개정문
국무회의의 심의를 거친 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 일부개정령을 이에 공포한다.
대통령 이명박 (인)
2012년 8월 17일
국무총리 김황식
국무위원 행정안전부 장관(방송통신위원회 소관) 맹형규
⊙대통령령 제24047호
정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 일부개정령
정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 일부를 다음과 같이 개정한다.
제9조의2를 삭제한다.
제9조의3제1항제1호사목 중 “법 제23조의2제1항”을 “법 제23조의2제2항”으로 한다.
제14조의2를 다음과 같이 신설한다.
제14조의2(개인정보 누출등의 통지ㆍ신고) ① 정보통신서비스 제공자등은 개인정보의 분실ㆍ도난ㆍ누출(이하 “누출등”이라 한다)의 사실을 안 때에는 지체 없이 법 제27조의3제1항 각 호의 모든 사항을 전자우편ㆍ서면ㆍ모사전송ㆍ전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 이용자에게 알리고 방송통신위원회에 신고하여야 한다.
② 정보통신서비스 제공자등은 제1항에 따른 통지ㆍ신고를 하려는 경우 법 제27조의3제1항제1호 또는 제2호의 사항에 관한 구체적인 내용이 확인되지 아니하였으면 그때까지 확인된 내용과 같은 항 제3호부터 제5호까지의 사항을 우선 통지ㆍ신고한 후 추가로 확인되는 내용에 대해서는 확인되는 즉시 통지ㆍ신고하여야 한다.
③ 정보통신서비스 제공자등은 법 제27조의3제1항 각 호 외의 부분 단서에 따른 정당한 사유가 있는 경우에는 법 제27조의3제1항 각 호의 사항을 자신의 인터넷 홈페이지에 30일 이상 게시하는 것으로 제1항의 통지를 갈음할 수 있다.
④ 천재지변이나 그 밖의 정당한 사유로 제3항에 따른 홈페이지 게시가 곤란한 경우에는 「신문 등의 진흥에 관한 법률」에 따른 전국을 보급지역으로 하는 둘 이상의 일반일간신문에 1회 이상 공고하는 것으로 제3항에 따른 홈페이지 게시를 갈음할 수 있다.
제15조제2항 각 호 외의 부분에 단서를 다음과 같이 신설한다.
다만, 제3호의 조치는 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다.
제15조제2항제2호 중 “불법적인 접근을 차단하기 위한 침입차단시스템”을 “침입차단시스템”으로 하고, 같은 항 제3호 및 제4호를 각각 제4호 및 제5호로 하며, 같은 항에 제3호를 다음과 같이 신설한다.
3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단
제4장에 제16조 및 제17조를 각각 다음과 같이 신설한다.
제16조(개인정보의 파기 등) ① 법 제29조제2항에서 “대통령령으로 정하는 기간”이란 3년을 말한다. 다만, 다음 각 호의 경우에는 해당 호에 따른 기간으로 한다.
1. 다른 법령에서 별도의 기간을 정하고 있는 경우: 해당 법령에서 정한 기간
2. 이용자의 요청에 따라 기간을 달리 정한 경우: 달리 정한 기간
② 정보통신서비스 제공자등은 이용자가 정보통신서비스를 제1항의 기간 동안 이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리하여야 한다.
③ 정보통신서비스 제공자등은 제2항에 따라 개인정보를 별도로 저장ㆍ관리하는 경우에는 법 또는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 해당 개인정보를 이용하거나 제공하여서는 아니 된다.
④ 정보통신서비스 제공자등은 제1항의 기간 만료 30일 전까지 개인정보가 파기되거나 분리되어 저장ㆍ관리되는 사실과 기간 만료일 및 해당 개인정보의 항목을 전자우편ㆍ서면ㆍ모사전송ㆍ전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 이용자에게 알려야 한다.
제17조(개인정보 이용내역의 통지) ① 법 제30조의2제1항 본문에서 “대통령령으로 정하는 기준에 해당하는 자”란 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등을 말한다.
② 법 제30조의2제1항에 따라 이용자에게 통지하여야 하는 정보의 종류는 다음 각 호와 같다.
1. 개인정보의 수집ㆍ이용 목적 및 수집한 개인정보의 항목
2. 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목. 다만, 「통신비밀보호법」 제13조, 제13조의2, 제13조의4 및 「전기통신사업법」 제83조제3항에 따라 제공한 정보는 제외한다.
3. 법 제25조에 따른 개인정보 취급위탁을 받은 자 및 그 취급위탁을 하는 업무의 내용
③ 법 제30조의2제1항에 따른 통지는 전자우편ㆍ서면ㆍ모사전송ㆍ전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 연 1회 이상 하여야 한다.
제6장에 제36조의2부터 제36조의6까지를 각각 다음과 같이 신설한다.
제36조의2(정보보호 사전점검기준) 법 제45조의2제2항에 따른 정보보호 사전점검기준은 다음 각 호의 사항을 고려하여 방송통신위원회가 정하여 고시한다.
1. 정보통신망을 구축하거나 정보통신서비스를 제공하기 위한 시스템의 구조 및 운영환경
2. 제1호에 따른 시스템의 운영을 위한 하드웨어, 프로그램, 콘텐츠 등 자산 중 보호해야 할 대상의 식별 및 위험성
3. 보호대책의 도출 및 구현현황
제36조의3(정보보호 사전점검 권고 대상) ① 법 제45조의2제2항제1호에서 “대통령령으로 정하는 정보통신서비스 또는 전기통신사업”이란 정보시스템 구축에 필요한 투자금액이 5억원 이상(하드웨어ㆍ소프트웨어의 단순한 구입비용은 제외한 금액을 말한다)인 정보통신서비스 또는 전기통신사업을 말한다.
② 법 제45조의2제2항제2호에서 “대통령령으로 정하는 정보통신서비스 또는 전기통신사업”이란 방송통신위원회가 신규 정보통신서비스 또는 전기통신사업의 발굴ㆍ육성을 위하여 사업비의 전부 또는 일부를 지원하는 정보통신서비스 또는 전기통신사업을 말한다.
