영문/국문 이단 법령보기
개인정보 보호법 PERSONAL INFORMATION PROTECTION ACT
 신규제정 2011. 3. 29 법률 제 10465 호
개정 2013. 3. 23 법률 제 11690 호
2013. 8. 6 법률 제 11990 호
2014. 3. 24 법률 제 12504 호
2014. 11. 19 법률 제 12844 호
2015. 7. 24 법률 제 13423 호
2016. 3. 29 법률 제 14107 호
2017. 4. 18 법률 제 14765 호
2017. 7. 26 법률 제 14839 호
2020. 2. 4 법률 제 16930 호
  Act No. 10465, Mar. 29, 2011
Amended by Act No. 11690, Mar. 23, 2013
Act No. 11990, Aug. 6, 2013
Act No. 12504, Mar. 24, 2014
Act No. 12844, Nov. 19, 2014
Act No. 13423, Jul. 24, 2015
Act No. 14107, Mar. 29, 2016
Act No. 14765, Apr. 18, 2017
Act No. 14839, Jul. 26, 2017
Act No. 16930, Feb. 4, 2020
제1장 총칙
CHAPTER I GENERAL PROVISIONS
제1조(목적)
이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다. <개정 2014. 3. 24.>
Article 1 (Purpose)
The purpose of this Act is to protect the freedom and rights of individuals, and further, to realize the dignity and value of the individuals, by prescribing the processing and protection of personal information. <Amended by Act No. 12504, Mar. 24, 2014>
제2조(정의)
이 법에서 사용하는 용어의 뜻은 다음과 같다. <개정 2014. 3. 24., 2020. 2. 4.>
1. "개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 "가명정보"라 한다)
1의2. "가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
2. "처리"란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
3. "정보주체"란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
4. "개인정보파일"이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
5. "개인정보처리자"란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
6. "공공기관"이란 다음 각 목의 기관을 말한다.
가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체
나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관
7. "영상정보처리기기"란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유ㆍ무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.
8. "과학적 연구"란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 말한다.
Article 2 (Definitions)
The terms used in this Act shall be defined as follows: <Amended by Act No. 12504, Mar. 24, 2014; Act No. 16930, Feb. 4, 2020>
1. The term "personal information" means any of the following information relating to a living individual:
(a) Information that identifies a particular individual by his or her full name, resident registration number, image, etc.;
(b) Information which, even if it by itself does not identify a particular individual, may be easily combined with other information to identify a particular individual. In such cases, whether or not there is ease of combination shall be determined by reasonably considering the time, cost, technology, etc. used to identify the individual such as likelihood that the other information can be procured;
(c) Information under items (a) or (b) above that is pseudonymized in accordance with subparagraph 1-2 below and thereby becomes incapable of identifying a particular individual without the use or combination of information for restoration to the original state (hereinafter referred to as “pseudonymized information”);
1-2. The term “pseudonymization” means a procedure to process personal information so that the information cannot identify a particular individual without additional information, by deleting in part, or replacing in whole or in part, such information;
2. The term “processing” means the collection, generation, connecting, interlocking, recording, storage, retention, value-added processing, editing, searching, output, correction, recovery, use, provision, disclosure, and destruction of personal information and other similar activities;
3. The term “data subject” means an individual who is identifiable through the information processed and is the subject of that information;
4. The term “personal information file” means a set or sets of personal information arranged or organized in a systematic manner based on a certain rule for easy search of the personal information;
5. The term “personal information controller” means a public institution, legal person, organization, individual, etc. that processes personal information directly or indirectly to operate the personal information files as part of its activities;
6. The term "public institution" means any of the following institutions:
(a) The administrative bodies of the National Assembly, the Courts, the Constitutional Court, and the National Election Commission; the central administrative agencies (including agencies under the Presidential Office and the Prime Minister’s Office) and their affiliated entities; and local governments;
(b) Other national agencies and public entities prescribed by Presidential Decree;
7. The term "visual data processing devices" means the devices prescribed by Presidential Decree, which are continuously installed at a certain place to take pictures of persons or images of things, or transmit such pictures or images via wired or wireless networks.
8. The term “scientific research” means research that applies scientific methods, such as technological development and demonstration, fundamental research, applied research and privately funded research.
제3조(개인정보 보호 원칙)
개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다. <개정 2020. 2. 4.>
개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.
Article 3 (Principles for Protecting Personal Information)
(1) The personal information controller shall specify explicitly the purposes for which personal information is processed; and shall collect personal information lawfully and fairly to the minimum extent necessary for such purposes.
(2) The personal information controller shall process personal information in an appropriate manner necessary for the purposes for which the personal information is processed, and shall not use it beyond such purposes.
(3) The personal information controller shall ensure personal information is accurate, complete, and up to date to the extent necessary in relation to the purposes for which the personal information is processed.
(4) The personal information controller shall manage personal information safely according to the processing methods, types, etc. of personal information, taking into account the possibility of infringement on the data subject’s rights and the severity of the relevant risks.
(5) The personal information controller shall make public its privacy policy and other matters related to personal information processing; and shall guarantee the data subject’s rights, such as the right to access their personal information.
(6) The personal information controller shall process personal information in a manner to minimize the possibility of infringing the privacy of a data subject.
(7) If it is still possible to fulfil the purposes of collecting personal information by processing anonymized or pseudonymised personal information, the personal information controller shall endeavor to process personal information through anonymization, where anonymization is possible, or through pseudonymisation, if it is impossible to fulfil the purposes of collecting personal information through anonymization. <Amended by Act No. 16930, 4. February, 2020 >
(8) The personal information controller shall endeavor to obtain trust of data subjects by observing and performing such duties and responsibilities as provided for in this Act and other related statutes.
제4조(정보주체의 권리)
정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리
4. 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리
5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
Article 4 (Rights of Data Subjects)
A data subject has the following rights in relation to the processing of his or her own personal information:
1. The right to be informed of the processing of such personal information;
2. The right to determine whether or not to consent and the scope of consent regarding the processing of such personal information;
3. The right to confirm whether or not personal information is being processed and to request access (including the provision of copies; hereinafter the same applies) to such personal information;
4. The right to suspend the processing of, and to request correction, deletion, and destruction of such personal information;
5. The right to appropriate redress for any damage arising out of the processing of such personal information through a prompt and fair procedure.
제5조(국가 등의 책무)
국가와 지방자치단체는 개인정보의 목적 외 수집, 오용ㆍ남용 및 무분별한 감시ㆍ추적 등에 따른 폐해를 방지하여 인간의 존엄과 개인의 사생활 보호를 도모하기 위한 시책을 강구하여야 한다.
국가와 지방자치단체는 제4조에 따른 정보주체의 권리를 보호하기 위하여 법령의 개선 등 필요한 시책을 마련하여야 한다.
국가와 지방자치단체는 개인정보의 처리에 관한 불합리한 사회적 관행을 개선하기 위하여 개인정보처리자의 자율적인 개인정보 보호활동을 존중하고 촉진ㆍ지원하여야 한다.
국가와 지방자치단체는 개인정보의 처리에 관한 법령 또는 조례를 제정하거나 개정하는 경우에는 이 법의 목적에 부합되도록 하여야 한다.
Article 5 (Obligations of State, etc.)
(1) The State and a local government shall formulate policies to prevent harmful consequences of beyond-purpose collection, abuse and misuse of personal information, indiscrete surveillance and tracking, etc. and to enhance the dignity of human beings and individual privacy.
(2) The State and a local government shall establish policy measures, such as improving statutes, necessary to protect the data subject's rights as provided for in Article 4.
(3) The State and local government shall respect, promote, and support self-regulating data protection activities of personal information controllers to improve unreasonable social practices relating to the processing of personal information.
(4) The State and a local government shall enact or amend any statutes or municipal ordinances in conformity with the purpose of this Act.
제6조(다른 법률과의 관계)
개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다. <개정 2014. 3. 24.>
Article 6 (Relationship to other Acts)
The protection of personal information shall be governed by this Act, except where special provisions exist in other laws. <Amended by Act No. 12504, Mar. 24, 2014>
제2장 개인정보 보호정책의 수립 등
CHAPTER II ESTABLISHMENT OF PERSONAL INFORMATION PROTECTION POLICIES, ETC.
제7조(개인정보 보호위원회)
개인정보 보호에 관한 사무를 독립적으로 수행하기 위하여 국무총리 소속으로 개인정보 보호위원회(이하 "보호위원회"라 한다)를 둔다. <개정 2020. 2. 4.>
보호위원회는 「정부조직법」 제2조에 따른 중앙행정기관으로 본다. 다만, 다음 각 호의 사항에 대하여는 「정부조직법」 제18조를 적용하지 아니한다. <개정 2020. 2. 4.>
1. 제7조의8제3호 및 제4호의 사무
2. 제7조의9제1항의 심의ㆍ의결 사항 중 제1호에 해당하는 사항
삭제 <2020. 2. 4.>
삭제 <2020. 2. 4.>
삭제 <2020. 2. 4.>
삭제 <2020. 2. 4.>
삭제 <2020. 2. 4.>
삭제 <2020. 2. 4.>
삭제 <2020. 2. 4.>
Article 7 (Personal Information Protection Commission)
(1) The Personal Information Protection Commission (hereinafter referred to as the “Protection Commission”) shall be established under the Prime Minister to independently conduct work relating to the protection of personal information. <Amended by Act No. 16930, 4. February, 2020 >
(2) The Protection Commission shall be deemed a central administrative agency under Article 2 of the Government Organization Act: Provided, That Article 18 of the Government Organization Act shall not apply to any of the following matters: <Amended by Act No. 16930, 4. February, 2020 >
1. Affairs specified in subparagraphs 3 and 4 of Article 7-8 (1);
2. Matters falling under subparagraph 1 among those to be deliberated and resolved on under Article 7-9 (1).
(2) through (9) Deleted. <by Act No. 16930, Feb. 4, 2020>
제7조의2(보호위원회의 구성 등)
보호위원회는 상임위원 2명(위원장 1명, 부위원장 1명)을 포함한 9명의 위원으로 구성한다.
보호위원회의 위원은 개인정보 보호에 관한 경력과 전문지식이 풍부한 다음 각 호의 사람 중에서 위원장과 부위원장은 국무총리의 제청으로, 그 외 위원 중 2명은 위원장의 제청으로, 2명은 대통령이 소속되거나 소속되었던 정당의 교섭단체 추천으로, 3명은 그 외의 교섭단체 추천으로 대통령이 임명 또는 위촉한다.
1. 개인정보 보호 업무를 담당하는 3급 이상 공무원(고위공무원단에 속하는 공무원을 포함한다)의 직에 있거나 있었던 사람
2. 판사ㆍ검사ㆍ변호사의 직에 10년 이상 있거나 있었던 사람
3. 공공기관 또는 단체(개인정보처리자로 구성된 단체를 포함한다)에 3년 이상 임원으로 재직하였거나 이들 기관 또는 단체로부터 추천받은 사람으로서 개인정보 보호 업무를 3년 이상 담당하였던 사람
4. 개인정보 관련 분야에 전문지식이 있고 「고등교육법」 제2조제1호에 따른 학교에서 부교수 이상으로 5년 이상 재직하고 있거나 재직하였던 사람
위원장과 부위원장은 정무직 공무원으로 임명한다.
위원장, 부위원장, 제7조의13에 따른 사무처의 장은 「정부조직법」 제10조에도 불구하고 정부위원이 된다.
[본조신설 2020. 2. 4.]
Article 7-2 (Composition of the Protection Commission)
(1) The Protection Commission shall be comprised of nine Commissioners including two Standing Commissioners (one Chairperson and one Vice Chairperson).
(2) Commissioners of the Protection Commission shall be selected from among any of the following persons with sufficient experience and expertise in the protection of personal information, with the Chairperson and Vice Chairperson being proposed by the Prime Minister, two other Commissioners being proposed by Chairperson, two other Commissioners being recommended by the negotiation body of the political party to which the President belongs or belonged, and three other persons being recommended by another negotiation body and named or appointed by the President:
1. A person who serves, or served, as a public official of Grade III or higher (including public officials belonging to the Senior Executive Service) who is responsible for personal information protection;
2. A person who has been serving, or served, as a judge, prosecutor or lawyer for ten years or longer;
3. A person who served as an officer at a public institution or group (including groups comprised of personal information controllers) for three years or longer or a person recommended by the above public institution or group who was in charge of personal information protection for three years or longer;
4. A person who has expertise in a field relating to personal information and has been serving, or served, as an associate professor or higher at a school set forth in subparagraph 1 of Article2 of the Higher Education Act for five years or longer.
(3) The Chairperson and the Vice Chairperson shall be appointed from among public officials in political service.
(4) The Chairperson, Vice Chairperson and the head of the secretariat under Article 7-13 shall become cabinet member, notwithstanding Article 10 of the Government Organization Act.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제7조의3(위원장)
위원장은 보호위원회를 대표하고, 보호위원회의 회의를 주재하며, 소관 사무를 총괄한다.
위원장이 부득이한 사유로 직무를 수행할 수 없을 때에는 부위원장이 그 직무를 대행하고, 위원장ㆍ부위원장이 모두 부득이한 사유로 직무를 수행할 수 없을 때에는 위원회가 미리 정하는 위원이 위원장의 직무를 대행한다.
위원장은 국회에 출석하여 보호위원회의 소관 사무에 관하여 의견을 진술할 수 있으며, 국회에서 요구하면 출석하여 보고하거나 답변하여야 한다.
위원장은 국무회의에 출석하여 발언할 수 있으며, 그 소관 사무에 관하여 국무총리에게 의안 제출을 건의할 수 있다.
[본조신설 2020. 2. 4.]
Article 7-3 (Chairperson)
(1) The Chairperson shall represent the Protection Commission, preside over meetings of the Protection Commission, and oversee the related work.
(2) If the Chairperson cannot perform his/her duties for inevitable reasons, the Vice Chairperson shall act on his or her behalf, and if both the Chairperson and Vice Chairperson cannot perform his/her duties for inevitable reasons, another Commissioner, determined by the Protection Commission in advance, shall act on behalf of Chairperson.
(3) The Chairperson may attend the National Assembly and make statements in relation to the work of the Protection Commission, and if required by the National Assembly, he or she shall attend the National Assembly to make a report or respond to questions.
(4) The Chairperson may attend a meeting of the State Council and recommend the Prime Minister to submit a bill concerning the affairs under his/her jurisdiction.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제7조의4(위원의 임기)
위원의 임기는 3년으로 하되, 한 차례만 연임할 수 있다.
위원이 궐위된 때에는 지체 없이 새로운 위원을 임명 또는 위촉하여야 한다. 이 경우 후임으로 임명 또는 위촉된 위원의 임기는 새로이 개시된다.
[본조신설 2020. 2. 4.]
Article 7-4 (Term of Office of Commissioners)
(1) A Commissioner shall serve for a term of three years but may be consecutively appointed one time.
(2) When the post of a Commissioner becomes vacant, a new Commissioner shall be named or appointed without delay. In such cases, the term of the named or appointed succeeding Commissioner shall be newly commenced.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제7조의5(위원의 신분보장)
위원은 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 그 의사에 반하여 면직 또는 해촉되지 아니한다.
1. 장기간 심신장애로 인하여 직무를 수행할 수 없게 된 경우
2. 제7조의7의 결격사유에 해당하는 경우
3. 이 법 또는 그 밖의 다른 법률에 따른 직무상의 의무를 위반한 경우
위원은 법률과 양심에 따라 독립적으로 직무를 수행한다.
[본조신설 2020. 2. 4.]
Article 7-5 (Status Guarantee for Commissioners)
(1) No Commissioner shall be dismissed or de-commissioned against his or her will except in the following cases:
1. Where he or she is unable to perform his/her duties for a long period due to mental or physical disorder;
2. Where he or she falls under any ground for disqualification provided for in Article 7-7;
3. Where he or she violates his/her official duties under this Act or any other Act.
(2) Each Commissioner shall independently perform his or her duties in compliance with the law and his/her conscience.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제7조의6(겸직금지 등)
위원은 재직 중 다음 각 호의 직(職)을 겸하거나 직무와 관련된 영리업무에 종사하여서는 아니 된다.
1. 국회의원 또는 지방의회의원
2. 국가공무원 또는 지방공무원
3. 그 밖에 대통령령으로 정하는 직
제1항에 따른 영리업무에 관한 사항은 대통령령으로 정한다.
위원은 정치활동에 관여할 수 없다.
[본조신설 2020. 2. 4.]
Article 7-6 (Prohibition on Dual Office Holding)
(1) Each Commissioner shall neither concurrently engage in any of the following posts, nor engage in any affairs for profits related to his or her duties:
1. Member of the National Assembly or Local Council;
2. State or local public official;
3. Other positions prescribed by Presidential Decree.
(2) Matters relating to for-profit businesses set forth in paragraph (1) shall be prescribed by Presidential Decree.
(3) A Commissioner shall not engage in political activities.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제7조의7(결격사유)
다음 각 호의 어느 하나에 해당하는 사람은 위원이 될 수 없다.
1. 대한민국 국민이 아닌 사람
2. 「국가공무원법」 제33조 각 호의 어느 하나에 해당하는 사람
3. 「정당법」 제22조에 따른 당원
위원이 제1항 각 호의 어느 하나에 해당하게 된 때에는 그 직에서 당연 퇴직한다. 다만, 「국가공무원법」 제33조제2호는 파산선고를 받은 사람으로서 「채무자 회생 및 파산에 관한 법률」에 따라 신청기한 내에 면책신청을 하지 아니하였거나 면책불허가 결정 또는 면책 취소가 확정된 경우만 해당하고, 같은 법 제33조제5호는 「형법」 제129조부터 제132조까지, 「성폭력범죄의 처벌 등에 관한 특례법」 제2조, 「아동ㆍ청소년의 성보호에 관한 법률」 제2조제2호 및 직무와 관련하여 「형법」 제355조 또는 제356조에 규정된 죄를 범한 사람으로서 금고 이상의 형의 선고유예를 받은 경우만 해당한다.
[본조신설 2020. 2. 4.]
Article 7-7 (Grounds for Disqualification)
(1) Persons falling under any of the following cannot be a Commissioner:
1. Non-Korean national;
2. A person falling under any of the subparagraphs under Article 33 of the State Public Officials Act;
3. A Member of political party set forth in Article 22 of the Political Parties Act.
(2) A Commissioner falling under any of the above subparagraphs 1 through 3 shall be automatically discharged from his or her position; provided,, in the case of subparagraph 2 of Article 33 of the State Public Officials Act, this only applies to a person who was declared bankrupt and did not apply for immunity within the application deadline, or received a confirmed decision of immunity disapproval or cancellation, according to the Debtor Rehabilitation and Bankruptcy Act; in the case of subparagraph 5 of Article 33 of the Same Act, this only applies to Articles 129 through 132 of the Criminal Act, Article 2 of the Act on Special Cases Concerning the Punishment, Etc. of Sexual Crimes, subparagraph 2 of Article 2 of the Act on the Protection of Children and Youth against Sex Offenses and a person who committed a crime prescribed in Articles 355 or 356 of the Criminal Act with regard to his or her duties and received a suspended sentence of imprisonment without labor or a heavier punishment.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제7조의8(보호위원회의 소관 사무)
보호위원회는 다음 각 호의 소관 사무를 수행한다.
1. 개인정보의 보호와 관련된 법령의 개선에 관한 사항
2. 개인정보 보호와 관련된 정책ㆍ제도ㆍ계획 수립ㆍ집행에 관한 사항
3. 정보주체의 권리침해에 대한 조사 및 이에 따른 처분에 관한 사항
4. 개인정보의 처리와 관련한 고충처리ㆍ권리구제 및 개인정보에 관한 분쟁의 조정
5. 개인정보 보호를 위한 국제기구 및 외국의 개인정보 보호기구와의 교류ㆍ협력
6. 개인정보 보호에 관한 법령ㆍ정책ㆍ제도ㆍ실태 등의 조사ㆍ연구, 교육 및 홍보에 관한 사항
7. 개인정보 보호에 관한 기술개발의 지원ㆍ보급 및 전문인력의 양성에 관한 사항
8. 이 법 및 다른 법령에 따라 보호위원회의 사무로 규정된 사항
[본조신설 2020. 2. 4.]
Article 7-8 (Affairs under Jurisdiction of the Protection Commission)
The Protection Commission shall perform the following affairs:
1. Matters concerning the improvement of law relating to personal information protection;
2. Matters concerning the establishment or execution of policies, systems or plans relating to personal information protection;
3. Matters concerning investigation into infringement upon the right of data subjects and the ensuing dispositions;
4. Handling of complaints or remedial procedures relating to personal information processing and mediation of disputes over personal information;
5. Exchange and cooperation with international organizations and foreign personal information protection agencies to protect personal information;
6. Matters concerning the investigation and study, education and promotion of law, policies, systems and status relating to personal information protection;
7. Matters concerning the support of technological development and dissemination relating to personal information protection and nurturing of experts;
8. Matters provided for in this Act and other statutes as affairs under the jurisdiction of the Protection Commission.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제7조의9(보호위원회의 심의ㆍ의결 사항 등)
보호위원회는 다음 각 호의 사항을 심의ㆍ의결한다.
1. 제8조의2에 따른 개인정보 침해요인 평가에 관한 사항
2. 제9조에 따른 기본계획 및 제10조에 따른 시행계획에 관한 사항
3. 개인정보 보호와 관련된 정책, 제도 및 법령의 개선에 관한 사항
4. 개인정보의 처리에 관한 공공기관 간의 의견조정에 관한 사항
5. 개인정보 보호에 관한 법령의 해석ㆍ운용에 관한 사항
6. 제18조제2항제5호에 따른 개인정보의 이용ㆍ제공에 관한 사항
7. 제33조제3항에 따른 영향평가 결과에 관한 사항
8. 제28조의6, 제34조의2, 제39조의15에 따른 과징금 부과에 관한 사항
9. 제61조에 따른 의견제시 및 개선권고에 관한 사항
10. 제64조에 따른 시정조치 등에 관한 사항
11. 제65조에 따른 고발 및 징계권고에 관한 사항
12. 제66조에 따른 처리 결과의 공표에 관한 사항
13. 제75조에 따른 과태료 부과에 관한 사항
14. 소관 법령 및 보호위원회 규칙의 제정ㆍ개정 및 폐지에 관한 사항
15. 개인정보 보호와 관련하여 보호위원회의 위원장 또는 위원 2명 이상이 회의에 부치는 사항
16. 그 밖에 이 법 또는 다른 법령에 따라 보호위원회가 심의ㆍ의결하는 사항
보호위원회는 제1항 각 호의 사항을 심의ㆍ의결하기 위하여 필요한 경우 다음 각 호의 조치를 할 수 있다.
1. 관계 공무원, 개인정보 보호에 관한 전문 지식이 있는 사람이나 시민사회단체 및 관련 사업자로부터의 의견 청취
2. 관계 기관 등에 대한 자료제출이나 사실조회 요구
제2항제2호에 따른 요구를 받은 관계 기관 등은 특별한 사정이 없으면 이에 따라야 한다.
보호위원회는 제1항제3호의 사항을 심의ㆍ의결한 경우에는 관계 기관에 그 개선을 권고할 수 있다.
보호위원회는 제4항에 따른 권고 내용의 이행 여부를 점검할 수 있다.
[본조신설 2020. 2. 4.]
Article 7-9 (Matters to be Deliberated and Resolved on by the Protection Commission)
(1) The Protection Commission shall deliberate and resolve on the following matters:
1. Matters concerning the assessment of data breach incident factors under Article 8-2;
2. Establishment of the Master Plan referred to in Article 9 and the Implementation Plan referred to in Article 10;
3. Matters concerning the improvement of policies, systems, and law relating to personal information protection;
4. Matters concerning the coordination of positions taken by public institutions with respect to the processing of personal information;
5. Matters concerning the interpretation and operation of law related to the protection of personal information;
6. Matters concerning the use and provision of personal information under Article 18 (2) 5;
7. Matters concerning the results of the privacy impact assessment under Article 33 (3);
8. Matters concerning the imposition of penalty surcharges under Articles 28-6, 34-2 and 39-15;
9. Matters concerning the presentation of opinions and recommendation for improvement under Article 61;
10. Matters concerning corrective measures under Article 64;
11. Matters concerning indictment and recommendation for disciplinary actions under Article 65;
12. Matters concerning the publication of processing results under Article 66;
13. Matters concerning the imposition of administrative fines under Article 75;
14. Matters concerning the enactment, amendment and abolition of law under its jurisdiction and rules of the Protection Commission;
15. Matters referred to a meeting by Chairperson or at least two Commissioners of the Protection Commission with respect to the protection of personal information;
16. Other matters which the Protection Commission deliberates or resolves pursuant to this Act or other statutes.
(2) The Protection Commission may take the following measures if necessary to deliberate and resolve matters provided for in paragraph (1):
1. Listening to the opinions of relevant public officials, experts in personal information protection, civic organizations and relevant business operators;
2. Requesting submission of relevant materials or facts with respect to relevant agencies.
(3) Relevant agencies in receipt of a request made under paragraph (2) 2 shall comply with the request unless there are extraordinary circumstances.
(4) Upon deliberating and resolving on matters provided for in paragraph (1) 3, the Protection Commission may advise on the improvement of such matters to the relevant agency.
(5) The Protection Commission may inspect whether the details of its advice given under paragraph (4) has been implemented or not.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제7조의10(회의)
보호위원회의 회의는 위원장이 필요하다고 인정하거나 재적위원 4분의 1 이상의 요구가 있는 경우에 위원장이 소집한다.
위원장 또는 2명 이상의 위원은 보호위원회에 의안을 제의할 수 있다.
보호위원회의 회의는 재적위원 과반수의 출석으로 개의하고, 출석위원 과반수의 찬성으로 의결한다.
[본조신설 2020. 2. 4.]
Article 7-10 (Meetings)
(1) Meetings of the Protection Commission shall be convened by the Chairperson when he or she deems it necessary or at the request of not less than 1/4 of all incumbent Commissioners.
(2) The Chairperson or at least two Commissioners of the Protection Commission may propose a bill to the Protection Commission.
(3) The quorum for holding meetings of the Protection Commission shall be the presence of a majority of its members enrolled, and any resolution shall require the affirmative votes of a majority of the members present.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제7조의11(위원의 제척ㆍ기피ㆍ회피)
위원은 다음 각 호의 어느 하나에 해당하는 경우에는 심의ㆍ의결에서 제척된다.
1. 위원 또는 그 배우자나 배우자였던 자가 해당 사안의 당사자가 되거나 그 사건에 관하여 공동의 권리자 또는 의무자의 관계에 있는 경우
2. 위원이 해당 사안의 당사자와 친족이거나 친족이었던 경우
3. 위원이 해당 사안에 관하여 증언, 감정, 법률자문을 한 경우
4. 위원이 해당 사안에 관하여 당사자의 대리인으로서 관여하거나 관여하였던 경우
5. 위원이나 위원이 속한 공공기관ㆍ법인 또는 단체 등이 조언 등 지원을 하고 있는 자와 이해관계가 있는 경우
위원에게 심의ㆍ의결의 공정을 기대하기 어려운 사정이 있는 경우 당사자는 기피 신청을 할 수 있고, 보호위원회는 의결로 이를 결정한다.
위원이 제1항 또는 제2항의 사유가 있는 경우에는 해당 사안에 대하여 회피할 수 있다.
[본조신설 2020. 2. 4.]
Article 7-11 (Disqualification of, Challenge to, and Refrainment by, Commissioners)
(1) A Commissioner of the Protection Commission shall be excluded from participating in deliberation and resolution for a case if:
1. The Commissioner or his or her current or former spouse is a party to the relevant case or is a joint right holder or a joint obligator with respect to the case;
2. The Commissioner is or was a relative of a party to the case;
3. The Commissioner has given any testimony, expert opinion, or legal advice with respect to the case;
4. The Commissioner is or was involved in the case as an agent or representative of a party to the case;
5. The Commissioner or a public institution, corporation or group where he or she belongs shares interests with a person who provides advice or other support for the case.
