정보통신망법과 개인정보보호

법무법인 민후 김경환 변호사

개인정보 관련 법령 및 적용순서

□ 개인정보보호법 공공기관 오프라인 기업 : , - 안전행정부

□ 정보통신망법 정보통신망 이용촉진 및 정보보호 등에 관한 법률 정보통신( ) :

서비스제공자 방송 통신 인터넷 기업( ) - ㆍ ㆍ 방송통신위원회

□ 신용정보법 신용정보의 이용 및 보호에 관한 법률 신용정보회사등 ( ) : - 금융

위원회

* 개인정보보호위원회 대통령 직속 -

적용순서 □

인터넷기업 정보통신망법 개인정보보호법 - : →

금융기관 신용정보법 개인정보보호법 - : →

공공기관 개인정보보호법 - :

오픈마켓이 준수하여야 하는 법 ex) ?

결제대행사가 준수하여야 하는 법 ex) ?

신한은행이 소셜커머스업을 할 때 준수하여야 하는 법 ex) ?

의료정보 처리시 지켜야 하는 법 ex) ?

개인정보법령의 키워드

식별성□

개인정보만 개인정보보호 법령 준수의무 -

목적제한성 □

수집 목적을 넘어서 이용해서는 아니된다 -

개인정보의 개념 식별성( )

개념□

생존하는 개인에 관한 정보로서 성명 주민등록번호 등에 의하여 특정한 개 - ·

인을 알아볼 수 있는 부호 문자 음성 음향 및 영상 등의 정보 해당 정보만· · · (

으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼

수 있는 경우에는 그 정보를 포함한다)

살아 있는 개인 1)

개인에 관한 정보 2)

식별할 수 있는 정보 식별성 직접 식별정보 3) [ , ]

쉽게 결합하여 식별할 수 있는 정보 결합용이성 간접 식별정보 4) [ , ]

살아 있는 개인□

김구 선생의 자손들에 관한 정보 ex) ?

뉴질랜드 캐나다는 사망자의 정보까지 포함함 사후 년 정도 ex) , ( 20 )

개인에 관한 정보□

기업의 주소 연락처 신용정보 등 ex) , , ?

기업의 대표이름 예 삼안실업 대표 이만수 ex) ? ( : )

식별할 수 있는 정보□

특정 대학의 년 취업률 ex) 2013 ?

삼성전자에서 빨간색 머리를 하고 있는 대 남자 ex) 20 ?

김민수 가 빨간 색은 좋아한다 ex) (?) ?

휴대전화번호 ex) ?

얼굴 정보 ex) CCTV ?

콜센터 대화 녹음파일 ex) ?

쉽게 결합하여 식별할 수 있는 정보□

휴대전화의 ex) IMEI

국제단말기인증번호 ( , international mobile equipment identity)

특정인의 휴대폰에 저장된 휴대전화 자리 ex) 4

결합용이성의 판단은 현실적 가능성으로 잠재적 가능성으로 ex) / ?

목적제한성

목적제한성□

목적 범위 내의 처리이면 아무런 조치 취하지 않아도 됨 -

목적 범위 외의 처리이면 별도의 동의를 얻어야 함 -

목적 범위 내의 처리라도 중요한 처리이면 고지 등을 하여야 함 -

동의 고지 통지 공개 , , □ ㆍ

동의 쌍방 합의 - :

고지 통지 일방 특정인 - : , ㆍ

공개 일방 불특정인 - : ,

수집 고지 이후 동의( )

목적 외 제공별도의 동의( )

목적 내 제공조치 불요( )

목적 외 이용별도의 동의( )

목적 내 중요 이용‘ ’ 위탁은동의 영업양도는고지( , )

목적 내 단순 이용‘ ’ 조치 불요( )

제공 고지 이후 동의( )

이용

개인정보의 수집

정보통신망법 제 조22○

정보주체의 동의를 받은 경우 사전에 일정사항의 고지 필요 1. ( [informed

명시적 동의consent], [express consent])

정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정 2.

보로서 경제적 기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 ·

곤란한 경우

예 ) 이용자가 요구하는 정보통신서비스를 제공하는 과정에서 생성되는 과금

정보 통화사실기록 도수 접속로그 결제기록 이용정지기록 등, ( ), (log), ,

주의 맞춤광고 등의 마케팅 목적의 사용은 동의 필요 )

정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우 3.

이 법 또는 4. 다른 법률에 특별한 규정이 있는 경우

예 개인정보보호법 제 조 제 항 ) 15 1 ?

개인정보보호법 제 조 제 항15 1○

정보주체의 동의를 받은 경우 사전에 일정사항의 고지 필요 1. ( [informed

명시적 동의consent], [express consent])

법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 2.

경우

담배판매시 청소년 여부를 확인하는 경우 ex)

3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

국민건강보험공단이 보험급여관리를 위하여 진료내역을 수집하는 ex)

경우

정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 4.

택배회사가 주소지 정보를 받는 경우 ex)

정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 5.

