지난달 14일, 22일에 한국인터넷진흥원 침해센터에 문의한 내용에대한 답변을 받았다. 결론부터 말하면 해당 사안의 경우 개인정보호법 제29조 안전조치의무를 위반하는 행위에 속한다는 것이다. 처음 문의를 할 때, 문의 내용과 관련된 사례를 찾아보았고, 이미 문의 내용이 개인정보보호법을 위반한 것이라고 생각했다.

 

개인정보보호법에서는 제29조 안전조치의무 위반에 대한 벌금과 과태료를 규정하고 있다.

 

제73조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다.
1. 제23조제2항, 제24조제3항, 제25조제6항, 제28조의4제1항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손당한 자

제75조(과태료) ① 다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다.
6. 제23조제2항, 제24조제3항, 제25조제6항, 제28조의4제1항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니한 자

 

개인정보보호법에서는 법 위반에 따른 제재 또는 처벌로 벌금, 과징금, 과태료를 규정하고 있으며, 각각의 특징을 정리하면 다음과 같다. 벌금의 경우 전과기록이 남고, 과태료와 과징금의 경우 의무위반에 따른 금전적인 벌이기 때문에, 처벌의 무게는 벌금 > 과태료 = 과징금인것 같다.

 

① 벌금

- 과태료, 과징금에 비해 가장 강력한 재산형

- 법을 어긴 경우 적용되는 형벌이며, 형벌 중 금전적인 벌에 해당

- 형사처분이므로 벌금형을 받을 경우 전과기록이 남음

 

② 과태료

- 행정법상 의무위반에 대한 제재로 부과되는 금전적인 벌

- 이익 여부와 상관없이 행정상 질서를 유지하기 위해 내리는 징계

- 행정처분이므로 전과기록이 남지 않음

 

③ 과징금

- 행정법상 의무위반에 대한 제재로 부과되는 금전적인 벌

- 주로 불법으로 얻은 경제적 이익을 환수하기 위해 처분

- 행정 제재와 부당 이득 환수라는 두 가지 성격을 가짐

 

만약 해당 사안을 개인정보 유출로 신고한다면 어떠한 제재나 처벌을 받을지 고민해 보았다. 구체적으로 "A를 위반하면 B에 처한다"로 규정하지 않고 여러 조항에 걸쳐 "A를 위반하면 B, C에 처한다" 처럼 규정하고 있다. 따라서, 위반행위의 종류, 내용, 경위, 지속기간, 빈도, 주체, 피해자, 해당 기관의 개인정보 보호 관리체계 및 조치 등을 종합적으로 고려하여 경중을 따져 벌금, 과태료, 과징금 중에서 가장 합당한 처벌을 부과하는 것 같다고 생각한다.

1. 개인정보 제공

- 개인정보 제3자 제공의 의미

> 개인정보의 제공이란 개인정보처리자외의 제3자에게 개인정보의 지배, 관리권이 이전되는 것을 의미

> 개인정보를 저장한 매체나 수기문서를 전달하는 경우뿐만 아니라, DB 시스템에 대한 접속권한을 허용하여 열람, 복사가 가능하게 하여 개인정보를 공유하는 경우 등도 포함됨

 

- 제3자의 의미

구분 정의 제3자 해당 여부 비고 사례
정보주체 개인정보의 소유자 미해당 본인의 개인정보
자기졀정권리 행사
개인정보 수집을 허용
개인정보처리자 개인정보를 처리하는 자 미해당 수집 목적이 다를 시
목적외 이용
공공기관, 일반사업자, 개인, 단체 등
영업 양수자 영업을 양도받은 자 해당 수집 목적이 같고
처리 주체만 다름
개인정보가 포함된 사업인수, 합병, 분할 등
수탁자 업무를 위탁 받은 자 해당 위탁자의 이익을 위해
개인정보 처리
배송업체, 콜센터 등
제3자
제공받은 자
수집목적과 달리 개인정보를 제공 받은 자 해당 제3자의 이익을 위해
개인정보 처리
제휴 판매사, 계열회사, 모회사-자회사, 관계회사
국외이전
받은 자
정보주체의 개인정보를 받은 국외 처리 자 해당 위탁, 제3자 제공
모두 해당할 수 있음
해외 지사, 글로벌 해외 소재 회사

 

- 제공의 의미

구분 제공 방법 제공 레벨 제공 사례
저장매체를 통한 전달 물리적 사물 디스크, 테이프, 외장하드, USB, CD, 출력물 전달
네트워크를 통한 전송 논리적 네트워크 파일 업로드, 파일 다운로드,  FTP 등을 통한 파일 전송
DB 제3자 접근권한 부여 논리적 데이터베이스 개인정보 DB 제3자 열람, 복사 등 권한 부여
개인정보처리시스템
접근권한 부여
논리적 응용프로그램 종류 다양
기타 확인 행위 N/A 다양 육안, SMS, 이메일 등

 

- 제3자 제공, 처리 위탁, 영업양도 시 개인정보 이전의 차이점

구분 제3자 제공 처리 위탁 양도 개인정보 이전
목적 제공받는 자(제3자)의 목적, 이익을 위해 개인정보 이전 제공하는 자의 목적, 이익을 위해 개인정보 이전 개인정보 처리목적은 유지되고 단지 개인정보의 보유, 관리 주체만 변경
관리책임 개인정보 이전 후에는 제공 받는 자 (제3자)의 관리범위에 속함 개인정보 이전 후에도 원칙적으로 제공하는 자의 관리범위에 속함 영업양도, 합병 후에는 양수자의 관리범위에 속함
허용요건 정보주체 고지, 동의 또는 법률의 규정 등 처리위탁사실 공개 정보주체에게 통지
위반 시 처벌 형사벌금(5년 이하 징역 또는 5천 만원 이하 벌금) 과태료(2천만원 이하) 과태료(1천만원 이하)
사례 기업 간 이벤트 또는 업무 제휴 등을 통한 개인정보 제공 콜센터, A/S 센터 등의 외부 위탁 기업 간 양도, 합병

2. 개인정보 제3자 제공

개인정보보호법 제17조(개인정보의 제공) 
① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. <개정 2020. 2. 4.>
1. 정보주체의 동의를 받은 경우
2. 제15조제1항제2호ㆍ제3호ㆍ제5호 및 제39조의3제2항제2호ㆍ제3호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
③ 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.
④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다. <신설 2020. 2. 4.>

 

개인정보보호법 시행령 제14조의2(개인정보의 추가적인 이용ㆍ제공의 기준 등) 
① 개인정보처리자는 법 제15조제3항 또는 제17조제4항에 따라 정보주체의 동의 없이 개인정보를 이용 또는 제공(이하 “개인정보의 추가적인 이용 또는 제공”이라 한다)하려는 경우에는 다음 각 호의 사항을 고려해야 한다.
1. 당초 수집 목적과 관련성이 있는지 여부
2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
3. 정보주체의 이익을 부당하게 침해하는지 여부
4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
② 개인정보처리자는 제1항 각 호의 고려사항에 대한 판단 기준을 법 제30조제1항에 따른 개인정보 처리방침에 미리 공개하고, 법 제31조제1항에 따른 개인정보 보호책임자가 해당 기준에 따라 개인정보의 추가적인 이용 또는 제공을 하고 있는지 여부를 점검해야 한다.
[본조신설 2020. 8. 4.]

 

개인정보보호법 제15조(개인정보의 수집ㆍ이용) 및 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)
② 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집ㆍ이용할 수 있다.
1. 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다)의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
3. 다른 법률에 특별한 규정이 있는 경우

 

- 개인정보의 수집, 이용기준과 제공기준의 비교

기준 수집, 이용(제15조) 제공(제17조)
정보주체의 동의를 받은 경우 가능 가능
법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 가능 수집목적 범위 내에서
제공 가능
공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 가능 수집목적 범위 내에서
제공 가능
정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 가능 제공불가
(정보주체 동의 필요)
정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 가능 수집목적 범위 내에서
제공 가능
개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우 가능 제공불가
(정보주체 동의 필요)

3. 개인정보 국외이전

개인정보보호법 제39조의12(국외 이전 개인정보의 보호)
① 정보통신서비스 제공자등은 이용자의 개인정보에 관하여 이 법을 위반하는 사항을 내용으로 하는 국제계약을 체결해서는 아니 된다.
② 제17조제3항에도 불구하고 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)ㆍ처리위탁보관(이하 이 조에서 “이전”이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 제3항 각 호의 사항 모두를 제30조제2항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁ㆍ보관에 따른 동의절차를 거치지 아니할 수 있다.
③ 정보통신서비스 제공자등은 제2항 본문에 따른 동의를 받으려면 미리 다음 각 호의 사항 모두를 이용자에게 고지하여야 한다.
1. 이전되는 개인정보 항목
2. 개인정보가 이전되는 국가이전일시 및 이전방법
3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다)
4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간
④ 정보통신서비스 제공자등은 제2항 본문에 따른 동의를 받아 개인정보를 국외로 이전하는 경우 대통령령으로 정하는 바에 따라 보호조치를 하여야 한다.
⑤ 이용자의 개인정보를 이전받는 자가 해당 개인정보를 제3국으로 이전하는 경우에 관하여는 제1항부터 제4항까지의 규정을 준용한다. 이 경우 “정보통신서비스 제공자등”은 “개인정보를 이전받는 자”로, “개인정보를 이전받는 자”는 “제3국에서 개인정보를 이전받는 자”로 본다.
[본조신설 2020. 2. 4.]

 

개인정보보호법 제39조의13(상호주의) 
제39조의12에도 불구하고 개인정보의 국외 이전을 제한하는 국가의 정보통신서비스 제공자등에 대하여는 해당 국가의 수준에 상응하는 제한을 할 수 있다. 다만, 조약 또는 그 밖의 국제협정의 이행에 필요한 경우에는 그러하지 아니하다.
[본조신설 2020. 2. 4.]

 

- 개인정보의 국외 제3자 제공

> 개인정보처리자는 동의 받은 범위를 초과하여 국외 제3자에게 제공하여서는 아니 됨

> 그러나 법 제18조 제2항 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 동의 받은 범위를 초과하여 국외 제3자에게 제공할 수 있음

> 공공기관은 제18조 제2항 제5호~제9호까지의 경우에 해당하는 경우에만 동의 받은 범위를 초과하여 국외 제3자에게 제공할 수 있음

> 정보통신서비스 제공자등이 국외 제3자 제공을 포함하여 개인정보를 국외로 이전하는 경우에는 제39조의2에 따라 동의를 받아야하며, 제18조 제2항 제1호, 제2호에 해당하는 경우에만 동의 받은 범위를 초과하여 국외로 이전 가능

 

- 개인정보 국외 이전 동의 시 고지사항

개인정보보호법 제17조(개인정보의 제공) 개인정보보호법 제39조의12(국외 이전 개인정보의 보호)
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
1. 이전되는 개인정보 항목
2. 개인정보가 이전되는 국가, 이전일시 및 이전방법
3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다)
4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간

 

- 국외 이전 시 정보주체 동의 의무

개인정보처리자 - 개인정보보호법 제17조(개인정보의 제공) 정보통신서비스 제공자 - 개인정보보호법 제39조의12(국외 이전 개인정보의 보호)
③ 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.
※ 고지만해도 된다는 예외 조항이 없으므로 국외의 제3자 제공 동의를 받아야 함
② 제17조제3항에도 불구하고 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 조에서 “이전”이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 제3항 각 호의 사항 모두를 제30조제2항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁ㆍ보관에 따른 동의절차를 거치지 아니할 수 있다.

