정보통신망 이용촉진 및 정보보호 등에 관한 법률 및 동법 시행령 개정안(이하 각 “정보통신망법”, “동법 시행령”)이 지난주 토요일, 11월 29일부로 시행되었습니다. 어떤 내용이 개정되었는지 자세히 살펴보겠습니다.
[그림1 정보통신망법 및 시행령 개정]
법률 개정 이유
은행, 카드사 등에서 1억 건이 넘는 개인정보가 유출되는 사건이 발생하는 등 개인정보 누출사고가 지속적으로 발생하고 있고, 특히 정보통신망을 통한 개인정보 유출은 그 피해 정도가 심각할 수 있고 유출된 개인정보는 2차 피해 발생 가능성도 높아 사전에 개인정보가 유출되지 못하도록 법적•제도적 장치를 마련할 필요성이 크다고 할 수 있습니다.
이를 위해 개인정보보호조치를 강화함과 동시에 법률 위반에 대한 정보통신서비스 제공자의 처벌을 엄격히 하고 법정손해배상제도를 도입하는 등 이용자 권리구제 수단을 보완하였습니다. 또한 영리성 광고정보 전송조치에 대한 규제를 개선하는 등 각종 조치를 마련하기 위해 관련 법률을 개정하였습니다.
※ 출처: 정보통신망법 제•개정문(전문보기)
주요 개정 내용
필요한 최소한의 개인정보 개념 명확화
법률 조항 | 정보통신망법 제23조 | |
주요 개정 내용 | ||
개인정보 수집제한에 관한 법률내용에 ‘필요한 최소한의 개인정보’라는 내용이 있지만 범위와 개념이 불명확하였습니다. 하지만 이번 법률 개정으로 필요한 최소한의 개인정보는 ‘해당 서비스의 본질적인 기능을 수행하기 위해 반드시 필요한 정보’라는 명확한 기준을 추가하여 불필요한 개인정보 처리를 제한하였습니다. | ||
법률 상세 내용 | ||
제23조(개인정보의 수집 제한 등) ③ 정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부하여서는 아니 된다. 이 경우 필요한 최소한의 개인정보는 해당 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 정보를 말한다. | ||
법정 손해배상제도 도입
법률 조항 | 정보통신망법 제32조의2 | |
주요 개정 내용 | ||
개인정보가 분실, 도난, 누출된 경우 이용자는 300만원 이하의 범위에서 법정손해배상 청구가 가능하고, 이 경우 정보통신서비스 제공자는 이에 대한 고의 또는 과실이 없음을 입증해야 합니다. | ||
법률 상세 내용 | ||
제32조의2(법정손해배상의 청구) ① 이용자는 다음 각 호의 모두에 해당하는 경우에는 대통령령으로 정하는 기간 내에 정보통신서비스 제공자등에게 제32조에 따른 손해배상을 청구하는 대신 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. 1. 정보통신서비스 제공자등이 고의 또는 과실로 이 장의 규정을 위반한 경우 2. 개인정보가 분실•도난•누출된 경우 | ||
개인정보 유효기간 단축
법률 조항 | 정보통신망법 제29조 / 동법 시행령 제16조 | |
주요 개정 내용 | ||
서비스를 이용하지 않는 이용자의 개인정보 파기 등 필요한 조치를 취해야 하는 유효기간 기준을 3년에서 1년으로 단축하였습니다. ※ 단, 다른 법령에서 별도의 기간을 정하고 있거나 이용자의 요청에 따라 기간을 달리 정한 경우에는 다른 이용자의 개인정보와 분리하여 별도로 저장•관리할 수 있음(상세기준 법률 참고) | ||
법률 상세 내용 | ||
법 제29조(개인정보의 파기) ② 정보통신서비스 제공자등은 정보통신서비스를 대통령령으로 정하는 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 시행령 제16조(개인정보의 파기 등) ① 법 제29조제2항에서 "대통령령으로 정하는 기간"이란 1년을 말한다. 다만, 다음 각 호의 경우에는 해당 호에 따른 기간으로 한다. 1. 다른 법령에서 별도의 기간을 정하고 있는 경우: 해당 법령에서 정한 기간 2. 이용자의 요청에 따라 기간을 달리 정한 경우: 달리 정한 기간 | ||
과징금 상한액 상향 및 부과 기준 강화
법률 조항 | 정보통신망법 제64조의3 | |
주요 개정 내용 | ||
개인정보 보호의무 위반시 부과하는 과징금 기준이 위반행위와 관련된 매출액의 1%에서 3%로 높아졌으며, 과징금을 부과대상이 되는 위반사례가 추가되었습니다. - 개인정보 취급 업무를 위탁 받아 처리하는 수탁자가 개인정보보호 규정을 위반한 경우 - 인과관계에 상관없이 개인정보의 기술적•관리적 보호조치를 위반하여 개인정보 누출이 발생한 경우 | ||
법률 상세 내용 | ||
제64조의3(과징금의 부과 등) ① 방송통신위원회는 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다. 5의2. 제25조제4항에 따른 관리•감독을 소홀히 하여 수탁자가 제4장의 규정을 위반한 경우 6. 이용자의 개인정보를 분실•도난•누출•변조 또는 훼손한 경우로서 제28조제1항제2호부터 제5호까지의 조치를 하지 아니한 경우 | ||
영리목적의 광고성 정보 전송시 사전 동의 획득
법률 조항 | 정보통신망법 제50조 | |
주요 개정 내용 | ||
전화나 팩스로 영리목적의 광고성 정보를 전송하는 경우에만 사전동의를 반드시 받도록 되어 있었지만 적용 대상을 ‘전자적 전송매체’ 전체로 확대하여 사실상 사전동의를 받아야만 영리목적의 광고성 정보를 전송할 수 있도록 하였습니다. | ||
법률 상세 내용 | ||
제50조(영리목적의 광고성 정보 전송 제한) ① 누구든지 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 사전 동의를 받지 아니한다. 1. 재화등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 대통령령으로 정한 기간 이내에 자신이 취급하고 수신자와 거래한 것과 동종의 재화등에 대한 영리목적의 광고성 정보를 전송하려는 경우 2. 「방문판매 등에 관한 법률」에 따른 전화권유판매자가 육성으로 전화권유를 하는 경우 | ||
그밖에 개정내용
개인정보 파기에 대한 처벌기준 강화, 취급위탁 시 동의 예외요건 추가, 영업양수자의 통지의무 강화 등의 내용이 개정 법률 및 시행령에 변경•추가 되었습니다.
> 개정된 정보통신망법(전문보기)
마치며
이번 법률 개정내용을 살펴보면 사업에게 부과하는 과징금과 벌칙기준이 대폭 강화된 것을 볼 수 있습니다. 규제기관의 개인정보보호 의지와 함께 아직 기업이 이용자의 개인정보보호를 위해 더욱 많은 노력이 필요하다는 의미로 해석될 수 있을 것입니다.
네이버는 이번 개정된 정보통신망법를 준수하기 위해 최선을 다할 것이며, 이용자의 개인정보와 프라이버시 보호를 위해 법률기준 이외에도 더 필요한 보호조치는 없는지 다시 한번 살펴보겠습니다.
개인정보보호를 위해 이용자의 입장에서 생각하고 고민하는 네이버가 되겠습니다.
고맙습니다.
* 이 글은 NAVER 개인정보보호 공식 페이스북/트위터 를 통해서도 소개해드리고 있습니다.
작성| 2014. 12. 1. NAVER 정보보호실 [출처] 정보통신망법 및 시행령 개정, 무엇이 달려졌을까요?|작성자 개인정보 |
출처 : 네이버
댓글