CONTENTS
- 1. 스타트업변호사 찾아오신 의뢰인
- - 개인정보보호법위반이란?
- - 개인정보 보호 관련 경영자 체크리스트
- 2. 스타트업변호사, 사건 대응 전략 수립
- - 개인정보 수령 시 당시 적법성 인식 강조
- - 고의성 및 사정 인식 여부 반박
- 3. 스타트업변호사 조력 결과, 불송치 사건 마무리
1. 스타트업변호사 찾아오신 의뢰인
스타트업변호사에게 법률상담을 요청하신 의뢰인은 기술 기반 투자 플랫폼을 운영하는 스타트업의 대표였습니다.
플랫폼 초기 확장을 위해 이용자 확보가 필수적이었던 의뢰인은 SNS 기반 마케팅을 진행하면서 외부 대행사를 통한 연락처 데이터 활용을 계획했습니다.
마케팅을 위임한 대행사는 외부로부터 확보한 ‘마케팅 대상자 명단’을 제공했으며 해당 명단에는 이름과 휴대전화번호 등 개인정보가 포함돼 있었습니다.
의뢰인 회사는 이를 바탕으로 마케팅 문자메시지를 일괄 발송했고, 이 사건이 빌미가 되어 의뢰인은 개인정보보호법 위반으로 수사 기관의 조사를 받게 되었습니다.
수사기관은 ▲불법 유출된 개인정보를 영리 목적으로 제공받은 점 ▲스타트업 대표로서 개인정보 취급의 책임이 있다는 점 등을 들어 형사처벌이 가능한 사안이라 판단했습니다.
이에 의뢰인은 스타트업 실무와 개인정보 규제 관련 사건을 다수 경험한 대륜 기업법무그룹 스타트업변호사에게 조력을 요청하게 되었습니다.
개인정보보호법위반이란?
개인정보보호법은 개인정보의 수집, 저장, 이용, 제공, 폐기 등 처리 전 과정에 걸쳐 규율하는 법률로, 정보주체의 권리를 보호하기 위해 제정되었습니다.
이 법은 개인정보를 처리하는 자에게 업무상 알게 된 개인정보를 제3자에게 무단 제공하거나 누설하지 못하도록 엄격히 제한하고 있으며,더불어 영리 또는 부정한 목적을 가지고 개인정보를 제공받는 행위 역시 강력히 금지하고 있습니다.
특히 개인정보보호법 제71조는 다음과 같은 행위를 처벌 대상으로 규정하고 있으며, 이를 위반할 경우 최대 5년 이하의 징역 또는 5천만 원 이하의 벌금형에 처해질 수 있습니다.
-업무상 알게 된 개인정보를 누설하거나 정당한 권한 없이 타인이 이용할 수 있도록 제공한 행위
-개인정보를 제공한 자가 위법하게 취득한 사실을 인식하고도, 이를 영리 또는 부정한 목적으로 제공받은 행위
만약 불법적으로 유출된 개인정보임을 인지하고도 이를 마케팅이나 영업 활동에 활용했다면 중대한 범죄로 간주되어 강한 형사처벌을 받을 수 있습니다.
더보기
개인정보 보호 관련 경영자 체크리스트
✅ 개인정보 보호 관련 경영자 체크리스트
□개인정보 수집 시 정보주체의 명시적 동의를 받는 절차를 갖추고 있는가?
□수집 목적, 항목, 보유 기간 등에 대해 명확히 고지하고 있는가?
□불필요한 민감정보까지 과도하게 수집하고 있지는 않은가?
□외부 명단(연락처 등)을 활용할 경우, 수집 출처와 동의 여부를 명확히 확인했는가?
□광고·홍보 목적으로 수집된 개인정보에 대해 상업적 활용 동의가 포함되어 있는가?
□외주 마케팅 대행사와 계약 시 개인정보 처리위탁 계약서를 작성했는가?
□수집한 개인정보의 보유 기간을 관리하고, 기한 만료 시 즉시 파기하고 있는가?
