약관과 개인정보방침은 얼마나 자주 업데이트되나요?

법령 변경, 서비스 정책 변경, 운영 이슈 발생 시 내용을 갱신합니다.

영문 약관도 동일한 정책을 따르나요?

네. 영문 문서는 동일 정책의 이해를 돕기 위한 번역 안내 문서입니다.

정책 문의는 어디로 하면 되나요?

페이지 하단 문의 채널 또는 IT7 공식 상담 채널로 문의하시면 안내해드립니다.

IT7 - 이용약관 및 정보보호방침

이용약관

제1장 총칙
제1조(목적)
이 약관은 회사가 온라인으로 제공하는 디지털콘텐츠(이하 "콘텐츠"라고 한다) 및 제반서비스의 이용과 관련하여 회사와 이용자와의 권리, 의무 및 책임사항 등을 규정함을 목적으로 합니다.
제2조(정의) 
이 약관에서 사용하는 용어의 정의는 다음과 같습니다.
1. "회사"라 함은 "콘텐츠" 산업과 관련된 경제활동을 영위하는 자로서 콘텐츠 및 제반서비스를 제공하는 자를 말합니다.
2. "이용자"라 함은 "회사"의 사이트에 접속하여 이 약관에 따라 "회사"가 제공하는 "콘텐츠" 및 제반서비스를 이용하는 회원 및 비회원을 말합니다.
3. "회원"이라 함은 "회사"와 이용계약을 체결하고 "이용자" 아이디(ID)를 부여받은 "이용자"로서 "회사"의 정보를 지속적으로 제공받으며 "회사"가 제공하는 서비스를 지속적으로 이용할 수 있는 자를 말합니다.
4. "비회원"이라 함은 "회원"이 아니면서 "회사"가 제공하는 서비스를 이용하는 자를 말합니다.
5. "콘텐츠"라 함은 정보통신망이용촉진 및 정보보호 등에 관한 법률 제2조 제1항 제1호의 규정에 의한 정보통신망에서 사용되는 부호·문자·음성·음향·이미지 또는 영상 등으로 표현된 자료 또는 정보로서, 그 보존 및 이용에 있어서 효용을 높일 수 있도록 전자적 형태로 제작 또는 처리된 것을 말합니다.
6. "아이디(ID)"라 함은 "회원"의 식별과 서비스이용을 위하여 "회원"이 정하고 "회사"가 승인하는 문자 또는 숫자의 조합을 말합니다.
7. "비밀번호(PASSWORD)"라 함은 "회원"이 부여받은 "아이디"와 일치되는 "회원"임을 확인하고 비밀보호를 위해 "회원" 자신이 정한 문자 또는 숫자의 조합을 말합니다. 
제3조(신원정보 등의 제공)
"회사"는 이 약관의 내용, 상호, 대표자 성명, 영업소 소재지 주소(소비자의 불만을 처리할 수 있는 곳의 주소를 포함), 전화번호, 모사전송번호, 전자우편주소, 사업자등록번호, 통신판매업 신고번호 및 개인정보관리책임자 등을 이용자가 쉽게 알 수 있도록 온라인 서비스초기화면에 게시합니다. 다만, 약관은 이용자가 연결화면을 통하여 볼 수 있도록 할 수 있습니다. 
제4조(약관의 게시 등)
① "회사"는 이 약관을 "회원"이 그 전부를 인쇄할 수 있고 거래과정에서 해당 약관의 내용을 확인할 수 있도록 기술적 조치를 취합니다.
② "회사"는 "이용자"가 "회사"와 이 약관의 내용에 관하여 질의 및 응답할 수 있도록 기술적 장치를 설치합니다.
③ "회사"는 "이용자"가 약관에 동의하기에 앞서 약관에 정하여져 있는 내용 중 청약철회, 환불조건 등과 같은 중요한 내용을 이용자가 쉽게 이해할 수 있도록 별도의 연결화면 또는 팝업화면 등을 제공하여 "이용자"의 확인을 구합니다. 
제5조(약관의 개정 등)
① "회사"는 온라인 디지털콘텐츠산업 발전법, 전자상거래 등에서의 소비자보호에 관한 법률, 약관의 규제에 관한 법률 등 관련법을 위배하지 않는 범위에서 이 약관을 개정할 수 있습니다.
② "회사"가 약관을 개정할 경우에는 적용일자 및 개정사유를 명시하여 현행약관과 함께 서비스초기화면에 그 적용일자 7일 이전부터 적용일 후 상당한 기간동안 공지하고, 기존회원에게는 개정약관을 전자우편주소로 발송합니다.
③ "회사"가 약관을 개정할 경우에는 개정약관 공지 후 개정약관의 적용에 대한 "이용자"의 동의 여부를 확인합니다. "이용자"가 개정약관의 적용에 동의하지 않는 경우 "회사" 또는 "이용자"는 콘텐츠 이용계약을 해지할 수 있습니다. 이때, "회사"는 계약해지로 인하여 "이용자"가 입은 손해를 배상합니다. 
제6조(약관의 해석)
이 약관에서 정하지 아니한 사항과 이 약관의 해석에 관하여는 온라인 디지털콘텐츠산업 발전법, 전자상거래 등에서의 소비자보호에 관한 법률, 약관의 규제에 관한 법률, 문화체육관광부장관이 정하는 디지털콘텐츠이용자보호지침, 기타 관계법령 또는 상관례에 따릅니다. 
제2장 회원가입
제7조(회원가입)
① 회원가입은 "이용자"가 약관의 내용에 대하여 동의를 하고 회원가입신청을 한 후 "회사"가 이러한 신청에 대하여 승낙함으로써 체결됩니다.
② 회원가입신청서에는 다음 사항을 기재해야 합니다. 1호 내지 3호의 사항은 필수사항이며, 그 외의 사항은 선택사항입니다.
1. "회원"의 성명과 주민등록번호 또는 인터넷상 개인식별번호
2. "아이디"와 "비밀번호"
3. 전자우편주소
4. 이용하려는 "콘텐츠"의 종류
5. 기타 "회사"가 필요하다고 인정하는 사항
③ "회사"는 상기 "이용자"의 신청에 대하여 회원가입을 승낙함을 원칙으로 합니다. 다만, "회사"는 다음 각 호에 해당하는 신청에 대하여는 승낙을 하지 않을 수 있습니다.
1. 가입신청자가 이 약관에 의하여 이전에 회원자격을 상실한 적이 있는 경우
2. 실명이 아니거나 타인의 명의를 이용한 경우
3. 허위의 정보를 기재하거나, 회사가 제시하는 내용을 기재하지 않은 경우
4. 이용자의 귀책사유로 인하여 승인이 불가능하거나 기타 규정한 제반 사항을 위반하며 신청하는 경우
④ "회사"는 서비스 관련 설비의 여유가 없거나, 기술상 또는 업무상 문제가 있는 경우에는 승낙을 유보할 수 있습니다.
⑤ 제3항과 제4항에 따라 회원가입신청의 승낙을 하지 아니하거나 유보한 경우, "회사"는 이를 신청자에게 알려야 합니다. "회사"의 귀책사유 없이 신청자에게 통지할 수 없는 경우에는 예외로 합니다. ⑥ 회원가입계약의 성립 시기는 "회사"의 승낙이 "이용자"에게 도달한 시점으로 합니다. 
제8조(미성년자의 회원가입에 관한 특칙)
① 만 14세 미만의 "이용자"는 개인정보의 수집 및 이용목적에 대하여 충분히 숙지하고 부모 등 법정대리인의 동의를 얻은 후에 회원가입을 신청하고 본인의 개인정보를 제공하여야 합니다.
② 회사는 부모 등 법정대리인의 동의에 대한 확인절차를 거치지 않은 14세 미만 이용자에 대하여는 가입을 취소 또는 불허합니다.
③ 만 14세 미만 "이용자"의 부모 등 법정대리인은 아동에 대한 개인정보의 열람, 정정, 갱신을 요청하거나 회원가입에 대한 동의를 철회할 수 있으며, 이러한 경우에 "회사"는 지체 없이 필요한 조치를 취해야 합니다. 
제9조(회원정보의 변경)
① "회원"은 개인정보관리화면을 통하여 언제든지 자신의 개인정보를 열람하고 수정할 수 있습니다.
② "회원"은 회원가입신청 시 기재한 사항이 변경되었을 경우 온라인으로 수정을 하거나 전자우편 기타 방법으로 "회사"에 대하여 그 변경사항을 알려야 합니다.
③ 제2항의 변경사항을 "회사"에 알리지 않아 발생한 불이익에 대하여 "회사"는 책임지지 않습니다. 
제10조("회원"의 "아이디" 및 "비밀번호"의 관리에 대한 의무)
① "회원"의 "아이디"와 "비밀번호"에 관한 관리책임은 "회원"에게 있으며, 이를 제3자가 이용하도록 하여서는 안 됩니다.
② "회원"은 "아이디" 및 "비밀번호"가 도용되거나 제3자에 의해 사용되고 있음을 인지한 경우에는 이를 즉시 "회사"에 통지하고 "회사"의 안내에 따라야 합니다.
③ 제2항의 경우에 해당 "회원"이 "회사"에 그 사실을 통지하지 않거나, 통지한 경우에도 "회사"의 안내에 따르지 않아 발생한 불이익에 대하여 "회사"는 책임지지 않습니다. 
제11조("회원"에 대한 통지)
① "회사"가 "회원"에 대한 통지를 하는 경우 "회원"이 지정한 전자우편주소로 할 수 있습니다.
② "회사"는 "회원" 전체에 대한 통지의 경우 7일 이상 "회사"의 게시판에 게시함으로써 제1항의 통지에 갈음할 수 있습니다. 다만, "회원" 본인의 거래와 관련하여 중대한 영향을 미치는 사항에 대하여는 제1항의 통지를 합니다. 
제12조(회원탈퇴 및 자격 상실 등)
① "회원"은 "회사"에 언제든지 탈퇴를 요청할 수 있으며 "회사"는 즉시 회원탈퇴를 처리합니다.
② "회원"이 다음 각호의 사유에 해당하는 경우, "회사"는 회원자격을 제한 및 정지시킬 수 있습니다.
1. 가입신청 시에 허위내용을 등록한 경우
2. "회사"의 서비스이용대금, 기타 "회사"의 서비스이용에 관련하여 회원이 부담하는 채무를 기일에 이행하지 않는 경우
3. 다른 사람의 "회사"의 서비스이용을 방해하거나 그 정보를 도용하는 등 전자상거래 질서를 위협하는 경우
4. "회사"를 이용하여 법령 또는 이 약관이 금지하거나 공서양속에 반하는 행위를 하는 경우
③ "회사"가 회원자격을 제한·정지시킨 후, 동일한 행위가 2회 이상 반복되거나 30일 이내에 그 사유가 시정되지 아니하는 경우 "회사"는 회원자격을 상실시킬 수 있습니다.
④ "회사"가 회원자격을 상실시키는 경우에는 회원등록을 말소합니다. 이 경우 "회원"에게 이를 통지하고, 회원등록 말소 전에 최소한 30일 이상의 기간을 정하여 소명할 기회를 부여합니다. 
제3장 콘텐츠이용계약
제13조("콘텐츠"의 내용 등의 게시)
① "회사"는 다음 사항을 해당 "콘텐츠"의 이용초기화면이나 그 포장에 "이용자"가 알기 쉽게 표시합니다.
1. "콘텐츠"의 명칭 또는 제호
2. "콘텐츠"의 제작 및 표시 연월일
3. "콘텐츠" 제작자의 성명(법인인 경우에는 법인의 명칭), 주소, 전화번호
4. "콘텐츠"의 내용, 이용방법, 이용료 기타 이용조건
② "회사"는 "콘텐츠"별 이용가능기기 및 이용에 필요한 최소한의 기술사양에 관한 정보를 계약체결과정에서 "이용자"에게 제공합니다. 
제14조(이용계약의 성립 등)
① "이용자"는 "회사"가 제공하는 다음 또는 이와 유사한 절차에 의하여 이용신청을 합니다. "회사"는 계약 체결 전에 각 호의 사항에 관하여 "이용자"가 정확하게 이해하고 실수 또는 착오 없이 거래할 수 있도록 정보를 제공합니다.
1. "콘텐츠" 목록의 열람 및 선택
2. 성명, 주소, 전화번호(또는 이동전화번호), 전자우편주소 등의 입력
3. 약관내용, 청약철회가 불가능한 "콘텐츠"에 대해 "회사"가 취한 조치에 관련한 내용에 대한 확인
4. 이 약관에 동의하고 위 제3호의 사항을 확인하거나 거부하는 표시(예, 마우스 클릭)
5. "콘텐츠"의 이용신청에 관한 확인 또는 "회사"의 확인에 대한 동의
6. 결제방법의 선택
② "회사"는 "이용자"의 이용신청이 다음 각 호에 해당하는 경우에는 승낙하지 않거나 승낙을 유보할 수 있습니다.
1. 실명이 아니거나 타인의 명의를 이용한 경우
2. 허위의 정보를 기재하거나, "회사"가 제시하는 내용을 기재하지 않은 경우
3. 미성년자가 청소년보호법에 의해서 이용이 금지되는 "콘텐츠"를 이용하고자 하는 경우
4. 서비스 관련 설비의 여유가 없거나, 기술상 또는 업무상 문제가 있는 경우
③ "회사"의 승낙이 제16조 제1항의 수신확인통지형태로 "이용자"에게 도달한 시점에 계약이 성립한 것으로 봅니다.
④ "회사"의 승낙의 의사표시에는 "이용자"의 이용신청에 대한 확인 및 서비스제공 가능여부, 이용신청의 정정·취소 등에 관한 정보 등을 포함합니다. 
제15조(미성년자 이용계약에 관한 특칙)
"회사"는 만 20세 미만의 미성년이용자가 유료서비스를 이용하고자 하는 경우에 부모 등 법정 대리인의 동의를 얻거나, 계약체결 후 추인을 얻지 않으면 미성년자 본인 또는 법정대리인이 그 계약을 취소할 수 있다는 내용을 계약체결 전에 고지하는 조치를 취합니다. 
제16조(수신확인통지·이용신청 변경 및 취소)
① "회사"는 "이용자"의 이용신청이 있는 경우 "이용자"에게 수신확인통지를 합니다.
② 수신확인통지를 받은 "이용자"는 의사표시의 불일치 등이 있는 경우에는 수신확인통지를 받은 후 즉시 이용신청 변경 및 취소를 요청할 수 있고, "회사"는 서비스제공 전에 "이용자"의 요청이 있는 경우에는 지체 없이 그 요청에 따라 처리하여야 합니다. 다만, 이미 대금을 지불한 경우에는 청약철회 등에 관한 제27조의 규정에 따릅니다. 
제17조("회사"의 의무)
① "회사"는 법령과 이 약관이 정하는 권리의 행사와 의무의 이행을 신의에 좇아 성실하게 하여야 합니다.
② "회사"는 "이용자"가 안전하게 "콘텐츠"를 이용할 수 있도록 개인정보(신용정보 포함)보호를 위해 보안시스템을 갖추어야 하며 개인정보보호정책을 공시하고 준수합니다.
③ "회사"는 "이용자"가 콘텐츠이용 및 그 대금내역을 수시로 확인할 수 있도록 조치합니다.
④ "회사"는 콘텐츠이용과 관련하여 "이용자"로부터 제기된 의견이나 불만이 정당하다고 인정할 경우에는 이를 지체없이 처리합니다. 이용자가 제기한 의견이나 불만사항에 대해서는 게시판을 활용하거나 전자우편 등을 통하여 그 처리과정 및 결과를 전달합니다.
⑤ "회사"는 이 약관에서 정한 의무 위반으로 인하여 "이용자"가 입은 손해를 배상합니다. 
제18조("이용자"의 의무)
① "이용자"는 다음 행위를 하여서는 안 됩니다.
1. 신청 또는 변경 시 허위내용의 기재
2. 타인의 정보도용
3. "회사"에 게시된 정보의 변경
4. "회사"가 금지한 정보(컴퓨터 프로그램 등)의 송신 또는 게시
5. "회사"와 기타 제3자의 저작권 등 지적재산권에 대한 침해
6. "회사" 및 기타 제3자의 명예를 손상시키거나 업무를 방해하는 행위
7. 외설 또는 폭력적인 말이나 글, 화상, 음향, 기타 공서양속에 반하는 정보를 "회사"의 사이트에 공개 또는 게시하는 행위
8. 기타 불법적이거나 부당한 행위
