개인정보 보호법 제64조의2: Difference between revisions

From IT Wiki
(새 문서: 분류:개인정보보호 ==내용== ;제64조의2(과징금의 부과) * ① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징...)
 
(2023.10월 대법원 판결)
Line 1: Line 1:
[[분류:개인정보보호]]
[[분류:개인정보보호]]


==내용==
==내용(신설 2023.3.14)==
;제64조의2(과징금의 부과)
;제64조의2(과징금의 부과)
* ① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.
*① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.
** 1. [[개인정보 보호법 제15조|제15조]]제1항, [[개인정보 보호법 제17조|제17조]]제1항, [[개인정보 보호법 제18조|제18조]]제1항ㆍ제2항([[개인정보 보호법 제26조|제26조]]제8항에 따라 준용되는 경우를 포함한다) 또는 [[개인정보 보호법 제19조|제19조]]를 위반하여 개인정보를 처리한 경우
**1. [[개인정보 보호법 제15조|제15조]]제1항, [[개인정보 보호법 제17조|제17조]]제1항, [[개인정보 보호법 제18조|제18조]]제1항ㆍ제2항([[개인정보 보호법 제26조|제26조]]제8항에 따라 준용되는 경우를 포함한다) 또는 [[개인정보 보호법 제19조|제19조]]를 위반하여 개인정보를 처리한 경우
** 2. [[개인정보 보호법 제22조의2|제22조의2]]제1항([[개인정보 보호법 제26조|제26조]]제8항에 따라 준용되는 경우를 포함한다)을 위반하여 법정대리인의 동의를 받지 아니하고 만 14세 미만인 아동의 개인정보를 처리한 경우
**2. [[개인정보 보호법 제22조의2|제22조의2]]제1항([[개인정보 보호법 제26조|제26조]]제8항에 따라 준용되는 경우를 포함한다)을 위반하여 법정대리인의 동의를 받지 아니하고 만 14세 미만인 아동의 개인정보를 처리한 경우
** 3. [[개인정보 보호법 제23조|제23조]]제1항제1호([[개인정보 보호법 제26조|제26조]]제8항에 따라 준용되는 경우를 포함한다)를 위반하여 정보주체의 동의를 받지 아니하고 민감정보를 처리한 경우
**3. [[개인정보 보호법 제23조|제23조]]제1항제1호([[개인정보 보호법 제26조|제26조]]제8항에 따라 준용되는 경우를 포함한다)를 위반하여 정보주체의 동의를 받지 아니하고 민감정보를 처리한 경우
** 4. [[개인정보 보호법 제24조|제24조]]제1항ㆍ[[개인정보 보호법 제24조의2|제24조의2]]제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 고유식별정보 또는 주민등록번호를 처리한 경우
**4. [[개인정보 보호법 제24조|제24조]]제1항ㆍ[[개인정보 보호법 제24조의2|제24조의2]]제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 고유식별정보 또는 주민등록번호를 처리한 경우
** 5. [[개인정보 보호법 제26조|제26조]]제4항에 따른 관리ㆍ감독 또는 교육을 소홀히 하여 수탁자가 이 법의 규정을 위반한 경우
**5. [[개인정보 보호법 제26조|제26조]]제4항에 따른 관리ㆍ감독 또는 교육을 소홀히 하여 수탁자가 이 법의 규정을 위반한 경우
** 6. [[개인정보 보호법 제28조의5|제28조의5]]제1항([[개인정보 보호법 제26조|제26조]]제8항에 따라 준용되는 경우를 포함한다)을 위반하여 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우
**6. [[개인정보 보호법 제28조의5|제28조의5]]제1항([[개인정보 보호법 제26조|제26조]]제8항에 따라 준용되는 경우를 포함한다)을 위반하여 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우
** 7. [[개인정보 보호법 제28조의8|제28조의8]]제1항([[개인정보 보호법 제26조|제26조]]제8항 및 [[개인정보 보호법 제28조의11|제28조의11]]에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보를 국외로 이전한 경우
**7. [[개인정보 보호법 제28조의8|제28조의8]]제1항([[개인정보 보호법 제26조|제26조]]제8항 및 [[개인정보 보호법 