제1조(목적) 이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다. 제6조(다른 법률과의 관계) 개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다. 제68조(권한의 위임·위탁) ① 이 법에 따른 행정안전부장관 또는 관계 중앙행정기관의 장의 권한은 그 일부를 대통령령으로 정하는 바에 따라 특별시장, 광역시장, 도지사, 특별자치도지사 또는 대통령령으로 정하는 전문기관에 위임하거나 위탁할 수 있다. ② 제1항에 따라 행정안전부장관 또는 관계 중앙행정기관의 장의 권한을 위임 또는 위탁받은 기관은 위임 또는 위탁받은 업무의 처리 결과를 행정안전부장관 또는 관계 중앙행정기관의 장에게 통보하여야 한다. ③ 행정안전부장관은 제1항에 따른 전문기관에 권한의 일부를 위임하거나 위탁하는 경우 해당 전문기관의 업무 수행을 위하여 필요한 경비를 출연할 수 있다.[4]
그러나 2019년 1월 1일 현재 위임된 권한은 없고, 위탁된 권한만 있다.
제69조(벌칙 적용 시의 공무원 의제) 행정안전부장관 또는 관계 중앙행정기관의 장의 권한을 위탁한 업무에 종사하는 관계 기관의 임직원은 「형법」 제129조부터 제132조까지의 규정을 적용할 때에는 공무원으로 본다.
당초 법안을 입안한 법학교수의 주장(이창범, 개인정보 보호법 (법문사, 2012), 서문)에 의하면, 원래 직관적이고 알기 쉬운 내용이었다고 하는데, 실제로는 용어와 체계가 다 복잡한 법률로써, 그 자체가 하나의 법체계를 이루고 있다고 해도 과언이 아니다. 설상가상으로 정보통신망 이용촉진 및 정보보호 등에 관한 법률, '신용정보의 이용 및 보호에 관한 법률' 등에 특칙이 있는 등 규율이 다원화되어 있어서 이해하기 더욱 난해하다.
주무부서인 행정안전부에서 간행한 '개인정보 보호법 해설서'(이 법률에 관한 상세한 축조해설이다)가 있다. 참고로, 개인정보보호종합포털 '자료마당>지침자료' 메뉴에 올려져 있다.
"개인정보처리자"란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다(제2조 제5호).[5]
여기서 주의해야 할 것은 본법의 대상이 되는 개인정보처리자는 국내법인이나 내국인 개인으로 한정되어있지 않다는 점이다. 외국법인이나 외국단체도 한국내에서 서비스를 제공하면 본법상의 개인정보처리자이다. 따라서 내국인에게 제공되는 외국 서비스가 본법상의 의무를 이행하지 않으면 본법의 위반이 되며, 외국에 서버를 두고 활동하는 경우에 본법을 위반하면 해당 서비스에 대한 차단 등의 조치가 취해질 수 있다.
"개인정보파일"이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다(같은 조 제4호).
개인정보처리자의 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 (업무를 담당하는) 자를 "개인정보취급자"라 한다(제28조 제1항).[6]
주의해야 할 점은, 개인정보처리자가 외국인 등이라 할지라도, 이와 별개로 그 외국인에게 고용 등을 통해 개인정보 취급 업무를 담당하는 내국인은 국내법상의 개인정보취급자라는 것이다. 따라서 외국인에게 고용된 내국인이 본법상의 의무를 위반하는 경우에는 고용주인 그 외국인이 국내법의 형사 관할에 속하는지 여부와 관계없이 본법의 제재를 받을 수 있다는 것이다.
국가와 지방자치단체는 다음과 같은 책무를 진다(제5조). 첫째, 개인정보의 목적 외 수집, 오용·남용 및 무분별한 감시·추적 등에 따른 폐해를 방지하여 인간의 존엄과 개인의 사생활 보호를 도모하기 위한 시책을 강구하여야 한다(제1항). 둘째, 정보주체의 권리를 보호하기 위하여 법령의 개선 등 필요한 시책을 마련하여야 한다(제2항). 셋째, 개인정보의 처리에 관한 불합리한 사회적 관행을 개선하기 위하여 개인정보처리자의 자율적인 개인정보 보호활동을 존중하고 촉진·지원하여야 한다(제3항). 넷째, 개인정보의 처리에 관한 법령 또는 조례를 제정하거나 개정하는 경우에는 이 법의 목적에 부합되도록 하여야 한다(같은 조 제4항).
행정안전부장관은 개인정보 보호 정책 추진, 성과평가 등을 위하여 필요한 경우 개인정보처리자, 관계 중앙행정기관의 장, 지방자치단체의 장 및 관계 기관·단체 등을 대상으로 개인정보관리 수준 및 실태파악 등을 위한 조사를 실시할 수 있으며(제11조 제2항), 이러한 자료제출 등을 요구받은 자는 특별한 사정이 없으면 이에 따라야 한다(같은 조 제4항).
