정보통신망 이용촉진 및 정보보호 등에 관한 법률 (정보통신망법)

■ 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (정보통신망법)

 [시행 2017.7.26.] [법률 제14839호, 2017.7.26., 타 법 개정]

 

제1장 총칙

 제1조 (목적)

   - 이 법은 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자의 개인정보를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민생활의 향상과 공공복리의 증진에 이바지함을 목적으로 한다

 

 제2조 (정의)

  ① 이 법에서 사용하는 용어의 뜻은 다음과 같다.

    1. "정보통신망"이란 「전기통신사업법」 제2조 제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제를 말한다

    2. "정보통신서비스"란 「전기통신사업법」 제2조 제6호에 따른 전기통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것을 말한다.

 

    6. "개인정보"란 생존하는 개인에 관한 정보로서 성명ㆍ주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호ㆍ문자ㆍ음성ㆍ음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다

    7. "침해사고" 란 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태를 말한다

 

   12. "통신과금서비스이용자"란 통신과금서비스제공자로부터 통신과금서비스를 이용하여 재화등을 구입ㆍ이용하는 자를 말한다

 

 제3조 (정보통신서비스 제공자 및 이용자의 책무)

  ① 정보통신서비스 제공자는 이용자의 개인정보를 보호하고 건전하고 안전한 정보통신서비스를 제공하여 이용자의 권익보호와 정보이용능력의 향상에 이바지하여야 한다

  ② 이용자는 건전한 정보사회가 정착되도록 노력하여야 한다

  ③ 정부는 정보통신서비스 제공자단체 또는 이용자단체의 개인정보보호 및 정보통신망에서의 청소년 보호 등을 위한 활동을 지원할 수 있다

 

 제4조 (정보통신망 이용촉진 및 정보보호등에 관한 시책의 마련)

  ① 과학기술정보통신부장관 또는 방송통신위원회는 정보통신망의 이용촉진 및 안정적 관리ㆍ운영과 이용자의 개인정보보호 등(이하 "정보통신망 이용촉진 및 정보보호등"이라 한다)을 통하여 정보사회의 기반을 조성하기 위한 시책을 마련하여야 한다. <개정 2011.3.29., 2013.3.23., 2017.7.26.>

  ② 제1항에 따른 시책에는 다음 각 호의 사항이 포함되어야 한다

    1. 정보통신망에 관련된 기술의 개발ㆍ보급

    2. 정보통신망의 표준화

    3. 정보내용물 및 제11조에 따른 정보통신망 응용서비스의 개발 등 정보통신망의 이용 활성화

    4. 정보통신망을 이용한 정보의 공동활용 촉진

    5. 인터넷 이용의 활성화

    6. 정보통신망을 통하여 수집ㆍ처리ㆍ보관ㆍ이용되는 개인정보의 보호 및 그와 관련된 기술의 개발, 보급

    7. 정보통신망에서의 청소년 보호

    8. 정보통신망의 안전성 및 신뢰성 제고

    9. 그 밖에 정보통신망 이용촉진 및 정보보호등을 위하여 필요한 사항

 

 

 

제2장 정보통신망의 이용촉진

 제6조 (기술개발의 추진 등)

  ① 과학기술정보통신부장관은 정보통신망과 관련된 기술 및 기기의 개발을 효율적으로 추진하기 위하여 대통령령으로 정하는 바에 따라 관련 연구기관으로 하여금 연구개발ㆍ기술협력ㆍ기술이전 또는 기술지도 등의 사업을 하게 할 수 있다.

