제1장 총칙
제1조(설치목적)
이 지침은 영상정보처리기기 설치・운영 및 개인영상정보의 처리에 대하여 로템에스알에스(주)가 준수해야 할 기준 및 책무 등에 관한 세부적인 사항을 정함으로써 공공업무의 원활한 업무수행과 정보 주체인 이용 승객의 권익 보호에 이바지함을 목적으로 한다.
제2조(용어의 정의)
- ①“영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 일체의 장치로써 개인정보보호법 시행령 제3조에 따른 폐쇄회로 텔레비전 및 네트워크 카메라를 말한다.
- ②“폐쇄회로 텔레비전”(Closed Circuit Television, 이하 CCTV라 한다)이라 함은 일정한 공간에 지속적으로 설치된 카메라를 통하여 영상 등을 촬영하거나 촬영한 영상정보를 유무선 폐쇄회로 등의 전송로를 통하여 특정 장소에 전송하는 장치
- ③“네트워크 카메라”라 함은 일정한 공간에 지속적으로 설치된 기기로 촬영한 영상정보를 그 기기를 설치·관리하는 자가 유·무선 인터넷을 통하여 어느 곳에서나 수집·저장 등의 처리를 할 수 있도록 하는 장치를 말한다.
- ④“영상녹화장치”란 아날로그(디지털) 카메라로 입력된 영상 데이터를 디지털 이미지로 변환하여 저장하는 장치(DVR : Digital Video Recorder)나 네트워크상 카메라 등을 통해 디지털 영상을 전송받아 압축저장 하는 장치(NVR : NetWork Video Recorder)를 말한다.
- ⑤“영상정보”라 함은 특정 목적을 위하여 영상정보처리기기로 촬영하여 광(光) 또는 전자적 방식으로 처리되는 모든 영상을 말한다.
- ⑥“개인영상정보”라 함은 영상정보처리기기에 의하여 촬영·처리되는 영상정보 중 개인의 초상, 행동 등 사생활과 관련된 영상으로서 해당 개인의 동일성 여부를 식별할 수 있는 정보를 의미한다.
- ⑦“정보주체”라 함은 영상정보에 의하여 식별되는 사람으로서 당해 영상정보의 주체가 되는 자연인을 말한다.
- ⑧“처리”란 영상정보처리기기에 의하여 수집되는 영상정보를 수집・저장・검색・삭제, 제공 및 파기, 그 밖에 이와 유사한 행위를 말한다.
- ⑨“공개된 장소”라 함은 공원, 도로, 지하철, 상가 내부, 주차장 등 정보 주체가 접근하거나 통행하는 데에 제한을 받지 아니하는 장소를 말한다.
- ⑩“개인영상정보취급자”란 관리책임자의 지휘·감독을 받아 개인영상정보를 처리하는 업무를 담당하는 자로서 직접 개인영상정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요 때문에 개인영상정보에 접근하여 처리하는 모든 자를 말한다.
- ⑪“영상정보처리기기 운영자”라 함은 법 제25조 제1항 각호에 따라 영상정보처리기기를 설치·운영하는 자를 말한다.
- ⑫“영상정보처리기기 관리책임자”라 함은 소관 업무의 수행을 위하여 영상정보처리기기를 실질적으로 설치·운영 및 그 영상정보 보호에 관한 업무를 총괄하는 자를 말한다.
제3조(적용범위)
영상정보처리기기의 운용·관리에 대하여 따로 정한 것을 제외하고 이 지침에 정한 바에 의한다.
제4조(개인영상정보의 보호원칙)
- ①영상정보처리기기의 설치목적에 부합하는 최소한의 범위 안에서 필요한 영상정보를 수집하여야 한다.
- ②제1항의 설치목적을 정보 주체가 명확히 인식할 수 있도록 하여야 하며, 영상정보를 설치목적 이외의 용도로 활용하여서는 아니 되며, 수집된 영상정보는 안전하게 관리하여야 한다.
- ③영상정보처리기기 운영 및 관리 방침을 수립하여 개인영상정보의 처리에 관한 사항을 홈페이지에 공개하고, 영상정보에 대한 열람 청구권 등 정보주체의 권리를 보장하여야 한다.
