1. 고유식별정보 및 주민등록 번호의 개념 및 처리 제한 취지
(1) 고유식별정보
“고유식별정보”란 법령에 의해서 개인을 고유하게 구별하기 위하여 부여된 식별정보로 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호를 말한다.
이는 개인에게 부여된 것이어야 하므로 기업, 학교 등이 소속 구성원에게 부여하는 사번, 학번 등은 고유식별정보가 될 수 없고, 법인이나 사업자에게 부여되는 법인등록번호, 사업자등록번호 등도 고유식별정보가 될 수 없다.
고유식별정보는 원칙적으로 처리할 수 없으나, 별도로 정보주체의 동의를 받은 경우와 개별 법령에서 처리를 요구하거나 허용하고 있는 경우에는 처리할 수 있다.
(2) 주민등록번호
주민등록번호는 「주민등록법」 제7조의2 제1항에 따라 시장·군수 또는 구청장이 주민에게 개인별로 부여한 고유 등록번호로 생년월일, 성별 등을 표시할 수 있는 13자리의 숫자로 구성된 고유등록번호이고 「개인정보 보호법」 제24조 제1항 및 같은 법 시행령 제19조 제1호에 따른 고유식별정보로 이러한 주민등록번호는 원칙적으로 처리가 금지되고, 예외적으로 허용하는 경우에도 주민등록번호 보호를 다른 고유식별정보 보다 더욱 강화함으로써 관행적 동의 절차에 따른 오ᆞ남용과 유출시 2차 피해 등을 근본적으로 예방하고 있다.
주민등록번호 또한 원칙적으로 처리가 금지되고, 법률 등에 근거한 예외적인 경우에만 처리가 허용된다.
2. 고유식별정보 처리 제한(제24조)
(1) 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 고유식별정보 처리 제한(제1항)
고유식별정보란 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호를 말한다(시행령 제19조 제1항).
다만, 공공기관이 업무 수행을 위하여 처리하는 다음의 경우에는 고유식별정보로 보지 아니 한다(시행령 제19조 제1항 단서).
고유식별정보로 보지 않는 경우
- 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 위원회의 심의의결을 거친 경우
- 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
- 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
- 법원의 재판업무 수행을 위하여 필요한 경우
- 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
고유식별정보는 원칙적으로 처리할 수 없으나, 정보주체의 동의를 받은 경우(제1항 제1호)와 법령에서 구체적으로 고유식별정보를 열거하고 그 처리를 요구하거나 허용하고 있는 경우는 가능하다(제1항 제2호).
정보주체의 별도의 동의를 받는 경우에 개인정보처리자는 제15조 제2항 각 호 또는 제17조 제2항 각 호의 사항을 정보주체에게 알리고 다른 개인정보의 처리에 대한 동의와 분리해서 고유식별정보 처리에 대한 동의를 받아야 하며, 이 때 주민등록번호는 제외한다.
법령에서 구체적으로 처리를 요구하거나 허용하는 경우란, 원칙적으로 법령에서 구체적으로 고유식별정보의 종류를 열거하고 그 처리를 요구하거나 허용하고 있는 것을 말한다.
‘법령’에 의한다고 규정하고 있으므로 법률 외에 시행령, 시행규칙이 포함되며 이에 첨부된 별지 서식이나 양식도 포함된다.
다른 법령에서 신원이나 연령확인 의무만을 부과하고 있는 경우에는 고유식별정보 처리 동의를 별도로 받거나, 주민등록번호를 사용하지 않는 수단을 이용하여야 한다.
(2) 개인정보처리자는 고유식별정보를 처리하는 경우 암호화 등 안전성 확보 조치를 하여야 함(제3항)
개인정보처리자가 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 암호화 등 안전성 확보 조치를 하여야 한다.
개인정보처리자는 시행령 제30조에 따른 개인정보 안정성 확보조치 기준을 준수하여야 하며, 정보통신서비스 제공자등은 시행령 제48조의2에 따른 기준을 준수하여야 한다(시행령 제21조 제1항).
(3) 위원회는 고유식별정보 안전성 확보 조치 정기조사를 2년 단위로 수행함(제4항, 제5항)
위원회는 시행령 제21조 제2항과 제3항에 따라 공공기관 또는 5만명 이상 정보주체의 고유식별정보를 처리하는 개인정보처리자에 대해서 고유식별정보의 안전성 확보 조치를 하였는지를 2년마다 1회 이상 조사하여야 한다.
위원회는 시행령 제21조 제4항과 제5항에 따라 온라인 또는 서면을 통하여 필요한 자료를 제출하게 하는 방법으로 조사를 수행하며, 한국인터넷진흥원 등 위원회가 정하여 고시하는 전문기관이 수행하게 할 수 있다.
3. 주민등록번호 처리 제한(제24조의2)
(1) 고유식별정보 중 주민등록번호는 원칙적으로 처리가 금지되고, 예외적인 사유에만 허용됨(제1항)
“법률ᆞ대통령령ᆞ국회규칙ᆞ대법원규칙ᆞ헌법재판소규칙ᆞ중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우”와 같이 주민등록번호를 처리할 수 있는 법령의 범위를 한정하고 있으므로 부령 등 시행규칙을 근거로는 주민등록번호를 처리할 수 없다(제1호).
명백히 주민등록번호의 처리가 정보주체나 제3자의 생명, 신체, 재산상의 이익을 위한 것이어야 하며 반드시 급박성이 인정되어야 하므로 충분한 시간적 여유가 있거나 다른 수단에 의하여 생명, 신체, 재산의 이익을 보호할 수 있다면 급박한 상태에 있다고 볼 수 없다(제2호).
제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 위원회가 고시로 정하는 경우 처리가 가능하다.
이러한 예외사유에 해당되지 않는 한 정보주체로부터 동의를 받아 주민등록번호를 수집하여 이용하거나, 제3자에게 제공하거나 저장·보유하는 것도 금지되며 예외사유에 해당하는 경우 개인정보처리자는 정보주체로부터 별도 동의를 받을 필요가 없다.
(2) 주민등록번호를 전자적인 방법으로 보관하는 개인정보처리자는 암호화 조치하여 보관함(제2항)
주민등록번호가 분실ᆞ도난ᆞ유출ᆞ위조ᆞ변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다.
주민등록번호는 고유식별정보에 해당하므로 시행령 제21조의2 제3항에 따라 개인정보처리자는 「개인정보의 안전성 확보조치 기준」에 따른 암호화 조치를 통하여 안전하게 보관하여야 한다.
(3) 인터넷 홈페이지로 회원 가입하는 경우 주민등록번호 대체수단을 제공하여야 함(제3항, 제4항)
개인정보처리자는 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.
주민등록번호 대체수단
- 본인확인 기관: 아이핀, 휴대전화, 신용카드, 토스
- 전자서명 인증사업자: NHN페이코, 신한Sign, 네이버 인증서