[자료] 연계정보 처리 및 안전조치 등에 관한 안내서

정보통신망법 제23조의5(연계정보의 생성ㆍ처리 등), 제23조의6(연계정보의 안전조치 의무 등)은 2024년 7월 24일부터 시행되고 있었으나 방송통신위원회 내부 이슈로 지연되었던 관련 안내서인 연계정보 처리 및 안전조치 등에 관한 안내서가 최근 공개되었다.

 

https://identity.kisa.or.kr/web/main/bbs/guide/106?cp=1&sortOrder=BA_REGDATE&sortDirection=DESC&bcId=guide&baNotice=false&baCommSelec=false&baOpenDay=false&baUse=true

가이드/지침 | 제도안내 | 연계정보 처리 및 안전조치 등에 관한 안내서(2025.6) | 가이드/지침 | 본

 

예전에는 본인확인기관이 연계정보를 생성･처리하기 위한 요건, 연계정보를 생성･처리하는 과정의 안전조치 의무 등 준수사항, 본인확인기관으로부터 연계정보를 제공받은 자의 연계정보 처리 제한 등 구체적인 사항에 관한 규정이 없어, 법률상 근거 및 안전한 처리를 위한 준수사항 등이 불분명한 상태였기 때문에 이를 개선하기 위해 정보통신망법 개정이 있었다.

개정(신설)된 정보통신망법 제23조의5는 본인확인기관이 정보통신서비스 제공자의 서비스 연계를 위하여 연계정보를 생성･처리 하는 것을 원칙적으로 금지하는 한편, 예외적으로 제1항 각 호에 해당하는 경우에만 연계정보를 생성･처리할 수 있도록 규정하고 있으며, 제23조의6은 본인확인기관 및 연계정보 이용기관의 안전조치 의무를 규정하고 있다.

