Law/국내
[개인정보보호법] 정보통신서비스 제공자 기준_(2)
z_9oo
2022. 1. 6. 09:59
※ 개인정보처리자는 일반규정+@
| 기준 | 일반 규정 (개인정보처리자 기준) | 특례규정 (정보통신서비스 제공자 기준) |
주요 변화 내용 및 특징 |
| 제3장 제3절 (가명정보 처리에 관한 특례) |
‘가명정보 처리’에 관한 특례 규정 적용 (*개보법 해설서 참고) |
||
| 제29조 (안전조치의무) |
1. 내부 관리계획 수립ㆍ시행(15개) 2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 3. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치 4. 접속기록의 보관 및 위조ㆍ변조 방지를 위한 조치 5. 개인정보에 대한 보안프로그램 설치 및 관리 6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치 |
1. 내부관리계획의 수립ㆍ시행 가. 개인정보 보호 조직의 구성 및 운영 관련 사항(개인정보보호책임자 지정) 나. 개인정보취급자 교육 다. 그 외 조치를 위한 세부 사항 2. 개인정보 불법적 접근 차단 가. 개인정보처리시스템 접근 권한 변경 사항 기준 수립ㆍ시행 나. 개인정보처리시스템에 대한 침입 차단시스템 및 설치ㆍ운영 다. 취급자 외부 인터넷망 차단 [① 전년도 말 기준 직전 3개월간 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상 ② 전년도 매출액 100억 이상] 라. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정 및 운영 마. 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치 3. 접속기록의 위조ㆍ변조 방지 가. 취급자의 시스템 접속일시, 처리 내역 등 저장 및 확인ㆍ감독 나. 접속기록 별도 보관 (백업 등) 4. 개인정보의 안전한 저장ㆍ전송 가. 비밀번호 일방향 암호화 저장 나. 주민등록번호, 계좌정보, 민감정보 등 보호위원회가 정하여 고시하는 정보의 암호화 저장 다. 정보통신망을 통한 개인/인증정보 송ㆍ수신 시 보안서버 구축 라. 그 밖에 암호화 기술을 이용 5. 백신소프트웨어 설치 및 관리 |
*안전성 확보 조치는 제29조의 위임에 따른 시행령 제48조의2와 법 제39조의5 특례규정 적용 **개인정보의 기술적/관리적 보호조치 기준 참고 |
| 제30조 (개인정보 처리방침의 수립 및 공개) |
1. 개인정보의 처리 목적 및 항목 2. 개인정보의 처리 및 보유 기간 3. 제3자 제공 및 파기에 관한 사항 4. 개인정보처리 위탁에 관한 사항 5. 정보주체와 법정대리인의 권리 ㆍ의무 및 그 행사방법 6. 개인정보 보호책임자의 성명 또는 개인정보 관련 부서명 등 연락처 7. 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 거부 8. 그 밖에 개인정보의 처리에 관 하여 대통령령으로 정한 사항 (항목, 개인정보 안전성 확보조치) |
- | *제3자 제공, 위탁, 개인정보 자동 수집 장치는 해당하는 경우에만 작성 |
| 제31조 (개인정보 보호 책임자의 지정) |
*개인정보 보호책임자(CPO) 자격 1) 공공기관 1. 중앙행정기관: 고위 공무원 2. 정무직 공무원, 교육청: 3급 이상 3. 국가기관 및 자치구(3급 이상 공무원 장 역할): 4급 이상 4. 학교: 행정사무 총괄자 5. 그 외: 개인정보처리자 2) 일반사업자 1. 개인사업자 2. 소기업(10人 미만 광제건운) 3. 5인 미만 업종 => 사업주 및 대표자, 임원, 부서장 |
- | *일반규정 적용 |
| **개인정보 보호책임자 역할 1. 개인정보 보호 계획 수립 및 시행 2. 개인정보 처리 실태 및 관행의 정기적 조사 및 개선 3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제 4. 개인정보 유출 및 오ㆍ남용 방지를위한 내부통제시스템 구축 5. 개인정보 교육 수립 및 시행 6. 개인정보파일보호 및 관리ㆍ감독 7. 그 밖에 대통령령으로 정한 업무 가. 개인정보처리방침 수립ㆍ변경ㆍ시행 나. 개인정보 보호 관련 자료 관리 다. 개인정보 파기(처리목적 달성 등) |
- | *일반규정 적용 | |
| 제32조의2 (개인정보 보호 인증) |
*인증 취소 사유 1. 거짓이나 부정한 방법으로 인증을 받은 경우 2. 사후관리를 거부 또는 방해 3. 인증기준에 미달하게 된 경우 4. 개인정보 보호 관련 법령 위반 + 중대한 위반 사유 |
- | *ISMS-P 의미 **ISMS-P 관련 자료 참고 |
| 제33조 (개인정보 영향평가) |
