[개인정보보호법] 정보통신서비스 제공자 기준_(1)

※ 개인정보처리자는 일반규정+@

 

기준	일반 규정 (개인정보처리자 기준)	특례규정 (정보통신서비스 제공자 기준)	주요 변화 내용 및 특징
제15조 (개인정보의 수집ㆍ이용)	영 제14조의2 (개인정보의 추가적인이용ㆍ제공 기준) 1. 기존 수집목적과 관련성 여부 2. 개인정보 수집 정황, 처리 관행 고려 시 추가적인 이용 및 제공에 대한 예측 가능성 존재 여부 3. 정보주체의 부당한 이익 침해 4. 가명처리 또는 암호화 등 안전성 확보조치 여부	*동의 시 고지 항목 1. 개인정보 수집이용 목적 2. 개인정보 항목 3. 개인정보 보유 및 이용 기간 **동의 없이 이용할 수 있는 경우 1. 제공에 관한 계약 이행을 위해 필 요한 개인정보로, 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우 2. 정보통신서비스의 제공에 따른 요금정산 시 3. 다른 법률에 특별한 규정 존재	*개인정보의 추가적인 이용 적용(제15조제3항) **제39조의3(개인정보의 수집․이용 동의 등에 대한 특례) 제1항, 제2항 적용
제16조 (개인정보의 수집 제한)	1. 목적에 필요한 최소한의 수집 (입증책임- 개인정보처리자 부담) 2. 최소 범위 외의 개인정보에 대한 동의 거부권 고지 3. 최소한의 개인정보에 미동의 -> 재화 또는 서비스 제공 거부 금지	이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다는 이유로 서비스의 제공을 거부해선 안 됨	*일반규정(제16조 제1항, 제2항)이 적용되나, 필요한 최소한의 정보 범위는 특례 규정(제39조의3제3항) 적용
제17조 (개인정보의 제공)	1. 정보주체의 동의 시 2. 올바르게 수집한 개인정보를 목적 범위에서 제공 3. 기존 수집목적 관련범위 내에서 정보주체 불이익 발생 가능성 여부, 암호화 등 안전성 확보조치 여부 등을 고려 -> 동의없이 제공가능	*국외이전 조건 1. 국외이전 시(조회, 위탁, 보관 포함) 동의를 받아야 함 2. 동의 항목을 개인정보처리방침에 공개하거나 서면 등의 방법으로 이용자에게 통지하는 경우 동의를 받지 않아도 됨 **국외이전 동의 시 고지사항 1. 이전되는 개인정보 항목 2. 이전되는 국가, 이전일시, 방법 3. 이전받는 자의 성명(연락처) 4. 이전받는 자의 개인정보 이용 목적 및 보유ㆍ이용기간 <시행령_국외이전 시 보호조치> 가. 안전성확보조치 나. 침해에 대한 분쟁해결 등 조치 다. 그 밖의 보호	*제공에 대하여는 일반규정이 적용되나, 국외제공에 대하여는 특례규정이 우선 적용 **제39조12(국외이전 개인정보의 보호)
제18조 (개인정보의 목적 외 이용․제공 제한)	1. 정보주체(이용자)의 별도 동의 2. 다른 법률에 의한 특별한 규정	-	*일반 규정을 적용하나 법 제18조2항 1, 2호로 한정 (4호부터는 공공기관 한정)
제19조 (개인정보를 제공받은 자의 이용․제공 제한)	*개인정보를 제공받은 자는 각 호를 제외하고 목적 외의 용도로 이용하거 나, 제3자에게 제공해서는 안 됨 1. 정보주체(이용자)의 별도 동의 2. 다른 법률에 의한 특별한 규정	-	*일반규정 적용
제20조 (정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)	*고지 내용 1. 개인정보의 수집 출처 2. 개인정보의 처리 목적 3. 개인정보 처리정지 요구권리 **고지 대상자 1. 5만명 이상 고유/민감정보 처리 2. 100만명 이상 개인정보 처리 ***고지 방법 및 시기 1. 제공받은 날 3개월 이내 통지 2. 연 2회 이상 제공받는 경우, 3개월 이내 또는 연 1회 이상 통지	-	법 시행일(2020.8.5.) 이후 제공받은 경우에 한정 적용 *파기까지, 아래 내용 보관/관리 1. 정보주체에게 알린 사실 2. 알린 시기 3. 알린 방법 **연락처를 모르는 경우 제외
