Day 11: 아동·영상정보·가명정보 특칙
목차
Day 11: 아동·영상정보·가명정보 특칙 #
1. 아동 개인정보 보호 #
1.1 아동의 정의 #
만 14세 미만의 아동
개인정보보호법에서는 만 14세 미만 아동의 개인정보를 특별히 보호
1.2 법적 근거 #
- 개인정보보호법 제22조 제6항: 만 14세 미만 아동의 개인정보 수집 시 법정대리인 동의
- 정보통신망법 제31조: 동일한 내용 규정
1.3 법정대리인 동의 절차 #
(1) 법정대리인의 동의 필요 #
만 14세 미만 아동의 개인정보를 수집·이용하려는 경우 법정대리인의 동의 필요
법정대리인:
- 친권자 (부모)
- 후견인
(2) 법정대리인 동의 방법 #
동의 받을 때 필수 사항:
- 법정대리인의 성명
- 법정대리인의 연락처 (전화번호, 이메일 등)
동의 방법:
- 법정대리인 본인확인 필수
- 법정대리인 명의 휴대폰 인증
- 아이핀
- 공동인증서
- 신용카드 인증
(3) 동의 절차 예시 #
[1단계] 아동이 회원가입 시도
↓
[2단계] 아동 연령 확인 (만 14세 미만 판정)
↓
[3단계] 법정대리인 동의 안내
↓
[4단계] 법정대리인 본인확인 (휴대폰 인증 등)
↓
[5단계] 법정대리인 동의서 확인 및 동의
↓
[6단계] 회원가입 완료
1.4 법정대리인의 권리 #
법정대리인은 아동을 대신하여 다음 권리 행사 가능:
- 열람권: 아동의 개인정보 열람 요구
- 정정·삭제권: 아동의 개인정보 정정·삭제 요구
- 처리정지권: 아동의 개인정보 처리정지 요구
- 동의 철회권: 동의 철회
1.5 아동 개인정보 처리 시 주의사항 #
(1) 연령 확인 절차 필수 #
회원가입 시 생년월일 입력 → 만 14세 미만 여부 자동 판단
(2) 법정대리인 동의 없이 수집 금지 #
법정대리인 동의 없이 아동 개인정보 수집 시 3천만원 이하 과태료
(3) 아동 대상 마케팅 제한 #
만 14세 미만 아동 대상 마케팅은 법정대리인 동의 필요
1.6 실무 사례 #
사례 1: 온라인 게임 #
상황: 만 12세 아동이 게임 회원가입
처리:
- 생년월일 입력 → 만 14세 미만 확인
- 법정대리인(부모) 휴대폰 번호 입력
- 부모 휴대폰으로 인증번호 발송
- 부모가 인증번호 입력 + 동의
- 회원가입 완료
사례 2: 유튜브 키즈 #
상황: 아동 대상 동영상 서비스
처리:
- 회원가입 자체를 만 14세 미만 불가로 제한
- 또는 법정대리인 계정으로 자녀 계정 생성
2. 영상정보처리기기 (CCTV) 운영 #
2.1 영상정보처리기기의 정의 #
영상정보처리기기: 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통해 전송하는 장치
대표 예시:
- CCTV
- 네트워크 카메라
- 차량 블랙박스 (고정 설치 시)
2.2 법적 근거 #
- 개인정보보호법 제25조: 영상정보처리기기의 설치·운영 제한
2.3 설치 목적의 제한 (법 제25조 제1항) #
영상정보처리기기는 다음 목적으로만 설치·운영 가능:
- 범죄의 예방 및 수사를 위하여 필요한 경우
- 시설안전 및 화재 예방을 위하여 필요한 경우
- 교통정보의 수집·분석 및 제공을 위하여 필요한 경우
- 교통단속을 위하여 필요한 경우
- 군사시설, 중요 시설의 보호를 위하여 필요한 경우
설치 금지 장소:
- 목욕탕, 화장실, 탈의실 등 사생활 침해 우려가 높은 장소는 원칙적 설치 금지
2.4 설치·운영 시 준수사항 (법 제25조 제2항~제5항) #
(1) 안내판 설치 의무 #
공개된 장소에 영상정보처리기기를 설치·운영하는 경우 안내판 설치 필수
안내판 기재 사항:
- 설치 목적 및 장소
- 촬영 범위 및 시간
- 관리책임자 성명 및 연락처
- 그 밖에 대통령령으로 정하는 사항
안내판 설치 위치:
- 정보주체가 쉽게 알아볼 수 있는 장소
- CCTV 인근
(2) 촬영 범위 최소화 #
필요 최소한의 범위만 촬영
- 불필요한 사생활 침해 최소화
- 예: 엘리베이터 내부는 촬영하되, 이웃집 현관은 촬영 범위에서 제외
(3) 녹음 금지 #
