[전문가 전략 요약]
- '의무'가 아닌 '증거'로 소명하십시오 : 개인정보위 공문 수령 시, 단순한 시정 약속보다 접속기록 보관 및 암호화 이행 등 이미 구축된 기술적 보호조치를 증거로 제시해야 과태료를 실질적으로 감경받을 수 있습니다.
- 실무자 형사처벌, '지시 이행'만으로는 부족합니다 : 법원은 실무자의 위법성 인지 여부를 엄격히 판단합니다. 민후의 승소 전략은 내부 통제 시스템의 존재와 개별적 고의성 부재를 입증하여 사법 리스크를 방어하는 데 집중합니다.
- 최신 판례는 '정보주체의 자기결정권'을 중시합니다 : 2025~2026년 최신 판례 트렌드에 따르면, 이미 공개된 정보라도 제3자 제공 시 별도 동의가 없는 경우 위법으로 판단될 가능성이 높으므로 약관의 정교한 설계가 필수적입니다.
목차
- 1. 개인정보보호법 위반 행위의 개념과 기초 근거법
-
2. 개인정보보호위원회 공문 수령 시 대응 전략
- 2-1. 공문 발송 사유 및 주요 유형 분석
- 2-2. 공문 수령 즉시 확인해야 할 5가지 핵심 사항
- 2-3. 공문 유형별(사전통지·시정권고 등) 맞춤 대응 전략
- 2-4. 위원회 실태점검 대응 실제 조력 사례
- 2-5. 항목별(접근통제·암호화·파기 등) 실무 체크포인트
- 2-6. 과태료 감경 전략 및 불복 절차(행정소송)
-
3. 개인정보보호법 위반 형사처벌 리스크 방어
- 3-1. 형사 고소·고발이 이루어지는 전형적 사례
- 3-2. 위반 유형별 형사처벌 수위 및 법적 근거
- 3-3. 책임 주체 판단: 실무자와 대표자 중 누가 처벌되나
- 3-4. 형사고소 대응 및 무혐의 입증을 위한 핵심 전략
-
4. 개인정보 관련 주요 대법원 판례 (민후 승소 사례 포함)
- 4-1. [판례 1] 제3자 제공 및 자기결정권 침해 사례
- 4-2. [판례 2] 정보통신망법상 비밀침해죄 관련 판결
- 5. 법적 대응을 위한 주요 관련 법조문 정리
1. 개인정보보호법 위반 행위의 개념과 기초 근거법
개인정보보호법은 개인정보의 수집·이용·제공·보관·파기 등 모든 처리 과정에서 정보주체의 권리를 보호하고, 개인정보를 적절히 관리하도록 규정하고 있습니다. 이 법을 위반하는 경우 단순한 행정처분을 넘어 형사처벌로 이어질 수 있습니다.
2. 개인정보보호위원회의 공문을 수령했을 때 대응 방법
2-1. 개인정보보호위원회의 공문, 어떤 경우에 발송되는가
개인정보보호위원회(이하 ‘개인정보위’)는 개인정보보호법 위반 사실이 의심되는 경우 또는 정기적 실태점검의 일환으로 사업자에게 공식 공문을 발송합니다. 주요 공문 유형은 다음과 같습니다.
· 사전 통지서 : 조사 착수 예정임을 알리고 사실확인 및 소명 기회를 부여
· 시정 권고 : 위법사항이 확인된 경우 자발적 시정을 유도하기 위한 행정지시
· 과태료 부과 사전통지서 : 금전적 제재가 예정되었음을 알리는 공식 문서
· 자료 제출 요구서 : 특정 개인정보 처리 실태와 관련한 자료 요구
이러한 공문은 대부분 기한 내 회신을 요구하며, 응답을 소홀히 할 경우 추가 제재로 이어질 수 있습니다.
· 사전 통지서 : 조사 착수 예정임을 알리고 사실확인 및 소명 기회를 부여
· 시정 권고 : 위법사항이 확인된 경우 자발적 시정을 유도하기 위한 행정지시
· 과태료 부과 사전통지서 : 금전적 제재가 예정되었음을 알리는 공식 문서
· 자료 제출 요구서 : 특정 개인정보 처리 실태와 관련한 자료 요구
이러한 공문은 대부분 기한 내 회신을 요구하며, 응답을 소홀히 할 경우 추가 제재로 이어질 수 있습니다.
2-2. 공문 수령 시 즉시 확인해야 할 5가지
공문 수령 후의 초기 대응은 향후 행정조치나 과태료 부과의 경중을 좌우하는 핵심 단계입니다. 회신 기한이 짧은 경우가 많고, 정해진 양식이나 절차를 지키지 않을 경우 불성실 대응으로 간주되어 제재 수위가 높아질 수 있습니다. 또한, 요청 내용이 복잡하거나 민감한 경우 법적 리스크를 정확히 판단하지 못한 채 회신할 경우 기업에 불리한 결과로 이어질 수 있으므로, 공문 수령 직후 신속하고 정확한 확인이 무엇보다 중요합니다.
** 공문을 수령 직후 기업이 실무적으로 먼저 확인해야 할 사항은 무엇일까?
** 공문을 수령 직후 기업이 실무적으로 먼저 확인해야 할 사항은 무엇일까?
① 발신 주체 및 법적 근거 : 발신기관이 개인정보보호위원회인지, 다른 감독기관인지 확인
② 요구사항 명확화 : 공문이 요구하는 ‘행위’가 무엇인지 정확히 파악
③ 회신 기한 확인 : 일반적으로 7일~14일 이내 회신 요구, 기한 경과 시 불이익 우려
④ 내부 책임자 지정 : 관련 부서 및 책임자를 중심으로 대응체계 마련
⑤ 법률 자문 검토 착수 : 공문 내용에 따라 법적 리스크 진단 및 전략 수립
② 요구사항 명확화 : 공문이 요구하는 ‘행위’가 무엇인지 정확히 파악
③ 회신 기한 확인 : 일반적으로 7일~14일 이내 회신 요구, 기한 경과 시 불이익 우려
④ 내부 책임자 지정 : 관련 부서 및 책임자를 중심으로 대응체계 마련
⑤ 법률 자문 검토 착수 : 공문 내용에 따라 법적 리스크 진단 및 전략 수립
2-3. 수령한 공문 유형별 대응 전략
공문마다 담고 있는 법적 효과와 후속 절차가 다르기 때문에, 유형별로 전략적인 대응이 필요하고 공문 유형에 따라 대응 방식이 달라져야 합니다. 예를 들어, '조사 통지'는 사전 소명 기회로 활용해야 하고, '시정 권고'는 개선 계획이 핵심이며, '과태료 통지'는 감경 사유를 입증하는 것이 중요합니다. 모든 공문을 동일하게 대응하면 불이익을 초래할 수도 있습니다.