② "이용자"는 관계법령, 이 약관의 규정, 이용안내 및 "콘텐츠"와 관련하여 공지한 주의사항, "회사"가 통지하는 사항 등을 준수하여야 하며, 기타 "회사"의 업무에 방해되는 행위를 하여서는 안 됩니다. 
제19조(지급방법)
"콘텐츠"의 이용에 대한 대금지급방법은 다음 각 호의 방법 중 가능한 방법으로 할 수 있습니다. 다만, "회사"는 "이용자"의 지급방법에 대하여 어떠한 명목의 수수료도 추가하여 징수하지 않습니다.
1. 폰뱅킹, 인터넷뱅킹, 메일 뱅킹 등의 각종 계좌이체
2. 선불카드, 직불카드, 신용카드 등의 각종 카드결제
3. 온라인무통장입금
4. 전자화폐에 의한 결제
5. 마일리지 등 "회사"가 지급한 포인트에 의한 결제
6. "회사"와 계약을 맺었거나 "회사"가 인정한 상품권에 의한 결제
7. 전화 또는 휴대전화를 이용한 결제
8. 기타 전자적 지급방법에 의한 대금지급 등 
제20조(콘텐츠서비스의 제공 및 중단)
① 콘텐츠서비스는 연중무휴, 1일 24시간 제공함을 원칙으로 합니다.
② "회사"는 컴퓨터 등 정보통신설비의 보수점검, 교체 및 고장, 통신두절 또는 운영상 상당한 이유가 있는 경우 콘텐츠서비스의 제공을 일시적으로 중단할 수 있습니다. 이 경우 "회사"는 제11조["회원"에 대한 통지]에 정한 방법으로 "이용자"에게 통지합니다. 다만, "회사"가 사전에 통지할 수 없는 부득이한 사유가 있는 경우 사후에 통지할 수 있습니다.
③ "회사"는 상당한 이유 없이 콘텐츠서비스의 제공이 일시적으로 중단됨으로 인하여 "이용자"가 입은 손해에 대하여 배상합니다. 다만, "회사"가 고의 또는 과실이 없음을 입증하는 경우에는 그러하지 아니합니다.
④ "회사"는 콘텐츠서비스의 제공에 필요한 경우 정기점검을 실시할 수 있으며, 정기점검시간은 서비스제공화면에 공지한 바에 따릅니다.
⑤ 사업종목의 전환, 사업의 포기, 업체 간의 통합 등의 이유로 콘텐츠서비스를 제공할 수 없게 되는 경우에는 "회사"는 제11조["회원"에 대한 통지]에 정한 방법으로 "이용자"에게 통지하고 당초 "회사"에서 제시한 조건에 따라 "이용자"에게 보상합니다. 다만, "회사"가 보상기준 등을 고지하지 아니하거나, 고지한 보상기준이 적절하지 않은 경우에는 "이용자"들의 마일리지 또는 적립금 등을 현물 또는 현금으로 "이용자"에게 지급합니다.
제21조(콘텐츠서비스의 변경)
① "회사"는 상당한 이유가 있는 경우에 운영상, 기술상의 필요에 따라 제공하고 있는 콘텐츠서비스를 변경할 수 있습니다.
② "회사"는 콘텐츠서비스의 내용, 이용방법, 이용시간을 변경할 경우에 변경사유, 변경될 콘텐츠서비스의 내용 및 제공일자 등을 그 변경 전 7일 이상 해당 콘텐츠초기화면에 게시합니다.
③ 제2항의 경우에 변경된 내용이 중대하거나 "이용자"에게 불리한 경우에는 "회사"가 해당 콘텐츠서비스를 제공받는 "이용자"에게 제11조["회원"에 대한 통지]에 정한 방법으로 통지하고 동의를 받습니다. 이때, "회사"는 동의를 거절한 "이용자"에 대하여는 변경전 서비스를 제공합니다. 다만, 그러한 서비스 제공이 불가능할 경우 계약을 해지할 수 있습니다.
④ "회사"는 제1항에 의한 서비스의 변경 및 제3항에 의한 계약의 해지로 인하여 "이용자"가 입은 손해를 배상합니다.
제22조(정보의 제공 및 광고의 게재)
① "회사"는 "이용자"가 콘텐츠이용 중 필요하다고 인정되는 다양한 정보를 공지사항이나 전자우편 등의 방법으로 "회원"에게 제공할 수 있습니다. 다만, "회원"은 언제든지 전자우편 등을 통하여 수신 거절을 할 수 있습니다.
② 제1항의 정보를 전화 및 모사전송기기에 의하여 전송하려고 하는 경우에는 "회원"의 사전 동의를 받아서 전송합니다.
③ "회사"는 "콘텐츠"서비스 제공과 관련하여 콘텐츠화면, 홈페이지, 전자우편 등에 광고를 게재할 수 있습니다. 광고가 게재된 전자우편 등을 수신한 "회원"은 수신거절을 "회사"에게 할 수 있습니다. 
제23조(게시물의 삭제)
① "회사"는 게시판에 정보통신망이용촉진 및 정보보호 등에 관한 법률을 위반한 청소년유해매체물이 게시되어 있는 경우에는 이를 지체 없이 삭제 합니다. 다만, 19세 이상의 "이용자"만 이용할 수 있는 게시판은 예외로 합니다.
② "회사"가 운영하는 게시판 등에 게시된 정보로 인하여 법률상 이익이 침해된 자는 "회사"에게 당해 정보의 삭제 또는 반박내용의 게재를 요청할 수 있습니다. 이 경우 "회사"는 지체 없이 필요한 조치를 취하고 이를 즉시 신청인에게 통지합니다.
제24조(저작권 등의 귀속)
① "회사"가 작성한 저작물에 대한 저작권 기타 지적재산권은 "회사"에 귀속합니다.
② "회사"가 제공하는 서비스 중 제휴계약에 의해 제공되는 저작물에 대한 저작권 기타 지적재산권은 해당 제공업체에 귀속합니다.
③ "이용자"는 "회사"가 제공하는 서비스를 이용함으로써 얻은 정보 중 "회사" 또는 제공업체에 지적재산권이 귀속된 정보를 "회사" 또는 제공업체의 사전승낙 없이 복제, 전송, 출판, 배포, 방송 기타 방법에 의하여 영리목적으로 이용하거나 제3자에게 이용하게 하여서는 안 됩니다.
④ "회사"는 약정에 따라 "이용자"의 저작물을 사용하는 경우 당해 "이용자"의 허락을 받습니다.. 
제25조(개인정보보호)
① "회사"는 제7조 제2항의 신청서기재사항 이외에 "이용자"의 콘텐츠이용에 필요한 최소한의 정보를 수집할 수 있습니다. 이를 위해 "회사"가 문의한 사항에 관해 "이용자"는 진실한 내용을 성실하게 고지하여야 합니다.
② "회사"가 "이용자"의 개인 식별이 가능한 "개인정보"를 수집하는 때에는 당해 "이용자"의 동의를 받습니다.
③ "회사"는 "이용자"가 이용신청 등에서 제공한 정보와 제1항에 의하여 수집한 정보를 당해 "이용자"의 동의 없이 목적 외로 이용하거나 제3자에게 제공할 수 없으며, 이를 위반한 경우에 모든 책임은 "회사"가 집니다. 다만, 다음의 경우에는 예외로 합니다.
1. 통계작성, 학술연구 또는 시장조사를 위하여 필요한 경우로서 특정 개인을 식별할 수 없는 형태로 제공하는 경우
2. "콘텐츠" 제공에 따른 요금정산을 위하여 필요한 경우
3. 도용방지를 위하여 본인확인에 필요한 경우
4. 약관의 규정 또는 법령에 의하여 필요한 불가피한 사유가 있는 경우
④ "회사"가 제2항과 제3항에 의해 "이용자"의 동의를 받아야 하는 경우에는 "개인정보"관리책임자의 신원(소속, 성명 및 전화번호 기타 연락처), 정보의 수집목적 및 이용목적, 제3자에 대한 정보제공관련사항(제공받는 자, 제공목적 및 제공할 정보의 내용)등에 관하여 정보통신망이용촉진 및 정보보호 등에 관한 법률 제22조 제2항이 규정한 사항을 명시하고 고지하여야 합니다.
⑤ "이용자"는 언제든지 제3항의 동의를 임의로 철회할 수 있습니다.
⑥ "이용자"는 언제든지 "회사"가 가지고 있는 자신의 "개인정보"에 대해 열람 및 오류의 정정을 요구할 수 있으며, "회사"는 이에 대해 지체 없이 필요한 조치를 취할 의무를 집니다. "이용자"가 오류의 정정을 요구한 경우에는 "회사"는 그 오류를 정정할 때까지 당해 "개인정보"를 이용하지 않습니다.
⑦ "회사"는 개인정보보호를 위하여 관리자를 한정하여 그 수를 최소화하며, 신용카드, 은행계좌 등을 포함한 "이용자"의 "개인정보"의 분실, 도난, 유출, 변조 등으로 인한 "이용자"의 손해에 대하여 책임을 집니다.
⑧ "회사" 또는 그로부터 "개인정보"를 제공받은 자는 "이용자"가 동의한 범위 내에서 "개인정보"를 사용할 수 있으며, 목적이 달성된 경우에는 당해 "개인정보"를 지체 없이 파기합니다.
⑨ "회사"는 정보통신망이용촉진 및 정보보호에 관한 법률 등 관계 법령이 정하는 바에 따라 "이용자"의 "개인정보"를 보호하기 위해 노력합니다. "개인정보"의 보호 및 사용에 대해서는 관련법령 및 "회사"의 개인정보보호정책이 적용됩니다. 
제4장 콘텐츠이용계약의 청약철회, 계약해제·해지 및 이용제한
제26조("이용자"의 청약철회와 계약해제·해지)
① "회사"와 "콘텐츠"의 이용에 관한 계약을 체결한 "이용자"는 수신확인의 통지를 받은 날로부터 7일 이내에는 청약의 철회를 할 수 있습니다. 다만, "회사"가 다음 각 호중 하나의 조치를 취한 경우에는 "이용자"의 청약철회권이 제한될 수 있습니다.
1. 청약의 철회가 불가능한 "콘텐츠"에 대한 사실을 표시사항에 포함한 경우
2. 시용상품을 제공한 경우
3. 한시적 또는 일부이용 등의 방법을 제공한 경우
② "이용자"는 다음 각 호의 사유가 있을 때에는 당해 "콘텐츠"를 공급받은 날로부터 3월 이내 또는 그 사실을 안 날 또는 알 수 있었던 날부터 30일 이내에 콘텐츠이용계약을 해제·해지할 수 있습니다.
1. 이용계약에서 약정한 "콘텐츠"가 제공되지 않는 경우
2. 제공되는 "콘텐츠"가 표시·광고 등과 상이하거나 현저한 차이가 있는 경우
3. 기타 "콘텐츠"의 결함으로 정상적인 이용이 현저히 불가능한 경우
③ 제1항의 청약철회와 제2항의 계약해제·해지는 "이용자"가 전화, 전자우편 또는 모사전송으로 "회사"에 그 의사를 표시한 때에 효력이 발생합니다.
④ "회사"는 제3항에 따라 "이용자"가 표시한 청약철회 또는 계약해제·해지의 의사표시를 수신한 후 지체 없이 이러한 사실을 "이용자"에게 회신합니다.
⑤ "이용자"는 제2항의 사유로 계약해제·해지의 의사표시를 하기 전에 상당한 기간을 정하여 완전한 "콘텐츠" 혹은 서비스이용의 하자에 대한 치유를 요구할 수 있습니다. 
제27조("이용자"의 청약철회와 계약해제·해지의 효과)
① "회사"는 "이용자"가 청약철회의 의사표시를 한 날로부터 또는 "이용자"에게 계약해제·해지의 의사표시에 대하여 회신한 날로부터 3영업일 이내에 대금의 결제와 동일한 방법으로 이를 환급하여야 하며, 동일한 방법으로 환불이 불가능할 때에는 이를 사전에 고지하여야 합니다. 이 경우 "회사"가 "이용자"에게 환급을 지연한 때에는 그 지연기간에 대하여 공정거래위원회가 정하여 고시하는 지연이자율을 곱하여 산정한 지연이자를 지급합니다.
② "회사"가 제1항에 따라 환급할 경우에 "이용자"가 서비스이용으로부터 얻은 이익에 해당하는 금액을 공제하고 환급할 수 있습니다.
③ "회사"는 위 대금을 환급함에 있어서 "이용자"가 신용카드 또는 전자화폐 등의 결제수단으로 재화 등의 대금을 지급한 때에는 지체 없이 당해 결제수단을 제공한 사업자로 하여금 재화 등의 대금의 청구를 정지 또는 취소하도록 요청합니다. 다만, 제2항의 금액공제가 필요한 경우에는 그러하지 아니할 수 있습니다.
④ "회사", "콘텐츠 등의 대금을 지급 받은 자" 또는 "이용자와 콘텐츠이용계약을 체결한 자"가 동일인이 아닌 경우에 각자는 청약철회 또는 계약해제·해지로 인한 대금환급과 관련한 의무의 이행에 있어서 연대하여 책임을 집니다.
⑤ "회사"는 "이용자"에게 청약철회를 이유로 위약금 또는 손해배상을 청구하지 않습니다. 그러나 "이용자"의 계약해제·해지는 손해배상의 청구에 영향을 미치지 않습니다. 
제28조(회사의 계약해제·해지 및 이용제한)
① "회사"는 "이용자"가 제12조 제2항에서 정한 행위를 하였을 경우 사전통지 없이 계약을 해제·해지하거나 또는 기간을 정하여 서비스이용을 제한할 수 있습니다.
② 제1항의 해제·해지는 "회사"가 자신이 정한 통지방법에 따라 "이용자"에게 그 의사를 표시한 때에 효력이 발생합니다.
③ "회사"의 해제·해지 및 이용제한에 대하여 "이용자"는 "회사"가 정한 절차에 따라 이의신청을 할 수 있습니다. 이 때 이의가 정당하다고 "회사"가 인정하는 경우, "회사"는 즉시 서비스의 이용을 재개합니다. 
제29조(회사의 계약해제·해지의 효과)
"이용자"의 귀책사유에 따른 이용계약의 해제·해지의 효과는 제27조를 준용합니다. 다만, "회사"는 "이용자"에 대하여 계약해제·해지의 의사표시를 한 날로부터 7영업일 이내에 대금의 결제와 동일한 방법으로 이를 환급합니다. 
제5장 과오금, 피해보상 등
제30조(과오금)
① "회사"는 과오금이 발생한 경우 이용대금의 결제와 동일한 방법으로 과오금 전액을 환불하여야 합니다. 다만, 동일한 방법으로 환불이 불가능할 때는 이를 사전에 고지합니다.
② "회사"의 책임 있는 사유로 과오금이 발생한 경우 "회사"는 계약비용, 수수료 등에 관계없이 과오금 전액을 환불합니다. 다만, "이용자"의 책임 있는 사유로 과오금이 발생한 경우, "회사"가 과오금을 환불하는 데 소요되는 비용은 합리적인 범위 내에서 "이용자"가 부담하여야 합니다.
③ 회사는 "이용자"가 주장하는 과오금에 대해 환불을 거부할 경우에 정당하게 이용대금이 부과되었음을 입증할 책임을 집니다.
④ "회사"는 과오금의 환불절차를 디지털콘텐츠이용자보호지침에 따라 처리합니다. 
제31조(콘텐츠하자 등에 의한 이용자피해보상)
"회사"는 콘텐츠하자 등에 의한 이용자피해보상의 기준·범위·방법 및 절차에 관한 사항을 디지털콘텐츠이용자보호지침에 따라 처리합니다. 
제32조(면책조항)
① "회사"는 천재지변 또는 이에 준하는 불가항력으로 인하여 "콘텐츠"를 제공할 수 없는 경우에는 "콘텐츠" 제공에 관한 책임이 면제됩니다.
② "회사"는 "이용자"의 귀책사유로 인한 콘텐츠이용의 장애에 대하여는 책임을 지지 않습니다.
③ "회사"는 "회원"이 "콘텐츠"와 관련하여 게재한 정보, 자료, 사실의 신뢰도, 정확성 등의 내용에 관하여는 책임을 지지 않습니다.
④ "회사"는 "이용자" 상호간 또는 "이용자"와 제3자 간에 "콘텐츠"를 매개로 하여 발생한 분쟁 등에 대하여 책임을 지지 않습니다. 
제33조(분쟁의 해결)
"회사"는 분쟁이 발생하였을 경우에 "이용자"가 제기하는 정당한 의견이나 불만을 반영하여 적절하고 신속한 조치를 취합니다. 다만, 신속한 처리가 곤란한 경우에 "회사"는 "이용자"에게 그 사유와 처리일정을 통보합니다.

