정보통신망 이용촉진 및 정보보호 등에 관한 법률

이 문서의 일부는 오래된 정보를 가지고 있어 최신 정보로 교체하여야 합니다. 검토 후 최신 사건이 반영되도록 문서를 수정해 주세요.

정보통신망 이용촉진 및 정보보호 등에 관한 법률은 대한민국 법률 중의 하나이다. 이 법의 목적은 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자의 개인정보를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민생활의 향상과 공공복리의 증진에 이바지하는 것이다.^{[문헌 1]} 간단히 정보통신망법, 정통망법, 망법등으로 줄여 부르기도 한다. 현행 망법은 2013년 3월 23일, 타법 개정으로 최종개정되고 같은 날 시행된 법률 제11690호이다.

역사[편집]

시초는 1986년 5월 12일에 제정된 전산망보급확장과이용촉진에관한법률(법률 제7738487772호)이다. 이후 1999년 2월 8일 전면 개정된 정보통신망이용촉진등에관한법률(법률 제7483777772호)이 있다. 이때 개인정보의 제공 등에 대한 규정이 신설되었다. 2001년 1월 16일 전문개정때는 개인정보의 취급위탁이 신설되었다.(단, 이때에는 이용자의 동의가 아닌, "고지"가 요건이었다.) 2007년 1월 26일 개정때에는 개인정보의 취급위탁의 경우에도 원칙적으로 이용자의 동의가 필요한 것으로 바뀌었다. (다만, 개인정보의 취급위탁은 이용자의 동의가 없더라도 "제27조의2 제1항의 규정에 따라 공개하거나 전자우편 등 대통령령이 정하는 방법에 따라 이용자에게 통지한 경우에는 개인정보취급위탁에 따른 제1항의 고지 및 동의절차를 거치지 아니할 수 있다."는 조항이 함께 신설되었다.)

주요 개념[편집]

• "정보통신서비스"라 함은 「전기통신기본법」 제2조 제7호의 규정에 따른 전기통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것을 말한다.^{[문헌 2]}
• "이용자"라 함은 정보통신서비스제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다.^{[문헌 3]}

정보통신망[편집]

"정보통신망"이라 함은 「전기통신기본법」제2조 제2호의 규정에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체제를 말한다.^{[문헌 4]} 흔히 온라인이라 한다.

정보통신서비스제공자[편집]

"정보통신서비스제공자"라 함은 「전기통신사업법」 제2조제8호의 규정에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다.^{[문헌 5]} KT와 같은 전기통신사업자와 NHN과 같은 포털 사이트 운영자가 대표적인 정보통신서비스제공자이다. 대한민국의 한 지방법원 판결은 정보통신서비스제공자의 주의의무에 관하여 다음과 같이 판시하였다.

비록 온라인 게임서비스 제공자가 게임서비스의 온라인 회원가입절차에서 본인확인의무를 부담하지는 않는다고 하더라도, 온라인 게임서비스 제공자로서는 게임서비스의 이용신청자 및 이용자 중에는 명의를 도용하여 부당하게 온라인 회원으로 가입하여 위 게임서비스를 이용하는 자가 있음을 알 수 있었던 경우라면 이를 차단하기 위한 적절한 조치를 취함으로써 명의도용행위에 도움을 주지 아니할 주의의무는 있다고 봄이 상당하나, 게임서비스가 인터넷을 통해 수시로 또한 대규모로 이루어지는 비대면 거래로서 서비스 제공자의 입장에서는 이용자 각각의 서비스 이용 실태를 개별적으로 파악하여 그 중 명의도용에 의한 회원가입 내지 이용행위인지 여부를 식별해 내는 것이 용이하지 않다는 점을 고려할 때, 온라인 게임서비스 제공자가 부담하는 적절한 주의의무는 어떠한 경우도 이를 식별해 내어 차단할 수 있을 정도의 최상의 수준이 되어야 한다고는 볼 수 없고, 관련 인터넷 기술의 발전 수준, 제공되는 정보통신서비스의 특성, 운영 주체로서의 서비스 제공자의 영리적 성격, 기술적 수단의 도입에 따른 일반 이용자에 대한 이익과 불이익 등을 종합적으로 고려하여 온라인 게임서비스 제공자가 부담하는 주의의무의 수준 및 그 의무의 위반 여부를 판단하여야 한다. 제3자가 타인의 명의를 도용하여 다중접속 온라인 롤플레잉게임 서비스의 회원으로 가입하여 이용한 사안에서, 제반 사정에 비추어 게임서비스 제공자로서는 명의도용에 의한 회원가입 및 이용행위를 방지하기 위한 주의의무를 다하였다고 보아 위 명의도용에 대한 방조의 불법행위책임은 없다.