· 사전 통지서 : 즉시 법률 검토를 통해 위법 소지 항목을 식별하고, 소명서 초안을 마련해야 합니다.
· 시정 권고 : 단순히 ‘조치 완료’로 회신하지 말고, 구체적 조치내용과 일정, 개선 프로세스를 포함한 회신서를 준비해야 합니다.
· 과태료 사전통지서 : 위반행위의 사실관계 다툼, 과태료 감경 사유 정리, 관련 증빙자료 첨부 등이 중요합니다.
· 자료 제출 요구 : 모든 요구자료를 성실히 제출하되, 영업비밀이나 과도한 정보 요구에 대해서는 ‘부분 제출’ 또는 ‘보호조치 요청’을 병행할 수 있습니다.
한편, 개인정보위의 공문은 구체적 자료 제출을 요구하는 경우가 많습니다. 예를 들어, 개인정보 처리방침 및 내부지침, 개인정보 처리 현황표, 접근기록 및 암호화 이행 내역, 수탁사 관리 내역 및 계약서, 동의서 및 수집·이용 근거자료 등을 요구합니다. 다만 이때도 원본을 제출할 필요는 없으며, 필요 시 비식별화, 요약정리본, 보호조치 확인서 등으로 대체할 수 있습니다.
2-4. 개인정보보호위원회 실태점검 대응 실제 조력 사례
법무법인 민후는 개인정보보호위원회의 실태점검을 받은 기업을 다수 조력한 바, 대표적 사례는 다음과 같습니다.
한 앱 서비스 기업의 사례에서는, 개인정보위가 ‘접근기록 미작성’, ‘암호화 미이행’, ‘파기 미조치’, ‘광고성 정보 동의 미흡’ 등이 문제되었고, 본 법인은 ① 접근 통제시스템 개선 및 암호화 이행 방안, ② 접속기록 자동 저장 및 보관 프로세스 수립, ③ 파기 절차 개선 및 자동화 도입, ④ 광고성 정보 수신 동의 이력관리 체계 구축과 같은 방안을 자문하였고, 개인정보위에 제출할 소명자료와 과태료 감경 사유 정리서를 작성해 제공하였습니다.
2-5. 위반 항목별 대응 전략 – 유형별 정리와 실무 체크포인트
개인정보위의 공문에 언급되는 개인정보보호법 위반 사항은 반복적으로 특정 유형에 집중되는 경향이 있습니다. 따라서 각 위반 항목별로 구체적인 대응 전략을 사전에 숙지해두는 것이 효과적입니다.
(1) 접근통제 미흡 및 접속기록 미작성
많은 기업이 개인정보처리시스템에 대한 접근권한을 제대로 관리하지 못하거나, 접속기록을 장기간 보관하지 않아 지적을 받습니다. 이 경우에는 ▲권한 분리 원칙에 따라 최소 권한만 부여되었는지, ▲퇴직자·휴직자 계정이 즉시 차단되었는지, ▲접속기록이 6개월 이상 보존되는 시스템이 구축되어 있는지 등을 점검해야 합니다. 필요시 외부 솔루션 도입도 고려할 수 있습니다.
(2) 개인정보의 암호화 조치 미흡
특히 휴대전화번호, 계좌번호, 주민등록번호 등 민감정보가 암호화되지 않은 채 저장되었을 경우 강력한 조치를 요구받을 수 있습니다. 데이터베이스 내 암호화 적용 여부, 암호키 관리체계 수립 여부, 저장매체 분실·유출 시 대응계획 수립 여부 등을 포괄적으로 점검해야 합니다.
(3) 개인정보 파기 미이행
법령상 개인정보는 목적 달성 후 즉시 파기되어야 하나, 실무에서는 탈퇴회원 정보, 미거래 고객 정보, 이벤트 참여 이력 등이 방치되는 경우가 많습니다. 이 경우 ▲파기 대상 기준이 설정되어 있는지, ▲파기 주기 자동화가 되어 있는지, ▲물리적 파기와 전자적 삭제가 이행되는지 등을 확인해야 하며, 조치 결과를 근거 자료로 정리해두는 것이 좋습니다.
(4) 광고성 정보 수신 동의 미분리
이슈가 자주 발생하는 부분 중 하나가 ‘서비스 이용 동의’와 ‘광고성 정보 수신 동의’를 하나의 체크박스로 통합 운영한 사례입니다. 이는 명백한 위법에 해당하며, 동의 철회 기능이 미비한 경우 더욱 문제가 되고 있습니다. 이를 방지하려면 동의 절차를 명확히 분리하고, 철회 경로를 사용자 UI에 명확히 노출해야 하며, 철회 처리 이력도 기록·보관해야 합니다.
(5) 수탁사 관리 부족
개인정보를 외부 수탁사에 위탁하는 경우, 수탁사 관리 의무를 다하지 않으면 원사업자에게도 책임이 돌아갑니다. 이에 따라 ▲위탁계약서 내 개인정보 처리 관련 조항이 구체적으로 명시되었는지, ▲정기점검이나 교육 이행 여부, ▲수탁사 목록 및 처리내역 공개 여부 등이 위원회의 주요 점검 대상이 됩니다.
(6) 고유식별정보·민감정보의 별도 관리 미흡
주민등록번호, 건강정보, 위치정보 등 민감한 정보는 일반정보보다 강화된 보호조치를 적용해야 하며, 별도 저장·암호화·접근제한이 필수입니다. 이를 위반하면 단순 과태료를 넘어 형사책임 가능성도 존재합니다.
2-6. 과태료 부과와 리스크 관리, 불복절차 및 법적 구제 수단
개인정보보호법 위반 시 과태료는 최대 3천만원까지 부과될 수 있으며, 심각한 경우 형사처벌까지 이어질 수 있습니다. 그러나 위반행위가 고의가 아닌 실수에 의한 것임을 입증하거나, 위반 직후 즉시 시정 조치하거나, 유사 위반 사례가 없거나, 내부 지침 및 교육체계 운영하는 등의 사유로 감경이 가능할 수 있습니다. 실제 민후의 자문 사례에서도, 위반 사실을 인정하되 진정성 있는 시정계획과 내부관리 체계를 병행 제출함으로써 과태료 감경 효과를 얻을 수 있었습니다.
