[CPPG Part2] 개인정보보호 제도

💡목차

[1]. 개인정보보호 원칙과 의무 

[2]. 정보주체의 권리 

 

[3]. 분쟁해결절차

---

[1]. 개인정보보호 원칙과 의무 

    1.1 OECD 8원칙, 개인정보보호 8원칙

    - OECD 8원칙은 개인정보 보호를 위한 가이드라인으로 OECD회원국들은 개인정보 관련 법 제정시 OECD 가이드라인의 원칙을 고려하여야 한다.

	원칙	설명
1원칙	수집제한의 원칙	개인정보는 적법하고 정당한 방법으로 최소한으로 수집되어야 한다.
2원칙	정보 정확성의 원칙	개인정보는 수집 목적에 맞게 정확하고 최신 상태로 유지되어야 한다.
3원칙	목적 명확화의 원칙	개인정보는 명확한 목적 아래 수집되며, 목적 외로 사용되지 않아야 한다.
4원칙	이용제한의 원칙	개인정보는 정보 주체의 동의 없이 명시된 목적 외로 사용되거나 공개되어서는 안 된다.
5원칙	안전성 확보의 원칙	개인정보는 적절한 보호 조치를 통해 보호되어야 한다.
6원칙	공개의 원칙	개인정보 처리와 관련된 정책과 관행이 투명하고 공개적으로 접근 가능해야 한다.
7원칙	정보주체 참여의 원칙	정보 주체는 본인의 개인정보를 열람, 수정, 삭제할 권리를 가져야 한다.
8원칙	책임의 원칙	개인정보 처리자는 모든 원칙을 준수할 책임을 져야 한다.

 

	개인정보보호원칙	OECD 8원칙
1항	목적에 필요한 최소정보의 수집 및 명확화	1원칙, 3원칙
2항	목적 범위 내에서 적법하게 처리 및 목적 외 활용금지	4원칙
3항	처리목적 내에서 정확성, 안전성, 최신성 보장	2원칙
4항	권리침해 가능성 등을 고려하여 안전하게 관리	5원칙
5항	개인정보 처리방침 등 공개	6원칙
6항	사생활 침해를 최소화하는 방법으로 처리	1원칙
7항	익명처리의 원칙	1원칙
8항	개인정보처리자의 책임준수 및 신뢰확보 노력	8원칙

 

    1.2 개인정보의 수집제한

 

    - 개인정보는 목적 달성에 필요한 최소한만 수집해야한다.

    - 정보주체가 자발적으로 동의하면 추가정보 수집은 가능하지만, 동의를 강요하거나 필수인 것처럼 요구해서는 안된다.
    - 최소한의 개인정보에 대한 입증책임은 개인정보처리자에게 있다.

    - 개인정보처리자는 다음을 명확히 구분해 고지해야 한다.
      => 반드시 필요한 정보(필수), 선택적 정보(동의 거부 가능)
      => 선택 정보는 거부해도 서비스 제공이 거절되지 않아야 함

 

   

   1.3  개인정보 목적 범위 내 이용 vs 개인정보 목적 범위 내 제공 vs 개인정보 목적 범위 외 이용제공

 

    - 개인정보 목적 범위 내 이용

• 정보주체의 동의를 받은 경우
• 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
• 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
• 정보주체와의 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우
• 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
• 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우 (이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하여야 한다)
• 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

 

 

     - 개인정보 목적 범위 내 제공 (계약이행X)

• 정보주체의 동의를 받은 경우
• 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
• 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 
• 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
• 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우 (이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하여야 한다)
• 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

 

 

    - 개인정보 목적 범위 외 이용제공 (공공기관 구분)

• 정보주체로부터 별도의 동의를 받은 경우
• 다른 법률에 특별한 규정이 있는 경우
• 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
• 공공기관이 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우 (공공기관 해당)
• 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우 (공공기관 해당)
• 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 (공공기관 해당)
• 법원의 재판업무 수행을 위하여 필요한 경우 (공공기관 해당)
• 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우 (공공기관 해당)
• 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경

 

 

    - 개인정보의 추가적인 이용: 관련성, 예측, 부당 침해, 안전성 확보

• 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 
  필요한 조치를 하였는지 여부 등을 고려하고 다음사항에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.
  · 당초 수집 목적과 관련성이 있는지 여부
  · 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지여부
  · 정보주체의 이익을 부당하게 침해하는지 여부
  · 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
• 추가적인 이용이 ‘지속적으로’ 발생하는 경우에는 개인정보 처리방침에 미리 공개하여야 한다.
• 개인정보 보호책임자가 해당 기준에 따라 개인정보의 추가적인 이용을 하고 있는지 여부를 점검해야 한다.

