개인정보 수집 최소화 가이드라인(CSAP)

hoegon kim·2022년 11월 29일

정보보안교육

목록 보기

2/22

(개인정보처리자) 개인정보의 수집 목적이 명확하지 않거나 수집목적에 비추어 불필요한 개인정보 수집 관행이 상존
(정보주체) 개인정보 수집이 과도하고 법령에 따른 개인정보 수집등에 대하여도 불필요하게 동의를 요구하는데 대해 불편 호소

정보주체의 사생활 보호 및 개인정보 유출사고 사전 차단

개인정보 수집과정에서 개인정보 보호원칙이 지켜지지 않는 사례가 일부 있어 사생활 침해 우려 제기
개인정보 수집이 과도하고 법령에 따른 개인정보 수집 등에 대하여도 불필요하게 동의를 요구하는데 대해 정보주체 불편 호소
※ 2019 개인정보 보호 실태조사에 의하면 개인정보 수집 근거로 96%이상의 개인정보처리자가 '정보주체의 동의'라고 응답

업계의 자율적인 관행 개선 및 형식적 동의에 따른 국민 불편 해소

개인정보의 수집 관련 현행 법령에 원칙과 세부내용에 대한 구체적인 안내를 통해 그간 잘못된 수집 관행 개선 유도
동의내용에 대한 명확한 안내 및 선택권 부여로 실질적 동의권 보장

② 개인정보 수집 원칙

개인정보의 수집이 가능한 경우

개인정보처리자는 다음 어느 하나에 해당하는 경우 개인정보를 수집할 수 있으며, 그 수집 목적 범위에서 이용할 수 있음

정보주체의 동의를 받은 경우
법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
정보주체와 계약의 체결ㆍ이행을 위하여 불가피하게 필요한 경우
정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우
(이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한함)

필요 최소한의 개인정보 수집

개인정보처리자가 개인정보를 수집하는 경우에는 필요 최소한의 개인정보만을 수집하여야 함
이 경우 개인정보를 처리하고자 하는 목적에 필요한 범위 내에서 최소한의 개인정보를 수집하여야 하며 필요 최소한의 개인정보라는 입증 책임은 개인정보 처리자가 부담함

정보주체의 실질적 동의권 보장

개인정보처리자가 정보주체의 동의를 받아 개인정보를 수집하는 때에는 정보주체에게

1) 동의의 내용
2) 동의를 거부할 권리가 있다는 사실
3) 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용을 구체적으로 알리고 동의를 받아야함

정보주체의 동의 여부는 실질적인 선택권을 전제로 하여야 하며, 선택적으로 동의할 수 있는 사항을 동의하지 아니한다는 이유로 재화 또는 서비스의 제공을 거부해서는 아니됨

고유 식별정보 및 민감정 처리 제한

주민등록번호를 제외한 고유식별정보 및 민감정보는 법령에 근거가 있거나 별도로 동의를 받은 경우에만 수집할 수 있음
※ 주민등록번호는 법률ㆍ시행령ㆍ헌법기관 규칙에서 허용한 경우만 처리 가능
주민등록번호 대체수단도 법령에서 본인 확인을 요구하거나 서비스 과정에서 본인 특정이 필요한 경우 등에 한정하여 사용하여야 함

③ 개인정보처리자 조치 요령

3-1) 필요 최소한의 개인정보 수집

1-1) 정보주체의 동의를 받은 경우, 동의 받은 목적 범위에서만 개인정보를 이용하여야 합니다.

정보주체의 자발적인 동의를 받으면 필요 최소한의 정보 이외의 정보도 수집ㆍ이용이 가능하지만,

필요 최소한의 정보 이외의 정보를 필요 최소한의 정보라고 하여 제공을 의무화하거나 필수적 동의 사항으로 하여 동의를 강요해서는 안 됩니다.

1-2) 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 개인정보를 수집하는 경우에도 필요 최소한으로 수집하여야 합니다.

법률에 특별한 규정이 있다는 것은 법률에서 개인정보의 수집ㆍ이용을 구체적으로 요구하거나 허용하고 있어야 함을 의미합니다.

법령상 의무준수를 위해 개인정보를 수집하는 경우에도 해당 개인정보를 수집하지 않고는 법령상 의무를 이행하는 것이 현저하게 곤란한 경우에 한정 됩니다.

1-3) 법령에 근거가 있거나 정보주체의 동의를 받은 경우 등에 개인정보를 제3자에게 제공할 수 있으나, 이 경우에도 꼭 필요한 범위내에서만 개인정보를 제공하여야 합니다.