□개인정보 유출 또는 위법 행위가 발생할 경우 즉시 대응할 수 있는 매뉴얼을 갖추고 있는가?
"모르고 활용했다"는 주장만으로는 처벌을 면하기 어렵습니다.
적법하게 수집·이용하고 있다는 증빙자료가 없다면 수사기관은 불법성을 추정할 수 있습니다.
따라서 모든 단계에서 서면 및 전자 증빙을 확보하고, 외부 데이터 활용 시 항상 출처와 동의 여부를 점검해야 합니다.
2. 스타트업변호사, 사건 대응 전략 수립
스타트업변호사는 해당 개인정보보호법 위반 사건의 핵심 쟁점에 집중해 사건 대응 전략을 수립했습니다.
개인정보 수령 시 당시 적법성 인식 강조
스타트업변호사는 의뢰인이 개인정보가 포함된 명단을 전달받을 당시 해당 명단이 대행사를 통해 합법적으로 수집된 정보라고 인식하고 있었다는 점에 주목했습니다.
특히 의뢰인은 대행사와 정식 계약을 체결했기에 대행사가 명확한 개인정보 수집 동의를 받은 상태에서 자료를 제공한 것으로 판단하고 신뢰했다는 점을 강조했습니다.
고의성 및 사정 인식 여부 반박
스타트업변호사는 개인정보보호법 제71조 제9호에서 말하는 ‘그 사정을 알면서도 개인정보를 제공받은 경우’에 해당하려면 제공한 자가 개인정보처리자라는 점, 그리고 위법한 경로로 정보를 제공했다는 사정을 의뢰인이 인식했어야 함을 근거로 들어 방어했습니다.
관련 판례: 대법원 2024.6.17. 선고 2019도3402 판결
① 전 단계에서 ‘개인정보처리자가 거짓이나 부정한 수단으로 취득한 개인정보’인지
② 그 개인정보의 동의취득 과정에 위법성이 있었는지
등을 구체적으로 알지 못하였다면 단순히 정보주체 동의가 없다는 이유만으로는 제공받은 자를 처벌할 수 없다고 판시했습니다.
자신들의 개인정보 매입에 대하여 비록 정보주체의 동의가 없는 것을 알고는 있었으나 개인정보의 출처나 그 유통 경위를 알지 못하였다면 구체적으로 위와 같은 사정을 알았다고 보기 어렵기 때문이라고 판단했습니다.
스타트업변호사는 의뢰인의 경우에도 개인정보의 불법성 또는 위법한 취득 경위를 구체적으로 인식하고 있었다고 볼 증거가 없었고, 단지 대행사가 전달한 명단을 활용한 것만으로는 고의성을 추정하기 어렵다는 점을 강조했습니다.
3. 스타트업변호사 조력 결과, 불송치 사건 마무리
스타트업변호사의 조력 결과 스타트업 대표 의뢰인은 개인정보보호법 위반 혐의 사실에 불송치 결정을 받으며 사건을 마무리할 수 있었습니다.
수사기관은 변호사의 의견을 받아들여 의뢰인이 개인정보의 불법적 유통 경위나 위법한 취득 사실을 충분히 인식하고 제공받았다고 볼 증거가 없다고 판단했습니다.
이후 의뢰인은 스타트업변호사의 도움을 받아 마케팅 및 개인정보 관리 시스템을 정비하며 재발 방지책을 마련하기도 했습니다.
스타트업은 고객 확보, 마케팅, 제휴 등에서 외부 인프라를 활용하는 경우가 많습니다.
이 과정에서 개인정보를 직접 수집하지 않더라도 ‘제공받은 자’로서 형사책임을 질 수 있다는 사실은 창업 초기 대표자들이 간과하기 쉬운 부분입니다.
법무법인 대륜 기업법무그룹은 스타트업 대상 개인정보보호 리스크 진단, 마케팅 위탁계약 조항 설계, 수사기관 조사 단계 조력 등 스타트업의 법적 리스크 관리를 위해 전 단계 맞춤형 대응 전략을 제공하고 있습니다.
