8 개인정보 처리단계별 요구사항(1)

3.1 개인정보 수집 시 보호조치

개인정보 수집

• 개인정보 처리 근거 확보

개인정보 처리자 →(개인정보 목적 부합하여 최소 수집) 정보주체
개인정보 처리자 →(개인정보 수집 이용에 대해 고지 및 명시적 동의) 정보주체

주민등록번호(명확한 법적 근거 존재 경우, 수집가능)
고유식별정보, 민감정보(정보주체 이용자에게 동의받고 수집가능 → 다른 개인정보와 별도 처리 사실 고지 및 동의 확보)

이용자 → 신청기관 및 기관

명확한 수집 근거 필요
최소 수집, 수집출처 고지 등 준수

3.1.1 개인정보 수집 제한

< 인증기준 >

개인정보는 서비스 제공을 위하여 필요한 최소한의 정보를 적법하고 정당하게 수집하여야 하며, 필수정보 이외의 개인정보를 수집하는 경우에는 선택항목으로 구분하여 해당 정보를 제공하지 않는다는 이유로 서비스 제공을 거부하지 않아야 한다.

< 주요확인사항 >

• 개인정보를 수집하는 경우 서비스 제공 또는 법령에 근거한 처리 등을 위해 필요한 범위 내에서 최소한의 정보만을 수집하고 있는가

• 수집 목적에 필요한 최소한의 정보 외의 개인정보를 수집하는 경우 정보주체(이용자)가 해당 개인정보의 제공 여부를 선택할 수 있도록 하고 있는가

• 정보주체(이용자)가 수집 목적에 필요한 최소한의 정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하고 있는가

3.1.2 개인정보의 수집 동의

< 인증기준 >

개인정보는 정보주체(이용자)의 동의를 받거나 관계 법령에 따라 적법하게 수집하여야 하며, 만 14세 미만 아동의 개인정뵈를 수집하려는 경우에는 법정대리인의 동의를 받아야 한다.

< 주요확인사항 >

• 개인정보 수집 시 법령에 특별한 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받고 있는가

• 정보주체(이용자)에게 동의를 받는 방법 및 시점은 적절하게 되어 있는가

• 정보주체(이용자)에게 동의를 서면(전자문서 포함)으로 받는 경우 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 하고 있는가

• 만 14세 미만 아동의 개인정보에 대해 수집 이용 제공 등의 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받고 있는가

• 법정대리인의 동의를 받기위하여 필요한 최소한의 개인정보만을 수집하고 있으며, 법정대리인이 자격 요건을 갖추고 있는지 확인하는 절차와 방법을 마련하고 있는가

• 정보주체(이용자) 및 법정대리인에게 동의를 받은 기록을 보관하고 있는가

개인정보 수집 이용목적 → 개인정보 항목 → 개인정보 보유 및 이용기간 → 동의 거부권 및 동의거부에 따른 불이익 존재 시 불이익 내용

3.1.3 주민등록번호 처리 제한

< 인증기준 >

주민등록번호는 법적 근거가 있는 경우를 제외하고는 수집 이용 등 처리할 수 없으며 주민등록번호의 처리가 허용된 경우라 하더라도 인터넷 홈페이지 등에서 대체수단을 제공하여야 한다.

< 주요확인사항 >

• 주민등록번호는 명확한 법적 근거가 있는 경우에만 처리하고 있는가

• 주민등록번호의 수집 근거가 되는 법조항을 구체적으로 식별하고 있는가

• 법적 근거에 따라 정보주체(이용자)의 주민등록번호 수집이 가능한 경우에도 아이핀, 휴대폰 인증 등 주민등록번호를 대체하는 수단을 제공하고 있는가

3.1.4 민감정보 및 고유식별정보의 처리 제한

< 인증기준 >

민감정보와 고유식별정를 처리하기 위해서는 법령에서 구체적으로 처리를 요구하거나 허용하는 경우를 제외하고는 정보주체(이용자)의 별도 동의를 받아야 한다.

