전문가 강연 #12 '스타트업이 꼭 알아야할 개인정보보호' 강연일 : 151110 강연자 : 이진규 / 네이버 정보보호실 주요내용 -개인정보 정의 및 유형 -PC/모바일 환경을 고려한 올바른 개인정보 수집방식 -개인정보 이용 및 관리 기준 -개인정보의 안전한 파기 -글로벌 진출을 준비할 때 유용한 영문 개인정보취급방침 작성 가이드라인 -그 외 스타트업이 실무에서 바로 활용할 수 있는 개인정보보호 노하우

3. 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권
리이다. 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다. 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신
체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고,
반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에 서 형성되었거나 이미 공개된 개인정보까지 포함한다.
또한 그러한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다
헌재 2005. 7. 21. 2003헌마282 결정
<개인정보보호법>
제3조(개인정보 보호 원칙) ① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적
법하고 정당하게 수집하여야 한다.
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관
리하여야 한다.
⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
⑦ 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.
⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.

4. 개인정보보호법은 공공·민간부문에 포괄적으로 적용되는 일반법적인 성격을 가집니다. 따라서 정보통신·금융 등 해
당 분야의 개인정보보호에 관한 사항을 규정하는 「정보통신망법」, 「신용정보보호법」과 같은 개별법은 개인정보보호
법에 대해 특별법의 지위에 놓이게 됩니다. 이렇게 하나의 사안에 적용할 수 있는 일반법과 특별법이 있을 경우, 특별
법 우선의 원칙에 따라 정보통신망법과 같은 개별법이 우선 적용됩니다.

5. 수집
(생성・제공)
이용・저장
제공・위탁
파기
 개인정보 수집 및 이용 (적절한) 동의
- 고유식별정보 및 민감정보
- 생성정보
- 위치정보
 필요최소한의 개인정보 수집
 동의 받은 범위 내에서의 이용
 안전한 저장 및 관리
※ 개인정보 이용내역 통지제
 목적 달성 시, 즉시 파기
 법령상 요구되는 보존기간 준수
 안전한 파기
※ 개인정보 유효기간제
 개인정보 제3자 제공 (적절한) 동의
- 제3자 제공 vs. 취급위탁
 개인정보 위・수탁 계약 및 수탁자 관리
 개인정보 취급방침 작성 및 게시
 개인정보 기술적・관리적 보호조치
 통신비밀의 보호
[기타]
※ 개인정보 누출 통지제
※ 주민등록번호 사용 제한 정책

6. [표_01. 개인정보의 유형 및 예시 (출처: 정보통신서비스 제공자를 위한 개인정보보호 가이드)]
법령상 개인정보의 3대 요건
① 생존하는 개인
② 개인에 관한
③ 식별하거나 식별 가능한
“Personally Identifiable Information”을 염두!
현실에서의 개인정보 판단
예시 1) IMEI, IMSI, USIM Serial 등 기기정보
예시 2) 휴대전화 마지막 4자리
예시 3) GPS 좌표, 또는 동(洞) 단위 위치 값
개인정보는 “Contextual Information”임에 주목!

7. 개인정보 수집 및 이용에 대한 안내 (필수)
① 수집 및 이용목적:
② 수집 항목:
③ 이용기간:
> 위 개인정보 수집 및 이용에 대한 사항에 동의합니다
회원가입에 있어 개인정보 수집 및 이용에 대한
안내 (필수) 및 이용약관(필수, 주요내용 보기)에
동의 합니다.
동의하고 회원가입
동의하고 회원가입
PC 웹
Mobile 앱/웹
개인정보 수집 및 이용목적의 구성
① 수집 및 이용목적
② 수집 항목
③ 이용기간
④ (개인정보보호법 적용 시) 동의거부권 및 거부 시, 불이익의 내용
※ 고유식별정보 및 민감정보는 여타 개인정보 수집과 별도 동의 구현
※ 특히, ‘주민등록번호’는 법령 근거 없이 수집 및 이용 금지!
주의사항
1) PC웹의 경우, 개인정보 수집 및 이용안내 문구가 ½ 이상 기본 노출
2) 개인정보 제3자 제공(위탁)의 내용을 개인정보 수집 및 이용에 대한
동의문구에 포함하여 한꺼번에 동의 받을 수 없음
3) 이용안내 문구 대신 ‘개인정보취급방침(전문)’을 노출하는 것은 안됨
4) 필수 사항만 있는 경우, <동의 Checkbox> 없이 동의/회원가입 버튼
만 노출하여 개인정보수집/회원가입 진행 가능

