[개인정보보호법]제15조 개인정보의 수집 이용

반응형

① 개인정보처리자는 다음 각호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보 주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보 주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소 불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제삼자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보 주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
② 개인정보처리자는 제1항 제1호에 따른 동의를 받을 때는 다음 각호의 사항을 정보 주체에게 알려야 한다. 다음 각호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집·이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보 주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보 주체의 동의 없이 개인정보를 이용할 수 있다.

시행령 

 

제14조의 2(개인정보의 추가적인 이용ㆍ제공의 기준 등)

① 개인정보처리자는 법 제15조 제3항 또는 제17조 제4항에 따라 정보 주체의 동의 없이 개인정보를 이용 또는 제공(이하 “개인정보의 추가적인 이용 또는 제공”이라 한다)하려는 경우에는 다음 각호의 사항을 고려해야 한다.
1. 당초 수집 목적과 관련성이 있는지 여부
2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
3. 정보 주체의 이익을 부당하게 침해하는지 여부
4. 가명 처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
② 개인정보처리자는 개인정보의 추가적인 이용 또는 제공이 지속적으로 발생하는 경우에는 제1항 각 호의 고려 사항에 대한 판단 기준을 법 제30조 제1항에 따른 개인정보 처리 방침에 공개하고, 법 제31조 제1항에 따른 개인정보 보호 책임자가 해당 기준에 따라 개인정보의 추가적인 이용 또는 제공하고 있는지를 점검해야 한다.

정보 주체의 동의를 받은 경우란?

개인정보처리자는 정보 주체의 동의를 받은 경우에 개인정보를 수집할 수 있는데, ‘동의’는 개인정보처리자가 개인정보를 수집·이용하는 것에 대한 정보 주체의 자발적인 승낙의 의사표시로서(서명날인, 구두, 홈페이지 동의 등) 동의 여부를 명확하게 확인할 수 있어야 한다.
정보 주체는 서비스를 제공받기 위하여 가입신청서 등의 서면에 직접 자신의 성명을 기재하고 인장을 찍는 방법 또는 자필로 서명하거나, 인터넷 웹사이트 화면에서 ‘동의’ 버튼을 클릭하는 등으로 동의의 의사표시를 할 수 있다. 개인정보처리자는 전화상으로 개인정보 수집에 대한 정보 주체의 동의를 받을 수 있다. 다만 향후 입증책임 문제가 발생할 수 있으므로 정보 주체가 개인정보 수집·이용에 동의한다는 통화 내용을 녹취할 수 있다.
정보 주체에게 동의받을 때는 어떤 개인정보를 왜 수집하는지를 정보 주체가 쉽고 명확하게 인지할 수 있도록 알려야 하고, 제22조에서 규정한 방식에 따라 동의를 받아야 하기 때문에 이 법에서 정보 주체의 동의는 명시적 동의를 의미한다.
개인정보처리자가 정보 주체의 동의를 받을 때는 정보 주체가 동의의 내용과 의미를 명확히 알 수 있도록 미리 

① 개인정보의 수집·이용 목적 

② 수집하고자 하는 개인정보의 항목 

③ 개인정보의 보유 및 이용 기간 

④ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용을 알려야 한다(제2항). 

보유 및 이용 기간은 구체적으로 기간을 정해서 알려야 하나, 보유 및 이용 기간을 특정할 수 없는 경우에는 보유 및 이용 기간을 결정하는 데 사용되는 기준을 알려도 된다. 이 경우 보유 및 이용 기간을 알릴 수 없는 사유는 개인정보처리자가 입증하여야 한다. 이는 정보 주체가 자유의지에 따라 동의 여부를 판단·결정할 수 있도록 보장하기 위한 것이다.
한편, 명함을 주고받는 행위와 관련하여 정보 주체로부터 직접 명함 또는 그와 유사한 매체(이하“명함 등”이라 함)를 제공받음으로써 개인정보를 수집하는 경우 명함 등을 제공하는 정황 등에 비추어 사회 통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다(표준지침 제6조 제3항). 예를 들어 정보 주체가 자동차 구매를 위해 자동차 판매점을 방문하고 담당 직원에게 명함을 준 경우, 그 직원은 정보 주체의 동의가 없었지만 자동차 구매와 관련한 정보의 제공 등을 위해 명함에 기재된 연락처를 이용할 수 있다.

다만, 이 경우에도 정보 주체의 개인정보를 제삼자에게 제공하거나 다른 목적을 위해 이용하기 위해서는 정보 주체의 동의를 받아야 한다. 즉 위의 예시에서 자동차 판매점의 직원은 자동차 판매와 관련하지 않은 목적으로 고객의 정보를 이용하기 위해서는 고객의 동의를 받아야 한다.
인터넷 홈페이지 등 공개된 매체, 장소 등에 정보 주체가 자신의 개인정보를 수집·이용해도 된다는 명시적인 동의의사를 표시하거나, 홈페이지의 성격, 게시물 내용 등에 비추어 사회 통념상 동의의사가 있었다고 인정되면, 해당 정보 주체의 개인정보는 동의 없이 수집·이용할 수 있다(표준지침 제6조 제4항). 대법원 또한 이미 공개된 개인정보를 수집·이용·제공 등 처리를 할 때는 정보 주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서 정보 주체의 별도의 동의는 불필요하다고 보아야 한다고 판시하였다(대법원 2016. 8. 17. 선고 2014다 235080 판결 참고).