제36조의4(정보보호 사전점검의 방법 및 절차 등) ① 법 제45조의2제2항에 따른 정보보호 사전점검은 서면점검, 현장점검 또는 원격점검(외부에서 정보통신망을 통하여 제36조의2제1호에 따른 시스템에 접속하여 보안 관련 사항을 점검하는 것을 말한다)의 방법으로 실시한다.
② 법 제45조의2제2항에 따른 정보보호 사전점검은 다음 각 호의 순서로 진행한다.
1. 사전점검 준비
2. 설계 검토
3. 보호대책 적용
4. 보호대책 구현현황 점검
5. 사전점검 결과 정리
③ 법 제45조의2제2항에 따른 방송통신위원회의 권고를 받은 자는 정보보호 사전점검을 직접 실시하거나 법 제52조에 따른 한국인터넷진흥원(이하 “인터넷진흥원”이라 한다) 또는 외부 전문기관으로 하여금 실시하게 할 수 있다. 이 경우 정보보호 사전점검은 별표 2에 따른 정보보호 기술인력의 자격기준을 갖춘 사람만 수행할 수 있다.
④ 제1항부터 제3항까지에서 규정한 사항 외에 정보보호 사전점검의 방법 및 절차에 관하여 필요한 세부사항은 방송통신위원회가 정하여 고시한다.
제36조의5(정보보호 사전점검 수수료) ① 법 제45조의2제2항에 따른 방송통신위원회의 권고를 받은 자가 정보보호 사전점검을 인터넷진흥원이나 외부 전문기관으로 하여금 실시하게 한 경우에는 인터넷진흥원이나 외부 전문기관에 수수료를 납부하여야 한다.
② 방송통신위원회는 다음 각 호의 사항을 고려하여 정보보호 사전점검 수수료의 산정기준을 정하여 고시한다.
1. 정보보호 사전점검을 받는 정보통신서비스 또는 전기통신사업의 규모
2. 정보보호 사전점검에 참가하는 자의 전문성
3. 정보보호 사전점검에 필요한 기간
제36조의6(정보보호 최고책임자 협의회의 사업 범위) 법 제45조의3제3항에서 “대통령령으로 정하는 공동의 사업”이란 다음 각 호의 사업을 말한다.
1. 정보통신서비스 제공자의 정보보호 강화를 위한 정책의 조사, 연구 및 수립 지원
2. 정보통신서비스 이용에 따른 침해사고 분석 및 대책 연구
3. 정보보호 최고책임자 교육 등 정보통신서비스 제공자의 정보보호 능력 및 전문성 향상
4. 정보통신서비스 보안 관련 국제교류 및 협력
5. 그 밖에 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 필요한 사업
제39조부터 제46조까지를 각각 삭제한다.
제51조를 삭제한다.
제52조 및 제53조를 각각 제51조 및 제52조로 하고, 제47조, 제48조 및 제49조를 각각 제53조, 제53조의2 및 제53조의3로 하며, 제50조를 제47조로 한다.
제47조(종전의 제50조)를 다음과 같이 하고, 제48조 및 제49조를 각각 다음과 같이 신설한다.
제47조(정보보호 관리체계 인증의 방법ㆍ절차ㆍ범위 등) ① 법 제47조제1항 또는 제2항에 따라 정보보호 관리체계의 인증을 받으려는 자는 정보보호 관리체계 인증신청서(전자문서로 된 신청서를 포함한다)에 다음 각 호의 사항에 대한 설명이 포함된 정보보호 관리체계 명세서(전자문서를 포함한다)를 첨부하여 인터넷진흥원 또는 방송통신위원회가 지정한 기관(이하 “정보보호 관리체계 인증기관”이라 한다)에 제출하여야 한다.
1. 정보보호 관리체계의 범위
2. 정보보호 관리체계의 범위에 포함되어 있는 주요 정보통신설비의 목록과 시스템 구성도
3. 정보보호 관리체계를 수립ㆍ운영하는 방법과 절차
4. 정보보호 관리체계와 관련된 주요 문서의 목록
5. 정보보호 관리체계와 관련된 국내외 품질경영체제의 인증을 취득한 경우에는 그 명세
② 인터넷진흥원 또는 정보보호 관리체계 인증기관은 제1항에 따른 신청을 받은 때에는 법 제47조제3항에 따라 방송통신위원회가 정하여 고시하는 정보보호 관리체계 인증을 위한 관리적ㆍ기술적ㆍ물리적 보호대책을 포함한 인증기준 등(이하 “관리체계인증고시”라 한다)에 따라 신청인과 인증의 범위 및 일정 등에 관한 협의를 하여야 한다.
③ 법 제47조제1항 및 제2항에 따른 정보보호 관리체계 인증심사는 관리체계인증고시에 따라 서면심사 또는 현장심사의 방법으로 실시한다.
④ 제3항에 따른 심사는 제53조제1항제1호에 따른 인증심사원만 수행할 수 있다.
⑤ 인터넷진흥원 또는 정보보호 관리체계 인증기관은 제3항에 따른 인증심사의 결과를 심의하기 위하여 정보보호에 관한 학식과 경험이 풍부한 자를 위원으로 하는 인증위원회를 설치ㆍ운영하여야 한다.
⑥ 인터넷진흥원 또는 정보보호 관리체계 인증기관은 제5항에 따른 인증위원회의 심의 결과 관리체계인증고시에 적합한 때에는 그 인증신청을 한 자에게 정보보호 관리체계 인증서를 발급하여야 한다.
⑦ 제1항부터 제6항까지에서 규정한 사항 외에 인증신청, 인증심사, 인증위원회의 설치ㆍ운영 및 인증서의 발급 등에 필요한 세부사항은 방송통신위원회가 정하여 고시한다.
