정보통신서비스제공자를위한 개인정보보호법령해설서 2012. 9
< 주의사항 > 본가이드는 정보통신망이용촉진및정보보호등에관한법률 ( 12 년 2월 17 일일부개정, 12 년 8월 18 일시행, 법률제11322 호 ) 의제정취지및구체적인예를제시하여실무적용상혼란을방지하고, 이법률을올바르게이해하여, -사업자의개인정보보호에대한법적의무이행을지원하기위한행정지도의목적으로발간되었습니다. 본가이드의판권은방송통신위원회 한국인터넷진흥원이소유하고 있으며, 허가없이무단전재및복사를금합니다. - 또한, 가공 인용시에는반드시출처를밝혀주시기바랍니다. 이가이드는지속적으로보완되어 KISA 개인정보보호홈페이지 (privacy.kisa.or.kr/ 알림마당 / 기업자료실 ) 에게시됩니다.
목 차 Ⅰ. 기업과개인정보보호 1 1. 개인정보보호의필요성 2 2. 개인정보보호의기본원칙 3 3. 개인정보란? 5 (1) 개인정보의정의 5 가. 생존하는개인 이란? 5 나. 개인에 관한 정보란? 5 다. 식별하거나식별가능한 정보란? 6 (2) 개인정보의유형및종류 6 (3) 개인정보의범위 9 4. 정보통신망법적용대상 9 (1) 정보통신서비스제공자 10 가. 정의 10 나. 전기통신사업자 10 다. 영리목적의정보제공및제공매개자 13 (2) 정보통신서비스제공자등 14 (3) 방송사업자에대한준용 14 (4) 수탁자에대한준용 15 (5) 이용자 16 5. 다른법률과의관계 16 (1) 개인정보보호법 과의관계 16 (2) 다른 개별법 과의관계 18 6. 정보통신망법의개인정보보호주요규정 19 Ⅱ. 개인정보수집 이용에대한이용자동의획득의무 25 1. 개인정보수집시동의조치 26 (1) 법규정취지 26 (2) 사업자조치사항 26 (3) 해설 27 가. 동의를얻어야하는경우 27
목차 나. 동의를얻는방법 27 다. 동의를얻지않아도되는경우 29 (4) 벌칙및행정처벌 31 (5) 개인정보보호법과의관계 31 2. 개인정보목적외이용금지 33 (1) 법규정취지 33 (2) 사업자조치사항 33 (3) 해설 34 가. 사전에이용자에게동의를얻는경우 34 나. 사전에이용자에게동의를얻지않는경우 34 (4) 벌칙및행정처벌 35 (4) 개인정보보호법과의관계 36 3. 제3자제공및개인정보취급업무위탁시동의조치 38 (1) 법규정취지 39 (2) 사업자조치사항 40 가. 개인정보를제3자에게제공할경우 40 나. 개인정보의취급업무를위탁하는경우 41 (3) 해설 44 가. 위탁과제3자제공의구분 44 나. 위탁업무의구분 46 ( 가 ) 공개 통지로처리가능한위탁업무 47 ( 나 ) 이용자의동의를얻어야하는위탁업무 48 다. 재위탁하는경우 49 라. 수탁업체에대한관리감독책임 50 (4) 벌칙및행정처벌 50 가. 개인정보의제3자제공 50 나. 개인정보의취급위탁 51 (5) 개인정보보호법과의관계 51 가. 개인정보의제3자제공 51 나. 개인정보의취급위탁 52
목차 다. 이용자대상고지및동의관련 53 라. 위탁업무처리절차 54 마. 수탁업체관리 감독 55 4. 아동의개인정보수집시조치사항 56 (1) 규정취지 56 (2) 사업자조치사항 56 (3) 해설 56 가. 법정대리인 56 나. 법정대리인동의획득방법 57 (4) 벌칙및행정처벌 59 (5) 개인정보보호법과의관계 59 5. 동의획득절차 60 (1) 동의획득절차 60 (2) 벌칙및행정처벌 64 (3) 개인정보보호법과의관계 64 6. 주민등록번호사용제한 65 (1) 법규정취지 65 (2) 사업자조치사항 65 (3) 벌칙및행정처벌 67 (4) 개인정보보호법과의관계 67 7. 개인정보의수집제한 70 (1) 법규정취지 70 (2) 사업자조치사항 70 (3) 해설 71 가. 민감정보수집제한 71 ( 가 ) 민감정보수집이가능한경우 71 ( 나 ) 민감정보의종류 71 ( 다 ) 개인정보최소수집 72 (4) 벌칙및행정처벌 72 (5) 개인정보보호법과의관계 72
목 차 Ⅲ. 개인정보보호조치의무 74 1. 개인정보의파기 75 (1) 법규정취지 75 (2) 사업자조치사항 75 (3) 해설 76 가. 개인정보파기시점 76 나. 개인정보파기방법 77 다. 해지고객의개인정보관리방법 78 라. 제3자및수탁업체에제공한정보파기 78 (4) 벌칙및행정처벌 79 (5) 개인정보보호법과의관계 79 2. 장기미이용자의개인정보파기등 80 (1) 법규정취지 80 (2) 사업자조치사항 81 (3) 해설 81 가. 개인정보유효기간 81 나. 유효기간 (3 년 ) 의예외 81 다. 정보통신서비스미이용판단기준 83 라. 개인정보파기및분리저장 관리방법 84 마. 파기등조치대상개인정보의범위 87 바. 유효기간도래통지시기및방법 87 사. 연락처부재 변경 오류등으로통지가불가능한경우 88 (4) 벌칙및행정처벌 89 (5) 개인정보보호법과의관계 89 3. 이용자권리보장 90 (1) 법규정취지 91 (2) 사업자조치사항 91 (3) 해설 91 가. 개인정보에대한동의철회권 91
목 차 나. 열람 제공및정정요구권 92 다. 법정대리인의권리보장 93 라. 가입절차보다쉬운탈퇴절차마련 93 마. 이용자권리행사에대한 지체없이필요한조치 94 바. 열람및정정요구의거부 94 (4) 벌칙및행정처벌 94 (5) 개인정보보호법과의관계 95 4. 개인정보이용내역의통지 98 (1) 법규정취지 98 (2) 사업자조치사항 99 (3) 해설 99 가. 법적용대상 99 나. 통지대상정보 99 다. 통지주기및방법 102 (4) 벌칙및행정처벌 103 (5) 개인정보보호법과의관계 103 5. 개인정보취급방침작성 105 (1) 법규정취지 106 (2) 사업자조치사항 106 (3) 해설 106 가. 개인정보취급방침의포함내용 106 나. 개인정보취급방침의공개방법 107 다. 개인정보취급방침의내용이변경되는경우 108 (4) 벌칙및행정처벌 108 (5) 개인정보보호법과의관계 108 6. 개인정보누출등의통지 신고 110 (1) 법규정취지 111 (2) 사업자조치사항 111 (3) 해설 111 가. 개인정보 분실 도난 누출 ( 누출등 ) 의의미 111
목차 나. 통지및신고시기및내용 113 다. 통지및신고방법 114 라. 통지에갈음하는조치 116 (4) 벌칙및행정처벌 116 (5) 개인정보보호법과의관계 116 7. 영업양수 양도시조치사항 120 (1) 법규정취지 120 (2) 사업자조치사항 121 (3) 해설 121 가. 통지주체 121 나. 통지내용 122 다. 통지방법 122 라. 영업양수자등의 별도의동의 획득의무규정 124 (4) 벌칙및행정처벌 124 (5) 개인정보보호법과의관계 124 8. 기술적 관리적보호조치 126 (1) 법규정취지 127 (2) 사업자조치사항 128 (3) 해설 128 (4) 벌칙및행정처벌 129 (5) 개인정보보호법과의관계 130 9. 개인정보의국외이전 133 (1) 법규정취지 133 (2) 사업자조치사항 134 (3) 해설 134 (4) 벌칙및행정처벌 134 (5) 개인정보보호법과의관계 135 Ⅳ. 정보통신망법외개인정보보호법규정사항 136 1. 개요 136 2.CCTV 설치 운영 136
목 차 3. 정보주체이외로부터수집한개인정보의수집출처등고지 137 Ⅴ. 행정규제기준 139 1. 과징금 139 (1) 과징금의의미 139 (2) 과징금부과규정 139 (3) 과징금부과기준 141 가. 기본과징금 141 나. 의무적조정과징금 143 다. 임의적조정과징금기준 144 라. 세부기준의마련 145 2. 과태료 ( 시행령제74 조및별표9) 146 3. 정리 147 Ⅵ. 정보통신망법 149 Ⅶ. 과징금부과기준고시 183 Ⅷ. 기술적 관리적보호조치기준고시 190 Ⅸ. 본인확인기관지정등에관한기준고시 199
Ⅰ. 기업과개인정보보호 1. 개인정보보호의필요성 2. 개인정보보호의기본원칙 3. 개인정보란? 4. 정보통신망법적용대상 5. 다른법률과의관계 6. 정보통신망법의개인정보보호주요규정
Ⅰ 기업과개인정보보호 1. 개인정보보호의필요성 m 최근급속히증가하고있는스마트폰, 태블릿 PC 등다양한스마트기기의확산으로일상생활에서혁명적인변화가일어나고있습니다. 언제어디서나정보통신서비스를편리하게활용할수있는유비쿼터스사회를거쳐, 스마트폰등각종스마트기기로대화와소통이이루어지고업무처리, 교육, 의료등사회전반에서스마트기술이활용되는 스마트사이어티 (Smartciety)' 로진화되고있는실정입니다. m 이와같이정보통신기술의발전은일상생활뿐만아니라, 산업, 행정등사회전영역에서변화를선도하는핵심적인요소로기능하여우리의일상생활을보다편리하게만들었지만, 눈부신기술발전이면에는해킹 바이러스사고, 과도한스팸수신, 저작권침해및명예훼손, 보이스피싱등다양한사이버범죄와정보격차로인한소외계층의발생등정보화역기능문제또한심화되고있는것도사실입니다. m 이처럼, 유출된개인정보는스팸메일, 불법텔레마케팅등에악용되어개인에게원치않는광고성정보가끊임없이전송되는동시에, 대량의스팸메일발송을위한계정도용, 보이스피싱등범죄행위에악용될우려가있으며이러한문제점이개인정보의주체에게미치는정신적 물질적피해규모는측정이어렵습니다. 뿐만아니라한번유출된개인정보는회수가사실상불가능하기때문에더욱심각하다고할수있습니다. m 또한, 기업측면에서도개인정보유출사고발생시고객의신뢰상실은물론기업의이미지저하와소송등송무비용이나손해배상금등실질적비용이소요되는등유 무형으로기업자산의손실을가져오게됩니다. 따라서, 개인측면에서나기업의측면에모두개인정보유출에따른사회적비용이기하급수적으로증가할수있어이에대한적극적인대응이시급한상황입니다. m 이처럼, 개인정보보호의중요성이증대됨에따라우리나라에서도개인정보보호 관련법령의제정및개정작업이지속적으로이루어지고있습니다. - 정보통신망법은정보통신기술을활용한신규 IT 서비스의보급확대등정보통신 - 2 -
환경의변화로발생하는각종문제에적극적으로대처하기위해지금까지수차례개정되어왔습니다. -특히최근개정된정보통신망법은해킹등으로인한대규모개인정보유출사고를사전에예방하고향후유사사고재발및 2차피해를방지하기위해기업의과도한개인정보수집을제한하고, 상향된기술적 관리적보호조치기준을적용하여,2012 년 8월 18 일부터시행되었습니다. 2. 개인정보보호의기본원칙 m 개인정보보호를위한기본원칙은이용자의 개인정보자기결정권 을보장하는것입니다. -개인정보자기결정권은자신에관한정보가언제, 어떻게, 그리고어느범위까지타인에게전달되고이용될수있는지를해당개인정보주체가스스로결정할수있는권리를의미합니다. -다시말해, 이용자는누가어떤목적으로자신의어떤개인정보를수집하고이용하는지를개인정보제공이전에명확하게인지하고, 언제든지자신의개인정보를열람 정정할수있으며, 자신의개인정보가이용되는것을원하지않을경우도이용대한동의를철회하거나파기를요청할수있는권리를보장받아야한다는것입니다. -개인정보자기결정권은헌법상명시되어있지는않으나 05 년헌법재판소에서헌법제17 조사생활의비밀과자유, 제10 조인간의존엄과가치및행복추구권에근거를둔일반적인격권으로써 자신에관한정보가언제누구에게어느범위까지알려지고또이용되도록할것인지를그정보주체가스스로결정할수있는권리, 즉정보주체가개인정보의공개와이용에관하여스스로결정할권리 로판시한바있으며 (99 헌마513 2004 헌마190( 병합 ), 대법원및하급법원판례들에서도지속적으로언급되고있습니다. m 따라서정보통신서비스사업자는이용자의개인정보를수집하고이용할때에 항상그사실을알리고동의를받아야합니다. m 이처럼사업자가수집한이용자의개인정보는사업자의것이아니며, 엄연히 해당정보주체의것으로, 사업자는편리한서비스를제공하기위해정보주체의개 인정보를잠시빌려쓰는것이라할수있습니다. 따라서타인의소유물을빌리려면 - 3 -
그주인에게허락을받고빌린목적이달성되면즉시반납해야하듯이, 개인정보를수집 이용할때에도해당정보주체에게반드시동의를얻어야하며동의를얻은기간이만료되었거나목적이달성되었으면해당정보를파기해야합니다. 참고조문및판례 헌법제10 조 : 모든국민은인간으로서의존엄과가치를가지며, 행복을추구할권리를가진다. 국가는개인이가지는불가침의기본적인권을확인하고이를보장할의무를진다. 헌법제17 조 : 모든국민은사생활의비밀과자유를침해받지아니한다. 헌법재판소판결 (99 헌마513 2004 헌마190( 병합 ): 인간의존엄과가치, 행복추구권을규정한 헌법 제10 조제1문에서도출되는일반적인격권및 헌법 제17 조의사생활의비밀과자유에의하여보장되는개인정보자기결정권은자신에관한정보가언제누구에게어느범위까지알려지고또이용되도록할것인지를그정보주체가스스로결정할수있는권리이다. 즉정보주체가개인정보의공개와이용에관하여스스로결정할권리를말한다. 개인정보자기결정권의보호대상이되는개인정보는개인의신체, 신념, 사회적지위, 신분등과같이개인의인격주체성을특징짓는사항으로서그개인의동일성을식별할수있게하는일체의정보라고할수있고, 반드시개인의내밀한영역이나사사 ( 私事 ) 의영역에속하는정보에국한되지않고공적생활에서형성되었거나이미공개된개인정보까지포함한다. 또한그러한개인정보를대상으로한조사 수집 보관 처리 이용등의행위는모두원칙적으로개인정보자기결정권에대한제한에해당한다. - 4 -
3. 개인정보란? (1) 개인정보의정의 m 개인정보보호에관한사업자의의무사항을규정하고있는정보통신망법에서는 보호대상이되는 개인정보 1) 의요건을생존하는개인에관한정보로서, 특정 개인을식별하거나식별할수있는모든정보로규정하고있습니다. m 일반적으로개인정보로볼수있는요건은 1 생존하는 2 개인에관한정보로서 3 특정개인을식별하거나식별할수있는모든정보입니다. 그럼지금부터 각요건별로자세히설명하도록하겠습니다. 가. 생존하는개인 이란? m 개인정보의주체는자연인 ( 自然人 ) 이어야하며, 법인 ( 法人 ) 또는단체의정보는해당되지않습니다. -따라서법인의상호, 영업소재지, 대표이사의성명, 이사 감사등임원정보, 자산, 영업실적등의정보는정보통신망법에서보호하는개인정보의범위에해당되지않습니다. m 또한정보통신망법에서보호대상이되는개인정보는현재 생존하는 자연인에관한정보입니다. -사망했거나실종선고등관계법령에의해사망한것으로간주되는자에관한정보는정보통신망법의보호대상인개인정보로볼수없습니다. 나. 개인에 관한 정보란? m 개인에관한정보 란당해개인에대한사실 판단 평가등개인에관한정보를말합니다. 현행정보통신망법은개인정보에대한구체적이고세부적인기준이나요건을규정하고있지않으므로특정개인과관련된모든정보는개인정보에해당된다고볼수있습니다. 1) 법제 2 조제 1 항제 6 호 개인정보 라함은생존하는개인에관한정보로서성명 주민등록번호등에의하여당해개인을알아볼수있는부호 문자 음성 음향및영상등의정보 ( 당해정보만으로는특정개인을알아볼수없어도다른정보와쉽게결합하여알아볼수있는경우에는그정보를포함한다 ) 를말한다. - 5 -
다. 식별하거나식별가능한 정보란? m 정보통신망법에따라개인정보로인정되기위해서는해당정보가 특정개인을식별하거나식별가능 해야합니다. -따라서해당개인정보가이미통계적으로변환되어특정개인이라는사실을식별할수없다면개인정보라고할수없습니다. m 또한해당정보만으로개인을식별할수있는경우뿐만아니라 다른정보와쉽게결합 해서특정개인의식별이가능한경우에는그정보도개인정보로규정하고있습니다. -예를들어, 주민등록번호는개인마다고유한것이므로개인을손쉽게식별하는데활용할수있습니다. 하지만주소, 전화번호, 이메일주소등은독자적으로노출되었을때에는개인을식별할수없지만, 다른정보와결합하면특정개인을식별할수있게되므로개인정보로볼수있습니다. (2) 개인정보의유형및종류 m 개인정보는개인의성명, 주민등록번호등인적사항에서부터사회 경제적지위와 상태, 교육, 건강 의료, 재산, 문화활동및정치적성향과같은내면의비밀에 이르기까지그종류가매우다양하고폭넓습니다. m 또한사업자의서비스에이용자가직접회원으로가입하거나등록할때사업자에게 제공하는정보뿐만아니라, 이용자가서비스를이용하는과정에서생성되는 통화내역, 로그기록, 구매내역등도개인정보가될수있습니다. - 6 -
m 개인정보의유형과그구체적인예를살펴보면아래와같습니다. 유형인적사항신체적정보정신적정보재산적정보사회적정보기타 개인정보의예성명, 주민등록번호, 주소, 본적지, 전화번호등연락처, 생년월일, 출생지, 이메일주소, 가족관계및가족구성원정보등 ( 신체정보 ) 얼굴, 지문, 홍채, 음성, 유전자정보, 키, 몸무게등 ( 의료 건강정보 ) 건강상태, 진료기록, 신체장애, 장애등급, 병력 ( 病歷 ) 등 ( 기호 성향정보 ) 도서 비디오등대여기록, 잡지구독정보, 물품구매내역, 웹사이트검색내역등 ( 내면의비밀등 ) 사상, 신조, 종교, 가치관, 정당 노조가입여부및활동내역등 ( 개인금융정보 ) 소득, 신용카드번호, 통장계좌번호, 동산 부동산보유내역, 저축내역등 ( 신용정보 ) 신용평가정보, 대출또는담보설정내역, 신용카드사용내역등 ( 교육정보 ) 학력, 성적, 출석상황, 자격증보유내역, 상벌기록, 생활기록부등 ( 법적정보 ) 전과 범죄기록, 재판기록, 과태료납부내역등 ( 근로정보 ) 직장, 고용주, 근무처, 근로경력, 상벌기록, 직무평가기록등 ( 병역정보 ) 병역여부, 군번, 계급, 근무부대등전화통화내역, 웹사이트접속내역, 이메일또는전화메시지, 기타 GPS 등에의한위치정보등 -개인정보는최초서비스가입과정에서이용자에게직접적으로수집하는정보와이용자가서비스를이용하는과정에서생성되는정보로나누어볼수있습니다. -예를들어, 성명, 주소, 전화번호등인적사항관련정보는대부분이용자에게직접수집합니다. 하지만서비스이용내역, 통화기록등이포함된로그기록, 위치정보등은이용자가서비스를이용하는과정에서실시간으로생성됩니다. 이와같은생성정보의경우에도개인을식별하는식별정보와연계될경우개인정보로서보호대상이됩니다. 이용자가사업자에게직접제공하는정보 -사업자서비스에회원으로가입할때기입하는성명, 주소, 이메일, 전화번호, 생년월일, 성별, 취미, 가족관계, 혼인여부, 출신학교등 서비스를이용하는과정에서생성되는정보 -서비스이용기록, 접속로그 (log), 쿠키 (cookie), 결제기록, 이용정지기록, 페이지뷰내역, 이용시간대, 검색사항, 사이트방문내역등 - 7 -
m EU,OECD, 미국, 영국등대부분의국가는개인정보를 개인을식별하거나 신원을확인할수있는정보 ( 자료, 기록 ) 로규정하고있습니다. < 개인정보의개념에대한각국의입법례 > 구분법령정의 OECD EU 미국영국프랑스 개인정보보호지침 (GuidelinesontheProtection ofprivacyandtransborder FlowsofPersonalData) 개인정보보호지침 (Directive95/46EC) 프라이버시법 (PrivacyAct,1974) 개인정보보호법 (DataProtectionAct,1998) 국가정보처리자유법 (Loin 78-17du6janvier 1978relativeàl'informatique, auxfichiersetauxlivertés) 개인데이터 (personaldata) 는식별되거나식별될수있는개인에관한모든정보를지칭개인데이터 (personaldata) 는식별되거나식별될수있는자연인에관한모든정보를지칭 식별가능한개인은직접또는간접적으로신원확인번호, 신체적, 생리적, 정신적, 경제적, 사회적동일성 (identity) 을나타내는요소를참조하여그신원이확인될수있는사람을지칭개인기록 (Record) 은행정기관이보유하는개인에관한정보 (informationaboutanindividual) 의개개항목또는그집합 개인기록에는당해개인의이름, 식별번호 부호, 지문, 성문, 자신과같은당해개인의고유한식별자 (identifyingparticular) 가포함개인기록 (personal data) 은신원확인이가능한생존하는개인에관한기록으로서, 그기록또는다른정보로부터신원확인이가능한것을의미기명이나무기명의형식에관계없이직접또는간접으로자연인의신원을식별하거나확인할수있는개인또는법인이처리하는정보 독일 데이터보호법 (Bundesdatenschutsgesetz,1974) 자연인의신원을식별하거나식별할수있는정보 주체에관한인적및물적환경에관한일체의정보 스웨덴 일본 데이터보호법 (PersonalDataAct,1998) 개인정보보호법 ( 個人情報の保護に關する法律 ) 생존하는자연인에관하여직접또는간접으로식별할수있는모든유형의정보개인정보는생존하는개인에관한정보로서성명 생년월일기타기술 ( 記述 ) 에의해특정개인을식별할수있는정보 - 8 -
(3) 개인정보의범위 m 인터넷,GPS 등정보통신기술의발달에따라개인정보의범위는점차확대되고있습니다. -위치정보, 바이오정보 ( 지문 홍채등 ) 등정보기술의발전에힘입어지금까지경험하지못했던개인정보가속속등장하고있습니다. 더욱이그유형은날로다양해지고범위또한빠르게확대되고있습니다. < 사회발전에따라확대되는개인정보의범위 > 4. 정보통신망법적용대상 m 기존의우리나라개인정보보호법체계는공공 정보통신 금융등각분야별로개인정보보호에대한내용을규정하는개별법체계였으나,2011 년 9월 30 일공공 민간부문을포괄하는일반법인 개인정보보호법 이시행됨에따라, 일반법과개별법이동시에존재하는이분법체계를갖게되었습니다. -일반법과개별법의관계등은 5. 다른법률과의관계 에서자세히후술하도록하겠습니다. m 정보통신망법은민간부문중정보통신분야의개인정보보호를위해제정된법률로서, 그적용범위가광범위하여사실상민간부문을대표하는개인정보보호법이라고할수있습니다. 또한, 정보통신망법에서는개인정보수집 이용 제공, 관리 파기, 이용자의권리등각단계에해당하는보호조치를상세히규정하고있습니다. -2012 년 8월 18 일부터개정시행된정보통신망법은방송사업자에대한준용규정을마련하여, 정보통신뿐만아니라방송분야까지적용대상을확대하였습니다. 아래에서는정보통신망법적용대상에대해자세히설명하겠습니다. - 9 -
(1) 정보통신서비스제공자 가. 정의 m 정보통신서비스제공자 란전기통신사업법규정에의한 1 전기통신사업자와 2 영리를목적으로, 유 무선통신망을통하거나컴퓨터및그이용기술을활용하여정보를제공하거나정보제공을매개하는서비스를제공하는자를말합니다. < 근거법령 > 정보통신망법제2조제 1항제 3호 정보통신서비스제공자 라함은 전기통신사업법 제2조제 8호 2) 의규정에따른전기통신사업자와영리를목적으로전기통신사업자의전기통신역무를이용하여정보를제공하거나정보의제공을매개하는자를말한다. 나. 전기통신사업자 m 전기통신사업자는 전기통신사업법 의규정에따른허가 등록 신고절차를 거친기간통신사업자, 별정통신사업자, 부가통신사업자를말합니다. - 기간통신사업자는초고속인터넷기업, 이동통신사등유 무선통신사업자로서 방송통신위원회의허가를얻은사업자입니다. - 별정통신사업자는앞서말한기간통신사업자의전기통신회선설비등을이용하여 기간통신역무를제공하거나, 법령에서정하는바에따라구내에서전기통신역무를 제공하는사업자로서, 국제전화서비스, 재판매사업자등이해당됩니다. 기간통신사업자와는달리방송통신위원회의허가를받지않고정해진절차에 따라방송통신위원회에등록된사업자입니다. - 부가통신사업자는기간통신사업자의전기통신회선설비를임차하여기간통신역무 이외의전기통신역무를제공하는사업자로서, 포털사이트, 게임사이트, 온라인 쇼핑몰, 커뮤니티 미니홈피 블로그등일반적인인터넷웹사이트를운영하는 사업자가해당됩니다. 정해진절차에따라방송통신위원회에신고하거나, 전기통신 사업법및동법시행령에따라신고의무가면제되는사업자를포함합니다. 인터넷을통하여부가통신역무를제공하는자본금 1 억원이하의부가통신사업자 2) 전기통신사업법제 2 조제 8 호 " 전기통신사업자 " 란이법에따른허가를받거나등록또는신고 ( 신고가면제된경우를포함한다 ) 를하고전기통신역무를제공하는자를말한다. - 10 -
