Home > 전체기사 > 기획특집

가이드라인을 통해 살펴 본 개인정보보호 ①영상정보

  |  입력 : 2021-11-02 10:38
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개인정보 보호법 제정 10년...영상정보의 개인정보보호 방법과 기준
공공기관 가이드라인에는 영상정보처리기기 설치 시 의견 수렴이라는 항목 별도 마련


[보안뉴스 엄호식 기자] 개인정보 보호법이 제정된 지 10년이 지난 지금, 우리나라 개인정보보호는 어떤 길을 걸어왔을까? 올해 하반기 GDPR 적정성 결정 통과가 유력시되는 우리나라는 세계에서도 인정하는 개인정보보호 우수국가로 그 배경에는 개인정보 보호법이 있다. 이에 개인정보보호법의 발자취를 돌아보는 한편, 개인정보보호위원회의 ‘민간분야 영상정보처리기기 설치 운영 가이드라인’을 통해 물리보안 분야 중 영상정보의 개인정보를 어떻게 관리하고 보호해야 하는지 짚어봤다.

[이미지=utoimage]


개인정보보호위원회와 한국인터넷진흥원의 ‘민간분야 영상정보처리기기 설치·운영 가이드라인’은 개인정보 보호법 제25조, 같은 법 시행령 제22조부터 제27조까지 및 표준개인정보 보호지침 제3장의 내용을 설명하고 있다. 특히, 민간분야의 영상정보처리기기 설치·운영 및 개인영상정보보호에 대해 준수해야할 사항을 업무담당자기 쉽게 이해할 수 있도록 기준을 제시하는 것을 목적으로 했다.

‘영상정보처리기기’는 일정한 공간에 지속적으로 설치돼 사람이나 사물의 영상 등을 촬영하거나 이를 유·무선망을 통해 전송하는 일체의 장치로 시행령 제3조에 따른 폐쇄회로 텔레비전(CCTV)과 네트워크 카메라를 의미한다.

먼저 가이드라인에 따른 각각의 정의를 살펴보면 ‘개인영상정보’는 영상정보처리기기에 의해 촬영·처리되는 영상정보 중 개인의 초상, 행동 등과 관련된 영상으로 해당 개인을 식별할 수 있는 정보를 말하며, ‘영상정보처리기기운영자’는 법 제25조제1항 각 호에 따라 영상정보처리기기를 설치·운영하는 자를 말한다.

그리고 ‘공개된 장소’는 공원과 도로, 지하철, 상가 내부, 주차장 등 불특정 다수가 접근하거나 통행하는 데에 제한을 받지 않는 장소를 뜻한다. ‘비공개된 장소’는 법 제15조제1항에 따른 경우나 △안전사고 방지를 위해 △사격장 △어린이집 등 법률에 특별한 규정이 있는 경우에만 영상정보 처리기기의 설치·운영(개인영상정보의 수집 및 이용)이 가능하다.

단, 영상정보처리기기가 개인의 주택 내부나 개인소유의 차량 등 순수한 사적 공간에 설치돼 있는 경우 ‘개인정보 보호법’의 적용을 받지 않는데 단독주택이나 연립주택 등의 대문, 현관 등에 범죄예방(방범) 목적으로 설치하는 감시용 CCTV가 이에 해당한다. 다만, 이러한 경우에도 CCTV 각도를 최대한 주택 내부로 하는 등의 조치를 취해 다른 사람들의 사생활 침해가 발생하지 않도록 해야 한다.

참고로 ‘공공기관 영상정보처리기기 설치·운영 가이드라인’은 민간분야 가이드라인과 다른 점 이 그리 많지 않지만 △영상정보처리기기 설치 시 의견 수렴이라는 항목이 별도로 마련돼 있다.

개인정보를 보호하는 영상정보처리기기의 올바른 설치와 운영
그렇다면 영상정보처리기기를 설치·운영함에 있어 개인정보를 보호하기 위해서는 어떠한 것들을 지켜야 할까? 각각의 항목을 통해 살펴보자.

[이미지=utoimage]


영상정보처리기기 설치·운영 제한 누구든지 공개된 장소에 영상정보처리기기를 설치·운영하는 것은 원칙적으로 금지되지만 ‘법령에서 구체적으로 허용하고 있는 경우’, ‘범죄의 예방 및 수사를 위해 필요한 경우’, ‘시설안전 및 화재 예방을 위해 필요한 경우’, ‘교통단속을 위해 필요한 경우’, ‘교통정보의 수집·분석 및 제공을 위해 필요한 경우’에는 설치·운영이 허용된다.

