1. 개념

구분 개인정보보호 관리체계
개념 - 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 종합적인 체계
- 기업이 고객의 개인정보 보호활동을 체계적ㆍ지속적으로 수행하기 위해 필요한 일련의 조치
- 기업이 정보주체의 개인정보를 안전하게 보호할 수 있도록 기술적ㆍ관리적ㆍ물리적ㆍ조직적인 다양한 보호대책을 구현하고 지속적으로 관리ㆍ운영하는 종합적인 체계
등장배경 - 고객 개인정보는 비즈니스 이익 창출의 원동력과 유출사고로 인한 리스크 요소
- 침해시도 행위의 목적은 기존의 실력과시에서 금전적 이익 획득으로 변화하고 있음
- OECD의 개인정보보호 8원칙이 최초 국제규범으로 채택되고 대다수의 국가가 개인정보보호법을 보유
- 전사적 차원의 개인정보보호활동에 대한 기존의 기밀정보 보호중심의 보호체계의 한계
- 개인정보 침해사고로 인한 법률 분쟁시, 개인정보보호 노력에 대한 객관적 증빙 필요
기대효과 외부 - 적절한 법률적 대응
- 대내외 신뢰 증진
내부 - 개인정보 관리수준 제고 및 지속적 유지
- 유출사고로 인한 재산 피해와 사전 보호대책을 위한 지나친 투자비용 남용 방지
- 개인정보보호 관련 기술 및 노하우 축적

 

구분 개인정보보호 관리체계
수립시
고려사항
- (보호대상) 조직이 보호해야 하는 고객의 개인정보와 그 가치의 근거
- (처리과정) 고객의 개인정보의 수집, 이용, 전달, 저장, 파기 과정
- (보호수준) 고객의 개인정보의 적절한 관리와 보호의 수준
- (보호방안) 고객의 개인정보의 보호를 위한 적절한 방법
위험요소 - (기밀성) 허가되지 않은 사람에 대한 개인정보자산의 노출 여부
- (무결성) 허가되지 않은 사람에 의한 개인정보자산의 변경ㆍ훼손 여부
- (준거성) 관련하여 법률적으로 규정된 사항에 대한 준수 여부
관리절차
(PDCA)
- (계획) 명확한 목표 설정 및 전략 수립
- (실행) 수립된 계획을 실행
- (검토) 수립된 계획대비 실행의 결과를 검토
- (반영) 검토결과를 차기 계획에 반영

 

2. 국내외 개인정보보호 관리체계

구분 내용 국가 인증명 주간기관 비고
개인정보 보호
마크제도
개인정보보호 관련 일정 요건을 갖춘 사이트 대상 마크 부여 미국 BBBOnline
마크제도
미국
경영개선협회
개인정보방침 심사
일본 프라이버시
마크제도
일본정보처리
개발협회
(JIPDEC)
개인정보보호 체계심사
개인정보보호
관리체계
인증 제도
개인정보를 안전하게 보호할 수 있도록 기술적ㆍ관리적ㆍ물리적ㆍ조직적인 다양한 보호대책을 구현하고 지속적으로 관리ㆍ운영하는 종합적인 체계 한국 ISMS-P
(정보보호 및
개인정보보호
관리체계 인증)
과기부, 개보위 정보보호 및 개인정보 보호 관리체계 인증
(적용대상) 개인정보의 흐름과 정보보호 영역 인증
국제표준 ISO 27001 ISO/IEC 경영시스템 중 정보보호관리체계 시스템 심사 및 인증
영국 BS 10012 BSI Group 개인정보경영시스템(PIMS) 심사 및 인증
공공기관의
개인정보 보호
평가제도
공공기관의 개인정보 관리체계 및 유출 예방 활동 등을 진단하여 국민의 개인정보가 안전하게 관리될 수 있는 기반 조성을 유도하기 위한 제도 한국 PIA
(개인정보
영향평가)
개보위 개인정보 영향평가
(적용대상) 개인정보 파일을 구축ㆍ운영 또는 변경하려는 공공기관
개인정보보호
수준진단
개보위 공공기관 관리수준 진단
(적용대상) 중앙행정기관 및 산하 공공기관, 지방자치단체, 지방공기업

 

3. 주요 개인정보 관리체계

3.1 개인정보 영향평가 

 

KISA 한국인터넷진흥원

 

www.kisa.or.kr

 

(개인정보보호위원회) 개인정보 영향평가에 관한 고시

 

www.law.go.kr

 

3.2 공공기관 개인정보보호 수준진단

 

개인정보보호위원회

해당 페이지의 만족도와 소중한 의견 남겨주세요.

www.pipc.go.kr

 

3.3 개인정보보호관리체계

 

KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 제도소개

> ISMS-P > 제도소개 종합 정보보호 관리체계를 만들어갑니다

isms.kisa.or.kr

 

KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 자료실

 

isms.kisa.or.kr

1.보호조치 기준 개요

- 개인정보의 안전성 확보조치 기준개인정보의 기술적ㆍ관리적 보호조치 기준으로 구분할 수 있음

구분 개인정보의 안전성 확보조치 기준 개인정보의 기술적ㆍ관리적 보호조치 기준
규제기관 개인정보보호위원회
대상자 개인정보처리자 정보통신서비스 제공자 등
고시 근거 개인정보보호법
- 제23조 제2항 (민감정보의 처리 제한)
- 제24조 제3항 (고유식별정보의 처리 제한)
- 제29조 (안전조치의무)
개인정보보호법
- 제29조 (안전조치의무)
개인정보보호법 시행령
- 제21조 (고유식별정보의 안전성 확보 조치)
- 제30조 (개인정보의 안전성 확보 조치)
개인정보보호법 시행령
- 제48조의2 (개인정보의 안전성 확보 조치에 관한 특례)
처벌 규정 - 안전성 확보에 필요한 조치를 하지 않은 자 (제29조 위반)
- 3천만원 이하 과태료 (제75조 제2항 제6호)
- 안전성 확보에 필요한 조치를 하지 않아서 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손당한 자 (제29조 위반)
- 2년 이하의 징역 또는 2천만원 이하 벌금 (제73조 제1항)
- 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 경우로서 제29조의 조치(내부관리계획 수립에 관한 사항 제외)를 하지 않은 자 (제29조 위반)
- 위반행위와 관련한 매출액의 100분의 3 이하 과징금 (제39조의15 제1항 제5호)

 

- 기준별 보호조치 요약

구분 개인정보처리자 정보통신서비스 제공자등
세부기준 개인정보의 안전성 확보조치 기준 개인정보의 기술적ㆍ관리적 보호조치 기준
내부 관리계획의
수립ㆍ시행
1만 명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 적용 제외 사업 규모에 따른 예외 규정 없음
접근통제 개인정보처리시스템에 대한 접근권한 부여 등의 내역 기론 보관 의무: 최소 3년간 보관 개인정보처리시스템에 대한 접근권한 부여 등의 내역 기록 보관 의무: 최소 5년간 보관
비밀번호 설정 관련 세부 기준을 명시하지 않음
※ 해설서 기준
- 10자리 이상: 영문 대문자와 소문자, 특수문자, 숫자 중 1종류 이상 조합
- 8자리 이상: 영문 대문자와 소문자, 특수문자, 숫자 중 3종류 이상 조합
개인정보취급자의 비밀번호 작성 규칙을 구체적 명시
- 10자리 이상: 영문, 특수문자, 숫자 중 2종류 이상 조합
- 8자리 이상: 영문, 특수문자, 숫자 중 3종류 이상 조합
외부 인터넷망 차단 의무화 규정 없음 사업자, 개인정보취급자 기준에 해당하는 자의 PC 등에 대한 외부 인터넷망 차단 의무화
고유식별정보의 경우 연 1회 이상 취약점 점검 -
암호화 대상
(개인정보처리시스템
저장 시)
- 비밀번호 (일방향 암호화)
- 고유식별정보
- 비밀번호 (일방향 암호화)
- 고유식별정보
- 신용카드번호
- 계좌번호
접속기록 접속기록 범위: 개인정보취급자 등 계정, 접속일시, 접속지 정보, 처리한 정보주체정보, 수행업무 등 접속기록 범위: 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무 등
개인정보 처리시스템 접속기록은 최소 1년 이상 보관
5만 명 이상 정보주체의 개인정보를 처리하거나 고유식별정보 또는 민감정보 처리 개인정보처리시스템의 경우 최소 2년 이상 보관
개인정보 처리시스템 접속기록은 최소 1년 이상 보관
기간통신사업자는 최소 2년 이상 보관

 

- 개인정보의 안전성 확보조치 기준 유형 분류 기준

유형 유형1(완화) 유형2(표준) 유형3(강화)
적용 대상 1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 - 100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업
- 10만명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
- 1만명 이상의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인
10만명 이상의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
100만명 이상의 정보주체에 관한 개인정보를 보유한 중소기업, 단체
적용 기준 - 제5조 : 제2항부터 제5항까지
- 제6조 : 제1항, 제3항, 제6항 및 제7항
- 제7조 : 제1항부터 제5항까지, 제7항
- 제8조, 제9조, 제10조, 제11조, 제13조
- 제4조 : 제1항제1호부터 제11호까지 및 제15호, 제3항부터 제4항까지
- 제5조
- 제6조 : 제1항부터 제7항까지
- 제7조 : 제1항부터 제5항까지, 제7항
- 제8조, 제9조, 제10조, 제11조, 제13조
- 제4조부터 제13조까지

 

- 개인정보의 기술적ㆍ관리적 보호조치 기준 적용 대상자

구분 기준이 적용되는 경우
기준
적용
대상자
정보통신
서비스
제공자등
정보통신
서비스
제공자
전기통신
사업자
기간통신사업자
(전기통신사업법 제5조 제2항)
음성․데이터 등의 송․수신, 주파수 할당․제공, 전기통신회선설비임대역무, 기간통신역무제공 등
부가통신사업자
(전기통신사업법 제5조 제3항)
기간통신사업자의 전기통신회선설비를 임차하여 기간통신역무 외의 전기통신역무 제공 등
영리를 목적으로
전기통신사업자의 전기통신역무를 이용해
정보를 제공하거나 매개하는 자
인터넷 홈페이지 등을 운영하는 영리를 목적으로 하는 사업자 등
정보통신서비스 제공자로부터 법 제17조에 따라
이용자의 동의를얻어 개인정보를 제공받은 자
업무제휴 등을 위해 이용자의 동의를 얻어 개인정보를 제공받은 자 등
방송사업자 (개인정보 보호법 제39조의14) 시청자의 개인정보를 수집․이용 또는
제공하는 자 등
(IPTV 사업자는 직접 적용)
수탁자 (개인정보 보호법 제26조) 수탁자는 법 제29조의 기술적․관리적
보호조치 규정을 준용 등
다른 법률에서 이 법의 적용을 받는 자 다른 법률에서 특별히 규정된 때 등

 

참고

 

(개인정보보호위원회)개인정보의안전성확보조치기준

 

www.law.go.kr

 

KISA 한국인터넷진흥원

 

www.kisa.or.kr

 

(개인정보보호위원회)개인정보의기술적·관리적보호조치기준

 

www.law.go.kr

 

KISA 한국인터넷진흥원

 

www.kisa.or.kr

 

1. 개인정보 제공

- 개인정보 제3자 제공의 의미

> 개인정보의 제공이란 개인정보처리자외의 제3자에게 개인정보의 지배, 관리권이 이전되는 것을 의미

> 개인정보를 저장한 매체나 수기문서를 전달하는 경우뿐만 아니라, DB 시스템에 대한 접속권한을 허용하여 열람, 복사가 가능하게 하여 개인정보를 공유하는 경우 등도 포함됨

 

- 제3자의 의미

구분 정의 제3자 해당 여부 비고 사례
정보주체 개인정보의 소유자 미해당 본인의 개인정보
자기졀정권리 행사
개인정보 수집을 허용
개인정보처리자 개인정보를 처리하는 자 미해당 수집 목적이 다를 시
목적외 이용
공공기관, 일반사업자, 개인, 단체 등
영업 양수자 영업을 양도받은 자 해당 수집 목적이 같고
처리 주체만 다름
개인정보가 포함된 사업인수, 합병, 분할 등
수탁자 업무를 위탁 받은 자 해당 위탁자의 이익을 위해
개인정보 처리
배송업체, 콜센터 등
제3자
제공받은 자
수집목적과 달리 개인정보를 제공 받은 자 해당 제3자의 이익을 위해
개인정보 처리
제휴 판매사, 계열회사, 모회사-자회사, 관계회사
국외이전
받은 자
정보주체의 개인정보를 받은 국외 처리 자 해당 위탁, 제3자 제공
모두 해당할 수 있음
해외 지사, 글로벌 해외 소재 회사

 

- 제공의 의미

구분 제공 방법 제공 레벨 제공 사례
저장매체를 통한 전달 물리적 사물 디스크, 테이프, 외장하드, USB, CD, 출력물 전달
네트워크를 통한 전송 논리적 네트워크 파일 업로드, 파일 다운로드,  FTP 등을 통한 파일 전송
DB 제3자 접근권한 부여 논리적 데이터베이스 개인정보 DB 제3자 열람, 복사 등 권한 부여
개인정보처리시스템
접근권한 부여
논리적 응용프로그램 종류 다양
기타 확인 행위 N/A 다양 육안, SMS, 이메일 등

 

- 제3자 제공, 처리 위탁, 영업양도 시 개인정보 이전의 차이점

구분 제3자 제공 처리 위탁 양도 개인정보 이전
목적 제공받는 자(제3자)의 목적, 이익을 위해 개인정보 이전 제공하는 자의 목적, 이익을 위해 개인정보 이전 개인정보 처리목적은 유지되고 단지 개인정보의 보유, 관리 주체만 변경
관리책임 개인정보 이전 후에는 제공 받는 자 (제3자)의 관리범위에 속함 개인정보 이전 후에도 원칙적으로 제공하는 자의 관리범위에 속함 영업양도, 합병 후에는 양수자의 관리범위에 속함
허용요건 정보주체 고지, 동의 또는 법률의 규정 등 처리위탁사실 공개 정보주체에게 통지
위반 시 처벌 형사벌금(5년 이하 징역 또는 5천 만원 이하 벌금) 과태료(2천만원 이하) 과태료(1천만원 이하)
사례 기업 간 이벤트 또는 업무 제휴 등을 통한 개인정보 제공 콜센터, A/S 센터 등의 외부 위탁 기업 간 양도, 합병

2. 개인정보 제3자 제공

개인정보보호법 제17조(개인정보의 제공) 
① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. <개정 2020. 2. 4.>
1. 정보주체의 동의를 받은 경우
2. 제15조제1항제2호ㆍ제3호ㆍ제5호 및 제39조의3제2항제2호ㆍ제3호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
③ 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.
④ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다. <신설 2020. 2. 4.>

 

개인정보보호법 시행령 제14조의2(개인정보의 추가적인 이용ㆍ제공의 기준 등) 
① 개인정보처리자는 법 제15조제3항 또는 제17조제4항에 따라 정보주체의 동의 없이 개인정보를 이용 또는 제공(이하 “개인정보의 추가적인 이용 또는 제공”이라 한다)하려는 경우에는 다음 각 호의 사항을 고려해야 한다.
1. 당초 수집 목적과 관련성이 있는지 여부
2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
3. 정보주체의 이익을 부당하게 침해하는지 여부
4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
② 개인정보처리자는 제1항 각 호의 고려사항에 대한 판단 기준을 법 제30조제1항에 따른 개인정보 처리방침에 미리 공개하고, 법 제31조제1항에 따른 개인정보 보호책임자가 해당 기준에 따라 개인정보의 추가적인 이용 또는 제공을 하고 있는지 여부를 점검해야 한다.
[본조신설 2020. 8. 4.]

