003.온라인 플랫폼 기업 개인정보 유출 처벌? 배상?

생필품을 손쉽고 편하게 배달받는 서비스로 많은 사람들이 애용하던 기업에서 대규모 개인정보 유출 사태가 발생했다.

피해도 발생했고, 피해자도 특정이 되었으니(필자의 개인정보도 유출되었다), 법적 책임이 어떤 방식으로 이루어질 수 있을까?

언론에 공개된 바에 따르면 고의적인 내부자의 유출행위라는 점에서 해당 실행행위자가 형사, 민사 등 법적 책임을 지게 될 것이라는 점은 비교적 명확하다.

다만, 해당 기업(개인정보보호법은 업무를 목적으로 개인정보를 처리하는 법인을 '개인정보처리자'라고 정의하므로 아래에서는 필요에 따라 해당 기업을 '개인정보처리자'라고 지칭한다)은 개인정보유출에 대한 책임으로서 형사처벌을 받아야 하는 것일까? 피해자에게 금전적인 손해배상을 하여야 하는 것일까? 혹은 행정적 책임 등 제3의 책임을 부담하는 것일까?

최근의 사태는 다양한 이해관계자들의 별도의 사실관계에 결부되어 매우 폭넓은 범위로 법적 책임 종류 및 범위가 확산되고 있으나 아래에서는 '개인정보보호법'으로 제한하여 책임 내용을 살펴본다.

1. 개인정보처리자의 의무

개인정보보호법은 '개인정보', '처리', '정보주체', '개인정보처리자'를 아래와 같이 각 호로 나누어 정의하고 있다.

---

개인정보 보호법

[시행 2025. 10. 2.] [법률 제20897호, 2025. 4. 1., 일부개정]

제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. <개정 2014. 3. 24., 2020. 2. 4., 2023. 3. 14.>

1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.

가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.

다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)

2. “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

---

위와 같은 정의를 해당 기업 사례에 적용하면 다음과 같다.

(1) 개인정보 : 유출된 이용자의 '성명, 주민등록번호, 주소, 연락처 및 주문이력(주문이력만 따로 떼어내어 개인정보에 해당하는지 여부는 논란이 있을 수 있으나, 해당 주문이력이 다른 정보와 결합하여 특정 개인을 알아볼 수 있음이 명확하다면 해당 정보 역시 개인정보에 해당한다)'

(2) 처리 : 해당 기업이 회원가입을 받거나 물품 주문을 받으면서 입력하도록 하여 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공 등을 하는 행위

(3) 정보주체 : 유출된 개인정보의 주인, 즉 해당 기업을 이용한 이용자

(4) 개인정보처리자 : 해당 기업

결국 문제가 되는 해당 기업은 정보주체인 회원등 이용자와의 관계에서 개인정보처리자로서 법적 책임과 의무를 부담하게 된다.

개인정보보호법은 개인정보처리자에게 다음과 같은 의무를 부여하고 있다.

---

개인정보 보호법

[시행 2025. 10. 2.] [법률 제20897호, 2025. 4. 1., 일부개정]

제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.

제34조(개인정보 유출 등의 통지ㆍ신고) ① 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조에서 “유출등”이라 한다)되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사항을 알려야 한다. (이하 생략)

② 개인정보처리자는 개인정보가 유출등이 된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.

③ 개인정보처리자는 개인정보의 유출등이 있음을 알게 되었을 때에는 개인정보의 유형, 유출등의 경로 및 규모 등을 고려하여 대통령령으로 정하는 바에 따라 제1항 각 호의 사항을 지체 없이 보호위원회 또는 대통령령

으로 정하는 전문기관에 신고하여야 한다. 이 경우 보호위원회 또는 대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다.

제36조(개인정보의 정정ㆍ삭제) ① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.

② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ㆍ삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.

③ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.

제37조(개인정보의 처리정지 등) ① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. (이하 생략)

② 개인정보처리자는 제1항에 따른 처리정지 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. (이하 생략)

---

즉, 개인정보처리자는 개인정보가 유출되지 아니하도록 안전성 확보에 필요한 기술적, 관리적 및 물리적 조치를 하여야 하고, 유출을 인지하였을 때에는 지체 없이 정보주체에게 통지하여야 한다.

