청호PENTEST - Professional Penetration Testing Company

Select Language
Notice 법령현황 파일
[레벨:30]관리자
1064 2012-07-12
43 [정보보호법바로알기 56] 명함과 개인정보보호
[레벨:30]관리자
1201 2014-03-04
명함 교환 행위는 개인정보 수집·이용에 묵시적 동의, 하지만... 특별 조건·교부 목적 내세웠다면 목적 이외에는 별도 동의 필요 업무상 낯선 사람을 만날 때 처음 하는 행동이 명함(name card, business card)을 건네는 것이다. 명함에는 이름, 전화번호, 이메일 등의 기본적인 개인정보가 포함되어 있고, 명함을 받는 순간 타인의 개인정보를 알게 되는 것이다. 이러한 명함 교환에도 개인정보보호법이 적용되는지에 대해 질문을 받곤 한다. 이러한 의문점을 같이 풀어보기로 한다. 명 함에 관한 구체적인 법규정은 존재하지 않는다. 다만 안전행정부에서 나온 개인정보 표준지침 제6조 제3항은 명함에 관하여 “개인정보처리자가 정보주체로부터 직접 명함 또는 그와 유사한 매체를 제공받음으로써 개인정보를 수집하는 경우, 정보주체가 동의의사를 명확히 표시하거나 그렇지 않은 경우 명함 등을 제공하는 정황에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다”고 기술하고 있다. 명함에 관하여는 위 지침이 일응의 기준이 된다고 볼 수 있다. 개인정보보호법의 적용 여부 명 함을 받아 관리하는 사람이 있다면, 이 사람은 ‘개인정보처리자’에 해당하여 개인정보보호법이 적용되는가? 개인정보보호처리자란 ‘업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인’로 정의되어 있는바(개인정보보호법 제2조 제5호), 개인이라도 업무를 목적으로 명함을 수집한 다음 이를 관리하면 개인정보처리자에 해당한다고 볼 수 있다. 정 리하면, 업무를 목적으로 개인정보가 적힌 명함을 수집한 다음 이를 관리하면 개인정보처리자에 해당하여 개인정보보호법의 적용을 받는다. 다만 명함이라는 특수성 때문에 개인정보보호법의 몇몇 규정이 적용되지 않는 특수한 지위의 개인정보처리자라 할 수 있다. 명함 수집 시 개인정보 수집에 관한 동의 개인정보보호법은 동의에 의한 개인정보 수집을 원칙으로 하고 있다. 그렇다면 명함을 건네받으면서 개인정보를 수집하는 경우에도 정보주체로부터 개인정보 수집에 관한 동의를 받아야 하는가? 수 집에 관한 동의는 명시적 동의를 원칙으로 하지만, 반드시 명시적 동의만을 의미하지는 않는다. 동의란, 명시적 동의, 묵시적 동의, 동의에 갈음하는 경우를 포함하고 있으며, 어떤 경우에 명시적 동의를 얻는지, 어떤 경우는 명시적 동의 대신에 동의에 갈음하는지는 그 나라의 개인정보보호 정책에 따라 달라질 수밖에 없다. 명함은 상호의 양해 하에 주고받는 바, 명함 안에 포함된 개인정보에 대하여는 그 수집이나 이용에 대하여 묵시적으로 동의하고 있다고 볼 수 있다. 즉 명함을 건네는 행위 안에 묵시적 동의가 있다고 보는 것이다. 정 리하면, 명함을 주고 받는 경우 명함 안에 포함된 개인정보의 수집이나 이용에 관하여는 정보주체의 묵시적 동의가 있다고 보는 게 일반적이다. 다만 명함을 주고받는 과정에서 특별한 조건이나 교부 목적을 내세웠다면 그 조건이나 목적을 벗어난 한도 내에서는 동의가 없다고 보아야 한다. 더 불어 명함 교부에 의한 개인정보 수집의 경우는 명시적 동의를 받지 않고 묵시적 동의로 개인정보를 수집하는 경우이므로, 수집 시 고지사항(제15조 제2항)인 ‘개인정보의 수집·이용 목적, 수집하려는 개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용’에 대한 고지의무에 관하여는 그 의무가 면제된다고 볼 수 있다. 수집한 명함의 이용 범위 수집한 명함을 통해 얻은 개인정보를 정보주체의 별도의 동의 없이 이용할 수 있는 범위는 어디까지인가? 즉 동의 없이 이용할 수 있는 목적 내의 범위와 별도의 동의를 얻어야 하는 목적 외의 범위는 어떻게 판단하는가? 명 함에 포함된 개인정보에 대한 수집·이용 목적 내의 범위란, 양 당사자의 추정적 의사, 명함의 기재 내용, 명함 교부의 객관적 상황, 사회통념 등을 고려해 판단할 수밖에 없다. 예컨대 책 배송 목적으로 명함을 교부했다면, 책 배송 목적이 바로 목적 내의 범위가 되는 것이기에 그 목적 수행을 위해서는 명함에 적힌 개인정보를 이용할 수 있으나, 추가적인 판촉이나 마케팅, 이벤트 활동은 목적 범위를 벗어난 경우이므로 별도의 동의가 있어야 가능하다. 개인정보 처리 정지 명 함을 교부한 정보주체가 명함 및 그 안에 포함된 개인정보의 이용 정지를 요청할 수 있는가? 당연히 그렇게 할 수 있다. 나아가 명함을 교부한 정보주체가 더 이상의 명함 이용을 금지시킨다면, 더 이상 명함을 이용한 개인정보 처리를 해서는 아니 되고, 원칙적으로 즉시 명함 및 명함 안에 포함된 개인정보를 파기해야 한다.
42 [정보보호법 바로알기 55] 개인정보보호위원회 심의·의결의 개선방향
[레벨:30]관리자
1069 2014-02-11
안전하고 유연한 개인정보 활용 지원하는 방향으로 개선돼야 개인정보보호위원회의 핵심 기능은 개인정보보호법 제8조 제1항에서 정한 12가지의 심의·의결 사항에 대한 심의·의결이다. 12 가지의 사항 중 특히 개인정보보호와 관련된 정책·제도 및 법령의 개선에 관한 사항, 개인정보보호에 관한 법령의 해석·운용에 관한 사항, 개인정보의 목적외 이용·제공(제18조 제2항 제5호)과 관련된 사항, 다른 기관의 장에 대한 조치 권고에 관한 사항 등이 중요하다. 이 중에서도 엄격한 목적제한성을 완화시켜 주는 역할을 하는 ‘개인정보의 목적외 이용·제공(제18조 제2항 제5호)과 관련된 사항’이 많이 문제되고 있다. 제 18조 제2항 제5호에 의하면, 공공기관은 ‘개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우’에 개인정보를 원래의 수집·이용 목적을 벗어나 이용하거나 제공할 수 있다. 이 조문의 활용은 빈번하다. 그간 농림축산식품부의 쌀소득 등 보전직접지불금 부당수령자의 주민등록번호 국회 제공 건, 국방부의 채권추심 목적의 개인정보 제공 건, 교육부의 특성화고 등 취업통계조사를 위한 개인정보 제공 건 등이 심의·의결 대상으로 논의됐다. 앞으로 이 조문의 활용 빈도는 증가할 것으로 보인다. 하지만 앞으로 엄격한 목적제한성의 벽을 깨면서 유연한 이용이나 제공을 목적으로 하는 이 조문이 제 기능을 발휘하려면 몇 가지 점은 반드시 개선되어야 할 것이다. 첫 째, 심의 요건이 너무 엄격하다. 개인정보보호위원회의 심의 요건은 ‘개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우’로 되어 있는데, 일단 ‘다른 법률에서 정하는 소관 업무’ 부분이 심의 대상을 대폭 축소시키고 있다. 개인정보보호위원회는 대통령 소속의 개인정보 최고 심의·의결 기관임에도, 지나치게 심의 대상을 축소시키고 있고 이 조항의 적용 대상을 대폭 줄임으로써 이 조항을 유명무실하게 하고 있다. ‘다 른 법률에서 정하는 소관 업무’ 부분을 ‘다른 법령 또는 조례에서 정하는 소관 업무’로 개정해 심의 대상을 넓힐 필요가 있다. 즉 법률이 정하는 소관업무에 한정할 것이 아니라 시행령이나 시행규칙, 조례 등에 의해 정해지는 소관 업무에 대하여도 심의할 수 있도록 해 주는 게 바람직하다. 둘 째, ‘소관 업무를 수행할 수 없는 경우’의 인정 요건이 지나치게 까다롭다. ‘소관 업무를 수행할 수 없는 경우’는 문언적으로 ‘불가능한 경우’로 해석되는 바, 어떤 경우이든지 다시 동의를 얻어 개인정보를 수집한 다음에 이용하든지 제공하면서 업무를 수행할 수 있다는 점을 고려하면 과연 ‘불가능한 경우’가 있을 수 있나 하는 의구심이 들고, 개인정보 최고 심의·의결 기관의 위상을 고려하건대 이렇게 재량권을 과도하게 박탈할 필요성이 있나 하는 문제점도 있다. ‘소 관 업무를 수행할 수 없는 경우’를 삭제하고 이익형량이나 개인정보보호의 8원칙을 통해 해결하든지 아니면 ‘소관 업무를 수행하는 것이 곤란한 경우’로 완화하여 개인정보보호위원회의 폭넓은 재량을 인정하는 것이 이 조항의 취지에 부합한다. 셋 째, 목적외 제공을 하고자 하는 경우에는 더욱 심각한 논란을 보이고 있다. 예컨대 ‘개인정보를 제공하는 기관’이 심의를 요청해야 하는지 아니면 ‘개인정보를 제공받고자 하는 기관’이 심의를 요청해야 하는지 아니면 둘 다 심의요청을 할 수 있는지 여부, ‘개인정보를 제공받고자 하는 기관’이 심의를 요청한 경우, 심의를 요청하지 않은 ‘개인정보를 제공하는 기관’에게 심의·의결의 구속력이 미쳐서 심의·의결에 따른 제공 의무가 발생하는지 여부 등에 관하여 논란이 많다. 위 문제점들을 해결할 수 있는 법문을 포함해 제18조 제2항 제5호의 심의·의결에 관하여 그 절차나 효과에 대한 명시적 규정이 시행령 등으로 정비되어야 할 것이며, 구체적인 절차 등에 대하여는 개인정보보호위원회 규정으로 명시하는 것이 필요해 보인다. 넷 째, 사기업의 경우에도 개인정보보호위원회의 심의·의결로써 이러한 혜택을 누릴 수 있도록 문을 열어주는 것이 바람직해 보인다. 제18조 제2항 제5호는 엄격한 목적제한성을 사후적으로 완화하여 유연하고 융통성 있는 개인정보의 이용 또는 제공을 가능하게 해 주는 조항인 바, 이 조항을 공공기관에 제한하여 적용시킬 필연성은 없어 보인다. 대 통령 소속의 개인정보 최고 심의·의결 기관인 개인정보보호위원회의 업무 관장을 공공기관에 제한하여 둘 필연성이 없기 때문이다. 이 조문의 긍정적인 기능은 사기업도 같이 향유할 수 있도록 법령의 문을 열어두는 게 형평성에 반하지 않을 것이다. 지 금까지 개인정보보호법 제18조 제2항 제5호를 중심으로 개인정보보호위원회의 심의·의결 권능에 대해 살펴보았다. 개인적으로는, 향후 수집과정의 엄격성은 유지하되, 수집 이후의 활용에 관한 이 조문의 적용범위를 확대하고, 심의요건을 완화함으로써 보호위원회의 재량을 늘려 안전하면서도 유연한 개인정보 활용을 지원하는 방향으로 변모하는 것이 바람직해 보인다.
