‘목적 외 이용 개인정보보호법 처벌’은 개인정보를 수집한 목적을 벗어나 사용했을 때 어떤 형사처벌과 벌금, 수사·재판 절차가 진행되는지에 대한 내용입니다.
이 글을 통해서 관련 법 조항, 처벌 수위, 실제 수사·재판 흐름, 대응·합의 요령, 실무적인 주의점 등을 정리해서 알려주겠습니다.
‘목적 외 이용 개인정보보호법 처벌’ 기본 개요
개인정보보호법에서 말하는 ‘목적 외 이용’이란?
- 개인정보를 수집할 때 고지·동의한 목적과
- 실제로 이용한 목적이 다른 경우를 말함
- 예시
- 회원 가입 시 배송·고객관리 목적으로 받은 정보로
- 마케팅·광고 문자를 무단 발송
- 인사·인력 관리용으로 받은 직원 정보를
외부 제3자에게 제공하거나, 다른 사업에 이용
- 병원 진료·치료 목적의 정보를
보험사나 제약사에 임의 제공
관련 법 조항 및 기본 구조
주요 법령
- 개인정보보호법
- 제15조: 개인정보의 수집·이용 요건
- 제18조: 개인정보의 목적 외 이용·제공 제한
- 제28조의7 등: 가명정보 등 특례 규정
- 제71조, 제73조 등: 형사처벌 규정
- 부가적으로 문제될 수 있는 법
- 정보통신망법, 신용정보법, 위치정보법 등 업종·상황별 특별법
‘목적 외 이용’이 문제되는 전형적인 상황
- 회사·기관 내부에서
- 고객DB를 영업사원이 개인 영업용으로 활용
- 퇴사자가 고객 명단을 가져가 경쟁사에서 활용
- 인사팀 직원이 직원정보를 지인에게 넘김
- 의료·교육·공공기관
- 병원 직원이 환자 정보를 지인에게 전달
- 학교 교직원이 학부모 연락처를 개인적인 용도로 사용
- IT·플랫폼 서비스
- 앱 가입 정보를 제휴 마케팅용으로 무단 제공
- 가입 시 동의받지 않은 목적의 광고·알림 지속 발송
목적 외 이용이 언제 ‘형사처벌’ 대상이 되는가
단순 위반 vs 형사처벌 대상
- 단순 행정제재
- 개인정보보호위원회(개인정보위)의 시정명령, 과태료, 과징금 등
- 주로 경미한 위반, 고의성이 낮거나 피해 정도가 작을 때
- 형사처벌 수사·기소 대상
- 고의적이고 반복적인 목적 외 이용
- 대량의 개인정보를 상업적·영리 목적으로 사용·판매
- 누출·유출로 인한 피해 규모가 큰 경우
- 피해자가 명시적으로 고소·진정한 경우(수사 촉발)
개인정보보호법 목적 외 이용 시 처벌 수위
대표적인 형사처벌 규정
개인정보보호법은 유형에 따라 처벌 수위가 달라집니다.
| 위반 행위 유형 | 관련 규정(예시) | 처벌 수위(법정형) |
|---|---|---|
개인정보를 수집 목적 외로
|
개인정보보호법 제18조, 제71조 | 5년 이하 징역 또는 5천만원 이하 벌금(사안에 따라 상향 가능) |
| 영리·부정한 목적의 대량 개인정보 판매·제공 |
제71조, 제73조 | 더 높은 수준의 징역형·벌금형 가능 |
| 안전조치 미비로 인한 대규모 유출 + 목적 외 이용 |
보안조치 의무 위반 규정 등 | 징역형 + 과징금(매출 연동) 병과 가능 |
| 경미한 목적 외 이용 (일회성, 피해 미미) |
개인정보위 행정제재 중심 | 과태료·시정명령 위주, 형사처벌까지는 안 가는 경우 다수 |
※ 구체적 조항·형량은 사건 당시 법령 개정 여부에 따라 달라질 수 있음
실무상 실제로 나오는 처벌 경향
- 초범·경미한 사안
- 벌금형, 선고유예, 기소유예로 끝나는 경우 많음
- 다만 기업·기관의 경우 행정제재(과징금)가 매우 클 수 있음
- 대량 DB 활용, 상업적 판매, 반복적 위반 등
- 징역형 집행유예 → 일부는 실형 가능성
- 피해 규모(인원수, 민감성, 2차 피해 여부)
- 고의·반복성, 조직적 범행 여부
- 사건 후 조치(유출 차단, 재발방지 대책, 자진 신고 등)
- 피해자와의 합의 여부, 진정성 있는 사과
수사 절차 흐름과 쟁점
사건이 시작되는 계기
- 피해자·고객의
- 경찰서 형사과/사이버팀 고소
- 개인정보보호위원회·국가기관 진정·신고
- 기관·회사 내부 감사·조사 중 발각
- 언론보도·대규모 유출 사건 수사 과정에서 함께 발견
수사 진행 흐름
- 1단계
- 고소·진정 접수
- 경찰 혹은 검찰, 개인정보위 등
- 2단계
- 관련 자료 확보
- 서버 로그, 이메일, 메신저, 엑셀 파일, USB 등
- 내부 결재 문서, 업무지시 여부
- 3단계
- 피의자 조사
- 목적 외 이용 여부, 고의성, 지시한 사람 유무
- 회사 문화·관행인지 여부, 시스템상의 한계 등
- 4단계
- 검찰 송치 및 기소 여부 결정
- 기소(정식 재판) / 약식기소(벌금형 청구) / 불기소(무혐의·기소유예)
주요 쟁점 포인트
- “정말 목적 외 이용인가?