법적 구제방법 및 대응 방법 요약
** 개인정보위의 조치에 대한 법적 구제 방법
(1) 과태료 처분 : 이의제기 및 행정심판 청구 가능
(2) 시정명령 등 행정처분 : 행정소송 제기 가능
(3) 사법절차 전환 시 : 형사고발 전 단계에서 변호인 선임 통한 소명 대응
** 기업 실무자가 반드시 기억해야 할 대응 포인트
· 공문 수령 즉시 내부 공유 및 대응 전담자 지정
· 대응서류 제출 시 기한 엄수 및 전문성 확보
· 단순히 형식적인 회신이 아니라 ‘구체적 계획과 증빙’ 동반
· 위원회 조사에 성실히 협조하되, 필요 시 법적 대응도 고려
· 반복 위반을 막기 위한 내부 교육과 시스템 재정비 병행
** 개인정보위의 조치에 대한 법적 구제 방법
(1) 과태료 처분 : 이의제기 및 행정심판 청구 가능
(2) 시정명령 등 행정처분 : 행정소송 제기 가능
(3) 사법절차 전환 시 : 형사고발 전 단계에서 변호인 선임 통한 소명 대응
** 기업 실무자가 반드시 기억해야 할 대응 포인트
· 공문 수령 즉시 내부 공유 및 대응 전담자 지정
· 대응서류 제출 시 기한 엄수 및 전문성 확보
· 단순히 형식적인 회신이 아니라 ‘구체적 계획과 증빙’ 동반
· 위원회 조사에 성실히 협조하되, 필요 시 법적 대응도 고려
· 반복 위반을 막기 위한 내부 교육과 시스템 재정비 병행
3. 개인정보보호법위반 형사처벌의 경우
3-1. 형사 고소가 이루어지는 전형적 사례
형사 고소는 피해자 또는 수사기관의 인지로 시작되는데, 전형적인 고소 유형은 어떻게 될까요?
(1) 퇴사자의 정보 무단 반출 : 기업 내부의 인사정보, 고객명단, 거래 내역 등을 무단 반출한 경우
(2) 정보 판매 및 유통 : 오픈채팅방, 텔레그램 등을 통해 개인정보가 유통되었을 때
(3) 경쟁사의 고발 : 경쟁 업체가 서비스 과정에서의 개인정보 처리 방식에 위법성이 있다고 판단하고 고발하는 경우
(4) 단순한 부주의 : 수집 목적의 범위를 넘긴 정보 활용, 고지 누락 등이 문제가 될 수 있음
이러한 문제로 개인정보보호법 위반이 인정될 경우 형사책임이 불가피하며, 특히 반복적 또는 영리목적의 위반, 조직적 유통행위 등은 중형으로 이어질 수 있습니다.
** 대표적 유형과 개인정보보호법위반 형사처벌 정도
· 정보주체 동의 없이 개인정보를 수집하거나 목적 외 이용한 경우
· 고의로 개인정보를 제3자에게 제공한 경우 : 5년 이하의 징역 또는 5천만 원 이하의 벌금 (개인정보보호법 제71조)
· 보안조치를 하지 않아 개인정보가 유출된 경우
· 고객정보나 내부 데이터 등 개인정보 무단 반출, 유출한 경우 : 동일한 수준의 형사처벌 가능, 영리 목적이나 반복 위반 시 가중 요소로 작용
· 메신저·오픈채팅방·비공식 경로로 개인정보가 유통된 경우
· 동의 절차를 이행하지 않은 경우 : 형사처벌보다는 1천만 원 이하의 과태료 대상이 되는 경우가 많음
· 영리 목적의 반복적 위반 : 형사책임과 별도로 전체 매출액의 3% 이내 과징금 부과 가능
개인정보보호법 위반의 고소는 외부로부터의 신고 외에도 내부 고발, 민원, 감사 등을 계기로 시작되는 경우도 많습니다. 특히 공공기관, 금융업, 의료업처럼 고도의 개인정보를 취급하는 업종은 상시적인 리스크에 노출되어 있으며, 단 한 건의 실수도 형사절차로 이어질 수 있습니다. 또한 고의성이 없거나 실수였다는 사정만으로 면책되는 것도 아니므로, 법적 의무 준수를 입증할 수 있는 기록과 시스템을 사전에 갖추는 것이 필수적입니다.
3-2. 개인정보보호법 위반 형사처벌 수위 및 관련 법령
개인정보보호법 위반 시에는 단순한 시정명령이나 과태료 처분을 넘어, 사안에 따라 형사처벌까지 이루어질 수 있습니다. 특히 개인정보 유출이 고의적이거나 반복적으로 발생한 경우, 또는 영리 목적으로 정보가 유통된 경우에는 더욱 무거운 형사적 책임이 부과됩니다.
이러한 처벌은 개인정보를 보호하기 위한 실효적인 수단이자, 정보주체의 권익을 침해하지 못하도록 하기 위한 강력한 규제 장치입니다. 기업 또는 개인이 수사기관으로부터 고소 또는 고발을 당했을 경우, 관련 법령과 처벌 기준을 정확히 이해하고 대응하는 것이 필수적입니다.
개인정보보호법 위반에 따른 형사처벌 수위는 위반 행위의 유형과 경중에 따라 다양하게 나뉘며, 다음과 같은 조항에 근거해 제재가 이루어집니다.
(1) 형사처벌 (징역 또는 벌금)
- 제71조 : 고의로 제3자에게 제공한 경우 5년 이하의 징역 또는 5천만 원 이하 벌금
- 제70조 : 정당한 권한 없이 개인정보파일을 유출한 경우 5년 이하의 징역 또는 5천만 원 이하 벌금
(2) 과징금
- 제64조의2 : 위반 행위에 대해 전체 매출액의 3% 이내의 과징금 부과 가능
(3) 과태료
- 제75조 제4항 제3호 : 동의 절차 누락 시 1천만 원 이하의 과태료 부과
이러한 규정은 정보주체의 권리를 침해하거나 위법한 정보처리 행위를 사전에 방지하기 위한 수단이므로, 형사적 리스크가 높고, 위반 시 법인뿐 아니라 실무자 개인에게도 책임이 미친다는 점에서 철저한 대비가 필요합니다.
특히 기업이 법인 명의로 개인정보를 수집·운영하는 경우에도, 실무 담당자 또는 관리책임자에게 민형사상 책임이 개별적으로 부과될 수 있습니다. 실무자가 동의 없는 수집이나 무단 반출 등 위법한 행위를 직접 실행했거나 이를 방치했다면, ‘개인적 고의 또는 과실’이 인정되어 형사처벌 대상이 될 수 있습니다. 반대로 대표자나 임원이 개인정보 보호조치를 마련하지 않고 방기한 경우, 관리 책임의 일환으로 동일하게 처벌받을 수 있습니다. 따라서 모든 단계에서 책임 주체를 명확히 하고 내부 통제 체계를 실질적으로 운영하는 것이 핵심입니다.
