[자료] 개인정보 법령해석 사례 30선

개인정보보호위원회에서 올 한해 국민들의 생활과 밀접한 개인정보 관련 사례를 발굴하여 해석한 2023년 개인정보 법령해석 사례 30선을 공개했다.

https://www.privacy.go.kr/front/bbs/bbsView.do?bbsNo=BBSMSTR_000000000049&bbscttNo=20634

 

주요내용을 요약해보면,

1. 이용약관에 포함된 서비스 제공을 위해 필요한 개인정보라도 계약이행을 위해 필요한 정보인지 여부를 판단하려면 고려해야 하는 요건들이 있다.

- 통상적인 이용자가 합리적으로 예상할 수 있는 개별 서비스를 제공하기 위하여 반드시 필요한 개인정보여야 한다.

- 정보주체가 인지할 수도 합리적으로 예상할 수도 없었던 계약 내용의 이행에 필요한 개인정보는 ‘계약 이행을 위하여 필요한 개인정보’에 해당하지 않는다.

 

2. 통신판매중개업자는 부가가치세법 제75조(자료제출) 제1항제1호에 근거해 분기 말일의 다음 달 15일까지 통신판매업자 정보가 포함된 거래 명세(부가가치세법 시행규칙 별지 제48호의5서식) 를 국세청에 제출해야 하기 때문에 이에 근거한 정보는 개인정보보호법 (제18조 제2항 제2호)에 해당해 목적 외 제공이 가능하다.

부가가치세법 제75조(자료제출) ① 다음 각 호의 어느 하나에 해당하는 자는 재화 또는 용역의 공급과 관련하여 국내에서 판매 또는 결제를 대행하거나 중개하는 경우 대통령령으로 정하는 바에 따라 관련 명세를 매 분기 말일의 다음 달 15일까지 국세청장, 납세지 관할 지방국세청장 또는 납세지 관할 세무서장에게 제출하여야 한다. 1. 「전기통신사업법」 제5조에 따른 부가통신사업자로서 「전자상거래 등에서의 소비자보호에 관한 법률」 제2조제3호에 따른 통신판매업자의 판매를 대행 또는 중개하는 자 개인정보보호법 제18조(개인정보의 목적 외 이용ㆍ제공 제한) ② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제5호부터 제9호까지에 따른 경우는 공공기관의 경우로 한정한다. 2. 다른 법률에 특별한 규정이 있는 경우

 

3. 만 14세 미만 아동으로부터 개인정보 처리에 관한 동의를 받는 경우 아동의 자유로운 의사에 반하여 법정대리인에게만 동의를 받아서는 안된다.

- 법정 대리인에게만 동의를 받는 절차는 문제가 없지만, 아동의 개인정보 자기결정권을 존중하기 위해 동의를 받을 때 고지해야 하는 4가지 사항을 쉬운 언어를 사용해 아동에게 알려야 한다는 의미이며, 동의를 근거로 개인정보를 처리할 때 동의 체크박스를 구현하고, 정보주체가 동의에 체크를 하는 시점에 만 14세 미만 아동 여부를 체크해 맞다면 법정 대리인 동의 절차로 넘어가게 구현함으로써 정보주체도(아동도) 동의 의사가 있었음을 확인할 수 있도록 구현하는게 적절한 방향으로 판단 됨

 

4. 주민등록번호 처리 시 유의사항에 대해 참고할만한 설명을 포함하고 있다.

1) 사망자의 주민등록번호는 유족과의 관계를 나타내거나 유족의 사생활을 침해하는 경우가 아니면 개인정보보호법의 대상이 아니나 주민등록법에 근거해 처리에 주의가 필요하다.

- 주민등록법 제37조(벌칙)제1항을 근거로 사망자의 주민등록번호를 악용해 불법적인 용도(대포폰, 메신저 피싱)로 쓸 수 없다.

- 정보통신망법 제49조(비밀 등의 보호)를 근거로 훼손하거나 침해ㆍ도용 또는 누설해서는 안되는 대상인 타인의 정보에는 사망자의 정보도 포함 되기 때문에 사망자의 주민등록번호도 해당한다고 봐야한다.

주민등록법 제37조(벌칙) ① 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다. 8. 다른 사람의 주민등록증을 부정하게 사용한 자 8의2. 다른 사람의 주민등록증등의 이미지 파일 또는 복사본을 부정하게 사용한 자 9. 법률에 따르지 아니하고 영리의 목적으로 다른 사람의 주민등록번호에 관한 정보를 알려주는 자  10. 다른 사람의 주민등록번호를 부정하게 사용한 자. 다만, 직계혈족ㆍ배우자ㆍ동거친족 또는 그 배우자 간에는 피해자가 명시한 의사에 반하여 공소를 제기할 수 없다. 정보통신망법 제49조(비밀 등의 보호) 누구든지 정보통신망에 의하여 처리ㆍ보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해ㆍ도용 또는 누설하여서는 아니 된다.

