"개인정보보호법"의 두 판 사이의 차이
잔글 |
|||
54번째 줄: | 54번째 줄: | ||
개인정보처리자는 정보 주체의 동의를 받은 경우, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위해 불가피한 경우 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위해 불가피한 경우 정보 주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우, 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우, 개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로서 명백하게 정보 주체의 권리보다 우선하는 경우에 [[개인정보]]를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. 단, 개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로서 명백하게 정보 주체의 권리보다 우선하는 경우는 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 않는 경우에 한한다. 개인정보처리자는 동의를 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집하려는 개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 정보 주체에게 알려야 한다. 이 중 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보 주체에게 불이익이 발생하는지 여부, 암호화 등 안정성 확보에 필요한 조치를 하였는데 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보 주체의 동의 없이 개인정보를 이용할 수 있다.<ref name="법"></ref> | 개인정보처리자는 정보 주체의 동의를 받은 경우, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위해 불가피한 경우 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위해 불가피한 경우 정보 주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우, 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우, 개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로서 명백하게 정보 주체의 권리보다 우선하는 경우에 [[개인정보]]를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. 단, 개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로서 명백하게 정보 주체의 권리보다 우선하는 경우는 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 않는 경우에 한한다. 개인정보처리자는 동의를 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집하려는 개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 정보 주체에게 알려야 한다. 이 중 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보 주체에게 불이익이 발생하는지 여부, 암호화 등 안정성 확보에 필요한 조치를 하였는데 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보 주체의 동의 없이 개인정보를 이용할 수 있다.<ref name="법"></ref> | ||
+ | |||
+ | * 개인정보의 수집 제한 | ||
+ | |||
+ | 개인정보처리자는 정보 주체의 동의를 받은 경우, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위해 불가피한 경우 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위해 불가피한 경우 정보 주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우, 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우, 개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로서 명백하게 정보 주체의 권리보다 우선하는 경우에 해당하여 [[개인정보]]를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집해야 하는데, 이 경우에 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담하며 개인정보처리자는 정보 주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알리고 개인정보를 수집해야 한다. 개인정보처리자는 정보 주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 않는다는 이유로 정보 주체에게 재화 또는 서비스의 제공을 거부해서는 안된다.<ref name="법"></ref> | ||
+ | |||
+ | * 개인정보의 제공 | ||
+ | |||
+ | 개인정보처리자는 정보 주체의 동의를 받은 경우나 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우 정보 주체의 개인정보를 제3자에게 제공할 수 있다. 개인정보처리자는 동의를 받을 때에 개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 정보 주체에게 알려야 하며, 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 위 사항을 정보 주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결해서는 안되며 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보 주체에게 불이익이 발생하는지 여부, 암호화 등 안정성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령을 정하는 바에 따라 정보 주체의 동의 없이 개인정보를 제공할 수 있다. | ||
+ | |||
+ | * 개인정보의 목적 외 이용ㆍ제공 제한 | ||
+ | |||
