개인정보 유출 발생 시 신고 절차와 방법, 피해 구제 절차를 상세히 알아봅니다. 개인정보보호법에 따른 의무사항과 과태료 기준, 피해보상 청구 방법까지 자세히 설명합니다.
개인정보 유출이란 개인정보가 법적 근거나 정보주체의 동의 없이 제3자에게 공개, 제공, 누출, 누설된 모든 경우를 의미합니다. 개인정보보호법에 따르면, 개인정보처리자는 개인정보 유출 사실을 알게 된 경우 지체 없이 정보주체에게 관련 사실을 알리고 개인정보보호위원회 또는 전문기관에 신고해야 합니다.
개인정보 유출 신고는 1,000명 이상의 정보주체에 관한 개인정보가 유출된 경우 의무적으로 이루어져야 합니다. 신고 시에는 유출된 개인정보 항목, 유출 시점과 그 경위, 유출로 인한 피해 최소화 대책, 대응 조치 및 피해 구제절차 등을 포함해야 합니다. 특히 주민등록번호가 포함된 경우에는 건수에 관계없이 반드시 신고해야 합니다.
법원은 개인정보 유출 사건에 대해 엄격한 판단 기준을 적용하고 있습니다. 대법원은 개인정보처리자의 안전조치의무 위반과 관련하여, 기술적·관리적 보호조치가 미흡했다고 판단될 경우 과실책임을 인정하고 있습니다. 또한 정보주체에 대한 통지의무 위반 시 과태료 부과 대상이 됩니다.
개인정보 유출 피해를 입은 경우, 즉시 개인정보침해신고센터(118)나 개인정보보호포털(privacy.go.kr)을 통해 신고할 수 있습니다. 추가적으로 한국인터넷진흥원(KISA)의 개인정보침해신고센터에서 상담 및 피해구제 지원을 받을 수 있으며, 필요한 경우 손해배상청구 소송을 제기할 수 있습니다.
고등학교 교사인 피고인이 담임을 맡고 있는 학급의 여학생 3명의 피해자들에게 ‘남자 친구 대신 사랑을 주면 안 되냐?’, ‘너는 왜 애교를 부리지 않니?’ 등과 같이 말하면서 몸을 밀착시키고, 등을 쓰다듬고, 어깨를 주무르고, 양팔로 끌어안고, 볼을 서로 닿게 하는 등의 행위를 함으로써 위력으로 청소년인 피해자들을 추행하고, 이러한 행위에 대한 수사가 시작되어 담임교사의 업무를 수행하지 않게 되었음에도 학생들의 개인정보를 이용하여 학부모들에게 내용증명서를 발송하거나 발송 의뢰하는 방법으로 개인정보를 제공받은 목적 외의 용도로 이용하였다고 하여 아동·청소년의 성보호에 관한 법률 위반 및 개인정보 보호법 위반으로 기소된 사안에서, 피해자들 진술의 전후 내용이 자연스러우며 상세한 점, 피해자들이 우연한 계기로 학교에 피해사실을 진술하게 되었던 점, 피해자들이 피고인에 대하여 허위로 진술할 만한 특별한 사정이 있다고 보기 어려운 점 등을 종합하면 공소사실에 부합하는 피해자들 진술에 신빙성이 있고, 과거 교육현장에서 훈계 혹은 친밀감의 표시로서 관행적으로 묵인되어 오던 언행이라도 피해자인 아동·청소년의 시각에서 수치심이나 혐오감을 느낄 수 있는 행위라면 형법이 정한 ‘추행’에 해당하는 점에 비추어 피고인의 행위는 교사에게 허용되는 범위를 넘어선 추행에 해당하고, 피고인의 행위 태양 및 그 강도에 비추어 추행의 고의도 인정되며, 나아가 피고인이 내용증명을 보내기 위하여 학생들의 개인정보를 이용한 것은 목적의 정당성, 긴급성 또는 보충성의 요건을 충족하지 못한 행위이므로 정당행위에 해당하지 않는다는 이유로, 피고인에게 유죄를 선고한 사례.<br/>
2018. 2. 20.구 영유아보육법(2020. 12. 29. 법률 제17785호로 개정되기 전의 것, 이하 같다) 제15조의4 제1항은 “어린이집을 설치·운영하는 자는 아동학대 방지 등 영유아의 안전과 어린이집의 보안을 위하여 개인정보 보호법 및 관련 법령에 따른 폐쇄회로 텔레비전을 설치·관리하여야 한다.”라고 정하고, 구 영유아보육법 제15조의5 제3항은 “어린이집을 설치·운영하는 자는 제15조의4 제1항의 영상정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획의 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.”