(2) When any party finds it impracticable to expect fair deliberation and resolution from a Commissioner, he or she may file an application for recusal, and the Protection Commission shall make a decision by resolution.
(3) A Commissioner may refrain from the case on the grounds provided for in paragraphs (1) or (3).
[This Article Added by Act No. 16930, Feb. 4, 2020]
제7조의12(소위원회)
보호위원회는 효율적인 업무 수행을 위하여 개인정보 침해 정도가 경미하거나 유사ㆍ반복되는 사항 등을 심의ㆍ의결할 소위원회를 둘 수 있다.
소위원회는 3명의 위원으로 구성한다.
소위원회가 제1항에 따라 심의ㆍ의결한 것은 보호위원회가 심의ㆍ의결한 것으로 본다.
소위원회의 회의는 구성위원 전원의 출석과 출석위원 전원의 찬성으로 의결한다.
[본조신설 2020. 2. 4.]
Article 7-12 (Subcommission)
(1) The Protection Commission may have sub-commissions which will deliberate and resolve minor personal information infringement cases or similar or repetitive matters to ensure more efficient work procedures.
(2) Each sub-commission shall be comprised of three members.
(3) Matters deliberated and resolved by the sub-commission pursuant to paragraph (1) shall be deemed deliberated and resolved by the Protection Commission.
(4) Resolution for a meeting of the sub-commission shall be made by the presence of all the members enrolled and affirmative votes of all members present.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제7조의13(사무처)
보호위원회의 사무를 처리하기 위하여 보호위원회에 사무처를 두며, 이 법에 규정된 것 외에 보호위원회의 조직에 관한 사항은 대통령령으로 정한다.
[본조신설 2020. 2. 4.]
Article 7-13 (Secretariat)
The Protection Commission shall have a secretariat to handle its work, and matters that are not specified in this Act in relation to the organization of the Protection Commission shall be prescribed by Presidential Decree.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제7조의14(운영 등)
이 법과 다른 법령에 규정된 것 외에 보호위원회의 운영 등에 필요한 사항은 보호위원회의 규칙으로 정한다.
[본조신설 2020. 2. 4.]
Article 7-14 (Operation)
Matters that are not specified in this Act and other statutes in relation to the operation of the Protection Commission shall be prescribed by the rules of the Protection Commission.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제8조 삭제 <2020. 2. 4.>
Article 8 Deleted. <by Act No. 16930, Feb. 4, 2020>
제8조의2(개인정보 침해요인 평가)
중앙행정기관의 장은 소관 법령의 제정 또는 개정을 통하여 개인정보 처리를 수반하는 정책이나 제도를 도입ㆍ변경하는 경우에는 보호위원회에 개인정보 침해요인 평가를 요청하여야 한다.
보호위원회가 제1항에 따른 요청을 받은 때에는 해당 법령의 개인정보 침해요인을 분석ㆍ검토하여 그 법령의 소관기관의 장에게 그 개선을 위하여 필요한 사항을 권고할 수 있다.
제1항에 따른 개인정보 침해요인 평가의 절차와 방법에 관하여 필요한 사항은 대통령령으로 정한다.
[본조신설 2015. 7. 24.]
Article 8-2 (Assessment of Data Breach Incident Factors)
(1) The head of a central administrative agency shall request the Protection Commission to assess the factors of data breach incident where a policy or system that entails personal information processing is adopted or changed by the enactment or amendment of any statute under his or her jurisdiction.
(2) Upon receipt of a request made pursuant to paragraph (1), the Protection Commission may advise the head of the relevant agency of the matters necessary to improve the relevant statute by analyzing and reviewing the data breach incident factors of such statute.
(3) Necessary matters concerning the procedure and method to assess the data breach incident factors under paragraph (1) shall be prescribed by Presidential Decree.
[This Article Added by Act No. 13423, Jul. 24, 2015]
제9조(기본계획)
보호위원회는 개인정보의 보호와 정보주체의 권익 보장을 위하여 3년마다 개인정보 보호 기본계획(이하 "기본계획"이라 한다)을 관계 중앙행정기관의 장과 협의하여 수립한다. <개정 2013. 3. 23., 2014. 11. 19., 2015. 7. 24.>
기본계획에는 다음 각 호의 사항이 포함되어야 한다.
1. 개인정보 보호의 기본목표와 추진방향
2. 개인정보 보호와 관련된 제도 및 법령의 개선
3. 개인정보 침해 방지를 위한 대책
4. 개인정보 보호 자율규제의 활성화
5. 개인정보 보호 교육ㆍ홍보의 활성화
6. 개인정보 보호를 위한 전문인력의 양성
7. 그 밖에 개인정보 보호를 위하여 필요한 사항
국회, 법원, 헌법재판소, 중앙선거관리위원회는 해당 기관(그 소속 기관을 포함한다)의 개인정보 보호를 위한 기본계획을 수립ㆍ시행할 수 있다.
Article 9 (Master Plan)
(1) The Protection Commission shall establish a Master Plan to protect personal information (hereinafter referred to as a “Master Plan”) every three years in consultation with the heads of related central administrative agencies to ensure the protection of personal information and the rights and interests of data subjects. <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 13423, Jul. 24, 2015>
(2) The Master Plan shall include the following:
1. Basic goals and intended directions of the protection of personal information;
2. Improvement of systems and statutes related to the protection of personal information;
3. Measure to prevent personal information breaches;
4. Vitalization of self-regulation to protect personal information;
5. Promoting education and public relations to protect personal information;
6. Training of specialists in the protection of personal information;
7. Other matters necessary to protect personal information.
(3) The National Assembly, the Court, the Constitutional Court, and the National Election Commission may establish and implement its own Master Plan to protect personal information of relevant institutions, (including affiliated entities).
제10조(시행계획)
중앙행정기관의 장은 기본계획에 따라 매년 개인정보 보호를 위한 시행계획을 작성하여 보호위원회에 제출하고, 보호위원회의 심의ㆍ의결을 거쳐 시행하여야 한다.
시행계획의 수립ㆍ시행에 필요한 사항은 대통령령으로 정한다.
Article 10 (Implementation Plan)
(1) The head of a central administrative agency shall establish an implementation plan to protect personal information each year in accordance with the Master Plan and submit it to the Protection Commission, and shall execute the implementation plan subject to the deliberation and resolution of the Protection Commission.
(2) Matters necessary for the establishment and execution of the implementation plan shall be prescribed by Presidential Decree.
제11조(자료제출 요구 등)
보호위원회는 기본계획을 효율적으로 수립하기 위하여 개인정보처리자, 관계 중앙행정기관의 장, 지방자치단체의 장 및 관계 기관ㆍ단체 등에 개인정보처리자의 법규 준수 현황과 개인정보 관리 실태 등에 관한 자료의 제출이나 의견의 진술 등을 요구할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2015. 7. 24.>
보호위원회는 개인정보 보호 정책 추진, 성과평가 등을 위하여 필요한 경우 개인정보처리자, 관계 중앙행정기관의 장, 지방자치단체의 장 및 관계 기관ㆍ단체 등을 대상으로 개인정보관리 수준 및 실태파악 등을 위한 조사를 실시할 수 있다. <신설 2015. 7. 24., 2017. 7. 26., 2020. 2. 4.>
중앙행정기관의 장은 시행계획을 효율적으로 수립ㆍ추진하기 위하여 소관 분야의 개인정보처리자에게 제1항에 따른 자료제출 등을 요구할 수 있다. <개정 2015. 7. 24.>
제1항부터 제3항까지에 따른 자료제출 등을 요구받은 자는 특별한 사정이 없으면 이에 따라야 한다. <개정 2015. 7. 24.>
제1항부터 제3항까지에 따른 자료제출 등의 범위와 방법 등 필요한 사항은 대통령령으로 정한다. <개정 2015. 7. 24.>
Article 11 (Request for Materials, etc.)
(1) To efficiently establish the Master Plan, the Protection Commission may request materials or opinions regarding the status of regulatory compliance, personal information management, etc. by personal information controllers from personal information controllers, the heads of relevant central administrative agencies, the heads of local governments and related organizations or associations, etc. <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 13423, Jul. 24, 2015>
(2) The Protection Commission may conduct an investigation with respect to data controllers, the competent head of the central administrative departments or agencies and local governments, and the competent agencies and organizations about the level and actual status of how personal data is managed where necessary to implement policies for personal data protection and to evaluate performance, etc.<Added by Act No. 13423, Jul. 24, 2015; Act No. 14839, Jul. 26, 2017; Act No. 16930, 4. February, 2020 >
(3) The head of a central administrative agency may request the materials referred to in paragraph (1) from personal information controllers in the fields under his or her jurisdiction to efficiently establish and promote Implementation Plans. <Amended by Act No. 13423, Jul. 24, 2015>
(4) Any person in receipt of a request to furnish the materials under paragraphs (1) through (3) shall comply with the request unless there are extraordinary circumstances. <Amended by Act No. 13423, Jul. 24, 2015>
(5) The scope and method to furnish the materials under paragraphs (1) through (3) and other necessary matters shall be prescribed by Presidential Decree.<Amended by Act No. 13423, Jul. 24, 2015>
제12조(개인정보 보호지침)
보호위원회는 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 표준 개인정보 보호지침(이하 "표준지침"이라 한다)을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
중앙행정기관의 장은 표준지침에 따라 소관 분야의 개인정보 처리와 관련한 개인정보 보호지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다.
국회, 법원, 헌법재판소 및 중앙선거관리위원회는 해당 기관(그 소속 기관을 포함한다)의 개인정보 보호지침을 정하여 시행할 수 있다.
Article 12 (Personal Information Protection Guidelines)
(1) The Protection Commission may establish the Standard Personal Information Protection Guidelines (hereinafter referred to as the “Standard Guidelines”) regarding the personal information processing standard, types of personal information breaches, preventive measures, etc., and recommend that personal information controllers comply with such Guidelines. <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No 16930, February. 4, 2020>
(2) The head of a central administrative agency may establish the personal information protection guidelines regarding the personal information processing in the fields under his or her jurisdiction in accordance with the Standard Guidelines; and may recommend that personal information controllers comply with such guidelines.
(3) The National Assembly, the Court, the Constitutional Court, and the National Election Commission may establish and implement its own personal information protection guidelines for each relevant institution (including affiliated entities).
제13조(자율규제의 촉진 및 지원)
보호위원회는 개인정보처리자의 자율적인 개인정보 보호활동을 촉진하고 지원하기 위하여 다음 각 호의 필요한 시책을 마련하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
1. 개인정보 보호에 관한 교육ㆍ홍보
2. 개인정보 보호와 관련된 기관ㆍ단체의 육성 및 지원
3. 개인정보 보호 인증마크의 도입ㆍ시행 지원
4. 개인정보처리자의 자율적인 규약의 제정ㆍ시행 지원
5. 그 밖에 개인정보처리자의 자율적 개인정보 보호활동을 지원하기 위하여 필요한 사항
Article 13 (Promotion and Support of Self-Regulation)
The Protection Commission shall establish policies necessary for the following matters to promote and support self-regulating activities of personal information controllers to protect personal information:<Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No 16930, February. 4, 2020>
1. Education and public relations concerning the protection of personal information;
2. Promotion and support of agencies and organizations related to the protection of personal information;
3. Introduction and facilitation of privacy mark;
4. Support for personal information controllers in the establishment and implementation of self-regulatory rules;
5. Other matters necessary to support the self-regulating data protection activities of personal information controllers.
제14조(국제협력)
정부는 국제적 환경에서의 개인정보 보호 수준을 향상시키기 위하여 필요한 시책을 마련하여야 한다.
정부는 개인정보 국외 이전으로 인하여 정보주체의 권리가 침해되지 아니하도록 관련 시책을 마련하여야 한다.
Article 14 (International Cooperation)
(1) The Government shall establish policy measures necessary to enhance the personal information protection standard in the international environment.
(2) The Government shall establish relevant policy measures so that the rights of data subjects may not be infringed on owing to the cross-border transfer of personal information.
제3장 개인정보의 처리
CHAPTER III PROCESSING OF PERSONAL INFORMATION
제1절 개인정보의 수집, 이용, 제공 등
Section 1 Collection, Use, Provision, etc. of Personal Information
제15조(개인정보의 수집ㆍ이용)
개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다. <신설 2020. 2. 4.>
Article 15 (Collection and Use of Personal Information)
(1) A personal information controller may collect personal information in any of the following circumstances, and use it with the scope of the purpose of collection:
1. Where consent is obtained from a data subject;
2. Where special provisions exist in other laws or it is inevitable to observe legal obligations;
3. Where it is inevitable for a public institution’s performance of its duties under its jurisdiction as prescribed by statutes, etc.;
4. Where it is inevitably necessary to execute and perform a contract with a data subject;
5. Where it is deemed manifestly necessary for the protection of life, bodily or property interests of the data subject or third party from imminent danger where the data subject or his or her legal representative is not in a position to express intention, or prior consent cannot be obtained owing to unknown addresses, etc.;
6. Where it is necessary to attain the justifiable interest of a personal information controller, which such interest is manifestly superior to the rights of the data subject. In such cases, processing shall be allowed only to the extent the processing is substantially related to the justifiable interest of the personal information controller and does not go beyond a reasonable scope.
(2) A personal information controller shall inform a data subject of the following matters when it obtains consent under paragraph (1) 1. The same shall apply when any of the following is modified.
1. The purpose of the collection and use of personal information;
2. Particulars of personal information to be collected;
3. The period for retaining and using personal information;
4. The fact that the data subject is entitled to deny consent, and disadvantages, if any, resulting from the denial of consent.
(3) A personal information controller may use personal information without the consent of a data subject within the scope reasonably related to the initial purpose of the collection as prescribed by Presidential Decree, in consideration whether disadvantages have been caused to the data subject and whether necessary measures have been taken to secure such as encryption, etc. <This Article Added by Act No. 16930, February 4, 2020>
제16조(개인정보의 수집 제한)
개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.
개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다. <신설 2013. 8. 6.>
개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다. <개정 2013. 8. 6.>
Article 16 (Limitation to Collection of Personal Information)
(1) A personal information controller shall collect the minimum personal information necessary to attain the purpose when collecting personal information pursuant to Article 15 (1). In such cases, the burden of proof that the minimum personal information is collected shall be borne by the personal information controller.
(2) A personal information controller shall collect personal information by specifically informing a data subject of the fact that he or she may deny the consent to the collection of other personal information than the minimum information necessary in case of collecting the personal information through the consent of the data subject.<Added by Act No. 11990, Aug. 6, 2013>
(3) A personal information controller shall not deny the provision of goods or services to a data subject on ground that the data subject does not consent to the collection of personal information exceeding minimum requirement. <Amended by Act No. 11990, Aug. 6, 2013>
제17조(개인정보의 제공)
개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. <개정 2020. 2. 4.>
1. 정보주체의 동의를 받은 경우
2. 제15조제1항제2호ㆍ제3호ㆍ제5호 및 제39조의3제2항제2호ㆍ제3호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우
개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.
개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다. <신설 2020. 2. 4.>
Article 17 (Provision of Personal Information)
(1) A personal information controller may provide (or share; hereinafter the same shall apply) the personal information of a data subject to a third party in any of the following circumstances: <Amended by Act No 16930, February. 4, 2020>
1. Where the consent is obtained from the data subject;
2. Where the personal information is provided within the scope of purposes for which it is collected pursuant to Articles 15 (1) 2, 3 and 5 and 39-3 (2) 2 and 3.
(2) A personal information controller shall inform a data subject of the following matters when it obtains the consent under paragraph (1) 1. The same shall apply when any of the following is modified:
1. The recipient of personal information;
2. The purpose for which the recipient of personal information uses such information;
3. Particulars of personal information to be provided;
4. The period during which the recipient retains and uses personal information;
5. The fact that the data subject is entitled to deny consent, and disadvantages, if any, resulting from the denial of consent.
(3) A personal information controller shall inform a data subject of the matters provided for in paragraph (2), and obtain the consent from the data subject in order to provide personal information to a third party overseas; and shall not enter into a contract for the cross-border transfer of personal information in violation of this Act.
(4) A personal information controller may provide personal information without the consent of a data subject within the scope reasonably related to the purposes for which the personal information was initially collected, in accordance with the matters prescribed by Presidential Decree taking into consideration whether disadvantages are caused to the data subject, whether necessary measures to secure safety, such as encryption, have been taken, etc. .<Added by Act No. 16930, 4. February, 2020 >
제18조(개인정보의 목적 외 이용ㆍ제공 제한)
개인정보처리자는 개인정보를 제15조제1항 및 제39조의3제1항 및 제2항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다. <개정 2020. 2. 4.>
제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다. 다만, 이용자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 처리하는 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)의 경우 제1호ㆍ제2호의 경우로 한정하고, 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다. <개정 2020. 2. 4.>
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 삭제 <2020. 2. 4.>
5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의ㆍ의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
8. 법원의 재판업무 수행을 위하여 필요한 경우
9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
개인정보처리자는 제2항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보를 제공받는 자
2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다)
3. 이용 또는 제공하는 개인정보의 항목
4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
공공기관은 제2항제2호부터 제6호까지, 제8호 및 제9호에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우에는 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 보호위원회가 고시로 정하는 바에 따라 관보 또는 인터넷 홈페이지 등에 게재하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
개인정보처리자는 제2항 각 호의 어느 하나의 경우에 해당하여 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 그 밖에 필요한 사항에 대하여 제한을 하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다. 이 경우 요청을 받은 자는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 한다.
[제목개정 2013. 8. 6.]
Article 18 (Limitation to Out-of-Purpose Use and Provision of Personal Information)
(1) A personal information controller shall not use personal information beyond the scope provided for in Articles 15 (1) and 39-3 (1) and (2), or provide it to any third party beyond the scope provided for in Article 17 (1) and (3). <Amended by Act No. 16930, Feb. 4, 2020>
(2) Notwithstanding paragraph (1), where any of the following subparagraphs applies, a personal information controller may use personal information or provide it to a third party for other purposes, unless doing so is likely to unfairly infringe on the interest of a data subject or third party: Provided, That information and communications service providers (as set forth in Article 2 (1) 3 of the Act on Promotion of Information and Communications Network Utilization and Information Protection, Etc.; hereinafter the same shall apply) processing the personal information of users (as set forth in Article 2 (1) 4 of the Act on Promotion of Information and Communications Network Utilization and Information Protection, Etc.; hereinafter the same shall apply) are only subject to subparagraphs 1 and 2, and subparagraphs 5 through 9 are applicable only to public institutions: <Amended by Act No. 16930, Feb. 4, 2020>
1. Where additional consent is obtained from the data subject;
2. Where special provisions exist in other laws;
3. Where it is deemed manifestly necessary for the protection of life, bodily or property interests of the data subject or third party from imminent danger where the data subject or his or her legal representative is not in a position to express intention, or prior consent cannot be obtained owing to unknown addresses;
4. Deleted; <by Act No. 16930, Feb. 4, 2020>
5. Where it is impossible to perform the duties under its jurisdiction as provided for in any Act, unless the personal information controller uses personal information for other purpose than the intended one, or provides it to a third party, and it is subject to the deliberation and resolution by the Commission;
6. Where it is necessary to provide personal information to a foreign government or international organization to perform a treaty or other international convention;
7. Where it is necessary for the investigation of a crime, indictment and prosecution;
8. Where it is necessary for a court to proceed with trial-related duties;
9. Where it is necessary for the enforcement of punishment, probation and custody.
(3) A personal information controller shall inform the data subject of the following matters when it obtains the consent under paragraph (2) 1. The same shall apply when any of the following is modified.
1. The recipient of personal information;
2. The purpose of use of personal information (in the case of provision of personal information, it means the purpose of use by the recipient);
3. Particulars of personal information to be used or provided;
4. The period for retaining and using personal information (where personal information is provided, it means the period for retention and use by the recipient);
5. The fact that the data subject is entitled to deny consent, and disadvantages, if any, resulting from the denial of consent.
(4) Where a public institution uses personal information, or provides it to a third party for other purpose than the intended one collected under paragraph (2) 2 through 6, 8, and 9, the public institution shall post the legal grounds for such use or provision, purpose and scope, and other necessary matters on the Official Gazette or its website requirements for such use or provision including the legal basis, purpose, scope, etc. as prescribed by Notification of the Protection Commission.<Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No 16930, Feb. 4, 2020>
(5) Where a personal information controller provides personal information to a third party for other purpose than the intended one in any case provided for in paragraph (2), the personal information controller shall request the recipient of the personal information to limit the purpose and method of use and other necessary matters, or to prepare necessary safeguards to ensure the safety of the personal information. In such cases, the person in receipt of such request shall take necessary measures to ensure the safety of the personal information.
제19조(개인정보를 제공받은 자의 이용ㆍ제공 제한)
개인정보처리자로부터 개인정보를 제공받은 자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다.
1. 정보주체로부터 별도의 동의를 받은 경우
2. 다른 법률에 특별한 규정이 있는 경우
Article 19 (Limitation to Use and Provision of Personal Information on Part of Its Recipients)
A person who receives personal information from a personal information controller shall not use the personal information, or provide it to a third party, for any purpose other than the intended one, except in the following circumstances:
1. Where additional consent is obtained from the data subject;
2. Where special provisions exist in other laws.
제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)
개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.
1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실
제1항에도 불구하고 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다. <신설 2016. 3. 29.>
제2항 본문에 따라 알리는 경우 정보주체에게 알리는 시기ㆍ방법 및 절차 등 필요한 사항은 대통령령으로 정한다. <신설 2016. 3. 29.>
제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다. <개정 2016. 3. 29.>
1. 고지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우
2. 고지로 인하여 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
Article 20 (Notification on Sources, etc. of Personal Information Collected from Third Parties)
(1) When a personal information controller processes personal information collected from third parties, the personal information controller shall immediately notify the data subject of the following matters at the request of such data subject:
1. The source of collected personal information;
2. The purpose of processing personal information;
3. The fact that the data subject is entitled to demand suspension of processing of personal information, as prescribed in Article 37.
(2) Notwithstanding paragraph (1), when a personal information controller satisfying the criteria prescribed by Presidential Decree taking into account the types and amount of processed personal information, number of employees, amount of sales, etc., collects personal information from third parties and processes the same pursuant to Article 17 (1) 1, the personal information controller shall notify the data subject of the matters referred to in paragraph (1): Provided, That this shall not apply where the information collected by the personal information controller does not contain any personal information, such as contact information, through which notification can be given to the data subject.<Added by Act No. 14107, Mar. 29, 2016; Act No 16930, February. 4, 2020>
(3) Necessary matters in relation to the time, method, and procedure of giving notification to the data subject pursuant to the main sentence of paragraph (2), shall be prescribed by Presidential Decree.<Added by Act No. 14107, Mar. 29, 2016>
(4) Paragraph (1) and the main clause of paragraph (2) shall not apply to any of the following circumstances: Provided, That this shall be the case only where it is manifestly superior to the rights of data subjects under this Act:<Amended by Act No. 14107, Mar. 29, 2016>
1. Where personal information, which is subject to a notification request, is included in the personal information files referred to in any of the subparagraphs of Article 32 (2);
2. Where such notification is likely to cause harm to the life or body of any other person, or unfairly damages the property and other interests of any other person.
제21조(개인정보의 파기)
개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장ㆍ관리하여야 한다.
개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.
Article 21 (Destruction of Personal Information)
(1) A personal information controller shall destroy personal information without delay when the personal information becomes unnecessary owing to the expiry of the retention period, attainment of the purpose of processing the personal information, etc.: Provided, That this shall not apply where the retention of such personal information is mandatory by other statutes.
(2) When a personal information controller destroys personal information pursuant to paragraph (1), necessary measures to prevent recovery and revival shall be taken.
(3) Where a personal information controller is obliged to retain, rather than destroy, personal information pursuant to the proviso to paragraph (1), the relevant personal information or personal information files shall be stored and managed separately from other personal information.
(4) Other necessary matters, such as the methods to destroy personal information and its destruction process, shall be prescribed by Presidential Decree.
제22조(동의를 받는 방법)
개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제6항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다. <개정 2017. 4. 18.>
개인정보처리자는 제1항의 동의를 서면(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 전자문서를 포함한다)으로 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집ㆍ이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 보호위원회가 고시로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다. <신설 2017. 4. 18., 2017. 7. 26., 2020. 2. 4.>
개인정보처리자는 제15조제1항제1호, 제17조제1항제1호, 제23조제1항제1호 및 제24조제1항제1호에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다. <개정 2016. 3. 29., 2017. 4. 18.>
개인정보처리자는 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다. <개정 2017. 4. 18.>
개인정보처리자는 정보주체가 제3항에 따라 선택적으로 동의할 수 있는 사항을 동의하지 아니하거나 제4항 및 제18조제2항제1호에 따른 동의를 하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다. <개정 2017. 4. 18.>
개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 한다. 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다. <개정 2017. 4. 18.>
제1항부터 제6항까지에서 규정한 사항 외에 정보주체의 동의를 받는 세부적인 방법 및 제6항에 따른 최소한의 정보의 내용에 관하여 필요한 사항은 개인정보의 수집매체 등을 고려하여 대통령령으로 정한다. <개정 2017. 4. 18.>
Article 22 (Methods of Obtaining Consent)
(1) Where a personal information controller intends to obtain the consent of the data subject (including his or her legal representative as stated in paragraph (6): hereafter in this Article the same applies) to the processing of his or her personal information, the personal information controller shall present the request for consent to the data subject in a clearly recognizable manner where each matter requiring consent is distinctly presented, and obtain his or her consent thereto, respectively. <Amended by Act No. 14765, Apr. 18, 2017>
(2) Where a personal information controller obtains the consent under paragraph (1) in writing (including electronic documents under Article 2, subparagraph 1 of the Framework Act on Electronic Documents and Transactions), the personal information controller shall clearly specify important matters prescribed by Presidential Decree such as the purpose of collection and use of personal information and the items of personal information to be collected and used, in the manner prescribed by Notification of the Protection Commission, so as to make such matters easy to be understood. <Added by Act No. 14765, Apr. 18, 2017; Act No. 14839, Jul. 26, 2017; Act No. 16930, 4. February, 2020 >
(3) Where a personal information controller obtains the consent of a data subject to the processing of his or her personal information pursuant to Articles 15 (1) 1, 17 (1) 1, 23 (1) 1, and 24 (1) 1, the personal information controller shall distinguish personal information that may be processed without the data subject’s consent for the purpose of executing a contract with the data subject, etc., from personal information that may be processed only with the data subject’s consent. In such cases, the burden of proof that no consent is required in processing the personal information shall be borne by the personal information controller.<Amended by Act No. 14107, Mar. 29, 2016; Act No. 14765, Apr. 18, 2017>
(4) Where a personal information controller intends to obtain the consent of the data subject to the processing of his or her personal information in order to promote goods or services or solicit purchase thereof, the personal information controller shall notify the data subject of the fact in a clearly recognizable manner, and obtain his/her consent thereto. <Amended by Act No. 14765, Apr. 18, 2017>
(5) A personal information controller shall not deny the provision of goods or services to a data subject on ground that the data subject would not consent to the matter eligible for selective consent pursuant to paragraph (3), or would not consent pursuant to paragraph (4) and Article 18 (2) 1. <Amended by Act No. 14765, Apr. 18, 2017>
(6) When it is required to obtain consent pursuant to this Act to process personal information of a child under 14 years of age, a personal information controller shall obtain the consent of his/her legal representative. In such cases, minimum personal information necessary to obtain the consent of the legal representative may be collected directly from such child without the consent of his/her legal representative. <Amended by Act No. 14765, Apr. 18, 2017>
(7) Except as otherwise expressly provided for in paragraphs (1) through (6), other matters necessary in relation to detailed methods to obtain the consent of data subjects and the minimum information referred to in paragraph (6) shall be prescribed by Presidential Decree, in consideration of the collection media of personal information. <Amended by Act No. 14765, Apr. 18, 2017>
제2절 개인정보의 처리 제한
Section 2 Limitation to Processing of Personal Information
제23조(민감정보의 처리 제한)
개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 "민감정보"라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다. <개정 2016. 3. 29.>
1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다. <신설 2016. 3. 29.>
Article 23 (Limitation to Processing of Sensitive Information)
(1) A personal information controller shall not process any information prescribed by Presidential Decree (hereinafter referred to as “sensitive information”), including ideology, belief, admission to or withdrawal from a trade union or political party, political opinions, health, sex life, and other personal information that is likely to markedly threaten the privacy of any data subject: Provided, That this shall not apply in any of the following circumstances: <Amended by Act No. 14107, Mar. 29, 2016>
1. Where the personal information controller informs the data subject of the matters provided for in Article 15 (2) or 17 (2), and obtains the consent of the data subject apart from the consent to the processing of other personal information;
2. Where other statutes require or permit the processing of sensitive information.
(2) Where a personal information controller processes sensitive information pursuant to paragraph (1), the personal information controller shall take measures necessary to ensure safety pursuant to Article 29 so that the sensitive information may not be lost, stolen, divulged, forged, altered, or damaged. <Added by Act No. 14107, Mar. 29, 2016>
제24조(고유식별정보의 처리 제한)
개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 "고유식별정보"라 한다)를 처리할 수 없다.
