韓国個人情報保護法の仮訳

韓国の個人情報保護法（개인정보 보호법）の仮訳を作成しましたので、公開します。Claudeでドラフトした上で、注意を要すると思われる概念を中心にレビューしたものです。

 

• 第1章 総則
  • 第1条（目的）
  • 第2条（定義）
  • 第3条（個人情報保護原則）
  • 第4条（情報主体の権利）
  • 第5条（国家などの責務）
  • 第6条（他の法律との関係）
• 第2章 個人情報保護政策の樹立など
  • 第7条（個人情報保護委員会）
  • 第7条の2（保護委員会の構成など）
  • 第7条の3（委員長）
  • 第7条の4（委員の任期）
  • 第7条の5（委員の身分保障）
  • 第7条の6（兼職禁止など）
  • 第7条の7（欠格事由）
  • 第7条の8（保護委員会の所管事務）
  • 第7条の9（保護委員会の審議・議決事項など）
  • 第7条の10（会議）
  • 第7条の11（委員の除斥・忌避・回避）
  • 第7条の12（小委員会）
  • 第7条の13（事務処）
  • 第7条の14（運営など）
  • 第8条 削除<2020. 2. 4.>
  • 第8条の2（個人情報侵害要因評価）
  • 第9条（基本計画）
  • 第10条（施行計画）
  • 第11条（資料提出要求など）
  • 第11条の2（個人情報保護水準評価）
  • 第12条（個人情報保護指針）
  • 第13条（自律規制の促進及び支援）
  • 第13条の2（個人情報保護の日）
  • 第14条（国際協力）
• 第3章 個人情報の処理
  • 第1節 個人情報の収集、利用、提供など
    • 第15条（個人情報の収集・利用）
    • 第16条（個人情報の収集制限）
    • 第17条（個人情報の提供）
    • 第18条（個人情報の目的外利用・提供制限）
    • 第19条（個人情報を提供された者の利用・提供制限）
    • 第20条（情報主体以外から収集した個人情報の収集出所など通知）
    • 第20条の2（個人情報利用・提供内訳の通知）
    • 第21条（個人情報の破棄）
    • 第22条（同意を得る方法）
    • 第22条の2（児童の個人情報保護）
  • 第2節 個人情報の処理制限
    • 第23条（敏感情報の処理制限）
    • 第24条（固有識別情報の処理制限）
    • 第24条の2（住民登録番号処理の制限）
    • 第25条（固定型映像情報処理機器の設置・運営制限）
    • 第25条の2（移動型映像情報処理機器の運営制限）
    • 第26条（業務委託に伴う個人情報の処理制限）
    • 第27条（営業譲渡などに伴う個人情報の移転制限）
    • 第28条（個人情報取扱者に対する監督）
  • 第3節 仮名情報の処理に関する特例<新設 2020. 2. 4.>
    • 第28条の2（仮名情報の処理など）
    • 第28条の3（仮名情報の結合制限）
    • 第28条の4（仮名情報に対する安全措置義務など）
    • 第28条の5（仮名情報処理時禁止義務など）
    • 第28条の6 削除<2023. 3. 14.>
    • 第28条の7（適用範囲）
  • 第4節 個人情報の国外移転<新設 2023. 3. 14.>
    • 第28条の8（個人情報の国外移転）
    • 第28条の9（個人情報の国外移転中止命令）
    • 第28条の10（相互主義）
    • 第28条の11（準用規定）
• 第4章 個人情報の安全な管理
  • 第29条（安全措置義務）
  • 第30条（個人情報処理方針の樹立及び公開）
  • 第30条の2（個人情報処理方針の評価及び改善勧告）
  • 第31条（個人情報保護責任者の指定など）
  • 第31条の2（国内代理人の指定）
  • 第32条（個人情報ファイルの登録及び公開）
  • 第32条の2（個人情報保護認証）
  • 第33条（個人情報影響評価）
  • 第34条（個人情報流出などの通知・申告）
  • 第34条の2（露出された個人情報の削除・遮断）
• 第5章 情報主体の権利保障
  • 第35条（個人情報の閲覧）
  • 第35条の2（個人情報の伝送要求）
  • 第35条の3（個人情報管理専門機関）
  • 第35条の4（個人情報伝送管理および支援）
  • 第36条（個人情報の訂正・削除）
  • 第37条（個人情報の処理停止等）
  • 第37条の2（自動化された決定に対する情報主体の権利等）
  • 第38条（権利行使の方法および手続）
  • 第39条（損害賠償責任）
  • 第39条の2（法定損害賠償の請求）
  • 第38条（権利行使の方法および手続）
  • 第39条（損害賠償責任）
  • 第39条の2（法定損害賠償の請求）
• 第6章 削除
  • 第39条の3（資料の提出）
  • 第39条の4（秘密維持命令）
  • 第39条の5（秘密維持命令の取消）
  • 第39条の6（訴訟記録閲覧等の請求通知等）
  • 第39条の7（損害賠償の保障）
• 第7章 個人情報紛争調整委員会
  • 第40条（設置および構成）
  • 第41条（委員の身分保障）
  • 第42条（委員の除斥・忌避・回避）
  • 第43条（調停の申請等）
  • 第44条（処理期間）
  • 第45条（資料の要請および事実調査等）
  • 第45条の2（陳述の援用制限）
  • 第46条（調停前合意勧告）
  • 第47条（紛争の調停）
  • 第48条（調停の拒否および中止）
  • 第49条（集団紛争調停）
  • 第50条（調整手続等）
  • 第50条の2（改善意見の通報）
• 第8章 個人情報団体訴訟
  • 第51条（団体訴訟の対象等）
  • 第52条（専属管轄）
  • 第53条（訴訟代理人の選任）
  • 第54条（訴訟許可申請）
  • 第55条（訴訟許可要件等）
  • 第56条（確定判決の効力）
  • 第57条（「民事訴訟法」の適用等）
• 第9章 補則
  • 第58条（適用の一部除外）
  • 第58条の2（適用除外）
  • 第59条（禁止行為）
  • 第60条（秘密維持等）
  • 第61条（意見提示および改善勧告）
  • 第62条（侵害事実の申告等）
  • 第63条（資料提出要求および検査）
  • 第63条の2（事前実態点検）
  • 第64条（是正措置等）
  • 第64条の2（過徴金の賦課）
  • 第65条（告発および懲戒勧告）
  • 第66条（結果の公表）
  • 第67条（年次報告）
  • 第68条（権限の委任・委託）
  • 第69条（罰則適用時の公務員擬制）
• 第10章 罰則
  • 第70条（罰則）
  • 第71条（罰則）
  • 第72条（罰則）
  • 第73条（罰則）
  • 第74条（両罰規定）
  • 第74条の2（没収・追徴等）
  • 第75条（過怠料）

 

第1章 総則

第1条（目的）

この法律は、個人情報の処理及び保護に関する事項を定めることにより個人の自由と権利を保護し、ひいては個人の尊厳と価値を実現することを目的とする。<改正 2014. 3. 24.>

第2条（定義）

この法律で使用する用語の意味は次のとおりである。<改正 2014. 3. 24.、2020. 2. 4.、2023. 3. 14.>

1. 「個人情報」とは、生存する個人に関する情報として次の各目のいずれか一つに該当する情報をいう。
1. 氏名、住民登録番号及び映像などを通じて個人を識別できる情報
2. 当該情報のみでは特定個人を識別できないとしても他の情報と容易に結合して識別できる情報。この場合、容易に結合できるか否かは、他の情報の入手可能性など個人を識別するのに所要される時間、費用、技術などを合理的に考慮しなければならない。
3. a又はbを第1号の2により仮名処理することにより、元の状態に復元するための追加情報の使用・結合なしには特定個人を識別できない情報（以下「仮名情報」という）
2. 「仮名処理」とは、個人情報の一部を削除し又は一部若しくは全部を代替するなどの方法により追加情報がなくては特定個人を識別できないように処理することをいう。
3. 「処理」とは、個人情報の収集、生成、連携、連動、記録、保存、保有、加工、編集、検索、出力、訂正、復旧、利用、提供、公開、破棄、その他これと類似の行為をいう。
4. 「情報主体」とは、処理される情報により識別できる人としてその情報の主体となる人をいう。
5. 「個人情報ファイル」とは、個人情報を容易に検索できるように一定の規則に従って体系的に配列し又は構成した個人情報の集合物をいう。
6. 「個人情報処理者」とは、業務を目的として個人情報ファイルを運用するために自ら又は他の人を通じて個人情報を処理する公共機関、法人、団体及び個人などをいう。
7. 「公共機関」とは、次の各目の機関をいう。
1. 国会、裁判所、憲法裁判所、中央選挙管理委員会の行政事務を処理する機関、中央行政機関（大統領所属機関と国務総理所属機関を含む）及びその所属機関、地方自治団体
2. その他の国家機関及び公共団体のうち大統領令で定める機関
8. 「固定型映像情報処理機器」とは、一定の空間に設置されて持続的又は周期的に人又は物の映像などを撮影し又はこれを有・無線網を通じて送信する装置として大統領令で定める装置をいう。
9. 「移動型映像情報処理機器」とは、人が身体に着用又は携帯し又は移動可能な物体に付着又は据置して人又は物の映像などを撮影し又はこれを有・無線網を通じて送信する装置として大統領令で定める装置をいう。
10. 「科学的研究」とは、技術の開発と実証、基礎研究、応用研究及び民間投資研究など科学的方法を適用する研究をいう。

第3条（個人情報保護原則）

1. 個人情報処理者は、個人情報の処理目的を明確にしなければならず、その目的に必要な範囲で最小限の個人情報のみを適法かつ正当に収集しなければならない。
2. 個人情報処理者は、個人情報の処理目的に必要な範囲で適合的に個人情報を処理しなければならず、その目的外の用途に活用してはならない。
3. 個人情報処理者は、個人情報の処理目的に必要な範囲で個人情報の正確性、完全性及び最新性が保障されるようにしなければならない。
4. 個人情報処理者は、個人情報の処理方法及び種類などにより、情報主体の権利が侵害される可能性とその危険程度を考慮して個人情報を安全に管理しなければならない。
5. 個人情報処理者は、第30条による個人情報処理方針など個人情報の処理に関する事項を公開しなければならず、閲覧請求権など情報主体の権利を保障しなければならない。<改正 2023. 3. 14.>
6. 個人情報処理者は、情報主体の私生活侵害を最小化する方法で個人情報を処理しなければならない。
7. 個人情報処理者は、個人情報を匿名又は仮名で処理しても個人情報収集目的を達成できる場合、匿名処理が可能な場合には匿名により、匿名処理で目的を達成できない場合には仮名により処理されるようにしなければならない。<改正 2020. 2. 4.>
8. 個人情報処理者は、この法律及び関係法令で規定している責任と義務を遵守し実践することにより情報主体の信頼を得るために努力しなければならない。

第4条（情報主体の権利）

情報主体は、自身の個人情報処理と関連して次の各号の権利を有する。<改正 2023. 3. 14.>

1. 個人情報の処理に関する情報を提供される権利
2. 個人情報の処理に関する同意の可否、同意範囲などを選択し決定する権利
3. 個人情報の処理可否を確認し個人情報に対する閲覧（写本の発給を含む。以下同じ）及び転送を要求する権利
4. 個人情報の処理停止、訂正・削除及び破棄を要求する権利
5. 個人情報の処理により発生した被害を迅速かつ公正な手続により救済される権利
6. 完全に自動化された個人情報処理による決定を拒否し又はこれに対する説明などを要求する権利

第5条（国家などの責務）

1. 国家と地方自治団体は、個人情報の目的外収集、誤用・濫用及び無分別な監視・追跡などによる弊害を防止して人間の尊厳と個人の私生活保護を図るための施策を講じなければならない。
2. 国家と地方自治団体は、第4条による情報主体の権利を保護するために法令の改善など必要な施策を設けなければならない。
3. 国家と地方自治団体は、満14歳未満の児童が個人情報処理が及ぼす影響と情報主体の権利などを明確に知ることができるよう満14歳未満の児童の個人情報保護に必要な施策を設けなければならない。<新設 2023. 3. 14.>
4. 国家と地方自治団体は、個人情報の処理に関する不合理な社会的慣行を改善するために個人情報処理者の自律的な個人情報保護活動を尊重し促進・支援しなければならない。<改正 2023. 3. 14.>
5. 国家と地方自治団体は、個人情報の処理に関する法令又は条例を適用する場合には、情報主体の権利が保障されるよう個人情報保護原則に合わせて適用しなければならない。<改正 2023. 3. 14.>

第6条（他の法律との関係）

1. 個人情報の処理及び保護に関して他の法律に特別な規定がある場合を除いては、この法律で定めるところによる。<改正 2014. 3. 24.、2023. 3. 14.>
2. 個人情報の処理及び保護に関する他の法律を制定し又は改正する場合には、この法律の目的と原則に合うようにしなければならない。<新設 2023. 3. 14.>

第2章 個人情報保護政策の樹立など

第7条（個人情報保護委員会）

1. 個人情報保護に関する事務を独立的に遂行するために国務総理所属に個人情報保護委員会（以下「保護委員会」という）を置く。<改正 2020. 2. 4.>
2. 保護委員会は、「政府組織法」第2条による中央行政機関とみなす。ただし、次の各号の事項に対しては「政府組織法」第18条を適用しない。<改正 2020. 2. 4.>
1. 第7条の8第3号及び第4号の事務
2. 第7条の9第1項の審議・議決事項のうち第1号に該当する事項
3. 削除<2020. 2. 4.>
4. 削除<2020. 2. 4.>
5. 削除<2020. 2. 4.>
6. 削除<2020. 2. 4.>
7. 削除<2020. 2. 4.>
8. 削除<2020. 2. 4.>
9. 削除<2020. 2. 4.>

第7条の2（保護委員会の構成など）

1. 保護委員会は、常任委員2名（委員長1名、副委員長1名）を含む9名の委員で構成する。
2. 保護委員会の委員は、個人情報保護に関する経歴と専門知識が豊富な次の各号の人のうちから委員長と副委員長は国務総理の提請により、その他委員のうち2名は委員長の提請により、2名は大統領が所属し又は所属していた政党の交渉団体推薦により、3名はその他の交渉団体推薦により大統領が任命又は委嘱する。
1. 個人情報保護業務を担当する3級以上公務員（高位公務員団に属する公務員を含む）の職にあり又はあった人
2. 判事・検事・弁護士の職に10年以上あり又はあった人
3. 公共機関又は団体（個人情報処理者で構成された団体を含む）に3年以上役員として在職したか又はこれら機関又は団体から推薦を受けた人として個人情報保護業務を3年以上担当した人
4. 個人情報関連分野に専門知識があり、「高等教育法」第2条第1号による学校で副教授以上として5年以上在職し又は在職していた人
3. 委員長と副委員長は、政務職公務員として任命する。
4. 委員長、副委員長、第7条の13による事務処の長は、「政府組織法」第10条にもかかわらず政府委員となる。

[本条新設 2020. 2. 4.]

第7条の3（委員長）

1. 委員長は、保護委員会を代表し、保護委員会の会議を主宰し、所管事務を総括する。
2. 委員長がやむを得ない事由により職務を遂行できない場合には副委員長がその職務を代行し、委員長・副委員長が共にやむを得ない事由により職務を遂行できない場合には委員会が予め定める委員が委員長の職務を代行する。
3. 委員長は、国会に出席して保護委員会の所管事務に関して意見を陳述することができ、国会で要求すれば出席して報告し又は答弁しなければならない。
4. 委員長は、国務会議に出席して発言することができ、その所管事務に関して国務総理に議案提出を建議することができる。

[本条新設 2020. 2. 4.]

第7条の4（委員の任期）

1. 委員の任期は3年とし、一度だけ再任することができる。
2. 委員が欠位した場合には遅滞なく新しい委員を任命又は委嘱しなければならない。この場合、後任として任命又は委嘱された委員の任期は新たに開始される。

[本条新設 2020. 2. 4.]

第7条の5（委員の身分保障）

1. 委員は、次の各号のいずれか一つに該当する場合を除いては、その意思に反して免職又は解嘱されない。
1. 長期間心身障害により職務を遂行できなくなった場合
2. 第7条の7の欠格事由に該当する場合
3. この法律又はその他の法律による職務上の義務に違反した場合
2. 委員は、法律と良心により独立的に職務を遂行する。

[本条新設 2020. 2. 4.]

第7条の6（兼職禁止など）

1. 委員は、在職中次の各号の職を兼ね又は職務と関連した営利業務に従事してはならない。
1. 国会議員又は地方議会議員
2. 国家公務員又は地方公務員
3. その他大統領令で定める職
2. 第1項による営利業務に関する事項は大統領令で定める。
3. 委員は、政治活動に関与することができない。

[本条新設 2020. 2. 4.]

第7条の7（欠格事由）

1. 次の各号のいずれか一つに該当する人は委員になることができない。
1. 大韓民国国民でない人
2. 「国家公務員法」第33条各号のいずれか一つに該当する人
3. 「政党法」第22条による党員
2. 委員が第1項各号のいずれか一つに該当するようになった場合にはその職から当然退職する。ただし、「国家公務員法」第33条第2号は破産宣告を受けた人として「債務者回生及び破産に関する法律」により申請期限内に免責申請をしなかったか免責不許可決定又は免責取消が確定した場合のみ該当し、同法第33条第5号は「刑法」第129条から第132条まで、「性暴力犯罪の処罰などに関する特例法」第2条、「児童・青少年の性保護に関する法律」第2条第2号及び職務と関連して「刑法」第355条又は第356条に規定された罪を犯した人として禁錮以上の刑の執行猶予を受けた場合のみ該当する。

[本条新設 2020. 2. 4.]