41 [정보보호법바로알기 54] 개인정보 위탁의 법률관계②
[레벨:30]관리자
989 2014-03-05
“개인정보의 위탁에 있어 입법 결여 문제 조속히 해결해야” 개인정보보호법이 적용되는 조직이나 위탁자의 경우 (1)문서 작성 의무(개인정보보호법 제26조 제1항), (2)공개 또는 통지의무(제2, 3항), (3)교육 및 관리·감독 의무(제4항)를 부담한다. 정보통신망법이 적용되는 조직과의 차이점은, 정보통신망법의 고지·동의의무 대신에 대폭 감경된 공개의무가 적용되고, 대신 정보통신망법과 달리 문서작성의무 및 교육의무가 추가로 존재한다는 것이다. 위탁자의 의무와 책임(2) 위 탁자는 위탁 시 위탁사실, 위탁업무의 내용과 수탁자를 인터넷, 일간지 등에 공개해야 한다(공개의무). 다만 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우, 위탁하는 업무의 내용이나 수탁자가 변경된 경우에는 서면, 전자우편, 팩스, 전화, 문자전송 등의 방법으로 통지해야 한다(통지의무). 위 탁자는 반드시 문서로써 위탁해야 하며, 문서에는 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항, 개인정보의 기술적·관리적 보호조치에 관한 사항, 위탁업무의 목적 및 범위, 재위탁 제한에 관한 사항, 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항, 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항, 수탁자가 준수해야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항이 포함되어 있어야 한다. 이 문서는 위탁계약 내용에 포함되어 있을 필요는 없어 보인다. 정 보통신망법이 적용되는 조직이 문서를 갖추지 않고 위탁하는 경우에 이를 제재할 수 있을까? 정보통신망법이 적용되는 조직의 경우에는 문서작성 의무가 존재하지 않기에 제재할 수 없다는 견해와 정보통신망법에 명시적인 조문이 없다고 하더라도 일반법인 개인정보보호법에 의무 조항이 있는 이상 개인정보보호법 제26조 제1항으로 제재할 수 있다는 견해, 문서 작성의무를 위반한 정보통신망법 적용 조직에 대해 제재할 수 있되, 행정처분의 근거 조문은 개인정보보호법 제26조 제1항이 아닌 정보통신망법 제25조 제4항의 관리·감독의무가 되어야 한다는 견해로 갈린다. 위탁자는 수탁자에 대한 교육의무 및 관리·감독의무도 부담한다. 정보통신망법이 적용되는 조직이 교육의무를 이행하지 않은 경우에 이를 제재할 수 있을까? 문서를 갖추지 않고 위탁하는 경우와 동일한 논의가 가능하다. 교 육 및 관리·감독의무의 내용에 대해 안전행정부 발간 해설서에는 “위탁자는 수탁자에 대해 정기적인 교육을 실시하는 외에 수탁자의 개인정보처리 현황 및 실태, 목적 외 이용·제공, 재위탁 여부, 안전성 확보조치 여부 등을 정기적으로 조사·점검해야 한다”고 규정하고 있다. 하지만 위탁자가 수탁자에 대한 교육이나 관리·감독을 강요할 수 없는 약자인 경우가 많기에 현실적으로 이 조문의 실효성이 문제되고 있다. 입 법론적으로는 위탁 시 의무적으로 작성하는 문서에 반드시 포함되어야 할 내용을 위탁자와 수탁자 사이에 작성된 위탁계약서에 의무적으로 포함하게끔 하여 법적으로·계약적으로 수탁자에 대한 위탁자의 지위를 보장해 주는 것이 이 조문의 실효성을 높이는 하나의 방법이 될 것이다. 정 보통신망법이 적용되는 조직이나 개인정보보호법이 적용되는 조직 모두는 위탁자는 수탁자의 정보주체에 대한 손해배상책임과는 별도로, 수탁자 또는 수탁자의 직원의 행위에 대해 민사적인 사용자책임(민법 제756조)을 부담한다(정보통신망법 제25조 제5항, 개인정보보호법 제26조 제6항). 이 경우 수탁자와 위탁자는 모두 정보주체에 대해 손해배상책임을 부담할 수 있는데 양자의 관계는 부진정연대채무의 관계이다. 정보주체에게 손해배상을 해 준 위탁자는 수탁자에게 구상권을 행사할 수 있다. 수탁자의 의무와 책임 수 탁자의 가장 중요한 의무는 위탁받은 해당 업무 범위를 초과한 개인정보 이용이나 제3자 제공 금지 의무이다(정보통신망법 제25조 제3항, 개인정보보호법 제26조 제5항). 수탁자의 이 의무 위반시 위탁자는 관리·감독의무 위반 책임을 부담할 수 있다. 더 불어 수탁자는 정보통신서비스 제공자의 의무나 개인정보처리자의 의무를 준수해야 한다(정보통신망법 제67조 제2항, 개인정보보호법 제26조 제7항). 따라서 수탁자는 보관하고 있는 개인정보에 관하여 물리적·관리적·기술적 보호조치를 취해야 하며, 개인정보취급방침이나 처리방침을 공개해야 하고, 정보주체의 열람요구에 응하여야 하며, 이용자에게 정기적으로 개인정보이용내역에 관하여 통지를 해야 한다. 다만 개인정보파일의 등록의무는 존재하지 않는다. 한 편 개인정보파일 등록의무뿐만 아니라 손해배상책임인 정보통신망법 제32조, 개인정보보호법 제39조도 수탁자에 대해 준용되지 않고 있다. 때문에 손해를 입은 정보주체는 수탁자에 대해 정보통신망법 제32조, 개인정보보호법 제39조가 아닌 일반 불법행위책임(민법 제750조)을 물을 수밖에 없는데, 규범적으로 수탁자의 고의·과실을 피해자인 정보주체가 입증해야 하는 점에서 정보통신망법 제32조 또는 개인정보보호법 제39조의 적용 시보다 불리하다. 더 불어 정보주체는 직접 위탁자에 대해 정보통신망법 제32조, 개인정보보호법 제39조의 기한 손해배상책임을 물을 수 있지만, 위탁한 개인정보의 점유가 수탁자에게 있는 이상 경우에 따라서는 수탁자의 법위반사실뿐만 아니라 위탁자의 관리·감독상의 법위반사실까지 입증해야 한다는 점에서 정보주체는 입증상의 상당한 불리함을 안게 된다. 입법론적으로는, 수탁자에게도 정보통신망법 제32조, 개인정보보호법 제39조의 손해배상책임을 물을 수 있도록 하는 것이 타당해 보인다. 재위탁 재제공에 대한 근거 조문이 정보통신망법 제24조의2 제2항 또는 개인정보보호법 제19조에 있는 것과는 별개로, 재위탁에 대한 법령상의 근거 조문은 존재하지 않는다. 다 만 개인정보보호법에 관한 보충 규정으로서 이용되고 있는 표준지침 제21조에는 재위탁에 대해 규정하면서, 정보주체는 수탁자로부터 재수탁자가 재위탁 받은 개인정보 처리 업무를 수행하면서 발생하는 손해에 대한 배상을 청구할 수 있으며, 개인정보 처리 업무의 재위탁에 대해서는 개인정보보호법 제26조를 준용한다고 규정하고 있다. 입법론적으로는 재위탁에 관한 법령상의 명시적인 근거 조문을 정보통신망법 및 개인정보보호법에 신설하면서 동시에 위탁에 관한 준용규정을 마련해 둘 필요가 있다. 결어 개인정보 위탁은 수집 시부터 형성되는 엄격한 목적제한성을 탈피하면서 유연성을 제공할 수 있는 가장 좋은 방법으로 꼽히고 있다. 하지만 몇 가지 입법의 결여로 악의적인 탈법행위에 대해 대처할 수 없는 문제점도 가지고 있다. 개인정보의 활용과 보호를 모두 제고시키기 위해서는, 가장 빈번하게 발생하는 처리현상인 개인정보의 위탁에 있어 입법의 결여 문제를 조속하게 해결할 필요가 있어 보인다.
40 [정보보호법바로알기 53] 개인정보 위탁의 법률관계①
[레벨:30]관리자
1157 2014-03-05
위탁자 관리·감독의무 위반에 대한 행정적·형사적 제재 신설 필요 [보안뉴스=법률사무소 민후 김경환 대표변호사] 재화나 서비스를 제공하는 기업이 개인정보까지 하나하나 관리하기는 쉽지 않기에 개인정보 처리를 위탁하는 경우가 많다. 개 인정보 위탁으로 인하여 비용의 절감, 업무 효율화, 서비스 품질 향상을 가져올 수 있기에 개인정보의 위탁은 개인정보 처리 과정에서 가장 빈번하게 일어나는 현상이지만, 아이러니하게도 법적으로 가장 정리가 필요한 영역 중의 하나이다. 일단 위탁인지 아닌지도 판단이 쉽지 않고 재위탁이 허용되는지부터 위탁 이후에 개인정보 유출이 발생했을 때 누가 책임을 부담하는지 등등 수많은 질문이 쏟아지는 영역이다. 위탁의 개념 개 인정보의 위탁이란 개인정보의 처리를 아웃소싱하는 것이라고 이해하면 된다. 흔히 개인정보의 이용이나 개인정보의 제3자 제공과 많이 혼동되는 경우가 많지만, 개인정보의 이용이란 개인정보처리자의 손을 벗어나지 않는다는 점에서 개인정보의 위탁이나 제3자 제공과는 구별된다. 한 회사의 A부서에서 수집한 개인정보를 B부서가 이용하는 경우 이를 제3자 제공으로 잘못 이해하는 경우가 있는데, 개인정보처리자가 회사인 이상 그 안의 부서간의 개인정보 이동은 제3자 제공에 해당하지 않고 이용에 해당한다. 다만 B부서의 이용이 A부서의 수집 목적을 벗어나면 목적외 이용이 되어 정보주체로부터 별도의 동의를 얻어야 한다. 위 탁은 개인정보처리자의 손을 벗어나는 점에서 제3자 제공과 공통되지만, 개인정보를 건네는 것이 받는 자의 목적을 위한 것이라면 제3자 제공이고, 주는 자의 목적을 위한 것이라면 위탁으로 보아야 한다. 따라서 받는 자의 업무 목적이 주는 자의 업무 목적과 관련성이 없으면 제3자 제공으로, 관련성이 있으면 위탁으로 보아도 된다. 예 컨대 A회사가 수집한 개인정보를 A회사의 마케팅 목적으로 활용하고자 광고대행사인 B회사에 넘기는 경우에는 위탁에 해당하고, C회사의 마케팅 목적으로 C회사에 넘긴 경우에는 제3자 제공에 해당한다. 특히 ‘수집위탁’이 제3자 제공과 구별이 쉽지 않은데, 수집위탁이란 개인정보 수집 단계를 아웃소싱하는 경우다. 예 를 들어, A회사의 외부인사 보안을 위해 B회사에 외부인사 보안 업무를 위탁했고, B 회사가 외부인사로부터 개인정보를 수집해 보안업무를 처리하고 수집한 개인정보를 A회사에 건네준 경우, B회사는 자신을 위해 외부인사의 개인정보를 수집한 것이 아니라 A회사의 업무목적을 위해 개인정보를 수집한 것이므로, B회사가 A회사에게 수집한 개인정보를 건네는 것은 제3자 제공이 아니라 수집위탁의 사후처리에 해당한다. 백화점·쇼핑센터나 번화가에 위치한 대리점으로부터 수집한 개인정보를 본점이 건네받아 한꺼번에 관리하는 경우도 있는데, 이 경우도 수집위탁 관계로 볼 수 있다. 그 법적 효과 측면에서 보면, 제3자 제공은 개인정보에 대한 관리감독권 및 책임이 제3자에게 넘어가는 것이고, 반면 위탁은 개인정보에 대한 관리감독권 및 책임이 위탁자에게 남아 있는 점에서 큰 차이를 보인다. 위탁의 유형 위탁이란 개인정보 자체를 위탁하는 경우와 업무를 위탁하면서 개인정보를 부수적으로 건네는 경우로 나눌 수 있는데, 전자를 처리업무 위탁이라 하고, 후자를 취급업무 위탁이라 하며, 우리법은 두 가지 경우를 모두 위탁으로 보고 있다. 예 컨대 DB 호스팅 업체에게 개인정보를 수집부터 처리까지 맡겨 관리하는 경우, 개인정보가 담긴 서면이나 하드디스크를 파기 전문업체에게 맡겨 파기시키는 경우에는 개인정보 자체의 처리업무 위탁으로 볼 수 있지만, 주문받은 상품의 배송업무를 위하여 소지하고 있던 주소 등의 개인정보를 택배사에게 넘기는 경우에는 취급업무 위탁으로 볼 수 있다. 마케팅 업무를 위해 소지한 개인정보를 광고대행사에 넘기는 경우도 취급업무 위탁에 해당한다. 실 무적으로 취급업무 위탁이 제3자 제공과 구별이 쉽지 않아 혼동하는 경우가 많다. 외부인사 보안 업무, 마케팅 업무, 홍보 업무, 고객불만처리 업무, 추심 업무, 개인정보의 전산입력 업무, 이벤트 업무, 보너스포인트관리 업무, 택배·배송 업무, AS 업무, 본인확인 업무, 인증 업무 등을 위하여 개인정보를 수집케 하거나 수집한 개인정보를 건네주는 경우는 제3자 제공이 아니라 취급업무 위탁에 해당하다. 위탁자의 의무와 책임(1) 위탁이란 위탁자의 목적 달성을 위하여 아웃소싱하는 경우이므로 위탁으로 인하여 위탁자의 정보주체에 대한 의무는 감소하지 않고 오히려 수탁자에 대한 의무가 부가된다. 위탁자의 정보주체에 대한 의무는 위탁하지 않았을 때와 원칙적으로 큰 차이가 없다. 다만 사실적으로 개인정보의 점유가 이전되었기 때문에, 점유를 전제로 하는 일부 의무는 그 적용이 없다. 예 컨대 주민등록번호 처리금지 의무의 경우, 위탁자는 개인정보를 점유하고 있지 않음에도 불구하고 주민등록번호 처리를 하지 않을 의무가 존재한다. 반면 개인정보의 기술적 보호조치 의무의 경우, 개인정보를 점유하고 있지 않은 위탁자에게는 그 의무 적용이 되지 않고, 그 대신에 아래에서 설명하는 위탁자의 관리·감독의무가 적용된다. 정보통신망법이 적용되는 조직의 경우, 위탁자의 경우 (1)고지 및 동의 의무(정보통신망법 제25조 제1항, 예외적으로 제2항의 경우에는 공개·통지로 족함), (2)수탁자의 관리감독의무(제4항)가 있다. 즉 정보통신서비스 제공자는 이용자에게 위탁사실, 수탁자, 위탁업무의 내용을 알리고 동의를 받아야 한다. 수탁자와 위탁업무의 내용이 변경되는 경우에도 마찬가지이다. 다만 ‘정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 경우’로서 수탁자와 위탁업무의 내용을 공개하거나 전자우편 등으로 통지한 경우에는 동의(고지 포함)를 받지 않아도 된다. 그 리고 위탁자는 수탁자가 정보통신망법의 개인정보와 관련된 의무를 위반하지 아니하도록 관리·감독해야 한다. 하지만 현실적으로 보면, 위탁자가 수탁자를 관리·감독하지 못하는 상황이 많이 존재한다. 예컨대 영세한 기업이 대기업 택배업체에 배송을 맡긴 경우이다. 여 기서 주의할 점은 위탁자의 관리·감독의무와 위탁자의 정보주체에 관한 의무와의 관계인데, 위탁자는 정보주체에 관한 의무와 수탁자의 관리·감독의무를 모두 부담하고, 이 둘의 관계는 어느 하나가 다른 하나를 배척하는 것은 아니라 병존하는 관계이다. 예 컨대 수탁자가 파기기한을 어기고 개인정보를 소지하고 있는 경우, 수탁자가 파기의무 위반으로 처벌되는 것은 별론으로 치고(제67조 제2항), 위탁자는 정보주체에 대해 파기의무 위반의 책임을 지고, 동시에 수탁자의 관리·감독의무 해태의 책임을 부담한다. 다 만 위탁자의 수탁자에 대한 관리·감독의무 위반이 있더라도 위탁자에 대한 시정조치 외에 위탁자에 대한 과태료 등의 처벌규정은 존재하지 않는 바, 수탁자에 대한 처벌규정으로 족하다는 입법적 고려 때문인데, 위탁자에 대한 처벌 규정의 부존재로 위탁자의 수탁자에 대한 관리·감독 조문의 실효성이 문제되고 있다. 예 컨대 수탁자가 개인정보의 관리적·기술적 보호조치를 제대로 하지 못해 개인정보가 유출된 경우, 수탁자가 행정적·형사적 책임을 지는 것과 별개로, 위탁자의 관리·감독의무 해태가 문제되기는 하지만, 앞서 언급한 대로 위탁자에 대한 제재 규정이 없는 관계로 위탁자에게 민사적 책임이 아닌 행정적·형사적 책임을 부담시킬 수는 없다. 다만 수탁자의 과실에 대해 실무적으로는 위탁자에게 행정책임을 부담시킨 사례가 있었다고 한다. 입 법론적으로는 위탁자와 수탁자의 여러 가지 유형의 관계를 고려해 각 관계에 따른 구체적 타당성을 고려한 위탁자의 관리·감독의무 위반에 대한 행정적·형사적 제재를 신설함으로써, 책임회피 목적의 무분별한 위탁 현상이나 수탁자 선정 시 부주의를 막을 수 있을 것이다. 참 고로 수탁자 선정 시 주의사항은 개인정보보호법의 보충규정인 표준지침 제19조에 설명이 되어 있는 바, 위탁자는 수탁자의 인력과 물적 시설, 재정 부담능력, 기술 보유의 정도, 책임능력 등을 종합적으로 고려해야 한다고 되어 있다.