 

개인정보보호법 제15조(개인정보의 수집ㆍ이용) 및 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)
② 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집ㆍ이용할 수 있다.
1. 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다)의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
3. 다른 법률에 특별한 규정이 있는 경우

 

- 개인정보의 수집, 이용기준과 제공기준의 비교

기준 수집, 이용(제15조) 제공(제17조)
정보주체의 동의를 받은 경우 가능 가능
법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 가능 수집목적 범위 내에서
제공 가능
공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 가능 수집목적 범위 내에서
제공 가능
정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 가능 제공불가
(정보주체 동의 필요)
정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 가능 수집목적 범위 내에서
제공 가능
개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우 가능 제공불가
(정보주체 동의 필요)

3. 개인정보 국외이전

개인정보보호법 제39조의12(국외 이전 개인정보의 보호)
① 정보통신서비스 제공자등은 이용자의 개인정보에 관하여 이 법을 위반하는 사항을 내용으로 하는 국제계약을 체결해서는 아니 된다.
② 제17조제3항에도 불구하고 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)ㆍ처리위탁보관(이하 이 조에서 “이전”이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 제3항 각 호의 사항 모두를 제30조제2항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁ㆍ보관에 따른 동의절차를 거치지 아니할 수 있다.
③ 정보통신서비스 제공자등은 제2항 본문에 따른 동의를 받으려면 미리 다음 각 호의 사항 모두를 이용자에게 고지하여야 한다.
1. 이전되는 개인정보 항목
2. 개인정보가 이전되는 국가이전일시 및 이전방법
3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다)
4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간
④ 정보통신서비스 제공자등은 제2항 본문에 따른 동의를 받아 개인정보를 국외로 이전하는 경우 대통령령으로 정하는 바에 따라 보호조치를 하여야 한다.
⑤ 이용자의 개인정보를 이전받는 자가 해당 개인정보를 제3국으로 이전하는 경우에 관하여는 제1항부터 제4항까지의 규정을 준용한다. 이 경우 “정보통신서비스 제공자등”은 “개인정보를 이전받는 자”로, “개인정보를 이전받는 자”는 “제3국에서 개인정보를 이전받는 자”로 본다.
[본조신설 2020. 2. 4.]

 

개인정보보호법 제39조의13(상호주의) 
제39조의12에도 불구하고 개인정보의 국외 이전을 제한하는 국가의 정보통신서비스 제공자등에 대하여는 해당 국가의 수준에 상응하는 제한을 할 수 있다. 다만, 조약 또는 그 밖의 국제협정의 이행에 필요한 경우에는 그러하지 아니하다.
[본조신설 2020. 2. 4.]

 

- 개인정보의 국외 제3자 제공

> 개인정보처리자는 동의 받은 범위를 초과하여 국외 제3자에게 제공하여서는 아니 됨

> 그러나 법 제18조 제2항 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 동의 받은 범위를 초과하여 국외 제3자에게 제공할 수 있음

> 공공기관은 제18조 제2항 제5호~제9호까지의 경우에 해당하는 경우에만 동의 받은 범위를 초과하여 국외 제3자에게 제공할 수 있음

> 정보통신서비스 제공자등이 국외 제3자 제공을 포함하여 개인정보를 국외로 이전하는 경우에는 제39조의2에 따라 동의를 받아야하며, 제18조 제2항 제1호, 제2호에 해당하는 경우에만 동의 받은 범위를 초과하여 국외로 이전 가능

 

- 개인정보 국외 이전 동의 시 고지사항

개인정보보호법 제17조(개인정보의 제공) 개인정보보호법 제39조의12(국외 이전 개인정보의 보호)
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
1. 이전되는 개인정보 항목
2. 개인정보가 이전되는 국가, 이전일시 및 이전방법
3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다)
4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간

 

- 국외 이전 시 정보주체 동의 의무

개인정보처리자 - 개인정보보호법 제17조(개인정보의 제공) 정보통신서비스 제공자 - 개인정보보호법 제39조의12(국외 이전 개인정보의 보호)
③ 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.
※ 고지만해도 된다는 예외 조항이 없으므로 국외의 제3자 제공 동의를 받아야 함
② 제17조제3항에도 불구하고 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 조에서 “이전”이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 제3항 각 호의 사항 모두를 제30조제2항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁ㆍ보관에 따른 동의절차를 거치지 아니할 수 있다.

 

- 개인정보 국외 이전에 관한 계약 시 고려사항

개인정보처리자 - 개인정보보호법 제17조(개인정보의 제공) 정보통신서비스 제공자 - 개인정보보호법 시행령 제48조의10(개인정보 국외 이전 시 보호조치)
개인정보보호법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 됨 정보통신서비스 제공자 등은 아래의 사항을 개인정보를 국외에서 이전받는 자와 미리 협의하고, 이를 계약내용 등에 반영하여야 함
1. 제48조의2제1항에 따른 개인정보 보호를 위한 안전성 확보 조치
2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
3. 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치

4. 개인정보 처리 위탁

개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 
① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항
3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 “수탁자”라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다. <개정 2015. 7. 24.>
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.
⑦ 수탁자에 관하여는 제15조부터 제25조까지, 제27조부터 제31조까지, 제33조부터 제38조까지 및 제59조를 준용한다.

 

개인정보보호법 시행령 제28조(개인정보의 처리 업무 위탁 시 조치)  
① 법 제26조제1항제3호에서 “대통령령으로 정한 사항”이란 다음 각 호의 사항을 말한다.
1. 위탁업무의 목적 및 범위
2. 재위탁 제한에 관한 사항
3. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
4. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
5. 법 제26조제2항에 따른 수탁자(이하 “수탁자”라 한다)가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
② 법 제26조제2항에서 “대통령령으로 정하는 방법”이란 개인정보 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)가 위탁자의 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재하는 방법을 말한다.
③ 제2항에 따라 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 위탁하는 업무의 내용과 수탁자를 공개하여야 한다.
1. 위탁자의 사업장등의 보기 쉬운 장소에 게시하는 방법
2. 관보(위탁자가 공공기관인 경우만 해당한다)나 위탁자의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목ㆍ다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식지ㆍ홍보지 또는 청구서 등에 지속적으로 싣는 방법
4. 재화나 용역을 제공하기 위하여 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법
④ 법 제26조제3항 전단에서 “대통령령으로 정하는 방법”이란 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법(이하 “서면등의 방법”이라 한다)을 말한다.
⑤ 위탁자가 과실 없이 제4항에 따른 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 위탁자의 경우에는 사업장등의 보기 쉬운 장소에 30일 이상 게시하여야 한다.
⑥ 위탁자는 수탁자가 개인정보 처리 업무를 수행하는 경우에 법 또는 이 영에 따라 개인정보처리자가 준수하여야 할 사항과 법 제26조제1항 각 호의 사항을 준수하는지를 같은 조 제4항에 따라 감독하여야 한다.

 

- 위탁 증가와 위험

> 분업화에 따라 비용절감, 업무효율화, 서비스 개선 등 다양한 목적으로 위탁 사례 증가 및 개인정보 재유통, 남용 등의 위험 증가

> 업무위탁으로 인한 개인정보 침해유형

① 판매실적 증대를 위한 무분별한 재위탁 등 개인정보의 재제공

② 고객 개인정보를 이용하여 부가서비스 등 다른 서비스에 무단 가입

③ 고객 DB를 빼내어 판매

④ 정보시스템 안전조치 미비로 인한 개인정보 유출 등

 

- 위탁의 유형

구분 설명 유형
개인정보처리업무 위탁 개인정보의 수집, 관리 업무 그 자체를 위탁 개인정보처리시스템 운영 업무 위탁
개인정보취급업무 위탁 개인정보의 이용, 제공이 수반되는 일반업무를 위탁 - 홍보, 판매권유 등 마케팅 업무의 위탁
- 상품배달, 애프터서비스 등 계약이행업무의 위탁

 

- 업무 위탁과 제3자 제공 비교

구분 업무 위탁 제3자 제공
관련조항 개인정보보호법 제26조 개인정보보호법 제17조
예시 배송업무 위탁, TM 위탁 사업제휴, 개인정보 판매
이전 목적 위탁자의 이익을 위해 처리(수탁업무 처리) 제3자의 이익을 위해 처리
예측 가능성 정보주체가 사전 예측 가능
(정보주체의 신뢰 범위 내)
정보주체가 사전 예측 곤란
(정보주체의 신뢰 범위 밖)
이전 방법 원칙: 위탁사실 공개
예외: 위탁사실 고지(마케팅 업무위탁)
원칙: 제공목적 등 고지 후 정보주체 동의 획득
관리, 감독 책임 위탁자 책임 제공받는 자 책임
손해배상 책임 위탁자 부담(사용자 책임) 제공받는 자 부담

 

- 위탁 목적 등 문서화

① 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항

② 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항

③ 위탁업무의 목적 및 범위

④ 재위탁 제한에 관한 사항

⑤ 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항

⑥ 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항

⑦ 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

 

- 수탁자 선정 시 고려사항

① 인력

② 물적 시설

③ 재정 부담능력

④ 기술 보유의 정도

⑤ 책임능력 등 수탁자의 개인정보 처리 및 보호 역량

5. 영업의 양도양수

개인정보보호법 제27조(영업양도 등에 따른 개인정보의 이전 제한)
① 개인정보처리자는 영업의 전부 또는 일부의 양도ㆍ합병 등으로 개인정보를 다른 사람에게 이전하는 경우에는 미리 다음 각 호의 사항을 대통령령으로 정하는 방법에 따라 해당 정보주체에게 알려야 한다.
1. 개인정보를 이전하려는 사실
2. 개인정보를 이전받는 자(이하 “영업양수자등”이라 한다)의 성명(법인의 경우에는 법인의 명칭을 말한다), 주소, 전화번호 및 그 밖의 연락처
3. 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차
② 영업양수자등은 개인정보를 이전받았을 때에는 지체 없이 그 사실을 대통령령으로 정하는 방법에 따라 정보주체에게 알려야 한다. 다만, 개인정보처리자가 제1항에 따라 그 이전 사실을 이미 알린 경우에는 그러하지 아니하다.
③ 영업양수자등은 영업의 양도ㆍ합병 등으로 개인정보를 이전받은 경우에는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공할 수 있다. 이 경우 영업양수자등은 개인정보처리자로 본다.

