그 동안 민간의 CCTV에 관한 별도의 규정이 많지 않아 많은 분들께서 큰 신경을 쓰지 않고 판매, 설치 또는 운영을 해왔지만 

올해 9월 30일부터는 매우매우 중요한 법률이 시행되므로, 본 내용은 꼭 숙지해두시는 것이 좋습니다.

이미 올해 3월 29일에 국회를 통과한 법률이지만, 시행이 얼마남지 않은 지금까지도 잘 모르고 계신 분들이 많은 것 같아서 정리합니다.

본 법률에는 여러가지 내용이 있지만, CCTV관련 내용만 간추려서 올려드립니다.  

내용이 길다고 그냥 지나치지 마시고 반드시 숙지해두시는 것이 좋습니다.

꼭 차근차근 읽어보시고, 가능하시다면 본 법률의 전문을 읽어보시길 추천합니다.

또한, 참고사항으로 작성하여 드린 내용은 저의 개인적인 사견이 포함되어 있을 수 있으며, 본 내용의 법률적 해석이 아닌 단순 참고사항입니다.

개인정보 보호법 법률 제10465호 신규제정 2011. 03. 29. 

[참고] : 제정 후 6개월 이후에 시행되므로, 시행 시점은 2011년 9월 30일부터입니다.

제1조 (목적)

이 법은 개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 한다.

제2조 (정의)

이 법에서 사용하는 용어의 뜻은 다음과 같다.
1. “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
2. “처리”란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
6. “공공기관”이란 다음 각 목의 기관을 말한다.
가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체
나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관
7. “영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.

제25조 (영상정보처리기기의 설치.운영 제한)

① 누구든지 다음 각 호의 경우를 제외하고는 공개된 장소에 영상정보처리기기를 설치·운영하여서는 아니 된다.
1. 법령에서 구체적으로 허용하고 있는 경우
2. 범죄의 예방 및 수사를 위하여 필요한 경우
3. 시설안전 및 화재 예방을 위하여 필요한 경우
4. 교통단속을 위하여 필요한 경우
5. 교통정보의 수집·분석 및 제공을 위하여 필요한 경우
② 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실(發汗室), 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치·운영하여서는 아니 된다. 다만, 교도소, 정신보건 시설 등 법령에 근거하여 사람을 구금하거나 보호하는 시설로서 대통령령으로 정하는 시설에 대하여는 그러하지 아니하다.
③ 제1항 각 호에 따라 영상정보처리기기를 설치·운영하려는 공공기관의 장과 제2항 단서에 따라 영상정보처리기기를 설치·운영하려는 자는 공청회·설명회의 개최 등 대통령령으로 정하는 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다.
④ 제1항 각 호에 따라 영상정보처리기기를 설치·운영하는 자(이하 “영상정보처리기기운영자”라 한다)는 정보주체가 쉽게 인식할 수 있도록 대통령령으로 정하는 바에 따라 안내판 설치 등 필요한 조치를 하여야 한다. 다만, 대통령령으로 정하는 시설에 대하여는 그러하지 아니하다.
⑤ 영상정보처리기기운영자는 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비춰서는 아니 되며, 녹음기능은 사용할 수 없다.

[참고] 

"설치 목적과 다른 목적으로 카메라를 임의 조작하거나, 다른 곳을 비춰서는 아니되며" 이 부분은 범죄예방의 목적으로 설치한 카메라를 종업원 근무태도 관리용 등으로 사용하지 못하도록 하는 문항으로 이해하시면 될 듯 합니다.

"녹음기능은 사용할 수 없다." 기존에는 통신비밀보호법을 적용해야 했고, 또한 적용에도 모호한 부분이 있던 부분입니다. 통신비밀 보호법에서는 "타인간의 대화"라고 규정하고 있기 때문에 사장이 있을때는 적용이 안되고 없을땐 적용되고 등등 좀 모호한 부분이 있었으나, 이번 법률의 제정으로 앞으로 CCTV에 녹음기능 사용은 확실하게 불법임을 인지하셔야 합니다.

그렇다면... 녹음은 사용하지 않고 청취만 한다면? 

그 부분은 본 법률이 아니라 통신비밀보호법의 적용을 받습니다. 통신비밀보호법 제3조 및 14조에서는 타인간의 대화를 녹음, 청취하거나, 전자/기계적 수단을 이용하여 청취할 수 없다."라고 규정하고 있습니다. 그러니 마이크는 아예 쓰지를 마시기 바랍니다.

⑥ 영상정보처리기기운영자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 제29조에 따라 안전성 확보에 필요한 조치를 하여야 한다.

