프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2017.03.03- 신보법고시 <기술적·물리적·관리적 보안대책>위반시 처벌③

목록

신용정보법고시 <기술적·물리적·관리적보안대책>위반시 처벌
③ <신용정보회사>는 유출시 6개월 업무정지,
3년내 업무정지 2회시 허가취소
Privacy Report 2017.02
고시의 <기술적·물리적·관리적보안대책>은 편의상 <기술적 보안대책>으로 표기함
분실·도난·누출·변조 또는 훼손은 편의상 유출로 표기함
<신용정보회사 등>은 이법의 적용대상자인 <신용정보회사>, <신용정보제공ㆍ이용자>, <신용정보집중기관> 모두를 의미함
직원(외주사포함)이
<기술적 보안대책>을 위반·유출시
양벌규정을 적용하여
회사. 기관도 벌금형 5천만원
신용정보회사 등
고의 및 중대한 과실로 개인신용정보 유출시
<징벌적손해배상> 피해액의 3배,
<법정 손해배상> 인당 3백만원
개인비밀 = (업무상 알게 된 타인의) 신용정보+ 사생활정보
<기술적 보안대책> 위반
(모집업무수탁자의 위반포함) 으로 개인비밀 유출시
징벌적 과징금 50억원 or 매출액의 3%
법19조① (신용정보전산시스템안전보호)
<신용정보회사 등>은 신용정보전산시스템
(제25조제6항에 따른 신용정보공동전산망을 포함)
에 대한 제3자의 불법적인 접근, 입력된 정보의 변
경ㆍ훼손 및 파괴, 그 밖의 위험에 대하여
대통령령으로 정하는 바에 따라 <기술적 보안대책>
을 수립ㆍ시행해야 한다
법 50조(형사처벌)
법 19조①을 위반하여 비권한자로써
신용정보전산시스템의 정보를 변경·삭제,
그 밖의 방법으로 이용할 수 없게 하거나
신용정보를 검색·복제하거나 그 밖의
방법으로 이용한 자
⇢형사처벌 5년 징역 5천 벌금대상
법 51조(양벌규정)
법인의 대표자나 법인 또는 개인의 대리인, 사용인,
그 밖의 종업원이 그 법인 또는 개인의 업무에
관하여 제50조의 위반행위를 하면 그 행위자를
벌하는 외에 그 법인 또는 개인에게도 해당
조문의 벌금형을 과(科)한다. 다만, 법인 또는
개인이 그 위반행위를 방지하기 위하여 해당
업무에 관하여 상당한 주의와 감독을
<기술적 보안대책> 위반 적발시 과태료 4천만원 게을리하지 아니한 경우에는 그러하지 아니하다.
고의·과실이
없었음을 입증
or
개인
신용
정보
유출
사고
발생
<피해액의 3배내>
에서 배상액 산정
법원
<300만원 내>
에서 배상액 산정
신용정보주체
피해입증이
어려울 경우
<법정손해배상>
청구
피해입증이 가능시
<징벌적손해배상>
청구
<기술적 보안대책>는
가장 구체적, 실제적
법규정으로 위반시
고의·중대한 과실
로 판단됨





위반시 내부직원의 위반으로 보는 <모집업무수탁자>
1. 신용카드회원모집인 2.가맹점모집인 3.보험설계사
4. 보험대리점 5. 투자권유대행인 6. 대출모집인
<수탁자><위임직채권추심인>이 유출시에도 연대하여 손해배상책임을짐
법 17조 ② 수탁자에게 <개인신용정보> 제공시 <개인식별번호> 암호화
<기술적 보안대책> 3의 ⑥ 규정
과태료
2천4백
<기술적 보안대책>
위반으로 유출시
6개월 업무정지
3년내 업무정지2회의
경우 인허가취소
법 19조 ② <신용정보제공ㆍ이용자>가 다른 <신용정보제공ㆍ이용자> 또는 <신용조회회사>와
서로 이 법에 따라 <신용정보>를 제공시 <기술적 보안대책>을 포함한 계약을 체결
법 19조 ① 신용정보전산시스템에 대한 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 및
파괴, 그 밖의 위험에 대하여 <기술적ㆍ물리적ㆍ관리적 보안대책>을 수립ㆍ시행 위반시
과태료
4천
신용정보회사 (신용조사, 신용조회,채권추심업)에 추가적으로 적용되는 규정
14조①
허가 인가 취소
5. 업무정지명령을 위반 or 업무정지해당 행위를 한 자가
그 사유발생일 전 3년 이내에 업무정지처분을 받은 사실이 있는 경우
처벌 처벌대상 위반규정
14조