+ | 개인정보처리자는 개인정보를 범위를 초과하여 이용 혹은 범위를 초과하여 제3자에게 제공해서는 안되며, 정보 주체로부터 별도의 동의를 받은 경우 다른 법률에 특별한 규정이 있는 경우 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우, 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 않으면 다른 볍률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호 위원회의 심의ㆍ의결을 거친 경우, 조약, 그 밖의 국제협정의 이행을 위해 외국 정부 또는 국제기구에 제공하기 위해 필요한 경우, 범죄의 수사와 공소의 제기 및 유지를 위해 필요한 경우, 법원의 재판업무 수행을 위해 필요한 경우, 형 및 감호, 보호처분의 집행을 위해 필요한 경우 중 어느 하나에 해당하는 경우에는 정보 주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 이용자의 개인정보를 처리하는 정보통신 서비스 제공자의 경우 정보 주체로부터 별도의 동의를 받은 경우, 다른 법률에 특별한 규정이 있는 경우로 한정하고, 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우를 제외한 경우들은 공공기관의 경우로 한정한다. 개인정보처리자는 정보 주체로부터 별도의 동의를 받을 때에는 개인정보를 제공받는 자, 개인정보의 이용 목적, 이용 또는 제공하는 개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 정보 주체에게 알려야 하며 이중 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 공공기관은 다른 법률에 특별한 규정이 있는 경우부터 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우, 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 않으면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호 위원회의 심의ㆍ의결을 거친 경우, 조약, 그 밖의 국제협정의 이행을 위해 외국 정부 또는 국제기구에 제공하기 위해 필요한 경우까지 법원의 판 업무 수행을 위해 필요한 경우 및 형 및 감호, 보호처분의 집행을 위해 필요한 경우에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 보호 위원회가 고시로 정하는 바에 따라 관보 또는 인터넷 홈페이지 등에 게재해야 한다. 개인정보처리자는 정보 주체로부터 별도의 동의를 받은 경우 다른 법률에 특별한 규정이 있는 경우 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우, 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 않으면 다른 볍률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호 위원회의 심의ㆍ의결을 거친 경우, 조약, 그 밖의 국제협정의 이행을 위해 외국 정부 또는 국제기구에 제공하기 위해 필요한 경우, 범죄의 수사와 공소의 제기 및 유지를 위해 필요한 경우, 법원의 재판업무 수행을 위해 필요한 경우, 형 및 감호, 보호처분의 집행을 위해 필요한 경우 중 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용목적, 이용 방법, 그밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위해 필요한 조치를 마련하도록 요청해야 하는데, 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위해 필요한 조치를 해야 한다. | ||
+ | |||
+ | * 개인정보를 제공받은 자의 이용ㆍ제공 제한 | ||
+ | |||
+ | 개인정보처리자로부터 개인정보를 제공받은 자는 정보 주체로부터 별도의 동의를 받은 경우, 다른 법률에 특별한 규정이 있는 경우 중 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공해서는 안된다. | ||
+ | |||
+ | * 정보 주체 이외로부터 수집한 개인정보의 수집 출처 등 고지 | ||
+ | |||
+ | 개인정보처리자가 정보 주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보 주체의 요구가 있으면 즉시 개인정보의 수집 출처, 개인정보의 처리 목적, 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실을 정보 주체에게 알려야 한다. 위 사항을 알렸음에도 불구하고 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 정보 주체 이외로부터 개인정보를 수집하여 처리하는 때에는 위의 모든 사항을 정보 주체에게 알려야 하지만, 개인정보처리자가 수집한 정보에 연락처 등 정보 주체에게 알릴 수 있는 개인정보가 포함되지 않은 경우에는 그러지 않다. 물론 정보 주체에게 알리는 시기ㆍ방법 및 절차 등 필요한 사항은 대통령령으로 정한다. 고지를 요구하는 대상이 되는 개인정보가 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보 파일, 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보 파일, 조세범 처벌법에 따른 범칙행위 조사 및 관세법에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보 파일, 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보 파일, 다른 법령에 따라 비밀로 분류된 개인정보 파일 중 어느 하나에 해당하는 개인정보 파일에 포함되어 있는 경우, 혹은 고지로 인해 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우에는 알리지 않지만, 개인정보 보호법에 따른 정보 주체의 권리보다 명백히 우선하는 경우에만 한한다. | ||
+ | |||
+ | * 개인정보의 파기 | ||
+ | |||
+ | 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기해야 하지만, 다른 법령에 따라 보존해야 하는 경우에는 그렇지 않고, 개인정보처리자가 위에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 않도록 조치해야 한다. 개인정보처리자가 개인정보를 파기하지 않고 보존해야 하는 경우엔 해당 개인정보 또는 개인정보 파일을 다른 개인정보와 분리해서 저장ㆍ관리해야 하며, 개인정보의 파기 방법 및 절차 등에 필요한 사항은 대통령령으로 정한다. | ||
+ | |||
+ | * 동의를 받는 방법 | ||
+ | |||
===== 개인정보 처리 제한 ===== | ===== 개인정보 처리 제한 ===== | ||
− | ===== | + | ===== 가명 정보 처리 ===== |
==== 보칙 ==== | ==== 보칙 ==== |
2021년 8월 4일 (수) 15:05 판
개인정보 보호법은 개인정보보호와 관련된 법체계를 일원화하고 개인의 권익 보호를 강화하기 위해 2011년 3월 29일 공포된 후 2011년 9월 30일부터 전면 시행되었다.[1]
목차
개요
개인정보 보호법은 개인정보의 수집·유출·오용·남용으로부터 사생활을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정하기 위한 대한민국의 법률이다. 여기서 개인정보는 살아있는 개인에 관한 정보로, 그 개인을 알아볼 수 있는 정보를 말하며, 이 정보만으로 특정 개인을 알아볼 수 없더라도, 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있다면 개인정보에 포함된다. 이러한 개인정보에는 성명, 주민등록번호, 주소, 연락처 등의 일반정보, 소득, 재산 상황, 신용, 부채 등의 경제정보, 학력, 성적, 병역, 직업, 자격 등의 사회정보와 전자우편, 통화내용, 인터넷 접속 아이피(IP), 로그(log) 등의 통신정보, 그리고 사상, 신념, 노동조합·정당의 가입 탈퇴, 정치적 견해, 건강, 성생활정보 등의 민감정보가 있다.[2]
특징
구성
개인정보 보호법은 총 10장 76조 항으로 이루어져 있고, 10호의 부칙이 존재한다.
