알뜰폰 사업자 여유텔레콤은 2023년 2월 해킹으로 약 23만 명의 개인정보 유출 사고로 약 1.6억 원의 과징금·과태료를 부과받았어요. 자동차공임나라는 2022년 4월에 알려진 약 73만 명 개인정보 유출 사고로 약 2300만 원의 과징금과 과태료를, 온라인 청첩장 서비스 업체 오브콜스는 약 24만 건의 개인정보가 유출되어 약 4000만 원의 과징금·과태료를 부과받았어요. 유출 건수가 다들 많아요. 상세한 내용은 개인정보위 보도자료를 참고하세요.
법령이나 그에 근거를 둔 판결과 행정처분에는 ‘비례성의 원칙’을 적용해요. “대기업이면 그 정도는 해야지”, “스타트업인데 그 정도면 준수하려고 애를 쓴 거네” 같은 거지요. 이번 행정처분 역시 취지는 공감을 얻을 수 있을 것 같은데요. 부작용이 (많이) 없도록 관리를 잘하는 것이 중요할 것 같아요. 상세한 내용은 개인정보위 보도자료를 참고하세요.
개인정보보호법 제71조(벌칙)는 5년 이하의 징역 또는 5000만 원 이하 벌금의 중한 처벌이 규정돼 있어요. 그중 제2호는 주로 ‘목적 외 이용·제공 제한’ 위반에 적용된 규정인데요. 여기서는 “그러한 사정을 알면서 영리 또는 부정한 목적으로 개인정보를 제공받은 자”에 해당하는지에 관한 판결이에요. 1심과 대법 판결을 비교해 주는 미덕까지! 일독을 권해요.
우리나라 형사사법체계에서는 법에서 달리 규정하지 않으면 ‘고의범’을 처벌하기 때문에 경찰에서 ‘고의성’을 검토한 것으로 보여요. 다만 “탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 고정형 영상정보처리기기를 설치·운영해서는 아니된다”(제25조 제2항)의 조항 위반 시 형사처벌은 없고, 최대 과태료예요. 비슷한 위반 사건에 관한 예전 행정처분 참고하세요.
(1)수원시 → (2)수원문화원 → (3)수원미래연구원 → (4)일부 기자의 경로로 기자 393명의 개인정보가 유출됐는데, (3) → (4)는 실수 같지만, 그 앞쪽의 경로는 실수가 아닐 가능성이 높아요. 기자들은 보도자료를 받기를 바랄 수 있으니까, 적절하게 소통하면 됐을 텐데 말이지요. ‘동의 없는 목적 외 제공’은 5년 이하의 징역 또는 5000만 원 이하 벌금이 규정된 중한 범죄 행위거든요. 공공기관에서 국민의 개인정보를 쉽게 생각하는 분위기가 있지 않나 우려돼요.
예방도 중요하지만, 사고가 발생했을 때 (신속하고 정확한) 대응 역시 중요하다는 점을 다시 생각하게 돼요. 비영리기관이라 하더라도 ‘홀트’ 정도의 브랜드에 기대하는 개인정보보호 수준이 있으니까요. 법 관점에서 본다면, 유출된 2022년 12월 당시 법령을 적용하므로 5일 이내 정보주체에게 통지, 주민등록번호는 필수 암호화 대상이에요.
