[CPPG] 개인정보 관리사 2단원 요약

● 개인정보보호 관련 주요 법률의 체계

▶ 개인정보보호법 이전에는 "정보통신망법" , "공공기관의 개인정보보호에 관한 법률", "신용정보법"의 개별 법률에 의하여 처리되어 왔고, 이 법에 적용을 받지 않는 사각지대가 존재(개인정보를 처리하는 사업자 중 이 법률의 적용을 받지 않는 경우가 발생하고, 수기 기록된 개인정보는 법의 보호를 받지 못함)
▷이에따라, 개인정보보호법이 2011.03.29 제정되고 2011.09.30에 시행됨으로써 개별 개인정보보호 법률에 대한 일반법적 지위를 가진 통합적인 개인정보보호 법률

※ 개인정보보호법의 제정 의의
 → 모든 공공기관과 사업자를 규율 대상으로 확대 , 보호대상의 개인정보를 수기 문서까지 포함하는 점에 일차적인 의의

※ 개인정보보호법의 일부 개정
 → 4차 산업시대를 맞아 데이터 이용 활성화를 통한 신산업 육성을 위해 과학적 연구, 통계작성, 공익적 기록 보존 등의 목적으로 가명정보를 이용할 수 있는 근거를 마련하고 개인정보처리자의 책임성 강화하는 제도적 장치를 마련하고 개인정보보호위원회를 통해 정보보호와 관련 산업의 발전이 조화 될 수 있도록 정비하고자 개정되었다.

※ 개인정보보호법의 적용 사업자
 → 공공·민간 분야의 모든 사업자들을 대상으로 하나 '신용정보법', '의료법' 등의 개별 법률의 우선 적용을 규정하는 바 각 사업자는 개별 법률을 확인할 필요가 있으며, 개별 법률에 해당되는 경우에도 '개인정보보호법'에 정보주체에게 유리한 규정이 있는 경우 중복 적용을 염두에 두어야 함. 이외 모든 사업자는 '개인정보보호법'에 대상이 됨

● 개인정보보호 원칙과 의무

 → 관련 법률 :  " 개인정보보호법 " 제 3조 ( 개인정보 보호 원칙)
 → 개인정보보허법은 헌재가 인정한 '개인정보자기결정권'의 취지 및 국제적으로 통용되는 'OECD 프라이버시 8원칙', 'EU 개인정보 보호지침' 에 채택된 'APEC 프라이버시 원칙' 등의 내용을 참고하여 이를 동법률의 총칙 규정으로 삼았다.

▶ OECD 8 원칙
 → 1980년 OECD 회원국들에 의해 만장일치로 채택된 것으로 프라이버시와 개인정보보호에 관한 원칙의 표준으로 대표되고 있으며, 회원국들은 이를 이행하기위해 협력하고 노력해야함
▷ 수집 제한의 원칙 : 목적에 필요한 최소한의 범위안에서 적법하고, 정당하게 수집한다.
→ 정보 수집 제한과 정보 수집 수단의 요건에 관한 문제로 무차별적 개인정보 수집을 하지 않도록 제한 할 것을 권고( OPT-IN 방식 ), 정보 수집시 정보주체의 인지 또는 동의가 최소한의 요건
▷ 정보 정확성의 원칙 : 처리 목적 범위 안에서 정확성, 완전성, 최신성을 보장한다.
▷ 목적 명확화의 원칙 : 처리 목적을 명확하게 한다.
→ 정보 정확성의 원칙 및 이용제한의 원칙과 매우 밀접하며, 정보 수집 이전 또는 수집 시점까지는 그 정보의 사용될 목적을 알 수 있어야 하고, 목적의 변경이 있을시에도 명시 될것을 요구
▷ 이용 제한의 원칙 : 필요한 목적 범위 안에서 적법하게 처리하고, 목적이외의 활용을 금지
▷ 안전성 보호의 원칙 : 정보주체의 권리 침해 위험성 등을 고려하고, 안전성을 확보한다.
▷ 공개의 원칙 : 개인정보의 처리사항을 공개한다.
→ 개인정보와 관련된 제도 개선, 실무 및 정책에 관해 공개해야 하며 개인정보의 존재와 성격, 사용목적, 정보처리자(DataController)의 신원 및 소재지를 파악 할 수 있는 장치를 마련
▷ 개인 참가의 원칙 : 열람 청구권 등 정보 주체의 권리를 보장한다.
▷ 책임의 원칙 : 개인 정보 처리자의 책임 준수, 실천, 신뢰성 확보에 노력한다.
→ 다른 7개 원칙을 이행하는데 책임을 다해야 하며, 처리자를 대신하여 3자에 의해 이루어지더라도 의무는 유지
※ 공개의 원칙과 개인 참가의 원칙이 주로 헷갈리니 구분 필요, "공개 = 처리자가 공개, 개인 참가 = 정보주체의 요구"