이러한 자료제출 등의 범위와 방법 등 필요한 사항은 대통령령으로 정한다(같은 조 제5항).
행정안전부장관은 처리하는 개인정보의 종류·규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 안전성 확보에 필요한 조치를 하였는지에 관하여 대통령령으로 정하는 바에 따라 정기적으로 조사하여야 한다(제24조 제4항). 다만, 행정안전부장관은 대통령령으로 정하는 전문기관으로 하여금 위 조사를 수행하게 할 수 있다(같은 조 제5항).
행정안전부장관은 개인정보처리자의 개인정보 처리 및 보호와 관련한 일련의 조치가 이 법에 부합하는지 등에 관하여 인증할 수 있다(제32조의2 제1항). 위 인증의 유효기간은 3년으로 한다(같은 조 제2항).
이러한 인증을 위하여 필요한 심사를 수행할 심사원(개인정보보호 인증 심사원)의 자격 및 자격 취소 요건 등에 관하여는 전문성과 경력 및 그 밖에 필요한 사항을 고려하여 대통령령으로 정하며(같은 조 제7항), 그 밖에 개인정보 관리체계, 정보주체 권리보장, 안전성 확보조치가 이 법에 부합하는지 여부 등 인증의 기준·방법·절차 등 필요한 사항도 대통령령으로 정한다(같은 조 제8항). 개인정보 보호 인증에 필요한 세부사항은 행정안전부장관이 정하여 고시하는데(영 제34조의2 제6항), 이에 따라, 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시가 제정되어 있다.
개인정보 보호 인증을 받은 자는 대통령령으로 정하는 바에 따라 인증의 내용을 표시하거나 홍보할 수 있다(제32조의2 제6항).[7]
이를 위반하여 인증을 받지 아니하였음에도 거짓으로 인증의 내용을 표시하거나 홍보한 자는 과태료의 제재를 받는다(제75조 제2항 제7호의2).
행정안전부장관은 개인정보 보호 인증의 실효성 유지를 위하여 연 1회 이상 사후관리를 실시하여야 한다(같은 조 제4항).
행정안전부장관은 거짓이나 그 밖의 부정한 방법으로 개인정보 보호 인증을 받은 경우에는 대통령령으로 정하는 바에 따라 인증을 취소하여야 한다(같은 조 제3항 단서, 제1호).
행정안전부장관은 다음 각 호의 어느 하나에 해당하는 경우에는 대통령령으로 정하는 바에 따라 제1항에 따른 인증을 취소할 수 있다(같은 항 제2호 내지 제4호).
사후관리를 거부 또는 방해한 경우
인증기준에 미달하게 된 경우
개인정보 보호 관련 법령을 위반하고 그 위반사유가 중대한 경우
한편, 행정안전부장관은 대통령령으로 정하는 전문기관으로 하여금 이러한 인증, 인증 취소, 사후관리 및 인증 심사원 관리 업무를 수행하게 할 수 있다(같은 조 제5항).
행정안전부장관은 개인정보 보호를 위하여 필요하다고 인정하면 개인정보처리자에게 개인정보 처리 실태의 개선을 권고할 수 있다. 이 경우 권고를 받은 개인정보처리자는 이를 이행하기 위하여 성실하게 노력하여야 하며, 그 조치 결과를 행정안전부장관에게 알려야 한다(제61조 제2항).
행정안전부장관은 개인정보처리자가 위와 같은 자료를 제출하지 아니하거나 이 법을 위반한 사실이 있다고 인정되면 소속 공무원으로 하여금 개인정보처리자 및 해당 법 위반사실과 관련한 관계인의 사무소나 사업장에 출입하여 업무 상황, 장부 또는 서류 등을 검사하게 할 수 있다. 이 경우 검사를 하는 공무원은 그 권한을 나타내는 증표를 지니고 이를 관계인에게 내보여야 한다(제63조 제2항).[9]
이러한 출입·검사를 거부·방해 또는 기피한 자는 과태료의 제재를 받는다(제75조 제3항 제11호).
행정안전부장관은 개인정보가 침해되었다고 판단할 상당한 근거가 있고 이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다고 인정되면 이 법을 위반한 자(중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 제외한다)에 대하여 다음 각 호에 해당하는 조치를 명할 수 있다(제64조 제1항).[10]
이를 위반하여 시정명령에 따르지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제13호).
행정안전부장관은 개인정보처리자에게 이 법 등 개인정보 보호와 관련된 법규의 위반에 따른 범죄혐의가 있다고 인정될 만한 상당한 이유가 있을 때에는 관할 수사기관에 그 내용을 고발할 수 있다(제65조 제1항).
