이번 편에서는 개인정보보호법 상 별도의 처리 절차 규정을 두고 있는 ‘특수한 개인정보’에 대해 이야기 해 보려 한다. 특수한 개인정보는 성격상 일반적인 개인정보처리 절차를 따르는 것만으로는 개인정보를 보호하기에 충분치 않은 개인정보로서 민감정보, 고유식별정보 및 영상정보가 이에 해당한다.

# 민감정보는 원칙적으로 처리가 금지된다

우선 민감정보에 대해서 알아본다. 민감정보란 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 유전자검사 등의 결과로 얻어진 유전정보, 범죄경력 자료 등 개인의 사상과 사생활에 관련되어 공개될 경우 당사자인 정보주체에 치명적인 타격을 줄 수 있는 개인정보를 말한다(제23조 참조). 따라서 민감정보는 원칙적으로 개인정보를 수집하거나 제3자에게 제공할 당시 정보주체로부터 받는 동의와는 ‘별도’의 동의를 받아야 비로소 처리가 가능하고(제1호), 만약 그렇지 않은 경우라면 민감정보의 처리를 요구하거나 허용하는 법령상의 근거가 있어야 한다(제2호). 또한 민감정보와 관련해서는 수집단계에서부터 다른 개인정보와 달리 분실, 도난, 유출, 위조, 변조 또는 훼손 문제가 발생하지 않도록 개인정보보호법 상 안전성 확보에 필요한 조치를 하도록 의무화하고 있다(제23조 제2항 참조).

# 고유식별정보를 처리할 때 유의할 점

고유식별정보란 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 운전면허의 면허번호, 외국인등록번호를 말한다(제24조 참조). 고유식별정보는 많은 공공기관이나 기업에서 개인정보를 조회하는 용도로 많이 사용되고 있어 만약 이에 대한 정보가 유출된 경우 개인정보 침해의 우려는 매우 크다. 따라서 개인정보보호법은 이 경우에도 정보주체의 동의를 받거나(제1호), 고유식별정도의 처리를 요구하거나 허용하는 법령상의 근거가 있는 경우(제2호)에만 비로소 처리가 가능하도록 규정하고 있다. 또한 고유식별정보와 관련해 분실, 도난, 유출, 위조, 변조 또는 훼손 문제가 발생하지 않도록 개인정보보호법 상 안전상 확보에 필요한 조치를 하도록 의무화한 것도 민감정보의 경우와 동일하다(제24조 제1항 참조).

다만 개인정보보호법은 고유식별정보 중 주민등록번호의 처리는 더욱 엄격하게 제한하고 있는데, 다른 개인정보와 달리 주민등록번호는 당사자인 정보주체의 동의를 받더라도 처리할 수 없다는 점에 유의할 필요가 있다(제24조의 2 제1항 참조). 단지 법률, 대통령령 등에서 구체적으로 주민등록번호의 처리를 요구하거나(제1호), 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정하는 경우(제2호), 행정안전부령으로 정하는 경우(제3호)에만 처리가 가능한 것이다. 따라서 일반 기업이나 개인의 경우라면 회원 가입을 위한 명목이라도 주민등록번호를 사용하지 않고도 회원으로 가입할 수 있는 방법을 마련해야 할 것이고(제3항), 어떠한 경우에도 주민등록번호를 요구해서는 안 된다.

# 영상정보처리기기의 설치와 운영 어떻게 할 것인가?

무심코 지나치기 쉽지만, 우리 주변에는 영상정보를 수집할 수 있는 정말 다양한 종류의 영상정보처리기기가 존재한다. 가깝게는 휴대폰, 노트북 카메라로부터 CCTV, 자동차용 블랙박스, 심지어 최근 드론이나 구글 안경테에 설치된 카메라 등까지 누구든 마음만 먹으면 얼마든지 개인정보의 일종이라 할 수 있는 개인의 영상정보를 수집할 수 있다. 그러나 개인정보보호법이 규율 대상으로 삼는 영상정보는 한 곳에 ‘고정’되어 있고, ‘공개’적인 장소에 설치된 영상정보처리기기에 의하여 촬영될 것을 요한다. 따라서 ‘이동’이 가능한 휴대폰·노트북 카메라, 드론이나 구글 안경테에 설치된 카메라로 촬영한 영상정보나 차량 내부의 ‘폐쇄’적인 공간의 장면을 촬영한 영상정보는 개인정보보호법의 적용을 받지 않는다. 물론 이들의 경우에도 해석론 상으로는 이전에 살펴본 개인정보보호법 상의 일반적인 개인정보 수집(제15조) 및 제3자 제공(제17조) 등의 규정이 적용된다고 볼 수 있지만, 논란을 만들지 않기 위해서는 입법적인 보완이 필요할 것으로 보인다.

현행 개인정보보호법은 영상정보처리기기의 설치와 운영과 관련한 규정(제25조)을 두고 있는데, 앞서 살펴 본 요건에 비추어 본다면, 본 규정이 적용되는 영상정보처리기기는 결국 방범, 시설관리 등의 목적으로 공개적인 장소의 건물 내외·벽에 붙어 있는 고정식 영상정보처리기기(CCTV)에 한정된다. 우선 이들 영상정보처리기기는 설치, 운영의 목적(제1항)에 있어 법령상의 근거가 있거나(제1호), 범죄의 예방 및 수사의 필요가 있는 경우(제2호), 시설안전 및 화재 예방을 위한 경우(제3호), 교통단속을 위하여 필요한 경우(제4호), 교통정보의 수집, 분석 및 제공을 위하여 필요한 경우(제5호)에만 설치할 수 있다. 이에 반해 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 곳에는 설치할 수 없고(제2항), 설치, 운영 시에는 관계 전문가 및 이해관계인의 의견을 수렴한 후(제3항), 당사자인 정보주체가 쉽게 알 수 있도록 안내판을 설치하여야 한다(제4항). 물론 이 경우도 원래의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비춰서는 안 되고, 무엇보다 녹음 기능은 어떠한 경우에도 사용할 수 없다(제5항). 그 밖에 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손 문제가 발생하지 않도록 개인정보보호법 상 안전성 확보에 필요한 조치를 하도록 의무화하고 있다는 점 역시 민감정보나 고유식별정보의 경우와 다르지 않다(제6항).

일반 개인정보의 경우도 그러하지만, 특히 특수한 개인정보와 관련해서는 개인정보보호법에서 개인정보를 보호하기 위한 여러 가지 장치를 마련해 두고 있지만, 생각보다 실무적으로 간과되거나 법적으로는 위반된 상태가 적지 않다. 아직 개인정보보호에 대한 대중적인 인식과 정부의 관심이 부족한 탓으로 보인다.