주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체

또는 제 자의 급박한 생명 신체 재산의 이익을 위하여 필요하다고 인3 , ,

정되는 경우

개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백 6.

하게 정보주체의 권리보다 우선하는 경우 이 경우 개인정보처리자의 정.

당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경

우에 한한다.

요금을 정산하는 경우 채권 추심하는 경우 명함 ex) , ex)

제 조의 접근권한에 대한 동의 정보통신서비스 제공자는 해당 서비스22 2( ) ※ ①

를 제공하기 위하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보

및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한 이하 접( "

근권한 이라 한다 이 필요한 경우 다음 각 호의 사항을 이용자가 명확하게 " )

인지할 수 있도록 알리고 이용자의 동의를 받아야 한다.

해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우 1.

가 접근권한이 필요한 정보 및 기능의 항목 .

나 접근권한이 필요한 이유 .

해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우 2.

가 접근권한이 필요한 정보 및 기능의 항목 .

나 접근권한이 필요한 이유 .

다 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실 .

정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 ②

아니한 접근권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이

용자에게 해당 서비스의 제공을 거부하여서는 아니 된다.

이동통신단말장치의 기본 운영체제 이동통신단말장치에서 소프트웨어를 실 (③

행할 수 있는 기반 환경을 말한다 를 제작하여 공급하는 자와 ) 이동통신단

말장치 제조업자 및 이동통신단말장치의 소프트웨어를 제작하여 공급하는

자는 정보통신서비스 제공자가 이동통신단말장치 내에 저장되어 있는 정보

및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근권한에 대한

이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조

치를 하여야 한다. 시행일 [ : 2017.3.23.]

주민번호의 수집

개인정보보호법 제 조의 주민번호수집 법정주의 제 항 24 2( ) 1○

법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우 1.

정보주체 또는 제 자의 급박한 생명 신체 재산의 이익을 위하여 명백 2. 3 , ,

히 필요하다고 인정되는 경우

제 호 및 제 호에 준하여 주민등록번호 처리가 불가피한 경우로서 안전 3. 1 2

행정부령으로 정하는 경우

제 조의 주민등록번호 처리의 제한 제 항 24 2( ) 1※

법률 대통령령 국회규칙 대법원규칙 헌법재판소규칙 중앙선거관리위1. ㆍ ㆍ ㆍ ㆍ ㆍ

원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하

거나 허용한 경우

정보주체 또는 제 자의 급박한 생명 신체 재산의 이익을 위하여 명백히 2. 3 , ,

필요하다고 인정되는 경우

제 호 및 제 호에 준하여 주민등록번호 처리가 불가피한 경우로서 안전 3. 1 2

행정부령으로 정하는 경우

시행일 [ : 2017.3.30.]

정보통신망법 제 조의 주민번호수집 법정주의 제 항 23 2( ) 1○

본인확인기관으로 지정받은 경우 1.

법령에서 이용자의 주민등록번호 수집 이용을 허용하는 경우 2. ·

영업상 목적을 위하여 이용자의 주민등록번호 수집 이용이 불가피한 정 3. ·

보통신서비스 제공자로서 방송통신위원회가 고시하는 경우

제 자로부터의 수집3

제 조 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지20 ( ) ○

개인정보처리자가 ① 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는

정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알

려야 한다.

개인정보의 수집 출처 1.

개인정보의 처리 목적 2.

제 조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실 3. 37

제 항에도 불구하고 처리하는 개인정보의 종류 규모 종업원 수 및 매출액 1 · , ②

규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자

가 제 조제 항제 호17 1 1 개인정보의 제공 동의( + )에 따라 정보주체 이외로부터 개

인정보를 수집하여 처리하는 때에는 제 항 각 호의 모든 사항을 정보주체1

에게 알려야 한다 다만 개인정보처리자가 수집한 정보에 연락처 등 정보. ,

주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아

니하다.

제 항 본문에 따라 알리는 경우 정보주체에게 알리는 시기 방법 및 절차 2 ·③

등 필요한 사항은 대통령령으로 정한다.

시행일 [ : 2016.9.30.]

개인정보의 이용 제공ㆍ

이용〇 처리자가 바뀌지 않은 경우 :

예 한 회사의 다른 부서끼리 개인정보를 건네는 경우 )

제공 ○ 처리자가 바뀌는 경우 받는 자의 처리 목적을 위하여 건네는 경우 : ,

공유는 지속적인 제공으로 취급( )

예 다른 회사의 마케팅 목적으로 그 회사에 건네는 경우 )

위탁〇 처리자가 바뀌는 경우 주는 자의 처리 목적을 위하여 건네는 경우 : ,

예 우리 회사의 마케팅 목적으로 타 회사에 건네는 경우 )

목적 범위 내 이용 제공 허용: ○ ㆍ

단 제공의 경우 정보주체의 , 별개의 동의 필요 정보통신망법 제 조의 ( 24 2)

