1. 개인정보 취급/처리 방침 통합 운영 ···173 2. 개인정보보호 관련 징벌적 손해배상 관련 이중규제 해소 ···176 3. 정보통신망 이용자 개인정보 취급위탁 시 절차 개선 ···178 4. 건강기능식품 광고 심의 개선 ···179
목 차
비고 개인정보보호법 정보통신망 이용 촉진 및 정보보호 등에 관한 법률
정의
제2조 (정의)
5.“개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스 로 또는 다른 사람을 통하여 개인정보 를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
제2조 (정의)
3. "정보통신서비스 제공자"란 「전기통신 사업법」 제2조제8호에 따른 전기통 신사업자와 영리를 목적으로 전기통 신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매 개하는 자를 말한다.
책임자
제31조 (개인정보 보호책임자의 지정)
①개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책 임자를 지정하여야 한다.(과태료 5천만원 이하)
제45조의3 (정보보호 최고책임자의 지정 등)
①정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 임원급의 정보보호 최고책임자를 지정할 수 있다. 다만, 종업원 수, 이용자 수 등이 대통령령으로 정하는 기준에 해 당하는 정보통신서비스 제공자의 경우에 는 정보보호 최고책임자를 지정하고 미래 창조과학부장관에게 신고하여야 한다.
(상시 종업원 수가 1천명 이상인 자) (과태료 3천만원 이하)
정보의 개인 수집·이용
제15조 (개인정보의 수집ㆍ이용)
①개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할수 있 으며 그 수집목적의 범위에서 이용할수 있다.
1. 정보주체의 동의를 받은 경우
②개인정보처리자는 제1항제1호에 따른 동의 를 받을 때에는 다음 각 호의 사항을 정보 주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알 리고 동의를 받아야 한다.
1. 개인정보의 수집·이용 목적 2. 수집하려는 개인정보의 항목 3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 에는 그 불이익의 내용
(제15조제1항을 위반하여 개인정보를 수집한 자 : 과태료 5천만원 이하)
제22조 (개인정보의 수집·이용 동의 등)
①정보통신서비스 제공자는 이용자의 개인 정보를 이용하려고 수집하는 경우에는 다 음 각 호의 모든 사항을 이용자에게 알 리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에 도 또한 같다.
1. 개인정보의 수집ㆍ이용 목적 2. 수집하는 개인정보의 항목 3. 개인정보의 보유ㆍ이용 기간
(제22조제1항을 위반하여 이용자의 동의를 받지 아니하고 개인정보를 수집한 자 : 5년 이하의 징역 또는 5천만원 이하의 벌금)
1. 개인정보 취급/처리 방침 통합 운영
【 현 황 】
□ 정보통신망 이용촉진 및 정보보호 등에 관한 법률과 개인정보보호법에 따라 개인 정보 취급·처리를 별도로 운영하고 있음
○ 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리방침을 정해야 함 (개인정보보호법 §30, 행정자치부 개인정보보호과)
○ 정보통신서비스 제공자 등은 이용자의 개인정보를 취급하는 경우, 개인정보 취급 방침을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개해야 하며, 개인정보 취급방침에는 다음 각 호의 사항이 모두 포함되어야 함(정보통신망 이용촉진 및 정보보호 등에 관한 법률, 미래창조과학부 정보화 기획과)
【애로사례 및 개선사유】
□ 유사한 개인정보 취급방침과 처리방침에 관한 사항을 ‘정보통신망 이용촉진 및 정보 보호 등에 관한 법률'과 ‘개인정보보호법'에 각각 명시하고 있음
□ 각 법에 따라 개인정보 취급방침 또는 처리방침에 분리하여 등재하거나 경우에 따라 유사한 내용의 두 방침을 모두 등재
