개인정보보호법과 정보통신망 이용촉진 및 정보보호등에 관한 법률의 비교

Posted by taeho Tae-Ho
2015.10.02 13:16 정보보호

얼마전에 편입한 학교에서 첫 레포트 과제가 나왔습니다. 얼마만에 써보는 학교 레포트인지 모르겠네요.ㅎㅎ 평소 정리가 필요하다고 생각했던 부분이었는데 과제로 나오니 겸사겸사 두 법률의 문구 하나 하나를 세심하게 보면서 유사항목들을 비교하고 어떤 차이가 있는지를 볼 수 있는 기회가 되었습니다.


평소 미뤄왔던 일을 하게 해주신 좋은 기회를 주신 조태희 교수님께 감사해야할 듯 합니다. ^^


그럼..들어갑니다....


1. 개요


우리나라는 개인의 자유와 권리를 보호하고 나아가 개인의 존엄과 가치를 구현하기 위한 입법취지를 갖는 『개인정보보호법』과 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 개인의 개인정보를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하기 위해 제정된  『정보통신망 이용촉진 및 정보보호 등에 관한 법률』(이하 정보통신망법)을 제정하여 시행하고 있습니다.


이에 두 법률을 비교/분석함으로써 전반적인 개인정보보호의 국가적 기준을 쉽게 이해할 수 있도록 하기 위해 작성하였습니다.


본 문서에서는『개인정보보호법』을 기준으로 『정보통신망법』의 동일 혹은 유사한 법령이 있는 경우 해당 규정을 비교하였습니다.


2. 일반사항 비교


개인정보보호법과 정보통신망법은 다음과 같이 제정 시기 및 주관부서의 차이를 갖고 있습니다.

구분

개인정보보호법

정보통신망법

제정

시기

2011년 3월 29일

(시행은 6개월 뒤인 2011년 9월 30일부터)

1999년 2월 8일

(이전의 『전산망보급확장과 이용촉진에 관한 법률』이 전면 개정되어 탄생 – 개인정보보호규정 추가됨)

주관

부처

행정자치부(개인정보보호정책과)

미래창조과학부/방송통신위원회

하위

규정

개인정보보호법 시행령

[별표 1]전문인력의 자격기준(제37조 제1항 제2호)

[별표 1의2] 과징금의 부과기준(제40조2 제1항)

[별표 2] 과태료의 부과기준(제63조)

정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령

개인정보의 기술적.관리적 보호조치 기준

정보보호조치에 관한 지침

정보보호 사전점검에 관한 고시

집적정보 통신시설 보호지침

정보보호 관리체계 인증 등에 관한 고시


3. 주요 법령 비교

가. 총칙

비교 기준 항목

개인정보보호법

정보통신망법

정의

“개인정보”, “정보주체”, “개인정보파일”, “개인정보처리자” 등 다양한 개인정보 관련 용어에 대한 정의 제시

또한 “처리”라는 용어로 개인정보의 수집, 이용 및 보관, 파기까지의 개인정보처리의 전반적인 라이프사이클을 명시하고 있음. (제2조)

“개인정보”에 대한 정의는 개인정보보호법과 동일한 의미로 정의하고 있음.

“개인정보처리자”를 명시하지 않고 ”정보통신서비스 제공자“ 및 ”통신과금서비스 제공자“, ”이용자“등으로 개인정보처리자 및 정보주체를 명시하고 있음. (제2조)

개인정보 보호원칙 및 정보주체의 권리

개인정보를 수집/이용하는 개인정보처리자의 책무와 개인정보 보호활동 및 정보주체의 권리에 대해 명확하게 명시하고 있음.