 

- 개인정보 국외 이전에 관한 계약 시 고려사항

개인정보처리자 - 개인정보보호법 제17조(개인정보의 제공) 정보통신서비스 제공자 - 개인정보보호법 시행령 제48조의10(개인정보 국외 이전 시 보호조치)
개인정보보호법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 됨 정보통신서비스 제공자 등은 아래의 사항을 개인정보를 국외에서 이전받는 자와 미리 협의하고, 이를 계약내용 등에 반영하여야 함
1. 제48조의2제1항에 따른 개인정보 보호를 위한 안전성 확보 조치
2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
3. 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치

4. 개인정보 처리 위탁

개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 
① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항
3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 “수탁자”라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다. <개정 2015. 7. 24.>
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.
⑦ 수탁자에 관하여는 제15조부터 제25조까지, 제27조부터 제31조까지, 제33조부터 제38조까지 및 제59조를 준용한다.

 

개인정보보호법 시행령 제28조(개인정보의 처리 업무 위탁 시 조치)  
① 법 제26조제1항제3호에서 “대통령령으로 정한 사항”이란 다음 각 호의 사항을 말한다.
1. 위탁업무의 목적 및 범위
2. 재위탁 제한에 관한 사항
3. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
4. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
5. 법 제26조제2항에 따른 수탁자(이하 “수탁자”라 한다)가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
② 법 제26조제2항에서 “대통령령으로 정하는 방법”이란 개인정보 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)가 위탁자의 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재하는 방법을 말한다.
③ 제2항에 따라 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 위탁하는 업무의 내용과 수탁자를 공개하여야 한다.
1. 위탁자의 사업장등의 보기 쉬운 장소에 게시하는 방법
2. 관보(위탁자가 공공기관인 경우만 해당한다)나 위탁자의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목ㆍ다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식지ㆍ홍보지 또는 청구서 등에 지속적으로 싣는 방법
4. 재화나 용역을 제공하기 위하여 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법
④ 법 제26조제3항 전단에서 “대통령령으로 정하는 방법”이란 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법(이하 “서면등의 방법”이라 한다)을 말한다.
⑤ 위탁자가 과실 없이 제4항에 따른 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 위탁자의 경우에는 사업장등의 보기 쉬운 장소에 30일 이상 게시하여야 한다.
⑥ 위탁자는 수탁자가 개인정보 처리 업무를 수행하는 경우에 법 또는 이 영에 따라 개인정보처리자가 준수하여야 할 사항과 법 제26조제1항 각 호의 사항을 준수하는지를 같은 조 제4항에 따라 감독하여야 한다.

 

- 위탁 증가와 위험

> 분업화에 따라 비용절감, 업무효율화, 서비스 개선 등 다양한 목적으로 위탁 사례 증가 및 개인정보 재유통, 남용 등의 위험 증가

> 업무위탁으로 인한 개인정보 침해유형

① 판매실적 증대를 위한 무분별한 재위탁 등 개인정보의 재제공

② 고객 개인정보를 이용하여 부가서비스 등 다른 서비스에 무단 가입

③ 고객 DB를 빼내어 판매

④ 정보시스템 안전조치 미비로 인한 개인정보 유출 등

 

- 위탁의 유형

구분 설명 유형
개인정보처리업무 위탁 개인정보의 수집, 관리 업무 그 자체를 위탁 개인정보처리시스템 운영 업무 위탁
개인정보취급업무 위탁 개인정보의 이용, 제공이 수반되는 일반업무를 위탁 - 홍보, 판매권유 등 마케팅 업무의 위탁
- 상품배달, 애프터서비스 등 계약이행업무의 위탁

 

- 업무 위탁과 제3자 제공 비교

구분 업무 위탁 제3자 제공
관련조항 개인정보보호법 제26조 개인정보보호법 제17조
예시 배송업무 위탁, TM 위탁 사업제휴, 개인정보 판매
이전 목적 위탁자의 이익을 위해 처리(수탁업무 처리) 제3자의 이익을 위해 처리
예측 가능성 정보주체가 사전 예측 가능
(정보주체의 신뢰 범위 내)
정보주체가 사전 예측 곤란
(정보주체의 신뢰 범위 밖)
이전 방법 원칙: 위탁사실 공개
예외: 위탁사실 고지(마케팅 업무위탁)
원칙: 제공목적 등 고지 후 정보주체 동의 획득
관리, 감독 책임 위탁자 책임 제공받는 자 책임
손해배상 책임 위탁자 부담(사용자 책임) 제공받는 자 부담

 

- 위탁 목적 등 문서화

① 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항

② 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항

③ 위탁업무의 목적 및 범위

④ 재위탁 제한에 관한 사항

⑤ 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항

⑥ 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항

⑦ 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

 

- 수탁자 선정 시 고려사항

① 인력

② 물적 시설

③ 재정 부담능력

④ 기술 보유의 정도

⑤ 책임능력 등 수탁자의 개인정보 처리 및 보호 역량

5. 영업의 양도양수

개인정보보호법 제27조(영업양도 등에 따른 개인정보의 이전 제한)
① 개인정보처리자는 영업의 전부 또는 일부의 양도ㆍ합병 등으로 개인정보를 다른 사람에게 이전하는 경우에는 미리 다음 각 호의 사항을 대통령령으로 정하는 방법에 따라 해당 정보주체에게 알려야 한다.
1. 개인정보를 이전하려는 사실
2. 개인정보를 이전받는 자(이하 “영업양수자등”이라 한다)의 성명(법인의 경우에는 법인의 명칭을 말한다), 주소, 전화번호 및 그 밖의 연락처
3. 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차
② 영업양수자등은 개인정보를 이전받았을 때에는 지체 없이 그 사실을 대통령령으로 정하는 방법에 따라 정보주체에게 알려야 한다. 다만, 개인정보처리자가 제1항에 따라 그 이전 사실을 이미 알린 경우에는 그러하지 아니하다.
③ 영업양수자등은 영업의 양도ㆍ합병 등으로 개인정보를 이전받은 경우에는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공할 수 있다. 이 경우 영업양수자등은 개인정보처리자로 본다.

 

개인정보보호법 시행령 제29조(영업양도 등에 따른 개인정보 이전의 통지)
① 법 제27조제1항 각 호 외의 부분과 같은 조 제2항 본문에서 “대통령령으로 정하는 방법”이란 서면등의 방법을 말한다.
② 법 제27조제1항에 따라 개인정보를 이전하려는 자(이하 이 항에서 “영업양도자등”이라 한다)가 과실 없이 제1항에 따른 방법으로 법 제27조제1항 각 호의 사항을 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 한다. 다만, 인터넷 홈페이지에 게재할 수 없는 정당한 사유가 있는 경우에는 다음 각 호의 어느 하나의 방법으로 법 제27조제1항 각 호의 사항을 정보주체에게 알릴 수 있다. <개정 2020. 8. 4.>
1. 영업양도자등의 사업장등의 보기 쉬운 장소에 30일 이상 게시하는 방법
2. 영업양도자등의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목ㆍ다목 또는 같은 조 제2호에 따른 일반일간신문ㆍ일반주간신문 또는 인터넷신문에 싣는 방법

 

- 영업양도, 양수 등의 통지시기

> 영업양도자등이 정보주체에게 개인정보의 이전 사실 등을 통지할 때에는 개인정보를 이전하기 전에 미리 통지

> 최소한 정보주체가 이전 사실을 확인하고 회원탈퇴 등의 권리를 행사할 수 있는 충분한 시간적 여유가 주어져야 함

> 또한, 개인정보를 이전하는 경우에는 실제 개인정보 DB가 이전되는 시점이 아닌 합병 등 계약 체결 시점에 통지하여야 함

> 정보주체에게 개인정보의 이전사실 등을 통지할 떄에는 개인정보를 이전받은 후 지체 없이 통지하야 함

 

- 개인정보의 목적 외 이용, 제공 금지

> 영업양수자등은 영업의 양도, 합병 등으로 개인정보를 이전받은 경우 이전 당시의 본래의 목적으로만 이용 및 제공할 수 있음

> 목적 외 다른 용도로 이용 및 제공하고자 할 경우 관련 규정(개보법 제18조)에 따라 별도 동의를 받거나 다른 요건을 충족하여야 함

 

- 가명정보의 적용 제외

> 가명정보를 이전하는 경우에는 적용되지 않음

6. 개인정보 제공 시 유의사항

- 개인정보 제공 시 위험 및 대책

원인 위험 대책
개인정보 취급자 증가 개인정보 오남용으로 인한 침해 위험 증가 개인정보 제공 시 최소한의 개인정보를 최소권한에 따라 처리
침해로 인한 책임소재 불분명 침해 원인 및 책임 소재 파악 어려움 개인정보 처리에 대해 계약서 등으로 손해배상 명시
개인정보보호 통제력 약화 제3자에게 통제할 수 있는 영향력 감소 개인정보 처리 관리감독, 처리 제한, 재위탁 시 승인 등 보호대책 이행
정보주체 제공 사실
고지/통지/공유 미흡
개인정보 제공에 대한 예측 어려움 제공 시 고지 및 동의, 개인정보 처리방침 공개 또는 정보주체 통지

 

- 개인정보 제공 유형별 유의사항

구분 제3자 제공 처리 위탁 양도 개인정보 이전 국외 이전
고지, 동의, 통지 제3자 제공 시 명확히 고지 후 별도 동의 - 동의 불필요
- 홍보 및 판매 권유 시 정보주체 통지
개인정보 이전 사실 통지 개인정보 국외 이전 시 명확히 고지 후 별도 동의
개인정보
처리방침
공개(제3자 제공 현황) 공개(업무 내용 및 수탁자) N/A 국외 이전 사실 공개
보호대책
통제
- 제3자 목적 외 이용 및 제공 제한
- 제3자 보호조치 요청
- 제3자 제공 시 제공 내역 기록, 보관
- 위탁 시 계약서 작성
- 재위탁 시 위탁자 사전 동의
- 수탁사 관리감독
- 양수자 목적외 이용 및 제공 제한
- 양도자 및 양수자 이전사실 통지(양도자 통지시 양수자 통지 면제)
국외 이전 시 보호조치 이행
침해 사고 정보
일자 2023/01 ~ 2023/02
침해 정보 - 개인정보: 휴대전화번호, 성명, 주소, 생년월일, 암호화된 주민등록번호, 모델명, 이메일, 암호화된 비밀번호, USIM 고유번호 등
- 서비스 장애
특징 잘못된 설정으로 인한 DDoS 및 개인정보 유출
피해크기 - 29만 7,117명의 고객정보 (399명은 확인 불가)
- DDoS 공격으로 인한 서비스 장애
침해 사고 분석
경위 23.01.01 미상의 해커가 해킹포럼에 LGU+고객정보 판매글을 게시
- 23.01.05 6비트코인에 약 2천만건의 고객정보 판매 글 게시

