<B0B3C0CEC1A4BAB85FBAB8C8A3B9FDB7C95FB9D75FC1F6C4A7B0EDBDC35FC7D8BCB3BCAD C3D6C1BE292E687770>

Size: px

Start display at page:

Download "<B0B3C0CEC1A4BAB85FBAB8C8A3B9FDB7C95FB9D75FC1F6C4A7B0EDBDC35FC7D8BCB3BCAD2831323233C3D6C1BE292E687770>"

동환 초
9 years ago
Views:

1 개인정보 보호법령 및 지침 고시 해설 행정안전부

2 본 해설서는 개인정보 보호법, 동법 시행령 시행규칙 및 표준지침 고시의 적용기준을 제시 하기 위한 용도로 제작되었습니다. 법령에 대한 구체적인 유권해석은 행정안전부로 문의하여 주시기 바랍니다.

4 약어 설명 o 중앙행정기관명 - 방송통신위원회 : 방통위 - 국가보훈처 : 보훈처 - 공정거래위원회 : 공정위 - 금융위원회 : 금융위 - 교육과학기술부 : 교과부 - 외교통상부 : 외교부 - 행정안전부 : 행안부 - 문화체육관광부 : 문화부 - 농림수산식품부 : 농림부 - 지식경제부 : 지경부 - 보건복지부 : 복지부 - 국토해양부 : 국토부 - 고용노동부 : 고용부 - 소방방재청 : 소방청 - 농촌진흥청 : 농진청 - 중소기업청 : 중기청 o 법률명 - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 : 정보통신망법 - 신용정보의 이용 및 보호에 관한 법률 : 신용정보법 - ( 舊 )공공기관의 개인정보보호에 관한 법률 : 공공기관 개인정보보호법 - 표준 개인정보보호 지침 : 표준지침 - 개인정보의 안전성 확보조치 기준 고시 : 안전성 확보조치 고시 - 개인정보 영향평가에 관한 고시 : 영향평가 고시 - i -

농촌진흥청 : 농진청 - 중소기업청 : 중기청 o 법률명 - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 : 정보통신망법 - 신용정보의 이용 및 보호에 관한 법률 : 신용정보법 - ( 舊 )공공기관의

5 목 차 제1장 총칙 1 제1조 법률의 목적 3 제2조 용어의 정의 5 제3조 개인정보 보호원칙 29 제4조 정보주체의 권리 32 제5조 국가 등의 책무 36 제6조 다른 법률과의 관계 37 제2장 개인정보 보호정책의 수립 등 47 제7조, 제8조 개인정보 보호위원회 및 기능 등 49 제9조~제11조 기본계획 및 시행계획, 자료제출 요구 등 55 제12조 개인정보 보호지침 60 제13조 자율규제의 촉진 및 지원 62 제14조 국제협력 65 제3장 개인정보의 처리 67 제1절 개인정보의 수집, 이용, 제공 등 69 제15조 개인정보의 수집 이용 69 제16조 개인정보의 수집 제한 88 제17조 개인정보의 제공 91 제18조 개인정보의 이용 제공 제한 102 제19조 개인정보를 제공받은 자의 이용 제공 제한 118 제20조 정보주체 이외로부터 수집한 개인정보의 수집출처 등 고지 120 제21조 개인정보의 파기 124 제22조 동의를 받는 방법 130 제2절 개인정보의 처리 제한 140 제23조 민감정보의 처리 제한 140 제24조 고유식별정보의 처리 제한 ii -

수집, 이용, 제공 등 69 제15조 개인정보의 수집 이용 69 제16조 개인정보의 수집 제한 88 제17조 개인정보의 제공 91 제18조 개인정보의 이용 제공 제한 102 제19조 개인정보를 제공받은 자의 이용 제공 제한 118 제20조

6 제25조 영상정보처리기기의 설치 운영 제한 154 제26조 업무위탁에 따른 개인정보의 처리 제한 180 제27조 영업양도 등에 따른 개인정보의 이전 제한 191 제28조 개인정보취급자에 대한 감독 196 제4장 개인정보의 안전한 관리 199 제29조 안전조치의무 201 제30조 개인정보 처리방침의 수립 및 공개 215 제31조 개인정보 관리책임자의 지정 223 제32조 개인정보파일의 등록 및 공개 231 제33조 개인정보 영향평가 243 제34조 개인정보 유출 통지 등 범위 273 제5장 정보주체의 권리 보장 281 제35조 개인정보의 열람 283 제36조 개인정보의 정정 삭제 291 제37조 개인정보의 처리정지 등 296 제38조 권리행사방법 및 절차 등 300 제39조 손해배상책임 307 제6장 개인정보분쟁조정위원회 313 제40조 개인정보분쟁조정위원회의 설치 및 구성 등 315 제41조, 제42조 위원의 신분보장 등 321 제43조~제48조 분쟁조정의 신청 및 효력 등 323 제49조 집단분쟁조정 329 제50조 조정절차 등 336 제7장 개인정보 단체소송 337 제51조~제53조 단체소송의 대상, 전속관할 등 339 제54조, 제55조 소송허가신청 및 허가요건 343 제56조 확정판결의 효력 345 제57조 민사소송법의 적용 등 iii -

삭제 291 제37조 개인정보의 처리정지 등 296 제38조 권리행사방법 및 절차 등 300 제39조 손해배상책임 307 제6장 개인정보분쟁조정위원회 313 제40조 개인정보분쟁조정위원회의 설치 및 구성 등 315 제41조, 제42조 위원의 신분보장 등 321 제43조~제48조 분쟁조정의

7 제8장 보칙 349 제58조 적용의 일부제외 351 제59조 금지행위 358 제60조 비밀유지 등 361 제61조 의견제시 및 개선권고 364 제62조 침해사실의 신고 등 367 제63조 자료제출 요구 및 검사 369 제64조~제66조 시정조치, 고발 및 징계권고 등 373 제67조 연차보고 379 제68조 권한의 위임 위탁 380 제69조 벌칙 적용 시의 공무원 의제 382 제9장 벌칙 383 제70조~제74조 벌칙 및 양벌규정 385 제75조 과태료 390 부 칙 397 제1조 시행일 399 제2조 다른 법률의 폐지 402 제3조 개인정보 분쟁조정위원회에 관한 경과조치 403 제4조 처리 중인 개인정보에 관한 경과조치 404 제5조 벌칙의 적용에 관한 경과조치 407 제6조 다른 법률의 개정 408 제7조 다른 법령과의 관계 411 부 록 개인정보 보호법 시행령 시행규칙 별표/서식 iv -

제70조~제74조 벌칙 및 양벌규정 385 제75조 과태료 390 부 칙 397 제1조 시행일 399 제2조 다른 법률의 폐지 402 제3조 개인정보 분쟁조정위원회에 관한 경과조치 403 제4조 처리

8 제1장 총 칙 제1조 제2조 제3조 제4조 제5조 제6조 법의 목적 용어 정의 개인정보 보호원칙 정보주체의 권리 국가 등의 책무 다른 법률과의 관계

10 제1조 법률 시행령 시행규칙 표준지침 및 고시 법의 목적 제1조(목적) 이 법은 개인정보의 수집 유출 오용 남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 한다. 제1조(목적) 이 영은 개인정보 보호법 에서 위임된 사항과 그 시행에 관하여 필요한 사항을 규정함을 목적으로 한다. 제1조(목적) 이 규칙은 개인정보 보호법 및 같은 법 시행령에서 위임된 사항과 그 시행에 관하여 필요한 사항을 규정함을 목적으 로 한다. 제1조(목적) 이 표준 개인정보보호 지침(이하 표준지침 이라 한다)은 개인정보 보호법 (이하 법 이라 한다) 제12조제1항에 따라 개인정보처 리자가 준수하여야 하는 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정함을 목적으로 한다. <개인정보 안전성 확보조치 기준 고시> 제1조(목적) 이 기준은 개인정보 보호법 (이하 법 이라 한다)제24조제3항 및 제29조 와 같은 법 시행령(이하 영 이라 한다) 제 21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분 실 도난 유출 변조 훼손 되지 아니하도 록 안전성을 확보하기 위하여 취하여야 하 는 세부적인 기준을 정하는 것을 목적으로 한다. <개인정보 영향평가에 관한 고시> 제1조(목적) 이 고시 는 개인정보 보호법 시행령 (이하 시행 령 이라 한다) 제38조 에 따른 평가기관의 지정 및 영향평가의 절차 등에 관한 세부 기준을 정함을 목적으 로 한다. 제 1 조 이 법의 입법 목적은 개인정보의 유출 오용 남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고 개인의 존엄과 가치를 구현하기 위하여 개인정보의 처리에 관한 사항을 규정하는 것이다. 이에 따라 이 법은 개인정보의 수집 이용 제공 등 개인정보처리에 관한 기본원 칙, 개인정보의 처리 절차 및 방법, 개인정보 처리의 제한, 개인정보의 안전한 처 리를 위한 관리 감독, 정보주체의 권리, 개인정보 권리 침해에 대한 구제 등에 대 하여 규정하고 있다.

제1조(목적) 이 표준 개인정보보호 지침(이하 표준지침 이라 한다)은 개인정보 보호법 (이하 법 이라 한다) 제12조제1항에 따라 개인정보처 리자가 준수하여야 하는 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정함을 목적으로 한다.

11 우리나라 헌법재판소는 인간의 존엄과 가치 및 행복추구권을 규정하고 있는 헌법 제10조 제1문에서 도출되는 일반적 인격권과 헌법 제17조에 의하 여 보호받고 있는 사생활의 비밀과 자유를 근거 규정으로 하여 우리나라 헌 법 상으로도 개인정보자기통제권 이 기본권으로 보장되고 있다고 보고 있다. 개인정보자기통제권이란 자신에 관한 정보가 언제 누구에게 어느 범위까지 알 려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리, 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 통제 결정할 수 있는 권 리를 말한다. 참고 대한민국 헌법 제10조 모든 국민은 인간으로서의 존엄과 가치를 가지며, 행복을 추구할 권리를 가진다. 국가는 개 인이 가지는 불가침의 기본적 인권을 확인하고 이를 보장할 의무를 진다. 참고 대한민국 헌법 제17조 모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다. 참고 개인정보자기결정권 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반 적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보 자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되 도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 즉 정보주체가 개 인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다. 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사( 私事 )의 영역에 속하는 정 보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한 다. 또한 그러한 개인정보를 대상으로 한 조사ㆍ수집ㆍ보관ㆍ처리ㆍ이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다. (헌법재판소 판결 : 헌 재 헌마513등, 공보 105, 666, 672)

국가는 개 인이 가지는 불가침의 기본적 인권을 확인하고 이를 보장할 의무를 진다. 참고 대한민국 헌법 제17조 모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다.

12 제2조 용어 정의 법률 시행령 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다 1. 개인정보 란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다. 2. 처리 란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정( 訂正 ), 복구, 이용, 제공, 공개, 파기( 破棄 ), 그 밖 에 이와 유사한 행위를 말한다. 3. 정보주체 란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. 4. 개인정보파일 이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물( 集合物 )을 말한다. 5. 개인정보처리자 란 업무를 목적으로 개인정보파일을 운용하기 위 하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기 관, 법인, 단체 및 개인 등을 말한다. 6. 공공기관 이란 다음 각 목의 기관을 말한다. 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리 하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관 을 포함한다) 및 그 소속 기관, 지방자치단체 나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관 7. 영상정보처리기기 란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유 무선망을 통하여 전송하는 장치 로서 대통령령으로 정하는 장치를 말한다. 제2조(공공기관의 범위) 개인정보 보호법 (이하 법 이라 한다) 제2조제6호나목에서 대통령령으로 정하는 기관 이란 다음 각 호의 기관을 말한다. 1. 국가인권위원회법 제3조에 따른 국가인권위원회 2. 공공기관의 운영에 관한 법률 제4조에 따른 공공기관 3. 지방공기업법 에 따른 지방공사와 지방공단 4. 특별법에 따라 설립된 특수법인 5. 초ㆍ중등교육법, 고등교육법, 그 밖의 다른 법률에 따라 설치된 각급 학교 제3조(영상정보처리기기의 범위) 법 제2조제7호에서 대통령령으로 정 하는 장치 란 다음 각 호의 장치를 말한다. 1. 폐쇄회로 텔레비전: 다음 각 목의 어느 하나에 해당하는 장치 가. 일정한 공간에 지속적으로 설치된 카메라를 통하여 영상 등을 촬 영하거나 촬영한 영상정보를 유무선 폐쇄회로 등의 전송로를 통하 여 특정 장소에 전송하는 장치 나. 가목에 따라 촬영되거나 전송된 영상정보를 녹화ㆍ기록할 수 제 2 조

개인정보파일 이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물( 集合物 )을 말한다. 5. 개인정보처리자 란 업무를 목적으로 개인정보파일을 운용하기 위 하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기 관, 법인, 단체 및 개인 등을 말한다. 6.

13 있도록 하는 장치 2. 네트워크 카메라: 일정한 공간에 지속적으로 설치된 기기로 촬영 한 영상정보를 그 기기를 설치ㆍ관리하는 자가 유무선 인터넷을 통 하여 어느 곳에서나 수집ㆍ저장 등의 처리를 할 수 있도록 하는 장치 개인정보 보호법 은 일반법이므로 사람 장소 사항 등에 특별한 제한이 없이 일반적으로 적용되지만, 사적인 영역에서 개개인이 보유하는 개인정보를 모두 보 호대상으로 하지는 않으므로 그 보호대상과 규율범위를 명확히 할 필요가 있다. 따라서 개인정보 보호의 사각지대 해소를 위하여 법률의 적용범위를 확대하면서 도, 개인의 사적 영역에 대한 지나친 규제가 되지 않도록 적절한 수준에서 적용범 위를 정의하고자 하였다. 제1호 개인정보 1. 개인정보 란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없 더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다. 1. 개인정보(제2조제1호) 법 제2조제1호는 개인정보의 구성요소로 1) 살아 있는 개인, 2) 특정 개인과의 관련성, 3) 정보의 임의성, 4) 식별 가능성을 적시하고 있다. 가. 살아 있는 개인 이 법에 따른 개인정보는 현재 생존( 生存 )하고 있는 개인 에 관한 정보에 한한다. 사망한 자에 관한 정보도 개인정보의 개념에 포함시키고 있는 국가도 일부 있으나 (뉴질랜드, 캐나다 등), 대부분의 국가에서는 생존하고 있는 개인 에 관한 정보만을 보호의 대상으로 하고 있다. 따라서, 이미 사망하였거나 실종선고 등 관계 법령에 의해 사망한 것으로 간주 되는 자에 관한 정보는 개인정보로 볼 수 없다. 다만, 사망자의 정보가 사망자와 유족과의 관계를 나타내는 정보이거나 유족 등의 사생활을 침해하는 등의 경우에 는 사망자 정보인 동시에 관계되는 유족의 정보이기도 하므로 이 법에 따른 보호 대상이 될 수 있다.

하지는 않으므로 그 보호대상과 규율범위를 명확히 할 필요가 있다. 따라서 개인정보 보호의 사각지대 해소를 위하여 법률의 적용범위를 확대하면서 도, 개인의 사적 영역에 대한 지나친 규제가 되지 않도록 적절한 수준에서 적용범 위를 정의하고자 하였다. 제1호 개인정보 1.

14 참고 사자( 死者 )의 정보가 원칙적으로 배제되는 이유 개인정보의 보호법익이라고 할 수 있는 프라이버시권(사생활의 비밀과 자유)은 인격권 으로서 권리의 주체와 분리할 수 없는 인격적 이익을 그 내용으로 하기 때문에, 상속이 불가능하고 사망자의 정보에 대해 권리를 행사할 주체가 존재하지 않게 되므로, 보호대상이 되는 개인정보의 주체를 생존하는 개인에 한함 한편, 이 법에서 개인정보의 주체는 현재 생존하고 있는 자연인( 自然人 )을 의미한다. 따라서 법인( 法人 )이나 단체에 관한 정보는 원칙적으로 개인정보에 해당하지 않는다. 예를 들어 법인 또는 단체의 이름(상호), 사업자등록번호, 영업소 주소 및 전화번호, 대표자 성명 등 임원 현황, 자산 또는 자본의 규모, 주가, 영업실적, 납세실적, 영업비밀 등은 이 법에 따른 보호대상에 해당하지 않는다. 다만 기업의 영업비밀은 부정경쟁방지 및 영업비밀보호에 관한 법률 에 의하여 보호를 받는다. 나. 특정 개인과의 관련성 이 법에 따른 개인정보는 살아 있는 개인에 관한 정보이어야 한다. 즉 특정한 개인에 대한 사실, 판단, 평가 등 그 개인과 관련성을 지닌 정보여야 한다. 특정 개인과 관련성 을 지니는 정보란, 일반적으로 특정 개인의 정체성 (identity)을 구별하거나 밝혀낼 수 있는 정보(성명, 주민등록번호, 생일, 주소, 바 이오정보 등) 및 특정 개인의 과거 및 현재의 상황이나 상태를 나타낼 수 있는 정보(교육상황, 재정상황, 진료 및 건강 상태 등)가 이에 해당할 수 있다. 반면, 특정 개인을 알아볼 수 없도록 가공되었거나 통계적으로 변환된 경우에는 특정 개인과의 관련성이 없고 식별이 어려우므로 개인정보에 해당하지 않는다. 예를 들어 특정 단체 임원들의 평균연봉, 특정 대학의 해당연도 졸업생의 취업률 등의 정보는 단지 전체적인 통계적 정보만을 보여줄 뿐 특정 개인과의 관련성이 없는 정보이므로 개인정보에 해당하지 않는다. 다. 정보의 임의성 법 제2조제1호는 개인정보를 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 라고만 규정하고 있을 뿐 정보의 종류, 형태, 성격, 형식 등에 대해서는 특별한 제한을 두고 있지 않다. 따라서 개인을 알아볼 수 있는 정보에 해당하는 한, 모든 종류 및 모든 형태의 정보가 개인정보가 될 수 있다.

예를 들어 법인 또는 단체의 이름(상호), 사업자등록번호, 영업소 주소 및 전화번호, 대표자 성명 등 임원 현황, 자산 또는 자본의 규모, 주가, 영업실적, 납세실적, 영업비밀 등은 이 법에 따른 보호대상에 해당하지 않는다. 다만 기업의 영업비밀은 부정경쟁방지 및 영업비밀보호에 관한 법률 에 의하여 보호를 받는다. 나.

15 예를 들어 특정 개인의 신장, 체중, 나이 등 객관적 사실에 관한 정보에서부터, 직장에서 직원에 대한 근무평가나 금융기관에서 개인의 신용도 평가 등 그 사람에 대한 제3자의 의견 평가와 같은 주관적 정보도 개인정보에 해당된다. 또한 개인 정보가 되기 위해서는 그 정보가 반드시 사실이거나 증명될 필요는 없으며, 심지어 부정확한 정보 또는 허위의 정보라도 특정한 개인과 관련성을 지닌다면 개인정보가 될 수 있다. 정보의 처리 형식이나 처리 매체에도 제한이 없다. 컴퓨터 등에 저장된 문서 파일 등 전자기( 電磁氣 )적 형태의 정보, 종이문서에 기록된 수기( 手記 ) 형태의 정보, 녹음된 음성정보, CCTV에 찍힌 영상정보, 기타 문자ㆍ부호ㆍ그림ㆍ숫자ㆍ사진ㆍ 그래픽ㆍ이미지ㆍ음성ㆍ음향ㆍ영상ㆍ화상 등의 형태로 처리된 정보도 모두 포함 될 수 있다. 라. 식별 가능성 이 법에 따른 개인정보는 개인을 알아볼 수 있는 정보이어야 한다. 즉 특정한 개인을 식별할 수 있는 정보가 개인정보에 해당한다. 여기에서 식별 이란 특정 개인을 다른 사람과 구분하거나 구별할 수 있다는 의미이다. 예를 들어 대한민국의 국민 중에서 특정 개인을 구분할 수 있는 신원정보(성 명, 주민등록번호, 본적, 주소 등), 학교 직장 단체 등 소속된 곳에서 특정 개 인을 구분할 수 있는 정보(성명, 학번, 사번, 학년, 직급 등), 기업의 고객 중에서 특정 개인을 구분할 수 있는 정보(성명, ID 등 고객관리정보, 결재정보, 재화 용역 공급을 위한 주소지 및 연락처) 등이 이에 해당한다. 이 외에도 개인의 사적 생활관계와 연관되어 그 개인을 타인과 구분하거나 구별 할 수 있는 정보라면 모두 개인정보에 해당될 수 있다. 또한 여기에서 개인을 알아볼 수 있는 정보라는 것은, 사전에 친분 관계 등이 있는 사람이 특정 개인을 알아보는 것 뿐만 아니라, 그 특정 개인을 전혀 모르던 사람이더라도 객관적으로 그 특정 개인을 다른 사람과 구분 구별할 수 있다면 모두 개인정보에 포함될 수 있다는 의미이다. 개인정보의 식별성과 관련하여 주의할 점은, 한가지 정보만으로는 특정인을 알 아볼 수 없는 경우가 많이 존재한다는 것이다. 예를 들어 성명만 있는 경우에는 만약 동명이인이 존재한다면 특정인을 구별할 수 없게 된다. 따라서 개인정보의 식별성이란 곧 정보의 결합 또는 조합을 통하여 특정 개인을 구분 구별하는 것을 의미한다고 할 수 있다. 이에 따라서 법 제2조제1호에서는 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것 을 포함시키고 있다.

컴퓨터 등에 저장된 문서 파일 등 전자기( 電磁氣 )적 형태의 정보, 종이문서에 기록된 수기( 手記 ) 형태의 정보, 녹음된 음성정보, CCTV에 찍힌 영상정보, 기타 문자ㆍ부호ㆍ그림ㆍ숫자ㆍ사진ㆍ 그래픽ㆍ이미지ㆍ음성ㆍ음향ㆍ영상ㆍ화상 등의 형태로 처리된 정보도 모두 포함 될 수 있다. 라.

16 여기서 법 제2조제1호는 쉽게 결합하여 라는 표현을 사용하고 있는데, 여기서 쉽게 라는 표현은 합리적으로 라는 의미로 해석하여야 한다. 즉 쉽게 결합 이라는 표현은 각각의 정보가 물리적 과학적으로 결합할 수 있다는 가능성보다는 그 각각의 정보 결합의 수단 방법이 합리적으로 이루어질 수 있다는 의미로 보아야 한다. 물리적 과학적으로는 해당 정보의 결합에 따라 정보주체의 식별이 가능하 다고 하더라도, 식별을 위해 불합리할 정도의 시간, 노력, 비용이 투입되어야 한다면 그런 단편적인 정보들은 식별성이 있다고 할 수 없다. 참고 EU개인정보보호지침 전문 제26조 어떤 사람이 식별 가능한 상태인지 여부를 판단하기 위해서는 개인정보처리자 또는 임의 의 다른 사람이 그 사람을 식별하기 위하여 합리적으로 사용할 가능성이 있는 모든 수 단을 고려해야 한다. 2. 관련 현행법 정보통신망법 은 생존하는 개인에 관한 정보, 개인 식별가능성이 있는 정보를 개인정보 로 규정하고 있어, 개인정보의 개념에 대해서는 이 법과 큰 차이가 없다. 다만, 정보통신망법 은 부호 문자 음성 음향 및 영상 등의 정보 라고 열거하여 개인정보의 유형을 보다 구체적으로 규정하고 있다. 또한, 신용정보법 은 개인신용정보를 개인의 신용도와 신용거래능력 등을 판단할 때 필요한 정보라고 규정하면서, 구체적인 정보는 대통령령에서 규정하는 입법형식을 취하고 있다. 정보통신망법 신용정보법 6. "개인정보"란 생존하는 개인에 관한 정보로서 성명ㆍ주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호ㆍ문자ㆍ음성ㆍ음향 및 영 상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다) 를 말한다. 1. "신용정보"란 금융거래 등 상거래에 있어서 거래 상대방의 신용도와 신 용거래능력 등을 판단할 때 필요한 정보로서 대통령령으로 정하는 정보 를 말한다. 2. "개인신용정보"란 신용정보 중 개인의 신용도와 신용거래능력 등을 판 단할 때 필요한 정보로서 대통령령으로 정하는 정보를 말한다. 신용정보법 시행령 제2조(정의) 2 법 제2조제2호에서 "대통령령으로 정하는 정보"란 제1항에 따른 신용정보 중 기업 및 법인에 관한 정보를 제외한 개인에 관한 신용정보를 말한다.

참고 EU개인정보보호지침 전문 제26조 어떤 사람이 식별 가능한 상태인지 여부를 판단하기 위해서는 개인정보처리자 또는 임의 의 다른 사람이 그 사람을 식별하기 위하여 합리적으로 사용할 가능성이 있는 모든 수 단을 고려해야 한다. 2.

17 제2호 처리 2. 처리 란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기( 破棄 ), 그 밖에 이와 유사한 행위를 말한다. 1. 처리(제2조제2호) 개인정보를 활용하기 위해서는 수집 생성에서부터 기록 저장, 전송 전달, 가공 편집, 수정 보완 삭제, 검색 출력, 조회, 이용 제공 공유 공개, 보존 파기 파쇄 등 여러 단계의 다양한 처리과정을 거쳐야 한다. 이러한 일련의 과정을 포괄하는 개념으로 개 인정보 보호법 은 처리라는 용어를 사용하고 있다. 처리는 정의에서 규정한 행위 외에도 그 밖에 이와 유사한 모든 행위 가 포함되는데, 이에는 개인정보의 전송, 전달, 열람, 이전, 공유, 위탁 등이 포함될 수 있다. 다만, 다른 사람이 처리하고 있는 개인정보를 단순히 전달, 전송 또는 통과만 시켜주는 행위는 처리에 해당하지 않는다. 예컨대 우편배달사업자나 인터넷서비스 제공자는 다른 사람의 개인정보를 단순히 전달 또는 전송하는 업무만 담당하게 되는데 이 때 우편배달사업자 등의 전달 또는 전송 행위는 개인정보의 처리로 보지 않는다. 2. 관련 현행법 정보통신망법 은 별도로 처리 의 개념을 규정하고 있지는 않으며, 제25조에 서 개인정보의 수집 보관 처리 이용 제공 관리 파기 등을 취급 이라고 일괄하여 약 칭하고 있다. 신용정보법 은 컴퓨터를 이용한 정보의 입력 저장 가공 편집 검색 삭제 출력 외에 신용정보의 배달 우송 전송 등의 방법을 통한 제공도 처리 에 포함하여 규정하고 있다. 관련법과 비교할 때, 개인정보 보호법 은 처리 를 컴퓨터를 이용한 정보처 리에 한정하지 않고, 개인정보를 수집 이용 제공하는 행위까지 포괄하고 있어 매우 넓게 정의하고 있다. 정보통신망법 제25조(개인정보의 취급위탁) 1 정보통신서비스 제공자와 그로부터 제24 조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 "정보통신서 비스 제공자등"이라 한다)는 제3자에게 이용자의 개인정보를 수집 보 관 처리 이용 제공 관리 파기 등(이하 "취급"이라 한다)을 할 수 있도록 업무를 위탁(이하 "개인정보 취급위탁"이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. (이하 생략)

처리는 정의에서 규정한 행위 외에도 그 밖에 이와 유사한 모든 행위 가 포함되는데, 이에는 개인정보의 전송, 전달, 열람, 이전, 공유, 위탁 등이 포함될 수 있다. 다만, 다른 사람이 처리하고 있는 개인정보를 단순히 전달, 전송 또는 통과만 시켜주는 행위는 처리에 해당하지 않는다.

18 신용정보법 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. 13. "처리"란 다음 각 목의 어느 하나에 해당하는 행위를 말한다. 가. 컴퓨터를 이용하여 신용정보를 입력 저장 가공 편집 검색 삭제 또는 출력하는 행위 나. 신용정보를 배달 우송 또는 전송 등의 방법으로 타인에게 제공하는 행위 다. 그 밖에 가목 또는 나목과 비슷한 행위

19 제3호 정보주체 3. 정보주체 란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보 의 주체가 되는 사람을 말한다. 1. 정보주체(제2조제3호) 정보주체(data subject)란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. 이 법에 의한 권리의 행사주체라고도 할 수 있다. 이 법의 보호를 받는 정보주체가 되기 위해서는 첫째, 처리되는 정보에 의하여 알아볼 수 있는 사람이어야 하고, 둘째, 법인이나 단체가 아닌 살아있는 사람이어야 하며, 마지막으로 처리되는 정보의 주체가 되는 자이어야 한다. 그가 살아있는 사람인 한 국적이나 신분에 관계없이 누구나 정보주체가 될 수 있다. 다시 말해 대한민국 국적을 가지고 있지 않은 외국인도 이 법에 따라 개인 정보가 처리되는 경우에는 정보주체가 될 수 있고, 소비자, 근로자, 환자, 학생, 교사, 군인, 공무원, 피의자, 죄수, 행정조치 대상자 등 누구든지 공평하게 이 법에 의해 보호를 받은 정보주체가 될 수 있다. 2. 관련 현행법 개인정보 보호법 과 신용정보법 은 해당 정보에 의해서 식별되는 자로서 해 당 정보의 주체를 정보주체 로 규정하고 있는 반면, 정보통신망법 은 보호대 상을 정보통신서비스를 이용하는 자(이용자)로 규정하고 있어 서비스의 이용관계 에 있는 자로 한정하고 있다. 정보통신망법 신용정보법 제2조(정의) 4. "이용자"란 정보통신서비스 제공자가 제공하는 정보 통신서비스를 이용하는 자를 말한다. 제2조(정의) 3. "신용정보주체"란 처리된 신용정보로 식별되는 자로 서 그 신용정보의 주체가 되는 자를 말한다.

다시 말해 대한민국 국적을 가지고 있지 않은 외국인도 이 법에 따라 개인 정보가 처리되는 경우에는 정보주체가 될 수 있고, 소비자, 근로자, 환자, 학생, 교사, 군인, 공무원, 피의자, 죄수, 행정조치 대상자 등 누구든지 공평하게 이 법에 의해 보호를 받은 정보주체가 될 수 있다. 2.

20 제4호 개인정보파일 4. 개인정보파일 이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적 으로 배열하거나 구성한 개인정보의 집합물( 集合物 )을 말한다. 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 의미한다. 즉 개인의 이름이나 고유식별정보, ID 등을 색인(index)이나 검색값으로 하여 쉽게 검색할 수 있도록 체계적으로 배열 구성한 집합물을 말한다. 개인정보파일은 일반적으로 전자적 형태로 구성된 데이터베이스(database; DB) 를 의미하는 경우가 많지만, 그 외에 체계적인 검색 열람을 위한 색인이 되어 있 는 수기( 手記 ) 문서 자료 등도 포함된다. 예를 들어 기업에서 고객의 성명, ID 등으로 검색 활용이 가능하도록 구성된 고 객정보 데이터베이스, 병원에서 환자에 대해 작성된 진료기록부 파일, 공공기관 에서 관리하는 각종 행정처분 내역 파일 등이 포함될 수 있다. 그러나 개인정보 가 기재되어 있는 문서의 단순한 집합물에 불과하고 체계적으로 배열 검색할 수 있도록 구성되어 있지 않은 경우에는 개인정보파일에 해당하지 않을 수 있다. 제5호 개인정보처리자 5. 개인정보처리자 란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다. 1. 개인정보처리자(제2조제5호) 이 법의 기본적인 수범자는 개인정보처리자이다. 이는 업무를 목적으로 개인정 보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하 는 공공기관, 법인, 단체, 사업자 및 개인 등을 말한다. 개인정보처리자는 개인정보취급자 와 구분된다. 개인정보처리자는 개인정보 를 처리하는 공공기관이나 사업자 단체 자체를 의미하지만, 개인정보취급자는 개 인정보처리자의 지휘 감독을 받아 개인정보를 처리하는 임직원, 시간제근로자 등 을 말한다.

예를 들어 기업에서 고객의 성명, ID 등으로 검색 활용이 가능하도록 구성된 고 객정보 데이터베이스, 병원에서 환자에 대해 작성된 진료기록부 파일, 공공기관 에서 관리하는 각종 행정처분 내역 파일 등이 포함될 수 있다.

21 가. 업무를 목적으로 한 것일 것 개인정보처리자가 되기 위해서는 업무를 목적으로 개인정보를 처리하여야 한다. 순수한 개인적인 활동이나 가사활동을 위해서 개인정보를 수집 이용 제공하는 자는 개인정보처리자가 아니다. 예를 들어 사적인 친분관계를 위하여 휴대폰에 연락처 정보, 이메일 주소록 등을 저장하는 경우는 당연히 개인정보처리자에 해당 하지 않는다. 업무 란 직업상 또는 사회생활상의 지위에 기하여 계속적으로 종사하는 사 무나 사업의 일체를 의미하는 것으로 보수 유무나 영리 여부와는 관계가 없으며, 단 1회의 행위라도 계속 반복의 의사가 있다면 업무로 볼 수 있다. 또한 업무란 직업상 또는 사회생활상 지위에 기하여야 하므로, 예를 들어 지인들에게 모임을 안내하기 위해 전화번호 및 이메일주소를 수집하는 행위나 결혼을 알리기 위해 청첩장을 돌리는 행위 등은 업무를 목적으로 한 것이 아니다. 참고 판례상 업무 의 개념 업무방해죄에 있어서의 업무란 직업 또는 사회생활상의 지위에 기하여 계속적으로 종사하는 사무나 사업의 일체를 의미하고, 그 업무가 주된 것이든 부수적인 것이든 가리지 아니하며, 일회적인 사무라 하더라도 그 자체가 어느 정도 계속하여 행해지는 것이거나 혹은 그것이 직업 또는 사회생활상의 지위에서 계속적으로 행하여 온 본래의 업무수행과 밀접불가분의 관계에서 이루어진 경우에도 이에 해당함(대법원 선고 2004도8701 판결 등 참조) 업무상과실치사상죄에 있어서의 업무란 사람의 사회생활면에 있어서의 하나의 지위로서 계속적으로 종사하는 사무를 말하고, 여기에는 수행하는 직무 자체가 위험성을 갖기 때문에 안전배려를 의무의 내용으로 하는 경우는 물론 사람의 생명 신체의 위험을 방지하는 것을 의무내용으로 하는 업무도 포함된다 할 것이다(대법원 선고 88도1273 판결, 선고 2002도1342 판결 등 참조). 업무상 횡령죄에서 업무 란 법령, 계약에 의한 것뿐만 아니라 관례를 좇거나 사실상의 것이거나를 묻지 않고 같은 행위를 반복할 지위에 따른 사무를 가리키는 것이다(대법원 선고 2003도135). 나. 개인정보파일을 운용하기 위한 것일 것 개인정보를 수집, 이용, 제공하고 있다고 해서 모두가 개인정보처리자가 되는 것은 아니다. 개인정보 보호법 상 개인정보처리자가 되기 위해서는 개인정보 파일을 운용하고 있어야 한다. 즉 개인정보파일을 운용하기 위하여 개인정보를 처리하는 자만이 개인정보처리자가 된다.

22 EU 개인정보보호지침을 비롯하여 영국, 일본 등의 개인정보 보호법 도 모든 개인 정보가 아니라 특정한 파일체계의 일부를 구성하고 있거나, 구성하도록 예정되어 있거 나, 그런 의도로 처리되는 개인정보에 한하여 동법의 적용을 받도록 규정하고 있다. 일회성 메모나 문서작성 행위까지 개인정보처리로 본다면 법이 개인의 사소한 행위에까지 규제하게 되어 불합리한 결과를 초래하게 된다. 이에 따라 개인정보 수집 이용 제공 등에 대한 동의, 개인정보에 대한 보호조치 등의 의무를 부과 하는 대상은 개인정보파일을 운용하는 자로 한정하여 규제의 합목적성과 실효성을 담보하고자 하였다. 다. 스스로 또는 다른 사람을 통하여 개인정보를 처리 개인정보처리자는 스스로 개인정보를 처리할 수도 있지만 다른 사람을 통해서도 개인정보를 처리할 수 있다. 즉 자신이 직접 개인정보를 수집, 가공, 편집, 이용, 제공, 전송하지 아니하고 다른 사람 예컨대 수탁자, 대리인, 이행보조자 등을 통해서 처리하는 경우에도 개인정보처리자에 해당한다. 라. 공공기관, 법인, 단체, 개인 등일 것 개인정보 보호법 은 개인정보 보호를 위한 일반법이므로 개인정보를 수집, 이용, 제공 등 처리하는 모든 자에게 적용될 수 있도록 개인정보처리자 의 개념을 폭 넓게 정의하였다. 적용대상을 특정 목적이나 업종으로 한정하는 것은 개인 정보보호 사각지대 해소라는 법률 제정 취지에 부합하지 않기 때문이다. 개인정보처리자는 공공기관, 영리 비영리 법인, 영리 비영리 단체, 개인이 모두 포함된다. 기존의 공공기관 개인정보보호법, 정보통신망법 등과는 달리 공공부문 과 민간부문이 모두 포함되며, 주식회사와 같은 영리기업은 물론 동창회 동호회와 같은 비영리단체도 포함된다. 개인에는 1인 사업자, 개인활동가 등 본인의 업무를 목적으로 개인정보를 처리하는 경우가 포함된다. EU 개인정보보호지침도 개인정보처리자(data controller)를 개인정보의 처리를 결 정하는 자라고 정의하면서 공공기관과 민간기관을 모두 포함시키고 있다.

23 2. 관련 현행법 정보통신망법 은 법 수범자로서 정보통신서비스 제공자 를 규정하고 있 다. 이는 전기통신사업법 에 의한 전기통신사업자 및 영리를 목적으로 전기통 신사업자의 전기통신역무를 이용하여 정보를 제공 또는 정보 제공을 매개하는 자를 말한다. 영리를 목적으로 하는 경우로 한정함으로써, 영리 비영리를 구분하 지 않는 개인정보처리자와는 개념상 차이가 있다. 신용정보법 은 법 수범자로서 신용정보제공 이용자 를 규정하고 있다. 이 는 상거래를 위하여 신용정보를 타인에게 제공하거나 제공받아 본인의 영업에 이용하는 자 및 이에 준하는 자를 말한다. 상거래를 위하여 영업에 이용하는 경 우만 한정되므로 역시 개인정보 보호법 상의 개인정보처리자와는 차이가 있 다. 정보통신망법 신용정보법 3. "정보통신서비스 제공자"란 전기통신사업법 제2조제8호에 따 른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신 역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다. 7. "신용정보제공 이용자"란 고객과의 금융거래 등 상거래를 위하 여 본인의 영업과 관련하여 얻거나 만들어 낸 신용정보를 타인에 게 제공하거나 타인으로부터 신용정보를 제공받아 본인의 영업에 이용하는 자와 그 밖에 이에 준하는 자로서 대통령령으로 정하는 자를 말한다. 3. 질의응답 FAQ 개인정보처리자로부터 제공받은 개인정보를 처리(저장, 정정, 복구 등) 하는 자는 개인정보처리자(해외소재 회사 포함)인지? 다른 사람을 통하여 개인정보를 수집하는 자도 개인정보처리자에 해당되며, 개인정보 처리자로부터 제공받은 개인정보를 처리하는 자도 개인정보처리자에 해당된다(법 제19조).

24 제6호 법률 시행령 공공기관 6. 공공기관 이란 다음 각 목의 기관을 말한다. 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리 하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관 을 포함한다) 및 그 소속 기관, 지방자치단체 나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관 제2조(공공기관의 범위) 개인정보 보호법 (이하 "법"이라 한다) 제2 조제6호나목에서 "대통령령으로 정하는 기관"이란 다음 각 호의 기 관을 말한다. 1. 국가인권위원회법 제3조에 따른 국가인권위원회 2. 공공기관의 운영에 관한 법률 제4조에 따른 공공기관 3. 지방공기업법 에 따른 지방공사 및 지방공단 4. 특별법에 의하여 설립된 특수법인 5. 초 중등교육법, 고등교육법 및 그 밖의 다른 법률에 따라 설치된 각급 학교 1. 공공기관(제2조제6호) 개인정보 보호법 상 공공기관은 특별한 지위를 가진다. 우리나라 개인정보 보호법 은 유럽연합 회원국의 입법례를 따라 공공부문과 민간부문을 구분하지 않고 하나의 법률에 의하여 동일한 개인정보 보호원칙을 적용하는 단일법주의를 채택하고 있다. 하지만 공공기관에 대해서는 몇 가지 중요한 특례를 인정하고 있다. < 공공기관에 대한 특례규정 > 의무가 강화된 조항 의무가 완화한 조항 영상정보처리기기 설치 운영시 공청회 설 정보주체 동의 없는 개인정보 수집 이용 명회 등 의견수렴 의무(제25조제3항) 사유 확대(제15조제1항제3호) 영상정보처리기기 설치 운영에 관한 업무위 개인정보 목적외 이용 제공 사유의 확대 탁 절차 요건 강화(제25조제8항) (제18조제2항단서) 개인정보파일 등록 공개 의무(제32조) 개인정보처리방침 제정 공개 의무 완화 개인정보 영향평가 실시의무(제33조) (제30조제1항) 개인정보열람 요구권 행사 편의를 위한 별 개인정보 열람요구권 제한 거절 사유 확 도의 단일창구 마련(제35조제1항) 대(제35조제4항제3호) 개인정보처리 정지요구권 거절 사유 확대 (제37조제2항제3호) 통계법에 따라 처리된 개인정보에 대한 법률 적용의 일부 제외(제58조제1항제1호)

25 < 공공기관의 분류 > 국회-국회사무처, 국회도서관 등 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무 처리 기관 법원-법원행정처 헌법재판소-헌법재판소사무처 중앙선거관리위원회-중앙선거관리위원회 사무처 공 공 기 관 중앙행정기관 및 그 소속기관 정부조직법 상의 부 처 청 등 대통령 소속기관 국무총리 소속기관 상기 기관의 소속기관 지방자치단체 지방자치단체 소속기관 기타 국가기관 및 공공단체 중 대통령령이 정하는 기관 가. 헌법기관 국회 법원 헌법재판소 중앙선거관리위원회의 행정사무를 처리하는 기관이라 함은 각각 국회사무처, 국회도서관, 국회입법조사처, 국회예산정책처, 법원행정처, 헌법 재판소사무처, 중앙선거관리위원회사무처 등을 말한다. 기존의 공공기관 개인 정보 보호법 에서는 공공기관의 정의에서 헌법기관이 제외되어 있었으나 국회, 법원, 헌법재판소, 중앙선거관리위원회 등이 취급하는 개인정보의 양과 빈도가 낮지 않아 개인정보 보호법 에서는 공공기관에 헌법기관도 추가하였다. 나. 중앙행정기관 및 그 소속 기관 중앙행정기관에는 정부조직법 제2조제2항에 따른 중앙행정기관(부 처 청)과

26 동법 제5조의 합의제행정기관이 포함된다. 현재 정부조직법 상 중앙행정기관으로는 15부, 2처, 18청이 있고, 합의제행정기관으로는 국가배상심의위원회, 중앙노동위원회, 중앙토지수용위원회 등이 있다. 또한 중앙행정기관에는 대통령 소속기관과 국무총리 소속기관도 포함된다. 대통령 소속기관으로는 감사원, 국가정보원, 방송통신위원회, 국가과학기술위원회 등이 있고, 국무총리 소속기관으로는 법제처, 국가보훈처, 공정거래위원회, 금융위원회, 국민권익위원회 등이 있다. 중앙행정기관의 소속기관도 공공기관에 해당되므로 중앙행정기관이 그 소관 사무의 수행을 위하여 설치 운영하는 정부조직법 제3조의 특별지방행정기관(지방체신청, 지방국세청 등)과 제4조의 부속기관(시험연구기관, 교육훈련기관, 문화기관, 의료기 관, 제조기관, 자문기관 등)도 공공기관에 포함된다. 국가인권위원회법 제3조에 따른 국가인권위원회는 시행령 제2조제1호에 따라 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관 에 포함된다. 다. 지방자치단체 지방자치단체란 국가 아래에서 국가영토의 일부를 구성요소로 하고 그 구역 안의 주민을 법률이 정하는 범위 안에서 지배할 수 있는 권한을 가진 단체를 말한다. 지방자치단체는 자치행정의 주체로서 국가로부터 행정권의 일부를 부여받은 공공단체이며 지방자치법 제3조제1항에 따라 공법인( 公法人 )이기도 하다. 지방자치단체의 종류로는 우선 지방자치법 제2조제1항에 따른 광역자치단체 (특별시, 광역시, 도, 특별자치도)와 기초자치단체(시, 군, 구)가 있으며, 동법 제2조 제3항에 따른 특별지방자치단체(자치단체조합)가 있다. 또한 지방자치단체 소속 행정기관으로 자치경찰기관, 소방기관, 교육훈련기관, 보건진료기관, 시험연구기관 및 중소기업지도기관 등의 직속기관이 있고( 지방자치법 제113조), 그밖에 사업소( 지방자치법 제114조), 출장소( 지방자치법 제115조), 합의제행정기관( 지방자치법 제116조), 심의회 위원회 등의 자문기관( 지방자치법 제116조의2) 등도 지방자치단체 소속 행정기관에 포함된다. 그 외에 지방자치단체 하부행정기관으로 자치구가 아닌 구, 읍, 면, 동이 있다( 지방자치법 제117조). 한편, 지방자치단체의 교육 과학 및 체육에 관한 사무를 분장하기 위하여 지방 교육자치에 관한 법률 에 따라 교육위원회(제4조), 교육감(제18조), 하급교육행정 기관(제34조) 등의 별도기관이 있다.

27 라. 공공기관의 운영에 관한 법률 제4조에 따른 공공기관 공공기관의 운영에 관한 법률 제4조에 따라 지정된 기관을 말하며, 공기업 (시장형 공기업, 준시장형 공기업), 준정부기관(기금관리형 준정부기관, 위탁집행형 준정부기관), 기타공공기관으로 구분된다. 동법 제6조에 따라 기획재정부장관은 매 회계연도 개시후 1개월 이내에 공공기관을 새로 지정하거나, 지정을 해제하거나, 구분을 변경하여 지정하고 이를 고시한다. 다만, 기획재정부장관은 방송법 에 따른 한국방송공사와 한국교육방송공사법 에 따른 한국교육방송공사는 공공 기관으로 지정할 수 없기 때문에 공공기관에서 제외된다. 기존의 공공기관 개인정보 보호법 시행령 제2조는 금융실명거래 및 비밀 보장에 관한 법률 제2조제1호의 금융기관이 공공기관의 운영에 관한 법률 제4조에 따라 공공기관으로 지정되더라도 동법의 적용을 받는 공공기관에서 제외하고 있었으나 현행 개인정보 보호법 시행령 제2조는 이 같은 예외를 인정하고 있지 않다. < 2011년도 지정 공공기관(286개)> 구 분 시장형 공기업 (14) 준시장형 공기업 (13) 기금관리형 준정부기관 (17) 위탁집행형 준정부기관 기관명 (지경부) 한국가스공사, 한국석유공사, 한국전력공사, 한국지역난방공사, 한국중부발전(주), 한국수력원자력(주), 한국서부발전(주), 한국동서발전(주), 한국남부발전(주), 한국남동발전(주) (국토부) 인천국제공항공사, 한국공항공사, 부산항만공사, 인천항만공사 (기재부) 한국조폐공사 (문화부) 한국관광공사, 한국방송광고공사 (농림부) 한국마사회 (지경부) 한국광물자원공사, 대한석탄공사 (국토부) 대한주택보증주식회사, 제주국제자유도시개발센터, 한국감정원, 한국도로공사, 한국수자원공사, 한국토지주택공사, 한국철도공사 (교과부) 사립학교교직원연금공단 (행안부) 공무원연금공단 (문화부) 영화진흥위원회, 서울올림픽기념국민체육진흥공단, 한국문화예술위원회, 한국언론진흥재단 (지경부) 한국무역보험공사, 한국방사성폐기물관리공단 (복지부) 국민연금공단 (고용부) 근로복지공단 (금융위) 한국자산관리공사, 기술신용보증기금, 신용보증기금, 예금보험공사, 한국주택금융공사 (중기청) 중소기업진흥공단 (방통위) 한국방송통신전파진흥원 (교과부) 한국교육학술정보원, 한국과학창의재단, 한국연구재단, 한국원자력안전기술원, 한국장학재단

28 구 분 (66) 기타 공공기관 (176) 기관명 (행안부) 한국승강기안전관리원, 한국정보화진흥원 (문화부) 국제방송교류재단, 한국콘텐츠진흥원 (농림부) 농수산물유통공사, 축산물품질평가원, 한국농어촌공사, 수산자원사업단, 축산물위해요소중점관리기준원, 농림수산식품기술기획평가원 (농진청) 농업기술실용화재단 (지경부) 한국석유관리원, 대한무역투자진흥공사, 에너지관리공단, 한국세라믹기술원, 한국우편물류지원단, 우체국예금보험지원단, 한국가스안전공사, 한국광해관리공단, 한국디자인진흥원, 한국산업기술시험원, 한국산업기술진흥원, 한국산업기술평가관리원, 한국산업단지공단, 한국에너지기술평가원, 한국우편사업지원단, 한국전기안전공사, 한국전력거래소, 정보통신산업진흥원 (방통위) 한국인터넷진흥원 (복지부) 건강보험심사평가원, 국민건강보험공단, 한국보건산업진흥원, 한국노인인력개발원, (재)한국사회서비스관리원, 한국보건복지정보개발원 (여가부) 한국청소년상담원, 한국청소년활동진흥원 (환경부) 국립공원관리공단, 한국환경공단, 한국환경산업기술원 (노동부) 한국고용정보원, 한국산업안전보건공단, 한국산업인력공단, 한국장애인고용공단 (국토부) 교통안전공단, 한국건설교통기술평가원, 한국시설안전공단, 한국철도시설공단, 대한지적공사, 선박안전기술공단, 한국컨테이너부두공단, 한국해양수산연수원 (경찰청) 도로교통공단 (소방청) 한국소방산업기술원 (보훈처) 독립기념관, 한국보훈복지의료공단 (공정위) 한국소비자원 (금융위) 한국예탁결제원, 한국거래소 (중기청) 중소기업기술정보진흥원 (기재부) 한국수출입은행, 한국투자공사 (교과부) 강릉원주대학교치과병원, 강원대학교병원, 경북대학교병원, 경상대학교병원, 동북아역사재단, 한국고전번역원, 부산대학교병원, 서울대학교병원, 서울대학교치과병원, 전남대학교병원, 전북대학교병원, 제주대학교병원, 충남대학교병원, 충북대학교병원, 한국사학진흥재단, 한국학중앙연구원, 광주과학기술원, 기초기술연구회, 대구경북과학기술원, 한국과학기술원, 한국과학기술정보연구원, 한국기초과학지원연구원, 한국생명공학연구원, 한국원자력통제기술원, 한국천문연구원, 한국표준과학연구원, 한국한의학연구원, 한국항공우주연구원, 한국해양연구원, 한국과학기술연구원, 한국과학기술기획평가원, 한국원자력연구원, 한국원자력의학원, 평생교육진흥원 (외교부) 한국국제협력단, 한국국제교류재단, 재외동포재단 (법무부) 대한법률구조공단, 정부법무공단, 한국법무보호복지공단

29 구 분 기관명 (국방부) 전쟁기념사업회, 한국국방연구원, 호국장학재단 (행안부) 민주화운동기념사업회 (문화부) (재)한국문화예술회관연합회, 경북관광개발공사, 국립중앙박물관문화재단, 국민생활체육회, 그랜드코리아레저(주), 대한장애인체육회, 영상물등급위원회, 예술의전당, (재)명동 정동극장, 한국간행물윤리위원회, 한국문학번역원, 대한체육회, 한국문화관광연구원, 한국문화예술교육진흥원, 한국문화진흥주식회사, 한국영상자료원, 한국체육산업개발(주), (재)체육인재육성재단, 게임물등급위원회, 재단법인 국악방송, 태권도진흥재단, 한국저작권위원회, 한국공예디자인문화진흥원, (재)한국공연예술센터, (재)예술경영지원센터 (농림부) 가축위생방역지원본부, 한국농림수산정보센터, 특수법인 한국어촌어항협회 (지경부) 기초전력연구원, 인천종합에너지(주), (주)강원랜드, (주)한국가스기술공사, 한국생산성본부, 한국전력기술주식회사, 한국표준협회, 한일산업기술협력재단, 한전KDN, 한전KPS(주), 한전원자력연료주식회사, 한국원자력문화재단, 별정우체국 연금관리단, 대덕연구개발특구지원본부, 산업기술연구회, 한국건설기술연구원, 한국기계연구원, 한국생산기술연구원, 한국식품연구원, 한국에너지기술연구원, 한국전기연구원, 한국전자통신연구원, 한국지질자원연구원, 한국철도기술연구원, 한국화학연구원, 전략물자관리원, (재)우체국시설관리지원단, 한국로봇산업진흥원 (복지부) 국립암센터, 대한적십자사, 한국보건복지인력개발원, 한국보건의료인국가시험원, 한국장애인개발원, 한국국제보건의료재단, 한국사회복지협의회, 국립중앙의료원 (환경부) 수도권매립지관리공사 (고용부) 학교법인한국폴리텍, 노사발전재단, 한국기술교육대학교,한국승강기안전기술원, 노사공동고용지원사업단, 한국사회적기업진흥원 (국토부) 코레일네트웍스(주), 코레일로지스(주), 코레일유통(주), 코레일테크(주), 코레일관광개발(주), (주)한국건설관리공사, 주택관리공단(주), 울산항만공사, 인천항만보안(주), 부산항만보안(주), 한국해양과학기술진흥원, 항로표지기술협회 (총리실) 경제인문사회연구회, 과학기술정책연구원, 국토연구원, 대외경제정책연구원, 산업연구원, 에너지경제연구원, 정보통신정책연구원, 통일연구원, 한국개발연구원, 한국교육개발원, 한국교육과정평가원, 한국교통연구원, 한국노동연구원, 한국농촌경제연구원, 한국법제연구원, 한국보건사회연구원, 한국여성정책연구원, 한국조세연구원, 한국직업능력개발원, 한국청소년정책연구원, 한국해양수산개발원, 한국행정연구원, 한국형사정책연구원, 한국환경정책평가연구원 (보훈처) 88관광개발(주) (문화재청) 한국문화재보호재단 (산림청) 녹색사업단

30 구 분 기관명 (중기청) 시장경영진흥원, 신용보증재단중앙회, 중소기업유통센터, 한국벤처투자, 소상공인진흥원, 창업진흥원 (특허청) 한국발명진흥회, 한국특허정보원, 재단법인한국지식재산연구원, 한국지식재산보호협회 (식약청) 한국희귀의약품센터 (금융위) 산은금융지주, 중소기업은행, 코스콤, 한국기업데이터주식회사, 한국산업은행, 한국정책금융공사 (방사청) 국방과학연구소, 국방기술품질원 (통일부) 북한이탈주민지원재단 마. 지방공사 및 지방공단 지방자치단체가 수도사업, 공업용수도사업, 궤도사업, 자동차운송사업, 지방유료 도로사업, 하수도사업, 주택사업, 토지개발사업 등을 효율적으로 수행하기 위하여 지방공기업법 에 따라 설립한 지방공사(제49조)와 지방공단(제76조)도 공공기관 에 해당한다. 2010년 7월 1일 현재 지방공사는 52개이고 지방공단은 82개이다. 형태별 사 업 별 기업수 공 기 업 별 지 하 철 7 서울메트로, 서울도시철도공사, 부산, 대구, 인천, 광주, 대전 도시개발 16 SH, 부산, 대구, 인천, 광주, 대전, 울산, 경기, 강원, 충북, 충남, 전북, 전남, 경북, 경남, 제주 서울특별시농수산물공사, 인천교통공사, 인천광역시관광공사, 김대중컨벤션 센터, 지방공사대전엑스포과학공원, 구리농수산물도매시장관리공사, 지 방 공 사 기타공사 (지자체 100%출자) 25 경기관광공사, 광주지방공사, 용인지방공사, 하남시도시개발공사, 김 포시도시개발공사, 남양주시도시공사, 평택지방공사, 화성도시공사, 양 평지방공사, 안산도시공사, 춘천도시개발공사, 충청남도농축산물류센 터관리공사, 여수시도시공사, 구미원예수출공사, 영양고추유통공사, 청도공영사업공사, 통영관광개발공사, 창녕군개발공사, 함안지방공사 기타공사 (지자체 50% 이상출자) 4 경기평택항만공사, 고양도시공사, 태백관광개발공사, 제주관광공사 지 방 공 단 시설 환경 경륜공단 82 합계 134 < 2010년 지방공사 공단 현황(134개) > 서울, 강남구, 강동구, 강북구, 강서구, 광진구, 구로구, 금천구, 도봉구, 동대문구, 동작구, 마포구, 서대문구, 성동구, 성북구, 송파구, 양천구, 영등포 구, 용산구, 종로구, 중랑구, 은평구, 관악구, 중구, 노원구, 부산, 기장군, 대구, 인천, 인천남구, 인천남동구, 인천부평구, 인천계양구, 인천서구, 인 천중구, 강화군, 대전, 울산, 울산남구, 울주군, 수원시, 성남시, 부천시, 안양시, 용인시, 시흥시, 화성시, 김포시, 안성시, 의왕시, 오산시, 과천시, 고양시, 의정부시, 파주시, 양주시, 안산시, 군포시, 가평군, 연천군, 포천 시, 춘천시, 속초시, 동해시, 정선군, 청주시, 단양관광관리공단, 보령시, 전 주시, 구미시, 안동시, 문경관광진흥공단, 창원시, 김해시, 거제시, 양산시, 부 산환경, 대구환경, 인천환경, 광주환경, 부산경륜공단, 창원경륜공단

31 바. 특수법인 특별법에 의하여 설립된 특수법인들도 공공기관에 포함된다. 특수법인이란 일 반적으로 특정한 국가적 정책이나 공공의 이익을 달성하기 위한 사업의 수행을 위하여 민법 상법 이외의 특별법이나 특별규정에 의하여 설립되는 비영리법인을 말한다. 당해 법인의 설치 및 규율을 목적으로 특별히 제정된 법률에 의하여 설 립된 법인뿐만 아니라 민법 상법에 대한 상대적 의미로서의 특별법 규정에 따라 설립된 법인도 포함될 수 있다. 당해 법인의 설치 및 규율을 목적으로 특별히 제정된 법률에 의하여 설립된 법인에 국한하지 않는다고 하더라도 직 간접적으로 국가나 지방자치단체의 재정지원을 받으며, 공익적인 사무를 수행함으로써 행정상의 권리와 의무의 귀속 주체가 되어야 하고, 정책결정과 관련하여 사실상 국가 또는 지자체의 지배력 하에 있어야 한다. 이처럼 특별법에 근거해서 설립되었다고 해서 모든 법인이 특수법인이 되는 것은 아니며, 설립목적, 운영실태 등을 종합적으로 고려해서 개별적으로 평가되 어야 한다. 특수법인이 되기 위해서는 최소한 특별법에 의한 설치, 국가 자자체등 으로부터의 재정지원, 국가 또는 지자체 사무의 수탁처리, 사실상 국가 또는 지자체의 지배, 공공 또는 공익 기능 수행 등의 본질적 요소를 갖추어야 한다. 사. 각급 학교 초 중등교육법, 고등교육법 및 그 밖의 다른 법률에 따라 설치된 각급 학교들도 공공기관으로 취급된다. 초 중등교육법 에 따라 설치된 학교로는 초등학교 공민학교, 중학교 고등공민학교, 고등학교 고등기술학교, 방송통신 고등학교, 특수학교, 각종학교, 대안학교, 외국인학교 등이 있고, 고등교육법 에 따라 설치된 학교로는 대학, 산업대학, 교육대학, 전문대학, 원격대학(방송대학 통신대학 방송통신대학 사이버대학), 기술대학, 대학원대학, 각종학교 등이 있다. 다른 법률에 따라 설치된 각급 학교로는 공군항공과학고등학교( 공군항공과학 고등학교 설치법 ), 육군사관학교 해군사관학교 공군사관학교( 사관학교설치법 ), 국방 대학교( 국방대학교설치법 ), 육군3사관학교( 육군3사관학교 설치법 ), 국군간호 사관학교( 국군간호사관학교 설치법 ), 경찰대학( 경찰대학설치법 ), 울산과학 기술대학교( 국립대학법인 울산과학기술대학교 설립 운영에 관한 법률 ), 한국농 수산대학( 한국농수산대학 설치법 ), 기능대학법, 국가정보대학원( 국가정보대학원 설치법 ), 법학전문대학원( 법학전문대학원 설치 운영에 관한 법률 ) 등이 있다.

32 제7호 법률 시행령 표준지침 영상정보 처리기기 7. 영상정보처리기기 란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다. 제3조(영상정보처리기기의 범위) 법 제2조제7호에서 대통령령으로 정하는 장치 란 다음 각 호의 장치를 말한다. 1. 폐쇄회로 텔레비전: 다음 각 목의 어느 하나에 해당하는 장치 가. 일정한 공간에 지속적으로 설치된 카메라를 통하여 영상 등을 촬영하거나 촬영한 영상정보를 유무선 폐쇄회로 등의 전송로를 통하여 특정 장소에 전송하는 장치 나. 가목에 따라 촬영되거나 전송된 영상정보를 녹화ㆍ기록할 수 있 도록 하는 장치 2. 네트워크 카메라: 일정한 공간에 지속적으로 설치된 기기로 촬영한 영상정보를 그 기기를 설치ㆍ관리하는 자가 유무선 인터넷을 통하여 어느 곳에서나 수집ㆍ저장 등의 처리를 할 수 있도록 하는 장치 8. 영상정보처리기기 란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유 무선망을 통하여 전송하는 일체의 장치로서 시행령 제3조에 따른 폐쇄회로텔레비전(CCTV) 및 네트워크카 메라를 말한다. 9. 개인영상정보 라 함은 영상정보처리기기에 의하여 촬영 처리되 는 영상정보 중 개인의 초상, 행동 등 사생활과 관련된 영상으로서 해당 개인의 동일성 여부를 식별할 수 있는 정보를 말한다. 10. 영상정보처리기기 운영자 라 함은 개인정보 보호법 제25조제1 항 각호에 따라 영상정보처리기기를 설치 운영하는 자를 말한다. 11. 공개된 장소 라 함은 공원, 도로, 지하철, 상가 내부, 주차장 등 정보주체가 접근하거나 통행하는 데에 제한을 받지 아니하는 장소 를 말한다. 1. 영상정보처리기기(제2조제7호) 영상을 촬영하여 처리할 수 있는 기기의 용도와 종류는 매우 다양하므로, 개인 정보 보호법 에서는 개인정보 보호의 필요성이 있고 규제의 실익이 있는 범위를 한정하여 영상정보처리기기의 범위를 정하고 있다. 법 제2조제7호는 영상정보처리기기를 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치 로 정의하고 있다.

33 가. 일정한 공간에 지속적으로 설치 이 법에 따른 영상정보처리기기는 일정한 공간 에 설치되어 있어야 한다. 예컨대 건물 실내, 도로, 공원 등 일정한 공간에 기반하여 영상정보처리기기가 설치되어 있 어야 함을 의미한다. 또한, 영상정보처리기기는 일정한 공간에 설치되어 있는 것만을 포함하므로, 그 촬영 범위도 일정한 공간이나 구역을 촬영하는 것으로 한정된다. 또한 이 법의 규제대상이 되는 영상정보처리기기는 지속적 으로 설치되어 있는 촬영 기기만을 의미한다. 여기서 지속적 설치의 의미는 그 촬영 기기를 어느 정도 고정적 항구적( 恒久的 )으로 운영할 목적으로 설치된 것을 말한다. 예를 들어, 개인이 휴대하고 있는 캠코더, 디지털카메라 등으로 촬영 공간과 촬영 대상범위를 바꾸어 가면서 영상을 촬영하는 것은 이 법에 따른 영상정보처리기기의 범주에 포함되지 않는다. 만약 개인용 촬영 기기를 일정한 공간에 설치해 두고 영 상을 촬영한다 하더라도, 그것이 고정적 항구적으로 운영할 목적이 아닌 이상은 역시 이 법에 따른 영상정보처리기기가 아니다. 다만, 일정한 공간 이라는 의미는 반드시 고정된 장소 를 의미하는 것은 아니다. 만약 이동성이 있는 공간이라 하더라도 그 촬영기기의 설치 위치와 촬영 범위가 일정하게 한정되어 있다면 이 법에 따른 영상정보처리기기에 해당된다. 예를 들어 버스, 택시 등 영업용 차량 내부에 설치된 CCTV는 차량 내부라는 일정한 공간에 설치되어 일정한 승객 탑승공간을 촬영하고 있으므로 이 법에 따 른 영상정보처리기기에 해당된다. 반면, 이른바 차량 블랙박스 와 같이 차량 내부에 설치되어 있으면서 차량 주행에 따라 외부를 촬영하는 기기의 경우에는 촬영 대상 범위가 수시로 변동되므로 이 법에 따른 영상정보처리기기에 해당되지 않는다. 한가지 주의할 점은, 영상정보처리기기가 아닌 촬영기기를 통하여 개인을 촬영하는 행위는 이 법 제25조에 따른 영상정보처리기기 규제는 적용되지 않으나, 경우에 따 라서 이 법의 다른 개인정보 보호 원칙이나 타 법의 규정이 적용될 수 있다. 예를 들어 업무를 목적으로 개인정보파일을 운용하기 위해 개인정보처리자가 개인 영상을 촬영하는 경우에는 이 법에 따른 개인정보 수집 이용 원칙 등이 적용될 수 있다. 또한 성적 욕망 또는 수치심을 유발할 수 있는 타인의 신체를 그 의사에 반하여 촬 영하는 행위 등은 성폭력범죄의 처벌 및 피해자보호 등에 관한 법률 에 의하여 제재가 가능하다.

34 참고 성폭력범죄의 처벌 및 피해자보호 등에 관한 법률 제14조의2 (카메라등 이용촬영) 1카메라 기타 이와 유사한 기능을 갖춘 기계장치를 이용하여 성적 욕 망 또는 수치심을 유발할 수 있는 타인의 신체를 그 의사에 반하여 촬영하거나 그 촬영물을 반포ㆍ 판매ㆍ임대 또는 공연히 전시ㆍ상영한 자는 5년 이하의 징역 또는 1천만원 이하의 벌금에 처한다. 2 영리목적으로 제1항의 촬영물을 정보통신망 이용촉진 및 정보보호 등에 관한 법 률 제2조제1항제1호의 정보통신망(이하 "정보통신망"이라 한다)을 이용하여 유포한 자 는 7년 이하의 징역 또는 3천만원 이하의 벌금에 처한다. 나. 사람 또는 사물의 영상 등을 촬영 사회 통념상 영상을 촬영 한다는 개념에는 음성 음향 녹음도 포함된다고 볼 수 있다. 그러나 CCTV와 같은 영상정보처리기기는 일정한 장소에 지속적으로 설치되어 그 촬영 범위 안에 있는 것을 전부 촬영하므로, 만약 영상정보처리기기에 음성 음향 까지 녹음된다면 예기치 않게 타인간의 대화 등이 녹음될 가능성이 있다. 그러나 공개되지 아니한 타인간의 대화를 녹음 청취하는 행위는 통신비밀보호 법 제3조를 위반하게 된다. 따라서 개인정보 보호법 에 따른 영상정보처리기기의 촬영 은 순수하게 영상만을 촬영하는 것으로 한정되며, 음성 음향을 녹음하는 것은 포함되지 않는다. 한편, 여기에서 사물 이란 개인정보 보호법 의 입법 취지를 고려할 때 이 법의 보호대상이 되는 사람과 일정한 관계가 있는 사물로 한정하여 해석해야 한다. 예를 들 어 천문대에 설치된 망원경은 비록 일정한 공간에 지속 설치되어 우주 공간(사물)을 촬영하고는 있으나 그 촬영대상이 사람과 일정한 생활 관계에 놓여져 있다고 보기 어렵기 때문에, 이 법에 따른 영상정보처리기기에 포함되지 않는다. 다. 촬영된 정보를 유 무선망을 통하여 전송 사람 사물의 영상을 촬영하는 것뿐만 아니라, 촬영된 정보를 유 무선망을 통하여 전송하는 장치도 영상정보처리기기의 개념에 포함된다. 사실상 영상정보처리기기는 단순히 영상만을 촬영하는 것이 아니라, 그 촬영 화면을 전송하여 그 설치목적에 따라 열람 활용하는 방식이 널리 이용되고 있다. 여기에는 폐쇄회로 텔레비전 (CCTV)과 같이 촬영 화면을 폐쇄망을 통해 전송하여 모니터링하는 경우, 네트워크 카메라 등과 같이 인터넷망 등을 이용해 영상을 전송하고 열람하는 경우가 모두 포 함된다.

35 라. 대통령령이 정하는 장치 사람 사물을 촬영할 수 있는 영상정보처리기기는 매우 다양하다. 이 같은 기기들의 사용을 모두 엄격하게 규제할 경우 사회생활이나 경제활동에 제약을 가져올 수 있기 때문에, 이 법에 따른 영상정보처리기기의 종류는 대통령령으로 정하는 기기만을 인정하고 있다. 시행령 제3조에서는 영상정보처리기기의 종류를 아래와 같이 규정하고 있다. < 영상정보처리기기의 종류 > 종 류 내 용 폐쇄회로 텔레비전 일정한 공간에 지속적으로 설치된 카메라를 통하여 영상 등을 촬 영하거나 이를 유 무선 폐쇄회로 등의 전송로를 통해 전송 또는 저장매체에 녹화 기록할 수 있도록 하는 장치 네트워크 카메라 일정한 공간에 지속적으로 설치된 쵤영기기로 수집한 영상정 보를 유 무선 인터넷을 통하여 어느 곳에서나 수신 조작 저장 등의 처리를 할 수 있도록 하는 장치

36 제3조 개인정보 보호원칙 법률 표준지침 제3조(개인정보 보호 원칙) 1 개인정보처리자는 개인정보의 처리 목 적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개 인정보만을 적법하고 정당하게 수집하여야 한다. 2 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적 합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여 서는 아니 된다. 3 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정 보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다. 4 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다. 5 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항 을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다. 6 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법 으로 개인정보를 처리하여야 한다. 7 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명 에 의하여 처리될 수 있도록 하여야 한다. 8 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임 과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노 력하여야 한다. 제4조(개인정보 보호 원칙) 1 개인정보를 수집하는 목적은 수집 당시에 명확히 특정되어 있어야 하고 개인정보처리자는 그 특정된 목적을 달성하 기 위하여 직접적으로 필요한 범위 내에서만 개인정보를 처리하여야 한다. 2 개인정보처리자는 개인정보의 내용이 처리당시의 사실에 부합하도 록 정확하고 최신의 상태를 유지하여야 하며, 개인정보의 처리과정에서 고의 또는 과실로 개인정보가 부당하게 변경 또는 훼손되지 않도록 하여야 한다. 3 개인정보처리자는 정보주체의 권리가 침해받을 가능성과 위험의 정도에 상응하는 적절한 기술적 관리적 및 물리적 보안조치를 통하 여 개인정보를 안전하게 관리하여야 한다. 4 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 일반적으로 공개하여야 하며, 열람청구권 등 정보주체의 권리가 보장될 수 있도록 합리적인 절차를 마련하여야 한다. 5 개인정보처리자는 처리 목적에 필요한 범위에서 개인정보를 처리하는 경우에 도 가능한 한 정보주체의 사생활 침해를 최소화하는 방법을 선택하여야 한다. 6 개인정보처리자는 이 법에 의하여 개인정보의 처리에 관한 정보주체의 동의를 얻은 경우라도 구체적인 업무의 특성상 가능한 경우에는 특정 개인을 알아볼 수 없는 형태로 개인정보를 처리하여야 한다. 제 3 조

37 법 제3조는 개인정보 처리와 관련하여 국제적으로 통용되고 있는 원칙들을 반영하고 있다. 제3조의 개인정보 보호 원칙은 1980년 제정된 OECD 프라이버시 8원칙 과 EU 회원국의 입법기준이 되는 EU 개인정보보호지침 (1995)을 참고하였고, 우리나라가 제정과정에서 결정적인 역할을 수행한 APEC 프라이버시 원칙 (2004)도 고려하였다. 그 밖에 법률에서 개인정보 보호 원칙을 상세하게 기술하고 있는 영국, 스웨덴, 캐나다, 홍콩, 호주, 뉴질랜드 등의 개인정보 보호법 도 참고 하였다. 개인정보 보호원칙은 선언적 규범이어서 그 자체가 개인정보처리자를 직접적으로 구속하지는 않지만, 개인정보처리자에게는 행동의 지침을 제시해 주고, 정책담당자 에게는 정책수립 및 법집행의 기준을 제시해 주며, 사법부에 대해서는 법 해석의 이론적 기초를 제시해 줌과 동시에 입법의 공백을 막아 준다. 그런 의미에서 법 제3조가 익명처리 의 원칙을 선언하고 있다는 것은 국내 개인정보보호 정책방향에 대하여 시사하는 바가 크다고 할 수 있다. < OECD 프라이버시 8원칙과 개인정보 보호원칙의 비교 > OECD 프라이버시 8원칙 수집제한의 원칙(1원칙) 정보 정확성의 원칙(2원칙) 목적 명확화의 원칙(3원칙) 이용제한의 원칙(4원칙) 안전성 확보의 원칙(5원칙) 처리방침 공개의 원칙(6원칙) 정보주체 참여의 원칙(7원칙) 책임의 원칙(8원칙) 개인정보 보호원칙 목적에 필요한 최소정보의 수집(제1항) 사생활 침해를 최소화하는 방법으로 처리(제6항) 익명처리의 원칙(제7항) 처리목적 내에서 정확성 완전성 최신성 보장(제3항) 처리목적의 명확화(제1항) 목적 범위 내에서 적법하게 처리, 목적외 활용금지(제2항) 권리침해 가능성 등을 고려하여 안전하게 관리(제4항) 개인정보 처리방침 등 공개(제5항) 열람청구권 등 정보주체의 권리보장(제5항) 개인정보처리자의 책임준수 신뢰확보 노력(제8항)

38 개인정보 보호 원칙에 따라 개인정보처리자는 구체적이고 명확한 수집목적을 가지고 개인정보를 수집하여야 하며, 특정된 목적 달성에 직접적으로 필요하지 않은 개인정보는 처리하여서는 안된다. 예를 들어 세탁서비스제공자는 세탁완료를 알리거나 세탁물을 배달하기 위한 목적으로 고객의 성명, 전화번호 등을 수집할 수 있으나, 고객의 주민등록번호를 수집하는 것은 목적 달성을 위해 직접적으로 필요한 정보로 보이지 않으므로 수집 이용해서는 안된다. 개인정보처리자는 개인정보의 정확성과 최신성을 확보하기 위하여 개인정보 입력시 입력내용을 사전에 확인하는 절차, 개인정보에 대한 열람 및 정정 요구 등을 통해 정확한 정보를 입력할 수 있는 절차나 방법 등을 마련하여야 하며, 오류정보를 발견한 경우 정정이나 삭제할 수 있는 절차도 마련하여야 한다. 또한 개인정보를 처리하는 과정에서 개인정보취급자 등이 고의 또는 과실로 개인정보를 변경 훼손되는 일이 없도록 주의의무를 다하여야 한다. 개인정보처리자는 정보주체의 개인정보가 분식, 도난, 누출, 변조 또는 훼손되지 않도록 안전성 확보를 위한 보안조치를 강구하여야 하며, 정보주체가 제공한 개인정보가 어떠한 용도와 방식으로 이용되고 있으며 개인정보보호를 위하여 어떠한 조치를 취하고 있는지를 공개하여야 한다. 또한 정보주체가 제공한 개인 정보를 열람, 정정 및 삭제를 요구할 수 있는 절차를 마련하여야 한다. 그밖에 개인정보처리자는 수집된 개인정보가 다른 사람에게 노출되거나 악용 되는 것을 막고 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 하며, 구체적인 업무의 특성을 반영하여 개인정보데이터 기록에서 개인식별자를 제거 하거나 대체하는 익명화 또는 비식별화 방식 등을 통해 특정 개인을 알아 볼 수 없는 형태로 개인정보를 처리하여야 한다.

39 제4조 정보주체의 권리 제4조(정보주체의 권리) 정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다. 1. 개인정보의 처리에 관한 정보를 제공받을 권리 2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리 3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리 4. 개인정보의 처리 정지, 정정 삭제 및 파기를 요구할 권리 5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리 1. 연혁 법 제4조가 규정하고 있는 정보주체의 권리는 각국의 판례와 입법례를 통해서 확립된 것이다. EU개인정보보호지침 상 정보주체는 정보를 제공받을 권리, 자신의 개인정보에 대한 접근권, 부정확한 정보의 수정 삭제 폐쇄요구권, 개인정보의 처리를 거부할 권리, 개인정보가 직접판매에 이용되는 것을 거부할 권리, 자동처리정보만으로 불이익을 받지 않을 권리를 가진다. 우리나라 정보통신망법 도 동의철회권, 열람요구권, 정정요구권 등을 규정하고 있으며, 구( 舊 ) 공공기관 개인정보 보호법 도 정보주체의 열람청구권과 정정 및 삭제청구권을 인정하고 있었다. 우리나라 헌법재판소는 이른바 개인정보자기결정권 또는 개인정보자기 통제권 을 인정하고 있다. 헌법재판소는 개인정보자기결정권으로 보호하려는 내용을 위 각 기본권들 및 헌법원리들 중 일부에 완전히 포섭시키는 것은 불가능 하다고 할 것이므로, 그 헌법적 근거를 굳이 어느 한두 개에 국한시키는 것은 바람 직하지 않은 것으로 보이고, 오히려 개인정보자기결정권은 이들을 이념적 기초로 하는 독자적 기본권으로서 헌법에 명시되지 아니한 기본권이라고 보아야 할 것 이다 라고 판시하면서 헌법 제17조의 사생활의 비밀과 자유, 헌법 제10 조 제1문의 인간의 존엄과 가치 및 행복추구권에 근거를 둔 일반적 인격권 또는 위 조문들과 동시에 우리 헌법 의 자유민주적 기본질서 규정 또는 국민주권원리 와 민주주의원리 등을 이념적 기초로 하여 헌법 에 명시되지 아니한 독자적 기본권으로 개인정보자기결정권을 인정하고 있다(헌재 , 99헌마513, 판 례집 제17권 1집, 668)

40 참고 개인정보자기결정권 관련 헌법재판소 판례 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 즉 정보주 체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다. 개인의 고유성, 동일성을 나타내는 지문은 그 정보주체를 타인으로부터 식별가능하게 하는 개인정보 이므로, 시장 군수 또는 구청장이 개인의 지문정보를 수집하고, 경찰청장이 이를 보 관 전산화하여 범죄수사목적에 이용하는 것은 모두 개인정보자기결정권을 제한하는 것이라고 할 수 있다. 헌재 , 99헌마513, 2004헌마190(병합) 또한, 개인정보에 관한 권리에 대하여 대법원은 국군보안사령부가 민간인들을 대상으로 미행, 망원활용, 탐문채집 등의 방법으로 개인정보를 수집, 관리한 사례에서 헌법 제10조의 행복추구권과 헌법 제17조의 사생활의 비밀과 자유에 관한 규정은 개인의 사생활 활동이 타인으로부터 침해되거나 사생활이 함부로 공개되지 아니할 소극적인 권리는 물론, 오늘날 고도로 정보화된 현대사회에서 자신에 대한 정보를 자율적으로 통제할 수 있는 적극적인 권리까지도 보장하기 위한 것이다 라고 판시하였다(대법원 선고, 96다42789 판결). 이렇듯, 개인정보자기결정권은 헌법상 사생활의 비밀과 자유 그리고 행복추구권 으로부터 도출되는 독자적 기본권이라는 것이 우리나라 법원, 헌법재판소의 일반적인 입장이다. 개인정보자기결정권의 권원인 프라이버시권이나 행복추구권은 모두 인격발현과 밀접한 관련성을 가지는 기본권이고, 사법의 영역에서는 인격권의 일종이라고 보아야 할 것이다. 현실적으로 제기된 개인정보의 침해에 관한 소송을 보더라도, 원고는 대부분 개인정보에 관한 권리가 인격권의 일종임을 전제로 하여 정신적 손해의 배상을 구하고 있고, 법원도 위자료의 지급을 명하고 있다. 다만 개인정보가 경제 사회 활동 목적으로 유통되거나 이용되는 현실을 도외시할 수 없는데, 그렇다면 개인정보자기결정권은 순수하게 인격적 이익만 보호한다기보다 는 자신의 개인정보가 무단으로 영리목적에 활용되지 않도록 제어한다는 의미에 서 재산적 이익도 부수적으로 보호하는 특수한 인격권이라고 할 수 있다. 제 4 조 2. 권리의 내용 가. 개인정보 처리에 관한 정보를 제공받을 권리 정보주체는 개인정보 수집, 이용, 제공 등의 처리 목적과 범위 등에 관한 정보를 개인정보처리자로부터 제공받을 권리가 있다. 이에 따라 개인정보처리자는 개인

41 정보 수집 이용 제공 목적 범위 등의 고지, 개인정보처리방침의 제정 공개 등 의 의무를 진다. 나. 동의, 동의범위 등을 선택하고 결정할 권리 개인정보자기결정권의 핵심은 정보주체가 개인정보처리자의 개인정보 처리에 대하여 실질적인 통제권을 갖는 것이다. 정보주체에게 개인정보 처리여부 및 동의범위 등을 선택할 수 있는 권리를 부여한다고 하더라도 개인정보처리자가 사실상 동의를 강요하면 정보주체의 권리가 형식화하기 때문에 포괄적인 동의를 금지하고 있다. 다. 개인정보의 처리유무를 확인하고 열람을 요구할 권리 정보주체가 자신의 개인정보를 누가 얼마나 가지고 있고 어떻게 이용 제공 관리하고 있는지를 확인할 수 있도록 자신의 개인정보에 접근권을 보장하고 있다. 열람 요구권은 개인정보처리자의 무분별한 개인정보 수집 이용 제공을 방지하는 기능도 수행한다. 라. 개인정보의 정정 삭제 및 파기를 요구할 권리 개인정보처리자의 잘못된 개인정보 처리로 인한 피해를 방지하기 위하여 정보 주체에게 불완전하거나 부정확한 정보에 대한 정정 삭제 파기를 요구할 권리 를 보장하고 있다. 또한 개인정보 유출 등의 피해를 방지하고 오남용이 발생하지 않도록 개인정보의 처리목적이 달성되는 등 개인정보를 계속해서 보관할 필요성이 없어진 경우에는 자신의 개인정보를 파기해 달라고 요구할 수도 있다. 마. 피해를 신속하고 공정한 절차에 따라 구제받을 권리 정보주체는 개인정보의 수집, 이용, 제공 등으로 피해가 발생한 경우, 신속하고 공정한 절차에 따라 피해의 심각성에 비례하여 적절한 보상을 받을 권리를 가진다. 이 같은 권리를 보장하기 위해 개인정보 보호법 은 입증책임의 전환, 분쟁조정 제도 및 권리침해 중지 단체소송제도 등을 도입하고 있다.

42 3. 권리의 제한 정보주체의 권리는 제한할 수 없는 절대적인 권리는 아니다. 헌법 제37조 제2항에 의하면, 국민의 자유와 권리는 국가안전보장 질서유지 또는 공공복리를 위하여 필요한 경우에 한하여 법률로써 제한할 수 있다. 일반적으로 정보주체의 권리는 국방, 경찰, 수사, 재판, 조세 등을 위한 공권력의 발동과 관련하거나, 타 인의 기본권과 충돌되는 경우에 제한될 수 있다. 공권력에 의하여 이루어지는 개인정보의 조사, 저장, 제공, 공개 등은 정보주체의 권리에 대한 제한이라고 할 수 있으므로 그 제한에는 반드시 법률의 수권이 있 어야 한다. 그런데 개인정보의 처리를 허용하는 법률이 존재할지라도 그 법률은 반드시 법치국가원리에서 도출되는 명확성의 원칙을 따라야 한다. 정보주체의 권리를 제한함에 있어서는 개인정보의 수집ㆍ보관ㆍ이용 등의 주체, 목적, 대상 및 범위 등을 법률에 구체적으로 규정함으로써 그 법률적 근거를 보다 명확히 하는 것이 바람직하나, 개인정보의 종류와 성격, 정보처리의 방식과 내용 등에 따라 수권 법률의 명확성 요구의 정도는 달라진다. 개인정보자기결정권을 제한하는 입법으로는 형사소송법, 국가정보원법, 통계법, 전자정부법, 공직자윤리법, 의료법, 도로교통법, 국민건강 보험법, 행정기관의 정보공개에 관한 법률 등을 들 수 있다.

43 제5조 국가 등의 책무 제5조(국가 등의 책무) 1 국가와 지방자치단체는 개인정보의 목적 외 수집, 오용 남용 및 무분별한 감시 추적 등에 따른 폐해를 방지하여 인간의 존엄 과 개인의 사생활 보호를 도모하기 위한 시책을 강구하여야 한다. 2 국가와 지방자치단체는 제4조에 따른 정보주체의 권리를 보호하기 위하 여 법령의 개선 등 필요한 시책을 마련하여야 한다. 3 국가와 지방자치단체는 개인정보의 처리에 관한 불합리한 사회적 관행 을 개선하기 위하여 개인정보처리자의 자율적인 개인정보 보호활동을 존중 하고 촉진 지원하여야 한다. 4 국가와 지방자치단체는 개인정보의 처리에 관한 법령 또는 조례를 제정 하거나 개정하는 경우에는 이 법의 목적에 부합되도록 하여야 한다. 1. 인간존엄 및 사생활 보호를 위한 시책 강구 현대 복지국가에서 인간의 존엄과 개인의 사생활 보호는 국가 및 지방자치단체의 기본적 책무가 되고 있다. 국가 및 지방자치단체는 매년 개인정보의 이용 및 보호 실태를 조사하여 인간의 존엄과 개인의 사생활을 보호할 수 있는 시책을 수립 시행하여야 한다. 2. 법령의 개선 등 필요한 시책 마련 주민등록번호의 과도한 수집 이용에서 보듯이 행정 효율화, 공공의 이익보호, 경제 활성화 등을 이유로 법령에 의해서 국민의 개인정보가 과도하게 수집 이용되고 있다. 국가와 지방자치단체는 개인정보 보호법 의 입법취지를 고려하여 개인 정보의 오 남용을 방지하기 위하여 관련 법령을 개선하는 등의 노력을 기울여야 한다. 3. 개인정보보호 자율규제 촉진 지원 사회 전반에 개인정보보호 제도와 관행이 정착되기 위해서는 개인정보처리자의 자율규제가 활성화되어야 한다. 이를 위해 국가와 지방자치단체는 개인정보처리 자의 자발적인 개인정보보호 활동을 존중하고 촉진 지원하여 개인정보처리에 관 한 불합리한 사회적 관행을 개선하고 개인정보가 안전하게 처리될 수 있는 사회 적 환경을 조성할 책무가 있다. 4. 법령 조례 제 개정시 이 법 목적에 부합 국가 및 지방자치단체는 개인정보 처리에 관한 법령 또는 조례, 소관 부처 지침을 제 개정할 때 사생활의 비밀 및 자유 보호, 국민의 권리 및 이익 증진, 개인의 존 엄과 가치 구현이라고 하는 이 법의 목적에 부합할 수 있도록 하여야 한다.

44 제6조 다른 법률과의 관계 법률 표준지침 제6조(다른 법률과의 관계) 개인정보 보호에 관하여는 정보통신 망 이용촉진 및 정보보호 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 등 다른 법률에 특별한 규정이 있는 경우를 제 외하고는 이 법에서 정하는 바에 따른다. 제5조(다른 지침과의 관계) 중앙행정기관의 장이 소관 분야의 개인정 보 처리와 관련한 개인정보 보호지침을 정하는 경우에는 표준지침에 부합되도록 하여야 한다. 1. 개인정보 보호법의 성격 개인정보 보호에 관하여 이 법 이외에 다른 개별법이 있는 경우 이 법과 그 개별법 사이의 관계를 규정한 것이다. 개인정보 보호법 은 개인정보 보호에 관한 일반법적 성격을 가지므로 다른 법률에 특별한 규정이 있는 경우에는 그 법률의 규정이 우선하여 적용된다. 이는 해당 분야의 특수성을 고려한 것이다. 현재 정보통신망법, 신용정보법, 위치정보의 보호 및 이용 등에 관한 법률, 전자상거래 소비자보호법 등 다수의 개별법에서 개인정보의 처리 및 보호에 관한 규정을 두고 있다. 따라서 조문별로 개인정보 보호법에 우선하여 적 용여부를 검토하여야 한다. 다만, 위치정보법은 일반법인 개인정보 보호법에 대한 특별법에 해당하므로 모든 조문이 개인정보 보호법에 우선하여 적용된다. 일반적으로 개인정보보호에 관한 일반법을 두고 있는 나라에서는 개인정보보호 에 관하여 개별법은 두고 있는 사례는 찾아보기 어렵다. 이는 개인정보처리자에게 혼란을 주고 중복규제의 폐해가 크기 때문이다. 특정 산업이나 분야에 대해서 이 법과 다른 개인정보처리원칙이 필요하다면 그것에 한해서만 소관 법률에 예외규 정이나 특칙규정을 두면 되고 분야별 특성에 맞는 구체적인 처리기준은 제12조 에 따른 분야별 개인정보보호지침에 의해서 해결하여야 한다. 제 5 6 조 2. 법률의 적용기준 정보통신망법 등 개별법을 적용받는 자라고 해서 이 법의 적용이 면제되는 것은 아니다. 개인정보를 처리하는 자는 누구든지 이 법의 규정을 적용받는다. 다만, 해당 개별법에 이 법의 내용과 다른 특별한 규정이 있고 그 내용이 이 법 의 내용과 상충되는 경우, 그것에 한해서만 해당 법률의 규정이 우선 적용된다. 그러나 개별법에서 이 법의 내용과 다른 규정을 두고 있다고 해서 무조건 해

45 당 개별법의 규정이 우선 적용되는 것은 아니다. 개별법의 목적, 취지 등을 전반 적으로 고려해서 이 법의 적용을 배제할 의도가 분명하다고 인정되는 경우 또는 이 법의 규정을 그대로 적용할 경우 이 법과 개별법 사이에 모순이 발생하거나 불합리한 상황 또는 왜곡된 결과가 발생하는 경우만 개별법 규정이 적용된다. 예를 들어, 개별법 적용 대상자라 하더라도 처리대상 정보주체와의 관계가 해 당법률에서 규율하는 관계(정보통신서비스 제공자와 이용자 관계)가 아니라면 개인정보 보호법 을 적용받는다. 예를 들어 인물정보사이트를 운영하고 있는 정보통신서비스 제공자는 사이트를 이용하는 고객과의 관계에서는 정보통신망법 이 적용되나, 인물DB를 구성하는 개별 정보주체와의 관계는 서비스 제공자와 이 용자의 관계가 아니므로 개인정보 보호법 이 적용된다. 이것은 특수한 분야를 규율하는 개별법의 관계가 아니기 때문이다. 개인정보 보호법 은 일반법으로서 개인정보 처리에 관한 경제 사회의 공통 적이고 평균적인 요구수준을 반영하고 있으므로, 다른 법률의 규정이 이 법의 규 정보다 보호수준을 더 강화하고 있는 경우는 물론 이 법의 규정보다 더 보호수 준을 완화하고 있는 경우에도 해당 개별법의 규정이 우선하여 적용된다. 다른 법률 에 특별한 규정이 있는 경우에만 그 법률의 규정이 이 법에 우 선하여 적용되므로 법률이 아닌 시행령이나 시행규칙 고시, 조례 등에 이 법과 다른 특별한 규정이 있는 경우에는 그 시행령 등은 우선 적용되지 않는다. 그런 경우에는 당연히 이 법이 우선하여 적용된다. 다만, 그 시행령 등이 법률의 위임 을 받은 것일 경우에는 그 시행령 등이 우선하여 적용된다. 3. 다른 법률의 폐지 및 다른 법률의 개정 개인정보 보호법 의 시행에 따라, 공공기관 개인정보 보호법 은 폐지한다 (부칙 제2조). 또한 다른 법령에서 공공기관 개인정보 보호법 을 인용하였던 조 문은 개인정보 보호법 을 인용하는 것으로 개정된다. 정보통신망법 의 일부 규정도 개인정보 보호법 의 시행에 따라 일부 규정 이 개정되거나 삭제되었다. 특히 개인정보분쟁조정위원회 관련 조문(제4장제4절, 제66조제1호) 및 정보통신망법 상 준용사업자 관련 조문(제67조)은 개인정보 보호법 시행에 따라 이 법의 적용대상이 되므로 삭제되었다. 과거 정보통신망법 은 원칙적으로 정보통신서비스 제공자와 정보통신서비스를 이용하는 자의 관계에서 개인정보를 처리하는 경우에 적용되었으며, 이 외에 회원 제로 개인정보를 수집하여 재화 용역을 공급하는 사업자 (여행업자, 호텔업자, 항

46 공운송업자, 학원, 교습소 등)를 준용사업자로 규정하여 정보통신서비스 제공자와 마찬가지로 정보통신망법 의 개인정보 보호 관련 내용을 적용하여 왔다. 이는 정보통신서비스 업종 이외의 업종에서도 다량의 개인정보를 수집 이용함에 따라 서 이러한 업종에도 정보통신망법을 적용하여 개인정보를 보호하기 위한 취지였 다. 그러나 개인정보 보호법 이 시행됨으로써 정보통신망법 에서 준용사업 자 규정(제67조)을 별도로 둘 필요가 없어짐에 따라 해당 조항은 삭제되었으며, 준용사업자 업종들은 개인정보 보호법 에 따른 개인정보 처리자에 포함되게 되었다. < 삭제된 정보통신망법 제67조 > 제67조 (정보통신서비스 제공자 외의 자에 대한 준용) 1 정보통신서비스 제공자 외의 자로서 재화등을 제공하는 자 중 대통령령으로 정하는 자가 자신이 제공하는 재화등을 제공받는 자의 개인정보를 수집 이용 또는 제공하는 경우에는 제22조, 제23조, 제23 조의2, 제24조, 제24조의2, 제25조, 제26조, 제26조의2, 제27조, 제27조의2, 제28조, 제28조의2 및 제29조부터 제32조까지의 규정을 준용한다. 이 경우 정보통신서비스 제 공자 또는 정보통신서비스 제공자등 은 재화등을 제공하는 자 로, 이용자 는 재화등을 제공받는 자 로 본다. 또한 제22조, 제23조, 제23조의2, 제24조, 제24조의2, 제25조, 제26조, 제26조의2, 제27조, 제27조의2, 제28조, 제28조의2 및 제29조부터 제32조까 지의 규정을 준용하는 자에 대하여는 제27조제1항 제3항, 제27조의2제1항 제3항 및 제28조제1항에 따른 기준, 방법 등 세부사항을 행정안전부령으로 정한다. 대상 업종 근거 법령 舊 정보통신망법 규정 여행업 또는 호텔업 관광진흥법 제3조제1항 시행령 제71조제1호 항공운송사업 항공법 제2조제31호 시행령 제71조제2호 학원 또는 교습소 학원의 설립 운영 및 과외교습에 관한 법률 제2조제1호 및 제2호 시행령 제71조제3호 휴양콘도미니엄업 관광진흥법 제3조제1항제2호나목 시행규칙 제6조제1호 대형마트 백화점 쇼핑센터 유통산업발전법 제2조제3호 시행규칙 제6조제2호 체인사업 유통산업발전법 제2조제5호 시행규칙 제6조제3호 주택건설사업 주택법 제2조제5호 시행규칙 제6조제4호 주택관리업자 주택법 제53조제1항 시행규칙 제6조제5호 건설기계대여업 건설기계정비업 건설기계매매업 건설기계폐기업 부동산 중개업자 자동차매매업, 신조차 매매 및 등록신청의 대행업 < 舊 정보통신망법 상 준용사업자 목록> 건설기계관리법 제2조제3부터 제6호 공인중개사의 업무 및 부동산 거래신고에 관한법률 제2조제4호 자동차관리법 제2조제7호 시행규칙 제6조제6호 시행규칙 제6조제7호 시행규칙 제6조제8호

47 자동차대여사업 여객자동차운수사업법 제2조제4호 시행규칙 제6조제9호 결혼중개업자 결혼중개업의 관리에 관한 법률 제2조제5호 시행규칙 제6조제10호 의료업 의료법 제3조제1항 시행규칙 제6조제11호 유료직업소개사업 직업안정법 제4조제5호 시행규칙 제6조제12호 석유정제업 (석유정제시설을 모두 갖춘 자) 체육시설업자 석유 및 석유대체연료 사업법 제5조제1항 체육시설의 설치 이용에 관한 법률 제2조제3호 시행규칙 제6조제13호 시행규칙 제6조제14호 비디오물의 대여업 영화 및 비디오물의 진흥에 관한 법률 제2조제12호 시행규칙 제6조제15호 서점 출판문화사업진흥법 제2조제9호 시행규칙 제6조제16호 영화상영관 설치 경영자 영화 및 비디오물의 진흥에 관한 법률 제36조제1항 시행규칙 제6조제17호 사례 정보통신망법에 규정이 미비하거나 없는 경우 개인정보 보호법 적용 정보통신망법 에는 개인정보 유출 통지 신고에 관한 규정이 없으나 개인정보 보 호법 은 개인정보 유출사고시 통지 신고의무를 부여하고 있다(제34조). 따라서 정보 통신서비스제공자의 개인정보 유출사고 발생시에는 개인정보 보호법 에 따라 유 출 통지 신고 의무를 져야 한다. 또한, 개인정보를 제공받는 자의 이용 제공자(제19조), 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지(제20조), 민감정보의 처리제한(제23조), 고유식별정보 의 처리제한(제24조), 개인정보취급자에 대한 감독(제28조), 개인정보 유출통지 신 고(제34조), 개인정보의 처리정지(제37조), 집단분쟁조정(제49조), 권리침해중지 단체 소송(제52조) 등은 정보통신망법에 특별한 규정이 없으므로 개인정보 보호법이 우선 적용된다. 다만 의견제시 및 개선권고(제61조), 자료제출 요구 및 검사(제63조), 시정 조치(제64조), 고발 및 징계권고(제65조), 결과의 공표(제66조)의 경우에는 정보통신 망법이 우선하여 적용되고, 필요한 경우 개인정보 보호법이 보충하여 적용될 수 있 다.

48 사례 상법 우선 적용 개인정보 보호법 에서는 정보주체로부터 별도의 동의를 받거나, 다른 법률의 특별 한 규정이 있는 경우 등에 한하여 개인정보를 제3자에게 제공할 수 있다(제15조제1 항 및 제18조제2항). 근로자의 복리후생을 위해 회사가 근로자를 일괄하여 피보험자 로 하는 단체보험을 체결하는 경우, 회사는 직원의 개인정보를 제3자인 보험자에게 제공해야 하는데, 개인정보 보호법 에 따라 직원의 별도의 동의를 받아야 한다. 그러나 상법 은 타인의 생명보험과 관련하여 제731조제1항에서 타인의 사망을 보 험사고로 하는 보험계약에는 보험계약 체결 시에 그 타인의 서면에 의한 동의를 얻 어야 한다 고 규정하고 있고, 단체의 대표자가 그 단체의 구성원의 전부 또는 일부를 피보험자로 하여 보험자와 1개의 보험계약을 체결함으로써 성립하는 단체보험의 경 우, 상법 제735조의3제1항에 따라 단체의 규약에 따라 구성원의 전부 또는 일부 를 피보험자로 하는 생명보험계약을 체결하는 경우에는 제731조를 적용하지 아니한 다 고 규정하고 있다. 상해보험의 경우에도 상법 제739조에 따라 생명보험에 관한 규정이 준용되므로 단체상해보험계약을 체결하기 위해서는 보험계약체결에 대한 근로 자의 동의를 갈음하는 규약이 있는 경우 근로자의 서면동의가 없어도 된다. 따라서 단체보험계약체결에 관한 사항을 포함하고 있는 규약이 있는 경우에는 근 로자의 동의없이 회사가 수집한 개인정보를 보험회사인 제3자에게 제공할 수 있도 록 규정하고 있는 상법 이 적용된다. 상법 제735조의3에서 말하는 규약의 의미는 단체협약, 취업규칙, 정관 등 그 형식 을 막론하고 단체보험의 가입에 관한 단체내부의 협정에 해당하는 것이고, 당해 보험 가입과 관련하여 상세한 사항까지 규정할 것을 요하지 않지만 대표자가 구성원을 위 하여 일괄하여 계약을 체결할 수 있다는 취지는 담겨 있어야 할 것이다(대법원 선고2003다60259판결). 예를 들어 취업규칙 등에 생명보험가입에 관한 조항 을 두고, 보험금의 지급은 사망퇴직금이나 사망위로금의 지급에 충당하는 규정을 두 고 있고 근로자가 서명날인하였다면 피보험자의 동의에 갈음할 수 있을 것이다. 그러 나 규약에 단체보험계약체결에 관한 사항을 포함하지 않고 단순히 퇴직금, 사망위로 금 등만 규정하고 있는 경우에는 근로자의 동의가 서면동의가 필요하다. 4. 다른 법률과의 관계 개인정보 보호법 은 일반법으로서 모든 개인정보처리자와 정보주체와의 관계에 적용된다. 다만, 정보통신망법 에 따른 정보통신서비스 제공자와 정보통신서비스 이용자의 관계, 신용정보법 에 따른 신용정보사업자와 신용정보주체와의 관계에 있어서 해당 법에 특별한 규정이 있다면 그 규정을 따른다. 영상정보처리기기, 영향평가, 고유식별정보 및 민감정보 처리 제한, 유출통지제, 집 단분쟁조정제도, 권리침해행위 단체소송, 정보주체 이외로부터 수집한 개인정보의 출 처 고지 등 개인정보 보호법 에만 규정되어 있는 내용은 당연히 개인정보 보 호법 이 적용된다. 그러나 같은 내용에 관하여 달리 규정되어 있는 경우 개별법을 적용하므로, 개인정보 보호법 제15조제2항에 따른 수집 이용시의 동의사항은 정보통신서비 스 제공자와 이용자의 관계에 있어서는 적용되지 않고, 정보통신망법 제22조

49 제1항이 적용된다. 해당 사안에 있어서의 동의 사항은 수집 이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유 이용 기간이다. 한편, 다른 법에서 개인정보 보호법 제31조의 개인정보 보호책임자와 그 취지상 유사한 제도를 두고 있는 경우에는 해당 법률에 따라 지정하면 되고 개인정보 보호 법 에 따라 개인정보 보호책임자를 별도로 지정할 필요는 없다. 예컨대, 정보통 신망법 에 따라 개인정보 관리책임자를 지정하였거나, 신용정보법 에 따라 신용정 보 관리책임자를 지정하였을 경우에는 별도로 개인정보 보호책임자를 지정하지 않아도 된다. 다만 개인정보 보호법 에서 규정한 개인정보 보호책임자의 업무를 동시에 수행 하여야 한다. 구분 정보통신망법 신용정보법 제15조(개인정보의 수집 이용) 제16조(개인정보의 수집제한) 제17조(개인정보의 제공) 제18조(개인정보의 이용 제공 제한) 제19조(개인정보를 제공받는 자의 이용 제공 제한) 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지) 제21조(개인정보의 파기) 정보통신망법 제22조에 따른 이용자의 개인정보 수집은 정보 통신망법을 우선 적용하며, 그 외의 개인정보 수집시에는 개인정보 보호법 적용 정보통신망법 제23조 적용 정보통신망법 제24조의2 적용 정보통신망법 제24조 적용 개인정보 보호법 적용 개인정보 보호법 적용 정보통신망법 제29조 적용 신용정보법 제15조(신용정보에 대한 수집 조사의 원칙), 제23조 (공공기관에 대한 신용정보의 열람 및 제공 요청 등)를 제외 하고는 개인정보 보호법 적용 신용정보법상 신용정보의 수집 조사 및 처리에 관한 예외사유 (제16조)에 해당하는 경우를 제외하고 개인정보 보호법 적용 신용정보법 제32조 적용 신용정보법 제33조 적용 개인정보 보호법 적용 개인정보 보호법 적용 신용정보법 제21조에 해당하는 경우를 제외하고는 개인정보 보호법 적용

50 제22조(동의를 받는 방법) 제23조(민감정보의 처리제한) 재24조(고유식별 정보의 처리 제한) 제25조(영상정보 처리기기의 설 치 운영 제한) 제26조(업무위탁에 따른 개인정보의 처리 제한) 정보통신망법 제24조의2 적용 개인정보 보호법 적용 개인정보 보호법 적용 단, 주민등록번호 대체수단, 안전성 확보조치는 정보통 신망법 적용 개인정보 보호법 적용 정보통신망법 제25조 적용 신용정보법 제32조 적용. 단, 14세 미만의 아동의 동의는 개인정보 보호법 적용 신용정보법 제16조 적용 주민등록번호 대체수단에 대해서는 개인정보 보호법 적용, 안전성 확보조치에 대해서는 신용정보법 제19조의 전산시 스템의 안전보호 조치 적용 개인정보 보호법 적용 개인정보 보호법 적용 제27조(영업양도 등에 따른 개인정 보의 이전 제한) 정보통신망법 제26조 적용 개인정보 보호법 적용 제28조(개인정보 취급자에 대한 감독) 개인정보 보호법 적용 개인정보 보호법 적용 제29조(안전조치 의무) 제30조(개인정보 처리방침의 수립) 정보통신망법 제28조 적용 정보통신망법 제27조의2 적 용(개인정보 처리방침 요구 사항 모두 포함) 신용정보법 제19조 적용 신용정보법 제20조 적용(개 인정보 처리방침 요구항목 모두 포함) 제31조(개인정보 보호책임자의 지정) 제33조(개인정보 영향평가) 정보통신망법 제27조 적용 (단, 업무가 상이한 경우 개 인정보 보호책임자의 업무 추가수행) - 신용정보법 제20조 적용(단, 업무가 상이한 경우 개인정 보 보호책임자의 업무 추가 수행) 신용정보법의 적용을 받는 공공기관은 개인정보 보호법 적용

51 제34조(개인정보 유출 통지 신고 등) 개인정보 보호법 적용 개인정보 보호법 적용 제35조(개인정보의 열람) 정보통신망법 제30조 적용 신용정보법 제38조 적용 제36조(개인정보의 정정 삭제) 동의를 받는 방법 철회는 정보통신망법 제30조 적용, 그 외의 처리정지 요구에는 개인정보 보호법 적용 신용정보법 제38조 적용 제37조(개인정보의 처리정지 등) 개인정보 보호법 적용 개인정보 보호법 적용 제38조(권리행사의 방법 및 절차) 정보통신망법 제30조 적용 개인정보 보호법 적용 제39조(손해배상 책임) 제49조(집단분쟁 조정) 제51~57조(침해 중지 단체소송) 정보통신망법 제32조 적용 개인정보 보호법 적용 개인정보 보호법 적용 신용정보법 제43조 적용 개인정보 보호법 적용 개인정보 보호법 적용 제59조(금지행위) 정보통신망법 제28조의 적용, 단 개인정보 보호법에 따른 금지의무 준수 개인정보 보호법 적용 제60조(비밀유지 등) 개인정보 보호법 적용 개인정보 보호법 적용 제63조(자료제출 요구 및 검사) 해당 법률 위반시, 정보통신망법 제64조 및 개인정보 보호법 적용 신용정보법 제45조, 제52조 적용 제66조(결과의 공표) 해당 법률 위반시 정보통신망법 제64조 및 개인정보 보호법 적용 개인정보 보호법 적용

52 < 개인정보 보호 관련 법령 현황 > (17개 부처 38개 법률) 연번 소관부처 법령 주요내용 개인정보 보호법 공공 및 민간 대상 개인정보 처리 기준 및 보호조치 공공기관의 정보공개에 관한 법률(제9조) 공공기관 대상 개인정보의 관리적 기술적 보호 민원사무처리에 관한 법률(제22조) 공공기관 대상 개인정보의 비공개 1 행정 안전부 주민등록법(제30조 등) 행정기관 및 행정업무 위탁기관 민원인의 신상정보 누설 금지 전자정부법(제4조) 중앙행정기관, 지방자치단체 대상 주민등록정보의 처리 및 보호 전자서명법(제24조) 행정기관 대상 개인정보및사생활 보호원칙명시 공직자윤리법(제13조 등) 행정기관 대상 공직자재산등록정보의 보호 정보통신망 이용촉진 및 정보 보호에 관한 법률 통신사업자 대상 개인정보의 관리적 기술적 보호 2 방송통신 위원회 위치정보의 보호 및 이용 등 에 관한 법률(제3조 등) 통신사업자 등 위치정보 사업자 대상 개인 위치정보의 비밀 보호 인터넷주소자원에 관한 법률 (제15조) 인터넷주소관리기관 등 대상 인터넷주소 사용자 정보의 보호 신용정보의 이용 및 보호에 관한 법률(제16조 등) 금융기관, 신용평가기관 등 대상 신용정보 제공 활용 및 보호조치 3 금융 위원회 보험업법(제177조) 은행법(제21조의1) 보험사업자 대상 개인정보의 누설 제공 금지 금융기관의 임원 및 직원 대상 정보누설 목적외 이용 금지 금융실명거래 및 비밀보장에 관한 법률(제4조) 금융기관 대상 거래정보의 활용 및 보호 의료법(제21조의1) 병 의원 등 의료기관 대상 환자의 진료내역, 병력 등의 정보보호 4 보건 복지부 건강검진기본법(제18조) 장기 이식 등에 관한 법률 (제27조) 국가, 지방자치단체 대상 검진자료의 활용 및 보호 장기이식관리기관 등 대상 장기 이식자 등의 비밀 보호 생명윤리 및 안전에 관한 법률 (제35조) 건강검진기관 대상 유전정보 등의 보호

53 인체조직안전 및 관리 등에 관한 법률(제2조) 조직병원 등 대상 조직기증자 정보 보호 교육과학 기술부 6 법무부 공정거래 위원회 기획 재정부 교육기본법 초중등교육법 통신비밀보호법 출입국관리법 소비자기본법 전자상거래등에서의 소비자보 호에 관한 법률(제11조) 방문판매 등에 관한 법률 (제48조) 관세법(제116조) 관세사법(제14조) 교육관련 기관 등 대상 학생 신상정보 및 생활기록 정보보호 초 중 고등학교 대상 학생관련 자료제공의 제한 통신사업자 및 통신망관리자 대상 통신망을 통해전송되는 정보 보호 출입국관리업무 담당 대상 출입관리정보의 보호 국가 지방자치단체 등 대상 소비자의 개인정보 보호 명시 전자상거래 이용 기업 대상 소비자의 정보이용 등 보호 방문판매 사업자 대상 소비자 정보의 오 남용 및 도용방지 세관공무원 대상 관세정보의 보호 및 이용 관세사, 직무보조자 대상 업무상 비밀 유지 지식 경제부 전자거래기본법(제12조) 저자상거래 이용자 대상 이용자의 개인정보 보호 명시 외교 통상부 여권법(제18조) 국가(외교통상부) 대상 개인정보 보호조치 등 국토 해양부 공인중개사의 업무 및 부동산 거래신고에 관한 법률(제29조) 자동차관리법(제69조) 중개업자 및 공인중개사 대상 업무상 비밀준수 국가(국토해양부) 대상 자동차소유자 사생활 비밀 보호 고용 노동부 노동위원회법(제28조) 노동위원회의 위원, 직원 대상 업무상 비밀준수 13 국세청 국세기본법(제81조의13) 14 통계청 통계법(제33조 등) 15 경찰청 경찰관직무집행법(제2조 등) 16 병무청 병역법(제80조 등) 17 감사원 감사원법(제27조) 국세청, 세무서 등 대상 기업 및 개인 등 납세자 정보 보호 중앙, 지방자치단체 대상 통계작성 등 위한 개인정보 보호 경찰공무원 대상 치안정보의 수집 작성 및 배포 병역담당 기관 및 공무원 등 대상 병역정보의 수집 이용 등 감사원 대상 감사자료의 목적외 사용 금지

54 제2장 개인정보 보호정책의 수립 등 제7조 제8조 제9조 제10조 제11조 제12조 제13조 제14조 개인정보 보호위원회 보호 위원회의 기능 등 기본계획 시행계획 자료제출 요구 등 개인정보 보호지침 자율규제의 촉진 및 지원 국제협력

56 제7조, 제8조 개인정보 보호위원회, 기능 등 법률 제7조(개인정보 보호위원회) 1 개인정보 보호에 관한 사항을 심의 의결하기 위하여 대통령 소속으로 개인정보 보호위원회(이하 보호 위원회 라 한다)를 둔다. 보호위원회는 그 권한에 속하는 업무를 독 립하여 수행한다. 2 보호위원회는 위원장 1명, 상임위원 1명을 포함한 15명 이내의 위원으로 구성하되, 상임위원은 정무직 공무원으로 임명한다. 3 위원장은 위원 중에서 공무원이 아닌 사람으로 대통령이 위촉한다. 4 위원은 다음 각 호의 어느 하나에 해당하는 사람을 대통령이 임 명하거나 위촉한다. 이 경우 위원 중 5명은 국회가 선출하는 자를, 5 명은 대법원장이 지명하는 자를 각각 임명하거나 위촉한다. 1. 개인정보 보호와 관련된 시민사회단체 또는 소비자단체로부터 추 천을 받은 사람 2. 개인정보처리자로 구성된 사업자단체로부터 추천을 받은 사람 3. 그 밖에 개인정보에 관한 학식과 경험이 풍부한 사람 5 위원장과 위원의 임기는 3년으로 하되, 1차에 한하여 연임할 수 있다. 6 보호위원회의 회의는 위원장이 필요하다고 인정하거나 재적위원 4분의 1 이상의 요구가 있는 경우에 위원장이 소집한다. 7 보호위원회는 재적위원 과반수의 출석과 출석위원 과반수의 찬 성으로 의결한다. 8 보호위원회의 사무를 지원하기 위하여 보호위원회에 사무국을 둔다. 9 제1항부터 제8항까지에서 규정한 사항 외에 보호위원회의 조직 과 운영에 필요한 사항은 대통령령으로 정한다. 제8조(보호위원회의 기능 등) 1 보호위원회는 다음 각 호의 사항을 심의 의결한다. 1. 제9조에 따른 기본계획 및 제10조에 따른 시행계획 2. 개인정보 보호와 관련된 정책, 제도 및 법령의 개선에 관한 사항 3. 개인정보의 처리에 관한 공공기관 간의 의견조정에 관한 사항 4. 개인정보 보호에 관한 법령의 해석 운용에 관한 사항 5. 제18조제2항제5호에 따른 개인정보의 이용 제공에 관한 사항 6. 제33조제3항에 따른 영향평가 결과에 관한 사항 7. 제61조제1항에 따른 의견제시에 관한 사항 8. 제64조제4항에 따른 조치의 권고에 관한 사항 9. 제66조에 따른 처리 결과의 공표에 관한 사항 10. 제67조제1항에 따른 연차보고서의 작성 제출에 관한 사항 11. 개인정보 보호와 관련하여 대통령, 보호위원회의 위원장 또는 위 원 2명 이상이 회의에 부치는 사항 12. 그 밖에 이 법 또는 다른 법령에 따라 보호 위원회가 심의 의결 하는 사항 2 보호위원회는 제1항 각 호의 사항을 심의 의결하기 위하여 필요 하면 관계 공무원, 개인정보 보호에 관한 전문 지식이 있는 사람이 제 7 8 조

57 나 시민사회단체 및 관련 사업자로부터 의견을 들을 수 있고, 관계 기관 등에 대하여 자료 등의 제출을 요구할 수 있다. 시행령 제4조(위원의 제척ㆍ기피ㆍ회피) 1 법 제7조제2항에 따른 개인정보 보호위원회(이하 보호위원회 라 한다)의 위원은 다음 각 호의 어느 하나에 해당하는 사항에 대한 심의ㆍ의결에 관여하지 못한다. 1. 위원 또는 위원의 배우자, 4촌 이내의 혈족, 2촌 이내의 인척인 사람이나 그 사람이 속한 기관ㆍ단체와 이해관계가 있는 사항 2. 위원이 증언, 진술 또는 감정( 鑑定 )을 하거나 대리인으로 관여한 사항 3. 위원이나 위원이 속한 공공기관ㆍ법인 또는 단체 등이 조언 등 지원을 하고 있는 자와 이해관계가 있는 사항 2 보호위원회가 심의ㆍ의결하는 사항과 직접적인 이해관계가 있는 자 는 제1항에 따른 제척 사유가 있거나 심의ㆍ의결의 공정을 기대하기 어 려운 사유가 있는 위원에 대해서는 그 사유를 밝혀 보호위원회에 그 위 원의 기피를 신청할 수 있다. 이 경우 위원장이 기피 여부를 결정한다. 3 위원은 제1항 또는 제2항에 해당하는 경우에는 스스로 심의ㆍ의 결을 회피할 수 있다. 제5조(전문위원회) 1 보호위원회는 법 제8조제1항에 따른 심의ㆍ의 결 사항에 대하여 사전에 전문적으로 검토하기 위하여 보호위원회에 분야별 전문위원회(이하 전문위원회 라 한다)를 둘 수 있다. 2 제1항에 따라 전문위원회를 두는 경우 각 전문위원회는 위원장 1명을 포함한 5명 이내의 위원으로 구성하되, 전문위원회 위원은 다 음 각 호의 사람 중에서 보호위원회의 동의를 받아 보호위원회 위원 장이 임명하거나 위촉하고, 전문위원회 위원장은 보호위원회 위원장 이 전문위원회 위원 중에서 지명한다. 1. 보호위원회 위원 2. 개인정보 보호 관련 업무를 담당하는 중앙행정기관의 관계 공무원 3. 개인정보 보호에 관한 전문지식과 경험이 풍부한 사람 4. 개인정보 보호와 관련된 단체 또는 사업자단체에 속하거나 그 단 체의 추천을 받은 사람 3 전문위원회의 회의는 재적위원 과반수의 출석으로 개의( 開議 )하고, 출석위원 과반수의 찬성으로 의결한다. 제6조(의사의 공개) 보호위원회의 의사( 議事 )는 공개한다. 다만, 보호위원 회 위원장이 필요하다고 인정하는 경우에는 공개하지 아니할 수 있다. 제7조(공무원 등의 파견) 보호위원회는 그 업무 수행을 위하여 필요 하다고 인정하는 경우에는 공공기관에 그 소속 공무원 또는 임직원 의 파견을 요청할 수 있다. 제8조(조직 및 정원 등) 이 영에서 규정한 사항 외에 보호위원회의 조직 및 정원 등에 관하여 필요한 사항은 따로 대통령령으로 정한다. 제9조(출석수당 등) 보호위원회 또는 전문위원회의 회의에 출석한 위 원, 법 제8조제2항에 따라 보호위원회에 출석한 사람 및 전문위원회 에 출석한 사람에게는 예산의 범위에서 수당ㆍ여비, 그 밖에 필요한

58 경비를 지급할 수 있다. 다만, 공무원이 그 소관 업무와 직접 관련되 어 출석하는 경우에는 그러하지 아니하다. 제10조(보호위원회 등의 운영 세칙) 법과 이 영에서 규정한 사항 외 에 보호위원회 및 전문위원회의 구성 및 운영 등에 필요한 사항은 보호위원회의 의결을 거쳐 보호위원회의 규칙으로 정한다. 1. 보호위원회의 설치배경 개인정보보호정책의 의사결정 독립성을 보장하기 위하여 대통령 소속으로 보 호위원회를 두고 있다. 독립적이고 전문적인 개인정보감독기구의 설치는 개인정 보보호제도의 운영에 있어서 가장 핵심적인 요소이자 안전장치이다. 서구 선진국 들도 각기 형태와 기능은 다르지만 독립적인 개인정보 감독기구를 두고 있다. 개인정보보호제도에 있어서 독립적인 감독기구가 강조되는 이유는 전통적으로 개인정보를 대량으로 처리하는 기관들이 대부분 정부기관이나 대기업이고 이들 의 개인정보 처리 활동을 전문적으로 평가 견제할 수 있는 장치가 필요하기 때문 이다. 따라서 개인정보감독기구의 요체는 독립성과 전문성이라고 할 수 있으며, 감독을 하는 자와 감독을 받는 자가 조직적 기능적으로 분리되어 있을 것이 요구 된다. 이에 따라 개인정보 보호법 은 보호위원회의 소속을 대통령 소속으로 하 고, 보호위원회는 그 권한에 속하는 업무를 독립하여 수행하도록 하고 있다. 국 가 기관명 기관의 성격 소속 기관장 임명 프랑스 독일 국가정보처리 자유위원회 연방 프라이버시 커미셔너 독립행정기관 별도기구 위원중에서 내부선출 행정부소속기관이나 독립적인 업무수행 연방내무부 대통령 영국 정보커미셔너 독립기관 별도기구 국왕 홍콩 캐나다 호주 일본 개인정보 커미셔너 연방 프라이버시 커미셔너 연방 프라이버시 커미셔너 정보공개 개인 정보보호 심사회 < 국가별 개인정보감독기구 형태 > 독립기관 별도기구 홍콩특별행정구역장관 독립기관 의회소속기 구 추밀원장 독립기관 별도기구 정부 독립기관 별도기구 내각총리대신

59 2. 보호위원회의 조직 및 운영 가. 보호위원회의 구성 1) 구성 : 위원장 1명, 상임위원 1명을 포함한 15명 이내의 위원으로 구성하도록 하고 있다. 2) 위원장 : 공무원이 아닌 위원 중에서 대통령이 위촉하며, 보호위원회를 대표 하고 보호위원회의 업무를 통할한다. 3) 상임위원 : 정무직 공무원으로 보하며, 보호위원회의 회의운영에 관하여 위원 장을 보좌한다. 또한, 위원장이 부득이한 사유로 그 직무를 수행할 수 없는 때에는 그 직무를 대행한다. 4) 위원 : 대통령이 임명 또는 위촉하되, 5명은 국회가 선출한 자를, 5명은 대법 원장이 지명한 자를 각각 임명 또는 위촉하여야 한다. 5) 임기 : 위원장과 위원의 임기는 3년으로 하되, 1차에 한하여 연임이 가능하다. 6) 위원의 자격 : 각계 이해당사자의 참여와 전문적인 경험 지식을 활용하기 위하여 시민사회단체 소비자단체가 추천한 자, 사업자단체가 추천한 자, 개인정보에 관한 학식과 경험이 풍부한 자로 제한하고 있다. 나. 보호위원회 사무국 보호위원회의 사무를 지원하기 위하여 보호위원회에 사무국을 둔다. 다. 보호위원회의 운영 이 법에서 규정하고 있는 사항 이외에 보호위원회의 조직 운영에 관하여 필 요한 사항은 대통령령으로 정하도록 함에 따라 대통령령에서는 전문위원회의 설 치 운영, 공무원 등의 파견, 조직 및 정원, 출석수당 등에 관한 사항을 규정하고 있으며 그 밖의 필요한 사항은 보호위원회 규칙으로 정하도록 위임하고 있다. 3. 보호위원회의 소집 및 의결 가. 회의 소집 보호위원회의 회의는 위원장이 필요하다고 인정하거나 재적위원 4분의 1 이상 의 요구가 있는 경우에 위원장이 소집한다. 또한 보호위원회는 대통령, 위원장, 위원 2명 이상이 회의에 부치는 사항에 대해서는 회의를 개최하여 심의 의결을 하여야 한다.

