I. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」의 개정
「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 “정보통신망법”)은 (1) 불법스팸 대응 제도 개선, (2) ISMS 간편인증 제도 도입, (3) 본인확인기관의 연계정보(이하 “CI”)에 대한 안전성 확보 조치 의무화, (4) 침해사고 발생 시 조치명령 및 이행점검 제도 도입 등을 골자로 2024. 1. 23., 2024. 2. 13. 두 차례에 걸쳐 개정되었습니다. 개정 내용 중 일부는 2024. 7. 24. 시행되었고, 나머지는 2024. 8. 14. 시행 예정입니다.
저희 법무법인은 개정된 정보통신망법의 주요 내용을 정리하여 아래와 같이 보내드리니 업무에 참고하시기 바랍니다.
II. 주요내용
1. 2024. 1. 23. 개정 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」: 2024. 7. 24. 시행
1) 불법스팸 대응 제도 개선
구 정보통신망법 제50조 제7항은 동법 제50조 제1항, 제2항에 따른 사전 동의, 수신거부의사 또는 수신 동의 철회 의사에 대해서만 그 처리 결과를 알릴 의무를 부과하고 있었고, 동법 제50조 제3항에 따른 야간 광고성 정보 수신 동의(오후 9시부터 그 다음 날 오전 8시까지의 시간에 전송하는 영리목적의 광고성 정보에 대한 수신 동의)에 대해서는 처리 결과를 알릴 의무를 부과하지 아니하고 있었습니다. 개정 정보통신망법 제50조 제7항은 야간 광고성 정보 전송을 위해 동의를 받는 경우 그 처리 결과를 이용자에게 통보하도록 하였습니다. 이에 따라 야간 광고성 정보 수신 동의에 대해서도 처리 결과 통지가 이루어지도록 할 필요가 있습니다.
정보통신망법 제50조의4 제4항에 따르면, 정보통신서비스제공자는 이용자에게 제공하는 자신의 서비스가 영리목적의 광고성 정보의 전송 제한(정보통신망법 제50조)이나 불법행위를 위한 광고성 정보 전송 금지(정보통신망법 제50조의8)을 위반하여 이용되고 있는 경우에는 해당 역무의 제공을 거부하거나 정보통신망이나 서비스의 취약점을 개선하는 등 필요한 조치를 강구해야 합니다. 이를 위반한 경우, 부과되던 과태료가 최대 1천만원에서 최대 3천만원으로 상향되었습니다.
아울러, 불법행위를 위한 광고성 정보를 전송하는 경우(정보통신망법 제50조의8)에 대한 형사 처벌도 기존 1년 이하의 징역 또는 1천만원 이하의 벌금에서 3년 이하의 징역 또는 3천만원 이하의 벌금으로 강화되었습니다.
2) ISMS 간편인증 제도 도입
정보통신망법 제47조의7이 신설되어 대상자는 기존 ISMS 인증 제도보다 완화된 인증기준 및 절차의 적용을 받을 수 있게 되었습니다. ISMS 간편인증 대상은 다음과 같습니다.
- 「중소기업기본법」에 따른 소기업 또는 정보통신부문 매출액이 300억 미만인 「중소기업기본법」에 따른 중기업 (이하 “1유형”)
- 정보통신부문 매출액이 300억 이상인 「중소기업기본법」에 따른 중기업 중 주요 정보통신설비를 직접 설치ㆍ운영하지 않는 자로서, 정보통신망법 제47조 제1항에 따른 ISMS 인증, 「개인정보 보호법」 제32조의2 제1항에 따른 ISMS-P 인증 또는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2 제1항에 따른 CSAP 인증을 받은 자가 제공하는 호스팅서비스 또는 클라우드컴퓨팅서비스를 이용하는 자 (이하 “2유형”)
단, 다음에 대해서는 ISMS 간편인증이 적용되지 않습니다.
- 주요정보통신서비스 제공자
- 집적정보통신시설 사업자
- 전년도 매출액 또는 세입이 1,500억원 이상인, (1) 상급종합병원 또는 (2) 직전년도 12월 31일 기준 재학생 수가 1만명 이상인 「고등교육법」에 따른 학교
- 전년도 일일평균 이용자 수가 100만명 이상인 자
- 가상자산사업자
- 금융회사
ISMS 간편인증 제도의 도입으로 1유형의 경우 인증 항목의 수가 기존 제도 대비 ISMS 간편인증은 40개, ISMS-P 간편인증은 39개 감소하였고, 2유형의 경우 ISMS 간편인증 및 ISMS-P 간편인증 모두 인증항목의 수가 기존 대비 36개 감소하였습니다(「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 제23조 제3항, 제4항).
3) CI에 대한 안전성 확보조치 의무화 등
개정 정보통신망법은 본인확인기관이 CI를 생성, 처리하는 경우 「개인정보 보호법」 제29조에 따른 안전성 확보 조치 이외에도 CI 생성, 처리의 안전성 확보를 위한 물리적, 기술적, 관리적 조치를 의무화하였습니다(정보통신망법 제23조의6 제1항). 이를 위반하는 경우 최대 3천만원 이하의 과태료를 부과하도록 하였습니다.