— 서울중앙지법 2007.5.31., 선고 2006가합22338,38197^[1]

"정보통신서비스제공자등"이라 함은 정보통신서비스제공자와 그로부터 정통망법 제24조의2 제1항의 규정에 따라 이용자의 개인정보를 제공받은 자를 말한다.(정통망법 제25조 제1항) 정보통신서비스 제공자 외의 자로서 재화등을 제공하는 자 중 대통령령으로 정하는 자가 자신이 제공하는 재화등을 제공받는 자의 개인정보를 수집·이용 또는 제공하는 경우에는 제22조, 제23조, 제23조의2, 제24조, 제24조의2, 제25조, 제26조, 제26조의2, 제27조, 제27조의2, 제28조, 제28조의2 및 제29조부터 제32조까지의 규정을 준용한다.^{[문헌 6]}

"주요정보통신서비스 제공자"라 함은 「전기통신사업법」 제2조제1항제1호에 따른 전기통신사업자로서 전국적으로 정보통신망서비스를 제공하는 자를 말한다.^{[문헌 7]}

개인정보[편집]

"개인정보"라 함은 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(당해 정보만으로는 특정 개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.(법 제2조 제6호) 이메일 주소는 당해 정보만으로는 특정 개인을 알아볼 수 없을지라도 다른 정보와 용이하게 결합할 경우 당해 개인을 알아볼 수 있는 정보라 할 것이므로 개인정보에 해당한다.^[2]

침해사고[편집]

"침해사고"란 모든 사이버 공격 행위나 그 결과에 따라 생긴 여러 가지 피해, 해킹, 컴퓨터 바이러스, 논리 폭탄, 메일 폭탄, 서비스 거부 또는 고출력 전자기파 같은 방법으로 정보통신망 또는 이와 관련한 정보 시스템이 공격을 당하여 생긴 문제를 말한다. 종류는 바이러스, 트로이잔, 웜, 백도어, 악성 코드 같은 공격, 인가되지 않은 네트워크 정보 접근, 시스템 접근 서비스 방해 따위가 있다.^{[문헌 8]} "무차별 대입법"은 컴퓨터 사용자의 아이디와 비밀번호를 계속해서 시행착오를 거치면서 추측에 의해 알아내는 방법으로서 최근에는 미리 사람들이 많이 비밀번호로 사용하는 여러 가지 단어들을 저장하고 있다가 이를 순차적으로 대입하고 실패하여 접속이 끊어져도 다시 접속하여 계속 패스워드를 대입시키는 사전식 브루트 포스(brute force)와 전수조사로 불리는 존재하는 모든 조건을 대입하는 브루트 포스(brute force) 등의 해킹프로그램을 사용하는 방법 등을 말한다. 아이피 스누핑(IP Snooping)은 아이피 어드레스(IP Address)를 속여서 공격하는 기법으로서, 송수신자간의 프로토콜인 티시피아이피(TCP/IP) 접속시 일어나는 3웨이 핸드쉐이킹(3-way handshaking)에 필요한 SYN / ACK를 이용하여 중간에서 불법접속을 만드는 방법을 말한다. 이때 대부분 본 IP 서버에 대해 SYN FLOOD 공격이 수반된다. 세션하이재킹은 TCP 세션의 시퀀스번호를 이용하여 정당한 사용자의 세션을 가로채는 공격방식을 말한다. 패킷 스니핑(Packet Sniffing)은 네트워크 상에 돌아 다니는 패킷을 훔쳐보는 방법으로 어떤 사람이 정보통신망에 접속하기 위해 아이디와 비밀번호를 입력할 때 이를 도청하는 프로그램을 사용하여 아이디와 비밀번호를 알아내는 방법을 말한다. 일반적으로 프러미스큐어스모드를 이용하는 간단한 방법을 이용한다. 패스워드 크래킹(Password Cracking)은 타인의 아이디와 비밀번호를 통해 알아낸 경우 또는 정당하게 가입해서 자신의 아이디와 비밀번호를 부여받아 어떤 네트워크에 들어간 경우 그 네트워크를 이용하는 다른 사용자들의 아이디와 비밀번호를 얻어내는 방법을 말한다.^[3]

개인정보의 보호[편집]

개인정보의 수집·이용 및 제공 등[편집]

개인정보의 수집[편집]

정보통신서비스제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유·이용 기간을 이용자에게 알리고 동의를 받아야 한다. 이를 변경하려는 경우에도 같다. 다만, 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적·기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우, 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우, 정통망법 또는 다른 법률에 특별한 규정이 있는 경우에는 동의 없이 이용자의 개인정보를 수집·이용할 수 있다.^{[문헌 9]} 본 조 제1항^{[문헌 10]}을 위반하여 이용자의 동의를 받지 아니하고 개인정보를 수집한 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.^{[문헌 11]}

헌법 제10조, 제17조의 규정은 개인의 사생활 활동이 타인으로부터 침해되거나 사생활이 함부로 공개되지 아니할 소극적인 권리는 물론, 오늘날 고도로 정보화된 현대사회에서 자신에 대한 정보를 자율적으로 통제할 수 있는 적극적인 권리까지도 보장하려는 데 그 취지가 있으므로 정보통신서비스이용자들은 자신들의 의사에 반하여 개인정보가 함부로 공개되지 아니할 권리를 가지고, 위와 같이 헌법에 의하여 보장된 기본권을 보호하기 위해 제정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 이용자들의 개인정보를 수집·관리하는 정보통신서비스제공자로서는 이용자들의 개인정보가 누출되지 않도록 필요한 관리적 조치를 다하여야 할 주의의무를 부담한다.^[2]