60 나. 회의 의결 보호위원회는 재적위원 과반수의 출석과 출석위원 과반수의 찬성으로 의결한다. 다. 회의 공개 보호위원회의 의사는 공개함을 원칙으로 한다. 다만, 보호위원회가 필요하다고 인정하는 경우에는 공개하지 아니할 수 있다. 라. 제척 기피 회피 위원은 다음 각 호의 어느 하나에 해당하는 사항에 대한 심의 의결에서 제척된다. 1 위원과 직접적인 이해관계가 있는 사항 2 위원 또는 위원의 배우자, 4촌 이내의 혈족, 2촌 이내의 인척 관계에 있는 사람 이나 그 사람이 속한 기관 단체와 이해관계에 있는 사항 3 위원 또는 위원이 속한 기관이 자문 고문 등을 행하고 있는 사람이나 기관 단체 와 이해관계가 있는 사항 보호위원회가 심의 의결하는 사항과 직접적인 이해관계가 있는 자는 위원에게 심의 의결의 공정을 기대하기 어려운 사정이 있는 경우에 그 사유를 적어 기피신 청을 할 수 있다. 이 경우 위원장이 기피여부를 결정한다. 위원이 이상의 사유에 해당하는 때에는 스스로 심의 의결에서 회피할 수 있다. 4. 보호위원회의 기능 가. 보호위원회의 심의 의결사항 나라마다 강조하는 기능상에 약간의 차이가 있으나 각국의 개인정보감독기구들은 주 로 옴부즈맨(ombudsmen), 감사관(auditor), 상담사 자문관(consultant), 중재자(negotiator), 정책조언자(policy adviser), 법집행자(enforcer) 등으로서의 기능을 수행한다. 이와 달리 우리나라 보호위원회는 직접적으로 법령 정책 등을 수립하거나 집행 하는 기능은 없으며, 주요 정책 등에 대한 심의 의결 기능을 지니고 있다. 이 같 은 심의 의결은 원칙적으로 행정안전부나 공공기관 등의 요청이 있어야 한다. 다만, 법 정책 및 제도 개선, 법령 조례에 대한 의견제시, 공공기관에 대한 개인 정보 처리정지 및 침해행위 중지 권고 등은 행정안전부나 공공기관 등의 요청이 없더라도 보호위원회가 직권으로 심의 의결할 수 있다.

61 < 보호위원회 행전안전부 중앙행정기관 간 기능 역할 비교 > 개인정보보호위원회 (심의 의결기능) 기본계획 및 시행계획 심의 의결 법 정책 제도 개선에 관한 심의 의결 공공기관 간 의견조정 사항 심의 의결 법령의 해석 운용에 관한 심의 의결 개인정보 목적외 이용 제공에 관한 심의 의결 영향평가 결과에 관한 심의 의결 법령 조례에 대한 의견제시에 관한 심의 의결 개인정보처리정지, 침해행위중지 권고 에 관한 심의 의결 징계, 고발, 시정조치, 과태료부과 등의 결과공표에 관한 심의 의결 연차보고서 작성 제출에 관한 심의 의결 대통령, 위원장, 위원 2명 이상이 회의 에 부치는 사항 등 행정안전부 (집행 총괄기능) 부문별 기본계획 시행계획 작성지침 제정 배포 기본계획의 수립(취합) 및 통보 표준 개인정보보호지침 제정 개인정보처리방침 작성지침의 제정 권고 개인정보열람창구 구축 운영 개인정보유출신고제도 운영 개인정보파일 등록 접수 및 현황 공개 자율규제 촉진 및 지원 시책 개인정보영향평가 관리 운영 법위반행위 조사, 시정권고 및 명령, 과 태료 부과 등 중앙행정기관 (소관분야 및 개별법에 따른 집행업무) 기본계획 수립 및 제출(행안부) 소관분야 시행계획 수립 제출(보호위원회) 소관분야 시행계획 추진실적 제출(행안부) 소관분야 법령 등의 개선추진 평가 소관분야 자율규제 촉진 지원 법 위반행위 조사, 시정권고명령, 과태료부과(개별법이 있는 경우) 법령 조례의 이 법 목적에 부합 노력 등 나. 의견청취 및 자료등 제출요구 보호위원회는 소관 사항을 심의 의결하기 위하여 필요한 경우 관계 공무원, 전문가, 시민사회단체, 관련 사업자 등으로부터 의견을 들을 수 있고, 관계기관 등에 대하여 자료 등의 제출을 요구할 수 있다.

62 제9조, 제10조, 제11조 기본계획, 시행계획, 자료제출 요구 등 법률 시행령 제9조(기본계획) 1 개인정보의 보호와 정보주체의 권익 보장을 위 하여 행정안전부장관은 3년마다 개인정보 보호 기본계획(이하 기 본계획 이라 한다)을 관계 중앙행정기관의 장과 협의 하에 작성하 여 보호위원회에 제출하고, 보호위원회의 심의 의결을 거쳐 시행하 여야 한다. 2 기본계획에는 다음 각 호의 사항이 포함되어야 한다. 1. 개인정보 보호의 기본목표와 추진방향 2. 개인정보 보호와 관련된 제도 및 법령의 개선 3. 개인정보 침해 방지를 위한 대책 4. 개인정보 보호 자율규제의 활성화 5. 개인정보 보호 교육 홍보의 활성화 6. 개인정보 보호를 위한 전문인력의 양성 7. 그 밖에 개인정보 보호를 위하여 필요한 사항 3 국회, 법원, 헌법재판소, 중앙선거관리위원회는 해당 기관(그 소 속 기관을 포함한다)의 개인정보 보호를 위한 기본계획을 수립 시행 할 수 있다. 제10조(시행계획) 1 중앙행정기관의 장은 기본계획에 따라 매년 개 인정보 보호를 위한 시행계획을 작성하여 보호위원회에 제출하고, 보호위원회의 심의 의결을 거쳐 시행하여야 한다. 2 시행계획의 수립 시행에 필요한 사항은 대통령령으로 정한다. 제11조(자료제출 요구 등) 1 행정안전부장관은 기본계획을 효율적 으로 수립 추진하기 위하여 개인정보처리자, 관계 중앙행정기관의 장, 지방자치단체의 장 및 관계 단체 등에 개인정보처리자의 법규 준수 현황과 개인정보 관리 실태 등에 관한 자료의 제출이나 의견 의 진술 등을 요구할 수 있다. 2 중앙행정기관의 장은 시행계획을 효율적으로 수립 추진하기 위하 여 소관 분야의 개인정보처리자에게 제1항에 따른 자료제출 등을 요 구할 수 있다. 3 제1항 및 제2항에 따른 자료제출 등을 요구받은 자는 특별한 사 정이 없으면 이에 따라야 한다. 4 제1항 및 제2항에 따른 자료제출 등의 범위와 방법 등 필요한 사항은 대통령령으로 정한다. 제11조(기본계획의 수립절차 등) 1 행정안전부장관은 3년마다 법 제9조에 따른 개인정보 보호 기본계획(이하 기본계획 이라 한다)을 작성하여 그 3년이 시작되는 해의 전전년도 12월 31일까지 보호위 원회의 심의ㆍ의결을 거쳐야 한다. 2 행정안전부장관은 제1항에 따라 기본계획을 작성하는 경우에는 미리 관계 중앙행정기관의 장으로부터 부문별 계획을 제출받아 기 본계획에 반영할 수 있다. 이 경우 행정안전부장관은 부문별 계획의 제 9 ~ 11 조

63 작성방법 등에 관한 지침을 마련하여 관계 중앙행정기관의 장에게 통보할 수 있다. 3 행정안전부장관은 기본계획이 확정되면 지체 없이 관계 중앙행 정기관의 장에게 통보하여야 한다. 제12조(시행계획의 수립절차 등) 1 행정안전부장관은 매년 12월 31 일까지 다음다음 해 시행계획의 작성방법 등에 관한 지침을 마련하 여 관계 중앙행정기관의 장에게 통보하여야 한다. 2 관계 중앙행정기관의 장은 제1항의 지침에 따라 기본계획 중 다 음 해에 시행할 소관 분야의 시행계획을 작성하여 매년 2월 말일까 지 보호위원회에 제출하여야 한다. 3 보호위원회는 제2항에 따라 제출된 시행계획을 그 해 4월 30일 까지 심의ㆍ의결하여야 한다. 제13조(자료제출 요구 등의 범위와 방법) 1 행정안전부장관은 법 제11 조제1항에 따라 개인정보처리자에게 다음 각 호의 사항에 관한 자료의 제출이나 의견의 진술 등을 요구할 수 있다. 1. 해당 개인정보처리자가 처리하는 개인정보 및 개인정보파일의 관 리와 영상정보처리기기의 설치ㆍ운영에 관한 사항 2. 법 제31조에 따른 개인정보 보호책임자의 지정 여부에 관한 사항 3. 개인정보의 안전성 확보를 위한 기술적ㆍ관리적ㆍ물리적 조치에 관한 사항 4. 정보주체의 열람, 개인정보의 정정ㆍ삭제ㆍ처리정지의 요구 및 조치 현황에 관한 사항 5. 그 밖에 법 및 이 영의 준수에 관한 사항 등 기본계획의 수립ㆍ 추진을 위하여 필요한 사항 2 행정안전부장관은 제1항에 따라 자료의 제출이나 의견의 진술 등을 요구할 때에는 기본계획을 효율적으로 수립ㆍ추진하기 위하여 필요한 최소한의 범위로 한정하여 요구하여야 한다. 3 법 제11조제2항에 따라 중앙행정기관의 장이 소관 분야의 개인정 보처리자에게 자료의 제출 등을 요구하는 경우에는 제1항과 제2항을 준용한다. 이 경우 행정안전부장관 은 중앙행정기관의 장 으로, 법 제11조제1항 은 법 제11조제2항 으로 본다. 개인정보보호시책을 범정부 차원에서 종합적이고 체계적으로 추진하기 위하여 중기적 관점의 개인정보보호 기본계획을 3년마다 수립 시행하고 기본계획을 바탕 으로 매년 연도별 시행계획을 수립 시행하도록 하고 있다. 1. 기본계획의 수립 시행 가. 작성주체 행정안전부장관은 관계 중앙행정기관의 장과 협의하여 3년마다 사회 전 분야에 걸

64 쳐 개인정보보호의 기본목표와 추진방향, 법제도 개선, 침해방지 대책 등이 포함 된 기본계획을 수립하여야 한다. 국회, 법원, 헌법재판소, 중앙선거관리위원회 등 헌법기관들은 권력분립의 원칙에 따라 해당기관(그 소속 기관을 포함한다)의 개인정보 보호를 위한 기본계획을 자체 적으로 수립 시행할 수 있도록 하고 있다. 나. 작성절차 1) 관계중앙행정기관 장과의 협의 행정안전부장관은 관계 중앙행정기관의 장과 협의하여 기본계획을 수립한다. 그 절차로, 기본계획의 부문별 계획 작성지침을 중앙행정기관의 장에게 배포한 후, 중앙행정기관의 장으로부터 부문별 기본계획을 제출받아 이를 종합 조정하여 개인정보보호 기본계획을 수립한다. 2) 보호위원회의 심의 의결 작성된 기본계획안은 그 3년이 시작되는 해의 전전년도 12월 31일까지 보호위 원회에 제출하여 보호위원회의 심의 의결을 거쳐 확정이 된다. 전전년도 12월 31 일까지라 함은 기본계획안을 보호위원회에 제출하는 기한이 아니라 보호위원회 의 심의 의결을 거쳐야 하는 기한이다. 기본계획이 확정되면 행정안전부장관은 지체 없이 이를 관계 중앙행정기관의 장에게 통보하여야 한다. 다만, 시행령은 2012년부터 2014년까지의 기간에 대한 기본계획을 2011년 12월 31일까지 보호위원회의 심의 의결을 거쳐 수립하도록 경과조치를 두고 있다(영 부칙 제3조제1항). 다. 기본계획의 내용 기본계획은 개인정보 보호의 기본목표와 추진방향을 큰 틀에서 제시하고 이를 달성하기 위한 법 제도의 개선방안, 개인정보 침해방지대책, 개인정보 보호 자 율규제의 활성화방안, 개인정보 보호 교육 홍보방안, 전문인력 양성 및 기타 개 인정보 보호를 위하여 필요한 사항 등에 관한 중기적 관점의 계획을 포함하여야 한다.

65 2. 시행계획의 수립 시행 가. 작성주체 관계 중앙행정기관의 장이 개인정보보호 기본계획과 연계되도록 매년 소관 분 야에 관한 다음 연도의 시행계획을 작성한다. 나. 작성절차 1) 작성지침의 제정 배포 행정안전부장관은 필요한 경우 다음 연도의 시행계획 작성지침을 마련하여 관계 중 앙행정기관의 장에게 제공하고, 관계 중앙행정기관의 장은 매년 2월 말까지 소관 분야에 관한 다음 연도의 시행계획을 작성해 보호위원회에 제출하여야 한다. 제출 시한을 2월 말일로 한 것은 시행계획이 다음연도 예산과 연계되도록 하기 위한 것이다. 2) 보호위원회의 심의 의결 시행계획이 보호위원회에 제출되면 보호위원회는 회의를 소집하고 그 해 4월 30 일까지 심의 의결 절차를 밟아야 한다. 시행계획은 보호위원회의 심의 의결을 거쳐야 확정된다. 다. 시행계획의 내용 시행계획의 내용에 대해서는 법에서 특별한 언급이 없다. 다만 시행계획은 기 본계획과 연계되도록 하여야 한다. 3. 자료제출 요구 등 개인정보보호 기본계획, 시행계획 등을 좀 더 정확하고 효율적으로 수립 추진 할 수 있도록 하기 위하여 개인정보처리자의 개인정보보호 법규 준수현황, 개인 정보 관리실태 등에 관한 자료제출, 의견진술 등을 요구할 수 있도록 하고 있다.

66 가. 자료제출 의견진술 등의 대상 1) 기본계획 수립 추진에 필요한 자료 등의 요구 기본계획 수립 추진을 위한 자료제출, 의견진술 등의 요구는 행정안전부장관이 1 개인정보처리자, 2 관계 중앙행정기관의 장, 3 지방자치단체의 장, 4 관계 단체 등에 대하여 한다. 관계 단체란 사업의 일부 또는 전부가 개인정보 처리 또는 보호에 관련된 사업을 수행하고 있는 사업자협회나 소비자단체를 말한다. 2) 시행계획 수립 추진에 필요한 자료 등의 요구 시행계획 수립 추진을 위한 자료제출 등의 요구는 관계 중앙행정기관의 장이 소관 분야 개인정보처리자에게 한다. 법문상에는 의견진술 요구가 빠져 있으나 기 본계획의 경우에서와 마찬가지로 의견진술 요구도 가능하다. 나. 제출자료 등의 범위와 방법 행정안전부장관 및 중앙행정기관의 장이 기본계획 시행계획의 수립을 위하여 요구할 수 있는 자료 진술 등의 범위 및 방법 등에 관한 세부사항은 대통령령에 위임하고 있다. 이 법 제63조에 따른 위법행위 조사 등과의 구별을 명확히 하고, 지나치게 자의적으로 자료제출, 의견진술 등의 요구가 행사되지 않도록 요구할 수 있는 자료, 진술 등의 범위를 시행령에서 구체화하고 있다. 자료제출, 의견진술 등의 요구에 관한 구체적인 절차와 방법은 행정조사기본법 에 따른다. 제11조와 제63조의 구별 법 제11조(자료제출요구 등) : 개인정보보호 기본계획 시행계획의 정책 수립이나 제도개 선을 위하여 개인정보의 수집 이용, 제공 실태 및 개인정보의 기술적 관리적 보호조치 현황 등 개인정보처리자의 위법여부와 관계없이 요구할 수 있는 처리실태 및 관리현 황 등에 관한 자료 및 통계 등의 조사를 말한다. 예시 : 공공기관 개인정보보호 수준진단조사 등 법 제63조(자료제출요구 및 검사 등) : 위법사실이 발견되었거나 혐의가 있는 경우 등과 같이 사후적 집행 감독을 위하여 필요한 행정조사를 의미한다. 침해신고, 언론보도, 실태조사 등을 통해 위법사실을 인지한 경우 시정명령이나 과태료 부과 등의 행정 규제를 위한 조사를 말함

67 제12조 개인정보 보호지침 제12조(개인정보 보호지침) 1 행정안전부장관은 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 표준 개인정보 보호지침(이하 표준지침 이라 한다)을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. 2 중앙행정기관의 장은 표준지침에 따라 소관 분야의 개인정보 처리와 관련한 개인정보 보호지침을 정하여 개인정보처리자에게 그 준수를 권장 할 수 있다. 3 국회, 법원, 헌법재판소 및 중앙선거관리위원회는 해당 기관(그 소속 기 관을 포함한다)의 개인정보 보호지침을 정하여 시행할 수 있다. 이 법률에 의한 개인정보 보호지침은 행정안전부장관이 정하는 표준 개인정보보 호지침, 중앙행정기관의 장 등이 정하는 소관 분야별 개인정보 보호지침을 말한다. 1. 개인정보 보호지침의 성격 개인정보 보호지침은 행정안전부장관, 중앙행정기관, 헌법기관 등에게 입법 보충권을 부여하기 위한 것이다. 이 법은 개인정보보호에 관한 일반법이기 때문에 모든 분야, 모든 산업을 세세하게 규율할 수는 없다. 또한 개인정보처리자가 종사하는 업무의 환경이나 위험도에 따라 개인정보의 처리 범위 방법, 요구되는 보호수준 등이 각기 다를 수 있지만, 이 법은 경제 사회의 공통적 요소와 요구들을 중심으로 일반적이고 추상적인 내용들로 규정되어 있다. 따라서 개인정보보호를 위한 구체적인 처리기준, 보호조치 등은 분야별 산업별 특성을 고려해서 개별적으로 보충되어야 한다. 일반법주의를 채택하고 있는 나라 들은 대부분 이 법 제12조와 마찬가지로 개인정보감독기구에게 지침, 가이드 등의 제정 배포를 통한 입법 보충권을 부여하고 있다. 변화무쌍한 개인정보처리 기술과 환경을 모두 법률로 규율할 경우 현실을 반영하기 어렵고 현실을 외면하거나 현실과 동떨어진 규제가 될 수 있기 때문이다. 이 법의 범위 내에서 필요한 사항들을 구체화한 것이므로 지침에 따라서 개인 정보를 처리할 경우에는 적법한 개인정보 처리로 인정받게 된다. 반대로 지침에 어긋난 개인정보처리는 이 법을 위반한 개인정보처리로 취급받게 될 것이다. 2. 표준 개인정보보호 지침의 제정 및 권장 개인정보처리자가 이 법과 개별법에 의해서 부여된 제반 의무를 성실하게 준수하고 개인정보를 안전하게 이용 보호하도록 하기 위하여 어떤 처리 절차와 방법에 따라 무슨 보호조치를 취해야 하는지를 표준적으로 제시한 것이 표준 개인 정보보호 지침(이하 표준지침 이라 한다.)이다. 표준지침은 전 분야에 걸쳐서

68 공통적으로 적용되기 때문에 일반지침 또는 공통지침이라고 할 수 있다. 3. 소관 분야별 개인정보 보호지침 가. 개인정보 보호지침의 제정 및 권장 분야별지침은 중앙행정기관의 장 또는 헌법기관이 소관 분야별로 정해서 시행 한다. 중앙행정기관의 장이 분야별지침을 정할 때에는 행정안전부장관이 제정한 표준지침에 따라야 한다. 소관 분야가 2개 이상의 부처에 걸쳐 있는 경우에는 해당 부처가 공동으로 지침을 정할 수 있다. 분야별 업무분장은 정부조직법 또는 개별 조직법에 따른다. 국회, 법원, 헌법재판소, 중앙선거관리위원회 등 헌법기관들은 권력분립의 정신에 따라 해당 기관(그 소속 기관을 포함한다)의 분야별 지침을 자체적으로 정하여 시 행하도록 규정하고 있다. 그러나 행정안전부장관이 제정한 표준지침을 참고해서 정할 수도 있다. 중앙행정기관의 장 등이 분야별지침을 정할 때에는 이 법 뿐만 아니라 개별법의 규정들도 고려해서 중복규제가 발생하지 않도록 배려해야 한다. 분야별 지침에서 정할 내용도 표준지침과 크게 다르지 아니할 것이나 표준지 침보다는 구체적이고 명확해야 하며 분야별 특성에 충실해야 한다. 표준지침 제5 조도 중앙행정기관의 장이 정하는 소관 분야의 개인정보처리에 관한 지침은 표준 지침에 부합되어야 한다고 규정함으로써 이를 명확히 하고 있다. 표준지침은 구체적 타당성을 확보한 실천적 행동규범을 개인정보처리자에게 제 시함으로써 자발적인 법규준수를 유도 장려하고 법집행의 형평성을 확보하기 위 한 것이므로 그 자체 위법성을 해석 심사하는 기준이 될지언정 또다시 해석의 여지를 남기는 추상적 다의적 내용이어서는 안 된다. 나. 개인정보 보호지침의 내용 개인정보 보호지침에는 개인정보처리 기준, 개인정보 침해유형, 개인정보 침해 예방 등에 관하여 구체적인 지침이 포함되어 있어야 한다. 첫째, 개인정보처리자가 개인정보를 수집 이용 제공 및 파기하는 경우에 법률에 서 정한 요건에 적합한지 여부를 판단할 수 있는 기준과 사례가 제시되어야 한다. 둘째, 구체적 조건과 상황에서 개인정보처리자의 작위 또는 부작위가 개인정보 침해에 해당되는지 여부를 판단할 수 있는 기준과 사례가 제시되어야 한다. 셋째, 개인정보 권리 침해를 예방하기 위하여 개인정보처리자가 지켜야 할 보호조 치나 이행조치의 내용이 개인정보의 처리 단계별, 개인정보의 처리규모, 개인정보의 활용빈도, 처리되는 개인정보의 용도, 개인정보의 보유기간, 처리되는 개인정보의 위험도, 개인정보를 처리하기 위해 도입된 기술별로 구체적으로 제시되어야 한다. 제 12 조

69 제13조 자율규제의 촉진 및 지원 법률 시행령 제13조(자율규제의 촉진 및 지원) 행정안전부장관은 개인정보처리 자의 자율적인 개인정보 보호활동을 촉진하고 지원하기 위하여 다 음 각 호의 필요한 시책을 마련하여야 한다. 1. 개인정보 보호에 관한 교육 홍보 2. 개인정보 보호와 관련된 기관 단체의 육성 및 지원 3. 개인정보 보호 인증마크의 도입 시행 지원 4. 개인정보처리자의 자율적인 규약의 제정 시행 지원 5. 그 밖에 개인정보처리자의 자율적 개인정보 보호활동을 지원하 기 위하여 필요한 사항 제14조(자율규제의 촉진 및 지원) 행정안전부장관은 법 제13조제2 호에 따라 개인정보처리자의 자율적인 개인정보 보호활동을 촉진 하기 위하여 예산의 범위에서 개인정보 보호와 관련된 기관 또는 단체에 필요한 지원을 할 수 있다. 법 제5조는 국가 등의 책무로써 개인정보 처리에 관한 불합리한 사회적 관행을 개선하기 위한 개인정보처리자의 자율적 개인정보 보호활동을 존중하고 촉진 지원할 것을 규정하고 있는데, 제13조는 제5조의 책무를 구체화한 것이다. 개인정보처리는 어느 한 분야만의 일이 아니고 모든 경제 사회 영역에서 매일 이루어지기 때문에 법적인 강제만으로 이 법의 목적을 달성할 수 없으며, 개인정보처리자와 정보주체들의 자발적인 노력이 없이는 불가능하다. 이 법의 목적을 보다 효율적으로 달성하기 위해서는 강제적인 규제조치와 함께 개인정보처리자와 정보주체가 자발적으로 개인정보를 보호할 수 환경 조성이 필요하다. 개인정보처리자가 스스로 개인정보보호에 대한 필요성을 인식하고 자신의 책무를 다할 때, 또한 정보주체들이 스스로의 권리를 인식하고 자신의 권리보호에 앞장설 때 개인정보는 보다 안전하게 이용되고 보호될 수 있을 것이다. 이를 위해 행정안전부장관은 다음 각 호의 시책을 마련하여야 한다. 1. 개인정보보호 교육 홍보 자발적인 개인정보 보호 활동이 이루어지기 위해서는 개인정보의 보호 필요성, 피해사례, 이용 관행 및 환경 등에 대한 인식과 함께 개인정보보호 법제 및 기술에 대한 깊은 이해가 필요하다.

70 2. 개인정보단체 등의 육성 지원 개인정보의 안전한 이용을 위해서는 정보주체 스스로의 권리보호 노력도 필요하다. 개인정보보호 관련단체를 육성하기 위하여 행정안전부장관은 예산의 범위 내에서 단체를 육성 지원 할 수 있다. 현재 행정안전부에서 관할하는 개인정보보호 관련 단체로는 사단법인 한국개인정보보호협의회, 사단법인 한국CSO협회 등 이 있다. 3. 개인정보보호 인증마크의 도입 시행 개인정보보호 인증마크는 개인정보를 적법하고 안전하게 처리하는 개인정보 처리자에게 부여되는 안전마크의 일종이다. 인증마크를 획득한 개인정보처리자에 대해서는 개인정보의 안전한 처리를 신뢰할 수 있기 때문에 인증마크는 기업이나 기관의 개인정보 보호활동을 촉진할 수 있다. 행정안전부는 개인정보처리자의 자율적인 개인정보 보호활동을 촉진하고 지원 하고자 국가 공인 개인정보관리 인증마크제를 도입할 예정이며 2012년 말부터 시범 운영할 계획이다. 4. 자율규약의 제정 시행 지원 개인정보처리자는 자신의 개인정보 처리에 대해서 가장 잘 알고 있다. 해당 업무처리를 위해서 어느 정도의 개인정보 수집 이용이 가장 적절한지, 개인정보 수집 이용에 따른 위험은 무엇인지, 보다 안전한 개인정보 처리를 위해서는 어떤 조치가 필요한지 등에 대해서 잘 알고 있기 때문에 개인정보처리자가 스스로 규약이나 행동강령을 정해 지키도록 한 것이다. 자율규약은 개인정보처리자가 혼자 또는 협회 차원에서 제정할 수도 있고, 개인정보보호단체 또는 소관 정부부처와 공동으로 제정할 수도 있다. 일본은 2003년 개인정보 보호법 제정으로 인정개인정보보호단체( 認定個人情報保護團體 ) 를 지정하여 자율규제를 활성화하고 있다. 5. 그 밖의 자율규제활동 지원 제 13 조 행정안전부장관은 앞에서 열거한 사항 이외에 개인정보 침해정보공유, 개인정보 누출 점검시스템 개발 보급, 개인정보보호 솔루션 개발 보급 지원 등 개인정보 처리자의 자율적인 개인정보 보호활동을 지원하기 위하여 필요한 시책을 마련하여야

71 한다. 이와 관련하여 투자여력이 부족한 중소사업자를 위해 개인정보보호기술 지원센터 를 설치하여( 11.10) 운영하고 있다. 개인정보기술지원센터는 50인 미만 중소사업자를 대상으로 개인정보 접근통제 시스템, 개인정보 암호화, 개인정보 접속기록의 보관, 보안프로그램의 설치 등 전반적인 기술지원을 제공한다. 향후에는 기술지원센터 기능을 확대하여 개인정보 유출사고 발생시 현장방문을 통한 기술지원 체계를 구축하고, 개인정보 암호화, 방화벽 백신 프로그램 지원 등 기술 지원을 확대할 예정이다. 6. 유사 입법례 정보통신망법 제44조의4는 정보통신서비스 이용자의 보호를 위하여 정보통신 서비스제공자단체의 행동강령 제정 시행에 관한 사항을 규정하고 있다. 그 외 다수의 법에서 자율규제를 강조하는 규정을 두는 유사 입법례가 있다. < 현행법상 자율규제 관련 규정 > 법 명 정보통신망법 가맹사업거래의 공정화에 관한 법률 표시 광고의 공정화에 관한 법률 청소년보호법 조문 내용 제44조의4 (자율규제) 정보통신서비스제공자단체는 이용자를 보호 하고 안전하며 신뢰할 수 있는 정보통신서비스의 제공을 위하 여 정보통신서비스제공자 행동강령을 정하여 시행할 수 있다. 제15조(자율규약) 1 가맹본부 또는 가맹본부를 구성원으로 하는 사업자단체는 가맹사업의 공정한 거래질서를 유지하기 위하여 자율적으로 규약을 정할 수 있다. 제14조(표시 광고의 자율규약) 1 사업자등은 제3조제1항을 위반 하는 행위를 방지하기 위하여 자율적으로 표시 광고에 관한 규약이나 기준 등(이하 "자율규약"이라 한다)을 정할 수 있다. 2 자율규약은 제3조제1항을 위반하는 행위를 방지하기에 적합하여야 하며, 정당한 사유 없이 사업자등의 표시 광고 또는 소비자에 대한 정보 제공을 제한하여서는 아니 된다. 제14조의2(표시 광고의 자율심의기구등) 1 사업자등의 표시 광고 가 제3조제1항 또는 자율규약에 위반되는지 등을 심의(그 명칭 에 관계없이 표시 광고가 법령 또는 자율규약에 위반되는지를 판단하는 행위를 말한다. 이하 같다)하는 등 부당한 표시 광고를 방지하기 위한 조직(이하 "자율심의기구등"이라 한다)을 운영하 는 자는 대통령령으로 정하는 바에 따라 공정거래위원회에 신고 할 수 있다.사업자등이 자율심의기구등이 심의하여 처리한 결과 에 따라 시정한 경우라도 이 법을 위반하는 행위를 반복하는 등 자율심의기구등의 시정만으로는 소비자나 경쟁사업자의 피해를 방지하기 곤란하다고 판단하는 경우에는 그러하지 아니하다. 제12조(유해매체물의 자율규제) 1 매체물의 제작 발행자, 유 통행위자 또는 매체물과 관련된 단체는 자율적으로 청소년 유해여부를 결정하고 청소년보호위원회 또는 각 심의기관 에 그 결정한 내용의 확인을 요청할 수 있다.

72 제14조 국제협력 제14조(국제협력) 1 정부는 국제적 환경에서의 개인정보 보호 수준을 향상 시키기 위하여 필요한 시책을 마련하여야 한다. 2 정부는 개인정보 국외 이전으로 인하여 정보주체의 권리가 침해되지 아니하도록 관련 시책을 마련하여야 한다. 1. 국제협력의 필요성 이 조는 국가 간 무역 확대 및 인적자원의 교류 증가로 개인정보의 국제적 이 전 제공이 다반사로 발생하는 현실에서 우리나라의 개인정보보호 수준을 국제적 흐름에 맞추어 선진국 수준으로 향상시키고 국제적인 협력관계를 증진시킴으로 써 해외에서 처리되고 있거나 해외로 유출된 내국인의 개인정보를 보호하기 위 한 정부의 노력의무를 규정한 것이다. 특히 유럽연합은 자국 수준 이상으로 개인정보보호제도가 확립되어 있지 아니 한 나라로의 개인정보 이전을 제한하고 있어 국제적 협력은 필수적이다. 이에 따 라 개인정보보호는 한-EU간 자유무역 협정(FTA)의 일부를 구성하고 있고 한-미 자유무역 협정(안)에도 반영되어 있다. 향후 개인정보보호는 국제적으로 체결되는 다자간 또는 양자간 협정의 주요 이슈가 될 것으로 예상된다. 해외 기업의 데이터센터를 한국에 유치하여 국제적인 정보 저장 관리의 허브국 가로 부상하기 위해서 또는 다양한 국제기구와 다국적 기업을 유치하기 위해서 도 국내의 개인정보보호제도를 국제사회에 잘 홍보할 필요가 있다. 2. 국제협력의 내용 정부는 개인정보보호와 관련한 국제적 이슈에 소극적으로 대응하거나 따라가 기 보다는 국제적 이슈를 적극적으로 발굴하고 선도해 가는 것이 바람직하다. 우 리나라가 해외의 데이터센터, 국제기구, 다국적기업 등을 유치하기 위해서는 국 제사회의 신뢰를 얻는 것이 중요하기 때문이다. 이를 위해 정부는 1국제기구, 외국정부, 외국기관 등과의 협력관계 증진, 2개 인정보보호 국제규범의 제 개정 추진, 3신규이슈의 발굴 및 공동 조사 연구 수행, 4개인정보보호를 위한 국제표준화의 추진지원, 5국제적인 개인정보보호 문제에 제 14 조

73 대응하기 위한 정보공유, 6국제적인 개인정보호를 위한 협력창구 또는 협의체의 구성 운영 등의 사업을 적극적으로 추진할 필요가 있다. < 개인정보보호관련 국제 기구 및 단체 > 기구 단체명 국제개인정보감독기구회의(ICDPC) 국제개인정보보호실무그룹(IWGDP) OECD 정보보호작업반(WPISP) APEC 전자상거래운영그룹(ECSG) EU 데이터보호작업밥(지침 제29조) 국제노동기구(ILO) 아태개인정보감독기구회의(APPA) EPIC GPEN(Global Privacy Enforcement Network) 성격 국제협의회 국제협의회 국제기구 국제기구 국제기구 국제기구 지역협의회(아태) 민간단체 국제기구

74 제3장 개인정보의 처리 제1절 개인정보의 수집, 이용, 제공 등 제15조 제16조 제17조 제18조 제19조 제20조 제21조 제22조 개인정보의 수집 이용 개인정보의 수집 제한 개인정보의 제공 개인정보의 이용 제공 제한 개인정보를 제공받은 자의 이용 제공 제한 정보주체 이외로부터 수집한 개인정보의 수집출처 등 고지 개인정보의 파기 동의를 받는 방법 제2절 개인정보의 처리 제한 제23조 제24조 제25조 제26조 제27조 제28조 민감정보의 처리 제한 고유식별정보의 처리 제한 영상정보처리기기의 설치 운영 제한 업무위탁에 따른 개인정보의 처리 제한 영업양도 등에 따른 개인정보의 이전 제한 개인정보취급자에 대한 감독

76 제1절 개인정보의 수집, 이용, 제공 등 제 15 조 제15조 개인정보의 수집 이용 법률 표준지침 제15조(개인정보의 수집ㆍ이용) 1 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. 1. 정보주체의 동의를 받은 경우 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명 백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우 로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개 인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범 위를 초과하지 아니하는 경우에 한한다. 2 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하 나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 1. 개인정보의 수집 이용 목적 2. 수집하려는 개인정보의 항목 3. 개인정보의 보유 및 이용 기간 4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이 익이 있는 경우에는 그 불이익의 내용 제6조(개인정보의 수집) 1 개인정보의 수집 이란 정보주체로부터 직접 이름, 주소, 전화번호 등의 정보를 제공받는 것뿐만 아니라 정보주체에 관한 모든 형태의 개인정보를 취득하는 것을 말한다. 2 개인정보처리자는 다음 각 호의 경우에 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용할 수 있다. 1. 정보주체로부터 사전에 동의를 받은 경우 2. 법률에서 개인정보를 수집 이용할 수 있음을 구체적으로 명시하거나 허용하고 있는 경우 3. 법령에서 개인정보처리자에게 구체적인 의무를 부과하고 있고, 개인 정보처리자가 개인정보를 수집 이용하지 않고는 법령에서 부과하는 구체적인 의무를 이행하는 것이 불가능하거나 현저히 곤란한 경우

77 4. 공공기관이 개인정보를 수집 이용하지 않고는 법령 등에서 정한 소관업무를 수행하는 것이 불가능하거나 현저히 곤란한 경우 5. 개인정보를 수집 이용하지 않고는 정보주체와 계약을 체결하고, 체결 된 계약의 내용에 따른 의무를 이행하는 것이 불가능하거나 현저히 곤란한 경우 6. 정보주체 또는 제3자(정보주체를 제외한 그 밖의 모든 자를 말한다.)의 생명, 신체, 재산에 대한 피해를 방지해야 할 급박한 상황이어서 개인정 보를 수집 이용해야 할 필요성이 명백히 인정됨에도 불구하고 정보주 체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불 명 등으로 연락을 취할 수 없는 상황이어서 사전에 동의를 받을 수 없는 경우 7. 개인정보처리자가 법령 또는 정보주체와의 계약에 따른 정당한 이익 을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 개인정보의 수집 이용에 관한 동의 여부 및 동의 범위 등을 선택하고 결정할 권리보다 우선하는 경우. 다만, 이 경우 개인정보의 수집 이용은 개인 정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 범위로 한정된다. 3 개인정보처리자가 정보주체로부터 직접 명함 또는 그와 유사한 매체(이하 명함 등 이라 함)를 제공받음으로써 개인정보를 수집하는 경우, 정보주체가 동의의사를 명확히 표시하거나 그렇지 않은 경우 명함 등을 제공하는 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다. 4 개인정보처리자가 인터넷 홈페이지 등 공개된 매체 또는 장소(이하 "인터넷 홈페이지등"이라 함)에서 개인정보를 수집하는 경우, 해당 개인 정보는 본인의 개인정보를 인터넷 홈페이지등에 게시하거나 게시하도 록 허용한 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지 등의 표시 내용에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다. 5 개인정보처리자는 계약 등의 상대방인 정보주체가 대리인을 통하여 법률행위 또는 의사표시를 하는 경우 대리인의 대리권 확인을 위한 목적으로만 대리인으로부터 또는 의사표시를 하는 경우 대리인의 개인 정보를 수집 이용할 수 있다. 6 근로자와 사용자가 근로계약을 체결하는 경우 근로기준법 제2조 제5호의 임금지급, 교육, 증명서 발급, 근로자 복지제공을 위하여 근로자 의 동의 없이 개인정보를 수집 이용할 수 있다. 제7조(정보주체의 사전 동의를 받을 수 없는 경우) 개인정보처리자가 법 제15조제1항제5호 및 제18조제2항제3호에 따라 정보주체의 사전 동의 없이 개인정보를 수집, 이용 또는 제공한 경우, 당해 사유가 해소된 때에는 개인정보의 처리를 즉시 중단하여야 하며, 정보주체에게 사전 동의 없이 개인정보를 수집 또는 이용한 사실, 그 사유와 이용내역을 알려야 한다.

78 1. 개인정보의 수집 이용 경로 개인정보는 정보주체로부터 직접 수집하는 것이 원칙이나 필요한 경우에는 국가기관, 신용평가기관 등 제3자로부터 수집하거나 인터넷, 신문 잡지, 전화번 호부, 인명록 등과 같은 공개된 소스로부터 수집할 수도 있다. 또한, 개인정보처 리자가 직접 수집하지 않아도 업무처리 과정에서 자동적으로 개인정보가 생산되 거나 생성된 경우도 적지 않다. 참고 생성 개인정보 사례 고객성향, 고객위치정보, 물품주문내역, 통신내역, 비디오대여목록, 블랙리스트 고객명단, 근무평가기록, 신용평가기록 등의 생성 2. 개인정보의 수집요건 개인정보의 수집 이용을 너무 어렵게 할 경우 외관상으로는 사생활 보호에 도움이 되는 것처럼 보이지만 실질적으로는 사생활 보호에 도움이 되지 않으면서 경제활동 위축과 비용 증가만 초래하고 공공서비스 제공에 지장을 가져오게 된다. 반면, 개인정보의 수집 이용을 지나치게 완화할 경우 개인정보보호제도가 무의미해 지게 된다. 따라서 정보주체의 사생활이 가장 잘 보호되게 하기 위해서는 보호와 이용이 균형 조화를 이루어야 한다. OECD프라이버시 가이드라인 은 이용 목적 범위 내에서 최소한의 개인정보를 수집해야 한다고만 규정하고 있을 뿐 개인정보의 수집 이용요건이나 기준을 별도로 규정하고 있지는 않다. 반면 EU개인정보 보호지침 은 개인정보의 수집 이용 요건을 구체적으로 열거하고 있다. 우리나라 개인정보 보호법 은 EU지침을 모델로 하고 있으나 EU지침보다는 전체적으로 요건이 강화되어 있다. < EU지침과 개인정보 보호법 상 개인정보 수집 이용 요건 비교 > EU개인정보보호지침 제7조 (a)정보주체가 동의의사를 명확히 표시한 경우 개인정보 보호법 제15조 정보주체의 동의를 받은 경우(제1호) (b)계약이행을 위해 필요하거나 계약체결 前 정 보주체의 요구에 따르기 위하여 필요한 경우 (c)개인정보처리자의 법적의무 준수를 위해 필요한 경우 정보주체와의 계약의 체결 및 이행을 위하 여 불가피하게 필요한 경우(제4호) 법률에 특별한 규정이 있거나 법령상 의무 를 준수하기 위하여 불가피한 경우(제2호)

79 (d)정보주체의 중대한 이익 보호를 위해 필 요한 경우 (e)공공이익 보호 또는 개인정보처리자 및 제3자의 공적권한 행사(직무이행)를 위해 필 요한 경우 (f)개인정보처리자 및 제3자의 정당한 이익 보호를 위해 필요한 경우(다만, 정보주체의 기본권과 자유를 목적으로 한 이익보다 우 선하는 경우에 한함) 정보주체 또는 그 법정대리인이 의사표시 를 할 수 없는 상태에 있거나 주소불명 등 으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생 명, 신체, 재산의 이익을 위하여 필요하다 고 인정되는 경우(제5호) 공공기관이 법령 등에서 정하는 소관 업무 의 수행을 위하여 불가피한 경우(제3호) 개인정보처리자의 정당한 이익을 달성하기 위 하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 개인정보처리자의 정 당한 이익과 상당한 관련이 있고 합리적인 범 위를 초과하지 아니하는 경우에 한함(제6호) 가. 정보주체의 동의를 받은 경우(제1호) 개인정보 수집 이란 정보주체로부터 직접 이름, 주소, 전화번호 등의 정보를 제공받는 것뿐만 아니라 정보주체에 관한 모든 형태의 개인정보를 취득하는 것을 말한다(표준지침 제6조). < 개인정보 수집 이용 예시 > 명함을 받음으로써 부수적으로 개인정보를 취득하는 행위 본인 이외 제3자로부터 정보주체의 개인정보를 취득하는 행위 인터넷 검색이나 인명부, 전화번호부, 잡지, 신문기사 등 공개된 정보에서 개인정보를 취득하는 행위 정보주체 본인이나 제3자 또는 그 밖의 출처로부터 취득한 개인정보 이외에 개인정 보처리자가 직접 정보를 생성하는 경우 개인정보처리자는 정보주체의 동의를 받은 경우에 개인정보를 수집할 수 있는데, 동의 는 개인정보처리자가 개인정보를 수집ㆍ이용하는 것에 대한 정보주체의 자발적인 승낙의 의사표시로서(서명날인, 구두, 홈페이지 동의 등) 동의여부를 명확하게 확인할 수 있어야 한다. 정보주체는 서비스를 제공받기 위하여 가입신청서 등의 서면에 직접 자신의 성명 을 기재하고 인장을 찍는 방법 또는 자필 서명하거나, 인터넷 웹사이트 화면에서 동의, 동의안함 버튼을 클릭하는 등으로 동의의 의사표시를 할 수 있다. 개인정보처리자는 전화상으로 개인정보 수집에 대한 정보주체의 동의를 받을 수 있다.

80 다만 향후 입증책임 문제가 발생할 수 있으므로 정보주체의 동의하에 통화내용을 녹취할 수 있다. 정보주체에게 동의를 받을 때에는 어떤 개인정보를 왜 수집하는지를 정보주체가 쉽고 명확하게 인지할 수 있도록 알려야 하고, 제22조에서 규정한 방식에 따라 동의를 받아야 하기 때문에 이 법에서 정보주체의 동의는 명시적 동의를 의미한다. 동의의 사례 영화관 멤버쉽카드 발급시 개인정보 활용동의서 에 기명날인하는 경우 공공기관의 인터넷홈페이지 회원가입시 개인정보 수집 이용 동의에 체크하는 경우 개인정보처리자가 정보주체의 동의를 받을 때에는 정보주체가 동의의 내용과 의미를 명확히 알 수 있도록 미리 1개인정보의 수집 이용목적, 2수집하고자 하 는 개인정보의 항목, 3개인정보의 보유 및 이용기간, 4동의를 거부할 권리가 있 다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용을 알려야 한다(제2항). 이는 정보주체가 자유의지에 따라 동의 여부를 판단 결정할 수 있도 록 보장하기 위한 것이다. 나. 법률규정이 있거나 법령상 의무준수를 위해 불가피한 경우 1) 법률의 특별한 규정 법률에서 개인정보의 수집 이용을 구체적으로 요구하거나 허용하고 있어야 한다. 수집 이용할 수 있는 개인정보의 대상 범위가 막연한 경우는 특별한 규정이라고 할 수 없다. 법률에 특별한 규정이 있어야 하므로 시행령이나 시행규칙에 규정하는 것 은 안 된다. < 법률의 특별한 규정 의 예시 > 법률명 정보통신망법 신용정보법 조문 내용 제31조(법정대리인의 권리) 1 정보통신서비스 제공자등이 만 14세 미 만의 아동으로부터 개인정보 수집 이용 제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 한다. 이 경우 정보통신서비스 제공자 는 그 아동에게 법정대리인의 동의를 받기 위하여 필요한 법정대리 인의 성명 등 최소한의 정보를 요구할 수 있다. 제40조(신용정보회사등의 금지사항) 신용정보회사등은 다음 각 호의 행위 를 하여서는 아니 되며, 신용정보회사등이 아니면 제4호 본문의 행위를 업으로 하거나 제5호의 행위를 하여서는 아니 된다. 4. 특정인의 소재 및 연락처(이하 "소재등"이라 한다)를 알아내거나 금융 거래 등 상거래관계 외의 사생활 등을 조사하는 일. 다만, 채권추심업을

81 법률명 보험업법 자동차 손해배상 보장법 병역법 의료법 조문 내용 허가받은 신용정보회사가 그 업무를 하기 위하여 특정인의 소재등을 알 아내는 경우 또는 다른 법령에 따라 특정인의 소재등을 알아내는 것이 허용되는 경우에는 그러하지 아니하다. 제176조 (보험요율산출기관) 10 보험요율 산출기관은 순보험요율을 산출하기 위하여 필요한 경우에는 교통법규 위반에 관한 개인정보를 보유하고 있는 기관의 장으로부터 그 정보를 제공받아 보험회사가 보험계약자에게 적용할 순보험료의 산출에 이용하게 할 수 있다. 제14조 (진료기록의 열람 등) 1 보험회사등은 의료기관으로부터 제12조 제2항에 따라 자동차보험진료수가를 청구받으면 그 의료기관에 대하 여 관계 진료기록의 열람을 청구할 수 있다. 이 경우 의료기관은 정당 한 사유가 없으면 청구에 응하여야 한다. 2 보험사업등에 종사하거나 종사한 자는 제1항에 따른 진료기록의 열람 으로 알게 된 다른 사람의 비밀을 누설하여서는 아니 된다. 제11조의2(자료의 제출 요구 등) 1 지방병무청장은 징병검사와 관련 하여 징병검사전담의사, 징병검사전문의사( 徵兵檢査專門醫師 ) 또는 제12조의2에 따라 신체검사를 위하여 파견된 군의관( 軍醫官 ) 등이 질병이나 심신장애의 확인을 위하여 필요하다고 인정하는 경우 의 료법 에 따른 의료기관의 장, 국민건강보험법 에 따른 국민건강 보험공단의 장, 초 중등교육법 에 따른 학교의 장 등에 대하여 징 병검사 대상자의 진료기록 치료 관련 기록 내역, 학교생활기록부 등 의 제출을 요구할 수 있다. 이 경우 자료 제출을 요구받은 사람은 특별한 사유가 없으면 요구에 따라야 한다. 2 누구든지 제1항에 따라 취득한 징병검사 대상자에 대한 정보 자 료를 공개 또는 누설하거나 다른 사람에게 제공하는 등 징병검사 외 의 목적으로 사용하여서는 아니 된다 제21조(기록 열람 등) 3 의료인은 다른 의료인으로부터 제22조 또는 제23 조에 따른 진료기록의 내용 확인이나 환자의 진료경과에 대한 소견 등을 송부할 것을 요청받은 경우에는 해당 환자나 환자 보호자의 동의를 받아 송부하여야 한다. 다만, 해당 환자의 의식이 없거나 응급환자인 경우 또는 환자의 보호자가 없어 동의를 받을 수 없는 경우에는 환자나 환자 보호자 의 동의 없이 송부할 수 있다. 제22조(진료기록부등) 1의료인은 각각 진료기록부, 조산기록부, 간호기록부, 그 밖의 진료에 관한 기록(이하 진료기록부등 이라 한다)을 갖추어 두고 그 의료행위에 관한 사항과 의견을 상세히 기록하고 서명하여야 한다. 2 의료인이나 의료기관 개설자는 진료기록부등[제23조제1항에 따른 전자의무기록( 電子醫務記錄 )을 포함한다. 이하 제40조제2항에서 같 다]을 보건복지부령으로 정하는 바에 따라 보존하여야 한다. 2) 법령상 의무 준수 법령에서 개인정보처리자에게 일정한 의무를 부과하고 있는 경우로서 해당 개 인정보처리자가 그 의무 이행을 위해서 개인정보를 불가피하게 수집 이용할 수 밖에 없는 경우를 말한다. 법률에 의한 의무뿐만 아니라 시행령, 시행규칙에 따

82 른 의무도 포함된다. 불가피한 경우 란 개인정보를 수집하지 않고는 법령에서 부과하는 의무를 이 행하는 것이 불가능하거나 개인정보처리자가 다른 방법을 사용하여 의무를 이행하 는 것이 현저히 곤란한 경우를 의미한다. 사업자들에게 부과된 결함상품 리콜의무( 소비자기본법 ), 각종 법령에 따른 본인확인 또는 연령확인 의무( 정보통신망법, 청소년보호법, 공직선거 법, 금융실명거래 및 비밀보장에 관한 법률, 선원법, 법원경비관리대 의 설치 조직 및 분장사무 등에 관한 규칙 ) 등을 이행하기 위한 개인정보의 수 집 이용이 법령상 의무 준수의 예에 속한다. 이와 관련하여, 손해배상을 부당하게 수취할 목적으로 고의로 교통사고를 조작하거 나 과장하여 사고를 일으킨 후 가해운전자와 직접협상을 요구하면서 가해운전자가 가입한 손해배상보험회사에 자신의 개인정보를 주지 않는 경우가 발생할 수 있다. 이때 보험회사는 개인정보 보호법 제15조제1항제2호에 따라 피해자의 동의없이 피해자의 개인정보를 수집 이용할 수 있는데, 이는 상법 제719조에서 책임보험계약의 보험자는 피보험자가 보험기간 중의 사고로 인하여 제삼자에 배상할 책임을 진 경우에 이를 보상할 책임이 있으므로, 이러한 법령상 의무를 준수하기 위해 불가피한 경우(피해자의 개인정보 수집 이용에 대한 동의 거부) 보 험회사는 피해자의 동의 없이 피해자의 개인정보를 수집 이용할 수 있도록 하 고 있기 때문이다. 참고 법령에 따라 연령확인이 필요한 경우 청소년보호법 제17조 : 청소년유해매체물 판매 대여 배포 등을 하고자 하는 경우 그 상대방의 연령을 확인하여야 함 청소년보호법 제23조의3 : 인터넷게임(정보통신망을 통하여 실시간으로 제공되는 게임물)의 제공자는 16세 미만 청소년에게 오전0시~오전6시까지 인터넷게임을 제공해 서는 안됨 청소년보호법 제24조 : 청소년유해업소 업주는 종업원을 고용하고자 하는 때 그 연 령을 확인해야 하며, 출입자의 연령을 확인하여 청소년이 당해 업소에 출입 이용하지 못하게 해야 함 민법 상 미성년자 보호제도 : 우리나라 법원은 미성년자의 적극적인 기망행위만을 사술 로 인정하고 사술의 존재에 대하여 이를 주장하는 상대방이 입증하여야 한다 고 판시하고 있음, 따라서 미성년자와 거래를 하는 사업자는 미성년자인지 여부를 신 분증 확인과 같은 보다 적극적인 수단에 따라 확인하여야 할 필요가 있음

83 참고 법령에 따라 본인확인이 필요한 경우 정보통신망법 제44조의5 : 게시판이용자의 본인확인 공직선거법 제82조의6 : 인터넷언론사 게시판 대화방 등의 실명확인 금융실명거래 및 비밀보장에 관한 법률 제3조 : 금융실명거래를 위한 실명확인 법원경비관리대의 설치, 조직 및 분장사무 등에 관한 규칙 제5조 : 법원경비관리대원은 주민등록증 또는 그 밖의 신분을 확인할 수 있는 자료에 의하여 청사출입자의 신분을 확인하여야 함 공공기관 개인정보 보호법 시행규칙 : 개인정보 열람, 정정 삭제 등의 청구를 하는 자의 주민등록증 등 신분증명서의 확인 등 선원법 에 따른 신원조사 그 밖에 공공기관이 접수된 민원을 처리하기 위하여 신고자를 확인하는 경우 참고 법령상 보험자의 의무 이행 책임보험계약의 보험자는 피보험자가 보험기간 중의 사고로 인하여 제3자에게 배상 할 책임을 진 경우에 보상 책임 의무가 있다( 상법 제719조). 따라서 보험계약상 보상 책임 의무를 이행하기 위하여 불가피한 경우 정보주체의 동의없이 개인정보 수집 이용이 가능하다. 다. 공공기관이 법령 등에서 정하는 소관업무 수행을 위해 불가피한 경우 공공기관의 경우에는 개인정보를 수집할 수 있도록 명시적으로 허용하는 법률 규정이 없더라도 법령 등에서 소관 업무를 정하고 있고 그 소관 업무의 수행을 위하여 불가피하게 개인정보를 수집할 수밖에 없는 경우에는 정보주체의 동의없이 개인 정보 수집이 허용된다. 사실 법령 등에서 정하는 소관업무 수행 은 제2호에서 규정하고 있는 법령상 의무 준수 에 포함된다고 볼 수도 있으나, 법령상 의무준수와 소관업무 수행의 차이를 좀 더 명확하게 하기 위하여 별도로 규정한 것이다. 법령 등에서 정하는 소관업무 란 정부조직법 및 각 기관별 직제령 직제규칙, 개별 조직법 등에서 정하고 있는 소관 사무 이외에, 주민등록법, 국세기본법, 의료법, 국민건강보험법 등 소관법령에 의해서 부여된 권한과 의무, 지방자치 단체의 경우 조례에서 정하고 있는 업무 등을 의미한다. 불가피한 경우 란 개인정보를 수집하지 아니하고는 법령 등에서 해당 공공기관에 부여하고 있는 권한의 행사나 의무의 이행이 불가능하거나 다른 방법을 사용하여 소관 업무를 수행하는 것이 현저히 곤란한 경우를 의미한다. 참고 공공기관의 소관업무 예시 행정안전부가 정부조직법 제29조, 행정안전부와 그 소속기관 직제 및 행정안 전부와 그 소속기관 직제 시행규칙 에 따라 공무원의 인사 윤리 복무 연금 등 관리 를 위해 공무원인사 관련파일을 수집 이용하거나 국가인재데이터베이스 시스템을 구축 운영하는 경우 국민건강보험공단이 국민건강보험법 제13조에 따라 보험급여관리 등을 위하여 진 료내역 등을 수집 이용하는 경우

84 라. 계약 체결 이행을 위해 불가피하게 필요한 경우 정보주체와 계약 체결 및 이행을 위하여 개인정보의 수집이 불가피하게 수반되는 경우까지 정보주체의 동의를 받도록 하면 경제활동에 막대한 지장을 초래하고 동의획득에 소요되는 비용만 증가시키게 되므로, 계약 체결이나 이행을 위해 불 가피하게 필요한 개인정보는 정보주체에 대한 고지 동의 없이도 개인정보를 수집할 수 있도록 한 것이다. 계약체결 에는 계약체결을 위한 준비단계도 포함된다. 예컨대 부동산거래에 있어서 계약체결 전에 해당 부동산의 소유자, 권리관계 등을 미리 조사 확인하는 경우가 이에 해당한다. 단, 계약 미체결시에는 수집한 개인정보는 즉시 파기하여야 한다. 참고 계약체결의 사례 보험회사가 계약체결을 위해 청약자의 자동차사고이력, 다른 유사보험의 가입여부 등에 관한 정보를 수집하는 경우 거래 체결 전에 거래상대방의 신용도 평가를 위해 정보를 수집 이용하는 경우 회사가 취업지원자와의 채용 및 근로계약 체결 전에 지원자의 이력서, 졸업증명서, 성적증명서 등 정보를 수집 이용하는 경우 계약이행 은 물건의 배송 전달이나 서비스의 이행과 같은 주된 의무의 이행 뿐만 아니라 부수의무 즉 경품배달, 포인트(마일리지)관리, 애프터서비스의무 등의 이행도 포함된다. 참고 계약이행 사례 홈쇼핑회사가 고객이 주문한 상품을 배송하기 위하여 주소, 연락처 정보를 수집하는 경우 경품행사시 당첨자에게 경품을 발송하기 위해 주소와 연락처 정보를 요구하는 경우 온라인쇼핑몰이 주문시 포인트를 지급하기로 약정하고 주문정보를 수집하는 경우 병원에서 치료를 위하여 본인이나 가족에게 가족력, 지병 등에 관한 정보를 수집하는 경우 대리인을 통한 계약체결의 경우 정당한 대리권을 부여받았는지의 여부는 반드시 필요한 사항으로 대리권 확인을 위한 목적으로 대리인의 개인정보를 수집 이용 할 수 있다(표준지침 제6조제5항). 일반적으로 위임장에는 대리인의 성함, 주민등 록번호, 주소, 전화번호 등이 기재되어 있는데, 원칙적으로 대리인은 계약당사자가 아니므로 위임장에 기재된 대리인의 개인정보는 대리인의 동의하에 수집 이용하여야 한다. 그러나 대리권 확인을 위한 대리인의 개인정보를 수집 이용하는 것은 계약 체결 등 법률행위를 위해 불가피한 사항이므로 대리인의 명시적인 반대의사표시가 없는 한 단순히 대리인 여부를 확인하기 위해서는 대리인의 개인정보를 수집 이용

85 할 수 있다. 다만 이 경우에도 대리인의 주민등록번호, 여권번호 등 고유식별정보를 수집 이용할 때는 대리인의 동의를 받아야 한다. 근로자가 사용자에게 근로를 제공하고 사용자는 이에 대하여 임금을 지급하는 것을 목적으로 근로계약을 체결한 경우, 근로계약을 이행하기 위해서 직원의 개 인정보를 수집 이용하는 것은 반드시 필요한 사항이므로 사용자는 근로자의 임금 지급, 계약서에 명시된 복지제공 등 근로계약을 이행하기 위하여 근로자의 동의 없이 개인정보를 수집 이용할 수 있다. 판례도 근로계약상의 의무를 부담하고 있는 근로자들이 보유하는 자기정보 통제권은 일반 국민이 공공기관에 대해 갖는 자기정보통제권보다 제한적이라고 판시하고 있다(대전지방법원 자 2007카합527 결정). 그러나 근로관계에서 근로자는 사용자보다 약자의 지위에 처하게 되므로 근로자의 개인정보는 더욱 중요하게 보호될 필요가 있다. 따라서 근로자의 동의를 받지는 않는다 하더라도, 근로계약 체결시 근로계약서 등을 통해 직원의 개인정보 수집 이용에 관한 사항을 알리는 것이 바람직하다(직원 개인정보 수집목적, 수집항목, 직원의 열람 처리정지 정정 삭제 등에 관한 사항, 보유기간, 퇴직 후 직원정보 처리 절차 등). < 근로자의 개인정보처리 안내 사례 > OO회사는 고용계약에 포함된 개인정보를 임금지급, 복지제공, 교육신청 등을 위해 이 용합니다. 그 밖에, 직원의 개인정보는 다음과 같이 수집 이용될 수 있습니다. - 출입시스템에 의하여 출입문 통과시 출입증을 착용한 직원의 출입정보가 기록됩니다. - 회사 홍보, 업무연락 등을 위해 직원의 이름, 부서, 직위, 직장전화번호, 팩스번호, 이메일주소 등이 공개됩니다. - 직원이 업무망에 접속한 경우 접속 기록이 생성 보관됩니다. 마. 급박한 생명 신체 재산상 이익을 위하여 필요한 경우 정보주체 또는 제3자의 급박한 생명 신체 재산상의 이익을 위하여 필요하다고 인정되는 경우에도 정보주체의 동의 없이 개인정보를 수집할 수 있다. 다만, 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우에 해당된다.

86 1) 의사표시를 할 수 없는 상태 정신미약, 교통사고, 수술(의사표시를 하기 어려운 의료행위 포함) 등으로 정보 주체가 자신의 의사표시를 할 수 없거나, 태풍 홍수 화재 등 재난상태에 고립 되어 있거나 납치 감금 등 범죄자들의 수중에 구금되어 있어 정보주체의 의사를 물어볼 수 없는 경우를 말한다. 2) 사전 동의를 받을 수 없는 경우 주소불명, 전화불통, 이메일차단 등 불가피한 사유로 사전에 동의를 받을 수 없는 경우에 한한다. 수차례 전화를 걸었으나 정보주체 또는 법정대리인이 전화를 받지 아니한 경우에도 전화를 기다릴 시간적 여유가 없다는 사전 동의를 받을 수 없는 경우에 해당한다. 그러나 정보주체 또는 법정대리인이 멀리 떨어져 있어 동의를 받기 어렵다거나 단순히 동의를 거부하고 있다는 사실만으로는 사전 동의 를 받을 수 없는 경우에 해당하지 않는다. 사전 동의를 받을 수 없는 급박한 상황이 해소된 경우 개인정보처리자는 사후적으로 정보주체의 승인을 받아야 한다(표준지침 제7조). 개인정보처리자는 정보주체의 사전 동의 없이 개인정보를 수집 또는 이용한 경우에도 당해 사유가 해소된 때에는 개인정보의 처리를 즉시 중단하여야 하며, 정보주체에게 사전 동의 없이 개인정보를 수집 또는 이용한 사실, 그 사유와 이용내역을 알려야 한다. 급박한 사유가 해소된 이후 계속해서 정보주체의 개인정보를 이용하려는 경우에는 정보주체의 동의를 받 아야 한다. 3) 명백히 정보주체 등의 이익을 위한 경우 개인정보의 수집 이용 목적이 명백하게 정보주체 또는 제3자의 생명 신체 재산상의 이익을 위한 것이어야 한다. 이익이 되지만 동시에 손해가 될 수도 있는 경우에는 정보주체의 동의없이 개인정보를 수집할 수 없다. 문제는 제3자에게는 명백히 이익이 되지만 정보주체에게는 손해가 되는 경우 이다. 이 경우에는 제3자의 이익이 정보주체의 이익보다 월등한 경우에만 동의없는 개인정보 수집이 가능하다고 하여야 할 것이다. 특히 제3자의 재산상 이익은 정 보주체의 생명 신체상 이익을 앞설 수는 없다고 보아야 한다. 4) 급박한 생명 신체 재산상 이익 생명 신체 재산상 이익이 급박해야 한다. 정보주체 또는 법정대리인의 동의 를 받을 수 있는 충분한 시간적 여유가 있거나 다른 수단에 의해서도 생명 신 체 재산상의 이익을 보호할 수 있다면 급박한 상태에 있다고 할 수 없다.

87 참고 급박한 이익의 사례 조난 홍수 등으로 실종되거나 고립된 사람을 구조하기 위하여 연락처, 주소, 위치정보 등 개인정보를 수집하는 경우 아파트에 화재가 발생한 경우, 집안에 있는 자녀를 구하기 위해 해당 자녀 또는 부모 의 이동전화번호를 수집하는 경우 의식불명이나 중태에 빠진 환자의 수술등 의료조치를 위하여 개인정보를 수집하는 경우 바. 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우에는 정보주체의 동의 없이 개인정보를 수집할 수 있다. 그러나 개인정보처리자의 이익이 명백하게 정보주체의 권리보다 우선하여야 하고, 수집하고자 하는 개인정보가 개인정보처 리자의 정당한 이익과 상당한 관련이 있어야 하며 합리적인 범위를 초과해서는 안 된다. 1) 개인정보처리자의 정당한 이익 요금 징수 및 정산, 채권추심, 소 제기 및 진행 등을 위하여 증빙자료를 조 사 확보하는 경우, 영업비밀 유출 및 도난방지, 출입이 통제되고 있는 사업장내 시설안전 등의 목적으로 CCTV 설치 등 계약이나 법률에 기한 개인정보처리자의 정당한 이익이 존재해야 한다. < 개인정보처리자의 정당한 이익달성 사례 > 사업자가 요금정산 채권추심 등을 위하여 고객의 서비스 이용내역, 과금내역 등의 개인정보를 생성 관리하는 경우 요금정산을 위해서는 고객의 물품 주문내역, 서비스 이용내역, 통신사실확인자료 등과 같이 요금을 산출하고 과금하기 위한 자료를 생성하게 되며, 계약이행에 따른 정당한 대가를 받기 위한 것이므로 수집이 가능하다고 보아야 함 정보주체로부터 직접 제공받은 성명 주민등록번호 등의 정보가 아니더라도 사업자가 생성한 정보도 개인정보의 수집 행위에 해당됨 사업자가 고객과의 소송이나 분쟁에 대비하여 요금정산자료, 고객의 민원제기내용 및 대응자료 등을 수집ㆍ관리하는 경우 이미 해결된 민원인데도 계속해서 민원을 제기하는 경우 기존의 민원제기내역 및 대처기록 등의 자료를 기록 보관할 때, 요금정산 및 과금에 대한 불만 발생시 이를 증빙할 수 있는 서비스 이용내역에 대한 증빙자료를 생성 관리 할 때, 사전에 동의를 받도록 한다면 사업자의 영업활동에 과도한 부담

88 2) 명백하게 정보주체의 권리보다 우선 개인정보처리자의 정당한 이익을 위한 것이라고 하더라도 정보주체의 사생활을 과도하게 침해하거나 다른 이익을 침범하는 경우에는 정보주체의 동의없이 개인 정보를 수집할 수 없다. 정보주체의 권리보다 명백하게 개인정보처리자의 이익이 월등해야 한다. EU에 서는 이익형량의 원칙에 따라 정보주체의 이익과 개인정보처리자의 이익을 비교 형량하도록 하고 있으나 우리나라에서는 개인정보처리자의 이익이 명백히 우선 하는 경우에만 개인정보 수집이 허용된다. 참고 명백성 판단 예시 회사가 업무효율성 및 영업비밀 보호 등을 이유로 직원의 업무처리 내역 및 인터넷 접속내역 등을 모니터링하는 시스템을 설치하는 것은 정보주체 권리보다 명백히 우 선한다고 보기는 어려우므로, 이 경우는 노사 합의에 따라 처리하거나 직원에 대한 고지 또는 동의절차를 거치는 것이 바람직함 3) 상당한 관련성과 합리적 범위 내의 수집 개인정보처리자의 정당한 이익이 존재하고, 그것이 명백하게 정보주체의 권리 보다 우선한다고 하더라도 해당 개인정보가 개인정보처리자의 정당한 이익과 관 련성이 낮거나 합리적인 범위를 초과해서는 안 된다. 사. 친목단체의 운영을 위한 경우 친목단체는 친목단체의 운영을 위하여 회원의 개인정보를 수집 이용하는 경우 정보주체의 동의를 받을 필요가 없다(표준지침 제13조제5항). 친목단체란 온라인 및 오프라인을 막론하고, 자원봉사, 취미, 정치, 종교 등 공통의 관심사나 목표를 전제로 단체를 이루는 구성원 상호간 친교하면서 화합을 조성하는 것을 목적으 로 하는 모임을 말한다. 친목단체는 내부구성원간의 친교를 목적으로 하는 점에서 외부적 단체의사표시 내지 외부적 영향력행사를 전제로 하는 정당 종교단체 및 언론 등과는 구별된다. 친목단체의 운영을 위한 사항이란 1 친목단체의 가입을 위한 성명, 연락처 및 친목단체의 회칙으로 정한 공통의 관심사나 목표와 관련된 인적 사항, 2 친목단 체의 회비 등 친목유지를 위해 필요한 비용의 납부현황에 관한 사항, 3 친목단체의 활동에 대한 구성원의 참석여부 및 활동내용에 관한 사항, 4 기타 친목단체의

89 구성원 상호간의 친교와 화합을 위해 구성원이 다른 구성원에게 알리기를 원하는 생일, 취향 및 가족의 애경사 등에 관한 사항을 말한다. 아. 명함 또는 유사한 매체의 제공 및 공개된 매체 또는 장소에서 개인정보 를 수집하는 경우 예외적으로 명함을 주고받는 행위와 관련하여서는 정보주체의 명시적 동의가 없어도 명함에 기재된 개인정보를 이용할 수 있다고 본다(표준지침 제6조제3항). 명함을 주고받는 행위는 사적 관계, 업무 관계의 여부를 불문하고 일상생활에서 다반사로 일어나는 관행적인 행위이다. 명함은 성명, 소속, 직위, 전화번호, 주소, 이메일 등의 개인정보를 포함하고 있으므로 명함을 통해 수집된 개인정보를 업 무상 목적으로 이용하기 위해서는 법령에서 정하고 있는 예외적인 경우를 제외 하고는 정보주체의 동의가 필요하다. 그러나 특별한 조건을 명시하여 명함을 교부한 경우가 아니라면, 일반적으로 명함을 교환하는 행위에는 명함에 기재된 정보를 사용해도 된다는 동의가 내재되어 있다고 해석됨이 바람직하다. 즉 명함을 준 정황에 비추어보아 명함을 교부한 목적에 부합하는 이용이라면 정보주체의 동의가 있었다고 인정되므로 개인정보 처리자는 명함에 기재된 개인정보를 이용하기 위해서 반드시 정보주체의 동의를 받아야 할 필요가 없다. 예를 들어 정보주체가 자동차 구매를 위해 자동차판매점을 방문하고 담당직원에게 명함을 준 경우, 그 직원은 정보주체의 동의가 없었지만 자동차 구매와 관련한 정보의 제공 등을 위해 명함에 기재된 연락처를 이용할 수 있다. 다만, 이 경우에도 정보주체의 개인정보를 제3자에게 제공하거나 다른 목적을 위해 이용하기 위해서는 정보주체의 동의를 받아야 한다. 즉 위의 예시에서 자동차 판매점의 직원은 정보주체의 동의없이 지속적인 홍보, 이벤트 안내 등을 해서는 안 되며, 자동차 판매와 관련하지 않은 목적으로 고객의 정보를 이용하기 위해서는 고객의 동의를 받아야 한다. 또한, 인터넷 홈페이지 등 공개된 매체, 장소 등에 정보주체가 자신의 개인정보를 수집 이용해도 된다는 명시적인 동의의사를 표시하거나, 홈페이지의 성격, 게시물 내용에 비추어 동의의사가 있었다고 인정되면, 해당 정보주체의 개인정보는 동의 없이 수집 이용할 수 있다(표준지침 제6조제4항). 예컨대, 인터넷 중고거래사이트에서 상품을 팔기위해서 정보주체가 판매물품에

90 대한 설명과 자신의 전화번호를 기재한 경우, 이는 해당 상품의 거래목적으로 전화 번호를 이용해도 된다는 동의의 의사표시를 한 것으로 볼 수 있다. 또한 공공기관의 홈페이지에서 담당직원의 회사전화번호나 이메일이 기재된 경우, 이는 담당직원이 담당하고 있는 업무와 관련한 목적을 위해서는 직원의 전화번호와 이메일을 수집 이용 할 수 있다. 그러나 홈페이지에 게시된 전화번호 또는 이메일을 통해 직원들에게 직장인 우대대출, 홍보성 이벤트 안내 등을 해서는 안되며, 이를 위해서는 정보주체의 동의를 받아야 한다. 알리는 방법에는 특별한 제한이 없으므로 문서, 이메일, 전화, 팩스 등 어느 것이나 가능하다. 알려야 할 사항 중 어느 하나에 변경이 있는 경우에도 정보주체에게 변경 사실을 다시 알리고 동의를 받아야 한다. 3. 개인정보의 이용요건 제1항의 수집 요건에 따라 개인정보를 수집한 경우에는 해당 요건에 따라 개인 정보를 이용할 수 있다. 수집은 통상적으로 이용을 전제로 해서 이루어지므로 수 집목적 범위 안에서 이용할 수 있도록 이용 요건도 동일한 기준이 적용된다. 민감정보 및 고유식별정보를 처리하는 경우에는 이에 관한 규정인 제23조 및 제24조가 특별한 규정으로 적용되므로, 민감정보 및 고유식별정보의 처리에 대한 별도의 동의를 얻거나 또는 법령의 명시적인 근거가 필요하다. 4. 다른 법률과의 관계 정보통신망법 제22조에 따른 이용자의 개인정보 수집에 관하여는 정보통 신망법을 우선 적용하며, 그 외의 개인정보 수집시에는 개인정보 보호법을 적용 한다. 신용정보법상 개인정보 수집과 관련해서는 개인정보 보호법이 적용되나, 신용정보에 대한 수집 조사의 원칙(제15조), 공공기관에 대한 신용정보의 열람 및 제공 요청 등(제23조)의 예외가 따른다. 정보통신망법 제22조(개인정보의 수집 이용 동의 등) 1 정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다. 1. 개인정보의 수집 이용 목적 2. 수집하는 개인정보의 항목 3. 개인정보의 보유 이용 기간 2 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경

91 우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집 이용할 수 있다. 1. 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적 기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우 2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우 3. 이 법 또는 다른 법률에 특별한 규정이 있는 경우 신용정보법 제15조(수집 조사의 원칙) 신용정보회사, 신용정보집중기관 및 신용정보제 공 이용자(이하 신용정보회사등 이라 한다)는 신용정보를 수집 조사하는 경우에는 이 법 또는 정관으로 정한 업무 범위에서 수집 조사의 목적을 명확하게 하고 그 목적 달성에 필요한 범위에서 합리적이고 공정한 수단 을 사용하여야 한다. 제22조의2(신용정보 등의 보고) 신용조회회사는 신용정보의 활용범위, 활용 기간, 제공 대상자 등을 대통령령으로 정하는 바에 따라 금융위원회에 보 고하여야 한다. 제23조(공공기관에 대한 신용정보의 열람 및 제공 요청 등) 1 신용조회회 사나 신용정보집중기관은 국가 지방자치단체 또는 대통령령으로 정하는 공공단체(이하 공공기관 이라 한다)에 해당 공공기관이 보유하고 있는 신 용정보 중 관계 법령에 따라 공개할 수 있는 신용정보의 열람 또는 제공 을 요청할 수 있다. 이 경우 요청을 받은 공공기관은 특별한 사유가 없으 면 그 요청에 따라야 한다. 2 신용조회회사 또는 신용정보집중기관이 공공기관의 장에게 신용정보주 체의 신용도 신용거래능력 등의 판단에 필요한 신용정보로서 대통령령으 로 정하는 신용정보의 제공을 요청하면 그 요청을 받은 공공기관의 장은 다음 각 호의 법률에도 불구하고 해당 신용조회회사 또는 신용정보집중기 관에 정보를 제공할 수 있다. 공공기관의 장이 신용조회회사 또는 신용정 보집중기관에 정보를 제공하는 기준과 절차 등은 대통령령으로 정한다. 1. 공공기관의 정보공개에 관한 법률 2. 개인정보 보호법 3. 국민건강보험법 4. 국민연금법 5. 한국전력공사법 6. 주민등록법 제24조(주민등록전산정보자료의 이용) 1 신용정보집중기관 및 대통령령으 로 정하는 신용정보제공 이용자는 다음 각 호의 어느 하나에 해당하는 경 우에는 행정안전부장관에게 주민등록법 제30조제1항에 따른 주민등록 전산정보자료의 제공을 요청할 수 있다. 이 경우 요청을 받은 행정안전부 장관은 특별한 사유가 없으면 그 요청에 따라야 한다. 1. 상법 제64조 등 다른 법률에 따라 소멸시효가 완성된 예금 및 보험 금 등의 지급을 위한 경우로서 해당 예금 및 보험금 등의 원권리자에게 관련 사항을 알리기 위한 경우 2. 금융거래계약의 만기 도래, 실효( 失效 ), 해지 등 계약의 변경사유 발생 등 거래 상대방의 권리 의무에 영향을 미치는 사항을 알리기 위한 경우 2 제1항에 따라 주민등록전산정보자료를 요청하는 경우에는 금융위원회위원장의 심사를 받아야 한다.

92 6. 위반에 따른 벌칙 위반행위 수집 이용기준을 위반하여 개인정보를 수집한 자 (제15조제1항 위반) 벌칙 5천만원 이하 과태료 (제75조제1항제1호) 정보주체에 대한 고지의무 위반 (제15조제2항 위반) 3천만원 이하 과태료 (제75조제2항제1호) 7. 질의 응답 FAQ 법이 시행되는 2011년 9월 30일 이전에 수집한 개인정보는 다시 동의 받아야 하는지? 종전 다른 법령에 따라 적법하게 이루어진 개인정보처리의 경우 다시 동의를 받지 않아도 되며, 법 시행 전에 근거법령 없이 개인정보를 수집한 경우에도 당해 개인정 보를 보유하는 것은 적법한 처리로 본다. 다만, 이 법 시행 이후 기존의 수집 이용 목적의 범위를 벗어나 개인정보를 이용하거나 제3자에게 제공하는 등의 경우에는 법, 시행령, 시행규칙 및 지침 고시에 따라 새롭게 동의를 받는 등의 조치를 취해야 한다. FAQ 이전에 경품 이벤트에 응모했던 고객 리스트를 활용해 신상품 출시를 안내하는 홍보 이메일을 보내도 문제가 없는지 경품 이벤트를 통해 이벤트 활용 목적으로만 동의를 받고 별도의 상품광고 에 대해 서는 동의를 받지 않았다면, 해당 개인정보는 상품출시 안내 이메일 발송 등의 광고 목 적으로 이용할 수 없다. 다만 홍보 목적에 대해 별도의 동의를 받으면 가능하다. FAQ 정보주체로부터 제공받은 명함이나, 전화번호부, 공개된 인터넷 홈페이지를 통해 개인정보를 수집하는 경우에도 법 제15조제1항 제1호에 따라 정보주체의 동의를 받아야 하는지 정보주체로부터 직접 명함 또는 그와 유사한 매체를 제공받음으로써 개인정보를 수 집하는 경우, 정보주체가 동의의사를 명확히 표시하거나 그렇지 않은 경우 명함 등 을 제공하는 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내 에서만 이용할 수 있다. 또한 전화번호부, 공개된 인터넷 홈페이지를 통해 개인정보를 수집하는 경우에도 본 인의 개인정보를 인터넷 홈페이지 등에 게시하거나 게시하도록 허용한 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지 등의 표시 내용에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서 이용하여야 한다.

93 FAQ 서점의 멤버십 회원을 대상으로 도서할인 이벤트 안내 이메일 발송을 하려 한다. 그런데 회원들이 작성했던 멤버십 가입신청서에는 마케팅 활용 에 대한 고지사항이 따로 기재되어 있지 않았다면, 이메일을 보내는데 문제가 없는지 최초 멤버십 가입시에 기본적인 서비스 목적으로만 동의를 받고 마케팅 활용 에 대 해서는 따로 동의를 받지 않았다면 서비스 제공을 위해 수집한 개인정보를 이벤트 안내 이메일 발송 등 마케팅 행위에 이용할 수 없으며, 마케팅 목적으로 기 수집된 개인정보를 이용하기 위해서는 별도의 동의를 받아야 한다. FAQ 정보주체의 동의가 필요한 개인정보는 장래에 변경이 가능하다는 점에서 정부주체가 동의할 시점에서 확정한 동의를 받아야 할 항목을 모두 열거하고 그 외 이에 준하거나 유사한 항목을 포섭하는 의미로 등 의 용어를 사용하는 것이 허용되는지 개인정보 보호법 은 개인정보 수집시 필요 최소한의 개인정보만을 수집하도록 하고 있으며, 등 의 용어를 써서 추가적인 개인정보를 받을 수 있도록 한다면 무분별한 개인정보 수집으로 이어질 소지가 있으므로 정보주체 동의시 수집할 구체적인 개인정보 항목을 나열하면서 등 을 써서는 안되며, 추후 업무상 새로운 개인정보가 필요한 경우 별도로 동의를 얻어야 한다.

94 FAQ 직원 채용시 이력서 등을 통하여 얻게 되는 직원 개인 정보는 "정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우"에 해당하는 것으로 보아 그 수집 이용에 대하여 동의가 면제되는 것으로 볼 수 있는지 근로기준법 시행령 제27조에 의하면 사업자는 직원의 성명, 주민등록번호, 가족 수당의 계산기초가 되는 사항과 기타 근로조건에 관한 사항을 임금 대장에 기록하 여야 하는 바, 이는 법령이 정한 경우에 해당한다. 기타 정보의 경우에도 구직예정자 의 개인정보 또한 그 수집, 이용과 관련하여 법 제15조제1항제4호(계약의 체결 및 이 행에 필요한 경우)에 의하여 구직예정자의 동의가 면제될 수 있을 것이다. 다만 기본적으로 직원에 관한 정보는 계약체결 목적뿐만 아니라 복지, 노조관리, 위탁 등의 목적으로 활용 여지가 높고 민감정보를 수집할 여지가 있기 때문에, 채용시에는 입사서류에 채용을 포함한 회사의 개인정보 이용목적, 기간 등을 명확히 기재하여 대상자에게 알리는 것이 바람직하다. 채용시에 주민등록번호 등 고유식별정보와 민감정보를 수집하는 경우에는 법령에 구 체적인 근거가 있는 경우를 제외하고 정보주체에게 별도의 동의를 얻어야 한다. FAQ 임차인이 전세대출을 위해 은행에 전세계약서를 제출하는 경우 전세계약서에는 임차인의 정보뿐만 아니라 임대인의 개인정보도 포함하고 있는데, 이때 은행은 임대인의 개인 정보 수집이용에 대한 동의를 받아야 하는가? 동의를 받지 않아도 된다면 그 근거는? 은행이 임대인의 동의없이 계약서에 기재된 임대인의 개인정보를 수집할 수 있는 경우는 - 법률의 특별한 규정 또는 법령상 의무준수를 위해 불가피한 경우 - 정보주체와의 계약 체결 및 이행을 위하여 불가피하게 필요한 경우 - 정보주체의 사전동의가 어려운 경우로써 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요한 경우 - 개인정보처리자의 정당한 이익 달성에 필요한 경우(정보주체의 권리보다 우선하는 경우)로 한정된다. 은행은 전세대출계약을 함에 있어 임대차계약이 진정하게 성립되었는지 여부를 확 인할 필요가 있으며, 이를 위하여 전세계약서를 통해 임대인의 개인정보를 확인하 는 것은 개인정보처리자(은행)의 정당한 이익에 해당됨. 즉 전세자금대출은 임대차 계약상의 임차보증금에 담보를 설정하는 것으로, 임대차계약의 허위여부를 판단하 기 위하여 임대인의 개인정보를 수집하는 것은 은행의 정당한 이익(대출금 회수 등)과 상당한 관련이 있고 합리적인 범위를 초과하였다고 볼 수 없다. 또한 은행의 전세자금대출은 임대인에게 미치는 피해가 없으며, 임대인의 개인정보 역시 단순히 임대차계약의 진위여부를 확인하기 위한 목적으로만 처리되므로 임대인의 개인정 보에 관한 권리가 침해될 소지가 적다. 따라서 은행은 개인정보보호법 제15조제1항제6호에 의하여 동의없이 임대인의 개 인정보를 수집 이용할 수 있으며, 다만 이 경우에도 고유식별정보의 처리를 제한하 고 있는 개인정보 보호법은 제24조에 따라 주민등록번호를 수집 이용할 경우에는 임대인의 별도의 동의가 필요하다.

95 제16조 개인정보의 수집 제한 제16조(개인정보의 수집 제한) 1 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이 라는 입증책임은 개인정보처리자가 부담한다. 2 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수 집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다. 1. 최소수집 원칙 제15조제1항 각 호의 목적을 위해서 정보주체의 개인정보를 수집할 때에는 그 목적에 필요한 범위 내에서 최소한의 개인정보만을 수집하여야 한다. 그러나 현실적으로 제15조제1항제1호에 따라 정보주체의 동의를 받아 수집하는 경우에는 최소수집의 원칙이 적용될 여지가 없다. 다시 말해 최소 수집원칙은 정보주체의 동의 없이 개인정보를 수집하는 경우에만 적용된다. 개인정보를 필요 이상으로 수집 저장하고 있으면 해킹 등에 의하여 언제든지 개인정보가 유출될 위험이 있고 개인정보처리자에 의하여 남용될 우려가 있기 때문이다. 참고 최소정보의 예 홈쇼핑업체가 고객에게 상품을 배송하기 위해 수집한 이름, 주소, 전화번호(자택 및 휴대전화번호) 등은 필요 최소한의 개인정보라고 할 수 있으나, 주민등록번호나 기타 배송과 관련 없는 개인정보를 요구하는 것은 최소정보의 범위를 벗어난 것임 포인트 카드 발급시 동명이인을 구분하기 위해 이름과 생년월일을 수집하는 것은 최소한 의 정보라고 할 수 있으나 주민등록번호를 수집하는 것은 최소정보의 범위를 벗어난 것임 2. 입증책임의 부담 최소한의 개인정보라는 입증책임은 개인정보처리자가 부담한다. 즉 개인정보처 리자가 수집한 개인정보가 최소한의 개인정보라는 것을 입증하지 못하면 개인정 보처리자가 패소하게 된다. 만약 필요 최소한 이상으로 개인정보를 수집하고자 하 는 경우에는 제15조제1항에 따라 정보주체의 동의 없이 개인정보를 수집할 수 있 는 경우에도 정보주체의 동의를 받아야 한다.

96 3. 재화 등 제공 거부 금지 필요 최소한의 정보 외의 개인정보 수집(선택정보)에 동의하지 아니한다는 이 유로 정보주체에게 재화 또는 서비스 제공을 거부해서는 안 된다. 서비스 제공에 는 회원 가입도 포함된다. 유료의 경우는 물론이고 무료의 경우도 마찬가지이다. 이는 개인정보 수집 이용에 대한 강요된 동의를 막기 위한 것이다. 제 16 조 4. 벌칙규정 위반행위 필수정보 이외의 정보 수집에 동의하지 않는다는 이유로 재화 또는 서비스의 제공을 거부한 자 (제16조제2항 위반) 벌칙 3천만원 이하 과태료 (제75조제2항제2호) 5. 다른 법률과의 관계 정보통신망법 은 필요최소한의 개인정보 수집원칙 및 서비스 제공 거부 금지를 명시하고 있으며, 이에 따라 정보통신서비스제공자는 이용자의 개인정보 수집과 관련하여 정보통신망법 의 적용을 받는다. 신용정보법 은 서비스 제공 거부에 관한 명시적인 규정을 두고 있지 않으므로, 이에 대하여는 개인정보 보호법 에 따라 처리한다. 다만, 신용정보법 에서는 신용정보의 수집 조사 및 처리에 관하여 일정한 경우 예외사유를 규정하고 있 으므로, 이에 해당하는 경우에는 신용정보법 에 따라 수집 조사 및 처리를 제 한한다. 정보통신망법 제23조(개인정보의 수집 제한 등) 2 정보통신서비스 제공자는 이용자 의 개인정보를 수집하는 경우에는 정보통신서비스의 제공을 위하여 필요한 최소한의 정보를 수집하여야 하며, 필요한 최소한의 정보 외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부하여 서는 아니 된다.

97 신용정보법 제16조(수집 조사 및 처리의 제한) 1 신용정보회사등은 다음 각 호의 정보를 수집 조사하여서는 아니 된다. 1. 국가의 안보 및 기밀에 관한 정보 2. 기업의 영업비밀 또는 독창적인 연구개발 정보 3. 개인의 정치적 사상, 종교적 신념, 그 밖에 신용정보와 관계없는 사생활에 관한 정보 4. 확실하지 아니한 개인신용정보 5. 다른 법률에 따라 수집이 금지된 정보 6. 그 밖에 대통령령으로 정하는 정보 2 신용정보회사등이 개인의 질병에 관한 정보를 수집 조사하거나 타인 에게 제공하려면 미리 제32조제1항에 따른 해당 개인의 동의를 받아야 하며 대통령령으로 정하는 목적으로만 그 정보를 이용하여야 한다. 6. 질의 응답 FAQ 수집목적에 필요한 최소한의 개인정보의 범위란? 서비스제공자가 수집하는 필요한 최소한의 개인정보 는 서비스의 특성을 고려하 여 서비스 제공을 위해 반드시 필요한 정보에 한한다. 예컨대, 인터넷 쇼핑몰의 경우 계약의 성립과 상품 배송 및 대금결제를 위하여 필요 한 성명, 전화번호, 주소 및 통장계좌번호 또는 신용카드번호 등이 이에 해당할 수 있다. 최소한의 개인정보라는 것에 대한 입증책임은 개인정보처리자가 부담함에 유의하여 야 한다(법16조제1항). FAQ 정보주체의 동의를 받는 경우에는 목적에 필요한 최소한의 범위 를 벗어난 개인정보 수집이 허용될 수 있는지 목적에 필요한 최소한의 범위를 벗어난 개인정보는 선택정보로서 필수정보와 구분 하여 동의를 얻어야 하며 정보주체가 동의를 하는 경우에는 수집이 가능하다. 다만, 필요최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에 게 재화 또는 서비스의 제공을 거부 위반하는 경우에는 3천만원 이하의 과태료가 부과된다. 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.

98 제17조 개인정보의 제공 법률 표준지침 제17조(개인정보의 제공) 1 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공 (공유를 포함한다. 이하 같다)할 수 있다. 1. 정보주체의 동의를 받은 경우 2. 제15조제1항제2호 제3호 및 제5호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우 2 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 1. 개인정보를 제공받는 자 2. 개인정보를 제공받는 자의 개인정보 이용 목적 3. 제공하는 개인정보의 항목 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이 익이 있는 경우에는 그 불이익의 내용 3 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2 항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하 여서는 아니 된다. 제8조(개인정보의 제공) 1 개인정보의 제공 이란 개인정보의 저장매체 또는 개인정보가 담긴 출력물이나 책자 등의 물리적 이전, 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제3자의 접근권한 부여, 개인 정보처리자와 제3자의 개인정보 공유 등 개인정보의 이전과 공동으로 이용할 수 있는 상태를 초래하는 모든 행위를 말한다. 2 법 제17조의 제3자 란 정보주체와 정보주체 또는 그의 법정대리인 으로부터 개인정보를 실질적 직접적으로 수집 보유한 개인정보처 리자를 제외한 모든 자를 의미하며, 법 제26조제2항에 따른 수탁자는 제외한다. 3 개인정보처리자가 법 제17조제2항제1호에 따라 정보주체에게 개인 정보를 제공받는 자를 알리는 경우에는 그 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처를 함께 알려야 한다. 제 17 조 1. 개인정보 제3자 제공의 의미 개인정보의 제3자 제공이란 개인정보처리자 외의 제3자에게 개인정보의 지 배 관리권이 이전되는 것을 의미한다. 즉 개인정보 수기문서를 전달하거나 데이 터베이스 파일을 전달하는 경우 뿐만 아니라, 데이터베이스 시스템에 대한 접

99 속권한을 허용하여 열람 복사가 가능하게 하는 경우 등도 제3자 제공 에 모 두 포함된다. 민감정보 및 고유식별정보를 제3자에게 제공하는 경우에는 제23조 및 제24조에 따라 민감정보 및 고유식별정보의 제3자 제공에 대한 별도의 동의를 받거나 또는 법령의 명시적인 근거가 필요하다. 2. 목적외 이용, 영업양도 등과의 차이 가. 목적외 이용과의 차이 개인정보의 제3자 제공이란 개인정보처리자 외의 제3자에게 개인정보의 지 배 관리권이 이전되는 것을 말한다. 반면 목적외 이용이란 같은 개인정보처리자 (기관 단체 법인 등) 내에서 당초의 수집목적을 벗어나서 개인정보를 이용하는 것 을 말한다. 같은 개인정보처리자 내에서 당초 수집목적과 다른 목적에 이용하기 위해 서로 다른 부서간에 개인정보를 제공하는 것은 제3자 제공이 아니라 목적 외 이용에 해당된다. 나. 처리업무 위탁과의 차이 업무위탁과 개인정보 제3자 제공 모두 개인정보가 다른 사람(제3자)에게 이전되 거나 공동으로 이용하게 된다는 측면에서는 동일하다. 그러나 업무위탁 의 경우에는 개인정보처리자의 업무를 처리할 목적으로 개인 정보가 제3자(수탁자)에게 이전되지만, 제3자 제공 은 그 제3자의 업무를 처리할 목적 및 그 제3자의 이익을 위해서 개인정보가 이전된다는 점이 다르다. 또한 업 무위탁의 경우에는 개인정보처리자의 관리 감독을 받지만, 제3자 제공은 개인정 보가 제공된 이후에는 제3자가 자신의 책임 하에 개인정보를 처리하게 되며, 개 인정보처리자의 관리 감독권이 미치지 못한다. 다. 영업양도 등과의 차이 영업의 양도 합병(제27조)는 비록 개인정보가 제3자에게 이전된다는 점에서는 제3 자 제공 과 유사하다. 그러나 영업의 양도 합병은 그 개인정보를 이용한 업무의 형태 는 변하지 않고 단지 개인정보의 관리주체만 변한다는 점에서 제3자 제공 과는 차

100 이가 있다. 이에 따라 영업의 양도 합병에 대해서는 이 법 제27조에서 별도의 규정을 두고 있으며, 제3자 제공과 관련한 규정은 적용되지 않는다. 3. 제3자 제공이 가능한 경우 가. 정보주체의 동의를 받은 경우(제15조제1항제1호) 개인정보처리자가 제3자 제공에 대한 동의를 받을 때에는 정보주체가 제3자 제공의 내용과 의미를 명확히 알 수 있도록 미리 1개인정보를 제공받는 자의 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처, 2제공받는 자의 개인정보 이용 목적, 3제공하는 개인정보의 항목 4제공받는 자의 개인정보 보유 및 이용 기간, 5동의 거부권이 존재하다는 사실 및 동의 거부에 따른 불이익의 내용(불 이익이 있는 경우에 한함)을 알려주어야 한다. 알려야 할 사항 중 어느 하나에 변경이 있는 경우에도 정보주체에게 변경 사실을 다시 알리고 동의를 받아야 한다. 개인정보를 제공받는 자 란 제공받는 자의 이름 또는 상호를 의미하므로, 금융기관, 정부기관 등과 같이 정보주체가 제공받는 자를 알기 어렵도록 포괄적 으로 알리는 것은 안 된다. 제공받는 자가 여러 명일 경우에는 각각의 이름 또는 상호를 알리고 제공되는 목적, 항목, 기간 등이 다를 경우에는 제공받는 자별로 그 목적, 항목, 기간 등을 각각 알려야 한다. 이와 같이 제공받는 자가 특정되어 있어야 하기 때문에 우리나라에서는 사실상 데이터베이스 마케팅(정보주체들의 동의를 받아 대량의 개인정보를 수집하여 저장해 두고, 다른 사람들에게 개인정보를 판매 대여하거나, 다른 사람이 보유하고 있는 개인정보 데이터 베이스를 최신의 상태로 업데이트시켜 주거나, 다른 사람의 상품 광고를 대행해 주는 서비스)은 금지되어 있다고 할 수 있다. 제3자 제공에 대하여 동의를 받아야 하는 시점에는 특별한 제한이 없다. 즉 개인정보를 수집 이용하고 있다가 제3자 제공을 해야 하는 시점에 동의를 받아도 되고, 최초 수집시 미리 제3자 제공에 대해 동의를 받아도 된다. 다만, 개인정보를 수집할 때 제3자 제공에 대한 동의를 받는 경우에는 수집 이용에 대한 동의와 별도로 구분해서 동의를 받아야 한다(제22조). 개인정보의 제공 에는 개인정보를 저장한 매체, 또는 개인정보가 포함된 출력물이나 책자 등의 물리적 이전뿐만 아니라, DB시스템에의 제3자 접속을 허용하게 함으로써 개인정보처리자와 제3자가 정보주체의 개인정보를 동시에 공유하는 것도 포함된다.

101 < 관련 위반 사례 > XX서점은 제휴업체와 개인정보를 제공ㆍ공유하면서 이를 정보주체에게 알리고 동 의를 받지 않고, 영업의 특성상 제휴업체가 빈번히 변경된다는 이유로 회원가입신 청서 상에 개인정보를 제공받는 자(제휴업체명) 및 개인정보의 제공목적 을 고 지하지 않고 개인정보를 여러 제휴업체에 제공 XX마트는 개장 기념 경품이벤트 를 실시하면서, 경품행사에 응모한 고객의 정보가 제휴 생명보험사에 제공되어 휴일 무료 상해보험 에 가입된다는 사실 을 고지하지 않고 동의를 받지 않음 나. 법률규정이 있거나 법령상 의무준수를 위해 불가피한 경우(제15조제1항제2 호) 1) 법률의 특별한 규정 법률의 특별한 규정이 있는 경우 란 법률에서 개인정보의 활용에 대하여 구체적으로 요구하거나 허용하고 있는 경우를 말한다. 따라서 시 군 구의 장의 공직 선거 입후보자에 대한 선거인명부 교부( 공직선거법 제46조), 보험요율산출기관의 보험회사에 대한 보험계약자 교통법규위반 개인정보 제공( 보험업법 제176조), 교통사고환자를 치료한 의료기관의 보험회사 등에 대한 진료기록 열람허용( 자동차 손해배상보장법 제14조) 등의 의무를 준수하기 위하여 개인정보처리자는 정보주체의 동의없이 개인정보를 관계 당사자에게 제공할 수 있다. 참고 공직선거법 제46조(명부사본의 교부) 1 구 시 군의 장은 후보자[비례대표국회의원후보자 및 비례 대표지방의회의원(비례대표시 도의원 및 비례대표자치구 시 군의원을 말한다. 이하 같다)후보자를 제외한다] 선거사무장(비례대표국회의원선거 및 비례대표지방의회의원 선거의 선거사무장을 제외한다) 또는 선거연락소장의 신청이 있는 때에는 작성된 선 거인명부 또는 부재자신고인명부의 사본이나 전산자료복사본을 후보자별로 1통씩 24 시간 이내에 신청인에게 교부하여야 한다. 2 제1항에 따른 선거인명부 또는 부재자신고인명부의 사본이나 전산자료복사본의 교 부신청은 선거기간개시일까지 해당 구 시 군의 장에게 서면으로 하여야 한다. 2) 법령상 의무 준수 법령에서 개인정보처리자에게 일정한 의무를 부과하고 있는 경우로서 해당 개 인정보처리자가 그 의무 이행을 위해서 개인정보를 불가피하게 수집 이용할 수밖 에 없는 경우를 말한다. 법률에 의한 의무뿐만 아니라 시행령, 시행규칙에 따른 의무도 포함된다. 불가피한 경우 란 개인정보를 수집하지 않고는 법령에서 부과하는 의무를 이행하는 것이 불가능하거나 개인정보처리자가 다른 방법을 사용하여 의무를 이행

102 하는 것이 현저히 곤란한 경우를 의미한다. 법령상 의무준수를 위하여 불가피한 경우에 해당하여 개인정보를 수집 이용한 경우에는 그 목적 범위 내에서 개인정보를 제공할 수 있다. 의료인 의료기관의 보건당국에 대한 감염병 환자 신고의무( 감염병의 예방 및 관리에 관한 법률 제11조), 외국환을 거래하는 금융당국의 해외송금자 국세청 통보의무( 외국환거래법 제21조), 소득지급자의 소득귀속자에 대한 원천징수의 무 및 원천징수이행상황신고의무( 소득세법 제127조 및 제128조) 등을 이행하 기 위한 개인정보의 제공이 법령상 의무 준수의 예에 속한다. 참고 후천성면역결핍증 예방법 제5조(의사 또는 의료기관등의 신고) 1 감염인을 진단하거나 감염인의 사체를 검안한 의사 또는 의료기관은 보건복지부령으로 정하는 바에 따라 즉시 진단 검안사실을 관할 보건소장에게 신고하고, 감염인과 그 배우자(사실혼 포함) 및 성 접촉자에게 후천성면 역결핍증의 전파방지에 관하여 필요한 사항을 알리고 이를 준수하도록 지도하여야 한 다. 이 경우 가능한 한 감염인의 의사를 참고하여야 한다. 2학술연구 또는 제9조의 규정에 의한 혈액 및 혈액제제에 대한 검사에 의하여 감염인 을 발견한 자나 당해 연구 또는 검사를 실시한 기관의 장은 보건복지부령이 정하는 바 에 의하여 즉시 보건복지부장관에게 신고하여야 한다. 3 감염인이 사망한 경우 이를 처리한 의사 또는 의료기관은 보건복지부령으로 정하는 바에 따라 즉시 관할 보건소장에게 신고하여야 한다. 다. 공공기관이 법령 등에서 정하는 소관업무 수행을 위해 불가피한 경우(제 15조제1항제3호) 공공기관의 경우에는 법령 등에서 정해진 소관업무를 수행하기 위하여 수시로 개인정보를 제3자에게 제공해야 할 필요가 있다. 공공기관의 경우에는 개인정보를 수집할 수 있도록 명시적으로 허용하는 법률 규정이 없더라도 법령 등에서 소관 업무를 정하고 있고 그 소관 업무의 수행을 위하여 불가피하게 개인정보를 수집할 수밖에 없는 경우에는 정보주체의 동의없이 개인정보의 수집이 허용된다. 사실 법령 등에서 정하는 소관업무 수행 은 제2호에서 규정하고 있는 법령상 의무 준수 에 포함된다고 볼 수도 있으나, 법령상 의무준수와 소관업무 수행의 차이에서 오는 시시비비를 예방하기 위해 별도로 규정한 것이다. 법령 등에서 정하는 소관업무 란 정부조직법 및 각 기관별 직제 직제규칙, 개별 조직법 등에서 정하고 있는 소관 사무 이외에, 주민등록법, 국세기본법, 의료법, 국민건강보험법 등 소관법령에 의해서 부여된 권한과 의무, 지방자치단 체의 경우 조례에서 정하고 있는 업무 등을 의미한다. 지방자치단체의 경우 다양한 인허가사무, 신고수리, 복지업무, 관리 감독 등의 업무를 수행해야 하기 때문에 실

103 무적으로 개인정보를 제3자에게 제공해야 하는 경우가 자주 발생할 수 있다. 공공기관이 소관 업무를 수행하기 위하여 개인정보를 제3자에게 제공함에 있어 서는 정말로 불가피한 사유가 있는지 여부를 신중하게 검토해야 한다. 불가피한 경우 란 개인정보를 수집하지 아니하고는 법령 등에서 해당 공공기관에 부여하고 있는 권한의 행사나 의무의 이행이 불가능하거나 다른 방법을 사용하여 소관 업무를 수행하는 것이 현저히 곤란한 경우를 의미한다. 특히 공공기관이 내부고발, 민원 업무 등을 처리하기 위하여 민원인의 개인정보를 제3자에게 제공할 때에는 주의 해야 한다. 민원업무를 쉽게 해결하기 위하여 민원인의 개인정보를 피민원이나 피 민원기관에 제공하는 것은 불가피한 필요가 있는 경우라고 보기 어렵다. 라. 급박한 생명 신체 재산상 이익을 위하여 필요한 경우(제15조제5호) 정보주체 또는 제3자의 급박한 생명 신체 재산상의 이익을 위하여 필요하다고 인정되는 경우에는 개인정보 수집 이용시와 마찬가지로 정보주체의 동의 없이 개인정보를 제3자에게 제공할 수 있다. 동사무소나 경찰관서가 시급히 수술 등의 의료조치가 필요한 교통사고 환자의 연락처를 의료기관에 알려주는 행위가 이에 속한다. < 개인정보의 수집 이용기준과 제공기준의 비교 > 기준 수집 이용(제15조) 제공(제17조) 정보주체의 동의를 받은 경우 수집 이용 가능 제공 가능 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 수반되는 경우 정보주체 또는 그 법정대리인이 의사표시 를 할 수 없는 상태에 있거나 주소불명 등 으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생 명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 개인정보처리자의 정당한 이익을 달성하기 위 하여 필요한 경우로서 명백히 정보주체의 권리 보다 우선하는 경우 수집 이용 가능 수집 이용 가능 수집 이용 가능 수집 이용 가능 수집 이용 가능 수집목적 범위 안에서 제공 가능 수집목적 범위 안에서 제공 가능 제공 불가 (정보주체 동의 필요) 수집목적 범위 안에서 제공 가능 제공 불가 (정보주체 동의 필요)

104 4. 국외 제공 및 이전 제한 가. 개인정보의 국외 제3자 제공 개인정보처리자가 개인정보를 국외의 제3자에게 제공 하고자 할 때에는 1개인 정보를 제공받는 자의 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처, 2제공 받는 자의 개인정보 이용 목적, 3제공하는 개인정보의 항목 4제공받는 자의 개인정보 보유 및 이용 기간, 5동의 거부권이 존재하다는 사실 및 동의 거부에 따른 불이익이의 내용(불이익이 있는 경우에 한함)을 모두 정보주체에게 알리고 동의를 받아야 한다(제3항 전단). 국내외를 불문하고 개인정보를 제3자에게 제공할 때에는 동의획득의무와 고지의무가 부과되어 있다. 나. 개인정보 국외 이전 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다. 개인정보를 국외에 이전하여 이 법의 적용을 회피하려는 것을 막기 위한 최소한의 조치라고 할 수 있다. 정보통신망법 은 개인정보 국외 이전시 이전의 목적을 불문하고 모두 정보주체 (이용자)의 동의를 받도록 요구하고 있다(제63조). 그러나 국외 이전의 목적, 형태 등을 고려하지 않고 무조건 동의를 받도록 하면 글로벌 경제활동 등에 많은 지장을 주기 때문에 개인정보 보호법 일률적인 동의절차는 배제하였다. 국외 이전은 국외 제공보다 개념이 넓다. 국외의 제3자에게 개인정보를 제공하는 것은 물론이고, 개인정보처리를 국외의 제3자에게 위탁하는 경우, 영업의 양도 합병 등에 의하여 개인정보 데이터 베이스가 국외로 옮겨지는 경우도 모두 국외 이전에 포함된다. 이 경우에 각각의 규정에 따라 제공, 위탁, 양도 등의 절차를 밟으면 된다.

