정보통신 기술의 향상과 온라인 플랫폼을 통한 전자상거래의 보편화로 인하여 개인정보 유출 사고가 사회적 문제로 대두되고 있다. 현행「개인정보 보호법」에 따르면 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등은 개인정보가 분실·도난·유출(이하‘개인정보 유출’이라 한다)되었음을 알게 되었을 때에는 지체없이 해당 정보주체에게 △ 개인정보 유출이 된 항목 △ 개인정보 유출이 된 시점과 그 경위 △ 대응조치 및 피해 구제절차 등에 대하여 알리고, 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 위조·변조·훼손·유출 등이 된 경우에 5년 이하의 징역 또는 5천만원 이하의 벌금에 처하도록 규정하고 있다.

*‘개인정보 유출’이란 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 개인정보가 해당 개인정보처리자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 말한다.
*‘정보주체’란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

이와 관련하여 세계 각국의 개인정보 유출에 대한 처벌 규정은 어떠한지 살펴보고자 한다.

대만
대만의「개인정보 보호법」제48조제2항 및 제3항의 규정에 따라 개인정보파일을 보유한 비공공기관이 안전조치를 취하지 아니하여 개인정보가 도난·변경·훼손·파기 및 유출된 경우, 중앙목적사업주관기관 또는 직할시, 현(시)정부는 2만 신대만달러(한화 약 87만원) 이상 200만 신대만달러(한화 약 8700만원) 이하의 과태료를 부과하고, 기한 내에 시정하도록 명령한다. 기한 내에 시정하지 아니하거나 사안이 엄중한 경우, 15만 신대만달러(한화 약 650만원) 이상 1500만 신대만달러(한화 약 6억 5000만원) 이하의 과태료를 부과한다.

독일
독일은 유럽연합의 「개인정보보호규정(GDPR)」과 이를 국내법으로 구체화한 「연방정보보호법(BDSG)」을 통해 개인정보 보호를 규율하고 있다. GDPR 제33조 및 제34조에 따르면, 개인정보 처리자는 개인정보 침해 사실을 인지한 때로부터 72시간 이내에 감독기관에 이를 통지해야 하며, 해당 침해가 자연인의 권리와 자유에 중대한 위험을 초래할 가능성이 큰 경우에는 정보주체에게도 지체 없이 알려야 한다. 통지에는 유출된 정보의 범위, 침해로 인한 예상 결과, 관련 대응 조치 등이 포함되어야 한다. GDPR을 위반할 경우 제83조에 따라 최대 2천만유로(한화 약 322억원) 또는 전 세계 연간 총매출의 4퍼센트 중 더 큰 금액의 과징금이 부과될 수 있다. 또한, 타인의 개인정보를 무단으로 상업적 목적으로 사용한 경우에는 BDSG 제42조에 따라 최대 3년의 징역 또는 벌금형에 처해질 수 있다.

러시아
러시아「행정위반법」제13.11조에 따르면, 러시아연방 법률에 명시되지 아니한 상황에서 개인정보를 처리하거나 개인정보의 수집 목적에 부합하지 아니한 목적으로 개인정보를 처리하는 경우 일반 국민은 2,000~6,000루블(약 3만4000원~10만원), 공무원은 1만~2만 루블(약 17만~34만원), 법인은 6,000~10만 루블(약 10만~171만원)에 해당하는 벌금이 부과된다. 또한, 러시아는 작년 말「형법」제272.1조 개정을 통하여, 개인정보가 포함된 전자정보를 부당하게 취득하여 불법 이용, 수집, 전달 및 저장하는 경우 최대 30만 루블(약 514만원)의 벌금 또는 징역이나 강제 노역 최대 4년에 처하도록 처벌 규정을 강화한 바 있다.

말레이시아
말레이시아에서는 개인정보 유출 시 보안원칙을 위반한 경우「2010 개인정보 보호법」제5조에 따라 100만 링깃(한화 약 2억 9천만원) 이하의 벌금에 처하거나 3년 이하의 징역에 처할 수 있고 이를 병과할 수 있다. 보안원칙에는 개인정보관리자(Data Controller)*가 개인정보의 분실, 오용, 변형, 무단접근, 우발적 접근 및 유출, 변경 또는 파기로 인하여 발생할 수 있는 피해를 방지할 수 있도록 실질적인 조치를 취하여야 한다는 규정이 포함되어 있다. 또한, 개인정보관리자는 상거래 과정에서 개인정보 침해 사례가 발생하는 경우 개인정보보호국(PDP) 국장에게 즉시 보고해야 하는 의무가 있으며, 정보주체에게도 지체 없이 통지하여야 한다. 이를 따르지 않으면 2년 이하의 징역 또는 25만 링깃(한화 약 7천 4백만원) 이하의 벌금에 처하거나 이를 병과할 수 있다.