정보통신망법 제23조의5(연계정보의 생성ㆍ처리 등) ① 본인확인기관은 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 정보통신서비스 제공자의 서비스 연계를 위하여 이용자의 주민등록번호를 비가역적으로 암호화한 정보(이하 “연계정보”라 한다)를 생성 또는 제공ㆍ이용ㆍ대조ㆍ연계 등 그 밖에 이와 유사한 행위(이하 “처리”라 한다)를 할 수 없다.   1. 이용자가 입력한 정보를 이용하여 이용자를 안전하게 식별ㆍ인증하기 위한 서비스를 제공하는 경우   2. 「개인정보 보호법」 제24조에 따른 고유식별정보(이하 이 조에서 “고유식별정보”라 한다)를 보유한 행정기관 및 공공기관(이하 “행정기관등”이라 한다)이 연계정보를 활용하여 「전자정부법」 제2조제5호에 따른 전자정부서비스를 제공하기 위한 경우로서 다음 각 목의 어느 하나에 해당하는 경우    가.「전자정부법」 제2조제4호에 따른 중앙사무관장기관의 장이 행정기관등의 이용자 식별을 통합적으로 지원하기 위하여 연계정보 생성ㆍ처리를 요청한 경우    나. 행정기관등이 고유식별정보 처리 목적 범위에서 불가피하게 이용자의 동의를 받지 아니하고 연계정보 생성ㆍ처리를 요청한 경우   3. 고유식별정보를 보유한 자가 「개인정보 보호법」 제35조의2에 따른 개인정보 전송의무를 수행하기 위하여 개인정보 전송을 요구한 정보주체의 연계정보 생성ㆍ처리를 요청한 경우   4. 「개인정보 보호법」 제24조의2제1항 각 호에 따라 주민등록번호 처리가 허용된 경우로서 이용자의 동의를 받지 아니하고 연계정보 생성ㆍ처리가 불가피한 대통령령으로 정하는 정보통신서비스를 제공하기 위하여 본인확인기관과 해당 정보통신서비스 제공자가 함께 방송통신위원회의 승인을 받은 경우  ② 방송통신위원회는 제1항제4호에 따라 연계정보의 생성ㆍ처리를 승인하려는 경우 다음 각 호의 사항을 종합적으로 심사하여야 한다.   1. 제공 서비스 구현의 적절성 및 혁신성   2. 연계정보 생성ㆍ처리 절차의 적절성   3. 연계정보 생성ㆍ처리의 안전성 확보를 위한 물리적ㆍ기술적ㆍ관리적 조치 계획   4. 이용자 권리 보호 방안의 적절성 5. 관련 시장과 이용자 편익에 미치는 영향 및 효과  ③ 방송통신위원회는 다음 각 호의 어느 하나에 해당하는 경우에 제1항제4호에 따른 연계정보 생성ㆍ처리 승인을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 그 승인을 취소하여야 한다.   1. 거짓이나 그 밖의 부정한 방법으로 제1항제4호에 따른 연계정보 생성ㆍ처리 승인을 받은 경우   2. 제2항 각 호에 따른 심사사항에 부적합하게 된 경우   3. 제23조의6제1항에 따른 물리적ㆍ기술적ㆍ관리적 조치 의무를 위반한 경우   4. 개인정보 보호 관련 법령을 위반하고 그 위반사유가 중대한 경우  ④ 제1항 각 호에 따른 서비스를 위하여 본인확인기관으로부터 연계정보를 제공받은 자(이하 “연계정보 이용기관”이라 한다)는 제공받은 목적 범위에서 연계정보를 처리할 수 있다. 다만, 정보주체에게 별도로 동의받은 경우에는 동의받은 목적 범위에서 연계정보를 처리할 수 있다.  ⑤ 제1항부터 제4항까지에 따른 연계정보 생성ㆍ처리 승인 절차, 승인 심사사항별 세부심사기준, 승인취소 처분의 기준 등에 관하여 필요한 사항은 대통령령으로 정한다. 제23조의6(연계정보의 안전조치 의무 등) ① 본인확인기관이 연계정보를 생성ㆍ처리하는 경우 「개인정보 보호법」 제29조에 따른 조치 외에 연계정보 생성ㆍ처리의 안전성 확보를 위한 물리적ㆍ기술적ㆍ관리적 조치를 하여야 한다.  ② 연계정보 이용기관은 제23조의5제1항 각 호에 따른 서비스를 제공하는 경우 「개인정보 보호법」 제29조에 따른 조치 외에 연계정보를 주민등록번호와 분리하여 보관ㆍ관리하고 연계정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 조치(이하 “안전조치”라 한다)하여야 한다.  ③ 방송통신위원회는 생성ㆍ처리하는 연계정보의 규모, 매출액 등이 대통령령으로 정하는 기준에 해당하는 본인확인기관의 물리적ㆍ기술적ㆍ관리적 조치 및 연계정보 이용기관의 안전조치에 대한 운영ㆍ관리 실태를 점검할 수 있다.  ④ 방송통신위원회는 제3항에 따른 점검에 관한 업무를 대통령령으로 정하는 전문기관에 위탁할 수 있다.  ⑤ 제1항에 따른 물리적ㆍ기술적ㆍ관리적 조치와 제2항에 따른 안전조치에 관하여 필요한 사항은 대통령령으로 정한다.

 

안내서를 읽어보고 참고할 만한 내용을 정리해 보면 다음과 같다.

 

1. 연계정보 처리의 개념을 알아야 한다. (이용과 대조･연계가 다른 개념임을 알아야 한다.) (10페이지)
- 제공 : 본인확인기관이 연계정보 이용기관에 연계정보를 전달하는 행위나 연계정보 이용기관 사이에 연계정보를 대조하기 위하여 연계정보를 전달하는 행위
- 이용 : 본인확인기관 및 연계정보 이용기관이 연계정보를 내부적으로 활용하는 행위 전반
- 대조 :  연계정보 이용기관이 보유하고 있는 연계정보를 비교하여 동일인 여부를 식별하는 행위
- 연계 :  동일인 여부 식별을 통하여 연계정보 이용기관 제공 서비스의 통합적 이용을 가능하게 하는 행위

 

2. 연계정보 이용기관은 본인확인기관으로부터 연계정보를 제공받은 목적 범위에서 연계정보를 처리해야 한다. (11페이지)

