개인정보보호법위반이란 정보주체의 동의 없이 개인정보를 수집·이용·제공하거나, 법정 처리 절차를 무시하여 사생활의 비밀을 침해하는 모든 행위를 의미합니다. 최근 디지털 환경의 확대로 개인정보의 가치가 높아짐에 따라, 이를 둘러싼 법적 규제와 처벌 수위 또한 비약적으로 강화되었습니다. 단순한 관리 소홀이나 관행적인 정보 공유도 엄중한 형사처벌과 막대한 과징금으로 이어질 수 있습니다.
주요 위반 유형
▶ 무단 유출 및 제공
정보주체의 동의 없는 제3자 제공 및 업무상 알게 된 정보의 누설.▶부정한 취득 및 이용
거짓이나 부정한 수단으로 정보를 취득하거나 영리 목적으로 이용하는 행위.▶안전성 확보조치 미흡
해킹이나 관리 부실로 인해 홈페이지 등에 정보가 노출되는 경우.▶권한 오남용
허용된 권한을 초과하여 타인의 정보를 훼손, 변경, 위조하는 행위.
성립요건
개인정보보호법위반이 성립하기 위해서는 보호 대상인 개인정보에 해당해야 하며, 행위자가 개인정보처리자로서 의무를 위반했는지가 핵심입니다.
“ 개인정보의 범위 ”
성명, 주민번호 등 단독 식별 정보뿐만 아니라, 다른 정보와 쉽게 결합하여 특정인을 알아볼 수 있는 정보(가명정보 포함)를 모두 포함합니다.
“ 주체 및 목적 ”
사업자뿐만 아니라 공공기관, 단체, 개인 등 모든 처리자가 주체가 되며, 영리 또는 부정한 목적 여부에 따라 처벌 수위가 달라집니다.
“ 제3자 제공의 위법성 ”
개인정보를 제공받은 자가 목적 외로 이용하거나 다시 제3자에게 제공하는 경우에도 별도의 성립요건을 따집니다.
처벌 수위 및 특징
「 개인정보 보호법 」
제71조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.
1. 제17조제1항제2호에 해당하지 아니함에도 같은 항 제1호(제26조제8항에 따라 준용되는 경우를 포함한다)를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알면서도 개인정보를 제공받은 자
2. 제18조제1항ㆍ제2항, 제27조제3항 또는 제28조의2(제26조제8항에 따라 준용되는 경우를 포함한다), 제19조 또는 제26조제5항을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자
3. 제22조의2제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 법정대리인의 동의를 받지 아니하고 만 14세 미만인 아동의 개인정보를 처리한 자
4. 제23조제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 민감정보를 처리한 자
5. 제24조제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 고유식별정보를 처리한 자
6. 제28조의3제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 보호위원회 또는 관계 중앙행정기관의 장으로부터 전문기관으로 지정받지 아니하고 가명정보를 결합한 자
7. 제28조의3제2항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 전문기관의 장의 승인을 받지 아니하고 결합을 수행한 기관 외부로 결합된 정보를 반출하거나 이를 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 결합된 정보를 제공받은 자
8. 제28조의5제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 특정 개인을 알아보기 위한 목적으로 가명정보를 처리한 자
9. 제59조제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자
10. 제59조제3호를 위반하여 다른 사람의 개인정보를 이용, 훼손, 멸실, 변경, 위조 또는 유출한 자
제72조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다.
1. 제25조제5항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 고정형 영상정보처리기기의 설치 목적과 다른 목적으로 고정형 영상정보처리기기를 임의로 조작하거나 다른 곳을 비추는 자 또는 녹음기능을 사용한 자|
2. 제59조제1호를 위반하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자
3. 제60조를 위반하여 직무상 알게 된 비밀을 누설하거나 직무상 목적 외에 이용한 자
위반 행위 | 처벌 수위 |
동의 없는 제3자 제공 및 수취, 민감정보 처리 위반, 업무상 누설 행위 등. | 5년 이하의 징역 또는 5천만 원 이하의 벌금 |
부정한 방법으로 정보 취득, 영상정보처리기기(CCTV) 임의 조작, 직무상 비밀 누설 등. | 3년 이하의 징역 또는 3천만 원 이하의 벌금 |
개인정보보호법 처벌 양형 요소로는 범행 동기, 피해 규모의 경미성, 자수 및 수사 협조, 진지한 반성, 형사처벌 전력 유무 등이 고려됩니다.