[개인정보보호법 위반 형사사건 진행 절차]
[1단계] 고소 또는 수사 개시 - 경쟁사 고발, 내부 감사, 유출 사고 보고를 계기로 수사 착수
▼
[2단계] 참고인·피의자 조사 - 진술 내용이 향후 기소 여부를 좌우
▼
[3단계] 기술적 자료 분석 - 서버 로그, 접근 기록, 암호화 여부 검토
▼
[4단계] 법리 판단 - 개인정보 해당성, 개인정보 파일 여부, 고의성 판단
▼
[5단계] 처분 - 무혐의, 기소유예, 벌금형, 실형 가능성까지 분기
[1단계] 고소 또는 수사 개시 - 경쟁사 고발, 내부 감사, 유출 사고 보고를 계기로 수사 착수
▼
[2단계] 참고인·피의자 조사 - 진술 내용이 향후 기소 여부를 좌우
▼
[3단계] 기술적 자료 분석 - 서버 로그, 접근 기록, 암호화 여부 검토
▼
[4단계] 법리 판단 - 개인정보 해당성, 개인정보 파일 여부, 고의성 판단
▼
[5단계] 처분 - 무혐의, 기소유예, 벌금형, 실형 가능성까지 분기
3-3. 개인정보보호법 위반 사건에서 실무자와 대표자 중 누가 처벌되는가
수사기관은 개인정보 형사사건에서 책임 주체를 이분법적으로 나누지 않고, 실무자와 대표자 모두 각각의 책임을 따로 판단합니다.
✔ 실무자의 형사책임 기준
- 위법성을 인식했는지
- 지시가 있었더라도 거부 가능성이 있었는지
- 개인정보의 성격과 위험성을 인지할 수 있었는지
▶ 단순 지시 이행이라 하더라도, 주의의무 위반이 인정되면 형사책임이 성립할 수 있습니다.
✔ 대표자·관리자의 책임 기준
- 내부 통제 시스템 존재 여부
- 접근권한 관리, 로그 기록, 교육 체계 구축 여부
- 사고 발생 시 대응 프로세스 마련 여부
▶ 즉, 시스템 부재 자체가 대표자의 과실로 평가될 수 있습니다.
3-4. 개인정보보호법위반 형사고소 대응을 위한 핵심 전략
개인정보보호법 위반으로 고소되었을 경우, 다음과 같은 대응이 필요하며, 초기 대응을 어떻게 하느냐에 따라 이후 수사 방향과 처벌 수위가 결정될 수 있으므로, 각 단계에서의 전략적 판단이 중요합니다.
(1) 침착한 초기 대응
수사기관의 연락을 받았다고 해서 당황하거나 무리한 해명을 시도하는 것보다는 초기에는 진술을 유보하고 법률대리인을 선임하는 것이 바람직합니다.
(2) 개인정보의 범위 및 성격 분석
문제가 된 정보가 개인정보인지, 개인정보파일에 해당하는지 여부부터 철저히 검토해야 하는데, 특히 정보가 특정 개인을 식별할 수 없는 경우, 개인정보로 인정되지 않을 수 있습니다.
(3) 행위의 고의성 및 정당성 여부 파악
고의로 수집·제공했는지, 또는 직무상 정당한 행위였는지 여부에 따라 처벌 수위는 크게 달라지기 때문에, 필요시 관련 증거 확보와 법리 정리가 병행되어야 합니다.
(4) 개인정보보호법위반 행위 발생 여부 등에 관한 기술적 분석 병행
특히 기업 사건의 경우, 서버 로그, 접속 기록, 암호화 여부 등 기술적 대응이 중요하고, 이를 통해 개인정보가 실제로 유출되지 않았다는 점, 유출 주체가 다르다는 점 등을 증명할 수 있습니다.
[개인정보보호법 준수를 위한 사전 조치]
개인정보보호법 위반은 대부분 부주의나 내부 통제 부실에서 비롯되므로, 사전에 체계적인 관리 시스템을 마련하는 것이 위법으로 인한 법적책임이 발생하는 것을 예방하는 가장 효과적인 방법입니다.
· 개인정보처리방침의 정비
· 수집 및 제공 동의 절차 이행
· 위임업체 또는 외주 인력 관리 체계 구축
· 퇴사자에 대한 자료 반출 통제 시스템 마련
· 로그 및 접근기록 관리 체계 운영
· 정기적인 법률 자문과 교육 실시
개인정보보호법 위반은 대부분 부주의나 내부 통제 부실에서 비롯되므로, 사전에 체계적인 관리 시스템을 마련하는 것이 위법으로 인한 법적책임이 발생하는 것을 예방하는 가장 효과적인 방법입니다.
· 개인정보처리방침의 정비
· 수집 및 제공 동의 절차 이행
· 위임업체 또는 외주 인력 관리 체계 구축
· 퇴사자에 대한 자료 반출 통제 시스템 마련
· 로그 및 접근기록 관리 체계 운영
· 정기적인 법률 자문과 교육 실시
4. 개인정보보호 관련 주요 대법원 판례
4-1. 판례 1 [ 대법원 2025. 3. 13. 선고 2024두55440 판결 ] : 법무법인 민후 승소 사례
** 판결문 본문 발췌
··· (중략) ··· 원고가 페이스북 서비스 이용자의 친구(Friends, 이하 ‘친구’라 한다)의 개인정보를 제3자 앱에 제공한 행위는 구 정보통신망법 제24조의2 제1항이 정한 ‘개인정보를 제3자에게 제공하는 행위’에 해당한다. 3) 설령 제3자 앱에 제공된 개인정보가 친구 스스로 이미 공개한 개인정보라고 하더라도, 원고가 그 개인정보를 제3자 앱에 제공한 행위는 정보주체인 친구의 별도 동의를 받지 않더라도 친구의 동의가 있었다고 객관적으로 인정되는 범위 내에 해당한다고 보기 어렵다. 원고가 친구의 동의 없이 그 개인정보를 제3자 앱에 제공한 것은 친구의 개인정보자기결정권을 침해한 위법한 행위라고 보아야 한다. ··· (중략) ···
원심은 판시와 같은 이유로 ‘피고가 과징금 산정 시 위반행위와 관련한 매출액의 범위를 페이스북 로그인 서비스의 매출액에 한정하지 않았고, 그 관련 매출액을 객관적으로 산정하기 곤란함에도 정액과징금을 부과하지 않았으므로, 이 사건 과징금 처분은 위법하다.’는 취지의 원고 주장을 배척한 다음, 이 사건 과징금 처분에 위반행위의 중대성, 추가적인 가중사유 등 과징금 산정의 기초가 되는 사실을 오인하거나 비례의 원칙을 위반하여 재량권을 일탈·남용한 위법이 없다고 판단하였다. 원심판결 이유를 관련 법리에 비추어 살펴보면, 원심판단에 상고이유 주장과 같이 구 정보통신망법 제64조의3 제1항, 제2항 등이 정한 위반행위와 관련한 매출액의 범위 및 정액과징금 부과사유, 과징금 산정기준과 가중사유, 비례의 원칙, 재량권 일탈·남용 등에 관한 법리를 오해하여 필요한 심리를 다하지 않거나 논리와 경험 법칙을 위반하여 자유심증주의 한계를 벗어나 판결에 영향을 미친 잘못이 없다. ··· (중략) ···
