* 여기는 암기 사항만 나열해놓은 것으로 해당 개념은 다른 게시글에 있습니다.
꼭 봐야 하는 조문 리스트
- 개인정보보호법 : 4조, 7조의2, 15조, 16조, 18조, 21조, 23조, 24조의2, 26조, 27조, 30조, 31조, 32조, 34조, 34조의2, 37조, 39조, 39조의2, 39조의6, 39조의7, 39조의8, 39조의12, 58조, 75조
- 정보통신망법 : 50조, 64조의3, 73조, 76조
1과목 개인정보보호의 이해
- 내부 고객번호는 개인에게 할당된 정보가 아니고 외부에서 조회되지 않기 때문에 개인정보가 아니다.
- 고용정보(상사 이름, 인사 고과 정보, 근태 기록)도 개인정보에 해당한다.
- Safe-Harbor 7원칙 : [고선제/접안무이] 고지, 선택, 제공, 접근, 안전성, 무결성, 이행
- 개인정보를 처리하는 모든 사업자는 개인정보보호법 적용을 받는다(공공기관의 개인정보보호법은 폐지됨).
- 업무상 부서 간의 과도한 개인정보 요청은 직접적인 침해 원인이 아니다.
- 개인정보 보호책임자(CPO)의 지정은 최고 경영자(CEO) 또는 정보보호 최고책임자(CISO) / 사업주 또는 대표자 / 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)의 지위에 있는 사람 / 개인정보보호에 소양이 있는자 중에서 이루어져야 한다.
- 다만, 개인정보취급자는 경우에 따라 외주 직원이 담당할 수 있으므로 개인정보 보호책임자 지정할 때 주의해야한다.
- 소상공인(상시 근로자 수 10명 미만)에 해당하는 경우, 별도의 지정 없이 사업주 또는 대표자를 개인정보 보호책임자로 지정한 것으로 본다.
- 상시 종업원 5명 미만인 경우라도 개인정보 보호책임자와 개인정보취급자를 지정해야 한다.
- 블랙마켓 : 공인된 앱 스토어 업체가 아닌 개인이나 알려지지 않은 사설 업체가 운영하는 마켓, 위조되거나 악성코드 심어진 가짜 앱들도 검증 없이 올라가 있으므로 사용 자제를 권고
- 옵트인(OPT-IN) : 정보주체가 동의를 해야만 개인정보를 처리할 수 있는 방식
- 옵트아웃(OPT-OUT) : 정보주체의 동의를 받지 않고 개인정보를 처리하는 방식
- 중요도가 높다는 것은 법률에서 지정한 규정(암호화 대상)이 있거나, 민감정보, 보존 기간 등이 지정된 사항(결제 정보 등)이 포함된 내용들이 해당된다.
2과목 개인정보보호 제도, 3과목 개인정보 라이프 사이클 관리
- 신용정보 제공자는 신용정보보호법에 의해 규율된다.
- 정보통신서비스 제공자 및 준용 사업자는 정보통신망법과 개인정보보호법에 의해 규율된다.
- 인터넷 뱅킹 서비스 제공자는 금융기관에 해당하며, 금융기관은 전자금융거래법과 개인정보보호법 적용된다.
- 금융기관의 경우, 개인정보 유출시 최대 50억원의 과징금이 부과된다.
- 개인정보보호법상 정보통신서비스 제공자 등에 대한 특례에서 개인정보 유효기간이 3년에서 1년으로 변경되었다.
- 개인정보보호법에서 기술적 보호 조치에 대한 기준 제시하고 있다.
- 개인정보보호법에서 개인정보 유효 기간제를 별도로 명시하지는 않고 있다(39조의6).
- 개인정보 처리방침에 포함되는 필수 사항 : 개인정보 항목, 처리 목적, 처리 및 보유 기간, 파기에 관한 사항, 정보주체의 권리에 관한 사항, 개인정보 책임자에 관한 사항, 개인정보 안전성 확보 조치에 관한 사항
- 개인정보 처리방침이 기관소개, 이용약관보다 작은 글씨로 작성되면 안됨, 개인정보 취급방침이 아니라 개인정보 처리방침이다.