(제3조 및 4조)

정보통신서비스 제공자의 개인정보보호에 대한 책무를 간략히 명시하고 있음. (제3조)

미래창조과학부 장관 및 방송통신위원회가 개인정보를 위한 시책을 마련해야함을 명시함 (제4조)

타 법률과의 관계

개인정보에 관하여 타 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보보호법에 따름. (제6조)

타 법률에서 특별히 규정된 경우 이외에는 정보통신망법을 따른다. 단 통신과금서비스에 관하여 전자금융거래법과 경함하는 때에는 정보통신망법을 우선 적용한다. (제5조)


나. 개인정보 보호정책의 수립

개인정보보호를 정책 수립 및 보호위원회

대통령 직속의 “개인정보 보호위원회”(위원장 1명을 포함한 15인의 위원회)를 두고 개인정보 보호와 관련된 정책, 제도 및 법령을 심의 의결하도록 명시함. (제7조 및 8조)

 

별도의 위원회 및 기구 설립에 대해 언급하지 않고 있으며 “미래창조과학부 장관” 또는 “방송통신위원회”가 개인정보 보호를 위한 시책을 마련해야 한다고 명시함. (제4조)

정보보호 기본계획

행정자치부 장관은 3년마다 개인정보 보호 기본계획을 보호위원회에 제출하고 심의 의결을 거쳐 시행하여야 한다고 명시함. (제9조)

 


다. 개인정보의 수집, 이용, 제공 등

개인정보의 수집 이용 동의

1. 개인정보의 수집.이용 목적

2. 수집하려는 개인정보의 항목

3. 개인정보의 보유 및 이용 기간

4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익 내용   (제15조 2항)

1. 개인정보의 수집.이용 목적

2. 수집하는 개인정보의 항목

3. 개인정보의 보유.이용 기간

(제22조 1항)

미동의 수집 가능한 예외 항목

1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

2. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

3. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우

4. 정보주체 또는 그 법정대리인이 의사를 표시할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

(제15조 1항)

1. 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적.기술적 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우

2. 정보통신서비스이 제공에 따른 요금 정산을 위해 필요한 경우

3. 이 법 또는 다른 법률에 특별한 규정이 있는 경우

(제22조 2항)

개인정보의 수집 허용 범위 및 제한 사항

서비스의 제공에 필요한 최소한의 개인정보만을 수집하여야 한다는 원칙을 제시하고 있으며 최소한의 개인정보 이외의 개인정보 수집에 동의하지 아니한다는 이유로 서비스의 제공을 거부할 수 없음을 명시하고 있음.

(제16조)

개인정보보호법과 마찬가지로 서비스의 제공을 위하여 필요한 최소한의 범위에서 개인정보를 수집해야함을 명시하고 있음. 또한 서비스의 제공에 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다하여 서비스의 제공을 거부해서는 안된다고 명시하고 있음.

(제23조)

개인정보의 3자 제공 및 취급 위탁에 관한 사항

개인정보처리자는 수집한 개인정보를 제3자에게 제공하기 위해서는 정보주체의 동의를 받아야 하며 제공받는 자의 개인정보 이용 목적 및 항목, 보유기간 등을 정보주체에게 알리고 동의를 받아야 함을 명시하고 있음.

(제18조)

개인정보를 수집한 정보통신서비스 제공자는 제3자에게 개인정보 처리 업무를 위탁하거나 개인정보를 제공할 수 있으며 그 경우 위탁자(제공받는 자), 위탁업무의 내용(개인정보 이용 목적), 위탁(제공)하는 개인정보의 항목 등을 이용자에게 알리고 동의를 받아야 함을 명시하고 있음.

(제24조, 25조)

개인 정보의 수집 목적 외 이용.제공의 제한에 관한 사항

개인정보보호법에서는 “개인정보의 수집.이용 목적(제15조 1항)”의 범위를 초과하여 이용하거나 제3자에게 제공(제17조 1항 및 3항)하면 안된다고 명시하고 있음.

예외적으로 정보주체로부터 별도의 동의를 받거나 타 법률에 규정이 있는 경우 등 9가지의 항목의 경우에만 가능하다고 명시하고 있음. (제18조 2항)

또한 최초의 개인정보 수집.이용 목적을 초과하여 개인정보를 이용하고자 할 때에는 정보주체에게 별도의 이용동의를 받도록 명시하고 있다. (제18조 3항, 제19조)

정보통신서비스 제공자는 제22조 및 제23조 제1항의 단서에 따라 수집한 개인정보를 이용자로부터 동의받은 목적이나 제22조 제2항 각 호에서 정한 목적과 다른 목적으로 이용해서는 안된다고 명시하고 있음.

(제24조 및 제24조의 2 2항)

개인정보의 파기

개인정보처리자는 보유기간의 경과, 개인정보의 처리목적 달성 등 개인정보가 불필요하게 되었을 경우 지체없이 파기하도록 명시하고 있음.

