PIPC Decision Insights
개인정보보호 법규 위반행위에 대한 시정조치에 관한 건
대표 결정문 HTML 보기
| 항목 | 내용 |
|---|---|
| 결정문 ID | 2231 |
| 결정일 | 2023-02-08 |
| 결정문 유형 | 법규 위반·제재 |
| 추출 금액 | 900만원 |
| 사건유형 | 유출·침해;동의·고지 위반;안전조치 미흡;정보주체 권리보장 |
| 주요 조문 | 제18조;제26조;제28조;제29조;제2조;제30조;제34조;제39조;제40조;제5조;제61조;제63조;제66조;제6조;제75조 |
결정문 요약
2023-02-08 법규 위반·제재 결정문으로, '개인정보보호 법규 위반행위에 대한 시정조치에 관한 건' 사건이다. 아동 개인정보·법정대리인 동의 쟁점에서는 만 14세 미만 아동의 개인정보 수집, 법정대리인 동의, 연령확인 설계가 핵심 독해축이다. 결론 유형은 과태료;공표명령이다. 금액 제재 신호는 900만원로 추출됐다. 주문 요지는 '피심인의 법 위반행위에 따른 행정처분의 내용 및 결과를 개인정보보호위원회 홈페이지에 공표한다.'이다.
아동 개인정보·법정대리인 동의: 아동 개인정보 쟁점은 법정대리인 동의와 연령확인 설계가 핵심이며, 사건 수가 많지 않아도 사회적 민감도와 반복 가능성이 높다. 사건유형은 유출·침해;동의·고지 위반;안전조치 미흡;정보주체 권리보장로 분류된다. 주요 조문 신호는 제18조;제26조;제28조;제29조;제2조;제30조;제34조;제39조;제40조;제5조;제61조;제63조;제66조;제6조;제75조이다. 판단 요소로 정보주체 규모;피해 발생 또는 위험 발생;사후 시정 노력;내부통제 및 안전조치 수준;위반 기간;금전 제재 여부;공표 또는 시정명령 여부가 함께 나타난다.
피심인의 일반 현황 피심인은 사업을 수행하는 비영리법인으로 신청자의 개인정보를 처리하는 「개인정보 보호법」(법률 제16930호, 이하 “보호법”이라 함) 제2조제5호에 따른 개인정보처리자로 일반현황은 다음과 같다 < 일반현황 > </img> </img> 사실조사 결과 개인정보보호위원회는 개인정보 유출신고( )된 건과 관련하여 제출자료를 토대로 조사한 결과, 다음과 같은 사실을 확인하였다.
주요 조문은 제18조;제26조;제28조;제29조;제2조;제30조;제34조;제39조;제40조;제5조;제61조;제63조;제66조;제6조;제75조이다. 이 결정문은 만 14세 미만 아동의 개인정보 수집, 법정대리인 동의, 연령확인 설계를 중심으로 읽을 수 있다. 자동 라벨상 판단 요소는 정보주체 규모;피해 발생 또는 위험 발생;사후 시정 노력;내부통제 및 안전조치 수준;위반 기간;금전 제재 여부;공표 또는 시정명령 여부이다. 원문상 법리 판단 근거는 '피심인의 일반 현황 피심인은 사업을 수행하는 비영리법인으로 신청자의 개인정보를 처리하는 「개인정보 보호법」(법률 제16930호, 이하 “보호법”이라 함) 제2조제5호에 따른 개인정보처리자로 일반현황은 다음과 같다 사실조사 결과 개인정보보호위원회는 개인정보 유출신고( )된 건과 관련하여 제출자료를 토대로 조사한 결과, 다음과 같은 사실을 확인하였다.' 부분에 압축되어 있다.
결론 유형은 과태료;공표명령이다. 금액 제재 신호는 900만원로 추출됐다. 주문 요지는 '피심인의 법 위반행위에 따른 행정처분의 내용 및 결과를 개인정보보호위원회 홈페이지에 공표한다.'이다.
주문
1. 피심인에 대하여 다음과 같이 과태료를 부과한다. 가. 과 태 료 : 9,000,000원 나. 납부기한 : 고지서에 명시된 납부기한 이내 다. 납부장소 : 한국은행 국고수납 대리점 2. 피심인의 법 위반행위에 따른 행정처분의 내용 및 결과를 개인정보보호위원회 홈페이지에 공표한다.
