개인정보보호법상 형사처벌 대상과 처벌 기준을 상세 해설. 개인정보 유출, 무단수집, 불법이용 등 위반 유형별 처벌 수위와 실제 사례를 통한 실무 가이드 제공.
개인정보 관련 형사처벌은 개인정보보호법에 근거하여 이루어지며, 개인정보의 불법 수집, 유출, 오남용 등에 대한 강력한 제재를 규정하고 있습니다. 개인정보란 살아있는 개인을 식별할 수 있는 정보를 의미하며, 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보도 포함됩니다.
형사처벌의 주요 대상은 ①정보주체의 동의 없는 개인정보 수집·이용, ②개인정보의 무단 제3자 제공, ③업무상 알게 된 개인정보의 누설, ④개인정보의 불법 매매 등입니다. 특히 영리 또는 부정한 목적으로 개인정보를 무단 제공하거나 유출한 경우에는 가중처벌됩니다.
법원은 개인정보 침해 사건에서 정보주체의 동의 여부, 침해의 고의성, 피해 규모, 취득한 이익의 정도 등을 종합적으로 고려하여 판단합니다. 최근에는 개인정보 보호의 중요성이 강조되면서 처벌 수위가 전반적으로 상향되는 추세를 보이고 있으며, 특히 대규모 개인정보 유출이나 조직적 범행의 경우 실형이 선고되는 사례가 증가하고 있습니다.
개인정보 침해 위험을 예방하기 위해서는 ①개인정보 수집·이용 시 반드시 정보주체의 명시적 동의를 받고, ②수집된 개인정보는 안전하게 관리하며, ③목적 달성 후에는 즉시 파기하는 등의 기본원칙을 준수해야 합니다. 또한 개인정보 유출 사고 발생 시에는 즉시 해당 정보주체에게 통지하고 피해 확산 방지를 위한 조치를 취해야 합니다.
고등학교 교사인 피고인이 담임을 맡고 있는 학급의 여학생 3명의 피해자들에게 ‘남자 친구 대신 사랑을 주면 안 되냐?’, ‘너는 왜 애교를 부리지 않니?’ 등과 같이 말하면서 몸을 밀착시키고, 등을 쓰다듬고, 어깨를 주무르고, 양팔로 끌어안고, 볼을 서로 닿게 하는 등의 행위를 함으로써 위력으로 청소년인 피해자들을 추행하고, 이러한 행위에 대한 수사가 시작되어 담임교사의 업무를 수행하지 않게 되었음에도 학생들의 개인정보를 이용하여 학부모들에게 내용증명서를 발송하거나 발송 의뢰하는 방법으로 개인정보를 제공받은 목적 외의 용도로 이용하였다고 하여 아동·청소년의 성보호에 관한 법률 위반 및 개인정보 보호법 위반으로 기소된 사안에서, 피해자들 진술의 전후 내용이 자연스러우며 상세한 점, 피해자들이 우연한 계기로 학교에 피해사실을 진술하게 되었던 점, 피해자들이 피고인에 대하여 허위로 진술할 만한 특별한 사정이 있다고 보기 어려운 점 등을 종합하면 공소사실에 부합하는 피해자들 진술에 신빙성이 있고, 과거 교육현장에서 훈계 혹은 친밀감의 표시로서 관행적으로 묵인되어 오던 언행이라도 피해자인 아동·청소년의 시각에서 수치심이나 혐오감을 느낄 수 있는 행위라면 형법이 정한 ‘추행’에 해당하는 점에 비추어 피고인의 행위는 교사에게 허용되는 범위를 넘어선 추행에 해당하고, 피고인의 행위 태양 및 그 강도에 비추어 추행의 고의도 인정되며, 나아가 피고인이 내용증명을 보내기 위하여 학생들의 개인정보를 이용한 것은 목적의 정당성, 긴급성 또는 보충성의 요건을 충족하지 못한 행위이므로 정당행위에 해당하지 않는다는 이유로, 피고인에게 유죄를 선고한 사례.<br/>
2018. 2. 20.구 영유아보육법(2020. 12. 29. 법률 제17785호로 개정되기 전의 것, 이하 같다) 제15조의4 제1항은 “어린이집을 설치·운영하는 자는 아동학대 방지 등 영유아의 안전과 어린이집의 보안을 위하여 개인정보 보호법 및 관련 법령에 따른 폐쇄회로 텔레비전을 설치·관리하여야 한다.”라고 정하고, 구 영유아보육법 제15조의5 제3항은 “어린이집을 설치·운영하는 자는 제15조의4 제1항의 영상정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획의 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.”