제28조의11|제28조의11]]에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보를 국외로 이전한 경우
** 8. [[개인정보 보호법 제28조의9|제28조의9]]제1항([[개인정보 보호법 제26조|제26조]]제8항 및 [[개인정보 보호법 제28조의11|제28조의11]]에 따라 준용되는 경우를 포함한다)을 위반하여 국외 이전 중지 명령을 따르지 아니한 경우
**8. [[개인정보 보호법 제28조의9|제28조의9]]제1항([[개인정보 보호법 제26조|제26조]]제8항 및 [[개인정보 보호법 제28조의11|제28조의11]]에 따라 준용되는 경우를 포함한다)을 위반하여 국외 이전 중지 명령을 따르지 아니한 경우
** 9. 개인정보처리자가 처리하는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우. 다만, 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손되지 아니하도록 개인정보처리자가 [[개인정보 보호법 제29조|제29조]](제26조제8항에 따라 준용되는 경우를 포함한다)에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.
**9. 개인정보처리자가 처리하는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우. 다만, 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손되지 아니하도록 개인정보처리자가 [[개인정보 보호법 제29조|제29조]](제26조제8항에 따라 준용되는 경우를 포함한다)에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.
* ② 보호위원회는 제1항에 따른 과징금을 부과하려는 경우 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정한다.
*② 보호위원회는 제1항에 따른 과징금을 부과하려는 경우 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정한다.
* ③ 보호위원회는 제1항에 따른 과징금을 부과하려는 경우 개인정보처리자가 정당한 사유 없이 매출액 산정자료의 제출을 거부하거나 거짓의 자료를 제출한 경우에는 해당 개인정보처리자의 전체 매출액을 기준으로 산정하되 해당 개인정보처리자 및 비슷한 규모의 개인정보처리자의 개인정보 보유 규모, 재무제표 등 회계자료, 상품ㆍ용역의 가격 등 영업현황 자료에 근거하여 매출액을 추정할 수 있다.
*③ 보호위원회는 제1항에 따른 과징금을 부과하려는 경우 개인정보처리자가 정당한 사유 없이 매출액 산정자료의 제출을 거부하거나 거짓의 자료를 제출한 경우에는 해당 개인정보처리자의 전체 매출액을 기준으로 산정하되 해당 개인정보처리자 및 비슷한 규모의 개인정보처리자의 개인정보 보유 규모, 재무제표 등 회계자료, 상품ㆍ용역의 가격 등 영업현황 자료에 근거하여 매출액을 추정할 수 있다.
* ④ 보호위원회는 제1항에 따른 과징금을 부과하는 경우에는 위반행위에 상응하는 비례성과 침해 예방에 대한 효과성이 확보될 수 있도록 다음 각 호의 사항을 고려하여야 한다.
*④ 보호위원회는 제1항에 따른 과징금을 부과하는 경우에는 위반행위에 상응하는 비례성과 침해 예방에 대한 효과성이 확보될 수 있도록 다음 각 호의 사항을 고려하여야 한다.
** 1. 위반행위의 내용 및 정도
**1. 위반행위의 내용 및 정도
** 2. 위반행위의 기간 및 횟수
**2. 위반행위의 기간 및 횟수
** 3. 위반행위로 인하여 취득한 이익의 규모
**3. 위반행위로 인하여 취득한 이익의 규모
** 4. 암호화 등 안전성 확보 조치 이행 노력
**4. 암호화 등 안전성 확보 조치 이행 노력
** 5. 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우 위반행위와의 관련성 및 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손의 규모
**5. 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우 위반행위와의 관련성 및 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손의 규모
** 6. 위반행위로 인한 피해의 회복 및 피해 확산 방지 조치의 이행 여부
**6. 위반행위로 인한 피해의 회복 및 피해 확산 방지 조치의 이행 여부
** 7. 개인정보처리자의 업무 형태 및 규모
**7. 