제3자가 타인의 명의를 도용하여 온라인 게임서비스에 회원가입신청을 한 경우, 게임서비스 제공자(정보통신서비스제공자)가 회원가입신청을 승인하는 과정에서 이용신청자가 실명정보와 일치하는 본인인지 여부를 적극적으로 확인할 본인확인의무는 없다.^[4] 정통망법상에서는 사업자의 본인확인의무를 규정하고 있지 않지만, 개인정보 수집 시에는 원칙적으로 정보 주체의 동의(14세 미만 아동의 경우에는 법정대리인의 동의)를 받아야 하므로, 개인정보의 수집에 대한 동의를 받을 때 정보주체인지 본인확인을 할 필요가 있다. 따라서, 정보 주체의 동의 획득에 대한 선량한 관리자의 주의의무를 다하는 차원에서 최소한의 본인확인조치를 하는 것을 한국정보보호진흥원은 권고하고 있다. 신청인 L씨가 자신의 주소지와 다른 주소지에서 2003년 11월부터 2006년 10월까지 (주) H의 초고속 인터넷 서비스 요금이 자신의 은행계좌에서 인출 된 것을 알고 이는 명백한 명의 도용으로써, 피신청인이 서비스 개통시 본인 확인 절차를 소홀히 한 결과라고 주장하며, 정신적 물질적 손해 배상을 요구하는 분쟁 조정을 신청한 사건에서 개인정보분쟁조정위원회는 사실 조사 결과, 피신청인은 명확한 본인 확인 절차없이 서비스 개통확인서의 서명만으로 인터넷 서비스를 개통해 신청인 명의가 도용되지 않았다는 사실을 입증하지 못하였고, 신청인에게도 이의 제기의 타당성이 결여되어 있다고 판단되는 바, 신청인이 입은 경제적, 정신적 피해에 대한 손해 배상금 300,000원을 지급하라고 판단하였다.^{[5] :41} 한국정보보호진흥원은 초고속인터넷사업자의 경우 설치기사가 자택 방문시에 신분증 확인 등을 통해 본인확인을 권고하며, 이용자를 대면하는 과정 없이 전화 혹은 인터넷 홈페이지 등을 통해서만 개인정보 수집이 제한되는 경우 실명확인, 행정안전부 주민등록증진위확인서비스, 공인인증, 휴대폰 인증 등을 통해 본인확인을 거치도록 권고하고 있다.^[6]

신청인은 피신청인의 초고속 광랜 인터넷 서비스 상품에 신규 가입한 후 피신청인의 제휴업체라고 주장하는 업체로부터 홍보 목적의 광고성 전화를 받고 자신의 개인 정보를 신청인의 동의없이 제 3자 제공하여 홍보 마케팅에 활용한 것은 불법이며, 이에 정신적 피해를 입었다고 주장하면서 500,000원의 손해배상을 청구한 사건에서, 개인정보분쟁조정위원회는 사실 조사 결과 신청인은 초고속 인터넷 서비스 상품 신규 가입을 전화상으로 신청하면서 개인정보 활용 동의에 대한 일체의 안내를 받지 못했으며, 피신청인 측의 설치 기사가 고지 의무를 행하지 않고 PDA 사인만 받아간 것이 인정돼 정신적 피해에 대해 200,000원을 지급하도록 결정하였다.^{[5] :32}

개인정보의 수집의 제한 등[편집]

정보통신서비스제공자는 사상·신념·과거의 병력 등 개인의 권리·이익이나 사생활을 현저하게 침해할 우려가 있는 개인정보를 수집하여서는 아니된다. 다만, 제22조 제1항의 규정에 따른 이용자의 동의^[7]를 얻거나 다른 법률에 따라 특별히 수집대상 개인정보로 허용된 경우에는 그러하지 아니하다.^{[문헌 12]} 그리고, 정보통신서비스제공자는 이용자의 개인정보를 수집하는 경우 정보통신서비스의 제공을 위하여 필요한 최소한의 정보를 수집하여야 하며, 필요한 최소한의 정보외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부하여서는 아니된다.^{[문헌 13]} 제23조 제1항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 이용자의 동의를 받지 아니하고 개인의 권리·이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개인정보를 수집한 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.^{[문헌 14]} 제23조 제2항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 서비스의 제공을 거부한 자에게는 3천만원 이하의 과태료를 부과한다.^{[문헌 15]}

주민등록번호 외의 회원가입 방법[편집]

정보통신서비스 제공자로서 제공하는 정보통신서비스의 유형별 일일 평균 이용자 수가 대통령령으로 정하는 기준에 해당하는 자는 이용자가 정보통신망을 통하여 회원으로 가입할 경우에 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.^{[문헌 16]} 제1항에 해당하는 정보통신서비스 제공자는 주민등록번호를 사용하는 회원가입 방법을 따로 제공하여 이용자가 회원가입 방법을 선택하게 할 수 있다.^{[문헌 17]} 제23조의2를 위반하여 필요한 조치를 하지 아니한 자에게는 3천만원 이하의 과태료를 부과한다.^{[문헌 18]}

개인정보의 이용 제한[편집]

정보통신서비스 제공자는 제22조 및 제23조제1항 단서에 따라 수집한 개인정보를 이용자로부터 동의받은 목적이나 제22조제2항 각 호에서 정한 목적과 다른 목적으로 이용하여서는 아니 된다.^{[문헌 19]} 제24조 (제67조에 따라 준용되는 경우를 포함한다)를 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.^{[문헌 20]}

개인정보의 제공 동의 등[편집]