105 참고 유형별 국외이전 사례 제3자 제공형 : 해외 여행업을 하는 사업자가 외국 협력사에게 고객정보를 제공하는 경 우, 다국적기업의 한국지사가 수집한 고객정보를 미국 본사로 이전하는 경우 해외 위탁형 : 인건비가 저렴한 중국에 자회사를 설치하고 국내 고객DB를 이용해 콜센터업무(고객대응업무)를 대행시키는 경우 영업 양도형 : 외국계 은행이 국내 은행을 흡수합병하고 국내 고객DB를 영국 본사 DB와 통합한 경우 5. 벌칙규정 위반행위 정보주체의 동의를 받지 않고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 제공받은 자 (제17조제1항제1호 위반) 정보주체에 대한 고지의무 위반 (제17조제2항 위반) 벌칙 5년 이하의 징역 또는 5천만원 이하 벌금 (제71조제1호) 3천만원 이하의 과태료 (제75조제2항제1호) 6. 다른 법률과의 관계 정보통신망법 은 개인정보의 제3자 제공 및 개인정보 국외 이전에 관하여 원칙적 으로 이용자의 동의하에서만 제3자 제공이 가능하도록 하되, 요금정산이나 법률에 특별한 규정이 있는 경우에는 예외적으로 허용하고 있다. 한편 개인정보의 국외 이전에 관하여 국외이전시 정보주체의 동의획득, 고지의무 등을 규정하고 있으나, 처벌이 수반되지 않아 이는 규범적 규정에 해당된다. 신용정보법 에는 개인신용정보의 제공에 관하여 규정하고 있으며, 이에 관하여 신용정보이용 제공자 등은 신용정보법 을 따른다. 정보통신망법 제24조의2 (개인정보의 제공 동의 등) 1 정보통신서비스 제공 자는 이용자의 개인정보를 제3자에게 제공하려면 제22조제2항제 2호 및 제3호에 해당하는 경우 외에는 다음 각 호의 모든 사항 을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. 1. 개인정보를 제공받는 자 2. 개인정보를 제공받는 자의 개인정보 이용 목적 3. 제공하는 개인정보의 항목

106 신용정보법 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 2 제1항에 따라 정보통신서비스 제공자로부터 이용자의 개인 정보를 제공받은 자는 그 이용자의 동의가 있거나 다른 법률 에 특별한 규정이 있는 경우 외에는 개인정보를 제3자에게 제 공하거나 제공받은 목적 외의 용도로 이용하여서는 아니 된다. 제63조(국외 이전 개인정보의 보호) 1 정보통신서비스 제공자등 은 이용자의 개인정보에 관하여 이 법을 위반하는 사항을 내용으 로 하는 국제계약을 체결하여서는 아니 된다. 2 정보통신서비스 제공자등은 이용자의 개인정보를 국외로 이전하려면 이용자의 동의를 받아야 한다. 3 정보통신서비스 제공자등은 제2항에 따른 동의를 받으려면 미리 다음 각 호의 사항 모두를 이용자에게 고지하여야 한다. 1. 이전되는 개인정보 항목 2. 개인정보가 이전되는 국가, 이전일시 및이전방법 3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다) 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유 이용 기간 4 정보통신서비스 제공자등은 제2항에 따른 동의를 받아 개인 정보를 국외로 이전하는 경우 대통령령으로 정하는 바에 따라 보호조치를 하여야 한다. 제32조(개인신용정보의 제공 활용에 대한 동의) 2 신용조회회사 또는 신용정보집중기관으로부터 대통령령으로 정하는 개인신용정보를 제공 받으려는 자는 대통령령으로 정하는 바에 따라 해당 개인으로부터 제 1항 각 호의 어느 하나에 해당하는 방식으로 동의를 받아야 한다. 이 때 개인신용정보를 제공받으려는 자는 해당 개인에게 개인신용정보의 조회 시 신용등급이 하락할 수 있음을 고지하여야 한다. 3 신용조회회사 또는 신용정보집중기관이 개인신용정보를 제 2항에 따라 제공하는 경우에는 해당 개인신용정보를 제공받으 려는 자가 제2항에 따른 동의를 받았는지를 대통령령으로 정하 는 바에 따라 확인하여야 한다. 4 신용정보회사등이 개인신용정보를 제공하는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 제1항부터 제3항까지 를 적용하지 아니한다. 1. 신용정보회사가 다른 신용정보회사 또는 신용정보집중기관과 서로 집중관리 활용하기 위하여 제공하는 경우 2. 계약의 이행에 필요한 경우로서 제17조제2항에 따라 신용정 보의 처리를 위탁하기 위하여 제공하는 경우 3. 영업양도 분할 합병 등의 이유로 권리 의무의 전부 또는 일 부를 이전하면서 그와 관련된 개인신용정보를 제공하는 경우 4. 채권추심(추심채권을 추심하는 경우만 해당한다), 인가 허 가의 목적, 기업의 신용도 판단, 유가증권의 양수 등 대통령 령으로 정하는 목적으로 사용하는 자에게 제공하는 경우 5. 법원의 제출명령 또는 법관이 발부한 영장에 따라 제공하는 경우 6. 범죄 때문에 피해자의 생명이나 신체에 심각한 위험 발생이

107 예상되는 등 긴급한 상황에서 제5호에 따른 법관의 영장을 발 부받을 시간적 여유가 없는 경우로서 검사 또는 사법경찰관의 요구에 따라 제공하는 경우. 이 경우 개인신용정보를 제공받은 검 사는 지체 없이 법관에게 영장을 청구하여야 하고, 사법경찰관은 검사에게 신청하여 검사의 청구로 영장을 청구하여야 하며, 개인 신용정보를 제공받은 때부터 36시간 이내에 영장을 발부받지 못 하면 지체 없이 제공받은 개인신용정보를 폐기하여야 한다. 7. 조세에 관한 법률에 따른 질문 검사 또는 조사를 위하여 관 할 관서의 장이 서면으로 요구하거나 조세에 관한 법률에 따 라 제출의무가 있는 과세자료의 제공을 요구함에 따라 제공하는 경우 8. 국제협약 등에 따라 외국의 금융감독기구에 금융회사가 가 지고 있는 개인신용정보를 제공하는 경우 9. 그 밖에 다른 법률에 따라 제공하는 경우 5 제4항 각 호에 따라 개인신용정보를 타인에게 제공하려는 자 또는 제공받은 자는 대통령령으로 정하는 바에 따라 개인신용정보 의 제공 사실 및 이유 등을 해당 신용정보주체에게 알려야 한다. 다만, 대통령령으로 정하는 경우에는 인터넷 홈페이지 게재 등 이 와 유사한 방법을 통하여 공시할 수 있다. 6 제4항제3호에 따라 개인신용정보를 타인에게 제공하는 신용정보제 공 이용자로서 대통령령으로 정하는 자는 제공하는 신용정보의 범위 등 대통령령으로 정하는 사항에 관하여 금융위원회의 승인을 받아야 한 다. 7 신용정보회사등이 개인신용정보를 제공하는 경우에는 금융위 원회가 정하여 고시하는 바에 따라 개인신용정보를 제공받는 자의 신원( 身元 )과 이용 목적을 확인하여야 한다. 8 개인신용정보를 제공한 신용정보제공 이용자는 제1항에 따 라 미리 동의를 받았는지 여부 등에 대한 다툼이 있는 경우 이 를 증명하여야 한다. 7. 질의 응답 FAQ 경찰서로부터 수사를 위하여 회원의 개인정보를 제출하여 달라는 요청을 받았다. 본인의 동의 없이 회원정보를 수사기관에 제공하여도 되는지? 사업자가 고객의 개인정보를 제3자에게 제공하기 위해서는 원칙적으로 고객의 동의 를 얻어야 하나, 법률에 특별한 규정이 있는 경우에는 동의 없이 개인정보를 제공할 수 있다. 형사소송법, 통신비밀보호법, 전기통신사업법 등은 검찰 경찰 등 수사기관 에서 수사목적을 위해 해당 법률이 정한 절차를 거쳐 요구하는 경우 관련 자료를 제출 할 수 있도록 규정하고 있으므로, 고객 본인의 동의 없이 개인정보 제공이 허용된다. (예: 형사소송법 제215조(압수, 수색, 검증)에 따른 절차) 그러나 범죄수사를 위해 관련 법률에 따라 개인정보를 제공하는 경우에도 수사에 필요한 최소한의 범위의 개인정보를 제공해야 한다.(예:영장제시, 현행범 검거 등)

108 FAQ 같은 그룹 내의 호텔, 여행, 쇼핑몰 사이트 등 회원정보 DB를 통합하고 1개의 ID로 로그인이 가능하게 하는 이른바 패밀리 사이트 제도를 도입하려 한다. 같은 그룹 내부의 계열사이기 때문에 고객들의 별도 동의는 필요 없는지? 제3자는 고객으로부터 개인정보를 수집한 해당 사업자를 제외한 모든 법인, 단체 등 을 의미하므로, 같은 그룹 내부의 계열사라 하더라도 개인정보의 수집 이용목적이 다 른 별도의 법인에 해당한다면 제3자에 해당한다. 따라서 그룹 계열사 간이라도 패밀리 사이트라는 명목으로 개인정보를 제공 공유하 기 위해서는 제3자 제공에 따른 사항을 알리고 동의를 얻어야 한다.

109 제18조 개인정보의 이용 제공 제한 법률 제18조(개인정보의 이용ㆍ제공 제한) 1 개인정보처리자는 개인정보를 제 15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다. 2 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해 당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3 자에게 제공할 수 있다. 다만, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다. 1. 정보주체로부터 별도의 동의를 받은 경우 2. 다른 법률에 특별한 규정이 있는 경우 3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또 는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우 5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니 하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위 원회의 심의 의결을 거친 경우 6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하 여 필요한 경우 7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 8. 법원의 재판업무 수행을 위하여 필요한 경우 9. 형( 刑 ) 및 감호, 보호처분의 집행을 위하여 필요한 경우 3 개인정보처리자는 제2항제1호에 따른 동의를 받을 때에는 다음 각 호 의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변 경하는 경우에도 이를 알리고 동의를 받아야 한다. 1. 개인정보를 제공받는 자 2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다) 3. 이용 또는 제공하는 개인정보의 항목 4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이 용 기간을 말한다) 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있 는 경우에는 그 불이익의 내용 4 공공기관은 제2항제2호부터 제6호까지, 제8호 및 제9호에 따라 개인정 보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항 을 행정안전부령으로 정하는 바에 따라 관보 또는 인터넷 홈페이지 등에 게재하여야 한다.

110 시행령 시행규칙 표준지침 5 개인정보처리자는 제2항 각 호의 어느 하나의 경우에 해당하여 개인 정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공 받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한 을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다. 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 한다. 제15조(개인정보의 목적 외 이용 또는 제3자 제공의 관리) 공공기관은 법 제18조제2항 각 호에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 다음 각 호의 사항을 행정안전부령으 로 정하는 개인정보의 목적 외 이용 및 제3자 제공 대장에 기록하고 관 리하여야 한다. 1. 이용하거나 제공하는 개인정보 또는 개인정보파일의 명칭 2. 이용기관 또는 제공받는 기관의 명칭 3. 이용 목적 또는 제공받는 목적 4. 이용 또는 제공의 법적 근거 5. 이용하거나 제공하는 개인정보의 항목 6. 이용 또는 제공의 날짜, 주기 또는 기간 7. 이용하거나 제공하는 형태 8. 법 제18조제5항에 따라 제한을 하거나 필요한 조치를 마련할 것을 요 청한 경우에는 그 내용 제2조(공공기관의 개인정보 목적 외 이용, 제3자 제공의 공고) 공공기관 은 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공(이하 목적 외이용등 이라 한다)하는 경우에는 개인정보 보호법 (이하 법 이라 한 다) 제18조제4항에 따라 다음 각 호의 사항을 목적외이용등을 한 날부터 30일 이내에 관보에 게재하거나 인터넷 홈페이지에 게재하여야 한다. 이 경우 인터넷 홈페이지에 게재하려는 때에는 10일 이상 계속 게재하되, 그 게재를 시작하는 날은 목적외이용등을 한 날부터 30일 이내이어야 한다. 1. 이용 또는 제공의 일자 2. 이용 또는 제공의 법적 근거 3. 이용 또는 제공의 목적 4. 이용 또는 제공하는 개인정보의 항목 제3조(개인정보 보호 업무 관련 장부 및 문서 서식) 1 법 제18조제2항 및 개인정보 보호법 시행령(이하 영 이라 한다) 제15조에 따른 개인정보 의 목적 외 이용 및 제3자 제공 대장은 별지 제1호서식에 따른다. 제9조(개인정보의 목적 외 이용 등) 1 법 제18조의 제3자 란 정보주체와 정보주체 또는 그의 법정대리인으로부터 개인정보를 실질적 직접적으로 수 집 보유한 개인정보처리자를 제외한 모든 자를 의미하며, 법 제26조제2항에 따른 수탁자는 제외한다. 2 개인정보처리자가 법 제18조제2항에 따라 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 제공과 동시에 또는 필요한 경우 제공한 이후에 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 이용 기간, 이용 형태 등을 제 18 조

111 제한하거나, 개인정보의 안전성 확보를 위하여 필요한 구체적인 조치를 마련하 도록 문서(전자문서를 포함한다. 이하 같다)로 요청하여야 한다. 이 경우 요청을 받은 자는 그에 따른 조치를 취하고 그 사실을 개인정보를 제공한 개인정보처리 자에게 문서로 알려야 한다. 3 법 제18조제2항에 따라 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공하는 자와 개인정보를 제공받는 자는 개인정보의 안전성에 관한 책임관계를 명확히 하여야 한다. 4 개인정보처리자가 법 제18조제3항제1호에 따라 정보주체에게 개인정보를 제공받는 자를 알리는 경우에는 그 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처를 함께 알려야 한다. 5 개인정보처리자가 법 제18조제2항제4호에 따라 개인정보를 제3자에게 제공 하는 경우에는 다른 정보와 결합하여서도 특정 개인을 알아볼 수 없는 형태로 제공하여야 한다. 1. 개인정보의 목적외 이용 제공 금지(제1항) 개인정보처리자는 정보주체에게 이용 제공의 목적을 고지하고 동의를 받거나 이 법 또는 다른 법령에 의하여 이용 제공이 허용된 범위를 벗어나서 개인정보를 이용하거나 제공해서는 안 된다. 참고 목적외 이용사례 공무원들에게 업무용으로 발급한 이메일 계정 주소로 사전 동의절차 없이 교육 등 마케팅 홍보자료를 발송한 경우 조세 담당 공무원이 자신과 채권채무 관계로 소송 중인 사람에 관한 납세정보를 조 회하여 소송에 이용한 경우 게시판 운영자가 본인확인 목적으로 수집한 주민등록번호를 고객 데이터베이스의 검색 키값으로 이용한 경우 상품배송을 목적으로 수집한 개인정보를 사전에 동의받지 않은 자사의 별도 상품 서비스의 홍보에 이용 고객 만족도 조사, 판촉행사, 경품행사에 응모하기 위하여 우송하거나 입력한 개 인정보를 사전에 동의받지 않은 자사의 할인판매행사 안내용 광고물 발송에 이용 A/S센터에서 고객 불만 및 불편 사항을 처리하기 위해 수집한 개인정보를 자사의 신상품 광고에 이용 공개된 개인정보의 성격과 공개 취지 등에 비추어 그 공개된 목적을 넘어 DB마케 팅을 위하여 수집한 후 이용하는 행위 참고 목적외 제공사례 주민센터 복지카드 담당 공무원이 복지카드 신청자의 개인정보(홍보 마케팅 등으로 개인정보 제공을 동의하지 않은 경우)를 정보주체의 동의 없이 사설학습지 회사에 제공 홈쇼핑 회사가 주문상품을 배달하기 위해 수집한 고객정보를 정보주체의 동의 없 이 계열 콘도미니엄사에 제공하여 콘도미니엄 판매용 홍보자료 발송에 활용

112 2. 목적외 이용 제공 금지 예외 사유(제2항) 이 법 제18조제2항제1호부터 제9호는 개인정보를 목적외의 용도로 이용하거나 제3자에게 제공할 수 있는 예외적인 사유를 규정하고 있다. 다만 이 경우에도 정보 주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때에는 개인정보를 목적외의 용도로 이용하거나 제3자에게 제공할 수 없다. 한편, 제5호부터 제9호까지의 사유는 공공기관이 처리하는 개인정보를 목적외로 이용하거나 제3자에게 제공하는 경우에 한정한다. 가. 정보주체의 별도의 동의가 있는 경우(제1호) 개인정보를 수집 목적을 넘어 이용하거나, 제공하는 경우 다른 개인정보의 처리에 대한 동의와 분리해서 목적외 이용 제공에 대항 별도의 동의를 받아야 한다. 나. 다른 법률에 특별한 규정이 있는 경우(제2호) 다른 법률에 개인정보의 목적외 이용 제공에 대한 특별한 규정이 있는 경우에는 그에 따른 목적외 이용 제공이 허용된다. 법률 로 한정되어 있으므로 시행령 시행규칙에만 관련 규정이 있는 경우에는 제 2호에 따른 목적외 이용 제공이 허용되지 않는다. 다만 법률에 위임근거가 있고 이에 따라 시행령 시행규칙에 제공 관련 규정이 있는 경우는 허용된다. 또한 목적 외 이용 제공과 관련하여 '특별한 규정이 있는 경우 에 한하므로, 법령상 의무이행 과 같이 포괄적으로 규정된 경우도 역시 허용되지 않는다. 구분 내 용 고엽제후유의증 환자지원 등에 관한 법률 < 다른 법률의 특별한 규정 예시 > 제7조(고엽제후유의증환자 등에 대한 진료 등) 3 다음 각 호의 어 느 하나에 해당하는 의료기관의 장은 그 진료과정에서 해당 환자가 고엽제후유증환자 고엽제후유의증환자 또는 고엽제후유증 2세환 자로 판단되면 대통령령으로 정하는 바에 따라 지체 없이 진료기 록 및 임상소견서(임상소견서)를 보훈병원장에게 보내야 한다. 감염병의 예방 및 관리에 관한 법률 제11조(의사 등의 신고) 1의사나 한의사는 다음 각 호의 어느 하나에 해당하는 사실(제16조제5항에 따라 표본감시 대상이 되 는 감염병으로 인한 경우는 제외한다)이 있으면 소속 의료기관 의 장에게 보고하여야 하고, 해당 환자와 그 동거인에게 보건복

113 구분 내 용 신용정보의 이용 및 보호에 관한 법률 지부장관이 정하는 감염 방지 방법 등을 지도하여야 한다. 다 만, 의료기관에 소속되지 아니한 의사 또는 한의사는 그 사실을 관할 보건소장에게 신고하여야 한다. (각 호 생략) 2 제1항에 따라 보고를 받은 의료기관의 장은 제1군감염병부터 제4군감염병까지의 경우에는 지체 없이, 제5군감염병 및 지정감염 병의 경우에는 7일 이내에 관할 보건소장에게 신고하여야 한다. 제24조 (개인신용정보의 제공 이용의 제한) 1개인신용정보는 당해 신 용정보주체와의 금융거래등 상거래관계(고용관계를 제외한다)의 설정 및 유지여부등의 판단목적으로만 제공 이용되어야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다. 1. 개인이 서면 또는 공인전자서명이 있는 전자문서에 의하여 금융거래등 상거래관계의 설정 및 유지여부등의 판단목적외 의 다른 목적에의 제공 이용에 동의하거나 개인이 자신의 신용정보를 제공하는 경우 2. 법원의 제출명령 또는 법관이 발부한 영장에 의하여 제공 이 용되는 경우 2의2. 범죄로 인하여 피해자의 생명이나 신체에 심각한 위해가 예상되는 등 긴박한 상황에 있고 제2호의 규정에 따른 법 관의 영장을 발부받을 시간적 여유가 없는 경우로서 검사 또 는 사법경찰관의 요구에 따라 제공 이용되는 경우. 이 경우 개인신용정보를 제공받은 검사는 지체 없이 법관에게 영장을 청구하여야 하고, 사법경찰관은 검사에게 신청하여 검사의 청구로 영장을 청구하여야 하며, 개인신용정보를 제공받은 때부터 36시간 이내에 영장을 발부받지 못한 때에는 지체 없 이 제공받은 개인신용정보를 폐기하여야 한다. 3. 신용정보업자 및 신용정보집중기관 상호간에 집중관리 활 용하기 위하여 제공 이용되는 경우 4. 조세에 관한 법률의 규정에 의한 질문 조사를 위하여 관할 관서의 장이 서면으로 요구하거나 조세에 관한 법률의 규정 에 의하여 제출의무가 있는 과세자료의 제공을 요구함에 따 라 제공 이용되는 경우 5. 기타 다른 법률의 규정에 의하여 제공 이용되는 경우 6. 채권추심, 인 허가의 목적 등 대통령령이 정하는 목적으로 사용하기 위하여 제공 이용되는 경우 의료법 제21조(기록 열람 등) 1 의료인이나 의료기관 종사자는 환자가 아닌 다른 사람에게 환자에 관한 기록을 열람하게 하거나 그 사본을 내주는 등 내용을 확인할 수 있게 하여서는 아니 된다. 2 제1항에도 불구하고 의료인이나 의료기관 종사자는 다음 각

114 구분 내 용 호의 어느 하나에 해당하면 그 기록을 열람하게 하거나 그 사 본을 교부하는 등 그 내용을 확인할 수 있게 하여야 한다. 다 만, 의사 치과의사 또는 한의사가 환자의 진료를 위하여 불가 피하다고 인정한 경우에는 그러하지 아니하다. 1. 환자의 배우자, 직계 존속 비속 또는 배우자의 직계 존속이 환자 본인의 동의서와 친족관계임을 나타내는 증명서 등을 첨부 하는 등 보건복지부령으로 정하는 요건을 갖추어 요청한 경우 2. 환자가 지정하는 대리인이 환자 본인의 동의서와 대리권이 있음을 증명하는 서류를 첨부하는 등 보건복지부령으로 정하 는 요건을 갖추어 요청한 경우 3. 환자가 사망하거나 의식이 없는 등 환자의 동의를 받을 수 없어 환자의 배우자, 직계 존속 비속 또는 배우자의 직계 존 속이 친족관계임을 나타내는 증명서 등을 첨부하는 등 보건복 지부령으로 정하는 요건을 갖추어 요청한 경우 4. 국민건강보험법 제13조, 제43조, 제43조의2 및 제56조에 따라 급여비용 심사 지급 대상여부 확인 사후관리 및 요양 급여의 적정성 평가 가감지급 등을 위하여 국민건강보험공단 또는 건강보험심사평가원에 제공하는 경우 5. 의료급여법 제5조, 제11조, 제11조의3 및 제33조에 따라 의료급여 수급권자 확인, 급여비용의 심사 지급, 사후관리 등 의료급여 업무를 위하여 보장기관(시 군 구), 국민건강보험 공단, 건강보험심사평가원에 제공하는 경우 6. 형사소송법 제106조, 제215조 또는 제218조에 따른 경우 7. 민사소송법 제347조에 따라 문서제출을 명한 경우 8. 산업재해보상보험법 제118조에 따라 근로복지공단이 보 험급여를 받는 근로자를 진료한 산재보험 의료기관(의사를 포 함한다)에 대하여 그 근로자의 진료에 관한 보고 또는 서류 등 제출을 요구하거나 조사하는 경우 9. 자동차손해배상 보장법 제12조제2항 및 제14조에 따라 의 료기관으로부터 자동차보험진료수가를 청구받은 보험회사등이 그 의료기관에 대하여 관계 진료기록의 열람을 청구한 경우 10. 병역법 제11조의2에 따라 지방병무청장이 징병검사와 관련하여 질병 또는 심신장애의 확인을 위하여 필요하다고 인정하여 의료기관의 장에게 징병검사대상자의 진료기록 치 료 관련 기록의 제출을 요구한 경우 11. 학교안전사고 예방 및 보상에 관한 법률 제42조에 따라 공 제회가 공제급여의 지급 여부를 결정하기 위하여 필요하다고 인 정하여 국민건강보험법 제40조에 따른 요양기관에 대하여 관 계 진료기록의 열람 또는 필요한 자료의 제출을 요청하는 경우 12. 고엽제후유의증 환자지원 등에 관한 법률 제7조제3항에 따라 의료기관의 장이 진료기록 및 임상소견서를 보훈병원장

115 구분 내 용 에게 보내는 경우 3 의료인은 다른 의료인으로부터 제22조 또는 제23조에 따른 진료기록의 내용 확인이나 환자의 진료경과에 대한 소견 등을 송부할 것을 요청받은 경우에는 해당 환자나 환자 보호자의 동 의를 받아 송부하여야 한다. 다만, 해당 환자의 의식이 없거나 응급환자인 경우 또는 환자의 보호자가 없어 동의를 받을 수 없 는 경우에는 환자나 환자 보호자의 동의 없이 송부할 수 있다. 4 진료기록을 보관하고 있는 의료기관이나 진료기록이 이관된 보건소에 근무하는 의사 치과의사 또는 한의사는 자신이 직접 진료하지 아니한 환자의 과거 진료 내용의 확인 요청을 받은 경 우에는 진료기록을 근거로 하여 사실을 확인하여 줄 수 있다. 5 의료인은 응급환자를 다른 의료기관에 이송하는 경우에는 지체 없이 내원 당시 작성된 진료기록의 사본 등을 이송하여야 한다. 다. 통계작성 및 학술연구 등의 목적(제4호) 특정 개인을 알아볼 수 없는 형태로 편집 또는 가공해서 개인정보를 제공하는 경우에 한정된다. 이 경우 개인정보의 제공이 남용될 여지를 줄이기 위하여 제공 하는 개인정보의 형태를 다른 정보와 결합하여서도 특정 개인을 알아볼 수 없는 형태로 제공하여야 한다(표준지침 제9조제5항). 라. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니 하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위 원회의 심의 의결을 거친 경우(제5호) 공공기관이 다른 법률에서 정하는 소관 업무를 수행하기 위하여 목적외 이용 또는 제3자 제공이 불가피하게 필요한 경우가 있다. 그러나 소관 업무 수행이라 는 목적 하에 개인정보 이용 제공을 무조건 허용하게 되면 남용의 소지가 많기 때문에 보호위원회의 심의 의결을 거치도록 하고 있다. 시행령 시행규칙에서 정하고 있는 소관업무로는 안 되고 반드시 법률 에서 정하고 있는 업무이어야 한다. 다만 법률에 위임근거가 있고 이에 따라 시행령 시행규칙에 소관 업무가 규정된 경우는 허용된다.

116 마. 공공기관의 조약, 그 밖의 국제협정의 이행(제6호) 헌법 제6조는 헌법에 의하여 체결, 공포된 조약과 일반적으로 승인된 국제법규는 국내법과 같은 효력을 가진다고 규정하고 있다. 조약이란 국가간의 문서에 의한 합의를 뜻하는데, 그 명칭이 조약이든, 조약 이외의 협약, 협정, 규약, 선언, 의정서 이든 그 명칭 여하를 불문하고 국가간의 문서에 의한 합의 이면 조약이 된다. 조약이 국내법과 동일한 효력을 가지면서 관련 규정이 상충할 때에는 특별법 우선적용의 원칙이 적용 된다는 것이 일반적인 견해이다. 특별법은 일정한 사람 시간 장소에 대하여 그 효력이 미치는 것이므로, 조약의 체결시에는 조약의 체결 당사국이 조약규정을 그대로 적용하 겠다는 의사합치가 있는 것으로 보아야 할 것이므로 조약에 대해 특별법적 지위를 인 정할 수 있다. 따라서 법률의 효력을 가지는 조약이나 국제협정에서 개인정보의 목적외 이용 또는 제공을 규정하고 있다면, 이러한 조약 등의 이행을 위해서는 정보주체의 동의없이도 개인정보를 목적외 이용 또는 제공할 수 있다. 바. 공공기관의 범죄 수사와 공소의 제기 및 유지(제7호) 개인정보처리자는 보유하고 있는 개인정보를 수집 이용 목적 이외의 용도로 제공하기 위해서는 다른 법률의 특별한 규정이 있거나 정보주체의 동의를 받아야 한다. 즉 공공기관 외의 개인정보처리자에 대해서는 비록 범죄 수사 목적이라 하 더라도 형사소송법 등의 규정에 따라서만 개인정보 제공을 요구할 수 있다. 그러나 공공기관의 경우 수사기관이 범죄수사, 공소제기 및 유지를 위해서 필요 하다고 요청하는 경우 해당 개인정보를 정보주체의 별도의 동의 없이 제공할 수 있다. 이는 범죄수사편의를 위해 공공기관이 보유하고 있는 개인정보에 대해서는 정보주체의 동의 없이 목적 외로 이용 또는 제공할 수 있게 하기 위한 것이다. < 범죄수사, 공소제기 및 유지를 위한 경우의 예외 및 한계 필요성 > 범죄수사, 공소제기 유지, 형집행 등의 형사절차에 개인정보 보호법 을 그 대로 적용할 경우, 수사기밀이 유출되거나 정보주체의 정보공개 정정요구 등으로 수사에 장애를 초래하여 범죄예방과 처단이 불가능해 질 우려가 있음 수사가 종결되어 공소가 제기되면 정보주체는 법원에서 자유롭게 수사기록을 열람하여 자신의 정보를 확인하는 것이 가능하고, 불기소처분된 경우는 정보공개청구를 통해 정보주체가 자신의 정보를 열람할 수 있으므로, 형사 절차와 관련하여서는 개인정보 보호법 을 적용하지 아니하더라도 정보 주체의 정보보호에 소홀한 점이 없음 다만, 범죄수사등을 위한 경우라 하더라도 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있는 경우에는 개인정보를 목적외의 용도로 이용 하거나 제3자에게 제공할 수 없음

117 수사란 범죄의 혐의 유무를 명백히 하여 공소의 제기와 유지 여부를 결정하기 위하여 범인을 발견 확보하고 증거를 수집 보전하는 수사기관(검사, 사법경찰관 리)의 활동을 발한다. 수사는 주로 공소제기 전에 하는 것이 일반적이나 공소제기 후에도 공소유지를 위하여 또는 공소유지여부를 결정하기 위한 수사도 허용된다. 형사소송법 에 따라 검사는 범죄의 혐의가 있다고 사료되는 때에는 범인, 범죄사실과 증거를 수사하여야 하고(제195조), 검사의 지휘를 받아 사법경찰관리는 범죄의 혐의가 있다고 인식하는 때에는 범인, 범죄사실과 증거에 관하여 수사를 개시 진행한다(제196조). 수사는 수사기관의 주관적 혐의에 의해 개시되는데, 수사개시의 원인인 수사의 단서는 고소, 고발, 자수, 진정, 범죄신고, 현행범인의 체포, 변사자의 검시, 불심검문, 기사, 소문 등이 있다. 수사는 임의수사에 의하고 강제수사는 법률에 규정된 경우에 한하여 예외적으로 허용된다( 형사소송법 제199조). 임의수사에는 공무소 등에 대한 조회( 형사 소송법 제199조제2항), 피의자신문( 형사소송법 제200조 및 제241조 이하), 피의자 이외의 제3자에 대한 조사( 형사소송법 제221조제1항제1문), 감정 통역 번역의 위촉( 형사소송법 제221조제2항) 등이 있으며, 이러한 임의수사의 원칙은 임의수사자유의 원칙을 의미하는 것은 아니므로, 임의수사도 수사의 필요성과 상당성이 인정되어야만 적법한 수사라고 할 수 있다. 특히 임의수사를 위해 공무소 등에 조회를 하거나 공공기관에게 요청하는 자료에 개인정보가 포함되어 있다면 범죄수사에 필요한 때 를 더욱 엄격히 해석함으로써 가능한 개인정보자기결정권에 대한 침해가 되지 않도록 해야 한다. 영장에 의하지 않는 경우에는 피의자가 죄를 범하였다고 의심할 만한 정황이 있고 해당 사건과 관계가 있다고 인정할 수 있는 경우에 한하여 극히 제한적으로 개인정 보를 제공하여야 할 것이며, 범죄의 형태나 경중, 정보주체가 받을 불이익의 정도 등 제반 사정을 종합적으로 고려하여 개인정보 이용이 없이는 수사의 목적을 달성 할 수 없는 경우에 한하여 극히 제한적으로 개인정보를 제공하여야 할 것이다. 이와 관련하여 신용정보법 은 신용개인정보 제공의 근거를 법원이 발부한 영장에 두고 있으며, 영장을 발부받을 시간적 여유가 없을 급박한 경우에는 개인 정보를 제공받은 이후에 검사는 영장을 청구하고, 36시간안에 영장을 받지 못한 경우에는 제공받은 개인정보를 폐기하도록 하고 있다. 사. 법원의 재판업무 수행(제8호) 법원은 재판의 원활한 업무수행을 위해 공공기관이 보유하고 있는 개인정보에 대해 보정명령, 자료제출명령 등을 통해 정보주체의 동의 없이 목적 외로 이용 또는 제공할 수 있게 하고 있다.

118 아. 형( 刑 ) 및 감호, 보호처분의 집행(제9호) 형, 감호(보호감호, 치료감호), 보호처분의 원활한 집행을 위하여 공공기관이 보유하고 있는 개인정보의 목적외 이용 또는 제공을 허용하고 있다. 3. 목적외 이용 제공 동의의 방법(제3항) 가. 별도의 동의 목적외 이용 제공에 대하여 정보주체의 동의를 받을 때에는 다른 동의와 구분 하여 별도의 동의를 받아야 한다. 다른 동의와 구분되어 있으면 되고, 반드시 시간 매체 절차 방법 등이 다를 필요는 없다. 예를 들어, 하나의 페이지 내에서 수집 이용에 대한 동의 항목과 목적외 이용 제공 동의 항목을 별도로 구분하여 동의를 받을 수 있다. 나. 동의획득시 고지사항 수집한 개인정보를 수집목적의 범위를 벗어나 이용하기 위해서는 정보주체의 동의를 받아야 하며, 이때 1 개인정보의 이용목적, 2 이용하는 개인정보의 항목, 3 개인정보의 보유 및 이용기간, 4 동의거부권이 있다는 사실 및 동의거부에 따른 불이익에 관한 사항을 알려야 한다. 알려할 사항에 변경이 있는 때에도 이를 다시 알리고 동의를 받아야 한다. 수집 이용하고 있는 개인정보를 수집 이용 목적의 범위를 벗어나 제3자에게 제공하기 위해서는 정보주체의 동의가 필요하며, 이때 1 개인정보를 제공받는 자의 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처, 2 제공받는 자의 이용 목적, 3 제공하는 개인정보의 항목, 4 제공받는 자의 개인정보 보유 및 이용기간, 5 동의거부권이 있다는 사실 및 동의거부에 따른 불이익을 정보주체에게 알려야 한다. 알려할 사항에 변경이 있는 때에도 이를 다시 알리고 동의를 받아야 한다. 4. 목적외 이용 제공 공개(제4항) 공공기관이 개인정보를 목적 외로 이용하거나 제3자에게 제공하는 경우에는 1개월 이내에 목적외 이용 제공의 법적 근거, 이용 또는 제공 일자 목적 항목에 관하여

119 관보 또는 인터넷 홈페이지에 게재하여 공고하여야 한다. 다만, 정보주체의 동의를 받거나 범죄수사와 공소제기 및 유지를 위해 개인정보를 목적외로 이용하거나 제 공하는 경우에는 그러하지 아니하다. 5. 목적외 제공시 보호조치(제5항) 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공하는 자와 개인정보를 제공받는 자는 개인정보의 안전성에 관한 책임관계를 명확히 하여야 한다(표준지침 제9조제4항). 개인정보처리자가 개인정보를 목적 외로 제3자에게 제공할 때에는 개인정보를 제공받는 자가 개인정보를 안전하게 처리하도록 이용목적, 이용방법 등에 일정한 제한을 가하거나 제29조에 따른 안전성 확보조치를 강구하도록 요청하여야 한다. 개인정보처리자는 제공과 동시에 또는 필요한 경우 제공한 이후에 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 이용 기간, 이용 형태 등을 제한하거나, 개인정보의 안전성 확보를 위하여 필요한 구체적인 조치를 마련하도록 문서(전자 문서를 포함한다. 이하 같다)로 요청하여야 한다. 이 경우 요청을 받은 자는 그에 따른 조치를 취하고 그 사실을 개인정보를 제공한 개인정보처리자에게 문서로 알려야 한다(표준지침 제9조제2항). 구분 수집 이용 및 제공기준 목적외 이용 제공 기준 공통기준 < 개인정보의 단계별 규제수준 비교 > 정보주체 또는 제3자의 이익을 부당 하게 침해하지 않는 범위 안에서만 목 적외 이용 제공이 가능함 동의 정보주체의 동의를 받은 경우 정보주체로부터 별도의 동의를 받은 수집 이용 및 제공 가능 경우(모든 개인정보처리자) 법률규정 공공기관 소관업무 수행 법률에 특별한 규정이 있거나 다른 법률에 특별한 규정이 있는 경우 법령상 의무를 준수하기 위하 (모든 개인정보처리자) 여 불가피한 경우 수집 및 해당 목적범위 안에서 이용 제공 가능 공공기관이 소관 업무의 수행 을 위하여 불가피한 경우 수집 및 해당 목적범위 안에서 이용 제공 가능 개인정보를 목적 외로 이용하거나 제 공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로 서 보호위원회의 심의를 거친 경우 (공공기관만 적용)

120 구분 수집 이용 및 제공기준 목적외 이용 제공 기준 계약이행 정보주체 또는 제3자의 이익 개인정보 처리자의 이익 계약의 이행을 위하여 불가 피하게 수반되는 경우 수집 및 해당 목적범위 안에 서 이용 가능(제공 불가) 정보주체 또는 제3자의 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우로서 정보주체의 사전 동의를 받기 곤란한 경우 수집 및 해당 목적범위 안에서 이용 제공 가능 개인정보처리자의 정당한 이 익을 달성하기 위하여 필요한 경우로서 명백히 정보주체의 권리보다 우선하는 경우 수집 및 해당 목적범위 안 에서 이용 가능(제공 불가) 정보주체 또는 그 법정대리인이 의사표 시를 할 수 없는 상태에 있거나 주소 불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또 는 제3자의 급박한 생명, 신체, 재산 의 이익을 위하여 필요하다고 인정 되는 경우(모든 개인정보처리자) 통계 학술 연구목적 통계작성 및 학술연구 등의 목적을 위한 경우로서 특정 개인을 식별할 수 없는 형태로 제공하는 경우 국제협정 이행 범죄수사 등 재판 형 감호 집행 조약 그 밖의 국제협정의 이행을 위 하여 외국정부 또는 국제기구에 제 공하기 위하여 필요한 경우(공공기 관만 적용) 범죄의 수사와 공소제기 및 유지를 위하여 필요한 경우(공공기관만 적 용) 법원의 재판업무 수행을 위하여 필 요한 경우(공공기관만 적용) 형 및 감호의 집행을 위하여 필요한 경우(공공기관만 적용) 민감정보 및 고유식별정보를 처리하는 경우에는 이에 관한 규정인 제23조 및 제24조가 특별한 규정으로 적용되므로, 민감정보 및 고유식별정보의 처리에 대한 별도의 동의 또는 법령의 명시적인 근거가 필요하다.

121 6. 다른 법률과의 관계 정보통신망법 및 신용정보법 은 각각 개인정보의 이용과 관련하여 수집한 목적을 넘어서 이용하지 못하도록 규정하고 있으므로, 정보통신서비스 제공자 및 신용정보이용 제공자 등은 개인정보를 목적외 이용 제공하는 경우 이에 따라 처리하여야 한다. 다만, 정보통신망법 상 이용자의 정보, 신용정보법 상 개인신 용정보가 아닌 개인정보에 관하여는 개인정보 보호법 의 적용을 받는다. 정보통신망법 제24조(개인정보의 이용 제한) 정보통신서비스 제공자는 제22조 및 제23조제1항 단서에 따라 수집한 개인정보를 이용자로부터 동의받은 목적이나 제22조제2항 각 호에서 정한 목적과 다른 목적으로 이용하여서는 아니 된다. 제24조의2(개인정보의 제공 동의 등) 1 정보통신서비스 제공자는 이용자의 개인정보를 제3자에게 제공하려면 제22조제2항제2호 및 제3호에 해당하는 경우 외에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하 나의 사항이 변경되는 경우에도 또한 같다. 1. 개인정보를 제공받는 자 2. 개인정보를 제공받는 자의 개인정보 이용 목적 3. 제공하는 개인정보의 항목 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 제24조의2(개인정보의 제공 동의 등) 1 정보통신서비스 제공자는 이용자의 개인정보를 제3자에게 제공하려면 제22조제2항제2호 및 제3호에 해당하는 경우 외에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하 나의 사항이 변경되는 경우에도 또한 같다. 1. 개인정보를 제공받는 자 2. 개인정보를 제공받는 자의 개인정보 이용 목적 3. 제공하는 개인정보의 항목 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 신용정보법 제33조(개인신용정보의 이용) 개인신용정보는 해당 신용정보주체 가 신청한 금융거래 등 상거래관계(고용관계는 제외한다. 이하 같다)의 설정 및 유지 여부 등을 판단하기 위한 목적으로만 이 용하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우 에는 그러하지 아니하다. 1. 개인이 제32조제1항 각 호의 방식으로 이 조 각 호 외의 부 분 본문에서 정한 목적 외의 다른 목적에의 이용에 동의한 경우

122 2. 개인이 직접 제공한 개인신용정보(그 개인과의 상거래에서 생긴 신용정보를 포함한다)를 제공받은 목적으로 이용하는 경 우(상품과 서비스를 소개하거나 그 구매를 권유할 목적으로 이용하는 경우는 제외한다) 3. 제32조제4항 각 호의 경우 4. 그 밖에 제1호부터 제3호까지의 규정에 준하는 경우로서 대 통령령으로 정하는 경우 제34조(개인식별정보의 제공 이용) 1 신용정보제공 이용자가 개인을 식별하기 위하여 필요로 하는 정보로서 대통령령으로 정하는 정보(이하 개인식별정보 라 한다)를 신용정보회사등 에 제공하려는 경우에는 해당 개인의 동의를 받아야 한다. 2 개인식별정보는 해당 개인이 동의한 목적 또는 해당 개인으 로부터 직접 제공받은 경우에는 그 제공받은 목적의 범위에서 만 이용되어야 한다. 3 개인식별정보가 이 법에 따라 개인신용정보를 제공받기 위 하여 신용정보주체를 특정할 목적으로 제공 이용되는 경우에 는 제1항 및 제2항을 적용하지 아니한다. 이 경우 개인식별정 보를 제공받은 자는 제공 요구에 따르기 위한 목적 외의 용도 로 그 정보를 이용하거나 제3자에게 제공하여서는 아니 된다. 4 개인식별정보가 제32조제4항제4호부터 제9호까지의 규정에 따 라 제공 이용되는 경우에는 제1항 및 제2항을 적용하지 아니한다. 제32조(개인신용정보의 제공 활용에 대한 동의) 1 신용정보제 공 이용자가 대출, 보증에 관한 정보 등 대통령령으로 정하는 개인신용정보를 타인에게 제공하려는 경우에는 대통령령으로 정 하는 바에 따라 해당 개인으로부터 다음 각 호의 어느 하나에 해 당하는 방식으로 미리 동의를 받아야 한다. 1. 서면 2. 전자서명법 제2조제3호에 따른 공인전자서명이 있는 전 자문서( 전자거래기본법 제2조제1호에 따른 전자문서를 말한다) 3. 개인신용정보의 제공 내용 및 제공 목적 등을 고려하여 정 보 제공 동의의 안정성과 신뢰성이 확보될 수 있는 유무선 통신으로 개인비밀번호를 입력하는 방식 4. 유무선 통신으로 동의 내용을 해당 개인에게 알리고 동의를 받는 방법. 이 경우 본인 여부 및 동의 내용, 그에 대한 해 당 개인의 답변을 음성녹음하는 등 증거자료를 확보 유지 하여야 하며, 대통령령으로 정하는 바에 따른 사후 고지절차 를 거친다. 5. 그 밖에 대통령령으로 정하는 방식 2 신용조회회사 또는 신용정보집중기관으로부터 대통령령으로 정하는 개인신용정보를 제공받으려는 자는 대통령령으로 정하는 바에 따라 해당 개인으로부터 제1항 각 호의 어느 하나에 해당 하는 방식으로 동의를 받아야 한다. 이 때 개인신용정보를 제공 받으려는 자는 해당 개인에게 개인신용정보의 조회 시 신용등 급이 하락할 수 있음을 고지하여야 한다.

123 3 신용조회회사 또는 신용정보집중기관이 개인신용정보를 제2 항에 따라 제공하는 경우에는 해당 개인신용정보를 제공받으려 는 자가 제2항에 따른 동의를 받았는지를 대통령령으로 정하는 바에 따라 확인하여야 한다. 4 신용정보회사등이 개인신용정보를 제공하는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 제1항부터 제3항까지 를 적용하지 아니한다. 1. 신용정보회사가 다른 신용정보회사 또는 신용정보집중기관과 서로 집중관리 활용하기 위하여 제공하는 경우 2. 계약의 이행에 필요한 경우로서 제17조제2항에 따라 신용정 보의 처리를 위탁하기 위하여 제공하는 경우 3. 영업양도 분할 합병 등의 이유로 권리 의무의 전부 또는 일부를 이전하면서 그와 관련된 개인신용정보를 제공하는 경 우 4. 채권추심(추심채권을 추심하는 경우만 해당한다), 인가 허가 의 목적, 기업의 신용도 판단, 유가증권의 양수 등 대통령령 으로 정하는 목적으로 사용하는 자에게 제공하는 경우 5. 법원의 제출명령 또는 법관이 발부한 영장에 따라 제공하는 경우 6. 범죄 때문에 피해자의 생명이나 신체에 심각한 위험 발생이 예상되는 등 긴급한 상황에서 제5호에 따른 법관의 영장을 발부받을 시간적 여유가 없는 경우로서 검사 또는 사법경찰 관의 요구에 따라 제공하는 경우. 이 경우 개인신용정보를 제 공받은 검사는 지체 없이 법관에게 영장을 청구하여야 하고, 사법경찰관은 검사에게 신청하여 검사의 청구로 영장을 청구 하여야 하며, 개인신용정보를 제공받은 때부터 36시간 이내에 영장을 발부받지 못하면 지체 없이 제공받은 개인신용정보를 폐기하여야 한다. 7. 조세에 관한 법률에 따른 질문 검사 또는 조사를 위하여 관할 관서의 장이 서면으로 요구하거나 조세에 관한 법률에 따라 제출의무가 있는 과세자료의 제공을 요구함에 따라 제 공하는 경우 8. 국제협약 등에 따라 외국의 금융감독기구에 금융회사가 가 지고 있는 개인신용정보를 제공하는 경우 9. 그 밖에 다른 법률에 따라 제공하는 경우 5 제4항 각 호에 따라 개인신용정보를 타인에게 제공하려는 자 또는 제공받은 자는 대통령령으로 정하는 바에 따라 개인신 용정보의 제공 사실 및 이유 등을 해당 신용정보주체에게 알려 야 한다. 다만, 대통령령으로 정하는 경우에는 인터넷 홈페이지 게재 등 이와 유사한 방법을 통하여 공시할 수 있다. 6 제4항제3호에 따라 개인신용정보를 타인에게 제공하는 신용 정보제공 이용자로서 대통령령으로 정하는 자는 제공하는 신 용정보의 범위 등 대통령령으로 정하는 사항에 관하여 금융위 원회의 승인을 받아야 한다. 7 신용정보회사등이 개인신용정보를 제공하는 경우에는 금융

124 위원회가 정하여 고시하는 바에 따라 개인신용정보를 제공받는 자의 신원( 身元 )과 이용 목적을 확인하여야 한다. 8 개인신용정보를 제공한 신용정보제공 이용자는 제1항에 따 라 미리 동의를 받았는지 여부 등에 대한 다툼이 있는 경우 이 를 증명하여야 한다. 8. 벌칙규정 위반행위 개인정보를 목적외로 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 (제18조제1항 제2항 위반) 정보주체에 대한 고지의무 위반 (제18조제3항 위반) 벌칙 5년 이하의 징역 또는 5천만원 이하의 벌금 (제71조제2호) 3천만원 이하의 과태료 (제75조제2항제1호) 9. 질의 응답 FAQ 성형외과에서 성형환자들의 성형 결과를 사진으로 촬영해 병원 홈페이지의 성형 성공 사례 에 게시하는 경우에 문제가 없는가 병원에서 환자의 성형수술결과 사진을 홍보 목적으로 활용하기 위해서는 촬영한 사진을 병원의 홍보 목적 으로 게재한다는 사실을 정보주체(환자)에게 명확히 알리 고 동의를 얻어야 한다. 만일 수집한 개인정보를 별도의 고지 동의 절차 없이 홍보 목적으로 임의로 사용한다 면 이는 개인정보의 목적외 이용 행위 에 해당한다. FAQ 학교 졸업앨범, 동창회 명부 등 공개 정보를 이용한 마케팅은 문제가 없는가 이른바 공개된 개인정보 는 당초 공개된 목적 내에서만 이용할 수 있다. 예컨대 동창회 명부라면 해당 회원들의 상호 연락 및 친목 도모에만 이용될 수 있으며, 회 원의 동의를 얻지 않은 마케팅 행위 등에는 이용할 수 없다.

125 제19조 개인정보를 제공받은 자의 이용 제공 제한 제19조(개인정보를 제공받은 자의 이용ㆍ제공 제한) 개인정보처리자로부 터 개인정보를 제공받은 자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3 자에게 제공하여서는 아니 된다. 1. 정보주체로부터 별도의 동의를 받은 경우 2. 다른 법률에 특별한 규정이 있는 경우 1. 입법취지 개인정보를 제공받은 자가 그 개인정보를 제한 없이 처리할 수 있다면 이는 개인정 보 유출 또는 불법유통 등 정보주체에 관한 권리를 침해할 우려가 높아진다. 따라서 개인정보를 제공받는 자의 이용 제공에 대해서도 제한을 가할 필요가 있다. 2. 제공받는 자 개인정보처리자로부터 개인정보를 제공받은 자에 한정된다. 따라서 개인정보처 리 업무를 위탁받은 수탁자에게는 본 조항이 적용되지 않는다. 3. 개인정보를 제공받은 자의 목적외 이용 제공 금지 개인정보를 제공받은 자는 해당 개인정보를 제공하거나 제공받은 목적과 다른 용 도로 이용하거나 제3자에게 제공하여서는 안 된다. 개인정보를 제공하는 개인정 보처리자와 개인정보를 제공받는 개인정보 수령자는 문서를 통해 개인정보를 제 공하는 목적과 제공받는 목적을 구체화하는 것이 바람직하며, 1 개인정보를 제 공받는 자의 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처, 2 제공받는 자의 이용목적, 3 제공하는 개인정보의 항목, 4 제공받는 자의 개인정보 보유 및 이 용기간, 5 동의거부권이 있다는 사실 및 동의거부에 따른 불이익을 정보주체에게 알려야 한다.

126 3. 예외사유 정보주체로부터 별도의 동의를 받았거나 다른 법률에 특별한 규정이 있는 경 우에는 예외적으로 개인정보를 제공받은 목적 외의 용도로 이용하거나 수집 이용 목적 범위를 벗어나 이를 제3자에게 제공할 수 있다. 4. 다른 법률과의 관계 다른 법률에서는 개인정보를 제공받은 자의 이용 제공 제한 과 관련한 규정 을 두고 있지 않으므로, 정보통신서비스 제공자, 신용정보이용 제공자 등은 이 법 에 따라 개인정보처리자로부터 개인정보를 제공받은 경우, 정보주체의 별도의 동 의 또는 다른 법률에 특별한 규정이 있지 않는 한 개인정보를 제공받은 목적 외 의 용도로 이용하거나 이를 제3자에게 제공하여서는 안 된다. 5. 벌칙규정 위반행위 개인정보를 목적외로 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 (제19조 위반) 벌칙 5년 이하의 징역 또는 5천만원 이하의 벌금 (제71조제2호) 제 19 조

127 제20조 정보주체 이외로부터 수집한 개인정보의 수집출처 등 고지 법률 표준지침 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지) 1 개인정보처리자가 정보주체 이외로부터 수집한 개인정 보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다. 1. 개인정보의 수집 출처 2. 개인정보의 처리 목적 3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실 2 제1항은 다음 각 호의 어느 하나에 해당하는 경우에는 적용 하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다. 1. 고지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호 의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우 2. 고지로 인하여 다른 사람의 생명 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 제10조(개인정보 수집 출처 등 고지) 1 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 법 제20조제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 2 법 제20조제2항 각 호에 근거하여 제1항에 따른 정보주체의 요구를 거부하는 경우에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부 터 3일 이내에 그 거부의 근거와 사유를 정보주체에게 알려야 한다. 1. 입법취지 개인정보를 공개된 출처로부터 수집하거나 본인이 아닌 제3자로부터 수집하여 처리하는 경우에는 정보주체 이외로부터 수집하기 때문에 당해 정보주체에게 수집 등 처리 전에 고지하는 것이 불가능한 경우가 많아, 정보주체의 요구가 있는 때 고지할 수 있도록 하였다. 정보주체 이외로부터 수집한 개인정보에는 개인정보 DB마케팅, 합법적인 개인 정보 매매(예를들어, 인물정보 DB)의 경우가 포함되지 않는다. 개인정보 DB마케 팅은 국회심사과정에서 여야 합의를 통해 개인정보 보호문화가 열악한 우리의 현실을 감안하여 추후 사회적 합의를 거쳐 도입여부를 결정하기로 하였다.

128 2. 정보주체 이외의 의미 정보주체 이외로부터 수집한 개인정보에는 제3자로부터 제공받은 정보, 신문 잡 지 인터넷 등 공개된 소스로부터 수집된 정보 등이 해당된다. 예를 들어, 인물DB 서비스에서 학교 기관 홈페이지 등의 이미 공개된 자료를 통하여 개인정보를 수집하는 경우가 이에 해당한다. 그러나 자체적으로 생산하거나 생성된 정보는 제외한다. 3. 고지시기 및 고지사항 고지시기는 정보주체의 요구가 있는 때이다. 정보주체의 요구가 있으면 개인정보의 1 수집 출처, 2 처리 목적, 3 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실을 즉시 알려야 한다. 따라서 개인정보처리자는 항상 개인 정보의 수집출처를 관리하고 있어야 한다. 4. 고지거부 사유 고지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우 개인정보처리자는 정보주체의 고지요구를 거부할 수 있다. 즉 정보주체 이외로부터 수집한 개인정보가 1 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보 파일, 2 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호 처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일, 3 조세 범처벌법 에 따른 범칙행위 조사 및 관세법 에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일, 4 공공기관의 내부적 업무처리만을 위하여 사용 되는 개인정보파일, 5 다른 법령에 따라 비밀로 분류된 개인정보파일 중 어느 하나에 해당하는 경우, 개인정보처리자는 정보주체의 고지요구를 거부할 수 있다. 이 경우 개인정보처리자는 거부의 근거와 사유를 정보주체의 요구가 있는 날로부터 3일 이내에 알려야 한다(표준지침 제10조제2항). 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한 한다. 제 20 조 예시 공공기관 내부업무처리를 위한 개인정보파일 임직원 전화번호부, 비상연락망, 인사기록파일 등 요금정산, 회의참석자 수당지급, 자문기구운영 등을 위한 개인정보파일

129 예시 다른 법령에 따른 비밀 개인정보파일 공공기록물관리에관한법률 제33조(비밀 기록물의 관리) 1 공공기관은 비 밀 기록물을 생산하는 때에는 당해 기록물의 원본에 비밀 보호기간 및 보존기 간을 함께 정하여 보존기간이 만료될 때까지 관리되도록 하여야 한다. 이 경우 보존기간은 비밀 보호기간 이상의 기간으로 책정하여야 한다. 2비밀 기록물의 원본은 대통령령이 정하는 바에 따라 소관 기록물관리기관으 로 이관하여 보존하여야 한다. 보안업무규정 제4조(비밀의 구분) 비밀은 그 중요성과 가치의 정도에 따라 다 음 각호에 의하여 이를 Ⅰ급비밀ㆍⅡ급비밀 및 Ⅲ급비밀로 구분한다. 1. 누설되는 경우 대한민국과 외교관계가 단절되고 전쟁을 유발하며, 국가의 방 위계획ㆍ정보활동 및 국가방위상 필요불가결한 과학과 기술의 개발을 위태롭 게 하는등의 우려가 있는 비밀은 이를 Ⅰ급비밀로 한다. 2. 누설되는 경우 국가안전보장에 막대한 지장을 초래할 우려가 있는 비밀은 이를 Ⅱ급비밀로 한다. 3. 누설되는 경우 국가안전보장에 손해를 끼칠 우려가 있는 비밀은 이를 Ⅲ급 비밀로 한다. 또한 고지로 인하여 다른 사람의 생명 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 때에도 개인정보처리자는 정보주체의 고지요구를 거부할 수 있다. 5. 다른 법률과의 관계 정보통신망법 은 정보주체 이외로부터 개인정보를 처리하는 때 정보주체의 요구가 있는 경우 고지하도록 하는 의무를 규정하고 있지 않으므로, 이에 관하여 개인정보 보호법 의 적용을 받는다. 신용정보법 도 이와 관련한 조문을 규정하고 있지는 않으나, 예외적으로 공공 기관의 신용정보의 열람 및 제공 요청이 있는 경우에 대하여 특별한 사정이 없는 한 이에 응하여야 한다고 규정하고 있다. 정보통신망법 신용정보법 - 관련규정 없음 제23조(공공기관에 대한 신용정보의 열람 및 제공 요청 등) 1 신용조회회사나 신용정보집중기관은 국가 지방자치 단체 또는 대통령령으로 정하는 공공단체(이하 공공기관 이라 한다)에 해당 공공기관이 보유하고 있는 신용정보 중 관계 법령에 따라 공개할 수 있는 신용정보의 열람 또는

130 제공을 요청할 수 있다. 이 경우 요청을 받은 공공기관은 특별한 사유가 없으면 그 요청에 따라야 한다. 2 신용조회회사 또는 신용정보집중기관이 공공기관의 장 에게 신용정보주체의 신용도 신용거래능력 등의 판단에 필 요한 신용정보로서 대통령령으로 정하는 신용정보의 제공 을 요청하면 그 요청을 받은 공공기관의 장은 다음 각 호 의 법률에도 불구하고 해당 신용조회회사 또는 신용정보집 중기관에 정보를 제공할 수 있다. 공공기관의 장이 신용조 회회사 또는 신용정보집중기관에 정보를 제공하는 기준과 절차 등은 대통령령으로 정한다. 6. 벌칙규정 위반행위 정보주체의 요청시 정보주체에게 개인정보의 수집 출처 및 목적, 개인정보 (제20조제1항 위반) 벌칙 3천만원 이하 과태료 (제75조제2항제3호) 7. 질의 응답 FAQ 대학 홈페이지 등에 공개된 교수 등의 개인정보를 이용하여 인물DB를 만들려 하는 경우 어떻게 해야 하는가 이른바 공개된 개인정보 는 당초 공개된 목적 내에서만 이용할 수 있다. 예컨대 동창회 명부라면 해당 회원들의 상호 연락 및 친목 도모에만 이용될 수 있으며, 회 원의 동의를 얻지 않은 마케팅 행위 등에는 이용할 수 없다. 대학 홈페이지 등에 공개된 교수의 개인정보는 학술연구와 자문, 저술활동, 기고 등 에 쓰일 것을 전제하고 있다고 보이므로 정보주체에게 개인정보 수집에 대한 동의를 받을 필요는 없으나, 만약 정보주체가 요구한 경우에는 즉시 개인정보의 수집출처, 처리 목적, 개인정보 처리의 정지를 요구할 권리가 있다는 사실을 고지하여야 한다.

131 제21조 개인정보의 파기 법률 시행령 표준지침 제21조(개인정보의 파기) 1 개인정보처리자는 보유기간의 경과, 개인 정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보 존하여야 하는 경우에는 그러하지 아니하다. 2 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복 구 또는 재생되지 아니하도록 조치하여야 한다. 3 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니 하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장 관리하여야 한다. 4 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다. 제16조(개인정보의 파기방법) 개인정보처리자는 법 제21조에 따라 개인정보를 파기할 때에는 다음 각 호의 구분에 따른 방법으로 하 여야 한다. 1. 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제 2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파 쇄 또는 소각 제11조(개인정보의 파기방법 및 절차) 1 개인정보처리자는 개인정보의 보유기간이 경과된 경우에는 정당한 사유가 없는 한 보유기간의 종료일 로부터 5일 이내에, 개인정보의 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 개인정보의 처리가 불필요한 것으로 인정되는 날로부터 5일 이내에 그 개인정보를 파기하여야 한다. 2 시행령 제16조제2호의 복원이 불가능한 방법 이란 사회통념상 현재의 기술수준에서 적절한 비용이 소요되는 방법을 말한다. 3 개인정보처리자는 개인정보의 파기에 관한 사항을 기록 관리하여야 한다. 4 개인정보파기의 시행 및 확인은 개인정보 보호책임자의 책임하에 수행된다. 5 개인정보 보호책임자는 개인정보 파기 시행 후 파기 결과를 확인하여야 한다. 6 개인정보처리자 중 공공기관의 개인정보파일 파기에 관하여는 제62 조 및 제63조를 적용한다. 제12조(법령에 따른 개인정보의 보존) 개인정보처리자가 법 제21조제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 법령에 따라 해당 개인정보 또는 개인정보파일을 보존한다는 점을 분명히 표시하여야 한다.

132 개인정보를 수집했던 목적이 달성되어 보존 필요성이 없어졌는데도 이를 계속해서 보유할 경우 개인정보의 유출과 오용 가능성이 높아지므로 더 이상 개인정보가 불필요하게 된 때에는 이를 파기시킴으로써 개인정보를 안전하게 보호하려는 것 이다. 개인정보처리자가 개인정보 보유기간을 고지하고 동의 받는 경우 그 보유기간을 정할 때에는 그 보유목적이 명백히 영구히 보유하여야 하는 경우에는 영구, 그렇지 않은 경우 필요 최소한으로 정해야 한다. 이 경우 입증책임은 개인정보처리자가 부담한다. 1. 파기시기 개인정보처리자는 개인정보가 불필요하게 되었을 때에는 지체 없이 해당 개인정보를 파기해야 한다. 개인정보가 불필요하게 되었을 때 란 개인정보의 처리목적이 달성되었거나, 해당 서비시의 폐지, 사업의 종료 된 경우 등이 포함된다. 따라서 개인정보처리자는 처리목적이 달성되거나, 해당 서비스 및 사업이 종료된 경우, 정당한 사유가 없는 한, 5일 이내에 개인정보를 파기하여야 한다(표준지침 제11조 제1항). 개인정보의 보존 필요성이 있는지 여부는 객관적으로 판단하여야 하며 자의적으로 해석해서는 안 된다. 참고 불필요하게 된 때 개인정보처리자가 당초 고지하고 동의를 받았던 보유기간의 경과 동의를 받거나 법령 등에서 인정된 수집 이용 제공 목적의 달성 회원탈퇴, 제명, 계약관계 종료, 동의철회 등에 따른 개인정보처리의 법적 근거 소멸 개인정보처리자의 폐업 청산 대금 완제일이나 채권소멸시효기간의 만료 제 21 조 2. 파기방법 개인정보를 파기할 때에는 다시 복원하거나 재생할 수 없는 형태로 완벽하게 파기하여야 한다. 하드디스크, CD/DVD, USB메모리 등의 매체에 전자기( 電磁氣 )적 으로 기록된 개인정보는 다시 재생시킬 수 없는 기술적 방법으로 삭제하거나 물 리적인 방법으로 매체를 파괴하여 복구할 수 없도록 하여야 하며, 종이와 같이

133 출력물의 형태로 되어 있는 경우에는 물리적으로 분쇄하거나 소각하는 방법으로 해당 개인정보를 완전히 파기하여야 한다. 이때 개인정보처리자는 복원이 불가능한 방법으로 개인정보를 파기해야 하는데, 예를 들어 전자기적으로 기록된 개인정보는 비록 삭제하였다고 하더라도 복원기술 을 적용할 경우에는 그 정보가 복구될 가능성도 있다. 따라서 말 그대로 복원이 불가능한 방법 을 적용하기 위해서는 상당한 비용이 소요될 수도 있다. 이를 위하 여 표준지침은 복원이 불가능한 방법 이란 사회 통념상 현재의 기술수준에서 적 절한 비용이 소요되는 방법을 말하고 있다(표준지침 제11조제2항). 3. 파기절차 개인정보처리자는 개인정보의 파기에 관한 사항을 기록하고 관리하여야 한다. 보유목적을 달성한 개인정보의 파기는 법적 의무사항이며 위반시 벌칙이 부과되는 사항이므로 파기는 반드시 개인정보 보호책임자의 책임하에 수행되어야 하며, 개인정보 보호책임자는 파기 결과를 확인하여야 한다(표준지침 제11조 제3항부터 제5항). 4. 파기의무의 예외 개인정보처리자는 다른 법령에 따라 보존해야 하는 경우 에는 예외적으로 개인정보를 파기하지 않아도 된다. 개인정보처리자가 개인정보를 파기하지 않고 보존하려고 하는 경우에는 그 법적 근거를 명확히 해야 한다. 채권소멸기간까지 개인정보를 보존할 수 있다고 하여 이미 요금정산이 끝난 소비자의 개인정보까지 보존하여서는 안 된다. 신용카드 이용고객의 신용관리를 이유로 회원의 동의 없이 탈퇴회원의 개인정보를 일정기간 보존하는 것도 파기의 무 위반이다. 다른 법령에서 보존기간으로 정한 기간이 만료한 경우에는 지체없 이 파기하여야 한다. 개인정보처리자가 개인정보 보유기간을 고지하고 동의를 받는 경우 그 보유기간을 정할 때 그 보유목적이 명백히 영구히 보유하여야 하는 경우에는 영구, 그렇지 않은 경우에는 필요최소한으로 정해야 하며 이에 대한 입증책임은 개인정보처리자가 부담한다.

134 < 보존의무를 규정하고 있는 입법례 > 전자상거래 등에서의 소비자보호에 관한 법률 및 동시행령(제6조) 통신비밀보호법 제15조의2 및 동시행령 제21조의4 의료법 시행규칙 제15조 1 표시 광고에 관한 기록 : 6월 2 계약 또는 청약철회 등에 관한 기록 : 5년 3 대금결제 및 재화등의 공급에 관한 기록 : 5년 4 소비자의 불만 또는 분쟁처리에 관한 기록 : 3년 1 법 제2조제11호 가목 내지 라목 및 바목에 규정된 통신사실 확인자료(가입자 전기통신일시, 전기통신개시 종료시간, 상대방 가입자번호, 사용도수, 발신기지국 위치추적자료) : 12월 2 위의 자료 중 시외 시내전화역무와 관련된 통신사실확인자료 : 6월 3 법 제2조제11호 마목 및 사목에 규정된 통신사실확인자료 (컴퓨터통신 또는 인터넷의 로그기록자료, 정보통신기기의 위치를 확인할 수 있는 접속지 추적자료) : 3월 1 환자 명부 : 5년 2 진료기록부 : 10년 3 처방전 : 2년 4 수술기록 : 10년 5 검사소견기록 : 5년 6 방사선사진 및 그 소견서 : 5년 7 간호기록부 : 5년 8 조산기록부: 5년 9 진단서 등의 부본 (진단서 사망진단서 및 시체검안서 등을 따로 구분하여 보존할 것) : 3년 5. 미파기 정보의 보존방법 개인정보처리자는 법령에 따라 개인정보를 파기하지 않고 보존하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장 관리하여야 한다. 미파기정보가 기존 개인정보와 혼재되어 있으면 예를 들어 회원들을 대상으로 한 메일 발송시에 탈퇴 회원에게도 같이 발송되는 경우와 같이 개인정보의 목적외 이 용이나 유출, 오 남용의 위험성이 커지므로 이를 방지하기 위한 규정이다. 미파기 정 보는 오로지 다른 법령에서 보존하도록 한 목적 범위 내에서만 처리 가능하도록 관리되어야 한다.

135 6. 다른 법률과의 관계 정보통신망법 은 정보통신서비스 이용자의 개인정보의 파기에 관하여 규정하고 있으므로, 이용자의 개인정보의 파기에 관하여는 정보통신망법 의 적용을 받으나, 정보통신서비스 이용자 이외의 자의 개인정보를 파기하는 경우에는 개인정보 보호법 에 따라야 한다. 신용정보법 은 개인신용정보의 파기에 관하여 규정하고 있지 않으므로 개 인정보 보호법 에 따른다. 다만 신용정보회사나 신용정보집중기관이 폐업하는 경우 보유정보를 폐기하도록 하고 있으므로, 이에 관하여는 관련 고시에서 정하는 바에 따른다. 정보통신망법 신용정보법 제29조(개인정보의 파기) 정보통신서비스 제공자등은 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보를 지체 없이 파기하여야 한다. 다만, 다른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그 러하지 아니하다. 1. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항 제2항에 따라 동의를 받은 개인정보의 수집 이용 목적이나 제22조제2항 각 호에서 정한 해당 목적을 달성한 경우 2. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항 제2항에 따라 동의를 받은 개인정보의 보유 및 이용 기간이 끝난 경우 3. 제22조제2항에 따라 이용자의 동의를 받지 아니하고 수집 이용한 경우 에는 제27조의2제2항제3호에 따른 개인정보의 보유 및 이용 기간이 끝 난 경우 4. 사업을 폐업하는 경우 제21조(폐업 시 보유정보의 처리) 신용정보회사나 신용정보집중기관 이 폐업하려는 경우에는 금융위원회가 정하여 고시하는 바에 따라 보유정보를 처분하거나 폐기하여야 한다. 7. 벌칙규정 위반행위 개인정보 미파기 (제21조제1항 위반) 개인정보를 분리하여 저장 관리하지 아니한 경우 (제21조제3항 위반) 벌칙 3천만원 이하 과태료 (제75조제2항제4호) 1천만원 이하 과태료 (제75조제3항제1호)

136 8. 질의 응답 FAQ 경영부진으로 사업을 폐업하고자 한다. 이 경우 고객 개인 정보는 어떻게 하여야 하는가? 사업자가 사업을 폐업하는 경우에는 이용자들에게 사업 폐업일시, 폐업사유, 보유 중인 개인정보의 파기 방침 등을 고지하고, 해당 개인정보를 모두 파기하여야 한다. FAQ 쇼핑몰에서 탈퇴한 회원들의 개인정보를 파기하려고 하는데, 일부 회원들은 할부 요금이 아직 미납되었거나 제품 A/S 기간이 남아있다. 이러한 경우에는 어떻게 해야 하는가? 사업자는 개인정보의 수집 이용 목적이 달성된 경우 등에는 5일이내에 개인정보를 파기하여야 하나, 예외적으로 다른 법률에 따라 개인정보를 보존하여야 하는 경 우 에는 개인정보를 파기하지 않고 보존할 수 있다. 예를 들어, 전자상거래 등에서의 소비자 보호에 관한 법률 및 시행령에서는 대금결제 및 재화 공급에 관한 기록을 5년간 보관하도록 하고 있으므로, 질의와 같이 요금 미납, A/S 등에 해당하는 경우에는 동법에 의거 5년간 개인정보 보관이 가능하다. FAQ 할인마트의 고객들을 대상으로 경품추첨 이벤트를 실시하였는데, 이벤트 종료 후 이벤트 응모신청서는 어떻게 처리하면 되는가 경품추첨 이벤트가 종료되고 당첨자발표 및 경품배송까지 모두 종료되었다면, 그 이 후에는 개인정보의 보유 이용기간에 대해 별도의 동의를 얻지 않은 한 5일이내에 개인정보가 기재된 응모신청서를 파기하여야 한다. FAQ 우리 회사의 웹사이트에는 별도의 회원탈퇴 메뉴가 없고, 게시 판신청이나 메일을 통해서 탈퇴신청을 접수 처리하고 있다. 어떤 회원이 게시판에 세번에 걸쳐 회원탈퇴를 요구하는 글을 남겼는데 다른 업무로 바빠 처리를 하지 못하였다. 어떤 문제가 되는가? 사업자는 정보주체의 개인정보의 수집 이용 제공 등에 대한 동의를 철회하거나, 개인 정보 등에 대한 열람 제공을 요구한 경우에는 10일이내에 필요한 조치를 하여야 한 다. 질의와 같이 온라인을 통한 회원탈퇴 신청의 경우에는 탈퇴 시스템을 구축하거나 담당자가 즉시 확인하여 처리할 수 있으므로, 정당한 사유 없이 3번에 걸친 회원탈 퇴 요구를 10일 이상 지연하였다면 이는 지체없이 필요한 조치를 취하지 않은 것 에 해당한다.

137 제22조 동의를 받는 방법 법률 시행령 제22조(동의를 받는 방법) 1 개인정보처리자는 이 법에 따른 개인정보의 처 리에 대하여 정보주체(제5항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다. 2 개인정보처리자는 제15조제1항제1호, 제17조제1항제1호, 제23조제1호 및 제24조제1항제1호에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자 가 부담한다. 3 개인정보처리자는 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유 하기 위하여 개인정보의 처리에 대한 동의를 받으려는 때에는 정보주체가 이 를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다. 4 개인정보처리자는 정보주체가 제2항에 따라 선택적으로 동의할 수 있는 사항을 동의하지 아니하거나 제3항 및 제18조제2항제1호에 따른 동의를 하지 아니 한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다. 5 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대 리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다. 6 제1항부터 제5항까지에서 규정한 사항 외에 정보주체의 동의를 받는 세부 적인 방법 및 제5항에 따른 최소한의 정보의 내용에 관하여 필요한 사항은 개 인정보의 수집매체 등을 고려하여 대통령령으로 정한다. 제17조(동의를 받는 방법) 1 개인정보처리자는 법 제22조에 따라 개인정보 의 처리에 대하여 다음 각 호의 어느 하나에 해당하는 방법으로 정보주체의 동의를 받아야 한다. 1. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩 스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받 는 방법 2. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확 인하는 방법 3. 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷 주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법 4. 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시 하도록 하는 방법 5. 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표 시가 적힌 전자우편을 받는 방법 6. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로

138 표준지침 동의 내용을 알리고 동의의 의사표시를 확인하는 방법 2 개인정보처리자는 법 제22조제5항에 따라 만 제14세 미만 아동의 법정대리 인의 동의를 받기 위하여 해당 아동으로부터 직접 법정대리인의 성명ㆍ연락처 에 관한 정보를 수집할 수 있다. 3 중앙행정기관의 장은 제1항에 따른 동의방법 중 소관 분야의 개인정보 처리자별 업무, 업종의 특성 및 정보주체의 수 등을 고려하여 적절한 동의 방법에 관한 기준을 법 제12조제2항에 따른 개인정보 보호지침(이하 개인 정보 보호지침 이라 한다)으로 정하여 그 기준에 따라 동의를 받도록 개인 정보처리자에게 권장할 수 있다. 제13조(동의를 받는 방법) 1 개인정보처리자는 법 제15조제1항제1호에 따라 개인정보의 수집과 이용을 위하여 정보주체의 동의를 받고자 하는 경우에는 기본적인 재화 또는 서비스의 제공을 위하여 반드시 필요한 최소한의 개인정보와 부가적인 재화 또는 서비스의 제공을 위하여 필요한 최소한의 개인정보를 구분하 여 정보주체에게 알리고 동의를 받아야 한다. 2 개인정보처리자가 법 제15조제1항제1호, 법 제17조제1항제1호, 법 제23조제1 호 및 법 제24조제1항제1호에 따라 개인정보를 처리하기 위하여 정보주체의 동의를 얻고자 하는 경우에는 정보주체의 동의가 필요한 경우와 필요하지 않은 경우를 구분하고, 후자의 경우에는 정보주체의 동의 없이 개인정보를 처리할 수 있다는 점과 그 사유를 알려야 한다. 3 개인정보처리자는 법 제18조제2항제1호에 따라 정보주체로부터 별도의 동의 를 받고자 하는 경우에는 정보주체가 다른 개인정보처리의 목적과 별도로 동의여 부를 표시할 수 있도록 조치를 취하고 동의를 받아야 한다. 4 개인정보처리자가 시행령 제17조제1항제2호의 규정에 따라 전화에 의한 동의 와 관련하여 통화내용을 녹취할 때에는 녹취사실을 정보주체에게 알려야 한다. 5 개인정보처리자가 친목단체를 운영하기 위하여 다음 각 호의 어느 하나에 해당하는 개인정보를 수집하는 경우에는 제1항에 의한 의무를 부담하지 아니한다. 1. 친목단체의 가입을 위한 성명, 연락처 및 친목단체의 회칙으로 정한 공통의 관심사나 목표와 관련된 인적 사항 2. 친목단체의 회비 등 친목유지를 위해 필요한 비용의 납부현황에 관한 사항 3. 친목단체의 활동에 대한 구성원의 참석여부 및 활동내용에 관한 사항 4. 기타 친목단체의 구성원 상호간의 친교와 화합을 위해 구성원이 다른 구성원에 게 알리기를 원하는 생일, 취향 및 가족의 애경사에 관한 사항 제14조(법정대리인의 동의) 1 시행령 제17조제2항에 따라 개인정보처리자가 법정대리인의 성명 연락처를 수집할 때에는 해당 아동에게 자신의 신분과 연락처, 법정대리인의 성명과 연락처를 수집하고자 하는 이유를 알려야 한다. 2 시행령 제17조제1항 각 호의 동의를 얻는 방법은 법 제22조제5항에 따라 법정대리인으로부터 동의를 얻는 경우에도 적용된다. 3 개인정보처리자는 법 제22조제5항에 따라 수집한 법정대리인의 개인정보를 법정대리인의 동의를 얻기 위한 목적으로만 이용하여야 하며, 법정대리인의 동의 거부가 있거나 법정대리인의 동의 의사가 확인되지 않는 경우 수집일로부터 5일 이내에 파기해야 한다. 제 22 조

139 정보주체는 개인정보 처리에 대한 동의 여부를 결정하고 선택할 수 있는 권리가 보장되어 있으나, 실제로는 정보주체의 동의가 강제되는 경우가 많아 정보주체의 개인정보자기결정권을 보장하기 위하여 동의 방법을 법률로 구체화한 것이다. 1. 동의 사항의 구분 : 포괄동의의 금지(제1항) 개인정보처리자가 개인정보 처리에 대하여 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하여 받아야 하며, 정보주체가 동의를 구분해서 할 수 있다는 사실을 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다. 개인정보 처리자는 목적에 필요한 최소한의 개인정보만을 수집하여야 하는바, 재화 또는 서비스 제공에 기본적으로 관련되는 사항과 부가적으로 관련되는 사항을 구분하여 이를 정보주체에게 알리고 동의를 받아야 한다(표준지침 제13조제1항). 정보주체의 개인정보보호를 위해서 실제로 정보주체가 동의한 사실이 명확히 확인될 수 있어야 하며, 개인정보처리자의 편의를 위해 일괄적으로 동의 여부를 묻는 전자 우편을 발송한 후 거부의사표시가 없을 경우 이를 동의로 간주하는 등의 방법은 적절하지 않다. 구분하여 동의를 받아야 하는 사항은 수집 이용 동의(제15조제1 항제1호), 제3자 제공 동의(제17조제1항제1호), 국외 제3자 제공 동의(제17조제3항), 목적외 이용 제공 동의(제18조제2항제1호), 마케팅 목적 처리 동의(제22조제3항), 법정대리인의 동의(제22조제5항), 민감정보 처리 동의(제23조제1항제1호), 고유식 별정보 처리 동의(제24조제1항제1호) 등이 있다. 개인정보 보호법 은 특히 정보주체가 좀 더 신중한 의사결정을 해야 할 필요가 있는 사항에 대해서는 동의의 내용과 의미를 명확하게 인지한 상태에서 동의 여부를 결정할 수 있도록 통상의 동의와 구분해서 별도의 동의를 받도록 하고 있다. 이때에도 개인정보처리자는 정보주체가 다른 개인정보처리의 목적과 별도로 동의 여부를 표시할 수 있도록 조치를 취하고 동의를 받아야 한다(표준지침 제13조제3항). 다른 동의와 구분해서 별도 동의를 받아야 하는 경우에는 목적외 이용 제공 동의 (제18조제2항제1호), 개인정보를 제공받은 자의 이용 제공 제한(제19조제1호), 민감 정보 처리 동의(제23조제1항제1호), 고유식별정보 처리 동의(제24조제1항제1호) 등이 해당된다. 예컨대, 주민등록번호를 수집할 때에는 주민번호(고유식별정보) 수집 이용 제공에 대한 동의 를, 건강정보에 관한 정보를 수집할 때에는 건강정보 (민감정보) 수집 이용 제공에 대한 동의 를 별도로 분리해서 목적 등을 고지하고 동의를 받아야 한다.

140 2. 동의가 필요한 사항과 동의 없이 처리할 수 있는 사항에 대한 구분(제2항) 개인정보처리자는 정보주체의 동의가 필요없는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 한다. 정보주체의 동의가 필요없는 개인정보에는 계약의 체결 및 이행을 위해 필수적인 정보, 법령상 의무준수를 위해 불가피한 정보, 급박한 생명 신체 재산상 이익보호를 위해 필요한 정보, 개인정보처리자의 정당한 이익 달성을 위해 필요한 정보 등이 해당되며, 동의가 필요하지 않다는 입증책임은 개인정보처리자가 부담한다. 반면에 상품 광고 및 판매에 필요한 정보, 고객성향 분석을 위해 필요한 정보, 고유식별정보, 민감정보, VIP회원 가입정보의 수집 이용을 위해서는 정보주체의 동의가 필요하다. 정보주체의 동의를 요하는 개인정보와 동의가 필요 없는 개인정보로 나뉘어 있는 경우에 개인정보처리자가 전자에 대해서 동의를 얻고자 하는 때에는 후자에 관한 사항도 정보주체에게 알려야 한다. 이는 정보주체가 자신이 처리에 동의한 개인정보에 대해서만 개인정보처리가 이루어지는 것으로 오해하고 개인정보의 처리에 관한 불완전한 정보만을 제공받지 않기 위함이다. 3. 마케팅 광고에 대한 동의방법(제3항) 상품의 판매권유 또는 홍보를 목적으로 개인정보처리에 대한 동의를 받을 때는 정보주체에게 판매권유 또는 홍보에 이용된다는 사실을 다른 동의와 구분하여 정보주체가 이를 명확히 인지할 수 있게 알린 후 별도의 동의를 받아야 한다. 4. 재화, 서비스 등의 제공 거부 금지(제4항) 정보주체가 선택정보의 처리에 대한 동의(제2항), 직접마케팅에 대한 동의(제3항), 목적외 이용 제공에 대한 동의(제18조제2항제1호)를 거부하였다는 이유로 개인 정보처리자는 재화 또는 본질적인 서비스의 제공을 거부하지 못한다. 또한 개인 정보 수집에 동의하지 않는다는 이유로 재화 또는 본질적인 서비스의 제공을 거부하는 것도 금지된다(제16조제2항). 그러나 합리적인 사유에 근거를 둔 거부는 가능하다. 참고 합리적 사유의 사례 계열사 고객정보DB를 통합하면서 정보 제공 및 공유에 동의하지 않는다고 서비스 제공을 중단하는 것은 불법이나, 정보 제공 및 공유에 동의한 고객들에 대하여 제 공하는 5년간 무료 장기 주차권을 거부한 것은 불법이 아니다. 광고메일 수신에 동의하지 않는다고 신용카드 발급 또는 쇼핑몰회원 가입을 거절 하는 것은 불법이나, 광고메일 수신자들에게만 부여하는 포인트나 마일리지를 주는 않는 것은 불법

141 5. 아동을 대신한 법정대리인 동의(제5항) 만 14세 미만 아동의 경우 개인정보의 중요성이나 위험성에 대한 인식이 현저히 부족하고, 정보 수집 목적의 진위를 평가하는 능력이 부족하기 때문에 아동을 대상으로 한 무분별한 정보수집을 방지하기 위하여 법정대리인이 미성년자를 대신해서 동의를 하도록 한 것이다. 법정대리인이란 본인의 의사에 의하지 않고 법률의 규정에 의하여 대리인이 된 자로 미성년자의 친권자( 민법 제909조, 제911조, 제916조, 제920조), 후견인 ( 민법 제931조 ~ 제936조), 법원이 선임한 부재자의 재산관리인( 민법 제 22조, 제23조), 상속재산관리인( 민법 제1023조제2항, 제1053조), 유언집행자 ( 민법 제1096조) 등이 이에 해당한다. 법정대리인의 동의를 얻기 위해서는 법정대리인의 이름과 연락처를 알아야 하기 때문에 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보(이름과 연락처)는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다. 이 경우 해당 아동에게 자신의 신분과 연락처, 법정대리인의 성명과 연락처를 수집하고자 하는 이유를 알려야 한다(표준지침 제14조제1항). 또한 아동으로부터 수집한 법정대리인의 개인정보를 동의를 얻기 위한 용도로만 사용해야 하며, 동의에 대한 거부의사가 확인된 경우와 동의여부가 확인되지 아 니한 채 3일이 경과한 경우에는 당해 개인정보를 파기하여야 한다(표준지침 제 14조제2항). 6. 개인정보 수집매체 등을 고려한 세부적인 동의방법 정보주체의 동의는 특정한 일부 방법으로 제한되는 것은 아니나, 정보주체의 개인정보보호를 위해서는 실제로 정보주체가 동의한 사실이 명확히 확인될 수 있어야 한다. 개인정보처리자의 편의를 위해 일괄적으로 동의 여부를 묻는 전자우편을 발송한 후 거부의사표시가 없을 경우 동의로 간주한다는 등의 방법은 적절하지 않다. 따라서 이 법은 개인정보의 수집매체 등을 고려한 세부적인 동의획득방법을 대 통령령에 위임하여, 구체적인 상황에 따라 적절한 동의획득방법에 대한 기준을 제 시할 수 있도록 하고 있다. 대통령령에서는 세부적인 동의 획득 방법으로 1 동의 내용이 적힌 서면을 정보 주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법, 2 전화를 통하여 동의 내용을 정보주체 에게 알리고 동의의 의사표시를 확인하는 방법, 3 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷주소 등을 통하여 동의 사항을 확인하

142 도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법, 4 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법, 5 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법이라고 열거하고 있고, 그 밖에 상기 5가지 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인할 수 있다고 규정하고 있다. 이에는 전자문서를 통해 동의내용을 정보주체에게 알 리고 정보주체가 전자서명을 받는 방법, 개인명의의 휴대전화 문자메세지를 이용한 동의, 신용카드 비밀번호를 입력하는 방법 등도 해당된다. 8. 다른 법률과의 관계 정보통신망법 과 신용정보법 은 동의 받는 방법에 관하여 규정하고 있으므로, 정보통신서비스 제공자 및 신용정보이용 제공자 등은 각각 해당 법령에 따라 동 의를 받을 수 있다. 다만 만 14세 미만의 아동으로부터 개인정보 수집 이용 제공 등의 동의를 받는 경우에 관하여, 신용정보법 은 관련 규정을 두고 있지 않으므로, 이에 대하여 개인정보 보호법 을 따른다. 정보통신망법 에서는 만 14세 미만의 아동으로부터 개인정보 수집 이용 제공 등의 동의를 받을 경우 법정대리인의 동의를 받도록 하고 있으며, 법정대리인의 최소한의 정보를 아동에게 요구할 수 있다고 규정하고 있다. 따라서 정보통신서 비스 제공자등은 이 경우 정보통신망법 을 따른다. 정보통신망법 제24조의2(개인정보의 제공 동의 등) 1 정보통신서비스 제공자는 이 용자의 개인정보를 제3자에게 제공하려면 제22조제2항제2호 및 제3호 에 해당하는 경우 외에는 다음 각 호의 모든 사항을 이용자에게 알리 고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. 1. 개인정보를 제공받는 자 2. 개인정보를 제공받는 자의 개인정보 이용 목적 3. 제공하는 개인정보의 항목 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 2 제1항에 따라 정보통신서비스 제공자로부터 이용자의 개인정보를 제공받은 자는 그 이용자의 동의가 있거나 다른 법률에 특별한 규정이 있는 경우 외에는 개인정보를 제3자에게 제공하거나 제공받은 목적 외의 용도로 이용하여서는 아니 된다. 3 제25조제1항에 따른 정보통신서비스 제공자등은 제1항에 따른 제 공에 대한 동의와 제25조제1항에 따른 개인정보 취급위탁에 대한 동 의를 받을 때에는 제22조에 따른 개인정보의 수집 이용에 대한 동의와

143 구분하여 받아야 하고, 이에 동의하지 아니한다는 이유로 서비스 제공 을 거부하여서는 아니 된다. 제26조의2(동의를 받는 방법) 제22조제1항, 제23조제1항 단서, 제24조 의2제1항 제2항, 제25조제1항, 제26조제3항 단서 또는 제63조제2항 에 따른 동의(이하 "개인정보 수집 이용 제공 등의 동의"라 한다)를 받는 방법은 개인정보의 수집매체, 업종의 특성 및 이용자의 수 등을 고려하여 대통령령으로 정한다. 정보통신망법 시행령 제12조(동의획득방법) 1 정보통신서비스 제공자 등이 법 제26조의2에 따라 동의를 얻는 방법은 다음 각 호의 어느 하나와 같다. 이 경우 정 보통신서비스 제공자 등은 동의를 얻어야 할 사항(이하 "동의 내용"이 라 한다)을 이용자가 명확하게 인지하고 확인할 수 있도록 표시하여야 한다. 1. 인터넷 사이트에 동의 내용을 게재하고 이용자가 동의 여부를 표시 하도록 하는 방법 2. 동의 내용이 기재된 서면을 이용자에게 직접 교부하거나, 우편 또 는 모사전송을 통하여 전달하고 이용자가 동의 내용에 대하여 서명 날인 후 제출하도록 하는 방법 3. 동의 내용이 적힌 전자우편을 발송하여 이용자로부터 동의의 의사표 시가 적힌 전자우편을 전송받는 방법 4. 전화를 통하여 동의 내용을 이용자에게 알리고 동의를 얻거나 인터 넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 얻는 방법 2 정보통신서비스 제공자 등은 개인정보 수집 매체의 특성상 동의 내용 을 전부 표시하기 어려운 경우 이용자에게 동의 내용을 확인할 수 있는 방법(인터넷주소ㆍ사업장 전화번호 등)을 안내하고 동의를 얻을 수 있다. 제31조(법정대리인의 권리) 1 정보통신서비스 제공자등이 만 14세 미 만의 아동으로부터 개인정보 수집 이용 제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 한다. 이 경우 정보통신서비스 제공자는 그 아동에게 법정대리인의 동의를 받기 위하여 필요한 법정대리인의 성명 등 최소한의 정보를 요구할 수 있다. 제32조(개인신용정보의 제공 활용에 대한 동의) 1 신용정보제공 이용 자가 대출, 보증에 관한 정보 등 대통령령으로 정하는 개인신용정보를 타인에게 제공하려는 경우에는 대통령령으로 정하는 바에 따라 해당 개인으로부터 다음 각 호의 어느 하나에 해당하는 방식으로 미리 동의 를 받아야 한다. 신용정보법 1. 서면 2. 전자서명법 제2조제3호에 따른 공인전자서명이 있는 전자문서 ( 전자거래기본법 제2조제1호에 따른 전자문서를 말한다) 3. 개인신용정보의 제공 내용 및 제공 목적 등을 고려하여 정보 제공 동의의 안정성과 신뢰성이 확보될 수 있는 유무선 통신으로 개인비밀

144 번호를 입력하는 방식 4. 유무선 통신으로 동의 내용을 해당 개인에게 알리고 동의를 받는 방 법. 이 경우 본인 여부 및 동의 내용, 그에 대한 해당 개인의 답변을 음성녹음하는 등 증거자료를 확보 유지하여야 하며, 대통령령으로 정 하는 바에 따른 사후 고지절차를 거친다. 5. 그 밖에 대통령령으로 정하는 방식 2 신용조회회사 또는 신용정보집중기관으로부터 대통령령으로 정하는 개인신용정보를 제공받으려는 자는 대통령령으로 정하는 바에 따라 해 당 개인으로부터 제1항 각 호의 어느 하나에 해당하는 방식으로 동의 를 받아야 한다. 이 때 개인신용정보를 제공받으려는 자는 해당 개인 에게 개인신용정보의 조회 시 신용등급이 하락할 수 있음을 고지하여 야 한다. 3 신용조회회사 또는 신용정보집중기관이 개인신용정보를 제2항에 따 라 제공하는 경우에는 해당 개인신용정보를 제공받으려는 자가 제2항 에 따른 동의를 받았는지를 대통령령으로 정하는 바에 따라 확인하여 야 한다. 4 신용정보회사등이 개인신용정보를 제공하는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 제1항부터 제3항까지를 적용하지 아니 한다. 1. 신용정보회사가 다른 신용정보회사 또는 신용정보집중기관과 서로 집중 관리 활용하기 위하여 제공하는 경우 2. 계약의 이행에 필요한 경우로서 제17조제2항에 따라 신용정보의 처 리를 위탁하기 위하여 제공하는 경우 3. 영업양도 분할 합병 등의 이유로 권리 의무의 전부 또는 일부를 이전하면서 그와 관련된 개인신용정보를 제공하는 경우 4. 채권추심(추심채권을 추심하는 경우만 해당한다), 인가 허가의 목 적, 기업의 신용도 판단, 유가증권의 양수 등 대통령령으로 정하는 목적으로 사용하는 자에게 제공하는 경우 5. 법원의 제출명령 또는 법관이 발부한 영장에 따라 제공하는 경우 6. 범죄 때문에 피해자의 생명이나 신체에 심각한 위험 발생이 예상되 는 등 긴급한 상황에서 제5호에 따른 법관의 영장을 발부받을 시간 적 여유가 없는 경우로서 검사 또는 사법경찰관의 요구에 따라 제공 하는 경우. 이 경우 개인신용정보를 제공받은 검사는 지체 없이 법관 에게 영장을 청구하여야 하고, 사법경찰관은 검사에게 신청하여 검사 의 청구로 영장을 청구하여야 하며, 개인신용정보를 제공받은 때부터 36시간 이내에 영장을 발부받지 못하면 지체 없이 제공받은 개인신용 정보를 폐기하여야 한다. 7. 조세에 관한 법률에 따른 질문 검사 또는 조사를 위하여 관할 관서 의 장이 서면으로 요구하거나 조세에 관한 법률에 따라 제출의무가 있는 과세자료의 제공을 요구함에 따라 제공하는 경우 8. 국제협약 등에 따라 외국의 금융감독기구에 금융회사가 가지고 있 는 개인신용정보를 제공하는 경우

145 9. 그 밖에 다른 법률에 따라 제공하는 경우 5 제4항 각 호에 따라 개인신용정보를 타인에게 제공하려는 자 또는 제공 받은 자는 대통령령으로 정하는 바에 따라 개인신용정보의 제공 사실 및 이 유 등을 해당 신용정보주체에게 알려야 한다. 다만, 대통령령으로 정하는 경 우에는 인터넷 홈페이지 게재 등 이와 유사한 방법을 통하여 공시할 수 있 다. 6 제4항제3호에 따라 개인신용정보를 타인에게 제공하는 신용정보제 공 이용자로서 대통령령으로 정하는 자는 제공하는 신용정보의 범위 등 대통령령으로 정하는 사항에 관하여 금융위원회의 승인을 받아야 한다. 7 신용정보회사등이 개인신용정보를 제공하는 경우에는 금융위원회가 정하여 고시하는 바에 따라 개인신용정보를 제공받는 자의 신원( 身元 ) 과 이용 목적을 확인하여야 한다. 8 개인신용정보를 제공한 신용정보제공 이용자는 제1항에 따라 미리 동의를 받았는지 여부 등에 대한 다툼이 있는 경우 이를 증명하여야 한다. 9. 벌칙규정 위반행위 동의획득방법 위반 (제22조제1항 내지 제3항 위반) 선택사항에 동의하지 않은 경우 재화 또는 서비스의 제공을 거부한 자 (제22조제4항 위반) 만 14세 미만 아동 개인정보 처리시 법정대리인 동의를 받지 아니한 자 (제22조제5항 위반) 벌칙 1천만원 이하 과태료 (제75조제3항제2호) 3천만원 이하 과태료 (제75조제2항제2호) 5천만원 이하의 과태료 (제75조제1항제2호) 10. 질의 응답 FAQ PDA단말기를 이용한 서비스 이용계약을 체결하는 경우 에 개인정보 수집 이용에 대한 동의방법으로 고객이 PDA 단말기에 직접 서명하는 것도 가능한가? PDA단말기를 통하여 서명을 하는 방식도 가능하다. 다만, 이 경우 개인정보 수집시의 동의사항을 이용자에게 명확히 고지하고 동의를 얻어야 한다. 동의사항이 많으면 동의내용을 확인할 수 있는 방법(인터넷 주소 등) 을 안내 하여야 한다.

146 FAQ 여행사에서는 주로 전화로 문의 예약을 받는 경우가 많 은데 전화로 개인정보를 수집할 경우, 고지사항을 모두 알리고 동의를 받으려면 통화시간이 매우 길어진다. 이용 자의 동의획득을 위한 다른 방법은 없는가? 개인정보 보호법 은 인터넷 사이트, 서면, 전자우편, 전화 등 각각의 서비스 유형에 따른 동의획득 방법을 규정하고 있다. 전화로 개인정보 수집에 대한 동의를 얻고자 하는 경우에는, 동의 내용을 이용자에게 알리고 구두로 동의를 얻거나, 또는 고지사항이 기재된 인터넷 주소 등을 안내하고 추후 구두로 동의를 얻는 방법을 이용할 수 있다. FAQ 개인정보처리자가 마케팅 동의의 철회를 방지하기 위해 정보 주체에게 경품을 지급하는 등 일정한 대가(이하 경품 등 )를 지 급하였는데, 정보주체가 경품을 수령한 뒤 마케팅 동의를 철회 하는 경우, 정보주체는 경품 등을 반환할 의무가 있는지? 마케팅에 대해 동의하면서 그에 대한 일종의 대가로 경품 등을 수령한 뒤, 마케팅 동의만을 철회하게 되면 이는 사회 통념상 신의에 기한 계약이라고 볼 수 없다. 따 라서 이러한 경우에는 그 경품에 대한 반환 의무가 있음 다만 개인정보처리자는 마케팅 동의 철회시 지급한 경품 등을 반환하여야 한다는 사항을 명확히 고지하여 동의를 얻는 것이 보다 바람직할 것임 FAQ 오프라인에서 경품 이벤트를 진행하려고 하는데, 응모권 이 너무 작아 법률에서 정한 개인정보 수집 고지사항을 모두 기재하는 것이 어렵다. 오프라인에서 개인정보를 수집하는 경우에도 수집 이용목적, 수집 항목, 보유 이 용기간 을 빠짐없이 고지하여 동의를 얻어야 한다. 다만, 용지가 작은 참가신청서 등과 같이 매체의 특성상 동의 내용을 전부 표시하기 어려운 경우에는 이용자에게 동의 내용을 확인할 수 있는 방법(경품이벤트에 대한 동의 내용이 게재되어 있는 인터넷 주소, 동의 내용을 안내받을 수 있는 사업장 전 화번호 등)을 안내하고 동의를 얻을 수 있다.

147 제2절 개인정보의 처리 제한 제23조 법률 시행령 표준지침 민감정보의 처리 제한 제23조(민감정보의 처리 제한) 개인정보처리자는 사상 신념, 노동 조합 정당의 가입 탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정 보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개 인정보로서 대통령령으로 정하는 정보(이하 민감정보 라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하 는 경우에는 그러하지 아니하다. 1. 정보주체에게 제15조제2항 각 호 또는 제17조 제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동 의를 받은 경우 2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우 제18조(민감정보의 범위) 법 제23조 각 호 외의 부분 본문에서 대 통령령으로 정하는 정보 란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호 까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다. 1. 유전자검사 등의 결과로 얻어진 유전정보 2. 형의 실효 등에 관한 법률 제2조제5호에 따른 범죄경력자료에 해당하는 정보 제15조(민감정보 처리) 1 개인정보처리자가 법 제23조제1호에 따라 민감정보의 처리를 위하여 정보주체에게 동의를 받고자 하는 경우에 는 다른 개인정보와 민감정보를 구분하여 민감정보에 대하여는 정보 주체가 별도로 동의할 수 있도록 조치를 취하여야 한다. 2 개인정보처리자는 제1항에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 1. 민감정보의 수집 이용 목적 2. 수집하려는 민감정보의 항목 3. 민감정보의 보유 및 이용 기간 4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이 익이 있는 경우에는 그 불이익의 내용 개인정보는 개인의 사생활 더 나아가서는 개인의 생명 신체 재산상 안전에 중대한 영향을 미칠 수 있으므로 모두 신중하게 다루어야 하지만, 특히 사회적 차별을 야기하거나 현저히 인권을 침해할 우려가 있는 민감한 개인정보는 보다 엄격히 보호되어야 한다.

148 1. 민감정보의 정의 제23조는 민감정보에 대한 정의를 두는 대신에 민감정보의 종류를 열거하고 있다. 이 법에서 민감정보란 1사상 신념, 2노동조합 정당의 가입 탈퇴, 3정 치적 견해, 4건강, 성생활 등에 관한 정보, 5그 밖에 정보주체의 사생활을 현저 히 침해할 우려가 있는 개인정보로서 대통령령이 정하는 정보이다. 사상 신념 이란 개인의 가치관에 기초로 하여 형성된 사유체계, 개인이 굳게 믿고 지키고자하는 믿음 생각 등을 말하는 것으로 각종 이데올로기 또는 사상적 경향, 종교적 신념 등을 말한다. 정치적 견해 란 정치적 사안에 대한 입장이나 특정 정당의 지지 여부에 관한 정보이다. 노동조합 정당의 가입 탈퇴 란 노동조합 또는 정당에의 가입 탈퇴에 관 한 정보이다. 반드시 적법한 노동조합이거나 정당일 필요는 없다. 건강 및 성생활 등에 관한 정보 란 개인의 과거 및 현재의 병력( 病歷 ), 신 체적 정신적 장애(장애등급 유무 등), 성적 취향 등에 관한 정보이다. 혈액형 은 이해 해당하지 않는다. 사생활을 현저하게 침해할 우려가 있는 개인정보 란 해당 정보를 수집 처리함으로써 헌법 상 보장된 프라이버시권의 본질적 내용이 침해될 우려 가 있는 것을 말한다. 해석의 여지가 크기 때문에 민감정보로 특별히 보호할 필요가 있다고 사회적 합의가 이루어진 정보를 상황에 맞게 규정할 수 있도 록 대통령령에 위임하였다. < 시행령상 민감정보의 종류(영 제18조) > 1. 유전자검사 등의 결과로 얻어진 유전정보 2. 형의 선고 면제 및 선고유예, 보호감호, 치료감호, 보호관찰, 선고유예의 실효, 집행유예의 취소 등 범죄경력에 관한 정보 다만 시행령에 따른 민감정보(유전정보, 범죄경력에 관한 정보)는 공공기관이 다음의 업무수행을 위하여 처리하는 경우에는 민감정보로 보지 않는다. - 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의 의결을 거친 경우 - 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위 하여 필요한 경우 - 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 - 법원의 재판업무 수행을 위하여 필요한 경우 - 형( 刑 ) 및 감호, 보호처분의 집행을 위하여 필요한 경우 제 23 조

149 참고 형의 실효등에 관한 법률 제6조제1항(범죄경력조회 수사경력조회 및 회보의 제한 등) 1 수사자료표에 의한 범 죄경력조회 및 수사경력조회와 그 회보는 다음 각호의 1에 해당하는 경우에 그 전부 또는 일부에 대하여 조회목적에 필요한 최소한의 범위내에서 할 수 있다. 1. 범죄수사 또는 재판을 위하여 필요한 경우 2. 형의 집행 또는 사회봉사 수강명령의 집행을 위하여 필요한 경우 3. 보호감호 치료감호 보호관찰 등 보호처분 또는 보안관찰업무의 수행을 위하여 필요한 경우 4. 수사자료표의 내용을 확인하기 위하여 본인이 신청하는 경우 5. 국가정보원법 제3조제2항에 규정에 따른 보안업무에 관한 대통령령에 근거하 여 신원조사를 하는 경우 6. 외국인의 체류허가에 필요한 경우 7. 각군 사관생도의 입학 및 장교의 임용에 필요한 경우 8. 병역의무의 부과와 관련하여 현역병 및 공익근무요원의 입영에 필요한 경우 9. 다른 법령에서 규정하고 있는 공무원임용, 인 허가, 서훈, 대통령표창, 국무총리표 창 등의 결격사유 또는 공무원연금 지급제한사유 등을 확인하기 위하여 필요한 경우 10. 그 밖에 다른 법률에서 범죄경력조회 및 수사경력조회와 그 회보를 하도록 규정되어 있는 경우 2. 민감정보의 처리금지 민감정보는 원칙적으로 처리가 금지된다. 외국의 주요 입법례에서도 민감정보 (특별한 범주의 정보)의 처리를 원칙적으로 금지하고 있으며 정보주체의 명시적 동의가 있는 경우 등 예외적인 사유에 해당할 때에만 처리를 인정하고 있다. 제 23조도 외국의 입법례에 따라 별도로 정보주체의 동의를 받은 경우와 법령에서 민감정보의 처리를 요구하거나 허용하는 경우에 한해 민감정보의 처리를 허용하 고 있다. 제23조는 개인정보 처리에 관하여 특별한 규정이므로 제15조, 제17조 및 제18조 등 개인정보 처리에 관한 규정에 우선하여 적용된다. 정보주체의 별도 동의를 받은 경우 : 제15조제2항 각 호 또는 제17조 제2항 각 호의 사항을 정보주체에게 알리고 다른 개인정보의 처리에 대한 동의와 분 리해서 민감정보 처리에 대한 동의를 받은 경우 법령에서 처리를 요구하는 경우 : 법령에서 민감정보의 종류를 열거하고 그 처리를 요구하고 있는 경우(법정서식에 민감정보 기재사항이 있는 경우도 포함)

150 참고 의료법 제21조제2항 제21조(기록 열람 등) 2 제1항의 규정에 불구하고 의료인은 동일한 환자의 진료상 필 요에 의하여 다른 의료기관에서 그 기록 임상소견서 및 치료경위서의 열람이나 사 본의 송부를 요구한 때 또는 환자가 검사기록 및 방사선필름 등의 사본 교부를 요구한 때에는 이에 응하여야 한다. 참고 총포 도검 화약류 등 단속법 시행규칙 별지 제10호의3 서식 총포ㆍ도검ㆍ화약류 등 단속법 시행규칙 [별지 제10호의3서식] <신설 > 병력( 病歷 ) 신고 및 개인정보 이용 동의서 다음 물음을 읽고 있음 또는 없음의 해당 [ ]란에 표시를 하며, 있음에 표시한 경우 그 내용을 적습니다. (앞 쪽) 접수번호 접수일자 처리일자 처리기간 10일 (1) 귀하는 정신분열증ㆍ정동장애( 情動障碍 )ㆍ고도의 성격장애 및 이에 준하는 증세로 인하 여 치료받은 사실이 있습니까? 병명 치료병원 (있는 경우) 치료개시일 치료종료일 [ ]있음 [ ]없음 (2) 귀하는 경련성질환(간질) 등으로 치료받은 사실이 있습니까? [ ]있음 [ ]없음 (있는 경우) 병명 치료개시일 치료병원 치료종료일 (3) 귀하는 마약ㆍ대마ㆍ향정신성의약품ㆍ알코올중독 등으로 치료 받거나 수사기관에 단속된 사실이 있습니까? (치료사실이 있는 경우) 병명 치료개시일 치료병원 치료종료일 [ ]있음 [ ]없음 (단속된 사실이 있는 경우) 단속일시 위반행위 단속기관 년 월 일 신고인 (서명 또는 인) 지방경찰청장ㆍ경찰서장 귀하 개인정보 이용 동의서 본인은 허가관청이 총포ㆍ도검ㆍ화약류 등 단속법 제13조에 따른 총포 소지허가 결격사유 등의 해당여부 판단을 위해 국민건강보험공단이 보관 중인 본인의 동의일로부터 최근 5년간 치매, 정신분열병, 분열형 정동장애, 양극성 정동장애, 재발성 우울장애, 정신 발육지연, 간질의 치료경력을 조회하는 데 동의합니다. 년 월 일 동의인 (서명 또는 인)

151 참고 보안관찰법시행령 제6조제1항 제6조(보안관찰처분대상자의 신고) 1보안관찰처분대상자가 법 제6조제1항의 규정에 의 하여 출소전에 신고할 때에는 다음 각호의 사항을 기재한 신고서 5부를 작성하여 교 도소, 소년교도소, 구치소, 유치장, 군교도소 또는 영창(이하 "교도소등"이라 한다)의 장에게 제출하여야 한다. 1. 원적 본적 주거(실제로 생활하는 거처. 이하 같다) 성명 생년월일 성별 주민등록번호 2. 가족 및 교우관계 3. 입소전의 직업 본인 및 가족의 재산상황 4. 학력 경력 5. 종교 및 가입한 단체 6. 병역관계 7. 출소예정일 8. 출소후의 거주예정지 및 그 도착예정일 9. 보안관찰해당범죄사실의 요지 판결법원 판결연월일 죄명 적용법조 형명 형기 10. 보안관찰해당범죄외의 전과관계 11. 법 제20조제3항에 해당하는 경우에는 거소제공 결정일자와 제공된 사회복지시설 등의 명칭 및 그 소재지 참고 보험업법 제176조제10항 제176조(보험요율 산출기관) 10 보험요율 산출기관은 순보험요율을 산출하기 위하여 필 요한 경우에는 교통법규 위반에 관한 개인정보를 보유하고 있는 기관의 장으로부터 그 정보를 제공받아 보험회사가 보험계약자에게 적용할 순보험료의 산출에 이용하게 할 수 있다. 참고 병역법 제11조의2 제11조의2(자료의 제출 요구 등) 1지방병무청장은 징병검사와 관련하여 징병전담의 사 징병검사전문의사 또는 제12조의2의 규정에 따라 신체검사를 위하여 파견된 군의 관 등이 질병 또는 심신장애의 확인을 위하여 필요하다고 인정하는 경우 의료법 에 따른 의료기관의 장, 국민건강보험법 에 따른 국민건강보험공단의 장, 초 중 등교육법 에 따른 학교의 장 등에 대하여 징병검사대상자의 진료기록 치료 관련 기 록내역 학교생활기록부 등의 제출을 요구할 수 있다. 이 경우 자료의 제출을 요구받 은 사람은 특별한 사유가 없는 한 이에 응하여야 한다. 2누구든지 제1항의 규정에 따라 취득한 징병검사대상자에 대한 정보 자료를 공개 또는 누설하거나 타인에게 제공하는 등 징병검사 외의 목적으로 사용하여서는 아니 된다.

152 3. 다른 법률과의 관계 이 법은 정보통신망법 상 정보통신서비스 제공자와 신용정보법 상 신용정보 제공 이용자에게 모두 적용된다. 따라서 정보통신서비스 제공자와 신용정보제공 이용자는 정보주체의 별도의 동의가 있거나 법령상 허용근거가 있는 경우에만 민감정보를 처리할 수 있다. 다만, 신용정보제공 이용자는 신용정보법 에 따라 정치적 사상 등에 대하여 절대적으로 수집할 수 없다. 또한 보험료 산출 등을 위하여 개인의 질병 정보를 수집 조사하는 경우 해당 개인의 동의를 얻어야 한다. 제23조(개인정보의 수집 제한 등) 1 정보통신서비스 제공자는 사상, 신념, 과거의 병력( 病歷 ) 등 개인의 권리 이익이나 사생 활을 뚜렷하게 침해할 우려가 있는 개인정보를 수집하여서는 정보통신망법 아니 된다. 다만, 제22조제1항에 따른 이용자의 동의를 받거나 다른 법률에 따라 특별히 수집 대상 개인정보로 허용된 경우에 는 그 개인정보를 수집할 수 있다. 신용정보법 제16조(수집 조사 및 처리의 제한) 1 신용정보회사등은 다음 각 호의 정보를 수집 조사하여서는 아니 된다. 1. 국가의 안보 및 기밀에 관한 정보 2. 기업의 영업비밀 또는 독창적인 연구개발 정보 3. 개인의 정치적 사상, 종교적 신념, 그 밖에 신용정보와 관계 없는 사생활에 관한 정보 4. 확실하지 아니한 개인신용정보 5. 다른 법률에 따라 수집이 금지된 정보 6. 그 밖에 대통령령으로 정하는 정보 2 신용정보회사등이 개인의 질병에 관한 정보를 수집 조사하 거나 타인에게 제공하려면 미리 제32조제1항에 따른 해당 개인 의 동의를 받아야 하며 대통령령으로 정하는 목적으로만 그 정 보를 이용하여야 한다. 5. 벌칙규정 위반행위 민감정보 처리기준 위반 (제23조 위반) 벌칙 5년 이하의 징역 또는 5천만원 이하의 벌금 (제71조제3호)

153 6. 질의 응답 FAQ 법과 시행령이 정한 것 이외에 개인에게 민감한 정보면 다 민감정보가 될 수 있는가? 법과 시행령은 사상, 신념, 노동조합(정당)의 가입/탈퇴, 정치적 견해, 건강, 성생활, 유전정보, 범죄경력에 관한 정보로 한정하고 있으므로, 그 이외의 정보는 민감정보 에 해당하지 않는다. FAQ 장애우에 대한 요금감면 혜택을 제공하기 위해서는 상세한 장애등급 정보가 필요한데, 수집할 수 있는지? 전기통신사업법 제4조는 전기통신사업자에게 보편적 역무 제공을 의무화 하고 있으며, 대통령령에서는 보편적 역무 중의 하나로 장애인 저소득층 등에 대한 요금감면 전화 서비스 를 규정하고 있다. 따라서 이 경우는 법 제23조제2호의 법령 에서 민감정보의 처리를 요구하거나 허용하는 경우로서, 장애우 요금감면 혜택을 위 한 장애등급 정보 수집이 가능하다.

154 제24조 고유식별정보의 처리 제한 법률 시행령 제24조(고유식별정보의 처리 제한) 1 개인정보처리자는 다음 각 호의 경우 를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식 별정보로서 대통령령으로 정하는 정보(이하 고유식별정보 라 한다)를 처 리할 수 없다. 1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알 리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우 2 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입할 경우 주민등록번호를 사용하 지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다. 3 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우 에는 그 고유식별정보가 분실 도난 유출 변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다. 4 행정안전부장관은 제2항에 따른 방법의 제공을 지원하기 위하여 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련할 수 있다. 제19조(고유식별정보의 범위) 법 제24조제1항 각 호 외의 부분에서 대통령 령으로 정하는 정보 란 다음 각 호의 어느 하나에 해당하는 정보(이하 고유식별정보 라 한다)를 말한다. 다만, 공공기관이 법 제18조제2항제5호 부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보 를 처리하는 경우의 해당 정보는 제외한다. 1. 주민등록법 제7조제3항에 따른 주민등록번호 2. 여권법 제7조제1항제1호에 따른 여권번호 3. 도로교통법 제80조에 따른 운전면허의 면허번호 4. 출입국관리법 제31조제4항에 따른 외국인등록번호 제20조(주민등록번호 외의 회원가입 방법 제공의무자) 1 법 제24조제2항에 따라 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법 (이하 대체가입수단 이라 한다)을 제공하여야 하는 개인정보처리자는 다 음 각 호의 어느 하나에 해당하는 자를 말한다. 1. 공공기관 2. 공공기관 외에 인터넷 홈페이지를 운영하는 개인정보처리자로서 전년 도 말 기준 직전 3개월간 그 인터넷 홈페이지를 이용한 정보주체의 수 가 하루 평균 1만명 이상인 개인정보처리자 2 행정안전부장관은 제1항에 따른 대체가입수단 제공과 관련하여 다음 각 호의 사항을 인터넷 홈페이지에 게재하여야 한다. 1. 제1항에 따라 대체가입수단을 제공하여야 하는 개인정보처리자의 명칭 및 인터넷 홈페이지 주소 2. 제공할 수 있는 대체가입수단의 종류 및 내용 제 24 조

155 3. 대체가입수단의 제공 기한 제21조(고유식별정보의 안전성 확보 조치) 법 제24조제3항에 따른 고유식 별정보의 안전성 확보 조치에 관하여는 제30조를 준용한다. 이 경우 법 제29조 는 법 제24조제3항 으로, 개인정보 는 고유식별정보 로 본다. 표준지침 제16조(고유식별정보 처리에 대한 동의) 1 개인정보처리자가 법 제24조제1 항제1호에 따라 고유식별정보의 처리를 위하여 정보주체에게 동의를 받고자 하는 경우에는 다른 개인정보와 고유식별정보를 구분하여 고유식별정보에 대하여는 정보주체가 별도로 동의할 수 있도록 조치를 취하여야 한다. 2 개인정보처리자는 제1항에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에 도 이를 알리고 동의를 받아야 한다. 1. 고유식별정보의 수집 이용 목적 2. 수집하려는 고유식별정보의 항목 3. 고유식별정보의 보유 및 이용 기간 4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있 는 경우에는 그 불이익의 내용 제17조(주민등록번호 이외의 회원가입 방법 제공) 1 시행령 제20조제1항제2 호의 홈페이지를 이용한 정보주체의 수 는 홈페이지의 방문자 수를 말한다. 2 개인정보처리자가 시행령 제20조제1항에 따라 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법(이하 대체수단 이라 한다)을 제공해야 하는 경우, 정보주체는 주민등록번호가 아닌 대체수단을 사용하여서 도 회원으로 가입할 수 있다는 점을 회원가입절차를 위한 화면을 통하여 명시적으로 알리고 회원가입을 받아야 한다. 이 경우 주민등록번호를 이용한 회원가입 방법과 대체수단을 이용한 회원가입 방법을 하나의 화면을 통하여 제공하여야 한다. 고유식별정보는 원래 공익목적으로 개인에게 부여된 것이나 그 편리성 때문에 공공부문은 물론 민간영역에서도 광범위하게 수집 이용되고 있다. 특히 주민등록 번호의 유출과 도용으로 인한 피해 등이 급증하고 있다. 따라서 주민등록번호 등 고유식별정보의 오 남용을 방지하고 원래의 목적에 충실하게 사용될 수 있도록 그 처리를 일정 범위에서 제한할 필요가 있다. 1. 고유식별정보의 정의(제1항) 고유식별정보란 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정 보로서 대통령령으로 정하는 정보를 말한다. 법령에 의해서 개인에게 부여된 것 이어야 하므로 기업, 학교 등이 소속 구성원에게 부여하는 사번, 학번 등은 고유 식별정보가 될 수 없다. 또 법인이나 사업자에게 부여되는 법인등록번호, 사업자 등록번호 등도 고유식별정보가 될 수 없다.