8. 동의 없이 개인정보를 수집 및 이용할 수 있는 경우
- 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적・기술적 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우,
정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우, 이 법 또는 다른 법률에 특별한 규정이 있는 경우
정보통신망법 제22조제2항
※ 개인정보 및 ‘인증정보’ 수집에 따른 전송구간에는 HTTPS 적용
- 정보통신서비스 제공자 등은 개인정보가 안전하게 저장・전송될 수 있도록, 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신ㆍ수신하는
경우 보안서버 구축 등의 조치를 하여야 함
정보통신망법 제28조제1항제4호
개인정보 최소수집의 원칙
- 서비스 제공에 필요한 최소한의 개인정보는 ‘해당 서비스의 본질적 기능을 수행하기 위해 반드시 필요한 정보’로 엄격히 제한
- 선택동의 항목은 서비스 목적 별로 나누어 “개별적으로 동의” 받도록 구성
- 이용자가 서비스를 실제 이용하는 시점에 개인정보 수집 및 이용에 대한 동의를 받으며, 미리 동의 받지 않음 (반복적 서비스 예외 존재: ‘결제’ 등)
정보통신망법 제23조제3항 등
만 14세 미만 아동의 개인정보 수집
- 만 14세 미만 아동의 개인정보 수집 시, 법정대리인의 동의를 받아야 함. 이 때, 동의에 필요한 최소 정보를 요구할 수 있음
정보통신망법 제31조제1항 및 제2항

9. Q. 이벤트 진행 과정 일체를 외부 전문 사업자에게 맡겼습니다. 이러한 경우, 개인정보 관리책임은 없지 않나요?
A. 이러한 경우 이벤트 진행에 필요한 개인정보의 처리를 해당 전문 사업자에게 ‘위탁’한 것입니다. 따라서, 개인정보의 관리
책임은 여전히 위탁자에게 존재합니다. (참고로, 개인정보의 위탁은 개인정보보호법에 의해 ‘계약’에 의해 진행해야 합니다.)
Q. 개인정보 수집하는 구간에 HTTPS를 적용해야 하나요?
A. 네. 정보통신망법에 따라 온라인에서 개인정보를 수집하여 전송하는 경우라면 HTTPS를 적용해야 합니다.
Q. ‘비밀 댓글’이나 ‘이메일’로 개인정보(배송정보 등)를 제공받아도 되나요?
A. 다음의 요건을 갖추는 경우에 한하여 수집 및 이용이 가능합니다.
1) 개인정보 전송구간에 HTTPS가 적용되어 있을 것
2) 수집한 개인정보는 제한된 개인정보취급자만 접근 가능하며, 별도 파일로 저장 시 암호화 등 보호조치를 적용할 것
3) 이벤트 목적 달성 즉시 수집 개인정보를 파기할 것 (댓글 및 이메일 삭제)
※ 블로그, SNS 활용보다는 ‘네이버 폼(http://office.naver.com)’이나 ‘Google Docs’ 활용을 권함
Q. 이벤트 목적으로 수집한 개인정보를 신규 서비스 출시, 추가 이벤트 안내 등의 목적으로 활용해도 되나요?
A. 아니요, 신규 서비스 출시나 추가 이벤트 등 ‘영리목적의 광고성 정보의 전송’을 위해서는 별도의 명시적 동의가 필요합니다.
보다 자세한 내용은 [불법 스팸 방지를 위한 정보통신망법 안내서 (2014. 11, 한국인터넷진흥원)]를 참고하십시오