*개인정보관리자(Data Controller)는 2024년 개정 이전에 사용되었던 개인정보사용자(Data User)를 대체하는 용어이며, 개인정보처리와 관련하여 전반적인 책임을 지고, 정보의 수집, 사용, 저장, 삭제 등을 관리한다.

미국
미국에서는 개인정보가 수집되는 상황에 따라 다른 법률이 적용된다. 연방의 「개인정보 보호법」은 연방정부기관에 적용되는데, 연방정부가 수집하는 개인정보를 무단으로 유출하거나 법에서 정하는 관리 절차를 위반하는 행위는 경범죄이며 이와 같이 위법하게 직무를 수행한 공무원이나 직원에 대해서는 5천달러(한화 약 700만원) 이하의 벌금에 처할 수 있다. 상거래의 일환으로 소비자의 개인정보를 수집하는 사업자의 개인정보 보호 의무에 대해서는 주마다 다른 법제가 적용된다. 캘리포니아주는「캘리포니아주 소비자개인정보보호법 2018」에서 일정 규모 이상의 사업자에게 소비자 개인정보 보호 의무를 부여한다. 해당 사업자는 그러한 정보가 유출되지 않도록 보안을 유지하는 한편, 그러한 정보를 제3자에게 제공하거나 판매할 경우에는 그 사실을 소비자에게 사전에 고지하고, 소비자의 자기결정권을 보호하는 조치를 해야 한다. 이 법을 위반하는 사업자는 그 경중에 따라 위반 건당 2천 5백달러(한화 약 350만원)에서 7천 5백달러(한화 약 천만원) 이하의 과태료 처분을 받을 수 있다.

베트남
베트남「개인정보 보호에 관한 시행령」에서는 정보주체의 동의 없이 개인정보를 수집·이전 및 매매한 경우 위반 정도에 따라 징계, 행정처분 또는 형사처벌을 받도록 규정하고 있다. 개인정보 유출에 대한 명확한 처벌 규정은 아직 마련되어 있지 않지만,「우편, 통신, 무선주파수, 정보기술 및 전자거래 분야의 행정위반 처벌 규정 시행령」제102조에 따르면 통신이용자의 개인정보 불법 매매·교환 행위에 대해 최대 7천만동(한화 약 385만원) 이하의 벌금을 부과할 수 있다. 또한, 다른 사람의 컴퓨터망·통신망상 개인정보를 매매·교환 또는 공개하여 특정 액수 이상의 부당이득을 얻거나 손해를 가한 자는「형사법전」제288조에 따라 벌금형, 보호관찰 또는 3년 이하의 징역형에 처할 수 있다.

브라질
2018년 8월 14일에 제정된「개인정보 보호법」제52조에 따르면, 정보처리자가 개인정보 보호법을 위반할 경우, 500만 헤알(한화 약 125억원) 한도 내에서 마지막 회계연도 매출의 최대 2%에 해당하는 금액을 과징금으로 부과받을 수 있으며, 정보처리 활동의 일부 또는 전체가 최대 6개월 동안 중지될 수 있으며 이 기간은 문제 해결 시까지 연장될 수 있다. 또한,「형법」제154-A조에 따라 타인의 컴퓨터에 무단으로 접속하여 개인정보나 기밀 정보를 불법적으로 공개하거나 유출하는 행위는 1년에서 4년의 징역형이나 벌금을 부과받는다.

사우디아라비아
2021년 9월 16일 제정된「개인정보 보호법」제20조에 따르면, 관리자는 유출을 인지한 즉시 해당 사실을 관할당국에 알려야 한다. 민감정보를 유출하여 이 법을 위반한 자는 제35조에 따라 정보주체에 해를 가했거나 사적이익을 목적으로 한 경우에 한하여 2년 이하의 징역 또는 3백만 리얄(한화 약 11억 4천만원) 이하의 벌금형에 처하거나 이를 병과할 수 있다. 국외로 유출한 경우에는 1년 이하의 징역 또는 100만 리얄(한화 약 3억 8천만원) 이하의 벌금형에 처하거나 이를 병과할 수 있다. 그 외 위반사항에 대한 처분은「개인정보 보호법」제36조에 따라 경고 또는 5백만 리얄(한화 약 19억원) 이하의 과징금에 처한다.