개인정보를 제3자에게 제공하는 경우 제공받는 자를 명확히 안내해야하며, '~등'으로 포괄적으로 고지하는 것은 지양해야 합니다.

특히, 개인정보를 제공받는 자, 제공받는 자의 이용 목적, 제공하는 개인정보 항목 등 중요한 사항은 부호ㆍ색채 및 굵고 큰 글자 등으로 명확히 표시하여 알아보기 쉽게 하여야 합니다.

제공받는 자의 이용목적 등과 관련없이 지나치게 많은 개인정보를 제공하지 않도록 주의하여야 합니다.

1-4) 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우에도 필요 최소한으로 수집하여야 합니다.

법령 등에서 정하는 소관업무란 "정부조직법" 및 각 기관별 직제령ㆍ직제규칙, 개별 조직법 등에서 정하고 있는 소관 사무 이외에, "주민등록법", "국세기본법", "의료법", "국민건강보험법", 등 법령에 의해서 부여된 권한과 의무, 지방자치단체의 경우 조례에서 정하고 있는 업무 등을 의미합니다.

'불가피한 경우'란 개인정보를 수집하지 아니하고는 법령 등에서 해당 공공기관에 부여하고 있는 권한의 행사나 의무의 이행이 불가능 하거나 다른 방법을사용하여 소관 업무를 수행하는 것이 현저히 곤란한 경우를 의미합니다.

1-5) 정보주체와 계약 체결ㆍ이행 등을 위해 개인정보를 수집하는 경우에도 필요 최소한으로 수집하여야 합니다.

예를들어, 채용 계약 시에는 채용 예정 직무와 관련이 있는 정보만 수집하고, 직접 관련이 없는 가족사항 등은 수집하지 않는 것이 바람직합니다.

1-6) 개인정보는 계약체결 또는 회원가입 단계에서 미리 포괄적으로 수집하지 말아야 하며, 해당 정보가 필요한 시점에서 수집하는 것이 바람직합니다.

웹사이트 회원가입 시에 웹사이트 내 특정 서비스 이용에만 필요한 개인정보는 해당 서비스 이용 시점에 수집하는 것이 바람직 합니다.

예를 들어, 쇼핑몰 홈페이지 회원가입 시 회원가입에 필요한 개인 정보만 수집하고, 결제ㆍ배송에 필요한 정보는 추후 물품구매 시에 수집하도록 합니다.

1-7) 정보주체 또는 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명ㆍ신체ㆍ재산상 이익을 위하여 필요하다고 인정되는 경우에도 필요한 최소한으로 수집하여야 합니다.

정보주체 또는 법정대리인의 동의를 받을 수 있는 충분한 시간적 여유가 있거나 다른 수단에 의해서도 생명ㆍ신체ㆍ재산상의 이익을 보호할 수 있는 경우라면 급박한 상태에 있다고 할 수 없습니다.

수차례 전화를 걸었으나 정보주체 또는 법정대리인이 전화를 받지 아니한 경우에도 전화를 기다릴 시간적 여유가 없다면 사전동의를 받을 수 없는 경우에 해당합니다.

그러나 정보주체 또는 법정대리인이 멀리 떨어져 있어 동의를 받기 어렵다거나 단순희 동의를 거부하고 있다는 사실만으로는 사전 동의를 받을 수 없는 경우에 해당하지 않습니다.

1-8) 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우에도 필요 최소한으로 수집하여야 합니다.

개인정보처리자의 정당한 이익을 위한 것이라고 하더라도 정보주체의 사생활을 과도하게 침해하거나 다른 이익을 침범하는 경우에는 정보주체의 동의 없이 개인정보를 수집할 수 없습니다.

또한 정보주체의 권리보다 명백하게 개인정보처리자의 이익이 월등해야 합니다.

개인정보 처리자의 정당한 이익이 존재하고, 그것이 명백하게 정보주체의 권리보다 우선한다고 하더라도 해당 개인정보가 개인정보처리자의 정당한 이익과 관련성이 낮거나 합리적인 범위를 초과해서는 안됩니다.

1-9) 동일한 업무를 목적으로 유사한 성격의 개인정보 여러 개를 동시에 수집하지 않도록 주의하여야 합니다.

1-10) 쿠키 등 웹사이트 이용과정에서 자동으로 생성되는 정보도 필요 최소한으로 수집하여야 합니다.

쿠키 등을 통해 서비스 제공에 필요한 정보를 수집하는 경우 그 수집목적, 항목 및 보유기간 등을 개인정보 처리 방침에 공개 하여야 합니다.
* 동일 웹사이트의 다른 페이지를 접속하는 경우 IDㆍ비밀번호를 반복하여 입력하는 번거로움을 줄일 목적의 쿠키(Cookie) 등

1-11) 수집하고자 하는 개인정보가 업무수행에 꼭 필요한 정보인지는 해당 개인정보를 수집하는 개인정보처리자가 입증하여야 합니다.

