총정리
# 소장의 기재사항
1. 원고 및 그 소송대리인
2. 피고
3. 청구의 취지와 원인
# 소송허가신청서의 기재사항
1. 원고 및 그 소송대리인
2. 피고
3. 허가신청의 취지와 원인
4. 정보주체의 침해된 권리의 내용
# 위치정보법
- "개인위치정보"라 함은 특정 개인의 위치정보(위치정보만으로는 특정 개인의 위치를 알 수 없는 경우에도 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알수 있는 것을 포함한다)를 말한다
- "개인위치정보주체"라 함은 개인위치정보에 의하여 식별되는 자를 말한다.
# 신용정보법
- "신용정보"란 금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한 다음 각 목의 정보로서 대통령령으로 정하는 정보를 말한다.
가. 특정 신용정보주체를 식별할 수 있는 정보
나. 신용정보주체의 거래내용을 판단할 수 있는 정보
다. 신용정보주체의 신용도를 판단할 수 있는 정보
라. 신용정보주체의 신용거래능력을 판단할 수 있는 정보
마. 그 밖에 가목부터 라목까지와 유사한 정보
- "개인신용정보"란 신용정보 중 개인의 신용도와 신용거래능력 등을 판단할 때 필요한 정보로서 대통령령으로 정하는 정보를 말한다.
- "신용정보주체" 란 처리된 신용정보로 식별되는 자로서 그 신용정보의 주체가 되는 자를 말한다.
# 불법 스팸 방지를 위한 정보통신망법 안내서
- 야간광고 전송제한 및 예외
③ 오후 9시부터 그 다음 날 오전 8시까지의 시간에 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 그 수신자로부터 별도의 사전 동의를 받아야 한다. 다만, 대통령령으로 정하는 매체의 경우에는 그러하지 아니하다
→ 21 ~ 8
# 대체수단
개인정보보호법에는 명시되있지 않음 (내용만 존재)
정보통신망법에 '대체수단' 명시
I-PIN
법적근거 : 정보통신망법 제23조2의
# 위험도 분석기준
내부망에 고유식별정보를 암호화하지 않고 저장하는 경우 개인정보처리자가 이행하여야 할 최소한의 보호조치 기준으로 어느 하나의 항목이라도 아니오에 해당하는 경우 암호화 대상
※ 해당사항이 없는 경우 '해당없음' 항목에 체크하며 '해당없음' 체크항목도 '예'로 적용한다.
위험도분석 결과보고서는 개인정보 보호책임자 또는 해당 부서의 장의 결재를 득한 후 보관한다.
위험도 분석은 개인정보파일 단위로 분석하고 결과보고서를 작성하며, 개인정보파일을 위탁한 경우에도 위탁기관이 작성한다
개인정보보호법
공공기관의 범위
1. 국가인권위원회법 제3조에 따른 국가인권위원회
2. 공공기관의 운영에 관한 법률 제4조에 따른 공공기관
3. 지방공기업법에 따른 지방공사 및 지방공단
4. 특별법에 따라 설립된 특수법인
5. 초·중등교육법, 고등교육법, 그 밖의 다른 법률에 따라 설치된 각급 학교
# 개인정보 보호 원칙
| 개인정보보호법 | 표준 개인정보보호지침(개인정보보호법 제12조) |
| 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다. | 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다. |
| 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다. | 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다. |
| 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다. | 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성과 최신성을 유지하도록 하여야 하고, 개인정보를 처리하는 과정에서 고의 또는 과실로 부당하게 변경 또는 훼손되지 않도록 하여야 한다. |
| 개인정보처리자는 개인정보의 처리방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다. | 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 그에 상응하는 적절한 관리적 기술적 및 물리적 보호조치를 통하여 개인정보를 안전하게 관리하여야 한다. |
| 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다. | 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리가 보장될 수 있도록 합리적인 절차와 방법 등을 마련하여야 한다. |
| 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다. | 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적법하게 개인정보를 처리하는 경우에도 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다. |
| 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다. | 개인정보처리자는 개인정보를 적법하게 수집한 경우에도 익명에 의하여 업무 목적을 달성할 수 있으면 개인정보를 익명에 의하여 처리될 수 있도록 하여야 한다. |
| 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다. | 개인정보처리자는 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다. |
# 정보주체의 권리
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본 발급을 포함한다. 이하 같다)을 요구할 권리
4. 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리
5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
# 폐쇄회로 텔레비전 & 네트워크 카메라
→ 개인정보보호법 시행령에만 단어 존재
# 개인정보의 수집 이용
→ 기본적으로 개인정보의 수집 이용은 허용되지 않지만 예외사항을 6개 둔다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우.
