정보통신/개인정보
개인정보의 분실·도난·유출(이하 "유출등"이라 함)은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고 개인정보가 해당 개인정보처리자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 말합니다[(「표준 개인정보 보호지침」(개인정보보호위원회 고시 제2024-1호, 2024. 1. 4. 발령·시행) 제25조)].
“개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함함)를 말합니다(「개인정보 보호법」 제2조제1호).
“개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다(「개인정보 보호법」 제2조제5호).
개인정보처리자는 개인정보가 유출등이 되었음을 알게 되었을 때에는 지체 없이 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법(이하 “서면등”이라 함)으로 72시간이내에 해당 정보주체에게 개인정보 유출에 관한 다음의 사실을 알려야 합니다(「개인정보 보호법」 제34조제1항·제4항 및 「개인정보 보호법 시행령」 제39조제1항 본문).
분실·도난·유출된 개인정보의 항목
분실·도난·유출된 시점과 그 경위
분실·도난·유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
개인정보처리자의 대응조치 및 피해 구제절차
정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
“정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말합니다(「개인정보 보호법」 제2조제3호).
다만, 유출등이 된 개인정보의 확산 및 추가 유출을 방지하기 위해 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우와 천재지변이나 그 밖에 부득이한 사유로 통지하기 곤란한 경우엔 그 조치를 하거나 사유가 해소된 후 지체 없이 정보주체에게 알릴 수 있습니다(「개인정보 보호법」 제34조제1항 및 「개인정보 보호법 시행령」 제39조제1항 단서).
개인정보처리자는 개인정보가 유출등이 되었음을 알게 되었을 때나 유출등의 사실을 알고 긴급한 조치를 한 후에도 구체적인 유출등이 된 개인정보의 항목, 유출등이 된 시점과 그 경위 내용을 확인하지 못한 경우에는 먼저 개인정보가 유출등이 된 사실과 유출등이 확인된 사항만을 서면 등의 방법으로 먼저 알리고 나중에 확인되는 사항을 추가로 알릴 수 있습니다(「개인정보 보호법」 제34조제1항 및 「개인정보 보호법 시행령」 제39조제2항).
이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 자신의 인터넷 홈페이지에 30일 이상 게시하는 것으로 통지를 갈음할 수 있습니다. 인터넷 홈페이지를 운영하지 않을 경우에는 사업장등의 보기 쉬운 장소에 30일 이상 게시하는 방법으로 통지할 수 있습니다.(「개인정보 보호법」 제34조제1항 단서, 「개인정보 보호법 시행령」 제39조제3항 및 제40조제3항).
개인정보처리자는 개인정보의 유출등이 있음을 알게 되었을 때에는 개인정보의 유형, 유출등의 경로 및 규모 등을 고려하여 다음에 해당하는 경우 72시간 이내에 개인정보 보호위원회 또는 한국인터넷진흥원에 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법으로 신고해야 합니다(「개인정보 보호법」 제34조제3항 전단 및 「개인정보 보호법 시행령」 제40조제1항 본문).
1천명 이상의 정보주체에 관한 개인정보가 유출등이 된 경우
민감정보 또는 고유식별정보가 유출등이 된 경우
개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 유출등이 된 경우
이를 위반하여 조치 결과를 신고하지 않은 자는 3천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제2항제18호).
구분 | 정보시스템 운영 기업·기관(개인정보처리자) | 일반이용자(정보주체) | |
개인정보 유출 신고 | 침해사고 신고 | 개인정보 침해 신고 | |
근거법령 | 「개인정보 보호법」 제34조 | ||
신고대상 | 공공기관 및 민간기업 (정보통신서비스 제공자 제외) | 정보통신서비스 제공자, 집적정보통신시설 사업자 | 정보통신서비스이용자(정보주체) |
신고기관 | 행정안전부 및 한국인터넷진흥원(KISA) | 과학기술정보통신부 및 한국인터넷진흥원(KISA) | 한국인터넷진흥원(KISA) 개인정보침해신고센터 |
신고기한 | 지체없이(5일 이내) | 즉시 | |
신고기준 | 1천명 이상 정보주체의 개인정보 유출 시 | 개인정보에 대한 권리 또는 이익 침해 시 | |
과태료 | 3천만원 이하 | 1천만원 이하 | |
(출처: 한국인터넷진흥원(www.kisa.or.kr)-사업소개-개인정보본부-침해사고 예방·신고-개인정보 침해사고 신고 및 상담)
개인정보 보호위원회는 개인정보처리자가 처리하는 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 않는 범위에서 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정하여 과징금을 부과할 수 있습니다(「개인정보 보호법」 제64조의2제1항제9호 본문·제2항).
개인정보 보호위원회는 위반행위에 상응하는 비례성과 침해 예방에 대한 효과성이 확보될 수 있도록 다음의 사항을 고려해야 합니다(「개인정보 보호법」 제64조의2제4항).
위반행위의 내용 및 정도
위반행위의 기간 및 횟수
위반행위로 인하여 취득한 이익의 규모
암호화 등 안전성 확보 조치 이행 노력
개인정보가 분실·도난·유출·위조·변조·훼손된 경우 위반행위와의 관련성 및 분실·도난·유출·위조·변조·훼손의 규모
위반행위로 인한 피해의 회복 및 피해 확산 방지 조치의 이행 여부
개인정보처리자의 업무 형태 및 규모
개인정보처리자가 처리하는 개인정보의 유형과 정보주체에게 미치는 영향
위반행위로 인한 정보주체의 피해 규모
개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위한 노력
개인정보 보호위원회와의 협조 등 위반행위를 시정하기 위한 조치 여부
다만, 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 개인정보처리자가 안전성 확보에 필요한 조치를 다한 경우에는 그렇지 않습니다((「개인정보 보호법」 제64조의2제1항제9호 단서).
개인정보 보호위원회는 과징금을 부과하려는 경우에는 해당 위반행위를 조사·확인한 후 위반사실, 부과금액, 이의제기 방법 및 이의제기 기간 등을 서면으로 명시하여 과징금 부과대상자에게 통지해야 합니다(「개인정보 보호법 시행령」 제60조의3제1항).
