구 공공기관의 개인정보보호에 관한 법률은 2011년 3월 29일 폐지되고 개인정보보호법이 제정됐다. 이는 공공부문과 민간부문을 망라하여 국제 수준에 부합하는 개인정보 처리원칙 등을 규정하고, 개인정보 침해로 인한 국민의 피해 구제를 강화하여 국민의 사생활의 비밀을 보호하며, 개인정보에 대한 권리와 이익을 보장하려는 것이다. 
개인정보보호법에서 말하는 개인정보는 무엇일까. ① 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보, ② 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 등이 개인정보에 해당한다. 
“개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다. ‘개인정보처리자’가 정보주체의 동의를 받지 않거나 개인정보를 수집한 목적 범위를 벗어나 정보주체의 개인정보를 제3자에게 제공하는 경우 처벌받는다. 그리고 ‘개인정보처리자’로부터 개인정보를 제공받은 자도 정보주체로부터 별도의 동의를 받거나 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우 처벌받는다, 
개인정보처리자에 해당하지 않는 자로서 ‘개인정보를 처리하거나 처리하였던 자’가 ① 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위, ② 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위, ③ 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출하는 행위 등을 한 경우 처벌받는다. 
‘개인정보처리자’와 ‘개인정보를 처리하거나 처리하였던 자’는 서로 구별되는데, ‘업무를 목적으로 개인정보파일을 운용하기 위해 개인정보를 처리하는 자’는 ‘개인정보처리자’에 해당하고, 업무의 목적이 없거나 개인정보파일을 운용할 목적이 없는 경우 ‘개인정보를 처리하거나 처리하였던 자’에 해당한다. ‘개인정보처리자’로부터 개인정보를 제공받은 자는 개인정보를 잘못 사용하는 경우 처벌을 받을 수 있지만, 개인정보처리자가 아닌 ‘개인정보를 처리하거나 처리하였던 자’로부터 개인정보를 제공받은 자는 개인정보를 잘못 사용한경우 처벌의 대상이 아니다.
정보주체는 개인정보처리자가 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. 개인정보보호법 위반과 관련한 손해배상청구에 있어서는 일반적인 경우와 달리, 고의 또는 과실에 대한 입증책임이 손해배상을 청구하는 피해자에게 있는 것이 아니라, 개인정보처리자가 자신에게 고의 또는 과실이 없다는 점을 입증하여야 한다. 
개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 ‘손해액의 3배를 넘지 아니하는 범위’에서 손해배상액을 정할 수 있다. 고의 또는 중과실의 경우에는 경과실의 경우와는 달리 손해배상액을 손해액의 3배로 확대하고 있다. 
정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 ‘300만원 이하의 범위’에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 때 법원은 변론 전체의 취지와 증거조사의 결과를 고려하여 상당한 손해액을 인정할 수 있다.
개인정보를 처리하는 자가 수집한 개인정보가 정보주체의 의사에 반하여 유출된 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지 판단하는 기준 및 불법행위로 입은 정신적 고통에 대한 위자료 액수의 산정은 법원이 재량으로 결정한다.