개인정보 보호법 본문 10장 76조 항 * 제1장 총칙
* 제2장 개인정보보호정책의 수립 등
* 제3장 개인정보의 처리
* 제4장 개인정보의 안전한 관리
* 제5장 정보 주체의 권리 보장
* 제6장 정보통신 서비스 제공자 등의 개인정보 처리 등 특례 <신설 2020-2-4>
* 제7장 개인정보 분쟁조정위원회 <개정 2020-2-4>
* 제8장 개인정보 단체소송 <개정 2020-2-4>
* 제9장 특정 보칙 <개정 2020-2-4>
* 제10장 벌칙 <개정 2020-2-4>
총칙
- 목적
개인정보 보호법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 만들어졌다.[3]
- 정의
개인정보 보안법은 개인정보, 가명 처리, 처리, 정보 주체, 개인정보 파일, 개인정보처리자, 공공기관, 영상정보처리기기, 과학적 연구 등과 같은 주요 용어를 주로 사용하게 되는데, 개인정보 보안법 제1장 제2조항에선 이러한 주요 용어들의 정의가 기록되어 있다. 개인정보는 살아 있는 개인에 관한 정보로 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보를 말한다. 해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보도 개인정보이며, 경우에는 쉽게 결합할 수 있는지의 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여 판단된다. 이러한 개인정보는 가명 처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보, 즉 가명 정보로 바꿔지는데, 이런 식으로 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 가명 처리라고 한다. 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 파기, 그 밖에 이와 유사한 행위를 처리라고 정의하고 처리되는 정보에 의하여 알아볼 수 있는 사람으로 그 정보의 주체가 되는 사람을 정보 주체라고 정의한다. 또한 개인정보 파일이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말하며, 업무를 목적으로 개인정보 파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 개인정보처리자라고 정의한다. 공공기관이란 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관 포함) 및 소속 기관, 지방자치단체 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관을 칭하며, 영상정보처리기기란 일정한 공간에 지속적으로 설치되어 있는 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로 대통령령으로 정하는 장치를 정의한다. 마지막으로 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구인 과학적 연구까지 정의되어 있다.[3]
- 개인정보보호 원칙
개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다. 또한 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 안되고, 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다. 개인정보의 처리 방법 및 종류 등에 따라 정보 주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 하며 개인정보 처리 방침 등 개인정보의 처리에 관한 사항을 공개하여 열람청구권 등 정보 주체의 권리를 보장해줘야 한다. 정보 주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리해야 한다. 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명 처리가 가능한 경우에는 익명에 의하여, 익명 처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다. 마지막으로 개인정보처리자는 개인정보 보호법 및 관계 법령에서 규정하고 잇는 책임과 의무를 준수하고 실천함으로써 정보 주체의 신뢰를 업기 위해 노력하여야 한다.[3]
- 정보주체의 권리
정보 주체는 자신의 개인정보 처리와 관련하여 개인정보의 처리에 관한 정보를 제공받을 권리, 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리, 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함)을 요구할 권리, 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리, 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리를 가진다.[3]
- 국가 등의 책무
국가와 지방자치단체는 개인정보의 목적 외 수집, 오용ㆍ남용 및 무분별한 감시ㆍ추적 등에 따른 폐해를 방지하여 인간의 존엄과 개인의 사생활 보호를 도모하기 위한 시책을 강구하여야 하며 정보 주체의 권리를 보호하기 위하여 법령의 개선 등 필요한 시책을 마련하여야 한다. 또한 개인정보 처리에 관한 불합리한 사회적 관행을 개선하기 위하여 개인정보처리자의 자율적인 개인정보보호 활동을 존중하고 촉진ㆍ지원하여야 하며, 개인정보의 처리에 관한 법령 또는 조례를 제정하거나 개정하는 경우에는 개인정보 보호법의 목적에 부합되도록 해야 한다.[3]
- 다른 법률과의 관계
개인정보보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따르는 것으로 명시되어 있으며, 이 조항은 2014년 3월 24일에 개정되었다.[3]
처리 및 보칙
처리
개인정보 수집, 이용, 제공 등
- 개인정보의 수집ㆍ이용
개인정보처리자는 정보 주체의 동의를 받은 경우, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위해 불가피한 경우 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위해 불가피한 경우 정보 주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우, 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우, 개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로서 명백하게 정보 주체의 권리보다 우선하는 경우에 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. 단, 개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로서 명백하게 정보 주체의 권리보다 우선하는 경우는 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 않는 경우에 한한다. 개인정보처리자는 동의를 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집하려는 개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 정보 주체에게 알려야 한다. 이 중 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보 주체에게 불이익이 발생하는지 여부, 암호화 등 안정성 확보에 필요한 조치를 하였는데 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보 주체의 동의 없이 개인정보를 이용할 수 있다.[3]
- 개인정보의 수집 제한
개인정보처리자는 정보 주체의 동의를 받은 경우, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위해 불가피한 경우 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위해 불가피한 경우 정보 주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우, 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우, 개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로서 명백하게 정보 주체의 권리보다 우선하는 경우에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집해야 하는데, 이 경우에 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담하며 개인정보처리자는 정보 주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알리고 개인정보를 수집해야 한다. 개인정보처리자는 정보 주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 않는다는 이유로 정보 주체에게 재화 또는 서비스의 제공을 거부해서는 안된다.[3]
- 개인정보의 제공
개인정보처리자는 정보 주체의 동의를 받은 경우나 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우 정보 주체의 개인정보를 제3자에게 제공할 수 있다. 개인정보처리자는 동의를 받을 때에 개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 정보 주체에게 알려야 하며, 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 위 사항을 정보 주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결해서는 안되며 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보 주체에게 불이익이 발생하는지 여부, 암호화 등 안정성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령을 정하는 바에 따라 정보 주체의 동의 없이 개인정보를 제공할 수 있다.
