제1조 (목적)

이 지침은 정보통신망이용촉진등에관한법률 제16조 내지 제18조의 규정과 관련하여 정보통신서비스제공자가 준수하여야 할 사항을 규정함으로써 정보통신서비스 이용자의 개인정보를 적절히 보호함을 목적으로 한다.

제2조 (정의)

이 지침에서 사용하는 용어의 정의는 다음과 같다.
1."개인정보"라 함은 생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명․주민등록번호 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보(당해 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함한다)를 말한다.
2. "정보통신서비스"라 함은 전기통신기본법 제2조제7호의 규정에 의한 전기통신역무와 동 역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것(이하 "서비스"라 한다)을 말한다.
3. "정보통신서비스제공자"라 함은 전기통신사업법 제2조제1항제1호의 규정에 의한 다음 각목에 해당하는 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자(이하 "서비스제공자"라 한다)를 말한다.
가. 기간통신사업자 : 전기통신회선설비를 설치하고 이를 이용하여 전기통신사업법시행규칙 제3조의 기간통신역무를 제공하는 사업자로서 정보통신부장관의 허가를 받은 자
나. 별정통신사업자 : 기간통신사업자의 전기통신회선설비 등을 이용하여 기간통신역무를 제공하는 사업자 또는 전기통신사업법시행규칙 제3조의2에서 정하는 구내에 전기통신설비를 설치하거나 이를 이용하여 그 구내에서 전기통신역무를 제공하는 사업자로서 정보통신부장관에게 등록한 자
다. 부가통신사업자 : 기간통신사업자로부터 전기통신회선설비를 임차하여 부가통신역무를 제공하는 사업자로서 정보통신부장관에게 신고한 자
4. "이용자"라 함은 서비스제공자가 제공하는 서비스를 이용하는 자로서 처리되는 정보에 의해 식별이 되는 당해 정보의 주체를 말한다.
5. "제3자"라 함은 이용자, 당해 이용자로부터 동의를 받아 개인정보를 수집한 서비스제공자 그리고 서비스제공자로부터 개인정보 처리를 위탁받은 자 이외의 자연인, 법인, 공공기관, 정부투자기관 및 기타의 자를 말한다.
6. "개인정보보호방침"이라 함은 서비스제공자가 자체적으로 이용자의 개인정보를 보호하기 위하여 수립한 계획 등을 말한다.

제3조 (적용범위)

이 지침은 서비스 제공을 목적으로 정보통신망에 의하여 처리되는 개인정보뿐만 아니라 서면 등 수작업에 의하여 처리되는 개인정보에 관해서도 적용된다.

제2장 개인정보의 수집에 관한 조치

제4조 (수집범위)

①서비스제공자는 적법하고 공정한 수단에 의하여 서비스 계약의 성립 및 이행에 필요한 성명, 주소, 전화번호 등 최소한의 개인정보를 수집하여야 한다.
②서비스제공자는 이용자의 기본적 인권을 현저하게 침해할 우려가 있는 다음 각호의 내용을 포함하는 개인정보를 수집하여서는 아니된다. 다만, 이용자의 동의가 있는 경우 또는 법령의 규정에 의한 경우에는 예외로 한다.
1. 인종 및 민족
2. 사상 및 신조
3. 출신지 및 본적지
4. 정치적 성향 및 범죄기록
5. 건강상태 및 성생활

제5조 (수집의 구분)

①서비스제공자가 이용자의 개인정보를 수집하는 경우에는 기본적인 서비스 제공을 위하여 필요한 필수항목과 부가적인 서비스 제공을 위하여 필요한 선택항목으로 구분하여 이용자가 기입할 수 있도록 조치하여야 한다.
②서비스제공자는 이용자가 선택항목에 당해 정보를 기입하지 않은 이유로 기본적인 서비스 제공을 거부하여서는 아니된다.