 

 제11조 (정보통신망 응용서비스의 개발 촉진 등)

  ② 정부는 민간부문에 의한 정보통신망 응용서비스의 개발을 촉진하기 위하여 재정 및 기술 등 필요한 지원을 할 수 있으며, 정보통신망 응용서비스의 개발에 필요한 기술인력을 양성하기 위하여 다음 각 호의 시책을 마련하여야 한다

    3. 정보통신망 기술인력 양성사업에 대한 지원

 

제4장 개인정보의 보호

 제1절 개인정보의 수집ㆍ이용 및 제공 등

 제22조 (개인정보의 수집ㆍ이용 동의 등)

  ① 정보통신서비스 제공자는 이용자의 개인정보를 이용하고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다

    1. 개인정보의 수집ㆍ이용 목적

    2. 수집하는 개인정보의 항목

    3. 개인정보의 보유ㆍ이용 기간

 

 

 제23조 (개인정보의 수집 제한 등)

  ① 정보통신서비스 제공자는 사상, 신념, 가족 및 친인척관계, 학력ㆍ병력, 기타 사회활동 경력 등 개인의 권리ㆍ이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개인정보를 수집하여서는 아니 된다. 다만, 제22조 제1항에 따른 이용자의 동의를 받거나 다른 법률에 따라 특별히 수집 대상 개인정보로 허용된 경우에는 필요한 범위에서 최소한으로 그 개인정보를 수집할 수 있다. <개정 2014.5.28.>

 

 제23조의 2 (주민등록번호의 사용 제한)

  ① 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 이용자의 주민등록번호를 수집ㆍ이용할 수 없다

    1. 제23조의 3에 따라 본인확인기관으로 지정받은 경우

    2. 법령에서 이용자의 주민등록번호 수집ㆍ이용을 허용하는 경우

    3. 영업상 목적을 위하여 이용자의 주민등록번호 수집ㆍ이용이 불가피한 정보통신서비스 제공자로서 방송통신위원회가 고시하는 경우

 

 제24조의 2 (개인정보의 제공 동의 등)

  ① 정보통신서비스 제공자는 이용자의 개인정보를 제3자에게 제공하려면 제22조 제2항 제2호 및 제3호에 해당하는 경우 외에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다

    1. 개인정보를 제공받는 자

    2. 개인정보를 제공받는 자의 개인정보 이용 목적

    3. 제공하는 개인정보의 항목

    4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간

 

 제25조 (개인정보의 처리위탁)

  ① 정보통신서비스 제공자와 그로부터 제24조의 2 제1항에 따라 이용자의 개인정보를 제공받은 자(이하 "정보통신서비스 제공자등"이라 한다)는 제3자에게 이용자의 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위(이하 "처리"라 한다)를 할 수 있도록 업무를 위탁(이하 "개인정보 처리위탁"이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이욪아에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.

    1. 개인정보 처리위탁을 받는 자(이하 "수탁자"라 한다)

    2. 개인정보 처리위탁을 하는 업무의 내용

 

 

제2절 개인정보의 관리 및 파기 등 <신설 2007.1.26>

 제27조의 2 (개인정보 처리방침의 공개)

  ① 정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 경우에는 개인정보 처리방침을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다

  ② 제1항에 따른 개인정보 처리방침에는 다음 각 호의 사항이 모두 포함되어야 한다.

      1. 개인정보의 수집ㆍ이용 목적, 수집하는 개인정보의 항목 및 수집방법

      2. 개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명(법인인 경우에는 법인의 명칭을 말한다), 제공받는 자의 이용 목적과 제공하는 개인정보의 항목

      3. 개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 파기방법(제29조 제1항 각 호 외의 부분 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)

      4. 개인정보 처리위탁을 하는 업무의 내용 및 수탁자(해당되는 경우에만 처리방침에 포함한다)

      5. 이용자 및 법정대리인의 권리와 그 행사방법

      6. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항

      7. 개인정보 보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리한느 부서의 명칭과 그 전화번호 등 연락처

 

 제28조 (개인정보의 보호조치)

  ① 정보통신서비스 제공자들이 개인정보를 처리할 때에는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적ㆍ관리적 조치를 하여야 한다. <개정 2016.3.22.>

