목적 외이 용 개인 정보보호법 처벌 , 형사 처벌·벌금·해결 방법 총정리

‘목적 외이 용 개인 정보보호법 처벌’은 개인 정보를 수집한 목적을 벗어나 사용했을 때 어떤 형사 처벌과 벌금, 수사·재판 절차가 진행되는 지에 대한 내용입니다. 이 글을 통해서 관련 법 조항, 처벌 수위, 실제 수사·재판 흐름, 대응·합의 요령, 실무적인 주의 점 등을 정리해서 알려주겠습니다.

‘목적 외이 용 개인 정보보호법 처벌’ 기본 개요

개인 정보보호법에서 말 하는 ‘목적 외 이 용’이란?

• 개인 정보를 수집할 때 고지·동의 한 목적과
  • 실제로 이 용한 목적이 다른 경우를 말함
• 예시
  • 회원 가입 시 배송·고객관리 목적으로 받은 정보로
  • 마케팅·광고 문자를 무단 발송
  • 인사·인력 관리용으로 받은 직원 정보를

외부 제3자에 게 제공하거나, 다른 사업에이 용

• 병원 진료·치료 목적의 정보를

보험사나 제약사에 임의 제공

관련법 조항 및 기본 구조

주요 법령

• 개인 정보보호법
  • 제15조: 개인 정보의 수집·이 용 요건
  • 제18조: 개인 정보의 목적 외 이 용·제공 제한
  • 제28조의7 등: 가 명정보 등 특례 규정
  • 제71조, 제73조 등: 형사 처벌 규정
• 부가 적으로 문제될 수 있는 법
  • 정보통신망법, 신용 정보법, 위치 정보법 등 업종·상황별 특별법

‘목적 외이 용’이 문제되는 전 형적인 상황

• 회사·기관 내부에서
  • 고객 DB를 영업사원이 개인 영업용으로 활용
  • 퇴사자가 고객 명단을가 져가 경쟁사에서 활용
  • 인사팀 직원이 직원 정보를 지인에 게 넘김
• 의 료·교육·공공기관
  • 병원 직원이 환자 정보를 지인에 게 전달
  • 학교 교직원이 학부모 연락처를 개인적인 용도 로 사용
• IT·플랫폼 서비스
  • 앱 가입 정보를 제휴 마케팅용으로 무단 제공
  • 가입 시 동의 받지 않은 목적의 광고·알림 지속 발송

목적 외 이 용이 언제 ‘형사 처벌’ 대상이 되는가

단순 위반 vs 형사 처벌 대상

• 단순 행정 제재
  • 개인 정보보호위원회(개인 정보위)의 시정명령, 과 태료, 과 징금 등
  • 주로 경미한 위반, 고의성이 낮거나 피해 정도가 작을 때
• 형사 처벌 수사·기소 대상
  • 고의 적이 고 반복적인 목적 외이 용
  • 대량의 개인 정보를 상업적·영리 목적으로 사용·판매
  • 누출·유출로 인한 피해 규모가 큰 경우
  • 피해자가 명시적으로 고소·진정한 경우(수사 촉발)

개인 정보보호법 목적 외이 용 시 처벌 수위

대표적인 형사 처벌 규정

개인 정보보호법은 유 형에 따라 처벌 수위가 달라집니다.

※ 구체적 조항·형량은 사건 당시법령 개정 여부에 따라 달라질 수 있음

실무상 실제로 나오는 처벌 경향

• 초범·경미한 사안
• 벌금형, 선고유예, 기소유예로 끝나는 경우 많음
• 다만 기업·기관의 경우 행정 제재(과 징금)가 매우 클 수 있음

수사 절차 흐름과 쟁점

사건이 시작되는 계기

• 피해자·고객의
  • 경찰서 형사과/사이 버팀 고소
  • 개인 정보보호위원회·국가 기관 진정·신고
• 기관·회사 내부 감사·조사 중 발각
• 언론보도·대규모 유출 사건 수사과 정에서 함께 발견

수사 진행 흐름

• 1단계
  • 고소·진정 접수
  • 경찰 혹은 검찰, 개인 정보위 등
• 2단계
  • 관련 자료 확보
  • 서버 로 그, 이메일, 메신저, 엑셀 파일, USB 등
  • 내부 결재 문서, 업무지시 여부
• 3단계
  • 피의 자 조사
  • 목적 외이 용 여부, 고의성, 지시한 사람 유무
  • 회사 문화·관행인지 여부, 시스템상의 한계 등
• 4단계
  • 검찰 송치 및 기소 여부 결정
  • 기소(정식 재판) / 약식기소(벌금형 청구) / 불기소(무혐의·기소유예)

