ISMS-P 인증 기준 3.3.1.개인정보 제3자 제공: Difference between revisions

From IT Wiki
(Imported from text file)
 
(4 intermediate revisions by 3 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 3.3.개인정보 제공 시 보호조치|3.3.개인정보 제공 시 보호조치]]
*'''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 3.3.개인정보 제공 시 보호조치|3.3.개인정보 제공 시 보호조치]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!3.3.1.개인정보 제3자 제공
!3.3.1.개인정보 제3자 제공
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체(이용자)의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립·이행하여야 한다.
|개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립·이행하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 개인정보를 제3자에게 제공하는 경우 법령에 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받고 있는가?
*개인정보를 제3자에게 제공하는 경우 정보주체의 동의, 법령상 의무준수 등 적법 요건을 명확히 식별하고 이를 준수하고 있는가?
* 개인정보의 제3자 제공 동의는 수집∙이용에 대한 동의와 구분하여 받고 이에 동의하지 않는다는 이유로 해당 서비스의 제공을 거부하지 않도록 하고 있는가?
*정보주체에게 개인정보 제3자 제공 동의를 받는 경우 관련 사항을 명확하게 고지하고 다른 동의사항과 구분하여 접법하게 동의를 받고 있는가?
* 개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하고 있는가?
*정보주체에게 개인정보 제3자 제공 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 하고 있는 가?
* 개인정보를 제3자에게 제공 하는 경우 안전한 절차와 방법을 통해 제공하고 제공 내역을 기록하여 보관하고 있는가?
*개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하고 있는가?
* 제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하고 있는가?
*개인정보를 제3자에게 제공 하는 경우 안전한 절차와 방법을 통해 제공하고 제공 내역을 기록하여 보관하고 있는가?
*제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하고 있는가?
*정보주체의 동의 없이 개인정보의 추가적인 제공 시 당초 수집 목적과의 관련성, 예측가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립·이행하고, 추가적인 제공이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가?
|-
|'''관련법규'''
|
*개인정보 보호법 제17조(개인정보의 제공), 제22조(동의를 받는 방법)
*개인정보 처리 방법에 관한 고시
|}
|}
== 세부 설명 ==
==세부 설명         ( 개정된 내용에 맞게 수정이 필요함 )==


* 개인정보를 제3자에게 제공하는 경우 법령에 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받아야 한다.
====개인정보 제3자 제공 시 동의====
** 제3자의 범위
개인정보를 제3자에게 제공하는 경우 정보주체 동의, 법령상 의무준수 등 관련 법률에 따른 적법 요건을 명확히 식별하고 이에 따라 개인정보를 적법하게 제공하여야 한다.
*** 정보주체와 정보주체에 관한 개인정보를 수집·보유하고 있는 개인정보처리자를 제외한 모든 자(동일한 개인정보처리자 내부의 타 부서 및 조직은 제3자에 해당하지 않음.)
 
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
*제3자의 범위
* ※ 개인정보의 제3자 제공(예시)
**정보주체와 정보주체에 관한 개인정보를 수집·보유하고 있는 개인정보처리자를 제외한 모든 자
* 개인정보의 저장매체나 개인정보가 담긴 출력물·책자 등을 물리적으로 이전
**동일한 개인정보처리자 내부의 타 부서 및 조직은 제3자에 해당하지 않음
 
<blockquote>'''※ 개인정보의 제3자 제공(예시)'''
 
*개인정보의 저장매체나 개인정보가 담긴 출력물·책자 등을 물리적으로 이전
* 네트워크를 통한 개인정보의 전송
* 네트워크를 통한 개인정보의 전송
* 개인정보에 대한 제3자의 접근권한 부여
*개인정보에 대한 제3자의 접근권한 부여
* 개인정보처리자와 제3자의 개인정보 공유
*개인정보처리자와 제3자의 개인정보 공유
* 기타 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위</div>
*기타 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위
** 개인정보를 제3자에게 제공할 수 있는 경우
</blockquote>
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
 
* 1. 정보주체의 동의를 받은 경우
* 개인정보 제공 경로 별로 개인정보 제공의 적법 요건을 명확히 식별하고, 이를 입증할 수 있도록 관련 근거를 기록·관리
* 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
** 예를 들어, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 정보주체 동의 없이 개인정보를 제공하는 경우, 해당 법률 또는 법령의 조항 등 관련 근거를 문서화
* 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
 
