- 정보주체는 개인정보의 수집·이용·제공·파기 등 처리에 관한 사항을 제공받을 권리가 있음
- 개인정보처리자는 이러한 고지의무 및 개인정보처리방침의 공개의무를 준수 하여야 함
제4조(정보주체의 권리) 정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리
4. 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리
5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
1.2. 개인정보처리에 대한 동의권
- 헌법 판례상 '개인정보자기결정권'은 개인정보처리 결정 권한에 기본적인 권리를 보장한다.
- 정보주체는 처리에 관한 동의 여부, 동의 범위를 선택할 수 있으므로 개인정보처리자는 포괄적인 동의를 요구할 수 없다.
* 필수동의, 선택적 동의, 위탁, 제3자 제공등에 관한 사항을 최대한 분리하여 동의 받아야 한다.
제4조(정보주체의 권리) 정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리
4. 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리
5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
대법원판례 (헌법재판소 99헌마513)
- 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리로, 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특정짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보로, 반드시 개인의 내밀한 영역이나 사적인 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함하는 것이다.
- 이는 헌법 제17조 사생활의 비밀과 자유, 헌법 제10조 제1문 인간의 존엄과 가치 및 행복추구권에 근거를 둔 일반적 인격권 또는 우리 헌법의 자유민주적 기본질서 규정 또는 국민주권원리와 민주주의 원리에서 근거하는 것으로, 개인정보자기결정권은 이들을 이념적 기초로 하는 독자적 기본권으로 헌법에 명시되지 아니한 기본권이다.
1.3. 개인정보 열람권
- 개인정보의 처리 여부를 확인하고 개인정보에 대한 열람을 요구할 권리
- 정보주체가 회원가입등을 통해 제공한 정보 뿐만 아니라 서비스 이용중 생성되고 결합된 정보(상품 구매내역, 상품 구매성향 등)도 열람 가능하여야 한다.
- 개인정보처리자는 법에서 인정하는 특별한 사유가 있는 경우 정보주체에게 그 사유를 알리고 열람을 제한 또는 거절할 수 있다.
(1) 법률에 따라 열람이 금지되고 제한되는 경우
(2) 다른 사람을 부당하게 침해할 우려가 있는 경우
(3) 공공기관인 경우 조세 관련, 입학/입사 선발관련, 다른 법률에 명시된 경우 등
제4조(정보주체의 권리) 정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리
4. 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리
5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
제35조(개인정보의 열람) ① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다.
② 제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 행정안전부장관을 통하여 열람을 요구할 수 있다. <개정 2013.3.23., 2014.11.19., 2017.7.26.>
③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다.
④ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다.
1. 법률에 따라 열람이 금지되거나 제한되는 경우
2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우
가. 조세의 부과·징수 또는 환급에 관한 업무
나. 「초·중등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무
다. 학력·기능 및 채용에 관한 시험, 자격 심사에 관한 업무
라. 보상금·급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무
마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무
⑤ 제1항부터 제4항까지의 규정에 따른 열람 요구, 열람 제한, 통지 등의 방법 및 절차에 관하여 필요한 사항은 대통령령으로 정한다.
1.4. 개인정보 처리정지, 정정, 삭제권
- 헌법 판례상 '개인정보자기결정권'은 개인정보처리 결정 권한에 기본적인 권리를 보장한다.
- 개인정보처리자는 다른 법령에 특별한 절차가 있는 경우를 제외하고는 지체없이 조치를 취하여야 한다.
- 정보주체는 개인정보처리자로부터 조치에 대한 증빙자료를 제출하게 할 수 있다.
- 개인정보처리자는 법에서 인정하는 특별한 사유가 있는 경보 주체에게 그 사유를 알리고 조치를 거부할 수 있다.