▶ 개인정보의 처리 제한
▷민감 정보의 처리제한 - "개인정보보호법 제23조"
→ 개인정보에는 이름,주소,전화번호 등 개인에 관한 객관적인 신상정보 외에도 그사람을 주관적으로 판단, 평가 할 수 잇는 자료가 되는 정보도 포함될 수 있다. 이러한 정보들로 개인의 사생활이나 인권이 현저히 침해될 수 있기에 해당 정보를 보다 엄격히 보호하여야 한다.
→ 민감정보는 ①사상·신념 ②노동조합·정당의 가입 및 탈퇴 ③정치적 견해 ④ 건강, 성생활 등에 관한 정보 ⑤ 그밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령이 정하는 정보
→ ⑤번의 해당하는 정보는 ⑴ 유전자 검사등의 결과로 얻어진 유전정보 ⑵ "형의 실효 등에 관한 법률 제 2조 제 5호에 따른 범죄 경력자료에 해당하는 정보 ⑶ 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보 ⑷ 인종이나 민족에 관한 정보
→ 민감정보는 원칙적으로 처리가 금지되며, 정보주체의 명시적 동의가 있는 경우 등 예외적인 사유에 해당할 때만 처리를 인정하고 있다.
① 정보주체의 별도 동의를 받은 경우
② 법령에서 처리를 요구하는 경우

▷ 고유식별정보의 처리 제한 - "개인정보보호법 제 24조"
→ 공공·민간 부문에서 주민등록번호 등의 개인정보가 광범위하게 수집되고 개인정보 DB의 키값으로도 사용되어 유출과 오용 가능성이 높음. 이로 인해 고유식별정보의 처리를 원칙적으로 금지하고, 법령상의 예외 등 일정한 경우에만 처리를 허용하고 암호화등 안전성 확보조치를 취할 것을 규정
→ 고유 식별정보는 법령에 따라 개인을 고유하게 구별하기 위해 부여된 식별 정보로서 대통령 령으로 정하는 정보,
"① 주민등록번호 ② 여권번호 ③ 운전면허번호 ④ 외국인등록번호" 를 말한다

▷주민등록번호 처리의 제한 -"개인정보보호법 제 24조의 2"
→ 고유식별정보의 처리제한에도 불구하고 개인정보처리자는 아래 어느하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.
① 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
② 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
③ 주민등록번호 처리가 불가피한 경우로서 보호위 원회가 고시로 정하는 경우
→  주민등록번호 대체가입수단의 제공
 개인정보 처리자는 정보주체가 인터넷 홈페이지를 통해 회원으로 가입하는 단계에서 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.

▶ 개인정보의 수집 제한 - "개인정보보호법 제 16조"
▷ 최소 수집 원칙
→ 정보주체의 개인정보를 수집할 때에는 그 목적에 필요한 범위 내에서 필요 최소한의 개인정보만을 수집하여야 한다.
→ 정보주체의 자발적 동의를 받으면 필요 최소한의 정보 이외의 것도 수집·이용할 수 있다. 그러나 동의를 의무화하거나 강요해서는 안된다.

▷ 입증책임의 부담
→ 필요 최소한의 개인정보라는 입증책임은 개인정보처리자가 부담한다. 즉 개인정보처리자의 목적 달성을 위해 필요한 최소한의 개인정보라는 것을 입증하지 못하면 정보주체에게 패소하게 된다.

