손해배상 보장제도 안내 손해배상 책임 이행 방안
손해배상
보장제도 안내

손해배상 책임이행 방안

1.적용대상

다음 각 호의 요건을 모두 갖춘 정보통신서비스 제공자 등
① 전년도(법인의 경우 전 사업연도를 말한다)의 매출액이 5천만원 이상일 것
② 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자수가 일일평균 1천명 이상일 것
(개인정보 보호법 시행령 제48조의7제1항)

1정보통신서비스 제공자 및 그로부터 개인정보를 제공받는 자 (이하 '정보통신서비스 제공자등') [정보통신서비스 제공자]

전기통신사업자(전기통신사업법 제2조제8호)

영리를 목적으로 전기통신사업자의 전기통신역무(유선·무선·광선·그밖에 전자적 방식으로 부호·문언·음향·영상을 송신·수신)를
이용하여 정보를 제공하거나 정보의 제공을 매개하는 자

※ 업종에 관계없이 인터넷·모바일 상에 영리목적으로 웹사이트·앱·블로그 등을 운영하며 이용자(고객)정보를 보유한 사업자 등이 해당됨
[ 정보통신서비스 제공자로부터 개인정보를 제공받는 자 ]

정보통신서비스 제공자가 관리감독 책임을 부담하는 것이 아니라 제공받는 자가 자기 책임 하에 제공받은 목적 범위 내에서
개인정보를 이용하는 경우에 해당

참고 [ 비영리기관이나 단체 ]

대학교 등 공공의 목적으로 설립된 비영리기관ㆍ단체의 경우, 원칙적으로 영리활동을 하지 않으므로 손해배상책임 보장제도 의무
이행 대상인 ‘정보통신서비스 제공자’에 해당하지 않아 적용대상이 되지 않음

- 다만, 학술‧연구 등 공공의 목적과 무관하게 영리목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나
정보의 제공을 매개하는 행위를 하는 별도 법인* 또는 별도 법인이 아니더라도 다른 정보통신서비스 제공자로부터
개인정보를 제공받아 저장‧관리하고 있는 경우에는 동 제도의 의무 적용대상인 ‘정보통신서비스 제공자등’에 해당할 수 있음

* 예시 : 대학 산학협력단에서 온라인을 통해 우유, 비누 등의 상품을 판매하는 서비스를 제공하는 경우 등

[ 수탁자 ]

개인정보 보호법 제39조의9(손해배상의 보장)은 이용자의 개인정보를 수집·이용· 제공 등 처리하는 사업자로 하여금
개인정보 유출 등에 따른 손해배상 책임의 이행을 위하여 보험 가입 등을 의무화하는 규정으로,

- 정보통신서비스 제공자등으로부터 개인정보 업무를 위탁받은 수탁자는 위탁자(정보통신서비스 제공자등)가 보험 등의
가입 의무 대상이고, 법 제39조의9 규정이 준용되지 않아(개인정보 보호법 제26조제7항) 손해배상책임보험(공제) 가입
또는 준비금 적립 등의 적용 대상에 해당되지 않음

- 다만, 수탁자도 그 자신이 정보통신서비스 제공자등이고 개인정보를 활용한 고유의 사업을 영위하는 경우에는 동 법 제39조의9의 적용 대상이 될 수 있음

2전년도(법인의 경우 전 사업연도)의 매출액이 5천만 원 이상

보험 또는 공제에 가입하거나 준비금을 적립해야 할 연도의 전년도(법인의 경우 전 사업연도)의 매출액이 5천만원 이상이어야 함

[ 매출액 ]

법 제39조의9제1항에 따라 보험 또는 공제에 가입하거나 준비금을 적립해야 할 연도의 전년도(법인의 경우 전 사업연도) 매출액을 말함
- 매출액의 범위는 정보통신서비스 부문에 한정되지 않으며, 법인(기업)의 총 매출액을 의미함

[ 전년도(법인의 경우 전 사업연도) 매출액 ]

손익계산서 상 매출액을 기준으로 함

※ 다만, 직전년도 재무제표가 확정되지 않은 경우, 부가가치세과세표준증명서 상 수입금액 또는 세무조정계산서의 손익계산서 상 매출액을 기준으로
하는 것도 가능
3개인정보가 저장·관리되고 있는 이용자수가 일일평균 1천명 이상

- 보험 또는 공제에 가입하거나 준비금을 적립해야 할 연도의 전년도 말 기준 직전 3개월 간 그 개인정보가 저장·관리되고 있는
이용자 수가 일일평균 1천명 이상인 경우

