메뉴 건너뛰기

영업지원본부

영업지원총괄 공지

사이트 운영자의 의무

내 개인정보를 제대로 보호하려면 내 개인정보를 수집하는 사이트 운영자가 내 개인정보를 어떻게 사용하는지, 어떤 곳에 사용해서는 안 되는지 알아두는 것도 필요해요. 그럼, 사이트 운영자가 어떤 의무를 부담하는지 알아볼까요?

개인정보의 수집제한 의무

 사이트 운영자는 목적에 필요한 최소한의 개인정보를 수집해야 하며, 이용자에게 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 점을 구체적으로 알려야 합니다(「개인정보 보호법」 제16조).
 그리고 개인의 권리·이익이나 사생활을 뚜렷하게 침해할 우려가 있는 ‘민감정보’, 개인을 고유하게 구별하기 위한 ‘고유식별정보’ 등을 수집해서는 안 됩니다(「개인정보 보호법」 제23조제1항·제24조제1항 및 규제「개인정보 보호법 시행령」 제18조·제19조).
 
 사상, 신념
 노동조합 또는 정당의 가입·탈퇴
 정치적 견해
 건강, 성생활 등에 관한 정보
 유전자검사 등의 결과로 얻어진 유전정보
 범죄경력자료에 해당하는 정보
 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보
 인종이나 민족에 관한 정보
※ “고유식별정보”란 개인을 고유하게 구별하기 위해 부여된 식별정보로, 주민등록번호, 여권번호, 운전면허의 면허번호, 외국인등록번호를 말합니다(규제「개인정보 보호법」 제24조제1항 및 규제「개인정보 보호법 시행령」 제19조).
 
 다만, 가입자의 동의를 받거나 다른 법률에 따라 특별히 수집 대상 개인정보로 허용된 경우에는 필요한 범위에서 최소한으로 개인정보를 수집할 수 있습니다(「개인정보 보호법」 제23조제1항제1호·제2호 및 제24조제1항제1호·제2호).
 이런 경우에도 사이트 운영자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 않도록 안전성 확보에 필요한 조치를 취해야 합니다(「개인정보 보호법」 제23조제2항 및 제24조제3항 및 규제「개인정보 보호법 시행령」 제30조제1항 및 제48조의2).
 위반할 경우
 가입자의 동의를 받지 않고 민감정보를 수집한 사람은 위반행위와 관련된 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과받을 수 있습니다(「개인정보 보호법」 제39조의15제1항제3호).
 또한, 가입자의 동의를 받지 않았거나 다른 법령에서 요구하거나 허용하지 않음에도 불구하고 가입자의 민감정보나 고유식별정보를 수집한 사람은 5년 이하의 징역 또는 5천만원 이하의 벌금형에 처해집니다(「개인정보 보호법」 제71조제3호 및 제4호).
 개인정보를 적법하게 수집하는 경우라도 안전성 확보에 필요한 조치를 취하지 않아 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 3천만원 이하의 과태료가 부과되거나 2년 이하의 징역 또는 2천만원 이하의 벌금형에 처해집니다(「개인정보 보호법」제73조제1호 및 제75조제2항제6호).
14세 미만 아동의 개인정보 보호
 사이트 운영자는 만 14세 미만의 아동으로부터 개인정보 수집·이용·제공 등의 동의를 받으려면 법정대리인의 동의를 받아야 하고, 다음의 어느 하나에 해당하는 방법으로 법정대리인이 동의하였는지를 확인해야 합니다(「개인정보 보호법」 제39조의3제4항 및 「개인정보 보호법 시행령」 제48조의3제1항).
 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 정보통신서비스 제공자등이 그 동의 표시를 확인했음을 법정대리인의 휴대전화 문자메시지로 알리는 방법
 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 신용카드·직불카드 등의 카드정보를 제공받는 방법
 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 휴대전화 본인인증 등을 통해 본인 여부를 확인하는 방법
 동의 내용이 적힌 서면을 법정대리인에게 직접 발급하거나, 우편 또는 팩스를 통하여 전달하고 법정대리인이 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법
 동의 내용이 적힌 전자우편을 발송하여 법정대리인으로부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법
 전화를 통하여 동의 내용을 법정대리인에게 알리고 동의를 얻거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 얻는 방법
 그 밖에 위의 규정에 따른 방법에 준하는 방법으로 법정대리인에게 동의 내용을 알리고 동의의 의사표시를 확인하는 방법
 사이트 운영자는 개인정보 수집 매체의 특성상 동의 내용을 전부 표시하기 어려운 경우 법정대리인에게 동의 내용을 확인할 수 있는 방법(인터넷주소·사업장 전화번호 등)을 안내할 수 있습니다(「개인정보 보호법 시행령」 제48조의3제2항).
 사이트 운영자는 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 하는 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용해야 합니다(「개인정보 보호법」 제39조의3제5항).
 만 14세 미만의 아동은 개인정보 처리에 따른 위험성과 그로인해 초래될 수 있는 결과 및 이용자의 권리 등을 명확하게 인지하지 못할 수 있으므로 개인정보 보호위원회에서 이들을 보호하기 위한 방안을 마련하도록 하고 있습니다(「개인정보 보호법」 제39조의3제6항).
 
