프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2017.03.03- 신보법고시 <기술적·물리적·관리적 보안대책>위반시 처벌③

목록

신용정보법고시 <기술적·물리적·관리적보안대책>위반시 처벌 ③ <신용정보회사>는 유출시 6개월 업무정지, 3년내 업무정지 2회시 허가취소 Privacy Report 2017.02 고시의 <기술적·물리적·관리적보안대책>은 편의상 <기술적 보안대책>으로 표기함 분실·도난·누출·변조 또는 훼손은 편의상 유출로 표기함 <신용정보회사 등>은 이법의 적용대상자인 <신용정보회사>, <신용정보제공ㆍ이용자>, <신용정보집중기관> 모두를 의미함 직원(외주사포함)이 <기술적 보안대책>을 위반·유출시 양벌규정을 적용하여 회사. 기관도 벌금형 5천만원 신용정보회사 등 고의 및 중대한 과실로 개인신용정보 유출시 <징벌적손해배상> 피해액의 3배, <법정 손해배상> 인당 3백만원 개인비밀 = (업무상 알게 된 타인의) 신용정보+ 사생활정보 <기술적 보안대책> 위반 (모집업무수탁자의 위반포함) 으로 개인비밀 유출시 징벌적 과징금 50억원 or 매출액의 3% 법19조① (신용정보전산시스템안전보호) <신용정보회사 등>은 신용정보전산시스템 (제25조제6항에 따른 신용정보공동전산망을 포함) 에 대한 제3자의 불법적인 접근, 입력된 정보의 변 경ㆍ훼손 및 파괴, 그 밖의 위험에 대하여 대통령령으로 정하는 바에 따라 <기술적 보안대책> 을 수립ㆍ시행해야 한다 법 50조(형사처벌) 법 19조①을 위반하여 비권한자로써 신용정보전산시스템의 정보를 변경·삭제, 그 밖의 방법으로 이용할 수 없게 하거나 신용정보를 검색·복제하거나 그 밖의 방법으로 이용한 자 ⇢형사처벌 5년 징역 5천 벌금대상 법 51조(양벌규정) 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제50조의 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과(科)한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 <기술적 보안대책> 위반 적발시 과태료 4천만원 게을리하지 아니한 경우에는 그러하지 아니하다. 고의·과실이 없었음을 입증 or 개인 신용 정보 유출 사고 발생 <피해액의 3배내> 에서 배상액 산정 법원 <300만원 내> 에서 배상액 산정 신용정보주체 피해입증이 어려울 경우 <법정손해배상> 청구 피해입증이 가능시 <징벌적손해배상> 청구 <기술적 보안대책>는 가장 구체적, 실제적 법규정으로 위반시 고의·중대한 과실 로 판단됨 입 증 못 하 면 위반시 내부직원의 위반으로 보는 <모집업무수탁자> 1. 신용카드회원모집인 2.가맹점모집인 3.보험설계사 4. 보험대리점 5. 투자권유대행인 6. 대출모집인 <수탁자><위임직채권추심인>이 유출시에도 연대하여 손해배상책임을짐 법 17조 ② 수탁자에게 <개인신용정보> 제공시 <개인식별번호> 암호화 <기술적 보안대책> 3의 ⑥ 규정 과태료 2천4백 <기술적 보안대책> 위반으로 유출시 6개월 업무정지 3년내 업무정지2회의 경우 인허가취소 법 19조 ② <신용정보제공ㆍ이용자>가 다른 <신용정보제공ㆍ이용자> 또는 <신용조회회사>와 서로 이 법에 따라 <신용정보>를 제공시 <기술적 보안대책>을 포함한 계약을 체결 법 19조 ① 신용정보전산시스템에 대한 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 및 파괴, 그 밖의 위험에 대하여 <기술적ㆍ물리적ㆍ관리적 보안대책>을 수립ㆍ시행 위반시 과태료 4천 신용정보회사 (신용조사, 신용조회,채권추심업)에 추가적으로 적용되는 규정 14조① 허가 인가 취소 5. 