| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
- 보안
- C언어 알고리즘
- BOJ
- 스트림암호
- 신경망 학습
- 파이썬
- 딥러닝파이썬
- 신경망구현
- 백준알고리즘
- FTZlevel10
- 인공지능
- 소프트맥스함수
- 신경망파이썬
- 파이썬신경망
- c언어
- 신경망
- 머신러닝
- 알고리즘
- 밑바닥부터시작하는딥러닝
- 정보보안
- 달고나bof
- 백준
- 버퍼오버플로우
- BOF
- 딥러닝
- C알고리즘
- C언어알고리즘
- 활성화함수파이썬
- 항등함수
- 8086CPU레지스터
- Today
- Total
HeeJ's
[01] 개인정보 보호법 (2023. 3. 14., 일부 개정) 본문
제2조 (정의)
개인정보 - 살아있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보
가) 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보
나) 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보
다) 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”)
가명처리 - 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법 그 밖에 이와 유사한 행위
처리 - 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위
정보주체 - 처리되는 정보에 의하여 알아볼 수 있는 사람 그 정보의 주체가 되는 사람
개인정보파일 - 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물
개인정보처리자 - 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통해 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등
공공기관 - 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관 포함) 및 그 소속 기관, 지방 자치 단체 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관
고정형 영상정보처리기기 - 일정한 공간에 설치되어 지속적 또는 주기적으로 사람 또는 사물의 영상 등을 촬영하거나 이를 유,무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치
이동형 영상정보처리기기 - 사람이 신체에 착용 또는 휴대하거나 이동 가능한 물체에 부착 또는 거치하여 사람 또는 사물의 영상 등을 촬영하거나 이를 유,무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치
과학적 연구 - 기술의 개발과 실증, 기초 연구, 응용 연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구
제3조(개인정보 보호 원칙) → 개인정보처리자
① 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보 만을 적법하고 정당하게 수집
② 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리, 목적 외의 용도 활용X
③ 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 함
④ 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리
⑤ 제 30조에 따른 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 함
⑥ 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리
⑦ 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집 목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명, 익명처리로 달성할 수 없는 경우 가명으로 처리
⑧ 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위해 노력해야 함
제4조(정보주체의 권리) → 정보주체
정보주체는 자신의 개인정보의 처리와 관련하여 다음의 권리를 가짐
- 개인정보 처리에 관한 정보를 제공받을 권리
- 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
- 개인정보의 처리 여부를 확인하고 개인 정보에 대한 열람(사본의 발급 포함) 및 전송을 요구할 권리
- 개인정보의 처리 정지, 정정, 삭제 및 파기를 요구할 권리
- 개인정보의 처리로 인해 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
- 완전히 자동화된 개인정보 처리에 따른 결정을 거부하거나 그에 대한 설명 등을 요구할 권리
제5조(국가 등의 책무) → 국가와 지방자치 단체
① 개인정보의 목적 외 수집, 오용, 남용 및 무분별한 감시, 추적 등에 따른 폐해를 방지하여 인간의 존엄과 개인의 사생활 보호를 도모하기 위한 시책을 강구해야 함
② 제4조에 따른 정보주체의 권리를 보호하기 위해 법령의 개선 등 필요한 시책 마련
③ 만 14세 미만 아동이 개인정보 처리가 미치는 영향과 정보 주체의 권리 등을 명확히 알 수 있도록 만 14세 미만 아동의 개인정보 보호에 필요한 시책 마련
④ 개인정보의 처리에 관한 불합리한 사회적 관행을 개선하기 위해 개인정보처리자의 자율적인 개인정보 보호활동을 존중하고 촉진, 지원
⑤ 개인정보의 처리에 관한 법령 또는 조례를 적용할 때에는 정보주체의 권리가 보장될 수 있도록 개인정보 보호 원칙에 맞게 적용
제6조(다른 법률과의 관계)
① 개인정보의 처리 및 보호에 관하여 다른 법률에 특별한 규정이 있는 경우를 제외하고 이 법에서 정하는 바에 따름
② 개인정보의 처리 및 보호에 관한 다른 법률을 제정하거나 개정하는 경우에는 이 법의 목적과 원칙에 맞도록 해야 함
제 2장. 개인정보 보호정책의 수립 등
제7조(개인정보 보호위원회)
① 개인정보 보호에 관한 사무를 독립적으로 수행하기 위해 국무총리 소속으로 둠
② 보호위원회는 중앙행정기관으로 봄. 다만, 다음 사항에 대해서는 정부조직법 제 18조 적용 X
- 제7조의8 제3호 및 제4호의 사무
- 제7조의9 제1항의 심의, 의결 사항 중 제1호에 해당하는 사항
-> 정부조직법 제18조(국무총리의 행정감독권)
① 국무총리는 대통령의 명을 받아 각 중앙행정기관의 장을 지휘, 감독함
② 국무총리는 중앙행정기관의 장의 명령이나 처분이 위법 또는 부당하다고 인정될 경우, 대통령의 승인을 받아 이를 중지 또는 취소할 수 있음
제7조의2(보호위원회의 구성 등)
① 보호위원회는 상임위원 2명(위원장1, 부위원장1)을 포함한 9명의 위원으로 구성
② 보호위원회의 위원은 개인정보 보호에 관한 경력과 전문지식이 풍부한 다음 각 호의 사람 중에서 위원장과 부위원장은 국무총리의 제청, 그 외 2명은 위원장의 제청, 2명은 대통령이 소속되거나 소속되었던 정당의 교섭단체 추천, 3명은 그 이외의 교섭단체 추천으로 대통령이 임명 또는 위촉
1. 개인정보 보호 업무를 담당하는 3급 이상 공무원(고위공무원단에 속하는 공무원 포함)에 있거나 있었던 자
2. 판사, 검사, 변호사 직에 10년 이상 있거나 있었던 자
3. 공공기관 또는 단체(개인정보처리자 단체 포함)에 3년 이상 임원으로 재직하였거나 기관 또는 단체로부터 추천받은 사람으로서 개인정보 보호 업무를 3년 이상 담당한 사람
4. 개인정보 관련 분야에 전문지식이 있고 고등교육법 제2조제1호에 따른 학교에서 부교수 이상으로 5년 이상 재직하고 있거나 재직했던 사람
③ 위원장과 부위원장은 정무직 공무원으로 임명함
④ 위원장, 부위원장, 제7조의13에 따른 사무처 장은 정부조직법 제10조에도 불구하고 정부위원이 됨
-> 고등교육법 제2조제1호
대학, 산업대학, 교육대학, 전문대학, 방송대학 ㆍ통신대학 ㆍ방송통신대학 및 사이버대학(이하 "원격대학"), 기술대학, 각종학교
제7조의3(위원장)
① 위원장은 보호위원회를 대표하고, 보호위원회 회의를 주재하며, 소관 사무 총괄
② 위원장이 부득이한 사유로 직무 수행 불가 -> 부위원장이 직무 대행
위원장, 부위원장이 직무 수행 불가 -> 위원회가 미리 정하는 위원이 위원장의 직무 대행
③ 위원장은 국회에 출석하여 보호위원회의 소관 사무에 관해 의견을 진술할 수 있으며, 국회에서 요구하면 출석하여 보고하거나 답변하여야 함
④ 위원장은 국무회의에 출석하여 발언할 수 있으며, 그 소관 사무에 관하여 국무총리에게 의안 제출을 건의할 수 있음
제7조의4(위원의 임기)
① 위원의 임기는 3년으로 하되, 한 차례만 연임 가능
② 위원이 궐위된 때에는 지체 없이 새로운 위원을 임명 또는 위촉. 이 경우 후임으로 임명 또는 위촉된 위원의 임기는 새로 개시
제7조의5(위원의 신분보장)
① 위원은 다음 각 호의 어느 하나에 해당하는 경우를 제외하고 의사에 반하여 면직 또는 해촉되지 않음
1. 장기간 심신장애로 인해 직무를 수행할 수 없게 된 경우
2. 제7조의7의 결격사유에 해당
3. 이 법 또는 그 밖의 다른 법률에 따른 직무상의 의무 위반
② 위원은 법률과 양심에 따라 독립적으로 직무 수행
제7조의6(겸직금지 등)
① 위원은 재직 중 다음 직을 겸하거나 직무와 관련된 영리업무에 종사X
1. 국회의원 또는 지방의회의원
2. 국가공무원 또는 지방공무원
3. 그 밖에 대통령령으로 정하는 직
② 제1항의 영리업무에 관한 사항은 대통령령으로 정함
③ 위원은 정치활동에 관여 불가
-> 개인정보 보호법 시행령 제4조의2(영리업무의 금지)
1. 법 제7조의9제1항에 따라 보호위원회가 심의 ㆍ 의결하는 사항과 관련된 업무
2. 법 제40조제1항에 따른 개인정보 분쟁조정위원회가 조정하는 사항과 관련된 업무
제7조의7(결격사유)
① 다음 어느 하나에 해당하는 사람은 위원이 될 수 없음
1. 대한민국 국민이 아닌 자
2. 국가공무원법 제33조 각 호의 어느 하나에 해당하는 사람
3. 정당법 제22조에 따른 당원
② 위원이 제1항 각 호의 어느 하나에 해당하게 된 때에는 그 직에서 당연 퇴직
다만, 국가공무원법 제33조제2호는 파산선고를 받은 사람으로서 채무자 회생 및 파산에 관한 법률에 따라 신청기한 내에 면책신청을 하지 않았거나 면책불허가 결정 또는 면책 취소가 확정된 경우만 해당
같은 법 제33조제5호는 형법 제129조부터 제132조까지, 성폭력범죄의 처벌 등에 관한 특례법 제2조, 아동 청소년의 성보호에 관한 법률 제2조제2호 및 직무와 관련하여 형법 제355조 또는 제356조에 규정된 죄를 범한 사람으로서 금고 이상의 형의 선고유예를 받은 경우만 해당
제7조의8(보호위원회의 소관 사무)
보호위원회는 다음 각 호의 소관 사무를 수행
1. 개인정보의 보호와 관련된 법령의 개선에 관한 사항
2. 개인정보 보호와 관련된 정책, 제도, 계획 수립, 집행에 관한 사항
3. 정보주체의 권리침해에 대한 조사 및 이에 따른 처분에 관한 사항
4. 개인정보의 처리와 관련한 고충처리, 귄리구제 및 개인정보에 관한 분쟁의 조정
5. 개인정보 보호를 위한 국제기구 및 외국의 개인정보 보호기구와의 교류, 협력
6. 개인정보 보호에 관한 법령, 정책, 제도, 실태 등의 조사, 연구, 교육 및 홍보
7. 개인정보 보호에 관한 기술개발의 지원, 보급, 기술의 표준화 및 전문인력의 양성
8. 이 법 및 다른 법령에 따라 보호위원회 사무로 규정된 사항
제7조의9(보호위원회의 심의, 의결 사항 등)
① 보호위원회는 다음 각 호의 사항을 심의, 의결
1. 제8조의2에 따른 개인정보 침해요인 평가
2. 제9조에 따른 기본계획 및 제10조에 따른 시행계획
3. 개인정보 보호와 관련된 정책, 제도 및 법령의 개선
4. 개인정보의 처리에 관한 공공기관 간의 의견조정
5. 개인정보 보호에 관한 법령의 해석, 운용
6. 제18조제2항제5호에 따른 개인정보의 이용, 제공