- 
23.02.03 과기정통부·개인정보위는 LGU+와 함께 약 30만명 고객정보 유출 확인
> LGU+가 해커로부터 확보한 데이터 60만건을 전체회원DB와 비교하여, LGU+ 19만명 고객정보 및 해지고객DB 등에서 11만명 유출 확인
> 확보한 유출데이터 60만건은 DB 형태의 텍스트 파일로 26개의 컬럼으로 구성
> 컬럼은 휴대전화번호, 성명, 주소, 생년월일, 암호화된 주민등록번호, 모델명, 이메일, 암호화된 비밀번호, USIM 고유번호 등
> 이 중, 교환기주소, 서비스명컬럼에서 LGU+의 고객정보로 판단할 수 있는 데이터(lte-lguplus.co.kr, U+인터넷전화 등)를 확인

② 23.01.11 "민관합동조사단" 운영
- 중대한 침해사고로 규정
- 과기정통부, KISA, 디지털 포렌식 전문가 등으로 구성

③ 23.01.29 3회(총 63분), 23.02.04 2회(총 57분) DDoS 공격 피해
- 23.01.29 3회 총 63분 동안 해외 및 국내 타 통신사와 연동구간의 주요 네트워크 장비 14대 대상 DDoS 공격
> 전국 대부분에 서비스 장애가 발생

- 23.02.04 2회 총 57분 동안 내부가입자망에서 일부 지역 엣지 라우터 약 320대 대상 DDoS 공격 
> 해당 지역에 서비스 장애가 발생

- 라우터 장비에 다량의 비정상 패킷이 유입 및 CPU 이용률이 대폭 상승한 것으로 분석
> 자원 소진 공격 유형으로 분석 (Syn Flooding 활용)
> 평균 CPU 이용률: 20% 미만 / 공격 피해 당시: 60~90% (3~4배 이상 증가)


④ 23.02.06 "특별조사점검단"으로 개편하여 조사, 점검 수행
- 개편 사유: 연이은 DDoS 공격으로 인한 서비스 장애의 반복 발생으로 보다 심층적인 점검 필요
원인 미흡한 DB 및 웹 서버 설정, 실시간 모니터링 부재
- 어느 시스템에서 유출된 것인지 파악하기 위해 내부 고객정보 처리 시스템 분석
> 유출된 데이터와 내부 시스템 연계 분석 결과 전체회원 DB, 고객인증 DB, 해지고객 DB 특정
> 유출 데이터의 컬럼명과 3개 DB 각각의 컬럼명 일치 또는 유사성 분석 결과 고객인증 DB
> 14.06~21.08 사용자 계정 통합 작업 오류로 고객인증 DB에 남아있던 삭제된 데이터와 유출 데이터 일부 일치

- 고객정보 변경시간(UPDATE_DTIME) 컬럼 값(요금제나 회원정보가 변경되면 변경시점으로 업데이트)을 근거로 유출 시점 판단
> 시스템의 로그가 남아있지 않아 특정하기 어려우나 유출데이터의 마지막 업데이트는 18.06.15 03시58분으로 해당 시점 직후 유출된 것으로 추정
※ 18년도 당시의 로그정보가 남아있지 않아 로그 분석을 통한 사고조사에는 한계 존재
> 총 16개의 시나리오를 마련해 4가지 위협 판단기준에 따라 시나리오 검증
⒜ 인터넷 연결 여부
⒝ 해킹에 악용되는 취약점 존재 여부
⒞ 접근제어 정책 적용 여부
⒟ 불필요한 파일 등 관리 여부
> 점검 중 18.06 시행한 취약점 분석 결과보고서를 근거로 당시 고객인증 DB 시스템의 취약점을 확인
⒜ 웹 관리자 계정 암호가 시스템 초기암호로 설정 > 해커의 관리자 페이지 접속
⒝ 시스템에 웹 취약점 존재 > 파일업로드 취약점 이용 웹쉘 업로드
⒞ 관리자의 DB접근제어 등 인증체계가 미흡 > 웹쉘을 이용한 DB 접근 및 정보 유출
⒟ 대용량 데이터 이동 등 실시간 탐지체계 부재

- 유출로 인한 2차 피해는 스미싱, 이메일 피싱, 불법로그인, 유심(USIM) 복제 등의 가능성
> 비밀번호가 암호화되어 있고, 실제 USIM의 개인키가 있어야 하므로 불법로그인과 유심 복제 발생 가능성은 낮은 것으로 판단

② 미흡한 네트워크 장비 운영 (외부 노출, 비신뢰 장비와 통신 가능, 접근제어 정책 미흡) 
- 공격 전에 약 68개 이상의 라우터가 외부에 노출
> 포트 스캔을 통해 LGU+ 라우터를 특정하고 노출된 포트를 대상으로 공격을 감행한 것으로 분석

- 주요 라우터는 라우터 간 경로정보 갱신에 필수적인 통신 외에 신뢰할 수 없는 장비와도 통신이 가능한 상태로 운영
> 비정상 패킷 수신이 가능

- 접근제어 정책(ACL, Access Control List)을 통해 라우터 간 통신유형을 제한
> 보안조치가 미흡
조치 ① 각각의 문제점에 대한 시정조치 요구
- 비정상 행위 탐지·차단 대응체계 부재 (고객 개인정보 유출 관련)
> 문제점
⒜ 대용량 데이터가 외부로 유출될 때 비정상 행위의 위험성을 실시간 감시 및 통제 가능한 자동화된 시스템이 없었던 것으로 조사
⒝ 시스템별 로그 저장 기준과 보관기간도 불규칙
> 요구
 메일시스템에만 적용되어 있는 AI기반 모니터링 체계를 고객정보처리시스템까지 대상을 확대
IT 자산 중요도에 따른 로그정책과 중앙로그관리시스템을 수립·구축하고 주기적인 점검을 수행

- 네트워크 및 시스템 자산 보호·관리 미흡 (DDoS 관련)
> 문제점
⒜ 주요 네트워크 정보가 외부에 많이 노출
⒝ 침입 탐지·차단 보안장비 부재
⒞ 전사 IT 자원에 대한 통합 관리시스템도 부재 
> 요구
⒜ 분기별로 1회 이상 모든 IT자산에 대한 보안 취약점을 점검
⒝ IT자산 통합관리시스템을 도입

- 전문 보안인력 및 정보보호 투자 부족
> 문제점
⒜ 핵심 서비스와 내부정보 등을 보호하기 위한 전문인력이 부족
⒝ 정보보호 조직의 권한과 책임도 미흡, IT 및 정보보호 관련 조직이 여러 곳에 분산되어 유기적이고 빠른 대응의 어려움
⒞ 타 통신사 대비 보안투자가 상대적으로 저조
> 요구
⒜ 타 통신사와 대등한 수준으로 보강
⒝ 정보보호책임자(CISOㆍCPO)를 CEO 직속 조직으로 강화
⒞ 정보보호 강화에 필요한 예산 규모를 타 통신사와 대등한 수준 이상으로 확대하되, 장기 계획에 따른 보완 투자 요구

- 실효성 있는 보안인식 제고 방안 및 실천체계 부재
> 문제점
⒜ 단순 모의훈련은 실시하고 있으나, 최근 사이버 위협에 따른 실전형 침투훈련이 부족
⒝ 임직원 대상의 보안교육도 형식적
⒞ 바로 보안업무에 활용할 수 있는 실무형 업무매뉴얼도 부재
> 요구
⒜ 최근 사이버 위협 기반의 공격 시나리오를 개발
⒝ 맞춤형 모의훈련을 연 2회 이상 수행, 외부기관이 진행하는 모의 침투 훈련 참여 등 대응 능력 제고
⒞ 보안에 대한 경각심이 제고될 수 있도록 보안교육을 연 2회 이상 실시
⒟ 실무를 반영한 보안매뉴얼을 개발·관리
기타 ① 28일 ‘피해보상협의체’와 마련한 디도스 장애에 따른 ‘종합 피해보상안’ 발표
- 일반 개인과 사업자 고객으로 구분, 각 고객 관점에서 실질적으로 필요한 내용을 담고자 노력했다고 밝힘
- 아래 "LGU+, 472만 고객에 장애시간 대비 10배 보상…소상인도 요금감면" 뉴스 참

② 과기정통부&KISA: 지능적, 조직적인 사이버위협에 보다 선제적·체계적으로 대응을 위해 노력 중
- 기존 사이버위기 예방·대응 체계를 개편 및 관련 제도 개선을 추진
⒜ 사이버침해대응센터의 침해사고 탐지·분석 대응체계를 고도화해 나갈 계획
⒝ 기존의 탐지시스템을 ‘사이버위협통합탐지시스템’으로 통합구축
⒞ 위협 정보 조회, 연관분석을 수행해 사이버위협 고위험 대상시스템을 조기 탐지 및 식별하는 체계
⒟ 국내 기업 대상으로 활동하는 해커조직을 선별, 추적해 사이버공격 발생 이전에 수사기관 등과 공조해 대응할 수 있도록 하는 ‘능동적 사이버 공격 추적체계’를 도입
⒠ 주요 공격자의 예상되는 공격을 관찰하고 대응(프로파일링)하는 사이버공격 억지체계를 2024년도부터 구축
⒡ 사이버 위협 피해 발생 이전에 대응하는 체계를 갖춰나갈 계획

③ 법·제도 개선도 추진: 사이버위협에 신속히 대응하기 위함
⒜ 기업의 침해사고를 보다 빠르게 파악할 수 있도록 자료 제출요구에 대한 법령상 규정을 보다 명확화
⒝ 신고 내용과 신고 자료의 보호 근거를 마련하고, 침해사고가 발생해도 신고하지 않는 자에게는 최대 2,000만원까지 과태료를 부과할 수 있도록 할 계획
⒞ 사업자가 과기정통부의 침해사고 조치방안을 의무적으로 이행하도록 조치 이행점검 규정을 신설
⒟ 사고 대응, 복구 및 재발 방지 대책을 마련해 침해사고를 당한 사업자에게 필요한 조치를 하도록 권고할 수 있는데, 이 ‘권고’ 규정을 ‘권고 또는 명령’으로 할 수 있도록 개정하고, 과기정통부가 별도로 조치 이행여부를 점검할 수 있도록 체계를 마련
⒠ 피해 확산 방지, 사고대응, 복구 및 재발 방지 대책을 마련하여 침해사고를 당한 사업자에게 필요한 조치를 하도록 권고할 수 있는데 해당 권고 규정을 ‘권고 또는 명령’할 수 있도록 개정

④ 과기정통부: 제로트러스트’ 및 ‘공급망 보안’의 새로운 보안관리 체계가 자리 잡을 수 있도록 지원
⒜ 제로트러스트 보안 모델을 기업 업무환경에 맞게 적용·실증하고, 효과성을 검증하는 시범 사업을 추진
⒝ 국내 환경에 맞는 기본모델을 정립
⒞ SBOM(SW제품 구성 요소 등의 정보 명세서) 생성, 컨설팅 등 SW중소기업 대상 SW 공급망 보안 실증·지원을 확대
⒟ KISA 등 전문조직의 관련 인력확보와 표준화 도입 등을 통해 국가 차원의 공급망 보안체계 기반을 마련

⑤ 이종호 과기정통부 장관
- “기간통신사업자인 LGU+에 대한 조사·점검 결과 여러 가지 취약점이 확인되었으며, 이에 대해서는 LGU+에 책임있는 시정조치를 요구하였다.”
- “기간통신사업자는 침해사고가 국민 일상의 불편을 넘어 막대한 경제적 피해, 사회 전반의 마비 등을 야기할 수 있음을 엄중히 인식하고 사이버위협 예방 및 대응에 충분한 투자와 노력을 다함으로써 국민들의 안전한 디지털 서비스 이용을 보장해야 할 책무가 있다.”
- “정부도 날이 갈수록 다양해지고 확대되고 있는 지능적·조직적 사이버 위협에 대비하여 기존 정보보호 체계를 보다 실효성 높은 체계로 강화하여 국민들과 기업이 신뢰하는 안전한 디지털 서비스 강국을 구축해나가겠다.”