1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
삭제 <2013. 8. 6.>
개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다. <개정 2015. 7. 24.>
보호위원회는 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제3항에 따라 안전성 확보에 필요한 조치를 하였는지에 관하여 대통령령으로 정하는 바에 따라 정기적으로 조사하여야 한다. <신설 2016. 3. 29., 2017. 7. 26., 2020. 2. 4.>
보호위원회는 대통령령으로 정하는 전문기관으로 하여금 제4항에 따른 조사를 수행하게 할 수 있다. <신설 2016. 3. 29., 2017. 7. 26., 2020. 2. 4.>
Article 24 (Limitation to Processing of Personally Identifiable Information)
(1) A personal information controller shall not process any information prescribed by Presidential Decree that can be used to identify an individual in accordance with statutes (hereinafter referred to as "personally identifiable information"), except in any of the following cases:
1. Where the personal information controller informs a data subject of the matters provided for in Article 15 (2) or 17 (2), and obtains the consent of the data subject apart from the consent to the processing of other personal information;
2. Where other statutes specifically require or permit the processing of personally identifiable information.
(2) Deleted. <Act No. 11990, Aug. 6, 2013>
(3) Where a personal information controller processes personally identifiable information pursuant to paragraph (1), the personal information controller shall take measures necessary to ensure safety, including encryption, as prescribed by Presidential Decree, so that the personally identifiable information may not be lost, stolen, divulged, forged, altered, or damaged. <Amended by Act No. 13423, Jul. 24, 2015>
(4) The Protection Commission shall regularly inspect whether a personal information controller meeting the criteria prescribed by Presidential Decree taking into account the types and amount of processed personal information, number of employees, amount of sales, etc., has taken the measures necessary to ensure safety pursuant to paragraph (3), as prescribed by Presidential Decree.<Added by Act No. 14107, Mar. 29, 2016; Act No. 14839, Jul. 26, 2017 ; Act No 16930, February. 4, 2020>
(5) The Protection Commission may authorize specialized institutions prescribed by Presidential Decree to conduct the inspection referred to in paragraph (4).<Added by Act No. 14107, Mar. 29, 2016; Act No. 14839, Jul. 26, 2017 ; Act No 16930, February. 4, 2020>
제24조의2(주민등록번호 처리의 제한)
제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다. <개정 2016. 3. 29., 2017. 7. 26., 2020. 2. 4.>
1. 법률ㆍ대통령령ㆍ국회규칙ㆍ대법원규칙ㆍ헌법재판소규칙ㆍ중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회가 고시로 정하는 경우
개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다. <신설 2014. 3. 24., 2015. 7. 24.>
개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다. <개정 2014. 3. 24.>
보호위원회는 개인정보처리자가 제3항에 따른 방법을 제공할 수 있도록 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련ㆍ지원할 수 있다. <개정 2014. 3. 24., 2017. 7. 26., 2020. 2. 4.>
[본조신설 2013. 8. 6.]
Article 24-2 (Limitation to Processing of Resident Registration Numbers)
(1) Notwithstanding Article 24 (1), a personal information controller shall not process any resident registration number, except in any of the following cases: <Amended by Act No. 14107, Mar. 29, 2016; Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
1. Where any Act, Presidential Decree, National Assembly Regulations, Supreme Court Regulations, Constitutional Court Regulations, National Election Commission Regulations or Board of Audit and Inspection Regulations specifically requires or permits the processing of resident registration numbers;
2. Where it is deemed manifestly necessary for the protection, from imminent danger, of life, bodily and property interests of a data subject or a third party;
3. Where it is inevitable to process resident registration numbers in line with subparagraphs 1 and 2 in circumstances publicly notified by the Protection Commission.
(2) Notwithstanding Article 24 (3), a personal information controller shall retain resident registration numbers in a safe manner by means of encryption so that the resident registration numbers may not be lost, stolen, divulged, forged, altered, or damaged. In such cases, any necessary matters in relation to the scope of encryption objects and encryption timing by object, etc. shall be prescribed by Presidential Decree, taking into account the amount of personal information processed, data breach impact, etc.<Added by Act No. 12504, Mar. 24, 2014; Act No. 13423, Jul. 24, 2015>
(3) A personal information controller shall provide data subjects with an alternative sign-up tool without using their resident registration numbers in the stage of being admitted to membership via the website while processing the resident registration numbers pursuant to paragraph (1).
(4) The Protection Commission may prepare and support such measures as legislative arrangements, policy-making, necessary facilities, and systems build-up in order to support the provision of the measures provided for in paragraph (3). <Amended by Act No. 12504, Mar. 24, 2014; Act No. 14839, Jul. 26, 2017; Act No 16930, February. 4, 2020>
[This Article Added by Act No. 11990, Aug. 6, 2013]
제25조(영상정보처리기기의 설치ㆍ운영 제한)
누구든지 다음 각 호의 경우를 제외하고는 공개된 장소에 영상정보처리기기를 설치ㆍ운영하여서는 아니 된다.
1. 법령에서 구체적으로 허용하고 있는 경우
2. 범죄의 예방 및 수사를 위하여 필요한 경우
3. 시설안전 및 화재 예방을 위하여 필요한 경우
4. 교통단속을 위하여 필요한 경우
5. 교통정보의 수집ㆍ분석 및 제공을 위하여 필요한 경우
누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실(發汗室), 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치ㆍ운영하여서는 아니 된다. 다만, 교도소, 정신보건 시설 등 법령에 근거하여 사람을 구금하거나 보호하는 시설로서 대통령령으로 정하는 시설에 대하여는 그러하지 아니하다.
제1항 각 호에 따라 영상정보처리기기를 설치ㆍ운영하려는 공공기관의 장과 제2항 단서에 따라 영상정보처리기기를 설치ㆍ운영하려는 자는 공청회ㆍ설명회의 개최 등 대통령령으로 정하는 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다.
제1항 각 호에 따라 영상정보처리기기를 설치ㆍ운영하는 자(이하 "영상정보처리기기운영자"라 한다)는 정보주체가 쉽게 인식할 수 있도록 다음 각 호의 사항이 포함된 안내판을 설치하는 등 필요한 조치를 하여야 한다. 다만, 「군사기지 및 군사시설 보호법」 제2조제2호에 따른 군사시설, 「통합방위법」 제2조제13호에 따른 국가중요시설, 그 밖에 대통령령으로 정하는 시설에 대하여는 그러하지 아니하다. <개정 2016. 3. 29.>
1. 설치 목적 및 장소
2. 촬영 범위 및 시간
3. 관리책임자 성명 및 연락처
4. 그 밖에 대통령령으로 정하는 사항
영상정보처리기기운영자는 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비춰서는 아니 되며, 녹음기능은 사용할 수 없다.
영상정보처리기기운영자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 제29조에 따라 안전성 확보에 필요한 조치를 하여야 한다. <개정 2015. 7. 24.>
영상정보처리기기운영자는 대통령령으로 정하는 바에 따라 영상정보처리기기 운영ㆍ관리 방침을 마련하여야 한다. 이 경우 제30조에 따른 개인정보 처리방침을 정하지 아니할 수 있다.
영상정보처리기기운영자는 영상정보처리기기의 설치ㆍ운영에 관한 사무를 위탁할 수 있다. 다만, 공공기관이 영상정보처리기기 설치ㆍ운영에 관한 사무를 위탁하는 경우에는 대통령령으로 정하는 절차 및 요건에 따라야 한다.
Article 25 (Limitation to Installation and Operation of Visual Data Processing Devices)
(1) No one shall install and operate any visual data processing device at open places, except in any of the following circumstances:
1. Where specifically allowed by statutes;
2. Where it is necessary for the prevention and investigation of crimes;
3. Where it is necessary for the safety of facilities and prevention of fire;
4. Where it is necessary for regulatory control of traffic;
5. Where it is necessary for the collection, analysis, and provision of traffic information.
(2) No one shall install and operate any visual data processing device so as to look into the places which is likely to noticeably threaten individual privacy, such as a bathroom, restroom, sauna, and dressing room used by multiple unspecified persons: Provided, That the same shall not apply to the facilities prescribed by Presidential Decree, which detain or protect persons in accordance with statutes, such as correctional facilities and mental health care centers.
(3) The head of a public institution who intends to install and operate visual data processing devices pursuant to paragraph (1) and a person who intends to install and operate visual data processing devices pursuant to the proviso to paragraph (2) shall gather opinions of relevant specialist and interested persons through the formalities prescribed by Presidential Decree such as public hearings and information sessions.
(4) A person who installs and operates visual data processing devices pursuant to paragraph (1) (hereinafter referred to as “VDPD operator”) shall take necessary measures including posting on a signboard the following matters, so that data subjects may easily recognize such devices: Provided, That this shall not apply to military installations defined in subparagraph 2 of Article 2 of the Protection of Military Bases and Installations Act, important national facilities defined in subparagraph 13 of Article 2 of the United Defense Act, and other facilities prescribed by Presidential Decree:<Amended by Act No. 14107, Mar. 29, 2016>
1. The purpose and place of installation;
2. The scope and hours of photographing;
3. The name and contact information of the person in charge of its management;
4. Other matters prescribed by Presidential Decree.
(5) A VDPD operator shall not handle arbitrarily the visual data processing devices for other purposes than the initial one; direct the said devices toward different spots; nor use sound recording functions.
(6) Every VDPD operator shall take measures necessary to ensure safety pursuant to Article 29 so that the personal information may not be lost, stolen, divulged, forged, altered, or damaged. <Amended by Act No. 13423, Jul. 24, 2015>
(7) Every VDPD operator shall establish an appropriate policy to operate and manage the visual data processing devices, as prescribed by Presidential Decree. In such cases, the VDPD operator may be exempted from adopting a Privacy Policy pursuant to Article 30.
(8) A VDPD operator may outsource the installation and operation of visual data processing devices to a third party: Provided, That the public institutions shall comply with the procedures and requirements prescribed by Presidential Decree when outsourcing the installation and operation of visual data processing devices to a third party.
제26조(업무위탁에 따른 개인정보의 처리 제한)
개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항
3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 "위탁자"라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 "수탁자"라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다. <개정 2015. 7. 24.>
수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.
수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.
수탁자에 관하여는 제15조부터 제25조까지, 제27조부터 제31조까지, 제33조부터 제38조까지 및 제59조를 준용한다.
Article 26 (Limitation to Personal Information Processing Subsequent to Outsourcing of Work)
(1) A personal information controller shall, when outsourcing personal information processing to a third party, effect such outsourcing through a document that states the following:
1. Prevention of personal information processing for other purposes than the outsourced purpose;
2. Technical and managerial safeguards of personal information;
3. Other matters prescribed by Presidential Decree to ensure safe management of personal information.
(2) A personal information controller that outsources personal information processing pursuant to paragraph (1) (hereinafter referred to as "outsourcer") shall disclose the details of the outsourced work and the entity that processes personal information (hereinafter referred to as “outsourcee”) under an outsourcing contract in the manner prescribed by Presidential Decree so that data subjects may recognize it with ease at any time.
(3) The outsourcer shall, in case of outsourcing the promotion of goods or services, or soliciting of sales thereof, notify data subjects of the outsourced work and the outsourcee in the manners prescribed by Presidential Decree. The same shall apply where the outsourced work or the outsourcee has been changed.
(4) The outsourcer shall educate the outsourcee so that personal information of data subjects may not be lost, stolen, leaked, forged, altered, or damaged owing to the outsourcing of work, and supervise how the outsourcee processes such personal information safely by inspecting the status of processing, etc., as prescribed by Presidential Decree. <Amended by Act No. 13423, Jul. 24, 2015>
(5) An outsourcee shall not use any personal information beyond the scope of the work outsourced by the personal information controller, nor provide personal information to a third party.
(6) With respect to the compensation of damage arising out of the processing of personal information outsourced to an outsourcee in violation of this Act, the outsourcee shall be deemed an employee of the personal information controller.
(7) Articles 15 through 25, 27 through 31, 33 through 38, and 59 shall apply mutatis mutandis to outsourcees.
제27조(영업양도 등에 따른 개인정보의 이전 제한)
개인정보처리자는 영업의 전부 또는 일부의 양도ㆍ합병 등으로 개인정보를 다른 사람에게 이전하는 경우에는 미리 다음 각 호의 사항을 대통령령으로 정하는 방법에 따라 해당 정보주체에게 알려야 한다.
1. 개인정보를 이전하려는 사실
2. 개인정보를 이전받는 자(이하 "영업양수자등"이라 한다)의 성명(법인의 경우에는 법인의 명칭을 말한다), 주소, 전화번호 및 그 밖의 연락처
3. 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차
영업양수자등은 개인정보를 이전받았을 때에는 지체 없이 그 사실을 대통령령으로 정하는 방법에 따라 정보주체에게 알려야 한다. 다만, 개인정보처리자가 제1항에 따라 그 이전 사실을 이미 알린 경우에는 그러하지 아니하다.
영업양수자등은 영업의 양도ㆍ합병 등으로 개인정보를 이전받은 경우에는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공할 수 있다. 이 경우 영업양수자등은 개인정보처리자로 본다.
Article 27 (Limitation to Transfer of Personal Information following Business Transfer, etc.)
(1) A personal information controller shall notify in advance the data subjects of the following matters in the manner prescribed by Presidential Decree in the case of transfer of personal information to a third party owing to the transfer of some or all of his or her business, a merger, etc.:
1. The fact that the personal information will be transferred;
2. The name (referring to the company name in case of a legal person), address, telephone number and other contact information of the recipient of the personal information (hereinafter referred to as “business transferee, etc.”);
3. The method and procedure for withdrawing consent if the data subject does not wish his or her personal information to be transferred.
(2) Upon receiving personal information, the business transferee, etc. shall, without delay, notify data subjects of the fact in the manner prescribed by Presidential Decree: Provided, That this shall not apply where the personal information controller has already notified the data subjects of the fact of such transfer pursuant to paragraph (1).
(3) Upon receiving personal information owing to business transferee, etc., a merger, etc., the business transferee may use, or provide a third party with, the personal information only for the initial purposes dating to the time of the transfer. In such cases, the business transferee shall be deemed the personal information controller.
제28조(개인정보취급자에 대한 감독)
개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자(이하 "개인정보취급자"라 한다)에 대하여 적절한 관리ㆍ감독을 행하여야 한다.
개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.
Article 28 (Supervision of Personal Information Handlers)
(1) While processing personal information, a personal information controller shall conduct appropriate control and supervision against the persons who process the personal information under his or her command and supervision, such as an officer or employee, temporary agency worker and part-time worker (hereinafter referred to as “personal information handler”) to ensure the safe management of the personal information.
(2) A personal information controller shall provide personal information handlers with necessary educational programs on a regular basis in order to ensure the appropriate handling of personal information.
제3절 가명정보의 처리에 관한 특례
Section 3 Special Cases concerning Pseudonymous Data
제28조의2(가명정보의 처리 등)
개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
개인정보처리자는 제1항에 따라 가명정보를 제3자에게 제공하는 경우에는 특정 개인을 알아보기 위하여 사용될 수 있는 정보를 포함해서는 아니 된다.
[본조신설 2020. 2. 4.]
Article 28-2 (Processing of Pseudonymous Data)
(1) A personal information controller may process pseudonymized information without the consent of data subjects for statistical purposes, scientific research purposes, and archiving purposes in the public interest, etc.
(2) A personal information controller shall not include information that may be used to identify a certain individual when providing pseudonymized information to a third party according to paragraph (1).
[This Article Added by Act No. 16930, Feb. 4, 2020]
제28조의3(가명정보의 결합 제한)
제28조의2에도 불구하고 통계작성, 과학적 연구, 공익적 기록보존 등을 위한 서로 다른 개인정보처리자 간의 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지정하는 전문기관이 수행한다.
결합을 수행한 기관 외부로 결합된 정보를 반출하려는 개인정보처리자는 가명정보 또는 제58조의2에 해당하는 정보로 처리한 뒤 전문기관의 장의 승인을 받아야 한다.
제1항에 따른 결합 절차와 방법, 전문기관의 지정과 지정 취소 기준ㆍ절차, 관리ㆍ감독, 제2항에 따른 반출 및 승인 기준ㆍ절차 등 필요한 사항은 대통령령으로 정한다.
[본조신설 2020. 2. 4.]
Article 28-3 (Restriction on Combination of Pseudonymous Data)
(1) Notwithstanding Article 28-2, the combination of pseudonymized information processed by different personal information controllers for statistical purposes, scientific research and preservation of records for public interest, etc. shall be conducted by a specialized institution designated by the Protection Commission or the head of the related central administrative agency.
(2) A personal information controller who intends to release the combined information outside the organization that combined the information shall obtain approval from the head of the specialized institution after processing the information into pseudonymized information or the form referred to in Article 58-2.
(3) Necessary matters including the procedures and methods of combination pursuant to paragraph (1), standards and procedures to designate, or cancel the designation of, a specialized institution management and supervision, and standards and procedures of exporting and approval pursuant to paragraph (2) shall be prescribed by Presidential Decree.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제28조의4(가명정보에 대한 안전조치의무 등)
개인정보처리자는 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관ㆍ관리하는 등 해당 정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
개인정보처리자는 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시 제공받는 자 등 가명정보의 처리 내용을 관리하기 위하여 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 한다.
[본조신설 2020. 2. 4.]
Article 28-4 (Obligation to Take Safety Measures for Pseudonymous Data)
(1) When processing the pseudonymized information, a personal information controller shall take such technical, organizational and physical measures as separately storing and managing additional information needed for restoration to the original state, as may be necessary to ensure safety as prescribed by Presidential Decree so that the personal information may not be lost, stolen, divulged, forged, altered, or damaged.
(2) A personal information controller who intends to process the pseudonymized information shall prepare and keep records relating to matters prescribed by the Presidential Decree including the purpose of processing the pseudonymized information, and a third party recipient when pseudonymized information is provided, to manage the processing of pseudonymized information.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제28조의5(가명정보 처리 시 금지의무 등)
누구든지 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다.
개인정보처리자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수ㆍ파기하여야 한다.
[본조신설 2020. 2. 4.]
Article 28-5 (Prohibited Acts for the Processing of the Pseudonymized Information)
(1) No one shall process the pseudonymized information for the purpose of identifying a certain individual.
(2) When information identifying a certain individual is generated while the pseudonymized information is processed, the personal information controller shall cease the processing of the information, and retrieve and destroy the information immediately.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제28조의6(가명정보 처리에 대한 과징금 부과 등)
보호위원회는 개인정보처리자가 제28조의5제1항을 위반하여 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우 전체 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 4억원 또는 자본금의 100분의 3 중 큰 금액 이하로 과징금을 부과할 수 있다.
과징금의 부과ㆍ징수 등에 필요한 사항은 제34조의2제3항부터 제5항까지의 규정을 준용한다.
[본조신설 2020. 2. 4.]
Article 28-6 (Imposition of Administrative Surcharges for the Processing of the Pseudonymized Information)
(1) The Commission may impose a fine equivalent to less than three-hundredths of total sales on data controller who has processed data for the purpose of identifying a specific individual in violation of Article 28-5 (1): Provided, That in case where there is no sales or difficulty in calculating the sales revenues, the data controller may be subject to a fine of not more than 400 million won or three-hundredths of the capital amount, whichever is greater.
(2) Article 34-2 (3) through (5) shall apply mutatis mutandis to matters necessary to impose and collect administrative surcharges.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제28조의7(적용범위)
가명정보는 제20조, 제21조, 제27조, 제34조제1항, 제35조부터 제37조까지, 제39조의3, 제39조의4, 제39조의6부터 제39조의8까지의 규정을 적용하지 아니한다.
[본조신설 2020. 2. 4.]
Article 28-7 (Scope of Application)
Articles 20, 21, 27, 34 (1), 35 through 37, 39-3, 39-4, 39-6 through 39-8 shall not apply to the pseudonymized information.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제4장 개인정보의 안전한 관리
CHAPTER IV SAFEGUARD OF PERSONAL INFORMATION
제29조(안전조치의무)
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. <개정 2015. 7. 24.>
Article 29 (Duty of Safeguards)
Every personal information controller shall take such technical, managerial, and physical measures as establishing an internal management plan and preserving access records, etc. that are necessary to ensure safety as prescribed by Presidential Decree so that the personal information may not be lost, stolen, divulged, forged, altered, or damaged.<Amended by Act No. 13423, Jul. 24, 2015>
제30조(개인정보 처리방침의 수립 및 공개)
개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보 처리방침"이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다. <개정 2016. 3. 29., 2020. 2. 4.>
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.
보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
Article 30 (Establishment and Disclosure of Privacy Policy)
(1) Every personal information controller shall establish a personal information processing policy including the following matters (hereinafter referred to as "Privacy Policy"). In such cases, public institutions shall establish the Privacy Policy for the personal information files to be registered pursuant to Article 32: <Amended by Act No. 14107, Mar. 29, 2016>
1. The purposes for which personal information is processed;
2. The period for processing and retaining personal information;
3. Provision of personal information to a third party (if applicable);
3-2. Procedures and methods for destroying personal information (if personal information shall be preserved according to the proviso of Article 21 (1), this shall include the basis of preservation and particulars of personal information to be preserved);
4. Outsourcing personal information processing (if applicable);
5. The rights and obligations of data subjects and legal representatives, and how to exercise such rights;
6. Contact information, such as the name of a privacy officer designated under Article 31 or the name, telephone number, etc. of the department which performs the duties related to personal information protection and handles related grievances;
7. Installation and operation of an automatic collection tool for personal information, including internet access data files, and the denial thereof (if applicable);
8. Other matters prescribed by Presidential Decree regarding the processing of personal information.
(2) Upon establishing or modifying the Privacy Policy, a personal information controller shall disclose the content so that data subjects may easily recognize it in such a way as prescribed by Presidential Decree.
(3) Where there exist discrepancies between the Privacy Policy and the agreement executed by and between the personal information controller and data subjects, the terms that are beneficial to the data subjects shall prevail.
(4) The Protection Commission may prepare the Privacy Policy Guidelines and encourage the personal information controllers to comply with such Guidelines.<Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No 16930, February. 4, 2020>
제31조(개인정보 보호책임자의 지정)
개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.
개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리ㆍ감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.
개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다.
개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다.
개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다.
Article 31 (Designation of Privacy Officers)
(1) A personal information controller shall designate a privacy officer who comprehensively takes charge of personal information processing.
(2) Every privacy officer shall perform the following functions:
1. To establish and implement a personal information protection plan;
2. To conduct a regular survey of the status and practices of personal information processing, and to improve shortcomings;
3. To handle grievances and remedial compensation in relation to personal information processing;
4. To build the internal control system to prevent the divulgence, abuse, and misuse of personal information;
5. To prepare and implement an education program about personal information protection;
6. To protect, control, and manage the personal information files;
7. Other functions prescribed by Presidential Decree for the appropriate processing of personal information.
(3) In performing the functions provided for in paragraph (2), a privacy officer may inspect the status of personal information processing and systems frequently, if necessary, and may request a report thereon from the relevant parties.
(4) Where a privacy officer becomes aware of any violation of this Act or other relevant statutes in relation to the protection of personal information, the privacy officer shall take corrective measures immediately, and shall report such corrective measures to the head of the institution or organization to which he or she belongs, if necessary.
(5) A personal information controller shall not have the chief privacy officer impose or be subject to disadvantages without any justifiable ground while performing the functions provided for in paragraph (2).
(6) The requirements for designation as privacy officers, functions, qualifications, and other necessary matters, shall be prescribed by Presidential Decree.
제32조(개인정보파일의 등록 및 공개)
공공기관의 장이 개인정보파일을 운용하는 경우에는 다음 각 호의 사항을 보호위원회에 등록하여야 한다. 등록한 사항이 변경된 경우에도 또한 같다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
1. 개인정보파일의 명칭
2. 개인정보파일의 운영 근거 및 목적
3. 개인정보파일에 기록되는 개인정보의 항목
4. 개인정보의 처리방법
5. 개인정보의 보유기간
6. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
7. 그 밖에 대통령령으로 정하는 사항
다음 각 호의 어느 하나에 해당하는 개인정보파일에 대하여는 제1항을 적용하지 아니한다.
1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
4. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
5. 다른 법령에 따라 비밀로 분류된 개인정보파일
보호위원회는 필요하면 제1항에 따른 개인정보파일의 등록사항과 그 내용을 검토하여 해당 공공기관의 장에게 개선을 권고할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
보호위원회는 제1항에 따른 개인정보파일의 등록 현황을 누구든지 쉽게 열람할 수 있도록 공개하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
제1항에 따른 등록과 제4항에 따른 공개의 방법, 범위 및 절차에 관하여 필요한 사항은 대통령령으로 정한다.
국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정한다.
Article 32 (Registration and Disclosure of Personal Information Files)
(1) Upon operating personal information files, the head of a public institution shall register the following matters with the Protection Commission. The same shall also apply where the registered matters are modified. <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No 16930, February. 4, 2020>
1. The titles of the personal information files;
2. The grounds and purposes for the operation of the personal information files;
3. Particulars of personal information that are recorded in the personal information files;
4. The method of processing personal information;
5. The period for retaining personal information;
6. The recipient of personal information, if it is provided routinely or repetitively;
7. Other matters prescribed by Presidential Decree.
(2) Paragraph (1) shall not apply to any of the following personal information files:
1. Personal information files that record national security, diplomatic secrets, and other matters relating to grave national interests;
2. Personal information files that record the investigation of crimes, indictment and prosecution, punishment, and probation and custody, corrective orders, protective orders, security observation orders, and immigration;
3. Personal information files that record the investigations of violations of the Punishment of Tax Offenses Act and the Customs Act;
4. Personal information files exclusively used for internal job performance of public institutions;
5. Classified personal information files pursuant to other statutes.
(3) The Protection Commission may, if necessary, review the registration and content of the personal information files referred to in paragraph (1), and advise the head of the relevant public institution to make improvements.<Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No 16930, February. 4, 2020>
(4) The Protection Commission shall make public the status of registered personal information files under paragraph (1) so that anyone may access them with ease.<Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No 16930, February. 4, 2020>
(5) Necessary matters regarding the registration referred to in paragraph (1), the method, scope, and procedure of public disclosure referred to in paragraph (4), shall be prescribed by Presidential Decree.
(6) The registration and public disclosure of the personal information files retained by the National Assembly, the Court, the Constitutional Court and the National Election Commission (including their affiliated entities) shall be prescribed by the National Assembly Regulations, the Supreme Court Regulations, the Constitutional Court Regulations, and the National Election Commission Regulations.
제32조의2(개인정보 보호 인증)
보호위원회는 개인정보처리자의 개인정보 처리 및 보호와 관련한 일련의 조치가 이 법에 부합하는지 등에 관하여 인증할 수 있다. <개정 2017. 7. 26., 2020. 2. 4.>
제1항에 따른 인증의 유효기간은 3년으로 한다.