제6조 (동의)

①서비스제공자가 이용자의 개인정보를 수집하는 경우에는 당해 이용자의 동의를 받아야 한다. 다만, 다음 각호에 해당하는 경우에는 예외로 한다.
1. 정보통신망이용촉진등에관한법률 또는 다른 법률에 특별한 규정이 있는 경우
2. 서비스 이용계약의 이행을 위하여 필요한 경우
3. 서비스 제공에 따른 요금정산을 위하여 필요한 경우
②제1항에 의한 동의는 당해 이용자의 서명날인 또는 전자서명, 전자우편, 동의란에 대한 표시 등의 방법에 의한다.

제7조 (고지 또는 명시)

서비스제공자는 이용자로부터 제6조에 의한 동의를 받고자 하는 경우에는 미리 다음 각호의 사항 또는 이와 동등 이상의 내용을 서면이나 인터넷 홈페이지 등을 통하여 이용자에게 고지하거나 서비스 이용약관에 명시하여야 한다.
1.개인정보 관리책임자의 소속․성명 및 전화번호 기타 연락처
2.개인정보의 수집목적 및 이용목적
3.개인정보를 제3자에게 제공하는 경우의 제공받는 자, 제공목적 및 제공할 정보의 내용
4. 동의 철회, 열람 또는 정정 요구 등 이용자의 권리 및 그 행사방법
5. 서비스제공자가 수집하고자 하는 개인정보항목
6. 수집하는 개인정보의 보유기간 및 이용기간

제3장 개인정보의 이용․제공 및 관리에 관한 조치

제8조 (이용 및 제공의 제한)

①서비스제공자는 이용자의 개인정보를 제7조의 규정에 의하여 고지 또는 명시한 범위를 초과하여 이용하거나 제3자에게 제공할 수 없다. 다만, 다음 각호에 해당하는 경우에는 예외로 한다.
1. 금융실명거래및비밀보장에관한법률, 신용정보의이용및보호에관한법률, 전기통신기본법, 전기통신사업법, 지방세법, 소비자보호법, 한국은행법, 형사소송법 등 법령에 특별한 규정이 있는 경우
2. 서비스 제공에 따른 요금정산을 위하여 필요한 경우
3. 통계작성․학술연구 또는 시장조사를 위하여 필요한 경우로서 특정 개인을 식별할 수 없는 형태로 제공하는 경우
②서비스제공자가 제1항의 규정에도 불구하고 고지 또는 명시한 범위를 초과하여 이용자의 개인정보를 이용하거나 제3자에게 제공하고자 하는 경우에는 반드시 당해 이용자에게 개별적으로 서면이나 전자우편으로 통지하여 동의를 받아야 하며, 이 경우 고지 또는 명시한 범위를 초과하여 이용하거나 제3자에게 제공하는 것을 거절할 수 있음을 이용자에게 알려야 한다.
③서비스제공자로부터 이용자의 개인정보를 제공받은 자는 당해 이용자의 동의가 있거나 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적외의 용도로 이용하거나 제3자에게 제공하여서는 아니된다.

제9조 (개인정보의 정확성 확보)

서비스제공자는 이용자의 개인정보를 정확하고 최신의 상태로 관리하여야 한다.

제10조 (기술적 대책)

서비스제공자는 이용자의 개인정보를 취급함에 있어서 개인정보가 분실, 도난, 누출, 변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 다음 각호의 기술적 대책을 강구하여야 한다.
1. 비밀번호 등을 이용한 보안장치
2. 백신 프로그램을 이용한 컴퓨터바이러스 방지장치
3. 암호알고리즘 등을 이용하여 네트워크 상에 개인정보를 안전하게 전송할 수 있는 보안장치
4. 침입차단시스템 등을 이용한 접근통제장치
5. 기타 안전성 확보를 위하여 필요한 기술적 장치

제11조 (관리적 대책)

①서비스제공자는 이용자의 개인정보에 대한 접근 및 관리에 필요한 절차 등을 마련하여야 한다.
②서비스제공자는 이용자의 개인정보를 처리하는 시스템의 사용자를 지정하여 사용자 비밀번호를 부여하고 이를 정기적으로 갱신하여야 한다.

