[개인정보보호법]3조 개인정보 보호원칙

개인정보 보호 원칙

① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보 주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
⑤ 개인정보처리자는 개인정보 처리 방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보 주체의 권리를 보장하여야 한다.
⑥ 개인정보처리자는 정보 주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
⑦ 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집 목적을 달성할 수 있는 경우 익명 처리가 가능한 경우에는 익명에 의하여, 익명 처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다.
⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보 주체의 신뢰를 얻기 위하여 노력하여야 한다.

표준지침 4조(개인정보 보호 원칙)

① 개인정보처리자는 개인정보 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성과 최신성을 유지하도록 하여야 하고, 개인정보를 처리하는 과정에서 고의 또는 과실로 부당하게 변경 또는 훼손되지 않도록 하여야 한다.
④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보 주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 그에 상응하는 적절한 관리적·기술적 및 물리적 보호조치를 통하여 개인정보를 안전하게 관리하여야 한다.
⑤ 개인정보처리자는 개인정보 처리 방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보 주체의 권리가 보장될 수 있도록 합리적인 절차와 방법 등을 마련하여야 한다.
⑥ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적법하게 개인정보를 처리하는 경우에도 정보 주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
⑦ 개인정보처리자는 개인정보를 적법하게 수집한 경우에도 익명에 의하여 업무 목적을 달성할 수 있으면 개인정보를 익명에 의하여 처리될 수 있도록 하여야 한다.
⑧ 개인정보처리자는 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보 주체의 신뢰를 얻기 위하여 노력하여야 한다.

개인정보 보호 원칙은 개인정보처리자에게는 행동의 지침을 제시해 주고, 정책담당자에게는 정책 수립 및 법 집행의 기준을 제시해 주며, 사법부에 대해서는 법 해석의 이론적 기초를 제시해 줌과 동시에 입법적 공백을 막아줄 수 있다. 그뿐만 아니라 대법원은 제3조에 따른 개인정보 보호 원칙을 개인정보처리자 행위의 위법성을 판단하기 위한 고려 사항으로 열거하기도 하였다(대법원 2017. 4. 7. 선고 2016도 13263 판결 참고).

개인정보 보호 원칙에 따라 개인정보처리자는 구체적이고 명확한 수집 목적을 가지고 개인정보를 수집하여야 하며, 특정된 목적 달성에 직접적으로 필요하지 않은 개인정보는 처리하여서는 안 된다.
예를 들어 세탁 서비스 제공자는 세탁 완료를 알리거나 세탁물을 배달하기 위한 목적으로 고객의 성명, 주소, 전화번호 등을 수집할 수 있으나, 그밖에 목적 달성을 위해 직접적으로 필요하지 않은 정보를 수집·이용해서는 안 된다는 원칙이다.
개인정보처리자는 개인정보의 정확성, 완전성 및 최신성을 확보하기 위하여 개인정보 입력 시 입력 내용을 사전에 확인하는 절차, 개인정보에 대한 열람 및 정정 요구 등 필요한 절차나 방법 등을 마련하여야 하며, 오류정보를 발견한 경우 정정이나 삭제할 수 있는 절차도 마련하여야 한다. 또한 개인정보를 처리하는 과정에서 개인정보 취급자 등이 고의 또는 과실로 개인정보를 변경·훼손하는 일이 없도록 주의의무를 다하여야 한다.
개인정보처리자는 정보 주체의 개인정보가 분실, 도난, 유출, 변조 또는 훼손되지 않도록 안전성 확보를 위한 보안 조치를 강구하여야 하며, 정보 주체가 제공한 개인정보가 어떠한 용도와 방식으로 이용되고 있으며 개인정보 보호를 위하여 어떠한 조치를 취하고 있는지를 공개하여야 한다. 또한 정보 주체가 제공한 개인정보를 열람, 정정 및 삭제를 요구할 수 있는 절차를 마련하여야 한다.
그밖에 개인정보처리자는 수집된 개인정보가 다른 사람에게 노출되거나 악용되는 것을 막고 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다. 또한, 개인정보를 익명 또는 가명으로 처리하여도 수집 목적을 달성할 수 있는 경우 구체적인 업무의 특성을 반영하여 개인정보 데이터 기록에서 개인 식별자를 제거하거나 대체하는 등 개인정보의 익명 처리가 가능한 경우에는 특정 개인을 알아볼 수 없는 형태로 익명 처리를 하여야 한다. 다만, 익명 처리로 목적을 달성할 수 없는 경우에는 가명 처리 하여야 한다.