6의2. 제28조의9에 따른 개인정보의 국외 이전 중지 명령
7. 제33조제4항에 따른 영향평가 결과
8. 제64조의2에 따른 과징금 부과
9. 제61조에 따른 의견제시 및 개선권고
9의2. 제63조의2제2항에 따른 시정권고
10. 제64조에 따른 시정조치
11. 제65조에 따른 고발 및 징계권고
12. 제66조에 따른 처리 결과의 공표 및 공표명령
13. 제75조에 따른 과태료 부과
14. 소관 법령 및 보호위원회 규칙의 제정, 개정 및 폐지
15. 개인정보 보호와 관련하여 보호위원회의 위원장 또는 위원 2명 이상이 회의에 부치는 사항
16. 그 밖에 이 법 또는 다른 법령에 따라 보호위원회가 심의, 의결하는 사항
② 보호위원회는 제1항 각 호의 사항을 심의,의결하기 위해 필요한 경우 다음의 조치 가능
1. 관계 공무원, 개인정보 보호에 관한 전문 지식이 있는 사람이나 시민사회단체 및 관련 사업자로부터 의견 청취
2. 관계 기관 등에 따른 자료제출이나 사실조회 요구
③ 제2항제2호에 따른 요구를 받은 관계 기관 등은 특별한 사정이 없으면 이에 따라야 함
④ 보호위원회는 제1항제3호의 사항을 심의, 의결한 경우에는 관계 기관에 그 개선을 권고 가능
⑤ 보호위원회는 제4항에 따른 권고 내용의 이행 여부 점검 가능
제7조의10(회의)
① 보호위원회의 회의는 위원장이 필요하다고 인정하거나 재적위원 1/4 이상의 요구가 있는 경우 위원장이 소집
② 위원장 또는 2명 이상의 위원은 보호위원회에 의안 제의 가능
③ 보호위원회의 회의는 재적위원 과반수의 출석으로 개의하고, 출석위원 과반수의 찬성으로 의결
제7조의11(위원의 제척, 기피, 회피)
① 위원은 다음 각 호의 어느 하나에 해당하는 경우 심의, 의결에서 제척
1. 위원 또는 그 배우자나 배우자였던 자가 해당 사안의 당사자가 되거나 그 사건에 관해 공동의 권리자 또는 의무자 관계에 있는 경우
2. 위원이 해당 사안의 당사자와 친족이거나 친족이었던 경우
3. 위원이 해당 사안에 관해 증언, 감정, 법률자문을 한 경우
4. 위원이 해당 사안에 관해 당사자의 대리인으로서 관여하거나 관여했던 경우
5. 위원이나 위원이 속한 공공기관, 법인 또는 단체 등이 조언 등 지원하고 있는 자와 이해관계가 있는 경우
② 위원에게 심의, 의결의 공정을 기대하기 어려운 사정이 있는 경우, 당사자의 기피 신청. 보호위원회는 의결로 이를 결정
③ 위원이 제1항 또는 제2항의 사유가 있는 경우 해당 사안에 대해 회피 가능
제7조의12(소위원회)
① 보호위원회는 효율적인 업무 수행을 위해 개인정보 침해 정도가 경미하거나 유사, 반복되는 사항 등을 심심의,의결할 소위원회를 둘 수 있음
② 3명의 위원으로 구성
③ 제1항에 따라 심의, 의결한 것은 보호위원회가 심의, 의결한 것으로 봄
④ 회의는 구성위원 전원의 출석과 출석위원 전원의 찬성으로 의결
제7조의13(사무처)
보호위원회의 사무를 처리하기 위해 보호위원회에 사무처를 두며, 이 법에 규정된 것 외에 보호위원회의 조직에 관한 사항은 대통령령으로 정함
-> 개인정보 보호위원회 직제
제7조의14(운영 등)
이 법과 다른 법령에 규정된 것 외에 보호위원회의 운영 등에 필요한 사항은 보호위원회의 규칙으로 정함
-> 개인정보 보호위원회 운영규칙
제8조 삭제
제8조의2(개인정보 침해요인 평가)
① 중앙행정기관의 장은 소관 법령의 제정 또는 개정을 통하여 개인정보 처리를 수반하는 정책이나 제도를 도입, 변경하는 경우에는 보호위원회에 개인정보 침해요인 평가 요청
② 보호위원회가 제1항에 따른 요청을 받은 때에는 해당 법령의 개인정보 침해요인을 분석, 검토하여 그 법령의 소관기관의 장에게 개선을 위해 필요한 사항 권고 가능
③ 제1항에 따른 개인정보 침해요인 평가의 절차와 방법에 관하여 필요한 사항은 대통령령으로 정함
-> 개인정보보호법 시행령 제9조의3(개인정보 침해요인 평가 절차 등)
제9조(기본계획) -> 보호위원회
① 개인정보 보호와 정보주체의 권익 보장을 위해 3년마다 개인정보 보호 기본계획(이하 "기본계획")을 관계 중앙행정기관의 장과 협의하여 수립
② 기본계획에는 다음 각 호의 사항 포함
1. 개인정보 보호의 기본목표와 추진 방향
2. 개인정보 보호와 관련된 제도 및 법령의 개선
3. 개인정보 침해 방지를 위한 대책
4. 개인정보 보호 자율규제의 활성화
5. 개인정보 보호 교육, 홍보의 활성화
6. 개인정보 보호를 위한 전문인력의 양성
7. 그 밖에 개인정보 보호를 위해 필요한 사항
③ 국회, 법원, 헌법재판소, 중앙선거관리위원회는 해당 기관(소속 기관 포함)의 개인정보 보호를 위한 기본계획 수립, 시행 가능
제10조(시행계획)
① 중앙행정기관의 장은 기본계획에 따라 매년 개인정보 보호를 위한 시행계획을 작성하여 보호위원회에 제출하고, 보호위원회의 심의, 의결을 거쳐 시행
② 시행계획의 수립, 시행에 필요한 사항은 대통령령으로 정함
-> 개인정보 보호법 시행령 제12조(시행계획의 수립절차 등)
① 보호위원회는 매년 6월 30일까지 다음 해 시행계획의 작성 방법 등에 관한 지침을 마련하여 관계 중앙행정기관의 장에게 통보
② 관계 중앙행정기관의 장은 제1항의 지침에 따라 기본계획 중 다음 해에 시행할 소관 분야의 시행계획을 작성하여 매년 9월 30일까지 보호위원회에 제출
③ 보호위원회는 제2항에 따라 제출된 시행계획을 그 해 12월 31일까지 심의, 의결
제11조(자료제출 요구 등)
① 보호위원회는 기본계획을 효율적으로 수립하기 위해 개인정보처리자, 관계 중앙행정기관의 장, 지방자치단체의 장 및 관계 기관, 단체 등에 개인정보처리자의 법규 준수 현황과 개인정보 관리 실태 등에 관한 자료의 제출이나 의견의 진술 등 요구 가능
② 보호위원회는 개인정보 보호 정책 추진, 성과평가 등을 위해 필요한 경우 개인정보처리자, 관계 중앙행정기관의 장, 지방자치단체의 장 및 관계 기관, 단체 등을 대상으로 개인정보관리 수준 및 실태파악 등 조사 실시 가능
③ 중앙행정기관의 장은 시행계획을 효율적으로 수립, 추진하기 위하여 소관 분야의 개인정보처리자에게 제1항에 따른 자료제출 등을 요구할 수 있음
④ 제1항부터 제3항까지에 따른 자료제출 등을 요구받은 자는 특별한 사정이 없으면 따라야 함
⑤ 제1항부터 제3항까지에 따른 자료제출 등의 범위와 방법 등 필요한 사항은 대통령령으로 정함
-> 개인정보 보호법 시행령 제13조(자료제출 요구 등의 범위와 방법)
1. 해당 개인정보처리자가 처리하는 개인정보 및 개인정보파일의 관리와 고정형 영상정보처리기기 또는 이동형 영상정보처리기기의 설치, 운영에 관한 사항
2. 법 제31조에 따른 개인정보 보호책임자의 지정 여부
3. 개인정보의 안전성 확보를 위한 기술적, 관리적, 물리적 조치에 관한 사항
4. 정보주체의 열람, 개인정보의 정정 ㆍ삭제 ㆍ처리정지의 요구 및 조치 현황에 관한 사항
5. 그 밖에 법 및 이 영의 준수에 관한 사항 등 기본계획의 수립 ㆍ추진을 위해 필요한 사항
② 보호위원회는 제1항에 따라 자료의 제출이나 의견의 진술 등을 요구할 땐 기본계획을 효율적으로 수립 ㆍ추진하기 위해 필요한 최소한의 범위로 한정하여 요구하여야 함
제11조의2(개인정보 보호수준 평가) -> 보호위원회
① 공공기관 중 중앙행정기관 및 그 소속기관, 지방자치단체, 그 밖에 대통령령으로 정하는 기관을 대상으로 매년 개인정보 보호 정책, 업무의 수행 및 이 법에 따른 의무의 준수 여부 등을 평가(이하 "개인정보 보호수준 평가")해야 함
② 개인정보 보호수준 평가에 필요한 경우 해당 공공기관의 장에게 관련 자료를 제출하게 함
③ 개인정보 보호수준 평가의 결과를 인터넷 홈페이지 등을 통해 공개 가능
④ 개인정보 보호수준 평가의 결과에 따라 우수기관 및 소속 직원에 대해 포상할 수 있고, 개인정보 보호를 위해 필요하다고 인정하면 해당 공공기관의 장에게 개선 권고 가능
권고를 받은 공공기관의 장은 이를 이행하기 위해 성실히 노력해야 하며, 조치 결과를 보호위원회에 알려야 함
⑤ 그 밖에 개인정보 보호수준 평가의 기준, 방법, 절차 및 제2항에 따른 자료 제출의 범위 등에 필요한 사항은 대통령령으로 정함
제12조(개인정보 보호지침)
① 보호위원회는 개인정보 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 표준 개인정보 보호지침(이하 "표준지침"을 정하여 개인정보처리자에게 준수를 권장
② 중앙행정기관의 장은 표준지침에 따라 소관 분야의 개인정보 처리와 관련한 개인정보 보호지침을 정하여 개인정보처리자에게 준수 권장
③ 국회, 법원, 헌법재판소 및 중앙선거관리위원회는 해당 기관(소속 기관 포함)의 개인정보 보호지침을 정하여 시행 가능
제13조(자율규제의 촉진 및 지원)
보호위원회는 개인정보처리자의 자율적인 개인정보 보호활동을 촉진하고 지원하기 위해 다음 각 호의 필요한 시책 마련
1. 개인정보 보호에 관한 교육, 홍보
2. 개인정보 보호와 관련된 기관, 단체의 육성 및 지원
3. 개인정보 보호 인증마크의 도입, 시행 지원
4. 개인정보처리자의 자율적인 개인정보 보호활동을 지원하기 위해 필요한 사항
제13조의2(개인정보 보호의 날)
① 개인정보의 보호 및 처리의 중요성을 국민에게 알리기 위해 매년 9월 30일을 개인정보 보호의 날로 지정
② 국가와 지방자치단체는 개인정보 보호의 날이 포함된 주간에 개인정보 보호 문화 확산을 위한 각종 행사 실시 가능
제14조(국제협력)
① 정부는 국제적 환경에서의 개인정보 보호 수준을 향상시키기 위해 필요한 시책 마련
② 정부는 개인정보 국외 이전으로 인해 정보주체의 권리가 침해되지 않도록 관련 시책 마련
제3장 개인정보의 처리
제1절 개인정보의 수집, 이용, 제공 등
제15조(개인정보의 수집, 이용) -> 개인정보처리자
① 다음 어느 하나에 해당하는 경우 개인정보를 수집할 수 있으며 수집 목적의 범위에서 이용 가능
1. 정보주체의 동의
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위해 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위해 불가피한 경우
4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위해 필요한 경우
5. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정하는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우
이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 않는 경우에 한 함
7. 공중위생 등 공공의 안전과 안녕을 위해 긴급히 필요한 경우
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 함. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 함
1. 개인정보의 수집, 이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 내용
③ 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보 이용 가능
-> 개인정보 보호법 시행령 제14조의2(개인정보의 추가적인 이용 ㆍ제공의 기준)
1. 당초 수집 목적과 관련성이 있는지 여부
2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지
3. 정보주체의 이익을 부당하게 침해하는지 여부
4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
② 개인정보의 추가적인 이용 또는 제공이 지속적으로 발생하는 경우, 제1항 각 호의 고려사항에 대한 판단 기준을 법ㅈ 제 30조제1항에 따른 개인정보 처리방침에 공개하고, 법 제31조제1항에 따른 개인정보 보호책임자가 해당 기준에 따라 개인정보의 추가적인 이용 또는 제공을 하고 있는지 여부를 점검
제16조(개인정보의 수집 제한) -> 개인정보처리자
① 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우 그 목적에 필요한 최소한의 개인정보를 수집.
