• ITㆍ정보ㆍ방송통신
  • 개인정보ㆍ위치정보ㆍ신용정보
  • 83. [사례분석] 분양대행업체 수분양자 개인정보보호법 위반과 민감정보 처리 : 개인정보 처리 업무 위탁의 적법성 및 민감정보 불법 수집 판단 기준
전체 목록 보기

이 주제의 전문가를
소개합니다.

네플라 위키는 변호사, 판사, 검사, 법학교수, 법학박사인증된 법률 전문가가 작성합니다.

83.

[사례분석] 분양대행업체 수분양자 개인정보보호법 위반과 민감정보 처리 : 개인정보 처리 업무 위탁의 적법성 및 민감정보 불법 수집 판단 기준

  • 공유하기
  • 새 탭 열기
  • 작성 이력 보기

생성자
법무법인민후
기여자
  • 법무법인민후
0
[사례분석] 분양대행업체 수분양자 개인정보보호법 위반과 민감정보 처리 : 개인정보 처리 업무 위탁의 적법성 및 민감정보 불법 수집 판단 기준
[사례분석] 분양대행업체 수분양자 개인정보보호법 위반과 민감정보 처리 : 개인정보 처리 업무 위탁의 적법성 및 민감정보 불법 수집 판단 기준


<핵심요약>

분양대행업체 직원이 오픈채팅방에 수분양자들의 내밀한 사생활 정보가 담긴 엑셀 파일을 유출한 사건이다. 개인정보보호법상 건강과 가족사 등은 별도의 명시적 동의가 필수적인 민감정보에 해당하고, '단순 유출'의 관점은 고의성 입증이 어렵기 때문에, 그러한 관점에서 벗어나 '민감정보 불법 수집'이라는 독자적인 위법 행위로 쟁점을 재구성해야 한다. 수사기관은 분양대행 업무 과정에서 수분양자의 동의 없이 민감정보를 불법 수집위탁 관리한 피의자들의 혐의를 인정하여 개인정보보호법 위반으로 기소 의견 송치 결정을 내렸다.

자세한 기본 법리는 아래 위키들을 참고하십시오.

1. 사건 개요

본 사건은 아파트 및 오피스텔 분양대행업체 소속 직원이, 계약서 인증을 완료한 수분양자 약 수천 명이 참여하는 오픈채팅방에 수백 명의 개인정보가 포함된 엑셀 파일을 업로드한 사건이다.  해당 파일에는 단순한 연락처뿐만 아니라 수분양자의 동의 없이 수집된 병력, 가족의 사망, 재산 상태 등의 내밀한 사생활 정보가 포함되어 있었으며, 이러한 분양대행 업무 위탁에 대한 적법한 고지도 사전에 이루어지지 않았다.

2. 핵심 법률 쟁점
 

  • (1)  수분양자 민감정보의 불법 수집 여부

    피고소인 측 파일에 포함된 건강, 재산, 가족사 등은 개인정보 보법 제23조에 따라 명시적 동의가 필수적인 '민감정보'에 해당한다. 수분양자들의 동의 없이 이를 수집·처리한 행위가 민감정보 처리 제한 규정 위반인지가 핵심 쟁점이 되었다.
     
  • (2)  분양대행 업무 위탁의 적법성

    개인정보보호법 제26조 제3항에 따르면, 개인정보처리자가 제3자에게 개인정보 처리 업무를 위탁하는 경우 위탁하는 업무의 내용과 수탁자를 공개하여야 한다. 시행사가 분양대행업체에 개인정보 처리 업무를 위탁하면서, 법에 규정된 위탁 업무의 내용과 수탁자의 명칭을 정보주체에게 고지하지 않아 업무 위탁 절차의 적법성이 문제되었다.
     
  • (3)  개인정보 '유출' 사건과 '수집' 행위의 법적 구별

    과거 단순 '유출' 관점에서는 고의성 입증 부족으로 불송치 결정이 내려진 바 있다. 따라서 본 사건은 별개의 범죄구성요건인 개인정보보호법 제71조 제4호에 따른 '민감정보 불법 수집 및 관리' 행위 자체에 초점을 맞추어 새로운 법적 판단이 이루어질 필요가 있었다.
     

3. 수사기관의 판단 및 법리적 분석
 

  • Q: 문제의 엑셀 파일에 포함된 정보는 개인정보보호법상 '민감정보'로 인정되었을까?

    사건에서 문제된 엑셀 파일을 면밀히 분석한 결과, 기재된 건강 상태, 가족 상황, 재산 관련 정보, 상담 내용 등은 명백히 개인정보보호법상 특별히 보호되는 민감정보에 해당함이 확인되었다. 나아가 이러한 내밀한 정보들이 정보주체의 별도 동의 없이 불법적으로 수집되었으며, 분양대행 업무 과정에서 조직적으로 관리되고 있었다는 점이 입증되었다.
     