개인정보처리자의 업무 형태 및 규모
** 8. 개인정보처리자가 처리하는 개인정보의 유형과 정보주체에게 미치는 영향
**8. 개인정보처리자가 처리하는 개인정보의 유형과 정보주체에게 미치는 영향
** 9. 위반행위로 인한 정보주체의 피해 규모
**9. 위반행위로 인한 정보주체의 피해 규모
** 10. 개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위한 노력
** 10. 개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위한 노력
** 11. 보호위원회와의 협조 등 위반행위를 시정하기 위한 조치 여부
**11. 보호위원회와의 협조 등 위반행위를 시정하기 위한 조치 여부
* ⑤ 보호위원회는 다음 각 호의 어느 하나에 해당하는 사유가 있는 경우에는 과징금을 부과하지 아니할 수 있다.
*⑤ 보호위원회는 다음 각 호의 어느 하나에 해당하는 사유가 있는 경우에는 과징금을 부과하지 아니할 수 있다.
** 1. 지급불능ㆍ지급정지 또는 자본잠식 등의 사유로 객관적으로 과징금을 낼 능력이 없다고 인정되는 경우
**1. 지급불능ㆍ지급정지 또는 자본잠식 등의 사유로 객관적으로 과징금을 낼 능력이 없다고 인정되는 경우
** 2. 본인의 행위가 위법하지 아니한 것으로 잘못 인식할 만한 정당한 사유가 있는 경우
** 2. 본인의 행위가 위법하지 아니한 것으로 잘못 인식할 만한 정당한 사유가 있는 경우
** 3. 위반행위의 내용ㆍ정도가 경미하거나 산정된 과징금이 소액인 경우
**3. 위반행위의 내용ㆍ정도가 경미하거나 산정된 과징금이 소액인 경우
** 4. 그 밖에 정보주체에게 피해가 발생하지 아니하였거나 경미한 경우로서 대통령령으로 정하는 사유가 있는 경우
**4. 그 밖에 정보주체에게 피해가 발생하지 아니하였거나 경미한 경우로서 대통령령으로 정하는 사유가 있는 경우
* ⑥ 제1항에 따른 과징금은 제2항부터 제5항까지를 고려하여 산정하되, 구체적인 산정기준과 산정절차는 대통령령으로 정한다.
*⑥ 제1항에 따른 과징금은 제2항부터 제5항까지를 고려하여 산정하되, 구체적인 산정기준과 산정절차는 대통령령으로 정한다.
* ⑦ 보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 이를 내지 아니하면 납부기한의 다음 날부터 내지 아니한 과징금의 연 100분의 6에 해당하는 가산금을 징수한다. 이 경우 가산금을 징수하는 기간은 60개월을 초과하지 못한다.
*⑦ 보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 이를 내지 아니하면 납부기한의 다음 날부터 내지 아니한 과징금의 연 100분의 6에 해당하는 가산금을 징수한다. 이 경우 가산금을 징수하는 기간은 60개월을 초과하지 못한다.
* ⑧ 보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 내지 아니한 경우에는 기간을 정하여 독촉하고, 독촉으로 지정한 기간 내에 과징금과 제7항에 따른 가산금을 내지 아니하면 국세강제징수의 예에 따라 징수한다.
*⑧ 보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 내지 아니한 경우에는 기간을 정하여 독촉하고, 독촉으로 지정한 기간 내에 과징금과 제7항에 따른 가산금을 내지 아니하면 국세강제징수의 예에 따라 징수한다.
* ⑨ 보호위원회는 법원의 판결 등의 사유로 제1항에 따라 부과된 과징금을 환급하는 경우에는 과징금을 낸 날부터 환급하는 날까지의 기간에 대하여 금융회사 등의 예금이자율 등을 고려하여 대통령령으로 정하는 이자율을 적용하여 계산한 환급가산금을 지급하여야 한다.
*⑨ 보호위원회는 법원의 판결 등의 사유로 제1항에 따라 부과된 과징금을 환급하는 경우에는 과징금을 낸 날부터 환급하는 날까지의 기간에 대하여 금융회사 등의 예금이자율 등을 고려하여 대통령령으로 정하는 이자율을 적용하여 계산한 환급가산금을 지급하여야 한다.
* ⑩ 보호위원회는 제9항에도 불구하고 법원의 판결에 따라 과징금 부과처분이 취소되어 그 판결이유에 따라 새로운 과징금을 부과하는 경우에는 당초 납부한 과징금에서 새로 부과하기로 결정한 과징금을 공제한 나머지 금액에 대해서만 환급가산금을 계산하여 지급한다.
*⑩ 보호위원회는 제9항에도 불구하고 법원의 판결에 따라 과징금 부과처분이 취소되어 그 판결이유에 따라 새로운 과징금을 부과하는 경우에는 당초 납부한 과징금에서 새로 부과하기로 결정한 과징금을 공제한 나머지 금액에 대해서만 환급가산금을 계산하여 지급한다.