- 개인정보의 목적 외 이용ㆍ제공 제한
개인정보처리자는 개인정보를 범위를 초과하여 이용 혹은 범위를 초과하여 제3자에게 제공해서는 안되며, 정보 주체로부터 별도의 동의를 받은 경우 다른 법률에 특별한 규정이 있는 경우 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우, 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 않으면 다른 볍률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호 위원회의 심의ㆍ의결을 거친 경우, 조약, 그 밖의 국제협정의 이행을 위해 외국 정부 또는 국제기구에 제공하기 위해 필요한 경우, 범죄의 수사와 공소의 제기 및 유지를 위해 필요한 경우, 법원의 재판업무 수행을 위해 필요한 경우, 형 및 감호, 보호처분의 집행을 위해 필요한 경우 중 어느 하나에 해당하는 경우에는 정보 주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 이용자의 개인정보를 처리하는 정보통신 서비스 제공자의 경우 정보 주체로부터 별도의 동의를 받은 경우, 다른 법률에 특별한 규정이 있는 경우로 한정하고, 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우를 제외한 경우들은 공공기관의 경우로 한정한다. 개인정보처리자는 정보 주체로부터 별도의 동의를 받을 때에는 개인정보를 제공받는 자, 개인정보의 이용 목적, 이용 또는 제공하는 개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 정보 주체에게 알려야 하며 이중 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 공공기관은 다른 법률에 특별한 규정이 있는 경우부터 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우, 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 않으면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호 위원회의 심의ㆍ의결을 거친 경우, 조약, 그 밖의 국제협정의 이행을 위해 외국 정부 또는 국제기구에 제공하기 위해 필요한 경우까지 법원의 판 업무 수행을 위해 필요한 경우 및 형 및 감호, 보호처분의 집행을 위해 필요한 경우에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 보호 위원회가 고시로 정하는 바에 따라 관보 또는 인터넷 홈페이지 등에 게재해야 한다. 개인정보처리자는 정보 주체로부터 별도의 동의를 받은 경우 다른 법률에 특별한 규정이 있는 경우 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우, 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 않으면 다른 볍률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호 위원회의 심의ㆍ의결을 거친 경우, 조약, 그 밖의 국제협정의 이행을 위해 외국 정부 또는 국제기구에 제공하기 위해 필요한 경우, 범죄의 수사와 공소의 제기 및 유지를 위해 필요한 경우, 법원의 재판업무 수행을 위해 필요한 경우, 형 및 감호, 보호처분의 집행을 위해 필요한 경우 중 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용목적, 이용 방법, 그밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위해 필요한 조치를 마련하도록 요청해야 하는데, 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위해 필요한 조치를 해야 한다.
- 개인정보를 제공받은 자의 이용ㆍ제공 제한
개인정보처리자로부터 개인정보를 제공받은 자는 정보 주체로부터 별도의 동의를 받은 경우, 다른 법률에 특별한 규정이 있는 경우 중 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공해서는 안된다.
- 정보 주체 이외로부터 수집한 개인정보의 수집 출처 등 고지
개인정보처리자가 정보 주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보 주체의 요구가 있으면 즉시 개인정보의 수집 출처, 개인정보의 처리 목적, 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실을 정보 주체에게 알려야 한다. 위 사항을 알렸음에도 불구하고 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 정보 주체 이외로부터 개인정보를 수집하여 처리하는 때에는 위의 모든 사항을 정보 주체에게 알려야 하지만, 개인정보처리자가 수집한 정보에 연락처 등 정보 주체에게 알릴 수 있는 개인정보가 포함되지 않은 경우에는 그러지 않다. 물론 정보 주체에게 알리는 시기ㆍ방법 및 절차 등 필요한 사항은 대통령령으로 정한다. 고지를 요구하는 대상이 되는 개인정보가 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보 파일, 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보 파일, 조세범 처벌법에 따른 범칙행위 조사 및 관세법에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보 파일, 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보 파일, 다른 법령에 따라 비밀로 분류된 개인정보 파일 중 어느 하나에 해당하는 개인정보 파일에 포함되어 있는 경우, 혹은 고지로 인해 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우에는 알리지 않지만, 개인정보 보호법에 따른 정보 주체의 권리보다 명백히 우선하는 경우에만 한한다.
- 개인정보의 파기
개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기해야 하지만, 다른 법령에 따라 보존해야 하는 경우에는 그렇지 않고, 개인정보처리자가 위에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 않도록 조치해야 한다. 개인정보처리자가 개인정보를 파기하지 않고 보존해야 하는 경우엔 해당 개인정보 또는 개인정보 파일을 다른 개인정보와 분리해서 저장ㆍ관리해야 하며, 개인정보의 파기 방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.