정보통신서비스 제공자는 이용자의 개인정보를 제3자에게 제공하려면 제22조 제2항 제2호 및 제3호에 해당하는 경우 외에는 개인정보를 제공받는 자가 누구인지 등을 이용자에게 알리고 동의를 받아야 한다. 개인정보를 제공받는 자 등의 사항이 변경되는 경우에도 또한 같다.^{[문헌 21]}

위와 같이 정보통신서비스 제공자로부터 이용자의 개인정보를 제공받은 자는 그 이용자의 동의가 있거나 다른 법률에 특별한 규정이 있는 경우 외에는 개인정보를 제3자에게 제공하거나 제공받은 목적 외의 용도로 이용하여서는 아니 된다.^{[문헌 22]}

제24조의2 제1항 및 제2항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.^{[문헌 23]}

개인정보의 취급위탁[편집]

개인정보의 취급위탁이란 개인정보를 수집·보관·처리·이용·제공·관리·파기 등(이를 합하여 "취급"이라 한다)을 할 수 있도록 업무를 위탁하는 것을 말한다. 정보통신서비스제공자등(정보통신서비스 제공자와 그로부터 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자를 말한다)이 제3자에게 개인정보를 취급위탁하고자 하는 경우에도 개인정보취급위탁을 받는 자(이하 "수탁자"라 한다)와 개인정보취급위탁을 하는 업무의 내용에 대하여 대하여 이용자에게 알리고 동의를 얻어야 한다. 수탁자나 업무의 내용이 변경되는 경우에도 또한 같다.^{[문헌 24]} 제25조 제1항^{[문헌 25]}을 위반하여 이용자의 동의를 받지 아니하고 개인정보 취급위탁을 한 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.^{[문헌 26]}

정보통신서비스제공자등은 (가) 정보통신서비스의 제공에 관한 계약의 이행을 위하여 필요한 경우로서 (나) 수탁자나 업무의 내용 모두를 제27조의2 제1항의 규정에 따라 공개하거나 전자우편 등 대통령령이 정하는 방법에 따라 이용자에게 통지한 경우에는 개인정보취급위탁에 따른 제1항의 고지 및 동의절차를 거치지 아니할 수 있다. 제1항 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.^{[문헌 27]} 제25조 제2항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 이용자에게 개인정보 취급위탁에 관한 사항을 공개하지 아니하거나 알리지 아니한 자에게는 2천만원 이하의 과태료를 부과한다.^{[문헌 28]}

동의를 얻는 방법[편집]

제22조 제1항, 제23조 제1항 단서, 제24조의 2 제1항·제2항, 제25조제1항, 제26조 제3항 단서 또는 제63조 제2항에 따른 동의(이하 "개인정보 수집·이용·제공 등의 동의"라 한다)를 받는 방법은 개인정보의 수집매체, 업종의 특성 및 이용자의 수 등을 고려하여 대통령령으로 정한다.^{[문헌 29]} 이에 따라 대통령령에서 정한 방법은 다음과 같다.

1. 인터넷 사이트에 동의 내용을 게재하고 이용자가 동의 여부를 표시하도록 하는 방법,
2. 동의 내용이 기재된 서면을 이용자에게 직접 교부하거나, 우편 또는 모사전송을 통하여 전달하고 이용자가 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법,
3. 동의 내용이 적힌 전자우편을 발송하여 이용자로부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법,
4. 전화를 통하여 동의 내용을 이용자에게 알리고 동의를 얻거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 얻는 방법이 있다.^{[문헌 30]}

그리고, 정보통신서비스제공자 등은 개인정보 수집 매체의 특성상 동의 내용을 전부 표시하기 어려운 경우 이용자에게 동의 내용을 확인할 수 있는 방법(인터넷주소·사업장 전화번호 등)을 안내하고 동의를 얻을 수 있다.^{[문헌 31]}

정보통신서비스 제공자등이 만 14세 미만의 아동으로부터 개인정보 수집·이용·제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 한다. 이 경우 정보통신서비스 제공자는 그 아동에게 법정대리인의 동의를 받기 위하여 필요한 법정대리인의 성명 등 최소한의 정보를 요구할 수 있다.^{[문헌 32]}

사례[편집]

2009년 1월, 서울중앙지법 형사3단독 엄상필 판사는 개인 정보를 팔아 돈을 벌 목적으로 GS칼텍스 고객 1150만여명의 개인 정보를 빼낸 혐의로 구속 기소된 GS넥스테이션 직원 정모(30)씨에 대해 징역 1년6월을, 정씨와 공모해 정보를 유출한 정씨의 친구 왕모(29)씨·김모(25)씨·배모(여·31)씨에게 각각 징역 1년을 선고했다.^[8]

개인정보의 관리 및 파기 등[편집]

개인정보 관리책임자의 지정[편집]

정보통신서비스 제공자등은 이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하여 개인정보 관리책임자를 지정하여야 한다. 다만, 종업원 수 등에 따른 예외가 있으며 이 경우에는 그 사업주 또는 대표자가 개인정보 관리책임자가 된다. 개인정보 관리책임자의 자격요건과 그 밖의 지정에 필요한 사항은 대통령령으로 정한다.^{[문헌 33]}

개인정보 취급방침의 공개[편집]

