ISMS-P 인증 기준 3.1.5.간접수집 보호조치

From IT Wiki


개요[edit | edit source]

항목 3.1.5.개인정보 간접수집
인증기준 정보주체 이외로부터 개인정보를 수집하거나 제3자로부터 제공받는 경우에는 업무에 필요한 최소한의 개인정보를 수집하거나 제공받아야 하며, 법령에 근거하거나 정보주체의 요구가 있으면 개인정보의 수집 출처, 처리목적, 처리정지의 요구권리를 알려야 한다.
주요 확인사항
  • 정보주체 이외의 제3자로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의획득 책임이 개인정보를 제공하는 자에게 있음을 계약을 통하여 명시하고 있는가?
  • 공개된 매체 및 장소에서 개인정보를 수집하는 경우 정보주체의 공개 목적·범위 및 사회 통념상 동의 의사가 있다고 인정되는 범위 내에서만 수집·이용하고 있는가?
  • 서비스 계약 이행을 위해 필요한 경우로서, 서비스 제공 과정에서 자동수집장치 등에 의하여 수집·생성하는 개인정보의 경우에도 최소수집 원칙을 적용하고 있는가?
  • 정보주체 이외로부터 수집하는 개인정보에 대해 정보주체의 요구가 있는 경우 즉시 필요한 사항을 정보주체에게 알리고 있는가?
  • 정보주체 이외로부터 수집한 개인정보를 처리하는 경우 개인정보의 종류·규모 등이 법적 요건에 해당하는 경우 필요한 사항을 정보주체에게 알리고 있는가?
  • 정보주체에게 수집 출처에 대해 알린 기록을 해당 개인정보의 파기 시까지 보관· 관리하고 있는가?
관련법규
  • 개인정보 보호법 제16조(개인정보의 수집 제한), 제19조(개인정보를 제공받은 자의 이용·제공 제한), 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지)

세부 설명[edit | edit source]

제공받는 개인정보 수집 동의 획득의 책임[edit | edit source]

정보주체 이외의 제3자로부터 개인정보를 제공받는 경우 적법한 절차에 따라 수집·제공되는 정보인지 여부를 확인하고 개인정보 수집에 대한 동의획득 책임이 개인정보를 제공하는 자에게 있음을 계약을 통하여 구체적으로 명시하여야 한다.

공개된 개인정보 수집[edit | edit source]

  • SNS, 인터넷 홈페이지 등 공개된 매체 또는 장소에서 개인정보를 수집하는 경우 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지 등의 표시 내용에 비추어 사회 통념상 동의 의사가 있다고 인정되는 범위 내에서만 이용할 수 있다(표준 개인정보 보호지침 제6조제4항).
  • 서비스 계약 이행을 위하여 필요한 경우로서 서비스 제공과정에서 자동수집장치 등에 의하여 수집· 생성되는 개인정보(통화기록, 접속로그, 결제기록, 이용내역 등)에 대해서도 해당 서비스의 계약 이행 및 제공을 위하여 필요한 최소한의 개인정보만을 수집하여야 한다.
    • 다만 서비스 제공 계약 이행과는 무관한 목적으로 이용하기 위하여 수집하는 경우에는 선택 동의 항목으로 분류하여 별도의 사전 동의를 받아야 함(예를 들어, 쿠키를 통하여 수집하는 행태정보를 분석하여 개인별 맞춤형 광고에 활용하는 경우 등)

간접수집한 개인정보에 대한 정보 주체 요구 시 통지 의무[edit | edit source]

정보주체 이외로부터 수집하는 개인정보에 대해 정보주체의 요구가 있으면 즉시 필요한 사항을 정보주체에게 알려야 한다.

  • 정보주체의 요구가 있는 경우 알려야 할 사항
    • 1. 개인정보의 수집 출처
    • 2. 개인정보의 처리 목적
    • 3. 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실
  • 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 알려야 함(표준 개인정보 보호지침 제9조제1항)
  • 통지로 인하여 다른 사람의 생명·신체를 해할 우려가 있는 등으로 인하여 정보주체의 요구를 거부하는 경우에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 그 거부의 근거와 사유를 알려야 함(표준 개인정보 보호지침 제9조제2항)

★ 개인정보 수집 출처 통지 거부 사유(개인정보 보호법 제20조제4항)

  • 1. 통지를 요구하는 대상이 되는 개인정보가 개인정보 보호법 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일(국가 안전, 외교상 비밀, 범죄의 수사, 다른 법령에 따라 비밀로 분류 등 개인정보파일의 등록 및 공개 제외 대상)에 포함되어 있는 경우
  • 2. 통지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

간접수집한 개인정보의 처리 시 통지 의무[edit | edit source]

정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 개인정보의 종류·규모 등 법적 요건에 해당하는 경우 필요한 사항을 정보주체에게 통지하여야 한다.