▷ 동의거부권 고지
→ 필요 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야한다. 구체적으로 알린다는 것은 어떤정보가 필요최소한의 정보이고 어떤정보가 그렇지 않은지를 정보주체가 쉽게 알아볼 수 있게 구분해서 고지해야하고, 이때 미동의로 인해 서비스 이용에 방해 받음없이 자유롭게 거부할 수 있음을 알려야한다.

▷ 재화 등 제공 거부 금지
→ 필요최소한의 정보외의 개인정보 수집 거부를 이유로 정보주체에게 재화 또는 서비스 제공을 거부해서는 안된다.
→ 서비스 제공에는 회원 가입도 포함되며, 유료와 무료의 경우 모두 마찬가지이다. 

▶ 개인정보의 목적 외 이용·제공 제한 - "개인정보보호법 제18조"
→ 개인정보처리자는 당초 이용 목적 범위를 초과하여 이용하거나 제3자에게 제공하여서는 아니 된다.
→ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다.
① 정보주체로부터 별도의 동의를 받은 경우
② 다른 법률에 특별한 규정이 있는 경우
③ 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
④(공공기관 한정) 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니 하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위 원회의 심의·의결을 거친 경우
⑤(공공기관 한정) 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공 하기 위하여 필요한 경우
⑥(공공기관 한정) 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
⑦(공공기관 한정) 법원의 재판업무 수행을 위하여 필요한 경우
⑧(공공기관 한정) 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

▷개인정보의 목적 외 이용 또는 제3자 제공의 관리
→ 공공기관은 법 제18 조제2항에 따라 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제 공하는 경우에는 다음 각 호의 사항을 보호위원회가 정하여 고시하는 개인정보의 목적 외 이용 및 제3자 제공 대장에 기록하고 관리해야 함
1. 이용하거나 제공하는 개인정보 또는 개인정보파일의 명칭
2. 이용기관 또는 제공받는 기관의 명칭
3. 이용 목적 또는 제공받는 목적
4. 이용 또는 제공의 법적 근거
5. 이용하거나 제공하는 개인정보의 항목
6. 이용 또는 제공의 날짜, 주기 또는 기간
7. 이용하거나 제공하는 형태
8. 법 제18조제5항에 따라 제한을 하거나 필요한 조치를 마련할 것을 요청한 경우에는 그 내용

▷공공기관에 의한 개인정보의 목적 외 이용 또는 제3자 제공의 공고
→ 공공 기관은 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하는 경우에는 다음 각 호의 사항을 관보 또는 인터넷 홈페이지에 게재하여야 한다. 이 경우 인터넷 홈페이지에 게재할 때에는 10일 이상 계속 게재하되, 게재를 시작하는 날은 목적외이용등을 한 날부터 30일 이내여야 한다
① 목적외이용등을 한 날짜
② 목적외이용등의 법적 근거
③ 목적외이용등의 목적
④ 목적외이용등을 한 개인정보의 항목(구성)
→ 다만, 정보주체의 동의를 받거나 범죄수사와 공소제기 및 유지를 위해 개인정보를 목적 외로 이용하거나 제공하는 경우에는 그러하지 아니하다.

▶ 개인정보 보호 원칙 - "제 3조"
▷필요최소한의 개인정보수집
→ 개인정보의 처리 목적을 명확 하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하 고 정당하게 수집
▷개인정보의 정확성, 완전성, 최신성 보장
→ 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
▷사생활 침해의 최소화
→ 정보주체의 사생활 침해를 최소화하는 방법으로 개인 정보를 처리하여야 한다.
▷ 익명처리 원칙
→ 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다.
▷안전조치 의무
→ 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관 리하여야 한다.
▷개인정보처리방침의 수립 및 공개
→ 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
▷법령준수 의무
→ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.

▶ 개인정보 보호책임자의 지정 - "개인정보보호법 제 31조"
→ 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄하여 책임질 개인정보 보호책임자를 지정하여야하고, 업무를 수행함에 있어 정당한 이유 없이 불이익을 주거나 받게 하여서는 안된다.
→ 보호책임자는 개인정보보호와 관련한 법령 위반 사실을 알게 된 경우에는 즉시 개선조치를 취해야하며, 필요한 경우 소속 기관 또는 단체의 장에게 개선 조치를 보고해야 한다.