정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 경우에는 개인정보 취급방침을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. 개인정보 취급방침에는 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목 및 수집방법 등이 모두 포함되어야 한다.^{[문헌 34]} 정보통신서비스 제공자등은 개인정보 취급방침을 변경하는 경우에는 그 이유 및 변경내용을 대통령령으로 정하는 방법에 따라 지체 없이 공지하고, 이용자가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하여야 한다.^{[문헌 35]}

개인정보의 보호조치[편집]

정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행 등 기술적·관리적 조치를 하여야 한다.^{[문헌 36]} 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여야 한다.^{[문헌 37]}

개인정보의 누설금지[편집]

이용자의 개인정보를 취급하고 있거나 취급하였던 자는 직무상 알게 된 개인정보를 훼손·침해 또는 누설하여서는 아니 되며, 누구든지 그 개인정보가 누설된 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받아서는 아니 된다.^{[문헌 38]}

개인정보의 파기[편집]

정보통신서비스 제공자등은 동의를 받은 개인정보의 수집·이용 목적을 달성한 등의 경우에 해당 개인정보를 지체 없이 파기하여야 한다. 다만, 다른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그러하지 아니하다.^{[문헌 39]}

이용자의 권리[편집]

이용자의 권리 등[편집]

이용자는 정보통신서비스 제공자등에 대하여 언제든지 개인정보 수집·이용·제공 등의 동의를 철회할 수 있다.^{[문헌 40]} 이용자는 정보통신서비스 제공자등에 대하여, 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보 등에 대한 열람이나 제공을 요구할 수 있고 오류가 있는 경우에는 그 정정을 요구할 수 있다.^{[문헌 41]} 본조 제1항 및 제2항에 있어서, 이용자가 만 14세 미만의 아동인 경우에는 그 법정대리인이 이용자의 권리를 행사할 수 있다.^{[문헌 42]}

정보통신서비스 제공자등은 이용자가 제1항에 따라 동의를 철회하면 지체 없이 수집된 개인정보를 파기하는 등 필요한 조치를 하여야 한다.^{[문헌 43]} 정보통신서비스 제공자등은 제2항에 따라 열람 또는 제공을 요구받으면 지체 없이 필요한 조치를 하여야 한다.^{[문헌 44]} 정보통신서비스 제공자등은 제2항에 따라 오류의 정정을 요구받으면 지체 없이 그 오류를 정정하거나 정정하지 못하는 사유를 이용자에게 알리는 등 필요한 조치를 하여야 하고, 필요한 조치를 할 때까지는 해당 개인정보를 이용하거나 제공하여서는 아니 된다. 다만, 다른 법률에 따라 개인정보의 제공을 요청받은 경우에는 그 개인정보를 제공하거나 이용할 수 있다.^{[문헌 45]} 이용자가 만 14세 미만의 아동인 경우, 법정대리인의 동의 철회, 열람 또는 오류정정의 요구에 관하여는 제30조 제3항부터 제5항까지의 규정을 준용한다.^{[문헌 46]}

정보통신서비스 제공자등은 제1항에 따른 동의의 철회 또는 제2항에 따른 개인정보의 열람·제공 또는 오류의 정정을 요구하는 방법을 개인정보의 수집방법보다 쉽게 하여야 한다.^{[문헌 47]} 영업양수자등에 대하여는 제1항부터 제6항까지의 규정을 준용한다. 이 경우 "정보통신서비스 제공자등"은 "영업양수자등"으로 본다.^{[문헌 48]}

법정대리인의 권리[편집]

정보통신서비스 제공자등이 만 14세 미만의 아동으로부터 개인정보 수집·이용·제공 등의 동의를 받으려면 그 법정대리인의 동의를 받아야 한다. 이 경우 정보통신서비스 제공자는 그 아동에게 법정대리인의 동의를 받기 위하여 필요한 법정대리인의 성명 등 최소한의 정보를 요구할 수 있다.^{[문헌 49]} 법정대리인은 해당 아동의 개인정보에 대하여 제30조제1항 및 제2항에 따른 이용자의 권리를 행사할 수 있다.^{[문헌 50]} 제2항에 따른 법정대리인의 동의 철회, 열람 또는 오류정정의 요구에 관하여는 제30조제3항부터 제5항까지의 규정을 준용한다.^{[문헌 51]}

손해배상[편집]

이용자는 정보통신서비스 제공자등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스 제공자등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.^{[문헌 52]} 정보통신서비스제공자가 서비스이용자들에게 이메일을 발송하는 과정에서 실수로 이용자들의 성명, 주민등록번호, 이메일 주소 등 개인정보를 수록한 텍스트 파일을 첨부한 사안에서, 개인정보 보호에 관한 주의의무 위반을 이유로 개인정보가 누출된 이용자들에 대한 위자료 지급책임을 인정한 사례(성명, 주민등록번호, 이메일 주소가 누출된 이용자 : 각 10만 원, 성명과 이메일 주소가 누출된 이용자 : 각 7만 원)가 있다.^[2]

개인정보분쟁조정위원회[편집]

개인정보분쟁조정위원회의 설치 및 구성[편집]

개인정보에 관한 분쟁을 조정하기 위하여 개인정보분쟁조정위원회(이하 "분쟁조정위원회"라 한다)를 둔다.^{[문헌 53]} 분쟁조정위원회는 위원장 1명을 포함한 15명 이내의 위원으로 구성하며, 그중 1명은 상임으로 한다.^{[문헌 54]} 위원은 대학이나 공인된 연구기관에서 부교수급 이상 또는 이에 상당하는 직에 있거나 있었던 자로서 개인정보보호 관련 분야를 전공한 자 등 일정 요건을 갖춘 자 중에서 대통령령으로 정하는 바에 따라 행정안전부장관이 임명하거나 위촉한다.^{[문헌 55]}

2009년 7월 기준으로, 위원장 이우근, 부위원장 김자혜, 상임위원 윤태중, 위원 강경근·김상겸·남형두·이교용·이성엽·정태명이다.