156 개인정보 보호법 상 고유식별정보는 민간 분야에서 DB매칭키 등으로 남용 되어 개인 프라이버시 침해가능성이 높은 정보를 중심으로 규정하고 있는데 시 행령에서는 고유식별정보의 범위를 주민등록번호, 여권번호, 운전면허번호, 외국 인등록번호로 정하고 있다. 2. 고유식별정보의 처리금지(제1항) 고유식별정보는 원칙적으로 처리할 수 없다. 다만, 별도로 정보주체의 동의를 받은 경우와 법령에서 고유식별정보의 처리를 요구하거나 허용하고 있는 경우에 는 고유식별정보를 처리할 수 있다. 정보주체의 별도의 동의를 받는 경우에 개인정보처리자는 제15조제2항 각 호 또는 제17조 제2항 각 호의 사항을 정보주체에게 알리고 다른 개인정보의 처리에 대한 동의와 분리해서 고유식별정보 처리에 대한 동의를 받아야 한다. 법령에서 구체적으로 처리를 요구하거나 허용하는 경우란, 원칙적으로 법령에 서 구체적으로 고유식별정보의 종류를 열거하고 그 처리를 요구하거나 허용하고 있는 것을 말한다. 법령 에 의한다고 규정하고 있으므로 법률 외에 시행령, 시 행규칙이 포함되며 이에 첨부된 별지 서식이나 양식도 포함된다. 참고 금융실명거래 및 비밀보장에 관한 법률 시행령 제3조 제3조(실지명의) 법 제2조제4호의 규정에 의한 실지명의는 다음 각호의 구분에 따른 명의로 한다. 1. 개인의 경우 : 주민등록표에 기재된 성명 및 주민등록번호. 다만, 재외국민의 경우에는 여 권에 기재된 성명 및 여권번호(여권이 발급되지 아니한 재외국민은 재외국민등록법 에 의한 등록부에 기재된 성명 및 등록번호) 2 ~ 3. 생략 4. 외국인의 경우 : 출입국관리법 에 의한 등록외국인기록표에 기재된 성명 및 등록번호. 다만, 외국인등록증이 발급되지 아니한 자의 경우에는 여권 또는 신분증에 기재된 성명 및 번호 참고 결혼중개업법 시행령 제11조 제11조(장부 등의 비치) 결혼중개업자는 법 제14조에 따라 다음 각 호의 장부 대장을 작성하여 3년 동안 갖추어 두어야 한다. 다만, 장부 대장의 서식이 해당 사업에 적합하지 아니한 경우에는 시장 군수 구청장의 승인을 받아 변경하여 사용할 수 있다. 1. 별지 제9호서식에 따른 종사자 명부 2. 별지 제10호서식에 따른 회원 명부 종사자 명부에는 직책, 성명, 주민등록번호, 주소 등을 기재하도록 되어 있음

157 이와 관련하여, 다른 법령에서 법 정책적 필요에 의해 개인정보처리자에 대해 신원확인 의무나 연령확인 의무를 부과하고 있는 경우, 이를 법령에서 고유식별 정보 처리를 구체적으로 요구 허용 한 것으로 볼 수 있을지 문제가 있다. 현재 상당수의 기업 등에서는 온라인에서 신원 연령 확인을 하는 경우에 정보주체의 성명과 주민등록번호를 입력하여 그 일치 여부를 확인하는 이른바 실명확인 방 식을 적용하고 있으며, 일부 정보주체는 이를 회피하기 위하여 다른 사람의 성명 과 주민등록번호를 도용하여 사용하는 경우가 빈번히 발생하고 있기 때문이다. 검토하건대, 다른 법령에서 단순히 신원 연령확인 의무만을 규정하고 있다면 이는 고유식별정보 처리를 구체적으로 요구 허용한 것으로 보기 어렵다. 따라서 이 경우에는 신원 연령 확인을 위한 고유식별정보 처리 동의를 별도로 받거나, 주민등록번호를 사용하지 않는 수단을 이용하여 신원 연령을 확인하여야 한다. 참고 청소년보호법 제17조제1항 청소년유해매체물을 판매 대여 배포하거나 시청 관람 이용에 제공하고자 하는 자는 그 상대방의 연령을 확인하여야 하고, 청소년에게 이를 판매 대여 배포하거나 시청 관람 이용에 제공하여서는 아니된다. 참고 청소년보호법 제23조의3 게임산업진흥에 관한 법률 에 따른 게임물 중 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조제1항제1호에 따른 정보통신망을 통하여 실시간으로 제공 되는 게임물(이하 "인터넷게임"이라 한다)의 제공자( 전기통신사업법 제22조에 따라 부가통신사업자로 신고한 자를 말하며, 같은 조 제1항 후단 및 제4항에 따라 신고한 것으로 보는 경우를 포함한다. 이하 같다)는 16세 미만의 청소년에게 오전 0시부터 오전 6시까지 인터넷게임을 제공하여서는 아니 된다. 참고 정보통신망법 제44조의5제1항 제44조의5(게시판 이용자의 본인 확인) 다음 각 호의 어느 하나에 해당하는 자가 게시 판을 설치 운영하려면 그 게시판 이용자의 본인 확인을 위한 방법 및 절차의 마련 등 대통령령으로 정하는 필요한 조치(이하 "본인확인조치"라 한다)를 하여야 한다. 1. 국가기관, 지방자치단체, 공공기관의 운영에 관한 법률 제5조제3항에 따른 공기 업 준정부기관 및 지방공기업법 에 따른 지방공사 지방공단(이하 "공공기관등" 이라 한다) 2. 정보통신서비스 제공자로서 제공하는 정보통신서비스의 유형별 일일 평균 이용자 수가 10만명 이상이면서 대통령령으로 정하는 기준에 해당되는 자

158 3. 인터넷상 주민등록번호 대체수단의 강구(제2항) 대통령령이 정하는 기준에 해당하는 개인정보처리자는 정보주체가 인터넷 홈페 이지를 통하여 회원으로 가입할 경우 주민등록번호를 사용하지 아니하고도 회원 으로 가입할 수 있는 방법을 제공해야 한다. 가. 대통령령이 정하는 기준 대통령령으로 정하는 기준에 해당하는 개인정보처리자란 1 공공기관, 2 전년 도말 기준 직전 3개월간 홈페이지를 이용하는 정보주체의 수가 일일평균 1만명 이상인 개인정보처리자이다(영 제20조제1항). 즉 모든 공공기관은 의무적으로 주 민등록번호 대체수단을 도입하여야 하며, 그 외의 개인정보처리자는 위의 기준에 해당하는 경우에 한해 주민등록번호 대체수단을 도입해야 한다. 여기서 홈페이지를 이용하는 정보주체의 수 란 회원 가입이 되어 있는 정보 주체의 숫자를 의미하는 것이 아니라, 회원 비회원을 가리지 않고 그 기간 동안 홈페이지에 접속한 사람의 숫자를 모두 말하는 것이다. 나. 홈페이지를 통하여 인터넷 홈페이지를 통하여 회원으로 가입하는 경우만 해당한다. 따라서 구두, 서면, 전화, 팩스 등을 통해서 회원을 가입받는 경우에는 주민번호대체수단을 도 입하지 않아도 된다. 다만 모바일을 통한 회원가입시 대체수단은 향후 서비스 예 정이다. 다. 회원으로 가입할 경우 회원제로 운영되는 경우에만 적용된다. 회원제를 도입하고 있지 아니한 경우에 는 굳이 홈페이지에 대체수단을 강구할 필요가 없다. 라. 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법은 행정안 전부장관이 인터넷 홈페이지에 게시하는 방법으로 공시한다(영 제20조제2항제2 호). 대표적인 대체수단으로는 아이핀(i-Pin)이 있다. 행정안전부장관은 대체수단의

159 제공을 지원하기 위하여 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템 의 구축 등 제반 조치를 마련할 수 있다(법 제24조제4항). 4. 안전성 확보조치 의무(제3항) 개인정보처리자가 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실 도난 유출 변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다. 고유식별정보의 안전성 확보조치는 그 외의 일반적 개인정보에 대한 안전성 확보조치와 거의 유사하므로, 대통령령은 고유식별정보의 안전성 확보조치에 관 해서 일반적 개인정보에 대한 안전성 확보조치(영 제30조)를 준용하도록 하였다 (영 제21조). 대통령령에 따라 행정안전부장관이 고시한 개인정보의 안전성 확 보조치 기준 에서는 고유식별정보의 암호화 등을 별도로 규정하고 있다( 제29조 안전조치 의무 해설 참조). 5. 시행시기에 대한 예외조치 현대 대다수 인터넷 홈페이지들이 회원 가입시 주민등록번호를 통해 회원 가 입을 받고 있는 바, 각각의 홈페이지들이 이 법 공포 후 6개월 이내에 주민등록 번호 대체수단을 도입하는 것은 현실적으로 불가능하다. 이러한 현실을 감안하여 주민등록번호 대체수단 도입에 대해서는 시행시기를 이 법 공포 후 1년이 경과한 날부터 시행하도록 1년간의 시행 유보기간을 두고 있다(부칙 제1조 단서). 따라서 이 조는 2012년 3월 30일부터 효력이 발생한다. 6. 다른 법률과의 관계 현행 정보통신망법 제23조의2(주민등록번호 외의 회원가입 방법)에서는 대통령 령이 정하는 기준에 해당하는 정보통신서비스제공자에 대해 주민등록번호 대체수 단 도입을 의무화하고 있다. 따라서 정보통신망법 의 적용을 받는 정보통신서비 스제공자는 그에 따른 회원가입 대체수단을 제공하면 된다. 정보통신망법 제23조의2(주민등록번호 외의 회원가입 방법) 1 정보통신서비스 제공자로서 제공하 는 정보통신서비스의 유형별 일일 평균 이용자 수가 대통령령으로 정하는 기준에 해 당하는 자는 이용자가 정보통신망을 통하여 회원으로 가입할 경우에 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.

160 2 제1항에 해당하는 정보통신서비스 제공자는 주민등록번호를 사용하는 회원가입 방 법을 따로 제공하여 이용자가 회원가입 방법을 선택하게 할 수 있다. 시행령 제9조의2(주민등록번호 외의 회원가입 방법 제공 의무자 등) 1 법 제23조의 2제1항에서 "대통령령으로 정하는 기준에 해당하는 자"란 다음 각 호의 어느 하나에 해당하는 자를 말한다. 1. 포털서비스(다른 인터넷주소ㆍ정보 등의 검색과 전자우편ㆍ커뮤니티 등을 제공하 는 서비스를 말한다)의 경우는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 5만명 이상인 정보통신서비스 제공자 2. 게임서비스( 게임산업진흥에 관한 법률 제2조제1호 및 제1호의2에 따른 게임 물과 사행성게임물을 정보통신망을 이용하여 제공하는 서비스를 말한다)의 경우 는 전년도 말 기준 직전 3개월간의 일일평균 이용자수가 1만명 이상인 정보통신 서비스 제공자 3. 전자상거래 서비스( 전자상거래 등에서의 소비자보호에 관한 법률 제2조제1호 및 제2호에 따른 전자상거래 및 통신판매를 정보통신망을 이용하여 제공하는 서 비스를 말한다)의 경우는 전년도 말 기준 직전 3개월간의 일일평균 이용자수가 1 만명 이상인 정보통신서비스 제공자 4. 그 밖의 정보통신서비스의 경우는 전년도 말 기준 직전 3개월간의 일일평균 이용 자수가 1만명 이상인 정보통신서비스 제공자 8. 벌칙규정 위반행위 고유식별정보를 처리한 자 (제24조제1항 위반) 주민등록번호 대체수단 미도입 (제24조제2항 위반) 벌칙 5년 이하의 징역 또는 5천만원 이하의 벌금 (제71조제4호) 3천만원 이하 과태료 (제75조제2항제5호) 고유식별정보 보호를 위한 안전성 확보 조치를 취하지 아니하여 개인정보를 도난 유출 변조 또는 훼손당하거나 분실한 자 (제24조제3항 위반) 2년 이하의 징역 또는 1천만원 이하의 벌금 (제73조제1호) 고유식별정보 보호를 위한 안전성 확보조치 의무 위반 (제24조제3항 위반) 3천만원 이하 과태료 (제75조제2항제6호)

161 제25조 영상정보처리기기의 설치 운영 제한 법률 시행령 제25조(영상정보처리기기의 설치ㆍ운영 제한)1 누구든지 다음 각 호의 경 우를 제외하고는 공개된 장소에 영상정보처리기기를 설치 운영하여서는 아 니 된다. 1. 법령에서 구체적으로 허용하고 있는 경우 2. 범죄의 예방 및 수사를 위하여 필요한 경우 3. 시설안전 및 화재 예방을 위하여 필요한 경우 4. 교통단속을 위하여 필요한 경우 5. 교통정보의 수집 분석 및 제공을 위하여 필요한 경우 2 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실( 發汗室 ), 탈의 실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치 운영하여서는 아니 된다. 다만, 교도소, 정 신보건 시설 등 법령에 근거하여 사람을 구금하거나 보호하는 시설로서 대 통령령으로 정하는 시설에 대하여는 그러하지 아니하다. 3 제1항 각 호에 따라 영상정보처리기기를 설치 운영하려는 공공기관의 장과 제2항 단서에 따라 영상정보처리기기를 설치 운영하려는 자는 공청 회 설명회의 개최 등 대통령령으로 정하는 절차를 거쳐 관계 전문가 및 이 해관계인의 의견을 수렴하여야 한다. 4 제1항 각 호에 따라 영상정보처리기기를 설치 운영하는 자(이하 영상 정보처리기기운영자 한다)는 정보주체가 쉽게 인식할 수 있도록 대통령령 으로 정하는 바에 따라 안내판 설치 등 필요한 조치를 하여야 한다. 다만, 대통령령으로 정하는 시설에 대하여는 그러하지 아니하다. 5 영상정보처리기기운영자는 영상정보처리기기의 설치 목적과 다른 목적으 로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비춰서는 아니 되며, 녹 음기능은 사용할 수 없다. 6 영상정보처리기기운영자는 개인정보가 분실 도난 유출 변조 또는 훼손되 지 아니하도록 제29조에 따라 안전성 확보에 필요한 조치를 하여야 한다. 7 영상정보처리기기운영자는 대통령령으로 정하는 바에 따라 영상정보처리기 기 운영 관리 방침을 마련하여야 한다. 이 경우 제30조에 따른 개인정보 처리 방침을 정하지 아니할 수 있다. 8 영상정보처리기기운영자는 영상정보처리기기의 설치 운영에 관한 사무 를 위탁할 수 있다. 다만, 공공기관이 영상정보처리기기 설치 운영에 관한 사 무를 위탁하는 경우에는 대통령령으로 정하는 절차 및 요건에 따라야 한다. 제22조(영상정보처리기기 설치ㆍ운영 제한의 예외) 1 법 제25조제2항 단 서에서 대통령령으로 정하는 시설 이란 다음 각 호의 시설을 말한다. 1. 형의 집행 및 수용자의 처우에 관한 법률 제2조제4호에 따른 교정시설 2. 정신보건법 제3조제3호부터 제5호까지의 규정에 따른 정신의료기관(수 용시설을 갖추고 있는 것만 해당한다), 정신질환자사회복귀시설 및 정신요양 시설 2 중앙행정기관의 장은 소관 분야의 개인정보처리자가 법 제25조제2항 단

162 서에 따라 제1항 각 호의 시설에 영상정보처리기기를 설치ㆍ운영하는 경우 정보주체의 사생활 침해를 최소화하기 위하여 필요한 세부 사항을 개인정 보 보호지침으로 정하여 그 준수를 권장할 수 있다. 제23조(영상정보처리기기 설치 시 의견 수렴) 1 법 제25조제1항 각 호에 따라 영상정보처리기기를 설치ㆍ운영하려는 공공기관의 장은 다음 각 호의 어느 하나에 해당하는 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다. 1. 행정절차법 에 따른 행정예고의 실시 또는 의견청취 2. 해당 영상정보처리기기의 설치로 직접 영향을 받는 지역 주민 등을 대상으 로 하는 설명회ㆍ설문조사 또는 여론조사 2 법 제25조제2항 단서에 따른 시설에 영상정보처리기기를 설치ㆍ운영하려는 자 는 다음 각 호의 사람으로부터 의견을 수렴하여야 한다. 1. 관계 전문가 2. 해당 시설에 종사하는 사람, 해당 시설에 구금되어 있거나 보호받고 있는 사 람 또는 그 사람의 보호자 등 이해관계인 제24조(안내판의 설치 등) 1 법 제25조제1항 각 호에 따라 영상정보처리기 기를 설치ㆍ운영하는 자(이하 영상정보처리기기운영자 라 한다)는 영상정 보처리기기가 설치ㆍ운영되고 있음을 정보주체가 쉽게 알아볼 수 있도록 법 제25조제4항 본문에 따라 다음 각 호의 사항이 포함된 안내판을 설치하 여야 한다. 다만, 건물 안에 여러 개의 영상정보처리기기를 설치하는 경우 에는 출입구 등 잘 보이는 곳에 해당 시설 또는 장소 전체가 영상정보처리 기기 설치지역임을 표시하는 안내판을 설치할 수 있다. 1. 설치 목적 및 장소 2. 촬영 범위 및 시간 3. 관리책임자의 성명 및 연락처 2 제1항에도 불구하고 영상정보처리기기운영자가 설치ㆍ운영하는 영상정 보처리기기가 다음 각 호의 어느 하나에 해당하는 경우에는 안내판 설치를 갈음하여 영상정보처리기기운영자의 인터넷 홈페이지에 제1항 각 호의 사 항을 게재할 수 있다. 1. 공공기관이 원거리 촬영, 과속ㆍ신호위반 단속 또는 교통흐름조사 등의 목적으로 영상정보처리기기를 설치하는 경우로서 개인정보 침해의 우려 가 적은 경우 2. 산불감시용 영상정보처리기기를 설치하는 경우 등 장소적 특성으로 인 하여 안내판을 설치하는 것이 불가능하거나 안내판을 설치하더라도 정보 주체가 쉽게 알아볼 수 없는 경우 3 제2항에 따라 인터넷 홈페이지에 제1항 각 호의 사항을 게재할 수 없으면 영상정보처리기기운영자는 다음 각 호의 어느 하나 이상의 방법으로 제1항 각 호의 사항을 공개하여야 한다. 1. 영상정보처리기기운영자의 사업장ㆍ영업소ㆍ사무소ㆍ점포 등(이하 사업장등 이라 한다)의 보기 쉬운 장소에 게시하는 방법 2. 관보(영상정보처리기기운영자가 공공기관인 경우만 해당한다)나 영상정보 처리기기운영자의 사업장등이 있는 특별시ㆍ광역시ㆍ도 또는 특별자치도 제 25 조

163 (이하 시ㆍ도 라 한다) 이상의 지역을 주된 보급지역으로 하는 신문 등 의 진흥에 관한 법률 제2조제1호가목ㆍ다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법 4 법 제25조제4항 단서에 따라 공공기관의 장은 다음 각 호의 어느 하나 에 해당하는 시설에 설치하는 영상정보처리기기에 대해서는 안내판을 설치 하지 아니할 수 있다. 1. 군사기지 및 군사시설 보호법 제2조제2호에 따른 군사시설 2. 통합방위법 제2조제13호에 따른 국가중요시설 3. 보안업무규정 제36조에 따른 보안목표시설 제25조(영상정보처리기기 운영ㆍ관리 방침) 1 영상정보처리기기운영자는 법 제25조제7항에 따라 다음 각 호의 사항이 포함된 영상정보처리기기 운영ㆍ관리 방침을 마련하여야 한다. 1. 영상정보처리기기의 설치 근거 및 설치 목적 2. 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위 3. 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람 4. 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법 5. 영상정보처리기기운영자의 영상정보 확인 방법 및 장소 6. 정보주체의 영상정보 열람 등 요구에 대한 조치 7. 영상정보 보호를 위한 기술적ㆍ관리적 및 물리적 조치 8. 그 밖에 영상정보처리기기의 설치ㆍ운영 및 관리에 필요한 사항 2 제1항에 따라 마련한 영상정보처리기기 운영ㆍ관리 방침의 공개에 관하 여는 제31조제2항 및 제3항을 준용한다. 이 경우 개인정보처리자 는 영상 정보처리기기운영자 로, 법 제30조제2항 은 법 제25조제7항 으로, 개인정 보 처리방침 은 영상정보처리기기 관리ㆍ운영 방침 으로 본다. 제26조(공공기관의 영상정보처리기기 설치ㆍ운영 사무의 위탁) 1 법 제2 5조제8항 단서에 따라 공공기관이 영상정보처리기기의 설치ㆍ운영에 관한 사무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 한다. 1. 위탁하는 사무의 목적 및 범위 2. 재위탁 제한에 관한 사항 3. 영상정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 4. 영상정보의 관리 현황 점검에 관한 사항 5. 위탁받는 자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임 에 관한 사항 2 제1항에 따라 사무를 위탁한 경우에는 제24조제1항부터 제3항까지의 규 정에 따른 안내판 등에 위탁받는 자의 명칭 및 연락처를 포함시켜야 한다. 제27조(영상정보처리기기 설치ㆍ운영 지침) 행정안전부장관은 법 및 이 영 에서 규정한 사항 외에 영상정보처리기기의 설치ㆍ운영에 관한 기준, 설치 ㆍ운영 사무의 위탁 등에 관하여 법 제12조제1항에 따른 표준 개인정보 보 호지침을 정하여 영상정보처리기기운영자에게 그 준수를 권장할 수 있다. 표준지침 제40조(영상정보처리기기 운영 관리 방침) 1 영상정보처리기기 운영 관리 방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수

164 있도록 공개하여야 한다. 2 영상정보처리기기 운영 관리 방침을 마련한 경우에는 법 제30조에 따 른 개인정보 처리방침을 정하지 아니하거나, 영상정보처리기기 설치 운영 에 관한 사항을 법 제30조에 따른 개인정보 처리방침에 포함하여 정할 수 있다. 제41조(관리책임자의 지정) 1영상정보처리기기운영자는 개인영상정보의 처 리에 관한 업무를 총괄해서 책임질 개인영상정보 보호책임자를 지정하여 야 한다. 2 제1항의 관리책임자는 법 제31조 제2항에 따른 개인정보 보호책임자의 업무에 준하여 다음 각 호의 업무를 수행한다. 1. 개인영상정보 보호 계획의 수립 및 시행 2. 개인영상정보 처리 실태 및 관행의 정기적인 조사 및 개선 3. 개인영상정보 처리와 관련한 불만의 처리 및 피해구제 4. 개인영상정보 유출 및 오용 남용 방지를 위한 내부통제시스템의 구축 5. 개인영상정보 보호 교육 계획 수립 및 시행 6. 개인영상정보 파일의 보호 및 파기에 대한 관리 감독 7. 그 밖에 개인영상정보의 보호를 위하여 필요한 업무 3 법 제31조에 따른 개인정보 보호책임자가 지정되어 있는 경우에는 그 개 인정보 보호책임자가 개인영상정보 보호책임자의 업무를 수행할 수 있다. 제44조(개인영상정보 이용 제3자 제공 등 제한 등) 1 영상정보처리기기 운영자는 다음 각 호의 경우를 제외하고는 개인영상정보를 수집 목적 이 외로 이용하거나 제3자에게 제공하여서는 아니된다. 다만 제5호부터 제9 호까지의 경우는 공공기관의 경우로 한정한다. 1. 정보주체에게 동의를 얻은 경우 2. 다른 법률에 특별한 규정이 있는 경우 3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또 는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정 되는 경우 4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인 을 알아볼 수 없는 형태로 개인영상정보를 제공하는 경우 5. 개인영상정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하 지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로 서 보호위원회의 심의 의결을 거친 경우 6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제 공하기 위하여 필요한 경우 7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 8. 법원의 재판업무 수행을 위하여 필요한 경우 9. 형( 刑 ) 및 감호, 보호처분의 집행을 위하여 필요한 경우 제45조(보관 및 파기) 1 영상정보처리기기 운영자는 수집한 개인영상정보 를 영상정보처리기기 운영 관리 방침에 명시한 보관 기간이 만료한 때에 는 지체없이 파기하여야 한다. 다만, 다른 법령에 특별한 규정이 있는 경 제 25 조

165 우에는 그러하지 아니하다. 2 영상정보처리기기 운영자가 그 사정에 따라 보유 목적의 달성을 위한 최소한의 기간을 산정하기 곤란한 때에는 보관 기간을 개인영상정보 수집 후 30일 이내로 한다. 3 개인영상정보의 파기 방법은 다음 각 호의 어느 하나와 같다. 1. 개인영상정보가 기록된 출력물(사진 등) 등은 파쇄 또는 소각 2. 전자기적( 電磁氣的 ) 파일 형태의 개인영상정보는 복원이 불가능한 기술적 방법으로 영구 삭제 제46조(이용 제3자 제공 파기의 기록 및 관리) 1 영상정보처리기기 운 영자는 개인영상정보를 수집 목적 이외로 이용하거나 제3자에게 제공하는 경우에는 다음 각 호의 사항을 기록하고 이를 관리하여야 한다. 1. 개인영상정보 파일의 명칭 2. 이용하거나 제공받은 자(공공기관 또는 개인)의 명칭 3. 이용 또는 제공의 목적 4. 법령상 이용 또는 제공근거가 있는 경우 그 근거 5. 이용 또는 제공의 기간이 정하여져 있는 경우에는 그 기간 6. 이용 또는 제공의 형태 2 영상정보처리기기 운영자가 개인영상정보를 파기하는 경우에는 다음 사항 을 기록하고 관리하여야 한다. 1. 파기하는 개인영상정보 파일의 명칭 2. 개인영상정보 파기일시 (사전에 파기 시기 등을 정한 자동 삭제의 경우에는 파기 주 기 및 자동 삭제여부에 대한 확인 시기) 3. 개인영상정보 파기 담당자 제47조(영상정보처리기기 설치 및 관리 등의 위탁) 1 영상정보처리기기 운영자가 시행령 제26조제1항에 따라 영상정보처리기기의 설치 운영에 관한 사무를 제3자에게 위탁하는 경우에는 그 내용을 정보주체가 언제든 지 쉽게 확인할 수 있도록 시행령 제24조에 따른 안내판 및 시행령 제27 조에 따른 영상정보처리기기 운영 관리 방침에 수탁자의 명칭 등을 공개 하여야 한다. 2 영상정보처리기기운영자가 시행령 제26조제1항에 따라 영상정보처리기 기의 설치 운영에 관한 사무를 제3자에게 위탁할 경우에는 그 사무를 위 탁받은 자가 개인영상정보를 안전하게 처리하고 있는지를 관리 감독하여 야 한다. 제48조(정보주체의 열람등 요구) 1정보주체는 영상정보처리기기 운영자가 처리하는 개인영상정보에 대하여 열람 또는 존재확인(이하 열람등 이라 한다)을 해당 영상정보처리기기 운영자에게 요구할 수 있다. 이 경우 정 보주체가 열람등을 요구할 수 있는 개인영상정보는 정보주체 자신이 촬영 된 개인영상정보 및 명백히 정보주체의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 개인영상정보에 한한다. 2 영상정보처리기기 운영자가 공공기관인 경우에는 해당 기관의 장에게 별지 서식 제2호에 따른 개인영상정보 열람 존재확인 청구서(전자문서를 포함한다)로 하여야 한다.

166 3 영상정보처리기기운영자는 제1항에 따른 요구를 받았을 때에는 지체없이 필요한 조치를 취하여야 한다. 이때에 영상정보처리기기운영자는 열람등 요구를 한 자가 본인이거나 정당한 대리인인지를 주민등록증 운전면허증 여 권 등의 신분증명서를 제출받아 확인하여야 한다. 4 제3항의 규정에도 불구하고 다음 각 호에 해당하는 경우에는 영상정보 처리기기운영자는 정보주체의 개인영상정보 열람등 요구를 거부할 수 있 다. 이 경우 영상정보처리기기 운영자는 10일 이내에 서면 등으로 거부 사유를 정보주체에게 통지하여야 한다. 1. 범죄수사 공소유지 재판수행에 중대한 지장을 초래하는 경우(공공기 관에 한함) 2. 개인영상정보의 보관기간이 경과하여 파기한 경우 3. 기타 정보주체의 열람 등 요구를 거부할 만한 정당한 사유가 존재하는 경우 5 영상정보처리기기 운영자는 제3항 및 제4항에 따른 조치를 취하는 경우 다음 각 호의 사항을 기록하고 관리하여야 한다. 1. 개인영상정보 열람 등을 요구한 정보주체의 성명 및 연락처 2. 정보주체가 열람 등을 요구한 개인영상정보 파일의 명칭 및 내용 3. 개인영상정보 열람 등의 목적 4. 개인영상정보 열람 등을 거부한 경우 그 거부의 구체적 사유 5. 정보주체에게 개인영상정보 사본을 제공한 경우 해당 영상정보의 내용과 제공한 사유 6 정보주체는 영상정보처리기기 운영자에게 정보주체 자신의 개인영상정 보에 대한 파기를 요구하는 때에는 제1항에 의하여 보존을 요구하였던 개인 영상정보에 대하여만 그 파기를 요구할 수 있다. 영상정보처리기기 운영자가 해당 파기조치를 취한 경우에는 그 내용을 기록하고 관리하여야 한다. 제49조(개인영상정보 관리대장) 제46조제1항 및 제2항, 제48조제5항 및 제6 항에 따른 기록 및 관리는 별지 서식제3호에 따른 개인영상정보 관리대장 을 활용할 수 있다. 제50조(정보주체 이외의 자의 개인영상정보 보호) 영상정보처리기기운영 자는 제48조제2항에 따른 열람등 조치를 취하는 경우, 만일 정보주체 이외 의 자를 명백히 알아볼 수 있거나 정보주체 이외의 자의 사생활 침해의 우 려가 있는 경우에는 해당되는 정보주체 이외의 자의 개인영상정보를 알아 볼 수 없도록 보호조치를 취하여야 한다. 제51조(개인영상정보의 안전성 확보를 위한 조치) 영상정보처리기기 운영 자는 개인영상정보가 분실 도난 유출 변조 또는 훼손되지 아니하도록 법 제29조 및 시행령 제30조제1항에 따라 안전성 확보를 위하여 다음 각 호의 조치를 하여야 한다. 1. 개인영상정보의 안전한 처리를 위한 내부 관리계획의 수립 시행, 다만 개인정보의 안전성 확보조치 기준 고시 (행정안전부 고시 제 호) 제2조제4호에 따른 소상공인 은 내부관리계획을 수립하지 아니할 수 있다. 2. 개인영상정보에 대한 접근 통제 및 접근 권한의 제한 조치 제 25 조

167 3. 개인영상정보를 안전하게 저장 전송할 수 있는 기술의 적용 (네트워크 카메라의 경우 안전한 전송을 위한 암호화 조치, 개인영상정보파일 저장 시 비밀번호 설정 등) 4. 처리기록의 보관 및 위조 변조 방지를 위한 조치 (개인영상정보의 생성 일시 및 열람할 경우에 열람 목적 열람자 열람 일시 등 기록 관리 조 치 등) 5. 개인영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금 장치 설치 제52조(개인영상정보처리기기의 설치 운영에 대한 점검) 1 공공기관의 장이 영상정보처리기기를 설치 운영하는 경우에는 이 지침의 준수 여부 에 대한 자체점검을 실시하여 다음 해 3월 31일까지 그 결과를 행정안전 부 장관에게 통보하고 시행령 제34조제3항에 따른 시스템에 등록하여야 한다. 이 경우 다음 각 호의 사항을 고려하여야 한다. 1. 영상정보처리기기의운영 관리 방침에 열거된 사항 2. 관리책임자의 업무 수행 현황 3. 영상정보처리기기의 설치 및 운영 현황 4. 개인영상정보 수집 및 이용 제공 파기 현황 5. 위탁 및 수탁자에 대한 관리 감독 현황 6. 정보주체의 권리행사에 대한 조치 현황 7. 기술적 관리적 물리적 조치 현황 8. 영상정보처리기 설치 운영의 필요성 지속 여부 등 2 공공기관의 장은 제1항과 3항에 따른 영상정보처리기기 설치 운영에 대한 자체점검을 완료한 후에는 그 결과를 홈페이지 등에 공개하여야 한다. 3 공공기관 외의 영상정보처리기기 운영자는 영상정보처리기기 설치 운 영으로 인하여 정보주체의 개인영상정보의 침해가 우려되는 경우에는 자 체점검 등 개인영상정보의 침해 방지를 위해 적극 노력하여야 한다. 가. 물적 적용범위 : 영상정보처리기기 이 법 제25조에 의하여 설치 운영이 금지 또는 제한되는 영상정보처리기기는 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이 를 유 무선망을 통하여 전송하는 장치에 한정한다(제2조제7호). 구체적으로 폐쇄 회로 텔레비전(CCTV)과 네트워크 카메라가 이에 속한다(시행령 제3조). 참고 개인정보 보호법 제2조제7호 7. 영상정보처리기기 란 일정한 공간에 지속적으로 설치되어 사람 또는 사물 의 영상 등을 촬영하거나 이를 유 무선망을 통하여 전송하는 장치로서 대통 령령으로 정하는 장치를 말한다.

168 나. 적용대상 : 누구든지 이 법 제25조의 적용 대상은 공개된 장소에 영상정보처리기기를 설치 운영하 는 모든 자 에게 적용된다. 즉 업무를 목적으로 개인정보파일을 운용하기 위하여 영상정보를 처리하는 개인정보처리자 가 아니더라도, 영상정보처리기기를 설치 운영하는 자라면 누구든지 영상정보처리기기에 관한 규제대상에 포함된다. 2. 공개된 장소 에서의 설치 운영 금지(제1항) 가. 공개된 장소의 의미 이 법은 공개된 장소 에 설치 운영되는 영상정보처리기기에 대해서만 적용된다. 공개된 장소 란 도로, 공원, 광장, 지하철역 등의 공공장소와 같이 불특정 다수가 출입하거나 이용할 수 있도록 허용된 장소를 의미한다. 따라서 특정인들 또는 특정한 용건이 있는 사람만 출입할 수 있거나, 출입이 엄격히 통제되는 장소는 여기서 말하는 공개된 장소 에 해당하지 않는다. 참고 공개된 장소의 예시 도로, 공원, 공항, 항만, 주차장, 놀이터, 지하철역 등의 공공장소 백화점, 대형마트, 상가, 놀이공원(테마파크) 등 시설 버스, 택시 등 누구나 탑승할 수 있는 대중교통 참고 공개된 장소에 대한 판례 다른 도로와 연결되어 있고 차단기가 설치되어 있지 않거나 설치되어 있더 라도 별다른 통제가 없고 개방되어 누구나 차량으로 통행하는 아파트단지 또는 대학구내의 통행로는 불특정 다수의 사람이나 차량의 통행을 위하여 공개된 장소로 봄 (대법원 선고 2005도6986 판결) 특정상가 건물을 위한 것이 아니고 관리인이 상주 관리하지 않고 출입차단장 치가 없으며 무료로 운영되어 불특정 다수인이 수시로 이용할 수 있는 공영 주차장은 불특정 다수의 사람 또는 차량의 통행을 위하여 공개된 장소로 봄 (대법원 선고 2005도3781 판결) 이 법 제25조는 공개된 장소에 영상정보처리기기를 설치 운영하는 것만을 규제 하고 있으므로, 비공개된 장소 및 순수한 사적( 私的 ) 장소에 영상정보처리기기를 설치 운영하는 경우에는 어떠한 원칙이 적용되는지에 대한 문제가 있다.

169 1) 비공개된 장소에 영상정보처리기기를 설치 운영하는 경우 이 법 제25조가 공개된 장소 에 설치된 영상정보처리기기만을 규제하고 있는 것은, 불특정 다수가 출입 이용하는 공개된 장소에서는 개인영상정보의 수집(촬 영) 및 이용 등에 대해 일일이 동의를 받는 것이 현실적으로 불가능하므로 이를 대신하여 안내판 설치, 사전 의견수렴 등의 보호조치를 통하여 불특정 다수의 개 인정보 및 사생활을 보호하고자 하는 취지이다. 따라서, 비공개 장소에 설치된 영상정보처리기기에 대해서는, 그 설치 운영자 가 업무를 목적으로 영상정보에 대한 개인정보파일을 운용하기 위하여 영상정보 처리기기를 설치 운영하는 개인정보처리자 에 해당하는 경우에 한해 이 법 제 15조(개인정보 수집 이용) 등의 일반 원칙이 적용된다고 판단된다. 즉 업무를 목적으로 개인영상정보 파일을 운용하는 개인정보처리자는 그 구성 원이나 출입 이용이 허가된 사람들의 동의를 득하거나(법 제15조제1항제1호), 그 영상정보처리기기의 설치 운영이 개인정보처리자의 정당한 이익 달성을 위하여 필요하고 명백하게 정보주체의 권리보다 우선하는 경우(법 제15조제1항제6호) 등 에 한하여 비공개된 장소 에 영상정보처리기기를 설치하여 개인영상정보를 수 집 이용할 수 있다. 한편, 비공개된 장소에 설치하는 영상정보처리기기에 대해 다른 법률에서 별도 의 규정을 두고 있는 경우에는 그에 따른 원칙 절차를 준수하여야 한다. 참고 형사소송법 제244조의2 제244조의2(피의자진술의 영상녹화) 1 피의자의 진술은 영상녹화할 수 있다. 이 경우 미리 영상녹화사실을 알려주어야 하며, 조사의 개시부터 종료까지의 전 과정 및 객관적 정황을 영상녹화하여야 한다. 2 제1항에 따른 영상녹화가 완료된 때에는 피의자 또는 변호인 앞에서 지체 없 이 그 원본을 봉인하고 피의자로 하여금 기명날인 또는 서명하게 하여야 한다. 3 제2항의 경우에 피의자 또는 변호인의 요구가 있는 때에는 영상녹화물을 재생하여 시청하게 하여야 한다. 이 경우 그 내용에 대하여 이의를 진술하는 때에는 그 취지를 기재한 서면을 첨부하여야 한다. 2) 순수한 사적( 私的 ) 장소에 영상정보처리기기를 설치 운영하는 경우 영상정보처리기기가 개인의 주택, 개인 소유의 차량 등 순수한 사적( 私的 ) 공간 에 설치되어 있는 경우에는 이 법 적용이 배제된다. 예를 들어 단독주택 연립주 택 등의 대문, 현관 등에 범죄예방(방범) 목적으로 감시용 CCTV를 설치하는 경 우가 그것이다. 이 경우에는 그 영상정보처리기기 설치된 장소가 공개된 장소가 아니며, 그 영상정보처리기기를 설치 운영하는 개인 등도 개인정보처리자 에 해 당한다고 보기 어려우므로 이 법이 적용되지 않는다.

170 <영상정보처리기기 설치 운영 관련 쟁점 사례> 사례 택시 버스 등의 CCTV 택시, 버스 등 영업용 차량 내부에 설치되어 탑승공간 및 승객을 촬영하는 CCTV는 일정한 공간에 지속적으로 설치 촬영되고 있으며, 불특정 다수의 승 객이 탑승하는 공간이라는 점에서 공개된 장소 의 요건도 충족한다. 따라서 영 업용 차량 내부에 설치된 CCTV는 이 법 제25조의 적용을 받는다. 사례 택시 버스 등에 설치된 블랙박스 택시 버스 등 영업용 차량 내부에 설치되어 외부(차량, 도로 등)를 촬영하는 이른바 블랙박스 의 경우에는 일정한 공간을 촬영하는 것이 아니므로 이 법 제25조의 적용을 받지 않는다. 한편, 택시 버스 등의 운영 주체(버스회사, 개인택시 운전사 등)는 개인정 보파일을 운용하기 위하여 개인영상정보를 처리 하는 개인정보처리자로 보기 어려우므로, 이 법의 다른 개인정보 보호원칙도 적용되지 않는다. 다만 버 스 택시회사 등에서 교통사고 대응을 위하여, 블랙박스로 촬영된 영상정보 를 사고일시 피해자 등의 개인정보에 따라 배열 구성하여 쉽게 검색할 수 있도록 한 경우에는 개인정보파일에 해당하므로 이 법 적용을 받는다. 사례 개인 승용차에 설치된 블랙박스 개인 소유의 차량은 공개된 장소가 아니며 순수한 사적( 私的 ) 공간으로서, 여기 에 설치된 블랙박스 는 이 법의 적용을 받지 않는다. 사례 관공서, 기업 등의 건물 관공서의 민원실, 기업 건물의 로비 등은 불특정 다수가 출입하고 있으므로 여기에 설치된 영상정보처리기기는 이 법 제25조의 적용을 받는다. 그러나 출입이 엄격히 통제되고 있고 내부 직원이나 허가를 받은 사람만 출 입이 허용되는 관공서 건물 내부 또는 기업 사옥의 내부 공간은 비공개된 장소 에 해당하므로, 이 법 제25조의 적용을 받지 않는다. 다만 이 경우에 해당 관공서, 기업 등이 업무를 목적으로 개인정보파일을 운용하기 위하여 개인영상정보를 처리 하기 위하여 내부 공간에 영상정보처 리기기를 설치 운영하는 경우에는 이 법의 다른 개인정보 보호원칙이 적용 된다. 즉 그 구성원의 동의를 받거나 개인정보처리자의 정당한 이익을 달성 하기 위하여 필요한 경우 등에 한하여 영상정보처리기기 설치 운영이 허용 된다.

171 사례 근로 모니터링 민간기업 등에서 근로 모니터링 등을 목적으로 영상정보처리기기를 설치 운영하는 경우가 있다. 근로 공간에 설치된 영상정보처리기기는 사용자 측의 근로 관리권한과 근로자 측의 사생활 보호권이 서로 상충될 우려가 있다. 외부인의 출입이 통제되는 근로공간은 원칙적으로 '비공개된 장소 에 해당하 므로 이 법 제25조는 적용되지 않으며, 그 외의 일반적 개인정보보호 원칙 적 용을 받는다. 이와 관련하여, 근로자참여 및 협력증진에 관한 법률 에서는 CCTV와 같 은 근로자감시장비는 노사 양자의 협의사항으로 규정하고 있으므로, 근로 모 니터링 목적의 CCTV 설치 범위 및 사생활 침해 방지조치 등을 노사 협의에 따라 정하여 설치 운영할 수 있다. 나. 영상정보처리기기 설치의 예외적 허용(제1항 각 호) 공개된 장소에 영상정보처리기기를 설치 운영하는 것은 원칙적으로 금지되나, 다른 법익의 보호를 위하여 필요한 경우에는 예외적으로 설치 운영이 허용되고 있다. 이 법은 총 5가지의 설치 운영 허용사유를 규정하고 있다. 1 법령에서 구체적으로 허용하는 경우(제1호) 일부 법령에서는 장소의 특수성 등을 고려하여 영상정보처리기기의 설치를 의 무화하고 있거나 설치를 허용하고 있다. < 영상정보처리기기의 설치를 규정하고 있는 법령 > 관련 법령 주차장법 시행규칙 주택법 시행규칙 내 용 주차대수 30대를 초과하는 규모의 자주식 주차장으 로서 지하식 또는 건축물식에 의한 노외주차장에는 관리사무소에서 주차장 내부 전체를 볼 수 있는 폐 쇄회로 텔레비전 및 녹화장치를 포함하는 방범설비를 설치 관리하여야 함 (제6조제1항제11호) 주택단지에 폐쇄회로 텔레비전을 설치하거나 설치한 폐쇄회로 텔레비전을 보수하려는 경우에는 이를 법 제47조에 따른 장기수선계획에 반영하여야 함(제24조의2)

172 아동복지법 폐광지역개발 지원에 관한 특별법 시행령 유치원, 초등학교, 특수학교, 보육시설, 도시공원 등 아동보호구역으로 지정된 시설에서는 폐쇄회로 텔레 비전을 설치 운영할 수 있음(제9조의2) 카지노사업자는 호텔의 내부 및 외부의 주요 지점에 폐쇄회로 텔레비전을 설치 운영하여야 함(제14조제2항) 외국인보호규칙 외국인보호시설의 소장은 보호시설의 안전대책 확보를 위하여 폐쇄회로 텔레비전을 설치 운영할 수 있음(제37조) 공중위생관리법 시행규칙 목욕장업자는 목욕실, 발한실, 탈의실 이외의 시설에 무인감시카메라를 설치할 수 있음(별표 1) 국제항해선박 및 국제여객선터미널의 여객 대기지역, 항만시설 내 국 항만시설의 보안에 토해양부령으로 정하는 지역에 설치하는 울타리등에 관한 법률 시행규칙 폐쇄회로 텔레비전을 설치하여야 함(별표 4) 생명윤리 및 안전에 관한 법률 시행규칙 체세포복제배아연구기관은 실험실 및 보관시설의 감 시를 위하여 CCTV 등을 설치하여야 함(별표 3) 지하공공보도시설의 결정 구조 및 설치기준에 관한 규칙 지하공공보도시설의 중앙방재실은 자체 감시카메라 (CCTV) 설비를 갖추어야 함(제12조) 2 범죄 예방 및 수사를 위하여 필요한 경우(제2호) 범죄는 형법상의 범죄 이외에 각종 개별법이나 단속법상의 범죄도 포함된다. 예컨대 경범죄처벌법 상의 각종 경범죄(도로 등에서의 물품강매 청객, 광고물 무단첩부등, 담배꽁초 껌 휴지 쓰레기 등 오물방치, 노상방요등, 공원 명승지 유원 지등의 자연훼손, 자릿세 징수등, 암표매매, 금연장소에서의 흡연 등)를 예방 수 사하기 위해서도 감시카메라를 설치 운영할 수 있다. 우범지역의 도로나 골목길 에 CCTV를 설치 운영하는 경우, 은행 ATM 시설에 범죄방지용 CCTV를 설치 운 영하는 경우, 백화점 편의점 등에서 도난방지용 CCTV를 설치 운영하는 경우, 회사의 자체창고에 도난방지용 CCTV를 설치 운영하는 경우 등이 이에 해당된다.

173 3 시설안전 및 화재예방을 위하여 필요한 경우(제3호) 각종 자연재해, 시설 노후화, 인위적 훼손 난동, 방화, 낙서 등으로부터 공공 시설, 문화재, 사유재산 등을 보호하기 위하여 필요한 경우 영상정보처리기기의 설치 운영이 허용된다. 즉 지하철역 안전사고 예방, 공공건물의 전기 가스 수도 등 시설관리 및 화재예방, 문화재 시설 안전 및 보호를 위한 경우 등이 이에 해 당된다. 4 교통단속을 위하여 필요한 경우(제4호) 각종 차량 및 사람들의 교통법규 위반을 단속 예방하기 위하여 필요한 경우 영상정보처리기기의 설치 운영이 허용된다. 주 정차 위반, 신호위반, 규정속도 위반 등 교통법규 위반행위 단속을 위해 CCTV를 설치하는 것이 이에 해당된다. 5 교통정보의 수집 분석 및 제공을 위하여 필요한 경우(제5호) 원활한 교통 흐름을 위한 교통량 분석, 교통사고 등에 관한 정보를 수집 제공 하기 위하여 필요한 경우 영상정보처리기기의 설치 운영이 허용된다. 즉 고속도 로, 주요간선도로 등의 교통량을 수집하여 분석하기 위해 필요한 경우 등이 이에 해당된다. 3. 개인의 사생활을 현저히 침해할 우려가 있는 장소 내부의 설치 운영 금지(제2항) 가. 개인의 사생활을 현저히 침해할 우려가 있는 장소(제2항 본문) 개인의 사생활이 현저히 침해될 우려가 있는 장소에 대해서는 당연히 영상정 보처리기기의 설치 운영을 엄격히 제한할 필요가 있다. 이에 따라 이 법은 누구 든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실( 發汗室 ), 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리 기기를 설치 운영하는 행위를 금지하고 있다.

174 나. 예외적 허용(제2항 단서) 공익적 목적에 의해 사람을 구금 보호하는 시설의 목욕실, 화장실 등에는 그 안에서의 자해 자살, 폭력행위, 탈출 등을 방지하기 위하여 영상정보처리기기를 설치 운영할 필요성이 있다. 이에 따라 이 법은 교도소 구치소 외국인보호시설 소년원이나 정신보건시설 등과 같이 법령에 근거하여 사람을 구금 보호하는 시설 로서 대통령령으로 정하는 시설에 대해서는 예외를 인정하고 있다. 구체적인 시설 은 다음과 같다. < 개인의 사생활을 현저히 침해할 우려가 있는 장소의 예외적 설치 운영 허용> 관련 법령 형의 집행 및 수용자의 처우에 관한 법률 정신보건법 내 용 교정시설 (제2조제4호) 교도소 구치소 및 그 지소 정신의료기관(수용시설을 갖추고 있는 것만 해당) 정신질환자사회복귀시설 정신요양시설 (제3조제3호부터 제5호) 이와 관련하여, 관계 중앙행정기관의 장은 소관 분야의 개인정보처리자(교도소 구치소 및 그 지소, 정신의료기관 등)가 해당시설에 영상정보처리기기를 설치ㆍ운 영하는 경우 정보주체의 사생활 침해를 최소화하기 위하여 필요한 세부 사항을 개 인정보 보호지침으로 정하여 그 준수를 권장할 수 있다(영 제22조제2항). 4. 영상정보처리기기의 설치 운영 절차 방법(제3항, 제4항) 가. 전문가 자문 및 이해관계인 의견수렴(제3항) 영상정보처리기기의 무분별한 설치 운영 및 이로 인한 사생활 침해를 방지하 기 위하여 설치 운영시 관계인의 의견을 수렴하여 반영할 필요가 있다. 1 공공기관의 경우(영 제23조제1항) 공공기관이 공개된 장소에 영상정보처리기기를 설치 운영하려는 경우에는 다음 각 호의 어느 하나에 해당하는 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다.

175 1. 행정절차법 에 따른 행정예고의 실시 또는 의견청취 2. 해당 영상정보처리기기의 설치로 직접 영향을 받는 지역 주민 등을 대상으로 하는 설명회ㆍ설문조사 또는 여론조사 2 개인 사생활 침해우려 장소에 설치시 의견수렴 (영 제23조제2항) 법 제25조제2항 및 영 제22조에 따른 교정시설이나 정신의료기관 등에 영상정 보처리기기를 설치 운영하려는 자는 다음 각 호의 사람으로부터 모두 의견을 수 렴하여야 한다. 1. 관계 전문가 2. 해당 시설에 종사하는 사람, 해당 시설에 구금되어 있거나 보호받고 있는 사람 또는 그 사람의 보호자 등 이해관계인 나. 영상정보처리기기 설치 운영의 공개(제4항) 1 안내판 설치(제4항 본문, 영 제24조제1항) 영상정보처리기기는 공개된 장소에 지속적으로 설치 운영되고 있으므로, 촬영 대상자는 자기의 모습이 촬영되는지에 대해 통제권을 행사하는 것이 사실상 불 가능하다. 따라서 법 제25조의 적용을 받는 영상정보처리기기에 대해서는 그 촬 영사실을 알리는 안내판 설치를 통해 촬영 대상자의 개인정보 자기결정권을 보 장하는 것이 필요하다. 영상정보처리기기 운영자는 정보주체가 영상정보처리기기가 설치 운영 중임을 쉽게 알아볼 수 있도록 안내판을 설치하여야 한다. 안내판 기재 항목은 다음과 같다. 1 설치목적 및 장소 2 촬영범위 및 시간 3 관리책임자 및 연락처 4(영상정보처리기기 설치 운영을 위탁한 경우) 위탁받는 자의 명칭 및 연락처 다만, 백화점, 역사 등 규모가 큰 건물의 경우에는 다수의 영상정보처리기기가 설치되어 있는데, 이러한 각각의 기기에 대해 개별적으로 안내판 설치를 강제하는 것은 과도한 규제가 될 수 있다. 따라서 건물 안에 다수의 영상정보처리기기를

176 설치하는 경우에는 출입구 등 잘 보이는 곳에 해당 시설 또는 장소 전체가 영상 정보처리기기 설치지역임을 표시하는 안내판을 설치할 수 있다(영 제24조제1항 단서). 안내판은 촬영범위 내에서 정보주체가 알아보기 쉬운 장소에 누구라도 용이하게 판독될 수 있게 설치되어야 하고, 이를 충족하였다면 그 범위 내에서 안내판의 크기나 설치위치는 영상정보처리기기 운영자가 자율적으로 정할 수 있다(표준지침 제43조제2항). 공공기관은 영상정보처리기기의 효율적 관리와 정보 연계를 위해 통합 관리하는 경우가 있다. 이러한 때에는 설치목적 등 통합관리에 관한 내용을 정보주체가 쉽게 알아볼 수 있도록 제45조제1항에 따른 안내판에 기재하여야 한다(표준지침 제43조 제3항). 2 인터넷 홈페이지 게재(영 제24조제2항) 영상정보처리기기의 운영 현황에 따라서는 안내판을 설치하는 것이 의미가 없 거나 정보주체가 알아볼 수 없는 상황이 있을 수 있다. 따라서 법에서는 1 공공기관이 원거리 촬영, 과속ㆍ신호위반 단속 또는 교통 흐름조사 등의 목적으로 영상정보처리기기를 설치하는 경우로서 개인정보침해의 우려가 적은 경우 또는 2 영상정보처리기기운영자가 산불감시용 영상정보처리 기기를 설치하는 경우 등 장소적 특성으로 인하여 안내판을 설치하는 것이 불가능 하거나 안내판을 설치하더라도 정보주체가 이를 쉽게 알아볼 수 없는 경우에는 안내판 설치를 갈음하여 영상정보처리기기운영자의 인터넷 홈페이지에 영 제24조 제1항 각 호의 사항을 게재할 수 있도록 하였다. 3 사업장 영업소 등 게재(영 제24조제3항) 소규모 사업자나 소상공인 등은 아예 인터넷 홈페이지가 없는 경우가 있을 수 있다. 이처럼 영상정보처리기기운영자가 인터넷 홈페이지에 게재사항을 게재할 수 없는 경우에는 1 영상정보처리기기운영자의 사업장ㆍ영업소ㆍ사무소ㆍ점포 등(이하 사업장등 이라 한다)의 보기 쉬운 장소에 게시하거나 2 관보(영상정보처리기기 운영자가 공공기관인 경우로 한정한다)나 영상정보처리기기운영자의 사업장등이 소재하는 특별시ㆍ광역시ㆍ도 또는 특별자치도(이하 시ㆍ도 라 한다) 이상의 지역을 주된 보급지역으로 하는 신문 등의 진흥에 관한 법률 제2조제1호ㆍ 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법으로 게재사항을 공개하여야 한다(영 제24조제2항).

177 4 안내판 설치의무 면제(영 제24조제4항) 국가안보 등 중대한 공익적 목적을 위해 설치 운영되는 영상정보처리기기에 대해 서는 안내판 설치가 오히려 그 목적달성에 장애가 될 수도 있다. 따라서 이러한 시설에 대해서는 안내판 설치의 면제가 필요하다. 즉 공공기관의 장이 1 군사기 지 및 군사시설 보호법 제2조제2호에 따른 군사시설, 2 통합방위법 제2조제13 호에 따른 국가중요시설, 3 보안업무규정 제36조에 따른 보안목표시설에 영상 정보처리기기를 설치할 때에는 안내판을 설치하지 아니할 수 있도록 하고 있다. 구 분 군사시설 국가중요시설 < 안내판 설치 의무 면제 시설 > 내 용 전투진지, 군사목적을 위한 장애물, 폭발물 관련 시설, 사격장, 훈련 장, 군용전기통신설비, 그 밖에 군사목적에 직접 공용( 供用 )되는 시설 국가중요시설 이란 공공기관, 공항 항만, 주요 산업시설 등 적에 의하여 점령 또는 파괴되거나 기능이 마비될 경우 국가안보와 국민생활에 심각한 영향을 주게 되는 시설을 말한다. 보안목표시설 국가안전보장에 연쇄적 혼란을 초래할 우려가 있는 시설 5. 영상정보처리기기 운영자의 의무(제5항~제8항) 가. 임의조작 및 녹음기능 사용 금지(제5항) 영상정보처리기기는 일정한 장소에 지속적으로 설치 운영되고 있으므로, 만일 음성 음향을 녹음하는 기능을 갖추고 있다면 본의 아니게 사람들간의 대화를 녹음하는 결과를 가져온다. 그러나 타인간의 대화를 청취 녹음하는 행위는 통신비밀보호법 에서 엄격히 금지하고 있으므로(제3조), 이 법에 따른 영상정보 처리기기는 녹음기능을 제한할 필요가 있다. 또한 운영자에 의한 임의조작을 가능하게 할 경우에도 역시 사생활 침해의 우려가 커진다. 따라서 이 법은 영상정보처리기기 운영자는 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비출 수 없도 록 하고, 녹음기능 역시 사용할 수 없도록 규정하고 있다(법 제25조제5항).

178 참고 통신비밀보호법 제3조 등 제3조(통신 및 대화비밀의 보호) 1누구든지 이 법과 형사소송법 또는 군사법원 법의 규정에 의하지 아니하고는 우편물의 검열 전기통신의 감청 또는 통신사 실확인자료의 제공을 하거나 공개되지 아니한 타인간의 대화를 녹음 또는 청 취하지 못한다. 제14조(타인의 대화비밀 침해금지) 1누구든지 공개되지 아니한 타인간의 대화 를 녹음하거나 전자장치 또는 기계적 수단을 이용하여 청취할 수 없다. 참고 관련 판례 음식점 내부에 감시용 카메라와 도청마이크 등을 설치하여 타인간의 대화를 녹음하려 시도하거나 청취한 사안에서, 위 음식점 내에서 이루어진 타인간의 대화는 통신비밀보호법 제3조 제1항의 공개되지 아니한 타인간의 대화 에 해 당함 (대법원 선고 2007도9053 판결) 나. 안전성 확보조치 의무(제6항) 영상정보처리기기운영자는 개인정보가 분실 도난 유출 변조 또는 훼손되지 아니하도록 제29조에 따라 안전성 확보에 필요한 조치를 하여야 한다. 참고 개인정보 보호법 제29조 제29조(안전조치의무) 개인정보처리자는 개인정보가 분실 도난 유출 변조 또는 훼 손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적 관리적 및 물리적 조치를 하여야 한다. 다만 개인영상정보는 비디오테이프나 메모리 등에 영상 파일로 생성 저장되므로 그 안전성 확보조치도 일반적인 개인정보와는 다르다. 이에 따라 표준지침에서는 다음과 같이 개인영상정보에 대한 안전성 확보조치를 별도로 규정하고 있다 (표준지침 제51조).

179 < 개인영상정보에 대한 안전성 확보 조치 > 개인영상정보의 안전한 처리를 위한 내부 관리계획의 수립 시행 개인영상정보에 대한 접근 통제 및 접근 권한의 제한 조치 개인영상정보를 안전하게 저장 전송할 수 있는 기술의 적용 (네트워크 카 메라의 경우 안전한 전송을 위한 암호화 조치, 개인영상정보파일에 대한 비밀번호 설정 등) 처리기록의 보관 및 위조 변조 방지를 위한 조치 (개인영상정보의 생성 일시, 열람할 경우에 열람 목적 열람자 열람 일시 등 기록 관리 조치 등) 개인영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치 다. 영상정보처리기기 운영 관리 방침 제정(제7항, 영 제25조) 영상정보처리기기 운영자는 다음 각 호의 사항이 포함된 영상정보처리기기 운영 ㆍ관리 방침을 마련하여야 한다. 시행령 제25조제1항 1. 영상정보처리기기의 설치 근거 및 설치 목적 2. 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위 3. 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람 4. 영상정보의 촬영 시간, 보관 기간, 보관 장소 및 처리 방법 5. 영상정보처리기기운영자의 영상정보 확인 방법 및 장소 6. 정보주체의 영상정보 열람 등 요구에 대한 조치 7. 영상정보의 보호를 위한 기술적ㆍ관리적ㆍ물리적 조치 8. 그 밖에 영상정보처리기기의 설치ㆍ운영 및 관리에 필요한 사항 영상정보처리기기 운영자가 영상정보처리기기 운영 관리 방침을 마련한 경우에는 법 제30조에 따른 개인정보 처리방침을 정하지 아니할 수 있다(법 제25조제7항). 또한 영상정보처리기기 설치 운영에 관한 사항을 법 제30조에 따른 개인정보 처 리방침에 포함하여 정할 수도 있다(표준지침 제40조제2항). 영상정보처리기기 운영자가 영상정보처리기기 운영ㆍ관리 방침을 정한 경우에는 이를 공개하여야 한다. 공개에 관하여는 시행령 제31조제2항 및 제3항(개인정보 처리방침의 공개방법)을 준용한다(영 제25조제2항). 즉, 영상정보처리기기 운영ㆍ 관리 방침은 원칙적으로 영상정보처리기기 운영자의 인터넷 홈페이지에 지속적으 로 게재해야 하며, 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어

180 느 하나 이상의 방법으로 영상정보처리기기 운영ㆍ관리 방침을 공개해야 한다. 1. 개인정보처리자의 사업장등의 보기 쉬운 장소에 게시하는 방법 2. 관보(개인정보처리자가 공공기관인 경우만 해당한다)나 개인정보처리자의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 신문 등의 진흥에 관한 법률 제2조제1호가목ㆍ다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법 3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소 식지ㆍ홍보지 또는 청구서 등에 지속적으로 싣는 방법 4. 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약 서 등에 실어 정보주체에게 발급하는 방법 라. 개인영상정보 관리책임자 지정 (표준지침 제41조) 영상정보처리기기운영자는 개인영상정보의 처리에 관한 업무를 총괄해서 책임 지는 개인영상정보 관리책임자를 지정하여야 한다. 관리책임자는 법 제31조에 따 른 개인정보 보호책임자에 준하여 업무를 수행한다. 다만, 법 제31조에 따른 개 인정보 보호책임자가 이미 지정되어 있는 경우에는 중복하여 책임자를 지정할 필요는 없으므로, 그 개인정보 보호책임자가 개인영상정보 관리책임자의 업무를 수행할 수 있다. 마. 개인영상정보 관리대장 작성 (표준지침 제46조, 제48조제5항 및 제6항, 제49조) 영상정보처리기기운영자는 개인영상정보를 수집목적 이외로 이용하거나 제3자에게 제공한 경우, 아래 사항을 기록 관리해야 한다(표준지침 제46조). <개인영상정보 목적외 이용 제3자 제공시 기록사항> 1. 개인영상정보 파일의 명칭 2. 이용하거나 제공받은 자(공공기관 또는 개인)의 명칭 3. 이용 또는 제공의 목적 4. 법령상 이용 또는 제공근거가 있는 경우 그 근거 5. 이용 또는 제공의 기간이 정하여져 있는 경우에는 그 기간 6. 이용 또는 제공의 형태 또한 영상정보처리기기 운영자가 개인영상정보를 파기하는 경우에도 다음 사 항을 기록하고 관리하여야 한다.

181 < 개인영상정보 파기시 기록사항 > 1. 파기하는 개인영상정보 파일의 명칭 2. 개인영상정보 파기일시 (사전에 파기 시기 등을 정한 자동 삭제의 경우에 는 파기 주기 및 자동 삭제 여부에 대한 확인 시기) 3. 개인영상정보 파기 담당자 또한 영상정보처리기기 운영자는 정보주체가 개인영상정보에 대한 열람등요구 또는 파기 요구를 한 경우에는 그에 대한 조치사항과 내용을 기록 관리하여야 한다 (표준지침 제48조제5항 및 제6항). <정보주체의 개인영상정보 열람등 요구시 기록사항> 1. 개인영상정보 열람 등을 요구한 정보주체의 성명 및 연락처 2. 정보주체가 열람 등을 요구한 개인영상정보 파일의 명칭 및 내용 3. 개인영상정보 열람 등의 목적 4. 개인영상정보 열람 등을 거부한 경우 그 거부의 구체적 사유 5. 정보주체에게 개인영상정보 사본을 제공한 경우 해당 영상정보의 내용과 제공한 사유 영상정보처리기기 운영자가 위의 사항을 기록 관리하는 경우에는 표준지침 별 지서식 제3호에 따른 개인영상정보 관리대장 양식을 활용할 수 있다. < 개인영상정보 관리대장 > 번호 구분 일시 파일명/ 목적/ 담당자 형태 사유 1 2 이용 제공 열람 파기 이용 제공 열람 파기 이용 제공 받는 제3자 /열람등 요구자 이용 제공 근거 이용 제공 형태 기간 3 이용 제공 열람 파기

182 바. 영상정보처리기기 설치 운영 사무의 위탁(제8항, 영 제26조) 영상정보처리기기의 설치 운영은 직접 하는 경우도 있지만, 상당수는 외부의 전문업체에 설치 운영을 위탁하는 형태로 이루어지고 있다. 이러한 운영 현실을 감안하여, 이 법은 영상정보처리기기 운영자는 영상정보처리기기의 설치 운영에 관한 사무를 위탁할 수 있도록 허용하고 있다(법 제25조제8항). 특히, 공공기관이 영상정보처리기기 설치 운영에 관한 사무를 위탁하는 경우 에는 다음 각 호의 내용이 포함된 문서로 하여야 하며, 안내판에 수탁자의 명칭 및 연락처를 게재하여야 한다(영 제26조). < 공공기관 영상정보처리기기 설치 운영 위탁시 문서 포함사항 > 1. 위탁하는 사무의 목적 및 범위 2. 재위탁 제한에 관한 사항 3. 영상정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 4. 영상정보의 관리현황 점검에 관한 사항 5. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항 다만, 민간기업 단체 개인이 영상정보처리기기 설치 운영에 관한 사무를 위탁 하는 경우에는 위탁방법 등에 관하여 특별한 제한을 두고 있지 않으므로, 결과적 으로는 이 법 제26조(업무위탁에 따른 개인정보의 처리 제한)의 규정이 적용된다. 사. 영상정보처리기기 설치 운영 점검(표준지침 제52조) 영상정보처리기기는 설치된 이후에도 그 설치목적에 맞게 운영되는지, 개인영 상정보의 침해 우려는 없는지 등을 지속적으로 점검하여 문제점을 보완할 필요 가 있다. 특히 공공기관은 공익목적 수행을 위해 다수의 영상정보처리기기를 운 영하고 있으므로 민간에 비해 더욱 엄격한 점검이 필요하다. 공공기관의 장이 영상정보처리기기를 설치 운영하는 경우에는 아래의 사항을 고 려하여 이 법 및 표준지침 준수 여부에 대한 자체점검을 실시하고, 다음 해 3월 31일까지 그 결과를 행정안전부 장관에게 통보하고 시행령 제34조제3항에 따른 시 스템(개인정보보호 종합지원 포털 시스템)에 등록하여야 한다. 또한 그 결과를 포 털시스템 홈페이지를 통해서 공개하여야 한다.

183 <공공기관 영상정보처리기기 점검시 고려사항> 1. 영상정보처리기기의 운영 관리 방침에 열거된 사항 2. 관리책임자의 업무 수행 현황 3. 영상정보처리기기의 설치 및 운영 현황 4. 개인영상정보 수집 및 이용 제공 파기 현황 5. 위탁 및 수탁자에 대한 관리 감독 현황 6. 정보주체의 권리행사에 대한 조치 현황 7. 기술적 관리적 물리적 조치 현황 8. 영상정보처리기 설치 운영의 필요성 지속 여부 등 공공기관 외의 영상정보처리기기 운영자는 영상정보처리기기 설치 운영 점검 이 의무화되어 있지는 않으나, 정보주체의 개인영상정보의 침해가 우려되는 경 우에는 자체점검 등 개인영상정보의 침해 방지를 위해 적극 노력하여야 한다. 6. 개인영상정보의 열람등 요구(표준지침 제48조) 일반적으로 영상정보처리기기를 통하여 촬영된 영상은 그 기기를 설치 운영하 는 자가 열람 활용하는 것이 일반적이지만, 경우에 따라서는 영상정보처리기기를 통해 촬영된 정보주체가 자신에 관한 영상정보를 활용하기를 원하는 경우도 있 을 수 있다. 예를 들어 공공시설에서 물건 도난이나 기타 범죄 행위를 겪은 당사 자가 그 범죄 수사 등을 위해 영상정보의 열람이나 존재확인을 요구하는 경우가 그것이다. 이에 따라 표준지침에서는 개인영상정보의 열람등 요구에 대한 규정을 두고 있다. 가. 개인영상정보 열람등 요구 정보주체는 영상정보처리기기 운영자가 처리하는 개인영상정보에 대하여 열람 또는 존재확인을 해당 영상정보처리기기 운영자에게 요구하는 경우가 있을 수 있다(예를 들어 자신의 물건의 도난을 확인하기 위하여 CCTV 촬영 화면을 열람 요구). 그러나 정보주체와 관련이 없는 개인영상정보에 대해서도 열람등을 허용 하면 그 영상에 촬영된 타인의 사생활 침해가 발생할 수도 있다. 따라서 열람등 을 요구할 수 있는 개인영상정보는 1) 정보주체 자신이 촬영된 개인영상정보 및 2) 명백히 정보주체의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 개인영상 정보에 한한다.

184 나. 영상정보처리기기운영자의 조치 영상정보처리기기운영자는 개인영상정보 열람등 요구를 받았을 때에는 지체없 이 필요한 조치를 취하여야 한다. 다만 이 경우에도 사생활 침해 방지 등을 위 해, 열람등 요구를 한 자가 본인이거나 정당한 대리인인지를 주민등록증 운전면 허증 여권 등의 신분증명서를 제출받아 확인하여야 한다. 영상정보처리기기운영자는 다음의 사유에 해당하는 경우에는 정보주체의 열람 등 요구를 거부할 수 있다. 이 경우 영상정보처리기기 운영자는 10일 이내에 서 면 등으로 거부 사유를 정보주체에게 통지하여야 한다. <개인영상정보 열람등 요구에 대한 거부 사유> 1. 범죄수사 공소유지 재판수행에 중대한 지장을 초래하는 경우(공공기관에 한함) 2. 개인영상정보의 보관기간이 경과하여 파기한 경우 3. 기타 정보주체의 열람 등 요구를 거부할 만한 정당한 사유가 존재하는 경우 7. 영상정보처리기기 설치ㆍ운영 지침의 제정 권장(영 제27조) 행정안전부장관은 법 및 이 영에서 정한 사항 외에 영상정보처리기기의 설치ㆍ 운영에 관한 기준, 설치ㆍ운영 사무의 위탁 등에 관하여 법 제12조제1항에 따른 표 준 개인정보 보호지침으로 정하여 영상정보처리기기운영자에게 그 준수를 권장할 수 있다. 8. 공개된 장소에 설치된 영상정보처리기기에 대한 법적용의 일부제외(법 제58조제2항) 앞서 설명한 바와 같이, 공개된 장소에 영상정보처리기기를 설치 운영하는 경 우에는 일반적 개인정보 보호원칙이 적용되기 곤란하므로 이 법 제25조에서 별 도의 규제를 두고 있다. 이에 따라서 이 법은 공개된 장소에 영상정보처리기기를 설치 운영하여 처리되는 개인정보에 대하여는 제15조(개인정보의 수집 이용), 제22조(동의를 받는 방법), 제27조제1항 제2항제27조(영업양도 등에 따른 개인정 보의 이전 제한), 제34조(개인정보 유출 통지 등) 및 제37조(개인정보의 처리정지 등)를 적용하지 아니하도록 규정하고 있다.

185 법률의 일부 적용제외(법 제58조제2항) 제15조(개인정보의 수집 이용) 정보주체에 대한 개인정보 수집 이용 고지 및 동의획득 의무 안내판 설치 등의 의무로 대체 제22조(동의를 받는 방법) 정보주체에게 각각의 동의사항을 구분하여 알리고 개별적으로 동의 공개된 장소에 설치된 영상정보처리기기는 불특정 다수 의 특성상 동의곤란 제27조(영업양도 등에 따른 개인정보의 이전 제한) 영업의 양도 합병시 통지 의무 불특정 다수의 특성상 통지곤란 제34조(개인정보 유출 통지 등) 개인정보 유출사고 발생시 정보주체에 대한 통지 및 관계기관에 대한 신고의무 불특정 다수의 특성상 통지곤란 제37조(개인정보의 처리정지 등) 개인정보처리자가 처리하고 있는 자신의 개인정보에 대한 처리정지 요구 특정 정보주체만 처리정지 불가 9. 벌칙규정 위반행위 설치 운영기준을 위반한 자 (제25조제1항 위반) 화장실, 목욕실 등에 설치 운영한 자 (제25조제2항 위반) 안내판 설치 등 조치의무 위반 (제25조제4항 위반) 부정한 목적으로 영상정보처리기기를 임의 조작하거나 다른 곳을 비추는 자, 녹음기능을 사용한 자 (제25조제5항 위반) 벌칙 3천만원 이하의 과태료 (제75조제2항제7호) 5천만원 이하의 과태료 (제75조제1항제3호) 1천만원 이하의 과태료 (제75조제3항제3호) 3년 이하의 징역 또는 3천만원 이하의 벌금 (제72조제1호) 12. 질의 응답 FAQ CCTV 촬영 화면을 공익 목적으로 공개할 수 있는가? 영상정보처리기기로 촬영된 화면을 공익 목적으로 일반 대중에게 공개 제공하는 경우가 있다. 예를 들어 교통정보 CCTV 화면, 관광지 유적지의 CCTV 화면을 일 반 시민에게 인터넷 스마트폰으로 제공하는 경우가 이에 해당한다. 이러한 경우는, 그 영상정보처리기기의 본래 설치 운영 목적이 법 제25조제1항각 호의 목적에 부합하고, 그 촬영영상이 교통정보나 관광지 등의 전경( 全景 )이 비추 어지는 정도에 그치고 개인을 구체적으로 식별할 수 있을 정도가 아니라면 이를 공익 목적으로 공개하는 것은 무방하다.

186 FAQ 안내판은 CCTV가 설치된 곳마다 설치해야 하는가? 공개된 장소에 설치된 CCTV마다 안내판을 설치하는 것이 원칙이나, 건물안에 다 수의 CCTV를 운영하는 경우 출입구 등 정보주체가 출입하면서 잘 볼 수 있는 곳 에 시설 또는 장소 전체가 영상정보 처리기기 설치지역임을 표시하는 안내판을 설 치할 수 있다. 또한, 공공기관이 원거리 촬영, 과속 신호위반 단속 또는 교통흐름 조사 등 목적 으로 설치하는 경우로 개인정보 침해 우려가 적은 경우에 해당하거나 산불감시용 등 장소적 특성으로 인하여 안내판을 설치하는 것이 불가능 하거나 설치하더라도 정보주체가 쉽게 알아볼 수 없는 경우에는 안내판 설치를 갈음하여 영상정보처리 기기운영자의 인터넷 홈페이지에 CCTV설치 목적 및 장소, 촬영범위 및 시간, 관 리책임자 및 연락처를 게재할 수 있다. (인터넷홈페이지를 운영하지 않는 경우에 는 사업장 등에 게시, 일반일간신문, 일반 주간신문 또는 인터넷 신문에 싣는 방법 가능) FAQ 안내판의 규격이나 재질에 대한 기준은 어떠한가? 안내판은 촬영범위 내에서 정보주체가 알아보기 쉬운 장소에 누구라도 용이하게 판 독될 수 있게 설치되면 되며, 그 범위 안에서는 영상정보처리기기 운영자가 안내판 크기, 설치위치 등을 자율적으로 정할 수 있다. <안내판 및 홈페이지 게재 내용 예시> CCTV 설치 안내 설치목적 : 범죄예방 장 소 : OO동 OO번지 촬영범위 : 100M 전방향 시 간 : 24시간 (종일) 관리책임자 : OO부 OO과 과장 연 락 처 : 02-OOO-OOOO

187 제26조 법률 시행령 업무위탁에 따른 개인정보의 처리 제한 제26조(업무위탁에 따른 개인정보의 처리 제한) 1 개인정보처리자가 제3 자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적 관리적 보호조치에 관한 사항 3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항 2 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 위탁자 라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받 아 처리하는 자(이하 수탁자 라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. 3 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자 를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다. 4 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실 도난 유출 변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대 통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다. 5 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다. 6 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자 의 소속 직원으로 본다. 7 수탁자에 관하여는 제15조부터 제25조까지, 제27조부터 제31조까지, 제 33조부터 제38조까지 및 제59조를 준용한다. 제28조(개인정보의 처리 업무 위탁 시 조치) 1 법 제26조제1항제3호에서 대통령령으로 정한 사항 이란 다음 각 호의 사항을 말한다. 1. 위탁업무의 목적 및 범위 2. 재위탁 제한에 관한 사항 3. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 4. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독 에 관한 사항 5. 법 제26조제2항에 따른 수탁자(이하 수탁자 라 한다)가 준수하여야 할 의무 를 위반한 경우의 손해배상 등 책임에 관한 사항 2 법 제26조제2항에서 대통령령으로 정하는 방법 이란 개인정보 처리 업 무를 위탁하는 개인정보처리자(이하 위탁자 라 한다)가 위탁자의 인터넷 홈페 이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재하는 방법을 말한다. 3 제2항에 따라 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 위탁하는 업무의 내용과 수탁자를 공개하여야 한다.

188 1. 위탁자의 사업장등의 보기 쉬운 장소에 게시하는 방법 2. 관보(위탁자가 공공기관인 경우만 해당한다)나 위탁자의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 신문 등의 진흥에 관한 법률 제2조제1호가목ㆍ다목 및 같은 조 제2호에 따른 일반일간신문, 일 반주간신문 또는 인터넷신문에 싣는 방법 3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식지 ㆍ홍보지 또는 청구서 등에 지속적으로 싣는 방법 4. 재화나 용역을 제공하기 위하여 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법 4 법 제26조제3항 전단에서 대통령령으로 정하는 방법 이란 서면, 전자우 편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법(이하 서면등의 방법 이 라 한다)을 말한다. 5 위탁자가 과실 없이 제4항에 따른 방법으로 위탁하는 업무의 내용과 수 탁자를 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지 에 30일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 위탁자의 경우에는 사업장등의 보기 쉬운 장소에 30일 이상 게시하여야 한다. 6 위탁자는 수탁자가 개인정보 처리 업무를 수행하는 경우에 법 또는 이 영 에 따라 개인정보처리자가 준수하여야 할 사항과 법 제26조제1항 각 호의 사 항을 준수하는지를 같은 조 제4항에 따라 감독하여야 한다. 제 26 조 제19조(수탁자의 선정 시 고려사항) 1 개인정보의 처리 업무를 위탁하는 개인정 보처리자(이하 위탁자 라 한다)가 개인정보 처리 업무를 위탁받아 처리하는 자(이하 수탁자 라 한다)를 선정할 때에는 인력과 물적 시설, 재정 부담능력, 기술 보유의 정도, 책임능력 등을 종합적으로 고려하여야 한다. 2 개인정보처리자가 개인정보의 처리 업무를 위탁하는 때에는 수탁자의 처리 업무의 지연, 처리 업무와 관련 없는 불필요한 개인정보의 요구, 처리기준의 불공정 등의 문제점을 종합적으로 검토하여 이를 방지하기 위하여 필요한 조치를 표준지침 마련하여야 한다. 제20조(개인정보 보호 조치의무) 수탁자는 위탁받은 개인정보를 보호하기 위하 여 개인정보의 안전성 확보조치 기준 고시 에 따른 관리적 기술적 물리적 조치를 한다. 제21조(정보주체와 재위탁의 관계) 1 정보주체는 수탁자로부터 개인정보 처리 업무를 재위탁 받아 처리하는 자(이하 재수탁자 라 한다)가 재위탁 받은 개인정 보 처리 업무를 수행하면서 발생하는 손해에 대한 배상을 청구할 수 있다. 2 개인정보 처리 업무의 재위탁에 대해서는 법 제26조를 준용한다. 최근 비용절감, 업무효율화, 서비스 개선 등 다양한 목적으로 민간기업은 물론 공공기관들 조차 각종 업무를 외부 기업이나 개인에게 위탁하는 사례가 증가하 고 있다. 업무위탁은 현대사회의 분업화에 따라 나타난 자연스런 경영방식의 하나 이나 대부분 고객의 개인정보도 함께 이전하게 되어 개인정보가 전전유통되거나 남용될 위험이 크므로 이에 대한 대책이 필요하다.

189 < 업무위탁으로 인한 개인정보 침해유형 > 판매실적 증대를 위한 무분별한 재위탁 등 개인정보의 전전제공 다른 회사의 상품 서비스를 동시 취급하면서 개인정보를 공유 고객 개인정보를 이용하여 부가서비스 등 다른 서비스에 무단 가입 서비스가입신청서 등 개인정보의 분실 유출 고객DB를 빼내어 판매 정보시스템 안전조치 미비로 인한 개인정보 유출 등 1. 업무위탁의 유형 업무위탁의 유형은 크게 개인정보의 수집 관리 업무 그 자체를 위탁하는 개 인정보처리업무 위탁과 개인정보의 이용 제공이 수반되는 일반업무를 위탁하는 개인정보취급업무 위탁으로 구분될 수 있다. 또한 개인정보취급업무 위탁은 다시 홍보 판매권유 등 마케팅업무의 위탁과 상품배달 애프터서비스 등 계약이행업무의 위탁으로 구분할 수도 있다. 2. 업무위탁과 제3자제공의 차이 업무위탁과 개인정보 제3자 제공 모두 개인정보가 다른 사람에게 이전하거나 다 른 사람과 공동으로 이용하게 된다는 측면에서는 동일하지만 개인정보 이전의 목적 이 전혀 다르고 이전된 개인정보에 대한 관리 감독 등 법률적 관계도 전혀 다르다. 업무위탁의 경우에는 개인정보처리자의 업무처리 범위 내에서 개인정보 처리가 행해지고 위탁자인 개인정보처리자의 관리 감독을 받지만, 제3자 제공은 제3자 의 이익을 위해서 개인정보 처리가 행해지고 제3자가 자신의 책임 하에 개인정 보를 처리하게 된다. 따라서 업무위탁의 경우에는 수탁자에게 개인정보가 이전되더라도 개인정보에 대한 개인정보처리자의 관리 감독권이 미치지만, 제3자 제공의 경우에는 일단 개인정보가 제3자에게 제공되고 나면 개인정보처리자의 관리 감독권이 미치지 못한다.

190 < 업무위탁과 제3자 제공의 비교 > 구분 업무위탁 제3자 제공 관련조항 제26조 제17조 예시 배송업무 위탁, TM 위탁 등 사업제휴, 개인정보 판매 등 위탁자의 이익을 위해 처리(수 이전목적 탁업무 처리) 제3자의 이익을 위해 처리 예측 가능성 정보주체가 사전 예측 가능 (정보주체의 신뢰 범위내) 정보주체가 사전 예측 곤란 (정보주체의 신뢰 범위밖) 이전 방법 관리 감독 책임 손해배상 책임 원칙 : 위탁사실 공개 예외 : 위탁사실 고지 (마케팅 업무위탁) 위탁자 책임 위탁자 부담(사용자 책임) 원칙 : 제공목적 등 고지후 정 보주체 동의 획득 제공받는 자 책임 제공받는 자 부담 3. 업무위탁의 절차 방법 가. 위탁목적 등의 문서화(제1항, 영 제28조제1항) 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적 관리적 보호조치에 관한 사항 3. 위탁업무의 목적 및 범위 4. 재위탁 제한에 관한 사항 5. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 6. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항 7. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등에 관한 사항 나. 일반 위탁업무 내용 등의 공개(제2항, 영 제28조제2항, 제3항) 개인정보 처리 업무를 위탁하는 개인정보처리자(위탁자)는 1 위탁하는 업무의 내용과 2 개인정보 처리 업무를 위탁받아 처리하는 자(수탁자)를 정보주체가 언

191 제든지 쉽게 확인할 수 있도록 자신의 인터넷 홈페이지에 지속적으로 게재하는 방법으로 공개하여야 한다(영 제28조제2항2항). 위탁자가 위탁업무의 내용, 수탁자의 이름 등을 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 공개하여야 한다(영 제 28조제2항2항). 위탁업무 등의 공개방법 (시행령 제28조제3항) 1. 위탁자의 사업장등의 보기 쉬운 장소에 게시하는 방법 2. 관보(위탁자가 공공기관인 경우로 한정한다)나 위탁자의 사업장등이 소재하는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 신문 등의 진흥에 관한 법 률 제2조제1호ㆍ제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣는 방법 3. 동일한 제호로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식지 ㆍ홍보지ㆍ청구서 등에 지속적으로 싣는 방법 4. 재화 또는 용역을 제공하기 위한 위탁자와 정보주체가 작성한 계약서 등에 실 어 정보주체에게 발급하는 방법 다. 홍보, 판매권유 등 위탁업무 내용 등의 통지(제3항, 영 제28조제4항, 제5항) 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 모사전송, 전화, 문자전송 또는 이에 상당하는 방법으 로 1 위탁하는 업무의 내용과 2 수탁자를 정보주체에게 알려야 한다(영 제28조 제4항). 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다. 위탁자가 과실 없이 서면, 전자우편 등의 방법으로 위탁하는 업무의 내용과 수 탁자를 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30 일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 않는 위탁자의 경우 에는 사업장등의 보기 쉬운 장소에 30일 이상 게시하여야 한다(영 제28조제5항). 라. 수탁자 선정시 고려사항 개인정보처리자가 개인정보 처리 업무 수탁자를 선정할 때에는 수탁자의 1 인력, 2물적 시설, 3재정 부담능력, 4기술보유정도, 5책임능력 과 그 밖에 수탁자의 개인정보의 안전한 처리 및 처리를 위탁받은 개인정보의 보호와 관계 되는 사항을 종합적으로 고려하여 선정하여야 한다(표준지침 제19조제1항).

192 또한, 개인정보처리자가 개인정보 처리 업무를 위탁하는 때에는 위탁하는 개인 정보의 안전한 처리와 보호를 위하여 수탁자로부터 야기될 수 있는 1수탁자 의 처리업무의 지연, 2처리 업무와 관련 없는 불필요한 개인정보의 요구, 3처 리기준의 불공정 등의 문제점을 종합적으로 검토하여야 한다. 또한 개인정보 처리 업무를 위탁하려는 개인정보처리자는 검토한 문제점이 발 생하지 않도록 하기 위하여 필요한 조치를 마련하여야 한다(표준지침 제19조제2 항). 4. 위탁자의 책임과 의무 가. 수탁자에 대한 교육 및 감독(제4항, 영 제28조제6항) 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실 도난 유출 변 조 또는 훼손되지 아니하도록 수탁자를 교육하고, 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다(제4항). 또한 위탁자는 수탁자가 이 법 또는 영에 따라 개인정보처리자가 준수하여야 할 사 항 및 위 수탁 계약(법 제26조제1항 각 호에 따른 사항)의 내용에 따라 준수하여야 할 사항의 준수 여부를 확인ㆍ점검하여야 한다(영 제28조제6항). 따라서 위탁자는 수탁자에 대하여 정기적인 교육을 실시하는 외에 수탁자의 개인정보처리 현황 및 실태, 목적외 이용 제공, 재위탁 여부, 안전성 확보조치 여 부 등을 정기적으로 조사 점검하여야 한다. 나. 수탁자의 불법행위로 인한 손해배상책임(제6항) 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하 여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다. 손해배상책임에 있어서 수탁자를 개인정보처리자의 소속직원으로 본다는 것은 개인정보처리자가 수탁자의 사용자로 간주된다는 것인 바 개인정보처리자는 수 탁자가 발생시킨 손해에 대하여 민법상의 사용자책임(대위책임)을 부담한다. 민법 제756조의 사용자책임은 부진정 연대채무 이므로 손해를 입은 정 보주체는 수탁자와 개인정보처리자 중 선택하여 손해배상청구를 할 수 있다. 즉 위탁자가 수탁자를 대위하여 사용자책임을 지더라도 수탁자에 대해서도 독립해 서 불법행위가 성립하므로 수탁자 자신도 손해배상책임을 진다. 이 때 위탁자가 지는 손해배생책임은 민법 제756조에 의한 사용자책임이고, 수탁자가 지는 손해배 상책임은 민법 제750조에 의한 불법행위책임이다. 위탁자가 정보주체에 대해서 지

193 는 손해배상책임은 수탁자의 선임 감독에 대한 책임이고 수탁자의 가해행위에 관 한 것이 아니다. 위탁자와 수탁자와의 관계에 있어서 수탁자의 과실로 손해가 발 생했더라도 위탁자가 수탁자의 선임 및 감독에 대하여 상당한 주의를 다한 때 또는 상당한 주의를 했더라도 손해가 발생했을 경우에는 위탁자의 손해배상책임 은 발생하지 아니한다. 그러나 이에 대한 입증책임은 위탁자가 부담한다. 만약 위탁자가 수탁자의 과실로 인하여 정보주체에게 손해배상을 한 때에는 수탁자에게 구상권을 행사할 수 있다. 참고 부진정 연대채무 부진정 연대채무란 연대채무자들의 의사와 관계없이 우연히 발생한 연대채무를 말한다. 여러 명의 채무자가 동일한 내용의 채무에 관해 각각 독립해서 그 전부 의 급부를 이행할 의무를 부담하기로 하고 그 중 한 사람 또는 여러 사람이 급 부를 하면 모든 채무자의 채무가 소멸하는 점은 연대채무와 같다. 그러나 채무 자 사이에 주관적 관련성이 없으므로 그중 한 사람에 대해 생긴 사유는 변제 등 채권의 목적을 달성하는 사유 이외에는 다른 채무자에게 영향을 미치지 않 는다. 예를 들어, 택시 운전자가 사고를 낸 경우에 그 운전자는 불법행위자로서 당연히 책임이 있으며 택시회사는 사용자로서 책임을 지게 된다. 이 때 택시회 사는 본인의 의사와 관계없이 우연히 택시운전자와 연대책임 관계에 있게 되는 데 이를 부진정 연대채무라 한다. 이 경우 피해자가 사고를 낸 운전자에 대해 손해배상에 관한 권리를 포기하거나 채무를 면제할 의사표시를 했다고 하더라 도 다른 채무자인 택시회사에 대해서는 그 면책의 효력이 미치지 않는다. 즉 피 해자는 운전자와 택시회사를 상대로 각각 손해배상을 청구할 수도 있고 택시회 사만을 상대로 손해배상을 청구할 수도 있는 것이다. 수탁자로부터 개인정보 처리업무를 재위탁받아 처리하는 과정에서 손해가 발 생한 경우, 정보주체는 재위탁자에게 그 배상을 청구할 수 있다. 재수탁자는 재 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하 여서는 아니 되고, 재수탁자가 재위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 개인정보 보호법 을 위반하여 발생한 손해배상책임에 대하여는 재 수탁자를 재위탁자의 소속 직원으로 보기 때문이다(표준지침 제21조). 예를 들어 A회사가 고객정보 관리업무를 B회사에게 위탁을 하고(재위탁 금지에 관한 규정 이 없는 경우), B회사는 위탁된 고객정보 관리업무를 C회사에게 다시 재위탁하는 경우, C회사의 관리업무상 과실로 인해 정보주체가 손해를 입은 경우, C회사는 B 회사의 직원이므로 정보주체는 B회사에게 손해배상을 청구할 수 있다. 한편 B회 사 역시 A회사의 직원이므로 궁극적으로는 A회사가 손해배상 책임져야 한다.

194 5. 수탁자의 의무(제5항, 제7항) 가. 수탁업무 목적 외 개인정보 이용 제공 금지(제5항) 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정 보를 이용하거나 제3자에게 제공하여서는 아니 된다. 나. 개인정보처리자의 의무 등 준용(제7항) 수탁자에 대해서는 이 법 제15조부터 제25조까지, 제27조부터 제31조까지, 제 33조부터 제38조까지 및 제59조의 규정을 준용한다. 수탁자도 이 법의 적용대상 인 개인정보처리자에 해당되나 수탁자의 법규 준수의무를 명확히 하기 위하여 별도의 조문으로 관련 규정이 준용됨을 명시한 것이다. 개인정보 처리 업무를 위탁받아 처리하는 수탁자는 개인정보를 보호하기 위하 여 개인정보의 안전성 확보조치 기준 고시 (이하 안전성 확보조치 기준 고 시 라 한다.)가 정하고 있는 기술적 물리적 관리적 조치를 하여야 한다(표준지 침 제20조). 예시 수탁자의 개인정보 목적외 이용 제공 A텔레마케팅 업체가 B 社 로부터 B 社 의 신규 상품 홍보대행의 목적으로 이용자 의 개인정보를 제공받았으나, 이를 C 社 의 상품을 홍보하기 위해 이용하였거나 C 社 에게 이용자의 개인정보를 제공하였다면 이는 업무 목적외 이용 제공에 해 당한다. 이 경우 B 社 (위탁자)는 A(수탁자)의 목적외 이용으로 피해를 본 정보주 체에 대하여 사용자로서의 책임을 지게 된다. 6. 다른 법률과의 관계 정보통신망법 은 이용자의 개인정보 처리에 관한 위탁에 대하여 적용된다. 정보통신망법 은 개인정보 취급 위탁에 관하여 정보주체의 동의를 얻도록 하 고 있으나, 개인정보 보호법 은 마케팅 등 업무 위탁이 아닌 일반적인 위탁의 경우 위탁사실을 공개하도록 하고 있다. 따라서 정보통신서비스 제공자가 정보통 신서비스 이용자의 개인정보 관련 사무를 위탁할 때에는 정보통신망법 에 따 른 동의를 얻어야 한다. 정보통신서비스 이용자 이외의 개인정보 처리 위탁에 관 하여는 개인정보 보호법 이 적용된다. 신용정보이용 제공자는 신용정보법 상 신용정보회사 등이 그 업무 범위에서

195 다른 신용정보회사 등에 신용정보의 수집 조사를 위탁할 수 있도록 하는 규정이 있으나, 위탁업무와 관련하여 구체적인 의무사항이 없으므로, 개인정보 보호 법 에 따라 문서에 의한 위탁 등 관련 규정을 준수하여야 한다. 제25조(개인정보의 취급위탁) 1 정보통신서비스 제공자와 그로부터 제 24조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 정보통 신서비스 제공자등 이라 한다)는 제3자에게 이용자의 개인정보를 수 집 보관 처리 이용 제공 관리 파기 등(이하 취급 이라 한다)을 할 수 있도록 업무를 위탁(이하 개인정보 취급위탁 이라 한다)하는 경우에 는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. 1. 개인정보 취급위탁을 받는 자(이하 수탁자 라 한다) 2. 개인정보 취급위탁을 하는 업무의 내용 2 정보통신서비스 제공자등은 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 경우로서 제1항 각 호의 사항 모두를 제27조 의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 정보통신망법 따라 이용자에게 알린 경우에는 개인정보 취급위탁에 따른 제1항의 고 지절차와 동의절차를 거치지 아니할 수 있다. 제1항 각 호의 어느 하 나의 사항이 변경되는 경우에도 또한 같다. 제25조(개인정보의 취급위탁) 4 정보통신서비스 제공자등은 수탁자가 이 장의 규정을 위반하지 아니하도록 관리 감독하여야 한다. 제25조(개인정보의 취급위탁) 3 정보통신서비스 제공자등은 개인정보 취급위탁을 하는 경우에는 수탁자가 이용자의 개인정보를 취급할 수 있는 목적을 미리 정하여야 하며, 수탁자는 이 목적을 벗어나서 이용 자의 개인정보를 취급하여서는 아니 된다. 제25조(개인정보의 취급위탁) 5 수탁자가 개인정보 취급위탁을 받은 업무와 관련하여 이 장의 규정을 위반하여 이용자에게 손해를 발생시 키면 그 수탁자를 손해배상책임에 있어서 정보통신서비스 제공자등의 소속 직원으로 본다. 신용정보법 제17조(수집 조사 및 처리의 위탁) 1 신용정보회사등은 그 업무 범위에 서 의뢰인의 동의를 받아 다른 신용정보회사등에 신용정보의 수집 조 사를 위탁할 수 있다. 2 신용정보회사등은 수집된 신용정보의 처리를 일정한 금액 이상의 자본금 등 대통령령으로 정하는 일정한 요건을 갖춘 자에게 위탁할 수 있으며 위탁받은 업무의 처리에 관하여는 제19조부터 제21조까지, 제40조, 제43조 및 제45조(해당 조문에 대한 벌칙 및 과태료규정을 포 함한다)를 적용한다. 3 제2항에 따라 신용정보의 처리를 위탁하려는 신용정보회사등으로 서 대통령령으로 정하는 자는 제공하는 신용정보의 범위 등을 대통

196 령령으로 정하는 바에 따라 금융위원회에 알려야 한다. 제17조(수집 조사 및 처리의 위탁) 3 제2항에 따라 신용정보의 처리를 위탁하려는 신용정보회사등으로서 대통령령으로 정하는 자는 제공하 는 신용정보의 범위 등을 대통령령으로 정하는 바에 따라 금융위원회 에 알려야 한다. 8. 벌칙규정 위반행위 업무 위탁시 같은 항 각 호의 내용이 포함된 문서에 의하지 아니한 자 업무위탁에 따른 개인정보 처리사실을 공개하지 아니한 자 (제26조제2항 위반) 업무위탁에 따른 개인정보 제공을 알리지 아니한 자 (제26조제3항 위반) 벌칙 1천만원 이하의 과태료 (제75조제3항제4호) 1천만원 이하의 과태료 (제75조제3항제5호) 3천만원 이하의 과태료 (제75조제2항제1호) 9. 질의 응답 FAQ 여행사를 운영하면서 예약확인 및 고객 상담업무를 전문 콜센터에서 처리하고 있는데, 고객 대상 이벤트와 여행상 품 홍보 업무도 해당 콜센터에서 모두 진행하려고 한다. 법률상 문제가 없는지? 본래의 서비스 이행을 위한 취급위탁 업무가 아닌 별도의 이벤트, 홍보 등의 업무 를 위탁하기 위해서는 그 위탁하는 업무의 내용과 수탁자를 정보주체에게 통지하 여야 한다. FAQ 병원과 의료정보 전달시스템 관리업체 간에 환자의 정보를 공유하는 것도 취급위탁에 따른 동의를 받아야 하는가 의료법 등에 따른 전자처방전, 전자의무기록 등의 공유 제공을 위해 관리업체를 활용하는 것은 서비스 제공에 관한 계약을 이행하기 위해 필요한 개인정보 취급위 탁 에 해당하므로 별도의 동의획득 없이 정보주체에 대하여 공개하여야 하며 위탁 업무 중 홍보 판매 업무가 포함되어 있는 경우 정보주체에게 통지하여야 한다.

197 FAQ 대리점 직원(수탁자)이 고객의 개인정보를 부정 이용해 고객에게 피해를 입혔다면, 대리점 직원의 행위에 대해 본사(위탁자)도 책임이 있는가 위탁자(본사)는 수탁자(대리점)에 대해 법률의 개인정보보호 규정을 준수하도록 관 리 감독할 의무가 있으며, 수탁자가 법령을 위반해 정보주체에게 손해를 발생시킨 경우에는 위탁자가 이에 대한 책임을 지도록 하고 있다. 따라서 대리점 직원의 행 위에 대해서는 본사가 손해배상 책임을 부담한다.

198 제27조 영업양도 등에 따른 개인정보의 이전 제한 법률 시행령 제27조(영업양도 등에 따른 개인정보의 이전 제한) 1 개인정보처리자는 영업의 전부 또는 일부의 양도 합병 등으로 개인정보를 다른 사람에게 이 전하는 경우에는 미리 다음 각 호의 사항을 대통령령으로 정하는 방법에 따라 해당 정보주체에게 알려야 한다. 1. 개인정보를 이전하려는 사실 2. 개인정보를 이전받는 자(이하 영업양수자등 이라 한다)의 성명(법인의 경우에는 법인의 명칭을 말한다), 주소, 전화번호 및 그 밖의 연락처 3. 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차 2 영업양수자등은 개인정보를 이전받았을 때에 는 지체 없이 그 사실을 대통령령 으로 정하는 방법에 따라 정보주체에게 알려야 한다. 다만, 개인정보처리자가 제1 항에 따라 그 이전 사실을 이미 알린 경우에는 그러하지 아니하다. 3 영업양수자등은 영업의 양도 합병 등으로 개인정보를 이전받은 경우에 는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공할 수 있다. 이 경우 영업양수자등은 개인정보처리자로 본다. 제29조(영업양도 등에 따른 개인정보 이전의 통지) 1 법 제27조제1항 각 호 외의 부분과 같은 조 제2항 본문에서 대통령령으로 정하는 방법 이란 서면등의 방법을 말한다. 2 법 제27조제1항에 따라 개인정보를 이전하려는 자(이하 이 항에서 영업양도자등 이라 한다)가 과실 없이 제1항에 따른 방법으로 법 제27 조제1항 각 호의 사항을 정보주체에게 알릴 수 없는 경우에는 해당 사항 을 인터넷 홈페이지에 30일 이상 게재하여야 한다. 다만, 인터넷 홈페이 지를 운영하지 아니하는 영업양도자등의 경우에는 사업장등의 보기 쉬운 장소에 30일 이상 게시하여야 한다. 제 27 조 영업양도, 합병 등으로 영업자산을 다른 사업자에게 이전할 때에는 기존 사업 자가 가지고 있던 개인정보DB 등에 관한 권리 의무도 포괄적으로 다른 사업자에 게 승계된다. 그 결과 정보주체에게 원치 않는 결과가 초래될 수 있으므로 영업 양도, 합병 등으로 인한 개인정보의 이전 시에는 정보주체가 회원탈퇴, 동의철회 등의 권리를 행사할 수 있는 기회를 미리 부여하여야 한다. 이 때의 영업양도, 합병 등은 민간사업자를 대상으로 한다. 1. 영업양도 양수자 등의 통지의무(제1항, 제2항) 가. 영업양도자 등의 통지의무(제1항) 개인정보처리자는 영업의 전부 또는 일부의 양도 합병 등으로 개인정보를 다른

199 사람에게 이전하는 경우에는 미리 해당 정보주체에게 그 사실을 알려야 한다(제1항, 영 제29조제1항). 개인정보 이전에 대하여 정보주체의 동의를 받지 않는 대신 정보 주체가 개인정보 이전에 대하여 거부할 수 있는 기회를 갖도록 하기 위한 것이다. 나. 영업양수자 등의 통지의무(제2항) 영업양수자등은 개인정보를 이전받았을 때에는 지체 없이 그 사실을 정보주체 에게 알려야 한다. 다만, 개인정보처리자가 정보주체에게 그 이전 사실을 이미 알린 경우에는 그러하지 아니하다. 영업양도자등이 개인정보의 이전사실을 통지하지 아니한 경우 영업양수자등이 대신해서 통지하여 정보주체가 그 사실을 알고 필요한 조치를 취할 수 있도록 하기 위한 것이다. 2. 영업양도 양수 등의 통지방법(제1항, 제2항, 영 제29조) 영업양도자등 또는 영업양수자등이 영업양도 양수 등의 사실을 정보주체에게 통지할 때에는 다음 각 호의 사항을 서면 등의 방법으로 해당 정보주체에게 알 려야 한다(제1항 각호, 영 제29조제1항). 서면 등의 방법이란 우편, 전자우편, 팩스, 전화, 인편 등과 같은 개별적 통지 방법을 의미하며, 인터넷 홈페이지 게시와 같은 방법은 원칙적으로 허용되지 않 는다. 영업양도 시 통지사항 (법 제27조제1항) 1. 개인정보를 이전하려는 사실 2. 개인정보를 이전받는 자(영업양수자등)의 성명(법인의 경우에는 법인의 명 칭을 말한다), 주소, 전화번호 및 그 밖의 연락처 3. 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방 법 및 절차 영업양도자등이 과실 없이 서면 등의 방법으로 법 제27조제1항 각 호의 사항 을 정보주체에게 알릴 수 없는 경우에는 해당 사항을 인터넷 홈페이지에 30일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 않는 영업양도자등의 경우에는 사업장등의 보기 쉬운 장소에 30일 이상 게시하여야 한다(제1항 각호, 영 제29조제1항).

200 3. 영업양도 양수 등의 통지시기(제1항, 제2항) 영업양도자등이 정보주체에게 개인정보의 이전 사실 등을 통지할 때에는 개인 정보를 이전하기 전에 미리 통지하여야 한다. 법문( 法文 )상으로는 이전하기 전에 미리 통지하기면 하면 되지만 최소한 정보주체가 이전 사실을 확인하고 회원탈 퇴 등의 권리를 행사할 수 있는 시간적 여유는 주어야 할 것이다. 업양수자등이 정보주체에게 개인정보의 이전사실 등을 통지할 때에는 개인정 보를 이전받은 후 지체 없이 통지하여야 한다. 4. 개인정보의 목적외 이용 제공금지(제3항) 영업양수자등은 영업의 양도 합병 등으로 개인정보를 이전받은 경우에는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공할 수 있다. 이 경우 영업양수자등은 개인정보처리자로 본다. 개인정보처리자로 본다 는 것은 이 법에 의한 개인정보처리자로서의 권리의 무를 진다는 것을 의미한다. 영업양수자등도 개인정보를 이전받은 순간 이 법의 적용대상인 개인정보처리자에 해당되나 영업양수자등의 법규 준수의무를 명확히 하기 위하여 별도의 조문으로 이를 확인한 것이다. 따라서 영업양수자등이 영업양수 합병 당시의 개인정보 처리 목적과 다른 용도 로 개인정보를 이용 제공하고자 한다면 개인정보의 목적외 이용 제공에 관한 규정 (제18조)에 따라 정보주체의 별도 동의를 받거나 다른 요건을 충족하여야 한다. 5. 회사의 분할 및 분할합병에의 적용 여부 본조는 영업의 전부 또는 일부의 양도 합병 등 으로 규정되어 있으므로 상 법 제530조의2에 의한 회사의 분할 및 분할합병의 경우에도 적용된다고 해석 해야 할 것이다. 회사분할이란 하나의 회사를 둘 이상의 회사로 분할하고 분할된 영업재산을 자본으로 하여 회사를 신설하거나 다른 회사와 합병시키는 것이다. 본래의 회사 (분할회사)는 소멸하거나 줄어든 상태로 존속하게 되고, 분할회사의 권리의무를 승계한 분할 신설회사(또는 분할 합병회사)의 주식은 분할회사가 취득하거나 분 할회사의 주주들이 일정비율대로 나눠 갖는다.

201 6. 다른 법률과의 관계 영업의 양수 등에 관하여 정보통신망법 에 개별 규정이 있으므로 정보통신 서비스제공자등은 영업의 양수 등으로 이용자 개인정보를 이전하는 경우 정보 통신망법 에 따른다. 정보통신망법 제26조(영업의 양수 등에 따른 개인정보의 이전) 1 정보통신서비스 제공자등이 영업의 전부 또는 일부의 양도 합병 등으로 그 이용자의 개인정보를 타인에 게 이전하는 경우에는 미리 다음 각 호의 사항 모두를 인터넷 홈페이지 게 시, 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알려야 한다. 1. 개인정보를 이전하려는 사실 2. 개인정보를 이전받는 자(이하 영업양수자등 이라 한다)의 성명(법인의 경 우에는 법인의 명칭을 말한다. 이하 이 조에서 같다) 주소 전화번호 및 그 밖의 연락처 3. 이용자가 개인정보의 이전을 원하지 아니하는 경우 그 동의를 철회할 수 있는 방법과 절차 제26조(영업의 양수 등에 따른 개인정보의 이전) 2 영업양수자등은 개인정보를 이전받으면 지체 없이 그 사실을 인터넷 홈페이지 게시, 전자우편 등 대통령 령으로 정하는 방법에 따라 이용자에게 알려야 한다. 다만, 정보통신서비스 제공자등이 제1항에 따라 그 이전사실을 이미 알린 경우에는 그러하지 아니 하다. 제26조(영업의 양수 등에 따른 개인정보의 이전) 3 영업양수자등은 정보통신서 비스 제공자등이 이용자의 개인정보를 이용하거나 제공할 수 있는 당초 목적 의 범위에서만 개인정보를 이용하거나 제공할 수 있다. 다만, 이용자로부터 별도의 동의를 받은 경우에는 그러하지 아니하다. 신용정보법 에는 영업의 양수 등에 관하여 별도의 규정을 두고 있지 않으므 로, 이에 관하여 신용정보이용 제공자 등은 개인정보 보호법 에 따른다. 7. 벌칙규정 위반행위 영업양도 등에 따른 개인정보 이전사실 미통지 (제27조제1항 및 제2항 위반) 이전 당시의 본래 목적외로 개인정보를 이용하거나 제3자에게 제공 (제27조제3항 위반) 벌칙 1천만원 이하의 과태료 (제75조제3항제6호) 5년이하의 징역 또는 5천만원 이하의 벌금 (제71조제2호)

202 8. 질의 응답 FAQ 다른 사업자와 영업을 합병하게 되어서 고객을 대상으로 통지를 하려고 하는데, 우리 회사 및 합병 회사가 모두 다 통지를 해야 하는가? 영업 양도, 합병 등으로 개인정보를 이전하는 경우에는 원칙적으로는 개인정보를 이전하는 자 및 이전받는 자 모두가 개인정보 이전 사실, 이전받는 자의 성명(명 칭) 주소 전화번호 등 연락처, 이용자가 개인정보 이전을 원하지 않는 경우 동의 철회 방법 절차 를 이용자에게 알려야 한다. 다만, 경제현실상 양도자와 양수자 모두가 이를 통지하게 되면 비용상의 부담 및 정보주체의 혼란을 야기할 우려도 있으므로, 개인정보 보호법 은 개인정보를 이전하는 자(사업자)가 관련 사실을 알린 경우에는 이전받는 자(영업양수자 등)는 알리지 않아도 되도록 규정하고 있다.

203 제28조 개인정보취급자에 대한 감독 법률 표준지침 제28조(개인정보취급자에 대한 감독) 1 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견 근로자, 시간제근로자 등 개인정보처리자의 지휘 감독을 받아 개인정보 를 처리하는 자(이하 개인정보취급자 라 한다)에 대하여 적절한 관리 감독을 행하여야 한다. 2 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인 정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다. 제2조(용어의 정의) 이 지침에서 사용하는 용어의 뜻은 다음과 같다. 6. 개인정보취급자 란 개인정보처리자의 지휘 감독을 받아 개인정보 를 처리하는 업무를 담당하는 자로서 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에 의해 개인정보에 접근하여 처리하 는 모든 자를 말한다. 제18조(개인정보취급자에 대한 감독) 1 개인정보처리자는 개인정보취 급자를 업무상 필요한 한도 내에서 최소한으로 두어야 하며, 개인정보취 급자의 개인정보 처리범위를 업무상 필요한 한도 내에서 최소한으로 제한하여야 한다. 2 개인정보처리자는 개인정보 처리시스템에 대한 접근권한을 업무의 성격에 따라 당해 업무수행에 필요한 최소한의 범위로 업무담당자에게 차등 부여하고 접근권한을 관리하기 위한 조치를 취해야 한다. 3 개인정보처리자는 개인정보취급자로 하여금 보안서약서를 제출하도 록 하는 등 적절한 관리 감독을 해야 하며, 인사이동 등에 따라 개인정보 취급자의 업무가 변경되는 경우에는 개인정보에 대한 접근권한을 변경 또는 말소해야 한다. 1. 개인정보취급자와 개인정보처리자의 차이 개인정보처리자란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 자를 말한다. 즉 공공기관, 법인, 단체 및 개인 등이 이에 해당한다(법 제2조제5호). 이에 비해, 개인정보취급자란 개인정보처리자의 지휘 감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자 등을 말한다. 표준지침에서는 이를 구체화하여, 개인정보처리자의 지휘 감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에 의해 그 밖에 업무상 필요에 의해 개인정보에 접근하여 처리하는 모든 자를 의미한다고 규정하고 있다.

204 즉, 개인정보취급자는 개인정보 처리 업무를 담당하고 있는 자라면 정규직, 비 정규직, 하도급, 시간제 등 모든 근로형태를 불문한다. 고용관계가 없더라도 실질 적으로 개인정보처리자의 지휘 감독을 받아 개인정보를 처리하는 자는 개인정 보취급자에 포함된다. 개인정보 처리업무 등을 수탁받아 처리하고 있는 수탁자도 개인정보취급자라 고 할 수 있으나, 수탁자에 대한 교육 및 관리 감독규정은 이 법 제26조에서 별 도로 규정하고 있으므로 그에 따른다. 2. 개인정보취급자에 대한 관리 감독(제1항) 개인정보처리자는 개인정보를 처리함에 있어서 개인정보에 대한 무분별한 접 근권한 부여로 인하여 개인정보의 접근 및 유출, 오 남용이 발생하는 것을 방지 하기 위하여 개인정보가 안전하게 관리될 수 있도록 개인정보취급자에 대하여 적절한 관리 감독을 행하여야 한다. 적절한 관리 감독은 개인정보취급자의 지위 직책, 담당 업무의 내용, 업무 숙 련도 등에 따라 각기 달라져야 한다. 또한 관리 감독은 1회성으로 그쳐서는 안 되고 조직적 체계적으로 이루어져야 하며 반드시 평가 피드백 시스템이 강구 되어야 한다. 이를 위해 개인정보처리자는 개인정보취급자의 범위를 최소한으로 제한하고, 그들에 의한 개인정보의 열람 및 처리의 범위를 업무상 필요한 한도에 서 최소한으로 제한하여야 하고(표준지침 제18조제1항). 또한 개인정보 처리시스 템에 접근할 수 있는 권한을 업무수행에 필요한 최소한의 범위에서 관련 업무담 당자에게 차등적으로 부여하는 등 개인정보 처리시스템 접근권한을 관리하여야 한다(표준지침 제18조제2항). 그 외에 개인정보취급자에 대한 관리 감독의 방안으 로 보안서약서 제출 등을 의무화하고, 개인정보취급자가 변경된 경우 접근권한의 변경 등 관리방안을 구체적으로 마련하여야 한다(표준지침 제18조제3항). 제 28 조 3. 개인정보취급자에 대한 정기적 교육(제2항) 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자 에게 정기적으로 필요한 교육을 실시하여야 한다. 교육은 사내교육, 외부교육, 위 탁교육 등 여러 종류가 있을 수 있으나 연간 교육계획을 수립하여 모든 개인정 보취급자가 일정 시간 이상 교육에 참여하도록 해야 한다. 또한 개인정보취급자 의 지위 직책, 담당 업무의 내용, 업무 숙련도 등에 따라 교육 내용도 각기 달 라져야 한다.

205 4. 다른 법률과의 관계 다른 법률에서는 개인정보취급자에 대한 감독 과 관련한 규정을 두고 있지 않 으므로, 정보통신서비스제공자, 신용정보이용 제공자 등은 개인정보 보호법 에 따라 개인정보취급자에 대한 감독의무를 이행하여야 한다. 5. 질의 응답 FAQ 업무 처리를 위해서 아르바이트 직원에게 고객 개인정보 를 열람할 수 있도록 했는데, 이 경우도 개인정보 취급자 에 해당하는가? 아르바이트 등 임시직 직원도 업무상 필요에 의해 개인정보를 열람 처리하고 있 다면 개인정보 취급자에 해당된다. 따라서 이 경우에도 개인정보의 열람 처리 범위를 업무상 필요한 한도 내에서 최 소한으로 제한해야 하며, 보안서약서를 징구하는 등 필요한 관리조치를 취하여야 한다.

