정보통신망 이용촉진 및 정보보호 등에 관한 법률
【제정·개정이유】
- [일부개정]
◇ 개정이유
첫째, 최근 이동통신사, 은행, 카드사 등에서 대량의 개인정보가 유출되는 사건이 증가하고 있음. 정보통신망을 통한 개인정보의 유출은 그 피해 정도가 지대하며, 유출된 개인정보로 인한 2차 피해의 발생 가능성이 높아 이에 대한 시급한 대책 마련이 필요함.
이에 개인정보 취급위탁이 문서로써 이루어지도록 하고, 위탁자가 수탁자를 관리ㆍ감독뿐만 아니라 교육하도록 의무를 강화하며, 개인정보 취급 업무의 동의 없는 재위탁을 명시적으로 금지하는 한편, 개인정보의 불법유통 정보를 차단ㆍ삭제할 수 있도록 함으로써 개인정보 취급위탁의 안전성을 보장하고 불법 개인정보 거래를 적극적으로 단속할 수 있도록 하려는 것임.
또한 개인정보를 유출한 기업의 최고 경영자 등 임원에 대한 책임을 강화하고, 웹사이트에 노출되어 있는 개인정보의 삭제 등 조치를 강화함과 동시에 제재 수준의 상향을 통하여 개인정보의 유출 등 침해 사고에 대한 경각심을 높여, 개인정보 보호에 대한 정보통신서비스 제공자등의 관심과 투자를 촉구하고자 함.
아울러 개인정보 국외이전의 유형을 특정하여 줌으로써 법 해석 및 적용상의 혼란을 방지하고, 이용자의 동의없이 개인정보를 국외로 이전한 정보통신서비스 제공자등에 대한 제재 규정을 마련하는 등 이용자 개인정보보호를 강화할 필요가 있음.
둘째, 현행법상 법정손해배상제로 개인정보 유출에 대한 손해배상책임을 물고 있으나 법정손해배상제만으로는 재산적 피해 보전 어려움 및 피해방지의 실효성 의문이 제기되는 상황임. 이에 징벌적 손해배상제를 도입해 정보통신서비스 제공자의 책임성을 강화하고자 함.
셋째, 현행법은 정보통신망을 통하여 속이는 행위로 다른 사람의 정보를 수집하거나 다른 사람이 정보를 제공하도록 유인하지 못하도록 금지하고 유사 피해에 대한 예보ㆍ경보 등 대응 조치를 규정하고 있음.
그러나 이미 사기성 정보를 받은 이용자는 위험에 노출되어 있어 추가적인 피해가 발생할 수 있는바, 사이버 사기에 노출된 이용자의 피해 예방을 위하여 이용자에게 알리도록 하는 등 1대1 방식의 제도적 보호 장치가 필요함.
이에 위반행위가 확인된 경우 정보통신서비스 제공자로 하여금 다른 사람을 속이거나 위해를 줄 수 있는 정보를 받은 이용자에게 알리도록 하는 조치의 근거를 마련하고자 함.
넷째, 스마트폰 응용프로그램(앱) 접근권한은 스마트폰 응용프로그램 개발자나 개발회사가 이용자 스마트폰의 특정 기능에 접근해 해당 기능을 실행시키거나 데이터를 읽고 수정하는 등 이용자 기기의 기능과 정보를 활용할 수 있는 권한을 말함.
현재 대다수의 이용자는 스마트폰 응용프로그램에 접근권한을 허용할 경우 개발자 등이 본인 기기의 정보를 얼마나 수집하고 어디까지 활용할 수 있는지 정확히 인지하지 못하고 있으며, 인지하고 있더라도 이용자가 접근권한 동의를 거부할 경우 프로그램 자체를 이용할 수 없어 대부분의 이용자가 부득이하게 접근권한을 허용하고 있음.
이에 스마트폰 응용프로그램 개발자나 개발회사가 이용자 스마트폰에 대한 접근권한을 획득하고자 할 경우 서비스의 본질적 기능을 수행하기 위해 필수적인 항목과 그 외의 항목을 구분하여, 접근권한이 필요한 항목과 이유를 명확하게 밝힌 뒤 이용자로부터 각각 동의를 받도록 의무화하고자 함. 또한 서비스의 본질적 기능 수행에 필수적이지 않은 접근 권한에 대해서는 이용자가 동의를 하지 않는다는 이유로 이용자에게 프로그램 제공을 거부할 수 없도록 하려는 것임.
