주민등록번호는 정보주체의 동의를 받아 수집할 수 있나요?

41 조회수
주민등록번호 동의 수집 가능 여부에 대한 답은 아니오입니다. 정보주체의 동의만으로는 수집할 수 없습니다. 「개인정보보호법」 제24조의2는 2014년 8월부터 동의가 있더라도 법령에 구체적 근거가 있는 경우에만 예외적으로 허용합니다. 법적 근거 없이 수집하면 최대 5천만 원 이하 과태료가 부과되며, 관련 매출액의 100분의 3 범위 과징금이 추가될 수 있습니다.
의견 0 좋아요
이런 질문도 있으신가요?더 많이

주민등록번호 동의 수집 가능 여부? 동의만으로 불가

주민등록번호 동의 수집 가능 여부는 단순한 동의만으로 해결되지 않는 중요한 법적 쟁점입니다. 잘못 이해하고 수집하면 상당한 금전적 제재로 이어집니다. 수집이 허용되는 범위와 요건을 정확히 확인해야 불필요한 법적 책임을 피할 수 있습니다.

정보주체의 동의만으로 주민등록번호를 수집할 수 있나요?

결론부터 말씀드리면, 정보주체의 동의만으로는 주민등록번호를 수집할 수 없습니다. 개인정보보호법은 주민등록번호를 고유식별정보로 분류하여 일반 개인정보보다 훨씬 엄격하게 보호하고 있습니다. 2014년 8월부터 시행된 개인정보보호법 개정안(제24조의2)에 따라, 정보주체의 동의를 받더라도 법령에 구체적인 근거가 있는 경우에만 예외적으로 수집이 허용됩니다. 즉, [1] 동의는 충분조건이 아니라 필요조건일 뿐이며, 법적 근거 없이 동의만 받아 수집하는 행위는 명백한 법 위반입니다(citation:2)(citation:3)(citation:7).

왜 동의만으로는 부족할까요? '주민등록번호 수집 법정주의'

이는 주민등록번호 수집 법정주의라는 원칙 때문입니다. 주민등록번호는 변경이 어렵고, 한 번 유출되면 평생 도용의 위험에 노출되는 개인 식별의 최종 키(key)입니다. 과거에는 무분별하게 수집되다가 대규모 유출 사고로 이어지는 경우가 많았습니다. 실제로 2013년 카드 3사에서 1억여 건의 개인정보가 유출되는 사고가 발생하면서 사회적 문제가 되었고(citation:9), 이를 계기로 법이 대폭 강화되었습니다. 따라서 [2] 법은 개인의 동의 여부와 관계없이, 국가가 법률로 허용한 경우에만 수집·이용할 수 있도록 원칙을 세웠습니다(citation:4)(citation:9).

주민등록번호 수집이 허용되는 '유일한' 예외 상황

그렇다면 구체적으로 어떤 경우에 주민등록번호를 수집할 수 있을까요? 개인정보보호법 제24조의2는 단 두 가지 경우만을 허용하고 있습니다. 이 외의 목적으로 수집하는 것은 모두 불법입니다.

법령에서 구체적으로 처리를 요구하거나 허용한 경우

가장 대표적인 경우로, 법률, 대통령령, 국회규칙, 대법원규칙, 헌법재판소규칙, 중앙선거관리위원회규칙, 감사원규칙에서 주민등록번호의 처리를 명시적으로 규정하고 있어야 합니다(citation:9). 법령의 조항에 주민등록번호라는 단어가 직접 포함되어 있어야 합니다. 몇 가지 실무에서 자주 접하는 사례를 들어보겠습니다:

근로자 인사·급여 관리: 근로기준법 제48조(임금대장) 및 소득세법 제27조, 제164조에 따라 임금대장 작성과 원천징수, 지급명세서 제출을 위해 수집이 가능합니다(citation:2)(citation:8)(citation:9). 세금계산서 발행: 부가가치세법 제16조 및 같은 법 시행령에 따라 사업자가 아닌 개인에게 세금계산서를 발행할 때 수집할 수 있습니다(citation:2)(citation:9). 금융거래: 금융실명거래 및 비밀보장에 관한 법률(금융실명법)에 따라 금융회사가 실명 확인을 위해 수집할 수 있습니다(citation:2)(citation:3). 보험 가입 및 계약: 보험업법 시행령에 따라 보험계약 체결 및 유지를 위해 수집이 허용됩니다(citation:9). 채용 관련 범죄경력 조회: 아동·청소년의 성보호에 관한 법률에 따라 일정 기관(학교, 학원, 어린이집 등)은 취업 제한 여부 확인을 위해 성범죄 경력 조회 시 주민등록번호를 처리할 수 있습니다(citation:9).