206 제4장 개인정보의 안전한 관리 제29조 제30조 제31조 제32조 제33조 제34조 안전조치의무 개인정보 처리방침의 수립 및 공개 개인정보 보호책임자의 지정 개인정보파일의 등록 및 공개 개인정보 영향평가 개인정보 유출 통지 등

207

208 제29조 안전조치의무 법률 시행령 제29조(안전조치의무) 개인정보처리자는 개인정보가 분실 도난 유 출 변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기 술적 관리적 및 물리적 조치를 하여야 한다. 제30조(개인정보의 안전성 확보 조치) 1 개인정보처리자는 법 제29 조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다. 1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립ㆍ시행 2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 3. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치 4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 조치 5. 개인정보에 대한 보안프로그램의 설치 및 갱신 6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치 의 설치 등 물리적 조치 2 행정안전부장관은 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다. 3 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 행정안전 부장관이 정하여 고시한다. 제 29 조 표준지침 및 고시 제51조(개인영상정보의 안전성 확보를 위한 조치) 영상정보처리 기기 운영자는 개인영상정보가 분실 도난 유출 변조 또는 훼손 되지 아니하도록 법 제29조 및 시행령 제30조제1항에 따라 안전성 확보를 위하여 다음 각 호의 조치를 하여야 한다. 1. 개인영상정보의 안전한 처리를 위한 내부 관리계획의 수립 시 행, 다만 개인정보의 안전성 확보조치 기준 고시 (행정안전부 고시 제 호) 제2조제4호에 따른 소상공인 은 내부관리계 획을 수립하지 아니할 수 있다. 2. 개인영상정보에 대한 접근 통제 및 접근 권한의 제한 조치 3. 개인영상정보를 안전하게 저장 전송할 수 있는 기술의 적용 (네트워크 카메라의 경우 안전한 전송을 위한 암호화 조치, 개인 영상정보파일 저장시 비밀번호 설정 등) 4. 처리기록의 보관 및 위조 변조 방지를 위한 조치 (개인영상정 보의 생성 일시 및 열람할 경우에 열람 목적 열람자 열람 일시 등 기록 관리 조치 등) 5. 개인영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치 <안전성 확보조치 기준 고시> 제3조(내부관리계획의 수립 시행) 1 개인정보처리자는 개인정보의

209 안전한 처리를 위하여 다음 각 호의 사항을 포함하는 내부관리계획을 수립 시행하여야 한다. 1. 개인정보 보호책임자의 지정에 관한 사항 2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항 3. 개인정보의 안전성 확보에 필요한 조치에 관한 사항 4. 개인정보취급자에 대한 교육에 관한 사항 5. 그 밖에 개인정보 보호를 위하여 필요한 사항 2 소상공인은 제1항에 따른 내부관리계획을 수립하지 아니할 수 있다. 3 개인정보처리자는 제1항 각호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다. 제4조(접근 권한의 관리) 1 개인정보처리자는 개인정보처리시스템에 대한 접근권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다. 2 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취 급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 한다. 3 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다. 4 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보취급자 별로 한 개의 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다. 제5조(비밀번호 관리) 개인정보처리자는 개인정보취급자 또는 정보주체 가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다. 제6조(접근통제 시스템 설치 및 운영) 1 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치 운영하여야 한다. 1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가받지 않은 접근을 제한 2. 개인정보처리시스템에 접속한 IP(Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지 2 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하여야 한다. 3 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유 설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 조치를 취하여야 한다. 4 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터만을 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근통제 기능을

210 이용할 수 있다. 제7조(개인정보의 암호화) 1 영 제21조 및 영 제30조제1항제3호에 따라 암호화하여야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오정보를 말한다. 2 개인정보처리자는 제1항에 따른 개인정보를 정보통신망을 통하여 송 수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다. 3 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다. 4 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다. 5 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다. 1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에 는 해당 개인정보 영향평가의 결과 2. 위험도 분석에 따른 결과 6 개인정보처리자는 제1항에 따른 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다. 7 개인정보처리자는 제3항, 제4항 및 제5항에 따른 개인정보 저장시 암호화를 적용하는 경우, 이 기준 시행일로부터 3개월 이내에 다음 각 호의 사항을 포함하는 암호화 계획을 수립하고, 2012년 12월 31일까지 암호화를 적용하여야 한다. 단 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우 위험도 분석과 관계없이 암호화를 적용하여야 한다. 1. 개인정보의 저장 현황분석 2. 개인정보의 저장에 따른 위험도 분석절차(또는 영향평가 절차) 및 방법 3. 암호화 추진 일정 등 8 개인정보처리자는 업무용 컴퓨터에 고유식별정보를 저장하여 관리하 는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다. 제8조(접속기록의 보관 및 위 변조방지) 1 개인정보처리자는 개인정보취급 자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관 관리하여야 한다. 2 개인정보처리자는 개인정보취급자의 접속기록이 위 변조 및 도난, 분실 되지 않도록 해당 접속기록을 안전하게 보관하여야 한다. 제9조(보안프로그램 설치 및 운영) 개인정보처리자는 악성 프로그램 등을 방지 치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치 운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.

211 1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시 2. 악성 프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시 제10조(물리적 접근 방지) 1 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립 운영하여야 한다. 2 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금 장치가 있는 안전한 장소에 보관하여야 한다. 개인정보는 한번 유출 변조 훼손되면 원래 상태로의 복구가 상당히 곤란하 다. 따라서 개인정보는 유출 등의 피해에 대한 사후 구제나 대응보다는 사전 예 방이 무엇보다 중요하다. 따라서 개인정보가 분실 도난 유출 변조 또는 훼손되지 않도록 적절한 안전성 확보조치를 세우고 이를 실행하는 것이 개인정보 보호의 가장 기본적 요건이라고 할 수 있다. 이를 위하여 이 법 및 시행령, 고시에서는 개인정보의 안전성 확보에 필요한 구체적 기준을 명시하고 있다. 1. 안전조치 의무의 이행(영 제30조제1항) 이 법 시행령에서는 개인정보의 유출 등 피해를 막기위한 조치로서 조직 인 력 등에 대한 관리적 보호 조치, 개인정보처리시스템 등에 대한 기술적 보호 조 치, 개인정보가 보관된 장소나 매체에 대한 물리적 보호조치를 규정하고 있다. 가. 관리적 보호조치 개인정보처리자는 개인정보의 안전한 관리를 위하여 다음의 관리적 보호조치 를 강구하여야 한다. 관리적 보호조치 1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립ㆍ시행 여기서 내부관리계획 이란 개인정보처리자가 개인정보를 안전하게 처리하기 위하여 내부 의사결정절차를 통하여 수립 시행하는 내부 기준을 의미한다.

212 정보주체의 개인정보를 보호하기 위한 조치를 적절히 시행하기 위해서는 개인정보처 리자 전체에 통용되는 내부규정이 필요하다. 이를 기초로 세부 지침이나 안내서를 마련하여 개인정보 취급자 전원이 개인정보 보호에 필요한 동일한 기준에 따라 동일한 행동을 취하도록 할 필요가 있다. 이를 위하여 공공기관, 사업자 등의 개인정보처리자는 취급하는 개인정보가 분실 도 난 누출 변조 또는 훼손 되지 아니하도록 안전성을 확보하기 위하여 개인정보 보호 활동에 대한 조직 내부의 개인정보 관리를 위한 내부관리계획을 수립하고, 개인정보 관련 모든 임직원 및 관련자에게 알림으로써 이를 준수할 수 있도록 하여야 한다. 내부관리계획을 수립하도록 하는 이유는 개인정보 보호 활동이 임기응변식이 아니라 체계적이고 전사적인 계획 내에서 수행될 수 있도록 하는데 목적이 있으며, 이를 위하여 경영층의 방향제시와 지원이 필수적이다. 내부관리계획에는 개인정보 보호 조직의 구성 및 운영에 관한 다음과 같은 사항이 포함되어야 한다. 개인정보 보호책임자의 지정에 관한 사항 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항 안전성 확보조치 기준 고시 제4조(접근 권한의 관리), 제5조(비밀번호 관리), 제6조(접근통제 시스템 설치 및 운영), 제7조(개인정보의 암호화), 제8조(접속기 록의 보관 및 위 변조방지), 제9조(보안프로그램 설치 및 운영), 제10조(물리적 접근방지)에 따른 개인정보의 안전성 확보에 필요한 조치에 관한 사항 개인정보취급자에 대한 교육에 관한 사항 그 밖에 개인정보 보호를 위하여 필요한 사항 제1장 총칙 제1조(목적) 제2조(적용범위) 제3조(용어 정의) 개인정보 내부관리계획 목차 (예시) 제2장 내부관리계획의 수립 및 시행 제4조(내부관리계획의 수립 및 승인) 제5조(내부관리계획의 공표) 제3장 개인정보보호책임자의 의무와 책임 제6조(개인정보보호책임자의 지정) 제7조(개인정보보호책임자의 의무와 책임) 제8조(개인정보취급자의 범위 및 의무와 책임)

213 제4장 개인정보의 처리단계별 기술적 관리적 안전조치 제9조(개인정보취급자 접근 권한 관리 및 인증) 제10조(접근통제) 제11조(개인정보의 암호화) 제12조(접근기록의 위변조 방지) 제13조(보안프로그램의 설치 및 운영) 제14조(물리적 접근제한) 제5장 개인정보보호 교육 제6장 개인정보 침해대응 및 피해구제 나. 기술적 보호조치 개인정보처리자는 개인정보의 안전한 관리를 위하여 다음 각 호의 기술적 보 호조치를 강구하여야 한다. 기술적 보호조치 1. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 2. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이 에 상응하는 조치 3. 개인정보 침해사고의 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변 조 방지를 위한 조치 4. 개인정보에 대한 보안프로그램의 설치 및 갱신 등 1) 접근 통제 사업자, 공공기관 등 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 IP 주소를 통해 비인가자의 접근을 차단할 수 있는 보안시스템을 설치 운영 해야 한다. 이를 위해, 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치 운영하여야 한다(안전성 확보조치 고시 제6조제1항) 1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가받지 않은 접근을 제한 2. 개인정보처리시스템에 접속한 IP(Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지

214 또한, 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처 리시스템에 접속하려는 경우에는 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하여야 한다(안전성 확보조치 기준 고시 제6조제2항). 여기에서 가상사설망이라 함은 개인정보 취급자가 개인정보처리시스템에 대해 원격으 로 접속할 때 암호 프로토콜 기술 등을 통해 안전한 암호통신을 할 수 있도록 해주는 보안 시스템을 의미한다. 한편, 개인정보처리자가 관리하고 있는 개인정보는 인터넷 홈페이지, P2P 서비스 등을 통해서도 공개 유출될 수 있다. 이를 방지하기 위해 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 조치를 취하여야 한다(안전성 확보조치 고시 제6조제3항). 마지막으로, 소상공인이나 영세사업자와 같이 규모가 작은 개인정보처리자의 경우에 는 별도의 개인정보처리시스템 없이 업무용 컴퓨터(PC)만을 이용해서 개인정보를 처리하는 경우도 있을 수 있다. 이러한 경우에는 접근통제 시스템 설치 의무화는 적용하 지 아니할 수 있으며, 이 경우 업무용 컴퓨터의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근통제 기능을 이용할 수 있다(안전성 확보조치 기준 고시 제6조제4항). 예를 들어 윈도(Windows)에서 제공하는 방화벽 기능을 이용하는 방법이 이에 해당한다. 2) 접근 권한의 제한 관리 개인정보를 처리할 수 있는 담당자의 수는 그 목적달성에 필요한 최소한의 인 원으로 제한할 필요가 있으며, 그 관리 권한도 이에 따라 통제될 필요가 있다. 이에 따라 이 법 및 고시에서는 접근 권한의 제한 관리를 규정하고 있다. 먼저, 개인정보처리자는 개인정보처리시스템에 대한 접근권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다(안전성 확보조치 고시 제5조제1항). 그리고 만약 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우에는 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여 야 한다(안전성 확보조치 고시 제5조제2항). 한편, 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다. 마지막으로, 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보취급자 별로 한 개의 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다. 이를 규제하는 이유는 다수의 개인정보

215 취급자가 동일한 업무를 수행한다 하더라도 하나의 아이디를 공유하지 않도록 함으로써, 개인정보 처리내역에 대한 책임 추적성(Accountability)를 확보하기 위한 것이다. 이와 관련하여, 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호 를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다. 안전하 지 못한 비밀번호를 사용할 경우 정보가 노출될 위험성이 있기 때문이다. 안전한 비밀번 호란 제3자가 쉽게 추측할 수 없으며 비밀번호 해킹 등을 통해서도 비밀번호를 얻어낼 수 없거나 얻어내는데 많은 시간이 요구되는 것을 의미한다. 따라서 개인정보취급자나 정보주체가 생일, 전화번호 등 추측하기 쉬운 숫자나 문자 등을 비밀번호로 이용하지 않도록 비밀번호 작성규칙을 수립하고 개인정보처리시스템에 적용함으로써, 개인정보 에 대한 안전한 접근통제를 달성할 수 있다. 일반적으로 비밀번호의 최소 길이는 그 비밀번호를 구성하는 문자의 종류에 따라 최소 10자리 또는 8자리 이상의 길이로 구성하여야 한다. 최소 10자리 이상 : 영대문자(A~Z, 26개), 영소문자(a~z, 26개), 숫자(0~9, 10개) 및 특수문자(32개) 중 2종류 이상으로 구성한 경우 최소 8자리 이상 : 영대문자(A~Z, 26개), 영소문자(a~z, 26개), 숫자(0~9, 10개) 및 특수문자(32개) 중 3종류 이상으로 구성한 경우 그리고 추측하기 어려운 비밀번호를 생성해야 하며, 비밀번호에 유효기간을 설정하고 주기적으로 변경할 필요가 있다. 생성한 비밀번호에 등과 같은 일련번호, 전화번호 등과 같은 쉬운 문자열 이 포함되지 않아야 함 love, happy 등과 같은 잘 알려진 단어 또는 키보드 상에서 나란히 있는 문자열도 포함되지 않아야 함 3) 개인정보 암호화 암호화 는 개인정보취급자의 실수 또는 외부 공격자(해커)의 공격 등으로 인해 개인정 보가 비인가자에게 유 노출되더라도 그 주요 내용을 확인할 수 없게 하는 보안기술을 의미한다. 주요 개인정보가 암호화되지 않고 개인정보처리시스템에 저장되거나 네트 워크를 통해 전송될 경우, 불법적인 노출 및 위 변조 등의 위험이 있으므로 암호화 등의 안전한 보호조치가 제공되어야 한다. 먼저 암호화의 대상과 관련하여, 모든 개인정보를 암호화한다면 보호 수준은 높아질 수 있으나 사업자 및 공공기관 등 개인정보처리자의 부담이 매우 커진다. 이에 따라 안전성 확보조치 기준 고시에서는 암호화 대상 개인정보로서 고유식별

216 정보, 비밀번호 및 바이오정보만을 정하고 있다(안전성 확보조치 고시 제7조제1항). 다음으로, 안전성 확보조치 기준 고시는 암호화의 기준에 대해, 전송시의 암호 화와 저장시의 암호화로 구분하여 규정하고, 개인정보 저장시에는 다시 그 저장 대상 개인정보가 어떤 것인지, 저장 구간은 어떻게 되는지에 대해 차등적으로 규율하고 있다. 개인정보처리자는 암호화 대상 개인정보를 정보통신망을 통하여 송 수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 반드시 암호화하여야 한다(안전 성 확보조치 고시 제7조제2항). 개인정보처리자는 비밀번호 및 바이오정보를 저장하는 경우에는 반드시 암호화하여 저장하여야 한다(안전성 확보조치 고시 제7조제3항). 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다 (안전성 확보조치 고시 제7조제4항). 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다. 1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과 2. 개인정보 영향평가의 대상이 되는 공공기관 외의 개인정보처리자의 경우에는 위험도 분석에 따른 결과 개인정보의 암호화는 다른 안전성 확보조치에 비하여 적용하는데 많은 시간과 비용이 소요된다. 이에 따라 안전성 확보조치 기준 고시는 암호화의 적용 시기 에 대해 유예규정을 두고 있다. 즉 개인정보처리자는 개인정보 저장시 암호화를 적용하는 경우에는 이 기준 시행일(2011년 9월 30일)로부터 3개월 이내에 암호 화 계획을 수립하고, 2012년 12월 31일까지 암호화를 적용해야 한다(안전성 확보 조치 고시 제7조제7항). 마지막으로, 고유식별정보는 개인정보처리시스템이 아닌 단순한 업무용 컴퓨 터에 저장되는 경우에도 손쉽게 유출 도용될 우려가 있다. 따라서 주민등록번 호 등 고유식별정보는 업무용 컴퓨터에 저장하여 관리하는 경우 상용 암호화 소 프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화 저장하여야 한다.

217 4) 접속기록 보관 및 위조 변조 방지조치 개인정보처리시스템에 대한 개인정보담당자 등의 접속기록은 개인정보의 입 출력 및 수정사항, 파일별 담당자별 데이터접근내역 등을 자동으로 기록하는 로그 파일을 생성하여 불법적인 접근 또는 행동을 확인할 수 있는 중요한 자료이다. 따라서 안전성 확보조치 기준 고시에서는 접속기록을 일정기간 의무적으로 보관하도록 규정하고 있다. 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관 관리하여야 한다. 그리고 개인정보취급자의 접속기록이 위 변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다(안전성 확보조치 고시 제8조). 5) 보안프로그램 설치 운영 이른바 악성 프로그램 이란 제작자가 의도적으로 피해를 주고자 악의적 목적으로 만든 프로그램 및 실행 가능한 코드를 의미하는 것으로 악성 코드라고 불리기도 한다. 여기에는 컴퓨터 바이러스(Computer Virus), 인터넷 웜(Internet Worm), 트로이목마, 스파이웨어 등의 형태가 있다. 이를 예방 방지하기 위해 백신 소프트웨어 등의 보안 프로그램 설치 운영을 의무화함으로써 악성 프로그램으로 인한 개인정보 유출 등을 방지할 필요성이 있다. 먼저, 개인정보처리자는 악성 프로그램 등을 방지 치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치 운영하여야 하며, 다음 기준을 준수하여야 한다. 1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시 2. 악성 프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시 다. 물리적 보호조치 개인정보처리자는 개인정보의 안전한 관리를 위하여 다음 각 호의 물리적 보 호조치를 강구하여야 한다.

218 물리적 보호조치 1. 개인정보의 안전한 보관을 위한 보관시설의 마련 2. 잠금장치의 설치 등 개인정보를 대량으로 보관하고 있는 전산실 자료보관실을 별도로 두고 있는 경우나, 개인정보 저장매체를 별도 관리하고 있는 경우에는 이러한 물리적 저장장소에 대한 비인가자의 접근으로 인하여 개인정보의 절도, 파괴 등 물리적 위협이 발생하지 않도록 필요한 절차를 수립하여야한다. 이를 위해, 먼저 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하 고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절 차를 수립 운영하여야 한다. 또한, 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다. 2. 시스템구축 등의 지원(영 제30조제2항) 행정안전부장관은 개인정보처리자가 영 제30조제1항에 따른 안전성 확보 조치 를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다. 행정안전부장관은 개인정보의 유출 여부를 원격 모니터링할 수 있는 원격 점 검시스템, 사고 발생시 신속한 복구지원을 위한 기술지원시스템 등을 구축 운영 할 수 있다. 3. 안전성 확보조치 세부기준의 제정 고시(영 제30조제3항) 해킹 등 개인정보침해 기술은 하루가 다르게 발전하고 있기 때문에 보다 유연 하게 대응할 수 있도록 제30조제1항에 따른 안전성 확보 조치에 관한 세부기준 은 행정안전부장관이 고시로 정할 수 있도록 하였다. 4. 다른 법률과의 관계 정보통신망법 제28조 및 동법 시행령 제18조는 개인정보의 기술적 관리적 보호조치의 구체적인 내용을 규정하고 있으며, 기술적 관리적 보호조치 기준 을 고시토록 하여 사업자가 보안조치를 이행토록 하고 있고, 신용정보법 에도 유

219 사한 규정이 있다. 따라서 정보통신서비스제공자, 신용정보이용 제공자 등은 각각 정보통신망법, 신용정보법 ( 신용정보업 감독규정 )에 따라 기술적 관리적 보호조치를 이행하여야 한다. 정보통신망법 제28조(개인정보의 보호조치) 1 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실 도난 누출 변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적 관리 적 조치를 하여야 한다. 1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립 시행 2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스 템 등 접근 통제장치의 설치 운영 3. 접속기록의 위조 변조 방지를 위한 조치 4. 개인정보를 안전하게 저장 전송할 수 있는 암호화기술 등을 이용한 보안조치 5. 백신 소프트웨어의 설치 운영 등 컴퓨터바이러스에 의한 침해 방지조치 6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치 2 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여야 한다. 신용정보법 제19조(신용정보전산시스템의 안전보호) 1 신용정보회사등은 신용정 보전산시스템(제25조제6항에 따른 신용정보공동전산망을 포함한다. 이하 같다)에 대한 제3자의 불법적인 접근, 입력된 정보의 변경 훼 손 및 파괴, 그 밖의 위험에 대하여 대통령령으로 정하는 바에 따라 기술적 물리적 관리적 보안대책을 세워야 한다. 2 신용정보제공 이용자가 다른 신용정보제공 이용자 또는 신용조 회회사와 서로 이 법에 따라 신용정보를 제공하는 경우에는 금융위 원회가 정하여 고시하는 바에 따라 신용정보 보안관리 대책을 포함 한 계약을 체결하여야 한다. 6. 벌칙규정 위반행위 안전성 확보 조치를 취하지 아니하여 개인정보를 도난 유출 변조 또는 훼손당하거나 분실한 자 (제29조 위반) 안전성 확보조치 의무 위반 (제29조 위반) 벌칙 2년 이하의 징역 또는 1천만원 이하의 벌금 (제73조제1호) 3천만원 이하 과태료 (제75조제2항제6호)

220 7. 질의 응답 FAQ 규모가 작은 중소기업도 꼭 암호화를 해야 하는지 규모가 작은 사업자는 경제적 부담이 될 수 있으나, 개인정보 보호의 중요성을 감안하여 암호화 는 필수적 의무사항으로 규정하였다. 다만 사업자 등의 부담경감을 위해 12년 12월 31일까지 암호화 시행을 유예하였다. 행정안전부는 중소사업자 지원을 위하여 개인정보보호 기술지원센터 를 설립하였으며, 향후 이를 통하여 암호화 솔루션 보급, 취약점 원격점검, 업종별 교육홍보 컨설팅 등 을 지원할 예정이다. FAQ 바이러스 방지를 위한 백신 프로그램을 설치해야 한다고 해서 프로그램을 구입하고 PC에 설치하였다. 더 이상의 보호조치는 필요 없는가? 사업자는 백신 소프트웨어의 설치 운영 등 컴퓨터 바이러스에 의한 침해 방지조 치를 취하여야 한다. 백신 소프트웨어는 최초에 설치하는 것도 중요하지만, 이후 자동업데이트 기능 사용 또는 일 1회 이상 업데이트를 실시하여 최신의 컴퓨터 바 이러스나 악성코드를 방지할 수 있도록 하는 것이 필요하다. FAQ 서비스 제공이나 상담 등을 위해서는 회원들의 주민등록번호 앞 6자리(생년월일)를 활용할 경우가 많은데, 주민등록번호 를 모두 암호화하면 암호화/복호화에 따라 시스템에 상당 한 부하가 발생한다. 별다른 방법이 없는가? 주민등록번호와 비밀번호 등은 원칙적으로 전부 암호화해야 하나, 시스템 운영이나 고객 식별을 위해 해당 개인정보를 활용해야 하는 경우에는 그 개인정보의 일부만 을 암호화할 수 있다. - (주민등록번호) 생년월일 및 성별을 포함한 앞 7자리를 제외하고 뒷자리6개 번호 이상을 암호화 (예: ******) FAQ 사업자는 개인정보 보호를 위한 내부관리계획을 의무적으로 수립하여야 한다는데, 내부관리계획이란 어떤 것인가? 내부관리계획이란 사업자가 이용자의 개인정보를 보호하기 위해 마련하여야 하는 내부 규정 지침을 의미한다. 사업자는 이용자의 개인정보가 분실 도난 누출 변조 또는 훼손되지 않도록 안전 성을 확보하기 위하여 조직 내부의 개인정보 관리계획을 수립하여야 하며, 경영진 으로부터 승인을 받은 후 이를 모든 임직원과 직원에게 공지하여 준수할 수 있도록 해야 한다. 악성코드를 방지할 수 있도록 최선의 상태를 유지시키는 것이 필요하다.

221 FAQ 내부관리계획에 포함되어야 하는 구체적인 내용과 작성방법을 알고 싶다. 내부관리계획에는 개인정보보호 책임자의 의무 책임에 관한 사항, 개인정보 처리 단계별 기술적 관리적 보호조치에 관한 사항, 정기적 자체감사에 관한 사항, 개인 정보취급자에 대한 교육 등 개인정보보호를 위해 필요한 사항이 반드시 포함되어 야 한다.(법 제31조에 따른 개인정보보호책임자의 업무에 속하는 개인정보보호계 획 과 동일한 것으로 간주) 내부관리계획은 해당 사업자의 의사결정자(CEO, CPO 등)에 대한 보고 및 승인 결재를 거쳐 시행하여야 한다. 또한 내부관리계획은 개인정보보호 관련 법 제도 의 변경 사항, 기업의 개인정보 관련 사업내용 변경사항 등을 즉시 반영하여야 하 며, 해당 사업자의 전 직원 및 수탁 용역업체도 교육 열람되어야 한다.

222 제30조 개인정보 처리방침의 수립 및 공개 법률 시행령 제30조(개인정보 처리방침의 수립 및 공개) 1 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 개인정보 처리방 침 이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등 록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체의 권리 의무 및 그 행사방법에 관한 사항 6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항 2 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우 에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. 3 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결 한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다. 4 행정안전부장관은 개인정보 처리방침의 작성지침을 정하여 개인정 보처리자에게 그 준수를 권장할 수 있다. 제31조(개인정보 처리방침의 내용 및 공개방법 등) 1 법 제30조제1항 제6호에서 대통령령으로 정한 사항 이란 다음 각 호의 사항을 말한다. 1. 처리하는 개인정보의 항목 2. 개인정보의 파기에 관한 사항 3. 제30조에 따른 개인정보의 안전성 확보 조치에 관한 사항 2 개인정보처리자는 법 제30조제2항에 따라 수립하거나 변경한 개인 정보 처리방침을 개인정보처리자의 인터넷 홈페이지에 지속적으로 게 재하여야 한다. 3 제2항에 따라 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 수립하거나 변경한 개인정보 처리방 침을 공개하여야 한다. 1. 개인정보처리자의 사업장등의 보기 쉬운 장소에 게시하는 방법 2. 관보(개인정보처리자가 공공기관인 경우만 해당한다)나 개인정보처 리자의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하 는 신문 등의 진흥에 관한 법률 제2조제1호가목ㆍ다목 및 같은 조 제2호에 따른 일반일간신문, 일반주간신문 또는 인터넷신문에 싣 는 방법 3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물 ㆍ소식지ㆍ홍보지 또는 청구서 등에 지속적으로 싣는 방법 4. 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성 한 계약서 등에 실어 정보주체에게 발급하는 방법 제 30 조

223 표준지침 제34조(개인정보 처리방침의 공개) 1 개인정보처리자가 법 제30조제2항에 따라 개인정보 처리방침을 수립하거나 변경하는 경우에는 인터넷 홈페이지 를 통해 지속적으로 개제하여야 하며 이 경우 개인정보 처리방침 이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으 로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다. 2 개인정보처리자가 인터넷 홈페이지를 운영하지 않는 경우 또는 인터넷 홈페이지 관리상의 하자가 있는 경우에는 시행령 제31조제3항 각 호의 어느 하나 이상의 방법으로 개인정보 처리방침을 공개하여야 한다. 이 경우에도 개인정보 처리방침 이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다. 3 개인정보처리자가 시행령 제31조제3항제3호의 방법으로 개인정보 처리방 침을 공개하는 경우에는 간행물 소식지 홍보지 청구서 등이 발행될 때마 다 계속하여 게재하여야 한다. 4 친목단체는 법 제58조제3항에 따라 개인정보 처리방침을 수립 공개하지 아니할 수 있다. 제35조(개인정보 처리방침의 변경) 개인정보처리자가 개인정보 처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개하여 야 하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전 후를 비교하여 공개하여야 한다. 제36조(개인정보 처리방침의 작성기준 등) 1 개인정보처리자가 개인정보 처리방침을 작성하는 때에는 법 제30조제1항제1호부터 제5호 및 시행령 제31조제1항 각 호의 사항을 명시적으로 구분하되, 알기 쉬운 용어로 구체적이 고 명확하게 표현하여야 한다. 2 개인정보처리자는 개인정보의 처리 목적에 필요한 최소한의 개인정보라 는 점을 밝혀야 한다. 3 개인정보처리자가 목적에 필요한 최소한의 개인정보 이외에 개인별 맞춤 서비스 등을 위하여 처리하는 개인정보의 항목이 있는 경우에는 양자를 구별하여 표시하여야 한다. 제37조(필수적 기재사항) 개인정보처리자가 개인정보처리방침을 작성할 때 에는 법 제30조제1항에 따라 다음 각 호의 사항을 모두 포함하여야 한다. 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체의 권리 의무 및 그 행사방법에 관한 사항 6. 처리하는 개인정보의 항목 7. 개인정보의 파기에 관한 사항 8. 개인정보 보호책임자에 관한 사항 9. 개인정보 처리방침의 변경에 관한 사항 10. 시행령 제30조제1항에 따른 개인정보의 안전성 확보조치에 관한 사항

224 제38조(임의적 기재사항) 개인정보처리자는 제37조의 필수적 기재사항 이외에도 다음 각 호의 사항을 개인정보 처리방침에 포함할 수 있다. 1. 정보주체의 권익침해에 대한 구제방법 2. 개인정보의 열람청구를 접수 처리하는 부서 개인정보 처리방침은 개인정보처리자가 개인정보 처리에 관한 자신의 내부 방 침을 정해 공개한 자율규제 장치의 일종이다. 이를 통해 개인정보처리자는 개인 정보 처리에 관한 투명성을 높일 수 있고, 정보주체는 개인정보처리자가 자신의 개인정보를 어떻게 처리하고 있는지를 비교 확인할 수 있게 된다. 1. 개인정보 처리방침의 수립(제1항, 영 제31조제1항) 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보 처리방침을 정하여야 한다. 다음 각 호의 사항 이외에도 개인정보 처리방침에는 개인정보를 처리함에 있어 내부방침으로 정하여야 할 제반 사항을 포함할 수 있다. 법 제30조 및 시행령 제31조제1항에 따라 의무적으로 개인정보 처리방침에 포 함하여야 할 사항은 다음의 10개 항목이다. 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 정보주체의 권리 의무 및 그 행사방법에 관한 사항 6. 처리하는 개인정보의 항목 7. 개인정보의 파기에 관한 사항 8. 개인정보 보호책임자에 관한 사항 9. 개인정보 처리방침의 변경에 관한 사항 10. 시행령 제31조제1항에 따른 개인정보의 안전성 확보조치에 관한 사항 위에 언급한 필수적 기재사항 이외에도 개인정보 처리방침에는 개인정보를 처 리함에 있어 내부방침으로 정하여야 할 제반 사항을 포함할 수 있다. 정보주체를 보호하기 위한 실체적 사항 외에 개인정보주체를 보호하고 그 편익을 증진하기 위하여 정보주체의 권익침해에 대한 구제방법, 개인정보의 열람청구를 접수 처 리하는 부서 등을 개인정보 처리방침에 포함할 수 있다.

225 다만, 공공기관의 경우에는 법 제32조에 따라 행정안전부장관에게 등록하도록 되어 있는 등록대상이 되는 개인정보파일에 한하여 개인정보 처리방침을 정하면 된다. 등록대상에서 제외된 개인정보파일 예컨대 국가안보 등과 관련된 개인정보 파일에 대하여 개인정보 처리방침을 정해 공개하게 할 경우 업무수행에 심각한 지장을 초래할 수 있기 때문이다. 또한, 공공기관 이외의 개인정보처리자가 내부직원의 개인정보만을 수집 이용 하고 있는 경우에는 개인정보 처리방침을 정하여 외부에 공개할 필요는 없지만, 인트라넷, 사업장 등에 게재하여 직원이 자신의 개인정보가 어떻게 처리되고 있 는지 확인할 수 있도록 하여야 한다. 등록이 면제된 개인정보파일(법 제32조제2항) 1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록 한 개인정보파일 2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처 분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일 3. 조세범처벌법 에 따른 범칙행위 조사 및 관세법 에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일 4. 공공기관의 내부적 업무처리만을 위하여 사용 되는 개인정보파일 5. 다른 법령에 따라 비밀로 분류된 개인정보파일 2. 개인정보 처리방침의 작성 기준 개인정보처리자가 개인정보 처리방침을 작성하는 경우에 개인정보주체가 전문 적인 지식이 없이도 쉽게 이해할 수 있게 하고, 개인정보 제공 동의를 하는 대상 의 범위에 대하여도 혼동이 없도록 하여야 한다. 개인정보처리자가 개인정보 처리방침을 작성하는 때에는 개인정보주체가 필수 적 기재사항 각각의 의미와 내용을 쉽게 알 수 있도록 하기 위하여 필수적 기재 사항을 각각 명시적으로 구분하고 알기 쉬운 용어로 구체적이고 명확하게 표현 하여야 한다(표준지침 제37조제1항). 법 제3조제1항에서 개인정보보호원칙의 제1원칙으로서 개인정보처리자는 개 인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한 의 개인정보만을 적법하고 정당하게 수집하여야 한다 고 규정하고 있으며, 법

226 제16조에서도 개인정보처리자에게 최소수집의무를 부과하고 있다. 이러한 의무를 명확히 하는 측면에서 개인정보처리자는 개인정보 처리방침에서 명시하는 개인 정보 항목이 개인정보의 처리 목적에 필요한 최소한의 개인정보라는 점을 밝혀 야 한다(표준지침 제37조제2항). 또한 법제16조제2항은 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하지 못하도록 규정하고 있는데, 동 규정에 따라 개인정보주체를 효과적으로 보호하기 위하여 개인정보처리자가 목적에 필요한 최소한의 개인정보 이외에 개인별 맞춤서비스 등을 위하여 처리하는 개인정보의 항목이 있는 경우에는 개인정보주체가 혼동하 지 않도록 양자를 구별하여 표시하여야 한다(표준지침 제37조제3항). 3. 개인정보 처리방침의 공개(제2항, 영 제31조제2항, 제3항) 개인정보처리자가 개인정보 처리방침을 수립한 경우에는 정보주체가 쉽게 확 인할 수 있도록 개인정보처리자의 인터넷 홈페이지에 지속적으로 게재하는 방법 에 이를 공개하여야 한다(영 제31조제2항). 개인정보 처리방침을 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호 의 어느 하나 이상의 방법으로 수립하거나 변경한 개인정보 처리방침을 공개하 여야 한다(영 제31조제3항). 정보주체가 어느 개인정보처리자의 인터넷 홈페이지에 접속하더라도 공개된 개인정보 처리방침을 쉽게 인지할 수 있도록 법령상의 표현인 개인정보 처리 방침 이라는 표준화된 명칭을 사용하여야 한다. 이 경우에 글자 크기, 색상 등 을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다(표준지침 제35조제1항). 개인정보 보호법 은 온라인 오프라인을 구분하지 않고 적용되기 때문에 개인정보처리자가 인터넷 홈페이지를 운영하지 않는 경우도 존재하고, 인터넷 홈 페이지를 운영하더라도 인터넷 홈페이지 관리상의 하자가 있는 경우도 발생할 수 있다. 이러한 경우에도 개인정보 처리방침의 공개의무가 면제되는 것은 아니 며, 다음 중 하나 이상의 방법으로 개인정보 처리방침을 공개하여야 한다(영 제 31조제3항). 개인정보처리자의 사업장등의 보기 쉬운 장소에 게시하는 방법 관보(개인정보처리자가 공공기관인 경우만 해당한다)나 개인정보처리자의 사

227 업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 신문 등의 진흥에 관한 법률 제2조제1호 및 제2호에 따른 일반일간신문, 일반주간신 문 또는 인터넷신문에 싣는 방법 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식 지ㆍ홍보지 또는 청구서 등에 지속적으로 싣는 방법(발행될 때마다 계속하 여 게재하여야 함) 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계 약서 등에 실어 정보주체에게 발급하는 방법 개인정보처리자가 위의 방법으로 개인정보 처리방침을 공개하는 때에도 인터넷 홈페이지에 게재하는 경우와 마찬가지로 개인정보 처리방침 이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주 체가 쉽게 확인할 수 있도록 하여야 한다(표준지침 제35조제2항). 4. 개인정보 처리방침의 변경(제2항, 영 제31조제2항, 제3항) 개인정보 처리방침은 개인정보처리자의 개인정보 처리에 관한 중요 사항들을 담고 있기 때문에 그에 대한 변경은 개인정보주체의 권익에 큰 영향을 줄 수 있 다. 따라서 개인정보 처리방침을 변경하는 경우에는 개인정보주체가 그 변경 여 부, 변경된 사항의 시행 시기 및 변경된 내용을 언제든 쉽게 알 수 있도록 지속적 으로 공개하여야 한다(표준지침 제36조). 개인정보처리자가 개인정보 처리방침의 내용을 변경하는 경우에도 개인정보 처리방침 수립시와 동일한 방법으로 변경 사실 을 공개해야 하며, 개인정보처리자는 정보주체가 쉽게 확인할 수 있도록 변경된 개 인정보 처리방침을 인터넷 홈페이지에 지속적으로 게재하여야 한다(영 제31조제2 항). 이 경우에 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전 후를 비교하여 공개하여야 한다(표준지침 제36조). 개인정보처리자는 가급적 변경의 이 유와 내용을 정보주체가 쉽게 알아볼 수 있도록 비교표 등을 첨부하여야 하며 언 제든지 변경된 사항을 쉽게 확인해 볼 수 있도록 조치하여야 할 것이다. 인터넷 홈페이지가 없어 홈페이지에 게재할 수 없는 때에는 사업장등의 보기 쉬운 장소에 게시하거나 계약서, 청구서, 간행물, 소식지, 홍보지 등에 지속적으 로 실어 보내거나 관보 신문 등에 게재하여야 한다(영 제31조제2항).

228 5. 개인정보 처리방침의 법적 효력(제3항) 개인정보 처리방침은 개인정보처리자가 일방적으로 정해서 일반에게 공개한 것 으로 정보주체에 대한 약속이라고 할 수 있다. 외형상으로는 약관과 비슷하지만 계약의 내용으로 편입하려는 절차(고지 설명 동의 등)가 없기 때문에 약관과 달 리 계약의 내용이 되지는 못한다. 이에 따라 개인정보 처리방침은 계약으로서의 효력은 없으나 약속으로서의 효력은 있는 만큼 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용하도록 하고 있다. 6. 개인정보 처리방침의 작성지침 제정 권장(제4항) 행정안전부장관은 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에 게 그 준수를 권장할 수 있다. 영세 업종이나 취약분야의 경우 개인정보처리자가 개인정보 처리방침을 정하는 것이 쉽지 않기 때문이다. 이러한 취지에 따라 개인 정보 처리방침의 작성지침에 대하여 표준지침에서 규정하고 있다. 7. 다른 법률과의 관계 정보통신망법 제27조의2에서는 개인정보 취급방침 을 정하여 공개하도록 의무화하고 있다. 따라서 이에 해당하는 경우 개인정보 보호법 상 개인정보처 리방침을 별도로 수립할 필요는 없다. 신용정보법 에서는 신용정보 업무처리와 관련하여 금융위원회가 정하는 내부관 리 규정 을 마련하여 기록을 보존하도록 하고 있으나, 개인정보 보호법 상 개 인정보 취급방침 과는 내용이 상이하므로, 이 법에 따른 개인정보 처리방침을 작 성하여야 한다. 정보통신망법 제27조의2(개인정보 취급방침의 공개) 1 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 경우에는 개인정보 취급방침을 정하 여 이용자가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. 2 제1항에 따른 개인정보 취급방침에는 다음 각 호의 사항이 모두 포 함되어야 한다.

229 1. 개인정보의 수집 이용 목적, 수집하는 개인정보의 항목 및 수집방법 2. 개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명(법인인 경 우에는 법인의 명칭을 말한다), 제공받는 자의 이용 목적과 제공하 는 개인정보의 항목 3. 개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 파기방법(제 29조 각 호 외의 부분 단서에 따라 개인정보를 보존하여야 하는 경 우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다) 4. 개인정보 취급위탁을 하는 업무의 내용 및 수탁자(해당되는 경우 에만 취급방침에 포함한다) 5. 이용자 및 법정대리인의 권리와 그 행사방법 6. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설 치 운영 및 그 거부에 관한 사항 7. 개인정보 관리책임자의 성명 또는 개인정보보호 업무 및 관련 고충사 항을 처리하는 부서의 명칭과 그 전화번호 등 연락처 제27조의2(개인정보 취급방침의 공개) 3 정보통신서비스 제공자등은 제1항에 따른 개인정보 취급방침을 변경하는 경우에는 그 이유 및 변경내용을 대통령령으로 정하는 방법에 따라 지체 없이 공지하고, 이용자가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하여 야 한다. 신용정보법 - 관련 규정 없음 8. 벌칙규정 위반행위 개인정보처리방침 미공개 (제30조제1항 및 제2항 위반) 벌칙 1천만원 이하 과태료 (제75조제3항제7호)

230 제31조 개인정보 보호책임자의 지정 법률 시행령 제31조(개인정보 보호책임자의 지정) 1 개인정보처리자는 개인정보의 처 리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다. 2 개인정보 보호책임자는 다음 각 호의 업무를 수행한다. 1. 개인정보 보호 계획의 수립 및 시행 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제 4. 개인정보 유출 및 오용 남용 방지를 위한 내부통제시스템의 구축 5. 개인정보 보호 교육 계획의 수립 및 시행 6. 개인정보파일의 보호 및 관리 감독 7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무 3 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요 한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거 나 관계 당사자로부터 보고를 받을 수 있다. 4 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관 계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다. 5 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행 함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된 다. 6 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사 항은 대통령령으로 정한다. 제32조(개인정보 보호책임자의 업무 및 지정요건 등) 1 법 제31조제2항제7 호에서 대통령령으로 정한 업무 란 다음 각 호와 같다. 1. 법 제30조에 따른 개인정보 처리방침의 수립ㆍ변경 및 시행 2. 개인정보 보호 관련 자료의 관리 3. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기 2 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지 정하려는 경우에는 다음 각 호의 구분에 따라 지정한다. 1. 공공기관: 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기 관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 고위공무원 이 라 한다) 또는 그에 상당하는 공무원 나. 가목 외에 정무직공무원을 장( 長 )으로 하는 국가기관: 3급 이상 공무원(고위공 무원을 포함한다) 또는 그에 상당하는 공무원 다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공 무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원 라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기 제 31 조

231 표준지침 관을 포함한다): 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장 마. 시ㆍ도 및 시ㆍ도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원 바. 시ㆍ군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원 사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람 아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처 리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무 를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장 이 지명하는 부서의 장이 된다. 2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람 가. 사업주 또는 대표자 나. 개인정보 처리 관련 업무를 담당하는 부서의 장 또는 개인정보 보호에 관한 소양이 있는 사람 3 행정안전부장관은 개인정보 보호책임자가 법 제31조제2항의 업무를 원활히 수행할 수 있도록 개인정보 보호책임자에 대한 교육과정을 개설 ㆍ운영하는 등 지원을 할 수 있다. 제22조(개인정보 보호책임자의 지정 등) 1 공공기관이 아닌 개인정보처리자 는 사업주, 대표자, 개인정보 처리 관련 업무를 담당하는 부서의 장 또는 개인정보 보호에 관한 소양이 있는 사람을 개인정보 보호책임자로 지정하여야 한다. 2 시행령 제32조제2항제2호의 개인정보 보호에 관한 소양이 있는 사람 이란 관련 개인정보 처리 업무경험이 있는 자로서, 개인정보보호를 위한 관리적 기 술적 물리적 보호조치를 할 수 있는 자를 말한다. 3 친목단체는 법 제58조제3항에 따라 개인정보 보호책임자를 지정하지 아니할 수 있다. 이 경우 친목단체의 대표자가 개인정보 보호책임자의 직무를 수행할 수 있다. 4 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제27조에 따른 개인정보 관리책임자를 지정한 경우에는 개인정보 보호책임자를 별도로 두지 않을 수 있다. 제23조(개인정보 보호책임자의 공개) 1 개인정보처리자가 개인정보 보호책 임자를 지정하거나 변경하는 경우 개인정보 보호책임자의 지정 및 변경 사실, 성명과 부서의 명칭, 전화번호 등 연락처를 공개하여야 한다. 2 개인정보처리자는 개인정보 보호책임자를 공개하는 경우 개인정보 보호와 관련한 고충처리 및 상담을 실제로 처리할 수 있는 연락처를 공개하여야 한다. 다만, 개인정보 보호책임자와 개인정보 보호 업무를 처리하는 담당자의 성명, 부서의 명칭, 전화번호 등 연락처를 함께 기재할 수 있다. 제24조(개인정보 보호책임자의 교육) 시행령 제32조제3항에 따라 행정안전부 장관이 개설 운영할 수 있는 개인정보 보호책임자에 대한 교육의 내용은 다음 각 호와 같다. 1. 개인정보 보호 관련 법령 및 제도의 내용 2. 법 제31조제2항 및 시행령 제32조제1항 각 호의 업무수행에 필요한 사항

232 3. 그 밖에 개인정보처리자의 개인정보 처리를 위하여 필요한 사항 제25조(교육계획의 수립 및 시행) 1 행정안전부장관은 매년 초 당해연도 개인정보 보호책임자 교육계획을 수립하여 시행한다. 2 행정안전부장관은 제1항의 교육계획에 따라 사단법인 한국개인정보보호 협의회 등의 단체에 개인정보 보호책임자 교육을 실시하게 할 수 있다. 3 행정안전부장관은 개인정보 보호책임자가 지리적ㆍ경제적 여건에 구애받 지 않고 편리하게 교육을 받은 수 있는 여건 조성을 위해 노력하여야 한다. 개인정보 보호책임자도 개인정보 법규 준수, 유출 및 오남용 방지 등 개인정보 처리자의 개인정보보호 활동을 촉진하기 위한 자주적 규제 장치의 하나라고 할 수 있다. 조직 내에서 개인정보 처리에 관한 업무를 총괄하여 책임질 임원 내지 부서장급의 책임자를 지정 운영함으로써 개인정보처리자의 내부 관리체계를 더욱 공고히 할 수 있을 것이다. 1. 개인정보 보호책임자 자격요건(제1항, 영 제32조제2항) 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다(제1항). 분야별로 개인정보 보호책임자의 자격요건 은 다음 각 호와 같다(영 제32조제1항). 개인정보 보호책임자의 자격요건 (영 제32조제2항) 1. 공공기관의 경우 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기 관 및 중앙행정기관 : 고위공무원단에 속하는 공무원(이하 고위공무원 이라 한다) 또는 그에 상당하는 공무원 나. 가목 외에 정무직공무원을 장으로 하는 국가기관 : 3급 이상 공무원(고 위공무원을 포함한다) 또는 그에 상당하는 공무원 다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관 : 4급 이상 공무원 또는 그에 상 당하는 공무원 라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(그 소속 기관을 포함한다) : 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장 마. 시ㆍ도 및 시ㆍ도 교육청 : 3급 이상 공무원 또는 그에 상당하는 공무원 바. 시ㆍ군 및 자치구 : 4급 공무원 또는 그에 상당하는 공무원 사. 제2조제5호에 따른 각급 학교 : 해당 학교의 행정사무를 총괄하는 사람 아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관 : 개인정보 처리

233 관련 업무를 담당하는 부서의 장으로서 공공기관의 장이 지정하는 사람 2. 공공기관 외의 경우는 다음 각 목의 어느 하나에 해당하는 사람 가. 사업주 또는 대표자 나. 개인정보 처리 관련 업무를 담당하는 부서의 장 또는 개인정보 보호에 관 한 소양이 있는 사람 개인정보 보호책임자는 개인정보 처리에 관한 전반적인 사항을 결정하고 이로 인한 제반 결과에 대하여 책임을 지는 자이므로 개인정보 수집 이용 제공 등에 대하여 실질적인 권한을 가지고 있어야 하며 조직 내에서 어느 정도 독자적인 의사결정을 할 수 있는 지위에 있는 자이어야 한다. 개인정보 보호에 관한 소양이 있는 사람 이란 관련 개인정보 처리 업무경험이 있는 자로서, 개인정보보호를 위한 관리적 기술적 물리적 보호조치를 할 수 있는 자 를 말한다(표준지침 제22조제1항). 따라서 개인정보 보호책임자로 지정될 수 있는 자는 상당한 개인정보 관련 업무경력과 개인정보 관련 전문지식을 모두 보유한 자 로 개인정보처리업무를 자신의 책임하에 관리할 수 있는 직위를 가진 자여야 한다. 친목단체는 개인정보 보호책임자를 지정하지 않을 수 있는데, 친목단체의 대표 자가 개인정보 보호책임자의 직무를 수행할 수 있다(표준지침 제22조제3항). 친목 단체는 법 제58조(적용의 일부제외)제3항에 따라 법 제15조(개인정보의 수집 이용), 제30조(개인정보 처리방침의 수립 및 공개), 제31조(개인정보 보호책임자의 지정)가 적용되지 않지만, 친목단체 역시 그 외의 개인정보 처리기준을 준수해야 하므로 개인정보 처리 업무를 관리할 개인정보 보호책임자를 두는 것이 바람직할 것이다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제27조에 따른 개인정보 관리책임자를 지정한 경우에는 개인정보 보호책임자를 별도로 두지 않고 개인정 보관리책임자가 개인정보 보호책임자를 겸할 수 있다(표준지침 제22조제4항). 이 때에도 개인정보관리책임자는 개인정보 보호법 에서 규정하고 있는 개인정보 보호책임자의 업무를 모두 수행하여야 한다. 2. 개인정보 보호책임자의 업무(제2항, 영 제32조제1항) 개인정보 보호책임자는 개인정보의 처리에 관한 업무를 총괄해서 책임지는 자 로서 다음 각 호의 업무를 수행한다. 개인정보 보호책임자의 이 같은 업무는 총 괄책임자로서 지는 업무이므로, 개인정보 보호책임자는 분야별로 개인정보 보호 관리자, 개인정보 보호담당자 등을 두어 업무를 하게 할 수 있다.

234 개인정보 보호책임자의 업무 (법 제31조제2항, 영 제32조제1항) 1. 개인정보 보호 계획의 수립 및 시행 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제 4. 개인정보 유출 및 오용 남용 방지를 위한 내부통제시스템의 구축 5. 개인정보 보호 교육 계획의 수립 및 시행 6. 개인정보파일의 보호 및 관리 감독 7. 법 제30조에 따른 개인정보 처리방침의 수립ㆍ변경 및 시행 8. 개인정보 보호 관련 자료의 관리 9. 처리목적이 달성되거나 보유기간이 경과한 개인정보의 파기 3. 개인정보 보호책임자의 공개(표준지침 제23조) 개인정보처리자가 개인정보 보호책임자를 지정하거나 변경하는 경우 개인정보 보호책임자의 지정 및 변경 사실, 성명과 부서의 명칭, 전화번호 등 연락처를 개인 정보 처리방침에 공개하여야 한다. 개인정보처리자는 개인정보 보호책임자를 공개 하는 경우 개인정보 보호와 관련한 고충처리 및 상담을 실제로 처리할 수 있는 연 락처를 공개하여야 한다. 다만, 개인정보 보호책임자와 개인정보 보호 업무를 처리 하는 담당자의 성명, 부서의 명칭, 전화번호 등 연락처를 함께 기재할 수 있다. 4. 개인정보 보호책임자의 권한과 의무(제3항, 제4항) 개인정보 보호책임자가 형식적으로 외부에 보여주기 위한 장치가 아닌 개인정 보처리자의 내부관리체계를 강화하고 자율규제를 활성화하는 보다 실효성 있는 제도로 정착될 수 있도록 하기 위해 법은 개인정보 보호책임자에게 실질적인 권 한과 의무를 부여하고 있다. 가. 개인정보 보호책임자의 권한(제3항) 개인정보 보호책임자는 자신의 업무를 수행하기 위하여 필요한 경우에는 개인 정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다. 개인정보 보호책임자는 전사적인 책임을 지는 자이므로 소 속 부서에 관계없이 조사를 하고 보고를 받을 수 있어야 한다.

235 나. 개인정보 보호책임자의 의무(제4항) 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위 반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또 는 단체의 장에게 개선조치를 보고하여야 한다. 여기서 소속 기관 또는 단체의 장 이라 함은 그 개인정보 보호책임자가 속해 있는 해당 기관 단체의 장을 말한다. 다. 개인정보 보호책임자의 신분보장(제5항) 개인정보처리자는 개인정보 보호책임자가 자신의 업무를 수행함에 있어서 정당 한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다. 독일, 캐나다 등 다수 국가에서도 개인정보 보호책임자의 지정을 의무화하는 한편, 개인정보 보호책임자 의 불이익 방지 및 신분보장 장치를 마련해 두고 있으며, 개인정보 보호책임자의 임무수행을 위하여 필요한 비용 인력 등을 지원하도록 법률로 명시하고 있다. 5. 교육과정의 개설 운영 등의 지원(제6항, 영 제32조제3항) 행정안전부장관은 개인정보 보호책임자가 자신의 업무를 원활히 수행할 수 있 도록 개인정보 보호책임자에 대한 교육과정을 개설ㆍ운영하는 등 필요한 지원을 할 수 있다. 개인정보 보호책임자에게 정부의 정책과 방침을 정확히 전달하고 개 인정보 보호책임자가 조직 내에서 그 역할을 충실히 수행할 수 있도록 지원하기 위한 것이다. 행정안전부장관은 개인정보 보호 관련 법령 및 제도의 내용, 개인정보 보호책 임자의 업무수행에 필요한 사항, 그 밖에 개인정보처리자의 개인정보 처리를 위 하여 필요한 사항 등에 관한 교육과정을 개설하여 운영할 수 있다.(표준지침 제2 4조), 이를 위하여 매년 초 당해연도 개인정보 보호책임자 교육계획을 수립하여 시행하며, 교육계획에 따라 사단법인 한국개인정보보호협의회 등의 단체에 개인 정보 보호책임자 교육을 실시하게 할 수 있다.(표준지침 제25조제1항) 또한 행정 안전부장관은 개인정보 보호책임자가 지리적ㆍ경제적 여건에 구애받지 않고 편 리하게 교육을 받은 수 있도록 온라인 강좌를 개설하는 등 교육여건 조성을 위 해 노력하여야 한다(표준지침 제25조제2항).

236 6. 다른 법률과의 관계 정보통신망법 적용대상자가 개인정보 관리책임자 를 지정하였을 경우 개인정보 보호법 에 따른 개인정보보호 책임자를 별도로 지정하지 않아도 된 다. 이 경우 개인정보 관리책임자는 개인정보 보호책임자의 업무를 모두 수행해 야 한다. 신용정보법 에 따른 신용정보 보호책임자를 지정하였을 경우 별도의 개인 정보 보호책임자를 지정하지 않고 신용정보 보호책임자가 개인정보 보호책임자 를 대체할 수 있다. 그러나 신용정보법 에 규정된 신용정보 보호책임자의 업 무와 개인정보 보호법 에 규정된 개인정보보호 책임자의 업무가 상이하므로 신용정보 보호책임자는 이 법에 규정된 업무를 추가해서 수행하여야 한다. 제27조(개인정보 관리책임자의 지정) 1 정보통신서비스 제공자 등은 이용자의 개인정보를 보호하고 개인정보와 관련한 이용 자의 고충을 처리하기 위하여 개인정보 관리책임자를 지정하 여야 한다. 다만, 종업원 수, 이용자 수 등이 대통령령으로 정 하는 기준에 해당하는 정보통신서비스 제공자등의 경우에는 지정하지 아니할 수 있다. 정보통신망법 정보통신망법 시행령 제13조제2항(개인정보 관리책임자의 자격요건등) 2 법 제27조 제1항 단서에서 "대통령령으로 정하는 기준에 해당하는 정보통 신서비스 제공자등"이란 상시 종업원 수가 5명 미만인 정보통신 서비스 제공자등을 말한다. 다만, 인터넷으로 정보통신서비스를 제공하는 것을 주된 업으로 하는 정보통신서비스 제공자등의 경 우에는 상시 종업원 수가 5명 미만으로서 전년도 말 기준으로 직전 3개월간의 일일평균이용자가 1천명 이하인 자를 말한다. 신용정보법 제20조(신용정보 관리책임의 명확화 및 업무처리기록의 보존) 3 신용정보회사, 신용정보집중기관 및 대통령령으로 정하는 신 용정보제공 이용자는 신용정보를 보호하고 신용정보와 관련된 신용정보주체의 고충을 처리하는 등 대통령령으로 정하는 업무 를 하는 신용정보관리 보호인을 1명 이상 지정하여야 한다. 4 제3항에 따른 신용정보관리 보호인의 자격요건과 그 밖에 지 정에 필요한 사항은 대통령령으로 정한다. 제20조(신용정보 관리책임의 명확화 및 업무처리기록의 보존) 4 제3항에 따른 신용정보관리 보호인의 자격요건과 그 밖에 지정에 필요한 사항은 대통령령으로 정한다.

237 8. 벌칙규정 위반행위 개인정보 보호책임자 미지정 (제31조제1항 위반) 벌칙 1천만원 이하 과태료 (제75조제3항제8호) 9. 질의 응답 FAQ 개인정보 보호책임자를 지정해야 한다는데, 어느 정도의 직급을 책임자로 지정하면 되는지 알고 싶다. 회사의 대표 또는 정보보호 처리부서의 장, 또는 개인정보보호에 소양있는 자 중에 서 개인정보 보호책임자가 되도록 규정하고 있으므로 사업자는 반드시 이 요건을 충족하는 자를 개인정보 보호책임자로 지정해야 한다. 또한 사업자는 개인정보 보호책임자의 성명 부서의 명칭, 전화번호 등 연락처를 개인정보 처리방침에 명시하고 정보주체가 언제든지 쉽게 확인할 수 있도록 공개 해야 하며, 개인정보 보호책임자가 변경된 경우에도 변경 사항을 지체 없이 공개 해야 한다. FAQ 개인정보보호 업무를 담당하는 부서의 장을 개인정보 보호책임자로 지정하고 해당 임원의 전화번호 이메일을 개인정보 처리방침에 공개하였는데, 일반적인 상품 서비스 문의같이 사소한 상담까지도 모두 담당 임원의 전화로 걸려오고 있다. 어떻게 하면 좋은가? 반드시 개인정보 보호책임자의 직통 연락처를 기재하여야 하는 것은 아니며, 개인 정보 보호와 관련한 고충처리 및 상담을 책임지고 실제로 처리할 수 있는 연락처 를 공개하면 된다. 또한 실무를 맡고 있는 개인정보 취급자의 성명 및 연락처를 기재하여도 된다. FAQ 별도의 직원은 없고 부인과 함께 점포를 운영하고 있는데, 우리 같은 소규모 개인사업자도 개인정보 보호책임자를 꼭 지정해야 하는가? 상시 종업원이 5명 미만 인 소규모 사업자도 개인정보 보호책임자를 지정하여야 한 다. 이 경우 사업주나 대표자 스스로가 개인정보 보호책임자가 될 수 있다.

238 제32조 개인정보파일의 등록 및 공개 법률 시행령 제32조(개인정보파일의 등록 및 공개) 1 공공기관의 장이 개인정보파일 을 운용하는 경우에는 다음 각 호의 사항을 행정안전부장관에게 등록하 여야 한다. 등록한 사항이 변경된 경우에도 또한 같다. 1. 개인정보파일의 명칭 2. 개인정보파일의 운영 근거 및 목적 3. 개인정보파일에 기록되는 개인정보의 항목 4. 개인정보의 처리방법 5. 개인정보의 보유기간 6. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자 7. 그 밖에 대통령령으로 정하는 사항 2 다음 각 호의 어느 하나에 해당하는 개인정보파일에 대하여는 제1항을 적용하지 아니한다. 1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일 2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호 처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일 3. 조세범처벌법 에 따른 범칙행위 조사 및 관세법 에 따른 범칙 행위 조사에 관한 사항을 기록한 개인정보파일 4. 공공기관의 내부적 업무처리만을 위하여 사용 되는 개인정보파일 5. 다른 법령에 따라 비밀로 분류된 개인정보파일 3 행정안전부장관은 필요하면 제1항에 따른 개인정보파일의 등록사항과 그 내용을 검토하여 해당 공공기관의 장에게 개선을 권고할 수 있다. 4 행정안전부장관은 제1항에 따른 개인정보파일의 등록 현황을 누구든 지 쉽게 열람할 수 있도록 공개하여야 한다. 5 제1항에 따른 등록과 제4항에 따른 공개의 방법, 범위 및 절차에 관 하여 필요한 사항은 대통령령으로 정한다. 6 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한 다)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌 법재판소규칙 및 중앙선거관리위원회규칙으로 정한다. 제33조(개인정보파일의 등록사항) 법 제32조제1항제7호에서 대통령령 으로 정하는 사항 이란 다음 각 호의 사항을 말한다. 1. 개인정보파일을 운용하는 공공기관의 명칭 2. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수 3. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서 4. 제41조에 따른 개인정보의 열람 요구를 접수ㆍ처리하는 부서 5. 개인정보파일의 개인정보 중 법 제35조제4항에 따라 열람을 제한 하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유 제34조(개인정보파일의 등록 및 공개 등) 1 개인정보파일을 운용하 는 공공기관의 장은 그 운용을 시작한 날부터 60일 이내에 행정안전 제 32 조

239 부령으로 정하는 바에 따라 행정안전부장관에게 법 제32조제1항 및 이 영 제33조에 따른 등록사항(이하 등록사항 이라 한다)의 등록을 신청하여야 한다. 등록 후 등록한 사항이 변경된 경우에도 또한 같다. 2 행정안전부장관은 법 제32조제4항에 따라 개인정보파일의 등록 현 황을 인터넷 홈페이지에 게재하여야 한다. 3 행정안전부장관은 제1항에 따른 개인정보파일의 등록사항을 등록 하거나 변경하는 업무를 전자적으로 처리할 수 있도록 시스템을 구축 ㆍ운영할 수 있다. 시행규칙 제3조(개인정보 보호 업무 관련 장부 및 문서 서식) 2 법 제32조제1항 및 영 제34조제1항에 따른 개인정보파일 등록 신청 및 변경등록 신청은 별지 제2호서식의 개인정보파일 등록ㆍ변경등록 신청서에 따른다. 표준지침 제55조(개인정보파일 등록 주체) 1 개인정보파일을 운용하는 공공기 관의 개인정보 보호책임자는 그 현황을 행정안전부에 등록하여야 한다. 2 중앙행정기관, 광역자치단체, 특별자치시도, 기초자치단체는 행정 안전부에 직접 등록하여야 한다. 3 교육청 및 각급 학교 등은 교육과학기술부를 통하여 행정안전부에 등록하여야 한다. 4 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관을 통하여 행정안전부에 등록하여야 한다. 제56조(개인정보파일 등록 및 변경 신청) 1 개인정보파일을 운용하 는 공공기관의 개인정보취급자는 해당 공공기관의 개인정보 보호책임 자에게 개인정보파일 등록을 신청하여야 한다. 2 개인정보파일 등록 신청 사항은 다음의 각호와 같다. 신청은 개 인정보 보호법 시행규칙 (이하 시행규칙 이라 한다) 제3조제2항에 따른 별지 제2호서식의 개인정보파일 등록 변경등록 신청서 를 활용 할 수 있다. 1. 개인정보파일을 운용하는 공공기관의 명칭 2. 개인정보파일의 명칭 3. 개인정보파일의 운영 근거 및 목적 4. 개인정보파일에 기록되는 개인정보의 항목 5. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수 6. 개인정보의 처리방법 7. 개인정보의 보유기간 8. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받 는 자 9. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서 10. 개인정보의 열람 요구를 접수 처리하는 부서 11. 개인정보파일의 개인정보 중 법 제35조제4항에 따라 열람을 제한 하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유 12. 법 제33조제1항에 따른 개인정보 영향평가를 받은 개인정보파일 의 경우에는 그 영향평가의 결과

240 3 개인정보취급자는 등록한 사항이 변경된 경우에는 시행규칙 제3조 제2항에 따른 별지 제2호서식의 개인정보파일 등록 변경등록 신청 서 를 활용하여 개인정보 보호책임자에게 변경을 신청하여야 한다. 제57조(개인정보파일 등록 및 변경 확인) 1 개인정보파일 등록 또는 변경 신청을 받은 개인정보 보호책임자는 등록 변경 사항을 검토하 고 그 적정성을 판단한 후 행정안전부에 등록하여야 한다. 2 교육청 및 각급 학교 등의 개인정보 보호책임자는 교육과학기술부 에 제1항에 따른 등록 변경 사항의 검토 및 적정성 판단을 요청한 후, 교육과학기술부의 확인을 받아 행정안전부에 등록하여야 한다. 3 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관에 제1항에 따른 등록 변경 사항의 검토 및 적정성 판단을 요청한 후, 상위 관리기관의 확인을 받아 행정안전부에 등록하여야 한다. 4 제1항부터 제3항의 등록은 60일 이내에 하여야 한다. 제58조(개인정보파일 표준목록 등록과 관리) 1 특별지방행정기관, 지 방자치단체, 교육기관(학교 포함) 등 전국적으로 단일한 공통업무를 집행하고 있는 기관은 각 중앙행정기관에서 제공하는 개인정보파일 표준목록 에 따라 등록해야 한다. 2 전국 단일의 공통업무와 관련된 개인정보파일 표준목록은 해당 중 앙부처에서 등록 관리해야 한다. 제59조(개인정보파일의 파기) 1 공공기관은 개인정보파일의 보유기간 경과, 처리목적 달성 등 개인정보파일이 불필요하게 되었을 때에는 지체 없이 그 개인정보파일을 파기하여야 한다. 다만, 다른 법령에 따 라 보존하여야 하는 경우에는 그러하지 아니하다. 2 공공기관은 개인정보파일의 보유기간, 처리목적 등을 반영한 개인 정보 파기계획을 수립 시행하여야 한다. 다만, 시행령 제30조제1항제 1호에 따른 내부 관리계획이 수립되어 있는 경우에는 내부 관리계획 에 개인정보 파기계획을 포함하여 시행할 수 있다. 3 개인정보취급자는 보유기간 경과, 처리목적 달성 등 파기 사유가 발생한 개인정보파일을 선정하고, 별지 제4호서식에 따른 개인정보파 일 파기요청서에 파기 대상 개인정보파일의 명칭, 파기방법 등을 기 재하여 개인정보 보호책임자의 승인을 받아 개인정보를 파기하여야 한다. 4 개인정보 보호책임자는 개인정보 파기 시행 후 파기 결과를 확인 하고 별지 제5호서식에 따른 개인정보파일 파기 관리대장을 작성하여 야 한다. 제60조(개인정보파일 등록 사실의 삭제) 1 개인정보취급자는 제59조에 따라 개인정보파일을 파기한 경우, 법 제32조에 따른 개인정보파일의 등록사실에 대한 삭제를 개인정보 보호책임자에게 요청해야 한다. 2 개인정보파일 등록의 삭제를 요청받은 개인정보 보호책임자는 그 사실을 확인하고, 지체없이 등록 사실을 삭제한 후 그 사실을 행정안 전부에 통보한다.

241 제53조(적용대상) 이 장의 적용대상은 다음과 같다. 1. 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체 2. 국가인권위원회법 에 따른 국가인권위원회 3. 공공기관의 운영에 관한 법률 에 따른 공공기관 4. 지방공기업법 에 따른 지방공사 및 지방공단 5. 특별법에 의하여 설립된 특수법인 6. 초 중등교육법, 고등교육법 및 그 밖의 다른 법률에 따라 설 치된 각급 학교 제54조(적용제외) 이 장은 다음 각 호의 어느 하나에 해당하는 개인정 보파일에 관하여는 적용하지 아니한다. 1. 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속기관을 포함한 다)에서 관리하는 개인정보파일 2. 법 제32조제2항에 따라 적용이 제외되는 다음 각목의 개인정보파일 가. 국가안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항 을 기록한 개인정보파일 나. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인 정보파일 다. 조세범처벌법 에 따른 범칙행위 조사 및 관세법 에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일 라. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일 마. 다른 법령에 따라 비밀로 분류된 개인정보파일 3. 법 제58조제1항에 따라 적용이 제외되는 다음 각목의 개인정보파일 가. 공공기관이 처리하는 개인정보 중 통계법 에 따라 수집되는 개인정보파일 나. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일 다. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우 로서 일시적으로 처리되는 개인정보파일 4. CCTV 등 영상정보처리기기를 통하여 처리되는 개인영상정보파일 5. 자료 물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위 하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으 로 수집된 개인정보파일 6. 금융실명거래 및 비밀보장에 관한 법률 에 따른 금융기관이 금 융업무 취급을 위해 보유하는 개인정보파일 제61조(등록 파기에 대한 개선권고) 1 공공기관의 개인정보 보호책 임자는 제56조제1항에 따라 검토한 개인정보파일이 과다하게 운용되 고 있다고 판단되는 경우에는 개선을 권고할 수 있다. 2 교육청 및 각급 학교, 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관의 개인정보 보호책임자는 제56조제2항 및 제3항에 따라 검토한 개인정보파일이 과다하게 운용된다고 판단되거나, 등록되지

242 않은 파일이 있는 것으로 확인되는 경우에는 개선을 권고할 수 있다. 3 행정안전부장관은 개인정보파일의 등록사항과 그 내용을 검토하고 다음 각 호의 어느 하나에 해당되는 경우에는 법 제32조제3항에 따라 해당 공공기관의 개인정보 보호책임자에게 개선을 권고할 수 있다. 1. 개인정보파일이 과다하게 운용된다고 판단되는 경우 2. 등록하지 않은 개인정보파일이 있는 경우 3. 개인정보파일 등록 사실이 삭제되었음에도 불구하고 개인정보파일 을 계속 보유하고 있는 경우 4. 개인정보 영향평가를 받은 개인정보파일을 보유하고 있음에도 그 결과를 등록사항에 포함시키지 않은 경우 5. 기타 법 제32조에 따른 개인정보파일의 등록 및 공개에 위반되는 사항이 있다고 판단되는 경우 4 행정안전부장관은 제3항에 따라 개선을 권고한 경우에는 그 내용 및 결과에 대하여 개인정보 보호위원회의 심의 의결을 거쳐 공표할 수 있다. 5 행정안전부 장관은 공공기관의 개인정보파일 등록 파기 현황에 대한 점검을 실시할 수 있다. 제62조(개인정보파일대장 작성) 공공기관은 1개의 개인정보파일에 1개 의 개인정보파일대장을 작성해야 한다. 제63조(개인정보파일 이용 제공 관리) 공공기관은 법 제18조제2항 각 호에 따라 제3자가 개인정보파일의 이용 제공을 요청한 경우에는 각각의 이용 제공 가능 여부를 확인하고 별지 제6호서식의 개인정 보 목적외 이용 제공대장 에 기록하여 관리해야 한다. 제64조(개인정보파일 보유기간의 산정) 1 보유기간은 전체 개인정보 가 아닌 개별 개인정보의 수집부터 삭제까지의 생애주기로서 보유목 적에 부합된 최소기간으로 산정하되, 개별 법령의 규정에 명시된 자 료의 보존기간에 따라 산정해야 한다. 2 개별 법령에 구체적인 보유기간이 명시되어 있지 않은 경우에는 개인정보 보호책임자의 협의를 거쳐 기관장의 결재를 통하여 산정해 야 한다. 다만, 보유기간은 별표 1의 개인정보파일 보유기간 책정 기 준표에서 제시한 기준과 공공기록물 관리에 관한 법률 시행령 에 따른 기록관리기준표를 상회할 수 없다. 3 정책고객, 홈페이지회원 등의 홍보 및 대국민서비스 목적의 외부 고객 명부는 특별한 경우를 제외하고는 2년을 주기로 정보주체의 재 동의 절차를 거쳐 동의한 경우에만 계속적으로 보유할 수 있다. 제65조(개인정보파일 현황 공개 및 방법) 1 공공기관의 개인정보 보 호책임자는 개인정보파일의 보유 파기현황을 주기적으로 조사하여 그 결과를 해당 공공기관의 개인정보 처리방침에 포함하여 관리해야 한다. 2 행정안전부장관은 개인정보파일 등록 현황을 누구든지 쉽게 열람 할 수 있도록 공개하여야 한다. 3 행전안전부는 전 공공기관의 개인정보파일 등록 및 삭제 현황을 종합하여 매년 공개해야 하며, 개인정보파일 현황 공개에 관한 업무 를 전자적으로 처리하기 위하여 정보시스템을 구축 운영할 수 있다.

243 舊 공공기관 개인정보 보호법 은 개인정보파일 보유 변경시 사전협의제 를 규정하고 있었다. 즉 공공기관이 개인정보파일을 보유하고자 하는 경우에는 개인 정보파일의 명칭, 보유목적 등 일정한 사항을 행정안전부장관과 협의하도록 하고, 협의 사항은 연 1회 이상 관보 또는 인터넷 홈페이지에 게재하여 공고하도록 하고 있었다. 그러나 사전협의 제도는 각급 공공기관의 행정부담이 가중되고 협의기준이 일 정치 않은 등의 문제가 제기되어 왔다. 이러한 점을 개선하기 위하여, 개인정보 보호법 에서는 공공기관이 운영하는 개인정보파일이 일정 요건을 충족하고 있는 경우에는 의무적으로 이를 등록 공개하도록 하였다. 1. 개인정보파일 등록 의무(제1항, 영 제33조) 가. 파일 등록 의무자(제1항) 공공기관의 장이 개인정보파일을 운용하는 경우에는 행정안전부장관에게 그 사실을 등록하여야 한다. 등록된 사항에 변경이 있는 경우에도 역시 그 내용을 등록하여야 한다. 개인정보파일 등록은 공공기관만 부담하는 의무이며 민간 부문의 기업 단체 등은 개인정보파일 등록의무가 적용되지 않는다. 개인정보파일 등록 의무가 있는 공공기관은 구체적으로 다음과 같다(표준지침 제53조). 1. 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체 2. 국가인권위원회법 에 따른 국가인권위원회 3. 공공기관의 운영에 관한 법률 에 따른 공공기관 4. 지방공기업법 에 따른 지방공사 및 지방공단 5. 특별법에 의하여 설립된 특수법인 6. 초 중등교육법, 고등교육법 및 그 밖의 다른 법률에 따라 설치된 각급 학교 개인정보파일 등록업무를 실제 수행하는 것은 해당 공공기관의 개인정보 보호 책임자이다. 개인정보파일을 운용하는 공공기관의 개인정보 보호책임자는 그 현 황을 행정안전부에 등록하여야 한다. 이 경우 중앙행정기관, 광역자치단체, 특별 자치시도, 기초자치단체는 행정안전부에 직접 등록하고, 중앙행정기관 및 지방자 치단체의 소속기관, 기타 공공기관은 상위 관리기관을 통하여 행정안전부에 등록 하여야 한다. 교육청 및 각급 학교 등은 교육과학기술부를 통하여 행정안전부에

244 등록하여야 한다(표준지침 제55조). 여기서 통하여 등록한다 는 의미는 상위기관에서 개인정보파일의 등록 변경 사항을 검토하고 그 적정성을 판단하여 의견을 제시하며, 등록은 해당 기관에서 자체적으로 수행하는 것을 의미한다. 나. 등록 방법 및 절차 (표준지침 제56조, 제57조) 개인정보파일을 운용하는 공공기관의 개인정보취급자는 해당 공공기관의 개인 정보 보호책임자에게 개인정보파일 등록을 신청하여야 한다. 이 때 등록 신청을 받은 개인정보 보호책임자는 등록 변경 사항을 검토하고 그 적정성을 판단한 후 행정안전부에 개인정보파일을 등록하여야 한다. 다만, 교육청 및 각급 학교 등의 개인정보 보호책임자는 교육과학기술부에 제1 항에 따른 등록 변경 사항의 검토 및 적정성 판단을 요청한 후, 교육과학기술부 의 확인을 받아 행정안전부에 등록하여야 한다. 또한 중앙행정기관 및 지방자치 단체의 소속기관, 기타 공공기관은 상위 관리기관에 등록 변경 사항의 검토 및 적정성 판단을 요청한 후, 상위 관리기관의 확인을 받아 행정안전부에 등록하여 야 한다. 다. 등록 사항(제1항, 영 제33조) 공공기관의 장이 개인정보파일을 등록할 때에는 다음 각 호의 사항을 모두 등 록하여야 한다(제1항, 영 제33조). 또한 공공기관의 장이 법 제33조에 따라 해당 개인정보파일에 대하여 개인정보 영향평가를 실시한 경우에는 그 결과를 함께 첨부하여야 한다(법 제33조제4항) 파일 등록사항(법 제32조1항, 영 제33조) 1. 개인정보파일의 명칭 2. 개인정보파일의 운영 근거 및 목적 3. 개인정보파일에 기록되는 개인정보의 항목 4. 개인정보의 처리방법 5. 개인정보의 보유기간 6. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자 7. 개인정보파일을 운용하는 공공기관의 명칭

245 8. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수 9. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서 10. 영 제41조에 따른 개인정보의 열람 요구를 접수ㆍ처리하는 부서 11. 개인정보파일의 개인정보 중 법 제35조제4항에 따라 열람을 제한하거나 거절할 수 있는 개인정보 12. 개인정보 영향평가를 실시한 경우 그 결과 라. 등록 시한(영 제34조제1항) 개인정보파일을 운용하는 공공기관의 장은 그 운용을 시작한 날부터 60일 이내에 행정안전부령으로 정하는 바에 따라 행정안전부장관에게 등록사항의 등록을 신청하 여야 한다. 등록 후 등록사항이 변경된 경우에도 또한 같다. 2. 개인정보파일 등록 제외(제2항, 표준지침 제54조) 국가안보, 외교상 비밀 등 국가의 중대한 이익이나 범죄수사 등 공익 달성을 위한 개인정보파일은 이를 공개하지 않는 것이 보다 공익에 부합할 수 있다. 따 라서 이러한 개인정보파일은 등록 공개 의무를 면제할 필요가 있다. 가. 헌법기관의 개인정보파일(제32조제6항, 표준지침 제54조제1호) 국회, 법원, 헌법재판소, 중앙선거관리위원회 및 그 소속 기관의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규 칙으로 따로 정하도록 하고 있다. 이에 따라 국회, 법원, 헌법재판소, 중앙선거관리위원회 및 이들 기관의 소속기 관에서 관리하는 개인정보파일(그 소속기관을 포함한다)에서 관리하는 개인정보 파일에 대해서는 이 법 및 표준지침에 따른 등록 공개 의무가 적용되지 않는다. 나. 법 제32조제2항에 따라 적용이 제외되는 개인정보파일 공공기관이 다음 각 호의 어느 하나에 해당하는 개인정보파일을 운영할 때에 는 이를 행정안전부장관에게 등록하지 않아도 된다(법 제32조제2항).

246 등록면제 개인정보파일(법 제32조제2항) 1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록 한 개인정보파일 2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처 분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일 3. 조세범처벌법 에 따른 범칙행위 조사 및 관세법 에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일 4. 공공기관의 내부적 업무처리만을 위하여 사용 되는 개인정보파일 5. 다른 법령에 따라 비밀로 분류된 개인정보파일 예시 공공기관 내부업무처리를 위한 개인정보파일 임직원 전화번호부, 비상연락망, 인사기록파일 등 요금정산, 회의참석자 수당지급, 자문기구운영 등을 위한 개인정보파일 예시 다른 법령에 따른 비밀 개인정보파일 공공기록물관리에관한법률 제33조(비밀 기록물의 관리) 1공공기관은 비밀 기록물을 생산하는 때에는 당해 기록물의 원본에 비밀 보호기간 및 보존기간을 함께 정하여 보존기간이 만료될 때까지 관리되도록 하여야 한다. 이 경우 보존 기간은 비밀 보호기간 이상의 기간으로 책정하여야 한다. 2비밀 기록물의 원본은 대통령령이 정하는 바에 따라 소관 기록물관리기관으 로 이관하여 보존하여야 한다. 보안업무규정 제4조(비밀의 구분) 비밀은 그 중요성과 가치의 정도에 따라 다음 각호에 의하여 이를 Ⅰ급비밀ㆍⅡ급비밀 및 Ⅲ급비밀로 구분한다. 1. 누설되는 경우 대한민국과 외교관계가 단절되고 전쟁을 유발하며, 국가의 방 위계획ㆍ정보활동 및 국가방위상 필요불가결한 과학과 기술의 개발을 위태 롭게 하는등의 우려가 있는 비밀은 이를 Ⅰ급비밀로 한다. 2. 누설되는 경우 국가안전보장에 막대한 지장을 초래할 우려가 있는 비밀은 이를 Ⅱ급비밀로 한다. 3. 누설되는 경우 국가안전보장에 손해를 끼칠 우려가 있는 비밀은 이를 Ⅲ급 비밀로 한다. 다. 법 제58조제1항에 따라 적용이 제외되는 개인정보파일 개인정보보호를 지나치게 강조하게 되면, 헌법에서 보장하고 있는 다른 공익적

247 가치의 실현이 곤란한 경우가 있다. 이에 따라서 법 제58조제1항은 국가안전보 장, 공중위생 등 다른 공익적 가치의 실현을 위해서 법률의 제3장부터 제7장까지 의 적용을 제외하고 있다. 따라서, 아래의 경우에 해당하는 개인정보에 대해서는 개인정보파일 등록 공개 의무가 적용되지 않는다. 등록면제 개인정보파일(표준지침 제54조) 1. 공공기관이 처리하는 개인정보 중 통계법 에 따라 수집되는 개인정보파일 2. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개 인정보파일 3. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적 으로 처리되는 개인정보파일 라. 그 외에 등록 의무가 적용 제외되는 개인정보파일 공공기관에서 CCTV 등 영상정보처리기기를 통하여 생성 운용되는 자료는 대 부분 시간대별로 일정한 장소를 계속하여 촬영한 것으로서, 이는 개인정보를 쉽 게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정 보의 집합물인 개인정보파일 로 보기 어렵다. 따라서 공공기관에서 영상정보처리 기기를 통하여 촬영한 자료는 개인정보파일 등록 공개 의무에서 제외된다. 이 외에, 자료 물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하 여 운용하는 경우로서, 저장하거나 기록하지 않고 폐기할 목적으로 수집한 개인 정보파일 역시 등록 공개 의무에서 제외된다. 마지막으로, 금융실명거래 및 비밀보장에 관한 법률 에 따른 금융기관 중 공공기관의 지위를 가지는 금융기관이 금융업무 취급 을 위하여 보유하는 개인 정보파일도 이 법에 따른 등록 의무 적용이 배제된다. 3. 개인정보파일 등록에 대한 개선권고(제3항, 표준지침 제61조) 개인정보파일은 그 등록과정에서 등록사항에 대한 검토가 이루어지고, 흠결 또 는 개선사항이 있는 경우에는 그 검토결과에 따라 개선이 이루어질 수 있어야 한다. 먼저, 각 공공기관의 개인정보 보호책임자는 해당 기관의 개인정보취급자가 개

248 인정보파일 등록을 신청한 경우, 이를 검토하여 개선을 권고할 수 있다(표준지침 제61조제1항). 교육청 및 각급 학교, 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관의 개인정보 보호책임자도 개인정보파일이 과다하게 운용된다고 판단되거나, 등록되지 않은 파일이 있는 것으로 확인되는 경우에는 개선을 권고 할 수 있다. 그리고, 행정안전부장관은 공공기관이 개인정보파일을 등록할 때 그 내용을 검 토하여 등록사항을 흠결하였거나 그 내용이 부실하다고 판단될 때에는 해당 공 공기관의 장에게 개선을 권고할 수 있다(제32조제3항). 구체적으로 행정안전부장 관이 개선을 권고할 수 있는 경우는 다음과 같다. < 개인정보파일 등록시 개선 권고 사항 > 1. 개인정보파일이 과다하게 운용된다고 판단되는 경우 2. 등록하지 않은 개인정보파일이 있는 경우 3. 개인정보파일 등록 사실이 삭제되었음에도 불구하고 개인정보파일을 계속 보유하고 있는 경우 4. 개인정보 영향평가를 받은 개인정보파일을 보유하고 있음에도 그 결과를 등 록사항에 포함시키지 않은 경우 5. 기타 법 제32조에 따른 개인정보파일의 등록 및 공개에 위반되는 사항이 있 다고 판단되는 경우 경우에 따라서는 개인정보파일 등록에 대한 개선권고 사항을 일반 정보주체 등이 알 수 있도록 공개할 필요성이 있다. 이에 따라 이 법에서는 행정안전부장 관은 해당 공공기관의 장에게 개선을 권고한 경우, 그 내용 및 결과에 대하여 개인정 보 보호위원회의 심의 의결을 거쳐 공표할 수 있도록 하고 있다(표준지침 제61조제4항). 4. 개인정보파일의 관리(표준지침 제62조~제65조) 공공기관은 개인정보파일에 대해 대장을 작성하여 관리할 필요가 있다. 이를 위해 공공기관은 1개의 개인정보파일에 1개의 개인정보파일대장을 작성하여 관리하 여야 한다. 또한 공공기관은 제3자가 개인정보파일의 이용 제공을 요청한 경우에는 각각의 이용 제공 가능 여부를 확인하고 개인정보 목적외 이용 제공대장(표준지침 별지 제6호 서식) 에 기록하여 관리해야 한다.

249 5. 개인정보파일의 공개(제4항, 영 제34조제2항) 등록 관리되고 있는 개인정보파일은 궁극적으로는 국민 개개인이 그 내역을 손쉽게 확인할 수 있도록 공개하는 것이 필요하다. 이를 통해 정보주체인 국민들 은 자신에 관한 개인정보가 어떤 공공기관에서 어떠한 개인정보파일에 포함되어 어떻게 관리되고 있는 지를 확인하고, 이를 통해 열람 및 정정 등을 요구할 수도 있다. 이에 따라 이 법은 개인정보파일의 공개를 명시하고 있다. 행정안전부장관은 개인정보파일의 등록 현황을 누구든지 쉽게 열람할 수 있도 록 공개하여야 한다. 이를 위해 행정안전부장관은 개인정보파일의 등록 현황을 인터넷 홈페이지에 게재하여야 한다. 그리고 행정안전부장관은 개인정보파일의 등록사항을 등록하거나 변경하는 업무를 각 공공기관의 개인정보 보호책임자 등이 손쉽게 처리할 수 있도록 하기 위하여 이를 전자적으로 처리할 수 있는 시스템을 구축 운영할 수 있다(영 제34조제3항). 현재 행정안전부장관은 개인정보파일등록 공개 시스템( 을 구축 운영하고 있으며, 이를 통해 국민들은 각 공공기관이 등록한 개인정보파일 의 등록사항을 열람할 수 있으며 각 공공기관은 개인정보파일등록업무를 손쉽고 간편하게 수행할 수 있도록 지원하고 있다.

250 제33조 개인정보 영향평가 법률 시행령 제33조(개인정보 영향평가) 1 공공기관의 장은 대통령령으로 정하는 기준 에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해 가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평 가(이하 영향평가 라 한다)를 하고 그 결과를 행정안전부장관에게 제출 하여야 한다. 이 경우 공공기관의 장은 영향평가를 행정안전부장관이 지 정하는 기관(이하 평가기관 이라 한다) 중에서 의뢰하여야 한다. 2 영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다. 1. 처리하는 개인정보의 수 2. 개인정보의 제3자 제공 여부 3. 정보주체의 권리를 해할 가능성 및 그 위험 정도 4. 그 밖에 대통령령으로 정한 사항 3 행정안전부장관은 제1항에 따라 제출받은 영향평가 결과에 대하여 보 호위원회의 심의 의결을 거쳐 의견을 제시할 수 있다. 4 공공기관의 장은 제1항에 따라 영향평가를 한 개인정보파일을 제32조 제1항에 따라 등록할 때에는 영향평가 결과를 함께 첨부하여야 한다. 5 행정안전부장관은 영향평가의 활성화를 위하여 관계 전문가의 육성, 영 향평가 기준의 개발 보급 등 필요한 조치를 마련하여야 한다. 6 제1항에 따른 평가기관의 지정기준 및 지정취소, 평가기준, 영향평가의 방법 절차 등에 관하여 필요한 사항은 대통령령으로 정한다 7 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다) 의 영향평가에 관한 사항은 국회규칙, 대법원규칙, 헌법재판소규칙 및 중 앙선거관리위원회규칙으로 정하는 바에 따른다. 8 공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인하여 정보 주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적 극 노력하여야 한다. 제35조(개인정보 영향평가의 대상) 법 제33조제1항에서 대통령령으로 정하는 기준에 해당하는 개인정보파일 이란 개인정보를 전자적으로 처리할 수 있는 개인정보파일로서 다음 각 호의 어느 하나에 해당하는 개인정보파일을 말한 다. 1. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 법 제23조에 따른 민감정보(이하 민감정보 라 한다) 또는 고유식 별정보의 처리가 수반되는 개인정보파일 2. 구축ㆍ운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축ㆍ운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파 일 3. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체 에 관한 개인정보파일 4. 법 제33조제1항에 따른 개인정보 영향평가(이하 영향평가 라 한다)를 제 33 조

251 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려 는 경우 그 개인정보파일. 이 경우 영향평가 대상은 변경된 부분으로 한 정한다. 제36조(영향평가 시 고려사항) 법 제33조제2항제4호에서 대통령령으로 정한 사 항 이란 다음 각 호의 사항을 말한다. 1. 민감정보 또는 고유식별정보의 처리 여부 2. 개인정보 보유기간 제37조(평가기관의 지정 및 지정취소) 1 행정안전부장관은 법 제33조제1항 후단에 따라 다음 각 호의 요건을 모두 갖춘 법인을 개인정보 영향평가기 관(이하 평가기관 이라 한다)으로 지정할 수 있다. 1. 최근 5년간 다음 각 목의 어느 하나에 해당하는 업무 수행의 대가로 받 은 금액의 합계액이 2억원 이상인 법인 가. 영향평가 업무 또는 이와 유사한 업무 나. 전자정부법 제2조제13호에 따른 정보시스템(정보보호시스템을 포함 한다)의 구축 업무 중 정보보호컨설팅 업무(전자적 침해행위에 대비하기 위한 정보시스템의 분석ㆍ평가와 이에 기초한 정보 보호 대책의 제시 업 무를 말한다. 이하 같다) 다. 전자정부법 제2조제14호에 따른 정보시스템 감리 업무 중 정보보 호컨설팅 업무 라. 정보통신산업 진흥법 제33조제1항제1호 및 제2호에 따른 업무 마. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조제8호에 따 른 정보보호산업에 해당하는 업무 중 정보보호컨설팅 업무 2. 별표 1에 따른 전문인력을 10명 이상 상시 고용하고 있는 법인 3. 다음 각 목의 사무실 및 설비를 갖춘 법인 가. 신원 확인 및 출입 통제를 위한 설비를 갖춘 사무실 나. 기록 및 자료의 안전한 관리를 위한 설비 2 평가기관으로 지정받으려는 자는 행정안전부령으로 정하는 평가기관 지 정신청서에 다음 각 호의 서류(전자문서를 포함한다. 이하 같다)를 첨부하여 행정안전부장관에게 제출하여야 한다. 1. 정관 2. 대표자 및 임원의 성명 3. 제1항제2호에 따른 전문인력의 자격을 증명할 수 있는 서류 4. 그 밖에 행정안전부령으로 정하는 서류 3 제2항에 따라 평가기관 지정신청서를 제출받은 행정안전부장관은 전 자정부법 제36조제1항에 따른 행정정보의 공동이용을 통하여 다음 각 호의 서류를 확인하여야 한다. 다만, 신청인이 제2호의 확인에 동의하지 아니하는 경우에는 신청인에게 그 서류를 첨부하게 하여야 한다. 1. 법인 등기사항증명서 2. 출입국관리법 제88조제2항에 따른 외국인등록 사실증명(외국인인 경 우만 해당한다) 4 행정안전부장관은 제1항에 따라 평가기관을 지정한 경우에는 지체 없 이 평가기관 지정서를 발급하고, 다음 각 호의 사항을 관보에 고시하여야

252 한다. 고시된 사항이 변경된 경우에도 또한 같다. 1. 평가기관의 명칭ㆍ주소 및 전화번호와 대표자의 성명 2. 지정 시 조건을 붙이는 경우 그 조건의 내용 5 행정안전부장관은 제1항에 따라 지정된 평가기관이 다음 각 호의 어느 하나에 해당하는 경우에는 평가기관의 지정을 취소할 수 있다. 다만, 제1 호 또는 제2호에 해당하는 경우에는 평가기관의 지정을 취소하여야 한다. 1. 거짓이나 그 밖의 부정한 방법으로 평가기관의 지정을 받은 경우 2. 지정된 평가기관 스스로 지정취소를 원하는 경우나 폐업한 경우 3. 제1항에 따른 지정요건을 충족하지 못하게 된 경우 4. 제6항에 따른 신고의무를 이행하지 아니한 경우 5. 고의 또는 중대한 과실로 영향평가 업무를 부실하게 수행하여 그 업무를 적정하게 수행할 수 없다고 인정되는 경우 6. 그 밖에 법 또는 이 영에 따른 의무를 위반한 경우 6 제1항에 따라 지정된 평가기관은 지정된 후 다음 각 호의 어느 하나에 해당하는 사유가 발생한 경우에는 행정안전부령으로 정하는 바에 따라 그 사유가 발생한 날부터 7일 이내에 행정안전부장관에게 신고하여야 한다. 다 만, 제3호에 해당하는 경우에는 그 사유가 발생한 날부터 30일 이내에 신 고하여야 한다. 1. 제1항 각 호의 어느 하나에 해당하는 사항이 변경된 경우 2. 제4항제1호에 해당하는 사항이 변경된 경우 3. 평가기관을 양도ㆍ양수하거나 합병하는 등의 사유가 발생한 경우 7 행정안전부장관은 제5항에 따라 평가기관의 지정을 취소하려는 경우에 는 청문을 하여야 한다. 제38조(영향평가의 평가기준 등) 1 법 제33조제6항에 따른 영향평가의 평 가기준은 다음 각 호와 같다. 1. 해당 공공기관에서 처리하는 개인정보의 종류ㆍ성질, 정보주체의 수 및 그에 따른 개인정보 침해의 가능성 2. 법 제24조제3항, 제25조제6항 및 제29조에 따른 안전성 확보 조치의 수 준 및 이에 따른 개인정보 침해의 가능성 3. 개인정보 침해의 위험요인별 조치 여부 4. 그 밖에 법 및 이 영에 따라 필요한 조치 또는 의무 위반 요소에 관한 사항 2 법 제33조제1항에 따라 영향평가를 의뢰받은 평가기관은 제1항의 평가 기준에 따라 개인정보파일의 운용으로 인한 개인정보 침해의 위험요인을 분석ㆍ평가한 후 다음 각 호의 사항이 포함된 평가 결과를 영향평가서로 작성하여 해당 공공기관의 장에게 보내야 하며, 공공기관의 장은 제35조 각 호에 해당하는 개인정보파일을 구축ㆍ운용하기 전에 그 영향평가서를 행 정안전부장관에게 제출(영향평가서에 제3호에 따른 개선 필요 사항이 포 함된 경우에는 그에 대한 조치 내용을 포함한다)하여야 한다. 1. 개인정보파일 운용과 관련된 사업의 개요 및 개인정보파일 운용의 목적 2. 영향평가 대상 개인정보파일의 개요 3. 평가기준에 따른 개인정보 침해의 위험요인에 대한 분석ㆍ평가 및 개선

253 이 필요한 사항 4. 영향평가 수행 인력 및 비용 3 행정안전부장관은 법 및 이 영에서 정한 사항 외에 평가기관의 지정 및 영향평가의 절차 등에 관한 세부 기준을 정하여 고시할 수 있다. 시행규칙 제3조(개인정보 보호 업무 관련 장부 및 문서 서식) 3 영 제37조제2항에 따른 개인정보 영향평가기관의 지정을 신청하려는 자는 별지 제3호서식의 개인정보 영향평가기관 지정신청서에 다음 각 호의 서류(전자문서를 포함 한다)를 첨부하여 행정안전부장관에게 제출하여야 한다. 1. 영 제37조제2항제1호부터 제3호까지의 규정에 따른 서류 2. 영 제37조제2항제4호에 따른 다음 각 목의 서류 가. 개인정보 영향평가 수행인력 보유현황: 별지 제4호서식 나. 개인정보 영향평가 수행 관련 사무실 및 설비 보유현황: 별지 제5호서식 다. 영 제37조제1항제1호의 사실을 증명할 수 있는 서류 등 행정안전부장관 이 정하는 서류 3. 출입국관리법 제88조제2항에 따른 외국인등록 사실증명(영 제37조제 3항 각 호 외의 부분 단서에 해당하는 경우만 첨부한다) 4 법 제33조제6항 및 영 제37조제4항에 따른 개인정보 영향평가기관 지 정서는 별지 제6호서식에 따른다. 5 법 제33조제6항 및 영 제37조제6항에 따른 신고는 별지 제7호서식의 개인정보 영향평가기관 변경사항 신고서에 따른다. 영향평가 고시 제1조(목적) 이 고시는 개인정보 보호법 시행령 (이하 "영"이라 한다) 제 38조에 따른 평가기관의 지정 및 영향평가의 절차 등에 관한 세부기준을 정함을 목적으로 한다. 제2조(용어의 정의) 이 고시에서 사용하는 용어의 정의는 다음과 같다. 1. 개인정보 영향평가(이하 영향평가 라 한다) 란 영 제35조에 해당하는 개 인정보파일의 운용에 따라 정보주체의 개인정보 침해가 우려되는 경우에 그 위험요인의 분석과 개선 사항 도출을 위한 평가를 말한다. 2. 대상기관 이란 영 제35조에 해당하는 개인정보파일을 구축 운용, 변경 또는 연계하려는 공공기관을 말한다. 3. 평가기관 이란 공공기관의 영향평가를 수행하기 위하여 행정안전부장관 이 지정한 기관을 말한다. 4. 대상시스템 이란 영 제35조에 해당하는 개인정보파일을 구축 운용, 변 경 또는 연계하려는 정보시스템을 말한다. 5. 개인정보 영향평가 수행실적(이하 영향평가 수행실적 이라 한다) 이란 영 제37조제1항제1호에 따른 영향평가 업무 및 이와 유사한 업무, 정보보 호 컨설팅 업무 등을 수행한 실적을 말한다. 제3조(평가기관 지정절차) 1 평가기관의 지정절차는 별표 1과 같다. 2 행정안전부장관은 지정 신청을 할 수 있게 15일이상 지정신청공고를 하여야 한다. 3 지정신청을 원하는 법인은 다음 각 호의 서류를 지정신청서와 함께 행 정안전부장관에게 제출한다.

254 1. 별지 제1호서식의 개인정보 영향평가 수행실적 명세서 2. 별지 제2호서식의 개인정보 영향평가 수행실적물 관리가드 3. 별지 제3호서식의 개인정보 영향평가 수행인력의 경력 및 실적 증명서 4. 별지 제4호서식의 개인정보 영향평가 수행인력 관리카드 5. 별지 제5호서식의 개인정보 영향평가 수행능력 세부 심사자료 6. 별지 제6호서식의 개인정보 영향평가 관련 기술자산 보유목록 4 행정안전부장관은 제3항에 따른 평가기관 지정신청을 받은 경우 지정기준 의 적합여부를 심사하기 위하여 평가기관 지정심사위원회(이하 지정심사위 원회 라 한다)를 구성 운영한다. 5 행정안전부장관은 현장실사와 종합심사를 통해 지정심사위원회의 심사 결과를 검증하고, 영향평가 수행인력의 신원확인을 한 후 평가기관을 확정 한다. 제4조(지정심사위원회의 구성 및 운영) 1 제3조에 따른 지정심사위원회는 다음 각 호의 자격을 가진 자 중에서 행정안전부장관이 위촉하는 15인 이 내의 위원으로 구성한다. 1. 고등교육법 제2조제1호 제2호 또는 제5호에 따른 학교나 공인된 연구 기관에서 조교수 이상의 직 또는 이에 상당하는 직에 있거나 있었던 자 로 개인정보 보호 연구경력이 8년 이상인 자 2. 개인정보 보호 관련 업체, 기관 또는 단체(협회, 조합)에서 8년 이상 개 인정보 보호 업무에 종사한 자 3. 그 밖에 개인정보 보호에 관한 학식과 경험이 풍부한 자 2 지정심사위원회는 영 제37조제1항에 따른 신청한 법인의 자격 및 업무 수행능력 등을 검토한다. 3 지정심사위원회의 위원 임기는 2년으로 하되, 연임할 수 있다. 4 지정심사위원회의 회의는 필요에 따라 행정안전부장관이 소집한다. 제5조(영향평가 수행인력 자격) 영향평가 수행인력은 일반수행인력과 고급 수행인력으로 구분할 수 있다. 1. 일반수행인력의 자격은 다음 각 목과 같다. 가. 영 제37조제1항제2호의 전문인력 자격을 갖춘 자 나. 한국CPO포럼이 시행하는 개인정보관리사 자격을 취득한 후 1년 이상 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 자 2. 고급수행인력의 자격은 다음 각 목과 같다. 가. 제1호의 일반수행인력의 자격을 갖춘 후 5년 이상의 영향평가 관련 경 력이 있는 자 나. 관련 분야 박사학위를 취득한 후 3년 이상의 영향평가 관련 경력이 있 는 자 다. 국가기술자격법 시행규칙 제3조에 따른 정보관리기술사, 컴퓨터시 스템응용기술사, 정보통신기술사 자격을 취득한 후 3년 이상의 영향평가 관련 경력이 있는 사람 제6조(영향평가 수행능력심사의 세부평가 및 지정기준) 1 평가기관의 영향평 가 수행능력심사의 세부평가기준은 별표 2와 같다. 2 행정안전부장관은 영향평가 수행능력심사 세부평가기준에 따른 심사결

255 과가 총점 75점 이상인 경우 신청한 법인을 평가기관으로 지정한다. 제7조(사후관리) 1 행정안전부장관은 평가기관이 영 제37조제1항의 평가기관 지정요건을 충족하는 지 여부와 영 제37조제6항에 따른 변경사항을 확인하기 위하여 현장실사, 관련 자료제출 요구 등을 할 수 있다. 2 평가기관은 다음 각 호를 포함한 보호대책을 별표 3과 같이 수립 시 행하여야 하며, 행정안전부장관은 그에 대한 준수여부를 점검할 수 있다. 1. 영향평가 수행구역 및 설비에 대한 보호대책 2. 영향평가 수행 인력에 대한 보호대책 3. 문서 및 전산자료에 대한 보호대책 4. 일반 관리적 보호대책 제8조(평가절차) 대상기관은 사전 분석, 영향평가의 실시, 평가결과의 정리 단계로 영향평가를 수행한다. 제9조(평가영역 및 평가분야) 영 제38조제1항의 영향평가기준에 따른 평가 영역은 별표 4와 같다. 다만, 대상기관이 당해 연도에 다른 정보시스템의 영향평가를 하였을 경우에는 대상기관의 개인정보 보호 관리체계에 대한 평가는 생략할 수 있다. 제10조(평가항목) 1 평가기관은 별표 4에 따라 적합한 평가항목을 선정하 여 영향평가를 수행하여야 한다. 다만, 대상기관이 당해 연도에 이미 평가 받은 항목은 그 변경이 없는 때에는 평가항목에서 제외된다. 2 별표 4에 명시되지 않은 특정 IT기술을 적용하는 경우에는 해당 기술 이 개인정보에 미치는 영향에 대한 평가항목을 개발하여 영향평가 시 반 영하여야 한다. 제11조(영향평가 수행안내서) 행정안전부장관은 영향평가에 필요한 세부기 준 및 절차, 평가항목 등을 구체화하는 영향평가 수행안내서 를 마련하여 제공할 수 있다. 개인정보파일을 새로 구축하거나 변경하고자 하는 때에는 미리 해당 파일의 내용에 법령 위반 소지는 없는지 또는 해당 파일에 사생활 침해 위험이 잠재되 어 있지는 않는지 등을 미리 조사 평가하게 하는 것이 개인정보파일에 대한 정 보주체의 신뢰를 확보하고 개인정보 피해를 예방하는 길이 된다. 1. 개인정보 영향평가의 의의(제1항) 개인정보 영향평가 (PIA, Privacy Impact Assessment)란 개인정보 수집 활용이 수반되는 사업 추진시 개인정보 오남용으로 인한 프라이버시 침해 위험이 잠재되 어 있지 않는지를 조사 예측 검토하고 개선하는 제도이다. 법 제33조는 개인정보 영향평가를 개인정보파일의 운용으로 인하여 정보주체 의 개인정보 침해가 우려되는 경우에 그 위험요인을 분석하고 개선사항을 도출하 기 위한 평가 라고 정의하고 있다(제1항).

256 개인정보 영향평가제도의 목적은 평가대상 시스템 활용에 따른 잠재적 위험을 평가하여 개인정보 침해에 따른 피해를 줄일 수 있는지를 미리 검토 반영하는 것이다. 미국은 2002년 전자정부법 제208조에 전자정부 구현 과정에서 개인정보 및 프라이버시 보호를 위하여 개인정보 영향평가를 명문화 하였고, 캐나다도 2002년 부터 공공부문에 대한 개인정보 영향평가를 의무화하고 있다. 그밖에 뉴질랜드 홍콩 호주 등에서도 공공 민간부문에 대하여 개인정보 영향평가를 권장하고 있다. < 국가별 PIA제도 비교 > 구 분 미 국 캐나다 뉴질랜드 시행대상 관련근거 평가주체 감독 및 평가결과 제출처 연방정부기관 전자정부법(2002), 관리예산처 지침 사업 수행기관 (자체평가) 연방정부기관 및 일부 지방정부 개인정보 영향평가 지침 사업 수행기관 (자체평가) 민간 공공 자율 개인정보 영향평가 지침 외부평가 중심 관리예산처 프라이버시 감독관 - 강제성 유무 의무사항 의무사항(의료분야) 권고사항 평가결과 활용 웹사이트, 관보, 그 밖의 다른 수단으로 공개 웹사이트, 책자를 통해 두 개 이상의 공식 언어로 요약해 공개 - 2. 영향평가 대상 개인정보파일(영 제35조) 공공부문의 경우 전자정부 추진으로 개인정보를 대량으로 시스템화하여 상호 연동하는 등 개인정보 침해 우려가 높으므로 행정정보 공유 및 전자정부 추진사 업의 신뢰성을 제고하기 위하여 영향평가를 의무화하고 있다. 다만, 공공기관이 구축 운용 변경하는 모든 개인정보파일에 대하여 영향평가를 실시하게 하는 것은 예산 낭비를 초래할 수 있으므로 다음 각 호에 해당하는 개인 정보파일에 한하여 영향평가를 의무화하고 있다.

257 영향평가 대상 개인정보파일(영 제35조) 1. 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일 : 구축ㆍ운용 또는 변경하려는 개인정보파일에 5만명 이상의 정보주체에 관한 개인정보 가 포함된 경우 2. 다른 개인정보파일과 연계하려는 경우 : 해당 공공기관 내부 또는 외부에서 구축ㆍ운용하고 있는 다른 개인정보파일과 연계한 결과 50만명 이상의 정 보주체에 관한 개인정보가 포함된 경우 3. 일반적인 개인정보 파일 : 구축ㆍ운용 또는 변경하려는 개인정보파일에 100 만명 이상의 정보주체에 관한 개인정보가 포함된 경우 4. 영향평가를 받은 후 개인정보 검색 체계 등 개인정보파일의 운용 체계를 변경하려는 경우 : 해당 개인정보파일 중 변경된 부분 3. 영향평가의 실시방법 등(제2항, 영 제36조) 공공기관의 장이 개인정보 영향평가를 실시하고자 하는 경우에는 행정안전부장 관이 지정하는 평가기관 중에서 의뢰하여야 하며 다음 각 호의 사항을 고려해서 평가하여야 한다. 평가기관이란 영향평가 수행에 필요한 업무수행실적, 전문인력, 안전한 사무실 설비 등의 지정요건을 갖춘 법인으로 지정절차를 거쳐 행정안전부 장관이 평가기관으로 지정한 기관을 말한다(영향평가에 관한 고시 제2조제3호). 영 향평가 시 평가기관은 평가기준에 따라 주관적인 견해를 배제하여 객관적인 평 가를 수행하여야 하며, 영향평가서를 작성할 때에는 신의에 따라 성실하게 개인정보 영향평가를 수행하고 거짓으로 영향평가서를 작성하여서는 안 된다. 또한, 평가기관 은 다른 법인(업체)에게 평가기관의 상호를 사용하여 개인정보 영향평가를 수행하도 록 하여서는 아니 된다. 영향평가시 고려사항(법 제33조제2항, 영 제36조) 1. 처리하는 개인정보의 수 2. 개인정보의 제3자 제공 여부 3. 정보주체의 권리를 해할 가능성 및 그 위험 정도 4. 민감정보 또는 고유식별정보의 처리 여부 5. 개인정보 보유기간

258 4. 개인정보 영향평가 결과의 활용(제3항 및 제4항) 공공기관의 장이 개인정보 영향평가를 실시한 때에는 그 결과를 행정안전부장 관에게 제출하여야 한다(제1항). 이 경우 행정안전부장관은 제출받은 영향평가 결 과에 대하여 의견이 있을 때에는 보호위원회의 심의 의결을 거쳐 해당 공공기관에 의견을 제시할 수 있다(제3항). 또한 공공기관의 장은 행정안전부장관에게 개인정 보파일을 등록할 때에는 개인정보 영향평가 결과도 함께 첨부하여야 한다(제4항). 5. 영향평가 활성화 기반 마련(제5항, 영 제37조) 가. 전문가 육성 등 활성화 기반 마련(제5항) 행정안전부장관은 영향평가의 활성화를 위하여 관계 전문가의 육성, 영향평가 기준의 개발 보급 등 필요한 조치를 마련하여야 한다. 나. 개인정보 영향평가기관의 지정 및 지정취소(영 제37조) (1) 평가기관 지정요건 행정안전부장관은 다음 각 호의 요건을 모두 갖춘 법인을 개인정보 영향평가 기관으로 지정할 수 있다. 여기서 지정은 사실상 허가 의 의미를 갖는다. 즉 다 음 각 호의 모든 요건을 갖춘 법인의 신청이 있으면 무조건 지정을 해야 하는 것이 아니라 시장 수요 등을 고려하여 지정 여부를 결정할 수 있다. 행정안전부로부터 평가기관으로 지정받기 위해서는 최근 5년간의 개인정보 영 향평가업무 및 이와 유사한 업무, 정보보호 컨설팅, 정보시스템 또는 정보보호시 스템 구축시 정보보호컨설팅, 정보시스템 감리시 정보보호 컨설팅 등의 영향평가 수행실적이 2억원 이상이며, 10인이상의 전문인력을 보유하고 신원 확인 및 출입 통제를 위한 설비를 갖춘 사무실, 기록 및 자료의 안전한 관리를 위한 설비를 갖 추어야 한다.

259 평가기관 지정요건(영 제37조제1항) 1. 최근 5년간 다음 각 목의 어느 하나에 해당하는 업무 수행의 대가로 받은 금액의 합계액이 2억원 이상인 법인 가. 영향평가 업무 또는 이와 유사한 업무 나. 전자정부법 제2조제13호에 따른 정보시스템(정보보호시스템을 포함 한다)의 구축 업무 중 정보보호컨설팅 업무(전자적 침해행위에 대비하기 위한 정보시스템의 분석ㆍ평가와 이에 기초한 정보보호 대책의 제시 업 무를 말한다. 이하 같다) 다. 전자정부법 제2조제14호에 따른 정보시스템 감리 업무 중 정보보호 컨설팅 업무 라. 정보통신산업 진흥법 제33조제1항제1호(주요정보통신기반시설 취약 점분석 평가업무) 및 제2호(주요정보통신기반시설 보호대책 수립업무)에 따른 업무 마. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조제8호에 따른 정보보호산업에 해당하는 업무 중 정보보호컨설팅 업무 2. 별표 1에 따른 전문인력을 10명 이상 상시 고용하고 있는 법인 3. 다음 각 목의 사무실 및 설비를 갖춘 법인 가. 신원 확인 및 출입 통제를 위한 설비를 갖춘 사무실 나. 기록 및 자료의 안전한 관리를 위한 설비 개인정보 영향평가 업무란 개인정보를 활용하는 새로운 정보시스템 도입이나 개인 정보 취급이 수반되는 기존 정보시스템의 중대한 변경 시 동 시스템의 구축 운영 변경 등이 프라이버시에 미치는 영향에 대하여 사전에 조사 예측 검토하여 개선방안을 도출하는 업무를 말한다. 정보보호컨설팅 업무란 정보보호 관리체계 점검, 정보자산의 취약점 분석 등을 통해 비밀성, 무결성, 가용성 등을 확보하도록 지원하는 업무로 전자정부법 제2조제13호에 따른 정보시스템(정보보호시스템을 포함한다)의 구축업무 중 정보 보호컨설팅 업무로 전자적 침해행위에 대비하기 위한 정보시스템의 분석ㆍ평가 와 이에 기초한 정보 보호 대책의 제시 업무, 전자정부법 제2조제14호에 따 른 정보시스템 감리 업무 중 정보보호컨설팅 업무, 정보통신산업 진흥법 제3 3조제1항제1호 및 제2호에 따른 업무, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조제8호에 따른 정보보호산업에 해당하는 업무 중 정보보호컨설 팅 업무가 포함된다. 정보시스템감리업무란 발주자와 사업자 등의 이해관계로부터 독립된 자가 정

260 보시스템의 효율성을 향상시키고 안전성을 확보하기 위하여 제3자의 관점에서 정보시스템의 구축 및 운영 등에 관한 사항을 종합적으로 점검하고 문제점을 개 선하도록 하는 업무를 말한다. 평가기관이 보유해야 하는 전문인력은 일반수행인력과 고급수행인력으로 구분 되는데, 일반수행인력으로는 다음과 같은 자가 해당된다(영향평가 고시 제5조). 한국인터넷진흥원이 시행하는 정보보호전문가(SIS) 자격을 취득한 후 1년 이상 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 사람 정보보호전문가(SIS: Specialist for Information Security)는 한국인터넷진흥원에서 주 관하는 자격증으로서, 정보보호 분야의 전문기술 및 실무경험을 갖춘 능력을 검정하고 정보보호 전문인력의 수요에 대응하기 위해 개발 시행된 자격제도이다. 전자정부법 제60조에 따른 감리원(ISA) 자격을 취득한 후 1년 이상 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 사람 정보시스템감리사(ISA : Information Systems Auditor)는 한국정보화진흥원에서 주관하는 자 격증으로 국가 주요 정보사업에 대한 감리체계의 확립과 실제 감리작업을 수행할 수 있는 전문인력을 양성하기 위하여 도입 실시되는 국가공인 민간자격증이다. 국가기술자격법 에 따른 정보통신 직무분야의 국가기술자격 중 정보관리기 술사, 컴퓨터시스템응용기술사, 정보통신기술사, 전자계산기조직응용기사, 정 보처리기사 또는 정보통신기사 기술자격을 취득한 후 1년 이상 개인정보 영향평 가 관련 분야에서 업무를 수행한 경력이 있는 사람 국가기술자격법 시행규칙 제3조에 따른 전자계산조직응용기사 정보관리기술사 정 보처리기사 컴퓨터시스템응용기술사 정보통신기술사 정보통신기사 자격을 취득한 자 로서, 개인정보 취급 정보시스템을 개발 운용 유지 보수 등을 통해 안전하게 관리하 는 업무를 수행한다. 국제정보시스템감사통제협회의 공인정보시스템감사사(CISA) 자격을 취득한 후 1년 이상 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 사람

261 공인정보시스템감사사(CISA : Certified Information Systems Auditor)는 정보시스템감사 통제협회(ISACA)에서 일정한 자격 요건을 갖춘 사람들에게 부여하는 정보시스템 지배, 통제, 보안 및 감사 분야의 공인 전문 자격증 으로 경영 전략과 조직관리, 정보시스템 기 반 기술, 정보시스템 보안 및 위험관리, 정보시스템 개발 및 프로젝트 관리, BPR과 전자상 거래 등의 분야에 대한 체계적인 지식과 실무 경험을 보유하고 있다고 볼 수 있다. 국제정보시스템보안자격협회의 공인정보시스템보호전문가(CISSP) 자격을 취득한 후 1년 이상 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 사람 공인정보시스템보호전문가(CISSP : Certified Information Systems Security Professional) 는 ISC2(International Information Systems Security Certification Consortium)에서 주관하는 자격증으로 이 자격증을 취득한 자는 기업이 견고한 보안 수행을 구현하고, 위험분석을 수행 하고, 필요한 대책을 파악하고, 그리고 전체 조직이 시설, 네트워크, 시스템, 그리고 정보 를 보호하는 작업을 도와줄 수 있는 기술적 능력, 지식, 경험을 가진 자라고 볼 수 있다. 개인정보 보호와 관련된 자격으로서 행정안전부장관이 정하는 자격을 취득한 후 1년 이상 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 사람 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 사람 이란 공공기관, 법 인 및 단체 등의 임직원으로 개인정보 보호를 위한 공통기반기술(암호기술, 인증기술 등 을 말한다), 시스템ㆍ네트워크 보호(시스템 보호, 해킹ㆍ바이러스 대응, 네트워크 보호 등을 말한다) 또는 응용서비스 보호(전자거래 보호, 응용서비스 보호, 정보보호 표준화 등을 말한다)에 해당되는 분야에서 계획, 분석, 설계, 개발, 운영, 유지ㆍ보수, 감리, 컨 설팅 또는 연구ㆍ개발 업무 등을 수행한 경력이 있는 사람을 말한다. 한국CPO포럼이 시행하는 개인정보관리사(CPPG) 자격을 취득한 후 1년 이상 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 사람 개인정보관리사(CPPG)는 개인정보 보호 정책 및 대처 방법론에 대한 지식 및 능력을 검 정하기 위해 개발ㆍ시행된 자격제도로써 한국CPO포럼이 주관하는 자격증이다. 고급수행인력의 자격은 1 일반수행인력의 자격을 갖춘 후 5년이상의 영향평가 관련 경력이 있는 사람, 2 관련 분야 박사학위를 취득한 후 3년 이상의 영향평가 관련 경력이 있는 사람, 3 국가기술자격법 시행규칙 제3조에 따른 정보관리기술 사 컴퓨터시스템응용기술사 정보통신기술사자격을 취득한 후 3년 이상의 영향평가 관 련 경력이 있는 사람

262 (2) 평가기관 지정 절차 < 개인정보 영향평가기관 지정절차 > 지정신청공고 관보에 15일 이상 게재 지정신청 접수 신청서류 제출서류 검토 제출서류 미비시 보완 요구 지정심사위원회 구성 서류 현장 종합심사 작업반 구성 서류심사 임원 및 수행인력 현황 수행실적 수행인력 설비 자본요건 충족 여부 수행능력심사 계량평가 항목 그 밖의 평가기준의 적정성 현장실사 서류 심사내용의 현장실사 종합심사 심사결과 검증 영향평가 수행인력의 신원확인 평가기관 지정 지정 예정 법인 선정 서류 현장 종합심사 재검토 지정 예정 법인 확정 지정 확정 법인 대상 신원확인 신원확인 결과 수행인력 요건의 미충족시 지정 유보

263 가. 지정신청 행정안전부장관은 관보에 지정신청 공고에 대한 사항을 15일 이상 게재하여야 한 다. 공고내용은 지정 신청 목적, 지정 기준, 지정 절차, 신청 서류, 신청방법, 접수 시기 및 문의처 등 접수에 필요한 안내사항을 포함한다(영향평가 고시 제3조제2항). 평가기관으로 지정을 받으려는 자는 행정안전부령으로 정하는 평가기관 지정 신청서에 정관, 대표자 및 임원의 성명, 전문인력의 자격을 증명할 수 있는 서류 (전자문서를 포함한다)와 시행규칙과 영향평가에 관한 고시에 따른 제출서류를 첨부하여 행정안전부장관에게 제출하여야 한다. < 시행규칙 및 고시에서 정하는 서류 > 시행규칙에 따른 제출서류 1 개인정보 영향평가 수행인력 보유 현황 2 개인정보 영향평가 수행 관련 사무 실 및 설비 보유현황 고시에 따른 제출서류 1 개인정보 영향평가 수행실적 명세서 2 개인정보 영향평가 수행실적물 관리카드 3 개인정보 영향평가 수행인력의 경력 및 실적 증명서 4 개인정보 영향평가 수행인력 관리카드 5 개인정보 영향평가 수행능력 세부 심사자료 6 개인정보 영향평가 관련 기술자산 보유목록 나. 지정신청서 접수 및 확인 지정 신청서류는 우편 또는 방문을 통해 접수하도록 한다. 행정안전부장관은 신 청법인의 제출서류가 미비한 경우 보완을 요구할 수 있으며, 이에 응하지 않을 경우 접수를 반려할 수 있다. 평가기관 지정신청서를 제출받은 행정안전부장관 은 전자정부법 제36조제1항에 따른 행정정보의 공동이용을 통하여 다음 각 호의 서류를 확인하여야 한다. 다만, 신청인이 제2호의 확인에 동의하지 아니하 는 경우에는 신청인에게 그 서류를 첨부하도록 하여야 한다. 지정신청서 접수시 확인서류 (영 제37조제3항) 1. 법인 등기부등본 2. 출입국관리법 제88조제2항에 따른 외국인등록 사실증명 (외국인인 경우로 한정한다)

264 다. 지정심사위원회 구성 운영 행정안전부장관은 평가기관 지정신청을 받은 경우 지정기준의 적합여부를 심 사하기 위하여 평가기관 지정심사위원회를 구성 운영한다(영향평가에 관한 고시 제3조제5항) 지정심사위원회는 지정심사에 대한 투명성, 공정성, 신뢰성 등을 확 보하기 위해 다음의 자격기준에 적합한 15인 이내의 심사위원을 구성 위촉하며, 지정심사위원의 임기는 2년으로 연임할 수 있다. 고등교육법 제2조제1호 제2호 또는 제5호에 따른 대학, 산업대학, 방송대 학 통신대학 방송통신대학 및 사이버대학(이하 "원격대학"이라 한다)이 나 공인된 연구기관에서 부교수 이상의 직 또는 이에 상당하는 직에 있거 나 있었던 자로 개인정보 보호 연구경력이 8년 이상인 자 개인정보 보호 관련 업체, 기관 혹은 단체(협회, 조합)에서 8년 이상 개인정보 보호 유관 분야에 근무한 자 그 밖에 개인정보 보호에 관한 학식과 경험이 풍부한 자 행정안전부장관은 지정심사위원회의 회의를 매년 정기적으로 개최하되, 지정심 사위원회의 의결이 필요할 때에는 수시로 소집할 수 있다. 지정심사위원회는 심사에 대한 공정성 및 신뢰성 확보를 위해 학자, 연구자, 실무자, 유관기관 전문가들을 위원으로 구성되며, 서류심사 현장실사 종합심사 에 대한 종합적인 사항을 검증한다. 지정심사위원회는 신청서류를 중심으로 평가 기관의 적격 여부, 수행실적 수행인력 자본 설비 등의 지정요건 충족 여부 등 을 심사하는데, 필요시 현장실사를 통해 적정성 및 준수여부 등 확인 점검할 수 있다. 지정심사위원회는 서류심사와 현장실사 결과를 종합하여 책임자의 자질 및 경험, 업체의 컨설팅 방법론 등 업무수행능력 요건 등을 심사한다. 라. 평가기관의 영향평가 수행능력 심사(영향평가에 관한 고시 제6조) 지정심사위원회는 세부평가기준에 따라 평가기관이 지정신청시 제출한 서류를 심사하고, 행정안전부장관은 신청법인의 객관적인 업무수행능력이 총점 75점 이 상을 취득한 기관을 대상으로 현장실사 종합심사를 거쳐 평가기관으로 지정한다. 영향평가 수행능력 심사 세부 평가기준은 정량평가(50점)와 정성평가(50점)로 구분되며, 총점 100점을 기준으로 정량 정성적 측면에서 1 경험, 2 전문화 정도, 3 신뢰도로 평 가항목을 구성하여 세부평가기준에 따라 평가한다.