39 개인정보보호법 준수기관 인증제 도입
[레벨:30]관리자
1096 2013-10-30
안행부, 기업 스스로 개인정보보호 위해 노력하는 계기될 것 정부가 개인정보보호법 준수기관을 인증해 주는 개인정보보호 인증제가 도입될 예정이다. 이를 통해 국민들은 개인정보보호법 준수기관이나 기업을 보다 쉽게 확인할 수 있게 되고 해당 기업·기관도 신뢰도와 이미지 제고에 큰 도움이 될 것으로 전망된다. 안전행정부(장관 유정복)는 28일, ‘개인정보보호 인증제 운영에 관한 규정’을 고시했다. 개인정보보호 인증제는 기업이나 기관 스스로의 자율적인 노력을 유도하기 위해 도입됐으며, 공공·민간기관이 개인정보보호법상 필수조치사항을 이행하고 일정한 보호수준을 갖춘 경우 인증마크를 부여한다. 개인정보보호 인증을 받고자 하는 기업·기관은 오는 11월 28일부터 한국정보화진흥원에 인증심사를 신청할 수 있으며, 인증 심사항목은 크게 개인정보 관리체계와 개인정보 보호대책으로 구성된다. 인증유형은 해당 기업이나 기관의 규모와 특성에 따라 △소상공인 △중소기업 △대기업·공공기관 등 3개 유형으로 구분되며 신청기관은 유형별로 차별화된 해당항목을 심사받게 된다. 인증유효기간은 3년이며, 인증취득기관은 지속적으로 인증요건을 충족하고 있는지 확인받기 위해 연 1회 유지관리심사를 받아야 한다. 안전행정부는 인증을 취득한 기업이나 기관에게 실질적인 도움이 될 수 있도록 △기획점검 제외·실시 유예 △행정처분 감경 △개인정보보호 교육기회 부여 △개인정보보호 우수기관에 대한 포상제 등도 실시할 계획이다. 김 성렬 안전행정부 창조정부조직실장은 “정보공개와 기관간 협력은 박근혜 정부가 의욕적으로 추진하는 정부3.0의 핵심가치”라며, “개인정보보호 인증제도가 모든 공공·민간기관의 개인정보 보호에 대한 인식을 새롭게 하고 자율적으로 보호장치를 강구해 우리 사회 전반의 개인정보 보호수준이 향상되는 계기가 되길 바란다”고 말했다. 한편, 이외 개인정보보호 인증에 관한 자세한 심사항목은 인증심사 준비사항과 함께 한국정보화진흥원 개인정보보호사업부에서 안내받을 수 있다.
38 개인정보보호법 시행 2년, 달라지는 제도 4가지
[레벨:30]관리자
652 2013-10-04
안행부, 개인정보보호법 시행 2년 맞아 성과와 향후과제 발표 개인정보보호법 위반시 기업 명단 공표·과징금 최고 5억 부과 등 앞으로 개인정보보호법 위반 기관이나 기업에 대한 처벌이 한층 강화된다. 개인정보 무단 수집, 오·남용 등 법 위반 기관·기업의 명단이 공표되고 과징금 부과와 CEO 징계권고 제도가 시행된다. 안전행정부(장관 유정복)는 개인정보보호법 시행 2주년을 맞아 그간 운영성과와 문제점을 점검하고 향후 개선방안을 발표했다. 안행부는 2011년 9월 30일 법 시행 이후 분야별 관련 법·제도 정비, 인식개선을 위한 교육·홍보, 실태 개선작업을 지속적으로 추진해 왔다는 것. 이와 관련 안행부는 다각적인 홍보·계도로 국민의 개인정보보호법에 대한 인지도가 2012년 3월 33.4%, 2012년 9월 66%, 2013년 7월 91.2%로 대폭 상승했으며, 각 기관의 수집·이용 절차 준수율도 크게 증가한 것으로 나타났다고 밝혔다. 또한, 법 시행 후에 개인정보보호에 대한 국민적 인식과 관심이 크게 증가하여 침해신고 및 상담 건수, 민원신청 건수가 2011년에 비해 2012년에 각각 36.5%, 164%로 증가추세에 있다고 덧붙였다. 하지만, 개인정보를 유출한 기업이 여전히 민·형사상 책임을 지지 않는 경우가 있고, 일부 사업체는 불필요한 개인정보를 요구해 국민에게 불편을 초래하고 있다는 지적도 있었다. 이러한 문제점을 개선하기 위해 안행부는 개인정보 무단수집·오남용 기관에 대한 책임성을 강화하고, 국민생활에 불편을 주는 실태와 관행을 적극 개선하는 방향으로 제도를 개선해 나갈 예정이다. 제도 개선사항 4가지는 다음과 같다. 첫째, 법 위반 기관·기업에 대한 행정처분 결과를 공표한다. 위 반행위의 내용 및 정도, 위반기간 및 횟수, 위반행위로 인한 피해의 범위 및 결과 등을 고려하여 법위반 기관이나 기업의 명칭, 과태료 부과 등 행정처분 내용을 개인정보보호위원회의 심의·의결을 거쳐 전자관보와 홈페이지를 통해 국민에게 공표하게 된다. 둘째, 주민번호를 유출한 기업에 대해서는 2014년 8월부터 과징금 부과(최고 5억) 및 CEO 징계권고제를 시행한다. 산정기준에 대해 안행부 관계자는 “최고 5억에 대한 기준만 법으로 정해져 있는 상황”이라며, “세부사항은 앞으로 만들어나갈 방침”이라고 밝혔다. 셋째, ‘개인정보 민원 예보제’를 도입한다. 개인정보 침해신고 및 상담 현황, 국민신문고 등 각종 민원 제기사항, 언론보도 등을 종합적으로 상시 분석해 개인정보 침해 우려가 높은 사항은 예보를 발령해 국민이 침해에 사전적으로 대응할 수 있도록 맞춤형 서비스를 제공한다. 이 와 관련 안행부 관계자는 “‘개인정보 민원 예보제’는 지금껏 민원 접수된 사항 등을 포함한 종합적인 내용을 토대로 개인정보 노출 주의사항을 국민에게 알리기 위한 것” 이라며, “이를테면 추석 명절 기간의 경우 배송전표와 관련해 개인정보가 노출될 우려가 있음을 알리고, 이와 관련된 업체는 개인정보 전표 등의 관리·파기 처리함에 있어 주의해야 한다고 알리는 것 등이다. 이 제도는 늦어도 올해 안으로 시행될 예정”이라고 밝혔다. 넷째, 국민생활과 밀접한 관련이 있는 주요 민간업종의 계약서 등 각종 서식(163종)을 일괄 정비한다. 주민번호를 관행적으로 수집하거나 필요 이상의 개인정보를 수집하거나 동의서식 및 동의항목이 복잡해 혼란이나 불편의 여지가 있는 경우에는 이를 간소하게 정리해 나간다. 안 행부 김성렬 창조정부조직실장은 “법 시행 2년째를 맞아 민·관의 적극적 노력으로 개인정보보호법에 대한 국민적 인식이 상당히 높아졌다”면서 “향후에는 국민에게 불편을 야기하는 분야의 실태 개선에 주력하는 한편, 법 위반 기관·업체의 명단을 적극 공개하여 국민의 알권리와 기업의 책임성을 강화해 나가겠다”고 강조했다.
37 [정보보호법바로알기 52] 개인정보처리의 3가지 핵심 키워드
[레벨:30]관리자
525 2013-09-30
전통적 개념 ‘식별성·목적제한성·동의 및 고지’ 등 3대 원칙이 지배 기술적·사회적 여건 변화로 인한 핵심 키워드 교체 고민할 때 [보안뉴스=법률사무소 민후 김경환 대표변호사] 개인정보보호법은 크게 ①개인정보의 처리에 관한 규정 ②정보주체의 권리 규정 ③개인정보처리자의 법적책임 규정으로 이루어져 있다. 이 중 핵심은 ‘개인정보의 처리에 관한 규정’이며, 개인정보의 처리 규정에는 개인정보의 보호 및 이용이라는 두 가지 상반되어 보이는 목표 달성을 위한 여러 가지 구체적인 내용이 개인정보의 처리단계 또는 라이프사이클 순서대로 반영되어 있다. 개인정보보호법의 개인정보 처리 규정을 제대로 이해하기 위해서는 3가지 핵심키워드를 이해해야 하는데, 3가지 핵심키워드란, ‘①식별성 ②목적제한성 ③동의 및 고지’ 이다. 즉 개인정보보호법상의 개인정보처리는 ①식별정보에 대하여만 적용되며, ②목적범위 내에서만 처리되어야 하고 ③처리과정에서 변동이 생긴 경우에는 정보주체의 동의나 정보주체에 대한 고지가 이루어져야 한다. 이 3가지 핵심키워드는 개인정보보호 역사에 있어 고전적·전통적인 개념으로서 개인정보보호 법제를 지금까지 지배하여 왔지만 최근 빅데이터·웨어러블 IT 등 기술적·사회적 여건 변화로 인하여 이 핵심키워드를 그대로 유지해야 하는가에 대한 고민이 행해지고 있다. 여건 변화에 따른 고민은 다른 기고를 통해서 살펴보기로 하고 아래에서는 이 3가지 핵심 키워드가 현행 개인정보보호법에 어떻게 반영되어 있는지 살펴보면서 더불어 개인정보보호를 체계적·구조적으로 이해하는데 도움을 주고자 한다. 식별성 개 인정보를 분류하자면, 식별정보·비식별정보·익명정보, 민감정보·비민감정보, 고유정보·비고유정보, 공개적으로 수집하는 정보·비공개적으로 수집하는 정보, 활용도가 높은 정보·활용도가 낮은 정보 등으로 분류할 수 있고, 또는 개인을 식별하는 정보, 개인의 행태에 관한 정보, 개인의 상태에 관한 정보 등으로도 분류할 수 있다. 이러한 여러 가지 기준 중에서 우리 개인정보보호법은 ‘살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수’ 있는 ‘식별정보’만을 보호하고 있다. 다만 식별정보는 ‘결합용이성(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보)’에 의하여 확장되어 진다(제2조 제1호). 위 일반개인정보(=식별정보)에 비하여 민감성, 고유성, 공개수집성의 성질상 특별한 취급을 해 주는 특별개인정보가 3가지 있는데, ①정보주체의 사생활을 현저히 침해할 우려가 있는 민감정보(제23조) ②고유성을 가진 고유식별정보(제24조 내지 제24조의2) ③영상정보처리기기에 의하여 수집되는 영상정보(제25조)가 그것이다. 이 중에서 민감정보나 고유식별정보는 가중된 보호를 하고 있다. 즉, 개인정보처리자는 별도의 동의를 얻거나 법령에 근거가 없는 한 민감정보나 고유식별정보를 원칙적으로 처리해서는 아니 되며, 처리를 하기 전에 다른 개인정보와 구분하여 별도로 동의를 얻어야 한다. 반면 영상정보는 복합적인 보호를 하고 있다. 영상정보는 수집시 엄격한 정보주체의 동의 대신에 안내판 설치로 갈음할 수 있어 완화되어 있지만, 수집목적은 범죄예방 및 수사·시설보호·교통관리 목적으로 제한되어 있어 강화된 보호를 하고 있다. 목적제한성 개 인정보보호법에서 가장 비중 있고 자주 나오는 단어 하나를 고르라면, 그것은 ‘목적’이다. ‘목적’을 잘 이해하면 개인정보보호법을 쉽게 정복할 수 있다고 할 정도로, ‘목적제한성’은 중요한 개념이다. ‘목적(=처리목적)’은 ‘수집목적’, ‘제공목적’, ‘이용목적’으로 구분해서 이해해야 한다. ‘목적제한성’의 개념이 어떻게 작용하는지 개인정보 처리 순서대로 정리해 본다. 첫째, 개인정보 수집 시에는 서비스 목적을 고려하여 최소한의 개인정보를 수집하여야 한다(제16조). 이를 흔히 ‘최소수집의 원칙’이라고 하는데, 최소성 여부를 결정하는 기준이 바로 ‘수집목적’이다. 즉 서비스 목적을 달성하기 위한 최소한의 정보만 수집해야 하는데, 이 최소한의 정보를 ‘필수정보’라고 한다. 여기서 서비스 목적 달성을 위한 최소한의 정보는 개인정보처리자의 주관적 의도가 아니라 서비스의 성질이나 목적에 따라 객관적으로 결정해야 할 것이다. 서비스 목적 달성을 위한 최소한의 정보에 해당하지 않은 선택정보는, 필수정보와 달리 정보주체가 그 수집에 동의하지 않더라도 개인정보처리자는 재화 또는 서비스의 제공을 거부할 수 없다. 한 편, 서비스 목적의 달성을 위하여 필요한 필수정보로서 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우는 동의를 받지 않아도 되지만(제15조 제1항 제4호, 제16조 제1항), 그렇지 않은 개인정보는 수집시 반드시 동의를 얻어야만 수집할 수 있다. 앞으로의 논의전개의 편의상, 수집시 동의가 불필요한, 서비스의 제공을 위하여 필요한 최소한의 필수정보를 결정하는 수집목적을 ‘협의의 수집목적’이라 하고, 수집시 동의가 필요한 개인정보까지를 결정하는 수집목적을 ‘광의의 수집목적’이라 칭한다. 사견으로는, 개인정보 수집시 또는 개인정보처리방침에 두 수집목적을 구분하여 명기하고, 그 해당 목적과 관련된 개인정보 역시 함께 구분하여 기재하게끔 하는 것이 바람직해 보인다. 이렇게 해야만 정보주체가 자신의 개인정보가 개인정보처리자에 의하여 어떻게 이용·처리되는지에 대하여 제대로 인식할 수 있기 때문이다. 둘째, 개인정보의 제3자 제공 역시 미리 사전에 동의 받은 ‘제공목적’ 범위 내에서 이루어져야 한다(제17조, 공유는 제공과 동일하게 취급). 한 편 ‘수집목적’과의 관계에서 ‘제공목적’의 범위가 문제되는데, ‘제공목적’의 범위는 ‘협의의 수집목적’이 아닌 ‘광의의 수집목적’ 범위 내라고 이해하면 된다. 개인정보의 제공 또는 공유는 미리 동의 등의 절차를 통하여 적법하게 수집한 개인정보 범위 안에서 이루어질 수밖에 없기 때문이다. 