새로운 소식

■ 기술적보호조치를 위반한 CSO , CEO는 형사처벌이 되는가에 대한 최근 판례 ■CSO/CPO의 보편적 입장 : 고의로 유출시킨 것도 아닌데 우연한 사고에 대한 형사 책임 부담은 부당하며 경영에 대한부담감 문제 제기 반발 ■ 위 사안에 대한 국내 여행사 개인정보 유출사건 형사소송 사례 1) 국내 여행사 중앙관리프로그램에 침투 → DB관리자의 업무 PC에 악성 프로그램 설치 → DB 관리자의 개인 노트북 접속 → 바탕화면에 평문엑셀에 저장된 ID/PW 확보 → 이를 통해 개인정보 DB에 침투하여 이메일·주민번호·여권번호 등 고객정보 3만4357건 유출 2) 위 경우 개인정보 기술적 보호 조치 가운데 비밀번호 암호화 조치 및 외부 접속시 안전한 인증수단 위반 사항이 해당 사건과 인과관계 성립되어 CSO/CEO 기소. 3) 대법원은 개인정보보호조치 의무 위반이 본 사건과 인과관계가 성립되지 않는 다는 주장을 인정하지 않음 4) 하급 법원 또한 다수의 ID/PW를 입력하는 방법으로 접근을 통제했다 하더라도 "안전한 인증수단"을 적용했다 보기 어렵다며 해당 주장 배척 ■ 결론 여행사에 적용된 망법 73조1호 (고의범 처벌 규정) 에 대해 과실적 요소를 띠는 분실, 유출, 도난은 여행사가 '고의'로 위반했다고보기 어렵다는 여행사 주장에 대하여 법원은 "고의"에 대한 해석 범위에서 "개인정보의 분실/도난/유출/위조/변조/ 또는 훼손 이라는 결과 발생에 대해 → 의도자에 의하여 의무조치 위반상태가 개인정보 침해로 성립된 것 또한 여행사의 "고의"로 판단하고 있음을 판시하는 결과임. ※ 주요 키워드는 "고의" 로서 ``` 직접적인 고의, 미필적 고의 뿐만 아니라 의무 조치가 위반된 상태에서 발생된 사건의 인과관계 성립 또한 "고의" 로 적용 하여 처벌 되는 사례라고 볼 수 있음. ```