10. <동의 범위>
회원가입, 통
계분석 등
<추가이용>
친구추천
신규 항목/목적에 대해
재동의 필요!
 내부관리계획의 수립 및 시행
 접근통제
 접속기록의 위, 변조 방지
 개인정보의 암호화
 악성프로그램 방지
 물리적 접근방지
 출력, 복사 시 보호조치
 개인정보 표시 제한 보호조치 등

12. 제3자 제공 vs. 위탁
개인정보를 제3자에게
전달하는 행위는
모두 동일함
구분 방식
1. 누구의 업무목적을 위한 계약인가?
즉, 제공받는 자의 ‘업무 결과물’은 누구에게 귀속되는가?
2. 개인정보를 제공하는 자가 제공받는 자를 관리, 감독할 수 있는가?
■ 제공하는 자의 업무목적 & 관리감독 의무 발생 = 개인정보의 위탁!!
개인정보의 3자 제공 개인정보의 취급위탁
 제공 시, 다음 4가지 사항에 대해 고지 및 동의
- 항목, 제공받는 자, 목적, 보유 및 이용기간
 동의예외: 요금정산을 위해 필요 or 법률 규정
 제공 후, 관리책임 없음
 위탁 시, 다음 2가지 사항에 대해 고지 및 동의
- 위탁 받는 자, 위탁업무의 내용
 동의생략: 계약이행 and 편의증진 (고지/공개)
 계약에 의해서만 취급위탁 가능 + 관리책임 있음

13. ‘복구・재생할 수 없는 방법’의 의미
- 사회 통념상 현재의 기술 수준에서 적절한 비용이 소요되는 방법 (불합리하게 과도한 비용 소요되는 방법이 아닐 것!)
구체적 방식
① 종이에 출력된 개인정보나 가입 신청서: 재조합 불가능하도록 물리적 파쇄 또는 소각
② 전자적 파일 형태: 다시 재생할 수 없는 기술적 방식 삭제 또는 물리적 방법 매체 파괴
(예시)
1) HDD: 공인된 프로그램(Low Level Format / Overwriting)사용하여 파기 or 천공 or 디가우징 or 소각
2) CD/DVD: 파쇄 or 소각
3) DB 서버에 저장된 개인정보: 임의의 값 덮어쓰기 후 삭제 (논리적 삭제(delete) 후, overwriting될 수 있는 상태로 만들기)
주의사항
- 백업 본도 파기
- 위탁사도 확인
- ‘수집 및 이용목적’의 합리적 판단

14. 이용자의 권리
① 개인정보의 수집・이용・제공 등의 동의를 언제든지 철회할 수 있다.
② 다음 사항에 대한 열람 및 제공을 요구할 수 있고, 오류가 있는 경우 정정을 요구할 수 있다.
- 이용자의 개인정보
- 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황
- 개인정보 수집・이용・제공 등의 동의를 한 현황
※ ①에 따른 동의 철회 시, 지체 없이 개인정보 파기 등 필요한 조치를 해야 함
※ ②에 따른 열람 또는 제공 요구를 받으면 지체 없이 필요한 조치를 해야 함. 또한, 오류의 정정을 요구 받으면 지체 없이 그
오류를 정정하거나 못하는 사유를 이용자에게 알리는 등 필요한 조치를 해야 하며, 필요한 조치를 할 때 까지는 해당 개인정보
를 이용하거나 제공해서는 안됨
※ ①에 따른 동의의 철회 또는 ②에 따른 개인정보의 열람・제공 또는 오류의 정정 요구 방식을 개인정보 수집 방식보다 쉽게
해야 함
법정대리인의 권리
① 만 14세 미만 아동으로부터 개인정보 수집이용제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 함
① 법정대리인은 만 14세 미만의 아동에 대해 ‘이용자의 권리’를 행사할 수 있음

