[스타트업X개인정보] 스타트업 개인정보 유출 사고 시, 회사의 책임은?
채팅상담서비스'해피톡'을 제공하는 엠비아이 솔루션 해킹사고가 있었습니다. 이로 인해 배달의 민족에서 이루어진 상담내용 1만건이 유출되었고, 토스에서는 해피톡 상담을 이용한 자사고객 1500명의 이름, 생일, 전화번호 등이 유출되었습니다.
해피톡 측은 접속 경로를 차단하고, 한국인터넷 진흥원(KISA)에 신고한 상태입니다.
배달의 민족 측에서는 유출사고와 관련하여 피해 보상책을 마련할 것이라고 밝혔으나 아직 구체적인 보상방안을 내놓지는 않고 있습니다. 상담 내용에 개인정보가 포함되어 있는 경우에 개별적 통지를 마쳤다고 발표하였으나, 배달원들 사이에서는 제대로 된 통지가 이루어지지 않았다는 불만이 존재하는 상황입니다.
이에 반해 토스에서는 피해자 전원에게 개별 고지를 마쳤고, 금전적 보상을 실시하기로 밝혔습니다. 구상권을 실시할 계획도 있다고 밝혔습니다.
상담 내용은 개인정보에 해당할까요? 수탁사의 개인정보 유출 사고 시, 위탁자의 의무와 책임은 무엇이 있을까요? 함께 살펴보도록 하겠습니다.
상담 내용은 개인정보에 해당하나요?
개인정보란 1) 살아있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보 2) 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 포함합니다.
주민등록번호를 포함하여, 성명, 주소, 연락처가 개인정보임은 명백하며, 이메일 주소도 개인정보에 해당합니다.
상담 내용의 경우에는 개인정보가 포함되어있는 지 여부에 관하여 확인이 필요합니다. 배달의 민족 측에 따르면 확인결과, 대부분 단순 문의이나 상담 내용 중 업주의 이름이나 핸드폰 번호 등이 포함되어 있다고 밝혔습니다.
수탁자가 개인정보 유출시, 위탁자가 의무나 책임이 있나요?
개인정보 보호법 제26조에서는 위탁자는 수탁자가 개인정보를 안전하게 처리하는 지를 관리 감독하도록 규정하고 있습니다.
구체적으로, 위탁자는 업무 위탁 계약서를 통해 취급목적 등 수탁자가 행할 수 있는 개인정보 취급업무의 범위를 구체적으로 적시하고 수탁자가 위탁업무와 관련해 부여받은 업무범위를 벗어나지 않도록 수시로 관리·감독할 책임이 있습니다. 수탁자가 위탁받은 업무와 관련하여 「개인정보 보호법」을 위반하여 정보주체에게 손해를 끼쳐 민사상의 손해배상 책임을 질 경우, 수탁자를 개인정보처리자의 소속 직원으로 간주합니다.(개인정보보호법 제26조 제6조)
따라서 손해를 입은 정보주체는 위탁자나 수탁자 중 어느 한 쪽에 손해배상을 청구할 수 있고, 위탁자는 수탁자에게 구상권을 행사할 수 있습니다. (개인정보보호 상담사례집, 안전행정부, KISA 한국인터넷 진흥원 )
해피톡에서 발생한 개인정보 유출사고였지만, 배달의 민족, 토스에 의무와 책임이 인정됩니다. 해피톡은 배달의 민족, 토스의 업무인 고객 상담업무를 위탁받아 운영하고 있는 수탁자이며, 수탁자는 개인정보 처리자(사업주)의 소속직원으로 보기 때문입니다. 토스나 배달의 민족은 해피톡에 향후 구상권을 행사할 수는 있을 것으로 보입니다.
개인 정보 유출 사고 발생 시 개인정보처리자는 어떤 의무가 있을까요?
개인정보처리자는 유출 확인 시 24시간 내 정보주체에 개별 통지하고(개인정보보호법 제34조 1항), 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 하며(동법 제34조 2항) 1천명 이상 유출시나 정보통신 서비스 사업자는 방통위 인터넷 진흥원에 신고할 의무가 있습니다. (동법 제34조 3항, 제39조의 4)
정보주체에 알리지 않은 경우, 사후조치 결과를 상위기관에 신고하지 않은 경우에는 각 3천만원의 과태료를 부담합니다. (동법 제75조 8호, 9호)
우리사안에서 사업주들은 개인정보처리자의 유출 사고 발생 시 의무를 다하였을까요?
토스의 경우 개별통지를 진행하였고, 피해 최소화 하기위하여 해피톡 상담을 전면중단하였다고 밝혔습니다. 이에 반해 배민은 전체 공지는 올렸으나 제대로 개별통지가 되었는 지 여부에 대하여는 논란이 있는 상황입니다.
개인정보 유출 시, 개인정보처리자/ 개인정보 보호 책임자는 어떤 책임을 지나요?
우선 민사상으로는, 정보주체는 개인정보처리자가 이법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있고, 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없습니다.만약 개인정보처리자의 고의 또는 중대한 과실이 있다면 법원은 손해액의 3배 범위 내에서 손해배상액을 정할 수 있습니다.( 개인정보보호법 제39조 제1항, 제3항)
행정적으로는, 주민등록번호 유출이 있었다면, 개인정보보호법 제29조의 안전성 확보에 필요한 기술적, 관리적 물리적 조치를 다하지 않았다면, 매출액의 100분의 3이하의 과징금이 부과될 수 있습니다. (개인정보보호법 제39조의 15)
형사적으로도, 개인정보 보호 책임자는 개인정보보호법 제29조의 안전성 확보에 필요한 기술적, 관리적 물리적 조치를 다하지 않았다면, 2년이하의 징역 또는 2천만원 이하의 징역에 처해질 수 있습니다. 법인도 개인정보보호법 제74조 제2항에 따라 양벌규정이 적용되어 함께 처벌됩니다.
지켜봐야 알겠지만, 만약 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 다하지 않았다면, 토스나 배달의 민족은 민사적 손해배상 책임을 지게 될 수 있으며, 해피톡 개인정보보호 책임자에 대하여는 형사처벌이 이루어질 수 있습니다. (개인정보보호법 제26조 제6항에서는 민사적 손해배상 책임에 관하여만 수탁자를 위탁자의 직원으로 보고 있기 때문에 형사책임의 경우에는 해피톡 측 개인정보보호 책임자가 질 것으로 보입니다. )
배달의 민족 사안을 통하여 개인정보 유출 사고 시 개인정보처리자의 의무와 책임에 대하여 살펴보았습니다. 개인정보 유출 사고 발생 시 책임을 무겁게 인정하고 있는 만큼 평소에 개인정보 안전성 확보에 만전을 기해야 할 것으로 보입니다.