265 경험(20점)은 지정신청법인이 최근 5년간 수행한 영향평가 실적(10점)과 최근 2년간 수행한 계약금액 1천만원 이상의 영향평가 실적(10점)으로 구분하여 평가된다. 최근 5 년간의 영향평가 수행실적의 평가지표는 계약금액 총액으로 설정하여 최근 영향평가 수 행실적의 계약금액을 모든 합친 금액이 5억원 이상인 경우 10점 부여을 부여하고, 5 억원 미만인 경우 계약금액을 모두 합친 금액을 5억원으로 나눈 금액에 100을 곱하 여 산정한 점수를 부여한다. 전문화 정도(20점)은 고급수행인력 수(10점)와 총매출액 대비 영향평가 분야 매출액 비율(10점)로 구분하여 평가된다. 즉 고급수행인력은 일인당 1점씩 배점하여 최대 10 점까지 부여하고, 총매출액 대비 개인정보 영향평가분야 매출액 비율은 10점에 개인 정보영향평가분야 매출액의 비율(%)을 곱하여 산정한 점수를 부여한다. 만약 총매출 액이 개인정보 영향평가 분야 매출액인 경우 10점을 부여하되, 개인정보 영향평가 분 야 매출액이 총매출액의 해당 %를 점수로 산정하여 부여한다. 그리고 개인정보 영향 평가분야 매출액이 총매출액의 30%미만인 경우 일괄적으로 3점을 부여한다. 신뢰도(10점)은 부채비율(5점)과 자기자본이익률(5점)로 구분하여 평가된다. 부채비 율은 적은 순으로, 자기자본이익률이 높은 순으로 상위그룹에 배열하여 상위그룹은 5점, 중상그룹은 4점, 중간그룹은 3점, 중하그룹은 2점, 하위그룹은 1점을 각각 부여한다. 지정신청업체 5개미만인 경우는 상위, 중상, 중간, 중하 그룹으로 편성한다. 정성평가와 관련하여 경험(20점)은 영향평가 수행실적의 질적 평가(10점), 영향평가 책임자의 자질과 경험(5점), 영향평가 수행인력의 자질 및 경험(5점)으로 평가된다. 영 향평가 수행실적의 질적 평가는 실적 유형, 수행기관, 수행건수 및 규모, 수행방법 등에 대해 종합적으로 평가하고, 영향평가 책임자의 자질과 경험은 영향평가 수 행인력 구성의 다양성, 개인정보 영향평가 수행인력의 숙련도 등을 고려하여 평 가한다. 영향평가 수행인력의 자질 및 경험은 영향평가 수행경력, 관련 분야 자격 증 보유, 학위, 관련분야 교육 여부 등을 종합적으로 평가한다. 전문화 정도(20점)는 영향평가 전문지식(10점), 영향평가 방법론(5점), 영향평가 기술개발(5점)로 구분하여 평가된다. 영향평가 전문지식은 지정신청법인이 제출한 신청서류, 현장실사 등을 통해 영향평가 전문지식의 보유정도를 평가하는 것이다. 영향평가 방법론은 영향평가방법론의 체계성 일관성, 타당성 적합성, 독창성, 사 례를 통해 본 방법론의 우수성 등을 평가하고, 영향평가 기술개발은 영향평가과정과 평가체계(평가방법, 평가항목 등)의 독창성 차별성을 종합하여 평가한다. 신뢰도(10 점)는 신청법인의 자체 개인정보영향평가대책 수립(5점)과 신청법인의 관련 대외 활동 여부(5점)로 구분하여 평가된다. 자체 개인정보 영향평가대책 수립은 지정신청법인이 개인정보 영향평가를

266 자체적으로 수행하기 위해 마련한 대책 등을 검토하여 평가한다. 신청법인의 관련 대외활동은 관련 신청법인의 협회 가입 여부, 기타 개인정보 보호 관련 활동 등을 검토하여 평가한다. 정량평가와 정성평가 외에 벤처기업육성에 관한 특별조치법 제25조에 따라 벤처기업으로 확인을 받은 경우(최대 5점 가점)와 최근 3년간 조달법령에 따라 부정당 업자로 지정되어 입찰참가 제한을 받은 경우(제한월수 1개월 당 0.5점 감점)는 점수에 영향을 줄 수 있다. < 개인정보 영향평가 수행능력심사 세부평가기준 > 구분 평가항목 세부평가항목 배점 평가지표 세부 평가 기준 최근 5년간 영향평가 수행실적 10 계약금액 총액 5억원 이상: 배점의 100% 5억원 미만: 배점의 χ% χ = (계약금액총액/5억원) 경험 (20) 최근 2년간 계약금액 1천만원 이상의 영향평가 수행실적 10 수행건수 5건 이상: 배점의 100% 5건 미만: 배점의 χ% χ = (수행건수/5건) 100 고급수행 인력의 수 10 인원수 인원수 1점(최대 10점) I. 정량 평가 2.전문화 정도 (20) 총매출액대비 영향평가분야 매출액의 비율 10 비율 배점 총매출액대비 개인 정보영향평가 분야매출액 의 비율(%) 개인정보 영향평가 분야 매출액의 비율이 30%미만 인 경우 일괄적으로 배점 의 30% 부여 3. 신뢰도 (10) 부채비율 5 비율 자기자본 이익률 5 비율 상위그룹: 배점의 100% 중상그룹: 배점의 80% 중간그룹: 배점의 60% 중하그룹: 배점의 40% 하위그룹: 배점의 20% 그룹 당 동수로 5그룹을 편성 한 후, 나머지가 있는 경 우는 상위그룹부터 1개씩 추가 편성 대기업과 중소기업을 구별

267 영향평가 수행실적의 질적 평가 10 비계량 영향평가 실적 유형(공공/민간) 영향평가 수행기관 영향평가 수행건수 및 규모 영향평가 수행방법 1.경험 (20) 영향평가 책임자의 자질과 경험 5 비계량 영향평가 책임자의 자질과 경험 영향평가 수행인력 구성의 다양성 영향평가 수행인력의 숙련도 영향평가 수행인력의 자질 및 경험 5 비계량 영향평가 수행인력의 자질과 경험 관련분야 교육 이수 II. 정성 평가 2.전문화 정도 (20) 영향평가 전문지식 영향평가 방법론 10 비계량 5 비계량 신청서류, 현장실사 등을 통해 평가 방법론의 체계성 일관성 방법론의 타당성 적합성 방법론의 독창성 사례를 통해서 본 방법론의 우수성 영향평가 기술개발 등 5 비계량 평가과정의 독창성 차별성 평가방법, 항목 등 평가체계의 독창성 차별성 3. 신뢰도 (10) 지정신청법인의 자체 개인정보영향평 가대책 지정신청법인의 관련 대외활동 5 비계량 5 비계량 위험분석의 타당성 개인정보영향평가의 적절성 개인정보영향평가의 실효성 관련 협회 가입 여부 그밖에 개인정보 보호관련 활동 III. 기타 벤처기업육 성에 관한 특 별조치법 제 25조에 따라 벤처기업으로 확인을 받은 기업 최근 3년간 조 달법령에 따라 부정당업자로 지정되어 입찰 참가가 제한을 받은 기간 가점 확인여부 벤처 확인기업: 가점 5점 감점 입찰참가 제한월수 제한월수 1월당: 감점 0.5점

268 마. 지정서 교부 및 고시 행정안전부장관은 지정심사위원회의 심사결과를 검증하고 수행인력의 신원확 인을 거쳐 최종적으로 평가기관을 지정한 경우에는 지체 없이 평가기관 지정서 를 교부하고, 1평가기관의 명칭, 주소 및 전화번호와 대표자의 성명과 2 지정 시 조건을 붙이는 경우 그 조건의 내용을 관보에 고시하여야 한다. 해당 사항이 변경된 경우에도 또한 같다. 바. 평가기관 지정 취소 행정안전부장관은 지정된 평가기관이 다음 각 호의 어느 하나에 해당하는 경우 에는 평가기관의 지정을 취소할 수 있다. 다만, 제1호 또는 제2호에 해당하는 경우 에는 평가기관의 지정을 취소하여야 한다. 행정안전부장관이 평가기관 지정을 취 소하려는 경우에는 청문을 실시하여야 한다. 평가기관 지정취소 사유 (영 제37조제5항) 1. 거짓이나 그 밖의 부정한 방법으로 평가기관의 지정을 받은 경우 2. 지정된 평가기관 스스로 지정의 취소를 원하는 경우나 폐업한 경우 3. 제1항에 따른 지정 요건에 미달하게 된 경우 4. 지정요건 변경 등의 신고의무(영 제37조제6항)를 이행하지 아니한 경우 5. 고의 또는 중대한 과실로 영향평가 업무를 부실하게 수행하여 그 업무를 적정하게 수행할 수 없다고 인정되는 경우 6. 그 밖에 법 또는 이 영에 따른 의무를 위반한 경우 사. 지정요건 등 변경 신고의무 지정된 평가기관은 지정된 후 다음 각 호의 어느 하나에 해당하는 사유가 발생한 경우에는 행정안전부령으로 정하는 바에 따라 그 사유가 발생한 날부터 7일 이내에 행정안전부장관에게 신고하여야 한다. 다만, 제3호에 해당하는 경우 에는 그 사유가 발생한 날부터 30일 이내에 신고하여야 한다.

269 변경신고 등의 사유 (영 제37조제6항) 1. 제1항 각 호(평가기관 지정요건)의 어느 하나에 해당하는 사항이 변경된 경우 2. 제4항제1호(평가기관 명칭, 주소, 전화번호, 대표자)에 해당하는 사항이 변 경된 경우 3. 평가기관을 양도ㆍ양수하거나 합병하는 등의 사유가 발생한 경우 개인정보 영향평가는 상당한 수준의 경험과 전문성을 필요로 하므로 적정 수 준의 시설 인력기준을 갖춘 기관으로 하여금 영향평가를 수행할 수 있도록 하 기 위하여 지정절차를 마련하고 있다. 따라서 적정수준의 개인정보 영향평가를 지속적으로 수행하기 위해서 행정안전부장관은 거짓이나 부정한 방법으로 지정 을 받거나, 지정후 지정기준에 부합되지 않는 경우에 지정된 평가기관의 지정을 취소하여야 한다. 또한 평가기관의 전문성을 강화하고 부실평가 업무수행을 방지 하기 위하여 평가기관으로 하여금 지정된 후 인력 변동, 휴업 폐업, 양도 양수, 합병 등의 변동사항이 있는 경우 신고하도록 하고 있다. (3) 개인정보 영향평가의 절차(영향평가 고시 제8조) 영향평가는 개인정보파일을 구축 운영 또는 변경하거나 연계하려는 경우 발생 할 수 있는 개인정보의 침해요인을 사전에 분석하여 개선하도록 하는 것이므로, 대상기관이 대상시스템을 구축 운영 또는 변경하거나 연계하려는 경우 사업의 방향 설정 및 업무 정의 단계, 시스템 제안 단계, 시스템의 예비 설계 및 모형 설정 단계 등에서 영향평가를 수행하도록 한다. 영향평가는 대상시스템의 개발 또는 구축하는 과정에서도 수행할 수 있으며, 이 경우에는 영향평가의 계획에 따른 실제 구현 형태를 대상으로 위험 분석 및 개선방향이 도출되어야 한다.

270 < 개인정보 영향평가 절차 > 사전분석단계는 1 영향평가의 필요성 검토 2 영향평가 수행주체의 구성 3 평가수행계획의 수립 순으로 진행된다. 영향평가의 필요성 검토는 사업을 추진하는 과정에서 개인정보의 신규 수집 이용 연계 또는 취급절차상의 변경 등이 발생하는 지에 대해 사전평가 질문서 작성을 통해 영향평가 필요성을 판단한다. 영향평가 수행주체는 영향평가 수행을 위한 기관 내의 유관 부서, 외부 유관기관 등과 협조하여 평가수행이 원활하게 진행될 있도록 업무체계(영향평가팀)를 마련 하여 구성한다. 영향평가팀은 개인정보보호담당자, 정보화사업(구축 운용 변경 연계 하려는 시스템) 담당자, 외부 컨설턴트(행정안전부장관이 지정한 평가기관의 영향 평가 수행인력) 및 내 외부 전문가 등으로 구성된다. 평가수행계획은 대상기관의 시스템개발부서 또는 사업부서(영향평가 주관부서)에서 평가과정에 필요한 사항들을 정리하여 내부적으로 공유할 수 있는 세부적인 평가절차 등을 마련하여 수행하기 위한 계획이다. 평가수행계획서에는 대상시스템의 개요, 개인정보 수집목적, 취급규모, 개인정보 수집 현황 등의 개인정보파일 개요, 평가항목 및 평가범위, 평가방법 등을 포함한다.

271 < 평가수행계획서의 작성방향 > 목차 주요 내용 참고자료 1. 사업 개요 2. 개인정보 개요 대상시스템명, 사업목적 및 일정, 주요내용 등 개인정보 수집목적, 취급규모, 개인정보 수 집현황 등의 개인정보파일 개요 제안요청서(RFP) 사업계획서 등 3. 평가 목적 개인정보 영향평가 수행 필요성 및 추진배경 등 필요성 검토 질의서 4. 평가기관 및 평가팀 구성 5. 평가 기간 평가기관 선정 및 영향평가팀 구성 영향평가팀 운영계획서 영향평가 착수부터 완료하는 시점까지의 기 간 6. 평가 절차 (방법) 영향평가 절차, 단계별 주요 수행사항 및 기간 등 7. 주요 평가사항 중점적으로 평가 되어야 하는 사항 8. 평가기준 및 평가항목 영향평가수행안내서에서 표준적으로 요구 되는 평가항목과 특정 IT기술의 활용여부 에 따라 도출한 항목 영향평가 수행주체 선 정시 결과물 및 협의내 용, 공공기관 개인정 보 영향평가 수행 안 내서 참고 9. 자료 수집 및 분석계획 10. 평가결과의 활용방향 영향평가 수행시 침해요인을 분석하기 위한 참 고자료, 해당기관과 관련 있는 자료 등 파악 영향평가 결과로 도출된 결과물(영향평가서) 과 이를 통해 당해 사업 간 적용방안 등을 기술 개인정보보호관련 정책, 법규 검토단계의 산출물 참조 영향평가팀 회의 내용 등 참조 영향평가의 실시단계는 1 평가자료의 수집, 2 개인정보의 흐름 분석, 3 개 인정보의 침해요인분석, 4 위험도 산정, 5 개선사항의 도출 순으로 진행한다. 평가자료의 수집은 평가 대상사업 및 개인정보 보호 관련 내 외부 정책환경을 분 석하기 위한 자료와 대상시스템을 파악하기 위한 자료수집을 말한다. 개인정보 보호 관련 법규 및 상위기관의 지침과 해당기관의 내부 규정현황을 파악하고, 대 상시스템을 이해하고 분석하기 위해 필요한 자료 등을 취합 분석한다.

272 내부 정책 자료 < 분석 대상 자료 > 항목 수집 목적 수집 대상 자료 기관 내 개인정보 보호 규정 기관 내부의 개인정보 보호 체계, 기관 내 정보보안 관련 규정 규정, 조직 현황 등을 분석 기관 내 직제표 등 외부 정책 자료 개인정보취급자(정보시스템 운 영자, 처리자자 등), 위탁 업체 등에 대한 내부 규정 및 관 리 교육체계 확인 시스템 구조와 연계된 개인정보 보호 기술 현황 파악 일반적인 개인정보 보호 정책 환경 분석 대상시스템의 특수성을 반영한 정책 환경 분석 개인정보 관련 조직 내 업무 분장표 및 직급별 권한 정보시스템의 접근권한에 대한 내부 규정 위탁업체 관리 규정 등 시스템 운영자 및 정보취급자에 대한 교육계획 침입차단시스템 등 보안 시스템 구조도 등 개인정보 보호 관련 법률, 지침 등 개인정보 보호 기본계획 및 시행계획 등 대상시스템의 추진 근거 법률 및 개인 정보 보호 관련 법률 대상시스템 설명 자료 정보시스템에 의하여 수집되는 개인정보의 양과 범위가 사업 수행을 위해 적절한지 파악 프로젝트 수행 계획서 제안서 정보시스템의 외부연계 여부 검토 위탁 계획서 연계 계획서 개인정보의 흐름분석이란 영향평가팀 구성원간의 사업과 개인정보 흐름에 대한 이해도 제고를 위한 대상시스템 내에서의 개인정보의 흐름에 대한 분석을 말한다. 대상시스템을 면밀히 분석하고 업무를 정의하여 해당 사업을 통해 처리되는 업무 중 개인정보 취급이 수반되는 업무를 도출하여 평가 범위를 명확히 한다. 개인정보의 침해요인 분석은 대상시스템의 개인정보 흐름에 따른 개인정보 보 호조치사항 및 계획 등을 파악하고 개인정보 침해 위험성을 도출하기 위한 단계 이다. 위험도 산정은 개인정보를 자산가치로 산정하여 자산가치, 개인정보 침해 발생 가능성, 법적 준거성을 조합하여 위험도를 평가하여 합산하는 방법으로 산정한다. 자산가치 및 개인정보의 침해요인의 발생가능성이 높을수록, 법률에 따른 의무사항 일수록 해당 침해요인을 통제하지 못하는 경우 개인정보의 침해위험도가 크다고 본다. 개선사항의 도출은 영향평가과정에서 도출한 침해요인별 위험요소를 제거하거 나 최소화하기 위한 개선방안을 말하며, 위험정도에 따라 단기, 중 장기적인 개선 방안을 제시할 수 있다.

273 평가결과의 정리단계는 1 개선계획서의 작성, 2 영향평가서의 작성 순으로 진행된다. 개선계획은 도출된 개선방안을 기반으로 자체 또는 외부 전문가 검토 등을 거쳐 대상기관의 보안 조치 현황, 예산, 인력, 정보화 사업 일정 등을 고려 하여 수립한다. 개선계획을 수립할 때는 위험 요소를 제거하거나 최소화할 수 있는 대처 방안 마련, 위험 요소 해결을 위해 유사 사례에 대한 벤치마킹 등 수행, 담 당자(개인정보취급자)들이 취약사항을 시정하기 위한 조치 사항과 책임 사항 등을 고려해야 한다. 영향평가서의 작성은 영향평가의 모든 과정 및 결과물을 정리하여 종합적인 사항을 기록하는 것이다. 대상기관은 수립된 개선방안이 대상시스템의 구축 운용 또는 변경하거나 연계가 완료(사업 종료) 전에 반영되도록 조치하여야 한다. 단, 대상시스템의 구축 운용 또는 변경하거나 연계가 완료(사업 종료)되기 전에 부득 이러한 사유로 도출한 개선사항을 반영하지 못한 경우에는 그에 대한 타당한 사유를 기록하고 향후 조치를 위한 이행계획을 수립하여야 한다. (4) 영향평가 기준(영 제38조제1항 각 호) 평가기관이 개인정보 영향평가를 할 때에는 다음 각 호의 평가기준에 따라서 하여야 한다. 아래에서 보는 바와 같이 평가기관은 처리되는 개인정보의 종류 성질, 데이터의 양(규모), 시스템 환경, 침해 위험 등을 종합적으로 고려하여야 한다. 평가기준 (영 제38조제1항) 1. 해당 공공기관에서 처리하는 개인정보의 종류ㆍ성질 및 정보주체의 수 및 그에 따른 개인정보 침해의 가능성 2. 법 제24조제3항, 법 제25조제6항 및 법 제29조에 따른 안전성 확보 조치의 수준 및 이에 따른 개인정보 침해의 가능성 3. 개인정보 침해의 위험요인별 조치 여부 4. 그 밖에 법 및 이 영에 따른 필요적 조치 또는 의무 위반 요소에 관한 사항 평가기관은 다음 표에 따라 적합한 평가항목을 선정하여 영향평가를 수행하여 야 한다(영향평가고시 제10조).

274 <개인정보 영향평가의 평가영역 및 평가분야> 평가 영역 평가 분야 세부 분야 1. 대상기관 개인정보 보호조직 2. 개인정보 보호 계획 개인정보 보호책임자의 지정 개인정보 취급자의 지정 개인정보 보호 계획 수립 개인정보 보호 교육 계획 수립 3. 개인정보처리 방침 개인정보처리 방침의 수립 Ⅰ. 대상기관의 개인정보 보호 관리체계 4. 개인정보파일 관리 5. 개인정보 위탁 및 제공시 안전조치 개인정보파일 관리 이용ㆍ제공대장 관리 개인정보파일 파기 사실 관리 개인정보 위탁 시 안전조치 개인정보 연계 제공 시 안전조치 6. 개인정보 침해 대응 침해사고 처리절차 7. 정보주체 권익 보호 정보주체 권익보호 8. 개인정보 처리구역 보호 보호구역 지정 II. 대상시스템의 개인정보 보호 관리체계 III. 개인정보 처리단계별 보호 9. 대상시스템의 개인정보관리 10. 개인정보 취급내용 공개 11. 수집단계 개인정보처리 구역 통제 대상시스템의 개인정보 취급자 지정 대상시스템의 개인정보 취급자 의무 개인정보 파일의 안내 개인정보 위탁관리 안내 개인정보 제공 및 목적 외 이용 사실의 안내 개인정보 파기사실의 안내 개인정보 수집의 적합성 개인정보 수집 동의의 적합성 개인정보 수집 사실의 안내 개인정보 수집 시 보호조치

275 평가기관은 개인정보를 취급하는 정보시스템이 안전성을 확보하고, 영향평가 시 모든 침해요인을 도출하여 개선할 수 있도록 필요한 평가항목을 선정하고, 그에 따라 개선방안을 제시하여야 한다. 단, 동일 대상기관이 같은 해에 여러 영향평가를 수행할 경우, 중복된 평가내용에 대해서는 선평가결과로 대체할 수 있다. 예를 들어 OO기관이 A시스템의 영향평가(평가 완료)와 B시스템의 영향평가(평가 개 시)를 같은 해에 진행하게 되어, 평가영역 및 평가분야(대상기관의 개인정보 보호 관리 체계)의 변화가 없을 경우 먼저 수행한 A시스템의 영향평가에서 도출된 결과내용 을 B시스템의 영향평가시스템에 사용하여 중복평가를 하지 않도록 한다. 특정 IT기술 활용시 개인정보 보호에 대한 평가영역에서는 CCTV, RFID, 바이오 정보, 위치정보로 구분하여 평가항목을 구성하여 평가하도록 한다. 그러나 각각의 특정 IT기술은 그 특성에 따라 개인정보의 침해요인도 다를 수 있으므로 차별화된 평가항목을 도출하여야 한다. 표에 명시된 특정 IT기술 외에 활용하려는 IT기술이 있는 경우 에는 해당 IT기술의 특성을 충분히 고려한 평가항목을 개발하여 적용하고, 그에 따른 침해요인의 분석결과를 바탕으로 개선방안을 도출하여야 한다. (5) 영향평가서 작성 송부(영 제38조제2항 각 호) 공공기관으로부터 영향평가의 의뢰를 받은 평가기관은 평가기준에 따라 개인 정보파일의 운영으로 인한 개인정보 침해의 위험요인을 분석ㆍ평가한 후 단계별 결과물을 포함한 영향평가서로 작성하여 대상기관의 장으로부터 승인을 받아 해 당 공공기관의 장에게 송부하여야 한다. 영향평가서에는 개인정보파일의 운용과 관련된 사업의 개요 및 개인정보파일 운용의 목적, 영향평가 대상 개인정보파일의 개요, 평가기준에 따른 개인정보 침해의 위험요인에 대한 분석ㆍ평가 및 개선이 필요한 사항, 영향평가 수행 인력 및 예산이 포함되어야 한다. 또한 평가기관은 대상기관과의 계약 해지 및 평가 완료 후에는 평가수행을 위해 대상기관이 제공한 서류, 도구, 장비 등 일체를 대상기관의 장에게 반환하여야 하며, 반환이 불가능한 경우에는 대상기관의 승인 하에 관련 자료 등을 안전하게 파기하여야 한다. (6) 영향평가서의 제출(영 제38조제2항 후문) 평가기관으로부터 영향평가서를 송부받은 공공기관의 장은 개인정보파일의 구 축ㆍ운용에 앞서 해당 영향평가서를 행정안전부장관에게 제출하여야 한다. 만약 영향평가서에 개선 필요 사항이 포함된 경우에는 그에 대한 조치 내용도 포함하 여야 한다.

276 (7) 사후관리 행정안전부장관은 평가기관 지정 후 인력변동, 휴업 폐업, 양도 양수, 합병 등으로 인한 변동사항이 있는지 여부와 평가기관이 심사 당시의 평가기준에 적합한지 여부를 확인할 수 있으며, 이를 위하여 현장실사, 관련 자료 등의 제출을 요구할 수 있다. 평가기관은 업무수행구역 및 설비에 대한 보호대책, 인원에 대한 보호대책, 문 서 및 전산자료에 대한 보호대책 등을 수립하고 준수하여야 한다. 영향평가 업무 수행구역 및 설비에 대한 보호대책으로 평가기관은 개인정보 영향평가를 수행하는 업무수행구역 지정 및 출입통제, 개인정보 영향평가 분석자료를 처리 전송 저장하는 정보통신망에 대한 위험분석에 따른 통제대책을 강구하여야 한다. 영향평가 수행인원에 대한 보호대책으로 평가기관은 영향평가 수행인력에 대한 비밀유지 의무를 포함한 제반 의무사항, 수행인력 채용 시 적격심사와 퇴직 시 퇴직 관리, 수행인력이 평가기관의 보안대책 위반 시 제재 및 처리, 임직원의 정기적인 내 외부의 개인정보 영향평가 교육 수행 및 이수 등의 제반사항에 관한 지침 절차를 강구하여야 한다. 문서 및 전산자료에 대한 보호대책으로 평가기관은 개인정보 영향평가 분석자 료(부수자료 포함)를 보호하기 위하여 다음과 같은 보호대책을 강구하여야 한다. 법 제12조의 표준 개인정보 보호지침에 따른 보호대책 마련 수행 인력 외에 분석자료에 접근 열람, 편집 반출 폐기하지 못하도록 통제 정보통신망 이용 시 분석자료에 대한 위험분석에 따른 통제 출력물 형태의 개인정보 영향평가 분석자료에 대한 보관 복사 배포 폐기 등에 관한 통제 그밖에 일반관리대책으로는 영향평가에 관한 기본방침을 대표자가 공표하고 영향평가 수행인력을 포함한 임직원이 숙지하도록 하며, 영향평가업무에 대한 위 험분석 및 통제대책에 관한 실태를 주기적으로 점검하고 평가하여 안전하게 관 리하도록 하여야 한다.

277 < 개인정보 영향평가기관 보호대책의 주요 내용> 항 목 주 요 내 용 Ⅰ. 영향평가 수행구역 및 설비에 대한 보호대책 II. 영향평가 수행인원에 대한 보호대책 III. 문서 및 전산자료에 대한 보호대책 Ⅳ. 일반 관리 대책 1. 영향평가를 수행하는 구역을 지정하여야 한다. 이 구역은 해당 영향평가 수행인력이 아닌 자의 출입이 제한되어야 한다. 2. 영향평가 분석자료를 처리 전송 저장하는 정보통신망에 대하 여 위험분석에 따른 통제대책을 강구하여야 한다. 이 경우 노트 북 컴퓨터, 그 밖에 휴대용 정보처리기기에 대한 통제대책을 포 함하여야 한다. 3. 영향평가 수행인력이 관계법령에 따르는 비밀유지의무를 포함한 제반의무를 숙지하고 이의 준수를 확약하는 내용의 서약서를 작성하는 지침과 절차를 마련하여야 한다. 4. 영향평가 수행인력을 채용할 때의 적격 심사와 퇴직할 때의 퇴직자 관리를 위한 지침과 절차를 마련하여야 한다. 5. 영향평가 수행인력이 평가기관의 보안대책을 위반하는 경우의 제재 및 처리에 관한 내부규정을 마련하여야 한다. 6. 영향평가 수행인력을 포함한 임직원이 정기적으로 업체 내부 및 외 부의 개인정보 영향평가 교육을 받을 수 있도록 하여야 한다. 7. 영향평가 분석자료(부수자료를 포함한다)를 보호하기위하여 법 제12 조의 표준개인정보 보호지침에 따른 보안대책을 마련하여야 한다. 8. 영향평가 수행인력이 아닌 자는 영향평가 분석자료에 접근 열람하거 나 편집 반출 폐기하지 못하도록 통제대책을 강구하여야 한다. 9. 정보통신망을 통하여 처리 전송 저장하는 영향평가 분석 자료에 대하여 위험분석에 따른 통제대책을 강구하여야 한다. 10. 서면, 도면, 마이크로필름 전산출력물 등 출력물 형태의 영향평가 분석자료에 대한 보관 복사 배포 파기 등에 관한 통제대책 을 강구하여야 한다. 11. 영향평가에 관한 평가기관의 기본방침을 대표자가 서면으로 공표하고 영향평가 수행인력을 포함한 임직원이 이를 숙지하여 야 한다. 12. 영향평가업무에 대한 위험분석 및 통제대책의 관리 운영실 태를 주기적으로 점검 평가하여야 한다. (8) 영향평가 수행안내서(영향평가고시 제11조) 행정안전부장관은 영향평가 수행안내서는 영향평가에 관한 일반적인 개요, 영 향평가의 절차 및 방법, 평가분야 및 평가항목, 개인정보의 침해요인 분석, 개선사 항의 도출, 영향평가서의 작성 등에 관한 세부적인 사항을 설명하는 영향평가 수행 안내서를 마련하여 제공할 수 있다.

278 6. 헌법기관 등에 대한 특칙(제7항, 제8항) 가. 헌법기관의 영향평가 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 영향 평가에 관한 사항은 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원 회규칙으로 정하는 바에 따른다. 이들 헌법기관도 공공기관에 포함되기 때문에 개인정보파일을 구축ㆍ운용 또는 변경하려고 하는 경우에는 영향평가를 실시하여야 하나 권력분립 원칙에 따라 이들 기관의 영향평가에 관한 사항은 해당 기관의 규칙으로 정하도록 하였다. 나. 민간기관의 영향평가 공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적극 노력하여야 한다. 민간부문의 경우 개인정보 취급 양상이 분야별로 다양하여 일률적인 기준으로 개인정보 영향평가의 필요성이나 실효성을 판단하기 곤란하고 비용도 만만치 않기 때문에 자율적으로 시행하도록 하였다. 7. 개인정보 영향평가에 관한 경과조치 법 시행 당시( ) 제35조에 따른 개인정보파일을 운영하고 있거나, 운용할 목적으로 제35조에 따른 개인정보파일을 구축하고 있는 공공기관의 장은 법 시행일로부터 5년 이내에 해당 개인정보파일에 대한 영향평가를 실시하고 그 결과를 행정안전부장관에게 제출하여야 한다(영 부칙 제6조). 즉 2011년 9 월30일 이전에 개인정보 영향평가 실시대상이 되는 개인정보파일을 구축 운영 하고 있는 경우에는 2016년 9월29일까지 영향평가를 수행하여 그 결과를 제출 하여야 한다. 다만 법시행일( ) 이후에 개인정보 영향평가 실시대상이 되는 정보시 스템을 구축정보시스템을 구축ㆍ운용ㆍ연계ㆍ변경하려는 공공기관의 장은 2011년 12월31일까지 영향평가계획을 수립하고, 2012년 9월 30일까지 영향평가를 완료하 여야 한다(영향평가 고시 부칙 제2조). 법 시행일이후 당해 연도에 정보시스템을

279 구축 운용 또는 변경하거나 연계하려는 공공기관은 정보시스템의 설계단계에서 개인정보 영향평가를 수행하여야 하나, 기관 사정으로 인해 영향평가를 수행하지 않아 사업이 지연되지 않도록 영향평가계획을 우선 수립하고, 2012년 9월 30일까지 영향평가를 완료할 수 있도록 하기 위함이다. 예를 들어 OO기관이 A시스템을 20 11년 10월 5일부터 구축하게 된 경우, 사업계획 단계에서 영향평가를 반영하지 못하여 A시스템의 설계단계에서 영향평가를 수행하지 못해 사업지연 등 피해를 막기 위해 고시 시행년도 12월 31일까지는 영향평가에 관한 계획을 수립하고, 20 12년 9월 30일까지 영향평가를 수행하면 된다.

280 제34조 개인정보 유출 통지 등 법률 시행령 제34조(개인정보 유출 통지 등) 1 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다. 1. 유출된 개인정보의 항목 2. 유출된 시점과 그 경위 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보 주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해 구제절차 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담 당부서 및 연락처 2 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하 기 위한 대책을 마련하고 필요한 조치를 하여야 한다. 3 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 행정안전부장관 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 행정안전부장관 또는 대통령령으로 정하 는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다. 4 제1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다. 제39조(개인정보 유출 신고의 범위 및 기관) 1 법 제34조제3항 전 단에서 대통령령으로 정한 규모 이상의 개인정보 란 1만명 이상 의 정보주체에 관한 개인정보를 말한다. 2 법 제34조제3항 전단 및 후단에서 대통령령으로 정하는 전문 기관 이란 다음 각 호의 어느 하나에 해당하는 기관을 말한다. 1. 국가정보화 기본법 제14조에 따른 한국정보화진흥원(이하 한 국정보화진흥원 이라 한다) 2. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제52조에 따른 한국인터넷진흥원(이하 한국인터넷진흥원 이라 한다) 제40조(개인정보 유출 통지의 방법 및 절차) 1 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 서면등의 방법으로 지체 없이 법 제34조제1항 각 호의 사항을 정보주체에게 알려야 한다. 다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위 하여 접속경로의 차단, 취약점 점검ㆍ보완, 유출된 개인정보의 삭 제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있다. 2 제1항에도 불구하고 개인정보처리자는 같은 항 본문에 따라 개 인정보가 유출되었음을 알게 되었을 때나 같은 항 단서에 따라 유 출 사실을 알고 긴급한 조치를 한 후에도 법 제34조제1항제1호 및 제 34 조

281 표준지침 제2호의 구체적인 유출 내용을 확인하지 못한 경우에는 먼저 개인 정보가 유출된 사실과 유출이 확인된 사항만을 서면등의 방법으로 먼저 알리고 나중에 확인되는 사항을 추가로 알릴 수 있다. 3 제1항과 제2항에도 불구하고 법 제34조제3항 및 이 영 제39조 제1항에 따라 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면등의 방법과 함께 인터넷 홈페이지에 정보주체가 알 아보기 쉽도록 법 제34조제1항 각 호의 사항을 7일 이상 게재하여 야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 개인정보처 리자의 경우에는 서면등의 방법과 함께 사업장등의 보기 쉬운 장 소에 법 제34조제1항 각 호의 사항을 7일 이상 게시하여야 한다. 제4절 개인정보 유출 통지 제26조(개인정보의 유출) 개인정보의 유출이라 함은 법령이나 개인정보처 리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인 정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 것으로서, 다음 각 호의 어느 하나에 해당하는 경우를 말한다. 1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하 거나 도난당한 경우 2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한 이 없는 자가 접근한 경우 3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우 4. 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우 제29조(개인정보 유출신고) 1 개인정보처리자는 1만명 이상의 정보주체 에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 조치결과 를 5일 이내에 행정안전부장관 또는 시행령 제39조제2항 각호의 전문기 관 중 어느 하나에 신고하여야 한다. 2 제1항에 따른 신고는 별지 제1호서식에 따른 개인정보 유출신고서를 통하여 하여야 한다. 3 개인정보처리자는 전자우편, 팩스 또는 인터넷 사이트를 통하여 유출신 고를 할 시간적 여유가 없거나 그밖에 특별한 사정이 있는 때에는 먼저 전화를 통하여 제27조제1항의 사항을 신고한 후, 별지 제1호서식에 따른 개인정보 유출신고서를 제출할 수 있다. 4 개인정보처리자는 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 제27조제1항에 따른 통지와 함께 인터넷 홈페이지에 정보주체 가 알아보기 쉽도록 제27조제1항 각호의 사항을 7일 이상 게재하여야 한다. 제27조(통지시기 및 항목) 1 개인정보처리자는 실제로 유출 사고가 발생 한 것으로 확인된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체 에게 다음 각 호의 사항을 알려야 한다. 1. 유출된 개인정보의 항목

282 2. 유출된 시점과 그 경위 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해구제절차 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 2 개인정보처리자는 제1항제2호의 경우 개인정보 유출 사고가 최초 발생한 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우에는 이에 대한 과실유무를 입증하여야 한다. 3 개인정보처리자는 제1항 각 호의 조치를 취한 이후에는 정보주체에게 다음 각 호의 사실만을 일차적으로 알리고, 추후 확인되는 즉시 알릴 수 있다. 1. 정보주체에게 유출이 발생한 사실 2. 제27조제1항의 통지항목 중 확인된 사항 제28조(통지방법) 1 개인정보처리자는 정보주체에게 제27조제1항 각호 의 사항을 통지할 때에는 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통하여 지체 없이 정보주체에게 알려야 한다. 2 개인정보처리자는 제1항의 통지방법과 동시에, 홈페이지 등을 통하여 제27조제1항 각호의 사항을 공개할 수 있다. 개인정보 특히 디지털화된 개인정보는 정보주체가 유출 여부를 알기 어려우며, 한 번 유출된 개인정보는 다시 제2, 제3의 피해로 전이될 가능성이 크다. 예를 들어 유출된 개인정보를 이용한 인터넷 명의도용, 전화사기(피싱), 스팸발송 등 다양한 피해로 확산될 위험이 크다. 따라서 이 법은 개인정보 유출로 인한 피해 를 사전에 방지하고 정보주체로 하여금 유출에 대응할 수 있도록 하기 위해 정보 주체에 대한 통지 및 관련기관에의 신고 의무를 부여하고 있다. 1. 개인정보 유출 통지의무(제1항) 가. 통지의무의 발생 개인정보가 유출되었음을 알게 되었을 때 통지 의무가 발생한다. 유출 이란 고 의 과실 여부를 불문하고 개인정보처리자의 관리 범위를 벗어나 개인정보가 외부 에 공개, 제공, 누출, 누설된 모든 상태를 말한다. 즉 개인정보 유출 은 법령이 나 개인정보처리자의 자유로운 의사에 의하지 않고, 개인정보처리자가 정보주체 의 개인정보에 대한 통제 상실 또는 권한 없는 자의 접근을 허용하는 것으로 1

283 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난 당한 경우, 2 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적 인 권한이 없는 자가 접근한 경우, 3개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 그 밖의 저장매체가 권한이 없는 자에게 잘못 전달된 경우, 4그 밖에 권한이 없는 자에게 개인정보가 전달되거나 개인정 보처리시스템 등에 접근 가능하게 된 경우를 말한다(표준지침 제26조). 즉 개인정보가 해당 개인정보처리자의 관리 통제권을 벗어나 당해 개인정보를 모르는 제3자가 그 내용을 알수 있는 상태에 이르게 되면 개인정보가 유출된 것 이다. 이때 제3자가 개인정보의 내용을 취득하여야만 유출되었다고 보는 것은 아 니며, 일반적 수준의 제3자가 해당 정보를 알 수 있는 상태에 이르렀다면 개인정 보가 유출된 것으로 본다. 참고 개인정보 유출 범위에 대한 판례 OO 온라인 게임을 이용하는 과정에서 PC방 컴퓨터에 기록 저장된 로그파 일에 해당 온라인 게임의 아이디와 비밀번호가 기록된 경우에는 컴퓨터에 관한 일정 지식이 있는 제3자라면 누구라도 로그파일에 접근하여 해당 정보 를 알 수 있는 상태에 이르렀다고 보아 게임사의 손해배상 책임을 인정 (서울중앙지방법원 판결) 유출된 개인정보의 수량, 종류, 시기 등은 따지지 않는다. 따라서 단 1건의 개인 정보가 유출되었더라도 해당 정보주체에게 그 사실을 통지해야 한다. 유출된 개인 정보가 암호화 되어 있는 때에는 통지의무를 면제하고 있는 나라(미국 등)도 있지 만 우리나라에서는 그와 같은 예외를 인정하고 있지 않다. 개인정보의 유출 사실을 알게 되었을 때 이므로, 유출사실이 일어났다고 해서 바로 통지의무가 발생하는 것은 아니며, 유출 사실을 개인정보처리자가 인지한 시점에서 유출통지 의무가 발생한다. 개인정보가 개인정보처리자의 관리 통제 권을 벗어나 제3자가 그 개인정보를 알 수 있는 상태에 이르렀다는 사실을 알게 되었을 때도 이에 해당한다. 나. 통지 사항 개인정보처리자는 정보주체가 개인정보 유출사실을 정확히 인지하고 적절히 대처할 수 있도록 다음 각 호의 사실을 알려야 한다.

284 개인정보 유출 통지사항 (법 제34조제1항) 1. 유출된 개인정보의 항목 2. 유출된 시점과 그 경위 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해 구제절차 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 라. 통지 시기 유출되었음을 알게 되었을 때 에 지체없이 통지하여야 한다. 여기서 지체없이 란 5일 이내 를 의미한다. 따라서 최초로 개인정보 유출사실을 발견한 때로부터 유 출현황, 사건경위, 잠정원인 등을 파악하는데 소요되는 시간을 고려하여 5일 이 내에 통지하여야 한다(표준지침 제27조제1항). 개인정보 유출사고가 발생하였지 만 그 사실을 알지 못한 상태로 있거나 일정 시간이 경과한 후 유출 사고의 발 생을 확인한 때에는, 개인정보처리자는 유출시점과 확인시점 사이의 시간적 경 과에 대한 과실유무를 입증해야 한다(표준지침 제27조제1항). 다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차 단, 취약점 점검ㆍ보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우 에는 해당 조치를 취한 후 지체 없이 정보주체에게 알릴 수 있다(영 제40조제1항 단서). 개인정보처리자는 개인정보의 유출확산을 방지하기 위하여 1개인정보가 유출되었을 것으로 의심되는 개인정보처리시스템의 접속권한 삭제 변경 또는 폐 쇄 조치,2네트워크, 방화벽 등 대 내외 시스템 보안점검 및 취약점 보완 조치, 3후 수사에 필요한 외부의 접속기록 등 증거 보존 조치, 4정보주체에게 유출 관련 사실을 통지하기 위한 유출확인 웹페이지 제작 등의 통지방법 마련 조치, 5 기타 개인정보의 유출확산 방지를 위해 필요한 기술적 관리적 조치 가운데 어 느 하나에 해당하는 필요한 조치를 할 수 있다(표준지침 제28조제1항). 개인정보처리자는 필요한 조치를 취할 때까지 정보주체에게 유출통지를 연기 할 수 있는데, 조치를 취한 이후에는 정보주체에게 정보주체에게 유출이 발생한 사실을 통지한다. 개인정보 유출사고가 발생한 것으로 확인된 때에는 해당 정보 주체에게 통지하여야 하는 사항 중 확인된 사항을 알려야 한다. 일차적으로 확인 된 사항을 알린 후 계속해서 확인된 사항이 있는 경우에는 확인된 사항을 정보

285 주체에게 알릴 수 있다(표준지침 제28조제2항). 예를 들어 OO회사에서 고객에게 주민등록번호 유출사실을 통지한 후 1주일 후에 고객의 주소정보가 유출되었음 을 확인한 때에는 추가로 주소정보가 유출되었다는 사실을 알릴 수 있다. 마. 통지 방법 통지는 서면 등의 방법으로 하여야 한다(영 제40조제1항 본문). 즉 서면, 전자 우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법을 이용한 개별적 통지 방법 이면 된다. 그러나 웹사이트 게재, 관보 고시 등과 같은 집단적인 공시만으로는 정보주체에게 유출 사실을 알린 것이라고 볼 수 없다. 바. 확인사실의 우선통지 개인정보의 유출을 알게 된 때 또는 유출사실을 알고 긴급한 조치를 취한 후 에도 유출된 개인정보의 항목, 유출 시점 및 그 경위의 구체적인 내용을 확인하 지 못한 경우에는 먼저 개인정보가 유출된 사실과 유출이 확인된 사항만을 서면 등의 방법으로 먼저 알리고 추후 확인되는 사항을 추가로 알릴 수 있다(영 제40 조제2항). 2. 인터넷 홈페이지 게시(영 제40조제3항) 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 7일 이상 법 제34조제1항 각 호의 사항(유출 통지사항)을 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 않는 개인정보처리자의 경우에는 서면등의 방법과 함께 사업장등의 보기 쉬운 장소에 법 제34조제1항 각 호의 사항을 게시 하면 된다(영 제40조제3항). 3. 피해 최소화 등의 조치의무(제2항) 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다. 시스템 일시정지, 암호 등의 변경, 유출 원 인 분석, 기술적 보안조치 강화, 시스템 변경, 기술지원 의뢰 및 복구 등과 같은 임

286 시 대응조치에서부터 유사사고 발생 방지대책 수립 및 시행 등과 같은 장래의 피 해 예방조치도 강구되어야 한다. 우선적으로 개인정보 유출사실을 지체없이 피 해고객에게 통지하고, 피해고객으로부터 개인정보 유출로 인한 피해 현황을 접수 받을 수 있는 창구를 마련해야 한다. 또한 신속하고 적절한 피해확산을 방지하고 피해를 복구하기 위하여 개인정보 유출을 야기한 직 간접적인 사고발생 원인을 즉시 제거하고, 미비한 기술적 관리적 물리적 보호조치를 보완하며, 유출된 개 인정보의 악용 또는 도용을 막을 수 있는 대책 마련 등의 조치를 취해야 한다. 4. 개인정보 유출 신고의무(제3항, 영 제39조) 3 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우 에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 행정안전부 장관 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 행정안 전부장관 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등 을 위한 기술을 지원할 수 있다. 일정 규모 이상의 대량 개인정보 유출이 발생한 경우에는 이를 단순히 정보주 체에게 통지하는 것만으로는 부족하며, 이를 정부 및 관계 전문기관에 알림으로 써 체계적 조직적 대응을 할 필요가 있다. 이에 따라 이 법은 1만명 이상 의 정 보주체의 개인정보가 유출된 경우에는 정보주체에 대한 통지의무와 더불어, 통지 결과 및 조치 결과를 지체없이 행정안전부 또는 전문기관에 신고하도록 하였다. 여기서 지체없이 란 5일 이내를 의미한다. 이 법은 개인정보 유출신고를 접수할 전문기관으로서 한국정보화진흥원 및 한 국인터넷진흥원을 지정하고 있다(영 제39조제2항). 개인정보유출신고는 개인정 보 유출신고서 (표준지침 별지 제1호 서식)를 통하여 신고하여야 한다(표준지침 제30조제1항). 다만 전자우편, 팩스 또는 인터넷 사이트를 통하여 유출신고를 할 시간적 여유가 없거나 그 밖에 특별한 사정이 있는 때에는 전화를 통하여 먼저 신고한 후 개인정보 유출신고서 를 제출할 수 있다(표준지침 제30조제2항). 행 정안전부장관 또는 전문기관은 유출신고가 접수된 경우에는 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다.

287 < 개인정보 유출신고 > 신고기관 신고시기 신고내용 신고방법 행정안전부(개인정보보호 종합지원시스템) 한국정보화진흥원 한국인터넷진흥원 5일 이내(정보주체에 대한 통지 및 조치결과 신고) 기관명, 통지여부, 유출된 개인정보 항목 규모, 유출시점 경 위, 유출피해 최소화 대책 조치 및 결과, 정보주체가 할 수 있는 피해 최소화 방법 및 구제절차, 담당부서, 담당자 및 연 락처 등 전자우편, 팩스 인터넷사이트를 통해 유출사고 신고 및 신 고서 제출 시간적 여유가 없거나 특별한 사정이 있는 경우:전화를 통 하여 통지내용을 신고한 후, 유출 신고서를 제출할 수 있음 6. 다른 법률과의 관계 다른 법률에서는 개인정보 유출통지 및 신고의무 와 관련한 규정을 두고 있지 않으므로, 정보통신서비스제공자, 신용정보이용 제공자 등은 개인정보 보호법 에 따라 개인정보가 유출된 경우 정보주체에게 통지하고, 1만건 이상 유출된 경우 행정안전부 및 전문기관에 신고하여야 한다. 7. 벌칙규정 위반행위 개인정보 유출 통지의무 위반 (제34조제1항 위반) 조치 결과의 신고를 하지 아니한 자 (제34조제3항 위반) 벌칙 3천만원 이하의 과태료 (제75조제2항제8호) 3천만원 이하의 과태료 (제75조제2항제9호) 8. 질의응답 FAQ 개인정보 유출이 발생하였으나 정보주체의 연락처 정보가 없어 유출통지가 어려운 경우에는 어떻게 해야 하는가 연락처가 없어 정보주체에게 유출통지가 어려운 경우에는 시행령제28조제2 항 및 제31조제2항,제3항을 준용하여 인터넷 홈페이지에 지속적으로 게재 하거나 정보주체가 알아보기 쉬운 장소에 게시하는 등의 방법을 통하여 유 출사실을 공개할 필요가 있다.

288 제5장 정보주체의 권리 보장 제35조 제36조 제37조 제38조 제39조 개인정보의 열람 개인정보의 정정 삭제 개인정보의 처리 정지 등 권리행사의 방법 및 절차 등 손해배상책임

289

290 제35조 개인정보의 열람 제 35 조 법률 시행령 제35조(개인정보의 열람) 1 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다. 2 제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공 공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대 통령령으로 정하는 바에 따라 행정안전부장관을 통하여 열람을 요구할 수 있다. 3 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다. 4 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정 보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다. 1. 법률에 따라 열람이 금지되거나 제한되는 경우 2. 다른 사람의 생명 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우 가. 조세의 부과 징수 또는 환급에 관한 업무 나. 초 중등교육법 및 고등교육법 에 따른 각급 학교, 평생교 육법 에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교 육기관에서의 성적 평가 또는 입학자 선발에 관한 업무 다. 학력 기능 및 채용에 관한 시험, 자격 심사에 관한 업무 라. 보상금 급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무 마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무 5 제1항부터 제4항까지의 규정에 따른 열람 요구, 열람 제한, 통지 등 의 방법 및 절차에 관하여 필요한 사항은 대통령령으로 정한다. 제41조(개인정보의 열람절차 등) 1 정보주체는 법 제35조제1항 및 제2 항에 따라 자신의 개인정보에 대한 열람을 요구하려는 경우에는 행정안 전부령으로 정하는 바에 따라 다음 각 호의 사항 중 열람하려는 사항을 표시한 개인정보 열람요구서를 개인정보처리자에게 제출하여야 한다. 1. 개인정보의 항목 및 내용 2. 개인정보의 수집ㆍ이용의 목적 3. 개인정보 보유 및 이용 기간 4. 개인정보의 제3자 제공 현황 5. 개인정보 처리에 동의한 사실 및 내용 2 정보주체가 법 제35조제2항에 따라 행정안전부장관을 통하여 자신의 개 인정보에 대한 열람을 요구하려는 경우에는 제1항에 따른 개인정보 열

291 람요구서를 행정안전부장관에게 제출하여야 한다. 이 경우 행정안전부 장관은 지체 없이 그 개인정보 열람요구서를 해당 공공기관에 이송하여 야 한다. 3 법 제35조제3항 전단에서 대통령령으로 정하는 기간 이란 10일을 말한다. 4 개인정보처리자는 제1항에 따른 개인정보 열람요구서를 받은 날부터 10 일 이내에 정보주체에게 해당 개인정보를 열람할 수 있도록 하는 경우 와 제42조제1항에 따라 열람 요구 사항 중 일부를 열람하게 하는 경우 에는 열람할 개인정보와 열람이 가능한 날짜ㆍ시간 및 장소 등(제42조 제1항에 따라 열람 요구 사항 중 일부만을 열람하게 하는 경우에는 그 사유와 이의제기방법을 포함한다)을 행정안전부령으로 정하는 열람통지 서로 해당 정보주체에게 알려야 한다. 제42조(개인정보 열람의 제한ㆍ연기 및 거절) 1 개인정보처리자는 제4 1조제1항에 따른 열람 요구 사항 중 일부가 법 제35조제4항 각 호의 어느 하나에 해당하는 경우에는 그 일부에 대하여 열람을 제한할 수 있으며, 열람이 제한되는 사항을 제외한 부분은 열람할 수 있도록 하여 야 한다. 2 개인정보처리자가 법 제35조제3항 후단에 따라 정보주체의 열람을 연기하거나 같은 조 제4항에 따라 열람을 거절하려는 경우에는 열람 요구를 받은 날부터 10일 이내에 연기 또는 거절의 사유 및 이의제기 방법을 행정안전부령으로 정하는 열람의 연기ㆍ거절 통지서로 해당 정 보주체에게 알려야 한다. 시행규칙 표준지침 제3조(개인정보 보호 업무 관련 장부 및 문서 서식) 6 법 제35조제5항 및 영 제41조제1항에 따른 개인정보 열람의 요구, 법 제36조제6항 및 영 제43조제1항에 따른 개인정보 정정ㆍ삭제 요구 및 영 제44조제1항 에 따른 개인정보 처리정지 요구는 별지 제8호 서식의 개인정보 열람, 정정 삭제, 처리정지 요구서에 따른다. 7 법 제35조제5항 및 영 제41조제4항에 따른 개인정보 열람 및 일부 열람의 통지, 영 제42조제2항에 따른 개인정보 열람의 연기 및 거절의 통지는 별지 제9호 서식의 개인정보 열람, 일부열람, 열람연기, 열람거 절 통지서에 따른다. 제30조(개인정보 열람 연기 사유의 소멸) 개인정보처리자가 법 제35조제3항 후문에 따라 개인정보의 열람을 연기한 후 그 사유가 소멸한 경우에는 정당한 사유가 없는 한 사유가 소멸한 날로부터 10일 이내에 열람하도록 하여야 한다. 2 정보주체로부터 시행령 제41조제1항제4호의 규정에 따른 개인정보의 제3자 제공현황의 열람청구를 받은 개인정보처리자는, 국가안보에 긴요한 사안으로 법 제35조제4항제3호마목의 규정에 따른 업무를 수행하는데 중대 한 지장을 초래하는 경우, 제3자에게 열람청구의 허용 또는 제한, 거부와 관련한 의견을 조회하여 결정할 수 있다.

292 제31조(개인정보의 정정 삭제) 1 개인정보처리자가 법 제36조제1항에 따른 개인정보의 정정 삭제 요구를 받았을 때에는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ㆍ삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다. 2 정보주체의 정정 삭제 요구가 법 제36조제1항 단서에 해당하는 경우에는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 삭제를 요구할 수 없는 근거법령의 내용을 정보주체에게 알려야 한다. 제32조(개인정보의 처리정지) 1 개인정보처리자가 정보주체로부터 법 제37 조제1항에 따라 개인정보처리를 정지하도록 요구받은 때에는 법 제37조제2 항단서에 해당하지 않고 다른 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 개인정보의 처리의 일부 또는 전부를 정지하여야 한다. 2 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여는 정당한 사유가 없는 한 처리정지의 요구를 받은 날로부터 10일 이내에 해당 개인정보의 파기 등 정보주체의 요구에 상응하는 조치를 취하고 그 결과를 정보주체에게 알려야 한다. 제33조(권리행사의 방법 및 절차) 개인정보처리자는 개인정보를 수집하는 방법과 동일하거나 보다 쉽게 정보주체가 열람요구 등 권리를 행사할 수 있도록 간편한 방법을 제공하여야 하며, 개인정보의 수집시에 요구되지 않았 던 증빙서류 등을 요구하거나 추가적인 절차를 요구할 수 없다. 이는 시행령 제46조에 따라 본인 또는 정당한 대리인임을 확인하고자 하는 경우와 수수료와 우송료의 정산에도 마찬가지로 적용된다. 제52조(정보주체의 열람등 요구) 1정보주체는 영상정보처리기기 운영자 가 처리하는 자신의 개인영상정보에 대하여 열람 및 존재확인(이하 열람등 이라 한다)을 해당 영상정보처리기기 운영자에게 요구할 수 있다. 다만, 영상정보처리기기 운영자가 공공기관인 경우에는 해당 기 관의 장에게 별지 서식 제2호에 따른 개인영상정보 열람 존재확인 청구서(전자문서를 포함한다)로 하여야 한다. 2 영상정보처리기기운영자는 제1항에 따른 요구를 받았을 때에는 지체 없이 필요한 조치를 취하여야 한다. 이때에 영상정보처리기기운영자는 열 람등 요구를 한 자가 본인이거나 정당한 대리인인지를 주민등록증 운전 면허증 여권 등의 신분증명서를 제출받아 확인하여야 한다. 3 제2항의 규정에도 불구하고 다음 각 호에 해당하는 경우에는 영상정 보처리기기운영자는 정보주체의 개인영상정보 열람등 요구를 거부할 수 있 다. 이 경우에 10일 이내에 서면 등으로 거부 사유 및 불복할 수 있는 방 법을 정보주체에게 통지하여야 한다. 1. 범죄수사 공소유지 재판수행에 중대한 지장을 초래하는 경우(공 공기관에 한함) 2. 개인영상정보의 보관기간이 경과하여 파기한 경우

293 3. 기타 정보주체의 열람 등 요구를 거부할 만한 정당한 사유가 존재 하는 경우 4영상정보처리기기 운영자는 제2항 및 3항에 따른 조치를 취하는 경우에, 다음 각 호의 사항을 제50조의 개인영상정보 관리대장 에 기록하고 관리 하여야 한다. 1. 개인영상정보 열람 등을 요구한 정보주체의 성명 및 연락처 2. 정보주체가 열람 등을 요구한 개인영상정보 파일의 명칭 및 내용 3. 개인영상정보 열람 등의 목적 4. 개인영상정보 열람 등을 거부한 경우 그 거부의 구체적 사유 5. 정보주체에게 개인영상정보 사본을 제공한 경우 해당 영상정보의 내용과 제공한 사유 5정보주체는 영상정보처리기기 운영자에게 자신의 개인영상정보에 대한 파기를 요구하는 때에는 제1항에 의하여 보존을 요구하였던 개 인영상정보에 대하여만 그 파기를 요구할 수 있다. 영상정보처리기기 운영자가 해당 파기 조치를 취한 경우에는 그 내용을 제50조의 개인 영상정보 관리대장 에 기록하고 관리하여야 한다. 제53조(정보주체 이외의 자의 개인영상정보 보호) 영상정보처리기기운 영자는 제52조제2항에 따른 열람등 필요한 조치를 취할 경우에 해당 개인영상정보 내에 정보주체 이외의 자의 개인영상정보가 포함되어 있는 때에는 해당 제3자의 개인영상정보를 식별할 수 없도록 보호조 치를 취하여야 한다. 정보주체는 개인정보처리자가 자신에 관하여 어떤 정보를 보유하고 있고, 어떻게 활용하고 있으며, 개인정보처리자가 보유하는 개인정보는 정확한지 여부를 확인 할 수 있어야 한다. 이와 같은 정보주체의 권리는 개인정보자기통제권의 핵심을 이룬다. 1. 정보주체의 열람 요구권(제1항) 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다. 열람에는 사본의 교부를 포함한다. 정보주 체가 직접 제공한 개인정보 이외에 제3자 또는 공개된 소스부터 수집한 개인정보, 개인정보처리자가 생산한 개인정보(신용평가, 인사평가, 거래내역, 진료기록 등), 서비스제공 등의 과정에서 자동적으로 생성된 개인정보(수발신내역, 입출기록, 쿠키, 로그기록 등) 등도 열람요구의 대상이 된다.

294 2. 열람요구의 방법 절차(제2항, 영 제41조제1항, 제2항) 가. 개인정보 열람요구서의 제출(영 제41조제1항) 정보주체가 자신의 개인정보에 대한 열람을 요구하려는 경우에는 행정안전부 령으로 정하는 바에 따라 다음 각 호의 사항 중 열람하려는 사항을 표시한 <개 인정보 열람요구서>를 개인정보처리자에게 제출하여야 한다. 열람요구 항목(영 제41조제1항) 1. 개인정보의 항목 및 내용 2. 개인정보의 수집ㆍ이용의 목적 3. 개인정보 보유 및 이용 기간 4. 개인정보의 제3자 제공 현황 5. 개인정보 처리에 대하여 동의한 사실 및 내용 나. 공공기관에 대한 특례(제2항, 영 제41조제2항) 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 행정안전부장관을 통하여 열람을 요구할 수 있다. 정보주체가 행정안전부장관을 통하여 자신의 개인정보에 대한 열람을 요구하 려는 경우에는 <개인정보 열람요구서>를 행정안전부장관에게 제출하여야 한다. 이 경우 행정안전부장관은 지체 없이 그 <개인정보 열람요구서>를 해당 공공기관에 이송하여야 한다. 3. 열람조치 등(제3항, 영 제41조제2항, 3항 및 제4항) 개인정보처리자가 정보주체로부터 개인정보 열람을 요구받았을 때에는 10일 이내에 정보주체가 해당 개인정보를 열람할 수 있도록 조치하여야 한다. 이 경우 개인정보처리자는 열람할 개인정보와 열람이 가능한 일시 및 장소 등(제42조제1 항에 따라 열람 요구 사항 중 일부만을 열람하게 하는 경우에는 그 사유와 이의 제기 방법을 포함한다)을 행정안전부령으로 정하는 <열람통지서>로 해당 정보주 체에게 알려야 한다. 개인정보처리자가 정보주체로부터 개인정보 열람을 요구받았지만 10일 이내에 열람을 하게 할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알 리고 열람을 연기할 수 있다. 개인정보 열람을 연기한 후 그 사유가 소멸하였을

295 경우 연기사유가 소멸한 날로부터 10일 이내 에 열람하도록 하여야 한다(표준지침 제31조제1항). 개인정보처리자가 정보주체의 열람을 연기하려는 경우에는 열람 요구를 받은 날부터 10일 이내에 연기의 사유 및 이의제기 방법을 행정안전부령 으로 정하는 <열람의 연기ㆍ거절 통지서>로 해당 정보주체에게 알려야 한다. 4. 열람의 제한 및 거절(제4항, 영 제42조제1항, 제2항) 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다. 또한 열람 요구 사항 중 일부가 다음 각 호의 어느 하나에 해당하는 경우에는 그 일부에 대하여 열람을 제한할 수 있으며, 열람이 제한되는 사항을 제외한 부분에 대해서는 열람할 수 있도록 하여야 한다. 개인정보처리자가 정보주체의 열람을 거절하려는 경우에는 열람 요구를 받은 날부터 10일 이내에 거절의 사유 및 이의제기 방법을 행정안전부령으로 정하는 <열람의 연기ㆍ거절 통지서>로 해당 정보주체에게 알려야 한다. 열람 제한 거절사유(법 제35조제4항) 1. 법률에 따라 열람이 금지되거나 제한되는 경우 2. 다른 사람의 생명 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖 의 이익을 부당하게 침해할 우려가 있는 경우 3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우 가. 조세의 부과 징수 또는 환급에 관한 업무 나. 초 중등교육법 및 고등교육법 에 따른 각급 학교, 평생교육 법 에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기 관에서의 성적 평가 또는 입학자 선발에 관한 업무 다. 학력 기능 및 채용에 관한 시험, 자격 심사에 관한 업무 라. 보상금 급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업 무 마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무 다만, 개인정보의 제3자 제공현황에 대한 열람청구를 받은 개인정보처리자가 임 의적으로 열람 허용 여부를 결정할 수 있는데, 만약 국가정보원 등 수사기관이 국 가안보에 긴요한 사안에 대한 수사를 진행하고 있는 경우 제3자 제공현황이 수사 대상자에게 노출된다면 증거인멸 등 수사활동이 제대로 수행되기 어려울 수도 있으 므로, 이 경우에는 제3자에 해당하는 당해 수사기관에게 열람청구의 허용 또는 제 한, 거부에 관련한 의견을 조회하여 결정할 수 있다(표준지침 제31조제2항).

296 5. 다른 법률과의 관계 정보통신망법 은 정보통신서비스제공자등이 보유하는 이용자의 개인정보 외 에도 개인정보의 이용 제공 현황에 대한 자료의 열람 및 제공요청을 허용하고 있 다. 따라서 정보통신서비스제공자등은 정보통신망법 에 따라 이용자의 열람청구 에 대하여 필요한 조치를 취하여야 한다. 신용정보법 도 신용정보의 열람 및 정정청구 등에 관하여 규정하고 있으므로, 신용정보이용 제공자 등은 신용정보법 에 따라 신용정보주체의 열람청구 등이 있는 경우 필요한 조치를 취하여야 한다. 제30조(이용자의 권리 등) 2 이용자는 정보통신서비스 제공자 등에 대하여 본인에 관한 다음 각 호의 어느 하나의 사항에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다. 1. 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보 2. 정보통신서비스 제공자등이 이용자의 개인정보를 이용하거 나 제3자에게 제공한 현황 3. 정보통신서비스 제공자등에게 개인정보 수집 이용 제공 등의 동 의를 한 현황 정보통신망법 제30조(이용자의 권리 등) 4 정보통신서비스 제공자등은 제2항 에 따라 열람 또는 제공을 요구받으면 지체 없이 필요한 조치 를 하여야 한다. 제30조(이용자의 권리 등) 5 정보통신서비스 제공자등은 제2항 에 따라 오류의 정정을 요구받으면 지체 없이 그 오류를 정정 하거나 정정하지 못하는 사유를 이용자에게 알리는 등 필요한 조치를 하여야 하고, 필요한 조치를 할 때까지는 해당 개인정 보를 이용하거나 제공하여서는 아니 된다. 다만, 다른 법률에 따라 개인정보의 제공을 요청받은 경우에는 그 개인정보를 제 공하거나 이용할 수 있다. 신용정보법 제38조(신용정보의 열람 및 정정청구 등) 1 신용정보주체는 신 용정보회사등에 본인의 신분을 나타내는 증표를 내보이거나 전화, 인터넷 홈페이지의 이용 등 대통령령으로 정하는 방법으 로 본인임을 확인받아 신용정보회사등이 가지고 있는 본인정 보의 제공 또는 열람을 청구할 수 있으며, 본인정보가 사실과 다른 경우에는 금융위원회가 정하여 고시하는 바에 따라 정정 을 청구할 수 있다. 제38조(신용정보의 열람 및 정정청구 등) 2 제1항에 따라 정 정청구를 받은 신용정보회사등은 정정청구에 정당한 사유가

297 있다고 인정하면 즉시 문제가 된 신용정보에 대하여 정정청 구 중 또는 사실조회 중임을 기입하고, 지체 없이 해당 신용 정보의 제공 이용을 중단한 후 사실인지를 조사하여 사실과 다르거나 확인할 수 없는 신용정보는 삭제하거나 정정하여야 한다. 제39조(무료 열람권) 신용조회회사는 1년 이내로서 대통령령으로 정하는 일정한 기간마다 개인인 신용정보주체가 본인정보를 1 회 이상 무료로 제공받거나 열람할 수 있도록 하여야 한다. 6. 벌칙규정 위반행위 정보주체의 열람 요구의 부당한 제한 거절(제35조제3항 위반) 정보주체의 열람 요구 거부 시 통지의무 불이행(제35조제3항 제4항 위반) 벌칙 3천만원 이하의 과태료 (제75조제2항제10호) 1천만원 이하의 과태료 (제75조제3항제9호) 7. 질의 응답 FAQ 프랜차이즈 외식업체를 운영하고 있는데, 고객들에게 서면으로 멤버십 가입 신청서를 받은 뒤 포인트 적립이나 신메뉴 안내 등의 서비스를 제공해 왔다. 그런데 어떤 고객이 자신은 멤버십 가입신청서에 동의한 적이 없다면서 확인을 요구해 왔다. 이런 경우 어떻게 해야 하는가? 정보주체로부터 개인정보 수집 동의 여부에 대한 확인요구를 받은 경우에는 10일 이내에 해당 회원의 가입신청서를 제시하여 동의 기재란의 자필서명 여부 등을 열 람 확인할 수 있도록 하여야 한다. FAQ 고객이 현재까지 부가서비스 가입내역 등의 개인정보 이용내역을 전부 확인시켜 줄 것을 요구하고 있다. 개인정보 이용내역 분량이 매우 많은데, 이러한 경우에는 어떻게 조치하면 되는가? 원칙적으로 정보주체의 자기정보 열람 요구가 있는 경우에는 법 제35조제4항에 따 른 열람제한 거절사유에 해당하지 않는 한 10일 이내에 필요한 조치를 해야 한다. 다만 개인정보 이용내역 산출 등의 업무에 소요되는 수수료와 우송료 등을 정보주체 에게 청구할 수 있다.

298 제36조 개인정보의 정정 삭제 법률 시행령 시행규칙 제36조(개인정보의 정정ㆍ삭제) 1 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭 제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상 으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다. 2 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에 는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차 가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사 하여 정보주체의 요구에 따라 정정 삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다. 3 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또 는 재생되지 아니하도록 조치하여야 한다. 4 개인정보처리자는 정보주체의 요구가 제1항 단서에 해당될 때에 는 지체 없이 그 내용을 정보주체에게 알려야 한다. 5 개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주 체에게 정정 삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다. 6 제1항 제2항 및 제4항에 따른 정정 또는 삭제 요구, 통지 방법 및 절차 등에 필요한 사항은 대통령령으로 정한다. 제43조(개인정보의 정정ㆍ삭제 등) 1 정보주체는 법 제36조제1항에 따라 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구하 려는 경우에 행정안전부령으로 정하는 개인정보 정정ㆍ삭제 요구서 를 해당 개인정보처리자에게 제출하여야 한다. 2 다른 개인정보처리자로부터 개인정보를 제공받아 개인정보파일 을 처리하는 개인정보처리자는 법 제36조제1항에 따른 개인정보의 정정 또는 삭제 요구를 받으면 그 요구에 따라 해당 개인정보를 정정ㆍ삭제하거나 그 개인정보 정정ㆍ삭제 요구서를 해당 개인정 보를 제공한 기관의 장에게 지체 없이 보내고 그 처리 결과에 따 라 필요한 조치를 하여야 한다. 3 개인정보처리자는 제1항과 제2항에 따른 개인정보 정정ㆍ삭제 요구서를 받은 날부터 10일 이내에 법 제36조제2항에 따라 해당 개인정보의 정정ㆍ삭제 등의 조치를 한 경우에는 그 조치를 한 사 실을, 법 제36조제1항 단서에 해당하여 삭제 요구에 따르지 아니한 경우에는 그 사실 및 이유와 이의제기방법을 행정안전부령으로 정 하는 개인정보 정정ㆍ삭제 결과 통지서로 해당 정보주체에게 알려 야 한다. 제3조(개인정보 보호 업무 관련 장부 및 문서 서식) 6 법 제35조 제5항 및 영 제41조제1항에 따른 개인정보 열람의 요구, 법 제36조 제6항 및 영 제43조제1항에 따른 개인정보 정정ㆍ삭제 요구 및 영 제 36 조

299 제44조제1항에 따른 개인정보 처리정지 요구는 별지 제8호 서식의 개인정보 열람, 정정 삭제, 처리정지 요구서에 따른다. 8 법 제36조제6항 및 영 제43조제3항에 따른 개인정보 정정ㆍ삭제 요구에 대한 결과의 통지와 영 제44조제2항에 따른 개인정보 처리 정지 요구에 대한 결과의 통지는 별지 제10호서식의 개인정보 정정 ㆍ삭제, 처리정지 요구에 대한 결과 통지서에 따른다. 허위 또는 부정확한 정보로부터 정보주체의 권리를 보호하기 위하여 잘못된 개인정보에 대한 정정 또는 삭제를 요구할 수 있는 권리를 정보주체에게 부여하 고자 한 것이다. 그러나 정보의 일방적인 정정 삭제는 또 다른 문제를 낳을 수 있으므로 그 행사에는 일정한 제약이 따른다. 1. 정보주체의 정정 삭제 요구권(제1항) 자신의 개인정보를 열람한 정보주체는 해당 개인정보에 오류가 있거나 보존기 간이 경과한 경우에는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요 구할 수 있다. 정보주체가 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구하려는 경우에 행정안전부령으로 정하는 <개인정보 정정ㆍ삭제 요구서>를 해당 개인정보처리자에게 제출하여야 한다. 2. 정정 삭제 등의 조치(제2항, 제5항) 가. 증거자료의 조사 등 개인정보처리자가 정보주체로부터 정정 삭제의 요구를 받았을 때에는 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보 를 조사하여야 한다. 이 경우 개인정보처리자는 해당 정보주체에게 정정 삭제 요 구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다. 나. 정정 삭제 등 필요 조치 개인정보처리자는 조사결과 정보주체의 요구가 정당하다고 판단되면 개인정보 정정ㆍ삭제 요구서를 받은 날부터 10일 이내에 그 개인정보를 조사하여 정보주 체의 요구에 따라 해당 개인정보의 정정 삭제 등의 조치를 한 후 그 결과를 행

300 정안전부령으로 정하는 <개인정보 정정ㆍ삭제 결과통지서>로 해당 정보주체에게 알려야 한다(영 제43조제3항 전단). 다. 정정 삭제 요구서의 통지 다른 개인정보처리자로부터 개인정보를 제공받아 개인정보파일을 처리하는 개 인정보처리자는 정보주체로부터 개인정보의 정정 또는 삭제 요구를 받은 때에는 그 요구에 따라 해당 개인정보를 정정ㆍ삭제하거나 그 <개인정보 정정ㆍ삭제 요 구서>를 해당 개인정보를 제공한 기관의 장에게 지체 없이 송부하고 그 처리 결 과에 따라 필요한 조치를 취하여야 한다(영 제43조제2항). 개인정보처리자가 개인 정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다. 4. 삭제 거부의 통지(제1항, 제4항, 영 제43조제3항) 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제 를 요구할 수 없다. 이 경우 개인정보처리자는 개인정보 정정ㆍ삭제 요구서를 받 은 날부터 10일 이내에 삭제의 요구에 따르지 않기로 한 사실, 근거 법령의 내용 및 그 이유와 이의제기 방법을 행정안전부령으로 정하는 <개인정보 정정ㆍ삭제 결과통지서>로 해당 정보주체에게 알려야 한다. 사례 법령에 의한 개인정보 보존의무 통신비밀보호법 시행령 제41조(전기통신사업자의 협조의무 등) 2 법 제15조의2제2항에 따른 전기통신사업자의 통신사실확인자료 보관기간은 다음 각 호의 구분에 따른 기간 이상으로 한다. 1. 법 제2조제11호가목부터 라목까지 및 바목에 따른 통신사실확인자료 : 12 개월. 다만, 시외ㆍ시내전화역무와 관련된 자료인 경우에는 6개월로 한다. 2. 법 제2조제11호마목 및 사목에 따른 통신사실확인자료 : 3개월 전자상거래 등에서의 소비자보호에 관한 법률 시행령 제6조(사업자가 보존 하는 거래기록의 대상등) 1법 제6조제3항의 규정에 의하여 사업자가 보존 하여야 할 거래기록의 대상ㆍ범위 및 기간은 다음 각호와 같다. 다만, 통신 판매중개자는 자신의 정보처리시스템을 통하여 처리한 기록의 범위내에서 다음 각호의 거래기록을 보존하여야 한다. 1. 표시ㆍ광고에 관한 기록 : 6월 2. 계약 또는 청약철회 등에 관한 기록 : 5년 3. 대금결제 및 재화등의 공급에 관한 기록 : 5년 4. 소비자의 불만 또는 분쟁처리에 관한 기록 : 3년

301 6. 다른 법률과의 관계 정보통신망법 은 이용자의 동의를 받아 개인정보를 수집 이용토록 하고 있으므 로 이용자가 해당 동의를 철회할 수 있도록 규정하고 있다. 따라서 이 부분에 한 하여는 개인정보 보호법 에 우선하여 적용한다. 그러나 동의를 받는 방법 외 에 법에서 허용하고 있는 개인정보 수집 이용 사유에 해당하여 개인정보를 수 집 이용하고 있는 경우에는 동의 철회가 아니라 이 법에 의한 처리정지 요구권 을 행사할 수 있다. 신용정보법 은 신용정보주체가 신용정보의 정정청구를 할 수 있도록 규정하 고 있으므로, 신용정보주체는 신용정보법 에 따라 신용정보 정정청구를 행사할 수 있다. 제30조(이용자의 권리 등) 2 이용자는 정보통신서비스 제공자 등에 대하여 본인에 관한 다음 각 호의 어느 하나의 사항에 대 한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다. 1. 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보 2. 정보통신서비스 제공자등이 이용자의 개인정보를 이용하거 나 제3자에게 제공한 현황 3. 정보통신서비스 제공자등에게 개인정보 수집 이용 제공 정보통신망법 등의 동의를 한 현황 제30조(이용자의 권리 등) 5 정보통신서비스 제공자등은 제2항 에 따라 오류의 정정을 요구받으면 지체 없이 그 오류를 정정 하거나 정정하지 못하는 사유를 이용자에게 알리는 등 필요한 조치를 하여야 하고, 필요한 조치를 할 때까지는 해당 개인정 보를 이용하거나 제공하여서는 아니 된다. 다만, 다른 법률에 따라 개인정보의 제공을 요청받은 경우에는 그 개인정보를 제 공하거나 이용할 수 있다 신용정보법 제38조(신용정보의 열람 및 정정청구 등) 1 신용정보주체는 신 용정보회사등에 본인의 신분을 나타내는 증표를 내보이거나 전 화, 인터넷 홈페이지의 이용 등 대통령령으로 정하는 방법으로 본인임을 확인받아 신용정보회사등이 가지고 있는 본인정보의 제공 또는 열람을 청구할 수 있으며, 본인정보가 사실과 다른 경우에는 금융위원회가 정하여 고시하는 바에 따라 정정을 청 구할 수 있다. 제38조(신용정보의 열람 및 정정청구 등) 2 제1항에 따라 정정 청구를 받은 신용정보회사등은 정정청구에 정당한 사유가 있다

302 고 인정하면 즉시 문제가 된 신용정보에 대하여 정정청구 중 또는 사실조회 중임을 기입하고, 지체 없이 해당 신용정보의 제공 이용을 중단한 후 사실인지를 조사하여 사실과 다르거나 확인할 수 없는 신용정보는 삭제하거나 정정하여야 한다. 7. 벌칙규정 위반행위 개인정보의 정정 삭제요청에 대한 필요한 조치를 취하지 않고, 개인정보를 계속 이용하거나 제3자에게 제공한 자(제36조제2항 위반 후 이용 제공) 정보주체의 정정삭제요구에 따라 필요조치를 취하지 아니한 자 (제36조제2항 위반) 정보주체의 정정 삭제 요구 거부 시 통지의무 불이행 (제36조제2항 제4항 위반) 벌칙 2년 이하 징역 또는 1천만원 이하의 벌금 (제73조제2호) 3천만원 이하의 과태료 (제75조제2항제11호) 1천만원 이하의 과태료 (제75조제3항제9호) 8. 질의 응답 FAQ 잠재고객들에 대하여 우리 회사 서비스의 광고 메일 및 전화(TM) 홍보를 실시하고 있는데, 어떤 고객이 수신거부를 요청하였다. 이 경우 취해야 할 조치는 무엇인가? 정보주체가 광고메일 및 전화 TM에 대한 수신거부를 요청한 경우에 사업자는 10일 이내(시행령 제43조)에 발송 중지 및 리스트 삭제 등 필요한 조치를 취하여야 한다.

303 제37조 개인정보의 처리정지 등 법률 시행령 제37조(개인정보의 처리정지 등) 1 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다. 이 경우 공공기관에 대하여는 제32조에 따라 등록 대상이 되는 개인정보파 일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다. 2 개인정보처리자는 제1항에 따른 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거 나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해 당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다. 1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 2. 다른 사람의 생명 신체를 해할 우려가 있거나 다른 사람의 재 산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하 는 소관 업무를 수행할 수 없는 경우 4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하 지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우 3 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다. 4 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보 에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다. 5 제1항부터 제3항까지의 규정에 따른 처리정지의 요구, 처리정 지의 거절, 통지 등의 방법 및 절차에 필요한 사항은 대통령령으로 정한다. 제44조(개인정보의 처리정지 등) 1 정보주체는 법 제37조제1항에 따라 개인정보처리자에게 자신의 개인정보 처리의 정지를 요구 하려는 경우에 행정안전부령으로 정하는 개인정보 처리정지 요 구서를 그 개인정보처리자에게 제출하여야 한다. 2 개인정보처리자는 제1항에 따른 개인정보 처리정지 요구서를 받은 날부터 10일 이내에 법 제37조제2항 본문에 따라 해당 개 인정보의 처리정지 조치를 한 경우에는 그 조치를 한 사실을, 같

304 시행규칙 은 항 단서에 해당하여 처리정지 요구에 따르지 아니한 경우에 는 그 사실 및 이유와 이의제기방법을 행정안전부령으로 정하는 개인정보 처리정지 요구에 대한 결과 통지서로 해당 정보주체에 게 알려야 한다. 제3조(개인정보 보호 업무 관련 장부 및 문서 서식) 6 법 제35 조제5항 및 영 제41조제1항에 따른 개인정보 열람의 요구, 법 제 36조제6항 및 영 제43조제1항에 따른 개인정보 정정ㆍ삭제 요구 및 영 제44조제1항에 따른 개인정보 처리정지 요구는 별지 제8호 서식의 개인정보 열람, 정정 삭제, 처리정지 요구서에 따른다. 8 법 제36조제6항 및 영 제43조제3항에 따른 개인정보 정정ㆍ삭 제 요구에 대한 결과의 통지와 영 제44조제2항에 따른 개인정보 처리정지 요구에 대한 결과의 통지는 별지 제10호서식의 개인정 보 정정ㆍ삭제, 처리정지 요구에 대한 결과 통지서에 따른다. 제 37 조 1. 정보주체의 처리정지 요구권(제1항) 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다. 처리정지 요구권은 개인정보처리 활동에 대한 정지를 요구하는 것으로 동의 철회권보다는 그 개념이 넓다. 동의 철회권은 정보주체 자신이 동의한 것에 대해서만 동의를 철회할 수 있으나, 처리정지 요구권은 정보주체 자신이 처리에 동의하지 아니한 것에 대해서는 처리정지를 요구할 수 있는 일종의 법정 해지권 과 같은 성격의 것이라고 할 수 있다. 정보주체는 처리정지 요구의 이유를 댈 필 요가 없으며 언제든지 요구가 가능하다. 한편, 정보주체가 공공기관에 대하여 개인정보 처리정지를 요구하는 경우에는 제32조에 따라 행정안전부에 등록 대상이 되는 개인정보파일 중에 포함된 자신 의 개인정보에 대해서만 처리정지를 요구할 수 있다. 따라서 다음 각 호의 파일 에 포함되어 있는 개인정보에 대해서는 처리정지 요구권을 행사하지 못한다. 처리정지요구 제외 개인정보파일(법 제32조제2항) 1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록 한 개인정보파일 2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처 분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일

305 3. 조세범처벌법 에 따른 범칙행위 조사 및 관세법 에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일 4. 공공기관의 내부적 업무처리만을 위하여 사용 되는 개인정보파일 5. 다른 법령에 따라 비밀로 분류된 개인정보파일 정보주체는 개인정보처리자에게 자신의 개인정보 처리의 정지를 요구하려는 경우에 행정안전부령으로 정하는 <개인정보 처리정지 요구서>를 해당 개인정보 처리자에게 제출하여야 한다. 2. 개인정보의 처리정지(제2항 본문, 제4항, 영 제44조제2항) 개인정보처리자는 개인정보 처리정지 요구를 받았을 때에는 지체 없이 정보주 체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 이 경우 정보주체는 <개인정보 처리정지 요구서>를 받은 날부터 10일 이내에 처 리정지 조치를 한 사실을 및 그 이유와 이의제기 방법을 적은 개인정보 처리정 지 요구에 대한 결과 통지서로 해당 정보주체에게 알려야 한다. 개인정보처리자 는 정보주체의 요구가 있으면 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다. 3. 처리정지 요구의 거부(제2항 각호, 영 제44조제2항) 개인정보처리자가 정보주체로부터 개인정보 처리정지 요구를 받았을 때 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다. 이 경우 개인정보처리자는 정보주체로부터 <개인정보 처리정지 요구서>를 받은 날부터 10일 이내에 처리정지 요구를 거절하기로 한 사실 및 그 이유와 이 의제기 방법을 적은 <개인정보 처리정지 요구에 대한 결과 통지서>를 해당 정보 주체에게 알려야 한다. 처리정지요구 거부사유 (법 제37조제2항) 1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 2. 다른 사람의 생명 신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖 의 이익을 부당하게 침해할 우려가 있는 경우 3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업

306 무를 수행할 수 없는 경우 4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못 하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사 를 명확하게 밝히지 아니한 경우 4. 다른 법률과의 관계 정보통신망법 및 신용정보법 에서는 개인정보 처리정지에 대하여 별도의 규정을 마련하고 있지 않으므로, 이와 관련하여 개인정보 보호법 에 따른다. 7. 벌칙규정 위반행위 개인정보의 처리정지 요구에 따라 처리를 중단하지 않고 계속 이용하거나 제3자에게 제공한 자(제37조) 처리정지된 개인정보에 대해 파기 등의 조치를 하지 않은 자(제37조제4항 위반) 정보주체의 처리정지 요구 거부 시 통지의무 불이행(제37조제3항 위반) 벌칙 2년 이하의 징역 또는 1천만원 이하의 벌금 (제73조제3호) 3천만원 이하의 과태료 (제75조제2항제12호) 1천만원 이하의 과태료 (제75조제3항제9호)

307 제38조 권리행사의 방법 및 절차 등 법률 시행령 제38조(권리행사의 방법 및 절차) 1 정보주체는 제35조에 따른 열 람, 제36조에 따른 정정 삭제, 제37조에 따른 처리정지 등의 요구(이 하 열람등요구 라 한다)를 문서 등 대통령령으로 정하는 방법 절차 에 따라 대리인에게 하게 할 수 있다. 2 만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동 의 개인정보 열람등요구를 할 수 있다. 3 개인정보처리자는 열람등요구를 하는 자에게 대통령령으로 정하 는 바에 따라 수수료와 우송료(사본의 우송을 청구하는 경우에 한한 다)를 청구할 수 있다. 4 개인정보처리자는 정보주체가 열람등요구를 할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개하여야 한다. 5 개인정보처리자는 정보주체가 열람등요구에 대한 거절 등 조치 에 대하여 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차 를 마련하고 안내하여야 한다. 제45조(대리인의 범위 등) 1 법 제38조에 따라 정보주체를 대리할 수 있는 자는 다음 각 호와 같다. 1. 정보주체의 법정대리인 2. 정보주체로부터 위임을 받은 자 2 제1항에 따른 대리인이 법 제38조에 따라 정보주체를 대리할 때 에는 개인정보처리자에게 행정안전부령으로 정하는 정보주체의 위 임장을 제출하여야 한다. 제46조(정보주체 또는 대리인의 확인) 1 개인정보처리자는 제41조제 1항에 따른 열람의 요구, 제43조제1항에 따른 정정ㆍ삭제의 요구 또 는 제44조제1항에 따른 처리정지의 요구(이하 이 조, 제47조 및 제48 조에서 열람등요구 라 한다)를 받았을 때에는 열람등요구를 한 자가 본인이거나 정당한 대리인인지를 확인하여야 한다. 2 공공기관인 개인정보처리자가 전자정부법 제36조제1항에 따른 행정정보의 공동이용을 통하여 제1항에 따른 확인을 할 수 있는 경우 에는 행정정보의 공동이용을 통하여 확인하여야 한다. 다만, 해당 공공 기관이 행정정보의 공동이용을 할 수 없거나 정보주체가 확인에 동의 하지 아니하는 경우에는 그러하지 아니하다. 제47조(수수료 등의 금액 등) 1 법 제38조제3항에 따른 수수료와 우송 료의 금액은 열람등요구에 필요한 실비의 범위에서 해당 개인정보처리 자가 정하는 바에 따른다. 다만, 개인정보처리자가 지방자치단체인 경 우에는 그 지방자치단체의 조례로 정하는 바에 따른다. 2 개인정보처리자는 열람등요구를 하게 된 사유가 그 개인정보처

308 리자에게 있는 경우에는 수수료와 우송료를 청구해서는 아니 된다. 3 법 제38조제3항에 따른 수수료 또는 우송료는 다음 각 호의 구 분에 따른 방법으로 낸다. 다만, 국회, 법원, 헌법재판소, 중앙선거관 리위원회, 중앙행정기관 및 그 소속 기관(이하 이 조에서 국가기 관 이라 한다) 또는 지방자치단체인 개인정보처리자는 전자금융거 래법 제2조제11호에 따른 전자지급수단 또는 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 제2조제10호에 따른 통신과금 서비스를 이용하여 수수료 또는 우송료를 내게 할 수 있다. 1. 국가기관인 개인정보처리자에게 내는 경우: 수입인지 2. 지방자치단체인 개인정보처리자에게 내는 경우: 수입증지 3. 국가기관 및 지방자치단체 외의 개인정보처리자에게 내는 경우: 해 당 개인정보처리자가 정하는 방법 제48조(열람 요구 지원시스템의 구축 등) 1 개인정보처리자는 열람등 요구 및 그에 대한 통지를 갈음하여 해당 업무를 전자적으로 처리할 수 있도록 시스템을 구축ㆍ운영하거나 그 밖의 절차를 정하여 해당 업무를 처리할 수 있다. 2 행정안전부장관은 개인정보처리자 중 공공기관이 보유하고 있는 개인정보에 관한 열람등요구 및 그에 대한 통지에 관한 공공기관의 업무 수행을 효율적으로 지원하기 위하여 시스템을 구축ㆍ운영할 수 있다. 제 38 조 시행규칙 제3조(개인정보 보호 업무 관련 장부 및 문서 서식) 9 영 제45조제 2항에 따른 정보주체의 위임장의 서식은 별지 제11호서식에 따른다. 개인정보처리자는 정보주체의 권리행사 방법과 절차를 어렵게 하거나 정보주 체에게 과도한 비용을 청구하여서는 안 된다. 그러나 정보주체 이외의 자가 권한 없이 또는 권한을 넘어 정보주체의 권리를 대신하여 행사하지 못하도록 적절한 수준의 본인확인 절차를 강구하여야 한다. 1. 대리인에 의한 권리행사(제1항) 정보주체는 개인정보 열람요구권, 정정 삭제요구권, 처리정지요구권 등의 권리 행사를 대리인을 통하여 할 수 있다(제1항). 대리인의 범위에는 정보주체의 법정 대리인 이외에 정보주체로부터 위임을 받은 수임인도 포함된다(영 제45조). 이는 정보 주체의 개인정보와 관련한 요구권을 대리인을 통해 하도록 하는 것으로 개인정보자 기결정권을 행사하는데 필요한 부수적인 절차적 행위를 대리할 수 있다. 따라서 개인 정보자기결정권의 본질인 정보주체의 개인정보 정정 삭제, 처리정지 여부의 결정은 정보주체만이 할 수 있다.

309 2. 법정대리인의 권리행사(제2항) 만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동에 관한 개인 정보의 열람, 정정 삭제, 처리정지 등을 요구할 수 있다. 만 14세 미만 아동에 관한 개인정보의 열람등은 법정대리인이 직접 해야 하며 아동이 법정대리인의 동의를 받아서 하는 것은 허용되지 않는다. 법 제22조제5항에서 만 14세 미만 아동의 개 인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 하는 할 때에는 그 법정 대리인의 동의를 받도록 한 것과 같은 맥락이다. 3. 신원확인 의무와 방법(영 제46조) 가. 신원확인 의무 개인정보처리자는 개인정보 열람요구, 정정ㆍ삭제요구, 처리정지요구 등을 받은 때에는 열람등의 요구를 한 자가 본인이거나 정당한 대리인인지를 확인하여야 한다. 대리인의 경우에는 대리인 자신에 관한 신원확인뿐만 아니라 정보주체와 대리인 사이의 대리관계를 증명할 수 있는 위임장 및 인감 또는 법정대리인의 경우에는 법정대리인임을 확인할 수 있는 서면(주민등록등본, 가족관계증명서 등)을 추가로 확인하여야 한다. 나. 신원확인 방법 신원확인의 방법은 별도로 특정되어 있지 않다. 따라서 인터넷의 경우에는 아 이디/패스워드, 전자서명, 아이핀 등의 방법에 의해서 확인하면 되고, 오프라인의 경우에는 주민등록증, 운전면허증, 여권, 공무원증 등에 의하면 된다. 즉 합리적 인 수단이라고 객관적으로 인정되는 방식에 의해서 하면 된다. 다. 공공기관의 특례 개인정보처리자가 공공기관인 경우에는 전자정부법 제36조제1항에 따른 행정정보의 공동이용을 통하여 신분확인이 가능하면 행정정보의 공동이용을 통 하여 확인하여야 한다. 다만, 해당 공공기관이 행정정보의 공동이용을 할 수 없 거나 정보주체가 확인에 동의하지 아니하는 경우에는 그러하지 아니하다.

310 4. 열람수수료 등의 청구(제3항, 영 제47조) 가. 부과기준(영 제1항) 개인정보처리자는 열람등을 요구하는 자에게 수수료와 우송료(사본의 우송을 청구하는 경우에 한한다)를 청구할 수 있다. 다만, 수수료와 우송료의 금액은 개 인정보의 열람이나 정정ㆍ삭제에 필요한 실비의 범위에서 청구해야 한다. 개인정 보처리자가 지방자치단체인 경우에는 해당 지방자치단체의 조례로 정하는 바에 따른다. 나. 납부방법 1 국가기관 및 지방자치단체 국회, 법원, 헌법재판소, 중앙선거관리위원회, 중앙행정기관 및 그 소속기관(이 하 이 조에서 국가기관 이라 한다)인 개인정보처리자에게 수수료 또는 우송료를 납부하는 경우에는 수입인지로, 지방자치단체인 개인정보처리자에게 납부하는 경 우에는 수입증지로 각각 납부한다. 다만, 국가기관 또는 지방자치단체인 개인정보처리자는 전자금융거래법 제 2조제11호에 따른 전자지급수단 또는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조제10호에 따른 통신과금서비스를 이용하여 수수료 또는 우송 료를 납부하게 할 수 있다. 2 그밖의 개인정보처리자 국가기관 및 지방자치단체 외의 개인정보처리자에게 수수료 또는 우송료를 납 부하는 경우의 수수료 납부 방법은 해당 개인정보처리자가 정한다. 다. 징수권 상실(영 제2항) 개인정보를 열람ㆍ정정 삭제 처리정지 등을 요구하게 된 사유가 해당 개인 정보처리자에 있는 경우에는 수수료와 우송료를 청구할 수 없다. 여기서 열람등 을 요구하게 된 사유가 해당 개인정보처리자에 있다고 하는 것은 개인정보처리

311 자에게 잘못(고의 과실)이 있는 경우 라는 의미로 해석해서는 안 되고 해당 개 인정보의 처리가 개인정보처리자의 이익을 위해서 또는 개인정보처리자의 책임 영역에서 발생했다는 의미로 새겨야 할 것이다. 따라서 정보주체가 특별한 사유 없이 단지 궁금하다 또는 확인해 보고 싶다 라고 해서 열람등을 요구하는 경우 를 제외하고는 수수료나 우송료를 청구해서는 안 될 것이다. 5. 권리행사의 방법과 절차(제4항 및 제5항, 영 제48조) 가. 권리행사 방법 및 절차(제4항) 개인정보처리자는 정보주체가 열람등을 요구할 수 있는 구체적인 방법과 절차 를 마련하고, 이를 정보주체가 알 수 있도록 공개하여야 한다. 다수의 정보주체 들이 자신의 권리를 알지 못하고, 알고 있는 경우에도 절차가 까다롭고 복잡해 포기하는 경우가 많다. 따라서 정보주체의 권리행사 방법 및 절차는 최소한 개인 정보 수집절차 또는 회원가입 절차에 준해서 알기 쉽고 편리해야 하며, 개인정보 수집시에 요구되지 않았던 증빙서류 등을 요구하거나 추가적인 절차를 요구해서 는 안된다(표준지침 제34조). 또한, 정보주체가 편리하게 선택할 수 있도록 가급 적 다양한 권리행사 방법을 마련하여 제공해야 한다. 예컨대 방문, 서면, 전화, 전 자우편, 인터넷 웹사이트 등 다양한 방법으로 정보주체가 열람 정정 삭제 처리 정지 등을 요구할 수 있도록 해야 한다. 나. 이의제기 절차(제5항) 열람 등의 요구에 대한 거절 조치에 대하여 불복이 있는 경우 정보주체가 이 의를 제기할 수 있도록 개인정보처리자는 필요한 절차를 마련하고 안내하여야 한다(제5항). 이 경우 이의제기 절차는 공정하게 운영될 수 있도록 외부전문가를 참여시키거나 내부의 견제장치가 마련되어 있어야 한다. 다. 열람등 지원시스템 구축(영 제48조) 개인정보처리자는 열람등의 요구 및 그에 대한 통지에 갈음하여 해당 업무를 전자적으로 처리할 수 있도록 시스템을 구축ㆍ운영하거나 그 밖의 업무처리 절 차를 정하여 해당 업무를 처리할 수 있다.

312 행정안전부장관은 개인정보처리자 중 공공기관이 보유하고 있는 개인정보에 관한 열람등의 요구 및 그에 대한 통지에 관한 공공기관의 업무 수행을 효율적 으로 지원하기 위하여 개인정보보호 종합지원 시스템을 구축하여 운영하고 있다. < 개인정보보호 종합지원 시스템( 6. 다른 법률과의 관계 정보통신망법 에서는 이용자가 정보통신서비스 제공자등에게 열람 등을 요구 하는 경우 지체없이 필요한 조치를 하도록 하고 있다. 다만 정보통신망법 은 이 용자의 열람등 청구에 한하고 있으므로, 이용자 이외의 자가 정보주체로서 개인 정보 열람 등을 요구하는 경우에는 개인정보 보호법 에 따라 10일 이내에 필 요한 조치를 취하여야 한다. 신용정보법 에는 정보주체의 열람등 청구에 관하여 권리행사의 방법 및 절차 에 관한 규정을 두고 있지 않으므로, 신용정보이용 제공자 등은 이와 관련하여 개인정보 보호법 을 따른다.

313 제30조(이용자의 권리 등) 3 정보통신서비스 제공자등은 이용자 가 제1항에 따라 동의를 철회하면 지체 없이 수집된 개인정보 를 파기하는 등 필요한 조치를 하여야 한다. 4 정보통신서비스 제공자등은 제2항에 따라 열람 또는 제공을 요구받으면 지체 없이 필요한 조치를 하여야 한다. 5 정보통신서비스 제공자등은 제2항에 따라 오류의 정정을 요 구받으면 지체 없이 그 오류를 정정하거나 정정하지 못하는 사 유를 이용자에게 알리는 등 필요한 조치를 하여야 하고, 필요한 정보통신망법 조치를 할 때까지는 해당 개인정보를 이용하거나 제공하여서는 아니 된다. 다만, 다른 법률에 따라 개인정보의 제공을 요청받은 경우에는 그 개인정보를 제공하거나 이용할 수 있다. 6 정보통신서비스 제공자등은 제1항에 따른 동의의 철회 또는 제2항에 따른 개인정보의 열람 제공 또는 오류의 정정을 요구 하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다. 제31조(법정대리인의 권리) 2 법정대리인은 해당 아동의 개인정 보에 대하여 제30조제1항 및 제2항에 따른 이용자의 권리를 행 사할 수 있다. 신용정보법 제39조(무료 열람권) 신용조회회사는 1년 이내로서 대통령령으로 정하는 일정한 기간마다 개인인 신용정보주체가 본인정보를 1 회 이상 무료로 제공받거나 열람할 수 있도록 하여야 한다. 7. 질의응답 FAQ 민간사업자의 수수료 청구 기준은? 개인정보처리자는 열람등을 요구하는 자에게 수수료와 우송료를 청구할 수 있다. 다만 열람 등에 따른 조치시 필요한 인쇄비, 공공요금, 인건비 등을 계산하여 최소한의 실비만을 청구 하여야 한다.

314 제39조 손해배상책임 제39조(손해배상책임) 1 정보주체는 개인정보처리자가 이 법을 위반한 행 위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. 2 개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독 을 게을리하지 아니한 경우에는 개인정보의 분실 도난 유출 변조 또는 훼 손으로 인한 손해배상책임을 감경받을 수 있다. 일반적인 정보 유출 사건 또는 오남용 사건이 그러하듯이 개인정보 유출이나 오남용 사건의 경우에도 언제, 어느 단계에서, 누구의 잘못으로 인해 사건이 발 생했는지 알기 어렵다. 따라서 개인정보 유출사고나 오남용 피해가 발생한 경우 에는 해당 개인정보를 처리해서 이익을 얻고 있는 개인정보처리자가 스스로 고 의 또는 과실이 없음을 입증하게 하여 개인정보처리자의 권리 중 하나인 신속 공정한 피해구제를 받을 권리를 실질적으로 보장하고자 하는 것이다. 제 39 조 참고 손해배상책임의 성립요건 침해행위가 존재하고 위법할 것 손해가 발생하였을 것 침해행위와 손해 사이에 인과관계가 있을 것 고의 과실 및 책임능력이 있을 것 1. 손해배상청구권의 성립요건(제1항 전단) 가. 이 법 위반행위가 있을 것 이 조에 따른 손해배상청구권이 발생하기 위해서는 개인정보처리자에게 이 법 을 위반한 사실(침해행위)이 있어야 한다. 그러나 이 법을 위반했다는 것만으로 곧장 손해배상책임이 발생하는 것은 아니다. 그 위반행위가 법질서 전체의 입장 과 객관적으로 모순 충돌하는 경우 즉 위법성( 違法性 )이 인정되는 경우에 한해 서 책임을 진다.

315 통상적으로는 이 법을 위반한 경우에는 일단 위법한 것으로 판단되지만, 그 위 반행위가 특정한 사정에 의하여 실질적으로 또는 사회적으로 허용될만한 것이라 고 인정되는 경우, 다시 말해 공서양속( 公序良俗 ), 조리( 條理 ), 사회통념 등 사회 상규에 반하지 않다고 인정되는 경우에는 위법성이 조각된다. 개인정보는 다른 사람의 생명 신체 재산을 보호하기 위하여 이용되는 경우가 많으므로 손해배 상책임을 결정함에 있어서는 특별히 위법성 조각사유에 해당하는지 여부를 면밀 히 검토하여야 한다. 이 법 위반행위에 대해서만 이 조에 의한 손해배상을 청구할 수 있고, 정보 통신망법, 위치정보법, 신용정보법 등의 위반행위에 대해서는 이 조에 의한 손해배상을 청구하지 못한다. 그 경우에는 해당 법률에 의하거나 민법에 의 한 손해배상청구를 할 수 있다. 나. 위반행위로 인해 손해가 발생했을 것 이 법 위반행위로 인해 정보주체에게 손해가 발생했어야 한다. 손해는 재산적 손해 또는 경제적 손해에 한정하지 않고 비재산적 손해 즉 정신적 손해도 포함 한다. 예컨대 재산적 손해라 함은 신용카드번호 주민등록번호 등의 유출에 따른 신용카드 부정사용, 불법대출, 전화사기 등의 피해를 말하고, 정신적 손해라고 하 면 이메일 주소, 전화번호 등의 유출에 따른 스팸메일, 마케팅광고 등의 피해를 의미한다. 손해가 발생했다는 사실과 손해액에 대해서는 원고인 정보주체가 입증 책임을 진다. 다. 손해와 법 위반행위 사이의 인과관계가 있을 것 이 법 위반행위와 손해 사이에 상당인과관계가 있어야 한다. 상당인과관계이론 에 따라 손해배상의 범위는 통상의 손해 를 그 한도로 한다. 즉 행위(원인)와 손 해(결과) 사이에 인과관계가 존재하는 한 모든 손해를 배상케 하는 것이 아니라 그 중 통상의 손해 를 한도로 하여 배상하면 된다. 위반 행위와 손해 사이에 상 당인과관계가 존재한다는 사실은 정보주제가 입증하여야 한다. 따라서 특별한 사정으로 인한 손해 에 대해서도 원칙적으로는 배상할 책임이 없으나 개인정보처리자가 그 사정을 알았거나 알 수 있었을 때에는 배상할 책임 이 있다(민법 제393조, 제793조 ). 개인정보처리자가 그 사정을 알았거나 알 수 있었을 것이라는 사실에 대해서는 원고인 정보주체에게 입증책임이 있다.

316 참고 상당인과관계( 相當因果關係 ) 어떤 원인(행위)이 있으면 경험칙상 통상적으로 그러한 결과(손해)가 발생하리라 고 인정되는 관계를 법률상 상당인과관계 에 있다고 한다. 상당인과관계는 그 판 단의 기준을 누구로 할 것이냐에 따라 범위가 달라질 수 있다. 행위자를 표준으로 하여 결정할 것인가 또는 일반인(보통인 평균인)을 표준으로 하여 결정할 것인가 에 따라 주관적 상당인과관계설과 객관적 상당인과관계설 그리고 절충적 상당인 과관계설로 나누어져 있다. 인과관계는 원래 자연현상에 속하는 것이므로 객관적 으로 판단되어야 할 것이지만, 인간의 행위에 관하여는 행위자의 주관적인 사정을 전혀 무시하고 판단하는 것은 타당하지 못하므로 인과관계는 객관적인기준으로 판단하는 것을 원칙으로 하되 행위자의 주관적인 사정도 참작하는 절충적 상당인 과관계설이 현재 통설적 지위에 있다. 민법 제393조 및 제793조 제393조(손해배상의 범위) 1채무불이행으로 인한 손해배상은 통상의 손해를 그 한도로 한다. 2특별한 사정으로 인한 손해는 채무자가 그 사정을 알았거나 알 수 있었을 때에 한하여 배상의 책임이 있다. 라. 고의 과실 및 책임능력이 존재할 것 개인정보처리자에게 손해배상책임을 묻기 위해서는 그에게 고의 또는 과실과 책임능력이 있어야 한다. 고의란 개인정보처리자가 이 법 위반을 알면서도 감히 그 행위를 하는 것이다. 일정한 행위를 하면 일정한 결과가 발생할지도 모른다는 의구심을 가지면서 감 히 그 행위를 하는 소위 미필적 공의도 역시 고의에 포함된다. 과실이란 개인정보처리자의 경력 경험 직업 등 사회적 지위에 비추어 신의 칙상 요구되는 정도의 주의를 결여하였기 때문에 이 법에 위반함을 인식하지 못 한 것을 말한다. 즉 개인정보처리자가 선량한 관리자로서의 주의의무를 다하지 아니한 것을 말한다. 신의칙상 개인정보처리자의 고의 과실과 동일시 할 것으로 기대되는 자 예컨 대 근로자, 종업원, 임시직, 위촉직, 아르바이트생 등과 같이 개인정보처리자의 선임 지휘 감독을 받는 이행보조자의 고의 과실은 개인정보처리자 자신의 고

317 의 과실로 본다(민법 제391조). 또한 수탁자의 고의 과실도 개인정보처리자 자 신의 소속 직원의 고의 과실로 본다(법 제26조제6항). 2. 고의 과실에 대한 입증책임의 전환(제1항 후단) 채무불이행(계약불이행)에 의한 손해배상청구의 경우에는 고의 또는 과실의 입 증책임을 피고(채무자)인 개인정보처리자가 부담하는 것이 원칙이고, 불법행위에 기한 손해배상청구의 경우에는 원고(피해자)인 정보주체가 고의 또는 과실의 입 증책임을 지는 것이 원칙이다. 그러나 이 법 위반에 따른 손해배상청구에 대해서는 계약불이행에 의한 것이 든 불법행위에 의한 것이든 고의 또는 과실의 입증책임은 피고인 개인정보처리 자 자신이 부담한다. 즉 개인정보처리자 자신에게 고의 또는 과실이 없음을 스스 로 입증하여야 한다. 일개 개인에 불과한 정보주체가 기업이나 단체 또는 공공기 관의 고의 과실을 입증하는 것은 현실적으로 어렵고, 따라서 정보주체로 하여금 고의 과실을 입증하게 하면 사실상 정보주체가 피해구제를 받을 수 있는 길을 차단하는 결과를 초래하기 때문이다. 따라서 이 법의 규정을 위반한 행위로 인하 여 정보주체가 손해를 입은 경우 개인정보처리자가 스스로 고의 과실이 없음을 입증하게 함으로써 정보주체의 권리 중 하나인 신속 공정한 피해구제를 받을 권리를 실질적으로 보장하고 동시에 개인정보처리자의 법률 준수율도 제고할 수 있는 기제로 작용할 것이다. 3. 손해배상책임의 감경(제2항) 사업자 등 개인정보처리자가 개인정보 유출 사고 등을 방지하기 위해 정당한 노력을 기울였음에도 불구하고 손해배상책임을 지도록 하는 것은 과중한 부담으 로 작용할 수 있다. 따라서 법은 개인정보처리자가 선량한 관리자로서 이 법에 따른 의무를 준수 하고 상당한 주의와 감독을 게을리하지 아니한 경우에는 개인정보의 분실 도난 유출 변조 또는 훼손으로 인한 손해배상책임을 감경받을 수 있게 하고 있다. 또한 개인정보 유출에 따른 손해의 규모와 범위를 산정함에 있어서도 개인정 보처리자가 개인정보 유출 통지의무를 성실히 이행하였는지 여부를 참작해 유출 통지 이후에 정보주체에게 발생한 손해에 대해서는 배상책임을 경감받을 수 있게 하고 있다.

318 4. 손해배상청구권의 소멸 정보주체(피해자)나 그 법정대리인이 이 법 위반행위로 인하여 손해가 발생한 사실과 가해자(개인정보처리자)를 안 날로부터 3년 또는 불법행위를 한 날로부터 10년이 지나면 손해배상청구권은 소멸한다(민법 제766조). 이 중에서 3년의 기간 은 시효기간이고 10년은 제척기간이다. 여기서 손해를 안다는 것은 손해의 발생 사실뿐만 아니라 그 가해행위가 불법행위인 것까지도 알고 있어야 한다는 것을 의미한다. 5. 다른 법률과의 관계 정보통신망법 과 신용정보법 은 각각 손해배상책임에 관하여 별도의 규정을 두고 있다. 따라서 정보통신서비스제공자등 및 신용정보이용 제공자, 신용정보 회사 등은 각 해당 법률에 따라 손해배상책임을 부담한다. 정보통신망법 제32조(손해배상) 이용자는 정보통신서비스 제공자등이 이 장 의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스 제공자등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보 통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. 신용정보법 제43조(손해배상의 책임) 1 신용정보회사등과 그 밖의 신용정 보 이용자가 이 법을 위반하여 신용정보주체에게 피해를 입 힌 경우에는 해당 신용정보주체에 대하여 손해배상의 책임을 진다. 다만, 신용정보회사등과 그 밖의 신용정보 이용자가 고 의 또는 과실이 없음을 증명한 경우에는 그러하지 아니하다.

