Part 2. 개인정보보호의 제도_정보주체의 권리

1. 정보주체의 권리

개인정보보호법 제4조(정보주체의 권리)

정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다. 1. 개인정보의 처리에 관한 정보를 제공받을 권리 2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리 3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리 4. 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리 5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리

 

순번	권리	설명
1	개인정보의 처리에 관한 정보를 제공받을 권리	- 개인정보 수집, 이용, 제공 목적, 범위 등의 고지, 개인정보처리방침의 수립, 공개 등의 의무 - 정보통신서비스 제공자등은 개인정보 이용내역의 통지 의무
2	동의 여부, 동의 범위 등을 선택하고 결정할 권리	- 개인정보 자기결정권 - 개인정보 처리 여부 및 동의 범위 등을 선택할 수 있는 권리
3	개인정보의 처리 여부를 확인하고 열람을 요구할 권리	- 자신의 개인정보에 대한 접근권 - 개인정보처리자의 무분별한 개인정보 수집, 이용, 제공을 방지하는 기능
4	개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리	- 개인정보처리자의 잘못된 처리로 인한 피해 방지 - 개인정보 수집, 이용, 제공 등에 관한 동의를 철회할 권리 - 자신의 개인정보 파기를 요구 권리
5	피해를 신속하고 공정한 절차에 따라 구제받을 권리	- 개인정보의 수집, 이용, 제공 등으로 피해가 발생한 경우, 신속하고 공정한 절차에 따라 피해의 심각성에 비례하여 적절한 보상을 받을 권리 - 입증책임의 전환, 분쟁조정제도 및 권리침해 중지 단체소송제도, 법정 징벌적 손해배상제도, 정보통신서비스 제공자등의 손해배상책임 보장 조치 의무

2. 개인정보의 열람

개인정보보호법 제35조(개인정보의 열람)

① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다. ② 제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 보호위원회를 통하여 열람을 요구할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.> ③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다. ④ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다. 1. 법률에 따라 열람이 금지되거나 제한되는 경우 2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우 가. 조세의 부과ㆍ징수 또는 환급에 관한 업무 나. 「초ㆍ중등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무 다. 학력ㆍ기능 및 채용에 관한 시험, 자격 심사에 관한 업무 라. 보상금ㆍ급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무 마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무 ⑤ 제1항부터 제4항까지의 규정에 따른 열람 요구, 열람 제한, 통지 등의 방법 및 절차에 관하여 필요한 사항은 대통령령으로 정한다.

 

개인정보보호법 제39조의7(이용자의 권리 등에 대한 특례)

① 이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 철회할 수 있다. ② 정보통신서비스 제공자등은 제1항에 따른 동의의 철회, 제35조에 따른 개인정보의 열람, 제36조에 따른 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다. ③ 정보통신서비스 제공자등은 제1항에 따라 동의를 철회하면 지체 없이 수집된 개인정보를 복구ㆍ재생할 수 없도록 파기하는 등 필요한 조치를 하여야 한다. [본조신설 2020. 2. 4.]

 

- 열람조치 관련 사항

> 법 제35조 제3항 전단에서 "대통령령으로 정하는 기간"은 10일

> 열람은 사본의 교부, 제3자 또는 공개된 정보원으로부터 수집한 개인정보, 서비스제공 등의 과정에서 자동으로 생성된 개인정보도 포함

> 열람 요구 방법은 서면, 전화, 전자우편, 인터넷 등 정보주체가 쉽게 활용할 수 있는 방법으로 제공

> 개인정보를 수집한 창구의 지속적인 운영이 곤란한 경우를 제외하고는 최소한 수집 창구 또는 방법과 동일하게 열람을 요구할 수 있도록 하여야 함

> 인터넷 홈페이지를 운영하는 경우 홈페이지에 열람 요구 방법과 절차를 공개하여야 함

> 가명정보의 경우 개인을 알아 볼 수 있는 정보가 포함되어 있지 않으므로 열람요구권 행사할 수 없음

3. 개인정보의 정정, 삭제

개인정보보호법 제36조(개인정보의 정정ㆍ삭제)

① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다. ② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ㆍ삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다. ③ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다. ④ 개인정보처리자는 정보주체의 요구가 제1항 단서에 해당될 때에는 지체 없이 그 내용을 정보주체에게 알려야 한다. ⑤ 개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주체에게 정정ㆍ삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다. ⑥ 제1항ㆍ제2항 및 제4항에 따른 정정 또는 삭제 요구, 통지 방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.

