[SK shieldus Rookies 29기] 39일차

1. 데이터 3법

1.1 데이터 3법의 종류

1. 개인정보보호법
2. 정보통신망 이용촉진 및 정보보호 등에 관한 법률
3. 신용정보보호법

개보법(개보위), 정통망법(과기부/방통위), 신보법(금융위)으로 외우자

1.2 기타 데이터 관련 법

1. 데이터 산업진흥 및 이용촉진에 관한 기본법(과기부)
2. 공공데이터의 제공 및 이용 활성화에 관한 법률(행안부)
3. 데이터기반행정 활성화에 관한 법률(행안부)
4. 산업 디지털 전환 촉진법(산자부)

1.3 정보보호/개인정보관련주요법률체계

1.4 CBPR 인증 개요

CBPR(Cross-Border Privacy Rules)

• 국경간프라이버시보호규칙(Cross Border Privacy Rule)의 약자로 2011년 APEC이 전자상거래의 활성화와 회원국간 안전한 개인정보의 상호이전을 위해 개발한 글로벌 개인정보보호 자율인증제도

• APEC프라이버시 보호원칙을 기반으로 기업의 개인정보보호체계를 평가하여 인증하는 글로벌 인증제도로, APEC 회원국간 자유롭고 안전한 개인정보이전을지원하기위해 APEC 회원국이 공동으로 개발

• CBPR 인증은 회원국 또는 기업의 자율적 참여를 기반으로 운영되며, 제도운영국가에서 별도의 규정이 있지 않는 한 CBPR 인증을 취득한다고해서자국의법령에서 요구하는 의무를 경감하거나 면제하지않음.
  그러나 CBPR을 운영하는 국가의 관련 규범이나 법집행체계를 바탕으로 운영되어 인증에 대한 공신력이있음

1.5 GDPR

• 주제 및 목적

  • 1. 본 규정은 개인정보의 처리에 있어 자연인을 보호하기 위한 규칙과 개인정보의 자유로운 이동에 관한 규칙에 대하여 규정한다.
  • 2. 본 규정은 자연인의 자유와 기본권, 특히 개인정보 보호에 대한 권리를 보호한다.
  • 3. 유럽연합 내에서 개인정보의 자유로운 이동은, 개인정보를 처리함에 있어 자연인의 보호와 연관되어 있다는 이유로, 제한되거나 금지되어서는 안 된다.

• 전문 2조

  • 개인의 개인정보 처리 보호, 특히 개인정보 보호는 개개인의 국적 또는 거주지에 상관없이 개인의 기본적 권리와 자유로써 존중되어야 함을 기본원칙으로 한다.
    이 법은 자유, 안보 및 정의와 경제연합 분야의 성과, 경제 및 사회적 발전, 역내시장 경제의 강화 및 통합, 그리고 개인의 복지 증진을 목적으로 한다.

• 전문 6조

  • 급격한 기술발전과 세계화에 따라 개인정보 보호 분야에 새로운 도전이 제기되었다. 개인정보의 수집 및 공유 규모가 상당한 수준으로 확대되었다. 기술을 통해 민간기업과 공공기관이 업무수행을 위해 전례 없는 규모로 개인정보를 활용하게 되었다. 개인들은 점점 더 많이 개인정보를 공개적으로, 그리고 세계적으로 활용될 수 있도록 하고 있다. 기술은 경제 및 사회생활을 변화시켜왔다.
    앞으로는 기술을 통해 개인정보를 높은 수준으로 보호하는 한편, 유럽연합 역내에서, 그리고 제3국 및 국제기구로 개인정보가 자유로이 이동할 수 있도록 지원해야 한다.

1.6 Privacy 인증마크 개요

Privacy 인증마크

필요성

• 정보주체의 개인정보를 활용한 IT서비스가 점차 고도화·다양화되어 개인정보의 활용 및 이전이 활발해지면서 개인정보보호에 대한 중요성과 개인정보처리자의 사회적 책임이 증가하고있음.
• 그러나 개인정보보호법에 대한 이해도가 낮은 개인정보처리자의 경우 서비스 운영시 개인정보보호조치를 취하였음에도 불구하고 안전한 조치인지 혹은법규를 준수하고 있는 것인지 확인하기 어려운 문제점 발생
• 이에(사)개인정보보호협회(OPA)는 개인정보보호에 대한 법규준수 및 안전한 개인정보관리를 위한 보호조치 이행여부 확인을 위한 제도로 국내 유일 개인정보보호민간인증제도인 PRIVACY 인증마크운영

  법적효력

• PRIVACY 인증마크는(사)개인정보보호협회가 자체적으로 실시하는 민간자율임의인증으로, 법정 인증인 정보보호 및 개인정보보호관리체계인증(ISMS-P)제도와구분
• 또한 ISMS-P는 신청기관이 정보보호 및 개인정보보호를 위한 관리체계(Plan-Do-Check-Act)를 갖추었음을 심사하여 인증을 부여하는데 비하여, PRIVACY 인증마크는 기관이 신청한 심사범위의 서비스(웹사이트등) 운영 형태가 개인정보보호법령을 준수하고 있는지를 심사하여 인증을부여

(사)개인정보보호협회는 CPPG 자격증 주관사임

1.7 ISMS & ISMS-P

ISMS-P(Information Security Management System & Personal information management System)는 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합한 인증 제도입니다.

정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시

[시행 2024. 7. 24.] [개인정보보호위원회고시 제2024-8호, 2024. 7. 24., 일부개정][시행 2024. 7. 24.] [과학기술정보통신부고시 제2024-30호, 2024. 7. 24., 일부개정]

법적 근거

정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)

• 정보통신망법 제47조제3항,제4항
• 동법 시행령 제47조~제53조의2
• 동법 시행규칙 제3조

개인정보 보호법

• 개인정보보호법 제32조의2
• 동법 시행령 제34조의2~제34조의8
  

주무부처

과학기술정보통신부

• 정보보호 및 개인정보보호 관리체계 인증 제도 총괄
• 인증기관 및 심사기관 지정
• 인증 정책 수립 및 관리

개인정보보호위원회

• 개인정보보호 부분의 인증 관리
• 과학기술정보통신부와 협의하여 공동으로 정책 운영
• 2020년 8월 5일부터 방송통신위원회 대신 개인정보보호위원회가 주무부처로 변경

정보보호 및 개인정보보호 관리체계의 인증기준

ISMS(정보보호 관리체계 인증)

기존의 ISMS의 의무대상 기업 기관, 개인정보를 보유하지 않거나 개인정보 흐름의 보호가 불필요한 조직 등

관리체계 수립 및 운영과 보호대책 요구사항 영역을 포함함.

정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
제23조(인증심사 기준)
① 다음 각 호의 인증의 구분에 따라 별표 7의 인증기준을 적용한다.
2. 정보보호 관리체계 인증 : 별표 7 가목 및 나목

ISMS-P(정보보호 및 개인정보보호 관리체계 인증)

보호하고자 하는 정보서비스가 개인정보의 흐름을 가지고 있어 개인정보 처리 단계별 보안강화가 필요한 조직

관리체계 수립 및 운영과 보호대책 요구사항 영역은 ISMS와 동일하지만 개인정보 처리 단계별 요구사항을 추가하면 ISMS-P임.

정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
제23조(인증심사 기준)
① 다음 각 호의 인증의 구분에 따라 별표 7의 인증기준을 적용한다.

1. 정보보호 및 개인정보보호 관리체계 인증 : 별표 7 가목부터 다목

---

2. 개인정보보호법 개요

2.1 개인정보보호법이란?

정의

개인의 개인정보를 보호하고, 개인정보와 관련된 기본적 인권을 보장하는 법률

목적

제1조(목적)
이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다.

개정 배경

디지털 플랫폼 정부가 출범 및 글로벌리 디지털과 웹 환경 변화 등이 있다.

주요 개정 사항

1. 신기술·신산업 등 데이터 경제 성장 견인

구분	주요 내용	현행(개정 이전)	개정 내용	관련 조문
개인정보 전송요구권	개인정보 이동권	금융·공공 분야에 한해 제한적 도입	정보주체가 자신의 개인정보를 본인 또는 제3자에게 전송하도록 요구할 수 있는 일반적 권리 신설	제35조의2 (시행일 미지정)
이동형 영상정보처리기기 규정	자율주행차·드론 등	이동형 기기의 영상정보 수집에 대한 입법 미비	이동형 기기 특성을 반영한 수집 기준, 촬영 사실 표시 등 운영 기준 마련	제25조의2, 제2조
온·오프라인 규제 일원화	규제 체계	온·오프라인 규제 이원화로 기업의 법 적용 혼선 및 이중 부담	일반규정과 특례규정 일원화 → ‘동일 행위–동일 규제’ 원칙 적용	전반적 체계 개편

2. 디지털 시대에 적합한 국민의 적극적 권리 강화

구분	주요 내용	현행(개정 이전)	개정 내용	관련 조문
개인정보 처리요건 정비	동의 제도 개선	복잡·형식적 동의로 필수 동의 강제 관행 존재	계약 체결·이행 요건 정비, 필수 동의 관행 개선 및 공중위생 등 안전조치 강화	제1절 (수집·이용·제공)
개인정보처리방침 평가제	처리방침 실효성	처리방침 수립·공개 의무만 있고 내용 판단 기준 부재	처리방침의 적정성·가독성 평가 후 필요 시 개선 권고 가능	제30조의2
자동화된 결정 대응권	AI 기반 의사결정	자동화된 결정에 대한 정보주체 권리 규정 부재	자동화된 결정이 권리·의무에 영향 시 거부·설명 요구권 신설	제37조의2
개인정보 분쟁조정	분쟁 해결 실효성	소액 사건 위주로 적극적 조정 한계	분쟁조정 의무 참여 대상 확대, 사실조사 근거 마련	제45조
사적 목적 이용 금지	내부자 오·남용	개인정보의 사적 이용에 대한 명확한 제재 근거 부재	정당한 권한 없이 또는 권한을 초과하여 타인의 개인정보를 이용하는 행위 금지	금지행위 규정

3. 글로벌 스탠다드에 부합하는 법·제도 정비

구분	주요 내용	현행(개정 이전)	개정 내용	관련 조문
개인정보 국외 이전	국외 이전 요건	국외 이전 시 원칙적으로 별도 동의 필요	동의 외에도 다양한 국외 이전 요건 허용, 국외 이전 중지 명령권 신설	제28조의8 ~ 제28조의11
과징금·벌칙 규정	제재 체계	업무 담당자 형벌 중심 → 기업의 투자 유인 부족	형벌 중심에서 경제 제재 중심으로 전환, 과징금 상한·대상 확대	제70조 ~ 제76조

시행일별 개정사항

시행일(2024.3.15)

• 공공기관 개인정보 보호수준 평가
• 개인정보영향 평가 미수행 시 과태료 부과 등
• 자동화된 결정에 대한 정보주체의 권리 등
• 개인정보관리 전문기관 등

