(12)개인정보 유출 판별하기
2024.06.01 10:00
수정 : 2024.06.01 10:00기사원문
개인정보 유출이란?
다음 중 개인정보의 유출에 해당하는 경우는?
① 해커가 회사 DB에 침입하여 무단으로 고객정보를 다운로드 받은 후 텔레마케팅 업체에 판매한 경우
② 회사 직원이 실수로 고객정보가 정리되어 있는 문서를 협력업체에 전달하였으나 업체에서 이를 확인하기 전에 연락하여 해당 문서가 포함되어 있는 이메일을 삭제한 경우
정답은 "①, ② 모두 유출에 해당한다"이다.
①의 경우에는 해커가 무단으로 침입하여 개인정보를 탈취한 후 제3자에게 판매한 것이므로 개인정보의 유출이라는 점이 명확한데, 실제 개인정보를 확인하지도 아니하고 삭제한 ②의 경우에도 개인정보의 유출이라는 점은 선뜻 이해가 되지 않을 수 있다.
이러한 궁금증을 해결하기 위해서는 '개인정보의 유출'의 정의를 정확히 알아야 한다.
그런데, 유출의 정의에서 확인할 수 있듯이 유출여부를 판단함에 있어 제3자가 어떻게 정보를 볼 수 있는 상태에 놓이게 된 것인지 여부 즉 고의로 유출된 것인지 또는 과실로 유출된 것인지는 고려대상에 해당하지 않는다. 또한, 제3자가 그 내용을 알 수 있는 상태에 놓이게 되는 순간부터 유출이므로 제3자가 실제로 개인정보의 내용을 확인하지 않았다고 하더라도 일반적 수준의 제3자가 해당 정보를 알 수 있는 상태에 놓기만 해도 이미 유출이 된다.
유출 이후 삭제나 실수 여부는 개인정보 유출 판단에 영향 안 미쳐
그럼, 유출의 정의에 비추어 ②의 경우를 판단해 보자. 회사 직원이 실수로 고객정보를 남에게 전달한 것이지만 이러한 점이 유출인지 여부를 판단하는데 영향을 미치지 않는다. 또한, 비록 업체에 연락하여 문서를 확인하기 전에 삭제하였지만, 이메일이 협력업체 직원에게 도착하였을 때 이미 해당 정보를 알 수 있는 상태에 놓인 것이므로 삭제여부도 유출을 판단하는 데 영향을 미치지 않는다. 따라서 ②의 경우에도 유출에 해당하게 된다. 다만, 유출에 대해 형사처벌을 받거나 손해배상을 해야 하는 상황이 된다면 실수(과실)로 유출했다는 점과 실제 정보를 확인한 사람이 아무도 없다는 점은 긍정적인 고려요소가 될 것이다.
그렇다면 고객정보가 유출된 경우 회사는 어떠한 조치를 취해야 할까?(유출 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 취해야 한다는 점은 당연한 얘기이므로 법상 지켜야 할 의무에 대해서만 설명하겠다)
단 1건이라도 고객정보가 유출된다면 72시간 이내에 유출된 개인정보의 항목, 유출된 시점 및 경위, 피해발생을 신고할 수 있는 회사 내의 담당부서 및 연락처 등을 정보가 유출된 고객에게 알려야 한다.
또한, ①1000명 이상의 개인정보가 유출되거나 ②민감정보 또는 고유식별정보가 유출된 경우, ③해킹 등 외부의 불법적인 접근에 의해 유출된 경우에는 72시간 이내에 유출사실을 신고하여야 한다. ②, ③의 경우에는 단 1건의 정보가 유출된 경우에도 신고를 해야 한다는 점을 놓치지 말아야 한다.
회사의 사소한 부주의로 인해 고객정보가 유출되는 경우를 종종 접하게 된다. 유출이 되는 경우 72시간 이내에 모든 절차를 진행하여야 하므로 그때 절차를 일일이 파악하기에는 시간이 부족하다. 따라서 고객정보의 유출 시 '72시간 이내에 통지 및 신고'를 해야 한다는 점을 기억해 두도록 하자.
[필자 소개]
정세진 율촌 변호사(43·변호사시험 3회)는 핀테크·데이터 전문 변호사다. 카드 3사 유출사건 등 주요 개인정보 유출 관련 사건을 수행했으며, 빅데이터, 마이데이터, 클라우드, 혁신금융서비스, AI, 가상자산, 토큰증권 등 핀테크 산업과 관련된 다양한 법률 자문을 제공하고 있다.
전문분야인 디지털 금융의 기본법률을 다룬 책 '디지털금융 기초 법률상식' 개정판을 올해 2월 출간했다. '디지털금융 기초 법률상식'은 2022년 초판이 나온 이래 주요 금융회사와 금융연수원, 대학교 등지에서 디지털금융 강의 교재로 쓰이는 등 법조인과 금융종사자 사이에서 실무서로 통하고 있다.
성균관대 법학전문대학원과 한국금융연수원에서 겸임교수로도 활동 중인 정 변호사는 다양한 디지털 금융 관련 강의도 진행하고 있다.