Chapter 1 General Provisions
Article 1 (Purpose)
The purpose of these Terms and Conditions is to stipulate the rights, obligations and responsibilities between the Company and users in relation to the use of digital content (hereinafter referred to as "Content") and various services provided online by the Company.
Article 2 (Definition) 
The definitions of terms used in these Terms and Conditions are as follows.
1. "Company" refers to a person who engages in economic activities related to the "content" industry and provides content and related services.
2. "User" refers to members and non-members who access the "Company" site and use the "Content" and various services provided by the "Company" in accordance with these Terms and Conditions.
3. "Member" refers to a "user" who has entered into a service agreement with the "Company" and has been given a "User" ID, who continuously receives information from the "Company" and can continuously use the services provided by the "Company."
4. "Non-member" refers to a person who is not a "member" but uses the services provided by the "Company."
5. "Content" refers to data or information expressed in codes, letters, voices, sounds, images or videos used in information and communications networks pursuant to the provisions of Article 2, Paragraph 1, Item 1 of the Act on Promotion of Information and Communications Network Utilization and Information Protection, etc., and is produced or processed in electronic form to increase the utility in preservation and use.
6. "ID" refers to a combination of letters or numbers determined by the "Member" and approved by the "Company" for the purpose of identifying the "Member" and using the service.
7. "PASSWORD" refers to a combination of letters or numbers determined by the "member" to confirm that the "member" matches the "ID" given to the "member" and to protect confidentiality. 
Article 3 (Provision of identity information, etc.)
The "Company" posts the contents of these terms and conditions, company name, name of representative, address of business location (including address of place where consumer complaints can be handled), phone number, facsimile number, e-mail address, business registration number, mail-order business report number, personal information manager, etc. on the initial screen of the online service so that users can easily see them. However, the terms and conditions can be viewed by users through the connection screen. 
Article 4 (Posting of Terms and Conditions, etc.)
① The "Company" takes technical measures to ensure that "Members" can print these Terms and Conditions in their entirety and check the contents of these Terms and Conditions during the transaction process.
② The "Company" installs technical devices to enable "Users" to ask and respond to questions regarding the "Company" and the contents of these Terms and Conditions.
③ Before the "User" agrees to the Terms and Conditions, the "Company" seeks confirmation from the "User" by providing a separate connection screen or pop-up screen so that the User can easily understand important contents such as subscription withdrawal and refund conditions among the contents stipulated in the Terms and Conditions. 
Article 5 (Revision of Terms and Conditions, etc.)
① The "Company" may revise these Terms and Conditions to the extent that they do not violate relevant laws, such as the Online Digital Content Industry Development Act, the Act on Consumer Protection in Electronic Commerce, etc., and the Act on the Regulation of Terms and Conditions.
② When the "Company" revises the Terms and Conditions, it specifies the date of application and the reason for revision and announces them on the service initial screen along with the current Terms and Conditions from 7 days before the date of application for a considerable period of time after the date of application, and sends the revised Terms and Conditions to existing members via e-mail address.
③ When the "Company" revises the Terms and Conditions, it confirms whether the "User" agrees to the application of the revised Terms and Conditions after announcing the revised Terms and Conditions. If the "User" does not agree to the application of the revised terms and conditions, the "Company" or "User" may terminate the content use agreement. At this time, the "Company" will compensate for the damages suffered by the "User" due to termination of the contract. 
Article 6 (Interpretation of Terms and Conditions)
Matters not specified in these Terms and Conditions and the interpretation of these Terms and Conditions shall be subject to the Online Digital Content Industry Development Act, the Act on Consumer Protection in Electronic Commerce, etc., the Act on the Regulation of Terms and Conditions, the Digital Content User Protection Guidelines established by the Minister of Culture, Sports and Tourism, and other related laws and regulations or commercial practices. 
Chapter 2 Membership Registration
Article 7 (Membership Registration)
① Membership registration is concluded when the "User" agrees to the terms and conditions and applies for membership and the "Company" approves the application.
② The following information must be entered in the membership application form. Matters 1 to 3 are required, and other matters are optional.
1. Name and resident registration number of the "member" or personal identification number on the Internet
2. "ID" and "Password"
3. Email address
4. Type of "content" you want to use
5. Other matters deemed necessary by the "Company"
③ In principle, the "Company" approves the membership application for the above-mentioned "User". However, the "Company" may not approve applications that fall under any of the following items.
1. If the applicant has previously lost membership in accordance with these Terms and Conditions
2. If it is not your real name or someone else's name is used
3. If false information is provided or information provided by the company is not provided.
4. If approval is not possible due to reasons attributable to the user or the application is made in violation of all other stipulated matters.
④ The "Company" may withhold approval if there is no room for service-related facilities or if there are technical or business problems.
⑤ If the membership application is not approved or is postponed pursuant to paragraphs 3 and 4, the "Company" must notify the applicant. An exception is made in cases where the applicant cannot be notified due to reasons not attributable to the "Company." ⑥ The membership contract is established when the approval of the "Company" reaches the "User". 
Article 8 (Special rules regarding membership of minors)
① "Users" under the age of 14 must fully understand the purpose of collection and use of personal information and obtain consent from their parents or other legal representatives before applying for membership and providing their personal information.
② The company cancels or disallows membership for users under the age of 14 who have not gone through the confirmation process for consent from their parents or other legal representatives.
③ Legal representatives, such as parents, of "users" under the age of 14 may request to view, correct, or update the child's personal information or withdraw consent to membership, and in such cases, the "Company" must take necessary measures without delay. 
Article 9 (Change of member information)
① "Members" can view and modify their personal information at any time through the personal information management screen.
② If there are any changes to the information provided when applying for membership, the "Member" must make changes online or notify the "Company" of the changes by e-mail or other means.
③ The "Company" is not responsible for any disadvantages arising from failure to notify the "Company" of changes in Paragraph 2. 
Article 10 (Obligation to manage "Member's" "ID" and "Password")
① Responsibility for managing the "Member's" "ID" and "Password" lies with the "Member" and must not be allowed to be used by a third party.
② If a "member" becomes aware that their "ID" and "password" have been stolen or are being used by a third party, they must immediately notify the "Company" and follow the "Company's" instructions.
③ In the case of paragraph 2, the "Company" is not responsible for any disadvantages arising from the "Member" not notifying the fact to the "Company" or not following the instructions of the "Company" even if notified. 
Article 11 (Notice to "Members")
① When the "Company" notifies the "Member," it may do so to the e-mail address designated by the "Member."
② In the case of notification to all "members," the "Company" may replace the notice in Paragraph 1 by posting the notice on the "Company" bulletin board for more than 7 days. However, for matters that have a significant impact on the "Member's" transactions, notification is provided in accordance with Paragraph 1. 
Article 12 (Withdrawal of membership, loss of qualification, etc.)
① "Members" may request withdrawal from the "Company" at any time, and the "Company" will immediately process membership withdrawal.
② If a "member" falls under any of the following reasons, the "Company" may restrict or suspend membership.
1. If false information is registered when applying for membership
2. When the "Company" service fee or other debts borne by the member related to the "Company" service use are not paid on the due date.
3. In case of threatening the order of e-commerce, such as interfering with other people's use of the "Company" services or stealing information.
4. When using the "Company" to commit an act prohibited by the law or these Terms and Conditions or contrary to public order and morals.
③ After the "Company" restricts or suspends membership, if the same act is repeated more than twice or the reason is not corrected within 30 days, the "Company" may revoke membership.
④ If the "Company" revokes membership, membership registration will be canceled. In this case, the "member" will be notified of this and given an opportunity to explain at least 30 days before cancellation of membership registration. 
Chapter 3 Content Use Agreement
Article 13 (Posting of "contents", etc.)
① The "Company" displays the following information on the initial screen of the "Content" or its packaging so that the "User" can easily understand it.
1. Name or title of "Content"
2. Date of production and display of "Content"
3. Name (if a corporation, the name of the corporation), address, and phone number of the "content" creator.
4. "Content" contents, method of use, usage fee and other terms of use
② The "Company" provides "Users" with information regarding devices available for each "Content" and the minimum technical specifications required for use during the contract conclusion process. 
Article 14 (Establishment of service agreement, etc.)
① "Users" apply for use through the following or similar procedures provided by the "Company." Before concluding a contract, the "Company" provides information regarding each item so that the "User" can accurately understand and transact without mistakes or mistakes.
1. Browse and select the "Content" list
2. Enter your name, address, phone number (or mobile phone number), e-mail address, etc.
3. Confirmation of the contents of the terms and conditions and the actions taken by the "Company" regarding "contents" for which cancellation of subscription is not possible.
4. Indication of agreement to these terms and conditions and confirmation or rejection of the matters in item 3 above (e.g., mouse click)
5. Confirmation of application for use of "content" or consent to confirmation by "Company"
6. Selection of payment method
② The "Company" may not approve or withhold approval if the "User"'s application for use falls under any of the following items.
1. If it is not your real name or someone else's name is used
2. If false information is provided or information provided by the "Company" is not provided.
3. When a minor wishes to use "content" that is prohibited under the Youth Protection Act.
4. If there is no room for service-related facilities or there are technical or business problems.
③ The contract is deemed to have been established when the "Company's" approval reaches the "User" in the form of a receipt confirmation notice under Article 16, Paragraph 1.
④ The "Company's" expression of intent includes confirmation of the "User's" application for use, availability of services, and information on correction/cancellation of the application for use. 
Article 15 (Special rules regarding use contracts for minors)
If a minor user under the age of 20 wishes to use a paid service, the "Company" takes steps to notify the minor user or his/her legal representative before concluding the contract that the consent of his or her legal representative, such as a parent, may be canceled if the minor user or his/her legal representative does not obtain ratification after conclusion of the contract. 
Article 16 (Reception confirmation notification, change and cancellation of application for use)
① If a "User" submits an application for use, the "Company" will notify the "User" of receipt.
② If there is a discrepancy in the expression of intent, etc., the "User" who has received the receipt confirmation notice may request change or cancellation of the application for use immediately after receiving the receipt confirmation notice, and if there is a request from the "User" before service provision, the "Company" must process the request without delay. However, if the payment has already been made, the provisions of Article 27 regarding cancellation of subscription, etc. shall apply. 
Article 17 (Obligations of "Company")
① The "Company" must faithfully exercise the rights and fulfill the obligations stipulated by the law and these Terms and Conditions in good faith.
② The "Company" must have a security system to protect personal information (including credit information) so that "Users" can use "Content" safely, and shall disclose and comply with the personal information protection policy.
③ The "Company" takes measures to ensure that "Users" can check the content usage and payment details at any time.
④ If the "Company" deems that opinions or complaints raised by "users" in relation to the use of content are justified, it will process them without delay. Regarding opinions or complaints raised by users, the processing process and results are communicated through the bulletin board or e-mail.
⑤ The "Company" compensates for damages suffered by the "User" due to violation of obligations set forth in these Terms and Conditions. 
Article 18 (Obligations of "User")
① "Users" must not engage in the following acts.
1. Entering false information when applying or changing
2. Stealing other people's information
3. Changes to information posted on "Company"
4. Transmission or posting of information (computer programs, etc.) prohibited by the "Company"
5. Infringement of intellectual property rights, such as copyrights, of the "Company" and other third parties.
6. Actions that damage the reputation of the "Company" and other third parties or interfere with their work.
7. Disclosing or posting obscene or violent words, writings, images, sounds, or other information that is against public order and morals on the "Company" site.
8. Other illegal or unfair actions
② "Users" must comply with relevant laws and regulations, the provisions of these Terms and Conditions, instructions for use, notices announced in relation to "Contents," matters notified by the "Company," etc., and must not engage in any other actions that interfere with the business of the "Company." 
Article 19 (Payment Method)
Payment for the use of "Contents" can be made by any of the following methods. However, the "Company" does not collect any additional fees for the "User's" payment method.
1. Various account transfers such as phone banking, internet banking, and email banking
2. Various card payments such as prepaid cards, debit cards, credit cards, etc.
3. Online bank transfer
4. Payment by electronic money
5. Payment based on points paid by the "Company," such as mileage
6. Payment by gift certificate entered into a contract with the "Company" or recognized by the "Company"
7. Payment using phone or mobile phone
8. Payment by other electronic payment methods, etc. 
Article 20 (Provision and suspension of content services)
① In principle, content services are provided 24 hours a day, 365 days a year.
② The "Company" may temporarily suspend the provision of content services in the event of maintenance inspection, replacement or breakdown of information and communication equipment such as computers, communication interruption, or significant operational reasons. In this case, the "Company" will notify the "User" in the manner specified in Article 11 [Notice to "Members"]. However, if there are unavoidable reasons why the "Company" cannot notify in advance, notification may be made after the fact.
③ The "Company" compensates for damages suffered by the "User" due to temporary suspension of the provision of content services without any reasonable cause. However, this does not apply if the "Company" proves that there was no intention or negligence.
④ The "Company" may conduct regular inspections when necessary for the provision of content services, and the regular inspection time is as announced on the service provision screen.
⑤ In the event that content services cannot be provided due to reasons such as conversion of business type, abandonment of business, or integration between companies, the "Company" will notify the "User" in the manner prescribed in Article 11 [Notice to "Members"] and compensate the "User" according to the conditions originally presented by the "Company." However, if the "Company" does not notify the compensation standards, etc., or if the notified compensation standards are not appropriate, the mileage or accumulated points, etc. of the "Users" will be paid to the "Users" in kind or in cash.
Article 21 (Changes in Content Services)
① If there is a reasonable reason, the "Company" may change the content service it provides according to operational and technical needs.
② When the "Company" changes the content, method of use, or usage time of the content service, it posts the reason for the change, the content of the content service to be changed, the date of provision, etc. on the initial screen of the content for at least 7 days prior to the change.
③ In the case of Paragraph 2, if the changed content is significant or unfavorable to the "User", the "Company" will notify the "User" who receives the relevant content service in the manner prescribed in Article 11 [Notice to "Members"] and obtain consent. At this time, the "Company" provides the service before the change to the "User" who refuses consent. However, if it is impossible to provide such services, the contract may be terminated.
④ The "Company" shall change the service pursuant to Paragraph 1 and pursuant to Paragraph 3. Damage suffered by the "User" due to termination of the contract will be compensated.
Article 22 (Provision of information and posting of advertisements)
① The "Company" may provide "Members" with various information deemed necessary by "Users" while using the content through notices, e-mail, etc. However, "members" may refuse to receive the service at any time via e-mail, etc.
② If the information in Paragraph 1 is to be transmitted by phone or facsimile transmission device, the information shall be transmitted with the prior consent of the "member."
③ The "Company" may place advertisements on content screens, homepages, e-mails, etc. in relation to the provision of "content" services. "Members" who have received e-mails with advertisements can tell the "Company" to refuse to receive them. 
Article 23 (Deletion of posts)
① If any material harmful to youth that violates the Act on Promotion of Information and Communications Network Utilization and Information Protection, etc. is posted on the bulletin board, the "Company" will delete it without delay. However, an exception is made for bulletin boards that can only be used by "users" who are 19 years of age or older.
② Any person whose legal interests have been infringed by information posted on bulletin boards operated by the "Company" may request the "Company" to delete the information or post a rebuttal. In this case, the "Company" will take necessary measures without delay and immediately notify the applicant.
Article 24 (Attribution of copyright, etc.)
① Copyrights and other intellectual property rights for works created by the "Company" belong to the "Company."
② Among the services provided by the "Company," copyrights and other intellectual property rights for works provided under an affiliate agreement belong to the relevant provider.
③ "Users" must not use, or allow a third party to use, information obtained by using the services provided by the "Company" for commercial purposes by copying, transmitting, publishing, distributing, broadcasting or other methods without the prior consent of the "Company" or the provider, information whose intellectual property rights belong to the "Company" or the provider.
④ When the "Company" uses the copyrighted work of a "User" in accordance with the agreement, it obtains permission from the "User" in question. 
Article 25 (Personal Information Protection)
① The "Company" may collect the minimum information necessary for the "User" to use the content in addition to the application information in Article 7, Paragraph 2. For this purpose, the "User" must faithfully notify the truth regarding matters inquired by the "Company."
② When the "Company" collects "personal information" that can personally identify a "User," it obtains the consent of the "User."
③ The "Company" cannot use the information provided by the "User" in the application for use, etc. and the information collected pursuant to Paragraph 1 for purposes other than the purpose or provide it to a third party without the consent of the "User". In case of violation, the "Company" assumes all responsibility. However, exceptions are made in the following cases.
1. When information is provided in a form that does not identify a specific individual as necessary for statistical compilation, academic research, or market research
2. When necessary to settle fees for providing "content"
3. When identity verification is necessary to prevent theft
4. When there is an unavoidable reason necessary according to the provisions of the Terms and Conditions or the law.
④ In cases where the "Company" must obtain the consent of the "user" pursuant to paragraphs 2 and 3, the identity of the person responsible for managing "personal information" (affiliation, name, phone number and other contact information), the purpose of collection and use of information, matters related to the provision of information to third parties (recipient of information, purpose of provision and content of information to be provided), etc., Article 22 of the Act on Promotion of Information and Communications Network Utilization and Information Protection, etc. The matters stipulated in Paragraph 2 must be specified and notified.
⑤ "Users" may withdraw their consent under Paragraph 3 at any time.
⑥ "Users" may request to view and correct errors in their "personal information" held by the "Company" at any time, and the "Company" has the obligation to take necessary measures without delay. If the "User" requests correction of an error, the "Company" will not use the "Personal Information" until the error is corrected.
⑦ In order to protect personal information, the "Company" limits the number of administrators and minimizes the number, and is responsible for any damages suffered by the "User" due to loss, theft, leakage, alteration, etc. of the "User's" "Personal Information," including credit cards, bank accounts, etc.
⑧ The "Company" or anyone who has received "personal information" from it may use the "personal information" within the scope agreed upon by the "user," and when the purpose has been achieved, the "personal information" is destroyed without delay.
⑨ The "Company" strives to protect the "personal information" of "users" in accordance with relevant laws and regulations, such as the Act on Promotion of Information and Communications Network Utilization and Information Protection. The protection and use of "personal information" is subject to relevant laws and the "Company's" personal information protection policy. 
Chapter 4 Withdrawal of subscription, contract cancellation/termination, and restriction of use of content use agreement
Article 26 (Withdrawal of subscription by "User" and cancellation/termination of contract)
① "Users" who have entered into a contract with the "Company" regarding the use of "Contents" may withdraw their subscription within 7 days from the date of receiving the confirmation of receipt. However, if the "Company" takes one of the following actions, the "User's" right to cancel the subscription may be restricted.
1. When the information regarding "content" that cannot be withdrawn from subscription is included in the information
2. When a trial product is provided
3. When temporary or partial use is provided.
② If any of the following reasons exist, the "User" may cancel or terminate the Content Use Agreement within 3 months from the date the "Content" was supplied or within 30 days from the date the fact was known or could have been known.
1. When the "content" agreed upon in the service agreement is not provided
2. If the "content" provided is different or significantly different from display, advertisement, etc.
3. When normal use is significantly impossible due to other defects in the "Content"
③ Withdrawal of subscription under Paragraph 1 and cancellation/termination of contract under Paragraph 2 become effective when the "User" expresses his/her intention to the "Company" by phone, e-mail or facsimile.
④ After receiving the "User"'s intention to withdraw subscription or cancel or terminate the contract pursuant to Paragraph 3, the "Company" will reply to the "User" without delay.
⑤ "Users" may request complete "contents" or cure of defects in service use within a reasonable period of time before expressing their intention to cancel or terminate the contract for the reasons set forth in paragraph 2. 
Article 27 (Effect of withdrawal of subscription by "user" and cancellation/termination of contract)
① The "Company" must refund the amount using the same method as the payment within 3 business days from the date the "User" expressed his/her intention to withdraw the contract or from the date the "User" responded to the "User's" expression of intention to cancel or terminate the contract. If a refund is not possible through the same method, the "Company" must notify the user in advance. In this case, when the "Company" delays refund to the "User," the delay interest calculated by multiplying the delay period by the delay interest rate determined and announced by the Fair Trade Commission will be paid.
② When the "Company" makes a refund in accordance with Paragraph 1, the "User" may deduct the amount equivalent to the profit obtained from the use of the service and make the refund.
③ In refunding the above amount, if the "User" has paid for the goods, etc. using a payment method such as a credit card or electronic money, the "Company" will request the business operator who provided the payment method to suspend or cancel the billing for the goods, etc. without delay. However, this may not apply if the amount deduction under Paragraph 2 is necessary.
④ In cases where the "Company," "the person who received payment for content, etc.," or "the person who entered into a content use agreement with the user" are not the same person, each person is jointly and severally liable for the performance of obligations related to payment refund due to cancellation of subscription or cancellation or termination of contract.
⑤ The "Company" will not claim a penalty or compensation for damages from the "User" due to cancellation of subscription. However, this does not affect the "User's" claim for compensation for cancellation or termination of the contract. 
Article 28 (Company's contract cancellation/termination and use restrictions)
① If a "User" commits an act stipulated in Article 12, Paragraph 2, the "Company" may cancel or terminate the contract without prior notice or restrict the use of the service for a set period of time.
② Cancellation/termination under Paragraph 1 takes effect when the "Company" expresses its intention to the "User" in accordance with the notification method determined by the "Company."
③ Cancellation/termination and use restrictions of the "Company" "Users" may file an objection in accordance with the procedures set by the "Company." At this time, if the "Company" acknowledges that the objection is justified, the "Company" will immediately resume use of the service. 
Article 29 (Effect of company contract cancellation/termination)
Article 27 applies mutatis mutandis to the effect of cancellation or termination of the service agreement due to reasons attributable to the "user." However, the "Company" will refund the amount in the same manner as the payment within 7 business days from the date of the "User's" expression of intention to cancel or terminate the contract. 
Chapter 5 Overpayment, compensation for damages, etc.
Article 30 (Overpayment)
① If an overpayment occurs, the "Company" must refund the entire overpayment amount using the same method as payment of the usage fee. However, if a refund is not possible through the same method, we will notify you in advance.
② If an overpayment occurs due to a reason attributable to the "Company," the "Company" will refund the entire overpayment amount regardless of contract costs, commissions, etc. However, if an overpayment occurs due to a reason attributable to the "User", the costs incurred by the "Company" to refund the overpayment must be borne by the "User" within a reasonable range.
③ If the company refuses to refund the overpayment claimed by the "user," it is responsible for proving that the usage fee was properly charged.
④ The "Company" handles refund procedures for overpayments in accordance with the Digital Content User Protection Guidelines. 
Article 31 (Compensation for user damage due to content defects, etc.)
The "Company" handles matters related to the standards, scope, methods and procedures of compensation for user damage caused by content defects, etc. in accordance with the Digital Content User Protection Guidelines. 
Article 32 (Disclaimer)
① If the "Company" is unable to provide the "Content" due to a natural disaster or other force majeure, the "Company" is exempted from liability for the provision of the "Content."
② The "Company" is not responsible for any disruption in the use of content due to reasons attributable to the "User."
③ The "Company" is not responsible for the reliability and accuracy of information, data, and facts posted by "Members" in relation to "Content."
④ The "Company" is not responsible for disputes that arise between "Users" or between "Users" and third parties through "Contents." 
Article 33 (Resolution of disputes)
If a dispute arises, the "Company" takes appropriate and prompt action by reflecting the legitimate opinions or complaints raised by the "User." However, in cases where prompt processing is difficult, the "Company" will notify the "User" of the reason and processing schedule.