시행일(2025.3.13)

• 개인정보 전송요구권 신설

---

3. 개인정보보호법(2024.3.15)

총칙(제1장)

개인정보보호법

• 개인정보 처리원칙 등을 규정하고 개인정보에 대한 권리와 이익을 보장하려는 법
• 일반법

용어의 정의(제2조)

• 개인정보: 살아 있는 개인에 관한 정보
  • 성명, 주민등록번호 및 영상을 통하여 개인을 알아볼 수 있는 정보
  • 해당 정보만으로는 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보
  • 가명정보도 개인정보
• 가명처리: 개인정보의 일부를 삭제하거나 일부 또는 전체를 대체하는 방법으로 추가 정보 없이 특정 개인을 알아볼 수 없도록 처리하는 것
• 처리: 개인정보의 수집+생성+연계+연동+기록+저장+보유+가공+편집+검색+출력+정정+복구+이용+제공+공개+파기 등 유사한 행위 ⇒ 웬만하면 다 처리로 보아야 함
• 정보주체: 처리되는 정보에 의해 알아볼 수 있는 사람 (정보의 주인)
• 개인정보파일: 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물 ⇒ 하드카피, DB, 엑셀파일, 서버로그 등 모두 해당 됨
• 개인정보처리자: 업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등
• 고정형 영상정보처리기기: 일정한 공간에 설치되어 지속적/주기적으로 사람 또는 사람의 영상 등을 촬영하거나 이를 전송하는 장치
• 이동형 영상정보처리기기: 사람이 신체에 착용 또는 휴대하거나 이동 가능한 물체에 부착/거치하여 사람 또는 사물의 영상 등을 촬영하거나 이를 전송하는 장치
• 과학적연구: 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구

개인정보 보호 원칙(제3조)

• 개인정보의 처리 목적을 명확하게 해야하고 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집해야 함
• 개인정보의 정확성/완전성/최신성이 보장되도록 해야함(정보정확성의 원칙)
• 개인정보를 안전하게 관리해야 함(안정성 확보의 원칙)
• 개인정보를 익명/가명으로 처리하여 수집목적을 달성할 수 있는 경우에는 익명/가명에 의하여 처리될 수 있도록 해야함(수집 제한의 원칙)

정보주체의 권리(제4조)

• 개인정보 자기결정권 또는 개인정보 자기통제권을 인정하고 있음
• 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지 정보주체가 스스로 결정하는 것
• 여기에는 개인정보 전송을 요구할 권리(마이데이터)도 포함됨

다른 법률과의 관계(제6조)

• 개인정보보호법은 일반법이므로 다른 법률에 특별한 규정이 있는 경우에는 그 법률의 규정이 우선 적용

개인정보 보호정책의 수립(제2장)

개인정보 보호위원회(제7조)

• 개인정보 보호에 관한 사무를 독립적으로 수행하기 위해 국무총리 소속으로 개인정보보호위원회를 둔다
• 보호위원회는 정부조직법에 따른 중앙행정기관으로 취급

보호위원회의 구성(제7조의2)

• 대통령이 임명/위촉하며 상임위원 2명(위원장 1, 부위원장1)을 포함한 9명의 위원으로 구성
• 위원장, 부위원장은 국무총리의 제청
• 2인은 위원장의 제청
• 2인은 대통령이 소속되거나 소속되었던 정당의 추천
• 3명은 그 외의 교섭단체 추천

위원의 임기(제7조의4)

• 위원의 임기는 3년, 한 차례 연임 가능

회의(제7조의10)

• 회의는 위원장이 필요하다고 인정하거나 재적위원 4분의 1 이상의 요구가 있는 경우 소집
• 위원장 또는 2인 이상의 위원은 의안을 제의할 수 있음
• 재적인원 과반수의 출석으로 개의하고, 출석인원의 과반수의 찬성으로 의결

기본계획(제9조)

• 3년마다 개인정보 보호 기본 계획을 관계 중앙행정기관의 장과 협의하여 수립
• 보호위원회는 기본계획을 효율적으로 수립하기 위해 개인정보처리자, 관계 중앙행정기관의 장, 지방자치단체의 장 및 관계 기관/단체 등에 개인정보처리자의 법규 준수현황과 개인정보 관리 실태 등에 관한 자료의 제출이나 의견 진술을 요구할 수 있음(제11조)

시행계획(제10조)

• 중앙행정기관의 장은 기본계획에 따라 매년 개인정보 보호를 위한 시행계획을 작성하여 보호위원회에 제출하고, 보호위원회의 심의/의결을 거쳐 시행

개인정보 보호수준 평가(제11조의2)

• 보호위원회는 공공기관 중 중앙행정기관 및 소속기관, 지방자치단체 등을 대상으로 매년 개인정보 보호정책/업무의 수행 및 의무 준수여부 등을 평가해야 함
• 개인정보 보호수준 평가에 필요한 경우 해당 공공기관 장에게 자료 제출을 요구할 수 있음

개인정보 보호지침(제12조)

• 보호위원회는 표준 개인정보 보호지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있음
• 중앙행정기관의 장은 표준지침에 따라 소관 분야의 개인정보 처리와 관련한 보호지침을 정하여 개인정보처리자에게 준수를 권장할 수 있음

개인정보 수집, 이용, 제공 등(제3장 1절)

개인정보의 수집/이용(제15조)

• 정보주체의 동의를 받은 경우
• 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위해 불가피한 경우
• 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위해 불가피한 경우
• 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위해 필요한 경우 ⇒ 정보주체 요청의 업무를 할 때에는 동의 없이 처리 가능
• 동의를 받을 때에는 다음 사항을 정보주체에 알려야함
  • 개인정보의 수집/이용 목적
  • 수집하려는 개인정보의 항목
  • 개인정보의 보유기간
  • 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용

개인정보의 수집 제한(제16조)

• 목적에 필요한 최소한의 개인정보를 수집해야 한다.
• 최소한의 개인정보는 개인정보처리자가 입증한다.
• 최소한의 정보 외의 개인정보 수집에 동의를 안하였다는 이유로 정보주체에게 재화 또는 서비스 제공을 거부하면 안됨

개인정보의 제공(제17조)

• 정보주체의 동의를 받은 경우에만 제3자에게 제공 가능 (공공/법률/사회안정/급박한 생명 제외)
• 개인정보처리 업무를 위탁받은 수탁자에게는 본 조항이 적용되지 않음
• 동의를 받을 때에는 다음 사항을 정보주체에게 알려야함
  • 개인정보를 제공받는 자
  • 개인정보를 제공받는 자의 개인정보 이용 목적
  • 제공하는 개인정보의 항목
  • 개인정보를 제공받는 자의 개인정보 보유 및 이용기간
  • 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용

개인정보의 목적 외 이용/제공 제한(제18조)

• 개인정보처리자는 개인정보의 범위를 초과하여 이용하거나 제 3자에게 제공 불가
• 예외사항
  • 정보주체로부터 별도의 동의를 받은 경우
  • 다른 법률에 특별한 규정이 있는 경우
  • 정보주체 또는 제3자의 급박한 생명/신체/재산의 이익을 위해 필요한 경우
  • 공공업무

개인정보를 제공받은 자의 이용/제공 제한(제19조)

• 개인정보를 제공받은 자는 제공받은 목적 외의 용도로 이용하거나 제3자에게 제공해서는 안됨
• 개인정보처리 업무를 위탁받은 수탁자에게는 본 조항이 적용되지 않음

정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지(제20조)

• 개인정보를 공개된 출처로부터 수집하거나 본인이 아닌 제3자로부터 수집하여 처리하는 경우
• 정보주체의 요구가 있으면 즉시 다음 사항들을 모두 정보주체에게 알려야함
  • 개인정보의 수집 출처
  • 개인정보의 처리 목적
  • 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실
• 개인정보 이용/제공 내역의 통지(제20조의2)
  • 주기적으로 정보주체에게 통지하여야 함

개인정보의 파기(제21조)

• 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 개인정보가 불필요하게 되었을 때 지체없이(5일 이내) 파기하여야 함

동의를 받는 방법(제22조)

• 다음 동의문들은 구분하여 각각 동의를 받아야함
• 개인정보 수집/이용 동의 (제15조)
• 개인정보 제3자 제공동의(제17조)
• 개인정보 목적 외 이용/제공 제한(제18조)
• 개인정보를 제공받은 자의 이용/제공 제한(제19조)
• 민감정보 처리(제23조)
• 고유식별정보 처리(제24조)

아동의 개인정보보호(제22조의 2)

• 만 14세 미만의 아동의 경우 법정대리인의 동의를 받아야 함

개인정보의 처리 제한(제3장 2절)

민감정보의 처리 제한(제23조)

• 사상, 신념, 노동조합, 정당의 가입/탈퇴, 정치적 견해, 건강, 성생활 등의 정보를 민감정보라고 함
• 원칙적으로 처리가 금지되며, 정보주체의 동의를 받은 경우와 법령에서 민감정보의 처리를 요구하거나 허용하는 경우에만 민감정보 처리를 허용

고유식별정보 처리 제한(제24조)

• 고유식별정보: 개인을 고유하게 구별하기 위해 부여된 식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)
• 원칙적으로 고유식별정보 처리는 하면 안됨
• 정보주체의 동의를 받더라도 처리할 수 없음(제24조의2)
  • 법률/대통령령/국회규칙/대법원규칙/헌법재판소규칙/중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우만 동의받고 처리

고정형 영상처리정보기기의 설치/운영 제한(제25조)

• 기본적으로 설치가 안되며 고정형 영상정보처리기기를 설치하는 경우에는
• 설치지역임을 표시하는 안내판을 설치해야 하고
• 음성은 녹음하면 안됨
• 목적 외 용도로 사용하면 안됨
• 고정형 영상정보처리기기 설치가 허용되는 경우
  • 법령에서 허용한 경우
  • 범죄의 예방 및 수사를 위해 필요한 경우
  • 시설의 안전 및 관리, 화재 예방을 위해 정당한 권한을 가진자가 설치/운영하는 경우
  • 교통 단속을 위하여 정당한 권한을 가진자가 설치/운영하는 경우
  • 교통정보의 수집/분석 제공을 위해 정당한 권한을 가진자가 설치/운영하는 경우
• 고정형 영상정보처리기기 설치 시 안내판에 다음 사항을 표시할 것
  • 설치목적 및 장소
  • 촬영의 범위 및 시간
  • 관리책임자의 연락처

이동형 영상정보처리기기의 운영 제한(제25조의2)

• 기본적으로 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하면 안됨
• 촬영 가능한 경우
  • 제15조 1항(개인정보 수집/이용)에 따라 처리할 수 있는 경우 (동의 받은 경우)
  • 촬영 사실을 명확히 표시하여 정보주체가 촬영 사실을 알 수 있도록 하였음에도 불구하고 촬영 거부 의사를 밝히지 않은 경우

