개인정보 보호법 위반에 대한 과징금 부과기준

제1조(목적) 이 고시는 「개인정보 보호법」(이하 "법"이라 한다) 제64조의2제6항, 같은 법 시행령(이하 "영"이라 한다) 제60조의2 및 [별표 1의5]에 따른 과징금 부과에 필요한 세부 기준을 정함을 목적으로 한다.

제2조(정의) 이 고시에서 사용하는 용어의 뜻은 다음과 같다.1. "위반행위"란 법을 위반하여 법 제64조의2제1항 각 호에 따른 과징금 부과 대상이 되는 행위를 말한다.2. "기준금액"이란 과징금 산정의 기초로서 영 제60조의2제1항에 따른 전체 매출액(이하 "전체 매출액"이라 한다)에서 같은 조 제3항에 따른 위반행위와 관련이 없는 매출액(이하 "위반행위와 관련이 없는 매출액"이라 한다)을 제외한 매출액에 영 [별표 1의5] 제2호가목 1)에서 위반행위의 중대성 별로 정한 부과기준율(이하 "부과기준율"이라 한다)을 곱하여 산출한 금액 또는 영 제60조의2제2항 및 [별표 1의5] 제2호가목 2)에서 정한 금액을 말한다.3. "1차 조정"이란 위반행위의 기간 및 횟수, 위반행위로 인하여 취득한 이익의 규모, 개인정보처리자의 업무 형태 및 규모를 고려하여 기준금액의 100분의 90의 범위에서 가중하거나 감경하는 것을 말한다.4. "2차 조정"이란 다음 각 목의 사항(법 제64조의2제4항 각 호의 사항 중 기준금액 산정 및 1차 조정 단계에서 고려된 사항은 제외한다)을 종합적으로 고려하여 1차 조정을 거친 금액의 100분의 50의 범위에서 가중하거나 감경하는 것을 말한다. 가. 개인정보 보호위원회(이하 "보호위원회"라 한다)와의 협조 등 위반행위를 시정하기 위한 조치 여부나. 위반행위로 인한 피해의 회복 및 피해 확산 방지 조치의 이행 여부다. 개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위한 노력라. 위반행위의 주도 여부마. 위반행위자가 위반행위 사실의 자진신고 여부5. "부과과징금의 결정"이란 기준금액에 1차 조정과 2차 조정을 거친 금액이 위반행위자의 현실적 부담능력 등을 종합적으로 고려하여 과중하다고 인정되는 경우 등에 2차 조정을 거친 금액을 그 금액의 100분의 90의 범위에서 감경하거나 면제하는 것을 말한다.

제3조(위반기간의 산정) ① 위반기간은 위반행위의 개시일부터 종료일까지의 기간을 말한다. 다만, 위반행위가 과징금 부과처분을 명하는 보호위원회의 심의종결일까지 종료되지 아니한 경우에는 해당 사건에 대한 보호위원회의 심의종결일을 위반행위의 종료일로 본다. ② 제1항에 따른 위반기간을 산정하면서 위반행위의 개시일 또는 종료일이 불분명한 경우에는 위반행위자의 영업ㆍ재무 관련 자료, 임직원ㆍ정보주체 등의 진술, 동종ㆍ유사 업종을 영위하는 다른 개인정보처리자의 영업 및 거래실태ㆍ관행 등을 고려하여 이를 산정할 수 있다.

제4조(과징금 부과 여부의 결정) ① 본인의 행위가 위법하지 않은 것으로 잘못 인식할 만한 정당한 사유가 있는 경우에는 과징금을 부과하지 않는다. ② 다음 각 호의 어느 하나에 해당하는 경우에는 과징금을 부과하지 않을 수 있다. 다만, 본문에 따라 과징금 부과처분을 받지 않은 자가 그 결정이 있은 날부터 3년 이내에 같은 위반행위를 하는 경우에는 그렇지 않다.1. 위반행위의 내용ㆍ정도가 경미하거나 사소한 부주의나 오류로 인한 위반행위인 경우2. 정보주체에게 피해가 발생하지 아니하였거나 경미한 경우로서 위반행위자가 위반행위를 시정하고 법 제34조에 따른 개인정보 유출 등의 통지ㆍ신고를 위반하지 않은 경우

제5조(과징금의 부과기준) ① 과징금 부과금액은 법 제64조의2제4항 각 호에 따른 고려 사항과 이에 영향을 미치는 행위를 종합적으로 고려하여 기준금액에 1차 조정, 2차 조정, 부과과징금의 결정을 순차적으로 거쳐 산정한다. ② 하나의 행위가 2 이상의 위반행위에 해당하는 경우에는 각 위반행위 별로 산정된 과징금 중 가장 큰 금액을 기준으로 과징금을 부과한다.

