2023년 개인정보 보호법 개정 내용 [시행 2023. 9. 15.]

2023년 개인정보 보호법 개정 내용

[시행 2023. 9. 15.] [법률 제19234호, 2023. 3. 14., 일부개정]

[본조신설 2023. 3. 14.]
제11조의2(개인정보 보호수준 평가)
제13조의2(개인정보 보호의 날)
제20조의2(개인정보 이용ㆍ제공 내역의 통지)
제22조의2(아동의 개인정보 보호)
제25조의2(이동형 영상정보처리기기의 운영 제한)
제28조의8(개인정보의 국외 이전)
제28조의9(개인정보의 국외 이전 중지 명령)
제28조의10(상호주의)
제28조의11(준용규정)
제30조의2(개인정보 처리방침의 평가 및 개선권고)
제35조의2(개인정보의 전송 요구)
제35조의3(개인정보관리 전문기관)
제35조의4(개인정보 전송 관리 및 지원)
제37조의2(자동화된 결정에 대한 정보주체의 권리 등)
제45조의2(진술의 원용 제한)
제50조의2(개선의견의 통보)
제63조의2(사전 실태점검)
제64조의2(과징금의 부과)

 

제11조의2(개인정보 보호수준 평가) 

① 보호위원회는 공공기관 중 중앙행정기관 및 그 소속기관, 지방자치단체, 그 밖에 대통령령으로 정하는 기관을 대상으로 매년 개인정보 보호 정책ㆍ업무의 수행 및 이 법에 따른 의무의 준수 여부 등을 평가(이하 “개인정보 보호수준 평가”라 한다)하여야 한다.

② 보호위원회는 개인정보 보호수준 평가에 필요한 경우 해당 공공기관의 장에게 관련 자료를 제출하게 할 수 있다.

③ 보호위원회는 개인정보 보호수준 평가의 결과를 인터넷 홈페이지 등을 통하여 공개할 수 있다.

④ 보호위원회는 개인정보 보호수준 평가의 결과에 따라 우수기관 및 그 소속 직원에 대하여 포상할 수 있고, 개인정보 보호를 위하여 필요하다고 인정하면 해당 공공기관의 장에게 개선을 권고할 수 있다. 이 경우 권고를 받은 공공기관의 장은 이를 이행하기 위하여 성실하게 노력하여야 하며, 그 조치 결과를 보호위원회에 알려야 한다.

⑤ 그 밖에 개인정보 보호수준 평가의 기준ㆍ방법ㆍ절차 및 제2항에 따른 자료 제출의 범위 등에 필요한 사항은 대통령령으로 정한다.

 

제13조의2(개인정보 보호의 날) 

① 개인정보의 보호 및 처리의 중요성을 국민에게 알리기 위하여 매년 9월 30일을 개인정보 보호의 날로 지정한다.

② 국가와 지방자치단체는 개인정보 보호의 날이 포함된 주간에 개인정보 보호 문화 확산을 위한 각종 행사를 실시할 수 있다.

 

제20조의2(개인정보 이용ㆍ제공 내역의 통지) 

① 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 이 법에 따라 수집한 개인정보의 이용ㆍ제공 내역이나 이용ㆍ제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로 정보주체에게 통지하여야 한다. 다만, 연락처 등 정보주체에게 통지할 수 있는 개인정보를 수집ㆍ보유하지 아니한 경우에는 통지하지 아니할 수 있다.

② 제1항에 따른 통지의 대상이 되는 정보주체의 범위, 통지 대상 정보, 통지 주기 및 방법 등에 필요한 사항은 대통령령으로 정한다.

 

제22조의2(아동의 개인정보 보호) 

① 개인정보처리자는 만 14세 미만 아동의 개인정보를 처리하기 위하여 이 법에 따른 동의를 받아야 할 때에는 그 법정대리인의 동의를 받아야 하며, 법정대리인이 동의하였는지를 확인하여야 한다.