 

    1.4 개인정보처리방침의 수립 및 공개

 

    - 개인정보처리자는 개인정보처리방침을 정하여야 한다.
    - 공공기관은 등록대상 개인정보 파일에 대하여 개인정보 처리방침을 수립

    - 개인정보처리자는 개인정보 처리방침을 인터넷 홈페이지에 지속적으로 공개해야 한다. 

    - 홈페이지가 없는 경우에도 사업장 비치, 관보 등 다른 방법으로 공개해야한다.

    - “개인정보 처리방침”이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보
주체가 쉽게 확인할 수 있도록 하여야 한다.

    - 개인정보 처리방침의 내용과 정보주체와의 계약의 내용이 다른 경우 정보주체에게 유리한 것을 적용한다.

    - 개인정보 처리방침이 변경된 경우, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개하
여야 한다.

    - 개인정보 처리방침의 내용과 정보주체와의 계약의 내용이 다른 경우 정보주체에게 유리한 것을 적용한다.

    

     - 개인정보처리방침 포함 내용

개인정보 보호법	대통령령
개인정보의 처리 목적	개인정보의 항목
개인정보의 처리 및 보유기간	국외이전에 관한 사항
(해당 시) 개인정보의 제3자 제공에 관한 사항	안전성 확보 조치에 관한 사항
개인정보의 파기절차 및 파기방법 (보존 시 근거와 항목 포함)	(해당 시) 국외에서 국내 정보주체의 개인정보를 직접 수집하여 처리하는 경우 개인정보를 처리하는 국가명
(해당 시) 민감정보의 공개 가능성 및 비공개를 선택하는 방법
(해당 시) 개인정보처리의 위탁에 관한 사항
(해당 시) 가명정보의 처리 등에 관한 사항
정보주체와 법정대리인의 권리, 의무, 행사방법에 관한 사항
보호책임자의 성명 또는 보호업무 및 고충사항 처리 부서 명칭과 전화번호 등 연락처
(해당 시) 인터넷 접속정보 파일 등 개인정보를 자동으로 수집하는 장치의 설치 및 운영, 거부에 관한 사항

 

 

     - 개인정보 처리방침 평가제

• 보호위원회는 개인정보 처리방침을 평가하고, 개선이 필요하다고 판단되면 개인정보처리자에게 개선을 권고할 수 
  있다.
• 대상: 개인정보처리자 유형, 매출액 규모, 민감정보 및 고유식별정보 개인정보의 유형 및 규모, 개인정보 처리의 법적 근거 및 방식, 법 위반 행위 발생 여부, 아동 등 정보주체 특성을 고려하여 평가 대상 선정
• 기준 : 이 법에 따라 개인정보 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지 여부, 개인정보 처리방침을 알기 쉽게 작성하였는지 여부, 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부

    1.5 정보주체의 권리보장 6가지

    1. 정보 제공을 받을 권리

    2. 동의 여부 및 범위를 선택할 권리

    3. 개인정보 열람 및 전송 요구권

    4. 정정, 삭제, 처리 정지 및 파기 요구권

    5. 피해 구제 원리

    6. 완전히 자동화된 처리에 따른 결정 거부 및 설명 요구권

   

   1.6 주민등록번호 처리의 제한  

     -  주민등록번호는 원칙적으로 고유식별정보임에도 불구하고 정보주체로부터 별도로 동의를 받아도 처리 불가하다.

