개인정보 유출 발생 시 개인정보보호위원회 신고 절차와 피해자 통지 의무 안내
[1] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2012. 2. 17. 법률 제11322호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라고 한다) 제28조 제1항은 정보통신서비스 제공자가 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 그 각호의 기술적·관리적 보호조치를 하여야 한다고 규정하고 있다. 이어 위 조항은 그 각호로 ‘1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행 2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영 3. 접속기록의 위조·변조 방지를 위한 조치 4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치 5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치 6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치’를 규정하고 있다. 그리고 구 정보통신망법 제28조 제1항의 위임을 받은 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2011. 8. 29. 대통령령 제23104호로 개정되기 전의 것) 제15조는 정보통신서비스 제공자가 취하여야 할 개인정보의 안전성 확보에 필요한 위와 같은 기술적·관리적 조치를 보다 구체적으로 규정하고 있다. 따라서 정보통신서비스 제공자는 구 정보통신망법 제28조 제1항 등에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 할 법률상 의무를 부담한다.<br/> 나아가 정보통신서비스 제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로 하여금 이용약관 등을 통해 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신서비스 제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실·도난·누출·변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담한다.<br/> 그런데 정보통신서비스가 ‘개방성’을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스 제공자가 구축한 네트워크나 시스템과 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 ‘해커’ 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 않다. 또한 해커 등은 여러 공격기법을 통해 정보통신서비스 제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스 제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적이다. 이처럼 정보통신서비스 제공자가 취해야 할 개인정보의 안전성 확보에 필요한 보호조치에 관해서는 고려되어야 할 특수한 사정이 있다.<br/> 그러므로 정보통신서비스 제공자가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는, 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종·영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다.<br/>[2] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2011. 