② 제1항에도 불구하고 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보로서 대통령령으로 정하는 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다.

③ 개인정보처리자는 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 할 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용하여야 한다.

④ 제1항부터 제3항까지에서 규정한 사항 외에 동의 및 동의 확인 방법 등에 필요한 사항은 대통령령으로 정한다.

 

제25조의2(이동형 영상정보처리기기의 운영 제한) 

① 업무를 목적으로 이동형 영상정보처리기기를 운영하려는 자는 다음 각 호의 경우를 제외하고는 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상(개인정보에 해당하는 경우로 한정한다. 이하 같다)을 촬영하여서는 아니 된다.

1. 제15조제1항 각 호의 어느 하나에 해당하는 경우

2. 촬영 사실을 명확히 표시하여 정보주체가 촬영 사실을 알 수 있도록 하였음에도 불구하고 촬영 거부 의사를 밝히지 아니한 경우. 이 경우 정보주체의 권리를 부당하게 침해할 우려가 없고 합리적인 범위를 초과하지 아니하는 경우로 한정한다.

3. 그 밖에 제1호 및 제2호에 준하는 경우로서 대통령령으로 정하는 경우

② 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있는 곳에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하여서는 아니 된다. 다만, 인명의 구조ㆍ구급 등을 위하여 필요한 경우로서 대통령령으로 정하는 경우에는 그러하지 아니하다.

③ 제1항 각 호에 해당하여 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하는 경우에는 불빛, 소리, 안내판 등 대통령령으로 정하는 바에 따라 촬영 사실을 표시하고 알려야 한다.

④ 제1항부터 제3항까지에서 규정한 사항 외에 이동형 영상정보처리기기의 운영에 관하여는 제25조제6항부터 제8항까지의 규정을 준용한다.

 

제28조의8(개인정보의 국외 이전) 

① 개인정보처리자는 개인정보를 국외로 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 절에서 “이전”이라 한다)하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 국외로 이전할 수 있다.

1. 정보주체로부터 국외 이전에 관한 별도의 동의를 받은 경우

2. 법률, 대한민국을 당사자로 하는 조약 또는 그 밖의 국제협정에 개인정보의 국외 이전에 관한 특별한 규정이 있는 경우

3. 정보주체와의 계약의 체결 및 이행을 위하여 개인정보의 처리위탁ㆍ보관이 필요한 경우로서 다음 각 목의 어느 하나에 해당하는 경우

가. 제2항 각 호의 사항을 제30조에 따른 개인정보 처리방침에 공개한 경우

나. 전자우편 등 대통령령으로 정하는 방법에 따라 제2항 각 호의 사항을 정보주체에게 알린 경우

4. 개인정보를 이전받는 자가 제32조의2에 따른 개인정보 보호 인증 등 보호위원회가 정하여 고시하는 인증을 받은 경우로서 다음 각 목의 조치를 모두 한 경우

가. 개인정보 보호에 필요한 안전조치 및 정보주체 권리보장에 필요한 조치

나. 인증받은 사항을 개인정보가 이전되는 국가에서 이행하기 위하여 필요한 조치

5. 개인정보가 이전되는 국가 또는 국제기구의 개인정보 보호체계, 정보주체 권리보장 범위, 피해구제 절차 등이 이 법에 따른 개인정보 보호 수준과 실질적으로 동등한 수준을 갖추었다고 보호위원회가 인정하는 경우

② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 미리 다음 각 호의 사항을 정보주체에게 알려야 한다.

1. 이전되는 개인정보 항목

2. 개인정보가 이전되는 국가, 시기 및 방법

3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처를 말한다)

4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간

5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과

③ 개인정보처리자는 제2항 각 호의 어느 하나에 해당하는 사항을 변경하는 경우에는 정보주체에게 알리고 동의를 받아야 한다.