 

참고

 

보도자료 - 과학기술정보통신부

소식 보도자료 TOP

www.msit.go.kr

 

LG유플러스 개인정보 유출사건, 시스템 부족·보안정책 미비·인력 부족 등 총체적 난국이 원인

과학기술정보통신부(장관 이종호, 이하 ‘과기정통부’)가 올해 1월 초 발생한 고객 개인정보 유출 및 1월 20일, 1월 29일, 2월 4일 등 한달여 동안 잇따른 디도스 공격에 대한 최종 조사 결과를 발

www.boannews.com

 

LGU+, 472만 고객에 장애시간 대비 10배 보상…소상인도 요금감면

LG유플러스는 ‘피해보상협의체(이하 ‘협의체’)’와 마련한 디도스 장애에 따른 ‘종합 피해보상안’을 28일 발표했다. 협의체는 ▲김기홍 한국PC인터넷카페협동조합 이사장 ▲박성범 법무법

n.news.naver.com

 

1. 개인정보의 파기

개인정보보호법 제21조(개인정보의 파기) 
① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장ㆍ관리하여야 한다.
④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.

 

개인정보보호법 시행령 제16조(개인정보의 파기방법) 
① 개인정보처리자는 법 제21조에 따라 개인정보를 파기할 때에는 다음 각 호의 구분에 따른 방법으로 해야 한다. <개정 2014. 8. 6., 2022. 7. 19.>
1. 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제. 다만, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우에는 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치해야 한다.
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각
② 제1항에 따른 개인정보의 안전한 파기에 관한 세부 사항은 보호위원회가 정하여 고시한다. <신설 2014. 8. 6., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>

 

(개인정보보호위원회) 표준 개인정보 보호지침 제10조(개인정보의 파기방법 및 절차), 제11조(법령에 따른 개인정보의 보존) 
제10조(개인정보의 파기방법 및 절차)
① 개인정보처리자는 개인정보의 보유 기간이 경과하거나 개인정보의 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 그로부터 5일 이내에 그 개인정보를 파기하여야 한다. 
② 영 제16조제1항제1호의 ‘복원이 불가능한 방법’이란 현재의 기술수준에서 사회통념상 적정한 비용으로 파기한 개인정보의 복원이 불가능하도록 조치하는 방법을 말한다. 
③ 개인정보처리자는 개인정보의 파기에 관한 사항을 기록·관리하여야 한다. 
④ 개인정보 보호책임자는 개인정보 파기 시행 후 파기 결과를 확인하여야 한다. 
⑤ 개인정보처리자 중 공공기관의 개인정보파일 파기에 관하여는 제55조 및 제56조를 적용한다. 

제11조(법령에 따른 개인정보의 보존)
① 개인정보처리자가 법 제21조제1항 단서에 따라 법령에 근거하여 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 물리적 또는 기술적 방법으로 분리하여서 저장·관리하여야 한다. 
② 제1항에 따라 개인정보를 분리하여 저장·관리하는 경우에는 개인정보 처리방침 등을 통하여 법령에 근거하여 해당 개인정보 또는 개인정보파일을 저장·관리한다는 점을 정보주체가 알 수 있도록 하여야 한다. 

 

개인정보보호법 제39조의6(개인정보의 파기에 대한 특례) 
① 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.
② 정보통신서비스 제공자등은 제1항의 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항을 전자우편 등 대통령령으로 정하는 방법으로 이용자에게 알려야 한다.

 

(개인정보보호위원회) 개인정보의 안전성 확보조치 기준 제13조(개인정보의 파기)
① 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다. 
1. 완전파괴(소각ㆍ파쇄 등) 
2. 전용 소자장비를 이용하여 삭제 
3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행 
② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다. 
1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독 
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제 

 

- 개인정보가 불필요하게 되었을 때

> 개인정보처리자가 당초 고지하고 동의를 받았던 보유기간의 경과

> 동의를 받거나 법령 등에서 인정된 수집, 이용, 제공 목적의 달성 (회원탈퇴, 서비스 해지, 이벤트 종료 등)

> 회원탈퇴, 제명, 계약관계 종료, 동의철회 등에 따른 개인정보처리의 법적 근거 소멸

> 개인정보처리자의 폐업, 청산

> 대금 완제일이나 채권소멸시효기간의 만료

 

- 파기 절차

> 개인정보처리자는 개인정보의 파기에 관한 사항을 기록하고 관리하여야 함

> 보유 목적을 달성한 개인정보의 파기는 법적 의무사항으로, 위반 시 벌칙이 부과

> 다른 법령에 따라 파기하지 않고 보존해야 하는 경우 그 법적 근거를 명확히 해야 함

> 제39조의6 특례규정은 가명정보의 파기에 대해서는 적용되지 않음

2. 정보통신서비스 제공자등의 개인정보 파기

- 개인정보의 분리 저장, 관리

> 장기 미이용자(1년 또는 이용자가 정한 기간)의 개인정보는 일반 이용자의 개인정보 DB와 분리하여 별도 저장, 관리

※ 미이용 기간 산정 시 주의사항

① 유효기간 시행 주기는 영업일 기준으로 최소 5일 이내로 하여야 함

② 광고 이메일을 단순 클릭하는 것은 서비스를 이용한 것으로 볼 수 없으며, 미이용 기간에 대한 산정은 로그인여부로 판단

> 분리 저장, 관리는 파기에 준하는 조치이므로 물리적으로 DB를 분리하는 것이 바람직하나, 논리적으로 분리하는 것도 가능

> 이용자의 권리를 보호할 필요가 있거나, 향후 재이용의 가능성이 높다고 판단되는 경우, 이용자의 재이용 요청이 있는 경우를 대비하여 이용자의 편의성을 높이기 위한 목적으로 최소한의 연결 값을 DB에 남겨두는 것은 가능

 

- 개인정보 유효기간 제도

> 개인정보 유출 등 사고 시 이용자의 개인정보 뿐만 아니라 장기 미이용자의 개인정보도 상당 부분 유출되고 있음

> 장기 미이용자의 피해를 방지하고, 정보통신서비스 제공자등의 불필요한 개인정보 보관을 최소화하기 위한 제도

 

- e프라이버시 클린서비스

> 보호위원회와 한국인터넷진흥원이 개인정보를 보호하고, 명의도용, 사생활 침해 등의 피해를 예방하기 위해 2010년부터 운영

 

- 개인정보 파기 방법

구분 파기 방법 형태 내용
완전파괴 소각, 파쇄 등 지류 출력물/전자파일 개인정보가 저장된 종이문서, 하드디스크, 자기테이프를 파쇄기로 파기하거나 용해, 또는 소각장, 소각로에서 태워서 파기
전용 소자장비 디가우저 전자파일 디가우저(Degausser)를 이용해 하드디스크나 자기테이프에 저장된 개인정보 삭제 등
초기화 또는
덮어쓰기
로우레벨 포맷, 와이핑 전자파일 - 개인정보가 저장된 하드디스크에 대해 완전포맷(3회 이상 권고)
- 데이터 영역에 무작위 값(0,1등)으로 덮어쓰기(3회 이상 권고)
- 해당 드라이브를 안전한 알고리즘 및 키 길이로 암호화 저장 후 삭제하고 암호화에 사용된 키 완전 폐기 및 무작위 값 덮어쓰기 등

 

- 정보통신서비스 제공자등이 복구, 재생할 수 없는 파기 방법

구분 파기 방법 내용
하드 디스크 등 매체 전체의
데이터를 파기하는 경우
프로그램을 이용한
파기
- 하드디스크, USB 메모리의 경우 로우레벨포맷(Low level format)
※ 로우레벨포맷: 하드디스크를 공장에서 나온 초기상태로 만들어주는 포맷
- 0, 1 혹은 랜덤한 값으로 기존 데이터를 여러 번 덮어씌우는 와이핑(Wiping)
물리적인 파기 - 데이터가 저장되는 디스크 플레터에 강력한 힘으로 구멍을 내어 복구가 불가능하도록 하는 천공
- CD/DVD의 경우 가위 등으로 작은 입자로 조각 내거나, 전용 CD 파쇄기나 CD 파쇄가 가능한 문서파쇄기 등을 이용
- 고온에 불타는 종류의 매체는 소각
- 자기장치를 이용해 강한 자기장으로 데이터를 복구 불가능하게 하는 디가우저(Degausser)
고객 서비스에 이용중인
DB서버에 저장된
일부 데이터를 파기하는 경우
DBMS를 통한
파기
- 서비스 중인 DB의 해당 개인정보 위에 임의의 값(Null 값 등)을 덮어쓰기한 후 삭제(Delete)
- DB의 특정부분에 덮어쓰기가 곤란한 경우에는 테이블 데이터에 대한 논리적인 삭제(Delete)도 허용되나, 신속하게 다른 데이터로 덮어쓰기(Overwriting)될 수 있도록 운영

3. 노출된 개인정보의 삭제, 차단

개인정보보호법 제39조의10(노출된 개인정보의 삭제ㆍ차단) 
① 정보통신서비스 제공자등은 주민등록번호, 계좌정보, 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 아니하도록 하여야 한다.
② 제1항에도 불구하고 공중에 노출된 개인정보에 대하여 보호위원회 또는 대통령령으로 지정한 전문기관의 요청이 있는 경우 정보통신서비스 제공자등은 삭제ㆍ차단 등 필요한 조치를 취하여야 한다.
[본조신설 2020. 2. 4.]

