[개인정보보호법]제15조 개인정보의 수집이용3

급박한 생명·신체·재산상 이익을 위하여 필요한 경우란?

정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제삼자의 급박한 생명·신체·재산상 이익을 위하여 필요하다고 인정되는 경우에도 정보주체의 동의 없이 개인정보를 수집할 수 있다.

 

1) 의사표시를 할 수 없는 상태
정신미약, 교통사고, 수술(의사표시를 하기 어려운 의료행위 포함) 등으로 정보주체가 자신의 의사표시를 할 수 없거나, 태풍·홍수·화재 등 재난상태에 고립되어 있거나 납치·감금 등 범죄자들의 수중에 구금되어 있어 정보주체의 의사를 물어볼 수 없는 경우를 말한다.
2) 사전 동의를 받을 수 없는 경우
주소불명, 전화불통, 이메일 차단 등 불가피한 사유로 사전에 동의를 받을 수 없는 경우에 한한다. 수차례 전화를 걸었으나 정보주체 또는 법정대리인이 전화를 받지 아니한 경우에도 전화를 기다릴 시간적 여유가 없다면 사전 동의를 받을 수 없는 경우에 해당한다. 그러나 정보주체 또는 법정대리인이 멀리 떨어져 있어 동의를 받기 어렵다거나 단순히 동의를 거부하고 있다는 사실만으로는 사전 동의를 받을 수 없는 경우에 해당하지 않는다.
개인정보처리자는 정보주체의 사전 동의 없이 개인정보를 수집 또는 이용한 경우에도 당해 사유가 해소된 때에는 개인정보의 처리를 즉시 중단하여야 하며, 정보주체에게 사전 동의 없이 개인정보를 수집 또는 이용한 사실, 그 사유와 이용내역을 알려야 한다(표준지침 제14조). 급박한 사유가 해소된 이후 계속해서 정보주체의 개인정보를 이용하려는 경우에는 정보주체의 동의를 받아야 한다.
3) 명백히 정보주체 등의 이익을 위한 경우
개인정보의 수집·이용 목적이 명백하게 정보주체 또는 제3자의 생명·신체·재산상의 이익을 위한 것이어야 한다. 이익이 되지만 동시에 손해가 될 수도 있는 경우에는 정보주체의 동의 없이 개인정보를 수집할 수 없다. 문제는 제삼자에게는 명백히 이익이 되지만 정보주체에게는 손해가 되는 경우이다. 이 경우
에는 제3자의 이익이 정보주체의 이익보다 월등한 경우에만 동의 없는 개인정보 수집이 가능하다고 하여야 할 것이다. 특히 제삼자의 재산상 이익은 정보주체의 생명·신체상 이익을 앞설 수는 없다고 보아야 한다.
4) 급박한 생명·신체·재산상 이익
생명·신체·재산상 이익이 급박해야 한다. 정보주체 또는 법정대리인의 동의를 받을 수 있는 충분한 시간적 여유가 있거나 다른 수단에 의해서도 생명·신체·재산상의 이익을 보호할 수 있다면 급박한 상태에 있다고 할 수 없다.

개인정보처리자의 정당한 이익 달성을 위해 필요한 경우란?