第7条の8（保護委員会の所管事務）

保護委員会は、次の各号の所管事務を遂行する。<改正 2023. 3. 14.>

1. 個人情報の保護と関連した法令の改善に関する事項
2. 個人情報保護と関連した政策・制度・計画樹立・執行に関する事項
3. 情報主体の権利侵害に対する調査及びこれに伴う処分に関する事項
4. 個人情報の処理と関連した苦情処理・権利救済及び個人情報に関する紛争の調停
5. 個人情報保護のための国際機構及び外国の個人情報保護機構との交流・協力
6. 個人情報保護に関する法令・政策・制度・実態などの調査・研究、教育及び広報に関する事項
7. 個人情報保護に関する技術開発の支援・普及、技術の標準化及び専門人力の養成に関する事項
8. この法律及び他の法令により保護委員会の事務と規定された事項

[本条新設 2020. 2. 4.]

第7条の9（保護委員会の審議・議決事項など）

1. 保護委員会は、次の各号の事項を審議・議決する。<改正 2023. 3. 14.>
1. 第8条の2による個人情報侵害要因評価に関する事項
2. 第9条による基本計画及び第10条による施行計画に関する事項
3. 個人情報保護と関連した政策、制度及び法令の改善に関する事項
4. 個人情報の処理に関する公共機関間の意見調整に関する事項
5. 個人情報保護に関する法令の解釈・運営に関する事項
6. 第18条第2項第5号による個人情報の利用・提供に関する事項
7. 第28条の9による個人情報の国外移転中止命令に関する事項
8. 第33条第4項による影響評価結果に関する事項
9. 第64条の2による過怠金賦課に関する事項
10. 第61条による意見提示及び改善勧告に関する事項
11. 第63条の2第2項による是正勧告に関する事項
12. 第64条による是正措置などに関する事項
13. 第65条による告発及び懲戒勧告に関する事項
14. 第66条による処理結果の公表及び公表命令に関する事項
15. 第75条による過怠金賦課に関する事項
16. 所管法令及び保護委員会規則の制定・改正及び廃止に関する事項
17. 個人情報保護と関連して保護委員会の委員長又は委員2名以上が会議に付する事項
18. その他この法律又は他の法令により保護委員会が審議・議決する事項
2. 保護委員会は、第1項各号の事項を審議・議決するために必要な場合、次の各号の措置をすることができる。
1. 関係公務員、個人情報保護に関する専門知識がある人又は市民社会団体及び関連事業者からの意見聴取
2. 関係機関などに対する資料提出又は事実照会要求
3. 第2項第2号による要求を受けた関係機関などは、特別な事情がなければこれに従わなければならない。
4. 保護委員会は、第1項第3号の事項を審議・議決した場合には、関係機関にその改善を勧告することができる。
5. 保護委員会は、第4項による勧告内容の履行可否を点検することができる。

[本条新設 2020. 2. 4.]

第7条の10（会議）

1. 保護委員会の会議は、委員長が必要であると認めるか再籍委員4分の1以上の要求がある場合に委員長が招集する。
2. 委員長又は2名以上の委員は、保護委員会に議案を提議することができる。
3. 保護委員会の会議は、再籍委員過半数の出席で開議し、出席委員過半数の賛成で議決する。

[本条新設 2020. 2. 4.]

第7条の11（委員の除斥・忌避・回避）

1. 委員は、次の各号のいずれか一つに該当する場合には、審議・議決から除斥される。
1. 委員又はその配偶者若しくは配偶者であった者が当該事案の当事者となるか又はその事件に関して共同の権利者又は義務者の関係にある場合
2. 委員が当該事案の当事者と親族であるか親族であった場合
3. 委員が当該事案に関して証言、鑑定、法律諮問をした場合
4. 委員が当該事案に関して当事者の代理人として関与し又は関与していた場合
5. 委員又は委員が属する公共機関・法人又は団体などが助言など支援をしており、それらと利害関係がある場合
2. 委員に審議・議決の公正を期待し難い事情がある場合、当事者は忌避申請をすることができ、保護委員会は議決でこれを決定する。
3. 委員が第1項又は第2項の事由がある場合には、当該事案に対して回避することができる。

[本条新設 2020. 2. 4.]

第7条の12（小委員会）

1. 保護委員会は、効率的な業務遂行のために個人情報侵害程度が軽微であるか類似・反復される事項などを審議・議決する小委員会を置くことができる。
2. 小委員会は3名の委員で構成する。
3. 小委員会が第1項により審議・議決したことは保護委員会が審議・議決したものとみなす。
4. 小委員会の会議は、構成委員全員の出席と出席委員全員の賛成で議決する。

[本条新設 2020. 2. 4.]

第7条の13（事務処）

保護委員会の事務を処理するために保護委員会に事務処を置き、この法律に規定されたもの以外に保護委員会の組織に関する事項は大統領令で定める。

[本条新設 2020. 2. 4.]

第7条の14（運営など）

この法律と他の法令に規定されたもの以外に保護委員会の運営などに必要な事項は、保護委員会の規則で定める。

[本条新設 2020. 2. 4.]

第8条 削除<2020. 2. 4.>

第8条の2（個人情報侵害要因評価）

1. 中央行政機関の長は、所管法令の制定又は改正を通じて個人情報処理を伴う政策又は制度を導入・変更する場合には、保護委員会に個人情報侵害要因評価を要請しなければならない。
2. 保護委員会が第1項による要請を受けた場合には、当該法令の個人情報侵害要因を分析・検討してその法令の所管機関の長にその改善のために必要な事項を勧告することができる。
3. 第1項による個人情報侵害要因評価の手続と方法に関して必要な事項は大統領令で定める。

[本条新設 2015. 7. 24.]

第9条（基本計画）

1. 保護委員会は、個人情報の保護と情報主体の権益保障のために3年ごとに個人情報保護基本計画（以下「基本計画」という）を関係中央行政機関の長と協議して樹立する。<改正 2013. 3. 23.、2014. 11. 19.、2015. 7. 24.>
2. 基本計画には次の各号の事項が含まれなければならない。
1. 個人情報保護の基本目標と推進方向
2. 個人情報保護と関連した制度及び法令の改善
3. 個人情報侵害防止のための対策
4. 個人情報保護自律規制の活性化
5. 個人情報保護教育・広報の活性化
6. 個人情報保護のための専門人力の養成
7. その他個人情報保護のために必要な事項
3. 国会、裁判所、憲法裁判所、中央選挙管理委員会は、当該機関（その所属機関を含む）の個人情報保護のための基本計画を樹立・施行することができる。

第10条（施行計画）

1. 中央行政機関の長は、基本計画により毎年個人情報保護のための施行計画を作成して保護委員会に提出し、保護委員会の審議・議決を経て施行しなければならない。
2. 施行計画の樹立・施行に必要な事項は大統領令で定める。

第11条（資料提出要求など）

1. 保護委員会は、基本計画を効率的に樹立するために、個人情報処理者、関係中央行政機関の長、地方自治団体の長及び関係機関・団体などに個人情報処理者の法規遵守現況と個人情報管理実態などに関する資料の提出又は意見の陳述などを要求することができる。<改正 2013. 3. 23.、2014. 11. 19.、2015. 7. 24.>
2. 保護委員会は、個人情報保護政策推進、成果評価などのために必要な場合、個人情報処理者、関係中央行政機関の長、地方自治団体の長及び関係機関・団体などを対象に個人情報管理水準及び実態把握などのための調査を実施することができる。<新設 2015. 7. 24.、2017. 7. 26.、2020. 2. 4.>
3. 中央行政機関の長は、施行計画を効率的に樹立・推進するために所管分野の個人情報処理者に第1項による資料提出などを要求することができる。<改正 2015. 7. 24.>
4. 第1項から第3項までによる資料提出などを要求された者は、特別な事情がなければこれに従わなければならない。<改正 2015. 7. 24.>
5. 第1項から第3項までによる資料提出などの範囲と方法など必要な事項は大統領令で定める。<改正 2015. 7. 24.>

第11条の2（個人情報保護水準評価）

1. 保護委員会は、公共機関のうち中央行政機関及びその所属機関、地方自治団体、その他大統領令で定める機関を対象に毎年個人情報保護政策・業務の遂行及びこの法律による義務の遵守可否などを評価（以下「個人情報保護水準評価」という）しなければならない。
2. 保護委員会は、個人情報保護水準評価に必要な場合、当該公共機関の長に関連資料を提出させることができる。
3. 保護委員会は、個人情報保護水準評価の結果をインターネットホームページなどを通じて公開することができる。
4. 保護委員会は、個人情報保護水準評価の結果により優秀機関及びその所属職員に対して表彰することができ、個人情報保護のために必要であると認める場合には当該公共機関の長に改善を勧告することができる。この場合、勧告を受けた公共機関の長は、これを履行するために誠実に努力しなければならず、その措置結果を保護委員会に知らせなければならない。
5. その他個人情報保護水準評価の基準・方法・手続などに必要な事項は大統領令で定める。

[本条新設 2023. 3. 14.]

第12条（個人情報保護指針）

1. 保護委員会は、個人情報の処理に関する基準、個人情報侵害の類型及び予防措置などに関する標準個人情報保護指針（以下「標準指針」という）を定めて個人情報処理者にその遵守を奨励することができる。<改正 2013. 3. 23.、2014. 11. 19.、2017. 7. 26.、2020. 2. 4.>
2. 中央行政機関の長は、標準指針により所管分野の個人情報処理と関連した個人情報保護指針を定めて個人情報処理者にその遵守を奨励することができる。
3. 国会、裁判所、憲法裁判所及び中央選挙管理委員会は、当該機関（その所属機関を含む）の個人情報保護指針を定めて施行することができる。

第13条（自律規制の促進及び支援）

保護委員会は、個人情報処理者の自律的な個人情報保護活動を促進し支援するために次の各号の必要な施策を設けなければならない。<改正 2013. 3. 23.、2014. 11. 19.、2017. 7. 26.、2020. 2. 4.>

1. 個人情報保護に関する教育・広報
2. 個人情報保護と関連した機関・団体の育成及び支援
3. 個人情報保護認証マークの導入・施行支援
4. 個人情報処理者の自律的な規約の制定・施行支援
5. その他個人情報処理者の自律的個人情報保護活動を支援するために必要な事項

第13条の2（個人情報保護の日）

1. 個人情報の保護及び処理の重要性を国民に知らせるために毎年9月30日を個人情報保護の日として指定する。
2. 国家と地方自治団体は、個人情報保護の日が含まれる週に個人情報保護文化拡散のための各種行事を実施することができる。

[本条新設 2023. 3. 14.]

第14条（国際協力）

1. 政府は、国際的環境での個人情報保護水準を向上させるために必要な施策を設けなければならない。
2. 政府は、個人情報国外移転により、情報主体の権利が侵害されないよう関連施策を設けなければならない。

第3章 個人情報の処理

第1節 個人情報の収集、利用、提供など

第15条（個人情報の収集・利用）

1. 個人情報処理者は、次の各号のいずれか一つに該当する場合には個人情報を収集することができ、その収集目的の範囲で利用することができる。<改正 2023. 3. 14.>
1. 情報主体の同意を得た場合
2. 法律に特別な規定があるか法令上義務を遵守するためにやむを得ない場合
3. 公共機関が法令などで定める所管業務の遂行のためにやむを得ない場合
4. 情報主体と締結した契約を履行し又は契約を締結する過程で情報主体の要請による措置を履行するために必要な場合
5. 明白に情報主体又は第三者の急迫した生命、身体、財産の利益のために必要であると認められる場合
6. 個人情報処理者の正当な利益を達成するために必要な場合として明白に情報主体の権利より優先する場合。この場合、個人情報処理者の正当な利益と相当な関連があり合理的な範囲を超過しない場合に限る。
7. 公衆衛生など公共の安全と安寧のために緊急に必要な場合
2. 個人情報処理者は、第1項第1号による同意を得る場合には次の各号の事項を情報主体に知らせなければならない。次の各号のいずれか一つの事項を変更する場合にもこれを知らせて同意を得なければならない。
1. 個人情報の収集・利用目的
2. 収集しようとする個人情報の項目
3. 個人情報の保有及び利用期間
4. 同意を拒否する権利があるという事実及び同意拒否に伴う不利益がある場合にはその不利益の内容
3. 個人情報処理者は、当初収集目的と合理的に関連した範囲で情報主体に不利益が発生するか否か、暗号化など安全性確保に必要な措置をしたか否かなどを考慮して大統領令で定めるところにより情報主体の同意なしに個人情報を利用することができる。<新設 2020. 2. 4.>

第16条（個人情報の収集制限）

1. 個人情報処理者は、第15条第1項各号のいずれか一つに該当して個人情報を収集する場合には、その目的に必要な最小限の個人情報を収集しなければならない。この場合、最小限の個人情報収集という立証責任は個人情報処理者が負担する。
2. 個人情報処理者は、情報主体の同意を得て個人情報を収集する場合、必要な最小限の情報以外の個人情報収集には同意しないことができるという事実を具体的に知らせて個人情報を収集しなければならない。<新設 2013. 8. 6.>
3. 個人情報処理者は、情報主体が必要な最小限の情報以外の個人情報収集に同意しないという理由で情報主体に財貨又はサービスの提供を拒否してはならない。<改正 2013. 8. 6.>

第17条（個人情報の提供）

1. 個人情報処理者は、次の各号のいずれか一つに該当する場合には、情報主体の個人情報を第三者に提供（共有を含む。以下同じ）することができる。<改正 2020. 2. 4.、2023. 3. 14.>
1. 情報主体の同意を得た場合
2. 第15条第1項第2号、第3号及び第5号から第7号までにより個人情報を収集した目的範囲で個人情報を提供する場合
2. 個人情報処理者は、第1項第1号による同意を得る場合には次の各号の事項を情報主体に知らせなければならない。次の各号のいずれか一つの事項を変更する場合にもこれを知らせて同意を得なければならない。
1. 個人情報を提供される者
2. 個人情報を提供される者の個人情報利用目的
3. 提供する個人情報の項目
4. 個人情報を提供される者の個人情報保有及び利用期間
5. 同意を拒否する権利があるという事実及び同意拒否に伴う不利益がある場合にはその不利益の内容
3. 削除<2023. 3. 14.>
4. 個人情報処理者は、当初収集目的と合理的に関連した範囲で情報主体に不利益が発生するか否か、暗号化など安全性確保に必要な措置をしたか否かなどを考慮して大統領令で定めるところにより情報主体の同意なしに個人情報を提供することができる。<新設 2020. 2. 4.>

第18条（個人情報の目的外利用・提供制限）

1. 個人情報処理者は、個人情報を第15条第1項による範囲を超過して利用し又は第17条第1項及び第28条の8第1項による範囲を超過して第三者に提供してはならない。<改正 2020. 2. 4.、2023. 3. 14.>
2. 第1項にもかかわらず、個人情報処理者は、次の各号のいずれか一つに該当する場合には、情報主体又は第三者の利益を不当に侵害する憂慮があるときを除いては個人情報を目的外の用途に利用し又はこれを第三者に提供することができる。ただし、第5号から第9号までによる場合は公共機関の場合に限定する。<改正 2020. 2. 4.、2023. 3. 14.>
1. 情報主体から別途の同意を得た場合
2. 他の法律に特別な規定がある場合
3. 明白に情報主体又は第三者の急迫した生命、身体、財産の利益のために必要であると認められる場合
4. 削除<2020. 2. 4.>
5. 個人情報を目的外の用途に利用し又はこれを第三者に提供しなければ他の法律で定める所管業務を遂行することができない場合として保護委員会の審議・議決を経た場合
6. 条約、その他の国際協定の履行のために外国政府又は国際機構に提供するために必要な場合
7. 犯罪の捜査と公訴の提起及び維持のために必要な場合
8. 裁判所の裁判業務遂行のために必要な場合
9. 刑及び監護、保護処分の執行のために必要な場合
10. 公衆衛生など公共の安全と安寧のために緊急に必要な場合
3. 個人情報処理者は、第2項第1号による同意を得る場合には次の各号の事項を情報主体に知らせなければならない。次の各号のいずれか一つの事項を変更する場合にもこれを知らせて同意を得なければならない。
1. 個人情報を提供される者
2. 個人情報の利用目的（提供時には提供される者の利用目的をいう）
3. 利用又は提供する個人情報の項目
4. 個人情報の保有及び利用期間（提供時には提供される者の保有及び利用期間をいう）
5. 同意を拒否する権利があるという事実及び同意拒否に伴う不利益がある場合にはその不利益の内容
4. 公共機関は、第2項第2号から第6号まで、第8号から第10号までにより個人情報を目的外の用途に利用し又はこれを第三者に提供する場合には、その利用又は提供の法的根拠、目的及び範囲などに関して必要な事項を保護委員会が告示で定めるところにより官報又はインターネットホームページなどに掲載しなければならない。<改正 2013. 3. 23.、2014. 11. 19.、2017. 7. 26.、2020. 2. 4.、2023. 3. 14.>
5. 個人情報処理者は、第2項各号のいずれか一つの場合に該当して個人情報を目的外の用途に第三者に提供する場合には、個人情報を提供される者に利用目的、利用方法、その他必要な事項に対して制限をし又は個人情報の安全性確保のために必要な措置を設けることを要請しなければならない。この場合、要請を受けた者は個人情報の安全性確保のために必要な措置をしなければならない。

[題目改正 2013. 8. 6.]