 

통신비밀보호법 시행령 제41조(전기통신사업자의 협조의무 등)

② 법 제15조의2제2항에 따른 전기통신사업자의 통신사실확인자료 보관기간은 다음 각 호의 구분에 따른 기간 이상으로 한다. 1. 법 제2조제11호가목부터 라목까지 및 바목에 따른 통신사실확인자료 : 12개월. 다만, 시외ㆍ시내전화역무와 관련된 자료인 경우에는 6개월로 한다. 2. 법 제2조제11호마목 및 사목에 따른 통신사실확인자료 : 3개월

 

전자상거래 등에서의 소비자보호에 관한 법률 시행령 제6조(사업자가 보존하는 거래기록의 대상 등)

① 법 제6조제3항에 따라 사업자가 보존하여야 할 거래기록의 대상ㆍ범위 및 기간은 다음 각 호와 같다. 다만, 법 제20조제1항에 따른 통신판매중개자(이하 “통신판매중개자”라 한다)는 자신의 정보처리시스템을 통하여 처리한 기록의 범위에서 다음 각 호의 거래기록을 보존하여야 한다. <개정 2016. 9. 29.> 1. 표시ㆍ광고에 관한 기록: 6개월 2. 계약 또는 청약철회 등에 관한 기록: 5년 3. 대금결제 및 재화등의 공급에 관한 기록: 5년 4. 소비자의 불만 또는 분쟁처리에 관한 기록: 3년

 

> 가명정보의 경우 정정, 삭제 요구권 행사할 수 없음

4. 개인정보의 처리정지 등

개인정보보호법 제37조(개인정보의 처리정지 등)

① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다. 이 경우 공공기관에 대하여는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다. ② 개인정보처리자는 제1항에 따른 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다. 1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우 4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우 ③ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다. ④ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다. ⑤ 제1항부터 제3항까지의 규정에 따른 처리정지의 요구, 처리정지의 거절, 통지 등의 방법 및 절차에 필요한 사항은 대통령령으로 정한다.

 

- 처리정지 요구의 예외인 개인정보파일

개인정보보호법 제32조 제2항

1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일 2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일 3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일 4. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일 5. 다른 법령에 따라 비밀로 분류된 개인정보파일

 

> 가명정보의 경우 개인을 알아 볼 수 있는 정보가 포함되어 있지 않으므로 처리정지권 행사할 수 없음

> 가명정보로 처리되기 이전에는 개인정보에 대한 가명처리 정지를 요구할 수 있음

5. 권리행사의 방법 및 절차

개인정보보호법 제38조(권리행사의 방법 및 절차)

① 정보주체는 제35조에 따른 열람, 제36조에 따른 정정ㆍ삭제, 제37조에 따른 처리정지, 제39조의7에 따른 동의 철회 등의 요구(이하 “열람등요구”라 한다)를 문서 등 대통령령으로 정하는 방법ㆍ절차에 따라 대리인에게 하게 할 수 있다. <개정 2020. 2. 4.> ② 만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동의 개인정보 열람등요구를 할 수 있다. ③ 개인정보처리자는 열람등요구를 하는 자에게 대통령령으로 정하는 바에 따라 수수료와 우송료(사본의 우송을 청구하는 경우에 한한다)를 청구할 수 있다. ④ 개인정보처리자는 정보주체가 열람등요구를 할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개하여야 한다. ⑤ 개인정보처리자는 정보주체가 열람등요구에 대한 거절 등 조치에 대하여 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하고 안내하여야 한다.