- 민감정보 : 사상 및 신념, 노동조합 및 정당의 가입ㆍ탈퇴, 정치적 견해, 건강 및 성생활 등에 관한 정보, 그 밖에 시행령으로 정하는 정보(유전 정보, 범죄 정보)
- 위탁 시 위탁 계약서에 포함될 사항 : 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항, 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항, 위탁 업무의 목적 및 범위, 재위탁 제한에 관한 사항, 접근 통제 등 안전성 확보 조치에 관한 사항, 감독에 관한 사항, 손해 배상 등에 관한 사항
- 위탁사가 관리 감독에 대한 확인서를 받더라도 직접 주기적인 방문 및 현장 실사를 하는 것이 바람직하다.
- 정보통신서비스 이용자의 국외 거주와 관계없이 39조의7에 따라 동의 철회할 수 있다.
- 이용자가 열람이나 제공 요구할 수 있는 사안 : 이용자의 개인정보, 이용 현황, 제공 내역, 동의 현황(파기 정보 내역은 불가)
- 최소 수집 원칙과 이외 사항을 구분할 수 있어야 한다(Ex 선택 동의 항목의 동의 받은 경우, 불필요한 개인정보 수집).
- 정보통신망법에 따른 영리 목적의 광고성 정보 전송 : 1)수신자의 사전 동의 필요, 2)오후 9시부터 다음 날 오전 8시까지의 시간에 영리 목적 광고 전송하려는 자는 수신자로부터 별도 동의 필요, 3)전송자의 명칭 및 연락처 및 수신 거부 방법 등을 광고성 정보에 구체적으로 명시해야 함, 4)수신 거부나 철회 시 전화 요금 등 금전적 비용은 수신자가 부담하지 않도록 해야 함, 5)광고성 메일은 거래 종료 시 6개월까지만 전송 가능, 6)수신 동의 의사는 2년 주기로 확인 필요
- 주민등록번호 수집하여 이용할 때 반드시 추가 본인 확인 절차 필요한 경우, 인증정보 사용 가능 항목 : I-PIN, 공인인증서, 휴대전화, 전자메일, 주민등록증 발급일자, OTP 패스워드, 2차 비밀번호
- 개인정보 수집 동의를 구두로 받았더라도 반드시 동의에 대한 내용이 계약서에 명시되어야 하고 이에 대한 동의 날인이 있어야 한다.
- 국가 유공자 및 장애인 관련 우대 사항과 관련된 정보 수집 시에는 법령에서 명시하고 있으므로 별도 동의 불요
- 개인정보 수집은 지원 단계와 채용 완료 단계를 구분하여 수집해야 한다. 채용 완료 시 지체없이(5일 이내) 파기해야 한다.
- 개인정보보호법과 정보통신망법 모두 주민등록번호 수집 법정주의를 따른다.
- 주민등록번호를 외부 접속이 차단된 내부망에 평문으로 저장하고 DB 위험도 분석 결과 모든 요구사항 준수하고 있으면 허용된다.
- 개인정보보호법 시행 이전에 기 보유한 주민번호는 법 시행 후 2년 이내(2016.08.06)에 파기해야 한다.
- 정보통신망법 법률 제한 이전 기 수집한 주민등록번호는 2년 이내(2014.08.17)까지 파기 완료되어야 한다.
- 친목 도모를 위한 단체 운영에 있어서는 수집제한의 원칙, 이용제한의 원칙, 처리방침 공개의 원칙, 개인정보 보호책임자 지정 의무 없다.
- 친목단체의 경우에도 제3자 제공시 동의 필요, 파기 요청에 따른 조치, 안전성 확보를 위한 기술적ㆍ관리적 및 물리적 조치는 의무이다.
- 개인정보 이용 내역 통지 의무 대상(39조의8) : 전년도 말 기준 직전 3개월 간 개인정보 이용자 수 100만명 이상, 정보통신서비스 부문 매출액 기준 100억원 이상인 기관
- 영업 양도 이전에 미리 정보주체에게 알려야 한다.
- 환자의 개인정보 수집은 의료법 적용된다. 환자의 진료 기록부는 10년 동안 보관해야 한다. 별도 동의 없이 개인정보 수집 가능, 전자의무기록 생성 및 전자서명 검증 장비 구축해야 한다. 환자가 자신의 개인정보 파기 요청하더라도 법률에 따라 보존기간이 넘지 않은 자료는 파기 거부 가능하다.