 

개인정보보호법 시행령 제29조(영업양도 등에 따른 개인정보 이전의 통지)
① 법 제27조제1항 각 호 외의 부분과 같은 조 제2항 본문에서 “대통령령으로 정하는 방법”이란 서면등의 방법을 말한다.
② 법 제27조제1항에 따라 개인정보를 이전하려는 자(이하 이 항에서 “영업양도자등”이라 한다)가 과실 없이 제1항에 따른 방법으로 법 제27조제1항 각 호의 사항을 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 한다. 다만, 인터넷 홈페이지에 게재할 수 없는 정당한 사유가 있는 경우에는 다음 각 호의 어느 하나의 방법으로 법 제27조제1항 각 호의 사항을 정보주체에게 알릴 수 있다. <개정 2020. 8. 4.>
1. 영업양도자등의 사업장등의 보기 쉬운 장소에 30일 이상 게시하는 방법
2. 영업양도자등의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목ㆍ다목 또는 같은 조 제2호에 따른 일반일간신문ㆍ일반주간신문 또는 인터넷신문에 싣는 방법

 

- 영업양도, 양수 등의 통지시기

> 영업양도자등이 정보주체에게 개인정보의 이전 사실 등을 통지할 때에는 개인정보를 이전하기 전에 미리 통지

> 최소한 정보주체가 이전 사실을 확인하고 회원탈퇴 등의 권리를 행사할 수 있는 충분한 시간적 여유가 주어져야 함

> 또한, 개인정보를 이전하는 경우에는 실제 개인정보 DB가 이전되는 시점이 아닌 합병 등 계약 체결 시점에 통지하여야 함

> 정보주체에게 개인정보의 이전사실 등을 통지할 떄에는 개인정보를 이전받은 후 지체 없이 통지하야 함

 

- 개인정보의 목적 외 이용, 제공 금지

> 영업양수자등은 영업의 양도, 합병 등으로 개인정보를 이전받은 경우 이전 당시의 본래의 목적으로만 이용 및 제공할 수 있음

> 목적 외 다른 용도로 이용 및 제공하고자 할 경우 관련 규정(개보법 제18조)에 따라 별도 동의를 받거나 다른 요건을 충족하여야 함

 

- 가명정보의 적용 제외

> 가명정보를 이전하는 경우에는 적용되지 않음

6. 개인정보 제공 시 유의사항

- 개인정보 제공 시 위험 및 대책

원인 위험 대책
개인정보 취급자 증가 개인정보 오남용으로 인한 침해 위험 증가 개인정보 제공 시 최소한의 개인정보를 최소권한에 따라 처리
침해로 인한 책임소재 불분명 침해 원인 및 책임 소재 파악 어려움 개인정보 처리에 대해 계약서 등으로 손해배상 명시
개인정보보호 통제력 약화 제3자에게 통제할 수 있는 영향력 감소 개인정보 처리 관리감독, 처리 제한, 재위탁 시 승인 등 보호대책 이행
정보주체 제공 사실
고지/통지/공유 미흡
개인정보 제공에 대한 예측 어려움 제공 시 고지 및 동의, 개인정보 처리방침 공개 또는 정보주체 통지

 

- 개인정보 제공 유형별 유의사항

구분 제3자 제공 처리 위탁 양도 개인정보 이전 국외 이전
고지, 동의, 통지 제3자 제공 시 명확히 고지 후 별도 동의 - 동의 불필요
- 홍보 및 판매 권유 시 정보주체 통지
개인정보 이전 사실 통지 개인정보 국외 이전 시 명확히 고지 후 별도 동의
개인정보
처리방침
공개(제3자 제공 현황) 공개(업무 내용 및 수탁자) N/A 국외 이전 사실 공개
보호대책
통제
- 제3자 목적 외 이용 및 제공 제한
- 제3자 보호조치 요청
- 제3자 제공 시 제공 내역 기록, 보관
- 위탁 시 계약서 작성
- 재위탁 시 위탁자 사전 동의
- 수탁사 관리감독
- 양수자 목적외 이용 및 제공 제한
- 양도자 및 양수자 이전사실 통지(양도자 통지시 양수자 통지 면제)
국외 이전 시 보호조치 이행

1. 개인정보의 파기

개인정보보호법 제21조(개인정보의 파기) 
① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장ㆍ관리하여야 한다.
④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.

 

개인정보보호법 시행령 제16조(개인정보의 파기방법) 
① 개인정보처리자는 법 제21조에 따라 개인정보를 파기할 때에는 다음 각 호의 구분에 따른 방법으로 해야 한다. <개정 2014. 8. 6., 2022. 7. 19.>
1. 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제. 다만, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우에는 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치해야 한다.
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각
② 제1항에 따른 개인정보의 안전한 파기에 관한 세부 사항은 보호위원회가 정하여 고시한다. <신설 2014. 8. 6., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>

 

(개인정보보호위원회) 표준 개인정보 보호지침 제10조(개인정보의 파기방법 및 절차), 제11조(법령에 따른 개인정보의 보존) 
제10조(개인정보의 파기방법 및 절차)
① 개인정보처리자는 개인정보의 보유 기간이 경과하거나 개인정보의 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 그로부터 5일 이내에 그 개인정보를 파기하여야 한다. 
② 영 제16조제1항제1호의 ‘복원이 불가능한 방법’이란 현재의 기술수준에서 사회통념상 적정한 비용으로 파기한 개인정보의 복원이 불가능하도록 조치하는 방법을 말한다. 
③ 개인정보처리자는 개인정보의 파기에 관한 사항을 기록·관리하여야 한다. 
④ 개인정보 보호책임자는 개인정보 파기 시행 후 파기 결과를 확인하여야 한다. 
⑤ 개인정보처리자 중 공공기관의 개인정보파일 파기에 관하여는 제55조 및 제56조를 적용한다. 

제11조(법령에 따른 개인정보의 보존)
① 개인정보처리자가 법 제21조제1항 단서에 따라 법령에 근거하여 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 물리적 또는 기술적 방법으로 분리하여서 저장·관리하여야 한다. 
② 제1항에 따라 개인정보를 분리하여 저장·관리하는 경우에는 개인정보 처리방침 등을 통하여 법령에 근거하여 해당 개인정보 또는 개인정보파일을 저장·관리한다는 점을 정보주체가 알 수 있도록 하여야 한다. 

 

개인정보보호법 제39조의6(개인정보의 파기에 대한 특례) 
① 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.
② 정보통신서비스 제공자등은 제1항의 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항을 전자우편 등 대통령령으로 정하는 방법으로 이용자에게 알려야 한다.

 

(개인정보보호위원회) 개인정보의 안전성 확보조치 기준 제13조(개인정보의 파기)
① 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다. 
1. 완전파괴(소각ㆍ파쇄 등) 
2. 전용 소자장비를 이용하여 삭제 
3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행 
② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다. 
1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독 
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제 

 

- 개인정보가 불필요하게 되었을 때

> 개인정보처리자가 당초 고지하고 동의를 받았던 보유기간의 경과

> 동의를 받거나 법령 등에서 인정된 수집, 이용, 제공 목적의 달성 (회원탈퇴, 서비스 해지, 이벤트 종료 등)

> 회원탈퇴, 제명, 계약관계 종료, 동의철회 등에 따른 개인정보처리의 법적 근거 소멸

> 개인정보처리자의 폐업, 청산

> 대금 완제일이나 채권소멸시효기간의 만료

 

- 파기 절차

> 개인정보처리자는 개인정보의 파기에 관한 사항을 기록하고 관리하여야 함

> 보유 목적을 달성한 개인정보의 파기는 법적 의무사항으로, 위반 시 벌칙이 부과

> 다른 법령에 따라 파기하지 않고 보존해야 하는 경우 그 법적 근거를 명확히 해야 함

> 제39조의6 특례규정은 가명정보의 파기에 대해서는 적용되지 않음

2. 정보통신서비스 제공자등의 개인정보 파기

- 개인정보의 분리 저장, 관리

> 장기 미이용자(1년 또는 이용자가 정한 기간)의 개인정보는 일반 이용자의 개인정보 DB와 분리하여 별도 저장, 관리

※ 미이용 기간 산정 시 주의사항

① 유효기간 시행 주기는 영업일 기준으로 최소 5일 이내로 하여야 함

② 광고 이메일을 단순 클릭하는 것은 서비스를 이용한 것으로 볼 수 없으며, 미이용 기간에 대한 산정은 로그인여부로 판단

> 분리 저장, 관리는 파기에 준하는 조치이므로 물리적으로 DB를 분리하는 것이 바람직하나, 논리적으로 분리하는 것도 가능

> 이용자의 권리를 보호할 필요가 있거나, 향후 재이용의 가능성이 높다고 판단되는 경우, 이용자의 재이용 요청이 있는 경우를 대비하여 이용자의 편의성을 높이기 위한 목적으로 최소한의 연결 값을 DB에 남겨두는 것은 가능

 

- 개인정보 유효기간 제도

> 개인정보 유출 등 사고 시 이용자의 개인정보 뿐만 아니라 장기 미이용자의 개인정보도 상당 부분 유출되고 있음

> 장기 미이용자의 피해를 방지하고, 정보통신서비스 제공자등의 불필요한 개인정보 보관을 최소화하기 위한 제도

 

- e프라이버시 클린서비스

> 보호위원회와 한국인터넷진흥원이 개인정보를 보호하고, 명의도용, 사생활 침해 등의 피해를 예방하기 위해 2010년부터 운영

 

- 개인정보 파기 방법

구분 파기 방법 형태 내용
완전파괴 소각, 파쇄 등 지류 출력물/전자파일 개인정보가 저장된 종이문서, 하드디스크, 자기테이프를 파쇄기로 파기하거나 용해, 또는 소각장, 소각로에서 태워서 파기
전용 소자장비 디가우저 전자파일 디가우저(Degausser)를 이용해 하드디스크나 자기테이프에 저장된 개인정보 삭제 등
초기화 또는
덮어쓰기
로우레벨 포맷, 와이핑 전자파일 - 개인정보가 저장된 하드디스크에 대해 완전포맷(3회 이상 권고)
- 데이터 영역에 무작위 값(0,1등)으로 덮어쓰기(3회 이상 권고)
- 해당 드라이브를 안전한 알고리즘 및 키 길이로 암호화 저장 후 삭제하고 암호화에 사용된 키 완전 폐기 및 무작위 값 덮어쓰기 등

 

- 정보통신서비스 제공자등이 복구, 재생할 수 없는 파기 방법

구분 파기 방법 내용
하드 디스크 등 매체 전체의
데이터를 파기하는 경우
프로그램을 이용한
파기
- 하드디스크, USB 메모리의 경우 로우레벨포맷(Low level format)
※ 로우레벨포맷: 하드디스크를 공장에서 나온 초기상태로 만들어주는 포맷
- 0, 1 혹은 랜덤한 값으로 기존 데이터를 여러 번 덮어씌우는 와이핑(Wiping)
물리적인 파기 - 데이터가 저장되는 디스크 플레터에 강력한 힘으로 구멍을 내어 복구가 불가능하도록 하는 천공
- CD/DVD의 경우 가위 등으로 작은 입자로 조각 내거나, 전용 CD 파쇄기나 CD 파쇄가 가능한 문서파쇄기 등을 이용
- 고온에 불타는 종류의 매체는 소각
- 자기장치를 이용해 강한 자기장으로 데이터를 복구 불가능하게 하는 디가우저(Degausser)
고객 서비스에 이용중인
DB서버에 저장된
일부 데이터를 파기하는 경우
DBMS를 통한
파기
- 서비스 중인 DB의 해당 개인정보 위에 임의의 값(Null 값 등)을 덮어쓰기한 후 삭제(Delete)
- DB의 특정부분에 덮어쓰기가 곤란한 경우에는 테이블 데이터에 대한 논리적인 삭제(Delete)도 허용되나, 신속하게 다른 데이터로 덮어쓰기(Overwriting)될 수 있도록 운영

3. 노출된 개인정보의 삭제, 차단

개인정보보호법 제39조의10(노출된 개인정보의 삭제ㆍ차단) 
① 정보통신서비스 제공자등은 주민등록번호, 계좌정보, 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 아니하도록 하여야 한다.
② 제1항에도 불구하고 공중에 노출된 개인정보에 대하여 보호위원회 또는 대통령령으로 지정한 전문기관의 요청이 있는 경우 정보통신서비스 제공자등은 삭제ㆍ차단 등 필요한 조치를 취하여야 한다.
[본조신설 2020. 2. 4.]

 

- 공중에 노출된 개인정보에 대한 삭제, 차단 등 필요한 조치 의무

노출 원인 조치 내용 예시
관리자 부주의 - 마스킹 및 삭제 조치(공통)
- 관리자 페이지에 대한 안전한 접속 수단 혹은 인증수단 적용
- 노출된 개인정보에 대한 접근 제어
이용자 부주의 - 마스킹 및 삭제 조치(공통)
- 개인정보를 입력하지 않도록 안내
- 게시판 운영을 비공개로 전환
설계 및 개발 오류 - 마스킹 및 삭제 조치(공통)
- 홈페이지 설계 변경, 디렉터리 설정 변경 등 조치
검색엔진 등을 통한 노출 - 마스킹 및 삭제 조치(공통)
- 당해 검색엔진에 캐쉬 페이지 삭제 등 요청
- 노출된 개인정보에 로봇배제 규칙을 적용하여 외부 검색엔진의 접근 자체를 차단
- 시스템의 계정, 로그 등 점검 후 분석 결과에 따른 접속 경로 차단 조치

4. 개인정보 처리 시 유의 사항

원인 위험 대책
개인정보 미파기로 인한
관리 소홀
개인정보 유출 위험 개인정보 파기, 파기기록 보관 및 검토
개인정보 분리보관
미흡
개인정보 오남용 위험 법적 보존하여야 할 개인정보 분리 보관 및 접근권한 제한
목적 상실 개인정보
이용
홍보 및 마케팅 권유 또는 광고 전송 등 홍보 마팅, 광고 전송 시 대상자 및 수신 동의 여부 확인
휴면 이용자 개인정보
파기 프로세스 미흡
휴면(서비스 장기 미이용) 이용자 개인정보 미파기 휴면 이용자 개인정보 파기 프로세스 수립
보유기간 초과로 인한
법 위반 소지
파기 관련 법적 준거성 미준수 개인정보 파기, 주기적 검토
법령상 보존 의무 개인정보
처리 기록을 남기지 않음
버렵에 의한 개인정보 처리 기록 보존 의무 미준수 법령에 의한 기록 보존 의무 대상 정보 조사 및 보관

 

1.개인정보 수집 및 이용

개인정보보호법 제15조(개인정보의 수집ㆍ이용)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다. <신설 2020. 2. 4.>

 

개인정보보호법 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)
① 정보통신서비스 제공자는 제15조제1항에도 불구하고 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하는 개인정보의 항목
3. 개인정보의 보유ㆍ이용 기간
② 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집ㆍ이용할 수 있다.
1. 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다)의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
3. 다른 법률에 특별한 규정이 있는 경우
③ 정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부해서는 아니 된다. 이 경우 필요한 최소한의 개인정보는 해당 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 정보를 말한다.
④ 정보통신서비스 제공자는 만 14세 미만의 아동으로부터 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 하고, 대통령령으로 정하는 바에 따라 법정대리인이 동의하였는지를 확인하여야 한다.
⑤ 정보통신서비스 제공자는 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 하는 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용하여야 한다.
⑥ 보호위원회는 개인정보 처리에 따른 위험성 및 결과, 이용자의 권리 등을 명확하게 인지하지 못할 수 있는 만 14세 미만의 아동의 개인정보 보호 시책을 마련하여야 한다.
[본조신설 2020. 2. 4.]