다섯째, 한국인터넷진흥원은 「공공기관의 운영에 관한 법률」 제5조제3항제2호나목에 따른 위탁집행형 준정부기관으로 구분되어, 인터넷 도메인등록, 인터넷 프로토콜(IP)주소 할당, 정보보호시스템 평가, 정보보호 관리체계의 인증 등과 같은 사업을 수행하고 있으며, 이들 사업의 수행으로 수입금이 발생하고 있으나 수입금의 처리방식에 대하여는 법적 근거규정이 없음.
이에 따라 한국인터넷진흥원은 업무 수행에 따라 발생하는 수수료 수입을 자체수입으로 사용하고 있는 바, 이는 모든 세입과 세출 일체를 예산에 편입ㆍ계상하여야 하는 예산총계주의 원칙에 위반된다 할 것이므로, 그 근거를 명확히 하여 국가재정의 모든 수지를 예산에 반영함으로써 그 전체를 분명하게 함과 동시에 국회와 국민의 재정상의 감독을 용이하게 할 필요가 있음.
따라서 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 운영경비 관련 규정을 신설하여 한국인터넷진흥원이 수행하는 사업의 수입금 처리에 관한 법적 근거를 마련하려는 것임.◇ 주요내용
가. 스마트폰 응용프로그램 개발자나 개발회사가 이용자 스마트폰에 대한 접근권한이 필요한 경우, 프로그램 본래 기능 수행에 반드시 필요한 권한과 그렇지 않은 선택적 권한을 구분해 각각 세부 항목과 이유를 이용자가 명확히 인지하도록 알리고 이용자로부터 동의를 받도록 함(제22조의2제1항 신설).나. 스마트폰 응용프로그램 개발자나 개발회사가 프로그램 본래 기능 수행에 반드시 필요하지 않은 선택적 접근권한에 이용자가 동의하지 않는다는 이유로 이용자가 프로그램 자체를 이용할 수 없도록 하는 것을 금지함(제22조의2제2항 신설).
다. 「개인정보 보호법」의 규정에 따라 개인정보 ‘취급’을 ‘처리’로 변경하는 등 용어를 통일함(제24조의2제3항 등).
라. 개인정보 취급업무를 위탁하는 경우에 위탁자에게 수탁자에 대한 교육 의무를 부여함(제25조제4항).
마. 개인정보 취급업무를 위탁하는 경우에 문서에 의하도록 하고, 수탁자는 위탁자의 동의를 받은 경우에 한하여 위탁받은 업무를 제3자에게 재위탁할 수 있도록 함(제25조제6항 및 제7항 신설).
바. 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하고, 필요 시 사업주 등에게 보고하여야 함(제27조제4항 신설).
사. 정보통신서비스 제공자 등의 개인정보 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 행위에 대한 징벌적 손해배상 및 개인정보 관련 범죄로 인한 이익을 환수하기 위한 몰수ㆍ추징 규정을 도입함(제32조제2항ㆍ제3항 및 제75조의2 신설).
아. 정보통신망을 통하여 개인정보가 노출된 경우 방송통신위원회 또는 한국인터넷진흥원은 해당 정보의 삭제ㆍ차단을 정보통신서비스 제공자등에게 요청할 수 있으며, 정보통신서비스 제공자등이 필요한 조치를 취하지 않을 경우 3천만원 이하의 과태료를 부과함(제32조의3 신설, 안 제76조제1항제12호).
자. 불법정보의 범위에 “법령을 위반하여 개인정보를 거래하는 내용의 정보”를 명시적으로 포함함(제44조의7제1항제6호의2 신설).
차. 속이는 행위로 개인정보를 수집하는 등의 위반행위가 확인된 경우 정보통신서비스 제공자로 하여금 다른 사람을 속이거나 위해를 줄 수 있는 정보를 받은 이용자에게 알리도록 하는 조치의 근거를 마련함(제49조의2제3항제3호 및 제4항 신설).
카. 전화권유판매자가 수신자에게 개인정보의 수집출처를 고지해야만 수신자의 명시적인 사전 동의 없이 텔레마케팅을 할 수 있도록 함(제50조제1항제2호).