이유
Ⅰ. 피심인의 일반 현황 피심인은 사업을 수행하는 비영리법인으로 신청자의 개인정보를 처리하는 「개인정보 보호법」(법률 제16930호, 이하 “보호법”이라 함) 제2조제5호에 따른 개인정보처리자로 일반현황은 다음과 같다 < 일반현황 > <img src="/LSW/flDownload.do?flSeq=126400893" alt="1번째 이미지"></img> <img src="/LSW/flDownload.do?flSeq=126400895" alt="2번째 이미지"></img> Ⅱ. 사실조사 결과 개인정보보호위원회는 개인정보 유출신고( )된 건과 관련하여 제출자료를 토대로 조사한 결과, 다음과 같은 사실을 확인하였다. 1. 개인정보 유출 개요 가. 유출 항목 및 경위 ㅇ (유출 경위) 피심인은 홈페이지( )*에 사업 최종 선정자를 공지하는 과정에서 담당자 실수로 신청자와 자녀(총 2,412명)의 개인 식별정보(이름, 생년월일) 파일(엑셀, PDF)을 첨부하였다. * 웹페이지 주소: - ㅇ (유출 규모) 신청자와 자녀의 이름, 생년월일 총 2,412명 나. 경과 및 대응 <img src="/LSW/flDownload.do?flSeq=126400897" alt="3번째 이미지"></img> 2. 개인정보보호 법규 위반 행위 사실 가. 취급 중인 개인정보의 안전성 확보 조치를 소홀히 한 행위 ㅇ 피심인은 홈페이지에 사업 대상자를 공지하는 과정에서 마스킹 처리 없이 대상자(신청자와 자녀 총 2,412명)의 개인정보 파일(식별)을 게시하여 열람권한이 없는 자에게 공개되었다. 나. 개인정보 유출 사실의 통지를 지연한 행위 ㅇ ’22.9.1. 정보주체(2,412명)의 개인정보 유출사실을 인지하였으나 ’22.11.18. 정보주체에게 유출 통지하였다. 다. 개인정보 유출 사실의 신고를 지연한 행위 ㅇ ’22.9.1. 정보주체(2,412명)의 개인정보 유출사실을 인지하였으나, ’22.9.20. 개인정보보호 포털에 개인정보 유출 신고하였다. 3. 처분의 사전통지 및 의견 수렴 개인정보보호위원회는 피심인에게 예정된 처분에 대한 사전통지서를 송부하고 이에 대한 의견을 요청하였으며, 피심인은 하였다. Ⅲ. 위법성 판단 1. 유출된 정보가 개인정보에 해당하는지 여부 유출된 파일은 신청자의 정보(이름, 생년월일)뿐만 아니라 자녀의 정보(이름, 생년월일)가 함께 매칭되어 있어 이를 결합하여 해당 개인을 식별할 수 있으므로 개인정보에 해당한다.
2. 취급 중인 개인정보의 안전성 확보 조치를 소홀히 한 행위 가. 관련 법령의 규정 보호법 제29조는 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하도록 규정하고 있다. 같은 법 시행령 제30조제1항제2호는 개인정보처리자는 법 제29조에 따라 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치를 하도록 규정하고 있다. 같은 법 시행령 제30조제3항에 따른 안전성 확보 조치의 세부기준인 「개인정보의 안전성 확보조치 기준(고시 제2021-2호)」제6조제3항에서는 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하도록 규정하고 있다. 나. 위법성 판단 피심인이 마스킹 처리 등 접근 통제 등에 관한 조치 없이 개인정보를 게시하여 취급중인 개인정보가 인터넷 홈페이지를 통해 열람권한이 없는 자에게 공개된 것은 보호법 제29조, 같은 법 시행령 제30조제1항제2호 및 고시 제6조제3항 위반에 해당한다. 3. 개인정보 유출 사실의 통지를 지연한 행위 가. 관련 법령의 규정 보호법 제34조제1항은 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 1호유출된 개인정보의 항목, 2호유출된 시점과 그 경위, 3호유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보, 4호개인정보처리자의 대응조치 및 피해 구제절차, 5호정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 등의 사실을 알려야 한다고 규정하고 있다. 같은 법 시행령 제40조제1항은 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 서면등의 방법으로 지체 없이 법 제34조제1항 각 호의 사항을 정보주체에게 알려야 한다고 규정하고 있다. 「표준 개인정보 보호지침」(고시 제2020-1호) 제26조제1항은 개인정보처리자는 개인정보가 유출되었음을 알게 된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 법 제34조제1항 각 호의 사항을 알려야 한다고 규정하고 있다. 나. 위법성 판단