이 경우 최소한의 개인정보 수집이라는 입증 책임은 개인정보처리자가 부담
② 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알리고 개인정보를 수집
③ 정부주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부해서는 안됨
제17조(개인정보의 제공) -> 개인정보처리자
① 다음 각 호의 어느 하나에 해당하는 경우 정보주체의 개인정보를 제3자에게 제공(공유 포함)할 수 있음
1. 정보주체의 동의
2. 제15조 제1항제2호, 제3호 및 제5호부터 제7호까지에 따라 개인정보를 수집한 목적 범위에서 제공
② 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 함 다음 어느 하나 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 함
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 이용 목적
3. 제공하는 개인정보 항목
4. 제공받는 자의 보유 및 이용 기간
5. 동의를 거부할 권리가 있다는 사실과 거부에 따른 불이익이 있는 경우우 그 내용
③ 삭제
④ 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 동의 없이 개인정보 제공 가능
-> 개인정보 보호법 시행령 제14조의2(개인정보의 추가적인 이용 ㆍ제공의 기준)
1. 당초 수집 목적과 관련성이 있는지 여부
2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지
3. 정보주체의 이익을 부당하게 침해하는지 여부
4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
② 개인정보의 추가적인 이용 또는 제공이 지속적으로 발생하는 경우, 제1항 각 호의 고려사항에 대한 판단 기준을 법ㅈ 제 30조제1항에 따른 개인정보 처리방침에 공개하고, 법 제31조제1항에 따른 개인정보 보호책임자가 해당 기준에 따라 개인정보의 추가적인 이용 또는 제공을 하고 있는지 여부를 점검
제18조(개인정보의 목적 외 이용, 제공 제한)
① 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제28조의8제1항에 따른 범위를 초과하여 제3자에게 제공해서는 안됨
② 제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 경우, 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공 가능
제5호부터 제9호까지에 따른 경우는 공공기관의 경우로 한정
1. 정보주체의 별도 동의
2. 다른 법률의 특별한 규정
3. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우
4. 삭제
5. 개인정보를 목적 외 이용하거나 제공하지 않으면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의, 의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위해 외국정부 또는 국제기구에 제공하기 위해 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위해 필요한 경우
8. 법원의 재판업무 수행을 위해 필요한 경우
9. 형 및 감호, 보호처분의 집행을 위해 필요한 경우
10. 공중위생 등 공공의 안전과 안녕을 위해 긴급히 필요한 경우
③ 제2항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에에게 알려야 함. 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 함
1. 개인정보를 제공받는 자
2. 개인정보의 이용 목적(제공 시, 제공받는 자의 이용 목적)
3. 이용 또는 제공하는 개인정보 항목
4. 개인정보의 보유 및 이용 기간(제공 시, 제공받는 자의 보유 및 이용 기간)
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 내용
④ 공공기관은 제2항제2호부터 제6호까지, 제8호부터 제10호까지에 따라 개인정보를 목적 외 이용하거나 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관해 필요한 사항을 보호위원회가 고시로 정하는 바에 따라 관보 또는 인터넷 홈페이지 등에 개제해야 함
⑤ 제2항 각 호의 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대해 제한을 하거나, 개인정보의 안전성 확보를 위해 필요한 조치를 마련하도록 요청
이 경우, 요청 받은 자는 개인정보의 안전성 확보를 위해 필요한 조치를 하여야함
제19조(개인정보를 제공받은 자의 이용, 제공 제한)
개인정보처리자로부터 개인정보를 제공받은 자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공해서는 안됨
1. 정보주체로부터 별도의 동의
2. 다른 법률에 특별한 규정이 있는 경우
제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지)
① 정보주체 이외로부터 수집한 개인정보를 처리할 때에는 정보주체의 요구가 있으면 즉시 다음의 모든 사항을 정보주체에게 알려야 함
1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 제37조에 따른 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실
② 제1항에도 불구하고 처리하는 개인정보의 종류, 규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 함.
다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 않은 경우에는 그러지 않음
③ 제2항 본문에 따라 알리는 경우 정보주체에게 알리는 시기, 방법 및 절차 등 필요한 사항을 대통령령으로 정함
④ 제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우 적용하지 않음. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한함
1. 통지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일이 포함되어 있는 경우
2. 통지로 인해 다른 사람의 생명, 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
제20조의2(개인정보 이용, 제공 내역의 통지)
① 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 이 법에 따라 수집한 개인정보의 이용, 제공 내역이나 이용, 제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로 정보주체에게 통지해야 함. 다만, 연락처 등 통지할 수 있는 개인정보를 수집, 보유하지 않은 경우 통지하지 않을 수 있음
② 제1항에 따른 통지의 대상이 되는 정보주체의 범위, 통지 대상 정보, 통지 주기 및 방법 등에 필요한 사항은 대통령령으로 정함
-> 개인정보 보호법 시행령 제15조의3(개인정보 이용, 제공 내역의 통지)
② 법 제20조의2제1항에 따른 통지의 대상이 되는 정보주체는 다음 각 호의 정보주체를 제외한 정보주체로 함
1. 통지에 대한 거부의사를 표시한 정보주체
2. 개인정보처리자가 업무수행을 위해 그에 소속된 임직원의 개인정보를 처리한 경우 해당 정보주체
3. 개인정보처리자가 업무수행을 위해 다른 공공기관, 법인, 단체의 임직원 또는 개인의 연락처 등의 개인정보를 처리한 경우 해당 정보주체
4. 법률에 특별한 규정이 있거나 법령 상 의무를 준수하기 위해 이용, 제공한 개인정보의 정보주체
③ 법 제20조의2제1항에 따른 정보주체에게 통지해야 하는 정보는 다음 각 호와 같다
1. 개인정보의 수집, 이용 목적 및 수집한 개인정보의 항목
2. 개인정보를 제공받은 제3자와 그 제공 목적 및 제공한 개인정보의 항목, 다만, 통신비밀보호법 제13조, 제13조의2, 제13조의4 및 전기통신사업법 제83조제3항에 따라 제공한 정보는 제외
④ 법 제20조의2제1항에 따른 통지는 다음 각 호의 어느 하나에 해당하는 방법으로 연 1회 이상 해야 함
1. 서면, 전자우편, 전화, 문자전송 등 정보주체가 통지 내용을 쉽게 확인할 수 있는 방법
2. 재화 및 서비스를 제공하는 과정에서 정보주체가 쉽게 알 수 있도록 알림창을 통해 알리는 방법(개인정보의 이용, 제공 내역을 확인할 수 있는 정보 시스템에 접속하는 방법을 통지하는 경우로 한정)
제21조(개인정보의 파기) -> 개인정보처리자
① 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때 지체없이 개인정보를 파기하여야 함. 다만, 다른 법령에 따라 보존하여야 하는 경우 그렇지 않음
② 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 않도록 조치
③ 제1항 단서에 따라 개인정보를 보존하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장, 관리
④ 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정함
->개인정보 보호법 시행령 제16조(개인정보의 파기방법)
① 개인정보처리자는 법 제21조에 따라 개인정보를 파기할 때 다음 각 호의 구분에 따른 방법으로 해야 함
1. 전자적 파일 형태의 경우: 복원이 불가능한 방법으로 영구 삭제. 다만, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치해야 함
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각
② 제1항에 따른 개인정보의 안전한 파기에 관한 세부 사항은 보호위원회가 정하여 고시
제22조(동의를 받는 방법) -> 개인정보처리자
① 이 법에 따른 개인정보의 처리에 대해 정보주체(제22조의2제1항에 따른 법정대리인 포함)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 함. 이 경우, 다음 각 호의 경우 동의 사항을 구분하여 각각 동의를 받아야 함
1. 제15조제1항제1호에 따라 동의를 받는 경우
2. 제17조제1항제1호에 따라 동의를 받는 경우
3. 제18조제2항제1호에 따라 동의를 받는 경우
4. 제19조제1호에 따라 동의를 받는 경우
5. 제23조제1항제1호에 따라 동의를 받는 경우
6. 제24조제1항제1호에 따라 동의를 받는 경우
7. 재화나 서비스를 홍보하거나 판매를 권유하기 위해 개인정보의 처리에 대한 동의를 받으려는 경우
8. 그 밖에 정보주체를 보호하기 위해 동의 사항을 구분하여 동의를 받아야 할 필요가 있는 경우로서 대통령령으로 정하는 경우
② 제1항의 동의를 서면(전자문서 및 전자거래 기본법 제2조제1호에 따른 전자문서 포함)으로 받을 때에는 개인정보의 수집, 이용 목적, 수집, 이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 보호위원회가 고시로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 함
③ 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 제30조제2항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 정보주체에게 알려야 함. 이 경우, 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담
④ 삭제
⑤ 정보주체가 선택적으로 동의할 수 있는 사항을 동의하지 않거나 제1항제3호 및 제7호에 따른 동의를 하지 않는다는 이유로 재화 또는 서비스의 제공을 거부해서는 안됨
⑥ 삭제
⑦ 제1항부터 제5항까지에서 규정한 사항 외에 정보주체의 동의를 받는 세부적인 방법에 관해 필요한 사항을 개인정보 수집매체 등을 고려하여 대통령령으로 정함
-> 개인정보 보호법 시행령 제17조(동의를 받는 방법)
① 개인정보처리자는 개인정보의 처리에 대해 정보주체의 동의를 받을 때 다음 조건을 모두 충족해야 함
1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것
2. 동의를 받으려는 내용이 구체적이고 명확할 것
3. 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용
4. 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것
② 개인정보처리자는 법 제22조에 따라 개인정보의 처리에 대하여 다음 각 호의 어느 하나에 해당하는 방법으로 정보주체의 동의를 받음
1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받음
2. 전화를 통해 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법
3. 전화를 통해 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷 주소 등을 통해 동의 사항을 확인하도록 한 후 다시 전화를 통하여 동의 사항에 대한 동의의 의사표시를 확인하는 방법
4. 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법