 

- 개인정보의 수집, 이용이 가능한 경우 상세

① 법률에 특별한 규정이 있는 경우

> 법률에서 개인정보의 수집, 이용을 구체적으로 요구하거나 허용하고 있어야 함

> 법률에 위임근거가 없는 한 시행령이나 시행규칙에 규정하는 것은 인정하지 않음

② 법령상 의무 준수

> 법령에서 개인정보처리자에게 일정한 의무를 부과하고 있는 경우로, 의무 이행을 위해 불가피하게 개인정보를 수집, 이용하는 경우

> 법률에 의한 의무뿐만 아니라 시행령, 시행규칙에 따른 의무도 포함

③ 공공기관이 법령 등에서 정하는 소관 업무의 수행

> 공공기관의 경우 개인정보를 수집할 수 있도록 명시적으로 허용하는 법률 규정이 없더라도 법령 등에서 소관업무를 지정

④ 정보주체와의 계약의 체결 및 이행

> 계약 체결에는 계약 체결을 위한 준비단계도 포함

> 계약 이행은 물건의 배송, 전달이나 서비스의 이행과 같은 주된 의무의 이행뿐만 아니라 부수의무(경품배달, 포인트 관리, 애프터 서비스 등) 등의 이행도 포함

⑤ 급박한 생명, 신체, 재산의 이익을 위하여 필요

⑥ 개인정보처리자의 정당한 이익을 달성

 

- 개인정보의 추가적인 이용

추가적 이용 요건 설명
당초 수집 목적과 관련성이
있는지 여부
- 당초 수집 목적과 추가적 이용, 제공의 목적 사이에 관련성을 고려
- 관련성이 있다는 것은 당초 수집 목적과 추가적 이용, 제공의 목적이 서로 그 성질이나 경향 등에 있어서 연관이 있다는 것을 의미
개인정보를 수집한 정황 또는
처리 관행에 비추어 볼 때
개인정보의 추가적인 이용 또는
제공에 대한 예측 가능성이
있는지 여부
- 수집 정황이나 처리 관행에 비추어 합리적으로 예측 가능한지 고려하여야 함
- 정황은 개인정보의 수집 목적, 내용, 추가적 처리를 하는 개인정보처리자와 정보주체간의 관계, 현재의 기술 수준과 그 기술의 발전 속도 등 비교적 구체적 사정을 의미
- 관행은 개인정보 처리가 비교적 오랜 기간 정립된 일반적 사정을 의미
정보주체의 이익을 부당하게
침해하는지 여부
- 정보주체의 이익을 부당하게 침해하는지 여부는 정보주체의 이익을 실질적으로 침해하는지와 해당 이익 침해가 부당한지를 고려
- 추가적인 이용의 목적이나 의도와의 관계에서 판단되어야 함
가명처리 또는 암호화 등
안전성 확보에 필요한 조치를
하였는지 여부
- 개인정보 침해 우려를 최소화하기 위하여, 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하여야 함
개인정보의 추가적인 이용 시
고려하여야 할 사항
- 개인정보처리자는 위 고려사항에 대한 구체적 기준을 스스로 정하여 개인정보 처리방침에 미리 공개하여야 함

2. 동의를 받는 방법

개인정보보호법 제22조(동의를 받는 방법)
① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제6항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다. <개정 2017. 4. 18.>
② 개인정보처리자는 제1항의 동의를 서면(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 전자문서를 포함한다)으로 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집ㆍ이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 보호위원회가 고시로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다. <신설 2017. 4. 18., 2017. 7. 26., 2020. 2. 4.>
③ 개인정보처리자는 제15조제1항제1호, 제17조제1항제1호, 제23조제1항제1호 및 제24조제1항제1호에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다. <개정 2016. 3. 29., 2017. 4. 18.>
④ 개인정보처리자는 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다. <개정 2017. 4. 18.>
⑤ 개인정보처리자는 정보주체가 제3항에 따라 선택적으로 동의할 수 있는 사항을 동의하지 아니하거나 제4항 및 제18조제2항제1호에 따른 동의를 하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다. <개정 2017. 4. 18.>
⑥ 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다. <개정 2017. 4. 18.>
⑦ 제1항부터 제6항까지에서 규정한 사항 외에 정보주체의 동의를 받는 세부적인 방법 및 제6항에 따른 최소한의 정보의 내용에 관하여 필요한 사항은 개인정보의 수집매체 등을 고려하여 대통령령으로 정한다. <개정 2017. 4. 18.>

 

개인정보보호법 시행령 제48조의3(법정대리인 동의의 확인방법) 
① 정보통신서비스 제공자는 법 제39조의3제4항에 따라 다음 각 호의 어느 하나에 해당하는 방법으로 법정대리인이 동의했는지를 확인해야 한다.
1. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 정보통신서비스 제공자가 그 동의 표시를 확인했음을 법정대리인의 휴대전화 문자메시지로 알리는 방법
2. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 신용카드ㆍ직불카드 등의 카드정보를 제공받는 방법
3. 동의 내용을 게재한 인터넷사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 휴대전화 본인인증 등을 통하여 본인 여부를 확인하는 방법
4. 동의 내용이 적힌 서면을 법정대리인에게 직접 발급하거나, 우편 또는 팩스를 통하여 전달하고 법정대리인이 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법
5. 동의 내용이 적힌 전자우편을 발송하고 법정대리인으로부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법
6. 전화를 통하여 동의 내용을 법정대리인에게 알리고 동의를 받거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 받는 방법
7. 그 밖에 제1호부터 제6호까지의 규정에 따른 방법에 준하는 방법으로 법정대리인에게 동의 내용을 알리고 동의의 의사표시를 확인하는 방법
② 정보통신서비스 제공자는 개인정보 수집 매체의 특성상 동의 내용을 전부 표시하기 어려운 경우 법정대리인에게 동의 내용을 확인할 수 있는 방법(인터넷주소ㆍ사업장 전화번호 등)을 안내할 수 있다.
[본조신설 2020. 8. 4.]

 

- 개인정보의 수집매체에 따른 동의를 받는 방법

개인정보보호법 시행령 제17조(동의를 받는 방법)
① 개인정보처리자는 법 제22조에 따라 개인정보의 처리에 대하여 다음 각 호의 어느 하나에 해당하는 방법으로 정보주체의 동의를 받아야 한다.
1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법
2. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법
3. 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법
4. 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법
5. 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법
6. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법

 

- 수집매체 5가지 방법에 준하는 방법

> 전자문서를 통해 동의 내용을 정보주체에게 알리고 정보주체의 전자서명을 받는 방법

> 개인 명의의 휴대전화 문자메세지를 이용한 동의

> 신용카드 비밀번호를 입력하는 방법 등도 해당

3. 개인정보 간접 수집

개인정보보호법 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)
① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.
1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실
② 제1항에도 불구하고 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다. <신설 2016. 3. 29.>
③ 제2항 본문에 따라 알리는 경우 정보주체에게 알리는 시기ㆍ방법 및 절차 등 필요한 사항은 대통령령으로 정한다. <신설 2016. 3. 29.>
④ 제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다. <개정 2016. 3. 29.>
1. 고지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우
2. 고지로 인하여 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

 

개인정보보호법 시행령 제15조의2(개인정보 수집 출처 등 고지 대상ㆍ방법ㆍ절차)
① 법 제20조제2항 본문에서 “대통령령으로 정하는 기준에 해당하는 개인정보처리자”란 다음 각 호의 어느 하나에 해당하는 개인정보처리자를 말한다.
1. 5만명 이상의 정보주체에 관하여 법 제23조에 따른 민감정보(이하 “민감정보”라 한다) 또는 법 제24조제1항에 따른 고유식별정보(이하 “고유식별정보”라 한다)를 처리하는 자
2. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자
② 제1항 각 호의 어느 하나에 해당하는 개인정보처리자는 법 제20조제1항 각 호의 사항을 서면ㆍ전화ㆍ문자전송ㆍ전자우편 등 정보주체가 쉽게 알 수 있는 방법으로 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알려야 한다. 다만, 법 제17조제2항제1호부터 제4호까지의 사항에 대하여 같은 조 제1항제1호에 따라 정보주체의 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알리거나 그 동의를 받은 날부터 기산하여 연 1회 이상 정보주체에게 알려야 한다.
③ 제1항 각 호의 어느 하나에 해당하는 개인정보처리자는 제2항에 따라 알린 경우 다음 각 호의 사항을 법 제21조 또는 제37조제4항에 따라 해당 개인정보를 파기할 때까지 보관ㆍ관리하여야 한다.
1. 정보주체에게 알린 사실
2. 알린 시기
3. 알린 방법

 

개인정보보호법 표준 지침 제9조(개인정보 수집 출처 등 고지) 
① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 법 제20조제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니 하다. 
1. 고지를 요구하는 대상이 되는 개인정보가 법 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우 
2. 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 
② 개인정보처리자는 제1항 단서에 따라 제1항 전문에 따른 정보주체의 요구를 거부하는 경우에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 그 거부의 근거와 사유를 정보주체에게 알려야 한다. 

 

- 정보주체 이외의 의미

> 제3자로부터 제공받은 정보

> 신문, 잡지, 인터넷 등에 공개되어 있어 수집한 정보

 

- 가명정보의 처리에는 적용되지 않음

4. 목적 외 이용 및 제공 제한

개인정보보호법 제18조(개인정보의 목적 외 이용ㆍ제공 제한) 
① 개인정보처리자는 개인정보를 제15조제1항 및 제39조의3제1항 및 제2항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다. <개정 2020. 2. 4.>
② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 이용자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 처리하는 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)의 경우 제1호ㆍ제2호의 경우로 한정하고, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다. <개정 2020. 2. 4.>
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 삭제 <2020. 2. 4.>
5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의ㆍ의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
8. 법원의 재판업무 수행을 위하여 필요한 경우
9. (刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
③ 개인정보처리자는 제2항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다)
3. 이용 또는 제공하는 개인정보의 항목
4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
④ 공공기관은 제2항제2호부터 제6호까지, 제8호 및 제9호에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 보호위원회가 고시로 정하는 바에 따라 관보 또는 인터넷 홈페이지 등에 게재하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
⑤ 개인정보처리자는 제2항 각 호의 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다. 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 한다.
[제목개정 2013. 8. 6.]

 

- 공공기관에서 개인정보 목적 외 이용 및 제3자 제공시 기록, 관리해야 하는 사항 (개인정보보호법 시행령 제15조(개인정보의 목적 외 이용 또는 제3자 제공의 관리))

① 이용하거나 제공하는 개인정보 또는 개인정보파일의 명칭

② 이용기관 또는 제공받는 기관의 명칭

③ 이용 목적 또는 제공받는 목적

④ 이용 또는 제공의 법적 근거

⑤ 이용하거나 제공하는 개인정보의 항목

⑥ 이용 또는 제공의 날짜, 주기 또는 기간

⑦ 이용하거나 제공하는 형태

⑧ 법 제18조제5항에 따라 제한을 하거나 필요한 조치를 마련할 것을 요청한 경우에는 그 내용

 

- 공공기관 관보 또는 인터넷 홈페이지 게재 시점 및 기간 (개인정보 처리 방법에 관한 고시 제2조(공공기관에 의한 개인정보의 목적 외 이용 또는 제3자 제공의 공고))

> 게재 시점: 목적 외 이용, 제공한 날로부터 30일 이내

> 게재 기간: 인터넷 홈페이지에 게재하는 경우 10일 이상

> 게재 정보

① 목적외이용등을 한 날짜 

② 목적외이용등의 법적 근거 

③ 목적외이용등의 목적 

④ 목적외이용등을 한 개인정보의 항목(구성) 

5. 영리목적의 광고성 정보 전송 제한

정보통신망법 제50조(영리목적의 광고성 정보 전송 제한)
① 누구든지 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 사전 동의를 받지 아니한다. <개정 2016. 3. 22., 2020. 6. 9.>
1. 재화등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 대통령령으로 정한 기간 이내에 자신이 처리하고 수신자와 거래한 것과 같은 종류의 재화등에 대한 영리목적의 광고성 정보를 전송하려는 경우
2. 「방문판매 등에 관한 법률」에 따른 전화권유판매자가 육성으로 수신자에게 개인정보의 수집출처를 고지하고 전화권유를 하는 경우
② 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우에는 영리목적의 광고성 정보를 전송하여서는 아니 된다.
③ 오후 9시부터 그 다음 날 오전 8시까지의 시간에 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 그 수신자로부터 별도의 사전 동의를 받아야 한다. 다만, 대통령령으로 정하는 매체의 경우에는 그러하지 아니하다.
④ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 대통령령으로 정하는 바에 따라 다음 각 호의 사항 등을 광고성 정보에 구체적으로 밝혀야 한다.
1. 전송자의 명칭 및 연락처
2. 수신의 거부 또는 수신동의의 철회 의사표시를 쉽게 할 수 있는 조치 및 방법에 관한 사항
⑤ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 다음 각 호의 어느 하나에 해당하는 조치를 하여서는 아니 된다.
1. 광고성 정보 수신자의 수신거부 또는 수신동의의 철회를 회피ㆍ방해하는 조치
2. 숫자ㆍ부호 또는 문자를 조합하여 전화번호ㆍ전자우편주소 등 수신자의 연락처를 자동으로 만들어 내는 조치
3. 영리목적의 광고성 정보를 전송할 목적으로 전화번호 또는 전자우편주소를 자동으로 등록하는 조치
4. 광고성 정보 전송자의 신원이나 광고 전송 출처를 감추기 위한 각종 조치
5. 영리목적의 광고성 정보를 전송할 목적으로 수신자를 기망하여 회신을 유도하는 각종 조치
⑥ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 수신자가 수신거부나 수신동의의 철회를 할 때 발생하는 전화요금 등의 금전적 비용을 수신자가 부담하지 아니하도록 대통령령으로 정하는 바에 따라 필요한 조치를 하여야 한다.
⑦ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 수신자가 제1항에 따른 사전 동의, 제2항에 따른 수신거부의사 또는 수신동의 철회 의사를 표시할 때에는 해당 수신자에게 대통령령으로 정하는 바에 따라 수신동의, 수신거부 또는 수신동의 철회에 대한 처리 결과를 알려야 한다.
⑧ 제1항 또는 제3항에 따라 수신동의를 받은 자는 대통령령으로 정하는 바에 따라 정기적으로 광고성 정보 수신자의 수신동의 여부를 확인하여야 한다.