 

- 신원확인 의무와 방법

> 의무: 요구한 자가 본인인지 또는 정당한 대리자인지 확인, 대리인의 경우 본인의 신원과 정보주체와의 관계 증명, 법정대리인의 경우 법정대리인을 확인할 수 있는 서면 추가 확인

> 방법: 인터넷의 경우 전자서명, 아이핀, 이동전화번호, 생년월일 등 / 오프라인의 경우 민증, 면허증, 여권, 공무원증 등

> 공공기관의 특례: 전자정부법 제36조 제1항에 따른 행정정보의 공동이용을 통해 신분확인이 가능하면 이를 통해 확인

6. 이용내역 통지

개인정보보호법 제39조의8(개인정보 이용내역의 통지)

① 정보통신서비스 제공자 등으로서 대통령령으로 정하는 기준에 해당하는 자는 제23조, 제39조의3에 따라 수집한 이용자의 개인정보의 이용내역(제17조에 따른 제공을 포함한다)을 주기적으로 이용자에게 통지하여야 한다. 다만, 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 아니한 경우에는 그러하지 아니한다. ② 제1항에 따라 이용자에게 통지하여야 하는 정보의 종류, 통지주기 및 방법, 그 밖에 이용내역 통지에 필요한 사항은 대통령령으로 정한다. [본조신설 2020. 2. 4.]

 

개인정보보호법 시행령 제48조의6(개인정보 이용내역의 통지)

① 법 제39조의8제1항 본문에서 “대통령령으로 정하는 기준에 해당하는 자”란 다음 각 호의 어느 하나에 해당하는 자를 말한다. 1. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등 2. 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 정보통신서비스 제공자등 ② 법 제39조의8제1항에 따라 이용자에게 통지해야 하는 정보의 종류는 다음 각 호와 같다. 1. 개인정보의 수집ㆍ이용 목적 및 수집한 개인정보의 항목 2. 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목. 다만, 「통신비밀보호법」 제13조, 제13조의2, 제13조의4 및 「전기통신사업법」 제83조제3항에 따라 제공한 정보는 제외한다. ③ 법 제39조의8제1항에 따른 통지는 서면등의 방법으로 연 1회 이상 해야 한다. [본조신설 2020. 8. 4.]

 

> 가명정보를 이용한 내역에 대해서는 통지 의무가 적용되지 않음

7. 손해배상 책임

개인정보보호법 제39조(손해배상책임) 및 제39조의2(법정손해배상의 청구)

① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. ② 삭제 <2015. 7. 24.> ③ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다. <신설 2015. 7. 24.> ④ 법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다. <신설 2015. 7. 24.> 1. 고의 또는 손해 발생의 우려를 인식한 정도 2. 위반행위로 인하여 입은 피해 규모 3. 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익 4. 위반행위에 따른 벌금 및 과징금 5. 위반행위의 기간ㆍ횟수 등 6. 개인정보처리자의 재산상태 7. 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도 8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도 제39조의2(법정손해배상의 청구)  ① 제39조제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. ② 법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다. ③ 제39조에 따라 손해배상을 청구한 정보주체는 사실심(事實審)의 변론이 종결되기 전까지 그 청구를 제1항에 따른 청구로 변경할 수 있다.

 

개인정보보호법 제39조의9(손해배상의 보장)

① 정보통신서비스 제공자등은 제39조 및 제39조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다. ② 제1항에 따른 가입 대상 개인정보처리자의 범위, 기준 등에 필요한 사항은 대통령령으로 정한다. [본조신설 2020. 2. 4.]

 

개인정보보호법 시행령 제48조의7(손해배상책임의 이행을 위한 보험 등 가입 대상자의 범위 및 기준 등)

① 다음 각 호의 요건을 모두 갖춘 정보통신서비스 제공자등(이하 이 조에서 “가입 대상 개인정보처리자”라 한다)은 법 제39조의9제1항에 따라 보험 또는 공제에 가입하거나 준비금을 적립해야 한다. 1. 전년도(법인의 경우에는 전 사업연도를 말한다)의 매출액이 5천만원 이상일 것 2. 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 1천명 이상일 것 ② 가입 대상 개인정보처리자가 보험 또는 공제에 가입하거나 준비금을 적립할 경우 최저가입금액(준비금을 적립하는 경우 최소적립금액을 말한다. 이하 이 조에서 같다)의 기준은 별표 1의4와 같다. 다만, 가입 대상 개인정보처리자가 보험 또는 공제 가입과 준비금 적립을 병행하는 경우에는 보험 또는 공제 가입금액과 준비금 적립금액을 합산한 금액이 별표 1의4에서 정한 최저가입금액의 기준 이상이어야 한다. ③ 가입 대상 개인정보처리자가 다른 법률에 따라 법 제39조 및 제39조의2에 따른 손해배상책임의 이행을 보장하는 보험 또는 공제에 가입하거나 준비금을 적립한 경우에는 법 제39조의9제1항에 따른 보험 또는 공제에 가입하거나 준비금을 적립한 것으로 본다. [본조신설 2020. 8. 4.]