第19条（個人情報を提供された者の利用・提供制限）

個人情報処理者から個人情報を提供された者は、次の各号のいずれか一つに該当する場合を除いては個人情報を提供された目的外の用途に利用し又はこれを第三者に提供してはならない。

1. 情報主体から別途の同意を得た場合
2. 他の法律に特別な規定がある場合

第20条（情報主体以外から収集した個人情報の収集出所など通知）

1. 個人情報処理者が情報主体以外から収集した個人情報を処理する場合には、情報主体の要求があれば直ちに次の各号のすべての事項を情報主体に知らせなければならない。<改正 2023. 3. 14.>
1. 個人情報の収集出所
2. 他の法令に特別な規定がある場合
3. 明白に情報主体又は第三者の急迫した生命、身体、財産の利益のために必要であると認められる場合
4. 削除<2020. 2. 4.>
5. 個人情報を目的外の用途に利用し又はこれを第三者に提供しなければ他の法令で定める所管業務を遂行することができない場合として保護委員会の審議・議決を経た場合
6. 条約、その他の国際協定の履行のために外国政府又は国際機構に提供するために必要な場合
7. 犯罪の捜査と公訴の提起及び維持のために必要な場合
8. 裁判所の裁判業務遂行のために必要な場合
9. 刑及び監護、保護処分の執行のために必要な場合
10. 公衆衛生など公共の安全と安寧のために緊急に必要な場合
2. 第1項にもかかわらず、処理する個人情報の種類・規模、従業員数及び売上額規模などを考慮して大統領令で定める基準に該当する個人情報処理者が第17条第1項第1号により情報主体以外から個人情報を収集して処理する場合には、第1項各号のすべての事項を情報主体に知らせなければならない。ただし、個人情報処理者が収集した情報に連絡先など情報主体に知らせることができる個人情報が含まれていない場合にはそうではない。<新設 2016. 3. 29.>
3. 第2項本文により知らせる場合、情報主体に知らせる時期・方法及び手続など必要な事項は大統領令で定める。<新設 2016. 3. 29.>
4. 第1項と第2項本文は次の各号のいずれか一つに該当する場合には適用しない。ただし、この法律による情報主体の権利より明白に優先する場合に限る。<改正 2016. 3. 29.、2023. 3. 14.>
1. 通知を要求する対象となる個人情報が第32条第2項各号のいずれか一つに該当する個人情報ファイルに含まれている場合
2. 通知により他の人の生命・身体を害する憂慮があるか他の人の財産とその他の利益を不当に侵害する憂慮がある場合

[題目改正 2023. 3. 14.]

第20条の2（個人情報利用・提供内訳の通知）

1. 大統領令で定める基準に該当する個人情報処理者は、この法律により収集した個人情報の利用・提供内訳又は利用・提供内訳を確認できる情報システムに接続する方法を周期的に情報主体に通知しなければならない。ただし、連絡先など情報主体に通知できる個人情報を収集・保有していない場合には通知しなくてもよい。
2. 第1項による通知の対象となる情報主体の範囲、通知対象情報、通知周期及び方法などに必要な事項は大統領令で定める。

[本条新設 2023. 3. 14.]

第21条（個人情報の破棄）

1. 個人情報処理者は、保有期間の経過、個人情報の処理目的達成、仮名情報の処理期間経過などその個人情報が不必要になった場合には遅滞なくその個人情報を破棄しなければならない。ただし、他の法令により保存しなければならない場合にはそうではない。<改正 2023. 3. 14.>
2. 個人情報処理者が第1項により個人情報を破棄する場合には、復旧又は再生されないように措置しなければならない。
3. 個人情報処理者が第1項但書により個人情報を破棄せず保存しなければならない場合には、当該個人情報又は個人情報ファイルを他の個人情報と分離して保存・管理しなければならない。
4. 個人情報の破棄方法及び手続などに必要な事項は大統領令で定める。

第22条（同意を得る方法）

1. 個人情報処理者は、この法律による個人情報の処理に対して情報主体（第22条の2第1項による法定代理人を含む。以下この条で同じ）の同意を得る場合には、各々の同意事項を区分して情報主体がこれを明確に認知できるように知らせて同意を得なければならない。この場合、次の各号の場合には同意事項を区分して各々同意を得なければならない。<改正 2017. 4. 18.、2023. 3. 14.>
1. 第15条第1項第1号により同意を得る場合
2. 第17条第1項第1号により同意を得る場合
3. 第18条第2項第1号により同意を得る場合
4. 第19条第1号により同意を得る場合
5. 第23条第1項第1号により同意を得る場合
6. 第24条第1項第1号により同意を得る場合
7. 財貨又はサービスを広報し又は販売を勧誘するために個人情報の処理に対する同意を得ようとする場合
8. その他情報主体を保護するために同意事項を区分して同意を得る必要がある場合として大統領令で定める場合
2. 個人情報処理者は、第1項の同意を書面（「電子文書及び電子取引基本法」第2条第1号による電子文書を含む）で受ける場合には、個人情報の収集・利用目的、収集・利用しようとする個人情報の項目など大統領令で定める重要な内容を保護委員会が告示で定める方法により明確に表示して分かり易くしなければならない。<新設 2017. 4. 18.、2017. 7. 26.、2020. 2. 4.>
3. 個人情報処理者は、情報主体の同意なしに処理できる個人情報に対してはその項目と処理の法的根拠を情報主体の同意を得て処理する個人情報と区分して第30条第2項により公開し又は電子メールなど大統領令で定める方法により情報主体に知らせなければならない。この場合、同意なしに処理できる個人情報という立証責任は個人情報処理者が負担する。<改正 2016. 3. 29.、2017. 4. 18.、2023. 3. 14.>
4. 削除<2023. 3. 14.>
5. 個人情報処理者は、情報主体が選択的に同意できる事項を同意しないか第1項第3号及び第7号による同意をしないという理由で情報主体に財貨又はサービスの提供を拒否してはならない。<改正 2017. 4. 18.、2023. 3. 14.>
6. 削除<2023. 3. 14.>
7. 第1項から第5項までに規定した事項以外に情報主体の同意を得る細部的な方法に関して必要な事項は、個人情報の収集媒体などを考慮して大統領令で定める。<改正 2017. 4. 18.、2023. 3. 14.>

第22条の2（児童の個人情報保護）

1. 個人情報処理者は、満14歳未満の児童の個人情報を処理するためにこの法律による同意を得なければならない場合には、その法定代理人の同意を得なければならず、法定代理人が同意したか否かを確認しなければならない。
2. 第1項にもかかわらず、法定代理人の同意を得るために必要な最小限の情報として大統領令で定める情報は、法定代理人の同意なしに当該児童から直接収集することができる。
3. 個人情報処理者は、満14歳未満の児童に個人情報処理と関連した事項の告知などをする場合には、理解し易い様式と明確で分かり易い言語を使用しなければならない。
4. 第1項から第3項までに規定した事項以外に同意及び同意確認方法などに必要な事項は大統領令で定める。

[本条新設 2023. 3. 14.]

第2節 個人情報の処理制限

第23条（敏感情報の処理制限）

1. 個人情報処理者は、思想・信念、労働組合・政党の加入・脱退、政治的見解、健康、性生活などに関する情報、その他情報主体の私生活を著しく侵害する憂慮がある個人情報として大統領令で定める情報（以下「敏感情報」という）を処理してはならない。ただし、次の各号のいずれか一つに該当する場合にはそうではない。<改正 2016. 3. 29.>
1. 情報主体に第15条第2項各号又は第17条第2項各号の事項を知らせて他の個人情報の処理に対する同意と別途に同意を得た場合
2. 法令で敏感情報の処理を要求し又は許容する場合
2. 個人情報処理者が第1項各号により敏感情報を処理する場合には、その敏感情報が紛失・盗難・流出・偽造・変造又は毀損されないよう第29条による安全性確保に必要な措置をしなければならない。<新設 2016. 3. 29.>
3. 個人情報処理者は、財貨又はサービスを提供する過程で公開される情報に情報主体の敏感情報が含まれることにより私生活侵害の危険性があると判断する場合には、財貨又はサービスの提供前に敏感情報の公開可能性及び非公開を選択する方法を情報主体が分かり易く知らせなければならない。<新設 2023. 3. 14.>

第24条（固有識別情報の処理制限）

1. 個人情報処理者は、次の各号の場合を除いては法令により個人を固有に区別するために付与された識別情報として大統領令で定める情報（以下「固有識別情報」という）を処理することができない。
1. 情報主体に第15条第2項各号又は第17条第2項各号の事項を知らせて他の個人情報の処理に対する同意と別途に同意を得た場合
2. 法令で具体的に固有識別情報の処理を要求し又は許容する場合
2. 削除<2013. 8. 6.>
3. 個人情報処理者が第1項各号により固有識別情報を処理する場合には、その固有識別情報が紛失・盗難・流出・偽造・変造又は毀損されないよう大統領令で定めるところにより暗号化など安全性確保に必要な措置をしなければならない。<改正 2015. 7. 24.>
4. 保護委員会は、処理する個人情報の種類・規模、従業員数及び売上額規模などを考慮して大統領令で定める基準に該当する個人情報処理者が第3項により安全性確保に必要な措置をしたか否かに関して大統領令で定めるところにより定期的に調査しなければならない。<新設 2016. 3. 29.、2017. 7. 26.、2020. 2. 4.>
5. 保護委員会は、大統領令で定める専門機関をして第4項による調査を遂行させることができる。<新設 2016. 3. 29.、2017. 7. 26.、2020. 2. 4.>

第24条の2（住民登録番号処理の制限）

1. 第24条第1項にもかかわらず、個人情報処理者は、次の各号のいずれか一つに該当する場合を除いては住民登録番号を処理することができない。<改正 2014. 11. 19.、2016. 3. 29.、2017. 7. 26.、2020. 2. 4.>
1. 法律・大統領令・国会規則・大法院規則・憲法裁判所規則・中央選挙管理委員会規則及び監査院規則で具体的に住民登録番号の処理を要求し又は許容した場合
2. 情報主体又は第三者の急迫した生命、身体、財産の利益のために明白に必要であると認められる場合
3. 第1号及び第2号に準じて住民登録番号処理がやむを得ない場合として保護委員会が告示で定める場合
2. 個人情報処理者は、第24条第3項にもかかわらず、住民登録番号が紛失・盗難・流出・偽造・変造又は毀損されないよう暗号化措置を通じて安全に保管しなければならない。この場合、暗号化適用対象及び対象別適用時期などに関して必要な事項は、個人情報の処理規模と流出時の影響などを考慮して大統領令で定める。<新設 2014. 3. 24.、2015. 7. 24.>
3. 個人情報処理者は、第1項各号により住民登録番号を処理する場合にも情報主体がインターネットホームページを通じて会員として加入する段階では住民登録番号を使用せずとも会員として加入できる方法を提供しなければならない。<改正 2014. 3. 24.>
4. 保護委員会は、個人情報処理者が第3項による方法を提供できるよう関係法令の整備、計画の樹立、必要な施設及びシステムの構築など諸般措置を設け・支援することができる。<改正 2014. 3. 24.、2017. 7. 26.、2020. 2. 4.>

[本条新設 2013. 8. 6.]

第25条（固定型映像情報処理機器の設置・運営制限）

1. 誰でも次の各号の場合を除いては公開された場所に固定型映像情報処理機器を設置・運営してはならない。<改正 2023. 3. 14.>
1. 法令で具体的に許容している場合
2. 犯罪の予防及び捜査のために必要な場合
3. 施設の安全及び管理、火災予防のために正当な権限を有する者が設置・運営する場合
4. 交通取締りのために正当な権限を有する者が設置・運営する場合
5. 交通情報の収集・分析及び提供のために正当な権限を有する者が設置・運営する場合
6. 撮影された映像情報を保存しない場合として大統領令で定める場合
2. 誰でも不特定多数が利用する浴室、化粧室、発汗室、脱衣室など個人の私生活を著しく侵害する憂慮がある場所の内部を見ることができるように固定型映像情報処理機器を設置・運営してはならない。ただし、刑務所、精神保健施設など法令に基づいて人を拘禁し又は保護する施設として大統領令で定める施設に対してはそうではない。<改正 2023. 3. 14.>
3. 第1項各号により固定型映像情報処理機器を設置・運営しようとする公共機関の長と第2項但書により固定型映像情報処理機器を設置・運営しようとする者は、公聴会・説明会の開催など大統領令で定める手続を経て関係専門家及び利害関係人の意見を収斂しなければならない。<改正 2023. 3. 14.>
4. 第1項各号により固定型映像情報処理機器を設置・運営する者（以下「固定型映像情報処理機器運営者」という）は、情報主体が容易に認識できるよう次の各号の事項が含まれた案内板を設置するなど必要な措置をしなければならない。ただし、「軍事基地及び軍事施設保護法」第2条第2号による軍事施設、「統合防衛法」第2条第13号による国家重要施設、その他大統領令で定める施設の場合にはそうではない。<改正 2016. 3. 29.、2023. 3. 14.>
1. 設置目的及び場所
2. 撮影範囲及び時間
3. 管理責任者の連絡先
4. その他大統領令で定める事項
5. 固定型映像情報処理機器運営者は、固定型映像情報処理機器の設置目的と異なる目的で固定型映像情報処理機器を任意に操作し又は他のところを照らしてはならず、録音機能は使用することができない。<改正 2023. 3. 14.>
6. 固定型映像情報処理機器運営者は、個人情報が紛失・盗難・流出・偽造・変造又は毀損されないよう第29条により安全性確保に必要な措置をしなければならない。<改正 2015. 7. 24.、2023. 3. 14.>
7. 固定型映像情報処理機器運営者は、大統領令で定めるところにより固定型映像情報処理機器運営・管理方針を設けなければならない。ただし、第30条による個人情報処理方針を定める際、固定型映像情報処理機器運営・管理に関する事項を含めた場合には固定型映像情報処理機器運営・管理方針を設けなくてもよい。<改正 2023. 3. 14.>
8. 固定型映像情報処理機器運営者は、固定型映像情報処理機器の設置・運営に関する事務を委託することができる。ただし、公共機関が固定型映像情報処理機器設置・運営に関する事務を委託する場合には、大統領令で定める手続及び要件に従わなければならない。<改正 2023. 3. 14.>

[題目改正 2023. 3. 14.]

第25条の2（移動型映像情報処理機器の運営制限）

1. 業務を目的として移動型映像情報処理機器を運営しようとする者は、次の各号の場合を除いては公開された場所で移動型映像情報処理機器で人又はその人と関連した物の映像（個人情報に該当する場合に限定する。以下同じ）を撮影してはならない。
1. 第15条第1項各号のいずれか一つに該当する場合
2. 撮影事実を明確に表示して情報主体が撮影事実を知ることができるようにしたにもかかわらず撮影拒否意思を明らかにしなかった場合。この場合、情報主体の権利を不当に侵害する憂慮がなく合理的な範囲を超過しない場合に限定する。
3. その他第1号及び第2号に準ずる場合として大統領令で定める場合
2. 誰でも不特定多数が利用する浴室、化粧室、発汗室、脱衣室など個人の私生活を著しく侵害する憂慮がある場所の内部を見ることができるところで移動型映像情報処理機器で人又はその人と関連した物の映像を撮影してはならない。ただし、人命の救助・救急などのために必要な場合として大統領令で定める場合にはそうではない。
3. 第1項各号に該当して移動型映像情報処理機器で人又はその人と関連した物の映像を撮影する場合には、不快、音、案内板など大統領令で定めるところにより撮影事実を表示して知らせなければならない。
4. 第1項から第3項までに規定した事項以外に移動型映像情報処理機器の運営に関しては第25条第6項から第8項までの規定を準用する。

[本条新設 2023. 3. 14.]

第26条（業務委託に伴う個人情報の処理制限）

1. 個人情報処理者が第三者に個人情報の処理業務を委託する場合には、次の各号の内容が含まれた文書でしなければならない。<改正 2023. 3. 14.>
1. 委託業務遂行目的外個人情報の処理禁止に関する事項
2. 個人情報の技術的・管理的保護措置に関する事項
3. その他個人情報の安全な管理のために大統領令で定めた事項
2. 第1項により個人情報の処理業務を委託する個人情報処理者（以下「委託者」という）は、委託する業務の内容と個人情報処理業務を委託されて処理する者（個人情報処理業務を委託されて処理する者から委託された業務を再び委託された第三者を含み、以下「受託者」という）を情報主体がいつでも容易に確認できるよう大統領令で定める方法により公開しなければならない。<改正 2023. 3. 14.>
3. 委託者が財貨又はサービスを広報し又は販売を勧誘する業務を委託する場合には、大統領令で定める方法により委託する業務の内容と受託者を情報主体に知らせなければならない。委託する業務の内容又は受託者が変更された場合も又同じである。
4. 委託者は、業務委託により、情報主体の個人情報が紛失・盗難・流出・偽造・変造又は毀損されないよう受託者を教育し、処理現況点検など大統領令で定めるところにより受託者が個人情報を安全に処理するか否かを監督しなければならない。<改正 2015. 7. 24.>
5. 受託者は、個人情報処理者から委託された当該業務範囲を超過して個人情報を利用し又は第三者に提供してはならない。
6. 受託者は、委託された個人情報の処理業務を第三者に再び委託しようとする場合には委託者の同意を得なければならない。<新設 2023. 3. 14.>
7. 受託者が委託された業務と関連して個人情報を処理する過程でこの法律に違反して発生した損害賠償責任に対しては、受託者を個人情報処理者の所属職員とみなす。<改正 2023. 3. 14.>
8. 受託者に関しては第15条から第18条まで、第21条、第22条、第22条の2、第23条、第24条、第24条の2、第25条、第25条の2、第27条、第28条、第28条の2から第28条の5まで、第28条の7から第28条の11まで、第29条、第30条、第30条の2、第31条、第33条、第34条、第34条の2、第35条、第35条の2、第36条、第37条、第37条の2、第38条、第59条、第63条、第63条の2及び第64条の2を準用する。この場合、「個人情報処理者」は「受託者」とみなす。<改正 2023. 3. 14.>

第27条（営業譲渡などに伴う個人情報の移転制限）

1. 個人情報処理者は、営業の全部又は一部の譲渡・合併などにより個人情報を他の人に移転する場合には、予め次の各号の事項を大統領令で定める方法により当該情報主体に知らせなければならない。
1. 個人情報を移転しようとする事実
2. 個人情報を移転される者（以下「営業譲受者など」という）の姓名（法人の場合には法人の名称をいう）、住所、電話番号及びその他の連絡先
3. 情報主体が個人情報の移転を望まない場合に措置できる方法及び手続
2. 営業譲受者などは、個人情報を移転された場合には、遅滞なくその事実を大統領令で定める方法により情報主体に知らせなければならない。ただし、個人情報処理者が第1項によりその移転事実を既に知らせた場合にはそうではない。
3. 営業譲受者などは、営業の譲渡・合併などにより個人情報を移転された場合には、移転当時の本来の目的でのみ個人情報を利用し又は第三者に提供することができる。この場合、営業譲受者などは個人情報処理者とみなす。

第28条（個人情報取扱者に対する監督）

1. 個人情報処理者は、個人情報を処理するにあたって個人情報が安全に管理されるよう、臨職員、派遣勤労者、時間制勤労者など個人情報処理者の指揮・監督を受けて個人情報を処理する者（以下「個人情報取扱者」という）の範囲を最小限に制限し、個人情報取扱者に対して適切な管理・監督をしなければならない。<改正 2023. 3. 14.>
2. 個人情報処理者は、個人情報の適正な取扱いを保障するために個人情報取扱者に定期的に必要な教育を実施しなければならない。

第3節 仮名情報の処理に関する特例<新設 2020. 2. 4.>

第28条の2（仮名情報の処理など）

1. 個人情報処理者は、統計作成、科学的研究、公益的記録保存などのために情報主体の同意なしに仮名情報を処理することができる。
2. 個人情報処理者は、第1項により仮名情報を第三者に提供する場合には、特定個人を識別するために使用される情報を含めてはならない。

[本条新設 2020. 2. 4.]