정보통신망에서의 이용자 보호 등[편집]

청소년유해매체물의 표시[편집]

전기통신사업자의 전기통신역무를 이용하여 일반에게 공개를 목적으로 정보를 제공하는 자(이하 "정보제공자"라 한다) 중 「청소년보호법」 제7조제4호에 따른 매체물로서 같은 법 제2조제3호에 따른 청소년유해매체물을 제공하려는 자는 대통령령으로 정하는 표시방법에 따라 그 정보가 청소년유해매체물임을 표시하여야 한다.^{[문헌 56]} 본 조에 따라 대통령령으로 정해질 표시방법은 청소년을 해당 유해정보로부터 보호하기 위하여 청소년의 이용을 억제하기 위한 취지의 표시이거나 그밖에 인터넷과 같은 매체의 특성에 맞춰 해당 정보에 대한 청소년의 이용을 억제하기 위한 표시가 될 것이라는 점이 예측될 수 있다. 위 조항은 포괄위임입법금지 및 죄형법정주의의 명확성 원칙에 위배되지 않는다.^[9]

정보의 삭제요청 등[편집]

정보통신망을 통하여 일반에게 공개를 목적으로 제공된 정보로 사생활 침해나 명예훼손 등 타인의 권리가 침해된 경우 그 침해를 받은 자는 해당 정보를 취급한 정보통신서비스 제공자에게 침해사실을 소명하여 그 정보의 삭제 또는 반박내용의 게재(이하 "삭제등"이라 한다)를 요청할 수 있다.^{[문헌 57]} 정보통신서비스 제공자는 제1항에 따른 해당 정보의 삭제등을 요청받으면 지체 없이 삭제·임시조치 등의 필요한 조치를 하고 즉시 신청인 및 정보게재자에게 알려야 한다. 이 경우 정보통신서비스 제공자는 필요한 조치를 한 사실을 해당 게시판에 공시하는 등의 방법으로 이용자가 알 수 있도록 하여야 한다.^{[문헌 58]} 정보통신서비스 제공자는 자신이 운영·관리하는 정보통신망에 제42조에 따른 표시방법을 지키지 아니하는 청소년유해매체물이 게재되어 있거나 제42조의2에 따른 청소년 접근을 제한하는 조치 없이 청소년유해매체물을 광고하는 내용이 전시되어 있는 경우에는 지체 없이 그 내용을 삭제하여야 한다.^{[문헌 59]} 정보통신서비스 제공자는 제1항에 따른 정보의 삭제요청에도 불구하고 권리의 침해 여부를 판단하기 어렵거나 이해당사자 간에 다툼이 예상되는 경우에는 해당 정보에 대한 접근을 임시적으로 차단하는 조치(이하 "임시조치"라 한다)를 할 수 있다. 이 경우 임시조치의 기간은 30일 이내로 한다.^{[문헌 60]}

제한적 본인 확인제[편집]

국가기관, 일일 평균 이용자 수가 10만명 이상 등을 요건으로 하는 정보통신서비스 제공자 등이 게시판을 설치·운영하려면 그 게시판 이용자의 본인 확인을 위한 방법 및 절차의 마련 등 대통령령으로 정하는 필요한 조치("본인확인조치")를 하여야 한다.^{[문헌 61]}

불법정보의 유통금지 등[편집]

누구든지 정보통신망을 통하여 음란한 부호·문언·음향·화상 또는 영상을 배포·판매·임대하거나 공공연하게 전시하는 내용의 정보를 유통하여서는 아니 된다.^{[문헌 62]} 영상물등급위원회의 심사를 받아 비디오물로 제작·출시하는 것은 일정한 연령대에 속해 있는 사람들을 대상으로 시청을 제한하는 것이 가능하기 때문에 영상물등급위원회의 심사결과를 존중하여 음란성 인정에 보다 신중을 기하여야 할 것이나, 인터넷을 통하여 유포하는 것은 그 시청자의 범위를 제한하는 것이 용이하지 아니하므로, 같은 내용의 동영상이라 하더라도 제한된 연령대의 사람만 시청이 가능하도록 비디오로 제작·출시하느냐, 혹은 연령에 제한 없이 비교적 자유로운 시청이 가능하도록 인터넷에 공개하느냐에 따라 음란성의 판단 기준을 달리 할 수 있는 것이다.^[10]