싱가포르
싱가포르에서「2012 개인정보 보호법」상 개인정보의 보호, 수집, 사용 및 공개 등에 관한 규정을 위반한 자는 동법 제48J조 따라 1백만 싱가포르달러(한화 약 11억원) 이하의 과징금이나 제51조에 따라 10만 싱가포르달러(한화 약 1억원) 이하의 벌금 또는 12개월 이하의 징역형(병과 가능)에 처할 수 있다. 단, 연간 국내 매출이 1천만 싱가포르달러(한화 약 108억원)를 초과하는 법인 등의 단체가 규정을 위반하는 경우 과징금 상한은 해당 연 매출의 10% 또는 1백만 싱가포르달러(한화 약 11억원) 중 더 큰 금액이 된다.

우즈베키스탄
2019년 7월 2일 제정된 우즈베키스탄「개인정보법」제27조에 따르면, 개인정보 소유자, 처리자 및/또는 제3자는 △ 개인정보 주체의 사생활 보호 △ 개인정보의 완전성·안전성·기밀성 보장 △ 개인정보의 불법 처리 방지 △ 개인정보를 보호하기 위한 법적·조직적·기술적 조치를 취하여야 한다. 불법적인 개인정보 유출, 사용, 제공, 전송, 파기 또는 정보 기술을 사용하여 개인정보 관련 규정을 위반한 경우 우즈베키스탄「행정책임법」제46조의2에 따라 기본회계액의 50배 이하의 과징금이나「형법」제141조의2에 따라 3년 이하의 징역에 처할 수 있다.

*기본 회계액이란 우즈베키스탄에서 최저임금 산정 등에 사용되는 액수로 2025년 기준 375,000숨(한화 약 41 500원)이다.

인도네시아
인도네시아는 자신이나 타인의 이익을 위하여 타인의 개인정보를 무단으로 수집, 유출, 이용하거나 위조하는 경우 최장 6년 이하의 징역 및/또는 60억 루피아(한화 약 5억원) 이하의 벌금에 처할 수 있다. 법인이 이러한 범죄를 저지른 경우, 형법에서 정한 벌금의 최대 10배까지 부과할 수 있다. 경우에 따라서는 법인의 사업 허가 취소, 영업 정지 등의 행정처분도 병과할 수 있으며, 법인의 경영자, 수익적 소유자 등도 처벌할 수 있다.

일본
일본에서는「개인정보보호에 관한 법률」에 따른 개인정보취급사업자 등이 법 규정에 위반하여 개인정보 등을 부적절하게 취급하는 경우, 개인정보보호위원회는 필요에 따라 해당 개인정보취급사업자 등이나 그 밖의 관계자에게 보고 요구 또는 현장검사를 실시하고, 해당 개인정보취급사업자 등에게 지도 또는 조언을 하거나 권고나 시정명령을 할 수 있다. 이러한 보고 요구 또는 현장검사에 따르지 아니한 경우나 허위 보고를 한 경우에는 50만엔(한화 약 500만원) 이하의 벌금이 부과되며, 명령을 위반한 경우에는 개인정보보호위원회가 그 내용을 공표할 수 있고, 1년 이하의 징역 또는 100만엔(한화 약 1천만원) 이하의 벌금이 부과될 수 있다. 또한, 개인정보취급사업자나 그 종업원(이었던 자 포함)이 그 업무에 관해 취급한 개인정보데이터베이스 등(그 전부 또는 일부의 복제 또는 가공을 포함)을 자기나 제3자의 부정한 이익을 도모할 목적으로 제공 또는 도용한 때에는 1년 이하의 징역 또는 50만엔 이하의 벌금이 부과될 수 있다.

중국
2021년 8월 20일 제정된 중국「개인정보 보호법」제66조에 따르면 개인정보를 불법적으로
처리하거나 개인정보 보호 의무를 다하지 않은 경우, 유관부서에서 시정명령을 내린다. 시정하지 않는 경우 1백만 위안(한화 약 1억 9천만 원) 이하의 과태료를 부과한다. 개인정보 불법 처리에 직접적인 책임이 있는 담당자에게 1만 위안(한화 약 197만원) 이상 10만 위안(한화 약 1,979만원) 이하의 과태료를 부과한다. 아울러 개인정보를 불법적으로 처리한 어플을 대상으로 서비스 제공 일시정지 또는 종료 명령을 내린다.