[본조신설 2023. 3. 14.]
[본조신설 2023. 3. 14.]
==해설==
== 해설==
==관련 판례==
==관련 판례==
[[https://www.lawtimes.co.kr/news/192021|(판결) '개인정보 유출' 위메프 18억대 과징금 취소소송 승소 확정]]
<blockquote>...대법원도 "'''과징금을 산정하기 위한 관련 매출액은 해당 개인정보 데이터베이스를 보유·관리하는 서비스인 위메프 쇼핑몰 서비스 전체의 매출액으로 봐야한다'''"며 "원심의 매출액 계산은 잘못됐다"고 판시했다.
다만 "이같은 사정을 감안하더라도 이 사건 과징금액은 제재적 성격이 지나치게 강조돼 '''위반행위의 위법성의 정도에 비해''' 과중하게 산정됐다. 과징금 처분에 재량권을 일탈·남용한 잘못이 있다고 본 원심의 결론은 정당하다"면서 원심을 확정했다.</blockquote>

Revision as of 17:16, 27 November 2023


내용(신설 2023.3.14)

제64조의2(과징금의 부과)
  • ① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.
    • 1. 제15조제1항, 제17조제1항, 제18조제1항ㆍ제2항(제26조제8항에 따라 준용되는 경우를 포함한다) 또는 제19조를 위반하여 개인정보를 처리한 경우
    • 2. 제22조의2제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 법정대리인의 동의를 받지 아니하고 만 14세 미만인 아동의 개인정보를 처리한 경우
    • 3. 제23조제1항제1호(제26조제8항에 따라 준용되는 경우를 포함한다)를 위반하여 정보주체의 동의를 받지 아니하고 민감정보를 처리한 경우
    • 4. 제24조제1항ㆍ제24조의2제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 고유식별정보 또는 주민등록번호를 처리한 경우
    • 5. 제26조제4항에 따른 관리ㆍ감독 또는 교육을 소홀히 하여 수탁자가 이 법의 규정을 위반한 경우
    • 6. 제28조의5제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우
    • 7. 제28조의8제1항(제26조제8항 및 제28조의11에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보를 국외로 이전한 경우
    • 8. 제28조의9제1항(제26조제8항 및 제28조의11에 따라 준용되는 경우를 포함한다)을 위반하여 국외 이전 중지 명령을 따르지 아니한 경우
    • 9. 개인정보처리자가 처리하는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우. 다만, 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손되지 아니하도록 개인정보처리자가 제29조(제26조제8항에 따라 준용되는 경우를 포함한다)에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.
  • ② 보호위원회는 제1항에 따른 과징금을 부과하려는 경우 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정한다.
  • ③ 보호위원회는 제1항에 따른 과징금을 부과하려는 경우 개인정보처리자가 정당한 사유 없이 매출액 산정자료의 제출을 거부하거나 거짓의 자료를 제출한 경우에는 해당 개인정보처리자의 전체 매출액을 기준으로 산정하되 해당 개인정보처리자 및 비슷한 규모의 개인정보처리자의 개인정보 보유 규모, 재무제표 등 회계자료, 상품ㆍ용역의 가격 등 영업현황 자료에 근거하여 매출액을 추정할 수 있다.
