개인정보보호법위반
개인정보보호법위반은 정보주체의 동의 없이 개인정보를 수집·이용·제공하거나, 업무상 알게 된 개인정보를 누설하거나, 거짓이나 부정한 수단으로 개인정보를 취득하는 경우 문제되는 범죄입니다. 단순한 실수처럼 보이는 정보 전달도 처리 목적, 권한, 동의 절차, 제공 상대방에 따라 형사처벌로 이어질 수 있습니다.
- 개인정보보호법위반 | 정의
- - 성립요건
- - 개인정보와 개인정보처리자의 의미
- 개인정보보호법위반 | 유형
- - 동의 없는 수집·이용
- - 제3자 제공 및 목적 외 이용
- - 업무상 개인정보 누설
- - 부정한 수단에 의한 개인정보 취득
- 개인정보보호법위반 | 처벌 기준
- - 처벌 수위
- - 양형 기준
- - 판례로 살펴보는 처벌 수위
- 개인정보보호법위반 | 피의자라면?
- - 수사 절차
- - 재판 절차
- 개인정보보호법위반 | 피해자라면?
- - 객관적 증거 확보하기
- - 법적 대응 진행하기
- 개인정보보호법위반 | 홀로 대응하기 어렵다면?
개인정보보호법위반은 개인정보의 처리 및 보호에 관한 법률상 의무를 위반하여 정보주체의 개인정보자기결정권을 침해하는 행위를 말합니다. 개인정보는 살아 있는 개인에 관한 정보로서 성명, 주민등록번호, 영상, 연락처 등 특정 개인을 알아볼 수 있는 정보를 포함합니다. 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 경우에도 개인정보에 해당할 수 있습니다.
개인정보보호법위반이 성립하려면 먼저 문제된 정보가 법률상 개인정보에 해당하는지, 해당 정보를 처리한 사람이 개인정보처리자 또는 개인정보를 처리하거나 처리하였던 자에 해당하는지, 그리고 수집·이용·제공·누설 행위에 적법한 근거가 있었는지를 검토해야 합니다.
특히 회사, 병원, 학교, 공공기관, 플랫폼 사업자, 콜센터, 부동산·보험·금융 영업 현장에서는 업무상 개인정보를 반복적으로 취급하므로 수집 동의서, 처리위탁 계약, 접근권한 관리, 제공 기록 등 객관 자료가 수사와 재판의 중요한 판단 근거가 됩니다.
개인정보처리자는 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통해 개인정보를 처리하는 공공기관, 법인, 단체 및 개인을 의미합니다. 따라서 기업뿐 아니라 병원, 학원, 아파트 관리주체, 공공기관, 자영업자도 업무상 고객 또는 민원인의 정보를 체계적으로 보유·이용한다면 개인정보처리자성이 문제될 수 있습니다.
다만 모든 개인정보 전달이 곧바로 형사처벌로 이어지는 것은 아닙니다. 법령상 근거가 있거나, 정보주체의 동의가 있거나, 본래 수집 목적과 관련된 처리위탁에 해당하는 경우에는 제3자 제공과 달리 평가될 수 있습니다. 결국 개인정보보호법위반 사건은 자료의 내용뿐 아니라 처리 구조 전체를 함께 보아야 합니다.
개인정보보호법위반은 동의 없는 수집·이용, 제3자 제공 및 목적 외 이용, 업무상 개인정보 누설, 부정한 수단에 의한 개인정보 취득 등으로 구분됩니다.
개인정보처리자는 원칙적으로 정보주체의 동의를 받거나 법률상 근거가 있는 경우에만 개인정보를 수집·이용할 수 있습니다. 채용, 상담, 회원가입, 계약 체결, 민원 처리 과정에서 필요한 범위를 넘어 과도한 정보를 요구하거나 수집 목적을 제대로 고지하지 않은 경우 문제가 될 수 있습니다.