보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 대통령령으로 정하는 바에 따라 제1항에 따른 인증을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 취소하여야 한다. <개정 2017. 7. 26., 2020. 2. 4.>
1. 거짓이나 그 밖의 부정한 방법으로 개인정보 보호 인증을 받은 경우
2. 제4항에 따른 사후관리를 거부 또는 방해한 경우
3. 제8항에 따른 인증기준에 미달하게 된 경우
4. 개인정보 보호 관련 법령을 위반하고 그 위반사유가 중대한 경우
보호위원회는 개인정보 보호 인증의 실효성 유지를 위하여 연 1회 이상 사후관리를 실시하여야 한다. <개정 2017. 7. 26., 2020. 2. 4.>
보호위원회는 대통령령으로 정하는 전문기관으로 하여금 제1항에 따른 인증, 제3항에 따른 인증 취소, 제4항에 따른 사후관리 및 제7항에 따른 인증 심사원 관리 업무를 수행하게 할 수 있다. <개정 2017. 7. 26., 2020. 2. 4.>
제1항에 따른 인증을 받은 자는 대통령령으로 정하는 바에 따라 인증의 내용을 표시하거나 홍보할 수 있다.
제1항에 따른 인증을 위하여 필요한 심사를 수행할 심사원의 자격 및 자격 취소 요건 등에 관하여는 전문성과 경력 및 그 밖에 필요한 사항을 고려하여 대통령령으로 정한다.
그 밖에 개인정보 관리체계, 정보주체 권리보장, 안전성 확보조치가 이 법에 부합하는지 여부 등 제1항에 따른 인증의 기준ㆍ방법ㆍ절차 등 필요한 사항은 대통령령으로 정한다.
[본조신설 2015. 7. 24.]
Article 32-2 (Certification of Personal Information Protection)
(1) The Protection Commission may certify whether the data processing and other data protection-related action of a personal information controller abide by this Act, etc. <Amended by Act No. 14839, Jul. 26, 2017; Act No 16930, February. 4, 2020>
(2) The certification provided for in paragraph (1) shall be effective for three years.
(3) In any of the following cases, the Protection Commission may revoke the certification granted under paragraph (1), as prescribed by Presidential Decree: Provided, That it shall be revoked in cases falling under subparagraph 1: <Amended by Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
1. Where personal information protection has been certified by fraud or other unjust means;
2. Where follow-up management provided for in paragraph (4) has been denied or obstructed;
3. Where the certification criteria provided for in paragraph (8) have not been satisfied;
4. Where personal information protection-related statutes are breached seriously.
(4) The Protection Commission shall conduct follow-up management at least once annually to maintain the effectiveness of the certification of personal information protection. <Amended by Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
(5) The Protection Commission may authorize the specialized institutions prescribed by Presidential Decree to perform the duties related to certification under paragraph (1), revocation of certification under paragraph (3), follow-up management under paragraph (4), management of certification examiners under paragraph (7). <Amended by Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
(6) Any person who has obtained certification subject to paragraph (1) may indicate or promote the certification, as prescribed by Presidential Decree.
(7) Qualifications of certification examiners who conduct the certification examination subject to paragraph (1), criteria for disqualification, and other related matters shall be prescribed by Presidential Decree, taking into account specialty, career, and other necessary matters.
(8) Other necessary matters for the certification criteria, method, procedure, etc. subject to paragraph (1), including whether the personal information management system, guarantee of data subjects’ rights, and measures to ensure safety are based on this Act, shall be prescribed by Presidential Decree.
[This Article Added by Act No. 13423, Jul. 24, 2015]
제33조(개인정보 영향평가)
공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 "영향평가"라 한다)를 하고 그 결과를 보호위원회에 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 보호위원회가 지정하는 기관(이하 "평가기관"이라 한다) 중에서 의뢰하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다.
1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
4. 그 밖에 대통령령으로 정한 사항
보호위원회는 제1항에 따라 제출받은 영향평가 결과에 대하여 의견을 제시할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
공공기관의 장은 제1항에 따라 영향평가를 한 개인정보파일을 제32조제1항에 따라 등록할 때에는 영향평가 결과를 함께 첨부하여야 한다.
보호위원회는 영향평가의 활성화를 위하여 관계 전문가의 육성, 영향평가 기준의 개발ㆍ보급 등 필요한 조치를 마련하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
제1항에 따른 평가기관의 지정기준 및 지정취소, 평가기준, 영향평가의 방법ㆍ절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 영향평가에 관한 사항은 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따른다.
공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적극 노력하여야 한다.
Article 33 (Privacy Impact Assessment)
(1) In the case there is a risk of an infringement with respect to personal information of data subjects due to the operation of personal information files meeting the criteria prescribed by Presidential Decree, the head of a public institution shall conduct an assessment to analyze risk factors and improve them (hereinafter referred to as “privacy impact assessment”), and submit the results thereof to the Protection Commission. In such cases, the head of the public institution shall request the privacy impact assessment from any of the institutions designated by the Protection Commission (hereinafter referred to as “PIA institution”). <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No 16930, February. 4, 2020>
(2) The privacy impact assessment shall cover the following matters:
1. The number of personal information being processed;
2. Whether the personal information is provided to a third party;
3. The probability to violate the rights of the data subjects and the degree of risks;
4. Other matters prescribed by Presidential Decree.
(3) The Protection Commission may provide its opinion on the results of the privacy impact assessment submitted under paragraph (1).<Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No 16930, February. 4, 2020>
(4) The head of a public institution shall register the personal information files in accordance with Article 32 (1), for which the privacy impact assessment has been conducted pursuant to paragraph (1), with the results of the privacy impact assessment attached thereto.
(5) The Protection Commission shall take necessary measures, such as fostering relevant specialists, and developing and disseminating criteria for the privacy impact assessment, to promote the privacy impact assessment. <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
(6) Necessary matters in relation to the privacy impact assessment, such as the criteria for designation as PIA institutions, revocation of designation, assessment criteria, method and procedure, etc. pursuant to paragraph (1), shall be prescribed by Presidential Decree.
(7) Matters regarding the privacy impact assessment conducted by the National Assembly, the Court, the Constitutional Court and the National Election Commission (including their affiliated entities) shall be prescribed by the National Assembly Regulations, the Supreme Court Regulations, the Constitutional Court Regulations, and the National Election Commission Regulations.
(8) A personal information controller other than public institutions shall proactively endeavor to conduct a privacy impact assessment, if there is a risk of an infringement with respect to personal information of data subjects in operating the personal information files.
제34조(개인정보 유출 통지 등)
개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 보호위원회 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
제1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
Article 34 (Data Breach Notification)
(1) A personal information controller shall notify data subjects of the following matters without delay when the personal information controller becomes aware their personal information has been divulged:
1. Particulars of the personal information divulged;
2. When and how personal information has been divulged;
3. Any information about how the data subjects can minimize the risk of damage from divulgence, etc.;
4. Countermeasures taken by the personal information controller and remedial procedure;
5. Help desk and contact points for the data subjects to report damage.
(2) A personal information controller shall prepare countermeasures to minimize the risk of damage in the case of divulgence of personal information and take necessary measures.
(3) Where a breach of personal information above the scale prescribed by Presidential Decree takes place, the personal information controller shall, without delay, report the results of notification given under paragraph (1) and the results of measures taken under paragraph (2) to the Protection Commission or a specialized institution designated by Presidential Decree. In such cases, the Protection Commission and the specialized institution designated by Presidential Decree may provide technical assistance for the prevention and recovery of further damage, etc.<Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No 16930, February. 4, 2020>
(4) Necessary matters in relation to the time, method, and procedure of data breach notification pursuant to paragraph (1), shall be prescribed by Presidential Decree.
제34조의2(과징금의 부과 등)
보호위원회는 개인정보처리자가 처리하는 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 5억원 이하의 과징금을 부과ㆍ징수할 수 있다. 다만, 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 개인정보처리자가 제24조제3항에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다. <개정 2014. 11. 19., 2015. 7. 24., 2017. 7. 26., 2020. 2. 4.>
보호위원회는 제1항에 따른 과징금을 부과하는 경우에는 다음 각 호의 사항을 고려하여야 한다. <개정 2014. 11. 19., 2015. 7. 24., 2017. 7. 26., 2020. 2. 4.>
1. 제24조제3항에 따른 안전성 확보에 필요한 조치 이행 노력 정도
2. 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 주민등록번호의 정도
3. 피해확산 방지를 위한 후속조치 이행 여부
보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 내지 아니하면 납부기한의 다음 날부터 과징금을 낸 날의 전날까지의 기간에 대하여 내지 아니한 과징금의 연 100분의 6의 범위에서 대통령령으로 정하는 가산금을 징수한다. 이 경우 가산금을 징수하는 기간은 60개월을 초과하지 못한다. <개정 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 내지 아니하면 기간을 정하여 독촉을 하고, 그 지정한 기간 내에 과징금 및 제2항에 따른 가산금을 내지 아니하면 국세 체납처분의 예에 따라 징수한다. <개정 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
과징금의 부과ㆍ징수에 관하여 그 밖에 필요한 사항은 대통령령으로 정한다.
[본조신설 2013. 8. 6.]
Article 34-2 (Imposition, etc. of Penalty Surcharges)
(1) The Protection Commission may impose and collect a penalty surcharge not exceeding 500 million won where a personal information controller has failed to prevent any loss, theft, divulgence, forgery, alteration, or damage of resident registration numbers: Provided, That this shall not apply where the personal information controller has fully taken measures necessary to ensure safety under Article 24 (3) to prevent any loss, theft, divulgence, forgery, alteration, or damage of resident registration numbers. <Amended by Act No. 12844, Nov. 19, 2014; Act No. 13423, Jul. 24, 2015; Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
(2) The Protection Commission shall take into account the following when imposing the administrative surcharge pursuant to paragraph (1): <Amended by Act No. 12844, Nov. 19, 2014; Act No. 13423, Jul. 24, 2015; Act No. 14839, Jul. 26, 2017; Act No 16930, February. 4, 2020>
1. Scale of efforts taken to perform the measures necessary to ensure safety under Article 24 (3);
2. Status of the resident registration numbers which have been lost, stolen, divulged, forged, altered or damaged;
3. Fulfillment of subsequent measures to prevent further damage.
(3) The Protection Commission shall collect a late-payment penalty prescribed by Presidential Decree in an amount not exceeding 6/100 per annum of the unpaid administrative surcharge for the period beginning on the following day of the expiration of the payment deadline and ending on the day immediately preceding the day of payment of the administrative surcharge where a person liable to pay the administrative surcharge under paragraph (1) fails to pay the same by the payment deadline. In such cases, the late-payment penalty shall be collected for a maximum period of 60 months.<Amended by Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No 16930, February. 4, 2020>
(4) Where a person liable to pay the administrative surcharge under paragraph (1) fails to pay the same by the payment deadline, the Protection Commission shall give notice with the period of payment specified therein; and where the administrative surcharge and late-payment penalty are not paid within the specified period, the Protection Commission shall collect such administrative surcharge and late-payment penalty in the same manner as delinquent national taxes are collected.<Amended by Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No 16930, February. 4, 2020>
(5) Other matters necessary for imposing and collecting penalty surcharges shall be prescribed by Presidential Decree.
[This Article Added by Act No. 11990, Aug. 6, 2013]
제5장 정보주체의 권리 보장
CHAPTER V GUARANTEE OF RIGHTS OF DATA SUBJECTS
제35조(개인정보의 열람)
정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다.
제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 보호위원회를 통하여 열람을 요구할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다.
개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다.
1. 법률에 따라 열람이 금지되거나 제한되는 경우
2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우
가. 조세의 부과ㆍ징수 또는 환급에 관한 업무
나. 「초ㆍ중등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무
다. 학력ㆍ기능 및 채용에 관한 시험, 자격 심사에 관한 업무
라. 보상금ㆍ급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무
마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무
제1항부터 제4항까지의 규정에 따른 열람 요구, 열람 제한, 통지 등의 방법 및 절차에 관하여 필요한 사항은 대통령령으로 정한다.
Article 35 (Access to Personal Information)
(1) A data subject may request access to his or her own personal information, which is processed by a personal information controller, from the personal information controller.
(2) Notwithstanding paragraph (1), where a data subject intends to request access to his or her own personal information from a public institution, the data subject may request such access directly from the said public institution, or indirectly via the Protection Commission, as prescribed by Presidential Decree.<Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No 16930, February. 4, 2020>
(3) Upon receipt of a request for access filed under paragraphs (1) and (2), a personal information controller shall grant the data subject access to his or her own personal information within the period prescribed by Presidential Decree. In such cases, if there is any justifiable ground not to permit access during such period, the personal information controller may postpone access after notifying the relevant data subject of the said ground. If the said ground ceases to exist, the data subject shall be permitted to access the personal information without delay.
(4) In any of the following cases, a personal information controller may limit or deny access after it notifies a data subject of the cause:
1. Where access is prohibited or limited by Acts;
2. Where access may cause damage to the life or body of a third party, or unjustified infringement of property and other interests of any other person;
3. Where a public institution has grave difficulties in performing any of the following duties:
(a) Imposition, collection or refund of taxes;
(b) Evaluation of academic achievements or admission affairs at the schools of each level established under the Elementary and Secondary Education Act and the Higher Education Act, lifelong educational facilities established under the Lifelong Education Act, and other higher educational institutions established under other Acts;
(c) Testing and qualification examination regarding academic competence, technical capability and employment;
(d) Ongoing evaluation or decision-making in relation to compensation or grant assessment;
(e) Ongoing audit and examination under other Acts.
(5) Necessary matters in relation to the methods and procedures to file access requests, to limit access, to give notification, etc. pursuant to paragraphs (1) through (4) shall be prescribed by Presidential Decree.
제36조(개인정보의 정정ㆍ삭제)
제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.
개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ㆍ삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.
개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
개인정보처리자는 정보주체의 요구가 제1항 단서에 해당될 때에는 지체 없이 그 내용을 정보주체에게 알려야 한다.
개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주체에게 정정ㆍ삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다.
제1항ㆍ제2항 및 제4항에 따른 정정 또는 삭제 요구, 통지 방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.
Article 36 (Rectification or Erasure of Personal Information)
(1) A data subject who has accessed his or her personal information pursuant to Article 35 may request a correction or erasure of such personal information from the relevant personal information controller: Provided, That the erasure is not permitted where the said personal information shall be collected by other statutes.
(2) Upon receipt of a request by a data subject pursuant to paragraph (1), the personal information controller shall investigate the personal information in question without delay; shall take necessary measures to correct or erase as requested by the data subject unless otherwise specifically provided by other statutes in relation to correction or erasure; and shall notify such data subject of the result.
(3) The personal information controller shall take measures not to recover or revive the personal information in case of erasure pursuant to paragraph (2).
(4) Where the request of a data subject falls under the proviso to paragraph (1), a personal information controller shall notify the data subject of the details thereof without delay.
(5) While investigating the personal information in question pursuant to paragraph (2), the personal information controller may, if necessary, request from the relevant data subject the evidence necessary to confirm a correction or erasure of the personal information.
(6) Necessary matters in relation to the request of correction and erasure, notification method and procedure, etc. pursuant to paragraphs (1), (2) and (4) shall be prescribed by Presidential Decree.
제37조(개인정보의 처리정지 등)
정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다. 이 경우 공공기관에 대하여는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다.
개인정보처리자는 제1항에 따른 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.
1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우
개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다.
개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다.
제1항부터 제3항까지의 규정에 따른 처리정지의 요구, 처리정지의 거절, 통지 등의 방법 및 절차에 필요한 사항은 대통령령으로 정한다.
Article 37 (Suspension of Processing of Personal Information)
(1) A data subject may request the relevant personal information controller to suspend the processing of his or her personal information. In such cases, if the personal information controller is a public institution, the data subject may request the suspension of processing of only the personal information contained in the personal information files to be registered pursuant to Article 32.
(2) Upon receipt of the request under paragraph (1), the personal information controller shall, without delay, suspend processing of some or all of the personal information as requested by the data subject; provided,, where any of the following is applicable, the personal information controller may deny the request of such data subject:
1. Where special provisions exist in other laws or it is inevitable to observe legal obligations;
2. Where access may cause damage to the life or body of a third party, or unjustified infringement of property and other interests of any other person;
3. Where the public institution cannot perform its work as prescribed by any Act without processing the personal information in question;
4. Where it is impracticable to perform a contract such as the provision of services as agreed upon with the said data subject without processing the personal information in question, and the data subject has not clearly expressed the desire to terminate the agreement.
(3) When denying the request pursuant to the proviso to paragraph (2), the personal information controller shall notify the data subject of the reason without delay.
(4) The personal information controller shall, without delay, take necessary measures including destruction of the relevant personal information when suspending the processing of personal information as requested by data subjects.
(5) Necessary matters in relation to the methods and procedures to request the suspension of processing, to deny such request, and to give notification, etc. pursuant to paragraphs (1) through (3) shall be prescribed by Presidential Decree.
제38조(권리행사의 방법 및 절차)
정보주체는 제35조에 따른 열람, 제36조에 따른 정정ㆍ삭제, 제37조에 따른 처리정지, 제39조의7에 따른 동의 철회 등의 요구(이하 "열람등요구"라 한다)를 문서 등 대통령령으로 정하는 방법ㆍ절차에 따라 대리인에게 하게 할 수 있다. <개정 2020. 2. 4.>
만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동의 개인정보 열람등요구를 할 수 있다.
개인정보처리자는 열람등요구를 하는 자에게 대통령령으로 정하는 바에 따라 수수료와 우송료(사본의 우송을 청구하는 경우에 한한다)를 청구할 수 있다.
개인정보처리자는 정보주체가 열람등요구를 할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개하여야 한다.
개인정보처리자는 정보주체가 열람등요구에 대한 거절 등 조치에 대하여 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하고 안내하여야 한다.
Article 38 (Methods and Procedures for Exercise of Rights)
(1) A data subject may authorize his or her representative to file requests for access pursuant to Article 35, correction or erasure pursuant to Article 36, suspension of processing pursuant to Article 37, and withdrawal of consent pursuant to Article 39-7 (hereinafter referred to as “request for access, etc.”) by the methods and procedure prescribed by Presidential Decree, such as written documents. <Amended by Act No 16930, February. 4, 2020>
(2) The legal representative of a child under 14 years of age may file a request for access, etc. to the personal information of the child with a personal information controller.
(3) A personal information controller may demand a fee and postage (only in case of a request to mail the copies), as prescribed by Presidential Decree, from a person who files a request for access, etc.
(4) A personal information controller shall prepare the detailed method and procedure to enable data subjects to file requests for access, etc., and publicly announce such method and procedure so that the data subjects may become aware of them.
(5) A personal information controller shall prepare and provide necessary procedures for data subjects to raise objections regarding the denial of a request for access, etc. from such data subjects.
제39조(손해배상책임)
정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
삭제 <2015. 7. 24.>
개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다. <신설 2015. 7. 24.>
법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다. <신설 2015. 7. 24.>
1. 고의 또는 손해 발생의 우려를 인식한 정도
2. 위반행위로 인하여 입은 피해 규모
3. 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익
4. 위반행위에 따른 벌금 및 과징금
5. 위반행위의 기간ㆍ횟수 등
6. 개인정보처리자의 재산상태
7. 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도
Article 39 (Responsibility for Compensation)
(1) A data subject who suffers damage by reason of a violation of this Act by a personal information controller is entitled to claim compensation from the personal information controller for such damage. In such cases, the said personal information controller may not be released from responsibility for compensation if it fails to prove the non-existence of wrongful intent or negligence.
(2) Deleted. <by Act No. 13423, Jul. 24, 2015>
(3) Where a data subject suffers damage out of loss, theft, divulgence, forgery, alteration, or damage of his or her own personal information, caused by wrongful intent or negligence of a personal information controller, the Court may determine the amount of compensation for damage not exceeding three times such damage: Provided, That the same shall not apply to the personal information controller who has proved non-existence of his or her wrongful intent or negligence. <Added by Act No. 13423, Jul. 24, 2015>
(4) The Court shall take into account the following when determining the amount of compensation for damage pursuant to paragraph (3): <Added by Act No. 13423, Jul. 24, 2015>
1. The degree of wrongful intent or expectation of damage;
2. The amount of loss caused by the violation;
3. Economic benefits the personal information controller gained in relation to the violation;
4. A fine and a penalty surcharge to be levied subject to the violation;
5. The duration, frequency, etc. of violations;
6. The property of the personal information controller;
7. The personal information controller’s efforts to retrieve the affected personal information after the loss, theft, or divulgence of personal information;
8. The personal information controller’s efforts to remedy damage suffered by the data subject.
제39조의2(법정손해배상의 청구)
제39조제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.
제39조에 따라 손해배상을 청구한 정보주체는 사실심(事實審)의 변론이 종결되기 전까지 그 청구를 제1항에 따른 청구로 변경할 수 있다.
[본조신설 2015. 7. 24.]
Article 39-2 (Claims for Statutory Compensation)
(1) Notwithstanding Article 39 (1), a data subject, who suffers damage out of loss, theft, divulgence, forgery, alteration, or damage of his or her own personal information, caused by wrongful intent or negligence of a personal information controller, may claim a reasonable amount of damages not exceeding three million won. In such cases, the said personal information controller may not be released from the responsibility for compensation if it fails to prove non-existence of his or her wrongful intent or negligence.
(2) In the case of a claim made under paragraph (1), the Court may determine a reasonable amount of damages not exceeding the amount provided for in paragraph (1) taking into account all arguments in the proceedings and the results of examining evidence.
(3) A data subject who has claimed compensation pursuant to Article 39 may change such claim to the claim provided for in paragraph (1) until the closure of fact-finding proceedings.
[This Article Added by Act No. 13423, Jul. 24, 2015]
제6장 정보통신서비스 제공자 등의 개인정보 처리 등 특례
CHAPTER VI SPECIAL CASES CONCERNING PROCESSING OF PERSONAL INFORMATION BY PROVIDERS OF INFORMATION AND COMMUNICATIONS SERVICES OR SIMILAR
제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)
정보통신서비스 제공자는 제15조제1항에도 불구하고 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하는 개인정보의 항목
3. 개인정보의 보유ㆍ이용 기간
정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집ㆍ이용할 수 있다.
1. 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다)의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
3. 다른 법률에 특별한 규정이 있는 경우
정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부해서는 아니 된다. 이 경우 필요한 최소한의 개인정보는 해당 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 정보를 말한다.
정보통신서비스 제공자는 만 14세 미만의 아동으로부터 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 하고, 대통령령으로 정하는 바에 따라 법정대리인이 동의하였는지를 확인하여야 한다.
정보통신서비스 제공자는 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 하는 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용하여야 한다.
보호위원회는 개인정보 처리에 따른 위험성 및 결과, 이용자의 권리 등을 명확하게 인지하지 못할 수 있는 만 14세 미만의 아동의 개인정보 보호 시책을 마련하여야 한다.
[본조신설 2020. 2. 4.]
Article 39-3 (Special Cases on Consent to the Collection and Use of Personal Information)
(1) Notwithstanding Article 15 (1), an information and communications service provider who intends to collect and use personal information of users shall notify users of the following matters and obtain consent therefor. The same shall apply when changes are made for the following matters:
1. The purpose of the collection and use of personal information;
2. Particulars of personal information to be collected;
3. The period for retaining and using personal information.
(2) An information and communications service provider may collect and use personal information of users without their consent under paragraph (1) in any of the following cases:
1. Where the information is necessary in implementing a contract for provision of information and communications services (referring to the information and communications services defined in Article 2 (1) 2 of the Act on Promotion of Information and Communications Network Utilization and Information Protection; hereinafter the same shall apply), but it is clearly difficult to obtain ordinary consent for economic and technical reasons;
2. Where the information is necessary to calculate fees for the provision of information and communications services;
3. Where special provisions exist in other laws.
(3) No information and communications service provider shall reject the provision of services for the reason that a user does not provide his/her personal information beyond the minimum personal information required. The minimum personal information refers to information that is necessary for the performance of the fundamental functions of the services.
(4) An information and communications provider who intends to obtain consent from children aged under 14 for the collection, use and provision of personal information shall obtain such consent from his/her legal representative and confirm whether the legal representative has granted consent as prescribed by the Presidential Decree.
(5) An information and communications provider shall, when notifying children aged under 14 of matters relating to the processing of personal information, use understandable forms and plain and readily comprehensible language.
(6) The Protection Commission shall take measures to protect the personal information of children aged under 14 who may not clearly understand matters such as the risks and results of personal information processing and users’ rights.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제39조의4(개인정보 유출등의 통지ㆍ신고에 대한 특례)
제34조제1항 및 제3항에도 불구하고 정보통신서비스 제공자와 그로부터 제17조제1항에 따라 이용자의 개인정보를 제공받은 자(이하 "정보통신서비스 제공자등"이라 한다)는 개인정보의 분실ㆍ도난ㆍ유출(이하 "유출등"이라 한다) 사실을 안 때에는 지체 없이 다음 각 호의 사항을 해당 이용자에게 알리고 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하여야 하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지ㆍ신고해서는 아니 된다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다.
1. 유출등이 된 개인정보 항목
2. 유출등이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자등의 대응 조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
제1항의 신고를 받은 대통령령으로 정하는 전문기관은 지체 없이 그 사실을 보호위원회에 알려야 한다.
정보통신서비스 제공자등은 제1항에 따른 정당한 사유를 보호위원회에 소명하여야 한다.
제1항에 따른 통지 및 신고의 방법ㆍ절차 등에 필요한 사항은 대통령령으로 정한다.
[본조신설 2020. 2. 4.]
Article 39-4 (Special Cases on the Notification and Reporting on the Divulgence of Personal Information)
(1) Notwithstanding Article 34 (1) and (3), information and communications service provider and a person who receives personal information of users therefrom pursuant to Article 17 (1) (hereinafter referred to as “information and communications service provider, etc.”) shall notify the relevant users of the following matters without delay upon becoming aware that their personal information has been lost, stolen or divulged (hereinafter referred to as “divulgence, etc.”), report such case to a specialized institution prescribed by the Protection Commission or Presidential Decree, and shall notify the users or report that matter not later than 24 hours since he or she became aware of such fact, without a justifiable reason: Provided, That if there is a justifiable reason such as users’ contact number being unknown, other measures may be taken in lieu of notification as prescribed by Presidential Decree:
1. Particulars of the personal information divulged, etc.;
2. The time when the personal information has been divulged, etc.;
3. Any measure that users can take;
4. Countermeasures to be taken by of the information and communications service provider, etc.;
5. Department and contact points to which the user can apply for consultation.
(2) A specialized institution prescribed by Presidential Decree which receives a report pursuant to paragraph (1) shall notify the Protection Commission of the case without delay.
(3) An information and communications service provider, etc. shall explain any justifiable reason pursuant to paragraph (1) to the Protection Commission.
(4) Necessary matters in relation to the methods and procedures of notification and reporting under paragraph (1) shall be prescribed by the Presidential Decree.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제39조의5(개인정보의 보호조치에 대한 특례)
정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 자를 최소한으로 제한하여야 한다.
[본조신설 2020. 2. 4.]
Article 39-5 (Special Cases on Safeguards for Personal Information)
Information and communications service provider, etc. shall limit the number of persons who process users’ personal information to the minimum extent.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제39조의6(개인정보의 파기에 대한 특례)
정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.
정보통신서비스 제공자등은 제1항의 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항을 전자우편 등 대통령령으로 정하는 방법으로 이용자에게 알려야 한다.
[본조신설 2020. 2. 4.]
Article 39-6 (Special Cases on the Destruction of Personal Information)
(1) Information and communications service provider, etc. shall take necessary measures as prescribed by Presidential Decree such as destruction to protect the personal information of users who have not used information and communications services for one year; provided,, if the period is designated otherwise by other statutes or at the request of the user, the designated period shall apply.