8. 29. 대통령령 제23104호로 개정되기 전의 것) 제15조 제6항은 “방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.”라고 규정하고 있다. 이에 따라 방송통신위원회가 마련한 ‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시 제2011-1호, 이하 ‘고시’라고 한다)은 해킹 등 침해사고 당시의 기술 수준 등을 고려하여 정보통신서비스 제공자가 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2012. 2. 17. 법률 제11322호로 개정되기 전의 것) 제28조 제1항 등에 따라 준수해야 할 기술적·관리적 보호조치를 구체적으로 규정하고 있다. 그러므로 정보통신서비스 제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다면, 특별한 사정이 없는 한 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다.<br/> 다만 고시는 정보통신서비스 제공자가 반드시 준수해야 할 최소한의 기준을 정한 것으로 보는 것이 타당하다. 따라서 정보통신서비스 제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다고 하더라도, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있다. 나아가 정보통신서비스 제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다고 하더라도, 불법행위에 도움을 주지 말아야 할 주의의무를 위반하여 타인의 불법행위를 용이하게 하였고 이러한 방조행위와 불법행위에 의한 피해자의 손해 발생 사이에 상당인과관계가 인정된다면 민법 제760조 제3항에 따른 책임을 면할 수 없다.<br/>[3] 인터넷상에서 포털서비스사업을 하는 甲 주식회사가 제공하는 온라인 서비스에 가입한 회원들의 개인정보가 해킹사고로 유출되었는데, 서비스 이용자인 乙 등이 甲 회사를 상대로 손해배상을 구한 사안에서, 정보통신서비스 제공자가 정보처리시스템에 접속한 개인정보취급자로 하여금 작업 종료 후 로그아웃을 하도록 하는 것은, 비록 ‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시 제2011-1호)에서 정하고 있는 기술적·관리적 보호조치에는 해당하지 않으나, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치에 해당하므로, 정보통신서비스 제공자가 이러한 보호조치를 미이행하여 정보처리시스템에 접속권한이 없는 제3자가 손쉽게 시스템에 접속하여 개인정보의 도난 등의 행위를 할 수 있도록 하였다면 이는 불법행위에 도움을 주지 말아야 할 주의의무를 위반한 것으로써 이러한 방조행위와 피방조자의 불법행위 사이에 상당인과관계가 인정된다면 공동불법행위자로서 책임을 면할 수 없는데, 해킹사고 당시 해커가 이미 키로깅을 통하여 DB 서버 관리자의 아이디와 비밀번호를 획득한 상태였기 때문에 甲 회사의 DB 기술팀 소속 직원이 자신의 컴퓨터에서 로그아웃을 하였는지 여부와 무관하게 언제든지 게이트웨이 서버를 거쳐 DB 서버에 로그인을 할 수 있었던 것으로 보이므로, 위와 같은 보호조치의 미이행과 해킹사고의 발생 사이에 상당인과관계가 인정되지 아니하여 甲 회사의 손해배상책임이 인정되지 않는다고 한 사례.<br/>