5. 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법
6. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법
③ 법 제22조제2항에서 "대통령령으로 정하는 중요한 내용"
1. 개인정보의 수집, 이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위해 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
2. 처리하려는 개인정보의 항목 중 다음 각 목의 사항
가. 민감정보
나. 제19조제2호부터 제4호까지의 규정에 따른 여권번호, 운전면허의 면허번호 및 외국인등록번호
3. 개인정보의 보유 및 이용 기간)제공 시 제공받는 자의 보유 및 이용 기간)
4. 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적
⑤ 법 제22조제3항 전단에서 "대통령령으로 정하는 방법"이란 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법(이하 "서면등의 방법")
⑥ 중앙행정기관의 장은 제2항에 따른 동의방법 중 소관 분야의 개인정보처리자별 업무, 접종의 특성 및 정보주체의 수 등을 고려하여 적절한 동의방법에 관한 기준을 법 제12조제2항에 따른 개인정보 보호지침(이하 "개인정보 보호지침")으로 정하여 그 기준에 따라 동의를 받도록 개인정보처리자에게 권장 가능
제22조의2(아동의 개인정보 보호)
① 만 14세 미만 아동의 개인정보를 처리하기 위해 이 법에 따른 동의를 받아야 할 때에는 법정대리인의 동의를 받아야 하며, 법정대리인이 동의하였는지 확인해야 함
② 제1항에도 불구하고 법정대리인의 동의를 받기 위해 필요한 최소한의 정보로서 대통령령으로 정하는 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집 가능
③ 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 할 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용해야 함
④ 제1항부터 제3항까지에서 규정한 사항 외에 동의 및 동의 확인 방법 등에 필요한 사항은 대통령령으로 정함
-> 개인정보 보호법 시행령 제17조의2(아동의 개인정보 보호)
① 개인정보처리자는 법 제22조의2제1항에 따라 법정대리인이 동의했는지를 확인하는 경우, 다음 어느 하나에 해당하는 방법으로 해야 함
1. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 개인정보처리자가 그 동의 표시를 확인했음을 법정대리인의 휴대전화 문자메시지로 알리는 방법
2. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정 대리인의 신용카드, 직풀카드 등의 카드정보를 제공받음
3. 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정 대리인의 휴대전화 본인인증 등을 통해 본인 여부를 확인
4. 동의 내용이 적힌 서면을 법정대리인에게 직접 발급하거나 우편 또는 팩스를 통해 전달하고, 법정대리인이 동의 내용에 대해 서명날인 후 제출하도록 하는 방법
5. 동의 내용이 적힌 전자우편을 발송하고 법정대리인으로부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법
6. 전화를 통해 동의 내용을 법정대리인에게 알리고 동의를 받거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 받음
7. 그 밖에 제1호부터 제6호까지의 규정에 준하는 방법으로서 법정대리인에게 동의 내용을 알리고 동의의 의사표시를 확인하는 방법
② 법 제22조의2제2항에서 "대통령령으로 정하는 정보"란 법정대리인의 성명 및 연락처에 관한 정보를 말함
③ 개인정보처리자는 개인정보 수집 매체의 특성상 동의 내용을 전부 표시하기 어려운 경우, 인터넷주소 또는 사업장 전화번호 등 동의 내용을 확인할 수 있는 방법을 법정대리인에게 안내
제2절 개인정보의 처리 제한
제23조(민감정보의 처리 제한) -> 개인정보처리자
① 사상, 신념, 노동조합, 정당의 가입, 탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 "민감정보")를 처리하여서는 안됨. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러지 않음
1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
② 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실, 도난, 유출, 위조, 변조 또는 훼손하지 않도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 함
③ 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알려야 함
-> 개인정보 보호법 시행령 제18조(민감정보의 범위)
법 제23조제1항 각 호 외의 부분 본문에서 "대통령령으로 정하는 정보"란 다음 어느 하나에 해당하는 정보
다만, 공공기관이 법 제18조제2항제5호부터제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우 해당 정보는 제외
1. 유전자검사 등의 결과로 얻어진 유전정보
2. 형의 실효 등에 관한 법률 제2조제5호에 따른 범죄경력자료에 해당하는 정보
3. 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보
4. 인종이나 민족에 관한 정보
-> 형의 실효 등에 관한 법률
5. "범죄경력자료"란 수사자료표 중 다음 각 목에 해당하는 사항에 관한 자료를 말함
가. 벌금 이상의 형의 선고, 면제 및 선고유예
나. 보호감호, 치료감호, 보호관찰
다. 선고유예의 실효
라. 집행유예의 취소
마. 벌금 이상의 형과 함께 부과된 몰수, 추징, 사회봉사명령, 수강명령 등의 선고 또는 처분
-> 법 제18조제2항제5호부터제9호까지의 규정
5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의, 의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위해 외국정부 또는 국제기구에 제공하기 위해 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위해 필요한 경우
8. 법원의 재판업무 수행을 위해 필요한 경우
9. 형 및 감호, 보호처분의 집행을 위해 필요한 경우
제24조(고유식별정보의 처리 제한)
① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위해 부여된 식별정보로서 대통령령으로 정하는 정보(이하 "고유식별정보")를 처리할 수 없음
1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
② 삭제
③ 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우, 그 고유식별정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 함
④ 보호위원회는 처리하는 개인정보의 종류, 규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제3항에 따라 안전성 확보에 필요한 조치를 하였는지에 관하여 대통령령으로 정하는 바에 따라 정기적으로 조사하여야 함
⑤ 보호위원회는 대통령령으로 정하는 전문기관으로 하여금 제4항에 따른 조사를 수행하게 할 수 있음
-> 개인정보 보호법 시행령 제19조(고유식별정보의 범위)
법 제24조제1항 각 호 외의 부분에서 "대통령령으로 정하는 정보"란 다음 각 호 어느 하나에 해당하는 정보를 말함
다만, 공공기관의 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외
1. 주민등록법 제7조의2제1항에 따른 주민등록번호
2. 여권법 제7조제1항제1호에 따른 여권번호
3. 도로교통법 제80조에 따른 운전면허의 면허번호
4. 출입국관리법 제31조제5항에 따른 외국인등록번호
-> 제21조(고유식별정보의 안전성 확보조치)
① 법 제24조제3항에 따른 고유식별정보의 안전성 확보 조치에 관해서는 제30조를 준용. 이 경우, "법 제29조"는 법"제24조제3항"으로, "개인정보"는 "고유식별정보"로 봄
② 법 제24조제4항에서 "대통령령으로 정하는 기준에 해당하는 개인정보처리자"란 다음 각 호의 어느 하나에 해당하는 개인정보처리자를 말함
1. 공공기관
2. 5만명 이상의 정보주체에 관해 고유식별정보를 처리하는 자
③ 보호위원회는 제2항 각 호의 어느 하나에 해당하는 개인정보처리자에 대해 법 제24조제4항에 따라 안전성 확보에 필요한 조치를 하였는지 2년 마다 1회 이상 조사
④ 제3항에 따른 조사는 제2항 각 호의 어느 하나에 해당하는 개인정보처리자에게 온라인 또는 서면을 통해 필요한 자료를 제출하게 하는 방법으로 함
⑤ 법 제24조제5항에서 "대통령령으로 정하는 전문기관"이란 다음 각 호의 기관을 말함
1. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제52조에 따른 한국인터넷진흥원(이하 "한국인터넷진흥원")
2. 법 제24조제4항에 따른 조사를 수행할 수 있는 기술적, 재정적 능력과 설비를 보유한 것으로 인정되어 보호위원회가 정하여 고시하는 법인, 단체 또는 기관
제 24조의 2(주민등록번호 처리의 제한)
① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고 주민등록번호를 처리할 수 없음
1. 법률, 대통령령, 국회규칙, 대법원규칙, 헌법재판소규칙, 중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 명백히 필요하다고 인정되는 경우
3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회가 고시로 정하는 경우
② 개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 암호화 조치를 통하여 안전하게 보관하여야 함. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모의 유출 시 영향 등을 고려하여 대통령령으로 정함
③ 개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 않고도 회원으로 가입할 수 있는 방법을 제공하여야 함
④ 보호위원회는 개인정보처리자가 제3항에 따른 방법을 제공할 수 있도록 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련, 지원할 수 있음
제25조(고정형 영상정보처리기기의 설치, 운영 제한)
① 누구든지 다음 각 호를 제외하고 공개된 장소에 고정형 영상정보처리기기를 설치, 운영하여서는 안됨
1. 법령에서 구체적으로 허용
2. 범죄의 예방 및 수사를 위해 필요
3. 시설의 안전 및 관리, 화재 예방을 위해 정당한 권한을 가진 자가 설치, 운영
4. 교통단속을 위해 정당한 권한을 가진 자가 설치, 운영
5. 교통정보의 수집, 분석 및 제공을 위하여 정당한 권한을 가진 자가 설치, 운영
6. 촬영된 영상정보를 저장하지 않는 경우로서 대통령령으로 정하는 경우
② 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 고정형 영상정보처리기기를 설치, 운영하여서는 안됨. 다만, 교도소, 정신보건 시설 등 법령에 근거하여 사람을 구금하거나 보호하는 시설로서 대통령령으로 정하는 시설에는 그러지 아니함
③ 제1항 각 호에 따라 고정형 영상정보처리기기를 설치, 운영하려는 공공기관의 장과 제2항 단서에 따라 고정형 영상정보처리기기를 설치, 운영하려는 자는 공청회, 설명회의 개최등 대통령령으로 정하는 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴
④ 제1항 각 호에 따라 고정형 영상정보처리기기를 설치, 운영하는 자(이하 "고정형영상정보처리기기운영자")는 정보주체가 쉽게 인식할 수 있도록 다음 각 호의 사항이 포함된 안내판을 설치하는 등 필요한 조치를 하여야 함. 다만, 군사기지 및 군사시설 보호법 제2조제2호에 따른 군사시설, 통합방위법 제2조제13호에 따른 국가중요시설, 그 밖에 대통령령으로 정하는 시설의 경우에는 그렇지 않음
1. 설치 목적 및 장소
2. 촬영 범위 및 시간
3. 관리책임자의 연락처
4. 그 밖에 대통령령으로 정하는 사항
⑤ 고정형영상정보처리기기운영자는 고정형 영상정보처리기기의 설치 목적과 다른 목적으로 고정형 영상정보처리기기를 임의로 조작하거나 다른 곳을 비춰서는 아니 되며, 녹음기능 사용X
⑥ 고정형영상정보처리기기운영자는 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 제29조에 따라 안전성 확보에 필요한 조치를 하여야 함
⑦ 고정형영상정보처리기기운영자는 대통령령으로 정하는 바에 따라 고정형 영상정보처리기기 운영, 관리 방침을 마련. 다만, 제30조에 따른 개인정보 처리방침을 정할 때 고정형 영상정보처리기기 운영, 관리에 관한 사항을 포함시킨 경우 고정형 영상정보처리기기 운영, 관리 방침을 마련하지 않을 수 있음
⑧ 고정형영상정보처리기기운영자는 고정형 영상정보처리기기의 설치, 운영에 관한 사무를 위탁할 수 있음. 다만, 공공기관이 고정형 영상정보처리기기 설치, 운영에 관한 사무를 위탁하는 경우, 대통령령으로 정하는 절차 및 요건에 따라야 함