수집 이용 동의와의 관계 수집 이용과는 별개의 동의를 얻어야 함 - : ㆍ ㆍ

고지의무 제공받는 자 제공목적 제공항목 보유기간 - : , , ,

특정의무 제공받는 자를 특정하여야 함 따라서 마케팅 업체 라고 하 - : . ' '

여 제공받는 자를 특정하지 않은 경우에는 제공이 허용되지 않음

동의 받는 시기 수집과 동시 또는 제공시 중 선택할 수 있음 - :

목적 범위 외 이용 제공 원칙적으로 불허 다음은 허용: , ○ ㆍ

정보주체로부터 1. 별도의 동의를 받은 경우 정보통신망법 제 조의 개인( 24 2,

정보보호법 조 항 호18 2 1 )

고지의무 제공받는 자 제공목적 제공항목 보유기간 동의거부권 - : , , , ,

특정의무 제공받는 자를 특정하여야 함 - :

다른 법률에 특별한 규정이 있는 경우 개인정보보호법 조 항 호 2. ( 18 2 2 )

정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 3.

주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체

또는 제 자의 급박한 생명 신체 재산의 이익을 위하여 필요하다고 인3 , ,

정되는 경우 호(3 )

통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 4.

알아볼 수 없는 형태로 개인정보를 제공하는 경우 호(4 )

개인정보를 목적 외의 용도로 이용하거나 이를 제 자에게 제공하지 아니 5. 3

하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호

위원회의 심의 의결을 거친 경우 호 공공기관에 한함· (5 , )

사례 농림축산식품부의 쌀소득 등 보전직접지불금 부당 수령자의 주 - :

민등록번호 국회 제공 국방부의 채권추심 목적의 개인정보 제공,

조약 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공 6. ,

하기 위하여 필요한 경우 호 공공기관에 한함(6 , )

예컨대 와 의 협정 - US EU PNR(Passenger Name Record)

범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 공공기관에 7. (

한함)

법원의 재판업무 수행을 위하여 필요한 경우 공공기관에 한함 8. ( )

형 및 감호 보호처분의 집행을 위하여 필요한 경우 공공기관에 한 9. ( ) , (刑

함)

개인정보의 제공 정리 ○

수사 목적 수사기관 원칙적으로 영장 필요 1. ( ) :

이용자 개인정보 전기통신사업자는 영장 불요 1) :

김연아 유인촌 사건 ex) ㆍ

통신사실확인자료 영장 필요 2) :

감청 영장 필요 3) :

송 수신이 완료된 개인정보 영장 필요 4) : ㆍ

카카오톡 사건 ex)

다만 공공기관은 영장 불요 *

재판 목적 법원 영장 불요 2. ( ) :

과세 목적 국세청 세무서 영장 필요 3. ( , ) :

네이버와 파워블러거 사건 ex)

개인정보의 위탁

제 조 개인정보의 처리위탁25 ( )

정보통신서비스 제공자와 그로부터 제 조의 제 항에 따라 이용자의 개인24 2 1①

정보를 제공받은 자 이하 정보통신서비스 제공자등 이라 한다 는 제 자에게 ( " " ) 3

이용자의 개인정보를 수집 생성 연계 연동 기록 저장 보유 가공 편집, , , , , , , , ,

검색 출력 정정 복구 이용 제공 공개 파기 그 밖에 이와 , , ( ), , , , , ( ), 訂正 破棄

유사한 행위 이하 ( "처리 라 한다 를 할 수 있도록 업무를 위탁 이하 개인정" ) ( "

보 처리위탁 이라 한다 하는 경우에는 다음 각 호의 사항 모두를 이용자에" )

게 알리고 동의를 받아야 한다 다음 각 호의 어느 하나의 사항이 변경되는 .

경우에도 또한 같다.

개인정보 처리위탁을 받는 자 이하 수탁자 라 한다 1. ( " " )

개인정보 처리위탁을 하는 업무의 내용 2.

정보통신서비스 제공자등은 정보통신서비스의 제공에 관한 계약을 이행하 ②

고 이용자 편의 증진 등을 위하여 필요한 경우로서 제 항 각 호의 사항 모1

두를 제 조의 제 항에 따라 공개하거나 전자우편 등 대통령령으로 정하27 2 1

는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁에 따른 제1

항의 고지절차와 동의절차를 거치지 아니할 수 있다 제 항 각 호의 어느 . 1

하나의 사항이 변경되는 경우에도 또한 같다.

정보통신서비스 제공자등은 개인정보 처리위탁을 하는 경우에는 수탁자가 ③

이용자의 개인정보를 처리할 수 있는 목적을 미리 정하여야 하며 수탁자,

는 이 목적을 벗어나서 이용자의 개인정보를 처리하여서는 아니 된다.

정보통신서비스 제공자등은 수탁자가 이 장의 규정을 위반하지 아니하도록 ④

관리 감독 및 교육하여야 한다· .

