-
개인정보 관련 법률론_전문#03. 개인정보 2019. 3. 2. 12:11
1. 개인정보보호법
① 개인정보 열람과 안전성의 확보
▶ 개인정보보호보호법 제 35조 (개인정보의 열람)
① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다.
② 제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 행정안전부장관을 통하여 열람을 요구할 수 있다.
③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간(10일) 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다.
④ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다.
1. 법률에 따라 열람이 금지되거나 제한되는 경우
2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우
가. 조세의 부과ㆍ징수 또는 환급에 관한 업무
나. 「초ㆍ중등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무
다. 학력ㆍ기능 및 채용에 관한 시험, 자격 심사에 관한 업무
라. 보상금ㆍ급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무
마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무
⑤ 제1항부터 제4항까지의 규정에 따른 열람 요구, 열람 제한, 통지 등의 방법 및 절차에 관하여 필요한 사항은 대통령령으로 정한다.
(1) 10일 이내에 개인정보 열람할 수 있도록 하는 경우
(2) 42조 1항에 따라 열람 요구 사항 중 일부를 열람하게 하는 경우(35조 4항 항목 열람 제외)
(1)항목의 경우 열람 가능한 개인정보, 열람 가능한 날짜·시간 및 장소이며, (2)항목의 경우 (1)항목에 더하여 일부만 열람 가능한 사유와 이의제기방을 포함한다.
기본적으로 행정안전부령으로 정하는 열람 통지서 규격에 따라 정보주체에게 알려야 하지만 즉시 열람하게 하는 경우 열람통지서 발급을 생략 가능하다.
② 홈페이지 개인정보보호
③ 개인정보의 위탁
▶ 개인정보보호보호법 제 26조(업무위탁에 따른 개인정보의 처리 제한)
① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항
3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
위탁을 맡기니 위탁업무의 목적과 범위를 설정해야 하고, 재위탁 제한을 걸어야 하며, 위탁하는 개인정보에 대한 접근 제한등 안전성 확보 조치를 수행한다. 또한 위탁업무 관련하여 보유하는 개인정보의 관리 현황 점검 등 위탁자의 의무(감독)에 관한 사항과 수탁자가 준수 위반 할 경우를 대비하여 손해배상 등 책임에 관한 사항을 지정한다.
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 "위탁자"라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 "수탁자"라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
위탁자의 인터넷 홈페이지
위탁자의 사업장 등의 보기 쉬운 장소에 게시
관보(위탁자가 공공기관인 경우에만 해당)나 일반주간신문, 일반일간신문, 인터넷신문
같은 제목으로 연 2회이상 발행하여 정보주체에게 배포하는 간행물·소식지·홍보지 또는 청구서에 싣기
재화나 용역제공을 위해 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법을 사용
해당 방법 사용이 불가능하다면 인터넷 홈페이지, 홈페이지 사용불가능이면 사업장에 30일 이상 게시
④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.
⑥ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.
⑦ 수탁자에 관하여는 제15조부터 제25조까지, 제27조부터 제31조까지, 제33조부터 제38조까지 및 제59조를 준용한다.④ 개인정보의 정정과 삭제
▶ 개인정보보호보호법 제 36조(개인정보의 정정·삭제)
① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.
② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ㆍ삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.
③ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
④ 개인정보처리자는 정보주체의 요구가 제1항 단서에 해당될 때에는 지체 없이 그 내용을 정보주체에게 알려야 한다.
⑤ 개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주체에게 정정ㆍ삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다.
⑥ 제1항ㆍ제2항 및 제4항에 따른 정정 또는 삭제 요구, 통지 방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.
개인정보 처리자는 정정이나 삭제요구를 받은 날로부터 10일 이내 조치 후에 조치 사실을 정보주체에게 전달해야한다. 그러나 1항과 같이 삭제요구에 따를 수 없는 경우 개인정보 정정·삭제 결과 통지서로 알려야한다.
⑤ 개인정보 침해사실의 신고와 절차
▶ 개인정보보호보호법 제 62조(침해 사실의 신고 등)
① 개인정보처리자가 개인정보를 처리할 때 개인정보에 관한 권리 또는 이익을 침해받은 사람은 행정안전부장관에게 그 침해 사실을 신고할 수 있다.② 행정안전부장관은 제1항에 따른 신고의 접수ㆍ처리 등에 관한 업무를 효율적으로 수행하기 위하여 대통령령으로 정하는 바에 따라 전문기관(한국인터넷진흥원)을 지정할 수 있다. 이 경우 전문기관은 개인정보침해 신고센터를 설치ㆍ운영하여야 한다.
③ 신고센터는 다음 각 호의 업무를 수행한다.
1. 개인정보 처리와 관련한 신고의 접수ㆍ상담
2. 사실의 조사ㆍ확인 및 관계자의 의견 청취
3. 제1호 및 제2호에 따른 업무에 딸린 업무
④ 행정안전부장관은 제3항제2호의 사실 조사ㆍ확인 등의 업무를 효율적으로 하기 위하여 필요하면 「국가공무원법」 제32조의4에 따라 소속 공무원을 제2항에 따른 전문기관에 파견할 수 있다.
2. 정보통신망 관련 법률
① 정보통신 서비스 제공자 및 이용자 책무
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 2조(정의)
"정보통신서비스 제공자"란 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다.
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 3조(정보통신서비스 제공자 및 이용자의 책무)
① 정보통신서비스 제공자는 이용자의 개인정보를 보호하고 건전하고 안전한 정보통신서비스를 제공하여 이용자의 권익보호와 정보이용능력의 향상에 이바지하여야 한다.
② 이용자는 건전한 정보사회가 정착되도록 노력하여야 한다.
③ 정부는 정보통신서비스 제공자단체 또는 이용자단체의 개인정보보호 및 정보통신망에서의 청소년 보호 등을 위한 활동을 지원할 수 있다.
② 정보통신망 이용촉진 및 정보보호 등에 관한 시책
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 4조(정보통신망 이용촉진 및 정보보호등에 관한 시책의 마련)
① 과학기술정보통신부장관 또는 방송통신위원회는 정보통신망의 이용촉진 및 안정적 관리ㆍ운영과 이용자의 개인정보보호 등(이하 "정보통신망 이용촉진 및 정보보호등"이라 한다)을 통하여 정보사회의 기반을 조성하기 위한 시책을 마련하여야 한다.
② 제1항에 따른 시책에는 다음 각 호의 사항이 포함되어야 한다.>
1. 정보통신망에 관련된 기술의 개발·보급
2. 정보통신망의 표준화
3. 정보내용물 및 제11조에 따른 정보통신망 응용서비스의 개발 등 정보통신망의 이용 활성화
4. 정보통신망을 이용한 정보의 공동활용 촉진
5. 인터넷 이용의 활성화
6. 정보통신망을 통하여 수집·처리·보관·이용되는 개인정보의 보호 및 그와 관련된 기술의 개발ㆍ보급
6의2. 개인정보 처리에 따른 위험성 및 결과, 이용자의 권리 등을 명확하게 인지하지 못할 수 있는 만 14세 미만의 아동의 개인정보보호
: 신규추가된 사항(2019년 6월 25일 시행)
7. 정보통신망에서의 청소년 보호
8. 정보통신망의 안전성 및 신뢰성 제고
9. 그 밖에 정보통신망 이용촉진 및 정보보호등을 위하여 필요한 사항
③ 과학기술정보통신부장관 또는 방송통신위원회는 제1항에 따른 시책을 마련할 때에는 「국가정보화 기본법」 제6조에 따른 국가정보화 기본계획과 연계되도록 하여야 한다.
③ 개인정보의 수집 이용 및 제공
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 22조(개인정보의 수집·이용 동의 등)
① 정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하는 개인정보의 항목
3. 개인정보의 보유ㆍ이용 기간
(개인정보보호법은 여기에 + 동의를 거부할 권리가 있다는 사실 및 동의거부에 따른 불이익이 있는 경우 불이익의 내용이 추가된다.)
② 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집ㆍ이용할 수 있다.
1. 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
3. 이 법 또는 다른 법률에 특별한 규정이 있는 경우
③ 정보통신서비스 제공자는 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 하는 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용하여야 한다.
: 신규추가된 사항(2019년 6월 25일 시행)
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 22조의 2(접근 권한에 대한 동의)
① 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한(이하 "접근권한"이라 한다)이 필요한 경우 다음 각 호의 사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다.
1. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가. 접근권한이 필요한 정보 및 기능의 항목
나. 접근권한이 필요한 이유
2. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가. 접근권한이 필요한 정보 및 기능의 항목
나. 접근권한이 필요한 이유
다. 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
* 위의 사항을 준수해야 하는 경우: 연락처, 일정, 영상, 통신내용, 바이오정보, 위치정보, 통신기록, 인증정보, 신체활동 기록, 국제식별번호, 이동통신단말 장치의 식별을 위하여 부여된 고유정보, 촬영, 음ㅇ성인식, 바이오정보 및 건강정보 감지센서 등 입력 및 출력기능
* 위의 사항에 예외되는 경우: 이동통신단말장치의 제조·공급 과정에서 설치된 소프트웨어가 통신, 촬영, 영상·음악 재생 등 이동통신단말장치의 본질적인 기능을 수행하기 위하여 접근하는 정보와 기능은 제한다.
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공을 거부하여서는 아니 된다.
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는 기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를 하여야 한다.
④ 방송통신위원회는 해당 서비스의 접근권한의 설정이 제1항부터 제3항까지의 규정에 따라 이루어졌는지 여부에 대하여 실태조사를 실시할 수 있다.
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 23조(개인정보의 수집 제한 등)
① 정보통신서비스 제공자는 사상, 신념, 가족 및 친인척관계, 학력(學歷)ㆍ병력(病歷), 기타 사회활동 경력 등 개인의 권리ㆍ이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개인정보를 수집하여서는 아니 된다. 다만, 제22조제1항에 따른 이용자의 동의를 받거나 다른 법률에 따라 특별히 수집 대상 개인정보로 허용된 경우에는 필요한 범위에서 최소한으로 그 개인정보를 수집할 수 있다.
② 정보통신서비스 제공자는 이용자의 개인정보를 수집하는 경우에는 정보통신서비스의 제공을 위하여 필요한 범위에서 최소한의 개인정보만 수집하여야 한다. <개정 2014. 5. 28.>
③ 정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부하여서는 아니 된다. 이 경우 필요한 최소한의 개인정보는 해당 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 정보를 말한다. <신설 2014. 5. 28.>
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 23조의 2(주민등록번호의 사용 제한)
① 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 이용자의 주민등록번호를 수집ㆍ이용할 수 없다.
1. 제23조의3에 따라 본인확인기관으로 지정받은 경우
2. 법령에서 이용자의 주민등록번호 수집ㆍ이용을 허용하는 경우
3. 영업상 목적을 위하여 이용자의 주민등록번호 수집ㆍ이용이 불가피한 정보통신서비스 제공자로서 방송통신위원회가 고시하는 경우
* 영업상목적을 위해 불가피한 사용자: 기간통신사업자로부터 이동통신서비스를 도매 제공받아 재판매하는 전기통신 사업자
* 영업상 목적이란: 휴대전화번호를 이용한 본인확인 서비스
② 제1항제2호 또는 제3호에 따라 주민등록번호를 수집ㆍ이용할 수 있는 경우에도 이용자의 주민등록번호를 사용하지 아니하고 본인을 확인하는 방법(이하 "대체수단"이라 한다)을 제공하여야 한다.
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 24조(개인정보의 이용 제한)
22조 1항의 동의받을 때 사용한 수집 목적과 다른 목적으로 이용해서는 안된다.
22조 2항의 비동의 수집 사항의 목적과 다른 목적으로 이용해서는 안된다.
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 24조의 2(개인정보의 제공 동의 등)
① 정보통신서비스 제공자는 이용자의 개인정보를 제3자에게 제공하려면 제22조제2항제2호 및 제3호에 해당하는 경우 외에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
② 제1항에 따라 정보통신서비스 제공자로부터 이용자의 개인정보를 제공받은 자는 그 이용자의 동의가 있거나 다른 법률에 특별한 규정이 있는 경우 외에는 개인정보를 제3자에게 제공하거나 제공받은 목적 외의 용도로 이용하여서는 아니 된다.
③ 제25조제1항에 따른 정보통신서비스 제공자등은 제1항에 따른 제공에 대한 동의와 제25조제1항에 따른 개인정보 처리위탁에 대한 동의를 받을 때에는 제22조에 따른 개인정보의 수집ㆍ이용에 대한 동의와 구분하여 받아야 하고, 이에 동의하지 아니한다는 이유로 서비스 제공을 거부하여서는 아니 된다.
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 25조(개인정보의 처리위탁)
① 정보통신서비스 제공자와 그로부터 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 "정보통신서비스 제공자등"이라 한다)는 제3자에게 이용자의 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위(이하 "처리"라 한다)를 할 수 있도록 업무를 위탁(이하 "개인정보 처리위탁"이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. <개정 2016. 3. 22.>
1. 개인정보 처리위탁을 받는 자(이하 "수탁자"라 한다)
2. 개인정보 처리위탁을 하는 업무의 내용
② 정보통신서비스 제공자등은 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 제1항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁에 따른 제1항의 고지절차와 동의절차를 거치지 아니할 수 있다. 제1항 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. <개정 2014. 5. 28., 2016. 3. 22.>
③ 정보통신서비스 제공자등은 개인정보 처리위탁을 하는 경우에는 수탁자가 이용자의 개인정보를 처리할 수 있는 목적을 미리 정하여야 하며, 수탁자는 이 목적을 벗어나서 이용자의 개인정보를 처리하여서는 아니 된다. <개정 2016. 3. 22.>
④ 정보통신서비스 제공자등은 수탁자가 이 장의 규정을 위반하지 아니하도록 관리ㆍ감독 및 교육하여야 한다. <개정 2016. 3. 22.>
⑤ 수탁자가 개인정보 처리위탁을 받은 업무와 관련하여 이 장의 규정을 위반하여 이용자에게 손해를 발생시키면 그 수탁자를 손해배상책임에 있어서 정보통신서비스 제공자등의 소속 직원으로 본다. <개정 2016. 3. 22.>
⑥ 정보통신서비스 제공자등이 수탁자에게 개인정보 처리위탁을 할 때에는 문서에 의하여야 한다. <신설 2016. 3. 22.>
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자등의 동의를 받은 경우에 한하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다. <신설 2016. 3. 22.>
④ 개인정보의 관리 및 파기
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제27조(개인정보 보호책임자의 지정)
① 정보통신서비스 제공자등은 이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하여 개인정보 보호책임자를 지정하여야 한다. 다만, 종업원 수, 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자등의 경우에는 지정하지 아니할 수 있다. <개정 2016. 3. 22.>
② 제1항 단서에 따른 정보통신서비스 제공자등이 개인정보 보호책임자를 지정하지 아니하는 경우에는 그 사업주 또는 대표자가 개인정보 보호책임자가 된다. <개정 2016. 3. 22.>
③ 개인정보 보호책임자의 자격요건과 그 밖의 지정에 필요한 사항은 대통령령으로 정한다. <개정 2016. 3. 22.>
④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 정보통신서비스 제공자등의 사업주 또는 대표자에게 개선조치를 보고하여야 한다. 다만, 제2항에 따라 사업주 또는 대표자가 개인정보 보호책임자가 되는 경우에는 개선조치 보고에 대한 사항을 적용하지 아니한다. <신설 2016. 3. 22.>
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제27조의 2(개인정보 처리방침의 공개)
① 정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 경우에는 개인정보 처리방침을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. <개정 2016. 3. 22.>
② 제1항에 따른 개인정보 처리방침에는 다음 각 호의 사항이 모두 포함되어야 한다. <개정 2012. 2. 17., 2016. 3. 22.>
1. 개인정보의 수집ㆍ이용 목적, 수집하는 개인정보의 항목 및 수집방법
2. 개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명(법인인 경우에는 법인의 명칭을 말한다), 제공받는 자의 이용 목적과 제공하는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 파기방법(제29조제1항 각 호 외의 부분 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
4. 개인정보 처리위탁을 하는 업무의 내용 및 수탁자(해당되는 경우에만 처리방침에 포함한다)
5. 이용자 및 법정대리인의 권리와 그 행사방법
6. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항
7. 개인정보 보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처
③ 정보통신서비스 제공자등은 제1항에 따른 개인정보 처리방침을 변경하는 경우에는 그 이유 및 변경내용을 대통령령으로 정하는 방법에 따라 지체 없이 공지하고, 이용자가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하여야 한다.
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 27조의 3(개인정보 유출등의 통지·신고)
① 정보통신서비스 제공자등은 개인정보의 분실ㆍ도난ㆍ유출(이하 "유출등"이라 한다) 사실을 안 때에는 지체 없이 다음 각 호의 모든 사항을 해당 이용자에게 알리고 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지ㆍ신고해서는 아니 된다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다.
* 정당한 사유: 있는 경우 아래의 사항들을 인터넷 홈페이지에 30일 이상 게시하는 것으로 1항의 통지를 갈음하는 것이 가능하다.
1. 유출등이 된 개인정보 항목
2. 유출등이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자등의 대응 조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
1호, 2호와 같이 사항에 관한 구체적인 내용이 확인되지 아니하였으면 그때까지 확인된 내용과 같은 3~5항을 우선 통지·신고 후에 추가로 확인되는 내용에 대해서 확인되는 즉시 통지·신고해야한다.
② 제1항의 신고를 받은 한국인터넷진흥원은 지체 없이 그 사실을 방송통신위원회에 알려야 한다.
③ 정보통신서비스 제공자등은 제1항 본문 및 단서에 따른 정당한 사유를 방송통신위원회에 소명하여야 한다.
④ 제1항에 따른 통지 및 신고의 방법ㆍ절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
⑤ 정보통신서비스 제공자등은 개인정보의 유출등에 대한 대책을 마련하고 그 피해를 최소화할 수 있는 조치를 강구하여야 한다.
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 28조(개인정보의 보호조치)
① 정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적ㆍ관리적 조치를 하여야 한다. <개정 2016. 3. 22.>
1. 개인정보를 안전하게 처리하기 위한 내부관리계획의 수립ㆍ시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치ㆍ운영
3. 접속기록의 위조ㆍ변조 방지를 위한 조치
해당 항목은 전년도 말 기준 직전 3개월 간 개인정보 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신 서비스 부분 전년도(법인은 전 사업연도)매출액이 100억원 이상인 정보통신 서비스 제공자만이 해당한다.
4. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화기술 등을 이용한 보안조치
5. 백신 소프트웨어의 설치ㆍ운영 등 컴퓨터바이러스에 의한 침해 방지조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
② 정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 자를 최소한으로 제한하여야 한다.
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 28조의 2(개인정보의 누설 금지)
① 이용자의 개인정보를 처리하고 있거나 처리하였던 자는 직무상 알게 된 개인정보를 훼손ㆍ침해 또는 누설하여서는 아니 된다.
② 누구든지 그 개인정보가 누설된 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받아서는 아니 된다.
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 29조(개인정보의 파기)
①정보통신서비스 제공자등은 다음 각 호의 어느 하나에 해당하는 경우에는 지체 없이 해당 개인정보를 복구ㆍ재생할 수 없도록 파기하여야 한다. 다만, 다른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그러하지 아니하다.
1. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항ㆍ제2항에 따라 동의를 받은 개인정보의 수집ㆍ이용 목적이나 제22조제2항 각 호에서 정한 해당 목적을 달성한 경우
2. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항ㆍ제2항에 따라 동의를 받은 개인정보의 보유 및 이용 기간이 끝난 경우
3. 제22조제2항에 따라 이용자의 동의를 받지 아니하고 수집ㆍ이용한 경우에는 제27조의2제2항제3호에 따른 개인정보의 보유 및 이용 기간이 끝난 경우
4. 사업을 폐업하는 경우
② 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.
③ 정보통신서비스 제공자등은 제2항의 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항을 전자우편 등 대통령령으로 정하는 방법으로 이용자에게 알려야 한다. <신설 2015. 12. 1.>
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 29조의 2(개인정보보호의 촉진 및 지원)
① 방송통신위원회는 정보통신서비스 제공자등의 자율적인 개인정보보호 활동을 촉진ㆍ지원하기 위하여 다음 각 호의 시책을 마련하여야 한다.
1. 개인정보보호를 위한 교육 및 홍보
2. 개인정보보호를 위한 자율적인 규약의 제정 및 시행 지원
3. 개인정보보호와 관련된 기관ㆍ단체의 육성 및 지원
4. 그 밖에 자율적 개인정보보호 활동을 지원하기 위하여 필요한 사항
② 제1항에 따른 시책 마련 등에 필요한 사항은 대통령령으로 정한다.
⑤ 정보통신 서비스 이용자의 권리
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 30조(이용자의 권리 등)
① 이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 철회할 수 있다.
② 이용자는 정보통신서비스 제공자등에 대하여 본인에 관한 다음 각 호의 어느 하나의 사항에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다.
1. 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보
2. 정보통신서비스 제공자등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황
3. 정보통신서비스 제공자등에게 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 한 현황
③ 정보통신서비스 제공자등은 이용자가 제1항에 따라 동의를 철회하면 지체 없이 수집된 개인정보를 복구ㆍ재생할 수 없도록 파기하는 등 필요한 조치를 하여야 한다.
④ 정보통신서비스 제공자등은 제2항에 따라 열람 또는 제공을 요구받으면 지체 없이 필요한 조치를 하여야 한다.
⑤ 정보통신서비스 제공자등은 제2항에 따라 오류의 정정을 요구받으면 지체 없이 그 오류를 정정하거나 정정하지 못하는 사유를 이용자에게 알리는 등 필요한 조치를 하여야 하고, 필요한 조치를 할 때까지는 해당 개인정보를 이용하거나 제공하여서는 아니 된다. 다만, 다른 법률에 따라 개인정보의 제공을 요청받은 경우에는 그 개인정보를 제공하거나 이용할 수 있다.
⑥ 정보통신서비스 제공자등은 제1항에 따른 동의의 철회 또는 제2항에 따른 개인정보의 열람ㆍ제공 또는 오류의 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다.
⑦ 영업양수자등에 대하여는 제1항부터 제6항까지의 규정을 준용한다. 이 경우 "정보통신서비스 제공자등"은 "영업양수자등"으로 본다.
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제30조의2(개인정보 이용내역의 통지)
① 정보통신서비스 제공자등으로서 대통령령으로 정하는 기준에 해당하는 자는 제22조 및 제23조제1항 단서에 따라 수집한 이용자 개인정보의 이용내역(제24조의2에 따른 제공 및 제25조에 따른 개인정보 처리위탁을 포함한다)을 주기적으로 이용자에게 통지하여야 한다. 다만, 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 아니한 경우에는 그러하지 아니하다.
* 대통령령으로 정하는 기준에 해당하는 자: 해당 항목은 전년도 말 기준 직전 3개월 간 개인정보 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신 서비스 부분 전년도(법인은 전 사업연도)매출액이 100억원 이상인 정보통신 서비스 제공자
* 통지 방법: 전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 하나의 방법으로 연1회 이상
② 제1항에 따라 이용자에게 통지하여야 하는 정보의 종류, 통지 주기 및 방법, 그 밖에 이용내역 통지에 필요한 사항은 대통령령으로 정한다.
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 31조(법정대리인의 권리)
① 정보통신서비스 제공자등이 만 14세 미만의 아동으로부터 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 한다. 이 경우 정보통신서비스 제공자는 그 아동에게 법정대리인의 동의를 받기 위하여 필요한 법정대리인의 성명 등 최소한의 정보를 요구할 수 있다.
② 법정대리인은 해당 아동의 개인정보에 대하여 제30조제1항 및 제2항(동의철회, 열람, 정정 등)에 따른 이용자의 권리를 행사할 수 있다.
③ 제2항에 따른 법정대리인의 동의 철회, 열람 또는 오류정정의 요구에 관하여는 제30조제3항부터 제5항까지의 규정을 준용한다.
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 31조(법정대리인의 권리)
① 정보통신서비스 제공자등이 만 14세 미만의 아동으로부터 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 하고, 대통령령으로 정하는 바에 따라 법정대리인이 동의하였는지를 확인하여야 한다. 이 경우 정보통신서비스 제공자는 그 아동에게 법정대리인의 동의를 받거나 법정대리인이 동의하였는지를 확인하기 위하여 필요한 법정대리인의 성명 등 최소한의 정보를 요구할 수 있다.
② 법정대리인은 해당 아동의 개인정보에 대하여 제30조제1항 및 제2항에 따른 이용자의 권리를 행사할 수 있다.
③ 제2항에 따른 법정대리인의 동의 철회, 열람 또는 오류정정의 요구에 관하여는 제30조제3항부터 제5항까지의 규정을 준용한다.
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 32조(손해배상)
① 이용자는 정보통신서비스 제공자등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스 제공자등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
② 정보통신서비스 제공자등의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 정보통신서비스 제공자등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.
③ 법원은 제2항의 손해배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다.
1. 고의 또는 손해 발생의 우려를 인식한 정도
2. 위반행위로 인하여 입은 피해 규모
3. 위반행위로 인하여 정보통신서비스 제공자등이 취득한 경제적 이익
4. 위반행위에 따른 벌금 및 과징금
5. 위반행위의 기간ㆍ횟수 등
6. 정보통신서비스 제공자등의 재산상태
7. 정보통신서비스 제공자등이 이용자의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
8. 정보통신서비스 제공자등이 이용자의 피해구제를 위하여 노력한 정도
*징벌적 손해배상: 내가 피해액이랑 알아올테니 너죽고 나죽자
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 32조의2(법정손해배상의 청구)
① 이용자는 다음 각 호의 모두에 해당하는 경우에는 대통령령으로 정하는 기간(3년) 내에 정보통신서비스 제공자등에게 제32조에 따른 손해배상을 청구하는 대신 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
1. 정보통신서비스 제공자등이 고의 또는 과실로 이 장의 규정을 위반한 경우
2. 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우
② 법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.
③ 제32조에 따라 손해배상을 청구한 이용자는 사실심의 변론이 종결되기 전까지 그 청구를 제1항에 따른 청구로 변경할 수 있다.
*법정 손해배상: 피해규모는 알기 힘들고(정신적 등) 그냥 300만원 내지로 퉁치자
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 32조의3(노출된 개인정보의 삭제·차단)
① 정보통신서비스 제공자등은 주민등록번호, 계좌정보, 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 아니하도록 하여야 한다.
② 정보통신서비스 제공자등은 방송통신위원회 또는 한국인터넷진흥원의 요청이 있는 경우 제1항의 노출된 개인정보에 대한 삭제ㆍ차단 등 필요한 조치를 취하여야 한다.
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 32조의3(손해배상의 보장)(시행일 : 2019. 6. 13.)
① 정보통신서비스 제공자등은 제32조 및 제32조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.
② 제1항에 따른 가입 대상 사업자의 범위, 기준 등 필요한 사항은 대통령령으로 정한다.
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 32조의4(노출된 개인정보의 삭제ㆍ차단)
① 정보통신서비스 제공자등은 주민등록번호, 계좌정보, 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 아니하도록 하여야 한다.
② 정보통신서비스 제공자등은 방송통신위원회 또는 한국인터넷진흥원의 요청이 있는 경우 제1항의 노출된 개인정보에 대한 삭제ㆍ차단 등 필요한 조치를 취하여야 한다.
▶ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 32조의5(국내대리인의 지정)
① 국내에 주소 또는 영업소가 없는 정보통신서비스 제공자등으로서 이용자 수, 매출액 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 다음 각 호의 사항을 대리하는 자(이하 "국내대리인"이라 한다)를 서면으로 지정하여야 한다.
1. 제27조에 따른 개인정보 보호책임자의 업무
2. 제27조의3제1항에 따른 통지·신고 및 같은 조 제3항에 따른 소명
3. 제64조제1항에 따른 관계 물품·서류 등의 제출
② 국내대리인은 국내에 주소 또는 영업소가 있는 자로 한다.
③ 제1항에 따라 국내대리인을 지정한 때에는 다음 각 호의 사항 모두를 제27조의2에 따른 개인정보 처리방침에 포함하여야 한다.
1. 국내대리인의 성명(법인의 경우에는 그 명칭 및 대표자의 성명을 말한다)
2. 국내대리인의 주소(법인의 경우에는 영업소 소재지를 말한다), 전화번호 및 전자우편 주소
④ 국내대리인이 제1항 각 호와 관련하여 이 법을 위반한 경우에는 정보통신서비스 제공자등이 그 행위를 한 것으로 본다.
3. 신용정보 관련 법률
① 신용정보의 수집, 조사 및 처리
▶ 신용정보의 이용 및 보호에 관한 법률 제 15조(수집ㆍ조사 및 처리의 원칙)
① 신용정보회사, 신용정보집중기관 및 신용정보제공ㆍ이용자(이하 "신용정보회사등"이라 한다)는 신용정보를 수집ㆍ조사 및 처리할 수 있다. 이 경우 이 법 또는 정관으로 정한 업무 범위에서 수집ㆍ조사 및 처리의 목적을 명확히 하여야 하며, 이 법 및 「개인정보 보호법」에 따라 그 목적 달성에 필요한 최소한의 범위에서 합리적이고 공정한 수단을 사용하여 신용정보를 수집ㆍ조사 및 처리하여야 한다.
② 신용정보회사등이 개인신용정보를 수집하는 때에는 해당 신용정보주체의 동의를 받아야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
2. 신용정보주체와의 금융거래 등 상거래계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
3. 신용정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 신용정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 신용정보제공ㆍ이용자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 신용정보주체의 권리보다 우선하는 경우. 이 경우 신용정보제공ㆍ이용자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한정한다.
▶ 신용정보의 이용 및 보호에 관한 법률 제 16조(수집ㆍ조사 및 처리의 제한)
① 신용정보회사등은 다음 각 호의 정보를 수집ㆍ조사하여서는 아니 된다.
1. 국가의 안보 및 기밀에 관한 정보
2. 기업의 영업비밀 또는 독창적인 연구개발 정보
3. 개인의 정치적 사상, 종교적 신념, 그 밖에 신용정보와 관계없는 사생활에 관한 정보
4. 확실하지 아니한 개인신용정보
5. 다른 법률에 따라 수집이 금지된 정보
6. 그 밖에 대통령령으로 정하는 정보
② 신용정보회사등이 개인의 질병에 관한 정보를 수집ㆍ조사하거나 타인에게 제공하려면 미리 제32조제1항에 따른 해당 개인의 동의를 받아야 하며 대통령령으로 정하는 목적으로만 그 정보를 이용하여야 한다.
▶ 신용정보의 이용 및 보호에 관한 법률 제 17조(수집ㆍ조사 및 처리의 위탁)
① 신용정보회사등은 그 업무 범위에서 의뢰인의 동의를 받아 다른 신용정보회사등에 신용정보의 수집ㆍ조사를 위탁할 수 있다.
② 신용정보회사등은 수집된 신용정보의 처리를 일정한 금액 이상의 자본금 등 대통령령으로 정하는 일정한 요건을 갖춘 자에게 위탁할 수 있으며 이에 따라 위탁을 받은 자(이하 "수탁자"라 한다)의 위탁받은 업무의 처리에 관하여는 제19조부터 제21조까지, 제40조, 제43조, 제43조의2 및 제45조(해당 조문에 대한 벌칙 및 과태료규정을 포함한다)를 적용한다.
③ 제2항에 따라 신용정보의 처리를 위탁하려는 신용정보회사등으로서 대통령령으로 정하는 자는 제공하는 신용정보의 범위 등을 대통령령으로 정하는 바에 따라 금융위원회에 알려야 한다.
④ 신용정보회사등은 제2항에 따라 신용정보의 처리를 위탁하기 위하여 수탁자에게 개인신용정보를 제공하는 경우 특정 신용정보주체를 식별할 수 있는 정보는 대통령령으로 정하는 바에 따라 암호화 등의 보호 조치를 하여야 한다.
⑤ 신용정보회사등은 수탁자에게 신용정보를 제공한 경우 신용정보를 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손당하지 아니하도록 대통령령으로 정하는 바에 따라 수탁자를 교육하여야 하고 수탁자의 안전한 신용정보 처리에 관한 사항을 위탁계약에 반영하여야 한다.
⑥ 수탁자는 제2항에 따라 위탁받은 업무 범위를 초과하여 제공받은 신용정보를 이용하여서는 아니 된다.
⑦ 수탁자는 제2항에 따라 위탁받은 업무를 제3자에게 재위탁하여서는 아니 된다. 다만, 신용정보의 보호 및 안전한 처리를 저해하지 아니하는 범위에서 금융위원회가 인정하는 경우에는 그러하지 아니하다.
② 신용정보의 유통, 이용 및 관리
▶ 신용정보의 이용 및 보호에 관한 법률 제 18조(신용정보의 정확성 및 최신성의 유지)
① 신용정보회사등은 신용정보의 정확성과 최신성이 유지될 수 있도록 대통령령으로 정하는 바에 따라 신용정보의 등록ㆍ변경 및 관리 등을 하여야 한다.
② 신용정보회사등은 신용정보주체에게 불이익을 줄 수 있는 신용정보를 그 불이익을 초래하게 된 사유가 해소된 날부터 최장 5년 이내에 등록ㆍ관리 대상에서 삭제하여야 한다.
③ 제2항에 따른 해당 신용정보의 구체적인 종류, 기록보존 및 활용기간 등은 대통령령으로 정한다.
▶ 신용정보의 이용 및 보호에 관한 법률 제 19조(신용정보전산시스템의 안전보호)
① 신용정보회사등은 신용정보전산시스템(제25조제6항에 따른 신용정보공동전산망을 포함한다. 이하 같다)에 대한 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 및 파괴, 그 밖의 위험에 대하여 대통령령으로 정하는 바에 따라 기술적ㆍ물리적ㆍ관리적 보안대책을 수립ㆍ시행하여야 한다.
② 신용정보제공ㆍ이용자가 다른 신용정보제공ㆍ이용자 또는 신용조회회사와 서로 이 법에 따라 신용정보를 제공하는 경우에는 금융위원회가 정하여 고시하는 바에 따라 신용정보 보안관리 대책을 포함한 계약을 체결하여야 한다.
▶ 신용정보의 이용 및 보호에 관한 법률 제 20조(신용정보 관리책임의 명확화 및 업무처리기록의 보존)
① 신용정보회사등은 신용정보의 수집ㆍ처리ㆍ이용 및 보호 등에 대하여 금융위원회가 정하는 신용정보 관리기준을 준수하여야 한다.
② 신용정보회사등은 다음 각 호의 사항에 대한 기록을 3년간 보존하여야 한다.
1. 의뢰인의 주소와 성명 또는 정보제공ㆍ교환기관의 주소와 이름
2. 의뢰받은 업무 내용 및 의뢰받은 날짜
3. 의뢰받은 업무의 처리 내용 또는 제공한 신용정보의 내용과 제공한 날짜
4. 그 밖에 대통령령으로 정하는 사항
③ 신용정보회사, 신용정보집중기관 및 대통령령으로 정하는 신용정보제공ㆍ이용자는 제4항에 따른 업무를 하는 신용정보관리ㆍ보호인을 1명 이상 지정하여야 한다. 다만, 총자산, 종업원 수 등을 감안하여 대통령령으로 정하는 자는 신용정보관리ㆍ보호인을 임원으로 하여야 한다. <개정 2015. 3. 11.>
④ 제3항에 따른 신용정보관리ㆍ보호인은 다음 각 호의 업무를 수행한다. <신설 2015. 3. 11.>
1. 신용정보의 수집ㆍ보유ㆍ제공ㆍ삭제 등 관리 및 보호 계획의 수립 및 시행
2. 신용정보의 수집ㆍ보유ㆍ제공ㆍ삭제 등 관리 및 보호 실태와 관행에 대한 정기적인 조사 및 개선
3. 신용정보 열람 및 정정청구 등 신용정보주체의 권리행사 및 피해구제
4. 신용정보 유출 등을 방지하기 위한 내부통제시스템의 구축 및 운영
5. 임직원 및 전속 모집인 등에 대한 신용정보보호교육계획의 수립 및 시행
6. 임직원 및 전속 모집인 등의 신용정보보호 관련 법령 및 규정 준수 여부 점검
7. 그 밖에 신용정보의 관리 및 보호를 위하여 대통령령으로 정하는 업무
⑤ 신용정보관리ㆍ보호인은 제4항 각 호의 업무에 관하여 금융위원회가 정하는 바에 따라 주기적으로 보고서를 작성하여야 하며, 이를 대표이사 및 이사회에 보고하고 금융위원회에 제출하여야 한다. <신설 2015. 3. 11.>
⑥ 제3항에 따른 신용정보관리ㆍ보호인의 자격요건과 그 밖에 지정에 필요한 사항은 대통령령으로 정한다. <개정 2015. 3. 11.>
⑦ 「금융지주회사법」 제48조의2제6항에 따라 선임된 고객정보관리인이 제6항의 자격요건에 해당하면 제3항에 따라 지정된 신용정보관리ㆍ보호인으로 본다. <개정 2015. 3. 11.>
▶ 신용정보의 이용 및 보호에 관한 법률 제 20조의2(개인신용정보의 보유기간 등)
① 신용정보제공ㆍ이용자는 금융거래 등 상거래관계(고용관계는 제외한다. 이하 같다)가 종료된 날부터 금융위원회가 정하여 고시하는 기한까지 해당 신용정보주체의 개인신용정보가 안전하게 보호될 수 있도록 접근권한을 강화하는 등 대통령령으로 정하는 바에 따라 관리하여야 한다.
② 신용정보제공ㆍ이용자는 금융거래 등 상거래관계가 종료된 날부터 최장 5년 이내(해당 기간 이전에 정보 수집ㆍ제공 등의 목적이 달성된 경우에는 그 목적이 달성된 날부터 3개월 이내)에 해당 신용정보주체의 개인신용정보를 관리대상에서 삭제하여야 한다. 다만, 다음 각 호의 경우에는 그러하지 아니하다.
1. 다른 법률에 따른 의무를 이행하기 위하여 불가피한 경우
2. 개인의 급박한 생명ㆍ신체ㆍ재산의 이익을 위하여 필요하다고 인정되는 경우
3. 그 밖에 예금ㆍ보험금의 지급, 보험사기자의 재가입 방지를 위한 경우 등 개인신용정보를 보존할 필요가 있는 경우로서 대통령령으로 정하는 경우
③ 신용정보제공ㆍ이용자가 제2항 단서에 따라 개인신용정보를 삭제하지 아니하고 보존하는 경우에는 현재 거래 중인 신용정보주체의 개인신용정보와 분리하는 등 대통령령으로 정하는 바에 따라 관리하여야 한다.
④ 신용정보제공ㆍ이용자가 제3항에 따라 분리하여 보존하는 개인신용정보를 활용하는 경우에는 신용정보주체에게 통지하여야 한다.
⑤ 제1항 및 제2항에 따른 개인신용정보의 종류, 관리기간, 삭제의 방법ㆍ절차 및 금융거래 등 상거래관계가 종료된 날의 기준 등은 대통령령으로 정한다.
③ 신용정보주체의 보호(빠르게 읽고 패스하자. 망법과 개보법을 중점으로 판다)
▶ 신용정보의 이용 및 보호에 관한 법률 제 31조(신용정보활용체제의 공시)
신용정보회사, 신용정보집중기관 및 대통령령으로 정하는 신용정보제공ㆍ이용자는 관리하는 신용정보의 종류, 이용 목적, 제공 대상 및 신용정보주체의 권리 등에 관한 사항을 대통령령으로 정하는 바에 따라 공시하여야 한다.
▶ 신용정보의 이용 및 보호에 관한 법률 제 32조(개인신용정보의 제공ㆍ활용에 대한 동의)
① 신용정보제공ㆍ이용자가 개인신용정보를 타인에게 제공하려는 경우에는 대통령령으로 정하는 바에 따라 해당 신용정보주체로부터 다음 각 호의 어느 하나에 해당하는 방식으로 개인신용정보를 제공할 때마다 미리 개별적으로 동의를 받아야 한다. 다만, 기존에 동의한 목적 또는 이용 범위에서 개인신용정보의 정확성ㆍ최신성을 유지하기 위한 경우에는 그러하지 아니하다.
1. 서면
2. 「전자서명법」 제2조제3호에 따른 공인전자서명이 있는 전자문서(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 전자문서를 말한다)
3. 개인신용정보의 제공 내용 및 제공 목적 등을 고려하여 정보 제공 동의의 안정성과 신뢰성이 확보될 수 있는 유무선 통신으로 개인비밀번호를 입력하는 방식
4. 유무선 통신으로 동의 내용을 해당 개인에게 알리고 동의를 받는 방법. 이 경우 본인 여부 및 동의 내용, 그에 대한 해당 개인의 답변을 음성녹음하는 등 증거자료를 확보ㆍ유지하여야 하며, 대통령령으로 정하는 바에 따른 사후 고지절차를 거친다.
5. 그 밖에 대통령령으로 정하는 방식
② 신용조회회사 또는 신용정보집중기관으로부터 개인신용정보를 제공받으려는 자는 대통령령으로 정하는 바에 따라 해당 신용정보주체로부터 제1항 각 호의 어느 하나에 해당하는 방식으로 개인신용정보를 제공받을 때마다 개별적으로 동의(기존에 동의한 목적 또는 이용 범위에서 개인신용정보의 정확성ㆍ최신성을 유지하기 위한 경우는 제외한다)를 받아야 한다. 이 경우 개인신용정보를 제공받으려는 자는 개인신용정보의 조회 시 신용등급이 하락할 수 있는 때에는 해당 신용정보주체에게 이를 고지하여야 한다. <개정 2015. 3. 11.>
③ 신용조회회사 또는 신용정보집중기관이 개인신용정보를 제2항에 따라 제공하는 경우에는 해당 개인신용정보를 제공받으려는 자가 제2항에 따른 동의를 받았는지를 대통령령으로 정하는 바에 따라 확인하여야 한다.
④ 신용정보회사등은 개인신용정보의 제공 및 활용과 관련하여 동의를 받을 때에는 대통령령으로 정하는 바에 따라 서비스 제공을 위하여 필수적 동의사항과 그 밖의 선택적 동의사항을 구분하여 설명한 후 각각 동의를 받아야 한다. 이 경우 필수적 동의사항은 서비스 제공과의 관련성을 설명하여야 하며, 선택적 동의사항은 정보제공에 동의하지 아니할 수 있다는 사실을 고지하여야 한다. <신설 2015. 3. 11.>
⑤ 신용정보회사등은 신용정보주체가 선택적 동의사항에 동의하지 아니한다는 이유로 신용정보주체에게 서비스의 제공을 거부하여서는 아니 된다. <신설 2015. 3. 11.>
⑥ 신용정보회사등이 개인신용정보를 제공하는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 제1항부터 제5항까지를 적용하지 아니한다. <개정 2015. 3. 11.>
1. 신용정보회사가 다른 신용정보회사 또는 신용정보집중기관과 서로 집중관리ㆍ활용하기 위하여 제공하는 경우
2. 계약의 이행에 필요한 경우로서 제17조제2항에 따라 신용정보의 처리를 위탁하기 위하여 제공하는 경우
3. 영업양도ㆍ분할ㆍ합병 등의 이유로 권리ㆍ의무의 전부 또는 일부를 이전하면서 그와 관련된 개인신용정보를 제공하는 경우
4. 채권추심(추심채권을 추심하는 경우만 해당한다), 인가ㆍ허가의 목적, 기업의 신용도 판단, 유가증권의 양수 등 대통령령으로 정하는 목적으로 사용하는 자에게 제공하는 경우
5. 법원의 제출명령 또는 법관이 발부한 영장에 따라 제공하는 경우
6. 범죄 때문에 피해자의 생명이나 신체에 심각한 위험 발생이 예상되는 등 긴급한 상황에서 제5호에 따른 법관의 영장을 발부받을 시간적 여유가 없는 경우로서 검사 또는 사법경찰관의 요구에 따라 제공하는 경우. 이 경우 개인신용정보를 제공받은 검사는 지체 없이 법관에게 영장을 청구하여야 하고, 사법경찰관은 검사에게 신청하여 검사의 청구로 영장을 청구하여야 하며, 개인신용정보를 제공받은 때부터 36시간 이내에 영장을 발부받지 못하면 지체 없이 제공받은 개인신용정보를 폐기하여야 한다.
7. 조세에 관한 법률에 따른 질문ㆍ검사 또는 조사를 위하여 관할 관서의 장이 서면으로 요구하거나 조세에 관한 법률에 따라 제출의무가 있는 과세자료의 제공을 요구함에 따라 제공하는 경우
8. 국제협약 등에 따라 외국의 금융감독기구에 금융회사가 가지고 있는 개인신용정보를 제공하는 경우
9. 대통령령으로 정하는 금융질서문란행위자 및 기업의 과점주주, 최다출자자 등 관련인의 신용도를 판단할 수 있는 정보를 제공하는 경우
10. 그 밖에 다른 법률에 따라 제공하는 경우
⑦ 제6항 각 호에 따라 개인신용정보를 타인에게 제공하려는 자 또는 제공받은 자는 대통령령으로 정하는 바에 따라 개인신용정보의 제공 사실 및 이유 등을 사전에 해당 신용정보주체에게 알려야 한다. 다만, 대통령령으로 정하는 불가피한 사유가 있는 경우에는 인터넷 홈페이지 게재 또는 그 밖에 유사한 방법을 통하여 사후에 알리거나 공시할 수 있다. <개정 2011. 5. 19., 2015. 3. 11.>
⑧ 제6항제3호에 따라 개인신용정보를 타인에게 제공하는 신용정보제공ㆍ이용자로서 대통령령으로 정하는 자는 제공하는 신용정보의 범위 등 대통령령으로 정하는 사항에 관하여 금융위원회의 승인을 받아야 한다. <개정 2015. 3. 11.>
⑨ 제8항에 따른 승인을 받아 개인신용정보를 제공받은 자는 해당 개인신용정보를 금융위원회가 정하는 바에 따라 현재 거래 중인 신용정보주체의 개인신용정보와 분리하여 관리하여야 한다. <신설 2015. 3. 11.>
⑩ 신용정보회사등이 개인신용정보를 제공하는 경우에는 금융위원회가 정하여 고시하는 바에 따라 개인신용정보를 제공받는 자의 신원(身元)과 이용 목적을 확인하여야 한다. <개정 2015. 3. 11.>
⑪ 개인신용정보를 제공한 신용정보제공ㆍ이용자는 제1항에 따라 미리 개별적 동의를 받았는지 여부 등에 대한 다툼이 있는 경우 이를 증명하여야 한다. <개정 2015. 3. 11.>
▶ 신용정보의 이용 및 보호에 관한 법률 제 33조(개인신용정보의 이용)
개인신용정보는 해당 신용정보주체가 신청한 금융거래 등 상거래관계의 설정 및 유지 여부 등을 판단하기 위한 목적으로만 이용하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다. <개정 2015. 3. 11.>
1. 개인이 제32조제1항 각 호의 방식으로 이 조 각 호 외의 부분 본문에서 정한 목적 외의 다른 목적에의 이용에 동의한 경우
2. 개인이 직접 제공한 개인신용정보(그 개인과의 상거래에서 생긴 신용정보를 포함한다)를 제공받은 목적으로 이용하는 경우(상품과 서비스를 소개하거나 그 구매를 권유할 목적으로 이용하는 경우는 제외한다)
3. 제32조제6항 각 호의 경우
4. 그 밖에 제1호부터 제3호까지의 규정에 준하는 경우로서 대통령령으로 정하는 경우
▶ 신용정보의 이용 및 보호에 관한 법률 제 34조(개인식별정보의 제공ㆍ이용)
신용정보제공ㆍ이용자가 개인을 식별하기 위하여 필요로 하는 정보로서 대통령령으로 정하는 정보를 제공ㆍ이용하는 경우에는 제32조 및 제33조를 준용한다.
▶ 신용정보의 이용 및 보호에 관한 법률 제 35조(신용정보 이용 및 제공사실의 조회)
① 신용정보회사등은 개인신용정보를 이용하거나 제공한 경우 대통령령으로 정하는 바에 따라 다음 각 호의 구분에 따른 사항을 신용정보주체가 조회할 수 있도록 하여야 한다. 다만, 내부 경영관리의 목적으로 이용하거나 반복적인 업무위탁을 위하여 제공하는 경우 등 대통령령으로 정하는 경우에는 그러하지 아니하다.
1. 개인신용정보를 이용한 경우: 이용 주체, 이용 목적, 이용 날짜, 이용한 신용정보의 내용, 그 밖에 대통령령으로 정하는 사항
2. 개인신용정보를 제공한 경우: 제공 주체, 제공받은 자, 제공 목적, 제공한 날짜, 제공한 신용정보의 내용, 그 밖에 대통령령으로 정하는 사항
② 신용정보회사등은 제1항에 따라 조회를 한 신용정보주체의 요청이 있는 경우 개인신용정보를 이용하거나 제공하는 때에 제1항 각 호의 구분에 따른 사항을 대통령령으로 정하는 바에 따라 신용정보주체에게 통지하여야 한다.
③ 신용정보회사등은 신용정보주체에게 제2항에 따른 통지를 요청할 수 있음을 알려주어야 한다.
[전문개정 2015. 3. 11.]
▶ 신용정보의 이용 및 보호에 관한 법률 제 36조(상거래 거절 근거 신용정보의 고지 등)
① 신용정보제공ㆍ이용자가 신용조회회사 및 신용정보집중기관으로부터 제공받은 개인신용정보로서 대통령령으로 정하는 정보에 근거하여 상대방과의 상거래관계 설정을 거절하거나 중지한 경우에는 해당 신용정보주체의 요구가 있으면 그 거절 또는 중지의 근거가 된 정보 등 대통령령으로 정하는 사항을 본인에게 고지하여야 한다.
② 신용정보주체는 제1항에 따라 고지받은 본인정보의 내용에 이의가 있으면 제1항에 따른 고지를 받은 날부터 60일 이내에 해당 신용정보를 수집ㆍ제공한 신용조회회사 및 신용정보집중기관에게 그 신용정보의 정확성을 확인하도록 요청할 수 있다.
③ 제2항에 따른 확인절차 등에 관하여는 제38조를 준용한다.
▶ 신용정보의 이용 및 보호에 관한 법률 제 37조(개인신용정보 제공ㆍ이용 동의 철회권 등)
① 개인인 신용정보주체는 제32조제1항 각 호의 방식으로 동의를 받은 신용정보제공ㆍ이용자에게 신용조회회사 또는 신용정보집중기관에 제공하여 개인의 신용도 등을 평가하기 위한 목적 외의 목적으로 행한 개인신용정보 제공 동의를 대통령령으로 정하는 바에 따라 철회할 수 있다. 다만, 동의를 받은 신용정보제공ㆍ이용자 외의 신용정보제공ㆍ이용자에게 해당 개인신용정보를 제공하지 아니하면 해당 신용정보주체와 약정한 용역의 제공을 하지 못하게 되는 등 계약 이행이 어려워지거나 제33조 각 호 외의 부분 본문에 따른 목적을 달성할 수 없는 경우에는 고객이 동의를 철회하려면 그 용역의 제공을 받지 아니할 의사를 명확하게 밝혀야 한다.
② 개인인 신용정보주체는 대통령령으로 정하는 바에 따라 신용정보제공ㆍ이용자에 대하여 상품이나 용역을 소개하거나 구매를 권유할 목적으로 본인에게 연락하는 것을 중지하도록 청구할 수 있다.
③ 신용정보제공ㆍ이용자는 서면, 전자문서 또는 구두에 의한 방법으로 제1항 및 제2항에 따른 권리의 내용, 행사방법 등을 거래 상대방인 개인에게 고지하고, 거래 상대방이 제1항 및 제2항의 요구를 하면 즉시 이에 따라야 한다. 이 때 구두에 의한 방법으로 이를 고지한 경우 대통령령으로 정하는 바에 따른 추가적인 사후 고지절차를 거쳐야 한다.
④ 신용정보제공ㆍ이용자는 대통령령으로 정하는 바에 따라 제3항에 따른 의무를 이행하기 위한 절차를 갖추어야 한다.
⑤ 신용정보제공ㆍ이용자는 제2항에 따른 청구에 따라 발생하는 전화요금 등 금전적 비용을 개인인 신용정보주체가 부담하지 아니하도록 대통령령으로 정하는 바에 따라 필요한 조치를 하여야 한다.
▶ 신용정보의 이용 및 보호에 관한 법률 제 38조(신용정보의 열람 및 정정청구 등)
① 신용정보주체는 신용정보회사등에 본인의 신분을 나타내는 증표를 내보이거나 전화, 인터넷 홈페이지의 이용 등 대통령령으로 정하는 방법으로 본인임을 확인받아 신용정보회사등이 가지고 있는 본인정보의 제공 또는 열람을 청구할 수 있으며, 본인정보가 사실과 다른 경우에는 금융위원회가 정하여 고시하는 바에 따라 정정을 청구할 수 있다.
② 제1항에 따라 정정청구를 받은 신용정보회사등은 정정청구에 정당한 사유가 있다고 인정하면 즉시 문제가 된 신용정보에 대하여 정정청구 중 또는 사실조회 중임을 기입하고, 지체 없이 해당 신용정보의 제공ㆍ이용을 중단한 후 사실인지를 조사하여 사실과 다르거나 확인할 수 없는 신용정보는 삭제하거나 정정하여야 한다.
③ 제2항에 따라 신용정보를 삭제하거나 정정한 신용정보회사등은 해당 신용정보를 최근 6개월 이내에 제공받은 자와 해당 신용정보주체가 요구하는 자에게 해당 신용정보에서 삭제하거나 정정한 내용을 알려야 한다.
④ 신용정보회사등은 제2항과 제3항에 따른 처리결과를 7일 이내에 해당 신용정보주체에게 알려야 하며, 해당 신용정보주체는 처리결과에 이의가 있으면 대통령령으로 정하는 바에 따라 금융위원회에 그 시정을 요청할 수 있다.
⑤ 금융위원회는 제4항에 따른 시정을 요청받으면 「금융위원회의 설치 등에 관한 법률」 제24조에 따라 설립된 금융감독원의 원장(이하 "금융감독원장"이라 한다)으로 하여금 그 사실 여부를 조사하게 하고, 조사결과에 따라 신용정보회사등에 대하여 시정을 명하거나 그 밖에 필요한 조치를 할 수 있다.
⑥ 제5항에 따라 조사를 하는 자는 그 권한을 표시하는 증표를 지니고 이를 관계인에게 내보여야 한다.
⑦ 신용정보회사등이 제5항에 따른 금융위원회의 시정명령에 따라 시정조치를 한 경우에는 그 결과를 금융위원회에 보고하여야 한다.
▶ 신용정보의 이용 및 보호에 관한 법률 제 38조의2(신용조회사실의 통지 요청)
① 신용정보주체는 신용조회회사에 본인의 개인신용정보가 조회되는 사실을 통지하여 줄 것을 요청할 수 있다. 이 경우 신용정보주체는 금융위원회가 정하는 방식에 따라 본인임을 확인받아야 한다.
② 제1항의 요청을 받은 신용조회회사는 명의도용 가능성 등 대통령령으로 정하는 경우의 조회가 발생한 때에는 해당 조회에 따른 정보제공을 중지하고 그 사실을 지체 없이 해당 신용정보주체에게 통지하여야 한다.
③ 제2항의 정보제공 중지 및 통지 방법, 통지에 따른 비용 부담 등에 필요한 사항은 대통령령으로 정한다.
[본조신설 2015. 3. 11.]
▶ 신용정보의 이용 및 보호에 관한 법률 제 38조의3(개인신용정보의 삭제 요구)
① 신용정보주체는 금융거래 등 상거래관계가 종료되고 대통령령으로 정하는 기간이 경과한 경우 신용정보제공ㆍ이용자에게 본인의 개인신용정보의 삭제를 요구할 수 있다. 다만, 제20조의2제2항 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
② 신용정보제공ㆍ이용자가 제1항의 요구를 받았을 때에는 지체 없이 해당 개인신용정보를 삭제하고 그 결과를 신용정보주체에게 통지하여야 한다.
③ 신용정보제공ㆍ이용자는 신용정보주체의 요구가 제1항 단서에 해당될 때에는 다른 개인신용정보와 분리하는 등 대통령령으로 정하는 바에 따라 관리하여야 하며, 그 결과를 신용정보주체에게 통지하여야 한다.
④ 제2항 및 제3항에 따른 통지의 방법은 금융위원회가 정하여 고시한다.
[본조신설 2015. 3. 11.]
▶ 신용정보의 이용 및 보호에 관한 법률 제 39조(무료 열람권)
신용조회회사는 1년 이내로서 대통령령으로 정하는 일정한 기간마다 개인인 신용정보주체가 본인정보를 1회 이상 무료로 제공받거나 열람할 수 있도록 하여야 한다.
▶ 신용정보의 이용 및 보호에 관한 법률 제 39조의2(신용정보 누설통지 등)
① 신용정보회사등은 신용정보가 업무 목적 외로 누설되었음을 알게 된 때에는 지체 없이 해당 신용정보주체에게 다음 각 호의 사실을 통지하여야 한다.
1. 누설된 신용정보의 항목
2. 누설된 시점과 그 경위
3. 누설로 인하여 발생할 수 있는 피해를 최소화하기 위하여 신용정보주체가 할 수 있는 방법 등에 관한 정보
4. 신용정보회사등의 대응조치 및 피해 구제절차
5. 신용정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 신용정보회사등은 신용정보가 누설된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
③ 신용정보회사등은 대통령령으로 정하는 규모 이상의 신용정보가 누설된 경우 제1항에 따른 통지 및 제2항에 따른 조치결과를 지체 없이 금융위원회 또는 대통령령으로 정하는 전문기관(이하 이 조에서 "금융위원회등"이라 한다)에 신고하여야 한다. 이 경우 금융위원회등은 피해 확산 방지, 피해 복구 등을 위한 기술을 지원할 수 있다.
④ 금융위원회등은 제3항에 따른 신고를 받은 때에는 이를 행정안전부장관에게 알려야 한다. <개정 2017. 7. 26.>
⑤ 금융위원회등은 제2항에 따라 신용정보회사등이 행한 조치에 대하여 조사할 수 있으며, 그 조치가 미흡하다고 판단되는 경우 금융위원회는 시정을 요구할 수 있다.
⑥ 제1항에 따른 통지의 시기, 방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.
[본조신설 2015. 3. 11.]
▶ 신용정보의 이용 및 보호에 관한 법률 제 40조(신용정보회사등의 금지사항)
신용정보회사등은 다음 각 호의 행위를 하여서는 아니 되며, 신용정보회사등이 아니면 제4호 본문의 행위를 업으로 하거나 제5호의 행위를 하여서는 아니 된다. <개정 2015. 3. 11.>
1. 의뢰인에게 허위 사실을 알리는 일
2. 신용정보에 관한 조사 의뢰를 강요하는 일
3. 신용정보 조사 대상자에게 조사자료 제공과 답변을 강요하는 일
4. 특정인의 소재 및 연락처(이하 "소재등"이라 한다)를 알아내거나 금융거래 등 상거래관계 외의 사생활 등을 조사하는 일. 다만, 채권추심업을 허가받은 신용정보회사가 그 업무를 하기 위하여 특정인의 소재등을 알아내는 경우 또는 다른 법령에 따라 특정인의 소재등을 알아내는 것이 허용되는 경우에는 그러하지 아니하다.
5. 정보원, 탐정, 그 밖에 이와 비슷한 명칭을 사용하는 일
6. 삭제 <2013. 5. 28.>
7. 개인신용정보 또는 개인식별정보를 대통령령으로 정하는 전자적 매체나 방식을 이용하여 영리목적의 광고성 정보를 전송하는 행위에 이용하는 일. 다만, 다음 각 목의 어느 하나에 해당하는 경우는 제외한다.
가. 신용정보주체로부터 별도의 동의를 받은 경우
나. 기존에 체결한 금융거래의 유지 및 관리를 위하여 필요한 경우
다. 그 밖에 대통령령으로 정하는 경우
▶ 신용정보의 이용 및 보호에 관한 법률 제 41조(채권추심회사의 금지 사항)
① 채권추심회사는 자기의 명의를 빌려주어 타인으로 하여금 채권추심업을 하게 하여서는 아니 된다.
② 채권추심회사는 다른 법령에서 허용된 경우 외에는 상호 중에 "신용정보"라는 표현이 포함된 명칭 이외의 명칭을 사용하여서는 아니 된다. 다만, 채권추심회사가 신용조회업 또는 「자본시장과 금융투자업에 관한 법률」 제335조의3제1항에 따라 신용평가업인가를 받아 신용평가업을 함께하는 경우에는 그러하지 아니하다. <개정 2013. 5. 28.>
▶ 신용정보의 이용 및 보호에 관한 법률 제 41조의2(모집업무수탁자의 모집경로 확인 등)
① 신용정보제공ㆍ이용자는 본인의 영업을 영위할 목적으로 모집업무(그 명칭과 상관없이 본인의 영업과 관련한 계약체결을 대리하거나 중개하는 업무를 말한다. 이하 같다)를 제3자에게 위탁하는 경우 그 모집업무를 위탁받은 자로서 대통령령으로 정하는 자(이하 "모집업무수탁자"라 한다)에 대하여 다음 각 호의 사항을 확인하여야 한다.
1. 거짓이나 그 밖의 부정한 수단이나 방법으로 취득하거나 제공받은 신용정보(이하 "불법취득신용정보"라 한다)를 모집업무에 이용하였는지 여부
2. 모집업무에 이용한 개인신용정보 등을 취득한 경로
3. 그 밖에 대통령령으로 정하는 사항
② 신용정보제공ㆍ이용자는 모집업무수탁자가 불법취득신용정보를 모집업무에 이용한 사실을 확인한 경우 해당 모집업무수탁자와의 위탁계약을 해지하여야 한다.
③ 신용정보제공ㆍ이용자는 제2항에 따라 모집업무수탁자와의 위탁계약을 해지한 경우 이를 금융위원회 또는 대통령령으로 정하는 등록기관에 알려야 한다.
④ 제1항에 따른 확인, 제3항에 따른 보고의 시기ㆍ방법 등에 필요한 사항은 대통령령으로 정한다.
[본조신설 2015. 3. 11.]
▶ 신용정보의 이용 및 보호에 관한 법률 제 42조(업무 목적 외 누설금지 등)
① 신용정보회사등과 제17조제2항에 따라 신용정보의 처리를 위탁받은 자의 임직원이거나 임직원이었던 자(이하 "신용정보업관련자"라 한다)는 업무상 알게 된 타인의 신용정보 및 사생활 등 개인적 비밀(이하 "개인비밀"이라 한다)을 업무 목적 외에 누설하거나 이용하여서는 아니 된다.
② 신용정보회사등과 신용정보업관련자가 이 법에 따라 신용정보회사등에 신용정보를 제공하는 행위는 제1항에 따른 업무 목적 외의 누설이나 이용으로 보지 아니한다.
③ 제1항을 위반하여 누설된 개인비밀을 취득한 자(그로부터 누설된 개인비밀을 다시 취득한 자를 포함한다)는 그 개인비밀이 제1항을 위반하여 누설된 것임을 알게 된 경우 그 개인비밀을 타인에게 제공하거나 이용하여서는 아니 된다.
④ 신용정보회사등과 신용정보업관련자로부터 개인신용정보를 제공받은 자는 그 개인신용정보를 타인에게 제공하여서는 아니 된다. 다만, 이 법 또는 다른 법률에 따라 제공이 허용되는 경우에는 그러하지 아니하다.
▶ 신용정보의 이용 및 보호에 관한 법률 제 42조의2(과징금의 부과 등)
① 금융위원회는 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 신용정보회사등에게 대통령령으로 정하는 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다. 다만, 제1호에 해당하는 행위가 있는 경우에는 50억원 이하의 과징금을 부과할 수 있다.
1. 제19조제1항을 위반하여 개인비밀을 분실ㆍ도난ㆍ누출ㆍ변조 또는 훼손당한 경우
2. 제42조제1항을 위반하여 개인비밀을 업무 목적 외에 누설하거나 이용한 경우
3. 제42조제3항을 위반하여 불법 누설된 개인비밀임을 알고 있음에도 그 개인비밀을 타인에게 제공하거나 이용한 경우
② 제1항에 따른 과징금을 부과하는 경우 신용정보회사등이 매출액 산정자료의 제출을 거부하거나 거짓의 자료를 제출한 때에는 해당 신용정보회사등과 비슷한 규모의 신용정보회사등의 재무제표나 그 밖의 회계자료 등의 자료에 근거하여 매출액을 추정할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 200억원 이하의 과징금을 부과할 수 있다.
③ 금융위원회는 제1항에 따른 과징금을 부과하려면 다음 각 호의 사항을 고려하여야 한다.
1. 위반행위의 내용 및 정도
2. 위반행위의 기간 및 횟수
3. 위반행위로 인하여 취득한 이익의 규모
④ 제1항에 따른 과징금은 제3항을 고려하여 산정하되, 구체적인 산정기준과 산정절차는 대통령령으로 정한다.
⑤ 금융위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 이를 내지 아니하면 납부기한의 다음 날부터 내지 아니한 과징금의 연 100분의 6에 해당하는 가산금을 징수한다. 이 경우 가산금을 징수하는 기간은 60개월을 초과하지 못한다. <개정 2017. 4. 18.>
⑥ 금융위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 이를 내지 아니한 경우에는 기간을 정하여 독촉을 하고, 그 지정된 기간에 과징금과 제5항에 따른 가산금을 내지 아니하면 국세 체납처분의 예에 따라 징수한다.
⑦ 법원의 판결 등의 사유로 제1항에 따라 부과된 과징금을 환급하는 경우에는 과징금을 낸 날부터 환급하는 날까지 연 100분의 6에 해당하는 환급가산금을 지급하여야 한다.
⑧ 신용정보제공ㆍ이용자가 위탁계약을 맺고 거래하는 모집인(「여신전문금융업법」 제14조의2제2호에 따른 모집인을 말한다) 등 대통령령으로 정하는 자가 제1항 각 호에 해당하는 경우에는 그 위반행위의 범위에서 해당 신용정보제공ㆍ이용자의 직원으로 본다. 다만, 그 신용정보제공ㆍ이용자가 그 모집인 등의 위반행위를 방지하기 위하여 상당한 주의와 감독을 다한 경우에는 그러하지 아니하다.
⑨ 그 밖에 과징금의 부과ㆍ징수에 관하여 필요한 사항은 대통령령으로 정한다.
▶ 신용정보의 이용 및 보호에 관한 법률 제 43조(손해배상의 책임)
① 신용정보회사등과 그 밖의 신용정보 이용자가 이 법을 위반하여 신용정보주체에게 피해를 입힌 경우에는 해당 신용정보주체에 대하여 손해배상의 책임을 진다. 다만, 신용정보회사등과 그 밖의 신용정보 이용자가 고의 또는 과실이 없음을 증명한 경우에는 그러하지 아니하다.
② 신용정보회사등이나 그 밖의 신용정보 이용자(수탁자를 포함한다. 이하 이 조에서 같다)가 고의 또는 중대한 과실로 이 법을 위반하여 개인신용정보가 누설되거나 분실ㆍ도난ㆍ누출ㆍ변조 또는 훼손되어 신용정보주체에게 피해를 입힌 경우에는 해당 신용정보주체에 대하여 그 손해의 3배를 넘지 아니하는 범위에서 배상할 책임이 있다. 다만, 신용정보회사등이나 그 밖의 신용정보 이용자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다. <신설 2015. 3. 11.>
③ 법원은 제2항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다. <신설 2015. 3. 11.>
1. 고의 또는 손해 발생의 우려를 인식한 정도
2. 위반행위로 인하여 입은 피해 규모
3. 위반행위로 인하여 신용정보회사등이나 그 밖의 신용정보 이용자가 취득한 경제적 이익
4. 위반행위에 따른 벌금 및 과징금
5. 위반행위의 기간ㆍ횟수 등
6. 신용정보회사등이나 그 밖의 신용정보 이용자의 재산상태
7. 신용정보회사등이나 그 밖의 신용정보 이용자의 개인신용정보 분실ㆍ도난ㆍ누출 후 해당 개인신용정보 회수 노력의 정도
8. 신용정보회사등이나 그 밖의 신용정보 이용자의 피해구제 노력의 정도
④ 채권추심회사 또는 위임직채권추심인이 이 법을 위반하여 채무자 및 그 관계인에게 손해를 입힌 경우에는 그 손해를 배상하여야 한다. 다만, 채권추심회사 또는 위임직채권추심인이 자신에게 고의 또는 과실이 없음을 증명한 경우에는 그러하지 아니하다. <개정 2015. 3. 11.>
⑤ 제4조제1항의 업무를 의뢰받은 신용정보회사가 자신에게 책임 있는 사유로 의뢰인에게 손해를 입힌 경우에는 그 손해를 배상하여야 한다. <개정 2015. 3. 11.>
⑥ 제17조제2항에 따라 신용정보의 처리를 위탁받은 자가 이 법을 위반하여 신용정보주체에게 피해를 입힌 경우에는 위탁자는 수탁자와 연대하여 손해배상책임을 진다. <개정 2015. 3. 11.>
⑦ 위임직채권추심인이 이 법 또는 「채권의 공정한 추심에 관한 법률」을 위반하여 채무자나 채무자의 관계인에게 손해를 입힌 경우 채권추심회사는 위임직채권추심인과 연대하여 손해배상책임을 진다. 다만, 채권추심회사가 자신에게 고의 또는 과실이 없음을 증명한 경우에는 그러하지 아니하다. <개정 2015. 3. 11.>
▶ 신용정보의 이용 및 보호에 관한 법률 제 43조의2(법정손해배상의 청구)
① 신용정보주체는 다음 각 호의 모두에 해당하는 경우에는 대통령령으로 정하는 기간 내에 신용정보회사등이나 그 밖의 신용정보 이용자(수탁자를 포함한다. 이하 이 조에서 같다)에게 제43조에 따른 손해배상을 청구하는 대신 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 신용정보회사등이나 그 밖의 신용정보 이용자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
1. 신용정보회사등이나 그 밖의 신용정보 이용자가 고의 또는 과실로 이 법의 규정을 위반한 경우
2. 개인신용정보가 분실ㆍ도난ㆍ누출ㆍ변조 또는 훼손된 경우
② 법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.
③ 제43조에 따른 청구를 한 자는 법원이 변론을 종결할 때까지 그 청구를 제1항에 따른 청구로 변경할 수 있다.
[본조신설 2015. 3. 11.]
▶ 신용정보의 이용 및 보호에 관한 법률 제 43조의3(손해배상의 보장)
대통령령으로 정하는 신용정보회사등은 제43조에 따른 손해배상책임의 이행을 위하여 금융위원회가 정하는 기준에 따라 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.
[본조신설 2015. 3. 11.]
▶ 신용정보의 이용 및 보호에 관한 법률 제 44조(신용정보협회)
① 신용정보회사는 신용정보업의 건전한 발전을 도모하고 신용정보회사들 사이의 업무질서를 유지하기 위하여 신용정보협회를 설립할 수 있다.
② 신용정보협회는 법인으로 한다.
③ 신용정보협회는 정관으로 정하는 바에 따라 다음 각 호의 업무를 한다.
1. 신용정보회사 간의 건전한 업무질서를 유지하기 위한 업무
2. 신용정보업의 발전을 위한 조사ㆍ연구 업무
3. 신용정보업 이용자 민원의 상담ㆍ처리
4. 그 밖에 대통령령으로 정하는 업무
④ 신용정보협회에 대하여 이 법에서 정한 것을 제외하고는 「민법」 중 사단법인에 관한 규정을 준용한다.
4. 개인정보 관련 법률
① 국제 사회의 개인정보보호에 관한 법률
▶ OECD 8원칙
1980년대 OECD 회원국들에게 만장일치로 채택된 것으로 프라이버시와 개인정보에 관한 원칙의 표준으로 대표되고 있으며 국내법도 OECD의 뼈대를 기초로 이루어져 있다.
1) ★수집제한의 원칙
정보수집을 위해서 정보 주체의 최소한의 동의(동의 후 수집)
2) 정보 정확성의 원칙
정보가 정확해야 한다.
3) ★목적의 명확화 원칙
늦어도 정보가 수집되는 시점까지는 정보 수집목적이 명확해야 한다.
(목적의 변경이 있을 시에도 명시해야 한다)
4) ★이용제한의 원칙
명시된 목적과 다른 목적을 위해 개시, 이용, 기타 사용하거나 제공되어서는 안된다.
5) 안전한 보호에 관한 원칙
6) ★공개의 원칙
개인정보와 관련된 제도 개선, 실무 및 정책에 관하여 일반적으로 공개정책을 취해야 하며 개인정보의 존재와 성격, 주요 사용목적, 정보 처리자의 신원 및 소재지를 파악할 수 있는 장치가 마련되어야 한다.
7) 개인참가의 원칙
자신과 관련된 정보를 정보처리자가 보유하고 있는지 여부에 대하여 정보처리자로부터 직접 또는 다른 경로를 통해 확인
8) 책임의 원칙: 상위 7개 원칙에 대한 준수
▶ Safe-Harbor미국은 자율규제, EU 유럽연합은 빡빡한 법적 규제로 구분된다.이렇게 너무 다른 두 국가의 기업들이 서로 진출하기 위해 만들었다.먼저 유럽이 개인정보보호법이 먼저 생겼다. 그렇기에 개인정보보호 체계가 없는 국가로 개인정보 이전을 금지하였으나 이 협정으로 합의하였다.미국 기업이 유럽내에 사업을 원한다면 미국 상무성에 세이프 하버를 등록해야 한다. 기업이 이 협정을 준수한다면 EU의 개인정보를 미국내에서 적절히 보호조치를 취하여 사용하는 것으로 여긴다.1) 고지
개인정보의 수집, 이용목적 정보를 제공하는 제 3자의 유형, 문제제기 또는 권리행사시 접근방법 등에 대하여 고지
2) 선택
개인정보가 제3자에게 제공되는지 여부 및 최초의 수집목적 외에 다른 목적으로 정보가 사용될 것인지 OPT-OUT 방식의 선택권을 제공(민감정보일 경우 OPT-IN 선택권 제공)
3) 제공
개인정보의 위탁처리 등과 같이 제 3자에게 개인정보를 제공할 경우, 당사자에게 고지함과 선택권을 부여/ 선 고지 후에 생각할 시간을 준다.(선동의 후 서비스와 비슷하다)
4) 접근
정보주체의 접근권과 정정 요구권을 보장
5) 안전성
개인정보 손실,오용,권한없는 접근, 파기로부터 보호하기위한 합리적 예방조치
6) 정보 무결성
당초 수집 및 이용목적에 부합한 개인정보의 이용, 정확성, 안전성, 최신성 확보
7) 이행
원칙의 준수를 담보할 수 있는 구제수단과 분쟁해결절차, 제재수단의 확보
※ Privacy Shield(2016.02)로 변경되었다.
▶ 유럽의 GDPR1) 정보주체의 프로파일링 거부권(본인과 관련된 개인정보 처리에 대하여 반대할 권리)
2) 정보 이동권(자신의 개인정보를 다른 서비스 제공자에게 이전시킬 권리랑 유출되었는지 알권리)
3) 잊혀질 권리(본인의 개인정보를 관리자에게 삭제 요구할 수 있을 권리)
::EU 규정 위반 시 개인정보보호 기관은 해당 기업의 전 세계 매출액의 최대 4% 벌금 부과 가능
4) 개인정보책임자의 겸업이 가능하다. (A기업에서 책임자하고 B기업에서도 동시에 가능)
② 위치 정보의 보호 및 이용 등에 관한 법률
기각!!!!!!!!!!!!!!!!!!!! 3과목과 겹치니 그걸보자
'#03. 개인정보' 카테고리의 다른 글
인사DB의 경우 망분리 대상인가? (3) 2020.08.23 개인정보의 안전성 확보조치기준 변경 (0) 2019.06.07 [미완]인증제도 (0) 2019.04.01 개인정보보호 실무론 (0) 2019.03.03 개인정보보호 (0) 2019.03.01 댓글