(2) Information and communications service provider, etc. shall notify users of matters prescribed by Presidential Decree such as the fact that their personal information will be destroyed, the expiration date, and the particulars of personal information to be destroyed by a method prescribed by Presidential Decree such as e-mail, at least 30 days prior to the expiration of the above designated period.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제39조의7(이용자의 권리 등에 대한 특례)
이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 철회할 수 있다.
정보통신서비스 제공자등은 제1항에 따른 동의의 철회, 제35조에 따른 개인정보의 열람, 제36조에 따른 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다.
정보통신서비스 제공자등은 제1항에 따라 동의를 철회하면 지체 없이 수집된 개인정보를 복구ㆍ재생할 수 없도록 파기하는 등 필요한 조치를 하여야 한다.
[본조신설 2020. 2. 4.]
Article 39-7 (Special Cases on Users’ Rights)
(1) Users may withdraw consent to the collection, use and provision of personal information at any time from information and communications service provider, etc.
(2) Information and communications service providers, etc. must make it easier for users to request to withdraw their consent under paragraph (1), to access their information under Article 35, and to rectify under Article 36 than to give consent to the collection of their personal information.
(3) Once a user withdraws his or her consent pursuant to paragraph (1), the information and communications service provider, etc. shall take necessary measures without delay such as destroying the information to such an extent that it is not recoverable or revivable.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제39조의8(개인정보 이용내역의 통지)
정보통신서비스 제공자 등으로서 대통령령으로 정하는 기준에 해당하는 자는 제23조, 제39조의3에 따라 수집한 이용자의 개인정보의 이용내역(제17조에 따른 제공을 포함한다)을 주기적으로 이용자에게 통지하여야 한다. 다만, 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 아니한 경우에는 그러하지 아니한다.
제1항에 따라 이용자에게 통지하여야 하는 정보의 종류, 통지주기 및 방법, 그 밖에 이용내역 통지에 필요한 사항은 대통령령으로 정한다.
[본조신설 2020. 2. 4.]
Article 39-8 (Notification of the Use History of Personal Information)
(1) Information and communications service provider, etc. meeting standards prescribed by President Decree shall notify users of the use history of their personal information collected pursuant to Articles 23 and 39-3 (including provision pursuant to Article 17) on a regular basis: Provided, That this shall not apply where the collected information does not include a contact number, etc. that enables notification to users,
(2) The type of information to be notified to users under paragraph (1), the types of information to be notified, the frequency and method of notification, and other matters necessary for the notification of the details shall be determined by Presidential Decree.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제39조의9(손해배상의 보장)
정보통신서비스 제공자등은 제39조 및 제39조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.
제1항에 따른 가입 대상 개인정보처리자의 범위, 기준 등에 필요한 사항은 대통령령으로 정한다.
[본조신설 2020. 2. 4.]
Article 39-9 (Indemnity for Losses)
(1) Information and communications service providers, etc. shall take necessary measures such as purchasing insurance or deduction plans or accumulating reserves to fulfil its liabilities for compensation pursuant to Articles 39 and 39-2.
(2) Necessary matters including the scope of personal information controllers subject to the obligation pursuant to paragraph (1) and relevant standards shall be prescribed by Presidential Decree.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제39조의10(노출된 개인정보의 삭제ㆍ차단)
정보통신서비스 제공자등은 주민등록번호, 계좌정보, 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 아니하도록 하여야 한다.
제1항에도 불구하고 공중에 노출된 개인정보에 대하여 보호위원회 또는 대통령령으로 지정한 전문기관의 요청이 있는 경우 정보통신서비스 제공자등은 삭제ㆍ차단 등 필요한 조치를 취하여야 한다.
[본조신설 2020. 2. 4.]
Article 39-10 (Deletion and Blocking of Exposed Personal Information)
(1) Information and communications service provider, etc. shall ensure that users’ personal information including resident registration number, bank account information and credit card information is not exposed to the public through information and communications networks.
(2) Notwithstanding paragraph (1), at the request of the Protection Commission or specialized institutions designated by Presidential Decree in relation to personal information exposed to the public, information and communications service provider, etc. shall take necessary measures such as deleting and blocking.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제39조의11(국내대리인의 지정)
국내에 주소 또는 영업소가 없는 정보통신서비스 제공자등으로서 이용자 수, 매출액 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 다음 각 호의 사항을 대리하는 자(이하 "국내대리인"이라 한다)를 서면으로 지정하여야 한다.
1. 제31조에 따른 개인정보 보호책임자의 업무
2. 제39조의4에 따른 통지ㆍ신고
3. 제63조제1항에 따른 관계 물품ㆍ서류 등의 제출
국내대리인은 국내에 주소 또는 영업소가 있는 자로 한다.
제1항에 따라 국내대리인을 지정한 때에는 다음 각 호의 사항 모두를 제30조에 따른 개인정보 처리방침에 포함하여야 한다.
1. 국내대리인의 성명(법인의 경우에는 그 명칭 및 대표자의 성명을 말한다)
2. 국내대리인의 주소(법인의 경우에는 영업소 소재지를 말한다), 전화번호 및 전자우편 주소
국내대리인이 제1항 각 호와 관련하여 이 법을 위반한 경우에는 정보통신서비스 제공자등이 그 행위를 한 것으로 본다.
[본조신설 2020. 2. 4.]
Article 39-11 (Designation of Domestic Agents)
(1) Information and communications service provider, etc. with no address or business office in Korea meeting the criteria prescribed by Presidential Decree in consideration of the number of users and revenues shall designate an agent to act on his or her behalf with respect to the following (hereinafter referred to as "domestic agent") in writing:
1. Duties of a privacy officer under Article 31;
2. Notification and reporting under Article 39-4;
3. Submission of related articles, documents, etc. under Article 63 (1).
(2) A domestic agent shall have an address or business office in Korea.
(3) When a domestic agent is designated pursuant to paragraph (1), the following matters shall all be included in the Privacy Policy pursuant to Article 30:
1. Name of the domestic agent (for a corporation, the title and name of the representative);
2. Address of the domestic agent (for a corporation, location of a business office), telephone number, e-mail address.
(4) If the domestic agent violates this Act in relation to each item of paragraph (1), the information and communications service provider, etc. shall be deemed to have committed such a violation.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제39조의12(국외 이전 개인정보의 보호)
정보통신서비스 제공자등은 이용자의 개인정보에 관하여 이 법을 위반하는 사항을 내용으로 하는 국제계약을 체결해서는 아니 된다.
제17조제3항에도 불구하고 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 조에서 "이전"이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 제3항 각 호의 사항 모두를 제30조제2항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁ㆍ보관에 따른 동의절차를 거치지 아니할 수 있다.
정보통신서비스 제공자등은 제2항 본문에 따른 동의를 받으려면 미리 다음 각 호의 사항 모두를 이용자에게 고지하여야 한다.
1. 이전되는 개인정보 항목
2. 개인정보가 이전되는 국가, 이전일시 및 이전방법
3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다)
4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간
정보통신서비스 제공자등은 제2항 본문에 따른 동의를 받아 개인정보를 국외로 이전하는 경우 대통령령으로 정하는 바에 따라 보호조치를 하여야 한다.
이용자의 개인정보를 이전받는 자가 해당 개인정보를 제3국으로 이전하는 경우에 관하여는 제1항부터 제4항까지의 규정을 준용한다. 이 경우 "정보통신서비스 제공자등"은 "개인정보를 이전받는 자"로, "개인정보를 이전받는 자"는 "제3국에서 개인정보를 이전받는 자"로 본다.
[본조신설 2020. 2. 4.]
Article 39-12 (Protection of Information Transferred Overseas)
(1) The information and communications service provider, etc. shall not execute an international contract in violation of this Act in relation to users’ personal information.
(2) Notwithstanding Article 17 (3), information and communications service provider, etc. shall obtain users’ consent if intending to provide (including accessing), outsource the processing of, or store (hereinafter referred to as “transfer” in this Article) users’ personal information overseas: Provided, That if all items of paragraph (3) below are made public pursuant to Article 30 (2) or notified to users by a method prescribed by the Presidential Decree such as e-mail, the information and communications service provider, etc. may opt not to obtain users’ consent to outsourcing the processing of, or storing, personal information.
(3) The information and communications service provider, etc. shall notify users of the following matters in advance if intending to obtain consent under paragraph (2):
1. Particulars of the personal information to be transferred;
2. The country to which the personal information is transferred, transfer date and method;
3. Name of the entity to which the personal information is transferred (referring to the name of a corporation and the contact information of the person responsible for the management of information, if the person is a corporation);
4. The purpose of using personal information by the entity to which the information is transferred and the period of retaining and using personal information.
(4) The information and communications service provider, etc. shall implement safeguards as prescribed by Presidential Decree if intending to transfer personal information overseas with consent obtained pursuant to paragraph (2).
(5) where a person who receives personal information of the users transfers it to a third country, he or she shall comply with paragraphs (1) through (4). In such cases, "information and communications service providers, etc." shall be regarded as "personal information recipient," and "personal information recipient" shall be regarded as "a person who receives personal information from a third country.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제39조의13(상호주의)
Article 39-13 (Reciprocity)
Notwithstanding Article 39-12, information and communications service providers, etc. in a country that restricts cross-border transfer may face an equivalent level of restrictions in another country: Provided, That this shall not apply where cross-border transfer is necessary to implement a pact or other international arrangements.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제39조의12
에도 불구하고 개인정보의 국외 이전을 제한하는 국가의 정보통신서비스 제공자등에 대하여는 해당 국가의 수준에 상응하는 제한을 할 수 있다. 다만, 조약 또는 그 밖의 국제협정의 이행에 필요한 경우에는 그러하지 아니하다.
[본조신설 2020. 2. 4.]
제39조의14(방송사업자등에 대한 특례)
「방송법」 제2조제3호가목부터 마목까지와 같은 조 제6호ㆍ제9호ㆍ제12호 및 제14호에 해당하는 자(이하 이 조에서 "방송사업자등"이라 한다)가 시청자의 개인정보를 처리하는 경우에는 정보통신서비스 제공자에게 적용되는 규정을 준용한다. 이 경우 "방송사업자등"은 "정보통신서비스 제공자" 또는 "정보통신서비스 제공자등"으로, "시청자"는 "이용자"로 본다.
[본조신설 2020. 2. 4.]
Article 39-14 (Special Cases for Broadcasting Service Providers)
If entities falling under subparagraphs 3 (a) through (e), 6, 9, 12 and 14 of Article 2 of the Broadcasting Act (hereinafter referred to as “broadcasting service provider, etc.”) process the personal information of viewers, the broadcasting service provider, etc. shall observe regulations applicable to an information and communications service provider, etc. In such cases, “broadcasting service provider, etc.” shall be deemed to be “information and communications service provider, etc.” and “viewers” to be “users.”
[This Article Added by Act No. 16930, Feb. 4, 2020]
제39조의15(과징금의 부과 등에 대한 특례)
보호위원회는 정보통신서비스 제공자등에게 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.
1. 제17조제1항ㆍ제2항, 제18조제1항ㆍ제2항 및 제19조(제39조의14에 따라 준용되는 경우를 포함한다)를 위반하여 개인정보를 이용ㆍ제공한 경우
2. 제22조제6항(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 법정대리인의 동의를 받지 아니하고 만 14세 미만인 아동의 개인정보를 수집한 경우
3. 제23조제1항제1호(제39조의14에 따라 준용되는 경우를 포함한다)를 위반하여 이용자의 동의를 받지 아니하고 민감정보를 수집한 경우
4. 제26조제4항(제39조의14에 따라 준용되는 경우를 포함한다)에 따른 관리ㆍ감독 또는 교육을 소홀히 하여 특례 수탁자가 이 법의 규정을 위반한 경우
5. 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 경우로서 제29조의 조치(내부 관리계획 수립에 관한 사항은 제외한다)를 하지 아니한 경우(제39조의14에 따라 준용되는 경우를 포함한다)
6. 제39조의3제1항(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 이용자의 동의를 받지 아니하고 개인정보를 수집한 경우
7. 제39조의12제2항 본문(같은 조 제5항에 따라 준용되는 경우를 포함한다)을 위반하여 이용자의 동의를 받지 아니하고 이용자의 개인정보를 국외에 제공한 경우
제1항에 따른 과징금을 부과하는 경우 정보통신서비스 제공자등이 매출액 산정자료의 제출을 거부하거나 거짓의 자료를 제출한 경우에는 해당 정보통신서비스 제공자등과 비슷한 규모의 정보통신서비스 제공자등의 재무제표 등 회계자료와 가입자 수 및 이용요금 등 영업현황 자료에 근거하여 매출액을 추정할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 4억원 이하의 과징금을 부과할 수 있다.
보호위원회는 제1항에 따른 과징금을 부과하려면 다음 각 호의 사항을 고려하여야 한다.
1. 위반행위의 내용 및 정도
2. 위반행위의 기간 및 횟수
3. 위반행위로 인하여 취득한 이익의 규모
제1항에 따른 과징금은 제3항을 고려하여 산정하되, 구체적인 산정기준과 산정절차는 대통령령으로 정한다.
보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 이를 내지 아니하면 납부기한의 다음 날부터 내지 아니한 과징금의 연 100분의 6에 해당하는 가산금을 징수한다.
보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 이를 내지 아니한 경우에는 기간을 정하여 독촉을 하고, 그 지정된 기간에 과징금과 제5항에 따른 가산금을 내지 아니하면 국세 체납처분의 예에 따라 징수한다.
법원의 판결 등의 사유로 제1항에 따라 부과된 과징금을 환급하는 경우에는 과징금을 낸 날부터 환급하는 날까지의 기간에 대하여 금융회사 등의 예금이자율 등을 고려하여 대통령령으로 정하는 이자율에 따라 계산한 환급가산금을 지급하여야 한다.
제7항에도 불구하고 법원의 판결에 의하여 과징금 부과처분이 취소되어 그 판결이유에 따라 새로운 과징금을 부과하는 경우에는 당초 납부한 과징금에서 새로 부과하기로 결정한 과징금을 공제한 나머지 금액에 대해서만 환급가산금을 계산하여 지급한다.
[본조신설 2020. 2. 4.]
Article 39-15 (Special Cases for the Imposition of Administrative Surcharges)
(1) Upon information and communications service provider, etc. conducting any of the following acts, the Protection Commission may impose administrative surcharges not exceeding 3/100 of the total revenues relating to the concerned violation:
1. Using or providing personal information in violation of Articles 17 (1), 17 (2), 18 (1), 18 (2), and 19 (including applicable cases pursuant to Article 39-14);
2. Collecting personal information of a child aged under 14 without his/her legal representative’s consent in violation of Article 22 (6) (including applicable cases pursuant to Article 39-14);
3. Collecting sensitive information without the user’s consent in violation of Article 23 (1) 1 (including applicable cases pursuant to Article 39-14);
4. Where it neglects its control, supervision, or education under Article 26 (4) (including where the aforesaid provisions apply mutatis mutandis pursuant to Article 39-14), thereby causing an outsourcee subject to special cases to violate this Act;
5. Losing, stealing, divulging, forging, altering, or damaging users’ personal information and failing to take measures (excluding matters on the establishment of internal management plan) set forth in Article 29 (including applicable cases pursuant to Article 39-14);
6. Collecting users’ personal information without their consent in violation of Article 39-3 (1) (including applicable cases pursuant to Article 39-14);
7. Providing users’ personal information overseas without their consent in violation of the main clause of Article 39-12 (2) (including applicable cases pursuant to paragraph (5) of the same Article).
(2) When administrative surcharges are imposed in accordance to paragraph (1), but the information and communications service provider, etc. either refuses to submit basic materials for revenue calculation or submits false documents, their revenues may be estimated based on the accounting documents, such as financial statements, and operational status, such as the number of subscribers and usage fees, of similar-sized information and communications service providers, etc.: Provided, That up to 400 won million may be imposed as administrative surcharges on an information and communications service provider, etc. having no revenues or revenues difficult to calculate as prescribed by Presidential Decree.
(3) The Protection Commission shall consider the following matters to impose administrative surcharges under paragraph (1):
1. Details and degree of the violation;
2. Period and number of the violation;
3. Size of profits gained from the violation.
(4) Administrative surcharges under paragraph (1) shall be calculated in consideration of paragraph (3), but the detailed calculation standards and procedures shall be prescribed by Presidential Decree.
(5) The Protection Commission shall collect a late-payment penalty in the amount not exceeding 6/100 per annum of the unpaid administrative surcharges for the period beginning on the following day of the expiration of the payment deadline.
(6) Where a person liable to pay the administrative surcharges under paragraph (1) fails to pay it by the payment deadline, the Protection Commission shall give notice with the period of payment specified in it; and where the administrative surcharges and late-payment penalty under paragraph (5) are not paid within the specified period, the Protection Commission shall collect such administrative surcharges and late-payment penalty in the same manner as delinquent national taxes are collected.
(7) When the administrative surcharges imposed according to paragraph (1) are refunded for such reasons as a court’s decision, the Protection Commission shall make additional payments in the amount calculated based on the interest rate prescribed by Presidential Decree considering the deposit interest rates of financial companies, etc., for the period beginning on the following day of the payment of administrative surcharges and ending on the day of the refund.
(8) Notwithstanding paragraph (7), when a disposition of imposing administrative surcharges is revoked due to a court’s decision and new administrative surcharges are imposed based on the reasoning of the decision, additional payments shall be calculated and paid with respect to the amount that remains after the newly imposed administrative surcharges are deducted from the already paid administrative surcharges.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제7장 개인정보 분쟁조정위원회
CHAPTER VII PERSONAL INFORMATION DISPUTE MEDIATION COMMITTEE
제40조(설치 및 구성)
개인정보에 관한 분쟁의 조정(調停)을 위하여 개인정보 분쟁조정위원회(이하 "분쟁조정위원회"라 한다)를 둔다.
분쟁조정위원회는 위원장 1명을 포함한 20명 이내의 위원으로 구성하며, 위원은 당연직위원과 위촉위원으로 구성한다. <개정 2015. 7. 24.>
위촉위원은 다음 각 호의 어느 하나에 해당하는 사람 중에서 보호위원회 위원장이 위촉하고, 대통령령으로 정하는 국가기관 소속 공무원은 당연직위원이 된다. <개정 2013. 3. 23., 2014. 11. 19., 2015. 7. 24.>
1. 개인정보 보호업무를 관장하는 중앙행정기관의 고위공무원단에 속하는 공무원으로 재직하였던 사람 또는 이에 상당하는 공공부문 및 관련 단체의 직에 재직하고 있거나 재직하였던 사람으로서 개인정보 보호업무의 경험이 있는 사람
2. 대학이나 공인된 연구기관에서 부교수 이상 또는 이에 상당하는 직에 재직하고 있거나 재직하였던 사람
3. 판사ㆍ검사 또는 변호사로 재직하고 있거나 재직하였던 사람
4. 개인정보 보호와 관련된 시민사회단체 또는 소비자단체로부터 추천을 받은 사람
5. 개인정보처리자로 구성된 사업자단체의 임원으로 재직하고 있거나 재직하였던 사람
위원장은 위원 중에서 공무원이 아닌 사람으로 보호위원회 위원장이 위촉한다. <개정 2013. 3. 23., 2014. 11. 19., 2015. 7. 24.>
위원장과 위촉위원의 임기는 2년으로 하되, 1차에 한하여 연임할 수 있다. <개정 2015. 7. 24.>
분쟁조정위원회는 분쟁조정 업무를 효율적으로 수행하기 위하여 필요하면 대통령령으로 정하는 바에 따라 조정사건의 분야별로 5명 이내의 위원으로 구성되는 조정부를 둘 수 있다. 이 경우 조정부가 분쟁조정위원회에서 위임받아 의결한 사항은 분쟁조정위원회에서 의결한 것으로 본다.
분쟁조정위원회 또는 조정부는 재적위원 과반수의 출석으로 개의하며 출석위원 과반수의 찬성으로 의결한다.
보호위원회는 분쟁조정 접수, 사실 확인 등 분쟁조정에 필요한 사무를 처리할 수 있다. <개정 2015. 7. 24.>
이 법에서 정한 사항 외에 분쟁조정위원회 운영에 필요한 사항은 대통령령으로 정한다.
Article 40 (Establishment and Composition)
(1) There shall be established a Personal Information Dispute Mediation Committee (hereinafter referred to as the “Dispute Mediation Committee”) to mediate disputes over personal information.
(2) The Dispute Mediation Committee shall be comprised of not more than 20 members, including one chairperson, and the members shall be ex officio members and commissioned members. <Amended by Act No. 13423, Jul. 24, 2015>
(3) The commissioned members shall be commissioned by the Chairperson of the Protection Commission from among the following persons, and public officials of the national agencies prescribed by Presidential Decree shall be ex officio members: <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 13423, Jul. 24, 2015>
1. Persons who previously served as members of the Senior Executive Service of the central administrative agencies in charge of personal information protection, or persons who presently work or have worked at equivalent positions in the public sector and related organizations, and have job experience in personal information protection;
2. Persons who presently serve or have served as associate professors or higher positions in universities or in publicly recognized research institutes;
3. Persons who presently serve or have served as judges, public prosecutors, or attorneys-at-law;
4. Persons recommended by data protection-related civic organizations or consumer groups;
5. Persons who presently work or have worked as senior officers for the trade associations comprised of personal information controllers.
(4) The chairperson shall be commissioned by the Chairperson of the Protection Commission from among Committee members who are not public officials. <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 13423, Jul. 24, 2015>
(5) The term of office for the chairperson and commissioned members shall be two years, and their term may be renewable for one further term. <Amended by Act No. 13423, Jul. 24, 2015>
(6) In order to conduct dispute settlement efficiently, the Dispute Mediation Committee may, if necessary, establish a mediation panel that is comprised of not more than five Committee members in each sector of mediation cases, as prescribed by Presidential Decree. In this case, the resolution of the mediation panel delegated by the Dispute Mediation Committee shall be construed as that of the Dispute Mediation Committee.
(7) The quorum for holding a Dispute Mediation Committee or a mediation panel shall be the presence of a majority of its members, and any resolution shall require the affirmative votes of a majority of the members present.
(8) The Protection Commission may deal with the administrative affairs necessary for dispute mediation, such as receiving dispute mediation cases and fact-finding. <Amended by Act No. 13423, Jul. 24, 2015>
(9) Except as otherwise expressly provided for in this Act, matters necessary to operate the Dispute Mediation Committee shall be prescribed by Presidential Decree.
제41조(위원의 신분보장)
위원은 자격정지 이상의 형을 선고받거나 심신상의 장애로 직무를 수행할 수 없는 경우를 제외하고는 그의 의사에 반하여 면직되거나 해촉되지 아니한다.
Article 41 (Guarantee of Members’ Status)
None of the Committee members shall be dismissed or de-commissioned against his or her will except when he or she is sentenced to the suspension of qualification or a heavier punishment, or unable to perform his or her duties due to mental or physical incompetence.
제42조(위원의 제척ㆍ기피ㆍ회피)
분쟁조정위원회의 위원은 다음 각 호의 어느 하나에 해당하는 경우에는 제43조제1항에 따라 분쟁조정위원회에 신청된 분쟁조정사건(이하 이 조에서 "사건"이라 한다)의 심의ㆍ의결에서 제척(除斥)된다.
1. 위원 또는 그 배우자나 배우자였던 자가 그 사건의 당사자가 되거나 그 사건에 관하여 공동의 권리자 또는 의무자의 관계에 있는 경우
2. 위원이 그 사건의 당사자와 친족이거나 친족이었던 경우
3. 위원이 그 사건에 관하여 증언, 감정, 법률자문을 한 경우
4. 위원이 그 사건에 관하여 당사자의 대리인으로서 관여하거나 관여하였던 경우
당사자는 위원에게 공정한 심의ㆍ의결을 기대하기 어려운 사정이 있으면 위원장에게 기피신청을 할 수 있다. 이 경우 위원장은 기피신청에 대하여 분쟁조정위원회의 의결을 거치지 아니하고 결정한다.
위원이 제1항 또는 제2항의 사유에 해당하는 경우에는 스스로 그 사건의 심의ㆍ의결에서 회피할 수 있다.
Article 42 (Exclusion, Recusal, and Refrainment of Members)
(1) A member of the Dispute Mediation Committee shall be excluded from participating in the deliberation and resolution of a case requested for dispute mediation pursuant to Article 43 (1) (hereafter in this Article referred to as “case”) if:
1. The member or his/her current or former spouse is a party to the case or is a joint right holder or a joint obligator with respect to the case;
2. The member is or was a relative of a party to the case;
3. The member has given any testimony, expert opinion, or legal advice with respect to the case;
4. The member is or was involved in the case as an agent or representative of a party to the case.
(2) Where any party finds it impracticable to expect a fair deliberation and resolution from a Committee member, such party may file an application for recusal with the chairperson. In such cases, the chairperson shall determine with respect to such application for recusal without any resolution of the Dispute Mediation Committee.
(3) Where any committee member falls under the case of paragraph (1) or (2), he/she may refrain from the deliberation and resolution of the case.
제43조(조정의 신청 등)
개인정보와 관련한 분쟁의 조정을 원하는 자는 분쟁조정위원회에 분쟁조정을 신청할 수 있다.
분쟁조정위원회는 당사자 일방으로부터 분쟁조정 신청을 받았을 때에는 그 신청내용을 상대방에게 알려야 한다.
공공기관이 제2항에 따른 분쟁조정의 통지를 받은 경우에는 특별한 사유가 없으면 분쟁조정에 응하여야 한다.
Article 43 (Application for Mediation)
(1) Any person who wishes a dispute over personal information mediated may apply for mediation of the dispute to the Dispute Mediation Committee.
(2) Upon receipt of an application for dispute mediation from a party to the case, the Dispute Mediation Committee shall notify the counterparty of the application for mediation.
(3) Where a public institution is notified of dispute mediation under paragraph (2), the public institution shall respond to it unless there are extraordinary circumstances.
제44조(처리기간)
분쟁조정위원회는 제43조제1항에 따른 분쟁조정 신청을 받은 날부터 60일 이내에 이를 심사하여 조정안을 작성하여야 한다. 다만, 부득이한 사정이 있는 경우에는 분쟁조정위원회의 의결로 처리기간을 연장할 수 있다.
분쟁조정위원회는 제1항 단서에 따라 처리기간을 연장한 경우에는 기간연장의 사유와 그 밖의 기간연장에 관한 사항을 신청인에게 알려야 한다.
Article 44 (Time Limitation of Mediation Proceedings)
(1) The Dispute Mediation Committee shall examine the case and prepare a draft mediation decision within 60 days from the date of receiving an application pursuant to Article 43 (1): Provided, That the Dispute Mediation Committee may pass a resolution to extend such period by reason of inevitable circumstances.
(2) Where the period is extended pursuant to the proviso to paragraph (1), the Dispute Mediation Committee shall inform the applicant of the reasons for extending the period and other matters concerning the extension of such period.
제45조(자료의 요청 등)
분쟁조정위원회는 제43조제1항에 따라 분쟁조정 신청을 받았을 때에는 해당 분쟁의 조정을 위하여 필요한 자료를 분쟁당사자에게 요청할 수 있다. 이 경우 분쟁당사자는 정당한 사유가 없으면 요청에 따라야 한다.
분쟁조정위원회는 필요하다고 인정하면 분쟁당사자나 참고인을 위원회에 출석하도록 하여 그 의견을 들을 수 있다.
Article 45 (Request for Materials)
(1) Upon receipt of an application for dispute mediation pursuant to Article 43 (1), the Dispute Mediation Committee may request disputing parties to provide materials necessary to mediate the dispute. In such cases, such parties shall comply with the request unless any justifiable ground exists.
(2) The Dispute Mediation Committee may require disputing parties or relevant witnesses to appear before the Committee to hear their opinions, if deemed necessary.
제46조(조정 전 합의 권고)
분쟁조정위원회는 제43조제1항에 따라 분쟁조정 신청을 받았을 때에는 당사자에게 그 내용을 제시하고 조정 전 합의를 권고할 수 있다.