나아가 개인정보처리자로부터 개인정보를 제공받은 자는 원래의 ‘제공목적’ 범위 내에서 이를 처리해야 한다(제19조). 셋 째, 개인정보의 이용 역시 ‘이용목적’ 범위 내에서 이루어져야 한다(제18조). ‘이용목적’에 대하여 ‘광의의 수집목적’과 동일하게 보는 게 일반적이나, 정확하게는 ‘광의의 수집목적’에서 ‘제공목적’을 제외한 것으로 이해하면 된다. 따라서 개인정보의 이용은 광의의 수집목적 범위를 초과할 수 없다. 넷 째, 개인정보처리자로부터 개인정보의 처리를 위탁받은 수탁자는 ‘위탁목적’ 범위 내에서 이를 처리해야 하며(제26조 제5항), 개인정보처리자로부터 영업의 전부 또는 일부의 양도·합병으로 인하여 개인정보를 이전받은 자는 ‘본래목적’ 범위 내에서 이를 처리하여야 한다(제27조 제3항). 여기서 ‘위탁목적’, ‘본래목적’의 범위가 문제되는데, ‘이용목적’ 범위 내라고 이해하면 될 것이다. 다 섯째, 개인정보의 ‘처리목적’을 달성한 경우에는 그 개인정보를 파기해야 한다(제21조). 따라서 ‘처리목적’은 개인정보의 라이프사이클을 결정하는 매우 중요한 인자라 할 수 있다. 다만 개인정보의 라이프사이클을 정함에 있어 되도록 이면, 기준이 불명확한 ‘처리목적 달성’이라는 기준보다는 처리목적 달성을 예정하여 미리 설정한 ‘보유기간’을 활용하는 것이 바람직해 보인다. 여 섯째, 개인정보처리자는 개인정보의 ‘처리목적’에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다(제3조 제3항). 그리고 개인정보처리자는 개인정보의 ‘처리 방법 및 종류’ 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험의 정도를 고려하여 개인정보를 안전하게 관리하여야 한다(제4항). 즉 개인정보의 관리 범위 및 방법을 결정하는 중요한 인자 중의 하나도 개인정보의 처리목적이라는 것을 알 수 있다. 동의 및 고지 개 인정보가 수집되어 처리되는 동안, 그 과정에 대하여 정보주체는 권리를 가진다. 이러한 권리는 정보주체의 일방적인 청구로 행사될 수도 있지만(제5장 참조), 대체로 개인정보처리자의 의무적인 행동으로 실현된다. 즉 개인정보처리자의 정보주체에 대한 ‘동의나 고지’로 인하여 정보주체는 자신의 개인정보가 어떻게 활용되는지를 인지할 수 있는 것이다. 그렇다면 어떤 때에 엄격한 동의절차를 밟아야 하고, 어떤 때에 완화된 고지절차만 밟으면 되는 것인가? 이것 역시 ‘목적 범위’에 의하여 결정된다. 그만큼 ‘목적’은 개인정보보호법의 핵심적 동인이라 할 수 있다. 개 인정보보호법은 정보주체의 권리보장을 위하여 ‘목적 범위’라는 기준 하에, ①목적 범위를 초과한 개인정보 처리라면 정보주체의 동의를 얻게 하고 있다. 동의로써 목적제한성을 깰 수 있는 것이다. 참조할 점은 동의 과정에서 실질적 동의가 되게 하기 위하여 반드시 고지절차가 병행된다는 점이다. 반 면 ②목적범위 내의 처리라면 동의 절차 없이 행할 수 있다. 다만 목적범위 내의 처리라도 정보주체의 권리보장이 특히 필요한 경우에는 고지 절차를 이행하여야 한다. 어떤 처리행위가 목적범위 내인지 아니면 목적범위 외인지는 각 나라의 입법례마다 약간씩 차이를 보이고 있다. 우리 개인정보보호법을 기준으로 구체적으로 살펴본다. 첫째, 서비스 제공 목적에 필요한 최소한의 필수정보로서 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우에는 정보주체의 동의 없이 개인정보를 수집할 수 있다(협의의 수집목적). 하 지만 그 이상의 개인정보를 수집하는 경우에는 반드시 정보주체의 동의를 얻어 수집하여야 한다(광의의 수집목적). 동의로써 엄격한 목적제한성을 극복하는 것이다. 더불어 동의를 받을 때에는 구체적인 수집목적, 수집항목 등을 고지하여야 한다. 둘 째, 수집한 개인정보를 제3자에게 제공할 때에는 사전에 정보주체의 동의를 얻어야 한다(제17조). 정보주체의 동의는 개인정보 수집시에 얻어도 되고, 또는 실제 제공시에 얻어도 된다. 어느 경우이든지 불특정한 제3자에게 제공하여서는 아니 되고, 특정한 제3자에게 제공하여야 한다. 이 렇게 개인정보의 제3자 제공에 대하여 정보주체의 동의를 얻게 한 것은, 제3자 제공으로 인하여 개인정보처리자가 사실상 달라지는 것이므로 원 개인정보처리자의 수집목적 범위를 초과하였다고 볼 수 있기 때문이다. 이 경우 제공자는 정보주체에게 개인정보 제3자 제공에 관한 사항을 고지하여야 한다. 셋 째, 개인정보처리자의 이용목적이 광의의 수집목적을 초과하는 경우에는, 원칙적으로 정보주체로부터 별도의 동의를 받아야 한다(제18조 제1항, 제2항). 더불어 개인정보처리자의 제3자 제공목적이 원래의 제공목적을 초과하는 경우에도, 원칙적으로 정보주체로부터 별도의 동의를 받아야 한다(제18조 제1항, 제2항). 목적범위 외의 처리를 할 때에는 목적제한성을 깨는 것이기 때문에 별도의 동의가 필요하기 때문이다. 이 경우 개인정보처리자는 이용 또는 제공에 대한 사항을 정보주체에게 고지하여야 한다. 넷째, 개인정보의 위탁, 영업양도·합병 등에 따른 개인정보의 이전의 경우에는 동의를 받지 않아도 되며, 고지로 족하다(제26조, 제27조). 정보주체의 권리보호 측면에서 보면, 개인정보의 이전이 있으므로 동의를 받게 하는 것이 바람직해 보이기 하나, 개인정보보호법은 업무처리의 유연성을 고려하여 목적범위 외의 처리가 아니라 보아서 고지 정도로 만족하고 있다. 다만 정보통신망법은 위탁의 경우에 원칙적으로 동의를 받도록 하고 있음에 유의하여야 한다(정보통신망법 제25조 제1항). 이상의 내용을 간략하게 정리하면 다음과 같다. △ 동의 및 고지 : 광의의 수집, 제공 △ 별도의 동의 및 고지 : 목적 외 이용, 목적 외 제공 △ 고지 : 위탁, 영업양도·합병 △ 고지도 불요 : 목적 내 이용, 목적 내 제공 다만 정보통신망법에 따르면 아래와 같다. △ 동의 및 고지 : 광의의 수집, 제공, 위탁 △ 별도의 동의 및 고지 : 목적 외 이용, 목적 외 제공 △ 고지 : 영업양도·합병 △ 고지도 불요 : 목적 내 이용, 목적 내 제공
36 [정보보호법바로알기 51] 익명화에 의한 개인정보처리
[레벨:30]관리자
1627 2013-09-10
익명화 처리, 빅데이터 시대를 맞이한 우리에게 반드시 필요한 것 익명화 기술에 데이터마스킹, 슈도니미제이션, 어그리게이션 등 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다(개인정보보호법 제3조 제7항). 익 명화(Anonymisation)에 의한 개인정보처리는 개인정보보호법에서도 중요한 개인정보보호 원칙으로서 제시되고 있다. 이러한 익명화가 개인정보 분석과 처리가 활성화되는 빅데이터 시대에 프라이버시 보호대책으로서 각광을 받고 있다. 장 래 더더욱 중요성을 가지게 될 익명화에 의한 개인정보처리에 대해, 영국 ICO(Information Commissioner's Office)의 익명데이터 실무지침(Anonymisation : managing data protection risk code of practice)의 내용을 참조하여 살펴보고자 한다. 익명화란? 익명화 처리란, 정보주체를 식별하거나 식별할 수 있는 개인정보를 처리해 식별하지 못하거나 식별할 수 없는 형태로 만드는 조치를 의미한다. 대표적으로 CCTV로 수집되는 영상에서 얼굴을 마스킹하는 것이 그러한 예이다. 익 명화 기술로는, 데이터에서 이름과 같은 식별자를 없애는 데이터마스킹(Data Masking), 개인을 식별할 수 있는 식별자 대신에 새로운 인식기호를 붙이는 슈도니미제이션(Pseudonymization), 총체적으로 데이터를 표시하여 정보주체를 식별하지 못하게 하는 어그리게이션(Aggregation), 정확한 원래정보는 보여주지 않고 특징 값이나 파생 값을 표시하는 데이터 파생(Derived Data) 등이 있다. 예 컨대, [이순진, 26세, 여성, 학생, 대전 거주]이라는 데이터세트에서 이순진을 없애면 데이터마스킹이라 하고, 이순진을 없애고 NFJ001이라는 인식기호를 붙이면 슈도니미제이션, 26세·대전 거주라는 정보를 25세 이상 35세 미만·충청권 거주로 표현하면 어그리게이션이라 할 수 있다. 익명화를 하면 개인정보보호법이 적용되지 않는가? 익명화의 목적은 프라이버시 보호이다. 즉 식별성을 없애 누구의 정보인지 모르게 함으로써 누구의 정보가 처리되는지 구분할 수 없도록 하는 것이다. 프라이버시 보호 목적과는 별개로, 익명화된 정보에 대하여 개인정보보호법이 적용되는가? 원 칙적으로 익명화된 정보에 대하여는 개인정보보호법이 적용되지 않는다. 더 이상 식별성이 없어 개인정보가 아니기 때문이다. 하지만 원래부터 식별성 및 식별가능성이 없어 개인정보가 아닌 정보와, 일단 개인정보였다가 익명화 처리를 통해 식별성 및 식별가능성이 없어진 정보를 동일하게 취급하는 것이 타당한가 하는 의문이 생긴다. 익 명화된 정보에 대해 개인정보보호법이 적용되지 않더라도, 완전히 개인정보보호법의 적용을 배제하는 것은 타당하지 않다. 왜냐하면 익명화된 정보는 재식별화(Re-Identification) 과정을 거쳐 언제든지 식별정보가 될 수 있는 위험이 있고, 그래서 정보주체의 참여권을 완전히 배제하는 것은 부당하기 때문이다. 따 라서 익명화된 정보에 대하여 어느 정도 규율은 필요하다. 하지만 아직 우리 법제도는 이러한 점까지는 다루지 못하고 있다. 익명화된 정보처리 기술은 프라이버시 보호에 도움이 된다는 것이지, 완벽하게 프라이버시를 보호해줄 수 있는 것은 아니기에 이러한 점에 대하여는 법적 보완이 있어야 한다. 재식별화의 위험 이 세상에 완벽한 익명화는 존재하지 않는다. 언제든지 익명화된 정보는 다시 식별정보로 바뀔 수 있는 위험이 있다. 따라서 익명화된 정보에 대하여 원칙적인 개인정보보호법 적용배제를 시켜주는 대신, 반드시 점검해야 할 것이 바로 익명화 처리의 신뢰성이다. 재식별화란 두 가지 과정으로 발생하는데, 첫째는 기존에 소지하고 있는 식별정보와 결합하여 익명화 정보를 식별화시키는 것, 둘째는 비식별적인 익명화 정보를 분석·결합하여 식별화시키는 것인데, 후자가 더 큰 걱정거리이다. 재식별화는 시간의 흐름이나 기술의 발전에 따라 점차 용이해질 수 있기 때문에, 이러한 점에 대하여도 기술적·법적 고려가 있어야 한다. 정보주체의 참여권 익명화에 의한 정보처리의 경우, 특히 익명화된 정보를 공개하는 경우에도 어느 정도 정보주체의 참여권은 보장되어야 한다. 다만 식별정보 처리의 경우처럼 엄격한 참여권 보장은 필요하지 않다. 우선 식별정보를 익명화하는 과정에서 정보주체의 사전 동의를 받아야 하는가? 법적으로 보면, 정보주체의 동의는 불필요하다고 본다. 그러나 민감한 정보처리 등 일정한 경우는 고지 정도는 해주어야 하지 않을까. 한 편, 식별정보를 수집하는 과정에서 정보주체가 익명화에 의한 정보처리에 대하여 반대한 경우 또는 식별정보를 수집하는 과정에서 고지한 수집·처리목적을 벗어난 경우에도 익명화된 정보를 처리하는 것이 허용되는가의 문제도 발생하고 있다. 악용의 문제 익 명화 정보처리는 의료정보 등의 정보처리 과제에서 특히 중요하게 다루어지고 있다. 앞으로 유용한 처리수단으로 정착되어야 하겠지만, 일부에서는 개인정보 파기 대신에 식별자를 떼어내는 등의 익명화 처리를 하여 무기한 보관하는 경우도 있다. 식 별성에만 의존하고 있는 현행 개인정보보호법을 형식적으로 적용하면 이러한 행태에 문제가 없어 보이긴 하지만, 이러한 관행을 그대로 두게 되면 장차 개인정보의 파기 절차는 사실상 무의미하게 될 것으로 보인다. 예컨대 입사지원자 중 탈락자의 개인정보를 파기하지 않고 일부 식별자를 제거한 다음 보관하는 식으로 블랙리스트를 만들어 이를 활용해도 법적으로 제재할 방법이 없게 되는 것이다. 익 명화에 의한 개인정보처리. 빅데이터 시대를 맞이한 우리에게 반드시 필요한 것이다. 하지만 법적으로 보면 위험요소나 고려해야 할 것이 산적해 있는 상태이다. 법이 정비가 되지 않으면 익명화에 의한 개인정보처리도 활성화되지 않을 수 있다. IT법이 기술 발전 속도에 어깨를 나란히 해야 하는 이유이다.
