개인정보의 유출 등 사고와 관련하여 「개인정보 보호법」에 따른 개인정보처리자의 의무 및 위반의 효과

1. 들어가며

디지털 대전환의 가속화에 따라 데이터의 보관 및 처리는 손쉬워졌지만, 데이터의 보관 과정에서 유출 등 위험은 증가하고 있다. 최근에는 기업들이 보관하던 막대한 개인정보의 유출 사고가 잇따라 언론에 보도되면서, 개인정보의 합법적인 처리 방안 및 정보 유출시 개인정보처리자가 부담하는 법적 책임에 관한 기업과 소비자의 관심도가 높아지고 있다.

우리나라의 개인정보 보호법제의 제정 역사를 살펴보면, 1994년 「공공기관의 개인정보 보호에 관한 법률」 제정을 시작으로, 「신용정보의 이용 및 보호에 관한 법률」, 「공공기관의 정보공개에 관한 법률」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」을 거쳐 2011년 개인정보 보호에 관한 일반법인 「개인정보 보호법」이 제정되었고, 「개인정보 보호법」은 2023년의 개정을 통하여 현재의 체계를 갖추게 되었다.

이하에서는 개인정보 보호에 관한 일반법인 「개인정보 보호법」에서 말하는 '개인정보'와 '개인정보처리자'가 무엇인지와, 개인정보 유출과 관련하여 개인정보처리자가 부담하는 주요 의무 및 그 위반의 효과가 무엇인지를 구체적으로 살펴본다.

2. 「개인정보 보호법」에서 보호대상으로 하는 ' 개인정보 ' 의 개념

「개인정보 보호법」에 따른 '개인정보'란 '살아 있는 개인에 관한 정보'로서, 다음의 정보를 말한다. (i) 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보('개인식별정보'), (ii) 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보('개인식별가능정보'), (iii) 위 (i)과 (ii)의 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리함으로써, 원래의 상태로 복원하기위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보('가명정보')가 그것이다(법 제2조 제1호 가. 내지 다.목).

「개인정보 보호법」은 '살아 있는 개인에 관한 정보'를 그 보호의 대상으로 하므로, 자연인이 아닌 법인의 정보는 보호대상이 아니다. 개인에 관한 정보 중에서는, 그 정보 하나만으로 개인을 식별할 수 있는 '개인식별정보' 외에도, 다른 정보와의 결합을 통하여 비로소 개인을 식별할 수 있게 되는 '개인식별가능정보'와 '가명정보'도 보호의 대상으로 포함함으로써, 보호의 범위를 넓힌다는 특징이 있다.

3. 「개인정보 보호법」에서 각종 의무 부과의 대상으로 하는 ' 개인정보처리자 ' 의 개념

「개인정보 보호법」에 따른 '개인정보처리자'란 '업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등'을 말한다(법 제2조 제5호). 이때 '개인정보파일'이란 '개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물'을 말하므로, 단순히 1회적이거나 개별적인 정보를 수집한 것으로는 개인정보처리자가 되지 않는다.

'개인정보처리자'의 범위에 관한 판례를 살펴보면, 개인정보파일을 구축하고 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 자만을 개인정보처리자로 보고 있고, 타인이 구축한 개인정보파일에 접근할 권한이 있는 자¹ 라는 이유만으로는 개인정보처리자가 아니라고 본 바 있다(대법원 2019. 7. 25. 선고 2019도3215 판결로 확정된 서울서부지방법원 2019. 2. 14. 선고 2018노556 판결 참조).

4. 개인정보의 유출 등 사고와 관련하여 「개인정보 보호법」에 따라 개인정보처리자에게 부과된 주요 의무

가. 고유식별정보의 처리 제한 및 안전한 보관 의무 ( 법 제 24 조 , 제 24 조의 2)

1) 고유식별정보는 주민등록번호, 여권번호, 운전면허의 면허번호, 외국인등록번호를 말한다(법 제24조 제1항, 시행령 제19조 각호). 개인정보처리자가 이러한 정보를 처리하려면 정보주체에게 고유식별정보의 처리 등에 필요한 사항을 알리고, 다른 정보의 처리에 관한 동의와 분리하여 고유식별정보 처리에 대한 별도의 동의를 받아야 한다(법 제24조 제1항).

이때 개인정보처리자는 고유식별정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 암호화 등 안전성 확보에 필요한 조치를 하여야 한다(법 제24조 제3항).

2) 고유식별정보 중 '주민등록번호'에 대해서는 보다 높은 수준의 보호조치가 취해진다. 주민등록번호의 처리를 다른 법률이 구체적으로 허용한 경우나, 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우 등 극히 예외적인 경우를 제외하면, 개인정보처리자는 주민등록번호를 처리할 수 없다(법 제24조의2 제1항).