제25조의2(이동형 영상정보처리기기의 운영 제한)
① 업무를 목적으로 이동형 영상정보처리기기를 운영하려는 자는 다음 각 호의 경우를 제외하고는 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상(개인정보에 해당하는 경우로 한정)을 촬영해서는 안됨
1. 제15조제1항 각 호의 어느 하나에 해당하는 경우
2. 촬영 사실을 명확히 표시하여 정보주체가 촬영 사실을 알 수 있도록 하였음에도 불구하고 촬영 거부 의사를 밝히지 않은 경우, 이 경우 정보주체의 권리를 부당하게 침해할 우려가 없고 합리적인 범위를 초과하지 않는 경우로 한정
3. 그 밖에 제1호 및 제2호에 준하는 경우로서 대통령령으로 정하는 경우
② 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있는 곳에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영해서는 안됨. 다만, 인명의 구조, 구급 등을 위하여 필요한 경우로서 대통령령으로 정하는 경우에는 그렇지 않음
③ 제1항 각 호에 해당하여 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하는 경우에는 불빛, 소리, 안내판 등 대통령령으로 정하는 바에 따라 촬영 사실을 표시하고 알려야 함
④ 제1항부터 제3항까지에서 규정한 사항 외에 이동형 영상정보처리기기의 운영에 관해서는 제25조제6항부터 제8항까지의 규정을 준용
제26조(업무위탁에 따른 개인정보의 처리 제한)
① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 함
1. 위탁업무 수행 목적 외 처리 금지
2. 개인정보의 기술적, 관리적 보호조치
3. 그 밖에 개인정보의 안전한 관리를 위해 대통령령으로 정한 사항
② 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 "위탁자")는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자 포함, 이하 "수탁자")를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 함. 위탁하는 업무의 내용이나 수탁자가 변경된 경우도 같음
④ 위탁자는 업무 위탁으로 인해 정보주체의 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지 감독
⑤ 수탁자는 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자 제공해서는 안됨
⑥ 수탁자는 위탁받은 개인정보의 처리 업무를 제3자에게 다시 위탁하려는 경우 위탁자의 동의를 받아야 함
⑦ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대해서 수탁자를 개인정보처리자의 소속 지원으로 본다
⑧ 수탁자에 관하여는 제15조부터 제18조까지, 제21조, 제22조, 제22조의2, 제23조, 제24조, 제24조의2, 제25조, 제25조의2, 제27조, 제28조, 제28조의2부터 제28조의5까지, 제28조의7부터 제28조의11까지, 제29조, 제30조, 제30조의2, 제31조, 제33조, 제34조, 제34조의2, 제35조, 제35조의2, 제36조, 제37조, 제37조의2, 제38조, 제59조, 제63조, 제63조의2 및 제64조의2를 준용한다. 이 경우 개인정보처리자는 "수탁자"로 본다.
제27조(영업양도 등에 따른 개인정보의 이전 제한)
① 개인정보처리자는 영업의 전부 또는 일부의 양도, 합병 등으로 개인정보를 다른 사람에게 이전하는 경우 미리 다음 각 호의 사항을 대통령령으로 정하는 방법에 따라 해당 정보주체에게 알려야 함
1. 개인정보를 이전하려는 사실
2. 개인정보를 이전받는 자(이하 "영업양수자 등")의 성명(법인인 경우 법인의 명칭), 주소, 전화번호 및 그 밖의 연락처
3. 정보주체가 개인정보의 이전을 원하지 않을 경우 조치할 수 있는 방법 및 절차
② 영업양수자 등은 개인정보를 이전받았을 때 지체 없이 그 사실을 대통령령으로 정하는 방법에 따라 정보주체에게 알려야 함. 다만, 개인정보처리자가 제1항에 따라 그 이전 사실을 이미 알린 경우 그렇지 않음
③ 영업양수자 등은 영업의 양도, 합병 등으로 개인정보를 이전받은 경우 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공 가능. 이 경우, 영업양수자등은 개인정보처리자로 봄
제28조(개인정보취급자에 대한 감독) -> 개인정보처리자
① 개인정보를 처리함에 있어 개인정보가 안전하게 관리될 수 있도록 임직원, 파견 근로자, 시간제 근로자 등 개인정보처리자의 지휘, 감독을 받아 개인정보를 처리하는 자(이하 "개인정보취급자")의 범위를 최소한으로 제한하고, 개인정보취급자에 대해 적절한 관리, 감독
② 개인정보의 적정한 취급을 보장받기 위해 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 함
제3절 가명정보의 처리에 관한 특례
제28조의2(가명정보의 처리 등) -> 개인정보처리자
① 통계 작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있음
② 제1항에 따라 가명정보를 제3자에게 제공하는 경우 특정 개인을 알아보기 위해 사용될 수 있는 정보를 포함해서는 안됨
제28조의3(가명정보의 결합 제한)
① 제28조의 2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행함
② 결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 제58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 함
③ 제1항에 따른 결합 절차와 방법, 전문기관의 지정과 지정 취소 기준, 절차, 관리, 감독, 제2항에 따른 반출 및 승인 기준, 절차 등 필요한 사항은 대통령령으로 정함
제28조의4(가명정보에 대한 안전조치의무 등) -> 개인정보처리자
① 제28조의2 또는 제28조의 3에 따라 가명정보를 처리하는 경우 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리보관, 관리하는 등 해당 정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적, 관리적 및 물리적 조치를 하여야 함
② 제28조의2 또는 제28조의3에 따라 가명정보를 처리하는 경우 처리목적 등을 고려하여 가명정보의 처리 기간을 별도로 정할 수 있다.
③ 제28조의2 또는 제28조의3에 따라 가명정보를 처리하고자 하는 경우, 가명정보의 처리 목적, 제3자 제공 시 제공받는 자, 가명정보의 처리 기간(제2항에 따라 처리 기간을 별도로 정한 경우로 한함)등 가명정보의 처리 내용을 관리하기 위해 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 하며, 가명정보를 파기한 경우에는 파기한 날부터 3년 이상 보관
제28조의5(가명정보 처리 시 금지의무 등)
① 제28조의2, 제28조의 3에 따라 가명정보를 처리하는 자는 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 안됨
② 개인정보처리자는 제28조의2, 제28조의3에 따라 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우, 즉시 해당 정보의 처리를 중지하고, 지체없이 회수, 파기해야 함
제28조의6 삭제
제4절 개인정보의 국외 이전
제28조의 8(개인정보의 국외 이전) -> 개인정보처리자
① 개인정보를 국외로 제공(조회 포함), 처리 위탁, 보관(이하 "이전")하여서는 안됨. 다만, 다음 각 호 어느 하나에 해당하는 경우 개인정보를 국외로 이전할 수 있음
1. 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우
2. 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우
3. 정보주체와의 계약 체결 및 이행을 위해 개인정보의 처리위탁, 보관이 필요한 경우로서 다음 각 목의 어느 하나에 해당하는 경우
가. 제2항 각 호의 사항을 제30조에 따른 개인정보 처리방침에 공개한 경우
나. 전자우편 등 대통령령으로 정하는 방법에 따라 제2항 각 호의 사항을 정보주체에게 알린 경우
4. 개인정보를 이전받는 자가 제32조의2에 따른 개인정보 보호인증 등 보호위원회가 정하여 고시하는 인증을 받은 경우로서 다음 각 목의 조치를 모두 한 경우
가. 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치
나. 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치
5. 개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등 이 법에 따른 개인정보보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우
② 제1항제1호에 따른 동의를 받을 때에는 미리 다음 각 호의 사항을 정보주체에게 알려야 함
1. 이전되는 개인정보 항목
2. 개인정보가 이전되는 국가, 시기 및 방법
3. 개인정보를 이전받는 자의 성명(법인인 경우 그 명칭과 연락처)
4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유, 이용 기간
5. 개인정보의 이전을 거부하는 방법, 절차 및 거부 효과
③ 제2항 각 호의 어느 하나에 해당하는 사항을 변경하는 경우, 정보주체에게 알리고 동의를 받아야 함
④ 제1항 각 호 외의 부분 단서에 따라 개인정보를 국외로 이전하는 경우 국외 이전과 관련한 이 법의 다른 규정, 제17조부터 제19조까지의 규정 및 제5장의 규정을 준수하여야 하고, 대통령령으로 정하는 보호조치를 하여야 함
⑤ 이 법을 위반하는 사항을 내용으로 하는 개인정보의 국외 이전에 관한 계약을 체결해서는 안됨
⑥ 제1항부터 제5항까지 규정한 사항 외에 개인정보 국외 이전의 기준 및 절차 등에 필요한 사항은 대통령령으로 정함
제28조의9(개인정보의 국외 이전 중지 명령)
① 보호위원회는 개인정보의 국외 이전이 계속되고 있거나 추가적인 국외 이전이 예상되는 경우로서 다음 어느 하나에 해당하는 경우, 개인정보처리자에게 개인정보의 국외 이전을 중지할 것을 명할 수 있음
1. 제28조의8제1항, 제4항 또는 제5항을 위반한 경우
2. 개인정보를 이전받는 자나 개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보 보호 수준에 비해 개인정보를 적정하게 보호하지 않아 정보주체에게 피해가 발생하거나 발생할 우려가 현저한 경우
② 개인정보처리자는 제1항에 따른 국외 이전 중지 명령을 받은 경우, 명령을 받은 날부터 7일 이내 보호위원회에 이의 제기 가능
③ 제1항에 따른 개인정보 국외 이전 중지 명령의 기준, 제2항에 따른 불복 절차 등 필요한 사항은 대통령령으로 정함
제28조의10(상호주의)
제28조의8에도 불구하고 개인정보의 국외 이전을 제한하는 국가의 개인정보처리자에 대해서는 해당 국가 수준에 상응하는 제한을 할 수 있다. 다만, 조약 또는 국제협정의 이행에 필요한 경우 그렇지 않음
제28조의11(준용규정)
제28조의8제1항 각 호 외 부분 단서에 따라 개인정보를 이전받은 자가 제3국으로 이전하는 경우, 제28조의8 및 제28조의9를 준용. 이 경우 "개인정보처리자"는 "개인정보를 이전받은 자"로, "개인정보를 이전받는 자"는 "제3국에서 개인정보를 이전받는 자"로 봄
제4장 개인정보의 안전한 관리
제29조(안전조치의무)
개인정보처리자는 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적, 관리적 및 물리적 조치를 하여야 함
제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보 처리방침")을 정해야 함. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대해 개인정보 처리방침을 정함
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우)
3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하는 경우 보존 근거와 보존하는 항목 포함)
4. 위탁에 관한 사항(해당되는 경우)
5. 정보주체와 법정대리인의 권리, 의무 및 행사방법에 관한 사항
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치, 운영 및 그 거부에 관한 사항(해당하는 경우)
8. 그 밖에 개인정보 처리에 관하여 대통령령으로 정한 사항
② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개
③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용
④ 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 준수를 권장할 수 있음
제31조(개인정보 보호책임자의 지정 등)
① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정. 다만, 종업원 수, 매출액 등이 대통령령으로 정하는 기준에 해당하는 개인정보처리자의 경우 지정하지 않을 수 있다.