타. 한국인터넷진흥원이 사업을 수행하는 데 필요한 경비는 정부의 출연금, 제52조제3항 각 호의 사업수행에 따른 수입금, 그 밖에 인터넷진흥원의 운영에 따른 수입금으로 충당하도록 함(제52조제4항).
파. 개인정보 국외 이전의 유형을 ‘제공(조회되는 경우를 포함), 취급위탁, 보관’으로 명시하고, 이용자의 동의없이 개인정보를 국외로 제공한 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하의 과징금을 부과함(제63조제2항, 제64조의3제1항제8호 신설).
하. 방송통신위원회가 정보통신망법을 위반한 정보통신서비스 제공자등의 최고 경영자 등 임원에 대하여 징계를 권고할 수 있도록 함(제69조의2제2항 신설).
거. 정당한 사유없이 악성프로그램을 전달 또는 유포한 자 및 정당한 권한없이 또는 허용된 접근권한을 넘어 정보통신망에 침입한 자에 대한 처벌을 각각 ‘7년 이하의 징역 또는 7천만원 이하의 벌금’ 및 ‘5년 이하의 징역 또는 5천만원 이하의 벌금’으로 상향함(제70조의2 및 제71조제8호의2 신설).
너. 정보통신망법의 규정을 위반하여 미래창조과학부장관 또는 방송통신위원회로부터 부과받은 시정조치 명령을 이행하지 아니한 정보통신서비스 제공자등에게 3천만원 이하의 과태료를 부과함(제76조제1항제12호).
<법제처 제공>
【제정·개정문】
- 국회에서 의결된 정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률을 이에 공포한다.
대통령 박근혜 (인)
2016년 3월 22일
국무총리 황교안
국무위원 행정자치부 장관(방송통신위원회 소관) 홍윤식
국무위원 미래창조과학부 장관 최양희⊙법률 제14080호
정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부를 다음과 같이 개정한다.
제22조의2를 다음과 같이 신설한다.
제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한(이하 “접근권한”이라 한다)이 필요한 경우 다음 각 호의 사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다.
1. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가. 접근권한이 필요한 정보 및 기능의 항목
나. 접근권한이 필요한 이유
2. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가. 접근권한이 필요한 정보 및 기능의 항목
나. 접근권한이 필요한 이유
다. 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실
② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공을 거부하여서는 아니 된다.
③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는 기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를 하여야 한다.
④ 제1항에 따른 접근권한의 범위 및 동의의 방법, 제3항에 따른 이용자 정보 보호를 위하여 필요한 조치 및 그 밖에 필요한 사항은 대통령령으로 정한다.제24조의2제3항 중 “취급”을 “처리”로 한다.
제25조의 제목 중 “취급”을 “처리”로 하고, 같은 조 제1항 각 호 외의 부분 전단 중 “수집·보관·처리·이용·제공·관리·파기 등(이하 “취급”이라 한다)을”을 “수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위(이하 “처리”라 한다)를”로, “취급위탁”을 “처리위탁”으로 하며, 같은 항 제1호 및 제2호 중 “취급”을 각각 “처리”로 하고, 같은 조 제2항 전단 중 “취급”을 “처리”로 하며, 같은 조 제3항 중 “취급위탁”을 “처리위탁”으로, “취급할”을 “처리할”로, “취급하여서는”을 “처리하여서는”으로 하고, 같은 조 제4항 중 “관리·감독”을 “관리·감독 및 교육”으로 하며, 같은 조 제5항 중 “취급”을 “처리”로 하고, 같은 조에 제6항 및 제7항을 각각 다음과 같이 신설한다.
⑥ 정보통신서비스 제공자등이 수탁자에게 개인정보 처리위탁을 할 때에는 문서에 의하여야 한다.
⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자등의 동의를 받은 경우에 한하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다.제27조의 제목 중 “관리”를 “보호”로 하고, 같은 조 제1항 본문 중 “관리”를 “보호”로 하며, 같은 조 제2항 중 “관리책임자를”을 “보호책임자를”로, “관리책임자가”를 “보호책임자가”로 하고, 같은 조 제3항 중 “관리”를 “보호”로 하며, 같은 조에 제4항을 다음과 같이 신설한다.