아울러, 연계정보 이용기관(정보통신망법 제23조의5 제1항 각 호의 서비스를 위하여 본인확인기관으로부터 CI를 제공받는 자)은 제공 받은 목적 범위 내에서만(단, 정보주체에게 별도 동의 받은 경우 동의 받은 목적 범위 내에서도) CI를 처리할 수 있도록 하고(정보통신망법 제23조의5 제4항), 이를 위반한 경우 5년 이하의 징역 또는 5천만원 이하의 벌금을 부과할 수 있도록 하였습니다. 또한, 이 경우 「개인정보 보호법」 제29조에 따른 안전성 확보 조치 이외에도 CI를 주민등록번호와 분리하여 보관, 관리하고, CI가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 아니하도록 조치하도록 하였으며(정보통신망법 제23조의6 제2항), 위반 시 최대 3천만원 이하의 과태료를 부과하도록 하였습니다.
이에 따라 방송통신위원회는 본인확인기관 및 연계정보 이용기관의 CI에 대한 보호조치의 내용을 구체화하는 「연계정보의 생성‧처리 등에 관한 기준」 제정안(방송통신위원회 고시)을 2024. 5. 13. 행정예고 하였습니다.
그 밖에도 개정 정보통신망법은 본인확인기관이 CI를 생성, 처리할 수 있는 목적을 제한하고(위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금), 그간 「정보통신 진흥 및 융합 활성화 등에 관한 특별법」에 따라 임시허가를 부여하였던 행정ㆍ공공기관 등 보유 이용자 주민등록번호의 CI 일괄변환의 법적 근거를 신설하였습니다(정보통신망법 제23조의5).
4) 기타 개정 사항
개정 정보통신망법에는 그 밖에도 다음과 같은 사항 등이 반영되었습니다.
- 영리목적의 광고성 정보 전송 시 금지 사항(정보통신망법 제50조 제5항), 불법행위를 위한 광고성 정보의 의미(정보통신망법 제50조의8) 명확화
- ISMS 인증 의무대상의 매출액, 세입 및 이용자 수 판단 기준을 “전년도”로 통일하여 의무대상 기준을 명확히 함(정보통신망법 제47조 제2항)
- 국내에 데이터를 임시저장하는 서버를 설치ㆍ운영하는 일정 규모 이상의 정보통신서비스 제공자로 하여금 불법정보의 유통을 효과적으로 차단할 수 있도록 기술적, 관리적 조치를 하도록 하고(정보통신망법 제44조의7 제5항), 이를 위반하는 경우 1천만원 이하의 과태료 부과
- 정보통신망에 대한 침해행위 금지 규정에 백도어(정보통신망의 정상적인 보호ㆍ인증 절차를 우회하여 정보통신망에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등)의 설치와 전달ㆍ유포 행위를 추가하고(정보통신망법 제48조 제4항), 이를 위반하는 경우 5년 이하의 징역 또는 5천만원 이하의 벌금을 부과할 수 있도록 함 (시행일 2024. 1. 23.)
- 청소년유해매체물을 광고하는 내용의 정보를 청소년에게 전송하거나 청소년 접근을 제한하는 조치 없이 공개적으로 전시한 자에 대한 형사처벌을 기존 2년 이하의 징역 또는 2천만원 이하의 벌금에서 3년 이하의 징역 또는 3천만원 이하의 벌금으로 상향
2. 2024. 2. 13. 개정 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」: 2024. 8. 14. 시행
1) 침해사고 발생 시 조치명령 및 이행점검 제도 도입
구 정보통신망법 제48조의4 제2항에서는 침해사고 발생 시 과학기술정보통신부장관이 침해사고의 원인을 분석하고, 피해 확산 방지, 사고대응, 복구 및 재발 방지를 위한 대책을 마련하여 필요한 조치를 하도록 권고할 수 있었습니다. 개정 정보통신망법에서는 침해사고가 발생한 경우 과학기술정보통신부장관이 해당 정보통신서비스 제공자에게 침해사고 대책을 이행할 것을 명령할 수 있도록 하고(제2항), 해당 조치의 이행 여부를 점검하고 보완이 필요한 사항에 대하여 해당 정보통신서비스 제공자에게 시정을 명할 수 있도록 하였습니다(제3항). 이러한 시정명령에 따르지 아니한 경우 3천만원 이하의 과태료가 부과될 수 있습니다.
2) 침해사고 신고 의무 위반 시 과태료 상향 등
침해사고 신고 의무 위반 시 부과되는 과태료가 최대 1천만원 이하에서 최대 3천만원 이하로 상향되었습니다.
또한, 침해사고 신고의 시기, 방법 및 절차를 대통령령으로 위임하는 규정이 신설되었습니다(정보통신망법 제48조의3 제4항).
* * *
저희 법무법인에서는 정보보호와 관련된 다수의 자문 및 소송 업무를 수행하여 왔고, 이와 관련한 주요 컴플라이언스 시스템의 사전 수립 및 점검 등의 실무 업무 수행 경험도 다수 보유하고 있습니다. 정보통신망법 개정에 따른 다양한 법률 이슈에 대한 자문 및 시스템 점검 등에 대하여 문의사항이 있으시면 언제든지 저희 법무법인에 연락주시기 바랍니다.