개인정보처리자가 주민등록번호를 처리하는 경우에는 반드시 암호화 조치를 통하여 안전하게 보관해야 하고(법 제24조의2 제2항), 정보주체에게 주민등록번호를 사용하지 않고도 회원으로 가입할 수 있는 방법을 제공하여야 한다(법 제24조의2 제3항).

나. 개인정보에 관한 안전성 확보조치 의무 ( 법 제 29 조 )

개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 각종의 기술적·관리적 및 물리적 조치를 하여야 한다(법 제29조 제1항). 이때 개인정보처리자가 수행하여야 할 '안전성 확보조치'에는 내부 관리계획의 수립·시행 및 점검, 개인정보에 대한 내부 접근 권한 제한 조치, 개인정보처리시스템에 대한 침입 탐지 및 차단 등의 외부 접근 통제 조치, 개인정보를 안전하게 저장·전송하기 위한 암호화 및 이에 상응하는 조치 등이 포함되며(시행령 제30조 제1항), 그 세부 기준은 개인정보보호위원회의 고시로 정해진다(시행령 제30조 제3항).

「개인정보의 안전성 확보조치 기준」 고시에서는 개인정보처리자가 부담하는 안전성 확보조치 의무의 구체적인 내용을 정하고 있다. 판례는 개인정보의 유출 등이 문제된 사안에서 위 고시를 기준으로 하여 개인정보처리자가 안전성 확보조치 의무를 충분히 다하였는지를 판단하고 있다(대법원 2019. 7. 24. 선고 2018다238278 판결).

다. 개인정보 유출시 정보주체에게 지체없이 통지할 의무 ( 법 제 34 조 제 1 항 )

개인정보처리자는 개인정보가 분실·도난·유출되었음을 알게 되었을 때에는 지체없이 해당 정보주체에게 다음의 사항을 알려야 한다(법 제34조 제1항 각호).

(i) 분실·도난·유출된 개인정보의 항목

(ii) 분실·도난·유출이 된 시점과 그 경위

(iii) 분실·도난·유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

(iv) 개인정보처리자의 대응조치 및 피해 구제절차

(v) 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

라. 일정 규모 이상의 개인정보 분실 · 도난 · 유출 발생시 개인정보보호위원회에 대한 신고 의무 ( 법 제 34 조 제 3 항 및 시행령 제 40 조 제 1 항 )

개인정보처리자는 아래와 같은 사유가 발생하면, 그 사실을 알게 된 때로부터 72시간 내에 분실·도난·유출의 내용을 정리하여 개인정보보호위원회 등 일정한 전문기관에 서면 등으로 신고하여야 한다

(i) 1천명 이상의 정보주체에 관한 개인정보가 분실·도난·유출이 된 경우

(ii) 민감정보 또는 고유식별정보가 분실·도난·유출이 된 경우

(iii) 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 분실·도난·유출이 된 경우

5. 개인정보의 유출 등 사고를 발생시킨 개인정보처리자에 대하여 「개인정보 보호법」에 따라 부여되는 책임

가. 정보주체에 대한 손해배상책임 ( 법 제 39 조 , 제 39 조의 2)

1) 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 그 손해액의 5배를 넘지 아니하는 범위 내에서 징벌적 손해배상이 인정될 수 있다(법 제39조 제3항). 다만, 징벌적 손해배상을 청구하려는 자는 손해액을 직접 구체적으로 입증하여야 한다는 부담이 있다.

2) 「개인정보 보호법」 제39조의2 제1항은 정보주체가 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에 300만 원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있도록 하여 법정 손해배상제도를 두고 있다. 이는 정보주체가 특별히 손해액을 입증하지 않더라도 법률에 규정된 손해배상액 산정 근거에 따라 배상을 받을 수 있는 길을 열어두기 위한 조치이다.

정보주체가 위와 같은 법정 손해배상청구를 하는 경우, 고의·과실이 없다는 점은 개인정보처리자가 입증하여야 하므로(법 제39조의2 제1항 단서), 민법 제750조에 따른 불법행위책임을 추궁하는 경우보다 정보주체의 입증책임이 경감된다.

개인정보 유출로 인한 개인정보처리자의 정보주체에 대한 위자료의 지급책임도 인정될 수 있는지 살펴보면, 판례는 개인정보처리자가 수집한 개인정보가 정보주체의 의사에 반하여 유출된 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해 온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등과 같은 제반사정을 다양하게 고려하여야 한다고 보아, 위자료의 지급책임도 인정될 수 있다고 본다(대법원 2012. 12. 26. 선고 2011다59834 판결).