< 주요확인사항 >

• 민감정보는 정보주체(이용자)로부터 별도의 동의를 받거나 관련 법령에 근거가 있는 경우에만 처리하고 있는가

• 고유식별정보(주민등록번호 제외)는 정보주체(이용자)로부터 별도의 동의를 받거나 관련 법령에 구체적인 근거가 있는 경우에만 처리하고 있는가

3.1.5 간접수집 보호조치

< 인증기준 >

정보주체(이용자) 이외로부터 개인정보를 수집하거나 제공받는 경우에는 업무에 필요한 최소한의 개인정보만 수집 이용하여야 하고 법령에 근거하거나 정보주체(이용자)의 요구가 있으면 개인정보의 수집 출처, 처리목적, 처리정이의 요구권리를 알려야 한다.

< 주요확인사항 >

• 정보주체(이용자) 이외로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의획득 책임이 개인정보를 제공하는 자에게 있음을 계약을 통해 명시하고 있는가

• 공개된 매체 및 장소에서 개인정보를 수집하는 경우 정보주체(이용자)의 공개 목적 범위 및 사회 통념상 동의 의사가 있다고 인정되는 범위 내에서만 수집 이용하는가

• 서비스 계약 이행을 위해 필요한 경우로서, 사업자가 서비스 제공 과정에서 자동수집장치 등에 의해 수집 생성하는 개인정보(이용내욕 등)의 경우에도 최소수집 원칙을 적용하고 있는가

• 정보주체(이용자) 이외로부터 수집한 개인정보를 처리하는 경우 개인정보의 종류 규모 등이 법적 요건에 해당하는 경우 필요한 사항을 정보주체(이용자)에게 알리고 있는가

• 정보주체(이용자)에게 수집출처에 대해 알린 기록을 해당 개인정보의 파기시 까지 보관 관리하고 있는가

3.1.6 영상정보처리기기 설치 운영

< 인증기준 >

영상정보처리기기를 공개된 장소에 설치 운영하는 경우 설치 목적 및 위치에 따라 법적 요구사항(안내판 설치 등)을 준수하고, 적절한 보호대책을 수립 이행하여야 한다.

< 주요확인사항 >

• 공개된 장소에 영상정보처리기기를 설치 운영할 경우 법적으로 허용한 장소 및 목적인지 검토하고 있는가

• 공공기관이 공개된 장소에 영상정보처리기기를 설치 운영하려는 경우 공청회 설명회 개최 등의 법력에 따른 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하고 있는가

• 영상정보처리기기 설치 운영 시 정보주체가 쉽게 인식할 수 있도록 안내판 설치 등 필요한 조치를 하고 있는가

• 영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영 관리 방침을 마련하여 시랭하고 있는가

• 영상정보의 보관 기간을 정하고 있으며, 보관 기간 만료 시 지체없이 삭제하고 있는가

• 영상정보처리기기 설치 운영에 관한 사무를 위착하는 경우 관련 절차 및 요건에 따라 계약서에 반영하고 있는가

3.1.7 홍보 및 마케팅 목적 활용 시 조치

< 인증 기준 >

재화나 서비스의 홍보, 판매권유, 광고성 정보전송 등 마케팅 목적으로 개인정보를 수집 이용하는 경우에는 그 목적을 정보주체(이용자)가 명확하게 인지할 수 있도록 고지하고 동의를 받아야한다.

< 주요확인사항 >

• 정보주체(이용자)에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보 처리에 대한 동의를 받는 경우 정보주체(이용자)가 이를 명확하게 인지할 수 있도록 알리고 별도 동의를 받고 있는가

• 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 경우 수진자의 명시적인 사전 동의를 받고 있으며, 2년마다 정기적으로 수신자의 수신동의 여부를 확인하고 있는가

• 전자적 전송매체를 이용한 영릭목적의 광고성 정보 전송에 대해 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우 영리목적의 광고성 정보 전송을 중단하도록 하고 있는가

• 영리목적의 광고성 정보를 전송하는 경우 전송자의 명칭, 수신거부 방법 등을 구체적으로 밝히고 있으며, 야간시간에는 전송하지 않도록 하고 있는가