업무정지명령을 위반 or 업무정지해당 행위를 한 자가 그 사유발생일 전 3년 이내에 업무정지처분을 받은 사실이 있는 경우 처벌 처벌대상 위반규정 14조 ② 신용 정보 회사에 적용되 는 6개월 내 업무 정지 해당 행위 3. 수집· 조사가 금지된 정보를 수집/조사 한 경우 16조 ① ② (수집조사 처리 제한) ① 은 다음 각 호의 정보를 수집ㆍ조사하여서는 아니 된다. 1. 국가의 안보 및 기밀에 관한 정보 2. 기업의 영업비밀 또는 독창적인 연구개발 정보 3. 개인의 정치적 사상, 종교적 신념, 그 밖에 신용정보와 관계없는 사생활에 관한 정보 4. 확실하지 아니한 개인신용정보 5. 다른 법률에 따라 수집이 금지된 정보 법 16조 ②와 영 13조에 따라서 <개인의 질병정보>는 보험회사, 체신관서, 공제조합, 공제회, 동일 직장ㆍ직종 대상 공제사업이 보험계약ㆍ공제계약 및 보험금ㆍ공제금 지급업무로만 수집ㆍ조사 or 타인에게 제공할 수 있으며 미리 동의받아야 함 ④ 신용정보회사 등은 ②에 따라 신용정보의 처리를 위탁하기 위하여 수탁자에게 개인신용정보를 제공하는 경우 특정 신용정보주체를 식별할 수 있는 정보는 대통령령으로 정하는 바에 따라 암호화 등의 보호 조치를 하여 야 한다. 4. 위반행위로 신용정보를 분실·도난 ·유출· 변조 또는 훼손 당한 경우 제17조 ④ (수집조사 및 처리 위탁) 제19조 ①② (신용정보 전산시스템의 안전보호) ① 신용정보회사등은 신용정보전산시스템 (제25조제6항에 따른 신용정보공동전산망을 포함한다. 이하 같다)에 대한 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 및 파괴, 그 밖의 위험에 대하여 대통령령으로 정하는 바에 따라 <기술적ㆍ물리적ㆍ관리적 보안대책>을 수립ㆍ시행하여야 한다. ② 신용정보제공ㆍ이용자가 다른 신용정보제공ㆍ이용자 또는 신용조회회사와 서로 이 법에 따라 신용정보를 제공하는 경우에는 금융위원회가 정하여 고시하는 바에 따라 <신용정보 보안관리 대책>을 포함한 계약을 체결하여야 한다. 신용조회회사는 제32조 ② (개별적 동의) 에도 불구하고 제9조제1항에 따른 지배주주 및 「독점규제 및 공정거래에 관한 법률」 제2조제3호에 따른 계열회사에 개인신용정보를 제공할 수 없다. [예외] 1. 신용조회회사가 제4조제1항제1호에 따른 업무수행을 위하여 제공하는 경우 (1. 신용조회업: 신용조회업무 및 다음 각 목의 업무 가. 본인인증 및 신용정보주체의 식별확인업무로서 금융위 원회가 승인한 업무 나. 신용평가모형 및 위험관리모형의 개발 및 판매 업무) 2. 제32조제6항제4호에 따라 제공하는 경우 4. 채권추심(추심채권을 추심하는 경우만 해당한다), 인가ㆍ허가의 목적, 기업의 신용도 판단, 유가증권의 양수 등 대통령령으로 정하는 목적으로 사용하는 자에게 제공하는 경우 6. 업무와 무관하게 계열회사 등에 개인신용 정보를 제공 제22조의3 (계열회사 등에 대한 개인신용정보 제공금지 8. 업무상 알게된 개인비밀을 타인에게 누설 제42조 ① ③ ④ (업무 목적 외 누설금지 등) ① 신용정보회사등과 제17조 ② 에 따라 신용정보의 처리를 위탁받은 자의 임직원이거나 임직원이었던 자 (이하 “신용정보업관련자”라 한다)는 업무상 알게 된 타인의 신용정보 및 사생활 등 개인적 비밀 (이하 “개인비밀”이라 한다)을 업무 목적 외에 누설하거나 이용하여서는 아니 된다. ③ 제1항을 위반하여 누설된 개인비밀을 취득한 자(그로부터 누설된 개인비밀을 다시 취득한 자를 포함 한다)는 그 개인비밀이 제1항을 위반하여 누설된 것임을 알게 된 경우 그 개인비밀을 타인에게 제공하거나 이용하여서는 아니 된다. ④ 신용정보회사등과 신용정보업관련자로부터 개인신용정보를 제공받은 자는 그 개인신용정보를 타인에게 제공하여서는 아니 된다. 다만, 이 법 또는 다른 법률에 따라 제공이 허용되는 경우에는 그러하지 아니하다.