개인정보보호법 제23조(민감정보의 처리 제한)

개인정보보호법 제23조는 민감정보의 처리 제한에 관해 다룹니다.

1항부터 하나씩 해설하며 이해해보겠습니다.

① 개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.

개보법에서 정의하는 민감정보란 위와 같이 사상ㆍ신념, 노동조합ㆍ정당의 가입 및 탈퇴 여부, 정치적 견해, 건강정보, 성생활, 유전정보, 범죄기록, 인종ㆍ민족 정보로 정의하고 있습니다.

이러한 것들은 개인정보 중에서도 민감한 정보일 수 있기 때문에 수집해서는 안 되지만, 다음의 상황들에서는 수집이 허용됩니다.

​

1. 정보주체에게 수집 목적, 수집 항목, 보유 및 이용 기간, 거부 시 불이익을 알리고 다른 개인정보 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우

​

개인정보를 수집할 때 기본적으로 정보주체에게 알려야 하는 것은 4가지로

목.항.기.불입니다.

목적, 항목, 기간, 불이익이죠

​

민감정보는 다른 개인정보보다 특별하기 때문에 별도로 동의를 구해야 합니다.

 

https://brunch.co.kr/@hurang/41#comments

위와 같이 성명, 핸드폰번호 등의 개인정보 수집 항목과 별도로 구분하여

목항기불을 알리고 동의를 구해야 한다는 뜻이죠

​

​

② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.

또한 수집한다고 해서 아무렇게나 이용하면 안 되겠죠.

당연히 안전성 확보조치를 마련해야 합니다.

여기서 말하는 안전성 확보조치는 개보법 시행령 제30조에 나오는데,

항목이 너무 많아서 간략하게 소개하자면 아래를 지키라는 것입니다.

​

1. 안전한 암호화
2. 개인정보처리시스템 접근하는 자의 접근 통제 및 권한 관리
3. 내부 관리 계획 수립ㆍ시행 및 점검

​

 

③ 개인정보처리자는 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알려야 한다.

만약 비공개가 가능한 항목이라면, 공개/비공개 선택 방법을 정보주체가 알기 쉽게 알려야 합니다.

베스트는 디폴트가 비공개로 설정되게끔 운영하는 것이겠죠?

​

이제 사례집을 통해서 알아보겠습니다.

​

​

Q. 얼굴 사진이 민감정보에 해당하나요?

A. 민감정보는 제23조 제1항에서 정의하는 것으로, 개인에게 민감한 정보라고 해서 민감정보로 취급되지 않습니다.

Q. 민감정보, 고유식별정보, 주민등록번호 처리 업무를 위탁할 수 있나요?

A. 네. 제26조 제1항에 따라 개인정보 처리 업무 위탁 계약을 맺은 경우 민감정보 및 고유식별정보 처리 업무를 위탁할 수 있습니다.

Q. 근태관리 목적으로 안면 정보 또는 지문 정보 등의 민감정보를 활용해도 되나요?

A. 아니요. 원칙적으로 민감정보는 정보주체로부터 별도의 동의를 받은 경우나 법령에서 민감정보의 처리를 요구하는 경우 외에는 처리할 수 없습니다. 다만 정보주체의 별도 동의가 있는 경우에는 가능합니다.

오늘의 내용인 개보법 제23조를 정리하면 다음과 같습니다.

1. 민감정보는 정보주체로부터 반드시 별도의 동의를 받아야 한다.
2. 동의를 구할 땐 목.항.기.불을 알려야 한다.
3. 수집한 민감정보는 암호화를 해야하며 안전성 확보조치를 해야 한다.