※ “개인정보 보호위원회”는 개인정보 보호를 강화해야 할 필요성이 커짐에 따라 분산되어 있던 개인정보보호 감독기능을 통합하여 개인정보와 관련된 일을 종합적으로 수행하기 위해 2020년 8월 5일 국무총리 소속 중앙행정기관으로 출범한 기관입니다(개인정보보호위원회 홈페이지 참조).
 
 위반할 경우
 법정대리인의 동의를 받지 않거나, 법정대리인이 동의했는지 확인하지 않고 만 14세 미만인 아동의 개인정보를 수집한 경우 5년 이하의 징역 또는 5천만원 이하의 벌금형에 처해집니다(「개인정보 보호법」 제71조제4호의6).
 
※ 14세 미만 아동의 개인정보를 수집하려면 부모님의 허락이 있어야 해요~~
(질문) 부모님 허락을 받지 않고 온라인 게임 사이트에 가입해서 게임을 했는데, 한달 후 요금이 아주 많이 나왔습니다. 어떻게 해야 하나요?
(답변) 14세 미만의 아동이 자신의 이름, 주민등록번호, 주소 같은 개인정보를 입력하고 인터넷 웹사이트에 회원으로 가입하려면 부모님(법정대리인)의 동의가 필요합니다. 따라서 온라인 게임과 같은 사이트에 회원으로 가입하려면 반드시 부모님(법정대리인)의 허락을 받아야 합니다.
 만약 부모님의 동의 없이 온라인 게임에 가입해서 요금이 많이 나온 경우라면 일단 부모님께 이 사실을 알리고 게임사이트에 연락해서 요금을 낼 수 없다고 할 수 있습니다.
부모님의 동의없이 미성년자가 체결한 계약은 취소할 수 있고[「소비자분쟁해결기준」(공정거래위원회 고시 제2021-7호, 2021. 5. 25. 발령·시행) 별표 2. 44. 인터넷콘텐츠업], 「민법」상 “취소”는 계약이 처음부터 없었던 것으로 보기 때문입니다(「민법」 제141조 본문).
 그러나 부모님 모르게 부모님의 주민등록번호 등을 이용해 회원 가입을 했거나 부모님께서 자녀가 온라인 게임 사이트에 회원 가입을 했다는 사실을 알고 계신 경우 등에는 요금을 돌려받을 수 없으므로 유의해야 합니다.
 