 

- 주민등록번호 상의 출생연도와 성별은 주민등록상의 생년월일과 성별이지 고유식별정보로서의 기능을 한다고 볼 수 없다.

 - 주민등록번호 뒤 7자리만 수집하더라도 주민등록번호의 유일성과 식별성을 이용하는 행위이므로 주민등록번호 전체를 수집하는 경우로 볼 수 있음

 

5. 경품 당첨, 상금 지급 시 주민등록번호 처리가 필요한 경우에 대한 설명을 포함하고 있다.

1) 경품은 소득세법 제84조(기타소득의 과세최저한) 제3호에 근거해 5만원 이하인 경우 비과세 처리 되기 때문에 5만원을 초과해야만 주민등록번호 처리가 가능하다.(과세 필요)

2) 상금은 소득세법 시행령 제214조(지급명세서 등의 제출 면제 등) 제1항 제3호에 근거해 10만원 이하인 경우 지급명세서 제출이 면제되기 때문에 10만원을 넘어야 주민등록번호 처리 가능하다.

소득세법 제84조(기타소득의 과세최저한) 기타소득이 다음 각 호의 어느 하나에 해당하면 그 소득에 대한 소득세를 과세하지 아니한다. 3. 그 밖의 기타소득금액(제21조제1항제21호의 기타소득금액은 제외한다)이 건별로 5만원 이하인 경우 동법 제164조(지급명세서의 제출) ① 제2조에 따라 소득세 납세의무가 있는 개인에게 다음 각 호의 어느 하나에 해당하는 소득을 국내에서 지급하는 자(법인, 제127조제5항에 따라 소득의 지급을 대리하거나 그 지급 권한을 위임 또는 위탁받은 자 및 제150조에 따른 납세조합, 제7조 또는 「법인세법」 제9조에 따라 원천징수세액의 납세지를 본점 또는 주사무소의 소재지로 하는 자와 「부가가치세법」 제8조제3항 후단에 따른 사업자 단위 과세 사업자를 포함한다)는 대통령령으로 정하는 바에 따라 지급명세서를 그 지급일(제131조, 제135조, 제144조의5 또는 제147조를 적용받는 소득에 대해서는 해당 소득에 대한 과세기간 종료일을 말한다. 이하 이 항에서 같다)이 속하는 과세기간의 다음 연도 2월 말일(제3호에 따른 사업소득과 제4호에 따른 근로소득 또는 퇴직소득, 제6호에 따른 기타소득 중 종교인소득 및 제7호에 따른 봉사료의 경우에는 다음 연도 3월 10일, 휴업, 폐업 또는 해산한 경우에는 휴업일, 폐업일 또는 해산일이 속하는 달의 다음다음 달 말일)까지 원천징수 관할 세무서장, 지방국세청장 또는 국세청장에게 제출하여야 한다. 동법 시행령 제214조(지급명세서 등의 제출 면제 등) ①다음 각 호의 어느 하나에 해당하는 소득에 대해서는 법 제164조제1항을 적용하지 않는다. 3. 그 밖에 기획재정부령으로 정하는 소득 동법 시행규칙 제97조(지급명세서제출의무의 면제) 영 제214조제1항제3호에서 “기획재정부령으로 정하는 소득”이란 다음 각 호의 어느 하나에 해당하는 것을 말한다. 1. 법 제21조제1항제2호에 해당하는 기타소득(법 제14조제3항제8호라목에 따른 복권 당첨금은 제외한다)으로서 1건당 당첨금품의 가액이 10만원 이하인 경우

 

6. 수탁자 지위와 개인정보 제3자 제공 지위를 겸할 수 없는 경우가 있다.

- 예로 든 두 개의 사례(개인정보보호위원회 결정 제2018-21-231호, 제2022-007-041호)는 개인정보 처리 목적이 서로 연결되고, 수탁 업무 처리를 위한 개인정보와 제3자 제공 대상인 개인정보가 같다는 특징이 있어, 막연히 수탁사와 제3자 제공받는자를 겸할 수 없다고 볼 수는 없다.

- 즉, 개인정보를 제3자 제공받는 지위에 있는 회사가, 제3자 제공하는 회사의 수탁사로서 자신에게 개인정보를 제공하는 절차에 개입해 스스로 판단할 경우 자신의 입장에서 필요성을 근거로 개인정보를 제공 받을 수 있게 되어서는 안된다는 의미로, 개인정보 제3자 제공을 받는 개인정보와 무관한 업무를 위탁 받는 것 까지 문제가 있다는 생각이 들진 않는다.