수집 당시 고지한 목적과 다른 용도로 개인정보를 사용하거나, 별도 동의 없이 외부 업체·거래처·보험사·영업조직 등에 제공하면 개인정보보호법위반이 성립할 수 있습니다. 특히 사후에 동의를 받았다는 사정만으로 이미 이루어진 무단 제공이 당연히 치유되는 것은 아니므로 제공 시점의 적법성이 중요합니다.
개인정보를 처리하거나 처리하였던 사람이 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하면 처벌될 수 있습니다. 여기에는 개인정보 처리를 주된 업무로 하는 경우뿐 아니라 일반 업무 과정에서 부수적으로 개인정보를 처리하다 알게 된 정보도 포함될 수 있습니다.
거짓이나 그 밖의 부정한 수단으로 다른 사람이 처리하고 있는 개인정보를 취득한 후 영리 또는 부정한 목적으로 제3자에게 제공한 경우도 별도로 처벌됩니다. 해킹, 허위 권한 표시, 구매를 통한 대량 개인정보 유통, 알선·교사 등이 문제될 수 있으나, 단순 매입 사실만으로 언제나 부정한 수단에 의한 취득이 인정되는 것은 아니므로 구체적 취득 경위가 중요합니다.
개인정보보호법위반은 위반 유형에 따라 징역형 또는 벌금형이 적용됩니다. 또한 법인의 업무와 관련하여 임직원이 위반행위를 한 경우에는 행위자뿐 아니라 법인 또는 사업주에게도 양벌규정이 문제될 수 있습니다.
제15조 | 개인정보의 수집·이용
제17조 | 개인정보의 제공
제18조 | 개인정보의 목적 외 이용·제공 제한
제59조 | 금지행위
제70조·제71조 | 벌칙
수사기관과 법원은 아래와 같은 사정을 종합적으로 고려하여 위반의 중대성과 책임 범위를 판단합니다.
- 유출·제공된 개인정보의 종류와 규모
- 주민등록번호, 계좌정보, 민감정보 등 고위험 정보 포함 여부
- 정보주체의 동의 여부와 동의서·고지문의 구체성
- 제공 상대방과 제공 목적, 영리 또는 부정한 목적의 존재 여부
- 업무상 알게 된 정보인지, 업무와 직접적·밀접한 관련성이 있는지 여부
- 개인정보 접근권한 관리, 로그 기록, 내부 통제 체계의 존재 여부
- 유출 이후 신고, 통지, 삭제, 피해 확산 방지 조치 여부
- 동종 전력 또는 반복적·조직적 위반 여부
- 피해자와 합의 또는 피해 회복이 이루어졌는지 여부
- 법인 차원의 관리·감독 의무 이행 여부
개인정보보호법위반 혐의를 받는 경우에는 “개인정보를 전달했다”는 사실 자체보다 그 전달이 어떤 법적 지위와 권한에서 이루어졌는지를 먼저 정리해야 합니다. 특히 업무상 처리자였는지, 정보주체의 동의가 있었는지, 제공 목적이 본래 수집 목적과 관련되는지, 처리위탁인지 제3자 제공인지가 핵심 쟁점이 됩니다.
회사나 기관 내부 업무 중 발생한 사건이라면 담당자의 개인 책임뿐 아니라 법인 책임, 내부 관리·감독 의무, 접근권한 설정, 개인정보 처리방침과 실제 업무 프로세스의 일치 여부까지 함께 검토해야 합니다.
수사 과정에서 혐의를 다투거나 감형을 원한다면 개인정보 처리 구조와 증거자료를 체계적으로 정리해야 합니다.
