법률분쟁 상황별 대응방법 - 분쟁대응 법률가이드

[핵심 요약]

본인인증 데이터도 '간접 수집'입니다 :
카카오·네이버 인증을 통하더라도 대규모 플랫폼(롯데ON 등)은 정보주체 요청 시 출처를 고지할 의무가 있으며, 적극적 고지 대상이 될 수 있습니다.
솔루션사(수탁자)도 직접 처벌 대상입니다 :
클라우드형 EMR 등 시스템 관리 전반을 위탁받은 수탁자가 보안 조치를 미흡하게 할 경우, 위탁자와 별개로 개인정보보호위원회의 시정명령을 받을 수 있습니다.
AI 학습, '정당한 이익'의 한계를 지키세요 :
공개된 논문 저자 정보 수집은 공익적 목적과 데이터 성격에 따라 허용될 수 있으나, 메신저 대화 등 민감 데이터 수집 시에는 반드시 비식별화(암호화·삭제) 조치가 선행되어야 합니다.
사내 공용 PC 관리, 방치하면 범죄가 됩니다 :
공용 PC에 남은 파일 다운로드 리스트를 무단 캡처해 공유하는 행위는 정보통신망법상 '타인의 비밀 침해'에 해당할 수 있어 기업 내 보안 가이드 수립이 필수적입니다.
유출 사고는 '형사 처벌'로 직결됩니다 :
분양대행사 등 위탁 업체가 고객 정보를 목적 외로 이용할 경우, 경찰 송치 및 형사 처벌을 피할 수 없으므로 철저한 위수탁 관리가 필요합니다.

최근 개인정보보호위원회의 조사권한 강화와 형사처벌 사례가 급증함에 따라, 기업의 법적 대응 역량이 비즈니스의 생존과 직결되고 있습니다. 법무법인 민후가 직접 수행한 실제 자문 사례와 최신 판례를 통해 실무 쟁점을 심층 분석합니다.

1. 간접 수집된 개인정보의 '출처 고지 의무' (개인정보보호법 제20조)

[자문 사례 : 플랫폼 서비스의 본인인증 데이터]

최근 대형 플랫폼들이 외부 인증 수단을 활용하며 "우리는 데이터를 직접 수집하지 않으니 고지 의무가 없다"고 오판하는 경우가 많습니다. 그러나, 개인정보보호법 제20조에 의하면 정보주체 이외로부터 정보를 수집한 경우, 출처와 처리 목적 등을 고지해야 합니다.

▶ 실무 가이드 : 비록 데이터를 단순 비교·검증용으로만 사용하더라도 제3자로부터 CI(연계정보) 등을 제공받는 순간 '간접 수집'에 해당합니다. 따라서 대규모 개인정보처리자는 본인인증 단계에서 출처를 명확히 알리는 시스템적 장치를 마련해야 법적 리스크를 해소할 수 있습니다.

2. 수탁자의 직접적 법적 책임과 시정명령 (개인정보보호법 제29조 및 제64조)

[자문 사례 : 클라우드형 EMR 제공사업자의 보안 의무]

과거에는 유출 사고 시 위탁자만 책임을 졌으나, 이제는 시스템을 운영하는 수탁자의 책임이 대폭 강화되었습니다. 따라서 EMR(전자의무기록) 솔루션을 클라우드 형태로 제공하는 사업자는 '수탁자'로서 안전성 확보 조치(법 제29조)를 스스로 준수해야 합니다.

▶ 실무 가이드 : 우리 법원 판례에 따르면, 수탁자가 보안 기능을 미흡하게 제공하여 사고가 발생했을 때, 개인정보보호위원회는 수탁자에게 직접 시정명령을 내릴 수 있는데, 이는 개발 단계부터 보안 솔루션을 내재화해야 함을 시사합니다.

3. AI 학습데이터와 '공개된 개인정보'의 적법성 (개인정보보호법 제15조)

[자문 사례 : 학술 논문 및 오픈채팅방 데이터 활용]

AI 모델 개발을 위한 스크래핑 행위는 '정당한 이익'과 '개인정보 보호' 사이의 균형이 중요합니다.

▶ 실무 가이드 : 누구나 접근 가능한 학술 플랫폼의 저자 정보는 연구자 식별이라는 공적 성격이 강해, 원래의 공개 목적과 부합한다면 '정당한 이익(개인정보보호법 제15조 제1항 제6호)'에 근거해 수집이 가능할 수 있습니다. 또한, 성범죄 예방 등 공익적 목적이라 하더라도, 대화 내용 중 이름·연락처 등을 즉시 암호화하거나 삭제하는 기술적 조치(비식별화)가 반드시 병행되어야만 법적 리스크를 최소화할 수 있습니다.

4. 사내 공용 PC 내 정보 노출과 비밀침해 (형법 및 정보통신망법)

[사례 분석: 이직 및 채권압류 정보의 무단 공유]

사무실 공용 PC의 '다운로드 기록'이나 '삭제 파일 목록'을 통해 동료의 민감 정보를 확인하고 공유하는 행위는 심각한 법적 책임을 초래하는데요. 누구나 접근 가능한 리스트는 형법상 '비밀침해죄' 성립은 어려울 수 있으나, 이를 캡처하여 타인에게 전달하는 행위는 정보통신망법 제49조(타인의 비밀 누설) 위반에 해당할 소지가 매우 높습니다.

▶ 실무 가이드 : 파일명 자체로도 이직 여부나 경제적 상황 등 민감한 사생활이 드러날 수 있으므로, 기업은 공용 PC 관리 규정을 정비하고 직원에 대한 법정 교육을 강화해야 합니다.

5. 개인정보 유출 및 목적 외 이용의 형사적 결과

[판결 및 송치 사례: 분양대행사의 고객정보 오남용]

개인정보 위반은 행정처분을 넘어 실질적인 형사 처벌로 이어지는 추세입니다. 최근, 수분양자 명단을 위탁받은 업체가 이를 목적 외로 이용하거나 위법하게 처리한 사건에서 법무법인 민후가 형사고소를 대리해 진행하였고, 경찰은 이를 엄중하게 판단하여 검찰 송치 결정을 한 사례도 있었습니다. 대법원 판례(2024두55440)에 의하면, 정보주체의 동의 없이 정보를 제3자에게 제공하는 행위는 '개인정보자기결정권'을 침해하는 위법 행위로 명확히 규정되고 있습니다.

기업 경영진은 관리 감독 소홀로 인한 형사적 책임을 면하기 위해 상시 모니터링 체계를 구축해야 할 것입니다.