제21조 (개인정보의 파기)	1. 보유기간 경과 시 파기 2. 처리목적 달성 시 파기 3. 다른 법령에 따라 보존해야 하는 경우 제외 4. 보존 시 다른 정보와 분리보관 5. 일부 정보만 파기하는 경우, 삭제 후 복구되지 않도록 관리 감독 또는 해당 부분 마스킹/천공 처리	1. 1년 미이용자의 개인정보 보호를 위해 파기 등의 조치를 취함 2. 다른 법령 또는 이용자의 요구가 있을 경우 제외 3. 만료 30일 전 이용자에게 통보 <시행령> 가. 미이용자 정보 이용제공 금지 나. 파기 사실, 파기되는 항목 통지 다. 별도보관 사실, 별도보관 항목 통지 라. 서면으로 통보	*일반규정이 적용되고, 특례규정의 1년 미이용자 파기등 의무 추가 적용 **제39조의6(개인정보의 파기에 대한 특례)
제22조 (동의를 받는 방법)	*중앙행정기관 장은 개인정보 보호 지침 기준에 따라 동의받도록 권장 **각각의 동의 사항 구분 1. 마케팅 이용 사실 2. 민감/고유식별(주민번호 제외) 3. 보유 및 이용기간 4. 제공받는 자, 이용 목적	1. 만 14세 미만의 아동에게 개인정보 처리와 관련한사항의 고지등을 할 땐 명확하고 이해하기 쉬운 양식과 쉬운언어를 사용해야함 2. 보호위원회는 개인정보 처리에 따른 위험성 및 결과, 이용자의 권리 등을 명확하게 인지하기 어려운 만 14세 미만의 아동의 개인정보 보호 시책을 마련해야함	*일반규정이 모두 적용되고, 만14세 미만 아동의 동의 시 법정대리인 동의 및 확인의무는 특례규정 추가 적용 **제39조의3 5항, 6항
제23조 (민감정보의 처리 제한	*안전성 확보조치 필수 **민감/고유식별 수집이용 가능 경우 1. 정보주체의 별도 동의 존재 2. 법령에 따른 요구/허용	개인정보의 기술적/관리적 보호조치 기준 참고	일반규정을 적용하나, ※ 법 제29조에 따른 안전성 확보조치는 영 제48조의2 특례규정 적용
제24조 (고유식별정보 의 처리 제한)
제24조의2 (주민등록번호 처리의 제한)	1. 법률ㆍ법령ㆍ국회규칙 ㆍ대법원 규칙 및 관련 규칙에서 처리를 요구 /허용한 경우 2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 명백히 필요한 경우 3. 보호위원회가 고시로 정한 경우	-	*주민등록번호를 수집이용 할 수 있더라도 다른 방법으로 회원가입 할 수 있는 별도 방안 마련
제25조 (영상정보 처리기기의 설치․운영 제한)	1. 법령에서 구체적으로 허용 2. 범죄의 예방 및 수사 3. 시설안전 및 화재 예방 4. 교통단속 5. 교통정보의 수집ㆍ분석 및 제공	-	*누구든지 적용 **영상정보처리자는 영상정보처리기기 운영ㆍ관리 방침을 작성하여 공개해야 하며, 이 경우 개인정보 처리방침을 정하지 않아도 됨
제26조 (업무위탁에 따른 개인정보의 처리 제한)	*처리 업무위탁 시 문서 내용 1. 위탁업무의 목적 및 범위 2. 재위탁 제한에 관한 사항 3. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 4. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항 5. 수탁자 의무를 위반한 경우의 손해배상 등 책임	-	*위탁사실 공개 및 고지 의무 존재 **마케팅 및 홍보를 목적으로 위탁하는 경우 업무내용과 수탁자를 정보주체(이용자)에게 알리거나(통지, 고지) 홈페이지 30일 게재
제27조 (영업양도 등에 따른 개인정보의 이전 제한)	1. 미리 정보주체(이용자)에게 고지 2. 영업 양수자 등은 이전받았을 때, 지체없이 정보주체에게 서면 등의 방법으로 통지 (양도자가 이미 통지한 경우 제외)	-	*전부 또는 일부 양도, 합병 모두 포함
제28조 (개인정보취급자 감독)	- 개인정보처리자가 수행 - 정기적으로 교육 실시	-	*일반규정적용