④ 개인정보처리자는 제1항 각 호 외의 부분 단서에 따라 개인정보를 국외로 이전하는 경우 국외 이전과 관련한 이 법의 다른 규정, 제17조부터 제19조까지의 규정 및 제5장의 규정을 준수하여야 하고, 대통령령으로 정하는 보호조치를 하여야 한다.

⑤ 개인정보처리자는 이 법을 위반하는 사항을 내용으로 하는 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.

⑥ 제1항부터 제5항까지에서 규정한 사항 외에 개인정보 국외 이전의 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다.

 

제28조의9(개인정보의 국외 이전 중지 명령) 

① 보호위원회는 개인정보의 국외 이전이 계속되고 있거나 추가적인 국외 이전이 예상되는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자에게 개인정보의 국외 이전을 중지할 것을 명할 수 있다.

1. 제28조의8제1항, 제4항 또는 제5항을 위반한 경우

2. 개인정보를 이전받는 자나 개인정보가 이전되는 국가 또는 국제기구가 이 법에 따른 개인정보 보호 수준에 비하여 개인정보를 적정하게 보호하지 아니하여 정보주체에게 피해가 발생하거나 발생할 우려가 현저한 경우

② 개인정보처리자는 제1항에 따른 국외 이전 중지 명령을 받은 경우에는 명령을 받은 날부터 7일 이내에 보호위원회에 이의를 제기할 수 있다.

③ 제1항에 따른 개인정보 국외 이전 중지 명령의 기준, 제2항에 따른 불복 절차 등에 필요한 사항은 대통령령으로 정한다.

 

제28조의10(상호주의) 

제28조의8에도 불구하고 개인정보의 국외 이전을 제한하는 국가의 개인정보처리자에 대해서는 해당 국가의 수준에 상응하는 제한을 할 수 있다. 다만, 조약 또는 그 밖의 국제협정의 이행에 필요한 경우에는 그러하지 아니하다.

 

제28조의11(준용규정) 

제28조의8제1항 각 호 외의 부분 단서에 따라 개인정보를 이전받은 자가 해당 개인정보를 제3국으로 이전하는 경우에 관하여는 제28조의8 및 제28조의9를 준용한다. 이 경우 “개인정보처리자”는 “개인정보를 이전받은 자”로, “개인정보를 이전받는 자”는 “제3국에서 개인정보를 이전받는 자”로 본다.

 

제30조의2(개인정보 처리방침의 평가 및 개선권고) 

① 보호위원회는 개인정보 처리방침에 관하여 다음 각 호의 사항을 평가하고, 평가 결과 개선이 필요하다고 인정하는 경우에는 개인정보처리자에게 제61조제2항에 따라 개선을 권고할 수 있다.

1. 이 법에 따라 개인정보 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지 여부

2. 개인정보 처리방침을 알기 쉽게 작성하였는지 여부

3. 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부

② 개인정보 처리방침의 평가 대상, 기준 및 절차 등에 필요한 사항은 대통령령으로 정한다.

 

제35조의2(개인정보의 전송 요구) 

① 정보주체는 개인정보 처리 능력 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 다음 각 호의 요건을 모두 충족하는 개인정보를 자신에게로 전송할 것을 요구할 수 있다.

1. 정보주체가 전송을 요구하는 개인정보가 정보주체 본인에 관한 개인정보로서 다음 각 목의 어느 하나에 해당하는 정보일 것

가. 제15조제1항제1호, 제23조제1항제1호 또는 제24조제1항제1호에 따른 동의를 받아 처리되는 개인정보

나. 제15조제1항제4호에 따라 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 처리되는 개인정보

다. 제15조제1항제2호ㆍ제3호, 제23조제1항제2호 또는 제24조제1항제2호에 따라 처리되는 개인정보 중 정보주체의 이익이나 공익적 목적을 위하여 관계 중앙행정기관의 장의 요청에 따라 보호위원회가 심의ㆍ의결하여 전송 요구의 대상으로 지정한 개인정보

2. 전송을 요구하는 개인정보가 개인정보처리자가 수집한 개인정보를 기초로 분석ㆍ가공하여 별도로 생성한 정보가 아닐 것

3. 전송을 요구하는 개인정보가 컴퓨터 등 정보처리장치로 처리되는 개인정보일 것

② 정보주체는 매출액, 개인정보의 보유 규모, 개인정보 처리 능력, 산업별 특성 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 제1항에 따른 전송 요구 대상인 개인정보를 기술적으로 허용되는 합리적인 범위에서 다음 각 호의 자에게 전송할 것을 요구할 수 있다.