2018. 1. 25.[1] 과징금은 위반행위에 대한 제재의 성격과 함께 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수로서의 성격도 가지고, 이는 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2020. 2. 4. 법률 제16955호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제64조의3 제1항 각호에서 정한 행위에 대하여 부과하는 과징금의 경우도 마찬가지이다. <br/> 그런데 이용자의 개인정보가 유출된 경우 정보통신서비스 제공자가 개인정보 보호조치를 취하지 않음으로 인해 매출액이 증대되는 경우를 상정하기 어렵다. 구 개인정보보호 법규 위반에 대한 과징금 부과기준(2020. 12. 10. 방송통신위원회고시 제2020-9호로 폐지) 제4조 제2항 또한 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 범위를 판단할 때 서비스 가입방법, 개인정보 데이터베이스 관리 조직·인력 및 시스템 운영 방식 등을 고려하도록 하고 있는바, 위 요소들은 위반행위로 인하여 취득한 이익의 규모와 직접적인 관련이 없다. <br/>구 정보통신망법 제64조의3 제1항 제6호에서 정한 자에 대하여 과징금을 부과함으로써 박탈하고자 하는 이득은, 문제 된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히려 정보통신서비스 제공자가 적절한 보호조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유함으로써 얻은 이득이라 보아야 한다. 이에 따라 위 과징금 부과를 위한 관련 매출액을 산정할 때 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 범위는, 유출사고가 발생한 개인정보를 보유·관리하고 있는 서비스의 범위를 기준으로 판단해야 한다. <br/> [2] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2020. 2. 4. 법률 제16955호로 개정되기 전의 것) 제64조의3 제1항에 따른 과징금은 법 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수의 성격과 함께 위법행위에 대한 제재로서의 성격을 가지고, 같은 조 제3항은 과징금을 부과할 때 위반행위의 내용과 정도, 기간과 횟수 외에 위반행위로 인하여 취득한 이익의 규모 등도 고려하도록 규정하고 있다. <br/> 개인정보 보호조치 의무 위반에 대해 부과되는 과징금의 액수는 보호조치 위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려하여 정해야 한다. 그리고 과징금의 액수가 위반행위의 내용에 비해 과중하여 사회통념상 현저하게 타당성을 잃은 경우라면 그러한 과징금 부과처분은 재량권을 일탈·남용하여 위법하다고 보아야 한다.<br/>
2023. 10. 12.경찰공무원인 피고인이, 경찰 내부 통합포털시스템인 ‘폴넷(POL NET)’ 게시판에 甲 등 경찰공무원 22명이 작성한 댓글이 피고인의 명예를 훼손하였다는 이유로 이들을 고소하면서 경찰청 표준인사시스템인 ‘e사람’에 접속한 후 ‘직원조회’ 메뉴에 성명을 입력하여 위 22명의 휴대전화번호를 알아낸 다음 이를 고소장에 기재하여 5개 수사기관에 제출함으로써 개인정보를 처리하거나 처리하였던 자로서 업무상 알게 된 개인정보를 누설하고 권한 없이 개인정보를 유출하였다고 하여 개인정보 보호법(이하 ‘법’이라고 한다) 위반으로 기소된 사안이다.