피심인이 ’22.9.1.에 개인정보 유출 사실을 인지하고도 ’22.11.18.에 정보주체에게 개인정보 유출 사실을 통지한 것은 보호법 제34조제1항 위반에 해당한다. 4. 개인정보 유출 사실의 신고를 지연한 행위 가. 관련 법령의 규정 보호법 제34조제3항은 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및 제2항에 따른 조치 결과를 지체 없이 보호위원회 또는 대통령령으로 정하는 전문기관(한국인터넷진흥원)에 신고하여야 한다고 규정하고 있다. 같은 법 시행령 제39조제1항은 법 제34조제3항 전단에서 “대통령령으로 정한 규모 이상의 개인정보”란 1천명 이상의 정보주체에 관한 개인정보를 말한다고 규정하고 있다. 「표준 개인정보 보호지침」(고시 제2020-1호) 제28조제1항은 개인정보처리자는 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 조치결과를 5일 이내에 보호위원회 또는 한국인터넷진흥원에 신고하여야 한다고 규정하고 있다. 나. 위법성 판단 피심인이 ’22.9.1. 1천명 이상의 정보주체(2,412명)의 개인정보 유출 사실을 인지하고도 ’22.9.20.에 유출 신고한 것은 보호법 제34조제3항 위반에 해당한다. Ⅳ. 처분 및 결정 1. 과태료 부과 피심인의 보호법 제29조, 제34조제1항 및 제34조제3항 위반에 대해 같은 법 제75조제2항제6ㆍ8ㆍ9호, 같은 법 시행령 제63조[별표2]「과태료의 부과기준」에 따라 다음과 같이 총 900만원의 과태료를 부과한다. 가. 기준금액 피심인이 최근 3년간 같은 위반행위로 과태료 처분을 받은 사실이 없으므로 각 위반행위별로 1회 위반에 해당하는 금액 각 600만원씩, 총 1,800만원을 적용한다. < 과태료 부과기준 2. 개별기준 > <img src="/LSW/flDownload.do?flSeq=126400899" alt="4번째 이미지"></img> 나. 과태료의 가중 피심인의 위반행위는 과태료 부과기준 1. 라.에 규정된 가중할 수 있는 사유에 해당하는 사항이 없으므로 가중 없이 기준금액을 유지한다. < 과태료의 부과기준 > <img src="/LSW/flDownload.do?flSeq=126400901" alt="5번째 이미지"></img> 다. 과태료의 감경
피심인은 과태료 부담능력이 낮은 비영리법인으로 정보주체의 사생활 침해 의도가 없었으며 위반행위로 추가 피해가 발생하지 않았고 피심인은 위반행위 인지한 즉시 시정하였고 조사기간 중 행위 사실을 인정하면서 조사에 적극 협력한 점 등을 고려하여, 과태료 부과기준에 따라 위반행위 기준금액(총 1,800만원)의 50%인 900만원을 감경한다. < 과태료의 부과기준 > <img src="/LSW/flDownload.do?flSeq=126400903" alt="6번째 이미지"></img> 라. 최종 과태료 피심인의 보호법 제29조, 제34조제1항 및 제3항 위반행위에 대해 총 900만원의 과태료를 부과한다. <img src="/LSW/flDownload.do?flSeq=126400905" alt="7번째 이미지"></img> ※ 피심인이 과태료 고지서를 송달받은 날부터 14일 이내에 과태료를 자진납부 하는 경우, 100분의 20을 감경함(질서위반행위규제법 제18조 및 같은 법 시행령 제5조 준용) 2. 처분결과의 공표 피심인의 위반행위에 대해 보호법 제66조 및 같은 법 시행령 제61조에 따라 처분결과를 개인정보보호위원회 홈페이지에 공표한다. Ⅴ. 결론 피심인의 보호법 제29조(안전조치의무), 제34조(개인정보 유출 통지 등)제1항 및 제3항 위반에 대해서 같은 법 제75조(과태료)제2항제6ㆍ8ㆍ9호와 제66조(결과의 공표)에 따라 주문과 같이 의결한다.
결정요지
안건번호 : 제2023-002-007호 안건명 : 개인정보보호 법규 위반행위에 대한 시정조치에 관한 건 신청인 : (재)한국어린이안전재단 의결연월일 : 2023. 2. 8.