이 경우 개인정보처리자의 정당한 이익과 상당환 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다
# 개인정보의 제 3자 제공
→ 기본적으로 제 3자 제공은 허용되지 않지만 예외사항을 2개 둔다.
1. 정보주체의 동의
2. 개인정보 수집 목적 범위에서 개인정보를 제공하는 경우
# 개인정보의 목적 외 이용·제공 제한
→ 기본적으로 개인정보 목적 외 이용 제공은 허용되지 않지만 예외사항을 9개 둔다
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우
5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
8. 법원의 재판업무 수행을 위하여 필요한 경우
9. 형 및 감호, 보호처분의 집행을 위하여 필요한 경우
# 공공기관에 의한 개인정보의 목적 외 이용 또는 제3자 제공의 공고(시행규칙)
공공기관은 개인정보를 목적 외읭 용도로 이용하거나 제3자에게 제공하는 경우에는 개인정보를 목적외이용등 한 날부터 30일 이내에 10일 이상 다음 각 호의 사항을 관보 또는 인터넷 홈페이지에 게재하여야 한다.
1. 목적외이용등을 한 날짜
2. 목적외이용등의 법적 근거
3. 목적외이용등의 목적
4. 목적외이용등을 한 개인정보의 항목
# 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지(제20조)
개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다. (여기서 즉시란 3일 이내에..)
1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실
※ 시행령
1. 5만명 이상의 정보주체에 관하여 법 제23조에 따른 민감정보 또는 법 제24조제1항에 따른 고유식별정보를 처리하는 자
2. 100만명 이상의 정보주체 관한여 개인정보를 처리하는 자
위의 각 호에 해당하는 개인정보처리자는 법 제20조제1항 각 호의 사항을 정보주체가 쉽게 알 수 있는 방법으로 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 알려야 한다.(개인정보처리자가 먼저 알림)
# 개인정보의 파기
| 법률 | 시행령(파기 방법 구체적 명시) |
| 개인정보 처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다. |
1. 전자적 파일 형태인 경우 : 복원이 불가능한 방법으로 영구 삭제 2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 파쇄 또는 소각 |
# 동의를 받는 방법
개인정보처리자는 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체와의 계약체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 한다.
※ 서면 동의 시 중요한 내용의 표시 방법(시행규칙)
1. 글씨의 크기는 최소한 9포인트 이상으로서 다른 내용보다 20퍼센트 이상 크게하여 알아보기 쉽게 할 것
2. 글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것
3. 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시 할 것
# 민감정보
| 법률 | 시행령 |
|
개인정보처리자는 사상 신념, 노동조합 정당의 가입 탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 "민감정보"라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다. 1. 정보주체에게 별도로 동의를 받은 경우 2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우 |
1. 유전자검사 등의 결과로 얻어진 유전 정보 2. 범죄경력자료에 해당하는 정보 |
# 고유식별정보
| 법률 | 시행령 |
| 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 "고유식별정보"라 한다)를 처리할 수 없다. 1. 정보주체에게 별도로 동의를 받은 경우 2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우 |
1. 주민등록번호 2. 여권번호 3. 운전면허번호 4. 외국인등록번호 |
※ 고유식별정보의 안전성 확보 조치
1. 공공기관
2. 5만명 이상의 정보주체에 관하여 고유식별정보를 처리하는자
위 각 호에 해당하는 개인정보처리자는 2년마다 1회 이상 안전성확보에 필요한 조치를 하였는지를 조사하여야 한다.