第28条の3（仮名情報の結合制限）

1. 第28条の2にもかかわらず、統計作成、科学的研究、公益的記録保存などのための互いに異なる個人情報処理者間の仮名情報の結合は、保護委員会又は関係中央行政機関の長が指定する専門機関が遂行する。
2. 結合を遂行した機関外部に結合された情報を搬出しようとする個人情報処理者は、仮名情報又は第58条の2に該当する情報に処理した後、専門機関の長の承認を得なければならない。
3. 第1項による結合手続と方法、専門機関の指定と指定取消基準・手続、管理・監督、第2項による搬出及び承認基準・手続など必要な事項は大統領令で定める。

[本条新設 2020. 2. 4.]

第28条の4（仮名情報に対する安全措置義務など）

1. 個人情報処理者は、第28条の2又は第28条の3により仮名情報を処理する場合には、元の状態に復元するための追加情報を別途に分離して保管・管理するなど当該情報が紛失・盗難・流出・偽造・変造又は毀損されないよう大統領令で定めるところにより安全性確保に必要な技術的・管理的及び物理的措置をしなければならない。<改正 2023. 3. 14.>
2. 個人情報処理者は、第28条の2又は第28条の3により仮名情報を処理する場合、処理目的などを考慮して仮名情報の処理期間を別途に定めることができる。<新設 2023. 3. 14.>
3. 個人情報処理者は、第28条の2又は第28条の3により仮名情報を処理しようとする場合には、仮名情報の処理目的、第三者提供時提供される者、仮名情報の処理期間（第2項により処理期間を別途に定めた場合に限る）など仮名情報の処理内容を管理するために大統領令で定める事項に対する関連記録を作成して保管しなければならず、仮名情報を破棄した場合には破棄した日から3年以上保管しなければならない。<改正 2023. 3. 14.>

[本条新設 2020. 2. 4.]

第28条の5（仮名情報処理時禁止義務など）

1. 第28条の2又は第28条の3により仮名情報を処理する者は、特定個人を識別するための目的で仮名情報を処理してはならない。<改正 2023. 3. 14.>
2. 個人情報処理者は、第28条の2又は第28条の3により仮名情報を処理する過程で特定個人を識別できる情報が生成された場合には、直ちに当該情報の処理を中止し、遅滞なく回収・破棄しなければならない。<改正 2023. 3. 14.>

[本条新設 2020. 2. 4.]

第28条の6 削除<2023. 3. 14.>

第28条の7（適用範囲）

第28条の2又は第28条の3により処理された仮名情報は、第20条、第20条の2、第27条、第34条第1項、第35条、第35条の2、第36条及び第37条を適用しない。<改正 2023. 3. 14.>

[本条新設 2020. 2. 4.]

第4節 個人情報の国外移転<新設 2023. 3. 14.>

第28条の8（個人情報の国外移転）

1. 個人情報処理者は、個人情報を国外に提供（照会される場合を含む）・処理委託・保管（以下この節で「移転」という）してはならない。ただし、次の各号のいずれか一つに該当する場合には個人情報を国外に移転することができる。
1. 情報主体から国外移転に関する別途の同意を得た場合
2. 法律、大韓民国を当事者とする条約又はその他の国際協定に個人情報の国外移転に関する特別な規定がある場合
3. 情報主体との契約の締結及び履行のために個人情報の処理委託・保管が必要な場合として次の各目のいずれか一つに該当する場合 イ. 第2項各号の事項を第30条による個人情報処理方針に公開した場合 ロ. 電子メールなど大統領令で定める方法により第2項各号の事項を情報主体に知らせた場合
4. 個人情報を移転される者が第32条の2による個人情報保護認証など保護委員会が定めて告示する認証を受けた場合として次の各目の措置を全てした場合 イ. 個人情報保護に必要な安全措置及び情報主体権利保障に必要な措置 ロ. 認証を受けた事項を個人情報が移転される国家で履行するために必要な措置
5. 個人情報が移転される国家又は国際機構の個人情報保護体系、情報主体権利保障範囲、被害救済手続などがこの法律による個人情報保護水準と実質的に同等な水準を備えたと保護委員会が認める場合
2. 個人情報処理者は、第1項第1号による同意を得る場合には、予め次の各号の事項を情報主体に知らせなければならない。
1. 移転される個人情報項目
2. 個人情報が移転される国家、時期及び方法
3. 個人情報を移転される者の姓名（法人である場合にはその名称と連絡先をいう）
4. 個人情報を移転される者の個人情報利用目的及び保有・利用期間
5. 個人情報の移転を拒否する方法、手続及び拒否の効果
3. 個人情報処理者は、第2項各号のいずれか一つに該当する事項を変更する場合には、情報主体に知らせて同意を得なければならない。
4. 個人情報処理者は、第1項各号の外の部分但書により個人情報を国外に移転する場合、国外移転と関連したこの法律の他の規定、第17条から第19条までの規定及び第5章の規定を遵守しなければならず、大統領令で定める保護措置をしなければならない。
5. 個人情報処理者は、この法律に違反する事項を内容とする個人情報の国外移転に関する契約を締結してはならない。
6. 第1項から第5項までに規定した事項以外に個人情報国外移転の基準及び手続などに必要な事項は大統領令で定める。

[本条新設 2023. 3. 14.]

第28条の9（個人情報の国外移転中止命令）

1. 保護委員会は、個人情報の国外移転が継続しているか追加的な国外移転が予想される場合として次の各号のいずれか一つに該当する場合には、個人情報処理者に個人情報の国外移転を中止することを命じることができる。
1. 第28条の8第1項、第4項又は第5項に違反した場合
2. 個人情報を移転される者又は個人情報が移転される国家又は国際機構がこの法律による個人情報保護水準に比して個人情報を適正に保護せず、情報主体に被害が発生したか発生する憂慮が顕著な場合
2. 個人情報処理者は、第1項による国外移転中止命令を受けた場合には、命令を受けた日から7日以内に保護委員会に異議を提起することができる。
3. 第1項による個人情報国外移転中止命令の基準、第2項による不服手続などに必要な事項は大統領令で定める。

[本条新設 2023. 3. 14.]

第28条の10（相互主義）

第28条の8にもかかわらず、個人情報の国外移転を制限する国家の個人情報処理者に対しては当該国家の水準に相応する制限をすることができる。ただし、条約又はその他の国際協定の履行に必要な場合にはそうではない。

[本条新設 2023. 3. 14.]

第28条の11（準用規定）

第28条の8第1項各号の外の部分但書により個人情報を移転された者が当該個人情報を第三国に移転する場合に関しては第28条の8及び第28条の9を準用する。この場合、「個人情報処理者」は「個人情報を移転された者」に、「個人情報を移転される者」は「第三国で個人情報を移転される者」とみなす。

[本条新設 2023. 3. 14.]

第4章 個人情報の安全な管理

第29条（安全措置義務）

個人情報処理者は、個人情報が紛失・盗難・流出・偽造・変造又は毀損されないよう、内部管理計画樹立、接続記録保管など大統領令で定めるところにより安全性確保に必要な技術的・管理的及び物理的措置をしなければならない。<改正 2015. 7. 24.>

第30条（個人情報処理方針の樹立及び公開）

1. 個人情報処理者は、次の各号の事項が含まれた個人情報の処理方針（以下「個人情報処理方針」という）を定めなければならない。この場合、公共機関は第32条により登録対象となる個人情報ファイルに対して個人情報処理方針を定める。<改正 2016. 3. 29.、2020. 2. 4.、2023. 3. 14.>
1. 個人情報の処理目的
2. 個人情報の処理及び保有期間
3. 個人情報の第三者提供に関する事項（該当する場合にのみ定める）
4. 個人情報の破棄手続及び破棄方法（第21条第1項但書により個人情報を保存しなければならない場合にはその保存根拠と保存する個人情報項目を含む）
5. 第23条第3項による敏感情報の公開可能性及び非公開を選択する方法（該当する場合にのみ定める）
6. 個人情報処理の委託に関する事項（該当する場合にのみ定める）
7. 第28条の2及び第28条の3による仮名情報の処理などに関する事項（該当する場合にのみ定める）
8. 情報主体と法定代理人の権利・義務及びその行使方法に関する事項
9. 第31条による個人情報保護責任者の姓名又は個人情報保護業務及び関連苦情事項を処理する部署の名称と電話番号など連絡先
10. インターネット接続情報ファイルなど個人情報を自動で収集する装置の設置・運営及びその拒否に関する事項（該当する場合にのみ定める）
11. その他個人情報の処理に関して大統領令で定める事項
2. 個人情報処理者が個人情報処理方針を樹立し又は変更する場合には、情報主体が容易に確認できるよう大統領令で定める方法により公開しなければならない。
3. 個人情報処理方針の内容と個人情報処理者と情報主体間に締結した契約の内容が異なる場合には、情報主体に有利なものを適用する。
4. 保護委員会は、個人情報処理方針の作成指針を定めて個人情報処理者にその遵守を奨励することができる。<改正 2013. 3. 23.、2014. 11. 19.、2017. 7. 26.、2020. 2. 4.>

第30条の2（個人情報処理方針の評価及び改善勧告）

1. 保護委員会は、個人情報処理方針に関して次の各号の事項を評価し、評価結果改善が必要であると認める場合には、個人情報処理者に第61条第2項により改善を勧告することができる。
1. この法律によ個人情報処理方針に含めるべき事項を適正に定めているか否か
2. 個人情報処理方針を分かり易く作成したか否か
3. 個人情報処理方針を情報主体が容易に確認できる方法で公開しているか否か
2. 個人情報処理方針の評価対象、基準及び手続などに必要な事項は大統領令で定める。

[本条新設 2023. 3. 14.]

第31条（個人情報保護責任者の指定など）

1. 個人情報処理者は、個人情報の処理に関する業務を総括して責任を負う個人情報保護責任者を指定しなければならない。ただし、従業員数、売上額などが大統領令で定める基準に該当する個人情報処理者の場合には指定しなくてもよい。<改正 2023. 3. 14.>
2. 第1項但書により個人情報保護責任者を指定しない場合には、個人情報処理者の事業主又は代表者が個人情報保護責任者となる。<新設 2023. 3. 14.>
3. 個人情報保護責任者は次の各号の業務を遂行する。<改正 2023. 3. 14.>
1. 個人情報保護計画の樹立及び施行
2. 個人情報処理実態及び慣行の定期的な調査及び改善
3. 個人情報処理と関連した不満の処理及び被害救済
4. 個人情報流出及び誤用・濫用防止のための内部統制システムの構築
5. 個人情報保護教育計画の樹立及び施行
6. 個人情報ファイルの保護及び管理・監督
7. その他個人情報の適切な処理のために大統領令で定める業務
4. 個人情報保護責任者は、第3項各号の業務を遂行するにあたって必要な場合、個人情報の処理現況、処理体系などに対して随時調査し又は関係当事者から報告を受けることができる。<改正 2023. 3. 14.>
5. 個人情報保護責任者は、個人情報保護と関連してこの法律及び他の関係法令の違反事実を知るようになった場合には、直ちに改善措置をしなければならず、必要であれば所属機関又は団体の長に改善措置を報告しなければならない。<改正 2023. 3. 14.>
6. 個人情報処理者は、個人情報保護責任者が第3項各号の業務を遂行するにあたって正当な理由なしに不利益を与え又は受けさせてはならず、個人情報保護責任者が業務を独立的に遂行できるよう保障しなければならない。<改正 2023. 3. 14.>
7. 個人情報処理者は、個人情報の安全な処理及び保護、情報の交流、その他大統領令で定める共同の事業を遂行するために第1項による個人情報保護責任者を構成員とする個人情報保護責任者協議会を構成・運営することができる。<新設 2023. 3. 14.>
8. 保護委員会は、第7項による個人情報保護責任者協議会の活動に必要な支援をすることができる。<新設 2023. 3. 14.>
9. 第1項による個人情報保護責任者の資格要件、第3項による業務及び第6項による独立性保障などに必要な事項は、売上額、個人情報の保有規模などを考慮して大統領令で定める。<改正 2023. 3. 14.>

[題目改正 2023. 3. 14.]

第31条の2（国内代理人の指定）

1. 国内に住所又は営業所がない個人情報処理者として売上額、個人情報の保有規模などを考慮して大統領令で定める者は、次の各号の事項を代理する者（以下「国内代理人」という）を指定しなければならない。この場合、国内代理人の指定は文書でしなければならない。<改正 2023. 3. 14.、2025. 4. 1.>
1. 第31条第3項第3号による個人情報処理と関連した不満の処理及び被害救済業務
2. 第34条第1項及び第3項による個人情報流出などの通知及び申告
3. 第63条第1項による物品・書類など資料の提出
2. 国内代理人は、国内に住所又は営業所がなければならない。この場合、次の各号のいずれか一つに該当する法人がある個人情報処理者は、その法人の中から国内代理人を指定しなければならない。<改正 2023. 3. 14.、2025. 4. 1.>
1. 当該個人情報処理者が設立した国内法人
2. 当該個人情報処理者が役員構成、事業運営などに支配的な影響力を行使する国内法人として大統領令で定める法人
3. 第1項により国内代理人を指定した個人情報処理者は、国内代理人が業務を忠実に遂行するよう大統領令で定めるところにより教育し業務現況を点検するなどの管理・監督をしなければならない。<新設 2025. 4. 1.>
4. 個人情報処理者は、第1項により国内代理人を指定する場合には、次の各号の事項を個人情報処理方針に含めなければならない。<改正 2023. 3. 14.、2025. 4. 1.>
1. 国内代理人の姓名（法人の場合にはその名称及び代表者の姓名をいう）
2. 国内代理人の住所（法人の場合には営業所の所在地をいう）、電話番号及び電子メールアドレス
5. 国内代理人が第1項各号と関連してこの法律に違反した場合には、個人情報処理者がその行為をしたものとみなす。<改正 2023. 3. 14.、2025. 4. 1.>

[本条新設 2020. 2. 4.]