  • Q: 직원의 단순 일탈을 넘어 개인정보 처리 위탁 구조 전체의 위법성이 지적될 수 있을까?

    단순히 파일을 업로드한 직원 한 명의 행위를 문제 삼는 것에 그치지 않고, 시행사부터 분양대행사, 그리고 직원으로 이어지는 개인정보 처리 구조 전체의 위법성이 다루어졌다. 특히 분양대행 업무 위탁 과정에서의 고지 의무 위반, 민감정보 처리에 대한 동의 부재, 상담 기록 형태의 무단 개인정보 관리 등을 종합하여 공모 구조를 중심으로 한 법리적 지적이 이루어졌다.
     
  • Q: 수분양자 동의 없이 민감정보를 수집·처리한 피의자들에 대해 수사기관은 어떠한 처분을 내렸을까?

    수사기관은 조사 결과 피의자들이 분양대행 업무 과정에서 수분양자들의 개인정보를 수집 및 관리하면서 일부 민감정보까지 취급한 사실을 확인하였다. 이러한 민감정보가 정보주체의 별도 동의 없이 수집·처리된 사실이 명확히 확인됨에 따라, 수사기관은 개인정보보호법 위반 혐의가 충분히 소명되었다고 판단하여 피의자들을 기소 의견으로 송치하는 결정을 내렸다.
     

※ 관련 법률 인사이트
관련 사례에 대한 변호사의 실제 사건 수행 전략은 아래 법률 인사이트에서 더 깊이 있게 확인할 수 있습니다.

4. 관련 법규

개인정보 보호법 제23조 (민감정보의 처리 제한)

① 개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다.  <개정 2016. 3. 29 .>

1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우

② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.  <신설 2016. 3. 29 .>

③ 개인정보처리자는 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알려야 한다.  <신설 2023. 3. 14 .>

개인정보 보호법 제26조 (업무위탁에 따른 개인정보의 처리 제한) 제3항, 제8항

③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.

⑧ 수탁자에 관하여는 제15조부터 제18조까지, 제21조, 제22조, 제22조의2, 제23조, 제24조, 제24조의2, 제25조, 제25조의2, 제27조, 제28조, 제28조의2부터 제28조의5까지, 제28조의7부터 제28조의11까지, 제29조, 제30조, 제30조의2, 제31조, 제33조, 제34조, 제34조의2, 제35조, 제35조의2, 제36조, 제37조, 제37조의2, 제38조, 제59조, 제63조, 제63조의2 및 제64조의2를 준용한다. 이 경우 “개인정보처리자”는 “수탁자”로 본다.  <개정 2023. 3. 14 .>

개인정보 보호법 제71조 (벌칙) 제4호

다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다. <개정 2016. 3. 29., 2020. 2. 4., 2023. 3. 14.> 

4. 제23조제1항(제26조 제8항에 따라 준용되는 경우를 포함한다)을 위반하여 민감정보를 처리한 자

개인정보 보호법 제74조 (양벌규정)

① 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제70조에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인을 7천만원 이하의 벌금에 처한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다.

② 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제71조부터 제73조까지의 어느 하나에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과(科)한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다.
0
공유하기
최근 작성일시: 20시간 전

네플라 주식회사 대표 : 최주선(겸직허가 완료) | 사업자등록번호 :
317-86-01949 문의 : info@nepla.ai | 주소 : 서울특별시 강남구 테헤란로134 11층 | 통신판매업신고번호 : 제2025-서울강남-06575호

COPYRIGHT© NEPLA Co., Ltd.ALL RIGHTS RESERVED.

네플라 위키는 백과사전이 아니며 전문가 개개인이 특정 시점에 작성하는 것이므로 전문가 개인의 의견이 반영되어 있거나 법령 또는 판례의 변화에 따라 현 시점의 법률에 부합하지 않을 수 있습니다. 회사는 게시물에 포함된 정보의 정확성, 최신성에 대하여 보장하지 않으며, 오류나 누락에 대한 법적 또는 기타 책임을 지지 않습니다.

네플라 서비스에 게시된 게시물 중 저작물의 경우 저작권의 보호 대상이 됩니다. 회원의 저작권 보호 및 게시물의 편집 및 기타 관리에 관한 사항은 이용약관 제4장 [게시물 관리 및 저작권 정책]에 규정되어 있으니 이를 참조하시기 바랍니다. 회원의 게시물에 대하여 자신의 저작권 기타 권리의 침해가 발생한 경우, 권리자는 권리자 본인의 저작권 기타 권리를 침해한 게시물을 신고하여 회사에 게시중단 요청을 할 수 있습니다.

  • 검색
  • 맨위로
  • 페이지업
  • 페이지다운
  • 맨아래로
카카오톡 채널 채팅하기 버튼