- 별도 기준이 없다면 상담 정보는 3년, 결제 관련 개인정보는 5년 보관할 수 있다.
- 개인정보 처리방침은 사업장, 관보, 계약서, 간행물 등에 포함시킬 수 있다.
- 회원가입, 수정, 탈퇴는 정보주체가 용이하도록 해야 한다. 전화를 통해 개인정보 수집 시 법정 고지사항 일상대화속도로 설명해야 한다. 회원 탈퇴 버튼을 누르면 추가 안내 후 바로 처리되도록 해야 한다(SMS 인증 불요).
- 공공기관이 개인정보 목적 외 이용하는 경우, 이용 날짜, 법적 근거, 목적, 사용한 개인정보를 이용한 날로부터 30일 이내에 관보 또는 인터넷 홈페이지에 게재해야 한다.
- 정보통신망법에서 정보통신서비스 제공자 등에 대해서는 개인정보 처리 위탁 사실 공개 및 동의 획득 의무 있다. 계약 이행과 관련 또는 이용자 편의 증진과 관련된 경우 개인정보 처리방침을 공개하면 동의 획득 불요
- 이용자로부터 동의를 받고 개인정보 수집한 사업자를 제외한 모든 법인, 단체 등은 제3자가 될 수 있다.
- 표준 개인정보보호지침에 따른 보유 기간
| 영구 | 국민의 지위, 신분, 재산을 증명하기 위해 운용하는 개인정보 파일 중 영구 보존이 필요한 개인정보 파일 |
| 준영구 | 국민의 신분 증명 및 의무 부과, 특정 대상 관리 등을 위하여 행정 기관이 구축하여 운영하는 행정 정보 시스템의 데이터 셋으로 구성된 개인정보 파일 |
| 10년 | 관계 법령에 따라 5년 이상 10년 미만의 기간 동안 민형사상 또는 행정상의 책임 또는 시효가 지속되거나 증명 자료로서의 가치가 지속되는 개인정보 파일 |
| 3년 | 각종 증명서 발급과 관련된 개인정보 파일 |
| 1년 | 상급 기관(부서)의 요구에 따라 단순 보고를 위해 생성한 개인정보 파일 |
- 탈퇴 회원은 반드시 지체없이 파기해야 하며, 1년 이상 장기 미접속 회원은 파기하거나 분리 보관하여야 한다.
| 관련 법률 | 목적 | 수집 항목(예시) | 보유 기간 |
| 개인정보보호법 | 정보통신서비스 유효기간제 적용 | 회원가입 정보 등 | 1년 |
| 전자상거래법 | 표시 광고에 관한 기록 | 표시 광고에 관한 기록 | 6개월 |
| 소비자 불만, 분쟁 처리 | 소비자 식별 정보 분쟁 처리 기록 | 3년 | |
| 계약, 청약 철회 등 | 소비자 식별 정보 계약, 청약 철회 기록 | 5년 | |
| 통신비밀보호법 | 법원의 영장 받아 수시 기관 요청시 제공 | 웹 사이트 방문 기록(로그, IP 등) | 3개월 |
| 전기통신 일시, 발신 기지국의 위치 추적 자료 등 | 12개월 | ||
| 전자금융거래법 | 전자금융거래에 관한 기록 | 전자금융거래에 관한 정보 | 5년 |
- 영업 양도의 경우, 이전 사실, 이전 거부시 조치 방법, 영업양수자등의 성명, 주소, 연락처 모두 알려야 한다.
- 영상 정보 파기의 경우, 보유 목적 달성을 위한 최소 기간 산정이 곤란한 경우에는 수집 후 30일 이내로 한다.
- 정보통신서비스 제공자는 국외 이전받는 자와 미리 협의하고 계약 내용에 반영해야 한다(기술적 · 관리적 조치, 분쟁 해결에 관한 사항, 이용자 개인정보보호를 위하여 필요한 조치)
- 39조의6 1항에 의해 1년 또는 이용자가 선택한 기간으로 파기 정책 선택이 가능하다.