Article 46 (Settlement Advice before Mediation)
Upon receipt of an application for dispute mediation pursuant to Article 43 (1), the Dispute Mediation Committee may present a draft settlement to the disputing parties and recommend a settlement before mediation.
제47조(분쟁의 조정)
분쟁조정위원회는 다음 각 호의 어느 하나의 사항을 포함하여 조정안을 작성할 수 있다.
1. 조사 대상 침해행위의 중지
2. 원상회복, 손해배상, 그 밖에 필요한 구제조치
3. 같거나 비슷한 침해의 재발을 방지하기 위하여 필요한 조치
분쟁조정위원회는 제1항에 따라 조정안을 작성하면 지체 없이 각 당사자에게 제시하여야 한다.
제1항에 따라 조정안을 제시받은 당사자가 제시받은 날부터 15일 이내에 수락 여부를 알리지 아니하면 조정을 거부한 것으로 본다.
당사자가 조정내용을 수락한 경우 분쟁조정위원회는 조정서를 작성하고, 분쟁조정위원회의 위원장과 각 당사자가 기명날인하여야 한다.
제4항에 따른 조정의 내용은 재판상 화해와 동일한 효력을 갖는다.
Article 47 (Dispute Mediation)
(1) The Dispute Mediation Committee may prepare a draft mediation decision including the following matters:
1. Suspension of the violation to be investigated;
2. Restitution, compensation and other necessary remedies;
3. Any measure necessary to prevent recurrence of the identical or similar violations.
(2) Upon preparing a draft mediation pursuant to paragraph (1), the Dispute Mediation Committee shall present the draft mediation to each party without delay.
(3) Each party presented with the draft mediation decision prepared under paragraph (1) shall notify the Dispute Mediation Committee of his/her acceptance or denial of the draft mediation decision within 15 days from the date of receipt of such draft mediation decision, without which such mediation shall be deemed rejected.
(4) If the parties accept the draft mediation decision, the Dispute Mediation Committee shall prepare a written mediation decision, and the chairperson of the Dispute Mediation Committee and the parties shall have their names and seals affixed thereon.
(5) The mediation agreed upon pursuant to paragraph (4) shall have the same effect as a settlement before the court.
제48조(조정의 거부 및 중지)
분쟁조정위원회는 분쟁의 성질상 분쟁조정위원회에서 조정하는 것이 적합하지 아니하다고 인정하거나 부정한 목적으로 조정이 신청되었다고 인정하는 경우에는 그 조정을 거부할 수 있다. 이 경우 조정거부의 사유 등을 신청인에게 알려야 한다.
분쟁조정위원회는 신청된 조정사건에 대한 처리절차를 진행하던 중에 한 쪽 당사자가 소를 제기하면 그 조정의 처리를 중지하고 이를 당사자에게 알려야 한다.
Article 48 (Rejection and Suspension of Mediation)
(1) Where the Dispute Mediation Committee deems that it is inappropriate to mediate any dispute in view of its nature, or that an application for mediation of any dispute is filed for an unfair purpose, it may reject the mediation. In this case, the reasons for rejecting the mediation shall be notified to the applicant.
(2) If one of the parties files a lawsuit while mediation proceedings are pending, the Dispute Mediation Committee shall suspend the dispute mediation and notify the parties thereof.
제49조(집단분쟁조정)
국가 및 지방자치단체, 개인정보 보호단체 및 기관, 정보주체, 개인정보처리자는 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우로서 대통령령으로 정하는 사건에 대하여는 분쟁조정위원회에 일괄적인 분쟁조정(이하 "집단분쟁조정"이라 한다)을 의뢰 또는 신청할 수 있다.
제1항에 따라 집단분쟁조정을 의뢰받거나 신청받은 분쟁조정위원회는 그 의결로써 제3항부터 제7항까지의 규정에 따른 집단분쟁조정의 절차를 개시할 수 있다. 이 경우 분쟁조정위원회는 대통령령으로 정하는 기간 동안 그 절차의 개시를 공고하여야 한다.
분쟁조정위원회는 집단분쟁조정의 당사자가 아닌 정보주체 또는 개인정보처리자로부터 그 분쟁조정의 당사자에 추가로 포함될 수 있도록 하는 신청을 받을 수 있다.
분쟁조정위원회는 그 의결로써 제1항 및 제3항에 따른 집단분쟁조정의 당사자 중에서 공동의 이익을 대표하기에 가장 적합한 1인 또는 수인을 대표당사자로 선임할 수 있다.
분쟁조정위원회는 개인정보처리자가 분쟁조정위원회의 집단분쟁조정의 내용을 수락한 경우에는 집단분쟁조정의 당사자가 아닌 자로서 피해를 입은 정보주체에 대한 보상계획서를 작성하여 분쟁조정위원회에 제출하도록 권고할 수 있다.
제48조제2항에도 불구하고 분쟁조정위원회는 집단분쟁조정의 당사자인 다수의 정보주체 중 일부의 정보주체가 법원에 소를 제기한 경우에는 그 절차를 중지하지 아니하고, 소를 제기한 일부의 정보주체를 그 절차에서 제외한다.
집단분쟁조정의 기간은 제2항에 따른 공고가 종료된 날의 다음 날부터 60일 이내로 한다. 다만, 부득이한 사정이 있는 경우에는 분쟁조정위원회의 의결로 처리기간을 연장할 수 있다.
집단분쟁조정의 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
Article 49 (Collective Dispute Mediation)
(1) The State, a local government, a data protection organization or institution, a data subject, and a personal information controller may request or apply for a collective dispute mediation (hereinafter referred to as “collective dispute mediation”) to the Dispute Mediation Committee where damages or infringement on rights occur to multiple data subjects in an identical or similar manner, and such incident is such as prescribed by Presidential Decree.
(2) Upon receipt of a request or an application for collective dispute mediation under paragraph (1), the Dispute Mediation Committee may commence, by its resolution, collective dispute mediation proceedings pursuant to paragraphs (3) through (7). In such cases, the Dispute Mediation Committee shall publicly announce the commencement of such proceedings for a period prescribed by Presidential Decree.
(3) The Dispute Mediation Committee may accept an application from any data subject or personal information controller other than the parties to the collective dispute mediation to participate in the collective dispute mediation additionally as a party.
(4) The Dispute Mediation Committee may, by its resolution, select one or a few persons as a representative party, who most appropriately represents the common interest among the parties to the collective dispute mediation pursuant to paragraphs (1) and (3).
(5) When the personal information controller accepts a collective dispute mediation award presented by the Dispute Mediation Committee, the Dispute Mediation Committee may advise the personal information controller to prepare and submit a compensation plan for the benefit of the non-party data subjects suffered from the same incident.
(6) Notwithstanding Article 48 (2), if a group of data subjects among a multitude of data subject parties to the collective dispute mediation files a lawsuit before the court, the Dispute Mediation Committee shall not suspend the proceedings but exclude the relevant data subjects, who have filed the lawsuit, from the proceedings.
(7) The period for collective dispute mediation shall not exceed 60 days from the following day when public announcement referred to in paragraph (2) ends: Provided, That the period can be extended by the resolution of the Dispute Mediation Committee in extenuating circumstances.
(8) Other necessary matters, such as the procedures for collective dispute mediation, shall be prescribed by Presidential Decree.
제50조(조정절차 등)
제43조부터 제49조까지의 규정에서 정한 것 외에 분쟁의 조정방법, 조정절차 및 조정업무의 처리 등에 필요한 사항은 대통령령으로 정한다.
분쟁조정위원회의 운영 및 분쟁조정 절차에 관하여 이 법에서 규정하지 아니한 사항에 대하여는 「민사조정법」을 준용한다.
Article 50 (Mediation Procedures)
(1) Except as otherwise expressly provided for in Articles 43 through 49, the method and procedures to mediate disputes and matters necessary to deal with such dispute mediation shall be prescribed by Presidential Decree.
(2) Except as otherwise expressly provided for in this Act, the Judicial Conciliation of Civil Disputes Act shall apply mutatis mutandis to the operation of the Dispute Mediation Committee and dispute mediation proceedings.
제8장 개인정보 단체소송
CHAPTER VIII CLASS-ACTION LAWSUIT OVER DATA INFRINGEMENT
제51조(단체소송의 대상 등)
다음 각 호의 어느 하나에 해당하는 단체는 개인정보처리자가 제49조에 따른 집단분쟁조정을 거부하거나 집단분쟁조정의 결과를 수락하지 아니한 경우에는 법원에 권리침해 행위의 금지ㆍ중지를 구하는 소송(이하 "단체소송"이라 한다)을 제기할 수 있다.
1. 「소비자기본법」 제29조에 따라 공정거래위원회에 등록한 소비자단체로서 다음 각 목의 요건을 모두 갖춘 단체
가. 정관에 따라 상시적으로 정보주체의 권익증진을 주된 목적으로 하는 단체일 것
나. 단체의 정회원수가 1천명 이상일 것
다. 「소비자기본법」 제29조에 따른 등록 후 3년이 경과하였을 것
2. 「비영리민간단체 지원법」 제2조에 따른 비영리민간단체로서 다음 각 목의 요건을 모두 갖춘 단체
가. 법률상 또는 사실상 동일한 침해를 입은 100명 이상의 정보주체로부터 단체소송의 제기를 요청받을 것
나. 정관에 개인정보 보호를 단체의 목적으로 명시한 후 최근 3년 이상 이를 위한 활동실적이 있을 것
다. 단체의 상시 구성원수가 5천명 이상일 것
라. 중앙행정기관에 등록되어 있을 것
Article 51 (Parties to Class Action Lawsuit)
Any of the following organizations may file a lawsuit (hereinafter referred to as “class action lawsuit”) with the court to prevent or suspend an infringement with respect to personal information if a personal information controller rejects or would not accept the collective dispute mediation under Article 49:
1. A consumer group registered with the Fair Trade Commission pursuant to Article 29 of the Framework Act on Consumers that meets all of the following criteria:
(a) Its by-laws shall constantly state the purpose to augment the rights and interests of data subjects;
(b) The number of full members shall exceed 1000;
(c) Three years shall have passed since the registration under Article 29 of the Framework Act on Consumers;
2. A non-profit, non-governmental organization referred to in Article 2 of the Assistance for Non-Profit, Non-Governmental Organizations Act that meets all of the following criteria:
(a) At least 100 data subjects, who experienced the same infringement as a matter of law or fact, shall submit a request to file a class action lawsuit;
(b) Its by-laws shall state the purpose of data protection and it has conducted such activities for the most recent 3 years;
(c) The number of regular members shall be at least 5000;
(d) It shall be registered with any central administrative agency.
제52조(전속관할)
단체소송의 소는 피고의 주된 사무소 또는 영업소가 있는 곳, 주된 사무소나 영업소가 없는 경우에는 주된 업무담당자의 주소가 있는 곳의 지방법원 본원 합의부의 관할에 전속한다.
제1항을 외국사업자에 적용하는 경우 대한민국에 있는 이들의 주된 사무소ㆍ영업소 또는 업무담당자의 주소에 따라 정한다.
Article 52 (Exclusive Jurisdictions)
(1) A class action lawsuit shall be subject to the exclusive jurisdiction of the competent district court (panel of judges) at the place of business or main office, or at the address of the business manager in the case of no business establishment, of the defendant.
(2) Where paragraph (1) applies to a foreign business entity, the same shall be determined by the place of business or main office, or the address of the business manager located in the Republic of Korea.
제53조(소송대리인의 선임)
단체소송의 원고는 변호사를 소송대리인으로 선임하여야 한다.
Article 53 (Retention of Litigation Attorney)
The plaintiff of a class-action lawsuit shall retain an attorney-at-law as a litigation attorney.
제54조(소송허가신청)
단체소송을 제기하는 단체는 소장과 함께 다음 각 호의 사항을 기재한 소송허가신청서를 법원에 제출하여야 한다.
1. 원고 및 그 소송대리인
2. 피고
3. 정보주체의 침해된 권리의 내용
제1항에 따른 소송허가신청서에는 다음 각 호의 자료를 첨부하여야 한다.
1. 소제기단체가 제51조 각 호의 어느 하나에 해당하는 요건을 갖추고 있음을 소명하는 자료
2. 개인정보처리자가 조정을 거부하였거나 조정결과를 수락하지 아니하였음을 증명하는 서류
Article 54 (Application for Permission of Lawsuit)
(1) An organization that intends to file a class action shall submit to the court an application for permission of lawsuit describing the following in addition to the complaint:
1. Plaintiff and his or her litigation attorney;
2. Defendant;
3. Detailed violation of the rights of data subjects.
(2) An application for certification of lawsuit filed under paragraph (1) shall be accompanied by the following materials:
1. Materials that prove that the organization which has filed a lawsuit meets all criteria provided for in Article 51;
2. Documentary evidence that proves that the personal information controller has rejected the dispute mediation or would not accept the mediation award.
제55조(소송허가요건 등)
법원은 다음 각 호의 요건을 모두 갖춘 경우에 한하여 결정으로 단체소송을 허가한다.
1. 개인정보처리자가 분쟁조정위원회의 조정을 거부하거나 조정결과를 수락하지 아니하였을 것
2. 제54조에 따른 소송허가신청서의 기재사항에 흠결이 없을 것
단체소송을 허가하거나 불허가하는 결정에 대하여는 즉시항고할 수 있다.
Article 55 (Requirements for Permission of Lawsuit)
(1) The court shall permit a class action only when all of the following requirements are satisfied:
1. That the personal information controller has rejected the dispute mediation or would not accept the mediation award;
2. That none of the descriptions in the application for permission of lawsuit filed under Article 54 is defective.
(2) The court decision that permits, or refuses to permit, a class action may be challenged through immediate appeal.
제56조(확정판결의 효력)
원고의 청구를 기각하는 판결이 확정된 경우 이와 동일한 사안에 관하여는 제51조에 따른 다른 단체는 단체소송을 제기할 수 없다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.
1. 판결이 확정된 후 그 사안과 관련하여 국가ㆍ지방자치단체 또는 국가ㆍ지방자치단체가 설립한 기관에 의하여 새로운 증거가 나타난 경우
2. 기각판결이 원고의 고의로 인한 것임이 밝혀진 경우
Article 56 (Effect of Conclusive Judgment)
When a judgment dismissing a plaintiff's complaint becomes conclusive, any other organizations provided for in Article 51 cannot file a class-action lawsuit regarding the identical case: Provided, That this shall not apply in any of the following circumstances:
1. Where, after the judgment became conclusive, new evidence has been found by the State, a local government, or a State or local government-invested institution regarding the said case;
2. Where the judgment dismissing the lawsuit proves to have been caused intentionally by the plaintiff.
제57조(「민사소송법」의 적용 등)
단체소송에 관하여 이 법에 특별한 규정이 없는 경우에는 「민사소송법」을 적용한다.
제55조에 따른 단체소송의 허가결정이 있는 경우에는 「민사집행법」 제4편에 따른 보전처분을 할 수 있다.
단체소송의 절차에 관하여 필요한 사항은 대법원규칙으로 정한다.
Article 57 (Application of Civil Procedure Act)
(1) Except as otherwise expressly provided for in this Act, the Civil Procedure Act shall apply to a class action.
(2) When a decision to permit a class action lawsuit is made under Article 55, a preservation order provided for in PART IV of the Civil Execution Act may be issued.
(3) Matters necessary for class action lawsuit proceedings shall be provided by the Supreme Court Regulations.
제9장 보칙
CHAPTER IX SUPPLEMENTARY PROVISIONS
제58조(적용의 일부 제외)
다음 각 호의 어느 하나에 해당하는 개인정보에 관하여는 제3장부터 제7장까지를 적용하지 아니한다.
1. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보
2. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보
3. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보
4. 언론, 종교단체, 정당이 각각 취재ㆍ보도, 선교, 선거 입후보자 추천 등 고유 목적을 달성하기 위하여 수집ㆍ이용하는 개인정보
제25조제1항 각 호에 따라 공개된 장소에 영상정보처리기기를 설치ㆍ운영하여 처리되는 개인정보에 대하여는 제15조, 제22조, 제27조제1항ㆍ제2항, 제34조 및 제37조를 적용하지 아니한다.
개인정보처리자가 동창회, 동호회 등 친목 도모를 위한 단체를 운영하기 위하여 개인정보를 처리하는 경우에는 제15조, 제30조 및 제31조를 적용하지 아니한다.
개인정보처리자는 제1항 각 호에 따라 개인정보를 처리하는 경우에도 그 목적을 위하여 필요한 범위에서 최소한의 기간에 최소한의 개인정보만을 처리하여야 하며, 개인정보의 안전한 관리를 위하여 필요한 기술적ㆍ관리적 및 물리적 보호조치, 개인정보의 처리에 관한 고충처리, 그 밖에 개인정보의 적절한 처리를 위하여 필요한 조치를 마련하여야 한다.
Article 58 (Partial Exclusion of Application)
(1) Chapter III through VII shall not apply to any of the following personal information:
1. Personal information collected pursuant to the Statistics Act for processing by public institutions;
2. Personal information collected or requested to be provided for the analysis of information related to national security;
3. Personal information processed temporarily where it is urgently necessary for the public safety and security, public health, etc.;
4. Personal information collected or used for its own purposes of reporting by the press, missionary activities by religious organizations, and nomination of candidates by political parties, respectively.
(2) Articles 15, 22, 27 (1) and (2), 34, and 37 shall not apply to any personal information that is processed by means of the visual data processing devices installed and operated at open places pursuant to Article 25 (1).
(3) Articles 15, 30 and 31 shall not apply to any personal information that is processed by a personal information controller to operate a group or association for friendship, such as an alumni association and a hobby club.
(4) In the case of processing personal information pursuant to paragraph (1), a personal information controller shall process the personal information to the minimum extent necessary to attain the intended purpose for the minimum period; and shall also make necessary arrangements, such as technical, managerial and physical safeguards, individual grievance handling and other necessary measures for the safe management and appropriate processing of such personal information.
제58조의2(적용제외)
이 법은 시간ㆍ비용ㆍ기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보에는 적용하지 아니한다.
[본조신설 2020. 2. 4.]
Article 58-2 (Exemption from Application)
This Act shall not apply to information that no longer identifies a certain individual when combined with other information, reasonably considering time, cost, technology, etc.
[This Article Added by Act No. 16930, Feb. 4, 2020]
제59조(금지행위)
개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.
1. 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위
2. 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위
3. 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출하는 행위
Article 59 (Prohibited Activities)
Anyone who processes or has processed personal information shall be prohibited from undertaking any of the following activities:
1. To acquire personal information or to obtain consent to personal information processing by fraud, improper or unjust means;
2. To divulge personal information acquired in the course of business, or to provide it for any third party’s use without authority;
3. To damage, destroy, alter, forge, or divulge other’s personal information without legal authority or beyond proper authority.
제60조(비밀유지 등)
다음 각 호의 업무에 종사하거나 종사하였던 자는 직무상 알게 된 비밀을 다른 사람에게 누설하거나 직무상 목적 외의 용도로 이용하여서는 아니 된다. 다만, 다른 법률에 특별한 규정이 있는 경우에는 그러하지 아니하다. <개정 2020. 2. 4.>
1. 제7조의8 및 제7조의9에 따른 보호위원회의 업무
1의2. 제32조의2에 따른 개인정보 보호 인증 업무
2. 제33조에 따른 영향평가 업무
3. 제40조에 따른 분쟁조정위원회의 분쟁조정 업무
Article 60 (Confidentiality)
Any person who performs or has performed the following affairs shall not divulge any confidential information acquired in the course of performing his or her duties to any other person, nor use such information for any purpose other than for his or her duties; provided,, the same shall not apply where special provisions exist in other laws: <Amended by Act No. 16930, Feb. 4, 2020>
1. Affairs of the Protection Commission provided for in Article 8;
1-2. Certification of personal information protection provided for in Article 32-2;
2. Impact assessments provided for in Article 33;
3. Dispute mediation of the Dispute Mediation Committee established under Article 40.
제61조(의견제시 및 개선권고)
보호위원회는 개인정보 보호에 영향을 미치는 내용이 포함된 법령이나 조례에 대하여 필요하다고 인정하면 심의ㆍ의결을 거쳐 관계 기관에 의견을 제시할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
보호위원회는 개인정보 보호를 위하여 필요하다고 인정하면 개인정보처리자에게 개인정보 처리 실태의 개선을 권고할 수 있다. 이 경우 권고를 받은 개인정보처리자는 이를 이행하기 위하여 성실하게 노력하여야 하며, 그 조치 결과를 보호위원회에 알려야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
관계 중앙행정기관의 장은 개인정보 보호를 위하여 필요하다고 인정하면 소관 법률에 따라 개인정보처리자에게 개인정보 처리 실태의 개선을 권고할 수 있다. 이 경우 권고를 받은 개인정보처리자는 이를 이행하기 위하여 성실하게 노력하여야 하며, 그 조치 결과를 관계 중앙행정기관의 장에게 알려야 한다.
중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 그 소속 기관 및 소관 공공기관에 대하여 개인정보 보호에 관한 의견을 제시하거나 지도ㆍ점검을 할 수 있다.
Article 61 (Suggestions and Recommendations for Improvements)
(1) The Protection Commission may provide its opinion to any relevant agency through deliberation and resolution where it is deemed necessary with respect to the statutes or municipal ordinances containing provisions that are likely to affect the protection of personal information. <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No. 16930, February. 4, 2020>
(2) The Protection Commission may advise a personal information controller to improve the status of personal information processing where doing so is deemed necessary to protect personal information. In such cases, upon receiving the advice, the personal information controller shall make sincere efforts to comply with the advice, and shall inform the Protection Commission of the results. <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
(3) The head of a related central administrative agency may recommend that a personal information controller improve the status of personal information processing pursuant to the statutes under the related central administrative agency’s jurisdiction where doing so is deemed necessary to protect personal information. In such cases, upon receiving the recommendation, the personal information controller shall make sincere efforts to comply with the recommendation, and shall inform the head of the related central administrative agency of the results.
(4) Central administrative agencies, local governments, the National Assembly, the Court, the Constitutional Court, and the National Election Commission may provide their opinions, or provide guidance or inspection with respect to the protection of personal information to their affiliated entities and the public institutions under their jurisdiction.
제62조(침해 사실의 신고 등)
개인정보처리자가 개인정보를 처리할 때 개인정보에 관한 권리 또는 이익을 침해받은 사람은 보호위원회에 그 침해 사실을 신고할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
보호위원회는 제1항에 따른 신고의 접수ㆍ처리 등에 관한 업무를 효율적으로 수행하기 위하여 대통령령으로 정하는 바에 따라 전문기관을 지정할 수 있다. 이 경우 전문기관은 개인정보침해 신고센터(이하 "신고센터"라 한다)를 설치ㆍ운영하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
신고센터는 다음 각 호의 업무를 수행한다.
1. 개인정보 처리와 관련한 신고의 접수ㆍ상담
2. 사실의 조사ㆍ확인 및 관계자의 의견 청취
3. 제1호 및 제2호에 따른 업무에 딸린 업무
보호위원회는 제3항제2호의 사실 조사ㆍ확인 등의 업무를 효율적으로 하기 위하여 필요하면 「국가공무원법」 제32조의4에 따라 소속 공무원을 제2항에 따른 전문기관에 파견할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
Article 62 (Reporting on Infringements)
(1) Anyone who suffers infringement of rights or interests relating to his or her personal information in the course of personal information processing by a personal information controller may report such infringement to the Protection Commission. <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
(2) The Protection Commission may designate a specialized institution in order to efficiently receive and handle the claim reports pursuant to paragraph (1), as prescribed by Presidential Decree. In such cases, such specialized institution shall establish and operate a personal information infringement call center (hereinafter referred to as the “Privacy Call Center”). <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
(3) The Privacy Call Center shall perform the following duties:
1. To receive claim reports and provide consultation in relation to personal information processing;
2. To investigate and confirm incidents and hear opinions of related parties;
3. Duties incidental to subparagraphs 1 and 2.
(4) The Protection Commission may, if necessary, dispatch its public official to the specialized institution designated under paragraph (2) pursuant to Article 32-4 of the State Public Officials Act in order to efficiently investigate and confirm the incidents pursuant to paragraph (3) 2. <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
제63조(자료제출 요구 및 검사)
보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자에게 관계 물품ㆍ서류 등 자료를 제출하게 할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
1. 이 법을 위반하는 사항을 발견하거나 혐의가 있음을 알게 된 경우
2. 이 법 위반에 대한 신고를 받거나 민원이 접수된 경우
3. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 경우로서 대통령령으로 정하는 경우
보호위원회는 개인정보처리자가 제1항에 따른 자료를 제출하지 아니하거나 이 법을 위반한 사실이 있다고 인정되면 소속 공무원으로 하여금 개인정보처리자 및 해당 법 위반사실과 관련한 관계인의 사무소나 사업장에 출입하여 업무 상황, 장부 또는 서류 등을 검사하게 할 수 있다. 이 경우 검사를 하는 공무원은 그 권한을 나타내는 증표를 지니고 이를 관계인에게 내보여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2015. 7. 24., 2017. 7. 26., 2020. 2. 4.>
관계 중앙행정기관의 장은 소관 법률에 따라 개인정보처리자에게 제1항에 따른 자료제출을 요구하거나 개인정보처리자 및 해당 법 위반사실과 관련한 관계인에 대하여 제2항에 따른 검사를 할 수 있다. <개정 2015. 7. 24.>
보호위원회는 이 법을 위반하는 사항을 발견하거나 혐의가 있음을 알게 된 경우에는 관계 중앙행정기관의 장(해당 중앙행정기관의 장의 지휘ㆍ감독을 받아 검사권한을 수행하는 법인이 있는 경우 그 법인을 말한다)에게 구체적인 범위를 정하여 개인정보처리자에 대한 검사를 요구할 수 있으며, 필요 시 보호위원회의 소속 공무원이 해당 검사에 공동으로 참여하도록 요청할 수 있다. 이 경우 그 요구를 받은 관계 중앙행정기관의 장은 특별한 사정이 없으면 이에 따라야 한다. <개정 2020. 2. 4.>
보호위원회는 관계 중앙행정기관의 장(해당 중앙행정기관의 장의 지휘ㆍ감독을 받아 검사권한을 수행하는 법인이 있는 경우 그 법인을 말한다)에게 제4항에 따른 검사 결과와 관련하여 개인정보처리자에 대한 시정조치를 요청하거나, 처분 등에 대한 의견을 제시할 수 있다. <개정 2020. 2. 4.>
제4항 및 제5항에 대한 방법과 절차 등에 관한 사항은 대통령령으로 정한다. <개정 2020. 2. 4.>
보호위원회는 개인정보 침해사고의 예방과 효과적인 대응을 위하여 관계 중앙행정기관의 장과 합동으로 개인정보 보호실태를 점검할 수 있다. <신설 2015. 7. 24., 2017. 7. 26., 2020. 2. 4.>
보호위원회와 관계 중앙행정기관의 장은 제1항 및 제2항에 따라 제출받거나 수집한 서류ㆍ자료 등을 이 법에 따른 경우를 제외하고는 제3자에게 제공하거나 일반에 공개해서는 아니 된다. <신설 2020. 2. 4.>
보호위원회와 관계 중앙행정기관의 장은 정보통신망을 통하여 자료의 제출 등을 받은 경우나 수집한 자료 등을 전자화한 경우에는 개인정보ㆍ영업비밀 등이 유출되지 아니하도록 제도적ㆍ기술적 보완조치를 하여야 한다. <신설 2020. 2. 4.>
Article 63 (Requests for Materials and Inspections)
(1) The Protection Commission may request relevant materials, such as articles and documents, from a personal information controller in any of the following cases: <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
1. Where any violation of this Act is found or suspected;
2. Where any violation of this Act is reported or a civil complaint thereon is received;
3. In cases prescribed by Presidential Decree where it is necessary to protect the personal information of data subjects.