개인정보보호방침

제1장 총칙
제1조(목적)
이 지침은 「개인정보 보호법」(이하 "법"이라 한다) 제12조제1항에 따른 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정함을 목적으로 한다.
제2조(용어의 정의)
이 지침에서 사용하는 용어의 뜻은 다음과 같다.
1. "개인정보 처리"란 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
2. "개인정보처리자"란 업무를 목적으로 법 제2조제4호에 따른 개인정보파일을 운용하기 위하여 개인정보를 처리하는 모든 공공기관, 영리목적의 사업자, 협회·동창회 등 비영리기관·단체, 개인 등을 말한다.
3. "공공기관"이란 법 제2조제6호 및 「개인정보 보호법 시행령」(이하 "영"이라 한다) 제2조에 따른 기관을 말한다.
4. "친목단체"란 학교, 지역, 기업, 인터넷 커뮤니티 등을 단위로 구성되는 것으로서 자원봉사, 취미, 정치, 종교 등 공통의 관심사나 목표를 가진 사람간의 친목도모를 위한 각종 동창회, 동호회, 향우회, 반상회 및 동아리 등의 모임을 말한다.
5. "개인정보 보호책임자"란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항에 해당하는 자를 말한다.
6. "개인정보취급자"란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.
7. "개인정보처리시스템"이란 데이터베이스 시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 응용시스템을 말한다.
8. "영상정보처리기기"란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 일체의 장치로서 영 제3조에 따른 폐쇄회로 텔레비전 및 네트워크 카메라를 말한다.
9. "개인영상정보"란 영상정보처리기기에 의하여 촬영·처리되는 영상정보 중 개인의 초상, 행동 등과 관련된 영상으로서 해당 개인을 식별할 수 있는 정보를 말한다.
10. "영상정보처리기기운영자"란 법 제25조제1항 각 호에 따라 영상정보처리기기를 설치·운영하는 자를 말한다.
11. "공개된 장소"란 공원, 도로, 지하철, 상가 내부, 주차장 등 불특정 또는 다수가 접근하거나 통행하는 데에 제한을 받지 아니하는 장소를 말한다. 
제3조(적용범위)
이 지침은 전자적 파일과 인쇄물, 서면 등 모든 형태의 개인정보파일을 운용하는 개인정보처리자에게 적용된다.
제4조(개인정보 보호 원칙)
① 개인정보처리자는 개인정보 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성과 최신성을 유지하도록 하여야 하고, 개인정보를 처리하는 과정에서 고의 또는 과실로 부당하게 변경 또는 훼손되지 않도록 하여야 한다.
④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 그에 상응하는 적절한 관리적·기술적 및 물리적 보호조치를 통하여 개인정보를 안전하게 관리하여야 한다.
⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리가 보장될 수 있도록 합리적인 절차와 방법 등을 마련하여야 한다.
⑥ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적법하게 개인정보를 처리하는 경우에도 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
⑦ 개인정보처리자는 개인정보를 적법하게 수집한 경우에도 익명에 의하여 업무 목적을 달성할 수 있으면 개인정보를 익명에 의하여 처리될 수 있도록 하여야 한다.
⑧ 개인정보처리자는 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다. 
제5조(다른 지침과의 관계)
중앙행정기관의 장이 소관 분야의 개인정보 처리와 관련한 개인정보 보호지침을 정하는 경우에는 이 지침에 부합되도록 하여야 한다.
제2장 개인정보 처리 기준
제1절 개인정보의 처리
제6조(개인정보의 수집·이용)
① 개인정보의 "수집"이란 정보주체로부터 직접 이름, 주소, 전화번호 등의 개인정보를 제공받는 것뿐만 아니라 정보주체에 관한 모든 형태의 개인정보를 취득하는 것을 말한다.
② 개인정보처리자는 다음 각 호의 경우에 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체로부터 사전에 동의를 받은 경우
2. 법률에서 개인정보를 수집·이용할 수 있음을 구체적으로 명시하거나 허용하고 있는 경우
3. 법령에서 개인정보처리자에게 구체적인 의무를 부과하고 있고, 개인정보처리자가 개인정보를 수집·이용하지 않고는 그 의무를 이행하는 것이 불가능하거나 현저히 곤란한 경우
4. 공공기관이 개인정보를 수집·이용하지 않고는 법령 등에서 정한 소관 업무를 수행하는 것이 불가능하거나 현저히 곤란한 경우
5. 개인정보를 수집·이용하지 않고는 정보주체와 계약을 체결하고, 체결된 계약의 내용에 따른 의무를 이행하는 것이 불가능하거나 현저히 곤란한 경우
6. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자(정보주체를 제외한 그 밖의 모든 자를 말한다)의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
7. 개인정보처리자가 법령 또는 정보주체와의 계약 등에 따른 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 다만, 이 경우 개인정보의 수집·이용은 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니한 경우에 한한다.
③ 개인정보처리자는 정보주체로부터 직접 명함 또는 그와 유사한 매체(이하 "명함등"이라 함)를 제공받음으로써 개인정보를 수집하는 경우 명함등을 제공하는 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다.
④ 개인정보처리자는 인터넷 홈페이지 등 공개된 매체 또는 장소(이하 "인터넷 홈페이지등"이라 함)에서 개인정보를 수집하는 경우 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지등의 표시 내용에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다.
⑤ 개인정보처리자는 계약 등의 상대방인 정보주체가 대리인을 통하여 법률행위 또는 의사표시를 하는 경우 대리인의 대리권 확인을 위한 목적으로만 대리인의 개인정보를 수집·이용할 수 있다.
⑥ 근로자와 사용자가 근로계약을 체결하는 경우 「근로기준법」에 따른 임금지급, 교육, 증명서 발급, 근로자 복지제공을 위하여 근로자의 동의 없이 개인정보를 수집·이용할 수 있다. 
제7조(개인정보의 제공)
① 개인정보의 "제공"이란 개인정보의 저장 매체나 개인정보가 담긴 출력물·책자 등을 물리적으로 이전하거나 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제3자의 접근권한 부여, 개인정보처리자와 제3자의 개인정보 공유 등 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위를 말한다.
② 법 제17조의 "제3자"란 정보주체와 정보주체에 관한 개인정보를 수집·보유하고 있는 개인정보처리자를 제외한 모든 자를 의미하며, 정보주체의 대리인(명백히 대리의 범위 내에 있는 것에 한한다)과 법 제26조제2항에 따른 수탁자는 제외한다(이하 같다).
③ 개인정보처리자가 법 제17조제2항제1호에 따라 정보주체에게 개인정보를 제공받는 자를 알리는 경우에는 그 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처를 함께 알려야 한다. 
제8조(개인정보의 목적 외 이용·제공)
① 개인정보처리자가 법 제18조제2항에 따라 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 이용 기간, 이용 형태 등을 제한하거나, 개인정보의 안전성 확보를 위하여 필요한 구체적인 조치를 마련하도록 문서(전자문서를 포함한다. 이하 같다)로 요청하여야 한다. 이 경우 요청을 받은 자는 그에 따른 조치를 취하고 그 사실을 개인정보를 제공한 개인정보처리자에게 문서로 알려야 한다.
② 법 제18조제2항에 따라 개인정보를 목적 외의 용도로 제3자에게 제공하는 자는 해당 개인정보를 제공받는 자와 개인정보의 안전성 확보 조치에 관한 책임관계를 명확히 하여야 한다.
③ 개인정보처리자가 법 제18조제3항제1호에 따라 정보주체에게 개인정보를 제공받는 자를 알리는 경우에는 그 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처를 함께 알려야 한다.
④ 개인정보처리자가 법 제18조제2항제4호에 따라 개인정보를 제3자에게 제공하는 경우에는 다른 정보와 결합하여서도 특정 개인을 알아볼 수 없는 형태로 제공하여야 한다. 
제9조(개인정보 수집 출처 등 고지)
① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 법 제20조제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니 하다.
1. 고지를 요구하는 대상이 되는 개인정보가 법 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우
2. 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
② 개인정보처리자는 제1항 단서에 따라 제1항 전문에 따른 정보주체의 요구를 거부하는 경우에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 그 거부의 근거와 사유를 정보주체에게 알려야 한다. 
제10조(개인정보의 파기방법 및 절차)
① 개인정보처리자는 개인정보의 보유 기간이 경과하거나 개인정보의 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 그로부터 5일 이내에 그 개인정보를 파기하여야 한다.
② 영 제16조제1항제1호의 ‘복원이 불가능한 방법’이란 현재의 기술수준에서 사회통념상 적정한 비용으로 파기한 개인정보의 복원이 불가능하도록 조치하는 방법을 말한다.
③ 개인정보처리자는 개인정보의 파기에 관한 사항을 기록·관리하여야 한다.
④ 개인정보 보호책임자는 개인정보 파기 시행 후 파기 결과를 확인하여야 한다.
⑤ 개인정보처리자 중 공공기관의 개인정보파일 파기에 관하여는 제55조 및 제56조를 적용한다. 
제11조(법령에 따른 개인정보의 보존)
① 개인정보처리자가 법 제21조제1항 단서에 따라 법령에 근거하여 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 물리적 또는 기술적 방법으로 분리하여서 저장·관리하여야 한다.
② 제1항에 따라 개인정보를 분리하여 저장·관리하는 경우에는 개인정보 처리방침 등을 통하여 법령에 근거하여 해당 개인정보 또는 개인정보파일을 저장·관리한다는 점을 정보주체가 알 수 있도록 하여야 한다. 
제12조(동의를 받는 방법)
① 개인정보처리자가 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 하며, 정보주체의 동의는 동의가 필요한 개인정보에 한한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다.
② 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 법 제18조제3항 각 호의 사항을 알리고 동의를 받아야 한다.
1. 개인정보를 수집·이용하고자 하는 경우로서 법 제15조제1항제2호 내지 제6호에 해당하지 않은 경우
2. 법 제18조제2항에 따라 개인정보를 수집 목적 외의 용도로 이용하거나 제공하고자 하는 경우
3. 법 제22조제3항에 해당하여 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하고자 하는 경우
4. 주민등록번호 외의 고유식별정보 처리가 필요한 경우로서 법령에 고유식별정보 처리 근거가 없는 경우
5. 민감정보를 처리하고자 하는 경우로서 법령에 민감정보 처리 근거가 없는 경우
③ 개인정보처리자는 제2항 각 호에 해당하여 개인정보를 처리하고자 하는 경우에는 정보주체에게 동의 또는 동의 거부를 선택할 수 있음을 명시적으로 알려야 한다.
④ 개인정보처리자는 법 제15조제1항제2호 내지 제6호에 따라 정보주체의 동의 없이 개인정보를 수집하는 경우에는 개인정보를 수집할 수 있는 법적 근거 등을 정보주체에게 알리기 위해 노력하여야 한다.
⑤ 개인정보처리자가 영 제17조제1항제2호의 규정에 따라 전화에 의한 동의와 관련하여 통화내용을 녹취할 때에는 녹취사실을 정보주체에게 알려야 한다.
⑥ 개인정보처리자가 친목단체를 운영하기 위하여 다음 각 호의 어느 하나에 해당하는 개인정보를 수집하는 경우에는 정보주체의 동의 없이 개인정보를 수집·이용할 수 있다.
1. 친목단체의 가입을 위한 성명, 연락처 및 친목단체의 회칙으로 정한 공통의 관심사나 목표와 관련된 인적 사항
2. 친목단체의 회비 등 친목유지를 위해 필요한 비용의 납부현황에 관한 사항
3. 친목단체의 활동에 대한 구성원의 참석여부 및 활동내용에 관한 사항
4. 기타 친목단체의 구성원 상호 간의 친교와 화합을 위해 구성원이 다른 구성원에게 알리기를 원하는 생일, 취향 및 가족의 애경사 등에 관한 사항
⑦ 개인정보처리자가 정보주체의 동의를 받기 위하여 동의서를 작성하는 경우에는 「개인정보 수집·제공 동의서 작성 가이드라인」을 준수하여야 한다. 
제13조(법정대리인의 동의)
① 영 제17조제3항에 따라 개인정보처리자가 법정대리인의 성명·연락처를 수집할 때에는 해당 아동에게 자신의 신분과 연락처, 법정대리인의 성명과 연락처를 수집하고자 하는 이유를 알려야 한다.
② 개인정보처리자는 법 제22조제5항에 따라 수집한 법정대리인의 개인정보를 법정대리인의 동의를 얻기 위한 목적으로만 이용하여야 하며, 법정대리인의 동의 거부가 있거나 법정대리인의 동의 의사가 확인되지 않는 경우 수집일로부터 5일 이내에 파기해야 한다. 
제14조(정보주체의 사전 동의를 받을 수 없는 경우)
개인정보처리자가 법 제15조제1항제5호 및 법 제18조제2항제3호에 따라 정보주체의 사전 동의 없이 개인정보를 수집·이용 또는 제공한 경우 당해 사유가 해소된 때에는 개인정보의 처리를 즉시 중단하여야 하며, 정보주체에게 사전 동의 없이 개인정보를 수집·이용 또는 제공한 사실과 그 사유 및 이용내역을 알려야 한다. 
제15조(개인정보취급자에 대한 감독)
① 개인정보처리자는 개인정보취급자를 업무상 필요한 한도 내에서 최소한으로 두어야 하며, 개인정보취급자의 개인정보 처리 범위를 업무상 필요한 한도 내에서 최소한으로 제한하여야 한다.
② 개인정보처리자는 개인정보 처리시스템에 대한 접근권한을 업무의 성격에 따라 당해 업무수행에 필요한 최소한의 범위로 업무담당자에게 차등 부여하고 접근권한을 관리하기 위한 조치를 취해야 한다.
③ 개인정보처리자는 개인정보취급자에게 보안서약서를 제출하도록 하는 등 적절한 관리·감독을 해야 하며, 인사이동 등에 따라 개인정보취급자의 업무가 변경되는 경우에는 개인정보에 대한 접근권한을 변경 또는 말소해야 한다. 
제2절 개인정보 처리의 위탁
제16조(수탁자의 선정 시 고려사항)
개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 "위탁자"라 한다)가 개인정보 처리 업무를 위탁받아 처리하는 자(이하 "수탁자"라 한다)를 선정할 때에는 인력과 물적 시설, 재정 부담능력, 기술 보유의 정도, 책임능력 등 개인정보 처리 및 보호 역량을 종합적으로 고려하여야 한다. 
제17조(개인정보 보호 조치의무)
수탁자는 위탁받은 개인정보를 보호하기 위하여 「개인정보의 안전성 확보조치 기준 고시」에 따른 관리적·기술적·물리적 조치를 하여야 한다. 
제3절 개인정보 처리방침 작성
제18조(개인정보 처리방침의 작성기준 등)
① 개인정보처리자가 개인정보 처리방침을 작성하는 때에는 법 제30조제1항 각 호 및 영 제31조제1항 각 호의 사항을 명시적으로 구분하되, 알기 쉬운 용어로 구체적이고 명확하게 표현하여야 한다.
② 개인정보처리자는 처리하는 개인정보가 개인정보의 처리 목적에 필요한 최소한이라는 점을 밝혀야 한다. 
제19조(개인정보 처리방침의 기재사항)
개인정보처리자가 개인정보 처리방침을 작성할 때에는 법 제30조제1항에 따라 다음 각 호의 사항을 모두 포함하여야 한다.
1. 개인정보의 처리 목적
2. 처리하는 개인정보의 항목
3. 개인정보의 처리 및 보유 기간
