코로나-19 출입명부에 작성한 내 개인정보 안전한가요?

코로나-19 출입명부에 작성한 내 개인정보 안전한가요?

 

코로나-19의 확산세가 쉽게 누그러지지 않고 그 기간이 장기화 되는 추세를 보이고 있습니다. 처음에는 어색했던 출입명부 작성도 2년이 되어가는 이제는 당연한 것이 되고 있는데요. 한번쯤 명부를 작성하다 내 개인정보는 과연 잘 처리되고 있을까 의문을 가져본적이 있을거라 생각합니다.

 

시국이 시국인 만큼 외출을 자제하고 있으나 꼭 나가야만 하는 경우가 생기곤 합니다. 여느때와 같이 가게에 방문하고 출입시간, 지역, 전화번호... 출입명부를 작성하다가 이내 내 전화번호가 불특정 다수에게 노출되는 상황을 인지하게 되고 맙니다. 아무래도 내 개인정보가 잘 처리가 되고 있는지 궁금하기도 하고, 악용되지는 않을까 불안하기도 합니다. 실제로 방문기록 작성 이후 스팸전화가 늘었다는 사례도 있으니 말입니다. 

 

 

 

 

 

 

수기 출입명부 작성 시 전화번호를 적는 것이 찜찜하신 분들은 안심번호를 휴대전화번호 대신 적는 방법이 있습니다.

출입명부 작성 방법이 무엇이 있는지 궁금하거나, 안심번호가 무엇인지 궁금하신 분들은 아래글도 잠깐 읽어보시면 좋을 것 같습니다.

 

2021.09.03 - [일상/Cookies] - 코로나19 방문기록(명부) 쉽게 작성하는 3가지 방법

코로나19 방문기록(명부) 쉽게 작성하는 3가지 방법

 

 

 

특히 최근에는 '전자출입명부'라고 해서 기존의 수기 방식의 단점을 보완한 방식을 많이 사용하는데요. 우리가 흔히 사용하는 QR코드 방식과 안심콜 방식이 있습니다. 전자 방식으로의 변화가 있다보니 여기서도 우리의 개인정보는 잘 처리가 되고 있는걸까 의문이 드는데요. 대체 우리의 개인정보가 어떻게 수집되고 처리되는지 한 번 알아보았습니다. 

 

 

 

보건복지부 전자출입명부 안내서 재구성 by 파프양

 

 

우리가 가게에 들어가면 자연스럽게 카카오나 네이버 등 우리가 즐겨 쓰는 어플리케이션을 열고 QR코드화면은 켠 다음 방문인증을 합니다. 그렇다면 그 이후에 우리 정보는 어떻게 돌아갈까요? 

 

위의 그림은 QR코드 발급부터 질병관리본부로 개인정보가 가는 과정을 그림으로 표현한 것입니다. 시설관리자는 출입관리를 해야하는 가게 등 업장을 말합니다. 가게에서 행정안전부에서 개발한 전자출입명부를 앱스토어 및 구글스토어에서 다운로드 받아 가입한 후 시설 정보를 등록합니다.

 

우리는 네이버, 카카오 등 주로 쓰는 어플리케이션을 열고 QR코드를 발급받아 인증받습니다. 그럼 우리의 정보는 전자출입명부(KI-PASS)앱을 통해 사회보장정보원의 관리서버(DB)로 시설정보와 출입일시 등 개인정보를 제외한 내용들이 전송됩니다. 개인정보는 여기에 포함되지 않습니다.

 

질병관리본부에서 역학조사가 필요하게 되었을 경우 서버에 개인정보를 요청하게 됩니다. 그러면 이때 사회보장정보원(SSIS)에서의 시설방문기록 정보를 가져오고, QR코드 발급회사(네이버, 카카오 등)에서 QR코드 발급자의 개인정보를 가져온 뒤 두 정보를 조합하게 됩니다. 이렇게 조합한 정보는 개인을 식별할 수 있는 개인정보가 됩니다. 이를 활용해 질병관리본부에서는 역학조사를 실시할 수 있게 됩니다. 

 

그러니까 평소에는 개인정보를 정부에서 가지고 있지 않다가 필요시 조합해 사용하고, 더 이상 필요하지 않은 개인정보는 4주 이후 파기하게 됩니다. 

 

 

 

 

 

당연히 이러한 개인정보 수집은 법령에 근거하여 진행되는데요. 이용자의 정보제공 동의는 우리가 QR코드를 발급받을 때 개인정보 이용약관에 동의를 하며 처리됩니다. 이때의 관련 법령은 시설 출입시 동의에 따른 개인정보 수집 ․ 이용 ․ 제3자 제공은 「개인정보보호법」 제15조 및 제17조, 「위치정보의보호및이용등에관한법률 」(이하 ‘위치정보보호법’) 제15조에 근거하여 정보를 수집하게 됩니다. 

 

보건복지부장관은 「감염병예방및관리에관한법률」(이하 ‘감염병예방법’) 제76조의2제1항에 근거하여 감염병 예방 및 감염 전파의 차단을 위하여 필요한 경우 전자출입명부로 수집된 개인정보를 제공받을 수 있습니다.

 

해당 법령의 조문은 법령센터에 들어가서 전문을 보셔도 되고, 아래에 해당 조문만 발췌해 두었으니 궁금하시면 아래 '더보기'를 열어보시면 되겠습니다. 

 

 

<관련법령 상세>

개인정보보호법

제15조(개인정보의 수집ㆍ이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.  <신설 2020. 2. 4.>

제17조(개인정보의 제공) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다.  <개정 2020. 2. 4.>
1. 정보주체의 동의를 받은 경우
2. 제15조제1항제2호ㆍ제3호ㆍ제5호 및 제39조의3제2항제2호ㆍ제3호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
③ 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.
④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다.  <신설 2020. 2. 4.>



위치정보의보호및이용등에관한법률

제15조(위치정보의 수집 등의 금지) ①누구든지 개인위치정보주체의 동의를 받지 아니하고 해당 개인위치정보를 수집ㆍ이용 또는 제공하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.  <개정 2012. 5. 14., 2018. 4. 17.>
1. 제29조제1항에 따른 긴급구조기관의 긴급구조요청 또는 같은 조 제7항에 따른 경보발송요청이 있는 경우
2. 제29조제2항에 따른 경찰관서의 요청이 있는 경우
3. 다른 법률에 특별한 규정이 있는 경우
②누구든지 타인의 정보통신기기를 복제하거나 정보를 도용하는 등의 방법으로 개인위치정보사업자 및 위치기반서비스사업자(이하 “개인위치정보사업자등”이라 한다)를 속여 타인의 개인위치정보를 제공받아서는 아니된다.  <개정 2018. 4. 17.>
③위치정보를 수집할 수 있는 장치가 붙여진 물건을 판매하거나 대여ㆍ양도하는 자는 위치정보 수집장치가 붙여진 사실을 구매하거나 대여ㆍ양도받는 자에게 알려야 한다.  <개정 2018. 4. 17., 2020. 6. 9.>