인터넷진흥원에 보안서버도입관련 개인정보 질의한 답변입니다.

개인정보의 정확한 범위를 현재 정보보호진흥원에 아래와 같은 질의를 하였고, 오늘 답변을 받았습니다.

1. 개인정보의 정확한 범위

   회원가입시 주민등록번호가 들어가면 의무적으로 하여야 하는데,

   개인정보라 하면 다른 정보와 연계하여 한 사람을 식별할 수 있으면 개인정보가 되는것으로 알고 있습니다.

   이름은 동명이인이 전국에 몇천명이 존재하는데요. 이름만 수집한다면 개인정보 도입 의무화 대상이 되는것인지요?


안녕하십니까?

한국인터넷진흥원 ☎118입니다. 

저희 한국인터넷진흥원 ☎118을 방문하신 점에 감사드리며, 문의하신 내용에 대해 아래와 같이 회신 드립니다. 

1. 개인정보의 정의


『정보통신망 이용촉진 및 정보보호 등에 관한 법률』제2조 제6호 및 『개인정보 보호법』제2조 제1호의 "개인정보"란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보를 말합니다.

이 때 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 개인정보에 포함됩니다.


그런데, 회원가입을 받는다면 비밀번호를 수집할 것이고, [이름, 비밀번호]는 다른 정보와 쉽게 결합하여 특정 개인을 식별할 수 있게 되므로 개인정보에 해당될 것입니다. 

그리고 “비밀번호”는 『개인정보의 안전성 확보조치 기준』에서 암호화 대상 “개인정보”로 규정하고 있음을 참고하시기 바랍니다.

2. 회원가입시 이름만 수집시 SSL 도입 의무화에서 제외된다면,

   의무가입 대상 사이트는 어느 사이트인지요?

   이름+주소+이메일 조합시 개인을 식별할 수 있다면 도입해야 하는지?

『정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령』 제15조 제4항 제3호에 의거, 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 정보통신서비스 제공자는 보안서버를 구축해야 합니다.

3. 주소 + 이메일만으로 개인식별이 가능한지 여부

   식별이 불가하다면 의무 도입 대상이 아닌지요?

[주소+이메일주소]와 [이름+전화번호]는 특정한 개인을 식별할 수 있는 정보이므로 개인정보에 해당할 것입니다.

그러므로 해당 정보를 송신‧수신하는 정보통신서비스 제공자는 보안서버를 구축해야 합니다.

4. 이름, 전화번호 수집시 의무도입 대상자인지요?

   전화번호는 통신사업자에게 할당받아 사용하는 번호입니다.

   이 번호는 사용자가 해지 또는 번호를 변경할수 있게 되어있습니다.

   그렇다면 이 번호가 개인정보범위가 들어가는지요?

5. 해외 사업자의 경우 의무도입 대상자에서 제외되는지요?

웹사이트는 서버의 소재지를 기준으로 하여 어느 국가의 법률이 준거법이 되는지 여부가 달라지게 될 것입니다.

다만 『국제사법』 제7조를 고려하여 볼 때, 해외에서 웹사이트를 운영하더라도 정보통신서비스 제공자가 국내에 주된 영업소를 가지고 있는 경우에는 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』의 적용을 받게 되어 보안서버를 구축해야 할 의무가 있을 것입니다.

6. 국내에 사업자가 아니면서 한국인을 대상으로 하면서 서버가 해외에 있을 경우 의무도입 대상자인지?

7. 한국인을 대상으로 하면서 서버가 해외에 있고 사이트 운영자가 해외에 있을 경우 의무도입 대상자인지?



개인정보의 안전성 확보조치 기준 고시 및 해설서 [ 바로가기 ]

1번 항목에서 "비밀번호" 가 개인정보로 들어간다고 했습니다.

그렇다면 보안서버 도입 의무화 사이트는 로그인을 하는 모든 웹사이트라는 말이 되는데요.

저 암호화 대상 개인정보라는 것이 암호화 저장 개인정보인지 암호화해서 전송해야되는 개인정보인지 확인이 필요해보입니다.

5번항목에서 서버가 해외에 있을 경우 해당이 안되는걸로 보이네요. (단, 영업소재지가 국내가 아닐 경우만)


구축하지 않았을시 과태료 행정처분이 내려진다는것에 대해서는 보안서버 도입을 하지 않으면 과태료 처분이 내려지는것인지 일전에 포스팅한 내용이 적용되는것인지 재질의 예정입니다.

.

Comments 2

  • 이지투존 | 댓글주소 | 수정/삭제

    안녕하세요 글 잘 읽었습니다 현재 Nginx 서버로 사이트을 운영하고 있습니다 SSL 신뢰되는 인증서을 설치하려는데 지식이 부족해서 골머리을 치고 있습니다.

    여기서 제가 궁금한것이 하나 있는데요 [아이디+비밀번호+이메일] 이런게 회원가입 하는것만으로도 SSL 을 의무적으로 설치 해야 한다는 이야기가 되나요?

    이러한 사이트을 운영하고 있습니다. http://e2zone.kr/forum.php

    SSL 인증서는 무조건 신뢰되는 인증서을 사용해야 하는것인가도 궁금하네요

    • 알찬돌삐 | 댓글주소 | 수정/삭제

      관련법령에 보면
      비밀번호를 전송하는 경우 암호화된 통신방법으로 전송하라고 되어있는데요. 이 말인즉 보안서버를 도입해서 운영해라....
      이거죠 --....
      그런데 작은 사이트까지 일일이 단속할까 싶으네요..