개인정보처리자의 고유식별정보 처리
![](https://www.easylaw.go.kr/CSP/images/icon_arrow03.gif)
고유식별정보의 처리 제한
√ 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 않으면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 개인정보 보호위원회의 심의·의결을 거친 경우
√ 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
√ 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
√ 법원의 재판업무 수행을 위하여 필요한 경우
√ 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
![](https://www.easylaw.go.kr/CSP/images/icon_arrow04.gif)
개인정보 수집·이용의 경우 정보주체에게 다음의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도의 동의를 얻은 경우
√ 개인정보의 수집·이용 목적
√ 수집하려는 개인정보의 항목
√ 개인정보의 보유 및 이용 기간
√ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
![](https://www.easylaw.go.kr/CSP/images/icon_arrow04.gif)
개인정보 제공의 경우 정보주체에게 다음의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도의 동의를 얻은 경우
√ 개인정보를 제공받는 자
√ 개인정보를 제공받는 자의 개인정보 이용 목적
√ 제공하는 개인정보의 항목
√ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
√ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
![](https://www.easylaw.go.kr/CSP/images/icon_arrow04.gif)
법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
※ "개인정보"란 살아 있는 개인에 관한 정보로서 다음의 어느 하나에 해당하는 정보를 말합니다(
「개인정보 보호법」 제2조제1호).
1. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
2. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 함)
3. 위 1. 또는 2. 에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보
※"가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말합니다(
「개인정보 보호법」 제2조제1호의2).
※ “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말합니다(
「개인정보 보호법」 제2조제3호).
※ “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다(
「개인정보 보호법」 제2조제5호).
![](https://www.easylaw.go.kr/CSP/images/icon_arrow02.gif)
이를 위반하여 고유식별정보를 처리한 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해집니다(
「개인정보 보호법」 제71조제5호).
![](https://www.easylaw.go.kr/CSP/images/icon_arrow04.gif)
위 죄를 지은 자가 해당 위반행위와 관련하여 취득한 금품이나 그 밖의 이익은 몰수할 수 있으며, 이를 몰수할 수 없을 때에는 그 가액을 추징할 수 있습니다. 이 경우 몰수 또는 추징은 다른 벌칙에 부가될 수 있습니다(
「개인정보 보호법」 제74조의2).
![](https://www.easylaw.go.kr/CSP/images/icon_arrow02.gif)
위의 고유식별정보 처리 제한에도 불구하고 개인정보처리자는 다음의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없습니다(
「개인정보 보호법」 제24조의2제1항).
1. 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
3. 위의 경우에 준하여 주민등록번호 처리가 불가피한 경우로서 「
개인정보 처리 방법에 관한 고시」(개인정보보호위원회고시 제2023-12호, 2023. 10. 16. 발령·시행)로 정하는 경우
![](https://www.easylaw.go.kr/CSP/images/icon_arrow04.gif)
또한, 개인정보처리자는 위의 어느 하나에 해당하여 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 않고도 회원으로 가입할 수 있는 방법을 제공해야 합니다(
「개인정보 보호법」 제24조의2제3항).
![](https://www.easylaw.go.kr/CSP/images/icon_arrow04.gif)
개인정보처리자는 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 암호화 조치를 통하여 안전하게 보관해야 합니다(
「개인정보 보호법」 제24조의2제2항).
※ 이를 위반하여 암호화 조치를 하지 않은 경우 또는 정보주체가 주민등록번호를 사용하지 않을 수 있는 방법을 제공하지 않은 경우에는 3천만원 이하의 과태료가 부과됩니다(
「개인정보 보호법」 제75조제2항제8호·제9호).
![](https://www.easylaw.go.kr/CSP/images/icon_arrow03.gif)
고유식별정보의 안전성 확보 조치
1. 고유식별정보의 안전한 처리를 위한 내부 관리계획의 수립·시행 및 점검
|
개인정보취급자에 대한 관리·감독 및 교육에 관한 사항
|
개인정보 보호책임자의 지정 등 개인정보 보호 조직의 구성·운영에 관한 사항
|
고유식별정보 안전성 확보 조치를 이행하기 위하여 필요한 세부 사항
|
2. 고유식별정보에 대한 접근 권한을 제한하기 위한 조치
|
데이터베이스시스템 등 고유식별정보를 처리할 수 있도록 체계적으로 구성한 시스템(이하 “고유식별정보처리시스템”이라 함)에 대한 접근 권한의 부여·변경·말소 등에 관한 기준의 수립·시행
|
정당한 권한을 가진 자에 의한 접근인지를 확인하기 위해 필요한 인증수단 적용 기준의 설정 및 운영
|
그 밖에 고유식별정보에 대한 접근 권한을 제한하기 위하여 필요한 조치
|
3. 고유식별정보에 대한 접근을 통제하기 위한 조치
|
고유식별정보처리시스템에 대한 침입을 탐지하고 차단하기 위하여 필요한 조치
|
고유식별정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등으로서 보호위원회가 정하여 고시하는 기준에 해당하는 컴퓨터 등에 대한 인터넷망의 차단. (다만, 전년도 말 기준 직전 3개월 간 그 고유식별정보가 저장·관리되고 있는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제4호에 따른 이용자 수가 일일평균 100만명 이상인 개인정보처리자만 해당)
|
그 밖에 고유식별정보에 대한 접근을 통제하기 위하여 필요한 조치
|
4. 고유식별정보를 안전하게 저장·전송하는데 필요한 조치
|
비밀번호의 일방향 암호화 저장 등 인증정보의 암호화 저장 또는 이에 상응하는 조치
|
주민등록번호 등 보호위원회가 정하여 고시하는 정보의 암호화 저장 또는 이에 상응하는 조치
|
「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호에 따른 정보통신망을 통하여 정보주체의 고유식별정보 또는 인증정보를 송신·수신하는 경우 해당 정보의 암호화 또는 이에 상응하는 조치
|
5. 고유식별정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치
|
고유식별정보처리시스템에 접속한 자의 접속일시, 처리내역 등 접속기록의 저장·점검 및 이의 확인·감독
|
고유식별정보처리시스템에 대한 접속기록의 안전한 보관
|
그 밖에 접속기록 보관 및 위조·변조 방지를 위하여 필요한 조치
|
6. 고유식별정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대해 컴퓨터바이러스, 스파이웨어, 랜섬웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 하는 등의 기능이 포함된 프로그램의 설치·운영과 주기적 갱신·점검 조치
|
7. 고유식별정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
|
8. 그 밖에 고유식별정보의 안전성 확보를 위하여 필요한 조치
|
![](https://www.easylaw.go.kr/CSP/images/icon_arrow02.gif)
이를 위반하여 안전성 확보에 필요한 조치를 하지 않은 자는 3천만원 이하의 과태료를 부과받습니다(
「개인정보 보호법」 제75조제2항제5호).
![](https://www.easylaw.go.kr/CSP/images/icon_arrow02.gif)
이를 위반하여 고유식별정보를 처리한 경우 개인정보처리자는 개인정보 보호위원회에게 전체 매출액의 100분의 3을 초과하지 않는 범위에서 과징금을 부과 받을 수 있습니다(
「개인정보 보호법」 제64조의2제1항제4호).