319

320 제6장 개인정보 분쟁조정위원회 제40조 제41조 제42조 제43조 제44조 제45조 제46조 제47조 제48조 제49조 제50조 설치 및 구성 위원의 신분보장 위원의 제척 기피 회피 조정의 신청 등 처리기간 자료의 요청 등 조정 전 합의 권고 분쟁의 조정 조정의 거부 및 중지 집단분쟁조정 조정절차 등

321

322 제40조 개인정보 분쟁조정위원회의 설치 및 구성 등 법률 제40조(설치 및 구성) 1 개인정보에 관한 분쟁의 조정( 調停 )을 위하 여 개인정보 분쟁조정위원회(이하 분쟁조정위원회 라 한다)를 둔다. 2 분쟁조정위원회는 위원장 1명을 포함한 20명 이내의 위원으로 구 성하며, 그 중 1명은 상임위원으로 한다. 3 위원은 다음 각 호의 어느 하나에 해당하는 사람 중에서 행정안 전부장관이 임명하거나 위촉한다. 1. 개인정보 보호업무를 관장하는 중앙행정기관의 고위공무원단에 속하는 공무원 또는 이에 상당하는 공공부문 및 관련 단체의 직에 재직하고 있 거나 재직하였던 사람으로서 개인정보 보호업무의 경험이 있는 사람 2. 대학이나 공인된 연구기관에서 부교수 이상 또는 이에 상당하는 직 에 재직하고 있거나 재직하였던 사람 3. 판사 검사 또는 변호사로 재직하고 있거나 재직하였던 사람 4. 개인정보 보호와 관련된 시민사회단체 또는 소비자단체로부터 추 천을 받은 사람 5. 개인정보처리자로 구성된 사업자단체의 임원으로 재직하고 있거나 재직하였던 사람 4 위원장은 위원 중에서 공무원이 아닌 사람으로 행정안전부장관이 임명 한다. 5 위원장과 위원의 임기는 2년으로 하되, 1차에 한하여 연임할 수 있다. 다만, 제3항제1호에 따라 임명된 공무원인 위원은 그 직에 재 직하는 동안 재임한다. 6 분쟁조정위원회는 분쟁조정 업무를 효율적으로 수행하기 위하여 필요하면 대통령령으로 정하는 바에 따라 조정사건의 분야별로 5명 이내의 위원으로 구성되는 조정부를 둘 수 있다. 이 경우 조정부가 분 쟁조정위원회에서 위임받아 의결한 사항은 분쟁조정위원회에서 의결 한 것으로 본다. 7 분쟁조정위원회 또는 조정부는 재적위원 과반수의 출석으로 개의하 며 출석위원 과반수의 찬성으로 의결한다. 8 행정안전부장관은 분쟁조정위원회 사무국 운영 등 업무를 지원하기 위하여 대통령령으로 정하는 바에 따라 전문기관을 지정할 수 있다. 9 이 법에서 정한 사항 외에 분쟁조정위원회 운영에 필요한 사항은 대통령령으로 정한다. 제 40 조

323 제49조(조정부의 구성 및 운영) 1 법 제40조제6항에 따른 조정부(이 하 조정부 라 한다)는 법 제40조제1항에 따른 개인정보 분쟁조정위 원회(이하 분쟁조정위원회 라 한다) 위원장이 지명하는 5명 이내의 위원으로 구성하되, 그 중 1명은 변호사 자격이 있는 위원으로 한다. 2 분쟁조정위원회 위원장은 조정부의 회의를 소집한다. 3 분쟁조정위원회의 위원장은 조정부의 회의를 소집하려면 회의 날 짜ㆍ시간ㆍ장소 및 안건을 정하여 회의 개최 7일 전까지 조정부의 각 위원에게 알려야 한다. 다만, 긴급한 사정이 있는 경우에는 그러하지 아니하다. 4 조정부의 장은 조정부 위원 중에서 호선( 互選 )한다. 5 제1항부터 제4항까지의 규정에서 정한 사항 외에 조정부의 구성 및 운영 등에 필요한 사항은 분쟁조정위원회의 의결을 거쳐 분쟁조 정위원회의 위원장이 정한다. 시행령 제50조(사무국 등) 1 법 제40조제8항에 따른 분쟁조정위원회 사무국 은 위원장의 명을 받아 분쟁조정 신청사건에 대한 사실 확인 및 그 밖의 사무를 처리한다. 2 법 제40조제8항에 따라 행정안전부장관은 분쟁조정위원회 사무국 운영 등 업무를 지원하는 전문기관으로 한국인터넷진흥원을 지정한다. 제51조(분쟁조정위원회 등의 운영) 1 분쟁조정위원회 위원장은 분쟁 조정위원회의 회의를 소집하며, 그 의장이 된다. 2 분쟁조정위원회 위원장이 분쟁조정위원회의 회의를 소집하려면 회의 날짜ㆍ시간ㆍ장소 및 안건을 정하여 회의 개최 7일 전까지 각 위원에게 알려야 한다. 다만, 긴급한 사정이 있는 경우에는 그러하지 아니하다. 3 분쟁조정위원회 및 조정부의 회의는 공개하지 아니한다. 다만, 필 요하다고 인정되는 경우에는 분쟁조정위원회의 의결로 당사자 또는 이해관계인에게 방청을 하게 할 수 있다. 개인정보 유출, 오 남용 등으로 인한 손해는 정신적인 피해가 대부분이라서 소 송을 통한 피해구제에는 한계가 있다. 소송에 의할 경우 고의 과실의 입증책임 이 개인정보처리자에게 전환되어 있다고 하더라도 개인정보 침해사실, 손해 발 생, 손해액, 손해와 침해 사이의 인과관계 등에 대한 입증책임을 여전히 정보주 체가 부담해야 하기 때문에 승소할 가능성이 낮고, 소송에서 이기더라도 손해배 상액(승소액)보다 소송에 소요되는 비용과 시간이 더 많은 사건이 대부분이라서

324 정보주체가 이를 감당하기 어렵다. 따라서 피해구제를 받는데 소요되는 비용과 시간을 획기적으로 절감하면서도 소송절차에 준해서 공정하게 피해구제를 받을 수 있는 장치로써 개인정보 피해구제 사건만을 전문적으로 다룰 객관적이고 독 립적인 분쟁조정기구를 두도록 하고 있다. 1. 개인정보 분쟁조정위원회의 설치 운영 가. 분쟁조정위원회의 설치(제1항) 개인정보에 관한 분쟁의 조정( 調停 )을 위하여 개인정보 분쟁조정위원회를 두고 있다. 조정은 분쟁을 법원의 판결에 의하지 않고 조정위원회의 권고에 의하여 양당사 자가 서로 양보하여 합의로서 해결하는 자주적 분쟁해결 절차로써 당사자의 자율 성이 최대한 보장된다. 조정위원회는 권고만 하고 그 권고에 동의할 지 안 할지는 양 당사자의 자유이다. 하지만 당사자가 권고를 수락하여 조정이 성립되면 재판 상 화해 와 같은 효력 즉 법원의 확정판결과 동일한 효력이 발생하게 된다. 나. 분쟁조정위원회의 구성(제2항~제5항) 분쟁조정위원회는 위원장 1명을 포함한 20명 이내의 위원으로 구성한다. 다만, 그 중 1명은 상임위원으로 하여야 하는데 위원장을 상임으로 할 수도 있고 위원 을 상임으로 할 수도 있다(제2항). 위원장은 위원 중에서 공무원이 아닌 사람을 행정안전부장관이 임명하고(제4 항), 위원은 아래 분쟁조정위원의 자격에 해당하는 사람 중에서 행정안전부장관 이 임명하거나 위촉한다(제3항). 공익 대표, 교수 법조인 등 전문가, 소비자(정보 주체) 대표, 사업자(개인정보처리자) 대표 등 각계를 대표하는 전문가와 이해당사 자가 참여하여 공정하고 객관적인 결정을 내릴 수 있도록 하기 위한 것이다. 분쟁조정위원의 자격(제3항) 1. 개인정보 보호업무를 관장하는 중앙행정기관의 고위공무원단에 속하는 공 무원 또는 이에 상당하는 공공부문 및 관련 단체의 직에 재직하고 있거나 재직하였던 사람으로서 개인정보 보호업무의 경험이 있는 사람

325 2. 대학이나 공인된 연구기관에서 부교수 이상 또는 이에 상당하는 직에 재 직하고 있거나 재직하였던 사람 3. 판사 검사 또는 변호사로 재직하고 있거나 재직하였던 사람 4. 개인정보 보호와 관련된 시민사회단체 또는 소비자단체로부터 추천을 받 은 사람 5. 개인정보처리자로 구성된 사업자단체의 임원으로 재직하고 있거나 재직하 였던 사람 위원장과 위원의 임기는 2년으로 하되, 1차에 한하여 연임할 수 있다. 다만, 제 3항제1호에 따라 임명된 공무원인 위원은 그 직에 재직하는 동안 재임한다. 다. 분쟁조정위원회의 소집(영 제51조제1항, 제2항) 분쟁조정위원회 회의의 소집은 분쟁조정위원회의 위원장이 하며, 그 의장이 된 다(영 제51조제1항). 분쟁조정위원회의 위원장이 분쟁조정위원회의 회의를 소집하 려면 회의 일시ㆍ장소 및 안건을 정하여 회의 개최 7일 전까지 각 위원에게 알 려야 한다. 다만, 긴급한 사정이 있는 경우에는 그러하지 아니하다. 2. 개인정보 분쟁조정부의 설치 운영(제6항, 영 제49항) 가. 조정부의 설치(제6항) 분쟁조정위원회는 분쟁조정 업무를 효율적으로 수행하기 위하여 필요하면 조 정사건의 분야별로 5명 이내의 위원으로 구성되는 조정부를 둘 수 있다. 이 경우 조정부가 분쟁조정위원회에서 위임받아 의결한 사항은 분쟁조정위원회에서 의결 한 것으로 본다. 나. 조정부의 구성(영 제49조제1항, 제4항) 조정부는 분쟁조정위원회의 위원장이 지명하는 5명 이내의 위원으로 구성하되, 그 중 1명은 변호사의 자격이 있는 위원으로 한다(영 제49조제1항). 조정부의 장 은 조정부의 위원 중에서 호선( 互選 )한다(영 제49조제4항).

326 다. 조정부의 소집(영 제49조제2항, 제3항) 조정부의 소집은 분쟁조정위원회 위원장이 한다(영 제49조제2항). 분쟁조정위 원회의 위원장이 조정부의 회의를 소집하려면 회의 일시ㆍ장소 및 안건을 정하 여 회의 개최 7일 전까지 조정부의 각 위원에게 알려야 한다. 다만, 긴급한 사정 이 있는 경우에는 그러하지 아니할 수 있다(영 제49조제3항). 라. 조정부의 구성 운영규칙(영 제49조제5항) 이 법과 시행령에서 정한 사항 외에 조정부의 구성 및 운영 등에 필요한 사항 은 분쟁조정위원회의 의결을 거쳐 분쟁조정위원회의 위원장이 정한다. 3. 분쟁조정위원회 및 조정부의 개의 및 의결(제7항) 분쟁조정위원회 또는 조정부는 재적위원 과반수의 출석으로 개의하며 출석위 원 과반수의 찬성으로 의결한다(제7항). 4. 분쟁조정위원회 및 조정부의 운영(제8항, 영 제50조) 가. 분쟁조정위원회의 운영 지원 행정안전부장관은 분쟁조정위원회 사무국 운영 등의 업무를 지원하기 위하여 대통령령으로 정하는 바에 따라 전문기관을 지정할 수 있다(제8조). 이에 따라 한 국인터넷진흥원이 분쟁조정위원회 사무국 운영 등의 업무를 지원하는 전문기관 으로 지정되어 있다(영 제50조제2항). 나. 분쟁조정위원회 사무국의 업무 분쟁조정위원회 사무국은 위원장의 명을 받아 분쟁조정 신청사건에 대한 사실 확인 및 그 밖의 사무를 처리한다(영 제50조제1항). 그 밖의 업무로는 분쟁조정사건 접 수창구의 운영, 조정전 합의권고, 조정결정서의 송달, 의사록의 작성 보관 등의 사무가 있다.

327 5. 분쟁조정위원회 및 조정부 회의의 비공개(제9항, 영 제51조) 분쟁조정위원회 및 조정부의 회의는 공개하지 아니한다. 다만, 필요하다고 인 정되는 경우에는 분쟁조정위원회의 의결로 당사자 또는 이해관계인에게 방청을 하게 할 수 있다. 개인정보 분쟁조정 사건은 개인정보의 유출 또는 오 남용으로 인한 피해를 구제하고자 하는 것이므로 사생활 보호 차원에서 비공개를 원칙으 로 한 것이다.

328 제41조/제42조 위원의 신분보장 등 제41조(위원의 신분보장) 위원은 자격정지 이상의 형을 선고받거나 심신상의 장애로 직무를 수행할 수 없는 경우를 제외하고는 그의 의사에 반하여 면 직되거나 해촉되지 아니한다. 제42조(위원의 제척ㆍ기피ㆍ회피) 1 분쟁조정위원회의 위원은 다음 각 호 의 어느 하나에 해당하는 경우에는 제43조제1항에 따라 분쟁조정위원회 에 신청된 분쟁조정사건(이하 이 조에서 사건 이라 한다)의 심의 의결에 서 제척( 除斥 )된다. 1. 위원 또는 그 배우자나 배우자였던 자가 그 사건의 당사자가 되거나 그 사건에 관하여 공동의 권리자 또는 의무자의 관계에 있는 경우 2. 위원이 그 사건의 당사자와 친족이거나 친족 이었던 경우 3. 위원이 그 사건에 관하여 증언, 감정, 법률자문을 한 경우 4. 위원이 그 사건에 관하여 당사자의 대리인으로서 관여하거나 관여하였 던 경우 2 당사자는 위원에게 공정한 심의 의결을 기대하기 어려운 사정이 있으 면 위원장에게 기피신청을 할 수 있다. 이 경우 위원장은 기피신청에 대 하여 분쟁조정위원회의 의결을 거치지 아니하고 결정한다. 3 위원이 제1항 또는 제2항의 사유에 해당하는 경우에는 스스로 그 사건 의 심의 의결에서 회피할 수 있다. 분쟁조정제도는 준사법적 절차이기 때문에 조정의 독립성과 공정성이 보장되 어야 한다. 이에 따라 법은 위원의 신분보장을 통해 분쟁조정의 독립성을 보장하 는 한편, 위원의 제척 기피 회피 제도를 도입하여 분쟁조정의 공정성을 확보하고 있다. 제 조 1. 분쟁조정의 독립성 보장(제41조) 위원은 자격정지 이상의 형을 선고받거나 심신상의 장애로 직무를 수행할 수 없는 경우를 제외하고는 그의 의사에 반하여 면직되거나 해촉되지 아니한다. 자 격정지 이상의 형의 종류에는 사형, 무기징역, 무기금고, 유기징역, 유기금고가 있다. 사형, 무기징역, 무기금고는 자격상실 사유에 해당하고, 유기징역 또는 유

329 기금고는 그 형의 집행이 종료하거나 면제될 때까지 자격이 정지되는 자격정지 사유에 해당한다(형법 제43조). 따라서 벌금, 구류, 과료, 몰수 등을 이유로 위원 의 의사에 반하여 면직을 하거나 해촉을 하여서는 안 된다. 2. 분쟁조정의 공정성 보장(제42조) 가. 제척사유(제1항) 제척 이라 함은 분쟁조정사건의 심의 의결에서 배제되는 것을 의미한다. 분쟁 조정 제척사유에 해당하는 위원을 분쟁조정사건의 심의 의결에 포함시켜서는 안 된다. 분쟁조정 제척사유(제1항) 1. 위원 또는 그 배우자나 배우자였던 자가 그 사건의 당사자가 되거나 그 사건에 관하여 공동의 권리자 또는 의무자의 관계에 있는 경우 2. 위원이 그 사건의 당사자와 친족이거나 친족 이었던 경우 3. 위원이 그 사건에 관하여 증언, 감정, 법률자문을 한 경우 4. 위원이 그 사건에 관하여 당사자의 대리인으로서 관여하거나 관여하였던 경우 나. 기피사유(제2항) 기피 란 당사자의 일방 또는 쌍방이 분쟁조정사건의 심의 의결에서 특정 위 원을 배제시켜 달라고 요구하는 것을 의미한다. 당사자는 특정 위원에게 공정한 심의 의결을 기대하기 어려운 사정이 있으면 위원장에게 기피신청을 할 수 있다. 이 경우 위원장은 기피신청에 대하여 분쟁조정위원회의 의결을 거치지 아니하고 결정한다. 다. 회피사유(제3항) 회피 란 위원이 공정한 결정을 내리기 곤란하다고 인정할만한 상당한 사유가 있는 경우에 특정 분쟁조정사건의 심의 의결에서 스스로 빠지는 것을 말한다. 위원은 특정 사건이 제1항 또는 제2항의 사유에 해당하는 경우에는 스스로 그 사건의 심의 의결에서 회피할 수 있다.

330 제43조~제48조 분쟁조정의 신청 및 효력 등 제43조(조정의 신청 등) 1 개인정보와 관련한 분쟁의 조정을 원하는 자는 분쟁조정위원회에 분쟁조정을 신청할 수 있다. 2 분쟁조정위원회는 당사자 일방으로부터 분쟁조정 신청을 받았을 때에 는 그 신청내용을 상대방에게 알려야 한다. 3 공공기관이 제2항에 따른 분쟁조정의 통지를 받은 경우에는 특별한 사 유가 없으면 분쟁조정에 응하여야 한다. 제44조(처리기간) 1 분쟁조정위원회는 제43조제1항에 따른 분쟁조정 신청 을 받은 날부터 60일 이내에 이를 심사하여 조정안을 작성하여야 한다. 다만, 부득이한 사정이 있는 경우에는 분쟁조정위원회의 의결로 처리기간 을 연장할 수 있다. 2 분쟁조정위원회는 제1항 단서에 따라 처리기간을 연장한 경우에는 기간 연장의 사유와 그 밖의 기간연장에 관한 사항을 신청인에게 알려야 한다. 제45조(자료의 요청 등) 1 분쟁조정위원회는 제43조제1항에 따라 분쟁조 정 신청을 받았을 때에는 해당 분쟁의 조정을 위하여 필요한 자료를 분 쟁당사자에게 요청할 수 있다. 이 경우 분쟁당사자는 정당한 사유가 없으 면 요청에 따라야 한다. 2 분쟁조정위원회는 필요하다고 인정하면 분쟁당사자나 참고인을 위원회 에 출석하도록 하여 그 의견을 들을 수 있다. 제46조(조정 전 합의 권고) 분쟁조정위원회는 제43조제1항에 따라 분쟁조 정 신청을 받았을 때에는 당사자에게 그 내용을 제시하고 조정 전 합의 를 권고할 수 있다. 제 43 ~ 48 조

331 제47조(분쟁의 조정) 1 분쟁조정위원회는 다음 각 호의 어느 하나의 사항 을 포함하여 조정안을 작성할 수 있다. 1. 조사 대상 침해행위의 중지 2. 원상회복, 손해배상, 그 밖에 필요한 구제조치 3. 같거나 비슷한 침해의 재발을 방지하기 위하여 필요한 조치 2 분쟁조정위원회는 제1항에 따라 조정안을 작성하면 지체 없이 각 당사 자에게 제시하여야 한다. 3 제1항에 따라 조정안을 제시받은 당사자가 제시받은 날부터 15일 이내 에 수락 여부를 알리지 아니하면 조정을 거부한 것으로 본다. 4 당사자가 조정내용을 수락한 경우 분쟁조정위원회는 조정서를 작성하 고, 분쟁조정위원회의 위원장과 각 당사자가 기명날인하여야 한다. 5 제4항에 따른 조정의 내용은 재판상 화해와 동일한 효력을 갖는다. 제48조(조정의 거부 및 중지) 1 분쟁조정위원회는 분쟁의 성질상 분쟁조 정위원회에서 조정하는 것이 적합하지 아니하다고 인정하거나 부정한 목 적으로 조정이 신청되었다고 인정하는 경우에는 그 조정을 거부할 수 있 다. 이 경우 조정거부의 사유 등을 신청인에게 알려야 한다. 2 분쟁조정위원회는 신청된 조정사건에 대한 처리절차를 진행하던 중에 한 쪽 당사자가 소를 제기하면 그 조정의 처리를 중지하고 이를 당사자 에게 알려야 한다. 1. 분쟁조정의 신청(제43조제1항) 개인정보와 관련한 분쟁의 조정을 원하는 자는 누구든지 분쟁조정위원회에 분 쟁조정을 신청할 수 있다. 정보주체뿐만 아니라 개인정보처리자도 분쟁조정을 신 청할 수 있다. 분쟁조정은 분쟁조정위원회에 신청하여야 하며, 방문, 전화, 팩스, 인터넷, 우 편, 전자우편 등 다양한 수단으로 신청할 수 있다. 분쟁조정 신청사유에 대해서도 특별한 제한을 두고 있지 않으므로 신청사유는 개인정보 처리와 관련하여 당사자 사이에 분쟁이 있으면 충분하다. 신청의 내용은 법령 위반행위의 금지 중지일 수도 있고 손해배상의 청구일 수도 있다. 또한 개인정보 열람요구권, 정정요구건, 삭제요구권 등과 같은 적극적 인 이행의무도 포함된다.

332 2. 신청사실의 통지 및 조정진행의 거부 등 가. 조정신청사실의 통지(제43조제2항) 분쟁조정위원회는 당사자 일방으로부터 분쟁조정 신청을 접수 받았을 때에는 그 신청내용을 상대방에게 알려야 한다. 정보주체가 신청한 경우에는 개인정보처 리자에게, 개인정보처리자가 신청한 경우에는 정보주체에게 각각 통지하여 조정 에 대비하도록 하여야 한다. 나. 조정의 진행 거부 및 중지(제48조) 분쟁조정위원회는 분쟁의 성질상 분쟁조정위원회에서 조정하는 것이 적합하지 아니하다고 인정하거나 부정한 목적으로 조정이 신청되었다고 인정하는 경우에 는 그 조정을 거부할 수 있다. 이 경우 조정거부의 사유 등을 신청인에게 알려야 한다. 사례 조정 거부 사례 개인정보처리와 관련한 분쟁이 아닌 경우, 신청자가 악의적으로 같은 사건에 대 해 계속적으로 분쟁조정을 신청하는 경우, 관계법령 또는 객관적인 증빙 등에 의하여 조정의 실익이 없는 경우 등 분쟁조정위원회는 신청된 조정사건에 대한 처리절차를 진행하던 중에 한 쪽 당사자가 소를 제기하면 그 조정의 처리를 중지하고 이를 당사자에게 알려야 한 다. 사실상 조정절차에 따를 의사가 없다고 보기 때문이다. 다. 공공기관의 특례(제43조제3항) 분쟁조정은 강제적 조정절차가 아니므로 통지를 받은 상대방은 자유롭게 조정 절차에 참여할지를 여부를 결정할 수 있으나, 공공기관이 분쟁조정의 통지를 받은 경우에는 특별한 사유가 없는 한 분쟁조정절차에 응해야 한다. 민간 기업이나 단 체와 달리 공공기관은 국민의 권리 이익을 보호하기 위하여 존재하는 것이고, 행 정기관이 민원사항을 신청받은 때에는 다른 법령에 특별한 규정이 있는 경우를 제외하고는 그 접수를 보류하거나 거부할 수 없도록 규정하고 있는 민원사무 처리에 관한 법률 (제9조)의 취지를 고려한 것이다.

333 3. 조정 전 합의권고 및 조정의 개시 가. 조정 전 합의 권고(제46조) 분쟁조정위원회는 분쟁조정 신청을 받았을 때에는 당사자에게 그 내용을 제시 하고 조정 전 합의를 권고할 수 있다. 분쟁은 당사자의 자발적 합의에 의해서 자 주적으로 처리하는 것이 가장 바람직하고 후유증도 적기 때문에 당사자 간의 자 주적 분쟁해결 기회를 주기 위한 것이다. 나. 자료제출 출석 등의 요청(제45조) 객관적 사실에 입각한 공정한 조정결정을 위하여 분쟁조정위원회는 분쟁조정 에 필요한 자료를 분쟁당사자에게 요청할 수 있고 분쟁당사자 또는 참고인을 위 원회에 출석하게 하여 의견을 들을 수도 있다. 자료제출 요청을 받은 분쟁당사자는 정당한 사유가 없으면 그 요청에 따라야 한다. 정당한 사유로는 영업비밀 보호, 타인의 사생활 보호, 국가 안보 및 외교상 이익 등이 있을 수 있다. 다. 조정안의 작성 및 제시(제47조제1항, 제2항) 사실조사, 의견청취, 전문가자문 등이 끝나면 분쟁조정위원회는 1 조사 대상 침해행위의 중지, 2원상회복, 손해배상, 그 밖에 필요한 구제조치, 3 같거나 비 슷한 침해의 재발을 방지하기 위하여 필요한 조치 중 어느 사항의 하나를 포함 한 조정안을 작성하고 이를 지체없이 각 당사자에게 제시하여야 한다. 4. 조정안의 수락 및 거부(제47조제3항, 제4항) 분쟁당사자가 조정안을 제시받은 날부터 15일 이내에 수락 여부를 알리지 아 니하면 조정안을 거부한 것으로 본다(제3항). 양당사자 중 한 사람이라도 수락의 의사표시를 하지 않으면 조정안은 거부된 것으로 본다. 따라서 당사자가 조정내 용을 수락하고자 하는 경우에는 15일 이내에 분쟁조정위원회에 수락의 의사표시를 하여야 한다. 당사자가 조정내용을 수락한 경우 분쟁조정위원회는 조정서를 작성 하고, 분쟁조정위원회의 위원장과 각 당사자가 이에 기명날인을 하여야 한다.

334 5. 분쟁조정 성립의 법적 효력(제47조제5항) 분쟁당사자가 조정안을 수락하여 분쟁조정이 성립되면 조정의 내용은 재판상 화해와 동일한 효력을 갖는다. 재판상 화해의 효력은 확정판결과 같은 효력을 의 미하므로 조정안 수락으로 분쟁은 최종적으로 종료되고 조정조서에 의하여 강제 집행도 가능하게 된다(민사소송법 제205조, 520조). 즉 추후에 조정 내용에 대해 서 불복사유가 발견되더라도 소송을 통해 그 효력을 다툴 수 없고, 그 효력은 오 로지 준재심의 절차에 의해서만 다툴 수 있다(민사소송법 제461조). 6. 분쟁조정의 처리 기간(제44조) 분쟁의 신속한 해결을 위하여 분쟁조정위원회는 분쟁조정의 신청을 접수받은 날부터 60일 이내에 이를 심사하여 조정안을 작성 제시하여야 한다. 다만, 부득 이한 사정이 있는 경우에는 분쟁조정위원회의 의결로 처리기간을 연장할 수 있 으나, 이 경우 분쟁조정위원회는 기간연장의 사유와 그 밖의 기간연장에 관한 사 항을 신청인에게 알려야 한다.

335 < 분쟁조정 절차도 >

336 제49조 집단분쟁조정 법률 시행령 제49조(집단분쟁조정) 1 국가 및 지방자치단체, 개인정보 보호단체 및 기관, 정보주체, 개인정보처리자는 정보주체의 피해 또는 권리침 해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우 로서 대통령령으로 정하는 사건에 대하여는 분쟁조정위원회에 일 괄적인 분쟁조정(이하 집단분쟁조정 이라 한다)을 의뢰 또는 신청 할 수 있다. 2 제1항에 따라 집단분쟁조정을 의뢰받거나 신청받은 분쟁조정위 원회는 그 의결로써 제3항부터 제7항까지의 규정에 따른 집단분쟁 조정의 절차를 개시할 수 있다. 이 경우 분쟁조정위원회는 대통령령 으로 정하는 기간 동안 그 절차의 개시를 공고하여야 한다. 3 분쟁조정위원회는 집단분쟁조정의 당사자가 아닌 정보주체 또는 개인정보처리자로부터 그 분쟁조정의 당사자에 추가로 포함될 수 있도록 하는 신청을 받을 수 있다. 4 분쟁조정위원회는 그 의결로써 제1항 및 제3항에 따른 집단분쟁 조정의 당사자 중에서 공동의 이익을 대표하기에 가장 적합한 1인 또는 수인을 대표당사자로 선임할 수 있다. 5 분쟁조정위원회는 개인정보처리자가 분쟁조정위원회의 집단분쟁 조정의 내용을 수락한 경우에는 집단분쟁조정의 당사자가 아닌 자 로서 피해를 입은 정보주체에 대한 보상계획서를 작성하여 분쟁조 정위원회에 제출하도록 권고할 수 있다. 6 제48조제2항에도 불구하고 분쟁조정위원회는 집단분쟁조정의 당 사자인 다수의 정보주체 중 일부의 정보주체가 법원에 소를 제기한 경우에는 그 절차를 중지하지 아니하고, 소를 제기한 일부의 정보주 체를 그 절차에서 제외한다. 7 집단분쟁조정의 기간은 제2항에 따른 공고가 종료된 날의 다음 날 부터 60일 이내로 한다. 다만, 부득이한 사정이 있는 경우에는 분쟁조 정위원회의 의결로 처리기간을 연장할 수 있다. 8 집단분쟁조정의 절차 등에 관하여 필요한 사항은 대통령령으로 정 한다. 제52조(집단분쟁조정의 신청 대상) 법 제49조제1항에서 대통령령으로 정하는 사건 이란 다음 각 호의 요건을 모두 갖춘 사건을 말한다. 1. 피해 또는 권리침해를 입은 정보주체의 수가 다음 각 목의 정보 제 49 조

337 주체를 제외하고 50명 이상일 것 가. 개인정보처리자와 분쟁해결이나 피해보상에 관한 합의가 이루 어진 정보주체 나. 같은 사안으로 다른 법령에 따라 설치된 분쟁조정기구에서 분쟁 조정 절차가 진행 중인 정보주체 다. 해당 개인정보 침해로 인한 피해에 대하여 법원에 소( 訴 )를 제 기한 정보주체 2. 사건의 중요한 쟁점이 사실상 또는 법률상 공통될 것 제53조(집단분쟁조정 절차의 개시) 1 법 제49조제2항 후단에서 대 통령령으로 정하는 기간 이란 14일 이상의 기간을 말한다. 2 법 제49조제2항 후단에 따른 집단분쟁조정 절차의 개시 공고는 분 쟁조정위원회의 인터넷 홈페이지 및 신문 등의 진흥에 관한 법률 에 따라 전국을 보급지역으로 하는 일반일간신문에 게재하는 방법으 로 한다. 제54조(집단분쟁조정 절차에 대한 참가 신청) 1 법 제49조에 따른 집단분쟁조정(이하 집단분쟁조정 이라 한다)의 당사자가 아닌 정 보주체 또는 개인정보처리자가 법 제49조제3항에 따라 추가로 집단 분쟁조정의 당사자로 참가하려면 법 제49조제2항 후단의 공고기간 에 문서로 참가 신청을 하여야 한다. 2 분쟁조정위원회는 제1항에 따라 집단분쟁조정 당사자 참가 신청 을 받으면 제1항의 신청기간이 끝난 후 10일 이내에 참가 인정 여 부를 문서로 알려야 한다. 제55조(집단분쟁조정 절차의 진행) 1 집단분쟁조정 절차가 개시된 후 제52조제1호가목부터 다목까지의 어느 하나에 해당하게 된 정보 주체는 당사자에서 제외된다. 2 분쟁조정위원회는 제52조 각 호의 요건을 모두 갖춘 사건에 대하여 집단분쟁조정 절차가 개시되고 나면 그 후 집단분쟁조정 당사자 중 일 부가 같은 조 제1호가목부터 다목까지의 어느 하나에 해당하게 되어 같 은 조 제1호의 요건을 갖추지 못하게 되더라도 집단분쟁조정 절차를 중 지하지 아니한다. 개인정보 유출사고와 오 남용사고는 대부분 집단성을 띠고 있고, 유출되거나 오 남용된 개인정보의 항목이나 피해의 유형도 같거나 비슷하다. 이처럼 작게는 수천 건에서 많게는 수천만 건에 이르는 개인정보 유출 및 오남용 사건을 개별

338 적인 분쟁조정절차를 통해서 처리하는 것은 시간적으로나 비용적으로 낭비이다. 따라서 이와 같은 집단적 분쟁사건에 대해서는 하나의 분쟁조정절차에서 일괄적 으로 해결하는 것이 편리하고 효율적이다. 1. 집단분쟁조정의 의뢰 및 신청 가. 집단분쟁조정의 의뢰자 및 신청자(제49조제1항) 분쟁조정위원회에 일괄적인 분쟁조정(집단분쟁조정)을 의뢰하거나 신청할 수 있는 자는 1 국가 및 지방자치단체, 2 개인정보 보호단체 및 기관, 3 정보주 체, 4 개인정보처리자이다. 집단분쟁조정을 의뢰할 수 있는 개인정보 보호단체 및 기관의 자격에는 제한이 없다. 따라서 개인정보 보호업무를 수행하는 단체나 기관은 누구든지 집단분쟁조정을 의뢰할 수 있으며, 기업들이 설립한 개인정보 보호단체나 국가 지자체 등이 설립한 공공기관도 가능하다. 나. 집단분쟁조정 신청대상 사건(제49조제2항, 영 제52조) 집단분쟁조정의 신청대상이 되기 위해서는 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생했어야 하며(제49조제2항), 집 단분쟁조정 신청요건을 모두 갖춘 사건이어야 한다(영 제52조). 집단분쟁조정 신청요건 (영 제52조) 1. 피해 또는 권리침해를 입은 정보주체의 수가 다음 각 목의 정보주체를 제 외하고 50명 이상일 것 가. 개인정보처리자와 분쟁해결이나 피해보상에 관한 합의가 이루어진 정보주체 나. 동일한 사안으로 다른 법령에 따라 설치된 분쟁조정기구에서 분쟁조정 절차가 진행 중인 정보주체 다. 해당 개인정보 침해로 인한 피해에 대하여 법원에 소( 訴 )를 제기한 정보주체 2. 사건의 중요한 쟁점이 사실상 또는 법률상 공통될 것

339 2. 집단분쟁조정절차의 개시 및 공고 가. 집단분쟁조정절차 개시 공고(제49조제2항, 영 제53조) 집단분쟁조정을 의뢰받거나 신청받은 분쟁조정위원회는 그 의결로써 집단분쟁 조정의 절차를 개시할 수 있다(제49조제2항 전단). 분쟁조정위원회가 집단분쟁조정절차를 개시하고자 하는 경우에는 14일 이상의 기간 동안 그 절차의 개시를 공공하여야 한다(제49조제2항 후단, 영 제53조제1항). 집단분쟁조정 절차의 개시 공고는 분쟁조정위원회의 인터넷 홈페이지 및 신 문 등의 진흥에 관한 법률 에 따라 전국을 보급지역으로 하는 일반일간신문에 게재하는 방법으로 한다(영 제53조제2항). 나. 집단분쟁조정의 추가신청(제49조제3항, 영 제54조) 집단분쟁조정의 당사자가 아닌 정보주체 또는 개인정보처리자가 추가로 집단분쟁 조정의 당사자로 참가하려면 집단분쟁조정절차 개시 공고 기간 내에 문서로 참가를 신청을 하여야 한다. 분쟁조정위원회가 집단분쟁조정의 당사자 참가 신청을 받으 면 집단분쟁조정절차 개시 공고기간(참가 신청기간)이 끝난 후 10일 이내에 참가 인정 여부를 문서로 알려야 한다(영 제54조제2항). 다. 대표당사자의 선임(제49조제4항) 분쟁조정위원회는 그 의결로써 집단분쟁조정의 당사자 중에서 공동의 이익을 대표하기에 가장 적합한 1인 또는 수인을 대표당사자로 선임할 수 있다. 3. 당사자 이외의 자에 대한 보상(제49조제5항) 분쟁조정위원회는 개인정보처리자가 분쟁조정위원회의 집단분쟁조정의 내용을 수락한 경우에는 집단분쟁조정의 당사자가 아닌 자로서 피해를 입은 정보주체에 대한 보상계획서를 작성하여 분쟁조정위원회에 제출하도록 권고할 수 있다.

340 4. 집단분쟁조정절차의 제외(제49조제6항, 영 제55조) 법 제48조제2항(소제기에 따른 분쟁조정절차의 중지)에도 불구하고 분쟁조정위원 회는 집단분쟁조정의 당사자인 다수의 정보주체 중 일부의 정보주체가 법원에 소 를 제기한 경우에는 그 절차를 중지하지 아니하고 조정절차를 계속 진행하여야 한 다. 다만, 소를 제기한 정보주체들은 그 절차에서 제외하여야 한다(제49조제6항). 집단분쟁조정 신청사건이 영 제52조 각 호의 요건을 모두 갖추어 집단분쟁조 정 절차가 개시된 후에 집단분쟁조정 신청 당사자 중 일부가 집단분쟁조정 신청 결격사유(영 제52조제1항제1호 가목부터 다목까지에 해당하는 자)에 해당하더라 도 나머지 사람들에 대한 집단분쟁조정 절차는 중지되지 아니한다. 다만, 집단분 쟁조정 절차가 개시된 후 집단분쟁조정 신청 결격사유에 해당하게 된 자는 당사 자에서 제외하여야 한다(영 제55조). 5. 집단분쟁조정 성립의 법적 효력 집단분쟁조정이 성립된 경우의 법적 효력은 일반 분쟁조정의 경우와 같다. 즉 당사자가 조정안을 수락한 경우에는 재판상 화해와 동일한 효력이 발생한다. 다 수의 정보주체 중 일부만이 조정안을 수락한 경우에는 수락한 사람에 한해서만 재판상 화해의 효력이 미친다. 6. 집단분쟁조정의 기간(제49조제7항) 집단분쟁조정의 기간은 집단분쟁조정절차 개시 공고기간이 종료된 날의 다음 날부터 60일 이내로 한다. 다만, 부득이한 사정이 있는 경우에는 분쟁조정위원회 의 의결로 처리기간을 연장할 수 있다. 7. 유사입법례 소비자기본법 제68조(분쟁조정의 특례) 1 제65조제1항의 규정에 불구하 고, 국가 지방자치단체 한국소비자원 또는 소비자단체 사업자는 소비자의 피 해가 다수의 소비자에게 같거나 비슷한 유형으로 발생하는 경우로서 대통령 령이 정하는 사건에 대하여는 조정위원회에 일괄적인 분쟁조정(이하 "집단분 쟁조정"이라 한다)을 의뢰 또는 신청할 수 있다.

341 2 제1항의 규정에 따라 집단분쟁조정을 의뢰받거나 신청받은 조정위원회는 조정위원회의 의결로써 제3항 내지 제7항의 규정에 따른 집단분쟁조정의 절 차를 개시할 수 있다. 이 경우 조정위원회는 대통령령이 정하는 기간동안 그 절차의 개시를 공고하여야 한다. 3 조정위원회는 집단분쟁조정의 당사자가 아닌 소비자 또는 사업자로부터 그 분쟁조정의 당사자에 추가로 포함될 수 있도록 하는 신청을 받을 수 있다. 4 조정위원회는 조정위원회의 의결로써 제1항 및 제3항의 규정에 따른 집단 분쟁조정의 당사자 중에서 공동의 이익을 대표하기에 가장 적합한 1인 또는 수인을 대표당사자로 선임할 수 있다. 5 조정위원회는 사업자가 조정위원회의 집단분쟁조정의 내용을 수락한 경우 에는 집단분쟁조정의 당사자가 아닌 자로서 피해를 입은 소비자에 대한 보상 계획서를 작성하여 조정위원회에 제출하도록 권고할 수 있다. 6 제65조제5항의 규정에 불구하고 조정위원회는 집단분쟁조정의 당사자인 다수의 소비자 중 일부의 소비자가 법원에 소를 제기한 경우에는 그 절차를 중지하지 아니하고, 소를 제기한 일부의 소비자를 그 절차에서 제외한다. 7 제66조제1항의 규정에 불구하고 집단분쟁조정의 기간은 제2항의 규정에 따른 공고가 종료된 날의 다음 날부터 기산한다. 8 집단분쟁조정의 절차 등에 관하여 필요한 사항은 대통령령으로 정한다. 제68조(분쟁조정의 특례) 1 제65조제1항의 규정에 불구하고, 국가 지방자치 단체 한국소비자원 또는 소비자단체 사업자는 소비자의 피해가 다수의 소비 자에게 같거나 비슷한 유형으로 발생하는 경우로서 대통령령이 정하는 사 건에 대하여는 조정위원회에 일괄적인 분쟁조정(이하 "집단분쟁조정"이라 한다)을 의뢰 또는 신청할 수 있다. 2 제1항의 규정에 따라 집단분쟁조정을 의뢰받거나 신청받은 조정위원회는 조정위원회의 의결로써 제3항 내지 제7항의 규정에 따른 집단분쟁조정의 절 차를 개시할 수 있다. 이 경우 조정위원회는 대통령령이 정하는 기간동안 그 절차의 개시를 공고하여야 한다. 3 조정위원회는 집단분쟁조정의 당사자가 아닌 소비자 또는 사업자로부터 그 분쟁조정의 당사자에 추가로 포함될 수 있도록 하는 신청을 받을 수 있다. 4 조정위원회는 조정위원회의 의결로써 제1항 및 제3항의 규정에 따른 집단 분쟁조정의 당사자 중에서 공동의 이익을 대표하기에 가장 적합한 1인 또는 수인을 대표당사자로 선임할 수 있다. 5 조정위원회는 사업자가 조정위원회의 집단분쟁조정의 내용을 수락한 경우 에는 집단분쟁조정의 당사자가 아닌 자로서 피해를 입은 소비자에 대한 보상 계획서를 작성하여 조정위원회에 제출하도록 권고할 수 있다. 6 제65조제5항의 규정에 불구하고 조정위원회는 집단분쟁조정의 당사자인 다수의 소비자 중 일부의 소비자가 법원에 소를 제기한 경우에는 그 절차를 중지하지 아니하고, 소를 제기한 일부의 소비자를 그 절차에서 제외한다. 7 제66조제1항의 규정에 불구하고 집단분쟁조정의 기간은 제2항의 규정에

342 따른 공고가 종료된 날의 다음 날부터 기산한다. 8 집단분쟁조정의 절차 등에 관하여 필요한 사항은 대통령령으로 정한다. 소비자기본법 시행령 제56조(집단분쟁조정의 신청대상) 법 제68조제1항 에서 "대통령령이 정하는 사건"이란 다음 각 호의 요건을 모두 갖춘 사 건을 말한다. 1. 물품등으로 인한 피해가 같거나 비슷한 유형으로 발생한 소비자 중 다음 각 목의 자를 제외한 소비자의 수가 50명 이상일 것 가. 법 제31조제1항 본문에 따른 자율적 분쟁조정, 법 제57조에 따른 한국소 비자원 원장의 권고, 그 밖의 방법으로 사업자와 분쟁해결이나 피해보 상에 관한 합의가 이루어진 소비자 나. 제25조 각 호의 분쟁조정기구에서 분쟁조정이 진행 중인 소비자 다. 해당 물품등으로 인한 피해에 관하여 법원에 소(소)를 제기한 소비자 2. 사건의 중요한 쟁점이 사실상 또는 법률상 공통될 것

343 제50조 조정절차 등 법률 시행령 제50조(조정절차 등) 1 제43조부터 제49조까지의 규정에서 정한 것 외에 분쟁의 조정방법, 조정절차 및 조정업무의 처리 등에 필요한 사항은 대통령령으로 정한다. 2 분쟁조정위원회의 운영 및 분쟁조정 절차에 관하여 이 법에서 규 정하지 아니한 사항에 대하여는 민사조정법 을 준용한다. 제56조(수당과 여비) 분쟁조정위원회 및 조정부의 회의에 출석한 위 원 등에게는 예산의 범위에서 수당과 여비를 지급할 수 있다. 다만, 공무원인 위원이 그 소관 업무와 직접적으로 관련되어 출석하는 경 우에는 그러하지 아니하다. 제57조(분쟁조정 세칙) 법 및 이 영에서 규정한 사항 외에 분쟁조정 위원회의 운영 및 집단분쟁조정을 위하여 필요한 사항은 분쟁조정 위원회의 의결을 거쳐 분쟁조정위원회의 위원장이 정한다. 1. 민사조정법 의 준용 분쟁조정위원회의 운영 및 분쟁조정 절차에 관하여 이 법에서 규정하지 아니 한 사항에 대하여는 민사조정법 을 준용한다. 2. 분쟁조정세칙 의 제정 이 법 및 영에서 규정한 것 외에 분쟁조정위원회의 운영 및 집단분쟁조정을 위하여 필요한 사항은 분쟁조정위원회의 의결을 거쳐 위원장이 정한다(영 제57조). 3. 조정위원에 대한 수당 등의 지급 분쟁조정위원회 및 조정부의 회의에 출석한 위원 등에게는 예산의 범위에서 수당과 여비를 지급할 수 있다. 다만, 공무원인 위원이 그 소관업무와 직접적으 로 관련되어 출석하는 경우에는 그러하지 아니하다(영 제56조).

344 제7장 개인정보 단체소송 제51조 제52조 제53조 제54조 제55조 제56조 제57조 단체소송의 대상 등 전속관할 소송대리인의 선임 소송허가신청 소송허가요건 등 확정판결의 효력 민사소송법 의 적용 등

345

346 제51조~제53조 단체소송의 대상, 관할 등 제51조(단체소송의 대상 등) 다음 각 호의 어느 하나에 해당하는 단체는 개인정보처리자가 제49조에 따른 집단분쟁조정을 거부하거나 집단분쟁 조정의 결과를 수락하지 아니한 경우에는 법원에 권리침해 행위의 금지 중지를 구하는 소송(이하 단체소송 이라 한다)을 제기할 수 있다. 1. 소비자기본법 제29조에 따라 공정거래위원회에 등록한 소비자단체 로서 다음 각 목의 요건을 모두 갖춘 단체 가. 정관에 따라 상시적으로 정보주체의 권익증진을 주된 목적으로 하는 단체일 것 나. 단체의 정회원수가 1천명 이상일 것 다. 소비자기본법 제29조에 따른 등록 후 3년이 경과하였을 것 2. 비영리민간단체 지원법 제2조에 따른 비영리민간단체로서 다음 각 목의 요건을 모두 갖춘 단체 가. 법률상 또는 사실상 동일한 침해를 입은 100명 이상의 정보주체로부 터 단체소송의 제기를 요청받을 것 나. 정관에 개인정보 보호를 단체의 목적으로 명시한 후 최근 3년 이상 이를 위한 활동 실적이 있을 것 다. 단체의 상시 구성원수가 5천명 이상일 것 라. 중앙행정기관에 등록되어 있을 것 제52조(전속관할) 1 단체소송의 소는 피고의 주된 사무소 또는 영업소가 있는 곳, 주된 사무소나 영업소가 없는 경우에는 주된 업무담당자의 주 소가 있는 곳의 지방법원 본원 합의부의 관할에 전속한다. 2 제1항을 외국사업자에 적용하는 경우 대한민국에 있는 이들의 주된 사무소 영업소 또는 업무담당자의 주소에 따라 정한다. 제53조(소송대리인의 선임) 단체소송의 원고는 변호사를 소송대리인으로 선임하여야 한다. 1. 개인정보 단체소송의 의의 집단적인 개인정보피해를 구제할 수 있는 소송제도로는 크게 미국식의 집단소 송제도 와 유럽식의 단체소송제도 가 있다. 집단소송(Class Action)은 피해 집단에 속해 있는 개인에게 당사자 적격을 인 정하여 그로 하여금 집단구성원 전원을 위하여 소송을 수행할 수 있게 하는 제 도이고, 단체소송(Verbandsklage)은 일정한 자격을 갖춘 단체로 하여금 전체 피 해자들의 이익을 위해 소송을 제기할 수 있는 권한을 부여하는 제도이다. 집단소 제 51 ~ 53 조

347 송은 주로 소액다수의 피해구제를 위한 손해배상청구소송으로 그 장점을 발휘해 왔고, 단체소송은 사업자들의 위법행위를 금지 중단시키기 위한 금지 중지청구 소송제도로 발전해 왔다. 그러나 최근에는 단체소송에서도 손해배상청구를 허용 하는 등 두 제도의 차이가 좁혀지고 있다. 개인정보 보호법 은 유럽식의 단체소송제도를 도입하여 일정한 자격요건을 갖춘 단체에게만 개인정보 단체소송을 제기할 권한을 부여하고 있으며 단체소송 의 청구범위도 권리침해행위의 금지 중지에 한정하고 있다. < 단체소송과 집단소송의 차이 > 구 분 단체소송(Verbandsklage) 집단소송(Class Action) 일정 요건을 구비한 소비자단체 이해관계가 밀접한 다수의 피해 청구권자 등(단체가 소송수행) 자집단(대표당사자가 소송수행) 소송목적 위법행위의 금지 중지 금전적 피해구제(손해배상청구) 기대효과 피해의 확산방지 및 예방 피해의 사후적 구제 판결의 효과 다른 단체에게도 판결의 효력이 미침 모든 피해자에게 판결의 효과가 미 침(단, 제외 신청을 한 사람은 제외) 2. 분쟁조정 전치주의(제51조 본문) 개인정보 단체소송을 제기하기 위해서는 반드시 개인정보 집단분쟁조정 절차 를 거쳐야 한다. 불필요한 소송의 남발을 막기 위한 것이다. 개인정보처리자가 조정위원회의 집단분쟁조정을 거부하거나 집단분쟁조정의 결과를 수락하지 아니 한 경우에만 개인정보 단체소송을 제기할 수 있다. 3. 개인정보단체소송의 대상 및 청구범위 가. 개인정보단체소송의 대상 개인정보단체소송의 대상이 되는 개인정보처리자의 행위는 개인정보처리와 관 련한 정보주체의 권리를 침해하는 행위이다. 반드시 이 법 위반에 따른 권리침해 행위에 한정하지 않고 개인정보처리와 관련해서 발생한 권리침해행위는 모두 단 체소송의 대상이 된다. 소제기 당시 권리침해 행위가 계속되고 있어야 하고 과거 의 권리침해행위는 단체소송의 대상이 되지 못한다.

348 나. 개인정보단체소송의 청구범위 개인정보단체소송은 권리침해행위의 금지 중지 청구만을 그 내용으로 한다. 예컨대 개인정보의 목적외 이용 및 제공 금지, 개인정보 열람요구권의 침해 중지 등과 같이 권리침해행위의 금지 중지만 청구가 가능하다(제51조 본문). 따라서 개인정보 유출 또는 오남용으로 인한 손해배상을 청구하는 소송은 단체소송을 통해서 제기할 수 없다. 정보주체가 손해배상을 청구하기 위해서는 개별적으로 소송을 제기해야 한다. 4. 개인정보 단체소송의 원고적격(제51조 각호) 개인정보 단체소송을 제기할 수 있는 자는 등록 소비자단체와 비영리민간단체 로 한정되어 있다. 소비자단체가 개인정보 단체소송을 제기하기 위해서는 소비자기본법 제29 조에 따라 공정거래위원회에 등록한 1 정관에 따라 상시적으로 정보주체의 권 익증진을 주된 목적으로 하는 단체이며, 2 단체의 정회원수가 1천명 이상이고, 3 소비자기본법 제29조에 따른 등록 후 3년이 경과하여야 한다. 비영리민간단체가 개인정보 단체소송을 제기하기 위해서는 비영리민간단체 지원법 제2조에 따른 비영리민간단체로서 1 법률상 또는 사실상 동일한 침해 를 입은 100명 이상의 정보주체로부터 단체소송의 제기를 요청받고, 2 정관에 개인정보 보호를 단체의 목적으로 명시한 후 최근 3년 이상 이를 위한 활동 실 적이 있으며, 3 단체의 상시 구성원수가 5천명 이상으로, 4 중앙행정기관에 등 록되어 있어야 한다. 비영리민간단체지원법 제2조(정의) 이 법에 있어서 "비영리민간단체"라 함은 영리가 아닌 공익활동을 수행하는 것을 주된 목적으로 하는 민간단체로서 다음 각호의 요건을 갖춘 단체를 말한다. 1. 사업의 직접 수혜자가 불특정 다수일 것 2. 구성원 상호간에 이익분배를 하지 아니할 것 3. 사실상 특정정당 또는 선출직 후보를 지지 지원할 것을 주된 목적으로 하거나, 특 정 종교의 교리전파를 주된 목적으로 설립 운영되지 아니할 것 4. 상시 구성원수가 100인 이상일 것 5. 최근 1년 이상 공익활동실적이 있을 것 6. 법인이 아닌 단체일 경우에는 대표자 또는 관리인이 있을 것

349 4. 개인정보 단체소송의 전속관할(제52조) 개인정보 단체소송의 소는 피고의 주된 사무소 또는 영업소가 있는 곳의 지방 법원 본원 합의부의 관할에 전속한다. 그러나 주된 사무소나 영업소가 없는 경우 에는 주된 업무담당자의 주소가 있는 곳의 지방법원 본원 합의부의 관할에 전속 한다. 피고가 외국사업자인 경우에는 대한민국에 있는 이들의 주된 사무소 영업 소 또는 업무담당자의 주소에 따라 전속관할을 정한다. 5. 소송대리인의 선임(제53조) 개인정보 단체소송의 원고가 개인정보 단체소송을 제기하기 위해서는 변호사 를 소송대리인으로 선임하여야 한다. 집단분쟁조정의 경우에는 청구인 중에서 대 표당사자를 선임하도록 하였으나(제49조제4항) 단체소송의 경우에는 소송대리인 을 선임하도록 하고 있다.

350 제54조/제55조 소송허가신청 및 허가요건 제54조(소송허가신청) 1 단체소송을 제기하는 단체는 소장과 함께 다음 각 호의 사항을 기재한 소송허가신청서를 법원에 제출하여야 한다. 1. 원고 및 그 소송대리인 2. 피고 3. 정보주체의 침해된 권리의 내용 2 제1항에 따른 소송허가신청서에는 다음 각 호의 자료를 첨부하여야 한다. 1. 소제기단체가 제51조 각 호의 어느 하나에 해당하는 요건을 갖추고 있 음을 소명하는 자료 2. 개인정보처리자가 조정을 거부하였거나 조정결과를 수락하지 아니하였 음을 증명하는 서류 제 조 제55조(소송허가요건 등) 1 법원은 다음 각 호의 요건을 모두 갖춘 경우 에 한하여 결정으로 단체소송을 허가한다. 1. 개인정보처리자가 분쟁조정위원회의 조정을 거부하거나 조정결과를 수 락하지 아니하였을 것 2. 제54조에 따른 소송허가신청서의 기재사항에 흠결이 없을 것 2 단체소송을 허가하거나 불허가하는 결정에 대하여는 즉시항고할 수 있다. 1. 소송허가의 신청(제54조제1항) 개인정보 단체소송을 제기하려는 단체는 소장과 함께 1원고 및 그 소송대리 인, 2 피고, 3 정보주체의 침해된 권리의 내용을 기재한 소송허가신청서를 관 할 법원에 제출하여야 한다. 2. 소송허가 신청시 첨부서류(제54조제2) 개인정보 단체소송을 제기하려는 단체가 관할 법원에 소송허가신청서를 제출 하고자 하는 경우에는 소송허가신청서에는 소제기단체가 제51조 각 호의 어느 하나에 해당하는 요건(단체소송 원고적격)을 갖추고 있음을 소명하는 자료와 개 인정보처리자가 조정을 거부하였거나 조정결과를 수락하지 아니하였음을 증명하 는 서류를 첨부하여야 한다.

351 3. 소송허가의 요건(제55조) 법원은 1 소송허가신청서의 기재사항에 흠결이 없고 2 개인정보처리자가 분 쟁조정위원회의 조정을 거부하거나 조정결과를 수락하지 아니한 사실을 확인한 경우에는 결정으로 단체소송을 허가하여야 한다. 단체소송을 허가하거나 불허가 하는 결정에 대하여는 즉시 항고할 수 있다. 참고 즉시항고(민사소송법 제444조) 항고란 소송절차에 관한 신청을 기각한 결정이나 명령에 대한 불복신청을 말한다. 통상의 항고는 불복신청 기간에 대한 제한이 없는 반면에, 즉시항고는 재판의 신 속한 확정을 위하여 불복신청기간을 기각결정을 고지받은 날부터 1주일로 제한하 고 있다.

352 제56조 확정판결의 효력 제56조(확정판결의 효력) 원고의 청구를 기각하는 판결이 확정된 경우 이 와 동일한 사안에 관하여는 제51조에 따른 다른 단체는 단체소송을 제기 할 수 없다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다. 1. 판결이 확정된 후 그 사안과 관련하여 국가 지방자치단체 또는 국가 지 방자치단체가 설립한 기관에 의하여 새로운 증거가 나타난 경우 2. 기각판결이 원고의 고의로 인한 것임이 밝혀진 경우 제 56 조 1. 청구기각 판결의 효력 원고의 청구를 기각하는 판결이 확정된 경우, 이와 동일한 사안에 관하여는 다 른 소비자단체나 비영리단체도 다시 단체소송을 제기할 수 없다. 즉 단체소송의 확정판결 효과는 다른 단체에게까지 미친다(제56조 본문). 원고 패소 판결뿐만 아 니라 승소 판결의 경우에도 판결의 효과는 전체 소비자단체 및 비영리단체에 미 친다. 그러나 개별 정보주체들은 개인정보 단체소송의 결과에 관계없이 권리침해 행위의 금지 중지를 구하는 소송 또는 손해배상 청구를 구하는 소송을 제기할 수 있다. 2. 확정판결 효력의 정지 원고가 청구 기각 판결을 받았더라도 1판결이 확정된 후 그 사안과 관련하여 국가 지방자치단체 또는 국가 지방자치단체가 설립한 기관에 의하여 새로운 증거 가 나타나거나, 2 기각판결이 원고의 고의로 인한 것임이 밝혀진 경우에는 다른 단체가 동일 사안에 대하여 다시 단체소송을 제기할 수 있다(제56조 단서).

353 제57조 민사소송법 적용 등 제57조( 민사소송법 의 적용 등) 1 단체소송에 관하여 이 법에 특별한 규정이 없는 경우에는 민사소송법 을 적용한다. 2 제55조에 따른 단체소송의 허가결정이 있는 경우에는 민사집행법 제4편에 따른 보전처분을 할 수 있다. 3 단체소송의 절차에 관하여 필요한 사항은 대법원규칙으로 정한다. 1. 민사소송법 의 적용 단체소송에 관하여 이 법에 특별한 규정이 없는 경우에는 민사소송법 을 적용한다. 따라서 즉시항고의 기간 방법 등 다수의 민사소송 규정이 개인정보 단체소송 절차에도 그대로 적용된다. 2. 민사집행법 의 적용 법원의 단체소송 허가결정이 있는 경우에는 민사집행법 제4편에 따른 보 전처분을 할 수 있다. 그러나 소비자 단체소송은 권리침해 행위의 금지 중지만 청구할 수 있기 때문에 금전채권의 보전을 목적으로 하는 가압류관련 규정은 활 용될 여지가 없고 가처분관련 규정만 활용이 가능하다. 3. 개인정보 단체소송규칙 의 제정 운용 단체소송의 절차에 관하여 필요한 사항은 대법원규칙으로 정한다. 개인정보 단체소송규칙 에는 소의 제기 및 소송허가신청의 방법, 소장의 기재사항, 소송 허가신청서의 기재사항, 소송허가신청서에 붙일 자료, 소송허가신청서의 심사, 소 송허가신청서부본의 송달, 소송허가신청의 심리, 소송허가여부에 대한 결정, 소송 대리인의 사임, 공동소송참가, 청구의 변경, 변론의 병합 등이 포함되어 있다. < 개인정보 단체소송규칙 (대법원규칙 제2358호, 제정) > 제1조(목적) 이 규칙은 개인정보 보호법 (다음부터 법 이라고 한다) 제51조 에 따라 제기된 금지ㆍ중지 청구에 관한 소송(다음부터 개인정보 단체소송

354 이라고 한다)의 절차에 관하여 필요한 사항을 정하는 것을 목적으로 한다. 제2조( 민사소송규칙 의 적용) 개인정보 단체소송에 관하여 이 규칙에 특 별한 규정이 없는 때에는 민사소송규칙 을 적용한다. 제3조(소의 제기 및 소송허가신청의 방법) 소장과 소송허가신청서는 별개의 서면으로 작성하여 제출하여야 한다. 제4조(소장의 기재사항) 소장에는 다음 각 호의 사항을 적어야 한다. 1. 원고 및 그 소송대리인 2. 피고 3. 청구의 취지와 원인 제5조(소송허가신청서의 기재사항) 소송허가신청서에는 다음 각 호의 사항을 적 어야 한다. 1. 원고 및 그 소송대리인 2. 피고 3. 허가신청의 취지와 원인 4. 정보주체의 침해된 권리의 내용 제6조(소송허가신청서에 붙일 자료) 1 법 제51조제1호에 규정된 단체는 소 송허가신청서에 다음 각 호의 자료 등을 붙여야 한다. 1. 단체의 정관 2. 단체의 정회원수가 1천명 이상임을 소명할 수 있는 자료 3. 소비자기본법 제29조에 따라 소비자단체로 등록한 사실 및 등록일자 를 소명하는 서면 2 법 제51조제2호에 규정된 단체는 소송허가신청서에 다음 각 호의 자료 등을 붙여야 한다. 1. 단체의 정관 2. 개인정보 보호와 관련된 최근 3년간의 활동실적 3. 단체의 상시 구성원수가 5천명 이상임을 소명할 수 있는 자료 4. 중앙행정기관에 등록되어 있음을 소명하는 서면 5. 단체소송의 제기를 요청한 정보주체의 이름ㆍ주소와 연락처(전화번호ㆍ 팩시밀리번호 또는 전자우편주소 등을 말한다.) 6. 제5호의 정보주체들이 단체소송의 제기를 요청한 서면(각 정보주체별 침 해의 내용과 서명 또는 날인을 포함하여야 한다) 3 소제기단체는 소송허가신청서에 법 제54조제2항제2호에 따라 개인정보 처리자가 법 제49조에 따른 집단분쟁조정을 거부하거나 집단분쟁조정의 결 과를 수락하지 아니하였음을 증명하는 서류를 붙여야 한다. 제7조(소송허가신청서의 심사) 1 소송허가신청서의 기재사항 및 소송허가신 청서에 붙일 서류에 흠이 있는 때에는 재판장은 상당한 기간을 정하여 그 기간 이내에 흠을 보정하도록 명하여야 한다. 2 원고가 제1항에 따른 재판장의 명령에도 불구하고 흠을 보정하지 아니 한 때에는 법원은 결정으로 단체소송을 불허가한다. 제8조(소송허가신청서 부본의 송달) 소송허가신청서의 부본은 소장부본과 함께 피고에게 송달한다. 제9조(소송허가신청의 심리) 법원은 소송허가 여부를 결정하기 위하여 필요 제 57 조

355 하다고 인정하는 때에는 원고의 대표자, 피용자, 회원 또는 구성원, 피고 및 정보주체 등을 심문할 수 있다. 제10조(소송허가 여부에 대한 결정) 1 소송허가결정서 및 소송불허가결정서 에는 다음 각 호의 사항을 기재하고 결정을 한 법관이 기명날인하여야 한다. 1. 원고 및 그 소송대리인 2. 피고 3. 주문 4. 이유 2 소송불허가결정서의 이유에는 흠결이 있는 소송허가요건을 명시하여야 한다. 3 소송허가결정 및 소송불허가결정은 그 결정등본을 원고와 피고에게 송 달하여야 한다. 4 소송불허가결정이 확정된 때에는 단체소송이 제기되지 아니한 것으로 본다. 제11조(소송대리인의 사임 등) 1 원고의 소송대리인 전원이 사망 또는 사임 하거나 해임된 때에는 원고가 새로운 소송대리인을 선임할 때까지 소송절 차가 중지된다. 2 제1항에 따라 소송절차가 중지된 경우 법원은 원고에게 1개월 이상의 기간을 정하여 변호사를 선임할 것을 명하여야 한다. 3 원고가 제2항에 따른 명령을 받고도 정해진 기간 내에 변호사를 선임하 지 아니한 때에는 법원은 결정으로 소를 각하하여야 한다. 4 제3항의 결정에 대하여는 즉시항고를 할 수 있다. 제12조(공동소송참가) 1 법 제51조 각 호의 어느 하나에 해당하는 단체는 법 제55조제1항에 따른 법원의 허가를 받아 다른 단체와 개인정보처리자 사이에 계속 중인 개인정보 단체소송에 민사소송법 제83조에 따른 공 동소송인으로 참가할 수 있다. 이 때 공동소송참가신청서와 공동소송참가허 가신청서는 법 제54조제1항의 소장과 소송허가신청서로 본다. 2 제1항의 경우 법 제54조제2항제2호, 제55조제1항제1호의 규정은 적용하 지 아니한다. 제13조(청구의 변경) 원고가 청구의 기초가 바뀌지 아니하는 한도 안에서 청 구의 취지 또는 원인을 바꿀 때에는 법 제54조 및 제55조의 규정을 적용하 지 아니한다. 제14조(변론의 병합) 동일한 법원에 청구의 기초와 피고인 개인정보처리자가 같은 여러 개의 개인정보 단체소송이 계속 중인 때에는 이를 병합하여 심 리하여야 한다. 다만, 심리상황이나 그 밖의 사정을 고려하여 병합심리가 타당하지 아니한 때에는 그러하지 아니하다.

356 제8장 보칙 제58조 제59조 제60조 제61조 제62조 제63조 제64조 제65조 제63조 제67조 제68조 제69조 적용의 일부 제외 금지행위 비밀유지 등 의견제시 및 개선권고 침해사실의 신고 등 자료제출 요구 및 검사 시정조치 등 고발 및 징계권고 결과의 공표 연차보고 권한의 위임 위탁 벌칙 적용 시의 공무원 의제

357

358 제58조 법률 시행령 적용의 일부 제외 제58조(적용의 일부 제외) 1 다음 각 호의 어느 하나에 해당하는 개인정보에 관하여는 제3장부터 제7장까지를 적용하지 아니한다. 1. 공공기관이 처리하는 개인정보 중 통계법 에 따라 수집되는 개인정보 2. 국가안전보장과 관련된 정보 분석을 목적으로수집 또는 제공 요청되는 개인정보 3. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우 로서 일시적으로 처리되는 개인정보 4. 언론, 종교단체, 정당이 각각 취재 보도, 선교, 선거 입후보자 추 천 등 고유 목적을 달성하기 위하여 수집 이용하는 개인정보 2 제25조제1항 각 호에 따라 공개된 장소에 영상정보처리기기를 설치 운영하여 처리되는 개인정보에 대하여는 제15조, 제22조, 제 27조제1항 제2항, 제34조 및 제37조를 적용하지 아니한다. 3 개인정보처리자가 동창회, 동호회 등 친목 도모를 위한 단체를 운영하기 위하여 개인정보를 처리하는 경우에는 제15조, 제30조 및 제31조를 적용하지 아니한다. 4 개인정보처리자는 제1항 각 호에 따라 개인정보를 처리하는 경 우에도 그 목적을 위하여 필요한 범위에서 최소한의 기간에 최소 한의 개인정보만을 처리하여야 하며, 개인정보의 안전한 관리를 위하여 필요한 기술적 관리적 및 물리적 보호조치, 개인정보의 처 리에 관한 고충처리, 그 밖에 개인정보의 적절한 처리를 위하여 필요한 조치를 마련하여야 한다. 제66조(친목단체에 대한 벌칙조항의 적용배제) 1 친목단체의 개인정 보처리자에 대하여는 법 제75조제1항제1호, 제2항제1호, 제3항제7호 및 제8호의 벌칙을 적용하지 아니한다. 2 제1항에서 규정한 사항을 제외한 벌칙규정은 친목단체의 개인정보처 리자에 대하여도 적용한다. 제 58 조 개인정보보호를 통해 보호받고자 하는 프라이버시권은 누구나 누려야 할 기본 권이자 민주주의 사회의 초석이다. 때문에 프라이버시권은 정치적 자유, 표현의 자유, 집회의 자유, 종교의 자유, 신체의 자유, 사유재산 보호 그 밖에 우리 사회 가 개인의 자유 및 사적 자치에 부여하고 있는 모든 가치의 토대를 이루고 있다. 그러나 개인정보보호를 지나치게 강조하면 헌법에서 보장하고 있는 이 같은 권리들이 오히려 위축되는 결과를 초래한다. 따라서 개인정보를 적절히 보호하면 서도 다른 헌법적 가치들과의 균형을 위하여 일정한 목적 일정한 유형의 개인 정보 처리에 대해서는 법률의 일부 적용을 면제할 필요가 있다.

359 1. 통계 목적으로 처리되는 개인정보에 대한 적용제외(제1항제1호) 공공기관이 처리하는 개인정보 중 통계법 에 따라 수집되는 개인정보에 대 해서는 법 제3장부터 제7장이 적용되지 않는다. 통계법 에 따라 작성된 통계 는 국가는 물론 민간에서도 각종 의사결정을 하는데 기본적인 데이터로 활용되 는 공공재로서의 역할을 수행하고 있고 경제 사회 발전의 기초가 되고 있기 때 문에 시의적절하고 정확한 통계의 작성은 매우 중요하기 때문이다. 2. 국가안보 목적으로 처리되는 개인정보에 대한 적용제외(제1항제2호) 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공이 요청되는 개 인정보에 대해서도 법 제장부터 제7장까지를 적용하지 아니한다. 테러분자의 추 적, 간첩 색출, 국가전복 기도 방지, 국가기밀 누출방지 등 국가안보를 위한 정보 수사기관들의 정보 수집, 분석 및 관리 업무는 비밀리에 수행되어야 하기 때문에 국가안보를 목적으로 하는 개인정보 수집 제공 행위 등에 대해서는 이 법의 일부 적용을 배제하고 있다. 3. 공중위생등 목적으로 처리되는 개인정보에 대한 적용제외(제1항제3호) 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으 로 처리되는 개인정보에 대해서도 법 제3장부터 제7장이 적용되지 않는다. 각종 전염병의 확산방지를 위한 환자 격리, 감염원 추적 등의 활동과 천재지변 긴급재 난 등으로부터 이재민을 구조 구호하기 위한 활동은 촌각을 다투는 경우가 많 고 국민의 생명 신체 및 재산의 안전이 위협을 받고 있는 상황이므로 법에 따 른 기준에 따른 개인정보처리자 곤란하기 때문이다. 다만, 이 경우에도 남용을 방지하기 위하여 해당 개인정보를 일시적으로 처리하는 경우에 한해서 법 적용 을 제외하고 있다. 4. 언론기관 종교단체 정당 등에 대한 적용제외(제1항제4호) 언론, 종교단체, 정당이 각각 취재 보도, 선교, 선거 입후보자 추천 등 그 고유 목적을 달성하기 위하여 수집 이용하는 개인정보에 대해서는 제3장부터 제7장을 적용하지 아니한다.

360 그 고유 목적을 달성하기 위하여 처리되는 개인정보에 한하여 이 법의 일부가 적용 배제되며, 언론기관, 종교단체, 정당 등이 처리하는 모든 개인정보에 대해서 이 법의 적용이 제외되는 것은 아니다. 예컨대 언론기관의 인물DB사업, 종교단체 의 사회복지사업, 정당의 여성정치인 육성사업은 언론기관 종교단체 정당 등의 고유 목적이라고 할 수 없다. 언론의 취재 또는 보도 등 고유목적을 달성하기 위한 활동으로 취재란 언론이 보도 논평 및 여론 등을 전파할 목적으로 기사작성에 필요한 기초자료 또는 정보 를 수집하는 행위를 말하며, 보도란 언론이 취재를 통하여 얻어진 것을 신문, 잡 지, 방송 또는 인터넷 등의 매체를 통해 일반인에게 전달하는 행위를 말한다. 언론 이라 함은 다음의 기관들을 말한다. 1. 신문 등의 진흥에 관한 법률 제9조제1항에 따라 등록한 일간신문 주 간신문 인터넷신문 및 잡지 등 정기간행물의 진흥에 관한 법률 제15 조제1항에 따라 등록한 월간잡지를 발행하는 자 < 간행물의 종류 > 종류 신문 인터넷 신문 잡지 내용 신문 등의 진흥에 관한 법률 제9조제1항에 따라 등록한 신문으로서 일반 일간신문, 특수일간신문, 외국어일간신문, 일반주간신문, 특수주간신문 등 정 치 경제 사회 문화 시사 산업 과학 종교 교육 체육 등 전체분야 또는 특정분야 에 관한 보도 논평 여론 및 정보 등을 전파하기 위해 동일한 제호로 월 2회 이상 발행하는 간행물 언론중재 및 피해구제 등에 관한 법률 제2조제10호, 신문 등의 진흥에 관한 법률 제2조제2호 및 신문 등의 진흥에 관한 법률 시행령 제2조가 규정한 컴퓨터 등 정보처리능력을 가진 장치와 통신망을 이용하여 정치 경제 사회 문화 시사 등에 관한 보도 논평 여론 및 정보 등을 전파하기 위해 간행 하는 전자간행물로서 독자적 기사 생산과 지속적인 발행 등 다음의 기준을 모두 충족하는 것 독자적인 기사 생산을 위한 요건으로서 취재 인력 2인 이상을 포함하여 취재 및 편집 인력 3인 이상을 상시적으로 고용하고, 주간 게재 기사 건 수의 30% 이상을 자체적으로 생산한 기사로 게재할 것 지속적인 발행요건으로서 주간 단위로 새로운 기사를 게재할 것 잡지 등 정기간행물의 진흥에 관한 법률 제2조제1호 가목에서 규정한 동일한 제호로 연 2회 이상 계속적으로 발행하는 간행물로서 신문 등의 진흥에 관한 법 률 제2조에 따른 신문을 제외한 잡지 및 기타간행물 2. 방송법 제2조제1호에 따른 방송을 하는 법인으로 방송이란 방송프로그램 을 기획 편성 또는 제작하여 이를 공중(개별계약에 의한 수신자를 포함)에게 전기통신설비로 송신하는 라디오방송, 데이터방송, 이동멀티미디어 방송

361 3. 뉴스 통신진흥에 관한 법률 제8조에 따라 등록한 뉴스통신사업을 경영 하는 법인 뉴스통신이라 함은 전파법 에 따라 무선국의 허가를 받거나 그 밖의 정보통 신기술을 이용하여 외국의 뉴스통신사와 뉴스통신계약을 체결하고 국내외의 정 치 경제 사회 문화 시사 등에 관한 보도 논평 및 여론 등의 전파를 목적으로 행 하는 유무선을 포괄한 송수신 또는 이를 목적으로 발행하는 간행물 4. 그밖에, 공직선거법 제8조의5제1항이 규정한 정치 경제 사회 문 화 시사 등에 관한 보도 논평 여론 및 정보 등을 전파할 목적으로 취 재 편집 집필한 기사를 인터넷을 통해 보도 제공하거나 매개하는 인터 넷홈페이지를 경영 관리하는 자와 이와 유사한 언론의 기능을 행하는 인 터넷홈페이지를 경영 관리하는 자 종교단체 에는 개신교, 대종교, 불교, 원불교, 유교, 이슬람교, 천도교, 천주 교 등 종교의 보급 기타 교화를 목적으로 설립된 종단 교단 유지재단 또는 이 와 유사한 연합종교단체, 종교단체에 소속된 법인 또는 단체로서 종교의 보급 기 타 교화를 목적으로 설립된 개별단체로서 민법 제32조에 근거하여 문화관광부에 등록을 한 법인인 단체 또는 관할 시 군 구청에 종교단체로 등록하여 고유번호를 부여받고 관할세무서에 사업자 등록을 한 단체 등이 해당될 수 있다. 종교단체가 선교 등 고유목적을 달성하기 위한 활동으로는 1) 교단정리, 교단 내부규율 정리, 소속종교단의 등록, 교역자의 신상관리, 소식지 제작, 홍보, 종교 단체가 의사결정을 하거나 자문을 위하여 행하는 각종 회의소집, 교단 홈페이지 관리 등 종교단체의 교단유지업무, 2) 종교단체의 교리를 전파하거나 전쟁이나 재해를 입은 주민의 재건과 화해를 위한 선교활동(헌재 헌마1366), 3) 종교의 교리를 전달하고 종교를 전파할 목적을 행하는 교육, 그밖에 종교를 선교하기 위한 부수적인 활동으로 행하는 청소년운동, 부정부패추방시민운동, 환 경운동 등과 같은 공익활동이나 자원봉사활동 등이 있다. 정당 이라 함은 국민의 이익을 위하여 책임 있는 정치적 주장이나 정책을 추진하고 공직선거의 후보자를 추천 또는 지지함으로써 국민의 정치적 의사형성 에 참여함을 목적으로 하는 국민의 자발적 조직으로서 정당법 제4조제1항에 의하여 중앙선거관리위원회에 등록한 단체를 말한다. 정당이 선거 입후보자 추천 등 고유목적을 달성하기 위한 활동에는 정당이 공직선거의 후보자(후보자가 되고 자 하는 자를 포함한다)를 지지 추천하는 행위, 정당의 정책이나 정치적 현안에 대한 입장을 인쇄물 시설물 광고 등을 이용하여 홍보하는 행위, 정당이 당원을 모집하기 위한 활동(호별방문을 제외한다) 등이 포함된다.

362 5. 동창회, 동호회 등 친목단체에 대한 적용제외(제3항) 개인정보처리자가 동창회, 동호회 등 친목 도모를 위한 단체를 운영하기 위하 여 개인정보를 처리하는 경우에는 제15조(개인정보의 수집 이용), 제30조(개인정 보 처리방침의 수립 및 공개) 및 제31조(개인정보 보호책임자의 지정)를 적용하 지 아니한다. 친목단체는 업무적 성격보다는 사적 모임의 성격이 강하기 때문에 이 법의 일부 적용을 배제한 것이다. 따라서 친모단체는 정보주체의 동의 없이 회원의 개인정보를 수집 이용하는 것이 가능하지만, 친목단체의 설립 목적을 벗어난 이용 제공에 대해서는 이 법 에 따라 처리하여야 한다. 현행법은 일정한 법정 단체에 대해 친목도모를 목적으로 한다거나 친목단체의 회 비에 대하여는 기부금품의 모집 및 사용에 관한 법률 상의 기부금으로 보지 아 니한다거나 공직선거법 상의 규제대상인 기부금으로 보지 아니한다는 내용만 규정하고 있고, 친목단체와 관련하여 별도의 개념정의조항을 두고 있지 않다. 사전 적으로는 학교, 지역, 기업, 인터넷 커뮤니티 등을 단위로 구성되는 것으로서 자 원봉사, 취미, 정치, 종교 등 공통의 관심사나 목표를 가진 사람간의 친목도모를 위한 모임 으로 파악되는 바, 영리를 목적으로 하는 단체는 친목단체가 될 수 없 으나 해당 영리단체를 이루는 구성원은 친목단체를 구성할 수 있다고 할 것이다. < 법령 상 친목단체 > 법 명 고엽제후유의증 환자지원 등에 관한 법률 공무원연금법 시행규칙 공무원행동강령 공연법 내 용 제9조는 고엽전우회 를 고엽제후유증의 환자 등 상호간의 친목을 도모하고 상부상조함을 목적으로 하는 법인임을 명시 제12조제7호는 공무상 부상 또는 사망으로 보지 아니하는 경우로서 공무원 상호간의 사적인 친목행사 또는 취미활동으로 인하여 발생 한 사고 를 규정 제17조제1항은 공무원으로 하여금 직무관련자나 직무관련공무원에 게 경조사를 알리지 못하도록 함. 예외적으로 공무원 자신이 소 속된 종교단체 친목단체 등의 회원에 대한 통지 는 허용 제6조 제1항은 외국인의 국내공연에 대하여는 위원회의 추천을 받 도록 하면서 제6조제2항은 그 예외로서 같은 법 시행령 제5조의 외국의 단체 또는 개인이 종교의식 친목 또는 연구발표를 목적으 로 국내에서 공연하고자 하는 경우 또는 국내의 단체 또는 개인 이 종교의식 친목 또는 연구발표를 목적으로 외국인을 국내에 초 청하여 공연하게 하고자 하는 경우 를 규정

363 공직선거법 기부금품의 모집 및 사용에 관한 법률 제112조 제2항제2호 마목은 친목회 향우회 종친회 동창회 등 각종 사교 친목단체 및 사회단체의 구성원으로서 당해 단체의 정관 규 약 또는 운영관례상의 의무에 기하여 종전의 범위안에서 회비를 납부하는 행위 를 기부금에서 제외 법인, 정당, 사회단체, 종친회( 宗親會 ), 친목단체 등이 정관, 규약 또는 회칙 등에 따라 소속원으로부터 가입금, 일시금, 회비 또는 그 구성원의 공동이익을 위하여 모은 금품 은 위 법률의 적용대상 인 기부금품에서 배제 < 판례 상 친목단체 > 판례 구분 대법원 선고 2010두14084 판결 대법원 선고 2010도5954 판결 대법원 선고 2007두18000 판결 내용 친목단체가 구성원에 대하여 행하는 강제통제의 성격을 갖는 외부활동행위에 대한 규제는 친목도 모의 범위를 벗어나는 행위 친목단체의 구성원이 해당 친목단체의 정관이나 규약 등 자치규범에 따라 납부하게 되는 회비 등에 대 하여는 기부금품의 모집 및 사용에 관한 법률 상의 기부금으로 보지 아니함. 일정한 비용의 지출이 내부구성원을 상대로 하여 구성원간 관계의 원활성을 목적으로 한 것이면 친 목도모를 위한 비용으로 과세의 대상이 되지 아니 하나 외부인을 대상으로 하는 경우에는 진목도모 의 범위를 벗어난 것으로서 광고선전비에 해당 친목단체의 설립 목적 범위 내에서 개인정보를 처리하는 경우에도 개인정보의 최소수집 원칙, 개인정보의 기술적 관리적 보호조치, 고유식별정보 및 민감정보 의 처리 제한, 수탁자에 대한 관리 감독, 개인정보 유출 통지 및 신고 의무, 개 인정보 파기, 정보주체의 권리보호 등의 규정은 모두 그대로 적용된다. 6. 기술적 관리적 보호조치 등의 강구(제4항) 개인정보처리자가 제1항 각 호에 따라 개인정보를 처리하는 경우에도 그 목적 을 위하여 필요한 범위에서 필요한 최소한의 개인정보만을 처리하여야 한다. 또 한, 개인정보의 안전한 관리를 위하여 필요한 기술적 관리적 및 물리적 보호조치 를 취해야 하고, 개인정보처리에 관한 고충처리를 포함하여 그 밖에 개인정보의 적절한 처리를 위하여 필요한 조치를 마련하여야 한다.

364 < 외국 개인정보보호법 적용제외 사례 > 구분 OECD 프라이버시 가이드라인 EU 개인정보보호지침 독일 연방개인정보 보호법 일본 개인정보보호법 (제50조) 캐나다 개인정보보호와 전자문서에 관한 법률 영국 정보보호법 (제28조~제36조 등) 내용 ㆍ순수하게 사적인 목적으로 처리되는 경우 ㆍ국가주권, 국가안보, 공공정책(Public Policy)을 위한 경우 ㆍ순수하게 사적이고 가사목적의 활동을 위한 경우 ㆍ공공의 안전, 방위, 국가안보를 위한 활동의 경우 ㆍ형사법 영역의 국가활동(수사 등) ㆍ보도 목적, 문학적 예술적 창작활동이나 표현을 위한 경우 ㆍ개인정보의 수집, 생산, 이용이 오직 개인적이거나 가족적인 활동 영역에 속하는 경우(제3조제3항) ㆍ법률의 규정, 정보주체의 동의, 공공복리 및 공공안전침해 방지, 형사상 행정상 집행을 위한 경우(제14조제2항) ㆍ계약목적, 정보주체의 중요한 법적 이익, 광고 시장조사 여론조 사, 학문연구, 과학적 연구(정보주체의 이익보다 크고, 기타 방법이 없는 경우), 제3자의 법적 이익 또는 공익보호, 정치 철학 종교 또는 노동조합 목적(제28조) ㆍ보도 목적(방송기관, 신문사, 통신사 기타 보도기관) ㆍ저술활동 목적(저술을 업으로 하는 자) ㆍ학술연구 목적(대학 기타 학술연구 단체, 기관 및 구성원) ㆍ종교활동 목적(종교단체) ㆍ정치활동 목적(정치단체) ㆍ개인적 가정적 목적, 언론 예술 문학적 목적(제4조제2항) ㆍ법률 위반조사, 개인의 생명 건강 안전보호, 통계 학술조사, 공공이 용이 가능하고 규정에서 정한 정보를 사용하는 경우(제7조제2항) ㆍ법정 변호사 및 사무 변호사에게 정보를 공개하는 경우, 부채회수의 목적, 법원의 필요, 법적 권한있는 정부기관의 요청(제7조제3항) ㆍ순수한 사적 목적(개인 자신, 가족, 가사 등)을 위한 경우 ㆍ국가안보를 위한 경우 ㆍ범죄 방지 수사 검거 및 조세와 관련된 활동의 경우 ㆍ다른 법령 규정의 적용을 받는 경우 ㆍ공익을 위한 감시기관(공정거래 등)의 규제활동목적 ㆍ언론 예술 문학적 활동 목적의 경우 ㆍ연구 역사 통계 목적의 활동인 경우 ㆍ법령에 의해 공개적으로 이용가능한 정보인 경우 ㆍ군대, 법률 소송, 법관 임명 및 훈장 수여 등 7. 질의 응답 인터넷 커뮤니티 사이트도 FAQ 친목단체에 포함되나? 해당 블로그의 운영형태, 회원규약 등으로 판단하여 볼 때, 순수하게 친목을 목적 으로 하거나 취미를 공유하기 위한 목적으로 운영되면 친목단체로 볼 수 있다. 그 러나 형식상으로는 친목, 취미를 표방하면서 실질적으로 상품판매, 공동구매, 수 강생 모집, 광고 수주 등 영리수단으로 이용되고 있다면 친목단체로 볼 수 없다.

365 제59조 금지행위 제59조(금지행위) 개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어 느 하나에 해당하는 행위를 하여서는 아니 된다. 1. 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처 리에 관한 동의를 받는 행위 2. 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하 도록 제공하는 행위 3. 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보 를 훼손, 멸실, 변경, 위조 또는 유출하는 행위 1. 금지행위의 의무대상자(제59조 본문) 이 조에서 금지행위의 의무대상자는 개인정보를 처리하거나 처리하였던 자 이다. 따라서 개인정보처리자에게 소속되어 개인정보를 처리하고 있거나 처리한 적이 있는 전 현직 임직원, 파견직, 수탁자 등이 해당된다. 2. 부정한 방법에 의한 개인정보 취득 및 처리동의 획득(제1호) 개인정보를 처리하거나 처리하였던 자는 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위 를 하여서는 아니 된다. 거짓 이란 사기 또는 기망과 같은 의미로 사람을 속이는 행위를 말하고, 그 밖의 부정한 수단이나 방법 에는 공갈, 협박 등을 비롯하여 착오 오인의 유발 등 이 포함된다. 사기, 공갈, 협박 등의 수단이나 방법에는 제한이 없다. 언어 문서에 의하든 적극적인 동작이나 소극적인 부작위( 不作爲 )에 의하든 이를 불문한다. 최근 금융기관, 경찰청, 세무서, 우체국, 법원, 국민연금관리공단 등을 사칭하여 정보주 체로부터 카드번호, 주민번호, 비밀번호 등의 개인정보를 빼내가는 인터넷 피싱(인 터텟사기)과 보이스피싱(전화사기)이 대표적인 사례라고 할 수 있다. 3. 업무상 알게 된 개인정보의 부당 이용 제공(제2호) 개인정보를 처리하거나 처리하였던 자는 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위 를 하여서는 아니 된다.

366 업무상 알게 된 개인정보 란 넓게 업무를 처리하는 과정에서 우연히 알게 된 것으로 충분하고 반드시 자신에게 부여된 업무를 처리하는 과정에서 적법하게 알게 된 것이어야 할 필요는 없다. 누설 이란 개인정보를 무단으로 다른 사람에게 제공하거나 공공연히 외부에 공개하거나 유출시키는 행위이다. 한마다로 개인정보에 대한 접근권한이 없는 자가 해당 개인정보에 접근할 수 있도록 하는 행위이다. 4. 권한없는 타인 정보의 훼손 멸실 변경 위조 유출(제3호) 개인정보를 처리하거나 처리하였던 자는 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출하는 행위 를 하여서는 아니 된다. 정당한 권한 없이 란 처음부터 권한을 부여받지 못하였거나 부여받은 권한을 박탈당한 상태에서 마치 권한이 있는 것처럼 한 행위를 말하고, 허용된 권한을 초과하여 란 권한을 부여받기는 하였으나 부여받은 권한 이상을 행사는 것을 말한다. 참고 용어 해설 훼손 : 타인의 개인정보를 조작하거나 일부를 지우거나 다르게 만들어서 본래의 개인정보의 특성, 효용 및 사회적 가치를 손상시키거나 침해하는 행위 멸실 : 개인정보를 삭제 폐기 소각 등을 하여 없애버리는 행위 변경 : 개인정보의 내용을 본래의 것과 다르게 바꾸는 행위 위조 : 다른 사람을 속일 목적으로 꾸며 진짜처럼 만드는 행위 제 59 조 5. 다른 법률과의 관계 정보통신망법 은 이용자의 개인정보를 취급하고 있거나 취급하였던 자는 직 무상 알게 된 개인정보의 누설을 금지하는 규정을 두고 있다. 따라서 이 경우 정 보통신서비스제공자는 정보통신망법 에 따른 개인정보 누설금지의무를 준수하 여야 한다. 다만 개인정보 보호법 에서는 이 외에도 개인정보를 처리하거나 처리하였던 자가 정당한 권한 없이 개인정보를 훼손하거나 거짓이나 그 밖의 부 정한 수단으로 개인정보 처리 동의를 얻는 것을 금지하고 있는데 반하여, 정보 통신망법 에서는 이에 대하여 규정하고 있지 않으므로, 정보통신서비스제공자는 이에 대하여 개인정보 보호법 에 따른 금지의무를 준수하여야 한다. 신용정보법 은 신용정보회사등과 신용정보의 처리를 위탁받은 임직원 또는 임직원이었던 자는 업무상 알게 된 타인의 신용정보 및 사생활 등 개인적 비밀 을 업무목적 외에 누설하거나 이용하는 것을 금지하는 규정을 두고 있다. 따라서 신용정보회사등은 신용정보법 에 의한 누설금지의무를 준수하여야 한다. 다만

367 개인정보 보호법 에서는 이 외에도 개인정보를 처리하거나 처리하였던 자가 정당한 권한 없이 개인정보를 훼손하거나 거짓이나 그 밖의 부정한 수단으로 개 인정보 처리 동의를 얻는 것을 금지하고 있는데 반하여, 신용정보법 에서는 이 에 대하여 규정하고 있지 않으므로, 신용정보회사등과 신용정보의 처리를 위탁받 은 임직원 또는 임직원이었던 자는 이에 대하여 개인정보 보호법 에 따른 금 지의무를 준수하여야 한다. 정보통신망법 제28조의2(개인정보의 누설금지) 1 이용자의 개인정보를 취급하고 있거 나 취급하였던 자는 직무상 알게 된 개인정보를 훼손 침해 또는 누설 하여서는 아니 된다. 2 누구든지 그 개인정보가 누설된 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받아서는 아니 된다. 신용정보법 제42조(업무 목적 외 누설금지 등) 1 신용정보회사등과 제17조제2항에 따라 신용정보의 처리를 위탁받은 자의 임직원이거나 임직원이었던 자 (이하 "신용정보업관련자"라 한다)는 업무상 알게 된 타인의 신용정보 및 사생활 등 개인적 비밀(이하 "개인비밀"이라 한다)을 업무 목적 외에 누설하거나 이용하여서는 아니 된다. 6. 벌칙규정 위반행위 거짓 그 밖에 부정한 수단이나 방법에 의하여 개인정보를 취득하거나 개인정보 처리에 관한 동의를 얻는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 (제59조제2호 위반) 업무상 알게 된 개인정보를 누설하거나 다른 사람의 이용에 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 (제59조제2호 위반) 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출하는 행위를 한 자 (제59조제3호 위반) 벌칙 3년 이하의 징역 또는 3천만원 이하의 벌금 (제72조제2호) 5년 이하의 징역 또는 5천만원 이하의 벌금 (제71조제5호) 5년 이하의 징역 또는 5천만원 이하의 벌금 (제71조제6호)

368 제60조 비밀유지 등 제60조(비밀유지 등) 다음 각 호의 업무에 종사하거나 종사하였던 자는 직 무상 알게 된 비밀을 다른 사람에게 누설하거나 직무상 목적 외의 용도로 이용하여서는 아니 된다. 다만, 다른 법률에 특별한 규정이 있는 경우에는 그러하지 아니하다. 1. 제8조에 따른 보호위원회의 업무 2. 제33조에 따른 영향평가 업무 3. 제40조에 따른 분쟁조정위원회의 분쟁조정 업무 이 법에 따른 조사, 검사, 심의, 평가, 조정 등의 업무에 종사하는 사람들은 다 른 사람의 사생활이나 영업비밀을 다룰 기회가 많다. 따라서 그들에게 업무상 비 밀보장 의무를 부과하여 국민들이 안심하고 자료제출, 의견개진, 시설공개 등에 협력하도록 하기 위한 것이다. 1. 비밀보장 등의 의무대상자 이 조에 따른 비밀보장 등의 의무대상자는 개인정보보호위원회 업무, 개인정보 영향평가 업무, 개인정보 분쟁조정위원회 분쟁조정 업무에 종사하거나 종사하였 던 자이다. 예컨대 개인정보보호위원회 또는 개인정보분쟁조정위원회의 전 현직 위원 및 임직원, 개인정보 영향평가기관의 전 현직 임직원 등이 해당된다. 이들 기관의 전 현직 위원이나 임직원은 아니지만 이들 기관에서 자문위원, 전문위원 등의 신분으로 업무에 참여하거나 감정평가, 기술자문, 법률자문 등의 업무에 참 여한 사람도 포함된다. 제 60 조 2. 직무상 알게 된 비밀 직무상 알게 된 비밀 이란 각종 법령에 의하여 비밀로 분류된 것은 물론 사회 통 념상 비밀로 인식될 수 있는 모든 사항이 포함된다. 즉 해당 개인 기업 국가의 입 장에서 비밀로 보호할 만한 가치가 있는 것이면 된다. 예컨대 개인의 사생활, 기업의 영업비밀, 그밖에 정치 군사 외교 경제 사회적 필 요에 따라 비밀로 취급해야 할 사항은 모두 이에 포함될 수 있다. 개인정보 영향

369 평가 업무에 종사한 사람이 그 조직의 정보시스템의 보안상 취약점을 알아내 강 연 발표 등에서 이를 누설하거나 해킹 협박의 수단으로 악용하는 행위는 이 법 위반에 해당한다. 사례 직무상 알게 된 비밀 보호위원회의 심의과정에서 알게 된 국가정보기관이 보유하는 개인정보파일 현황 이나 수사과정이 진행 중인 수사관련 내용, 분쟁조정위원회의 조정과정에서 알 게 된 개인의 민감한 사생활에 관한 정보, 개인정보 영향평가 업무 수행과정에 서 알게 된 기업의 영업미밀 또는 정보시스템 등 3. 다른 법률에 특별한 규정 다른 법률에 특별한 규정 이 있는 경우에는 직무상 비밀누설 및 목적외 이용이 예 외적으로 허용된다. 예컨대 국회에서의 증언 감정 등에 관한 법률 (제2조)에 의하여 증인 또는 참고인으로 출석 또는 감정을 요구받은 경우, 형사소송법 (제146조, 제221조)에 의하여 증인 또는 참고인으로 소환을 받은 경우 등이다. 참고 국회에서의 증언 감정 등에 관한 법률 제4조(공무상 비밀에 관한 증언ㆍ서류의 제출) 1 국회로부터 공무원 또는 공무원 이었던 자가 증언의 요구를 받거나, 국가기관이 서류제출을 요구받은 경우에 증 언할 사실이나 제출할 서류의 내용이 직무상 비밀에 속한다는 이유로 증언이나 서류제출을 거부할 수 없다. 다만, 군사 외교 대북관계의 국가기밀에 관한 사항으 로서 그 발표로 말미암아 국가안위에 중대한 영향을 미친다는 주무부장관(대통령 및 국무총리의 소속기관에서는 당해 관서의 장)의 소명이 증언등의 요구를 받은 날로부터 5일이내에 있는 경우에는 그러하지 아니하다. 2국회가 제1항 단서의 소명을 수락하지 아니할 경우에는 본회의의 의결로, 폐회 중에는 해당위원회의 의결로 국회가 요구한 증언 또는 서류의 제출이 국가의 중 대한 이익을 해친다는 취지의 국무총리의 성명을 요구할 수 있다. 3국무총리가 제2항의 성명의 요구를 받은 날로부터 7일이내에 그 성명을 발표하 지 아니하는 경우에는 증언이나 서류제출을 거부할 수 없다. 참고 형사소송법 제147조 (공무상비밀과 증인자격) 1 공무원 또는 공무원이었던 자가 그 직무에 관하여 알게 된 사실에 관하여 본인 또는 당해공무소가 직무상 비밀에 속한 사항 임을 신고한 때에는 그 소속공무소 또는 감독관공서의 승낙없이는 증인으로 신문 하지 못한다.

370 2그 소속공무소 또는 당해감독관공서는 국가에 중대한 이익을 해하는 경우를 제 외하고는 승낙을 거부하지 못한다. 제149조 (업무상비밀과 증언거부) 변호사, 변리사, 공증인, 공인회계사, 세무사, 대 서업자, 의사, 한의사, 치과의사, 약사, 약종상, 조산사, 간호사, 종교의 직에 있는 자 또는 이러한 직에 있던 자가 그 업무상 위탁을 받은 관계로 알게 된 사실로서 타인의 비밀에 관한 것은 증언을 거부할 수 있다. 단, 본인의 승낙이 있거나 중대 한 공익상 필요있는 때에는 예외로 한다. 4. 다른 법률과의 관계 정보통신망법 및 신용정보법 은 비밀유지와 관련하여 별도의 규정을 두고 있지 않으므로, 정보통신서비스제공자 및 신용정보이용 제공자 등은 개인정보 보호법 에 따른 비밀유지의무를 부담한다. 6. 벌칙규정 위반행위 직무상 비밀 누설 또는 직무상 목적외 사용 (제60조 위반) 벌칙 3년 이하의 징역 또는 3천만원 이하의 벌금 (제72조제3호)

371 제61조 의견제시 및 개선권고 법률 시행령 제61조(의견제시 및 개선권고) 1 행정안전부장관은 개인정보 보호에 영향을 미치는 내용이 포함된 법령이나 조례에 대하여 필요하다고 인정하면 보호위원회의 심의 의결을 거쳐 관계 기관에 의견을 제시 할 수 있다. 2 행정안전부장관은 개인정보 보호를 위하여 필요하다고 인정하면 개인정보처리자에게 개인정보 처리 실태의 개선을 권고할 수 있다. 이 경우 권고를 받은 개인정보처리자는 이를 이행하기 위하여 성실 하게 노력하여야 하며, 그 조치 결과를 행정안전부장관에게 알려야 한다. 3 관계 중앙행정기관의 장은 개인정보 보호를 위하여 필요하다고 인정하면 소관 법률에 따라 개인정보처리자에게 개인정보 처리 실태 의 개선을 권고할 수 있다. 이 경우 권고를 받은 개인정보처리자는 이를 이행하기 위하여 성실하게 노력하여야 하며, 그 조치 결과를 관 계 중앙행정기관의 장에게 알려야 한다. 4 중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관 리위원회는 그 소속 기관 및 소관 공공기관에 대하여 개인정보 보호 에 관한 의견을 제시하거나 지도 점검을 할 수 있다. 제58조(개선권고 및 징계권고) 1 법 제61조제2항ㆍ제3항에 따른 개 선권고 및 법 제65조제2항ㆍ제3항에 따른 징계권고는 권고 사항, 권 고 사유 및 조치 결과 회신기간 등을 분명하게 밝힌 문서로 하여야 한다. 2 제1항에 따른 권고를 받은 자는 권고 내용에 따라 필요한 조치를 하고, 그 결과를 행정안전부장관 또는 관계 중앙행정기관의 장에게 문서로 통보하여야 한다. 다만, 권고 내용대로 조치하기 곤란하다고 판단되는 특별한 사정이 있는 경우에는 그 사유를 통보하여야 한다. 1. 법령 조례에 대한 의견제시(제1항) 행정안전부장관은 개인정보 보호에 영향을 미치는 내용이 포함된 법령이나 조 례에 대하여 필요하다고 인정하면 보호위원회의 심의 의결을 거쳐 관계 기관에 의견을 제시할 수 있다. 의견제시의 예로는 타부처 법령 제 개정안, 의원입법발의 등의 유권해석, 지자체 조례 및 부처별 소관분야 지침에 대한 의견지시, 외국의 조약, 협약, 제 개정에 대한 의견제시 등이 있다.

372 의견제시의 상대방은 관계 중앙행정기관, 지방자치단체 등 관계기관이다. 권력분 립의 원칙상 국회, 법원, 헌법재판소, 중앙선거관리위원회 등 헌법기관에 대하여는 의견제시를 할 수 없다고 보아야 할 것이다. 2. 개인정보 처리실태 개선권고(제2항, 제3항) 가. 개인정보 보호법 에 의한 개선권고(제2항) 행정안전부장관은 개인정보보호를 위하여 필요하다고 인정하면 개인정보처리 자에게 개인정보 처리 실태의 개선을 권고할 수 있다. 개인정보처리자의 업무관 행, 내부규칙, 개인정보처리방침, 거래약관, 안내문, 내부교육자료 등이 개선권고 의 대상이 될 수 있다. 행정안전부장관은 법 집행의 통일성과 일관성을 유지하기 위하여 공공기관은 물론 민간 기업이나 단체에 대해서도 개선권고를 할 수 있고, 금융기관, 의료기관, 교육기관, 통신사업자 등 다른 부처 소관의 민간 기업이나 단체에 대해서도 개선권고를 할 수 있다. 개선권고 및 법 제65조제2항과 제3항에 따른 징계권고는 권고 사항, 권고 사유 및 조치 결과의 회신기간 등을 명시한 문 서로 하여야 한다. 나. 소관 법률 에 의한 개선권고(제3항) 개인정보보호와 관련한 개별법이 있는 경우 관계 중앙행정기관의 장은 소관 법률에 따라 개인정보처리자에게 개인정보 처리 실태의 개선을 권고할 수 있다. 관계 중앙행정기관의 장이 개선권고를 하려면 개인정보보호와 관련하여 별도의 소관 법률이 있어야 하며 개인정보 보호법 에 의한 개선권고는 할 수 없다. 관계 중앙행정기관의 장에게 개선 권고권을 부여한 것은 그 분야만의 특수성과 자율성을 존중하기 위한 것이다. 제 61 조 다. 조치결과의 통보의무(제2항, 제3항) 행정안전부장관 또는 관계 중앙행정기관의 장으로부터 개선권고를 받은 개인정 보처리자는 이를 이행하기 위하여 성실하게 노력하여야 하며, 그 조치 결과를 각 각 행정안전부장관 또는 관계 중앙행정기관의 장에게 알려야 한다. 개인정보처리

373 자가 개선권고에 따라 필요한 조치를 하고 그 결과를 통보할 때에는 문서로 하 여야 한다. 다만, 권고 내용대로 조치하기 곤란하다고 판단되는 특별한 사정이 있는 경우에는 그 사유를 통보하여야 한다(영 제58조). 3. 소속기관 등에 대한 의견제시 및 지도 점검(제4항) 중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 그 소속 기관 및 소관 공공기관에 대하여 개인정보 보호에 관한 의견을 제시하거나 지도 점검을 할 수 있다. 권력분립의 원칙에 따라 헌법기관들의 자율성을 보장하 기 위한 것이다.

374 제62조 침해 사실의 신고 등 법률 제62조(침해 사실의 신고 등) 1 개인정보처리자가 개인정보를 처리할 때 개인정보에 관한 권리 또는 이익을 침해받은 사람은 행정안전부장 관에게 그 침해 사실을 신고할 수 있다. 2 행정안전부장관은 제1항에 따른 신고의 접수 처리 등에 관한 업무 를 효율적으로 수행하기 위하여 대통령령으로 정하는 바에 따라 전문 기관을 지정할 수 있다. 이 경우 전문기관은 개인정보침해 신고센터 (이하 신고센터 라 한다)를 설치 운영하여야 한다. 3 신고센터는 다음 각 호의 업무를 수행한다. 1. 개인정보 처리와 관련한 신고의 접수 상담 2. 사실의 조사 확인 및 관계자의 의견 청취 3. 제1호 및 제2호에 따른 업무에 딸린 업무 4 행정안전부장관은 제3항제2호의 사실 조사 확인 등의 업무를 효율 적으로 하기 위하여 필요하면 국가공무원법 제32조의4에 따라 소 속 공무원을 제2항에 따른 전문기관에 파견할 수 있다. 시행령 제59조(침해 사실의 신고 등) 행정안전부장관은 법 제62조제2항에 따 라 개인정보에 관한 권리 또는 이익 침해 사실 신고의 접수ㆍ처리 등에 관한 업무를 효율적으로 수행하기 위한 전문기관으로 한국인터 넷진흥원을 지정한다. 1. 개인정보 침해피해의 신고(제1항) 개인정보처리자의 개인정보 처리로 인해 개인정보에 관한 권리 또는 이익을 침해받은 사람은 행정안전부장관에게 그 침해 사실을 신고할 수 있다. 권리 이 익을 침해받은 정보주체 자신뿐만 아니라 그의 법정대리인이나 임의대리인도 정 보주체를 대신하여 신고할 수 있다. 2. 개인정보침해 신고센터의 설치 운영(제2항 및 제3항) 제 62 조 행정안전부장관은 개인정보 침해신고 접수 처리 등에 관한 업무를 효율적으로 수행하기 위하여 한국인터넷진흥원(KISA)을 전문기관으로 지정하고 있으며(영 제 59조), 이에 따라 한국인터넷진흥원은 개인정보침해 신고센터( 를 설치 운영하고 있다. 개인정보침해 신고센터는 개인정보 처리와 관련한 신고 의 접수 상담, 접수된 사건에 대한 사실의 조사 확인 및 관계자 의견청취, 그 밖 에 이들 업무에 딸린 부수적 업무를 수행한다.

375 3. 소속 공무원의 파견(제4항) 행정안전부장관은 접수된 사건에 대한 사실 조사 확인 등의 업무(제3항제2호) 를 효율적으로 수행하기 위하여 필요한 경우 국가공무원법 제32조의4에 따 라 소속 공무원을 한국인터넷진흥원에 파견할 수 있다. < 개인정보침해신고센터 홈페이지 ( >

376 제63조 자료제출 요구 및 검사 법률 제63조(자료제출 요구 및 검사) 1 행정안전부장관은 다음 각 호의 어 느 하나에 해당하는 경우에는 개인정보처리자에게 관계 물품 서류 등 자료를 제출하게 할 수 있다. 1. 이 법을 위반하는 사항을 발견하거나 혐의가 있음을 알게 된 경우 2. 이 법 위반에 대한 신고를 받거나 민원이 접수된 경우 3. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 경우로서 대 통령령으로 정하는 경우 2 행정안전부장관은 개인정보처리자가 제1항에 따른 자료를 제출하지 아니하거나 이 법을 위반한 사실이 있다고 인정되면 소속 공무원으로 하여금 개인정보처리자의 사무소나 사업장에 출입하여 업무 상황, 장부 또는 서류 등을 검사하게 할 수 있다. 이 경우 검사를 하는 공무원은 그 권한을 나타내는 증표를 지니고 이를 관계인에게 내보여야 한다. 3 관계 중앙행정기관의 장은 소관 법률에 따라 개인정보처리자에게 제1항에 따른 자료제출을 요구하거나 제2항에 따른 검사를 할 수 있다. 4 행정안전부장관과 관계 중앙행정기관의 장은 개인정보처리자로부 터 제출받거나 수집한 서류 자료 등을 이 법에 따른 경우를 제외하고 는 제3자에게 제공하거나 일반에게 공개하여서는 아니 된다. 5 행정안전부장관과 관계 중앙행정기관의 장은 정보통신망을 통하여 자료의 제출 등을 받은 경우나 수집한 자료 등을 전자화한 경우에는 개인정보 영업비밀 등이 유출되지 아니하도록 제도적 기술적 보완조치 를 하여야 한다. 제60조(자료제출 요구 및 검사) 1 법 제63조제1항제3호에서 대통령 령으로 정하는 경우 란 개인정보 유출 등 정보주체의 개인정보에 관 한 권리 또는 이익을 침해하는 사건ㆍ사고 등이 발생하였거나 발생 시행령 할 가능성이 상당히 있는 경우를 말한다. 2 행정안전부장관은 법 제63조제1항 및 제2항에 따른 자료의 제출 요 구 및 검사 등을 위하여 한국정보화진흥원 또는 한국인터넷진흥원의 장에게 기술적인 사항을 자문하는 등 필요한 지원을 요청할 수 있다. 제 63 조 법 제63조의 자료제출 요구는 법 위반행위 등을 조사 확인하기 위한 것으로 법 제11조의 개인정보보호 정책수립을 위한 자료제출과 구분된다.

377 1. 물품 서류 등 자료제출 요구(제1항, 제3항) 가. 개인정보 보호법 에 의한 자료제출 요구 및 출입 검사(제1항) 행정안전부장관은 법 위반사항을 발견하거나 위반혐의를 포착한 경우, 법위반 에 대한 신고 민원을 접수한 경우, 정보주체의 권리 또는 이익을 침해하는 사건 ㆍ사고 등의 발생(개인정보 유출사고 등)하는 경우, 향후 개인정보 침해에 관한 상당한 가능성이 있는 경우에 개인정보처리자에게 관계 물품 서류 등 자료를 제출하게 할 수 있다. 행정안전부장관은 공공기관은 물론 민간 기업이나 단체에 대해서도 자료제출을 요구할 수 있으며, 금융기관, 의료기관, 교육기관, 통신사업 자 등 다른 부처 소관의 민간 기업이나 단체에 대해서도 자료제출을 요구할 수 있다. 이는 법 집행의 통일성과 일관성을 유지하기 위한 것이다. 나. 소관 법률 에 의한 자료제출 요구(제3항) 관계 중앙행정기관의 장은 개인정보보호와 관련한 개별법(정보통신망법, 신용 정보법)이 있는 경우에만 소관 법률에 따라 개인정보처리자에게 제1항에 따른 자 료제출을 요구할 수 있고, 개인정보 보호법 에 의한 자료제출 요구는 할 수 없다. 관계 중앙행정기관의 장에게 개선 자료제출 요구권을 부여한 것은 그 분야 만의 특수성과 자율성을 존중하기 위한 것이다. 2. 사무소 사업장 등의 출입 및 검사(제2항, 제3항) 가. 개인정보 보호법 에 의한 출입 및 검사(제2항) 행정안전부장관은 개인정보처리자가 자료를 제출하지 아니하거나 이 법을 위 반한 사실이 있다고 인정되면 소속 공무원으로 하여금 개인정보처리자의 사무소 나 사업장에 출입하여 업무 상황, 장부 또는 서류 등을 검사하게 할 수 있다. 또 한 행정안전부장관은 공공기관은 물론 민간 기업이나 단체에 대해서도 출입 및 검사를 요구할 수 있고, 금융기관, 의료기관, 교육기관, 통신사업자 등 다른 부처 소관의 민간 기업이나 단체에 대해서도 출입 및 검사를 요구할 수 있다. 이는 법 집행의 통일성과 일관성을 유지하기 위한 것이다.