4. 개인정보의 제3자 제공에 관한 사항(해당하는 경우에만 정한다)
5. 개인정보의 파기에 관한 사항
6. 개인정보 처리 수탁자 담당자 연락처, 수탁자의 관리 현황 점검 결과 등 개인정보처리 위탁에 관한 사항(해당하는 경우에만 정한다)
7. 영 제30조제1항에 따른 개인정보의 안전성 확보조치에 관한 사항
8. 개인정보의 열람, 정정·삭제, 처리정지 요구권 등 정보주체의 권리·의무 및 그 행사방법에 관한 사항
9. 개인정보 처리방침의 변경에 관한 사항
10. 개인정보 보호책임자에 관한 사항
11. 개인정보의 열람청구를 접수·처리하는 부서
12. 정보주체의 권익침해에 대한 구제방법 
제20조(개인정보 처리방침의 공개)
① 개인정보처리자가 법 제30조제2항에 따라 개인정보 처리방침을 수립하는 경우에는 인터넷 홈페이지를 통해 지속적으로 게재하여야 하며, 이 경우 "개인정보 처리방침"이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.
② 개인정보처리자가 인터넷 홈페이지를 운영하지 않는 경우 또는 인터넷 홈페이지 관리상의 하자가 있는 경우에는 영 제31조제3항 각 호의 어느 하나 이상의 방법으로 개인정보 처리방침을 공개하여야 한다. 이 경우에도 "개인정보 처리방침"이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.
③ 개인정보처리자가 영 제31조제3항제3호의 방법으로 개인정보 처리방침을 공개하는 경우에는 간행물·소식지·홍보지·청구서 등이 발행될 때마다 계속하여 게재하여야 한다. 
제21조(개인정보 처리방침의 변경)
개인정보처리자가 개인정보 처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개하여야 하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개하여야 한다. 
제4절 개인정보 보호책임자
제22조(개인정보 보호책임자의 공개)
① 개인정보처리자가 개인정보 보호책임자를 지정하거나 변경하는 경우 개인정보 보호책임자의 지정 및 변경 사실, 성명과 부서의 명칭, 전화번호 등 연락처를 공개하여야 한다.
② 개인정보처리자는 개인정보 보호책임자를 공개하는 경우 개인정보 보호와 관련한 고충처리 및 상담을 실제로 처리할 수 있는 연락처를 공개하여야 한다. 이 경우 개인정보 보호책임자와 개인정보 보호 업무를 처리하는 담당자의 성명, 부서의 명칭, 전화번호 등 연락처를 함께 공개할 수 있다. 
제23조(개인정보 보호책임자의 교육)
영 제32조제3항에 따라 행정자치부장관이 개설 운영할 수 있는 개인정보 보호책임자에 대한 교육의 내용은 다음 각 호와 같다.
1. 개인정보 보호 관련 법령 및 제도의 내용
2. 법 제31조제2항 및 영 제32조제1항 각 호의 업무수행에 필요한 사항
3. 그 밖에 개인정보처리자의 개인정보 보호를 위하여 필요한 사항 
제24조(교육계획의 수립 및 시행)
① 행정자치부장관은 매년 초 당해 연도 개인정보 보호책임자 교육계획을 수립하여 시행한다.
② 행정자치부장관은 제1항의 교육계획에 따라 사단법인 한국개인정보보호협의회 등의 단체에 개인정보 보호책임자 교육을 실시하게 할 수 있다.
③ 행정자치부장관은 개인정보 보호책임자가 지리적·경제적 여건에 구애받지 않고 편리하게 교육을 받은 수 있는 여건 조성을 위해 노력하여야 한다. 
제5절 개인정보 유출 통지 및 신고 등
제25조(개인정보의 유출)
개인정보의 유출은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서 다음 각 호의 어느 하나에 해당하는 경우를 말한다. 
1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우
4. 기타 권한이 없는 자에게 개인정보가 전달된 경우 
제26조(유출 통지시기 및 항목)
① 개인정보처리자는 개인정보가 유출되었음을 알게 된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각 호의 사항을 알려야 한다. 다만 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 그로부터 5일 이내에 정보주체에게 알릴 수 있다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 개인정보처리자는 제1항 각 호의 사항을 모두 확인하기 어려운 경우에는 정보주체에게 다음 각 호의 사실만을 우선 알리고, 추후 확인되는 즉시 알릴 수 있다.
1. 정보주체에게 유출이 발생한 사실
2. 제1항의 통지항목 중 확인된 사항
③ 개인정보처리자는 개인정보 유출 사고를 인지하지 못해 유출 사고가 발생한 시점으로부터 5일 이내에 해당 정보주체에게 개인정보 유출 통지를 하지 아니한 경우에는 실제 유출 사고를 알게 된 시점을 입증하여야 한다. 
제27조(유출 통지방법)
① 개인정보처리자는 정보주체에게 제26조제1항 각 호의 사항을 통지할 때에는 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통하여 지체 없이 정보주체에게 알려야 한다.
② 개인정보처리자는 제1항의 통지방법과 동시에, 홈페이지 등을 통하여 제26조제1항 각 호의 사항을 공개할 수 있다. 
제28조(개인정보 유출신고 등)
① 개인정보처리자는 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 조치결과를 5일 이내에 행정자치부장관 또는 영 제39조제2항의 전문기관에게 신고하여야 한다.
② 제1항에 따른 신고는 별지 제1호서식에 따른 개인정보 유출신고서를 통하여 하여야 한다.
③ 개인정보처리자는 전자우편, 팩스 또는 영 제39조제2항에 따른 전문기관의 인터넷 사이트를 통하여 유출신고를 할 시간적 여유가 없거나 그밖에 특별한 사정이 있는 때에는 먼저 전화를 통하여 제26조제1항의 사항을 신고한 후, 별지 제1호서식에 따른 개인정보 유출신고서를 제출할 수 있다.
④ 개인정보처리자는 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 제26조제1항에 따른 통지와 함께 인터넷 홈페이지 등에 정보주체가 알아보기 쉽도록 제26조제1항 각 호의 사항을 7일 이상 게재하여야 한다. 
제29조(개인정보 유출 사고 대응 매뉴얼 등)
① 다음 각 호의 어느 하나에 해당하는 개인정보처리자는 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 「개인정보 유출 사고 대응 매뉴얼」을 마련하여야 한다.
1. 법 제2조제6호에 따른 공공기관
2. 그 밖에 1만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리자
② 제1항에 따른 개인정보 유출 사고 대응 매뉴얼에는 유출 통지·조회 절차, 영업점·인터넷회선 확충 등 고객 민원 대응조치, 현장 혼잡 최소화 조치, 고객불안 해소조치, 피해자 구제조치 등을 포함하여야 한다.
③ 개인정보처리자는 개인정보 유출에 따른 피해복구 조치 등을 수행함에 있어 정보주체의 불편과 경제적 부담을 최소화할 수 있도록 노력하여야 한다. 
제30조(개인정보 침해 사실의 신고 처리 등)
① 개인정보처리자의 개인정보 처리로 인하여 개인정보에 관한 권리 또는 이익을 침해받은 사람은 법 제62조제2항에 따른 개인정보침해 신고센터에 침해 사실을 신고할 수 있다.
② 제1항에 따른 개인정보침해 신고센터는 다음 각 호의 업무를 수행한다.
1. 개인정보 처리와 관련한 신고의 접수·상담
2. 개인정보 침해 신고에 대한 사실 조사·확인 및 관계자의 의견 청취
3. 개인정보처리자에 대한 개인정보 침해 사실 안내 및 시정 유도
4. 사실 조사 결과가 정보주체의 권리 또는 이익 침해 사실이 없는 것으로 판단되는 경우 신고의 종결 처리
5. 법 제43조에 따른 개인정보 분쟁조정위원회 조정 안내 등을 통한 고충 해소 지원 
제6절 정보주체의 권리 보장
제31조(개인정보 열람 연기 사유의 소멸)
① 개인정보처리자가 법 제35조제3항 후문에 따라 개인정보의 열람을 연기한 후 그 사유가 소멸한 경우에는 정당한 사유가 없는 한 사유가 소멸한 날로부터 10일 이내에 열람하도록 하여야 한다.
② 정보주체로부터 영 제41조제1항제4호의 규정에 따른 개인정보의 제3자 제공 현황의 열람청구를 받은 개인정보처리자는 국가안보에 긴요한 사안으로 법 제35조제4항제3호마목의 규정에 따른 업무를 수행하는데 중대한 지장을 초래하는 경우, 제3자에게 열람청구의 허용 또는 제한, 거부와 관련한 의견을 조회하여 결정할 수 있다. 
제32조(개인정보의 정정·삭제)
① 개인정보처리자가 법 제36조제1항에 따른 개인정보의 정정·삭제 요구를 받았을 때는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 그 개인정보를 조사하여 정보주체의 요구에 따라 정정·삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.
② 정보주체의 정정·삭제 요구가 법 제36조제1항 단서에 해당하는 경우에는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 삭제를 요구할 수 없는 근거법령의 내용을 정보주체에게 알려야 한다. 
제33조(개인정보의 처리정지)
① 개인정보처리자가 정보주체로부터 법 제37조제1항에 따라 개인정보처리를 정지하도록 요구받은 때에는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 개인정보 처리의 일부 또는 전부를 정지하여야 한다. 다만, 법 제37조제2항 단서에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.
② 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 정당한 사유가 없는 한 처리정지의 요구를 받은 날로부터 10일 이내에 해당 개인정보의 파기 등 정보주체의 요구에 상응하는 조치를 취하고 그 결과를 정보주체에게 알려야 한다. 
제34조(권리행사의 방법 및 절차)
① 개인정보처리자는 정보주체가 법 제38조제1항에 따른 열람등요구를 하는 경우에는 개인정보를 수집하는 방법과 동일하거나 보다 쉽게 정보주체가 열람요구 등 권리를 행사할 수 있도록 간편한 방법을 제공하여야 하며, 개인정보의 수집시에 요구되지 않았던 증빙서류 등을 요구하거나 추가적인 절차를 요구할 수 없다.
② 제1항의 규정은 영 제46조에 따라 본인 또는 정당한 대리인임을 확인하고자 하는 경우와 영 제47조에 따른 수수료와 우송료의 정산에도 준용한다. 
제3장 영상정보처리기기 설치·운영
제1절 영상정보처리기기의 설치
제35조(적용범위)
이 장은 영상정보처리기기운영자가 공개된 장소에 설치·운영하는 영상정보처리기기와 이 기기를 통하여 처리되는 개인영상정보를 대상으로 한다.
제36조(영상정보처리기기 운영·관리 지침)
① 영상정보처리기기 운영·관리 지침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.
② 영상정보처리기기 운영·관리 지침을 마련한 경우에는 법 제30조에 따른 개인정보 처리방침을 정하지 아니하거나, 영상정보처리기기 설치·운영에 관한 사항을 법 제30조에 따른 개인정보 처리방침에 포함하여 정할 수 있다. 
제37조(관리책임자의 지정)
① 영상정보처리기기운영자는 개인영상정보의 처리에 관한 업무를 총괄해서 책임질 관리책임자를 지정하여야 한다.
② 제1항의 관리책임자는 법 제31조제2항에 따른 개인정보 보호책임자의 업무에 준하여 다음 각 호의 업무를 수행한다.
1. 개인영상정보 보호 계획의 수립 및 시행
2. 개인영상정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인영상정보 처리와 관련한 불만의 처리 및 피해구제
4. 개인영상정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
5. 개인영상정보 보호 교육 계획 수립 및 시행
6. 개인영상정보 파일의 보호 및 파기에 대한 관리·감독
7. 그 밖에 개인영상정보의 보호를 위하여 필요한 업무
③ 법 제31조에 따른 개인정보 보호책임자가 지정되어 있는 경우에는 그 개인정보 보호책임자가 관리책임자의 업무를 수행할 수 있다. 
제38조(사전의견 수렴)
영상정보처리기기의 설치 목적 변경에 따른 추가 설치 등의 경우에도 영 제23조제1항에 따라 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다. 
제39조(안내판의 설치)
① 영상정보처리기기운영자는 정보주체가 영상정보처리기기가 설치·운영 중임을 쉽게 알아볼 수 있도록 법 제25조제4항 본문에 따라 다음 각 호의 사항을 기재한 안내판 설치 등 필요한 조치를 하여야 한다.
1. 설치목적 및 장소
2. 촬영범위 및 시간
3. 관리책임자의 성명 또는 직책 및 연락처
4. 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우, 수탁자의 명칭 및 연락처
② 제1항에 따른 안내판은 촬영범위 내에서 정보주체가 알아보기 쉬운 장소에 누구라도 용이하게 판독할 수 있게 설치되어야 하며, 이 범위 내에서 영상정보처리기기운영자가 안내판의 크기, 설치위치 등을 자율적으로 정할 수 있다.
③ 공공기관의 장이 기관 내 또는 기관 간에 영상정보처리기기의 효율적 관리 및 정보 연계 등을 위해 용도별·지역별 영상정보처리기기를 물리적·관리적으로 통합하여 설치·운영(이하 ‘통합관리’라 한다)하는 경우에는 설치목적 등 통합관리에 관한 내용을 정보주체가 쉽게 알아볼 수 있도록 제1항에 따른 안내판에 기재하여야 한다. 
제2절 개인영상정보의 처리
제40조(개인영상정보 이용·제3자 제공 등 제한 등)
① 영상정보처리기기운영자는 다음 각 호의 경우를 제외하고는 개인영상정보를 수집 목적 이외로 이용하거나 제3자에게 제공하여서는 아니 된다. 다만 제5호부터 제9호까지의 경우는 공공기관의 경우로 한정한다.
1. 정보주체에게 동의를 얻은 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인영상정보를 제공하는 경우
5. 개인영상정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우
6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
8. 법원의 재판업무 수행을 위하여 필요한 경우
9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우 
제41조(보관 및 파기)
① 영상정보처리기기운영자는 수집한 개인영상정보를 영상정보처리기기 운영·관리 방침에 명시한 보관 기간이 만료한 때에는 지체 없이 파기하여야 한다. 다만, 다른 법령에 특별한 규정이 있는 경우에는 그러하지 아니하다.
② 영상정보처리기기운영자가 그 사정에 따라 보유 목적의 달성을 위한 최소한의 기간을 산정하기 곤란한 때에는 보관 기간을 개인영상정보 수집 후 30일 이내로 한다.
③ 개인영상정보의 파기 방법은 다음 각 호의 어느 하나와 같다.
1. 개인영상정보가 기록된 출력물(사진 등) 등은 파쇄 또는 소각
2. 전자기적(電磁氣的) 파일 형태의 개인영상정보는 복원이 불가능한 기술적 방법으로 영구 삭제 
제42조(이용·제3자 제공·파기의 기록 및 관리)
① 영상정보처리기기운영자는 개인영상정보를 수집 목적 이외로 이용하거나 제3자에게 제공하는 경우에는 다음 각 호의 사항을 기록하고 이를 관리하여야 한다.
1. 개인영상정보 파일의 명칭
2. 이용하거나 제공받은 자(공공기관 또는 개인)의 명칭
3. 이용 또는 제공의 목적
4. 법령상 이용 또는 제공근거가 있는 경우 그 근거
5. 이용 또는 제공의 기간이 정하여져 있는 경우에는 그 기간
6. 이용 또는 제공의 형태
② 영상정보처리기기운영자가 개인영상정보를 파기하는 경우에는 다음 사항을 기록하고 관리하여야 한다.
1. 파기하는 개인영상정보 파일의 명칭
2. 개인영상정보 파기 일시 (사전에 파기 시기 등을 정한 자동 삭제의 경우에는 파기 주기 및 자동 삭제 여부에 관한 확인 시기)
3. 개인영상정보 파기 담당자 
제43조(영상정보처리기기 설치 및 관리 등의 위탁)
① 영상정보처리기기운영자가 영 제26조제1항에 따라 영상정보처리기기의 설치·운영에 관한 사무를 제3자에게 위탁하는 경우에는 그 내용을 정보주체가 언제든지 쉽게 확인할 수 있도록 영 제24조에 따른 안내판 및 영 제27조에 따른 영상정보처리기기 운영·관리 방침에 수탁자의 명칭 등을 공개하여야 한다.
② 영상정보처리기기운영자가 영 제26조제1항에 따라 영상정보처리기기의 설치·운영에 관한 사무를 제3자에게 위탁할 경우에는 그 사무를 위탁받은 자가 개인영상정보를 안전하게 처리하고 있는지를 관리·감독하여야 한다. 
제3절 개인영상정보의 열람등 요구