- 유효 기간이 지난 회원 정보는 삭제 또는 분리 보관한다. 분리 보관하는 경우, 기 회원이 재접속하여 휴면 상태를 해제할 수 있다. 휴면 회원이 상태 해제를 위한 최소한의 인증 정보를 기존 DB 또는 분리 DB에 보관할 수 있다. 분리 DB는 최소한의 업무 담당자(관리자)만 접속할 수 있도록 통제해야 한다.
- 경품 등 이벤트의 경우 이벤트 행사 종료 시 즉시 수집한 개인정보 삭제해야 한다.
- 과징금 : 행정법상의 의무를 위반한 자에게 경제적 이익이 발생한 경우 그 이익을 박탈하여 경제적 불이익을 부과하는 제도, 과태료 부과만으로는 실효적 대응이 어려워 도입
- 과태료 : 행정 기관에 대한 협조 의무 위반에 대하여 부과하거나 경미한 형사 사범에 대한 비범죄화 차원에서 부과
- 형사처벌이 아닌 행정 제재가 가능한 경우 과태료 부과 등을 할 수 있다.
- 정보통신망법에 따라 방송통신위원회는 전기통신사업자를 대상으로 과징금 부과할 권한 가지고 있다(과기부 아님).
4과목 개인정보의 보호 조치
- 개인정보의 안전성 확보 조치 기준 : 개인정보처리자가 개인정보를 처리함에 있어서, 개인정보 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적
- 개인정보의 기술적, 관리적 보호조치 기준 : 정보통신서비스 제공자등이 이용자의 개인정보를 처리함에 있어서, 개인정보의 안전성 확보를 위하여 필요한 기술적·관리적 보호조치의 최소한의 기준을 정하는 것을 목적
- 일방향 암호화 대상은 오직 비밀번호 뿐, 나머지(고유식별정보, 개인정보)는 양방향 암호화 대상이다.
- 비밀번호는 SHA-256 이상을 적용해야 한다. 폐쇄된 내부망에 존재하는 시스템의 비밀번호도 암호화해야 한다.
- 전자금융거래법에서는 암호화 대상을 비밀번호에 한정해 규정
- 개인정보취급자의 권한 변경 및 말소에 관한 기록은 주체가 정보통신서비스 제공자인지 개인정보처리자인지 안나와있으면 개인정보처리자를 기준으로 생각해서 3년 보관
- 정보통신서비스 제공자의 기술적, 관리적 보호조치 기준에서는 개인정보취급자란 정보통신서비스 제공자의 지휘 및 감독을 받아 개인정보를 처리하는 사람을 말한다.
- 개인정보보호법상 영상정보처리기기는 폐쇄 회로 텔레비전(CCTV), 네트워크 카메라 등이 해당한다(캠코더, 핸드폰은 제외).
- 개인정보책임자 및 취급자를 대상으로 정기적으로 교육 실시하면 되고, 횟수에 대한 기준은 폐지했다.
- 개인정보처리시스템 범위 : 개인정보가 저장된 DB, 개인정보가 처리되는 애플리케이션, 개인정보 DB와 연동되는 WAS 서버나 ERP 서버 등 해당
- 엑셀, PC에 문서로 저장된 다량의 자료는 개인정보처리시스템이 아니다. 데이터 저장된다고 전부 개인정보처리시스템 아니다. 내부 직원의 정보만 소유한 중소 사업자의 경우, 개인정보처리시스템의 정의에서 제외된다.
- 개인정보처리자는 개인정보처리시스템 대신 OS나 보안 프로그램 등에서 제공하는 접근 통제 기능을 이용해서 개인정보 처리할 수 있다.
- 일반적으로 개인정보처리시스템의 비밀번호 변경 주기는 6개월로 수립한다. 공공기관은 3개월 단위로 서버의 비밀번호 변경해야 한다. 집적정보통신시설의 시스템 관련 비밀번호는 1개월마다 변경해야 한다. 민간 기관의 경우 고객 인원에 상관없이 6개월마다 변경해야 한다.
- 비밀번호 규칙은 연속되는 알파벳이나 숫자 조합은 사용하지 않도록 하고, 영문자 숫자 특수문자를 3가지로 조합할 경우 8자리 이상, 2가지로 조합할 경우 10자리 이상으로 설정해야 한다.
- 내부망 시스템은 우선순위에 관계없이 분리해야 한다.
