정보통신망 이용촉진 및 정보보호 등에 관한 법률 약칭 : 정보통신망법
[시행 2024. 7. 24.] [법률 제20069호, 2024. 1. 23., 일부개정]
제23조의5(연계정보의 생성ㆍ처리 등)
① 본인확인기관은 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 정보통신서비스 제공자의 서비스 연계를 위하여 이용자의 주민등록번호를 비가역적으로 암호화한 정보(이하 “연계정보”라 한다)를 생성 또는 제공ㆍ이용ㆍ대조ㆍ연계 등 그 밖에 이와 유사한 행위(이하 “처리”라 한다)를 할 수 없다.
1. 이용자가 입력한 정보를 이용하여 이용자를 안전하게 식별ㆍ인증하기 위한 서비스를 제공하는 경우
2. 「개인정보 보호법」 제24조에 따른 고유식별정보(이하 이 조에서 “고유식별정보”라 한다)를 보유한 행정기관 및 공공기관(이하 “행정기관등”이라 한다)이 연계정보를 활용하여 「전자정부법」 제2조제5호에 따른 전자정부서비스를 제공하기 위한 경우로서 다음 각 목의 어느 하나에 해당하는 경우
1. 이용자가 입력한 정보를 이용하여 이용자를 안전하게 식별ㆍ인증하기 위한 서비스를 제공하는 경우
2. 「개인정보 보호법」 제24조에 따른 고유식별정보(이하 이 조에서 “고유식별정보”라 한다)를 보유한 행정기관 및 공공기관(이하 “행정기관등”이라 한다)이 연계정보를 활용하여 「전자정부법」 제2조제5호에 따른 전자정부서비스를 제공하기 위한 경우로서 다음 각 목의 어느 하나에 해당하는 경우
가.「전자정부법」 제2조제4호에 따른 중앙사무관장기관의 장이 행정기관등의 이용자 식별을 통합적으로 지원하기 위하여 연계정보 생성ㆍ처리를 요청한 경우
나. 행정기관등이 고유식별정보 처리 목적 범위에서 불가피하게 이용자의 동의를 받지 아니하고 연계정보 생성ㆍ처리를 요청한 경우
3. 고유식별정보를 보유한 자가 「개인정보 보호법」 제35조의2에 따른 개인정보 전송의무를 수행하기 위하여 개인정보 전송을 요구한 정보주체의 연계정보 생성ㆍ처리를 요청한 경우
4. 「개인정보 보호법」 제24조의2제1항 각 호에 따라 주민등록번호 처리가 허용된 경우로서 이용자의 동의를 받지 아니하고 연계정보 생성ㆍ처리가 불가피한 대통령령으로 정하는 정보통신서비스를 제공하기 위하여 본인확인기관과 해당 정보통신서비스 제공자가 함께 방송통신위원회의 승인을 받은 경우
② 방송통신위원회는 제1항제4호에 따라 연계정보의 생성ㆍ처리를 승인하려는 경우 다음 각 호의 사항을 종합적으로 심사하여야 한다.
1. 제공 서비스 구현의 적절성 및 혁신성
2. 연계정보 생성ㆍ처리 절차의 적절성
3. 연계정보 생성ㆍ처리의 안전성 확보를 위한 물리적ㆍ기술적ㆍ관리적 조치 계획
4. 이용자 권리 보호 방안의 적절성
5. 관련 시장과 이용자 편익에 미치는 영향 및 효과
③ 방송통신위원회는 다음 각 호의 어느 하나에 해당하는 경우에 제1항제4호에 따른 연계정보 생성ㆍ처리 승인을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 그 승인을 취소하여야 한다.
1. 거짓이나 그 밖의 부정한 방법으로 제1항제4호에 따른 연계정보 생성ㆍ처리 승인을 받은 경우
2. 제2항 각 호에 따른 심사사항에 부적합하게 된 경우
3. 제23조의6제1항에 따른 물리적ㆍ기술적ㆍ관리적 조치 의무를 위반한 경우
4. 개인정보 보호 관련 법령을 위반하고 그 위반사유가 중대한 경우
④ 제1항 각 호에 따른 서비스를 위하여 본인확인기관으로부터 연계정보를 제공받은 자(이하 “연계정보 이용기관”이라 한다)는 제공받은 목적 범위에서 연계정보를 처리할 수 있다. 다만, 정보주체에게 별도로 동의받은 경우에는 동의받은 목적 범위에서 연계정보를 처리할 수 있다.
⑤ 제1항부터 제4항까지에 따른 연계정보 생성ㆍ처리 승인 절차, 승인 심사사항별 세부심사기준, 승인취소 처분의 기준 등에 관하여 필요한 사항은 대통령령으로 정한다.
