민원으로 받은 개인정보를 선거에 이용한 정치인에 당선 무효형의 선고를 내린 판결이에요. 기사만으로 추정해 보면, 개인정보보호법 제17조(개인정보의 제공) 제1항 제2호에서 규정한 정보주체의 동의 없이 제3자 제공하는 사유에 해당하지 않는다고 본 것 같아요. 제59조(금지행위) 제3호에 “~~ 다른 사람의 개인정보를 이용, 훼손 ~~”로 ‘이용’이 이번 개정((9월 15일 시행)에 포함되어 전현직 개인정보취급자가 아니라 하더라도 형사처벌될 수 있는 근거가 마련됐다는 점도 유의해야해요.
지난 2월 SQL인젝션 공격으로 개인정보가 유출된 쇼핑몰 아이디어스 운영사 백패커에 약 2.3억 원의 과징금이 부과됐어요. 개인정보위에서 보도자료에 ‘SQL인젝션 공격 예방 안내’를 포함한 게 눈에 띄네요. 매장 입장 대기 순번 받을 때 과도한 개인정보를 수집한 샤넬에는 필수 항목 동의를 위반한 것으로 보아 과태료를 부과했어요.
개인정보위가 개인정보가 유출된 대형 수탁사에 시정조치를 내렸어요. 수탁사에 대한 행정처분 보도자료를 낸 것은 매우 드문데요. 아마도 개인정보 유출 시 수탁자에도 통지, 신고의 의무(제34조)가 있다는 점을 강조하려고 했던 것 같아요. 개정법부터 수탁자에도 적용되는 과징금(제64조의2) 사유에 제34조는 포함되지 않고, 과태료(제75조)는 수탁자에 해당하지 않아요. 시정조치(제64조)도 수탁자에 해당하지 않는데, 이 의결의 법적 근거는 무엇일지도 궁금해지네요.