 

- 공중에 노출된 개인정보에 대한 삭제, 차단 등 필요한 조치 의무

노출 원인 조치 내용 예시
관리자 부주의 - 마스킹 및 삭제 조치(공통)
- 관리자 페이지에 대한 안전한 접속 수단 혹은 인증수단 적용
- 노출된 개인정보에 대한 접근 제어
이용자 부주의 - 마스킹 및 삭제 조치(공통)
- 개인정보를 입력하지 않도록 안내
- 게시판 운영을 비공개로 전환
설계 및 개발 오류 - 마스킹 및 삭제 조치(공통)
- 홈페이지 설계 변경, 디렉터리 설정 변경 등 조치
검색엔진 등을 통한 노출 - 마스킹 및 삭제 조치(공통)
- 당해 검색엔진에 캐쉬 페이지 삭제 등 요청
- 노출된 개인정보에 로봇배제 규칙을 적용하여 외부 검색엔진의 접근 자체를 차단
- 시스템의 계정, 로그 등 점검 후 분석 결과에 따른 접속 경로 차단 조치

4. 개인정보 처리 시 유의 사항

원인 위험 대책
개인정보 미파기로 인한
관리 소홀
개인정보 유출 위험 개인정보 파기, 파기기록 보관 및 검토
개인정보 분리보관
미흡
개인정보 오남용 위험 법적 보존하여야 할 개인정보 분리 보관 및 접근권한 제한
목적 상실 개인정보
이용
홍보 및 마케팅 권유 또는 광고 전송 등 홍보 마팅, 광고 전송 시 대상자 및 수신 동의 여부 확인
휴면 이용자 개인정보
파기 프로세스 미흡
휴면(서비스 장기 미이용) 이용자 개인정보 미파기 휴면 이용자 개인정보 파기 프로세스 수립
보유기간 초과로 인한
법 위반 소지
파기 관련 법적 준거성 미준수 개인정보 파기, 주기적 검토
법령상 보존 의무 개인정보
처리 기록을 남기지 않음
버렵에 의한 개인정보 처리 기록 보존 의무 미준수 법령에 의한 기록 보존 의무 대상 정보 조사 및 보관

 

1.개인정보 수집 및 이용

개인정보보호법 제15조(개인정보의 수집ㆍ이용)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다. <신설 2020. 2. 4.>

 

개인정보보호법 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)
① 정보통신서비스 제공자는 제15조제1항에도 불구하고 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하는 개인정보의 항목
3. 개인정보의 보유ㆍ이용 기간
② 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집ㆍ이용할 수 있다.
1. 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다)의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
3. 다른 법률에 특별한 규정이 있는 경우
③ 정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부해서는 아니 된다. 이 경우 필요한 최소한의 개인정보는 해당 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 정보를 말한다.
④ 정보통신서비스 제공자는 만 14세 미만의 아동으로부터 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 하고, 대통령령으로 정하는 바에 따라 법정대리인이 동의하였는지를 확인하여야 한다.
⑤ 정보통신서비스 제공자는 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 하는 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용하여야 한다.
⑥ 보호위원회는 개인정보 처리에 따른 위험성 및 결과, 이용자의 권리 등을 명확하게 인지하지 못할 수 있는 만 14세 미만의 아동의 개인정보 보호 시책을 마련하여야 한다.
[본조신설 2020. 2. 4.]

 

- 개인정보의 수집, 이용이 가능한 경우 상세

① 법률에 특별한 규정이 있는 경우

> 법률에서 개인정보의 수집, 이용을 구체적으로 요구하거나 허용하고 있어야 함

> 법률에 위임근거가 없는 한 시행령이나 시행규칙에 규정하는 것은 인정하지 않음

② 법령상 의무 준수

> 법령에서 개인정보처리자에게 일정한 의무를 부과하고 있는 경우로, 의무 이행을 위해 불가피하게 개인정보를 수집, 이용하는 경우

> 법률에 의한 의무뿐만 아니라 시행령, 시행규칙에 따른 의무도 포함

③ 공공기관이 법령 등에서 정하는 소관 업무의 수행

> 공공기관의 경우 개인정보를 수집할 수 있도록 명시적으로 허용하는 법률 규정이 없더라도 법령 등에서 소관업무를 지정

④ 정보주체와의 계약의 체결 및 이행

> 계약 체결에는 계약 체결을 위한 준비단계도 포함

> 계약 이행은 물건의 배송, 전달이나 서비스의 이행과 같은 주된 의무의 이행뿐만 아니라 부수의무(경품배달, 포인트 관리, 애프터 서비스 등) 등의 이행도 포함

⑤ 급박한 생명, 신체, 재산의 이익을 위하여 필요

⑥ 개인정보처리자의 정당한 이익을 달성

 

- 개인정보의 추가적인 이용

추가적 이용 요건 설명
당초 수집 목적과 관련성이
있는지 여부
- 당초 수집 목적과 추가적 이용, 제공의 목적 사이에 관련성을 고려
- 관련성이 있다는 것은 당초 수집 목적과 추가적 이용, 제공의 목적이 서로 그 성질이나 경향 등에 있어서 연관이 있다는 것을 의미
개인정보를 수집한 정황 또는
처리 관행에 비추어 볼 때
개인정보의 추가적인 이용 또는
제공에 대한 예측 가능성이
있는지 여부
- 수집 정황이나 처리 관행에 비추어 합리적으로 예측 가능한지 고려하여야 함
- 정황은 개인정보의 수집 목적, 내용, 추가적 처리를 하는 개인정보처리자와 정보주체간의 관계, 현재의 기술 수준과 그 기술의 발전 속도 등 비교적 구체적 사정을 의미
- 관행은 개인정보 처리가 비교적 오랜 기간 정립된 일반적 사정을 의미
정보주체의 이익을 부당하게
침해하는지 여부
- 정보주체의 이익을 부당하게 침해하는지 여부는 정보주체의 이익을 실질적으로 침해하는지와 해당 이익 침해가 부당한지를 고려
- 추가적인 이용의 목적이나 의도와의 관계에서 판단되어야 함
가명처리 또는 암호화 등
안전성 확보에 필요한 조치를
하였는지 여부
- 개인정보 침해 우려를 최소화하기 위하여, 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하여야 함
개인정보의 추가적인 이용 시
고려하여야 할 사항
- 개인정보처리자는 위 고려사항에 대한 구체적 기준을 스스로 정하여 개인정보 처리방침에 미리 공개하여야 함

2. 동의를 받는 방법

개인정보보호법 제22조(동의를 받는 방법)
① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제6항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다. <개정 2017. 4. 18.>
② 개인정보처리자는 제1항의 동의를 서면(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 전자문서를 포함한다)으로 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집ㆍ이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 보호위원회가 고시로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다. <신설 2017. 4. 18., 2017. 7. 26., 2020. 2. 4.>
③ 개인정보처리자는 제15조제1항제1호, 제17조제1항제1호, 제23조제1항제1호 및 제24조제1항제1호에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다. <개정 2016. 3. 29., 2017. 4. 18.>
④ 개인정보처리자는 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다. <개정 2017. 4. 18.>
⑤ 개인정보처리자는 정보주체가 제3항에 따라 선택적으로 동의할 수 있는 사항을 동의하지 아니하거나 제4항 및 제18조제2항제1호에 따른 동의를 하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다. <개정 2017. 4. 18.>
⑥ 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다. <개정 2017. 4. 18.>
⑦ 제1항부터 제6항까지에서 규정한 사항 외에 정보주체의 동의를 받는 세부적인 방법 및 제6항에 따른 최소한의 정보의 내용에 관하여 필요한 사항은 개인정보의 수집매체 등을 고려하여 대통령령으로 정한다. <개정 2017. 4. 18.>

 

개인정보보호법 시행령 제48조의3(법정대리인 동의의 확인방법) 
① 정보통신서비스 제공자는 법 제39조의3제4항에 따라 다음 각 호의 어느 하나에 해당하는 방법으로 법정대리인이 동의했는지를 확인해야 한다.
1. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 정보통신서비스 제공자가 그 동의 표시를 확인했음을 법정대리인의 휴대전화 문자메시지로 알리는 방법
2. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 신용카드ㆍ직불카드 등의 카드정보를 제공받는 방법
3. 동의 내용을 게재한 인터넷사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 휴대전화 본인인증 등을 통하여 본인 여부를 확인하는 방법
4. 동의 내용이 적힌 서면을 법정대리인에게 직접 발급하거나, 우편 또는 팩스를 통하여 전달하고 법정대리인이 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법
5. 동의 내용이 적힌 전자우편을 발송하고 법정대리인으로부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법
6. 전화를 통하여 동의 내용을 법정대리인에게 알리고 동의를 받거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 받는 방법
7. 그 밖에 제1호부터 제6호까지의 규정에 따른 방법에 준하는 방법으로 법정대리인에게 동의 내용을 알리고 동의의 의사표시를 확인하는 방법
② 정보통신서비스 제공자는 개인정보 수집 매체의 특성상 동의 내용을 전부 표시하기 어려운 경우 법정대리인에게 동의 내용을 확인할 수 있는 방법(인터넷주소ㆍ사업장 전화번호 등)을 안내할 수 있다.
[본조신설 2020. 8. 4.]

 

- 개인정보의 수집매체에 따른 동의를 받는 방법

개인정보보호법 시행령 제17조(동의를 받는 방법)
① 개인정보처리자는 법 제22조에 따라 개인정보의 처리에 대하여 다음 각 호의 어느 하나에 해당하는 방법으로 정보주체의 동의를 받아야 한다.
1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법
2. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법
3. 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법
4. 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법
5. 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법
6. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법

 

- 수집매체 5가지 방법에 준하는 방법

> 전자문서를 통해 동의 내용을 정보주체에게 알리고 정보주체의 전자서명을 받는 방법

> 개인 명의의 휴대전화 문자메세지를 이용한 동의

> 신용카드 비밀번호를 입력하는 방법 등도 해당

3. 개인정보 간접 수집

개인정보보호법 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)
① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.
1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실
② 제1항에도 불구하고 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다. <신설 2016. 3. 29.>
③ 제2항 본문에 따라 알리는 경우 정보주체에게 알리는 시기ㆍ방법 및 절차 등 필요한 사항은 대통령령으로 정한다. <신설 2016. 3. 29.>
④ 제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다. <개정 2016. 3. 29.>
1. 고지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우
2. 고지로 인하여 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

 

개인정보보호법 시행령 제15조의2(개인정보 수집 출처 등 고지 대상ㆍ방법ㆍ절차)
① 법 제20조제2항 본문에서 “대통령령으로 정하는 기준에 해당하는 개인정보처리자”란 다음 각 호의 어느 하나에 해당하는 개인정보처리자를 말한다.
1. 5만명 이상의 정보주체에 관하여 법 제23조에 따른 민감정보(이하 “민감정보”라 한다) 또는 법 제24조제1항에 따른 고유식별정보(이하 “고유식별정보”라 한다)를 처리하는 자
2. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자
② 제1항 각 호의 어느 하나에 해당하는 개인정보처리자는 법 제20조제1항 각 호의 사항을 서면ㆍ전화ㆍ문자전송ㆍ전자우편 등 정보주체가 쉽게 알 수 있는 방법으로 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알려야 한다. 다만, 법 제17조제2항제1호부터 제4호까지의 사항에 대하여 같은 조 제1항제1호에 따라 정보주체의 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알리거나 그 동의를 받은 날부터 기산하여 연 1회 이상 정보주체에게 알려야 한다.
③ 제1항 각 호의 어느 하나에 해당하는 개인정보처리자는 제2항에 따라 알린 경우 다음 각 호의 사항을 법 제21조 또는 제37조제4항에 따라 해당 개인정보를 파기할 때까지 보관ㆍ관리하여야 한다.
1. 정보주체에게 알린 사실
2. 알린 시기
3. 알린 방법

 

개인정보보호법 표준 지침 제9조(개인정보 수집 출처 등 고지) 
① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 법 제20조제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니 하다. 
1. 고지를 요구하는 대상이 되는 개인정보가 법 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우 
2. 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 
② 개인정보처리자는 제1항 단서에 따라 제1항 전문에 따른 정보주체의 요구를 거부하는 경우에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 그 거부의 근거와 사유를 정보주체에게 알려야 한다. 

