• 김연구원

「개인정보 보호법」상 개인정보처리자의 범위

행정안전부 - 「개인정보 보호법」상 개인정보처리자의 범위(「개인정보 보호법」 제2조 등 관련)

[안건번호] 법제처-19-0152

[회신일자] 2019. 6. 24.

< 이미지 출처 : https://bit.ly/30FgUHP >

질의요지

「개인정보 보호법」 제2조제6호가목에 따른 공공기관인 지방자치단체에서 국민신문고 민원 및 정보공개청구에 관한 업무를 처리할 때, 접수와 배정 업무를 담당하는 자(이하 “접수ㆍ배정 담당자”라 함)와 배정된 국민신문고 민원 및 정보공개청구에 관한 업무를 처리하는 자(이하 “개별 담당자”라 함)가 있는 경우, 접수ㆍ배정 담당자와 개별 담당자를 같은 법 제2조제5호에 따른 개인정보처리자로 볼 수 있는지?

질의배경

민원인은 위 질의요지와 같이 행정안전부에 질의하였는데, 행정안전부가 위와 같은 상황에서는 공공기관인 지방자치단체만이 개인정보처리자에 해당하고, 각 담당자들은 「개인정보 보호법」 제28조제1항에 따른 개인정보취급자에 해당한다고 회신하자 이에 이견이 있어 행정안전부에 의뢰해 법제처에 법령해석을 요청함.

회답

이 사안의 경우 접수ㆍ배정 담당자와 개별 담당자를 「개인정보 보호법」 제2조제5호에 따른 개인정보처리자로 볼 수 없습니다.

이유

「개인정보 보호법」은 금지 및 행위규범을 정함에 있어 일반적으로 같은 법 제2조제5호에 따른 개인정보처리자를 규범준수자로 하여 규율하고 있고,[주석: 대법원 2016. 3. 10. 선고 2015도8766 판결례 참조] 개인정보처리자가 일정한 의무를 위반하는 경우 형벌을 부과하고 있는바, 형벌의 근거가 되는 같은 법 제2조제5호에 따른 개인정보처리자의 범위는 엄격하게 해석해야 하며 명문규정의 의미를 당사자에게 불리한 방향으로 지나치게 확장해석하거나 유추해석하는 것은 죄형법정주의 원칙에 어긋나는 것으로서 허용되지 않습니다.

그런데 「개인정보 보호법」 제2조제5호에서는 개인정보처리자는 업무를 목적으로 개인정보파일을 운용하기 위해 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다고 정의하면서 같은 법 제28조제1항에서는 임직원 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자를 개인정보취급자로 약칭하여 개인정보처리자와 개인정보취급자를 구분하여 규정하고 있습니다.

이러한 「개인정보 보호법」의 규정 내용 및 체계에 비추어 볼 때 같은 법 제2조제6호가목에 따른 공공기관인 지방자치단체가 같은 조 제5호에 따른 개인정보처리자에 포함된다는 것이 문언상 명백한 반면, 접수ㆍ배정 담당자와 개별 담당자는 「개인정보 보호법」상 공공기관이자 개인정보처리자인 지방자치단체의 지휘ㆍ감독을 받아 개인정보를 처리하는 자로서 개인정보취급자에 해당할 뿐, 개인정보처리자에 해당한다고 볼 수는 없습니다.[주석: 헌법재판소 2018. 4. 26. 선고 2017헌마711 결정례 참조]

한편 접수ㆍ배정 담당자나 개별 담당자와 같이 개인정보 처리에 대한 업무를 실제로 수행하는 자를 「개인정보 보호법」 제2조제5호에 따른 개인정보처리자로 보지 않는 경우, 접수ㆍ배정 담당자나 개별 담당자에 의해 개인정보 침해행위가 발생하더라도 실제 침해행위자들을 같은 법에 따라 처벌할 수 없게 되어 부당하므로, 접수ㆍ배정 담당자나 개별 담당자 또한 같은 법 제2조제5호에 따른 개인정보처리자로 보아야 한다는 의견이 있습니다.