④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 정보통신서비스 제공자등의 사업주 또는 대표자에게 개선조치를 보고하여야 한다. 다만, 제2항에 따라 사업주 또는 대표자가 개인정보 보호책임자가 되는 경우에는 개선조치 보고에 대한 사항을 적용하지 아니한다.제27조의2의 제목 중 “취급”을 “처리”로 하고, 같은 조 제1항 중 “취급하는”을 “처리하는”으로, “취급방침”을 “처리방침”으로 하며, 같은 조 제2항 각 호 외의 부분 중 “취급”을 “처리”로 하고, 같은 항 제4호 중 “취급위탁”을 “처리위탁”으로, “취급방침”을 “처리방침”으로 하며, 같은 항 제7호 중 “관리”를 “보호”로 하고, 같은 조 제3항 중 “취급”을 “처리”로 한다.
제27조의3의 제목 중 “누출등의”를 “유출등의”로 하고, 같은 조 제1항 각 호 외의 부분 본문 중 “누출”을 “유출”로, “누출등”을 “유출등”으로 하며, 같은 항 제1호 및 제2호 중 “누출등이”를 각각 “유출등이”로 하고, 같은 조 제5항 중 “누출등에”를 “유출등에”로 한다.
제28조제1항 각 호 외의 부분 중 “취급”을 “처리”로, “누출·변조 또는 훼손을 방지하기 위하여”를 “유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여”로 하고, 같은 항 제1호 및 같은 조 제2항 중 “취급”을 각각 “처리”로 한다.
제28조의2제1항 중 “취급하고 있거나 취급하였던”을 “처리하고 있거나 처리하였던”으로 한다.
제30조의2제1항 본문 중 “취급”을 “처리”로 한다.
제32조 제목 외의 부분을 제1항으로 하고, 같은 조에 제2항 및 제3항을 각각 다음과 같이 신설한다.
② 정보통신서비스 제공자등의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 정보통신서비스 제공자등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.
③ 법원은 제2항의 손해배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다.
1. 고의 또는 손해 발생의 우려를 인식한 정도
2. 위반행위로 인하여 입은 피해 규모
3. 위반행위로 인하여 정보통신서비스 제공자등이 취득한 경제적 이익
4. 위반행위에 따른 벌금 및 과징금
5. 위반행위의 기간·횟수 등
6. 정보통신서비스 제공자등의 재산상태
7. 정보통신서비스 제공자등이 이용자의 개인정보 분실·도난·유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
8. 정보통신서비스 제공자등이 이용자의 피해구제를 위하여 노력한 정도제32조의2제1항제2호 중 “분실·도난·누출된”을 “분실·도난·유출·위조·변조 또는 훼손된”으로 하고, 같은 조에 제3항을 다음과 같이 신설한다.
③ 제32조에 따라 손해배상을 청구한 이용자는 사실심의 변론이 종결되기 전까지 그 청구를 제1항에 따른 청구로 변경할 수 있다.제4장제3절에 제32조의3을 다음과 같이 신설한다.
제32조의3(노출된 개인정보의 삭제·차단) ① 정보통신서비스 제공자등은 주민등록번호, 계좌정보, 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 아니하도록 하여야 한다.
② 정보통신서비스 제공자등은 방송통신위원회 또는 한국인터넷진흥원의 요청이 있는 경우 제1항의 노출된 개인정보에 대한 삭제·차단 등 필요한 조치를 취하여야 한다.제44조의2제1항 중 “취급”을 “처리”로 한다.
제44조의7제1항에 제6호의2를 다음과 같이 신설하고, 같은 조 제2항 본문 중 “제6호까지의”를 “제6호까지 및 제6호의2의”로, “취급을”을 “처리를”로 하며, 같은 항 단서 중 “취급의”를 “처리의”로 하고, 같은 조 제3항 각 호 외의 부분 중 “취급을”을 “처리를”로 한다.
6의2. 이 법 또는 개인정보 보호에 관한 법령을 위반하여 개인정보를 거래하는 내용의 정보제45조제3항제2호 중 “변조”를 “위조·변조”로 한다.
제49조의2제2항 및 같은 조 제3항 각 호 외의 부분 중 “방송통신위원회나”를 각각 “미래창조과학부장관, 방송통신위원회 또는”으로 하고, 같은 조 제3항제3호 중 “정보통신서비스 제공자에 대한 접속경로의 차단요청 등”을 “정보통신서비스 제공자에게 접속경로의 차단을 요청하거나 이용자에게 제1항의 위반행위에 노출되었다는 사실을 알리도록 요청하는 등 피해 예방 및”으로 하며, 같은 조에 제4항을 다음과 같이 신설한다.