개인정보처리자는 수집 목적을 위해 필요한 최소한의 개인정보라는 것을 입증할 책임을 부담하며, 수집한 정보도 불필요하게 된 경우 파기하는 등 지속적으로 관리해야 합니다.

1-12) 적법하게 수집한 개인정보는 계약기간 종료 등 이용 목적을 달성하거나 정보주체가 파기를 요청한 경우 지체없이 파기하여야 합니다. 다만, 법령에 따라 보존하여야 하는 경우에는 해당 법령에 따라야 합니다.

예를들어 전자상거래법은 표시ㆍ광고 관련 기록은 6개월, 소비자 불만ㆍ분쟁처리 기록은 3년, 계약ㆍ청약철회 등에 관한 기록은 5년, 대금 결제 등에 관한 기록은 5년간 보존하도록 하고 있습니다.

3-2) 정보주체의 실질적 동의권 보장

2-1) 법령에 근거가 있거나 계약 체결ㆍ이행을 위해 불가피한 경우에는 동의 없이 개인정보를 수집할 수 있으나, 이 경우에도 정보주체에게 개인정보 수집 근거와 수집 목적ㆍ항목 등을 안내하도록 합니다.

2-2) 개인정보 수집ㆍ이용 동의가 필요한 경우 정보주체에게 개인정보 수집 항목과 목적 등을 구체적으로 고지한 후 동의를 받아햐 합니다.

2-3) 개인정보의 수집ㆍ이용에 관한 동의를 받을 때에는 정보주체에게 동의 여부에 대한 실질적인 선택권을 보장하여야 합니다.

예를 들어, 정보주체가 동의 여부를 선택할 수 있는 경우에는 선택사항임을 명시하고, 동의 거부를 이유로 다른 서비스 이용을 제한하거나 온라인 상 다음 화면으로 넘어가지 못하게 해서는 안 됩니다.

온라인에서 개인정보 수집 동의서를 작성하는 경우 "동의함" 체크 박스가 기본값으로 설정되어 있지 않도록 합니다.

2-4) 상품 및 서비스 홍보와 마케팅 목적으로 개인정보를 수집하는 경우에는 그 목적을 명확히 알 수 있도록 고지하여야 합니다.

"홍보 및 마케팅"을 목적으로 개인정보를 수집하면서, 부가서비스제공
,제휴 서비스 제공, 등으로 목적을 기재하여서는 안 됩니다.

상품 홍보, 마케팅 목적으로 수집하는 개인정보는 다른 목적으로 수집하는 정보와 명확하게 구분하여 동의를 받고 수집하여야 합니다.

2-5) 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 합니다.

정보 주체로 부터 동의를 받을 때에는 계약 체결 등을 위하여 동의 없이 처리할 수 있는 개인정보와 동의가 필요한 개인정보를 구분하여야 합니다.

특히, 개인정보 수집 동의서의 중요한 내용*은 정보주체가 알아보기 쉬운 표시방법을 써야 합니다.

	- 홍보나 마케팅 목적으로 연락하려는 사실, 민감정보ㆍ고유식별정보 처리 사실, 개인정보 제3자 제공 시 제공받는 자, 제공받는 자의 개인정보 이용 목적, 개인정보 보유 및 이용기간

개인정보 수집 동의서의 중요한 내용은 최소한 9포인트 이상의 글씨 크기로 하되 동이서의 다른 내용보다 20% 이상 크게 표시해야 하며, 다른 색, 굵은 글씨 또는 밑줄 등을 사용하여 정보주체가 그 내용을 명확히 알 수 있도록 하여야 합니다.

3-3) 고유식별정보 및 민감정보 처리 제한

3-1) 고유식별정보(주민등록번호 제외)나 민감정보는 법령에서 요구하거나 허용한 경우에 한하여 수집하는 것이 바람직합니다. 다만, 업무수행에 필요한 경우 다른 개인정보와 별도로 동의를 받아 수집할 수 있습니다.

3-2) 주민등록번호 수집 법정 주의(개인정보 보호법 제24조의2)에 따라 주민등록번호는 법률ㆍ대통령령ㆍ국회규칙ㆍ대법원규칙ㆍ헌법재판소규칙ㆍ중앙선거관리위원회규칙 및 감사원 규칙에 근거가 있는 경우에 한하여 수집할 수 있으며, 정보주체의 동의를 받아도 수집할 수 없습니다.