정보통신망 이용촉진 및 정보보호 등에 관한 법률[시행 2016.3.22.] [법률 제14080호, 2016.3.22., 일부개정]_배포용.hwp
정보통신망 이용촉진 및 정보보호 등에 관한 법률
[시행 2016.3.22.] [법률 제14080호, 2016.3.22., 일부개정]
[일부개정]
◇ 개정이유
첫째, 최근 이동통신사, 은행, 카드사 등에서 대량의 개인정보가 유출되는 사건이 증가하고 있음. 정보통신망을 통한 개인정보의 유출은 그 피해 정도가 지대하며, 유출된 개인정보로 인한 2차 피해의 발생 가능성이 높아 이에 대한 시급한 대책 마련이 필요함.
이에 개인정보 취급위탁이 문서로써 이루어지도록 하고, 위탁자가 수탁자를 관리ㆍ감독뿐만 아니라 교육하도록 의무를 강화하며, 개인정보 취급 업무의 동의 없는 재위탁을 명시적으로 금지하는 한편, 개인정보의 불법유통 정보를 차단ㆍ삭제할 수 있도록 함으로써 개인정보 취급위탁의 안전성을 보장하고 불법 개인정보 거래를 적극적으로 단속할 수 있도록 하려는 것임.
또한 개인정보를 유출한 기업의 최고 경영자 등 임원에 대한 책임을 강화하고, 웹사이트에 노출되어 있는 개인정보의 삭제 등 조치를 강화함과 동시에 제재 수준의 상향을 통하여 개인정보의 유출 등 침해 사고에 대한 경각심을 높여, 개인정보 보호에 대한 정보통신서비스 제공자등의 관심과 투자를 촉구하고자 함.
아울러 개인정보 국외이전의 유형을 특정하여 줌으로써 법 해석 및 적용상의 혼란을 방지하고, 이용자의 동의없이 개인정보를 국외로 이전한 정보통신서비스 제공자등에 대한 제재 규정을 마련하는 등 이용자 개인정보보호를 강화할 필요가 있음.
둘째, 현행법상 법정손해배상제로 개인정보 유출에 대한 손해배상책임을 물고 있으나 법정손해배상제만으로는 재산적 피해 보전 어려움 및 피해방지의 실효성 의문이 제기되는 상황임. 이에 징벌적 손해배상제를 도입해 정보통신서비스 제공자의 책임성을 강화하고자 함.
셋째, 현행법은 정보통신망을 통하여 속이는 행위로 다른 사람의 정보를 수집하거나 다른 사람이 정보를 제공하도록 유인하지 못하도록 금지하고 유사 피해에 대한 예보ㆍ경보 등 대응 조치를 규정하고 있음.
그러나 이미 사기성 정보를 받은 이용자는 위험에 노출되어 있어 추가적인 피해가 발생할 수 있는바, 사이버 사기에 노출된 이용자의 피해 예방을 위하여 이용자에게 알리도록 하는 등 1대1 방식의 제도적 보호 장치가 필요함.
이에 위반행위가 확인된 경우 정보통신서비스 제공자로 하여금 다른 사람을 속이거나 위해를 줄 수 있는 정보를 받은 이용자에게 알리도록 하는 조치의 근거를 마련하고자 함.
넷째, 스마트폰 응용프로그램(앱) 접근권한은 스마트폰 응용프로그램 개발자나 개발회사가 이용자 스마트폰의 특정 기능에 접근해 해당 기능을 실행시키거나 데이터를 읽고 수정하는 등 이용자 기기의 기능과 정보를 활용할 수 있는 권한을 말함.
현재 대다수의 이용자는 스마트폰 응용프로그램에 접근권한을 허용할 경우 개발자 등이 본인 기기의 정보를 얼마나 수집하고 어디까지 활용할 수 있는지 정확히 인지하지 못하고 있으며, 인지하고 있더라도 이용자가 접근권한 동의를 거부할 경우 프로그램 자체를 이용할 수 없어 대부분의 이용자가 부득이하게 접근권한을 허용하고 있음.
이에 스마트폰 응용프로그램 개발자나 개발회사가 이용자 스마트폰에 대한 접근권한을 획득하고자 할 경우 서비스의 본질적 기능을 수행하기 위해 필수적인 항목과 그 외의 항목을 구분하여, 접근권한이 필요한 항목과 이유를 명확하게 밝힌 뒤 이용자로부터 각각 동의를 받도록 의무화하고자 함. 또한 서비스의 본질적 기능 수행에 필수적이지 않은 접근 권한에 대해서는 이용자가 동의를 하지 않는다는 이유로 이용자에게 프로그램 제공을 거부할 수 없도록 하려는 것임.
다섯째, 한국인터넷진흥원은 「공공기관의 운영에 관한 법률」 제5조제3항제2호나목에 따른 위탁집행형 준정부기관으로 구분되어, 인터넷 도메인등록, 인터넷 프로토콜(IP)주소 할당, 정보보호시스템 평가, 정보보호 관리체계의 인증 등과 같은 사업을 수행하고 있으며, 이들 사업의 수행으로 수입금이 발생하고 있으나 수입금의 처리방식에 대하여는 법적 근거규정이 없음.