○ 온·오프라인 통합 서비스가 많아 개인정보 취급·처리방침 등재기준이 모호
○ 개인정보 처리내용 확인에 대한 접근성 및 가독성이 떨어지고 유사한 내용을 이중 관리하는 등 관리적인 측면에서 효율성이 떨어짐
□ 위 표에서 보듯이 두개의 법률조항에 서로 유사한 내용이 많음(위에 제시한 표의 내용을 제외하고도 중복 또는 유사 조항이 많음)
○ [정의] 개인정보처리자의 범위내에 정보통신서비스 제공자가 포함되는 것으로 판단됨(‘영리의 목적으로 전기통신사업자의 전기통신역무 이용 유·무’로 판단 할 수도 있으나, 어차피 개인정보처리자의 범위에 상당부분 포함)
○ [책임자] 통상 회사에서는 개인정보보호 책임자와 정보보호 책임자 둘 다 지정 해야 되는 경우가 발생
○ [개인정보의 수집ㆍ이용 동의] 위반시 처벌조항이 상이함. 굳이 구분하자면 개인 정보처리자냐 정보통신서비스 제공자냐의 차이지만, 처벌수위가 상당히 상이함 (대표적인 예를 들었으며, 다른 조항에서도 상이한 처벌 기준이 있음)
□ 이로 인해 실제업무에 있어서 법률(규제)의 이해나 적용에 대한 혼선이 발생
【개선방안】
□ 관련법령 및 개인정보 취급/처리방침을 통합하여 운영(명칭 통일, 등재항목 통합 등) 하거나, 명확한 차별(구분)이 제시되어야 할 필요성이 있음
현 행 개정(안)
<개인정보보호법>
제30조(개인정보 처리방침의 수립 및 공개)
①개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보 처리방침
"이라 한다)을 정하여야 한다. (이하 생략)
<정보통신망법>
제27조의2(개인정보 취급방침의 공개)
①정보통신서비스 제공자등은 이용자의 개인정보 를 취급하는 경우에는 개인정보 취급방침을 정 하여 이용자가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
② 제1항에 따른 개인정보 취급방침에는 다음 각 호의 사항이 모두 포함되어야 한다. (이하 생략)
<개인정보보호법>
제30조(개인정보 취급(처리)방침의 수립 및 공개)
①개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 취급(처리)방침(이하 "개인정보 취 급(처리)방침"이라 한다)을 정하여야 한다. (이하 생략)
⑤위 조항과 관련한 내용이 타 법에 규정된 경우 타 법을 따른다.
<정보통신망법>
제27조의2(개인정보취급(처리)방침의 공개)
①정보통신서비스 제공자 등은 이용자의 개인정 보를 취급하는 경우에는 개인정보 취급(처리)방 침을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개 하여야 한다.
②제1항에 따른 개인정보 취급(처리)방침에는 다 음 각 호의 사항이 모두 포함되어야 한다. (이하 생략)
※ 개인정보보호법 §39(손해배상책임
➂ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니 하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.<신설 2015.7.24> [시행일 : 2016.7.25]
※ 신용정보법 §43(손해배상의 책임)
② 신용정보회사 등이나 그 밖의 신용정보 이용자(수탁자를 포함한다. 이하 이 조에서 같다)가 고의 또는 중대한 과실로 이 법을 위반하여 개인신용정보가 누설되거나 분실·도난·누출·변조 또는 훼손되어 신용정보주체에게 피해를 입힌 경우에는 해당 신용정보주체에 대하여 그 손해의 3배를 넘지 아니하는 범위에서 배상할 책임이 있다. 다만, 신용정보회사등이나 그 밖의 신용정보 이용자 가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.<신설 2015.3.11>
※ 금융소비자보호법안 §44(금융상품판매업자등의 손해배상책임)
➁ 제1항에도 불구하고 금융상품 판매업자등이 일반 금융소비자를 대상으로 투자성 상품 또는 대출성 상품에 관한 구매권유를 하거나 계약을 체결할 때 제9조부터 제11조까지, 제12조 또는 제14조를 위반하여 일반금융소비자에게 손해를 발생시킨 경우에는 그 발생한 손해의 3배를 넘지 아니하는 범위에서 배상할 책임이 있다.