④ 미래창조과학부장관 또는 방송통신위원회는 제3항제3호의 조치를 취하기 위하여 정보통신서비스 제공자에게 정보통신서비스 제공자 간 정보통신망을 통하여 속이는 행위에 대한 정보 공유 등 필요한 조치를 취하도록 명할 수 있다.제50조제1항제1호 중 “취급”을 “처리”로 하고, 같은 항 제2호 중 “전화권유를 하는 경우”를 “수신자에게 개인정보의 수집출처를 고지하고 전화권유를 하는 경우”로 한다.
제51조제3항 각 호 외의 부분 중 “취급”을 “처리”로 하고, 같은 항 제3호 중 “취급”을 “처리”로, “누출을”을 “유출을”로 한다.
제52조제4항을 다음과 같이 한다.
④ 인터넷진흥원이 사업을 수행하는 데 필요한 경비는 다음 각 호의 재원으로 충당한다.
1. 정부의 출연금
2. 제3항 각 호의 사업수행에 따른 수입금
3. 그 밖에 인터넷진흥원의 운영에 따른 수입금제63조제2항 중 “국외로 이전하려면 이용자의 동의를 받아야 한다”를 “국외에 제공(조회되는 경우를 포함한다)·처리위탁·보관(이하 이 조에서 “이전”이라 한다)하려면 이용자의 동의를 받아야 한다”로 하고, 같은 항에 단서를 다음과 같이 신설한다.
다만, 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁·보관에 따른 동의절차를 거치지 아니할 수 있다.제64조제3항 중 “정보통신서비스 제공자등의”를 “정보통신서비스 제공자등, 해당 법 위반 사실과 관련한 관계인의”로 한다.
제64조의3제1항제1호 중 “제22조제1항을”을 “제22조제1항(제67조에 따라 준용되는 경우를 포함한다)을”로 하고, 같은 항 제2호 중 “제23조제1항을”을 “제23조제1항(제67조에 따라 준용되는 경우를 포함한다)을”로 하며, 같은 항 제3호 중 “제24조를”을 “제24조(제67조에 따라 준용되는 경우를 포함한다)를”로 하고, 같은 항 제4호 중 “제24조의2를”을 “제24조의2(제67조에 따라 준용되는 경우를 포함한다)를”로 하며, 같은 항 제5호 중 “제25조제1항을”을 “제25조제1항(제67조에 따라 준용되는 경우를 포함한다)을”로, “취급”을 “처리”로 하고, 같은 항 제5호의2 중 “제25조제4항에 따른 관리·감독을”을 “제25조제4항(제67조에 따라 준용되는 경우를 포함한다)에 따른 관리·감독 또는 교육을”로 하며, 같은 항 제6호 중 “누출·변조”를 “유출·위조·변조”로, “제28조제1항제2호부터 제5호까지의”를 “제28조제1항제2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의”로 하고, 같은 항 제7호 중 “제31조제1항을”을 “제31조제1항(제67조에 따라 준용되는 경우를 포함한다)을”로 하며, 같은 항에 제8호를 다음과 같이 신설한다.
8. 제63조제2항 본문을 위반하여 이용자의 동의를 받지 아니하고 이용자의 개인정보를 국외에 제공한 경우제69조의2 제목 외의 부분을 제1항으로 하고, 같은 조에 제2항을 다음과 같이 신설한다.
② 방송통신위원회는 개인정보 보호와 관련하여 이 법을 위반한 정보통신서비스 제공자등에게 책임이 있는 자(대표자 및 책임있는 임원을 포함한다)를 징계할 것을 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여야 하며 그 결과를 방송통신위원회에 통보하여야 한다.제70조의2를 다음과 같이 신설한다.
제70조의2(벌칙) 제48조제2항을 위반하여 악성프로그램을 전달 또는 유포하는 자는 7년 이하의 징역 또는 7천만원 이하의 벌금에 처한다.제71조 제목 외의 부분을 제1항으로 하고, 같은 조 제1항(종전의 제목 외의 부분)제4호 중 “취급”을 “처리”로 하며, 같은 항 제9호를 다음과 같이 하고, 같은 조에 제2항을 다음과 같이 신설한다.