35 [정보보호법바로알기 50] 개인정보 관련 10대 집단소송 사례④
[레벨:30]관리자
619 2013-08-27
개인정보 관리에 대한 주의의무 이행 여부가 쟁점 이번 연재는 개인정보 관련 집단소송 사례 마지막 연재로, 우리나라 개인정보보호 역사에 크나큰 공헌을 한 역대 10대 개인정보 관련 집단소송 사례들을 정리함으로써 개인정보보호의 역사가 어떻게 흘러왔는지를 살펴보고자 한다. 10. [2011. 7.] 네이트·싸이월드 해킹 사건 성 명불상의 해커는 2011. 7. 21. 00:40경 SK컴즈 DB기술팀 직원의 컴퓨터에 역접속을 시도하는 기능을 가진 악성프로그램을 유포하고, 2011. 7. 26.부터 2011. 7. 27.까지 중국 내 불상지에서 자신의 컴퓨터로 직원의 컴퓨터에 원격접속하여 SK컴즈 정보통신망에 침입했다. 그 리고 네이트 회원정보가 저장되어 있는 데이터베이스 서버, 싸이월드 회원정보가 저장되어 있는 데이터베이스 서버, 중복 저장 회원정보가 저장되어 있는 데이터베이스 서버에 침입하여 위 각 서버에서 처리, 보관하고 있는 개인정보를 자신이 지정한 외부 서버로 전송했다. 이 사건 해킹 사고를 통해 네이트 또는 싸이월드의 회원 중 34,954,887명의 개인정보가 유출됐는데, 유출된 개인정보에는 아이디, 비밀번호, 주민등록번호, 성명, 생년월일, 이메일 주소, 전화번호, 주소가 포함되어 있고 가입 당시 혈액형, 닉네임 등을 입력한 일부 회원들의 경우 위 혈액형, 닉네임 등도 포함되어 있었다. 경 찰의 수사 결과에 따르면, 이스트소프트는 압축 프로그램인 알집 중 국내 공개용의 경우, 무료로 배포하는 대신 프로그램 실행시 프로그램 창의 일부에 광고가 게시되도록 하여 수익을 얻고 있는데 이스트소프트는 위 광고를 교체하기 위해 알집 업데이트 서버를 이용하여 알집 프로그램에 ALAD.dll이라는 파일을 전송하고 있었다. 그 런데 해커는 정상적인 ALAD.dll 파일이 아닌, 동일한 이름의 악성 프로그램인 ALAD.dll 파일을 만들었고, 이를 이스트소프트의 알집 업데이트를 통해 국내 공개용 알집의 사용자 컴퓨터에 설치하기 위해 알집 업데이트 서버에 있는 ISAPI 필터에 stmpxml.dll 파일을 등록함으로써, SK컴즈 등 선별된 IP 주소에서 사용되는 컴퓨터가 알집 업데이트를 요청하는 경우, 해커가 설정한 악성 프로그램 유포지인 ‘http://inexon.softsforum.org’에서 악성 프로그램인 ALAD.dll 파일을 다운로드 받게 했다. 악 성 프로그램인 ALAD.dll 파일이 다운로드되면, 위 파일은 악성 프로그램인 ALAD.exe 파일을 생성·실행시키고, 위 프로그램은 키로깅(keylogging) 프로그램인 nateon.exe 프로그램을 실행시켜 키보드 입력값이 컴퓨터에 파일로 저장되게 되어 있었다. 2011. 7. 18. 08:58:27경 SK컴즈의 컴퓨터가 알집 업데이트 과정에서 악성 프로그램인 ALAD.dll 파일을 최초로 다운로드 받았고 그 후 2011. 7. 20. 14:59경 SK컴즈 직원의 컴퓨터에 nateon.exe 파일이 생성되어 2011. 7. 21. 02:02경 nateon.exe에 감염됐으며, 2011. 7. 23. 13:09경 위 직원의 컴퓨터가 update.exe 파일과 windowsrpc.dll 파일을 실행했다. 그 후 2011. 7. 26. 02:07경 위 해커가 직원의 컴퓨터를 경유하여 게이트웨이 서버에 DB 관리자 아이디로 접속했고, 이어서 SK컴즈의 DB 서버에 침입하여 개인정보를 덤프 파일로 생성하여 압축한 다음, 이를 게이트웨이 서버에 내려받고 직원의 컴퓨터로 내려받아 중국으로 전송했다. 이 사건에서의 주요 쟁점은, SK컴즈가 개인정보 관리에 대하여 주의의무를 다했는지 여부였다. 가. 서울중앙지방법원 2012. 11. 23. 선고 2011가합90267 판결 이에 대하여 원고들은, 1. SK컴즈는 해당 직원들이 저작권법 위반 사항인 국내 공개용 알집 프로그램을 불법적으로 사용하는 것을 방치함으로써 이 사건 해킹 사고를 초래했다. 2. 주민등록번호를 수집하지 않더라도 실명제 운영에 지장이 없음에도, 이를 수집하였는바, SK컴즈는 최소수집의무 등 개인정보 수집에 관한 주의의무를 위반했다. 3. 공개용 알집 프로그램은 자동 광고 업데이트 기능이 있어, 방화벽 외부에 있는 파일이 아무런 제약 없이 방화벽 내부로 진입할 수 있는 바, SK컴즈는 정당한 권한 없는 자가 정보통신망에 접근·침입하는 것을 방지할 의무를 위반했다. 4. SK컴즈가 침입탐지시스템을 제대로 설치·운영하고 이상 징후를 실시간 모니터링하였다면 개인정보 유출을 충분히 막을 수 있었을 것이다. 5. 개인정보보호 관리체계(PIMS, Personal Information Management System) 인증이 없는 등 정보통신망의 안전성을 확보할 의무를 이행하지 않았다. 6. SK컴즈는 악성 프로그램을 항시 점검·치료할 수 있는 백신소프트웨어를 설치하고 이를 주기적으로 갱신·점검할 의무를 위반했다. 7. SK컴즈는 개인정보를 보호하기에 충분한 내부관리계획을 수립·시행할 의무를 위반했다. 8. SK컴즈는 불법접근을 탐지하거나 방지하기 위한 시스템을 설치·운영하지 않았다. 9. SK컴즈는 불법적인 접근을 원천적으로 불가능하도록 망분리 조치를 할 수 있었음에도, 망분리를 하지 않았다. 10. SK컴즈는 공인인증서 등 추가적인 인증수단을 적용하여야 하는데, 이러한 추가적인 인증수단을 도입하지 않아, 해커가 쉽게 해킹할 수 있었다. 11. SK컴즈는 개인정보가 안전하게 저장·전송될 수 있는 암호화 기술을 사용할 의무를 위반했다. 12. SK컴즈는 사후 조치에 관한 주의의무를 위반했다. 고 주장했다. 이에 대하여 법원은, 1. SK컴즈의 저작권법 위반행위와 원고들의 주장과 같은 손해 발생 사이에 상당인과관계가 있는 것으로 보기에 부족하며, SK컴즈가 국내 기업용 알집 프로그램을 사용한 경우에도 국내 기업용 알집 프로그램의 업데이트 과정에서 본래의 다운로드 경로가 아닌 악성 프로그램 유포지에서 악성 프로그램을 다운로드 받도록 이스트소프트의 업데이트 웹사이트 ISAPI 필터를 조작하는 것이 가능했을 것으로 보여, SK컴즈가 국내 기업용 알집 프로그램을 사용하였더라도, 이 사건 해킹 사고를 막을 수 없었을 가능성을 배제할 수 없다. 2. 이 사건 해킹 사고 이전에는 정보통신망법에 따라 회원들로부터 주민등록번호를 수집하는 것이 가능했던 것으로 볼 수 있다. 3. 원고들은 국내 공개용 알집 프로그램에 자동 광고 업데이트 기능이 있어, 이를 사용할 경우 방화벽 외부에 있는 파일이 아무런 제약 없이 방화벽 내부로 진입할 수 있다고 주장하나, 이를 인정할 증거가 없다. 4. 규정에서 정한 기술적 및 관리적 보호조치에는 개인정보처리시스템에서 대량으로 유출되는 정보를 실시간으로 모니터링하는 보호조치가 포함되어 있는 것으로 보기 어렵고, SK컴즈가 이 사건 해킹 사고 당시 대량의 정보가 유출되는 이상 징후를 감지하지 못했다 하더라도, 이러한 사정만으로는 SK컴즈가 개인정보에 대한 불법적인 접근을 차단하기 위한 기술적 및 관리적 보호조치를 위반했다는 이 사건 나머지 원고들의 주장사실을 인정하기에 부족하다. 5. 이 사건 해킹 사고 당시에는 정보통신망법에 따른 정보보호 관리체계 인증이 정보통신서비스 제공자의 의무사항에 해당하는 것으로 보기 어렵다. 6. SK컴즈가 사용하고 있는 위 백신소프트웨어가 이 사건 해커가 만든 악성 프로그램의 침투 사실을 탐지하지 못하였다 하더라도, 이러한 사정만으로는 SK컴즈가 백신소프트웨어를 설치하고 주기적으로 갱신 및 점검하지 아니하였다는 이 사건 나머지 원고들의 주장사실을 인정하기에 부족하다. 7. SK컴즈 직원의 컴퓨터에 악성프로그램이 다운로드된 후 이 사건 해킹 사고 발생시까지 그 악성 프로그램을 발견하지 못하였다 하더라도, 이러한 사정만으로는 SK컴즈가 개인정보를 안전하게 취급하기 위한 내부관리계획을 수립·시행하지 아니하였다는 이 사건 나머지 원고들의 주장사실을 인정하기에 부족하다. 8. SK컴즈는 개인정보처리시스템에 아이디와 비밀번호를 입력한 후 계속해서 2차 로그인을 위해 이메일로 OTP 번호를 발송하여 로그인 하도록 하고, 개인정보처리시스템에 대한 접속권한을 아이피 주소 등으로 제한하여 인가받지 않은 접근을 제한하는 방화벽을 설치하는 방법으로 침입차단시스템을 설치·운영하고 있으며, 침입 차단시 개인정보처리시스템에 접속한 아이피 주소 등을 재분석하여 불법적인 개인정보 유출시도를 탐지하도록 하는 침입탐지시스템을 설치·운영하고 있다. 9. 이 사건 해킹 사고 당시의 이 사건 고시는 개인정보취급자 컴퓨터 등의 망분리 의무를 별도로 규정하고 있지 않았다. 10. 이 사건 해커는 외부에서 직접 개인정보처리시스템에 접속한 것이 아니라, SK컴즈의 내부로 침입한 후 직원의 컴퓨터에서 개인정보처리시스템에 접속한 것으로 보이는 바, 이와 달리 외부에서 개인정보처리시스템에 직접 접속하는 경우를 전제로 공인인증서 등 추가적인 인증수단을 강구하지 않아 SK컴즈가 기술적·관리적 보호조치를 위반하였다는 이 사건 나머지 원고들의 이 부분 주장은 이를 받아들이기 어렵다. 11. SK컴즈가 사용한 암호화 방식이 구식이어서 상대적으로 해독 가능성이 큰 것이 사실이라 하더라도, 이러한 사정만으로는 SK컴즈가 암호화 기술사용 관련 기술적 및 관리적 보호조치를 위반한 것으로 인정하기에 부족하다. 12. SK컴즈가 이 사건 해킹 사고를 인지하였을 때에는 이미 이 사건 해커에 의해 회원들의 개인정보가 모두 유출된 후인 것으로 보여, 그 인지 직후 경찰 등에 신고하였더라도, 이 사건 나머지 원고들의 주장과 같이 개인정보가 유출되는 상황을 방지할 수 있었을 것으로 보기 어렵다. 고 판시했다. 원 고들은 SK컴즈뿐만 아니라 이스트소프트와 대한민국(방송통신위원회)을 피고로 삼았으나 모두 패소했다. 하지만 이 판결과 달리 같은 사안에 대하여 2013. 2. 15. 선고된 아래의 서울서부지방법원 판결은 원고들의 일부 승소를 선고했다. 나. 서울서부지방법원 2013. 2. 15. 선고 2011가합11733, 2011가합13234(병합), 2011가합14138(병합), 2012가합1122(병합) 판결 원고들은, 1. SK컴즈는 대용량 개인정보의 유출을 탐지하지 못했다. 2. SK컴즈의 직원들의 컴퓨터에서 공개용 알집을 사용했다. 3. SK컴즈는 FTP 서비스를 제공했다. 4. SK컴즈의 담당직원은 DB에서 로그아웃을 하지 않고 퇴근했고, 자동 로그아웃 시간을 설정하지 않았다. 5. 