행정안전부장관은 이 법 등 개인정보 보호와 관련된 법규의 위반행위가 있다고 인정될 만한 타당한 이유가 있을 때에는 책임이 있는 자(대표자 및 책임있는 임원을 포함한다)를 징계할 것을 해당 개인정보처리자에게 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 행정안전부장관에게 통보하여야 한다(같은 조 제2항).
관계 중앙행정기관의 장은 개인정보 보호를 위하여 필요하다고 인정하면 소관 법률에 따라 개인정보처리자에게 개인정보 처리 실태의 개선을 권고할 수 있다. 이 경우 권고를 받은 개인정보처리자는 이를 이행하기 위하여 성실하게 노력하여야 하며, 그 조치 결과를 관계 중앙행정기관의 장에게 알려야 한다(제61조 제3항).
관계 중앙행정기관의 장도 소관 법률에 따라 개인정보처리자에 대하여 고발을 하거나 소속 기관·단체 등의 장에게 징계권고를 할 수 있다. 이 경우 제2항에 따른 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 관계 중앙행정기관의 장에게 통보하여야 한다(제65조 제3항).
개인정보처리자는 다음과 같은 의무가 있다(제3조). 첫째, 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다(같은 조 제1항). 둘째, 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다(같은 조 제2항). 셋째, 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다(같은 조 제3항). 넷째, 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다(같은 조 제4항). 다섯째, 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다(같은 조 제5항). 여섯째, 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다(같은 조 제6항). 일곱째, 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다(같은 조 제7항). 여덟째, 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다(같은 조 제8항).
개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다(제59조).
첫째, 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위(제59조 제1호). 이를 위반하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자는 처벌을 받는다(제72조 제2호).
둘째, 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위(제59조 제2호). 이를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자는 처벌을 받는다(제71조 제5호).
셋째, 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출하는 행위(제59조 제3호). 이를 위반하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출한 자는 처벌을 받는다(제71조 제6호).
다음 각 호의 어느 하나에 해당하는 개인정보에 관하여는 개인정보 보호에 관한 규정(제3장부터 제7장까지)을 적용하지 아니한다(제58조 제1항).
공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보
국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보
공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보
언론, 종교단체, 정당이 각각 취재·보도, 선교, 선거 입후보자 추천 등 고유 목적을 달성하기 위하여 수집·이용하는 개인정보
그러나, 개인정보처리자는 위와 같이 개인정보를 처리하는 경우에도 그 목적을 위하여 필요한 범위에서 최소한의 기간에 최소한의 개인정보만을 처리하여야 하며, 개인정보의 안전한 관리를 위하여 필요한 기술적·관리적 및 물리적 보호조치, 개인정보의 처리에 관한 고충처리, 그 밖에 개인정보의 적절한 처리를 위하여 필요한 조치를 마련하여야 한다(같은 조 제4항).
개인정보처리자는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 "민감정보"라 한다)를 처리하여서는 아니 된다(제23조 제1항 본문).
다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다(같은 항 단서).
정보주체에게 개인정보 수집 또는 제공의 동의를 받을 때 알려야 할 사항(제15조 제2항 각 호 또는 제17조 제2항 각 호)을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
으로 정하는 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다(제25조제3항).
제25조제1항의 각 호에 따라 고정형 영상정보처리기기를 설치ㆍ운영하는 자는 정보주체가 쉽게 인식할 수 있도록 다음 각 호의 사항이 포함된 안내판을 설치하는 등 필요한 조치를 하여야 한다(제25조제4항). 다만, 「군사기지 및 군사시설 보호법」 제2조제2호에 따른 군사시설, 「통합방위법」 제2조제13호에 따른 국가중요시설, 그 밖에 대통령령[24]
누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있는 곳에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하여서는 아니 된다. 다만, 인명의 구조ㆍ구급 등을 위하여 필요한 경우로서 대통령령[32]
위와 같이 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 "위탁자"라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 "수탁자"라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다(제26조 제2항).[38]
이를 위반하여 위탁하는 업무의 내용과 수탁자를 공개하지 아니한 자는 과태료의 제재를 받는다(제75조 제3항 제5호).
위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다(같은 조 제3항).[39]
이를 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제1호).
위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다(같은 조 제4항).
수탁자에 관해서도 개인정보의 수집, 이용, 제공 등(제15조부터 제22조까지), 개인정보의 처리 제한(제23조부터 제28조까지. 제26조 제외), 개인정보의 안전한 관리(제29조부터 제34조의2까지. 제32조(개인정보파일의 등록 및 공개) 제외), 정보주체의 권리 보장(손해배상책임 제외. 제35조부터 제38조) 및 금지행위(제59조)의 규정을 준용한다(제26조 제7항).