3) 개인정보의 유출 등을 원인으로 하는 법정 손해배상청구가 이루어진 경우, 법원은 변론 전체의 취지와 증거조사의 결과를 고려하여 300만 원의 범위에서 상당한 손해액을 인정할 수 있다(법 제39조의2 제2항).

재산상 손해액과 달리 위자료의 액수는 사실심 법원이 제반사정을 참작하여 그 직권에 속하는 재량에 의하여 이를 확정할 수 있다(대법원 1999. 4. 23. 선고 98다41377 판결). 최근에 선고된 대법원 판례를 살펴보면, 개인정보처리자가 취급하던 카드고객정보(성명, 주민등록번호, 카드번호 및 유효기간, 결제계좌번호, 회사주소, 집주소, 기타주소, 회사전화번호, 집전화번호, 휴대전화번호 중 전부 또는 일부 등)가 USB 메모리에 담겨 반출되어 제3자에게 전달된 사안에서, 위 각 정보가 모두 유출된 원고들에게 1인당 10만 원의 위자료를 지급하여야 한다고 본 원심의 결론에 수긍한 사례가 있다(대법원 2019. 10. 18. 선고 2018다207953, 2018다207977, 2018다207960, 2018다207984 판결),

나. 시정조치 및 과징금의 부과 ( 법 제 64 조 , 제 64 조의 2)

개인정보보호위원회는 「개인정보 보호법」을 위반하는 행위를 한 자에게 시정조치를 명할 수 있고(법 제64조), 제24조의2 제1항을 위반하여 주민등록번호를 처리한 경우, 개인정보처리자가 처리하는 개인정보가 분실·도난·유출·위조·변조·훼손된 경우로서 제29조에 따른 안전성 확보조치를 다하지 않은 경우 등이 인정되면, 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 않는 범위에서 과징금을 부과할 수 있다² (법 제64조의2 제1항).

다. 통지 및 신고의무 해태시 과태료 부과 ( 법 제 75 조 제 2 항 제 7, 8, 17, 18 호 )

개인정보처리자가 「개인정보 보호법」 제24조의2 제1항을 위반하여 주민등록번호를 처리하거나, 제24조의2 제2항을 위반하여 암호화 조치를 하지 않거나, 제24조의2 제3항을 위반하여 주민등록번호를 사용하지 않고 회원가입을 할 수 있는 방법을 제공하지 않거나, 제34조 제1항의 통지의무를 위반하거나, 제34조 제3항의 신고의무를 위반한 경우에는 3,000만 원 이하의 과태료에 처해진다(법 제75조 제2항 제7, 8, 17, 18호).

6. 마치며

최근 빅데이터, 사물인터넷(IoT), 인공지능(AI) 등을 통한 데이터의 수집 및 처리 능력이 비약적으로 향상됨에 따라, 공공기관, 민간기업 등이 대량의 개인정보를 쉽게 취득하고 관리할 수 있게 되었으나, 그만큼 개인정보 유출 등으로 인한 피해의 규모 역시 점차 증가하는 실정이다. 개인정보 유출 피해에 관한 소비자의 관심도와 민감도도 높아지는 상황에서, 기업 등에서 개인정보 유출 사고가 발생하는 경우 기업의 대외적 이미지나 신뢰가 훼손되는 것은 물론, 손해배상, 과징금, 과태료 등에 따라 각종의 경제적 손실을 치르게 될 수 있다.

따라서 개인정보처리자에 해당하는 기업 등은 「개인정보 보호법」에서 규정하는 개인정보의 처리방법을 준수하고, 안전성 확보조치 등을 철저히 이행함으로써 개인정보의 유출 등으로 인한 피해를 사전에 방지할 것이 요구된다. 또한, 개인정보 유출 등 사고가 발생하기 전에 정보주체에 대한 통지, 관계기관에 대한 신고 등의 법령상 의무를 이행하기 위한 행동 요령을 미리 마련해 둠으로써, 실제 유출 등 사고가 발생하더라도 피해의 규모를 최소화하고, 불필요한 제재 등을 받지 않도록 대비할 필요가 있다.

Footnotes

1. 다만 이러한 경우에도, 개인정보 보호법 제59조에서 규정한 '개인정보를 처리하거나 처리하였던 자'에는 해당할 수 있으며, 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위를 한 경우에는 처벌될 수 있다.

2. 이때 과징금의 액수는 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액을 기준으로 산정된다(법 제64조의2 제2항).

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.