개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우에도 정보주체의 동의 없이 개인정보를 수집할 수 있다. 이경우 수집하고자 하는 개인정보가 개인정보처리자의 정당한 이익과 상당한 관련이 있어야 하며 합리적인 범위를 초과해서는 안 된다.
1) 개인정보처리자의 정당한 이익
요금 징수 및 정산, 채권추심, 소 제기 및 진행 등을 위하여 증빙자료를 조사·확보하는 경우, 영업비밀 유출 및 도난방지, 출입이 통제되고 있는 사업장 내 시설안전을 목적으로 한 CCTV 설치 등 법률상 개인정보처리자의 정당한 이익이 존재해야 한다.
2) 명백하게 정보 주체의 권리보다 우선
개인정보처리자의 정당한 이익을 위한 것이라고 하더라도 정보 주체의 사생활을 과도하게 침해하거나 다른 이익을 침범하는 경우에는 정보 주체의 동의 없이 개인정보를 수집할 수 없다. 또한 정보 주체의 권리와 개인정보처리자의 이익을 형량 한 결과 명백하게 개인정보처리자의 이익이 월등해야 한다. EU에서는 정보 주체의 이익과 개인정보처리자의 이익을 비교 형량하여 ‘정보 주체의 권리가 개인정보처리자 기타 제삼자의 이익에 우선하지 않는 경우’에 정당한 이익을 근거로 하여 처리를 정당화할 수 있도록 하고 있으나(EU 「일반 개인정보 보호법」 제6조 제1항 f로), 우리나라에서는 개인정보처리자의 이익이 명백히 우선하는 경우에만 개인정보 수집이 허용된다고 규정하고 있다.
3) 상당한 관련성과 합리적 범위 내의 수집
개인정보처리자의 정당한 이익이 존재하고, 그것이 명백하게 정보 주체의 권리보다 우선한다고 하더라도 해당 개인정보가 개인정보처리자의 정당한 이익과 관련성이 낮거나 합리적인 범위를 초과해서는 안 된다.

친목 단체의 운영을 위한 경우란?

친목 단체는 친목 단체의 운영을 위하여 회원의 개인정보를 수집·이용하는 경우 정보 주체의 동의를 받을 필요가 없다(제58조 제3항). 친목 단체란 온라인 및 오프라인을 막론하고, 자원봉사, 취미, 정치, 종교 등 공통의 관심사나 목표를 전제로 단체를 이루는 구성원 상호 간 친교 하면서 화합을 조성하는 것을 목적으로 하는 모임을 말한다.
친목 단체는 내부 구성원 간의 친교를 목적으로 하는 점에서 외부적 단체의사표시 내지 외부적 영향력 행사를 전제로 하는 정당, 종교단체 및 언론 등과는 구별된다. 

 

친목 단체의 운영을 위한 사항이란?

① 친목 단체의 가입을 위한 성명, 연락처 및 친목 단체의 회칙으로 정한 공통의 관심사나 목표와 관련된 인적 사항 
② 친목 단체의 회비 등 친목 유지를 위해 필요한 비용의 납부 현황에 관한 사항 
③ 친목 단체의 활동에 대한 구성원의 참석 여부 및 활동 내용에 관한 사항 
④ 기타 친목 단체의 구성원 상호 간의 친교와 화합을 위해 구성원이 다른 구성원에게 알리기를 원하는 생일, 취향 및 가족의 애경사 등에 관한 사항을 말한다.

개인정보의 추가적인 이용

「개인정보 보호법」은 개인정보 보호의 주요 원칙으로서 개인정보 처리 목적을 명확하게 하고, 그 목적에 필요한 범위 내에서 개인정보를 수집하며, 그 목적 외로 활용하지 않아야 한다는 점을 선언하고 있다. 그런데 지나치게 경직적으로 수집 목적 내에서만 이용하도록 하는 경우, 오히려 정보 주체의 개인정보 자기 결정권 보호에는 기여하지 못하면서 사회적 비용이나 비효율만을 초래하는 결과가 발생할 수 있다.
이에 따라 제15조 제3항은 개인정보처리자가 당초 수집 목적과 합리적으로 관련된 범위 내에서 대통령령으로 정하는 바에 따라 정보 주체의 동의 없이 개인정보를 이용할 수 있도록 하였다. 합리적 관련성의 기준이 되는 ‘당초 개인정보가 수집된 목적’은 개인정보를 적법하게 수집한 경우 해당 수집 목적을 의미하는바, 제15조 제1항에 따라 적법하게 개인정보를 수집한 경우에는 같은 조 제3항에 따라 추가로 이용할 수 있는 대상이 된다.
한편, 개인정보처리자는 제15조 제3항에 따라 정보 주체의 동의 없이 개인정보를 이용하는 경우에는 다음 사항을 종합적으로 고려하여야 한다.

당초 수집 목적과 관련성이 있는지?