제44조(정보주체의 열람등 요구)
① 정보주체는 영상정보처리기기운영자가 처리하는 개인영상정보에 대하여 열람 또는 존재확인(이하 "열람등"이라 한다)을 해당 영상정보처리기기운영자에게 요구할 수 있다. 이 경우 정보주체가 열람등을 요구할 수 있는 개인영상정보는 정보주체 자신이 촬영된 개인영상정보 및 명백히 정보주체의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 개인영상정보에 한한다.
② 영상정보처리기기운영자가 공공기관인 경우에는 해당 기관의 장에게 별지 제2호서식에 따른 개인영상정보 열람·존재확인 청구서(전자문서를 포함한다)로 하여야 한다.
③ 영상정보처리기기운영자는 제1항에 따른 요구를 받았을 때에는 지체 없이 필요한 조치를 취하여야 한다. 이때에 영상정보처리기기운영자는 열람등 요구를 한 자가 본인이거나 정당한 대리인인지를 주민등록증·운전면허증·여권 등의 신분증명서를 제출받아 확인하여야 한다.
④ 제3항의 규정에도 불구하고 다음 각 호에 해당하는 경우에는 영상정보처리기기운영자는 정보주체의 개인영상정보 열람등 요구를 거부할 수 있다. 이 경우 영상정보처리기기운영자는 10일 이내에 서면 등으로 거부 사유를 정보주체에게 통지하여야 한다.
1. 범죄수사·공소유지·재판수행에 중대한 지장을 초래하는 경우(공공기관에 한함)
2. 개인영상정보의 보관기간이 경과하여 파기한 경우
3. 기타 정보주체의 열람등 요구를 거부할 만한 정당한 사유가 존재하는 경우
⑤ 영상정보처리기기운영자는 제3항 및 제4항에 따른 조치를 취하는 경우 다음 각 호의 사항을 기록하고 관리하여야 한다.
1. 개인영상정보 열람등을 요구한 정보주체의 성명 및 연락처
2. 정보주체가 열람등을 요구한 개인영상정보 파일의 명칭 및 내용
3. 개인영상정보 열람등의 목적
4. 개인영상정보 열람등을 거부한 경우 그 거부의 구체적 사유
5. 정보주체에게 개인영상정보 사본을 제공한 경우 해당 영상정보의 내용과 제공한 사유
⑥ 정보주체는 영상정보처리기기운영자에게 정보주체 자신의 개인영상정보에 대한 파기를 요구하는 때에는 제1항에 의하여 보존을 요구하였던 개인영상정보에 대하여만 그 파기를 요구할 수 있다. 영상정보처리기기운영자가 해당 파기조치를 취한 경우에는 그 내용을 기록하고 관리하여야 한다. 
제45조(개인영상정보 관리대장)
제42조제1항 및 제2항, 제44조제5항 및 제6항에 따른 기록 및 관리는 별지 제3호서식에 따른 ‘개인영상정보 관리대장’을 활용할 수 있다. 
제46조(정보주체 이외의 자의 개인영상정보 보호)
영상정보처리기기운영자는 제44조제2항에 따른 열람등 조치를 취하는 경우, 만일 정보주체 이외의 자를 명백히 알아볼 수 있거나 정보주체 이외의 자의 사생활 침해의 우려가 있는 경우에는 해당되는 정보주체 이외의 자의 개인영상정보를 알아볼 수 없도록 보호조치를 취하여야 한다. 
제4절 개인영상정보 보호 조치
제47조(개인영상정보의 안전성 확보를 위한 조치)
영상정보처리기기운영자는 개인영상정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 법 제29조 및 영 제30조제1항에 따라 안전성 확보를 위하여 다음 각 호의 조치를 하여야 한다.
1. 개인영상정보의 안전한 처리를 위한 내부 관리계획의 수립·시행, 다만 「개인정보의 안전성 확보조치 기준 고시」제2조제4호에 따른 ‘소상공인’은 내부관리계획을 수립하지 아니할 수 있다.
2. 개인영상정보에 대한 접근 통제 및 접근 권한의 제한 조치
3. 개인영상정보를 안전하게 저장·전송할 수 있는 기술의 적용 (네트워크 카메라의 경우 안전한 전송을 위한 암호화 조치, 개인영상정보파일 저장시 비밀번호 설정 등)
4. 처리기록의 보관 및 위조·변조 방지를 위한 조치 (개인영상정보의 생성 일시 및 열람할 경우에 열람 목적·열람자·열람 일시 등 기록·관리 조치 등)
5. 개인영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치 
제48조(개인영상정보처리기기의 설치·운영에 대한 점검)
① 공공기관의 장이 영상정보처리기기를 설치·운영하는 경우에는 이 지침의 준수 여부에 대한 자체점검을 실시하여 다음 해 3월 31일까지 그 결과를 행정자치부장관에게 통보하고 영 제34조제3항에 따른 시스템에 등록하여야 한다. 이 경우 다음 각 호의 사항을 고려하여야 한다.
1. 영상정보처리기기의 운영·관리 방침에 열거된 사항
2. 관리책임자의 업무 수행 현황
3. 영상정보처리기기의 설치 및 운영 현황
4. 개인영상정보 수집 및 이용·제공·파기 현황
5. 위탁 및 수탁자에 대한 관리·감독 현황
6. 정보주체의 권리행사에 대한 조치 현황
7. 기술적·관리적·물리적 조치 현황
8. 영상정보처리기 설치·운영의 필요성 지속 여부 등
② 공공기관의 장은 제1항과 제3항에 따른 영상정보처리기기 설치·운영에 대한 자체점검을 완료한 후에는 그 결과를 홈페이지 등에 공개하여야 한다.
③ 공공기관 외의 영상정보처리기기운영자는 영상정보처리기기 설치·운영으로 인하여 정보주체의 개인영상정보의 침해가 우려되는 경우에는 자체점검 등 개인영상정보의 침해 방지를 위해 적극 노력하여야 한다. 
제4장 공공기관 개인정보파일 등록·공개
제1절 총칙
제49조(적용대상)
이 장의 적용대상은 다음과 같다.
1. 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체
2. 「국가인권위원회법」에 따른 국가인권위원회
3. 「공공기관의 운영에 관한 법률」에 따른 공공기관
4. 「지방공기업법」에 따른 지방공사 및 지방공단
5. 특별법에 의하여 설립된 특수법인
6. 「초·중등교육법」,「고등교육법」및 그 밖의 다른 법률에 따라 설치된 각급 학교 
제50조(적용제외)
이 장은 다음 각 호의 어느 하나에 해당하는 개인정보파일에 관하여는 적용하지 아니한다.
1. 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속기관을 포함한다)에서 관리하는 개인정보파일
2. 법 제32조제2항에 따라 적용이 제외되는 다음 각목의 개인정보파일
가. 국가안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
나. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일
다. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
라. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
마. 다른 법령에 따라 비밀로 분류된 개인정보파일
3. 법 제58조제1항에 따라 적용이 제외되는 다음 각목의 개인정보파일
가. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보파일
나. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일
다. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일
4. 영상정보처리기기를 통하여 처리되는 개인영상정보파일
5. 자료·물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보파일
6.「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융기관이 금융업무 취급을 위해 보유하는 개인정보파일 
제2절 개인정보파일의 등록주체와 절차
제51조(개인정보파일 등록 주체)
① 개인정보파일을 운용하는 공공기관의 개인정보 보호책임자는 그 현황을 행정자치부에 등록하여야 한다.
② 중앙행정기관, 광역자치단체, 특별자치시도, 기초자치단체는 행정자치부에 직접 등록하여야 한다.
③ 교육청 및 각급 학교 등은 교육부를 통하여 행정자치부에 등록하여야 한다.
④ 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관을 통하여 행정자치부에 등록하여야 한다. 
제52조(개인정보파일 등록 및 변경 신청)
① 개인정보파일을 운용하는 공공기관의 개인정보취급자는 해당 공공기관의 개인정보 보호책임자에게 개인정보파일 등록을 신청하여야 한다.
② 개인정보파일 등록 신청 사항은 다음의 각 호와 같다. 신청은 「개인정보 보호법 시행규칙」(이하 "시행규칙"이라 한다) 제3조제2항에 따른 별지 제2호서식의 ‘개인정보파일 등록·변경등록 신청서‘를 활용할 수 있다.
1. 개인정보파일을 운용하는 공공기관의 명칭
2. 개인정보파일의 명칭
3. 개인정보파일의 운영 근거 및 목적
4. 개인정보파일에 기록되는 개인정보의 항목
5. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수
6. 개인정보의 처리 방법
7. 개인정보의 보유 기간
8. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
9. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서
10. 개인정보의 열람 요구를 접수·처리하는 부서
11. 개인정보파일의 개인정보 중 법 제35조제4항에 따라 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유
12. 법 제33조제1항에 따른 개인정보 영향평가를 받은 개인정보파일의 경우에는 그 영향평가의 결과
③ 개인정보취급자는 등록한 사항이 변경된 경우에는 시행규칙 제3조제2항에 따른 별지 제2호서식의 ‘개인정보파일 등록·변경등록 신청서‘를 활용하여 개인정보 보호책임자에게 변경을 신청하여야 한다. 
제53조(개인정보파일 등록 및 변경 확인)
① 개인정보파일 등록 또는 변경 신청을 받은 개인정보 보호책임자는 등록·변경 사항을 검토하고 그 적정성을 판단한 후 행정자치부에 등록하여야 한다.
② 교육청 및 각급 학교 등의 개인정보 보호책임자는 교육부에 제1항에 따른 등록·변경 사항의 검토 및 적정성 판단을 요청한 후, 교육부의 확인을 받아 행정자치부에 등록하여야 한다.
③ 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관에 제1항에 따른 등록·변경 사항의 검토 및 적정성 판단을 요청한 후, 상위 관리기관의 확인을 받아 행정자치부에 등록하여야 한다.
④ 제1항부터 제3항의 등록은 60일 이내에 하여야 한다. 
제54조(개인정보파일 표준목록 등록과 관리)
① 특별지방행정기관, 지방자치단체, 교육기관(학교 포함) 등 전국적으로 단일한 공통업무를 집행하고 있는 기관은 각 중앙행정기관에서 제공하는 ‘개인정보파일 표준목록’에 따라 등록해야 한다.
② 전국 단일의 공통업무와 관련된 개인정보파일 표준목록은 해당 중앙부처에서 등록·관리해야 한다. 
제55조(개인정보파일의 파기)
① 공공기관은 개인정보파일의 보유기간 경과, 처리 목적 달성 등 개인정보파일이 불필요하게 되었을 때에는 지체 없이 그 개인정보파일을 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
② 공공기관은 개인정보파일의 보유기간, 처리 목적 등을 반영한 개인정보 파기계획을 수립·시행하여야 한다. 다만, 영 제30조제1항제1호에 따른 내부 관리계획이 수립되어 있는 경우에는 내부 관리계획에 개인정보 파기계획을 포함하여 시행할 수 있다.
③ 개인정보취급자는 보유기간 경과, 처리 목적 달성 등 파기 사유가 발생한 개인정보파일을 선정하고, 별지 제4호서식에 따른 개인정보파일 파기요청서에 파기 대상 개인정보파일의 명칭, 파기방법 등을 기재하여 개인정보 보호책임자의 승인을 받아 개인정보를 파기하여야 한다.
④ 개인정보 보호책임자는 개인정보 파기 시행 후 파기 결과를 확인하고 별지 제5호서식에 따른 개인정보파일 파기 관리대장을 작성하여야 한다. 
제56조(개인정보파일 등록 사실의 삭제)
① 개인정보취급자는 제55조에 따라 개인정보파일을 파기한 경우, 법 제32조에 따른 개인정보파일의 등록사실에 대한 삭제를 개인정보 보호책임자에게 요청해야 한다.
② 개인정보파일 등록의 삭제를 요청받은 개인정보 보호책임자는 그 사실을 확인하고, 지체 없이 등록 사실을 삭제한 후 그 사실을 행정자치부에 통보한다. 
제57조(등록·파기에 대한 개선권고)
① 공공기관의 개인정보 보호책임자는 제53조제1항에 따라 검토한 개인정보파일이 과다하게 운용되고 있다고 판단되는 경우에는 개선을 권고할 수 있다.
② 교육청 및 각급 학교, 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관의 개인정보 보호책임자는 제53조제2항 및 제53조제3항에 따라 검토한 개인정보파일이 과다하게 운용된다고 판단되거나, 등록되지 않은 파일이 있는 것으로 확인되는 경우에는 개선을 권고할 수 있다.
③ 행정자치부장관은 개인정보파일의 등록사항과 그 내용을 검토하고 다음 각 호의 어느 하나에 해당되는 경우에는 법 제32조제3항에 따라 해당 공공기관의 개인정보 보호책임자에게 개선을 권고할 수 있다.
1. 개인정보파일이 과다하게 운용된다고 판단되는 경우
2. 등록하지 않은 개인정보파일이 있는 경우
3. 개인정보파일 등록 사실이 삭제되었음에도 불구하고 개인정보파일을 계속 보유하고 있는 경우
4. 개인정보 영향평가를 받은 개인정보파일을 보유하고 있음에도 그 결과를 등록사항에 포함하지 않은 경우
5. 기타 법 제32조에 따른 개인정보파일의 등록 및 공개에 위반되는 사항이 있다고 판단되는 경우
④ 행정자치부장관은 제3항에 따라 개선을 권고한 경우에는 그 내용 및 결과에 대하여 개인정보 보호위원회의 심의·의결을 거쳐 공표할 수 있다.
⑤ 행정자치부장관은 공공기관의 개인정보파일 등록·파기 현황에 대한 점검을 실시할 수 있다. 
제3절 개인정보파일의 관리 및 공개
제58조(개인정보파일대장 작성)
공공기관은 1개의 개인정보파일에 1개의 개인정보파일대장을 작성해야 한다.
제59조(개인정보파일 이용·제공 관리)
공공기관은 법 제18조제2항 각 호에 따라 제3자가 개인정보파일의 이용·제공을 요청한 경우에는 각각의 이용·제공 가능 여부를 확인하고 별지 제6호서식의 ‘개인정보 목적 외 이용·제공대장’에 기록하여 관리해야 한다. 
제60조(개인정보파일 보유기간의 산정)
① 보유기간은 전체 개인정보가 아닌 개별 개인정보의 수집부터 삭제까지의 생애주기로서 보유목적에 부합된 최소기간으로 산정하되, 개별 법령의 규정에 명시된 자료의 보존기간에 따라 산정해야 한다.
② 개별 법령에 구체적인 보유기간이 명시되어 있지 않은 경우에는 개인정보 보호책임자의 협의를 거쳐 기관장의 결재를 통하여 산정해야 한다. 다만, 보유기간은 별표 1의 개인정보파일 보유기간 책정 기준표에서 제시한 기준과「공공기록물 관리에 관한 법률 영」에 따른 기록관리기준표를 상회할 수 없다.
③ 정책고객, 홈페이지회원 등의 홍보 및 대국민서비스 목적의 외부고객 명부는 특별한 경우를 제외하고는 2년을 주기로 정보주체의 재동의 절차를 거쳐 동의한 경우에만 계속하여 보유할 수 있다. 
제61조(개인정보파일 현황 공개 및 방법)
① 공공기관의 개인정보 보호책임자는 개인정보파일의 보유·파기현황을 주기적으로 조사하여 그 결과를 해당 공공기관의 개인정보 처리방침에 포함하여 관리해야 한다.
② 행정자치부장관은 개인정보파일 등록 현황을 누구든지 쉽게 열람할 수 있도록 공개하여야 한다.
③ 행정자치부는 전 공공기관의 개인정보파일 등록 및 삭제 현황을 종합하여 매년 공개해야 하며, 개인정보파일 현황 공개에 관한 업무를 전자적으로 처리하기 위하여 정보시스템을 구축·운영할 수 있다. 
제5장 보칙
제62조(친목단체에 대한 벌칙조항의 적용배제)
① 친목단체의 개인정보처리자에 대하여는 법 제75조제1항제1호, 법 제75조제2항제1호, 법 제75조제3항제7호 및 법 제75조제3항제8호의 벌칙을 적용하지 아니한다.
② 제1항에서 규정한 사항을 제외한 벌칙규정은 친목단체의 개인정보처리자에 대하여도 적용한다.
제63조(처리 중인 개인정보에 관한 경과조치) ① 법 시행 전에 근거법령 없이 개인정보를 수집한 경우 당해 개인정보를 보유하는 것은 적법한 처리로 본다. 다만, 이 법 시행 이후 기존의 수집목적 범위 내에서 이용하는 경우를 제외하고 개인정보를 새롭게 처리하는 경우에는 법, 영, 시행규칙 및 이 지침에 따라야 한다.
② 법 시행 전에 법률의 근거 또는 정보주체의 동의 없이 제3자로부터 개인정보를 제공받아 목적 외의 용도로 이용하고 있는 개인정보처리자는 정보주체의 동의를 받아야 한다.
③ 법 시행 전에 개인정보를 수집한 개인정보처리자는 기존의 수집목적 범위에도 불구하고 제1항 단서 및 제2항을 준수하기 위하여 새롭게 정보주체의 동의를 받을 목적으로 법 시행 전에 수집한 개인정보를 이용할 수 있다. 
부칙
부 칙 <제2016-21호, 2016.6.30.>
이 규정은 발령한 날부터 시행한다.

