한국 개인정보보호위원회의 과징금 부과 기준

개인정보보호법을 위반한 기업이나 개인에게 과징금이 부과되는 사례가 매년 증가하고 있습니다. 특히 2020년 이후 한국 정부는 개인정보의 중요성과 활용 범위 확대에 따라, 개인정보보호위원회를 중심으로 강력한 제재 체계를 운영하고 있으며, 법 위반 시 단순 경고를 넘어서 과징금, 형사고발, 공표 조치까지 연계되고 있습니다. 그렇다면 개인정보보호위원회는 어떤 기준으로 과징금을 산정하고, 실제 제재 수위는 어떻게 결정되는 것일까요? 본 글에서는 법적 근거와 행정지침, 최근 주요 사례를 중심으로 과징금 부과 체계를 상세히 분석해 드립니다.

 

과징금 부과의 법적 근거 – 개인정보보호법 제64조

개인정보보호위원회(이하 ‘개보위’)는 「개인정보 보호법」 제64조에 따라, 일정한 법 위반 사항에 대해 시정명령과 함께 과징금을 부과할 수 있는 권한을 가지고 있습니다.
해당 조항에서는 과징금 부과의 요건을 다음과 같이 규정합니다:

• 법 위반 행위가 중대하거나 반복적일 경우
• 위반 사실을 자진 신고하지 않았거나 고의성이 있다고 판단될 경우
• 위반으로 인해 정보주체의 권리가 실질적으로 침해되었을 경우

과징금의 상한은 위반 행위로 인해 얻은 이익의 최대 3% 이내이며, 이익 산정이 어려울 경우에는 관련 기준 매출액(또는 총수입)의 일정 비율로 산정합니다. 이때 총수입이란 단순 수익이 아닌, 광고비 수입, 회원제 구독료, 제휴 커미션 등 서비스 운영으로 발생한 전체 금액을 기준으로 하기도 합니다. 또한 개보위는 「행정처분기준」 고시를 통해 각 위반 유형에 대한 기본 과징금 범위와 가중·감경 사유를 명시하고 있으며, 이 기준에 따라 실제 부과 금액이 조정됩니다.

 

과징금 산정 요소 – 8가지 기준이 있습니다.

개보위는 과징금 부과 시 단순히 위반 사실만이 아니라, 다양한 정성적·정량적 요소를 함께 고려합니다. 대표적으로는 다음과 같은 8가지 기준이 있습니다:

1. 위반의 중대성: 민감정보/고유식별정보의 수집 여부, 고의성 여부
2. 정보주체 수: 영향을 받은 이용자 수가 많을수록 가중
3. 자진 신고 여부: 스스로 신고한 경우 감경
4. 수익 규모: 위반 행위로 얻은 금전적 이익이 크면 가중
5. 재발 여부: 과거 동일한 위반 이력이 있는 경우 중복 제재
6. 보안 조치 수준: 사전 보안 조치를 어느 정도 했는지
7. 시정 조치의 성실성: 사후 조치를 신속히 했는지 여부
8. 사업자의 규모 및 매출: 중소기업·개인 사업자는 상대적으로 감경

이러한 기준은 실제 조사보고서 및 위원회 회의록에서도 반복적으로 언급되며, 같은 위반이라도 대응 방식에 따라 과징금 수백만 원에서 수억 원까지 차이가 납니다. 특히 개인정보 유출사고의 경우, 유출 규모와 기업의 초기 대응이 가장 중요한 판가름 요소가 됩니다.

 

최근 과징금 사례 분석 – 실제 금액과 사유

사례 1: 외국계 광고 플랫폼 A사 – 과징금 8억 원

• 사유: 사용자의 동의 없이 온라인 행태정보를 수집하여 타깃 광고에 사용
• 위반 항목: 고지 및 동의 미이행, 선택 동의 미분리
• 특이점: 쿠키 기반 추적 구조가 복잡하다는 이유로, 사용자 고지가 누락됨
• 의미: 광고 목적의 데이터 수집이 동의 기반이 아니면 고위험으로 간주됨

사례 2: 쇼핑몰 B사 – 과징금 2억 원

• 사유: 고객 주문정보를 암호화 없이 DB에 저장, 외부 유출 발생
• 위반 항목: 기술적 보호조치 미비, 비밀번호 단방향 암호화 미적용
• 특이점: 관리자 계정 노출, 접근 제한 기능도 미설정
• 의미: 보안조치 미흡은 사고 유무와 상관없이 제재 대상

사례 3: 앱 서비스 C사 – 과징금 5천만 원

• 사유: 개인정보처리방침에 제삼자 제공 내역 누락
• 위반 항목: 고지 의무 위반, 사용자 권리 안내 미흡
• 특이점: 메타 픽셀, 애널리틱스 도구를 사용하면서도 고지 안 함
• 의미: 글로벌 도구 연동 시에도 국내법 기준 고지 필요

이러한 사례들은 과징금 부과가 단지 대기업만의 문제가 아니라, 중소기업·개인 웹사이트도 충분히 대상이 될 수 있다는 점을 보여줍니다.

 

실무 대응 전략 – 과징금 피하기 위한 최소 조치

서비스 운영자나 마케터, 블로거, 앱 개발자 등은 다음과 같은 전략을 사전에 실행해야 합니다:

1. 개인정보처리방침 정비: 구체적인 수집 항목, 보유 기간, 제삼자 제공 명시
2. 동의 체계 이중화: 회원가입 외에 광고용·행태분석용 별도 동의 분리
3. 보안 기술 적용: 암호화, 접근 통제, 로그 관리, 백업 시스템 반드시 적용
4. 광고 도구 리스트 관리: 메타 픽셀, 구글 애널리틱스 등 도구 목록 작성 및 고지
5. 정기 점검: 개인정보보호위원회에서 제공하는 자가점검표 활용
6. 정보 유출 사고 대응 매뉴얼 마련: 사고 발생 시 신속 대응, 신고, 공지 체계 확보

특히 구글 애드센스를 운영 중인 블로그나 웹사이트는, 광고 도구로 인해 사용자 데이터가 수집되는 구조라면 반드시 해당 수집 항목과 목적을 처리방침에 명시하고, 사용자 동의를 사전에 확보해야 합니다. 이를 누락할 경우 승인 이후에도 광고 정지, 계정 경고 등의 불이익이 발생할 수 있습니다.

 

한국의 개인정보보호위원회는 단순한 고지 위반이나 보안 부실 행위에 대해서도 실질적 과징금을 부과하고 있으며, 위반 유형이 단순하더라도 기업의 대응 태도나 시스템 설계에 따라 수천만 원에서 수억 원까지 제재 수위가 크게 달라질 수 있습니다. 따라서 실무자는 법 위반 가능성을 미연에 방지하기 위해, 개인정보 보호 정책, 사용자 동의 체계, 기술적 보호 조치, 처리방침 고지 내용 등을 정기적으로 점검하고, 글로벌 도구 연동 시에도 국내법 기준에 맞춰 대응하는 자세가 중요합니다.