영상정보처리기기 운영 시 음성 녹음 금지 (원칙)
예외:
- 법률에 근거가 있는 경우
- 정보주체 동의
(4) 보관 기간 명시 #
촬영한 영상정보의 보관 기간을 안내판에 명시
- 일반적으로 30일 이내
- 필요 시 연장 가능하나 그 사유를 명확히 해야 함
(5) 영상정보 접근 제한 #
영상정보는 관리책임자 및 담당자만 접근 가능
- 접근 권한 통제
- 접근 기록 보관
2.5 영상정보 보관·파기 #
보관 기간 #
- 안내판에 명시된 기간 (통상 30일)
파기 #
- 보관 기간 경과 후 지체 없이 파기
- 복구 불가능한 방법으로 파기
2.6 정보주체의 권리 #
열람 요구권 #
정보주체는 자신이 촬영된 영상정보에 대해 열람을 요구할 수 있음
열람 절차:
- 본인 확인
- 열람 요구 접수
- 해당 영상 확인 및 열람 제공 (10일 이내)
열람 거부 사유:
- 범죄 수사 등 공공의 이익을 해칠 우려
- 다른 사람의 사생활 침해 우려
2.7 실무 사례 #
사례 1: 아파트 CCTV #
설치 목적: 범죄 예방 및 시설 안전
준수 사항:
- 주 출입구, 엘리베이터, 주차장에 설치
- 안내판 설치: “범죄 예방 및 시설 안전을 위해 CCTV 운영 중”
- 촬영 범위: 공용 공간만 촬영, 개별 세대 현관 제외
- 보관 기간: 30일
- 관리책임자: 관리사무소장
사례 2: 편의점 CCTV #
설치 목적: 범죄 예방, 시설 안전
준수 사항:
- 매장 내부, 출입구에 설치
- 안내판 설치
- 음성 녹음 금지
- 보관 기간: 30일
- 고객 요청 시 열람 제공
사례 3: 학교 CCTV #
설치 목적: 학생 안전, 범죄 예방
주의 사항:
- 화장실, 탈의실은 설치 금지
- 교실 내부는 신중히 판단 (사생활 침해 우려)
- 학부모, 학생에게 충분히 안내
3. 가명정보 (2020년 8월 신설) #
3.1 가명정보의 정의 #
가명정보: 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리한 정보
3.2 법적 근거 #
- 개인정보보호법 제2조 제1호의2: 가명정보 정의
- 개인정보보호법 제28조의2~제28조의7: 가명정보 처리 특례
3.3 가명정보와 익명정보의 차이 #
| 구분 | 가명정보 | 익명정보 |
|---|---|---|
| 재식별 가능성 | 추가 정보 이용 시 재식별 가능 | 재식별 불가능 |
| 법적 성격 | 개인정보에 해당 | 개인정보 미해당 |
| 적용 법률 | 개인정보보호법 적용 | 개인정보보호법 적용 안됨 |
| 동의 필요성 | 특정 목적에 한해 동의 불요 | 동의 불필요 |
| 제3자 제공 | 특정 요건 충족 시 가능 | 자유롭게 가능 |
3.4 가명정보 처리 목적 (법 제28조의2 제1항) #
가명정보는 다음 목적으로만 정보주체 동의 없이 처리 가능:
- 통계 작성
- 과학적 연구
- 공익적 기록 보존
주의:
- 위 목적 외에는 가명정보라도 동의 필요
- 마케팅, 영리 목적 등은 불가
3.5 가명처리 방법 #
대표적인 가명처리 기법 #
1. 가명처리 (Pseudonymization)
- 개인을 식별할 수 있는 요소를 **가명(ID)**으로 대체
- 예: 홍길동 → P00123
2. 총계처리 (Aggregation)
- 통계값으로 처리
- 예: 나이 → 30대
3. 데이터 삭제 (Suppression)
- 식별 가능 항목 삭제
- 예: 주민등록번호 삭제
4. 데이터 범주화 (Generalization)
- 구체적 값을 범주로 변환
- 예: 서울시 강남구 → 서울시
5. 데이터 마스킹 (Masking)
- 일부를 *로 처리
- 예: 홍동, 010-***-1234
3.6 가명정보 처리 시 준수사항 (법 제28조의3) #
(1) 원래 상태로 복원하기 위한 추가 정보의 분리 보관 #
가명정보 처리 시, 원래 개인정보로 복원할 수 있는 추가 정보는 별도로 분리 보관
예시:
- 가명정보: P00123, 30대, 서울시
- 추가 정보 (별도 보관): P00123 = 홍길동
(2) 추가 정보에 대한 안전성 확보 조치 #
