Day 05: 정보주체의 권리 #

1. 정보주체 권리의 개요 #

개인정보보호법은 정보주체(개인정보의 주체가 되는 사람)에게 자신의 개인정보에 대한 통제권을 부여합니다. 이를 개인정보 자기결정권이라고 합니다.

1.1 정보주체의 8가지 권리 #

1. 열람권 (제35조)
2. 정정·삭제 요구권 (제36조)
3. 처리정지 요구권 (제37조)
4. 동의 철회권 (제37조 해석상)
5. 손해배상 청구권 (제39조)
6. 설명 요구권 (제37조의2)
7. 자동화 결정에 대한 거부권 (제37조의2)
8. 가명정보에 대한 처리 중지 요구권 (제28조의4)

2. 열람 요구권 (법 제35조) #

2.1 권리의 내용 #

정보주체는 개인정보처리자에게 자신의 개인정보에 대해 열람을 요구할 수 있습니다.

열람 대상:

• 개인정보의 항목
• 개인정보의 이용 목적
• 개인정보의 보유 기간
• 개인정보의 제3자 제공 현황 (제공받은 자, 제공 목적, 제공 항목)

2.2 처리 절차 #

(1) 요구 방법 #

• 서면, 전자우편, 팩스, 인터넷 홈페이지 등
• 개인정보처리자가 지정한 방법

(2) 본인 확인 #

• 열람 요구 시 본인 확인 절차 필수
• 대리인이 요구하는 경우 위임장 등 확인

(3) 열람 제공 #

• 요구받은 날로부터 10일 이내 열람 기회 제공
• 10일 이내 열람이 어려운 경우 그 사유를 알리고 최대 10일 연장 가능

(4) 열람 방법 #

• 사본 발급
• 인터넷 홈페이지 열람
• 방문 열람
• 수수료 징수 가능 (실비 범위 내)

2.3 열람 제한 사유 (법 제35조 제4항) #

다음의 경우 열람을 제한할 수 있습니다:

1. 법률에 따라 열람이 금지되거나 제한되는 경우
2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 다음 업무를 수행할 때 중대한 지장을 초래하는 경우:
   • 조세의 부과·징수 또는 환급
   • 학력·기능·채용 시험 관리
   • 감사·감독·검사
   • 기타 공공기관의 내부 검토 과정

열람 제한 시 의무:

• 제한 사유와 이의제기 방법을 서면 등으로 통지
• 열람이 가능한 부분만이라도 열람 기회 제공

3. 정정·삭제 요구권 (법 제36조) #

3.1 권리의 내용 #

정보주체는 개인정보처리자에게 자신의 개인정보를 정정하거나 삭제할 것을 요구할 수 있습니다.

정정 요구:

• 개인정보가 사실과 다른 경우
• 예: 주소 변경, 오타 수정

삭제 요구:

• 수집·이용 목적이 달성된 경우
• 동의를 철회한 경우
• 불필요하거나 과도하게 수집된 경우

3.2 처리 절차 #

(1) 정정·삭제 요구 접수 #

• 서면, 전자우편, 인터넷 등

(2) 조치 및 통지 #

• 요구받은 날로부터 10일 이내 조치 후 결과 통지
• 정당한 사유가 없는 한 지체 없이 조치

(3) 조치 결과 통지 #

• 정정 또는 삭제 완료 통지
• 거부 시 거부 사유 및 이의제기 방법 통지

3.3 삭제 제한 사유 #

다음의 경우 삭제를 거부할 수 있습니다:

1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위해 불가피한 경우
   • 예: 전자상거래법에 따른 거래기록 보존 의무
   • 예: 통신비밀보호법에 따른 통신자료 보존 의무
2. 다른 법률에 따라 그 개인정보가 수집 대상으로 명시되어 있는 경우

3.4 제3자 제공 사실 통지 의무 #

정정 또는 삭제를 완료한 경우, 그 개인정보를 제3자에게 제공한 적이 있으면 제3자에게도 정정·삭제 사실을 통지해야 합니다.

단, 통지가 불가능하거나 과도한 노력이 필요한 경우는 예외입니다.

4. 처리정지 요구권 (법 제37조) #

4.1 권리의 내용 #

정보주체는 자신의 개인정보 처리의 정지를 요구할 수 있습니다.

처리정지란?