<br/>법 제71조 제5호, 제59조 제2호의 ‘업무상 알게 된 개인정보의 누설’ 또는 법 제71조 제6호, 제59조 제3호의 ‘권한 없는 개인정보의 유출’에 해당하는지는 해당 개인정보의 내용 및 이로 인하여 개인을 특정할 수 있는 정도, 이를 누설하거나 유출한 상대방, 목적, 경위 등 제반 사정 및 개인정보 보호의 필요성과 개인정보를 사용할 정당한 이익 사이의 균형을 종합하여 판단하여야 하는바, 피고인이 ‘직원조회’ 메뉴를 이용하여 같은 경찰공무원의 휴대전화번호를 알게 된 위 ‘e사람’ 시스템은 경찰공무원이라면 누구나 자유롭게 동료직원을 찾을 때 사용할 수 있고, 휴대전화번호는 해당 직원이 공개를 허용한 경우에만 검색되며, 피고인은 이러한 내부 직원검색에 관한 직접적인 업무를 담당하지는 않은 점, 위 조회 화면에 ‘내부직원 개인정보 사적 활용 금지’라는 경고문이 표시되어 있기는 하나, 직원들은 업무적인 일 또는 개인적인 일로 동료직원의 연락처가 필요한 경우 별다른 제한 없이 사용할 수 있는 점(경찰이 경찰업무를 위해 일반 국민 또는 수사대상자에 대한 정보를 조회하는 ‘온라인조회’와는 달리 이러한 직원검색시스템은 폭넓은 접근 및 사용이 허락되는 것이다), 피고인이 동료들을 명예훼손죄로 수사기관에 고소하며 피고소인의 연락처 기재란에 위와 같이 취득한 휴대전화번호를 적은 것을 피고인이 ‘개인정보를 처리하는 업무와 관련하여’ 알게 된 개인정보로 보기 어려운 점, 피고인이 작성한 고소장에는 피고소인의 성명, 직업, 사무실 주소와 사무실 전화번호까지 모두 정확히 기재되고 주민등록번호와 집 주소만 ‘불상’으로 기재되어 있어 이미 피고소인이 충분히 특정된 상태인데, 여기에 부가하여 휴대전화번호를 기재한 것이 별도의 개인정보를 누설한 것이라고 볼 수 없는 점, 형사 및 민사절차에 따라 개인정보를 법원 및 수사기관에 제출하는 것은 적법한 절차에 따른 것이고 이와 같이 제출된 개인정보는 국가에서 엄격하게 관리되어 다른 제3자가 이에 접근할 수도 없으므로 이를 개인정보의 ‘누설’이라고 볼 수 없는 점, 피고인은 27명의 경찰관 및 기자 2명 등 30명을 자신의 관련사건을 언급했다는 이유로 명예훼손으로 고소하였는데, 실제 명예훼손이 성립하기 어려운 부분까지 무차별 고소하며 내부망에서 취득한 연락처를 일괄기재한 피고인의 행동이 적절하다고는 보기 어려우나, 위 행위를 내부규정 위반으로 징계 등 처분을 하는 것은 별론으로 하고 이러한 행위가 일반적으로 개인정보 누설행위로서 처벌대상이 된다고 볼 수 없고, 수사기관에의 고소 및 법원에의 소송제기에 필요한 정보를 기재하는 행위까지 처벌범위를 확대하면 실제로 억울한 당사자의 고소·고발과 소송제기 등 개인의 정당한 권리의 행사까지 제한하게 되어 오히려 ‘개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 하는’ 법의 제정 취지에도 반하며, 피고인의 행위가 형법 제20조의 사회상규에 위배되는 행위라고 보기도 어려운 점 등을 종합하면, 개인정보의 누설이나 유출에 해당하지 않는다는 이유로 무죄를 선고한 사례이다.<br/>
2020. 10. 6.경찰공무원인 피고인이, 경찰 내부 통합포털시스템인 ‘폴넷(POL NET)’ 게시판에 甲 등 경찰공무원 22명이 작성한 댓글이 피고인의 명예를 훼손하였다는 이유로 이들을 고소하면서 경찰청 표준인사시스템인 ‘e사람’에 접속한 후 ‘직원조회’ 메뉴에 성명을 입력하여 위 22명의 휴대전화번호를 알아낸 다음 이를 고소장에 기재하여 5개 수사기관에 제출함으로써 개인정보를 처리하거나 처리하였던 자로서 업무상 알게 된 개인정보를 누설하고 권한 없이 개인정보를 유출하였다고 하여 개인정보 보호법(이하 ‘법’이라고 한다) 위반으로 기소된 사안이다.<br/>법 제71조 제5호, 제59조 제2호의 ‘업무상 알게 된 개인정보의 누설’ 또는 법 제71조 제6호, 제59조 제3호의 ‘권한 없는 개인정보의 유출’에 해당하는지는 해당 개인정보의 내용 및 이로 인하여 개인을 특정할 수 있는 정도, 이를 누설하거나 유출한 상대방, 목적, 경위 등 제반 사정 및 개인정보 보호의 필요성과 개인정보를 사용할 정당한 이익 사이의 균형을 종합하여 판단하여야 하는바, 피고인이 ‘직원조회’ 메뉴를 이용하여 같은 경찰공무원의 휴대전화번호를 알게 된 위 ‘e사람’ 시스템은 경찰공무원이라면 누구나 자유롭게 동료직원을 찾을 때 사용할 수 있고, 휴대전화번호는 해당 직원이 