제6조(기준금액) ① 기준금액은 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액에 부과기준율을 곱한 금액으로 정한다. ② 영 제60조의2제2항 각 호의 어느 하나에 해당하여 제1항을 적용할 수 없는 경우에는 영 [별표 1의5] 제2호가목 2)에 따라 기준금액을 정한다. ③ 다음 각 호의 경우에는 영 제60조의2제2항 각 호의 어느 하나에 해당하여 매출액이 없거나 매출액의 산정이 곤란한 경우로 본다.1. 공공기관, 비영리법인, 비영리단체 등으로서 매출액을 산정하지 않고,「법인세법」 제4조제3항제1호에 따른 수익사업에서 생기는 소득이 없는 경우2. 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 결과 산정된 매출액이 없는 경우

제7조(매출액 산정기준 판단 시 고려사항) ① 전체 매출액은 총매출액에서 부가가치세, 매출할인, 매출환입, 매출에누리 등을 차감한 순매출액(업종의 특성에 따라 매출액에 준하는 영업수익 등을 사용하는 경우에는 영업수익 등을 말한다)으로 한다. ② 영 제60조의2제1항에서 정한 직전 3개 사업연도, 직전사업연도 또는 해당사업연도는 위반행위의 종료일을 기준으로 판정한다. ③ 영 제60조의2제3항에 따라 보호위원회가 위반행위와 관련이 없는 매출액으로 인정하는 매출액의 판단 시에는 다음 각 호의 사항을 종합적으로 고려할 수 있다.1. 재화ㆍ서비스의 종류ㆍ성질, 공급 또는 제공 방식 등에 따른 독자성과 부속성의 정도2. 재화ㆍ서비스를 이용하는 정보주체가 별개의 재화ㆍ서비스로 합리적으로 인식 가능한 정도3. 위반행위의 대상이 된 개인정보의 범주ㆍ특성4. 개인정보파일ㆍ개인정보처리시스템의 관리ㆍ운영 방식의 분리 또는 연계 여부 등 독자성의 정도5. 개인정보 처리방침 또는 이용계약ㆍ약관 등에서 규정한 재화ㆍ서비스의 범위6. 통계청장이 고시하는 「한국표준산업분류」상 분류 또는 위반행위자의 품목별 또는 업종별 매출액 등의 회계단위7. 그 밖에 제1호부터 제6호까지에 준하는 사항 ④ 재화ㆍ서비스의 유형ㆍ이용 방식 등이 유사하면 공급 또는 제공되는 지역ㆍ범위 등에 관계없이 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 재화ㆍ서비스로 볼 수 있다. ⑤ 재화ㆍ서비스에 대한 매출액은 회계자료를 참고하여 정하되, 위반행위자가 매출액 산정자료를 가지고 있지 않거나 정당한 사유로 제출하지 못하는 경우에는 위반행위자 및 동종 유사 업종을 영위하는 다른 개인정보처리자의 과거 실적, 사업계획, 그 밖에 시장상황 등을 종합적으로 고려하여 매출액을 산정할 수 있다.

제8조(중대성의 판단) ① 영 [별표 1의5] 제2호가목 1) 및 2)에 따른 위반행위의 중대성의 정도는 [별표] 위반행위의 중대성 판단기준을 기준으로 정한다. ② 제1항에도 불구하고 [별표]에서 고려되지 않거나 [별표]와 다르게 고려할 사유(해당 사유가 가중 또는 감면사유와 중복되는 경우는 제외한다)가 있는 경우에는 위반행위의 중대성의 정도를 달리 정할 수 있다. 이 경우 그 사유를 의결서에 명시하여야 한다.

