제21조(고유식별정보의 안전성 확보 조치)
①법 제24조제3항에 따른 고유식별정보의 안전성 확보 조치에 관하여는 제30조를 준용한다. 이 경우 "법 제29조"는 "법 제24조제3항"으로, "개인정보"는 "고유식별정보"로 본다. <개정 2020.8.4, 2023.9.12>
②법 제24조제4항에서 "대통령령으로 정하는 기준에 해당하는 개인정보처리자"란 다음 각 호의 어느 하나에 해당하는 개인정보처리자를 말한다. <개정 2024.3.12>
1.1만명 이상의 정보주체에 관하여 고유식별정보를 처리하는 공공기관
2.보호위원회가 법 위반 이력 및 내용ㆍ정도, 고유식별정보 처리의 위험성 등을 고려하여 법 제24조제4항에 따른 조사가 필요하다고 인정하는 공공기관
3.공공기관 외의 자로서 5만명 이상의 정보주체에 관하여 고유식별정보를 처리하는 자
③보호위원회는 제2항 각 호의 어느 하나에 해당하는 개인정보처리자에 대하여 법 제24조제4항에 따라 안전성 확보에 필요한 조치를 하였는지를 3년마다 1회 이상 조사해야 한다. <개정 2017.7.26, 2020.8.4, 2024.3.12>
④다음 각 호의 어느 하나에 해당하는 경우로서 고유식별정보의 안전성 확보 조치에 대한 점검이 이루어진 경우에는 제3항에 따른 조사를 실시한 것으로 본다. <신설 2024.3.12>
1.법 제11조의2에 따라 개인정보 보호수준 평가를 받은 경우
2.법 제32조의2에 따라 개인정보 보호 인증을 받은 경우
3.「신용정보의 이용 및 보호에 관한 법률」 제45조의5에 따른 개인신용정보 활용ㆍ관리 실태에 대한 상시평가 등 다른 법률에 따라 고유식별정보의 안전성 확보 조치 이행 여부에 대한 정기적인 점검이 이루어지는 경우로서 관계 중앙행정기관의 장의 요청에 따라 해당 점검이 제3항에 따른 조사에 준하는 것으로 보호위원회가 인정하는 경우
⑤제3항에 따른 조사는 제2항 각 호의 어느 하나에 해당하는 개인정보처리자에게 온라인 또는 서면을 통하여 필요한 자료를 제출하게 하는 방법으로 한다. <개정 2024.3.12>
⑥법 제24조제5항에서 "대통령령으로 정하는 전문기관"이란 다음 각 호의 기관을 말한다. <개정 2017.7.26, 2020.8.4, 2024.3.12>
1.「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조에 따른 한국인터넷진흥원(이하 "한국인터넷진흥원"이라 한다)
2.법 제24조제4항에 따른 조사를 수행할 수 있는 기술적ㆍ재정적 능력과 설비를 보유한 것으로 인정되어 보호위원회가 정하여 고시하는 법인, 단체 또는 기관