주민등록번호는 출생신고 시 주민에게 부여하는 고유한 번호다. 국가가 개인을 구분하는 식별번호에 해당하는 동시에 은행 계좌 개설, 휴대폰 개통 등 민간 영역에서도 본인 확인의 핵심 수단으로 사용된다. 이러한 주민등록번호는 그 중요성과 변경이 용이하지 않아 개인정보 중에도 특별한 지위를 가지며, 가장 강하게 보호된다.
일반적으로 개인정보는 정보주체의 동의를 얻으면 수집할 수 있다. 또 사상, 정치적 신념, 건강 등에 대한 정보인 민감정보와 여권번호, 운전면허번호도 다른 일반 개인정보 처리에 대한 동의와 별도로 동의를 받는 경우 수집이 가능하다.
그러나 주민등록번호는 법률, 대통령령 등에서 구체적으로 처리를 요구 또는 허용하거나, 정보주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위하여 명백히 필요하다고 인정되는 경우에만 수집할 수 있다. 이를 위반해 주민등록번호를 처리하는 경우에는 전체 매출액의 100분의 3을 초과하지 않는 범위의 과징금과 5000만 원 이하의 과태료를 부과할 수 있다.
이처럼 주민등록번호는 정보주체의 동의만으로는 수집할 수 없기 때문에, 개인정보보호위원회는 법률 등에 근거해 주민등록번호를 수집하는 경우에 정보주체로부터 수집에 대한 동의를 받을 것이 아니라, 그 근거가 되는 법률 조항을 명시하고 개인정보를 수집한다는 점을 안내하도록 하고 있다. 마찬가지로 개인정보보호위원회는 개인정보처리방침에 주민등록번호 처리 내용을 기술할 때, 구체적인 법률 조항까지 기재할 것을 권고하고 있다.
이처럼 주민등록번호 처리는 극히 제한된 경우에만 가능하므로, 사업자는 법적 근거가 없는 한 실수로라도 주민등록번호가 수집되지 않도록 주의해야 한다. 특히 본인 확인을 위해 주민등록번호가 그대로 노출된 신분증 사본을 수집하는 행위는 피해야 한다. 실제로 개인정보보호위원회는 올해 5월, ‘테무’에 입점한 판매자의 개인정보를 관리하는 Elementary Innovation Pte. Ltd가 한국 내 판매자를 모집하면서, 판매자의 얼굴 사진과 대조하기 위해 주민등록번호가 마스킹 처리되지 않은 신분증을 수집한 행위에 대해 4억 9000만 원의 과징금을 부과했다.
따라서 법적 근거 없이 본인 확인을 위해 신분증 사본을 수집해야 하는 상황이라면, 정보주체에게 주민등록번호 뒷자리를 가려 제출하도록 요구하거나, 시스템적으로 주민등록번호 뒷자리를 자동 마스킹하는 기술을 도입할 필요가 있다.
그렇다면 법적 근거가 없는 사업자는 서비스를 위하여 주민등록번호 수집이 필연적으로 요구되는 경우에 어떻게 해야 할까? 법률상 보유 근거를 가진 제3자에게 주민등록번호를 전달하는 기능을 포함한 사업은 원천적으로 불가능한 것일까? 정답은 ‘가능하다’이다.
대표적으로 여행사는 고객의 여행자보험 가입을 위해 고객으로부터 주민등록번호를 받아 보험사에 전달할 수 있다. 개인정보보호위원회와 한국인터넷진흥원이 2020년 감수·자문한 ‘여행업무 개인정보 처리 가이드’는 여행사가 고객으로부터 주민등록번호를 제공받아, 보험업법 시행령에 근거해 주민등록번호를 수집할 수 있는 보험사에 전달하는 행위가 위법하지 않다고 명시하고 있다. 이때 중요한 것은 여행사가 주민등록번호를 보험사에 전달한 이후에는 즉시 파기해야 한다는 사실이다.
또한 개인정보보호위원회는 세금 환급 서비스와 관련한 최근 심결에서, 이용자의 위임을 받아 환급 관련 정보를 조회하기 위해 이용자로부터 주민등록번호를 받아 홈택스·정부24에 로그인해 정보를 수집하고, 환급 신청서 작성 과정에서 다시 주민등록번호를 받아 단순히 공공기관에 전달하고, 저장하지 않는 경우에는 이용자로부터 주민등록번호를 받아서 제3자에게 전달하는 행위가 위법하지 않다고 판단했다.
이처럼 주민등록번호의 단순 전달이 허용된다고 할 때, 사업자가 주민등록번호를 보유할 수 있는 기간은 얼마일까? 개인정보보호위원회가 이에 대해 공식적인 가이드를 내린 적은 없지만, 법이 주민등록번호 이용을 엄격히 제한하는 취지를 고려할 때 사업자가 제3자에게 주민등록번호를 전달하기 위해 합리적으로 필요한 최소 기간만 보유하는 것이 안전하다.
또한 위원회는 법적 근거가 있는 제3자(예: 정부24, 홈택스)로부터 주민등록번호 입력 없이도 정보를 조회할 수 있는 방법이 있다면 그 방식을 따르도록 개선 권고한 바 있으므로, 가능하다면 주민등록번호 입력을 대체할 방법을 모색하는 것이 바람직하다.
사업자가 법률에 근거해 주민등록번호를 처리할 수 있다면, 그 업무를 제3자에게 위탁하는 것도 가능할까? 개인정보 보호법은 이에 대해 별도의 제한을 두고 있지 않고, 개인정보보호위원회가 2024년 발간한 개인정보 보호법 해석 사례집도 이 점을 명확히 밝히고 있다. 여행사나 세무환급 서비스 앱처럼 정보주체의 위임을 받아 법률에 따라 처리 권한이 있는 제3자(보험사, 공공기관 등)에게 주민등록번호를 전달하는 사업자 또한 해당 업무를 위탁하는 것도 가능하다.
관련기사
- [디엘지 law 인사이트] 노동정책 변화를 대하는 스타트업 자세2025.08.25
- [디엘지 law 인사이트] 벤처투자법 시행령 개정···컴퍼니빌더 허용 시사점2025.08.08
- [디엘지 law 인사이트] 콘텐츠 기업, 생성형AI 활용 지침 마련해야2025.07.28
- "前 정부 부진 씻을까"…이재명 앞세운 국가AI전략위원회, 'AI G3' 도약 시동2025.09.08
마지막으로, 법적 근거에 따라 적법하게 주민등록번호를 수집·보관하는 경우에도 이를 안전한 암호 알고리즘으로 암호화해 저장해야 한다. 이를 위반하면 5000만 원 이하의 과태료가 부과될 수 있음을 유념해야 한다.
개인정보 보호법상 주민등록번호의 특수한 지위 때문에 사업자로서는 주민등록번호를 처리하는 사업의 개시에 큰 부담을 느낀다. 그러나 개인정보 보호법은 사업자의 주민등록번호 처리에 대한 분명한 기준을 마련하고 있어서, 이를 준수한다면 주민등록번호 처리는 더 이상 사업의 걸림돌이 아닐 것이다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.
