Chloe

💥 2014년 카드 3사 개인정보 유출 사건

📅 사건 개요

• 발생 시점: 2014년 1월 보도, 실제 유출은 2012~2013년 사이 진행
• 유출 규모: 총 1억 400만 건 (약 1,040만 명)

🧑‍💻 범인은 누구?

• **신용평가회사 코리아크레딧뷰로(KCB)**의 전산 외주 용역 직원이
  → 카드사 내부 전산 시스템에 접근
  → 고객 정보를 USB에 저장해 유출

유출된 정보:

• 이름, 주민등록번호, 전화번호, 신용등급, 카드번호 일부, 계좌번호, 직장정보 등…

🔥 사실상 “실명 인증된 개인의 모든 정보”가 빠져나간 수준이었어요.

😱 왜 충격적이었나?

1. **내부자(협력업체 직원)**가 유출한 점
2. 1,000만 명 이상 피해는 역대 최대
3. 금융권의 보안 신뢰도가 완전히 붕괴됨
4. "주민번호를 더 이상 믿을 수 없다"는 여론 폭발

⚖️ 그래서 어떤 변화가 생겼나?

📌 법 개정 및 제도 변화

• ▶️ 개인정보보호법 개정 (2014~2015년):
  • 대통령 소속 개인정보보호위원회의 총괄·조정 권한 강화
  • 징벌적 손해배상 도입: 고의·중과실 시 손해액의 최대 3배까지 배상
  • 법정 손해배상제 도입: 실제 피해 입증 없어도 일정 금액 배상 가능
  • 불법 유통 수익 몰수·추징 가능
  • 영리 목적 유출 시 형사처벌 강화

📌 실무 변화

• 카드사 및 금융권: 외주 인력 접근 제한 강화
• 공공기관 및 민간: 주민번호 수집 금지 전면화 (2014년 8월 시행)

🤔 왜 이렇게 바꿨을까?

1️⃣ 법령 체계 일원화와 충돌 방지 목적

• 기존에는 개인정보 관련 규제가 여러 법에 나뉘어 있어서 법 간 충돌이 많았음
• 개정 후에는:
• "다른 법에서 특별히 정한 바가 있으면, 그 법을 우선 적용"
  → 유연하게 조정할 수 있는 여지 확보

2️⃣ 행정 편의와 적용 유연성

• 데이터가 산업·금융·의료·교통 등 여러 분야로 퍼지면서
  특정 산업 특화 법률에서 다르게 규정할 수 있도록 문을 열어둔 것

✅ 현재 상황은?

• 제6조 개정은 2023년에 이루어졌고,
  **"다른 법률에 특별한 규정이 있는 경우"**라는 문구가 확장되었어요.
• 공식적으로 이 조항이 적용되어서 피해자 보호가 줄어들었다는 판례나 이슈는 아직 없음
• 그러나 법조계나 시민단체에서는 “이 문구는 위험하다”는 비판이 실제 존재

🤔 왜 이렇게 바꿨을까?

1️⃣ ‘처리’라는 용어가 훨씬 포괄적이기 때문

• ‘수집·유출·오용·남용’은 구체적이긴 하지만 일부 행위만 한정됨
• ‘처리’는 개인정보 보호법 제2조에 정의된 개념인데
• “수집, 저장, 보유, 가공, 검색, 제공, 파기 등 일련의 모든 행위”
  → 즉, 오히려 법 적용 범위를 넓히기 위한 선택임

✍️ ✅ 수집/유출/오용/남용을 다 포함하면서도
다른 행위들까지 포괄할 수 있는 "처리"라는 단어를 써서
모든 상황에 적용 가능하게 만든 것

2️⃣ 현대적인 데이터 환경 반영

• 과거에는 유출·오용 문제가 주로 이슈였지만
• 지금은 AI 학습, 자동화된 결정, 가명정보, API 연동 등 ‘처리’ 방식 자체가 위험 요소
• 따라서 "특정 위협(유출 등)"이 아니라 "처리 전반에 대한 책임"을 강조하기 위해 표현을 수정

3️⃣ 법문 체계의 통일성과 추상성 확보

• 법령 전체에서 ‘개인정보 처리’라는 용어가 기준이 되기 때문에,
  제1조에서도 그 틀을 맞춘 것
• 너무 구체적인 예시(유출, 오용 등)를 들면, 나중에 빠진 요소가 법취지에 들어오지 못함