생명, 신체, 재산의 이익을 위해 급박하게 필요한 경우

두 번째 예외는 매우 제한적인 긴급 상황입니다. 정보주체나 제3자의 생명, 신체, 재산의 이익을 위해 명백히 필요하고, 그 상황이 급박하여 사전 동의를 받을 시간적 여유가 없는 경우입니다. 예를 들어, 의식이 없는 교통사고 환자를 병원에서 치료하기 위해 신원을 확인해야 하거나, 재난 현장에서 피해자를 구조할 때 신원 파악이 필요한 경우 등이 이에 해당합니다(citation:9). 평범한 비즈니스 상황에서는 이 조항이 적용되기 어렵습니다.

법적 근거 없이 수집하면 어떤 불이익이 있을까요?

법적 근거 없이 주민등록번호를 수집하는 것은 단순한 실수로 넘어갈 수 있는 문제가 아닙니다. 상당한 수준의 재정적 제재가 따릅니다. 위반 시 최대 5천만 원 이하의 과태료가 부과될 수 있으며(citation:1)(citation:2)(citation:9), 경우에 따라서는 위반 행위와 관련한 매출액의 100분의 3을 초과하지 않는 범위에서 과징금이 부과될 수 있습니다(citation:6). 예를 들어, 연 매출 100억 원인 기업이라면 최대 3억 원의 과징금을 물을 수 있다는 의미입니다.

또한, 적법하게 수집했더라도 안전하게 보관해야 할 의무가 있습니다. 안전한 암호 알고리즘으로 암호화하지 않아 유출 사고가 발생하면, 매출액의 3% 이하(매출액 산정이 곤란한 경우 20억 원 이하)의 과징금이 부과될 수 있습니다(citation:7). 이는 주민등록번호가 그만큼 민감하고 중요하게 다뤄져야 함을 방증합니다.

실무자를 위한 체크리스트: 주민등록번호, 이렇게 하면 안전합니다

법적 근거를 확인했다면, 이제는 어떻게 처리해야 하는지가 중요합니다. 몇 가지 핵심 원칙을 기억해두세요.

STEP 1: 수집 전, 반드시 법적 근거를 확인하라

주민등록번호를 요구하기 전에 해당 업무를 규정하는 법령에 주민등록번호 처리 근거가 있는지부터 확인해야 합니다. 예를 들어, 회원가입 단계에서 미래에 지급할 수 있는 기타소득 신고를 위해 미리 주민등록번호를 받아두는 것은 불법입니다. 기타소득이 실제로 발생하여 신고해야 하는 그 시점에 수집해야 합니다(citation:9).

STEP 2: 수집 시, '동의'보다는 '법적 근거 안내'를 명확히 하라

개인정보보호위원회는 법적 근거에 따라 수집하는 경우, 정보주체의 동의를 받는 대신 그 근거가 되는 법률 조항을 명시하고 주민등록번호를 수집한다는 점을 안내하도록 권고하고 있습니다(citation:6). 개인정보처리방침에도 구체적인 법률 조항을 기재하는 것이 좋습니다.

STEP 3: 보관 시, 암호화는 필수다

적법하게 수집한 주민등록번호는 반드시 안전한 암호 알고리즘으로 암호화하여 저장해야 합니다. 이는 개인정보보호법상 안전성 확보 조치의 핵심입니다(citation:1)(citation:9).

STEP 4: 목적 달성 후, 즉시 파기하라

수집 목적을 달성했다면 주민등록번호는 지체 없이 파기해야 합니다. 예를 들어, 여행사가 고객의 여행자보험 가입을 위해 주민등록번호를 받아 보험사에 전달했다면, 전달 후에는 즉시 파기해야 합니다(citation:6). 나중에 또 쓸 일이 있겠지 하는 생각으로 보관해서는 안 됩니다.

Q&A: 현장에서 자주 묻는 질문들

법적 근거 없이 주민등록번호를 수집해도 되는지에 대한 혼란, 위반 시 제재에 대한 불안감 등 실제 현장에서 궁금해할 수 있는 점들을 정리했습니다.