15. 주민등록번호 사용 제한정책 (’12. 8. 18 시행, ’14. 8월까지 모두 파기)
- 정보통신망법 제23조의2(주민등록번호의 사용 제한)에 의거, 일부 예외를 제외하고는 이용자 주민번호 수집, 이용 금지
- 예외) 1. 본인확인기관으로 지정 받은 경우, 2. 법령에서 이용자의 주민등록번호 수집 및 이용을 명시적으로 허용하는 경우,
3. 영업상 목적을 위하여 이용자 주민등록번호 수집 및 이용이 불가피한 사업자로 방송통신위원회가 고시하는 경우 등
개인정보 누출 통지제
- 정보통신망법 제27조의3(개인정보 누출등의 통지, 신고)에 의거, 건수에 관계 없이 개인정보가 분실/도난/누출된 사실을
알게 된 때에는 지체없이 방송통신위원회에 누출 관련 사항을 신고해야 함
- 신고는 방송통신위원회(www.kcc.go.kr) 또는 개인정보보호포털(www.i-privacy.kr)의 신고 페이지 이용
- 방송통신위원회 신고와 별도로 일정 사항을 이용자에게 “통지” 해야 함
이용내역 통지제
- 정보통신망법 제30조의2(개인정보 이용내역의 통지)에 의거, 대통령령으로 정하는 기준에 해당하는 자는 이용자 개인정보
의 이용내역을 연 1회 통지해야 함 (연말 직전 3개월간 이용자 수 일일 평균 100만 명 이상, 전년도 매출액 100억 이상 등)
개인정보 유효기간제
- 정보통신망법 제29조(개인정보의 파기)제2항에 의거, 1년간 정보통신서비스 미이용 이용자의 개인정보를 파기 등 조치
- 파기 한달 전, 필요한 사항을 이용자에게 고지

16. Q. 아이디와 비밀번호도 개인정보에 해당하나요?
A. 아이디와 비밀번호 등 식별부호는 실제 공간과는 달리 익명성이 통용되어 행위자가 누구인지 명확하게 확인하기 어려운
가상 공간에서 그 행위자의 인격을 표상한다고 할 것이므로(대법원 2005.11.25. 선고 2005도870 판결 참조) 개인에 관
한 정보로서 당해 개인을 알아볼 수 있는 정보, 즉 정보통신망법 제2조제1항제6호에서 정한 개인정보에 해당함 (서울중앙
지법 2007.1.26선고 2006나12182 참고)
Q. 이메일 주소 단독은 개인정보는 아니겠죠?
A. 이메일 주소는 당해 정보만으로는 특정 개인을 알아볼 수 없을지라도 다른 정보와 용이하게 결합할 경우 당해 개인을 알아
볼 수 있는 정보라 할 것이므로 정보통신망법 제2조제1항제6호에서 정한 개인정보에 해당 (서울중앙지법 2007.2.8. 선고
2006가합33062, 53332 참조)
Q. 개인정보 “누출”은 무엇을 의미하나요?
A. 개인정보 누출이라 함은 개인정보가 정보통신서비스제공자 및 이용자의 개인정보 관리, 통제권의 범위를 벗어나 당해 개
인정보를 모르는 제3자가 그 내용을 알 수 있는 상태에 이르는 것
Q. 게시글에 게시글 작성자가 스스로 자신의 전화번호를 기재하는 경우도 개인정보 수집에 대한 동의가 필요한가요?
A. 이용자의 필요에 의해 이용자가 직접 개인정보를 기재하는 것은 이용자가 공개를 원하는 것이며, 서비스제공자가 이용하려
고 수집하는 것이 아니기 때문에 동의는 필요 없음 (다만, 동의 없이 이를 타 목적으로 이용하거나 제공 불가)