가입자의 개인정보를 보호하기 위한 조치 의무
 사이트 운영자는 개인정보의 보호를 위해 이용자의 개인정보를 처리하는 자를 최소한으로 제한해야 하며, 개인정보를 안전하게 보호하기 위해 필요한 기술적·관리적 조치 등을 취해야 합니다(규제「개인정보 보호법」 제29조, 제39조의5, 제58조제4항 및 규제「개인정보 보호법 시행령」 제30조).
 개인정보가 분실·도난·유출된 사실을 안 때에는 지체 없이 다음의 사항을 해당 이용자에게 알리고 개인정보 보호위원회나 한국인터넷진흥원에 신고해야 하며, 정당한 사유 없이 24시간을 경과하여 통지·신고해서는 안 됩니다(「개인정보 보호법」 제39조의4제1항 및 규제「개인정보 보호법 시행령」 제40조 및 제48조의4).
 유출 등이 된 개인정보 항목
 유출 등이 발생한 시점
 이용자가 취할 수 있는 조치
 정보통신서비스 제공자등의 대응 조치
 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
 사이트 운영자는 이용자의 개인정보가 사이트를 통해 공중에 노출되지 않도록 해야 합니다. 이에 불구하고 개인정보가 노출된 경우에는 개인정보 보호위원회나 한국인터넷진흥원의 요청에 따라 해당 정보를 삭제·차단하는 등 필요한 조치를 취해야 합니다(「개인정보 보호법」 제39조의10제1항·제2항 및 「개인정보 보호법 시행령」 제48조의8).
 위반할 경우
 개인정보 보호를 위한 안전성 확보에 필요한 조치를 취하지 않아서 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 자는 관련 매출액의 100분의 3 이하에 해당하는 금액의 과징금이나 3천만원 이하의 과태료를 부과받거나 2년 이하의 징역 또는 2천만원 이하의 벌금에 처해집니다(「개인정보 보호법」 제39조의15제1항제5호, 제73조제1호 및 제75조제2항제6호).
 개인정보가 유출 등이 된 사실을 이용자와 개인정보 보호위원회 또는 한국인터넷진흥원에 통지·신고하지 않거나 정당한 사유 없이 24시간을 경과하여 통지·신고한 경우 3천만원 이하의 과태료를 부과받을 수 있습니다(「개인정보 보호법」 제75조제2항제12호의3).
개인정보의 누설금지 의무
 
누설 금지되는 개인정보의 예시
 
 사이트 가입자의 개인정보를 처리하고 있거나 처리했던 사람이 사이트를 운영하면서 알게 된 가입자의 개인정보를 누설해서는 안 됩니다(「개인정보 보호법」 제59조제2호).
 위반할 경우
 가입자의 개인정보를 누설한 사람은 이를 통해 얻은 매출액의 100분의 3에 해당하는 금액을 과징금으로 부과받거나 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해집니다(「개인정보 보호법」 제39조의15제1항제1호 및 제71조제2호·제5호).
개인정보의 파기 의무
 사이트 운영자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때는 지체 없이 그 개인정보를 파기해야 합니다(「개인정보 보호법」 제21조제1항 본문 및 「개인정보 보호법 시행령」 제16조제1항).
 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제
※ 다만, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우에는 「개인정보 보호법」 제58조의2에 해당하는 정보(시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보를 말함)로 처리하여 복원이 불가능하도록 조치해야 함
 위 규정된 것 이외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각
 사이트 운영자는 사이트를 1년 동안 이용하지 않은 가입자의 개인정보를 즉시 파기하거나 다른 가입자의 개인정보와 분리해 별도로 저장·관리해야 합니다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따릅니다(「개인정보 보호법」 제39조의6제1항 및 「개인정보 보호법 시행령」 제48조의5제1항 본문).
 사이트 운영자는 이용자의 개인정보 보유기간의 만료 30일 전까지 다음의 사항을 전자우편·서면·모사전송·전화 또는 이와 유사한 방법으로 가입자에게 알려야 합니다(「개인정보 보호법」 제39조의6제2항 및 「개인정보 보호법 시행령」 제48조의5제3항·제4항).
 개인정보를 파기하는 경우: 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목
 다른 이용자의 개인정보와 분리하여 개인정보를 저장·관리하는 경우: 개인정보가 분리되어 저장·관리되는 사실, 기간 만료일 및 분리·저장되어 관리되는 개인정보의 항목
 다만, 다른 법령에서 사용하지 않은 기간이 1년을 경과한 경우에도(다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그 기간) 이용자의 개인정보를 보존해야 한다고 규정하고 있다면 그 법령에서 정한 기간이 경과할 때까지 다른 이용자의 개인정보와 분리하여 별도로 저장·관리해야 합니다(「개인정보 보호법 시행령」 제48조의5제1항 단서).
 위반할 경우
 개인정보의 수집·이용 목적을 달성했거나 이용 기간 등이 끝난 후에도 개인정보를 복구·재생할 수 없도록 파기하지 않은 사이트 운영자는 3천만원 이하의 과태료를 부과받거나 2년 이하의 징역 또는 2천만원 이하의 벌금형에 처해질 수 있습니다(「개인정보 보호법」 제73조제1호의2 및 제75조제2항제4호).

 

 개인정보통신서비스를 1년 동안 이용하지 않은 가입자의 개인정보를 파기하지 않거나 별도로 저장·관리하지 않은 사이트 운영자는 3천만원 이하의 과태료를 부과받게 됩니다(「개인정보 보호법」 제75조제2항제4호).
위로