.gif)
사고 당시, 개인정보보호법 위반 혐의로 처벌 가능한 최대 형량 벌금 1,000만원
[보안뉴스 김태형] 지난 달 15일 서울중앙법원은 지난 2014년 1월 대규모 개인정보를 유출시켜 ‘개인정보보호법’ 위반 혐의를 갖고 있는 농협, KB국민카드, 롯데카드에 각각 1000~1500만원의 벌금을 선고했다. 당시 유출된 것으로 추정되는 개인정보는 약 1억400만건이었다.
.jpg)
이에 대해 네티즌들은 “너무 약한 처벌이 아니냐”고 지적하고 있다. 유출 건수에 비해 벌금이 너무 낮다는 것. 지금까지 네이트, 옥션, 인터파크 등에서 대규모 개인정보 유출사고가 있었다. 인터파크는 아직 수사가 진행중이지만, 그동안 수천만, 수억건의 개인정보를 유출시킨 기업들이 고작 몇 천만원의 벌금형에 그친 이유는 무엇일까?
지난번 카드3사 고객정보 유출 사건의 개요를 살펴보면, 부정사용방지시스템(FDS)을 개발하던 용역업체 직원이 몰래 개인정보를 탈취한 사건으로, 당시 범행은 카드사 직원이 아니라, 용역회사 직원이 저질렀지만 카드사에게는 관리감독의 책임이 있기 때문에 카드3사는 이번 사건에서 자유로울 수 없었다.
이로 인해 카드 3사는 개인정보보호법 위반 혐의에 대한 강도 높은 수사를 받게 됐고 동시에 손해배상 집단소송이 붐처럼 일어났다. 그리고 지난 달 15일엔 서웅중앙지법은 개인정보보호법 위반 등의 혐의로 기소된 농협은행과 KB국민카드에 대해 각각 벌금 1500만원을, 롯데카드에 1000만원을 선고했다.
법무법인 민후에 따르면, 이는 범행이 이뤄질 당시의 개인정보보호법 위반 혐의로 법인을 처벌할 수 있는 최대의 형이다. 재판부가 범행의 규모와 의무 불이행의 정도, 사건의 사회적 파장 등을 종합적으로 고려해 가능한 최대의 형을 정한 것이라고 설명했다. 이와 관련한 개인정보보호법의 조항을 살펴보면 다음과 같다.
제73조(벌칙)
다음 각호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다.
1. 제23조제2항, 제24조제3항, 제25조제6항 또는 제29조를 위반해 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 자
<2015.7.24 일부개정>
위의 개인정보보호법 제73조에서 규정하는 각 호는 개인정보를 취급하는 사업자(개인정보처리자)들은 개인정보 등이 분실·도난·유출·변조·훼손되지 않도록 기술적 관리적 물리적 조치를 취해야 한다는 내용이 담겨 있다.
카드3사는 이러한 조치를 취하지 않았고 그 결과 개인정보를 유출시켰으므로 제73조에 근거해 벌금형을 받게 된 것. 그런데 이번 판결에서 법원은 2,000만원이 아니고 1,000~1,500만원의 벌금을 내야 한다고 했을까?
해당 법 조항은 지난해 7월 24일 개정된 것이다. 개정되기 전까지는 1000만원이었다. 개정전의 개인정보보호법 관련 조항은 다음과 같다.
제73조(벌칙)
다음 각호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 1천만원 이하의 벌금에 처한다.
1.제24조제3항, 제25조제6항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·변조·또는 훼손당한 자
<2014.11.19. 시행> *2015.7.24 일부개정
그렇다면 농협과 KB국민카드는 왜 1,000만원이 아니라 1,500만원의 벌금형이 내려졌을까? 법무법인 민후에 따르면, 이는 형법 중 경합범에 대한 조문을 적용했기 때문이다. 우리 형법 제37조에는 2개 이상의 죄를 경합범으로 처벌하는데 이 경우 처벌이 가중된다.
형법 제37조(경합범)
판결이 확정되지 아니한 수개의 죄 또는 금고 이상의 형에 처한 판결이 확정된 죄와 그 판결확정 전에 범한 죄를 경합범으로 한다.
제38조(경합범과 처벌례)
ⓛ경합범을 동시에 판결할 때에는 다음의 구별에 의하여 처벌한다.
2. 각 죄에 정한 형이 사형 또는 무기징역이나 무기금고 이외의 동종의 형인 때에는 가장 중한 죄에 정한 장기 또는 다액에 그 2분의 1까지 가중하되 각 죄에 정한 형의 장기 또는 다액을 합산한 형기 또는 액수를 초과할 수 없다. 단 과료와 과료, 몰수와 몰수는 병과할 수 있다.
농협과 KB국민카드는 개인정보 유출사고가 2건이기 때문에 경합범으로 처벌된 것이며, 따라서 1000만원의 벌금에 2분의 1까지 가중된 1500만원이 나오게 된 것이다.
