바로가기

메인메뉴 바로가기 서브메뉴 바로가기 본문 바로가기

전체메뉴

닫기

SMART 생활법률

qr코드 모바일
앱 다운로드
설문조사

청소년의 인터넷 이용하기

목차

하위 메뉴

현재위치 및 공유하기

 > 
책자형 > 청소년의 인터넷 이용하기

생활법령 내 검색

생활법령 내 검색

본문 영역

 개인정보보호를 위한 운영자의 의무 알아보기
내 개인정보는 어디에 사용되는 걸까요? 사이트 운영자는 개인정보보호를 위해 법률에서 정하고 있는 의무를 부담합니다.

사이트 운영자는 ① 개인정보의 수집제한 의무, ② 주민등록번호의 사용제한 의무, ③ 가입자의 개인정보를 보호하기 위한 조치 의무, ④ 개인정보 누설금지 의무, ⑤ 개인정보 파기 의무 등이 있고, 이를 지키지 않으면 징역이나 벌금형에 처해질 수 있어요.
개인정보를 보호하기 위해 운영자가 지켜야 하는 의무에는 어떤 것이 있나요? 주소복사 즐겨찾기에추가
사이트 운영자의 의무
내 개인정보를 제대로 보호하려면 내 개인정보를 수집하는 사이트 운영자가 내 개인정보를 어떻게 사용하는지, 어떤 곳에 사용해서는 안 되는지 알아두는 것도 필요해요. 그럼, 사이트 운영자가 어떤 의무를 부담하는지 알아볼까요?
개인정보의 수집제한 의무
사이트 운영자는 목적에 필요한 최소한의 개인정보를 수집해야 하며, 이용자에게 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 점을 구체적으로 알려야 합니다(「개인정보 보호법」 제16조).
그리고 개인의 권리·이익이나 사생활을 뚜렷하게 침해할 우려가 있는 ‘민감정보’, 개인을 고유하게 구별하기 위한 ‘고유식별정보’ 등을 수집해서는 안 됩니다(「개인정보 보호법」 제23조제1항·제24조제1항 및 규제「개인정보 보호법 시행령」 제18조·제19조).
사상, 신념
노동조합 또는 정당의 가입·탈퇴
정치적 견해
건강, 성생활 등에 관한 정보
유전자검사 등의 결과로 얻어진 유전정보
범죄경력자료에 해당하는 정보
개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보
인종이나 민족에 관한 정보
※ “고유식별정보”란 개인을 고유하게 구별하기 위해 부여된 식별정보로, 주민등록번호, 여권번호, 운전면허의 면허번호, 외국인등록번호를 말합니다(규제「개인정보 보호법」 제24조제1항 및 규제「개인정보 보호법 시행령」 제19조).
다만, 가입자의 동의를 받거나 다른 법률에 따라 특별히 수집 대상 개인정보로 허용된 경우에는 필요한 범위에서 최소한으로 개인정보를 수집할 수 있습니다(「개인정보 보호법」 제23조제1항제1호·제2호 및 제24조제1항제1호·제2호).
이런 경우에도 사이트 운영자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 않도록 안전성 확보에 필요한 조치를 취해야 합니다(「개인정보 보호법」 제23조제2항 및 제24조제3항 및 규제「개인정보 보호법 시행령」 제30조제1항 및 제48조의2).
사이트 운영자는 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 가입자가 알아보기 쉽게 알려야 합니다(「개인정보 보호법」 제23조제3항).
위반할 경우
가입자의 동의를 받지 않고 민감정보나 고유식별정보를 수집한 사람은 위반행위와 관련된 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과받을 수 있습니다(「개인정보 보호법」 제64조의2제1항제3호 및 제4호).
또한, 가입자의 동의를 받지 않았거나 다른 법령에서 요구하거나 허용하지 않음에도 불구하고 가입자의 민감정보나 고유식별정보를 수집한 사람은 5년 이하의 징역 또는 5천만원 이하의 벌금형에 처해집니다(「개인정보 보호법」 제71조제4호 및 제5호).
개인정보를 적법하게 수집하는 경우라도 안전성 확보에 필요한 조치를 취하지 않아 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 3천만원 이하의 과태료가 부과됩니다(「개인정보 보호법」제75조제2항제5호).
공개되는 민감정보가 사생활 침해의 위험성이 있다고 판단될 때 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 알리지 아니한 경우에는 3천만원 이하의 과태료가 부과됩니다(「개인정보 보호법」제75조제2항제6호).
14세 미만 아동의 개인정보 보호
사이트 운영자는 만 14세 미만의 아동으로부터 개인정보 수집·이용·제공 등의 동의를 받으려면 법정대리인의 동의를 받아야 하고, 다음의 어느 하나에 해당하는 방법으로 법정대리인이 동의하였는지를 확인해야 합니다(「개인정보 보호법」 제22조의2제1항 및 「개인정보 보호법 시행령」 제17조의2제1항).
동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 개인정보처리자가 그 동의 표시를 확인했음을 법정대리인의 휴대전화 문자메시지로 알리는 방법
동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 신용카드·직불카드 등의 카드정보를 제공받는 방법
동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 휴대전화 본인인증 등을 통해 본인 여부를 확인하는 방법
