뉴스 > 뉴스속보

뉴스속보

[스타트업 법률 가이드] 개인정보 유출 통지·신고 절차 미리 알기
프라임경제 | 2025-09-09 09:59:51

[프라임경제] 최근 연이어 보도되는 개인정보 유출 사건은 개인정보 보호의 중요성을 다시금 환기시키고 있다. 흔히 이런 문제는 대기업이나 금융기관의 몫으로만 생각하기 쉽지만, 스타트업도 개인을 상대로 사업을 영위하거나 고용된 근로자의 개인정보를 관리한다면 개인정보 유출 문제에서 자유로울 수 없다.

개인정보 보호법은 업무를 목적으로 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 모든 주체를 '개인정보처리자'로 규정하고, 이들에게 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 취해야 할 안전조치의무를 부과하고 있다(개인정보 보호법 제29조). 개인정보를 처리하는 이상 소규모 기업이거나 소규모의 개인정보를 다룬다고 하여 안전조치의무를 면하지 않는다.

이번 기고문에서는 개인정보가 유출됐을 때 개인정보처리자로서 기업이 부담하는 통지 의무와 신고 의무를 간략하게 소개하고자 한다. 글의 내용은 개인정보보호위원회가 2023년 3월 발간한 '개인정보 유출 등 사고 대응 매뉴얼'을 참조했다. 이 매뉴얼은 통지 의무와 신고 의무의 해석뿐만 아니라 개인정보 보호책임자의 내부 대응체계 구축 등 구체적인 조치 사항까지 안내하고 있다는 점을 함께 밝혀 둔다.

◆ 개인정보 유출사고 발생 시 통지 의무와 신고 의무의 구별

개인정보 또는 개인신용정보가 유출된 경우 기업은 통지 의무와 신고 의무를 구분해 이행해야 한다. 통지 의무는 해당 정보주체에게 유출 사실을 알리는 것이고, 신고 의무는 개인정보보호위원회, 한국인터넷진흥원, 또는 금융위원회·금융감독원과 같은 유관기관에 유출 사실을 알리는 것이다.

통지 및 신고 의무를 규율하는 법은 개인정보 보호법 제34조와 '신용정보의 이용 및 보호에 관한 법률'(이하 신용정보법) 제39조의4인데, 일반적으로는 개인정보 보호법이 적용되고 개인신용정보를 다루는 신용정보회사등에는 신용정보법 제39조의4가 특별법으로서 우선 적용된다.

개인신용정보와 관련해 금융위원회의 감독을 받는 신용정보회사등은 이중 금융위원회 또는 금융감독원에 신고해야 하고, 그외 일반적인 개인정보처리자와 금융위원회의 감독을 받지 않는 신용정보회사등(상거래기업 및 법인)은 개인정보보호위원회 또는 한국인터넷진흥원에 신고해야 한다.

◆ 단 한 명이라도 개인정보 '유출' 통지 의무 이행해야

통지 의무는 단 한 명의 개인정보가 분실·도난·유출(이하 유출 등)된 경우에도 발생한다. 개인정보처리자로서 기업은 유출 등의 발생 사실을 알게 된 때로부터 72시간 내에 정보주체에게 개별 통지를 해야 한다. 개인정보의 확산이나 추가 유출등을 방지하기 위해 긴급한 보안 조치가 필요한 경우에는 우선 해당 조치를 취한 뒤 지체 없이 통지할 수 있다.

대규모 유출로 인해 72시간 내에 전체 개별 통지가 기술적으로 불가능한 경우에는, 홈페이지 팝업창 등을 통해 방문하는 이용자가 모두 알 수 있도록 게시한 후 추가적으로 해당 정보주체에게 개별적으로 통지하는 방식으로 의무를 이행할 수 있다.

통지에는 유출등이 발생한 개인정보의 항목, 시점과 경위, 정보주체가 취할 수 있는 피해 최소화 방법, 기업의 대응조치 및 피해 구제절차, 그리고 담당부서의 연락처가 포함돼야한다. 일부 내용이 확인되지 않았더라도 우선 가능한 범위에서 통지하고 확인되는 대로 추가 통지를 해야 한다. 구체적 사실관계 파악을 이유로 정보주체에게 유출 등 사실 통지를 지연하는 경우에는 3천만원 이하의 과태료가 부과될 수 있음에 유의해야 한다.

◆ 신고 의무는 유출된 개인정보의 유형, 유출 등의 경로 및 규모에 따라 나뉜다

신고 의무는 유출된 개인정보의 유형, 유출등의 경로 및 규모에 따라 발생 여부가 결정된다. 1000명 이상의 개인정보가 유출됐거나, 민감정보(정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보) 또는 고유식별정보(주민등록번호, 여권번호 등)가 유출됐거나, 해킹 등 외부 불법 접근으로 인한 유출이 발생한 경우에는 개인정보 보호법에 따라 신고 의무가 발생한다.

이때는 개인정보처리자로서 기업이 개인정보보호위원회나 한국인터넷진흥원에 신고해야한다. 유출된 개인정보가 회수·삭제돼 정보주체의 권익 침해 가능성이 현저히 낮아진 경우에는 예외적으로 신고하지 않을 수 있다. 신고 의무도 통지 의무와 동일하게 유출등이 발생한 사실을 알게 된 때로부터 72시간 내에 이행해야하고, 신고하는 내용은 통지 사항과 같다.

전술한 바와 같이 개인신용정보와 관련하여 신용정보회사등에는 특별법으로서 신용정보법 제39조의4가 우선 적용되는데, 1만명 이상의 개인신용정보가 업무 목적 외로 누설된 경우에는 신용정보법에 따른 신고 의무가 발생하고 이 역시 72시간 내에 이행해야 한다.

개인정보 유출은 예방이 최선이지만, 사고가 발생했을 때 어떻게 대응하느냐에 따라 피해의 규모와 법적 위험이 달라질 수 있다. 따라서 내부적으로 유출 대응 절차를 미리 숙지하고 마련해 두는 것이 중요하다. 만약 사고가 발생한다면 법이 정한 72시간 내 통지와 신고 의무를 정확히 이행하는 것이 실무적으로 가장 기본적이면서도 핵심적인 대응이 된다. 지금부터라도 내부 점검과 대응 체계를 마련해 두는 것이 불필요한 법적 위험을 피하고 기업의 신뢰를 지키는 가장 확실한 방법이다.