본문 바로가기
  • (개인)정보보호/최신ICT 정보 공유 블로그
(부제) 나는 CISO 이다/ISMS-P 인증심사

(ISMS-P) 개인정보처리자와 정보통신서비스 제공자 범위 (개보법)

by 노벰버맨 2022. 3. 21.

개인정보의 오용·남용 및 유출등을 감독할 감독기구를 개인정보 보호위원회로 통합하고, 「정보통신망의 이용촉진 및 정보보호 등에 관한 법률」과의 유사·중복 규정은「개인정보 보호법」으로 일원화하기 위해 개인정보 보호 관련 법령을 체계적으로 정비하였다.

 

개인정보보호법은 일반법으로서 모든 개인정보처리자와 정보주체와의 관계에 적용된다. 다만, 「신용정보법」에 따른 신용정보사업자와 신용정보주체와의 관계에 있어서 해당 법에 특 별한 규정이 있다면 그 규정을 따른다. 종래 정보통신서비스 제공자와 정보통신서비스 이용자 사이의 관계에서는「정보통신망법」에 특별한 규정이 있는 경우 해당 규정이 우선 적 용되었으나, 2020년 2월 4일의「개인정보 보호법」개정으로 「정보통신망법」의 개인정보보호와 관련된 규정은 「개인정보 보호법」상 정보통신서비스 제공자 등의 특례로 이관되었다.

 

그런데 기존처럼 일반법과 특별법의 관계가 아닌 하나의 법안에서 개인정보처리자와 정보통신서비스 제공자에 대한 규정을 언급하고 있어 적용 대상에 따라 어떻게 적용해야 하는지 혼란스러운 부분이 존재한다.

이에 대해 개인정보보호 법령 및 지침 고시 해설서에 따르면

「개인정보 보호법」이 적용되는 경우를 '온라인'과 '오프라인'으로 나누어 볼 수 있는데,

'온라인' 거래에는 제6장 정보통신서비스 제공자등에 대한 특례규정을 적용하고, '오프라인' 거래에는 일반규정을 적용하면 된다.

정보통신서비스 제공자와 개인정보처리자에 적용되는 안전성 확보조치 내용의 주요 차이점을 해설서에서 옮겼다.

위의 표처럼 정보통신서비스 제공자와 개인정보처리자 각각에 대한 고시가 규정되어 있으나 정보통신서비스 제공자에 대한 규정이 없는 경우는 개인정보처리자에 대한 내용을 따르면 된다. 예를 들어 각 고시에 접속기록 범위에 대한 항목이 차이가 있는데 이때 개인정보의 안전성 확보조치 기준에서 추가로 명시한 '처리한 정보주체의 정보'를 포함하여 정보통신서비스 제공자도 기록을 관리하여야 한다.

 

댓글