- 동의를 받는 방법
개인정보 처리 제한
가명 정보 처리
보칙
- 금지행위
개인정보를 처리하거나 처리하였던 자는 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위, 혹은 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위를 해선 안되며, 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출하는 행위를 해서는 안된다.[3]
- 비밀유지
보호 위원회의 업무나 개인정보보호 인증 업무, 영향평가 업무나 분쟁조정위원회의 분쟁조정 업무에 종사하거나 종사하였던 자는 직무상 알게 된 비밀을 다른 사람에게 누설하거나 직무상 목적 외의 용도로 이용해서는 안되지만, 다른 법률에 특별한 규정이 있는 경우에는 그렇지 않다.[3]
- 의견제시 및 개선권고
보호 위원회는 개인정보보호에 영향을 미치는 내용이 포함된 법령이나 조례에 대하여 필요하다고 인정하면 심의ㆍ의결을 거쳐 관계 기관에 의견을 제시할 수 있고, 보호 위원회는 개인정보보호를 위하여 필요하다고 인정하면 개인정보처리자에게 개인정보 처리 실태의 개선을 권고할 수 있으며, 이 경우 권고를 받은 개인정보처리자는 이를 이행하기 위하여 성실하게 노력하여야 하며, 그 조치 결과를 보호 위원회에 알려야 한다. 관계 중앙행정기관의 장은 개인정보보호를 위하여 필요하다고 인정하면 소관 법률에 따라 개인정보처리자에게 개인정보 처리 실태의 개선을 권고할 수 있는데, 이 경우 권고를 받은 개인정보처리자는 이를 이행하기 위하여 성실하게 노력하여야 하며, 그 조치 결과를 관계 중앙행정기관의 장에게 알려야 한다. 중앙행정기관, 지방자치단체, 국호, 법원, 헌법재판소, 중앙선거관리위원회는 그 소속 기관 및 소관 공공기관에 대하여 개인정보보호에 관한 의견을 제시하거나 지도ㆍ점검을 할 수 있다.[3]
- 침해 사실의 신고 등
개인정보처리자가 개인정보를 처리할 때 개인정보에 관한 권리 또는 이익을 침해받은 사람은 보호 위원회에 그 침해 사실을 신고할 수 있고, 보호 위원회는 그 신고의 접수ㆍ처리 등에 관한 업무를 효율적으로 수행하기 위하여 대통령령으로 정하는 바에 따라 전문기관을 지정할 수 있는데, 이 경우 전문기관은 개인정보 침해 신고센터를 설치ㆍ운영해야 한다. 개인정보 침해 신고센터는 개인정보 처리와 관련한 신고의 접수ㆍ상담, 사실의 조사ㆍ확인 및 관계자의 의견 청취, 제1호 및 제2호에 따른 업무에 딸린 업무를 수행하며, 보호 위원회는 개인정보 침해 신고센터의 사실 조사ㆍ확인 등의 업무를 효율적으로 하기 위해 필요하면 소속 공무원을 개인정보 침해 신고센터에 파견할 수 있다.[3]
- 자료제출 요구 및 검사
보호 위원회는 개인정보 보호법을 위반하는 사항을 발견하거나 혐의가 있음을 알게 되거나 개인정보 보호법 위반에 대한 신고를 받거나 민원이 접수된 경우, 그 밖에 정보 주체의 개인정보보호를 위하여 필요하여 대통령령으로 정하는 경우 해당 개인정보처리자에게 관계 물품ㆍ서류 등 자료를 제출하게 할 수 있고, 개인정보처리자가 관계 물품ㆍ서류 등 자료를 제출하지 않거나 개인정보 보호법을 위반한 사실이 인정되면 소속 공무원으로 하여금 개인정보처리자 및 해당 법 위반 사실과 관련한 관계인의 사무소나 사업장에 출입하여 업무 상황, 장부 또는 서류 등을 검사하게 할 수 있으나, 이 경우 검사를 하는 공무원은 그 권한을 나타내는 증표를 지니고 이를 관계인에게 내보여야 한다. 관계 중앙행정기관의 장은 소관 법률에 따라 개인정보처리자에게 자료 제출을 요구하거나 개인정보처리자 및 해당 법 위반 사실과 관련한 관계인에 대하여 검사를 할 수 있고 보호 위원회는 개인정보 보호법을 위반하는 사항을 발견하거나 혐의가 있음을 알게 된 경우에는 관계 중앙행정기관의 장에게 구체적인 범위를 정하여 개인정보처리자에 대한 검사를 요구할 수 있으며, 필요시 보호 위원회의 소속 공무원이 해당 검사에 공동으로 참여하도록 요청할 수 있지만 이 경우 그 요구를 받은 관계 중앙행정기관의 장은 특별한 사정이 없으면 이에 따라야 한다. 보호 위원회는 관계 중앙행정기관의 장에게 검사 결과와 관련하여 개인정보처리자에 대한 시정조치를 요청하거나, 처분 등에 대한 의견을 제시할 수 있고 해당 법 위반 사실과 관련한 관계인과 관계인의 사무소나 사업장 검사에 대한 방법과 절차 등에 관한 사항은 대통령령으로 정한다. 보호 위원회는 개인정보 침해사고의 예방과 효과적인 대응을 위하여 관계 중앙행정기관의 장과 합동으로 개인정보보호 실태를 점검할 수 있고, 보호 위원회와 관계 중앙행정기관의 장은 제출받거나 수집한 서류ㆍ자료 등을 개인정보 보호법에 따른 경우를 제외하고는 제3자에게 제공하거나 일반에 공개해서는 안된다. 마지막으로 보호 위원회와 관계 중앙행정기관의 장은 정보통신망을 통하여 자료의 제출 등을 받은 경우나 수집한 자료 등을 전자화한 경우에 개인정보ㆍ영업비밀 등이 유출되지 않도록 제도적ㆍ기술적 보완 조치를 해야 한다.[3]