수탁자가 개인정보 처리위탁을 받은 업무와 관련하여 이 장의 규정을 위반 ⑤

하여 이용자에게 손해를 발생시키면 그 수탁자를 손해배상책임에 있어서

정보통신서비스 제공자등의 소속 직원으로 본다.

⑥ 정보통신서비스 제공자등이 수탁자에게 개인정보 처리위탁을 할 때에는 문

서에 의하여야 한다.

⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자등의 동의를 받은

경우에 한하여 제 항에 따라 위탁받은 업무를 제 자에게 재위탁할 수 있다1 3 .

시행일 [ : 2016.9.23.]

개인정보의 관리

○ 관리적ㆍ기술적ㆍ물리적 보호조치 개인정보의 기술적 관리적 보호조치 기준( · )

개인정보를 안전하게 취급하기 위한 1. 내부관리계획의 수립 시행·

개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 2.

통제장치의 설치 운영·

접속기록의 위조 변조 방지를 위한 조치 3. ·

개인정보를 안전하게 저장 전송할 수 있는 암호화기술 등을 이용한 보안조 4. ·

치

백신 소프트웨어의 설치 운영 등 컴퓨터바이러스에 의한 침해 방지조치 5. ·

그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치 6.

개인정보의 기술적 보호조치에 관한 법령○

개인정보의 안전성 확보조치 기준 행자부 고시 ( )□

공공기관 오프라인 기업 , →

개인정보의 기술적 관리적 보호조치 기준 방통위 고시 ( )□ ㆍ

온라인 기업 정보통신서비스제공자 ( )→

신용정보업감독규정 전자금융감독규정 금융위 고시 , ( )□

금융회사 등 →

개인정보 보호책임자의 지정○

정보통신서비스 제공자등은 이용자의 개인정보를 보호하고 개인정보와 관 ①

련한 이용자의 고충을 처리하기 위하여 개인정보 보호책임자를 지정하여야

한다 다만 종업원 수 이용자 수 등이 대통령령으로 정하는 기준에 해당. , ,

하는 정보통신서비스 제공자등의 경우에는 지정하지 아니할 수 있다. 상시 [

종업원 수가 명 미만5 ]

제 항 단서에 따른 정보통신서비스 제공자등이 개인정보 보호책임자를 지 1②

정하지 아니하는 경우에는 그 사업주 또는 대표자가 개인정보 보호책임자

가 된다.

개인정보 보호책임자의 자격요건과 그 밖의 지정에 필요한 사항은 대통령 ③

령으로 정한다.

개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법 ④

령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며 필요하,

면 소속 정보통신서비스 제공자등의 사업주 또는 대표자에게 개선조치를

보고하여야 한다 다만 제 항에 따라 사업주 또는 대표자가 개인정보 보호. , 2

책임자가 되는 경우에는 개선조치 보고에 대한 사항을 적용하지 아니한다.

시행일 [ : 2016.9.23.]

내부관리계획 개인정보처리방침cf) ○

외부에 공개할 필요 없고 내부적으로 사용되는 문서 - ,

개인정보관리책임자의 자격요건 및 지정에 관한 사항 1.

개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항 2.

개인정보 내부관리계획의 수립 및 승인에 관한 사항 3.

개인정보의 기술적 관리적 보호조치 이행 여부의 내부 점검에 관한 사항 4. ·

개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 5.

사항 신설( )

개인정보의 분실 도난 누출 변조 훼손 등이 발생한 경우의 대응절차 및 방 6. · · · ·

법에 관한 사항 신설( )

그 밖에 개인정보보호를 위해 필요한 사항 7.

신설된 관리적 기술적 보호조치기준 조문ㆍ

개인정보의 기술적 관리적 보호조치 기준·

시행 방송통신위원회고시[ 2014.12.30.] [ ]

개인정보의 기술적 관리적 보호조치 기준·

시행 방송통신위원회고시[ 2015.5.18.] [ ]

제 조 목적 이 기준은 정보통신망 이용촉진 및 1 ( ) 「

정보보호 등에 관한 법률 이하 법 이라 한다( " ” ) 」

제 조제 항 및 같은 법 시행령 제 조제 항에 28 1 15 6

따라 정보통신서비스 제공자등이 이용자의 개인

정보를 취급함에 있어서 개인정보가 분실 도난 누· ·

출 변조 훼손 등이 되지 아니하도록 안전성을 확· ·

보하기 위하여 취하여야 하는 기술적 관리적 보·

호조치의 구체적인 기준을 정하는 것을 목적으로

한다.

제 조 목적1 ( ) ① 이 기준은 정보통신망 이용촉진 「

및 정보보호 등에 관한 법률 이하 법 이라 한( " ”」

다 제 조제 항 및 같은 법 시행령 제 조제) 28 1 15 6

항에 따라 정보통신서비스 제공자등 법 제 조에 ( 67

따라 준용되는 자를 포함한다 이하 같다. )이 이

용자의 개인정보를 취급함에 있어서 개인정보가

분실 도난 누출 변조 훼손 등이 되지 아니하도록 · · · ·

안전성을 확보하기 위하여 취하여야 하는 기술

적 관리적 보호조치의 · 최소한의 기준을 정하는

것을 목적으로 한다.