  • ④ 보호위원회는 제1항에 따른 과징금을 부과하는 경우에는 위반행위에 상응하는 비례성과 침해 예방에 대한 효과성이 확보될 수 있도록 다음 각 호의 사항을 고려하여야 한다.
    • 1. 위반행위의 내용 및 정도
    • 2. 위반행위의 기간 및 횟수
    • 3. 위반행위로 인하여 취득한 이익의 규모
    • 4. 암호화 등 안전성 확보 조치 이행 노력
    • 5. 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우 위반행위와의 관련성 및 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손의 규모
    • 6. 위반행위로 인한 피해의 회복 및 피해 확산 방지 조치의 이행 여부
    • 7. 개인정보처리자의 업무 형태 및 규모
    • 8. 개인정보처리자가 처리하는 개인정보의 유형과 정보주체에게 미치는 영향
    • 9. 위반행위로 인한 정보주체의 피해 규모
    • 10. 개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위한 노력
    • 11. 보호위원회와의 협조 등 위반행위를 시정하기 위한 조치 여부
  • ⑤ 보호위원회는 다음 각 호의 어느 하나에 해당하는 사유가 있는 경우에는 과징금을 부과하지 아니할 수 있다.
    • 1. 지급불능ㆍ지급정지 또는 자본잠식 등의 사유로 객관적으로 과징금을 낼 능력이 없다고 인정되는 경우
    • 2. 본인의 행위가 위법하지 아니한 것으로 잘못 인식할 만한 정당한 사유가 있는 경우
    • 3. 위반행위의 내용ㆍ정도가 경미하거나 산정된 과징금이 소액인 경우
    • 4. 그 밖에 정보주체에게 피해가 발생하지 아니하였거나 경미한 경우로서 대통령령으로 정하는 사유가 있는 경우
  • ⑥ 제1항에 따른 과징금은 제2항부터 제5항까지를 고려하여 산정하되, 구체적인 산정기준과 산정절차는 대통령령으로 정한다.
  • ⑦ 보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 이를 내지 아니하면 납부기한의 다음 날부터 내지 아니한 과징금의 연 100분의 6에 해당하는 가산금을 징수한다. 이 경우 가산금을 징수하는 기간은 60개월을 초과하지 못한다.
  • ⑧ 보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 내지 아니한 경우에는 기간을 정하여 독촉하고, 독촉으로 지정한 기간 내에 과징금과 제7항에 따른 가산금을 내지 아니하면 국세강제징수의 예에 따라 징수한다.
  • ⑨ 보호위원회는 법원의 판결 등의 사유로 제1항에 따라 부과된 과징금을 환급하는 경우에는 과징금을 낸 날부터 환급하는 날까지의 기간에 대하여 금융회사 등의 예금이자율 등을 고려하여 대통령령으로 정하는 이자율을 적용하여 계산한 환급가산금을 지급하여야 한다.
  • ⑩ 보호위원회는 제9항에도 불구하고 법원의 판결에 따라 과징금 부과처분이 취소되어 그 판결이유에 따라 새로운 과징금을 부과하는 경우에는 당초 납부한 과징금에서 새로 부과하기로 결정한 과징금을 공제한 나머지 금액에 대해서만 환급가산금을 계산하여 지급한다.

[본조신설 2023. 3. 14.]

해설

관련 판례

['개인정보 유출' 위메프 18억대 과징금 취소소송 승소 확정]

...대법원도 "과징금을 산정하기 위한 관련 매출액은 해당 개인정보 데이터베이스를 보유·관리하는 서비스인 위메프 쇼핑몰 서비스 전체의 매출액으로 봐야한다"며 "원심의 매출액 계산은 잘못됐다"고 판시했다. 다만 "이같은 사정을 감안하더라도 이 사건 과징금액은 제재적 성격이 지나치게 강조돼 위반행위의 위법성의 정도에 비해 과중하게 산정됐다. 과징금 처분에 재량권을 일탈·남용한 잘못이 있다고 본 원심의 결론은 정당하다"면서 원심을 확정했다.