비밀번호의 개인정보 암호화 수준이 낮다. 6. SK컴즈는 필요한 최소한의 정보 외의 개인정보를 수집하고, 이러한 개인정보의 제공을 강요한 잘못이 있다. 7. SK컴즈는 허용되지 않은 IP 주소로도 게이트웨이 서버에 접속할 수 있도록 한 잘못이 있다. 8. 해커는 이 사건 해킹사고와 동일한 방법으로 중국에서 원격접속을 통해 NHN의 내부망에 접근하였으나, NHN은 침입방지시스템을 통해 이를 차단했다. 9. 해킹사고 발생 후 SK컴즈가 이 사건 해커가 사용한 IP 주소를 차단하지 않아서 이 사건 해커가 2011. 7. 28. 같은 IP 주소를 이용하여 SK컴즈의 직원 컴퓨터로 다시 접속을 시도하였다. 10. SK컴즈가 이스트소프트사의 백신인 알약이나 안랩의 백신인 V3를 사용하였더라면 이 사건 해킹사고가 발생할 가능성이 적었다. 11. SK컴즈가 2011. 7. 26. 업무시간 중 같은 날 새벽에 원격접속의 방법으로 이루어진 대용량 개인정보 접속 내역에 대하여 아무런 사후 모니터링을 하지 않았기 때문에 같은 달 27. 추가적으로 발생한 해킹사고를 방지하지 못한 잘못이 있다. 12. SK컴즈는 원고들에게 재산적 손해배상으로서 20만원, 정신적 손해배상으로서 80만원을 지급해야 한다. 고 주장했다. 이에 대하여 법원은, 1. SK컴즈는 개인정보에 대한 불법적인 접근 및 유출을 차단하기 위하여 침입탐지시스템 등을 갖춤으로써 개인정보가 보관된 DB의 접속내역 및 DB에 접속하여 수행하는 업무내역을 실시간으로 모니터링하고, 통상적으로 수행되는 업무와 다른 형태의 업무가 수행되거나 비정상적인 트래픽이 발생할 경우 이를 탐지하여 DB 관리자에게 즉시 경고함으로써 DB 관리자가 이에 대한 조치를 취할 수 있도록 하는 시스템을 갖출 의무가 있다. 해 커가 대용량의 개인정보 파일을 DB 서버에서 게이트웨이로 내려받고, FTP 방식으로 위 파일을 게이트웨이에서 외부망인 에듀티에스 사이트에까지 전송하는 동안에도 이를 전혀 탐지하지 못했다는 것은 개인정보가 대량으로 전송되는 것을 이상 징후로 감지하는 기준이 설정되지 않은 상태였다고 볼 수밖에 없는 점 등을 종합하면, SK컴즈가 설정한 경고 발생의 기준이 지나치게 완화되어 있어서 개인정보를 보호하기에 매우 부족한 수준이었고, 그로 인하여 이 사건 해킹사고를 탐지하지 못하였다고 봄이 상당하다. 2. ALDA.dll 파일은 공개용 알집에만 포함되어 있으며, 공개용 알집이 아닌 기업용 등 다른 유료 알집의 업데이트 과정에서 악성 ALAD.dll 파일을 내려받은 내역이 발견된 바가 없고, 공개용 알집과 같이 실시간으로 외부 서버와 연결되어 있는 프로그램을 이용하는 것이 일반적으로 외부 서버와 연결이 끊어져 있는 프로그램을 이용하는 것보다 보다 용이하게 해킹의 대상이 되리라고 보인다. 3. SK컴즈는 정보통신망의 안정성 등을 확보하기 위해 게이트웨이에서 불필요한 FTP를 제거할 의무가 있는데, 이러한 의무를 이행하지 않았다. 4. SK컴즈의 DB 관리자가 DB 서버에 접속하여 업무를 수행한 후 로그아웃을 하지 않았고, 일정 시간 이상 작업을 수행하지 않으면 자동으로 로그아웃이 되는 아이들 타임(idle time)이나 접속 가능한 최대시간인 커넥트 타임(connect time)도 설정되어 있지 않았기 때문에 로그인이 된 상태로 계속 남아있었으며, 이를 이용하여 이 사건 해커가 OTP 번호를 새로 받지 않고도 DB 서버에 접근할 수 있었던 것으로 봄이 상당하다. 5. MD5는 그 보안 강도가 다른 해쉬함수에 비해 낮아서 일반적으로 권고되지 않는 암호화 방법인 사실을 인정할 수 있으므로, SK컴즈는 비밀번호 등 개인정보를 안전한 방법으로 저장할 의무를 위반하였다고 봄이 상당하다. 6. 당시에는 정보통신망법에 따라 정보통신서비스 제공자가 서비스 이용자들로부터 주민등록번호를 수집하는 것이 가능하였고, 실제로 대부분의 정보통신망서비스 제공자들이 주민등록번호를 수집하고 있었다. 7. SK컴즈는 게이트웨이에 접속가능한 IP 주소를 DB 서버에 접속할 권한이 있는 직원들이 사용하는 컴퓨터의 IP 주소로 한정시키고, DB 서버에 접속가능한 IP 주소는 게이트웨이의 IP 주소로 한정시키는 방법으로, 허용되지 않은 IP 주소를 통해 게이트웨이나 DB 서버에 접근할 수 없도록 조치를 취하고 있는 사실을 인정할 수 있다. 8. NHN이 차단한 것을 SK컴즈가 차단하지 못했다는 것만으로는 SK컴즈의 침입탐지시스템 등의 운영에 어떠한 잘못이 있다고 단정할 수 없다. 9. 원고들이 지적한 접근은 SK컴즈가 이 사건 해킹사고가 발생한 후 보안상의 취약점을 테스트하려는 목적으로 시행한 것으로 보인다. 10. 알약이나 V3가 SK컴즈가 사용한 피고 시만텍의 엔드포인트 프로텍션보다 우수하여 이 사건 해킹사고에 이용된 악성 파일을 더 잘 탐지하여 이를 치료할 가능성이 더 높았다고 인정하기에 부족하다. 11. 실시간 모니터링을 하는 외에 이 사건 해킹사고가 발생한 당일의 업무시간 중 실시간 모니터링에서 탐지되지 않은 이상 징후를 발견하기 위한 사후적인 점검조치를 했어야 한다고 보기 어렵다. 12. 이 사건 해킹사고로 인하여 원고들에게 어떠한 재산상 손해가 발생하였음을 인정하기에 부족하나, SK컴즈는 이 사건 해킹사고로 인하여 원고들이 입은 정신적 손해를 배상할 의무가 있고, 그 범위는 각 200,000원으로 정함이 상당하다. 고 판시했다. 원고들은 SK컴즈 외에 이스트소프트, 시만텍코리아, 안랩을 피고로 삼았으나, SK컴즈에 대한 일부승소와 달리 나머지 세 피고에 대하여는 패소했다. 이 판결에서는 먼저 선고되었던 서울중앙지방법원 판결과는 달리 SK컴즈의 주의의무 위반을 인정했고, 정신적 손해배상 20만원을 인용했다.
34 [정보보호법바로알기 49] 개인정보 관련 10대 집단소송 사례③
[레벨:30]관리자
765 2013-08-19
실제적인 피해 및 기업의 주의의무 위반 사항이 쟁점 개인정보 관련 집단소송 사례 세 번째로, 우리나라 개인정보보호 역사에 크나큰 공헌을 한 역대 10대 개인정보 관련 집단소송 사례들을 정리함으로써 개인정보보호의 역사가 어떻게 흘러왔는지를 살펴보고자 한다. 7. [2008. 3.] 엘지텔레콤(현 엘지유플러스) 사건 엘 지유플러스는 콘텐츠 제공업체들로부터 제공받은 모바일 콘텐츠를 이용자들에게 제공하고 있기에 서비스 제공을 위해 콘텐츠 제공업체로 하여금 부여받은 아이디와 패스워드를 통해 엘지유플러스의 고객정보 시스템에 접속할 수 있게 하고 있었다. 한편, 엘지유플러스의 CP인 코디너스는 엘지유플러스에 ‘mive’라는 연예인 화보 및 풍경 서비스를 제공하기 위해 엘지유플러스로부터 아이디 및 패스워드를 부여받았다. 그 런데 엘지유플러스의 CP로 가입하려는 엠샵사이트는 아직 CP로 가입하지 않은 상태에서 엠샵사이트와 엘지유플러스의 연동을 시험하는 과정에서 인증이 이루어지지 않자, 코디너스에 요청하여 코디너스의 CP 아이디와 패스워드를 제공받았는데, 이후 아이디와 패스워드를 삭제하지 않음으로써 그 이후에도 엠샵사이트에서 휴대폰 번호를 입력하면 폰정보 조회가 가능하게 되었다. 갑 은 우연히 엠샵사이트에서 엘지유플러스에 가입된 자신의 휴대폰 번호를 입력하면 주민등록번호, 가입일자, 휴대폰 기종 등의 정보가 URL에 나타나는 사실을 알게 되자, 친구인 을에게 위 사실을 알려 주었다. 을은 ‘폰정보 조회’ 페이지에서 키보드의 시프트 키를 누른 상태에서 휴대폰 번호를 입력하자 특정 URL이 나타났는데, 그 URL 뒷부분에 주민등록번호, 가입일, 휴대폰 기종 등이 그대로 표시되는 것을 확인하게 되자, 위 URL의 소스를 확보한 다음 자신이 2001년경부터 운영하는 개인 홈페이지에 ‘휴대폰 정보조회’라는 페이지를 만들었다. 이에 개인정보가 유출된 피해자들이 엘지유플러스와 코디너스를 상대로 손해배상청구를 하기에 이르렀다. 이 사건에서의 주요 쟁점은, 엘지유플러스가 코디너스에 아이디와 패스워드를 부여한 것이 원고들의 동의를 얻지 아니하고 원고들의 개인정보를 제공 또는 위탁한 것인지 여부, 누구라도 엠샵사이트에 접속하여 원고들의 개인정보인 주민등록번호를 알 수 있는 상태에 이르러 원고들에게 정신적 손해가 발생하였는지 여부, 엘지유플러스가 개인정보의 기술적·관리적 보호조치 의무를 이행하지 않았는지 여부, 코디너스의 아이디·패스워드 관리 부실에 대하여 엘지유플러스가 사용자책임을 지는지 여부 등이었다. 이에 대해 1심 법원은 엘지텔레콤측은 최소한의 보안장치도 마련하지 않은 채 800만명에 이르는 가입자 정보가 저장돼 있는 서버를 허술히 관리한 것으로 드러났다며, 원고 1인당 5만원을 지급하라는 원고 승소 판결을 선고했다. 그 러나 항소심 법원은 이에 대해, 첫째, ‘mive’를 사용하는 이용자는 자신의 주민등록번호를 이미 코디너스에 제공했으므로 엘지유플러스의 사용자 인증에 대하여도 자신들의 주민등록번호 제공을 동의했다고 봄이 상당하고 엘지유플러스가 코디너스에 아이디와 패스워드를 부여했다고 하여 코디너스에 원고들의 개인정보를 제공 또는 위탁했다고 볼 수 없다. 둘 째, ‘폰정보 조회’ 페이지에서 나타나는 정보는 색상, 액정크기 등에 불과하며 을과 같은 컴퓨터 전문가에 의해 분석을 거쳐야만 비로소 주민등록번호를 알 수 있으므로 개인정보를 URL에 그대로 붙여서 평문으로 전송된다는 사정만으로 원고들의 개인정보가 엘지유플러스의 관리통제권을 벗어나 제3자가 알 수 있는 상태에 이르렀다고 보기 어렵다고 해석했다. 또한, 설사 누구라도 엠샵사이트에 접속하여 원고들의 주민등록번호를 알 수 있는 상태에 이르게 하여 원고들 및 엘지유플러스의 원고들의 주민등록번호에 대한 관리·통제권을 벗어나 제3자가 알 수 있는 상태에 있었다 하더라도, 원고들의 주민등록번호가 그 의사에 반하여 실제로 검색되지 않았기에 검색될 수 있는 상태에 있다는 사정만으로 원고들에게 위자할 정도의 정신적 고통이 있었다고 볼 수 없다. 셋 째, 엘지유플러스가 원고들 주장과 같이 주의의무를 위반했다 하더라도 그 자체만으로 원고들의 사생활의 비밀과 자유를 침해했다고 볼 수 없고, 위와 같이 원고들의 주민등록번호가 누출되었거나 원고들이 정신적 고통을 받았다고도 볼 수 없다. 넷 째, 엘지유플러스가 코디너스에 대하여 사용자로서의 지위를 가지고 있고, 코디너스가 CP 계정을 제대로 관리하지 못했다 하더라도, 원고들의 개인정보가 누출되지 아니하고 금전으로 위자할 정도의 정신적 고통을 받았다고 볼 수 없는 이상 코디너스가 CP 아이디와 패스워드를 제대로 관리하지 아니한 사정만으로는 어떠한 불법행위가 성립한다고 볼 수 없다고 판시하였다. 