      1. 개인정보를 안전하게 처리하기 위한 내부관리계획의 수립ㆍ시행

      2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근통제장치의 설치ㆍ운영

      3. 접속기록의 위조ㆍ변조 방지를 위한 조치

      4. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화기술 등을 이용한 보안조치

      5. 백신 소프트웨어의 설치ㆍ운영 등 컴퓨터바이러스에 의한 침해 방지조치

      6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

 

 제29조 (개인정보의 파기)

  ① 정보통신서비스 제공자등은 다음 각 호의 어느 하나에 해당하는 경우에는 지체 없이 해당 개인정보를 복구ㆍ재생할 수 없도록 파기하여야 한다. 다만, 다른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그러하지 아니하다. <개정 2012.2.17., 2014.5.28.>

      1. 제22조 제1항, 제23조 제1항 단서 또는 제24조의 2 제1항ㆍ제2항에 따라 동의를 받은 개인정보의 수집, 이용 목적이나 제22조 제2항 각 호에서 정한 해당 목적을 달성한 경우

      2. 제22조 제1항, 제23조 제1항 단서 또는 제24조의 2 제1항ㆍ제2항에 따라 동의를 받은 개인정보의 보유 및 이용 기간이 끝난 경우

      3. 제22조 제2항에 따라 이용자의 동의를 받지 아니하고 수집ㆍ이용한 경우에는 제27조의 제2항 제3호에 따른 개인정보의 보유 및 이용 기간이 끝난 경우

      4. 사업을 폐업하는 경우

 

 제32조 (손해배상)

  ① 이용자는 정보통신서비스 제공자들이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스 제공자등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다 <개정 2016.3.22.>

 

 

 

제5장 정보통신망에서의 이용자 보호 등 <개정 2017.1.26.>

 제41조 (청소년 보호를 위한 시책의 마련 등)

 제42조 (청소년유해매체물의 표시)

 제42조의 2 (청소년유해매체물의 광고금지)

 제42조의 3 (청소년 보호 책임자의 지정 등)

 제43조 (영상 또는 음향정보 제공사업자의 보관의무)

 제44조 (정보통신망에서의 권리보호)

 제44조의 2 (정보의 삭제요청 등)

 제44조의 3 (임의의 임시조치)

 제44조의 4 (자율규제)

 제44조의 5 (게시판 이용자의 본인 확인)

 제44조의 6 (이용자 정보의 제공청구)

 

 제44조의 7 (불법정보의 유통금지 등)

  ① 누구든지 정보통신망을 통하여 다음 각 호의 어느 하나에 해당하는 정보를 유통하여서는 아니 된다. <개정 2011.9.15., 2016.3.22.>

      1. 음란한 부호ㆍ문언ㆍ음향ㆍ화상 또는 영상을 배포ㆍ판매ㆍ임대하거나 공공연하게 전시하는 내용의 정보

      2. 사람을 비방할 목적으로 공공연하게 사실이나 거짓의 사실을 드러내어 타인의 명예를 훼손하는 내용의 정보

      3. 공포심이나 불안감을 유발하는 부호ㆍ문언ㆍ음향ㆍ화상 또는 영상을 반복적으로 상대방에게 도달하도록 하는 내용의 정보

 

      6. 법령에 따라 금지되는 사행행위에 해당하는 내용의 정보

 

제6장 정보통신망의 안정성 확보 등

 제45조의 3 (정보보호 최고책임자의 지정)

  ① 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 임원급의 정보보호 최고책임자를 지정할 수 있다. 다만, 종업원 수, 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 지정하고 과학기술정보통신부장관에게 신고하여야 한다.