제48조(정보보호 관리체계 인증의 수수료) ① 제47조제1항에 따라 인증을 신청하는 자는 인터넷진흥원 또는 정보보호 관리체계 인증기관에 수수료를 납부하여야 한다.
② 방송통신위원회는 인증심사에 투입되는 인증심사원의 수, 인증심사에 필요한 일수 등을 고려하여 정보보호 관리체계 인증 수수료 산정을 위한 구체적인 기준을 정하여 고시한다.
제49조(정보보호 관리체계 인증 대상자의 범위) ① 법 제47조제2항제1호에서 “대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자”란 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다.
② 법 제47조제2항제3호에서 “대통령령으로 정하는 기준에 해당하는 자”란 다음 각 호의 어느 하나에 해당하는 자를 말한다.
1. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자
2. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자
제51조, 제52조 및 제53조(종전의 제52조, 제53조 및 제47조)를 각각 다음과 같이 한다.
제51조(인증의 사후관리) ① 법 제47조제6항에 따른 사후관리는 서면심사 또는 현장심사의 방법으로 실시한다.
② 인터넷진흥원 또는 정보보호 관리체계 인증기관은 제1항에 따른 사후관리를 실시한 결과 법 제47조제8항 각 호의 사유를 발견한 경우에는 제47조제5항에 따른 인증위원회의 심의를 거쳐 그 결과를 방송통신위원회에 통보하여야 한다.
제52조(인증표시 및 홍보) 법 제47조제1항 및 제2항에 따라 정보보호 관리체계 인증을 받은 자는 같은 조 제7항에 따라 인증받은 내용을 문서ㆍ송장ㆍ광고 등에 표시ㆍ홍보하는 경우 방송통신위원회가 정하여 고시하는 정보보호 관리체계 인증표시를 사용할 수 있다. 이 경우 인증의 범위와 유효기간을 함께 표시하여야 한다.
제53조(정보보호 관리체계 인증기관의 지정기준) ① 법 제47조제5항에 따른 정보보호 관리체계 인증기관의 지정기준은 다음 각 호와 같다.
1. 방송통신위원회가 정하여 고시하는 자격 요건을 갖춘 자(이하 “인증심사원”이라 한다)를 5명 이상 보유할 것
2. 방송통신위원회가 실시하는 업무수행 요건ㆍ능력 심사에서 적합하다고 인정받을 것
② 방송통신위원회는 인증심사원의 교육ㆍ자격관리에 관한 사항 및 제1항제2호에 따른 업무수행 요건ㆍ능력 심사에 관한 세부기준을 정하여 고시한다.
제53조의2(종전의 제48조)의 제목 “(정보보호관리체계인증기관의 지정절차 등)”을 “(정보보호 관리체계 인증기관의 지정절차 등)”으로 하고, 같은 조 제1항 각 호 외의 부분 중 “법 제47조”를 “법 제47조제5항”으로, “정보보호관리체계인증기관”을 각각 “정보보호 관리체계 인증기관”으로 하며, 같은 항 제1호를 다음과 같이 하고, 같은 항 제2호 중 “인증심사업무를 전담하는 직원”을 “인증심사원”으로 하며, 같은 항 제3호 중 “업무수행능력 심사”를 “업무수행 요건ㆍ능력 심사”로 한다.
1. 법인의 정관 또는 단체의 규약
제53조의2(종전의 제48조)제3항 중 “인정신청”을 “지정신청”으로, “제47조제1항”을 “제53조제1항”으로, “정보보호관리체계인증기관”을 “정보보호 관리체계 인증기관”으로, “정보보호 관리체계인증기관지정서를 교부하여야”를 “정보보호 관리체계 인증기관 지정서를 발급하여야”로 하고, 같은 조 제4항 중 “현장실사를 할 수 있다”를 “신청인에게 자료의 제출을 요구하거나 현장실사를 할 수 있다”로 한다.
제53조의3(종전의 제49조)의 제목 “(정보보호관리체계인증기관 지정의 유효기간)”을 “(정보보호 관리체계 인증기관 지정의 유효기간)”으로 하고, 같은 조 제1항 중 “제48조”를 “제53조의2”로, “정보보호관리체계인증기관”을 “정보보호 관리체계 인증기관”으로 하며, 같은 조 제3항 중 “제47조, 제48조 및 제1항”을 “제53조, 제53조의2 및 제1항”으로 한다.
제53조의4 및 제54조의2를 각각 다음과 같이 신설한다.
제53조의4(정보보호 관리체계 인증기관의 사후관리) ① 정보보호 관리체계 인증기관은 전년도 인증실적 보고서를 매년 1월 31일까지 방송통신위원회에 제출하여야 한다.
② 방송통신위원회는 법 제47조의2제1항 각 호에 해당하는지를 확인하기 위하여 필요한 경우 정보보호 관리체계 인증기관에 대하여 자료의 제출을 요구하거나 현장실사를 할 수 있다.
제54조의2(개인정보보호 관리체계의 인증) 법 제47조의3에 따른 개인정보보호 관리체계 인증의 방법ㆍ절차ㆍ범위ㆍ수수료ㆍ사후관리 및 인증기관 지정의 기준ㆍ절차ㆍ유효기간ㆍ취소 등에 관하여는 제47조, 제48조, 제51조부터 제53조까지, 제53조의2부터 제53조의4까지 및 제54조를 준용한다.
제55조 각 호 외의 부분 중 “법 제47조의3제4항”을 “법 제47조의4제4항”으로 한다.
제55조의2부터 제55조의5까지를 각각 다음과 같이 신설한다.
제55조의2(정보보호 관리등급 부여의 심사기준) ① 법 제47조의5제1항에 따른 정보보호 관리등급 부여의 심사기준은 다음 각 호와 같다.
1. 정보보호 관리체계의 구축 범위 및 운영기간
2. 정보보호를 위한 전담조직 및 예산
3. 정보보호 관리 활동 및 보호조치 수준
② 제1항에 따른 심사기준별 세부 평가기준 및 평가방법 등에 관하여 필요한 사항은 방송통신위원회가 정하여 고시한다.
