법무법인 민후는 개인정보유출로 방송통신위원회로부터 과태료, 과징금 예정처분을 부과받은 피심인을 대리해 의견서를 제출하고 처분을 크게 감경시켰습니다.
피심인(의뢰인)은 온라인에서 화장품 등을 판매하는 사업자입니다. 피심인은 모월 모일 개인정보유출로 중앙전파관리소로부터 현장조사를 받은 뒤, 방통위로부터 시정명령과 공표, 과태료, 과징금 부과 예정처분을 통지받았습니다.
법무법인 민후는 피심인의 개인정보유출 사고 시점과 경위 등을 면밀히 검토하고, 방통위의 예정처분이 합당한지 살폈습니다.
방통위는 정보통신망법 제64조의3(과징금의 부과 등), 동법 제76조(과태료)를 근거로 피심인에게 과징금과 과태료를 부과한 것으로 확인됐습니다.
두 개의 조문은 동일하게 법 제28조 제1항을 위반한 자에 대한 처분을 정하고 있으나, 과징금 부과 조문은 '이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 경우로서'라는 전제가 부가되어 있다는 점에서 차이점이 있습니다.
정보통신망법 제64조의3(과징금의 부과 등) ① 방송통신위원회는 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.
6. 이용자의 개인정보를 분실·도난·유출·위조·변조 또는 훼손한 경우로서 제28조 제1항 제2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의 조치를 하지 아니한 경우
제76조(과태료) ① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다.
3. 제28조 제1항(제67조에 따라 준용되는 경우를 포함한다)에 따른 기술적·관리적 조치를 하지 아니한 자
두 조문은 정보통신망법 제28조 제1항을 위반한 자에 대한 처분을 정하고 있습니다. 다만 과징금 부과 조문에는 ‘이용자의 개인정보를 분실·도난·유출·위조·변조 또는 훼손한 경우’로 단서를 달고 있습니다.
정보통신망법 제28조(개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다.
1. 개인정보를 안전하게 처리하기 위한 내부관리계획의 수립·시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영
3. 접속기록의 위조·변조 방지를 위한 조치
4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치
5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
즉, 개인정보보호 조치를 제대로 취하지 못해 개인정보침해사고가 발생한 경우에는 과징금을 부과하고, 그렇지 않을 경우(내부자유출 등)엔 과태료만 부과한다는 것으로 해석할 수 있습니다.
하지만 이 사건의 경우 유출의 경위나 경로가 전혀 파악되지 않았기 때문에 위반행위들 가운데 유출과의 관련성이 밝혀진 사항이 없습니다. 따라서 이 사건에는 과징금 부과 조문의 적용이 불가능하다는 의견을 제출했습니다.
방통위는 법무법인 민후의 주장을 받아들여 과태료 처분만 내렸습니다. 이를 통해 피심인은 회사 운영의 리스크를 크게 줄이고 안정적으로 비즈니스를 영위할 수 있게 됐습니다.