② 제1항 단서에 따라 개인정보 보호책임자를 지정하지 않는 경우 개인정보처리자의 사업주 또는 대표자가 개인정보 보호책임자가 됨
③ 개인정보 보호책임자는 다음 각 호의 업무를 수행
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오남용 방지를 위한 내부통제시스템 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리, 감독
7. 그 밖의 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
④ 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대해 수시로 조사하거나 관계 당사자로부터 보고받을 수 있음
⑤ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고
⑥ 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유없이 불이익을 주거나 받게 하여서는 안됨
⑦ 개인정보처리자는 개인정보의 안전한 처리 및 보호, 정보의 교류, 그 밖에 대통령령으로 정하는 공동의 사업을 수행하기 위해 제1항에 따른 개인정보 보호책임자를 구성원으로 하는 개인정보 보호책임자 협의회를 구성, 운영 가능
⑧ 보호위원회는 제7항에 따른 개인정보 보호책임자 협의회 활동에 필요한 지원 가능
⑨ 제1항에 따른 개인정보 보호책임자의 자격요건, 제3항에 따른 업무 및 제6항에 따른 독립성 보장 등에 필요한 사항은 매출액, 개인정보의 보유 규모 등으로 고려하여 대통령령으로 정함
제31조의2(국내대리인의 지정)
① 국내 주소 또는 영업소가 없는 개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 자는 다음 각 호의 사항을 대리하는자(이하 "국내대리인")를 지정. 이 경우, 국내대리인의 지정은 문서로 하여야 함
1. 제31조제3항에 따른 개인정보 보호책임자 업무
2. 제34조제1항 및 제3항에 따른 개인정보 유출 등의 통지 및 신고
3. 제63조제1항에 따른 물품, 서류 등 자료의 제출
② 국내대리인은 국내에 주소 또는 영업소가 있어야 함
③ 개인정보처리자는 제1항에 따라 국내대리인을 지정하는 경우, 다음 각 호의 사항을 개인정보 처리방침에 포함하여야 함
1. 국내대리인의 성명(법인인 경우 명칭 및 대표자 성명)
2. 국내대리인의 주소(법인인 경우 영업소의 소재지), 전화번호 및 전자우편 주소
④ 국내대리인이 제1항 각 호와 관련하여 이 법을 위반한 경우 개인정보처리자가 그 행위를 한 것으로 봄
제32조(개인정보파일의 등록 및 공개)
① 공공기관의 장이 개인정보파일을 운용하는 경우, 다음 각 호의 사항을 보호위원회에 등록. 변경된 경우도 같음
1. 개인정보파일의 명칭
2. 개인정보파일의 운영 근거 및 목적
3. 개인정보파일에 기록되는 개인정보의 항목
4. 개인정보의 처리방법
5. 개인정보의 보유기간
6. 개인정보를 통상적 또는 반복적으로 제공하는 경우 그 제공받는 자
7. 그 밖에 대통령령으로 정하는 사항
② 다음 각 호의 어느 하나에 해당하는 개인정보파일에 대하여는 제1항을 적용하지 않음
1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
3. 조세범처벌법에 따른 범칙행위 조사 및 관세법에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
4. 일회적으로 운영되는 파일 등 지속적으로 관리할 필요성이 낮다고 인정되어 대통령령으로 정하는 개인정보파일
5. 다른 법령에 따라 비밀로 분류된 개인정보파일
③ 보호위원회는 필요하면 제1항에 따른 개인정보파일의 등록여부와 그 내용을 검토하여 해당 공공기관의 장에게 개선 권고 가능
④ 보호위원회는 정보주체의 권리 보장 등을 위하여 필요한 경우 제1항에 따른 개인정보파일의 등록 현황을 누구든지 쉽게 열람할 수 있도록 공개 가능
⑤ 제1항에 따른 등록과 제4항에 따른 공개의 방법, 범위 및 절차에 관하여 필요한 사항은 대통령령으로 정함
⑥ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관 포함)의 개인정보파일 등록 및 공개에 관해 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 함
제32조의2(개인정보 보호 인증) -> 보호위원회
① 개인정보처리자의 개인정보 처리 및 보호와 관련한 일련의 조치가 이 법에 부합하는지 등에 관하여 인증 가능
② 인증의 유효기간은 3년
③ 다음 각 호의 어느 하나에 해당하는 경우, 대통령령으로 정하는 바에 따라 제1항에 따른 인증 취소 가능. 다만, 제1호에 해당하는 경우에는 취소
1. 거짓이나 그 밖의 부정한 방법으로 개인정보 보호 인증을 받은 경우
2. 제4항에 따른 사후관리를 거부 또는 방해한 경우
3. 제8항에 따른 인증기준에 미달하게 된 경우
4. 개인정보 보호 관련 법령을 위반하고 그 위반사유가 중대한 경우
④ 개인정보 보호 인증의 실효성 유지를 위해 연 1회 이상 사후관리를 실시
⑤ 대통령령으로 정하는 전문기관으로 하여금 제1항에 따른 인증, 제3항에 따른 인증 취소, 제4항에 따른 사후관리 및 제7항에 따른 인증 심사원 관리 업무를 수행하게 할 수 있음
⑥ 제1항에 따른 인증을 받은 자는 대통령령으로 정하는 바에 따라 인증의 내용을 표시하거나 홍보 가능
⑦ 제1항에 따른 인증을 위해 필요한 심사를 수행할 심사원의 자격 및 자격 취소 요건 등에 관해서는 전문성과 경력 그 밖에 필요한 사항을 고려하여 대통령령으로 정함
⑧ 그 밖에 개인정보 관리체계, 정보주체 권리보장, 안전성 확보조치가 이 법에 부합하는지 여부 등 제1항에 따른 인증의 기준, 방법, 절차 등 필요한 사항은 대통령령으로 정함
제33조(개인정보 영향평가)
① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우, 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 "영향평가")를 하고 그 결과를 보호위원회에 제출해야 함
② 보호위원회는 대통령령으로 정하는 인력, 설비 및 그 밖에 필요한 요건을 갖춘 자를 영향평가를 수행하는 기관(이하 "평가기관")으로 지정할 수 있으며, 공공기관의 장은 영향평가를 평가기관에 의뢰하여야 함
③ 영향평가를 하는 경우 다음 각 호의 사항을 고려해야 함
1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
4. 그 밖에 대통령령으로 정한 사항
④ 보호위원회는 제1항에 따라 제출받은 영향평가 결과에 대해 의견 제시 가능
⑤ 공공기관의 장은 제1항에 따라 영향평가를 한 개인정보파일을 제32조제1항에 따라 등록할 때, 영향평가 결과를 함께 첨부
⑥ 보호위원회는 영향평가의 활성화를 위하여 관계 전문가의 육성, 영향평가 기준의 개발, 보급 등 필요한 조치를 마련해야 함
⑦ 보호위원회는 제2항에 따라 지정된 평가기관이 다음 각 호의 어느 하나에 해당하는 경우, 평가기관 지정을 취소할 수 있음. 다만, 제1호 또는 제2호에 해당하는 경우, 평가기관의 지정을 취소해야 함
1. 거짓이나 그 밖의 부정한 방법으로 지정을 받은 경우
2. 지정된 평가기관 스스로 지정취소를 원하거나 폐업한 경우
3. 제2항에 따른 지정요건을 충족하지 못하게 된 경우
4. 고의 또는 중대한 과실로 영향평가업무를 부실하게 수행하여 그 업무를 적정하게 수행할 수 없다고 인정되는 경우
5. 그 밖에 대통령령으로 정하는 사유에 해당하는 경우
⑧ 보호위원회는 제7항에 따라 지정을 취소하는 경우 행정절차법에 따른 청문을 실시해야 함
⑨ 제1항에 따른 영향평가의 기준, 방법, 절차 등에 관하여 필요한 사항은 대통령령으로 정함
⑩ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관 포함)의 영향평가에 관한 사항은 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따름
⑪ 공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우 영향평가를 하기 위해 적극 노력해야 함
제34조(개인정보 유출 등의 통지, 신고)
① 개인정보처리자는 개인정보가 분실, 도난, 유출(이하 "유출 등")되었음을 알게 되었을 때 지체없이 해당 정보주체에게 다음 각 호의 사항을 알려야 함. 다만, 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있음
1. 유출등이 된 개인정보의 항목
2. 유출등이 된 시점과 그 경위
3. 유출등으로 인해 발생할 수 있는 피해를 최소화하기 위해 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 개인정보처리자는 개인정보가 유출등이 된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 함
③ 개인정보처리자는 개인정보의 유출등이 있음을 알게 되었을 때에는 개인정보의 유형, 유출등의 경로 및 규모 등을 고려하여 대통령령으로 정하는 바에 따라 제1항 각 호의 사항을 지체없이 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 함. 이 경우 보호위원회 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있음
④ 제1항에 따른 유출등의 통지 및 제3항에 따른 유출등의 신고의 시기, 방법, 절차 등에 필요한 사항을 대통령령으로 정함
제34조의2(노출된 개인정보의 삭제, 차단) -> 개인정보처리자
① 고유식별정보, 계좌정보, 신용카드정보 등 개인정보가 정보통신망을 통하여 공중에 노출되지 않도록 해야 함
② 공중에 노출된 개인정보에 대하여 보호위원회 또는 대통령령으로 지정한 전문기관의 요청이 있는 경우 해당 정보를 삭제하거나 차단하는 등 필요한 조치를 해야 함
제5장 정보주체의 권리 보장
제35조(개인정보의 열람)
① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있음
② 제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 보호위원회를 통해 열람을 요구할 수 있음
③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 해야 함. 이 경우, 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때는, 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체없이 열람하게 하여야 함
④ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있음
1. 법률에 따라 열람이 금지되거나 제한되는 경우
2. 다른 사람의 생명, 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우