     - 개인정보처리자는 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 
아니하고도 회원으로 가입할 수 있는 방법을 제공해야 한다. (아이핀, 간편가입 등)

     - 예외    ex) 본인확인기관

        · 법률ㆍ대통령령ㆍ국회규칙ㆍ대법원규칙ㆍ헌법재판소규칙ㆍ중앙선거관리위원회규칙 및 감사원규칙에서 구체적으 로 주민등록번호의 처리를 요구하거나 허용한 경우
        · 개인정보처리자는 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우

   

    1.7 개인정보파일의 등록 및 공개

     - 공공기관 장은 개인정보파일을 운용하는 경우 보호위원회에 등록하여야 한다. (운용을 시작한 날부터 60일 이내 등록)

     - 보호위원회는 개인정보파일의 등록 현황을 누구든지 쉽게 열람할 수 있도록 공개할 수 있다.
     - 보호위원회는 필요하면 등록여부와 그 내용을 검토하여 해당 공공기관의 장에게 개선을 권고할 수 있다
     - 예외
       · 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
       · 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사
항을 기록한 개인정보파일
       · 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
       · 일회적으로 운영되는 파일 등 지속적으로 관리할 필요성이 낮다고 인정되어 대통령령으로 정하는 개인정보파일
       · 다른 법령에 따라 비밀로 분류된 개인정보파일

---

[2]. 정보주체의 권리 

    2.1 개인정보 열람권 

    - 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다.
    - 열람 요구할 수 있는 개인정보에는 정보주체가 직접 제공한 정보 이외에, 제3자 또는 공개된 정보원으로 부터 수집한 정보, 생산정보, 자동생성된 정보 등도 대상이다.

   - 개인정보 열람 요구 방법과 절차는 해당 개인정보의 수집 방법과 절차에 비하여 어렵지 않도록해야 한다.
   - 정보주체로부터 개인정보 열람을 요구받았을 때에는 요구받은 날로부터 10일 이내 열람할 수 있도록 조치해야한다.
    - 정보주체가 요구할 수 있는 사항: 개인정보의 항목 및 내용, 개인정보의 수집·이용의 목적, 개인정보 보유 및 이용 기간, 개인정보의 제3자 제공 현황, 개인정보 처리에 대하여 동의한 사실 및 내용

 

    - 개인정보처리자가 열람을 제한하거나 거절할 수 있는 경우

       -  법률에 따라 열람이 금지되거나 제한되는 경우
       -  다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
       - 가명정보에는 이름, 연락처 등 개인을 알아 볼 수 있는 정보가 포함되어 있지 않으므로 정보주체는 가명정보에 대하여 열람 요구권을 행사할 수 없다.

 

    2.2 개인정보 처리정지

    -  정보주체는 자신이 동의한 것에 대해 철회할 수 있으며, 자신이 처리에 동의하지 않았더라도 개인정보처리자가 처
리하고 있는 정보주체에 관한 모든 개인정보의 처리 정지를 요구할 수 있다.
    - 개인정보처리자는 개인정보 처리정지 요구를 받은 날부터 근무일 기준 10일 이내에 처리정지 조치를 하고, 정보주
체에게 결과 통지서를 통해 알려야 한다.

   - 정보주체가 동의를 철회하면 지체 없이 수집된 개인정보를 복구ㆍ재생할 수 없도록 파기하는 등 필요한 조치를 하여야 한다.

 

 

    2.3 개인정보 정정 삭제

    -  자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다.
    - 정정 및 삭제를 위해서는 열람이 선행되어야 한다.
    - 개인정보 열람 정정 · 삭제 방법과 절차는 해당 개인정보의 수집 방법과 절차에 비하여 어렵지 않도록해야 한다.
    - 개인정보처리자는 조사결과 정보주체의 요구가 정당하다고 판단되면 개인정보 정정·삭제요구를 받은 날부터 10일 이내 조치하고 정보주체에게 알려야 한다.
   - 개인정보를 삭제할 때에는 복구 또는 재생되지 않아야 한다.
   - 정보주체는 가명정보에 대하여 정정·삭제 요구권을 행사할 수 없다.

  -  다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.

 

    2.4 법정대리인의 권리 

    -  만 14세 미만의 아동의 법정대리인은 개인정보처리자에게 그 아동의 열람 등 권리를 행사할 수 있다.

    -  개인정보처리자는 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 할 때에는 이해하기 쉬운 양
식과 명확하고 알기 쉬운 언어를 사용하여야 한다.