(1) 법률에 특별한 규정이 있거나 법령상 의무 준수를 위해 불가피한 경우
(2) 다른 사람을 부당하게 침해할 우려가 있는 경우
(3) 공공기관인 경우, 개인정보를 처리하지 않으면 법률에서 정하는 소관 업무 수행이 불가능한 경우
(4) 개인정보를 처리하지 않으면 정보주체와 약정한 서비스를 제공할 수 없는데, 정보주체가 약정 해지 의사를 밝히지 않은 경우
제4조(정보주체의 권리) 정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리
4. 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리
5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
제36조(개인정보의 정정·삭제) ① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.
② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정·삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.
③ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
④ 개인정보처리자는 정보주체의 요구가 제1항 단서에 해당될 때에는 지체 없이 그 내용을 정보주체에게 알려야 한다.
⑤ 개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주체에게 정정·삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다.
⑥ 제1항·제2항 및 제4항에 따른 정정 또는 삭제 요구, 통지 방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.
제37조(개인정보의 처리정지 등) ① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다. 이 경우 공공기관에 대하여는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다.
② 개인정보처리자는 제1항에 따른 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.
1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우
③ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다.
④ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다.
⑤ 제1항부터 제3항까지의 규정에 따른 처리정지의 요구, 처리정지의 거절, 통지 등의 방법 및 절차에 필요한 사항은 대통령령으로 정한다.
대법원판례 (헌법재판소 99헌마513)
- 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리로, 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특정짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보로, 반드시 개인의 내밀한 영역이나 사적인 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함하는 것이다.
- 이는 헌법 제17조 사생활의 비밀과 자유, 헌법 제10조 제1문 인간의 존엄과 가치 및 행복추구권에 근거를 둔 일반적 인격권 또는 우리 헌법의 자유민주적 기본질서 규정 또는 국민주권원리와 민주주의 원리에서 근거하는 것으로, 개인정보자기결정권은 이들을 이념적 기초로 하는 독자적 기본권으로 헌법에 명시되지 아니한 기본권이다.
1.5. 개인정보처리로 인하여 발생한 피해를 구제받을 권리
- 정보주체는 개인정보처리자의 개인정보보호법을 위반하여 피해가 발생한 경우 손해배상을 청구할 수 있다.
- 고의 또는 과실이 없음에 대한 입증책임은 개인정보처리자에게 있다.
- 개인정보처리자의 과실로 피해가 발생한 경우 법원은 손해액의 3배를 넘지 않는 범위해서 손해배상액을 정할 수 있다.
- 법원에서 배상액을 정할때 고려해야 하는 사항 *암기 포인트
(1) 고의 또는 손해 발생의 우려를 인식한 정도
(2) 위반행위로 인하여 입은 피해 규모
(3) 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익
(4) 위반행위에 따른 벌금 및 과징금
(5) 위반행위의 기간·횟수 등
(6) 개인정보처리자의 재산상태
(7) 개인정보처리자가 피해 개인정보를 회수하기 위하여 노력한 정도
(8) 개인정보처리자가 피해구제를 위하여 노력한 정도
- 기업에서는 사고 발생 시 손해 배상금 폭탄을 맞지 않으려면 개인정보보호를 위한 안전조치에 만전을 기울여야 함을 알 수 있다. 안전조치에 필요한 비용을 아끼기 위해 안전조치를 제대로 취하지 않은 경우 이런 기회비용이익까지도 모두 손해배상액 산정에 고려가 된다.
제4조(정보주체의 권리) 정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리
4. 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리
5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
제39조(손해배상책임) ① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
② 삭제 <2015.7.24.>
③ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다. <신설 2015.7.24.>
④ 법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다. <신설 2015.7.24.>
1. 고의 또는 손해 발생의 우려를 인식한 정도
2. 위반행위로 인하여 입은 피해 규모
3. 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익
4. 위반행위에 따른 벌금 및 과징금
5. 위반행위의 기간·횟수 등
6. 개인정보처리자의 재산상태
7. 개인정보처리자가 정보주체의 개인정보 분실·도난·유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도
1.6. 법정대리인의 권리
- 만 14세 미만 아동의 개인정보 처리시 법정 대리인의 동의가 추가로 필요하다.