제55조의3(정보보호 관리등급 부여의 방법 및 절차) ① 법 제47조의5제1항에 따라 정보보호 관리등급을 부여받으려는 자는 정보보호 관리등급 신청서(전자문서로 된 신청서를 포함한다)에 정보보호 관리체계 인증서 사본을 첨부하여 인터넷진흥원에 제출하여야 한다.
② 정보보호 관리등급 부여를 위한 심사는 서면심사 또는 현장심사의 방법으로 실시한다.
③ 제2항에 따른 심사는 인증심사원만 수행할 수 있다.
④ 인터넷진흥원은 제2항에 따른 심사 결과가 제55조의2에 따른 심사기준에 적합한 때에는 그 관리등급 부여를 신청한 자에게 정보보호 관리등급 증명서를 발급하여야 한다.
⑤ 제1항부터 제4항까지에서 규정한 사항 외에 정보보호 관리등급 부여의 신청ㆍ심사 및 정보보호 관리등급 증명서의 발급 등에 필요한 세부사항은 방송통신위원회가 정하여 고시한다.
제55조의4(정보보호 관리등급 부여의 수수료 등) 정보보호 관리등급 부여의 수수료, 등급표시 및 홍보에 관하여는 제48조 및 제52조를 준용한다.
제55조의5(정보보호 관리등급의 유효기간) 제55조의3에 따른 정보보호 관리등급의 유효기간은 1년으로 한다.
제68조제3호를 삭제한다.
제69조의2제1항 본문 중 “전기통신사업자”를 “정보통신서비스 제공자등”으로, “전기통신역무”를 “정보통신서비스”로 하고, 같은 조 제3항 중 “전기통신사업자”를 “정보통신서비스 제공자등”으로 한다.
제70조제2항 및 제3항을 각각 제3항 및 제4항으로 하고, 같은 조에 제2항을 다음과 같이 신설한다.
② 방송통신위원회는 법 제65조제1항에 따라 법 제22조부터 제32조까지의 규정을 위반한 사실을 확인하기 위한 법 제64조제1항 및 제3항에 따른 자료제출 요구 및 검사에 관한 권한(개인정보 침해와 관련하여 중앙전파관리소장에게 접수된 사항만 해당한다)을 중앙전파관리소장에게 위임한다.
별표 2의 제목 중 “제44조”를 “제36조의4”로 하고, 같은 표 제2호라목 중 “1년”을 “2년”으로, “2년”을 “3년”으로 한다.
별표 3을 삭제한다.
별표 4 및 별표 9를 각각 별지와 같이 한다.
부칙
제1조(시행일) 이 영은 2012년 8월 18일부터 시행한다. 다만, 제15조제2항, 제36조의2부터 제36조의6까지, 제39조부터 제49조까지, 제51조부터 제53조까지, 제53조의2부터 제53조의4까지, 제54조의2, 제55조의2부터 제55조의5까지, 별표 2, 별표 3, 별표 9 중 제2호어목ㆍ저목 및 부칙 제3조의 개정규정은 2013년 2월 18일부터 시행한다.
제2조(미이용 기간의 기산에 관한 적용례) 제16조제1항의 개정규정에 따른 기간은 2012년 8월 18일 이후 정보통신서비스를 이용하지 아니하는 경우부터 기산한다.
제3조(다른 법령의 개정) 지능형전력망의 구축 및 이용촉진에 관한 법률 시행령 일부를 다음과 같이 개정한다.
제16조제1호를 삭제한다.
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
[별표 4]
지정취소 및 업무정지에 관한 행정처분의 기준(제54조 관련)
1. 일반기준
가. 위반행위가 둘 이상인 경우로서 그에 해당하는 각각의 처분기준이 다른
경우에는 그 중 무거운 처분기준에 따른다. 다만, 둘 이상의 처분기준이 같은
업무정지인 경우에는 각 처분기간을 합산한 기간을 넘지 않는 범위에서
무거운 처분기준의 2분의 1까지 가중(가중하는 경우에도 1년을 초과할 수
없다. 이하 같다)할 수 있다.
나. 위반행위의 횟수에 따른 행정처분기준은 최근 2년간 같은 위반행위로
행정처분을 하는 경우에 적용한다. 이 경우 위반행위에 대하여 행정처분을
한 날과 다시 같은 위반행위를 적발한 날을 각각 기준으로 하여 위반횟수를
계산한다.
다. 처분권자는 다음의 사유를 고려하여 처분을 가중하거나 감경(법
제47조의2제1항제1호 및 제2호에 해당하는 경우는 제외한다)할 수 있다. 이
경우 그 처분이 업무정지인 경우에는 처분기준의 2분의 1의 범위에서
가중하거나 감경할 수 있고, 지정취소인 경우에는 6개월의 업무정지로
감경할 수 있다.