 

정보통신망법 시행령 제61조(영리목적의 광고성 정보 전송기준) ~ 제62조의3(수신동의 여부의 확인)
제61조(영리목적의 광고성 정보 전송기준) 
① 법 제50조제1항제1호에서 “대통령령으로 정한 기간”이란 해당 재화등의 거래가 종료된 날부터 6개월을 말한다. <개정 2014. 11. 28.>
② 법 제50조제3항 단서에서 “대통령령으로 정하는 매체”란 전자우편을 말한다. <신설 2014. 11. 28.>
③ 법 제50조제4항에 따라 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자가 해당 정보에 명시하여야 할 사항과 그 방법은 별표 6과 같다. <개정 2014. 11. 28.>

제62조(수신거부 또는 수신동의 철회용 무료전화서비스 등의 제공) 
법 제50조제6항에 따라 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 자는 별표 6에서 정하는 바에 따라 수신거부 및 수신동의 철회용 무료전화서비스 등을 해당 정보에 명시하여 수신자에게 이를 제공하여야 한다. <개정 2011. 3. 29., 2014. 11. 28.>

제62조의2(수신동의 등 처리 결과의 통지) 
법 제50조제7항에 따라 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 수신자가 수신동의, 수신거부 또는 수신동의 철회 의사를 표시한 날부터 14일 이내에 다음 각 호의 사항을 해당 수신자에게 알려야 한다.
1. 전송자의 명칭
2. 수신자의 수신동의, 수신거부 또는 수신동의 철회 사실과 해당 의사를 표시한 날짜
3. 처리 결과

제62조의3(수신동의 여부의 확인) 
① 법 제50조제1항 또는 제3항에 따라 수신자의 사전 동의를 받은 자는 같은 조 제8항에 따라 그 수신동의를 받은 날부터 2년마다(매 2년이 되는 해의 수신동의를 받은 날과 같은 날 전까지를 말한다) 해당 수신자의 수신동의 여부를 확인하여야 한다.
② 제1항에 따라 수신동의 여부를 확인하려는 자는 수신자에게 다음 각 호의 사항을 밝혀야 한다.
1. 전송자의 명칭
2. 수신자의 수신동의 사실과 수신에 동의한 날짜
3. 수신동의에 대한 유지 또는 철회의 의사를 표시하는 방법

 

- 영리 목적의 광고성 정보의 개념

> 전송자가 경제적 이득을 취할목적으로 전송하는 정보로 전송을 하게 한 자도 전송자에 포함

> 영리법인은 존재 목적이 영리추구이기 때문에 원칙적으로 모두 광고성 정보에 해당

> 비영리법인은 전송하는 정보의 성격에 따라 영리목적 광고성 여부를 판단

> 구체적인 재화나 서비스의 홍보가 아니더라도 발송하는 정보가 발신인의 이미지 홍보에 해당하는 경우 광고성 정보로 볼 수 있음

> 주된 정보가 광고성 정보가 아니더라도 부수적으로 광고성 정보가 포함되어 있으면 전체가 광고성 정보에 해당

 

- 영리 목적의 광고성 정보의 예외

> 수신자와 이전에 체결하였던 거래를 용이하게 하거나, 완성 또는 확인하는 것이 목적의 정보

> 수신자가 사용하거나 구매한 재화 또는 서비스에 대한 설명, 보증, 제품 리콜, 안전 또는 보안 관련 정보

> 고객의 요청에 의해 발송하는 1회성 정보  (견적서 등)

> 수신자가 금전적 대가를 지불하고 신청한 정보 (뉴스레터, 주식정보 등)

> 전송자가 제공하는 재화 또는 서비스에 대해 수신자가 구매 또는 이용과 관련한 안내 및 확인 정보 (회원 등급 변경, 포인트 소멸 안내 등)

> 명시적인 계약체결을 하여 정보를 전송하되 이를 대가로 직접적인 수익이 발생하지 않아야 하며, 정보의 내용이 서비스, 재화 구매와 직접적인 관련이 없는 정보

 

- 광고의 표시 기준

> 광고를 표시하는 경우 수신자의 수신거부를 회피하기 위한 목적으로 빈칸, 부호, 문자 등을 삽입하거나 표시방법을 조작하는 조치를 하여서는 안됨

> 광고성 정보의 표시의무사항을 이미지파일로 하여 전송하는 것도 금지

 

- 옵트인(Opt-in)과 옵트아웃(Opt-out)

> 옵트인(선동의 후사용): 정보주체에게 동의를 받은 후 개인정보를 처리하는 방식

> 옵트아웃(선사용 후배제): 정보주체의 동의를 받지 않고 개인정보를 수집, 이용한 후 당사자가 거부의사를 밝히면 개인정보 활용을 중지하는 방식

 

- 약관 동의와 일괄 동의 금지

> 약관과 개인정보 처리에 대한 동의를 일괄로 받는 경우 정보주체가 처리에 대한 사항을 자세하게 인지하지 못할 우려 존재

> 개인정보 처리에 대한 동의와 약관에 대한 동의는 별개로 받아야 함

 

- 수신거부 의사표시를 쉽게 할 수 있는 조치 및 방법

> 수신 거부 및 수신 동의 철회의 의사표시를 쉽게 할 수 있는 조치 및 방법을 광고 본문에 표기하여 구체적으로 밝혀야 함

> 동 조치에 의해 수신 거부 또는 동의 철회가 쉽게 이루어지지 않거나 불가능할 경우 이를 표기하지 않은 것으로 간주

 

- 광고 정기적 동의 여부 확인

> 수신 동의 했다는 사실에 대한 안내의무를 부과한 것이므로 재동의를 받을 필요는 없음

> 수신자의 의사표시가 없는 경우 수신동의 의사가 그대로 유지되는 것으로 봄

6. 개인정보 수집 및 이용 시 유의사항

- 동의, 고지, 통지, 안내 용어 설명

용어 정의 용도 정보주체 피드백 사례
고지 기별을 보내어 사전에 알게 함 어떤 방식으로든 상대방에게 무엇을 알게 하는 경우 불필요 수집동의 고지, 납세 고지서, 범칙금 고지서
동의 의사나 의견을 같이함 고지 행위를 승인하거나 시인하는 경우 필요 개인정보 수집 동의, 광고 전송 수신 동의
통지 게시나 글을 통하여 사후에 알림 게시나 글이 매개가 되어 상대방에게 무엇을 알리는 경우 불필요 침해사실 통지, 입영 통지서
안내
(공개,게시)
어떤 내용을 소개하여 알려줌 어떤 사실이나 사물, 내용 따위를 여러 사람에게 알리는 경우 불필요 개인정보 처리방침 공개, 인터넷 웹사이트 공지

 

- 개인정보 동의 관련 유의 사항

> 동의를 받는 경우 명확히 표시해야 하는 중요 내용

개인정보보호법 시행령 제17조(동의를 받는 방법) 제2항
② 법 제22조제2항에서 “대통령령으로 정하는 중요한 내용”이란 다음 각 호의 사항을 말한다. <신설 2017. 10. 17.>
1. 개인정보의 수집ㆍ이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
2. 처리하려는 개인정보의 항목 중 다음 각 목의 사항
가. 제18조에 따른 민감정보
나. 제19조제2호부터 제4호까지의 규정에 따른 여권번호, 운전면허의 면허번호 및 외국인등록번호
3. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
4. 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적

 

개인정보 처리 방법에 관한 고시 제4조(서면 동의 시 중요한 내용의 표시 방법)
법 제22조제2항에서 "보호위원회가 고시로 정하는 방법"이란 다음 각 호의 방법을 말한다.  
1. 글씨의 크기는 최소한 9포인트 이상으로서 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 할 것 
2. 글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것 
3. 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것 

 

- 개인정보 수집 동의 시 유의 사항

유의 사항 설명
필수, 선택 구분 필수정보와 선택정보 구분
시점에 따라 동의 배송주소, 결제용 신용카드 번호, 환불 계좌는 필요한 시점에 동의
고지 항목 포함 목항기거, 목항기거자 등 (목적, 항목, 기간, 거부, 제공받는 자)
포괄적 안내 금지 개인정보 항목에서 등
디폴트 동의 체크 금지 웹 페이지에서 사전 동의 체크 금지
모두 동의 금지 개인정보 수집 목적별 별도 동의
만 14세 아동 법정대리인 동의 아동 나이 체크, 부모 연락처 동의 거절 시 파기
동의 기록 보존 기록 보존

 

- 개인정보 수집, 이용 시 위험 및 대책

원인 위험 대책
과도한 개인정보 수집, 이용 오남용, 유출로 인한 정보주체 개인정보 침해 - 정보주체 동의, 법적 근거에 수집, 이용
- 필수정보, 선택정보 구분하여 수집
정보주체 개인정보 수집 시
불명확한 고지
개인정보 처리에 대한 정보주체의 개인정보 자기결정권 침해 우려 개인정보 수집 시 법적 요건에 맞게 명확하게 고지 후 동의
고유식별정보 등
별도 동의 절차 미흡
개인정보 수집 시 별도 동의 법 위반 및 개인정보 자기결정권 침해 우려 고유식별정보, 민감정보, 홍보 및 마케팅, 제3자 제공, 목적외 이용 등 개인정보 수집 시 별도 동의
만14세 미만 아동
개인정보 무단 수집이용
만14세 미만 아동의 개인정보 오남용 피해 및 개인정보 수집 동의 법 위반 만14세 미만 아동 개인정보 수집 시 법정대리인 동의
수집, 동의 사실 등
기록 보관 미흡
이용내역 통지, 정보주체 요구 시 동의 사실 등 통지 미흡 수집, 동의 사실 기록 보관
영상정보처리기기 설치, 운영 시
보호조치 미흡
영상정보처리기기에 개인영상정보 오남용으로 인한 정보주체 피해 법적 요건 확인 후 설치, 안내판 설치, 공공기관 의견 수렴절차 이행, 개인영상정보 열람 등 조치
홍보 및 마케팅 목적
개인정보 무단수집, 이용
원하지 않는 광고 수신 및 판매 권유로 인한 정보주체 스트레스 등 피해 - 홍보 및 마케팅 목적 개인정보 수집 별도 동의
- 광고성 정보전송 수신 동의
- 수신 거부 절차 마련 및 수신 거부 시 처리결과 전송
- 매 2년마다 광고성 정보전송 수신 재동의 이행

1. 개인정보 분쟁조정

- 개인정보 분쟁조정제도

> 의의

개인정보 피해 특징 의미
빠른 파급 속도와 원상회복 불가능 개인정보 침해를 당한 국민의 피해를 신속하고 원만하게 구제한다는데 그 의미
분쟁 시 소송 비용 증가 비용 없이 신속하게 분쟁을 해결할 수 있는 조정

 

- 개인정보 분쟁조정 효력

> 재판상 화해의 효력이 부여

> 조정성립 후 당사자가 결정내용을 이행하지 않을 경우 법원으로부터 집행문을 부여받아 강제집행을 할 수 있음

 

- 개인정보 분쟁조정 제도의 유형

구분 분쟁 유형 요건
개인정보 분쟁조정 당사자 사이에 분쟁이 있는 경우 누구든지 신청 가능
집단 분쟁조정 분쟁이 집단성을 띠고, 오남용 개인정보 항목이나 피해의 유형이 같거나 비슷한 경우 권리침해를 입은 정보주체의 수가 50인 이상이어야 하고, 사건의 중요한 쟁점이 사실상 또는 법률상 공통되어야 함

 

- 개인정보 분쟁조정 위원회

개인정보 피해 특징 의미
개인정보보호위원회 소속 개인정보보호위원회는 개인정보에 관한 분쟁의 조정을 위하여 개인정보 분쟁조정위원회를 둠
준사법적 기구 위원회는 개인정보와 관련한 분쟁사건을 합리적이고 원만하게 조정하여 해결하는 준사법적 기구

 

- 개인정보 분쟁조정 위원회 

> 설립근거: 개인정보보호법 제40조 제1항 ① 개인정보에 관한 분쟁의 조정(調停)을 위하여 개인정보 분쟁조정위원회(이하 “분쟁조정위원회”라 한다)를 둔다.