[본조신설 2024. 1. 23.] [시행일 미지정] 제23조의5제1항제3호
나. 행정기관등이 고유식별정보 처리 목적 범위에서 불가피하게 이용자의 동의를 받지 아니하고 연계정보 생성ㆍ처리를 요청한 경우
3. 고유식별정보를 보유한 자가 「개인정보 보호법」 제35조의2에 따른 개인정보 전송의무를 수행하기 위하여 개인정보 전송을 요구한 정보주체의 연계정보 생성ㆍ처리를 요청한 경우
4. 「개인정보 보호법」 제24조의2제1항 각 호에 따라 주민등록번호 처리가 허용된 경우로서 이용자의 동의를 받지 아니하고 연계정보 생성ㆍ처리가 불가피한 대통령령으로 정하는 정보통신서비스를 제공하기 위하여 본인확인기관과 해당 정보통신서비스 제공자가 함께 방송통신위원회의 승인을 받은 경우
② 방송통신위원회는 제1항제4호에 따라 연계정보의 생성ㆍ처리를 승인하려는 경우 다음 각 호의 사항을 종합적으로 심사하여야 한다.
1. 제공 서비스 구현의 적절성 및 혁신성
2. 연계정보 생성ㆍ처리 절차의 적절성
3. 연계정보 생성ㆍ처리의 안전성 확보를 위한 물리적ㆍ기술적ㆍ관리적 조치 계획
4. 이용자 권리 보호 방안의 적절성
5. 관련 시장과 이용자 편익에 미치는 영향 및 효과
③ 방송통신위원회는 다음 각 호의 어느 하나에 해당하는 경우에 제1항제4호에 따른 연계정보 생성ㆍ처리 승인을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 그 승인을 취소하여야 한다.
1. 거짓이나 그 밖의 부정한 방법으로 제1항제4호에 따른 연계정보 생성ㆍ처리 승인을 받은 경우
2. 제2항 각 호에 따른 심사사항에 부적합하게 된 경우
3. 제23조의6제1항에 따른 물리적ㆍ기술적ㆍ관리적 조치 의무를 위반한 경우
4. 개인정보 보호 관련 법령을 위반하고 그 위반사유가 중대한 경우
④ 제1항 각 호에 따른 서비스를 위하여 본인확인기관으로부터 연계정보를 제공받은 자(이하 “연계정보 이용기관”이라 한다)는 제공받은 목적 범위에서 연계정보를 처리할 수 있다. 다만, 정보주체에게 별도로 동의받은 경우에는 동의받은 목적 범위에서 연계정보를 처리할 수 있다.
⑤ 제1항부터 제4항까지에 따른 연계정보 생성ㆍ처리 승인 절차, 승인 심사사항별 세부심사기준, 승인취소 처분의 기준 등에 관하여 필요한 사항은 대통령령으로 정한다.
[본조신설 2024. 1. 23.] [시행일 미지정] 제23조의5제1항제3호
제23조의6(연계정보의 안전조치 의무 등)
① 본인확인기관이 연계정보를 생성ㆍ처리하는 경우 「개인정보 보호법」 제29조에 따른 조치 외에 연계정보 생성ㆍ처리의 안전성 확보를 위한 물리적ㆍ기술적ㆍ관리적 조치를 하여야 한다.
② 연계정보 이용기관은 제23조의5제1항 각 호에 따른 서비스를 제공하는 경우 「개인정보 보호법」 제29조에 따른 조치 외에 연계정보를 주민등록번호와 분리하여 보관ㆍ관리하고 연계정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 조치(이하 “안전조치”라 한다)하여야 한다.
③ 방송통신위원회는 생성ㆍ처리하는 연계정보의 규모, 매출액 등이 대통령령으로 정하는 기준에 해당하는 본인확인기관의 물리적ㆍ기술적ㆍ관리적 조치 및 연계정보 이용기관의 안전조치에 대한 운영ㆍ관리 실태를 점검할 수 있다.
④ 방송통신위원회는 제3항에 따른 점검에 관한 업무를 대통령령으로 정하는 전문기관에 위탁할 수 있다.
⑤ 제1항에 따른 물리적ㆍ기술적ㆍ관리적 조치와 제2항에 따른 안전조치에 관하여 필요한 사항은 대통령령으로 정한다.
[본조신설 2024. 1. 23.]
② 연계정보 이용기관은 제23조의5제1항 각 호에 따른 서비스를 제공하는 경우 「개인정보 보호법」 제29조에 따른 조치 외에 연계정보를 주민등록번호와 분리하여 보관ㆍ관리하고 연계정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 조치(이하 “안전조치”라 한다)하여야 한다.
③ 방송통신위원회는 생성ㆍ처리하는 연계정보의 규모, 매출액 등이 대통령령으로 정하는 기준에 해당하는 본인확인기관의 물리적ㆍ기술적ㆍ관리적 조치 및 연계정보 이용기관의 안전조치에 대한 운영ㆍ관리 실태를 점검할 수 있다.
④ 방송통신위원회는 제3항에 따른 점검에 관한 업무를 대통령령으로 정하는 전문기관에 위탁할 수 있다.
⑤ 제1항에 따른 물리적ㆍ기술적ㆍ관리적 조치와 제2항에 따른 안전조치에 관하여 필요한 사항은 대통령령으로 정한다.
[본조신설 2024. 1. 23.]
댓글 쓰기