개인정보 유출, 기업도 형사책임을 질 수 있다
기업 플랫폼을 이용하는 고객정보가 유출되어 기업이 뜻밖의 형사처벌 리스크에 직면하게되는 일이 증가하고 있다. 많은 기업은 개인정보 유출을 “이 정도면 되겠지” 가벼이 여기며 ‘회사는 책임이 없다’고 생각하지만, 이는 개인정보 보호법의 구조를 오해한 것이다.
개인정보보호법은 ‘개인정보처리자’에게 관리·감독 의무와 기술적·관리적 보호조치 의무를 부과하고 있으며, 직원은 ‘개인정보취급자’로 간주된다. 따라서 내부자가 유출을 저질렀더라도 기업이 해당 직원을 적절히 교육하지 않았거나, 시스템에 미비점이 있었다면 형사책임과 과징금까지 부담할 수 있다.
특히, 최근 AI 학습데이터가 이슈가 되며 이에 따른 정보보호 분야 역시 매우 중요한 영역으로 주목받고 있는 추세인 바, 기업은 내부 구성원에 대한 철저한 교육 및 취급하는 개인정보에 대한 시스템적 관리에 집중해야 한다.
실제 사례 1: 내부 자료 유출자 형사처벌 이끌어낸 사건
한 기업은 퇴사자가 번역가 개인정보가 포함된 내부자료를 외부 기관에 무단 제출한 사실을 확인하고, 법무법인 민후에 대응을 의뢰하였다. 본 법인은 해당 자료가 개인정보파일에 해당함을 주장하며 고소장을 작성하였고, 검찰 송치 결과를 이끌어냈다.
이처럼 회사가 적극적으로 피해사실을 조사하고 법적 조치를 취할 경우, 퇴사자 개인의 책임을 분명히 할 수 있으며, 기업의 공동책임 가능성을 차단하는 전략이 될 수 있다.
실제 사례 2: 수사기관에서 벌금형 처분 도출
또 다른 사안에서는 퇴직자가 재직 중 취득한 개인정보를 외부에 유출한 사례에 대해, 본 법인이 회사 대리인으로 고소를 진행하였다. 수사기관은 본 사건이 정당행위에 해당하지 않는 개인정보보호법 위반에 해당한다고 판단하였고, 피고소인에게 벌금형에 해당하는 구약식 결정을 내렸다.
이 사례 역시 조기에 고소를 진행하고 위법성을 체계적으로 입증한 것이 유리하게 작용하였다.
기업이 취해야 할 5가지 조치
① 퇴사자 관리 강화
퇴사 전 기밀자료 반납서약서 또는 보안서약서 징구
퇴사 이후 외부 제출 이력 상시 모니터링
임직원 보안 교육 및 비밀유지약정서 체결
② 내부통제 체계 수립
개인정보 접속기록 저장 및 점검
데이터 접근 권한 관리 자동화
업무별 개인정보처리 단계별 로그 추적 가능하게 설계
③ 사고 발생 시 통지 및 신고
단 1건의 개인정보라도 유출되었을 시 정보주체에게 통지 의무
1,000명 이상 규모, 민감정보 유출, 시스템 해킹 등은 KISA(한국인터넷진흥원)에 신고 의무 발생
④ 피해 확산 방지 대책
유출 원인 즉시 차단, 임시조치 (서버차단·암호화조치 등)
피해자 전용 상담 창구 운영
기술적·물리적 보완 조치 강화
⑤ 형사책임 대응 로드맵 수립
유출사실 인지 즉시 법률자문 요청
책임 소재 및 시스템 대응 이력 확보
(해킹으로 인한 경우 등에는) 적극적 고소 또는 수사 의뢰를 통한 기업 책임 방어
AI 기반 의사결정에도 주의해야
최근 CJEU 판결(C-203/22)에서, 알고리즘 기반의 자동화된 신용평가 결과가 정보주체의 권리를 침해할 수 있으며, 영업비밀이라는 이유로 정보 제공을 거부해서는 안 된다는 판단이 내려졌다.
한국의 경우 GDPR 제22조에 상응하는 규정은 없지만, 개인정보 보호법 제35조(열람청구권)와 제29조(보호조치 의무)에 따라 AI 결정 구조의 설명 가능성 확보가 중요해지고 있다.
기업은 향후 분쟁에 대비해 Explainable AI 체계를 도입하고, 개인정보 영향평가 시 자동화 결정 관련 설명 절차를 강화할 필요가 있다.
기업이 개인정보보호법위반의 법률리스크를 최소화 하기 위하여는
개인정보 유출은 더 이상 단순한 사고가 아니다. 정보주체는 물론 감독기관과 수사기관 모두 기업의 책임을 적극적으로 묻고 있으며, 내부자 유출 역시 면책 사유가 되지 않는다.
기업이 개인정보보호법 위반으로 형사처벌을 피하기 위해서는 단순한 조치로는 부족하며, 내부 시스템 정비, 위기 상황 시 즉각적 대응, 고소 및 민형사 분쟁대응 전략 수립이 병행되어야 한다.
기업의 법적 리스크를 최소화하려면 단순 대응이 아닌, 전문적인 법률 검토와 전략 수립이 반드시 필요하다.
문의 : 02-532-3490