(2) Where a personal information controller fails to furnish materials pursuant to paragraph (1) or is regarded as having violated this Act, the Protection Commission may require its public official to enter the offices or places of business of the personal information controller and other persons related to such violation to inspect the status of business operations, ledgers, documents, etc. In such cases, the public official who conducts the inspection shall carry a certificate indicating his/her authority and show it to the related persons. <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 13423, Jul. 24, 2015; Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
(3) The head of a related central administrative agency may, in accordance with statutes under the related central administrative agency’s jurisdiction, request materials from a personal information controller pursuant to paragraph (1), or may inspect the personal information controller and other persons related to the relevant violation of such statutes pursuant to paragraph (2). <Amended by Act No. 13423, Jul. 24, 2015>
(4) Upon discovering any violation of this Act or becoming aware of any suspected violation of this Act, the Protection Commission may demand that the head of the related central administrative agency (if there is a corporation authorized to conduct inspection in accordance with the direction and supervision of the head of the related central administrative agency, this refers to the corporation) investigate the personal information controller after setting a specific scope, and if necessary, request a public official under the Protection Commission to jointly engage in the investigation. In such cases, upon receiving such demand, the head of the related central administrative agency shall comply therewith unless there are extraordinary circumstances. <Amended by Act No. 16930, Feb. 4, 2020>
(5) The Protection Commission may request the head of the related central administrative agency (if there is a corporation authorized to conduct inspection in accordance with the direction and supervision of the head of the related central administrative agency, this refers to the corporation) to take corrective measures on the relevant personal information processer with regard to the result of the inspection conducted pursuant to paragraph (4) or provide opinions on dispositions, etc. <Amended by Act No. 16930, Feb. 4, 2020>
(6) Matters concerning the methods, procedures, etc. for paragraphs (4) and (5) shall be prescribed by Presidential Decree. <Amended by Act No. 16930, Feb. 4, 2020>
(7) The Protection Commission may inspect the status of personal information protection jointly with the head of a related central administrative agency for the prevention of personal information breach incidents and efficient response. <Added by Act No. 13423, Jul. 24, 2015; Amended by Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
(8) The Protection Commission and the head of the related central administrative agency shall not provide any third party with the documents, materials, etc. furnished or collected pursuant to paragraphs (1) and (2), nor disclose them to the general public, except as otherwise required by this Act. <Added by Act No. 16930, Feb. 4, 2020>
(9) Where receiving materials via information and communications networks, or digitalizing the collected materials, etc., the Protection Commission and the head of the related central administrative agency shall take systematic and technical security measures to prevent the breach of personal information, trade secrets, etc. <Added by Act No. 16930, Feb. 4, 2020>
제64조(시정조치 등)
보호위원회는 개인정보가 침해되었다고 판단할 상당한 근거가 있고 이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다고 인정되면 이 법을 위반한 자(중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 제외한다)에 대하여 다음 각 호에 해당하는 조치를 명할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
1. 개인정보 침해행위의 중지
2. 개인정보 처리의 일시적인 정지
3. 그 밖에 개인정보의 보호 및 침해 방지를 위하여 필요한 조치
관계 중앙행정기관의 장은 개인정보가 침해되었다고 판단할 상당한 근거가 있고 이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다고 인정되면 소관 법률에 따라 개인정보처리자에 대하여 제1항 각 호에 해당하는 조치를 명할 수 있다.
지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 그 소속 기관 및 소관 공공기관이 이 법을 위반하였을 때에는 제1항 각 호에 해당하는 조치를 명할 수 있다.
보호위원회는 중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회가 이 법을 위반하였을 때에는 해당 기관의 장에게 제1항 각 호에 해당하는 조치를 하도록 권고할 수 있다. 이 경우 권고를 받은 기관은 특별한 사유가 없으면 이를 존중하여야 한다.
Article 64 (Corrective Measures)
(1) Where the Protection Commission deems that there is substantial ground to deem that there has been infringement with respect to personal information, and failure to take action is likely to cause damage that is difficult to remedy, it may order the violator of this Act (excluding central administrative agencies, local governments, the National Assembly, the Court, the Constitutional Court, and the National Election Commission) to take any of the following measures: <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
1. To suspend infringement with respect to personal information;
2. To temporarily suspend personal information processing;
3. Other measures necessary to protect personal information and to prevent personal information infringement.
(2) Where the head of a related central administrative agency deems that there is substantial ground to deem that there has been an infringement of personal information, and failure to take action is likely to cause damage that is difficult to remedy, he or she may order a personal information controller to take any of the measures provided for in paragraph (1) pursuant to the statutes under such related central administrative agency’s jurisdiction.
(3) A local government, the National Assembly, the Court, the Constitutional Court, or the National Election Commission may order their affiliated entities and public institutions, which are found to have violated this Act, to take any of the measures provided for in paragraph (1).
(4) When a central administrative agency, a local government, the National Assembly, the Court, the Constitutional Court, or the National Election Commission violates this Act, the Protection Commission may recommend the head of the relevant agency to take any of the measures provided for in paragraph (1). In such cases, upon receiving the recommendation, the agency shall comply therewith unless there are extraordinary circumstances.
제65조(고발 및 징계권고)
보호위원회는 개인정보처리자에게 이 법 등 개인정보 보호와 관련된 법규의 위반에 따른 범죄혐의가 있다고 인정될 만한 상당한 이유가 있을 때에는 관할 수사기관에 그 내용을 고발할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
보호위원회는 이 법 등 개인정보 보호와 관련된 법규의 위반행위가 있다고 인정될 만한 상당한 이유가 있을 때에는 책임이 있는 자(대표자 및 책임있는 임원을 포함한다)를 징계할 것을 해당 개인정보처리자에게 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 보호위원회에 통보하여야 한다. <개정 2013. 3. 23., 2013. 8. 6., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
관계 중앙행정기관의 장은 소관 법률에 따라 개인정보처리자에 대하여 제1항에 따른 고발을 하거나 소속 기관ㆍ단체 등의 장에게 제2항에 따른 징계권고를 할 수 있다. 이 경우 제2항에 따른 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 관계 중앙행정기관의 장에게 통보하여야 한다.
Article 65 (Accusation and Recommendation for Disciplinary Action)
(1) When there is deemed substantial ground for suspecting a criminal violation of this Act or other data protection-related statutes, the Protection Commission may make an accusation to the competent investigative agency. <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
(2) When there is deemed substantial ground for deeming that there has been a violation of this Act or other data protection-related statutes, the Protection Commission may recommend the relevant personal information controller to take disciplinary action against the person responsible for such violation (including the representative and the executive officer in charge). In such cases, upon receiving the recommendation, the relevant personal information controller shall comply therewith, and notify the Protection Commission of the results.<Amended by Act No. 11690, Mar. 23, 2013; Act No. 11990, Aug. 6, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
(3) The head of a related central administrative agency may file a criminal complaint against a personal information controller pursuant to paragraph (1), or recommend that the head of an affiliated agency, organization, etc. take disciplinary action pursuant to paragraph (2), in accordance with the statutes under the central administrative agency’s jurisdiction. In such cases, upon receiving the recommendation under paragraph (2), the head of an affiliated agency, organization, etc. shall comply therewith, and notify the head of the related central administrative agency of the results.
제66조(결과의 공표)
보호위원회는 제61조에 따른 개선권고, 제64조에 따른 시정조치 명령, 제65조에 따른 고발 또는 징계권고 및 제75조에 따른 과태료 부과의 내용 및 결과에 대하여 공표할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
관계 중앙행정기관의 장은 소관 법률에 따라 제1항에 따른 공표를 할 수 있다.
제1항 및 제2항에 따른 공표의 방법, 기준 및 절차 등은 대통령령으로 정한다.
Article 66 (Disclosure of Results)
(1) The Protection Commission may disclose the recommendation for improvement pursuant to Article 61; the order to take corrective measures pursuant to Article 64; the accusation or recommendation to take disciplinary action pursuant to Article 65; and the imposition of administrative fines pursuant to Article 75 and the results thereof. <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
(2) The head of a related central administrative agency may disclose the matters provided for in paragraph (1) in accordance with the statutes under the central administrative agency’s jurisdiction.
(3) The method, criteria, procedure, etc. for disclosure pursuant to paragraphs (1) and (2) shall be prescribed by Presidential Decree.
제67조(연차보고)
보호위원회는 관계 기관 등으로부터 필요한 자료를 제출받아 매년 개인정보 보호시책의 수립 및 시행에 관한 보고서를 작성하여 정기국회 개회 전까지 국회에 제출(정보통신망에 의한 제출을 포함한다)하여야 한다.
제1항에 따른 보고서에는 다음 각 호의 내용이 포함되어야 한다. <개정 2016. 3. 29.>
1. 정보주체의 권리침해 및 그 구제현황
2. 개인정보 처리에 관한 실태조사 등의 결과
3. 개인정보 보호시책의 추진현황 및 실적
4. 개인정보 관련 해외의 입법 및 정책 동향
5. 주민등록번호 처리와 관련된 법률ㆍ대통령령ㆍ국회규칙ㆍ대법원규칙ㆍ헌법재판소규칙ㆍ중앙선거관리위원회규칙 및 감사원규칙의 제정ㆍ개정 현황
6. 그 밖에 개인정보 보호시책에 관하여 공개 또는 보고하여야 할 사항
Article 67 (Annual Reports)
(1) The Protection Commission shall prepare a report each year, based on necessary materials furnished by related agencies, etc., in relation to the establishment and implementation of personal information protection policy measures, and submit (including transmission via an information and communications networks) it to the National Assembly before the opening of the regular session.
(2) The annual report referred to in paragraph (1) shall contain the following matters: <Amended by Act No. 14107, Mar. 29, 2016>
1. Infringement on the rights of data subjects and the status of remedies thereof;
2. Results of the survey in relation to the status of personal information processing;
3. Status of implementation of the personal information protection policy measures and achievements;
4. Global legislative and policy trends regarding personal information;
5. Status of the enactment and amendment of Acts, Presidential Decrees, the National Assembly Regulations, the Supreme Court Regulations, the Constitutional Court Regulations, the National Election Commission Regulations, and the Board of Audit and Inspection Regulations, in relation to processing of resident registration numbers;
6. Other matters to be disclosed or reported in relation to the personal information protection policy.
제68조(권한의 위임ㆍ위탁)
이 법에 따른 보호위원회 또는 관계 중앙행정기관의 장의 권한은 그 일부를 대통령령으로 정하는 바에 따라 특별시장, 광역시장, 도지사, 특별자치도지사 또는 대통령령으로 정하는 전문기관에 위임하거나 위탁할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
제1항에 따라 보호위원회 또는 관계 중앙행정기관의 장의 권한을 위임 또는 위탁받은 기관은 위임 또는 위탁받은 업무의 처리 결과를 보호위원회 또는 관계 중앙행정기관의 장에게 통보하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
보호위원회는 제1항에 따른 전문기관에 권한의 일부를 위임하거나 위탁하는 경우 해당 전문기관의 업무 수행을 위하여 필요한 경비를 출연할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
Article 68 (Delegation and Entrustment of Authority)
(1) The authority of the Protection Commission or the head of a related central administrative agency under this Act may in part be delegated or entrusted, as prescribed by Presidential Decree, to the Special Metropolitan City Mayor, Metropolitan City Mayors, Do Governors, Special Self-Governing Province Governors, or the specialized institutions prescribed by Presidential Decree. <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No. 16930, February. 4, 2020>
(2) The agencies to which the authority of the Protection Commission or the head of a related central administrative agency has been partially delegated or entrusted pursuant to paragraph (1) shall notify the Protection Commission or the head of the related central administrative agency of the results of performing the affairs delegated or entrusted.<Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
(3) Where delegating or entrusting a part of the authority to a specialized institution pursuant to paragraph (1), the Protection Commission may provide a contribution to the special institution to cover expenses incurred in performing the affairs. <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
제69조(벌칙 적용 시의 공무원 의제)
보호위원회의 위원 중 공무원이 아닌 위원 및 공무원이 아닌 직원은 「형법」이나 그 밖의 법률에 따른 벌칙을 적용할 때에는 공무원으로 본다. <신설 2020. 2. 4.>
보호위원회 또는 관계 중앙행정기관의 장의 권한을 위탁한 업무에 종사하는 관계 기관의 임직원은 「형법」 제129조부터 제132조까지의 규정을 적용할 때에는 공무원으로 본다. <신설 2020. 2. 4.>
Article 69 (Persons Deemed to be Public Officials for Purposes of Penalty Provisions)
(1) Among the Commissioners of the Protection Commission, Commissioners other than public officials and employees other than public officials shall be deemed a public official for the purposes of applying penalty under the Criminal Act or other statutes. <Added by Act No. 16930, Feb. 4, 2020>
(2) Any executive or employee of a relevant agency that performs the affairs entrusted by the Protection Commission or the head of a related central administrative agency shall be deemed a public official for the purposes of Articles 129 through 132 of the Criminal Act. <Added by Act No. 16930, Feb. 4, 2020>
제10장 벌칙
CHAPTER X PENALTY PROVISIONS
제70조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 10년 이하의 징역 또는 1억원 이하의 벌금에 처한다. <개정 2015. 7. 24.>
1. 공공기관의 개인정보 처리업무를 방해할 목적으로 공공기관에서 처리하고 있는 개인정보를 변경하거나 말소하여 공공기관의 업무 수행의 중단ㆍ마비 등 심각한 지장을 초래한 자
2. 거짓이나 그 밖의 부정한 수단이나 방법으로 다른 사람이 처리하고 있는 개인정보를 취득한 후 이를 영리 또는 부정한 목적으로 제3자에게 제공한 자와 이를 교사ㆍ알선한 자
Article 70 (Penalty Provisions)
Any of the following persons shall be punished by imprisonment with labor for not more than 10 years, or by a fine not exceeding 100 million won: <Amended by Act No. 13423, Jul. 24, 2015>
1. A person who causes the suspension, paralysis or other severe hardship of work of a public institution by altering or erasing the personal information processed by the public institution for the purpose of disturbing the personal information processing of such public institution;
2. A person who obtains any personal information processed by third parties by fraud or other unjust means or methods and provides it to a third party for a profit-making or unjust purpose, and a person who abets or arranges such conduct.
제71조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다. <개정 2016. 3. 29., 2020. 2. 4.>
1. 제17조제1항제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자
2. 제18조제1항ㆍ제2항(제39조의14에 따라 준용되는 경우를 포함한다), 제19조, 제26조제5항, 제27조제3항 또는 제28조의2를 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자
3. 제23조제1항을 위반하여 민감정보를 처리한 자
4. 제24조제1항을 위반하여 고유식별정보를 처리한 자
4의2. 제28조의3을 위반하여 가명정보를 처리하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 가명정보를 제공받은 자
4의3. 제28조의5제1항을 위반하여 특정 개인을 알아보기 위한 목적으로 가명정보를 처리한 자
4의4. 제36조제2항(제27조에 따라 정보통신서비스 제공자등으로부터 개인정보를 이전받은 자와 제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 정정ㆍ삭제 등 필요한 조치(제38조제2항에 따른 열람등요구에 따른 필요한 조치를 포함한다)를 하지 아니하고 개인정보를 이용하거나 이를 제3자에게 제공한 정보통신서비스 제공자등
4의5. 제39조의3제1항(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 이용자의 동의를 받지 아니하고 개인정보를 수집한 자
4의6. 제39조의3제4항(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 법정대리인의 동의를 받지 아니하거나 법정대리인이 동의하였는지를 확인하지 아니하고 만 14세 미만인 아동의 개인정보를 수집한 자
5. 제59조제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자
6. 제59조제3호를 위반하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출한 자
Article 71 (Penalty Provisions)
Any of the following persons shall be punished by imprisonment with labor for not more than 5 years, or by a fine not exceeding 50 million won: <Amended by Act No. 14107, Mar. 29, 2016; Act No. 16930, Feb. 4, 2020>
1. A person who provides personal information to a third party without the consent of a data subject in violation of Article 17 (1) 1 even through Article 17 (1) 2 is not applicable, and a person who knowingly receives such personal information;
2. A person who uses personal information or provides personal information to a third party in violation of Articles 18 (1) and (2) (including where the aforesaid provisions apply mutatis mutandis pursuant to Article 39-14), 19, 26 (5), 27 (3), or 28-2 and a person who knowingly receives such personal information for a profit-making or unfair purpose;
3. A person who processes sensitive information in violation of Article 23 (1);
4. A person who processes personally identifiable information in violation of Article 24 (1);
4-2. A person who processes or provides a third party with pseudonymised information in violation of Article 28-3, and a person who knowingly receives such pseudonymised information for profit-making or unfair purposes;
4-3. A person who processes pseudonymised information for the purpose of identifying a certain individual in violation of Article 28-5 (1);
4-4. An information and communications service provider who uses or provides a third party with personal information without taking necessary measures for correction or deletion requests (including necessary measures to be taken in accordance with a request for access, etc. provided for in Article 38 (2)) pursuant to Article 36 (2) (including a person to whom personal information has been transferred from information and communications service provider, etc. pursuant to Article 27 and applicable cases pursuant to Article 39-14);
4-5. A person who collects personal information without users’ consent in violation of Article 39-3 (1) (including where the aforesaid provisions apply mutatis mutandis pursuant to Article 39-14);
4-6. A person who collects the personal information of children aged under 14 without his or her legal representative’s consent or without confirming whether the legal representative has given consent or not in violation of Article 39-3 (4) (including applicable cases pursuant to Article 39-14);
5. A person who divulges personal information acquired in the course of business or provides it for any other person's use without authority in violation of subparagraph 2 of Article 59, and a person who knowingly receives such personal information for a profit-making or unfair purposes;
6. A person who damages, destroys, alters, forges, or divulges any third party's personal information in violation of subparagraph 3 of Article 59.
제72조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다.
1. 제25조제5항을 위반하여 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비추는 자 또는 녹음기능을 사용한 자
2. 제59조제1호를 위반하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자
3. 제60조를 위반하여 직무상 알게 된 비밀을 누설하거나 직무상 목적 외에 이용한 자
Article 72 (Penalty Provisions)
Any of the following persons shall be punished by imprisonment with labor for not more than 3 years, or by a fine not exceeding 30 million won:
1. A person who arbitrarily handles visual data processing devices for any purpose other than the purpose for which the device was installed, directs such devices toward different spots, or uses a sound recording function in violation of Article 25 (5);
2. A person who acquires personal information or obtains consent to personal information processing by fraud or other unjust means in violation of subparagraph 1 of Article 59, and a person who knowingly receives such personal information for a profit-making or unfair purpose;
3. A person who divulges confidential information acquired while performing his or her duties, or uses such information for purposes other than for the purpose of discharging his/her duties in violation of Article 60.
제73조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다. <개정 2015. 7. 24., 2016. 3. 29., 2020. 2. 4.>
1. 제23조제2항, 제24조제3항, 제25조제6항, 제28조의4제1항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손당한 자
1의2. 제21조제1항(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보를 파기하지 아니한 정보통신서비스 제공자등
2. 제36조제2항을 위반하여 정정ㆍ삭제 등 필요한 조치를 하지 아니하고 개인정보를 계속 이용하거나 이를 제3자에게 제공한 자
3. 제37조제2항을 위반하여 개인정보의 처리를 정지하지 아니하고 계속 이용하거나 제3자에게 제공한 자
Article 73 (Penalty Provisions)
Any of the following persons shall be punished by imprisonment with labor for not more than 2 years, or by a fine not exceeding 20 million won:<Amended by Act No. 13423, Jul. 24, 2015; Act No. 14107, Mar. 29, 2016; Act No. 16930, Feb. 4, 2020>
1. A person who fails to take necessary measures to ensure safety in violation of Article 23 (2), 24 (3), 25 (6), 28-4 (1), or 29 and causes personal information to be lost, stolen, divulged, forged, altered, or damaged;
1-2. Information and communications service provider, etc. who fails to destroy personal information in violation of Article 21 (1) (including applicable cases pursuant to Article 39-14);
2. A person who fails to take necessary measures to rectify or erase personal information in violation of Article 36 (2), and continuously uses, or provides a third party with, the personal information;
3. A person who fails to suspend processing of personal information in violation of Article 37 (2), and continuously uses, or provides a third party with, the personal information.
제74조(양벌규정)
법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제70조에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인을 7천만원 이하의 벌금에 처한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다.
법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제71조부터 제73조까지의 어느 하나에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과(科)한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다.
Article 74 (Joint Penalty Provisions)
(1) If the representative of a corporation, or an agent or employee of, or any other person employed by, a corporation or an individual commits any of the offenses provided for in Article 70 in connection with the business affairs of the corporation or individual, not only shall such offender be punished, but also the corporation or individual shall be punished by a fine not exceeding 70 million won: Provided, That the same shall not apply where such corporation or individual has not been negligent in taking due care and supervisory activities concerning the relevant business affairs to prevent such offense.
(2) If the representative of a corporation, or an agent or employee of, or any other person employed by, a corporation or an individual commits any of the offenses provided for in Articles 71 through 73 in connection with the business affairs of the corporation or individual, not only shall such offender be punished, but also the corporation or individual shall be punished by a fine prescribed in the relevant Article: Provided, That the same shall not apply where such corporation or individual has not been negligent in taking due care and supervisory activities concerning the relevant business affairs to prevent such offense.
제74조의2(몰수ㆍ추징 등)
Article 74-2 (Confiscation and Collection)
Any money or goods or other profits acquired by a person who has violated Articles 70 through 73 in relation to such violation may be confiscated, or, if confiscation is impossible, the value thereof may be collected. In such cases, such confiscation or collection may be levied in addition to other penalty provisions.
[This Article Added by Act No. 13423, Jul. 24, 2015]
제70조
부터 제73조까지의 어느 하나에 해당하는 죄를 지은 자가 해당 위반행위와 관련하여 취득한 금품이나 그 밖의 이익은 몰수할 수 있으며, 이를 몰수할 수 없을 때에는 그 가액을 추징할 수 있다. 이 경우 몰수 또는 추징은 다른 벌칙에 부가하여 과할 수 있다.
[본조신설 2015. 7. 24.]
제75조(과태료)
다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다. <개정 2017. 4. 18.>
1. 제15조제1항을 위반하여 개인정보를 수집한 자
2. 제22조제6항을 위반하여 법정대리인의 동의를 받지 아니한 자
3. 제25조제2항을 위반하여 영상정보처리기기를 설치ㆍ운영한 자
다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다. <개정 2013. 8. 6., 2014. 3. 24., 2015. 7. 24., 2016. 3. 29., 2017. 4. 18., 2020. 2. 4.>
1. 제15조제2항, 제17조제2항, 제18조제3항 또는 제26조제3항을 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자
2. 제16조제3항 또는 제22조제5항을 위반하여 재화 또는 서비스의 제공을 거부한 자
3. 제20조제1항 또는 제2항을 위반하여 정보주체에게 같은 항 각 호의 사실을 알리지 아니한 자
4. 제21조제1항ㆍ제39조의6(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보의 파기 등 필요한 조치를 하지 아니한 자
4의2. 제24조의2제1항을 위반하여 주민등록번호를 처리한 자
4의3. 제24조의2제2항을 위반하여 암호화 조치를 하지 아니한 자
5. 제24조의2제3항을 위반하여 정보주체가 주민등록번호를 사용하지 아니할 수 있는 방법을 제공하지 아니한 자
6. 제23조제2항, 제24조제3항, 제25조제6항, 제28조의4제1항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니한 자
7. 제25조제1항을 위반하여 영상정보처리기기를 설치ㆍ운영한 자
7의2. 제28조의5제2항을 위반하여 개인을 알아볼 수 있는 정보가 생성되었음에도 이용을 중지하지 아니하거나 이를 회수ㆍ파기하지 아니한 자
7의3. 제32조의2제6항을 위반하여 인증을 받지 아니하였음에도 거짓으로 인증의 내용을 표시하거나 홍보한 자
8. 제34조제1항을 위반하여 정보주체에게 같은 항 각 호의 사실을 알리지 아니한 자
9. 제34조제3항을 위반하여 조치 결과를 신고하지 아니한 자
10. 제35조제3항을 위반하여 열람을 제한하거나 거절한 자
11. 제36조제2항을 위반하여 정정ㆍ삭제 등 필요한 조치를 하지 아니한 자
12. 제37조제4항을 위반하여 처리가 정지된 개인정보에 대하여 파기 등 필요한 조치를 하지 아니한 자
12의2. 제39조의3제3항(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 서비스의 제공을 거부한 자
12의3. 제39조의4제1항(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 이용자ㆍ보호위원회 및 전문기관에 통지 또는 신고하지 아니하거나 정당한 사유 없이 24시간을 경과하여 통지 또는 신고한 자
12의4. 제39조의4제3항을 위반하여 소명을 하지 아니하거나 거짓으로 한 자
12의5. 제39조의7제2항(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보의 동의 철회ㆍ열람ㆍ정정 방법을 제공하지 아니한 자
12의6. 제39조의7제3항(제39조의14에 따라 준용되는 경우와 제27조에 따라 정보통신서비스 제공자등으로부터 개인정보를 이전받은 자를 포함한다)을 위반하여 필요한 조치를 하지 아니한 정보통신서비스 제공자등
12의7. 제39조의8제1항 본문(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보의 이용내역을 통지하지 아니한 자
12의8. 제39조의12제4항(같은 조 제5항에 따라 준용되는 경우를 포함한다)을 위반하여 보호조치를 하지 아니한 자
13. 제64조제1항에 따른 시정명령에 따르지 아니한 자
다음 각 호의 어느 하나에 해당하는 자에게는 2천만원 이하의 과태료를 부과한다. <신설 2020. 2. 4.>
1. 제39조의9제1항을 위반하여 보험 또는 공제 가입, 준비금 적립 등 필요한 조치를 하지 아니한 자
2. 제39조의11제1항을 위반하여 국내대리인을 지정하지 아니한 자
3. 제39조의12제2항 단서를 위반하여 제39조의12제3항 각 호의 사항 모두를 공개하거나 이용자에게 알리지 아니하고 이용자의 개인정보를 국외에 처리위탁ㆍ보관한 자
다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료를 부과한다. <개정 2017. 4. 18., 2020. 2. 4.>
1. 제21조제3항을 위반하여 개인정보를 분리하여 저장ㆍ관리하지 아니한 자
2. 제22조제1항부터 제4항까지의 규정을 위반하여 동의를 받은 자
3. 제25조제4항을 위반하여 안내판 설치 등 필요한 조치를 하지 아니한 자
4. 제26조제1항을 위반하여 업무 위탁 시 같은 항 각 호의 내용이 포함된 문서에 의하지 아니한 자
5. 제26조제2항을 위반하여 위탁하는 업무의 내용과 수탁자를 공개하지 아니한 자
6. 제27조제1항 또는 제2항을 위반하여 정보주체에게 개인정보의 이전 사실을 알리지 아니한 자
6의2. 제28조의4제2항을 위반하여 관련 기록을 작성하여 보관하지 아니한 자
7. 제30조제1항 또는 제2항을 위반하여 개인정보 처리방침을 정하지 아니하거나 이를 공개하지 아니한 자
8. 제31조제1항을 위반하여 개인정보 보호책임자를 지정하지 아니한 자
9. 제35조제3항ㆍ제4항, 제36조제2항ㆍ제4항 또는 제37조제3항을 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자
10. 제63조제1항에 따른 관계 물품ㆍ서류 등 자료를 제출하지 아니하거나 거짓으로 제출한 자
11. 제63조제2항에 따른 출입ㆍ검사를 거부ㆍ방해 또는 기피한 자
제1항부터 제4항까지의 규정에 따른 과태료는 대통령령으로 정하는 바에 따라 보호위원회와 관계 중앙행정기관의 장이 부과ㆍ징수한다. 이 경우 관계 중앙행정기관의 장은 소관 분야의 개인정보처리자에게 과태료를 부과ㆍ징수한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4.>
Article 75 (Administrative Fines)
(1) Any of the following persons shall be subject to an administrative fine not exceeding 50 million won: <Amended by Act No. 14765, Apr. 18, 2017>
1. A person who collects personal information in violation of Article 15 (1);
2. A person who fails to obtain the consent of a legal representative in violation of Article 22 (6);
3. A person who installs and operates visual data processing devices in violation of Article 25 (2).
(2) Any of the following persons shall be subject to an administrative fine not exceeding 30 million won: <Amended by Act No. 11990, Aug. 6, 2013; Act No. 12504, Mar. 24, 2014; Act No. 13423, Jul. 24, 2015; Act No. 14107, Mar. 29, 2016; Act No. 14765, Apr. 18, 2017; Act No. 16930, Feb. 4, 2020>
1. A person who fails to notify a data subject of necessary information in violation of Article 15 (2), 17 (2), 18 (3), or 26 (3);
2. A person who denies the provision of goods or services to a data subject in violation of Article 16 (3) or 22 (5);
3. A person who fails to notify a data subject of the matters provided for in Article 20 (1) or (2) in violation of Article 20 (1) or (2);
4. A person who fails to take necessary measures, such as destroying personal information, in violation of Article 21 (1) or Article 39-6 (including applicable cases pursuant to Article 39-14);
4-2. A person who processes resident registration numbers in violation of Article 24-2 (1);
4-3. A person who fails to adopt encryption measures in violation of Article 24-2 (2);
5. A person who fails to provide a data subject with an alternative method without using his or her resident registration number in violation of Article 24-2 (3);
6. A person who fails to take measures necessary to ensure safety in violation of Article 23 (2), 24 (3), 25 (6), 28-4 (1), or 29;
7. A person who installs and operates visual data processing devices in violation of Article 25 (1);
7-2. A person who fails to cease the use of, collect or destroy, information which has been generated to identify a certain individual, in violation of Article 28-5 (2);
7-3. A person who indicates and promotes the certification by fraud despite a failure to obtain such certification, in violation of Article 32-2 (6);
8. A person who fails to notify a data subject of the facts provided for in Article 34 (1) in violation of the same paragraph;
9. A person who fails to report the results of measures taken, in violation of Article 34 (3);
10. A person who limits or denies access to personal information in violation of Article 35 (3);
11. A person who fails to take necessary measures to correct or erase personal information, in violation of Article 36 (2);
12. A person who fails to take necessary measures, such as destruction of the personal information whose processing has been suspended, in violation of Article 37 (4);
12-2. A person who refuses to provide services in violation of Article 39-3 (3) (including applicable cases pursuant to Article 39-14);
12-3. A person who fails to notify or report the relevant users, the Protection Commission or a specialized institution or notifies or reports after the lapse of 24 hours without any just cause, in violation of Article 39-4 (1) (including applicable cases pursuant to Article 39-14);
12-4. A person who fails to explain or falsely explains just cause, in violation of Article 39-4 (3);
12-5. A person who fails to provide methods of withdrawing consent, and accessing to, or correcting, personal information, in violation of Article 39-7 (2) (including applicable cases pursuant to Article 39-14);
12-6. Information and communications service provider, etc. who fails to take necessary measures in violation of Article 39-7 (3) (including applicable cases pursuant to Article 39-14 and any person to whom personal information has been transferred from information and communications service provider, etc. pursuant to Article 27);
12-7. A person who fails to notify users of the use history of their personal information in violation of the main clause of Article 39-8 (1) (including applicable cases pursuant to Article 39-14);
12-8. A person who fails to take protective measures, in violation of Article 39-12 (4) (including applicable cases pursuant to paragraph (5) of the same Article);
13. A person who fails to comply with corrective orders taken under Article 64 (1).
(3) Any of the following persons shall be subject to an administrative fine not exceeding 20 million won: <Added by Act No. 16930, Feb. 4, 2020>
1. A person who fails to take necessary measures such as purchasing an insurance, joining a mutual aid organization, or accumulating reserves, in violation of Article 39-9 (1);
2. A person who fails to designate a domestic agent, in violation of Article 39-11 (1);
3. A person who outsources the processing of, or stores, users’ personal information overseas without disclosing or informing all matters provided for in Article 39-12 (3) or notifying users in violation of the proviso of Article 39-12 (2).