* 4. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위하여 필요하다고 인정되는 경우
*'''개인정보를 제3자에게 제공할 수 있는 경우'''
* 5. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
 
* 6. 다른 법률에 특별한 규정이 있는 경우</div>
<blockquote>
** 개인정보의 제3자 제공 동의 시 알려야 할 사항
*1. 정보주체의 동의를 받은 경우
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
*2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
* 1. 개인정보를 제공받는 자
*3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
* 2. 개인정보를 제공받는 자의 개인정보 이용목적
*4. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우  
* 3. 제공하는 개인정보의 항목
*5.개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다
* 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
*6. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우
* 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용</div>
※ 위의 2호부터 6호까지에 따라 개인정보를 수집한 목적 범위에서 정보주체의 동의 없이 개인정보 제공 가능</blockquote>
** 개인정보의 제3자 제공과 관련하여 기존에 정보주체(이용자)에게 고지한 사항 중 변경이 발생한 경우 정보주체(이용자)에게 관련 변경 내용을 알리고 추가로 동의를 받아야 .
 
* 개인정보의 제3자 제공 동의는 수집·이용에 대한 동의와 구분하여 받고, 제3자 제공이 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 것이 아니라면 이에 동의하지 않는다는 이유로 서비스의 제공을 거부하지 않아야 한다.
* 개인정보의 제3자 제공 동의는 수집·이용 등에 대한 동의와 구분하여 받고, 제3자 제공이 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 것이 아니라면 이에 동의하지 않는다는 이유로 서비스의 제공을 거부하지 않아야 한다
* 개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하여야 한다.
* 정보주체에게 개인정보 제3자 제공 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한내용에 대해 명확히 표시하여 알아보기 쉽게 하여야 한다
** 동의에 근거한 제3자 제공 시 : 동의 시 고지한 제공 목적을 달성하기 위하여 필요한 최소한의 개인 정보 항목만 제공하여야 함.
 
** 법령에 근거한 제3자 제공 시 : 법률에서 구체적으로 명시하거나 해당 법령상 의무를 준수하기 위하여 필요한 범위 내에서 최소한의 개인정보 항목만 제공하여야 함.
*'''개인정보의 제3자 제공 동의 시 알려야 할 사항(개인정보 보호법 제17조제2항)'''
* 제3자에게 개인정보를 제공하는 과정에서 개인정보가 유·노출되지 않도록 안전한 절차와 방법을 통하여 제공하고 관련된 제공 내역은 기록하여 보관하여야 한다.
 
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
<blockquote>
* ※ 제3자 제공 시 안전한 절차(예시)
*1. 개인정보를 제공받는 자
* 개인정보를 제공하는 자와 제공받는 자의 안전성 확보에 관한 책임관계 명확화(계약서 등)
*2. 개인정보를 제공받는 자의 개인정보 이용목적
* 제3자 제공과 관련된 승인 절차(담당자에 의한 제공 시)
*3. 제공하는 개인정보의 항목
* 전송 또는 전달 과정의 암호화
*4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
*5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용
</blockquote>  
 
*정보주체의 동의가 적법하기 위해서는 정보주체의 자유로운 의사에 따른 동의 여부 결정, 동의 내용의 구체성 및 명확성 등 적법 요건을 모두 충족하여야 함.
**정보주체의 동의를 받을 때 충족해야 하는 조건(개인정보 보호법 시행령 제17조제1항) 1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것  2. 동의를 받으려는 내용이 구체적이고 명확할 것  3. 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것  4. 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것
**단, 본 규정은 2024년 9월 15일부터 시행
*개인정보 보호법 제22조(동의를 받는 방법)제2항에 따라 개인정보 처리에 대한 동의를 서면(전자문서 및 전자거래기본법 제2조제1호에 따른 전자문서를 포함)으로 받을 때에는 다음과 같이 중요한 내용을 명확히 표시하여 알아보기 쉽게 하여야
**'''명확히 표시하여야 하는 중요한 내용(개인정보 보호법 시행령 제17조제3항)'''  · 개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실  · 처리하는 개인정보 항목 중 민감정보, 여권번호, 운전면허번호, 외국인등록번호· 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)  · 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적
**'''중요한 내용의 표시 방법(개인정보 처리 방법에 관한 고시 제4조)'''  · 글씨의 크기, 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것  · 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것
 
====수집·이용 동의와 제3자 제공 동의의 구분====
개인정보의 제3자 제공 동의는 수집·이용 등에 대한 동의와 구분하여 받고, 제3자 제공이 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 것이 아니라면 이에 동의하지 않는다는 이유로 서비스의 제공을 거부하지 않아야 한다.
 