이에 따라 한국인터넷진흥원은 업무 수행에 따라 발생하는 수수료 수입을 자체수입으로 사용하고 있는 바, 이는 모든 세입과 세출 일체를 예산에 편입ㆍ계상하여야 하는 예산총계주의 원칙에 위반된다 할 것이므로, 그 근거를 명확히 하여 국가재정의 모든 수지를 예산에 반영함으로써 그 전체를 분명하게 함과 동시에 국회와 국민의 재정상의 감독을 용이하게 할 필요가 있음.
따라서 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 운영경비 관련 규정을 신설하여 한국인터넷진흥원이 수행하는 사업의 수입금 처리에 관한 법적 근거를 마련하려는 것임.
◇ 주요내용
가. 스마트폰 응용프로그램 개발자나 개발회사가 이용자 스마트폰에 대한 접근권한이 필요한 경우, 프로그램 본래 기능 수행에 반드시 필요한 권한과 그렇지 않은 선택적 권한을 구분해 각각 세부 항목과 이유를 이용자가 명확히 인지하도록 알리고 이용자로부터 동의를 받도록 함(제22조의2제1항 신설).
나. 스마트폰 응용프로그램 개발자나 개발회사가 프로그램 본래 기능 수행에 반드시 필요하지 않은 선택적 접근권한에 이용자가 동의하지 않는다는 이유로 이용자가 프로그램 자체를 이용할 수 없도록 하는 것을 금지함(제22조의2제2항 신설).
다. 「개인정보 보호법」의 규정에 따라 개인정보 ‘취급’을 ‘처리’로 변경하는 등 용어를 통일함(제24조의2제3항 등).
라. 개인정보 취급업무를 위탁하는 경우에 위탁자에게 수탁자에 대한 교육 의무를 부여함(제25조제4항).
마. 개인정보 취급업무를 위탁하는 경우에 문서에 의하도록 하고, 수탁자는 위탁자의 동의를 받은 경우에 한하여 위탁받은 업무를 제3자에게 재위탁할 수 있도록 함(제25조제6항 및 제7항 신설).
바. 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하고, 필요 시 사업주 등에게 보고하여야 함(제27조제4항 신설).
사. 정보통신서비스 제공자 등의 개인정보 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 행위에 대한 징벌적 손해배상 및 개인정보 관련 범죄로 인한 이익을 환수하기 위한 몰수ㆍ추징 규정을 도입함(제32조제2항ㆍ제3항 및 제75조의2 신설).
아. 정보통신망을 통하여 개인정보가 노출된 경우 방송통신위원회 또는 한국인터넷진흥원은 해당 정보의 삭제ㆍ차단을 정보통신서비스 제공자등에게 요청할 수 있으며, 정보통신서비스 제공자등이 필요한 조치를 취하지 않을 경우 3천만원 이하의 과태료를 부과함(제32조의3 신설, 안 제76조제1항제12호).
자. 불법정보의 범위에 "법령을 위반하여 개인정보를 거래하는 내용의 정보"를 명시적으로 포함함(제44조의7제1항제6호의2 신설).
차. 속이는 행위로 개인정보를 수집하는 등의 위반행위가 확인된 경우 정보통신서비스 제공자로 하여금 다른 사람을 속이거나 위해를 줄 수 있는 정보를 받은 이용자에게 알리도록 하는 조치의 근거를 마련함(제49조의2제3항제3호 및 제4항 신설).
카. 전화권유판매자가 수신자에게 개인정보의 수집출처를 고지해야만 수신자의 명시적인 사전 동의 없이 텔레마케팅을 할 수 있도록 함(제50조제1항제2호).
타. 한국인터넷진흥원이 사업을 수행하는 데 필요한 경비는 정부의 출연금, 제52조제3항 각 호의 사업수행에 따른 수입금, 그 밖에 인터넷진흥원의 운영에 따른 수입금으로 충당하도록 함(제52조제4항).
파. 개인정보 국외 이전의 유형을 ‘제공(조회되는 경우를 포함), 취급위탁, 보관’으로 명시하고, 이용자의 동의없이 개인정보를 국외로 제공한 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하의 과징금을 부과함(제63조제2항, 제64조의3제1항제8호 신설).
하. 방송통신위원회가 정보통신망법을 위반한 정보통신서비스 제공자등의 최고 경영자 등 임원에 대하여 징계를 권고할 수 있도록 함(제69조의2제2항 신설).
거. 정당한 사유없이 악성프로그램을 전달 또는 유포한 자 및 정당한 권한없이 또는 허용된 접근권한을 넘어 정보통신망에 침입한 자에 대한 처벌을 각각 ‘7년 이하의 징역 또는 7천만원 이하의 벌금’ 및 ‘5년 이하의 징역 또는 5천만원 이하의 벌금’으로 상향함(제70조의2 및 제71조제8호의2 신설).
너. 정보통신망법의 규정을 위반하여 미래창조과학부장관 또는 방송통신위원회로부터 부과받은 시정조치 명령을 이행하지 아니한 정보통신서비스 제공자등에게 3천만원 이하의 과태료를 부과함(제76조제1항제12호).
<법제처 제공>