개인정보 '사는 것'도 처벌한다

2월 25일 범정부 보이스피싱 대응 TF 회의에서 개인정보보호위원회가 하나 발표했다. 불법 유통된 개인정보를 구매·유통하는 행위를 처벌할 수 있는 법적 근거를 신설하겠다는 것이다.

한 줄로 보면 별것 아닌 것 같지만, 실무 관점에서 이건 꽤 큰 변화다.

지금까지의 구멍

현행 개인정보보호법은 '수집'과 '제공' 쪽에 처벌 조항이 집중돼 있다. 정보주체 동의 없이 개인정보를 수집하거나 제3자에게 제공하면 5년 이하 징역 또는 5천만 원 이하 벌금이다.

그런데 문제는 '구매' 쪽이다.

2024년 대법원이 개인정보 400만 건을 구매한 텔레마케팅 사업자에게 무죄를 선고한 적이 있다. 이유가 뭐였냐면, 출처와 유통 경위를 모른 채 단순 구매한 것만으로는 "거짓이나 부정한 수단으로 취득"한 것이 아니라는 것이다.

쉽게 말하면, 불법으로 수집된 개인정보라는 걸 '몰랐다'고 하면 구매자를 처벌할 근거가 없었다. 개인정보 브로커 생태계에서 중간 유통자와 최종 구매자는 사실상 처벌 사각지대에 있었던 셈이다.

개인정보위가 예고한 건 두 가지다.

첫째, 불법 유통 개인정보의 구매·유통 행위 자체에 대한 처벌 근거 신설. '출처를 몰랐다'는 항변이 더 이상 먹히지 않게 만들겠다는 의미다.

둘째, 불법 유통 정보를 수집·분석하는 법적 근거 도입. 개인정보위가 유통 현황을 직접 파악하고 선제적으로 대응할 수 있는 권한을 확보하겠다는 것이다.

아직 구체적인 조문은 나오지 않았다. 하지만 방향은 분명하고, 솔직히 진작 나왔어야 할 변화라고 본다. 공급(수집·제공)만 겨냥하던 규제가 수요(구매·유통)까지 확장되는 거다.

보이스피싱 대응 TF 맥락에서 나온 발표라 "우리 회사랑은 관계없는 얘기"로 넘기기 쉽다. 하지만 컨설팅 현장에서 보면, 외부 데이터를 소싱하는 기업이 생각보다 많다.

마케팅용 DB 구매, 영업 리드 리스트 확보, 외부 업체로부터의 고객 정보 연계 — 이런 업무를 하고 있다면 지금부터 점검이 필요하다.

법 개정이 되면 "우리는 정당한 업체에서 샀다"는 주장만으로 부족해질 수 있다. 해당 데이터가 어떻게 수집됐는지, 정보주체 동의를 거쳤는지까지 구매자가 확인해야 하는 시대가 온다.

보이스피싱 피해가 4개월 연속 감소했다는 게 이날 TF의 메인 성과였지만, 실무자 입장에서는 개인정보 구매·유통 처벌 근거 신설이 더 오래 영향을 미칠 변화다.

출처