PIPC Decision Insights
(제목 없음)
대표 결정문 HTML 보기
| 항목 | 내용 |
|---|---|
| 결정문 ID | 5073 |
| 결정일 | 2023-07-26 |
| 결정문 유형 | 법규 위반·제재 |
| 추출 금액 | 5.0억원 |
| 사건유형 | 유출·침해;동의·고지 위반;안전조치 미흡;민감정보·고유식별정보;접근권한·내부통제;정보주체 권리보장 |
| 주요 조문 | 제24조;제29조;제2조;제30조;제34조의2;제40조의2;제5조;제63조;제6조;제75조;제76조;제7조;제8조 |
결정문 요약
2023-07-26 법규 위반·제재 결정문으로, '제목 없는 결정문' 사건이다. 행태정보·맞춤형 광고·플랫폼 통제 쟁점에서는 동의의 명확성, 개인정보처리자 지위, 플랫폼의 실질적 통제, 제3자 제공·국외이전 구조가 핵심 독해축이다. 결론 유형은 과징금;과태료이다. 금액 제재 신호는 5.0억원로 추출됐다.
행태정보·맞춤형 광고·플랫폼 통제: 맞춤형 광고와 플랫폼 사건은 단순 동의 문구의 문제가 아니라, 누가 처리자인지, 플랫폼이 데이터 흐름을 얼마나 통제하는지, 제3자 제공·국외이전 구조가 어떻게 결합되는지를 함께 봐야 하는 쟁점이다. 사건유형은 유출·침해;동의·고지 위반;안전조치 미흡;민감정보·고유식별정보;접근권한·내부통제;정보주체 권리보장로 분류된다. 주요 조문 신호는 제24조;제29조;제2조;제30조;제34조의2;제40조의2;제5조;제63조;제6조;제75조;제76조;제7조;제8조이다. 판단 요소로 정보주체 규모;고유식별정보 포함 여부;고의 또는 중과실;피해 발생 또는 위험 발생;내부통제 및 안전조치 수준;금전 제재 여부가 함께 나타난다.
피심인의 일반 현황 피심인은 「개인정보 보호법」(이하 '보호법’이라 한다.) 제2조제6호에 따른 공공기관으로 보호법 제2조제5호에 따른 개인정보처리자이며, 일반현황은 다음과 같다. 조사 배경 개인정보보호위원회는 “ (이하 '피심인’)의 개인정보가 유출되었다”는 국회 지적( 위원) 및 언론보도(’ 6.19.)를 실시하였으며, 피심인의 보호법규 위반행위와 관련하여 다음과 같은 사실을 확인하였다.
주요 조문은 제24조;제29조;제2조;제30조;제34조의2;제40조의2;제5조;제63조;제6조;제75조;제76조;제7조;제8조이다. 이 결정문은 동의의 명확성, 개인정보처리자 지위, 플랫폼의 실질적 통제, 제3자 제공·국외이전 구조를 중심으로 읽을 수 있다. 자동 라벨상 판단 요소는 정보주체 규모;고유식별정보 포함 여부;고의 또는 중과실;피해 발생 또는 위험 발생;내부통제 및 안전조치 수준;금전 제재 여부이다. 원문상 법리 판단 근거는 '피심인의 일반 현황 피심인은 「개인정보 보호법」(이하 '보호법’이라 한다.) 제2조제6호에 따른 공공기관으로 보호법 제2조제5호에 따른 개인정보처리자이며, 일반현황은 다음과 같다. 조사 배경 개인정보보호위원회는 “ (이하 '피심인’)의 개인정보가 유출되었다”는 국회 지적( 위원) 및 언론보도(’' 부분에 압축되어 있다.
결론 유형은 과징금;과태료이다. 금액 제재 신호는 5.0억원로 추출됐다.
