정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 변경 내역

2017.9.23 부터 시행되는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령' 변경 내역 입니다.

1. 개인정보 파기 관련 타 법령 준용

1년간 이용하지 않은 개인정보 별도 분리/파기 조항에 다른 법령에서 정하는 기간이 있는 경우 별도 분리 보관하도록 명시.

제16조(개인정보의 파기 등) ① 삭제    ② 정보통신서비스 제공자등은 이용자가 정보통신서비스를 법 제29조제2항의  기간 동안 이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장·관리하여야 한다. 다만, 법 제29조제2항 본문에 따른 기간(법 제29조제2항 단서에 따라 이용자의 요청에 따라 달리 정한 경우에는 그 기간을 말한다)이 경과한 경우로서 다른 법령에 따라 이용자의 개인정보를 보존하여야 하는 경우에는 다른 법령에서 정한 기간이 경과할 때까지  다른 이용자의 개인정보와 분리하여 별도로 저장·관리하여야 한다.   ③ 정보통신서비스 제공자등은 제2항에 따라 개인정보를 별도로 저장·관리하는 경우에는 법 또는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 해당 개인정보를 이용하거나 제공하여서는 아니 된다.  ④ 법 제29조제3항에서 "개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항"이란 다음 각 호의 사항을 말한다.    1. 개인정보를 파기하는 경우: 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목  2. 다른 이용자의 개인정보와 분리하여 개인정보를 저장·관리하는 경우: 개인정보가 분리되어 저장·관리되는 사실, 기간 만료일 및 분리·저장되어 관리되는 개인정보의 항목  ⑤ 법 제29조제3항에서 "전자우편 등 대통령령으로 정하는 방법"이란 전자우편·서면·모사전송·전화 또는 이와 유사한 방법을 말한다.

가령 '전자금융거래법 시행령'의 경우 금융거래를 5년간 보존하도록 하는 조항이 있습니다. 이런 케이스의 경우, 사용자가 1년간 서비스를 이용하지 않더라도 무조건 파기가 아니라 별도 분리해서 보관해야 합니다. 

제12조(전자금융거래기록의 보존기간ㆍ보존방법 및 파기 절차ㆍ방법 등) ①법 제22조제1항 및 제3항에 따른 전자금융거래기록의 종류별 보존기간은 다음 각 호와 같다.  <개정 2008.2.29, 2015.4.14>  1. 다음 각 목의 전자금융거래기록은  5년간 보존하여야 한다.  가. 제7조제4항제1호 내지 제5호에 관한 사항  나. 해당 전자금융거래와 관련한 전자적 장치의 접속기록  다. 전자금융거래의 신청 및 조건의 변경에 관한 사항  라. 건당 거래금액이 1만원을 초과하는 전자금융거래에 관한 기록

2. 개인정보 국외 제공 시 통지방법

사용자의 편의를 위해 별도 동의를 거치지 않고 국외 개인정보 제공 시 전자우편, 서면, 모사전송, 전화 등을 이용하여 통지하도록 명시.

<정보통신망법 시행령> 제67조(개인정보 국외 이전시 보호조치) ① 법 제63조제2항 단서에서 "전자우편 등 대통령령으로 정하는 방법"이란  전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 어느 하나의 방법을 말한다.     ② 법 제63조제4항에 따라 개인정보를 국외로 이전하는 경우에 하여야 하는 보호조치는 다음 각 호와 같다.     1. 제15조에 따른 개인정보보호를 위한 기술적·관리적 조치  2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 사항  3. 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치  ③ 정보통신서비스 제공자등은 제2항 각 호의 사항을 개인정보를 국외에서 이전받는 자와 미리 협의하고, 이를 계약내용 등에 반영하여야 한다.

<정보통신망법> 제63조(국외 이전 개인정보의 보호)  ① 정보통신서비스 제공자등은 이용자의 개인정보에 관하여 이 법을 위반하는 사항을 내용으로 하는 국제계약을 체결하여서는 아니 된다.     ② 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 조에서 "이전"이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 정보통신서비스의 제공에 관한  계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁ㆍ보관에 따른 동의절차를 거치지 아니할 수 있다.

3. 과태료 관련 규정

1) 개인정보 처리업무를 위탁하는 경우 문서에 의하지 아니한 자에 대하여 1회 위반인 경우에는 300만원, 2회 위반인 경우에는 600만원, 3회 이상인 경우에는 1,000만원의 과태료를 부과
2) 본인확인기관의 지정을 받지 아니하고 본인확인업무를 한 자 등이 시정조치명령을 이행하지 아니한 경우에는 500만원의 과태료를 부과
3) 그 밖의 시정조치명령을 이행하지 아니한 경우에는 300만원의 과태료를 부과하도록 하는 등 과태료 부과기준

위반행위	근거 법조문	위반횟수별  과태료 금액
		1 회	2 회	3 회 이상
라 . 법 제 23 조의 3 제 1 항을 위반하여 본인확인기관의 지정을 받지 않고 본인확인업무를 한 경우	법 제 76 조제 3 항제 2 호의 2	1,000	1,000	1,000
자 . 법 제 25 조제 6 항 ( 제 67 조에 따라 준용되는 경우를 포함한다 ) 을 위반하여 개인정보 처리위탁을 할 때에 문서에 의하지 않은 경우	법 제 76 조제 3 항제 2 호의 5	300	600	1,000
투 . 이 법을 위반하여 법 제 64 조제 4 항에 따라 과학기술정보통신부 장관 또는 방송통신위원회로부터 받은 시정조치 명령을 이행하지 않은 경우	법 제 76 조제 1 항제 12 호
7) 법 제 76 조제 3 항의 위반행위에 대한 시정조치 명령을 이행하지 않은 경우		500	500	500
8) 그 밖의 시정조치 명령을 이행하지 않은 경우		300	300	300  [출처](개정)정보통신망법 시행령 (Open PE)|작성자 PE강군