- 망분리 의무 대상자 : 전년도 말 기준 직전 3개월간 그 개인정보가 저장, 관리되고 있는 이용자 수가 일일 평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자등, 정보보호 관리체계 인증 의무 대상자, 정보통신기반시설로 지정된 기관(사회에 지대한 영향 미치는 기관은 고려 X)
- 망분리 되어 있는지 체크 : 인터넷 사용 불가 여부, 외부 메일 허용 여부
- 암호화 대상의 개인정보가 포함된 서류 등을 스캔하여 저장할 경우, 문서 자체를 암호화하거나 암호를 설정하여 보관해야 한다(단지 서버에 암호가 걸린 것만으로는 부족).
- 양방향 암호화 알고리즘 : 비밀키 암호 기법(AES, DES, IDEA, SEED, RC5, ARIA, HIGHT, LEA), 공개키 암호 기법(RSA, ElGamal, DSA, ECC)
- 일방향 암호화 알고리즘 : MD5, SHA-256, SHA-512, RIPEMD-160, ...
- 의료법에 따른 처방전 보관 기관은 2년이다. PC에 환자 주민등록번호가 있는 파일 보관할 경우 상용 S/W 사용하여 암호화해야 한다.
- 개인정보 파기시 빠른 포맷하면 추후 복구될 수 있으므로 완전 포맷(3회 이상 권고), 데이터 영역에 무작위 값, 0, 1 등으로 덮어쓰기(3회 이상 권고), 해당 드라이브를 안전한 알고리즘으로 암호화하여 저장한 후 삭제하고 키는 완전 폐기 및 무작위 값 덮어쓰기 등 방법 사용 권고
- 은행 출입구에 방범 목적으로 설치된 CCTV가 근처 주택이나 도로 앞 도주를 탐지하는 것은 목적 외 주변 다른 장소 촬영에 해당한다.
- 개인정보보호법에서는 개인정보 처리자의 망 분리 대상자를 언급하지 않는다(개인정보 안전성 확보조치 기준도 마찬가지).
- 화면보호기 설정시 "다시 시작할 때 로그온 화면 표시" 체크 박스가 해제되어 있는 경우, 화면 보호기가 작동하더라도 화면 잠금기능이 적용되지 않아서 취약
- 개인정보처리시스템 접속 기록의 경우, 접속 일시에는 날짜와 시간 모두 기록되어야 하며 다운로드한 개인정보 파일은 로그에 저장하면 파기, 열람 등 이슈 발생 가능하므로 로그 서버에 저장해서는 안된다.
- 홈페이지 취약점 점검은 고유식별정보를 처리할 때만 필수로 명시되어 있다.
- 콜센터 등 일반 민원상담시 저장되는 음성기록이나 일반 사진정보는 반드시 암호화 대상이 될 수는 없다고 명시
- MDM(Mobile Device Management) : 무선망을 이용해 원격으로 스마트폰, 태블릿 PC 등 모바일 기기를 제어하는 솔루션, 위치 추적, 원격 잠금 설정, 원격 정보 삭제, 특정 사이트 접속 제한, 카메라 등 기능 제어, 앱 설치 통제 기능 제공
- 개인정보보호법 고시에서 권고하는 홈페이지 취약 점검 기술 문서 : 행정안전부 배포(소프트웨어 개발 보안 가이드, 시큐어 코딩 가이드, Web 2.0 정보보호 실무 가이드), 한국인터넷진흥원 배포(홈페이지 취약점 진단 및 제거 가이드)
- 개인정보취급자의 무선 IP가 유동 IP(자동 할당)로 주어질 경우 접근 통제 우회할 소지 있으므로 고정 할당해야 한다.
- 개인정보보호법에 따른 비밀번호 작성 규칙은 개인정보처리시스템과 관련한 것이고, 정보주체의 홈페이지 계정은 의무 대상이 아니다.
- 개인정보보호 교육시 포함될 항목 : 개인정보보호의 중요성 / 내부관리계획의 준수 및 이행 / 위험 및 대책이 포함된 조직 보안 정책, 보안 지침, 지시 사항, 위험관리전략 / 개인정보처리시스템의 안전한 운영 및 사용법 / 개인정보 안전성 확보조치 기준 / 개인정보 위반을 보고해야 할 필요성 / 개인정보보호 업무의 절차, 책임, 작업 설명 / 개인정보보호 관련자들의 금지 항목 / 개인정보보호 준수 사항 이행 관련 절차 / 개인정보 유출, 노출, 침해 신고 등에 따른 사실 확인 및 보고, 피해 구제 등 업무 절차
- 위험도 분석의 한 항목이라도 충족되지 않을 경우, 고유식별정보 암호화해야 한다. 주민등록번호는 위험도 분석과 관계없이 암호화해야 한다.