(4) Any of the following persons shall be subject to an administrative fine not exceeding 10 million won: <Amended by Act No. 14765, Apr. 18, 2017; Act No. 16930, Feb. 4, 2020>
1. A person who fails to store and manage personal information separately in violation of Article 21 (3);
2. A person who obtains consent in violation of Article 22 (1) through (4);
3. A person who fails to take necessary measures including posting a signboard in violation of Article 25 (4);
4. A person who fails to execute a document stating the matters provided for in Article 26 (1) when outsourcing the work in violation of the same paragraph;
5. A person who fails to disclose the outsourced work and the outsourcee in violation of Article 26 (2);
6. A person who fails to notify a data subject of the transfer of his or her personal information in violation of Article 27 (1) or (2);
6-2. A person who fails to prepare and keep a record of relevant matters in violation of Article 28-4 (2);
7. A person who fails to establish, or disclose, the Privacy Policy in violation of Article 30 (1) or (2);
8. A person who fails to designate a privacy officer in violation of Article 31 (1);
9. A person who fails to notify a data subject of necessary information in violation of Article 35 (3) and (4), 36 (2) and (4), or 37 (3);
10. A person who fails to furnish materials, such as articles and documents pursuant to Article 63 (1), or who submits false materials;
11. A person who refuses, interferes with, or evades access or an inspection pursuant to Article 63 (2).
(5) Administrative fines provided for in paragraphs (1) through (4) shall be imposed and collected by the Protection Commission and the head of a related central administrative agency, as prescribed by Presidential Decree. In such cases, the head of a related central administrative agency shall impose and collect administrative fines from the personal information controllers in the field under his or her jurisdiction. <Amended by Act No. 11690, Mar. 23, 2013; Act No. 12844, Nov. 19, 2014; Act No. 14839, Jul. 26, 2017; Act No. 16930, Feb. 4, 2020>
제76조(과태료에 관한 규정 적용의 특례)
Article 76 (Special Exemption to Application of Provisions on Administrative Fines)
For the purposes of the provisions on administrative fines provided for in Article 75, no additional administrative fine shall be imposed on any act subject to penalty surcharges pursuant to Article 34-2.
[This Article Added by Act No. 11990, Aug. 6, 2013]
제75조의
과태료에 관한 규정을 적용할 때 제34조의2에 따라 과징금을 부과한 행위에 대하여는 과태료를 부과할 수 없다.
[본조신설 2013. 8. 6.]
부칙 <제10465호, 2011. 3. 29.>
제1조(시행일)
이 법은 공포 후 6개월이 경과한 날부터 시행한다. 다만, 제24조제2항 및 제75조제2항제5호는 공포 후 1년이 경과한 날부터 시행한다.
제2조(다른 법률의 폐지)
공공기관의 개인정보보호에 관한 법률은 폐지한다.
제3조(개인정보분쟁조정위원회에 관한 경과조치)
이 법 시행 당시 종전의 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따른 개인정보분쟁조정위원회의 행위나 개인정보분쟁조정위원회에 대한 행위는 그에 해당하는 이 법에 따른 개인정보 분쟁조정위원회의 행위나 개인정보 분쟁조정위원회에 대한 행위로 본다.
제4조(처리 중인 개인정보에 관한 경과조치)
이 법 시행 전에 다른 법령에 따라 적법하게 처리된 개인정보는 이 법에 따라 처리된 것으로 본다.
제5조(벌칙의 적용에 관한 경과조치)
이 법 시행 전에 종전의 「공공기관의 개인정보보호에 관한 법률」을 위반한 행위에 대하여 벌칙을 적용할 때에는 종전의 「공공기관의 개인정보보호에 관한 법률」에 따른다.
이 법 시행 전에 종전의 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」을 위반한 행위에 대하여 벌칙을 적용할 때에는 종전의 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따른다.
제6조 생략
제7조(다른 법령과의 관계)
이 법 시행 당시 다른 법령에서 종전의 「공공기관의 개인정보보호에 관한 법률」 또는 그 규정을 인용하고 있는 경우 이 법 중 그에 해당하는 규정이 있을 때에는 종전의 규정을 갈음하여 이 법 또는 이 법의 해당 규정을 인용한 것으로 본다.
ADDENDA
Article 1 (Enforcement Date)
This Act shall enter into force six months after the date of its promulgation: Provided, That Articles 24 (2) and 75 (2) 5 shall enter into force one year after the date of its promulgation.
Article 2 (Repeal of other Acts)
The Act on the Protection of Personal Information Maintained by Public Institutions is hereby repealed.
Article 3 (Transitional Measures concerning Personal Information Dispute Mediation Committee)
An act performed by or against the Personal Information Dispute Mediation Committee under the previous Act on Promotion of Information and Communications Network Utilization and Information Protection, etc. as at the time this Act enters into force shall be deemed an act performed by or against the Personal Information Dispute Mediation Committee corresponding thereto under this Act.
Article 4 (Transitional Measures concerning Personal Information being Processed)
Any personal information legitimately processed under other Acts before this Act enters into force shall be deemed to have been processed under this Act.
Article 5 (Transitional Measures concerning Application of Penalty Provisions)
(1) The application of the penalty provisions to a violation of the previous Act on the Protection of Personal Information Maintained by Public Institutions before this Act enters into force shall be governed by the previous Act on the Protection of Personal Information Maintained by Public Institutions.
(2) The application of the penalty provisions to a violation of the previous Act on Promotion of Information and Communications Network Utilization and Information Protection, etc. before this Act enters into force shall be governed by the previous Act on Promotion of Information and Communications Network Utilization and Information Protection, etc.
Article 6 Omitted.
Article 7 (Relationship to other Acts)
Where the previous Act on the Protection of Personal Information Maintained by Public Institutions or the provisions thereof are cited in other statutes at the time this Act enters into force, and any provision corresponding thereto exists in this Act, this Act or the corresponding provision of this Act shall be deemed cited in lieu of the previous provision.
부칙 <제11690호, 2013. 3. 23.>
제1조(시행일)
이 법은 공포한 날부터 시행한다.
생략
제2조부터 제7조까지 생략
ADDENDA <Act No. 11690, Mar. 23, 2013>
Article 1 (Enforcement Date)
(1) This Act shall enter into force on the date of its promulgation.
(2) Omitted.
Articles 2 through 7 Omitted.
부칙 <제11990호, 2013. 8. 6.>
제1조(시행일)
이 법은 공포 후 1년이 경과한 날부터 시행한다.
제2조(주민등록번호 처리 제한에 관한 경과조치)
이 법 시행 당시 주민등록번호를 처리하고 있는 개인정보처리자는 이 법 시행일부터 2년 이내에 보유하고 있는 주민등록번호를 파기하여야 한다. 다만, 제24조의2제1항 각 호의 개정규정의 어느 하나에 해당하는 경우는 제외한다.
제1항에 따른 기간 이내에 보유하고 있는 주민등록번호를 파기하지 아니한 경우에는 제24조의2제1항의 개정규정을 위반한 것으로 본다.
ADDENDA <Act No. 11990, Aug. 6, 2013>
Article 1 (Enforcement Date)
This Act shall enter into force one year after the date of its promulgation.
Article 2 (Transitional Measures concerning Limitation to Processing of Resident Registration Numbers)
(1) A person who processes resident registration numbers as at the time this Act enters into force shall destroy the resident registration numbers possessed, within two years after this Act enters into force: Provided, That any of the cases falling under the amended subparagraphs of Article 24-2 (1) shall be excluded from the destruction.
(2) Where resident registration numbers are not destroyed within the period referred to in paragraph (1), the amended provisions of Article 24-2 (1) shall be deemed to have been violated.
부칙 <제12504호, 2014. 3. 24.>
이 법은 공포한 날부터 시행한다. 다만, 법률 제11990호 개인정보 보호법 일부개정법률 제24조의2 및 제75조제2항제5호의 개정규정은 2016년 1월 1일부터 시행한다.
ADDENDUM <Act No. 12504, Mar. 24, 2014>
This Act shall enter into force on the date of its promulgation: Provided, That the amended provisions of Articles 24-2 and 75 (2) 5 of the Personal Information Protection Act (Act No. 11990) shall enter into force on January 1, 2016.
부칙 <제12844호, 2014. 11. 19.>
제1조(시행일)
이 법은 공포한 날부터 시행한다. 다만, 부칙 제6조에 따라 개정되는 법률 중 이 법 시행 전에 공포되었으나 시행일이 도래하지 아니한 법률을 개정한 부분은 각각 해당 법률의 시행일부터 시행한다.
제2조부터 제7조까지 생략
ADDENDA <Act No. 12844, Nov. 19, 2014>
Article 1 (Enforcement Date)
This Act shall enter into force on the date of its promulgation. (Proviso Omitted.)
Articles 2 through 7 Omitted.
부칙 <제13423호, 2015. 7. 24.>
제1조(시행일)
이 법은 공포한 날부터 시행한다. 다만, 제8조제1항, 제8조의2, 제9조, 제11조제1항, 제32조의2, 제39조제3항ㆍ제4항, 제39조의2, 제40조, 제75조제2항제7호의2의 개정규정은 공포 후 1년이 경과한 날부터, 법률 제12504호 개인정보 보호법 일부개정법률 제24조의2제2항 전단 및 제75조제2항제4호의3의 개정규정은 2016년 1월 1일부터 각각 시행한다.
제2조(손해배상에 관한 적용례)
제39조제3항ㆍ제4항 및 제39조의2의 개정규정은 이 법 시행 후에 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 개인정보에 관한 손해배상 청구분부터 적용한다.
제3조(개인정보 보호 인증에 관한 경과조치)
이 법 시행 전에 행정자치부장관으로부터 개인정보 보호 인증을 받은 자는 제32조의2의 개정규정에 따른 개인정보 보호 인증을 받은 것으로 본다.
제4조(개인정보 인증 심사원 자격에 관한 경과조치)
이 법 시행 전에 개인정보 보호 인증 심사원의 자격을 취득한 자는 이 법에 따른 개인정보 보호 인증 심사원의 자격을 취득한 것으로 본다.
제5조(개인정보 분쟁조정위원회 위원의 임기에 관한 경과조치)
이 법 시행 전에 행정자치부장관이 임명하거나 위촉한 분쟁조정위원회 위원은 제40조의 개정규정에 따른 보호위원회가 위촉한 분쟁조정위원회 위원으로 본다.
제6조(벌칙 등에 관한 경과조치)
이 법 시행 전의 위반행위에 대하여 벌칙 또는 과태료를 적용할 때에는 종전의 규정에 따른다.
ADDENDA <Act No. 13423, Jul. 24, 2015>
Article 1 (Enforcement Date)
This Act shall enter into force on the date of its promulgation: Provided, That the amended provisions of Articles 8 (1), 8-2, 9, 11 (1), 32-2, 39 (3) and (4), 39-2, 40, and 75 (2) 7-2 shall enter into force one year after the date of its promulgation, and the amended provisions of the former part of Article 24-2 (2) and Article 75 (2) 4-3 of the Personal Information Protection Act (Act No. 12504) shall enter into force on January 1, 2016, respectively.
Article 2 (Applicability to Compensation)
The amended provisions of Articles 39 (3) and (4) and 39-2 shall apply, beginning with the first claim for compensation for personal information suffering loss, theft, divulgence, forgery, alteration, or damage after this Act enters into force.
Article 3 (Transitional Measures concerning Personal Information Protection Certification)
Any person who has obtained the personal information protection certification from the Minister of the Interior before this Act enters into force shall be deemed obtained the personal information protection certification under the amended provisions of Article 32-2.
Article 4 (Transitional Measures concerning Qualifications for Certification Examiners of Personal Information Protection)
Any person qualified as a certification examiner of personal information protection before this Act enters into force shall be deemed qualified under this Act.
Article 5 (Transitional Measures concerning Terms of Office of Members of Personal Information Dispute Mediation Committee)
Members of the Dispute Mediation Committee appointed or commissioned by the Minister of the Interior before this Act enters into force shall be deemed members of the Dispute Mediation Committee commissioned by the Protection Commission under the amended provisions of Article 40.
Article 6 (Transitional Measures concerning Penalty Provisions, etc.)
The former provisions shall apply to the application of penalty provisions or imposition of administrative fines for offenses committed before this Act enters into force.
부칙 <제14107호, 2016. 3. 29.>
제1조(시행일)
이 법은 공포 후 6개월이 경과한 날부터 시행한다. 다만, 제24조의2제1항제1호 및 제67조제2항제5호의 개정규정은 공포 후 1년이 경과한 날부터 시행한다.
제2조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지에 관한 적용례)
제20조제2항 및 제3항의 개정규정은 이 법 시행 후 최초로 정보주체 이외로부터 개인정보를 수집하는 경우부터 적용한다.
제3조(개인정보 처리방침에 관한 경과조치)
이 법 시행 당시 종전의 규정에 따른 개인정보 처리방침은 제30조제1항의 개정규정에 따른 개인정보 처리방침으로 본다.
개인정보처리자는 이 법 시행 후 6개월 이내에 제1항에 따른 개인정보 처리방침을 제30조제1항의 개정취지에 맞도록 개정하여야 한다.
ADDENDA <Act No. 14107, Mar. 29, 2016>
Article 1 (Enforcement Date)
This Act shall enter into force six months after the date of its promulgation: Provided, That the amended provisions of Articles 24-2 (1) 1 and 67 (2) 5 shall enter into force one year after the date of its promulgation.
Article 2 (Applicability to Notification of Other Sources, etc. of Personal Information than Data Subjects)
The amended provisions of Article 20 (2) and (3) shall apply, beginning with the first case where any personal information is collected from a person other than the data subjects after this Act enters into force.
Article 3 (Transitional Measures concerning Privacy Policy)
(1) The Privacy Policy established under the former provisions as at the time this Act enters into force shall be deemed the Privacy Policy established under the amended provisions of Article 30 (1).
(2) Each personal information controller shall amend the Privacy Policy referred to in paragraph (1) to meet the purport of amending Article 30 (1) within six months after this Act enters into force.
부칙 <제14765호, 2017. 4. 18.>
이 법은 공포 후 6개월이 경과한 날부터 시행한다.
ADDENDUM <Act No. 14765, Apr. 18, 2017>
This Act shall enter into force six months after the date of its promulgation.
부칙 <제14839호, 2017. 7. 26.>
제1조(시행일)
이 법은 공포한 날부터 시행한다. 다만, 부칙 제5조에 따라 개정되는 법률 중 이 법 시행 전에 공포되었으나 시행일이 도래하지 아니한 법률을 개정한 부분은 각각 해당 법률의 시행일부터 시행한다.
제2조부터 제6조까지 생략
ADDENDA <Act No. 14839, Jul. 26, 2017>
Article 1 (Enforcement Date)
This Act shall enter into force on the date of its promulgation: Provided, That any amendment to the Acts made pursuant to Article 5 of this Addenda, promulgated before this Act enters into force, which have not yet entered into force, shall enter into force on the date the corresponding Act takes effect.
Articles 2 through 6 Omitted.
부칙 <제16930호, 2020. 2. 4.>
제1조(시행일)
이 법은 공포 후 6개월이 경과한 날부터 시행한다.
제2조(위원 임기에 관한 경과조치)
이 법 시행 당시 종전의 규정에 따라 임명된 보호위원회의 위원의 임기는 이 법 시행 전날 만료된 것으로 본다.
제3조(기능조정에 따른 소관 사무 등에 관한 경과조치)
이 법 시행 당시 「방송통신위원회의 설치 및 운영에 관한 법률」 제11조제1항의 방송통신위원회의 소관사무 중 개인정보 보호에 해당하는 사무는 보호위원회가 승계한다.
이 법 시행 당시 행정안전부장관의 소관 사무 중 제7조의8의 개정규정에 따른 사무는 보호위원회가 승계한다.
이 법 시행 전에 행정안전부장관이 행한 고시ㆍ행정처분, 그 밖에 행정안전부장관의 행위와 행정안전부장관에 대한 신청ㆍ신고, 그 밖의 행위 중 그 소관이 행정안전부장관으로부터 보호위원회로 이관되는 사항에 관한 행위는 보호위원회의 행위 또는 보호위원회에 대한 행위로 본다.
이 법 시행 전에 방송통신위원회가 행한 고시ㆍ행정처분, 그 밖의 행위와 신고 등 방송통신위원회에 대한 행위 중 그 소관이 방송통신위원회에서 보호위원회로 이관되는 사항에 관한 행위는 이 법에 따른 보호위원회의 행위 또는 보호위원회에 대한 행위로 본다.
이 법 시행 당시 행정안전부ㆍ방송통신위원회 소속 공무원 중 대통령령으로 정하는 공무원은 이 법에 따른 보호위원회 소속 공무원으로 본다.
제4조(보호위원회에 관한 경과조치)
이 법 시행 당시 종전의 규정에 따른 보호위원회의 행위나 보호위원회에 대한 행위는 이 법에 따른 보호위원회의 행위나 보호위원회에 대한 행위로 본다.
제5조(개인정보보호 관리체계 인증기관 등에 관한 경과조치)
이 법 시행 당시 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 "「정보통신망법」"이라 한다) 제47조의3에 따라 인증기관 또는 심사기관으로 지정받은 자는 이 법 제32조의2에 따라 전문기관으로 지정받은 것으로 본다.
이 법 시행 당시 「정보통신망법」 제47조의3에 따라 개인정보보호 관리체계 인증을 받거나 인증심사원 자격을 부여받은 자는 이 법 제32조의2에 따라 개인정보보호 관리체계 인증을 받거나 인증심사원 자격을 부여받은 것으로 본다.
제6조(권한의 위임ㆍ위탁에 관한 경과조치)
이 법 시행 당시 종전의 규정에 따라 행정안전부장관의 권한 일부를 위임 또는 위탁받은 특별시장, 광역시장, 도지사, 특별자치도지사, 특별자치시장 또는 전문기관은 이 법에 따라 보호위원회의 권한 일부를 위임 또는 위탁받은 것으로 본다.
제7조(벌칙 및 과태료에 관한 경과조치)
이 법 시행 전의 행위에 대한 벌칙 및 과태료의 적용은 종전의 규정에 따른다.
제8조(과징금 부과에 관한 경과조치)
이 법 시행 전에 종료된 행위에 대한 과징금의 부과는 종전의 규정에 따른다.
제9조 생략
제10조(다른 법령과의 관계)
이 법 시행 당시 다른 법령(이 법 시행 전에 공포되었으나 시행일이 도래하지 아니한 법령을 포함한다)에서 이 법에 따라 보호위원회가 승계하는 방송통신위원회 및 행정안전부의 사무와 관련하여 "방송통신위원회" 또는 "방송통신위원회 위원장"을 인용한 경우에는 그 법령에서 규정한 내용에 따라 "보호위원회" 또는 "보호위원회 위원장"을 인용한 것으로, "방송통신위원회 소속 공무원"을 인용한 경우에는 "보호위원회 소속 공무원"을 인용한 것으로 보며, "행정안전부" 또는 "행정안전부장관"을 인용한 경우에는 그 법령에서 규정한 내용에 따라 "보호위원회" 또는 "보호위원회 위원장"을 인용한 것으로, "행정안전부 소속 공무원"을 인용한 경우에는 "보호위원회 소속 공무원"을 인용한 것으로 본다.
이 법 시행 당시 다른 법령에서 종전의 「정보통신망법」 또는 그 규정을 인용하고 있는 경우 이 법에 그에 해당하는 규정이 있는 때에는 이 법 또는 이 법의 해당 규정을 인용한 것으로 본다.
ADDENDA <Act No. 16930, Feb. 4, 2020>
Article 1 (Enforcement Date)
This Act shall enter into force six months after the date of its promulgation.
Article 2 (Transitional Measures concerning Terms of Office of Commissioners)
The term of office of the Commissioners of the Protection Commission appointed under the previous provisions as at the time this Act enters into force, shall be deemed expired on the date preceding the enforcement date of this Act.
Article 3 (Transitional Measures concerning Duties Following Adjustment of Functions)
(1) Among the duties of the Korea Communications Commission under Article 11 (1) of the Act on the Establishment and Operation of Korea Communications Commission as at the time this Act enters into force, those relating to personal information protection shall be transferred to the Protection Commission.
(2) Among the duties of the Minister of the Interior and Safety as at the time this Act enters into force, those pursuant to the amended provisions in Article 7-8 shall be assumed by the Protection Commission.
(3) Among the notifications, administrative dispositions and other acts of the Minister of the Interior and Safety, and acts conducted with respect to the Minister of the Interior and Safety such as filing of an application or report before this Act enters into force, those relating to matters for which competent authority is transferred from the Minister of the Interior and Safety to the Protection Commission shall be deemed to be the acts of, or acts conducted with respect to, the Protection Commission.
(4) Among the notifications, administrative dispositions and other acts of the Korea Communications Commission, and acts conducted with respect to the Korea Communications Commission such as filing of a report before this Act enters into force, those relating to matters for which competent authority is transferred from the Korea Communications Commission to the Protection Commission shall be deemed to be the acts of, or acts conducted with respect to, the Protection Commission pursuant to this Act.
(5) Among the public officials of the Ministry of the Interior and Safety or the Korea Communications Commission as at the time this Act enters into force, those prescribed by Presidential Decree shall be deemed to be the public officials of the Protection Commission pursuant to this Act.
Article 4 (Transitional Measures concerning the Protection Commission)
(1) The acts of, or acts conducted with respect to, the Protection Commission pursuant to the previous provisions as at the time this Act enters into force shall be deemed to be the acts of, or acts conducted with respect to, the Protection Commission pursuant to this Act.
Article 5 (Transitional Measures concerning Certifying Organizations for Personal Information Protection Management System)
(1) Entities designated as a certifying or examining organization pursuant to Article 47-3 of the Act on Promotion of Information and Communications Network Utilization and Information Protection, Etc. (hereinafter referred to as the “Network Act”) as at the time this Act enters into force, shall be deemed to have been designated as a specialized organization in accordance with Article 32-2 of this Act.
(2) Entities certified for personal information protection management system or qualified as a certification examiner pursuant to Article 47-3 of the Network Act as of the effective date of this Act shall be deemed to have been certified for personal information protection management system or qualified as a certification examiner pursuant to Article 32-2 of this Act.
Article 6 (Transitional Measures concerning Delegation or Entrustment of Authority)
The Special Metropolitan City Mayor, a Metropolitan City Mayor, a Do Governor, the Special Self-Governing Province Governor, the Special Self-Governing City Mayor or specialized institutions who have been delegated or entrusted with part of the authority of the Minister of the Interior and Safety pursuant to the previous provisions as of the effective date of this Act shall be deemed to have been delegated or entrusted with part of the authority of the Protection Commission pursuant to this Act.
Article 7 (Transitional Measures concerning Penalty Provisions and Administrative Fines)
Application of penalty and administrative fines on acts that were committed before this Act enters into force shall be governed by the previous provisions.
Article 8 (Transitional Measures concerning Imposition of Administrative Surcharges)
Imposition of administrative surcharges on acts that were committed before this Act enters into force shall be governed by the previous provisions.
Article 9 Omitted.
Article 10 (Relationship to Other Statutes)
(1) When other statutes (including statutes that were promulgated before this Act enters into force but the enforcement date of which has not arrived yet) state the “Korea Communications Commission” or “Chairperson of the Korea Communications Commission” in relation to the work of the Korea Communications Commission and the Ministry of the Interior and Safety that is transferred to the Protection Commission according to this Act as at the time this Act enters into force, such terms are regarded as the “Protection Commission” or “Chairperson of the Protection Commission” as applicable; “public officials of the Korea Communications Commission” as “public officials of the Protection Commission;” “Ministry of the Interior and Safety” or “Minister of the Interior and Safety” as “Protection Commission” or “Chairperson of the Protection Commission” as applicable; and “public officials of the Ministry of the Interior and Safety” as “public officials of the Protection Commission”.
(2) If other statutes quote the previous Network Act or provisions therein as at the time this Act enters into force, and if there is any corresponding provision in this Act, such statutes or the provisions therein are regarded as this Act or provisions of this Act.
Last updated : 2021-03-31