* 동의 사항의 구분이 필요한 경우(개인정보 보호법 제22조제1항)
** 1. 제15조제1항제1호에 따라 동의를 받는 경우(개인정보 수집·이용 동의)
** 2. 제17조제1항제1호에 따라 동의를 받는 경우(개인정보 제3자 제공 동의) 
** 3. 제18조제2항제1호에 따라 동의를 받는 경우(개인정보 목적외 이용·제공 동의) 
** 4. 제19조제1호에 따라 동의를 받는 경우(개인정보를 제공받은 자의 목적외 이용·제공 동의) 
** 5. 제24조제1항제1호에 따라 동의를 받는 경우(민감정보 처리 동의) 
** 6. 제24조제1항제1호에 따라 동의를 받는 경우(고유식별정보 처리 동의) 
** 7. 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 경우 
** ※ 정보주체가 동의 여부를 선택할 수 있다는 사실을 명확하게 알 수 있도록 구분하여 표시
 
====개인정보 제3자 제공 항목 최소화====
개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하여야 한다.
 
*동의에 근거한 제3자 제공 시: 동의 시 고지한 제공 목적을 달성하기 위하여 필요한 최소한의 개인 정보 항목만 제공하여야 함.
*법령에 근거한 제3자 제공 시: 법률에서 구체적으로 명시하거나 해당 법령상 의무를 준수하기 위하여 필요한 범위 내에서 최소한의 개인정보 항목만 제공하여야 함.
 
====안전한 제공 및 제공 내역 기록 보관====
제3자에게 개인정보를 제공하는 과정에서 개인정보가 유·노출되지 않도록 안전한 절차와 방법을 통하여 제공하고 관련된 제공 내역은 기록하여 보관하여야 한다.<blockquote>'''※ 제3자 제공 시 안전한 절차(예시)'''
 
*개인정보를 제공하는 자와 제공받는 자의 안전성 확보에 관한 책임관계 명확화(계약서 등)
*제3자 제공과 관련된 승인 절차(담당자에 의한 제공 시)
*전송 또는 전달 과정의 암호화
* 접근통제, 접근권한 관리 등 안전성 확보 조치 적용
* 접근통제, 접근권한 관리 등 안전성 확보 조치 적용
* 제공 기록의 보존 등</div>
*제공 기록의 보존 등
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
</blockquote><blockquote>'''※ 제3자 제공 기록에 포함하여야 할 내용(예시)'''
* ※ 제3자 제공 기록에 포함하여야 할 내용(예시)
 
* 제공받는 자
*제공받는 자
* 제공 일시
*제공 일시
* 제공된 개인정보 : 정보주체(이용자) 식별정보 및 개인정보 항목
*제공된 개인정보: 정보주체(이용자) 식별정보 및 개인정보 항목
* 제공 목적 또는 근거
*제공 목적 또는 근거
* 제공자(담당자) : 승인절차가 있는 경우 승인자 포함
*제공자(담당자): 승인절차가 있는 경우 승인자 포함
* 제공 방법 : 시스템 연계, 이메일 전송 등
*제공 방법: 시스템 연계, 이메일 전송 등
* 기타 필요한 정보</div>
*기타 필요한 정보
* 제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하여야 한다.
</blockquote>
** 권한이 있는 자만 접근할 수 있도록 안전한 인증 및 접근통제 조치
 
** 전송구간에서의 도청을 방지하기 위한 암호화 조치
====제3자 개인정보 접근 허용 시 보호조치====
** 책임추적성을 확보할 수 있도록 접속기록 보존 등
제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하여야 한다.
== 증거 자료 ==
 
* 온라인 개인정보 제3자 제공 관련 양식(홈페이지 회원가입 화면, 개인정보 제3자 제공 동의 화면 등)
*권한이 있는 자만 접근할 수 있도록 안전한 인증 및 접근통제 조치
* 오프라인 개인정보 제3자 제공 관련 양식(회원가입신청서, 개인정보 제3자 제공 동의서 등)
*전송구간에서의 도청을 방지하기 위한 [[암호|암호화]] 조치
* 제3자 제공 내역
*책임추적성을 확보할 수 있도록 접속기록 보존 등
* 개인정보 처리방침
 