수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다(같은 조 제5항). 이를 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자는 처벌을 받는다(제71조 제2호).
개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(전술한 법정대리인 포함)의 동의를 받을 때에는 다음과 같이 하여야 한다(제22조).[41]
이를 위반하여 동의를 받은 자는 과태료의 제재를 받는다(제75조 제3항 제2호)
첫째, 정보주체와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 한다(제22조 제3항 전문). 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다(같은 항 후문).
둘째, 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다(같은 조 제1항).
셋째, 개인정보처리자는 이러한 동의를 서면(전자문서 포함)으로 받을 때에는 개인정보의 수집·이용 목적, 수집·이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 행정안전부령으로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다(같은 조 제2항).
더 나아가, 개인정보처리자는 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다(같은 조 제4항).
개인정보처리자는 정보주체가 전술한 바와 같이 선택적으로 동의할 수 있는 사항을 동의하지 아니하거나 판촉을 위한 동의(같은 조 제4항) 및 목적 외 이용의 동의(제18조 제2항 제1호)를 하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다(제22조 제5항).[42]
이를 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제2호).
그 밖에 외에 정보주체의 동의를 받는 세부적인 방법은 개인정보의 수집매체 등을 고려하여 대통령령으로 정한다(같은 조 제7항).
후술하는 바와 같이, 개인정보의 수집 출처가 정보주체가 아닌 때에는 정보주체의 요구가 있어야만 수집 출처 등을 고지할 의무가 있다(제20조 제1항).
그러나 더 나아가, 처리하는 개인정보의 종류·규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 정보주체의 동의를 받은 제3자로부터(제17조 제1항 제1호) 개인정보를 수집하여 처리하는 때에는 수집 출처 등(제1항 각 호) 모두를 정보주체에게 알려야 한다(같은 조 제2항 본문).[46]
이를 위반하여 정보주체에게 해당 사실을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제3호).
다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다(같은 항 단서). 이에 따라 알리는 경우 정보주체에게 알리는 시기·방법 및 절차 등 필요한 사항은 대통령령으로 정한다(같은 조 제3항).
그러나, 이상의 원칙은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다(같은 조 제4항).
고지를 요구하는 대상이 되는 개인정보가 행정안전부에 등록할 의무가 없는 개인정보파일(제32조 제2항)에 포함되어 있는 경우
고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다(제29조).
개인정보처리자가 민감정보를 처리하는 경우에는 그 민감정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 이러한 안전성 확보에 필요한 조치를 하여야 한다(제23조 제2항).
개인정보처리자가 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다(제24조 제3항).
특히, 개인정보처리자는 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다(제24조의2 제2항).[48]
이를 위반하여 암호화 조치를 하지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제4호의3).
영상정보처리기기운영자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 이러한 안전성 확보에 필요한 조치를 하여야 한다(제25조 제6항).
이상의 규정을 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 자는 처벌을 받는다(제73조 제1호).
개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다(제34조 제1항).[49]
이를 위반하여 정보주체에게 해당 사실을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제8호).
유출된 개인정보의 항목
유출된 시점과 그 경위
유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
개인정보처리자의 대응조치 및 피해 구제절차
정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
이러한 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다(같은 조 제4항).
개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다(같은 조 제2항).
개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 전술한 통지 및 조치 결과를 지체 없이 행정안전부장관 또는 대통령령으로 정하는 전문기관에 신고하여야 한다(같은 조 제3항 전문).[50]
이를 위반하여 조치 결과를 신고하지 아니한 자자는 과태료의 제재를 받는다(제75조 제2항 제9호).
이 경우 행정안전부장관 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다(같은 항 후문).
행정안전부장관은 개인정보처리자가 처리하는 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 5억원 이하의 과징금을 부과·징수할 수 있다. 다만, 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 개인정보처리자가 제24조제3항에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다(제34조의2 제1항).
행정안전부장관은 이러한 과징금을 부과하는 경우에는 다음 각 호의 사항을 고려하여야 한다(같은 조 제2항).
안전성 확보에 필요한 조치 이행 노력 정도
분실·도난·유출·위조·변조 또는 훼손된 주민등록번호의 정도
피해확산 방지를 위한 후속조치 이행 여부
행정안전부장관은 이러한 과징금을 내야 할 자가 납부기한까지 내지 아니하면 납부기한의 다음 날부터 과징금을 낸 날의 전날까지의 기간에 대하여 내지 아니한 과징금의 연 100분의 6의 범위에서 대통령령으로 정하는 가산금을 징수한다. 이 경우 가산금을 징수하는 기간은 60개월을 초과하지 못한다(같은 조 제3항).