[第39条の11から移動<2023. 3. 14.>]

第32条（個人情報ファイルの登録及び公開）

1. 公共機関の長が個人情報ファイルを運用する場合には、次の各号の事項を保護委員会に登録しなければならない。登録した事項が変更された場合も又同じである。<改正 2013. 3. 23.、2014. 11. 19.、2017. 7. 26.、2020. 2. 4.>
1. 個人情報ファイルの名称
2. 個人情報ファイルの運営根拠及び目的
3. 個人情報ファイルに記録される個人情報の項目
4. 個人情報の処理方法
5. 個人情報の保有期間
6. 個人情報を通常的又は反復的に提供する場合にはその提供される者
7. その他大統領令で定める事項
2. 次の各号のいずれか一つに該当する個人情報ファイルに対しては第1項を適用しない。<改正 2023. 3. 14.>
1. 国家安全、外交上秘密、その他国家の重大な利益に関する事項を記録した個人情報ファイル
2. 犯罪の捜査、公訴の提起及び維持、刑及び監護の執行、矯正処分、保護処分、保安観察処分と出入国管理に関する事項を記録した個人情報ファイル
3. 「租税犯処罰法」による犯則行為調査及び「関税法」による犯則行為調査に関する事項を記録した個人情報ファイル
4. 一回的に運営されるファイルなど持続的に管理する必要性が低いと認められて大統領令で定める個人情報ファイル
5. 他の法令により秘密に分類された個人情報ファイル
3. 保護委員会は、必要であれば第1項による個人情報ファイルの登録可否とその内容を検討して当該公共機関の長に改善を勧告することができる。<改正 2013. 3. 23.、2014. 11. 19.、2017. 7. 26.、2020. 2. 4.、2023. 3. 14.>
4. 保護委員会は、情報主体の権利保障などのために必要な場合、第1項による個人情報ファイルの登録現況を誰でも容易に閲覧できるよう公開することができる。<改正 2013. 3. 23.、2014. 11. 19.、2017. 7. 26.、2020. 2. 4.、2023. 3. 14.>
5. 第1項による登録と第4項による公開の方法、範囲及び手続に関して必要な事項は大統領令で定める。
6. 国会、裁判所、憲法裁判所、中央選挙管理委員会（その所属機関を含む）の個人情報ファイル登録及び公開に関しては国会規則、大法院規則、憲法裁判所規則及び中央選挙管理委員会規則で定める。

第32条の2（個人情報保護認証）

1. 保護委員会は、個人情報処理者の個人情報処理及び保護と関連した一連の措置がこの法律に符合するか否かなどに関して認証することができる。<改正 2017. 7. 26.、2020. 2. 4.>
2. 第1項による認証の有効期間は3年とする。
3. 保護委員会は、次の各号のいずれか一つに該当する場合には、大統領令で定めるところにより第1項による認証を取り消すことができる。ただし、第1号に該当する場合には取り消さなければならない。<改正 2017. 7. 26.、2020. 2. 4.>
1. 虚偽又はその他の不正な方法で個人情報保護認証を受けた場合
2. 第4項による事後管理を拒否又は妨害した場合
3. 第8項による認証基準に満たなくなった場合
4. 個人情報保護関連法令に違反してその違反事由が重大な場合
4. 保護委員会は、個人情報保護認証の実効性維持のために年1回以上事後管理を実施しなければならない。<改正 2017. 7. 26.、2020. 2. 4.>
5. 保護委員会は、大統領令で定める専門機関をして第1項による認証、第3項による認証取消、第4項による事後管理及び第7項による認証審査員管理業務を遂行させることができる。<改正 2017. 7. 26.、2020. 2. 4.>
6. 第1項による認証を受けた者は、大統領令で定めるところにより認証の内容を表示し又は広報することができる。
7. 第1項による認証のために必要な審査を遂行する審査員の資格及び資格取消要件などに関しては、専門性と経歴及びその他必要な事項を考慮して大統領令で定める。
8. その他個人情報管理体系、情報主体権利保障、安全性確保措置がこの法律に符合するか否かなど第1項による認証の基準・方法・手続など必要な事項は大統領令で定める。

[本条新設 2015. 7. 24.]

第33条（個人情報影響評価）

1. 公共機関の長は、大統領令で定める基準に該当する個人情報ファイルの運用により、情報主体の個人情報侵害が憂慮される場合には、その危険要因の分析と改善事項導出のための評価（以下「影響評価」という）をし、その結果を保護委員会に提出しなければならない。<改正 2013. 3. 23.、2014. 11. 19.、2017. 7. 26.、2020. 2. 4.、2023. 3. 14.>
2. 保護委員会は、大統領令で定める人力・設備及びその他必要な要件を備えた者を影響評価を遂行する機関（以下「評価機関」という）として指定することができ、公共機関の長は影響評価を評価機関に依頼しなければならない。<新設 2023. 3. 14.>
3. 影響評価をする場合には次の各号の事項を考慮しなければならない。<改正 2023. 3. 14.>
1. 処理する個人情報の数
2. 個人情報の第三者提供可否
3. 情報主体の権利を害する可能性及びその危険程度
4. その他大統領令で定める事項
4. 保護委員会は、第1項により提出された影響評価結果に対して意見を提示することができる。<改正 2013. 3. 23.、2014. 11. 19.、2017. 7. 26.、2020. 2. 4.、2023. 3. 14.>
5. 公共機関の長は、第1項により影響評価をした個人情報ファイルを第32条第1項により登録する場合には、影響評価結果を共に添付しなければならない。<改正 2023. 3. 14.>
6. 保護委員会は、影響評価の活性化のために関係専門家の育成、影響評価基準の開発・普及など必要な措置を設けなければならない。<改正 2013. 3. 23.、2014. 11. 19.、2017. 7. 26.、2020. 2. 4.、2023. 3. 14.>
7. 保護委員会は、第2項により指定された評価機関が次の各号のいずれか一つに該当する場合には、評価機関の指定を取り消すことができる。ただし、第1号又は第2号に該当する場合には評価機関の指定を取り消さなければならない。<新設 2023. 3. 14.>
1. 虚偽又はその他の不正な方法で指定を受けた場合
2. 指定された評価機関が自ら指定取消を望むか廃業した場合
3. 第2項による指定要件を充足しなくなった場合
4. 故意又は重大な過失で影響評価業務を不実に遂行してその業務を適正に遂行できないと認められる場合
5. その他大統領令で定める事由に該当する場合
8. 保護委員会は、第7項により指定を取り消す場合には、「行政手続法」による聴聞を実施しなければならない。<新設 2023. 3. 14.>
9. 第1項による影響評価の基準・方法・手続などに関して必要な事項は大統領令で定める。<改正 2023. 3. 14.>
10. 国会、裁判所、憲法裁判所、中央選挙管理委員会（その所属機関を含む）の影響評価に関する事項は、国会規則、大法院規則、憲法裁判所規則及び中央選挙管理委員会規則で定めるところによる。<改正 2023. 3. 14.>
11. 公共機関以外の個人情報処理者は、個人情報ファイル運用により、情報主体の個人情報侵害が憂慮される場合には、影響評価をするために積極的に努力しなければならない。<改正 2023. 3. 14.>

第34条（個人情報流出などの通知・申告）

1. 個人情報処理者は、個人情報が紛失・盗難・流出（以下この条で「流出など」という）されたことを知るようになった場合には、遅滞なく当該情報主体に次の各号の事項を知らせなければならない。ただし、情報主体の連絡先を知ることができない場合など正当な事由がある場合には、大統領令で定めるところにより通知に代える措置をとることができる。<改正 2023. 3. 14.>
1. 流出などになった個人情報の項目
2. 流出などになった時点とその経緯
3. 流出などにより発生しうる被害を最小化するために情報主体ができる方法などに関する情報
4. 個人情報処理者の対応措置及び被害救済手続
5. 情報主体に被害が発生した場合、申告などを受け付けることができる担当部署及び連絡先
2. 個人情報処理者は、個人情報が流出などになった場合、その被害を最小化するための対策を設け、必要な措置をしなければならない。<改正 2023. 3. 14.>
3. 個人情報処理者は、個人情報の流出などがあることを知るようになった場合には、個人情報の類型、流出などの経路及び規模などを考慮して大統領令で定めるところにより第1項各号の事項を遅滞なく保護委員会又は大統領令で定める専門機関に申告しなければならない。この場合、保護委員会又は大統領令で定める専門機関は、被害拡散防止、被害復旧などのための技術を支援することができる。<改正 2013. 3. 23.、2014. 11. 19.、2017. 7. 26.、2020. 2. 4.、2023. 3. 14.>
4. 第1項による流出などの通知及び第3項による流出などの申告の時期、方法、手続などに必要な事項は大統領令で定める。<改正 2023. 3. 14.>

[題目改正 2023. 3. 14.]

第34条の2（露出された個人情報の削除・遮断）

1. 個人情報処理者は、固有識別情報、口座情報、クレジットカード情報など個人情報が情報通信網を通じて公衆に露出されないようにしなければならない。<改正 2023. 3. 14.>
2. 個人情報処理者は、公衆に露出された個人情報に対して保護委員会又は大統領令で指定した専門機関の要請がある場合には、当該情報を削除し又は遮断するなど必要な措置をしなければならない。<改正 2023. 3. 14.>

[本条新設 2020. 2. 4.]

第5章 情報主体の権利保障

第35条（個人情報の閲覧）

1. 情報主体は、個人情報処理者が処理する自身の個人情報について、当該個人情報処理者に閲覧を要求することができる。
2. 第1項にかかわらず、情報主体が自身の個人情報について公共機関に閲覧を要求しようとするときは、公共機関に直接閲覧を要求するか、大統領令で定めるところにより保護委員会を通じて閲覧を要求することができる。
3. 個人情報処理者は、第1項および第2項による閲覧を要求されたときは、大統領令で定める期間内に情報主体が当該個人情報を閲覧できるようにしなければならない。この場合、当該期間内に閲覧できない正当な事由があるときは、情報主体にその事由を知らせて閲覧を延期することができ、その事由が消滅すれば遅滞なく閲覧させなければならない。
4. 個人情報処理者は、次の各号のいずれか一つに該当する場合には、情報主体にその事由を知らせて閲覧を制限または拒否することができる。
1. 法律により閲覧が禁止または制限される場合
2. 他人の生命・身体を害するおそれがあるか、他人の財産その他の利益を不当に侵害するおそれがある場合
3. 公共機関が次の各目のいずれか一つに該当する業務を遂行するとき重大な支障を招来する場合 a. 租税の賦課・徴収または還付に関する業務 b. 「初・中等教育法」および「高等教育法」による各級学校、「生涯教育法」による生涯教育施設、その他の法律により設置された高等教育機関での成績評価または入学者選抜に関する業務 c. 学力・技能および採用に関する試験、資格審査に関する業務 d. 補償金・給付金算定等について進行中の評価または判断に関する業務 e. 他の法律により進行中の監査および調査に関する業務
5. 第1項から第4項までの規定による閲覧要求、閲覧制限、通知等の方法および手続に関して必要な事項は大統領令で定める。

第35条の2（個人情報の伝送要求）

1. 情報主体は、個人情報処理能力等を考慮して大統領令で定める基準に該当する個人情報処理者に対して、次の各号の要件をすべて充足する個人情報を自身へ伝送することを要求することができる。
1. 情報主体が伝送を要求する個人情報が、情報主体本人に関する個人情報として次の各目のいずれか一つに該当する情報であること a. 第15条第1項第1号、第23条第1項第1号または第24条第1項第1号による同意を得て処理される個人情報 b. 第15条第1項第4号により締結した契約を履行するか、契約を締結する過程で情報主体の要請による措置を履行するために処理される個人情報 c. 第15条第1項第2号・第3号、第23条第1項第2号または第24条第1項第2号により処理される個人情報のうち、情報主体の利益または公益的目的のために関係中央行政機関の長の要請により保護委員会が審議・議決して伝送要求の対象として指定した個人情報
2. 伝送を要求する個人情報が、個人情報処理者が収集した個人情報を基礎に分析・加工して別途生成した情報ではないこと
3. 伝送を要求する個人情報が、コンピュータ等情報処理装置で処理される個人情報であること
2. 情報主体は、売上額、個人情報の保有規模、個人情報処理能力、産業別特性等を考慮して大統領令で定める基準に該当する個人情報処理者に対して、第1項による伝送要求対象である個人情報を技術的に許容される合理的な範囲で次の各号の者へ伝送することを要求することができる。
1. 第35条の3第1項による個人情報管理専門機関
2. 第29条による安全措置義務を履行し、大統領令で定める施設および技術基準を充足する者
3. 個人情報処理者は、第1項および第2項による伝送要求を受けた場合には、時間、費用、技術的に許容される合理的な範囲で当該情報をコンピュータ等情報処理装置で処理可能な形態で伝送しなければならない。
4. 第1項および第2項による伝送要求を受けた個人情報処理者は、次の各号のいずれか一つに該当する法律の関連規定にかかわらず、情報主体に関する個人情報を伝送しなければならない。
1. 「国税基本法」第81条の13
2. 「地方税基本法」第86条
3. その他、第1号および第2号と類似した規定として大統領令で定める法律の規定
5. 情報主体は、第1項および第2項による伝送要求を撤回することができる。
6. 個人情報処理者は、情報主体の本人であるかが確認されない場合等、大統領令で定める場合には、第1項および第2項による伝送要求を拒否するか、伝送を中断することができる。
7. 情報主体は、第1項および第2項による伝送要求により他人の権利または正当な利益を侵害してはならない。
8. 第1項から第7項までで規定した事項の他、伝送要求の対象となる情報の範囲、伝送要求の方法、伝送の期限および方法、伝送要求撤回の方法、伝送要求の拒否および伝送中断の方法等、必要な事項は大統領令で定める。

第35条の3（個人情報管理専門機関）

1. 次の各号の業務を遂行しようとする者は、保護委員会または関係中央行政機関の長から個人情報管理専門機関の指定を受けなければならない。
1. 第35条の2による個人情報の伝送要求権行使支援
2. 情報主体の権利行使を支援するための個人情報伝送システムの構築および標準化
3. 情報主体の権利行使を支援するための個人情報の管理・分析
4. その他、情報主体の権利行使を効果的に支援するために大統領令で定める業務
2. 第1項による個人情報管理専門機関の指定要件は次の各号のとおりである。
1. 個人情報を伝送・管理・分析できる技術水準および専門性を備えていること
2. 個人情報を安全に管理できる安全性確保措置水準を備えていること
3. 個人情報管理専門機関の安定的な運営に必要な財政能力を備えていること
3. 個人情報管理専門機関は、次の各号のいずれか一つに該当する行為をしてはならない。
1. 情報主体に個人情報の伝送要求を強要するか、不当に誘導する行為
2. その他、個人情報を侵害するか、情報主体の権利を制限するおそれがある行為として大統領令で定める行為
4. 保護委員会および関係中央行政機関の長は、個人情報管理専門機関が次の各号のいずれか一つに該当する場合には、個人情報管理専門機関の指定を取り消すことができる。ただし、第1号に該当する場合には指定を取り消さなければならない。
1. 偽りその他不正な方法で指定を受けた場合
2. 第2項による指定要件を備えられなくなった場合
5. 保護委員会および関係中央行政機関の長は、第4項により指定を取り消す場合には「行政手続法」による聴聞を実施しなければならない。
6. 保護委員会および関係中央行政機関の長は、個人情報管理専門機関に対して業務遂行に必要な支援をすることができる。
7. 個人情報管理専門機関は、情報主体の要求により第1項各号の業務を遂行する場合、情報主体からその業務遂行に必要な費用を受けることができる。
8. 第1項による個人情報管理専門機関の指定手続、第2項による指定要件の細部基準、第4項による指定取消の手続等に必要な事項は大統領令で定める。

第35条の4（個人情報伝送管理および支援）

1. 保護委員会は、第35条の2第1項および第2項による個人情報処理者および第35条の3第1項による個人情報管理専門機関の現況、活用内訳および管理実態等を体系的に管理・監督しなければならない。
2. 保護委員会は、個人情報が安全かつ効率的に伝送されるよう、次の各号の事項を含む個人情報伝送支援プラットフォームを構築・運営することができる。
1. 個人情報管理専門機関の現況および伝送可能な個人情報項目リスト
2. 情報主体の個人情報伝送要求・撤回内訳
3. 個人情報の伝送履歴管理等支援機能
4. その他、個人情報伝送のために必要な事項
3. 保護委員会は、第2項による個人情報伝送支援プラットフォームの効率的運営のために、個人情報管理専門機関で構築・運営している伝送システムを相互連携するか、統合することができる。この場合、関係中央行政機関の長および当該個人情報管理専門機関と事前に協議しなければならない。
4. 第1項から第3項までの規定による管理・監督と個人情報伝送支援プラットフォームの構築および運営に必要な事項は大統領令で定める。

第36条（個人情報の訂正・削除）

1. 第35条により自身の個人情報を閲覧した情報主体は、個人情報処理者にその個人情報の訂正または削除を要求することができる。ただし、他の法令でその個人情報が収集対象として明示されている場合には、その削除を要求することができない。
2. 個人情報処理者は、第1項による情報主体の要求を受けたときには、個人情報の訂正または削除について他の法令に特別な手続が規定されている場合を除いては、遅滞なくその個人情報を調査して情報主体の要求により訂正・削除等必要な措置をした後、その結果を情報主体に知らせなければならない。
3. 個人情報処理者が第2項により個人情報を削除するときには、復旧または再生されないよう措置しなければならない。
4. 個人情報処理者は、情報主体の要求が第1項但書に該当するときには、遅滞なくその内容を情報主体に知らせなければならない。
5. 個人情報処理者は、第2項による調査をするとき必要であれば、当該情報主体に訂正・削除要求事項の確認に必要な証拠資料を提出させることができる。
6. 第1項・第2項および第4項による訂正または削除要求、通知方法および手続等に必要な事項は大統領令で定める。

第37条（個人情報の処理停止等）

1. 情報主体は、個人情報処理者に対して自身の個人情報処理の停止を要求するか、個人情報処理に対する同意を撤回することができる。この場合、公共機関に対しては第32条により登録対象となる個人情報ファイルのうち、自身の個人情報に対する処理の停止を要求するか、個人情報処理に対する同意を撤回することができる。
2. 個人情報処理者は、第1項による処理停止要求を受けたときには、遅滞なく情報主体の要求により個人情報処理の全部を停止するか、一部を停止しなければならない。ただし、次の各号のいずれか一つに該当する場合には、情報主体の処理停止要求を拒否することができる。
1. 法律に特別な規定があるか、法令上義務を遵守するために不可避な場合
2. 他人の生命・身体を害するおそれがあるか、他人の財産その他の利益を不当に侵害するおそれがある場合
3. 公共機関が個人情報を処理しなければ他の法律で定める所管業務を遂行できない場合
4. 個人情報を処理しなければ情報主体と約定したサービスを提供できない等、契約の履行が困難な場合として、情報主体がその契約の解約意思を明確に表明していない場合
3. 個人情報処理者は、情報主体が第1項により同意を撤回したときには、遅滞なく収集された個人情報を復旧・再生できないよう破棄する等、必要な措置をしなければならない。ただし、第2項各号のいずれか一つに該当する場合には、同意撤回による措置をしないことができる。
4. 個人情報処理者は、第2項但書により処理停止要求を拒否するか、第3項但書により同意撤回による措置をしなかったときには、情報主体に遅滞なくその事由を知らせなければならない。
5. 個人情報処理者は、情報主体の要求により処理が停止された個人情報について、遅滞なく当該個人情報の破棄等必要な措置をしなければならない。
6. 第1項から第5項までの規定による処理停止の要求、同意撤回、処理停止の拒否、通知等の方法および手続に必要な事項は大統領令で定める。