▷개인정보 보호책임자의 업무
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리·감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
   ① 법 제30조에 따른 개인정보 처리방침의 수립·변경 및 시행
   ② 개인정보 보호 관련 자료의 관리
   ③ 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

▷개인정보 보호책임자의 공개
→ 개인정보처리자가 개인정보 보호책임자를 지정하거나 변경하는 경우 개인정보 보호책임자의 지정 및 변경 사실, 성명과 부서의 명칭, 전화번호 등 연락처를 공개하여야 한다.
→ 개인정보처리자는 개인정보 보호책임자를 공개하는 경우 개인정보 보호와 관련한 고충처리 및 상담을 실제로 처리할 수 있는 연락처를 공개하여야 한다. 이 경우 개인정보 보호책임자와 개인정보 보호 업무를 처리하는 담당자의 성명, 부서의 명칭, 전화번호 등 연락처를 함께 공개할 수 있다.

▶ 개인정보파일의 등록 및 공개 - " 개인정보보호법 제 32조"
→ 공공기관의 장이 개인정보파일을 운용하는 경우에는 다음 각 호의 사항을 보호위원회에 등록하여야 한다
1. 개인정보파일의 명칭
2. 개인정보파일의 운영 근거 및 목적
3. 개인정보파일에 기록되는 개인정보의 항목
4. 개인정보의 처리방법
5. 개인정보의 보유기간
6. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
7. 그 밖에 대통령령으로 정하는 사항
  ① 개인정보파일을 운용하는 공공기관의 명칭
  ② 개인정보파일로 보유하고 있는 개인정보의 정보주체 수
  ③ 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서
  ④ 제41조에 따른 개인정보의 열람 요구를 접수·처리하는 부서
  ⑤ 개인정보파일의 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유
※ 개인정보파일에 대하여 개인정보 영향평가를 실시한 경우에는 그 결과를 함께 첨부 (제 33조 4항 )

▷ 개인정보파일대장 작성
→ 공공기관은 1개의 개인정보파일에 1개의 개인 정보파일대장을 작성해야 한다

▷ 개인정보파일 등록 의무
→ 공공기관의 장이 개인정보파일을 운용하는 경우에는 운용을 시작한 날부터 60일 이내에 보호위원회에 그 사실을 등록하여야 한다.(개인정보파일 등록업무를 실제 수행하는 것은 해당 공공기관의 개인정보 보호책임자) 등록된 사항에 변경이 있는 경우에도 그 내용을 등록하여야 한다. 개인정보파일 등록은 공공기관만 부담하는 의무이며 민간 부문의 기업·단체 등은 개인정보파일 등록의무가 적용되지 않는다.

▷ 개인정보파일의 공개
→ 등록 관리되고 있는 개인정보파일은 국민이 확인할 수 있도록 공개하는 것이 필요하다. 보호위원회는 개인정보파일의 등록 현황을 인터넷 홈페이지에 열람할 수 있도록 공개하여야 한다. 그리고 보호위원회는 개인정보파일을 등록하거나 변경하는 업무를 각 공공 기관의 개인정보 보호책임자 등이 처리할 수 있도록 하기 위하여 시스템을 구축·운영할 수 있다

 

● 정보주체의 권리 

→ "개인정보보호법 제 4조"는 정보주체의 5대 권리를 선언하고 있으며, 정보주체의 권리는 헌법 상의 기본권인 '개인정보 자기결정권'의 내용을 법률의 형태로 구체화한 것이다.