- 시정조치 등
보호 위원회는 개인정보가 침해되었다고 판단할 상당한 근거가 있고 이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다고 인정되면 개인정보 보호법을 위반한 자에 대하여 개인정보 침해행위의 중지, 개인정보 처리의 일시적인 정지, 그 밖에 개인정보의 보호 및 침해 방지를 위하여 필요한 조치를 명할 수 있고 관계 중앙행정기관의 장은 소관 볍률에 따라 개인정보처리자에 대하여 보호 위원회와 같은 조치를 명할 수 있다. 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 그 소속 기관 및 소관 공공기관이 개인정보 보호법을 위반하였을 때에도 위와 같은 조치를 명할 수 있고, 보호 위원회는 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회가 개인정보 보호법을 위반하였을 때 해당 기관의 장에게 위와 같은 조치를 하도록 권고할 수 있지만, 이 경우 권고를 받은 기관은 특별한 사유가 없으면 이를 존중해야 한다.[3]
- 고발 및 징계권고
보호 위원회는 개인정보처리자에게 개인정보 보호법 등 개인정보보호와 관련된 법규의 위반에 따른 범죄혐의가 있다고 인정될 만한 상당한 이유가 있을 때에는 관한 수사기관에 그 내용을 고발할 수 있고, 책임이 있는 자를 징계할 것을 해당 개인정보처리자에게 권고할 수 있으며, 이 경우 권고를 받은 사람은 이를 존중 해야 하며 그 결과를 보호 위원회에 통보해야 한다. 관계 중앙행정기관도 소관 법률에 따라 보호 위원회와 같이 개인정보처리자에 대하여 고발을 하거나 소속 기관ㆍ단체 등의 장에게 징계 권고를 할 수 있고 이 경우 권고를 받은 사람은 이를 존중해야 하며 그 결과를 관계 중앙행정기관의 장에게 통보해야 한다.[3]
- 결과의 공표
보호 위원회는 개선 권고, 시정조치 명령, 고발 또는 징계 권고 및 과태료 부과의 내용 및 결과에 대해 공표할 수 있고, 관계 중앙행정기관의 장은 소관 법률에 따라 마찬가지로 공표할 수 있으며, 공표의 방법, 기준 및 절차 등은 대통령령으로 정한다.[3]
- 연차보고
보호 위원회는 관계 기관 등으로부터 필요한 자료를 제출받아 매년 개인정보보호 시책의 수립 및 시행에 관한 보고서를 작성하여 정기국회 개회 전까지 국회에 제출하여야 하며, 이러한 보고서에는 정보 주체의 권리침해 및 그 구제현황, 개인정보 처리에 관한 실태조사 등의 결과, 개인정보보호 시책의 추진현황 및 실적, 개인정보 관련 해외의 입법 및 정책 동향, 주민등록번호 처리와 관련된 법률ㆍ대통령령ㆍ국회규칙ㆍ대법원규칙ㆍ헌법재판소 규칙ㆍ중앙선거관리위원회규칙 및 감사원규칙의 제정ㆍ개정 현황, 그 밖에 개인정보보호 시책에 관하여 공개 또는 보고하여야 할 사항의 내용이 포함되어야 한다.[3]
- 권한의 위임ㆍ위탁
개인정보 보호법에 따른 보호 위원회 또는 관계 중앙행정기관의 장의 권한은 그 일부를 대통령령으로 정하는 바에 따라 특별시장, 광역시장, 도지사, 특별자치도 지사 또는 대통령령으로 정하는 전문기관에 위임하거나 위탁할 수 있고, 보호 위원회 또는 관계 중앙행정기관의 장의 권한을 위임 또는 위탁받은 기관은 위임 또는 위탁받은 업무의 처리 결과를 보호 위원회 또는 관계 중앙행정기관의 장에게 통보하여야 한다. 보호 위원회는 전문기관에 권한의 일부를 위임하거나 위탁하는 경우 해당 전문기관의 업무 수행을 위해 필요한 경비를 출연할 수 있다.[3]
- 벌칙 적용 시의 공무원 의제
보호 위원회의 위원 중 공무원이 아닌 위원 및 공무원이 아닌 직원은 형법이나 그 밖의 법률에 따른 벌칙을 적용할 때에는 공무원으로 보며, 보호 위원회 또는 관계 중앙행정기관의 장의 권한을 위탁한 업무에 종사하는 관계 기관의 임직원은 형법 제129조부터 제132조까지의 규정을 적용할 때에는 공무원으로 본다.[3]
벌칙
개인정보보호법을 위반하였을 경우 위반의 정도에 따라 벌칙이 크게 작용되기도 작게 작용되기도 한다.