또한, 개인정보보호법을 위반할 경우 형사처벌 외에도 대규모 유출 시 막대한 과징금과 손해배상 책임이 병과됩니다.
■ 대법원 양형 기준 (개인정보 등 침해범죄)
대법원 양형위원회는 구체적인 유형에 따라 다음과 같이 형량 기준을 제시하고 있습니다.
유형 | 구분 | 감경 | 기본 | 가중 |
1 | 개인정보 부정취득 등/위치정보 무단 수집 등 | - 6월 | 4월 - 1년 | 8월 - 2년 |
2 | 개인정보·신용정보·위치정보 무단 이용 등 | - 8월 | 6월 - 1년6월 | 1년 - 3년6월 |
3 | 개인정보 부정취득 후 제공 등/신용정보 누설 등/통신비밀 침해 등 | 6월 - 1년4월 | 8월 - 2년6월 | 2년 - 5년 |
피의자(피고인) 대응 전략
■ 초기 대응 핵심
진술의 신중함과 법리 분석
수사 초기 참고인 조사 단계에서 무심코 한 진술이 피의자 전환의 근거가 될 수 있습니다. 따라서 소환 통보 즉시 적용 조항을 분석하고 고의성 여부를 가려내는 것이 급선무입니다.
■ 핵심 대응 전략
객관적 소명자료 확보
내부 관리계획, 접속 기록, 동의서 등 기술적·관리적 보호조치를 충실히 이행했음을 입증할 자료를 정리해야 합니다.
합의 및 피해 회복
위반이 명백하다면 신속히 피해자와 합의하고 재발 방지 대책을 수립하여 선처를 구해야 합니다.
행정조사 병행 대응
개인정보보호위원회의 행정조사와 형사 수사가 동시에 진행되는 경우, 논리적 일관성을 유지하는 의견서 제출이 중요합니다.
피해자 대응 전략
■ 초기 대응 핵심
침해 사실의 박제와 신고
유출된 게시글, 통지서, 스팸 연락 등 증거자료를 체계적으로 확보하고, 한국인터넷진흥원(KISA) 등 전문 기관에 즉시 신고하여 피해 확산을 막아야 합니다.
■ 핵심 대응 전략
민사상 손해배상 청구
고의·과실로 인한 유출 시 300만 원 이하의 범위에서 배상을 청구할 수 있으며, 실제 발생한 경제적·정신적 손해를 입증해야 합니다.
형사 고소 및 의견 개진
유출 경위와 피해 사실을 명시한 고소장을 제출하고 , 재판 과정에서 엄벌 필요성을 담은 피해자 의견서를 제출합니다.
삭제 및 정정 요구
추가 피해 방지를 위해 해당 정보의 삭제 또는 정정을 요구하는 법적 조치를 병행합니다.
형사전문변호사의 필요성
개인정보보호법위반은 기술적 메커니즘과 법률적 해석이 복합적으로 얽혀 있는 고난도 사건ㄴ으로 수사기관이 제시하는 로그 기록 등에 대한 전문적 반박이 필요합니다. 또한, 형사 처벌 수위를 낮추는 동시에 민사상 손해배상 규모를 최소화하거나, 반대로 피해자로서 정당한 배상을 받아내는 입체적 전략이 요구됩니다.
개인정보보호법위반 혐의 또는 피해로 법률적 도움이 필요하시다면, 법무법인 안심을 통해 전문적인 법적 조력을 받아 신뢰할 수 있는 대응을 시작하시기 바랍니다.