또한 파기시 복구 또는 재생이 불가능하도록 조치하여야 함을 명시함.

(제21조)

정보통신서비스 제공자는 이용자로부터 동의 받은 개인정보의 수집.이용 목적을 달성하였거나 보유 및 이용기간이 끝난 경우, 사업을 폐업하는 경우 지체없이 해당 개인정보를 복구.재생할 수 없도록 파기하여야 한다고 명시하고 있음.

(제29조)


라. 개인정보의 처리 제한

민감정보의 처리 제한

개인정보 처리자는 사상, 정치활동, 건강정보 등 정보주체의 사생활을 현저히 침해할 우려가 있는 개인의 민감정보(대통령령으로 정함)를 “처리”하여서는 안된다고 명시하고 있음.

단, 별도의 동의를 받거나 법령에서 민감정보의 처리를 요구하거나 허용하는 경우에는 가능하다. (제23조)

정보통신서비스 제공자는 사상, 가족관계, 병력 등 개인의 이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개인정보를 수집해서는 안된다고 명시하고 있음.

단, 이용자의 동의를 받거나 다른 볍률에 따라 특별히 수집 대상 개인정보로 허용된 경우에는 최소한의 범위에서 수집이 가능함.

(제23조)

이용자는 사생활 침해 또는 명예훼손 등 타인의 권리를 침해하는 정보를 정보통신망에 유통시켜서는 안된다고 명시하여 정보통신서비스 제공자 뿐만 아니라 일반 이용자에 대해서도 타의 민감정보에 대한 유통을 금지하고 있으며 방송통신위원회는 정보통신망을 통한 사생활 침해 및 명예훼손 등을 방지하기 위한 기술개발, 교육, 홍보 등에 대한 시책을 마련하고 정보통신서비스 제공자에게 권고할 수 있다고 명시하고 있음

(제44조)

고유식별정보의 처리 제한

개인을 고유하게 구별하기 위하여 부여된 식별정보로서 별도의 대통령령으로 정하는 정보(이하 “고유식별정보”)는 다음의 경우 이외에는 처리할 수 없다고 명시되어 있음.

1. 제15조 2항 및 제17조 2항 각 호의 사항을 알리고 별도의 동의를 받은 경우

2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우

또한 고유식별정보를 처리하는 경우 암호화 등 안전성 확보에 필요한 조치를 해야 함.

(제24조)

정보통신망법에서는 “주민등록번호” 이외의 개인을 식별할 수 있는 고유식별정보에 대한 수집/이용 제한 규정이 명시되어 있지 않음.

주민등록번호의 처리 제한

개인정보처리자는 제24조 1항의 정보주체의 동의를 받았거나, 법령에서 허용하는 경우에도 불구하고 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록 번호를 처리할 수 없다.

1. 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우

2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우

3. 앞의 두 항목에 준하여 주민등록번호의 처리가 필요하며 안전행정부령으로 정하는 경우 (제24조의2 1항)

 

이 경우에도 주민등록번호를 처리하는 경우 암호화 등 안전성을 확보해야 함. (제24조 2항)

 

또한 개인정보처리자는 위의 경우에도 정보주체가 인터넷을 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하도록 명시하고 있음. (제24조의2)

정보통신서비스 제공자는 다음의 각호에 해당되는 경우를 제외하고는 이용자의 주민등록 번호를 수집.이용할 수 없다고 명시하고 있음.

1. 동법 제23조의3에 따라 본인확인기관으로 지정받은 경우

2. 법령에서 이용자의 주민등록번호의 수집.이용을 허용하는 경우

3. 영업상 목적을 위하여 이용자의 주민등록번호 수집.이용이 불가피한 정보통신서비스 제공자로서 방송통신위원회가 고시하는 경우

 

또한 위의 경우에도 이용자의 주민등록번호를 사용하지 아니하고 본인을 확인할 수 있는 방법(대체수단)을 제공하여야 한다고 명시하고 있음. (제23조의2)

 

개인정보취급자에 대한 감독 및 교육

개인정보처리자는 개인정보취급자에 대한 적절한 관리.감독과 안전한 개인정보의 취급을 위해 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 함을 명시하고 있음. (제28조)