== 결함 사례 ==
==== 정보주체 동의 없이 개인정보 추가 제공시 ====
* 개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는 사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 누락한 경우
정보주체의 동의 없이 개인정보의 추가적인 제공 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등 고려사항에 대한 판단기준을 수립·이행하여야 하며, 추가적인 제공이 지속적으로 발생하는 경우 이를 개인정보 처리방침에 공개하고 기준 준수여부를 점검하여야 한다
* 개인정보를 제3자에게 제공하는 과정에서 제3자 제공 동의 여부를 적절히 확인하지 못하여 동의하지 않은 정보주체(이용자)의 개인정보가 함께 제공된 경우
 
* '''개인정보의 추가적인 제공 시 고려사항(개인정보 보호법 시행령 제14조의2제1항)'''
*# 당초 수집 목적과 관련성이 있는지 여부
*# 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
*# 정보주체의 이익을 부당하게 침해하는지 여부
*# 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
 
==증거 자료==
 
*온라인 개인정보 제3자 제공 관련 양식(홈페이지 회원가입 화면, 개인정보 제3자 제공 동의 화면 등)
*오프라인 개인정보 제3자 제공 관련 양식(회원가입신청서, 개인정보 제3자 제공 동의서 등)
*제3자 제공 내역
*개인정보 처리방침
 
==결함 사례 ==
 
*개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는 사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 누락한 경우
*개인정보를 제3자에게 제공하는 과정에서 제3자 제공 동의 여부를 적절히 확인하지 못하여 동의하지 않은 정보주체(이용자)의 개인정보가 함께 제공된 경우
* 개인정보를 제공 동의를 받을 때, 제공받는 자를 특정하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하고 동의를 받은 경우
* 개인정보를 제공 동의를 받을 때, 제공받는 자를 특정하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하고 동의를 받은 경우
* 회원 가입 단계에서 선택사항으로 제3자 제공 동의를 받고 있으나, 제3자 제공에 동의하지 않으면 회원 가입 절차가 더 이상 진행되지 않도록 되어 있는 경우
*회원 가입 단계에서 선택사항으로 제3자 제공 동의를 받고 있으나, 제3자 제공에 동의하지 않으면 회원 가입 절차가 더 이상 진행되지 않도록 되어 있는 경우
* 제공받는 자의 이용 목적과 관련 없이 지나치게 많은 개인정보를 제공하는 경우
*제공받는 자의 이용 목적과 관련 없이 지나치게 많은 개인정보를 제공하는 경우
== 같이 보기 ==
 
* [[정보보호 및 개인정보보호관리체계 인증]]
==같이 보기==
* [[ISMS-P 인증 기준]]
 
* [[ISMS-P 인증 기준 세부 점검 항목]]
*[[정보보호 및 개인정보보호관리체계 인증]]
== 참고 문헌 ==
*[[ISMS-P 인증 기준]]
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
*[[ISMS-P 인증 기준 세부 점검 항목]]
*[[ISMS-P 인증 기준 3.3.2.업무 위탁에 따른 정보주체 고지]]
 
==참고 문헌==
 
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Latest revision as of 16:34, 7 February 2024


개요[edit | edit source]

항목 3.3.1.개인정보 제3자 제공
인증기준 개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립·이행하여야 한다.
주요 확인사항
  • 개인정보를 제3자에게 제공하는 경우 정보주체의 동의, 법령상 의무준수 등 적법 요건을 명확히 식별하고 이를 준수하고 있는가?
  • 정보주체에게 개인정보 제3자 제공 동의를 받는 경우 관련 사항을 명확하게 고지하고 다른 동의사항과 구분하여 접법하게 동의를 받고 있는가?
  • 정보주체에게 개인정보 제3자 제공 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 하고 있는 가?
  • 개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하고 있는가?
  • 개인정보를 제3자에게 제공 하는 경우 안전한 절차와 방법을 통해 제공하고 제공 내역을 기록하여 보관하고 있는가?
  • 제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하고 있는가?
  • 정보주체의 동의 없이 개인정보의 추가적인 제공 시 당초 수집 목적과의 관련성, 예측가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립·이행하고, 추가적인 제공이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가?
관련법규
  • 개인정보 보호법 제17조(개인정보의 제공), 제22조(동의를 받는 방법)
  • 개인정보 처리 방법에 관한 고시

세부 설명 ( 개정된 내용에 맞게 수정이 필요함 )[edit | edit source]

개인정보 제3자 제공 시 동의[edit | edit source]

개인정보를 제3자에게 제공하는 경우 정보주체 동의, 법령상 의무준수 등 관련 법률에 따른 적법 요건을 명확히 식별하고 이에 따라 개인정보를 적법하게 제공하여야 한다.