제9조(1차 조정) ① 위반행위자가 다음 각 호의 어느 하나에 해당하는 경우에는 기준금액에 다음 각 호와 같이 과징금을 가산한다.1. 위반기간이 1년을 초과하는 경우가. 위반기간이 1년 초과 2년 이내인 경우 : 기준금액의 100분의 25에 해당하는 금액을 가산나. 위반기간이 2년을 초과하는 경우 : 기준금액의 100분의 50에 해당하는 금액을 가산2. 최근 3년간 법 제64조의2제1항 같은 호에 해당하는 행위로 1회 이상 과징금 부과처분을 받은 경우. 이 경우 위반횟수 기간의 계산은 과징금 부과처분을 받은 날과 그 처분 후 다시 해당 위반행위를 하여 적발된 날을 기준으로 한다. 가. 1회 과징금 부과처분을 받은 경우 : 기준금액의 100분의 15에 해당하는 금액을 가산나. 2회 이상 과징금 부과처분을 받은 경우 : 기준금액의 100분의 30에 해당하는 금액을 가산 ② 위반행위자가 다음 각 호의 어느 하나에 해당하는 경우에는 기준금액에 다음 각 호와 같이 과징금을 감경한다.1. 위반행위로 인하여 경제적ㆍ비경제적 이득을 취하지 아니하였거나 취할 가능성이 현저히 낮은 경우 : 기준금액의 100분의 30 이하에 해당하는 금액을 감경2. 위반행위자가 공공기관, 비영리법인, 비영리단체 또는 「중소기업기본법」 제2조에 따른 중소기업자인 경우 등 위반행위자의 업무 형태 및 규모에 비해 과중하다고 인정되는 경우 : 기준금액의 100분의 50 이하에 해당하는 금액을 감경 ③ 제1항에서 정한 가중사유 또는 제2항에서 정한 감경사유가 2개 이상 해당되는 경우에는 가중금액을 합산하여 가중하거나 감경금액을 합산하여 감경하되 각 가중ㆍ감경의 범위는 기준금액의 100분의 90을 초과할 수 없다.

제10조(2차 조정) ① 위반행위자가 다음 각 호의 어느 하나에 해당하는 경우에는 1차 조정을 거친 금액에 다음 각 호와 같이 추가적으로 과징금을 가산할 수 있다.1. 위반행위자 및 그 소속 임직원이 법 제63조제1항 및 제2항에 따른 물품ㆍ서류의 제출요구 또는 검사를 거부하거나 증거인멸, 은폐, 조작, 허위의 정보제공 등의 방법으로 조사를 방해하거나 관련 정보주체 등에게 허위로 진술하도록 요청한 경우 : 1차 조정을 거친 금액의 100분의 30 이하에 해당하는 금액을 가산2. 다수의 위반행위자가 관련된 상황에서 위반행위를 주도하거나 선도한 경우 : 1차 조정을 거친 금액의 100분의 20 이하에 해당하는 금액을 가산 ② 위반행위자가 다음 각 호의 어느 하나에 해당하는 경우에는 1차 조정을 거친 금액에 다음 각 호와 같이 추가적으로 과징금을 감경할 수 있다.1. 보호위원회와의 협조 등 위반행위를 시정하기 위하여 조치한 경우로서 다음 각 목의 어느 하나에 해당하는 경우가. 과징금의 사전통지 및 의견제출 기간이 종료되기 이전에 위반행위를 중지하는 등 시정을 완료한 경우 : 1차 조정을 거친 금액의 100분의 30 이하에 해당하는 금액을 감경나. 보호위원회의 조사기간 중에 일관되게 행위사실을 인정하면서 위법성 판단에 도움이 되는 자료를 제출하거나 진술하는 등 조사에 적극 협력한 경우 : 1차 조정을 거친 금액의 100분의 30 이하에 해당하는 금액을 감경2. 개인정보 분쟁조정, 민사조정 등을 통해 정보주체에게 발생한 피해에 대한 원상회복, 손해배상 또는 이에 상당하는 필요한 피해의 회복 및 피해 확산 방지 조치를 이행한 경우(다만, 법 제39조의7에 따른 손해배상책임의 이행을 위한 보험 등의 가입은 제외한다) : 1차 조정을 거친 금액의 100분의 30 이하에 해당하는 금액을 감경3. 개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위하여 노력한 경우로서 다음 각 목의 어느 하나에 해당하는 경우가. 개인정보 보호를 위해 보호위원회가 인정하는 인증을 받은 경우 : 1차 조정을 거친 금액의 100분의 50 이하에 해당하는 금액을 감경나. 개인정보 보호 자율규제 규약을 이행하는 등 개인정보 보호 활동을 성실히 수행한 것으로 확인된 경우 : 1차 조정을 거친 금액의 100분의 40 이하에 해당하는 금액을 감경다. 개인정보 처리방침의 평가 또는 개인정보 보호수준 평가의 결과가 상위 등급인 경우, 개인정보 영향평가(다만, 법 제33조제1항에 따라 개인정보 영향평가를 해야 하는 경우는 제외한다)를 하는 등 개인정보 보호 활동을 성실히 수행한 것으로 확인된 경우 : 1차 조정을 거친 금액의 100분의 30 이하에 해당하는 금액을 감경4. 위반행위 사실을 자진신고(법 제34조제3항 전단에 따른 신고는 제외한다)한 경우 : 1차 조정을 거친 금액의 100분의 30 이하에 해당하는 금액을 감경5. 그 밖에 위반행위의 정도, 위반행위의 동기와 그 결과 등을 고려하여 과징금을 줄일 필요가 있다고 인정되는 경우 : 1차 조정을 거친 금액의 100분의 10 이하에 해당하는 금액을 감경 ③ 제1항에서 정한 가중사유 또는 제2항에서 정한 감경사유가 2개 이상 해당되는 경우에는 가중금액을 합산하여 가중하거나 감경금액을 합산하여 감경하되 각 가중ㆍ감경의 범위는 1차 조정을 거친 금액의 100분의 50을 초과할 수 없다.