제12조 (비밀유지)

서비스의 제공을 위하여 이용자의 개인정보를 취급하거나 취급하였던 자는 직무상 알게된 개인정보를 타인에게 누설하거나 제공하여서는 아니된다.

제13조 (개인정보의 파기)

①서비스제공자 또는 서비스제공자로부터 개인정보를 제공받은 자는 개인정보의 수집목적 또는 제공받은 목적을 달성한 때에는 당해 개인정보를 지체없이 파기하여야 한다. 다만, 다음 각호에 해당하는 경우에는 예외로 한다.
1. 상법 등 법령의 규정에 의하여 보존할 필요성이 있는 경우
2. 제7조의 규정에 의하여 보유기간을 미리 이용자에게 고지하거나 명시한 경우
3. 개별적으로 이용자의 동의를 받은 경우
②제1항의 규정에 의하여 개인정보를 파기할 경우에는 종이에 출력된 개인정보는 분쇄기로 분쇄하거나 소각하고, 전자적 파일 형태로 저장된 개인정보는 기록을 재생할 수 없는 기술적 방법을 사용하여 삭제하여야 한다.

제14조 (개인정보의 위탁처리에 관한 조치)

①서비스제공자가 개인정보 처리를 외부에 위탁하는 경우에는 이용자의 동의를 받아야 한다.
②제1항의 규정에 의하여 위탁하는 경우에는 이 지침을 준수할 수 있는 자를 선정하여야 한다.
③제1항의 규정에 의하여 위탁하는 경우에는 위탁계약 등을 통하여 서비스제공자의 개인정보보호 관련 지시엄수, 개인정보에 관한 비밀유지, 제3자 제공의 금지 및 사고시의 책임부담 등을 명확히 규정하고 당해 계약내용을 서면 또는 전자적 기록으로 보존하여야 한다.

제4장 이용자의 권리에 관한 조치

제15조 (열람 및 정정 요구)

①서비스제공자는 이용자가 방문하거나 전자서명 또는 이용자 ID 등을 이용하여 자신의 개인정보에 대한 열람 또는 정정을 요구하는 경우에는 본인 여부를 확인하고 지체없이 필요한 조치를 취하여야 한다.
②인터넷 홈페이지를 운영하는 서비스제공자는 이용자가 인터넷 홈페이지에서 자신의 개인정보에 대한 열람 또는 정정을 수행할 수 있도록 필요한 조치를 취하여야 한다.
③서비스제공자는 이용자의 대리인이 방문하여 열람 또는 정정을 요구하는 경우에는 대리관계를 나타내는 증표를 제시하도록 요구할 수 있다.
④서비스제공자는 제1항의 규정에 의하여 이용자로부터 개인정보 오류의 정정 요구를 받은 경우에는 그 오류를 정정할 때까지 당해 개인정보를 이용하여서는 아니된다.
⑤서비스제공자가 제1항의 규정에 의하여 정정 조치를 한 경우에는 그 사실을 지체없이 당해 이용자에게 통보하여야 한다.

제16조 (동의의 철회)

①서비스제공자는 이용자가 방문하거나 전자서명 또는 이용자 ID 등을 이용하여 동의를 철회하는 경우에는 본인 여부를 확인하고 지체없이 필요한 조치를 취하여야 한다.
②인터넷 홈페이지를 운영하는 서비스제공자는 이용자가 인터넷 홈페이지에서 자신의 개인정보에 대한 수집, 이용 또는 제공에 대한 동의를 철회할 수 있도록 필요한 조치를 취하여야 한다.