동의 내용이 적힌 서면을 법정대리인에게 직접 발급하거나 우편 또는 팩스를 통하여 전달하고, 법정대리인이 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법
동의 내용이 적힌 전자우편을 발송하고 법정대리인으로부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법
전화를 통하여 동의 내용을 법정대리인에게 알리고 동의를 받거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 받는 방법
그 밖에 위의 규정에 준하는 방법으로서 법정대리인에게 동의 내용을 알리고 동의의 의사표시를 확인하는 방법
다만, 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보로서 법정대리인의 성명 및 연락처에 관한 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있습니다(「개인정보 보호법」 제22조의2제2항 및 「개인정보 보호법 시행령」 제17조의2제2항).
사이트 운영자는 개인정보 수집 매체의 특성상 동의 내용을 전부 표시하기 어려운 경우에는 인터넷주소 또는 사업장 전화번호 등 동의 내용을 확인할 수 있는 방법을 법정대리인에게 안내할 수 있습니다(「개인정보 보호법 시행령」 제17조의2제3항).
사이트 운영자는 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 하는 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용해야 합니다(「개인정보 보호법」 제22조의2제3항).
만 14세 미만 아동이 개인정보 처리가 미치는 영향과 정보주체의 권리 등을 명확하게 알 수 있도록 국가와 지방자치단체가 만 14세 미만 아동의 개인정보 보호에 필요한 시책을 마련하도록 하고 있습니다((「개인정보 보호법」 제5조제3항)
그 밖에 동의 및 동의 확인 방법 등에 필요한 사항은 대통령령으로 정해집니다(「개인정보 보호법」 제22조의2제4항).
※ “개인정보 보호위원회”는 개인정보 보호를 강화해야 할 필요성이 커짐에 따라 분산되어 있던 개인정보보호 감독기능을 통합하여 개인정보와 관련된 일을 종합적으로 수행하기 위해 2020년 8월 5일 국무총리 소속 중앙행정기관으로 출범한 기관입니다(개인정보보호위원회 홈페이지 참조).
위반할 경우
법정대리인의 동의를 받지 않거나, 법정대리인이 동의했는지 확인하지 않고 만 14세 미만인 아동의 개인정보를 수집한 경우 5년 이하의 징역 또는 5천만원 이하의 벌금형에 처해지거나 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금이 부과될 수 있습니다(「개인정보 보호법」 제71조제3호 및 제64조의2제1항제2호 본문).
※ 14세 미만 아동의 개인정보를 수집하려면 부모님의 허락이 있어야 해요~~
(질문) 부모님 허락을 받지 않고 온라인 게임 사이트에 가입해서 게임을 했는데, 한달 후 요금이 아주 많이 나왔습니다. 어떻게 해야 하나요?
(답변) 14세 미만의 아동이 자신의 이름, 주민등록번호, 주소 같은 개인정보를 입력하고 인터넷 웹사이트에 회원으로 가입하려면 부모님(법정대리인)의 동의가 필요합니다. 따라서 온라인 게임과 같은 사이트에 회원으로 가입하려면 반드시 부모님(법정대리인)의 허락을 받아야 합니다.
만약 부모님의 동의 없이 온라인 게임에 가입해서 요금이 많이 나온 경우라면 일단 부모님께 이 사실을 알리고 게임사이트에 연락해서 요금을 낼 수 없다고 할 수 있습니다.
부모님의 동의없이 미성년자가 체결한 계약은 취소할 수 있고[「소비자분쟁해결기준」(공정거래위원회 고시 제2023-28호, 2023. 12. 20. 발령·시행) 별표 2. 44. 인터넷콘텐츠업], 「민법」상 “취소”는 계약이 처음부터 없었던 것으로 보기 때문입니다(「민법」 제141조 본문).
그러나 부모님 모르게 부모님의 주민등록번호 등을 이용해 회원 가입을 했거나 부모님께서 자녀가 온라인 게임 사이트에 회원 가입을 했다는 사실을 알고 계신 경우 등에는 요금을 돌려받을 수 없으므로 유의해야 합니다.
가입자의 개인정보를 보호하기 위한 조치 의무
사이트 운영자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 안정성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 합니다(규제「개인정보 보호법」 제29조규제「개인정보 보호법 시행령」 제30조제1항).
사이트 운영자는 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 지휘·감독을 받아 개인정보를 처리하는 개인정보취급자의 범위를 최소한으로 제한하고, 개인정보취급자에 대하여 적절한 관리·감독을 해야 합니다(「개인정보 보호법」 제28조제1항).
개인정보가 분실·도난·유출된 사실을 안 때에는 서면등의 방법으로 72시간 이내에 다음의 사항을 해당 정보 주체에게 알려야 합니다(규제「개인정보 보호법」 제34조제1항 본문 및 「개인정보 보호법」 제39조제1항).
유출 등이 된 개인정보 항목
유출 등이 된 시점과 그 경위