행정안전부장관은 이러한 과징금을 내야 할 자가 납부기한까지 내지 아니하면 기간을 정하여 독촉을 하고, 그 지정한 기간 내에 과징금 및 제2항에 따른 가산금을 내지 아니하면 국세 체납처분의 예에 따라 징수한다(같은 조 제4항).
과징금의 부과·징수에 관하여 그 밖에 필요한 사항은 대통령령으로 정한다(같은 조 제5항).
다만, 공개된 장소에 영상정보처리기기를 설치·운영하여 처리되는 개인정보에 대하여는 동의에 관한 개인정보 유출 통지 등을 하지 아니하여도 된다(제58조 제2항에서 제34조의 부적용).
공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 "영향평가"라 한다)를 하고 그 결과를 행정안전부장관에게 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 행정안전부장관이 지정하는 기관(이하 "평가기관"이라 한다) 중에서 의뢰하여야 한다(제33조 제1항).
공공기관 외의 개인정보처리자도 개인정보파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적극 노력하여야 한다(같은 조 제8항).
영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다(같은 조 제2항).
처리하는 개인정보의 수
개인정보의 제3자 제공 여부
정보주체의 권리를 해할 가능성 및 그 위험 정도
그 밖에 대통령령으로 정한 사항
이러한 평가기관의 지정기준 및 지정취소, 평가기준, 영향평가의 방법·절차 등에 관하여 필요한 사항은 대통령령으로 정하나(같은 조 제6항), 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관 포함)의 영향평가에 관한 사항은 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따른다(같은 조 제7항).
개인정보 영향평가 업무에 종사하거나 종사하였던 자는 직무상 알게 된 비밀을 다른 사람에게 누설하거나 직무상 목적 외의 용도로 이용하여서는 아니 된다. 다만, 다른 법률에 특별한 규정이 있는 경우에는 그러하지 아니하다(제60조 제2호). 이를 위반하여 직무상 알게 된 비밀을 누설하거나 직무상 목적 외에 이용한 자는 처벌을 받는다(제72조 제3호).
공공기관의 장이 개인정보파일을 운용하는 경우에는 다음 각 호의 사항을 행정안전부장관에게 등록하여야 한다. 등록한 사항이 변경된 경우에도 또한 같다(제32조 제1항).
개인정보파일의 명칭
개인정보파일의 운영 근거 및 목적
개인정보파일에 기록되는 개인정보의 항목
개인정보의 처리방법
개인정보의 보유기간
개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
그 밖에 대통령령으로 정하는 사항
또한, 공공기관의 장은 개인정보 영향평가를 한 개인정보파일을 등록할 때에는 영향평가 결과를 함께 첨부하여야 한다(제33조 제4항).
그러나, 다음 각 호의 어느 하나에 해당하는 개인정보파일은 행정안전부장관에게 등록하지 않아도 된다(제32조 제2항).
국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
다른 법령에 따라 비밀로 분류된 개인정보파일
행정안전부장관은 이러한 개인정보파일의 등록 현황을 누구든지 쉽게 열람할 수 있도록 공개하여야 한다(같은 조 제4항).
이러한 등록과 공개의 방법, 범위 및 절차에 관하여 필요한 사항은 대통령령으로 정하나(같은 조 제5항), 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정한다(같은 조 제6항).
개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다(제17조 제1항).
정보주체의 동의를 받은 경우
개인정보를 수집한 목적(정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 제외)(제15조 제1항 제2호·제3호 및 제5호) 범위에서 개인정보를 제공하는 경우
정보주체의 동의 없이 개인정보를 제공할 수 있는 경우(제17조 제1항 제2호)에 해당하지 아니함에도 정보주체의 동의를 받지 아니하고(같은 항 제1호 위반) 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자는 처벌을 받는다(제71조 제1호).
위 원칙에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, ☆의 경우는 공공기관의 경우로 한정한다(제18조 제2항).
정보주체로부터 별도의 동의를 받은 경우
다른 법률에 특별한 규정이 있는 경우
정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우
☆개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우
☆조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
☆범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
☆법원의 재판업무 수행을 위하여 필요한 경우
☆형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
개인정보처리자는 위 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다. 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 한다(같은 조 제5항).
제18조 제2항을 위반하여 개인정보를 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자는 처벌을 받는다(제71조 제2호).
개인정보처리자는 개인정보 제공의 동의(제17조 제1항 제1호, 제18조 제2항 제1호)를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다(제17조 제2항, 제18조 제3항 전문).[51]
이를 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제1호).
개인정보를 제공받는 자
개인정보를 제공받는 자의 개인정보 이용 목적
제공하는 개인정보의 항목
개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에도 위와 같은 사항을 정보주체에게 알리고 동의를 받아야 한다(제17조 제3항 전단).