 

  ③ 정보보호 최고책임자는 다음 각 호의 업무를 총괄한다. <개정 2014.5.28.>

      1. 정보보호관리체계의 수립 및 관리ㆍ운영

      2. 정보보호 취약점 분석ㆍ평가 및 개선

      3. 침해사고의 예방 및 대응

      4. 사전 정보보호 대책 마련 및 보안조치 설계ㆍ구현 등

      5. 정보보호 사전 보안성 검토

      6. 중요 정보의 암호화 및 보안 서버 적합성 검토

      7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

 

 

 제47조 (쩡보보호관리체계의 인증)

  ① 과학기술정보통신부장관은 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계(이하 "정보보호관리체계"라 한다)를 수집ㆍ운영하고 있는 자에 대하여 제4항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다. <개정 2012.2.17., 2013.3.23., 2015.12.1., 2017.7.26.>

  ② 「전기통신사업법」 제2조 제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.

      1. 「전기통신사업법」 제6조 제1항에 따른 허가를 받은 자로서 대통령령으로 정하는 바에 따라 정보통신망 서비스를 제공하는 자

      2. 집적정보통신시설 사업자

      3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만 명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자

 

  ⑤ 제1항에 따른 정보보호관리체계 인증의 유효기간은 3년으로 한다. 다만, 제47조의 5 제1항에 따라 정보보호 관리등급을 받은 경우 그 유효기간 동안 제1항의 인증을 받은 것으로 본다

 

  ⑧ 한국인터넷진흥원, 정보보호관리체계 인증기관 및 정보보호관리체계 심사기관은 정보보호관리체계의 실효성 제고를 위하여 연 1회 이상 사후관리를 실시하고 그 결과를 과학기술정보통신부장관에게 통보하여야 한다

 

 제47조의 3 (개인정보보호관리체계의 인증)

  ① 방송통신위원회는 정보통신망에서 개인정보 보호활동을 체계적이고 지속적으로 수행하기 위하여 필요한 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계(이하 "개인정보보호관리체계"라 한다)를 수립ㆍ운영하고 있는 자에 대하여 제2항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다

 

 제52조 (한국인터넷진흥원)

  ① 정부는 정보통신망의 고도화(정보통신망의 구축ㆍ개선 및 관리에 관한 사항을 제외한다)와 안전한 이용촉진 및 방송통신과 관련한 국제협력ㆍ국외진출 지원을 효율적으로 추진하기 위하여 한국인터넷진흥원(이하 "인터넷진흥원"이라 한다)을 설립한다

 

제8장 국제협력 <신설 2007.12.21.>

 

 제63조 (국외 이전 개인정보의 보호)

  ② 정보통신서비스 제공자등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)ㆍ처리위탁ㆍ보관(이하 이 조에서 "이전"이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 제3항 각 호의 사항 모두를 제27조의 2 제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁ㆍ보관에 따른 동의절차를 거치지 아니할 수 있다

  ③ 정보통신서비스 제공자등은 제2항에 따른 동의를 받으려면 미리 다음 각 호의 사항 모두를 이용자에게 고지하여야 한다

      1. 이전되는 개인정보 항목

      2. 개인정보가 이전되는 국가, 이전일시 및 이전방법

      3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다)

      4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간

 

제10장 벌칙 <신설 2007.12.21.>

 

 제70조 (벌칙)

  ① 사람을 비방할 목적으로 정보통신망을 통하여 공공연하게 사실을 드러내어 다른 사람의 명예를 훼손한 자는 3년 이하의 징역 또는 3천만 원 이하의 벌금에 처한다

  ② 사람을 비방할 목적으로 정보통신망을 통하여 공공연하게 거짓의 사실을 드러내어 다른 사람의 명예를 훼손한 자는 7년 이하의 징역, 10년 이하의 자격정지 또는 5천만 원 이하의 벌금에 처한다

 

 제71조 (벌칙)

  ① 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다

      1. 제22조 제1항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 이용자의 동의를 받지 아니하고 개인정보를 수집한 자

 

      9. 제48조 제1항을 위반하여 정보통신망에 침입한 자

      10. 제48조 제3항을 위반하여 정보통신망에 장애가 발생하게 한 자

      11. 제49조를 위반하여 타인의 정보를 훼손하거나 타인의 비밀을 침해ㆍ도용 또는 누설한 자