유출 등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
개인정보처리자의 대응조치 및 피해 구제절차
정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
사이트 운영자는 다음 어느 하나에 해당하는 경우로서 개인정보가 분실·도난·유출이 되었음을 알게 되었을 때에는 72시간 이내에 통지해야할 사항을 서면등의 방법으로 보호위원회 또는 한국인터넷진흥원에 신고해야 합니다(규제「개인정보 보호법」 제34조제3항 전단 및 규제「개인정보 보호법 시행령」 제40조제1항 본문·제3항)
1천명 이상의 정보주체에 관한 개인정보가 분실·도난·유출이 된 경우
민감정보 또는 고유식별정보가 분실·도난·유출이 된 경우
개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 분실·도난·유출이 된 경우
사이트 운영자는 개인정보가 사이트를 통해 공중에 노출되지 않도록 해야 합니다. 이에 불구하고 개인정보가 노출된 경우에는 개인정보 보호위원회나 한국인터넷진흥원의 요청에 따라 해당 정보를 삭제·차단하는 등 필요한 조치를 해야 합니다(「개인정보 보호법」 제34조의2제1항·제2항 및 「개인정보 보호법 시행령」 제40조의2).
위반할 경우
개인정보 보호를 위한 안전성 확보에 필요한 조치를 취하지 않아서 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 자는 전체 매출액의 100분의 3을 초과하지 않는 범위의 과징금이나 3천만원 이하의 과태료를 부과받을 수 있습니다(「개인정보 보호법」 제64조의2제1항제9호 및 제75조제2항제5호).
개인정보가 유출 등이 된 사실을 정보주체에게 알리지 않거나, 개인정보 보호위원회 또는 대통령령으로 정하는 전문기관에 신고하지 않은 경우 3천만원 이하의 과태료를 부과받을 수 있습니다(「개인정보 보호법」 제75조제2항제17호·제18호).
개인정보의 누설금지 의무
누설 금지되는 개인정보의 예시
사이트 가입자의 개인정보를 처리하고 있거나 처리했던 사람이 사이트를 운영하면서 알게 된 가입자의 개인정보를 누설해서는 안 됩니다(「개인정보 보호법」 제59조제2호).
위반할 경우
가입자의 개인정보를 누설한 사람은 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해집니다(「개인정보 보호법」 제71조제9호).
개인정보의 파기 의무
사이트 운영자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때는 지체 없이 그 개인정보를 파기해야 합니다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그렇지 않습니다(「개인정보 보호법」 제21조제1항).
사이트 운영자는 개인정보를 파기할 경우 다음 중 어느 하나의 조치를 해야 합니다[「개인정보의 안전성 확보조치 기준」(개인정보보호위원회고시 제2023-6호, 2023. 9. 22. 개정·시행) 제13조제1항].
완전파괴(소각·파쇄 등)
전용 소자장비(자기장을 이용해 저장장치의 데이터를 삭제하는 장비)를 이용하여 삭제
데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
사이트 운영자가 개인정보를 파기할 때에는 다음 구분에 따른 방법으로 해야 합니다(「개인정보 보호법 시행령」 제16조제1항).
전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제
※ 다만, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우에는 「개인정보 보호법」 제58조의2에 해당하는 정보(시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보를 말함)로 처리하여 복원이 불가능하도록 조치해야 함
위 규정된 것 이외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각
사이트 운영자가 개인정보의 일부만을 파기하는 경우, 위의 방법으로 파기하는 것이 어려울 때에는 다음의 조치를 해야 합니다(「개인정보의 안전성 확보조치 기준」 제13조제2항).
전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독
위 규정된 것 이외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 구멍 뚫기 등으로 삭제
위반할 경우
보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때 지체 없이 그 개인정보를 파기하는 등 필요한 조치를 하지 않은 사이트 운영자는 3천만원 이하의 과태료를 부과받을 수 있습니다(「개인정보 보호법」 제75조제2항제4호).
이 정보는 2024년 2월 15일 기준으로 작성된 것입니다.
  • 생활법령정보는 법적 효력을 갖는 유권해석(결정, 판단)의 근거가 되지 않고, 각종 신고, 불복 청구 등의 증거자료로서의 효력은 없습니다.
  • 구체적인 법령에 대한 질의는 담당기관이나 국민신문고에 문의하시기 바랍니다.
  • 위 내용에 대한 오류 및 개선의견은 홈페이지 오류신고를 이용해 주시기 바랍니다.

하단 영역

팝업 배경