그러나 「개인정보 보호법」에서는 “개인정보처리자” 외에도 “개인정보를 처리하거나 처리하였던 자”를 의무주체로 하는 금지행위에 대하여 규정하고 있고(제59조) 해당 금지행위를 위반한 자에 대한 벌칙을 규정하고 있는바(제71조제5호ㆍ제6호 및 제72조제2호), 이를 통해 개인정보처리자 외의 자에 의하여 이루어지는 개인정보 침해행위로 인한 폐해를 방지하고 사생활의 비밀 보호 등 「개인정보 보호법」의 입법 목적을 달성할 수 있다는 점[주석: 대법원 2016. 3. 10. 선고 2015도8766 판결례 참조]에서 그러한 의견은 타당하지 않습니다.

○ 「개인정보 보호법」 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. 1. "개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다. 2. "처리"란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다. 3. "정보주체"란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. 4. "개인정보파일"이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다. 5. "개인정보처리자"란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다. 6. "공공기관"이란 다음 각 목의 기관을 말한다. 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체 나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관 7. (생 략) 제15조(개인정보의 수집·이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. 1. 정보주체의 동의를 받은 경우 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다. ② (생 략) 제17조(개인정보의 제공) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. 1. 정보주체의 동의를 받은 경우 2. 제15조제1항제2호·제3호 및 제5호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우 ②ㆍ③ (생 략) 제18조(개인정보의 목적 외 이용ㆍ제공 제한) ① 개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다. ② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다. 1. 정보주체로부터 별도의 동의를 받은 경우 2. 다른 법률에 특별한 규정이 있는 경우 3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우 5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우 6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우 7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 8. 법원의 재판업무 수행을 위하여 필요한 경우 9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우 ③ ∼ ⑤ (생 략) 제19조(개인정보를 제공받은 자의 이용ㆍ제공 제한) 개인정보처리자로부터 개인정보를 제공받은 자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다. 1. 정보주체로부터 별도의 동의를 받은 경우 2. 다른 법률에 특별한 규정이 있는 경우 제23조(민감정보의 처리 제한) ① 개인정보처리자는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 "민감정보"라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다. 1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우 ② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다. 제24조(고유식별정보의 처리 제한) ① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 "고유식별정보"라 한다)를 처리할 수 없다. 1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우 ② 삭제 ③ 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다. ④ㆍ⑤ (생 략) 제28조(개인정보취급자에 대한 감독) ① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자(이하 "개인정보취급자"라 한다)에 대하여 적절한 관리ㆍ감독을 행하여야 한다. ② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다. 제29조(안전조치의무) 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다. 제36조(개인정보의 정정ㆍ삭제) ① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다. ② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정·삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다. ③ ∼ ⑥ (생 략) 제37조(개인정보의 처리정지 등) ① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다. 이 경우 공공기관에 대하여는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다. ② 개인정보처리자는 제1항에 따른 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다. 1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우 4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우 ③ ∼ ⑤ (생 략) 제59조(금지행위) 개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다. 1. 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위 2. 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위 3. 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출하는 행위 제71조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다. 1. 제17조제1항제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자 2. 제18조제1항ㆍ제2항, 제19조, 제26조제5항 또는 제27조제3항을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 3. 제23조제1항을 위반하여 민감정보를 처리한 자 4. 제24조제1항을 위반하여 고유식별정보를 처리한 자 5. 제59조제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 6. 제59조제3호를 위반하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출한 자 제72조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다. 1. (생 략) 2. 제59조제1호를 위반하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 3. (생 략) 제73조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다. 1. 제23조제2항, 제24조제3항, 제25조제6항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손당한 자 2. 제36조제2항을 위반하여 정정ㆍ삭제 등 필요한 조치를 하지 아니하고 개인정보를 계속 이용하거나 이를 제3자에게 제공한 자 3. 제37조제2항을 위반하여 개인정보의 처리를 정지하지 아니하고 계속 이용하거나 제3자에게 제공한 자

0 views