- ④개인영상정보는 정보주체의 사생활 침해를 최소화하는 방법으로 처리하여야 한다.
제2장 영상정보처리기기의 설치 시 준수사항
제5조(영상정보처리기기의 설치·운영 제한)
- ①영상정보처리기기는 승강장, 대합실 등 「영상정보처리기기 관리지침」 제1조의 목적에 따라 대표이사가 지정한 장소에 설치한다.
- ②영상정보처리기기를 지정된 장소에 설치할 때에는 이용자의 모습이 촬영될 수 있는 방향으로 설치하되, 관련 법규에 허용하는 범위 내에서 촬영 사각지대가 발생하지않도록 위치를 조정하여야 하며 철도차량에 대한 영상기록장치 설치에 관한 사항도 본 지침을 따른다.
- ③대표이사는 필요하다고 인정할 경우 영상정보처리기기의 위치나 방향을 변경, 추가설치를 남서울경전철(주)와 협의하여 처리한다.
- ④공개된 장소에서의 영상정보처리기기 설치는 원칙적으로 금지한다. 다만 다음 각호에 해당하는 경우에는 영상정보처리기기를 설치할 수 있다.
- 1. 법령에서 구체적으로 허용하고 있는 경우
- 2. 범죄의 예방 및 수사를 위하여 필요한 경우
- 3. 시설안전 및 화재 예방을 위하여 필요한 경우
- ⑤영상정보처리기기는 개인의 의사와 무관하게 초상 및 활동 정보가 수집되어 무단공개나 유출 등으로 인한 사생활 침해 우려가 큰 만큼 영상정보처리 기기임을 쉽게 인식할 수 있는 형태로 정보 주체의 눈에 잘 띄는 곳에 설치·운영하여야 한다.
- ⑥개인의 신체를 노출시킬 우려가 있는 화장실, 발한실(發汗室), 탈의실, 기타 신체의 노출 외에도 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치·운영하는 행위는 금지하여야 한다
- ⑦영상정보처리기기를 설치·운영하는 경우 녹음기능은 사용할 수 없다. 다만, 어린이, 여성 등 시민에게 위급상황 발생 시 긴급 조치를 위해 방범용 영상정보처리기기에 설치된 비상벨을 사용하는 경우에는 그러하지 아니하다.
제6조(영상정보처리기기 운영·관리 방침)
- ①관리책임자는 소관 영상정보처리기기에 대하여 다음 각호의 사항이 포함된 영상정보처리기기 운영·관리 방침을 마련하여야 한다.
- 1. 영상정보처리기기의 설치 근거 및 설치목적
- 2. 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위
- 3. 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람
- 4. 개인영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법
- 5. 영상정보처리기기운영자의 영상정보 확인 방법 및 장소
- 6. 정보주체의 영상정보 열람 등 요구에 대한 조치
- 7. 영상정보 보호를 위한 기술적·관리적 및 물리적 조치
- 8. 그 밖에 영상정보처리기기의 설치·운영 및 관리에 필요한 사항
- ②관리책임자는 영상정보처리기기 운영·관리 방침을 수립하거나 변경하는 경우 이를 정보주체가 쉽게 확인할 수 있도록 인터넷 홈페이지에 지속적으로 게재하여야 한다.
- ③제2항에 따라 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각호의 어느 하나 이상의 방법으로 수립하거나 변경한 방침을 공개하여야 한다.
- 1. 관리책임자의 사업장 등의 보기 쉬운 장소에 게시하는 방법
- 2. 관보나 서울특별시 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조 제1호 가목·다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
- 3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서 등에 지속해서 싣는 방법
- 4. 재화나 용역을 제공하기 위하여 관리책임자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법
제7조(사전의견 수렴)
- ①영상정보처리기기를 설치·운영하려는 자는 다음 각호의 어느 하나에 해당하는 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다.