이유
Ⅰ. 피심인의 일반 현황 피심인은 「개인정보 보호법」(이하 '보호법’이라 한다.) 제2조제6호에 따른 공공기관으로 보호법 제2조제5호에 따른 개인정보처리자이며, 일반현황은 다음과 같다. <img src="/LSW/flDownload.do?flSeq=135154943" alt="1번째 이미지"></img> Ⅱ. 사실조사 결과 1. 조사 배경 개인정보보호위원회는 “ (이하 '피심인’)의 개인정보가 유출되었다”는 국회 지적( 위원) 및 언론보도(’22. )에 따라 사실조사('22.11. 8. ~ ’23. 6.19.)를 실시하였으며, 피심인의 보호법규 위반행위와 관련하여 다음과 같은 사실을 확인하였다. 2. 행위 사실 가. 개인정보 수집ㆍ이용 현황 피심인은 공익법인 공시를 위해 '22.10.31. 기준 아래와 같이 개인정보 파일을 수집ㆍ보관하고 있다. <img src="/LSW/flDownload.do?flSeq=135154945" alt="2번째 이미지"></img> 나. 개인정보 유출 관련 사실관계 1) 유출 항목 및 규모 피심인의 대표 홈페이지 게시판에 업로드된 329명의 개인정보*가 유출되었다. * 기부금 수혜자 및 기부자 성명, 사업유관 지급처(강사 등) 성명, 주민등록번호(329명), 수혜금액 2) 유출경위 피심인은 주민등록번호가 포함된 기부금품의 모집 및 지출명세서, 결산서류 등을 암호화*하지 않고 홈페이지에 게시하여 주민등록번호 등 개인정보가 대표 홈페이지 및 구글 검색엔진에 노출되었다. * 피심인은 PC에 DRM을 도입하여 운영하고 있으나, 대표 홈페이지에 공시자료 게시를 위해 해당 4개 파일의 암호화(DRM)를 해제함 3) 유출인지 및 대응 <img src="/LSW/flDownload.do?flSeq=135154947" alt="3번째 이미지"></img> * 피심인의 담당자는 를 하기 위해 국세청 홈택스에 신고하여 생성한 파일을 다운받을 때 주민등록번호가 포함되어 있지 않은 것으로 오인하고 대표홈페이지에 업로드하였다고 소명함 다. 개인정보의 취급ㆍ운영 관련 사실관계 1) 고유식별정보 안전성 확보에 필요한 조치를 소홀히 한 행위 피심인은 주민등록번호가 포함된 기부금품의 모집 및 지출명세서, 결산서류, 본사 결산서를 암호화하지 않고 대표 홈페이지에 게시한 사실이 있다. 3. 처분의 사전통지 및 의견 수렴
개인정보보호위원회는 2023. 6. 20. 피심인에게 예정된 처분에 대한 사전통지서를 송부하고 이에 대한 의견을 요청하였으며, 피심인은 2023. 7. 3. 의견을 제출하였다. Ⅲ. 위법성 판단 1. 고유식별정보 안전성 확보에 필요한 조치를 소홀히 한 행위 가. 관련법 규정 보호법 제24조제3항은 “개인정보처리자가 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.”라고 규정하고 있고, 같은 법 시행령 제30조제1항은 “개인정보처리자는 법 제29조에 따라 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치(제2호) 및 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치(제3호)를 하여야 한다”라고 규정하고 있다. 또한 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시 제2020-2호, 이하 '고시’) 제6조제3항은 “개인정보처리자는 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람 권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.”라고 규정하고 있으며, 제7조제1항은 “개인정보처리자는 고유식별정보, 비밀번호, 생체인식정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.”라고 규정하고 있다. 나. 위법성 판단 1) 개인정보처리자는 고유식별정보를 정보통신망을 통하여 송신하는 경우 이를 암호화하여야 하나, 피심인이 주민등록번호가 포함된 기부금품의 모집 및 지출명세서, 공익법인 결산서류, 본사 결산서를 암호화하지 않고 대표 홈페이지에 게시한 행위는 보호법 제24조제3항, 시행령 제30조제1항, 고시 제7조제1항 위반에 해당한다. 2) 개인정보처리자는 취급 중인 개인정보가 열람 권한이 없는 자에게 공개되거나 유출되지 않도록 접근 통제 등 조치를 하여야 하나, 피심인이 주민등록번호가 포함된 파일을 홈페이지에 게시하여 열람 권한이 없는 자에게 공개되도록 한 행위는 보호법 제24조제3항, 시행령 제30조제1항, 고시 제6조제3항 위반에 해당한다. Ⅳ. 처분 및 결정 1. 과징금 부과