영상정보처리기기는 개인의 의사와 무관하게 초상 및 활동 정보가 수집돼 무단 공개나 유출 등으로 인한 사생활 침해 우려가 높은 만큼 영상정보처리기기임을 쉽게 인식할 수 있게 눈에 잘 띄는 곳에 설치·운영하는 것이 바람직하다. 또, 개인정보의 최소 수집원칙에 따라 영상정보처리기기의 설치목적을 달성할 수 있는 최소한의 범위(촬영장소, 촬영 각도 및 시간) 내에서 개인정보를 수집해야 한다.

임의조작·녹음 금지 영상정보처리기기에는 녹음 기능을 사용할 수 없고 설치 목적과 다른 목적으로 임의로 조작하거나 다른 곳을 비출 수 없다. 혹, 개인이 자신의 비용으로 인도나 골목 등 ‘공개된 장소’에 방범 목적으로 영상정보처리기기를 설치할 경우라도 자신의 정당한 권한이 미치는 장소적 범위 내에서 설치·운영해야 한다.

안내판 설치 안내판의 크기나 위치는 자율이지만 촬영범위 내에서 정보주체가 알아보기 쉬운 출입구나 정문 등에 글자 크기와 높이를 조절해 설치해야 한다. 외국인이 자주 이용하는 장소의 경우에는 한국어와 외국어를 병기하는 것이 바람직하며, 영상정보처리기기의 설치와 운영을 위탁한 경우에는 위탁자의 관리책임자와 더불어 수탁관리자의 명칭과 연락처를 함께 기재해야 한다. 건물 안에 여러 개의 영상정보처리기기를 설치하는 경우에는 출입구 등 잘 보이는 곳에 해당 시설이나 장소 전체가 영상정보처리기기 설치 지역임을 표시하는 안내판을 설치해야 하며, 영상정보처리기기운영자가 서로 다른 경우에는 동일한 장소나 건물이라 하더라도 각각 별도의 안내판을 설치해야 한다.

영상정보처리기기 운영·관리 방침 수립 영상정보처리기기운영자는 영상정보처리기기 운영·관리 방침을 수립하고, 이를 해당 인터넷 홈페이지에 게재해 정보주체에게 공개해야 한다. 또, 영상정보처리기기 운영·관리 방침 수립 대신 영상정보처리기기 설치·운영에 관한 사항을 개인정보 처리방침에 포함해 공개하는 것도 가능하다.

관리책임자 지정 영상정보처리기기운영자는 개인영상정보의 처리에 관한 업무를 총괄해 책임질 개인영상정보 관리책임자를 자체적으로 지정해 관리해야 한다. 이미 개인정보 보호책임자가 지정돼 있는 경우에는 그 개인정보보호 책임자가 개인영상정보 관리책임자의 업무를 수행할 수 있다. 영상정보의 목적 내 이용 및 제3자 제공 영상정보처리기기운영자는 법 제25조에서 정하는 사유에 해당해 공개된 장소에 영상정보처리기기를 설치·운영하는 경우, 해당 수집목적 내로 개인영상정보를 이용할 수 있으며, ①정보주체의 동의를 받은 경우 ②제15조제1항제1호·제3호 및 제 39조의3제2항제2호·제3호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우 등에 한해 제3자 제공이 가능하다.

영상정보의 목적 외 이용 및 제3자 제공 영상정보처리기기운영자는 원칙적으로 수집 목적을 넘어서 개인영상저보를 이용하거나 제3자에게 제공할 수 없지만 ①정보주체의 별도 동의를 얻는 경우 ②다른 법률에 특별한 규정이 있는 경우 ③정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 목적 외 이용·제공이 가능하다. 또, 개인영상정보를 수집 목적 외로 이용하거나 제3자에게 제공하는 경우에는 ①개인영상정보 파일의 명칭 ②이용하거나 제공받은 자의 명칭 ③이용 또는 제공의 목적 ④법령상 이용 또는 제공 근거가 있는 경우 그 근거 ⑤이용 또는 제공의 기간이 정해져 있는 경우에는 그 기간 ⑥이용 또는 제공의 형태 등을 기록하고 관리해야 한다.