> 구성: 위원장 1명을 포함한 20명 이내의 위원

> 조정업무의 효율적 처리를 위해 조정부를 설치 할 수 있음_조정사건의 분야별로 위원장이 지명하는 5명 이내의 위원으로 구성하되, 1명은 변호사 자격이 있는 위원이어야 함

> 기능 및 권한: 필요 시 조정 진행 전 당사자에게 합의 권고, 필요 자료의 제공을 분쟁당사자에게 요청, 사건 심의를 통한 손해배상 결정, 시정권고 등

 

- 조정위원의 신분보장

> 분쟁조정의 독립성 보장: 위원은 자격정지 이상의 형을 선고받거나 심신상의 장애로 직무를 수행할 수 없는 경우를 제외하고는 그의 의사에 반하여 면직되거나 해촉되지 아니함

※ 자격정지 이상의 형: 사형, 무기징역, 무기금고, 유기징역, 유기금고

> 분쟁조정의 공정성 보장

용어 정의 비고
재촉 분쟁조정사건의 심의, 의결에서 배제되는 것 분쟁조정위원회는 분쟁조정 제척사유에 해당하는 위원을 분쟁조정사건의 심의, 의결에 포함시켜서는 안됨
기피 당사자의 일방 또는 쌍방이 분쟁조정사건의 심의, 의결에서 특정 위원을 배제시켜 달라고 요구하는 것 당사자는 특정 위원에게 공정한 심의, 의결을 기대하기 어려운 사정이 있으면 위원장에게 기피신청을 할 수 있으며, 이 경우 위원장은 기피신청에 대하여 단독으로 결정함
회피 위원이 공정한 결정을 내리기 곤란하다고 인정할만한 상당한 사유가 있는 경우에 특정 분쟁조정사건의 심의, 의결에서 스스로 빠지는 것 위원은 특정 사건이 제1항 또는 제2항의 사유에 해당하는 경우에는 스스로 그 사건의 심의, 의결에 참여하지 않을 수 있음

 

- 개인정보 분쟁조정 유형

> 개인정보 분쟁조정 절차

단계 절차 설명
신청사건의 접수
및 통보
- 개인정보에 관한 분쟁조정은 웹사이트, 우편 등을 통해 신청인이 직접 또는 대리로 신청
- 분쟁조정사건이 접수되면 신청자와 상대방에게 접수사실이 통보됨
사실확인
및 당사자 의견청취
- 사건담당자는 전화, 우편, 전자우편 등 다양한 수단을 이용한 자료 수집을 통해 분쟁조정 사건에 대한 사실조사를 실시
- 사실조사가 완료되면 이를 토대로 사실조사보고서를 작성해 본 사건을 위원회에 회부
조정전 합의권고 - 개인정보분쟁조정위원회는 조정에 들어가기 앞서 당사자간의 자율적인 노력에 의해 원만히분쟁이 해결될 수 있도록 합의를 권고
- 합의권고에 의해 당사자간의 합의가 성립하면 사건이 종료 됨
위원회의 조정절차 개시 - 조정 전 합의가 이루어지지 않으면 위원회를 통해 조정절차가 진행 됨
- 조정절차가 진행되면 당사자의 의견 청취, 증거수집, 전문가 자문 등 필요한 절차를 거쳐 쌍방에 합당한 조정안을 제시 및 받아들일 것을 권고
조정의 성립 - 개인정보분쟁조정위원회의 조정을 통해 내려진 결정에 대하여 조정안을 받은날부터 15일 이내에 신청인과 상대방이 수락한 경우 조정이 성립
- 당사자가 위원회의 조정안을 수락하고자 하는 경우, 위원회가 송부한 조정서에 기명날인하여 위원회에 제출
- 양 당사자가 모두 조정안을 수락하면 조정이 성립되어 조정서가 작성되고 조정절차가 종료됨
- 당사자 중 일방이 조정안을 수락하지 않을 경우, 민사소송을 제기하는 등 다른 구제절차를 진행할 수 있음
효력의 발생 - 개인정보분쟁조정위원회의 조정 결정에 대해 신청인과 상대방이 이를 수락하여 조정이 성립된 경우, 개보법 제47조 제5항의 규정에 따라 양 당사자간의 조정서는 재판상 화해와 같은 효력을 지님

 

> 집단 분쟁조정 절차

단계 절차 설명
집단 분쟁조정 신청 - 국가, 지방자치단체, 한국소비자원 또는 소비자단체, 사업자가 개인정보분쟁조정위원회에 서면으로 의로 또는 신청
- 피해 또는 권리침해를 입은 정보주체의 수가 50명 이상이고, 사건의 중요한 쟁점(피해의 원인이나 결과)이 사실상 또는 법률상 공통되어야 함
집단 분쟁조정 절차의 개시
및 공고
- 집단분쟁조정을 의로 또는 신청받은 개인정보분쟁조정위원회의 의결로 집단분쟁조정의 절차를 개시할 수 있음
- 개인정보분쟁조정위원회는 인터넷 홈페이지 또는 일간지에 14일 이상 그 절차의 개시를 공고하여야 함
참가신청 - 집단분쟁조정의 당사자가 아닌 정보주체 또는 개인정보처리자가 추가로 당사자로 참가하려면 해당 사건의 집단분쟁조정 절차에 대한 공고에서 정하는 기간 내 문서로 신청 가능
조정결정 - 개인정보분쟁조정위원회는 집단분쟁조정의 당사자 중에서 공동의 이익을 대표하기에 적합한 1인 또은 수인을 대표당사자로 선임할 수 있고, 분쟁조정위원회는 대표당사자를 상대로 조정절차를 진행
- 조정위원회는 집단분쟁조정절차 개시 공고가 종료한 날로부터 60일 이내에 조정을 마쳐야 하며, 부득이한 사정이 있는 경우 조정기한을 연장할 수 있음
- 조정결정된 내용은 당사자에게 통보되고, 당사자가 통보를 받은 날로부터 15일 이내에 분쟁조정의 내용에 대한 수락 여부를 조정위원회에 통보해야하며, 이 경우 15일 이내에 의사표시가 없는 때에는 불수락한 것으로 봄
- 조정이 성립된 경우 그 조정내용은 재판상 화해와 동일한 효력이 있음
보상권고 - 개인정보분쟁조정위원회는 피신청인이 분쟁조정위원회의 집단분쟁조정의 내용을 수락한 경우에 집단분쟁조정의 당사자가 아닌 자로서 피해를 입은 정보주체에 대한 보상계획서를 작성하여 제출하도록 권고할 수 있음
- 보상계획서 제출을 권고받은 개인정보처리자는 그 권고를 받은 날부터 15일 이내에 권고의 수락여부를 통지
- 분쟁조정위원장은 집단분쟁조정 절차에 참가하지 못한 정보주체가 보상계획서에 따라 피해보상을 받을 수 있도록 사업자가 제출한 보상계획서를 일정한 기간 동안 인터넷 홈페이지 등을 통해 알릴 수 있음

2. 개인정보 단체소송

개인정보보호법 제51조(단체소송의 대상 등) ~ 제53조(소송대리인의 선임)
다음 각 호의 어느 하나에 해당하는 단체는 개인정보처리자가 제49조에 따른 집단분쟁조정을 거부하거나 집단분쟁조정의 결과를 수락하지 아니한 경우에는 법원에 권리침해 행위의 금지ㆍ중지를 구하는 소송(이하 “단체소송”이라 한다)을 제기할 수 있다.
1. 「소비자기본법」 제29조에 따라 공정거래위원회에 등록한 소비자단체로서 다음 각 목의 요건을 모두 갖춘 단체
가. 정관에 따라 상시적으로 정보주체의 권익증진을 주된 목적으로 하는 단체일 것
나. 단체의 정회원수가 1천명 이상일 것
다. 「소비자기본법」 제29조에 따른 등록 후 3년이 경과하였을 것
2. 「비영리민간단체 지원법」 제2조에 따른 비영리민간단체로서 다음 각 목의 요건을 모두 갖춘 단체
가. 법률상 또는 사실상 동일한 침해를 입은 100명 이상의 정보주체로부터 단체소송의 제기를 요청받을 것
나. 정관에 개인정보 보호를 단체의 목적으로 명시한 후 최근 3년 이상 이를 위한 활동실적이 있을 것
다. 단체의 상시 구성원수가 5천명 이상일 것
라. 중앙행정기관에 등록되어 있을 것

제52조(전속관할) 
① 단체소송의 소는 피고의 주된 사무소 또는 영업소가 있는 곳, 주된 사무소나 영업소가 없는 경우에는 주된 업무담당자의 주소가 있는 곳의 지방법원 본원 합의부의 관할에 전속한다.
② 제1항을 외국사업자에 적용하는 경우 대한민국에 있는 이들의 주된 사무소ㆍ영업소 또는 업무담당자의 주소에 따라 정한다.

제53조(소송대리인의 선임) 
단체소송의 원고는 변호사를 소송대리인으로 선임하여야 한다.

 

- 의의

> 개인정보 침해의 피해 확산 속도 및 규모의 대형화 - 피해를 입은 불특정 다수의 개인들의 비조직화, 파편화 = 비대칭성

> 피해구제를 정보주체인 개인에게만 맡겨두면 실질적인 피해구제가 이루어지기 어려운 문제 발생가능

> 미국식 '집단소송제도'와 유럽식 '단체소송제도'가 있음

구분 집단소송(Class Action) 단체소송(Verbandsklage)
개념 피해 집단에 속해 있는 개인에게 당사자 적격을 인정하여 그로 하여금 집단구성원 전원을 위하여 소송을 수행할 수 있게 하는 제도 일정한 자격을 갖춘 단체로 하여금 전체 피해자들의 이익을 위해 소송을 제기할 수 있는 권한을 부여하는 제도
청구권자 이해관계가 밀접한 다수의 피해자집단(대표당사자가 소송수행) 일정 요건을 구비한 소비자단체 등(단체가 소송수행)
소송목적 금전적 피해구제(손해배상청구) 위법행위의 금지, 중지
기대효과 피해의 사후적 구제 피해의 확산방지 및 예방
판결의 효과 모든 피해자에게 판결의 효과가 미침(제외 신청을 한 사람은 제외) 다른 단체에게도 판결의 효력

 

- 분쟁조정 전치주의

> 개인정보단체소송을 제기하기 위해서는 반드시 개인정보 집단분쟁조정 절차를 거쳐야 함_불필요한 소송의 남발을 막기 위함

> 개인정보처리자가 조정위원회의 집단분쟁조정을 거부하거나 집단분쟁조정의 결과를 수락하지 아니한 경우에만 개인정보단체소송을 제기할 수 있음

 

- 개인정보단체소송의 대상 및 청구범위

구분 요건 비고
대상 개인정보 처리와 관련한 정보주체의 권리를 침해하는 행위 - 청구취지 자체가 법원에 권리침해 행위의 금지, 중지를 구하는 내용이므로 최소한 소제기 당시 권리침해 행위가 계속되고 있어야 함
- 단체소송 중 개인정보처리자의 권리침해행위가 금지 또는 중지되었다면 그 단체소송은 더 이상 보호할 권리가 없으므로 특별한 사정이 없으면 소송의 이익을 상실하여 각하됨
청구범위 권리침해 행위의 금지 또는 중지 - 금전을 청구하는 소송이나 권리침해를 이전으로의 원상회복을 구하는 취지의 소송은 단체소송을 통해서 제기할 수 없음

 

- 소송대리인의 선임

> 집단분쟁조정: 청구인 중에서 대표당사자 선임

> 단체소송: 변호사를 소송대리인으로 선임

 

- 확정판결의 효력

> 원고의 청구를 기각하는 판결이 확정된 경우 이와 동일한 사안에 관하여는 다른 소비자단체나 비영리단체도 다시 단체소송을 제기할 수 없음

> 그러나 개별 정보주체들은 개인정보 단체소송의 결과에 관계 없이 소송 제기 가능

> 원고가 청구 기각 판결을 받았더라도 판결이 확정된 후 새로운 증거가 나타나거나 기각판결이 원고의 고의로 인한 것임이 밝혀진 경우 다른 단체가 동일 사안에 대해 다시 단체소송을 제기할 수 있음

1. 정보주체의 권리

개인정보보호법 제4조(정보주체의 권리)
정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리
4. 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리
5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리

 

순번 권리 설명
1 개인정보의 처리에 관한 정보를 제공받을 권리 - 개인정보 수집, 이용, 제공 목적, 범위 등의 고지, 개인정보처리방침의 수립, 공개 등의 의무
- 정보통신서비스 제공자등은 개인정보 이용내역의 통지 의무
2 동의 여부, 동의 범위 등을 선택하고 결정할 권리 - 개인정보 자기결정권
- 개인정보 처리 여부 및 동의 범위 등을 선택할 수 있는 권리
3 개인정보의 처리 여부를 확인하고 열람을 요구할 권리 - 자신의 개인정보에 대한 접근권
- 개인정보처리자의 무분별한 개인정보 수집, 이용, 제공을 방지하는 기능
4 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리 - 개인정보처리자의 잘못된 처리로 인한 피해 방지
- 개인정보 수집, 이용, 제공 등에 관한 동의를 철회할 권리
- 자신의 개인정보 파기를 요구 권리
5 피해를 신속하고 공정한 절차에 따라 구제받을 권리 - 개인정보의 수집, 이용, 제공 등으로 피해가 발생한 경우, 신속하고 공정한 절차에 따라 피해의 심각성에 비례하여 적절한 보상을 받을 권리
- 입증책임의 전환, 분쟁조정제도 및 권리침해 중지 단체소송제도, 법정 징벌적 손해배상제도, 정보통신서비스 제공자등의 손해배상책임 보장 조치 의무

2. 개인정보의 열람

개인정보보호법 제35조(개인정보의 열람)
① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다.
② 제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 보호위원회를 통하여 열람을 요구할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다.
④ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다.
1. 법률에 따라 열람이 금지되거나 제한되는 경우
2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우
가. 조세의 부과ㆍ징수 또는 환급에 관한 업무
나. 「초ㆍ중등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무
다. 학력ㆍ기능 및 채용에 관한 시험, 자격 심사에 관한 업무
라. 보상금ㆍ급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무
마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무
⑤ 제1항부터 제4항까지의 규정에 따른 열람 요구, 열람 제한, 통지 등의 방법 및 절차에 관하여 필요한 사항은 대통령령으로 정한다.

 

개인정보보호법 제39조의7(이용자의 권리 등에 대한 특례)
① 이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 철회할 수 있다.
② 정보통신서비스 제공자등은 제1항에 따른 동의의 철회, 제35조에 따른 개인정보의 열람, 제36조에 따른 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다.
③ 정보통신서비스 제공자등은 제1항에 따라 동의를 철회하면 지체 없이 수집된 개인정보를 복구ㆍ재생할 수 없도록 파기하는 등 필요한 조치를 하여야 한다.
[본조신설 2020. 2. 4.]