- 법정 대리인의 동의를 받는데 필요한 최소한의 정보는 정보주체인 법정대리인의 동의 없이 받을 수 있다.
* 최소한의 정보란 '정보통신망법'을 참고하면 법정대리인의 성명, 연락처 정도
- 법정대리인의 정보는 오직 동의 획득 목적으로만 사용되어야 하며 동의가 획득되지 않을 경우 지체없이 파기하여야 한다.
- 법정대리인은 기본적으로 부모(친권자)를 의미하나, 친권자가 없는 경우 민법에 따라 후견인이 법정대리인이 된다.
- 법정대리인은 아동을 대리하여 아동의 개인정보에 대한 열람, 정정, 삭제, 처리정지 등의 권리를 동일하게 행사할 수 있다.
개인정보보호법 제38조(권리행사의 방법 및 절차) ① 정보주체는 제35조에 따른 열람, 제36조에 따른 정정·삭제, 제37조에 따른 처리정지 등의 요구(이하 "열람등요구"라 한다)를 문서 등 대통령령으로 정하는 방법·절차에 따라 대리인에게 하게 할 수 있다.
② 만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동의 개인정보 열람등요구를 할 수 있다.
③ 개인정보처리자는 열람등요구를 하는 자에게 대통령령으로 정하는 바에 따라 수수료와 우송료(사본의 우송을 청구하는 경우에 한한다)를 청구할 수 있다.
④ 개인정보처리자는 정보주체가 열람등요구를 할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개하여야 한다.
⑤ 개인정보처리자는 정보주체가 열람등요구에 대한 거절 등 조치에 대하여 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하고 안내하여야 한다.
정보통신망법 제31조(법정대리인의 권리) ① 정보통신서비스 제공자등이 만 14세 미만의 아동으로부터 개인정보 수집·이용·제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 한다. 이 경우 정보통신서비스 제공자는 그 아동에게 법정대리인의 동의를 받기 위하여 필요한 법정대리인의 성명 등 최소한의 정보를 요구할 수 있다.
② 법정대리인은 해당 아동의 개인정보에 대하여 제30조제1항 및 제2항에 따른 이용자의 권리를 행사할 수 있다.
③ 제2항에 따른 법정대리인의 동의 철회, 열람 또는 오류정정의 요구에 관하여는 제30조제3항부터 제5항까지의 규정을 준용한다.
2. 정보통신망법에서의 권리
개인정보보호법과 비교해서 이해해야 한다.
2.1. 개인정보처리에 관한 정보를 제공받을 권리
- 정보통신망법에선 개인정보 처리방침 공개 방법 등에 대한 내용을 구체적으로 명시하고 있다.
- 홈페이지를 통해 공개될 경우엔 글자 크기, 굵기, 색깔 등을 이용하여 눈에 띄도록 배치하여야 한다.
제27조의2(개인정보 처리방침의 공개) ① 정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 경우에는 개인정보 처리방침을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. <개정 2016.3.22.>
② 제1항에 따른 개인정보 처리방침에는 다음 각 호의 사항이 모두 포함되어야 한다. <개정 2012.2.17., 2016.3.22.>
1. 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목 및 수집방법
2. 개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명(법인인 경우에는 법인의 명칭을 말한다), 제공받는 자의 이용 목적과 제공하는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 파기방법(제29조제1항 각 호 외의 부분 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
4. 개인정보 처리위탁을 하는 업무의 내용 및 수탁자(해당되는 경우에만 처리방침에 포함한다)
5. 이용자 및 법정대리인의 권리와 그 행사방법
6. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항
7. 개인정보 보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처
③ 정보통신서비스 제공자등은 제1항에 따른 개인정보 처리방침을 변경하는 경우에는 그 이유 및 변경내용을 대통령령으로 정하는 방법에 따라 지체 없이 공지하고, 이용자가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하여야 한다. <개정 2016.3.22.>
2.2. 개인정보처리에 대한 동의권
- 정보통신망법에는 동의 범위의 결정권 등에 대한 구체적인 내용은 없다. 다만 동의철회에 대한 세부적인 사항이 더 규정되어 있다.