1) 가중 사유
가) 위반행위가 사소한 부주의나 단순한 오류가 아닌 고의나 중대한 과실에
따른 것으로 인정되는 경우
나) 위반의 내용과 정도가 중대하여 정보보호 관리체계 운영자 및
정보통신서비스 이용자에게 미치는 피해가 크다고 인정되는 경우
다) 위반행위의 기간 등에 비추어 가중이 필요하다고 인정되는 경우
라) 그 밖에 정보보호 관리체계 업무에 대한 정부 정책상 가중이 필요하다고
인정되는 경우
2) 감경 사유
가) 위반행위가 고의나 중대한 과실이 아닌 사소한 부주의나 단순한 오류로
인한 것으로 인정되는 경우
나) 위반의 내용과 정도가 경미하여 즉시 시정할 수 있다고 인정되는 경우
다) 그 밖에 정보보호 관리체계 업무에 대한 정부 정책상 감경이 필요하다고
인정되는 경우
2. 개별기준
┏━━━━━━━━━━━━━━━━┯━━━━━━━━━━┯━━━━━━━━━━━━━━━━━┓
┃위반행위 │근거 법조문 │위반횟수별 처분기준 ┃
┃ │ ├─────┬─────┬─────┨
┃ │ │1차 │2차 │3차 ┃
┃ │ │ │ │이상 ┃
┠────────────────┼──────────┼─────┼─────┼─────┨
┃가. 거짓이나 그 밖의 부정한 │법 제47조의2제1항제1│지정취소 │ │ ┃
┃방법으로 정보보호 관리체계 │호 │ │ │ ┃
┃인증기관의 지정을 받은 경우 │ │ │ │ ┃
┃나. 업무정지기간 중에 인증을 한 │ │지정취소 │ │ ┃
┃경우 │법 제47조의2제1항제2│ │ │ ┃
┃다. 정당한 사유 없이 인증을 │호 │ │ │ ┃
┃하지 않은 경우 │ │ │ │ ┃
┃ 1) 정보보호 관리체계 │법 제47조의2제1항제3│지정취소 │ │ ┃
┃인증기관으로 지정된 후 3 │호 │ │ │ ┃
┃년이 경과하도록 정보보호 │ │ │ │ ┃
┃관리체계 인증 실적이 없는 │ │ │ │ ┃
┃경우 │ │업무정지 │업무정지 │업무정지 ┃
┃ 2) 천재지변, 인증심사원의 │ │1개월 │2개월 │3개월 ┃
┃부족 등의 사유로 인증업무를 │ │ │ │ ┃
┃원활하게 수행할 수 없는 │ │ │ │ ┃
┃경우 등 불가피한 경우가 │ │ │ │ ┃
┃아님에도 불구하고 인증을 │ │ │ │ ┃
┃거부한 경우 │ │ │ │ ┃
┃라. 법 제47조제9항을 위반하여 │ │업무정지 │업무정지 │업무정지 ┃
┃인증을 한 경우 │법 제47조의2제1항제4│3개월 │6개월 │9개월 ┃
┃ 1) 인증심사원의 자격요건을 │호 │ │ │ ┃
┃갖추지 않은 자가 인증심사를 │ │업무정지 │업무정지 │업무정지 ┃
┃수행한 경우 │ │2개월 │4개월 │6개월 ┃
┃ 2) 정보보호 관리체계 │ │ │ │ ┃
┃인증기관이 신청인과 협의 │ │ │ │ ┃
┃없이 인증의 범위 및 일정을 │ │업무정지 │업무정지 │업무정지 ┃
┃임의로 정한 경우 │ │1개월 │2개월 │3개월 ┃
┃ 3) 제51조에 따른 인증의 │ │업무정지 │업무정지 │지정취소 ┃
┃사후관리를 실시하지 않은 │ │3개월 │6개월 │ ┃
┃경우 │ │ │ │ ┃
┃마. 법 제47조제10항에 따른 │ │ │ │ ┃
┃지정기준에 적합하지 않게 된 │법 제47조의2제1항제5│ │ │ ┃
┃경우 │호 │ │ │ ┃
┗━━━━━━━━━━━━━━━━┷━━━━━━━━━━┷━━━━━┷━━━━━┷━━━━━┛
[별표 9]
과태료의 부과기준(제74조 관련)
1. 일반기준
가. 위반행위의 횟수에 따른 과태료 부과기준은 최근 3년간 같은 위반행위를 한
경우에 적용한다. 이 경우 위반행위에 대하여 부과처분한 날과 다시 같은
위반행위를 적발한 날을 각각 기준으로 하여 위반횟수를 산정한다.
나. 부과권자는 위반행위의 동기ㆍ내용ㆍ결과ㆍ유형 및 개인정보 보호를 위한
사업자의 노력 등을 고려하여 과태료 금액의 2분의 1의 범위에서 그 금액을
가중하거나 감경할 수 있다. 다만, 가중하는 경우에도 법 제76조제1항부터
제3항까지에 따른 과태료의 상한을 초과할 수는 없다.
2. 개별기준
(단위: 만원)
┏━━━━━━━━━━━━━━━━━┯━━━━━━━━━━━┯━━━━━━━━━━━┓
┃위반행위 │근거 법조문 │위반횟수별 ┃
┃ │ │과태료 금액 ┃
┃ │ ├───┬───┬───┨
┃ │ │1회 │2회 │3회 ┃
┃ │ │ │ │이상 ┃
┠─────────────────┼───────────┼───┼───┼───┨
┃가. 법 제20조제2항을 위반하여 │법 제76조제3항제1호 │300 │600 │1,000 ┃
┃전자문서를 보관하지 않은 경우 │ │ │ │ ┃
┃나. 법 제21조를 위반하여 │법 제76조제3항제2호 │300 │600 │1,000 ┃
┃전자문서를 공개한 경우 │ │ │ │ ┃
┃다. 법 제23조제2항(법 제67조에 │법 제76조제1항제1호 │1,000 │2,000 │3,000 ┃
┃따라 준용되는 경우를 포함한다) │ │ │ │ ┃
┃을 위반하여 서비스의 제공을 │ │ │ │ ┃
┃거부한 경우 │ │ │ │ ┃
┃라. 법 제23조의2제1항을 위반하여 │법 제76조제1항제2호 │1,000 │2,000 │3,000 ┃