第37条の2（自動化された決定に対する情報主体の権利等）

1. 情報主体は、完全に自動化されたシステム（人工知能技術を適用したシステムを含む）で個人情報を処理して行われる決定（「行政基本法」第20条による行政庁の自動的処分は除き、以下この条で「自動化された決定」という）が自身の権利または義務に重大な影響を及ぼす場合には、当該個人情報処理者に対して当該決定を拒否できる権利を持つ。ただし、自動化された決定が第15条第1項第1号・第2号および第4号により行われる場合にはそうではない。
2. 情報主体は、個人情報処理者が自動化された決定をした場合には、その決定について説明等を要求することができる。
3. 個人情報処理者は、第1項または第2項により情報主体が自動化された決定を拒否するか、これについて説明等を要求した場合には、正当な事由がない限り、自動化された決定を適用しないか、人的介入による再処理・説明等必要な措置をしなければならない。
4. 個人情報処理者は、自動化された決定の基準と手続、個人情報が処理される方式等を情報主体が容易に確認できるよう公開しなければならない。
5. 第1項から第4項までで規定した事項の他、自動化された決定の拒否・説明等を要求する手続および方法、拒否・説明等の要求による必要な措置、自動化された決定の基準・手続および個人情報が処理される方式の公開等に必要な事項は大統領令で定める。

第38条（権利行使の方法および手続）

1. 情報主体は、第35条による閲覧、第35条の2による伝送、第36条による訂正・削除、第37条による処理停止および同意撤回、第37条の2による拒否・説明等の要求（以下「閲覧等要求」という）を文書等、大統領令で定める方法・手続により代理人にさせることができる。
2. 満14歳未満の児童の法定代理人は、個人情報処理者にその児童の個人情報閲覧等要求をすることができる。
3. 個人情報処理者は、閲覧等要求をする者に大統領令で定めるところにより手数料および郵送料（写しの郵送を請求する場合に限る）を請求することができる。ただし、第35条の2第2項による伝送要求の場合には、伝送のために追加で必要な設備等を併せて考慮して手数料を算定することができる。
4. 個人情報処理者は、情報主体が閲覧等要求をできる具体的な方法と手続を用意し、これを情報主体が分かるよう公開しなければならない。この場合、閲覧等要求の方法と手続は、当該個人情報の収集方法と手続より難しくないようにしなければならない。
5. 個人情報処理者は、情報主体が閲覧等要求に対する拒否等の措置について不服がある場合、異議を提起できるよう必要な手続を用意し案内しなければならない。

第39条（損害賠償責任）

1. 情報主体は、個人情報処理者がこの法を違反した行為で損害を受ければ、個人情報処理者に損害賠償を請求することができる。この場合、その個人情報処理者は故意または過失がないことを立証しなければ責任を免れることができない。
2. 削除
3. 個人情報処理者の故意または重大な過失により個人情報が紛失・盗難・流出・偽造・変造または毀損された場合として、情報主体に損害が発生したときには、裁判所はその損害額の5倍を超えない範囲で損害賠償額を定めることができる。ただし、個人情報処理者が故意または重大な過失がないことを証明した場合にはそうではない。
4. 裁判所は第3項の賠償額を定めるときには、次の各号の事項を考慮しなければならない。
1. 故意または損害発生の憂慮を認識した程度
2. 違反行為により受けた被害規模
3. 違法行為により個人情報処理者が取得した経済的利益
4. 違反行為による罰金および過徴金
5. 違反行為の期間・回数等
6. 個人情報処理者の財産状態
7. 個人情報処理者が情報主体の個人情報紛失・盗難・流出後、当該個人情報を回収するために努力した程度
8. 個人情報処理者が情報主体の被害救済のために努力した程度

第39条の2（法定損害賠償の請求）

1. 第39条第1項にかかわらず、情報主体は、個人情報処理者の故意または過失により個人情報が紛失・盗難・流出・偽造・変造または毀損された場合には、300万ウォン以下の範囲で相当な金額を損害額として賠償を請求することができる。この場合、当該個人情報処理者は故意または過失がないことを立証しなければ責任を免れることができない。
2. 裁判所は、第1項による請求がある場合に、弁論全体の趣旨と証拠調査の結果を考慮して第1項の範囲で相当な損害額を認定することができる。
3. 第39条により損害賠償を請求した情報主体は、事実審の弁論が終結する前までその請求を第1項による請求に変更することができる。

第38条（権利行使の方法および手続）

1. 情報主体は、第35条による閲覧、第35条の2による伝送、第36条による訂正・削除、第37条による処理停止および同意撤回、第37条の2による拒否・説明等の要求（以下「閲覧等要求」という）を文書等、大統領令で定める方法・手続により代理人にさせることができる。
2. 満14歳未満の児童の法定代理人は、個人情報処理者にその児童の個人情報閲覧等要求をすることができる。
3. 個人情報処理者は、閲覧等要求をする者に大統領令で定めるところにより手数料および郵送料（写しの郵送を請求する場合に限る）を請求することができる。ただし、第35条の2第2項による伝送要求の場合には、伝送のために追加で必要な設備等を併せて考慮して手数料を算定することができる。
4. 個人情報処理者は、情報主体が閲覧等要求をできる具体的な方法と手続を用意し、これを情報主体が分かるよう公開しなければならない。この場合、閲覧等要求の方法と手続は、当該個人情報の収集方法と手続より難しくないようにしなければならない。
5. 個人情報処理者は、情報主体が閲覧等要求に対する拒否等の措置について不服がある場合、異議を提起できるよう必要な手続を用意し案内しなければならない。

第39条（損害賠償責任）

1. 情報主体は、個人情報処理者がこの法を違反した行為で損害を受ければ、個人情報処理者に損害賠償を請求することができる。この場合、その個人情報処理者は故意または過失がないことを立証しなければ責任を免れることができない。
2. 削除
3. 個人情報処理者の故意または重大な過失により個人情報が紛失・盗難・流出・偽造・変造または毀損された場合として、情報主体に損害が発生したときには、裁判所はその損害額の5倍を超えない範囲で損害賠償額を定めることができる。ただし、個人情報処理者が故意または重大な過失がないことを証明した場合にはそうではない。
4. 裁判所は第3項の賠償額を定めるときには、次の各号の事項を考慮しなければならない。
1. 故意または損害発生の憂慮を認識した程度
2. 違反行為により受けた被害規模
3. 違法行為により個人情報処理者が取得した経済的利益
4. 違反行為による罰金および過徴金
5. 違反行為の期間・回数等
6. 個人情報処理者の財産状態
7. 個人情報処理者が情報主体の個人情報紛失・盗難・流出後、当該個人情報を回収するために努力した程度
8. 個人情報処理者が情報主体の被害救済のために努力した程度

第39条の2（法定損害賠償の請求）

1. 第39条第1項にかかわらず、情報主体は、個人情報処理者の故意または過失により個人情報が紛失・盗難・流出・偽造・変造または毀損された場合には、300万ウォン以下の範囲で相当な金額を損害額として賠償を請求することができる。この場合、当該個人情報処理者は故意または過失がないことを立証しなければ責任を免れることができない。
2. 裁判所は、第1項による請求がある場合に、弁論全体の趣旨と証拠調査の結果を考慮して第1項の範囲で相当な損害額を認定することができる。
3. 第39条により損害賠償を請求した情報主体は、事実審の弁論が終結する前までその請求を第1項による請求に変更することができる。

第6章 削除

第39条の3（資料の提出）

1. 裁判所は、この法を違反した行為による損害賠償請求訴訟で当事者の申請により相手方当事者に当該損害の証明または損害額の算定に必要な資料の提出を命じることができる。ただし、提出命令を受けた者がその資料の提出を拒否する正当な理由があればそうではない。
2. 裁判所は、第1項による提出命令を受けた者がその資料の提出を拒否する正当な理由があると主張する場合には、その主張の当否を判断するために資料の提示を命じることができる。この場合、裁判所はその資料を他人が見るようにしてはならない。
3. 第1項により提出されるべき資料が「不正競争防止および営業秘密保護に関する法律」第2条第2号による営業秘密（以下「営業秘密」という）に該当するが、損害の証明または損害額の算定に必ず必要な場合には、第1項但書による正当な理由とは見なさない。この場合、裁判所は提出命令の目的内で閲覧できる範囲または閲覧できる人を指定しなければならない。
4. 裁判所は、第1項による提出命令を受けた者が正当な理由なくその命令に従わない場合には、資料の記載についての申請人の主張を真実と認めることができる。
5. 裁判所は、第4項に該当する場合、申請人が資料の記載について具体的に主張することに著しく困難な事情があり、資料で証明する事実を他の証拠で証明することを期待することも難しい場合には、申請人が資料の記載で証明しようとする事実についての主張を真実と認めることができる。

第39条の4（秘密維持命令）

1. 裁判所は、この法を違反した行為による損害賠償請求訴訟で当事者の申請による決定で、次の各号の者にその当事者が保有する営業秘密を当該訴訟の継続的な遂行以外の目的で使用するか、その営業秘密に関係したこの項による命令を受けた者以外の者へ公開しないことを命じることができる。ただし、その申請時点まで次の各号の者が準備書面の閲覧または証拠調査以外の方法でその営業秘密を既に取得している場合にはそうではない。
1. 他の当事者（法人の場合にはその代表者をいう）
2. 当事者のために当該訴訟を代理する者
3. その他、当該訴訟で営業秘密を知ることになった者
2. 第1項による命令（以下「秘密維持命令」という）を申請する者は、次の各号の事由をすべて疎明しなければならない。
1. 既に提出したか提出すべき準備書面、既に調査したか調査すべき証拠または第39条の3第1項により提出したか提出すべき資料に営業秘密が含まれていること
2. 第1号の営業秘密が当該訴訟遂行以外の目的で使用されるか公開されれば、当事者の営業に支障を与えるおそれがあり、これを防止するために営業秘密の使用または公開を制限する必要があること
3. 秘密維持命令の申請は、次の各号の事項を記した書面でしなければならない。
1. 秘密維持命令を受ける者
2. 秘密維持命令の対象となる営業秘密を特定するに十分な事実
3. 第2項各号の事由に該当する事実
4. 裁判所は、秘密維持命令が決定された場合には、その決定書を秘密維持命令を受ける者へ送達しなければならない。
5. 秘密維持命令は、第4項の決定書が秘密維持命令を受ける者へ送達されたときから効力が発生する。
6. 秘密維持命令の申請を棄却または却下した裁判に対しては即時抗告をすることができる。

第39条の5（秘密維持命令の取消）

1. 秘密維持命令を申請した者または秘密維持命令を受けた者は、第39条の4第2項各号の事由に符合しない事実または事情がある場合、訴訟記録を保管している裁判所（訴訟記録を保管している裁判所がない場合には秘密維持命令を下した裁判所をいう）に秘密維持命令の取消を申請することができる。
2. 裁判所は、秘密維持命令の取消申請に対する裁判がある場合には、その決定書をその申請をした者および相手方へ送達しなければならない。
3. 秘密維持命令の取消申請に対する裁判に対しては即時抗告をすることができる。
4. 秘密維持命令を取り消す裁判は確定してこそ効力が発生する。
5. 秘密維持命令を取り消す裁判をした裁判所は、秘密維持命令の取消申請をした者または相手方の他に当該営業秘密に関する秘密維持命令を受けた者がいる場合には、その者に直ちに秘密維持命令の取消裁判をした事実を知らせなければならない。

第39条の6（訴訟記録閲覧等の請求通知等）

1. 秘密維持命令が下された訴訟（すべての秘密維持命令が取り消された訴訟は除く）に関する訴訟記録について「民事訴訟法」第163条第1項により閲覧等の申請人を当事者に制限する決定があった場合として、当事者が同項で規定する秘密記載部分の閲覧等の請求をしたが、その請求手続を当該訴訟で秘密維持命令を受けていない者が踏んだ場合には、裁判所書記官、裁判所事務官、裁判所主事または裁判所主事補（以下この条で「裁判所事務官等」という）は同項の申請をした当事者（その閲覧等の請求をした者は除く。以下第3項で同じ）にその請求直後にその閲覧等の請求があった事実を知らせなければならない。
2. 裁判所事務官等は、第1項の請求があった日から2週間が経つまで（その請求手続を踏んだ者に対する秘密維持命令申請がその期間内に行われた場合には、その申請に対する裁判が確定する時点までをいう）その請求手続を踏んだ者に第1項の秘密記載部分の閲覧等をさせてはならない。
3. 第2項は、第1項の閲覧等の請求をした者に第1項の秘密記載部分の閲覧等をさせることについて「民事訴訟法」第163条第1項の申請をした当事者すべてが同意する場合には適用されない。

第39条の7（損害賠償の保障）

1. 個人情報処理者として売上額、個人情報の保有規模等を考慮して大統領令で定める基準に該当する者は、第39条および第39条の2による損害賠償責任の履行のために保険または共済に加入するか準備金を積み立てる等、必要な措置をしなければならない。
2. 第1項にかかわらず、次の各号のいずれか一つに該当する者は、第1項による措置をしないことができる。
1. 大統領令で定める公共機関、非営利法人および団体
2. 「小商工人基本法」第2条第1項による小商工人として大統領令で定める者に個人情報処理を委託した者
3. 他の法律により第39条および第39条の2による損害賠償責任の履行を保障する保険または共済に加入するか準備金を積み立てた個人情報処理者
3. 第1項および第2項による個人情報処理者の損害賠償責任履行基準等に必要な事項は大統領令で定める。

第7章 個人情報紛争調整委員会

第40条（設置および構成）

1. 個人情報に関する紛争の調停のために個人情報紛争調整委員会（以下「紛争調整委員会」という）を置く。
2. 紛争調整委員会は、委員長1人を含む30人以内の委員で構成し、委員は当然職委員と委嘱委員で構成する。
3. 委嘱委員は、次の各号のいずれか一つに該当する人のうちから保護委員会委員長が委嘱し、大統領令で定める国家機関所属公務員は当然職委員となる。
1. 個人情報保護業務を管掌する中央行政機関の高位公務員団に属する公務員として在職した人またはこれに相当する公共部門および関連団体の職に在職しているか在職した人として個人情報保護業務の経験がある人
2. 大学または公認された研究機関で副教授以上またはこれに相当する職に在職しているか在職した人
3. 判事・検事または弁護士として在職しているか在職した人
4. 個人情報保護と関連した市民社会団体または消費者団体から推薦を受けた人
5. 個人情報処理者で構成された事業者団体の役員として在職しているか在職した人
4. 委員長は委員のうちから公務員ではない人として保護委員会委員長が委嘱する。
5. 委員長と委嘱委員の任期は2年とし、1回に限り連任できる。
6. 紛争調整委員会は紛争調整業務を効率的に遂行するために必要であれば、大統領令で定めるところにより、調停事件の分野別に5人以内の委員で構成される調整部を置くことができる。この場合、調整部が紛争調整委員会から委任を受けて議決した事項は紛争調整委員会で議決したものと見なす。
7. 紛争調整委員会または調整部は在籍委員過半数の出席で開議し、出席委員過半数の賛成で議決する。
8. 保護委員会は紛争調整接受、事実確認等、紛争調整に必要な事務を処理することができる。
9. この法で定めた事項の他、紛争調整委員会運営に必要な事項は大統領令で定める。

第41条（委員の身分保障）

委員は資格停止以上の刑を宣告されるか心身上の障害で職務を遂行できない場合を除いては、その意思に反して免職されるか解嘱されない。

第42条（委員の除斥・忌避・回避）

1. 紛争調整委員会の委員は、次の各号のいずれか一つに該当する場合には、第43条第1項により紛争調整委員会に申請された紛争調整事件（以下この条で「事件」という）の審議・議決から除斥される。
1. 委員またはその配偶者か配偶者だった者がその事件の当事者になるか、その事件について共同の権利者または義務者の関係にある場合
2. 委員がその事件の当事者と親族であるか親族だった場合
3. 委員がその事件について証言、鑑定、法律諮問をした場合
4. 委員がその事件について当事者の代理人として関与するか関与した場合
2. 当事者は、委員に公正な審議・議決を期待し難い事情があれば、委員長に忌避申請をすることができる。この場合、委員長は忌避申請について紛争調整委員会の議決を経ずに決定する。
3. 委員が第1項または第2項の事由に該当する場合には、自らその事件の審議・議決から回避することができる。

第43条（調停の申請等）

1. 個人情報に関連した紛争の調停を願う者は紛争調整委員会に紛争調停を申請することができる。
2. 紛争調整委員会は、当事者一方から紛争調停申請を受けたときには、その申請内容を相手方へ知らせなければならない。
3. 個人情報処理者が第2項による紛争調停の通知を受けた場合には、特別な事由がない限り紛争調停に応じなければならない。

第44条（処理期間）

1. 紛争調整委員会は、第43条第1項による紛争調停申請を受けた日から60日以内にこれを審査して調停案を作成しなければならない。ただし、やむを得ない事情がある場合には、紛争調整委員会の議決で処理期間を延長することができる。
2. 紛争調整委員会は、第1項但書により処理期間を延長した場合には、期間延長の事由その他の期間延長に関する事項を申請人へ知らせなければならない。