- ②범죄의 예방 및 수사, 재난·재해의 예방 및 대처 등의 목적으로 다른 목적의 영상정보처리기기를 활용하고자 하는 경우에는 해당 영상정보처리기기의 설치목적을 추가·변경하여 제1항에 따라 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다. 다만 동일 목적 내에서 단순히 추가 설치만 하는 경우에는 의견수렴을 하지 않을 수 있다.
제8조(안내판의 설치)
- ①관리책임자는 정보주체가 영상정보처리기기가 설치·운영되고 있음을 쉽게 알아볼 수 있도록 다음 각호의 사항을 기재한 안내판 설치하여야 하며 형식은 [붙임1]과 같다.
- 1. 설치목적 및 장소
- 2. 촬영범위 및 시간
- 3. 관리책임자의 성명 또는 직책 및 연락처
- 4. 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우, 수탁자의 명칭 및 연락처
- ②건물 안에 여러 개의 영상정보처리기기를 설치하는 경우에는 출입구 등 잘 보이는곳에 해당 시설 또는 장소 전체가 영상정보처리기기 설치지역임을 표시하는 안내판을 설치할 수 있다.
- ③제1항에 따른 안내판은 촬영범위 내에서 정보주체가 알아보기 쉬운 장소에 누구라도 쉽게 판독할 수 있게 설치되어야 하며, 이 범위 내에서 관리책임자가 안내판의 크기, 설치위치 등을 자율적으로 정할 수 있다.
- ④기관 내 또는 기관 간에 영상정보처리기기의 효율적 관리 및 정보 연계 등을 위해 용도별·지역별 영상정보처리기기를 물리적·관리적으로 통합하여 설치·운영(이하 ‘통합관리’라 한다)하는 경우에는 설치목적 등 통합관리에 관한 내용을 정보주체가 쉽게 알아볼 수 있도록 제1항에 따른 안내판에 기재하여야 한다.
- ⑤다음 각호의 어느 하나에 해당하는 시설에 설치하는 영상정보처리기기에 대해서는 안내판을 설치하지 아니할 수 있다.
- 1. 「군사기지 및 군사시설 보호법」 제2조 제2호에 따른 군사시설
- 2. 「통합방위법」 제2조 제13호에 따른 국가 중요시설
- 3. 「보안업무규정」 제36조에 따른 보안목표시설
제9조(영상정보처리기기 설치 및 관리 등의 위탁)
- ①영상정보처리기기 관리책임자는 영상정보처리기기의 설치·운영에 관한 일체 사무를 제3자에게 위탁할 수 있다. 이 경우 다음 각호의 내용이 포함된 문서로 하여야 한다.
- 1. 위탁하는 사무의 목적 및 범위
- 2. 재위탁 제한에 관한 사항
- 3. 영상정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
- 4. 영상정보의 관리 현황 점검에 관한 사항
- 5. 위탁받는 자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
- ②제1항에 따라 사무를 위탁한 경우에는 그 내용을 정보주체가 언제든지 쉽게 확인할 수 있도록 제7조에 따른 영상정보처리기기 운영·관리 방침 및 제10조에 따른 안내판에 수탁자의 명칭 및 연락처를 포함시켜야 한다.
- ③관리책임자는 사무 위탁으로 인하여 개인영상정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 수탁자가 개인영상정보를 안전하게 처리하고 있는지를 관리·감독하여야 한다.
제3장 개인영상정보 취급 시 준수사항
제10조(개인영상정보 이용·제3자 제공 제한 등)
- ①영상정보처리기기 운영자는 다음 각호의 경우를 제외하고는 개인영상정보를 수집 목적 외에 이용하거나 제3자에게 제공하여서는 아니된다.
- 1. 정보주체에게 동의를 얻은 경우
- 2. 다른 법률에 특별한 규정이 있는 경우
- 3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
- 4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인영상정보를 제공하는 경우
- 5. 개인영상정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우
- 6. 조약, 그 밖의 국제협정 이행을 위하여 외국 정부 또는 국제기구에 제공하는데 필요한 경우
- 7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
- 8. 법원의 재판업무 수행을 위하여 필요한 경우
- 9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
제11조(보관 및 파기)
- ①영상정보처리기기 운영자는 수집한 개인영상정보의 보존 기간은 3일 이상 30일 이내로 하며, 설치된 시설의 저장용량이 허용하는 범위 내에서 오래된내용 순으로 자동 삭제한다. 다만, 다른 법령에 특별한 규정이 있는 경우에는 그러하지 아니한다.