가. 조세의 부과, 징수 또는 환급에 관한 업무
나. 초,중등 교육법 및 고등교육법에 따른 각급 학교, 평생교육법에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무
다. 학력, 기능 및 채용에 관한 시험, 자격 심사에 관한 업무
라. 보상금, 급부금 산정 등에 대해 진행 중인 평가 또는 판단에 관한 업무
마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무
⑤ 제1항부터 제4항까지의 규정에 따른 열람 요구, 열람 제한, 통지 등의 방법 및 절차에 관해 필요한 사항은 대통령령으로 함
제35조의2(개인정보의 전송 요구)
① 정보주체는 개인정보 처리 능력 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 다음 각 호의 요건을 모두 충족하는 개인정보를 자신에게로 전송할 것을 요구할 수 있음
1. 정보주체가 전송을 요구하는 개인정보가 정보주체 본인에 관한 개인정보로서 다음 각 목의 어느 하나에 해당하는 정보일 것
가. 제15조제1항제1호, 제23조제1항제1호 또는 제24조제1항제1호에 따른 동의를 받아 처리되는 개인정보
나. 제15조제1항제4호에 따라 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위해 처리되는 개인정보
다. 제15조제1항제2호,제3호, 제23조제1항제2호 또는 제24조제1항제2호에 따라 처리되는 개인정보 중 정보주체의 이익이나 공익적 목적을 위하여 관계 중앙행정기관의 장의 요청에 따라 보호위원회가 심의, 의결하여 전송 요구의 대상으로 지정한 개인정보
2. 전송을 요구하는 개인정보가 개인정보처리자가 수집한 개인정보를 기초로 분석, 가공하여 별도로 생성한 정보가 아닐 것
3. 전송을 요구하는 개인정보가 컴퓨팅 등 정보처리장치로 처리되는 개인정보일 것
② 정보주체는 매출액, 개인정보의 보유 규모, 개인정보 처리 능력, 산업별 특성 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 제1항에 따른 전송 요구 대상인 개인정보를 기술적으로 허용되는 합리적인 범위에서 다음 각 호의 자에게 전송할 것을 요구할 수 있음
1. 제35조의3제1항에 따른 개인정보관리 전문기관
2. 제29조에 따른 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자
③ 개인정보처리자는 제1항 및 제2항에 따른 전송 요구를 받은 경우, 시간, 비용, 기술적으로 허용되는 합리적인 범위에서 해당 정보를 컴퓨터 등 정보처리장치로 처리 가능한 형태로 전송해야 함
④ 제1항 및 제2항에 따른 전송 요구를 받은 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 법률의 관련 규정에도 불구하고 정보주체에 관한 개인정보를 전송하여야 함
1. 국세기본법 제81조의13
2. 지방세기본법 제86조
3. 그 밖에 제1호 및 제2호와 유사한 규정으로서 대통령령으로 정하는 법률의 규정
⑤ 정보주체는 제1항 및 제2항에 따른 전송 요구를 철회활 수 있음
⑥ 개인정보처리자는 정보주체의 본인 여부가 확인되지 않는 경우 등 대통령령으로 정하는 경우에는 제1항 및 제2항에 따른 전송 요구를 거절하거나 전송을 중단할 수 있음
⑦ 정보주체는 제1항 및 제2항에 따른 전송 요구로 인하여 타인의 권리나 정당한 이익을 침해해서는 안됨
⑧ 제1항부터 제7항까지에서 규정한 사항 외에 전송 요구의 대상이 되는 정보의 범위, 전송 요구의 방법, 전송의 기한 및 방법, 전송 요구 철회의 방법, 전송 요구의 거절 및 전송 중단의 방법 등 필요한 사항은 대통령령으로 정함
제35조의3(개인정보관리 전문기관)
① 다음 각 호의 업무를 수행하려는 자는 보호위원회 또는 관계 중앙행정기관의 장으로부터 개인정보관리 전문기관의 지정을 받아야 함
1. 제35조의2에 따른 개인정보의 전송 요구권 행사 지원
2. 정보주체의 권리행사를 지원하기 위한 개인정보 전송시스템의 구축 및 표준화
3. 정보주체의 권리행사를 지원하기 위한 개인정보의 관리, 분석
4. 그 밖에 정보주체의 권리행사를 효과적으로 지원하기 위해 대통령령으로 정하는 업무
② 제1항에 따른 개인정보관리 전문기관의 지정요건은 다음 각 호와 같음
1. 개인정보를 전송, 관리, 분석할 수 있는 기술수준 및 전문성을 갖추었을 것
2. 개인정보를 안전하게 관리할 수 있는 안전성 확보조치 수준을 갖추었을 것
3. 개인정보관리 전문기관의 안정적인 운영에 필요한 재정능력을 갖추었을 것
③ 개인정보관리 전문기관은 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 안됨
1. 정보주체에게 개인정보의 전송 요구를 강요하거나 부당하게 유도하는 행위
2. 그 밖에 개인정보를 침해하거나 정보주체의 권리를 제한할 우려가 있는 행위로서 대통령령으로 정하는 행위
④ 보호위원회 및 관계 중앙행정기관의 장은 개인정보관리 전문기관이 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보관리 전문기관의 지정을 취소할 수 있음. 다만, 제1호에 해당하는 경우에는 지정을 취소하여야 함
1. 거짓이나 부정한 방법으로 지정을 받은 경우
2. 제2항에 따른 지정요건을 갖추지 못하게 된 경우
⑤ 보호위원회 및 관계 중앙행정기관의 장은 제4항에 따라 지정을 취소하는 경우에는 행정절차법에 따른 청문을 실시
⑥ 보호위원회 및 관계 중앙행정기관의 장은 개인정보관리 전문기관에 대해 업무 수행에 필요한 지원을 할 수 있음
⑦ 개인정보관리 전문기관은 정보주체의 요구에 따라 제1항 각 호의 업무를 수행하는 경우 정보주체로부터 그 업무 수행에 필요한 비용을 받을 수 있음
⑧ 제1항에 따른 개인정보관리 전문기관의 지정 절차, 제2항에 따른 지정요건의 세부기준, 제4항에 따른 지정취소의 절차 등에 필요한 사항은 대통령령으로 정함
제35조의4(개인정보 전송 관리 및 지원)
① 보호위원회는 제35조의2제1항 및 제2항에 따른 개인정보처리자 및 제35조의3제1항에 따른 개인정보관리 전문기관 현황, 활용내역 및 관리실태 등을 체계적으로 관리, 감독
② 보호위원회는 개인정보가 안전하고 효율적으로 전송될 수 있도록 다음 각 호의 사항을 포함한 개인정보 전송 지원 플랫폼을 구축, 운영할 수 있다
1. 개인정보관리 전문기관 현황 및 전송 가능한 개인정보 항목 목록
2. 정보주체의 개인정보 전송 요구, 철회 내역
3. 개인정보의 전송 이력 관리 등 지원 가능
4. 그 밖에 개인정보 전송을 위하여 필요한 사항
③ 보호위원회는 제2항에 따른 개인정보 전송지원 플랫폼의 효율적 운영을 위하여 개인정보관리 전문기관에서 구축, 운영하고 있는 전송 시스템을 상호 연계하거나 통합 가능. 이 경우, 관계 중앙행정기관의 장 및 해당 개인정보관리 전문기관과 사전에 협의
④ 제1항부터 제3항까지의 규정에 따른 관리, 감독과 개인정보 전송지원 플랫폼의 구축 및 운영에 필요한 사항은 대통령령으로 정함
제36조(개인정보의 정정, 삭제)
① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있음. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우, 삭제를 요구 할 수 없음
② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 땐 개인정보의 정정 또는 삭제에 관해 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고 지체없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정, 삭제 등 필요한 조치를 한 후 결과를 정보주체에게 알려야 함
③ 개인정보처리가 제2항에 따라 개인정보를 삭제할 땐 복구 또는 재생되지 않아야 함
④ 개인정보처리자는 정보주체의 요구가 제1항 단서에 해당될 때 지체없이 그 내용을 정보주체에게 알려야 함
⑤ 개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주체에게 정정, 삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있음
⑥ 제1항, 제2항 및 제4항에 따른 정정 또는 삭제 요구, 통지 방법 및 절차 등에 필요한 사항은 대통령령으로 정함
제37조(개인정보의 처리정지 등)
① 정보주체는 개인정보처리자에 대해 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있음. 이 경우, 공공기관에 대해서는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있음
② 개인정보처리자는 제1항에 따른 처리정지 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리 전부를 정지하거나 일부를 정지하여야 함. 다만, 다음 각 호의 어느 하나에 해당하는 경우 정보주체의 처리정지 요구를 거절할 수 있음
1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위해 불가피한 경우
2. 다른 사람의 생명, 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 개인정보를 처리하지 않으면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
4. 개인정보를 처리하지 않으면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 않은 경우
③ 개인정보처리자는 정보주체가 제1항에 따라 동의를 철회한 때에는 지체 없이 수집된 개인정보를 복구 및 재생할 수 없도록 파기하는 등 필요한 조치를 하여야 함. 다만 , 제2항 각 호의 어느 하나에 해당하는 경우에는 동의 철회에 따른 조치를 하지 않을 수 있음
④ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하거나 제3항 단서에 따라 동의 철회에 따른 조치를 하지 않았을 때에는 정보 주체에게 지체없이 그 사유를 알려야 함
⑤ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대해 지체없이 해당 개인정보의 파기 등 필요한 조치를 하여야 함
⑥ 제1항부터 제5항까지의 규정에 따른 처리정지의 요구, 동의 철회, 처리 정지의 거절, 통지 등의 방법 및 절차에 필요한 사항은 대통령령으로 정함
제37조의2(자동화된 결정에 대한 정보주체의 권리 등)
① 정보주체는 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템 포함)으로 개인정보를 처리하여 이루어지는 결정(행정기본법 제20조에 따른 행정청의 자동적 처분은 제외하며, "자동화된 결정"이라 한다)이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 개인정보처리자에 대하여 해당 결정을 거부할 수 있는 권리를 가짐. 다만, 자동화된 결정이 제15조제1항제1호, 제2호 및 제4호에 따라 이루어지는 경우에는 그러지 않음