  • 제3자의 범위
    • 정보주체와 정보주체에 관한 개인정보를 수집·보유하고 있는 개인정보처리자를 제외한 모든 자
    • 동일한 개인정보처리자 내부의 타 부서 및 조직은 제3자에 해당하지 않음

※ 개인정보의 제3자 제공(예시)

  • 개인정보의 저장매체나 개인정보가 담긴 출력물·책자 등을 물리적으로 이전
  • 네트워크를 통한 개인정보의 전송
  • 개인정보에 대한 제3자의 접근권한 부여
  • 개인정보처리자와 제3자의 개인정보 공유
  • 기타 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위
  • 개인정보 제공 경로 별로 개인정보 제공의 적법 요건을 명확히 식별하고, 이를 입증할 수 있도록 관련 근거를 기록·관리
    • 예를 들어, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 정보주체 동의 없이 개인정보를 제공하는 경우, 해당 법률 또는 법령의 조항 등 관련 근거를 문서화
  • 개인정보를 제3자에게 제공할 수 있는 경우
  • 1. 정보주체의 동의를 받은 경우
  • 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
  • 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
  • 4. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
  • 5.개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다
  • 6. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

※ 위의 2호부터 6호까지에 따라 개인정보를 수집한 목적 범위에서 정보주체의 동의 없이 개인정보 제공 가능

  • 개인정보의 제3자 제공 동의는 수집·이용 등에 대한 동의와 구분하여 받고, 제3자 제공이 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 것이 아니라면 이에 동의하지 않는다는 이유로 서비스의 제공을 거부하지 않아야 한다
  • 정보주체에게 개인정보 제3자 제공 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한내용에 대해 명확히 표시하여 알아보기 쉽게 하여야 한다
  • 개인정보의 제3자 제공 동의 시 알려야 할 사항(개인정보 보호법 제17조제2항)
  • 1. 개인정보를 제공받는 자
  • 2. 개인정보를 제공받는 자의 개인정보 이용목적
  • 3. 제공하는 개인정보의 항목
  • 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
  • 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용
  • 정보주체의 동의가 적법하기 위해서는 정보주체의 자유로운 의사에 따른 동의 여부 결정, 동의 내용의 구체성 및 명확성 등 적법 요건을 모두 충족하여야 함.
    • 정보주체의 동의를 받을 때 충족해야 하는 조건(개인정보 보호법 시행령 제17조제1항) 1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것 2. 동의를 받으려는 내용이 구체적이고 명확할 것 3. 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것 4. 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것
    • 단, 본 규정은 2024년 9월 15일부터 시행
  • 개인정보 보호법 제22조(동의를 받는 방법)제2항에 따라 개인정보 처리에 대한 동의를 서면(전자문서 및 전자거래기본법 제2조제1호에 따른 전자문서를 포함)으로 받을 때에는 다음과 같이 중요한 내용을 명확히 표시하여 알아보기 쉽게 하여야 함
    • 명확히 표시하여야 하는 중요한 내용(개인정보 보호법 시행령 제17조제3항) · 개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실 · 처리하는 개인정보 항목 중 민감정보, 여권번호, 운전면허번호, 외국인등록번호· 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간) · 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적
    • 중요한 내용의 표시 방법(개인정보 처리 방법에 관한 고시 제4조) · 글씨의 크기, 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것 · 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것

수집·이용 동의와 제3자 제공 동의의 구분[edit | edit source]

개인정보의 제3자 제공 동의는 수집·이용 등에 대한 동의와 구분하여 받고, 제3자 제공이 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 것이 아니라면 이에 동의하지 않는다는 이유로 서비스의 제공을 거부하지 않아야 한다.

