세상 모든 보안 이야기

보안 백과사전

좌우로 움직여보세요

개인정보

민감정보

포스팅 뷰253

민감정보의 정의

개인정보보호법에서 민감정보는 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 다음 정보를 가리킨다.

  • 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강·성생활 등에 관한 정보

    • 건강·성생활 등에 관한 정보: 개인의 과거 및 현재의 병력(病歷), 신체적정신적 장애(장애등급 유무 등), 성적 취향 등에 관한 정보가 포함된다. 혈액형은 이에 해당하지 않는다.

  • 유전정보, 범죄경력자료, 생체인식정보, 인종·민족에 관한 정보

    • 범죄경력자료: 벌금 이상의 형의 선고면제 및 선고유예, 보호감호, 치료감호, 보호관찰, 선고유예의 실효, 집행 유예의 취소, 벌금 이상의 형과 함께 부과된 몰수, 추징, 사회봉사명령, 수강명령 등의 선고 또는 처분 등에 관한 정보가 포함된다.

    • 생체인식 정보: 개인의 신체적·생리적·행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보인데, 개인을 식별하기 위해 지문, 홍채, 정맥, 필적 등을 가공한 정보가 해당한다.

사업자가 법적인 관리 의무가 있는 민감정보는 개인정보보호법에서 정의한 범위에 한정된다.

개인이 민감하다고 생각한다고 해서 법적으로 민감정보인 것은 아니다.


민감정보 세부 요건

민감정보로서 생체인식 정보는 다음 세 가지 요건을 충족해야 한다.

  • 개인의 신체적·생리적·행동적 특징에 관한 정보로

  • 특정 개인을 인증 또는 식별할 목적으로

  • 기술적 수단을 통해 생성한 특징 정보

    • 얼굴 사진이나 영상은 개인을 식별할 수 있는 개인정보이지만, 그 자체로는 민감정보는 아니다(3번 요건 충족 안됨)

    • 얼굴 사진, 지문, 홍채, 필적 등에 관한 정보를 본인 확인이나 인증 등을 위해 다른 사람과 구별되는 특징을 추출하는 기술로 가공한 정보는 민감정보이다.

    • 신용정보법에서는 개인정보보호법에서 규정한 민감정보의 정의를 그대로 사용한다.

인종·민족에 관한 정보는 아직 국내에서 ‘민감정보’로 인식되지는 않은 유형의 정보이다.


이는 유럽연합 개인정보보호법(GDPR)과 균형을 맞추기 위해 도입되었다. 유럽연합 거주민을 대상으로 사업을 하는 많은 기업이, 국외 이전에 관한 별도 절차와 승인 없이 우리나라 기업이 유럽연합 거주민의 개인정보를 국내로 가져오려면 우리나라 개인정보보호 수준이 유럽연합과 동등한 수준이라는 점을 유럽연합이 인정하는 ‘적정성 평가’를 통과해야 했기 때문이다.


다민족·다국가로 형성되고, 인종 학살의 역사가 있어서 GDPR에서는 인종과 민족에 관한 정보가 민감정보로 규정되었고, 2020년 3월 개인정보보호법 개정에 민감정보로 포함되었다.


민감정보 활용 시 유의사항

  • 민감정보는 개인의 사생활을 현저히 침해할 수 있는 정보이므로 가능하면 수집·이용하지 않는 것이 바람직하다. 다만 일반 개인정보의 수집·이용에 대한 동의와는 구분하여 별도로 정보주체의 동의를 받거나 법령에서 허용하면 민감정보를 수집할 수 있다.

  • 사진 인화 서비스를 제공하기 위하여 개인별로 사진을 저장하고 일정 기간 보관한다면, 해당 사진을 이요하여 특정 개인을 알아볼 수 있도록 기술적 수단을 통해 특정 정보를 생성하는 것이 아니라 사진 자체를 수집, 저장, 출력하는 등의 처리를 하므로 민감정보의 처리에 해당하지 않는다.