# 주민등록번호 처리의 제한
→ 주민등록번호의 처리는 아래 각 호의 예외사항을 제외하고는 금지
1. 법률, 대통령령, 국회규칙, 대법원규칙, 헌접재판소규칙, 중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우(국법헌중 급)
2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 행정안전부령으로 정하는 경우
개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.
※ 개인정보보호법에는 '대체수단' 이라는 용어가 나오지 않는다.
# 영상정보처리기기의 설치 운영 제한
| 법률 | 시행령 |
|
1. 법령에서 구체적으로 허용하고 있는 경우
|
1. 교정시설 2. 정신요양시설 및 정신재활시설 중앙행정기관의 장은 소관 분야의 개인정보처리자가 제1항 각 호의 시설에 영상정보처리기기를 설치, 운영하는 경우 정보주체의 사생활 침해를 최소화하기 위하여 필요한 세부 사항을 개인정보보호지침으로 정하여 그 준수를 권장할 수 있다. |
|
1. 설치 목적 및 장소 |
# 업무위탁에 따른 개인정보의 처리 제한
| 법률(업무위탁에 따른 개인정보의 처리 제한) | 시행령(개인정보의 처리 업무 위탁 시 조치) |
|
개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적 관리적 보호조치에 관한 사항 3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항 |
법 제26조제1항제3호에서 대통령령으로 정한 사항이란 다음 각 호의 사항을 말한다. 1. 위탁업무의 업무 및 범위 2. 재위탁 제한에 관한 사항 3. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 4. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항 5. 법 제26조제2항에 따른 수탁자(이하 "수탁자"라 한다)가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항 |
# 영업 양도
| 법률(영업양도 등에 따른 개인정보의 이전 제한) | 시행령 |
| 개인정보처리자는 영업의 전부 또는 일부의 양도 합병 등으로 개인정보를 다른 사람에게이전하는 경우에는 미리 다음 각 호의 사항을 대통령령으로 정하는 방법에 따라 해당 정보주체에게 알려야 한다. 1. 개인정보를 이전하려는 사실 2. 개인정보를 이전받는 자(이하 "영업양수자등"이라 한다)의 성명(법인의 경우에는 법인의 명칭을 말한다), 주소, 전화번호 및 그 밖의 연락처 3. 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차 영업양수자등은 개인정보를 이전받았을 때에는 지체 없이 그 사실을 대통령령으로 정하는 방법에 따라 정보주체에게 알려야 한다. 다만, 개인정보처리자(양도자)가 제1항에 따라 그 이전 사실을 이미 알린 경우에는 그러하지 아니한다 ※ 정보통신망법은 무조건 양도자, 양수자 모두 이용자에게 고지 필요 |
법 제27조제1항 각 호 외의 부분과 같은 조 제2항 본문에서 "대통령령으로 정하는 방법"이란 서면등의 방법을 말한다. 서면등의 방법으로 알릴 수 없는 경우 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 영업양도자등의 경우에는 사업장 등의 보기 쉬운 장소에 30일 이상 게시하여야 한다. |
# 개인정보취급자
개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리 될 수 있도록 임직원, 파견근로자 시간제근로자 등 개인정보처리자의 지휘 감독을 받아 개인정보를 처리하는 자(이하 "개인정보취급자"라 한다)에 대하여 적절한 관리 감독을 행하여야 한다.
개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.
※ 수탁자도 개인정보취급자에 포함된다.
