Day 11: 아동·영상정보·가명정보 특칙

1. 아동 개인정보 보호

1.1 아동의 정의

만 14세 미만의 아동

개인정보보호법에서는 만 14세 미만 아동의 개인정보를 특별히 보호

1.2 법적 근거

  • 개인정보보호법 제22조 제6항: 만 14세 미만 아동의 개인정보 수집 시 법정대리인 동의
  • 정보통신망법 제31조: 동일한 내용 규정

1.3 법정대리인 동의 절차

(1) 법정대리인의 동의 필요

만 14세 미만 아동의 개인정보를 수집·이용하려는 경우 법정대리인의 동의 필요

법정대리인:

  • 친권자 (부모)
  • 후견인

(2) 법정대리인 동의 방법

동의 받을 때 필수 사항:

  1. 법정대리인의 성명
  2. 법정대리인의 연락처 (전화번호, 이메일 등)

동의 방법:

  • 법정대리인 본인확인 필수
    • 법정대리인 명의 휴대폰 인증
    • 아이핀
    • 공동인증서
    • 신용카드 인증

(3) 동의 절차 예시

[[[[[[123456]]]]]]((14))

1.4 법정대리인의 권리

법정대리인은 아동을 대신하여 다음 권리 행사 가능:

  1. 열람권: 아동의 개인정보 열람 요구
  2. 정정·삭제권: 아동의 개인정보 정정·삭제 요구
  3. 처리정지권: 아동의 개인정보 처리정지 요구
  4. 동의 철회권: 동의 철회

1.5 아동 개인정보 처리 시 주의사항

(1) 연령 확인 절차 필수

회원가입 시 생년월일 입력 → 만 14세 미만 여부 자동 판단

(2) 법정대리인 동의 없이 수집 금지

법정대리인 동의 없이 아동 개인정보 수집 시 3천만원 이하 과태료

(3) 아동 대상 마케팅 제한

만 14세 미만 아동 대상 마케팅은 법정대리인 동의 필요

1.6 실무 사례

사례 1: 온라인 게임

상황: 만 12세 아동이 게임 회원가입

처리:

  1. 생년월일 입력 → 만 14세 미만 확인
  2. 법정대리인(부모) 휴대폰 번호 입력
  3. 부모 휴대폰으로 인증번호 발송
  4. 부모가 인증번호 입력 + 동의
  5. 회원가입 완료

사례 2: 유튜브 키즈

상황: 아동 대상 동영상 서비스

처리:

  • 회원가입 자체를 만 14세 미만 불가로 제한
  • 또는 법정대리인 계정으로 자녀 계정 생성

2. 영상정보처리기기 (CCTV) 운영

2.1 영상정보처리기기의 정의

영상정보처리기기: 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통해 전송하는 장치

대표 예시:

  • CCTV
  • 네트워크 카메라
  • 차량 블랙박스 (고정 설치 시)

2.2 법적 근거

  • 개인정보보호법 제25조: 영상정보처리기기의 설치·운영 제한

2.3 설치 목적의 제한 (법 제25조 제1항)

영상정보처리기기는 다음 목적으로만 설치·운영 가능:

  1. 범죄의 예방 및 수사를 위하여 필요한 경우
  2. 시설안전 및 화재 예방을 위하여 필요한 경우
  3. 교통정보의 수집·분석 및 제공을 위하여 필요한 경우
  4. 교통단속을 위하여 필요한 경우
  5. 군사시설, 중요 시설의 보호를 위하여 필요한 경우

설치 금지 장소:

  • 목욕탕, 화장실, 탈의실 등 사생활 침해 우려가 높은 장소는 원칙적 설치 금지

2.4 설치·운영 시 준수사항 (법 제25조 제2항~제5항)

(1) 안내판 설치 의무

공개된 장소에 영상정보처리기기를 설치·운영하는 경우 안내판 설치 필수

안내판 기재 사항:

  1. 설치 목적 및 장소
  2. 촬영 범위 및 시간
  3. 관리책임자 성명 및 연락처
  4. 그 밖에 대통령령으로 정하는 사항

안내판 설치 위치:

  • 정보주체가 쉽게 알아볼 수 있는 장소
  • CCTV 인근

(2) 촬영 범위 최소화

필요 최소한의 범위만 촬영

  • 불필요한 사생활 침해 최소화
  • 예: 엘리베이터 내부는 촬영하되, 이웃집 현관은 촬영 범위에서 제외

(3) 녹음 금지

영상정보처리기기 운영 시 음성 녹음 금지 (원칙)

예외:

  • 법률에 근거가 있는 경우
  • 정보주체 동의

(4) 보관 기간 명시

촬영한 영상정보의 보관 기간을 안내판에 명시

  • 일반적으로 30일 이내
  • 필요 시 연장 가능하나 그 사유를 명확히 해야 함

(5) 영상정보 접근 제한

영상정보는 관리책임자 및 담당자만 접근 가능

  • 접근 권한 통제
  • 접근 기록 보관

2.5 영상정보 보관·파기

보관 기간

  • 안내판에 명시된 기간 (통상 30일)

파기

  • 보관 기간 경과 후 지체 없이 파기
  • 복구 불가능한 방법으로 파기

2.6 정보주체의 권리

열람 요구권

정보주체는 자신이 촬영된 영상정보에 대해 열람을 요구할 수 있음

열람 절차:

  1. 본인 확인
  2. 열람 요구 접수
  3. 해당 영상 확인 및 열람 제공 (10일 이내)

열람 거부 사유:

  • 범죄 수사 등 공공의 이익을 해칠 우려
  • 다른 사람의 사생활 침해 우려

2.7 실무 사례

사례 1: 아파트 CCTV

설치 목적: 범죄 예방 및 시설 안전

준수 사항:

  1. 주 출입구, 엘리베이터, 주차장에 설치
  2. 안내판 설치: “범죄 예방 및 시설 안전을 위해 CCTV 운영 중”
  3. 촬영 범위: 공용 공간만 촬영, 개별 세대 현관 제외
  4. 보관 기간: 30일
  5. 관리책임자: 관리사무소장

사례 2: 편의점 CCTV

설치 목적: 범죄 예방, 시설 안전

준수 사항:

  1. 매장 내부, 출입구에 설치
  2. 안내판 설치
  3. 음성 녹음 금지
  4. 보관 기간: 30일
  5. 고객 요청 시 열람 제공

사례 3: 학교 CCTV

설치 목적: 학생 안전, 범죄 예방

주의 사항:

  • 화장실, 탈의실은 설치 금지
  • 교실 내부는 신중히 판단 (사생활 침해 우려)
  • 학부모, 학생에게 충분히 안내

3. 가명정보 (2020년 8월 신설)

3.1 가명정보의 정의

가명정보: 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리한 정보

3.2 법적 근거

  • 개인정보보호법 제2조 제1호의2: 가명정보 정의
  • 개인정보보호법 제28조의2~제28조의7: 가명정보 처리 특례

3.3 가명정보와 익명정보의 차이

구분가명정보익명정보
재식별 가능성추가 정보 이용 시 재식별 가능재식별 불가능
법적 성격개인정보에 해당개인정보 미해당
적용 법률개인정보보호법 적용개인정보보호법 적용 안됨
동의 필요성특정 목적에 한해 동의 불요동의 불필요
제3자 제공특정 요건 충족 시 가능자유롭게 가능

3.4 가명정보 처리 목적 (법 제28조의2 제1항)

가명정보는 다음 목적으로만 정보주체 동의 없이 처리 가능:

  1. 통계 작성
  2. 과학적 연구
  3. 공익적 기록 보존

주의:

  • 위 목적 외에는 가명정보라도 동의 필요
  • 마케팅, 영리 목적 등은 불가

3.5 가명처리 방법

대표적인 가명처리 기법

1. 가명처리 (Pseudonymization)

  • 개인을 식별할 수 있는 요소를 **가명(ID)**으로 대체
  • 예: 홍길동 → P00123

2. 총계처리 (Aggregation)

  • 통계값으로 처리
  • 예: 나이 → 30대

3. 데이터 삭제 (Suppression)

  • 식별 가능 항목 삭제
  • 예: 주민등록번호 삭제

4. 데이터 범주화 (Generalization)

  • 구체적 값을 범주로 변환
  • 예: 서울시 강남구 → 서울시

5. 데이터 마스킹 (Masking)

  • 일부를 *로 처리
  • 예: 홍동, 010-***-1234

3.6 가명정보 처리 시 준수사항 (법 제28조의3)

(1) 원래 상태로 복원하기 위한 추가 정보의 분리 보관

가명정보 처리 시, 원래 개인정보로 복원할 수 있는 추가 정보는 별도로 분리 보관

예시:

  • 가명정보: P00123, 30대, 서울시
  • 추가 정보 (별도 보관): P00123 = 홍길동

(2) 추가 정보에 대한 안전성 확보 조치

추가 정보는 가명정보보다 더 강력한 보안 조치:

  • 암호화
  • 접근 통제
  • 별도 저장 장소

(3) 가명정보의 재식별 금지

가명정보를 처리하는 과정에서 특정 개인을 알아보기 위한 목적으로 추가 정보를 이용하거나, 다른 정보와 결합해서는 안 됨

위반 시:

  • 5년 이하 징역 또는 5천만원 이하 벌금

3.7 가명정보의 결합 (법 제28조의4~제28조의7)

결합의 필요성

서로 다른 기관이 보유한 가명정보를 결합하여 더 가치 있는 통계·연구 수행

결합 절차

1. 결합 전문기관 이용 의무 가명정보 결합은 반드시 결합 전문기관을 통해서만 가능

결합 전문기관:

  • 한국인터넷진흥원
  • 금융보안원
  • 한국신용정보원 등

2. 결합 절차

[[[[[12345]]]]]

3. 결합 데이터 반출

  • 결합된 가명정보가 재식별되지 않는지 전문기관이 심사
  • 적합 판정 시에만 반출 가능

3.8 가명정보 활용 사례

사례 1: 의료 빅데이터 연구

원본 데이터:

  • 환자명: 홍길동
  • 주민등록번호: 800101-1234567
  • 진료 기록: 고혈압

가명처리:

  • 환자ID: P00123
  • 성별/연령대: 남성, 40대
  • 진료 기록: 고혈압

활용:

  • 고혈압 환자의 연령대별 분포 연구
  • 치료 효과 분석

사례 2: 통신 데이터 분석

원본 데이터:

  • 이름: 홍길동
  • 전화번호: 010-1234-5678
  • 통화 이력

가명처리:

  • UserID: U00456
  • 지역: 서울
  • 통화 패턴

활용:

  • 지역별 통신 이용 패턴 분석
  • 네트워크 최적화

4. 보안 컨설팅 관점의 시사점

4.1 아동 개인정보 처리 시스템 설계

연령 확인 기능

  • 생년월일 입력 → 자동 연령 계산
  • 만 14세 미만 판정 시 법정대리인 동의 프로세스로 분기

법정대리인 동의 시스템

  • 법정대리인 본인확인 연동 (휴대폰 인증, 아이핀 등)
  • 동의 이력 기록 및 관리

4.2 CCTV 운영 컨설팅

설치 전 검토

  1. 설치 목적이 법정 목적에 부합하는가?
  2. 촬영 범위가 최소한인가?
  3. 설치 금지 장소는 아닌가?

운영 관리

  1. 안내판 설치 여부 확인
  2. 보관 기간 준수 여부
  3. 접근 권한 관리
  4. 정보주체 열람 요구 대응 절차

4.3 가명정보 활용 컨설팅

가명처리 적정성 검토

  • 가명처리 기법이 적절한가?
  • 재식별 위험은 없는가?
  • 추가 정보를 안전하게 분리 보관하는가?

가명정보 결합 지원

  • 결합 전문기관 선정
  • 결합 신청 절차 지원
  • 반출 심사 대응

5. 체크리스트

아동 개인정보

  • 만 14세 미만 아동 판별 기능이 있는가?
  • 법정대리인 동의 절차가 구현되어 있는가?
  • 법정대리인 본인확인을 하는가?
  • 법정대리인 동의 이력을 기록·관리하는가?

영상정보처리기기

  • 설치 목적이 법정 목적에 부합하는가?
  • 안내판을 설치했는가?
  • 안내판에 필수 사항이 기재되어 있는가?
  • 촬영 범위가 최소화되어 있는가?
  • 음성 녹음을 하지 않는가?
  • 보관 기간을 준수하는가?
  • 접근 권한을 통제하는가?
  • 정보주체 열람 요구 대응 절차가 있는가?

가명정보

  • 가명정보 처리 목적이 통계·연구·공익 기록인가?
  • 추가 정보를 분리 보관하는가?
  • 재식별 방지 조치가 되어 있는가?
  • 가명정보 결합 시 전문기관을 이용하는가?

학습 정리

오늘 학습한 핵심 내용:

  • 만 14세 미만 아동의 개인정보 수집 시 법정대리인 동의 필수
  • CCTV는 법정 목적으로만 설치 가능, 안내판 설치 의무
  • 촬영 범위 최소화, 음성 녹음 금지 원칙
  • 가명정보는 통계·연구·공익 기록 목적으로 동의 없이 처리 가능
  • 가명정보는 개인정보이며, 재식별 금지
  • 가명정보 결합은 전문기관을 통해서만 가능

다음 학습 주제

Day 12: 전자금융거래법 - 전자금융거래의 안전성 확보 및 이용자 보호