 

- 정보주체 이외의 의미

> 제3자로부터 제공받은 정보

> 신문, 잡지, 인터넷 등에 공개되어 있어 수집한 정보

 

- 가명정보의 처리에는 적용되지 않음

4. 목적 외 이용 및 제공 제한

개인정보보호법 제18조(개인정보의 목적 외 이용ㆍ제공 제한) 
① 개인정보처리자는 개인정보를 제15조제1항 및 제39조의3제1항 및 제2항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다. <개정 2020. 2. 4.>
② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 이용자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 처리하는 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)의 경우 제1호ㆍ제2호의 경우로 한정하고, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다. <개정 2020. 2. 4.>
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 삭제 <2020. 2. 4.>
5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의ㆍ의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
8. 법원의 재판업무 수행을 위하여 필요한 경우
9. (刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
③ 개인정보처리자는 제2항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다)
3. 이용 또는 제공하는 개인정보의 항목
4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
④ 공공기관은 제2항제2호부터 제6호까지, 제8호 및 제9호에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 보호위원회가 고시로 정하는 바에 따라 관보 또는 인터넷 홈페이지 등에 게재하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
⑤ 개인정보처리자는 제2항 각 호의 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다. 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 한다.
[제목개정 2013. 8. 6.]

 

- 공공기관에서 개인정보 목적 외 이용 및 제3자 제공시 기록, 관리해야 하는 사항 (개인정보보호법 시행령 제15조(개인정보의 목적 외 이용 또는 제3자 제공의 관리))

① 이용하거나 제공하는 개인정보 또는 개인정보파일의 명칭

② 이용기관 또는 제공받는 기관의 명칭

③ 이용 목적 또는 제공받는 목적

④ 이용 또는 제공의 법적 근거

⑤ 이용하거나 제공하는 개인정보의 항목

⑥ 이용 또는 제공의 날짜, 주기 또는 기간

⑦ 이용하거나 제공하는 형태

⑧ 법 제18조제5항에 따라 제한을 하거나 필요한 조치를 마련할 것을 요청한 경우에는 그 내용

 

- 공공기관 관보 또는 인터넷 홈페이지 게재 시점 및 기간 (개인정보 처리 방법에 관한 고시 제2조(공공기관에 의한 개인정보의 목적 외 이용 또는 제3자 제공의 공고))

> 게재 시점: 목적 외 이용, 제공한 날로부터 30일 이내

> 게재 기간: 인터넷 홈페이지에 게재하는 경우 10일 이상

> 게재 정보

① 목적외이용등을 한 날짜 

② 목적외이용등의 법적 근거 

③ 목적외이용등의 목적 

④ 목적외이용등을 한 개인정보의 항목(구성) 

5. 영리목적의 광고성 정보 전송 제한

정보통신망법 제50조(영리목적의 광고성 정보 전송 제한)
① 누구든지 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 사전 동의를 받지 아니한다. <개정 2016. 3. 22., 2020. 6. 9.>
1. 재화등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 대통령령으로 정한 기간 이내에 자신이 처리하고 수신자와 거래한 것과 같은 종류의 재화등에 대한 영리목적의 광고성 정보를 전송하려는 경우
2. 「방문판매 등에 관한 법률」에 따른 전화권유판매자가 육성으로 수신자에게 개인정보의 수집출처를 고지하고 전화권유를 하는 경우
② 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우에는 영리목적의 광고성 정보를 전송하여서는 아니 된다.
③ 오후 9시부터 그 다음 날 오전 8시까지의 시간에 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 그 수신자로부터 별도의 사전 동의를 받아야 한다. 다만, 대통령령으로 정하는 매체의 경우에는 그러하지 아니하다.
④ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 대통령령으로 정하는 바에 따라 다음 각 호의 사항 등을 광고성 정보에 구체적으로 밝혀야 한다.
1. 전송자의 명칭 및 연락처
2. 수신의 거부 또는 수신동의의 철회 의사표시를 쉽게 할 수 있는 조치 및 방법에 관한 사항
⑤ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 다음 각 호의 어느 하나에 해당하는 조치를 하여서는 아니 된다.
1. 광고성 정보 수신자의 수신거부 또는 수신동의의 철회를 회피ㆍ방해하는 조치
2. 숫자ㆍ부호 또는 문자를 조합하여 전화번호ㆍ전자우편주소 등 수신자의 연락처를 자동으로 만들어 내는 조치
3. 영리목적의 광고성 정보를 전송할 목적으로 전화번호 또는 전자우편주소를 자동으로 등록하는 조치
4. 광고성 정보 전송자의 신원이나 광고 전송 출처를 감추기 위한 각종 조치
5. 영리목적의 광고성 정보를 전송할 목적으로 수신자를 기망하여 회신을 유도하는 각종 조치
⑥ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 수신자가 수신거부나 수신동의의 철회를 할 때 발생하는 전화요금 등의 금전적 비용을 수신자가 부담하지 아니하도록 대통령령으로 정하는 바에 따라 필요한 조치를 하여야 한다.
⑦ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 수신자가 제1항에 따른 사전 동의, 제2항에 따른 수신거부의사 또는 수신동의 철회 의사를 표시할 때에는 해당 수신자에게 대통령령으로 정하는 바에 따라 수신동의, 수신거부 또는 수신동의 철회에 대한 처리 결과를 알려야 한다.
⑧ 제1항 또는 제3항에 따라 수신동의를 받은 자는 대통령령으로 정하는 바에 따라 정기적으로 광고성 정보 수신자의 수신동의 여부를 확인하여야 한다.

 

정보통신망법 시행령 제61조(영리목적의 광고성 정보 전송기준) ~ 제62조의3(수신동의 여부의 확인)
제61조(영리목적의 광고성 정보 전송기준) 
① 법 제50조제1항제1호에서 “대통령령으로 정한 기간”이란 해당 재화등의 거래가 종료된 날부터 6개월을 말한다. <개정 2014. 11. 28.>
② 법 제50조제3항 단서에서 “대통령령으로 정하는 매체”란 전자우편을 말한다. <신설 2014. 11. 28.>
③ 법 제50조제4항에 따라 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자가 해당 정보에 명시하여야 할 사항과 그 방법은 별표 6과 같다. <개정 2014. 11. 28.>

제62조(수신거부 또는 수신동의 철회용 무료전화서비스 등의 제공) 
법 제50조제6항에 따라 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 별표 6에서 정하는 바에 따라 수신거부 및 수신동의 철회용 무료전화서비스 등을 해당 정보에 명시하여 수신자에게 이를 제공하여야 한다. <개정 2011. 3. 29., 2014. 11. 28.>

제62조의2(수신동의 등 처리 결과의 통지) 
법 제50조제7항에 따라 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 수신자가 수신동의, 수신거부 또는 수신동의 철회 의사를 표시한 날부터 14일 이내에 다음 각 호의 사항을 해당 수신자에게 알려야 한다.
1. 전송자의 명칭
2. 수신자의 수신동의, 수신거부 또는 수신동의 철회 사실과 해당 의사를 표시한 날짜
3. 처리 결과

제62조의3(수신동의 여부의 확인) 
① 법 제50조제1항 또는 제3항에 따라 수신자의 사전 동의를 받은 자는 같은 조 제8항에 따라 그 수신동의를 받은 날부터 2년마다(매 2년이 되는 해의 수신동의를 받은 날과 같은 날 전까지를 말한다) 해당 수신자의 수신동의 여부를 확인하여야 한다.
② 제1항에 따라 수신동의 여부를 확인하려는 자는 수신자에게 다음 각 호의 사항을 밝혀야 한다.
1. 전송자의 명칭
2. 수신자의 수신동의 사실과 수신에 동의한 날짜
3. 수신동의에 대한 유지 또는 철회의 의사를 표시하는 방법

 

- 영리 목적의 광고성 정보의 개념

> 전송자가 경제적 이득을 취할목적으로 전송하는 정보로 전송을 하게 한 자도 전송자에 포함

> 영리법인은 존재 목적이 영리추구이기 때문에 원칙적으로 모두 광고성 정보에 해당

> 비영리법인은 전송하는 정보의 성격에 따라 영리목적 광고성 여부를 판단

> 구체적인 재화나 서비스의 홍보가 아니더라도 발송하는 정보가 발신인의 이미지 홍보에 해당하는 경우 광고성 정보로 볼 수 있음

> 주된 정보가 광고성 정보가 아니더라도 부수적으로 광고성 정보가 포함되어 있으면 전체가 광고성 정보에 해당

 

- 영리 목적의 광고성 정보의 예외

> 수신자와 이전에 체결하였던 거래를 용이하게 하거나, 완성 또는 확인하는 것이 목적의 정보

> 수신자가 사용하거나 구매한 재화 또는 서비스에 대한 설명, 보증, 제품 리콜, 안전 또는 보안 관련 정보

> 고객의 요청에 의해 발송하는 1회성 정보  (견적서 등)

> 수신자가 금전적 대가를 지불하고 신청한 정보 (뉴스레터, 주식정보 등)

> 전송자가 제공하는 재화 또는 서비스에 대해 수신자가 구매 또는 이용과 관련한 안내 및 확인 정보 (회원 등급 변경, 포인트 소멸 안내 등)

> 명시적인 계약체결을 하여 정보를 전송하되 이를 대가로 직접적인 수익이 발생하지 않아야 하며, 정보의 내용이 서비스, 재화 구매와 직접적인 관련이 없는 정보

 

- 광고의 표시 기준

> 광고를 표시하는 경우 수신자의 수신거부를 회피하기 위한 목적으로 빈칸, 부호, 문자 등을 삽입하거나 표시방법을 조작하는 조치를 하여서는 안됨

> 광고성 정보의 표시의무사항을 이미지파일로 하여 전송하는 것도 금지

 

- 옵트인(Opt-in)과 옵트아웃(Opt-out)

> 옵트인(선동의 후사용): 정보주체에게 동의를 받은 후 개인정보를 처리하는 방식

> 옵트아웃(선사용 후배제): 정보주체의 동의를 받지 않고 개인정보를 수집, 이용한 후 당사자가 거부의사를 밝히면 개인정보 활용을 중지하는 방식

 

- 약관 동의와 일괄 동의 금지

> 약관과 개인정보 처리에 대한 동의를 일괄로 받는 경우 정보주체가 처리에 대한 사항을 자세하게 인지하지 못할 우려 존재

> 개인정보 처리에 대한 동의와 약관에 대한 동의는 별개로 받아야 함

 

- 수신거부 의사표시를 쉽게 할 수 있는 조치 및 방법

> 수신 거부 및 수신 동의 철회의 의사표시를 쉽게 할 수 있는 조치 및 방법을 광고 본문에 표기하여 구체적으로 밝혀야 함

> 동 조치에 의해 수신 거부 또는 동의 철회가 쉽게 이루어지지 않거나 불가능할 경우 이를 표기하지 않은 것으로 간주

 