 

    - 법정대리인 동의를 얻는 방법

• 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 개인정보 처리자가 그 동의 표시를 확인했음을 법정대리인의 휴대전화 문자메시지로 알리는 방법
• 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 신용카드ㆍ직불카드 등의 카드정보를 제공받는 방법
• 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정대리인의 휴대전화 본인인증 등을 통하여 본인 여부를 확인하는 방법
• 동의 내용이 적힌 서면을 법정대리인에게 직접 발급하거나 우편 또는 팩스를 통하여 전달하고, 법정대리인이 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법
• 동의 내용이 적힌 전자우편을 발송하고 법정대리인으로부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법
• 전화를 통하여 동의 내용을 법정대리인에게 알리고 동의를 받거나 인터넷주소 등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화 통화를 통하여 동의를 받는 방법
• 그 밖에 준하는 방법으로서 법정대리인에게 동의 내용을 알리고 동의의 의사표시를 확인하는 방법        

 

2.5 자동화된 결정에 대한 정보주체의 권리

      - 자동화된 결정 판단 기준

        1. 인공지능 기술을 적용한 시스템을 포함한 완전히 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정, 인적개입 X

        2. 개인정보를 처리하여 이루어질 것

        3. 정보주체에 대한 최종적인 결정일 것

        4. 완전히 자동화된 시스템에 의한 개인정보의 처리와 결정사이에 ‘실질적인 관련성’이 있을 것

        5. 다른 법률에 자동화된 결정 관련 특별한 규정이 없을 것

      - 정보주체는 완전히 자동화된 결정이 자신의 권리 또는 의무에 중대한 영향을 미치는 경우에는 해당 결정을 거부할 
수 있는 권리를 가진다.

         - 거부권 제한: 정보주체의 동의, 정보주체와의 계약이행이나 체결과정을 위해 수행해야하는 경우

     -  정보주체가 자동화된 결정을 거부하거나 설명을 요구한 경우에는 정당한 사유 없는 한 자동화된 결정을 적용하지 
않거나, 인적 개입을 통한 재처리 등 필요한 조치를 해야 한다.
    - 정보주체의 거부ㆍ설명등요구에 따른 조치를 하는 경우에는 정보주체의 거부ㆍ설명 등 요구를 받은 날부터 30일 
이내에 서면 등의 방법으로 해야 한다

      - 거부권: 자동화된 결정 중에서 생명·신체·재산 등 자신의 권리 또는 의무에 ‘중대한 영향’을 미치는 경우 거부 가능

      - 설명 요구권: 자동화된 결정에 해당하면 설명 및 검토 요구 가능

      - 사전공개: 자동화된 결정의 기준, 절차 등을 인터넷 홈페이지에 알기 쉽게 설명

---

[3]. 분쟁해결절차 

    3.1 손해배상 - 징벌적 vs 법정 손해배상

	징벌적 손해배상 제도	법정 손해배상 제도
설명	실제 발생한 손해에 상응하는 배상을 초과하여 처벌적 성격의 손해배상을 부과하는 제도	피해자가 구체적인 피해액을 입증하지 않더라도 법원의 결정에 따라 일정금액 이내에서 배상책임을 지도록 하는 제도
적용요건	개인정보처리자의 고의·과실로 개인정보가 유출되어 피해 발생
입증책임	- 개인정보처리자가 고의·과실 없음을 입증 - 피해액은 피해자가 입증	- 개인정보처리자가 고의·과실 없음을 입증 - 피해자는 피해액 입증책임 면제
배상규모	손해액의 5배 이내	300만원 이하
구제범위	재산 및 정신적 피해 포함	피해입증이 어려운 정신적 피해
요약	실질적으로 피해액을 입증할 수 있을 때	피해입증이 어려울 때

 

