◐ 제2조 제1호 ~ 제6호(정의)

1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.

  가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

  나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.

  다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)

1의2. “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.

2. “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.

5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

6. “공공기관”이란 다음 각 목의 기관을 말한다.

  가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체

  나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관

◐ 제15조(개인정보의 수집·이용)

① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.

  1. 정보주체의 동의를 받은 경우

  2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

  3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

  4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우

  5. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

  6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

  7. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

  1. 개인정보의 수집ㆍ이용 목적

  2. 수집하려는 개인정보의 항목

  3. 개인정보의 보유 및 이용 기간

  4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.

◐ 제17조 제1항 제1호(개인정보의 제공)

① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다.

  1. 정보주체의 동의를 받은 경우

◐ 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지)

① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.

  1. 개인정보의 수집 출처

  2. 개인정보의 처리 목적

  3. 제37조에 따른 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실

② 제1항에도 불구하고 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다.

③ 제2항 본문에 따라 알리는 경우 정보주체에게 알리는 시기ㆍ방법 및 절차 등 필요한 사항은 대통령령으로 정한다.

④ 제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다.

  1. 통지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우

  2. 통지로 인하여 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

◐ 제26조(업무위탁에 따른 개인정보의 처리 제한)

① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 한다.

  1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항

  2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항

  3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항

② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자를 포함하며, 이하 “수탁자”라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.

④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.

⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.

⑥ 수탁자는 위탁받은 개인정보의 처리 업무를 제3자에게 다시 위탁하려는 경우에는 위탁자의 동의를 받아야 한다.

⑦ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.

⑧ 수탁자에 관하여는 제15조부터 제18조까지, 제21조, 제22조, 제22조의2, 제23조, 제24조, 제24조의2, 제25조, 제25조의2, 제27조, 제28조, 제28조의2부터 제28조의5까지, 제28조의7부터 제28조의11까지, 제29조, 제30조, 제30조의2, 제31조, 제33조, 제34조, 제34조의2, 제35조, 제35조의2, 제36조, 제37조, 제37조의2, 제38조, 제59조, 제63조, 제63조의2 및 제64조의2를 준용한다. 이 경우 “개인정보처리자”는 “수탁자”로 본다

◐ 제29조(안전조치의무)

인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다

◐ 제37조(개인정보의 처리정지 등)

① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. 이 경우 공공기관에 대해서는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다.

② 개인정보처리자는 제1항에 따른 처리정지 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.

  1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

  2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

  3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우

  4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우

③ 개인정보처리자는 정보주체가 제1항에 따라 동의를 철회한 때에는 지체 없이 수집된 개인정보를 복구ㆍ재생할 수 없도록 파기하는 등 필요한 조치를 하여야 한다. 다만, 제2항 각 호의 어느 하나에 해당하는 경우에는 동의 철회에 따른 조치를 하지 아니할 수 있다.

④ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하거나 제3항 단서에 따라 동의 철회에 따른 조치를 하지 아니하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다.

⑤ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다.

⑥ 제1항부터 제5항까지의 규정에 따른 처리정지의 요구, 동의 철회, 처리정지의 거절, 통지 등의 방법 및 절차에 필요한 사항은 대통령령으로 정한다

◐ 제63조(자료제출 요구 및 검사)

① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자에게 관계 물품ㆍ서류 등 자료를 제출하게 할 수 있다.

  1. 이 법을 위반하는 사항을 발견하거나 혐의가 있음을 알게 된 경우

  2. 이 법 위반에 대한 신고를 받거나 민원이 접수된 경우

  3. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 경우로서 대통령령으로 정하는 경우

② 보호위원회는 개인정보처리자가 제1항에 따른 자료를 제출하지 아니하거나 이 법을 위반한 사실이 있다고 인정되면 소속 공무원으로 하여금 개인정보처리자 및 해당 법 위반사실과 관련한 관계인의 사무소나 사업장에 출입하여 업무 상황, 장부 또는 서류 등을 검사하게 할 수 있다. 이 경우 검사를 하는 공무원은 그 권한을 나타내는 증표를 지니고 이를 관계인에게 내보여야 한다.

③ 보호위원회는 이 법 등 개인정보 보호와 관련된 법규의 위반행위로 인하여 중대한 개인정보 침해사고가 발생한 경우 신속하고 효과적인 대응을 위하여 다음 각 호의 어느 하나에 해당하는 관계 기관의 장에게 협조를 요청할 수 있다.

  1. 중앙행정기관

  2. 지방자치단체

  3. 그 밖에 법령 또는 자치법규에 따라 행정권한을 가지고 있거나 위임 또는 위탁받은 공공기관

④ 제3항에 따라 협조를 요청받은 관계 기관의 장은 특별한 사정이 없으면 이에 따라야 한다.

⑤ 제1항 및 제2항에 따른 자료제출 요구, 검사 절차 및 방법 등에 관하여 필요한 사항은 보호위원회가 정하여 고시할 수 있다.

⑥ 보호위원회는 제1항 및 제2항에 따라 제출받거나 수집한 서류ㆍ자료 등을 이 법에 따른 경우를 제외하고는 제3자에게 제공하거나 일반에 공개해서는 아니 된다.