··· (중략) ··· 원고가 페이스북 서비스 이용자의 친구(Friends, 이하 ‘친구’라 한다)의 개인정보를 제3자 앱에 제공한 행위는 구 정보통신망법 제24조의2 제1항이 정한 ‘개인정보를 제3자에게 제공하는 행위’에 해당한다. 3) 설령 제3자 앱에 제공된 개인정보가 친구 스스로 이미 공개한 개인정보라고 하더라도, 원고가 그 개인정보를 제3자 앱에 제공한 행위는 정보주체인 친구의 별도 동의를 받지 않더라도 친구의 동의가 있었다고 객관적으로 인정되는 범위 내에 해당한다고 보기 어렵다. 원고가 친구의 동의 없이 그 개인정보를 제3자 앱에 제공한 것은 친구의 개인정보자기결정권을 침해한 위법한 행위라고 보아야 한다. ··· (중략) ···
원심은 판시와 같은 이유로 ‘피고가 과징금 산정 시 위반행위와 관련한 매출액의 범위를 페이스북 로그인 서비스의 매출액에 한정하지 않았고, 그 관련 매출액을 객관적으로 산정하기 곤란함에도 정액과징금을 부과하지 않았으므로, 이 사건 과징금 처분은 위법하다.’는 취지의 원고 주장을 배척한 다음, 이 사건 과징금 처분에 위반행위의 중대성, 추가적인 가중사유 등 과징금 산정의 기초가 되는 사실을 오인하거나 비례의 원칙을 위반하여 재량권을 일탈·남용한 위법이 없다고 판단하였다. 원심판결 이유를 관련 법리에 비추어 살펴보면, 원심판단에 상고이유 주장과 같이 구 정보통신망법 제64조의3 제1항, 제2항 등이 정한 위반행위와 관련한 매출액의 범위 및 정액과징금 부과사유, 과징금 산정기준과 가중사유, 비례의 원칙, 재량권 일탈·남용 등에 관한 법리를 오해하여 필요한 심리를 다하지 않거나 논리와 경험 법칙을 위반하여 자유심증주의 한계를 벗어나 판결에 영향을 미친 잘못이 없다. ··· (중략) ···
4-2. 판례 2 [ 2017도15226 정보통신망법상 비밀침해죄 관련 판결 ]
** 판결문 본문 발췌
··· (중략) ··· 정보통신망법 제49조 위반행위의 객체인 ‘정보통신망에 의해 처리·보관 또는 전송되는 타인의 비밀’에는 정보통신망으로 실시간 처리·전송 중인 비밀, 나아가 정보통신망으로 처리·전송이 완료되어 원격지 서버에 저장·보관된 것으로 통신기능을 이용한 처리·전송을 거쳐야만 열람·검색이 가능한 비밀이 포함됨은 당연하다. 그러나 이에 한정되는 것은 아니다. 정보통신망으로 처리·전송이 완료된 다음 사용자의 개인용 컴퓨터(PC)에 저장·보관되어 있더라도, 그 처리·전송과 저장·보관이 서로 밀접하게 연계됨으로써 정보통신망과 관련된 컴퓨터 프로그램을 활용해서만 열람·검색이 가능한 경우 등 정보통신체제 내에서 저장·보관 중인 것으로 볼 수 있는 비밀도 여기서 말하는 ‘타인의 비밀’에 포함된다고 보아야 한다.
··· (중략) ··· 타인의 비밀 ‘누설’이란 타인의 비밀에 관한 일체의 누설행위를 의미하는 것이 아니라, 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 비밀을 정보통신망에 침입하는 등의 부정한 수단 또는 방법으로 취득한 사람이나 그 비밀이 위와 같은 방법으로 취득된 것임을 알고 있는 사람이 그 비밀을 아직 알지 못하는 타인에게 이를 알려주는 행위만을 의미한다.
··· (중략) ··· 정보통신망법 제48조 제1항은 정보통신망에 대한 보호조치를 침해하거나 훼손할 것을 구성요건으로 하지 않고 ‘정당한 접근권한 없이 또는 허용된 접근권한을 넘어’ 정보통신망에 침입하는 행위를 금지하고 있다. 정보통신망법 제49조는 제48조와 달리 정보통신망 자체를 보호하는 것이 아니라 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보나 비밀을 보호대상으로 한다. 따라서 정보통신망법 제49조의 ‘타인의 비밀 침해 또는 누설’에서 요구되는 ‘정보통신망에 침입하는 등 부정한 수단 또는 방법’에는 부정하게 취득한 타인의 식별부호(아이디와 비밀번호)를 직접 입력하거나 보호조치에 따른 제한을 면할 수 있게 하는 부정한 명령을 입력하는 등의 행위에 한정되지 않는다. 이러한 행위가 없더라도 사용자가 식별부호를 입력하여 정보통신망에 접속된 상태에 있는 것을 기화로 정당한 접근권한 없는 사람이 사용자 몰래 정보통신망의 장치나 기능을 이용하는 등의 방법으로 타인의 비밀을 취득·누설하는 행위도 포함된다. ··· (중략) ···
··· (중략) ··· 정보통신망법 제49조 위반행위의 객체인 ‘정보통신망에 의해 처리·보관 또는 전송되는 타인의 비밀’에는 정보통신망으로 실시간 처리·전송 중인 비밀, 나아가 정보통신망으로 처리·전송이 완료되어 원격지 서버에 저장·보관된 것으로 통신기능을 이용한 처리·전송을 거쳐야만 열람·검색이 가능한 비밀이 포함됨은 당연하다. 그러나 이에 한정되는 것은 아니다. 정보통신망으로 처리·전송이 완료된 다음 사용자의 개인용 컴퓨터(PC)에 저장·보관되어 있더라도, 그 처리·전송과 저장·보관이 서로 밀접하게 연계됨으로써 정보통신망과 관련된 컴퓨터 프로그램을 활용해서만 열람·검색이 가능한 경우 등 정보통신체제 내에서 저장·보관 중인 것으로 볼 수 있는 비밀도 여기서 말하는 ‘타인의 비밀’에 포함된다고 보아야 한다.
··· (중략) ··· 타인의 비밀 ‘누설’이란 타인의 비밀에 관한 일체의 누설행위를 의미하는 것이 아니라, 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 비밀을 정보통신망에 침입하는 등의 부정한 수단 또는 방법으로 취득한 사람이나 그 비밀이 위와 같은 방법으로 취득된 것임을 알고 있는 사람이 그 비밀을 아직 알지 못하는 타인에게 이를 알려주는 행위만을 의미한다.