업무위탁에 따른 개인정보 처리 제한(제26조)

• 업무위탁 시에는 반드시 문서로 해야하고 위탁계약서에 개인정보보호에 대한 역할과 책임을 명시해야 함
• 업무 위탁 사항은 개인정보처리방침에 공개해야 함
• 위탁자가 홍보나 판매를 권유하는 경우에는 처리방침 공개 외에도 별도로 정보주체에게 안내해야 함
• 수탁자가 위탁받은 업무를 재위탁 하는 경우에는 위탁자의 동의를 받아야 함

영업양도 등에 따른 개인정보 이전 제한(제27조)

• 개인정보 이전사실을 정보주체에 알려야 한다.
  • 개인정보를 이전하려는 사실
  • 개인정보를 이전받는 자(영업양수자)의 성명(법인명), 주소, 전화번호 등
  • 정보주체가 개인정보 이전을 반대할 경우 조치할 수 있는 방법/절차

개인정보취급자에 대한 감독(제28조)

• 개인정보처리자: 업무를 목적으로 개인정보를 처리하는자(공공기관, 법인, 단체 및 개인)
• 개인정보취급자: 개인정보처리자의 지휘/감독을 받아 개인정보를 처리하는 임직원, 파견근로자 등

가명정보의 처리에 관한 특례(제3장 3절)

가명정보의 처리 등(제28조의2)

• 통계작성, 과학적 연구, 공익적 기록보존 등을 위해 정보주체 동의 없이 가명처리가 가능함
• 가명정보를 제3자에게 제공할 때에는 특정 개인을 알아보기 위해 사용되는 정보들은 제3자 제공을 하면 안됨

가명정보의 결합 제한(제 28조의3)

• 가명정보의 결합은 보호위원회 또는 관계 중앙행정기관의 장이 지명하는 전문기관이 수행

가명정보에 대한 안전조치의무 등(제28조의4)

• 가명처리에서 생성/사용된 추가정보는 가명정보와 분리하여 보관
• 추가정보가 불필요할 때는 파기할 것
• 가명정보의 처리 기록을 파기한 날부터 3년 이상 보관하여야 함

가명정보 처리 시 금지의무 등(제28조의5)

• 재식별 금지

개인정보의 국외 이전(제28조의8)

• 개인정보를 국외로 제공/처리위탁/보관하여서는 안됨
• 국외이전 가능한 경우
  • 정보주체로부터 별도의 동의를 받은 경우
  • 정보주체와 계약의 체결 및 이행을 위하여 개인정보의 처리위탁/보관이 필요한 경우 + 하기 조건 충족
    • 개인정보 처리방침에 공개한 경우
    • 전자우편 등 대통령령으로 정하는 방법에 따라 정보주체에게 알린 경우
• 동의를 받을 때에는 다음 사항을 알려야 함
  • 이전되는 개인정보 항목
  • 개인정보가 이전되는 국가, 시기 및 방법
  • 개인정보를 이전받는 자의 성명(법인의 경우 법인명과 연락처)
  • 개인정보를 이전하는 목적
  • 개인정보 이전을 거부하는 방법, 절차 및 거부의 효과

개인정보의 안전한 관리(제4장)

안전조치의무(제29조)

• 개인정보의 안전한 처리를 위한 내부 관리계획의 수립/시행
• 개인정보에 대한 접근통제 및 접근권한의 제한 조치
• 개인정보를 안전하게 저장/전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
• 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위/변조 방지
• 개인정보에 대한 보안프로그램의 설치 및 갱신
• 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

개인정보 처리방침의 수립 및 공개(제30조)

• 개인정보처리방침을 정하고 공개해야 함

개인정보 보호책임자의 지정(제31조)

• 개인정보보호 책임자를 지정해야 하고 다음 업무를 수행
  • 개인정보 보호 계획의 수립 및 실행
  • 개인정보 처리 실태 및 관행의 정기적인 조사 개선
  • 개인정보 처리와 관련한 불만의 처리 및 피해 구제
  • 개인정보 유출 및 오/남용 방지를 위한 내부통제시스템 구축
  • 개인정보 보호 교육 계획의 수립 및 시행
  • 개인정보파일의 보호 및 관리 감독

국내 대리인의 지정(제32조)

• 국내에 주소/영업소가 없는 개인정보처리자로서 국내대리인을 지정하여야 한다.
• 국내대리인의 역할
  • 개인정보 보호책임자의 업무
  • 개인정보 유출 등의 통지 및 신고
  • 물품/서류 등 자료의 제출

개인정보파일의 등록 및 공개(제33조)

• 공공기관의 장이 개인정보파일을 운용하는 경우에는 보호위원회에게 사실을 등록해야 함
• 등록할 사항
  • 개인정보파일의 명칭
  • 개인정보파일의 운영근거 및 목적
  • 개인정보파일에 기록되는 개인정보의 항목
  • 개인정보의 처리방법
  • 개인정보의 보유기간
  • 개인정보를 통상적 또는 반복적으로 제공하는 경우 제공받는 자

개인정보 보호 인증(제32조의2)

• ISMS-P 인증의 근거
• 인증의 유효기간은 3년

개인정보의 영향평가(제33조)

• 개인정보영향평가(PIA)의 근거
• 공공기관 중 다음의 경우 영향평가를 의무화 하고 있음
  • 5만명 이상의 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
  • 다른 개인정보파일과 연계하는 경우로서 50만명 이상의 개인정보를 연계
  • 100만명 이상의 개인정보 보유한 개인정보파일 보유

개인정보 유출 등의 통지/신고(제34조)

• 유출이 발견되면 72시간 내에 정보주체에게 알려야함
• 1천명 이상 유출된 경우 인터넷 홈페이지에 30일 이상 게시하는 것으로 통지를 갈음
• 안내사항
  • 유출된 개인정보의 항목
  • 유출된 시점과 그 경위
  • 유출등으로 인하여 발생할 수 있는 피해를 최소하하기 위하여 정보주체가 할 수 있는 방법
  • 개인정보처리자의 대응조치 및 피해 구제절차
  • 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

정보주체의 권리 보장(제5장)

개인정보의 열람(제35조)

• 정보주체에게 열람을 요구받았을 때에는 10일 이내에 개인정보를 열람할 수 있도록 조치해야 함

개인정보의 정정/삭제(제36조)

• 정보주체에게 정정/삭제를 요구 받았을 때에는 10일 이내에 개인정보를 정정/삭제 후 결과를 알려야 함
• 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있다면 삭제를 요구할 수 없음

개인정보의 처리정지 등(제37조)

• 정보주체는 자신의 개인정보 처리에 대해 정지를 요구하거나 처리에 대한 동의를 철회할 수 있음

손해배상책임(제39조)

• 정보주체에게 손해가 발생할 겨우에는 손해액에 5배를 넘지 않는 범위에서 손해배상액을 정할 수 있음
• 300만원 이하의 범위에서 손해액으로 배상을 청구할 수 있음

개인정보 분쟁조정위원회(제7장)

설치 및 구성(제40조)

• 위원장 1명을 포함한 30명 이내의 위원으로 구성
• 당연직위원과 위촉위원으로 구성
• 국가기관 소속 공무원은 당연직 위원이 되고 위촉위원은 보호위원회 위원장이 위촉함
• 위원장과 위촉위원의 임기는 2년이며 한차례 연임 가능
• 조정사건의 분야 별로 5명 이내의 위원으로 구성되는 조정부를 둘 수 있음

조정의 신청 등(제43조~제48조)

• 개인정보 분쟁의 조정을 원하는 자는 신청할 수 있음
• 분쟁조정위원회는 분쟁조정 신청을 받은 날부터 60일 이내에 이를 심사하여 조정안을 작성(제44조)
• 조정안을 받은 당사자가 제시받은 날부터 15일 이내에 수락 여부를 알리지 않으면 수락한 것으로 봄

집단분쟁조정(제49조)

• 집단분쟁조정을 받으면 분정조정위원회는 14일 이상 절차의 개시를 공고해야 함
• 집단분쟁조정기간은 공고가 종료된 날의 다음날 부터 60일 이내로 함

개인정보 안전성 확보 조치의 기준(2023.09.22)

• 개인정보보호법에 따라 안전성 확보에 필요한 기술적/관리적/물리적 안전조치에 관한 최소한의 기준

용어의 정의(제2조)

• 개인정보처리시스템: 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템
• 이용자: 정보통신서비스 제공자가 제공하는 서비스를 이용하는 자
• 접속기록: 개인정보처리시스템에 접속하는자가 접속하여 수행한 업무에 대하여 전자적으로 기록한 것
• 정보통신망: 전기통신설비를 이용하거나 컴퓨터 기술을 활용하여 정보를 수집/가공/저장/검색/송신/수신하는 체계
• P2P: 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접 연결되어 파일을 공유하는 것
• 공유설정: 컴퓨터 소유자의 파일을 타인이 조회/변경/복사 등을 할 수 있도록 설정하는 것
• 생체정보: 지문, 얼굴, 홍채, 음성, 필적 등 개인의 신체적, 생리적, 행동적 특징에 관한 정보
• 생채인식정보: 생체정보 중 특정 개인을 인증 또는 식별할 목적으로 기술적 수단을 통해 처리되는 정보
• 인증정보: 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속을 요청하는 자의 신원을 검증하는데 사용되는 정보
• 내부망: 인터넷망 차단, 접근 통제시스템 등에 의해 인터넷 구간에서 접근이 차단되는 구간
• 위험도 분석 : 개인정보 유출에 영향을 미칠 수 있는 다양한 위험 요소를 식별/평가하고 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위

안전조치의 적용 원칙(제3조)

• 스스로 환경에 맞는 개인정보의 안정성 확보에 필요한 조치를 적용해야함

내부관리 계획의 수립/시행 및 점검(제4조)

• 내부 관리계획은 전사적인 계획 내에서 개인정보가 관리될 수 있도록 최고경영층으로부터 승인을 받아 모든 임직원/관련자에게 알림
• 1만명 이상의 정보주체를 다루는 개인정보처리자는 내부관리계획을 수립/시행 하여야 함

접근 권한의 관리(제5조)

• 개인정보처리자는 권한부여/변경/말소에 대한 내역을 기록하고 3년 이상 보관해야 함

개인정보의 암호화(제7조)

• 다음 정보는 암호화가 의무
  • 고유식별번호(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)
  • 신용카드번호
  • 계좌번호
  • 생체인식정보
• 다음에 해당되는 개인정보처리자는 암호키 생성/이용/보관/배포/파기 등에 관한 절차를 수립/시행해야 함
  • 10만명 이상의 개인정보를 처리하는 대기업/중견기업/공공기관
  • 100만명 이상의 개인정보를 처리하는 중소기업/단체

접속기록의 보관 및 점검(제8조)