신설< >

정보통신서비스 제공자등은 사업규모 개인정, ②

보 보유 수 등을 고려하여 스스로의 환경에 맞는

개인정보 보호조치 기준을 수립하여 시행하여야

한다.

제 조 정의 이 기준에서 사용하는 용어의 뜻은 2 ( )

다음과 같다.

제 조 정의 이 기준에서 사용하는 용어의 뜻은 2 ( )

다음과 같다.

1. 개인정보관리책임자 라 함은 정보통신서비스 " ”

제공자의 사업장 내에서 이용자의 개인정보보호

업무를 총괄하거나 업무처리를 최종 결정하는 임

직원을 말한다.

1. 개인정보관리책임자 란 이용자의" " 개인정보보

호 업무를 총괄하거나 업무처리를 최종 결정하는

임직원을 말한다.

2. 개인정보취급자 라 함은 정보통신서비스 제" ”

공자의 사업장 내에서 이용자의 개인정보를 수

집 보관 처리 이용 제공 관리 또는 파기 등의 , , , , ,

업무를 하는 자를 말한다.

2. 개인정보취급자 란 이용자의" " 개인정보를 수

집 보관 처리 이용 제공 관리 또는 파기 등의 , , , , ,

업무를 하는 자를 말한다.

신설< >모바일 기기 란 스마트폰 태블릿 등 무13. " " , PC

선망을 이용할 수 있는 휴대용 기기를 말한다.

신설< >

보조저장매체 란 이동형 하드디스크14. " " (HDD),

메모리 등 자료를 저장USB , CD(Compact Disk)

할 수 있는 매체로서 개인정보처리시스템 또는

개인용 컴퓨터 등과 쉽게 분리 접속할 수 있는 ⋅저장매체를 말한다.

제 조 내부관리계획의 수립 시행3 ( · ) 제 조 내부관리계획의 수립 시행3 ( · )

신설< >개인정보 처리업무를 위탁하는 경우 수탁자에 5.

대한 관리 및 감독에 관한 사항

신설< >개인정보의 분실 도난 누출 변조 훼손 등이 발6. · · · ·

생한 경우의 대응절차 및 방법에 관한 사항

정보통신서비스 제공자등은 다음 각 호의 사②

항을 정하여 개인정보관리책임자 및 개인정보취

급자를 대상으로 매년 회 이상 교육을 실시2 하여

야 한다.

교육목적 및 대상1.

교육 내용2.

교육 일정 및 방법3.

정보통신서비스 제공자등은 다음 각 호의 사②

항을 정하여 개인정보관리책임자 및 개인정보취

급자를 대상으로 필요한 교육을 사업규모 개인,

정보 보유수 등을 고려하여 정기적으로 실시하여

야 한다.

교육목적 및 대상1.

교육 내용2.

교육 일정 및 방법3.

제 조 접근통제4 ( ) 제 조 접근통제4 ( )

정보통신서비스 제공자등은 개인정보취급자가 ④

정보통신망을 통해 외부에서 개인정보처리시스템

에 접속이 필요한 경우에는 공인인증서 등 안전

한 인증 수단을 적용하여야 한다.

정보통신서비스 제공자등은 개인정보취급자가 ④

정보통신망을 통해 외부에서 개인정보처리시스템

에 접속이 필요한 경우에는 안전한 인증 수단을

적용하여야 한다.

⑥ 정보통신서비스 제공자등은 개인정보처리시스

템에서 개인정보를 다운로드 또는 파기할 수 있

거나 개인정보처리시스템에 대한 접근권한을 설

정할 수 있는 개인정보취급자의 컴퓨터 등을 물

리적 또는 논리적으로 망분리 하여야 한다.

⑥ 전년도 말 기준 직전 개월간 그 개인정보가 3

저장 관리되고 있는 이용자 수가 일일평균 · 100

만명 이상이거나 정보통신서비스 부문 전년도 법(

인인 경우에는 전 사업연도를 말한다 매출액이 )

억원 이상인 정보통신서비스 제공자등은100 개

인정보처리시스템에서 개인정보를 다운로드 또는

파기할 수 있거나 개인정보처리시스템에 대한 접

근권한을 설정할 수 있는 개인정보취급자의 컴퓨

터 등을 물리적 또는 논리적으로 망분리 하여야

한다.

⑧ 정보통신서비스 제공자등은 개인정보취급자를

대상으로 다음 각 호의 사항을 포함하는 비밀번호

작성규칙을 수립하고 이를 적용 운용하여야 한다, · .

