업무상 알게 된 개인정보의 누설 및 제공과 그 처벌

우리들은 하루에도 수없이 나의 흔적들, 예를 들면 이름, 전화번호, 이메일, 위치정보 등을 어딘가에 남깁니다. 그런데 누군가가 나의 소중한 개인정보를 무단으로 누설하거나 악용한다면 어떻게 될까요?  

 

최근 데이터 유출사고와 개인정보 유출 피해 사례가 증가하면서 개인정보 보호법의 중요성이 더욱 강조되고 있습니다. 특히 개인정보 보호법 제71조 제9호는 개인정보를 무단으로 누설하거나 권한 없이 타인이 이용할 수 있도록 제공하는 행위를 엄격히 금지하면서 이를 위반할 경우 형사처벌을 가하고 있습니다.  

 

이번 글에서는 개인정보 보호법 제71조 제9호의 적용범위와 위반시 처벌 수준 등을 알아보겠습니다. 

 

근거 법률 규정

개인정보 보호법 제71조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.
9. 제59조제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자

개인정보 보호법 제59조(금지행위)
개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.
2. 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위

반응형

행위주체: 개인정보를 처리하거나 처리하였던 자

우선 형사처벌 근거조항인 개인정보 보호법 제71조 제9호를 자세히 살펴보면 형사처벌의 전제가 "제59조 제2호의 위반"이라는 점이 분명합니다. 그래서 다시 법 제59조 제2호를 살펴보면 금지의무의 대상자는 "개인정보를 처리하거나 처리하였던 자"에 한정됨을 알 수 있습니다. 그렇다면 "개인정보를 처리하거나 처리하였던 자"는 누구일까요?

 

 "개인정보를 처리하거나 처리하였던 자"는 "개인정보처리자"와는 다른 개념입니다. 개인정보처리자는 "업무를 목적으로 개인정보파일을 운용하기 위하여"라는 제한조건이 부가되어 있지만, 본 조에서 정한 ‘개인정보를 처리하거나 처리하였던 자’에는 ‘업무 목적’ 또는 ‘개인정보파일 운용 목적’이라는 제한이 없습니다. 업무 이외의 목적으로 처리하였거나 개인정보파일을 운용할 목적이 없는 경우에도 본 조의 적용을 받는 것이죠. 쉽게 말해 "개인정보를 처리하거나 처리하였던 자"는 개인정보처리자에 한정되지 않고 업무상 알게 된 개인정보를 "처리"하거나 "처리"하였던 자도 포함하는 더 넓은 개념입니다.

 

"개인정보처리자"란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인을 말한다. (개인정보 보호법 제2조 제5호) 

 

개인정보 보호법 제71조 제9호의 적용대상자로서 제59조 제2호의 의무주체인 "개인정보를 처리하거나 처리하였던 자"는 제2조 제5호의 "개인정보처리자" 즉 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등에 한정되지 않고, 업무상 알게 된 제2조 제1호의 "개인정보"를 제2조 제2호의 방법으로 처리하거나 처리하였던 자를 포함한다. (대법원 2016. 3. 10. 선고 2015도8766 판결)

 

따라서 개인정보처리자에게 소속되어 개인정보를 처리하고 있거나 처리한 적이 있는 전ㆍ현직 임직원, 파견직, 수탁자 등이 개인정보를 처리하거나 처리하였던 자에 해당합니다. 

 

개인정보 처리의 개념

개인정보 보호법에서 말하는 "처리"란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말한다. 매우 폭넓은 개념이지요. 

 

업무상 알게 된 개인정보

업무상 알게 된 개인정보란 넓게 업무를 처리하는 과정에서 우연히 알게 된 것으로 충분하고 반드시 자신에게 부여된 업무를 처리하는 과정에서 적법하게 알게 된 것이어야 할 필요는 없습니다. 

 

개인정보란 살아있는 개인에 관한 정보로서 ① 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보, ② 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 (이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려해야 함), ③ 이러한 정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보를 말합니다. 

 

개인정보보호법에서 보호되는 개인정보의 범위

개인정보보호법에서 보호되는 개인정보의 범위

 

누설의 개념

누설이란 아직 이를 알지 못하는 타인에게 알려주는 일체의 행위를 말합니다. 개인정보를 무단으로 다른 사람에게 제공하거나 공공연히 외부에 공개하거나 유출시키는 행위로서, 개인정보에 대한 접근권한이 없는 자에게 해당 개인정보에 접근할 수 있도록 하는 일체의 행위입니다. 

 

누설이나 제공의 상대방은 "당해 개인정보를 처리하거나 처리하였던 사람을 제외한 모든 사람"을 의미합니다.

개인정보 보호법 제71조 제9호 및 제59조 제2호에서 금지하고 있는 "누설" 또는 "제공"이나 같은 법 제71조 제10호 및 제59조 제3호에서 금지하고 있는 "유출"의 상대방은 당해 개인정보를 처리하거나 처리하였던 사람을 제외한 모든 사람을 의미함이 그 구성요건상 명백하다. (서울고등법원 2013. 5. 30. 선고 2013노613 판결) 

 

맺음말

개인정보 보호법 제71조 제9호는 개인정보의 안전한 처리를 위한 필수적인 법적 장치입니다. 이를 통해 개인의 사생활을 보호하고, 사회 전반에 걸쳐 개인정보에 대한 신뢰를 구축하는 데 중요한 역할을 합니다. 개인정보를 처리하는 처리하는 모든 주체는 이 조항을 숙지하고 준수해야 할 의무가 있습니다.