Chapter 1 General Provisions
Article 1 (Purpose)
The purpose of these guidelines is to stipulate detailed information on standards for processing personal information, types of personal information infringements, and preventive measures in accordance with Article 12 (1) of the Personal Information Protection Act (hereinafter referred to as the "Act").
Article 2 (Definition of terms)
The meanings of terms used in these guidelines are as follows.
1. "Personal information processing" refers to collecting, creating, linking, linking, recording, storing, retaining, processing, editing, searching, printing, correcting, recovering, using, providing, disclosing, destroying, and other similar actions of personal information.
2. "Personal information processor" refers to all public institutions, for-profit business operators, non-profit organizations such as associations and alumni associations, individuals, etc. that process personal information in order to operate personal information files pursuant to Article 2, Paragraph 4 of the Act for business purposes.
3. "Public institution" means an institution pursuant to Article 2, Paragraph 6 of the Act and Article 2 of the Enforcement Decree of the Personal Information Protection Act (hereinafter referred to as the "Decree").
4. "Friendship group" refers to various gatherings such as alumni associations, clubs, local associations, neighborhood associations, clubs, etc., which are made up of schools, regions, companies, internet communities, etc., and are intended to promote friendship among people with common interests or goals such as volunteer work, hobbies, politics, religion, etc.
5. "Personal information protection officer" refers to a person who is responsible for overall management of personal information processing of the personal information processor and falls under Article 32 (2) of the Decree.
6. "Personal information handler" refers to a person in charge of processing personal information under the direction and supervision of the personal information processor, including executives and employees, dispatched workers, and part-time workers.
7. "Personal information processing system" refers to an application system systematically configured to process personal information, such as a database system.
8. "Video information processing device" refers to any device that is continuously installed in a certain space to capture images of people or objects or transmit them through wired or wireless networks, including closed-circuit televisions and network cameras under Article 3 of the Decree.
9. "Personal video information" refers to video related to an individual's portrait, behavior, etc., among video information captured and processed by a video information processing device, and information that can identify the individual.
10. "Video information processing device operator" means a person who installs and operates video information processing devices in accordance with each subparagraph of Article 25 (1) of the Act.
11. "Public place" refers to a place where there are no restrictions on access or passage by an unspecified number of people, such as parks, roads, subways, inside shopping malls, parking lots, etc. 
Article 3 (Scope of Application)
These guidelines apply to personal information processors who operate personal information files in all forms, including electronic files, printed materials, and written documents.
Article 4 (Personal Information Protection Principles)
① Personal information processors must clarify the purpose of processing personal information and legally and justly collect only the minimum amount of personal information necessary for that purpose.
② Personal information processors must process personal information appropriately to the extent necessary for the purpose of processing personal information, and must not use it for purposes other than that purpose.
③ Personal information processors must maintain the accuracy and up-to-dateness of personal information to the extent necessary for the purpose of processing personal information, and must ensure that personal information is not unduly altered or damaged in the process of processing personal information, either intentionally or through negligence.
④ Personal information processors must safely manage personal information through appropriate managerial, technical, and physical protection measures, taking into account the possibility and degree of risk that the information subject's rights may be violated depending on the processing method and type of personal information.
⑤ The personal information processor must disclose matters related to the processing of personal information, such as the personal information processing policy, and must establish reasonable procedures and methods to ensure the rights of the information subject, such as the right to request access, are guaranteed.
⑥ Personal information processors must process personal information in a way that minimizes infringement on the privacy of the information subject, even when processing personal information lawfully to the extent necessary for the purpose of processing personal information.
⑦ Even when personal information is collected legally, the personal information processor must ensure that personal information can be processed anonymously if the business purpose can be achieved anonymously.
⑧ Personal information processors must strive to gain the trust of information subjects by complying with and practicing the responsibilities and obligations stipulated in relevant laws and regulations. 
Article 5 (Relationship with other guidelines)
When the head of a central administrative agency establishes personal information protection guidelines related to the processing of personal information in the field under his/her jurisdiction, he/she must ensure that these guidelines are complied with.
Chapter 2 Personal information processing standards
Section 1 Processing of Personal Information
Article 6 (Collection and use of personal information)
① "Collection" of personal information refers to not only receiving personal information such as name, address, and phone number directly from the information subject, but also acquiring all forms of personal information about the information subject.
② The personal information processor may collect personal information in the following cases and use it within the scope of the purpose of collection.
1. When prior consent has been obtained from the information subject
2. When the law specifically states or permits the collection and use of personal information.
3. When the law imposes specific obligations on the personal information processor, and it is impossible or significantly difficult for the personal information processor to fulfill that obligation without collecting and using personal information.
4. When it is impossible or significantly difficult for a public institution to perform its duties prescribed by laws and regulations without collecting and using personal information.
5. When it is impossible or significantly difficult to conclude a contract with the information subject and perform obligations according to the contents of the concluded contract without collecting and using personal information.
6. In cases where the information subject or his/her legal representative is unable to express his/her intention or cannot obtain prior consent due to unknown address, etc., it is clearly deemed necessary for the urgent benefit of life, body, and property of the information subject or a third party (referring to all other persons excluding the information subject).
7. When it is necessary for the personal information processor to achieve legitimate interests pursuant to laws or contracts with the information subject, and clearly takes precedence over the rights of the information subject. However, in this case, the collection and use of personal information is limited to cases where it is significantly related to the legitimate interests of the personal information processor and does not exceed a reasonable scope.
③ If the personal information processor collects personal information by receiving a business card or similar media (hereinafter referred to as "business card, etc.") directly from the information subject, it may be used only to the extent that it is recognized that there was an intention to consent based on social norms, considering the circumstances of providing the business card, etc.
④ When personal information processors collect personal information from public media or locations such as Internet homepages (hereinafter referred to as "Internet homepages, etc."), personal information may be used only to the extent that the information subject's intent to consent is clearly indicated or the intent to consent is recognized based on social norms based on the content displayed on the Internet homepage, etc.
⑤ When the information subject, who is the other party to a contract, etc., performs legal acts or expresses his/her intention through an agent, the personal information processor may collect and use the agent's personal information only for the purpose of confirming the agent's authority to represent the agent.
⑥ When a worker and an employer enter into a labor contract, personal information may be collected and used without the worker's consent for the purpose of payment of wages, training, issuance of certificates, and provision of worker welfare in accordance with the Labor Standards Act. 
Article 7 (Provision of personal information)
① "Provision" of personal information refers to any act that results in the transfer or joint use of personal information, such as physically transferring personal information storage media or printouts or booklets containing personal information, transmitting personal information through a network, granting a third party access to personal information, or sharing personal information between the personal information processor and a third party.
② "Third party" in Article 17 of the Act means all persons excluding the information subject and the personal information processor who collects and holds personal information regarding the information subject, and excludes the information subject's agent (limited to those clearly within the scope of representation) and trustee under Article 26 (2) of the Act (hereinafter the same shall apply).
③ When the personal information processor informs the information subject of the person receiving personal information pursuant to Article 17, Paragraph 2, Item 1 of the Act, the name (if it is a corporation or organization, its name) and contact information must be notified as well. 
Article 8 (Use/Provision of Personal Information for Other Purposes)
① If the personal information processor provides personal information to a third party for a purpose other than the purpose pursuant to Article 18 (2) of the Act, the purpose of use, method of use, and use of personal information will be provided to the person receiving the personal information. A request must be made in writing (including electronic documents; hereinafter the same shall apply) to limit the period, form of use, etc., or to prepare specific measures necessary to ensure the safety of personal information. In this case, the person who received the request must take action accordingly and notify the personal information processor who provided the personal information of the fact in writing.
② Pursuant to Article 18, Paragraph 2 of the Act, a person who provides personal information to a third party for purposes other than the intended purpose must clarify the relationship of responsibility for measures to ensure the safety of personal information with the person receiving the personal information.
③ When the personal information processor informs the information subject of the person receiving personal information pursuant to Article 18, Paragraph 3, Item 1 of the Act, the name (if it is a corporation or organization, its name) and contact information must also be notified.
④ When a personal information processor provides personal information to a third party pursuant to Article 18, Paragraph 2, Item 4 of the Act, it must be provided in a form that does not identify a specific individual even when combined with other information. 
Article 9 (Notice of personal information collection sources, etc.)
① When a personal information processor processes personal information collected from people other than the information subject, he/she must inform the information subject of all matters stipulated in each subparagraph of Article 20 (1) of the Act within 3 days from the date of the information subject's request, unless there is a justifiable reason. However, this does not apply in any of the following cases.
1. If the personal information subject to notification request is included in a personal information file falling under any of the subparagraphs of Article 32 (2) of the Act.
2. If there is a risk that the life or body of another person may be harmed due to the notice, or there is a risk of unfairly infringing on another person's property or other interests.
② If the personal information manager refuses the information subject's request pursuant to the preamble to paragraph (1) pursuant to the proviso to paragraph (1), he/she shall notify the information subject of the basis and reason for such refusal within three days from the date of the information subject's request, unless there is a justifiable reason. 
Article 10 (Methods and procedures for destroying personal information)
① The personal information manager must destroy the personal information within 5 days when the personal information retention period has expired or the personal information has become unnecessary, such as the achievement of the purpose of processing the personal information, abolition of the relevant service, or termination of the business, unless there is a justifiable reason.
② 'Method of making restoration impossible' in Article 16, Paragraph 1, Item 1 of the Decree means a method of taking measures to make it impossible to restore destroyed personal information at a reasonable cost in accordance with social norms at the current level of technology.
③ Personal information processors must record and manage matters related to destruction of personal information.
④ The person in charge of personal information protection must confirm the results of destruction of personal information after implementation.
⑤ Articles 55 and 56 shall apply to the destruction of personal information files by public institutions among personal information processors. 
Article 11 (Preservation of personal information in accordance with laws)
① If the personal information processor must preserve personal information rather than destroy it based on the law in accordance with the proviso to Article 21, Paragraph 1 of the Act, the personal information must be stored and managed separately by physical or technical means.
② When personal information is stored and managed separately pursuant to paragraph 1, the information subject must be made aware that the personal information or personal information file is stored and managed in accordance with laws and regulations through the personal information processing policy, etc. 
Article 12 (Method of obtaining consent)
① When a personal information processor receives the consent of the information subject for the processing of personal information, he or she must distinguish between personal information that can be processed without the consent of the information subject and personal information that requires the consent of the information subject, and the consent of the information subject is limited to personal information that requires consent. In this case, the burden of proving that personal information can be processed without consent is borne by the personal information processor.
② If any of the following cases applies, the personal information manager must inform the information subject of the matters stipulated in each subparagraph of Article 18 (3) of the Act and obtain consent.
1. In cases where personal information is intended to be collected and used and does not fall under Article 15 (1) 2 to 6 of the Act
2. If you wish to use or provide personal information for purposes other than the purpose of collection pursuant to Article 18 (2) of the Act.
3. When it falls under Article 22 (3) of the Act and seeks to promote or recommend the sale of goods or services to the information subject.
4. Cases where processing of unique identification information other than resident registration number is necessary and there is no basis for processing unique identification information in the law.
5. If you wish to process sensitive information and there is no basis for processing sensitive information in the law.
③ If a personal information processor wishes to process personal information that falls under any of the provisions of paragraph 2, he/she must explicitly inform the information subject that he/she can choose to consent or refuse consent.
④ If personal information is collected without the consent of the information subject pursuant to Article 15, Paragraph 1, Items 2 to 6 of the Act, the personal information processor shall endeavor to inform the information subject of the legal basis for collecting personal information.
⑤ When a personal information manager records a call in relation to consent by telephone pursuant to the provisions of Article 17 (1) 2 of the Decree, he/she shall notify the information subject of the recording.
⑥ If a personal information processor collects personal information that falls under any of the following items in order to operate a social organization, the personal information may be collected and used without the consent of the information subject.
1. Name, contact information for membership in a friendly organization, and personal information related to common interests or goals determined by the bylaws of the friendly organization
2. Matters concerning the payment status of expenses necessary for maintaining friendship, such as membership fees of friendly organizations
3. Matters pertaining to member attendance and activity details of social group activities
4. Matters related to birthdays, preferences, and family members' wishes that members wish to inform other members in order to promote friendship and harmony among members of other social organizations.
⑦ When a personal information processor writes a consent form to obtain consent from the information subject, he/she must comply with the "Guidelines for Writing a Consent Form for Personal Information Collection and Provision." 
Article 13 (Consent of legal representative)
① Pursuant to Article 17 (3) of the Decree, when a personal information manager collects the name and contact information of a legal representative, he/she must inform the child of his or her identity and contact information and the reason for collecting the name and contact information of the legal representative.
② The personal information processor must use the personal information of the legal representative collected pursuant to Article 22 (5) of the Act only for the purpose of obtaining the consent of the legal representative, and if the legal representative refuses to consent or the legal representative's intention to consent is not confirmed, the personal information must be destroyed within 5 days from the date of collection. 
Article 14 (Cases where prior consent of the information subject cannot be obtained)
If a personal information processor collects, uses or provides personal information without the prior consent of the information subject pursuant to Article 15, Paragraph 1, Item 5 and Article 18, Paragraph 2, Item 3 of the Act, the processing of personal information shall be immediately stopped when the relevant reason has been resolved, and the information subject shall be notified of the fact that personal information has been collected, used or provided without prior consent, the reason for this, and the details of use. 
Article 15 (Supervision of personal information handlers)
① Personal information processors must keep the number of personal information handlers to a minimum within the extent necessary for business purposes, and limit the scope of personal information processing by personal information handlers to the minimum within the extent necessary for business purposes.
② The personal information processor must differentially grant access rights to the personal information processing system to the person in charge to the minimum extent necessary to perform the work, depending on the nature of the work, and take measures to manage the access rights.
③ The personal information processor must provide appropriate management and supervision, such as requiring the personal information handler to submit a security pledge, and if the personal information handler's duties change due to personnel changes, etc., the right to access personal information must be changed or canceled. 
Section 2 Entrustment of Personal Information Processing
Article 16 (Things to consider when selecting a trustee)
When selecting a person (hereinafter referred to as "trustee") who is entrusted with the processing of personal information, the personal information processor (hereinafter referred to as "consignor") entrusted with the processing of personal information shall comprehensively consider personal information processing and protection capabilities, including human resources and physical facilities, financial burden capacity, degree of technology, and responsibility capacity. 
Article 17 (Obligation to take personal information protection measures)
In order to protect the entrusted personal information, the trustee must take administrative, technical and physical measures in accordance with the "Personal Information Safety Security Standard Notice". 
Section 3 Preparation of personal information processing policy
Article 18 (Standards for writing personal information processing policy, etc.)
① When a personal information manager prepares a personal information processing policy, the matters stipulated in each subparagraph of Article 30 (1) of the Act and each subparagraph of Article 31 (1) of the Decree shall be explicitly distinguished, and shall be detailed and in easy-to-understand terms. It must be expressed clearly.
② The personal information processor must disclose that the personal information being processed is the minimum necessary for the purpose of processing the personal information. 
Article 19 (Statement of Personal Information Processing Policy)
When a personal information manager prepares a personal information processing policy, he/she must include all of the following matters in accordance with Article 30 (1) of the Act.
1. Purpose of processing personal information
2. Items of personal information processed
3. Processing and retention period of personal information
4. Matters regarding provision of personal information to third parties (decided only in applicable cases)
5. Matters regarding destruction of personal information
6. Matters related to the entrustment of personal information processing, such as the contact information of the person in charge of the personal information processing trustee and the results of the management status inspection of the trustee (to be determined only in cases where applicable)
7. Matters concerning measures to ensure the safety of personal information pursuant to Article 30 (1) of the Decree
8. Matters pertaining to the rights and obligations of the information subject and how to exercise them, including the right to view, correct, delete, and suspend processing of personal information
9. Matters regarding changes to personal information processing policy
10. Matters regarding the person in charge of personal information protection
11. Department that receives and processes requests to view personal information
12. Remedy for infringement of rights and interests of information subjects 
Article 20 (Disclosure of personal information processing policy)
① If a personal information processor establishes a personal information processing policy pursuant to Article 30, Paragraph 2 of the Act, it must be continuously posted on the Internet homepage. In this case, the name "Personal Information Processing Policy" must be used, but the font size, color, etc. must be used to distinguish it from other notices so that the information subject can easily confirm it.
② If the personal information processor does not operate the Internet homepage or if there is a defect in the management of the Internet homepage, the personal information processing policy must be disclosed in one or more ways under each subparagraph of Article 31 (3) of the Decree. In this case as well, the name "Personal Information Processing Policy" must be used, but font size, color, etc. must be used to distinguish it from other notices so that information subjects can easily check it.
③ If the personal information processor discloses the personal information processing policy in the manner prescribed in Article 31, Paragraph 3, Item 3 of the Decree, it shall be continuously published in publications, newsletters, promotional materials, invoices, etc. whenever they are issued. 
Article 21 (Change in Personal Information Processing Policy)
If the personal information processor changes the personal information processing policy, the timing of change and implementation and the changed content must be continuously disclosed, and the changed content must be disclosed by comparing before and after the change so that the information subject can easily confirm it. 
Section 4 Personal Information Protection Manager
Article 22 (Disclosure of Personal Information Protection Manager)
① If the personal information manager designates or changes the personal information protection manager, the fact of designation and change of the personal information protection manager, name, department name, phone number, and other contact information must be disclosed.
② When disclosing the person in charge of personal information protection, the personal information manager must disclose the contact information where grievances and consultations related to personal information protection can actually be handled. In this case, the contact information, including the name, department name, and phone number of the person in charge of personal information protection and the person in charge of personal information protection work, may be disclosed. 
Article 23 (Training of Personal Information Protection Manager)
The contents of the training for personal information protection officers that the Minister of Government Administration and Home Affairs may establish and operate pursuant to Article 32 (3) of the Decree are as follows.
1. Contents of laws and systems related to personal information protection
2. Matters necessary for performing duties under Article 31 (2) of the Act and Article 32 (1) of the Decree.
3. Other matters necessary to protect the personal information of the personal information processor. 
Article 24 (Establishment and implementation of education plan)
① At the beginning of each year, the Minister of Government Administration and Home Affairs establishes and implements a training plan for personal information protection officers for the current year.
② The Minister of Government Administration and Home Affairs may have organizations such as the Korea Personal Information Protection Council provide training for personal information protection officers in accordance with the training plan under paragraph (1).
③ The Minister of Government Administration and Home Affairs shall strive to create an environment in which the person responsible for personal information protection can receive training conveniently regardless of geographical or economic conditions. 
Section 5 Personal information leak notification and reporting, etc.
Article 25 (Leakage of personal information)
Leakage of personal information refers to any of the following cases in which the personal information processor loses control over the personal information of the information subject or allows access to an unauthorized person, not in accordance with laws or the personal information processor's free will. 
1. When documents containing personal information, portable storage devices, portable computers, etc. are lost or stolen
2. When a person without normal authority accesses the personal information processing system, such as the database where personal information is stored.
3. If a file, paper document, or other storage medium containing personal information is incorrectly delivered to an unauthorized person due to the personal information processor's intention or negligence.
4. If personal information is passed on to an unauthorized person 
Article 26 (Time and items of leak notification)
① When the personal information manager becomes aware that personal information has been leaked, he/she must notify the information subject of the following matters within 5 days, unless there is a justifiable reason. However, in order to prevent the spread and further leakage of leaked personal information, if urgent measures such as blocking access paths, checking and supplementing vulnerabilities, or deleting leaked personal information are necessary, the information subject may be notified within 5 days after taking such measures.
1. Items of leaked personal information
2. When and how it was leaked
3. Information on methods the information subject can take to minimize damage that may occur due to leakage.
4. Personal information processor's response measures and damage relief procedures
5. Department in charge and contact information where reports, etc. can be received in case of damage to the information subject
② If it is difficult to confirm all of the matters in each subparagraph of Paragraph 1, the personal information manager may first inform the information subject of only the following facts and may notify the information subject as soon as they are later confirmed.
1. The fact that the information has been leaked to the subject
2. Confirmed matters among the notification items in Paragraph 1
③ If the personal information manager is not aware of the personal information leakage incident and fails to notify the relevant information subject of the personal information leakage within 5 days from the time the personal information leakage incident occurred, the personal information manager must prove the point in time when he or she actually became aware of the personal information leakage incident. 
Article 27 (Leak notification method)
① When notifying the information subject of the matters stipulated in each subparagraph of Article 26, Paragraph 1, the personal information manager shall notify the information subject without delay through writing, e-mail, facsimile transmission, telephone, mobile phone text message, or similar methods.
② The personal information manager may disclose the matters specified in each subparagraph of Article 26, Paragraph 1 through the website, etc. at the same time as the notification method in Paragraph 1. 
Article 28 (Report of personal information leak, etc.)
① If the personal information of 10,000 or more information subjects is leaked, the personal information processor must report the notification to the information subjects and the results of the action to the Minister of Government Administration and Home Affairs or a specialized agency under Article 39 (2) of the Decree within 5 days.
② Reports under paragraph 1 must be made through the personal information leak report form in Annex Form No. 1.
③ If the personal information manager does not have time to report a leak through e-mail, fax, or the Internet site of a specialized organization pursuant to Article 39, Paragraph 2 of the Decree, or if there are other special circumstances, the personal information manager may first report the matters under Article 26, Paragraph 1 via telephone and then submit a personal information leak report in Form No. 1 of the attached document.
④ If the personal information of 10,000 or more information subjects is leaked, the personal information manager shall post the matters specified in each subparagraph of Article 26 (1) on the Internet homepage, etc. for at least 7 days along with the notice pursuant to Article 26 (1) so that the information subjects can easily recognize them. 
Article 29 (Personal Information Leak Incident Response Manual, etc.)
① Personal information controllers who fall under any of the following items must prepare a "Personal Information Leakage Accident Response Manual" to minimize damage through rapid response in the event of a leakage incident.
1. Public institution under Article 2, Paragraph 6 of the Act
2. Other personal information processors who process personal information about 10,000 or more information subjects.
② The personal information leak incident response manual pursuant to paragraph 1 shall include leak notification and inquiry procedures, measures to respond to customer complaints such as expansion of branches and internet lines, measures to minimize on-site congestion, measures to relieve customer anxiety, and measures to provide relief to victims.
③ Personal information processors must strive to minimize the inconvenience and economic burden of information subjects when carrying out damage recovery measures due to personal information leaks. 
Article 30 (Processing of reports of personal information infringement, etc.)
① Processing of personal information by the personal information processor As a result, a person whose rights or interests regarding personal information have been infringed may report the infringement to the Personal Information Infringement Reporting Center under Article 62 (2) of the Act.
② The Personal Information Infringement Reporting Center under Paragraph 1 shall perform the following tasks.
1. Receipt and consultation of reports related to personal information processing
2. Investigating and confirming the facts regarding personal information infringement reports and listening to the opinions of relevant parties
3. Inform the personal information processor of personal information infringement and induce correction
4. If the fact-finding results determine that there is no violation of the rights or interests of the information subject, the report will be closed.
5. Support for resolving grievances through mediation guidance by the Personal Information Dispute Mediation Committee pursuant to Article 43 of the Act 
Section 6 Guaranteeing the rights of information subjects
Article 31 (Extinction of reasons for delaying viewing of personal information)
① If the personal information manager postpones the inspection of personal information pursuant to the latter part of Article 35, Paragraph 3 of the Act and the reason for such delay ceases to exist, the personal information manager must allow inspection within 10 days from the date on which the reason disappears, unless there is a justifiable reason.
② The personal information processor who has received a request from the information subject to view the status of provision of personal information to a third party pursuant to Article 41, Paragraph 1, Item 4 of the Decree, shall provide the third party with an opinion regarding permission, restriction, or rejection of the request for access if it is a matter of importance to national security and causes significant disruption in performing duties under Article 35, Paragraph 4, Item 3 of the Act. You can check and decide. 