  • 동의 사항의 구분이 필요한 경우(개인정보 보호법 제22조제1항)
    • 1. 제15조제1항제1호에 따라 동의를 받는 경우(개인정보 수집·이용 동의)
    • 2. 제17조제1항제1호에 따라 동의를 받는 경우(개인정보 제3자 제공 동의)
    • 3. 제18조제2항제1호에 따라 동의를 받는 경우(개인정보 목적외 이용·제공 동의)
    • 4. 제19조제1호에 따라 동의를 받는 경우(개인정보를 제공받은 자의 목적외 이용·제공 동의)
    • 5. 제24조제1항제1호에 따라 동의를 받는 경우(민감정보 처리 동의)
    • 6. 제24조제1항제1호에 따라 동의를 받는 경우(고유식별정보 처리 동의)
    • 7. 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 경우
    • ※ 정보주체가 동의 여부를 선택할 수 있다는 사실을 명확하게 알 수 있도록 구분하여 표시

개인정보 제3자 제공 항목 최소화[edit | edit source]

개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하여야 한다.

  • 동의에 근거한 제3자 제공 시: 동의 시 고지한 제공 목적을 달성하기 위하여 필요한 최소한의 개인 정보 항목만 제공하여야 함.
  • 법령에 근거한 제3자 제공 시: 법률에서 구체적으로 명시하거나 해당 법령상 의무를 준수하기 위하여 필요한 범위 내에서 최소한의 개인정보 항목만 제공하여야 함.

안전한 제공 및 제공 내역 기록 보관[edit | edit source]

제3자에게 개인정보를 제공하는 과정에서 개인정보가 유·노출되지 않도록 안전한 절차와 방법을 통하여 제공하고 관련된 제공 내역은 기록하여 보관하여야 한다.

※ 제3자 제공 시 안전한 절차(예시)

  • 개인정보를 제공하는 자와 제공받는 자의 안전성 확보에 관한 책임관계 명확화(계약서 등)
  • 제3자 제공과 관련된 승인 절차(담당자에 의한 제공 시)
  • 전송 또는 전달 과정의 암호화
  • 접근통제, 접근권한 관리 등 안전성 확보 조치 적용
  • 제공 기록의 보존 등

※ 제3자 제공 기록에 포함하여야 할 내용(예시)

  • 제공받는 자
  • 제공 일시
  • 제공된 개인정보: 정보주체(이용자) 식별정보 및 개인정보 항목
  • 제공 목적 또는 근거
  • 제공자(담당자): 승인절차가 있는 경우 승인자 포함
  • 제공 방법: 시스템 연계, 이메일 전송 등
  • 기타 필요한 정보

제3자 개인정보 접근 허용 시 보호조치[edit | edit source]

제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하여야 한다.

  • 권한이 있는 자만 접근할 수 있도록 안전한 인증 및 접근통제 조치
  • 전송구간에서의 도청을 방지하기 위한 암호화 조치
  • 책임추적성을 확보할 수 있도록 접속기록 보존 등

정보주체 동의 없이 개인정보 추가 제공시[edit | edit source]

정보주체의 동의 없이 개인정보의 추가적인 제공 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등 고려사항에 대한 판단기준을 수립·이행하여야 하며, 추가적인 제공이 지속적으로 발생하는 경우 이를 개인정보 처리방침에 공개하고 기준 준수여부를 점검하여야 한다

  • 개인정보의 추가적인 제공 시 고려사항(개인정보 보호법 시행령 제14조의2제1항)
    1. 당초 수집 목적과 관련성이 있는지 여부
    2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
    3. 정보주체의 이익을 부당하게 침해하는지 여부
    4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부

증거 자료[edit | edit source]

  • 온라인 개인정보 제3자 제공 관련 양식(홈페이지 회원가입 화면, 개인정보 제3자 제공 동의 화면 등)
  • 오프라인 개인정보 제3자 제공 관련 양식(회원가입신청서, 개인정보 제3자 제공 동의서 등)
  • 제3자 제공 내역
  • 개인정보 처리방침

결함 사례[edit | edit source]

  • 개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는 사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 누락한 경우
  • 개인정보를 제3자에게 제공하는 과정에서 제3자 제공 동의 여부를 적절히 확인하지 못하여 동의하지 않은 정보주체(이용자)의 개인정보가 함께 제공된 경우
  • 개인정보를 제공 동의를 받을 때, 제공받는 자를 특정하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하고 동의를 받은 경우
  • 회원 가입 단계에서 선택사항으로 제3자 제공 동의를 받고 있으나, 제3자 제공에 동의하지 않으면 회원 가입 절차가 더 이상 진행되지 않도록 되어 있는 경우
  • 제공받는 자의 이용 목적과 관련 없이 지나치게 많은 개인정보를 제공하는 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)