주요 쟁점 포인트

• “정말 목적 외이 용인가?
  • ”
  • 최초 수집 목적과 실질이 용 목적의 범위 해석
  • 약관·동의 서에 어느 정도까지 포괄 동의가 되어 있는 지
• “동의를 받았는가?
  • ”
  • 개별 동의 여부, 체크박스·이메일·로 그 등 증거
• “누가 책임자인가?
  • ”
  • 실제 실행자 vs 지시자 vs 관리 책임자
  • 법인(회사)과 개인(임직원)의 공동 책임 여부
• “영리 목적·부정한 목적이 있었는가?
  • ”
  • 금전적 대가, 실적·성과 와의 연관성
  • 경쟁사 유출, 영업비밀과 결합된 상황 등

행정 제재(과 징금·과 태료)와 형사 처벌의 관계

행정 제재와 형사 처벌은 별개

• 개인 정보보호위원회 등 행정 기관
  • 시정명령, 과 태료, 과 징금 부과
• 형사 절차(검·경)
  • 징역, 벌금, 집행유예 등 형사 처벌
• 둘 다 동시에 진행될 수 있음
  • 예: 회사는과 징금·과 태료, 임원·직원은 형사 처벌

기업·기관이 특히 주의 해야 할 점

• 한 번의 사건으로
  • 형사 사건 + 개인 정보위 조사 + 언론 기사 + 집단 소송
• 계속되는 리스크
  • 이미지·신뢰도 하락, 매출 감소
  • 향후 입찰·공공 사업 참여 제한 가능성

실제로 자주 발생하는 상황 예시

1) 영업직원의 고객 정보 사적 이 용

• 상황
  • 회사 CRM에 있는 고객 연락처를
  • 개인 영업·퇴사 후 영업을 위해 별도 저장 후 활용
• 법적 리스크
  • 개인 정보 목적 외이 용 및 유출
  • 영업비밀 침해(부정경쟁방지법)까지 추가 될 수 있음
• 대응 포인트
  • 회사: 내부 규정·교육 여부, 통제 시스템, 재발 방지책
  • 개인: 관행·지시 여부, 실제 사용량·피해 규모

2) 마케팅·광고 문자 무단 발송

• 상황
  • 단순 회원 가입 동의만 받아놓고
  • 별도 광고동의 없이 광고성 문자·메일 발송
• 법적 리스크
  • 개인 정보보호법 + 정보통신망법(스팸 규제) 동시 위반 가능
• 실무상
  • 규모가 크고 민원이 많을 수록과 징금, 집단 분쟁 가능성 증가

3) 병·의 원, 학원, 학교에서의 정보 유출

• 상황
  • 환자·학생·학부모 연락처를 교사·직원이 개인용도로 사용
  • 입시·보험·학습지 홍보 등에 넘겨주는 경우
• 법적 리스크
  • 민감 정보(건강 정보, 아동 정보 등)인 경우 가 중 평가
  • 관련자 징계·행정 처분, 기관평가 불이익 등 파급 큼

목적 외이 용 혐의 를 받았을 때 대응 방법

1단계: 사실관계 냉정하게 정리

• 무엇을
  • 어떤 개인 정보(이 름, 전화번호, 건강 정보 등)
  • 몇 명의 정보
• 어떻게
  • 이메일 전송, USB 저장, 클라우드 업로 드, 출력물 반출 등
• 어떤 목적으로
  • 영업, 홍보, 개인 참고용, 지시 수행 등
• 어느 정도 기간·횟수
  • 일회성인지, 반복·지속적인지

2단계: 관련 자료 보존

• 보존해야 할 것
  • 메일, 메신저 대화, 업무지시 문서, 로 그 기록
  • 내부 규정·지침, 교육 자료
• 함부로 삭제·조작 시
  • 증거 인멸로 불리한 평가 를 받을 수 있음

3단계: 피해자와의 연락·합의 시 유의 점

• 섣부른 연락은 역효과 가능
  • 감정 악화, 추가 고소·언론제보로이 어질 수 있음
• 합의 시 고려 사항
  • 금액뿐 아니라
    • 사과 방식
    • 재발 방지 장치 설명
    • 2차 유출 방지 약속
  • 합의서 작성 시 체크
    • 어떤 법적 절차(형사고소·민사 소송)에 대해
    • 어느 범위까지 종결·취하하기로 하는 지 명확히

4단계: 조사(피의 자신문)에서 유의 할 점

• 기억이 불확실한 부분은
  • “정확히 기억나지 않는 다”라고 솔직히 말 하는 것이 좋음
• 핵심 포인트
  • 고의성(의 도적으로 했는 지, 관행·오해인지)
  • 회사의 지시·구조적 문제 여부
  • 피해를 줄이 기 위해 어떤 조치를 했는 지
• 수사기관과의 태도
  • 숨기 거나 거짓 진술 시, 양 형에 매우 불리하게 작용

