관련 정보 펼치기

현재위치 및 공유하기

홈 
> 생활법령 > 개인정보보호

화면 내 검색

화면 내 검색

본문 영역

 개인정보처리자의 고유식별정보 처리
고유식별정보의 처리 제한 주소복사
고유식별정보의 처리 제한
“고유식별정보”란 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호에 해당하는 정보를 말합니다(규제「개인정보 보호법」 제24조제1항 및 규제「개인정보 보호법 시행령」 제19조 본문).
그러나 공공기관이 위의 정보를 다음에 따라 처리하는 경우의 해당 정보는 고유식별정보에 해당하지 않습니다(규제「개인정보 보호법」 제18조제2항제5호부터 제9호까지 및 규제「개인정보 보호법 시행령」 제19조 단서).
√ 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 않으면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 개인정보 보호위원회의 심의·의결을 거친 경우
√ 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
√ 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
√ 법원의 재판업무 수행을 위하여 필요한 경우
√ 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
개인정보처리자는 다음의 경우를 제외하고는 고유식별정보를 처리할 수 없습니다(규제「개인정보 보호법」 제24조제1항, 제15조제2항 및 제17조제2항).
개인정보 수집·이용의 경우 정보주체에게 다음의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도의 동의를 얻은 경우
√ 개인정보의 수집·이용 목적
√ 수집하려는 개인정보의 항목
√ 개인정보의 보유 및 이용 기간
√ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
개인정보 제공의 경우 정보주체에게 다음의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도의 동의를 얻은 경우
√ 개인정보를 제공받는 자
√ 개인정보를 제공받는 자의 개인정보 이용 목적
√ 제공하는 개인정보의 항목
√ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
√ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
※ "개인정보"란 살아 있는 개인에 관한 정보로서 다음의 어느 하나에 해당하는 정보를 말합니다(「개인정보 보호법」 제2조제1호).
1. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
2. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 함)
3. 위 1. 또는 2. 에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보
※"가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말합니다(「개인정보 보호법」 제2조제1호의2).
※ “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말합니다(「개인정보 보호법」 제2조제3호).
※ “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다(「개인정보 보호법」 제2조제5호).
이를 위반하여 고유식별정보를 처리한 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해집니다(「개인정보 보호법」 제71조제5호).
위 죄를 지은 자가 해당 위반행위와 관련하여 취득한 금품이나 그 밖의 이익은 몰수할 수 있으며, 이를 몰수할 수 없을 때에는 그 가액을 추징할 수 있습니다. 이 경우 몰수 또는 추징은 다른 벌칙에 부가될 수 있습니다(「개인정보 보호법」 제74조의2).
위의 고유식별정보 처리 제한에도 불구하고 개인정보처리자는 다음의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없습니다(규제「개인정보 보호법」 제24조의2제1항).
1. 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
3. 위의 경우에 준하여 주민등록번호 처리가 불가피한 경우로서 「개인정보 처리 방법에 관한 고시」(개인정보보호위원회고시 제2020-7호, 2020. 8. 11. 발령·시행)로 정하는 경우
※ 이를 위반하여 주민등록번호를 처리하는 경우에는 3천만원 이하의 과태료가 부과됩니다(「개인정보 보호법」 제75조제2항제7호).
또한, 개인정보처리자는 위의 어느 하나에 해당하여 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 않고도 회원으로 가입할 수 있는 방법을 제공해야 합니다(규제「개인정보 보호법」 제24조의2제3항).
개인정보처리자는 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 암호화 조치를 통하여 안전하게 보관해야 합니다(규제「개인정보 보호법」 제24조의2제2항).
※ 이를 위반하여 암호화 조치를 하지 않은 경우 또는 정보주체가 주민등록번호를 사용하지 않을 수 있는 방법을 제공하지 않은 경우에는 3천만원 이하의 과태료가 부과됩니다(「개인정보 보호법」 제75조제2항제8호·제9호).
고유식별정보의 안전성 확보 조치
개인정보처리자가 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 다음의 안전성 확보 조치를 해야 합니다(규제「개인정보 보호법」 제24조제3항, 규제「개인정보 보호법 시행령」 제21조제1항, 제30조제1항).

1. 고유식별정보의 안전한 처리를 위한 내부 관리계획의 수립·시행 및 점검

개인정보취급자에 대한 관리·감독 및 교육에 관한 사항

개인정보 보호책임자의 지정 등 개인정보 보호 조직의 구성·운영에 관한 사항

고유식별정보 안전성 확보 조치를 이행하기 위하여 필요한 세부 사항

2. 고유식별정보에 대한 접근 권한을 제한하기 위한 조치

데이터베이스시스템 등 고유식별정보를 처리할 수 있도록 체계적으로 구성한 시스템(이하 “고유식별정보처리시스템”이라 함)에 대한 접근 권한의 부여·변경·말소 등에 관한 기준의 수립·시행

정당한 권한을 가진 자에 의한 접근인지를 확인하기 위해 필요한 인증수단 적용 기준의 설정 및 운영

그 밖에 고유식별정보에 대한 접근 권한을 제한하기 위하여 필요한 조치

3. 고유식별정보에 대한 접근을 통제하기 위한 조치

고유식별정보처리시스템에 대한 침입을 탐지하고 차단하기 위하여 필요한 조치

고유식별정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등으로서 보호위원회가 정하여 고시하는 기준에 해당하는 컴퓨터 등에 대한 인터넷망의 차단. (다만, 전년도 말 기준 직전 3개월 간 그 고유식별정보가 저장·관리되고 있는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제4호에 따른 이용자 수가 일일평균 100만명 이상인 개인정보처리자만 해당)

그 밖에 고유식별정보에 대한 접근을 통제하기 위하여 필요한 조치

4. 고유식별정보를 안전하게 저장·전송하는데 필요한 조치

비밀번호의 일방향 암호화 저장 등 인증정보의 암호화 저장 또는 이에 상응하는 조치

주민등록번호 등 보호위원회가 정하여 고시하는 정보의 암호화 저장 또는 이에 상응하는 조치

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호에 따른 정보통신망을 통하여 정보주체의 고유식별정보 또는 인증정보를 송신·수신하는 경우 해당 정보의 암호화 또는 이에 상응하는 조치

5. 고유식별정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치

고유식별정보처리시스템에 접속한 자의 접속일시, 처리내역 등 접속기록의 저장·점검 및 이의 확인·감독

고유식별정보처리시스템에 대한 접속기록의 안전한 보관

그 밖에 접속기록 보관 및 위조·변조 방지를 위하여 필요한 조치

6. 고유식별정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대해 컴퓨터바이러스, 스파이웨어, 랜섬웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 하는 등의 기능이 포함된 프로그램의 설치·운영과 주기적 갱신·점검 조치

7. 고유식별정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

8. 그 밖에 고유식별정보의 안전성 확보를 위하여 필요한 조치

이를 위반하여 안전성 확보에 필요한 조치를 하지 않은 자는 3천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제2항제5호).
이를 위반하여 고유식별정보를 처리한 경우 개인정보처리자는 개인정보 보호위원회에게 전체 매출액의 100분의 3을 초과하지 않는 범위에서 과징금을 부과 받을 수 있습니다(「개인정보 보호법」 제64조의2제1항제4호).
과징금을 부과한 경우 과징금을 부과한 행위에 대해서는 과태료를 부과할 수 없습니다(「개인정보 보호법」 제76조).
※ 안정성 확보에 대한 자세한 내용은 이 콘텐츠의 <개인정보 침해-개인정보처리자의 대처방안-개인정보 안전성 확보 조치>에서 확인할 수 있습니다.