제12조(이용·제3자 제공·파기의 기록 및 관리)
- ①영상정보처리기기 운영자는 개인영상정보를 수집 목적 이외로 이용하거나 제3자에게 제공하는 경우에는 이를 관리하여야 한다.
- ②영상정보처리기기 운영자가 개인영상정보를 파기하는 경우에는 기록· 관리하여야 한다. 단, 사전에 파기 시기 등을 정한 자동 삭제의 경우에는 파기 주기 및 자동 삭제여부에 관한 확인 시기를 기록·관리하여야 한다.
제13조(정보주체의 열람 등 요구)
- ①정보주체는 개인영상정보의 존재확인 및 열람, 개인영상정보의 삭제를 관리책임자에게 요구할 수 있다. 이 경우 정보주체가 열람 등을 요구할 수 있는 개인영상정보는 정보주체 자신이 촬영된 개인영상정보 및 명백히 정보주체의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 개인영상정보에 한한다.
- ②개인영상정보에 대한 열람 등을 요구할 때는 관리책임자에게 별지 서식 2에 따른 개인영상정보 열람·존재 확인 청구서(전자문서를 포함한다.)로 하여야 한다.
- ③관리책임자는 제1항에 따른 요구를 받았을 때는 지체 없이 필요한 조처하여야 한다. 이때 관리책임자는 열람 등 요구를 한 자가 본인이거나 정당한 대리인인지를 주민등록증·운전면허증·여권 등의 신분증명서를 제출받아 확인하여야 한다.
- ④제3항의 규정에도 불구하고 다음 각호에 해당하는 경우에는 정보주체의 개인영상정보 열람 등 요구를 거부할 수 있다. 이 경우 관리책임자는 10일 이내에 서면 등으로 거부 사유를 정보주체에게 통지하여야 한다.
- 1. 범죄수사·공소유지·재판수행에 중대한 지장을 초래하는 경우
- 2. 개인영상정보의 보관기간이 경과하여 파기한 경우
- 3. 열람 등 요구에 대하여 필요한 조치를 취함으로써 타인의 사생활권이 침해될 우려가 큰 경우
- 4. 기타 정보주체의 열람 등 요구를 거부할 만한 정당한 사유가 존재하는 경우
- ⑤관리책임자는 제3항 및 제4항에 따른 조치를 취하는 경우 다음 각 호의 사항을 기록하고 관리하여야 한다.
- 1. 개인영상정보 열람 등을 요구한 정보주체의 성명 및 연락처
- 2. 정보주체가 열람 등을 요구한 개인영상정보 파일의 명칭 및 내용
- 3. 개인영상정보 열람 등의 목적
- 4. 개인영상정보 열람 등을 거부한 경우 그 거부의 구체적 사유
- 5. 정보주체에게 개인영상정보 사본을 제공한 경우 해당 개인영상정보의 내용과 제공한 사유
- ⑥정보주체가 관리책임자에게 정보주체 자신의 개인영상정보에 대한 파기를 요구하는 때에는 제1항에 의하여 열람 등을 요구하였던 개인영상정보에 대하여만 그 파기를 요구할 수 있다. 관리책임자가 해당 파기조치를 취한 경우에는 그 내용을 기록하고 관리하여야 한다.
제14조(정보주체 이외의 자의 개인영상정보 보호)
관리책임자가 제15조 제3항에 따른 열람등의 조치를 취하는 경우로서, 만일 정보주체 이외의 자를 명백히 알아볼 수 있거나 정보주체 이외의 자의 사생활 침해 우려가 있는 경우에는 해당되는 정보주체 이외의 자의 개인영상정보를 알아볼 수 없도록 보호조치를 취하여야 한다.
제15조(개인영상정보의 안전성 확보를 위한 조치)
- ①관리책임자는 개인영상정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 법 제29조 및 시행령 제30조 제1항에 따른 안전성 확보를 위하여 다음 각호의 조치를 하여야 한다.