- 위험도 분석 기준에 해당 사항이 없는 경우 '해당 없음' 항목에 체크하고, '예'로 적용한다. 위험도 분석 결과 보고서는 개인정보보호 책임자 또는 해당 부서장의 결제를 받고 보관한다. 위험도 분석 기준은 개인정보 파일 단위이다.
- 위험도 분석 이후 개인정보처리시스템 변경 시 재수행해야 할 기간은 지정되어 있지는 않으나 빠른 시일 내에 하는 것이 좋다.
- 개인정보 위험도 분석 결과 보고서 : 현황 조사(개인정보 파일 현황, 고유식별정보 현황, 네트워크 및 시스템 구성도) / 기관 기준 보호조치 현황(정책 기반 보호조치, 네트워크 기반 보호조치) / 개인정보처리시스템 기준 보호조치 현황(DB 및 애플리케이션 기반 보호조치, 웹 기반 보호조치) / 위험도 분석 결과(위험도 분석 점검에 의한 암호화 여부 판정 결과 등)
- 아이디 그 자체는 식별 정보로서 법적인 암호화 대상이 아니다.
- 개인정보 흐름도와 그룹웨어를 통해서는 개인정보 처리 오남용 여부를 직접적으로 확인 불가
- 개인정보 처리 오남용 여부 확인 자료 : 개인정보처리시스템 관리자 페이지 접속 로그(개별 ID의 로그인 기록 확인), 개인정보취급자 권한 부여 관리대장(조회, 삭제 등 권한 확인), WAS 서버 애플리케이션 Access 로그(개별 ID, IP의 애플리케이션 접속 시간 확인), DB 접근제어 솔루션(개별 ID, IP의 DB 접속 시간 확인), 개인정보 파일 검색 시스템(특정 PC에 저장된 개인정보 파일 검색, 로그 확인)
* 개인정보 분쟁조정위원회
- 2011.09.30부터 개인정보보호법 40조에 의거하여 개인정보와 관련한 당사자 분쟁 사건을 접수하여 합리적이고 원만하게 조정하여 해결하는 업무를 담당한다.
- 분쟁조정위원회의 구성은 위원장 1명을 포함한 20인 이내로서 부교수급 이상 교수, 판사, 검사, 변호사, 시민사회단체 또는 소비자단체 추천자 및 개인정보처리자로 구성된 사업자단체임원 등 다양한 분야의 개인정보보호 전문가로 구성된다.
- 분쟁해결제도란 분쟁이 발생한 경우 제3자가 관여하거나 관여없이 당사자 쌍방의 자율적 의사 및 합의에 의하여 분쟁을 해결하는 방식으로서 법원의 소송 제도에 의한 분쟁 해결방식을 보완하는 의미가 있다.
- 분쟁조정위원회의 조정결정에 대해 신청인과 상대방이 이를 수락하여 조정이 성립된 경우에는 조정서를 작성하게 되며, 조정서 내용은 개인정보보호법 47조5항에 따라 확정판결과 동일한 효력이 부여된다.
- 조정, 화해, 중재는 비용이 들지 않고 민원으로 접수하여 처리된다.
- 분쟁조정위원회의 운영 및 분쟁조정 절차에 관하여 이 법에서 규정하지 아니한 사항에 대하여는 민사조정법을 준용한다.
- 집단 분쟁 조정의 경우, 피해 또는 권리 침해 입은 정보주체의 수가 50명 이상이어야 신청할 수 있다.
