개인정보 보호법 제64조의2
From IT Wiki
내용(신설 2023.3.14)
- 제64조의2(과징금의 부과)
- ① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.
- 1. 제15조제1항, 제17조제1항, 제18조제1항ㆍ제2항(제26조제8항에 따라 준용되는 경우를 포함한다) 또는 제19조를 위반하여 개인정보를 처리한 경우
- 2. 제22조의2제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 법정대리인의 동의를 받지 아니하고 만 14세 미만인 아동의 개인정보를 처리한 경우
- 3. 제23조제1항제1호(제26조제8항에 따라 준용되는 경우를 포함한다)를 위반하여 정보주체의 동의를 받지 아니하고 민감정보를 처리한 경우
- 4. 제24조제1항ㆍ제24조의2제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 고유식별정보 또는 주민등록번호를 처리한 경우
- 5. 제26조제4항에 따른 관리ㆍ감독 또는 교육을 소홀히 하여 수탁자가 이 법의 규정을 위반한 경우
- 6. 제28조의5제1항(제26조제8항에 따라 준용되는 경우를 포함한다)을 위반하여 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우
- 7. 제28조의8제1항(제26조제8항 및 제28조의11에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보를 국외로 이전한 경우
- 8. 제28조의9제1항(제26조제8항 및 제28조의11에 따라 준용되는 경우를 포함한다)을 위반하여 국외 이전 중지 명령을 따르지 아니한 경우
- 9. 개인정보처리자가 처리하는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우. 다만, 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손되지 아니하도록 개인정보처리자가 제29조(제26조제8항에 따라 준용되는 경우를 포함한다)에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니하다.
- ② 보호위원회는 제1항에 따른 과징금을 부과하려는 경우 전체 매출액에서 위반행위와 관련이 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정한다.
- ③ 보호위원회는 제1항에 따른 과징금을 부과하려는 경우 개인정보처리자가 정당한 사유 없이 매출액 산정자료의 제출을 거부하거나 거짓의 자료를 제출한 경우에는 해당 개인정보처리자의 전체 매출액을 기준으로 산정하되 해당 개인정보처리자 및 비슷한 규모의 개인정보처리자의 개인정보 보유 규모, 재무제표 등 회계자료, 상품ㆍ용역의 가격 등 영업현황 자료에 근거하여 매출액을 추정할 수 있다.
- ④ 보호위원회는 제1항에 따른 과징금을 부과하는 경우에는 위반행위에 상응하는 비례성과 침해 예방에 대한 효과성이 확보될 수 있도록 다음 각 호의 사항을 고려하여야 한다.
- 1. 위반행위의 내용 및 정도
- 2. 위반행위의 기간 및 횟수
- 3. 위반행위로 인하여 취득한 이익의 규모
- 4. 암호화 등 안전성 확보 조치 이행 노력
- 5. 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손된 경우 위반행위와의 관련성 및 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조ㆍ훼손의 규모
- 6. 위반행위로 인한 피해의 회복 및 피해 확산 방지 조치의 이행 여부
- 7. 개인정보처리자의 업무 형태 및 규모
- 8. 개인정보처리자가 처리하는 개인정보의 유형과 정보주체에게 미치는 영향
- 9. 위반행위로 인한 정보주체의 피해 규모
- 10. 개인정보 보호 인증, 자율적인 보호 활동 등 개인정보 보호를 위한 노력
- 11. 보호위원회와의 협조 등 위반행위를 시정하기 위한 조치 여부
- ⑤ 보호위원회는 다음 각 호의 어느 하나에 해당하는 사유가 있는 경우에는 과징금을 부과하지 아니할 수 있다.
- 1. 지급불능ㆍ지급정지 또는 자본잠식 등의 사유로 객관적으로 과징금을 낼 능력이 없다고 인정되는 경우
- 2. 본인의 행위가 위법하지 아니한 것으로 잘못 인식할 만한 정당한 사유가 있는 경우
- 3. 위반행위의 내용ㆍ정도가 경미하거나 산정된 과징금이 소액인 경우
- 4. 그 밖에 정보주체에게 피해가 발생하지 아니하였거나 경미한 경우로서 대통령령으로 정하는 사유가 있는 경우
- ⑥ 제1항에 따른 과징금은 제2항부터 제5항까지를 고려하여 산정하되, 구체적인 산정기준과 산정절차는 대통령령으로 정한다.
- ⑦ 보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 이를 내지 아니하면 납부기한의 다음 날부터 내지 아니한 과징금의 연 100분의 6에 해당하는 가산금을 징수한다. 이 경우 가산금을 징수하는 기간은 60개월을 초과하지 못한다.
- ⑧ 보호위원회는 제1항에 따른 과징금을 내야 할 자가 납부기한까지 내지 아니한 경우에는 기간을 정하여 독촉하고, 독촉으로 지정한 기간 내에 과징금과 제7항에 따른 가산금을 내지 아니하면 국세강제징수의 예에 따라 징수한다.
- ⑨ 보호위원회는 법원의 판결 등의 사유로 제1항에 따라 부과된 과징금을 환급하는 경우에는 과징금을 낸 날부터 환급하는 날까지의 기간에 대하여 금융회사 등의 예금이자율 등을 고려하여 대통령령으로 정하는 이자율을 적용하여 계산한 환급가산금을 지급하여야 한다.
- ⑩ 보호위원회는 제9항에도 불구하고 법원의 판결에 따라 과징금 부과처분이 취소되어 그 판결이유에 따라 새로운 과징금을 부과하는 경우에는 당초 납부한 과징금에서 새로 부과하기로 결정한 과징금을 공제한 나머지 금액에 대해서만 환급가산금을 계산하여 지급한다.
[본조신설 2023. 3. 14.]
해설
관련 판례
['개인정보 유출' 위메프 18억대 과징금 취소소송 승소 확정]
2018년 11월 위메프의 '블랙프라이스데이' 이벤트 과정에서 쇼핑몰 이용자 20명의 개인정보가 다른 이용자 29명에게 노출되는 사고가 발생했다. 당시 이벤트는 별도의 페이지에 한시적으로 접속이 가능했는데, 캐시 정책을 잘못 설정하면서 쇼핑몰 이용자 20명의 개인정보가 노출된 것이다. 현장조사를 실시한 방송통신위원회는 위메프가 정보통신망법을 위반했다고 판단, 과징금 18억5200만 원과 시정명령 부과 처분을 의결했다. 이후 방통위 사무 중 개인정보보호 사무는 개인정보보호위원회에 승계됐다. 위메프는 과징금 처분에 불복해 개인정보위를 상대로 취소소송을 냈다.
...(중략)...
대법원도 "과징금을 산정하기 위한 관련 매출액은 해당 개인정보 데이터베이스를 보유·관리하는 서비스인 위메프 쇼핑몰 서비스 전체의 매출액으로 봐야한다"며 "원심의 매출액 계산은 잘못됐다"고 판시했다. 다만 "이같은 사정을 감안하더라도 이 사건 과징금액은 제재적 성격이 지나치게 강조돼 위반행위의 위법성의 정도에 비해 과중하게 산정됐다. 과징금 처분에 재량권을 일탈·남용한 잘못이 있다고 본 원심의 결론은 정당하다"면서 원심을 확정했다.