1. 제35조의3제1항에 따른 개인정보관리 전문기관

2. 제29조에 따른 안전조치의무를 이행하고 대통령령으로 정하는 시설 및 기술 기준을 충족하는 자

③ 개인정보처리자는 제1항 및 제2항에 따른 전송 요구를 받은 경우에는 시간, 비용, 기술적으로 허용되는 합리적인 범위에서 해당 정보를 컴퓨터 등 정보처리장치로 처리 가능한 형태로 전송하여야 한다.

④ 제1항 및 제2항에 따른 전송 요구를 받은 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 법률의 관련 규정에도 불구하고 정보주체에 관한 개인정보를 전송하여야 한다.

1. 「국세기본법」 제81조의13

2. 「지방세기본법」 제86조

3. 그 밖에 제1호 및 제2호와 유사한 규정으로서 대통령령으로 정하는 법률의 규정

⑤ 정보주체는 제1항 및 제2항에 따른 전송 요구를 철회할 수 있다.

⑥ 개인정보처리자는 정보주체의 본인 여부가 확인되지 아니하는 경우 등 대통령령으로 정하는 경우에는 제1항 및 제2항에 따른 전송 요구를 거절하거나 전송을 중단할 수 있다.

⑦ 정보주체는 제1항 및 제2항에 따른 전송 요구로 인하여 타인의 권리나 정당한 이익을 침해하여서는 아니 된다.

⑧ 제1항부터 제7항까지에서 규정한 사항 외에 전송 요구의 대상이 되는 정보의 범위, 전송 요구의 방법, 전송의 기한 및 방법, 전송 요구 철회의 방법, 전송 요구의 거절 및 전송 중단의 방법 등 필요한 사항은 대통령령으로 정한다.

[시행일 미지정] 제35조의2

 

제35조의3(개인정보관리 전문기관) 

① 다음 각 호의 업무를 수행하려는 자는 보호위원회 또는 관계 중앙행정기관의 장으로부터 개인정보관리 전문기관의 지정을 받아야 한다.

1. 제35조의2에 따른 개인정보의 전송 요구권 행사 지원

2. 정보주체의 권리행사를 지원하기 위한 개인정보 전송시스템의 구축 및 표준화

3. 정보주체의 권리행사를 지원하기 위한 개인정보의 관리ㆍ분석

4. 그 밖에 정보주체의 권리행사를 효과적으로 지원하기 위하여 대통령령으로 정하는 업무

② 제1항에 따른 개인정보관리 전문기관의 지정요건은 다음 각 호와 같다.

1. 개인정보를 전송ㆍ관리ㆍ분석할 수 있는 기술수준 및 전문성을 갖추었을 것

2. 개인정보를 안전하게 관리할 수 있는 안전성 확보조치 수준을 갖추었을 것

3. 개인정보관리 전문기관의 안정적인 운영에 필요한 재정능력을 갖추었을 것

③ 개인정보관리 전문기관은 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.

1. 정보주체에게 개인정보의 전송 요구를 강요하거나 부당하게 유도하는 행위

2. 그 밖에 개인정보를 침해하거나 정보주체의 권리를 제한할 우려가 있는 행위로서 대통령령으로 정하는 행위

④ 보호위원회 및 관계 중앙행정기관의 장은 개인정보관리 전문기관이 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보관리 전문기관의 지정을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 지정을 취소하여야 한다.