라고 정한다. 그리고 구 영유아보육법 제54조 제3항은 “제15조의5 제3항에 따른 안전성 확보에 필요한 조치를 하지 아니하여 영상정보를 분실·도난·유출·변조 또는 훼손당한 자는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다.”라고 정한다.<br/> 여기서 처벌의 대상이 되는 자 중 ‘영상정보를 훼손당한 자’란 어린이집을 설치·운영하는 자로서 구 영유아보육법 제15조의5 제3항에서 정한 폐쇄회로 영상정보에 대한 안전성 확보에 필요한 조치를 하지 않았고 그로 인해 영상정보를 훼손당한 자를 뜻한다. 영상정보를 삭제·은닉 등의 방법으로 직접 훼손하는 행위를 한 자는 위 규정의 처벌대상이 아니고 행위자가 어린이집을 설치·운영하는 자라고 해도 마찬가지이다.<br/>
2022. 3. 17.개인정보 보호법 제37조 제1항 제1문은 "정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다."라고 하여 처리정지의 대상이 개인정보에 대한 "처리"임을 전제로 하고 있고, 2020. 2. 4. 법률 제16930호로 개정되기 전의 구 개인정보 보호법 제2조 제2호는 "처리"를 ‘개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위’로 정의하였다. 그런데 2020. 2. 4. 법률 제16930호로 개정된 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것) 제28조의2 제1항은 "개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다."라고 규정하여 가명정보의 활용범위를 정하였고, 같은 법 제2조는 "가명정보"를 ‘가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보’[제1호 (다)목]로, "가명처리"를 ‘개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것’(제1호의2)으로 정의함으로써 "가명처리"를 같은 법 제2조 제2호의 "처리"와는 별도로 규정하였다. <br/> "가명처리"는 그 개념적 정의에 의하더라도 개인정보에 대한 식별의 위험성을 낮추는 방법이므로, 정보주체에 대한 권리 또는 사생활 침해의 위험을 발생시킬 수 있는 개인정보 보호법 제2조 제2호에서 규정한 여러 유형의 개인정보 "처리"와는 구별된다. 같은 법 제3조 제7항에서 "개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다."라고 규정한 것은 가명처리를 익명처리에 준하는 개인정보 보호조치로 분류한 것으로 볼 수 있다. 또한 "가명처리"는 더 이상의 처리가 가능하지 않도록 개인정보 자체를 삭제하거나 파쇄 또는 소각하는 개인정보의 파기와도 개념적으로 구분이 되는 행위이다. <br/> 이러한 사정에다가 데이터 관련 신산업 육성이 범국가적 과제로 대두되고 인공지능, 클라우드, 사물인터넷 등 신기술을 활용한 데이터 이용이 필요한 상황에서 데이터의 이용을 활성화하기 위한 가명정보조항의 입법취지를 고려하면, "가명처리"는 개인정보 보호법 제37조 제1항 제1문에서 처리정지 요구의 대상으로 정한 개인정보 "처리"에 해당하지 않는다고 보아야 한다.<br/>
2025. 7. 18.개인정보침해신고센터(118) 또는 개인정보보호포털(privacy.go.kr)에 신고할 수 있으며, 경찰서에도 신고 가능합니다.
신분증, 유출 증거자료(화면캡처, 문자메시지 등), 피해사실 입증자료가 필요합니다. 온라인 신고의 경우 관련 자료를 파일로 첨부하면 됩니다.
개인정보침해신고센터를 통한 분쟁조정 신청이나, 법원에 손해배상청구 소송을 제기할 수 있습니다. 법정손해배상제도를 통해 1인당 300만원 이하의 배상 청구가 가능합니다.
개인정보 유출 신고 관련 궁금한 점을 물어보세요