 고려해야 할 사항은 어떻게 되나요?
A. 이른바 '공개된 개인 정보'는 당초 공개된 목적 내에서만 이용할 수 있습니다. 예컨대 동창회 명부라면 해당 회원들의 상호 연락 및 친목 도모에만 이용될 수 있으며, 회원은 동의를 얻지 않은 마케팅 행위 등에는 이용할 수 없습니다. 대학 홈페이지에 공개된 교수의 개인정보는 학술연구와 자문, 저술 활동, 기고 등에 쓰일 것을 전제하고 있다고 보이므로 정보 주체에게 개인정보 수집에 대한 동의를 받을 필요는 없으나, 만약 정보 주체가 요구한 경우에는 즉시 개인정보의 수집 출처, 처리 목적, 개인정보 처리의 정지를 요청할 권리가 있다는 사실을 고지해야 합니다.
Q5. 공공기관이 입사지원서에 주민등록번호를 기재하도록 요구하는데 적법한 것인가요?
A. 채용지원 단계에서는 주민등록번호를 수집할 수 없습니다. 다만 채용이 결정된 후 법령을 근거로 주민등록 처리를 요구하는 경우 수집이 가능합니다. 입사지원서 접수, 필기시험, 면접 등 채용 전형 과정에서는 해당 전형에 필요한 최소한의 개인정보만 수집해야 합니다. 특히 주민등록번호는 법령에 처리 근거 등의 예외적인 사유가 존재하지 않은 한 원칙적으로 수집이 금지되므로 채용 전형 과정에서는 주민등록번호를 처리할 수 없습니다. 다만 채용 결정 후 사용자가 근로자 의무 보험 또는 국민연금 등을 처리해야 할 법령상의 의무 이행을 위해 관련 법률에 따라 제공해야 하므로 수집이 가능하고, 이때는 근로자의 동의가 필요하지 않습니다.
※ 출처: 행정안전부, KISA (개인정보 보호법 주요 내용)