┃주민등록번호를 수집ㆍ이용하거나 │ │ │ │ ┃
┃같은 조 제2항에 따른 필요한 │ │ │ │ ┃
┃조치를 하지 않은 경우(법 제67 │ │ │ │ ┃
┃조에 따라 준용되는 경우를 │ │ │ │ ┃
┃포함한다) │법 제76조제3항제2호의 │1,000 │1,000 │1,000 ┃
┃마. 법 제23조의3제1항을 위반하여 │2 │ │ │ ┃
┃본인확인기관의 지정을 받지 않고 │ │ │ │ ┃
┃본인확인업무를 한 경우 │ │300 │600 │1,000 ┃
┃바. 법 제23조의3제2항에 따른 │법 제76조제3항제2호의 │ │ │ ┃
┃본인확인업무의 휴지 또는 같은 조 │3 │ │ │ ┃
┃제3항에 따른 본인확인업무의 폐지 │ │ │ │ ┃
┃사실을 이용자에게 통보하지 │ │ │ │ ┃
┃않거나 방송통신위원회에 신고하지 │ │ │ │ ┃
┃않은 경우 │ │1,000 │1,000 │1,000 ┃
┃사. 법 제23조의4제1항에 따른 │ │ │ │ ┃
┃본인확인업무의 정지 및 지정취소 │법 제76조제3항제2호의 │ │ │ ┃
┃처분에도 불구하고 본인확인업무를 │4 │ │ │ ┃
┃계속한 경우 │ │300 │600 │1,000 ┃
┃아. 법 제24조의2제3항(법 제67조에 │ │ │ │ ┃
┃따라 준용되는 경우를 포함한다)을 │ │ │ │ ┃
┃위반하여 제공 또는 취급위탁에 │법 제76조제3항제2호의 │ │ │ ┃
┃대한 동의를 받을 때 개인정보의 │5 │ │ │ ┃
┃수집ㆍ이용에 대한 동의와 │ │ │ │ ┃
┃구분하여 받지 않거나 이에 │ │ │ │ ┃
┃동의하지 않는다는 이유로 서비스 │ │600 │1,200 │2,000 ┃
┃제공을 거부한 경우 │ │ │ │ ┃
┃자. 법 제25조제2항(법 제67조에 │ │ │ │ ┃
┃따라 준용되는 경우를 포함한다) │ │ │ │ ┃
┃을 위반하여 이용자에게 개인정보 │법 제76조제2항제1호 │ │ │ ┃
┃취급위탁에 관한 사항을 공개하지 │ │600 │1,200 │2,000 ┃
┃않거나 알리지 않은 경우 │ │ │ │ ┃
┃차. 법 제26조제1항 및 제2항(법 제 │ │ │ │ ┃
┃67조에 따라 준용되는 경우를 │ │ │ │ ┃
┃포함한다)을 위반하여 이용자에게 │법 제76조제2항제2호 │ │ │ ┃
┃개인정보의 이전사실을 알리지 │ │600 │1,200 │2,000 ┃
┃않은 경우 │ │ │ │ ┃
┃카. 법 제27조제1항(법 제67조에 │ │ │ │ ┃
┃따라 준용되는 경우를 포함한다) │ │ │ │ ┃
┃을 위반하여 개인정보 │법 제76조제2항제3호 │600 │1,200 │2,000 ┃
┃관리책임자를 지정하지 않은 경우 │ │ │ │ ┃
┃타. 법 제27조의2제1항(법 제67 │ │ │ │ ┃
┃조에 따라 준용되는 경우를 │ │ │ │ ┃
┃포함한다)을 위반하여 개인정보 │법 제76조제2항제4호 │1,000 │2,000 │3,000 ┃
┃취급방침을 공개하지 않은 경우 │ │ │ │ ┃
┃파. 법 제27조의3제1항(법 제67 │ │ │ │ ┃
┃조에 따라 준용되는 경우를 │ │ │ │ ┃
┃포함한다)을 위반하여 이용자 및 │법 제76조제1항제2호의 │ │ │ ┃
┃방송통신위원회에 통지 또는 │2 │1,000 │2,000 │3,000 ┃
┃신고하지 않은 경우 │ │ │ │ ┃
┃하. 법 제28조제1항(법 제67조에 │ │ │ │ ┃
┃따라 준용되는 경우를 포함한다) │ │ │ │ ┃
┃에 따른 기술적ㆍ관리적 조치를 │ │1,000 │2,000 │3,000 ┃
┃하지 않은 경우 │법 제76조제1항제3호 │ │ │ ┃
┃거. 법 제29조제1항 본문을 │ │ │ │ ┃
┃위반하여 개인정보를 파기하지 │ │ │ │ ┃
┃않거나 같은 조 제2항에 따른 │ │ │ │ ┃
┃조치를 취하지 않은 경우(법 제67 │법 제76조제1항제4호 │1,000 │2,000 │3,000 ┃
┃조에 따라 준용되는 경우를 │ │ │ │ ┃
┃포함한다) │ │ │ │ ┃
┃너. 법 제30조제3항ㆍ제4항 및 제6 │ │ │ │ ┃
┃항(법 제30조제7항, 제31조제3항 │ │ │ │ ┃
┃및 제67조에 따라 준용되는 │법 제76조제1항제5호 │1,000 │2,000 │3,000 ┃
┃경우를 포함한다)을 위반하여 │ │ │ │ ┃
┃필요한 조치를 하지 않은 경우 │ │ │ │ ┃
┃더. 법 제30조의2제1항 본문을 │ │ │ │ ┃
┃위반하여 개인정보의 이용내역을 │ │300 │600 │1,000 ┃
┃통지하지 않은 경우(법 제67조에 │법 제76조제1항제5호의 │ │ │ ┃
┃따라 준용되는 경우를 포함한다) │2 │ │ │ ┃
┃러. 법 제42조의3제1항을 위반하여 │ │300 │600 │1,000 ┃
┃청소년 보호 책임자를 지정하지 │ │ │ │ ┃
┃않은 경우 │ │1,000 │2,000 │3,000 ┃
┃머. 법 제43조를 위반하여 정보를 │법 제76조제3항제3호 │ │ │ ┃
┃보관하지 않은 경우 │ │ │ │ ┃
┃버. 법 제44조의5제2항에 따른 │ │1,000 │1,000 │1,000 ┃