피해자(정보주체) 입장에서 할 수 있는 일

1) 내 정보가 목적 외로 쓰였다고의 심될 때

• 확인 방법
  • 관련 회사·기관에 열람·사실 확인 요청
  • 개인 정보보호위원회, 한국인터넷진흥원(KISA) 등의 상담
• 정리해야 할 것
  • 스팸·연락 내역 스크린샷
  • 가입했던 서비스 목록
  • 유출 정황(특정 시점 이후 갑자기 전화·문자 폭증 등)

2) 형사 절차 활용

• 경찰·검찰에 고소
  • 피의 자 특정이 어려워도
  • 회사명·서비스명만으로 고소 가능할 때가 있음
• 개인 정보위 진정 병행
  • 행정 조사를 통해 사실관계를 확인하고
  • 형사 절차와 연계될 수 있음

3) 민사 손해배상 청구

• 유형
  • 위자료(정신적 손해 배상)
  • 실제 금전적 피해(사기, 스미싱 등 2차 피해)가 있다면 추가 청구
• 실무상
  • 개인 1:1 소송보다는
  • 집단소송·단체소송 형태로 진행되는 경우가 많음

형사 처벌을 줄이 기 위해 고려되는 요소들

감경에 유리하게 작용 하는 요소

• 초범, 특히 IT·개인 정보 분야에 대한 인식 부족이 있었던 경우
• 회사의 시스템·관행상 혼란이 있었던 경우
• 위반 후 신속한 조치
  • 추가 유출 차단, 비밀번호 초기화, 시스템 개선
• 피해자와의 원만 한 합의
• 진정성 있는 반성, 재발 방지 대책 마련

가 중될 수 있는 요소

• 대량의 개인 정보
• 민감 정보(건강, 금융, 위치, 아동·청소년 정보 등)
• 금전적 이익을 위해 계획적으로 한 경우
• 이미 이전에 시정명령·과 징금을 받은 전력이 있는 회사·기관
• 언론이 크게 보도 될 정도의 사회적 파급력

예방을 위한 실무 팁

회사·기관 차원에서

• 필수적으로 할 것
  • 개인 정보 처리방침과 실제 업무 프로 세스 일치시키기
  • 목적별 DB 분리(내부에서 용도 섞이 지 않게)
  • 권한관리·접속기록 관리(누가 언제 어떤 정보에 접근했는 지로 그)
• 교육
  • 신규 입사·정기 교육에서

“목적 외이 용 금지”를 사례 중심으로 반복 안내

• 문서화
  • 마케팅, 제휴, 연구 등에 개인 정보를 쓰려면

“수집 목적 변경 또는 추가 동의” 절차를 거치는 프로 세스 설계

개인(임직원) 차원에서

• 하지 말아야 할 것
  • 고객·환자·학생 정보를 개인 폰, 개인 이메일로 보내기
  • 엑셀, USB에 담아서 집에 가 져가 작업하기
  • ‘관행’이 라는 말만 믿고, 별도 동의 없는 목적에 활용
• 애매하면
  • 상급자·법무·개인 정보 담당자에 게 서면(메일 등)으로 문의 남기기

→ 나중에 “혼자 임의로 했다”는 평가 를 줄이는 데 도 움

자주 묻는 질문 (Q&A)

Q1. 목적 외이 용이 면 무조건 형사 처벌을 받게 되나요?

• A1. 그렇지 않습니다.
  • 경미한 경우에는 행정 제재(과 태료·시정명령) 수준에서 끝나기도 하고,
  • 고의성·피해 규모가 크면 형사 처벌이 추가 됩니다.
  • 구체적 사실관계에 따라 큰 차이 가 납니다.

Q2. 단순히 고객 명단을 개인 메모장에 옮겨놓은 것도 범죄 인가 요?

• A2. 상황에 따라 다릅니다.
  • 실제로 목적 외로 사용했는 지,
  • 회사 규정·동의 범위 내인지,
  • 양·내용·피해 유무 등에 따라 달라집니다.
  • 다만, 실무상이 런 행위가 더 큰 문제의 출발점이 되기 때문에 지양 하는 것이 안전합니다.

Q3. 피해자와 합의 하면 형사 처벌을 피할 수 있나요?

• A3. 합의는 양 형에 매우 중요한 요소이 지만,
  • 수사기관·법원이 반드시 무죄 또는 불 기소로 해주는 것은 아닙니다.
  • 특히 대규모·중대한 사건은 공익적 차원에서 처벌이이 루어질 수 있습니다.

Q4. 회사가 시켜서 했는 데 개인도 처벌을 받나요?

• A4. 네, 받을 수 있습니다.
  • 지시한 회사·상급자와 함께 책임을 지는 구조가 많습니다.
  • 다만, 구체적인 역할·지위·재량권 정도에 따라 책임의 크기가 달라집니다.

Q5. 이미 예전에 있었던 목적 외이 용도 처벌될 수 있나요?

• A5. 공소 시효 내라면 가능합니다.
  • 일반적으로 개인 정보보호법 위반의 공소 시효는
  • 해당 범죄의 법정 형에 따라 5년 또는 그이 상이 될 수 있습니다.