Article 32 (Correction/Deletion of Personal Information)
① When a personal information processor receives a request for correction or deletion of personal information pursuant to Article 36 (1) of the Act, unless there is a justifiable reason, the personal information processor shall investigate the personal information within 10 days from the date of receipt of the request, take necessary measures such as correction and deletion in accordance with the request of the information subject, and notify the information subject of the results.
② If the information subject's request for correction or deletion falls under the proviso to Article 36, Paragraph 1 of the Act, the information subject must be notified of the contents of the underlying law that cannot request deletion within 10 days from the date of receipt of the request, unless there is a justifiable reason. 
Article 33 (Suspension of processing of personal information)
① When a personal information processor is requested by the information subject to suspend personal information processing pursuant to Article 37 (1) of the Act, part or all of personal information processing shall be suspended within 10 days from the date of receipt of the request, unless there is a justifiable reason. However, in cases that fall under the proviso to Article 37 (2) of the Act, the information subject's request to suspend processing may be rejected.
② The personal information processor shall take measures corresponding to the request of the information subject, such as destroying the personal information, within 10 days from the date of receiving the request for suspension of personal information, unless there is a justifiable reason, and notify the information subject of the results. 
Article 34 (Methods and procedures for exercising rights)
① When a data subject makes a request for viewing, etc. pursuant to Article 38 (1) of the Act, the personal information processor must provide an easy method for the data subject to exercise the rights, such as a request for viewing, that is the same or easier than the method of collecting personal information, and cannot request supporting documents, etc. that were not required at the time of collecting personal information, or require additional procedures.
② The provisions of paragraph 1 shall apply mutatis mutandis to cases where a person wishes to confirm that he or she is a principal or a legitimate agent pursuant to Article 46 of the Decree and to settlement of fees and postage charges pursuant to Article 47 of the Decree. 
Chapter 3 Installation and operation of video information processing equipment
Section 1 Installation of video information processing equipment
Article 35 (Scope of Application)
This chapter covers video information processing devices installed and operated by video information processing device operators in public locations and personal video information processed through these devices.
Article 36 (Guidelines for operating and managing visual information processing devices)
① When establishing or changing guidelines for the operation and management of video information processing devices, they must be disclosed so that information subjects can easily confirm them.
② In cases where guidelines for the operation and management of video information processing devices are established, a personal information processing policy pursuant to Article 30 of the Act may not be established, or matters related to the installation and operation of video information processing devices may be included in the personal information processing policy pursuant to Article 30 of the Act. 
Article 37 (Designation of management manager)
① The operator of video information processing equipment must designate a manager responsible for overall management of work related to the processing of personal video information.
② The manager in charge of paragraph 1 shall perform the following duties in accordance with the duties of the personal information protection manager under Article 31 (2) of the Act.
1. Establishment and implementation of personal video information protection plan
2. Regular investigation and improvement of personal video information processing status and practices
3. Handling of complaints and relief for damage related to the processing of personal video information
4. Establishment of an internal control system to prevent leakage and misuse/abuse of personal video information
5. Establishment and implementation of personal video information protection education plan
6. Management and supervision of protection and destruction of personal video information files
7. Other tasks necessary to protect personal video information
③ If a personal information protection manager is designated pursuant to Article 31 of the Act, the personal information protection manager may perform the duties of the manager. 
Article 38 (Collection of prior opinions)
Even in the case of additional installation due to a change in the purpose of installation of video information processing equipment, opinions from relevant experts and interested parties must be collected in accordance with Article 23 (1) of the Decree. 
Article 39 (Installation of information boards)
① The operator of a video information processing device shall take necessary measures, such as installing a signboard listing the following matters in accordance with the main text of Article 25 (4) of the Act, so that the information subject can easily recognize that the video information processing device is being installed and operated.
1. Purpose and location of installation
2. Shooting range and time
3. Name or position and contact information of the person in charge of management
4. When entrusting affairs related to the installation and operation of video information processing equipment, the name and contact information of the trustee
② The signboard pursuant to paragraph (1) shall be installed so that anyone can easily read it in a place easily recognized by the information subject within the shooting range, and within this range, the operator of the image information processing device may voluntarily determine the size and installation location of the signboard.
③ In cases where the head of a public institution installs and operates video information processing devices by physically and managerially integrated for each purpose and region for efficient management of video information processing devices and information linkage within the institution or between institutions (hereinafter referred to as 'integrated management'), information on integrated management, including the purpose of installation, shall be written on the information board pursuant to paragraph 1 so that information subjects can easily recognize them. 
Section 2 Processing of personal video information
Article 40 (Restrictions on use of personal video information, provision to third parties, etc.)
① Video information processing device operators shall not use personal video information for purposes other than collection purposes or provide it to third parties, except in the following cases. However, items 5 through 9 are limited to public institutions.
1. When consent is obtained from the information subject
2. When there are special provisions in other laws
3. In cases where the information subject or his/her legal representative is unable to express his/her intention or cannot obtain prior consent due to unknown address, etc., it is clearly deemed necessary for the urgent benefit of the life, body, or property of the information subject or a third party.
4. When personal video information is provided in a form that does not identify a specific individual as necessary for purposes such as statistical compilation and academic research.
5. Cases in which personal image information is used for purposes other than its intended purpose or does not provide it to a third party, in which case it is impossible to perform duties prescribed by other laws and has been reviewed and resolved by the Protection Committee.
6. When necessary to provide information to foreign governments or international organizations for the implementation of treaties and other international agreements.
7. When necessary for investigation of crime and filing and maintenance of indictment
8. When necessary to carry out the court's judicial duties
9. When necessary for the execution of punishment, custody, and protective measures. 
Article 41 (Storage and Destruction)
① The video information processing device operator must destroy the collected personal video information without delay when the storage period specified in the video information processing device operation and management policy expires. However, this does not apply if there are special provisions in other laws and regulations.
② If it is difficult for the video information processing device operator to calculate the minimum period to achieve the purpose of retention depending on the circumstances, the storage period shall be within 30 days after collection of personal video information.
③ The method of destruction of personal video information is as follows:
1. Printouts (photos, etc.) containing personal video information are shredded or incinerated.
2. Personal video information in the form of electromagnetic files is permanently deleted using a technical method that makes restoration impossible. 
Article 42 (Recording and management of use, provision to third parties, and destruction)
① The video information processing device operator has the purpose of collecting personal video information. When using it for any other purpose or providing it to a third party, the following matters must be recorded and managed.
1. Name of personal video information file
2. Name of the person using or receiving the provision (public institution or individual)
3. Purpose of use or provision
4. If there is a legal basis for use or provision, the basis thereof
5. If there is a fixed period of use or provision, that period
6. Form of use or provision
② If the video information processing device operator destroys personal video information, the following information must be recorded and managed.
1. Name of the personal video information file to be destroyed
2. Personal video information destruction date (in case of automatic deletion with a pre-determined destruction period, destruction cycle and confirmation period for automatic deletion)
3. Person in charge of destroying personal video information 
Article 43 (Entrustment of installation and management of video information processing equipment, etc.)
① If the video information processing device operator entrusts affairs related to the installation and operation of the video information processing device to a third party pursuant to Article 26 (1) of the Decree, the name of the trustee, etc. shall be disclosed on the information board under Article 24 of the Decree and the video information processing device operation and management policy under Article 27 of the Decree so that the information subject can easily check the contents at any time.
② If the operator of video information processing equipment entrusts affairs related to the installation and operation of video information processing devices to a third party pursuant to Article 26 (1) of the Decree, he/she shall manage and supervise whether the person entrusted with such affairs is handling personal video information safely. 
Section 3 Request for viewing, etc. of personal video information
Article 44 (Request for inspection, etc. by information subject)
① The information subject may request the video information processing device operator to view or confirm the existence of personal video information processed by the video information processing device operator (hereinafter referred to as "view, etc."). In this case, the personal video information that the information subject may request to view is limited to personal video information filmed by the information subject and personal video information clearly necessary for the urgent benefit of the information subject's life, body, and property.
② If the operator of the video information processing device is a public institution, a request for viewing and existence of personal video information (including electronic documents) must be submitted to the head of the relevant organization in Form No. 2.
③ When the operator of video information processing equipment receives a request pursuant to paragraph (1), he/she shall take necessary measures without delay. At this time, the operator of the video information processing device must confirm whether the person making the request for viewing, etc. is the person himself or a legitimate agent by receiving identification documents such as a resident registration card, driver's license, or passport.
④ Notwithstanding the provisions of paragraph 3, in any of the following cases, the video information processing device operator may refuse the information subject's request to view personal video information, etc. In this case, the video information processing device operator must notify the data subject of the reason for rejection in writing, etc. within 10 days.
1. Cases that cause significant disruption to criminal investigation, maintenance of prosecution, and trial performance (limited to public institutions)
2. When personal video information is destroyed after its retention period has expired
3. If there is a justifiable reason to refuse the information subject's request for inspection, etc.
⑤ When taking measures pursuant to paragraphs 3 and 4, the operator of video information processing equipment shall record and manage the following matters.
1. Name and contact information of the information subject who requested viewing of personal video information, etc.
2. Name and contents of the personal video information file that the information subject has requested to view, etc.
3. Purpose of viewing personal video information, etc.
4. In case of refusal to view personal video information, etc., specific reasons for refusal
5. If a copy of personal video information is provided to the information subject, the content of the video information and the reason for providing it
⑥ When requesting the video information processing device operator to destroy the information subject's personal video information, the information subject may only request destruction of the personal video information that has been requested to be preserved pursuant to paragraph (1). If the video information processing device operator takes the relevant destruction action, the contents must be recorded and managed. 
Article 45 (Personal video information management ledger)
For recording and management pursuant to Article 42 (1) and (2) and Article 44 (5) and (6), the 'Personal Video Information Management Ledger' according to Form No. 3 can be used. 
Article 46 (Protection of personal video information of persons other than information subject)
When taking measures such as viewing pursuant to Article 44 (2), the operator of video information processing equipment must take protective measures to prevent personal video information from being recognized by persons other than the information subject if a person other than the information subject can be clearly identified or if there is a risk of infringement on the privacy of a person other than the information subject. 
Section 4 Personal video information protection measures
Article 47 (Measures to ensure the safety of personal video information)
The operator of video information processing equipment must take the following measures to ensure safety in accordance with Article 29 of the Act and Article 30 (1) of the Decree to prevent personal video information from being lost, stolen, leaked, altered or damaged.
1. Establishment and implementation of an internal management plan for the safe processing of personal video information. However, 'small business owners' pursuant to Article 2, Paragraph 4 of the "Notice on Standards for Ensuring the Safety of Personal Information" may not establish an internal management plan.
2. Measures to control access to personal video information and limit access rights
3. Application of technology to safely store and transmit personal video information (encryption measures for safe transmission in the case of network cameras, password settings when saving personal video information files, etc.)
4. Measures to store processing records and prevent forgery and alteration (recording and management measures such as creation date and time of personal video information, purpose of viewing, viewer, date and time of viewing, etc.)
5. Establishment of storage facilities or installation of locking devices for safe physical storage of personal video information. 
Article 48 (Inspection of installation and operation of personal video information processing devices)
① When the head of a public institution installs and operates a video information processing device, he/she must conduct a self-inspection on compliance with these guidelines, notify the Minister of Government Administration and Home Affairs of the results by March 31 of the following year, and register them in the system under Article 34 (3) of the Decree. In this case, the following matters must be considered:
1. Matters listed in the operation and management policy of video information processing equipment
2. Work performance status of the person in charge of management
3. Installation and operation status of video information processing equipment
4. Current status of personal video information collection, use, provision, and destruction
5. Status of management and supervision of consignment and trustee
6. Status of measures taken regarding the exercise of rights of information subjects
7. Status of technical, managerial and physical measures
8. Whether the need for installation and operation of image information processor continues, etc.
② After completing the self-inspection of the installation and operation of image information processing equipment pursuant to paragraphs 1 and 3, the head of a public institution shall disclose the results on its website, etc.
③ If there is a concern that the personal video information of the information subject may be infringed upon due to the installation and operation of the video information processing device, the operator of video information processing equipment other than a public institution shall make active efforts to prevent the infringement of personal video information, such as through self-inspection. 
Chapter 4 Registration and disclosure of personal information files of public institutions
Section 1 General Provisions
Article 49 (Applicability)
This chapter applies to the following:
1. Central administrative agencies (including agencies affiliated with the President and agencies affiliated with the Prime Minister), their affiliated agencies, and local governments
2. National Human Rights Commission under the National Human Rights Commission Act
3. Public institutions under the 「Act on the Management of Public Institutions」
4. Local public corporations and local corporations under the Local Public Enterprises Act
5. Special corporation established by special law
6. Schools at each level established in accordance with the Elementary and Secondary Education Act, the Higher Education Act, and other laws. 
Article 50 (Exclusion from application)
This Chapter does not apply to personal information files that fall under any of the following items.
1. Personal information files managed by the National Assembly, courts, Constitutional Court, and National Election Commission (including their affiliated organizations)
2. Personal information files of the following items excluded from application pursuant to Article 32 (2) of the Act
go. Personal information file that records matters related to national security, diplomatic secrets, and other important national interests.
me. A personal information file that records matters related to investigation of crimes, filing and maintenance of indictments, execution of sentences and confinement, correctional dispositions, protective dispositions, security observation dispositions, and immigration control.
all. A personal information file that records matters related to the investigation of criminal acts under the Tax Offenders Punishment Act and the investigation of illegal acts under the Customs Act.
la. Personal information files used only for internal business processing of public institutions
mind. Personal information files classified as confidential under other laws and regulations
3. Personal information files of the following items excluded from application pursuant to Article 58 (1) of the Act:
go. Personal information files collected in accordance with the "Statistics Act" among personal information processed by public institutions
me. Personal information files collected or requested to be provided for the purpose of analyzing information related to national security
all. public health, etc. Personal information files that are temporarily processed when urgently needed for safety and security
4. Personal video information files processed through video information processing devices
5. Personal information files collected for the sole purpose of sending data, goods or money, conducting one-time events, etc. and discarding them without storing or recording them.
6. Personal information files held by financial institutions to handle financial business in accordance with the Act on Real Name Financial Transactions and Confidentiality. 
Section 2 Registration subject and procedure of personal information file
Article 51 (Personal information file registration entity)
① The personal information protection officer of a public institution that operates personal information files must register the current status with the Ministry of Government Administration and Home Affairs.
② Central administrative agencies, metropolitan governments, special self-governing cities and provinces, and basic self-governing organizations must register directly with the Ministry of Government Administration and Home Affairs.
③ Offices of education and schools at each level must register with the Ministry of Government Administration and Home Affairs through the Ministry of Education.
④ Central administrative agencies, local government agencies, and other public agencies must register with the Ministry of Government Administration and Home Affairs through higher management agencies. 
Article 52 (Application for registration and change of personal information file)
① Personal information handlers of public institutions that operate personal information files must apply for registration of personal information files to the personal information protection manager of the relevant public institution.
② The application details for personal information file registration are as follows. Applications can be made using the 'Personal Information File Registration/Change Registration Application' in the attached Form No. 2 in accordance with Article 3, Paragraph 2 of the Personal Information Protection Act Enforcement Rules (hereinafter referred to as the "Enforcement Rules").
1. Name of public institution that operates personal information files
2. Name of personal information file
3. Basis and purpose of personal information file operation
4. Personal information items recorded in the personal information file
5. Number of information subjects whose personal information is held in personal information files
6. How personal information is processed
7. Retention period of personal information
8. If personal information is provided routinely or repeatedly, the recipient
9. Department in charge of personal information processing-related work at the relevant public institution
10. Department that receives and processes requests to view personal information
11. Among the personal information in the personal information file, the scope and reasons for restriction or refusal of personal information whose viewing can be restricted or refused pursuant to Article 35 (4) of the Act
12. In the case of a personal information file that has undergone a personal information impact assessment pursuant to Article 33 (1) of the Act, the results of the impact assessment
③ If the registered information is changed, the personal information handler must apply for change to the personal information protection manager using the 'Personal Information File Registration/Change Registration Application' in the attached Form No. 2 pursuant to Article 3, Paragraph 2 of the Enforcement Rules. 
Article 53 (Confirmation of personal information file registration and changes)
① The personal information protection manager who has received an application for registration or change of a personal information file must review the registration or change, determine its appropriateness, and then register it with the Ministry of Government Administration and Home Affairs.
② The person in charge of personal information protection at the Office of Education and schools at each level shall request the Ministry of Education to review and determine the appropriateness of registration and changes made pursuant to paragraph 1, and then receive confirmation from the Ministry of Education and register them with the Ministry of Government Administration and Home Affairs.
③ Central administrative agencies, local governments' affiliated organizations, and other public institutions shall request the higher management agency to review and determine the appropriateness of registration and changes made pursuant to paragraph (1) and then register with the Ministry of Government Administration and Home Affairs after receiving confirmation from the higher management agency.
④ Registration under paragraphs 1 through 3 must be made within 60 days. 
Article 54 (Registration and management of standard list of personal information files)
① Organizations that carry out a single common task nationwide, such as special local administrative agencies, local governments, and educational institutions (including schools), must register in accordance with the 'Personal Information File Standard List' provided by each central administrative agency.
② A standard list of personal information files related to a single common task nationwide must be registered and managed by the relevant central government agency. 
Article 55 (Destruction of personal information files)
① When a personal information file becomes unnecessary, such as when the retention period for the personal information file has expired or the purpose of processing has been achieved, a public institution must destroy the personal information file without delay. However, this does not apply in cases where it must be preserved in accordance with other laws and regulations.
② Public institutions must establish and implement a personal information destruction plan that reflects the retention period and processing purpose of personal information files. However, if an internal management plan has been established pursuant to Article 30, Paragraph 1, Item 1 of the Decree, a personal information destruction plan may be included in the internal management plan and implemented.
③ The personal information handler must select a personal information file for which there is a reason for destruction, such as expiration of the retention period or achievement of the purpose of processing, and destroy the personal information by entering the name and destruction method of the personal information file subject to destruction in the personal information file destruction request form in Appendix 4 and receiving approval from the personal information protection manager.
④ The person in charge of personal information protection must confirm the results of destruction of personal information after carrying out the destruction and prepare a personal information file destruction management ledger according to Form No. 5. 
Article 56 (Deletion of personal information file registration)
① If the personal information handler destroys the personal information file pursuant to Article 55, he/she must request the personal information protection manager to delete the registration of the personal information file pursuant to Article 32 of the Act.
② The personal information protection officer who has been requested to delete the personal information file registration confirms the fact, deletes the registration without delay, and then reports the fact to the Ministry of Government Administration and Home Affairs. 
Article 57 (Recommendations for improvement regarding registration and destruction)
① If the personal information protection manager of a public institution determines that the personal information file reviewed pursuant to Article 53 (1) is being excessively operated, he/she may recommend improvement.
② The personal information protection manager of the Office of Education, schools at each level, central administrative agencies and local governments, and other public institutions may recommend improvements if it is determined that the personal information files reviewed pursuant to Article 53 (2) and Article 53 (3) are being excessively operated, or if it is confirmed that there are unregistered files.
③ The Minister of Government Administration and Home Affairs may review the registration details and contents of the personal information file and, in any of the following cases, recommend improvements to the personal information protection manager of the relevant public institution pursuant to Article 32 (3) of the Act.
1. When it is judged that the personal information file is being used excessively
2. If there is an unregistered personal information file
3. If the personal information file is still retained despite the fact that the personal information file registration has been deleted
4. Even though you have a personal information file that has undergone a personal information impact assessment, the results are not included in the registration information.
5. If it is determined that there is a violation of registration and disclosure of personal information files pursuant to Article 32 of the Act.
④ If the Minister of Government Administration and Home Affairs recommends improvement pursuant to paragraph 3, the Minister of Government Administration and Home Affairs may announce the contents and results after deliberation and resolution by the Personal Information Protection Committee.
⑤ The Minister of Government Administration and Home Affairs may inspect the status of registration and destruction of personal information files of public institutions. 
Section 3 Management and disclosure of personal information files
Article 58 (Preparation of personal information file ledger)
Public institutions must create one personal information file ledger per personal information file.
Article 59 (Management of use and provision of personal information files)
In cases where a third party requests the use or provision of a personal information file pursuant to each subparagraph of Article 18 (2) of the Act, a public institution must check whether each use and provision is possible and record and manage it in the 'Ledger of Use and Provision of Personal Information for Other Purposes' in Form No. 6. 
Article 60 (Calculation of personal information file retention period)
① The retention period is the life cycle from collection to deletion of individual personal information, not entire personal information, and should be calculated as the minimum period that meets the retention purpose, and should be calculated according to the data retention period specified in individual laws and regulations.
② If a specific retention period is not specified in individual laws, it must be calculated through consultation with the person in charge of personal information protection and approval by the head of the institution. However, the retention period cannot exceed the standards presented in the personal information file retention period standard table in Annex 1 and the records management standard table pursuant to the Decree of the Public Records Management Act.
③ The external customer list for the purpose of publicity and public service of policy customers, website members, etc. may be kept continuously only if the data subject consents through the re-consent process every two years, except in special cases. 
Article 61 (Disclosure of personal information file status and methods)
① The person in charge of personal information protection at a public institution must periodically investigate the status of retention and destruction of personal information files and manage the results by including them in the personal information processing policy of the relevant public institution.
② The Minister of Government Administration and Home Affairs shall disclose the registration status of personal information files so that anyone can easily view them.
③ The Ministry of Government Administration and Home Affairs must compile and disclose the status of registration and deletion of personal information files of all public institutions every year. An information system can be established and operated to electronically process work related to status disclosure. 
Chapter 5 Supplementary Rules
Article 62 (Exclusion of application of penalty provisions to social organizations)
① The penalty provisions of Article 75 (1) 1 of the Act, Article 75 (2) 1 of the Act, Article 75 (3) 7 and Article 75 (3) 8 of the Act shall not apply to personal information processors of social organizations.
② Penalty provisions, excluding those stipulated in paragraph 1, also apply to personal information processors of social organizations.
Article 63 (Transitional measures regarding personal information being processed) ① If personal information is collected without any supporting laws and regulations before the enforcement of the Act, retention of such personal information shall be considered lawful processing. However, after the enforcement of this Act, in case of new processing of personal information, except for use within the scope of the existing collection purpose, the law, ordinance, enforcement regulations and these guidelines must be followed.
② Before the enforcement of the law, a personal information processor who receives personal information from a third party without the basis of law or the consent of the information subject and uses it for purposes other than the intended purpose must obtain the consent of the information subject.
③ Personal information processors who collected personal information before the enforcement of the Act may use the personal information collected before the enforcement of the Act for the purpose of obtaining new consent from the information subject in order to comply with the proviso to Paragraph 1 and Paragraph 2, notwithstanding the existing scope of collection purposes. 
Supplementary provisions
Supplementary Provisions <No. 2016-21, 2016.6.30.>
This regulation comes into effect from the date of issuance.

이용약관 및 개인정보보호방침

Terms of Use and Privacy Policy

이용약관/개인정보보호 핵심 안내

정책 안내 FAQ