이에 원고들은 상고했고, 현재 상고심 계속 중이다(2011다24555, 2011다24562). 8. [2008. 7.] 다음(Daum) 개인정보유출 사건 다음커뮤니케이션은 서비스 이용자가 다음에 접속하면 본인의 마지막 로그인 기록을 보여주는 기능을 추가한 프로그램을 개발해, 2008. 7. 22. 15:10경 이용자들을 대상으로 배포했다. 그런데 위 프로그램에 오류(일명 ‘버그’)가 발생해 동시간대에 다음 서버에 접속한 이용자들이 어떤 서비스를 요청한 경우 마지막에 서비스를 요청한 이용자의 이메일 정보가 동시에 접속한 다른 이용자들에게 노출되는 사고가 발생했다. 이 사건 사고 당시 로그기록을 분석한 결과에 의하면, 이 사건 사고로 인해 자신의 메일 내용을 다른 사람이 본 이용자는 최대 307명, 자신의 메일에 첨부된 파일을 다른 사람이 다운로드한 이용자는 최대 141명인 것으로 확인됐다. 이에 피해자들은 다음을 상대로 손해배상청구를 하기에 이르렀다. 이 사건에서의 주요 쟁점은 피고 다음에게 주의의무위반이 있는지 여부였다. 이 에 대해 법원은, 오늘날 인터넷을 통한 정보의 전달과 이용은 일반인에게도 필수적인 것이 되고 있고, 이를 보다 편리하고 안전하게 이용하기 위하여 새로운 프로그램을 개발하거나 기존 프로그램의 성능 개선을 원하는 고객들의 수요가 매우 큰 반면, 현재의 기술수준과 경제성에 비추어 프로그램 개발 과정에서 버그 발생 가능성을 완전히 배제하는 것은 거의 불가능한 바, 따라서 이 사건 사고로 인하여 원고들에게 금전으로 위자하여야 할 손해가 발생하였다거나, 피고에게 주의의무 위반이 있었다는 점을 인정하기 어렵다고 판시했다. 당 시 판결은 프로그램 개발 과정에서 발생하는 오류에 대하여 기업이 책임을 부담하는지에 관한 판결이다. 법원은 이 사건 사고에 대하여 본질적으로 새로 개발한 프로그램에 발생한 버그에 의한 것으로서, 피고가 영업상 이익을 추구하는 과정에서 개인정보보호 시스템에 중대한 하자를 야기하거나 이를 방치하는 등으로 개인정보 보호를 태만히 하여 발생한 것으로 볼 수는 없다고 판시한 것이다. 9. [2008. 7.] GS칼텍스 개인정보 유출사건 원 고들은 GS칼텍스가 제공하는 구매금액 등에 따라 포인트가 적립되는 주유 관련 보너스카드의 회원으로 가입하면서 GS칼텍스에 이름, 주민등록번호, 자택주소, 자택전화번호, 회사주소, 회사전화번호, 핸드폰번호, 이메일주소 등 개인정보를 제공했다. GS 칼텍스는 원고들을 비롯해 보너스카드 회원으로 가입한 고객들의 개인정보를 ‘보너스카드 데이터베이스’를 구축해 관리하고, 위 보너스카드 데이터베이스에서 고객들의 개인정보를 추출하여 ‘CSC(고객서비스센터) 데이터베이스’를 구축했으며, GS넥스테이션은 GS칼텍스로부터 위 CSC 운영업무 및 관련 장비 유지·보수 업무 등을 위탁받아 이를 수행했다. 그 러던 중 갑은 동료직원인 GS넥스테이션의 CSC팀 소속 을과 함께 위 CSC DB 접근권한을 이용해 고객정보를 빼낸 후 이를 시중에 판매하거나 집단소송을 의뢰받을 변호사에게 판매하는 방법 등으로 금원을 취득하기로 모의했고, 이에 갑은 2008년 7월 8일경부터 같은 달 20일경까지 GS넥스테이션 관리팀 사무실에서, 자신이 사용하는 사무용 컴퓨터를 이용해 데이터베이스 원격관리 프로그램인 PLSQL Deve loper에 평소 업무상 알고 있던 계정명 ‘lgcsc’와 비밀번호를 입력하여 CSC서버에 접속한 후 보너스카드 회원 11,517,125명의 성명, 주민등록번호, 주소, 전화번호, 이메일 주소 등 고객정보를 자신의 위 사무용 컴퓨터로 전송 받았다. 갑 은 2008. 8. 29. 자신이 편집한 DVD 1장을 병에게 전달해 주었고 병은 2008년 8월 28일경 변호사 사무실 사무장으로 재직하고 있던 정에게 GS칼텍스 보너스카드 회원 1,200만명의 개인정보를 가지고 있는데, 이를 넘겨 줄테니 GS칼텍스를 상대로 한 집단소송에 활용하고 그 수익을 달라고 제의했고, 이에 정은 집단소송을 위해서는 우선 개인정보 유출 사실이 언론에 보도되어 사회문제가 되어야 한다고 말했다. 이에 병은 모 매체 기자 등을 만나 ‘도심 쓰레기 더미에서 GS칼텍스의 고객정보가 담긴 DVD를 주웠다’는 취지로 말하며 기자 등에게 샘플 CD와 DVD를 교부했다. 갑 등은 언론보도가 나간 이후 각 검거되었고 갑 등이 소지하고 있던 고객정보가 수록된 CD, DVD, USB, 외장형 하드디스크 및 위 작업에 사용된 컴퓨터, 노트북 등은 모두 압수되었거나 폐기됐으며 기자들에게 제공된 CD 및 DVD는 언론보도 이후 전량 임의제출됐다. 이 사건에서의 주요 쟁점은, 개인정보가 유출되어 원고들에게 정신적 손해가 발생했는지 여부였다. 이 에 대해 1심 법원은 피고들에게 개인정보 누출로 인한 손해배상책임을 지우기 위해서는 우선 원고들의 개인정보가 피고들의 지배영역을 떠나 외부로 누출됨으로써 원고들에게 정신적 손해가 발생하였다는 사정이 구체적으로 입증되어야 한다고 할 것인 바, 개인정보 누출로 인하여 당해 개인정보를 모르는 제3자가 현실적으로 그 내용을 알게 되었다거나 적어도 이와 동일시할 수 있는 정도의 구체적이고 현실적인 고도의 위험이 발생할 것까지 요구되는 것은 아니라고 할지라도, 최소한 개인정보가 외부로 누출됨으로써 원고들의 개인정보가 불특정 다수에게 공개되어 이를 열람할 수 있는 상태 또는 원고들의 의사에 반해 원고들의 개인정보가 수집·이용될 수 있는 상태에 이르러 원고들의 개인정보 자기결정권이 침해되었다거나 침해될 상당한 위험이 발생했다는 점이 인정되어야 한다고 할 것이다. 그 러나 갑 등으로부터 저장매체 등은 모두 조기에 압수되거나 폐기된 점, 기자들이 소지하던 저장매체도 모두 회수된 점, 갑 등이 빼낸 고객정보가 다른 경로로 누출된 흔적이 발견되지 아니한 점 등에 비추어 보면, 원고들의 개인정보가 누출됨으로써 불법행위자인 갑 등 이외의 불특정 다수에게 공개되어 이를 열람할 수 있는 상태 또는 원고들의 의사에 반하여 원고들의 개인정보가 수집·이용될 수 있는 상태에 이르러 원고들의 개인정보자기결정권이 침해되었거나 침해될 상당한 위험성이 발생하여 원고들에게 정신적 손해가 발생하였다는 점을 인정하기 어렵다. 나 아가 갑 등의 행위로 인해 원고들이 자신들의 개인정보가 추가로 복제되어 유출됨으로써 제3자에 공개되거나 범죄 등에 도용 또는 악용될지도 모른다는 막연한 불안감이나 불쾌감을 가지게 될 수도 있었음은 능히 추단되나, 이러한 사정만으로는 원고들이 수인한도를 초과하여 피고들이 금전으로 위자할 만한 정신적 손해를 입었다고 할 수는 없다고 판시했다. 또 한 항소심 법원은, 이 사건 개인정보는 원고들의 성명, 주민등록번호, 전화번호, 이메일 주소 등 개인을 알아볼 수 있는 정보이고, ‘사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보’와 같이 정보주체에 관한 아주 민감한 정보는 아닐 뿐만 아니라, ‘은행계좌번호, 은행계좌의 비밀번호 등 금융에 관한 정보’와 같이 공개될 경우 곧바로 정보주체의 경제적 이익을 침해할 우려가 높은 정보에도 해당하지 않는 것인 점, 이 사건 개인정보는 범행공모자와 언론기관 관계자에게 유출된 직후 곧바로 전체가 회수되어 폐기된 점, 실제로 이 사건 개인정보가 부정하게 사용되었다거나 이 사건 개인정보의 유출로 말미암아 이를 취득한 제3자로부터 많은 양의 스팸메시지나 스팸메일을 받게 되었다는 등의 원고들이 개별적, 구체적인 피해를 입은 사실을 인정할 증거가 없거나 부족한 상태에서, 원고들의 이 사건 개인정보가 한때나마 유출된 적이 있었다는 사실만으로 원고들에게 정신적인 피해가 있었을 것이라고 단정하기는 어렵고, 달리 원고들이 개별적, 구체적으로 정신적 피해를 입었다고 인정할 만한 증거도 없으므로, 원고들에게 정신적 손해가 발생하였다고 보기는 어렵다고 판시했다. 이 에 대하여 대법원은 개인정보를 처리하는 자가 수집한 개인정보를 피용자가 정보주체의 의사에 반하여 유출한 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생했는지는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생했는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취해졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단해야 한다고 설명했다. 개 인정보가 유출된 후 저장매체에 저장된 상태로 공범들과 언론관계자 등에게 유출되었지만 언론보도 직후 개인정보가 저장된 저장매체 등을 소지하고 있던 사건 관련자들로부터 저장매체와 편집 작업 등에 사용된 컴퓨터 등이 모두 압수, 임의제출되거나 폐기된 점, 범행을 공모한 사람 등이 개인정보 판매를 위한 사전작업을 하는 과정에서 위와 같이 한정된 범위의 사람들에게 개인정보가 전달 또는 복제된 상태에서 범행이 발각되어 개인정보가 수록된 저장매체들이 모두 회수되거나 폐기되었고 그 밖에 개인정보가 유출된 흔적도 보이지 아니하여 제3자가 개인정보를 열람하거나 이용할 수는 없었다고 보이는 점, 개인정보를 유출한 범인들이나 언론관계자들이 개인정보 중 일부를 열람한 적은 있으나 개인정보의 종류 및 규모에 비추어 위와 같은 열람만으로 특정 개인정보를 식별하거나 알아내는 것은 매우 어려울 것으로 보이는 점, 개인정보 유출로 인하여 신원확인, 명의도용이나 추가적인 개인정보 유출 등 후속 피해가 발생했음을 추지할 만한 상황이 발견되지 아니하는 점 등 제반 사정에 비추어 볼 때, 개인정보 유출로 인하여 위자료로 배상할 만한 정신적 손해가 발생했다고 보기는 어렵다고 판시했다. 판 례는 이 사건에서 개인정보 유출로 인하여 위자료로 배상할 만한 정신적 손해가 발생하기 위해서는, ‘최소한 개인정보가 외부로 누출됨으로써 원고들의 개인정보가 불특정 다수에게 공개되어 이를 열람할 수 있는 상태 또는 원고들의 의사에 반하여 원고들의 개인정보가 수집·이용될 수 있는 상태’가 되어야 한다고 판단했다. 다 시 말하면 유출이 되었다고 하더라도 불특정 다수에게 공개될 가능성이 없는 상태라면, 기업은 손해배상책임을 부담하지 않는다고 판단한 것이다. 다만 제1심에서는 ‘원고들의 개인정보가 불특정 다수에게 공개되어 이를 열람할 수 있는 상태’를 요구한 것과 달리 대법원에서는 ‘제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지’를 판단기준으로 세웠다.