- 제공받은 목적상 필요하지 않다면, 연계정보의 저장은 허용되지 않음
- 연계정보 이용기관으로부터 연계정보를 전달받은 이용기관은 목적 달성 시 다른 법률에 별도 근거가 있는 경우 등을 제외하면 해당 연계정보를 저장해서는 안 됨
 > 정보통신망법 제23조의5 제4항은 연계정보의 재제공에 대해서는 구체적인 언급이 없기 때문에, 개인정보 보호법 제17조 제1항을 다른 법률의 별도 근거로 보고 개인정보 제3자 제공 동의에 근거한 연계정보 이용기관 -> 연계정보를 전달받은 이용기관의 연계정보 제공은 가능할 것으로 판단한다.

 

3. 정보통신망법 제23조의5 제1항을 위반하여 연계정보를 생성･처리한 자에 대한 벌칙이 강력하다. (18페이지)

제71조(벌칙) ①다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다. 9. 제23조의5제1항을 위반하여 연계정보를 생성ㆍ처리한 자

 

4. 정보통신망법 제23조의5(연계정보의 생성ㆍ처리 등) 제1항 제4호에 따른 승인은 본인확인기관 및 정보통신서비스 제공자가 공동으로 승인을 신청해야 한다. (20페이지)

- 본인확인기관과 정보통신서비스 제공자 모두를 대상으로 연계정보 생성･처리 과정의 적절성 및 안전성 확보 등에 관한 심사기준을 충족하고 있는지를 심사하기 위함이다.

 

5. 연계정보 이용기관은 제공받은 목적 범위 내에서 연계정보를 처리할 수 있고, 정보주체의 별도 동의가 있는 경우 동의 받은 목적 범위에서 연계정보를 처리할 수 있다. (33페이지)

(정확히 이해가 되지 않는 부분들이 있어 시간이 될 때 방송통신위원회에 질의해볼 예정)

정보통신망법 제23조의5(연계정보의 생성ㆍ처리 등) ④ 제1항 각 호에 따른 서비스를 위하여 본인확인기관으로부터 연계정보를 제공받은 자(이하 “연계정보 이용기관”이라 한다)는 제공받은 목적 범위에서 연계정보를 처리할 수 있다. 다만, 정보주체에게 별도로 동의받은 경우에는 동의받은 목적 범위에서 연계정보를 처리할 수 있다.

 > 개인정보 보호법 제18조에 근거한 목적 외 이용ㆍ제공은 '다른 법률에 특별한 규정이 있는 경우', '명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우' 등 동의외 처리 근거가 규정되어 있으나 정보통신망법 제23조의5 제4항은 연계정보 목적 외 처리 근거로 동의만을 언급하고 있음을 주의해야 한다.

 

 > '별도' 라는 표현이 있기 때문에 연계정보 처리에 대한 개인정보 동의는 (고유식별정보, 민감정보 처럼) 다른 개인정보 동의와 구분해서 받을 필요가 있다.

 

 > 연계정보 목적 외 처리에는 개인정보 보호법 제15조 제3항, 제17조 제4항에서 규정하고 있는 '당초 수집 목적과 합리적으로 관련된 범위'를 근거로 삼을 수 없다.  

 

6. 연계정보 처리를 위해 동의를 받을 때, (정보통신망법은 구체적인 규정이 없기 때문에) 동의를 받는 방법은 개인정보 보호법을 참고해야 한다. (34페이지)

 

7. 본인확인기관에서 연계정보취급자는 개인정보보호 교육 외에도 연계정보와 관련한 교육(암호화, 연계정보 보안)을 이슈해야 한다.(40페이지)

 

8. 연계정보의 생성·처리 등에 관한 기준 [별표 3] 본인확인기관의 물리적·기술적·관리적 보호조치 해설이 부록에 포함되어 있기 때문에 읽어볼 필요가 있다.(40페이지)

 

9. 연계정보의 생성·처리 등에 관한 기준 [별표 4] 연계정보 이용기관의 안전조치 해설이 부록에 포함되어 있기 때문에 읽어볼 필요가 있다. (47페이지)