 

- 열람조치 관련 사항

> 법 제35조 제3항 전단에서 "대통령령으로 정하는 기간"은 10일

> 열람은 사본의 교부, 제3자 또는 공개된 정보원으로부터 수집한 개인정보, 서비스제공 등의 과정에서 자동으로 생성된 개인정보도 포함

> 열람 요구 방법은 서면, 전화, 전자우편, 인터넷 등 정보주체가 쉽게 활용할 수 있는 방법으로 제공

> 개인정보를 수집한 창구의 지속적인 운영이 곤란한 경우를 제외하고는 최소한 수집 창구 또는 방법과 동일하게 열람을 요구할 수 있도록 하여야 함

> 인터넷 홈페이지를 운영하는 경우 홈페이지에 열람 요구 방법과 절차를 공개하여야 함

> 가명정보의 경우 개인을 알아 볼 수 있는 정보가 포함되어 있지 않으므로 열람요구권 행사할 수 없음

3. 개인정보의 정정, 삭제

개인정보보호법 제36조(개인정보의 정정ㆍ삭제)
① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.
② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ㆍ삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.
③ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
④ 개인정보처리자는 정보주체의 요구가 제1항 단서에 해당될 때에는 지체 없이 그 내용을 정보주체에게 알려야 한다.
⑤ 개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주체에게 정정ㆍ삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다.
⑥ 제1항ㆍ제2항 및 제4항에 따른 정정 또는 삭제 요구, 통지 방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.

 

통신비밀보호법 시행령 제41조(전기통신사업자의 협조의무 등) 
② 법 제15조의2제2항에 따른 전기통신사업자의 통신사실확인자료 보관기간은 다음 각 호의 구분에 따른 기간 이상으로 한다.
1. 법 제2조제11호가목부터 라목까지 및 바목에 따른 통신사실확인자료 : 12개월. 다만, 시외ㆍ시내전화역무와 관련된 자료인 경우에는 6개월로 한다.
2. 법 제2조제11호마목 및 사목에 따른 통신사실확인자료 : 3개월

 

전자상거래 등에서의 소비자보호에 관한 법률 시행령 제6조(사업자가 보존하는 거래기록의 대상 등)
① 법 제6조제3항에 따라 사업자가 보존하여야 할 거래기록의 대상ㆍ범위 및 기간은 다음 각 호와 같다. 다만, 법 제20조제1항에 따른 통신판매중개자(이하 “통신판매중개자”라 한다)는 자신의 정보처리시스템을 통하여 처리한 기록의 범위에서 다음 각 호의 거래기록을 보존하여야 한다. <개정 2016. 9. 29.>
1. 표시ㆍ광고에 관한 기록: 6개월
2. 계약 또는 청약철회 등에 관한 기록: 5년
3. 대금결제 및 재화등의 공급에 관한 기록: 5년
4. 소비자의 불만 또는 분쟁처리에 관한 기록: 3년

 

> 가명정보의 경우 정정, 삭제 요구권 행사할 수 없음

4. 개인정보의 처리정지 등

개인정보보호법 제37조(개인정보의 처리정지 등)
① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다. 이 경우 공공기관에 대하여는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다.
② 개인정보처리자는 제1항에 따른 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.
1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우
③ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다.
④ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다.
⑤ 제1항부터 제3항까지의 규정에 따른 처리정지의 요구, 처리정지의 거절, 통지 등의 방법 및 절차에 필요한 사항은 대통령령으로 정한다.

 

- 처리정지 요구의 예외인 개인정보파일

개인정보보호법 제32조 제2항
1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
4. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
5. 다른 법령에 따라 비밀로 분류된 개인정보파일

 

> 가명정보의 경우 개인을 알아 볼 수 있는 정보가 포함되어 있지 않으므로 처리정지권 행사할 수 없음

> 가명정보로 처리되기 이전에는 개인정보에 대한 가명처리 정지를 요구할 수 있음

5. 권리행사의 방법 및 절차

개인정보보호법 제38조(권리행사의 방법 및 절차) 
① 정보주체는 제35조에 따른 열람, 제36조에 따른 정정ㆍ삭제, 제37조에 따른 처리정지, 제39조의7에 따른 동의 철회 등의 요구(이하 “열람등요구”라 한다)를 문서 등 대통령령으로 정하는 방법ㆍ절차에 따라 대리인에게 하게 할 수 있다. <개정 2020. 2. 4.>
② 만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동의 개인정보 열람등요구를 할 수 있다.
③ 개인정보처리자는 열람등요구를 하는 자에게 대통령령으로 정하는 바에 따라 수수료와 우송료(사본의 우송을 청구하는 경우에 한한다)를 청구할 수 있다.
④ 개인정보처리자는 정보주체가 열람등요구를 할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개하여야 한다.
⑤ 개인정보처리자는 정보주체가 열람등요구에 대한 거절 등 조치에 대하여 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하고 안내하여야 한다.

 

- 신원확인 의무와 방법

> 의무: 요구한 자가 본인인지 또는 정당한 대리자인지 확인, 대리인의 경우 본인의 신원과 정보주체와의 관계 증명, 법정대리인의 경우 법정대리인을 확인할 수 있는 서면 추가 확인

> 방법: 인터넷의 경우 전자서명, 아이핀, 이동전화번호, 생년월일 등 / 오프라인의 경우 민증, 면허증, 여권, 공무원증 등

> 공공기관의 특례: 전자정부법 제36조 제1항에 따른 행정정보의 공동이용을 통해 신분확인이 가능하면 이를 통해 확인

6. 이용내역 통지

개인정보보호법 제39조의8(개인정보 이용내역의 통지)
정보통신서비스 제공자 등으로서 대통령령으로 정하는 기준에 해당하는 자는 제23조, 제39조의3에 따라 수집한 이용자의 개인정보의 이용내역(제17조에 따른 제공을 포함한다)을 주기적으로 이용자에게 통지하여야 한다. 다만, 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 아니한 경우에는 그러하지 아니한다.
② 제1항에 따라 이용자에게 통지하여야 하는 정보의 종류, 통지주기 및 방법, 그 밖에 이용내역 통지에 필요한 사항은 대통령령으로 정한다.
[본조신설 2020. 2. 4.]

 

개인정보보호법 시행령 제48조의6(개인정보 이용내역의 통지)
① 법 제39조의8제1항 본문에서 “대통령령으로 정하는 기준에 해당하는 자”란 다음 각 호의 어느 하나에 해당하는 자를 말한다.
1. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등
2. 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 정보통신서비스 제공자등
② 법 제39조의8제1항에 따라 이용자에게 통지해야 하는 정보의 종류는 다음 각 호와 같다.
1. 개인정보의 수집ㆍ이용 목적 및 수집한 개인정보의 항목
2. 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목. 다만, 「통신비밀보호법」 제13조, 제13조의2, 제13조의4 및 「전기통신사업법」 제83조제3항에 따라 제공한 정보는 제외한다.
③ 법 제39조의8제1항에 따른 통지는 서면등의 방법으로 연 1회 이상 해야 한다.
[본조신설 2020. 8. 4.]

 

> 가명정보를 이용한 내역에 대해서는 통지 의무가 적용되지 않음

7. 손해배상 책임

개인정보보호법 제39조(손해배상책임) 및 제39조의2(법정손해배상의 청구) 
① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
② 삭제 <2015. 7. 24.>
③ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다. <신설 2015. 7. 24.>
④ 법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다. <신설 2015. 7. 24.>
1. 고의 또는 손해 발생의 우려를 인식한 정도
2. 위반행위로 인하여 입은 피해 규모
3. 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익
4. 위반행위에 따른 벌금 및 과징금
5. 위반행위의 기간ㆍ횟수 등
6. 개인정보처리자의 재산상태
7. 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도

제39조의2(법정손해배상의 청구) 
① 제39조제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
② 법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.
③ 제39조에 따라 손해배상을 청구한 정보주체는 사실심(事實審)의 변론이 종결되기 전까지 그 청구를 제1항에 따른 청구로 변경할 수 있다.

 

개인정보보호법 제39조의9(손해배상의 보장)
① 정보통신서비스 제공자등은 제39조 및 제39조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.
② 제1항에 따른 가입 대상 개인정보처리자의 범위, 기준 등에 필요한 사항은 대통령령으로 정한다.
[본조신설 2020. 2. 4.]

 

개인정보보호법 시행령 제48조의7(손해배상책임의 이행을 위한 보험 등 가입 대상자의 범위 및 기준 등)
① 다음 각 호의 요건을 모두 갖춘 정보통신서비스 제공자등(이하 이 조에서 “가입 대상 개인정보처리자”라 한다)은 법 제39조의9제1항에 따라 보험 또는 공제에 가입하거나 준비금을 적립해야 한다.
1. 전년도(법인의 경우에는 전 사업연도를 말한다)의 매출액이 5천만원 이상일 것
2. 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 1천명 이상일 것
② 가입 대상 개인정보처리자가 보험 또는 공제에 가입하거나 준비금을 적립할 경우 최저가입금액(준비금을 적립하는 경우 최소적립금액을 말한다. 이하 이 조에서 같다)의 기준은 별표 1의4와 같다. 다만, 가입 대상 개인정보처리자가 보험 또는 공제 가입과 준비금 적립을 병행하는 경우에는 보험 또는 공제 가입금액과 준비금 적립금액을 합산한 금액이 별표 1의4에서 정한 최저가입금액의 기준 이상이어야 한다.
③ 가입 대상 개인정보처리자가 다른 법률에 따라 법 제39조 및 제39조의2에 따른 손해배상책임의 이행을 보장하는 보험 또는 공제에 가입하거나 준비금을 적립한 경우에는 법 제39조의9제1항에 따른 보험 또는 공제에 가입하거나 준비금을 적립한 것으로 본다.
[본조신설 2020. 8. 4.]

 

- 손해배상책임의 성립요건

① 침해행위가 존재하고 위법할 것

② 손해가 발생하였을 것

③ 침해행위와 손해 사이에 인과관계가 있을 것

④ 고의 또는 과실 및 책임능력이 있을 것

 

> 개인정보 피해구제 제도

제도 피해구제 내용 관련 기관 관련 근거
개인정보 침해
신고 상담
- 제도 개선 권고
- 행정 처분 의뢰
- 수사 의뢰
개인정보침해 신고센터 개인정보보호법 제62조
개인정보 분쟁조정 - 제도 개선 권고
- 손해 배상 권고
개인정보 분쟁조정위원회 개인정보보호법 제40조
단체소송 위법행위의 금지, 중지 법원 개인정보보호법 제51조 ~ 53조
민사소송 손해 배상 청구 법원 민법 제750조

 

> 개인정보 손해배상제도

  징벌적 손해배상제도
(개인정보보호법 제39조)
법정 손해배상제도
(개인정보보호법 제39조의2)
관련 근거
적용 요건 기업의 고의, 중가실로 개인정보 유출 또는 동의 없이 활용하여 피해 발생 기업의 고의, 과실로 개인정보가 분실, 도난, 유출된 경우  
입증 책임 - 기업이 고의, 중과실이 없을을 입증
- 피해액은 피해자가 입증
- 기업이 고의, 과실이 없을을 입증
- 피해자에 대한 피해액 입증책임 면제
 
구제 범위 재산 및 정신적 피해 모두 포함 사실상 피해입증이 어려운 정신적 피해 개인정보보호법 제62조
피해액 실제 피해액의 3배 이내 배상 300만 원 이하의 범위에서 상당한 금액 개인정보보호법 제40조
도입 배경 2016년 7월 25일 이후 유출 사고

 

- 개인정보 손해배상책임 보장제도

> 개인정보 유출로 인한 피해 사례가 증가하며, 기업의 배상능력이 부족한 경우 피해구제가 어려워 피해구제 제도의 실효성 제고 필요

> 기업으로 하여금 손해뱅상책임의 이행을 보장하도록 보험 또는 공제에 가입하거나 준비금을 적립하도록 의무화(19.06.13)

> 적용 대상: 전년도 매출액이 5천만원 이상일 것 && 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 1천명 이상일 것

8. 국내 대리인 지정

정보통신망법 제32조의5(국내대리인의 지정) 
① 국내에 주소 또는 영업소가 없는 정보통신서비스 제공자등으로서 이용자 수, 매출액 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 다음 각 호의 사항을 대리하는 자(이하 “국내대리인”이라 한다)를 서면으로 지정하여야 한다.
1. 삭제 <2020. 2. 4.>
2. 삭제 <2020. 2. 4.>
3. 제64조제1항에 따른 관계 물품ㆍ서류 등의 제출
② 국내대리인은 국내에 주소 또는 영업소가 있는 자로 한다.
③ 제1항에 따라 국내대리인을 지정한 때에는 다음 각 호의 사항 모두를 인터넷 사이트 등에 공개하여야 한다. <개정 2020. 2. 4.>
1. 국내대리인의 성명(법인의 경우에는 그 명칭 및 대표자의 성명을 말한다)
2. 국내대리인의 주소(법인의 경우에는 영업소 소재지를 말한다), 전화번호 및 전자우편 주소
④ 국내대리인이 제1항 각 호와 관련하여 이 법을 위반한 경우에는 정보통신서비스 제공자등이 그 행위를 한 것으로 본다.

7. 개인정보의 안전 조치 의무

- 시행령에서는 개인정보의 유출 등 피해를 막기위해 관리적, 기술적, 물리적 보호조치를 규정

개인정보보호법 제29조(안전조치의무)
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. <개정 2015. 7. 24.>

 

개인정보보호법 시행령 제30조(개인정보의 안전성 확보 조치)
① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.
1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립ㆍ시행
2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
3. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 조치
5. 개인정보에 대한 보안프로그램의 설치 및 갱신
6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
② 보호위원회는 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>
③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>

8. 개인정보취급자에 대한 감독

개인정보보호법 제28조(개인정보취급자에 대한 감독)
① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자(이하 “개인정보취급자”라 한다)에 대하여 적절한 관리ㆍ감독을 행하여야 한다.
② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.