공개를 허용한 경우에만 검색되며, 피고인은 이러한 내부 직원검색에 관한 직접적인 업무를 담당하지는 않은 점, 위 조회 화면에 ‘내부직원 개인정보 사적 활용 금지’라는 경고문이 표시되어 있기는 하나, 직원들은 업무적인 일 또는 개인적인 일로 동료직원의 연락처가 필요한 경우 별다른 제한 없이 사용할 수 있는 점(경찰이 경찰업무를 위해 일반 국민 또는 수사대상자에 대한 정보를 조회하는 ‘온라인조회’와는 달리 이러한 직원검색시스템은 폭넓은 접근 및 사용이 허락되는 것이다), 피고인이 동료들을 명예훼손죄로 수사기관에 고소하며 피고소인의 연락처 기재란에 위와 같이 취득한 휴대전화번호를 적은 것을 피고인이 ‘개인정보를 처리하는 업무와 관련하여’ 알게 된 개인정보로 보기 어려운 점, 피고인이 작성한 고소장에는 피고소인의 성명, 직업, 사무실 주소와 사무실 전화번호까지 모두 정확히 기재되고 주민등록번호와 집 주소만 ‘불상’으로 기재되어 있어 이미 피고소인이 충분히 특정된 상태인데, 여기에 부가하여 휴대전화번호를 기재한 것이 별도의 개인정보를 누설한 것이라고 볼 수 없는 점, 형사 및 민사절차에 따라 개인정보를 법원 및 수사기관에 제출하는 것은 적법한 절차에 따른 것이고 이와 같이 제출된 개인정보는 국가에서 엄격하게 관리되어 다른 제3자가 이에 접근할 수도 없으므로 이를 개인정보의 ‘누설’이라고 볼 수 없는 점, 피고인은 27명의 경찰관 및 기자 2명 등 30명을 자신의 관련사건을 언급했다는 이유로 명예훼손으로 고소하였는데, 실제 명예훼손이 성립하기 어려운 부분까지 무차별 고소하며 내부망에서 취득한 연락처를 일괄기재한 피고인의 행동이 적절하다고는 보기 어려우나, 위 행위를 내부규정 위반으로 징계 등 처분을 하는 것은 별론으로 하고 이러한 행위가 일반적으로 개인정보 누설행위로서 처벌대상이 된다고 볼 수 없고, 수사기관에의 고소 및 법원에의 소송제기에 필요한 정보를 기재하는 행위까지 처벌범위를 확대하면 실제로 억울한 당사자의 고소·고발과 소송제기 등 개인의 정당한 권리의 행사까지 제한하게 되어 오히려 ‘개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 하는’ 법의 제정 취지에도 반하며, 피고인의 행위가 형법 제20조의 사회상규에 위배되는 행위라고 보기도 어려운 점 등을 종합하면, 개인정보의 누설이나 유출에 해당하지 않는다는 이유로 무죄를 선고한 사례이다.<br/>
2020. 10. 6.택배회사와 택배위수탁계약을 체결하고 위 회사로부터 위탁받은 택배화물을 고객들에게 운송하는 일을 담당한 공소외인이 위 회사가 관리하는 개인정보를 유출한 사안에서, 위 공소외인은정보통신망 이용촉진 및 정보보호 등에 관한 법률 제66조에 정한 '법인의 사용인이 법인의 업무에 관하여' 위반행위를 한 것이고, 위 회사가 위 공소외인의 위반행위를 방지하기 위하여 당해 업무에 대하여 상당한 주의와 감독을 하였다고 보기 어려워 위 회사 역시 형사책임을 면할 수 없다고 한 사례.<br/>
2005. 7. 29.[1] 개인정보를 처리하는 자가 수집한 개인정보를 피용자가 정보주체의 의사에 반하여 유출한 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다.<br/>[2] 주유 관련 보너스카드 회원으로 가입한 고객들의 개인정보를 데이터베이스로 구축하여 관리하면서 이를 이용하여 고객서비스센터를 운영하는 甲 주식회사로부터 고객서비스센터 운영업무 등을 위탁받아 수행하는 乙 주식회사 관리팀 직원 丙이, 丁 등과 공모하여 戊 등을 포함한 보너스카드 회원의 성명, 주민등록번호, 주소, 전화번호, 이메일 주소 등 고객정보를 빼내어 DVD 등 저장매체에 저장된 상태로 전달 또는 복제한 후 개인정보유출사실을 언론을 통하여 보도함으로써 집단소송에 활용할 목적으로 고객정보가 저장된 저장매체를 언론관계자들에게 제공한 