[참고] 

위 6항은 이렇게 보시면 되겠습니다. DVR 및 네트워크(IP)카메라 등은 접속을 위한 ID와 패스워드 설정등 여러가지 보안 기능이 있습니다. 그런데 대부분의 일반 이용자들은 설치업체에서 설치할때의 기본 패스워드를 그대로 사용하는 경우가 너무나도 많습니다. 이렇게 허술하게 운영되지 않도록 사용자에게도 사용자 ID와 패스워드 관리에 대한 중요함을 반드시 인식 시켜주어야 하며, 사용자도 무신경하게 대처했다가는 아래에 나오는 벌칙(징역,벌금,과태료 처분 등)을 받을 수 있습니다.

이와는 별도로 아주 극소수의 업체를 제외하고는 접속 ID와 패스워드가 암호화되지 않고 장비 또는 DDNS서버 등으로 전송되기 때문에 사실상 해킹에 무방비로 노출되어 있는 점도 있습니다. 제조사에서 더 많은 신경을 써야하는 부분입니다. 최소한 SSL(Secure Socket Layer)을 적용하여 전송되는 정보의 암호화에도 신경을 써야합니다.

⑦ 영상정보처리기기운영자는 대통령령으로 정하는 바에 따라 영상정보처리기기 운영·관리 방침을 마련하여야 한다. 이 경우 제30조에 따른 개인정보 처리방침을 정하지 아니할 수 있다.

[참고]

우리가 흔히 인터넷 쇼핑몰을 보면 공정거래위원회 표준약관 사용... 이라는 문구를 보셨을겁니다. 이처럼 관련내용을 작성하여, 고객에게 주는 것이 좋다고 봅니다. 일반 소매점 또는 식당을 하시는 분게서 직접 만드시기는 조금 어려운 부분이 있기에, 판매를 하는 업체에서 오히려 관련 내용을 작성하여 계약서, 설명서 등 관련 내용을 드릴때 함께 드리도록 하는 방향이 좋다고 생각됩니다.

⑧ 영상정보처리기기운영자는 영상정보처리기기의 설치·운영에 관한 사무를 위탁할 수 있다.다만, 공공기관이 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우에는 대통령령으로 정하는 절차 및 요건에 따라야 한다.

[참고]

사설보안업체에 위탁을 하는 경우라고 이해하시면 됩니다. 그것이 아니더라도, 아파트의 경우 아파트 관리원에게 또는 빌딩의 경우 빌딩 관리원(관리용역업체 등)에게 위탁하여 관리할 수 있다는 내용입니다.

제29조 (안전조치의무)

개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다

[참고]

이 부분은 조금 어려운 부분입니다. 이 법률은 9월 30일부터 설치되는 CCTV 설치장소 및 운영자가 아니라 기존에 운영되고 있는 CCTV에 대해서도 적용되는데, 보안에 취약한 기존 DVR들을 어떻게 해야할지 조금 고민입니다. 사용자의 인식전환과 더불어 업계에서는 펌웨어 업데이트 등 여러가지 선제적인 처리로 고객에게 문제가 생기지 않도록 노력하여야 할 부분입니다.

제39조 (손해배상책임)

① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

[참고] 만약 개인정보(CCTV 영상)가 유출된 경우에는 해당 업주에게 손해배상을 청구할 수 있습니다. 그러니, 최소한의 방어적 조치로 ID 패스워드를 잘 관리하시도록 당부하시고, 장치의 기본 패스워드는 이용하지 않도록 하여야 합니다.

② 개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리하지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상책임을 감경받을 수 있다.

[참고]

위 1항의 조항으로 손해배상청구를 요구받은 경우에 CCTV설치 운영자가 여러가지 방면으로 상당한 노력을 했다는 것을 인정받으면 그 책임을 감경받을 수 있다..이지 그 책임을 면한다는 아닙니다. 흔히 말하는 정상참작이 될 뿐 그 책임이 없어지는 것은 아닙니다.

제72조 (벌칙)

다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다.
1. 제25조제5항을 위반하여 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비추는 자 또는 녹음기능을 사용한 자
2. 제59조제1호를 위반하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자

3. 제60조를 위반하여 직무상 알게 된 비밀을 누설하거나 직무상 목적 외에 이용한 자

제73조 (벌칙)

다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 1천만원 이하의 벌금에 처한다.
1. 제24조제3항, 제25조제6항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·변조 또는 훼손당한 자
2. 제36조제2항을 위반하여 정정·삭제 등 필요한 조치를 하지 아니하고 개인정보를 계속 이용하거나 이를 제3자에게 제공한 자
3. 제37조제2항을 위반하여 개인정보의 처리를 정지하지 아니하고 계속 이용하거나 제3자에게 제공한 자

제74조 (양벌규정)

① 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제70조에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인을 7천만원 이하의 벌금에 처한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다.
② 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제71조 부터 제73조까지의 어느 하나에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과(科)한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다.

