바로가기

메인메뉴 바로가기 서브메뉴 바로가기 본문 바로가기

전체메뉴

SMART 생활법률

qr코드 모바일
앱 다운로드

현재위치 및 공유하기

생활법령 내 검색

생활법령 내 검색

본문 영역

 개인정보의 관리·파기 관련 의무
인터넷쇼핑몰 사업자는 소비자의 개인정보를 관리할 개인정보 보호책임자를 지정해야 하지만, 이용자 수가 적어 개인정보 보호책임자를 지정하지 않은 경우에는 인터넷쇼핑몰 사업자가 개인정보 보호책임자가 됩니다.

인터넷쇼핑몰 사업자는 개인정보의 보호를 위해 침입차단시스템 등 기술적·관리적 보호조치를 해야 하고, 동의를 얻은 개인정보의 수집·이용목적이 달성된 경우에는 지체 없이 이를 파기해야 합니다.
개인정보 보호책임자의 지정 의무 주소복사 즐겨찾기에추가
개인정보 보호책임자의 지정
지정 대상의 범위
인터넷쇼핑몰 사업자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정해야 합니다(「개인정보 보호법」 제31조제1항).
위반 시 제재
개인정보 보호책임자를 지정하지 않으면 1천만원 이하의 과태료가 부과됩니다(「개인정보 보호법」 제75조제4항제8호).
개인정보 보호책임자의 자격요건
개인정보 보호책임자는 ① 사업주 또는 대표자, ② 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)의 지위에 있는 사람으로 해야 합니다(「개인정보 보호법」 제31조제1항 및 「개인정보 보호법 시행령」 제32조제2항제2호).
개인정보처리자가 「소상공인기본법」 제2조에 따른 소상공인에 해당하는 경우에는 별도의 지정 없이 그 사업주 또는 대표자를 개인정보 보호책임자로 지정한 것으로 봅니다. 다만, 개인정보처리자가 별도로 개인정보 보호책임자를 지정한 경우에는 그렇지 않습니다(「개인정보 보호법 시행령」 제32조제3항).
개인정보 보호조치 의무 주소복사 즐겨찾기에추가
개인정보의 안전조치
개인정보 안정성 확보를 위한 조치 실시 의무
인터넷쇼핑몰 사업자는 소비자의 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 내부 관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 합니다(규제「개인정보 보호법」 제29조규제「개인정보 보호법 시행령」 제30조제1항).
√ 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행 및 점검
√ 개인정보에 대한 접근 권한을 제한하기 위한 조치
√ 개인정보에 대한 접근을 통제하기 위한 조치
√ 개인정보를 안전하게 저장·전송하는데 필요한 조치
√ 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치
√ 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대해 컴퓨터바이러스, 스파이웨어, 랜섬웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 하는 등의 기능이 포함된 프로그램의 설치·운영과 주기적 갱신·점검 조치
√ 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
√ 그 밖에 개인정보의 안전성 확보를 위해 필요한 조치
위반 시 제재
이를 위반하면 3천만원 이하의 과태료가 부과됩니다(「개인정보 보호법」 제75조제2항제5호).
개인정보처리자가 처리하는 개인정보가 분실·도난·유출·위조·변조·훼손된 경우 전체 매출액의 100분의 3(다만, 매출액이 없거나 매출액의 산정이 곤란한 경우에는 20억원)을 초과하지 않는 범위로서 에서 과징금이 부과될 수 있습니다(「개인정보 보호법」 제64조의2제1항제9호 본문).
√ 다만, 개인정보가 분실·도난·유출·위조·변조·훼손되지 아니하도록 개인정보처리자가 안전성 확보에 필요한 조치를 다한 경우에는 그렇지 않습니다(「개인정보 보호법」 제64조의2제1항제9호 단서).
개인정보의 누설 등 금지
개인정보 훼손·침해·누설 금지 의무
소비자의 개인정보를 처리하거나 처리했던 인터넷쇼핑몰 사업자는 다음의 행위를 해서는 안 됩니다(「개인정보 보호법」 제59조제2호 및 제3호).
√ 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위