- 광고 정기적 동의 여부 확인

> 수신 동의 했다는 사실에 대한 안내의무를 부과한 것이므로 재동의를 받을 필요는 없음

> 수신자의 의사표시가 없는 경우 수신동의 의사가 그대로 유지되는 것으로 봄

6. 개인정보 수집 및 이용 시 유의사항

- 동의, 고지, 통지, 안내 용어 설명

용어 정의 용도 정보주체 피드백 사례
고지 기별을 보내어 사전에 알게 함 어떤 방식으로든 상대방에게 무엇을 알게 하는 경우 불필요 수집동의 고지, 납세 고지서, 범칙금 고지서
동의 의사나 의견을 같이함 고지 행위를 승인하거나 시인하는 경우 필요 개인정보 수집 동의, 광고 전송 수신 동의
통지 게시나 글을 통하여 사후에 알림 게시나 글이 매개가 되어 상대방에게 무엇을 알리는 경우 불필요 침해사실 통지, 입영 통지서
안내
(공개,게시)
어떤 내용을 소개하여 알려줌 어떤 사실이나 사물, 내용 따위를 여러 사람에게 알리는 경우 불필요 개인정보 처리방침 공개, 인터넷 웹사이트 공지

 

- 개인정보 동의 관련 유의 사항

> 동의를 받는 경우 명확히 표시해야 하는 중요 내용

개인정보보호법 시행령 제17조(동의를 받는 방법) 제2항
② 법 제22조제2항에서 “대통령령으로 정하는 중요한 내용”이란 다음 각 호의 사항을 말한다. <신설 2017. 10. 17.>
1. 개인정보의 수집ㆍ이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
2. 처리하려는 개인정보의 항목 중 다음 각 목의 사항
가. 제18조에 따른 민감정보
나. 제19조제2호부터 제4호까지의 규정에 따른 여권번호, 운전면허의 면허번호 및 외국인등록번호
3. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
4. 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적

 

개인정보 처리 방법에 관한 고시 제4조(서면 동의 시 중요한 내용의 표시 방법)
법 제22조제2항에서 "보호위원회가 고시로 정하는 방법"이란 다음 각 호의 방법을 말한다.  
1. 글씨의 크기는 최소한 9포인트 이상으로서 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 할 것 
2. 글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것 
3. 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것 

 

- 개인정보 수집 동의 시 유의 사항

유의 사항 설명
필수, 선택 구분 필수정보와 선택정보 구분
시점에 따라 동의 배송주소, 결제용 신용카드 번호, 환불 계좌는 필요한 시점에 동의
고지 항목 포함 목항기거, 목항기거자 등 (목적, 항목, 기간, 거부, 제공받는 자)
포괄적 안내 금지 개인정보 항목에서 등
디폴트 동의 체크 금지 웹 페이지에서 사전 동의 체크 금지
모두 동의 금지 개인정보 수집 목적별 별도 동의
만 14세 아동 법정대리인 동의 아동 나이 체크, 부모 연락처 동의 거절 시 파기
동의 기록 보존 기록 보존

 

- 개인정보 수집, 이용 시 위험 및 대책

원인 위험 대책
과도한 개인정보 수집, 이용 오남용, 유출로 인한 정보주체 개인정보 침해 - 정보주체 동의, 법적 근거에 수집, 이용
- 필수정보, 선택정보 구분하여 수집
정보주체 개인정보 수집 시
불명확한 고지
개인정보 처리에 대한 정보주체의 개인정보 자기결정권 침해 우려 개인정보 수집 시 법적 요건에 맞게 명확하게 고지 후 동의
고유식별정보 등
별도 동의 절차 미흡
개인정보 수집 시 별도 동의 법 위반 및 개인정보 자기결정권 침해 우려 고유식별정보, 민감정보, 홍보 및 마케팅, 제3자 제공, 목적외 이용 등 개인정보 수집 시 별도 동의
만14세 미만 아동
개인정보 무단 수집이용
만14세 미만 아동의 개인정보 오남용 피해 및 개인정보 수집 동의 법 위반 만14세 미만 아동 개인정보 수집 시 법정대리인 동의
수집, 동의 사실 등
기록 보관 미흡
이용내역 통지, 정보주체 요구 시 동의 사실 등 통지 미흡 수집, 동의 사실 기록 보관
영상정보처리기기 설치, 운영 시
보호조치 미흡
영상정보처리기기에 개인영상정보 오남용으로 인한 정보주체 피해 법적 요건 확인 후 설치, 안내판 설치, 공공기관 의견 수렴절차 이행, 개인영상정보 열람 등 조치
홍보 및 마케팅 목적
개인정보 무단수집, 이용
원하지 않는 광고 수신 및 판매 권유로 인한 정보주체 스트레스 등 피해 - 홍보 및 마케팅 목적 개인정보 수집 별도 동의
- 광고성 정보전송 수신 동의
- 수신 거부 절차 마련 및 수신 거부 시 처리결과 전송
- 매 2년마다 광고성 정보전송 수신 재동의 이행

23.04.14 한국인터넷진흥원 침해센터에 이메일 내 개인정보(본인을 제외한 다른 사용자 29명의 이메일 주소)와 관련한 유출 문의에대한 답변이 왔다. 답변을 다음과 같이 요약할 수 있었다.

 

① 개인정보의 유출이란 『표준 개인정보 보호지침』 제25조에 의거, 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 권한이 없는 자에게 개인정보가 전달되는 것을 말함. 즉 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 것

② 본 사안과 같이 정보주체의 정보에 대하여 권한이 없는 자에게 전달되었거나 접근을 허용하였다면 위 내용에 따라 개인정보 유출로 볼 소지가 있음

③ 관련하여 『개인정보 보호법』 제29조 및 동법 시행령 제30조에서는 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하도록 규정

④ 피신고업체가 상기 법률에 따른 안전성 확보에 필요한 조치의무를 하지 아니하였다면 동법 제75조제2항 제6호에 따라 법 위반의 소지가 있음

 

해당 기관의 홈페이지 개인정보 처리방침을 확인해보니 "개인정보의 안전성 확보조치에 관한 사항"이 있었고, 내용은 개인정보 취급 직원의 최소화 및 교육, 비인가자에 대한 출입 통제 등이 있었다. 이에 따라, 기존 문의 사항이 개인정보 유출에 해당하는지 검토를 요청하였다.

 

그리고, 공부하면서 혼동이 생겼던 부분에 대해서도 문의를 진행하였다.

1. 개인정보 분쟁조정

- 개인정보 분쟁조정제도

> 의의

개인정보 피해 특징 의미
빠른 파급 속도와 원상회복 불가능 개인정보 침해를 당한 국민의 피해를 신속하고 원만하게 구제한다는데 그 의미
분쟁 시 소송 비용 증가 비용 없이 신속하게 분쟁을 해결할 수 있는 조정

 

- 개인정보 분쟁조정 효력

> 재판상 화해의 효력이 부여

> 조정성립 후 당사자가 결정내용을 이행하지 않을 경우 법원으로부터 집행문을 부여받아 강제집행을 할 수 있음

 

- 개인정보 분쟁조정 제도의 유형

구분 분쟁 유형 요건
개인정보 분쟁조정 당사자 사이에 분쟁이 있는 경우 누구든지 신청 가능
집단 분쟁조정 분쟁이 집단성을 띠고, 오남용 개인정보 항목이나 피해의 유형이 같거나 비슷한 경우 권리침해를 입은 정보주체의 수가 50인 이상이어야 하고, 사건의 중요한 쟁점이 사실상 또는 법률상 공통되어야 함

 

- 개인정보 분쟁조정 위원회

개인정보 피해 특징 의미
개인정보보호위원회 소속 개인정보보호위원회는 개인정보에 관한 분쟁의 조정을 위하여 개인정보 분쟁조정위원회를 둠
준사법적 기구 위원회는 개인정보와 관련한 분쟁사건을 합리적이고 원만하게 조정하여 해결하는 준사법적 기구

 

- 개인정보 분쟁조정 위원회 

> 설립근거: 개인정보보호법 제40조 제1항 ① 개인정보에 관한 분쟁의 조정(調停)을 위하여 개인정보 분쟁조정위원회(이하 “분쟁조정위원회”라 한다)를 둔다.

> 구성: 위원장 1명을 포함한 20명 이내의 위원

> 조정업무의 효율적 처리를 위해 조정부를 설치 할 수 있음_조정사건의 분야별로 위원장이 지명하는 5명 이내의 위원으로 구성하되, 1명은 변호사 자격이 있는 위원이어야 함

> 기능 및 권한: 필요 시 조정 진행 전 당사자에게 합의 권고, 필요 자료의 제공을 분쟁당사자에게 요청, 사건 심의를 통한 손해배상 결정, 시정권고 등

 

- 조정위원의 신분보장

> 분쟁조정의 독립성 보장: 위원은 자격정지 이상의 형을 선고받거나 심신상의 장애로 직무를 수행할 수 없는 경우를 제외하고는 그의 의사에 반하여 면직되거나 해촉되지 아니함

※ 자격정지 이상의 형: 사형, 무기징역, 무기금고, 유기징역, 유기금고

> 분쟁조정의 공정성 보장

용어 정의 비고
재촉 분쟁조정사건의 심의, 의결에서 배제되는 것 분쟁조정위원회는 분쟁조정 제척사유에 해당하는 위원을 분쟁조정사건의 심의, 의결에 포함시켜서는 안됨
기피 당사자의 일방 또는 쌍방이 분쟁조정사건의 심의, 의결에서 특정 위원을 배제시켜 달라고 요구하는 것 당사자는 특정 위원에게 공정한 심의, 의결을 기대하기 어려운 사정이 있으면 위원장에게 기피신청을 할 수 있으며, 이 경우 위원장은 기피신청에 대하여 단독으로 결정함
회피 위원이 공정한 결정을 내리기 곤란하다고 인정할만한 상당한 사유가 있는 경우에 특정 분쟁조정사건의 심의, 의결에서 스스로 빠지는 것 위원은 특정 사건이 제1항 또는 제2항의 사유에 해당하는 경우에는 스스로 그 사건의 심의, 의결에 참여하지 않을 수 있음

 

- 개인정보 분쟁조정 유형

> 개인정보 분쟁조정 절차

단계 절차 설명
신청사건의 접수
및 통보
- 개인정보에 관한 분쟁조정은 웹사이트, 우편 등을 통해 신청인이 직접 또는 대리로 신청
- 분쟁조정사건이 접수되면 신청자와 상대방에게 접수사실이 통보됨
사실확인
및 당사자 의견청취
- 사건담당자는 전화, 우편, 전자우편 등 다양한 수단을 이용한 자료 수집을 통해 분쟁조정 사건에 대한 사실조사를 실시
- 사실조사가 완료되면 이를 토대로 사실조사보고서를 작성해 본 사건을 위원회에 회부
조정전 합의권고 - 개인정보분쟁조정위원회는 조정에 들어가기 앞서 당사자간의 자율적인 노력에 의해 원만히분쟁이 해결될 수 있도록 합의를 권고
- 합의권고에 의해 당사자간의 합의가 성립하면 사건이 종료 됨
위원회의 조정절차 개시 - 조정 전 합의가 이루어지지 않으면 위원회를 통해 조정절차가 진행 됨
- 조정절차가 진행되면 당사자의 의견 청취, 증거수집, 전문가 자문 등 필요한 절차를 거쳐 쌍방에 합당한 조정안을 제시 및 받아들일 것을 권고
조정의 성립 - 개인정보분쟁조정위원회의 조정을 통해 내려진 결정에 대하여 조정안을 받은날부터 15일 이내에 신청인과 상대방이 수락한 경우 조정이 성립
- 당사자가 위원회의 조정안을 수락하고자 하는 경우, 위원회가 송부한 조정서에 기명날인하여 위원회에 제출
- 양 당사자가 모두 조정안을 수락하면 조정이 성립되어 조정서가 작성되고 조정절차가 종료됨
- 당사자 중 일방이 조정안을 수락하지 않을 경우, 민사소송을 제기하는 등 다른 구제절차를 진행할 수 있음
효력의 발생 - 개인정보분쟁조정위원회의 조정 결정에 대해 신청인과 상대방이 이를 수락하여 조정이 성립된 경우, 개보법 제47조 제5항의 규정에 따라 양 당사자간의 조정서는 재판상 화해와 같은 효력을 지님