• 개인정보처리 시스템에 대한 접속기록을 1년 이상 보관해야함
• 다음의 경우 2년 이상 보관해야 함
  • 5만명 이상의 개인정보를 처리하는 개인정보처리시스템
  • 고유식별정보 또는 민감정보를 처리하는 개인정보처리 시스템
  • 개인정보처리자로서 기간통신사업자에 해당하는 경우
• 개인정보처리시스템의 접속기록 등을 월1회 이상 점검해야 함

악성프로그램 등 방지(제9조)

• 보안 프로그램은 일 1회 이상 업데이트를 실시하여 최신상태로 유지

물리적 안전조치(제10조)

• 물리적 보관 장소를 별도로 두고 이에 대한 출입통제절차를 수립/운영해야 함

재해/재난 대비 안전조치(제11조)

• 다음에 해당하는 개인정보처리자는 재해/재난을 대비하는 보호 조치를 해야함
  • 10만명 이상의 개인정보를 처리하는 대기업/중견기업/공공기관
  • 100만명 이상의 개인정보를 처리하는 중소기업/단체
• 위기대응 메뉴얼 등 대응절차를 마련하고 정기적 점검
• 개인정보처리시스템 백업 및 복구를 위한 계획 마련

개인정보의 파기(제13조)

• 개인정보 처리자는 개인정보를 파기할 때 다음 중 하나를 통해 수행해야 함
  • 안전파괴(소각/파쇄)
  • 전용소자장비를 이용하여 삭제
  • 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행

정보통신망 이용촉진 및 정보보호 등에 관한 법률(2025.10.1)_개정 및 신설 조항 많음

• 과학기술정보통신부, 방송통신위원회가 관리함

총칙(제1장)

용어의 정의(제2조)

• 정보통신망: 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터 기술을 활용하여 정보를 처리하는 정보통신체계
• 정보통신서비스: 전기통신역무와 이를 이용하여 정보를 제공하거나 정보 제공을 매개하는 것(통신서비스, 인터넷 서비스)
• 정보통신서비스 제공자: 전기통신사업자와 영리를 목적으로 정보를 제공하거나 정보의 제공을 매개하는자 (인터넷서비스 사업자)
• 이용자: 정보통신서비스 제공자가 제공하는 서비스를 이용하는자
• 전자문서: 전자적인 형태로 작성되어 송수신되거나 저장된 문서형식의 자료
• 침해사고: 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위
  • 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부, 고출력전자기파 등의 방법
  • 정보통신망의 정상적인 보호/인증을 우회하여 정보통신망에 접근하는 프로그램이나 기술적 장치
• 통신과금서비스: 통신사가 제공하는 결제 서비스 (휴대폰 소액결제)
• 전자적 전송매체: 정보통신망을 통하여 부호/문자/음성/영상 등을 수신자에게 전자적 형태로 전송하는 매체

정보통신망 이용촉진 및 정보보호 등에 관한 시책의 마련(제4조)

• 과학기술통신부 또는 방송통신위원회는 정보사회 기반을 조성하기 위한 시책을 마련해야 함
• 개정사항 : 과기부 장관 or 방통위는 시책을 마련할 때 「지능정보화 기본법」 제6조에 따른 지능정보사회 종합계획과 연계되도록 하여야 한다.

합성영상등으로 인한 피해 예방을 위한 시책(제4조의2)-신설조항([ 2024. 12. 3.])

① 과학기술정보통신부장관과 방송미디어통신위원회는 인공지능 기술을 이용하여 사람의 얼굴ㆍ신체 또는 음성을 대상으로 한 촬영물ㆍ영상물 또는 음성물을 대상자의 의사에 반하여 편집ㆍ합성 또는 가공한 정보(이하 이 조에서 “합성영상등”이라 한다)의 무분별한 유통으로 인한 성범죄, 명예훼손 또는 사기 등의 피해를 예방하기 위하여 시책을 마련하여야 한다. <개정 2025. 10. 1.>

② 제1항에 따른 시책에는 다음 각 호의 사항이 포함되어야 한다.

1. 합성영상등으로 인한 피해 실태 파악
2. 합성영상등의 유통 실태 파악
3. 합성영상등 관련 국내외 기술 동향 파악
4. 합성영상등의 무분별한 유통 방지를 위한 기술 개발의 촉진
5. 합성영상등의 무분별한 유통 방지 및 피해 예방을 위한 교육ㆍ홍보
6. 그 밖에 합성영상등의 무분별한 유통 방지 및 피해 예방에 필요한 사항

다른 법률과의 관계(제5조)

• 특별법으로 다른 일반법과 충돌 시에는 이 법을 따름
• 제7장 통신과금서비스에 한해서 전자금융거래법(특별법)과 경합할 경우 이 법을 우선시 함

접근권한에 대한 동의(제22조의2)

• 스마트폰의 정보 및 기능에 대한 접근권한이 필요한 경우 필수적 권한과 선택적 권한을 구분하여 명확하게 인지할 수 있도록 알리고 동의를 받아야 함

1. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
   • 가. 접근권한이 필요한 정보 및 기능의 항목
   • 나. 접근권한이 필요한 이유
2. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
   • 가. 접근권한이 필요한 정보 및 기능의 항목
   • 나. 접근권한이 필요한 이유
   • 다. 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실

② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공을 거부하여서는 아니 된다.

③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는 기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를 하여야 한다.

④ 방송미디어통신위원회는 해당 서비스의 접근권한의 설정이 제1항부터 제3항까지의 규정에 따라 이루어졌는지 여부에 대하여 실태조사를 실시할 수 있다. <신설 2018. 6. 12., 2025. 10. 1.>

⑤ 제1항에 따른 접근권한의 범위 및 동의의 방법, 제3항에 따른 이용자 정보 보호를 위하여 필요한 조치 및 그 밖에 필요한 사항은 대통령령으로 정한다. <개정 2018. 6. 12.>

주민등록번호 사용의 제한(제23조의2)

• 정보통신서비스 제공자는 주민등록번호를 수집/이용할 수 없다
• 예외케이스
  • 본인확인기관으로 지정받은 경우
  • 기간통신사업자로부터 이동통신서비스 등을 제공받아 재판매하는 전기통신사업자가 본인확인기관으로 지정받은 이동통신사업자의 본인확인 업무 수행과 관련하여 이용자의 주민등록번호를 수집/이용하는 경우 (알뜰폰 사업자가 통신사 업무를 위해 수집하는 경우)
• 주민등록번호를 수집ㆍ이용할 수 있는 경우에도 이용자의 주민등록번호를 사용하지 아니하고 본인을 확인하는 방법(이하 “대체수단”이라 한다)을 제공하여야 한다.

본인확인기관의 지정 등(제23조의3)

① 방송미디어통신위원회는 다음 각 호의 사항을 심사하여 대체수단의 개발ㆍ제공ㆍ관리 업무(이하 “본인확인업무”라 한다)를 안전하고 신뢰성 있게 수행할 능력이 있다고 인정되는 자를 본인확인기관으로 지정할 수 있다. <개정 2025. 10. 1.>

1. 본인확인업무의 안전성 확보를 위한 물리적ㆍ기술적ㆍ관리적 조치계획

2. 본인확인업무의 수행을 위한 기술적ㆍ재정적 능력

3. 본인확인업무 관련 설비규모의 적정성

② 본인확인기관이 본인확인업무의 전부 또는 일부를 휴지하고자 하는 때에는 휴지기간을 정하여 휴지하고자 하는 날의 30일 전까지 이를 이용자에게 통보하고 방송미디어통신위원회에 신고하여야 한다. 이 경우 휴지기간은 6개월을 초과할 수 없다. <개정 2025. 10. 1.>

③ 본인확인기관이 본인확인업무를 폐지하고자 하는 때에는 폐지하고자 하는 날의 60일 전까지 이를 이용자에게 통보하고 방송미디어통신위원회에 신고하여야 한다. <개정 2025. 10. 1.>

④ 제1항부터 제3항까지의 규정에 따른 심사사항별 세부 심사기준ㆍ지정절차 및 휴지ㆍ폐지 등에 관하여 필요한 사항은 대통령령으로 정한다.

청소년 보호를 위한 시책의 마련 등(제41조)

① 방송미디어통신위원회는 정보통신망을 통하여 유통되는 음란ㆍ폭력정보 등 청소년에게 해로운 정보(이하 “청소년유해정보”라 한다)로부터 청소년을 보호하기 위하여 다음 각 호의 시책을 마련하여야 한다. <개정 2025. 10. 1.>

1. 내용 선별 소프트웨어의 개발 및 보급

2. 청소년 보호를 위한 기술의 개발 및 보급

3. 청소년 보호를 위한 교육 및 홍보

4. 그 밖에 청소년 보호를 위하여 대통령령으로 정하는 사항

② 방송미디어통신위원회는 제1항에 따른 시책을 추진할 때에는 「방송미디어통신위원회의 설치 및 운영에 관한 법률」제18조에 따른 방송미디어통신심의위원회(이하 “심의위원회”라 한다), 정보통신서비스 제공자단체ㆍ이용자단체, 그 밖의 관련 전문기관이 실시하는 청소년 보호를 위한 활동을 지원할 수 있다. <개정 2025. 10. 1.>

정보통신망에서의 권리보호(제44조)(개정, 신설 많음)

• 이용자는 사생활 침해 또는 명예훼손 등 타인의 권리를 침해하는 정보를 유통시켜서는 안된다.

② 정보통신서비스 제공자는 자신이 운영ㆍ관리하는 정보통신망에 제1항에 따른 정보가 유통되지 아니하도록 노력하여야 한다.

③ 방송미디어통신위원회는 정보통신망에 유통되는 정보로 인한 사생활 침해 또는 명예훼손 등 타인에 대한 권리침해를 방지하기 위하여 기술개발ㆍ교육ㆍ홍보 등에 대한 시책을 마련하고 이를 정보통신서비스 제공자에게 권고할 수 있다. <개정 2025. 10. 1.>

정보의 삭제요청 등(제44조의2)

• 사생활 침해 및 명예훼손을 당한자는 해당 정보를 처리한 정보통신서비스 제공자에게 침해사실을 소명하여 삭제 또는 반박내용의 게재를 요청할 수 있다.
• 침해여부 판단이 어려울 경우 정보에 대한 접근을 임시(30일 이내)로 차단하는 조치를 할 수 있음

이용자 정보의 제공청구(제44조의6)

① 특정한 이용자에 의한 정보의 게재나 유통으로 사생활 침해 또는 명예훼손 등 권리를 침해당하였다고 주장하는 자는 제44조의20에 따른 분쟁조정의 신청 또는 민형사상의 소를 제기하기 위하여 침해사실을 소명하여 제44조의18에 따른 분쟁조정부(이하 “분쟁조정부”라 한다)에 해당 정보통신서비스 제공자가 보유하고 있는 해당 이용자의 정보(제44조의20에 따른 분쟁조정의 신청 또는 민형사상의 소를 제기하기 위한 성명ㆍ주소 등 대통령령으로 정하는 최소한의 정보를 말한다)를 제공하도록 청구할 수 있다. <개정 2026. 1. 6.>

② 분쟁조정부는 제1항에 따른 청구를 받으면 해당 이용자와 연락할 수 없는 등의 특별한 사정이 있는 경우 외에는 그 이용자의 의견을 들어 정보제공 여부를 결정하여야 한다. <개정 2026. 1. 6.>

③ 제1항에 따라 해당 이용자의 정보를 제공받은 자는 해당 이용자의 정보를 제44조의20에 따른 분쟁조정의 신청 또는 민형사상의 소를 제기하기 위한 목적 외의 목적으로 사용하여서는 아니 된다. <개정 2026. 1. 6.>

④ 그 밖의 이용자 정보 제공청구의 내용과 절차에 필요한 사항은 대통령령으로 정한다.