 

- 손해배상책임의 성립요건

① 침해행위가 존재하고 위법할 것

② 손해가 발생하였을 것

③ 침해행위와 손해 사이에 인과관계가 있을 것

④ 고의 또는 과실 및 책임능력이 있을 것

 

> 개인정보 피해구제 제도

제도	피해구제 내용	관련 기관	관련 근거
개인정보 침해 신고 상담	- 제도 개선 권고 - 행정 처분 의뢰 - 수사 의뢰	개인정보침해 신고센터	개인정보보호법 제62조
개인정보 분쟁조정	- 제도 개선 권고 - 손해 배상 권고	개인정보 분쟁조정위원회	개인정보보호법 제40조
단체소송	위법행위의 금지, 중지	법원	개인정보보호법 제51조 ~ 53조
민사소송	손해 배상 청구	법원	민법 제750조

 

> 개인정보 손해배상제도

	징벌적 손해배상제도 (개인정보보호법 제39조)	법정 손해배상제도 (개인정보보호법 제39조의2)	관련 근거
적용 요건	기업의 고의, 중가실로 개인정보 유출 또는 동의 없이 활용하여 피해 발생	기업의 고의, 과실로 개인정보가 분실, 도난, 유출된 경우
입증 책임	- 기업이 고의, 중과실이 없을을 입증 - 피해액은 피해자가 입증	- 기업이 고의, 과실이 없을을 입증 - 피해자에 대한 피해액 입증책임 면제
구제 범위	재산 및 정신적 피해 모두 포함	사실상 피해입증이 어려운 정신적 피해	개인정보보호법 제62조
피해액	실제 피해액의 3배 이내 배상	300만 원 이하의 범위에서 상당한 금액	개인정보보호법 제40조
도입 배경	2016년 7월 25일 이후 유출 사고

 

- 개인정보 손해배상책임 보장제도

> 개인정보 유출로 인한 피해 사례가 증가하며, 기업의 배상능력이 부족한 경우 피해구제가 어려워 피해구제 제도의 실효성 제고 필요

> 기업으로 하여금 손해뱅상책임의 이행을 보장하도록 보험 또는 공제에 가입하거나 준비금을 적립하도록 의무화(19.06.13)

> 적용 대상: 전년도 매출액이 5천만원 이상일 것 && 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 1천명 이상일 것

8. 국내 대리인 지정

정보통신망법 제32조의5(국내대리인의 지정)

① 국내에 주소 또는 영업소가 없는 정보통신서비스 제공자등으로서 이용자 수, 매출액 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 다음 각 호의 사항을 대리하는 자(이하 “국내대리인”이라 한다)를 서면으로 지정하여야 한다. 1. 삭제 <2020. 2. 4.> 2. 삭제 <2020. 2. 4.> 3. 제64조제1항에 따른 관계 물품ㆍ서류 등의 제출 ② 국내대리인은 국내에 주소 또는 영업소가 있는 자로 한다. ③ 제1항에 따라 국내대리인을 지정한 때에는 다음 각 호의 사항 모두를 인터넷 사이트 등에 공개하여야 한다. <개정 2020. 2. 4.> 1. 국내대리인의 성명(법인의 경우에는 그 명칭 및 대표자의 성명을 말한다) 2. 국내대리인의 주소(법인의 경우에는 영업소 소재지를 말한다), 전화번호 및 전자우편 주소 ④ 국내대리인이 제1항 각 호와 관련하여 이 법을 위반한 경우에는 정보통신서비스 제공자등이 그 행위를 한 것으로 본다.