- ”
- 최초 수집 목적과 실질 이용 목적의 범위 해석
- 약관·동의서에 어느 정도까지 포괄 동의가 되어 있는지
- “동의를 받았는가?
- ”
- 개별 동의 여부, 체크박스·이메일·로그 등 증거
- “누가 책임자인가?
- ”
- 실제 실행자 vs 지시자 vs 관리 책임자
- 법인(회사)과 개인(임직원)의 공동 책임 여부
- “영리 목적·부정한 목적이 있었는가?
- ”
- 금전적 대가, 실적·성과와의 연관성
- 경쟁사 유출, 영업비밀과 결합된 상황 등
행정제재(과징금·과태료)와 형사처벌의 관계
행정제재와 형사처벌은 별개
- 개인정보보호위원회 등 행정기관
- 시정명령, 과태료, 과징금 부과
- 형사절차(검·경)
- 징역, 벌금, 집행유예 등 형사처벌
- 둘 다 동시에 진행될 수 있음
- 예: 회사는 과징금·과태료, 임원·직원은 형사처벌
기업·기관이 특히 주의해야 할 점
- 한 번의 사건으로
- 형사 사건 + 개인정보위 조사 + 언론 기사 + 집단 소송
- 계속되는 리스크
- 이미지·신뢰도 하락, 매출 감소
- 향후 입찰·공공 사업 참여 제한 가능성
실제로 자주 발생하는 상황 예시
1) 영업직원의 고객 정보 사적 이용
- 상황
- 회사 CRM에 있는 고객 연락처를
- 개인 영업·퇴사 후 영업을 위해 별도 저장 후 활용
- 법적 리스크
- 개인정보 목적 외 이용 및 유출
- 영업비밀 침해(부정경쟁방지법)까지 추가될 수 있음
- 대응 포인트
- 회사: 내부 규정·교육 여부, 통제 시스템, 재발 방지책
- 개인: 관행·지시 여부, 실제 사용량·피해 규모
2) 마케팅·광고 문자 무단 발송
- 상황
- 단순 회원가입 동의만 받아놓고
- 별도 광고동의 없이 광고성 문자·메일 발송
- 법적 리스크
- 개인정보보호법 + 정보통신망법(스팸 규제) 동시 위반 가능
- 실무상
- 규모가 크고 민원이 많을수록 과징금, 집단 분쟁 가능성 증가
3) 병·의원, 학원, 학교에서의 정보 유출
- 상황
- 환자·학생·학부모 연락처를 교사·직원이 개인용도로 사용
- 입시·보험·학습지 홍보 등에 넘겨주는 경우
- 법적 리스크
- 민감정보(건강정보, 아동 정보 등)인 경우 가중 평가
- 관련자 징계·행정처분, 기관평가 불이익 등 파급 큼
목적 외 이용 혐의를 받았을 때 대응 방법
1단계: 사실관계 냉정하게 정리
- 무엇을
- 어떤 개인정보(이름, 전화번호, 건강정보 등)
- 몇 명의 정보
- 어떻게
- 이메일 전송, USB 저장, 클라우드 업로드, 출력물 반출 등
- 어떤 목적으로
- 영업, 홍보, 개인 참고용, 지시 수행 등
- 어느 정도 기간·횟수
- 일회성인지, 반복·지속적인지
2단계: 관련 자료 보존
- 보존해야 할 것
- 메일, 메신저 대화, 업무지시 문서, 로그 기록
- 내부 규정·지침, 교육 자료
- 함부로 삭제·조작 시
- 증거 인멸로 불리한 평가를 받을 수 있음
3단계: 피해자와의 연락·합의 시 유의점
- 섣부른 연락은 역효과 가능
- 감정 악화, 추가 고소·언론제보로 이어질 수 있음
- 합의 시 고려 사항
- 금액뿐 아니라
- 사과 방식
- 재발 방지 장치 설명
- 2차 유출 방지 약속
- 합의서 작성 시 체크
- 어떤 법적 절차(형사고소·민사소송)에 대해
- 어느 범위까지 종결·취하하기로 하는지 명확히
4단계: 조사(피의자신문)에서 유의할 점
- 기억이 불확실한 부분은
- “정확히 기억나지 않는다”라고 솔직히 말하는 것이 좋음
- 핵심 포인트
- 고의성(의도적으로 했는지, 관행·오해인지)
- 회사의 지시·구조적 문제 여부
- 피해를 줄이기 위해 어떤 조치를 했는지
- 수사기관과의 태도
- 숨기거나 거짓 진술 시, 양형에 매우 불리하게 작용
피해자(정보주체) 입장에서 할 수 있는 일
1) 내 정보가 목적 외로 쓰였다고 의심될 때
- 확인 방법
- 관련 회사·기관에 열람·사실 확인 요청
