안녕하세요. 수원 정현영 변호사입니다.
개인정보가 유출된 것이 형사처벌 되는 것인지, 아닌지 의문이 들 때가 있을 것입니다.
개인정보 보호법은 "일정한 경우"에 개인정보 유출을 처벌하고 있습니다. 위 일정한 경우에 해당하는 때에만 개인정보 유출이 형시처벌 되기 때문에, 처벌 여부는 상황에 따라 다를 수 있습니다.
이번 글에서는 어떤 경우에 개인정보 유출이 형사처벌 되는지에 관해서 알아보겠습니다.
개인정보 유출에 대한 형사처벌에 관하여 개인정보 보호법은 아래와 같이 규정하고 있습니다.
개인정보 보호법 제71조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다. <개정 2016.3.29, 2020.2.4>
1. 제17조제1항제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자
개인정보 보호법 제17조(개인정보의 제공)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. <개정 2020.2.4>
1. 정보주체의 동의를 받은 경우
2. 제15조제1항제2호ㆍ제3호ㆍ제5호 및 제39조의3제2항제2호ㆍ제3호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우
위 법에 따르면, 개인정보처리자는 법령상 개인정보 유출이 불가피한 경우가 아닌데도 정보주체의 동의를 받지 않고 개인정보를 유출하면 5년 이하의 징역 또는 5천만원 이하의 벌금에 처하게 됩니다.
그런데 여기서 "개인정보처리자", "개인정보"의 의미를 알아볼 필요가 있습니다. 그 의미에 따라 처벌되는 행위의 범위가 정해지기 때문입니다.
개인정보 보호법은 "개인정보"의 의미에 관하여 아래와 같이 규정하고 있습니다.
개인정보 보호법 제2조(정의)
이 법에서 사용하는 용어의 뜻은 다음과 같다. <개정 2014.3.24, 2020.2.4>
1. "개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 "가명정보"라 한다)
위 법 조항에 따르면 개인정보란, 성명, 주민등록번호, 영상 등을 통하여 개인을 알아볼 수 있는 정보, 그리고 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보, 가명정보입니다.
따라서 성명, 주민등록번호, 사진, CCTV영상 등이 각각 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정도라고 한다면, 개인정보 보호법에서 말하는 개인정보라고 볼 수 있습니다.
반면에, 사진, 영상 등이 다른 정보와 결합하여 특정 개인을 알아볼 수 있는 정도라 아니라면 개인정보 보호법에서 보호하는 개인정보라고 할 수 없습니다.
그리고 개인정보 보호법은 "개인정보처리자"에 대하여 아래와 같이 규정하고 있습니다.
개인정보 보호법 제2조(정의)
5. "개인정보처리자"란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
위 법에 따르면 개인정보처리자란, 업무를 목적으로 개인정보를 처리하는 단체 및 개인입니다.
여기서 중요한 것은 "업무를 목적"으로 개인정보를 처리해야 한다는 것입니다.
따라서 개인이 사적으로 수집한 개인정보를 알려주는 것은 개인정보처리자가 개인정보를 유출한 것이 아니기 때문에 처벌 대상에 해당하지 않습니다.
종합하면, 개인정보 유출로 형사처벌 되는 행위는 "업무를 목적"으로 개인정보를 처리하는 자가 다른 정보와 결합하여 특정 개인을 "알아볼 수 있는" 정보를 유출한 행위입니다. 이에 해당하지 않는 행위는 처벌 대상이 되지 않습니다.
한편, 대법원 판례는 정보주체가 직접 또는 제3자를 통하여 "이미 공개한 개인정보"는 정보 제공 등에 관하여 "일정한 범위 내"에서 동의한 것으로 볼 수 있으므로, 정보 공개에 별도의 동의를 요하지 않는다고 판시하였습니다.
이때 일정한 범위 내인지는 제반 사정을 종합적으로 고려해서 판단합니다.
이미 공개된 개인정보를 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서 수집·이용·제공 등 처리를 할 때는 정보주체의 별도의 동의는 불필요하다고 보아야 하고, 별도의 동의를 받지 아니하였다고 하여 개인정보 보호법 제15조나 제17조를 위반한 것으로 볼 수 없다. 그리고 정보주체의 동의가 있었다고 인정되는 범위 내인지는 공개된 개인정보의 성격, 공개의 형태와 대상 범위, 그로부터 추단되는 정보주체의 공개 의도 내지 목적뿐만 아니라, 정보처리자의 정보제공 등 처리의 형태와 정보제공으로 공개의 대상 범위가 원래의 것과 달라졌는지, 정보제공이 정보주체의 원래의 공개 목적과 상당한 관련성이 있는지 등을 검토하여 객관적으로 판단하여야 한다.
대법원 2016. 8. 17. 선고 2014다235080 판결
그리고 서울고등법원 판결은, 트위터 정보에 관하여 사용자가 동의한 약관에 비추어 트위터사가 기존에 수집한 정보를 제3자인 빅데이터 업체에 제공하는 것은, 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에 포함되므로, 별도로 정보주체의 동의를 받을 필요가 없다고 하였습니다.
약관에서 사용자의 트위터 정보가 다른 트위터 이용자나 제3자 서비스 및 웹사이트를 통해 공개될 수 있으며 콘텐츠의 다양한 재사용을 위하여 트위터 사가 API 정보를 수집한다고 규정한 점에 비추어 트위터 사가 기존에 수집한 API 정보를 제3자인 빅데이터 업체에 제공하는 것은 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에 포함된다고 할 것이다. 그렇다면 트위터 사는 정보주체로부터 별도의 동의를 받을 필요 없이 트위터 API 정보를 빅데이터 업체인 공소외 1 회사에 적법하게 제공할 수 있다고 보아야 한다.
서울고등법원 2017. 8. 30. 선고 2015노1998 판결
따라서 본인이 직접 또는 제3자를 통하여 이미 불특정 다수에게 공개한 개인정보는, 제반 사정 상 정보주체의 동의가 있었다고 볼 수 있는 경우에 한하여, 별도로 정보주체의 동의를 받지 않더라도 그 유출 행위를 처벌하지 않습니다.
하지만 개인정보를 불법적으로 사용하는 곳에 유출하는 것까지 정보주체가 동의하였다고 볼 수는 없으므로, 이러한 경우에는 정보주체의 별도의 동의가 없는 한 처벌 대상이 된다고 할 것입니다.
개인정보 유출이 형사처벌 되는 기준에 관해서 알아보았습니다.
정리하면,
"업무를 목적"으로 개인정보를 처리하는 자가 다른 정보와 결합하여 특정 개인을 "알아볼 수 있는" 정보를 정보주체의 동의 없이 유출한 경우에는 형사처벌 대상이 된다.
정보주체가 직접 또는 제3자를 통하여 "이미 공개한 개인정보"는 정보 제공 등에 관하여 "일정한 범위 내"에서 동의한 것으로 볼 수 있으므로, 정보 공개에 별도의 동의를 요하지 않는다.
이미 공개한 개인정보라도 불법적인 목적으로 개인정보를 사용하는 곳에 유출하는 것은 정보주체의 동의가 있었다고 보기 어려우므로, 이러한 경우에는 형사처벌 대상이 될 수 있다.
개인정보 유출이 문제가 된 경우 위 내용이 도움이 되기를 바랍니다.
로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.
콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.