- 10년 이하의 징역 또는 1억 원 이하의 벌금
공공기관의 개인정보 처리업무를 방해할 목적으로 공공기관에서 처리하고 있는 개인정보를 변경하거나 말소하여 공공기관의 업무 수행의 중단ㆍ마비 등 심각한 지장을 초래한 경우와 거짓이나 그 밖의 부정한 수단이나 방법으로 다른 사람이 처리하고 있는 개인정보를 취득한 후 이를 영리 또는 부정한 목적으로 제3자에게 제공한 자와 이를 교사ㆍ알선하여 개인정보 보호법을 위반하였을 경우 이와 같은 처벌을 받는다.[3]
법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 공공기관의 개인정보 처리업무를 방해할 목적으로 공공기관에서 처리하고 있는 개인정보를 변경하거나 말소하여 공공기관의 업무 수행의 중단ㆍ마비 등 심각한 지장을 초래하거나 거짓이나 그 밖의 부정한 수단이나 방법으로 다른 사람이 처리하고 있는 개인정보를 취득한 후 이를 영리 또는 부정한 목적으로 제3자에게 제공한 자와 이를 교사ㆍ알선하여 개인정보 보호법을 위반하여 10년 이하의 징역 또는 1억 원 이하의 벌금형에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인을 7천만 원 이하의 벌금형에 처하게 되지만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 않은 경우에는 7천만 원 이하의 벌금형에 해당하지 않게 된다.[3]
- 5년 이하의 지역 또는 5천만 원 이하의 벌금
정보 주체의 동의를 받지 않고 개인정보를 제 3자에게 제공한 경우와 민감정보와 고유 식별 정보, 혹은 특정 개인을 알아보기 위한 목적으로 가명 정보를 처리하거나 제 3자에게 제공한 경우 또한 정정ㆍ삭제 등 필요한 조치를 하지 않고 개인정보를 이용하거나 제3자에게 제공한 정보통신 서비스 제공자가 이와 같은 처벌을 받게 된다. 또한 이용자의 동의를 받지 않고 개인정보를 수집할 경우와 법정대리인의 동의를 받지 않거나 법정대리인이 동의하였는지 확인하지 않고 만 14세 미만인 아동의 개인정보를 수집할 경우도 같은 처벌을 받게 되며 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 경우 혹은 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출한 경우에도 같은 처벌을 받게 된다. 그 밖에도 이에 해당하는 개인정보 보호법을 위반함을 인지함에도 불구하고 그 사정을 알면서도 개인정보를 제공 받은 경우에도 같은 처벌을 받는다.[3]
- 3년 이하의 징역 또는 3천만 원 이하의 벌금
영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비추는 경우 또는 녹음 기능을 사용한 경우 이와 같은 처벌을 받게 되며, 그리고 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 경우 같은 처벌을 받게 된다. 또한 직무상 알게 된 비밀을 누설하거나 직무상 목적 외에 이용한 경우, 위와 마찬가지로 이에 해당하는 개인정보 보호법을 위반함을 인지함에도 불구하고 그 사정을 알면서도 개인정보를 제공 받은 경우에도 같은 처벌을 받게 된다.[3]
- 2년 이하의 징역 또는 2천만 원 이하의 벌금
정정ㆍ삭제 등 필요한 조치를 하지 않고 개인정보를 계속 이용하거나 이를 제 3자에게 제공한 경우에 이와 같은 처벌을 받게 되며, 개인정보의 처리를 정지하지 않고 계속 이용하거나 제3자에게 제공하게 되면 같은 처벌을 받게 된다. 안전성 확보에 필요한 조치를 하지 않고 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ 또는 훼손당한 경우와 개인정보를 파기하지 않은 정보통신 서비스 제공자 등의 경우 같은 처벌을 받는다.[3]
법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 5년 이하의 징역 또는 5천만 원 이하의 벌금, 3년 이하의 징역 또는 3천만 원 이하의 벌금, 혹은 2년 이하의 징역 또는 2천만 원 이하의 벌금 중 어느 하나에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 받게 되지만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 않은 경우에는 이 역시 해당 조문의 벌금형에 해당하지 않게 된다. 5년 이하의 징역 또는 5천만 원 이하의 벌금, 3년 이하의 징역 또는 3천만 원 이하의 벌금, 혹은 2년 이하의 징역 또는 2천만 원 이하의 벌금 중 어느 하나에 해당하는 위반행위에 관련하여 취득한 금품이나 그 밖의 이익은 몰수할 수 있으며, 이를 몰수할 수 없을 때에는 그 가액을 추징할 수 있는데, 이 경우에 몰수 또는 추징은 다른 벌칙에 부가하여 과할 수 있다.[3]
- 5천만 원 이하의 과태료
정보 주체의 동의를 받지 않고 개인정보를 수집한 경우와 만 14세 미만 아동의 개인정보를 처리하기 전 그 법정대리인이 동의를 받지 않은 경우, 그리고 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치ㆍ운영할 경우 이와 같은 과태료가 내려진다.[3]
- 3천만 원 이하의 과태료