누구든지 정보통신망을 통하여 공포심이나 불안감을 유발하는 부호·문언·음향·화상 또는 영상을 반복적으로 상대방에게 도달하도록 하는 내용의 정보를 유통하여서는 아니 된다.^{[문헌 63]} 이 범죄는 구성요건상 위 조항에서 정한 정보통신망을 이용하여 상대방의 불안감 등을 조성하는 일정 행위의 반복을 필수적인 요건으로 삼고 있을 뿐만 아니라, 그 입법 취지에 비추어 보더라도 위 정보통신망을 이용한 일련의 불안감 조성행위가 이에 해당한다고 하기 위해서는 각 행위 상호간에 일시·장소의 근접, 방법의 유사성, 기회의 동일, 범의의 계속 등 밀접한 관계가 있어 그 전체를 일련의 반복적인 행위로 평가할 수 있는 경우라야 한다. 따라서 그와 같이 평가될 수 없는 일회성 내지 비연속적인 단발성 행위가 수차 이루어진 것에 불과한 경우에는 그 문언의 구체적 내용 및 정도에 따라 협박죄나 경범죄처벌법상 불안감 조성행위 등 별개의 범죄로 처벌함은 별론으로 하더라도 위 법 위반죄로 처벌할 수는 없다. 투자금 반환과 관련하여 을로부터 지속적인 변제독촉을 받아오던 갑이 을의 핸드폰으로 하루 간격으로 2번 문자메시지를 발송한 행위는 일련의 반복적인 행위라고 단정할 수 없을 뿐만 아니라, 그 경위도 피해자의 불법적인 모욕행위에 격분하여 그러한 행위의 중단을 촉구하는 차원에서 일시적·충동적으로 다소 과격한 표현의 경고성 문구를 발송한 것이어서, ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제74조 제1항 제3호에 정한 ‘공포심이나 불안감을 유발하는 문언을 반복적으로 도달하게 한 행위’에 해당하지 않는다.^[11]

정보통신망의 안정성 확보 등[편집]

이용자의 정보보호[편집]

정부는 이용자의 정보보호에 필요한 기준을 정하여 이용자에게 권고하고, 침해사고의 예방 및 확산 방지를 위하여 취약점 점검, 기술 지원 등 필요한 조치를 할 수 있다.^{[문헌 64]} 주요정보통신서비스 제공자는 정보통신망에 중대한 침해사고가 발생하여 자신의 서비스를 이용하는 이용자의 정보시스템 또는 정보통신망 등에 심각한 장애가 발생할 가능성이 있으면 이용약관으로 정하는 바에 따라 그 이용자에게 보호조치를 취하도록 요청하고, 이를 이행하지 아니하는 경우에는 해당 정보통신망으로의 접속을 일시적으로 제한할 수 있다.^{[문헌 65]} 「소프트웨어산업 진흥법」 제2조에 따른 소프트웨어사업자는 보안에 관한 취약점을 보완하는 프로그램을 제작하였을 때에는 보호진흥원에 알려야 하고, 그 소프트웨어 사용자에게는 제작한 날부터 1개월 이내에 2회 이상 알려야 한다.^{[문헌 66]}

정보통신망 침해행위 등의 금지[편집]

누구든지 정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하여서는 아니 된다.^{[문헌 67]} 본조 본항은 정보통신망에 대한 보호조치를 침해하거나 훼손할 것을 구성요건으로 하지 않고 ‘정당한 접근권한 없이 또는 허용된 접근권한을 초과하여 정보통신망에 침입’하는 행위를 금지하고 있으므로, 그 보호조치에 대한 침해나 훼손이 수반되지 않더라도 부정한 방법으로 타인의 식별부호(아이디와 비밀번호)를 이용하거나 보호조치에 따른 제한을 면할 수 있게 하는 부정한 명령을 입력하는 등의 방법으로 침입하는 행위도 금지하고 있다고 보아야 한다.

이용자가 자신의 아이디와 비밀번호를 알려주며 사용을 승낙하여 제3자로 하여금 정보통신망을 사용하도록 한 경우라고 하더라도, 그 제3자의 사용이 이용자의 사자(使者) 내지 사실행위를 대행하는 자에 불과할 뿐 이용자의 의도에 따라 이용자의 이익을 위하여 사용되는 경우와 같이 사회통념상 이용자가 직접 사용하는 것에 불과하거나, 서비스제공자가 이용자에게 제3자로 하여금 사용할 수 있도록 승낙하는 권한을 부여하였다고 볼 수 있거나 또는 서비스제공자에게 제3자로 하여금 사용하도록 한 사정을 고지하였다면 서비스제공자도 동의하였으리라고 추인되는 경우 등을 제외하고는, 원칙적으로 그 제3자에게는 정당한 접근권한이 없다고 봄이 상당하다.

피고인이 업무상 알게 된 직속상관의 아이디와 비밀번호를 이용하여 직속상관이 모르는 사이에 군 내부전산망 등에 접속하여 직속상관의 명의로 군사령관에게 이메일을 보낸 것은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제1항에 규정한 정당한 접근권한 없이 정보통신망에 침입하는 행위에 해당한다.^[12] 정보통신망이용촉진및정보보호등에관한법률 제48조 제1항은 같은조 제2항과 제3항의 구성요건과는 경합범의 관계에 있다고 볼 수 있으며, 같은법 제72조 제2항에서 미수범 처벌규정 등을 신설한 취지는 해킹범죄의 유형이 갈수록 다양해짐에 따라 그 침해사고 대응체계를 강화하기 위한 것으로서 타인의 아이디와 비밀번호를 추출하는 기법 즉, 무차별 대입법, 아이피 스누핑 (IP Snooping), 패킷 스니핑 (Packet Sniffing), 패스워드 크래킹 (Password Cracking) 등을 사용하여 정보통신망에 부정하게 침입하기 위하여 타인의 아이디와 비밀번호를 추출하기 위한 행위를 처벌하고자 하는 취지로 판단된다.^[3]