[전문개정 2008. 6. 13.][시행일: 2026. 7. 7.]

불법정보 유통의 금지(제44조의7)

• 다음 정보들은 정보통신망에 유포하면 안됨
  • 정당한 사유 없이 정보통신시스템, 데이터, 프로그램 등을 훼손/변경/위조 또는 운용을 방해하는 정보
  • 음란물, 타인명예훼손, 공포심 유발 등이 포함된 정보
  • 청소년보호법에 따른 연령확인 표시 의무 이행하지 않은 정보
  • 그 외 불법적인 정보(총기/화약, 국가기밀, 사행성도박 등)

💡

제44조의7(불법정보 및 허위조작정보의 유통금지 등)

① 누구든지 정보통신망을 통하여 다음 각 호의 어느 하나에 해당하는 불법정보(이하 “불법정보”라 한다)를 유통하여서는 아니 된다. <개정 2011. 9. 15., 2016. 3. 22., 2018. 6. 12., 2025. 1. 21., 2026. 1. 6.>

1. 음란한 부호ㆍ문언ㆍ음향ㆍ화상 또는 영상을 배포ㆍ판매ㆍ임대하거나 공공연하게 전시하는 내용의 정보

2. 사람을 비방할 목적으로 공공연하게 거짓의 사실을 드러내어 타인의 명예를 훼손하는 내용의 정보

2의2. 공공연하게 인종, 국가, 지역, 성별, 장애, 연령, 사회적 신분, 소득수준 또는 재산상태를 이유로 특정 개인이나 집단(해당 집단에 소속된 개인을 포함한다. 이하 이 호에서 같다)에 대한 다음 각 목의 어느 하나에 해당하는 내용의 정보

가. 직접적인 폭력이나 차별을 선동하는 정보

나. 증오심을 심각하게 조장하여 특정 개인이나 집단의 인간으로서의 존엄성을 현저히 훼손하는 정보

3. 공포심이나 불안감을 유발하는 부호ㆍ문언ㆍ음향ㆍ화상 또는 영상을 반복적으로 상대방에게 도달하도록 하는 내용의 정보

4. 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조하거나 그 운용을 방해하는 내용의 정보

5. 「청소년 보호법」에 따른 청소년유해매체물로서 상대방의 연령 확인, 표시의무 등 법령에 따른 의무를 이행하지 아니하고 영리를 목적으로 제공하는 내용의 정보

6. 법령에 따라 금지되는 사행행위에 해당하는 내용의 정보

6의2. 이 법 또는 개인정보 보호에 관한 법령을 위반하여 개인정보를 거래하는 내용의 정보

6의3. 총포ㆍ화약류(생명ㆍ신체에 위해를 끼칠 수 있는 폭발력을 가진 물건을 포함한다)를 제조할 수 있는 방법이나 설계도 등의 정보

6의4. 「마약류 관리에 관한 법률」에서 금지하는 마약류의 사용, 제조, 매매 또는 매매의 알선 등에 해당하는 내용의 정보

7. 법령에 따라 분류된 비밀 등 국가기밀을 누설하는 내용의 정보

8. 「국가보안법」에서 금지하는 행위를 수행하는 내용의 정보

9. 그 밖에 범죄를 목적으로 하거나 교사(敎唆) 또는 방조하는 내용의 정보

② 누구든지 다음 각 호에 해당한다는 사실을 알았음에도 손해를 끼칠 의도 또는 부당한 이익을 얻을 목적으로 타인의 인격권이나 재산권 또는 공공의 이익을 침해하는 정보로서 다음 각 호의 어느 하나에 해당하는 정보(이하 “허위조작정보”라 한다)를 정보통신망을 통하여 유통하여서는 아니 된다. 다만, 풍자와 패러디는 제외한다. <신설 2026. 1. 6.>

1. 내용의 전부 또는 일부가 허위인 정보(이하 “허위정보”라 한다)

2. 내용을 사실로 오인하도록 변형된 정보(이하 “조작정보”라 한다)

③ 방송미디어통신위원회는 제1항제1호, 제2호, 제2호의2, 제3호부터 제6호까지, 제6호의2부터 제6호의4까지의 정보에 대하여는 심의위원회의 심의를 거쳐 정보통신서비스 제공자 또는 게시판 관리ㆍ운영자로 하여금 그 처리를 거부ㆍ정지 또는 제한하도록 명할 수 있다. 다만, 제1항제2호 및 제3호에 따른 정보의 경우에는 해당 정보로 인하여 피해를 받은 자가 구체적으로 밝힌 의사에 반하여 그 처리의 거부ㆍ정지 또는 제한을 명할 수 없다. <개정 2016. 3. 22., 2018. 6. 12., 2025. 1. 21., 2025. 10. 1., 2026. 1. 6.>

④ 방송미디어통신위원회는 제1항제7호부터 제9호까지의 정보가 다음 각 호의 모두에 해당하는 경우에는 정보통신서비스 제공자 또는 게시판 관리ㆍ운영자에게 해당 정보의 처리를 거부ㆍ정지 또는 제한하도록 명하여야 한다. <개정 2016. 3. 22., 2018. 12. 24., 2024. 12. 3., 2025. 10. 1., 2026. 1. 6.>

1. 관계 중앙행정기관의 장의 요청[제1항제9호의 정보 중 「성폭력범죄의 처벌 등에 관한 특례법」 제14조 및 제14조의2에 따른 촬영물ㆍ편집물ㆍ합성물ㆍ가공물 또는 복제물(복제물의 복제물을 포함한다)과 「아동ㆍ청소년의 성보호에 관한 법률」 제2조제5호에 따른 아동ㆍ청소년성착취물에 대하여는 수사기관의 장의 요청을 포함한다]이 있었을 것

2. 제1호의 요청을 받은 날부터 7일 이내에 심의위원회의 심의를 거친 후 「방송미디어통신위원회의 설치 및 운영에 관한 법률」 제22조제4호에 따른 시정 요구를 하였을 것

3. 정보통신서비스 제공자나 게시판 관리ㆍ운영자가 시정 요구에 따르지 아니하였을 것

⑤ 방송미디어통신위원회는 제3항 및 제4항에 따른 명령의 대상이 되는 정보통신서비스 제공자, 게시판 관리ㆍ운영자 또는 해당 이용자에게 미리 의견제출의 기회를 주어야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 의견제출의 기회를 주지 아니할 수 있다. <개정 2025. 10. 1., 2026. 1. 6.>

1. 공공의 안전 또는 복리를 위하여 긴급히 처분을 할 필요가 있는 경우

2. 의견청취가 뚜렷이 곤란하거나 명백히 불필요한 경우로서 대통령령으로 정하는 경우

3. 의견제출의 기회를 포기한다는 뜻을 명백히 표시한 경우

⑥ 국내에 데이터를 임시적으로 저장하는 서버를 설치ㆍ운영하는 정보통신서비스 제공자 중 사업의 종류 및 규모 등이 대통령령으로 정하는 기준에 해당하는 자는 제1항 각 호에 해당하는 정보의 유통을 방지하기 위하여 다음 각 호의 기술적ㆍ관리적 조치를 하여야 한다. <신설 2024. 1. 23., 2026. 1. 6.>

1. 제3항 및 제4항에 따른 심의위원회의 심의를 거친 제1항 각 호의 정보가 서버에 저장되어 있는지 식별하여 신속하게 접근을 제한하는 조치

2. 제1호에 따라 식별한 정보의 게재자에게 해당 정보의 유통금지를 요청하는 조치

3. 제1호에 따른 조치의 운영ㆍ관리 실태를 시스템에 자동으로 기록되도록 하고, 이를 대통령령으로 정하는 기간 동안 보관하는 조치

4. 그 밖에 제1항 각 호에 해당하는 정보의 유통을 방지하기 위하여 필요한 대통령령으로 정하는 조치

[전문개정 2008. 6. 13.][제목개정 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의7

💡

제44조의10(손해배상) ① 고의 또는 과실로 불법정보, 허위정보, 조작정보 또는 허위조작정보를 정보통신망에 유통하여 타인에게 손해를 끼친 자는 그 손해를 배상할 책임이 있다.

② 법원은 제1항에 따른 손해배상 청구가 있는 경우 원고에게 손해가 발생한 사실은 인정되나 정보 유통에 따른 구체적인 손해의 액수를 증명하는 것이 사안의 성질상 매우 어려운 때에는 확정판결까지의 소요기간 등 법 위반상태의 지속기간, 변론 전체의 취지 및 증거조사의 결과를 고려하여 5천만원의 범위 내에서 상당한 금액을 손해액(해당 손해의 증명 또는 손해액의 산정이 불가능한 손해액을 말한다)으로 정할 수 있다.

③ 법원은 게재자 중 사실이나 의견을 불특정 다수에게 전달하는 것을 업(業)으로 하는 자로서 정보게재 수, 구독자 수, 조회 수 등이 대통령령으로 정하는 기준에 해당하는 자가 다음 각 호의 요건을 모두 충족하는 경우 제1항 및 제2항에 따라 인정된 손해액의 5배를 넘지 아니하는 범위에서 배상액을 정할 수 있다.

1. 불법정보 또는 허위조작정보임을 알았던 경우

2. 타인에게 손해를 끼칠 의도 또는 부당한 이익을 얻을 목적이 있는 경우

3. 정보 유통으로 인하여 피해자에게 법익(法益)의 침해가 발생한 경우

④ 법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다.