법적 근거가 없는 사업자라면, 주민등록번호를 절대 받을 수 없나요?

꼭 그렇지는 않습니다. 여행사가 고객을 위해 보험사에 보험 가입을 대행해주는 경우처럼, 법적 근거를 가진 제3자(보험사)에게 전달하기 위해 단순 전달자 역할을 하는 것은 허용될 수 있습니다(citation:6). 단, 이 경우에도 정보주체의 위임을 받아야 하며, 전달 후에는 즉시 파기해야 합니다. 마치 택배 기사님이 물건을 전달하기 위해 잠시 소지하는 것과 같다고 생각하면 이해하기 쉽습니다. 소지하는 것 자체는 문제가 되지 않지만, 보관하는 것은 안 됩니다.

지원자의 이력서나 채용 원서에 주민등록번호를 받아도 되나요?

안 됩니다. 채용 단계에서는 주민등록번호를 수집할 법적 근거가 없습니다(citation:3)(citation:8). 최종 합격 후 근로계약을 체결하고, 4대 보험 가입이나 급여 지급을 위해 소득세법, 근로기준법 등 법적 근거가 발생한 시점에 수집해야 합니다(citation:2).

주민등록번호에 담긴 각 숫자들이 무엇을 의미하는지 알고 싶다면 주민등록번호 숫자의 의미는 무엇인가요? 글에서 확인하실 수 있습니다.

주민등록번호 수집, '법적 근거' vs '단순 동의' 비교

주민등록번호 수집에 있어 '법적 근거'와 '단순 동의'는 법적 효력에서 확연한 차이를 보입니다. 아래 표를 통해 그 차이를 명확히 이해할 수 있습니다.

법적 근거에 따른 수집 (적법)

• 법률, 시행령 등에서 구체적으로 주민등록번호 처리를 '요구' 또는 '허용'해야 함

• 별도의 동의는 필수 요건이 아님 (단, 법적 근거 안내는 필요)

• 근로기준법에 따른 임금대장 작성, 부가가치세법에 따른 세금계산서 발행

단순 동의만으로 수집 (위법)

• 법적 근거 없이 개인정보처리방침 동의 또는 회원가입 약관 동의만으로 수집

• 정보주체의 명시적 동의를 받았더라도 법 위반에 해당

• 법적 근거 없이 커뮤니티 사이트 가입 시 주민등록번호를 필수로 입력받는 행위

가장 큰 차이는 '동의'의 효력에 있습니다. 일반 개인정보와 달리 주민등록번호는 정보주체가 동의를 했다고 해서 수집할 수 있는 정보가 아닙니다. 법이 허용하는 문이 열려있어야 들어갈 수 있으며, 동의는 그 문을 여는 열쇠가 아니라, 문 안에 들어간 후 지켜야 할 또 다른 예절(동의 절차)에 가깝습니다. 즉, 법적 근거라는 '문'이 먼저 존재해야 하며, 그 후에야 비로소 동의 절차를 고민할 수 있습니다.

사례: 스타트업 '함께달리기'의 주민등록번호 처리 실수와 교훈

마라톤 대회 중계 플랫폼을 운영하는 스타트업 '함께달리기'의 마케터 김대리. 회원 가입률을 높이기 위해 참가자 이벤트를 기획했다. 1등에게는 고급 러닝화를 경품으로 제공하기로 하고, 당첨자에게는 제세공과금 신고를 위해 주민등록번호를 받아야 한다고 생각했다. 김대리는 '그럼 회원가입 단계에서 미리 받아두는 게 편하겠네?'라고 생각했다.

다행히도 김대리는 법무팀에 먼저 문의했다. 법무팀의 대답은 단호했다. "절대 안 됩니다. 아직 당첨되지도 않은 회원들의 주민등록번호를 미리 받아두는 건 법적 근거가 없어요. 필요할 때, 즉 당첨자에게만 그 시점에 받아야 합니다." 김대리는 아차 싶었다. 생각해보니, 실제 경품에 당첨되지 않은 수만 명의 회원 정보를 수집하는 건 명백한 '필요 이상의 수집'이었다.

함께달리기는 정책을 수정했다. 회원가입 시 주민등록번호를 요구하지 않기로 했다. 그리고 이벤트 당첨자에게만 별도로 연락하여 소득세법에 따른 원천징수 의무를 안내하고, 당첨자에 한해 주민등록번호를 수집하기 시작했다. 수집 시에는 소득세법 제164조를 근거로 고지했고, 수집된 정보는 세금 신고 후 즉시 파기했다.