② 정보주체는 개인정보처리자가 자동화된 결정을 한 경우 그 결정에 대해 설명 등을 요구할 수 있음
③ 개인정보처리자는 제1항 또는 제2항에 따라 정보주체가 자동화된 결정을 거부하거나 이에 대한 설명 등을 요구한 경우, 정당한 사유가 없는 한 자동화된 결정을 적용하지 않거나 인적 개입에 의한 재처리, 설명 등 필요한 조치를 하여야 함
④ 개인정보처리자는 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개하여야 함
⑤ 제1항부터 제4항까지에서 규정한 사항 외에 자동화된 결정의 거부, 설명 등을 요구하는 절차 및 방법, 거부, 설명 등의 요구에 따른 필요한 조치, 자동화된 결정의 기준, 절차 및 개인정보가 처리되는 방식의 공개 등에 필요한 사항은 대통령령으로 정함
제38조(권리행사의 방법 및 절차)
① 정보주체는 제35조에 따른 열람, 제35조의2에 따른 전송, 제36조에 따른 정정, 삭제, 제37조에 따른 처리 정지 및 동의 철회, 제37조의2에 따른 거부, 설명 등의 요구(이하 "열람등요구")를 문서 등 대통령령으로 정하는 방법, 절차에 따라 대리인에게 하게 할 수 있음
② 만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동의 개인정보 열람등요구를 할 수 있음
③ 개인정보처리자는 열람등요구를 하는 자에게 대통령령으로 정하는 바에 따라 수수료와 우송료(사본의 우송을 청구하는 경우에 한함)를 청구할 수 있음. 다만, 제35조의2제2항에 따른 전송 요구의 경우, 전송을 위해 추가로 필요한 설비 등을 함께 고려하여 수수료를 산정할 수 있음
④ 개인정보처리자는 정보주체가 열람등요구를 할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개해야 함. 이 경우 열람등요구의 방법과 절차는 해당 개인정보의 수집 방법과 절차보다 어렵지 않도록 해야 함
⑤ 개인정보처리자는 정보주체가 열람등요구에 대한 거절 등 조치에 대해 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하고 안내하여야 함
제39조(손해배상책임)
① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있음. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 않으면 책임을 면할 수 없음
② 삭제
③ 개인정보처리자의 고의 또는 중대한 과실로 인해 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 5배를 넘지 않는 범위에서 손해배상액을 정할 수 있음. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우, 그렇지 않음
④ 법원은 제3항의 배상액을 정할 때 다음 각 호의 사항을 고려하여야 함
1. 고의 또는 손해 발생의 우려를 인식한 정도
2. 위반행위로 인해 입은 피해 규모
3. 위법행위로 인해 개인정보처리자가 취득한 경제적 이익
4. 위반행위에 따른 벌금 및 과징금
5. 위반행위의 기간, 횟수 등
6. 개인정보처리자의 재산상태
7. 개인정보처리자가 정보주체의 개인정보 분실, 도난, 유출 후 해당 개인정보를 회수하기 위해 노력한 정도
8. 개인정보처리자가 정보주체의 피해구제를 위해 노력한 정도
제39조의2(법정손해배상의 청구)
① 제39조제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인해 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손된 경우, 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있음. 이 경우, 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 않으면 책임을 면할 수 없음
② 법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있음
③ 제39조에 따라 손해배상을 청구한 정보주체는 사실심의 변론이 종결되기 전까지 그 청구를 제1항에 따른 청구로 변경 가능
제6장 삭제
제39조의3(자료의 제출)
① 법원은 이 법을 위반한 행위로 인한 손해배상청구소송에서 당사자의 신청에 따라 상대방 당사자에게 해당 손해의 증명 또는 손해액의 산정에 필요한 자료의 제출을 명할 수 있음. 다만, 제출명령을 받은 자가 그 자료의 제출을 거부할 정당한 이유가 있으면 그렇지 않음
② 법원은 제1항에 따른 제출명령을 받은 자가 그 자료의 제출을 거부할 정당한 이유가 있다고 주장하는 경우, 그 주장의 당부를 판단하기 위해 자료의 제시를 명할 수 있음. 이 경우 법원은 그 자료를 다른 사람이 보게 해서는 안됨
③ 제1항에 따라 제출되어야 할 자료가 부정경쟁방지 및 영업비밀보호에 관한 법률 제2조제2호에 따른 영업비밀(이하 "영업비밀")에 해당하는 손해의 증명 또는 손해액의 산정에 반드시 필요한 경우 제1항 단서에 따른 정당한 이유로 보지 않음. 이 경우 법원은 제출 명령의 목적 내에서 열람할 수 있는 범위 또는 열람할 수 있는 사람을 지정해야 함
④ 법원은 제1항에 따른 제출명령을 받은 자가 정당한 이유 없이 그 명령에 따르지 않은 경우 자료의 기재에 대한 신청인의 주장을 진실한 것으로 인정
⑤ 법원은 제4항에 해당하는 경우 신청인이 자료의 기재에 관해 구체적으로 주장하기에 현저히 곤란한 사정이 있고 자료를 증명할 사실을 다른 증거로 증명하는 것을 기대하기도 어려운 경우, 신청인이 자료의 기재로 증명하려는 사실에 관한 주장을 진실한 것으로 인정
제39조의4(비밀유지명령)
① 법원은 이 법을 위반한 행위로 인한 손해배상청구소송에서 당사자의 신청에 따른 결정으로 다음 각 호의 자에게 당사자가 보유한 영업비밀을 해당 소송의 계속적인 수행 외의 목적으로 사용하거나 그 영업비밀에 관계된 이 항에 따른 명령을 받은 자 외의 자에게 공개하지 않을 것을 명할 수 있음. 다만, 그 신청 시점까지 다음 각 호의 자가 준비서면의 열람이나 증거조사 외의 방법으로 그 영업비밀을 이미 취득하고 있는 경우 그렇지 않음
1. 다른 당사자(법인인 경우 그 대표자)
2. 당사자를 위해 해당 소송을 대리하는 자
3. 그 밖에 해당 소송으로 영업비밀을 알게 된 자
② 제1항에 따른 명령(이하 "비밀유지명령")을 신청하는 자는 다음 각 호의 사유를 모두 소명해야 함
1. 이미 제출하였거나 제출하여야 할 준비서면, 이미 조사하였거나 조사하여야 할 증거 또는 제39조의3제1항에 따라 제출하였거나 제출하여야 할 자료에 영업비밀이 포함되어 있다는 것
2. 제1호의 영업비밀이 해동 소송 수행 외의 목적으로 사용되거나 공개되면 당사자의 영업에 지장을 줄 우려가 있어 이를 방지하기 위해 영업 비밀의 사용 또는 공개를 제한할 필요가 있다는 것
③ 비밀유지명령의 신청은 다음 각 호의 사항을 적은 서면으로 하여야 함
1. 비밀유지명령을 받을 자
2. 비밀유지명령의 대상이 될 영업비밀을 특정하기에 충분한 사실
3. 제2항 각 호의 사유에 해당하는 사실
④ 법원은 비밀유지명령이 결정된 경우, 그 결정서를 비밀유지명령을 받을 자에게 송달
⑤ 비밀유지명령은 제4항의 결정서가 비밀유지명령을 받을 자에게 송달된 때부터 효력이 발생
⑥ 비밀유지명령의 신청을 기각하거나 각하한 재판에 대해서는 즉시항고 할 수 있음
제39조의5(비밀유지명령의 취소)
① 비밀유지명령을 신청한 자 또는 비밀유지명령을 받은 자는 제39조의4제2항 각 호의 사유에 부합하지 않는 사실이나 사정이 있는 경우 소송기록을 보관하고 있는 법원에 비밀유지명령의 취소를 신청 가능
② 법원은 비밀유지명령의 취소신청에 대한 재판이 있는 경우 그 결정서를 그 신청을 한 자 및 상대방에게 송달
③ 비밀유지명령의 취소신청에 대한 재판에 대해서는 즉시항고 가능
④ 비밀유지명령을 취소하는 재판은 확정되어야 효력이 발생
⑤ 비밀유지명령을 취소하는 재판을 한 법원은 비밀유지명령의 취소신청을 한 자 또는 상대방 외에 해당 영업비밀에 관한 비밀유지명령을 받은 자가 있는 경우 그 자에게 즉시 비밀유지명령의 취소 재판을 한 사실을 알려야 함
제39조의6(소송기록 열람 등의 청구 통지 등)
① 비밀유지명령이 내려진 소송(비밀유지명령이 취소된 소송은 제외)에 관한 소송기록에 대해 인사소송법 제163조제1항에 따라 열람 등의 신청인을 당사자로 제한하는 결정이 있었던 경우로서 당사자가 같은 항에서 규정하는 비밀 기재부분의 열람 등의 청구를 하였으나 그 청구 절차를 해당 소송에서 비밀유지명령을 받지 않은 자가 밟은 경우 법원서기관, 법원사무관, 법원주사 또는 법원주사보(이하 "법원사무관등")는 같은 항의 신청을 한 당사자(열람 등의 청구를 한 자는 제외)에게 그 청구 직후에 그 열람 등의 청구가 있었다는 사실을 알려야 함
② 법원사무관등은 제1항의 청구가 있었던 날부터 2주일이 지날 때까지(그 청구 절차를 밟은 자에 대한 비밀유지명령 신청이 그 기간 내에 이루어진 경우, 그 신청에 대한 재판이 확정되는 시점까지) 그 청구 절차를 밟은 자에게 제1항의 비밀 기재부분의 열람 등을 하게 하여서는 안됨
③ 제2항은 제1항의 열람 등의 청구를 한 자에게 제1항의 비밀 기재부분의 열람 등을 하게 하는 것에 대하여 민사소송법 제163조제1항의 신청을 한 당사자 모두가 동의하는 경우 적용되지 않음
제39조의7(손해배상의 보장)
① 개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 제39조 및 제39조의2에 따른 손해배상책임의 이행을 위해 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 함
② 제1항에도 불구하고 다음 각 호 어느 하나에 해당하는 자는 제1항에 따른 조치를 하지 않을 수 있음
1. 대통령령으로 정하는 공공기관, 비영리법인 및 단체
2. 소상공인기본법 제2조제1항에 따른 소상공인으로서 대통령령으로 정하는 자에게 개인정보 처리를 위탁한 자
3. 다른 법률에 따라 제39조 및 제39조의2에 따른 손해배상책임의 이행을 보장하는 보험 또는 공제에 가입하거나 준비금을 적립한 개인정보처리자
③ 제1항 및 제2항에 따른 개인정보처리자의 손해배상책임 이행 기준 등에 필요한 사항은 대통령령으로 정함
제39조의8 삭제
제39조의 9(손해배상의 보장)
① 정보통신서비스 제공자 등은 제39조 및 제39조의2에 따른 손해배상책임의 이행을 위해 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 함
② 제1항에 따른 가입 대상 개인정보처리자의 범위, 기준 등에 필요한 사항은 대통령령으로 정함
'<Laws> > <개인정보보호법>' 카테고리의 다른 글
| [03] 개인정보의 수집, 처리 제한 (1) | 2023.11.02 |
|---|---|
| [02] 개인정보의 정의 (0) | 2023.10.30 |