정보보안기사 필기 - 43(정보 보호 관련 법규 1)

- 주요 법률 및 기준

개인정보보호법, 개인정보의 안전성 확보 조치 기준(행정 규칙), 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 개인정보의 기술적 관리적 보호조치 기준, 위치정보의 보호 및 이용 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률

 

- 개인정보보호법

개인정보보호법의 목적은 개인정보의 유출 오용 남용으로부터 사생활의 비밀등을 보호함으로써 국민의 권리와 이익을 증진하고 개인의 존엄과 가치를 구현하기위하여 개인정보의 처리에 관한 사항을 규정하는 것입니다. 개인정보보호법은 2011년3월에 제정되었습니다.

 

<주요 법률 내용>

• 제1장(1조~6조) : 총칙
• 제2장(7조~14조) : 개인정보 보호정책의 수립 등
• 제3장(15조~28조) : 개인정보의 처리
• 제4장(29조~34조): 개인정보의 안전한 권리
• 제5장(35조~39조) : 정보주체의 권리 보장
• 제6장(40조~47조) : 개인정보 분쟁조정위원회
• 제7장(48조~54조) : 개인정보 단체 소송

<제2조(용어의 정의)>

1항 : 개인정보란 살아있는 개인에관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말합니다.

 

<제3조(개인정보 보호원칙)>

1항 : 개인정보처리자는 개인정보의 처리목적을 명확하게 하여야하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야합니다.(수집제한의 원칙, 목적 명확화의 원칙)

2항 : 개인정보처리자는 개인정보의 처리목적 필요한 범위에서 적합하게 개인정보를 처리하여야하며 그 목적 외의 용도로 활용하여서는 아니 된다.(이용제한의 원칙)

3항 : 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 안전성 및 최신성이 보장되도록 하여야합니다.(정보 정확성의 원칙)

4항 : 개인정보처리자는 개인정보의 처리방법 및 종류 등에따라 정보주체의 권리가 침해받을 가능성과 그 위험정도를 고려하여 개인정보를 안전하게 관리하여야합니다.(안정성 확보의 원칙)

5항 : 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야ㅐ 하며, 열람청구권 등 정보주체의 권리를 보장하여야합니다.(처리방침 공개의 원칙, 정보주체 참여의 원칙)

6항 : 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야합니다.(수집제한의 원칙)

7항 : 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 해야합니다.(수집제한의 원칙)

8항 : 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력해야합니다.(책임의 원칙)

 

<제4조(정보주체의 권리)>

정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가집니다.

1호 : 개인정보의 처리에 관한 정보를 제공받을 권리

2호 : 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리

3호 : 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다.)를 요구할 권리

4호 : 개인정보의 처리 정지, 정정, 삭제 및 파기를 요구할 권리

5호 : 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에따라 구제받을 권리

 

<제7조(개인정보 보호위원회)>

제7조는 개인정보보호위원회에 관한 법률로 개인정보보호정책의 의사결정 독립성을 보장하기위하여 대통령 소속으로 보호위원회를 두고 있습니다. 독립적이고 전문적인 개인정보감독기구의 설치는 개인정보보호제도의 운영에 있어서 가장 핵심적인 요소이자 안전장치입니다. 서구 선진국들도 독립적인 개인정보 감독기구를 두고 있습니다. 개인정보보호제도에 있어서 독립적인 감독기구가 강조되는 이유는 전통적으로 개인정보를 대량으로 처리하는 기관들이 대부분 정부기관이나 대기업이고 이들의 개인정보 처리 활동을 전문적으로 평가 견제할 수 있는 장치가 필요하기 때문입니다.

 

<제15조(개인정보의 수집 이용)>

1항 : 개인정보처리자는 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있습니다.

• 1호 : 정보주체의 동의를 받은 경우
• 2호 : 법률에 특별한 규정이 있거나 법령상 의무를 준수하기위하여 불가피한경우
• 3호 : 공공기관이 법령등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
• 4호 : 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
• 5호 : 정보주체 또는 그법정대리인이 의사표시할 수 없는 상태에 있거나 주소불명등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
• 6호 : 개인정보처리자의 정당한 이익을 달성하기위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

2항 :  개인정보 처리자는 제1항제1호에 따른 동의를 받을때에는 각 호의 사항을 정보주체에게 알려야한다. 다음 각호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야한다.