  -  손해배상의 보장

       - 대상

         1. 전년도의 매출액이 10억원 이상

         2. 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 1만명 이상일 것

       - 예외

         1.  CPO 의무 지정 요건에 해당되는 공공기관을 제외한 공공기관, 비영리법인 및 단체
         2. 소상공인으로서 보험등에 가입한 전문 수탁자에게 개인정보 저장·관리 업무를 위탁한 경우
         3. 소상공인으로부터 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 개인정보의 저장ㆍ관리 업무를 위탁받은 자
        4. 위탁받은 업무에 대하여 손해배상책임의 이행을 보장하는 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 한 자
        5. 다른 법률에 따라 손해배상책임의 이행을 보장하는 보험 또는 공제에 가입하거나 준비금을 적립한 개인정보처리자

         

       - 손해배상책임의 이행을 위한 최저가입금액(최소적립금액)의 기준

    3.2 개인정보 분쟁조정 

     - 분쟁조정: 개인정보에 관한 분쟁이 발생하였을 때 비용이 많이 들고 시간이 오래 걸리는 소송제도의 대안으로서 비용 없이 신속하게 분쟁을 해결할 수 있는 조정을 통해 개인정보 침해를 당한 국민의 피해를 신속하고 원만하게 구제하는 제도

 

    - 개인정보 분쟁조정 절차   

       -  개인정보처리자가 분쟁조정 통지를 받으면, 특별한 사유가 없을 시 분쟁 조정에 응해야 한다.
       - 분쟁조정위원회는 60일 이내 심사하여 조정안을 작성한다. 
       - 분쟁조정위원회는 분쟁조정 신청을 받았을 때, 당사자에게 그 내용을 제시하고 조정 전 합의를 권고할 수 있다.
       - 조정안을 받은 당사자가 제시받은 날부터 15일 이내에 수락 여부를 알리지 아니하면 조정을 수락한 것으로 본다.
       - 조정을 수락한 경우 조정의 내용은 재판상 화해와 동일한 효력을 갖는다.

   

출처: 개인정보보호위원회

           

        - 개인정보 집단분쟁조정 절차

              - 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우 일괄적인 분쟁조정을 의뢰 또는 신청하는 제도
             - 신청 대상: 50명 이상일 것, 사건쟁점이 사실상 또는 법률상 공통일 것
             - 집단분쟁조정을 의뢰받거나 신청받은 분쟁조정위원회는 집단분쟁조정의 절차를 14일간 개시할 수 있다.
             - 집단분쟁조정의 기간은 공고가 종료된 날의 다음 날부터 60일 이내로 한다

 

   3.3 단체소송

    - 개인정보처리자가 집단분쟁조정을 거부하거나 집단분쟁조정의 결과를 수락하지 아니한 경우, 법원에 권리침해 행
위의 금지ㆍ중지를 구하는 소송

    - 개인정보 처리자가 집단분쟁조정 거부 또는 결과 미수락 시 단체소송 제기 가능

    - 단체소송의 원고는 변호사를 소송대리인으로 선임하여야 한다.

    - 판결이 확정된 경우 이와 동일한 사안에 관하여는 단체소송을 제기할 수 없다.

    - 단체소송에 관하여 이 법에 특별한 규정이 없는 경우에는 「민사소송법」을 적용한다

    - 단체소송이 가능한 단체 - 소비자단체, 비영리단체

       1. 소비자단체: 정회원수가 1천명이상 이면서 등록후 3년 경과한 단체

       2. 비영리단체: 동일한 침해를 입은 100명 이상, 상시 구성원수가 5천명이상 일 것

 

 

    3.4 과징금

    - 보호위원회는 이 법을 위반한 경우, 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위
에서 과징금을 부과할 수 있다.
    - 매출액이 없거나 매출액의 산정이 곤란한 경우로서 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.
    - 고려사항

• 위반행위의 내용 및 정도
• 위반행위의 기간 및 횟수
• 위반행위로 인하여 취득한 이익의 규모
•  암호화 등 안전성 확보 조치 이행 노력
• 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우 위반행위와의 관련성 및 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변
  조ㆍ훼손의 규모
• 위반행위로 인한 피해의 회복 및 피해 확산 방지 조치의 이행 여부
•  개인정보처리자의 업무 형태 및 규모
• 개인정보처리자가 처리하는 개인정보의 유형과 정보주체에게 미치는 영향
• 위반행위로 인한 정보주체의 피해 규모
•  개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위한 노력
• 보호위원회와의 협조 등 위반행위를 시정하기 위한 조치 여부