( 소규모부가통신사업 ) 이거나, 기간통신사업자가부가통신사업을경영하려는경우에는부가통신사업자신고가면제됩니다. -특수한유형의부가통신사업자는다른사람상호간에컴퓨터를이용하여정보나파일등을저장 전송을주된목적으로하는사업자로서, 웹하드나 P2P 사이트등을운영하는사업자가해당됩니다. 일반적인부가통신사업자와는달리정해진절차에따라방송통신위원회에등록된사업자입니다. < 별정통신사업별주요서비스내용 3) > 사업별주요서비스서비스내용설명 음성재판매 기간통신사업자의전기통신회선설비등을이용하여전화역무 ( 국내, 국제 ) 를제공 설비보유재판매사업 ( 별정1호 ) 인터넷전화 인터넷접속 자체교환설비를보유하고, 기간통신사업자의전기통신회선 설비등을이용하여통화권구분없이인터넷을통해음성 등을송수신하는전화역무를제공 ( 단개인용컴퓨터를이용하여회원간음성등을송수신하는것은제외 ) 게이트웨이 (G/W) 와게이트키퍼 (G/K) 를동시에자체보유한 경우별정통신 1 호임 자체교환설비 (ATM 스위치등. 단, 라우터는교환설비로미 인정 ) 를보유하고, 전기통신설비를이용하여인터넷을구성 함으로써인터넷접속을제공하는전기통신역무 국제전화전용 회선재판매 기간통신사업자의국제음성 데이터전용회선 ( 전기통신회선설비 ) 를임차하여이를분할또는전체로재임대하는서비스 국제콜백 서비스 요금이싼나라의사업자들이요금이상대적으로비싼나라에 진출하여그나라의가입자가거는국제전화를콜백기능에 의해자기나라의발신으로처리해주고요금을받는서비스 설비미보유재판매사업 ( 별정2호 ) 호집중 재과금 여러지역에산재된고객들을영업 모집하고그가입자들이 이용하는통신량에따라수수료를받거나기간통신사업자로 부터다량할인을받아그차액을수입원으로하는서비스 ( 고객에게직접요금청구는하지않고영업대행수수료만받음 ) 불특정다수의가입자를모집하고기간통신사업자또는별정통신 1 호사업자의다량할인제도에기초한차익거래로부터 3) 참조 : 중앙전파관리소홈페이지 (www.crmo.go.kr) - 11 -
사업별주요서비스서비스내용설명 수익을올리는서비스로통신사업자로부터과금자료를받아자신의가입자에게소매형태로재과금 ( 고객에게직접요금청구 ) 구내 통신사업 ( 별정 3 호 ) 무선재판매인터넷전화인터넷접속국내전용회선재임대주차안심서비스 060 전화정보송출대행서비스구내통신사업 별정통신 1 호와유사하나자체교환설비가없는점이다름 ( 연동설비와호처리용설비중한쪽만보유 ) 게이트웨이 (G/W) 를임차하고게이트키퍼 (G/K) 는자체설비인 경우별정통신 2 호임 별정 1 호와유사하나, 자체교환설비가없는점이다름 ( 연동 설비와신호처리용설비중한쪽만보유 ) 게이트웨이 (G/W) 를임차하고게이트키퍼 (G/K) 는자체설비인 경우별정통신 2 호임 별정통신 1 호와유사하나자체교환설비가없는점이다름 자체교환설비를보유하지아니하고기간통신사업자로부터 고속 대용량의전용회선을임차하여저속 소용량으로분할또는전체로재판매하는서비스 - 실시간통화형서비스는전기통신설비를이용하여호출자와 차주의실시간통화를내용이나형태의변경없이제공하고, 서비스제공과정에교환기능이있어별정통신등록 - 메시지전송형서비스는서비스제공자가전화망과지능망 설비를이용하여문자또는음성을송신하는것에해당됨 060 을이용해실시간정보를제공하는서비스 ( 실시간통화형서비스에한함 ) 전기통신설비 ( 송출장비, 전용회선 ) 을이용하여타인 (PP) 의 통신을매개 ( 영상을송신 ) 하는서비스 빌딩, 아파트등구내에전기통신설비를설치하거나이를이용하여구내에서전기통신역무 ( 기간통신역무및부가통신 역무 ) 를제공 구내교환기및 LAN 등을설치하거나이를이용하여구내에서종합적인통신서비스를제공하는경우등 도매제공의무서비스재판매사업 ( 별정통신 4 호 ) MVNO 가상이동통신망사업자 (MVNO) 란기존기간통신사업자의설비 서비스를도매로제공받아이용자에게재판매하는사업자이동전화서비스망을임대하여자체브랜드로독립적인상품 및요금을설계하여고객을유치 관리함 - 12 -
다. 영리목적의정보제공및제공매개자 m 앞서살펴본전기통신사업자를제외한정보통신서비스제공자는영리를목적으로전기통신사업자의전기통신역무를이용하여정보를제공하거나정보의제공을매개하는자를말합니다. -여기서 영리를목적으로 한다는것은재산상이익을취득하거나이윤을추구하려는목적이있음을의미합니다. 그러므로학술 종교 자선단체등비영리단체가순수하게해당단체의설립목적을실현하기위해웹사이트를개설하여운영하는경우는정보통신서비스제공자로보기어렵습니다. -또한정보통신서비스제공자는 전기통신사업자의전기통신역무를이용 해야하므로, 법인또는개인이자체적으로전기통신설비를갖추어자신의전기통신에이용하는경우는제외됩니다. - 정보를제공 한다함은각종정보를게시 전송 대여 공유하는등일련의정보제공행위를말합니다. 따라서인터넷웹사이트에광고를게재하거나미용, 관광, 영화, 뉴스등각종정보를제공하는것처럼일반적으로웹사이트를운영하는경우가이에해당됩니다. - 정보의제공을매개 한다함은정보를제공하려는자와제공받으려는자를연결시켜서비스제공이가능하도록하는것을말합니다. 전자우편서비스와 P2P 서비스를제공하는경우등이이에해당됩니다. m 종합적으로검토해보면, 영리목적의정보제공및정보제공매개자 는인터넷상에상업적인목적으로웹사이트를개설 운영하거나인터넷기반서비스를제공하는경우를의미합니다. 예를들어, 웹호스팅업체, 인터넷쇼핑몰업체, 경매 커뮤니티 미니홈피 블로그서비스제공자,P2P 등인터넷기반서비스제공사업자대부분이해당된다고할수있습니다. -그런데대형할인점과같이오프라인으로물품을판매하고유통하는서비스를제공하면서자사웹사이트의회원가입메뉴를통해개인정보를수집하는경우와같이오프라인으로서비스를제공하는동시에인터넷상에웹사이트를개설하여회원가입을통해개인정보를수집하는경우가있습니다. -이런경우, 정보통신망 ( 온라인 ) 을통해정보를제공또는매개한다면업종과상관없이정보통신서비스제공자의지위에해당한다고볼수있습니다. - 13 -
m 진입장벽이낮은인터넷서비스의특성상사업자의규모나회원수가천차만별일수있지만, 기업의업종이나규모, 법인이나사업자등록여부와는상관없이영리를목적으로인터넷사이트를운영하는사업자는모두정보통신망법의적용을받습니다. m 이밖에도 인터넷주소자원에관한법률 상의인터넷주소관리자 ( 법제 15 조제 2 항 ) 또한정보통신망법의적용대상이됩니다. (2) 정보통신서비스제공자등 m 정보통신서비스제공자등 이란정보통신서비스제공자와그로부터이용자의개인정보를제공받은자를말합니다. 개인정보를제공받은자는제공자의관리를받지않고자기책임하에제공받은목적범위내에서개인정보를이용하므로정보통신서비스제공자와유사한정도의의무를부담하게됩니다. < 근거법령 > 정보통신망법제25 조제1항정보통신서비스제공자와그로부터제24 조의2제 1항에따라이용자의개인정보를제공받은자 ( 이하 정보통신서비스제공자등 이라한다 ) 는제3자에게이용자의개인정보를수집 이용 제공 관리 파기등 ( 이하 취급 이라한다 ) 을할수있도록업무를위탁 ( 이하 개인정보취급이탁 이라한다 ) 하는경우에는다음각호의사항을모두이용자에게알리고동의를받아야한다. (3) 방송사업자에대한준용 m 개정정보통신망법은방송사업자에대해서정보통신서비스제공자가취해야할정보통신망법상의개인정보보호조치를준용하도록하였습니다 4). -이에따라준용되는방송사업자 ( 방송법 제2조제 3호가목부터마목까지와같은조제6호 제9호 제12 호및제14 호에해당하는자 ) 는다음표와같습니다. 4) 제 67 조 ( 방송사업자에대한준용 )1 방송법 제 2 조제 3 호가목부터마목까지와같은조제 6 호 제 9 호 제 12 호및제 14 호에해당하는자가시청자의개인정보를수집 이용또는제공하는경우에는제 22 조부터제 32 조까지를준용한다. 이경우 정보통신서비스제공자 또는 정보통신서비스제공자등 은 방송법 제 2 조제 3 호가목부터마목까지와같은조제 6 호 제 9 호 제 12 호및제 14 호에해당하는자 로, 이용자 는 시청자 로본다. - 14 -
분류지상파사업자종합유선방송사업자위성방송사업자방송채널사용사업자공동체라디오방송사업자중계유선방송사업자음악유선방송사업자전광판방송사업자전송망사업자 내용 지상파방송사업을하기위하여 방송법 제 9 조제 1 항의규정에 의하여허가를받은자 종합유선방송사업을하기위하여 방송법 제 9 조제 2 항의 규정에의하여허가를받은자 위성방송사업을하기위하여 방송법 제 9 조제 1 항의규정 에의하여허가를받은자 방송채널사용사업을하기위하여 방송법 제 9 조제 5 항의규정에 의하여등록을하거나승인을얻은자 공중선전력 10 와트이하로공익목적으로라디오방송을하기위 하여 방송법 제 9 조제 11 항의규정에의하여허가를받은자 중계유선방송사업을하기위하여 방송법 제 9 조제 2 항의 규정에의하여허가를받은자를말한다. 음악유선방송사업을하기위하여 방송법 제 9 조제 5 항의 규정에의하여등록을한자를말한다. 전광판방송사업을하기위하여 방송법 제 9 조제 5 항의규 정에의하여등록을한자를말한다. 전송망사업을하기위하여 방송법 제 9 조제 10 항의규정에 의하여등록을한자를말한다. (4) 수탁자에대한준용 m 수탁자에관하여는정보통신망법제22 조부터제24 조의2와 26 조부터제31 조까지를준용합니다.( 법제67 조제2항 ) -이에따라준용되는규정은구체적으로다음과같습니다. 제22 조 ( 개인정보의수집 이용동의등 ), 제23 조 ( 개인정보의수집제한등 ), 제23 조의2( 주민등록번호의사용제한 ), 제23 조의3( 본인확인기관의지정등 ) 제23 조의4( 본인확인업무의정지및지정취소 ), 제24 조 ( 개인정보의이용제한 ), 제24 조의2( 개인정보의제공동의등 ), 제26 조 ( 영업의양수등에따른개인정보의이전 ), 제26 조의2( 동의를받는방법 ), 제27 조 ( 개인정보관리책임자의지정 ), 제27 조의2( 개인정보취급방침의공개 ), 제27 조의3( 개인정보누출등의통지 신고 ), 제28 조 ( 개인정보의보호조치 ), 제28 조의2( 개인정보의누설금지 ), 제29 조 ( 개인정보의파기 ), 제30 조 ( 이용자의권리등 ), 제30 조의2( 개인정보이용내역의통지 ), 제31 조 ( 법정대리인의권리 ) - 15 -
(5) 이용자 m 정보통신망법에있는개인정보보호관련조항은기본적으로정보통신서비스제공자와 이용자 간의관계를규정하고있습니다. 여기서 이용자 는일반불특정다수가아닌정보통신서비스제공자가제공하는정보통신서비스를이용하는자를말합니다. -다시말해, 정보통신망법은정보통신서비스제공자가불특정다수의개인정보를수집 이용하는경우가아니라해당정보통신서비스 이용자 의개인정보취급과관련된사항을규정하는것입니다. < 근거법령 > 정보통신망법제 2 조제 1 항제 4 호 이용자 란정보통신서비스제공자가제공하는정보 통신서비스를이용하는자를말한다. m 예를들어, 이동통신회사는해당통신서비스나웹사이트에가입하여이동통신서비스나웹사이트의정보제공서비스를이용하는고객의개인정보를보호할의무가있습니다. -회원으로가입해서비스를이용하기이전에해당서비스의이용과관련해단순히상담을하거나일시적인이벤트에참여하는고객들역시사업자가제공하는정보통신서비스를이용하는것으로볼수있습니다. 그렇기때문에이러한고객역시 이용자 에해당된다고할수있습니다. m 또한 방송사업자 를 정보통신서비스제공자 또는 정보통신서비스제공자등 으로 간주하는법제 67 조에서는 시청자 를 이용자 로보고있으므로, 시청자역시 정보통신망법상이용자의권리를동일하게보장받는다고할수있습니다. 5. 다른법률과의관계 (1) 개인정보보호법 과의관계 m 개인정보보호법은공공 민간부문에포괄적으로적용되는일반법적인성격을가집니다. 따라서정보통신 금융등해당분야의개인정보보호에관한사항을규정하는정보통신망법, 신용정보보호법과같은개별법은개인정보보호법에대해특별법의지위에놓이게됩니다. 이렇게하나의사안에적용할수있는일반법과 - 16 -
특별법이있을경우, 특별법우선의원칙에따라정보통신망법과같은개별법이우선적용됩니다. -이에따라개인정보보호법제6조에서개인정보보호에관하여는정보통신망법, 신용정보보호법등특별법이우선적용됨을명시적으로규정하고있습니다. < 참고 > 개인정보보호법제6조 ( 다른법률과의관계 ) 개인정보보호에관하여는 정보통신망이용촉진및정보보호등에관한법률, 신용정보의이용및보호에관한법률 등다른법률에특별한규정이있는경우를제외하고는이법에서정하는바에따른다. -따라서정보통신망법의적용을받는정보통신서비스제공자는정보통신망법에따라개인정보보호조치를준수하여야합니다. 다만, 정보통신망법에는없지만개인정보보호법에있는규정에대해서는일반법인개인정보보호법에따라적용받게된다는점을주의해야합니다. -또한, 정보통신망법은정보통신서비스를이용하는 이용자 의개인정보보호의무를규정하고있습니다. 그런데일반적인정보통신서비스제공자는이용자외에도임직원, 주주, 제휴업체담당자등다양한정보주체의개인정보를수집 이용하는경우가많습니다. 이와같은 이용자 외정보주체의개인정보에대해서는정보통신서비스제공자도개인정보보호법에따른조치를하여야합니다. m 정보통신망법과개인정보보호법의추진체계등에대한주요한차이점은다음과 같으며, 차이점에대해서는조항별해설을통해살펴보도록하겠습니다. 구분정보통신망법개인정보보호법 법률성격방송통신분야를규율하는특별법공공 민간을포괄하는일반법 적용대상보호범위주요용어의차이 정보통신서비스제공자등 정보통신서비스제공자의서비스를 이용하는이용자의개인정보 개인정보취급방침 개인정보관리책임자 개인정보처리자 ( 공공기관, 법인, 단체및개인 ) 개인정보처리자에의해처리되는모든개인정보개인정보처리방침개인정보보호책임자 주관부서방송통신위원회행정안전부 지원기관한국인터넷진흥원한국인터넷진흥원, 한국정보화진흥원 - 17 -
(2) 다른 개별법 과의관계 m 정보통신망법의적용대상은앞서설명한바와같이전기통신사업자및영리목적으로정보통신서비스를제공하는정보통신서비스제공자와이용자의개인정보를제공받은자, 방송사업자, 수탁자입니다. -그러나제공하는용역과재화의종류에따라, 다른법률에개인정보보호와관련된조항이규정되어있을수있습니다. -이와같이정보통신망법이외의다른법률에서특별히개인정보보호관련사항을규정하고있는경우에는해당법률이적용됩니다. < 근거법령 > 정보통신망법제 5 조 ( 다른법률과의관계 ) 정보통신망이용촉진및정보보호등에 관하여는다른법률에서특별히규정된경우외에는이법으로정하는바에따른다. m 다시말해정보통신망법적용대상사업자의특정행위에대해규제하고있는법률이정보통신망법이외에도있을수있습니다. 이경우에는동일한사항에대해정보통신망법에규정이있더라도다른법률이우선적용됩니다. 단, 해당법률에서규정되지않은사항에대해서는정보통신망법이적용될수있습니다. -예를들어, 금융거래기록등신용정보의경우에는신용정보보호법에서일부개인정보보호관련사항을규정하고있습니다. 따라서은행등금융기관이웹사이트를통해금융거래서비스를제공하면서신용정보를처리하는경우신용정보보호법내의개인정보보호관련규정이우선적용됩니다. m 그러나정보통신망법은다른법률에서규정하지않은개인정보보호와관련한여러가지의조치사항을매우자세하게규정하고있습니다. -예를들어민간부문에서개인정보취급방침을수립하여웹사이트등에게시하도록하는사항은정보통신망법에서만규정하고있습니다. -이와같이다른법률에서규정하지않은사항에대해서는정보통신망법의규정을준수해야합니다. 위에서예로든금융기관의경우에도동의절차등은신용정보보호법의규정을따르되개인정보취급방침수립 게시등신용정보보호법에규정되지않은조항은정보통신망법의적용을받습니다. - 18 -
6. 정보통신망법의개인정보보호주요규정 m 정보통신망법에서개인정보보호와관련된규정및그주요내용은다음과 같습니다. 다음장에서는각조항별로조치해야하는사항을좀더구체적으로 살펴보겠습니다. < 정보통신망법의개인정보보호규정및주요내용 > 조항개인정보수집 이용동의 ( 제22 조 ) 개인정보수집제한 ( 제23 조 ) 주요내용 o 개인정보수집시개인정보의수집 이용목적, 수집하는개인정보항목, 개인정보의보유및이용기간을고지하고이용자동의를획득하도록규정 o 민감개인정보수집을금지하고서비스제공에필요한최소한의정보를수집하여야함을규정 민감정보 : 사상, 신념, 과거의병력 ( 病歷 ) 등개인의권리 이익이나사생활을뚜렷하게침해할우려가있는개인정보 o 정보통신서비스제공자는이용자주민등록번호의수집 이용불가 [ 개정 ] 주민번호의사용제한 ( 제23 조의2) 예외 1. 본인확인기관지정 2. 법령에서이용자주민등록번호의수집 이용을허용하는경우 3. 영업상목적을위하여불가피한정보통신서비스제공자로서방통위가고시하는경우 o 주민등록번호를수집 이용할수있는경우에도대체수단제공 개인정보의이용제한 ( 제24 조 ) 개인정보제공동의 ( 제24 조의2) 개인정보의 o동의받은개인정보수집목적과다른목적으로의이용금지 o이용자의개인정보를제3자에게제공시제공받는자, 제공받는자의이용목적, 제공하는항목, 제공받는자의보유및이용기간을고지하고이용자동의를획득하도록규정 o개인정보수집에대한동의는제3자제공및취급위탁에대한동의와구분하여받아야하고이에동의하지않는이유로서비스제공을거부하지않도록규정 o개인정보취급위탁시수탁자명, 위탁업무내용을고지하고이용자 - 19 -
조항취급위탁 ( 제25 조 ) 영업양수등개인정보의이전시조치 ( 제26 조 ) 주요내용동의를획득하도록규정 ( 단, 서비스계약의이행을위해필요한경우취급방침을통한공개, 이용자통지로고지 동의갈음 ) ( 통지방법 ) 전자우편, 서면, 모사전송, 전화또는이와유사한방법 o개인정보이전시통지방법과절차 이용범위를규정 ( 통지내용 ) 개인정보이전사실, 이전받는자의성명 주소 전화번호및그밖의연락처, 이전을원하지않는경우동의철회방법및절차 ( 통지방법 ) 전자우편, 서면, 모사전송, 전화등통지불가시홈페이지 30 일이상게시 o 개인정보수집매체, 업종의특성및이용자의수등에따른개인정보 수집 이용 제공등의동의를얻는방법규정 동의획득방법 ( 제 26 조의 2) 동의획득방법 ( 시행령제12 조 ) 1. 인터넷사이트에동의내용을게재하고이용자가동의여부표시 2. 동의내용이기재된서면을이용자에게직접교부하거나, 우편또는모사전송을통하여전달하고이용자가동의내용에대하여서명날인후제출 3. 동의내용이적힌전자우편을발송하여이용자가동의의의사표시가적힌전자우편을전송 4. 전화를통하여동의내용을이용자에게알리고동의를얻거나인터넷주소등동의내용을확인할수있는방법을안내하고재차전화통화를통하여동의를얻는방법 5. 개인정보수집매체의특성상동의내용을전부표시하기어려운경우, 이용자에게동의내용을확인할수있는방법 ( 인터넷주소 사업장전화번호등 ) 을안내하고동의획득 o 정보통신서비스제공자등은개인정보관리책임자를지정해야함 개인정보관리 책임자지정 ( 제 27 조 ) 자격요건 ( 각호중하나 )( 시행령제13 조 ) 1. 임원 2. 개인정보관련이용자의고충처리담당부서의장 다음조건에해당하는정보통신서비스제공자등이개인정보관리책임자를지정하지않은경우는사업주또는대표자가개인정보관리책임자가됨.( 상시종업원수가 5명미만 ( 인터넷으로정보통신서비스를제공하는것을주된업으로하는경우에는상시종업원수가 5명미만으로서전년도말기준으로직전 3개월간의일일평균이용자가 1천명이하 ) - 20 -
조항 주요내용 o 이용자의개인정보를취급하는정보통신서비스제공자등이개인정보 취급방침을이용자에게공개하도록규정 개인정보취급 방침공개 ( 제 27 조의 2) 7가지공개항목 1. 개인정보의수집 이용목적, 수집항목및방법 2. 제3 자제공시, 제공받는자의성명 이용목적, 제공하는개인정보항목 3. 개인정보의보유및이용기간, 파기절차및방법 4. 개인정보취급위탁시, 위탁업무의내용및수탁자 5. 이용자및법정대리인의권리와그행사방법 6. 인터넷접속정보파일등개인정보를자동으로수집하는장치의설치 운영및그거부에관한사항 7. 개인정보관리책임자의성명또는개인정보보호업무및관련고충사항처리부서의명칭, 그전화번호등연락처 공개방법 ( 시행령제14 조 ) 1. 인터넷홈페이지첫화면등에이용자가쉽게확인하도록표시 2. 점포 사무소안의보기쉬운장소에비치하여열람 3. 간행물 소식지 홍보지 청구서등에지속적으로게재 o 정보통신서비스제공자등은개인정보의분실 도난 누출 ( 누출등 ) 사실을안때해당이용자에게통지및방통위에신고 [ 신설 ] 개인정보 누출통지 신고 ( 제 27 조의 3) 통지사항 1. 누출등이된개인정보항목 2. 누출등이발생한시점 3. 이용자가취할수있는조치 4. 정보통신서비스제공자등의대응조치 5. 이용자의상담등을접수할부서및연락처 통지및신고가불가능한경우 ( 시행령 14 조의2) 통지에갈음하는조치 1. 누출등의항목이나발생시점부지 ( 不知 ): 그때까지확인된사항을이용자가취할수있는조치, 정보통신서비스제공자등의대응조치, 이용자의상담등을접수할부서및연락처와우선통지 신고및확인즉시추가통지 신고 2. 이용자연락처부지 : 인터넷홈페이지에 30 일이상게시 3. 천재지변기타홈페이지게시곤란 : 해당보급지역둘이상의일반일간신문에 1회이상공고 - 21 -
조항 주요내용 o개인정보보호를위한기술적 관리적조치사항을명기 1. 내부관리계획수립 2. 침입차단시스템등접근통제장치의설치 운영 3. 접속기록의위조 변조방지조치 4. 암호화기술등을이용한보안조치 5. 컴퓨터바이러스에의한침해방지조치 6. 그밖의안정성확보를위해필요한조치 내부관리계획포함사항 ( 시행령제15 조1) 1. 개인정보관리책임자의지정등개인정보보호조직의구성 운영에관한사항 2. 개인정보취급자의교육에관한사항 3. 제2항부터제5항까지의규정에따른보호조치를이행하기위하여필요한세부사항 [ 개정 ] 개인정보의보호조치 ( 제28 조 ) 접근통제장치설치 운영사항 ( 시행령제15 조2) 1. 개인정보를처리할수있도록체계적으로구성한데이터베이스시스템 ( 이하 " 개인정보처리시스템 " 이라한다 ) 에대한접근권한의부여 변경 말소등에관한기준의수립 시행 2. 개인정보처리시스템에대한침입차단시스템및침입탐지시스템의설치 운영 3. 개인정보처리시스템에접속하는개인정보취급자컴퓨터등에대한외부인터넷망차단 ( 전년도말기준직전 3개월간그개인정보가저장 관리되고있는이용자수가일일평균 100 만명이상이거나정보통신서비스부문전년도매출액이 100 억원이상인정보통신서비스제공자등 ) 4. 비밀번호의생성방법및변경주기등의기준설정과운영 5. 그밖에개인정보에대한접근통제를위하여필요한조치 접속기록위조 변조장비를위한조치사항 ( 시행령제15 조3) 1. 개인정보취급자가개인정보처리시스템에접속하여개인정보를처리한경우접속일시, 처리내역등의저장및이의확인 감독 2. 개인정보처리시스템에대한접속기록을별도저장장치에백업보관 개인정보의안전한저장 전송을위한보안조치사항 ( 시행령제15 조4) 1. 비밀번호및바이오정보 ( 지문, 홍채, 음성, 필적등개인을식별할수있는신체적또는행동적특징에관한정보를말한다 ) 의일방향암호화저장 - 22 -
조항 주요내용 2. 주민등록번호및계좌정보등금융정보의암호화저장 3. 정보통신망을통하여이용자의개인정보및인증정보를송신 수신하는경우보안서버구축등의조치 4. 그밖에암호화기술을이용한보안조치 컴퓨터바이러스에의한침해방지조치사항 ( 시행령제15 조5) -컴퓨터바이러스, 스파이웨어등악성프로그램의침투여부를항시점검 치료할수있도록백신소프트웨어를설치하고주기적으로갱신 점검해야함 개인정보의 누설금지 ( 제 28 조의 2) o 개인정보취급자의개인정보훼손 침해또는누설금지 o 개인정보이용목적달성, 개인정보의보유및이용기간종료, 사업 폐업시개인정보파기 [ 개정 ] 개인정보의파기 ( 제 29 조 ) o 정보통신서비스를 3년동안이용하지않은이용자의개인정보는파기등필요한조치 기간의예외 ( 시행령 16 조 ) 1. 다른법령에서별도의기간정하고있는경우 2. 이용자의요청에따라기간을달리정한경우 유효기간도래 30 일전까지파기되는사실, 일시, 해당개인정보의 항목을통지 ( 시행령 16 조 4) o 개인정보를제공한이용자의동의철회, 열람 정정요구권 이용자의권리 ( 제 30 조 ) 동의철회권 : 이용자는언제든지개인정보수집 이용 제공등에대한동의철회가능 열람 정정요구권 : 다음사항에대한열람 제공및오류정정요구가능 1. 정보통신서비스제공자등이보유한이용자의개인정보 2. 이용자개인정보이용및제3자제공현황 3. 개인정보수집 이용 제공등에동의를한현황 [ 신설 ] 개인정보 이용내역의통지 o 전년도말기준직전 3 개월간그개인정보가저장 관리되고있는 이용자수가일일평균 100 만명이상이거나정보통신서비스부문 - 23 -
조항 ( 제 30 조의 2) 주요내용전년도매출액이 100 억원이상인정보통신서비스제공자등은수집한이용자개인정보의이용내역을연1회이상주기적으로통지하도록규정 ( 시행령 17 조1) ( 통지내용 ) 개인정보의수집 이용목적및수집한항목, 제공받는자, 그제공목적및제공항목, 취급위탁한수탁자및그목적 ( 통지방법 ) 전자우편, 서면, 모사전송, 전화또는이와유사한방법 o 만 14 세미만아동에대한법정대리인의동의권 법정대리인의 권리 ( 제 31 조 ) 정보통신서비스제공자등이만 14 세미만의아동에게개인정보수집 이용 제공등의동의를받으려면그법정대리인의동의필요 법정대리인은해당아동의개인정보에대한동의철회, 열람 오류정정요구권리행사가능 손해배상 ( 제 32 조 ) o 이용자는정보통신서비스제공자이개인정보보호규정을위반한행 위로손해를입으면손해배상청구가능 고의 과실이없음에대한입증책임은정보통신서비스제공자에게있음 국외이전 개인정보의보호 ( 제 63 조 ) o 정보통신서비스제공자가이용자의개인정보를국외로이전시 이용자의동의및고지사항항목명시 - 24 -
Ⅱ. 개인정보수집 이용에대한이용자 동의획득의무 1. 개인정보수집시동의조치 2. 개인정보의목적외이용금지 3. 제3자제공및개인정보취급업무위탁시동의조치 4. 아동의개인정보수집시조치사항 5. 동의획득절차 6. 주민등록번호사용제한 7. 개인정보의수집제한
Ⅱ 개인정보수집 이용에대한이용자동의획득의무 1. 개인정보수집시동의조치 < 근거법령 > 정보통신망법제22 조 ( 개인정보의수집 이용동의등 )1 정보통신서비스제공자는이용자의개인정보를이용하려고수집하는때에는다음각호의모든사항에대하여이용자에게알리고동의를얻어야한다. 다음각호의어느하나의사항을변경하려는때에도또한같다 1. 개인정보의수집 이용목적 2. 수집하는개인정보의항목 3. 개인정보의보유 이용기간 2 정보통신서비스제공자는다음각호의어느하나에해당하는경우에는제1항에따른동의없이이용자의개인정보를수집 이용할수있다. 1. 정보통신서비스의제공에관한계약의이행을위하여필요한개인정보로서경제적 기술적인사유로통상의동의를받는것이현저히곤란한경우 2. 정보통신서비스의제공에따른요금정산을위하여필요한경우 3. 이법또는다른법률에특별한규정이있는경우 (1) 법규정취지 m 정보통신서비스제공자는이용자의 개인정보자기결정권 보장을위해회원가입등을통해개인정보수집시이용자의동의를얻어야합니다. -이용자에게동의를받을때는어떤개인정보를왜수집하고언제까지보유할것인지에대해알기쉽고명확하고인지할수있도록알려야합니다. (2) 사업자조치사항 m 이용자로부터개인정보를수집할때에는수집시점 ( 회원가입, 서비스가입등 ) 이전에이용자가 1수집 이용목적,2 수집하는개인정보의항목,3 개인정보의보유및이용기간등 3가지사항을명확히인지하고명시적으로동의할수있는절차를마련해야합니다. - 26 -
(3) 해설 가. 동의를얻어야하는경우 m 정보통신서비스제공자가서비스제공을위해이용자의개인정보를수집하려면정보통신망법제22 조제2항에따른 3가지사항들을이용자가사전에명확하게인지할수있도록알리고이용자로부터동의를얻어야합니다. -개인정보를수집하기위해이용자의동의를얻어야하는경우는아래의예와같으며, 이외에도정보통신망법적용대상사업자들이이용자의개인정보를수집할때에는반드시이용자의동의를얻어야합니다. < 개인정보를수집할때동의를얻어야하는경우의예 > 유 무선통신서비스가입 o 초고속인터넷서비스사업자혹은이동통신사업자가서비스가입을 위해가입자의정보수집등 정보통신 서비스 가입 웹사이트 회원가입 o온라인쇼핑몰, 게임, 포털사이트등영리목적의인터넷사이트운영자가이용자의회원가입정보수집 o은행, 증권사등금융기관이복권사이트등금융거래와는무관한사이트의회원가입이나운영을위해이용자의개인정보수집등 o오프라인에서서비스를주로제공하더라도웹사이트를통해이용자의회원가입정보수집등 온라인예약 상담 게시판 이벤트개최 o대출업체 보험회사등에서대출및보험가입상담을위해상담자 정보를인터넷홈페이지를통해수집 o 인터넷웹사이트에서고객문의사항및후기등에대한게시판 운영을위해게시자의성명, 연락처등수집 o 경품행사등이벤트에참여하는이용자들의개인정보수집 나. 동의를얻는방법 m 동의를얻으려면회원가입화면등개인정보를수집하는단계에서개인정보의수집 이용목적, 수집하는개인정보의항목, 개인정보의보유 이용기간을모두이용자에게알리고동의를받아야합니다. 또한동의를얻어야할사항은이용자가명확하게인지하고확인할수있도록표시해야합니다. - 27 -
1 개인정보의수집 이용목적 : 예 ) 본인확인, 고지사항전달, 물품배송 2 수집하는개인정보의항목 : 예 ) 이름, 전화번호, 접속내역 3 개인정보의보유 이용기간 : 예 ) 회원탈퇴등서비스목적달성후즉시파기 주의 : 중요사항을이용자가명확히인지할수있도록하고동의를받는것이 법률의취지이므로, 개인정보취급방침전문을게재하고일괄적으로동의를 얻는것은명시적인동의를받은것으로볼수없습니다. [ 이용자동의사항게재및동의방법의예 ] 1 회원가입 2 상담, 게시판 - 28 -
3 경품, 이벤트개최시 경품, 이벤트를위한개인정보수집 이용 개인정보수집 이용목적 : 경품당첨시본인확인과경품배송목적 수집하는개인정보의항목 : 성명, 휴대전화번호, 주소 개인정보의보유및이용기간 : 이벤트종료시 ( 경품당첨및배송완료후 ) 동의 동의하지않음 m 개인정보의수집및이용목적은이용자가명확히인지할수있도록상세하게안내해야합니다. -예를들어, 이용자의개인정보를텔레마케팅에활용하는경우단순히 텔레마케팅에활용 한다는식으로모호하게고지하는것은적합하지않습니다. 최대한자세하고구체적으로명시하여야합니다. m 수집및이용목적에대한동의를얻을때반드시고려해야할것은목적외이용금지에관한사항입니다. -정보통신망법제24 조 5) 에서는개인정보를이용자로부터사전에동의를얻은목적과는다른목적으로이용하는것을금지하고있습니다. 개인정보를이용자의동의없이다른목적에이용하면 5년이하의징역또는 5천만원이하의벌금형에처해지며매출액 100 분의 1이하에해당하는금액의과징금이부과될수있습니다. -그러므로최초의수집시점에수집및이용목적에대한부분을이용자가명확히이해할수있도록제시하고동의를얻는것이매우중요합니다. -개인정보의목적외이용금지에대해서는다음장에서자세히설명하도록하겠습니다. 다. 동의를얻지않아도되는경우 m 정보통신망법에서는개인정보를수집할때이용자의동의를얻지않아도되는 다음과같은예외사항을규정하고있습니다. 1 정보통신서비스의제공에관한계약의이행을위하여필요한개인정보로서경제적 기술적인사유로통상의동의를받는것이현저히곤란한경우 5) 제 24 조 ( 개인정보의이용제한 ) 정보통신서비스제공자는제 22 조및제 23 조제 1 항단서에따라수집한개인정보를이용자로부터동의받은목적이나제 22 조제 2 항각호에서정한목적과다른목적으로이용하여서는아니된다. - 29 -
위사항은이용자가요구하는정보통신서비스를제공하는과정에서과금정보, 통화사실기록 ( 도수 ), 접속로그 (log), 결제기록, 이용정지기록등의정보들과같이불가피하게생성되어발생하는정보에관한사항입니다. 이러한정보들은계약이행과정에서실시간으로생성되어수집되지만, 이용자에게매번고지하고동의를얻는것이경제적으로큰비용이들거나기술적으로통상의동의를받는것이현저히어려운경우가많아그예외를인정한것입니다. 이러한정보들을마케팅등의목적으로활용하려면 수집및이용목적 을통해개인정보의이용목적을이용자에게명시하고동의를얻어야합니다. 만약동의를얻지않고임의로이용하면목적외이용에해당되어과징금및형사처벌의대상이됩니다. 2 정보통신서비스의제공에따른요금정산을위해필요한경우 이용자의서비스이용에따른서비스별요금액, 납부또는미납한사실, 미납액등에 관한정보들은요금정산이완료될때까지이용자의동의여부와관계없이수집할 수있습니다. 3 이법또는다른법률에특별한규정이있는경우 이법또는다른법률에별도로개인정보의수집을규정한조항이있으면정보주체인 이용자의동의없이개인정보를수집할수있습니다. < 관련사례 > 정보통신망법제31 조 6) -정보통신서비스제공자등은만 14 세미만아동의개인정보수집등을위해법정대리인의동의를얻어야하는경우, 아동으로부터법정대리인의성명, 연락처등최소한의개인정보를수집할수있습니다. 전자상거래등에서의소비자보호에관한법률제21 조제1항제 6호 7) 가 ~ 라목 -전자상거래를행하는사업자또는통신판매업자는미성년자와의거래시법정대리인의동의여부를확인하기위한경우등에는본인의허락없이정보를수집 이용할수있습니다. 6) 제 31 조 ( 법정대리인의권리 )1 정보통신서비스제공자등이만 14 세미만의아동으로부터개인정보수집 이용 제공등의동의를얻고자하는경우에는그법정대리인의동의를얻어야한다. 이경우정보통신서비스제공자는그아동에게법정대리인의동의를얻기위하여필요한법정대리인의성명등최소한의정보를요구할수있다. - 30 -
(Tip) 정보통신망법제22 조제1항에규정된 3가지사항외에도개인정보를제3자에게제공하거나혹은개인정보취급을위탁처리하는하는경우에도개인정보를수집하려면반드시이용자의동의를얻어야합니다. 제3자제공및개인정보취급위탁에대해서는이번장의 3. 제3자제공및개인정보취급위탁시동의조치 에서, 그리고이용자의동의를받는세부적인절차에대해서는 5. 동의획득절차 를통해설명하도록하겠습니다. (4) 벌칙및행정처벌 m 개인정보의수집 이용목적등 3개사항에대한이용자의동의를얻지않고개인정보를수집한경우 -매출액의 1/100 이하의과징금 ( 법제64 조의3제 1항제 1호 ) 및 5년이하의징역또는 5천만원이하의벌금부과 ( 법제71 조제1호 ) (5) 개인정보보호법과의관계 m 개인정보보호법에서도정보주체의개인정보를수집하는경우정보주체의 동의를받도록규정하고있으나, 동의를받아야하는항목에차이가있습니다. < 근거법령 > 개인정보보호법제15 조 ( 개인정보의수집 이용 )1 개인정보처리자는다음각호의어느하나에해당하는경우에는개인정보를수집할수있으며그수집목적의범위에서이용할수있다. 1. 정보주체의동의를받은경우 2 개인정보처리자는제1항제 1호에따른동의를받을때에는다음각호의사항을정보주체에게알려야한다. 다음각호의어느하나의사항을변경하는경우에도이를알리고동의를받아야한다. 1. 개인정보의수집 이용목적 2. 수집하려는개인정보의항목 3. 개인정보의보유및이용기간 4. 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 7) 제 21 조 ( 금지행위 )1 전자상거래를행하는사업자또는통신판매업자는다음각호의 1 에해당하는행위를하여서는아니된다.6. 본인의허락을받지아니하거나허락받은범위를넘어소비자에관한정보를이용하는행위. 다만, 다음각목의 1 에해당하는경우를제외한다./ 가. 재화등의배송등소비자와의계약의이행에불가피한경우로서대통령령이정하는경우 / 나. 재화등의거래에따른대금정산을위하여필요한경우 / 다. 도용방지를위하여본인확인에필요한경우로서대통령령이정하는경우 / 라. 법률의규정또는법률에의하여필요한불가피한사유가있는경우 - 31 -
m 따라서정보통신서비스제공자는정보통신망법에따른동의획득사항이외에도 개인정보보호법에의한 동의거부권에대한사실및동의거부시불이익내용 에 대해서도동의를받는것이좋습니다. < 동의획득시필요사항 > 정보통신망법 개인정보보호법 개인정보의수집 이용목적 수집하는개인정보의항목 좌동 개인정보의보유 이용기간동의거부권에대한사실및동의거부시별도규정없음불이익내용 정보통신서비스제공자가동의받아야하는사항음영표시 - 32 -
2. 개인정보의목적외이용금지 < 근거법령 > 정보통신망법제24 조 ( 개인정보의이용제한 ) 정보통신서비스제공자는제22 조및제23 조제1항단서에따라수집한개인정보를이용자로부터동의받은목적이나제22 조제2항각호에서정한목적과다른목적으로이용하여서는아니된다. (1) 법규정취지 m 사업자가이용자의개인정보를이용할때에는이용자의동의를얻어야하고, 동의를받은목적으로만개인정보를이용해야합니다. 또한, 수집한이후에추가적으로이용목적이발생했거나수집및이용목적이바뀌었다면이용자에게별도로동의를받아야합니다. -그런데정보통신망법에는이용자의동의없이개인정보를수집할수있도록규정한부분이있습니다. 이와같은개인정보들은동의를얻지않았기때문에이용자가동의한범위내에서수집및이용목적을정하기가어렵습니다. -따라서개인정보를수집하면서법률상동의를얻지않아도되는예외사항의경우에는해당정보를동예외사유에만제한적으로이용하도록명시적으로규정한것입니다. (2) 사업자조치사항 m 개인정보는동의를받은수집및이용목적안에서만활용 m 법제 22 조제 2 항각호 8) 에의해동의를얻지않은경우에는해당예외조항 범위안에서만활용 m 추가적인수집및이용목적이발생하는등이용자의동의를얻은수집및 이용목적이변경되는경우에는별도의동의를받음 8)1 정보통신서비스의제공에관한계약을이행하기위하여필요한개인정보로서경제적 기술적인사유로동의를얻는것이현실적으로어려운경우 2 정보통신서비스의제공에따른요금정산을위하여필요한경우 3 이법또는다른법률에특별한규정이있는경우 - 33 -
(3) 해설 가. 사전에이용자에게동의를얻는경우 m 대부분은개인정보를수집하는최초의시점에동의를받습니다. 사업자는이용자에게동의를얻은범위안에서만개인정보를이용해야합니다. -그러나개인정보를수집 이용하는과정에서수집및이용범위가추가되거나확대될수있습니다. -이러한경우에는법제22 조제1항의규정에의한방법으로다시이용자에게동의를얻어야합니다. m 동의의목적이변경되거나추가되어동의를추가적으로얻어야하는경우는다음과같은사례가있습니다. -상품배송을목적으로수집한개인정보를사전에동의받지않은자사상품의통신판매광고에이용 -고객만족도조사, 판촉행사, 경품행사에응모하기위해수집한개인정보를자사의할인판매행사안내용광고물발송에이용 -A/S 센터에서고객불만및불편사항을처리하기위해수집한개인정보를자사의신상품광고에이용 -회원가입을위해제공한정보를회원가입과무관한우편주문판매에이용등 나. 사전에이용자에게동의를얻지않는경우 m 법제22 조제2항에서는이용자의동의없이도개인정보를수집할수있는예외조항을규정하고있습니다. -1 정보통신서비스의제공에관한계약을이행하기위하여필요한개인정보로서경제적 기술적인사유로동의를얻는것이현실적으로어려운경우,2 정보통신서비스의제공에따른요금정산을위하여필요한경우,3 이법또는다른법률에특별한규정이있는경우에는이용자의동의를받지않고개인정보를수집할수있기때문에그수집및이용목적범위를명확히규정하기가어렵습니다. 이런경우에는규정한범위안에서만이용자의개인정보를이용해야합니다. - 34 -
m 예외사항을더자세하게살펴보겠습니다. 1 정보통신서비스의제공에관한계약을이행하기위해필요한개인정보로서경제적 기술적인사유로동의를얻는것이현실적으로어려운경우 제1호에서규정하고있는개인정보들은통화기록, 접속로그, 결제기록등서비스이용과정에서실시간자동적으로생성되는정보로앞서설명한바있습니다. 이와같은정보들은 정보통신서비스제공에관한계약의이행 을위한목적에한해서만이용해야합니다. 예를들어통화기록은이용자가유선 무선전화를이용하면서실시간으로생성되는정보들입니다. 이정보들은동의없이수집이가능하지만반드시유선이나무선통신서비스제공을위해서만이용되어야합니다. 통화기록을분석해서새로운상품을개발한다든지마케팅에활용하고자한다면반드시이용자에게별도로동의를받아야합니다. 2 정보통신서비스의제공에따른요금정산을위해필요한경우 요금정산을위해수집한요금액, 납부또는미납사실등에관한개인정보는 반드시요금정산의목적으로만활용해야합니다. 3 이법또는다른법률에특별한규정이있는경우 정보통신망법또는다른법률에서해당개인정보를특정목적으로이용하도록규정했다면이용자의동의없이도해당목적내에서개인정보를이용할수있습니다. (4) 벌칙및행정처벌 m 다른목적으로개인정보를이용한경우 - 매출액의 1/100 이하의금액을과징금으로부과하고 ( 법제 64 조의 3 제 1 항제 3 호 ), 5 년이하의징역또는 5 천만원이하의벌금을부과 ( 법제 71 조제 3 호 ) m 다른목적으로개인정보를이용하는사정을알고도영리또는부정한목적 으로개인정보를제공받은자 -5 년이하의징역또는 5 천만원이하의벌금을부과 ( 법제 71 조제 3 호 ) - 35 -
(5) 개인정보보호법과의관계 m 개인정보보호법에서는수집목적의범위를초과하여이용및제3자제공을하여서는안된다고명시하고, 동의를얻지않아도되는항목에대해서도정보통신망법에비해상세하게규정하고있지만, 정보통신망법에개별규정이있어이를우선적용하게되므로정보통신서비스제공자는정보통신망법규정에따라개인정보의목적외이용제한의무를준수해야합니다. < 근거법령 > 개인정보보호법제 18 조 ( 개인정보의이용ㆍ제공제한 )1 개인정보처리자는개인정보를제 15 조제 1 항에따른범위를초과하여이용하거나제 17 조제 1 항및제 3 항에따른범위를초과하여제 3 자에게제공하여서는아니된다. 2 제 1 항에도불구하고개인정보처리자는다음각호의어느하나에해당하는경우에는정보주체또는제 3 자의이익을부당하게침해할우려가있을때를제외하고는개인정보를목적외의용도로이용하거나이를제 3 자에게제공할수있다. 다만, 제 5 호부터제 9 호까지의경우는공공기관의경우로한정한다. 1. 정보주체로부터별도의동의를받은경우 2. 다른법률에특별한규정이있는경우 3. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 4. 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인정보를제공하는경우 5. 개인정보를목적외의용도로이용하거나이를제 3 자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 6. 조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 7. 범죄의수사와공소의제기및유지를위하여필요한경우 8. 법원의재판업무수행을위하여필요한경우 9. 형 ( 刑 ) 및감호, 보호처분의집행을위하여필요한경우 3 개인정보처리자는제 2 항제 1 호에따른동의를받을때에는다음각호의사항을정보주체에게알려야한다. 다음각호의어느하나의사항을변경하는경우에도이를알리고동의를받아야한다. 1. 개인정보를제공받는자 2. 개인정보의이용목적 ( 제공시에는제공받는자의이용목적을말한다 ) 3. 이용또는제공하는개인정보의항목 4. 개인정보의보유및이용기간 ( 제공시에는제공받는자의보유및이용기간을말한다 ) 5. 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는 - 36 -
< 근거법령 > 그불이익의내용 4 공공기관은제 2 항제 2 호부터제 6 호까지, 제 8 호및제 9 호에따라개인정보를목적외의용도로이용하거나이를제 3 자에게제공하는경우에는그이용또는제공의법적근거, 목적및범위등에관하여필요한사항을행정안전부령으로정하는바에따라관보또는인터넷홈페이지등에게재하여야한다. 5 개인정보처리자는제 2 항각호의어느하나의경우에해당하여개인정보를목적외의용도로제 3 자에게제공하는경우에는개인정보를제공받는자에게이용목적, 이용방법, 그밖에필요한사항에대하여제한을하거나, 개인정보의안전성확보를위하여필요한조치를마련하도록요청하여야한다. 이경우요청을받은자는개인정보의안전성확보를위하여필요한조치를하여야한다. - 37 -
3. 제 3 자제공및개인정보취급업무위탁시동의조치 < 근거법령 > 정보통신망법제24 조의2( 개인정보의제공동의등 )1 정보통신서비스제공자는이용자의개인정보를제3자에게제공하려는경우제22 조제2항제 2호및제3호의규정에해당하는경우를제외하고는다음각호의모든사항에대하여이용자에게알리고동의를얻어야한다. 다음각호의어느하나의사항이변경되는경우에도또한같다. 1. 개인정보를제공받는자 2. 개인정보를제공받는자의개인정보이용목적 3. 제공하는개인정보의항목 4. 개인정보를제공받는자의개인정보보유및이용기간 2 제1항의규정에따라정보통신서비스제공자로부터이용자의개인정보를제공받은자는당해이용자의동의가있거나다른법률에특별한규정이있는경우를제외하고는개인정보를제3자에게제공하거나제공받은목적외의용도로이용하여서는아니된다. 정보통신망법제25 조 ( 개인정보의취급위탁 )1 정보통신서비스제공자와그로부터제24 조의2제 1항의규정에따라이용자의개인정보를제공받은자 ( 이하 ' 정보통신서비스제공자등 ' 이라한다 ) 는제3자에게이용자의개인정보를수집 보관 처리 이용 제공 관리 파기등 ( 이하 ' 취급 ' 이라한다 ) 을할수있도록업무를위탁 ( 이하 ' 개인정보취급위탁 ' 이라한다 ) 하는경우에는다음각호의사항모두에대하여이용자에게알리고동의를얻어야한다. 다음각호의어느하나의사항이변경되는경우에도또한같다. 1. 개인정보취급위탁을받는자 ( 이하 ' 수탁자 ' 라한다 ) 2. 개인정보취급위탁을하는업무의내용 2 정보통신서비스제공자등은정보통신서비스의제공에관한계약의이행을위하여필요한경우로서제1항각호의사항모두를제27 조의2제 1항의규정에따라공개하거나전자우편등대통령령이정하는방법에따라이용자에게통지한경우에는개인정보취급위탁에따른제1항의고지및동의절차를거치지아니할수있다. 제1항각호의어느하나의사항이변경되는경우에도또한같다. 3 정보통신서비스제공자등은개인정보취급위탁을하는경우에는수탁자가이용자의개인정보를취급할수있는목적을미리정하여야하며, 수탁자는이목적을벗어나서이용자의개인정보를취급하여서는아니된다. 4 정보통신서비스제공자등은수탁자에대하여이장의규정을위반하지아니하도록관리 감독하여야한다. 5 수탁자가개인정보취급위탁을받은업무와관련하여이장의규정을위반하여이용자에게손해를발생시킨경우에는그수탁자를손해배상책임에있어서정보통신서비스제공자등의소속직원으로본다. - 38 -
(1) 법규정취지 m 사업자가업무제휴, 공동마케팅등을위해개인정보를제3자에게제공하는것은개인정보보호의측면에서볼때이용자로부터사전에동의를얻은개인정보의수집 이용범위를벗어나는것입니다. -이용자의개인정보가서비스를제공받기로계약한정보통신서비스제공자가아닌제3자에게제공되고이용되는등개인정보에접근하여취급할수있는자의범위가확대되어개인정보의유출및침해위험또한증가하기때문입니다. m 따라서사업자가개인정보를제 3 자에게제공할때에는정보주체가개인정보 제공에대한사실을명확히인지하고그제공여부를이용자스스로선택할수 있도록법률에서규정하고있는것입니다. m 이와같은관점에서, 사업자가제3의기관에자사의개인정보취급업무를위탁하는행위는원칙적으로제3자제공에해당하여개인정보침해가능성이있습니다. -그러나기업이경영효율성제고, 서비스품질향상등을위해다수의업무를아웃소싱하는것이요즘의사회 경제적추세이므로해당사항이발생할때마다이용자의동의를얻는것은현실적으로어려운측면이있습니다. 예를들어, 통신회사들은초고속인터넷서비스개통을위해서전국각지의설치대리점에가입자정보를제공하고있습니다. 이설치업체들은초고속인터넷서비스본사가아닌외부의수탁업체이므로이들업체로하여금가입자로부터일일이동의를얻게하는것은현실적으로기업에게도곤란하고상당한부담을주게됩니다. -또한정보통신망법제25 조제4항은위탁업무를주는본사로하여금수탁업체의개인정보보호에대해관리 감독을하도록별도로규정하고있으므로, 제3자제공과위탁을동일한수준으로규제하는것은다소과하다고할수있습니다. -따라서개인정보취급위탁업무에대해정보통신망법에서는제3자제공에비해상대적으로용이한동의획득절차를별도로규정하고하고있습니다. m 다시말해개인정보의취급업무를위탁하거나개인정보를제 3 자에게제공하는 경우는모두이용자가믿고신뢰한정보통신서비스제공자가아닌제 3 자에게 개인정보가제공되는것이지만, - 39 -
- 오늘날많은사업자들이업무효율을극대화하고전문화하기위해다양한 형태의위탁을행하고있으므로위탁업무의경우에는제 3 자제공과는별도로 상이한법적의무를규정하고있는것입니다. (2) 사업자조치사항 개인정보제 3 자제공시 개인정보취급위탁시 1개인정보를제공받는자,2 제공받는자의 1수탁업체명 2수탁업무내용을알리고동의개인정보이용목적,3 제공하는개인정보항목, -단, 서비스이용계약의이행을위해필요한 4제공받는자의개인정보보유및이용기간을경우에는개인정보취급방침에공개하거나이용자에게알리고동의이용자에게개별통지 가. 개인정보를제 3 자에게제공할경우 m 사업자는이용자의개인정보를제 3 자에게제공하는경우동의받을사항을 명확히설명하여이용자스스로개인정보의제 3 자제공에대한사항을충분히 인지하고동의할수있도록조치해야합니다. m 이용자의개인정보를제3자에게제공하는경우 1개인정보를제공받는자, 2제공받는자의개인정보이용목적,3 제공하는개인정보항목,4 제공받는자의개인정보보유및이용기간등 4가지항목을이용자에게알리고동의를얻어야합니다. -다시말해 1누구에게 2어떤이유로 3무엇을제공하였고,4 제공받은자는제공받은개인정보를언제까지보유하는지를이용자에게알리고동의를얻어야합니다. -또한, 동의를받은사항중어느하나의사항이변경되는경우에도별도로동의를받아야합니다. - 40 -
< 개인정보제 3 자제공동의획득예시 > m 제3자는이용자로부터동의를얻어개인정보를수집한기업이외의모든개인 법인 조직을뜻합니다. 계열사이거나본사로부터분리되어설립된조직일지라도별도의법인이라면제3자로볼수있습니다. -다만, 인수 합병과정에서의영업양수인이나인수합병회사는양도인, 피인수회사및피합병회사의권리의무를포괄적으로승계한자이므로제3자로보지않습니다. 따라서인수 합병에따라개인정보가다른곳으로이전된다는사실에대해이용자에게동의를받을의무는없습니다. 그러나영업양도 양수사실에대해이용자에게통지할의무는발생하는데, 이에대해서는 Ⅲ. 개인정보보호조치의무 의 7. 영업양수 양도시조치사항 을통해다시설명하도록하겠습니다. 나. 개인정보의취급업무를위탁하는경우 m 정보통신서비스제공자등이제3자에게개인정보취급 ( 수집 보관 처리 이용 제공 관리 폐기등 ) 업무를위탁하여처리할경우,1 개인정보취급을위탁받는자 ( 수탁자 ) 와 2개인정보취급위탁의업무내용에대해이용자에게고지하고동의를얻어야합니다 ( 법제25 조제1항 ). -다시말해, 제3자제공과는다르게개인정보를 1누구에게 2왜주는지에대해서만이용자에게알리고동의를얻으면됩니다. - 41 -
< 개인정보취급위탁동의예시 > m 다만, 정보통신서비스제공에관한계약의이행을위하여필요한경우에는당해위탁업무의내용및수탁자를이용자가언제든지확인할수있도록개인정보취급방침에공개하거나, -전자우편 서면 모사전송 전화또는이와유사한방법 ( 시행령제10 조 ) 으로이용자에게통지하는것으로이용자에게동의를얻어야하는의무를대신할수있습니다 ( 법제25 조제2항 ). -이용자에게서비스를제공하기위해어쩔수없이발생하는위탁에대해서는 1누구에게 2왜주는지에대해서이용자가알도록조치하면되고, 별도로동의를받을필요는없습니다. m 수탁업체가많을지라도해당수탁업체명을모두열거하여동의 ( 법제25 조제1항 ) 를얻거나공개 통지 ( 법제25 조제2항 ) 를하여야합니다. -특히동의를얻어야하는수탁업체는관련업체명을동의절차에모두명시하고이용자가동의할수있도록조치해야합니다. -다만서비스이용계약의이행을위해반드시필요한위탁으로서단순공개 통지로갈음할수있는경우에수탁업체는수백에서수천개에달할수있습니다 ( 예 : 이동통신사대리점 ). 이경우에는대표수탁업체명과업체수를기재하되링크 ( 웹사이트 ) 를통해상세내역을이용자가언제든지확인할수있도록조치해야합니다. - 42 -
( 예시 ) 통신망의설치 개통,A/S, 동의철회시장비의회수등 :OOO 통신등총 1181 개 - 수탁업체나위탁업무가변경될때에도동의혹은공개 통지절차등의조치를 해야합니다 ( 법제 25 조제 2 항 ). 단, 수탁업체가변경되지않고동일한업체가단순히상호를변경한경우에는 변경사항에대해별도의조치를취할필요는없습니다. < 참고 > 동의, 통지, 공개 게시의구분 -정보통신망법에는이용자가조치해야하는여러가지사항들이규정되어있습니다. -어떤경우에는이용자에게고지를하고동의를얻어야하고, 어떤경우에는통지로갈음할수있으며, 단순안내만하면되는경우도있습니다. 각각의조치사항은다르지만, 이용자와연락을한다는측면에서유사하게느껴질수있습니다. -이에, 동의 통지 공개 게시에대한방법상의차이점을설명하도록하겠습니다. -참고로여기서는회원가입을한후에추가적으로동의받는경우에대해서설명하겠습니다. 최초가입을하는경우에는이용자에게법률에규정된사항을이용자가쉽게이해할수있도록 고지 하고이에대한 동의 를받아야합니다. -( 동의 ) 동의는이용자와 1개별적으로연락을하여야하고 2반드시이용자로부터회신등의피드백을받아야하는것입니다. 개인정보의최초수집이후에이용목적확대, 제3자제공등으로추가적인동의를얻으려면전화, 이메일주소, 우편등을통해개별적으로연락을하고회신을받아야합니다. -( 통지 ) 통지는이용자와 1개별적으로연락을하여야하지만 2회신등의피드백을받을필요는없는것입니다. 대표적인것으로는영업양도 양수사실을이용자에게통지하는경우등이해당되는데, 이경우에는전화, 이메일주소, 우편등을통해해당사실을알리기면하면되고별도로회신을받을필요는없습니다. -( 공개 게시 )1 개별적인연락처를활용할필요도없고 2회신을필요로하지도않는것입니다. 인터넷웹사이트의공지사항코너등이용자가서비스를이용하면서쉽게확인할수있는곳에해당정보를게시하는것등이이에해당됩니다. 다만, 개인정보취급방침과같이게시장소가법률로써특별히지정된경우도있습니다. - 43 -
< 동의 통지 공개 / 게시안내방법의비교 > 구분요건예시 ( 추가 ) 동의 통지 ( 알림 ) 공개 게시 o 최초동의를받은사항외로수집 이용목적확대, 추가적인제 3 자제공및위탁처리등이발생한경우 o 이용자의개별연락처를활용하여해당내용을전송한후적극적인동의의사가표시된회신을받아야함 o 영업양수 양도가발생한경우 o 개인정보취급위탁사실을통지 ( 서비스이용계약이행을위해필요한경우에만해당, 공개로갈음가능 ) o 이용자의개별연락처를활용하되회신을받을필요는없음 o 개인정보취급위탁사실공개 ( 서비스이용계약이행을위해필요한경우에만해당, 통지로갈음가능 ) o 개인정보취급방침공개 o 영업 양도양수사실게시 o 이용자의연락처를활용할필요는없으며해당서비스이용과정에서이용자가파악할수있도록조치 o 회원을대상으로동의받은목적외로텔레마케팅을실시하고자하는경우 o 서비스를제공하는과정에서다른업체와제휴하여추가적인서비스를제공하는경우 o 전자우편, 서면, 팩스등을통해동의서전송후동의의사가표시된자료를회신받음 o 전화로동의사항설명후구두로동의획득등 o 운영하고있던웹사이트를다른업체로양도하는경우 ocs 센터운영업체가변경된경우 o 전자우편, 서면, 우편, 팩스등을통해해당사항전송등 o 상품발송위탁업체가변경되는경우 o 개인정보취급방침및그변경내역을공개 o 운영하고있던웹사이트를다른업체로양도하는경우 o 홈페이지공지사항혹은팝업창게시등 (3) 해설 가. 위탁과제 3 자제공의구분 m 위탁과제3자제공은이용자로부터동의를통해수집한개인정보가해당사업자가아닌외부로제공된다는점에서는유사해보이지만, 본질적으로차이가있으므로이를구분하고각각의개념을이해하여야합니다. 이에위탁과제3자제공의차이점을중점적으로설명하도록하겠습니다. - 44 -
m 위탁이란자신의업무와직 간접적으로관련된업무의일부를타인 ( 제3자 ) 에게그책임과권한을행하도록하는것을말합니다. 따라서자신의업무와직 간접적으로관련이없는사항은위탁으로볼수없습니다. -즉, 개인정보의제3자제공은 ' 제공받는측의사업목적 ' 을위해개인정보가제공되는경우로볼수있는반면위탁은 ' 제공하는측의사무처리 ' 를위한경우로구분할수있습니다. 예를들어, 인터넷게임사이트가고객센터운영을위해외부업체와계약을맺고고객정보를제공하는것은개인정보취급위탁업무로볼수있습니다. 그러나게임사이트가보험회사와업무제휴계약을맺고보험 TM 업무를위해개인정보를제공하는것은게임사이트본래의계약목적인인터넷게임서비스제공과는전혀무관합니다. 이는오로지보험회사의상품판매라는사무처리를위해활용되는것이므로제3자제공으로보아야합니다. m 위탁업무에서개인정보의이용과제공은이용자가계약한서비스를제공하는데수반되는업무의일부를다른업체가수행하는과정에서발생하며, -제3자제공에서는당초이용자와계약한정보통신서비스를위한개인정보이용외에개인정보를제공받은제3자와이용자사이에서별도의개인정보이용행위가발생하는것입니다. m 이를종합하면, 개인정보취급위탁과제3자제공은모두개인정보가동의를받은사업자에게서다른사람 ( 제3자 ) 에게이전되거나공동으로이용하게된다는측면에서는동일합니다. -그러나개인정보취급위탁의경우에는정보통신서비스제공자의개인정보취급을목적으로개인정보가제3자 ( 수탁자 ) 에게이전되지만, 제3자제공은그제3자의업무를처리할목적및그제3자의이익을위해서개인정보가이전된다는점이다릅니다. 또한, 취급위탁의경우에는위탁자의관리 감독을받지만, 제3자제공은개인정보가제공된이후에는제3자가자신의책임하에개인정보를처리하게되며, 제공자의관리 감독권이미치지않습니다. - 45 -
< 위탁및제 3 자제공의예 > 업무위탁 제 3 자제공 고지업무동의업무 o고객불만접수처리등민원및서비스안내대응을위한고객센터아웃소싱 o대리점등외부영업망을통한개인정보의수집 o 통신회사가 보험 영업 o이용자가신청한부가서비스제공및운영등을위해부가서비스업체에개인정보가제공되는경우 o수집한가입신청서의전산입력아웃소싱 o고객정보 DB 및고객정보처리시스템구축및운영 관리등전산아웃소싱 TM 에이용하도록고객정보를보험사에제공 o포털사이트가자회사인온라인쇼핑몰사이트의 TM 에이용하도록전체 o요금고지서발송대행 회원 정보를 자회사에 o물품배송및서비스 A/S 아웃소싱 제공 o이벤트당첨고객에대해경품배송위탁등 o인터넷기업이보험회사와 공동으로이벤트를개최 o 자사상품홍보를위한텔레마케팅등을위탁하는경우 ( 예 : 초고속인터넷사업자가자사의인터넷전화, IPTV, 결합상품등을홍보 ) o 초고속인터넷사업자가 PC 보안서비스및유해매체 하여응모한고객정보를카드판촉활동에이용하도록카드회사에제공등 차단등자사명의의부가적인서비스가입을위한 텔레마케팅을위탁하는경우등 m 개인정보취급위탁은본사의업무를외부에용역을주어수행하는과정에서개인정보수집, 보관, 처리, 이용, 제공, 관리, 파기등의취급업무가수반되는경우를말합니다. -통상적으로본사와수탁업체간에는용역계약혹은위탁계약을맺는경우가빈번하나계약의형태나명칭과는무관하게실제로본사의업무를제3의업체가수행하는과정에서개인정보취급이발생하는지가관건이됩니다. 나. 위탁업무의구분 m 이용자에게동의를얻어야하는위탁업무 ( 법제 25 조제 1 항 ) 와단순히공개 통지 ( 법제 25 조제 2 항 ) 로갈음할수있는위탁업무를구분하여설명하도록하겠습니다. - 46 -
( 가 ) 공개 통지로처리가능한위탁업무 m 이용자와계약을맺은서비스를제공하기위해불가피하게발생하는위탁업무의경우, 이용자가위탁업무의내용및수탁자를알수있도록개인정보취급방침에공개하거나통지하는것으로동의를얻었다고갈음할수있습니다. -서비스제공을위해불가피하게발생하는위탁업무란, 위탁하고자하는업무를처리하지못하면이용자가요청한서비스를제공하기가어려운경우를말합니다. -예를들어, 특정온라인쇼핑몰에서는효율적인물품배송을위해 A 배송업체와계약을맺어배송업무를위탁하여처리하고있습니다. 배송업무를위탁하는과정에서주문자와수취인의개인정보들의취급또한위탁되고있습니다. 만약이용자가해당배송업체에대한개인정보취급위탁을거부한다면이용자는원활한물품배송을받을수없어요청한서비스를제공받을수없게됩니다. 이와같은경우에는 물품배송업무 는 서비스제공을위해불가피하게발생하는위탁업무 로볼수있습니다. m 이처럼동의를얻지않고개인정보취급방침에공개하거나통지하는것으로동의를갈음할수있는위탁업무의예는다음과같습니다. -초고속인터넷서비스가입계약을맺은경우통신망개통,A/S 등초고속인터넷서비스제공을위해불가피하게발생한업무위탁 -온라인쇼핑몰이이용자와계약을맺은물품판매서비스를완료하기위해불가피하게발생하는물품배송업무위탁 -고객정보취급을위한전산시스템구축및유지 보수를 SI 업체에아웃소싱 -고객의불만처리접수및서비스안내등을위해고객응대센터 ( 콜센터 ) 를외부업체에위탁 -이용자에게제공하고있는서비스품질평가를위해리서치업체에고객정보를제공하는경우 -웹사이트회원가입시본인확인을위해신용평가사등에개인정보를제공하는행위 -온라인을통해제공하는유료서비스결제를위해결제대행사 (PG) 에개인정보를제공하는행위 - 47 -
( 나 ) 이용자의동의를얻어야하는위탁업무 m 이용자와계약한주요서비스제공과는무관한부가적인업무를처리하기위해개인정보취급을위탁하는것은그성격이개인정보제3자제공과큰차이가없으므로원칙적으로이용자의동의를얻어야합니다. -이용자의동의를얻은위탁업무의경우에도동의를얻는절차를조치하는것외에개인정보취급방침을통해이용자에게안내하여야합니다. -세부적인동의획득절차에대해서는이번장의 5. 동의획득절차 에서설명하도록하겠습니다. m 관련사례 -일시적인이벤트혹은경품행사의운영업무를홍보대행사에아웃소싱하는경우 -포털사이트내맞춤형온라인광고를위해포털사이트운영사가온라인광고아웃소싱업체에회원정보를제공하는경우 -상기위탁업무에대해이용자로부터동의를획득하는업무를위탁하는경우 부가서비스에대한자사업무판단기준 ( 개인정보분쟁조정위원회 2004) 1 당해부가서비스가본래의통신서비스에부수되어시행되는지 2 개인정보제공이당해통신사업자의부가서비스제공에한정되는지 3 부가서비스가당해통신사업자의고객에한정하여시행되는지 4 통신사업자 명의 로부가서비스가시행되는지 부가서비스란? 본래의서비스를제공하는과정에서함께제공되는서비스로서동가이드에서는본래서비스제공사업자외제3의사업자가개발하여운영하는서비스를본래사업자가제공하는경우를뜻합니다. 통상적으로초고속인터넷서비스의경우에는유해정보차단서비스,PC 보안서비스등이부가서비스에해당됩니다. - 48 -
(Tip1) 판촉활동활성화등을위해많은기업에서일정기간에걸쳐이벤트를개최합니다. 이벤트는서비스제공과직접적인관련이없어 동의를받아야하는위탁 으로볼수있으나, 이용자가회원으로가입하는시점에이벤트의개최여부및시기가정해지는것은아니므로회원가입이전에동의를받기가어렵습니다. 이러한경우에는이벤트팝업창및응모화면에위탁업체명, 위탁업무명을명시하고동의를구하는방법으로조치할수있습니다. (Tip2) 개인정보취급업무자체를외부업체에위탁하지않고외부업체로부터인력을파견받아활용할때에는위탁관계로보기어렵습니다. 다시말해, 계약서에개인정보취급과관련된업무에대한도급계약이명시되었으면위탁관계로볼수있으나, 단순한인력파견계약을맺고해당인력을본사가직접관리하고통제하면위탁관계로보지않을수있습니다. 단, 개별사례나경우에따라다를수있습니다. 다. 재위탁하는경우 m 업무처리과정에서수탁업체가본사로부터위탁받은업무를다른외부업체에재위탁을하는상황이발생할수있습니다. 이때, 만약본사가이용자에대한동의혹은공개 통지절차없이개인정보취급업무의재위탁을허용한다면이는개인정보에대한취급목적에서벗어나제3자에게개인정보를이용하도록제공하는것이됩니다. -따라서, 수탁업체가수탁받은업무를외부업체에재위탁하는경우에도본사는이에대한동의혹은공개 통지절차를거쳐야합니다. -또한, 수탁업체가본사와의협의없이임의로재위탁함으로써본사가법률을본의아니게위반하는경우가없도록재위탁금지에관한사항등을위탁계약서에명시하여두는것이적절합니다. < 관련사례 > o대형시스템통합 (SI) 업체에고객정보처리시스템을구축하고관리하는업무를위탁하였으나그중일부개발업무를중소 SI 업체에하청을준경우 본사는대형 SI 업체와재하청을받은중소 SI 업체의업체명과업무명을명시해야함 o 홍보대행사에이벤트개최및운영업무를위탁하였으며홍보대행사에서경품배송을택배업체에다시위탁한경우 본사는홍보대행사및택배업체의업체명과위탁업무명을명시해야함 - 49 -
라. 수탁업체에대한관리감독책임 m 정보통신망법은본사가수탁업체에대해개인정보보호관련법조항을위반하지않도록관리 감독할책임을규정하고있습니다 ( 법제25 조제4항 ). -본사는업무위탁계약서를통해취급목적등수탁자가행할수있는개인정보취급업무의범위를구체적으로적시하고수탁자가위탁업무와관련해부여받은업무범위를벗어나지않도록수시로관리 감독할필요가있습니다. m 위탁업무와관련해정보통신망법의개인정보보호규정을위반하여이용자에게손해를끼쳐민사상의손해배상책임을질경우수탁업체를본사의직원으로간주합니다 ( 법제25 조제5항 ). -또한, 정보통신망법은개인정보취급을위탁받은수탁업체또한정보통신망법의개인정보보호규정을준용하여적용하도록규정하고있습니다. 따라서수탁업체또한개인정보취급업무수행시정보통신서비스제공자와동일한개인정보보호의무사항을조치해야하며, 수탁업체가법률을위반한경우수탁업체또한행정처분혹은형사처벌대상이될수있습니다. < 관련조항 > 정보통신망법제 67 조 ( 방송사업자에대한준용 )2 제 25 조제 1 항에따른수탁자에관하 여는제 22 조부터제 24 조의 2 와제 26 조부터제 31 조까지를준용한다. (4) 벌칙및행정처벌 가. 개인정보의제 3 자제공 m 이용자의동의를얻지않고개인정보를제 3 자에게제공하는경우 - 매출액의 1/100 이하의금액을과징금으로부과하고 ( 법제 64 조의 3 제 1 항제 4 호 ), 5 년이하의징역또는 5 천만원이하의벌금을부과 ( 법제 71 조제 3 호 ) m 이용자의동의를얻지않은사정을알고도영리또는부정한목적으로개인 정보를제공받을경우 -5 년이하의징역또는 5 천만원이하의벌금을부과 ( 법제 71 조제 3 호 ) - 50 -
나. 개인정보의취급위탁 m 이용자에게개인정보취급위탁에관한사항을공개또는알리지않은경우 -2 천만원이하의과태료부과 ( 법제76 조제2항제 1호 ) m 이용자의동의를받지아니하고개인정보를취급위탁한경우 -매출액의 1/100 이하금액을과징금으로부과하고 ( 법제64 조의3제 1항제 5호 ), 5년이하의징역또는 5천만원이하의벌금부과 ( 법제71 조제4호 ) m 제공또는취급위탁에대한동의를받을때개인정보의수집 이용에대한동의와구분하여받지않거나이에동의하지않는다는이유로서비스제공을거부한경우 -1 천만원이하의과태료부과 ( 법제76 조제3항제 2호의 5) (5) 개인정보보호법과의관계 가. 개인정보의제3자제공 m 개인정보보호법에서도개인정보를제3자에게제공하는경우정보주체의동의를받도록규정하고있으나, 동의를받아야하는항목에차이가있습니다. < 근거법령 > 개인정보보호법제17 조 ( 개인정보의제공 )1 개인정보처리자는다음각호의어느하나에해당되는경우에는정보주체의개인정보를제3자에게제공 ( 공유를포함한다. 이하같다 ) 할수있다. 1. 정보주체의동의를받은경우 2. 제15 조제1 항제2 호 제3호및제5호에따라개인정보를수집한목적범위에서개인정보를제공하는경우 2 개인정보처리자는제1항제 1호에따른동의를받을때에는다음각호의사항을정보주체에게알려야한다. 다음각호의어느하나의사항을변경하는경우에도이를알리고동의를받아야한다. 1. 개인정보를제공받는자 2. 개인정보를제공받는자의개인정보이용목적 3. 제공하는개인정보의항목 4. 개인정보를제공받는자의개인정보보유및이용기간 5. 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 - 51 -
m 정보통신서비스제공자는개인정보를제3자에게제공하는경우정보통신망법에따른동의획득사항외에도개인정보보호법에의한 동의거부권에대한사실및동의거부시불이익내용 에대해서도동의를받는것이좋습니다. < 동의획득필요사항 > 정보통신망법 개인정보보호법 개인정보를제공받는자 개인정보를제공받는자의개인정보 이용목적 제공하는개인정보의항목 좌동 개인정보를제공받는자의개인정보 보유및이용기간 별도규정없음 동의거부권에대한사실및동의 거부시불이익내용 나. 개인정보의취급위탁 m 개인정보보호법에서는개인정보처리업무위탁시위탁사실을정보주체에게공개하고수탁업체에대한관리 감독의무를규정하는등정보통신망법과유사한내용을다루고있으나, 세부적인부분에있어서는정보통신망법과차이가있습니다. < 근거법령 > 개인정보보호법제 26 조 ( 업무위탁에따른개인정보의처리제한 )1 개인정보처리자가 제 3 자에게개인정보의처리업무를위탁하는경우에는다음각호의내용이포함된문서에의하여야한다. 1. 위탁업무수행목적외개인정보의처리금지에관한사항 2. 개인정보의기술적 관리적보호조치에관한사항 3. 그밖에개인정보의안전한관리를위하여대통령령으로정한사항 2 제 1 항에따라개인정보의처리업무를위탁하는개인정보처리자 ( 이하 위탁자 라한다 ) 는 위탁하는업무의내용과개인정보처리업무를위탁받아처리하는자 ( 이하 수탁자 라한다 ) 를정보주체가언제든지쉽게확인할수있도록대통령령으로정하는방법에따라공개하여야한다. 3 위탁자가재화또는서비스를홍보하거나판매를권유하는업무를위탁하는경우에는 대통령령으로정하는방법에따라위탁하는업무의내용과수탁자를정보주체에게알려야한다. 위탁하는업무의내용이나수탁자가변경된경우에도또한같다. 4 위탁자는업무위탁으로인하여정보주체의개인정보가분실 도난 유출 변조또는 - 52 -
< 근거법령 > 훼손되지아니하도록수탁자를교육하고, 처리현황점검등대통령령으로정하는바에따라수탁자가개인정보를안전하게처리하는지를감독하여야한다. 5 수탁자는개인정보처리자로부터위탁받은해당업무범위를초과하여개인정보를 이용하거나제 3 자에게제공하여서는아니된다. 6 수탁자가위탁받은업무와관련하여개인정보를처리하는과정에서이법을위반하여 발생한손해배상책임에대하여는수탁자를개인정보처리자의소속직원으로본다. 7 수탁자에관하여는제 15 조부터제 25 조까지, 제 27 조부터제 31 조까지, 제 33 조부터제 38 조까지및제 59 조를준용한다. 다. 이용자대상고지및동의관련 m 앞서살펴보았듯이정보통신망법은개인정보취급위탁시동의획득을원칙으로하되 서비스계약내용의이행을위해반드시필요한경우 에만예외적으로동의대신고지로갈음할수있도록규정하고있습니다. m 그러나개인정보보호법은위탁사실에대한별도의동의의무없이개인정보처리방침등을통해정보주체에게공개하고, 재화 서비스홍보및판매권유업무의경우에만서면, 전자우편, 모사전송, 전화, 문자전송등의방법으로위탁내용과수탁자를정보주체에게알리거나, 알릴수없는경우인터넷홈페이지에 30 일이상게시하도록하고있습니다. m 위탁사실고지및동의사항과관련해서정보통신망법이규정하고있으므로정보통신서비스제공자는정보통신망법에따른의무를이행하여야합니다. -수탁사실에대해서는동의획득을원칙으로하되 서비스계약내용의이행을위해반드시필요한경우 에만예외적으로동의대신고지로갈음할수있습니다. < 동의획득필요사항 > 위탁업무의성격정보통신망법개인정보보호법 서비스계약을위해반드시필요한위탁업무그외위탁업무 개인정보취급위탁을받는자, 위탁업무의내용및위탁받는자에취급위탁업무의내용에대해대해정보주체에게공개동의획득 < 재화 서비스홍보및판매권유 > 개인정보취급위탁을받는자, 서면, 전자우편, 팩스, 전화, 문자취급위탁업무의내용에대해전송등으로정보주체에게통지하거나개인정보취급방침을통해공정보주체의연락처를알수없는경우개하거나이용자에게통지홈페이지에 30 일이상게시 - 53 -
라. 위탁업무처리절차 m 정보통신망법에서는개인정보취급업무위탁에별도의보호조치를규정하지 않고있습니다. 그러나개인정보보호법에서는개인정보처리업무위탁에대해 반드시다음의내용이포함된문서에의하여처리하도록규정하고있습니다. < 위탁관련문서포함사항 > 1. 위탁업무수행목적외개인정보의처리금지에관한사항 2. 개인정보의기술적 관리적보호조치에관한사항 3. 위탁업무의목적및범위 4. 재위탁제한에관한사항 5. 개인정보에대한접근제한등안전성확보조치에관한사항 6. 위탁업무와관련하여보유하고있는개인정보의관리현황점검등감독에관한사항 7. 수탁자가준수하여야할의무를위반한경우의손해배상등에관한사항 m 따라서정보통신서비스제공자는개인정보취급업무위탁처리시상기의내용을 계약서에반영하는등문서에의해개인정보취급업무를위탁처리하는것이 바람직합니다. m 또한, 행정안전부는 표준개인정보보호지침 9) 을통해개인정보처리자가개인정보처리업무수탁자를선정할때에는수탁자의 1 인력,2 물적시설, 3재정부담능력,4 기술보유정도,5 책임능력 과그밖에수탁자의개인정보의안전한처리및처리를위탁받은개인정보의보호와관계되는사항을종합적으로고려하여선정하도록규정 ( 표준지침제19 조제1항 ) 하고있습니다. -그밖에개인정보처리업무를위탁하는때에는위탁하는개인정보의안전한처리와보호를위하여수탁자로부터야기될수있는 1수탁자의처리업무의지연, 2처리업무와관련없는불필요한개인정보의요구,3처리기준의불공정등의문제점을종합적으로검토하고그에따른문제점이발생하지않도록하기위하여필요한조치를마련하도록규정 ( 표준지침제19 조제2항 ) 하고있습니다. -따라서정보통신서비스제공자는수탁업체선정시에상기의사항을고려해야합니다. 9)2011.9.30. 제정, 행정안전부예규제 45 호, 개인정보보호종합지원포털 (www.privacy.go.kr) 내 < 자료실 >- < 지침자료 > 를통해다운가능 - 54 -
마. 수탁업체관리 감독 m 정보통신망법은수탁업체가정보통신망법의개인정보보호규정을위반하지 않도록관리 감독의무를규정하고있으나, 그세부적인방법에대해서는 구체적으로규정하고있지않습니다. m 그러나개인정보보호법은수탁업체의관리 감독의무를매우세부적으로규정하고있어, 정보통신서비스제공자는개인정보보호법에따라수탁업체를관리 감독하여야하며그세부적인사항은다음과같습니다. -업무위탁으로인하여정보주체의개인정보가분실 도난 유출 변조또는훼손되지아니하도록수탁자를교육 -수탁자가개인정보를안전하게처리하는지를감독 -수탁자가가개인정보보호법또는시행령에따라개인정보처리자가준수하여야할사항및위 수탁계약의내용에따라준수하여야할사항의확인 점검 -수탁자의개인정보처리현황및실태, 목적외이용 제공, 재위탁여부, 안전성확보조치여부등을정기적으로조사 점검 m 정보통신서비스제공자는수탁자에의한개인정보침해행위방지를위해 정기적으로수탁업체를교육하고개인정보처리시법률및계약위반여부등에 대해서도정기적으로조사 점검할필요가있습니다. - 55 -
4. 아동의개인정보수집시조치사항 < 근거법령 > 정보통신망법제31 조 ( 법정대리인의권리 )1 정보통신서비스제공자등이만 14 세미만의아동으로부터개인정보수집 이용 제공등의동의를받으려면그법정대리인의동의를받아야한다. 이경우정보통신서비스제공자는그아동에게법정대리인의동의를받기위하여필요한법정대리인의성명등최소한의정보를요구할수있다. 2 법정대리인은해당아동의개인정보에대하여제30 조제1항및제2항에따른이용자의권리를행사할수있다. 3 제2항에따른법정대리인의동의철회, 열람또는오류정정의요구에관하여는제30 조제3항부터제5항까지의규정을준용한다. (1) 규정취지 m 앞서설명한바와같이개인정보를수집하려면원칙적으로정보주체인해당이용자의동의를얻어야합니다. -그러나아동은개인정보의중요성에관한인식과정보를평가하거나진위를판단하는능력이부족해자칫정보통신서비스제공자등에게정보를제공했다가뜻하지않은불이익을당할수가있습니다. -그러므로정보통신망법에서는만 14 세미만아동의개인정보를수집할때에는아동본인이아닌법정대리인의동의를얻도록규정하고있습니다. (2) 사업자조치사항 m 사업자가만 14 세미만의아동으로부터개인정보수집 이용 제공동의를받기위해서는법정대리인으로부터 1수집 이용목적 2수집하는개인정보의항목 3개인정보의보유및이용기간등 3가지사항을알리고동의를얻어야합니다. (3) 해설 가. 법정대리인 m 대개아동의법정대리인은친권자인 부모 라고할수있습니다. - 56 -
-그러나부모의사망등으로친권자가없을수도있는데, 이경우민법에서는미성년자에대하여친권을행사하는부모가유언으로지정한경우해당지정후견인이, 지정후견인이없는경우법률의규정에의하여당연히취임하게되는법정후견인이, 지정후견인도법정후견인도없는경우에는피후견인의친족기타이해관계인의청구에의해서선임된선정후견인이법정대리인이됩니다. 10) -민법에서정한법정후견인의순위는직계혈족,3촌이내의방계혈족순이며, 국가또는지방자치단체가설치 운영하는보호시설에있는미성년자인고아에대해서는보호시설의장이후견인, 즉법정대리인이됩니다. 11) 나. 법정대리인동의획득방법 m 만 14 세미만아동의개인정보를수집 이용 제공하기위해이용자의동의가필요할때에는법정대리인의동의를얻어야합니다. -그런데아동이항상법정대리인과함께서비스를이용하는것이아니므로아동이서비스가입을위해서법정대리인을반드시대동하도록하는것은매우번거로우며이용자와사업자모두에게불편한일입니다. -따라서사업자는법정대리인의동의를얻기위해아동으로부터법정대리인의성명이나연락처등개인정보를수집할수있으며이정보를활용하여아동의개인정보수집에대한동의를획득할수있습니다. 이경우에는법정대리인의정보수집에대해해당정보주체인법정대리인의동의를받을필요는없습니다. -다만, 법정대리인의동의를획득하기위해수집한아동과법정대리인의정보는당연히동의획득의목적으로만사용해야합니다. 그리고법정대리인이아동의개인정보수집동의에대한회신을하지않거나, 법정대리인이동의를하지않는경우에는해당아동과법정대리인의정보를파기해야합니다. m 만 14 세미만아동의개인정보를수집 이용 제공하는것에대한법정대리인의 동의를얻기위해다음과같은방법을활용할수있습니다. 10) 민법제 938 조 ( 후견인의대리권 ) 후견인은피후견인의법정대리인이된다. 11) 보호시설에있는미성년자의후견직무에관한법률제 3 조 ( 후견인 )1 국가또는지방자치단체가설치 운영하는보호시설에있는미성년자인고아에대하여는그보호시설의장이후견인이된다.2 국가또는지방자치단체외의자가설치 운영하는보호시설에있는미성년자인고아에대하여는대통령령이정하는바에따라그보호시설의소재지를관할하는시장 군수 구청장 ( 자치구의구청장을말한다. 이하같다 ) 이후견인을지정한다.3 제 1 항및제 2 항의규정은보호시설에있는미성년자로서고아아닌자에대하여도이를준용하되, 대통령령이정하는바에따라법원의허가를받아야한다. - 57 -
- 법정대리인의전자서명을이용하는방법 - 우편, 팩스, 전자우편등으로법정대리인이서명날인한서류를제출받는방법 - 법정대리인과직접통화하여확인하는방법 < 법정대리인의동의를획득하는예 > o( 휴대전화개통 ) 만 14 세미만아동이이동통신사대리점을통해이동통신서비스에가입할경우가입신청서에법정대리인의서명란을마련합니다. o( 웹사이트가입 ) 1 일반회원과만 14 세미만아동의가입경로를별도로구분합니다. 2 아동에게는법정대리인의성명, 연락처, 이메일등의정보를수집하고이정보를활용하여법정대리인에게아동의개인정보수집사실에대한동의여부를문의하는내용을알립니다. 3 법정대리인으로부터동의한다는내용의회신을받으면아동이서비스를이용할수있도록합니다. 4 일정기간이지나도록법정대리인이동의에대해회신하지않으면수집한아동과법정대리인의개인정보는파기합니다. m 법정대리인의동의를얻기위해서는아동이제공한정보가진정한법정대리인의정보인지, 법정대리인의진위여부를확인할의무가있습니다. 미성년자이거나아동과나이차가나지않는등상식적으로해당아동의법정대리인으로보기어려운데도아동이제공한정보에따라해당법정대리인에게기계적으로동의를얻는것은적절하지않습니다. 따라서사업자는아동이법정대리인의정보를허위로입력하는것을막기위해노력하여야합니다. m 수집한법정대리인의개인정보는아동의개인정보를수집할때법정대리인의동의를받았다는사실을입증하기위한것이므로아동이서비스를해지하거나회원탈퇴를하는등아동의개인정보를파기하는시점까지는보유하고있어야합니다. 또한법정대리인의개인정보보유기간또한개인정보취급방침을통해고지해야합니다. - 58 -
(4) 벌칙및행정처벌 m 법정대리인의동의를얻지않고만 14 세미만의아동의개인정보를수집한경우 - 매출액의 1/100 이하의금액을과징금으로부과하고 ( 법제 64 조의 3 제 1 항제 7 호 ), 5 년이하의징역또는 5 천만원이하의벌금을부과 ( 법제 71 조제 8 호 ) (5) 개인정보보호법과의관계 m 개인정보보호법에서도만 14 세미만아동의개인정보수집시에법정대리인의동의를받도록규정하고있으나, 정보통신망법에개별규정이있어이를우선적용하게됩니다. -따라서정보통신서비스제공자는정보통신망법에따라법정대리인의동의를획득하면됩니다. < 근거법령 > 개인정보보호법제22 조 ( 동의를받는방법 )5 개인정보처리자는만 14 세미만아동의개인정보를처리하기위하여이법에따른동의를받아야할때에는그법정대리인의동의를받아야한다. 이경우법정대리인의동의를받기위하여필요한최소한의정보는법정대리인의동의없이해당아동으로부터직접수집할수있다. - 59 -
5. 동의획득절차 (1) 동의획득절차 < 동의를얻어야하는경우 > 법률조항제22 조제1항제23 조제1항제24 조의2제 1항제24 조의2제 2항제25 조제1항제26 조제3항제63 조제2항 주요내용개인정보를최초수집하거나수집한이후에동의를얻은사항에변경이있는경우개인의권리 이익이나사생활을뚜렷하게침해할우려가있는개인정보를수집할경우개인정보를제3자에게제공할경우개인정보를제공받은자가제3자에게개인정보를제공할경우개인정보의취급을위탁할경우영업양수자등이목적외로개인정보를이용하고제공할경우개인정보를국외에이전할경우 < 관련규정 > 정보통신망법제26 조의2( 동의를받는방법 ) 제22 조제1항, 제23 조제1항단서, 제24 조의2 제1항 제2항, 제25 조제1항, 제26 조제3항단서또는제63 조제2항에따른동의 ( 이하 " 개인정보수집 이용 제공등의동의 " 라한다 ) 를받는방법은개인정보의수집매체, 업종의특성및이용자의수등을고려하여대통령령으로정한다. 정보통신망법시행령제12 조 ( 동의획득방법 )1 정보통신서비스제공자등이법제26 조의2 에따라동의를얻는방법은다음각호의어느하나와같다. 이경우정보통신서비스제공자등은동의를얻어야할사항 ( 이하 " 동의내용 " 이라한다 ) 을이용자가명확하게인지하고확인할수있도록표시하여야한다. 1. 인터넷사이트에동의내용을게재하고이용자가동의여부를표시하도록하는방법 2. 동의내용이기재된서면을이용자에게직접교부하거나, 우편또는모사전송을통하여전달하고이용자가동의내용에대하여서명날인후제출하도록하는방법 3. 동의내용이적힌전자우편을발송하여이용자로부터동의의의사표시가적힌전자우편을전송받는방법 4. 전화를통하여동의내용을이용자에게알리고동의를얻거나인터넷주소등동의내용을확인할수있는방법을안내하고재차전화통화를통하여동의를얻는방법 2 정보통신서비스제공자등은개인정보수집매체의특성상동의내용을전부표시하기어려운경우이용자에게동의내용을확인할수있는방법 ( 인터넷주소 사업장전화번호등 ) 을안내하고동의를얻을수있다. - 60 -
m 정보통신망법에서는개인정보를수집 이용 제공할때에는이용자의동의를얻도록규정하고있습니다. -회원가입이나서비스가입등을위해최초로이용자에게개인정보를수집하는경우에는수집목적등에관한사항에대해이용자의동의를얻어야하고, 회원가입시점에서이미제3자제공및개인정보취급위탁이계획되어있다면이에대해서도동의를얻어야합니다. -이용자에게서비스를제공하는과정에서개인정보활용범위가확장되거나개인정보를제3자에게제공하는일이발생하면이에대해서도동의를얻어야합니다. m 정보통신망법은구체적인동의를얻는방법에대해다음과같이규정하고있습니다 ( 법제26 조의2및시행령제12 조 ). -( 인터넷사이트 ) 동의를구하는화면또는동의를구하는절차상에동의내용을게재하고이용자가동의여부를표시하도록하는방법 ( 회원가입화면, 로그인화면등 ) < 예시 > 인터넷웹사이트회원가입절차에동의를얻어야할사항을게재하고 동의함 또는 동의안함 중하나를클릭 ( 선택 ) 하도록하는방법 -( 서면 ) 동의내용이기재된서면을이용자에게직접교부하거나, 우편또는 팩스등으로이용자에게전달하고이용자가서명날인한후제출하는방법 < 예시 > 이동통신사대리점에서서비스를개통하거나백화점 항공사 호텔등에서 회원카드를발급할때가입신청서에동의를얻어야할내용을이용자가인지할수 있도록구분하여표시하고이에대해가입자가서명날인하도록하는방법 -( 전자우편 ) 동의내용이기재된전자우편을발송한후이용자로부터동의의 의사표시가기재된전자우편을전송받는방법 < 예시 > 동의내용을전자우편에기재하고이용자에게 동의합니다 또는 동의하지 않습니다 를입력하게하거나동의란에체크하도록한후전자우편으로회신받는 방법 - 61 -
-( 전화 ) 서비스신청을위해사업자가직접전화를하거나이용자가전화를하는경우, 상담원등이직접동의내용을구두로알려주어동의를받거나, 동의내용을이용자가확인할수있는방법을안내하고일정기간이지난후다시전화통화를걸어동의를얻는방법 < 예시 > 전화를통해이용자가서비스가입을하고자할경우상담원또는 ARS 등으로동의할사항을알려주고동의를얻는방법또는동의내용을확인할수있는웹사이트등을알려주고재차전화를걸어동의를얻는방법 m 특히, 회원가입등개인정보를최초로수집하는때에는이용자가명확히인지하고 확인할수있도록약관및개인정보취급방침과는별도로관련사항을눈에 띄게표시하고이용자의동의를얻어야합니다. m 또한, 개인정보의제3자제공에대한동의를받거나, 개인정보취급업무위탁에대한동의를받는경우에는, 개인정보의수집및이용목적등일반적인동의내용과는별도로구분하여동의를받아야합니다. -특히, 개인정보제공등에대해이용자의선택권을보장하기위해제3자제공및개인정보취급위탁에대한사항은각각이용자의동의를받아야하며, 이용자가제3자제공및취급위탁에대해동의하지않더라도서비스가입과이용에제한이없도록조치하여야합니다. -이는원치않는제3자제공및취급위탁에동의해야만서비스가입이가능한경우가빈번하게발생하여이용자의개인정보자기결정권이사실상제한되는문제점을해결하기위한것입니다. < 관련규정 > 정보통신망법제24 조의2( 개인정보의제공동의등 )3 제25 조제1항에따른정보통신서비스제공자등은제1항에따른제공에대한동의와제25 조제1항에따른개인정보취급위탁에대한동의를받을때에는제22 조에따른개인정보의수집 이용에대한동의와구분하여받아야하고, 이에동의하지아니한다는이유로서비스제공을거부하여서는아니된다. - 62 -
< 동의획득예시 > < 개인정보수집및이용동의 > A 사는수집한개인정보를다음의목적으로보유하고활용합니다. 수집하는개인정보의항목성명, 이메일주소서비스이용기록, 접속로그 개인정보의수집 이용목적 개인정보의보유및이용기간 개인식별, 공지사항의전달, 회원탈퇴시삭제신상품의소개 원활하고상시적인서비스제공 회원탈퇴한 날로부터 3개월 분쟁해결 경과후삭제 동의함 동의안함 < 제 3 자제공동의 > 개인정보를 제공받는 자 B 게임사 C 쇼핑몰 개인정보를제공받는자의 개인정보이용목적 게임신상품소개메일발송, A 사와의제휴상품소개 메일발송 A사와의제휴적립카드 소개를위한텔레마케팅 동의함 제공하는개인정보를제공받는개인정보의자의개인정보보유항목및이용기간성명, 개인정보를제공한날전자우편로부터 3개월후삭제성명, 개인정보를제공한날휴대폰번호로부터 3개월후삭제동의안함 제공여부제공 제공 < 위탁동의 > 개인정보취급위탁을받는자 ( 수탁자 ) D인포서비스 F리서치동의함 개인정보취급위탁을하는업무의내용 E사와의제휴상품소개신규이벤트추진시설문조사동의안함 - 63 -
(2) 벌칙및행정처벌 m 동의받는방법을준수하지않은경우동의를받지않은것으로 5 년이하의 징역또는 5 천만원이하의벌금부과가능 ( 법제 71 조제 1 호 ~ 제 4 호 ) (3) 개인정보보호법과의관계 m 개인정보보호법에서도동의절차에대해규정하고있으나, 정보통신망법에개별규정이있어, 이를우선적용하게됩니다. -따라서정보통신서비스제공자는정보통신망법에따라개인정보의수집 이용 제공동의를획득하면됩니다. < 근거법령 > 개인정보보호법제22 조 ( 동의를받는방법 )6 제1항부터제5항까지에서규정한사항외에정보주체의동의를받는세부적인방법및제5항에따른최소한의정보의내용에관하여필요한사항은개인정보의수집매체등을고려하여대통령령으로정한다. 개인정보보호법시행령제17 조 ( 동의를받는방법 )1 개인정보처리자는법제22 조에따라개인정보의처리에대하여다음각호의어느하나에해당하는방법으로정보주체의동의를받아야한다. 1. 동의내용이적힌서면을정보주체에게직접발급하거나우편또는팩스등의방법으로전달하고, 정보주체가서명하거나날인한동의서를받는방법 2. 전화를통하여동의내용을정보주체에게알리고동의의의사표시를확인하는방법 3. 전화를통하여동의내용을정보주체에게알리고정보주체에게인터넷주소등을통하여동의사항을확인하도록한후다시전화를통하여그동의사항에대한동의의의사표시를확인하는방법 4. 인터넷홈페이지등에동의내용을게재하고정보주체가동의여부를표시하도록하는방법 5. 동의내용이적힌전자우편을발송하여정보주체로부터동의의의사표시가적힌전자우편을받는방법 6. 그밖에제1호부터제5호까지의규정에따른방법에준하는방법으로동의내용을알리고동의의의사표시를확인하는방법 - 64 -
6. 주민등록번호사용제한 < 근거법령 > 정보통신망법제23 조의2( 주민등록번호의사용제한 )1 정보통신서비스제공자는다음각호에해당하는경우를제외하고는이용자의주민등록번호를수집 이용할수없다. 1. 제23 조의3에따라본인확인기관으로지정받은경우 2. 법령에서이용자의주민등록번호수집 이용을허용하는경우 3. 영업상목적을위하여이용자의주민등록번호수집 이용이불가피한정보통신서비스제공자로서방송통신위원회가고시하는경우 2 제1항제 2호및제3호에따라주민등록번호를수집 이용할수있는경우에도이용자의주민등록번호를사용하지아니하고본인을확인하는방법 ( 이하 대체수단 이라한다 ) 을제공하여야한다. 정보통신망법부칙제2조 ( 주민등록번호수집 이용제한에관한경과조치 )1 이법시행당시주민등록번호를사용한회원가입방법을제공하고있는정보통신서비스제공자는이법시행일부터 2년이내에보유하고있는주민등록번호를파기하여야한다. 다만, 제23 조의2제 1항각호의어느하나에해당하는경우는제외한다. 2 제1항에따른기간이내에보유하고있는주민등록번호를파기하지아니한경우에는제23 조의2제 1항의개정규정을위반한것으로본다. (1) 법규정취지 m 인터넷서비스에서관행적으로수집되어온주민등록번호가관리자의부주의나해킹등의사고로인하여유출될경우명의도용, 신분증위조등의범죄에악용되어정신적 경제적피해를초래할수있으므로주민등록번호의무분별한사용이라는근본적인원인을제거하여개인정보유출사고를방지하기위해주민등록번호사용제한규정을신설하였습니다. (2) 사업자조치사항 m 정보통신망법개정에따라정보통신서비스제공자는본인확인기관이거나법령에서주민등록번호의수집 이용을허용하는경우, 영업상목적을위하여주민등록번호의수집 이용이불가피하여방송통신위원회가고시한경우가아니면주민등록번호를수집 이용할수없습니다. - 65 -
-따라서각사업자들은고객주민등록번호의수집 이용현황을조사하여관련법령에의해수집 이용이허용된경우등을제외하고는사용할수없도록서비스절차및시스템등을변경하여야합니다. -또한기존에보유하고있는주민등록번호도법령시행후 2년이내에파기하도록하고있어 2014 년 8월이전까지삭제하여야합니다. m 정보통신서비스제공자는주민등록번호를수집 이용할수있는예외적인경우에도이용자의주민등록번호를사용하지아니하고본인을확인할수있는방법 ( 대체수단 ) 을제공하여야합니다. -방송통신위원회는본인확인과개인식별이가능한아이핀 (i-pin(internetpersonal IdentificationNumber) 이라는대체수단을개발 보급하고있습니다. -아이핀발급및이용에관한자세한사항은한국인터넷흥원이제공하는아이핀홈페이지 (htp://i-pin.kisa.or.kr) 에참고자료와함께자세히소개되어있습니다. m 아이핀이외에도휴대폰인증, 공인인증서인증등의대체수단을이용하여 주민등록번호를대신할수있습니다. 주민등록번호수집 이용제한대상, 금융실명거래법등타법에따른예외범위에대한상세해석, 주민등록번호대체방안등주민등록번호전환을위한구체적인사항은 인터넷사업자를위한주민번호사용제한정책안내서 를참고하여주시기바랍니다.(i-privacy.kr) - 66 -
(3) 벌칙및행정처벌 m 주민등록번호를수집 이용하거나대체수단을제공하지않은경우 -3 천만원이하의과태료부과 ( 법제 76 조제 1 항제 2 호 ) (4) 개인정보보호법과의관계 m 개인정보보호법에서는주민등록번호등고유식별정보를처리하는경우정보 주체에게별도의동의를받도록규정하고있습니다. < 근거법령 > 개인정보보호법제24 조 ( 고유식별정보의처리제한 )1 개인정보처리자는다음각호의경우를제외하고는법령에따라개인을고유하게구별하기위하여부여된식별정보로서대통령령으로정하는정보 ( 이하 고유식별정보 라한다 ) 를처리할수없다. 1. 정보주체에게제15 조제2항각호또는제17 조제2 항각호의사항을알리고다른개인정보의처리에대한동의와별도로동의를받은경우 2. 법령에서구체적으로고유식별정보의처리를요구하거나허용하는경우 2 대통령령으로정하는기준에해당하는개인정보처리자는정보주체가인터넷홈페이지를통하여회원으로가입할경우주민등록번호를사용하지아니하고도회원으로가입할수있는방법을제공하여야한다. 개인정보보호법시행령제19 조 ( 고유식별정보의범위 ) 법제24 조제1항각호외의부분에서 " 대통령령으로정하는정보 " 란다음각호의어느하나에해당하는정보 ( 이하 " 고유식별정보 " 라한다 ) 를말한다. 다만, 공공기관이법제18 조제2항제5호부터제9호까지의규정에따라다음각호의어느하나에해당하는정보를처리하는경우의해당정보는제외한다. 1. 주민등록법 제7조제 3항에따른주민등록번호 2. 여권법 제7조제 1항제 1호에따른여권번호 3. 도로교통법 제80 조에따른운전면허의면허번호 4. 출입국관리법 제 31 조제4항에따른외국인등록번호제20 조 ( 주민등록번호외의회원가입방법제공의무자 )1 법제24 조제2항에따라주민등록번호를사용하지아니하고도회원으로가입할수있는방법 ( 이하 " 대체가입수단 " 이라한다 ) 을제공하여야하는개인정보처리자는다음각호의어느하나에해당하는자를말한다. 1. 공공기관 - 67 -
개인정보보호법 개인정보보호법시행령 2. 공공기관외에인터넷홈페이지를운영하는개인정보처리자로서전년도말기준직전 3개월간그인터넷홈페이지를이용한정보주체의수가하루평균 1만명이상인개인정보처리자 2 행정안전부장관은제1항에따른대체가입수단제공과관련하여다음각호의사항을인터넷홈페이지에게재하여야한다. 1. 제1항에따라대체가입수단을제공하여야하는개인정보처리자의명칭및인터넷홈페이지주소 2. 제공할수있는대체가입수단의종류및내용 3. 대체가입수단의제공기한 3 개인정보처리자가제1항각호에따라고유식별정보를처리하는경우에는그고유식별정보가분실 도난 유출 변조또는훼손되지아니하도록대통령령으로정하는바에따라암호화등안전성확보에필요한조치를하여야한다. 제21 조 ( 고유식별정보의안전성확보조치 ) 법제24 조제3항에따른고유식별정보의안전성확보조치에관하여는제30 조를준용한다. 이경우 법제29 조 ' 는 법제24 조제3항 ' 으로, 개인정보 ' 는 고유식별정보 ' 로본다. 4 행정안전부장관은제2항에따른방법의제공을지원하기위하여관계법령의정비, 계획의수립, 필요한시설및시스템의구축등제반조치를마련할수있다. m 그러나위에서보았듯이정보통신망법에서는본인확인기관, 법령및방송통신위원회고시에의한경우외에는주민등록번호의수집 이용을제한하고있으므로정보통신서비스제공자는개인정보보호법이아닌정보통신망법에따라주민등록번호를수집 이용하여서는안됩니다. m 다만, 개인정보보호법규정에의한경우주민등록번호외의고유식별번호인 여권번호, 운전면허번호, 외국인등록번호에대해서도별도의동의를받도록 하고있습니다. - 68 -
- 따라서정보통신서비스제공자는법률규정외에여권번호, 운전면허번호, 외국인등록번호를수집하는경우에는개인정보보호법에따라이용자에게 별도의동의를받는것이좋습니다. m 향후주민번호최소화대책 ( 국가정책조정회의, 12.4.20) 에따라개인정보 보호법등관련법령개정을통해주민등록번호의사용이제한될예정입니다. < 고유식별정보처리제한 > 고유식별정보유형정보통신망법개인정보보호법 주민등록번호수집 이용제한정보주체의별도동의획득 여권번호, 운전면허번호, 외국인등록번호 별도규정없음 정보주체의별도동의획득 m 또한, 여권번호, 운전면허번호, 외국인등록번호를수집하는경우에는개인정보보호법제30 조에따라다음의사항에대한조치가필요합니다. -개인정보의안전한처리를위한내부관리계획의수립 시행 -개인정보에대한접근통제및접근권한의제한조치 -개인정보를안전하게저장 전송할수있는암호화기술의적용또는이에상응하는조치 -개인정보침해사고발생에대응하기위한접속기록의보관및위조 변조방지를위한조치 -개인정보에대한보안프로그램의설치및갱신 -개인정보의안전한보관을위한보관시설의마련또는잠금장치의설치등물리적조치 m 행정안전부장관이고시한 개인정보의안정성확보조치기준 에서는고유식별정보의암호화를별도로규정하고있습니다. -따라서정보통신서비스제공자는주민번호의수집 이용에대해서는정보통신망법규정에따라조치하고, 이외의고유식별번호는개인정보보호법에따라서수집시별도로정보주체에게동의를받고암호화하여저장하는것이좋습니다. - 69 -
7. 개인정보의수집제한 < 근거법령 > 정보통신망법제23 조 ( 개인정보의수집제한등 )1 정보통신서비스제공자는사상, 신념, 과거의병력 ( 病歷 ) 등개인의권리 이익이나사생활을뚜렷하게침해할우려가있는개인정보를수집하여서는아니된다. 다만, 제22 조제1항에따른이용자의동의를받거나다른법률에따라특별히수집대상개인정보로허용된경우에는그개인정보를수집할수있다. 2 정보통신서비스제공자는이용자의개인정보를수집하는경우에는정보통신서비스의제공을위하여필요한최소한의정보를수집하여야하며, 필요한최소한의정보외의개인정보를제공하지아니한다는이유로그서비스의제공을거부하여서는아니된다. (1) 법규정취지 m 개인정보는개인의사생활더나아가서는개인의생명 신체 재산상안전에중대한영향을미칠수있으므로모두신중하게다루어야하지만, 특히사회적차별을야기하거나현저히인권을침해할우려가있는민감한개인정보 ( 이하 민감정보 ) 는보다엄격히보호되어야합니다. m 또한, 개인정보를필요이상으로수집 저장하고있으면해킹등에의해 개인정보가유출될위험이있고, 오 남용우려도있기때문에정보통신서비스 제공에필요한최소한의정보만을수집해야합니다. (2) 사업자조치사항 m 개인의사상, 신념, 과거의병력등민감정보는 1 이용자에게별도로동의를 획득한경우,2 다른법률규정에따라특별히수집대상으로허용된경우 이외에는수집해서는안됩니다. m 개인정보수집시에는필수정보와선택정보로구분하여정보통신서비스제공에 필요한최소한의정보만수집해야합니다. - 70 -
(3) 해설 가. 민감정보수집제한 ( 가 ) 민감정보수집이가능한경우 m 정보통신망법은사상, 신념, 과거의병력등개인의권리 이익이나사생활을 뚜렷하게침해할우려가있는개인정보는 1 이용자동의에의한경우나 2 다른법률규정에의한경우에만수집할수있도록규정하고있습니다. ( 나 ) 민감정보의종류 m 정보통신망법은사상, 신념, 병력외에는민감정보에대한세부적기준을 제시하고있지않습니다. m 따라서민감정보의기준에대해서는다음과같이개인정보보호법을참고하여사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보등으로판단할수있으며그세부기준 12) 은다음과같습니다. - 사상 신념 이란개인의가치관에기초로하여형성된사유체계, 개인이굳게믿고지키고자하는믿음 생각등을말하는것으로각종이데올로기또는사상적경향, 종교적신념등을말합니다. - 정치적견해 란정치적사안에대한입장이나특정정당의지지여부에관한정보입니다. - 노동조합 정당의가입 탈퇴 란노동조합또는정당에의가입 탈퇴에관한정보입니다. 반드시적법한노동조합이거나정당일필요는없습니다. - 건강및성생활등에관한정보 란개인의과거및현재의병력 ( 病歷 ), 신체적 정신적장애 ( 장애등급유무등 ), 성적취향등에관한정보입니다. 혈액형은이에해당하지않습니다. - 사생활을현저하게침해할우려가있는개인정보 란해당정보를수집 처리함으로써헌법상보장된프라이버시권의본질적내용이침해될우려가있는것을말합니다. 12) 개인정보보호법령및지침 고시해설서,141 쪽, 행정안전부,2011.12-71 -
개인정보보호법시행령상민감정보의종류 ( 영제18 조 ) 1. 유전자검사등의결과로얻어진유전정보 2. 형의선고 면제및선고유예, 보호감호, 치료감호, 보호관찰, 선고유예의실효, 집행유예의취소등범죄경력에관한정보 ( 다 ) 개인정보최소수집 m 정보통신서비스제공자등은개인정보를수집하는경우서비스제공을위해반드시필요최소한의정보만을수집해야합니다. 필요최소한의정보기준은업종및서비스유형등에따라상이할수있습니다. -예를들어, 인터넷포털서비스의경우에는서비스이용에반드시필요한정보는성명, 전자우편등을생각할수있습니다. m 만약마케팅등을위해추가적인정보가필요한경우에는선택적항목으로제시하여이용자가해당개인정보를제공하지않더라도서비스이용에제한이없도록조치하여야합니다. -다시말해이용자가선택항목에개인정보를입력하지않더라도회원가입등에있어서비스이용이제한되지않도록하여야합니다. (4) 벌칙및행정처벌 m 이용자의동의없이민감정보를수집한경우 - 매출액의 1/100 이하의금액을과징금으로부과하고 ( 법제 64 조의 3 제 1 항제 2 호 ), 5 년이하의징역또는 5 천만원이하의벌금을부과 ( 법제 71 조제 2 호 ) m 필요최소한의개인정보이외의정보를미제공한이유로서비스제공을거부하는 경우 -3 천만원이하의과태료를부과 ( 법제 76 조제 1 항제 1 호 ) (5) 개인정보보호법과의관계 m 개인정보보호법에서는민감정보에대해서는정보주체에게별도로동의를 받도록규정하고있습니다. - 72 -
m 따라서정보통신망법에는별도동의획득의무는없으나개인정보보호법에준하는수준으로정보주체에게별도로동의를받는것이좋습니다. -별도로동의를받는다는것은일반적인개인정보수집 이용동의와는별도로동의여부를표시할수있는절차를마련해야함을의미합니다. < 근거법령 > 개인정보보호법제23 조 ( 민감정보의처리제한 ) 개인정보처리자는사상 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에관한정보, 그밖에정보주체의사생활을현저히침해할우려가있는개인정보로서대통령령으로정하는정보 ( 이하 민감정보 라한다 ) 를처리하여서는아니된다. 다만, 다음각호의어느하나에해당하는경우에는그러하지아니하다. 1. 정보주체에게제15 조제2항각호또는제17 조제2항각호의사항을알리고다른개인정보의처리에대한동의와별도로동의를받은경우 2. 법령에서민감정보의처리를요구하거나허용하는경우 개인정보보호법제16 조 ( 개인정보의수집제한 )1 개인정보처리자는제15 조제1항각호의어느하나에해당하여개인정보를수집하는경우에는그목적에필요한최소한의개인정보를수집하여야한다. 이경우최소한의개인정보수집이라는입증책임은개인정보처리자가부담한다. 2 개인정보처리자는정보주체가필요한최소한의정보외의개인정보수집에동의하지아니한다는이유로정보주체에게재화또는서비스의제공을거부하여서는아니된다. - 73 -
Ⅲ. 개인정보보호조치의무 1. 개인정보의파기 2. 서비스장기미이용자의개인정보파기등 3. 이용자권리보장 4. 개인정보이용내역통지 5. 개인정보취급방침작성 6. 개인정보누출등의통지 신고 7. 영업양수 양도시조치사항 8. 기술적 관리적보호조치 9. 개인정보의국외이전
Ⅲ 개인정보보호조치의무 1. 개인정보의파기 < 근거법령 > 정보통신망법제29 조 ( 개인정보의파기 )1 정보통신서비스제공자등은다음각호의어느하나에해당하는경우에는해당개인정보를지체없이파기하여야한다. 다만, 다른법률에따라개인정보를보존하여야하는경우에는그러하지아니하다. 1. 제22 조제1항, 제23 조제1항단서또는제24 조의2제 1항 제2항에따라동의를받은개인정보의수집 이용목적이나제22 조제2항각호에서정한해당목적을달성한경우 2. 제22 조제1항, 제23 조제1항단서또는제24 조의2제 1항 제2항에따라동의를받은개인정보의보유및이용기간이끝난경우 3. 제22 조제2항에따라이용자의동의를받지아니하고수집 이용한경우에는제27 조의2 제2항제 3호에따른개인정보의보유및이용기간이끝난경우 4. 사업을폐업하는경우 (1) 법규정취지 m 이용자의개인정보는사업자의것이아닙니다. 서비스를원활하게제공하기위해이용자에게서잠시빌려온것에불과합니다. 따라서이용자가회원탈퇴했거나서비스가종료되었을때처럼개인정보를빌려온목적이사라지면, 사업자는보유하고있는개인정보도당연히파기해야합니다. (2) 사업자조치사항 m 정보통신서비스제공자등이 1개인정보수집및이용목적을달성하였거나 2이용자에게서동의를얻은보유및이용기간이종료되었거나 3사업을폐업하는경우에는보유하고있는이용자의개인정보를파기해야합니다. (3) 해설 가. 개인정보파기시점 m 정보통신망법에서는개인정보의수집및이용목적을달성하였거나, 이용자에게 동의를받은보유및이용기간이도래하는경우, 사업을폐업하는경우에는 - 75 -
개인정보의보유목적또한사라지므로해당개인정보를지체없이파기하도록규정하고있습니다. -여기서, 지체없이파기 는합리적이유및근거가없는한즉시파기하는것을의미합니다. m 이용자의개인정보수집및이용목적을달성한경우 -이용자가웹사이트회원에서탈퇴한경우 -이용자가초고속인터넷을해지한경우 -이용자가마트마일리지회원에서탈퇴를요청하는경우 -개인정보를수집하는이벤트가종료된경우 -제3업체에기획텔레마케팅 (TM) 을위해정보를제공한후해당업체의 TM 업무가종료된경우등 m 위와같이통상적인수집및이용목적을달성한이후에도요금정산등의경우처럼개인정보를보유해야하는합리적인이유와근거가있으면해당사유가소멸하기전까지개인정보를보유할수있습니다. -그러나이러한경우에도사전에이용자의동의를얻어야하며개인정보수집목적을달성한이후에는보유하고있는해지고객의정보를오 남용하지않도록적절한보호조치를취해야합니다. -다만, 다른법률규정에의해의무적으로보유해야할경우에는동의를얻지않고보유할수있으나, 이때에도이용자가자신의개인정보가어떤사유로보유되고있는지알수있도록개인정보취급방침을통해알려주어야합니다. -또한해지후에일정기간동안사업자가보유할수있는기간이종료하면개인정보를지체없이파기해야합니다. m 보유및이용기간이종료한경우 -이용자에게서개인정보를수집할때동의를얻은기간이경과한경우 회원탈퇴후재가입방지를위해성명, 전화번호를 6개월간보유합니다. 라고동의를얻고회원탈퇴후 6개월이지난경우 - 76 -
-다른법률규정등에따라이용자의동의없이보유및이용할수있는기간이도래한경우 통신비밀보호법제15 조의2규정에의하여당해사업자가통신사실확인자료를제공할때필요한전화번호, 위치추적자료, 전기통신일시등의경우 12 개월 국세기본법제85 조의3규정에의하여보관하는거래에관한장부및증거서류의경우 5년 -요금관련분쟁이발생하여보유기간내에분쟁이해결되지않은경우 요금정산이완료되지않은경우완료시점까지보유가능 전자상거래등에서의소비자보호에관한법률시행령제6조제 1항제 4호에따른소비자의불만또는분쟁처리에관한기록 :3 년 나. 개인정보파기방법 m 개인정보를파기할때에는재생할수없도록파기해야합니다. -종이에출력된개인정보나가입신청서등개인정보가기재된문서는분쇄기로분쇄하거나소각해야하고, 컴퓨터파일형태로저장된개인정보기록은재생할수없는기술적방법으로삭제해야합니다. -예를들어하드디스크에기록된정보를삭제할때에는데이터복원을방지하기위해 로우레벨포맷 13) 명령으로포맷을하거나, 일반포맷을한뒤불필요한정보를여러번덮어씌우는방법등으로다시는재생할수없도록조치해야합니다. 개인정보가저장된하드웨어파기방법가장좋은방법은하드디스크를폐기처분하는것입니다. 물리적인힘으로디스크를파쇄하거나, 디가우져 (Degausser: 데이터소거장치 ) 라는자기장치를이용해강한자기장으로데이터를삭제합니다. 그러나이방법은많은비용이소요되고, 하드디스크를옮기는과정에서분실할수도있습니다. 또한, 한번폐기하고난하드디스크는두번다시사용할수없는단점이있습니다. 그래서이보다실용적인방법으로영구삭제소프트웨어를사용합니다. 일반사용자들이사용하는포맷이나로우레벨포맷 ( 공장초기화포맷 ) 등은복구도구를이용하면데이터를복구할수있지만영구삭제소프트웨어는하드디스크에있는정보위에의미없는데이터를여러번반복해덮어씀 (Overwrite) 으로써삭제된데이터의복구가능성을희박하게만듭니다. 13) 로우레벨포맷이란하드디스크를공장에서나온초기상태로만들어주는포맷을말함. 일반하이레벨포맷은파티션을나눈디스크드라이브의내용을없애주지만로우레벨포맷은파티션구분까지삭제함. - 77 -
다. 해지고객의개인정보관리방법 m 이용자가회원탈퇴혹은서비스해지등으로동의를철회한이후에도사업자가관련법률등에따라개인정보를보유해야할경우에는동의를철회한시점이후에개인정보가이용되지않도록각별히주의를기울여야합니다. -해지고객의개인정보는가입고객 DB 와분리해별도로보관 관리하고일반직원들의접근을제한하는등접근권한을최소화해야합니다.DB 를분리하는경우에는물리적으로전산장비를분리하여저장하는것외에도논리적으로분리하는것또한가능합니다.DB 분리에서가장고려되어야하는사항은해지고객의개인정보에대한접근권한이일반고객정보와는다르게보다엄격히통제되어야한다는것입니다. -또한, 업무상해지고객의개인정보를열람할필요가있으면반드시필요한사항인지를개인정보관리책임자가검토하는절차를거쳐열람혹은처리가가능하도록조치해야합니다. 라. 제 3 자및수탁업체에제공한정보파기 m 개인정보를수집 이용하는과정에서업무제휴등으로제3자에게개인정보를제공하는경우가있습니다. 이럴경우해당사업자는개인정보를제공받은제3자가그목적을달성하고나서정보를파기했는지의여부를확인할필요가있습니다. 따라서개인정보제공을위한제휴계약서에제공하는정보에대한적절한기술적 관리적보호조치의무, 파기의무등을명시하고개인정보를제공받은제3자가계약대로개인정보를파기하는지를확인하는것이좋습니다. m 또한, 개인정보취급위탁시에도위탁업무에따른개인정보이용및제공 목적, 보유및이용기간등을정해파기사유가발생하면취급하고있는개인 정보를파기하도록해야합니다. 정보통신서비스제공자는수탁업체가정보통신망법을위반하지않도록관리 감독할 의무가있으므로사전에계약서상에수탁자의개인정보파기여부및파기방법을 명시하고이행여부를확인할것을권고합니다. - 78 -
(4) 벌칙및행정처벌 m 개인정보수집및이용목적달성, 보유및이용기간종료, 사업폐지후에도 개인정보를파기하지않은경우 -3 천만원이하의과태료를부과 ( 법제 76 조제 1 항제 4 호 ) (5) 개인정보보호법과의관계 m 개인정보보호법에서도파기의무를규정하고있으나, 정보통신망법에개별규정이 있으므로, 이를우선적용하게됩니다. < 근거법령 > 개인정보보호법제21 조 ( 개인정보의파기 )1 개인정보처리자는보유기간의경과, 개인정보의처리목적달성등그개인정보가불필요하게되었을때에는지체없이그개인정보를파기하여야한다. 다만, 다른법령에따라보존하여야하는경우에는그러하지아니하다. 2 개인정보처리자가제1항에따라개인정보를파기할때에는복구또는재생되지아니하도록조치하여야한다. 3 개인정보처리자가제1항단서에따라개인정보를파기하지아니하고보존하여야하는경우에는해당개인정보또는개인정보파일을다른개인정보와분리하여서저장 관리하여야한다. 4 개인정보의파기방법및절차등에필요한사항은대통령령으로정한다. 개인정보보호법시행령제16 조 ( 개인정보의파기방법 ) 개인정보처리자는법제21 조에따라개인정보를파기할때에는다음각호의구분에따른방법으로하여야한다. 1. 전자적파일형태인경우 : 복원이불가능한방법으로영구삭제 2. 제1호외의기록물, 인쇄물, 서면, 그밖의기록매체인경우 : 파쇄또는소각 - 79 -
2. 장기미이용자의개인정보파기등 < 근거법령 > 정보통신망법제29 조 ( 개인정보의파기 )2 정보통신서비스제공자등은정보통신서비스를대통령령으로정하는기간동안이용하지않는이용자의개인정보를보호하기위하여대통령령이정하는바에따라개인정보의파기등필요한조치를취해야한다. 정보통신망법시행령제16 조 ( 개인정보의파기등 )1 법제29 조제2항에서 대통령령으로정하는기간 이란 3년을말한다. 다만, 다음각호의경우에는해당호에따른기간으로한다. 1. 다른법령에서별도의기간을정하고있는경우 : 해당법령에서정한기간 2. 이용자의요청에따라기간을달리정한경우 : 달리정한기간 2 정보통신서비스제공자등은이용자가정보통신서비스를제1항의기간동안이용하지아니하는경우에는이용자의개인정보를해당기간경과후즉시파기하거나다른이용자의개인정보와분리하여별도로저장 관리하여야한다. 3 정보통신서비스제공자등은제2항에따라개인정보를별도로저장 관리하는경우에는이법또는다른법률에특별한규정이있는경우를제외하고는해당개인정보를이용하거나제공하여서는아니된다. 4 정보통신서비스제공자등은제1항의기간도래 30 일전까지개인정보가파기또는분리하여저장 관리되는사실과기간만료일및해당개인정보의항목을전자우편 서면 모사전송 전화또는이와유사한방법중어느하나의방법으로이용자에게알려야한다. 정보통신망법시행령부칙제 2 조 ( 미이용기간의기산에관한적용례 ) 제 16 조제 1 항의 개정규정에따른기간은 2012 년 8 월 18 일이후정보통신서비스를이용하지아니하는 경우부터기산한다. (1) 법규정취지 m 최근발생하는개인정보누출사고에서는사고당시정보통신서비스를이용중인이용자의개인정보뿐만아니라장기간이용하지않은자의개인정보도상당부분포함되어있는것으로나타나고있습니다. 따라서장기간서비스를이용하지않고방치되는개인정보로인한이용자의피해를방지하고사업자의불필요한개인정보보관을최소화하기위해장기미이용자의개인정보를보호할수있는적절한조치가필요합니다. - 80 -
(2) 사업자조치사항 m 정보통신서비스제공자등은 3 년의개인정보유효기간동안정보통신서비스를 이용하지않은이용자의개인정보에대해파기또는별도분리저장 관리 조치를취하여야합니다. m 그러나다른법령에서별도의기간을정하고있는경우나이용자의요청에 따라기간을달리한경우에는 3 년이외의유효기간을정할수있습니다. (3) 해설 가. 개인정보유효기간 m 파기또는분리저장 관리조치를취해야하는개인정보유효기간은별도의 예외사유가없다면법령에따라 3 년입니다. - 이와관련해서개인정보의유효기간, 유효기간경과후조치사항등본제도와 관련된내용을이용약관등에추가 반영하고, 변경된내용을이용자에게알리는 등의조치가필요합니다. 나. 유효기간 (3 년 ) 의예외 m 다른법령에서별도의기간을정하고있거나이용자의요청에따라기간을 달리정한경우에는 3 년이외의기간으로유효기간을정할수있습니다. m 다른법령에서별도의기간을정한경우 -통신비밀보호법, 전자상거래등에서의소비자보호에관한법률등과같이개별법령에서개인정보의보존기간을별도로정하거나, -국세기본법, 상법등에서처럼법령상의책임이나의무를준수하기위해별도의기간 ( 소멸시효등 ) 을명시한경우가이에해당됩니다. -따라서캐쉬백, 포인트, 마일리지등의제도를운영하고있는정보통신서비스제공자등도상법상상사채권소멸시효 (5 년 ) 에따른개인정보유효기간을별도로적용할수있습니다. - 81 -
< 참고 : 개인정보의보존기간이명시된법령예시 > 근거법령개인정보의종류보존기간 통신비밀보호법 ( 통신사실확인자료 ) 전자상거래등에서의소비자보호에관한법률 ( 거래기록 ) 로그기록자료, 접속지의추적자료 전기통신일시, 전기통신개시 종료시간, 사용도수, 상대방의가입자번호, 발신기지국의위치추적자료 소비자의불만또는분쟁처리에관한기록 계약또는청약철회등에관한기록, 대금결제및재화등의공급에관한기록 3 개월 12 개월 3 년 5 년 전자금융거래법 ( 전자금융거래기록 ) 신용정보의이용및보호에관한법률 의료법 ( 진료에관한기록 ) 국세기본법 상법 건당거래금액 1 만원이하전자금융거래에관한기록, 전자지급수단이용과관련된거래승인에관한기록 전자금융거래종류및금액, 상대방에관한정보, 지급인의출금동의에관한사항, 전자금융거래와관련한전자적장치의접속기록, 전자금융거래신청및조건의변경에관한사항, 건당거래금액 1 만원초과전자금융거래에관한기록 신용정보업무처리에관한기록 처방전 진단서등의부본 환자명부, 검사소견기록, 간호기록부, 방사선사진및그소견서, 조산기록부 진료기록부, 수술기록 국세부과제척기간 ( 조세시효 ) 국세징수권및국세환급금소멸시효 보험금액청구권소멸시효, 보험료 / 적립금반환청구권소멸시효 상사채권소멸시효, 배당금지급청구권소멸시효 사채상환청구권소멸시효 1년 5년 3년 2년 3년 5년 10 년 10 년 5년 2년 5년 10 년 제조물책임법손해배상청구권소멸시효 3 년 /10 년 - 82 -
m 이용자의요청에따라기간을달리정한경우 -이용자의요청이있을경우예외적으로 3년이외의유효기간을정할수있습니다. -이용자가유학, 군입대, 입원, 질병등으로장기간해당정보통신서비스를이용할수없는경우, 정보통신서비스제공자등에게 3년이외의유효기간을요청하여정하는것이가능합니다. -3 년이외의기간으로정하고자하는경우, 이용자의요청 에따라유효기간을정할수있도록하시기바랍니다. 예를들어, 유효기간을 1년으로정하고자할때, 이용자가이를선택하여요청할수있는형태로제시하는것이좋습니다. ( 예시1) 개인정보유효기간을 1 년으로요청합니다. 다만, 별도의요청이없을경우개인정보유효기간은 3년으로합니다. 1년 ( 예시2) 개인정보유효기간을 5년 으로요청합니다. 7년 다만, 별도의요청이없을경우개인정보유효기간은 3년으로합니다. 다. 정보통신서비스미이용판단기준 m 정보통신서비스이용자 ( 또는가입자 ) 가정보통신서비스를마지막으로이용한이후시행령제16 조제1항에따른개인정보유효기간동안이용한기록이없다면해당정보통신서비스미이용자로볼수있습니다. -온라인서비스의경우에는업종별특성을고려하여 서비스이용기록, 접속로그 등을기준으로서비스이용여부를판단할수있으며, 이용자의이해를돕기위해이용약관등을통해그적용기준에대해명확히알려주는것이필요합니다. -초고속인터넷, 핸드폰등과같이오프라인서비스가입후웹사이트 ( 온라인 ) 서비스를함께이용하는온 오프라인연계서비스의경우에는온라인서비스이용이없더라도오프라인서비스이용기간동안은미이용에해당하지않습니다. m 기존가입자의경우정보통신서비스미이용기간은시행령부칙제 2 조에따라 개정정보통신망법시행령의시행일인 2012 년 8 월 18 을기점으로산정합니다. - 83 -
라. 개인정보파기및분리저장 관리방법 m 개인정보파기방법 -시행령제16 조제1항에따른개인정보유효기간동안해당정보통신서비스를이용하지않은이용자의개인정보를파기할때에는재생할수없는상태로파기해야합니다. -종이에출력된개인정보나가입신청서등개인정보가기재된문서는분쇄기로분쇄하거나소각해야하고, 컴퓨터파일형태로저장된개인정보기록은재생할수없는기술적방법 ( 로우레벨포맷등 ) 으로삭제해야합니다. m 개인정보분리저장 관리방법 -정보통신서비스제공자등은장기미이용자의개인정보를보호하기위해해당기간경과후즉시파기하거나파기에준하는조치의일환으로개인정보를다른이용자의개인정보와분리하여별도로분리저장 관리할수있습니다. -장기미이용자의개인정보는일반회원 ( 고객 ) 의개인정보 DB 와분리하여별도로저장 관리하고일반직원들의접근을제한하는등접근권한을최소화해야합니다. -개인정보를별도로분리저장 관리하는경우에는물리적으로전산장비를분리하여저장하는것외에도논리적으로분리하는것또한가능합니다. -분리저장 관리되는개인정보는재이용하거나제3자에게제공할수없는상태임을전제로합니다. 다만, 다음의경우에는예외로합니다. -이용자의요구가있는경우 이용자가정보통신서비스재이용 ( 계정활성화 ) 을요구하는경우에는해당이용자의개인정보에접근 이용할수있습니다. -정보통신망법또는다른법률에특별한규정이있는경우 정보통신망법 ( 제64 조자료의제출등 ) 또는형사소송법 ( 제106 조압수, 제109 조수색, 제139 조검증 ), 통신비밀보호법 ( 제13 조범죄수사를위한통신사실확인자료제공의절차, 제13 조의2법원에의통신사실확인자료제공, 제13 조의4 국가안보를위한통신사실확인자료제공의절차등 ), 전기통신사업법 ( 제83 조통신비밀의보호 ) 등이이에해당됩니다. - 84 -
< 개인정보제공과관련하여특별한규정이있는법률예시 > 형사소송법관련조항제106 조 ( 압수 )1 법원은필요한때에는피고사건과관계가있다고인정할수있는것에한정하여증거물또는몰수할것으로사료하는물건을압수할수있다. 단, 법률에다른규정이있는때에는예외로한다. 2 법원은압수할물건을지정하여소유자, 소지자또는보관자에게제출을명할수있다. 3 법원은압수의목적물이컴퓨터용디스크, 그밖에이와비슷한정보저장매체 ( 이하이항에서 " 정보저장매체등 " 이라한다 ) 인경우에는기억된정보의범위를정하여출력하거나복제하여제출받아야한다. 다만, 범위를정하여출력또는복제하는방법이불가능하거나압수의목적을달성하기에현저히곤란하다고인정되는때에는정보저장매체등을압수할수있다. 4 법원은제3항에따라정보를제공받은경우 개인정보보호법 제2조제 3호에따른정보주체에게해당사실을지체없이알려야한다. 제109 조 ( 수색 )1 법원은필요한때에는피고사건과관계가있다고인정할수있는것에한정하여피고인의신체, 물건또는주거, 그밖의장소를수색할수있다 2 피고인아닌자의신체, 물건, 주거기타장소에관하여는압수할물건이있음을인정할수있는경우에한하여수색할수있다. 제 139 조 ( 검증 ) 법원은사실을발견함에필요한때에는검증을할수있다. 통신비밀보호법관련조항 제13 조 ( 범죄수사를위한통신사실확인자료제공의절차 )1 검사또는사법경찰관은수사또는형의집행을위하여필요한경우전기통신사업법에의한전기통신사업자 ( 이하 " 전기통신사업자 " 라한다 ) 에게통신사실확인자료의열람이나제출 ( 이하 " 통신사실확인자료제공 " 이라한다 ) 을요청할수있다. 2 제1항의규정에의한통신사실확인자료제공을요청하는경우에는요청사유, 해당가입자와의연관성및필요한자료의범위를기록한서면으로관할지방법원 ( 보통군사법원을포함한다. 이하같다 ) 또는지원의허가를받아야한다. 다만, 관할지방법원또는지원의허가를받을수없는긴급한사유가있는때에는통신사실확인자료제공을요청한후지체없이그허가를받아전기통신사업자에게송부하여야한다. 3 제2항단서의규정에의하여긴급한사유로통신사실확인자료를제공받았으나지방법원또는지원의허가를받지못한경우에는지체없이제공받은통신사실확인자료를폐기하여야한다. 4 삭제 5 검사또는사법경찰관은제2항의규정에따라통신사실확인자료제공을받은때에는당해통신사실확인자료제공요청사실등필요한사항을기재한대장과통신사실확인자료제공요청서등관련자료를소속기관에비치하여야한다. - 85 -
6 지방법원또는지원은제2항의규정에따라통신사실확인자료제공요청허가청구를받은현황, 이를허가한현황및관련된자료를보존하여야한다. 7 전기통신사업자는검사, 사법경찰관또는정보수사기관의장에게통신사실확인자료를제공한때에는자료제공현황등을연 2회방송통신위원회에보고하고, 당해통신사실확인자료제공사실등필요한사항을기재한대장과통신사실확인자료제공요청서등관련자료를통신사실확인자료를제공한날부터 7년간비치하여야한다. 8 방송통신위원회는전기통신사업자가제7항의규정에의하여보고한내용의사실여부및비치하여야하는대장등관련자료의관리실태를점검할수있다. 9 이조에서규정된사항외에범죄수사를위한통신사실확인자료제공과관련된사항에관하여는제6조 ( 동조제7항을제외한다 ) 의규정을준용한다. 제13 조의2( 법원에의통신사실확인자료제공 ) 법원은재판상필요한경우에는민사소송법제294 조또는형사소송법제272 조의규정에의하여전기통신사업자에게통신사실확인자료제공을요청할수있다. 제13 조의4( 국가안보를위한통신사실확인자료제공의절차등 )1 정보수사기관의장은국가안전보장에대한위해를방지하기위하여정보수집이필요한경우전기통신사업자에게통신사실확인자료제공을요청할수있다. 2 제7조내지제9조및제9조의 2제 3항 제4항 제6항의규정은제1항의규정에의한통신사실확인자료제공의절차등에관하여이를준용한다. 이경우 " 통신제한조치 " 는 " 통신사실확인자료제공요청 " 으로본다. 3 제13 조제3항및제5항의규정은통신사실확인자료의폐기및관련자료의비치에관하여이를준용한다. 전기통신사업법관련조항 제83 조 ( 통신비밀의보호 )3 전기통신사업자는법원, 검사또는수사관서의장 ( 군수사기관의장, 국세청장및지방국세청장을포함한다. 이하같다 ), 정보수사기관의장이재판, 수사 ( 조세범처벌법 제10 조제1항 제3항 제4항의범죄중전화, 인터넷등을이용한범칙사건의조사를포함한다 ), 형의집행또는국가안전보장에대한위해를방지하기위한정보수집을위하여다음각호의자료의열람이나제출 ( 이하 통신자료제공 이라한다 ) 을요청하면그요청에따를수있다. 1. 이용자의성명 2. 이용자의주민등록번호 3. 이용자의주소 4. 이용자의전화번호 5. 이용자의아이디 ( 컴퓨터시스템이나통신망의정당한이용자임을알아보기위한이용자식별부호를말한다 ) 6. 이용자의가입일또는해지일 - 86 -
마. 파기등조치대상개인정보의범위 m 시행령제16 조제2항에서의파기등조치대상이되는개인정보의범위는다음과같습니다. -최초회원가입또는회원정보수정등의단계에서수집 관리되는개인정보뿐만아니라접속로그 (log), 쿠키 (cookie), 결제기록등서비스를이용하는과정에서생성되는정보도파기등조치대상이되는개인정보에포함됩니다. -예를들어아이디, 이름, 생년월일, 전자우편, 전화번호, 주소등직접수집하는인적정보와서비스이용과정에서생성되어다른정보와쉽게결합하여개인식별이가능한경우해당정보도파기등조치대상개인정보로볼수있습니다. 바. 유효기간도래통지시기및방법 m 정보통신서비스제공자등은유효기간도래 30 일전까지전자우편, 서면, 모사전송 ( 팩스 ), 전화등의방법중하나를선택하여해당이용자에게본인의개인정보가파기또는분리저장 관리가되는사실및일시, 개인정보항목을통지하여야합니다. 사. 연락처부재 변경 오류등으로통지가불가능한경우 m 정보통신서비스제공자등은법제29 조및시행령제16 조에따라개인정보파기또는분리저장 관리되는사실을이용자에게통지하였으며, 통지의오배송에대한고의 과실이없음을입증할수있어야합니다. -다만, 신규회원가입시서비스이용약관및개인정보취급방침등에제도의주요내용을공지하고, 기존이용자에대해서는공지사항, 전자우편등이용자가알아볼수있는방법으로유효기간도래후개인정보가파기등의조치가취해질수있다는사실및정확한연락처정보를제공 수정하도록적극적으로알리려는노력을해야할것입니다. - 87 -
(4) 벌칙및행정처벌 m 유효기간경과후이용자의개인정보를보관해야할특별한이유가없음에도해당이용자의개인정보에대해파기또는별도저장 관리조치를하지않은경우 -3 천만원이하의과태료부과 ( 법제76 조제1항제 4호 ) (5) 개인정보보호법과의관계 m 개인정보보호법에서는개인정보유효기간제도에대한별도의규정이없습니다. m 따라서정보통신서비스제공자등은정보통신망법에따라유효기간경과후 서비스장기미이용자의개인정보에대하여파기또는분리저장 관리조치를 취하면됩니다. m 임직원의개인정보등 이용자 ( 고객 ) 외의개인정보에대해서는개인정보보호법에 따라조치하면됩니다. - 88 -
Q&A 기산점및조치시점 Q1. 기존가입자의미이용기간기산점과파기등조치를취해야하는시점은언제인가요? A. 기존가입자의미이용기간은시행령부칙제2조에따라시행령의시행일인 2012년 8월 18부터기산합니다. 그리고 3년또는다른법령에서정하거나, 이용자의요청에의해별도로정한기간이경과한후즉시파기하거나별도분리저장 관리조치를취해야하며, 해당기간만료 30일전까지반드시사전통지를하여야합니다. 시행령부칙제2조 ( 미이용기간의기산에관한적용례 ) 제16조제1 항의개정규정에따른기간은 2012년 8월 18일이후정보통신서비스를이용하지아니하는경우부터기산한다. 예시 : 2012년 8월 18일부터기산 2015년 7월 18일까지사전통지 2015년 8월 18일파기또는별도분리저장 관리 Q&A 수사기관에의제공 Q2. 별도분리저장 관리하는이용자의개인정보에대해수사기관에서제공을요청하는경우제공할수있나요? A. 수사기관등이국가안전보장 공공질서유지를위해법률에근거하여별도분리저장 관리된개인정보를요청하는경우시행령제16조제3항에근거하여해당개인정보를이용 제공할수있습니다. 시행령제16조 ( 개인정보의파기등 ) 3 정보통신서비스제공자등은제2항에따라개인정보를별도로저장 관리하는경우에는법또는다른법률에특별한규정이있는경우를제외하고는해당개인정보를이용하거나제공하여서는아니된다. Q&A 조치대상정보 Q3. 유효기간이경과한경우해당이용자의모든개인정보에대해파기등조치를위해야하나요? A. 최초회원가입또는회원정보수정등의단계에서수집 관리되는개인정보뿐만아니라접속로그 (log), 쿠키 (cookie), 결제기록등의서비스를이용하는과정에서생성되는정보도파기등조치대상이되는개인정보에포함됩니다. 또한해당개인정보를파기할경우이용자의권리를침해하거나추후분쟁의소지가있을것으로판단되는경우에는개인정보를분리저장 관리하여야합니다. 시행령제16조 ( 개인정보의파기등 ) 2 정보통신서비스제공자등은이용자가정보통신서비스를제1항의기간동안이용하지아니하는경우에는이용자의개인정보를해당기간경과후즉시파기하거나다른이용자의개인정보와분리하여별도로저장 관리하여야한다. - 89 -
3. 이용자권리보장 < 근거법령 > 정보통신망법제30 조 ( 이용자의권리등 )1 이용자는정보통신서비스제공자등에대하여언제든지개인정보수집 이용 제공등의동의를철회할수있다. 2 이용자는정보통신서비스제공자등에대하여본인에관한다음각호의어느하나의사항에대한열람이나제공을요구할수있고오류가있는경우에는그정정을요구할수있다. 1. 정보통신서비스제공자등이가지고있는이용자의개인정보 2. 정보통신서비스제공자등이이용자의개인정보를이용하거나제3자에게제공한현황 3. 정보통신서비스제공자등에게개인정보수집 이용 제공등의동의를한현황 3 정보통신서비스제공자등은이용자가제1항에따라동의를철회하면지체없이수집된개인정보를파기하는등필요한조치를하여야한다. 4 정보통신서비스제공자등은제2항에따라열람또는제공을요구받으면지체없이필요한조치를하여야한다. 5 정보통신서비스제공자등은제2항에따라오류의정정을요구받으면지체없이그오류를정정하거나정정하지못하는사유를이용자에게알리는등필요한조치를하여야하고, 필요한조치를할때까지는해당개인정보를이용하거나제공하여서는아니된다. 다만, 다른법률에따라개인정보의제공을요청받은경우에는그개인정보를제공하거나이용할수있다. 6 정보통신서비스제공자등은제1항에따른동의의철회또는제2항에따른개인정보의열람 제공또는오류의정정을요구하는방법을개인정보의수집방법보다쉽게하여야한다. 7 영업양수자등에대하여는제1항부터제6항까지의규정을준용한다. 이경우 정보통신서비스제공자등 은 영업양수자등 으로본다. 정보통신망법제31 조 ( 법정대리인의권리 )1 정보통신서비스제공자등이만 14 세미만의아동으로부터개인정보수집 이용 제공등의동의를받으려면그법정대리인의동의를받아야한다. 이경우정보통신서비스제공자는그아동에게법정대리인의동의를받기위하여필요한법정대리인의성명등최소한의정보를요구할수있다. 2 법정대리인은해당아동의개인정보에대하여제30 조제1항및제2항에따른이용자의권리를행사할수있다. 3 제2항에따른법정대리인의동의철회, 열람또는오류정정의요구에관하여는제30 조제3항부터제5항까지의규정을준용한다. - 90 -
(1) 법규정취지 m 정보주체인이용자는자신이제공한개인정보가정확하게기록되어사용되는지 확인할수있고잘못된사항이나변경된사항을수정하며, 더이상개인정보의 이용을원하지않으면수집 이용 제공등의동의를철회할수있어야합니다. m 정보통신망법은사업자가이와같은이용자의권리를항상보장하도록규정하고있습니다. -이용자는자신이제공한개인정보와사업자가자신의개인정보를어떻게이용하였는지를열람하고관련정보를제공받을권리가있습니다. 또한잘못된개인정보에대해수정을요구할수있는권리와개인정보이용에대해동의를철회할수있는권리등이있습니다. -단, 아동의개인정보열람 정정및동의철회등에대한권리는법정대리인이대신행사합니다. (2) 사업자조치사항 m 사업자는정보통신망법에서개인정보에대한 1이용자의열람 정정, 삭제및동의철회에대한권리를보장하고있는사실을알리고 2이용자가이러한권리를이행할수있는방법이무엇인지를공개해야하며 3이용자의열람 정정및동의철회요구에대해지체없이적절한조치를취해야합니다. (3) 해설 가. 개인정보에대한동의철회권 m 이용자는사업자에게제공한개인정보의수집 이용, 제3자제공등에대한동의를언제든지철회할수있습니다. -이용자가웹사이트회원가입을위해개인정보를제공했다면회원에서탈퇴하는행위는개인정보이용에대한동의를철회한것으로볼수있습니다. -사업자는이용자가언제든지회원탈퇴, 서비스철회등동의철회의사를표시할수있도록보장하고, 동의철회후개인정보를삭제하는등의적절한조치를취해야합니다. - 91 -
- 웹사이트는통상적으로 회원탈퇴 메뉴를조치하는방식으로동의철회의사를 표시하는절차를마련할수있습니다. < 회원탈퇴메뉴예시 > 본예시는이해를돕기위한사례로표준양식은아님을알려드립니다. 나. 열람 제공및정정요구권 m 이용자는자신의개인정보가어떠한상태이며오류는없는지를수시로확인할수있어야합니다. 만약제공된개인정보에오류가있거나변경사항이있으면언제든지정정을요청할수있어야합니다. -다시말해이용자는자신의개인정보를열람할수있는권리, 자신의개인정보를이용하거나제3자에게제공한내역을요청할수있는권리, 오류가있는개인정보에대해정정을요구할수있는권리를가집니다. m 특히, 이용자는개인정보자체에대한사항뿐만아니라그이용내역, 제 3 자에게 제공한내역등도언제든지요구할수있어야하고, 사업자는지체없이이에 대해조치를취해야합니다. - 92 -
제30 조제2항의열람및제공, 정정을요구할수있는사항 1. 정보통신서비스제공자등이가지고있는이용자의개인정보 2. 정보통신서비스제공자등이이용자의개인정보를이용하거나제3자에게제공한현황 3. 정보통신서비스제공자등에게개인정보수집 이용 제공등의동의한현황 다. 법정대리인의권리보장 m 만 14 세미만아동의개인정보에대한권리는정보주체가아닌법정대리인이대신행사합니다. -따라서해당아동의개인정보에대한열람, 정정혹은동의철회를할수있는권리와그행사방법에관한사항을법정대리인에게알려주고, 법정대리인이요청하면정보주체가요청하는것과동일하게처리해야합니다. 라. 가입절차보다쉬운탈퇴절차마련 m 이용자가회원탈퇴나서비스이용계약해지등동의철회를하는방법은회원가입등개인정보를수집하는방법보다어려워서는안됩니다. -더쉬운방법인지여부는구체적인사안별로접근매체의다양성을고려하여개별적으로판단하여야하지만, 일반적으로철회방법이수집시와동일한방법으로제공되고이에더하여추가적인조치가제공되는경우더쉬운방법으로인정될수있습니다. 추가적인조치로는접근매체의확대 ( 전화,ARS, 이메일등을통한철회도가능하도록조치 ), 철회메뉴의다양화 ( 철회메뉴를메인화면외에개인정보처리방침, 나의개인정보, 해당서비스의게시판등에서언제든지쉽게발견하고신청할수있도록조치 ) 등을고려할수있음 -이는일부사업자들이회원가입절차는쉽게하면서도탈퇴절차는까다롭게만들어이용자의개인정보를악용하는경우를방지하기위함입니다. m 동의철회뿐만아니라개인정보를열람하고정정하는절차도개인정보수집 절차보다쉬워야합니다. m 또한동의철회나열람 정정방법은이용자가언제든지쉽게확인할수있도록 개인정보취급방침을통해안내하여야합니다. - 93 -
마. 이용자권리행사에대한 지체없이필요한조치 m 정보통신망법은개인정보에대한동의철회를요청받으면 ' 지체없이 ' 수집된개인정보를파기하는등필요한조치를취하도록규정하고있습니다. -또한, 열람이나정정을요청받았을때에도 ' 지체없이필요한조치 를취하고그결과를이용자에게통지하도록규정하고있습니다. - 지체없이필요한조치 는합리적이유와근거가없는한곧바로조치하는것을의미합니다. 예를들어이용자가서비스가입이후개인정보이용내역전체를요구한다면, 개인정보이용내역을추출하는데걸리는시간을감안하여이용자의열람 정정요구에대한조치를할수있습니다. 바. 열람및정정요구의거부 m 사업자가이용자로부터개인정보에대한오류의정정을요구받았는데도필요한 조치들을취하지못할경우에는그사유를이용자에게통지하고, 오류에대한 정정이완료되기전까지는개인정보를이용하거나제공해서는안됩니다. 필요한조치를지체없이취하지못하는경우의예 1. 본인또는제3자의생명, 재산, 신체또는권익을현저하게해할우려가있는경우 2. 당해서비스제공자의업무에현저한지장을미칠우려가있는경우 3. 다른법령에위반하는경우 (4) 벌칙및행정처벌 m 이용자가개인정보수집 이용 제공등의동의를철회하였으나, 사업자가 지체없이개인정보를파기하는등필요한조치를하지않은경우 -3 천만원이하의과태료를부과 ( 법제 76 조제 1 항제 4 호 ) m 이용자가본인에관한개인정보의열람또는제공을요구하였으나, 사업자가 지체없이필요한조치를취하지않은경우 -3 천만원이하의과태료를부과 ( 법제 76 조제 1 항제 5 호 ) - 94 -
m 오류정정을요구받았으나, 오류를정정하거나정정하지못하는사유를통지하는 등필요한조치를취하지않고개인정보를제공하거나이용하는경우 -3 천만원이하의과태료를부과 ( 법제 76 조제 1 항제 5 호 ) (5) 개인정보보호법과의관계 m 개인정보보호법에서도정보주체의열람및정정 삭제권리를규정하고있으나, 정보통신망법에개별규정이있어이를우선적용하게됩니다. -따라서, 정보통신서비스제공자등은이용자의열람및정정 삭제요청에대해서는정보통신망법에따라조치하면됩니다. m 다만, 정보통신망법에서는개인정보의처리정지에대해서는규정하고있지 않으므로이에대해서는개인정보보호법에따라조치하여야합니다. < 근거법령 > 개인정보보호법제35 조 ( 개인정보의열람 )1 정보주체는개인정보처리자가처리하는자신의개인정보에대한열람을해당개인정보처리자에게요구할수있다. 2 제1항에도불구하고정보주체가자신의개인정보에대한열람을공공기관에요구하고자할때에는공공기관에직접열람을요구하거나대통령령으로정하는바에따라행정안전부장관을통하여열람을요구할수있다. 3 개인정보처리자는제1항및제2항에따른열람을요구받았을때에는대통령령으로정하는기간내에정보주체가해당개인정보를열람할수있도록하여야한다. 이경우해당기간내에열람할수없는정당한사유가있을때에는정보주체에게그사유를알리고열람을연기할수있으며, 그사유가소멸하면지체없이열람하게하여야한다. 4 개인정보처리자는다음각호의어느하나에해당하는경우에는정보주체에게그사유를알리고열람을제한하거나거절할수있다. 1. 법률에따라열람이금지되거나제한되는경우 2. 다른사람의생명 신체를해할우려가있거나다른사람의재산과그밖의이익을부당하게침해할우려가있는경우 3. 공공기관이다음각목의어느하나에해당하는업무를수행할때중대한지장을초래하는경우가. 조세의부과 징수또는환급에관한업무나. 초 중등교육법 및 고등교육법 에따른각급학교, 평생교육법 에따른평생교육시설, 그밖의다른법률에따라설치된고등교육기관에서의성적평가또는입학자선발에관한업무다. 학력 기능및채용에관한시험, 자격심사에관한업무 - 95 -
< 근거법령 > 라. 보상금 급부금산정등에대하여진행중인평가또는판단에관한업무마. 다른법률에따라진행중인감사및조사에관한업무 5 제1항부터제4항까지의규정에따른열람요구, 열람제한, 통지등의방법및절차에관하여필요한사항은대통령령으로정한다. 개인정보보호법제36 조 ( 개인정보의정정 삭제 )1 제35 조에따라자신의개인정보를열람한정보주체는개인정보처리자에게그개인정보의정정또는삭제를요구할수있다. 다만, 다른법령에서그개인정보가수집대상으로명시되어있는경우에는그삭제를요구할수없다. 2 개인정보처리자는제1항에따른정보주체의요구를받았을때에는개인정보의정정또는삭제에관하여다른법령에특별한절차가규정되어있는경우를제외하고는지체없이그개인정보를조사하여정보주체의요구에따라정정 삭제등필요한조치를한후그결과를정보주체에게알려야한다. 3 개인정보처리자가제2항에따라개인정보를삭제할때에는복구또는재생되지아니하도록조치하여야한다. 4 개인정보처리자는정보주체의요구가제1항단서에해당될때에는지체없이그내용을정보주체에게알려야한다. 5 개인정보처리자는제2항에따른조사를할때필요하면해당정보주체에게정정 삭제요구사항의확인에필요한증거자료를제출하게할수있다. 6 제1항 제2항및제4항에따른정정또는삭제요구, 통지방법및절차등에필요한사항은대통령령으로정한다. 개인정보보호법제37 조 ( 개인정보의처리정지등 )1 정보주체는개인정보처리자에대하여자신의개인정보처리의정지를요구할수있다. 이경우공공기관에대하여는제32 조에따라등록대상이되는개인정보파일중자신의개인정보에대한처리의정지를요구할수있다. 2 개인정보처리자는제1항에따른요구를받았을때에는지체없이정보주체의요구에따라개인정보처리의전부를정지하거나일부를정지하여야한다. 다만, 다음각호의어느하나에해당하는경우에는정보주체의처리정지요구를거절할수있다. 1. 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 2. 다른사람의생명 신체를해할우려가있거나다른사람의재산과그밖의이익을부당하게침해할우려가있는경우 3. 공공기관이개인정보를처리하지아니하면다른법률에서정하는소관업무를수행할수없는경우 4. 개인정보를처리하지아니하면정보주체와약정한서비스를제공하지못하는등계약의이행이곤란한경우로서정보주체가그계약의해지의사를명확하게밝히지아니한경우 3 개인정보처리자는제2항단서에따라처리정지요구를거절하였을때에는정보주체에게 - 96 -
< 근거법령 > 지체없이그사유를알려야한다. 4 개인정보처리자는정보주체의요구에따라처리가정지된개인정보에대하여지체없이해당개인정보의파기등필요한조치를하여야한다. 5 제1항부터제3항까지의규정에따른처리정지의요구, 처리정지의거절, 통지등의방법및절차에필요한사항은대통령령으로정한다. 개인정보보호법제38 조 ( 권리행사의방법및절차 )1 정보주체는제35 조에따른열람, 제36 조에따른정정 삭제, 제37 조에따른처리정지등의요구 ( 이하 열람등요구 라한다 ) 를문서등대통령령으로정하는방법 절차에따라대리인에게하게할수있다. 2 만 14 세미만아동의법정대리인은개인정보처리자에게그아동의개인정보열람등요구를할수있다. 3 개인정보처리자는열람등요구를하는자에게대통령령으로정하는바에따라수수료와우송료 ( 사본의우송을청구하는경우에한한다 ) 를청구할수있다. 4 개인정보처리자는정보주체가열람등요구를할수있는구체적인방법과절차를마련하고, 이를정보주체가알수있도록공개하여야한다. 5 개인정보처리자는정보주체가열람등요구에대한거절등조치에대하여불복이있는경우이의를제기할수있도록필요한절차를마련하고안내하여야한다. m 개인정보처리정지요구에대한보다세부적인사항은 개인정보보호법령및 지침 고시해설 ( 행정안전부,2011.12 월발간 ) 제 37 조개인정보의처리정지등을 참고하시기바랍니다. - 97 -
4. 개인정보이용내역의통지 < 근거법령 > 정보통신망법제30 조의2( 개인정보이용내역의통지 )1 정보통신서비스제공자등으로서대통령령으로정하는기준에해당하는자는제22 조및제23 조제1항단서에따라수집한이용자개인정보의이용내역 ( 제24 조의2 에따른제공및제25 조에따른개인정보취급위탁을포함한다 ) 을주기적으로이용자에게통지하여야한다. 다만, 연락처등이용자에게통지할수있는개인정보를수집하지않은경우에는그러하지아니하다. 2 제1항에따라이용자에게통지하여야하는정보의종류, 통지주기및방법, 그밖에이용내역통지에필요한사항은대통령령으로정한다. 정보통신망법시행령제17 조 ( 개인정보이용내역의통지 )1 법제30 조의2제 1항에서 " 대통령령으로정하는기준에해당하는자 " 란전년도말기준직전 3개월간의그개인정보가저장 관리되고있는이용자수가일일평균 100 만명이상이거나정보통신서비스부문전년도 ( 법인의경우에는전사업연도를말한다 ) 매출액이 100 억원이상인정보통신서비스제공자등을말한다. 2 법제30 조의2제 1항에따라이용자에게통지하여야하는정보의종류는다음각호와같다. 1. 개인정보의수집 이용목적및수집한개인정보의항목 2. 개인정보를제공받은자, 그제공목적및제공한개인정보의항목 ( 다만, 통신비밀보호법제13 조, 제13 조의2, 제13 조의4및전기통신사업법제83 조제3항에따라제공한정보는제외 ) 3. 법제25 조제1항전단에따른개인정보취급위탁을받은자및그취급위탁을하는업무의내용 3 법제30 조의2제 1항에따른통지는전자우편 서면 모사전송 전화또는이와유사한방법중어느하나의방법으로연 1회이상하여야한다. (1) 법규정취지 m 이용자는자신에관한정보가언제, 누구에게어느범위까지알려지고또 이용되도록할것인지를스스로결정할수있는권리가있습니다. m 개인정보이용내역통지제도는전년도말기준직전 3개월간의그개인정보가저장 관리되고있는이용자수가일일평균 100 만명이상이거나전년도정보통신서비스부문매출액이 100 억원이상인사업자가연 1회이상이용자의개인정보이용내역을통지하도록함으로써, 이와같은이용자의권리를보장하기위해신설되었습니다. - 98 -
(2) 사업자조치사항 m 전년도말기준직전 3개월간개인정보가저장 관리되고있는이용자수가일일평균 100 만명이상이거나전년도정보통신서비스부문매출액이 100 억원이상인사업자는 1개인정보의수집 이용목적및수집한개인정보의항목 2개인정보를제공받은자, 그제공목적및제공한개인정보의항목 3개인정보를취급위탁받은자및그취급위탁목적을전자우편 서면 모사전송 전화또는이와유사한방법중하나의방법으로연 1회이상주기적으로이용자에게통지하여야합니다. (3) 해설 가. 법적용대상 m 전년도말기준직전 3개월간의그개인정보가저장 관리되고있는이용자수가일일평균 100 만명이상인사업자 -사업자가개인정보를보유하고있는이용자의수를전년도말기준직전 3개월동안의일일보유량의평균으로산정함 전년도 10,11,12 월일일보유량 ( 개인정보를보유하고있는이용자의수 ) 의총합 /92( 일수 ) m 정보통신서비스부문전년도매출액이 100 억원이상인사업자 -전기통신설비를이용하여타인의통신을매개, 타인의통신용으로제공또는전기통신설비를이용하여정보를제공하거나정보의제공을매개하여발생하는매출액만을대상으로합니다. 나. 통지대상정보 m 사업자는 1개인정보의수집 이용목적및수집한개인정보의항목,2 개인정보를제3자에게제공한경우개인정보를제공받은자와제공목적및제공한개인정보의항목,3 개인정보의취급을위탁한경우취급위탁을받은자와취급위탁목적을이용자에게통지하여야합니다. -개인정보의수집 이용목적및항목만을통지하면되므로개별적인건별이용내역은통지하지않아도됩니다. - 99 -
-통지대상정보에관련된사항은개인정보취급방침에포함된사항이므로해당내용을기초로하여개인정보의수집 이용목적및항목과해당목적내에서실제로제공 위탁한내역 ( 제3자제공 : 제공받은자, 목적, 항목, 취급위탁 : 위탁받은자, 목적 ) 을통지하면됩니다. -다만, 제공 위탁한내역이없는경우에도개인정보의수집 이용목적및수집한개인정보의항목과함께제공 위탁한내역이없음을통지해야합니다. m 개인정보의이용내역통지에의해수사중인상황이노출될경우수사목적달성에지장을초래할수있으므로통신비밀보호법제13 조, 제13 조의2, 제13 조의4 및전기통신사업법제83 조제3항에따라제공한정보는통지대상정보에서제외됩니다. 또한, 적시된법률에의한경우와개별법률에서별도의통지를규정하고있는수사기관에대한정보제공은이용내역통지대상에서제외됩니다. < 이용내역통지제외대상정보관련조항 > 통신비밀보호법제13 조 ( 범죄수사를위한통신사실확인자료제공의절차 )1 검사또는사법경찰관은수사또는형의집행을위하여필요한경우전기통신사업법에의한전기통신사업자 ( 이하 " 전기통신사업자 " 라한다 ) 에게통신사실확인자료의열람이나제출 ( 이하 " 통신사실확인자료제공 " 이라한다 ) 을요청할수있다. 2 제1항의규정에의한통신사실확인자료제공을요청하는경우에는요청사유, 해당가입자와의연관성및필요한자료의범위를기록한서면으로관할지방법원 ( 보통군사법원을포함한다. 이하같다 ) 또는지원의허가를받아야한다. 다만, 관할지방법원또는지원의허가를받을수없는긴급한사유가있는때에는통신사실확인자료제공을요청한후지체없이그허가를받아전기통신사업자에게송부하여야한다. 3 제2항단서의규정에의하여긴급한사유로통신사실확인자료를제공받았으나지방법원또는지원의허가를받지못한경우에는지체없이제공받은통신사실확인자료를폐기하여야한다. 4 삭제 <2005.5.26> 5 검사또는사법경찰관은제2항의규정에따라통신사실확인자료제공을받은때에는당해통신사실확인자료제공요청사실등필요한사항을기재한대장과통신사실확인자료제공요청서등관련자료를소속기관에비치하여야한다. 6 지방법원또는지원은제2항의규정에따라통신사실확인자료제공요청허가청구를받은현황, 이를허가한현황및관련된자료를보존하여야한다. 7 전기통신사업자는검사, 사법경찰관또는정보수사기관의장에게통신사실확인 - 100 -
자료를제공한때에는자료제공현황등을연 2회방송통신위원회에보고하고, 당해통신사실확인자료제공사실등필요한사항을기재한대장과통신사실확인자료제공요청서등관련자료를통신사실확인자료를제공한날부터 7년간비치하여야한다. 8 방송통신위원회는전기통신사업자가제7항의규정에의하여보고한내용의사실여부및비치하여야하는대장등관련자료의관리실태를점검할수있다. 9 이조에서규정된사항외에범죄수사를위한통신사실확인자료제공과관련된사항에관하여는제6조 ( 동조제7항을제외한다 ) 의규정을준용한다. 제 13 조의 2( 법원에의통신사실확인자료제공 ) 법원은재판상필요한경우에는민사소송법 제 294 조또는형사소송법제 272 조의규정에의하여전기통신사업자에게통신사실 확인자료제공을요청할수있다. 제13 조의4( 국가안보를위한통신사실확인자료제공의절차등 )1 정보수사기관의장은국가안전보장에대한위해를방지하기위하여정보수집이필요한경우전기통신사업자에게통신사실확인자료제공을요청할수있다. 2 제7조내지제9조및제9조의 2제 3항 제4항 제6항의규정은제1항의규정에의한통신사실확인자료제공의절차등에관하여이를준용한다. 이경우 " 통신제한조치 " 는 " 통신사실확인자료제공요청 " 으로본다. 3 13 조제3항및제5항의규정은통신사실확인자료의폐기및관련자료의비치에관하여이를준용한다. 전기통신사업법제83 조 ( 통신비밀의보호 )3 전기통신사업자는법원, 검사또는수사관서의장 ( 군수사기관의장, 국세청장및지방국세청장을포함한다. 이하같다 ), 정보수사기관의장이재판, 수사 ( 조세범처벌법 제10 조제1항 제3항 제4항의범죄중전화, 인터넷등을이용한범칙사건의조사를포함한다 ), 형의집행또는국가안전보장에대한위해를방지하기위한정보수집을위하여다음각호의자료의열람이나제출 ( 이하 통신자료제공 이라한다 ) 을요청하면그요청에따를수있다. 1. 이용자의성명 2. 이용자의주민등록번호 3. 이용자의주소 4. 이용자의전화번호 5. 이용자의아이디 ( 컴퓨터시스템이나통신망의정당한이용자임을알아보기위한이용자식별부호를말한다 ) 6. 이용자의가입일또는해지일 4 제3항에따른통신자료제공요청은요청사유, 해당이용자와의연관성, 필요한자료의범위를기재한서면 ( 이하 자료제공요청서 라한다 ) 으로하여야한다. 다만, 서면으로요청할수없는긴급한사유가있을때에는서면에의하지아니하는방법으로요청할수있으며, 그사유가해소되면지체없이전기통신사업자에게 - 101 -
자료제공요청서를제출하여야한다. 5 전기통신사업자는제3항과제4항의절차에따라통신자료제공을한경우에는해당통신자료제공사실등필요한사항을기재한대통령령으로정하는대장과자료제공요청서등관련자료를갖추어두어야한다. 6 전기통신사업자는대통령령으로정하는방법에따라통신자료제공을한현황등을연 2회방송통신위원회에보고하여야하며, 방송통신위원회는전기통신사업자가보고한내용의사실여부및제5항에따른관련자료의관리상태를점검할수있다. 7 전기통신사업자는제3항에따라통신자료제공을요청한자가소속된중앙행정기관의장에게제5항에따른대장에기재된내용을대통령령으로정하는방법에따라알려야한다. 다만, 통신자료제공을요청한자가법원인경우에는법원행정처장에게알려야한다. 8 전기통신사업자는이용자의통신비밀에관한업무를담당하는전담기구를설치 운영하여야하며, 그전담기구의기능및구성등에관한사항은대통령령으로정한다. 9 자료제공요청서에대한결재권자의범위등에관하여필요한사항은대통령령으로정한다. 다. 통지주기및방법 m 연 1 회이상개인정보이용내역을주기적으로이용자에게통지하여야합니다. - 사업자편의에따라통지의시기를결정할수있습니다. m 다만, 연락처등이용자에게통지할수있는개인정보를수집하지않은경우에는 그렇지않습니다. m 통지는전자우편 서면 모사전송 전화또는이와유사한방법으로하여야하며, 수집한연락처정보에따라서통지의방법은사업자가자유롭게결정할수있습니다. -또한이와유사한방법에는 SMS 나인스턴트메신저를이용하는방법이포함되며, 통지시이용내역을확인할수있는웹사이트링크주소만보내고이용자가해당웹페이지에로그인하여확인할수있도록조치하는것도가능합니다. -다만, 개별적인통지없이웹사이트게재를통해서이용내역을확인할수있는조치를취하는것만으로는올바른이용내역통지로볼수없습니다. - 102 -
< 개인정보이용내역통지예시 > ( 수집 이용목적 ) ( 취급방침에따른개인정보수집 이용목적기재 ) ( 수집한개인정보의항목 ) ( 취급방침에따른수집한개인정보의항목기재 ) ( 개인정보제3자제공관련 ) 개인정보를제공받은자 :( 개인정보제공받은자기재. 다수일경우 00 등 00 사 ) 제공목적 :( 제3자제공과관련해서동의를받은목적중해당사항기재 ) 제공한개인정보항목 :( 제공한개인정보의항목기재 ) ( 개인정보취급위탁관련 ) 개인정보의수탁자 :( 개인정보를취급위탁받은자기재. 다수일경우 00 등 00 사 ) 취급위탁목적 :( 개인정보취급위탁업무내용기재 ) 보다자세한사항은홈페이지를통해확인가능합니다. 본예시는이해를돕기위한예시로표준양식이아님을알려드립니다. (4) 벌칙및행정처벌 m 정보통신서비스제공자등이개인정보의이용내역을통지하지않은경우 -3 천만원이하의과태료를부과 ( 법제 76 조제 1 항제 5 의 2 호 ) (5) 개인정보보호법과의관계 m 개인정보보호법에서는개인정보이용내역통지에대한별도규정이없습니다. 따라서정보통신서비스제공자등은정보통신망법에따라개인정보이용내역을 이용자에게통지하면됩니다. - 103 -
Q&A 수사기관제공내역 Q1. 관련법률에근거하여수사기관에제공한내역도통지해야하나요? A. 개인정보의이용내역통지에의해수사중인상황이노출될경우수사목적달성에지장을초래할수있으므로통신비밀보호법제13조 ( 범죄수사를위한통신사실확인자료제공의절차 ), 제13조의2( 법원에의통신사실확인자료제공 ), 제13조의4( 국가안보를위한통신사실확인자료제공의절차등 ) 및전기통신사업법제83조제3항 ( 통신비밀의보호 ) 에따라제공한정보는이용내역통지대상정보에서제외됩니다. 또한, 적시된법률에의한경우와개별법률에서별도의통지절차를규정하고있는수사기관에대한정보제공은이용내역통지대상에서제외됩니다. Q&A 이용자선택 Q2. 이용자의선택에따라이용내역을통지하지않을수있나요? A. 정보통신망법에정보통신서비스제공자등으로서대통령령으로정하는기준 ( 전년도말기준직전 3개월간저장 관리되고있는이용자수가일일평균 100만명이상이거나정보통신서비스부문전년도매출액이 100억원이상인정보통신서비스제공자등 ) 에해당하는자는주기적으로이용자에게이용내역을통지하여야한다고규정되어있어이용자의선택과무관하게반드시이용내역을통지하여야합니다. Q&A 통지방법 Q3. 이용내역은어떻게통지해야하나요? A. 전자우편 서면 모사전송 전화또는이와유사한방법중사업자가자유롭게선택하여연 1회이상이용내역을통지하여야합니다. 통지대상정보는개인정보취급방침내용을바탕으로실제로이용 제공한사항을통지하여야합니다. 이용 제공내역이많은경우 OOO외 OO곳 과같은형식으로통지하고자세한내용은사업자의홈페이지등을통해서확인하도록할수있습니다. 다만, 이용 제공내역이없는경우에도반드시수집 이용목적및항목을포함하여해당사항이없음을통지하여야합니다. - 104 -
5. 개인정보취급방침작성 < 근거법령 > 정보통신망법제27 조의2( 개인정보취급방침의공개 )1 정보통신서비스제공자등은이용자의개인정보를취급하는경우에는개인정보취급방침을정하여이용자가언제든지쉽게확인할수있도록대통령령으로정하는방법에따라공개하여야한다. 2 제1항에따른개인정보취급방침에는다음각호의사항이모두포함되어야한다. 1. 개인정보의수집 이용목적, 수집하는개인정보의항목및수집방법 2. 개인정보를제3자에게제공하는경우제공받는자의성명 ( 법인인경우에는법인의명칭을말한다 ), 제공받는자의이용목적과제공하는개인정보의항목 3. 개인정보의보유및이용기간, 개인정보의파기절차및파기방법 ( 제29 조각호외의부분단서에따라개인정보를보존하여야하는경우에는그보존근거와보존하는개인정보항목을포함한다 ) 4. 개인정보취급위탁을하는업무의내용및수탁자 ( 해당되는경우에만취급방침에포함한다 ) 5. 이용자및법정대리인의권리와그행사방법 6. 인터넷접속정보파일등개인정보를자동으로수집하는장치의설치 운영및그거부에관한사항 7. 개인정보관리책임자의성명또는개인정보보호업무및관련고충사항을처리하는부서의명칭과그전화번호등연락처 3 정보통신서비스제공자등은제1항에따른개인정보취급방침을변경하는경우에는그이유및변경내용을대통령령으로정하는방법에따라지체없이공지하고, 이용자가언제든지변경된사항을쉽게알아볼수있도록조치하여야한다. 정보통신망법시행령제14 조 ( 개인정보취급방침의공개방법등 )1 법제27 조의2 제1항에따라정보통신서비스제공자등은개인정보의수집장소와매체등을고려하여다음각호중어느하나이상의방법으로개인정보취급방침을공개하되, 그명칭을 ' 개인정보취급방침 ' 이라고표시하여야한다. 1. 인터넷홈페이지의첫화면또는첫화면과의연결화면을통하여법제27 조의2 제2항각호의사항을이용자가볼수있도록하는방법. 이경우정보통신서비스제공자등은글자크기, 색상등을활용하여이용자가개인정보취급방침을쉽게확인할수있도록표시하여야한다. 2. 점포 사무소안의보기쉬운장소에써붙이거나비치하여열람하도록하는방법 3. 동일한제호로연 2회이상계속적으로발행하여이용자에게배포하는간행물 소식지 홍보지 청구서등에지속적으로게재하는방법 2 법제27 조의2제 3항에따른개인정보취급방침의변경이유및내용은다음각호의방법중어느하나이상의방법으로공지한다. 1. 정보통신서비스제공자등이운영하는인터넷홈페이지의첫화면의공지사항란또는별도의창을통하여공지하는방법 - 105 -
< 근거법령 > 2. 서면 모사전송 전자우편또는이와비슷한방법으로이용자에게공지하는방법 3. 점포 사무소안의보기쉬운장소에써붙이거나비치하는방법 3 정보통신서비스제공자등이제1항제 1호에따라개인정보취급방침을공개하는경우에는이용자가인터넷을통하여개인정보취급방침의주요사항을언제든지쉽게확인할수있도록하기위하여방송통신위원회가정하여고시하는방법에따른전자적표시도함께하여야한다. (1) 법규정취지 m 이용자는자신의개인정보가어떻게수집 이용 보유 관리되는지를알권리가있습니다. 앞서설명하였듯이수집및이용목적등개인정보와관련된중요한사항은개인정보를최초로수집하는단계에서이용자에게알리고이용자로부터동의를얻어야합니다. -그런데최초수집단계에서동의를얻어야하는사항외에도개인정보보호와관련해이용자가숙지해야할많은사항들이있습니다. 또한, 동의를얻은내용이라할지라도이용자가언제든지이를다시확인할수있어야합니다. -따라서사업자는개인정보의수집및이용에관한사항, 제3자제공에관한사항, 보유및이용기간, 파기절차및방법, 이용자의권리및행사방법, 위탁사항등개인정보보호전반에관해이용자가언제나쉽게확인할수있도록 개인정보취급방침 을통해공개하여야합니다. (2) 사업자조치사항 1 정보통신망법제 27 조의 2 제 2 항에규정한각호의사항을포함하여개인정보 취급방침수립 2 개인정보취급방침을이용자가언제든지확인할수있도록공개 (3) 해설 가. 개인정보취급방침의포함내용 m 이용자가알아야할개인정보보호에관한사항을 개인정보취급방침 에 반영하여공개해야하는데, 반드시포함해야할사항은다음과같습니다. - 106 -
1. 개인정보의수집 이용목적, 수집하는개인정보의항목및수집방법 2. 개인정보를제3자에게제공하는경우제공받는자의성명 ( 법인인경우에는법인의명칭을말한다 ), 제공받는자의이용목적과제공하는개인정보의항목 3. 개인정보의보유및이용기간, 개인정보의파기절차및파기방법 ( 제29 조각호외의부분단서에따라개인정보를보존하여야하는경우에는그보존근거와보존하는개인정보항목을포함한다 ) 4. 개인정보취급위탁을하는업무의내용및수탁자 ( 해당되는경우에만취급방침에포함한다 ) 5. 이용자및법정대리인의권리와그행사방법 6. 인터넷접속정보파일등개인정보를자동으로수집하는장치의설치 운영및그거부에관한사항 7. 개인정보관리책임자의성명또는개인정보보호업무및관련고충사항을처리하는부서의명칭과그전화번호등연락처 m 다만, 주의하여야할사항은법령에따라명칭을 개인정보취급방침 으로해야한다는것입니다. -이조항이제정되기전에는사업자에따라 개인정보보호정책, 개인정보취급정책, 개인정보보호방침 등다양한용어가사용되었지만, 이조항을통해명칭을 개인정보취급방침 으로통일하도록규정하였습니다. 나. 개인정보취급방침의공개방법 m 개인정보취급방침은인터넷홈페이지의첫화면, 사무실의보기쉬운장소, 정기간행물등에게재하거나비치하는방법으로이용자가언제든지쉽게확인할 수있도록공개해야합니다. 개인정보취급방침공개방법의예 1. 인터넷홈페이지에게시하고그주소를정보통신서비스제공자홈페이지첫화면최하단중앙에게시한후클릭하면볼수있도록하는방법 2. 점포 사무소내의보기쉬운장소에공고하거나비치하여열람하도록하는방법 3. 이용자에게월단위이내마다정기적으로배포하는간행물, 소식지, 홍보지, 청구서등에지속적으로게재하는방법 m 또한, 홈페이지에 개인정보취급방침 을공개할때에는글자크기, 색상등을 적절히활용하여이용자가쉽게찾을수있도록표시해야합니다. - 107 -
< 개인정보취급방침사용예시 > 다. 개인정보취급방침의내용이변경되는경우 m 개인정보취급방침내용이변경되는경우에도변경사유와변경된내용을 공개하도록합니다. 개인정보취급방침의내용변경공지방법 1. 홈페이지첫화면공지사항란또는별도의창을통해공지 2. 서면, 팩스, 이메일또는이와유사한방법 3. 점포 사무실내의보기쉬운장소에게시또는비치 (4) 벌칙및행정처벌 m 개인정보취급방침을공개하지않은경우 -2 천만원이하의과태료를부과 ( 법제 76 조제 2 항제 4 호 ) (5) 개인정보보호법과의관계 m 개인정보보호법에서는개인정보처리방침을수립하여정보주체에게고지하도록규정하고있습니다. 그러나이경우에는정보통신망법에도별도규정이있어이를우선적용하게되므로, 정보통신망법에따라개인정보취급방침을수립하여공개하면됩니다. - 108 -