정보통신망법에서는 정보통신서비스의 이용자 권익보호와 개인정보보호를 위해 노력해야함을 명시하고 있음. (제3조)


마. 개인정보의 안전한 관리

안전조치의무

개인정보보호법에서는 개인정보처리자가 개인정보의 분실.도난.유출.변조 또는 훼손의 방지를 위해 내부관리계획의 수립 등 대통령령으로 정하는바에 따라 안전성 확보에 필요한 기술적.관리적 및 물리적 조치를 취해야함을 명시하고 있음. (제29조 및 개인정보의 안전성 확보조치 기준 : 행정자치부고시 제2014-7호)

정보통신망법에서는 이용자의 개인정보를 보호하기위해 대통령령으로 정하는 기준에 따라 개인정보관리책임자를 지정하여야 하며 그 밖의 지정에 필요한 사항은 대통령령으로 정하도록 규정하고 있음 (제27조)

개인정보 처리방침의 수립 및 공개

개인정보처리자는 다음의 각호를 포함하는 개인정보처리방침을 수립하고 공개하여야 한다.

1. 개인정보의 처리 목적

2. 개인정보의 처리 및 보유기간

3. 개인정보의 제3자 제공에 관한사항(해당되는 경우)

4. 개인정보처리의 위탁에 관한 사항(해당되는 경우)

5. 정보주체의 권리.의무 및 그 행사방법에 관한 사항

6. 그 밖에 개인정보 처리에 관하여 대통령령으로 정한 사항

(제30조)

 

정보통신서비스제공자는 이용자의 개인정보취급방침을 정하여 이용자가 언제든지 쉽게 확인할 숭 ᅟᅵᆻ도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

1. 개인정보의 수집.이용 목적, 수집하는 개인정보의 항목 및 수집방법

2. 개인정보를 제3자에게 제공하는 경우 제공받는자의 성명(법인명), 제공받는 자의 이용 목적과 제공하는 개인정보의 항목

3. 개인정보의 보유 및 이용기간, 개인정보의 파기 절차 및 파기방법

4. 개인정보 취급위탁을 하는 업무의 내용 및 수탁자

5. 이용자 및 법정대리인의 권리와 그 행사방법

6. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치.운영 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처

(제27조의2)

개인정보 보호책임자의 지정 및 역할 규정

개인정보처리자는 개인정보의 처리에 관한 업무를 총괄하여 책임질 개인정보 보호책임자를 지정하여야 함을 규정하고 있음.

개인정보 보호책임자는 다음의 업무를 수행하여야 함.

1. 개인정보 보호 계획의 수립 및 시행

2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

4. 개인정보 유출 및 오용ᆞ남용 방지를 위한 내부통제시스템의 구축

5. 개인정보 보호 교육 계획의 수립 및 시행

6. 개인정보파일의 보호 및 관리ᆞ감독

7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

(제31조)

정보통신서비스 제공자 등은 이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하여 개인정보 관리책임자를 지정하여야 한다. 다만, 종업원 수, 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자등의 경우에는 지정하지 아니할 수 있다고 규정하고 있음.

단, 개인정보 관리 책임자를 지정하지 아니할 경우 그 사업주 또는 대표자가 개인정보 관리책임자가 된다고 규정하고 있음.

(제27조)

개인정보 유출 통지 등

개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.

1. 유출된 개인정보의 항목

2. 유출된 시점과 그 경위

3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

4. 개인정보처리자의 대응조치 및 피해 구제절차

5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

 

또한 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 취하여야 하며 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 위의 5가지 내용과 피해 최소화 대책을 지체 없이 행정자치부 장관 또는 대통령령으로 정하는 전문기관에 신고하여야 함을 명시하고 있음. (제34조)

정보통신서비스 제공자등은 개인정보의 분실.도난.누출 사실을 안 때에는 지체없이 다음 각호의 사항을 이용자에게 알리고 방송통신위원회 또는 한국인터넷진흥원에 특별한 사유가 없을 경우 24시간 이내에 신고하여야 함. 다만 이용자의 연락처를 알 수 없는 정당한 사유가 있을 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음할 수 있다.