- 1. 개인영상정보의 안전한 처리를 위한 내부 관리계획의 수립·시행
- 2. 개인영상정보에 대한 접근 통제 및 접근 권한의 제한 조치
- 3. 개인영상정보를 안전하게 저장·전송할 수 있는 기술의 적용
- 4. 처리기록의 보관 및 위조·변조 방지를 위한 조치
- 5. 개인영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치
제16조(기술적 보호조치 기준)
- ①해킹에 의한 개인영상정보 유출을 방지하기 위해 영상정보처리기기망은 행정 업무망 및 공중망과 물리적으로 분리된 별도의 단독 망으로 구성하는 것을 원칙으로 한다.
- ②부득이한 사정으로 인해 공중망을 이용하여야 할 경우에는 전용망을 사용하거나 중간 스니핑을 통한 개인영상정보 유출을 방지하기 위하여 VPN 등을 통해 암호화 전송하여야 하며, 저장장치의 해킹 방지를 위한 방화벽, IPS 등 보안 대책을 마련하여야한다.
- ③영상정보처리기기망과 내부행정시스템 간의 자료교환이 필요한 경우에는 보안 USB메모리를 이용하거나 관제시스템이 운영되는 영역 앞에 침입차단시스템을 설치하여 특정 IP주소·포트만 접속할 수 있도록 접근통제 한다.
- ④카메라 및 비디오 서버에는 Telnet 등 원격접근서비스 차단 설정, 접근 가능 IP주소제한, 디폴트 패스워드 변경 등의 조처를 한다.
제17조(관리적 보호조치 기준)
- ①개인영상정보가 열람・재생되는 장소는 보호구역으로 지정하고 출입통제장치를 설치하여 접근 권한이 부여된 자 외의 출입을 통제한다.
- ②개인영상정보에 대한 접근 권한은 최소한의 인원으로 제한하고 운영자 등의 접근 및 처리 권한을 차등 부여한다.
- ③전보, 퇴직 등 인사이동이 발생한 경우에는 지체 없이 접근 권한을 변경 또는 말소한다.
- ④영상정보처리기기의 정상작동 여부, 관리상태 등을 주기적으로 점검하고, 그 결과를 기록·관리한다.
- ⑤개인영상정보를 생성한 경우에는 생성일시를, 열람한 경우에는 열람목적·열람자·열람일시 등을 기록·관리한다.
- ⑥저장매체는 비인가자의 접근이 불가능하도록 시건장치가 설치된 통제구역에 보관하고, 외부에 설치되는 카메라와 저장장치(DVR 등), 비디오서버 등에는 잠금장치를 설치한다.
제18조(영상정보처리기기의 설치·운영에 대한 점검)
개인영상정보 관리책임자는 소속기관을 대상으로 이 지침의 준수 여부에 대한 자체점검을 하여야 한다.
제19조(교육의무)
- ①관리책임자는 개인영상정보 운영자에 대하여 자체 개인정보보호교육을 하거나 외부 개인정보보호 교육을 이수토록 하여야 한다.
- ②개인영상정보 운영자는 연 2시간 이상의 개인정보보호 교육을 이수하여야 한다.
제20조(비밀유지의무)
- ①개인영상정보를 처리하거나 처리하였던 자는 다음 각호의 어느하나에 해당하는 행위를 하여서는 아니 된다.
- 1. 거짓이나 그 밖의 부정한 수단이나 방법으로 개인영상정보를 취득하거나 처리에 관한동의를 받는 행위
- 2. 업무상 알게 된 개인영상정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위
- 3. 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인영상정보를 훼손, 멸실, 변경, 위조 또는 유출하는 행위
부 칙 <○○○○. ○. ○>
이 지침은 ○○○○년 ○월 ○일부터 시행한다.
[별첨 1] 영상정보처리기기 운영·관리 방침
본 신림선 경전철(이하 본 기관이라 함)은 영상정보처리기기 운영·관리 방침을 통해 본 기관에서 처리하는 영상정보가 어떠한 용도와 방식으로 이용 관리되고 있는지 알려드립니다.