1. 거짓이나 부정한 방법으로 지정을 받은 경우

2. 제2항에 따른 지정요건을 갖추지 못하게 된 경우

⑤ 보호위원회 및 관계 중앙행정기관의 장은 제4항에 따라 지정을 취소하는 경우에는 「행정절차법」에 따른 청문을 실시하여야 한다.

⑥ 보호위원회 및 관계 중앙행정기관의 장은 개인정보관리 전문기관에 대하여 업무 수행에 필요한 지원을 할 수 있다.

⑦ 개인정보관리 전문기관은 정보주체의 요구에 따라 제1항 각 호의 업무를 수행하는 경우 정보주체로부터 그 업무 수행에 필요한 비용을 받을 수 있다.

⑧ 제1항에 따른 개인정보관리 전문기관의 지정 절차, 제2항에 따른 지정요건의 세부기준, 제4항에 따른 지정취소의 절차 등에 필요한 사항은 대통령령으로 정한다.

[시행일: 2024. 3. 15.] 제35조의3

 

제35조의4(개인정보 전송 관리 및 지원) 

① 보호위원회는 제35조의2제1항 및 제2항에 따른 개인정보처리자 및 제35조의3제1항에 따른 개인정보관리 전문기관 현황, 활용내역 및 관리실태 등을 체계적으로 관리ㆍ감독하여야 한다.

② 보호위원회는 개인정보가 안전하고 효율적으로 전송될 수 있도록 다음 각 호의 사항을 포함한 개인정보 전송 지원 플랫폼을 구축ㆍ운영할 수 있다.

1. 개인정보관리 전문기관 현황 및 전송 가능한 개인정보 항목 목록

2. 정보주체의 개인정보 전송 요구ㆍ철회 내역

3. 개인정보의 전송 이력 관리 등 지원 기능

4. 그 밖에 개인정보 전송을 위하여 필요한 사항

③ 보호위원회는 제2항에 따른 개인정보 전송지원 플랫폼의 효율적 운영을 위하여 개인정보관리 전문기관에서 구축ㆍ운영하고 있는 전송 시스템을 상호 연계하거나 통합할 수 있다. 이 경우 관계 중앙행정기관의 장 및 해당 개인정보관리 전문기관과 사전에 협의하여야 한다.

④ 제1항부터 제3항까지의 규정에 따른 관리ㆍ감독과 개인정보 전송지원 플랫폼의 구축 및 운영에 필요한 사항은 대통령령으로 정한다.

 

제37조의2(자동화된 결정에 대한 정보주체의 권리 등) 

① 정보주체는 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함한다)으로 개인정보를 처리하여 이루어지는 결정(「행정기본법」 제20조에 따른 행정청의 자동적 처분은 제외하며, 이하 이 조에서 “자동화된 결정”이라 한다)이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 개인정보처리자에 대하여 해당 결정을 거부할 수 있는 권리를 가진다. 다만, 자동화된 결정이 제15조제1항제1호ㆍ제2호 및 제4호에 따라 이루어지는 경우에는 그러하지 아니하다.

② 정보주체는 개인정보처리자가 자동화된 결정을 한 경우에는 그 결정에 대하여 설명 등을 요구할 수 있다.

③ 개인정보처리자는 제1항 또는 제2항에 따라 정보주체가 자동화된 결정을 거부하거나 이에 대한 설명 등을 요구한 경우에는 정당한 사유가 없는 한 자동화된 결정을 적용하지 아니하거나 인적 개입에 의한 재처리ㆍ설명 등 필요한 조치를 하여야 한다.

④ 개인정보처리자는 자동화된 결정의 기준과 절차, 개인정보가 처리되는 방식 등을 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.

⑤ 제1항부터 제4항까지에서 규정한 사항 외에 자동화된 결정의 거부ㆍ설명 등을 요구하는 절차 및 방법, 거부ㆍ설명 등의 요구에 따른 필요한 조치, 자동화된 결정의 기준ㆍ절차 및 개인정보가 처리되는 방식의 공개 등에 필요한 사항은 대통령령으로 정한다.