··· (중략) ··· 정보통신망법 제48조 제1항은 정보통신망에 대한 보호조치를 침해하거나 훼손할 것을 구성요건으로 하지 않고 ‘정당한 접근권한 없이 또는 허용된 접근권한을 넘어’ 정보통신망에 침입하는 행위를 금지하고 있다. 정보통신망법 제49조는 제48조와 달리 정보통신망 자체를 보호하는 것이 아니라 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보나 비밀을 보호대상으로 한다. 따라서 정보통신망법 제49조의 ‘타인의 비밀 침해 또는 누설’에서 요구되는 ‘정보통신망에 침입하는 등 부정한 수단 또는 방법’에는 부정하게 취득한 타인의 식별부호(아이디와 비밀번호)를 직접 입력하거나 보호조치에 따른 제한을 면할 수 있게 하는 부정한 명령을 입력하는 등의 행위에 한정되지 않는다. 이러한 행위가 없더라도 사용자가 식별부호를 입력하여 정보통신망에 접속된 상태에 있는 것을 기화로 정당한 접근권한 없는 사람이 사용자 몰래 정보통신망의 장치나 기능을 이용하는 등의 방법으로 타인의 비밀을 취득·누설하는 행위도 포함된다. ··· (중략) ···
5. 개인정보보호 관련 주요 법조문
⚖️ 법령 바로가기
5-1. 개인정보보호법
◐ 제2조 제1호 ~ 제6호(정의)
1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)
1의2. “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
2. “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
6. “공공기관”이란 다음 각 목의 기관을 말한다.
가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체
나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관
◐ 제15조(개인정보의 수집·이용)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 5. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
7. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.
◐ 제17조 제1항 제1호(개인정보의 제공)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다.
1. 정보주체의 동의를 받은 경우
◐ 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지)
① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.
1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 제37조에 따른 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실
② 제1항에도 불구하고 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다.
③ 제2항 본문에 따라 알리는 경우 정보주체에게 알리는 시기ㆍ방법 및 절차 등 필요한 사항은 대통령령으로 정한다.
④ 제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다.
1. 통지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우
2. 통지로 인하여 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
◐ 제26조(업무위탁에 따른 개인정보의 처리 제한)
① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 한다.
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항
3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자를 포함하며, 이하 “수탁자”라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.
⑥ 수탁자는 위탁받은 개인정보의 처리 업무를 제3자에게 다시 위탁하려는 경우에는 위탁자의 동의를 받아야 한다.
⑦ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.
⑧ 수탁자에 관하여는 제15조부터 제18조까지, 제21조, 제22조, 제22조의2, 제23조, 제24조, 제24조의2, 제25조, 제25조의2, 제27조, 제28조, 제28조의2부터 제28조의5까지, 제28조의7부터 제28조의11까지, 제29조, 제30조, 제30조의2, 제31조, 제33조, 제34조, 제34조의2, 제35조, 제35조의2, 제36조, 제37조, 제37조의2, 제38조, 제59조, 제63조, 제63조의2 및 제64조의2를 준용한다. 이 경우 “개인정보처리자”는 “수탁자”로 본다
◐ 제29조(안전조치의무)
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다
◐ 제37조(개인정보의 처리정지 등)
① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. 이 경우 공공기관에 대해서는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다.
② 개인정보처리자는 제1항에 따른 처리정지 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.
1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우
③ 개인정보처리자는 정보주체가 제1항에 따라 동의를 철회한 때에는 지체 없이 수집된 개인정보를 복구ㆍ재생할 수 없도록 파기하는 등 필요한 조치를 하여야 한다. 다만, 제2항 각 호의 어느 하나에 해당하는 경우에는 동의 철회에 따른 조치를 하지 아니할 수 있다.
④ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하거나 제3항 단서에 따라 동의 철회에 따른 조치를 하지 아니하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다.
⑤ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다.
⑥ 제1항부터 제5항까지의 규정에 따른 처리정지의 요구, 동의 철회, 처리정지의 거절, 통지 등의 방법 및 절차에 필요한 사항은 대통령령으로 정한다.
◐ 제63조(자료제출 요구 및 검사)
① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자에게 관계 물품ㆍ서류 등 자료를 제출하게 할 수 있다.
1. 이 법을 위반하는 사항을 발견하거나 혐의가 있음을 알게 된 경우
2. 이 법 위반에 대한 신고를 받거나 민원이 접수된 경우
3. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 경우로서 대통령령으로 정하는 경우
② 보호위원회는 개인정보처리자가 제1항에 따른 자료를 제출하지 아니하거나 이 법을 위반한 사실이 있다고 인정되면 소속 공무원으로 하여금 개인정보처리자 및 해당 법 위반사실과 관련한 관계인의 사무소나 사업장에 출입하여 업무 상황, 장부 또는 서류 등을 검사하게 할 수 있다. 이 경우 검사를 하는 공무원은 그 권한을 나타내는 증표를 지니고 이를 관계인에게 내보여야 한다.
③ 보호위원회는 이 법 등 개인정보 보호와 관련된 법규의 위반행위로 인하여 중대한 개인정보 침해사고가 발생한 경우 신속하고 효과적인 대응을 위하여 다음 각 호의 어느 하나에 해당하는 관계 기관의 장에게 협조를 요청할 수 있다.
1. 중앙행정기관
2. 지방자치단체
3. 그 밖에 법령 또는 자치법규에 따라 행정권한을 가지고 있거나 위임 또는 위탁받은 공공기관
④ 제3항에 따라 협조를 요청받은 관계 기관의 장은 특별한 사정이 없으면 이에 따라야 한다.
⑤ 제1항 및 제2항에 따른 자료제출 요구, 검사 절차 및 방법 등에 관하여 필요한 사항은 보호위원회가 정하여 고시할 수 있다.
⑥ 보호위원회는 제1항 및 제2항에 따라 제출받거나 수집한 서류ㆍ자료 등을 이 법에 따른 경우를 제외하고는 제3자에게 제공하거나 일반에 공개해서는 아니 된다.
⑦ 보호위원회는 정보통신망을 통하여 자료의 제출 등을 받은 경우나 수집한 자료 등을 전자화한 경우에는 개인정보ㆍ영업비밀 등이 유출되지 아니하도록 제도적ㆍ기술적 보완조치를 하여야 한다.
◐ 제64조(시정조치 등)
① 보호위원회는 이 법을 위반한 자(중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 제외한다)에 대하여 다음 각 호에 해당하는 조치를 명할 수 있다.
1. 개인정보 침해행위의 중지
2. 개인정보 처리의 일시적인 정지
3. 그 밖에 개인정보의 보호 및 침해 방지를 위하여 필요한 조치
② 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 그 소속 기관 및 소관 공공기관이 이 법을 위반하였을 때에는 제1항 각 호에 해당하는 조치를 명할 수 있다.