제17조 (불만처리)

①서비스제공자는 개인정보와 관련하여 이용자의 의견을 수렴하고 불만을 처리하기 위한 절차를 마련하여야 한다.
②서비스제공자는 전화, 전자우편 또는 인터넷 홈페이지의 상담창구를 통하여 이용자의 불만사항을 접수․처리하여야 한다.

제18조 (분쟁조정)

서비스제공자와 이용자는 개인정보에 관한 분쟁이 있는 경우 신속하고 효과적인 분쟁해결을 위하여 한국정보보호센터 내의 개인정보분쟁조정위원회에 그 처리를 의뢰할 수 있다.

제5장 공개 및 책임에 관한 조치

제19조 (개인정보보호방침의공개)

서비스제공자는다음 각호의 내용을 포함하는 개인정보보호방침을 정하여 지속적으로 실행하여야 하고, 서면 또는 인터넷 홈페이지 등을 통하여 이용자에게 공개하여야 한다.
1. 제7조 각호의 사항
2. 쿠키(cookie)의 운영에 관한 사항
3. 기술적․관리적 대책
4. 개인정보 관련 불만처리에 관한 사항
5. 개인정보보호방침의 개정에 관한 사항

제20조 (교육)

①서비스제공자는 이용자의 개인정보를 보호하기 위하여 관련 직원에 필요한 교육 절차를 마련하여야 한다.
②서비스제공자는 제1항의 규정에 의한 교육을 자체적으로 실시하거나 해당 분야의 전문기관에 위탁하여 실시할 수 있다.

제21조 (내부감사)

①서비스제공자는 이 지침에 대한 이행사항 및 관련 직원의 준수여부를 감사하는 데 필요한 절차를 마련하여야 한다.
②서비스제공자는 감사결과 운영상의 시정 또는 개선을 요하는 사항이나 관련 직원이 이 지침을 위반한 사실을 발견한 때에는 지체없이 이를 시정 또는 개선하고 기타 필요한 조치를 취하여야 한다.

제22조 (개인정보 관리책임자의 지정 및 책임)

①서비스제공자는 이용자의 개인정보를 보호하기 위하여 개인정보 관리책임자를 지정하여야 한다.
②개인정보 관리책임자는 이 지침을 준수하기 위한 제반 조치를 실시할 책임을 진다.

제23조 (개인정보취급자의 제한)

서비스제공자는 이용자의 개인정보를 취급할 수 있는 자를 최소한의 인원으로 제한하여 지정하여야 한다.

제6장 아동에 관한 특별 조치

제24조 (수집방법)

서비스제공자가 만14세미만의 아동으로부터 개인정보를 수집하는 경우에는 아동이 이해할 수 있는 알기쉽고 평이한 표현으로 개인정보의 수집목적 및 이용목적 등을 명시하고 법정대리인의 동의를 받아야 한다.

제25조 (법정대리인의 권리)

①서비스제공자는 만14세미만의 아동으로부터 수집한 개인정보에 대하여 법정대리인이 열람 또는 정정을 요구하는 경우에는 지체없이 필요한 조치를 취하여야 한다.
②서비스제공자는 만14세미만의 아동으로부터 수집한 개인정보의 이용 및 제공에 대하여 법정대리인이 동의를 철회하는 경우에는 지체없이 필요한 조치를 취하여야 한다.
③법정대리인에 의한 열람, 정정 및 동의 철회 요구에 관하여는 제15조 및 제16조의 규정을 준용한다.

제7장 보 칙

제26조 (적용의 특례)

①서비스제공자는 대리점을 통하여 이용자의 개인정보를 수집 또는 취급하게 하는 경우 개인정보보호에 대한 일정한 책임을 지고, 대리점에 대하여 이 지침을 준수할 것을 권고하여야 한다.
②서비스제공자와 이용자 등 누구든지 정보통신망에 의하여 처리․보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해․도용 또는 누설하여서는 아니된다.

부 칙

이 지침은 2024년 01월 04일부터 시행한다.