사안에서, 개인정보가 丙에 의하여 유출된 후 저장매체에 저장된 상태로 공범들과 언론관계자 등에게 유출되었지만 언론보도 직후 개인정보가 저장된 저장매체 등을 소지하고 있던 사건 관련자들로부터 저장매체와 편집 작업 등에 사용된 컴퓨터 등이 모두 압수, 임의제출되거나 폐기된 점, 범행을 공모한 丙 등이 개인정보 판매를 위한 사전작업을 하는 과정에서 위와 같이 한정된 범위의 사람들에게 개인정보가 전달 또는 복제된 상태에서 범행이 발각되어 개인정보가 수록된 저장매체들이 모두 회수되거나 폐기되었고 그 밖에 개인정보가 유출된 흔적도 보이지 아니하여 제3자가 개인정보를 열람하거나 이용할 수는 없었다고 보이는 점, 개인정보를 유출한 범인들이나 언론관계자들이 개인정보 중 일부를 열람한 적은 있으나 개인정보의 종류 및 규모에 비추어 위와 같은 열람만으로 특정 개인정보를 식별하거나 알아내는 것은 매우 어려울 것으로 보이는 점, 개인정보 유출로 인하여 戊 등에게 신원확인, 명의도용이나 추가적인 개인정보 유출 등 후속 피해가 발생하였음을 추지할 만한 상황이 발견되지 아니하는 점 등 제반 사정에 비추어 볼 때, 개인정보 유출로 인하여 戊 등에게 위자료로 배상할 만한 정신적 손해가 발생하였다고 보기는 어렵다고 한 사례.<br/>
2012. 12. 26.<br/> 인터넷강의 웹사이트를 운영하며 개인정보처리자로서 113만 건의 개인정보를 수집·보유하고 있던 甲 주식회사가 크로스 사이트 스크립팅(Cross Site Scripting, 이하 ‘XSS’라 한다) 명령어가 포함된 해커의 게시글에 의하여 직원계정의 세션정보를 탈취당한 뒤 직원 및 회원 약 9만 5천 명의 개인정보를 유출당한 사실에 대하여, 甲 회사가 개인정보 보호법 제29조에 따른 안전조치의무를 다하지 않았다는 이유로 개인정보보호위원회가 甲 회사에 과징금 부과처분 등을 한 사안이다. <br/> XSS 공격은 대표적인 해킹 기법 중 하나로 이를 예방하기 위한 보안대책들이 널리 알려져 있고, 게시물 작성 단계에서부터 입력값을 검증하여 악의적인 명령어가 등록되지 않도록 차단하는 방식은 개인정보 유출을 막기 위한 대표적인 안전성 확보조치라고 할 수 있는 점, 甲 회사는 불법이용신고 게시판에 관하여 입력값 검증 조치를 시행하지 않아 해커가 게시글 작성 시 악의적인 명령어를 등록했는데도 이를 차단하지 못한 점, 입력값 검증 등의 XSS 자동차단 정책의 경우 당시 기술수준으로 충분히 구현 가능하고, 보편적으로 알려져 있는 XSS 공격에 관한 예방방법일 뿐만 아니라 다수의 인터넷 사이트에서도 이를 적용해 오고 있어 입력값 검증이 甲 회사 인터넷강의 웹사이트의 이용에 막대한 지장을 가져올 정도의 기대하기 어려운 조치라고 보기 어려운 점 등을 종합하면, 甲 회사가 IP 주소 등을 분석하여 개인정보 유출시도를 탐지·대응하거나 개인정보가 유출되지 않도록 개인정보처리시스템에 조치를 취하는 등의 사회통념상 합리적으로 기대 가능한 정도의 안전성 확보조치를 다했다고 보기 어려우므로, 甲 회사는 개인정보 보호법 제29조, 같은 법 시행령 제30조 제3항 등에서 정한 안전성 확보조치를 제대로 이행하지 않았고, 개인정보 보호법의 입법 취지와 목적, 개정연혁과 이유, 법질서 전체와의 조화 등을 고려하면, 개인정보 보호법 제64조의2 제1항 제9호는 개인정보 유출이 발생한 경우 개인정보처리자의 안전조치의무 위반을 제재하기 위한 규정으로서 그 위반기간은 개인정보처리자가 안전조치의무를 위반한 기간을 의미하므로, 개인정보가 유출된 기간이 아니라 甲 회사가 안전조치의무를 위반한 기간을 위반기간으로 하여 산정한 과징금 부과처분이 적법하다고 한 사례이다. <br/>