1. 다음 각 목의 문자 종류 중 종류 이상을 조 2

합하여 최소 자리 이상 또는 종류 이상을 조10 3

합하여 최소 자리 이상의 길이로 구성8

가 영문 대문자 개. (26 )

나 영문 소문자 개. (26 )

다 숫자 개. (10 )

라 특수문자 개. (32 )

⑧ 정보통신서비스 제공자등은 개인정보취급자를

대상으로 다음 각 호의 사항을 포함하는 비밀번호

작성규칙을 수립하고 이를 적용 운용하여야 한다, · .

1. 영문 숫자 특수문자, , 중 종류 이상을 조합 2

하여 최소 자리 이상 또는 종류 이상을 조합10 3

하여 최소 자리 이상의 길이로 구성8

가 라 삭제. ~ . < >

정보통신서비스 제공자등은 취급중인 개인정⑨

보가 인터넷 홈페이지 공유설정 등을 통하, P2P,

여 열람권한이 없는 자에게 공개되거나 외부에

유출되지 않도록 개인정보처리시스템 및 개인정

보취급자의 컴퓨터에 조치를 취하여야 한다.

정보통신서비스 제공자등은 취급중인 개인정⑨

보가 인터넷 홈페이지 공유설정 등을 통하, P2P,

여 열람권한이 없는 자에게 공개되거나 외부에

유출되지 않도록 개인정보처리시스템 및 개인정

보취급자의 컴퓨터와 모바일 기기에 조치를 취하

여야 한다.

신설< >

정보통신서비스 제공자등은 개인정보처리시스⑩

템에 대한 개인정보취급자의 접속이 필요한 시간

동안만 유지되도록 최대 접속시간 제한 등의 조

치를 취하여야 한다.

제 조 개인정보의 암호화6 ( ) 제 조 개인정보의 암호화6 ( )

② 정보통신서비스 제공자등은 주민등록번호 신,

용카드번호 및 계좌번호에 대해서는 안전한 암호

알고리듬으로 암호화하여 저장한다.

신설< >

정보통신서비스 제공자등은 다음 각 호의 정②

보에 대해서는 안전한 암호알고리듬으로 암호화

하여 저장한다.

주민등록번호1.

여권번호2.

운전면허번호3.

외국인등록번호4.

신용카드번호5.

계좌번호6.

바이오정보7.

정보통신서비스 제공자등은 이용자의 개인정④

보를 개인용컴퓨터(PC)에 저장할 때에는 이를 암

호화해야 한다.

정보통신서비스 제공자등은 이용자의 개인정④

보를 컴퓨터 모바일 기기 및 보조저장매체 등, 에

저장할 때에는 이를 암호화해야 한다.

제 조 악성프로그램 방지 정보통신서비스 제공7 ( )

자등은 백신 소프트웨어를 월 회1 이상 주기적으

로 갱신 점검하고 악성 프로그램관련 경보가 발· ,

령된 경우 및 백신소프트웨어 또는 운영체제 제

작업체에서 업데이트 공지가 있는 경우에는 응용

프로그램과 정합성을 고려하여 최신 소프트웨어

로 갱신 점검하여야 한다· .

제 조 악성프로그램 방지 정보통신서비스 제공7 ( )

자등은 악성 프로그램 등을 방지 치료할 수 있ㆍ

는 백신 소프트웨어 등의 보안 프로그램을 설치

운영하여야 하며 다음 각호의 사항을 준수하, ㆍ

여야 한다.

보안 프로그램의 자동 업데이트 기능을 사용1.

하거나 또는 일 회 이상 업데이트를 실시하여 , 1

최신의 상태로 유지

악성프로그램 관련 경보가 발령된 경우 또는 2.

사용중인 응용 프로그램이나 운영체제 소프트웨

어의 제작업체에서 보안 업데이트 공지가 있는

경우 즉시 이에 따른 업데이트를 실시,

신설< >

제 조 물리적 접근 방지 정보통신서비스 제8 ( ) ①

공자등은 전산실 자료보관실 등 개인정보를 보,

관하고 있는 물리적 보관 장소에 대한 출입통제

절차를 수립 운영하여야 한다. ㆍ

정보통신서비스 제공자등은 개인정보가 포함②

된 서류 보조저장매체 등을 잠금장치가 있는 안,

전한 장소에 보관하여야 한다.

정보통신서비스 제공자등은 개인정보가 포함③

된 보조저장매체의 반출 입 통제를 위한 보안대ㆍ

책을 마련하여야 한다.

제 조9 개인정보 표시 제한 보호조치 정보통신서( )

비스 제공자 등은 개인정보 업무처리를 목적으로

개인정보의 조회 출력 등의 업무를 수행하는 과,

정에서 개인정보보호를 위하여 개인정보를 마스

킹하여 표시제한 조치를 취하는 경우에는 다음의

원칙으로 적용할 수 있다.

성명 중 이름의 첫 번째 글자 이상1.

생년월일2.

전화번호 또는 휴대폰 전화번호의 국번3.