대응 시 주의해야 할 점
- 문제된 정보가 개인정보에 해당하는지 먼저 검토하기
- 개인정보 수집·이용·제공 동의서, 고지문, 처리방침 확보하기
- 해당 정보에 접근할 권한과 실제 접근 로그를 확인하기
- 제공 상대방, 제공 목적, 제공 경위와 대가성 여부를 정리하기
- 처리위탁 계약인지 제3자 제공인지 관련 계약서와 업무지시 자료 확인하기
- 피해 확산 방지를 위한 삭제 요청, 접근 차단, 신고·통지 여부 정리하기
재판에서는 개인정보처리자성, 업무상 알게 된 개인정보인지 여부, 정보주체 동의의 범위, 영리 또는 부정한 목적, 실제 피해 발생과 회복 조치 등이 종합적으로 판단됩니다. 단순한 주장만으로는 부족하고, 시스템 기록과 내부 문서, 업무 프로세스 자료가 중요하게 활용됩니다.
재판 절차에서 유의해야 할 점
- 공소장에 기재된 위반 조항과 구성요건을 정확히 확인하기
- 정보 취득·보관·제공의 전 과정을 시간순으로 정리하기
- 업무상 필요성, 권한 범위, 지시 체계, 승인 절차를 입증할 자료 준비하기
- 고의 또는 부정한 목적이 없었다면 이를 뒷받침할 객관 자료 제출하기
- 피해자와 합의 또는 피해 회복이 가능한 경우 신중하게 진행하기
- 법인 사건이라면 관리·감독과 재발방지 조치 자료를 함께 제출하기
개인정보가 무단으로 유출되거나 제3자에게 제공된 정황이 있다면, 먼저 어떤 정보가 누구에게, 언제, 어떤 경로로 전달되었는지 확인해야 합니다. 개인정보보호법위반은 형사 고소뿐 아니라 개인정보보호위원회 신고, 민사상 손해배상 청구, 삭제·처리정지 요구가 함께 문제될 수 있습니다.
피해 사실을 입증하기 위해서는 유출 정황과 실제 사용 흔적을 가능한 한 객관적으로 확보하는 것이 중요합니다.
- 개인정보가 포함된 문자, 이메일, 카카오톡, 게시글, 파일 캡처하기
- 유출된 정보의 종류와 범위 정리하기
- 개인정보를 전달받은 상대방, 전달 경로, 전달 시점 확인하기
- 스팸, 보이스피싱, 명의도용, 계정 접근 등 2차 피해 자료 확보하기
- 서비스 가입 동의서, 개인정보 처리방침, 이용약관 확인하기
- 사업자 또는 기관에 열람·처리정지·삭제 요구한 내역 보관하기
고소장에는 단순히 “개인정보가 유출되었다”는 주장만 적기보다, 정보의 내용, 유출 경위, 동의 여부, 제공 상대방, 피해 발생 내용을 구체적으로 기재해야 합니다. 특히 내부자가 업무상 알게 된 정보를 누설한 사안인지, 외부 업체가 동의 범위를 넘어 사용한 사안인지에 따라 적용 조항이 달라질 수 있습니다.
- 개인정보보호위원회 신고 및 분쟁조정 신청 가능성 검토하기
- 형사 고소 시 적용 가능한 위반 조항을 사안별로 정리하기
- 민사상 손해배상 청구를 위해 정신적 손해와 2차 피해 자료 준비하기
- 사업자에게 유출 경위, 재발방지 조치, 삭제 여부 확인 요청하기
- 명의도용 또는 금융 피해 우려가 있다면 계정·금융 보안 조치를 병행하기
개인정보보호법위반은 정보가 실제로 외부에 나갔는지뿐 아니라, 그 정보가 법률상 개인정보인지, 제공자가 개인정보처리자 또는 업무상 처리자에 해당하는지, 정보주체의 동의와 법령상 근거가 있었는지에 따라 결론이 크게 달라질 수 있습니다.
특히 기업·기관 내부에서 발생한 사건은 형사책임, 행정제재, 민사상 손해배상, 평판 리스크가 동시에 문제될 수 있으므로 초기부터 개인정보 처리 구조와 증거자료를 정리하는 것이 중요합니다.
법무법인 오현은 개인정보보호법위반 사건에서 수집·이용·제공 경위, 동의 절차, 내부 권한 구조, 실제 판례 법리를 종합적으로 검토하여 의뢰인에게 필요한 대응 방향을 제시합니다.