정보 주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 않는다는 이유로 정보 주체에게 재화 또는 서비스의 제공을 거부할 경우와 정보 주체에게 개인정보의 수집 출처과 개인정보의 처리 목적, 개인정보 처리의 정지를 요구할 권리가 있다는 사실을 알리지 않을 경우, 그리고 개인정보의 파기 등 필요한 조치를 하지 않거나 주민등록번호를 처리 혹은 암호화 조치를 하지 않은 경우 이와 같은 과태료가 내려진다. 또한 정보 주체가 주민등록번호를 사용하지 않을 수 있는 방법을 제공하지 않은 경우와 안전성 확보에 필요한 조치를 하지 않은 경우, 그리고 법적으로 허용된 장소 외에 영상정보처리기기를 설치ㆍ운영하여 개인을 알아볼 수 있는 정보가 생성되었음에도 이용을 중지하지 않거나 이를 회수ㆍ파기하지 않을 경우와 인증을 받지 않았음에도 불구하고 거짓으로 인증의 내용을 표시하거나 홍보한 경우 같은 과태료가 내게 된다. 개인정보의 유출되었음을 알게 되었을 때 해당 정보 주체에게 유출된 개인정보의 항목과 유출된 시점과 그 경위, 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보 주체가 할 수 있는 방법 등에 관한 정보, 개인정보처리자의 대응조치 및 피해 구제 절차, 정보 주체에게 피해가 발생한 경우 신고 등을 접수 할 수 있는 담당 부서 및 연락처와 같은 정보를 제공하지 않았을 경우, 또한 개인정보 유출 후 조치 결과를 보호 위원회 또는 대통령령으로 정하는 전문기관에 신고하지 않은 경우 같은 과태료를 물게 된다. 정보 주체의 개인정보 열람을 제한하거나 거절한 경우와 정정ㆍ삭제 등 필요한 조치를 하지 않은 경우, 그리고 처리가 정지된 개인정보에 대하여 파기 등 필요한 조치를 하지 않을 경우와 이용자ㆍ보호 위원회 및 전문기관에 통지 또는 신고하지 않거나 정당한 사유 없이 24시간을 경과하여 통지 또는 신고한 경우도 같은 과태료를 물게 되며, 보호 위원회에 소명하지 않거나 거짓으로 한 경우와 개인정보의 동의 철회ㆍ열람ㆍ정정 방법을 제공하지 않은 경우, 그리고 개인정보 처리 동의를 철회하여 필요한 조치를 하지 않은 정보통신 서비스 제공자 등 같은 과태료를 물게 된다. 마지막으로 수집한 개인정보의 이용내역을 통지하지 않은 경우와 개인정보를 국외로 이전하면서 보호조치를 하지 않은 경우, 그리고 보호 위원회가 개인정보를 침해했다고 판단할 상당한 근거가 있고 이를 방치할 경우 회복하기 어려운 피해가 발생한 우려가 있다고 인정되어 이 법을 위반한 자에게 조치된 시정명령에 따르지 않을 경우 과태료를 물게 된다.[3]
- 2천만 원 이하의 과태료
보험 또는 공제 가입, 준비금 적립 등 필요한 조치를 하지 않은 경우와 국내에 주소 또는 영업소가 없는 정보통신 서비스 제공자 등에게 이용자 수, 매출액 등을 고려하여 국내 대리인을 지정하지 않은 경우, 그리고 이용자의 개인정보를 국외에 제공ㆍ처리위탁ㆍ보관 시 이용자에게 이전되는 개인정보 항목과 개인정보가 이전되는 구가, 이전일시 및 이전 방법, 개인정보를 이전받는 자의 성명 혹은 법인 명칭 및 정보관리책임자의 연락처, 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간을 모두 공개하지 않거나 이용자에게 알리지 않고 이용자의 개인정보를 국외에 처리위탁ㆍ보관한 경우 이와 같은 과태료가 부과된다.[3]
- 1천만 원 이하의 과태료
개인정보를 분리하여 저장ㆍ관리하지 않은 경우, 법적으로 옳지 않은 방식으로 개인정보 처리의 동의를 받은 경우, 영상정보처리기기를 설치ㆍ운영하기 전 설치 목적 및 장소, 촬영 범위 및 시간, 관리책임자 성명 및 연락처, 그 밖에 대통령령으로 정하는 사항을 고지하는 안내판 설치 등 필요한 조치를 하지 않은 경우 이와 같은 과태료가 부과되며, 업무 위탁 시 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항, 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항, 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항이 포함된 문서에 의하지 않은 경우, 위탁하는 업무의 내용과 수탁자를 공개하지 않은 경우도 같은 과태료가 부과된다. 정보 주체에게 개인정보의 이전 사실을 알리지 않은 경우, 관련 기록을 작성하여 보관하지 않은 경우, 개인정보 처리 방침을 정하지 않거나 이를 공개하지 않은 경우, 개인정보보호 책임자를 지정하지 않은 경우 같은 과태료가 부과된다. 마지막으로 개인정보 보호법을 위반하는 사항을 발견하거나 혐의가 있음을 알게 되거나 개인정보 보호법 위반에 대한 신고를 받거나 민원이 접수되고 그 밖에 정보 주체의 개인정보보호를 위하여 필요하여 대통령령으로 정하는 경우 보호 위원회가 해당 개인정보처리자에게 제출하도록 조치한 관계 물품ㆍ서류 등 자료를 제출하지 않거나 거짓으로 제출한 경우, 혹은 개인정보 보호법을 위반한 사실이 인정되어 소속 공무원의 개인정보처리자 및 해당 법 위반 사실과 관련한 관계인의 사무소나 사업장의 출입ㆍ검사를 거부ㆍ방해 또는 기피할 경우 이와 같은 과태료가 부과된다.[3]
과태료 규정은 대통령령으로 정하는 바에 따라 보호 위원회와 관계 중앙행정기관의 장이 부과ㆍ징수하는데, 이 경우에 관계 중앙행정기관의 장은 소관 분야의 개인정보처리자에게 과태료를 부과ㆍ징수한다. 이 규정을 적용할 때 과징금을 부과한 행위에 대하여는 과태료를 부과할 수 없다.[3]
부칙
각주
참고자료
- 〈개인정보 보호법>, 《국가법령정보센터》
- 〈대한민국 개인정보 보호법〉, 《위키백과》
- 행정안전부, 〈개인정보보호 리플릿(공공기관)〉, 《한국인터넷진흥원》, 2011
같이 보기