주소의 읍 면 동4. · ·

인터넷주소는 버전 의 경우 비트 영5. 4 17 24～

역 버전 의 경우 비트 영역, 6 113 128～

제 조10 개인정보 표시 제한 보호조치 정보통신( )

서비스 제공자 등은 개인정보 업무처리를 목적으

로 개인정보의 조회 출력 등의 업무를 수행하는 ,

과정에서 개인정보보호를 위하여 개인정보를 마

스킹하여 표시제한 조치를 취할 수 있다.

삭제1. ~ 5. < >

보호조치 미이행과 과징금

정보통신망법 제제 조의64 3○

방송통신위원회는 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우 -

에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의

분의 이하에 해당하는 금액을 과징금으로 부과할 수 있다100 3 .

이용자의 개인정보를 분실 도난 누출 변조 또는 훼손한 경우로서 제 - 6. · · · 28

조제 항제 호부터 제 호까지의 조치를 하지 아니한 경우 1 2 5 인과관계 불요( )

개인정보의 미파기

정보통신망법 제 조 제 항 29 1○

정보통신서비스 제공자등은 다음 각 호의 어느 하나에 해당하는 경우에는 -

지체 없이 해당 개인정보를 복구 재생할 수 없도록 파기하여야 한다 다· .

만 다른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그러하지 아,

니하다.

파기시기 목적달성시 년안 년경과즉시 년경과이후 - : 1) , 2) 5 , 3) 5 , 4) 5

미이행시 - 형사처벌 대상 년 이하의 징역 또는 천만원 이하의 벌금 (2 2 )

개인정보 유효기간 제도

정보통신망법 제 조 제 항 29 2○ 시행일 [ : 2015.8.18]

법률 정보통신서비스 제공자등은 - : 정보통신서비스를 대통령령으로 정하는

기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통

령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야

한다.

시행령 법 제 조제 항에서 대통령령으로 정하는 기간 이란 - : 29 2 " "① 년1 을

말한다 다만 다음 각 호의 경우에는 해당 호에 따른 기간으로 한다. , .

1. 다른 법령에서 별도의 기간을 정하고 있는 경우 해당 법령에서 정한 기간:

이용자의 요청에 따라 기간을 달리 정한 경우 2. : 달리 정한 기간

정보통신서비스 제공자등은 이용자가 정보통신서비스를 제 항의 기간 1②

동안 이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과

후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장 관ㆍ

리하여야 한다.

정보통신서비스 제공자등은 제 항에 따라 개인정보를 2③ 별도로 저장 관ㆍ

리하는 경우에는 법 또는 다른 법률에 특별한 규정이 있는 경우를 제외하

고는 해당 개인정보를 이용하거나 제공하여서는 아니 된다.

개인정보의 누출통지

정보통신망법 제 조의27 3○

안 때로부터 - 시간 안24 에 신고 및 통지

방통위 또는 - KISA

이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우는 예외 -

손해배상

제 조 손해배상32 ( ) ○

이용자는 정보통신서비스 제공자등이 이 장의 규정을 위반한 행위로 손 ①

해를 입으면 그 정보통신서비스 제공자등에게 손해배상을 청구할 수 있

다 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 .

입증하지 아니하면 책임을 면할 수 없다.

정보통신서비스 제공자등의 고의 또는 중대한 과실로 인하여 개인정보가 ②

분실 도난 유출 위조 변조 또는 훼손된 경우로서 이용자에게 손해가 발생· · · ·

한 때에는 법원은 그 손해액의 배를 넘지 아니하는 범위3 에서 손해배상

액을 정할 수 있다 다만 정보통신서비스 제공자등이 고의 또는 중대한 . ,

과실이 없음을 증명한 경우에는 그러하지 아니하다.

③ 법원은 제 항의 손해배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다2 .

고의 또는 손해 발생의 우려를 인식한 정도 1.

위반행위로 인하여 입은 피해 규모 2.

위반행위로 인하여 정보통신서비스 제공자등이 취득한 경제적 이익 3.

위반행위에 따른 벌금 및 과징금 4.

위반행위의 기간 횟수 등 5. ·

정보통신서비스 제공자등의 재산상태 6.

정보통신서비스 제공자등이 이용자의 개인정보 분실 도난 유출 후 해 7. · ·

당 개인정보를 회수하기 위하여 노력한 정도

정보통신서비스 제공자등이 이용자의 피해구제를 위하여 노력한 정도 8.

시행일 [ : 2016.7.25.]

제 조의 법정손해배상의 청구32 2( ) ○

이용자는 다음 각 호의 모두에 해당하는 경우에는 대통령령으로 정하는 ①

기간 내에 정보통신서비스 제공자등에게 제 조에 따른 손해배상을 청구32

하는 대신 만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배300

상을 청구할 수 있다 이 경우 해당 정보통신서비스 제공자등은 고의 또.

는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

정보통신서비스 제공자등이 고의 또는 과실로 이 장의 규정을 위반한 1.

경우

개인정보가 분실 도난 누출된 경우 2. · ·

법원은 제 항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 1②

결과를 고려하여 제 항의 범위에서 상당한 손해액을 인정할 수 있다1 .