- 정보통신망법에서는 영리목적의 광고성 정보 전송·프로그램 설치에 대한 별도 동의를 규정하고 있다.
- 정보통신서비스 제공자등은 개인정보보호법도 적용받으므로, 양쪽 법에서 규정한 내용을 모두 준수하여야 한다.
제30조(이용자의 권리 등) ① 이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집·이용·제공 등의 동의를 철회할 수 있다.
② 이용자는 정보통신서비스 제공자등에 대하여 본인에 관한 다음 각 호의 어느 하나의 사항에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다.
1. 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보
2. 정보통신서비스 제공자등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황
3. 정보통신서비스 제공자등에게 개인정보 수집·이용·제공 등의 동의를 한 현황
③ 정보통신서비스 제공자등은 이용자가 제1항에 따라 동의를 철회하면 지체 없이 수집된 개인정보를 복구·재생할 수 없도록 파기하는 등 필요한 조치를 하여야 한다. <개정 2014.5.28.>
④ 정보통신서비스 제공자등은 제2항에 따라 열람 또는 제공을 요구받으면 지체 없이 필요한 조치를 하여야 한다.
⑤ 정보통신서비스 제공자등은 제2항에 따라 오류의 정정을 요구받으면 지체 없이 그 오류를 정정하거나 정정하지 못하는 사유를 이용자에게 알리는 등 필요한 조치를 하여야 하고, 필요한 조치를 할 때까지는 해당 개인정보를 이용하거나 제공하여서는 아니 된다. 다만, 다른 법률에 따라 개인정보의 제공을 요청받은 경우에는 그 개인정보를 제공하거나 이용할 수 있다.
⑥ 정보통신서비스 제공자등은 제1항에 따른 동의의 철회 또는 제2항에 따른 개인정보의 열람·제공 또는 오류의 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다.
⑦ 영업양수자등에 대하여는 제1항부터 제6항까지의 규정을 준용한다. 이 경우 "정보통신서비스 제공자등"은 "영업양수자등"으로 본다.
2.3. 개인정보 열람권
2.3.1 기본적인 열람권
- 이용자는 정보통신서비스 제공자등에게 본인에 관한 정보를 열람·제공토록 요구할 수 있다
(1) 보유한 이용자의 개인정보
(2) 개인정보 이용현황 및 제3자 제공 현황
(3) 개인정보 수입·이용·제공 등의 동의 현황
* 열람을 요구하는 방법은 개인정보 수집방법보다 쉽게 하여야 한다.
2.3.2 이용내역 통지의무
- 정보통신서비스 제공자등으로 일정 규모 이상인 경우 개인정보이용내역을 주기적으로 통지하여야 한다.
(1) 일정 규모 : 이용자 수 일일평균 100만명 이상, 정보통신부문 매출액 100억 이상
(2) 통지 주기 : 연 1회 이상
(3) 통지 가능한 연락처 등을 수집하지 않은 경우엔 예외로 한다.
제30조(이용자의 권리 등) ① 이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집·이용·제공 등의 동의를 철회할 수 있다.
② 이용자는 정보통신서비스 제공자등에 대하여 본인에 관한 다음 각 호의 어느 하나의 사항에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다.
1. 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보
2. 정보통신서비스 제공자등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황
3. 정보통신서비스 제공자등에게 개인정보 수집·이용·제공 등의 동의를 한 현황
③ 정보통신서비스 제공자등은 이용자가 제1항에 따라 동의를 철회하면 지체 없이 수집된 개인정보를 복구·재생할 수 없도록 파기하는 등 필요한 조치를 하여야 한다. <개정 2014.5.28.>
④ 정보통신서비스 제공자등은 제2항에 따라 열람 또는 제공을 요구받으면 지체 없이 필요한 조치를 하여야 한다.