┃방송통신위원회의 명령을 │법 제76조제3항제4호 │ │ │ ┃
┃이행하지 않은 경우 │ │1,000 │1,000 │1,000 ┃
┃서. 법 제46조제2항을 위반하여 │법 제76조제1항제6호 │ │ │ ┃
┃보험에 가입하지 않은 경우 │ │ │ │ ┃
┃어. 법 제47조제2항을 위반하여 │ │300 │600 │1,000 ┃
┃정보보호 관리체계 인증을 받지 │법 제76조제3항제5호 │ │ │ ┃
┃않은 경우 │ │ │ │ ┃
┃저. 법 제47조제7항 및 제47조의3제 │법 제76조제3항제6호 │300 │600 │1,000 ┃
┃3항을 위반하여 인증받은 내용을 │ │ │ │ ┃
┃거짓으로 홍보한 경우 │ │ │ │ ┃
┃처. 법 제47조의4제3항을 위반하여 │법 제76조제3항제7호 │300 │600 │1,000 ┃
┃소프트웨어 사용자에게 알리지 │ │ │ │ ┃
┃않은 경우 │ │300 │600 │1,000 ┃
┃커. 법 제48조의2제4항에 따른 │법 제76조제3항제10호 │ │ │ ┃
┃시정명령을 이행하지 않은 경우 │ │300 │600 │1,000 ┃
┃터. 법 제48조의3제1항을 위반하여 │ │ │ │ ┃
┃침해사고의 신고를 하지 않은 경우 │법 제76조제3항제11호 │ │ │ ┃
┃퍼. 법 제48조의4제4항에 따른 │ │750 │1,500 │3,000 ┃
┃사업장 출입 및 조사를 │법 제76조제3항제11 │ │ │ ┃
┃방해하거나 거부 또는 기피한 │호의2 │ │ │ ┃
┃경우 │ │750 │1,500 │3,000 ┃
┃허. 법 제50조제1항부터 제3 │법 제76조제3항제12호 │ │ │ ┃
┃항까지의 규정을 위반하여 영리 │ │ │ │ ┃
┃목적의 광고성 정보를 전송한 │ │ │ │ ┃
┃경우 │법 제76조제1항제7호 │750 │1,500 │3,000 ┃
┃고. 법 제50조제4항 또는 제5항을 │ │ │ │ ┃
┃위반하여 광고성 정보를 전송할 │ │750 │1,500 │3,000 ┃
┃때 밝혀야 하는 사항을 밝히지 │법 제76조제1항제8호 │ │ │ ┃
┃않거나 거짓으로 밝힌 경우 │ │ │ │ ┃
┃노. 법 제50조제7항을 위반하여 │ │750 │1,500 │3,000 ┃
┃비용을 수신자에게 부담하도록 한 │ │ │ │ ┃
┃경우 │법 제76조제1항제9호 │ │ │ ┃
┃도. 법 제50조의5를 위반하여 │ │300 │600 │1,000 ┃
┃이용자의 동의를 받지 않고 │법 제76조제1항제10호 │ │ │ ┃
┃프로그램을 설치한 경우 │ │ │ │ ┃
┃로. 법 제50조의7제1항을 위반하여 │ │300 │600 │1,000 ┃
┃인터넷 홈페이지에 영리목적의 │법 제76조제1항제11호 │ │ │ ┃
┃광고성 정보를 게시한 경우 │ │ │ │ ┃
┃모. 법 제52조제6항을 위반하여 │ │300 │600 │1,000 ┃
┃한국인터넷진흥원의 명칭을 │법 제76조제3항제13호 │ │ │ ┃
┃사용한 경우 │ │300 │600 │1,000 ┃
┃보. 법 제53조제4항을 위반하여 │ │ │ │ ┃
┃사업의 휴지ㆍ폐지ㆍ해산의 │법 제76조제3항제14호 │ │ │ ┃
┃신고를 않은 경우 │ │300 │600 │1,000 ┃
┃소. 법 제56조제1항을 위반하여 │ │ │ │ ┃
┃약관을 신고하지 않은 경우 │법 제76조제3항제15호 │ │ │ ┃
┃오. 법 제57조제2항을 위반하여 │ │ │ │ ┃
┃관리적 조치 또는 기술적 조치를 │법 제76조제3항제16호 │300 │600 │1,000 ┃
┃하지 않은 경우 │ │ │ │ ┃
┃조. 법 제58조제1항을 위반하여 │ │ │ │ ┃
┃통신과금서비스 이용일시 등을 │법 제76조제3항제17호 │ │ │ ┃
┃통신과금서비스이용자에게 │ │ │ │ ┃
┃고지하지 않은 경우 │ │ │ │ ┃
┃초. 법 제58조제2항을 위반하여 │ │300 │600 │1,000 ┃
┃통신과금서비스이용자가 │법 제76조제3항제18호 │ │ │ ┃
┃구매ㆍ이용 내역을 확인할 수 │ │ │ │ ┃
┃있는 방법을 제공하지 않거나 │ │ │ │ ┃
┃통신과금서비스이용자의 제공 │ │300 │600 │1,000 ┃
┃요청에 응하지 않은 경우 │ │ │ │ ┃
┃코. 법 제58조제3항을 위반하여 │ │ │ │ ┃
┃통신과금서비스이용자의 요청에 │법 제76조제3항제19호 │300 │600 │1,000 ┃
┃대한 처리 결과를 │ │ │ │ ┃
┃통신과금서비스이용자에게 알려 │ │ │ │ ┃
┃주지 않은 경우 │ │ │ │ ┃
┃토. 법 제58조제4항을 위반하여 │법 제76조제3항제20호 │300 │600 │1,000 ┃
┃통신과금서비스에 관한 기록을 │ │ │ │ ┃
┃보존하지 않은 경우 │ │ │ │ ┃
┃포. 법 제59조제2항을 위반하여 │법 제76조제3항제21호 │300 │600 │1,000 ┃
┃통신과금서비스이용자의 이의신청 │ │ │ │ ┃
┃및 권리구제를 위한 절차를 │ │300 │600 │1,000 ┃
┃마련하지 않은 경우 │ │ │ │ ┃
┃호. 법 제64조제1항에 따른 관계 │법 제76조제3항제22호 │ │ │ ┃