칠레
2024년 12월 13일 공포된 칠레의「개인정보 보호법」은 개인정보에 대한 △접근권 △삭제권
△반대권 △이동권 △차단권을 보장함으로써, 정보 주체가 자신의 데이터를 보다 능동적으로 통제할 수 있는 법적 기반을 마련했다. 이 법에 따르면, 정보 제공 의무 불이행 등 경미한 위반에 대해서는 서면 경고 또는 최대 5,000 UTM(한화 약 5억 원)의 벌금이 부과될 수 있다. 정당한 법적 근거 없이 개인정보를 처리하거나, 기밀유지 의무를 위반하는 중대한 위반에는 최대 10,000 UTM(한화 약 10억 원)의 벌금이 부과된다. 개인정보를 동의받은 목적과 다른 용도로, 악의적으로 사용하는 등 매우 중대한 위반의 경우, 최대 20,000 UTM(한화 약 20억 원)의 벌금이 부과될 수 있다.

*UTM(Unidad Tributaria Mensual)은 칠레 국세청이 매월 발표하는 월별 조세 단위로, 벌금·세금·수수료 등의 산정 기준으로 사용된다. 환산 금액은 물가 변동 등에 따라 매월 달라질 수 있다.

태국
태국의 개인정보 유출에 대한 처벌은「2019년 개인정보 보호법」에서 민사 · 행정 · 형사적 처벌로 구분하여 규정하고 있다. 이에 따라 민사적으로는 실제 피해액의 최대 2배에 달하는 손해 배상 청구, 행정적으로는 최소 300만 밧(한화 약 1억 2,780만 원) 최대 500만 밧(한화 약 2억 1,290만 원)의 과태료 부과, 형사적으로는 최소 6개월 최대 1년의 징역이나 최소 50만 밧(한화 약 2,129만 원) 최대 100만 밧(한화 약 4,258만 원)의 벌금 또는 징역과 벌금이 병과될 수 있다.

튀르키예
튀르키예「개인정보 보호법」에 따르면, 개인정보가 유출된 경우 개인정보처리자는 그 사실을 신속하게 정보주체와 개인정보보호위원회에 알려야 하며 개인정보처리자가 개인정보보호의 의무를 이행하지 않은 경우에는 1만5천리라(한화 약 56만원) 이상 100만리라(한화 약 3,750만원) 이하의 과태료에 처할 수 있다. 또한 불법으로 개인정보를 타인에게 제공·유포하거나 취득한 자에 대해서는,「튀르키예 형법」제136조 및 제137조에 따라 2년 이상 4년 이하의 징역형이 부과되며 가중처벌도 적용될 수 있다.

프랑스
프랑스에서는 개인정보를 수집하는 모든 경우 유럽연합「개인정보보호규정(GDPR)」에 따라 당사자에게 정보가 수집되는 사실을 고지해야 한다. 당사자의 동의를 구하지 않고 수집 자격이 없는 제3자에게 개인정보를 제공하는 자는「형법전」제226-22조 등에 따라 징역 5년 및 벌금 30만 유로(한화 약 48,000만원)에 처한다. 이러한 정보 유출 또는 제공이 과실 또는 부주의로 일어난 경우에는 징역 3년 및 벌금 10만 유로(한화 약 16,000만원)에 처한다.

호주
호주「1988 개인정보 보호법」은 개인정보침해의 경우 개인에게는 최대 2,000패널티단위*가 부과됨을 규정하고 있다. 심각한 개인정보침해의 경우 동법 제13G조는 개인은 최대 250만 호주달러(한화 약 22억원), 법인의 경우는 최대 5,000만 호주달러(한화 약 440억원), 정보이용을 통해 얻은 이익의 3배, 해당기간 기업의 조정된 매출액의 30% 중 가장 큰 금액의 과징금을 부과하는 민사처벌조항을 규정하고 있다. 또한 응급상황이나 긴급한 경우라도 개인정보공개가 위법한 경우 60패널티단위(한화 약 1,700만원) 또는 1년 이상의 징역 또는 이 둘을 병과함을 규정하고 있다.

* 1패널티단위(penalty unit) = 330 호주달러(한화 약 30만원) (「1914 형법전」 제4AA조 참조)