제 조에 따라 손해배상을 청구한 이용자는 사실심의 변론이 종결되기 32③

전까지 그 청구를 제 항에 따른 청구로 변경할 수 있다1 .

시행일 [ : 2016.7.25.]

노출된 개인정보의 삭제 차단ㆍ

제 조의 노출된 개인정보의 삭제 차단32 3( · ) ○

정보통신서비스 제공자등은 주민등록번호 계좌정보 신용카드정보 등 이 , , ①

용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 아니하도록 하

여야 한다.

정보통신서비스 제공자등은 방송통신위원회 또는 한국인터넷진흥원의 요 ②

청이 있는 경우 제 항의 노출된 개인정보에 대한 삭제 차단 등 필요한 1 ·

조치를 취하여야 한다.

시행일 [ : 2016.9.23.]

불법정보

제 조의 불법정보의 유통금지 등44 7( ) ○

누구든지 정보통신망을 통하여 다음 각 호의 어느 하나에 해당하는 정보 ①

를 유통하여서는 아니 된다.

음란한 부호 문언 음향 화상 또는 영상을 배포 판매 임대하거나 공공연하 1. · · · · ·

게 전시하는 내용의 정보

사람을 비방할 목적으로 공공연하게 사실이나 거짓의 사실을 드러내어 2.

타인의 명예를 훼손하는 내용의 정보

공포심이나 불안감을 유발하는 부호 문언 음향 화상 또는 영상을 반복적으 3. · · ·

로 상대방에게 도달하도록 하는 내용의 정보

정당한 사유 없이 정보통신시스템 데이터 또는 프로그램 등을 훼손 멸 4. , ·

실 변경 위조하거나 그 운용을 방해하는 내용의 정보· ·

청소년 보호법 에 따른 청소년유해매체물로서 상대방의 연령 확인 표시 5. , 「 」

의무 등 법령에 따른 의무를 이행하지 아니하고 영리를 목적으로 제공하

는 내용의 정보

법령에 따라 금지되는 사행행위에 해당하는 내용의 정보 6.

의 이 법 또는 개인정보 보호에 관한 법령을 위반하여 개인정보를 거래6 2.

하는 내용의 정보

법령에 따라 분류된 비밀 등 국가기밀을 누설하는 내용의 정보 7.

국가보안법 에서 금지하는 행위를 수행하는 내용의 정보 8. 「 」

그 밖에 범죄를 목적으로 하거나 교사 또는 방조하는 내용의 정보 9. ( ) 敎唆

시행일 [ : 2016.9.23.]

전화권유판매자의 광고시 의무

제 조 영리목적의 광고성 정보 전송 제한50 ( )

누구든지 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려①

면 그 수신자의 명시적인 사전 동의를 받아야 한다 다만 다음 각 호의 어. ,

느 하나에 해당하는 경우에는 사전 동의를 받지 아니한다.

재화등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 1.

대통령령으로 정한 기간 이내에 자신이 처리하고 수신자와 거래한 것과

동종의 재화등에 대한 영리목적의 광고성 정보를 전송하려는 경우

방문판매 등에 관한 법률 에 따른 전화권유판매자가 육성으로 수신자에 2. 「 」

게 개인정보의 수집출처를 고지하고 전화권유를 하는 경우

시행일 [ : 2016.9.23.]

개인정보의 국외이전

제 조 국외 이전 개인정보의 보호63 ( )

정보통신서비스 제공자등은 이용자의 개인정보에 관하여 이 법을 위반하는 ①

사항을 내용으로 하는 국제계약을 체결하여서는 아니 된다.

정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공 조회되는 경우(②

를 포함한다 처리위탁 보관 이하 이 조에서 이전 이라 한다 하려면 이용자)· · ( " " )

의 동의를 받아야 한다 다만. , 정보통신서비스의 제공에 관한 계약을 이행하

고 이용자 편의 증진 등을 위하여 필요한 경우로서 제 항 각 호의 사항 모3

두를 제 조의 제 항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 27 2 1

방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁 보관에 따른 동의·

절차를 거치지 아니할 수 있다.

정보통신서비스 제공자등은 제 항에 따른 동의를 받으려면 미리 다음 각 호2③

의 사항 모두를 이용자에게 고지하여야 한다.

이전되는 개인정보 항목 1.

개인정보가 이전되는 국가 이전일시 및 이전방법 2. ,

개인정보를 이전받는 자의 성명 법인인 경우에는 그 명칭 및 정보관리책 3. (

임자의 연락처를 말한다)

개인정보를 이전받는 자의 개인정보 이용목적 및 보유 이용 기간 4. ·

정보통신서비스 제공자등은 제 항에 따른 동의를 받아 개인정보를 국외로 2④

이전하는 경우 대통령령으로 정하는 바에 따라 보호조치를 하여야 한다.

시행일 [ : 2016.9.23.]

감사합니다.

oalmephaga@minwho.kr