CONTENTS
- 1. 개인정보법위반 | 법적 구조
- - 식별 가능한 정보의 범위
- - 유출로 해석되는 행위
- 2. 개인정보법위반 | 처벌 수위
- - 주요 처벌 기준
- - 고의성 판단 기준
- 3. 개인정보법위반 | 수사와 재판 쟁점
- - 조사에서 자주 발생하는 문제
- - 증거로 입증해야 할 핵심
- - 접근권한 관리 책임이 문제되는 경우
- 4. 개인정보법위반 | 대응 방법
- - 단계별 대응 절차
- - 변호사 필요성
1. 개인정보법위반 | 법적 구조
개인정보법위반 여부는 해당 정보가 법적으로 보호되는 개인정보에 해당하는지, 그리고 수집 목적 범위를 벗어난 이용이나 제3자 제공이 있었는지를 기준으로 판단됩니다.
단순히 내부 자료를 전달한 경우라도 정보주체의 동의 없이 공유되었거나 업무 목적을 벗어난 이용이 있었다면 위법성이 인정될 수 있습니다.
식별 가능한 정보의 범위
개인정보는 주민등록번호와 같은 직접 식별 정보뿐 아니라, 다른 정보와 결합하여 특정 개인을 알아볼 수 있는 정보까지 포함됩니다.
예를 들어 이름과 전화번호, 특정 장소에서 촬영된 CCTV 영상, 학원 수강생 명단, SNS 계정 정보 등도 개인정보로 평가될 수 있습니다.
단순 캡처 이미지나 일부 정보만 공유했더라도 수신자가 해당 정보를 통해 특정인을 식별할 수 있다면 유출로 인정될 가능성이 있습니다.
따라서 “이 정도는 문제없다”는 판단은 매우 위험하며, 정보 결합 가능성까지 고려해야 합니다.
유출로 해석되는 행위
| 행위 유형 | 판단 기준 | 유의사항 |
|---|---|---|
| 단톡방 공유 | 동의 없이 명단·사진 전달 | 내부 공유라도 문제 가능 |
| CCTV 캡처 전송 | 설치 목적 외 이용 여부 | 징계 목적이라도 신중 필요 |
| 계정 정보 전달 | 도용·사칭 악용 가능성 | SNS사기 연결 시 중대 |
| 외부 업체 제공 | 위탁·제공 근거 존재 여부 | 계약서와 동의 필요 |
| 개인 메모 저장 | 업무 필요성과 보안 조치 | 분실 시 유출 책임 가능 |
2. 개인정보법위반 | 처벌 수위
개인정보법위반은 행위 유형에 따라 벌금형부터 징역형까지 다양하게 적용될 수 있으며, 단순 관리 소홀인지 고의적 유출인지, 피해 규모가 어느 정도인지에 따라 형량이 달라집니다.
주요 처벌 기준
개인정보보호법 제71조, 제72조
| 행위 유형 | 주요 내용 | 처벌 수위 |
|---|---|---|
| 개인정보 무단 제공·목적 외 이용 | 정보주체 동의 없이 제3자에게 제공하거나 정해진 목적을 벗어나 사용하는 경우 | 5년 이하의 징역 또는 5,000만 원 이하의 벌금 |
| 부정한 방법으로 개인정보 취득 | 속임수나 기타 위법한 수단으로 개인정보를 수집하는 경우 | 3년 이하의 징역 또는 3,000만 원 이하의 벌금 |
고의성 판단 기준
개인정보라는 점을 알고 있었는지, 목적 외 이용이나 제3자 제공이 금지된다는 점을 인식하고 있었는지를 기준으로 판단됩니다.
또한 동일 행위의 반복 여부, 내부 규정이나 교육 위반 여부, 유출 이후 삭제·회수 등 사후 조치가 있었는지도 함께 고려됩니다.
따라서 단순 실수인지 고의인지 여부는 인식, 반복성, 사후 대응을 종합해 판단됩니다.
3. 개인정보법위반 | 수사와 재판 쟁점
개인정보법위반 사건에서 핵심 쟁점은 “어떤 권한으로, 어떤 목적에서, 어떤 범위까지 정보를 처리했는지”입니다.