[참고]

위 25조 5항의 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비추는 자 또는 녹음기능을 사용한 자가... 흔히 사장이 아니라 직원이 한 경우에도 업주 또는 법인도 함게 처벌을 받는다는 의미입니다. 그러나 여기에는 단서 조항이 있습니다. "법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다." 라는 조항이 있는데 흔히 우리가 직장에서 성희롱 예방교육 또는 안전교육을 의무적으로 받는 것과 유사하다고 보시면 됩니다. 당연히 말로만 해서는 안되겠죠? 교육을 실시하고 교육을 받았다는 근거자료(서류)를 반드시 남겨두어야 합니다. 

즉, "우리회사 또는 매장에 CCTV가 설치되어 있고, 설치목적은 이러이러 하니 어떠한 경우에도 정보유출이 되서는 아니되며, 카메라의 방향을 임의 조작하거나 녹음기능을 이용하여서는 안된다."라고 하는 교육을 해야한다는 겁니다. 그리고 추후라도 문제가 없도록 교육을 했다는 서류를 남겨야 한다는 겁니다. 그래야만 만일의 사고가 발생한 경우에 해당업주 또는 법인이 함께 처벌받는 일이 없습니다.

제75조 (과태료)

① 다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다.

1. 제15조제1항을 위반하여 개인정보를 수집한 자

2. 제22조제5항을 위반하여 법정대리인의 동의를 받지 아니한 자

3. 제25조제2항을 위반하여 영상정보처리기기를 설치·운영한 자

[참고]

개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치 운영한자. 즉, 목욕탕/화장실/사우나/탈의실 등 지극히 사적인 공간을 촬영해서는 안된다는 것입니다. (제25조 제2항 보려고 다시 화면 올리시려면 귀찮으죠? ^^ 그래서 다시 적어드렸습니다.)

② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다.

1. 제15조제2항, 제17조제2항, 제18조제3항 또는 제26조제3항을 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자

2. 제16조제2항 또는 제22조제4항을 위반하여 재화 또는 서비스의 제공을 거부한 자

3. 제20조제1항을 위반하여 정보주체에게 같은 항 각 호의 사실을 알리지 아니한 자

4. 제21조제1항을 위반하여 개인정보를 파기하지 아니한 자

5. 제24조제2항을 위반하여 정보주체가 주민등록번호를 사용하지 아니할 수 있는 방법을 제공하지 아니한 자 [[시행일 2012.3.30]]

6. 제24조제3항, 제25조제6항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니한 자

[참고]

ID 패스워드 기본값으로 사용하거나, 기타 보안을 위한 조치를 하지 않은 경우에는 처벌을 받는다는 내용입니다. 그러니 ID 패스워드 관리 철저히해야 합니다.

개인사용자는 1234, 0000 등 이런 패스워드는 사용하지 마시기 바라며, 제조사 등에서는 사용자가 암호복잡성을 어느정도 만족해야만 패스워드로 등록할 수 있는 기능 및 원격모니터링을 위한 네트워크 접속 시에는 ID와 패스워드가 암호화되어 전송되도록 보완할 필요가 있다고 생각합니다.

7. 제25조제1항을 위반하여 영상정보처리기기를 설치·운영한 자

[참고]

제25조 제1항 누구든지 다음 각호의 경우를 제외하고는 공개된 장소에 영상정보처리기기를 설치.운영하여서는 아니된다.

1. 법령에서 구체적으로 허용하고 있는 경우
2. 범죄의 예방 및 수사를 위하여 필요한 경우
3. 시설안전 및 화재 예방을 위하여 필요한 경우
4. 교통단속을 위하여 필요한 경우
5. 교통정보의 수집·분석 및 제공을 위하여 필요한 경우

위 내용의 공개된 장소가 명확히 표현되어 있지는 않지만, 내용상 실외의 거리,도로 등을 지칭하는 것으로 보입니다. 간혹 제조사에서 카메라 또는 데모제품을 홍보하기 위하여 회사밖 거리를 촬영하여 제품의 성능을 홍보하는 경우가 있는데, 이런 경우는 앞으로 삼가하여야 합니다.