# 개인정보 처리방침
| 법률(개인정보 처리방침의 수립 및 공개) | 시행령 |
| 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보 처리방침"이라 한다)을 정하여야 한다. 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당 시에만) 4. 개인정보의 위탁에 관한 사항(해당 시에만) 5. 정보주체 및 법정대리인의 권리 의무 및 그 행사방법에 관한 사항 6. 개인정보보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치 운영 및 그 거부에 관한 사항(해당시에만) 8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. (변경 시 이력 관리 필요) |
1법 제30조제1항제8호에서 "대통령령으로 정한 사항"이란 다음 각 호의 사항을 말한다 1. 처리하는 개인정보의 항목 2. 개인정보의 파기에 관한 사항 3. 제30조에 따른 개인정보의 안전성 확보 조치에 관한 사항 |
# 개인정보 보호책임자의 지정
| 법률(개인정보 보호책임자의 지정) | 시행령 |
| 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다. 개인정보 보호책임자는 다음 각 호의 업무를 수행한다. 1. 개인정보 보호 계획의 수립 및 시행 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제 4. 개인정보 유출 및 오용 남용 방지를 위한 내부통제시스템의 구축 5. 개인정보 보호 교육 계획의 수립 및 시행 6. 개인정보파일의 보호 및 관리 감독 7. 그밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다 |
법 제31조제2항제7호에서 "대통령령으로 정한 업무"란 다음 각 호와 같다 1. 법 제30조에 따른 개인정보 처리방침의 수립 변경 및 시행 2. 개인정보 보호 관련 자료의 관리 3. 처리목적이 달성되거나 보유기간이 지난 개인정보의 파기 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에 다음 각 호의 구분에 따라 지정한다. 1. 공공기관 - 국법헌중 → 고위공무원(1~3급) - 정무직공무원을 장으로 하는 국가기관 : 3급 공무원 - 3급 공무원을 장으로 하는 국가기관 : 4급 공무원 - 시 도 및 시 도 교육청 : 3급 공무원 - 시 군 및 자치구 : 4급 공무원 - 각급 학교 : 행정사무를 총괄하는 사람 2. 공공기간 외의 개인정보처리자 - 사업주 또는 대표자 - 임원(임원이 없을 경우 개인정보 처리 관련 업무를 담당하는 부서의 장) |
# 개인정보파일의 등록 및 공개
공공기관의 장이 개인정보파일을운용하는 경우에는 다음 각 호의 사항을 행정안전부강관에게 등록하여야 한다.
1. 개인정보파일의 명칭
2. 개인정보파일의 운영 근거 및 목적
3. 개인정보파일에 기록되는 개인정보의 항목
4. 개인정보의 처리방법
5. 개인정보의 보유기간
6. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
7. 그 밖에 대통령령으로 정하는 사항
※ 시행령 (법률과 비교하여 외우기)
법 제32조제1항제7호에서 "대통령령으로 정하는 사항"이란 다음 각 호의 사항을 말한다.
1. 개인정보파일을 운용하는 공공기관의 명칭
2. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수
3. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서
4. 제41조에 따른 개인정보의 열람 요구를 접수 처리하는 부서
5. 개인정보파일의 개인정보 중 법 제35조제4항에 따라 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유
다음 각 호의 어느 하나에 해당하는 개인정보파일에 대하여는 제1항을 적용하지아니한다.
1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보 파일
2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
3. 조세범처벌법에 따른 범칙행위조사 및 관세법에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
4. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
5. 다른 법령에 따라 비밀로 분류된 개인정보 파일
※ 국법헌중은 내부규칙에 따라 개인정보파일을 관리
정보통신망법
"정보통신망"이란 전기통신사업법 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집 가공 저장 검색 송신 또는 수신하는 정보통신체제를 말한다.
"정보통신서비스"란 전기통신사업법 제2조제6호에 따른 전기통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것을 말한다.
"정보통신서비스 제공자"란 전기통신사업법 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다.
"이용자"란 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다.
"전자문서"란 컴퓨터 등 정보처리능력을 가진 장치에 의하여 전자적인 형태로 작성되어 송수신되거나 저장된 문서형식의 자료로서 표준화된 것을 말한다.
"개인정보"란 생존하는 개인에 관한 정보로서 서명 주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호 문자 음성 음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다) 를 말한다.
"침해사고"란 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태를 말한다.
정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용ㅈ에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다
1. 개인정보의 수집 이용 목적
2. 수집하는 개인정보의 항목
3. 개인정보의 보유 이용 기간
정보통신서비스 제공자는 다음 각호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집 이용할 수 있다.
1. 정보송신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적 기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
3. 이 법 또는 다른 법률에 특별한 규정이 있는 경우
정보통신서비스 제공자는 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 하는 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용하여야 한다.
제22조의2(접근권한에 대한 동의)
정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한(이하 "접근권한"이라 한다)이 필요한 경우 다음 각 호의 사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다.
1. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가. 접근권한이 필요한 정보 및 기능의 항목
나. 접근권한이 필요한 이유
2. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가. 접근권한이 필요한 정보 및 기능의 항목
나. 접근권한이 필요한 이유
다. 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
정보통신서비스 제공자는 사상, 신념, 가족 및 친익척관계, 학력, 병력, 기타 사회활동 경력 등 개인의 권리 이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개인정보를 수집하여서는 아니 된다.
→ 개인정보보호법의 "민감정보" 에 해당하는 내용
정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 이용자의 주민등록번호를 수집 이용할 수 없다.
1. 제23조의3에 따라 본인확인기관으로 지정받은 경우
2. 법령에서 이용자의 주민등록번호 수집 이용을 허용하는 경우
3. 영업상 목적을 위하여 이용자의 주민등록번호 수집, 이용이 불가피한 정보통신서비스 제공자로서 방송통신위원회가 고시하는 경우
제1항제2호 또는 제3호에 따라 주민등록번호를 수집 이용할 수 있는 경우에도 이용자의 주민등록번호를 사용하지 아니하고 본인을 확인하는 방법(이하 "대체수단"이라 한다)을 제공하여야 한다.
→ 개인정보보호법에는 명시되지 않은 대체수단이 정보통신망법에는 명시되어 있음
제25조(개인정보의 처리위탁)
정보통신서비스 제공자와 그로부터 제24조의제1항에 따라 이용자의 개인정보를 제공받은자(이하 "정보통신서비스 제공자등"이라 한다)는 제3자에게 이용자의 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위(이하 "처리"라 한다)를 할 수 있도록 업무를 위탁(이하 "개인정보 처리위탁"이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.
1. 개인정보 처리위탁을 받는 자(이하 "수탁자"라 한다)
2. 개인정보 처리위탁을 하는 업무의 내용
※ 개인정보보호법과의 차이
개인정보보호법은 처리 위탁 시 공개만 해두며 마케팅 목적으로 위탁 시에 정보주체에게 고지.
정보통신망법은 처리 위탁시 이용자에게 알리고(고지) 동의를 받아야 한다.
제25조(개인정보 보호책임자의 지정)
정보통신서비스 제공자등은 이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하여 개인정보 보호책임자를 지정하여야 한다. 다만, 종업원 수 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자등의 경우에는 지정하지 아니할 수 있다.
개인정보 보호책임자의 자격요건 등(시행령)
정토송신서비스 제공자등이 지정하는 개인정보 보호책임자는 다음 각 호의 어느 하나에 해당하는 지위에 있는 자로 하여야 한다.
1. 임원
2. 개인정보와 관련하여 이용자의 고충 처리를 담당하는 부서의 장
법 제27조제1항 단서에서 "대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자등"이란 상시 종업원 수가 5명 미만인 정보통신서비스 제공자등을 말한다.
다만, 인터넷으로 정보통신서비스를 제공하는 것을 주된 업으로 하는 정보통신서비스 제공자등의 경우에는 상시 종업원 수가 5명 미만으로서 전년도 말 기준으로 직전 3개월간의 일일평균이용자가 1천명 이하인 자를 말한다.
※ 개인정보보호법
공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
가. 사업주 또는 대표자
나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
제27조의3(개인정보 유출등의 통지 신고)
정보통신서비스 제공자등은 개인정보의 분실 도난 유출(이하 "유출등"이라 한다) 사실을 안 때에는 지체 없이 다음 각 호의 모든 사항을 해당 이용자에게 알리고 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지 신고해서는 아니 된다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다.
1. 유출등이 된 개인정보 항목
2. 유출등이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자등의 대응 조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
※ 개인정보보호법
개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
③ 개인정보처리자는 대통령령으로 정한 규모(1000건) 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 행정안전부장관 또는 대통령령으로 정하는 전문기관에 신고하여야 한다.
제28조(개인정보의 보호조치)
정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분도유위변훼를 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적 관리적 조치를 하여야 한다.