또한 개인정보처리자는 정보주체로부터 개인정보의 정정 또는 삭제를 요구받으면 이를 정정 또는 삭제하는 조치를 하여야 하고, 삭제 조치는 복구 또는 재생되지 아니하도록 하는 조치를 하여야 한다.

나아가 정보주체는 개인정보처리자에게 자신의 개인정보 처리의 정지를 요구하거나 기존 동의를 철회할 수 있고, 이와 같은 요구를 받은 개인정보처리자는 처리를 정지하여야 한다.

2. 의무 위반시 발생하는 법적 책임은?

현행 개인정보보호법이 아닌 2023년도 개정 이전 구 개인정보보호법([시행 2020. 8. 5.] [법률 제16930호, 2020. 2. 4., 일부개정])은 위와 같은 개인정보처리자의 여러 의무를 위반하였을 때 '2년 이하의 징역 또는 2천만원 이하의 벌금형'에 처하는 형사처벌 규정을 두고 있었다.

---

구 개인정보 보호법

[시행 2020. 8. 5.] [법률 제16930호, 2020. 2. 4., 일부개정]

제73조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다.

1. 제23조제2항, 제24조제3항, 제25조제6항, 제28조의4제1항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손당한 자

1의2. 제21조제1항(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보를 파기하지 아니한 정보통신서비스 제공자등

2. 제36조제2항을 위반하여 정정ㆍ삭제 등 필요한 조치를 하지 아니하고 개인정보를 계속 이용하거나 이를 제3자에게 제공한 자

3. 제37조제2항을 위반하여 개인정보의 처리를 정지하지 아니하고 계속 이용하거나 제3자에게 제공한 자

---

다만, 2023년도에 개인정보보호법을 개정하면서 위와 같이 구법에 규정되어 있던 여러 의무위반, 특히 개인정보 유출에 대한 형사책임 규정을 삭제하고 이에 대한 책임을 '과징금 부과' 즉 행정제재로서의 책임과 더불어, 정보주체 즉 피해자에 대한 손해배상 책임 범위를 기존 '3배 범위 내'에서 '5배 범위 내'로 징벌적 손해배상 범위를 확대하는 방향으로 개정이 이루어졌다.

---

개인정보 보호법

[시행 2025. 10. 2.] [법률 제20897호, 2025. 4. 1., 일부개정]

제39조(손해배상책임) ① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

③ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 5배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.

제64조의2(과징금의 부과) ① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.

9. 개인정보처리자가 처리하는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우. 다만, 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손되지 아니하도록 개인정보처리자가 제29조(제26조 제8항에 따라 준용되는 경우를 포함한다)에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.

---

3. 결론

결국 현행 개인정보보호법으로 한정하여 법적 책임을 논의하면 현재 문제되고 있는 해당 기업의 개인정보 유출 사태는 개인정보보호법이 정하고 있는 개인정보처리자로서의 의무를 위반한 것으로 인정되는 경우에도 개인정보보호법이 규정하는 형사책임을 부담한다고 보기는 어렵다.

다만, 관련 위원회로부터 과징금 부과처분이 이루어지는 경우, 이는 명백하게 공적 기관에 의하여 개인정보처리자의 의무 위반, 즉 개인정보보호법이 정하는 바를 위반한 행위가 있었다고 인정되므로 개별 이용자들은 해당 기업을 상태로 민사상 불법행위를 원인으로 하는 손해배상청구를 할 수 있다.(그러나 실제 소송실무로 들어간다면 내 개인정보의 유출로 인하여 내가 입은 손해를 현실적으로 입증하기가 상당히 어려울 것으로 보이는 바, 이에 대한 우회적 방법으로서 정신적 손해 즉, 위자료 청구 등의 형태가 병행될 것으로 보인다)

---

블로그의 모든 내용은 특정 사안에 대한 법률적 자문이나 해석을 위하여 제공되는 것이 아닙니다. 본 블로그를 이용하시는 분께서는 본 블로그에 실린 내용에 근거하여 어떠한 조치를 취하시기에 앞서 반드시 저희 법무법인 여원의 실절적인 법률 자문을 구하시기 바랍니다. 또한 본 블로그와 링크되어 있는 다른 블로그들은 이용자의 편의를 위하여 제공하는 것일 뿐이며 그 내용에 대해서 저희 법무법인 여원은 어떠한 책임을 지지 않습니다.