[ 개인정보가 저장·관리되고 있는 이용자 수 ]

· ‘이용자수’는 사업자가 개인정보를 ”저장·보관”하는 이용자수를 기준 으로 산정함

· 일일 방문자수를 의미하지 않으며, 페이지뷰(PV:page view), 순방문자수(UV:unique visitor)와는 무관함

[ 일일평균 1천명 이상 ]

이용자수 일일평균 = 10월, 11월, 12월 전체 일일 이용자수의 총합÷92(일)

참고 [ 온·오프라인 사업 병행시 이용자 수 ]

오프라인 사업(매장)과 온라인 서비스를 운영하는 경우의 ‘이용자수’ 산정은 이용자의 개인정보를 수집한 경로가
온라인·오프라인인지 여부와는 무관하며, 사업자가 저장하고 있는 이용자수 전부가 포함

[ 탈퇴회원·휴면회원 ]

다른 법령에 따라 보관하고 있는 탈퇴회원 또는 서비스 미이용자 (휴면계정)의 개인정보도 개인정보 보호법 제39조의9의
‘이용자수’에 포함

[ 회원·비회원 ]

‘이용자수’와 ‘회원수’는 일치하는 개념은 아니며, 회원인지 비회원인지 여부와는 관계없이 정보통신서비스 제공자가 제공하는
정보통신서비스를 이용하는 자에 해당한다면 ‘이용자수’에 포함됨

[ 임직원 ]

임직원의 경우, 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자에 해당한다고 볼 수 없으므로,
‘이용자수’ 산정 시 임직원 수는 제외됨

4면제 대상

- 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 1천명 미만인 경우 적용대상에서 제외됨

※ 보유하고 있는 이용자 개인정보의 양이 적은 사업자의 경우, 개인정보 유출 등 사고 발생 시 피해 및 배상액 규모 등이 상대적으로 크지 않아,
손해배상책임의 이행을 보장하는 조치를 의무화할 필요성이 낮은 점을 고려함

- 매출액이 5천만원 미만인 경우 적용대상에서 제외됨

※ 신생기업 등과 같이 매출액이 거의 없거나 미미한 경우에는 사실상 규제 준수가 어려운 점을 고려함

2. 보험 최저가입금액(준비금 최소적립금액) 기준

보험 또는 공제에 가입하거나 준비금을 적립할 때 최저가입금액
(준비금을 적립하는 경우 최소적립금액)은 이용자수와 매출액 규모 구간 별로 차등 설정 : 최저 5천만원 ~ 최고 10억원
(시행령 제48조의7제2항, 별표 1의4)

1보험 최저가입금액 (준비금 최소적립금액)

- 적용 대상 사업자가 보험 또는 공제에 가입하거나 준비금을 적립할 때 최저가입금액(최소적립금액) 기준 : 별표 1의4

- 보험 또는 공제 가입과 준비금 적립을 병행하는 경우 : 보험 또는 공제 가입금액과 준비금 적립금액을 합산한 금액이 별표 1의4에서
정한 최저가입금액의 기준 이상이어야 함

2준비금 적립 방법

임의적립금(자본계정)으로 적립하고 주주총회 결의 등을 통해 해당 임의적립금이 개인정보 보호법 제39조의9의 의무 이행을 위한 것임을
명확히 하여야 함

- 준비금 : 회사가 순자산액으로부터 자본액을 공제한 금액(잉여금) 중 일부를 장래 생길지도 모르는 필요에 대비하기 위하여
회사에 적립해 두는 금액

- 임의적립금 : 법률의 규정에 의하지 않고, 정관/주주총회의 결의에 의하여 이익을 유보한 것으로, 그 이용 목적과 방법은
회사에서 자유롭게 정할 수 있음

[별표 1의4] 손해배상책임의 이행을 위한 최저가입금액(최소적립금액)의 기준 [바로가기]

3. 다른 법률에 따른 의무보험과의 관계

다른 법률에 따라 가입한 보험(공제 또는 적립한 준비금)이 정보통신망법에 따른 손해배상책임의 이행을 보장
(손해배상책임의 범위·내용을 포함·충족)하는 경우, 개인정보 보호법에 따른 손해배상 보장 조치를 이행한 것으로 인정
(시행령 제48조의7제3항)

 

 

4. 시행일

손해배상책임 보장 제도(보험(공제) 가입, 준비금 적립)는 정보통신망법에 따라 2019년 6월 13일부터 시행되었으나,
2020년 8월 5일부터는 개인정보 보호법에 통합되어 시행 중임