개인정보 보호조치 위반의 형사적 책임

Abstract

최근 카드 3사의 대규모 고객 정보 유출 사건, KT 홈페이지 회원 정보 유출 사건 등 기업이 보유하고 있는 고객의 개인정보가 대량으로 유출되면서 해당 개인정보를 수집?보유?관리하고 있던 기업의 책임 소재가 문제가 되었다. 이러한 대규모 개인정보 유출을 방지하기 위하여, 우리나라는 고객의 개인정보를 보유, 처리하는 개인정보처리자 등에게 해당 개인정보가 분실?도난?유출되지 않도록 안전성 확보에 필요한 기술적?관리적 및 물리적 안전조치 의무를 부여하고 있고, 위 안전의무를 위반하여 개인정보가 유출될 경우에는 형사책임까지 부과하는 법률 체계를 가지고 있다. 그럼에도 해당 법률 규정의 해석 및 적용 범위에 대해서 논란의 여지가 많아, 현재까지 위 규정이 실제 적용되어 개인정보처리자 등이 형사 기소된 사례가 거의 없으며, 이에 대한 학계의 논의 또한 부족한 실정이다. 이러한 현 상황을 고려하여, 실무상 해당 법률 규정들이 어떻게 해석 되고, 적용되었는지를 구체적인 사례 및 해당 사례에 대한 수사 결과 및 판결들을 중심으로 살펴보고, 향후 해당 규정들을 적극적으로 적용하는 관점에서 실제 사건을 처리함에 있어 쟁점이 되었던 주제, 즉 행위 주체의 범위, 보호되어야 하는 개인정및 과실의 필요 유무 및 인과관계 인정 범위, 처벌 대상 선정 시 고려 사항 등을 개략적으로 다루어보려고 하였다. 또한, 개인정보 유출과 관련하여 현행과 같이 형사처벌까지 부과하는 것이 과연 적절한 것인가에 대한 여러 논의들을 소개하고, 현행과 같은 방식이 개인정보처리자 등에게 개인정보 보호를 위한 보호조치의 최소한의 기준을 제시하고 있음을 설명하였다. 이 논문을 계기로 개인정보 유출 시 개인정보처리자 등에 대한 형사처벌 규정들에 대한 학계의 논의가 활발하게 이루어졌으면 하는 바램이다.

Abstract

Criminal Responsibility of Security Controller for personal Information leakage

Joo, Minchel digital forensics Seoul National University graduate school of Converse science & technology

Recently occurred incidents that caused massive leakage of personal information from three major credit card companies and a telecommunications company have raised an issue of corporate responsibility to those who have collected, maintained, and managed personal information from customers. To prevent such massive personal information leakage, the Korean government is imposing responsibilities to personal information controllers who collect, maintain and manage customers' personal information for technical and physical safeguards not to miss, be stolen, or leaked the data. What is more, in case the personal information controllers violated such responsibilities, thus caused personal information leakage, criminal sanctions can be imposed under Korean legal system. However, there has been controversy in interpreting the law as well as deciding range of the application. It is hard to find a case where personal information controller was prosecuted by the law and academic discussion on this matter to date. Given the reality, I reviewed how regulations of the law are being interpreted and applied in the field based on investigation results and court rulings on specific cases. Then I addressed issues raised while applying the regulations to real cases, that are range of offenders, meaning of personal information that should be protected, selecting a law to apply, substantive meaning of negligence duty of protection of personal information specified in the law, needs of intention or mistake, recognizing range of a causation, considerations in choosing a subject of punishment, etc. In addition, I introduced discussions on propriety of imposing criminal sanctions for personal information leakage as it is, and explained that current practices have indicated the minimum standards of safeguards to personal information managers. With this thesis as a momentum, I hope discussions on criminal sanctions on personal information mangers who have involved in personal information leakage would be more actively conducted in academia. keywords : personal information leakage, personal information controller, duty of protection the Information, technical/managerial/physical safeguard, propriety of criminal sanction.