9. 제48조제1항을 위반하여 정보통신망에 침입한 자
② 제1항제9호의 미수범은 처벌한다.제72조제1항제1호 및 같은 조 제2항을 각각 삭제한다.
제73조제1호 중 “누출”을 “유출·위조”로 한다.
제75조의2를 다음과 같이 신설한다.
제75조의2(몰수·추징) 제71조제1항제1호부터 제8호까지, 제72조제1항제2호 및 제73조제1호·제1호의2·제7호의 어느 하나에 해당하는 죄를 지은 자가 해당 위반행위와 관련하여 취득한 금품이나 그 밖의 이익은 몰수할 수 있으며, 이를 몰수할 수 없을 때에는 그 가액을 추징할 수 있다. 이 경우 몰수 또는 추징은 다른 벌칙에 부가하여 과할 수 있다.제76조제1항제1호 중 “제23조제3항”을 “제22조의2제2항 또는 제23조제3항”으로 하고, 같은 항에 제1호의2를 다음과 같이 신설하며, 같은 항 제2호의2 중 “취급”을 “처리”로 하고, 같은 항 제12호 중 “제71조부터 제74조까지, 제1호부터 제11호까지 및 제2항의 위반행위를 하여 제64조제4항에 따른 미래창조과학부장관 또는 방송통신위원회의 시정조치 명령을”을 “이 법을 위반하여 제64조제4항에 따라 미래창조과학부장관 또는 방송통신위원회로부터 받은 시정조치 명령을”로 한다.
1의2. 제22조의2제3항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 접근권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호를 위하여 필요한 조치를 하지 아니한 자제76조제2항제1호 중 “취급”을 “처리”로 하고, 같은 항에 제1호의2 및 제5호를 각각 다음과 같이 신설하며, 같은 항 제3호 중 “관리”를 “보호”로 하고, 같은 항 제4호 중 “취급”을 “처리”로 한다.
1의2. 제25조제7항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보 처리위탁을 한 정보통신서비스 제공자등의 동의를 받지 아니하고 제3자에게 재위탁한 자
5. 제63조제2항 단서를 위반하여 제63조제3항 각 호의 사항 모두를 공개하거나 이용자에게 알리지 아니하고 이용자의 개인정보를 국외에 처리위탁·보관한 자제76조제3항제12호의2 및 제12호의3을 각각 제12호의3 및 제12호의4로 하고, 같은 항에 제2호의5 및 제12호의2를 각각 다음과 같이 신설한다.
2의5. 제25조제6항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보 처리위탁을 할 때에 문서에 의하지 아니한 자
12의2. 제49조의2제4항을 위반하여 미래창조과학부장관 또는 방송통신위원회의 명령을 이행하지 아니한 자부칙
제1조(시행일) 이 법은 공포 후 6개월이 경과한 날부터 시행한다. 다만, 제22조의2, 제76조제1항제1호 및 제1호의2의 개정규정은 공포 후 1년이 경과한 날부터, 제32조제2항·제3항 및 제32조의2제3항의 개정규정은 2016년 7월 25일부터, 제52조제4항의 개정규정은 공포한 날부터 시행한다.
제2조(손해배상에 관한 적용례) 제32조제2항·제3항 및 제32조의2제3항의 개정규정은 같은 개정규정 시행 후에 분실·도난·유출·위조·변조 또는 훼손된 개인정보에 관한 손해배상 청구분부터 적용한다.
제3조(위반행위에 노출된 사실 안내에 관한 경과조치) 정보통신서비스 제공자는 이 법 공포 후 6개월 이내에 제49조의2제3항의 개정규정에 따라 이용자에게 안내메시지를 보낼 수 있는 설비를 구축하여야 한다.
제4조(벌칙에 관한 경과조치) 이 법 시행 전의 행위에 대하여 벌칙을 적용할 때에는 종전의 규정에 따른다.
제5조(다른 법률의 개정) 인터넷주소자원에 관한 법률 일부를 다음과 같이 개정한다.
제15조제2항 전단 중 “제71조제1호”를 “제71조제1항제1호”로, “제76조제1항제1호부터 제5호까지”를 “제76조제1항제1호부터 제5호까지(같은 항 제1호의2는 제외한다)”로 한다.