▶ 개인정보처리에 관한 정보를 제공받을 권리
→ 정보주체는 개인정보 수집, 이용, 제공 등의 처리 목적과 범위 등에 관한 정보를 개인정보 처리자로부터 제공받을 권리가 있다. 이에 따라 개인정보처리자는 개인정보 수집·이용·제공 목적·범위 등의 고지, 개인정보처리방침의 수립·공개 등의 의무를 진다. 이 외에도 정보통신서비스 제공자등은 개인정보 이용내역의 통지 의무를 진다

▶ 개인정보 처리에 관한 동의권
→ '개인정보 자기결정권'의 핵심은 정보주체가 개인정보처리자의 개인정보 처리에 대하여 실질적인 통제권을 갖는 것이다. 정보주체에게 자신의 정보가 언제 누구에게 어디까지 알려지고 또 이용되도록 할 것인지를 스스로 결정할 수 있는 권리이며, 개인정보처리자가 사실상 동의를 강요하여 정보주체의 권리가 형식화되지 않게 하기 위해 포괄적인 동의를 금지하고 있다

▶ 개인정보 열람권
→ 정보주체가 자신의 개인정보를 누가 얼마나 가지고 있고 어떻게 이용·제공·관리하고있는지를 확인할 수 있도록 자신의 개인정보에 접근권을 보장하고 있다. 열람 요구권은 개인정보처리자의 무분별한 개인정보 수집·이용·제공을 방지하는 기능도 수행한다.
→ 개인정보처리자가 정보주체로부터 열람요구를 받은 때에는  원칙적으로 지체 없이(5일 이내) 이에 응하여야 하나, 법률의 규정에 의하여 비밀로 취급되는 개인정보파일에 포함된 개인정보,타인의 생명ㆍ신체ㆍ재산을 부당하게 침해할 우려가 있는 경우, 일정 범위의 공공기관의 업무에 중대한 지장을 초래하는 경우에는 열람을 제한하거나 거부할 수 있다.

▶ 개인정보 처리정지·정정·삭제권
→ 개인정보처리자의 잘못된 개인정보 처리로 인한 피해를 방지하기 위하여 정보주체에게 불완전하거나 부정확한 정보에 대한 처리정지·정정·삭제를 요구할 권리를 보장하고 있다. 이 외에도 이용자에게는 정보통신서비스 제공자등에 대하여 개인정보 수집·이용·제공 등에 관한 동의를 철회할 권리를 보장하고 있다. 또한 정보주체는 개인정보 유출 등의 피해를 방지하고 오남용이 발생하지 않도록 개인정보의 처리목적이 달성되는 등 개인정보를 계속해서 보관할 필요성이 없어진 경우에는 자신의 개인정보를 파기해 달라고 요구할 수도 있다.
※ 동의 철회권 < 처리정지 요구권 = 동의 철회는 자신이 수집에 동의한 내용만 파기, 처리정지는 공개된 정보로부터 수집된 개인 정보를 포함해 전부 처리 정지 요구

▷ ‘특례 규정’제39조의6(개인정보의 파기에 대한 특례)
→ 장기간 서비스를 이용하지 않고 방치되는 개인정보로 인한 이용자의 피해를 방지하고 사업자의 불필요한 개인정보의 보관을 최소화함으로써 개인정보의 오ㆍ남용과 유출을 방지하기 위해 일정기간 (다른 법령에서 별도의 기간을 정하고 있거나 이용자의 요청에 따라 기간을 달리 정한 경우가 아닐 시에는 1년)동안 이용하지 않는 이용자의 개인정보를 해당기간 경과 후 즉시 파기하거나, 다른 이용자의 개인정보와 분리하여 별도 저장ㆍ관리해야 함을 규정

▶ 개인정보 처리로 인하여 발생한 피해를 구제 받을 권리
→ 정보주체는 개인정보의 수집, 이용, 제공 등으로 피해가 발생한 경우, 신속하고 공정한 절차에 따라 피해의 심각성에 비례하여 적절한 보상을 받을 권리를 가진다. 이 같은 권리를보장하기 위해 이 법은 입증책임의 전환, 분쟁조정제도 및 권리침해 중지 단체소송제도, 법정·징벌적 손해배상제도, 정보통신서비스 제공자등의 손해배상책임 보장 조치 의무 등을 도입하고 있다