[도움말: 법무법인 민후(www.minwho.kr)]
[김태형 기자(boan@boannews.com)]
[보안뉴스 김태형] 지난 달 15일 서울중앙법원은 지난 2014년 1월 대규모 개인정보를 유출시켜 ‘개인정보보호법’ 위반 혐의를 갖고 있는 농협, KB국민카드, 롯데카드에 각각 1000~1500만원의 벌금을 선고했다. 당시 유출된 것으로 추정되는 개인정보는 약 1억400만건이었다.
이에 대해 네티즌들은 “너무 약한 처벌이 아니냐”고 지적하고 있다. 유출 건수에 비해 벌금이 너무 낮다는 것. 지금까지 네이트, 옥션, 인터파크 등에서 대규모 개인정보 유출사고가 있었다. 인터파크는 아직 수사가 진행중이지만, 그동안 수천만, 수억건의 개인정보를 유출시킨 기업들이 고작 몇 천만원의 벌금형에 그친 이유는 무엇일까?
지난번 카드3사 고객정보 유출 사건의 개요를 살펴보면, 부정사용방지시스템(FDS)을 개발하던 용역업체 직원이 몰래 개인정보를 탈취한 사건으로, 당시 범행은 카드사 직원이 아니라, 용역회사 직원이 저질렀지만 카드사에게는 관리감독의 책임이 있기 때문에 카드3사는 이번 사건에서 자유로울 수 없었다.
이로 인해 카드 3사는 개인정보보호법 위반 혐의에 대한 강도 높은 수사를 받게 됐고 동시에 손해배상 집단소송이 붐처럼 일어났다. 그리고 지난 달 15일엔 서웅중앙지법은 개인정보보호법 위반 등의 혐의로 기소된 농협은행과 KB국민카드에 대해 각각 벌금 1500만원을, 롯데카드에 1000만원을 선고했다.
법무법인 민후에 따르면, 이는 범행이 이뤄질 당시의 개인정보보호법 위반 혐의로 법인을 처벌할 수 있는 최대의 형이다. 재판부가 범행의 규모와 의무 불이행의 정도, 사건의 사회적 파장 등을 종합적으로 고려해 가능한 최대의 형을 정한 것이라고 설명했다. 이와 관련한 개인정보보호법의 조항을 살펴보면 다음과 같다.
제73조(벌칙)
다음 각호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다.
1. 제23조제2항, 제24조제3항, 제25조제6항 또는 제29조를 위반해 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 자
<2015.7.24 일부개정>
위의 개인정보보호법 제73조에서 규정하는 각 호는 개인정보를 취급하는 사업자(개인정보처리자)들은 개인정보 등이 분실·도난·유출·변조·훼손되지 않도록 기술적 관리적 물리적 조치를 취해야 한다는 내용이 담겨 있다.
카드3사는 이러한 조치를 취하지 않았고 그 결과 개인정보를 유출시켰으므로 제73조에 근거해 벌금형을 받게 된 것. 그런데 이번 판결에서 법원은 2,000만원이 아니고 1,000~1,500만원의 벌금을 내야 한다고 했을까?
해당 법 조항은 지난해 7월 24일 개정된 것이다. 개정되기 전까지는 1000만원이었다. 개정전의 개인정보보호법 관련 조항은 다음과 같다.
제73조(벌칙)
다음 각호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 1천만원 이하의 벌금에 처한다.
1.제24조제3항, 제25조제6항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·변조·또는 훼손당한 자
<2014.11.19. 시행> *2015.7.24 일부개정
그렇다면 농협과 KB국민카드는 왜 1,000만원이 아니라 1,500만원의 벌금형이 내려졌을까? 법무법인 민후에 따르면, 이는 형법 중 경합범에 대한 조문을 적용했기 때문이다. 우리 형법 제37조에는 2개 이상의 죄를 경합범으로 처벌하는데 이 경우 처벌이 가중된다.
형법 제37조(경합범)
판결이 확정되지 아니한 수개의 죄 또는 금고 이상의 형에 처한 판결이 확정된 죄와 그 판결확정 전에 범한 죄를 경합범으로 한다.
제38조(경합범과 처벌례)
ⓛ경합범을 동시에 판결할 때에는 다음의 구별에 의하여 처벌한다.
2. 각 죄에 정한 형이 사형 또는 무기징역이나 무기금고 이외의 동종의 형인 때에는 가장 중한 죄에 정한 장기 또는 다액에 그 2분의 1까지 가중하되 각 죄에 정한 형의 장기 또는 다액을 합산한 형기 또는 액수를 초과할 수 없다. 단 과료와 과료, 몰수와 몰수는 병과할 수 있다.
농협과 KB국민카드는 개인정보 유출사고가 2건이기 때문에 경합범으로 처벌된 것이며, 따라서 1000만원의 벌금에 2분의 1까지 가중된 1500만원이 나오게 된 것이다.
[도움말: 법무법인 민후(www.minwho.kr)]
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