③ 보호위원회는 중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회가 이 법을 위반하였을 때에는 해당 기관의 장에게 제1항 각 호에 해당하는 조치를 하도록 권고할 수 있다. 이 경우 권고를 받은 기관은 특별한 사유가 없으면 이를 존중하여야 한다.
1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)
1의2. “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
2. “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
6. “공공기관”이란 다음 각 목의 기관을 말한다.
가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체
나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관
◐ 제15조(개인정보의 수집·이용)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우 5. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
7. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
③ 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다.
◐ 제17조 제1항 제1호(개인정보의 제공)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다.
1. 정보주체의 동의를 받은 경우
◐ 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지)
① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.
1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 제37조에 따른 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실
② 제1항에도 불구하고 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다.
③ 제2항 본문에 따라 알리는 경우 정보주체에게 알리는 시기ㆍ방법 및 절차 등 필요한 사항은 대통령령으로 정한다.
④ 제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다.
1. 통지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우
2. 통지로 인하여 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
◐ 제26조(업무위탁에 따른 개인정보의 처리 제한)
① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 한다.
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항
3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 “위탁자”라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자를 포함하며, 이하 “수탁자”라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.
⑤ 수탁자는 개인정보처리자로부터 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.
⑥ 수탁자는 위탁받은 개인정보의 처리 업무를 제3자에게 다시 위탁하려는 경우에는 위탁자의 동의를 받아야 한다.
⑦ 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다.
⑧ 수탁자에 관하여는 제15조부터 제18조까지, 제21조, 제22조, 제22조의2, 제23조, 제24조, 제24조의2, 제25조, 제25조의2, 제27조, 제28조, 제28조의2부터 제28조의5까지, 제28조의7부터 제28조의11까지, 제29조, 제30조, 제30조의2, 제31조, 제33조, 제34조, 제34조의2, 제35조, 제35조의2, 제36조, 제37조, 제37조의2, 제38조, 제59조, 제63조, 제63조의2 및 제64조의2를 준용한다. 이 경우 “개인정보처리자”는 “수탁자”로 본다
◐ 제29조(안전조치의무)
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다
◐ 제37조(개인정보의 처리정지 등)
① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. 이 경우 공공기관에 대해서는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다.
② 개인정보처리자는 제1항에 따른 처리정지 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.
1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우
③ 개인정보처리자는 정보주체가 제1항에 따라 동의를 철회한 때에는 지체 없이 수집된 개인정보를 복구ㆍ재생할 수 없도록 파기하는 등 필요한 조치를 하여야 한다. 다만, 제2항 각 호의 어느 하나에 해당하는 경우에는 동의 철회에 따른 조치를 하지 아니할 수 있다.
④ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하거나 제3항 단서에 따라 동의 철회에 따른 조치를 하지 아니하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다.
⑤ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다.
⑥ 제1항부터 제5항까지의 규정에 따른 처리정지의 요구, 동의 철회, 처리정지의 거절, 통지 등의 방법 및 절차에 필요한 사항은 대통령령으로 정한다.
◐ 제63조(자료제출 요구 및 검사)
① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자에게 관계 물품ㆍ서류 등 자료를 제출하게 할 수 있다.
1. 이 법을 위반하는 사항을 발견하거나 혐의가 있음을 알게 된 경우
2. 이 법 위반에 대한 신고를 받거나 민원이 접수된 경우
3. 그 밖에 정보주체의 개인정보 보호를 위하여 필요한 경우로서 대통령령으로 정하는 경우
② 보호위원회는 개인정보처리자가 제1항에 따른 자료를 제출하지 아니하거나 이 법을 위반한 사실이 있다고 인정되면 소속 공무원으로 하여금 개인정보처리자 및 해당 법 위반사실과 관련한 관계인의 사무소나 사업장에 출입하여 업무 상황, 장부 또는 서류 등을 검사하게 할 수 있다. 이 경우 검사를 하는 공무원은 그 권한을 나타내는 증표를 지니고 이를 관계인에게 내보여야 한다.
③ 보호위원회는 이 법 등 개인정보 보호와 관련된 법규의 위반행위로 인하여 중대한 개인정보 침해사고가 발생한 경우 신속하고 효과적인 대응을 위하여 다음 각 호의 어느 하나에 해당하는 관계 기관의 장에게 협조를 요청할 수 있다.
1. 중앙행정기관
2. 지방자치단체
3. 그 밖에 법령 또는 자치법규에 따라 행정권한을 가지고 있거나 위임 또는 위탁받은 공공기관
④ 제3항에 따라 협조를 요청받은 관계 기관의 장은 특별한 사정이 없으면 이에 따라야 한다.
⑤ 제1항 및 제2항에 따른 자료제출 요구, 검사 절차 및 방법 등에 관하여 필요한 사항은 보호위원회가 정하여 고시할 수 있다.
⑥ 보호위원회는 제1항 및 제2항에 따라 제출받거나 수집한 서류ㆍ자료 등을 이 법에 따른 경우를 제외하고는 제3자에게 제공하거나 일반에 공개해서는 아니 된다.
⑦ 보호위원회는 정보통신망을 통하여 자료의 제출 등을 받은 경우나 수집한 자료 등을 전자화한 경우에는 개인정보ㆍ영업비밀 등이 유출되지 아니하도록 제도적ㆍ기술적 보완조치를 하여야 한다.
◐ 제64조(시정조치 등)
① 보호위원회는 이 법을 위반한 자(중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 제외한다)에 대하여 다음 각 호에 해당하는 조치를 명할 수 있다.
1. 개인정보 침해행위의 중지
2. 개인정보 처리의 일시적인 정지
3. 그 밖에 개인정보의 보호 및 침해 방지를 위하여 필요한 조치
② 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 그 소속 기관 및 소관 공공기관이 이 법을 위반하였을 때에는 제1항 각 호에 해당하는 조치를 명할 수 있다.
③ 보호위원회는 중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회가 이 법을 위반하였을 때에는 해당 기관의 장에게 제1항 각 호에 해당하는 조치를 하도록 권고할 수 있다. 이 경우 권고를 받은 기관은 특별한 사유가 없으면 이를 존중하여야 한다.
5-2. 통신비밀보호법
◐ 제3조(통신 및 대화비밀의 보호) 및 제14조
①누구든지 이 법과 형사소송법 또는 군사법원법의 규정에 의하지 아니하고는 우편물의 검열ㆍ전기통신의 감청 또는 통신사실확인자료의 제공을 하거나 공개되지 아니한 타인간의 대화를 녹음 또는 청취하지 못한다. 다만, 다음 각호의 경우에는 당해 법률이 정하는 바에 의한다.