√ 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 이용, 훼손, 멸실, 변경, 위조 또는 유출하는 행위
위반 시 제재
이를 위반하면 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해집니다(「개인정보 보호법」 제71조제9호 및 제10호).
개인정보의 도용 시 조치
도용에 따른 피해 회복 조치 의무 등
인터넷쇼핑몰 사업자는 소비자에 관한 개인정보가 도용되어 해당 소비자에게 재산상의 손해가 발생하였거나 발생할 우려가 있는 특별한 사유가 있는 경우에는 본인 확인이나 피해의 회복 등 다음과 같은 조치를 취해야 합니다(규제「전자상거래 등에서의 소비자보호에 관한 법률」 제11조제2항 및 규제「전자상거래 등에서의 소비자보호에 관한 법률 시행령」 제12조).
√ 소비자 본인이 요청하는 경우 도용 여부의 확인 및 해당 소비자에 대한 관련 거래 기록의 제공
※ 이와 관련해서 사업자가 취해야할 조치를 예시하면 다음과 같습니다[「전자상거래 등에서의 소비자보호 지침」(공정거래위원회고시 제2023-18호, 2023. 9. 1 발령∙시행) Ⅱ. 제7호나목].
가. 사업자는 소비자정보의 도용여부확인과 관련해서 본인 확인 방법으로 휴대폰인증, 전자정부 주민등록진위확인서비스, 공인인증서 등의 방법 중 두 가지 이상을 갖추고, 그 중 소비자가 선택한 방법에 의해 본인확인 절차를 거쳐야 합니다.
나. 소비자가 본인에 대한 관련 거래 기록 제공을 요청하는 경우 사업자는 본인확인절차를 거친 후 소비자 본인(미성년자의 법정대리인이 요청하는 경우에는 그 법정대리인)에게 거래일시, 목적물, 거래금액, 거래상대방, 결제업자 등의 관련 거래 기록을 제공해야 합니다.
다. 소비자가 자신에 관한 정보가 도용되었음을 사업자에게 신고한 경우, 사업자는 신고를 접수한 직원의 성명을 알려주는 등 신고접수 및 처리상황을 쉽게 확인할 수 있는 방법을 그 소비자에게 알려야 합니다.
√ 도용에 의해 변조된 소비자에 관한 정보의 원상회복
√ 도용에 따른 피해의 회복
위반 시 제재
이를 위반하면 공정거래위원회로부터 시정조치명령을 받을 수 있고, 시정조치명령에도 불구하고 위반행위를 반복하거나 시정명령에 따른 이행을 하지 않는 경우 또는 시정조치만으로는 소비자피해의 방지가 어렵거나 소비자에 대한 피해보상이 불가능하다고 판단되는 경우에는 영업의 전부 또는 일부에 대해 1년 이내의 영업정지명령이나 과징금을 받을 수 있습니다(규제「전자상거래 등에서의 소비자보호에 관한 법률」 제32조제1항제1호·제4항 및 제34조제1항).
개인정보의 파기 등 주소복사 즐겨찾기에추가
기간 경과된 개인정보 등의 파기
인터넷쇼핑몰 사업자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기해야 합니다(「개인정보 보호법」 제21조제1항 본문).
다만, 다른 법령에 따라 보존해야 하는 경우에는 파기하지 않아도 됩니다(「개인정보 보호법」 제21조제1항 단서).
인터넷쇼핑몰 사업자는 위에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 않도록 조치해야 합니다(「개인정보 보호법」 제21조제2항)
인터넷쇼핑몰 사업자가 개인정보를 파기하지 아니하고 보존해야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리해서 저장·관리해야 합니다(「개인정보 보호법」 제21조제3항).
위반 시 제재
개인정보의 파기 등 필요한 조치를 하지 않으면 3천만원 이하의 과태료가 부과됩니다(「개인정보 보호법」 제75조제2항제4호).
※ 개인정보의 관리 및 파기에 대한 자세한 사항은 이 사이트(www.easylaw.go.kr) 『개인정보보호』에서 확인할 수 있습니다.
이 정보는 2023년 10월 15일 기준으로 작성된 것입니다.
  • 생활법령정보는 법적 효력을 갖는 유권해석(결정, 판단)의 근거가 되지 않고, 각종 신고, 불복 청구 등의 증거자료로서의 효력은 없습니다.
  • 구체적인 법령에 대한 질의는 담당기관이나 국민신문고에 문의하시기 바랍니다.
  • 위 내용에 대한 오류 및 개선의견은 홈페이지 오류신고를 이용해 주시기 바랍니다.

하단 영역

팝업 배경