• 1호 : 개인정보의 수집 이용 목적
• 2호 : 수집하려는 개인정보의 항목
• 3호 : 개인정보의 보유 및 이용 기간
• 4호 : 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

<제16조(개인정보의 수집 제한)>

1항 : 개인정보처리자는 제15조제1항 각호의 어느하나에 해당하여 개인정보를 수집하는 경우에는 그목적에 필요한 최소한의 개인정보를 수집하여야한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.

3항 : 개인정보처리자는 정보주체가 필요한 최소한의 정보이외 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니된다.

 

<제17조(개인정보의 제공)>

1항 : 개인정보 처리자는 다음 각호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 지공(공유를 포함한다) 할 수 있다.

• 1호 : 정보주체의 동의를 받은 경우
• 2호 : 제15조제1항제2호, 제3호 및 제5호에따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우

2항 : 개인정보처리자는 제1항제1호에 따른 동의를 받을때에는 다음 각호의 사항을 정보주체에게 알려야합니다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야합니다.

• 1호 : 개인정보를 제공받는 자
• 2호 : 개인정보를 제공받는 자의 개인정보 이용 목적
• 3호 : 제공하는 개인정보의 항목
• 4호 : 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
• 5호 : 동의를 거부할 권리가 있다는 사실 및 동의 거부에따른 불이익이 있는 경우에는 그 불이익 내용

<제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등의 고지)>

1항 : 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야합니다.

• 1호 : 개인정보의 수집 출처
• 2호 : 개인정보의 처리 목적
• 3호 : 제37조에따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실

4항 : 제1항은 다음 각호의 어느하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이법에따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다.

• 1호 : 고지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느하나에 해당하는 개인정보파일에 포함되어 있는 경우
• 2호 : 고지로 인하여 다른 사람의 생명 신체를 해할 우려가 있거나 다른 사람의 재산과 그밖의 이익을 부당하게 침해할 우려가 있는 경우

<제21조(개인정보의 파기)>

1항 : 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체없이 그 개인정보를 파기하여야합니다. 다만, 다른 법령에따라 보존하여야 하는 경우에는 그러하지 아니하다.

2항 : 개인정보처리자가 제1항에 따라 개인정보를 파기할때에는 복구 또는 재생되지 아니하도록 조치하여야한다.

3항 : 개인정보처리자가 제1항 단서에따라 개인정보를 파기하지 아니하고 보존하여야하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장 관리하여야한다.

4항 : 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.

 

<제23조(민감정보 처리 제한)>

1항 : 개인정보처리자는 사상 신념 노동조함 정당의 가입 탈퇴 정치적 견해 건강 성생활등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 민감정보라 한다)를 처리하여서는 아니된다. 다만 다음 각호의 어느 하나에 해당하는 경우에는 그러하지 아니한다.

• 1호 : 정보주체에게 제15조제2항 각 호또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에대한 동의와 별도로 동의를 받은 경우
• 2호 : 법령에서 민감정보의 처리를 요구하거나 허용하는 경우

 

<제24조(고유식별정보 처리 제한)>

1항 : 개인정보처리자는 다음 각호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 "고유식별정보"라 한다)를 처리할 수 없다.

• 1호 : 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에대한 동의와 별도로 동의를 받은 경우
• 2호 : 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우

<제24조의2(주민등록번호 처리의 제한)>

1항 : 제24조제1항에도 불구하고 개인정보 처리자는 다음 각 호의 어느하나라도 해당하는 경우를 제외하고는 주민번호를 처리할 수 없다.

• 1호 : 법률,대통령령,국회규칙,대법원규칙,헌법재판소규칙,중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
• 2호 : 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
• 3호 : 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 행정안전부령으로 정하는 경우

3항 : 개인정보처리자는 제 1항 각호에따라 주민등록 번호를 처리하는 경우에도 정보주체자가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야합니다.

 

<제34조의2(과징금의 부과등)>

1항 : 행정안전부장관은 개인정보처리자가 처리하는 주민등록번호가 분식,도난,유출,변조 또는 훼손된 경우에는 5억원 이하의 과징금을 부과, 징수할 수 있다. 다만, 주민등록번호가 분식, 도난, 유출, 변조 또는 훼손되지 아니하도록 개인정보처리자가 제24조제3항에따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.

 

<제25조(영상정보처리기기의 설치 운영 제한)>

1항 : 누구든지 다음 각호의 경우를 제외하고는 공개된 장소에 영상정보처리기기를 설치 운영해서는 아니된다.

• 1호 : 법령에서 구체적으로 허용하고 있는 경우
• 2호 : 범죄의 예방 및 수사를 위하여 필요한 경우
• 3호 : 시설 안전 및 화재예방을 위하여 필요한 경우
• 4호 : 교통단속을 위하여 필요한 경우
• 5호 : 교통정보의 수집 분석 및 제공을 위하여 필요한 경우 

2항 : 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치 운영해서는 아니된다. 다만, 교도소, 정신보건 시설 등 법령에 근거하여 사람을 구금하거나 보호하는 시설로서 대통령령으로 정하는 시설에 대하여서는 그러지아니하다.

 

<동법 시행령 제30조(개인정보의 안전성 확보 조치)>

1항 : 개인정보처리자는 법 제29조에따라 각 호의 안전성 확보 조치를 하여야한다.

• 1호 : 개인정보의 안전한 처리를 위한 내부 관리계획의 수립 시행
• 2호 : 개인정보에 대한 접근 통제 및 접근 권한 제한 조치
• 3호 : 개인정보를 안전하게 저장 전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
• 4호 : 개인정보 침해사고 발생에 대응하기위한 접속 기록의 보관 및 위조 변조 방지를 위한 조치
• 5호 : 개인정보에대한 보안프로그램의 설치 및 갱신
• 6호 : 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

<제30조(개인정보 처리방침의 수립 및 공개)>

1항 : 개인정보처리자는 다음 각호의 사항이 포함된 개인정보의 처리방침을 정하여야한다.

• 1호 : 개인정보의 처리 목적
• 2호 : 개인정보의 처리 및 보유 기간
• 3호 : 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다.)
• 4호 : 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
• 5호 : 정보주체와 법정대리인의 권리 의무 및 그 행사방법에 관한 사항
• 6호 : 제31조에따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
• 7호 : 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치 운영 및 그 거부에관한 사항(해당하는 경우에만 정한다.)
• 8호 : 그밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

2항 : 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에따라 공개하여야한다.

 

<제32조(개인정보파일의 등록 및 공개)>

1항 : 공공기관의 장이 개인정보파일을 운용하는 경우에는 다음 각 호의 사항을 행정안전부장관에게 등록하여야한다. 등록한 사항이 변경된 경우에도 또한 같다.

• 1호 : 개인정보파일의 명칭
• 2호 : 개인정보파일의 운영 근거 및 목적
• 3호 : 개인정보파일에 기록되는 개인정보의 항목
• 4호 : 개인정보의 처리방법
• 5호 : 개인정보의 보유기간
• 6호 : 개인정보를 통상작 또는 반복적으로 제공하는 경우에는 그 제공을 받는 자
• 7호 : 그 밖에 대통령령으로 정하는 사항

<시행령 제35조(개인정보 영향평가의 대상)>

1항 : 대통령령으로 정하는 기준에 해당하는 개인정보파일이란 개인정보를 전자적으로 처리할 수 있는 개인정보파일로서 다음 각 호의 어느 하나에 해당하는 개인정보파일을 말한다.

• 1호 : 구축 운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
• 2호 : 구축 운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축 운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
• 3호 : 구축 운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일

<제33조(개인정보 영향평가)>

1항 : 공공ㄱ기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인이 분석과 개선 사항 도출을 위한 평가를 하고 그 결과를 행정안전부장관에게 제출하여야한다. 이경우 공공기관의 장은 영향평가를 행정안전부장관이 지정하는 기관중에서 의뢰해야한다.

2항 : 영향평가를 하는 경우 다음 각 호의 사항을 고려해야한다.

• 1호 : 처리하는 개인정보의 수
• 2호 : 개인정보의 제3자 제공 여부
• 3호 : 정보주체의 권리를 해할 가능성 및 그 위험 정도
• 4호 : 그 밖에 대통령령으로 정한 사항

4항 : 공공기관의 장은 제1항에 따라 영향평가를 한 개인정보파일을 제32조제1항에 따라 등록할때에는 영향평가 결과를 함께 첨부하여야한다.

 

<제34조(개인정보유출통지사항)>

1항 : 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.

• 1호 : 유출된 개인정보의 항목
• 2호 : 유출된 시점과 그 경위
• 3호 : 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
• 4호 :개인정보처리자의 대응조치 및 피해 구제절차
• 5호 : 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

 

<제35조(개인정보의 열람)>
1항 : 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다.

 

<열람요구 항목(시행령 제41조제1항)>
1. 개인정보의 항목 및 내용
2. 개인정보의 수집, 이용 목적
3. 개인정보 보유 및 이용 기간
4. 개인정보의 제3자 제공 현황
5. 개인정보 처리에대하여 동의한 사실 및 내용

 

<제39조(손해배상책임)>
1항 : 정보주체는 개인정보처리자가 이법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
3항 : 개인정보처리자의 고의또는 중대한 과실로 인하여 개인정보가 분실 도난 유출 위조 변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에는 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명하는 경우에는 그러하지아니하다.


- 개인정보의 안전성 확보 조치 기준(행정 규칙)

<제1조(목적)>
이기준은 개인정보 처리자가 개인정보를 처리함에 있어서 개인정보가 분실 도난 유출 위조 변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적 관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.

<제2조(용어의정의)>
1항 : 정보주체란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

2항 : 개인정보파일이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.

3항 : 개인정보처리자란 업무를 목적으로 개인정보파일을 운용하기위하여 스스로 또는 다른사람을 톻하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인등을 말한다.

8항 : 개인정보 보호책임자란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항에 해당하는 자를 말한다.

9항 : 개인정보취급자란 개인정보처리자의 지휘 감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.

10항 :개인정보처리시스템이란 데이터베이스시스템등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.

11항 : 위험도 분석이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별 평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다.

19항 : 접속기록이란 개인정보취급자등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속자 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 접속이란 개인정보처리시스템과 연결되어 데이터 송수신이 가능한 상태를 말한다.

<제3조(안전조치 기준 적용)>

1항 : 개인정보처리자가 개인정보의 안전성 확보에 필요한 조치를 하는 경우에는 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준을 적용하여야한다. 이 경우 개인정보 처리자가 어느 유형에 해당하는지에 대한 입증 책임은 당해 개인정보처리자가 부담한다.

<제4조(내부관리계획의 수립)>
1항 : 내부관리계획은 최고경영층으로부터 내부결재등의 승인을 받아 모든 임직원 및 관련자에게 알림으로써 이를 준수할 수 있도록 해야한다.
2항 : 개인정보처리자는 내부관리계획에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고 그 수정 이력을 관리하여야한다.
3항 : 개인정보보호책임자는 접근권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연 1회 이상으로 점검 관리 하여야한다.

<제5조(접근권한의 관리)>
1항 : 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야한다.
2항 : 개인정보처리자는 전보 또는 퇴직등 인사이동이 발생하여 개인정보취급자가 변경되었을경우 지체없이 개인정보시스템의 접근 권한을 변경 또는 말소하여야한다.
3항 :개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 말소에 대한 내역을 기록하고 그 기록을 최소 3년간 보관해야한다.

<제6조(접근통제)>
1항 : 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각호의 기능을 포함한 조치를 하여야한다.

• 1호 : 개인정보처리시스템에대한 접속 권한을 IP 주소등으로 제한하여 인가받지 않은 접근을 제한
• 2호 : 개인정보처리시스템에 접속한 IP주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응

 

<제7조(암호화)>
1항 : 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체등을 통하여 전달하는 경우에는 이를 암호화하여야한다.

 

<제8조(접속기록의 보관 및 점검)>
1항 : 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년이상 보관 관리하여야한다. 다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년이상 보관 관리하여야한다.
2항 : 개인정보처리자는 개인정보의 오남용, 분실 유출 위조 변조 등에 대응하기위하여 개인정보처리시스템의 접속기록등을 월 1회이상 점검해하여야한다.

 

<제9조(악성프로그램등 방지)>

1항 : 개인정보처리자는 악성프로그램등을 방지 치료할 수 있는 백신 소프트웨어등의 보안 프로그램을 설치 운영해야한다.

 

<제13조(개인정보의파기)>

1항 : 개인정보처리자는 개인정보를 파기할경우 다음 각 호 중어느 하나의 조치를 하여야한다,

1호 : 완전파괴(소각, 파쇄)

2호 : 전용 소자장비를 이용하여 삭제

3호 : 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행

 

- 정보통신망 이용촉진 및 정보보호 등에 관한 법률

해당 법률은 대한민국 법률중에 하나로 간단히 정보통신망법, 정통망법, 망법 등으로 줄여 부르기도 합니다.

 

<제2조(용어의 정의)>

1항 : 이법에서 사용하는 용어의 뜻은 다음과 같다.

• 3호 : 정보통신서비스 제공자란 정기통신사업법 제2조재8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다.
• 6호 : 개인정보란 생존하는 개인에 관한 정보로서 성명 주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호 문자 음성 음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합혀여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.
• 7호 : 침해사고란 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생하는 사태를 말한다.

<제4조(정보통신망 이용촉진 및 정보보호 등에 관한 시책의 마련)>

1항 : 과학기술정보통신부장관 또는 방송통신위원회는 정보통신망의 이용촉진 및 안정적 관리 운영과 이용자의 개인정보보호 등을 통하여 정보사회의 기반을 조성하기위한 시책을 마련하여야한다.

 

<제5조(다른법률과의 관계)>

1항 : 정보통신망 이용촉진 및 정보보호등에 관하여는 다른 법률에서 특별히 규정된 경우 외에는 이법에 정하는 바를 따른다. 다만, 제4장의 개인정보의 보호에 관하여 이법과 개인정보보호법의 적용이 경합하거나 제7장의 통신과금 서비스에 관하여 이법과 전자금융거래법의 적용이 경합하는 때에는 이법을 우선 적용한다,

 

<제22조(개인정보의 수집 이용 동의 등)>

1항 : 정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.

• 1호 : 개인정보의 수집 이용 목적
• 2호 : 수집하는 개인정보의 항목
• 3호 : 개인정보의 보유 이용 기간

<제23조의2(주민등록번호의 사용제한)>

1항 : 정보통신서비스 제공자는 다음 각 호의 어느하나에 해당하는 경우를 제외하고는 이용자의 주민등록번호를 수집, 이용할 수 ㅇ벗다.

1호 : 제23조의3에따라 본인확인기관으로 지정받은 경우

2호 : 법령에서 이용자의 주민등록번호를 수집 이용을 허용하는 경우

3호 : 영업상 목적을 위하여 이용자의 주민등록번호 수집, 이용이 불가피한 정보통신 서비스 제공자로서 방송통신위원회가 고시하는 경우

 

<제24조의2(개인정보의 제공 동의 등)>

1항 : 정보통신서비스 제공자는 개인정보를 제3자에게 제공하려면 제22조제2항제2호 및 제3호에 해당하는 경우 외에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야한다. 다음 각호의 어느 하나의 사항이 변경되는 경우 또한 같다.

• 1호 : 개인정보를 제공받는자
• 2호 : 개인정보를 제공받는 자의 개인정보 이용 목적
• 3호 : 제공하는 개인정보의 항목
• 4호 : 개인정보를 제공받는 자의 개인정보 보유 및 이용기간

<제25조(개인정보의 처리위탁)>

1항 : 정보통신서비스 제공자는 제3자에게 이용자의 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 출력, 검색, 정정, 복구 등 그밖의 유사한 행위를 할 수 있도록 업무를 위탁하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야한다.

• 1호 : 개인정보 처리위탁을 받는자
• 2호 : 개인정보 처리위탁을 하는 업무의 내용

<제26조(영업의 양수 등에 따른 개인정보의 이전)>

1항 : 정보통신서비스 제공자등이 영업의 전부 또는 일부의 합병등으로 그 이용자의 개인정보를 타인에게 이전하는 경우에는 미리 다음 각호의 사항 모두를 인터넷 홈페이지에 게시, 전자우편 등 대통령령으로 정하는 방법에따라 이용자에게 알려야한다.

• 1호 : 개인정보를 이전하려는 사실
• 2호 : 개인정보를 이전받는자, 주소, 전화번호 및 그밖의 연락처
• 3호 : 이용자가 개인정보의 이전을 원하지 아니하는 경우 그 동의를 철회할 수 있는 방법과 절차

<제27조(개인정보 보호책임자의 지정)>

1항 : 정보통신서비스 제공자등은 이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하여 개인정보 보호책임자를 지정하여야한다. 다만, 종업원 수, 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 정보통신 서비스 제공자등의 경우에는 지정하지 아니할 수 있다.

 

<제27조의2(개인정보 처리방칙의 공개)>

2항 : 제1항에 따른 개인정보 처리방침에는 다음 각 호의 사항이 모두 포함되어야한다,

• 1호 : 개인정보의 수집 이용 목적, 수집하는 개인정보의 항목 및 수집방법
• 2호 : 개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명, 제공받는자의 이용 목적과 제공하는 개인정보의 항목
• 3호 : 개인정보의 보유 및 이용기간, 개인정보의 파ㅣ절차 및 파기방법
• 4호 : 개인정보 처리위탁을 하는 업무의 내용 및 수탁자
• 5호 : 이용자 및 법정대리인의 권리와 그 행사방법
• 6호 : 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치 운영 및 그 거부에 관한 사항
• 7호 : 개인정보 보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭 그 전화번호 등 연락처

<제27조의3(개인정보 유출 등의 통지 신고)>

1항 : 개인정보의 분실 도난 유출의 사실을 안 때에는 지체없이 통지하고 방송통신위원회 또는 한국인터넷진흥원에 신고해야하며 정당한 사유없이 그 사실을 안때부터 24시간을 경과하여 통지 신고해서는 아니된다.

개인정보 유출시 통지 신고해야할 항목 : 유출등이된 개인정보 항목, 유출등이 발생한 시점, 이용자가 취할 수 있는 조치, 정보통신서비스 제공자등의 대응 조치

 

<제28조(개인정보의 보호조치)>

1항 : 정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분실 도난 유출 위조 변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적 관리적 조치를 하여야한다.

 

<제30조(이용자의 권리)>

1항 : 이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집 이용 제공 등의 동의를 철회할 수 있다.

 

<제32조의2(법정손해배상청구)>

1항 : 이용자는 다음 각 호의 모두 해당하는 경우에는 대통령령으로 정하는 기간내에 정보통신서비스 제공자등에게 제32조에따른 손해배상을 정구하는 대신 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 정보통신 서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

 

<제45조의3(정보보호 최고잭임자의 지정)>

1항 : 정보통신서비스 제공자는 임원급의 정보보호 최고책임자를 지정하고 과학기술정보통신부장관에게 신고하여야한다, 다만 자산총액, 매출액 등이 대통령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고 책임자를 지정하지 아니할 수 있다.

3항 : 제1항 본문에 따라 지정 및 신고된 정보보호 최고책임자는 제4항의 업무외의 다른 업무를 겸직할 수 없다,

 

<제47조(정보보호 관리체계의 인증)>

1항 : 과학기술정보통신부장관은 정보통신망의 안정성 신뢰성 확보를 위하여 관리적 기술적 물리적 보호조치를 포함한 종합적 관리체계를 수립 운영하고 있는 자에 대하여 제 4항에따른 기준에 적합한지에 관하여 인증을 할 수 있다.

2항 : 전기통신사업법 제2조제8호에 따른 전기통신 사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각호의 어느하나에 해당하는 자는 제1항에 따른 인증을 받아야한다.

• 1호 : 전기통신사업법 제6조제1항에따른 허가를 받은 자로서 대통령령으로 정하는 바에따라 정보통신망서비스를 제공하는 자
• 2호 : 집적정보통신시설 사업자
• 3호 : 연간 매출액 또는 세입이 1500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상으로서 대통령령으로 정하는 기준에 해당하는자

<제48조(정보통신망 침해행위 등의 금지)>

1항 : 누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니된다.

2항 : 누구든지 정당한 사유없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손 멸실 변경 위조하거나 그 운용을 방해할 수 있는 프로그램을 전달 또는 유포해서는 안된다.

3항 : 누구든지 정보통신망의 안정적 운영을 방해할 목적으로 대량의 신호 또는 데이터를 보내거나 부정한 명령을 처리하도록 하는 등의 방법으로 정보통신망에 장애가 발생하게 하여서는 안된다.

 

- 개인정보의 기술적 관리적 보호조치 기준

<제1조(목적)>

이 기준은 정보통신망 이용촉진 및 정보보호등에 관한 법률 제28조제1항에따라 정보통신서비스 제공자등이 이용자의 개인정보를 취급함에 있어서 개인정보가 분실 도난 유출 변조 훼손 등이 되지 아니하도록 안전성을 확보하기 위하여 취하여야하는 기술적 관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한다.

 

<제3조(내부관리계획의 수립 시행)>

1항 : 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보 보호조직을 구성 운영하여야한다.

2항 : 정보통신서비스 제공자등은 다음 각호의 사항을 정하여 개인정보보호책임자 및 개인정보취급자를 대상으로 사업규모, 개인정보 보유수 등을 고려하여 필요한 교육을 정기적으로 실시하여야한다.

3항 : 정보통신서비스 제공자등은 제1항 및 제2항에 대한 세부계획, 제4조부터 제8조까지의 보호조치이행을 위한 세부적인 추진방안을 포함한 내부관리계획을 수립 시행해야한다.

 

<제4조(접근통제)>

제2항 : 정보통신서비스 제공자등은 전보 또는 퇴직등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근권한을 변경 말소 한다.

 

<제5조(접속기록의 위 변조 방지)>

1항 : 정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인 감독하여야하며 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보존 관리하여야 한다.

2항 : 정보통신서비스 제공자등은 개인정보취급자의 접속기록이 위변조되지 않도록 별도의 물리적인 저장장치에 보관하여야하며 정기적인 백업을 수행해야한다.

 

<제6조(개인정보의 암호화)>

1항 : 정보통신서비스 제공자등은 비밀번호를 복호화되지 아니하도록 일방향 암호화하여 저장한다.

 

- 위치정보의 보호 및 이용 등에 관한 법률

<제1조(목적)>

이법은 위치정보의 유출 오용 및 남용으로부터 사생활의 비밀 등을 보호하고 위치정보의 안전한 이용환경을 조성하여 위치정보의 이용을 활성화함으로써 국민생활의 향상과 공공복리의 증진에 이바지함을 목적으로 한다.

 

<제2조(용어의 정의)>

2항 :개인위치정보라 함은 특정개인의 위치정보(위치정보만으로는 특정 개인의 위치를 알 수 없는 경우에도 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알 수 있는 것을 포함한다)를 말한다.

3항 : 개인위치정보주체라 함은 개인정보위치정보에 의하여 식별되는 자를 말한다.

5항 : 위치정보 이용 제공사실 확인 자료라 함은 위치정보를 제공받는 자, 취득경로, 이용 제공일시 및 이용 제공방법에 관한 자료를 말한다.

 

<제5조(의치정보의 수집등의 금지)>

1항 : 누구든지 개인위치정보주체의 동의를 받지 아니하고 해당 개인위치정보를 수집 이용 또는 제공하여서는 아니된디ㅏ. 다만, 다음 각 호의 어느하나에 해당하는 경우에는 그러지 아니하다.

 

<제18조(개인정보의 수집)>

1항 : 위치정보사업자가 개인위치정보를 수집하고자 하는 경우에는 미리 다음 각호의 냐용을 이용약관에 명시한 후 개인위치정보주체의 동의를 얻어야한다.

• 1호 : 위치정보사업자의 상호, 주소, 전화번호 그 밖의 연락처
• 2호 : 개인위치정보주체 및 법정대리인의 권리와 그 행사방법
• 3호 : 위치정보사업자가 위치기반서비스사업자자에게 제공하고자하는 서비스의 내용
• 4호 : 위치정보 수집사실 확인자료와 보유근거 및 보유기간
• 5호 : 그 밖에 개인위치정보의 보호를 위하여 필요한 사항으로서 대통령령이 정하는 사항

- 신용정보의 이용 및 보호에 관한 법률

<제1조(목적)>

1항 : 이 법은 신용정보업을 건전하게 육성하고 신용정보의 효율적 이용과 체계적 관리를 도모하며 신용정보의 오용 남용으로부터 사생활의 비밀등을 적절히 보호함으로써 건전한 신용 질서의 확립에 이바지함을 목적으로 한다.