추가 정보는 가명정보보다 더 강력한 보안 조치:
- 암호화
- 접근 통제
- 별도 저장 장소
(3) 가명정보의 재식별 금지 #
가명정보를 처리하는 과정에서 특정 개인을 알아보기 위한 목적으로 추가 정보를 이용하거나, 다른 정보와 결합해서는 안 됨
위반 시:
- 5년 이하 징역 또는 5천만원 이하 벌금
3.7 가명정보의 결합 (법 제28조의4~제28조의7) #
결합의 필요성 #
서로 다른 기관이 보유한 가명정보를 결합하여 더 가치 있는 통계·연구 수행
결합 절차 #
1. 결합 전문기관 이용 의무 가명정보 결합은 반드시 결합 전문기관을 통해서만 가능
결합 전문기관:
- 한국인터넷진흥원
- 금융보안원
- 한국신용정보원 등
2. 결합 절차
[1단계] 결합 신청
↓
[2단계] 결합키 관리기관이 결합키 생성
↓
[3단계] 결합 전문기관에서 결합 수행
↓
[4단계] 결합 데이터 반출 심사
↓
[5단계] 결합 데이터 제공
3. 결합 데이터 반출
- 결합된 가명정보가 재식별되지 않는지 전문기관이 심사
- 적합 판정 시에만 반출 가능
3.8 가명정보 활용 사례 #
사례 1: 의료 빅데이터 연구 #
원본 데이터:
- 환자명: 홍길동
- 주민등록번호: 800101-1234567
- 진료 기록: 고혈압
가명처리:
- 환자ID: P00123
- 성별/연령대: 남성, 40대
- 진료 기록: 고혈압
활용:
- 고혈압 환자의 연령대별 분포 연구
- 치료 효과 분석
사례 2: 통신 데이터 분석 #
원본 데이터:
- 이름: 홍길동
- 전화번호: 010-1234-5678
- 통화 이력
가명처리:
- UserID: U00456
- 지역: 서울
- 통화 패턴
활용:
- 지역별 통신 이용 패턴 분석
- 네트워크 최적화
4. 보안 컨설팅 관점의 시사점 #
4.1 아동 개인정보 처리 시스템 설계 #
연령 확인 기능 #
- 생년월일 입력 → 자동 연령 계산
- 만 14세 미만 판정 시 법정대리인 동의 프로세스로 분기
법정대리인 동의 시스템 #
- 법정대리인 본인확인 연동 (휴대폰 인증, 아이핀 등)
- 동의 이력 기록 및 관리
4.2 CCTV 운영 컨설팅 #
설치 전 검토 #
- 설치 목적이 법정 목적에 부합하는가?
- 촬영 범위가 최소한인가?
- 설치 금지 장소는 아닌가?
운영 관리 #
- 안내판 설치 여부 확인
- 보관 기간 준수 여부
- 접근 권한 관리
- 정보주체 열람 요구 대응 절차
4.3 가명정보 활용 컨설팅 #
가명처리 적정성 검토 #
- 가명처리 기법이 적절한가?
- 재식별 위험은 없는가?
- 추가 정보를 안전하게 분리 보관하는가?
가명정보 결합 지원 #
- 결합 전문기관 선정
- 결합 신청 절차 지원
- 반출 심사 대응
5. 체크리스트 #
아동 개인정보 #
- 만 14세 미만 아동 판별 기능이 있는가?
- 법정대리인 동의 절차가 구현되어 있는가?
- 법정대리인 본인확인을 하는가?
- 법정대리인 동의 이력을 기록·관리하는가?
영상정보처리기기 #
- 설치 목적이 법정 목적에 부합하는가?
- 안내판을 설치했는가?
- 안내판에 필수 사항이 기재되어 있는가?
- 촬영 범위가 최소화되어 있는가?
- 음성 녹음을 하지 않는가?
- 보관 기간을 준수하는가?
- 접근 권한을 통제하는가?
- 정보주체 열람 요구 대응 절차가 있는가?
가명정보 #
- 가명정보 처리 목적이 통계·연구·공익 기록인가?
- 추가 정보를 분리 보관하는가?
- 재식별 방지 조치가 되어 있는가?
- 가명정보 결합 시 전문기관을 이용하는가?
학습 정리 #
오늘 학습한 핵심 내용:
- 만 14세 미만 아동의 개인정보 수집 시 법정대리인 동의 필수
- CCTV는 법정 목적으로만 설치 가능, 안내판 설치 의무
- 촬영 범위 최소화, 음성 녹음 금지 원칙
- 가명정보는 통계·연구·공익 기록 목적으로 동의 없이 처리 가능
- 가명정보는 개인정보이며, 재식별 금지
- 가명정보 결합은 전문기관을 통해서만 가능
다음 학습 주제 #
Day 12: 전자금융거래법 - 전자금융거래의 안전성 확보 및 이용자 보호