[시행일: 2024. 3. 15.] 제37조의2

 

제45조의2(진술의 원용 제한) 

조정절차에서의 의견과 진술은 소송(해당 조정에 대한 준재심은 제외한다)에서 원용(援用)하지 못한다.

 

제50조의2(개선의견의 통보) 

분쟁조정위원회는 소관 업무 수행과 관련하여 개인정보 보호 및 정보주체의 권리 보호를 위한 개선의견을 보호위원회 및 관계 중앙행정기관의 장에게 통보할 수 있다.

 

제63조의2(사전 실태점검) 

① 보호위원회는 제63조제1항 각 호에 해당하지 아니하는 경우로서 개인정보 침해사고 발생의 위험성이 높고 개인정보 보호의 취약점을 사전에 점검할 필요성이 인정되는 개인정보처리자에 대하여 개인정보 보호실태를 점검할 수 있다.

② 보호위원회는 제1항에 따른 실태점검을 실시하여 이 법을 위반하는 사항을 발견한 경우 해당 개인정보처리자에 대하여 시정방안을 정하여 이에 따를 것을 권고할 수 있다.

③ 제2항에 따른 시정권고를 받은 개인정보처리자는 이를 통보받은 날부터 10일 이내에 해당 권고를 수락하는지 여부에 관하여 보호위원회에 통지하여야 하며, 그 이행 결과를 보호위원회가 고시로 정하는 바에 따라 보호위원회에 알려야 한다.

④ 제2항에 따른 시정권고를 받은 자가 해당 권고를 수락한 때에는 제64조제1항에 따른 시정조치 명령(중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회의 경우에는 제64조제3항에 따른 권고를 말한다)을 받은 것으로 본다.

⑤ 보호위원회는 제2항에 따른 시정권고를 받은 자가 해당 권고를 수락하지 아니하거나 이행하지 아니한 경우 제63조제2항에 따른 검사를 할 수 있다.

⑥ 보호위원회는 관계 중앙행정기관의 장과 합동으로 제1항에 따른 개인정보 보호실태를 점검할 수 있다.

 

제64조의2(과징금의 부과) 

① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.

1. 제15조제1항, 제17조제1항, 제18조제1항ㆍ제2항(제26조제8항에 따라 준용되는 경우를 포함한다) 또는 제19조를 위반하여 개인정보를 처리한 경우

2. 제22조의2제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 법정대리인의 동의를 받지 아니하고 만 14세 미만인 아동의 개인정보를 처리한 경우

3. 제23조제1항제1호(제26조제8항에 따라 준용되는 경우를 포함한다)를 위반하여 정보주체의 동의를 받지 아니하고 민감정보를 처리한 경우

4. 제24조제1항ㆍ제24조의2제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 고유식별정보 또는 주민등록번호를 처리한 경우

5. 제26조제4항에 따른 관리ㆍ감독 또는 교육을 소홀히 하여 수탁자가 이 법의 규정을 위반한 경우

6. 제28조의5제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우

7. 제28조의8제1항(제26조제8항 및 제28조의11에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보를 국외로 이전한 경우

8. 제28조의9제1항(제26조제8항 및 제28조의11에 따라 준용되는 경우를 포함한다)을 위반하여 국외 이전 중지 명령을 따르지 아니한 경우

9. 개인정보처리자가 처리하는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우. 다만, 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손되지 아니하도록 개인정보처리자가 제29조(제26조제8항에 따라 준용되는 경우를 포함한다)에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.

② 보호위원회는 제1항에 따른 과징금을 부과하려는 경우 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정한다.