1. 불법정보 또는 허위조작정보의 유통으로 인한 피해(원고 외의 자가 입은 피해도 포함한다) 규모 및 정도

2. 불법정보 또는 허위조작정보의 유통으로 가해자가 취득한 경제적 이익

3. 불법정보 또는 허위조작정보의 내용 및 정도, 그 유통의 기간ㆍ횟수, 전파의 정도

4. 불법정보 또는 허위조작정보의 유통에 따라 부과된 형사처벌 및 과징금의 정도

5. 해당 정보가 이미 불법정보 또는 허위조작정보로 판명되어 확정판결을 받은 사실을 알면서도 그와 실질적으로 동일한 내용을 유통하였는지 여부

6. 해당 정보가 「언론중재 및 피해구제 등에 관한 법률」 제2조제16호에 따른 정정보도가 이루어진 사실을 알면서도 그와 실질적으로 동일한 내용을 유통하였는지 여부

7. 해당 정보의 본문 또는 전체 내용과 명백히 다른 내용의 불법정보 또는 허위조작정보를 제목 또는 자막으로 강조하였는지 여부

8. 불법정보 또는 허위조작정보의 유통을 전후하여 피해자에게 금품 또는 부당한 조치를 요구하였는지 여부

9. 가해자의 재산상태

10. 가해자의 피해구제 노력 정도

11. 동일한 피해의 재발 방지를 위하여 부과되는 제재의 수준

⑤ 공공복리 등 공공의 이익을 위한 정보로서 다음 각 호의 어느 하나에 해당하는 정보의 경우 제3항을 적용하지 아니한다.

1. 「공익신고자 보호법」 제2조제1호의 공익침해행위와 관련한 사항에 대한 정보

2. 「부정청탁 및 금품등 수수의 금지에 관한 법률」에서 금지하는 행위와 관련한 사항에 대한 정보

3. 제1호 또는 제2호에 준하는 공익적 관심사와 관련된 사항으로 인정되는 정보

⑥ 제3항에 해당하는 자가 법인 또는 단체인 경우 그 피용자는 제3항에 따른 손해배상책임의 주체가 되지 아니한다. 다만, 그 피용자가 해당 법인 또는 단체를 실질적으로 경영하면서 사실상 대표하고 있는 자로서 제44조의7제1항 또는 제2항에 따른 행위에 가담한 경우 법인 또는 단체와 연대하여 손해배상책임을 진다.

⑦ 손해배상 청구의 대상이 된 정보의 유통이 오로지 공공의 이익을 위한 것으로서 정보의 유통 당시 그 내용을 진실이라고 믿었고 그와 같이 믿은 것에 상당한 이유가 있는 경우 또는 피해자의 동의를 받아 이루어진 경우에는 제1항 및 제3항에 따른 손해배상책임을 지지 아니한다.

[본조신설 2026. 1. 6.][종전 제44조의10은 제44조의18로 이동 <2026. 1. 6.>][시행일: 2026. 7. 7.] 제44조의10

제44조의11(가중 손해배상 청구 남용에 대한 특칙) ① 누구든지 공공의 이익을 위한 정당한 비판과 감시 활동을 방해하려는 목적으로 제44조의10제3항에 따른 손해배상 청구의 소를 제기할 수 없다.

② 제44조의10제3항에 따른 손해배상 청구의 소의 피고는 원고의 청구가 제1항에 해당한다고 판단하는 경우 법원에 중간판결을 신청할 수 있다.

③ 법원은 제2항에 따른 중간판결의 신청이 있는 경우 신청을 받은 날부터 60일 이내에 선고하여야 한다.

④ 법원은 제2항에 따른 신청이 있는 경우 중간판결의 선고 시까지 소송절차를 중지하여야 한다.

⑤ 법원은 다음 각 호의 사정을 고려하여 원고의 제44조의10제3항에 따른 손해배상 청구가 제1항에 따른 청구로 인정되는 경우 판결로써 각하하여야 하며, 그러하지 아니하다고 인정하는 경우에는 결정으로 제2항에 따른 신청을 기각하여야 한다.

1. 게재된 정보가 공공의 이익과 관련된 것인지 여부

2. 원고가 반복적으로 또는 다수의 게재자를 상대로 제44조의10제3항에 따른 손해배상을 청구하였는지 여부

⑥ 법원이 제5항에 따라 소 각하 판결을 하는 경우 원고의 소송비용은 「민사소송법」 제109조제1항에도 불구하고 상대방이 그 소송을 대리한 변호사에게 지급하였거나 지급할 보수 전액을 포함한다.

⑦ 법원은 제5항에 따른 소 각하 판결을 하는 경우 원고가 「공직선거법」 제2조에 따른 선거의 후보자 또는 후보자가 되고자 하는 자, 「공공기관의 운영에 관한 법률」 제4조에 따른 공공기관의 장, 기업 임원과 대주주 등 대통령령으로 정하는 자(이하 “공인등”이라 한다)에 해당하는 때에는 공인등에게 공표 방식을 지정하여 소 각하 판결을 공표할 것을 명하여야 한다.

⑧ 제5항에 따른 기각 결정에 대하여는 즉시항고를 할 수 있다.

⑨ 원고의 제44조의10제3항에 따른 손해배상 청구가 제1항에 따른 청구에 해당하는지 여부 판단을 위한 심문절차, 제2항에 따른 피고의 중간판결 신청에 따른 소송절차의 중지 및 제7항에 따른 판결 공표 방식 등에 관한 구체적인 사항은 대법원규칙으로 정한다.

⑩ 공인등의 제44조의10제3항에 따른 손해배상 청구가 제1항에 해당하여 제5항에 따라 각하될 경우 법원은 공인등에게 피고가 입은 소송절차 대응으로 인한 손해의 배상을 명할 수 있다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의11

제44조의12(불법정보와 허위조작정보의 신고와 조치, 자율적인 운영정책 등) ① 누구든지 대규모 정보통신서비스 제공자가 운영ㆍ관리하는 정보통신망에서 유통되는 불법정보와 허위조작정보를 대규모 정보통신서비스 제공자에게 신고할 수 있다.

② 제1항에 따른 신고를 하려는 자는 불법정보 또는 허위조작정보로 인식한 정보의 구체적 위치, 해당 정보가 불법정보 또는 허위조작정보인 이유와 근거, 연락처 등 대통령령으로 정하는 사항을 기재하여 대규모 정보통신서비스 제공자에게 신고하여야 한다. 이 경우 대규모 정보통신서비스 제공자는 신고를 접수한 후 신고자에게 그 사실을 통지하여야 한다.

③ 제1항에 따른 신고를 접수한 대규모 정보통신서비스 제공자는 해당 정보에 대하여 다음 각 호의 조치를 취하는 경우 해당 조치를 한 정당한 이유와 이의신청 절차 등을 신고자 및 게재자에게 통지하여야 한다.

1. 해당 정보의 삭제 또는 접근차단, 정보노출 제한

2. 게재자 계정의 정지 또는 해지

3. 광고 수익 등 수익화 제한

4. 금전 지급의 중지, 종료, 회수 등 제한

5. 서비스의 전부 또는 일부 중지 또는 종료

6. 청소년유해정보의 표시

7. 신고의 기각

8. 제6항의 자율적인 운영정책에 따른 조치

④ 신고자나 게재자는 제3항에 따른 조치에 대해서 통지를 받은 날부터 6개월 이내에 이의신청을 할 수 있다.

⑤ 신고자 또는 게재자는 대규모 정보통신서비스 제공자의 제3항에 따른 조치 및 제4항에 따른 이의신청에 대한 결정에 대하여 제44조의20에 따른 분쟁조정의 신청을 할 수 있다.

⑥ 대규모 정보통신서비스 제공자는 제44조의4제2항에 따른 자율규제 가이드라인을 참조하여 제1항부터 제5항까지에 따른 불법정보 또는 허위조작정보의 판정기준이나 신고와 조치 등에 관한 자율적인 운영정책을 수립하여야 한다.

⑦ 대규모 정보통신서비스 제공자는 제6항의 자율적인 운영정책을 수립할 때 이해관계자나 시민단체, 전문가 등의 의견을 반영하여야 한다.

⑧ 대규모 정보통신서비스 제공자는 「언론중재 및 피해구제 등에 관한 법률」 제14조제1항에 따른 언론사, 인터넷뉴스서비스사업자 및 인터넷 멀티미디어 방송사업자에 대해서는 제3항제1호부터 제5호까지의 조치를 취할 수 없다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의12

제44조의13(신고 남용에 대한 조치) 대규모 정보통신서비스 제공자는 명백히 근거 없는 신고를 빈번하게 하는 등 신고 제도를 남용한다고 판단한 경우에는 해당 신고자에 대하여 사전 통지 후 다음 각 호의 사항을 고려하여 결정한 합리적인 기간 동안 제44조의12제1항에 따른 신고를 접수하지 아니할 수 있다.

1. 제44조의12제6항에 따라 수립한 자율적인 운영정책에 따른 일정 기간 동안 명백히 근거 없이 신고하였다고 판단된 신고의 수

2. 제1호에 따른 기간 동안 제공된 정보 또는 신고된 정보의 전체 건수 중 제1호에 따른 신고비율

3. 불법정보 또는 허위조작정보의 성격과 신고 남용의 결과가 피해자와 사회에 영향을 미치는 정도

4. 신고자의 의도

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의13

제44조의14(보고서의 공표 등) ① 대규모 정보통신서비스 제공자는 6개월에 1회 이상 다음 각 호 및 제2항 각 호의 내용이 포함된 보고서를 작성하여 대통령령으로 정하는 접근성이 보장된 방식으로 공표하여야 한다.

1. 일일 평균 이용자의 수, 매출액, 사업의 종류

2. 신고된 불법정보와 허위조작정보의 제44조의7의 유형에 따른 분류와 각 신고 건수 및 이에 따라 처리한 건수, 조치

3. 제44조의12제4항에 따른 이의신청과 이의신청 처리의 건수 및 결과

4. 불법정보 또는 허위조작정보에 관하여 방송미디어통신위원회 등 국가기관으로부터 받은 명령이나 권고의 내용과 수, 명령이나 권고에 따른 조치

5. 그 외 대규모 정보통신서비스 제공자의 약관, 정책 또는 제44조의4제2항에 따른 자율규제 가이드라인에 따라 처리한 정보의 유형, 건수, 조치

6. 그 밖에 대통령령으로 정하는 사항

② 정보통신서비스 제공자 중 일일 평균 이용자의 수, 매출액, 사업의 종류 등이 대통령령으로 정하는 기준에 해당하는 자는 매년 자신이 제공하는 정보통신서비스를 통하여 유통되는 불법촬영물등의 처리에 관하여 다음 각 호의 사항을 포함한 보고서를 작성하여 다음 연도 1월 31일까지 방송미디어통신위원회에 제출하여야 한다.