第45条（資料の要請および事実調査等）

1. 紛争調整委員会は、第43条第1項により紛争調停申請を受けたときには、当該紛争の調停のために必要な資料を紛争当事者へ要請することができる。この場合、紛争当事者は正当な事由がない限り要請に従わなければならない。
2. 紛争調整委員会は、紛争の調停のために事実確認が必要な場合には、紛争調整委員会の委員または大統領令で定める事務機構の所属公務員に事件と関連した場所へ出入りして関連資料を調査するか閲覧させることができる。この場合、紛争当事者は当該調査・閲覧を拒否する正当な事由があるときには、その事由を疎明して調査・閲覧に従わないことができる。
3. 第2項による調査・閲覧をする委員または公務員は、その権限を表示する証票を持ってこれを関係人へ見せなければならない。
4. 紛争調整委員会は、紛争の調停のために必要だと認めれば、関係機関等に資料または意見の提出等、必要な協力を要請することができる。
5. 紛争調整委員会は必要だと認めれば、紛争当事者または参考人を委員会へ出席させてその意見を聞くことができる。

第45条の2（陳述の援用制限）

調停手続での意見と陳述は訴訟（当該調停に対する準再審は除く）で援用してはならない。

第46条（調停前合意勧告）

紛争調整委員会は、第43条第1項により紛争調停申請を受けたときには、当事者にその内容を提示して調停前合意を勧告することができる。

第47条（紛争の調停）

1. 紛争調整委員会は、次の各号のいずれか一つの事項を含めて調停案を作成することができる。
1. 調査対象侵害行為の中止
2. 原状回復、損害賠償、その他に必要な救済措置
3. 同じまたは類似した侵害の再発を防止するために必要な措置
2. 紛争調整委員会は、第1項により調停案を作成すれば、遅滞なく各当事者へ提示しなければならない。
3. 第2項により調停案の提示を受けた当事者が提示を受けた日から15日以内に受諾可否を知らせない場合には、調停を受諾したものと見なす。
4. 当事者が調停内容を受諾した場合（第3項により受諾したと見なす場合を含む）、紛争調整委員会は調停書を作成し、紛争調整委員会の委員長と各当事者が記名捺印または署名をした後、調停書正本を遅滞なく各当事者またはその代理人へ送達しなければならない。ただし、第3項により受諾したと見なす場合には、各当事者の記名捺印および署名を省略することができる。
5. 第4項による調停の内容は裁判上和解と同一の効力を持つ。

第48条（調停の拒否および中止）

1. 紛争調整委員会は、紛争の性質上紛争調整委員会で調停することが適していないと認めるか、不正な目的で調停が申請されたと認める場合には、その調停を拒否することができる。この場合、調停拒否の事由等を申請人へ知らせなければならない。
2. 紛争調整委員会は、申請された調停事件に対する処理手続を進行していた中で一方当事者が訴を提起すれば、その調停の処理を中止してこれを当事者へ知らせなければならない。

第49条（集団紛争調停）

1. 国および地方自治団体、個人情報保護団体および機関、情報主体、個人情報処理者は、情報主体の被害または権利侵害が多数の情報主体に同じまたは類似した類型で発生する場合として大統領令で定める事件については、紛争調整委員会に一括的な紛争調停（以下「集団紛争調停」という）を依頼または申請することができる。
2. 第1項により集団紛争調停を依頼されるか申請を受けた紛争調整委員会は、その議決で第3項から第7項までの規定による集団紛争調停の手続を開始することができる。この場合、紛争調整委員会は大統領令で定める期間、その手続の開始を公告しなければならない。
3. 紛争調整委員会は、集団紛争調停の当事者ではない情報主体または個人情報処理者からその紛争調停の当事者へ追加で含まれるようにする申請を受けることができる。
4. 紛争調整委員会は、その議決で第1項および第3項による集団紛争調停の当事者のうちから共同の利益を代表するに最も適した1人または数人を代表当事者として選任することができる。
5. 紛争調整委員会は、個人情報処理者が紛争調整委員会の集団紛争調停の内容を受諾した場合には、集団紛争調停の当事者ではない者として被害を受けた情報主体に対する補償計画書を作成して紛争調整委員会へ提出するよう勧告することができる。
6. 第48条第2項にかかわらず、紛争調整委員会は、集団紛争調停の当事者である多数の情報主体のうち一部の情報主体が裁判所へ訴を提起した場合には、その手続を中止せず、訴を提起した一部の情報主体をその手続から除外する。
7. 集団紛争調停の期間は、第2項による公告が終了した日の翌日から60日以内とする。ただし、やむを得ない事情がある場合には、紛争調整委員会の議決で処理期間を延長することができる。
8. 集団紛争調停の手続等について必要な事項は大統領令で定める。

第50条（調整手続等）

1. 第43条から第49条までの規定で定めたことの他、紛争の調停方法、調停手続および調停業務の処理等に必要な事項は大統領令で定める。
2. 紛争調整委員会の運営および紛争調停手続に関してこの法で規定していない事項については「民事調停法」を準用する。

第50条の2（改善意見の通報）

紛争調整委員会は、所管業務遂行と関連して個人情報保護および情報主体の権利保護のための改善意見を保護委員会および関係中央行政機関の長へ通報することができる。

第8章 個人情報団体訴訟

第51条（団体訴訟の対象等）

次の各号のいずれか一つに該当する団体は、個人情報処理者が第49条による集団紛争調停を拒否するか集団紛争調停の結果を受諾しない場合には、裁判所へ権利侵害行為の禁止・中止を求める訴訟（以下「団体訴訟」という）を提起することができる。

1. 「消費者基本法」第29条により公正取引委員会へ登録した消費者団体として次の各目の要件をすべて備えた団体 a. 定款により常時的に情報主体の権益増進を主な目的とする団体であること b. 団体の正会員数が1千人以上であること c. 「消費者基本法」第29条による登録後3年が経過していること
2. 「非営利民間団体支援法」第2条による非営利民間団体として次の各目の要件をすべて備えた団体 a. 法律上または事実上同一の侵害を受けた100人以上の情報主体から団体訴訟の提起を要請されたこと b. 定款に個人情報保護を団体の目的として明示した後、最近3年以上これのための活動実績があること c. 団体の常時構成員数が5千人以上であること d. 中央行政機関へ登録されていること

第52条（専属管轄）

1. 団体訴訟の訴は被告の主な事務所または営業所がある所、主な事務所または営業所がない場合には主な業務担当者の住所がある所の地方裁判所本院合議部の管轄に専属する。
2. 第1項を外国事業者へ適用する場合、大韓民国にあるこれらの主な事務所・営業所または業務担当者の住所により定める。

第53条（訴訟代理人の選任）

団体訴訟の原告は弁護士を訴訟代理人として選任しなければならない。

第54条（訴訟許可申請）

1. 団体訴訟を提起する団体は、訴状と共に次の各号の事項を記載した訴訟許可申請書を裁判所へ提出しなければならない。
1. 原告およびその訴訟代理人
2. 被告
3. 情報主体の侵害された権利の内容
2. 第1項による訴訟許可申請書には次の各号の資料を添付しなければならない。
1. 訴提起団体が第51条各号のいずれか一つに該当する要件を備えていることを疎明する資料
2. 個人情報処理者が調停を拒否したか調停結果を受諾しなかったことを証明する書類

第55条（訴訟許可要件等）

1. 裁判所は、次の各号の要件をすべて備えた場合に限って決定で団体訴訟を許可する。
1. 個人情報処理者が紛争調整委員会の調停を拒否したか調停結果を受諾しなかったこと
2. 第54条による訴訟許可申請書の記載事項に欠欠がないこと
2. 団体訴訟を許可または不許可する決定に対しては即時抗告をすることができる。

第56条（確定判決の効力）

原告の請求を棄却する判決が確定された場合、これと同一の事案に関しては第51条による他の団体は団体訴訟を提起できない。ただし、次の各号のいずれか一つに該当する場合にはそうではない。

1. 判決が確定された後、その事案と関連して国・地方自治団体または国・地方自治団体が設立した機関により新しい証拠が出た場合
2. 棄却判決が原告の故意によるものと判明した場合

第57条（「民事訴訟法」の適用等）

1. 団体訴訟に関してこの法に特別な規定がない場合には「民事訴訟法」を適用する。
2. 第55条による団体訴訟の許可決定がある場合には「民事執行法」第4編による保全処分をすることができる。
3. 団体訴訟の手続に関して必要な事項は大法院規則で定める。

第9章 補則

第58条（適用の一部除外）

1. 次の各号のいずれか一つに該当する個人情報に関しては第3章から第8章までを適用しない。
1. 削除
2. 国家安全保障と関連した情報分析を目的として収集または提供要請される個人情報
3. 削除
4. 言論、宗教団体、政党が各々取材・報道、宣教、選挙立候補者推薦等、固有目的を達成するために収集・利用する個人情報
2. 第25条第1項各号により公開された場所へ固定型映像情報処理機器を設置・運営して処理される個人情報に対しては、第15条、第22条、第22条の2、第27条第1項・第2項、第34条および第37条を適用しない。
3. 個人情報処理者が同窓会、同好会等、親睦図謀のための団体を運営するために個人情報を処理する場合には、第15条、第30条および第31条を適用しない。
4. 個人情報処理者は、第1項各号により個人情報を処理する場合にも、その目的のために必要な範囲で最小限の期間に最小限の個人情報のみを処理しなければならず、個人情報の安全な管理のために必要な技術的・管理的および物理的保護措置、個人情報の処理に関する苦情処理、その他、個人情報の適切な処理のために必要な措置を用意しなければならない。

第58条の2（適用除外）

この法は、時間・費用・技術等を合理的に考慮するとき、他の情報を使用しても もはや個人を識別できない情報には適用しない。

第59条（禁止行為）

個人情報を処理するか処理した者は、次の各号のいずれか一つに該当する行為をしてはならない。

1. 偽りその他の不正な手段または方法で個人情報を取得するか処理に関する同意を受ける行為
2. 業務上知った個人情報を漏洩するか権限なく他人が利用するよう提供する行為
3. 正当な権限なくまたは許容された権限を超過して他人の個人情報を利用、毀損、滅失、変更、偽造または流出する行為

第60条（秘密維持等）

次の各号の業務に従事するか従事した者は、職務上知った秘密を他人へ漏洩するか職務上目的以外の用途へ利用してはならない。ただし、他の法律に特別な規定がある場合にはそうではない。

1. 第7条の8および第7条の9による保護委員会の業務
2. 第28条の3による専門機関の指定業務および専門機関の業務
3. 第32条の2による個人情報保護認証業務
4. 第33条による影響評価業務
5. 第35条の3による個人情報管理専門機関の指定業務および個人情報管理専門機関の業務
6. 第40条による紛争調整委員会の紛争調整業務

第61条（意見提示および改善勧告）

1. 保護委員会は、個人情報保護へ影響を及ぼす内容が含まれた法令または条例について必要だと認めれば、審議・議決を経て関係機関へ意見を提示することができる。
2. 保護委員会は、個人情報保護のために必要だと認めれば、個人情報処理者へ個人情報処理実態の改善を勧告することができる。この場合、勧告を受けた個人情報処理者は、これを履行するために誠実に努力しなければならず、その措置結果を保護委員会へ知らせなければならない。
3. 関係中央行政機関の長は、個人情報保護のために必要だと認めれば、所管法律により個人情報処理者へ個人情報処理実態の改善を勧告することができる。この場合、勧告を受けた個人情報処理者は、これを履行するために誠実に努力しなければならず、その措置結果を関係中央行政機関の長へ知らせなければならない。
4. 中央行政機関、地方自治団体、国会、裁判所、憲法裁判所、中央選挙管理委員会は、その所属機関および所管公共機関に対して個人情報保護に関する意見を提示するか指導・点検をすることができる。

第62条（侵害事実の申告等）

1. 個人情報処理者が個人情報を処理するとき、個人情報に関する権利または利益を侵害された人は、保護委員会へその侵害事実を申告することができる。
2. 保護委員会は、第1項による申告の接受・処理等に関する業務を効率的に遂行するために、大統領令で定めるところにより専門機関を指定することができる。この場合、専門機関は個人情報侵害申告センター（以下「申告センター」という）を設置・運営しなければならない。
3. 申告センターは次の各号の業務を遂行する。
1. 個人情報処理と関連した申告の接受・相談
2. 事実の調査・確認および関係者の意見聴取
3. 第1号および第2号による業務に付随する業務
4. 保護委員会は、第3項第2号の事実調査・確認等の業務を効率的にするために必要であれば「国家公務員法」第32条の4により所属公務員を第2項による専門機関へ派遣することができる。

第63条（資料提出要求および検査）

1. 保護委員会は、次の各号のいずれか一つに該当する場合には、個人情報処理者へ関係物品・書類等の資料を提出させることができる。
1. この法を違反する事項を発見するか嫌疑があることを知った場合
2. この法違反に対する申告を受けるか民願が接受された場合
3. その他、情報主体の個人情報保護のために必要な場合として大統領令で定める場合
2. 保護委員会は、個人情報処理者が第1項による資料を提出しないか、この法を違反した事実があると認められれば、所属公務員に個人情報処理者および当該法違反事実と関連した関係人の事務所または事業場へ出入りして業務状況、帳簿または書類等を検査させることができる。この場合、検査をする公務員は、その権限を示す証票を持ってこれを関係人へ見せなければならない。
3. 保護委員会は、この法等、個人情報保護と関連した法規の違反行為により重大な個人情報侵害事故が発生した場合、迅速かつ効果的な対応のために次の各号のいずれか一つに該当する関係機関の長へ協力を要請することができる。
1. 中央行政機関
2. 地方自治団体
3. その他、法令または自治法規により行政権限を持っているか委任または委託を受けた公共機関
4. 第3項により協力を要請された関係機関の長は、特別な事情がない限りこれに従わなければならない。
5. 第1項および第2項による資料提出要求、検査手続および方法等に関して必要な事項は、保護委員会が定めて告示することができる。
6. 保護委員会は、第1項および第2項により提出を受けるか収集した書類・資料等を、この法による場合を除いては第三者へ提供するか一般へ公開してはならない。
7. 保護委員会は、情報通信網を通じて資料の提出等を受けた場合または収集した資料等を電子化した場合には、個人情報・営業秘密等が流出されないよう制度的・技術的補完措置をしなければならない。

第63条の2（事前実態点検）

1. 保護委員会は、第63条第1項各号に該当しない場合として、個人情報侵害事故発生の危険性が高く、個人情報保護の脆弱点を事前へ点検する必要性が認められる個人情報処理者に対して、個人情報保護実態を点検することができる。
2. 保護委員会は、第1項による実態点検を実施してこの法を違反する事項を発見した場合、当該個人情報処理者に対して是正方案を定めてこれに従うことを勧告することができる。
3. 第2項による是正勧告を受けた個人情報処理者は、これを通報された日から10日以内に当該勧告を受諾するか可否について保護委員会へ通知しなければならず、その履行結果を保護委員会が告示で定めるところにより保護委員会へ知らせなければならない。
4. 第2項による是正勧告を受けた者が当該勧告を受諾したときには、第64条第1項による是正措置命令（中央行政機関、地方自治団体、国会、裁判所、憲法裁判所、中央選挙管理委員会の場合には第64条第3項による勧告をいう）を受けたと見なす。
5. 保護委員会は、第2項による是正勧告を受けた者が当該勧告を受諾しないか履行しない場合、第63条第2項による検査をすることができる。
6. 保護委員会は、関係中央行政機関の長と合同で第1項による個人情報保護実態を点検することができる。

第64条（是正措置等）

1. 保護委員会は、この法を違反した者（中央行政機関、地方自治団体、国会、裁判所、憲法裁判所、中央選挙管理委員会は除く）に対して次の各号に該当する措置を命じることができる。
1. 個人情報侵害行為の中止
2. 個人情報処理の一時的停止
3. その他、個人情報の保護および侵害防止のために必要な措置
2. 地方自治団体、国会、裁判所、憲法裁判所、中央選挙管理委員会は、その所属機関および所管公共機関がこの法を違反したときには、第1項各号に該当する措置を命じることができる。
3. 保護委員会は、中央行政機関、地方自治団体、国会、裁判所、憲法裁判所、中央選挙管理委員会がこの法を違反したときには、当該機関の長へ第1項各号に該当する措置をするよう勧告することができる。この場合、勧告を受けた機関は特別な事由がない限りこれを尊重しなければならない。