17. Q. 정보통신서비스제공자는 주민등록번호를 수집, 이용하지 못하는데 ‘뒷자리’만 쓰는 건 가능하지 않을까요?
A. 주민번호 뒷자리를 수집, 이용하여 고객의 유일성과 식별성을 확보하는 것은 ‘주민번호 체계를 활용하여 주민번호의 고유
한 특성을 이용하는 것’이므로 주민번호를 수집, 이용하는 것으로 판단됨
Q. 세금계산서, 현금영수증 발급을 위해 주민등록번호를 이용하고 있는데, 이도 위법한 것인가요?
A. 세금계산서의 경우 부가가치세법 제16조에 따라 세금계산서 발급 시 계산서를 공급받는 자가 사업자가 아닌 경우 세금계
산서에 기재하기 위해 주민번호를 수집할 수 있음. 또한, 현금영수증의 경우 조세특례제한법에 따라 현금영수증 사업자는
현금영수증 결제를 승인하고 전송할 수 있어 주민번호 수집 및 이용이 가능함
Q. 이용자의 편의를 위해 숫자 4개로 구성된 비밀번호도 설정 가능하게 하여도 문제가 없나요?
A. 개인정보의 기술적, 관리적 보호조치 기준(방송통신위원회 고시 제2015-3호)에서는 “정보통신서비스 제공자등은 이용자
가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성 규칙을 수립하고, 이행한다.”라고 규정하고 있음.
안전한 비밀번호: 2종의 문자를 사용하는 경우 10자리 이상, 3종 이상의 문자를 사용하는 경우 8자리 이상 설정이 권고됨
Q. 개인정보<취급>방침, 개인정보<처리>방침. 무엇이 옳은 것인가요?
A. 모두 이용자의 개인정보 처리와 관련한 개인정보처리자-정보주체(이용자)와의 권리의무 관계를 정하는 일종의 “약관” 성
격의 정책임. 해외에서는 Privacy Policy, Data Use Policy 등으로 통칭. 개인정보취급방침은 정보통신망법상의 용어이며,
개인정보처리방침은 개인정보보호법상의 용어임. 양자를 혼용한다 해서 큰 문제는 없음. “개인정보취급(처리)방침” 추천

18. [표_02. ’14년 행정처분 사례 – 민간부문 (출처: 개인정보보호 종합포털)]

20. 인터넷 기업의
개인정보보호 가이드라인
(영문)
Privacy Policy 작성
가이드라인

21. <정보통신망법상 개인정보취급방침 필수 기재사항>
1) 개인정보의 수집·이용목적, 수집하는 개인정보의 항목 및
수집 방법
2) 개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명,
제공받는 자의 이용목적과 제공하는 개인정보의 항목
3) 개인정보의 보유 및 이용기간, 개인정보의 파기절차 및 파
기방법(타 법령 등에 의해 개인정보를 보존해야 하는 경우,
그 보존근거와 보존하는 개인정보 항목을 포함)
4) 개인정보 취급위탁을 하는 업무의 내용 및 수탁자(해당되
는 경우에만 취급방침에 포함)
5) 이용자 및 법정대리인의 권리와 그 행사방법
6) 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는
장치의 설치·운영 및 그 거부에 관한 사항
7) 개인정보 관리책임자의 성명 또는 개인정보보호 업무 및
관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등
연락처
<Privacy Policy Essential Elements>
① Information to be collected and method of
collection
② Use of collected information
③ Sharing collected information
④ Cookies, Beacons and Similar Technologies
⑤ Users’ right to access and option
⑥ Security
⑦ Protection of Personal information of children
⑧ Modification of Privacy Protection Policy
⑨ Others
⑩ Responsible department of Company

22. 법령정보
규칙 / 고시 / 훈령・예규 / 가이드라인 / 제 ・ 개정현황 / 입법예고 등
개인정보보호 포털
개인정보보호 소개 / 기술지원 / 개인정보 신고 / 온라인교육 / 자료실 / 고객센터
개인정보보호
법 ・ 제도 / 개인정보침해신고센터 / 개인정보 영향평가제 / 공공 I-PIN / 마이핀 / 교육 ・ 홍보 ・ 참고자료
개인정보보호 종합포털
알림마당 / 자료마당 / 배움터 / 개인 / 사업자
안내서 ・ 해설서
인터넷 진흥 및 이용 활성화 / 정보보호 시스템 안전 / 개인정보보호
보호나라
알기쉬운 개인정보 / 개인정보 지킴이 / 점검하기 / 다운로드 / 자료실 / 알림마당
NAVER 프라이버시 센터
정책 및 법률 / 보호활동 / 지식 / 투명성보고서 / FAQ