1. 개인정보를 안전한게 처리하기 위한 내부관리계획의 수립 시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근통제장치의 설치 운영
3. 접속기록의 위조 변조 방지를 위한 조치
4. 개인정보를 안전하게 저장 전송할 수 있는 암호화기술 등을 이용한 보안 조치
5. 백신 소프트웨어의 설치 운영 등 컴퓨터바이러스에 의한 침해 방지조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 자를 최소한으로 제한하여야 한다.
제29조(개인정보의 파기)
개인정보를 파기해야하는 경우
1. 개인정보의 수집 이용 목적을 달성한 경우
2. 이용자의 동의를 받은 개인정보의 보유 및 이용기간이 끝난 경우
3. 이용자의 동의를 받지 아니하고 수집 이용한 경우에 개인정보의 보유 및 이용 기간이 끝난 경우
4. 사업을 폐업하는 경우
※ 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다.
다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.
정보통신서비스 제공자등은 이용자가 정보통신서비스를 법 제29조제2항의 기간(1년) 동안 이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장 관리하여야 한다. 다만, 법 제29조제2항 본문에 따른 기간이 경과한 경우로서 다른 법령에 따라 이용자의 개인정보를 보존하여야 하는 경우에는 다른 법령에서 정한 기간이 경과할 때까지 다른 이용자의 개인정보와 분리하여 별도로 저장 관리하여야 한다.
정보통신서비스 제공자등은 제2항의 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항을 전자우편 등 대통령령으로 정하는 방법으로 이용자에게 알려야 한다.
제30조(이용자의 권리 등)
① 이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집 이용 제공 등의 동의를 철회할 수 있다.
② 이용자는 정보통신서비스 제공자등에 대하여 본인에 관한 다음 각 호의 어느 하나의 사항에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다.
1. 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보
2. 정보통신서비스 제공자등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황
3. 정보통신서비스 제공자등에게 개인정보 수집 이용 제공 등의 동의를 한 현황
③ 정보통신서비스 제공자등은 이용자가 제1항에 따라 동의를 철회하면 지체없이 수집된 개인정보를 복구 재생 할 수 없도록 파기하는 등 필요한 조치를 하여야한다.
④ 정보통신서비스 제공자등은 제2항에 따라 열람 또는 제공을 요구받으면 지체 없이 필요한 조치를 하여야 한다.
⑤ 정보통신서비스 제공자등은 제2항에 따라 오류의 정정을 요구받으면 지체 없이 그 오류를 정정하거나 정정하지 못하는 사유를 이용자에게 알리는 등 필요한 조치를 하여야 하고, 필요한 조치를 할 때까지는 해당 개인정보를 이용하거나 제공하여서는 아니된다. 다만, 다른 법률에 따라 개인정보의 제공을 요청받은 경우에는 그 개인정보를 제공하거나 이용할 수 있다.
⑥ 정보통신서비스 제공자등은 제1항에 따른 동의의 철회 또는 제2항에 따른 개인정보의 열람 제공 또는 오류의 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다.
제30조의2(개인정보 이용내역의 통지)
정보통신서비스 제공자등으로서 대통령령으로 정하는 기준에 해당하는 자는 제22조 및 제23조제1항 단서에 따라 수집한 이용자 개인정보의 이용내역을 주기적으로 이용자에게 통지하여야 한다.
다만, 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 아니한 경우에는 그러하지 아니하다.
제 1항에 따라 이용자에게 통지하여야 하는 정보의 종류, 통지 주기 및 방법, 그 밖에 이용내역 통지에 필요한 사항은 대통령령으로 정한다.
제 17조(개인정보 이용내역의 통지, 시행령)
법 제30조의제2제1항 본문에서 "대통령령으로 정하는 기준에 해당하는 자"란 전년도 말 기준 직전 3개월간 그 개인정보가 저장 관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등을 말한다.
※ 전년도 말 기준 직전 3개월간 개인정보가 저장 관리되고 있는 이용자 수가 일일평균 100만명 이상
정보통신서비스 부문 매출액이 100억원 이상
, 일 경우에 이용자에게 개인정보 이용내역을 주기적으로 통지
제32조의3(손해배상의 보장)
정보통신서비스 제공자등은 제32조 및 제32조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.