제10조의2(과징금 감경의 제한) 위반행위의 중대성이 매우 중대한 위반행위에 해당하는 경우는 제9조제2항 각 호, 제10조제2항제1호, 제3호부터 제5호까지에 따른 감경을 하지 않거나 감경률을 축소할 수 있으며, 이 경우 그 사유를 의결서에 명시하여야 한다.

제11조(부과과징금의 결정) ① 위반행위자의 현실적인 부담능력, 위반행위자가 속한 시장ㆍ산업 여건 등을 고려하여 제10조에 따라 산정된 과징금이 과중하다고 인정되는 경우에는 다음 각 호와 같이 해당 금액의 100분의 90 범위에서 감경할 수 있다.1. 위반행위자의 자산, 자기자본 등 재무상황에 비추어 위반행위자가 과징금을 부담할 능력이 현저히 부족하다고 객관적으로 인정되는 경우2. 경제위기 등으로 위반행위자가 속한 시장ㆍ산업 여건이 현저하게 변동되거나 지속적으로 악화된 상태인 경우 ② 다음 각 호의 어느 하나에 해당하는 경우에는 제10조에 따라 산정된 과징금을 면제할 수 있다.1. 위반행위자의 지급불능ㆍ지급정지 또는 자본잠식 등의 사유로 위반행위자가 객관적으로 과징금을 낼 능력이 없다고 인정되는 경우2. 제10조에 따라 산정된 과징금이 다음 각 목의 어느 하나에 해당하는 경우가. 2백만원 이하인 경우나. 산정된 과태료 금액보다 적은 경우(위반행위가 법 제75조에 따른 과태료 부과 대상이 되는 행위인 경우에 한한다) ③ 제1항에 따른 위반행위자의 현실적인 부담능력과 관련한 감경은 다음 각 호의 경우에는 적용하지 아니한다.1. 보호위원회로부터 부과받을 과징금 납부로 인해 단순히 자금 사정에 어려움이 예상되는 경우2. 위반행위자가 현실적인 부담능력 입증과 관련된 객관적인 자료를 제출하지 않은 경우 ④ 부과과징금이 법정 한도액을 넘는 경우에는 법정 한도액을 부과과징금으로 한다. ⑤ 부과과징금이 1억원 이상인 경우에는 1백만원 단위 미만의 금액을, 1억원 미만인 경우에는 1십만원 단위 미만의 금액을 버리는 것을 원칙으로 한다. 다만, 보호위원회는 부과과징금의 규모를 고려하여 적당하다고 생각되는 금액 단위 미만의 금액을 버리고 부과과징금을 결정할 수 있다. ⑥ 과징금 부과의 기준이 되는 매출액 등이 외국환을 기준으로 산정되는 경우에는 해당 매출액 등 산정 기간의 평균환율을 적용하여 원화로 환산한 금액을 부과과징금으로 한다. 이 경우 환율은 하나은행이 최초로 고시하는 매매기준율에 따르며, 하나은행이 고시하지 않는 외국환의 경우에는 미국 달러화로 환산한 후 이를 원화로 다시 환산한다.

제12조(재검토 기한) 보호위원회는 「훈령ㆍ예규 등의 발령 및 관리에 관한 규정」에 따라 이 고시에 대하여 2023년 9월 15일을 기준으로 매 3년이 되는 시점(매 3년째의 9월 14일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.