2. 개인정보보호 관련 징벌적 손해배상 관련 이중규제 해소
【현 황】
□ (신용정보법) 신용정보회사 등이 고의·중과실로 동 법을 위반하여 개인신용정보가 유출된 경우 정보주체가 입은 손해의 3배이내에서 배상할 징벌적 손해배상책임 신설
□ (개인정보보호법) 개인정보처리자가 동 법을 위반한 행위로 손해배상 책임을 지는 경우 발생한 손해의 3배 이내의 범위에서 배상할 징벌적 손해배상책임 신설
□ (금융소비자보호법안*) 금융상품판매업자 등이 이 법에 따른 금융상품 규제**를 위반 하여 금융소비자에게 발생시킨 손해의 3배 범위에서 배상할 징벌적 손해배상책임 신설
* : 13.3 정호준의원 대표발의 ** : 투자성 상품에 대한 위험등급분류 또는 대출원리금 분할상환 등
□ (민법 개정안*) 개별법상 징벌적 손해배상제도 도입이 가능하도록, 민법상 손해배상 의 범위에 예외가 되는 다른 법률의 규정이 있는 경우 이를 우선 적용
* 민법 일부개정법률안(‘14.5.19 이종걸의원 대표발의), 안 §762의2 신설
【애로사례 및 개선사유】
□ 가해자의 불법행위로 피해자가 입은 실손해액의 전보를 넘어서 형벌적 성격의 손해 배상책임을 추가로 부과하는 징벌적 손해배상제도는 이중규제에 해당
○ 손해의 공평한 분담을 기본이념으로 보상적 기능을 수행하는 현행 손해배상제도 에 부합하지 않아 법 적용 및 집행상의 혼란 초래 우려
【개선방안】
□ 개별법 상의 규정 신설을 통한 징벌적 손해배상 적용대상을 확대하거나 일반법상 근거 마련은 부적절
현행 개정(안) [정보통신망법]
제25조(개인정보의 취급위탁)
① 정보통신서비스 제공자와 그로부터 제24조의2 제1항에 따라 이용자의 개인정보를 제공받은 자(이하 "정보통신서비스 제공자등"이라 한다) 는 제3자에게 이용자의 개인정보를 수집·보 관·처리·이용·제공·관리·파기 등(이하 "
취급"이라 한다)을 할 수 있도록 업무를 위탁 (이하 "개인정보 취급위탁"이라 한다)하는 경 우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.
(이하 생략)
[정보통신망법]
제25조(개인정보의 취급위탁)
① 정보통신서비스 제공자와 그로부터 제24조의2 제1항에 따라 이용자의 개인정보를 제공받은 자(이하 "정보통신서비스 제공자등"이라 한다) 는 제3자에게 이용자의 개인정보를 수집·보 관·처리·이용·제공·관리·파기 등(이하 "
취급"이라 한다)을 할 수 있도록 업무를 위탁 (이하 "개인정보 취급위탁"이라 한다)하는 경 우에는 다음 각 호의 사항 모두를 이용자에게 알려야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. (이하 생략)
② 제1항에도 불구하고 이용자가 수신거부의사를 표시한 경우 해당 이용자의 개인정보 취급을 위탁 할 수 없다. (이하 생략)
3. 정보통신망 이용자 개인정보 취급위탁 시 절차 개선
【현 황】
□ 정보통신망 이용자의 개인정보 취급업무 위탁 시 계약을 이행하고 이용자 편의를 증진하는 경우를 제외하고, 수탁사 및 위탁내용에 대한 동의를 받도록 정보통신망법에 명시하고 있음(정보통신망 이용촉진 및 정보보호 등에 관한 법률)
【애로사례 및 개선사유】
□ 위탁으로 처리해야 하는 서비스에 이용자가 서비스 제공에는 동의하였으나, 해당 위탁 에 대해서는 동의를 지연 또는 거부할 경우 서비스 제공이 어려움
□ 개인정보보호법 §26 ③에도 비슷한 규정이 있으나, 내용이 상이(홍보 및 판촉 위탁 시 고지하도록 규정)
○ 개인정보보호법 §26(업무위탁에 따른 개인정보의 처리 제한) ③ 위탁자가 재화 또는 서비스를 홍보하거나, 판매를 권유하는 업무를 위탁하는 경우에는 대통령령 으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 함. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같음
【개선방안】
□ 취급 위탁시 동의절차를 고지절차로 완화하되, 해당위탁에 대한 거부의사 표명 허용
□ 관련 법안