378 나. 소관 법률 에 의한 출입 및 검사(제3항) 관계 중앙행정기관의 장은 개인정보보호와 관련한 소관법률(정보통신망법, 신 용정보법)이 있는 경우에만 소관 법률에 따라 개인정보처리자의 사무소 사업장 등을 출입하여 검사할 수 있고, 개인정보 보호법 에 근거한 출입 및 검사를 할 수는 없다. 관계 중앙행정기관의 장에게 개선 자료제출 요구권을 부여한 것은 그 분야만의 특수성과 자율성을 존중하기 위한 것이다. 다. 관계인에 대한 증표제시 의무(제2항 후단) 공무원이 개인정보처리자의 사무소나 사업장에 출입하여 업무 상황, 장부 또는 서류 등을 검사하고자 하는 경우에는 그 권한을 나타내는 증표를 지니고 이를 관계인에게 내보여야 한다. 3. 서류 자료 등의 제공 공개 금지(제4항) 행정안전부장관과 관계 중앙행정기관의 장은 개인정보처리자로부터 제출받거 나 수집한 서류 자료 등을 이 법에 따른 경우를 제외하고는 제3자에게 제공하 거나 일반에게 공개하여서는 아니 된다. 4. 개인정보 영업비밀 등의 보호(제5항) 행정안전부장관과 관계 중앙행정기관의 장은 정보통신망을 통하여 자료의 제 출 등을 받은 경우나 수집한 자료 등을 전자화한 경우에는 개인정보 영업비밀 등이 유출되지 아니하도록 제도적 기술적 보완조치를 하여야 한다. 5. 기술자문 등 전문기관의 지원(영 제60조제2항) 행정안전부장관은 자료의 제출 요구 및 검사 등을 위하여 필요한 경우 한국인 터넷진흥원 또는 한국정보화진흥원의 장에게 기술적인 사항에 관하여 자문하는 등 필요한 지원을 요청할 수 있다. 6. 다른 법률과의 관계 정보통신망법 은 법 위반사항을 발견하거나 혐의가 있음을 알게 된 경우 또는 법 위반에 대한 신고를 받거나 민원이 접수된 경우 정보통신서비스 제공자등에게

379 관계 물품 서류 등을 제출하게 할 수 있도록 자료제출 요구에 관한 규정을 두고 있다. 다만, 이는 방송통신위원회가 정보통신망법 을 위반한 사항에 관하여 정 보통신스비스 제공자등에게 자료제출을 요구할 수 있도록 하는 것이므로, 개인 정보 보호법 위반사항이 발견되는 경우에는 행정안전부장관은 정보통신서비스 제공자등에게 개인정보 보호법 에 따라 자료제출을 요구할 수 있다. 신용정보법 에 따라 금융위원회는 신용정보회사 등이 신용정보법 에 따 른 명령을 준수하고 있는지 감독할 수 있고, 이를 위하여 신용정보회사 등의 업 무와 재산상황에 관한 보고 등을 명할 수 있으며, 금융위원회의 검사 및 요구를 거부 방해 또는 기피하는 경우에 1천만원 미만의 과태료를 부과하고 있다. 다만, 이는 금융위원회가 신용정보법 을 위반한 사항에 관하여 당해 법에 따른 명령을 할 수 있도록 하는 것이므로, 신용정보회사등에게 개인정보 보호법 위반사항이 발견되는 경우에는 행정안전부장관은 개인정보 보호법 에 따라 자료제출을 요구 할 수 있다. 정보통신망법 제64조(자료의 제출 등) 1 방송통신위원회는 다음 각 호의 어느 하나 에 해당하는 경우에는 정보통신서비스 제공자등에게 관계 물품 서류 등을 제출하게 할 수 있다. 1. 이 법에 위반되는 사항을 발견하거나 혐의가 있음을 알게 된 경우 2. 이 법의 위반에 대한 신고를 받거나 민원이 접수된 경우 3. 그 밖에 이용자 보호를 위하여 필요한 경우로서 대통령령으로 정하는 경우 신용정보법 제45조(감독 검사 등) 1 금융위원회는 신용정보회사등에 대하여 이 법 또는 이 법에 따른 명령의 준수 여부를 감독한다. 2 금융위원회는 제1항에 따른 감독에 필요하면 신용정보회사등에 대하여 그 업무 및 재산상황에 관한 보고 등 필요한 명령을 할 수 있다. 7 금융위원회는 신용정보회사등이 이 법 또는 이 법에 따른 명령을 위반하여 신용정보업의 건전한 경영과 신용정보주체의 권익을 해칠 우려가 있다고 인정하면 다음 각 호의 어느 하나에 해당하는 조치를 하거나, 금융감독원장으로 하여금 제1호부터 제3호까지의 규정에 해 당하는 조치를 하게 할 수 있다. 1. 신용정보회사등에 대한 주의 또는 경고 2. 임원에 대한 주의 또는 경고 3. 직원에 대한 주의 및 정직, 감봉, 견책 등의 문책 요구 4. 임원에 대한 해임권고, 직무정지 요구 또는 직원에 대한 면직 요구 5. 위반행위에 대한 시정명령 6. 신용정보제공의 중지 제52조(과태료) 3 다음 각 호의 어느 하나에 해당하는 자에게는 1천만 원 이하의 과태료를 부과한다. 15. 제45조제2항부터 제4항까지의 규정에 따른 명령에 따르지 아니하거 나 검사 및 요구를 거부 방해 또는 기피한 자

380 제64조~제66조 시정조치, 고발 및 징계권고 등 제64조(시정조치 등) 1 행정안전부장관은 개인정보가 침해되었다고 판단할 상당한 근거가 있고 이를 방치할 경우 회복하기 어려운 피해가 발생할 우 려가 있다고 인정되면 이 법을 위반한 자(중앙행정기관, 지방자치단체, 국 회, 법원, 헌법재판소, 중앙선거관리위원회는 제외한다)에 대하여 다음 각 호에 해당하는 조치를 명할 수 있다. 1. 개인정보 침해행위의 중지 2. 개인정보 처리의 일시적인 정지 3. 그 밖에 개인정보의 보호 및 침해 방지를 위하여 필요한 조치 2 관계 중앙행정기관의 장은 개인정보가 침해되었다고 판단할 상당한 근 거가 있고 이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다 고 인정되면 소관 법률에 따라 개인정보처리자에 대하여 제1항 각 호에 해당하는 조치를 명할 수 있다. 3 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 그 소속 기관 및 소관 공공기관이 이 법을 위반하였을 때에는 제1항 각 호에 해당 하는 조치를 명할 수 있다. 4 보호위원회는 중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중 앙선거관리위원회가 이 법을 위반하였을 때에는 해당 기관의 장에게 제1 항 각 호에 해당하는 조치를 하도록 권고할 수 있다. 이 경우 권고를 받은 기관은 특별한 사유가 없으면 이를 존중하여야 한다. 제65조(고발 및 징계권고) 1 행정안전부장관은 개인정보처리자에게 이 법 등 개인정보 보호와 관련된 법규의 위반에 따른 범죄혐의가 있다고 인정될 만 한 상당한 이유가 있을 때에는 관할 수사기관에 그 내용을 고발할 수 있다. 2 행정안전부장관은 이 법 등 개인정보 보호와 관련된 법규의 위반행위 가 있다고 인정될 만한 상당한 이유가 있을 때에는 책임이 있는 자를 징 계할 것을 그 소속 기관 단체 등의 장에게 권고할 수 있다. 이 경우 권고 를 받은 사람은 이를 존중하여야 하며 그 결과를 행정안전부장관에게 통 보하여야 한다. 3 관계 중앙행정기관의 장은 소관 법률에 따라 개인정보처리자에 대하여 제1항에 따른 고발을 하거나 소속 기관 단체 등의 장에게 제2항에 따른 징계권고를 할 수 있다. 이 경우 제2항에 따른 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 관계 중앙행정기관의 장에게 통보하여야 한다. 법률 제66조(결과의 공표) 1 행정안전부장관은 제61조에 따른 개선권고, 제64조에 따른 시정조치 명령, 제65조에 따른 고발 또는 징계권고 및 제75조에 따른 과태료 부과의 내용 및 결과에 대하여 보호위원 회의 심의 의결을 거쳐 공표할 수 있다. 제 64 ~ 66 조

381 2 관계 중앙행정기관의 장은 소관 법률에 따라 제1항에 따른 공표 를 할 수 있다. 3 제1항 및 제2항에 따른 공표의 방법, 기준 및 절차 등은 대통령 령으로 정한다. 시행령 제61조(결과의 공표) 1 행정안전부장관 및 관계 중앙행정기관의 장은 법 제66조제1항 및 제2항에 따라 다음 각 호의 사항을 인터넷 홈페이 지 또는 신문 등의 진흥에 관한 법률 에 따라 전국을 보급지역으로 하는 일반일간신문 등에 게재하여 공표할 수 있다. 1. 위반행위의 내용 2. 위반행위를 한 자 3. 개선권고, 시정조치 명령, 고발, 징계권고 및 과태료 부과의 내용 및 결과 2 행정안전부장관 및 관계 중앙행정기관의 장은 법 제66조제1항 및 제2항에 따라 제1항 각 호의 사항을 공표하려는 경우에는 위반 행위의 내용 및 정도, 위반 기간 및 횟수, 위반행위로 인하여 발생 한 피해의 범위 및 결과 등을 고려하여야 한다. 3 행정안전부장관 및 관계 중앙행정기관의 장은 법 제66조제1항에 따른 보호위원회에 심의ㆍ의결을 요청하기 전에 공표대상자에게 공 표대상자라는 사실을 알려 소명자료를 제출하거나 의견을 진술할 수 있는 기회를 주어야 한다. 신고, 조사 등을 통해 개인정보처리자의 법 위반사실이 확인된 경우 시정명령 등을 통해 위법행위를 바로 잡고, 범죄행위 등에 대해서는 고발 징계하게 함으 로써 법 위반행위가 반복되지 않도록 하기 위해 다양한 사후 구제 및 제재 조치 를 마련하고 있다. 1. 시정조치 명령(제64조 제1항, 제2항, 제3항)) 시정조치 등을 명하기 위해서는 이 법 위반으로 인해 개인정보가 침해되었다 고 판단할 만한 상당한 근거가 있고 이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다고 인정되어야 하며, 단지 이 법 위반행위가 있다고 해서 그 것만으로 시정조치 등을 명할 수 없다. 행정안전부장관 또는 관계 중앙행정기관의 장은 개인정보 침해해위의 중지, 개 인정보 처리의 일시적인 정지, 그밖에 개인정보의 보호 및 침해방지를 위하여 필 요한 조치를 명할 수 있다. 그 밖에 개인정보의 보호 및 침해 방지를 위하여 필 요한 조치 에는 개인정보 유출사이트 차단, 기술적 관리적 보호조치, 개인정보 처리방침 또는 약관의 개정 등이 포함될 수 있다. 행정안전부장관은 공공기관은 물론 민간 기업이나 단체 개인에 대해서도 시

382 정조치를 명할 수 있으나 중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회에 대하여는 시정조치를 명할 수 없다. 또한 행정안전부장관 은 지방자치단체에 대해서는 시정조치 명령을 내릴 수 없으나 해당 지방자치단 체의 지방공기업, 지방공단 등에 대해서는 시정조치를 명할 수 있다. 관계 중앙행정기관의 장은 개인정보가 침해되었다고 판단할 만한 상당한 근거 가 있고 이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다고 인정되 면 개인정보보호와 관련한 개별법이 있는 경우에만 소관 법률에 따라 시정조치를 명할 수 있다. 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 그 소속 기관 및 소관 공공기관이 이 법을 위반하였을 때에는 제1항 각 호에 해당하는 조치를 명 할 수 있다. 2. 시정조치 권고(제64조제4항) 중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회가 이 법을 위반하였을 때에는 보호위원회가 해당 기관의 장에게 개인정보 침해해위의 중지, 개인정보 처리의 일시적인 정지, 그밖에 개인정보의 보호 및 침해방지를 위하여 필요한 조치를 하도록 권고할 수 있다. 보호위원회의 시정조치 권고를 받 은 기관은 특별한 사유가 없으면 이를 존중하여야 한다. 보호위원회가 중앙행정 기관, 지방자치단체 등에 대하여 시정조치를 권고하기 위해서는 이 법 제8조에 따라 심의 의결을 거쳐야 한다. 또한 행정안전부장관은 개인정보 보호를 위하여 필요하다고 인정하면 개인정 보처리자에게 개인정보 처리 실태의 개선을 권고할 수 있다. 이 경우 개인정보처 리자에는 중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원 회도 포함된다. 3. 법위반자의 고발 및 징계권고(제65조) 가. 수사기관에 대한 고발(제1항, 제3항) 행정안전부장관은 개인정보처리자에게 이 법 등 개인정보 보호와 관련된 법규 의 위반에 따른 범죄혐의가 있다고 인정될 만한 상당한 이유가 있을 때에는 관 할 수사기관에 그 내용을 고발할 수 있다. 관계 중앙행정기관의 장도 소관 법률에 따라 개인정보처리자에 대하여 제1항에 따른 고발을 할 수 있다. 다만, 관계 중앙행정기관의 장은 소관 법률 에 따라 고

383 발을 할 수 있을 뿐이므로 별도의 소관 법률에 관련 규정이 없으면 고발할 수 없 다. 나. 소속기관 등에 대한 징계권고(제2항, 제3항) 행정안전부장관은 이 법 등 개인정보 보호와 관련된 법규의 위반행위가 있다 고 인정될 만한 상당한 이유가 있을 때에는 책임이 있는 자를 징계할 것을 그 소속 기관 단체 등의 장에게 권고할 수 있다. 관계 중앙행정기관의 장은 개인정보보호와 관련한 소관법률(정보통신망법, 신 용정보법)이 있는 경우에만 그 소관 법률에 따라 소속 기관 단체 등의 장에게 징 계를 권고할 수 있다. 관계 중앙행정기관의 장은 소관 법률 에 따라 징계를 권고할 수 있을 뿐이므로 별도의 소관 법률에 관련 규정이 없으면 징계를 권고할 수 없다. 법 제65조제2항ㆍ제3항에 따른 징계권고는 권고 사항, 권고 사유 및 조치 결과 의 회신기간 등을 명시한 문서로 하여야 한다. 징계권고를 받은 자는 이를 존중 하여야 하며 권고 내용에 따라 필요한 조치를 하고 그 결과를 행정안전부장관 또는 관계 중앙행정기관의 장에게 문서로 통보하여야 한다. 다만, 권고 내용대로 조치하기 곤란하다고 판단되는 특별한 사정이 있는 경우에는 그 사유를 통보하 여야 한다. 4. 시정조치 명령 등의 결과 공표(제66조) 가. 행정안전부장관의 결과 공표권(제1항) 행정안전부장관은 이 법에 따른 개선권고(제61조), 시정조치 명령(제64조), 고발 또는 징계권고(제65조), 과태료 부과(제75조)의 내용과 결과를 인터넷홈페이지 등 에 공표할 수 있다. 나. 관계중앙행정기관의 장의 결과 공표권(제2항) 관계 중앙행정기관의 장은 소관 법률에 따라 개선권고(제61조), 시정조치 명령 (제64조), 고발 또는 징계권고(제65조), 과태료 부과(제75조)의 내용과 결과를 인 터넷홈페이지 등에 공표할 수 있다. 관계 중앙행정기관의 장은 소관 법률 에 따 라 시정조치 명령 등의 결과를 공표할 수 있을 뿐이므로 소관 법률에 이 법에 따른 개선권고(제61조), 시정조치 명령(제64조), 고발 또는 징계권고(제65조), 과태 료 부과(제75조)의 내용에 준하는 별도의 규정이 없으면 결과를 공표할 수 없다.

384 다. 결과 공표의 방법 절차 등(제3항) (1) 결과 공표의 방법(영 제61조제1항) 행정안전부장관 또는 관계 중앙행정기관의 장이 시정조치 명령 등의 결과를 공표하고자 하는 경우에는 위반행위의 내용, 위반행위를 한 자, 개선권고, 시정조 치 명령, 고발, 징계권고 및 과태료 부과의 내용 및 결과를 인터넷 홈페이지 또 는 신문 등의 진흥에 관한 법률 에 따라 전국을 보급지역으로 하는 일반일간 신문 등에 게재하여 공표할 수 있다. (2) 결과 공표시 고려사항(영 제61조제2항) 행정안전부장관 또는 관계 중앙행정기관의 장이 시정조치 명령 등의 결과를 공표하고자 하는 경우에 위반행위의 내용 및 정도, 위반 기간 및 횟수, 위반행위 로 인하여 발생한 피해의 범위 및 결과 등을 고려하여야 한다. (3) 결과 공표의 절차(제1항, 영 제61조제3항) 행정안전부장관 또는 관계 중앙행정기관의 장이 시정조치 명령 등의 결과를 공표하고자 하는 경우에는 보호위원회의 심의 의결을 거쳐야 한다(제1항). 또한 행정안전부장관 또는 관계 중앙행정기관의 장은 보호위원회에 심의ㆍ의결을 요 청하기 전에 공표대상자에게 공표대상자인 사실을 통지하여 소명자료를 제출하 거나 의견진술을 할 수 있는 기회를 부여하여야 한다(영 제61조제3항). 5. 다른 법률과의 관계 정보통신망법 은 방송통신위원회가 이 법을 위반한 정보통신서비스 제공자등 에게 시정조치를 명할 수 있는 규정을 두고 있다. 다만, 정보통신서비스 제공자 등이 개인정보 보호법 을 위반한 경우에는 행정안전부가 개인정보 보호법 에 따라 시정조치 등을 명할 수 있다. 신용정보법 은 금융감독원으로 하여금 신용정보회사등이 이 법 또는 이 법에 따른 명령을 위반하여 신용정보업의 건전한 경영과 신용정보주체의 권익을 해칠 우려가 있다고 인정되는 경우 신용정보회사 등에 대한 주의 또는 경고, 임원에 대한 주의 또는 경고, 직원에 대한 주의 및 정직, 감봉, 견책 등의 문책 요구, 임 원에 대한 해임권고, 직무정지 요구 또는 직원에 대한 면직 요구, 위반행위에 대

385 한 시정명령, 신용정보제공의 중지 등의 조치를 취할 수 있다. 다만, 이 경우에도 신용정보회사 등이 개인정보 보호법 을 위반한 경우에는 행정안전부가 개인정보 보호법 에 따라 시정조치 등을 명할 수 있다. 정보통신망법 제64조(자료의 제출 등) 4 방송통신위원회는 이 법을 위반한 정 보통신서비스 제공자등에게 해당 위반행위의 중지나 시정을 위 하여 필요한 시정조치를 명할 수 있고, 시정조치의 명령을 받은 정보통신서비스 제공자등에게 시정조치의 명령을 받은 사실을 공표하도록 할 수 있다. 이 경우 공표의 방법 기준 및 절차 등 에 필요한 사항은 대통령령으로 정한다. 신용정보법 제45조(감독 검사 등) 1 금융위원회는 신용정보회사등에 대하여 이 법 또는 이 법에 따른 명령의 준수 여부를 감독한다. 2 금융위원회는 제1항에 따른 감독에 필요하면 신용정보회사 등에 대하여 그 업무 및 재산상황에 관한 보고 등 필요한 명령 을 할 수 있다. 7 금융위원회는 신용정보회사등이 이 법 또는 이 법에 따른 명령을 위반하여 신용정보업의 건전한 경영과 신용정보주체의 권익을 해칠 우려가 있다고 인정하면 다음 각 호의 어느 하나 에 해당하는 조치를 하거나, 금융감독원장으로 하여금 제1호부 터 제3호까지의 규정에 해당하는 조치를 하게 할 수 있다. 1. 신용정보회사등에 대한 주의 또는 경고 2. 임원에 대한 주의 또는 경고 3. 직원에 대한 주의 및 정직, 감봉, 견책 등의 문책 요구 4. 임원에 대한 해임권고, 직무정지 요구 또는 직원에 대한 면 직 요구 5. 위반행위에 대한 시정명령 6. 신용정보제공의 중지 제52조(과태료) 3 다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료를 부과한다. 15. 제45조제2항부터 제4항까지의 규정에 따른 명령에 따르지 아 니하거나 검사 및 요구를 거부 방해 또는 기피한 자

386 제67조 연차 보고 제67조(연차보고) 1 보호위원회는 관계 기관 등으로부터 필요한 자료를 제 출받아 매년 개인정보 보호시책의 수립 및 시행에 관한 보고서를 작성하여 정기국회 개회 전까지 국회에 제출(정보통신망에 의한 제출을 포함한다)하 여야 한다. 2 제1항에 따른 보고서에는 다음 각 호의 내용이 포함되어야 한다. 1. 정보주체의 권리침해 및 그 구제현황 2. 개인정보 처리에 관한 실태조사 등의 결과 3. 개인정보 보호시책의 추진현황 및 실적 4. 개인정보 관련 해외의 입법 및 정책 동향 5. 그 밖에 개인정보 보호시책에 관하여 공개 또는 보고하여야 할 사항 제 67 조 연차보고서란 개인정보 보호시책의 수립 및 시행에 관하여 매년 작성되는 보 고서를 말한다. 연차보고서에는 정보주체의 권리침해 및 그 구제 현황, 개인정보 처리에 관한 실태조사 등의 결과, 개인정보 보호시책의 추진현황 및 실적, 개인 정보 관련 해외의 입법 및 정책 동향, 그 밖에 개인정보 보호시책에 관하여 공개 또는 보고하여야 할 사항이 포함되어야 한다. 연차보고서는 보호위원회가 관계기관 등(행정안전부, 관계 중앙행정기관, 지방 자치단체, 헌법기관, 개인정보분쟁조정위원회 등)으로부터 필요한 자료를 제출받 아 작성하여 정기국회 개회전까지 국회에 제출한다.

387 제68조 권한의 위임 위탁 법률 시행령 제68조(권한의 위임ㆍ위탁) 1 이 법에 따른 행정안전부장관 또는 관계 중앙행정기관의 장의 권한은 그 일부를 대통령령으로 정하는 바에 따라 특별시장, 광역시장, 도지사, 특별자치도지사 또는 대통령 령으로 정하는 전문기관에 위임하거나 위탁할 수 있다. 2 제1항에 따라 행정안전부장관 또는 관계 중앙행정기관의 장의 권한을 위임 또는 위탁받은 기관은 위임 또는 위탁받은 업무의 처 리 결과를 행정안전부장관 또는 관계 중앙행정기관의 장에게 통보 하여야 한다. 3 행정안전부장관은 제1항에 따른 전문기관에 권한의 일부를 위임 하거나 위탁하는 경우 해당 전문기관의 업무 수행을 위하여 필요한 경비를 출연할 수 있다. 제62조(권한의 위탁) 1 행정안전부장관은 다음 각 호의 권한을 한국 정보화진흥원에 위탁한다. 1. 법 제13조제1호에 따른 개인정보 보호에 관한 교육ㆍ홍보 2. 법 제33조제5항에 따른 관계 전문가의 육성 및 영향평가 기준의 개발 3. 법 제35조제2항에 따른 열람 요구의 접수 및 처리 4. 제37조제2항에 따른 평가기관 지정신청서의 접수 및 같은 조 제6 항에 따른 신고 사항의 접수 2 행정안전부장관은 법 제24조제4항에 따른 대체가입수단 제공의 지원에 관한 권한을 전자정부법 제72조제1항에 따른 한국지역 정보개발원에 위탁한다. 3 행정안전부장관은 법 제63조에 따른 자료제출 요구 및 검사에 관한 권한(법 제62조에 따라 개인정보침해 신고센터에 접수된 신고 의 접수ㆍ처리 및 상담과 관련된 사항만 해당한다)을 한국인터넷진 흥원에 위탁한다. 1. 지방자치단체에 대한 권한 위임(제1항) 행정안전부장관 또는 관계 중앙행정기관의 장의 권한은 그 일부를 대통령령으 로 정하는 바에 따라 특별시장, 광역시장, 도지사, 특별자치도지사에게 위임할 수 있다.

388 2. 전문기관에 대한 권한 위탁(제3항, 영 제62조) 행정안전부장관은 한국인터넷진흥원, 한국정보화진흥원, 한국지역정보개발원 등 전문기관에 다음의 권한을 위탁한다. 행정안전부장관은 권한의 일부를 위임하거나 위탁하는 경우에는 해당 전문기 관의 업무 수행을 위하여 필요한 경비를 출연할 수 있다. 제 68 조 전문기관 한국정보화 진흥원 한국지역정보 개발원 한국인터넷 진흥원 위탁 권한 내용 법 제13조제1호에 따른 개인정보 보호에 관한 교육 홍보 법 제33조제5항에 따른 관계 전문가의 육성 및 영향평가 기준의 개발 법 제35조제2항에 따른 열람 요구의 접수 및 처리 법 제37조제2항에 따른 평가기관 지정신청서의 접수 및 같 은 조 제6항에 따른 신고 사항의 접수 법 제24조제4항에 따른 대체가입수단 제공의 지원 법 제63조에 따른 자료제출 요구 및 검사에 관한 권한(법 제62조에 따라 개인정보침해 신고센터에 접수된 신고의 접 수 처리 및 상담과 관련된 사항만 해당) 3. 위임 위탁업무 처리 결과의 통보(제2항) 행정안전부장관 또는 관계 중앙행정기관의 장의 권한을 위임 또는 위탁받은 기관은 위임 또는 위탁받은 업무의 처리 결과를 행정안전부장관 또는 관계 중앙 행정기관의 장에게 통보하여야 한다.

389 제69조 벌칙 적용 시의 공무원 의제 제69조(벌칙 적용 시의 공무원 의제) 행정안전부장관 또는 관계 중앙행정 기관의 장의 권한을 위탁한 업무에 종사하는 관계 기관의 임직원은 형 법 제129조부터 제132조까지의 규정을 적용할 때에는 공무원으로 본다. 행정안전부장관 또는 관계 중앙행정기관의 장이 위탁한 업무에 종사하고 있는 관계기관의 임직원은 형법 제129조(수뢰, 사전수뢰), 제130조(제삼자뇌물제공), 제 131조(수뢰후부정처사, 사후수뢰), 제132조(알선수뢰)의 규정을 적용함에 있어서는 그를 공무원으로 본다. 그 수탁업무의 특성상 공무원에 준하는 청렴의무가 부과 되기 때문이다. 공무원으로 본다 는 것은 일반인의 경우에는 처벌받지 않을 행위 일지라도 그를 공무원으로 보아 처벌하겠다는 의미이다. 형법 제129조(수뢰, 사전수뢰) 1 공무원 또는 중재인이 그 직무에 관하여 뇌물을 수수, 요구 또는 약속한 때에는 5년 이하의 징역 또는 10년 이하의 자격정 지에 처한다. 2 공무원 또는 중재인이 될 자가 그 담당할 직무에 관하여 청탁을 받고 뇌 물을 수수, 요구 또는 약속한 후 공무원 또는 중재인이 된 때에는 3년 이하 의 징역 또는 7년 이하의 자격정지에 처한다. 제130조(제삼자뇌물제공) 공무원 또는 중재인이 그 직무에 관하여 부정한 청 탁을 받고 제3자에게 뇌물을 공여하게 하거나 공여를 요구 또는 약속한 때 에는 5년 이하의 징역 또는 10년 이하의 자격정지에 처한다. 제131조(수뢰후부정처사, 사후수뢰) 1 공무원 또는 중재인이 전2조의 죄를 범하여 부정한 행위를 한 때에는 1년 이상의 유기징역에 처한다. 2 공무원 또는 중재인이 그 직무상 부정한 행위를 한 후 뇌물을 수수, 요 구 또는 약속하거나 제삼자에게 이를 공여하게 하거나 공여를 요구 또는 약 속한 때에도 전항의 형과 같다. 3 공무원 또는 중재인이었던 자가 그 재직중에 청탁을 받고 직무상 부정한 행위를 한 후 뇌물을 수수, 요구 또는 약속한 때에는 5년 이하의 징역 또는 10년 이하의 자격정지에 처한다. 4 전3항의 경우에는 10년 이하의 자격정지를 병과할 수 있다. 제132조(알선수뢰) 공무원이 그 지위를 이용하여 다른 공무원의 직무에 속한 사항의 알선에 관하여 뇌물을 수수, 요구 또는 약속한 때에는 3년 이하의 징역 또는 7년 이하의 자격정지에 처한다.

390 제9장 벌칙 제70조 제71조 제72조 제73조 제74조 제75조 벌칙 벌칙 벌칙 벌칙 양벌규정 과태료

391

392 제70조~제74조 벌칙 및 양벌규정 제70조(벌칙) 공공기관의 개인정보 처리업무를 방해할 목적으로 공공기관에 서 처리하고 있는 개인정보를 변경하거나 말소하여 공공기관의 업무 수 행의 중단 마비 등 심각한 지장을 초래한 자는 10년 이하의 징역 또는 1 억원 이하의 벌금에 처한다. 제71조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또 는 5천만원 이하의 벌금에 처한다. 1. 제17조제1항제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정 보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자 2. 제18조제1항 제2항, 제19조, 제26조제5항 또는 제27조제3항을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 3. 제23조를 위반하여 민감정보를 처리한 자 4. 제24조제1항을 위반하여 고유식별정보를 처리한 자 5. 제59조제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 6. 제59조제3호를 위반하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위 조 또는 유출한 자 제 70 ~ 74 조 제72조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또 는 3천만원 이하의 벌금에 처한다. 1. 제25조제5항을 위반하여 영상정보처리기기의 설치 목적과 다른 목적으 로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비추는 자 또는 녹음기능을 사용한 자 2. 제59조제1호를 위반하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제 공받은 자 3. 제60조를 위반하여 직무상 알게 된 비밀을 누설하거나 직무상 목적 외 에 이용한 자

393 제73조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또 는 1천만원 이하의 벌금에 처한다. 1. 제24조제3항, 제25조제6항 또는 제29조를 위반하여 안전성 확보에 필요 한 조치를 하지 아니하여 개인정보를 분실 도난 유출 변조 또는 훼손당 한 자 2. 제36조제2항을 위반하여 정정 삭제 등 필요한 조치를 하지 아니하고 개 인정보를 계속 이용하거나 이를 제3자에게 제공한 자 3. 제37조제2항을 위반하여 개인정보의 처리를 정지하지 아니하고 계속 이 용하거나 제3자에게 제공한 자 제74조(양벌규정) 1 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제70조에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인을 7천만원 이하의 벌금에 처한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경 우에는 그러하지 아니하다. 2 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제71조부터 제73조까지의 어느 하나 에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개 인에게도 해당 조문의 벌금형을 과( 科 )한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다. 이 법 위반행위에 대해서는 보호 법익의 중요성, 예상되는 피해의 규모 및 사 회적 비용 등에 따라 4단계로 나누어 형사벌을 부과하도록 규정하고 있다. 또한, 법위반 행위자를 벌하는 외에 행위자가 소속된 조직이나 법인 등에 대해서도 책 임을 물을 수 있도록 양벌( 兩罰 ) 제도를 도입하고 있다. 1. 벌칙의 내용 조문 위반행위 벌칙수준 제재이유 제70조 제71조 공공기관의 개인정보처리업 무를 방해할 목적으로 공공 기관에서 처리하는 개인정보 를 변경 또는 말소한 자 1. 정보주체의 동의없는 개인 정보 제3자 제공 2. 불법정보인 사정을 알고 10년 이하 징역 또는 1억원 이하 벌금 5년 이하 징역 또는 5천만원 행정기관의 각종 공적 업무수행에 차질이 발생할 수 있고, 행정처리의 오류 발생으로 일반 국민의 권익 침해 가능성이 매우 높을 뿐 아니라, 행정기관의 업무방해라는 고의적 악의적 목적이 있으므로 강력 제재 민감정보, 고유식별정보는 유출 시 정보주체의 사생활 등 권익 침해 가능성이 매우 높으므로

394 조문 위반행위 벌칙수준 제재이유 제72조 제73조 개인정보를 제공받은 자 3. 민감정보 처리기준 위반 4. 고유식별정보 처리기준 위반 5. 업무상 알게 된 개인정보 의 누설 또는 권한 없는 타인 이용에 제공 6. 개인정보의 훼손, 멸실, 변 경, 위조, 유출 1,2,5호는 그 사정을 알 고 영리 또는 부정한 목 적으로 개인정보를 제공 받은 자를 포함 1. 영상정보처리기기 설치목 적과 다른 목적으로 임의 조작하거나 다른 곳을 비 추는 자 또는 녹음기능을 사용한 자 2. 거짓 그 밖에 부정한 수 단이나 방법에 의하여 개 인정보를 취득하거나 개 인정보처리에 관한 동의 를 얻는 행위를 한 자 (그 사정을 알고 영리 또는 부정한 목적으로 제공받은 자를 포함) 3. 직무상 알게 된 비밀을 누 설하거나 직무상 목적 외 에 사용한 자 1. 안전성 확보에 필요한 보호 조치를 취하지 아니하여 개 인정보를 도난 유출 변조 또 는 훼손당하거나 분실한 자 2. 개인정보의 정정 삭제요 청에 따라 필요한 조치 를 취하지 아니하고 개 인정보를 계속 이용하거 나 제3자에게 제공한 자 3. 개인정보의 처리정지 요구 에 따라 처리를 중단하지 아니하고 계속 이용하거 나 제3자에게 제공한 자 이하 벌금 3년 이하 징역 또는 3천만원 이하 벌금 2년 이하의 징역 또는 1천만원 이하의 벌금 엄격히 규제할 필요 개인정보의 목적외 이용 제공, 유 출, 누설 등은 정보주체가 합리 적으로 예상할 수 있는 범위를 초 과하여 개인정보가 처리되어 정보 주체가 적절한 대응조치를 취할 수 없고, 개인정보의 전전유통 등이 발생할 우려가 크므로 엄 격히 규제할 필요 영상정보처리기기를 확대 회전하 거나 녹음할 경우 개인의 민감한 사생활을 침해할 우려가 높으므로 규제 필요 피싱 등 부정한 방법으로 개인정 보를 취득하거나 동의를 얻는 행위는 목적외 이용 제공보다는 가벌성이 약하나 정보주체의 개 인정보자기결정권을 중대하게 제한한다는 점에서 3년 이하 징 역 등으로 규정함 이 법의 규율대상인 개인정보처 리자의 비밀누설 등 행위와는 달리, 위원회 위원 등의 행위를 규율하는 것으로 유사 입법례를 참조하여 규정 개인정보보호는 사전 예방이 중 요하므로 안전조치의무 위반으로 누출 등이 된 경우 형사처벌로 엄격 제재 정보주체의 정정요청에 따른 필 요조치를 취하지 않고 잘못된 정보를 이용 제공할 경우, 정보주 체가 예상치 못한 피해를 입을 수 있으므로 엄격 규제 정보주체가 개인정보처리자의 처리행위에 반대하여 처리정지 를 요구하였음에도 계속 이용 제공할 경우 정보주체의 권익침해 가 크므로 엄격 규제

395 2. 양벌규정 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제70조부터 제73조까지에 해당하는 위반행위를 하면 그 행위자를 처벌할 뿐만 아니라 그 법인 또는 개인에 대해서도 벌금을 과한다. 이는 임직원, 대리인 등의 법 위반행위에 대하여 해당 행위자 뿐만 아니라 개 인정보처리자도 처벌함으로써 임직원, 대리인 등의 업무 처리에 대한 개인정보처 리자의 경각심을 높이고 관리 감독을 강화하기 위한 것이다. 사례 수탁자의 법 위반행위에 대한 위탁자의 형사책임 법원은 A택배회사와 택배위수탁계약을 체결하고 위 회사로부터 위탁받은 택배 화물을 고객들에게 운송하는 일을 담당한 甲 이 A 社 가 관리하는 개인정보를 유 출한 사안에서, 甲 은 정보통신망법 제66조에서 정한 '법인의 사용인이 법 인의 업무에 관하여' 위반행위를 한 것이고, A 社 가 甲 의 위반행위를 방지하기 위하여 당해 업무에 대하여 상당한 주의와 감독을 하였다고 보기 어려우므로 동법 제24조제2항 및 제62조제2호의 규정에 의하여 A 社 의 형사책임을 인정 (수원지법 선고 2005고합160 판결) 다만 개인정보처리자의 임직원, 대리인 등의 위반행위에 대해 무조건 개인정보 처리자에게도 형사벌을 부과할 경우 과중한 제재가 될 수 있으므로, 개인정보처 리자(법인 또는 개인)가 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상 당한 주의와 감독을 게을리하지 아니한 경우에는 형사책임을 지지 않는다. 참고 양벌규정 위헌사례 종업원의 업무 관련 무면허의료행위가 있으면 이에 대해 영업주가 비난받을 만한 행위가 있었는지 여부와는 관계없이 자동적으로 영업주도 처벌하도록 규 정하고 있고, 그 문언상 명백한 의미와 달리 종업원의 범죄행위에 대해 영업 주의 선임감독상의 과실(기타 영업주의 귀책사유)이 인정되는 경우 라는 요건 을 추가하여 해석하는 것은 문리해석의 범위를 넘어서는 것으로서 허용될 수 없으므로, 결국 위 법률조항은 다른 사람의 범죄에 대해 그 책임 유무를 묻지 않고 형벌을 부과함으로써, 법정형에 나아가 판단할 것 없이, 형사법의 기본원 리인 책임없는 자에게 형벌을 부과할 수 없다 는 책임주의에 반한다. (헌재 , 2005헌가10, 판례집 제19권 2집, 520, )

396 3. 과태료와 벌칙의 차이점 과태료 란 일정한 기준이나 질서를 위반한 행위에 대해 행정관청이 직접 부과하는 행정질서벌 로서 이는 형벌이 아니기 때문에 전과기록이 남지 않는 다. 벌칙 (형벌)은 형법이나 기타 법률에 규정된 범죄행위에 대해 법원의 재판 절차를 거쳐 부과하는 형사벌을 말하며, 여기에는 징역, 벌금 등이 있다. 개인정보 보호책임자 미지정, 개인정보 처리방침 미공개 등 일정 기준을 위반 한 행위는 과태료 부과 대상이며, 동의없는 개인정보 목적외이용 제3자 제공 등 은 벌칙 대상이다.

397 제75조 과태료 법률 제75조(과태료) 1 다음 각 호의 어느 하나에 해당하는 자에게는 5천 만원 이하의 과태료를 부과한다. 1. 제15조제1항을 위반하여 개인정보를 수집한 자 2. 제22조제5항을 위반하여 법정대리인의 동의를 받지 아니한 자 3. 제25조제2항을 위반하여 영상정보처리기기를 설치 운영한 자 2 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다. 1. 제15조제2항, 제17조제2항, 제18조제3항 또는 제26조제3항을 위 반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자 2. 제16조제2항 또는 제22조제4항을 위반하여 재화 또는 서비스의 제공을 거부한 자 3. 제20조제1항을 위반하여 정보주체에게 같은 항 각 호의 사실을 알리지 아니한 자 4. 제21조제1항을 위반하여 개인정보를 파기하지 아니한 자 5. 제24조제2항을 위반하여 정보주체가 주민등록번호를 사용하지 아 니할 수 있는 방법을 제공하지 아니한 자 6. 제24조제3항, 제25조제6항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니한 자 7. 제25조제1항을 위반하여 영상정보처리기기를 설치 운영한 자 8. 제34조제1항을 위반하여 정보주체에게 같은 항 각 호의 사실을 알리지 아니한 자 9. 제34조제3항을 위반하여 조치 결과를 신고하지 아니한 자 10. 제35조제3항을 위반하여 열람을 제한하거나 거절한 자 11. 제36조제2항을 위반하여 정정 삭제 등 필요한 조치를 하지 아니한 자 12. 제37조제4항을 위반하여 처리가 정지된 개인정보에 대하여 파기 등 필요한 조치를 하지 아니한 자 13. 제64조제1항에 따른 시정명령에 따르지 아니 한 자 3 다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료를 부과한다. 1. 제21조제3항을 위반하여 개인정보를 분리하여 저장 관리하지 아니한 자 2. 제22조제1항부터 제3항까지의 규정을 위반하여 동의를 받은 자 3. 제25조제4항을 위반하여 안내판 설치 등 필요한 조치를 하지 아니한 자 4. 제26조제1항을 위반하여 업무 위탁 시 같은항 각 호의 내용이 포 함된 문서에 의하지 아니한 자 5. 제26조제2항을 위반하여 위탁하는 업무의 내용과 수탁자를 공개 하지 아니한 자 6. 제27조제1항 또는 제2항을 위반하여 정보주체에게 개인정보의 이 전 사실을 알리지 아니한자 7. 제30조제1항 또는 제2항을 위반하여 개인정보처리방침을 정하지

398 아니하거나 이를 공개하지 아니한 자 8. 제31조제1항을 위반하여 개인정보 보호책임자를 지정하지 아니한 자 9. 제35조제3항 제4항, 제36조제2항 제4항 또는 제37조제3항을 위반 하여 정보주체에게 알려야 할 사항을 알리지 아니한 자 10. 제63조제1항에 따른 관계 물품 서류 등 자료를 제출하지 아니하 거나 거짓으로 제출한 자 11. 제63조제2항에 따른 출입 검사를 거부 방해 또는 기피한 자 4 제1항부터 제3항까지의 규정에 따른 과태료는 대통령령으로 정 하는 바에 따라 행정안전부장관과 관계 중앙행정기관의 장이 부과 징수한다. 이 경우 관계 중앙행정기관의 장은 소관 분야의 개인정보 처리자에게 과태료를 부과 징수한다. 시행령 제63조(과태료의 부과기준) 법 제75조제1항부터 제3항까지의 규정에 따른 과태료의 부과기준은 별표 2와 같다. 1. 과태료 부과 징수 제 75 조 법 위반에 따른 과태료의 부과 징수는 행정안전부장관과 관계 중앙행정기관 의 장이 한다. 공공기관도 과태료 부과의 대상이다. 과태료의 부과 징수, 재판 및 집행 등의 절차에 관하여는 이 법에서 정한 것을 제외하고는 질서위반행위규제 법 에 따른다. 2. 과태료 내용 제75조 제1항 1. 개인정보의 수집기준 위반 2. 만 14세 미만 아동의 개 인정보 수집시 법정대리 인 동의획득의무 위반 3. 탈의실 목욕실 등 영상정보 처리기기 설치 금지 위반 1. 개인정보 수집 이용 제공 동 의획득시, 목적외 이용 제 공 동의획득시, 직접마케 팅 업무위탁으로 인한 개 인정보 제공시 정보주체 에게 알려야할 사항을 알 리지 아니한 자 2. 필요최소한의 개인정보 이 외의 개인정보 수집에 동 의하지 않는다는 이유로 재화 또는 서비스의 제공 을 거부한 자 5천만원 이하 과태료 개인정보처리자의 안전한 개인정 보 처리 질서확립 및 정보주체 의 개인정보자기결정권 보장을 위 하여 중요한 사항이므로 5천만원 이하 과태료 부과 제75조 제2항 3천만원 이하 과태료 개인정보 파기의무, 안전조치 의 무, 주민등록번호 대체수단 제 공의무, 정보주체의 열람등 요청 시 필요조치 이행의무는 정보주 체의 개인정보보호를 강화하고 권리 행사를 보장하기 위해 부 과된 의무사항이므로 단순한 절 차규정 위반행위보다 높은 과태 료 부과 법집행의 실효성과 집행력을 담보 하기 위해 시정조치 불응은 단순 절차규정 위반보다 높은 과태료

399 제75조 제3항 3. 정보주체 외로부터 수집 한 개인정보 미고지 4. 개인정보 미파기 5. 주민등록번호를 제공하지 아 니할 수 있는 방법 미제공 6. 안전성 확보에 필요한 조 치의무 불이행 7. 영상정보처리기기 설치 운 영기준 위반 8. 개인정보 유출사실 미통지 9. 개인정보 유출사실 미신고 10. 정보주체의 열람 요구의 부당한 제한 거절 11. 정보주체의 정정요구에 따라 필요조치를 취하지 아니한 자 13. 시정명령 불이행 1. 미파기 개인정보의 별도 보존의무 위반 2. 동의획득 방법을 위반하 여 동의받은 자 3. 영상정보처리기기 안내판 설 치 등 필요조치 불이행 4. 적법한 문서에 의하지 않 는 업무위탁 5. 업무위탁시 공개의무 위반 6. 영업양도 등으로 인한 개 인정보 이전사실 미통지 7. 개인정보처리방침 미수립 또는 미공개 8. 개인정보관리책임자 미지정 9. 정보주체의 열람, 정정 삭 제, 처리정지 요구 거부 시 통지의무 불이행 10. 관계물품 서류 등의 미제 출 또는 허위 제출 11. 출입 검사를 거부 방해 또는 기피한 자 1천만원 이하 과태료 부과 고지 공개 통지의무, 지정의무 등 단순 절차사항을 위반한 행위 이므로 1천만원 이하의 과태료 부과 3. 과태료 부과기준 과태료 부과의 공정성과 투명성을 보장하기 위해 법위반 횟수 등을 고려하여 과태료 부과의 세부적인 기준을 아래와 같이 규정하고 있다(영 제63조). 과태료의 부과기준은 과징금 과태료 합리화 방안 (법제처, 법무부, 국가경쟁력 강화위원회, 2009년)에 따라 위반횟수 3차, 횟수에 따른 가중비율 1:2:4로 정하였다.

400 < 과태료 부과기준(제63조 관련 > 1. 일반기준 가. 위반행위의 횟수에 따른 과태료 부과기준은 최근 3년간 같은 위반행위로 과태료를 부과받은 경우에 적용한다. 이 경우 위반행위에 대하여 과태료 부과처분을 한 날과 다시 같은 위반행위를 적발한 날을 각각 기준으로 하여 위반 횟수를 계산한다. 나. 행정안전부장관 또는 관계 중앙행정기관의 장은 다음의 어느 하나에 해당하는 경우 에는 제2호에 따른 과태료 부과금액의 2분의 1의 범위에서 그 금액을 감경할 수 있 다. 다만, 과태료를 체납하고 있는 위반행위자의 경우에는 그러하지 아니하다. 1) 위반행위자가 질서위반행위규제법 시행령 제2조의2제1항 각 호의 어느 하나 에 해당하는 경우 2) 위반행위가 사소한 부주의나 오류로 인한 것으로 인정되는 경우 3) 위반행위자가 위법행위로 인한 결과를 시정하였거나 해소한 경우 4) 그 밖에 위반행위의 정도, 위반행위의 동기와 그 결과 등을 고려하여 과태료를 감경할 필요가 있다고 인정되는 경우 다. 행정안전부장관 또는 관계 중앙행정기관의 장은 다음의 어느 하나에 해당하는 경 우에는 제2호에 따른 과태료 부과금액의 2분의 1의 범위에서 그 금액을 가중할 수 있다. 다만, 가중할 사유가 여러 개인 경우라도 법 제75조제1항부터 제3항까지 의 규정에 따른 과태료 금액의 상한을 넘을 수 없다. 1) 위반의 내용 및 정도가 중대하여 소비자 등에게 미치는 피해가 크다고 인정되는 경우 2) 법 위반상태의 기간이 3개월 이상인 경우 3) 그 밖에 위반행위의 정도, 위반행위의 동기와 그 결과 등을 고려하여 과태료를 가중할 필요가 있다고 인정되는 경우 2. 개별기준 (단위: 만원) 위반행위 근거 법조문 가. 법 제15조제1항을 위반하여 개인정보를 수집한 경우 법 제75조 제1항제1호 나. 법 제15조제2항, 제17조제2항, 제18조제3항 또는 제26조제3항을 위반하여 정보주체에게 알려야 할 사항을 알리지 않은 경우 다. 법 제16조제2항 또는 제22조제4항을 위반하여 재 화 또는 서비스의 제공을 거부한 경우 라. 법 제20조제1항을 위반하여 정보주체에게 같은 항 각 호의 사실을 알리지 않은 경우 법 제75조 제2항제1호 법 제75조 제2항제2호 법 제75조 제2항제3호 과태료 금액 1회 위반 2회 위반 3회 이상 위반

401 마. 법 제21조제1항을 위반하여 개인정보를 파기하 지 않은 경우 바. 법 제21조제3항을 위반하여 개인정보를 분리하 여 저장ㆍ관리하지 않은 경우 사. 법 제22조제1항부터 제3항까지의 규정을 위반하 여 동의를 받은 경우 아. 법 제22조제5항을 위반하여 법정대리인의 동의 를 받지 않은 경우 자. 법 제24조제2항을 위반하여 정보주체가 주민등 록번호를 사용하지 않을 수 있는 방법을 제공하 지 않은 경우 차. 법 제24조제3항, 제25조제6항 또는 제29조를 위반하 여 안전성 확보에 필요한 조치를 하지 않은 경우 법 제75조 제2항제4호 법 제75조 제3항제1호 법 제75조 제3항제2호 법 제75조 제1항제2호 법 제75조 제2항제5호 법 제75조 제2항제6호 카. 법 제25조제1항을 위반하여 영상정보처리기기를 설치ㆍ운영한 경우 타. 법 제25조제2항을 위반하여 영상정보처리기기를 설치ㆍ운영한 경우 파. 법 제25조제4항을 위반하여 안내판 설치 등 필 요한 조치를 하지 않은 경우 하. 법 제26조제1항을 위반하여 업무 위탁 시 같은 항 각 호의 내용이 포함된 문서에 의하지 않은 경우 거. 법 제26조제2항을 위반하여 위탁하는 업무의 내 용과 수탁자를 공개하지 않은 경우 너. 법 제27조제1항 또는 제2항을 위반하여 정보주체 에게 개인정보의 이전 사실을 알리지 않은 경우 더. 법 제30조제1항 또는 제2항을 위반하여 개인정보 처 리방침을 정하지 않거나 이를 공개하지 않은 경우 러. 법 제31조제1항을 위반하여 개인정보 보호책임 자를 지정하지 않은 경우 머. 법 제34조제1항을 위반하여 정보주체에게 같은 항 각 호의 사실을 알리지 않은 경우 버. 법 제34조제3항을 위반하여 조치 결과를 신고하 지 않은 경우 서. 법 제35조제3항을 위반하여 열람을 제한하거나 거절한 경우 어. 법 제35조제3항ㆍ제4항, 제36조제2항ㆍ제4항 또 는 제37조제3항을 위반하여 정보주체에게 알려 법 제75조 제2항제7호 법 제75조 제1항제3호 법 제75조 제3항제3호 법 제75조 제3항제4호 법 제75조 제3항제5호 법 제75조 제3항제6호 법 제75조 제3항제7호 법 제75조 제3항제8호 법 제75조 제2항제8호 법 제75조 제2항제9호 법 제75조 제2항제10호 법 제75조 제3항제9호

402 야 할 사항을 알리지 않은 경우 저. 법 제36조제2항을 위반하여 정정ㆍ삭제 등 필요 한 조치를 하지 않은 경우 처. 법 제37조제4항을 위반하여 처리가 정지된 개인 정보에 대하여 파기 등 필요한 조치를 하지 않 은 경우 커. 법 제63조제1항에 따른 관계 물품ㆍ서류 등 자 료를 제출하지 않거나 거짓으로 제출한 경우 법 제75조 제2항제11호 법 제75조 제2항제12호 법 제75조 제3항제10호 ) 자료를 제출하지 않은 경우 ) 자료를 거짓으로 제출한 경우 터. 법 제63조제2항에 따른 출입ㆍ검사를 거부ㆍ방 해 또는 기피한 경우 법 제75조 제3항제11호 퍼. 법 제64조제1항에 따른 시정명령에 따르지 않은 경우 법 제75조 제2항제13호

403

404 부 칙 제1조 제2조 제3조 제4조 제5조 제6조 제7조 시행일 다른 법률의 폐지 개인정보 분쟁조정위원회에 관한 경과조치 처리 중인 개인정보에 관한 경과조치 벌칙의 적용에 관한 경과조치 다른 법률의 개정 다른 법령과의 관계

405

406 법률 시행령 제1조 시행일 제 제1조(시행일) 이 법은 공포 후 6개월이 경과한 날부터 시행한다. 다 1 만, 제24조제2항 및 제75조 제2항제5호는 공포 후 1년이 경과한 날 부터 시행한다. 제1조(시행일) 이 영은 2011년 9월 30일부터 시행한다. 다만, 제20조 및 별표 2 제2호자목은 2012년 3월 30일부터 시행한다. 제3조(기본계획 및 시행계획의 수립에 관한 경과조치) 1 행정안전 부장관은 제11조에도 불구하고 2012년부터 제2014년까지의 기간에 대한 기본계획을 2011년 12월 31일까지 보호위원회의 심의ㆍ의결을 거쳐 수립하여야 한다. 2 중앙행정기관의 장은 제12조에도 불구하고 2012년 및 2013년에 시행할 시행계획을 제1항의 기본계획에 따라 2012년 2월 28일까지 보호위원회에 제출하여 2012년 4월 30일까지 보호위원회의 심의ㆍ 의결을 거쳐 수립하여야 한다. 제4조(개인정보처리자가 수집ㆍ보유하고 있는 개인정보의 암호화에 관한 경과조치) 이 영 시행 당시 개인정보를 수집ㆍ보유하고 있는 개인정보처리자는 전자매체에 저장하는 개인정보에 대하여 2012년 12월 31일까지 제30조제1항제3호에 따른 암호화 조치(제21조에 따 라 준용되는 고유식별정보에 관한 암호화 조치를 포함한다)를 마쳐 야 한다. 제5조(개인정보파일의 등록에 관한 경과조치) 이 영 시행 당시 개인 정보파일을 운용하고 있는 공공기관(이 영 시행 전에 개인정보파일 을 등록한 기관은 제외한다)의 장은 이 영 시행일부터 60일 이내에 제34조에 따라 행정안전부장관에게 등록을 신청하여야 한다. 제6조(개인정보 영향평가에 관한 경과조치) 이 영 시행 당시 제35조 각 호에 따른 개인정보파일을 운용하고 있거나, 운용할 목적으로 제 35조 각 호에 따른 개인정보파일을 구축하고 있는 공공기관의 장은 이 영 시행일부터 5년 이내에 해당 개인정보파일에 대한 영향평가 를 실시하고 그 결과를 행정안전부장관에게 제출하여야 한다. 조 시행규칙 이 규칙은 2011년 9월 30일부터 시행한다. 표준지침 및 고시 제67조(처리 중인 개인정보에 관한 경과조치) 1 법 시행 전에 근거법령 없이 개인정보를 수집한 경우 당해 개인정보를 보유하는 것은 적법한 처리로 본다. 다만, 이 법 시행 이후 기존의 수집목적 범위 내에서 이용하는 경우를 제외하고 개인정보를 새롭게 처리하는 경우에는 법, 시행령, 시행규칙 및 이 지침에 따라야 한다. 2 법 시행 전에 법률의 근거 또는 정보주체의 동의 없이 제3자로부터 개인정보를 제공받아 목적 외의 용도로 이용하고 있는 개인정보처리자는 정보주체의 동의를 받아야 한다. 3 법 시행 전에 개인정보를 수집한 개인정보처리자는 기존의 수집목적 범위에도 불구하고 제1항 단서 및 제2항을 준수하기 위하여 새롭게 정보주

407 체의 동의를 받을 목적으로 법 시행 전에 수집한 개인정보를 이용할 수 있다. <개인정보 안전성 확보조치 기준 고시> 부칙 제1조 이 기준은 고시한 날부터 시행한다. 제2조(영상정보처리기기에 대한 안전성 확보조치의 적용 제외) 영상정보 처리기기에 대한 안전성 확보조치에 대해서는 표준 개인정보 보호지 침 중에서 영상정보처리기기 설치 운영 기준이 정하는 바에 따른다. 제3조(전산센터, 클라우드컴퓨팅센터 등의 운영환경에서의 안전조치) 개인정보처리자가 전산센터(IDC : Internet Data Center), 클라우드컴퓨팅센터 (Cloud Computing Center) 등에 계약을 통해 하드웨어, 소프트웨어 등을 임차 또는 임대하여 개인정보를 처리하는 경우에는 계약서 또는 서비스수 준협약서(SLA : Service Level Agreement)에 이 기준에 준하는 수준의 안전조치 내용이 포함되어 있으면 이 기준을 이행한 것으로 본다. <영향평가 고시> 부 칙 제1조(시행일) 이 고시는 2011년 9월 30일 부터 시행한다. 제2조(경과조치) 이 고시 시행 후부터 2011년에 영 제35조에 해당하는 정보시스템을 구축ㆍ운용ㆍ연계ㆍ변경하려는 공공기관의 장은 고시 시행 일로부터 3개월 이내에 영향평가계획을 수립하고, 2012년 9월 30일까지 영향평가를 완료하여야 한다. 이 법 시행의 원활한 준비를 위하여 시행일을 공포 후 6개월이 경과한 날 ( )부터로 하되, 주민번호 대체수단의 제공(법 제24조제2항, 제75조제2항제 5호 및 영 제23조), 기본계획 및 시행계획 수립(영 제14조 및 제15조), 개인정보파 일 등록(법 제34조 및 영 제34조), 개인정보 암호화(영 제30조제1항제3호) 등과 관 련해서는 준비해야 할 사항이 많으므로 시행시기에 여유를 두었다. 구 분 관련조문 시행시기 개인정보 보호법 전체 주민번호 대체수단 제공 유예기간이 있는 조문을 제외한 모든 조문 법 제24조제2항 공포후 6개월( )부터 주민번호 대체수단 관련 공시 영 제23조 공포후 1년( )부터 주민번호 대체수단 미제공자에 대한 과태료 부과 법 제75조제2항제5호 제1차( 12~ 14) 기본계획 수립 법 제9조, 영 제14조 까지

408 2012년도 및 2013년도 시행계획 수립 저장 전송 중 개인정보 고유식별정보 암호화 조치 개인정보파일 등록 개인정보 영향평가 개인정보 영향평가 (2011년 정보시스템 구축 운용 연계 변경시) 법 제10조, 영 제15조 법 제29조, 영 제33조제1항제3호 및 제24조 법 제34조, 영 제34조 법 제33조, 영 제35조 영향평가 고시 부칙 제2조 까지 까지 영 시행일부터 60일 이내 ( 까지) 영 시행일로부터 5년 이내 ( 까지) 까지

409 제2조 법률 시행령 다른 법률의 폐지 제2조(다른 법률의 폐지) 공공기관의 개인정보보호에 관한 법률은 폐지 한다. 제2조(다른 법령의 폐지) 공공기관의 개인정보보호에 관한 법률 시 행령을 폐지한다. 개인정보 보호법 은 공공부문과 민간부문 모두에 적용되는 일반법이므로 기존 에 공공분야에서 개인정보보호 일반법으로 역할을 해온 공공기관의 개인정보보호에 관한 법률 은 그 역할을 다하여 폐지하였다. 만약 현행 본조에 의하여 관계부처의 시행령 및 시행규칙이 폐지되지 않고 있다면 소관부처가 시행령 및 시행규칙 개 정 등을 통하여 즉시 정비하여야 한다.

410 제3조 개인정보 분쟁조정위원회에 관한 경과조치 제3조(개인정보분쟁조정위원회에 관한 경과조치) 이 법 시행 당시 종전의 정보통신망 이용촉진 및 정보보호 등에 관한 법률 에 따른 개인정보분 쟁조정위원회의 행위나 개인정보분쟁조정위원회에 대한 행위는 그에 해당 하는 이 법에 따른 개인정보 분쟁조정위원회의 행위나 개인정보 분쟁조정 위원회에 대한 행위로 본다. 제 2 3 조 이 법 시행과 동시에 기존의 개인정보분쟁조정위원회는 소멸하고 이 법에 따 라 새로운 개인정보분쟁조정위원회가 구성된다. 그러나 새로운 개인정보분쟁조정 위원회가 기존 개인정보분쟁조정위원회의 권리 의무를 사실상 그대로 승계하므 로 기존 개인정보분쟁조정위원회에 신청한 분쟁조정사건에 대하여는 아무런 영 향도 미치지 않는다. 다만, 기존 개인정보분쟁조정위원회의 조정결정을 분쟁당사 자가 수락한 경우에는 당사자 사이에 조정서와 같은 내용의 합의가 성립된 것으 로 보지만, 새로운 개인정보분쟁조정위원회의 조정결정을 수락한 경우에는 재판 상 화해(확정판결)의 효력이 발생한다.

411 제4조 처리 중인 개인정보에 관한 경과조치 법률 표준지침 제4조(처리 중인 개인정보에 관한 경과조치) 이 법 시행 전에 다른 법령에 따라 적법하게 처리된 개인정보는 이 법에 따라 처 리된 것으로 본다. 제67조(처리 중인 개인정보에 관한 경과조치) 1 법 시행 전에 근거법 령 없이 개인정보를 수집한 경우 당해 개인정보를 보유하는 것은 적법한 처리로 본다. 다만, 이 법 시행 이후 기존의 수집목적 범위 내에서 이용하는 경우를 제외하고 개인정보를 새롭게 처리하는 경우 에는 법, 시행령, 시행규칙 및 이 지침에 따라야 한다. 2 법 시행 전에 법률의 근거 또는 정보주체의 동의 없이 제3자로부터 개인정보를 제공받아 목적 외의 용도로 이용하고 있는 개인정보처리 자는 정보주체의 동의를 받아야 한다. 3 법 시행 전에 개인정보를 수집한 개인정보처리자는 기존의 수집목 적 범위에도 불구하고 제1항 단서 및 제2항을 준수하기 위하여 새롭게 정보주체의 동의를 받을 목적으로 법 시행 전에 수집한 개인정보를 이용할 수 있다. 이 법 시행 전에 수집 이용 제공한 개인정보에 대한 처리원칙을 규정한 것 이다. 여기서 이 법에 따라 처리된 것으로 본다 는 의미는 개인정보 보호법 에 따라 새롭게 동의 취득, 고지 등을 할 필요가 없다는 것을 의미한다. 경과조 치 적용을 위해서는 다음과 같은 조건이 충족되어야 한다. 1. 다른 법령에 따라 처리된 개인정보일 것 정보통신망법, 공공기관 개인정보보호법, 신용정보법, 위치정보의 보호 및 이용에 관한 법률 등 다른 법령에 의하여 처리된 개인정보이어야 한다. 2. 적법하게 처리된 개인정보일 것 개인정보가 적법하게 처리되었어야 한다. 즉 다른 법령에서 각기 규정하고 있 는 고지, 동의, 공개 등의 방법 절차를 충족하여 처리하였어야 한다. 만약 고지, 동의, 공개 등의 절차를 형식적으로는 거쳤더라도, 그 방법 절차가 잘못되었거나 기만적인 방법으로 동의를 받은 것이라면 적법하게 처리된 것으로 볼 수 없다. 당시에 적법하게 처리되어 지지 아니한 개인정보는 이 법에 따라 다시 고지, 동의, 공개 등의 절차를 거쳐야 한다. 기술적 관리적 물리적 보호조치가 미흡한 경우도 같다.

412 사례 처리된 개인정보의 적법 여부 C 주유소(준용사업자)는 정보통신망법 에 따라 적법하게 수집한 고객 개인정보를 제휴 신용카드를 발급할 목적으로 신용카드사에 제공는 과정 에서, 고객들에게 제공 목적 등을 알리고 적법하게 동의를 받았다. 이 경 우 정보통신망법 에 따라 적법하게 개인정보를 수집 제공한 것이므로 고지 내용, 동의방법 등이 개인정보 보호법 과 다르다고 해도 다시 고 지 동의 절차를 밟을 필요는 없다. D 이동통신사는 고객의 개인정보를 자사 및 제휴회사의 상품 선전 광고 에 이용하고 있다. 사전에 고객의 동의를 받긴 하였으나 개인정보 활용 동의서에는 제휴회사 의 신상품이라는 표현은 없고 그냥 신상품 안내 등 의 모호한 표현으로 고지하였다. 이 경우 이미 정보통신망법 에 따라 적법하게 처리한 것으로 볼 수 없으므로, 이 법에 따라 적법하게 처리된 개인정보에 해당하지 않는다. E 쇼핑몰은 본인확인 목적으로 수집한 주민등록번호 및 결제정보로 수집 한 신용카드 정보를 거래 목적이 달성된 이후(계약이행 및 대금 완납)에도 파기하거나 별도 보관하지 아니하고 계속하여 활용하고 있다. 이 경우 정보통신망법 의 개인정보 파기 의무를 위반한 것이므로 이 법에 따라 적법하게 처리된 개인정보로 볼 수 없다. 제 4 조 3. 법 시행 전에 근거 법령 없이 수집한 개인정보 법 시행 전에 법인 기관 단체 개인 등이 관련 개별법이 없는 상태에서 개 인정보를 수집하여 그 수집목적 범위 내에서 이용하는 것은 적법한 것으로 본다. 즉 정당한 계약 관계나 업무상 관계에 따라 개인정보를 수집하고, 그 계약 등의 당초 목적 내에서 개인정보를 계속 보유 이용하는 것은 적법한 처리에 해당한 다. 예를 들어 이 법 시행 이전에 피트니스 클럽 회원가입 계약에 따라 개인정보 를 수집하였다면, 이 법 시행 이후에도 피트니스 클럽 회원가입 계약에 따른 서 비스를 제공하는 것은 적법한 개인정보 처리가 된다. 다만, 법 시행 이후에 기존의 수집목적 범위를 벗어나서 개인정보를 가공, 편 집, 검색, 출력, 정정, 이용, 제공, 공개, 파기하는 등 새롭게 개인정보를 처리하는 경우에는 이 법에 따른 기준이 적용된다(표준지침 제67조제1항). 또한 법 시행 전에 법률의 근거 또는 정보주체의 동의 없이 제3자로부터 개인 정보를 제공받아 목적 외의 용도로 이용하고 있는 개인정보처리자는 정보주체의 동의를 받아야 한다(표준지침 제67조제2항). 다만, 법 시행 전에 근거 법령 또는 정보주체의 동의 없이 개인정보를 수집한

413 개인정보처리자는 기존의 수집목적 범위에도 불구하고 법 시행 이후에 개인정보를 제3자에게 제공하거나, 수집 이용 목적 범위를 벗어나 이용하려는 경우 개인정보 처리자는 법 시행 전에 수집한 개인정보를 이용하여 정보주체의 동의를 구할 수 있다(표준지침 제67조제3항). 정보주체의 동의를 얻기 위해서는 법 시행 전에 수 집한 개인정보를 불가피하게 이용할 수 밖에 없는 현실적 이유를 고려한 것이다.

414 제5조 벌칙의 적용에 관한 경과조치 제5조(벌칙의 적용에 관한 경과조치) 1 이 법 시행 전에 종전의 공공기 관의 개인정보보호에 관한 법률 을 위반한 행위에 대하여 벌칙을 적용할 때에는 종전의 공공기관의 개인정보보호에 관한 법률 에 따른다. 2 이 법 시행 전에 종전의 정보통신망 이용촉진 및 정보보호 등에 관한 법률 을 위반한 행위에 대하여 벌칙을 적용할 때에는 종전의 정보통신망 이용촉진 및 정보보호 등에 관한 법률 에 따른다. 이 법 시행 전에 위반한 행위에 대해서는 종전의 공공기관 개인정보보호 법 또는 정보통신망법 에 따라 처벌 또는 처분한다. 그러나 이 법 시행 전 에 위반행위가 시작하여 현재까지 위반 상태가 계속되고 있는 경우에는 신법인 개인정보 보호법 이 적용된다. 사례 종전 법률 적용 사례 구 정보통신망법 제67조(정보통신서비스 제공자 외의 자에 대한 준용) 에 따른 준용사업자가 2011년 9월 30일 이전에 정보주체의 동의없이 자사 고객의 개인정보를 계열사 신용카드 모집 광고에 제공하거나, 개인정보 수 집을 위한 이벤트행사를 제3자에게 위탁하면서 정보주체에게 그 사실을 알 리거나 동의받지 아니한 경우에는 구 정보통신망법 을 적용 제 5 조 사례 신법( 개인정보 보호법 ) 적용 사례 구 정보통신망법 제67조(정보통신서비스 제공자 외의 자에 대한 준용) 에 따른 준용사업자가 2011년 9월 30일 이전부터 그 이후까지 계속해서 정보주 체의 동의없이 자사 고객의 개인정보를 계열사와 공유를 하고 있는 경우 준용사업자가 2011년 9월 30일 이후까지 계속해서 기술적 관리적 보호조 치(암호화 등)를 하지 아니하고 개인정보파일을 이용하는 경우에는 개인 정보 보호법 을 적용

415 제6조 법률 다른 법률의 개정 제6조(다른 법률의 개정) 1 6ㆍ25 전사자유해의 발굴 등에 관한 법률 일부를 다음과 같이 개정 한다. 제14조제1항제2호 중 공공기관의 개인정보 보호에 관한 법 률 제2조제2호 를 개인정보 보호법 제2조제1호 로 한다. 2 공직자윤리법 일부를 다음과 같이 개정한다. 제6조제6항 및 제9항 중 공공기관의 개인정보보호에 관한 법 률 제10조 를 각각 개인정보 보호법 제18조 로 한다. 3 국가공무원법 일부를 다음과 같이 개정한다. 제19조의3제3항 중 공공기관의 개인정보보호에 관한 법률 제 2조제1호 를 개인정보 보호법 제2조제6호 로 하고, 같은 조 제4항 중 공공기관의 개인정보보호에 관한 법률 을 개 인정보 보호법 으로 한다. 4 발명진흥법 일부를 다음과 같이 개정한다. 제20조의2제1항 중 공공기관의 개인정보보호에 관한 법률 을 개인정보 보호법 으로 한다. 5 신용정보의 이용 및 보호에 관한 법률 일부를 다음과 같이 개 정한다. 제23조제2항제2호를 다음과 같이 한다. 2. 개인정보 보호법 6 아동복지법 일부를 다음과 같이 개정한다. 제9조의2제3항 중 공공기관의 개인정보보호에 관한 법률 을 개인정보 보호법 으로 한다. 7 법률 제10333호 암관리법 전부개정법률 일부를 다음과 같이 개 정한다. 제14조제1항 후단 중 공공기관의 개인정보 보호에 관한 법 률 제3조제2항 을 개인정보 보호법 제58조제1항 으로 한다. 제49조 중 공공기관의 개인정보보호에 관한 법률 제10조제3 항 을 개인정보 보호법 제18조제2항 으로 한다. 8 장애인차별금지 및 권리구제 등에 관한 법률 일부를 다음과 같 이 개정한다. 제3조제8호다목 중 공공기관의 개인정보보호에 관한 법률 제2조제2호 를 개인정보 보호법 제2조제1호 로 한다. 제22조제2항 중 공공기관의 개인정보보호에 관한 법률 을 개인정보 보호법 으로 한다. 9 전자서명법 일부를 다음과 같이 개정한다. 제24조제2항을 삭제한다. 10 전자정부법 일부를 다음과 같이 개정한다. 제21조제2항 중 공공기관의 개인정보보호에 관한 법률 제2 조제2호 를 개인정보 보호법 제2조제1호 로 한다. 제39조제4항 중 공공기관의 개인정보보호에 관한 법률 제5

416 조 를 개인정보 보호법 제32조 로, 같은 법 제20조제1항에 따 른 공공기관 개인정보보호심의위원회의 심의를 거쳐 를 개인정 보 보호법 제7조에 따른 개인정보 보호위원회의 심의 의결을 거 쳐 로 한다. 제42조제1항 중 공공기관의 개인정보보호에 관한 법률 제2 조제8호 를 개인정보 보호법 제2조제3호 로, 공공기관의 개 인정보보호에 관한 법률 제10조제3항제1호 및 같은 조 제5항은 을 개인정보 보호법 제18조제2항 제1호 및 제19조제1호는 으 로 한다. 11 정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부를 다음 과 같이 개정한다. 제4장제4절(제33조, 제33조의2, 제34조부터 제40조까지), 제66조제 1호 및 제67조를 각각 삭제한다. 제4조제1항ㆍ제3항, 제64조의2제3항 후단, 제65조제1항 및 제69조 중 행정안전부장관, 지식경제부장관 또는 방송통신위원회 를 각각 지식경제부장관 또는 방송통신위원회 로 한다. 제64조제1항 각 호 외의 부분ㆍ제3항ㆍ제4항 전단ㆍ제5항 전단ㆍ 제6항ㆍ제9항ㆍ제10항, 제64조의2제1항ㆍ제2항ㆍ제3항 각 호 외의 부분 전단, 제65조제3항, 제76조제1항제12호 및 제4항부터 제6항까 지 중 행정안전부장관 또는 방송통신위원회 를 각각 방송통신위 원회 로 한다. 12 채권의 공정한 추심에 관한 법률 일부를 다음과 같이 개정한다. 제2조제5호 중 공공기관의 개인정보보호에 관한 법률 제2조 제2호 를 개인정보 보호법 제2조제1호 로 한다. 13 출입국관리법 일부를 다음과 같이 개정한다. 제12조의2제6항 및 제38조제3항 중 공공기관의 개인정보보호 에 관한 법률 을 각각 개인정보 보호법 으로 한다. 14 한국장학재단 설립 등에 관한 법률 일부를 다음과 같이 개정한다. 제50조제3항 중 공공기관의 개인정보보호에 관한 법률 을 개인정보 보호법 으로 한다. 제 6 조 시행령 제7조(다른 법령의 개정) 1 가맹사업거래의 공정화에 관한 법률 시행령 일부를 다음과 같이 개정한다. 제5조의4제1항 중 공공기관의 개인정보보호에 관한 법률 제2 조제2호 를 개인정보 보호법 제2조제1호 로 한다. 2 민주화운동관련자 명예회복 및 보상 등에 관한 법률 시행령 일 부를 다음과 같이 개정한다. 제19조의2 중 공공기관의 개인정보보호에 관한 법률 을 개인정보 보호법 으로 한다. 3 발명진흥법 시행령 일부를 다음과 같이 개정한다. 제8조의2제2항 중 공공기관의 개인정보보호에 관한 법률 을 개인정보 보호법 으로 한다.

417 4 소비자기본법 시행령 일부를 다음과 같이 개정한다. 제25조제7호를 다음과 같이 한다. 7. 개인정보 보호법 제40조에 따라 설치된 개인정보 분쟁조 정위원회 5 전자정부법 시행령 일부를 다음과 같이 개정한다. 제49조제1항 중 공공기관의 개인정보보호에 관한 법률 제2조 제8호 를 개인정보 보호법 제2조제3호 로 한다. 6 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 일부 를 다음과 같이 개정한다. 제3조제1항 중 정보통신서비스 제공자 및 제71조에 따른 정보통 신서비스 제공자 외의 자 를 정보통신서비스 제공자 로 한다. 제16조부터 제22조까지를 각각 삭제한다. 제36조제6항을 삭제한다. 제66조제2항 중 정보통신서비스 제공자등(법 제67조에 따라 준용 되는 경우에 해당되는 자를 포함한다) 을 정보통신서비스 제공 자등 으로 한다. 제71조를 삭제한다. 제3조제1항ㆍ제2항, 제66조제2항, 제68조의2제1항 각 호 외의 부 분, 같은 조 제2항, 제69조제1항 각 호 외의 부분 후단, 제70조제2 항 각 호 외의 부분, 같은 조 제3항 각 호 외의 부분 및 별표 9 위반행위란의 제12호 각 목 외의 부분 중 행정안전부장관 또는 방송통신위원회 를 각각 방송통신위원회 로 한다. 정보통신망법 중 개인정보분쟁조정위원회와 관련된 조항(제4장제4절 및 제 66조제1호) 및 준용사업자(정보통신서비스 제공자 외의 자에 대한 준용)에 관한 조항(제67조)은 삭제된다.

418 제7조 법 시행령 다른 법령과의 관계 제7조(다른 법령과의 관계) 이 법 시행 당시 다른 법령에서 종전의 공공기관의 개인정보보호에 관한 법률 또는 그 규정을 인용하 고 있는 경우 이 법 중 그에 해당하는 규정이 있을 때에는 종전의 규 정을 갈음하여 이 법 또는 이 법의 해당 규정을 인용한 것으로 본다. 제8조(다른 법령과의 관계) 이 영 시행 당시 다른 법령에서 종전의 공공기관의 개인정보보호에 관한 법률 시행령 또는 그 규정을 인용하고 있는 경우 이 영 가운데 그에 해당하는 규정이 있을 때에 는 종전의 규정을 갈음하여 이 영 또는 이 영의 해당 규정을 인용 한 것으로 본다. 이 법 시행 당시 다른 법령에서 종전의 공공기관 개인정보보호법 또는 그 규 정을 인용하고 있는 경우, 일률적으로 종전의 규정에 갈음하여 이 법 또는 이 법 의 해당 규정을 인용하는 것으로 하였다. 제 7 조

419

420 부 록 개인정보 보호법 시행령 시행규칙, 고시 및 지침 별표/서식

421 [별표 1] 전문인력의 자격기준(제37조제1항제2호 관련) 1. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제52조에 따른 한국 인터넷진흥원이 시행하는 정보보호전문가(SIS) 자격을 취득한 후 1년 이상 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 사람 2. 전자정부법 제60조에 따른 감리원(ISA) 자격을 취득한 후 1년 이상 개 인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 사람 3. 국가기술자격법 에 따른 정보통신 직무분야의 국가기술자격 중 정보관리 기술사, 컴퓨터시스템응용기술사, 정보통신기술사, 전자계산기조직응용기사, 정보처리기사 또는 정보통신기사 기술자격을 취득한 후 1년 이상 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 사람 4. 국제정보시스템감사통제협회(Information Systems Audit and Control Association)의 공인정보시스템감사사(CISA) 자격을 취득한 후 1년 이상 개 인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 사람 5. 국제정보시스템보안자격협회(International Information System Security Certification Consortium)의 공인정보시스템보호전문가(CISSP) 자격을 취득 한 후 1년 이상 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있 는 사람 6. 그 밖에 개인정보 보호와 관련된 자격으로서 행정안전부장관이 정하는 자격 을 취득한 후 1년 이상 개인정보 영향평가 관련 분야에서 업무를 수행한 경 력이 있는 사람 비고 개인정보 영향평가 관련 분야에서 업무를 수행한 경력이 있는 사람 이란 공공 기관, 법인 및 단체 등의 임직원으로 개인정보 보호를 위한 공통기반기술(암호 기술, 인증기술 등을 말한다), 시스템ㆍ네트워크 보호(시스템 보호, 해킹ㆍ바 이러스 대응, 네트워크 보호 등을 말한다) 또는 응용서비스 보호(전자거래 보 호, 응용서비스 보호, 정보보호 표준화 등을 말한다)에 해당되는 분야에서 계 획, 분석, 설계, 개발, 운영, 유지ㆍ보수, 감리, 컨설팅 또는 연구ㆍ개발 업무 등을 수행한 경력이 있는 사람을 말한다.

422 [별표 2] 과태료의 부과기준(제63조 관련) 1. 일반기준 가. 위반행위의 횟수에 따른 과태료 부과기준은 최근 3년간 같은 위반행위로 과태료를 부과받은 경우에 적용한다. 이 경우 위반행위에 대하여 과태료 부과처분을 한 날과 다시 같은 위반행위를 적발한 날을 각각 기준으로 하여 위반 횟수를 계산한다. 나. 행정안전부장관 또는 관계 중앙행정기관의 장은 다음의 어느 하나에 해당하는 경 우에는 제2호에 따른 과태료 부과금액의 2분의 1의 범위에서 그 금액을 감경할 수 있다. 다만, 과태료를 체납하고 있는 위반행위자의 경우에는 그러하지 아니하다. 1) 위반행위자가 질서위반행위규제법 시행령 제2조의2제1항 각 호의 어느 하나 에 해당하는 경우 2) 위반행위가 사소한 부주의나 오류로 인한 것으로 인정되는 경우 3) 위반행위자가 위법행위로 인한 결과를 시정하였거나 해소한 경우 4) 그 밖에 위반행위의 정도, 위반행위의 동기와 그 결과 등을 고려하여 과태료를 감경할 필요가 있다고 인정되는 경우 다. 행정안전부장관 또는 관계 중앙행정기관의 장은 다음의 어느 하나에 해당하는 경 우에는 제2호에 따른 과태료 부과금액의 2분의 1의 범위에서 그 금액을 가중할 수 있다. 다만, 가중할 사유가 여러 개인 경우라도 법 제75조에 따른 과태료의 최 고 한도를 넘을 수 없다. 1) 위반의 내용ㆍ정도가 중대하여 소비자 등에게 미치는 피해가 크다고 인정되는 경우 2) 법 위반상태의 기간이 3개월 이상인 경우 3) 그 밖에 위반행위의 정도, 위반행위의 동기와 그 결과 등을 고려하여 과태료를 가중할 필요가 있다고 인정되는 경우 2. 개별기준 위반행위 1. 법 제15조제1항을 위반하여 개인정보를 수집한 경우 2. 법 제22조제5항을 위반하여 법정대리인의 동의 를 받지 않은 경우 3. 법 제25조제2항을 위반하여 영상정보처리기기를 설치ㆍ운영한 경우 근거 법조문 법 제75조 제1항제1호 법 제75조 제1항제2호 법 제75조 제1항제3호 (단위: 만원) 위반 횟수별 과태료 금액 1회 위반 2회 위반 3회 이상 위반

423 4. 법 제15조제2항, 제17조제2항, 제18조제3항 또 는 제26조제3항을 위반하여 정보주체에게 알려야 할 사항을 알리지 않은 경우 5. 법 제16조제2항 또는 제22조제4항을 위반하여 재화 또는 서비스의 제공을 거부한 경우 6. 법 제20조제1항을 위반하여 정보주체에게 같은 항 각 호의 사실을 알리지 않은 경우 7. 법 제21조제1항을 위반하여 개인정보를 파기하 지 않은 경우 8. 법 제24조제2항을 위반하여 정보주체가 주민등 록번호를 사용하지 않을 수 있는 방법을 제공하지 않은 경우 법 제75조 제2항제1호 법 제75조 제2항제2호 법 제75조 제2항제3호 법 제75조 제2항제4호 법 제75조 제2항제5호 법 제24조제3항, 제25조제6항 또는 제29조를 위 반하여 안전성 확보에 필요한 조치를 하지 않은 경우 10. 법 제25조제1항을 위반하여 영상정보처리기기 를 설치ㆍ운영한 경우 11. 법 제34조제1항을 위반하여 정보주체에게 같은 항 각 호의 사실을 알리지 않은 경우 12. 법 제34조제3항을 위반하여 조치 결과를 신고 하지 않은 경우 13. 법 제35조제3항을 위반하여 열람을 제한하거나 거절한 경우 14. 법 제36조제2항을 위반하여 정정ㆍ삭제 등 필 요한 조치를 하지 않은 경우 15. 법 제37조제4항을 위반하여 처리가 정지된 개 인정보에 대하여 파기 등 필요한 조치를 하지 않 은 경우 법 제75조 제2항제6호 법 제75조 제2항제7호 법 제75조 제2항제8호 법 제75조 제2항제9호 법 제75조 제2항제10호 법 제75조 제2항제11호 법 제75조 제2항제12호 법 제64조제1항에 따른 시정명령에 따르지 않 은 경우 17. 법 제21조제3항을 위반하여 개인정보를 분리하 여 저장ㆍ관리하지 않은 경우 18. 법 제22조제1항부터 제3항까지의 규정을 위반 하여 동의를 받은 경우 19. 법 제25조제4항을 위반하여 안내판 설치 등 필 요한 조치를 하지 않은 경우 법 제75조 제2항제13호 법 제75조 제3항제1호 법 제75조 제3항제2호 법 제75조 제3항제3호

424 20. 법 제26조제1항을 위반하여 업무 위탁 시 같은 항 각 호의 내용이 포함된 문서에 의하지 않은 경우 21. 법 제26조제2항을 위반하여 위탁하는 업무의 내용과 수탁자를 공개하지 않은 경우 22. 법 제27조제1항 또는 제2항을 위반하여 정보주 체에게 개인정보의 이전 사실을 알리지 않은 경 우 23. 법 제30조제1항 또는 제2항을 위반하여 개인정 보 처리방침을 정하지 않거나 이를 공개하지 않 은 경우 24. 법 제31조제1항을 위반하여 개인정보 보호책임 자를 지정하지 않은 경우 25. 법 제35조제3항ㆍ제4항, 제36조제2항ㆍ제4항 또는 제37조제3항을 위반하여 정보주체에게 알 려야 할 사항을 알리지 않은 경우 26. 법 제63조제1항에 따른 관계 물품ㆍ서류 등 자 료를 제출하지 않거나 거짓으로 제출한 경우 법 제75조 제3항제4호 법 제75조 제3항제5호 법 제75조 제3항제6호 법 제75조 제3항제7호 법 제75조 제3항제8호 법 제75조 제3항제9호 법 제75조 제3항제10호 가. 자료를 제출하지 않은 경우 나. 자료를 거짓으로 제출한 경우 법 제63조제2항에 따른 출입ㆍ검사를 거부ㆍ방 해 또는 기피한 경우 법 제75조 제3항제11호

425 개인정보 보호법 시행규칙 [별지 제1호서식] 개인정보의 목적 외 이용 및 제3자 제공 대장 개인정보 또는 개인정보파일 명칭 이용 또는 제공 구분 [ ]목적외 이용 [ ]제3자 제공 목적 외 이용기관의 명칭 (목적 외 이용의 경우) 제공받는 기관의 명칭 (제3자 제공의 경우) 소 속 담당자 성 명 전화번호 성 명 담당자 소 속 전화번호 이용하거나 제공한 날짜, 주기 또는 기간 이용하거나 제공한 형태 이용 또는 제공의 법적 근거 이용 목적 또는 제공받는 목적 이용하거나 제공한 개인정보의 항목 개인정보 보호법 제18조제5항에 따라 제한을 하거나 필요한 조치를 마련할 것을 요청한 경우에는 그 내용 210mm 297mm[인쇄용지(특급) 34g/m2]

426 개인정보 보호법 시행규칙 [별지 제2호서식] 개인정보파일 ([ ]등록 [ ]변경등록) 신청서 변경정보 및 변경사유 란은 변경등록시에만 작성합니다. 접수번호 접수일 처리기간 7일 공공기관 명칭 주소 등록부서 전화번호 등록항목 등록정보 변경정보 및 변경사유 개인정보파일 명칭 개인정보파일의 운영 근거 및 목적 개인정보파일에 기록되는 개인정보의 항목 개인정보의 처리방법 개인정보의 보유기간 개인정보를 통상적 또는 반복적으 로 제공하는 경우 그 제공받는 자 개인정보파일을 운용하는 공공기관의 명칭 개인정보파일로 보유하고 있는 개인정보의 정보주체 수 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서 개인정보의 열람 요구를 접수ㆍ 처리하는 부서 개인정보파일에서 열람을 제한 하거나 거절할 수 있는 개인정보의 범위 및 그 사유 개인정보 보호법 제32조제1항과 같은 법 시행령 제34조제1항에 따라 위와 같이 개인정보파일 ([ ]등록 [ ]변경등록)을 신청합니다. 년 월 일 행정안전부장관 귀하 신청기관 (서명 또는 인) 210mm 297mm[일반용지 70g/m2(재활용품)]

427 개인정보 보호법 시행규칙 [별지 제3호서식] 개인정보 영향평가기관 지정신청서 접수번호 접수일 처리기간 2개월 법인명 및 대표자 성명 법인 설립일 신청인 소재지 전화번호 개인정보 영향평가 수행인력의 수 명 개인정보 보호법 시행령 제37조제2항에 따라 개인정보 영향평가기관 지정을 위와 같이 신청합니다. 년 월 일 신청인 (서명 또는 인) 행정안전부장관 귀하 첨부서류 1. 개인정보 보호법 시행령 제37조제2항제1호부터 제3호까지의 규정에 따른 서류 2. 개인정보 보호법 시행령 제37조제2항제4호에 따른 다음의 서류 가. 개인정보보호법 시행규칙 별지 제4호서식의 개인정보 영향평가 수행인력 보유 현황 나. 개인정보보호법 시행규칙 별지 제5호서식의 개인정보 영향평가 수행 관련 사무실 및 설비 보유 현황 다. 개인정보 보호법 시행령 제37조제1항제1호의 사실을 증명할 수 있는 서류 등 행정안전부장관이 정하는 서류 3. 출입국관리법 제88조제2항에 따른 외국인등록 사실증명( 개인정보보호법 시행령 제37조제3항 각 호 외의 부분 단서 에 해당하는 경우에만 첨부합니다) 처리절차 신청서 작성 접 수 검 토 결 재 지정서 발급 신청인 처 리 기 관 (한국정보화진흥원) 처 리 기 관 (행정안전부) 처 리 기 관 (행정안전부) 210mm 297mm[일반용지 70g/m2(재활용품)]

428 개인정보 보호법 시행규칙 [별지 제4호서식] 개인정보 영향평가 수행인력 보유현황 법인명 및 대표자 성명 영향평가 수행인력 총수 명 일련 번호 성명 생년월일 입사일 보유자격증 (취득연월일) 자격증 취득 후 업무 수행 경력 ( 년 개월) 전문분야 학위 및 학과 비고 유의사항 전문분야는 개인정보보호법 시행령 제37조제1항제1호 각 목에 따른 업무 분야를 말합니다. 210mm 297mm[일반용지 60g/m2(재활용품)]

429 개인정보 보호법 시행규칙 [별지 제5호서식] 개인정보 영향평가 수행 관련 사무실 및 설비 보유 현황 아래의 작성방법을 읽고 작성하시기 바랍니다. 법인명 및 대표자 성명 소 재 지 1 신원 확인 및 출입 통제를 위한 설비를 갖춘 사무실 [ ]있음 [ ]없음 2 신원 확인 및 출입 통제 설비 명 칭 설비 등의 세부사항수 량 비고 3 기록 및 자료의 안전관리 설비 명 칭 설비 등의 세부사항수 량 비 고 작 성 방 법 1의 신원 확인 및 출입 통제를 위한 설비를 갖춘 사무실이 있는 경우에는 있음 란에 [ ]표시를 하고, 없는 경우에는 없음 란에[ ]표시를 합니다. 210mm 297mm[일반용지 60g/m2(재활용품)]

430 개인정보 보호법 시행규칙 [별지 제6호서식] 제 호 개인정보 영향평가기관 지정서 1. 대 표 자: 2. 생년월일 또는 사업자등록번호: 3. 법 인 명: 4. 주 소: 5. 전화번호: 6. 지정요건: 개인정보 보호법 제33조제1항과 같은 법 시행령 제37조제4항에 따라 위의 법인을 개인정보 영향평가기관으로 지정하였으므로 개인정보 영향평가기 관 지정서를 발급합니다. 년 월 일 행정안전부장관 직인 210mm 297mm[보존용지 120g/m2]

431 개인정보 보호법 시행규칙 [별지 제7호서식] 개인정보 영향평가기관 변경사항 신고서 접수번호 접수일자 처리기간 7일 변경일 신고인 법인명 대표자명 생년월일 주소 (주된 사무소의 소재지) (전화번호 : ) 구분 종 전 변 경 수행 인력 사무실 및 설비 법인명 종전 대표자명 생년월일 법인 주소 평가 기관 양도ㆍ양수 또는 합병 등 변경 법인 법인명 대표자명 주소 생년월일 (전화번호 : ) (전화번호 : ) 법인명칭ㆍ주소ㆍ전화번호 및 대표자 변경 개인정보 보호법 제33조제6항과 같은 법 시행령 제37조제6항에 따라 평가기관의 변경사항을 위와 같이 신고합니다. 년 월 일 신고인 대표 (서명 또는 인) 행정안전부장관 귀하 첨부서류 1. 양도ㆍ양수ㆍ합병 등의 경우 양도ㆍ양수 또는 합병 계약서 등 사본 1부 2. 그 밖의 변경사항 증명서류 각 1부 유의사항 위 변경사항과 관련하여 자세한 내용은 별지로 작성하거나 관련 서류를 첨부하여 제출할 수 있습니다. 210mm 297mm[일반용지 60g/m2(재활용품)]

432 개인정보 보호법 시행규칙 [별지 제8호서식] 개인정보([ ]열람 [ ]정정ㆍ삭제 [ ]처리정지) 요구서 아래 작성방법을 읽고 굵은 선 안쪽의 사항만 적어 주시기 바랍니다. (앞 쪽) 접수번호 접수일 처리기간 10일 이내 성 명 전 화 번 호 정보주체 생년월일 주 소 대리인 성 명 생년월일 주 소 전 화 번 호 정보주체와의 관계 요구내용 [ ]열람 [ ]개인정보의 항목 및 내용 [ ]개인정보 수집ㆍ이용의 목적 [ ]개인정보 보유 및 이용 기간 [ ]개인정보의 제3자 제공 현황 [ ]개인정보 처리에 동의한 사실 및 내용 [ ]정정ㆍ삭제 정정ㆍ삭제하려는 개인정보의 항목과 그 사유를 적습니다. [ ]처리정지 개인정보의 처리정지를 원하는 대상ㆍ내용 및 그 사유를 적습니다. 개인정보 보호법 제35조제1항ㆍ제2항, 제36조제1항 또는 제37조제1항과 같은 법 시행령 제41조제 1항, 제43조제1항 또는 제44조제1항에 따라 위와 같이 요구합니다. 년 월 일 요구인 (서명 또는 인) O O O O 귀하 작 성 방 법 1. 대리인 란은 대리인이 요구인일 때에만 적습니다. 2. 개인정보의 열람을 요구하려는 경우에는 열람 란에 [ ]표시를 하고 열람하려는 사항을 선택하여 [ ] 표시를 합니다. 표시를 하지 않은 경우에는 해당 항목의 열람을 요구하지 않은 것으로 처리됩니다. 3. 개인정보의 정정ㆍ삭제를 요구하려는 경우에는 정정ㆍ삭제 란에 [ ] 표시를 하고 정정하거나 삭제하려는 개인정보의 항목과 그 사유를 적습니다. 4. 개인정보의 처리정지를 요구하려는 경우에는 처리정지 란에 [ ] 표시를 하고 처리정지 요구의 대상ㆍ내용 및 그 사유를 적습니다. 210mm 297mm[일반용지 70g/m2(재활용품)]

433 (뒤 쪽) 처리절차 이 요구서는 아래와 같이 처리됩니다. 요 구 인 처 리 기 관 개 인 정 보 처 리 자 요 구 서 작 성 접 수 결 정 (열람, 정정ㆍ삭제, 처리정지) 통 지 통지서 작성

434 개인정보 보호법 시행규칙 [별지 제9호서식] 개인정보 ([ ]열람 [ ]일부열람 [ ]열람연기 [ ]열람거절) 통지서 수신자 (우편번호:, 주소: ) (앞 쪽) 요구 내용 열람 일시 열람 장소 통지 내용 ([ ]열람 [ ]일부열람 [ ]열람연기 [ ]열람거절 ) 열람 형태 및 방법 열람 형태 [ ]열람ㆍ시청 [ ]사본ㆍ출력물 [ ]전자파일 [ ]복제물ㆍ인화물 [ ]기타 열람 방법 [ ]직접방문 [ ]우편 [ ]팩스 [ ]전자우편 [ ]기타 납부 금액 1수수료 수수료 산정 명세 원 2우송료 원 계(1+2) 원 사 유 개인정보처리자는 이의제기방법을 적습니다. 이의제기방법 개인정보 보호법 제35조제3항ㆍ제4항 또는 제5항과 같은 법 시행령 제41조제4항 또는 제42조제2항에 따라 귀하의 개인정보 열람 요구에 대하여 위와 같이 통지합니다. 발 신 명 의 직인 장년 월 일 210mm 297mm[신문용지 54g/m2]

435 (뒤 쪽) 유의사항 1. 개인정보 열람 장소에 오실 때에는 이 통지서를 지참하셔야 하며, 요구인 본인 또는 그 정당한 대리인임을 확인하기 위하여 다음의 구분에 따른 증명서를 지참하셔야 합니다. 가. 요구인 본인에게 공개할 때: 요구인의 신원을 확인할 수 있는 신분증명서(주민등록증 등) 나. 요구인의 대리인에게 공개할 때: 대리인임을 증명할 수 있는 서류와 대리인의 신원을 확인할 수 있는 신분증명서 2. 수수료 또는 우송료는 다음의 구분에 따른 방법으로 냅니다. 가. 국가기관인 개인정보처리자에게 내는 경우: 수입인지 나. 지방자치단체인 개인정보처리자에게 내는 경우: 수입증지 다. 국가기관 및 지방자치단체 외의 개인정보처리자에게 내는 경우: 해당 개인정보처리자가 정하는 방법 국회, 법원, 헌법재판소, 중앙선거관리위원회, 중앙행정기관 및 그 소속 기관 또는 지방자치단체인 개인정보처리자에게 수수료 또는 우송료를 내는 경우에는 전자금융거래법 제2조제11호에 따른 전자지급수단 또는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조제 10호에 따른 통신과금서비스를 이용하여 수수료 또는 우송료를 낼 수 있습니다. 3. 열람제한, 열람연기 또는 열람거절의 통지를 받은 경우에는 개인정보처리자가 이의제기방법란에 적은 방법으로 이의제기를 할 수 있습니다. 210mm 297mm[신문용지 54g/m2]

436 개인정보 보호법 시행규칙 [별지 제10호서식] 개인정보 ([ ]정정ㆍ삭제, [ ]처리정지) 요구에 대한 결과 통지서 수신자 (우편번호:, 주소: ) 요구 내용 정정ㆍ삭제 처리정지 조치 내용 정정ㆍ삭제 처리정지 결정 사유 개인정보처리자는 이의제기방법을 기재합니다. 이의제기방법 개인정보 보호법 제36조제6항 및 같은 법 시행령 제43조제3항 또는 같은 법 제37조제5항 및 같은 법 시행령 제44조제2항에 따라 귀하의 요구에 대한 결과를 위와 같이 통지합니다. 발 신 명 의 직인 장년 월 일 유의사항 개인정보의 정정ㆍ삭제 또는 처리정지 요구에 대한 결정을 통지받은 경우에는 개인정보처리자가 이의제기방법 란에 적은 방법으로 이의제기를 할 수 있습니다. 210mm 297mm[신문용지 54g/m2]

437 개인정보 보호법 시행규칙 [별지 제11호서식] 위 임 장 성명 전 화 번 호 위임받는 자 생년월일 정보주체와의 관계 주소 성명 전화번호 위임자 생년월일 주소 개인정보 보호법 제38조제1항에 따라 위와 같이 개인정보의 ( 열람, 정정 삭제, 처리정지)의 요구를 위의 자에게 위임합니다. 년 월 일 위임자 (서명 또는 인) O O O O 귀하 210mm 297mm[인쇄용지(특급) 34g/m2]

438 <표준개인정보보호지침> [별지 제1호서식] 개인정보 유출신고서 기관명 정보주체에의 통지 여부 유출된 개인정보의 항목 및 규모 유출된 시점과 그 경위 유출피해 최소화 대책ㆍ조치 및 결과 정보주체가 할 수 있는 피해 최소화 방법 및 구제절차 성명 부서 직위 연락처 담당부서ㆍ담당자 및 연락처 개인정보 보호책임자 개인정보 보호담당자 유출신고접수기관 기관명 담당자명 연락처

439 [별지 제2호서식] (앞 쪽) 개인영상정보( 존재확인 열람 ) 청구서 아래 유의사항을 읽고 굵은 선 안쪽의 사항만 적어 주시기 바랍니다. 처리기한 10일 이내 청구인 정보주체의 인적사항 성명 생년월일 주소 성명 생년월일 주소 영상정보 기록기간 전화번호 정보주체와의 관계 전화번호 (예 : :30 ~ :00) 청구내용 (구체적으로 요 청하지 않으면 처리가 곤란할 수 있음) 영상정보 처리기기 설치장소 (예 : 00시 00구 00대로 0 인근 CCTV) 청구 목적 및 사유 표준 개인정보 보호지침 제52조에 따라 위와 같이 개인영상정보의 존재확인, 열람을 청구합니다. 년 월 일 청구인 (서명 또는 인) 귀하 담당자의 청구인에 대한 확인 서명

440 [별지 제3호서식] 개인영상정보 관리대장 이용 번호 구분 일시 파일명/ 형태 담당자 목적/ 사유 제공받는 제3자 /열람등 이용 제공 근거 이용 제공 형태 기간 요구자 이용 제공 열람 파기 이용 제공 열람 파기 이용 제공 열람 파기 이용 제공 열람 파기 이용 제공 열람 파기 이용 제공 열람 파기 이용 제공 열람 파기

441 [별지 제4호서식] 개인정보파일 파기 요청서 작성일 작성자 파기 대상 개인정보파일 생성일자 개인정보취급자 주요 대상업무 현재 보관건수 파기 사유 파기 일정 특기사항 파기 승인일 승인자 (개인정보 보호책임자) 파기 장소 파기 방법 파기 수행자 입회자 폐기 확인 방법 백업 조치 유무 매체 폐기 여부

442 [별지 제5호서식] 개인정보파일 파기 관리대장 번호 개인정보 파일명 자료의 종류 생성일 폐기일 폐기사유 처리담당자 처리부서장

443 [별지 제6호서식] 개인정보 목적외 이용 제공 대장 구분 주요내용 1 개인정보파일명 2 이용 제공받는 기관 3 이용 제공일자 4 이용 제공주기 5 이용 제공형태 6 이용 제공목적 7 이용 제공근거 8 이용 제공항목 9 비고

444 [별표 1호] 보유기간 영구 개인정보파일 보유기간 책정 기준표 대상 개인정보파일 1. 국민의 지위, 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 영구 보존이 필요한 개인정보파일 2. 국민의 건강증진과 관련된 업무를 수행하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일 준영구 1. 국민의 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 개인이 사 망, 폐지 그 밖의 사유로 소멸되기 때문에 영구 보존할 필요가 없는 개인정 보파일 2. 국민의 신분증명 및 의무부과, 특정대상 관리 등을 위하여 행정기관이 구 축하여 운영하는 행정정보시스템의 데이터 셋으로 구성된 개인정보파일 30년 1. 관계 법령에 따라 10년 이상 30년 미만의 기간 동안 민. 형사상 또는 행정 상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인 정보파일 10년 1. 관계 법령에 따라 5년 이상 10년 미만의 기간 동안 민. 형사상 또는 행정 상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인 정보파일 5년 1. 관계 법령에 따라 3년 이상 5년 미만의 기간 동안 민. 형사상 또는 행정상 의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정 보파일 3년 1. 행정업무의 참고 또는 사실 증명을 위하여 1년 이상 3년 미만의 기간 동 안 보존할 필요가 있는 개인정보파일 2. 관계 법령에 따라 1년 이상 3년 미만의 기간 동안 민. 형사상 또는 행정상 의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정 보파일 3. 각종 증명서 발급과 관련된 개인정보파일(단 다른 법령에서 증명서 발급 관련 보유기간이 별도로 규정된 경우 해당 법령에 따름) 1년 1. 상급기관(부서)의 요구에 따라 단순 보고를 위해 생성한 개인정보파일

445 <개인정보 영향평가 고시> [별표 1] 개인정보 영향평가기관 지정절차 (제3조 관련) 지정신청공고 관보에 15일 이상 게재 지정신청 접수 신청서류 제출서류 검토 제출서류 미비시 보완 요구 지정심사위원회 구성 서류 현장 종합심사 작업반 구성 서류심사 임원 및 수행인력 현황 수행실적 수행인력 설비 자본요건 충족 여부 수행능력심사 계량평가 항목 그 밖의 평가기준의 적정성 현장실사 서류 심사내용의 현장실사 종합심사 심사결과 검증 영향평가 수행인력의 신원확인 평가기관 지정 지정 예정 법인 선정 서류 현장 종합심사 재검토 지정 예정 법인 확정 지정 확정 법인 대상 신원확인 신원확인 결과 수행인력 요건의 미충족시 지정 유보

446 [별표 2] 개인정보 영향평가 수행능력심사 세부평가기준 (제6조 관련) 구분 평가항목 세부평가항목 배점 평가지표 세부 평가 기준 (제1쪽) 1.경험 최근 5년간 영향평가 수행실적 10 계약금액 총액 5억원 이상: 배점의 100% 5억원 미만: 배점의 χ% χ = (계약금액총액/5억원) 100 (20) 최근 2년간 계약금액 5건 이상: 배점의 100% 1천만원 이상의 영향평가 수행실적 10 수행건수 5건 미만: 배점의 χ% χ = (수행건수/5건) 100 고급수행인력의 수 10 인원수 인원수 1점(최대 10점) I. 정량 평가 2.전문화 정도 (20) 총매출액대비 영향평가분야 매출액의 비율 10 비율 배점 총매출액대비 개인정보영향 평가 분야매출액의 비율(%) 개인정보 영향평가 분야 매출액 의 비율이 30%미만인 경우 일괄 적으로 배점의 30% 부여 상위그룹: 배점의 100% 부채비율 5 비율 중상그룹: 배점의 80% 중간그룹: 배점의 60% 3. 신뢰도 (10) 중하그룹: 배점의 40% 하위그룹: 배점의 20% 자기자본이익률 5 비율 그룹 당 동수로 5그룹을 편성한 후, 나머지가 있는 경우는 상위그룹 부터 1개씩 추가 편성 대기업과 중소기업을 구별 영향평가 실적 유형(공공/민간) 영향평가 수행실적의 질적 평가 10 비계량 영향평가 수행기관 영향평가 수행건수 및 규모 II. 정성 평가 1.경험 (20) 영향평가 책임자의 자질과 경험 5 비계량 영향평가 수행방법 영향평가 책임자의 자질과 경험 영향평가 수행인력 구성의 다양성 영향평가 수행인력의 숙련도 영향평가 수행인력의 자질 및 경험 5 비계량 영향평가 수행인력의 자질과 경험 관련분야 교육 이수

447 (제2쪽) 영향평가 전문지식 10 비계량 신청서류, 현장실사 등을 통해 평가 2.전문화 정도 (20) 영향평가 방법론 5 비계량 방법론의 체계성 일관성 방법론의 타당성 적합성 방법론의 독창성 사례를 통해서 본 방법론의 우수성 II. 정성 평가 영향평가 기술개발 등 5 비계량 평가과정의 독창성 차별성 평가방법, 항목 등 평가체계의 독창성 차별성 3. 신뢰도 (10) 지정신청법인의 자체 개인정보영향평가대책 5 비계량 지정신청법인의 관련 대외활동 5 비계량 위험분석의 타당성 개인정보영향평가의 적절성 개인정보영향평가의 실효성 관련 협회 가입 여부 그밖에 개인정보 보호관련 활동 III. 기타 벤처기업육성에 관한 특별 조치법 제25조에 따라 벤 처기업으로 확인을 받은 기업 최근 3년간 조달법령에 따라 부정당업자로 지정되어 입찰 참가가 제한을 받은 기간 가점 확인여부 벤처 확인기업: 가점 5점 감점 입찰참가 제한월수 제한월수 1월당: 감점 0.5점 비 고 1. 위 표 각 세부 평가항목별 점수는 소수점 이하 둘째 자리에서 반올림한다. 2. 세부 평가기준 중 신뢰도 항목은 기업신용평가서 제출로 대체할 수 있으며 이에 대한 배점기준은 [붙임] 신용평가등급에 의한 평가기준에 따른다. 3. 최근 의 기산일은 지정공고일자를 기준으로 한다.

448 [붙임] 신용평가등급에 의한 평가기준 회사채에 대한 신용평가등급 기업어음에 대한 신용평가등급 기업신용평가 등급 평점(점) 10점 AAA - AAA (회사채에 대한 신용평가등급 AAA에 준하는 등급) AA+, AA0, AA- A1 AA+, AA0, AA- (회사채에 대한 신용평가등급 AA+, AA0, AA-에 준하는 등급) A+ A2+ A+ (회사채에 대한 신용평가등급 A+에 준하는 등급) 10.0 A0 A20 A0 (회사채에 대한 신용평가등급 A0에 준하는 등급) A- A2- BBB+ A3+ A- (회사채에 대한 신용평가등급 A-에 준하는 등급) BBB+ (회사채에 대한 신용평가등급 BBB+에 준하는 등급) BBB0 A30 BBB0 (회사채에 대한 신용평가등급 BBB0에 준하는 등급) 8.0 BBB- A3- BBB- (회사채에 대한 신용평가등급 BBB-에 준하는 등급) BB+, BB0 B+ BB- B0 BB+, BB0 (회사채에 대한 신용평가등급 BB+, BB0에 준하는 등급) BB- (회사채에 대한 신용평가등급 BB-에 준하는 등급) 7.0 B+, B0, B- B- B+, B0, B- (회사채에 대한 신용평가등급 B+, B0, B-에 준하는 등급) 6.0 CCC+ 이하 C 이하 CCC+ 이하 (회사채에 대한 신용평가등급 CCC+에 준하는 등급) 3.0

449 [별표 3] 개인정보 영향평가기관 보호대책의 주요 내용 (제7조 관련) 항 목 주 요 내 용 Ⅰ. 영향평가 수행구역 및 설비에 대한 보호대책 1. 영향평가를 수행하는 구역을 지정하여야 한다. 이 구역은 해당 영향평가 수행 인력이 아닌 자의 출입이 제한되어야 한다. 2. 영향평가 분석자료를 처리 전송 저장하는 정보통신망에 대하여 위험분석에 따 른 통제대책을 강구하여야 한다. 이 경우 노트북 컴퓨터, 그 밖에 휴대용 정보처 리기기에 대한 통제대책을 포함하여야 한다. 3. 영향평가 수행인력이 관계법령에 따르는 비밀유지의무를 포함한 제반의무를 숙지하고 이의 준수를 확약하는 내용의 서약서를 작성하는 지침과 절차를 마 II. 영향평가 수행인원에 대한 보호대책 련하여야 한다. 4. 영향평가 수행인력을 채용할 때의 적격 심사와 퇴직할 때의 퇴직자 관리를 위한 지침과 절차를 마련하여야 한다. 5. 영향평가 수행인력이 평가기관의 보안대책을 위반하는 경우의 제재 및 처리에 관한 내부규정을 마련하여야 한다. 6. 영향평가 수행인력을 포함한 임직원이 정기적으로 업체 내부 및 외부의 개인정보 영향평가 교육을 받을 수 있도록 하여야 한다. 7. 영향평가 분석자료(부수자료를 포함한다)를 보호하기위하여 법 제12조의 표준 III. 문서 및 전산자료에 대한 보호대책 개인정보 보호지침에 따른 보안대책을 마련하여야 한다. 8. 영향평가 수행인력이 아닌 자는 영향평가 분석자료에 접근 열람하거나 편집 반출 폐기하지 못하도록 통제대책을 강구하여야 한다. 9. 정보통신망을 통하여 처리 전송 저장하는 영향평가 분석자료에 대하여 위험 분석에 따른 통제대책을 강구하여야 한다. 10. 서면, 도면, 마이크로필름 전산출력물 등 출력물 형태의 영향평가 분석자료에 대한 보관 복사 배포 폐기 등에 관한 통제대책을 강구하여야 한다. Ⅳ. 일반 관리 대책 11. 영향평가에 관한 평가기관의 기본방침을 대표자가 서면으로 공표하고 영향 평가 수행인력을 포함한 임직원이 이를 숙지하여야 한다. 12. 영향평가업무에 대한 위험분석 및 통제대책의 관리 운영실태를 주기적으로 점검 평가하여야 한다.

450 [별표 4] 개인정보 영향평가의 평가영역 및 평가분야 (제8조 제10조 관련) 평가 영역 평가 분야 세부 분야 (제1쪽) 1. 대상기관 개인정보 보호조직 2. 개인정보 보호 계획 개인정보 보호책임자의 지정 개인정보 취급자의 지정 개인정보 보호 계획 수립 개인정보 보호 교육 계획 수립 3. 개인정보처리 방침 개인정보처리 방침의 수립 Ⅰ. 대상기관의 개인정보 보호 관리체계 4. 개인정보파일 관리 5. 개인정보 위탁 및 제공시 안전 조치 개인정보파일 관리 이용ㆍ제공대장 관리 개인정보파일 파기 사실 관리 개인정보 위탁 시 안전조치 개인정보 연계 제공 시 안전조치 6. 개인정보 침해 대응 침해사고 처리절차 7. 정보주체 권익 보호 정보주체 권익보호 8. 개인정보 처리구역 보호 보호구역 지정 개인정보처리 구역 통제 II. 대상시스템의 개인정보 보호 관리체계 9. 대상시스템의 개인정보관리 10. 개인정보 취급내용 공개 대상시스템의 개인정보 취급자 지정 대상시스템의 개인정보 취급자 의무 개인정보 파일의 안내 개인정보 위탁관리 안내 개인정보 제공 및 목적 외 이용 사실의 안내 개인정보 파기사실의 안내 III. 개인정보 처리단계별 보호 11. 수집단계 개인정보 수집의 적합성 개인정보 수집 동의의 적합성 개인정보 수집 사실의 안내 개인정보 수집 시 보호조치

451 (제2쪽) 개인정보파일 보유의 적합성 평가 12. 저장 및 보유단계 개인정보 파일대장의 작성 개인정보 저장 및 보유 시 암호화* 이용 및 제공의 기본 원칙 타기관 연계 제공 시 절차 개인정보 처리시스템 접근통제 웹 및 애플리케이션 통제 13. 이용 및 연계 제공 단계 개인정보 처리단말기 보호조치 개인정보 이용 제공 승인 네트워크 접속 통제 웹사이트 개인정보노출 차단 개인정보 처리내역 기록 관리 14. 파기단계 보유기간 산정 및 안내 CCTV 설치 시 의견수렴 Ⅳ. 특정 IT기술 활용 시 개인정보 보호 CCTV 설치 안내 15. CCTV 활용 CCTV 사용 제한 CCTV 설치 및 관리에 대한 위탁 RFID 이용자 안내 16. RFID 활용 RFID 태그부착 및 제거 17. 바이오정보 활용 원본정보 보관 시 보호조치 18. 위치정보 활용 개인위치정보 수집 동의 개인위치정보 제공 시 안내사항 비고 1. *는 법 제29조의 개인정보 안전조치 의무기준을 반영하여 암호화 대상여부를 판단하여야 한다.

452 [별지 제1호서식] 개인정보 영향평가 수행실적 명세서 업체명 (제1쪽) 기간 수행실적 총계 외 건 (총 천원) 일련 번호 프로젝트명 (대상기관 (기업)명) 수행기간 (총참여 M/M) 과제책임자 금액 (천원) 참여인력 (개인별 참여율 (M/M), 전문참여분야) 비고 (기반시설 여부, 영향평가 지분 등) 비고 1. 영향평가 수행실적 증명서는 영향평가를 수행하였던 대상기관에서 작성하되, 부득이한 경우 대상 기관과의 계약서, 사업완료보고서, 납품증명서, 준공조서 등으로 대체할 수 있다. 2. 영향평가 수행실적은 개인정보 영향평가 수행실적, 정보보호컨설팅 수행실적, 정보시스템 및 정 보보호시스템 구축실적 중 정보보호컨설팅 비율(별도 금액대비 %로 표기), 감리수행실적 중 정보 보호컨설팅 비율(별도 금액대비 %로 표기) 등을 말한다. 210mm 297mm[일반용지 60g/m2(재활용품)]

453 (제2쪽) 영향평가 수행실적 세부사항 영향평가 실적 금액규모 영향평가건수 (합계) 영향평가금액 (합계) 영향평가 수행건수 영향평가 수행금액 영향평가 건수비율 영향평가 금액비율 1억원 이상 5천만원 이상 3천만원 이상 1천만원 이상 계/평균비율 비고 1. 영향평가 수행실적 증명서는 영향평가를 수행하였던 대상기관에서 작성하되, 부득이한 경우 대 상기관과의 계약서, 사업완료보고서, 납품증명서, 준공조서 등으로 대체할 수 있다. 2. 영향평가 수행실적은 개인정보 영향평가 수행실적, 정보보호컨설팅 실적, 정보시스템 및 정보보 호컨설팅 구축실적 중 정보보호컨설팅 비율(별도 금액대비 %로 표기), 감리수행실적 중 정보보 호컨설팅 비율(별도 금액대비 %로 표기) 등을 말한다. 3. 영향평가 수행실적 세부사항은 영향평가 수행실적을 간략히 확인할 수 있도록 금액규모를 구분하 여 영향평가 수행실적, 정보보호컨설팅 수행건수 및 금액(또는 정보시스템 및 정보보호시스템 구축실 적 중 정보보호컨설팅 건수 및 금액비율, 감리수행실적 중 정보보호컨설팅 건수 및 금액 비율) 을 표기한다. 210mm 297mm[일반용지 60g/m2(재활용품)]

454 [별지 제2호서식] 개인정보 영향평가 수행실적물 관리카드 업 체 명 수행 실적물 관리번호 수행 실적물명 수행 실적물 생성일 대상기관명 수행 실적물 폐기일(방법) 비고 비고 1. 개인정보 영향평가 수행실적물이란 개인정보 영향평가를 수행한 평가결과보고서를 말한다. 210mm 297mm[일반용지60g/m2(재활용품)]

455 [별지 제3호서식] 개인정보 영향평가 수행인력의 경력 및 실적 증명서 이 서식은 개인정보 보호법 시행령 제37조에 따른 개인정보영향평가기관 지정심사에 활용됨 인적 성 명 생년월일 사항 (한 자) 주 소 경력 사항 근 무 부 서 근무 기간 직위(직급) 담 당 업 무 (구체적으로 기재) 실적 사항 프로젝트명 수행기간 대상기관명 담당자 전화 번호 비고 본 증명서의 기재 사항에 일체 허위사실이 없음을 확인하오며 허위 사실 기재로 인한 불이익에는 이의를 제기하지 않겠습니다. 년 월 일 인) 신 청 인 (서명 또는 행정안전부장관 귀하 210mm 297mm[일반용지 70g/m2(재활용품)]

456 [별지 제4호서식] 개인정보 영향평가 수행인력 관리카드 (제1쪽) 법인명 성명 생년월일 소속부서명 주소 입사일 인력등재일 퇴사일 인력삭제일 인력구분 : 일반 / 고급 등급 취득일 : 등급 변경기록 : 기관명(학교명) 기 간 소 속 부 서 (직위, 직책) 자 격 명 (취득일) 비고 학력 및 이력 사항 210mm 297mm[일반용지 60g/m2(재활용품)]

457 프로젝트명 발주 기관명 수행 기간 참여 M/M 참여분야명 (세부분야 중복가능) (제2쪽) 경력 사항 교육제목 교육기관명 (담당강사) 교육일시 교육기간 (이수시간) 주 요 내 용 비고 교육 사항 210mm 297mm[일반용지 60g/m2(재활용품)]

458 [별지 제5호서식] 개인정보 영향평가 수행능력 세부 심사자료 Ⅰ. 총매출액 대비 개인정보 영향평가분야 매출액의 비율 (1) 지정신청직전 결산회기의 총매출액: 천원 (2) 지정신청직전 결산회기의 개인정보영향평가분야의 매출액: 천원 (3) 총매출액 대비 개인정보 영향평가분야 매출액의 비율: % Ⅱ. 부채비율 및 자기자본이익율 (1) 부채비율 = (부채총계 / 자본총계) 100 = % (2) 자기자본이익율 = (당기순이익 / 평균자기자본) 100 = % Ⅲ. 기 타 (1) 벤처기업육성에 관한 특별조치법 에 따른 벤처기업 확인 여부 (, ) (2) 조달관계법령에 따른 부정당업자 지정 경험 여부 (, ) 비 고 1. Ⅰ항, Ⅱ항은 공인회계사 또는 지정신청업체 회계담당자가 서명날인한 계산내역을 첨부한다 (개인정보 영향평가 분야 매출액을 정확하게 확정할 수 없는 경우에는 개산한 금액으로 한다). 210mm 297mm[일반용지60g/m2(재활용품)]

459 [별지 제6호서식] 개인정보 영향평가 관련 기술자산 보유목록 법 인 명 순번 기술자산명 기술자산 버전 기술자산 용도 기술자산 생성일 폐기일 (방법) 비고 비고 1. 기술자산이란 개인정보 영향평가 컨설팅관련 특허, 시스템 개발, 프로그램 개발 등을 말한다. 210mm 297mm[일반용지60g/m2(재활용품)]

460 개인정보 보호법령 및 지침 고시 해설 본 해설서는 개인정보보호 종합지원시스템( 게재되어 있습니다.

모두 보기

종사연구자료-이야기방2014 7 18.hwp

종사연구자료-이야기방2014 7 18.hwp 차례 1~3쪽 머리말 4 1. 계대 연구자료 7 가. 증 문하시랑동평장사 하공진공 사적기 7 나. 족보 변천사항 9 1) 1416년 진양부원군 신도비 음기(陰記)상의 자손록 9 2) 1605년 을사보 9 3) 1698년 무인 중수보 9 4) 1719년 기해보 10 5) 1999년 판윤공 파보 10 - 계대 10 - 근거 사서 11 (1) 고려사 척록(高麗史摭錄)