第64条の2（過徴金の賦課）

1. 保護委員会は、次の各号のいずれか一つに該当する場合には、当該個人情報処理者へ全体売上額の100分の3を超過しない範囲で過徴金を賦課することができる。ただし、売上額がないか売上額の算定が困難な場合として大統領令で定める場合には、20億ウォンを超過しない範囲で過徴金を賦課することができる。
1. 第15条第1項、第17条第1項、第18条第1項・第2項（第26条第8項により準用される場合を含む）または第19条を違反して個人情報を処理した場合
2. 第22条の2第1項（第26条第8項により準用される場合を含む）を違反して法定代理人の同意を受けず満14歳未満の児童の個人情報を処理した場合
3. 第23条第1項第1号（第26条第8項により準用される場合を含む）を違反して情報主体の同意を受けず機微情報を処理した場合
4. 第24条第1項・第24条の2第1項（第26条第8項により準用される場合を含む）を違反して固有識別情報または住民登録番号を処理した場合
5. 第26条第4項による管理・監督または教育を疎かにして受託者がこの法の規定を違反した場合
6. 第28条の5第1項（第26条第8項により準用される場合を含む）を違反して特定個人を識別するための目的で情報を処理した場合
7. 第28条の8第1項（第26条第8項および第28条の11により準用される場合を含む）を違反して個人情報を国外へ移転した場合
8. 第28条の9第1項（第26条第8項および第28条の11により準用される場合を含む）を違反して国外移転中止命令に従わない場合
9. 個人情報処理者が処理する個人情報が紛失・盗難・流出・偽造・変造・毀損された場合。ただし、個人情報が紛失・盗難・流出・偽造・変造・毀損されないよう個人情報処理者が第29条（第26条第8項により準用される場合を含む）による安全性確保へ必要な措置をすべて行った場合にはそうではない。
2. 保護委員会は、第1項による過徴金を賦課しようとする場合、全体売上額で違反行為と関連がない売上額を除いた売上額を基準として過徴金を算定する。
3. 保護委員会は、第1項による過徴金を賦課しようとする場合、個人情報処理者が正当な事由なく売上額算定資料の提出を拒否するか偽りの資料を提出した場合には、当該個人情報処理者の全体売上額を基準として算定するが、当該個人情報処理者および類似規模の個人情報処理者の個人情報保有規模、財務諸表等会計資料、商品・用役の価格等営業現況資料に基づいて売上額を推定することができる。
4. 保護委員会は、第1項による過徴金を賦課する場合には、違反行為へ相当する比例性と侵害予防に対する効果性が確保されるよう次の各号の事項を考慮しなければならない。
1. 違反行為の内容および程度
2. 違反行為の期間および回数
3. 違反行為により取得した利益の規模
4. 暗号化等安全性確保措置履行努力
5. 個人情報が紛失・盗難・流出・偽造・変造・毀損された場合、違反行為との関連性および紛失・盗難・流出・偽造・変造・毀損の規模
6. 違反行為による被害の回復および被害拡散防止措置の履行可否
7. 個人情報処理者の業務形態および規模
8. 個人情報処理者が処理する個人情報の類型と情報主体へ及ぼす影響
9. 違反行為による情報主体の被害規模
10. 個人情報保護認証、自律的な保護活動等個人情報保護のための努力
11. 保護委員会との協力等違反行為を是正するための措置可否
5. 保護委員会は、次の各号のいずれか一つに該当する事由がある場合には、過徴金を賦課しないことができる。
1. 支払不能・支払停止または資本蚕食等の事由で客観的に過徴金を納める能力がないと認められる場合
2. 本人の行為が違法ではないと誤って認識した正当な事由がある場合
3. 違反行為の内容・程度が軽微であるか、算定された過徴金が少額である場合
4. その他、情報主体へ被害が発生しないか軽微な場合として大統領令で定める事由がある場合
6. 第1項による過徴金は第2項から第5項までを考慮して算定するが、具体的な算定基準と算定手続は大統領令で定める。
7. 保護委員会は、第1項による過徴金を納めるべき者が納付期限までこれを納めない場合、納付期限の翌日から納めない過徴金の年100分の6に該当する加算金を徴収する。この場合、加算金を徴収する期間は60月を超過できない。
8. 保護委員会は、第1項による過徴金を納めるべき者が納付期限まで納めない場合には、期間を定めて督促し、督促で指定した期間内に過徴金と第7項による加算金を納めなければ国税強制徴収の例により徴収する。
9. 保護委員会は、裁判所の判決等の事由で第1項により賦課された過徴金を還付する場合には、過徴金を納めた日から還付する日までの期間について金融会社等の預金利子率等を考慮して大統領令で定める利子率を適用して計算した還付加算金を支給しなければならない。
10. 保護委員会は、第9項にかかわらず、裁判所の判決により過徴金賦課処分が取り消されてその判決理由により新しい過徴金を賦課する場合には、当初納付した過徴金で新しく賦課しようと決定した過徴金を控除した残り金額についてのみ還付加算金を計算して支給する。

第65条（告発および懲戒勧告）

1. 保護委員会は、個人情報処理者へこの法等個人情報保護と関連した法規の違反による犯罪嫌疑があると認められるに相当な理由があるときには、管轄捜査機関へその内容を告発することができる。
2. 保護委員会は、この法等個人情報保護と関連した法規の違反行為があると認められるに相当な理由があるときには、責任がある者（代表者および責任ある役員を含む）を懲戒することを当該個人情報処理者へ勧告することができる。この場合、勧告を受けた人は、これを尊重しなければならず、その結果を保護委員会へ通報しなければならない。
3. 関係中央行政機関の長は、所管法律により個人情報処理者に対して第1項による告発をするか、所属機関・団体等の長へ第2項による懲戒勧告をすることができる。この場合、第2項による勧告を受けた人は、これを尊重しなければならず、その結果を関係中央行政機関の長へ通報しなければならない。

第66条（結果の公表）

1. 保護委員会は、第61条による改善勧告、第64条による是正措置命令、第64条の2による過徴金の賦課、第65条による告発または懲戒勧告および第75条による過怠料賦課の内容および結果について公表することができる。
2. 保護委員会は、第61条による改善勧告、第64条による是正措置命令、第64条の2による過徴金の賦課、第65条による告発または懲戒勧告および第75条による過怠料賦課処分等をした場合には、処分等を受けた者へ当該処分等を受けた事実を公表することを命じることができる。
3. 第1項および第2項による改善勧告事実等の公表および公表命令の方法、基準および手続等は大統領令で定める。

第67条（年次報告）

1. 保護委員会は、関係機関等から必要な資料を提出されて毎年個人情報保護施策の樹立および施行に関する報告書を作成して定期国会開会前まで国会へ提出（情報通信網による提出を含む）しなければならない。
2. 第1項による報告書には次の各号の内容が含まれなければならない。
1. 情報主体の権利侵害およびその救済現況
2. 個人情報処理に関する実態調査および個人情報保護水準評価等の結果
3. 個人情報保護施策の推進現況および実績
4. 個人情報関連海外の立法および政策動向
5. 住民登録番号処理と関連した法律・大統領令・国会規則・大法院規則・憲法裁判所規則・中央選挙管理委員会規則および監査院規則の制定・改正現況
6. その他、個人情報保護施策に関して公開または報告すべき事項

第68条（権限の委任・委託）

1. この法による保護委員会または関係中央行政機関の長の権限は、その一部を大統領令で定めるところにより特別市長、広域市長、道知事、特別自治道知事または大統領令で定める専門機関へ委任または委託することができる。
2. 第1項により保護委員会または関係中央行政機関の長の権限を委任または委託を受けた機関は、委任または委託を受けた業務の処理結果を保護委員会または関係中央行政機関の長へ通報しなければならない。
3. 保護委員会は、第1項による専門機関へ権限の一部を委任または委託する場合、当該専門機関の業務遂行のために必要な経費を出捐することができる。

第69条（罰則適用時の公務員擬制）

1. 保護委員会の委員のうち公務員ではない委員および公務員ではない職員は「刑法」その他の法律による罰則を適用するときには公務員と見なす。
2. 保護委員会または関係中央行政機関の長の権限を委託した業務へ従事する関係機関の役職員は「刑法」第129条から第132条までの規定を適用するときには公務員と見なす。

第10章 罰則

第70条（罰則）

次の各号のいずれか一つに該当する者は10年以下の懲役または1億ウォン以下の罰金へ処する。

1. 公共機関の個人情報処理業務を妨害する目的で公共機関で処理している個人情報を変更するか抹消して公共機関の業務遂行の中断・麻痺等深刻な支障を招来した者
2. 偽りその他の不正な手段または方法で他人が処理している個人情報を取得した後、これを営利または不正な目的で第三者へ提供した者およびこれを教唆・斡旋した者

第71条（罰則）

次の各号のいずれか一つに該当する者は5年以下の懲役または5千万ウォン以下の罰金へ処する。

1. 第17条第1項第2号へ該当しないにもかかわらず同項第1号（第26条第8項により準用される場合を含む）を違反して情報主体の同意を受けず個人情報を第三者へ提供した者およびその事情を知りながら個人情報を提供された者
2. 第18条第1項・第2項、第27条第3項または第28条の2（第26条第8項により準用される場合を含む）、第19条または第26条第5項を違反して個人情報を利用するか第三者へ提供した者およびその事情を知りながら営利または不正な目的で個人情報を提供された者
3. 第22条の2第1項（第26条第8項により準用される場合を含む）を違反して法定代理人の同意を受けず満14歳未満の児童の個人情報を処理した者
4. 第23条第1項（第26条第8項により準用される場合を含む）を違反して機微情報を処理した者
5. 第24条第1項（第26条第8項により準用される場合を含む）を違反して固有識別情報を処理した者
6. 第28条の3第1項（第26条第8項により準用される場合を含む）を違反して保護委員会または関係中央行政機関の長から専門機関として指定を受けず仮名情報を結合した者
7. 第28条の3第2項（第26条第8項により準用される場合を含む）を違反して専門機関の長の承認を受けず結合を遂行した機関外部へ結合された情報を搬出するか、これを第三者へ提供した者およびその事情を知りながら営利または不正な目的で結合された情報を提供された者
8. 第28条の5第1項（第26条第8項により準用される場合を含む）を違反して特定個人を識別するための目的で仮名情報を処理した者
9. 第59条第2号を違反して業務上知った個人情報を漏洩するか権限なく他人が利用するよう提供した者およびその事情を知りながら営利または不正な目的で個人情報を提供された者
10. 第59条第3号を違反して他人の個人情報を利用、毀損、滅失、変更、偽造または流出した者

第72条（罰則）

次の各号のいずれか一つに該当する者は3年以下の懲役または3千万ウォン以下の罰金へ処する。

1. 第25条第5項（第26条第8項により準用される場合を含む）を違反して固定型映像情報処理機器の設置目的と異なる目的で固定型映像情報処理機器を任意に操作するか他所を映す者または録音機能を使用した者
2. 第59条第1号を違反して偽りその他の不正な手段または方法で個人情報を取得するか個人情報処理に関する同意を受ける行為をした者およびその事情を知りながら営利または不正な目的で個人情報を提供された者
3. 第60条を違反して職務上知った秘密を漏洩するか職務上目的以外へ利用した者

第73条（罰則）

1. 次の各号のいずれか一つに該当する者は2年以下の懲役または2千万ウォン以下の罰金へ処する。
1. 第36条第2項（第26条第8項により準用される場合を含む）を違反して訂正・削除等必要な措置をせず個人情報を引き続き利用するか、これを第三者へ提供した者
2. 第37条第2項（第26条第8項により準用される場合を含む）を違反して個人情報の処理を停止せず個人情報を引き続き利用するか第三者へ提供した者
3. 国内外で正当な理由なく第39条の4による秘密維持命令を違反した者
4. 第63条第1項（第26条第8項により準用される場合を含む）による資料提出要求について法違反事項を隠蔽または縮小する目的で資料提出を拒否するか偽りの資料を提出した者
5. 第63条第2項（第26条第8項により準用される場合を含む）による出入・検査時、資料の隠匿・廃棄、接近拒否または偽造・変造等を通じて調査を拒否・妨害または忌避した者
2. 第1項第3号の罪は秘密維持命令を申請した者の告訴がなければ公訴を提起できない。

第74条（両罰規定）

1. 法人の代表者または法人もしくは個人の代理人、使用人、その他の従業員がその法人または個人の業務に関して第70条へ該当する違反行為をすれば、その行為者を罰するの外にその法人または個人を7千万ウォン以下の罰金へ処する。ただし、法人または個人がその違反行為を防止するために当該業務に関して相当な注意と監督を怠らなかった場合にはそうではない。
2. 法人の代表者または法人もしくは個人の代理人、使用人、その他の従業員がその法人または個人の業務に関して第71条から第73条までのいずれか一つへ該当する違反行為をすれば、その行為者を罰するの外にその法人または個人にも当該条文の罰金刑を科する。ただし、法人または個人がその違反行為を防止するために当該業務に関して相当な注意と監督を怠らなかった場合にはそうではない。

第74条の2（没収・追徴等）

第70条から第73条までのいずれか一つへ該当する罪を犯した者が当該違反行為と関連して取得した金品その他の利益は没収でき、これを没収できないときには、その価額を追徴できる。この場合、没収または追徴は他の罰則へ付加して科すことができる。

第75条（過怠料）

1. 次の各号のいずれか一つに該当する者には5千万ウォン以下の過怠料を賦課する。
1. 第25条第2項（第26条第8項により準用される場合を含む）を違反して固定型映像情報処理機器を設置・運営した者
2. 第25条の2第2項（第26条第8項により準用される場合を含む）を違反して移動型映像情報処理機器で人またはその人と関連した事物の映像を撮影した者
2. 次の各号のいずれか一つに該当する者には3千万ウォン以下の過怠料を賦課する。
1. 第16条第3項・第22条第5項（第26条第8項により準用される場合を含む）を違反して財貨またはサービスの提供を拒否した者
2. 第20条第1項・第2項を違反して情報主体へ同条第1項各号の事実を知らせない者
3. 第20条の2第1項を違反して個人情報の利用・提供内訳または利用・提供内訳を確認できる情報システムへ接続する方法を通知しない者
4. 第21条第1項（第26条第8項により準用される場合を含む）を違反して個人情報の破棄等必要な措置をしない者
5. 第23条第2項・第24条第3項・第25条第6項（第25条の2第4項により準用される場合を含む）・第28条の4第1項・第29条（第26条第8項により準用される場合を含む）を違反して安全性確保へ必要な措置をしない者
6. 第23条第3項（第26条第8項により準用される場合を含む）を違反して機微情報の公開可能性および非公開を選択する方法を知らせない者
7. 第24条の2第1項（第26条第8項により準用される場合を含む）を違反して住民登録番号を処理した者
8. 第24条の2第2項（第26条第8項により準用される場合を含む）を違反して暗号化措置をしない者
9. 第24条の2第3項（第26条第8項により準用される場合を含む）を違反して情報主体が住民登録番号を使用しないことができる方法を提供しない者
10. 第25条第1項（第26条第8項により準用される場合を含む）を違反して固定型映像情報処理機器を設置・運営した者
11. 第25条の2第1項（第26条第8項により準用される場合を含む）を違反して人またはその人と関連した事物の映像を撮影した者
12. 第26条第3項を違反して情報主体へ知らせるべき事項を知らせない者
13. 第28条の5第2項（第26条第8項により準用される場合を含む）を違反して個人を識別できる情報が生成されたにもかかわらず利用を中止しないか、これを回収・破棄しない者
14. 第28条の8第4項（第26条第8項および第28条の11により準用される場合を含む）を違反して保護措置をしない者
15. 第32条の2第6項を違反して認証を受けていないにもかかわらず偽りで認証の内容を表示するか広報した者
16. 第33条第1項を違反して影響評価をしないか、その結果を保護委員会へ提出しない者
17. 第34条第1項（第26条第8項により準用される場合を含む）を違反して情報主体へ同項各号の事実を知らせない者
18. 第34条第3項（第26条第8項により準用される場合を含む）を違反して保護委員会または大統領令で定める専門機関へ申告しない者
19. 第35条第3項・第4項、第36条第2項・第4項または第37条第4項（第26条第8項により準用される場合を含む）を違反して情報主体へ知らせるべき事項を知らせない者
20. 第35条の3第1項による指定を受けず同項第2号の業務を遂行した者
21. 第35条の3第3項を違反した者
22. 第36条第2項（第26条第8項により準用される場合を含む）を違反して訂正・削除等必要な措置をしない者
23. 第37条第3項または第5項（第26条第8項により準用される場合を含む）を違反して破棄等必要な措置をしない者
24. 第37条の2第3項（第26条第8項により準用される場合を含む）を違反して正当な事由なく情報主体の要求へ従わない者
25. 第63条第1項（第26条第8項により準用される場合を含む）による関係物品・書類等の資料を提出しないか偽りで提出した者
26. 第63条第2項（第26条第8項により準用される場合を含む）による出入・検査を拒否・妨害または忌避した者
27. 第64条第1項による是正措置命令へ従わない者
3. 次の各号のいずれか一つに該当する者には2千万ウォン以下の過怠料を賦課する。
1. 第26条第6項を違反して委託者の同意を受けず第三者へ再委託した者
2. 第31条の2第1項を違反して国内代理人を指定しない者
3. 第31条の2第2項を違反して国内代理人を指定した者
4. 第31条の2第3項を違反して国内代理人を管理・監督しない者
4. 次の各号のいずれか一つに該当する者には1千万ウォン以下の過怠料を賦課する。
1. 第11条の2第2項を違反して正当な事由なく資料を提出しないか偽りで提出した者
2. 第21条第3項（第26条第8項により準用される場合を含む）を違反して個人情報を分離して保存・管理しない者
3. 第22条第1項から第3項まで（第26条第8項により準用される場合を含む）を違反して同意を受けた者
4. 第26条第1項を違反して業務委託時、同項各号の内容が含まれた文書でしない者
5. 第26条第2項を違反して委託する業務の内容と受託者を公開しない者
6. 第27条第1項・第2項（第26条第8項により準用される場合を含む）を違反して情報主体へ個人情報の移転事実を知らせない者
7. 第28条の4第3項（第26条第8項により準用される場合を含む）を違反して関連記録を作成して保管しない者
8. 第30条第1項または第2項（第26条第8項により準用される場合を含む）を違反して個人情報処理方針を定めないか、これを公開しない者
9. 第31条第1項（第26条第8項により準用される場合を含む）を違反して個人情報保護責任者を指定しない者
5. 9の2. 第31条の2第4項を違反して国内代理人の氏名・住所・電話番号および電子郵便住所を個人情報処理方針へ含めない者
1. 第35条第3項・第4項、第36条第2項・第4項または第37条第4項（第26条第8項により準用される場合を含む）を違反して情報主体へ知らせるべき事項を知らせない者
2. 第45条第1項による資料を正当な事由なく提出しないか偽りで提出した者
3. 第45条第2項による出入・調査・閲覧を正当な事由なく拒否・妨害または忌避した者
6. 第1項から第4項までによる過怠料は大統領令で定めるところにより保護委員会が賦課・徴収する。この場合、保護委員会は違反行為の程度・動機・結果、個人情報処理者の規模等を考慮して過怠料を減軽または免除することができる。