1. 환부우편물등의 처리 : 우편법 제28조ㆍ제32조ㆍ제35조ㆍ제36조등의 규정에 의하여 폭발물등 우편금제품이 들어 있다고 의심되는 소포우편물(이와 유사한 郵便物을 포함한다) 을 개피하는 경우, 수취인에게 배달할 수 없거나 수취인이 수령을 거부한 우편물을 발송인에게 환부하는 경우, 발송인의 주소ㆍ성명이 누락된 우편물로서 수취인이 수취를 거부하여 환부하는 때에 그 주소ㆍ성명을 알기 위하여 개피하는 경우 또는 유가물이 든 환부불능우편물을 처리하는 경우
2. 수출입우편물에 대한 검사 : 관세법 제256조ㆍ제257조 등의 규정에 의한 신서외의 우편물에 대한 통관검사절차
3. 구속 또는 복역중인 사람에 대한 통신 : 형사소송법 제91조, 군사법원법 제131조, 「형의 집행 및 수용자의 처우에 관한 법률」 제41조ㆍ제43조ㆍ제44조 및 「군에서의 형의 집행 및 군수용자의 처우에 관한 법률」 제42조ㆍ제44조 및 제45조에 따른 구속 또는 복역중인 사람에 대한 통신의 관리
4. 파산선고를 받은 자에 대한 통신 : 「채무자 회생 및 파산에 관한 법률」 제484조의 규정에 의하여 파산선고를 받은 자에게 보내온 통신을 파산관재인이 수령하는 경우
5. 혼신제거등을 위한 전파감시 : 전파법 제49조 내지 제51조의 규정에 의한 혼신제거등 전파질서유지를 위한 전파감시의 경우
②우편물의 검열 또는 전기통신의 감청(이하 “통신제한조치”라 한다)은 범죄수사 또는 국가안전보장을 위하여 보충적인 수단으로 이용되어야 하며, 국민의 통신비밀에 대한 침해가 최소한에 그치도록 노력하여야 한다.
③누구든지 단말기기 고유번호를 제공하거나 제공받아서는 아니된다. 다만, 이동전화단말기 제조업체 또는 이동통신사업자가 단말기의 개통처리 및 수리 등 정당한 업무의 이행을 위하여 제공하거나 제공받는 경우에는 그러하지 아니하다.
◐ 제14조 (타인의 대화비밀 침해금지)
①누구든지 공개되지 아니한 타인간의 대화를 녹음하거나 전자장치 또는 기계적 수단을 이용하여 청취할 수 없다.
②제4조 내지 제8조, 제9조제1항 전단 및 제3항, 제9조의2, 제11조제1항ㆍ제3항ㆍ제4항 및 제12조의 규정은 제1항의 규정에 의한 녹음 또는 청취에 관하여 이를 적용한다.
①누구든지 이 법과 형사소송법 또는 군사법원법의 규정에 의하지 아니하고는 우편물의 검열ㆍ전기통신의 감청 또는 통신사실확인자료의 제공을 하거나 공개되지 아니한 타인간의 대화를 녹음 또는 청취하지 못한다. 다만, 다음 각호의 경우에는 당해 법률이 정하는 바에 의한다.
1. 환부우편물등의 처리 : 우편법 제28조ㆍ제32조ㆍ제35조ㆍ제36조등의 규정에 의하여 폭발물등 우편금제품이 들어 있다고 의심되는 소포우편물(이와 유사한 郵便物을 포함한다) 을 개피하는 경우, 수취인에게 배달할 수 없거나 수취인이 수령을 거부한 우편물을 발송인에게 환부하는 경우, 발송인의 주소ㆍ성명이 누락된 우편물로서 수취인이 수취를 거부하여 환부하는 때에 그 주소ㆍ성명을 알기 위하여 개피하는 경우 또는 유가물이 든 환부불능우편물을 처리하는 경우
2. 수출입우편물에 대한 검사 : 관세법 제256조ㆍ제257조 등의 규정에 의한 신서외의 우편물에 대한 통관검사절차
3. 구속 또는 복역중인 사람에 대한 통신 : 형사소송법 제91조, 군사법원법 제131조, 「형의 집행 및 수용자의 처우에 관한 법률」 제41조ㆍ제43조ㆍ제44조 및 「군에서의 형의 집행 및 군수용자의 처우에 관한 법률」 제42조ㆍ제44조 및 제45조에 따른 구속 또는 복역중인 사람에 대한 통신의 관리
4. 파산선고를 받은 자에 대한 통신 : 「채무자 회생 및 파산에 관한 법률」 제484조의 규정에 의하여 파산선고를 받은 자에게 보내온 통신을 파산관재인이 수령하는 경우
5. 혼신제거등을 위한 전파감시 : 전파법 제49조 내지 제51조의 규정에 의한 혼신제거등 전파질서유지를 위한 전파감시의 경우
②우편물의 검열 또는 전기통신의 감청(이하 “통신제한조치”라 한다)은 범죄수사 또는 국가안전보장을 위하여 보충적인 수단으로 이용되어야 하며, 국민의 통신비밀에 대한 침해가 최소한에 그치도록 노력하여야 한다.
③누구든지 단말기기 고유번호를 제공하거나 제공받아서는 아니된다. 다만, 이동전화단말기 제조업체 또는 이동통신사업자가 단말기의 개통처리 및 수리 등 정당한 업무의 이행을 위하여 제공하거나 제공받는 경우에는 그러하지 아니하다.
◐ 제14조 (타인의 대화비밀 침해금지)
①누구든지 공개되지 아니한 타인간의 대화를 녹음하거나 전자장치 또는 기계적 수단을 이용하여 청취할 수 없다.
②제4조 내지 제8조, 제9조제1항 전단 및 제3항, 제9조의2, 제11조제1항ㆍ제3항ㆍ제4항 및 제12조의 규정은 제1항의 규정에 의한 녹음 또는 청취에 관하여 이를 적용한다.
5-3. 정보통신망법, 형법
◐ 정보통신망법 제49조 (비밀 등의보호)
누구든지 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설하여서는 아니된다.
◐ 형법 제316조 (비밀침해)
① 봉함기타 비밀장치한 사람의 편지, 문서 또는 도화를 개봉한 자는 3년 이하의 징역이나 금고 또는 500만원 이하의벌금에 처한다.
② 몽함 기타 비밀장치한 사람의 편지, 문서, 도화 또는 전자기록 등 특수매체기록을 기술적 수단을 이용하여 그 내용을 알아낸 자도 제1항의 항과 같다.
누구든지 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설하여서는 아니된다.
◐ 형법 제316조 (비밀침해)
① 봉함기타 비밀장치한 사람의 편지, 문서 또는 도화를 개봉한 자는 3년 이하의 징역이나 금고 또는 500만원 이하의벌금에 처한다.
② 몽함 기타 비밀장치한 사람의 편지, 문서, 도화 또는 전자기록 등 특수매체기록을 기술적 수단을 이용하여 그 내용을 알아낸 자도 제1항의 항과 같다.