▶ 법정대리인의 권리
▷만 14세 미만 아동의 개인정보 처리 시 법정대리인 동의
→ 「민법」상 미성년자 보호에 관한 일반규정이 있으나, 개인정보의 처리에 대하여 동의 의사를 선택하고 결정할 능력이 현저히 낮은 만 14세 미만 아동을 더욱 특별히 보호하기 위하여, 만 14세 미만 아동의 개인정보를 처리할 때에는 반드시 법정대리인 동의를 받도록 하였다.
→ 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의없이 해당 아동으로부터 직접 수집할 수 있다. 법정대리인의 개인정보는 당연히 동의 획득의 목적으로만 사용되어야 하며, 법정대리인이 아동의 개인정보 수집 동의에 대한 회신을 하지 않거나 동의를 하지 않는 경우에는 해당 아동과 법정대리인의 정보를 파기해야 함
→ 일반적으로 아동의 법정대리인은 친권자인 부모를 의미하나, 부모의 사망 등으로 친권자가 없는 경우에는「민법」제938조에 따라 후견인이 법정대리인이 된다.
※ 「민법」에서 정한 후견인의 순위는 ①부모의 유언에 의한 경우 ②직계혈족 ③3촌 이내의 방계혈족의 순으로 이루어지며, 고아원 등 시설에있는 아동의 경우에는 보호시설의 장이 후견인, 즉 법정대리인이 된다

● 분쟁해결절차

▶ 개인정보 분쟁조정
▷ 개인정보 분쟁조정위원회
→ 개인정보 침해로 인해 피해는 다수가 소액인 경우가 많으므로 현실적으로 일반적인 소송 절차에 의하여 피해를 구제받기 어렵다. 피해자는 침해사실에 대한 개인정보처리자의 고의과실 입증이 어렵고 소송비용, 재판기간에 부담이 있기 때문에 피해구제를 위해 독립적이고 전문적인 분쟁조정기구에 의한 분쟁해결이 요구된다.

▷ 분쟁조정의 신청
→ 개인정보와 관련한 분쟁의 조정을 원하는 자는 누구나 개인정보 분쟁조정위원회에 분쟁조정을 신청할 수 있다. 그러나, 분쟁조정은 강제가 아니므로 상대방은 조정 참여 여부를 선택할 수 있다.공공기관은 특별한 사유가 없는한 조정에 응하도록 하여 국민의 권익보호를 도모하고 있다.

▷ 분쟁조정기간 및 절차
→ 분쟁조정은 신청일로부터 60일 이내에 조정안을 제시하여야한다.
→ 객관적 사실 확인 및 공정한 판단을 위해 조정위원회는 당사자들에게 자료제출을 요청할 수 있고, 필요한 경우 참고인을 출석시켜 의견을 들을 수 있다.

▷ 분쟁의 조정 및 법적 효력
→ 조정위원회는 조정 전 당사자간의 합의를 권고 할 수 있다.
→ 조정안에는 침해행위 중지, 원상회복, 손해배상, 침해재발 방지대책 등 필요한 피해구제 조치를 담을 수 있으며, 조정안을 양 당사자가 수락한 경우 재판상 화해의 효력을 갖는다. 조정안 제시일로부터 15일 이내에 수락여부를 알리지 않으면 조정을 거부한 것으로 본다.

▷ 조정의 거부 및 중지
→ 조정위원회는 분쟁의 성질상 또는 부정한 목적으로 조정이 신청되었다고 인정하는 경우 조정을 거부할 수 있다. 조정위원회는 조정사건 처리 중 한 쪽 당사자가 소를 제기하면 그 조정의 처리를 중지하고 이를 당사자에게 알려야한다.