  • 통지 의무 요건 및 방법
구분 내용
통지 의무가 부과되는 조건
  • 개인정보 보호법 제17조제1항제1호에 따라 정보주체의 개인정보 제3자 제공 동의를 근거로 다른 개인정보처리자로부터 개인정보를 제공받은 경우
통지의무가 부과되는 개인정보처리자 요건
  • 5만 명 이상 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 자
  • 100만 명 이상의 정보주체에 관한 개인정보를 처리하는 자

※ (정보주체수 산정기준) 전년도말 기준 직전 3개월 간 일일평균 기준

통지하여야 할 사항
  • 개인정보의 수집 출처
  • 개인정보의 처리 목적
  • 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실
통지 시기
  • 개인정보를 제공받는 날로부터 3개월 이내
  • 다만, 법 제17조제2항제1호부터 제4호까지의 사항에 대하여 같은 조 제1항제1호에 따라 정보주체의 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알리거나 그 동의를 받은 날부터 기산하여 연 1회 이상 정보주체에게 알려야 함
통지 방법
  • 서면·전자우편·전화·문자전송 등 정보주체가 통지 내용을 쉽게 확인할 수있는 방법
  • 재화 및 서비스를 제공하는 과정에서 정보주체가 쉽게 알 수 있도록 알림창을 통해 알리는 방법
통지 예외
  • 통지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우
  • 통지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

※ 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한함

기타
  • 법 제20조제2항에 따라 개인정보의 수집 출처 등에 관한 사항을 알리는 것과 법 제20조의2제1항에 따른 이용·제공 내역의 통지를 함께 할 수 있음
  • 정보주체에게 수집 출처에 대하여 알린 기록을 해당 개인정보의 파기 시까지 보관·관리(정보주체에게 알린 사실, 알린 시기, 알린 방법)
  • 본 개인정보 수집 출처 통지 의무는 개인정보 보호법 제17조제1항제1호에 따라 정보주체의 동의를 받아 개인정보를 제공한 개인정보처리자로부터 수집한 개인정보에 대해서만 적용되므로 신용정보법에 따라 동의를 받아 개인정보를 제공한 자로부터 수집한 개인정보 또는 법령에 따라 제공받은 개인정보에 대해서는 적용되지 않음(개인정보 보호 법령 및 지침·고시 해설서).
  • 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 않은 경우에는 알리지 않아도 됨.

수집 출처 통지 기록 보관[edit | edit source]

정보주체에게 수집 출처에 대하여 알린 기록을 해당 개인정보의 파기 시까지 보관·관리하여야 한다.

  • 수집 출처 통지 관련 보관·관리하여야 할 정보(개인정보 보호법 시행령 제15조의2제4항)
    • 1. 정보주체에게 알린 사실
    • 2. 알린 시기
    • 3. 알린 방법

증거 자료[edit | edit source]

  • 개인정보 제공 관련 계약서(제공하는 자와의 계약 사항)
  • 개인정보 수집출처에 대한 정보주체 통지 내역
  • 개인정보 처리방침

결함 사례[edit | edit source]

  • 인터넷 홈페이지, SNS에 공개된 개인정보를 수집하고 있는 상태에서 정보주체의 수집 출처 요구에 대한 처리절차가 존재하지 않은 경우
  • 개인정보 보호법 제17조제1항제1호에 따라 다른 사업자로부터 개인정보 제공동의를 근거로 개인정보를 제공받았으나, 이에 대하여 해당 정보주체에게 3개월 내에 통지하지 않은 경우(다만 제공받은 자가 5만 명 이상 정보주체의 민감정보 또는 고유식별정보를 처리하거나 100만 명 이상 정보주체의 개인정보를 처리하는 경우)
  • 법적 의무 대상자에 해당되어 개인정보 수집 출처를 정보주체에게 통지하면서 개인정보의 처리목적 또는 동의를 철회할 권리가 있다는 사실 등 필수 통지사항을 일부 누락한 경우
  • 법적 의무 대상자에 해당되어 개인정보 수집 출처를 정보주체에게 통지하였으나, 수집 출처 통지에 관한 기록을 해당 개인정보의 파기 시까지 보관하지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)