비밀 등의 보호[편집]

의하여 처리·보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설하여서는 아니 된다.^{[문헌 68]} 여기에서 말하는 ‘타인’에 이미 사망한 자가 포함되는지에 관하여 보건대,‘정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자의 개인정보를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성’^{[문헌 69]} 한다는 입법 취지에서 제정된 이 법은 정보통신망의 이용촉진(제2장) 및 개인정보의 보호(제4장)에 관한 규정과 별도로 정보통신망의 안정성과 정보의 신뢰성 확보를 위한 규정들을 두고 있는데^{[문헌 70]} 그 중의 하나가 제49조인 점, 이미 사망한 자의 정보나 비밀이라고 하더라도 그것이 정보통신망에 의하여 처리·보관 또는 전송되는 중 다른 사람에 의하여 함부로 훼손되거나 침해·도용·누설되는 경우에는 정보통신망의 안정성 및 정보의 신뢰성을 해칠 우려가 있는 점, 제2조 제1항 제6호는 ‘개인정보’가 생존하는 개인에 관한 정보임을 명시하고 있으나 제49조에서는 이와 명백히 구분되는 ‘타인의 정보·비밀’이라는 문언을 사용하고 있는 점, 정보통신서비스 이용자의 ‘개인정보’에 관하여는 당해 이용자의 동의 없이 이를 주고받거나 직무상 알게 된 개인정보를 훼손·침해·누설하는 것을 금지하고 이에 위반하는 행위를 처벌하는 별도의 규정을 두고 있는 점^{[문헌 71]}, 형벌법규에서 ‘타인’이 반드시 생존하는 사람만을 의미하는 것은 아니며, 예컨대 문서의 진정에 대한 공공의 신용을 그 보호법익으로 하는 문서위조죄에 있어서 ‘타인의 문서’에는 이미 사망한 자의 명의로 작성된 문서도 포함되는 것으로 해석하고 있는 점^[13] 등에 비추어 보면, 법 제49조 및 제62조 제6호 소정의 ‘타인’에는 생존하는 개인뿐만 아니라 이미 사망한 자도 포함된다고 보는 것이 체계적이고도 논리적인 해석이라 할 것이다.^[14]

영리목적의 광고성 정보 전송 제한[편집]

누구든지 전자우편이나 그 밖에 대통령령으로 정하는 매체^[15]를 이용하여 수신자의 명시적인 수신거부의사에 반하는 영리목적의 광고성 정보를 전송하여서는 아니 된다.^{[문헌 72]} 수신자의 전화·모사전송기기에 영리목적의 광고성 정보를 전송하려는 자는 그 수신자의 사전 동의를 받아야 한다. 다만, 다음의 경우에는 사전 동의를 받지 아니한다.^{[문헌 73]}

1. 재화등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 그가 취급하는 재화등에 대한 영리목적의 광고성 정보를 전송하려는 경우
2. 「전자상거래 등에서의 소비자보호에 관한 법률」 제13조제1항에 따른 광고 및 「방문판매 등에 관한 법률」 제6조 제3항에 따른 전화권유

오후 9시부터 그 다음 날 오전 8시까지의 시간에 수신자의 전화·모사전송기기에 영리목적의 광고성 정보를 전송하려는 자는 제2항에도 불구하고 그 수신자로부터 별도의 사전 동의를 받아야 한다.^{[문헌 74]} 영리목적의 광고성 정보를 전자우편이나 그 밖에 대통령령으로 정하는 매체를 이용하여 전송하는 자는 대통령령으로 정하는 바에 따라 전송정보의 유형 및 주요 내용 등을 광고성 정보에 구체적으로 밝혀야 한다.^{[문헌 75]}

벌칙[편집]

2008년 대한민국 정부는, 사이버 상 모욕행위에 대해 형법 제311조의 모욕죄(사이버 모욕죄)와 별도로, 이 법에 사이버 모욕죄 조항을 신설하는 것을 본격적으로 추진하고 있다.^[16]

양벌 규정[편집]

법인의 대표자, 대리인, 사용인, 그 밖의 종업원이 그 법인의 업무에 관하여 제71조부터 제73조까지 또는 제74조제1항의 위반행위를 하면 그 행위자를 벌할 뿐만 아니라 그 법인에도 해당 조문의 벌금형을 과(科)한다.^{[문헌 76]} 택배회사와 택배위수탁계약을 체결하고 위 회사로부터 위탁받은 택배화물을 고객들에게 운송하는 일을 담당한 공소외인이 위 회사가 관리하는 개인정보를 유출한 사안에서, 위 공소외인은 구(舊) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제66조에 정한 "법인의 사용인이 법인의 업무에 관하여" 위반행위를 한 것이고, 위 회사가 위 공소외인의 위반행위를 방지하기 위하여 당해 업무에 대하여 상당한 주의와 감독을 하였다고 보기 어려워 위 회사 역시 형사책임을 면할 수 없다.^[17]

관련 법[편집]

• 정보화촉진기본법
• 전기통신기본법
• 전기통신사업법
• 인터넷멀티미디어방송사업법

각주[편집]

법률 원문(위키문헌) 링크[편집]