- 개인정보보호위원회, 한국인터넷진흥원(KISA) 등의 상담
- 정리해야 할 것
- 스팸·연락 내역 스크린샷
- 가입했던 서비스 목록
- 유출 정황(특정 시점 이후 갑자기 전화·문자 폭증 등)
2) 형사 절차 활용
- 경찰·검찰에 고소
- 피의자 특정이 어려워도
- 회사명·서비스명만으로 고소 가능할 때가 있음
- 개인정보위 진정 병행
- 행정조사를 통해 사실관계를 확인하고
- 형사절차와 연계될 수 있음
3) 민사 손해배상 청구
- 유형
- 위자료(정신적 손해 배상)
- 실제 금전적 피해(사기, 스미싱 등 2차 피해)가 있다면 추가 청구
- 실무상
- 개인 1:1 소송보다는
- 집단소송·단체소송 형태로 진행되는 경우가 많음
형사처벌을 줄이기 위해 고려되는 요소들
감경에 유리하게 작용하는 요소
- 초범, 특히 IT·개인정보 분야에 대한 인식 부족이 있었던 경우
- 회사의 시스템·관행상 혼란이 있었던 경우
- 위반 후 신속한 조치
- 추가 유출 차단, 비밀번호 초기화, 시스템 개선
- 피해자와의 원만한 합의
- 진정성 있는 반성, 재발 방지 대책 마련
가중될 수 있는 요소
- 대량의 개인정보
- 민감정보(건강, 금융, 위치, 아동·청소년 정보 등)
- 금전적 이익을 위해 계획적으로 한 경우
- 이미 이전에 시정명령·과징금을 받은 전력이 있는 회사·기관
- 언론이 크게 보도될 정도의 사회적 파급력
예방을 위한 실무 팁
회사·기관 차원에서
- 필수적으로 할 것
- 개인정보 처리방침과 실제 업무 프로세스 일치시키기
- 목적별 DB 분리(내부에서 용도 섞이지 않게)
- 권한관리·접속기록 관리(누가 언제 어떤 정보에 접근했는지 로그)
- 교육
- 신규 입사·정기 교육에서
“목적 외 이용 금지”를 사례 중심으로 반복 안내
- 문서화
- 마케팅, 제휴, 연구 등에 개인정보를 쓰려면
“수집 목적 변경 또는 추가 동의” 절차를 거치는 프로세스 설계
개인(임직원) 차원에서
- 하지 말아야 할 것
- 고객·환자·학생 정보를 개인 폰, 개인 이메일로 보내기
- 엑셀, USB에 담아서 집에 가져가 작업하기
- ‘관행’이라는 말만 믿고, 별도 동의 없는 목적에 활용
- 애매하면
- 상급자·법무·개인정보 담당자에게 서면(메일 등)으로 문의 남기기
→ 나중에 “혼자 임의로 했다”는 평가를 줄이는 데 도움
자주 묻는 질문 (Q&A)
Q1. 목적 외 이용이면 무조건 형사처벌을 받게 되나요?
- A1. 그렇지 않습니다.
- 경미한 경우에는 행정제재(과태료·시정명령) 수준에서 끝나기도 하고,
- 고의성·피해 규모가 크면 형사처벌이 추가됩니다.
- 구체적 사실관계에 따라 큰 차이가 납니다.
Q2. 단순히 고객 명단을 개인 메모장에 옮겨놓은 것도 범죄인가요?
- A2. 상황에 따라 다릅니다.
- 실제로 목적 외로 사용했는지,
- 회사 규정·동의 범위 내인지,
- 양·내용·피해 유무 등에 따라 달라집니다.
- 다만, 실무상 이런 행위가 더 큰 문제의 출발점이 되기 때문에 지양하는 것이 안전합니다.
Q3. 피해자와 합의하면 형사처벌을 피할 수 있나요?
- A3. 합의는 양형에 매우 중요한 요소이지만,
- 수사기관·법원이 반드시 무죄 또는 불기소로 해주는 것은 아닙니다.
- 특히 대규모·중대한 사건은 공익적 차원에서 처벌이 이루어질 수 있습니다.
Q4. 회사가 시켜서 했는데 개인도 처벌을 받나요?
- A4. 네, 받을 수 있습니다.
- 지시한 회사·상급자와 함께 책임을 지는 구조가 많습니다.
- 다만, 구체적인 역할·지위·재량권 정도에 따라 책임의 크기가 달라집니다.
Q5. 이미 예전에 있었던 목적 외 이용도 처벌될 수 있나요?
- A5. 공소시효 내라면 가능합니다.
- 일반적으로 개인정보보호법 위반의 공소시효는
- 해당 범죄의 법정형에 따라 5년 또는 그 이상이 될 수 있습니다.