1. 누출등이 된 개인정보 항목

2. 누출등이 발생한 시점

3. 이용자가 취할 수 있는 조치

4. 정보통신서비스 제공자 등의 대응 조치

5. 이용자가 상담할 수 있는 부서 및 연락처

 

또한 서비스제공자등은 개인정보 누출등에 대한 대책을 마련하고 그 피해를 최소화할 수 있는 조치를 강구하여야 함을 명시하고 있음. (제27조의3)



바. 처벌

과징금 및 과태료 부과

행정자치부 장관은 개인정보처리자가 처리하는 주민등록번호가 분실.도난.유출.변조 또는 훼손된 경우에는 5억원 이하의 과징금을 부과.징수할 수 있으나 개인정보처리자가 24조 제3항에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다고 규정하고 있음.

 

과징금 부과시에는 다음의 사항을 고려하도록 하고 있음.

1. 제24조 3항에 따른 안전성 확보에 필요한 조치 이행 노력 정도

2. 분실.도난.유출.변조 또는 훼손된 주민등록번호의 정도

3. 피해확산 방지를 위한 후속조치 이행 여부

(제34조2)

 

다음 각 호의 의무를 다하지 않은 자에게는 5천만원 이하의 과태료를 부과하도록 규정하고 있음.

1. 제15조 제1항을 위반하여 개인정보를 수집한 자

2. 제22조 제5항을 위반하여 법정대리인의 동의를 받지 아니한 자

3. 제25조 제2항을 위반하여 영상정보처리기기를 설치.운영한 자

 

이외에도 13개의 3천만원 이하의 과태료 부과처분 대상과 11개의 1천만원 이하의 과태료 부과 처분 대상에 대해서도 명시하고 있음. (제75조)

방송통신위원회는 다음과 같은 행위를 한 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있음을 명시하고 있음.

1. 제22조 제1항을 위반하여 이용자의 동의를 받지 않고 개인정보를 수집한 경우

2. 제23조 제1항을 위반하여 이용자의 동의를 받지 아니하고 개인의 권리.이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개인정보르 수집한 경우

3. 제24조를 위반하여 개인정보를 이용한 경우

4. 제24조의2를 위반하여 개인정보를 제3자에게 제공한 경우

5. 제25조 제1항을 위반하여 이용자의 동의를 받지 아니하고 개인정보 취급위탁을 한 경우. 제25조 제4항에 따른 관리.감독을 소홀히 하여 수탁자가 제4장의 규정을 위반한 경우

6. 이용자의 개인정보를 분실.도난.누출.변조 또는 훼손한 경우로서 제28조 제1항 제2호부터 제5호까지의 조치를 하지 아니한 경우

7. 제31조 제1항을 위반하여 법정대리인의 동의를 받지 아니하고 만 14세 미만인 아동의 개인정보를 수집한 경우

 

또한 방송통신위원회가 과징금을 산정할 때 다음의 사항을 고려하도록 하고 있음.

1. 위반행위의 내용 및 정도

2. 위반행위의 기간 및 횟수

3. 위반행위로 인하여 취득한 이익의 규모

(제64조의3)

 

이외에도 정보통신망법에서는 정보통신서비스 제공자가 아닌 경우에도 정보통신망을 통하여 비방할 목적의 사실적시, 명예훼손에 대한 벌금형 처벌규정이 있음. (제70조)

 

또한 개인정보 수집, 처리, 취급의 위탁, 법규 위반을 통해 개인정보를 제공하거나 제공받은 자, 악성 프로그램 유포자, 악의적 행위로 정보통신망의 장애를 유발한 자 등에 대한 처벌규정이 명시되어 있음. (제71조, 제72조)

 

개인정보보호를 위한 기술적.관리적 조치를 취하지 아니하여 개인정보를 분실.도난.누출.변조 또는 훼손한 자와 개인정보 파기 규정을 위반한 ㅈ 등에 대해서 2년이상의 징역 또는 2천만원 이하의 벌금형에 처하도록 규정하고 있음. (제73조)


신고
이 댓글을 비밀 댓글로
  1. 학업을 시작하셨군요 벌써 뭔가 새로운걸 배운다는게 두려워 지는데 대단하신것 같습니다 ^^
    • 어쩌다 보니 하게 됐습니다. 2년 동안 꼼짝마입니다.. ^^