1. 정보통신서비스 제공자가 불법촬영물등의 유통방지를 위하여 기울인 일반적인 노력에 관한 사항

2. 「전기통신사업법」 제22조의5제1항에 따른 불법촬영물등의 신고, 삭제요청 등의 횟수, 내용, 처리기준, 검토결과 및 처리결과에 관한 사항

3. 「전기통신사업법」 제22조의5제1항에 따른 불법촬영물등의 삭제ㆍ접속차단 등 유통방지에 필요한 절차의 마련 및 운영에 관한 사항

4. 불법촬영물등 유통방지 책임자의 배치에 관한 사항

5. 불법촬영물등 유통방지를 위한 내부 교육의 실시와 지원에 관한 사항

③ 방송미디어통신위원회는 제1항 또는 제2항에 따른 보고서의 사실을 확인하거나 제출된 자료의 진위를 확인하기 위하여 정보통신서비스 제공자에게 자료의 제출을 요구할 수 있다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의14

제44조의15(방송미디어통신위원회의 감독) ① 방송미디어통신위원회는 정보통신서비스 제공자가 제2조제1항제3호의2에 따른 기준에 해당하는지 여부를 확인하기 위하여 정보통신서비스 제공자에게 일일 평균 이용자 수, 매출액, 사업 종류 등의 현황을 요청할 수 있다.

② 방송미디어통신위원회는 대규모 정보통신서비스 제공자의 제44조의12에 따른 신고와 제44조의4의 자율규제 조치 등의 운용에 관하여 조사를 할 수 있다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의15

제44조의16(허위정보등에 대한 사실확인 활동 지원 등) ① 대규모 정보통신서비스 제공자(이하 이 조에서 “제공자”라 한다)는 허위정보 또는 조작정보(이하 이 조에서 “허위정보등”이라 한다)의 처리에 관한 자율적인 정책을 수립ㆍ운영하여야 한다.

② 제공자는 허위정보등에 대한 사실확인 활동의 활성화를 위하여 대통령령으로 정하는 국제적인 사실확인 절차에 관한 규범을 준수하는 사실확인 단체(이하 “사실확인 단체”라 한다)와 사실확인 활동 활성화를 위한 협약을 체결할 수 있다. 이 경우 체결한 협약은 공개하여야 한다.

③ 사실확인 단체는 제2항에 따라 협약을 체결한 제공자가 운영ㆍ관리하는 정보통신망에서 유통되는 허위정보등에 관하여 사실확인된 정보, 사실확인 후 취한 조치 등에 관한 보고서(이하 이 조에서 “보고서”라 한다)를 작성하여 공개하여야 한다.

④ 제공자는 보고서의 내용을 제1항의 허위정보등의 처리에 관한 정책에 따라 서비스에 반영할 수 있다.

⑤ 제공자는 제4항에 따라 보고서의 내용을 서비스에 반영한 사실을 이용자들이 알 수 있도록 공표한다.

⑥ 제1항부터 제5항까지에 따른 사실확인의 범위, 보고서의 공개 방법, 서비스에 반영한 사실의 공표 방법, 협약체결에 필요한 사항은 대통령령으로 정한다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의16

제44조의17(투명성센터 설치 등) ① 방송미디어통신위원회는 이 법에 따른 대규모 정보통신서비스 제공자에 대한 감독과 제44조의16에 따른 사실확인 단체의 활동을 지원하기 위한 정보통신서비스투명성센터(이하 “투명성센터”라 한다)를 설립할 수 있다.

② 투명성센터는 사실확인 활동의 활성화를 위하여 다음 각 호의 업무를 수행한다.

1. 사실확인 단체의 데이터베이스 운영 및 지원

2. 사실확인 단체에 대한 지원

3. 사실확인에 대한 연구와 교육 지원

4. 사실확인 활성화를 위한 국제협력

5. 그 밖에 대통령령으로 정하는 사실확인 활성화에 관한 사업

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의17

제44조의18(분쟁조정부) ① 심의위원회는 정보통신망을 통하여 유통되는 정보 중 사생활의 침해 또는 명예훼손 등 타인의 권리를 침해하는 정보, 제44조의12제3항의 조치 또는 같은 조 제4항의 이의신청에 대한 결정과 관련된 분쟁의 조정업무를 효율적으로 수행하기 위하여 9명 이상 20명 이하의 위원으로 구성된 분쟁조정부를 둔다. <개정 2020. 6. 9., 2026. 1. 6.>

② 제1항의 분쟁조정부의 위원은 다음 각 호의 사람 중에서 심의위원회의 위원장이 심의위원회의 동의를 받아 임명한다. 이 경우 각 호의 위원은 각각 위원 정수의 5분의 1 이상이 되어야 한다. <개정 2026. 1. 6.>

1. 변호사의 자격이 있는 사람

2. 정보통신서비스 관련 업무에 10년 이상 종사한 사람

3. 언론사의 취재ㆍ보도ㆍ제작 업무(인터넷을 기반으로 하는 취재ㆍ보도ㆍ제작 업무를 포함하여야 한다)에 10년 이상 종사한 사람

4. 그 밖에 정보통신망 또는 언론에 관하여 학식이나 전문성이 인정되는 사람

③ 삭제 <2026. 1. 6.>

④ 분쟁조정부의 설치ㆍ운영 및 분쟁조정 등에 관하여 그 밖의 필요한 사항은 대통령령으로 정한다. <개정 2026. 1. 6.>

[전문개정 2008. 6. 13.][제목개정 2026. 1. 6.][제44조의10에서 이동 <2026. 1. 6.>][시행일: 2026. 7. 7.] 제44조의18

제44조의19(위원의 제척ㆍ기피ㆍ회피) ① 분쟁조정부의 위원(이하 이 조 및 제44조의22에서 “위원”이라 한다)은 다음 각 호의 어느 하나에 해당되면 제44조의18제1항에 따른 분쟁조정 사건(이하 이 조에서 “사건”이라 한다)의 심의ㆍ의결에서 제척된다.

1. 위원 또는 그 배우자나 배우자이었던 사람이 해당 사건의 당사자가 되거나 그 사건에 관하여 공동권리자 또는 공동의무자의 관계에 있는 경우

2. 위원이 해당 사건의 당사자와 친족(「민법」 제777조에 따른 친족을 말한다) 관계에 있거나 있었던 경우

3. 위원이 해당 사건에 관하여 증언이나 감정을 한 경우

4. 위원이 해당 사건에 관하여 당사자의 대리인 또는 임직원으로서 관여하거나 관여하였던 경우

② 당사자는 위원에게 심의ㆍ의결의 공정을 기대하기 어려운 사정이 있으면 분쟁조정부에 기피신청을 할 수 있다. 이 경우 분쟁조정부는 기피신청이 타당하다고 인정하는 경우에는 기피의 결정을 한다.

③ 위원이 제1항 또는 제2항의 사유에 해당하면 스스로 그 사건의 심의ㆍ의결에서 회피할 수 있다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의19

제44조의20(분쟁의 조정) ① 제44조의18제1항의 사항에 관한 분쟁의 조정을 원하는 자는 심의위원회에 분쟁의 조정을 신청할 수 있다.

② 심의위원회는 제1항에 따른 분쟁의 조정 신청을 접수한 경우 분쟁조정부에 의뢰할 수 있다.

③ 제2항에 따라 분쟁의 조정을 의뢰받은 분쟁조정부는 신청을 받은 날부터 60일 이내에 심사하여 조정안을 작성하여야 한다. 다만, 부득이한 사정이 있는 경우에는 분쟁조정부의 의결로 그 기간을 연장할 수 있다.

④ 제3항 단서에 따라 기간을 연장한 경우에는 기간연장의 사유나 그 밖의 기간연장에 대한 사항을 당사자에게 알려야 한다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의20

제44조의21(자료요청 등) ① 분쟁조정부는 제44조의18제1항의 사항에 관한 분쟁의 조정을 위하여 필요한 자료의 제공을 당사자에게 요청할 수 있고, 당사자는 정당한 사유가 없으면 요청에 따라야 한다.

② 분쟁조정부는 필요하다고 인정하면 당사자나 참고인을 출석하도록 하여 그 의견을 들을 수 있다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의21

제44조의22(조정의 효력) ① 분쟁조정부는 제44조의20제3항에 따라 조정안을 작성하면 지체 없이 각 당사자에게 제시하여야 한다.

② 제1항에 따라 조정안을 제시받은 당사자는 제시받은 날부터 15일 이내에 수락 여부를 분쟁조정부에 통보하여야 한다.

③ 당사자가 조정안을 수락하면 분쟁조정부는 즉시 조정서를 작성하여야 하며, 위원 및 각 당사자는 그 조정서에 기명날인하여야 한다.

④ 당사자가 제3항에 따라 조정안을 수락하고 조정서에 기명날인을 하면 당사자 간에 조정서와 같은 내용의 합의가 성립된 것으로 본다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의22

제44조의23(조정의 거부 및 중지) ① 분쟁조정부는 분쟁의 성질상 조정하는 것이 적합하지 아니하다고 인정하거나 부정한 목적으로 신청되었다고 인정하는 경우에는 그 조정을 거부할 수 있다. 이 경우 조정거부의 사유 등을 신청인에게 알려야 한다.

② 분쟁조정부는 신청된 조정사건에 대한 처리절차를 진행하던 중에 한쪽 당사자가 소를 제기하면 그 조정의 처리를 중지하고 이를 당사자에게 알려야 한다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의23

제44조의24(불법정보 또는 허위조작정보 유통에 대한 과징금) ① 방송미디어통신위원회는 정보통신망을 통하여 사실이나 의견을 불특정 다수에게 전달하는 것을 업으로 하는 자가 이미 법원에 의하여 불법정보 또는 허위조작정보로 인정되어 유죄판결, 손해배상판결 또는 「언론중재 및 피해구제 등에 관한 법률」 제26조에 따른 정정보도청구등의 소에 대한 판결이 확정된 정보를 정보통신망에 2회 이상 유통한 경우 10억원 이하의 과징금을 부과할 수 있다.

② 방송미디어통신위원회는 제1항에 따라 과징금을 부과하는 경우 제44조의10제4항 각 호의 사항을 고려하여야 한다.

③ 제1항에 따른 과징금의 부과 대상과 기준은 대통령령으로 정한다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의24

제44조의25(의견제출) ① 방송미디어통신위원회는 제44조의24에 따른 과징금을 부과하기 전에 미리 당사자 또는 이해관계인 등에게 의견을 제출할 기회를 주어야 한다.

② 제1항에 따른 당사자 또는 이해관계인 등은 방송미디어통신위원회 회의에 출석하여 의견을 진술하거나 필요한 자료를 제출할 수 있다.

③ 당사자 또는 이해관계인 등은 제2항에 따른 의견 진술 등을 하는 경우 변호인의 도움을 받거나 그를 대리인으로 지정할 수 있다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의25

제44조의26(과징금의 징수 및 강제징수) ① 방송미디어통신위원회는 제44조의24에 따른 과징금납부의무자가 납부기한 내에 과징금을 납부하지 아니한 경우에는 납부기한의 다음 날부터 납부한 날의 전일까지의 기간에 대하여 연 100분의 40의 범위에서 「은행법」에 따른 은행의 연체이자율을 고려하여 대통령령으로 정하는 가산금을 징수할 수 있다.