⑤ 정보통신서비스 제공자등은 제2항에 따라 오류의 정정을 요구받으면 지체 없이 그 오류를 정정하거나 정정하지 못하는 사유를 이용자에게 알리는 등 필요한 조치를 하여야 하고, 필요한 조치를 할 때까지는 해당 개인정보를 이용하거나 제공하여서는 아니 된다. 다만, 다른 법률에 따라 개인정보의 제공을 요청받은 경우에는 그 개인정보를 제공하거나 이용할 수 있다.
⑥ 정보통신서비스 제공자등은 제1항에 따른 동의의 철회 또는 제2항에 따른 개인정보의 열람·제공 또는 오류의 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다.
⑦ 영업양수자등에 대하여는 제1항부터 제6항까지의 규정을 준용한다. 이 경우 "정보통신서비스 제공자등"은 "영업양수자등"으로 본다.
제30조의2(개인정보 이용내역의 통지) ① 정보통신서비스 제공자등으로서 대통령령으로 정하는 기준에 해당하는 자는 제22조 및 제23조제1항 단서에 따라 수집한 이용자 개인정보의 이용내역(제24조의2에 따른 제공 및 제25조에 따른 개인정보 처리위탁을 포함한다)을 주기적으로 이용자에게 통지하여야 한다. 다만, 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 아니한 경우에는 그러하지 아니하다. <개정 2016.3.22.>
② 제1항에 따라 이용자에게 통지하여야 하는 정보의 종류, 통지 주기 및 방법, 그 밖에 이용내역 통지에 필요한 사항은 대통령령으로 정한다.
정보통신망법 시행령 제17조(개인정보 이용내역의 통지) ① 법 제30조의2제1항 본문에서 "대통령령으로 정하는 기준에 해당하는 자"란 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등을 말한다.
② 법 제30조의2제1항에 따라 이용자에게 통지하여야 하는 정보의 종류는 다음 각 호와 같다. <개정 2016.9.22>
1. 개인정보의 수집·이용 목적 및 수집한 개인정보의 항목
2. 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목. 다만, 「통신비밀보호법」 제13조, 제13조의2, 제13조의4 및 「전기통신사업법」 제83조제3항에 따라 제공한 정보는 제외한다.
3. 법 제25조에 따른 개인정보 처리위탁을 받은 자 및 그 처리위탁을 하는 업무의 내용
③ 법 제30조의2제1항에 따른 통지는 전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 연 1회 이상 하여야 한다.
2.4. 개인정보 처리정지, 정정, 삭제권
- 정보통신망법에선 개인정보의 처리정지, 정정, 삭제권을 '동의 철회권'과 관련하여 설명한다.
- 이용자는 언제든지 개인정보 수집·이용·제공 등의 동의를 철회할 수 있다.
- 이용자가 동의를 철회하는 경우 지체없이 수집된 개인정보를 파기하는 등의 조치를 하여야 한다.
- 이용자의 오류 정정 요구를 받은 경우 오류 정정 등의 조치를 취할때까지 개인정보를 이용할 수 없다.
* 오류 정정을 요구하는 방법은 개인정보 수집방법보다 쉽게 하여야 한다.
제30조(이용자의 권리 등) ① 이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집·이용·제공 등의 동의를 철회할 수 있다.
② 이용자는 정보통신서비스 제공자등에 대하여 본인에 관한 다음 각 호의 어느 하나의 사항에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다.
1. 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보
2. 정보통신서비스 제공자등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황
3. 정보통신서비스 제공자등에게 개인정보 수집·이용·제공 등의 동의를 한 현황
③ 정보통신서비스 제공자등은 이용자가 제1항에 따라 동의를 철회하면 지체 없이 수집된 개인정보를 복구·재생할 수 없도록 파기하는 등 필요한 조치를 하여야 한다. <개정 2014.5.28.>
④ 정보통신서비스 제공자등은 제2항에 따라 열람 또는 제공을 요구받으면 지체 없이 필요한 조치를 하여야 한다.
