정보통신서비스 제공자 등의 정보유출로 인한 소비자 피해 구제
2019년 6월 13일부터 시행
다만, 금년도 말까지 계도 기간을 운영하여 과태료 부과가 유예되도록 할 예정
전기통신사업자
영리 목적으로 인터넷, 모바일 상에서 개인정보를 저장 및 관리하는 사업자 등
정보통신서비스 제공자 등이 정보유출에 따른 손해배상을 위해 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 함
보험가입 등을 하지 않을 경우 2천만원 이하의 과태료 부과
| 이용자수 | 매출액 | ||
| 800억원 초과 | 500억원 초과 800억원 이하 |
5천만원 이상 50억원 이하 |
|
| 100만명 이상 | 10억 | 5억 | 2억 |
| 10만명 이상 100만명 미만 | 5억 | 2억 | 1억 |
| 1천명 이상 10만명 미만 | 1억 | 1억 | 5천만원 |
○ 보험 또는 공제에 가입하거나 준비금을 적립해야 할 연도의 직전 사업연도의 매출액이 5천만원 이상이어야 함
○ (매출액) 법 제32조 의3제1항에 따라 보험 또는 공제에 가입하거나 준비금을 적립해야 할 연도의
직전 사업연도의 매출액을 말함
- 매출액의 범위는 정보통신서비스 부문에 한정되지 않으며, 법인(기업)의 총 매출액을 의미함
○ (직전 사업연도 매출액) 손익계산서 상 매출액을 기준으로 함
※ 다만, 직전년도 재무제표가 확정되지 않은 경우, 부가가치세과세표준증명서 상 수입금액 또는 세무조정계산서의 손익계산서 상 매출액을 기준으로 하는 것도 가능
○ 보험 또는 공제에 가입하거나 준비금을 적립해야 할 연도의 전년도 말 기준 직전 3개월 간 그 개인정보가 저장‧관리되고 있는 이용자 수가 일일 평균 1천명 이상인 경우
○ 개인정보가 저장‧관리되고 있는 이용자 수
- 이용자수’는 사업자가 개인정보를 “저장‧보관”하는 이용자수를 기준으로 산정함
- 일일 방문자수를 의미하지 않으며, 페이지뷰(PV:page view), 순방문자수(UV:unique visitor)와는 무관함
○ 일일 평균 1천명 이상
- 이용자수 일일평균 = 10월, 11월, 12월 전체 일일 이용자수의 총합 / 92(일) 로,
- 예를 들어, 10월 1일(a1) ~ 12월 31일(a92) 까지 해당 날짜 기준으로 저장되어있는 개인정보주체(자연인)수를
합하고(92개 값 합산), 92일간 평균을 구하기 위해 92로 나눈 값입니다.
즉, (a1 + a2 + a3 + … + a91 + a92) / 92(일수) 입니다.
- 이때, a1, a2 … a91, a92 모두 해당날짜의 누적값으로, 신규 가입 회원수에 한정되지 않고
누적 보유 이용자수로 산정해야 하며, 로그인 이력 여부와는 무관합니다.
- 만일, 직전 3개월간 일일 이용자수가 매일 변동이 없다고 가정한다면,
{100만명(a1) + 100만명(a2) + 100만명(a3) + … + 100만명(a91) + 100만명(a92)} / 92(일수)로,
이용자수는 100만건으로 산정될 것으로 보여집니다.
○ (온‧오프라인 사업 병행시 이용자수) 오프라인 사업(매장)과 온라인 서비스를 운영하는 경우의 ‘이용자수’ 산정은 이용자의 개인정보를 수집한 경로가 온라인‧오프라인인지 여부와는 무관하며, 사업자가 저장하고 있는 이용자수 전부가 포함
○ (탈퇴회원‧휴면회원) 다른 법령에 따라 보관하고 있는 탈퇴회원 또는 서비스 미이용자(휴면계정)의 개인정보도 정보통신망법 제32조의3의 ‘이용자수’에 포함
○ (회원‧비회원) ‘이용자수’와 ‘회원수’는 일치하는 개념은 아니며, 회원인지 비회원인지 여부와는 관계없이 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자에 해당한다면 ‘이용자수’에 포함됨
○ (임직원) 임직원의 경우, 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자에 해당한다고 볼 수 없으므로, ‘이용자수’ 산정 시 임직원 수는 제외됨
정보통신망 이용촉진 및 정보보호 등에 관한 법률
①이용자는 정보통신서비스 제공자 등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스 제공자 등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자 등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. <개정 2016. 3. 22. >
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 정보통신서비스 제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다. <신설 2016. 3. 22.>
③ 법원은 제2항의 손해배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다. <신설 2016. 3. 22.>
①이용자는 정보통신서비스 제공자 등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스 제공자 등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자 등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. <개정 2016. 3. 22.>
② 정보통신서비스 제공자 등의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 정보통신서비스 제공자 등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다. <신설 2016. 3. 22.>
③ 법원은 제2항의 손해배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다.
<신설 2016. 3. 22.>
① 이용자는 다음 각 호의 모두에 해당하는 경우에는 대통령령으로 정하는 기간 내에 정보통신서비스 제공자 등에게 제32조에 따른 손해배상을 청구하는 대신 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자 등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. <개정 2016. 3. 22.>
② 법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다
③ 제32조에 따라 손해배상을 청구한 이용자는 사실심의 변론이 종결되기 전까지 그 청구를 제1항에 따른 청구로 변경할 수 있다
① 정보통신서비스 제공자 등은 제32조 및 제32조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.
<개정 2016. 3. 22.>
② 제1항에 따른 가입 대상 사업자의 범위, 기준 등 필요한 사항은 대통령령으로 정한다
① 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영ㆍ관리하는 사업자(이하 "집적정보통신시설 사업자"라 한다)는 정보통신시설을 안정적으로 운영하기 위하여 대통령령으로 정하는 바에 따른 보호조치를 하여야 한다.
② 집적정보통신시설 사업자는 집적된 정보통신시설의 멸실, 훼손, 그 밖의 운영장애로 발생한 피해를 보상하기 위하여 대통령령으로 정하는 바에 따라 보험에 가입하여야 한다
정보통신망 이용촉진 및 정보보호 등에 관한 시행령
① 다음 각 호의 요건을 모두 갖춘 정보통신서비스 제공자 등(이하 이 조에서 "가입 대상 사업자"라 한다)은 법 제32조의3제1항에 따라 보험 또는 공제에 가입하거나 준비금을 적립해야 한다.
② 가입 대상 사업자가 보험 또는 공제에 가입하거나 준비금을 적립할 때 최저가입금액(준비금을 적립하는 경우 최소적립금액을 말한다. 이하 이 조에서 같다)의 기준은 별표 1의2와 같다. 다만, 가입 대상 사업자가 보험 또는 공제 가입과 준비금 적립을 병행하는 경우 보험 또는 공제 가입금액과 준비금 적립금액을 합산한 금액이 별표 1의2에서 정한 최저가입금액의 기준 이상이어야 한다
③ 가입 대상 사업자가 다른 법률에 따라 법 제32조 및 제32조의2에 따른 손해배상책임의 이행을 보장하는 보험 또는 공제에 가입하거나 준비금을 적립한 경우에는 이 법에 따른 보험 또는 공제에 가입하거나 준비금을 적립한 것으로 본다
① 집적정보통신시설사업자는 법 제46조 제2항에 따라 사업 개시와 동시에 책임보험에 가입하여야 한다.
② 제1항에 따라 사업자가 가입하여야 하는 책임보험의 최저보험금액은 별표 1의3과 같다.