공공기관은 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 그 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 행정안전부령으로 정하는 바에 따라 관보 또는 인터넷 홈페이지 등에 게재하여야 한다(법 제18조 제4항). 그러나, 정보주체로부터 별도의 동의를 받은 경우(같은 조 제2항 제1호] 및 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우(같은 항 제7호)는 제외한다(같은 항).
위 원칙에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, ☆의 경우는 공공기관의 경우로 한정한다(제18조 제2항).
정보주체로부터 별도의 동의를 받은 경우
다른 법률에 특별한 규정이 있는 경우
정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우
☆개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우
☆조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
☆범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
☆법원의 재판업무 수행을 위하여 필요한 경우
☆형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
이를 위반하여 개인정보를 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자는 처벌을 받는다(제71조 제2호).
공공기관은 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 그 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 행정안전부령으로 정하는 바에 따라 관보 또는 인터넷 홈페이지 등에 게재하여야 한다(법 제18조 제4항). 그러나, 정보주체로부터 별도의 동의를 받은 경우(같은 조 제2항 제1호] 및 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우(같은 항 제7호)는 제외한다(같은 항).
정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다(제35조 제1항). 다만, 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 행정안전부장관을 통하여 열람을 요구할 수 있다(같은 조 제2항).
개인정보처리자는 개인정보의 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다.[58]
이를 위반하여 열람을 제한하거나 거절한 자는 과태료의 제재를 받는다(제75조 제2항 제10호).
이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다(같은 조 제3항).[59]
이를 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제3항 제9호).
다만, 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다(같은 조 제4항).[60]
이를 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제3항 제9호).
법률에 따라 열람이 금지되거나 제한되는 경우
다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우
조세의 부과·징수 또는 환급에 관한 업무
각급 학교, 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무
학력·기능 및 채용에 관한 시험, 자격 심사에 관한 업무
보상금·급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무
다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무
이러한 열람 요구, 열람 제한, 통지 등의 방법 및 절차에 관하여 필요한 사항은 대통령령으로 정한다(같은 조 제5항).
위와 같이 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다(제36조 제1항).
개인정보처리자는 위와 같은 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정·삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다(같은 조 제2항).[61]
이를 위반하여 정정·삭제 등 필요한 조치를 하지 아니한 자, 정보주체에게 알려야 할 사항을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제11호, 같은 조 제3항 제9호).
다만, 개인정보처리자는 이러한 조사를 할 때 필요하면 해당 정보주체에게 정정·삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다(같은 조 제5항).
개인정보처리자가 정보주체의 요구에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다(같은 조 제3항).
그러나, 개인정보처리자는 정보주체가 개인정보의 삭제를 요구할 수 없는 때(같은 조 제1항 단서)에는 지체 없이 그 내용을 정보주체에게 알려야 한다(같은 조 제4항).[62]
이를 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제3항 제9호).
이러한 정정 또는 삭제 요구, 통지 방법 및 절차 등에 필요한 사항은 대통령령으로 정한다(같은 조 제6항).
제36조 제2항을 위반하여 정정·삭제 등 필요한 조치를 하지 아니하고 개인정보를 계속 이용하거나 이를 제3자에게 제공한 자는 처벌을 받는다(제73조 제2호).
정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다(제37조 제1항 전문). 이 경우 공공기관에 대하여는 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다(같은 항 후문).
개인정보처리자는 위와 같은 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다(같은 조 제2항 본문). 그리고, 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다(같은 조 제4항).[63]
이를 위반하여 처리가 정지된 개인정보에 대하여 파기 등 필요한 조치를 하지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제12호).
다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다(같은 항 단서).
법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우
개인정보처리자는 위와 같이 처리정지 요구를 거절하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다(같은 조 제3항).[64]
이를 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제3항 제9호).
이러한 처리정지의 요구, 처리정지의 거절, 통지 등의 방법 및 절차에 필요한 사항은 대통령령으로 정한다(같은 조 제5항).
제37조 제2항을 위반하여 개인정보의 처리를 정지하지 아니하고 계속 이용하거나 제3자에게 제공한 자는 처벌을 받는다(제73조 제3호).
다만, 공개된 장소에 영상정보처리기기를 설치·운영하여 처리되는 개인정보에 대하여는 처리정지를 요구할 수 없다(제58조 제2항에서 제37조의 부적용).
위 원칙(제39조 제1항)에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다(제39조의2 제1항).
법원은 위 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 위 범위에서 상당한 손해액을 인정할 수 있다(같은 조 제2항).