• 개인정보의 이용, 제공, 공개 등을 중단하는 것
• 삭제는 아니지만 사실상 이용을 못하게 하는 것

4.2 처리 절차 #

(1) 정지 요구 접수 #

• 서면, 전자우편, 인터넷 등

(2) 조치 #

• 요구받은 날로부터 10일 이내 처리정지
• 개인정보의 전부 또는 일부에 대해 처리정지

(3) 결과 통지 #

• 처리정지 완료 통지
• 거부 시 거부 사유 및 이의제기 방법 통지

4.3 처리정지 거부 사유 (법 제37조 제2항) #

다음의 경우 처리정지 요구를 거부할 수 있습니다:

1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위해 불가피한 경우
2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우

4.4 처리정지 요구의 예시 #

예시 1: 마케팅 목적 이용 정지

• 회원 가입 시 마케팅 동의를 했지만, 이후 광고를 받고 싶지 않은 경우
• 처리정지 요구 가능

예시 2: 제3자 제공 정지

• 제휴사에 개인정보 제공에 동의했지만, 이후 제공을 원하지 않는 경우
• 처리정지 요구 가능

5. 동의 철회권 #

5.1 권리의 내용 #

정보주체는 언제든지 개인정보 처리에 대한 동의를 철회할 수 있습니다.

법적 근거:

• 명문 규정은 없으나 제37조 처리정지 요구권의 해석상 인정
• 동의 방법보다 철회 방법이 쉬워야 함 (법 제22조 제3항)

5.2 철회의 효과 #

• 동의 철회 시점부터 개인정보 처리 중단
• 과거에 적법하게 처리한 것까지 위법이 되는 것은 아님
• 철회 후에는 지체 없이 파기 (법률상 보존 의무가 있는 경우 제외)

5.3 동의 철회 방법 #

원칙:

• 동의한 방법보다 쉽게 철회할 수 있어야 함
• 예: 인터넷으로 동의했으면 인터넷으로도 철회 가능해야 함

실무 예시:

• 홈페이지에 “회원탈퇴” 메뉴 제공
• “수신거부” 링크 제공 (이메일, SMS)
• 고객센터 전화로도 철회 가능

위법 사례:

• 온라인으로 동의했는데 철회는 서면 우편으로만 가능
• 고객센터 전화 연결이 어렵게 설계

6. 설명 요구권 (법 제37조의2) #

6.1 권리의 내용 (2020년 8월 신설) #

정보주체는 다음에 대해 설명을 요구할 수 있습니다:

1. 개인정보의 처리에 관한 정보
2. 열람, 정정·삭제, 처리정지 등 권리 행사 방법

6.2 설명 내용 #

개인정보처리자는 정보주체가 쉽게 이해할 수 있도록 다음을 설명해야 합니다:

• 개인정보의 수집 출처
• 처리 목적
• 제3자 제공 현황
• 권리 행사 방법

6.3 설명 방법 #

• 서면, 전자우편, 전화 등
• 정보주체가 요구하는 방법

7. 자동화된 결정에 대한 거부권 (법 제37조의2) #

7.1 권리의 내용 (2020년 8월 신설) #

정보주체는 자동화된 결정만으로 자신에게 법률적 효과를 미치거나 상당한 영향을 미치는 경우, 이에 대해 거부할 수 있습니다.

자동화된 결정이란?

• 사람의 개입 없이 컴퓨터 등 정보처리장치만으로 이루어지는 결정
• 예: AI 신용평가, 자동화된 채용 심사, 프로파일링 기반 의사결정

7.2 적용 요건 #

다음 요건을 모두 충족하는 경우:

1. 완전 자동화된 처리
2. 개인정보를 이용한 처리
3. 정보주체에게 법률적 효과 또는 상당한 영향을 미치는 경우

법률적 효과:

• 대출 거부, 보험 거부, 채용 탈락 등

상당한 영향:

• 맞춤형 가격 책정으로 불이익
• 서비스 이용 제한

7.3 거부권 행사의 효과 #

정보주체가 거부권을 행사하면:

• 자동화된 결정에 대해 설명을 요구할 수 있음
• 이의를 제기하고 사람의 개입에 의한 재처리를 요구할 수 있음

7.4 예외 (거부권이 제한되는 경우) #

다음의 경우 거부권이 제한될 수 있습니다:

1. 정보주체의 명시적인 동의가 있는 경우
2. 법률에 특별한 규정이 있는 경우
3. 정보주체와의 계약 체결 및 이행을 위해 필요한 경우

8. 가명정보 처리 중지 요구권 (법 제28조의4) #

8.1 권리의 내용 (2020년 8월 신설) #

정보주체는 자신을 알아볼 수 있는 가명정보를 처리하는 것으로 인해 정당한 이익이 침해받는 경우, 해당 가명정보의 처리 중지를 요구할 수 있습니다.