② 방송미디어통신위원회는 과징금납부의무자가 납부기한 내에 과징금을 납부하지 아니한 경우에는 기간을 정하여 독촉을 하고, 그 지정된 기간 내에 과징금 및 제1항에 따른 가산금을 납부하지 아니한 경우에는 국세 강제징수의 예에 따라 징수할 수 있다.

③ 방송미디어통신위원회는 제1항 및 제2항에 따른 과징금 및 가산금의 징수 또는 강제징수에 관한 업무를 국세청장에게 위탁할 수 있다.

④ 방송미디어통신위원회는 체납된 과징금의 징수를 위하여 필요하다고 인정하는 경우에는 「국세기본법」 및 「지방세기본법」에 따라 문서로 해당 세무관서의 장이나 지방자치단체의 장에게 과세정보의 제공을 요청할 수 있다. 이 경우 과세정보의 제공을 요청받은 자는 정당한 사유가 없으면 그 요청에 따라야 한다.

⑤ 제1항부터 제4항까지에서 규정한 사항 외에 과징금 또는 가산금의 징수에 필요한 사항은 대통령령으로 정한다.

[본조신설 2026. 1. 6.][시행일: 2026. 7. 7.] 제44조의26

정보통신망의 안정성 확보 등(제45조)

• 정보통신서비스 제공자는 안정성 및 신뢰성을 확보하기 위한 보호조치를 하여야 함
• 과학기술정보통신부장관은 정보보호조치에 관한 지침을 고시하고 이를 지키도록 권고할 수 있다.

정보보호 사전점검(제45조의2)

• 신규 정보통신망을 구축하거나 정보통신서비스를 제공하고자 할 때는 계획/설계단계 부터 정보보호 사전점검을 실시

정보보호 최고책임자의 지정 등(제45조의3)

• 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 안전한 관리를 위해 정보보호 최고 책임자를 지정하고 과학기술정보통신부 장관에게 신고 해야 함
• 신고 의무 예외 대상
  • 자본금이 1억원 이하
  • 소기업
  • 중기업 중 다음 사항 어느하나도 해당되지 않는자
    • 전기통신사업자
    • 정보보호 관리체계 인증을 받아야 하는자
    • 개인정보처리방침을 공개해야 하는 개인정보처리자
    • 신고를 해야 하는 통신판매업자

정보보호 관리체계의 인증(제47조) - ISMS

• 의무 인증 대상
  • 연간 매출액 또는 세입이 1,500억 이상
  • 정보통신서비스 기준 매출액 100억원 이상
  • 일일 평균 이용자수 100만명 이상
  • 상급종합병원
  • 재학생수 1만명 이상인 학교
  • 전기통신사업자 (통신사)
  • 집적정보통신시설 사업자 (데이터센터)
• 유효기간은 3년이며 연 1회 이상 사후 관리 실시하여 과학기술정보통신부 장관에게 통보

💡

제47조의7(정보보호 관리체계 인증의 특례) ① 과학기술정보통신부장관은 제47조제1항 및 제2항에 따른 인증을 받으려는 자 중 다음 각 호의 어느 하나에 해당하는 자에 대하여 제47조에 따른 인증기준 및 절차 등을 완화하여 적용할 수 있다.

1. 「중소기업기본법」 제2조제2항에 따른 소기업

2. 그 밖에 정보통신서비스의 규모 및 특성 등에 따라 대통령령으로 정하는 기준에 해당하는 자

② 과학기술정보통신부장관은 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 제1항에 관련된 비용 및 기술 등 필요한 지원을 할 수 있다.

③ 과학기술정보통신부장관은 제1항에 따른 인증기준 및 절차 등 그 밖에 필요한 사항을 정하여 고시할 수 있다.

[본조신설 2024. 1. 23.]

정보통신망 침해행위 등의 금지(제48조)

• 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 안됨
• 누구든지 정당한 사유 없이 정보통신망의 정상적인 보호ㆍ인증 절차를 우회하여 정보통신망에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신망 또는 이와 관련된 정보시스템에 설치하거나 이를 전달ㆍ유포하여서는 아니 된다.

침해사고의 신고 등(제48조의3)

• 정보통신서비스 제공자는 침해사고가 발생하면 그 즉시 과학기술정보통신부나 한국인터넷진흥원에 신고해야 함

💡

정보통신망법 시행령[시행 2025. 11. 4.]

제58조의2(침해사고 신고의 시기, 방법 및 절차) ① 정보통신서비스 제공자는 법 제48조의3제1항 전단에 따라 침해사고를 신고하려는 경우에는 침해사고의 발생을 알게 된 때부터 24시간 이내에 다음 각 호의 사항을 과학기술정보통신부장관 또는 한국인터넷진흥원에 신고해야 한다.

1. 침해사고의 발생 일시, 원인 및 피해내용

2. 침해사고에 대한 조치사항 등 대응 현황

3. 침해사고 대응업무를 담당하는 부서 및 연락처

② 정보통신서비스 제공자는 제1항에 따라 신고한 후 침해사고에 관하여 추가로 확인되는 사실이 있는 경우에는 확인한 때부터 24시간 이내에 신고해야 한다.

③ 제1항 및 제2항에 따른 신고는 서면, 전자우편, 전화, 인터넷 홈페이지 입력 등의 방법으로 할 수 있다.

[본조신설 2024. 8. 13.]

정보통신기반 보호법(2025.1.24)

• 주요정보통신시설의 교란/마비로 사회적 혼란을 막기 위해 제정

용어의 정리(제2조)

• 정보통신기반시설: 국가안전보장/행정/국방/치안/금융/통신/운송/에너지 등 업무와 관련된 전자적 제어/관리 시스템 및 정보통신망
• 전자적침해행위: 정보통신기반시설을 공격하는 행위
  • 해킹, 컴퓨터바이러스, 논리/메일폭탄, 서비스거부 또는 고출력 전자기파 등의 방법
  • 정상적인 절차를 우회하여 정보통신기반시설에 접근할 수 있도록 하는 프로그램이나 기술장치
• 침해사고: 전자적 침해행위로 인하여 발생한 사태
• 관리기관: 주요 정보통신기반시설을 관리하는 기관(보호대책 수립해야할 기관)

정보통신기반보호위원회(제3조)

• 국무총리 소속하에 정보통신기반보호위원회를 둠
• 위원장 1인을 포함한 25인 이내의 위원으로 구성
• 위원장은 국무조정실장이 되고 위원회의 위원은 중앙행정기관의 차관급 공무원과 위원장이 위촉하는 사람

주요 정보통신기반시설 보호대책의 수립등(제5조)

• 관리기관의 장은 주요정보통신기반시설보호대책을 수립하고 이를 관할하는 중앙행정기관의 장에게 제출하여야 함
• 지방자치단체의 장이 관리/감독하는 관리기관의 주요정보통신기반시설보호대책은 지방자치단체의 장이 행정안전부 장관에게 제출

주요정보통신기반시설 보호대책 이행 여부의 확인(제5조의2)

• 과학기술통신부장관과 국가정보원장 등 국가기관의 장은 관리기관에 대하여 보호대책 이행여부를 확인할 수 있음
• 과학기술통신부장관과 국가정보원장은 보호대책 이행여부 확인결과를 정보통신기반보호위원회에 보고해야 함

주요정보통신기반시설 보호계획의 수립 등(제6조)

• 주요정보통신기반시설을 관할하는 관계중앙행정기관의 장은 해마다 소관분야 주요정보통신기반시설에 대한 보호계획을 수립/시행해야 함

주요정보통신기반 시설의 지정(제8조)

• 중앙행정기관의 장은 소관분야 정보통신기반시설 중 중요한 시설을 주요정보통신기반시설로 지정할 수 있음

취약점 분석/평가(제9조)

• 관리기관의 장은 해마다 주요정보통신기반시설에 대한 보호대책을 수립해야함

보호지침(제10조)

• 관계중앙행정기관의 장은 주요정보통신기반시설에 대하여 보호지침을 제정하고 해당 분야 관리기관의 장에게 이를 지키도록 명령할 수 있음

주요정보통신기반시설 침해행위 등의 금지(제 12조)

• 누구든지 다음 행위를 하면 안됨
  • 권한 없이 주요정보통신기반시설에 접근하거나 권한을 초과하는 데이터를 조작/파괴/은닉/유출
  • 주요정보통신기반시설의 데이터를 파괴하거나 운영을 방해할 목적으로 악성프로그램을 투입하는 행위
  • 운영을 방해할 목적으로 대량의 신호를 보내거나 부정한 명령을 처리하도록 하는 등의 행위

침해사고의 통지(제13조)

• 관리기관의 장은 침해사고를 인지하면 관계 행정기관, 수사기관, 인터넷진흥원에 그사실을 통지하여야 함

대책본부의 구성등(제15조)

• 중대한 침해사고가 발생할 경우 대책본부를 한시적으로 운영 가능

정보공유/분석센터(제16조)

• 정보공유/분석센터(ISAC, Information Sharing &Analysis Center)는 전자적 침해행위 정보를 분석하고 침해사고 발생 시 이를 관계기관에게 신속하게 배포하는 시스템

💡

7장. 벌칙

주요정보통신기반시설을 교란ㆍ마비 또는 파괴한 자는 10년 이하의 징역 또는 1억원 이하의 벌금에 처한다.

비밀유지의 규정을 위반하여 비밀을 누설한 자는 5년 이하의 징역, 10년 이하의 자격정지 또는 5천만원 이하의 벌금에 처한다.

다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다. 다만, 관리기관의 장이 관계중앙행정기관의 장(그 소속기관의 장인 경우를 포함한다)인 경우에는 그러하지 아니하다.

1. 제10조제1항에 따른 명령을 이행하지 아니한 자

2. 제14조제2항 또는 제3항에 따른 복구 및 보호조치 명령을 이행하지 아니한 자

다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다. 다만, 관리기관의 장이 관계중앙행정기관의 장(그 소속기관의 장인 경우를 포함한다)인 경우에는 그러하지 아니하다.

1. 제11조제1항 또는 제2항에 따른 보호조치 명령을 위반한 자
   다음 각 호의 어느 하나에 해당하는 자에게는 500만원 이하의 과태료를 부과한다. 다만, 관리기관의 장이 관계중앙행정기관의 장(그 소속기관의 장인 경우를 포함한다)인 경우에는 그러하지 아니하다.

2. 제9조제1항을 위반하여 정기적으로 취약점을 분석ㆍ평가하지 아니한 자

3. 제9조제2항을 위반하여 취약점 분석ㆍ평가 명령에 따르지 아니한 자

과태료는 대통령령으로 정하는 바에 따라 관계중앙행정기관의 장 또는 과학기술정보통신부장관이 부과ㆍ징수한다.

---

수업을 배우긴 배웠는데 이게 참... 정리하기가 뭐하네
일단 여기까지 하고 나중에 수정해야지