개인정보 유출 시 관련 법
- 개인정보보호법 제34조,
※ 정보통신망법 제27조의 3은 삭제 (2020년 정보통신망법이랑 개인정보보호법이랑 유사/중복 규율 재정비하여 개인정보보호법으로 이관되었음.
작성 기준 : 2022년 6월 11일입니다.
추후에선 법 개정이 되어서 맞지 않을 수도 있습니다.
인터넷을 통한 서비스들이 크게 증가하면서 회원가입을 하는 사이트가 많아지면서, 개인정보 유출 또한 함께 일어나고 있다.
우리나라 법률에서는 개인정보가 유출 되면 통지 및 신고 사항에 대해 2020년 8월 5일 이전까지는 정보통신망법과 개인정보보호법에서 모두 다루어졌지만, 이후 개인정보보호법으로 중복/유사한 것들이 이관되면서 하당 사항은 개인정보보호법에 따릅니다.
우선, 개인정보 유출의 정의를 따져보면,
개인정보의 유출은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서 다음 어느 하나에 해당하는 경우를 말합니다.
[(「표준 개인정보 보호지침」(개인정보보호위원회 고시 제2020-1호, 2020. 8. 11. 발령·시행) 제25조)]
1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우
4. 기타 권한이 없는 자에게 개인정보가 전달된 경우
개인정보가 유출 되었을 때,
.해당 개인정보를 가지고 있었던 법률상 개인정보처리자가 해야할 조치해야할 사항이다.
개인정보보호법 제34조(개인정보 유출 통지 등)
① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.
③ 개인정보처리자는 대통령령1으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 보호위원회 또는 대통령령2으로 정하는 전문기관에 신고하여야 한다. 이 경우 보호위원회 또는 대통령령3으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다.
④ 제1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령4으로 정한다.
** 개인정보 보호법 시행령 제40조(개인정보 유출 통지의 방법 및 절차)
** 개인정보 보호법 시행령 제40조(개인정보 유출 통지의 방법 및 절차)
① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 서면등의 방법으로 지체 없이 법 제34조제1항 각 호의 사항을 정보주체에게 알려야 한다. 다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검ㆍ보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있다.
② 제1항에도 불구하고 개인정보처리자는 같은 항 본문에 따라 개인정보가 유출되었음을 알게 되었을 때나 같은 항 단서에 따라 유출 사실을 알고 긴급한 조치를 한 후에도 법 제34조제1항제1호 및 제2호의 구체적인 유출 내용을 확인하지 못한 경우에는 먼저 개인정보가 유출된 사실과 유출이 확인된 사항만을 서면등의 방법으로 먼저 알리고 나중에 확인되는 사항을 추가로 알릴 수 있다.
③ 제1항과 제2항에도 불구하고 법 제34조제3항 및 이 영 제39조제1항에 따라 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 법 제34조제1항 각 호의 사항을 7일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 개인정보처리자의 경우에는 서면등의 방법과 함께 사업장등의 보기 쉬운 장소에 법 제34조제1항 각 호의 사항을 7일 이상 게시하여야 한다.
최근에 발생한개인정보 유출 사고와 위 개인정보보호법에 따라 유출 내용을 게시한 내용입니다.
1. 밀리의 서재 ( '22.6.3. 유출발생)
2. 발란 ('22. 3. 16.)
이렇게 만약 내 개인정보가 유출되었는데...
해당 서비스를 제공한 업체는 어떤 처벌을 받는지 궁금할 때가 있다.
해당 기업은 과징금이 부과되게 된다고 한다.
과징금의 부과
보호위원회는 개인정보처리자가 처리하는 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 다음 사항을 고려하여 산정하되, 위반정도에 따른 산정기준액과 안전성 확보에 필요한 조치의 이행 노력 정도 등에 따른 조정, 위반행위의 기간 및 횟수에 따른 조정을 거쳐 개인정보처리자의 현실적 부담능력이나 그 위반행위가 미치는 효과, 위반행위로 인해 취득한 이익의 규모 등을 고려하여 5억원 이하의 과징금을 부과·징수할 수 있습니다.
(「개인정보 보호법」 제34조의2제1항 본문·제2항, 「개인정보 보호법 시행령」 제40조의2제1항 및 별표 1의3)
다만, 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 개인정보처리자가 안전성 확보에 필요한 조치를 다한 경우에는 그렇지 않습니다.
(「개인정보 보호법」 제34조의2제1항 단서)
보호위원회는 과징금을 부과하려는 경우 위반사실, 부과금액, 이의제기 방법 및 이의제기 기간 등을 명시하여 이를 납부할 것을 과징금 부과대상자에게 서면으로 통지해야 합니다.
(「개인정보 보호법」 제34조의2제1항 및 「개인정보 보호법 시행령」 제40조의2제2항)
요약
1. 개인정보 유출시에 개인정보가 유출된 사람들한테 반드시 유출된 항목, 유출 시점, 유출된 사람이 할 수 있는 조치, 연락을 취할 수 있는 연락처를 알려줘야한다.
2. 회사는 유출 파악하고 24시간이내에 방통위나 KISA에 신고해야한다.
3. 해당 기업은 그동안 어떤 노력을 했는지에 따라서 과징금이 부과 된다.
참고 : 찾기쉬운 법령정보, https://easylaw.go.kr/CSP/CnpClsMain.laf?popMenu=ov&csmSeq=1257&ccfNo=3&cciNo=2&cnpClsNo=3&menuType=cnpcls&search_put=
개인정보보호 > 개인정보 침해 > 개인정보처리자의 대처방안 > 개인정보 유출시의 조치방안 (본
개인정보 유출, 유출 통지, 피해구제, 유출신고, 과징금
easylaw.go.kr
법 검색 : 법제처 국가법령정보센터, https://law.go.kr/
주석