주민등록번호가 유출되었고, 보호법 제24조제3항에 따른 안전성 확보에 필요한 조치를 다하지 않은 피심인의 보호법 위반에 대해 같은 법 제34조의2 제1항, 같은 법 시행령 제40조의2 [별표 1의3], 「주민등록번호 유출 등에 대한 과징금 부과기준(고시 제2022-4호, 2022.10.20., 이하 '과징금 부과기준’)」에 따라 다음과 같이 과징금을 부과한다. 가. 기준금액 보호법 시행령 제40조의2 [별표1의3]은 고의ㆍ중과실ㆍ경과실 여부 및 유출 주민등록번호 규모에 따라 산정기준액을 규정하고 있고, 피심인은 경과실로 인하여 10만 건 미만의 주민등록번호가 유출되었으므로, '일반 위반행위’에 해당하는 금액인 1억 원을 적용한다. <보호법 시행령 제40조의2 [별표 1의3] > <img src="/LSW/flDownload.do?flSeq=135154949" alt="4번째 이미지"></img> 나. 1차 조정 과징금 부과기준 제5조(1차 조정)는 “1차 조정금액은 산정기준액에 따라 <1차 조정 기준표>에서 정한 1차 조정비율을 곱한 금액으로 정한다. 1차 조정 비율은 <세부평가 기준표>에 따라 산정한다”고 규정하고 있다. 피심인의 위반행위는 과징금 부과기준 제5조의 <세부평가 기준표>에 따른 산정 점수가 1.6점에 해당하므로, <1차 조정 기준표>에 따라 기준금액의 35%인 3,500만원을 감경한다. < 세부평가 기준표 > <img src="/LSW/flDownload.do?flSeq=135154951" alt="5번째 이미지"></img> 1차 조정 기준표 > <img src="/LSW/flDownload.do?flSeq=135154953" alt="6번째 이미지"></img> 다. 2차 조정 과징금 부과기준 제6조(2차 조정)는 “2차 조정금액은 1차 조정된 금액에 <2차 조정 기준표>에서 정한 2차 조정비율을 곱한 금액으로 정한다. 2차 조정 비율은 <세부평가 기준표>에 따라 산정한다”고 규정하고 있다. 피심인의 위반행위는 과징금 부과기준 제6조의 <세부평가 기준표>에 따른 산정 점수가 1.2점에 해당하므로, <2차 조정 기준표>에 따라 1차 조정된 금액(6,500만원)의 50%인 3,250만 원을 감경한다. < 세부평가 기준표 > <img src="/LSW/flDownload.do?flSeq=135154955" alt="7번째 이미지"></img>
* 개인정보취급자 맞춤형 교육, 휴ㆍ퇴직시 접근권한 말소, 취급자 접근제한 반기별 정정, 웹 취약점 점검, 업무용 단말기 대상 보안점검 매주 시행 등 < 2차 조정 기준표 > <img src="/LSW/flDownload.do?flSeq=135154957" alt="8번째 이미지"></img> 라. 부과과징금의 결정 보호법 제34조의2제1항은 “주민등록번호가 유출된 경우 5억원 이하의 과징금을 부과할 수 있다.”고 하면서, 단서로 “제24조제3항에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.”라고 규정하고 있다. 과징금 부과기준 제8조(부과과징금의 결정)는 “위반행위자의 현실적인 부담능력, 위반행위로 발생한 정보주체의 피해 및 배상의 정도, 위반행위자가 속한 시장ㆍ산업 여건 등을 고려하여 2차 조정된 과징금이 과중하다고 인정되는 경우 해당 금액의 100분의 90 범위에서 감경할 수 있고(제1항), 정보주체에게 피해가 발생하지 않았거나 경미한 경우로서 사소한 부주의나 오류로 인한 위반행위인 경우 과징금을 면제할 수 있다.(제2항)”고 규정하고 있다. 이 사건의 주민등록번호 유출 사고가 '담당 직원의 사소한 부주의로 발생했다’ 하더라도, 유출된 해당 파일은 보호법이 특별히 규율하고 있는 주민등록번호 암호화 조치를 하지 않은 것으로서 과징금 면제 대상으로 삼을 수는 없다. 다만, 유출에 따른 정보주체의 피해가 발생하지 않았거나 경미한 경우로서 사소한 부주의로 유출된 점과 위반행위로 인하여 경제적ㆍ비경제적 이득을 취하지 아니하였거나 취할 가능성이 현저히 낮은 점(과징금 부과기준 제8조제1항제4호) 등을 종합적으로 고려하여 2차 조정된 금액의 50%인 1,625만 원을 감경한다. 마. 최종 과징금 피심인의 보호법 제24조제3항 위반행위에 대하여 기준금액에서 1차ㆍ2차 조정 및 부과과징금의 결정을 거쳐 총 1,625만원의 과징금을 부과한다. <img src="/LSW/flDownload.do?flSeq=135154941" alt="9번째 이미지"></img> 2. 과태료 미부과 보호법 제76조(과태료에 관한 규정 적용의 특례)는 “제75조의 과태료에 관한 규정을 적용할 때 제34조의2에 따라 과징금을 부과한 행위에 대하여는 과태료를 부과할 수 없다.”고 규정하고 있다.
피심인의 보호법 제24조제3항 위반행위는 같은 법 제75조제2항제6호, 같은 법 시행령 제63조의 [별표2]「과태료의 부과기준」에 따라 과태료 부과 사유에 해당하나, 보호법 제76조에 따라 과태료를 부과하지 아니한다. Ⅴ. 결론 피심인의 보호법 제24조제3항 위반행위에 대하여 같은 법 제34조의2에 따라 주문과 같이 의결한다.
결정요지
신청인 : 에 대하여 다음과 같이 과징금을 부과한다.가. 과 징 금 : 16,250,000원나. 납부기한 : 고지서에 명시된 납부기한 이내다. 납부장소 : 한국은행 국고수납 대리점