8.2 적용 요건 #

1. 가명정보로 정보주체를 알아볼 수 있는 경우
2. 가명정보 처리로 정보주체의 정당한 이익이 침해되는 경우

8.3 처리 절차 #

개인정보처리자는 요구를 받으면:

• 정당한 사유가 없는 한 지체 없이 처리 중지
• 처리 중지 결과를 정보주체에게 통지

9. 손해배상 청구권 (법 제39조) #

9.1 권리의 내용 #

정보주체는 개인정보처리자의 법 위반으로 손해를 입은 경우 손해배상을 청구할 수 있습니다.

9.2 손해배상 요건 #

(1) 개인정보처리자의 법 위반 #

• 개인정보보호법 또는 같은 법에 따른 명령 위반

(2) 손해 발생 #

• 재산적 손해: 금전적 피해
• 정신적 손해: 위자료

(3) 인과관계 #

• 법 위반과 손해 사이의 인과관계

9.3 입증책임의 전환 (법 제39조 제2항) #

개인정보처리자는 다음을 입증해야 합니다:

1. 고의 또는 과실이 없었다는 것
2. 손해 발생의 원인이 자신에게 없다는 것

즉, 정보주체는 손해만 입증하면 되고, 개인정보처리자가 자신의 무과실을 입증해야 합니다.

9.4 손해배상액 #

(1) 실제 손해 #

• 입증된 손해액 전액

(2) 법정손해배상 (법 제39조의2, 2020년 8월 신설) #

정보주체가 재산적 손해를 입증하기 어려운 경우, 300만원 이하의 범위에서 법원이 상당한 손해액을 인정할 수 있습니다.

적용 요건:

• 고의 또는 중대한 과실로 개인정보를 분실·도난·유출·위조·변조·훼손한 경우
• 정보주체가 재산적 손해 입증이 어려운 경우

(3) 징벌적 손해배상 (법 제39조의3, 2023년 9월 신설) #

고의 또는 중대한 과실로 개인정보를 유출하여 정보주체에게 손해를 입힌 경우:

• 실제 손해액의 3배 이하 (다만, 5억원을 초과할 수 없음)
• 고의 또는 중대한 과실 입증 필요

10. 권리 행사 절차 종합 #

10.1 일반적인 권리 행사 흐름 #

정보주체 요구 → 본인 확인 → 처리 (10일 이내) → 결과 통지

10.2 개인정보처리자의 의무 #

(1) 권리 행사 방법 안내 #

• 개인정보 처리방침에 권리 행사 방법 명시
• 홈페이지에 안내 게시

(2) 권리 행사 창구 마련 #

• 고객센터, 홈페이지, 이메일 등
• 쉽게 접근 가능해야 함

(3) 신속한 처리 #

• 10일 이내 처리 원칙
• 부득이한 경우 10일 연장 가능 (연장 사유 통지)

(4) 거부 시 사유 설명 #

• 거부 사유를 구체적으로 설명
• 이의제기 방법 안내

(5) 불이익 금지 #

• 권리 행사를 이유로 불이익을 주어서는 안 됨
• 예: 서비스 이용 제한, 차별적 대우

10.3 법정대리인의 권리 행사 #

만 14세 미만 아동의 경우, 법정대리인이 권리를 행사할 수 있습니다.

11. 보안 컨설팅 관점의 설계 원칙 #

11.1 권리 행사 지원 시스템 #

온라인 시스템 #

• 회원 정보 조회/수정 기능
• 회원 탈퇴 기능
• 개인정보 열람 요청 기능
• 다운로드 기능 (데이터 이동권)

오프라인 채널 #

• 고객센터 전화, 이메일
• 서면 요청 접수

11.2 본인 확인 절차 #

온라인 #

• 로그인 (ID/PW)
• 본인인증 (휴대폰, 아이핀 등)

오프라인 #

• 신분증 사본
• 위임장 및 인감증명 (대리인)

11.3 처리 기한 관리 #

• 요청 접수일 기록
• 10일 기한 추적
• 자동 알림 시스템

11.4 이력 관리 #

• 요청 내용 기록
• 처리 결과 기록
• 통지 내역 보관

12. 실무 사례 #

사례 1: 열람 요구 #

상황: 고객이 쇼핑몰에 자신의 개인정보 열람 요청

처리:

1. 본인 확인 (로그인 또는 본인인증)
2. 보유 정보 제공:
   • 이름, 연락처, 주소
   • 최근 구매 이력
   • 제3자 제공 내역 (배송사 등)
3. 10일 이내 열람 기회 제공

사례 2: 정정 요구 #

상황: 고객이 주소 변경을 요청

처리:

1. 본인 확인
2. 주소 정보 수정
3. 수정 완료 통지
4. 배송사에도 변경 사실 통지 (제3자 제공한 경우)

사례 3: 삭제 요구 #

상황: 회원 탈퇴 요청

처리:

1. 본인 확인
2. 회원 정보 삭제
3. 단, 전자상거래법에 따라 거래 기록은 5년 보존
4. 보존 근거 및 기간 안내

사례 4: 처리정지 요구 #

상황: 마케팅 메일 수신 거부 요청

처리:

1. 수신 거부 처리
2. 이메일 발송 중단
3. 다만 거래 관련 필수 안내는 계속 발송 가능 (계약 이행)

사례 5: 동의 철회 #

상황: 제휴사 제공 동의 철회

처리:

1. 제3자 제공 중단
2. 이미 제공된 정보는 제휴사에 삭제 요청
3. 철회 완료 통지

사례 6: 자동화된 결정 거부 #

상황: AI 신용평가 결과에 대한 이의 제기

처리:

1. 자동화된 평가 근거 설명
2. 사람의 개입에 의한 재평가 실시
3. 재평가 결과 통지

13. 자주 발생하는 위반 사례 #

위반 사례 1: 회원 탈퇴 어렵게 만들기 #

• 온라인 가입은 쉽지만 탈퇴는 전화나 서면으로만 가능
• 고객센터 연결이 어렵게 설계

올바른 방법:

• 가입한 방법과 동일하거나 더 쉬운 방법으로 탈퇴 가능

위반 사례 2: 열람 요구 무시 #

• 고객의 열람 요청을 10일 넘게 방치

올바른 방법:

• 10일 이내 열람 기회 제공
• 부득이한 경우 연장 사유 통지 후 최대 10일 연장

위반 사례 3: 정정 요구 거부 #

• 정당한 사유 없이 정보 수정 거부

올바른 방법:

• 정당한 요구는 즉시 수정
• 거부 시 구체적인 사유 및 이의제기 방법 안내

위반 사례 4: 권리 행사에 불이익 #

• 수신거부 한 고객에게 서비스 이용 제한

올바른 방법:

• 권리 행사를 이유로 불이익을 주어서는 안 됨

14. 체크리스트 #

개인정보처리자는 다음을 확인하세요:

• 정보주체가 쉽게 권리를 행사할 수 있는 창구가 마련되어 있는가?
• 권리 행사 방법을 개인정보 처리방침에 명시했는가?
• 본인 확인 절차가 마련되어 있는가?
• 10일 이내 처리하는 시스템이 구축되어 있는가?
• 거부 시 사유를 구체적으로 설명하는가?
• 동의 철회 방법이 동의 방법보다 쉬운가?
• 회원 탈퇴가 온라인으로 가능한가?
• 제3자에게 제공한 경우 정정·삭제 사실을 통지하는가?
• 권리 행사 이력을 기록·관리하는가?
• 자동화된 결정에 대한 설명 및 이의제기 방법을 제공하는가?

15. 이의제기 및 구제 절차 #

정보주체가 권리 행사를 했으나 개인정보처리자가 거부하거나 만족스럽지 않은 경우:

15.1 내부 이의제기 #

• 개인정보 보호책임자에게 이의 제기
• 개인정보 분쟁조정위원회에 신청 전 단계

15.2 외부 구제 수단 #

(1) 개인정보 분쟁조정위원회 (법 제40조) #

• 분쟁 조정 신청
• 무료, 신속한 해결
• 조정 성립 시 재판상 화해 효력

(2) 개인정보보호위원회 #

• 침해 신고 및 상담
• 시정 명령 요청

(3) 민사소송 #

• 법원에 손해배상 청구 소송

(4) 형사고소 #

• 검찰 또는 경찰에 고소

(5) 한국인터넷진흥원 개인정보침해신고센터 #

• 전화: 118
• 온라인: privacy.kisa.or.kr

학습 정리 #

오늘 학습한 핵심 내용:

• 정보주체는 자신의 개인정보에 대해 열람, 정정·삭제, 처리정지, 동의 철회 등의 권리를 가짐
• 개인정보처리자는 요구받은 날로부터 10일 이내 처리해야 함
• 동의 철회는 동의한 방법보다 쉬워야 함
• 자동화된 결정에 대해 설명을 요구하고 거부할 수 있음
• 법 위반으로 손해 발생 시 손해배상 청구 가능 (입증책임 전환)
• 권리 행사를 이유로 불이익을 주어서는 안 됨

다음 학습 주제 #

Day 06: 개인정보의 안전성 확보 조치 - 개인정보를 안전하게 관리하기 위한 기술적·관리적 조치