또한, 일반원칙에 따른 손해배상(제39조)을 청구한 정보주체는 사실심(事實審)의 변론이 종결되기 전까지 그 청구를 법정손해배상의 청구(제39조의2 제1항)로 변경할 수 있다(같은 조 제3항).
국가 및 지방자치단체, 개인정보 보호단체 및 기관, 정보주체, 개인정보처리자는 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우로서 대통령령으로 정하는 사건에 대하여는 분쟁조정위원회에 집단분쟁조정을 의뢰 또는 신청할 수 있다(제49조 제1항).
법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 이 법 위반죄를 범하면 그 행위자를 벌하는 외에 그 법인 또는 개인도 처벌한다(제74조 제1항 본문, 제2항 본문). 위반규정이 법 제70조인지 아니면 제71조부터 제73조까지의 어느 하나인지에 따라 법정형에 차이가 있다.
다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다(제74조 제1항 단서, 제2항 단서).
이 문서의 내용 중 전체 또는 일부는 2023-11-10 14:37:51에 나무위키 개인정보 보호법 문서에서 가져왔습니다.
[포털][법률][법률안][1]불법정보의 유통금지도 개인정보와 관련된 일반적 금지를 내용에 포함하고 있다.[2] 이를 위반하여 안전성 확보에 필요한 조치를 하지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제6호).[3] 법문에는 '개인정보의 목적 외 이용·제공 제한'으로서 목적 외 이용과 제공이 함께 규정되어 있으나, 이해의 편의상 양자를 분리하여 중복 서술한다. 후술하는 동의의 획득, 공공기관의 게재, 영업양수자등의 개인정보 제공도 마찬가지이다.[4] 그러나 2019년 1월 1일 현재 위임된 권한은 없고, 위탁된 권한만 있다.[5] 여기서 주의해야 할 것은 본법의 대상이 되는 개인정보처리자는 국내법인이나 내국인 개인으로 한정되어있지 않다는 점이다. 외국법인이나 외국단체도 한국내에서 서비스를 제공하면 본법상의 개인정보처리자이다. 따라서 내국인에게 제공되는 외국 서비스가 본법상의 의무를 이행하지 않으면 본법의 위반이 되며, 외국에 서버를 두고 활동하는 경우에 본법을 위반하면 해당 서비스에 대한 차단 등의 조치가 취해질 수 있다.[6] 주의해야 할 점은, 개인정보처리자가 외국인 등이라 할지라도, 이와 별개로 그 외국인에게 고용 등을 통해 개인정보 취급 업무를 담당하는 내국인은 국내법상의 개인정보취급자라는 것이다. 따라서 외국인에게 고용된 내국인이 본법상의 의무를 위반하는 경우에는 고용주인 그 외국인이 국내법의 형사 관할에 속하는지 여부와 관계없이 본법의 제재를 받을 수 있다는 것이다.[7] 이를 위반하여 인증을 받지 아니하였음에도 거짓으로 인증의 내용을 표시하거나 홍보한 자는 과태료의 제재를 받는다(제75조 제2항 제7호의2).[8] 자료제출 요구에 불구하고 관계 물품·서류 등 자료를 제출하지 아니하거나 거짓으로 제출한 자는 과태료의 제재를 받는다(제75조 제3항 제10호).[9] 이러한 출입·검사를 거부·방해 또는 기피한 자는 과태료의 제재를 받는다(제75조 제3항 제11호).[10] 이를 위반하여 시정명령에 따르지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제13호).[11]불법정보의 유통금지도 개인정보와 관련된 일반적 금지를 내용에 포함하고 있다.[12] 이를 위반하여 개인정보 처리방침을 정하지 아니한 자는 과태료의 제재를 받는다(제75조 제3항 제7호).[13] 이를 위반하여 개인정보 처리방침을 공개하지 아니한 자는 과태료의 제재를 받는다(제75조 제3항 제7호).[14] 이를 위반하여 개인정보 보호책임자를 지정하지 아니한 자는 과태료의 제재를 받는다(제75조 제3항 제8호).[15] 이를 위반하여 주민등록번호를 처리한 자는 과태료의 제재를 받는다(제75조 제2항 제4호의2).[16] 이를 위반하여 정보주체가 주민등록번호를 사용하지 아니할 수 있는 방법을 제공하지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제5호).[17] 폐쇄회로 텔레비전, 네트워크 카메라[18] 착용형 장치, 휴대형 장치, 부착ㆍ거치형 장치[19] 이를 위반하여 고정형 영상정보처리기기를 설치·운영한 자는 과태료를 부과한다.(제75조제2항제10호)[20] https://www.law.go.kr/lsLinkCommonInfo.do?lspttninfSeq=182185&chrClsCd=010202[21] 이를 위반하여 영상정보처리기기를 설치·운영한 자는 과태료를 부과한다(제75조제1항제1호).