* 개인정보 단체소송
- 대상 : 소비자단체(회원 수 1천명 이상, 공정거래위원회 등록 후 3년 경과, 정보주체의 권익증진을 주된 목적으로 하는 단체일 것), 비영리민간단체(침해를 입은 100명 이상의 정보주체로부터 단체소송의 제기를 요청받을 것, 3년 이상 개인정보 보호를 위한 활동실적 있을 것, 구성원 수 5천명 이상, 중앙행정기관에 등록)
- 요건 : 개인정보처리자가 분쟁조정위원회의 조정을 거부하거나 조정결과를 수락하지 않을 것, 소송허가신청서의 기재사항에 흠결이 없을 것
- 소송허가신청서 : 원고 및 소송대리인, 피고, 정보주체의 침해된 권리 내용, 대상 요건 소명 자료, 개인정보처리자가 조정 거부하였거나 조정결과 수락하지 않음을 증명하는 서류
- 단체소송에 관하여 이 법에 특별한 규정이 없는 경우에는 민사소송법을 적용한다.
- 단체소송의 이유 및 쟁점 예시 : 목적 외 제공 관점, 기술적 보호조치 적용 유무 및 유출 관점
* 정보통신망법 적용 대상자 도식화
| 정보통신서비스 제공자등 |
정보통신서비스 제공자 |
전기통신사업자 | 기간통신사업자 |
| 별정통신사업자 | |||
| 부가통신사업자 | |||
| 영리를 목적으로 전기통신 사업자의 전기통신역무를 이용해 정보를 제공하거나 매개하는 자 | |||
| 정보통신서비스 제공자로부터 개인정보를 제공받은 자 | |||
| 방송 사업자 | |||
| 개인정보 처리 업무를 위탁받은 자 | |||
| 다른 법률에서 해당 법 적용 받은 자 | |||
| 종류 | 사항 |
| 벌칙 (5년 이하 징역 또는 5천만원 이하 벌금) |
1) 정보주체의 동의를 받지 않고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자 2) 개인정보 목적 외 이용ㆍ제공, 위탁(양도) 업무 범위를 초과하여 개인정보 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 3) 동의없이 민감정보나 고유식별정보를 처리한 자 4) 가명정보 결합 제한을 위반하여 처리하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 가명정보를 제공받은 자 5) 특정 개인을 알아보기 위한 목적으로 가명정보를 처리한 자 6) 정보주체의 열람ㆍ정정ㆍ삭제 요구에 따른 필요한 조치 하지 않고 개인정보 이용하거나 제3자에게 제공한 정보통신서비스 제공자등 7) 이용자(만 14세 미만 아동 포함)의 동의를 받지 않고 개인정보 수집한 정보통신서비스 제공자등 8) 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 9) 정당한 권한 없이 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조, 유출한 자 |
| 벌칙 (3년 이하 징역 또는 3천만원 이하 벌금) |
1) 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비추는 자 또는 녹음기능을 사용한 자 2) 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 3) 직무상 알게 된 비밀을 누설하거나 직무상 목적 외에 이용한 자 |
| 벌칙 (2년 이하 징역 또는 2천만원 이하 벌금) |
1) 민감정보, 고유식별정보, 영상정보, 가명정보, 개인정보 내부관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조, 훼손당한 자 2) 개인정보 기간 경과 또는 목적 달성이 되었으나 개인정보를 파기하지 아니한 정보통신서비스 제공자등 3) 정보주체의 열람ㆍ정정ㆍ삭제 요구에 따른 필요한 조치 하지 않고 개인정보 이용하거나 제3자에게 제공한 자(5년 벌칙과의 차이점은 정보통신서비스 제공자등을 제외한다는 점) 4) 정보주체의 개인정보 처리 정지 요구를 거부하고 계속 이용하거나 제3자에게 제공한 자 |
| 과태료 (5천만원 이하) |
1) 개인정보 수집 제한 및 이용 제한 원칙 위반 2) 만 14세 미만 아동의 개인정보 처리시 법정 대리인의 동의 받지 않은 자 3) 개인의 사생활을 현저히 침해할 우려가 있는 장소에 영상정보처리기기 설치ㆍ운영한 자 |