▶집단 분쟁조정의 신청
→ [ 신청권자 ] 집단분쟁조정을 신청할 수 있는 자는 국가, 지자체, 개인정보 보호단체 및 기관, 정보주체, 개인정보처리자이다.
→ [ 신청대상 사건 ] 법률에는 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우라는 요건만 제시하며, 대통령 령에 위임
▷ 집단분쟁 조정절차
→ [ 절차의 개시 및 공고 ] 신청권자가 집단분쟁조정을 신청하면 조정위원회는 의결로써 집단분쟁 조정절차를 개시할 수 있으며, 이때 대통령 령이 정한 기간( "14일 이상" )동안 그 절차의 개시를 공고한다.
→ [ 집단분쟁조정절차의 참가 ] 조정위원회는 집단 분쟁조정의 당사자가 아닌 정보주체 또는 개인정보처리자로부터 그 분쟁조정의 당사자에 추가로 포함  될 수 있도록 하는 신청을 받을 수 있다.
→ [대표 당사자의 선임 ] 조정위원회는 공동의 이익을 대표하기에 가장 적합한 1인 또는 수인을 대표당사자로 선임 가능
→ [ 집단분쟁 조정절차의 중지 ] 집단분쟁조정의 당사자인 다수 중 일부가 소를 제기한 경우에는 전체 절차를 중지하지 않고 소를 제기한 일부의 정보주체만을 그 절차에서 제외하도록 함으로써, 일반적인 분쟁조정의 중지에 대해 특칙을 두고있다.
→  [집단분쟁 조정기간 ] 원칙적으로 집단분쟁조정절차의 공고가 종료된 날의 다음날부터 60일 이내에 심사를 해 조정안을 작성하여야 한다.

▶ 단체 소송
→ 다수의 정보주체가 피해를 입는 경우에 개별적인 소제기보다는 집단적인 구제신청이 효율적이므로, 일정한 자격을 갖춘 단체가 원고적격을 부여받아 침해금지청구를 할 수 있다.
▷ 원고 적격 
→ 개인정보 단체소송을 제기할 수 있는 단체는 "소비자 단체" 와 "비영리 민간단체"로 제한
→ 소비자 단체의 요건
①「소비자기본법」제29조의 규정에 따라 공정거래위원회에 등록한 소비자단체로서
② 정관에 따라 상시적으로 정보주체의 권익증진을 단체의 주된 목적으로 하는 단체일 것 
③ 단체의 정회원수가 1천명 이상일 것 
④ 공정거래위원회에 등록 후 3년이 경과하였을  것
→ 비영리 민간단체의 요건
①「비영리민간단체 지원법」제2조의 규정에 따른 비영리민간단체
② 법률상 또는 사실상 동일한 침해를 입은 100인 이상의 정보주체로부터 단체소송의 제기를 요청받을 것
③ 정관에 개인정보 보호를 단체의 목적으로 명시한 후 최근 3년 이상 이를 위한 활동실적이 있을 것
④ 단체의 상시 구성원수가 5천명 이상일 것
⑤ 중앙행정기관에 등록되어 있을 것

▷ 소제기요건과 청구범위
→ 개인정보 처리자가 개인정보분쟁조정위원회의 집단분쟁조정을 거부하거나 결과를 수락하지 아니하는 경우에 단체소송이 가능하다. 즉, 집단분쟁 조정신청을 전제로 조정을 거부하거나 조정안을 수락하지 않은 경우로 규정되며, 단체소송은 '권리침해 행위의 금지 및 중지' 청구만 허용하므로 원상회복, 손배청구는 불가능하다.

▷ 전속관할
→ 개인정보 단체소송의 소는 피고의 주된 사무소 또는 영업소가 있는 곳의 지방법원으로 한다. 사무소나 영업소가 없는 경우 업무 담당자의 주소가 있는 곳으로 한다. 피고가 외국 사업자인 경우 한국에 있는 이들의 주소로 한다.

▷ 편면적 변호사 강제주의
→ 개인정보 단체소송의 원고가 소제기를 하기 위해서는 변호사를 소송대리인으로 선임해야 한다. 변호사강제제도를 도입한 것은 단체소송의 복잡성에 기인한 것으로 보인다.

▷개인정보단체소송의 확정판결 효력
→ 원고의 청구를 기각하는 판결이 확정된 경우 이와 동일한 사안에 관하여 다른 단체는 단체소송을 제기할 수 없다
그러나 예외조항으로 ① 판결이 확정된 후 그 사안과 관련하여 국가ㆍ지방자치단체 또는 국가ㆍ지방자치단체가 설립한 기관에 의하여 새로운 증거가 나타나거나 ② 기각판결이 원고의 고의로 인한 것임이 밝혀진 경우에는 청구 기각판결이 확정된 경우에도 다른 단체가 다시 개인정보 단체소송을 제기할 수 있다.