[22] https://www.law.go.kr/lsLinkCommonInfo.do?lspttninfSeq=67050&chrClsCd=010202[23] https://www.law.go.kr/lsLinkCommonInfo.do?lspttninfSeq=66988&chrClsCd=010202[24] https://www.law.go.kr/lsLinkCommonInfo.do?lspttninfSeq=66990&chrClsCd=010202[25] '23.10.11 기준, 조문에서 위임한 사항을 규정한 하위법령이 존재하지 않음[26] 개인정보의 안전성 확보조치[27] https://www.law.go.kr/lsLinkCommonInfo.do?lspttninfSeq=66991&chrClsCd=010202[28] https://www.law.go.kr/lsLinkCommonInfo.do?lspttninfSeq=66992&chrClsCd=010202[29] 개인정보에 해당하는 경우로 한정[30] 이 경우 정보주체의 권리를 부당하게 침해할 우려가 없고 합리적인 범위를 초과하지 아니하는 경우로 한정[31] '23.10.11 기준, 조문에서 위임한 사항을 규정한 하위법령이 존재하지 않음[32] https://www.law.go.kr/lsLinkCommonInfo.do?lspttninfSeq=182197&chrClsCd=010202[33] https://www.law.go.kr/lsLinkCommonInfo.do?lspttninfSeq=182199&chrClsCd=010202[34] 개인정보의 안전성 확보조치[35] https://www.law.go.kr/lsLinkCommonInfo.do?lspttninfSeq=66991&chrClsCd=010202[36] https://www.law.go.kr/lsLinkCommonInfo.do?lspttninfSeq=66992&chrClsCd=010202[37] 이를 위반하여 업무 위탁 시 소정의 내용이 포함된 문서에 의하지 아니한 자는 과태료의 제재를 받는다(제75조 제3항 제4호).[38] 이를 위반하여 위탁하는 업무의 내용과 수탁자를 공개하지 아니한 자는 과태료의 제재를 받는다(제75조 제3항 제5호).[39] 이를 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제1호).[40] 이를 위반하여 법정대리인의 동의를 받지 아니한 자는 과태료의 제재를 받는다(제75조 제1항 제2호).[41] 이를 위반하여 동의를 받은 자는 과태료의 제재를 받는다(제75조 제3항 제2호)[42] 이를 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제2호).[43] 이를 위반하여 개인정보를 수집한 자는 과태료의 제재를 받는다(제75조 제1항 제1호).[44] 이를 위반하여 재화 또는 서비스의 제공을 거부한 자는 과태료의 제재를 받는다(제75조 제2항 제2호).[45] 이를 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제1호).[46] 이를 위반하여 정보주체에게 해당 사실을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제3호).[47] 이를 위반하여 안전성 확보에 필요한 조치를 하지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제6호).[48] 이를 위반하여 암호화 조치를 하지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제4호의3).[49] 이를 위반하여 정보주체에게 해당 사실을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제8호).[50] 이를 위반하여 조치 결과를 신고하지 아니한 자자는 과태료의 제재를 받는다(제75조 제2항 제9호).[51] 이를 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제1호).[52] 이를 위반하여 정보주체에게 개인정보의 이전 사실을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제3항 제6호).[53] 이를 위반하여 정보주체에게 개인정보의 이전 사실을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제3항 제6호).[54] 법문에는 '개인정보의 목적 외 이용·제공 제한'으로서 목적 외 이용과 제공이 함께 규정되어 있으나, 이해의 편의상 양자를 분리하여 중복 서술한다. 후술하는 동의의 획득, 공공기관의 게재, 영업양수자등의 개인정보 제공도 마찬가지이다.[55] 이를 위반하여 개인정보를 파기하지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제4호).[56] 이를 위반하여 개인정보를 분리하여 저장·관리하지 아니한 자는 과태료의 제재를 받는다(제75조 제3항 제1호)[57] 이를 위반하여 정보주체에게 해당 사실을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제3호).[58] 이를 위반하여 열람을 제한하거나 거절한 자는 과태료의 제재를 받는다(제75조 제2항 제10호).[59] 이를 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제3항 제9호).[60] 이를 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제3항 제9호).[61] 이를 위반하여 정정·삭제 등 필요한 조치를 하지 아니한 자, 정보주체에게 알려야 할 사항을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제11호, 같은 조 제3항 제9호).[62] 이를 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제3항 제9호).[63] 이를 위반하여 처리가 정지된 개인정보에 대하여 파기 등 필요한 조치를 하지 아니한 자는 과태료의 제재를 받는다(제75조 제2항 제12호).[64] 이를 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자는 과태료의 제재를 받는다(제75조 제3항 제9호).