*평가 시 고려 대상 1. 처리하는 개인정보의 수 2. 개인정보의 제3자 제공 여부 3. 정보주체 권리 침해 가능성 및 그 위험 정도 4. 그 밖의 대통령령 가. 민감/고유식별정보 처리 여부 나. 개인정보 보유기간 - *일반 규정 적용 **평가 대상 1. 구축ㆍ운용ㆍ변경하려는 5만명 이상의 민감/고유식별정보 처리가 수반되는 개인정보파일 2. 구축ㆍ운용하고 있는 개인정보 파일을 외부 파일과 연계한 결과 50만명 이상의 개인정보파일 3. 구축ㆍ운용ㆍ변경하려는 100만명 이상의 개인정보 파일 |
- | *일반 규정 적용 |
| 제34조 (개인정보 유출 통지 등) |
개인정보처리자와 정보통신서비스 제공자의 기준이 다르며, 통지 내용은 거의 동일 | *통지 기준 및 방법 -1명 이상, 보호위원회/KISA신고 -24시간 이내 신고 -이용자에게 통지 불가 -> 홈페이지 30일 or신문 1회 공고 **통지 내용 1. 유출된 개인정보 항목 2. 유출된 시점 3. 피해 최소화를 위해 이용자가 조치 할 수 있는 방법 4. 정보통신서비스제공자의 대응조치 5. 이용자가 상담 등을 할 수 있는 담당부서 및 연락처 |
*특례규정 적용 **제39조의4 (개인정보 유출 등의 통지․신고에 대한 특례) |
| 제34조의 2 (과징금의 부과 등) |
1. 안전성 확보조치 이행 노력 정도 2. 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 주민등록번호의 정도 3. 피해확산 방지의 후속 조치 여부 |
- | 주민등록번호 관련 유출 등 사고에 대해서는 5억원 이하 과징금 부고(안전성 확보조치 기준 수립 이행의 경우 제외) |
| 제35조 (개인정보의 열람) |
1. 정보주체는 자신의 개인정보에 대해 열람 요청 가능 <시행령> 가. 열람 요구 시 10일 이내 답변 나. 서면, 전화, 전자우편, 인터넷 등 정보주체가 쉽게 활용할 수 있는 방법으로 제공할 것 다. 최소한 개인정보를 수집한 창구 또는 방법과 동일하게 개인정보의 열람을 요구할 수 있도록 할 것 라. 인터넷 홈페이지를 운영하는 개인정보처리자는 홈페이지에 열람 요구 방법과 절차를 공개할 것 |
- | 일반규정이 적용되고, 동의철회 등 제37조의7의 특례규정은 추가 적용 |
| 제36조 (개인정보의 정정․삭제) |
1. 개인정보를 열람한 정보주체는 개인정보 정정 및 삭제 요구 가능 2. 조치 후, 다시 통보(결과통지서) 3. 다른 법령에 수집대상으로 명시된 경우 정정 및 삭제 불가 <시행령> 가. 정정ㆍ삭제 요구시10일이내답변 나. 정정ㆍ삭제 절차는 열람과 동일 다. 개인정보를 제공한 기간의 장에게 정정ㆍ삭제 사실을 지체없이 알려야 함 |
- | 일반규정이 적용되고, 동의철회 등 제37조의7의 특례규정은 추가 적용 |
| 제37조 (개인정보의 처리정지 등) |
1. 정보주체는 처리정지 요구 가능 2. 정보주체의 요구 시 지체없이 전부 또는 일부를 정지 **처리정지 요구 거절 사유 1. 법률특별규정 or법령상의무준수 2. 타인의 생명ㆍ신체를 해할 우려 or 타인의 재산과기타이익부당침해 3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우 4. 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우 <시행령> 가. 처리정지 요구시10일이내답변 나. 처리정지 절차는 열람과 동일 다. 개인정보를 제공한 기간의 장에게 정정ㆍ삭제 사실을 지체없이 알려야 함 |
- | 일반규정이 적용되고, 동의철회 등 제37조의7의 특례규정은 추가 적용 |
| 제38조 (권리행사의 방법 및 절차) |
1. 자신의 열람등요구를 대리인에게 하게 할 수 있음 2. 만 14세 미만 아동 법정대리인은 아동의 개인정보 열람등요구 가능 3. 개인정보처리자는 열람요구자에게 수수료 운송료 청구 가능 4. 열람등요구에 대한 거절 조치에 대한 이의제기 절차 마련 |
- | 일반규정이 적용되고, 동의철회 등 제37조의7의 특례규정은 추가 적용 |
| 제39조 (손해배상책임) |
1. 정보주체가 손해배상을 요구하면, 개인정보처리자는 입증 해야 함 2. 손해액 3배 이하 범위에서 손해 배상액 결정 -> 고의 또는 과실에 대한 입증을 한 경우 제외 *배상액 고려사항 1. 손해 발생의 우려를 인식한 정도 2. 피해 규모 3. 개인정보처리자가 취득한 이익 4. 위반행위에 따른 벌금 및 과징금 5. 위반행위의 기간ㆍ횟수 등 6. 개인정보처리자 재산상태 7. 노력의 정도- 유출 개인정보 회수 8. 노력의 정도- 피해구제 |
- | *일반 규정 적용 |
| 제39조의2 (법정손해배상의 청구) |
- 배상액은 300만원을 넘을 수 없음 | - | *일반 규정 적용 |