라고 정한다. 그리고 구 영유아보육법 제54조 제3항은 “제15조의5 제3항에 따른 안전성 확보에 필요한 조치를 하지 아니하여 영상정보를 분실·도난·유출·변조 또는 훼손당한 자는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다.”라고 정한다.<br/> 여기서 처벌의 대상이 되는 자 중 ‘영상정보를 훼손당한 자’란 어린이집을 설치·운영하는 자로서 구 영유아보육법 제15조의5 제3항에서 정한 폐쇄회로 영상정보에 대한 안전성 확보에 필요한 조치를 하지 않았고 그로 인해 영상정보를 훼손당한 자를 뜻한다. 영상정보를 삭제·은닉 등의 방법으로 직접 훼손하는 행위를 한 자는 위 규정의 처벌대상이 아니고 행위자가 어린이집을 설치·운영하는 자라고 해도 마찬가지이다.<br/>
2022. 3. 17.개인정보 보호법 제37조 제1항 제1문은 "정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다."라고 하여 처리정지의 대상이 개인정보에 대한 "처리"임을 전제로 하고 있고, 2020. 2. 4. 법률 제16930호로 개정되기 전의 구 개인정보 보호법 제2조 제2호는 "처리"를 ‘개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위’로 정의하였다. 그런데 2020. 2. 4. 법률 제16930호로 개정된 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것) 제28조의2 제1항은 "개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다."라고 규정하여 가명정보의 활용범위를 정하였고, 같은 법 제2조는 "가명정보"를 ‘가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보’[제1호 (다)목]로, "가명처리"를 ‘개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것’(제1호의2)으로 정의함으로써 "가명처리"를 같은 법 제2조 제2호의 "처리"와는 별도로 규정하였다. <br/> "가명처리"는 그 개념적 정의에 의하더라도 개인정보에 대한 식별의 위험성을 낮추는 방법이므로, 정보주체에 대한 권리 또는 사생활 침해의 위험을 발생시킬 수 있는 개인정보 보호법 제2조 제2호에서 규정한 여러 유형의 개인정보 "처리"와는 구별된다. 같은 법 제3조 제7항에서 "개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다."라고 규정한 것은 가명처리를 익명처리에 준하는 개인정보 보호조치로 분류한 것으로 볼 수 있다. 또한 "가명처리"는 더 이상의 처리가 가능하지 않도록 개인정보 자체를 삭제하거나 파쇄 또는 소각하는 개인정보의 파기와도 개념적으로 구분이 되는 행위이다. <br/> 이러한 사정에다가 데이터 관련 신산업 육성이 범국가적 과제로 대두되고 인공지능, 클라우드, 사물인터넷 등 신기술을 활용한 데이터 이용이 필요한 상황에서 데이터의 이용을 활성화하기 위한 가명정보조항의 입법취지를 고려하면, "가명처리"는 개인정보 보호법 제37조 제1항 제1문에서 처리정지 요구의 대상으로 정한 개인정보 "처리"에 해당하지 않는다고 보아야 한다.<br/>
2025. 7. 18.네, 개인정보처리자는 개인정보 유출 사실을 알게 된 때에는 지체 없이 정보주체에게 통지하고 관할 기관에 신고해야 합니다.
개인정보침해 신고센터(privacy.kisa.or.kr) 또는 경찰청 사이버수사국에 신고할 수 있습니다.
과실에 의한 유출도 처벌 대상이 될 수 있으나, 고의적 유출에 비해 처벌 수위는 낮습니다. 안전조치 의무 위반 여부가 중요 판단기준입니다.
개인정보 형사처벌 관련 궁금한 점을 물어보세요