개인정보처리자가 적법하게 수집하여 보관 중인 개인정보를 추가적인 목적으로 이용하려면, 당초 수집 목적과 추가적 이용·제공의 목적 사이에 관련성을 고려하여야 한다. 여기서 관련성이 있다는 것은 당초 수집 목적과 추가적 이용·제공의 목적이 서로 그 성질이나 경향 등에 있어서 연관이 있다는 것을 의미한다.

개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지?

개인정보의 추가적인 이용이 수집 정황이나 처리 관행에 비추어 합리적으로 예측 가능한지 고려하여야 한다. 여기서 정황은 개인정보의 수집 목적·내용, 추가적 처리를 하는 개인정보처리자와 정보 주체 간의 관계, 현재의 기술 수준과 그 기술의 발전 속도 등 비교적 구체적 사정을 의미하고, 관행은 개인정보 처리가 비교적 오랜 기간 정립된 일반적 사정을 의미한다. 이와 같은 구체적 사정이나 일반적 사정을 고려할 때 개인정보를 추가로 이용할 수 있다고 예측 가능한지를 고려하여야 한다.

정보 주체의 이익을 부당하게 침해하는지?

정보 주체의 이익을 부당하게 침해하는 경우에는 추가적 이용의 정당성이 인정되기 어렵다. 정보 주체의 이익을 부당하게 침해하는지 여부는 정보 주체의 이익을 실질적으로 침해하는지와 해당 이익 침해가 부당한지를 고려하여야 한다. 또한, 이는 추가적인 이용의 목적이나 의도와의 관계에서 판단되어야 한다.
예를 들어, 정보 주체가 구매한 재화나 용역과 관련하여, 구매 시 알려주지 못한 사항을 알릴 목적으로 연락을 한 것이 다소 정보 주체가 불편함을 느낄 수 있다고 하여 언제나 부당한 침해라고 단정할 수 없다. 반면에 해당 침해 내용이 사회 통념상 허용되기 어려운 정도라면 이는 당연히 부당한 침해로 보아야 한다.

가명 처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지?

동의 없는 개인정보 이용에 따른 개인정보 침해 우려를 최소화하기 위하여, 가명 처리 또는 암호화 등 안전성 확보에 필요한 조치를 하여야 한다. 또한, 안전조치의 내용은 가명 처리나 암호화 등의 조치에 그치지 않는바, 다양한 행위자에 의한 침해 가능성을 적극적으로 고려하여 그에게 맞는 안전조치를 하여야 한다. 가명 처리, 개인정보 암호화 조치와 관련한 자세한 사항은 각각 「가명 처리 가이드라인」, 「개인정보의 암호화 조치 안내서」를 참고할 수 있다.

개인정보의 추가적인 이용 시 고려하여야 할 사항?

개인정보처리자는 영 제14조의2 제1항 각호의 고려 사항에 대한 구체적 기준을 스스로 정하여 개인정보 처리방침에 미리 공개하여야 한다. 이 경우 구체적 기준은 각 개인정보 처리자가 처한 상황이나 개인정보의 처리 목적 등에 따라 달라질 수 있다. 아울러, 개인정보 보호 책임자는 해당 기준에 따라 개인정보의 추가적인 이용을 하고 있는지를 스스로 점검하여야 한다.

벌칙 규정

수집·이용 기준을 위반하여 개인정보를 수집한 자 (제15조 제1항 위반) - 5천만 원 이하 과태료 (제75조 제1항 제1호)
정보 주체에 대한 고지의무 위반 (제15조 제2항 위반) - 3천만원 이하 과태료 (제75조 제2항 제1호)

23년 9월 개정 되며 해당 조항 삭제. 

고지 의무가 없습니다.

 

한편, 제15조 제3항은 그 자체로 별도의 벌칙 규정이 없다. 그러나 제15조 제3항의 요건에 해당하지 않는데도 개인정보를 추가로 이용하려는 경우에는 제18조 제2항에서 정하는 바에 따라 정보 주체로부터 별도의 동의를 받거나 다른 법률에 특별한 규정이 있는 경우 등에 해당하여야 한다. 따라서 이 경우는 제18조 제2항 각호의 어느 하나에 해당하는지 여부에 따라 제18조 제1항 위반에 관한 벌칙조항의 적용을 받을 수 있다.