 

> 집단 분쟁조정 절차

단계 절차 설명
집단 분쟁조정 신청 - 국가, 지방자치단체, 한국소비자원 또는 소비자단체, 사업자가 개인정보분쟁조정위원회에 서면으로 의로 또는 신청
- 피해 또는 권리침해를 입은 정보주체의 수가 50명 이상이고, 사건의 중요한 쟁점(피해의 원인이나 결과)이 사실상 또는 법률상 공통되어야 함
집단 분쟁조정 절차의 개시
및 공고
- 집단분쟁조정을 의로 또는 신청받은 개인정보분쟁조정위원회의 의결로 집단분쟁조정의 절차를 개시할 수 있음
- 개인정보분쟁조정위원회는 인터넷 홈페이지 또는 일간지에 14일 이상 그 절차의 개시를 공고하여야 함
참가신청 - 집단분쟁조정의 당사자가 아닌 정보주체 또는 개인정보처리자가 추가로 당사자로 참가하려면 해당 사건의 집단분쟁조정 절차에 대한 공고에서 정하는 기간 내 문서로 신청 가능
조정결정 - 개인정보분쟁조정위원회는 집단분쟁조정의 당사자 중에서 공동의 이익을 대표하기에 적합한 1인 또은 수인을 대표당사자로 선임할 수 있고, 분쟁조정위원회는 대표당사자를 상대로 조정절차를 진행
- 조정위원회는 집단분쟁조정절차 개시 공고가 종료한 날로부터 60일 이내에 조정을 마쳐야 하며, 부득이한 사정이 있는 경우 조정기한을 연장할 수 있음
- 조정결정된 내용은 당사자에게 통보되고, 당사자가 통보를 받은 날로부터 15일 이내에 분쟁조정의 내용에 대한 수락 여부를 조정위원회에 통보해야하며, 이 경우 15일 이내에 의사표시가 없는 때에는 불수락한 것으로 봄
- 조정이 성립된 경우 그 조정내용은 재판상 화해와 동일한 효력이 있음
보상권고 - 개인정보분쟁조정위원회는 피신청인이 분쟁조정위원회의 집단분쟁조정의 내용을 수락한 경우에 집단분쟁조정의 당사자가 아닌 자로서 피해를 입은 정보주체에 대한 보상계획서를 작성하여 제출하도록 권고할 수 있음
- 보상계획서 제출을 권고받은 개인정보처리자는 그 권고를 받은 날부터 15일 이내에 권고의 수락여부를 통지
- 분쟁조정위원장은 집단분쟁조정 절차에 참가하지 못한 정보주체가 보상계획서에 따라 피해보상을 받을 수 있도록 사업자가 제출한 보상계획서를 일정한 기간 동안 인터넷 홈페이지 등을 통해 알릴 수 있음

2. 개인정보 단체소송

개인정보보호법 제51조(단체소송의 대상 등) ~ 제53조(소송대리인의 선임)
다음 각 호의 어느 하나에 해당하는 단체는 개인정보처리자가 제49조에 따른 집단분쟁조정을 거부하거나 집단분쟁조정의 결과를 수락하지 아니한 경우에는 법원에 권리침해 행위의 금지ㆍ중지를 구하는 소송(이하 “단체소송”이라 한다)을 제기할 수 있다.
1. 「소비자기본법」 제29조에 따라 공정거래위원회에 등록한 소비자단체로서 다음 각 목의 요건을 모두 갖춘 단체
가. 정관에 따라 상시적으로 정보주체의 권익증진을 주된 목적으로 하는 단체일 것
나. 단체의 정회원수가 1천명 이상일 것
다. 「소비자기본법」 제29조에 따른 등록 후 3년이 경과하였을 것
2. 「비영리민간단체 지원법」 제2조에 따른 비영리민간단체로서 다음 각 목의 요건을 모두 갖춘 단체
가. 법률상 또는 사실상 동일한 침해를 입은 100명 이상의 정보주체로부터 단체소송의 제기를 요청받을 것
나. 정관에 개인정보 보호를 단체의 목적으로 명시한 후 최근 3년 이상 이를 위한 활동실적이 있을 것
다. 단체의 상시 구성원수가 5천명 이상일 것
라. 중앙행정기관에 등록되어 있을 것

제52조(전속관할) 
① 단체소송의 소는 피고의 주된 사무소 또는 영업소가 있는 곳, 주된 사무소나 영업소가 없는 경우에는 주된 업무담당자의 주소가 있는 곳의 지방법원 본원 합의부의 관할에 전속한다.
② 제1항을 외국사업자에 적용하는 경우 대한민국에 있는 이들의 주된 사무소ㆍ영업소 또는 업무담당자의 주소에 따라 정한다.

제53조(소송대리인의 선임) 
단체소송의 원고는 변호사를 소송대리인으로 선임하여야 한다.

 

- 의의

> 개인정보 침해의 피해 확산 속도 및 규모의 대형화 - 피해를 입은 불특정 다수의 개인들의 비조직화, 파편화 = 비대칭성

> 피해구제를 정보주체인 개인에게만 맡겨두면 실질적인 피해구제가 이루어지기 어려운 문제 발생가능

> 미국식 '집단소송제도'와 유럽식 '단체소송제도'가 있음

구분 집단소송(Class Action) 단체소송(Verbandsklage)
개념 피해 집단에 속해 있는 개인에게 당사자 적격을 인정하여 그로 하여금 집단구성원 전원을 위하여 소송을 수행할 수 있게 하는 제도 일정한 자격을 갖춘 단체로 하여금 전체 피해자들의 이익을 위해 소송을 제기할 수 있는 권한을 부여하는 제도
청구권자 이해관계가 밀접한 다수의 피해자집단(대표당사자가 소송수행) 일정 요건을 구비한 소비자단체 등(단체가 소송수행)
소송목적 금전적 피해구제(손해배상청구) 위법행위의 금지, 중지
기대효과 피해의 사후적 구제 피해의 확산방지 및 예방
판결의 효과 모든 피해자에게 판결의 효과가 미침(제외 신청을 한 사람은 제외) 다른 단체에게도 판결의 효력

 

- 분쟁조정 전치주의

> 개인정보단체소송을 제기하기 위해서는 반드시 개인정보 집단분쟁조정 절차를 거쳐야 함_불필요한 소송의 남발을 막기 위함

> 개인정보처리자가 조정위원회의 집단분쟁조정을 거부하거나 집단분쟁조정의 결과를 수락하지 아니한 경우에만 개인정보단체소송을 제기할 수 있음

 

- 개인정보단체소송의 대상 및 청구범위

구분 요건 비고
대상 개인정보 처리와 관련한 정보주체의 권리를 침해하는 행위 - 청구취지 자체가 법원에 권리침해 행위의 금지, 중지를 구하는 내용이므로 최소한 소제기 당시 권리침해 행위가 계속되고 있어야 함
- 단체소송 중 개인정보처리자의 권리침해행위가 금지 또는 중지되었다면 그 단체소송은 더 이상 보호할 권리가 없으므로 특별한 사정이 없으면 소송의 이익을 상실하여 각하됨
청구범위 권리침해 행위의 금지 또는 중지 - 금전을 청구하는 소송이나 권리침해를 이전으로의 원상회복을 구하는 취지의 소송은 단체소송을 통해서 제기할 수 없음

 

- 소송대리인의 선임

> 집단분쟁조정: 청구인 중에서 대표당사자 선임

> 단체소송: 변호사를 소송대리인으로 선임

 

- 확정판결의 효력

> 원고의 청구를 기각하는 판결이 확정된 경우 이와 동일한 사안에 관하여는 다른 소비자단체나 비영리단체도 다시 단체소송을 제기할 수 없음

> 그러나 개별 정보주체들은 개인정보 단체소송의 결과에 관계 없이 소송 제기 가능

> 원고가 청구 기각 판결을 받았더라도 판결이 확정된 후 새로운 증거가 나타나거나 기각판결이 원고의 고의로 인한 것임이 밝혀진 경우 다른 단체가 동일 사안에 대해 다시 단체소송을 제기할 수 있음

개인정보보호법과 CPPG 공부를 시작하면서, 관련 웹 사이트 및 법령, 그리고 관련된 뉴스 등을 찾아보고 있다. 평소에 블로그 글을 게시하면서 혹은 게시하기 위해 보안뉴스를 매일 읽어본다.

 

최근 읽었던 보안뉴스 중 KISA는 ‘2023년 1분기 AI 스피커 보안 취약점 집중신고포상제’ 시행 과정에서 이메일 동보 발송으로 인해 이메일 주소 1,509건의 개인정보 유출이 있었다.

 

그리고, 오늘 개인정보보호법 중 '개인정보 유출통지 및 신고' 관련 내용을 학습하다가 이메일 관련 FAQ를 볼 수 있었다.

 

그 내용은 "공문 발송 시 수신자 각자의 개인정보가 포함되는데 이 경우도 개인정보 유출에 해당하는지"이며, 관련 답변은 "수신자별로 공문 발송이 이루어져야 하며, 단체 메일 발송 시 수신자의 메일 주소가 공개된 경우 개인정보보호법 상의 개인정보 유출에 해당한다"이다.

 

관련하여 혹시 수신한 메일 중에 해당 사항이 있는지 확인해 보았다. 과거에 한 기관에서 모집 안내 관련 메일을 수신한 적이 있는데 수신자에 본인을 제외한 타 사용자의 메일 주소가 포함되어 있었다.

 

앞서 확인한 뉴스와 FAQ 내용을 토대로 해당 메일이 개인정보 유출에 해당하는지 KISA 개인정보 침해센터에 문의를 하였다.

 

정보보안기사나 네트워크, 데이터베이스 등을 공부할 때 명령을 입력해 보고, 테이블을 직접 만들어 보면서 공부를 했는데 글로 보는 것보다 훨씬 이해하기 쉬웠고, 기억에도 오래 남는 것 같다. 개인정보보호법과 CPPG는 법이라는 특성상 단어나 내용이 이해가 되지 않아 어려운 점이 많다. 그러다 보니 흥미도 또한 상대적으로 떨어지게 되는 것 같다. 이번 이메일 사례처럼 혹시나 본인과 관련된 사항은 없는지 또는 관련된 사례나 결과가 어떻게 되었는지 등을 확인해 보면 이해도나 기억력 부문에서 앞선 경험처럼 오래 남을 것 같다.

+ Recent posts