⑤ 정보통신서비스 제공자등은 제2항에 따라 오류의 정정을 요구받으면 지체 없이 그 오류를 정정하거나 정정하지 못하는 사유를 이용자에게 알리는 등 필요한 조치를 하여야 하고, 필요한 조치를 할 때까지는 해당 개인정보를 이용하거나 제공하여서는 아니 된다. 다만, 다른 법률에 따라 개인정보의 제공을 요청받은 경우에는 그 개인정보를 제공하거나 이용할 수 있다.
⑥ 정보통신서비스 제공자등은 제1항에 따른 동의의 철회 또는 제2항에 따른 개인정보의 열람·제공 또는 오류의 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다.
⑦ 영업양수자등에 대하여는 제1항부터 제6항까지의 규정을 준용한다. 이 경우 "정보통신서비스 제공자등"은 "영업양수자등"으로 본다.
2.5. 개인정보처리로 인하여 발생한 피해를 구제받을 권리
- 손해배상에 대한 내용은 개인정보보호법과 동일하나 '법정손해배상의 청구' 내용이 추가된다.
- 손해배상 조항에 따른 손해액을 산정하는 대신 300만원 이하의 금액을 손해액으로 정하여 청구할 수 있다. 피해액에 대한 구체적인 입증 없이 손해배상 청구를 용이하게 하기 위함이다.
제32조(손해배상) ①이용자는 정보통신서비스 제공자등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스 제공자등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. <개정 2016.3.22.>
② 정보통신서비스 제공자등의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 정보통신서비스 제공자등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다. <신설 2016.3.22.>
③ 법원은 제2항의 손해배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다. <신설 2016.3.22.>
1. 고의 또는 손해 발생의 우려를 인식한 정도
2. 위반행위로 인하여 입은 피해 규모
3. 위반행위로 인하여 정보통신서비스 제공자등이 취득한 경제적 이익
4. 위반행위에 따른 벌금 및 과징금
5. 위반행위의 기간·횟수 등
6. 정보통신서비스 제공자등의 재산상태
7. 정보통신서비스 제공자등이 이용자의 개인정보 분실·도난·유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
8. 정보통신서비스 제공자등이 이용자의 피해구제를 위하여 노력한 정도
[전문개정 2008.6.13.]
제32조의2(법정손해배상의 청구) ① 이용자는 다음 각 호의 모두에 해당하는 경우에는 대통령령으로 정하는 기간 내에 정보통신서비스 제공자등에게 제32조에 따른 손해배상을 청구하는 대신 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. <개정 2016.3.22.>
1. 정보통신서비스 제공자등이 고의 또는 과실로 이 장의 규정을 위반한 경우
2. 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우
② 법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.
③ 제32조에 따라 손해배상을 청구한 이용자는 사실심의 변론이 종결되기 전까지 그 청구를 제1항에 따른 청구로 변경할 수 있다. <신설 2016.3.22.>
[본조신설 2014.5.28.]
2.6. 법정대리인의 권리
- 개인정보보호법과 거의 동일하다.
제31조(법정대리인의 권리) ① 정보통신서비스 제공자등이 만 14세 미만의 아동으로부터 개인정보 수집·이용·제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 한다. 이 경우 정보통신서비스 제공자는 그 아동에게 법정대리인의 동의를 받기 위하여 필요한 법정대리인의 성명 등 최소한의 정보를 요구할 수 있다.
② 법정대리인은 해당 아동의 개인정보에 대하여 제30조제1항 및 제2항에 따른 이용자의 권리를 행사할 수 있다.
③ 제2항에 따른 법정대리인의 동의 철회, 열람 또는 오류정정의 요구에 관하여는 제30조제3항부터 제5항까지의 규정을 준용한다.