┃물품ㆍ서류 등을 제출하지 │ │ │ │ ┃
┃아니하거나 거짓으로 제출한 경우 │ │ │ │ ┃
┃구. 법 제64조제2항에 따른 자료의 │법 제76조제3항제23호 │ │ │ ┃
┃열람ㆍ제출요청에 따르지 않은 │ │ │ │ ┃
┃경우 │법 제76조제3항제24호 │ │ │ ┃
┃누. 법 제64조제3항에 따른 │ │ │ │ ┃
┃출입ㆍ검사를 거부ㆍ방해 또는 │ │3,000 │3,000 │3,000 ┃
┃기피한 경우 │법 제76조제1항제12호 │ │ │ ┃
┃두. 법 제71조부터 제74조까지, 제7 │ │2,000 │2,000 │2,000 ┃
┃6조제1호부터 제11호까지 및 │ │ │ │ ┃
┃같은 조 제2항의 위반행위를 하여 │ │1,000 │1,000 │1,000 ┃
┃법 제64조제4항에 따른 │ │ │ │ ┃
┃방송통신위원회의 시정조치 │ │ │ │ ┃
┃명령을 이행하지 않은 경우 │ │1,000 │1,000 │1,000 ┃
┃ 1) 법 제71조의 위반행위에 대한 │ │ │ │ ┃
┃시정조치 명령을 이행하지 않은 │ │ │ │ ┃
┃경우 │ │750 │750 │750 ┃
┃ 2) 법 제72조의 위반행위에 대한 │ │ │ │ ┃
┃시정조치 명령을 이행하지 않은 │ │ │ │ ┃
┃경우 │ │600 │600 │600 ┃
┃ 3) 법 제73조 및 제74조의 │ │ │ │ ┃
┃위반행위에 대한 시정조치 명령을 │ │ │ │ ┃
┃이행하지 않은 경우 │ │ │ │ ┃
┃ 4) 법 제76조제1호부터 제6 │ │ │ │ ┃
┃호까지의 위반행위에 대한 │ │ │ │ ┃
┃시정조치 명령을 이행하지 않은 │ │ │ │ ┃
┃경우 │ │ │ │ ┃
┃ 5) 법 제76조제7호부터 제11 │ │ │ │ ┃
┃호까지의 위반행위에 대한 │ │ │ │ ┃
┃시정조치 명령을 이행하지 않은 │ │ │ │ ┃
┃경우 │ │ │ │ ┃
┃ 6) 법 제76조제2항의 위반행위에 │ │ │ │ ┃
┃대한 시정조치 명령을 이행하지 │ │ │ │ ┃
┃않은 경우 │ │ │ │ ┃
┗━━━━━━━━━━━━━━━━━┷━━━━━━━━━━━┷━━━┷━━━┷━━━┛
비고: 허목부터 로목까지의 규정에 따른 위반행위의 경우에는 해당 위반행위를
하도록 한 경우도 포함한다.
개정이유
[일부개정]
◇ 개정이유
대규모 개인정보 유출사고가 발생하는 것을 방지하기 위하여 주민등록번호의 무분별한 수집과 이용을 제한하는 등 개인정보보호 체계를 전반적으로 강화하는 내용으로 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」이 개정(법률 제11322호, 2012. 2. 17. 공포, 8. 18. 및 2013. 2. 18. 시행)됨에 따라 수집한 개인정보의 파기 절차, 개인정보 이용내역의 주기적 통지 절차, 개인정보 누출 시 통지ㆍ신고의 방법 등 법률에서 위임된 사항과 그 시행에 필요한 사항을 정하는 한편, 개인정보침해 사고 발생 시 신속한 대응을 위하여 중앙전파관리소장에게 접수되는 개인정보침해 사고와 관련한 정보통신서비스 제공자 등에 대한 자료제출 요구권 등을 중앙전파관리소장에게 위임하는 등 현행 제도의 운영상 나타난 일부 미비점을 개선ㆍ보완하려는 것임.
◇ 주요내용
가. 개인정보 누출 등 통지ㆍ신고 방법 등(안 제14조의2 신설)
1) 정보통신서비스 제공자 등은 개인정보가 분실ㆍ도난 또는 누출된 경우에는 해당 개인정보의 항목 등을 지체 없이 전자우편 등으로 이용자에게 알리거나 인터넷 홈페이지에 30일 이상 게시하고, 방송통신위원회에 신고하도록 함.
2) 개인정보 대량 누출 사실을 신속하게 이용자에게 전파하고 방송통신원회에 신고하도록 함으로써 개인정보 누출 사고 발생 시 피해의 확산 방지에 이바지할 수 있을 것으로 기대됨.
나. 장기 미이용 개인정보의 파기 등(안 제16조 신설)
1) 이용자가 정보통신서비스를 일정 기간(원칙적으로 3년) 이용하지 아니하는 경우에는 정보통신서비스 제공자 등은 해당 기간 만료 30일 전까지 개인정보가 파기되거나 분리되어 저장ㆍ관리되는 사실 등을 이용자에게 전자우편 등으로 알리고, 해당 기간 경과 후 즉시 이용자의 개인정보를 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리하도록 하며, 별도로 저장ㆍ관리되는 개인정보의 이용 또는 제공을 금지함.
2) 정보통신서비스 제공자 등이 이용자의 개인정보를 불필요하게 장기간 보관ㆍ이용하지 못하게 함으로써 개인정보의 누출 위험성을 줄일 수 있을 것으로 기대됨.
다. 개인정보 이용내역의 주기적 통지(안 제17조 신설)
1) 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자 등은 보관 중인 개인정보의 이용내역을 연 1회 이상 전자우편 등의 방법으로 이용자에게 통지하도록 함.
2) 이용자가 자신의 개인정보 이용내역을 쉽게 알 수 있게 함으로써 이용자의 개인정보 자기결정권을 실질적으로 보장할 수 있을 것으로 기대됨.
<법제처 제공>