⑦ 보호위원회는 정보통신망을 통하여 자료의 제출 등을 받은 경우나 수집한 자료 등을 전자화한 경우에는 개인정보ㆍ영업비밀 등이 유출되지 아니하도록 제도적ㆍ기술적 보완조치를 하여야 한다.

◐ 제64조(시정조치 등)

① 보호위원회는 이 법을 위반한 자(중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 제외한다)에 대하여 다음 각 호에 해당하는 조치를 명할 수 있다.

  1. 개인정보 침해행위의 중지

  2. 개인정보 처리의 일시적인 정지

  3. 그 밖에 개인정보의 보호 및 침해 방지를 위하여 필요한 조치

② 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 그 소속 기관 및 소관 공공기관이 이 법을 위반하였을 때에는 제1항 각 호에 해당하는 조치를 명할 수 있다. 

③ 보호위원회는 중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회가 이 법을 위반하였을 때에는 해당 기관의 장에게 제1항 각 호에 해당하는 조치를 하도록 권고할 수 있다. 이 경우 권고를 받은 기관은 특별한 사유가 없으면 이를 존중하여야 한다. 

2. 개인정보보호 관련 주요 법 조문 : 통신비밀보호법

◐ 제3조(통신 및 대화비밀의 보호)

①누구든지 이 법과 형사소송법 또는 군사법원법의 규정에 의하지 아니하고는 우편물의 검열ㆍ전기통신의 감청 또는 통신사실확인자료의 제공을 하거나 공개되지 아니한 타인간의 대화를 녹음 또는 청취하지 못한다. 다만, 다음 각호의 경우에는 당해 법률이 정하는 바에 의한다.

  1. 환부우편물등의 처리 : 우편법 제28조ㆍ제32조ㆍ제35조ㆍ제36조등의 규정에 의하여 폭발물등 우편금제품이 들어 있다고 의심되는 소포우편물(이와 유사한 郵便物을 포함한다) 을 개피하는 경우, 수취인에게 배달할 수 없거나 수취인이 수령을 거부한 우편물을 발송인에게 환부하는 경우, 발송인의 주소ㆍ성명이 누락된 우편물로서 수취인이 수취를 거부하여 환부하는 때에 그 주소ㆍ성명을 알기 위하여 개피하는 경우 또는 유가물이 든 환부불능우편물을 처리하는 경우

  2. 수출입우편물에 대한 검사 : 관세법 제256조ㆍ제257조 등의 규정에 의한 신서외의 우편물에 대한 통관검사절차

  3. 구속 또는 복역중인 사람에 대한 통신 : 형사소송법 제91조, 군사법원법 제131조, 「형의 집행 및 수용자의 처우에 관한 법률」 제41조ㆍ제43조ㆍ제44조 및 「군에서의 형의 집행 및 군수용자의 처우에 관한 법률」 제42조ㆍ제44조 및 제45조에 따른 구속 또는 복역중인 사람에 대한 통신의 관리

  4. 파산선고를 받은 자에 대한 통신 : 「채무자 회생 및 파산에 관한 법률」 제484조의 규정에 의하여 파산선고를 받은 자에게 보내온 통신을 파산관재인이 수령하는 경우

  5. 혼신제거등을 위한 전파감시 : 전파법 제49조 내지 제51조의 규정에 의한 혼신제거등 전파질서유지를 위한 전파감시의 경우

②우편물의 검열 또는 전기통신의 감청(이하 “통신제한조치”라 한다)은 범죄수사 또는 국가안전보장을 위하여 보충적인 수단으로 이용되어야 하며, 국민의 통신비밀에 대한 침해가 최소한에 그치도록 노력하여야 한다.

③누구든지 단말기기 고유번호를 제공하거나 제공받아서는 아니된다. 다만, 이동전화단말기 제조업체 또는 이동통신사업자가 단말기의 개통처리 및 수리 등 정당한 업무의 이행을 위하여 제공하거나 제공받는 경우에는 그러하지 아니하다.

◐ 제14조(타인의 대화비밀 침해금지)

①누구든지 공개되지 아니한 타인간의 대화를 녹음하거나 전자장치 또는 기계적 수단을 이용하여 청취할 수 없다.

②제4조 내지 제8조, 제9조제1항 전단 및 제3항, 제9조의2, 제11조제1항ㆍ제3항ㆍ제4항 및 제12조의 규정은 제1항의 규정에 의한 녹음 또는 청취에 관하여 이를 적용한다. 

3. 개인정보보호 관련 주요 법 조문 : 정보통신망법, 형법

◐ 정보통신망법 제49조(비밀 등의 보호)

누구든지 정보통신망에 의하여 처리ㆍ보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해ㆍ도용 또는 누설하여서는 아니 된다.

◐ 형법제316조(비밀침해)

①봉함 기타 비밀장치한 사람의 편지, 문서 또는 도화를 개봉한 자는 3년 이하의 징역이나 금고 또는 500만원 이하의 벌금에 처한다. <개정 1995. 12. 29.>

②봉함 기타 비밀장치한 사람의 편지, 문서, 도화 또는 전자기록등 특수매체기록을 기술적 수단을 이용하여 그 내용을 알아낸 자도 제1항의 형과 같다.