2025. 8. 14.<br/> 인터넷강의 웹사이트를 운영하며 개인정보처리자로서 113만 건의 개인정보를 수집·보유하고 있던 甲 주식회사가 크로스 사이트 스크립팅(Cross Site Scripting, 이하 ‘XSS’라 한다) 명령어가 포함된 해커의 게시글에 의하여 직원계정의 세션정보를 탈취당한 뒤 직원 및 회원 약 9만 5천 명의 개인정보를 유출당한 사실에 대하여, 甲 회사가 개인정보 보호법 제29조에 따른 안전조치의무를 다하지 않았다는 이유로 개인정보보호위원회가 甲 회사에 과징금 부과처분 등을 한 사안이다. <br/> XSS 공격은 대표적인 해킹 기법 중 하나로 이를 예방하기 위한 보안대책들이 널리 알려져 있고, 게시물 작성 단계에서부터 입력값을 검증하여 악의적인 명령어가 등록되지 않도록 차단하는 방식은 개인정보 유출을 막기 위한 대표적인 안전성 확보조치라고 할 수 있는 점, 甲 회사는 불법이용신고 게시판에 관하여 입력값 검증 조치를 시행하지 않아 해커가 게시글 작성 시 악의적인 명령어를 등록했는데도 이를 차단하지 못한 점, 입력값 검증 등의 XSS 자동차단 정책의 경우 당시 기술수준으로 충분히 구현 가능하고, 보편적으로 알려져 있는 XSS 공격에 관한 예방방법일 뿐만 아니라 다수의 인터넷 사이트에서도 이를 적용해 오고 있어 입력값 검증이 甲 회사 인터넷강의 웹사이트의 이용에 막대한 지장을 가져올 정도의 기대하기 어려운 조치라고 보기 어려운 점 등을 종합하면, 甲 회사가 IP 주소 등을 분석하여 개인정보 유출시도를 탐지·대응하거나 개인정보가 유출되지 않도록 개인정보처리시스템에 조치를 취하는 등의 사회통념상 합리적으로 기대 가능한 정도의 안전성 확보조치를 다했다고 보기 어려우므로, 甲 회사는 개인정보 보호법 제29조, 같은 법 시행령 제30조 제3항 등에서 정한 안전성 확보조치를 제대로 이행하지 않았고, 개인정보 보호법의 입법 취지와 목적, 개정연혁과 이유, 법질서 전체와의 조화 등을 고려하면, 개인정보 보호법 제64조의2 제1항 제9호는 개인정보 유출이 발생한 경우 개인정보처리자의 안전조치의무 위반을 제재하기 위한 규정으로서 그 위반기간은 개인정보처리자가 안전조치의무를 위반한 기간을 의미하므로, 개인정보가 유출된 기간이 아니라 甲 회사가 안전조치의무를 위반한 기간을 위반기간으로 하여 산정한 과징금 부과처분이 적법하다고 한 사례이다. <br/>
2025. 8. 14.[1] (가) 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것, 이하 같다) 제59조는 ‘개인정보를 처리하거나 처리하였던 자는 다음 각호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.’고 규정하면서 제2호에 ‘업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위’를 규정하고 있고, 제71조 제5호는 ‘제59조 제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자’를 처벌하도록 규정하고 있다. 여기서 ‘업무상 알게 된 개인정보’는 정보주체들의 개인정보를 수집하여 처리하는 것을 주된 내용으로 하는 업무와 관련하여 알게 된 개인정보에 한정되지 않고, 개인정보의 수집·처리 외의 일반적인 업무를 주된 내용으로 하면서 그 업무와 밀접한 관련이 있는 부수적 업무로서 개인정보의 수집·처리가 이루어지는 업무와 관련하여 알게 된 개인정보도 포함한다. 그 이유는 다음과 같다.<br/> ① 구 개인정보 보호법 제59조 제2호는 ‘개인정보를 처리하거나 처리하였던 자’에 대하여 ‘업무상 알게 된 개인정보’의 누설 행위 등을 금지하고 있을 뿐 그 업무의 내용을 한정하는 규정을 두고 있지 않다.<br/> ② ‘개인정보처리자’는 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등으로(구 개인정보 보호법 제2조 제5호) 업무의 내용이 개인정보의 처리에 한정되지 않는다. 