③ 보호위원회는 제1항에 따른 과징금을 부과하려는 경우 개인정보처리자가 정당한 사유 없이 매출액 산정자료의 제출을 거부하거나 거짓의 자료를 제출한 경우에는 해당 개인정보처리자의 전체 매출액을 기준으로 산정하되 해당 개인정보처리자 및 비슷한 규모의 개인정보처리자의 개인정보 보유 규모, 재무제표 등 회계자료, 상품ㆍ용역의 가격 등 영업현황 자료에 근거하여 매출액을 추정할 수 있다.

④ 보호위원회는 제1항에 따른 과징금을 부과하는 경우에는 위반행위에 상응하는 비례성과 침해 예방에 대한 효과성이 확보될 수 있도록 다음 각 호의 사항을 고려하여야 한다.

1. 위반행위의 내용 및 정도

2. 위반행위의 기간 및 횟수

3. 위반행위로 인하여 취득한 이익의 규모

4. 암호화 등 안전성 확보 조치 이행 노력

5. 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우 위반행위와의 관련성 및 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손의 규모

6. 위반행위로 인한 피해의 회복 및 피해 확산 방지 조치의 이행 여부

7. 개인정보처리자의 업무 형태 및 규모

8. 개인정보처리자가 처리하는 개인정보의 유형과 정보주체에게 미치는 영향

9. 위반행위로 인한 정보주체의 피해 규모

10. 개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위한 노력

11. 보호위원회와의 협조 등 위반행위를 시정하기 위한 조치 여부

⑤ 보호위원회는 다음 각 호의 어느 하나에 해당하는 사유가 있는 경우에는 과징금을 부과하지 아니할 수 있다.

1. 지급불능ㆍ지급정지 또는 자본잠식 등의 사유로 객관적으로 과징금을 낼 능력이 없다고 인정되는 경우

2. 본인의 행위가 위법하지 아니한 것으로 잘못 인식할 만한 정당한 사유가 있는 경우

3. 위반행위의 내용ㆍ정도가 경미하거나 산정된 과징금이 소액인 경우

4. 그 밖에 정보주체에게 피해가 발생하지 아니하였거나 경미한 경우로서 대통령령으로 정하는 사유가 있는 경우

⑥ 제1항에 따른 과징금은 제2항부터 제5항까지를 고려하여 산정하되, 구체적인 산정기준과 산정절차는 대통령령으로 정한다.

⑦ 보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 이를 내지 아니하면 납부기한의 다음 날부터 내지 아니한 과징금의 연 100분의 6에 해당하는 가산금을 징수한다. 이 경우 가산금을 징수하는 기간은 60개월을 초과하지 못한다.

⑧ 보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 내지 아니한 경우에는 기간을 정하여 독촉하고, 독촉으로 지정한 기간 내에 과징금과 제7항에 따른 가산금을 내지 아니하면 국세강제징수의 예에 따라 징수한다.

⑨ 보호위원회는 법원의 판결 등의 사유로 제1항에 따라 부과된 과징금을 환급하는 경우에는 과징금을 낸 날부터 환급하는 날까지의 기간에 대하여 금융회사 등의 예금이자율 등을 고려하여 대통령령으로 정하는 이자율을 적용하여 계산한 환급가산금을 지급하여야 한다.

⑩ 보호위원회는 제9항에도 불구하고 법원의 판결에 따라 과징금 부과처분이 취소되어 그 판결이유에 따라 새로운 과징금을 부과하는 경우에는 당초 납부한 과징금에서 새로 부과하기로 결정한 과징금을 공제한 나머지 금액에 대해서만 환급가산금을 계산하여 지급한다.

 

 

• 삭제 및 일부 개정 내용은 아래 링크 참고 (신구법 비교)
  https://law.go.kr/lsInfoP.do?lsiSeq=248613&lsId=011357&ancYd=20230314&ancNo=19234&chrClsCd=010202&urlMode=lsEfInfoR&viewCls=lsOldAndNew&ancYnChk=0#

---

• 출처 : 국가법령정보센터 (https://www.law.go.kr/법령/개인정보보호법/(19234,20230314))