이미지=utoimage]


보관 및 파기 보유기간이 경과하면 개인영상정보는 자체 없이 파기해야 하며 ‘지체 없이’란 보유 기간 종료일로부터 5일 이내를 의미한다. 또, 해당사업 등의 특성에 따라 보유목적의 달성을 위한 최소한의 기간 산정이 곤란할 때에는 보유기간을 영상정보의 수집 후 30일 이내로 한다. 영상정보처리기기운영자가 개인영상정보를 파기하는 경우에는 ①파기하는 개인영상정보 파일의 명칭 ②개인영상정보 파기일시(사전에 파기 시기 등을 정한 자동 삭제의 경우에는 파기 주기 및 자동 삭제 여부에 대한 확인 시기) ③개인영상정보 파기 담당자 등의 사항을 기록하고 관리해야 한다.

영상정보 파기 시에는 출력물과 전자형태 등 존재 형태에 따라 복구와 재생이 불가능한 방법으로 파기해야 하며, 법령에 따라 파기하지 않고 보존해야 하는 영상정보는 다른 영상정보와 분리해 저장·관리해야 한다.

영상정보처리기기 설치·운영 사무의 위탁 영상정보처리기기운영자는 영상정보처리기기 설치·운영에 관한 사무를 위탁할 수 있지만 법 제26조에 따른 업무위탁 규정이 적용된다.

위탁을 하는 경우에는 ①위탁업무 수행 목적외 개인정보의 처리 금지에 관한 사항 ②개인정보의 기술적·관리적 보호조치에 관한 사항 ③위탁하는 사무의 목적 및 범위 ④재위탁 제한에 관한 사항 ⑤영상정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 ⑥영상정보의 관리 현황 점검 등 감독에 관한 사항 ⑦위탁받는 자가 준수해야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항이 문서에 포함돼 있어야 한다.

또, 위탁자는 위탁자 홈페이지에 수락자와 위탁하는 업무의 내용을 지속적으로 게재해야 한다. 다만 인터넷 홈페이지에 공개가 불가능한 경우에는 ①위탁자의 사업장 등의 보기 쉬운 장소에 게시 ②일간신문, 주간신문 또는 인터넷신문에 게재 ③같은 제목으로 연 2회 이상 발행해 정보주체에게 배포하는 간행물이나 소식지, 홍보지 또는 청구서 등에 지속적으로 게재 ④위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급 중 하나의 방법을 통해 공개해야 한다.

위탁자는 개인영상정보가 분실·도난·유출·변조 또는 훼손되지 않도록 수탁자를 교육하고, 수탁자가 개인영상정보를 안전하게 처리하는지 감독해야 하며, 수탁자는 위탁 받은 업무 범위를 초과해 개인영상정보를 이용하거나 제3자에게 제공해서는 안 된다.

열람 등의 청구 정보주체는 영상정보처리기기운영자가 처리하는 개인영상정보에 대해 열람이나 존재확인을 해당 영상정보처리기기운영자에게 요구할 수 있다.

정보주체가 열람 등을 요구할 수 있는 개인영상정보는 정보주체 자신이 촬영된 개인영상정보와 주소불명 등으로 정보주체의 동의를 받을 수 없으면서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요한 개인영상정보에 한한다. 정보주체는 해당 영상정보처리기 기운영자에게 열람 또는 존재확인을 요구할 수 있으며, 영상정보처리기기운영자는 이에 대해 지체 없이 필요한 조치를 취해야 한다. 영상정보처리기기운영자는 열람 등의 요구를 한 자가 본인이거나 정당한 대리인인지를 주민등록증이나 운전면허증, 여권 등의 신분증명서를 제출받아 확인해야 한다.

단, 개인영상정보 열람 등의 요구가 ①개인영상정보의 보관기간이 경과해 파기한 경우 ②기타 정보주체의 열람 등 요구를 거부할 만한 정당한 사유가 존재하는 경우에는 요구를 거부할 수 있으며, 이때에는 거부사유를 10일 이내에 서면으로 정보주체에게 통지해야 한다.

열람 등의 조치를 취하는 때에는 정보주체 이외의 자를 명백히 알아볼 수 있거나 정보주체 이외의 자의 사생활 침해 우려가 있는 경우 해당되는 정보주체 이외의 자의 개인영상정보를 알아볼 수 없도록 보호조치를 취해야 한다.
[엄호식 기자(eomhs@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)