| 과태료 (3천만원 이하) |
1) 개인정보 이용ㆍ제공ㆍ목적외 이용ㆍ위탁 관련 사항 등 정보주체에게 알려야 할 사항을 알리지 않은 자 2) 선택정보 수집 거부에 따른 서비스 제공을 거부한 자 3) 정보주체 이외로부터 정보 수집한 경우 정보주체에게 알리지 않은 자 4) 개인정보 기간 경과 또는 목적 달성이 되었으나 개인정보를 파기하지 아니한 자(2년 벌칙과의 차이점은 여기는 개인정보처리자가 포함된다는 점) 5) 주민등록번호 수집 법정주의를 위반하고 주민등록번호를 처리한 자 및 주민등록번호 암호화 조치를 하지 않은 자 6) 정보주체가 주민등록번호를 사용하지 않고 회원 가입할 수 있는 방법 제공하지 않은 자 7) 민감정보, 고유식별정보, 영상정보, 가명정보, 개인정보 내부관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 조치를 하지 않은 자 8) 영상정보처리기기 설치 제한을 위반하여 공개된 장소에 영상정보처리기기를 설치ㆍ운영한 자 9) 가명정보 처리과정에서 개인을 알아볼 수 있는 정보가 생성되었음에도 이용을 중지하지 아니하거나 이를 회수ㆍ파기하지 아니한 자 10) 개인정보 보호인증을 받지 아니하였음에도 거짓으로 인증의 내용을 표시하거나 홍보한 자 11) 개인정보 유출시 정보주체에게 알려야 할 사항을 알리지 않은 자 12) 천만명 이상의 개인정보 유출되었음에도 보호위원회나 한국인터넷진흥원에 조치 결과 신고하지 않은 자 13) 이용자의 동의 철회, 열람 및 정정 요구를 수집 방법보다 어렵게 한 경우 14) 이용자의 열람ㆍ정정ㆍ삭제 요구에 따른 필요한 조치 하지 않은 자 15) 개인정보 유출시 이용자ㆍ보호위원회 및 전문기관에 통지 또는 신고하지 아니하거나 정당한 사유 없이 24시간을 경과하여 통지 또는 신고한 정보통신서비스 제공자등 16) 이용자의 동의를 받고 국외로 개인정보 이전하는 경우 보호조치를 하지 않은 정보통신서비스 제공자등 17) 이용자에게 개인정보 이용내역 통지를 하지 않은 정보통신서비스 제공자등 18) 보호위원회의 시정명령에 따르지 않은 자 |
| 과태료 (2천만원 이하) |
1) 국내 대리인 선임하지 않은 자로서 국외에 있는 정보통신서비스 제공자등 2) 국외로 개인정보 이전시, 이용자에게 알리지 아니하고 이용자의 개인정보를 국외에 처리위탁ㆍ보관한 정보통신서비스 제공자등 |
| 과태료 (천만원 이하) |
1) 개인정보 파기하지 않고 보존하는 경우, 다른 정보와 분리 보관하지 않은 자 2) 동의를 받는 방법을 위반하여 동의를 받은 자 3) 영상정보처리기기를 설치하는 경우 안내판 제대로 설치하지 않은 자 4) 업무 위탁시 위탁 관련 내용이 포함된 문서에 의하지 않은 자 5) 개인정보 처리 위탁 사실(업무 내용, 수탁자) 미공개 6) 영업 양도하는 경우, 정보주체에게 개인정보 이전 사실 미통지 7) 가명정보 처리 관련 기록을 작성하여 보관하지 아니한 자 8) 개인정보 처리방침 미정 또는 미공개 9) 개인정보 보호책임자 미지정 10) 열람 요구 거절 이유, 처리 정지 요구 거절 이유, 정정 및 삭제 결과 등 정보주체에게 알려야 할 사항을 알리지 아니한 자 |
| 과징금 | 1) 5억원 이하 - 안전성 확보에 필요한 조치를 다하지 않고 주민등록번호 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조, 훼손 2) 전체 매출액의 3%, 4억원 또는 자본금의 3% 중 큰 금액 이하 - 특정 개인을 알아보기 위한 목적으로 가명정보 처리 - 이용자(만 14세 미만 아동 포함) 동의 없는 개인정보 수집ㆍ이용ㆍ제공, 목적 외 이용ㆍ국외 제공 - 이용자 동의 없는 민감정보 수집 - 업무 위탁시, 관리ㆍ감독 또는 교육을 소홀히 하여 수탁자가 이 법의 규정을 위반한 경우 - 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조, 훼손한 경우로서 기술적 관리적 물리적 조치를 하지 아니한 경우 |
| 법정손해배상청구 | 개인정보처리자의 고의 또는 과실로 개인정보 유출시 300만원 이하 범위 |