단순히 업무상 처리였다는 주장만으로는 위법성이 부정되지 않으며, 실제 권한 범위와 이용 목적이 일치하는지를 입증해야 합니다.
조사에서 자주 발생하는 문제
조사 과정에서 “관행이었다”거나 “잠깐 공유했을 뿐”이라는 진술은 오히려 반복성이나 유출 사실을 인정하는 방향으로 해석될 수 있습니다.
또한 피해가 크지 않다는 주장 역시 개인정보 특성상 회수 불가능성과 2차 피해 가능성 때문에 크게 받아들여지지 않는 경우가 많습니다.
증거로 입증해야 할 핵심
유출 의도가 없었다는 점을 주장하려면 이를 뒷받침할 객관 자료가 필요합니다.
접근 권한이 있었는지, 업무상 필요한 범위였는지, 공유 이후 삭제 조치를 했는지 등을 입증해야 합니다.
반대로 로그 기록, 파일 전송 내역, 메신저 기록 등은 불리한 증거로 활용될 수 있으므로 임의 삭제는 절대 피해야 합니다.
접근권한 관리 책임이 문제되는 경우
개인정보법위반 사건에서는 실제 유출 행위뿐 아니라 접근권한 관리가 적절했는지도 함께 문제됩니다.
특히 관리자 권한을 가진 경우 불필요한 범위까지 접근이 가능했다면 관리 책임까지 인정될 수 있습니다.
따라서 단순히 “업무상 접근이었다”는 주장만으로는 부족하고, 해당 정보에 접근할 필요성과 범위가 적정했는지를 함께 설명해야 합니다.
4. 개인정보법위반 | 대응 방법
개인정보법위반 사건에서는 초기 대응이 전체 결과를 좌우합니다.
자료를 삭제하거나 임의로 연락하는 행동은 오히려 증거 인멸 또는 추가 위법 행위로 해석될 수 있으므로 주의해야 합니다.
단계별 대응 절차
| 단계 | 실제로 취해야 할 조치 |
|---|---|
| 1단계 | 문제된 자료(파일, 캡처, 영상), 전송 기록, 접근 로그를 모두 확보하고 삭제하지 말고 별도로 보존해야 합니다. |
| 2단계 | 어떤 정보가 누구에게 언제 전달되었는지 시간순으로 정리하고 유출 범위를 특정해야 합니다. |
| 3단계 | 본인의 접근 권한과 업무 목적을 확인하고 해당 행위가 목적 외 이용인지 검토해야 합니다. |
| 4단계 | 추가 확산 방지를 위해 수신자에게 추가 확산 방지를 요청하되, 수사에 영향을 주지 않도록 기록이 남는 방식으로 신중히 진행해야 합니다 |
| 5단계 | 피해자에게 필요한 경우 통지 및 사과를 진행하고, 재발 방지 조치(접근 제한, 내부 규정 수정 등)를 마련해야 합니다. |
| 6단계 | 수사 대응을 위해 경위서를 작성하고 진술 내용을 사전에 정리해 고의성 관련 표현을 신중히 구성해야 합니다. |
| 7단계 | 형사처벌, 민사 손해배상, 내부 징계 가능성을 모두 고려하여 대응 방향을 종합적으로 검토하고, 제출 자료와 진술 내용이 서로 충돌하지 않도록 정리해야 합니다. |
변호사 필요성
개인정보법위반 사건은 단순히 “실수였다”고 말한다고 끝나지 않습니다.
조사 진술, 피해 회복 자료, 재발 방지 계획을 정리해 처벌 수위가 과도하게 높아지지 않도록 대응 방향을 설계해야 합니다.
대한민국 9위 로펌 대륜(25년 국세청 부가가치세 신고 기준)은 단순 공유 행위가 도용, SNS사기, 사칭 피해로 확대 해석될 수 있는 위험을 고려하여, 사건 초기부터 유출 경로와 관여 범위를 구분해 대응합니다.
도움이 필요하신 경우 🔗형사변호사 법률상담예약을 통해 현재 상황에 맞는 구체적인 전략을 검토해 보시길 바랍니다.