앞서 본 구 개인정보 보호법 제59조의 입법 목적, 취지를 고려하여 보면, ‘개인정보를 처리하거나 처리하였던 자’도 마찬가지로 일반적 업무를 주된 내용으로 하면서 부수적으로 개인정보를 수집·처리하더라도 그로 인하여 알게 된 개인정보의 누설 행위 등을 금지하는 것으로 보는 것이 타당하다.<br/> ③ ‘업무상’ 개인정보를 처리하고 이를 알게 되어야 누설 행위 등이 금지되므로, 업무와 무관하게 사적 영역에서 개인정보를 처리하고 그 과정에서 알게 된 개인정보를 누설하는 행위 등은 처벌되지 않는다. 이와 같이 업무와 무관한 사적 영역을 제외하면, ‘개인정보 처리를 주된 업무로 하는 과정에서 알게 된 개인정보’와 ‘업무 과정에서 부수적으로 수반되는 개인정보 처리 과정에서 알게 된 개인정보’의 보호 필요성을 달리 볼 필요도 없다.<br/> (나) 한편 위와 같이 사적 영역에서 처리하는 개인정보에 대한 누설 행위 등은 형사처벌의 대상으로 삼을 수 없고, 형벌법규는 엄격하게 해석되어야 하므로, 업무상 알게 되었다는 것은 업무처리나 업무수행과 그로 인하여 알게 된 개인정보 사이에 직접적이고 밀접한 인과관계가 있다는 의미로 새겨야 한다. 그리고 업무상 알게 되었다는 사실은 범죄구성요건이므로 검사가 증명하여야 한다.<br/> [2] 검찰수사관인 피고인 甲은 乙 그룹에서 대관업무를 담당하는 피고인 丙에게 공정거래조사부 내부 배치표를 휴대전화로 촬영 후 카카오톡 메신저로 촬영사진 파일을 통해 전송하여 개인정보를 처리하는 자로서 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하였다는 내용으로, 피고인 丙은 피고인 甲이 개인정보를 불법적으로 유출한다는 사실을 알면서도 영리 또는 부정한 목적으로 위 사진 파일을 제공받았다는 내용으로 기소된 사안에서, ① 피고인 甲은 위 배치표를 피고인 丙에게 제공했을 당시 공정거래조사부에 소속된 검찰수사관으로 근무하고 있었던 점, 피고인 甲이 피고인 丙에게 제공한 위 배치표에는 ‘공정거래조사부’라는 명칭 기재와 검사 및 검찰수사관 등 인사 배치 시행 예정일자의 기재, 공정거래조사부의 검사와 검찰수사관 등이 공정거래수사1팀, 공정거래수사2팀, 부당지원수사팀으로 나뉘어 배치될 것이라는 취지를 나타내는 표 구성 관련 기재, 검사의 성명·기수와 더불어 담당하는 업무와 사무실 호실 및 전화번호, 검사실에서 근무하는 검찰수사관 등의 직급과 성명 등이 기재되어 있는 점, 위 배치표는 홈페이지 등을 통하여 외부에 공개되는 배치표와는 달리 검찰 내부에서 업무의 편의상 작성되어 공유되는 것으로 보이는 점에 비추어, 피고인 甲은 검찰수사관의 지위에서 그 업무를 수행하면서 공정거래조사부 내부 배치표를 수집·보관·이용 등 처리하였으므로 이는 ‘업무상 알게 된’ 것이라고 볼 소지가 크지만, ② 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것, 이하 같다)이 개인의 자유와 권리의 보호를 목적으로 하는 점 등에다가 구 개인정보 보호법상 ‘개인정보’의 범위가 매우 넓은 반면 사회생활을 영위하는 과정에서 부득이하게 타인의 개인정보가 포함된 정보를 취득·전달하거나 이용하게 되기도 하는 점 및 형벌의 보충성, 최후수단성을 고려하여 보면, 제3자에 대한 누설 등으로 구 개인정보 보호법의 처벌 대상이 되는 개인정보는 특별한 사정이 없는 한 정보주체의 사적 영역에 대한 정보로 제한되어야 하므로, 헌법과 법률이 정하는 공적 작용을 수행하는 공무원이나 그 근무부서를 특정하기 위한 성명 등은 구 개인정보 보호법 위반의 처벌대상인 개인정보라고 보기 어렵다는 이유로, 위 배치표가 피고인 甲이 업무상 알게 된 것이 아니라고 본 원심의 판단에 적절하지 않은 점이 있으나, 결론적으로 그 정보가 구 개인정보 보호법 제59조 제2호의 ‘업무상 알게 된 개인정보’에 해당하지 않는다고 본 원심판단이 정당하다고 한 사례.<br/>
2025. 6. 26.