신용
정보
회사에
적용되

6개월

업무
정지
해당
행위
3.
수집·
조사가
금지된
정보를
수집/조사
한 경우
16조 ① ②
(수집조사
처리 제한)
① 은 다음 각 호의 정보를 수집ㆍ조사하여서는 아니 된다.
1. 국가의 안보 및 기밀에 관한 정보
2. 기업의 영업비밀 또는 독창적인 연구개발 정보
3. 개인의 정치적 사상, 종교적 신념, 그 밖에 신용정보와 관계없는 사생활에 관한 정보
4. 확실하지 아니한 개인신용정보
5. 다른 법률에 따라 수집이 금지된 정보
법 16조 ②와 영 13조에 따라서 <개인의 질병정보>는 보험회사, 체신관서, 공제조합, 공제회, 동일
직장ㆍ직종 대상 공제사업이 보험계약ㆍ공제계약 및 보험금ㆍ공제금 지급업무로만 수집ㆍ조사 or
타인에게 제공할 수 있으며 미리 동의받아야 함
④ 신용정보회사 등은 ②에 따라 신용정보의 처리를 위탁하기 위하여 수탁자에게 개인신용정보를 제공하는
경우 특정 신용정보주체를 식별할 수 있는 정보는 대통령령으로 정하는 바에 따라 암호화 등의 보호 조치를 하여
야 한다.
4.
위반행위로
신용정보를
분실·도난
·유출·
변조 또는
훼손 당한
경우
제17조 ④
(수집조사
및 처리 위탁)
제19조 ①②
(신용정보
전산시스템의
안전보호)
① 신용정보회사등은 신용정보전산시스템 (제25조제6항에 따른 신용정보공동전산망을 포함한다.
이하 같다)에 대한 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 및 파괴, 그 밖의 위험에 대하여
대통령령으로 정하는 바에 따라 <기술적ㆍ물리적ㆍ관리적 보안대책>을 수립ㆍ시행하여야 한다.
② 신용정보제공ㆍ이용자가 다른 신용정보제공ㆍ이용자 또는 신용조회회사와 서로 이 법에 따라
신용정보를 제공하는 경우에는 금융위원회가 정하여 고시하는 바에 따라 <신용정보 보안관리 대책>을
포함한 계약을 체결하여야 한다.
신용조회회사는 제32조 ② (개별적 동의) 에도 불구하고 제9조제1항에 따른 지배주주 및
「독점규제 및 공정거래에 관한 법률」 제2조제3호에 따른 계열회사에 개인신용정보를 제공할 수 없다.
[예외]
1. 신용조회회사가 제4조제1항제1호에 따른 업무수행을 위하여 제공하는 경우
(1. 신용조회업: 신용조회업무 및 다음 각 목의 업무 가. 본인인증 및 신용정보주체의 식별확인업무로서
금융위 원회가 승인한 업무 나. 신용평가모형 및 위험관리모형의 개발 및 판매 업무)
2. 제32조제6항제4호에 따라 제공하는 경우
4. 채권추심(추심채권을 추심하는 경우만 해당한다), 인가ㆍ허가의 목적, 기업의 신용도 판단,
유가증권의 양수 등 대통령령으로 정하는 목적으로 사용하는 자에게 제공하는 경우
6.
업무와
무관하게
계열회사
등에
개인신용
정보를
제공
제22조의3
(계열회사
등에 대한
개인신용정보
제공금지
8. 업무상
알게된
개인비밀을
타인에게
누설
제42조
① ③ ④
(업무 목적
외 누설금지
등)
① 신용정보회사등과 제17조 ② 에 따라 신용정보의 처리를 위탁받은 자의 임직원이거나 임직원이었던
자 (이하 “신용정보업관련자”라 한다)는 업무상 알게 된 타인의 신용정보 및 사생활 등 개인적 비밀
(이하 “개인비밀”이라 한다)을 업무 목적 외에 누설하거나 이용하여서는 아니 된다.
③ 제1항을 위반하여 누설된 개인비밀을 취득한 자(그로부터 누설된 개인비밀을 다시 취득한 자를 포함
한다)는 그 개인비밀이 제1항을 위반하여 누설된 것임을 알게 된 경우 그 개인비밀을 타인에게 제공하거나
이용하여서는 아니 된다.
④ 신용정보회사등과 신용정보업관련자로부터 개인신용정보를 제공받은 자는 그 개인신용정보를 타인에게
제공하여서는 아니 된다. 다만, 이 법 또는 다른 법률에 따라 제공이 허용되는 경우에는 그러하지 아니하다.