 

- 개인정보취급자와 개인정보처리자의 차이

구분 개인정보처리자 개인정보취급자
정의 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 자 개인정보처리자의 지휘, 감독을 받아 개인정보를 처리하는 자
대상 공공기관, 법인, 단체 및 개인 임직원, 파견근로자, 시간제근로자
유의사항 - 개인정보취급자에 대한 관리, 감독 의무
- 개인정보취급자에 대한 정기적 교육 의무
- 대표자, 개인정보보호책임자가 아닌 조직체
- 정규직, 비정규직, 하도급, 시간제 등 모든 근로형태를 불문
- 고용관계가 없더라도 개인정보취급자에 포함됨
- 개인정보 처리업무 등을 수탁받아 처리하고 있는 수탁자 포함

9. 가명정보 처리 

개인정보보호법 제28조의2(가명정보의 처리 등) ~ 제28조의7(적용범위)
제28조의2(가명정보의 처리 등)
① 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
② 개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.

제28조의3(가명정보의 결합 제한)
① 제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.
② 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 제58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다.
③ 제1항에 따른 결합 절차와 방법, 전문기관의 지정과 지정 취소 기준ㆍ절차, 관리ㆍ감독, 제2항에 따른 반출 및 승인 기준ㆍ절차 등 필요한 사항은 대통령령으로 정한다. [본조신설 2020. 2. 4.]

제28조의4(가명정보에 대한 안전조치의무 등) 
① 개인정보처리자는 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관ㆍ관리하는 등 해당 정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
② 개인정보처리자는 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시 제공받는 자 등 가명정보의 처리 내용을 관리하기 위하여 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 한다. [본조신설 2020. 2. 4.]

제28조의5(가명정보 처리 시 금지의무 등)
① 누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다.
② 개인정보처리자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수ㆍ파기하여야 한다. [본조신설 2020. 2. 4.]

제28조의6(가명정보 처리에 대한 과징금 부과 등)
① 보호위원회는 개인정보처리자가 제28조의5제1항을 위반하여 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우 전체 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 4억원 또는 자본금의 100분의 3 중 큰 금액 이하로 과징금을 부과할 수 있다.
② 과징금의 부과ㆍ징수 등에 필요한 사항은 제34조의2제3항부터 제5항까지의 규정을 준용한다.

제28조의7(적용범위) 
가명정보는 제20조, 제21조, 제27조, 제34조제1항, 제35조부터 제37조까지, 제39조의3, 제39조의4, 제39조의6부터 제39조의8까지의 규정을 적용하지 아니한다.

 

- 가명정보 처리에 대한 기록, 보관

① 가명정보 처리의 목적
② 가명처리한 개인정보의 항목
③ 가명정보의 이용내역
④ 제3자 제공 시 제공받는 자
⑤ 그 밖에 가명정보의 처리 내용을 관리하기 위하여 보호위원회가 필요하다고 인정하여 고시하는 사항

 

- 개인정보 비식별화

> 데이터 내에 개인을 식별할 수 있는 경우, 이의 일부 또는 전부를 삭제, 또는 일부를 속성 정보로 대체 처리하여 다른 정보와 결합하여도 특정 개인을 식별하기 어렵도록 하는 조치

구분 개인정보 가명정보 익명정보
개념 특정 개인에 관한 정보, 개인을 알아볼 수 있게 하는 정보 추가정보의 사용 없이는 특정 개인을 알아볼 수 없게 조치한 정보 더 이상 개인을 알아볼 수 없게(복원 불가능할 정도로) 조치한 정보
활용 범위 사전적이고 구체적인 동의를 받은 범위 내 활용 가능 통계작성(상업적 목적 포함)
과학적 연구(산업적 연구 포함)
공익적 기론 보존
개인정보가 아니기 때문에 제한 없이 자유롭게 활용

 

- 가명정보 결합체계

> 사전준비 - 가명처리 - 적정성검토 및 추가 가명처리 - 활용 및 사후관리

 

- 개인정보의 가명, 익명처리 기술 종류

① 개인정보 삭제: 삭제기술, 부분삭제, 행 항목 삭제, 로컬삭제, 마스킹

② 개인정보 일부 또는 전부 대체: 마스킹, 통계도구(총계처리, 부분총계), 일반화(일반, 랜덤, 제어 라운딩, 상하단코딩, 로컬 일반화, 범위방법, 문자데이터 범주화), 암호화(양방향, 일방향, 순서보존, 형태보존, 동형, 다형성), 무작위화(잡읍추가, 순열, 토큰화, 난수생성)

③ 기타기술: 표본추출, 해부화, 재현데이터, 동형비밀분산, 차분프라이버시

10. 개인정보 처리방침

개인정보보호법 제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. <개정 2016. 3. 29., 2020. 2. 4.>
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.
④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>

 

- 개인정보 처리방침 포함 사항(시행령 31조)

> 처리하는 개인정보의 항목, 제30조 또는 제48조의2에 따른 개인정보의 안전성 확보 조치에 관한 사항

 

- 개인정보 처리방침 공개 방법

개인정보보호법 시행령 제31조(개인정보 처리방침의 내용 및 공개방법 등)
② 개인정보처리자는 법 제30조제2항에 따라 수립하거나 변경한 개인정보 처리방침을 개인정보처리자의 인터넷 홈페이지에 지속적으로 게재하여야 한다.
③ 제2항에 따라 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 수립하거나 변경한 개인정보 처리방침을 공개하여야 한다.
1. 개인정보처리자의 사업장등의 보기 쉬운 장소에 게시하는 방법
2. 관보(개인정보처리자가 공공기관인 경우만 해당한다)나 개인정보처리자의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 「신문 등의 진흥에 관한 법률」 제2조제1호가목ㆍ다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법
3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식지ㆍ홍보지 또는 청구서 등에 지속적으로 싣는 방법
4. 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법

 

- 공공기관 개인정보 처리방침 등록 면제가 가능한 경우

개인정보보호법 제32조(개인정보파일의 등록 및 공개)
② 다음 각 호의 어느 하나에 해당하는 개인정보파일에 대하여는 제1항을 적용하지 아니한다.
1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
2. 범죄의 수사, 공소의 제기 및 유지,  및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
4. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
5. 다른 법령에 따라 비밀로 분류된 개인정보파일

 

개인정보보호법 제58조(적용의 일부 제외)
① 다음 각 호의 어느 하나에 해당하는 개인정보에 관하여는 제3장부터 제7장까지를 적용하지 아니한다.
1. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보
2. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보
3. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보
4. 언론, 종교단체, 정당이 각각 취재ㆍ보도, 선교, 선거 입후보자 추천 등 고유 목적을 달성하기 위하여 수집ㆍ이용하는 개인정보

 

표준 개인정보 보호지침 제50조(적용제외)
1. 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속기관을 포함한다)에서 관리하는 개인정보파일 
4. 영상정보처리기기를 통하여 처리되는 개인영상정보파일 
5. 자료·물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보파일 
6. 「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융기관이 금융업무 취급을 위해 보유하는 개인정보파일 

11. 개인정보보호책임자

개인정보보호법 제31조(개인정보 보호책임자의 지정)
① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.
② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리ㆍ감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
③ 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.
④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다.
⑤ 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다.
⑥ 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다.

 

개인정보보호법 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등)
① 법 제31조제2항제7호에서 “대통령령으로 정한 업무”란 다음 각 호와 같다.
1. 법 제30조에 따른 개인정보 처리방침의 수립ㆍ변경 및 시행
2. 개인정보 보호 관련 자료의 관리
3. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

 

- 개인정보 보호책임자의 자격 요건

구분 자격요건 (시행령 제32조 제2항) 관련 근거
민간기업 사업주 또는 대표자임원(임원이 없는 경우에는 개인정보 처리 관련 업무 담당 부서의 장)
※ 중소기업기본법따른 소기업 중 업종별 상시근로자수 5명 미만(광업, 제조업, 건설업, 운수업: 10명 미만)시 지정하지 않을 수 있으며 대표자가 CPO가 됨
개인정보보호법
공공기관 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 “고위공무원”이라 한다) 또는 그에 상당하는 공무원 시행령 제32조 제2항
정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다) 또는 그에 상당하는 공무원
고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원
기타 국가기관(소속 기관을 포함한다): 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장
시, 도 및 시, 도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원
시, 군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원
각급 학교: 해당 학교의 행정사무를 총괄하는 사람
기타 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다.

 

- 개인정보 보호책임자와 정보보호 최고책임자의 업무 비교

개인정보 보호책임자 업무(법 제31조 제2항, 영 제32조 제1항) 정보보호 최고책임자의 지정 등(망법 제45조의3)
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리ㆍ감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
8. 법 제30조에 따른 개인정보 처리방침의 수립ㆍ변경 및 시행
9. 개인정보 보호 관련 자료의 관리
10. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
1. 정보보호 관리체계의 구축 및 관리⋅운영
2. 정보보호 취약점 분석⋅평가 및 개선
3. 침해사고의 예방 및 대응
4. 사전 정보보호대책 마련 및 보안조치 설계⋅구현 등
5. 정보보호 사전 보안성 검토
6. 중요 정보의 암호화 및 보안서버 적합성 검토
7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

12. 개인정보 유출통지 및 신고

개인정보보호법 제34조 개인정보보호법 제39조의4
① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
③ 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 보호위원회 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
④ 제1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
① 제34조제1항 및 제3항에도 불구하고 정보통신서비스 제공자와 그로부터 제17조제1항에 따라 이용자의 개인정보를 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 개인정보의 분실ㆍ도난ㆍ유출(이하 “유출등”이라 한다) 사실을 안 때에는 지체 없이 다음 각 호의 사항을 해당 이용자에게 알리고 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지ㆍ신고해서는 아니 된다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다.
1. 유출등이 된 개인정보 항목
2. 유출등이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자등의 대응 조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
② 제1항의 신고를 받은 대통령령으로 정하는 전문기관은 지체 없이 그 사실을 보호위원회에 알려야 한다.
③ 정보통신서비스 제공자등은 제1항에 따른 정당한 사유를 보호위원회에 소명하여야 한다.
④ 제1항에 따른 통지 및 신고의 방법ㆍ절차 등에 필요한 사항은 대통령령으로 정한다.
[본조신설 2020. 2. 4.]

 

- 개인정보 유출 신고기준

구분 개인정보처리자 정보통신서비스제공자 등
신고 대상 건수 1천명 이상 유출 건수 무관
신고 시점 유출되었음을 알게 되었을  때 지체 없이 5일 이내 정당한 사유가 없는 한 그 사실을 안 때부터 24시간 이내
신고기관 보호위원회 또는 KISA
통지 1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
1. 유출등이 된 개인정보 항목
2. 유출등이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자등의 대응 조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
신고방법 전자우편, 팩스, 인터넷사이트를 통해 유출사고 신고 및 신고서 제출
시간적 여유가 없거나 특별한 사정이 있는 경우에는 전화를 통하여 통지내용을 신고한 후, 유출 신고서를 제출할 수 있음
인터넷 홈페이지 7일 이상 게재(홈페이지 미운영시 사업장 등에 게시 가능) 30일 이상 게시(이용자 연락처를 알 수 없는 등 정당한 사유가 있는 경우)

 

- 개인정보 유출 기준

① 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우 
② 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우 
③ 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우 
④ 기타 권한이 없는 자에게 개인정보가 전달된 경우 

 

- 유출 통지 관련 주의사항

> 유출된 개인정보의 수량, 종류, 시기 등은 따지지 않으므로, 단 1건의 개인정보가 유출되었더라도 통지해야 함

> 유출이 발생한 즉시가 아닌 유출 사실을 알게 되었을 때 통지 의무가 발생

> 가명정보 유출의 경우 적용되지 않음

13. 개인정보파일 등록 및 공개

개인정보보호법 제32조(개인정보파일의 등록 및 공개)
① 공공기관의 장이 개인정보파일을 운용하는 경우에는 다음 각 호의 사항을 보호위원회에 등록하여야 한다. 등록한 사항이 변경된 경우에도 또한 같다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
1. 개인정보파일의 명칭
2. 개인정보파일의 운영 근거 및 목적
3. 개인정보파일에 기록되는 개인정보의 항목
4. 개인정보의 처리방법
5. 개인정보의 보유기간
6. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
7. 그 밖에 대통령령으로 정하는 사항
② 다음 각 호의 어느 하나에 해당하는 개인정보파일에 대하여는 제1항을 적용하지 아니한다.
1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
4. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
5. 다른 법령에 따라 비밀로 분류된 개인정보파일
③ 보호위원회는 필요하면 제1항에 따른 개인정보파일의 등록사항과 그 내용을 검토하여 해당 공공기관의 장에게 개선을 권고할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
④ 보호위원회는 제1항에 따른 개인정보파일의 등록 현황을 누구든지 쉽게 열람할 수 있도록 공개하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
⑤ 제1항에 따른 등록과 제4항에 따른 공개의 방법, 범위 및 절차에 관하여 필요한 사항은 대통령령으로 정한다.
⑥ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정한다.

 

개인정보보호법 시행령 제33조(개인정보파일의 등록사항) 및 제34조(개인정보파일의 등록 및 공개 등)
제33조(개인정보파일의 등록사항)
법 제32조제1항제7호에서 “대통령령으로 정하는 사항”이란 다음 각 호의 사항을 말한다.
1. 개인정보파일을 운용하는 공공기관의 명칭
2. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수
3. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서
4. 제41조에 따른 개인정보의 열람 요구를 접수ㆍ처리하는 부서
5. 개인정보파일의 개인정보 중 법 제35조제4항에 따라 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유

제34조(개인정보파일의 등록 및 공개 등)
① 개인정보파일을 운용하는 공공기관의 장은 그 운용을 시작한 날부터 60일 이내에 보호위원회가 정하여 고시하는 바에 따라 보호위원회에 법 제32조제1항 및 이 영 제33조에 따른 등록사항(이하 “등록사항”이라 한다)의 등록을 신청하여야 한다. 등록 후 등록한 사항이 변경된 경우에도 또한 같다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>
② 보호위원회는 법 제32조제4항에 따라 개인정보파일의 등록 현황을 인터넷 홈페이지에 게재해야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>
③ 보호위원회는 제1항에 따른 개인정보파일의 등록사항을 등록하거나 변경하는 업무를 전자적으로 처리할 수 있도록 시스템을 구축ㆍ운영할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>

 

+ Recent posts