이 사건 이후 함께달리기는 개인정보 보호에 더욱 철저해졌다. 김대리는 "귀찮더라도 원칙을 지키는 게 결국 회사 리스크를 줄이는 길"이라며 "고객에게 '왜 지금 주민번호를 받나요?'라는 질문을 받았을 때, 명확한 법적 근거를 들어 설명할 수 있게 됐다"고 소감을 밝혔다.

가져가야 할 지식

동의만으로는 부족하다, 법적 근거가 먼저다

주민등록번호는 정보주체의 동의보다 법령상 근거가 우선합니다. 법에서 허용하지 않으면 동의를 받아도 수집할 수 없습니다.

수집 가능한 두 가지 예외: '법령 근거' 또는 '긴급 상황'

수집은 ① 법률 등에서 구체적으로 처리를 요구·허용하거나, ② 정보주체나 타인의 생명·신체·재산을 위해 급박하게 필요한 경우에만 가능합니다.

위반 시, 최대 5천만 원 과태료 및 매출의 3% 과징금

법적 근거 없는 수집은 최대 5천만 원의 과태료와 매출의 3% 이내 과징금이라는 무거운 제재를 받을 수 있습니다.

암호화 보관과 즉시 파기는 필수 의무

적법하게 수집했더라도 암호화하지 않으면 유출 시 5억 원 과징금이 부과됩니다. 목적 달성 후에는 즉시 파기해야 합니다.

더 알아야 할 것

법적 근거 없이 주민등록번호를 수집해도 되는지에 대한 혼란, 어떤 경우가 가장 흔한가요?

가장 흔한 실수는 '회원가입'이나 '마일리지 적립' 등 본인 확인 목적으로 주민등록번호를 받는 경우입니다. 예전에는 관행적으로 이뤄졌지만, 지금은 법적 근거가 없는 한 금지됩니다. 예를 들어, 동네 세탁소에서 포인트 적립을 위해 주민번호를 요구한다면 이는 위법입니다. 생년월일이나 휴대폰 번호, 마이핀(My-PIN) 같은 대체 수단을 사용해야 합니다(citation:7)(citation:10).

급박한 상황에서 주민등록번호 수집이 허용되는 '급박함'의 기준이 모호해요.

'급박함'은 매우 엄격하게 해석됩니다. '나중에 민원이 생길까 봐 미리 확인해두는 것'은 급박한 상황이 아닙니다. 행정안전부의 해석에 따르면, 정보주체가 의사표시를 할 수 없는 응급 상황(예: 의식 불명)이거나, 태풍·홍수 등 재난 상황에서 구조 활동을 위해 즉시 신원 확인이 필요한 경우로 한정됩니다(citation:9). 시간적 여유가 조금이라도 있거나 다른 방법이 있다면 이 조항은 적용될 수 없습니다.

이미 수집한 주민등록번호를 안전하게 보관 및 파기하는 방법이 궁금해요.

우선, 저장 시에는 반드시 안전한 암호 알고리즘으로 암호화해야 합니다. 비밀번호는 단방향 암호화(해시)를 주로 사용하지만, 주민등록번호는 업무 처리를 위해 복호화가 필요할 수 있으므로 양방향 암호화를 적용합니다. 파기는 목적 달성 후 지체 없이 해야 하며, 복구할 수 없는 방법으로 완전히 삭제해야 합니다. 예를 들어, 전자적 파일은 복원이 불가능하도록 영구 삭제하고, 종이 문서는 분쇄기를 이용해 파쇄하는 것이 적절합니다.

참고 문서

  • [1] Korea - 2014년 8월부터 시행된 개인정보보호법 개정안(제24조의2)에 따라, 정보주체의 동의를 받더라도 법령에 구체적인 근거가 있는 경우에만 예외적으로 수집이 허용됩니다.
  • [2] Yna - 실제로 2013년 카드 3사에서 1억여 건의 개인정보가 유출되는 사고가 발생하면서 사회적 문제가 되었고, 이를 계기로 법이 대폭 강화되었습니다.
가장 좋아하는
가장 많이 본
최신 질문

답변에 대한 의견:

의견을 주셔서 감사합니다! 여러분의 의견은 향후 답변을 개선하는 데 매우 중요합니다.

이유를 알려주세요: