제1조(목적) 이 기준은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 "법"이라 한다.) 제28조제1항 및 같은 법 시행령 제15조제6항에 따라 정보통신서비스 제공자등이 이용자의 개인정보를 취급함에 있어서 개인정보가 분실•도난•누출•변조•훼손 등이 되지 아니하도록 안전성을 확보하기 위하여 취하여야 하는 기술적•관리적 보호조치의 구체적인 기준을 정하는 것을 목적으로 한다.
제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.
1. "개인정보관리책임자"라 함은 정보통신서비스 제공자의 사업장 내에서 이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원을 말한다.
2. "개인정보취급자"라 함은 정보통신서비스 제공자의 사업장 내에서 이용자의 개인정보를 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등의 업무를 하는 자를 말한다.
2의2. "내부관리계획"이라 함은 정보통신서비스 제공자등이 개인정보의 안전한 취급을 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획을 말한다.
3. "개인정보처리시스템"이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.
4. "비밀번호"라 함은 이용자 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.
5. "접속기록"이라 함은 이용자 또는 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록한 것을 말한다.
6. "바이오정보"라 함은 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
7. "P2P(Peer to Peer)"라 함은 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접 연결되어 파일을 공유하는 것을 말한다.
8. "공유설정"이라 함은 컴퓨터 소유자의 파일을 타인이 조회•변경•복사 등을 할 수 있도록 설정하는 것을 말한다.
9. "보안서버"라 함은 정보통신망에서 송•수신하는 정보를 암호화하여 전송하는 웹서버를 말한다.
10. "인증정보"라 함은 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등이 요구한 식별자의 신원을 검증하는데 사용되는 정보를 말한다.
제3조(내부관리계획의 수립ㆍ시행) ① 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보 보호 조직을 구성•운영하여야 한다.
1. 개인정보관리책임자의 자격요건 및 지정에 관한 사항
2. 개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항
4. 개인정보의 기술적ㆍ관리적 보호조치 이행 여부의 내부 점검에 관한 사항
5. 그 밖에 개인정보보호를 위해 필요한 사항
② 정보통신서비스 제공자 등은 다음 각 호의 사항을 정하여 개인정보관리책임자 및 개인정보취급자를 대상으로 매년 2회 이상 교육을 실시하여야 한다.
1. 교육목적 및 대상
2. 교육 내용
3. 교육 일정 및 방법
③ 정보통신서비스 제공자 등은 제1항 및 제2항에 대한 세부 계획, 제4조부터 제8조까지의 보호조치 이행을 위한 세부적인 추진방안을 포함한 내부관리계획을 수립•시행하여야 한다.
제4조(접근통제) ① 정보통신서비스 제공자 등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다.
② 정보통신서비스 제공자 등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.
③ 정보통신서비스 제공자 등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다.
④ 정보통신서비스 제공자 등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 공인인증서 등 안전한 인증 수단을 적용하여야 한다.
⑤ 정보통신서비스 제공자등 은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치•운영하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
⑥ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.
⑦ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용•운용하여야 한다.
1. 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
가. 영문 대문자(26개)
나. 영문 소문자(26개)
다. 숫자(10개)
라. 특수문자(32개)
2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고
3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경
⑧ 정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터에 조치를 취하여야 한다.
제5조(접속기록의 위ㆍ변조방지) 제5조(접속기록의 위ㆍ변조방지) ① 정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인•감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보존•관리하여야 한다.
② 단, 제1항의 규정에도 불구하고 「전기통신사업법」 제5조의 규정에 따른 기간통신사업자의 경우에는 보존•관리해야할 최소 기간을 2년으로 한다.
③ 정보통신서비스 제공자등은 개인정보취급자의 접속기록이 위•변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다.
제6조(개인정보의 암호화) 제6조(개인정보의 암호화) ① 정보통신서비스 제공자등은 비밀번호 및 바이오정보는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.
② 정보통신서비스 제공자등은 주민등록번호, 신용카드번호 및 계좌번호에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다.
③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송•수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.
1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송•수신하는 기능
2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송•수신하는 기능
④ 정보통신서비스 제공자등은 이용자의 개인정보를 개인용컴퓨터(PC)에 저장할 때에는 이를 암호화해야 한다.
제7조(악성프로그램 방지) 제7조(악성프로그램 방지) 정보통신서비스 제공자등은 백신 소프트웨어를 월 1회 이상 주기적으로 갱신•점검하고, 악성 프로그램관련 경보가 발령된 경우 및 백신소프트웨어 또는 운영체제 제작업체에서 업데이트 공지가 있는 경우에는 응용프로그램과 정합성을 고려하여 최신 소프트웨어로 갱신•점검하여야 한다.
제8조(출력ㆍ복사시 보호조치) 제8조(출력ㆍ복사시 보호조치) ① 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보의 출력시(인쇄, 화면표시, 파일생성 등) 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화 한다.
② 정보통신서비스 제공자등은 개인정보가 포함된 종이 인쇄물, 개인정보가 복사된 외부 저장매체 등 개인정보의 출력ㆍ복사물을 안전하게 관리하기 위해 출력ㆍ복사 기록 등 필요한 보호조치를 갖추어야 한다.
제9조(개인정보 표시 제한 보호조치) 제9조(개인정보 표시 제한 보호조치) 정보통신서비스 제공자 등은 개인정보 업무처리를 목적으로 개인정보의 조회, 출력 등의 업무를 수행하는 과정에서 개인정보보호를 위하여 개인정보를 마스킹하여 표시제한 조치를 취하는 경우에는 다음의 원칙으로 적용할 수 있다.
1. 성명 중 이름의 첫 번째 글자 이상
2. 생년월일
3. 전화번호 또는 휴대폰 전화번호의 국번
4. 주소의 읍ㆍ면ㆍ동
5. 인터넷주소는 버전 4의 경우 17∼24비트 영역, 버전 6의 경우 113∼128비트 영역
제10조(재검토기한) 제10조(재검토기한)「훈령ㆍ예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제248호)에 따라 이 고시 발령 후의 법령이나 현실여건의 변화 등을 검토하여 이 고시의 폐지, 개정 등의 조치를 하여야 하는 기한은 2012년 8월 6일까지로 한다.
부칙 <제2011-1호, 2011. 1. 5>
이 고시는 2011년 1월 5일부터 시행한다.
2. 개인정보 누출 통지ㆍ신고 제도
| 「정보통신망 이용촉진 및 정보보호 등에 관한 법류」 제27조의3(개인정보 누출등의 통지ㆍ신고) ① 정보통신서비스 제공자등은 개인정보의 분실ㆍ도난ㆍ누출(이하 “누출 등”이라한다) 사실을 안 때에는 지체 없이 다음 각 호의 모든 사항을 해당 이용자에게 알리고 방송통신위원회에 신고하여야 한다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령이 정하는 바에 따라 통지에 갈음하는 조치를 취할 수 있다. 1. 누출 등이 된 개인정보 항목 2. 누출 등이 발생한 시점 3. 이용자가 취할 수 있는 조치 4. 정보통신서비스 제공자등의 대응 조치 5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처 ② 제1항에 따른 통지 및 신고의 방법ㆍ절차 등에 관하여 필요한 사항은 대통령령으로 정한다. ③ 정보통신서비스 제공자등은 개인정보 누출 등에 대한 대책을 마련하고 그 피해를 최소화할 수 있는 조치를 강구하여야한다. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 시행령 제14조의2(개인정보 누출등의 통지∙신고) ① 정보통신서비스 제공자등은 개인정보의 분실ㆍ도난ㆍ누출(이해 “누출 등”이라한다)의 사실을 안 때에는 지체 없이 법 제27조의3제1항 각 호의 모든 사항을 전자우편ㆍ서면ㆍ모사전송ㆍ전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 이용자에게 알리고 방송통신위원회에 신고하여야 한다. ② 정보통신서비스 제공자등은 제1항에 따른 통지∙신고를 하려는 경우 법 제27조의3제1항제1호 또는 제2호의 사항에 관한 구체적인 내용이 확인되지 아니하였으면 그때까지 확인된 내용과 같은 항 제3호부터 제5호까지의 사항을 우선 통지∙신고한 후 추가로 확인되는 내용에 대해서는 확인되는 즉시 통지∙신고하여야 한다. ③ 정보통신서비스 제공자등은 법 제27조의3제1항 각 호 외의 부분 단서에 따른 정당한 사유가 있는 경우에는 법 제27조의3제1항 각 호의 사항을 자신의 인터넷 홈페이지에 30일 이상 게시하는 것으로 제1항의 통지를 갈음할 수 있다. ④ 천재ㆍ지변이나 그 밖에 정당한 사유로 제3항에 따른 홈페이지 게시가 곤란한 경우에는 ‘신문 등의 진흥에 관한 법률’에 따라 전국을 보급지역으로 하는 둘 이상의 일반일간신문(이용자의 대부분이 특정지역에 거주하는 경우에는 그 지역을 보급구역으로 하는 일반일간신문)에 1회 이상 공고할 수 있다. |
○ 개인정보 누출통지 및 신고제도의 도입 취지는 개인정보의 누출사고 발생 시, 이용자에게 해당 사실을 지체 없이 통지하고 주무부처인 방송통신위원회에 신고하도록 함으로써 개인정보 누출로 인한 2차 피해 확산을 방지하기 위한 것이다. 누출통지는 이용자의 개인정보 자기보호를 위한 최소한의 조치이며, 신고는 기업과 정부차원의 신속한 대응을 위한 것이다.
○ 정보통신서비스 제공자등은 개인정보의 누출 등의 사실을 알게 된 때에는 다음 항목을 지체없이 이용자에게 알리고, 방송통신위원회에 신고해야 한다. 단, 누출의 대상이 된 개인정보 항목이나 누출 등이 발생한 시점을 구체적으로 알 수 없는 경우에는 신고 및 통지 당시까지 확인된 사항을 중점적으로 이용자가 취할 수 있는 조치, 사업자의 대응조치, 이용자가 상담할 수 있는 사업자 연락처 등을 우선 통지 및 신고하고 추가로 확인되는 사항은 차후에 즉시 통지 및 신고해야 한다.
1. 누출 등이 된 개인정보 항목
2. 누출 등이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자 등의 대응 죠치
5. 이용자가 상담 등을 할 수 있는 부서 및 연락처
○ 개인정보 누출 신고는 방송통신위원회(kcc.go.kr)로 접수하여야 하며, 온라인(i-privacy.kr) 웹사이트를 통해 접수도 가능하다. 참고로 온ㆍ오프라인 모든 영역에서 사업을 영위하는 경우 방송통신위원회뿐만 아니라, 안전행정부에도 신고를 하여야 한다. (「개인정보보호법」의 적용을 받게 되는 오프라인 사업을 영위하는 경우를 의미함) 단, 「개인정보보호법」에 따른 신고는 1만 명 이상의 정보주체에 관한 개인정보가 유출된 경우에 한하며, 그 이하의 경우에는 신고의무가 없다. 이에 반해, ‘정보통신망법’의 적용을 받는 사업자는 단 1인의 개인정보라 할지라도 누출 등 사고가 발생하는 경우에는 신고 및 통지 의무가 적용된다.
○ ‘정보통신망법’ 시행령에 따르면, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 정보통신서비스 제공자 등의 인터넷 홈페이지에 30일 이상 게시하는 것으로 통지를 대신할 수 있다. 또한, 천재지변이나 그 밖의 정당한 사유로 홈페이지 게시도 곤란한 경우 전국구 일간지 2곳 이상에 1회 이상 공고하는 것으로 대신할 수 있다.
○ 누출 통지 및 신고의 방법은 “전자우편, 서면, 전화, 팩스 또는 이와 유사한 방법”으로 정해져 있으므로, 실질적으로 개인정보 유출 피해를 입은 이용자 및 방송통신위원회에 해당사실을 알릴 수 있는 방식이라면 크게 방법에 구애 받을 필요는 없을 것이다.
○ 개인정보 누출 등의 사고 발생 시 이용자 및 방송통신위원회에 알리거나 신고하지 않은 경우 3천만원 이하의 과태료를 부과 받을 수 있다. (‘정보통신망법’ 제76조제1항제2의2호)
3. 개인정보 유효기간 제도
| 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제29조(개인정보의 파기) ② 정보통신서비스 제공자등은 정보통신서비스를 대통령령으로 정하는 기간 동안 이용하지 않는 이용자의 개인정보를 보호하기 위하여 대통령령이 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취해야 한다. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 시행령 제16조(개인정보의 파기 등) ① 법 제29조제2항에서 “대통령령으로 정하는 기간”은 3년을 말한다. 다만, 다음 각호의 경우에는 해당 호의 따른 기간으로 한다. 1. 다른 법령에서 별도의 기간을 정하고 있는 경우: 해당 법령에서 정한기간 2. 이용자의 요청에 따라 기간을 달리 정한 경우: 달리 정한 기간 ② 정보통신서비스 제공자등은 이용자가 정보통신서비스를 제1항의 기간 동안 이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리하여야 한다. ③ 정토통신서비스 제공자등은 제2항에 따라 개인정보를 별도로 저장ㆍ관리하는 경우에는 법 또는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 해당 개인정보를 이용하거나 제공하여서는 아니 된다. ④ 정보통신서비스 제공자 등은 제1항의 만료 30일 전까지 개인정보가 파기되거나 분리되어 저장ㆍ관리되는 사실과 기간 만료일 및 해당 개인정보의 항목을 전자우편ㆍ서면ㆍ모사전송ㆍ전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 이용자에게 알려야 한다. |
○ 개인정보 누출 등의 사고 대상이 정보누출시점에 해당 정보통신서비스를 이용하고 있는 이용자(Active Users)뿐만 아니라, 장기간 서비스를 이용하고 있지 않은 이용자(Inactive or Dormant Users)의 개인정보 역시 피해 대상이 될 수 있기 때문에 이에 대한 피해를 예방하기 위해 도입된 제도이다.
○ 본 제도와 관련하여 가장 중요한 점은, 해당 제도의 기산점(제도의 내용이 시작되는 시점)이 2012년 8월 18일이기 때문에 최소 3년 경과 시점인 2015년 8월 17일 이후에 제도가 본격적으로 시작된다는 것이다. 즉, 2012년 8월 18일부터 기산하여 그 시점부터 정보통신서비스를 이용하지 않는 이용자를 확인하여 3년이 경과된 시점인 2015년 8월에야 그 개인정보를 파기 또는 다른 이용자의 개인정보와 분리하여 별도로 저장할 수 있는 것이다.
○ 많은 경우 이용자가 정보통신서비스를 이용하지 않는 경우를 ‘로그인’ 여부로 판단할 것이기 때문에, 실제 정보통신서비스 이용자가 3년 이상 해당 계정으로 로그인 하지 않은 경우라 할지라도 해커 등이 계정을 탈취하여 이용하는 경우에는 사업자가 이를 용이하게 구분하기 어려워 해당 제도를 적용하지 못하는 경우도 충분히 예상할 수 있다.
○ 정보통신서비스 제공자등은 전자우편, 서면, 팩스, 전화 등의 방법 중 하나를 선택하여 개인정보가 파기 또는 분리 저장ㆍ관리되는 사실과 일시, 개인정보 항목을 해당 이용자에게 유효기관 만료 30일 전까지 통지해야 한다. 그러나 실제 계정에 등록된 연락처가 유효한 연락처인지, 또한 3년간 방치하고 있는 개인정보를 이용하여 연락을 취하는 경우 그 실효성을 확보할 수 있을 것인지에 대한 의문이 남아있다는 점에서 학계 등에서 문제가 제기되고 있다.
○ 3년 이외의 기간으로 유효기간을 정하는 경우에는 반드시 ‘이용자의 요청’이 있어야 한다. 즉, 사업자 임의로 3년 이외의 기간을 정하여 회원가입 조건(계약) 등으로 내걸 수 없다는 의미이다. 단, 이용자의 편의를 위해 기언정보 유효기간을 별도로 설정할 수 있는 웹페이지 등을 회원가입 이후에 제공하는 것은 문제가 없다.
○ 파기를 선택하지 않고 개인정보를 분리하여 보관하는 경우, 분리 저장 및 관리된 개인정보를 사업자가 시용하거나 제3자에게 제공할 수 없지만, 이용자 요구가 있거나 다른 법률에 특별한 규정이 있는 경우에는 예외적으로 재이용이 가능하다.(예: 「형사소송법」, 「통신비밀보호법」, 「전기통신사업법」 등에 의해 수사 등의 목적으로 수사기관이 정보제공을 적법절차에 따라 요청하는 경우)
○ 개인정보 유효기관 만료 후 개인정보 파기 등의 조치를 취하지 않는 경우 3천만원 이하의 과태료가 부과될 수 있다. (‘정보통신망법’ 제76조제1항제4호)
4. 개인정보 이용내역 통지 제도
| 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제30조의2(개인정보 이용내역의 통지) ① 정보통신서비스 제공자등으로서 대통령령으로 정하는 기준에 해당하는 자는 제22조 및 제23조제1항 단서에 따라 수집한 이용자 개인정보의 이용내역(제24조의2에 따른 제공 및 제25조에 따른 개인정보취급위탁을 포함한다)을 주기적으로 이용자에게 통지하여야 한다. 다만, 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우에는 그러하지 아니하다. ② 제1항에 따라 이용자에게 통지하여야 하는 정보의 종류, 통지 주기 및 방법, 그 밖에 이용내역 통지에 필요한 사항은 대통령령으로 정한다. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 시행령 제17조(개인정보 이용내역의 통지) ① 법 제30조의2제1항 본문에서 “대통령령으로 정하는 기준에 해당하는 자”란 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등을 말한다. ② 법 제30조의2제1항에 따라 이용자에게 통지하여야 하는 정보의 종류는 다음 각 호와 같다. 1. 개인정보의 수입ㆍ이용 목적 및 수집한 개인정보의 항목 2. 개인정보를 제공받은 자의 그 제공목적 및 제공한 개인정보의 항목. 다만, 통신비밀보호법 제13조, 제13조의2, 제13조의4 및 전기통신사업법 제83조제3항에 따라 제공한 정보는 제외한다. 3. 법 제25조에 따른 개인정보 취급위탁을 받은 자 및 그 취급위탁을 하는 업무의 내용 ③ 법 제30조의 2제1항에 따른 통지는 전자우편ㆍ서면ㆍ모사전송ㆍ전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 연 1회 이상 하여야 한다. |
○ 개인정보 이용내역 통지제도는 이용자의 자기정보 통제권을 강화하기 위한 조치로, 정보통신서비스 제공자들로 하여금 이용자로부터 수집한 개인정보의 내역 등을 정기적으로 안내하는 것을 주된 내용으로 하고 있다.
○ 전년도 말 기준 직전 3개월간 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일 평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자 등에만 적용되는 제도로써, 개인정보 이용내역을 연 1회 이상 해당 이용자에게 통지해야만 한다.
○ 방송통신위원회에서 발간한 ‘개정 정보통신망법 개인정보보호 신규제도 안내서(2012. 8)’에 따르면, 「통신비밀보호법」 제13조, 제13조의2, 제13조의4 및 「전기통신사업법」 제83조제3항에 따라 수사기관에 제공한 정보는 제외된다고 설명하면서, “적시에 법률에 의한 경우와 개별 법률에서 별도의 통지절차를 규정하고 있는 수사기관에 대한 정보제공은 이용내역 통지 대상에서 제외”된다고 하여 모든 정보의 제공내역이 통지대상이 아님을 정책적으로 배려하고 있다.
○ 제도의 명칭이 ‘개인정보 이용내역 통지제도’임에도 불구하고, 실제로 개인정보의 수집ㆍ이용 목적 및 항목만을 통지하면 되기 때문에 해당 정보통신서비스의 개별적인 이용내역은 통지대상에 해당되지 않는 점에 유의할 필요가 있다. 또한, 이용자의 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우에는 통지를 하지 않아도 된다. (즉, 통지를 위해 불필요한 개인정보를 추가로 수집할 필요가 없다는 의미임)
○ ‘정보통신망법’ 시행령에서는 아래와 같은 내용을 통지하도록 구체화 하고 있다. 개인정보 이용내역 통지는 전자우편, 서면, 팩스, 전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 연 1회 이상 하여야 한다.
○ 개인정보 이용내역을 통지하지 아니한 경우 3천만원 이하의 과태료를 부과받을 수 있다. (‘정보통신망법’ 제76조제1항제5의2호)
○ 개인정보이용내역 통지 예시
| ▶ 수집 이용 목적 ⇒ 개인정보 수집ㆍ이용 목적 기재 ▶ 수집한 개인정보의 항목 ⇒ 수집한 개인정보의 항목 기재 ▶ 개인정보 제3자 제공 관련 ⇒ 개인정보를 제공 받은 자: 개인정보 제공 받은자 기재. 다수일 경우 00등 00사 ⇒ 제공 목적: 제3자 제공과 관련해서 동의를 받은 목적 중 해당사항 기재 ⇒ 제공한 개인정보 항목: 제공한 개인정보의 항목 기재 ▶ 개인정보 취급위탁 관련 ⇒ 개인정보의 수탁자: 개인정보를 취급위탁 받은자 기재. 다수일 경우 00등 00사 ⇒ 취급위탁 목적: 개인정보 취급위탁 업무 내용 기재 ※ 보다 자세한 사항은 홈페이지를 통해 확인 가능 합니다. |
※ 개인정보를 제3자 제공이나 취급위탁 시 실제로 제공ㆍ위탁한 내역을 통지
'정보보호관리체계(ISMS-P) > 개인정보보호' 카테고리의 다른 글
| 개인정보의 기술적•관리적 보호조치 기준 및 해설(3) (0) | 2022.06.12 |
|---|---|
| 개인정보의 기술적•관리적 보호조치 기준 및 해설(2) (0) | 2022.06.12 |
| 개인정보의 안전성 확보조치 기준 및 해설(3) (0) | 2022.06.12 |
| 개인정보의 안전성 확보조치 기준 및 해설(2) (0) | 2022.06.12 |
| 개인정보의 안전성 확보조치 기준 및 해설(1) (0) | 2022.06.12 |