33 [정보보호법바로알기 48] 개인정보 관련 10대 집단소송 사례②
[레벨:30]관리자
969 2013-08-09
법령에 의한 정보보호 의무 조치 이행 여부가 쟁점 지난 번에 이어 우리나라 개인정보보호 역사에 크나큰 공헌을 한 역대 10대 개인정보 관련 집단소송 사례들을 정리함으로써 개인정보보호의 역사가 어떻게 흘러왔는지를 살펴보고자 한다. 5. [2006. 9.~2007. 7.] SK브로드밴드(옛 하나로텔레콤) 사건 하나로텔레콤은 2006년 4월경 텔레마케팅 사업자인 예드림씨앤엠과의 사이에 예드림씨앤엠이 하나로텔레콤의 가입자유치 등 업무를 위탁받기로 하는 내용의 영업업무위탁계약을 체결했다. 한 편, 하나로텔레콤은 2006년 9월경 SC제일은행과 사이에 하나로텔레콤의 멤버십카드와 SC제일은행의 신용카드 기능을 동시에 갖춘 제휴카드를 발행하기로 하고, 다음과 같이 제휴카드(하나포스SC 멤버스카드, 이하 ‘멤버스카드’) 발행에 관한 업무제휴계약을 체결했다. 1)하나로텔레콤의 고객 중 카드 발급을 희망하는 개인을 대상으로 하고, 2)회원 모집은 양 측의 공동 책임 하에 모집하며, 3)제휴카드는 하나로텔레콤의 멤버십 기능과 SC제일은행의 신용카드 기능을 동시에 부여함. 그 리하여 하나로텔레콤은 예드림씨앤엠에게 위 멤버스카드 발급 및 운영을 포함한 고객관리 업무 전반을 위탁했는데, 법률자문결과 위 업무제휴를 실행하기 위해서는 ‘개인정보를 예드림씨앤엠에 제공한다는 동의’, ‘제공한 개인정보를 신용카드 회원모집에 활용한다는데 대한 동의’ 및 ‘멤버쉽카드 회원모집을 위한 영리목적의 광고성 정보를 전화를 통해 제공한다는데 대한 동의’가 필요하다는 점을 알게 됐다. 이에 하나로텔레콤은 2006년 9월 21일 소비자 이용약관의 ‘개인정보보호방침’의 ‘개인정보 수집 및 활용목적’에 다음 표와 같이 추가된 내용을 하나로텔레콤의 인터넷 홈페이지에 고지했으나 고객들로부터 별도의 동의는 받지 않았다. 구분 당초 추가 내용 활용목적 고객만족프로그램(서비스만족도 조사, 상품소개 등) 하나포스멤버스카드 소개 상품명 가디언 등 18종(기타내용 포함) 하나포스멤버스카드 소개 업체명 □□ 등 유통망과 전산업체 다수 예드림씨앤엠 주식회사 요금관련정보 이용요금 청구·수납·미수채권 관리 하나포스멤버스카드 발급 이 후 하나로텔레콤은 2006년 9월 30일경부터 2007년 7월 20일경까지 예드림씨앤엠에게 하나로텔레콤의 초고속인터넷서비스인 하나포스 가입자 515,206명의 개인정보인 성명, 서비스명, 전화번호, 주민등록번호 중 앞부분 생년월일과 뒷자리 중 첫 번째 숫자, 주소, 사용요금조회 등의 정보를 제공했다. 그 방법은 별도의 저장장치를 통해 개인정보를 주고받은 것이 아니라, 하나로텔레콤이 설치하여 관리하고 있는 중앙정보시스템(개인정보처리시스템)에 접속할 수 있는 시스템을 예드림씨앤엠에 설치한 후 아이디 및 비밀번호 등으로 인증을 거쳐 권한을 부여받은 사람만 접속하여 열람할 수 있도록 하는 방식이었다. 예드림씨앤엠은 하나로텔레콤으로부터 위와 같이 정보를 제공받아 2006년 9월 30일경부터 2007년 7월 20일경까지 하나포스 가입자들에게 전화를 통하여 멤버스카드의 발급을 권유했다. 이 에 검사는 정보통신서비스 제공자인 하나로텔레콤 주식회사와 그 임원을, 이용자들의 개인정보를 수집하면서 ‘미리’ 고지하거나 약관에서 명시한 ‘개인정보의 이용목적’의 범위를 넘어 개인정보를 이용했다고 해 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘구 정보통신망법’) 위반으로 기소하고, 나아가 이용자들의 동의를 받지 아니하고 개인정보를 제3자인 예드림씨앤엠 주식회사에 제공했다고 하여 역시 구 정보통신망법 위반으로 기소하기에 이르렀으며(형사), 개인정보가 제공된 이용자들은 손해배상청구를 하기에 이르렀다(민사). 가. 형사판결 형 사사건에서의 주요 쟁점은, 구 정보통신망법 제24조 제1항에서 정한 ‘제22조 제2항의 규정에 의한 고지의 범위 또는 약관에 명시한 범위’의 의미, 즉 사후에 약관이 변경된 경우 변경된 약관을 기준으로 법 제24조 제1항 위반 여부를 판단해야 하는지 여부, 그리고 개인정보의 ‘제3자 제공’과 ‘타인 위탁’의 구별기준이었다. 구 정보통신망법(적용규정) 현행 정보통신망법 제24조(개인정보의 이용 및 제공 등) ① 정보통신서비스제공자는 당해 이용자의 동의가 있거나 다음 각호의 1에 해당하는 경우를 제외하고는 개인정보를 제22조제2항의 규정에 의한 고지의 범위 또는 정보통신서비스이용약관에 명시한 범위를 넘어 이용하거나 제3자에게 제공하여서는 아니된다. 제24조(개인정보의 이용 제한) 정보통신서비스제공자는 제22조 및 제23조제1항 단서에 따라 수집한 개인정보를 이용자로부터 동의받은 목적이나 제22조제2항 각 호에서 정한 목적과 다른 목적으로 이용하여서는 아니 된다. 제22조(개인정보의 수집) ① 정보통신서비스제공자는 이용자의 개인정보를 수집하는 경우 당해 이용자의 동의를 얻어야 한다. 다만, 다음 각호의 1에 해당하는 경우에는 그러하지 아니하다. ② 정보통신서비스제공자는 제1항의 규정에 의한 동의를 얻고자 하는 경우에는 미리 다음 각호의 사항을 이용자에게 고지하거나 정보통신서비스이용약관에 명시하여야 한다. 2. 개인정보의 수집목적 및 이용목적 제22조(개인정보의 수집·이용 동의 등) ① 정보통신서비스제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다. 1. 개인정보의 수집·이용 목적 ② 정보통신서비스제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집·이용할 수 있다. 이 에 대하여 법원은, 첫째, 구 정보통신망법 제24조 제1항에 의하면, 정보통신서비스제공자는 당해 이용자의 동의가 없더라도 법 제22조 제2항의 규정에 의한 고지의 범위 또는 정보통신서비스이용약관에 명시한 범위 내에서 개인정보를 이용할 수 있다고 보아야 하며, 동법 제22조는 ‘개인정보의 수집’에 관한 규정이고, 제24조는 ‘개인정보의 이용 및 제공’에 관한 규정으로서, 제22조 제2항 제2호에 의하면 정보통신서비스제공자는 개인정보 수집을 위한 동의를 얻고자 하는 경우 ‘미리’ ‘개인정보의 수집목적 및 이용목적'을 이용자에게 고지하거나 정보통신서비스이용약관에 명시하여야 한다고 규정하고 있다. 그 러므로 제24조 제1항에서 말하는 '제22조 제2항의 규정에 의한 고지의 범위 또는 약관에 명시한 범위’란 개인정보를 수집하면서 ‘미리’ 고지하거나 약관에 명시한 ‘개인정보의 이용목적’의 범위를 말하고, 사후에 정보통신서비스이용약관이 변경된 경우 변경된 약관을 기준으로 제24조 제1항 위반 여부를 판단하여야 한다고 볼 수는 없다고 판시하여, 사후에 변경된 약관을 기준으로 하여야 한다는 피고인들의 주장을 배척했다. 또 한, 법원은 둘째로, ①제24조에서 말하는 개인정보의 ‘제3자 제공’은 ‘제공받는 자의 목적’을 위하여 개인정보가 제공되는 경우로, 제25조에서 말하는 개인정보의 ‘타인 위탁’은 ‘제공하는 자의 사무처리’를 위한 경우로 구별되어야 하고, 따라서 제24조에 정한 ‘제3자’에는 개인정보 취급을 위탁받은 수탁자는 포함되지 아니한다고 해석하여야 하는 점, ②예드림씨앤엠은 실질적으로 하나로텔레콤의 상품 안내 및 가입자 유치를 목적으로 설립된 회사로서 하나로텔레콤과의 업무협약을 통해 하나로텔레콤 주식회사의 상품 안내를 위한 전화 영업을 하고, 그 수수료를 하나로텔레콤으로부터 지급받았으며, 하나로텔레콤 이외의 다른 동종 업체의 업무는 처리하지 않은 채 폐업한 점, ③하나로텔레콤이 가지고 있는 개인정보가 다른 저장매체나 출력물 등을 통해 예드림씨앤엠에 제공된 것이 아니라 하나로텔레콤의 서버에 접속할 수 있는 시스템을 별도로 설치하여 기간을 정하여 제한된 방법과 절차로만 접근이 가능하도록 한 점, ④예드림씨앤엠이 고객을 유치한 이 사건 제휴카드에는 단지 신용카드의 기능뿐만 아니라 하나TV의 설치비 면제 등 하나로텔레콤의 상품이나 고객의 혜택에 관한 내용도 포함되어 있는 점, ⑤예드림씨앤엠은 위 제휴카드를 신청한 고객의 경우 그 개인정보를 SC제일은행에 제공하기는 하였으나, 이는 하나로텔레콤의 업무협약 내용에 따른 것이고 고객과의 통화를 통해 카드 발급에 관한 동의를 얻은 후 이루어진 것인 점 등을 종합하면, 예드림씨앤엠은 구 정보통신망법 제24조에서 규정하는 ‘제3자’가 아니라 하나로텔레콤을 위하여 하나로텔레콤의 일부 업무를 위탁받아 수행하는 ‘수탁자’로서의 지위를 가진다고 판시하여, 하나로텔레콤은 개인정보의 ‘제3자 제공’이 아니라 ‘타인 위탁’을 한 것이라고 판단했다. 나. 민사판결 민 사사건에서의 주요 쟁점은, 하나로텔레콤이 원고들로부터 개인정보 수집·이용에 관한 적법한 동의를 받았는지 여부, 하나로텔레콤의 전화권유판매 사업자 등에 대한 개인정보 제공이 정보통신망법상 ‘취급 위탁’과 ‘제3자 제공’ 중 어디에 해당하는지 여부 등이었다. 이 에 대하여 법원은, 먼저 적법한 동의 여부와 관련하여, ①하나로텔레콤이 개인정보 수집·이용에 대한 동의 자료를 제출하고 있지 못하고 있는 원고들에 대하여는 개인정보 수집·이용에 관한 동의가 없었던 것으로 보았고, ②서비스개통 의사와 개인정보 수집·이용 의사를 분리하여 구하지 않고 ‘본인은 상기와 같이 서비스가 개통되었음을 확인합니다’며 동의 확인 부분을 생략하거나 ‘본인은 상기 개인정보의 제공 및 활용에 관한 동의서와 뒷면의 내용에 대하여 충분히 인지하고 준수할 것을 동의하며 서비스 개통되었음을 확인합니다’는 내용으로 그 의사의 확인을 구한 데 그친 원고들에 대해서도 하나로텔레콤이 개인정보 수집·이용에 관한 유효한 동의를 획득하지 못하였다고 보았으며, ③별도의 동의 양식을 제시했으면서도 개인정보 수집·이용에 관한 동의를 받지 않은 원고들의 경우 및 개인정보 수집·이용에 관한 동의를 받았다고 할지라도 동의 이전에 이미 취급 위탁의 형태로 개인정보를 외부에 제공한 원고들의 경우에는, 하나로텔레콤이 위 원고들의 동의 없이 개인정보를 이용·제공한 것이므로 위 원고들의 개인정보자기결정권을 침해했다고 보았다. 그러나 ④별도의 동의 양식을 제시하였고 개인정보 수집·이용에 관한 별도의 동의를 받은 후에서야 비로소 개인정보를 외부에 제공한 원고들의 경우에는 하나로텔레콤이 개인정보 수집·이용에 관한 동의 과정에서 그 원고들의 권리를 침해했다고 볼 수는 없다고 판시했다. 또한 법원은 둘째로, 적법한 위탁 여부와 관련하여, 이 사건은 정보통신서비스제공자인 하나로텔레콤 측의 사업 목적을 위해 개인정보를 외부에 제공한 것이므로, ‘제3자 제공’이 아니라 ‘취급 위탁’에 해당한다고 판시했다. 그 리하여 법원은 개인정보 수집·이용에 관한 동의를 받지 아니한 채 또는 동의를 받기도 전에 개인 정보를 외부에 제공한 원고들에게는 20만원의 위자료를, 개인정보 수집·이용 등에 관한 동의를 받았으나, 그 후 새로운 수탁자에게 취급 위탁을 하면서도 개정된 정보통신망법에 따른 동의 절차를 거치지 않은 원고들에 대하여는 10만원의 위자료를 인정했다. 이 사건은 동의의 방식, 수집목적을 벗어난 활용에 관한 정보통신서비스제공자의 책임, 제3자 제공과 타인 위탁의 구별 등 매우 중요한 쟁점들에 대하여 법원이 명확한 기준을 제시하여 준 중요한 사안이다. 6. [2008. 1.] 옥션 해킹 사건 중 국인 해커로 추정되는 갑은 ①2008. 1. 4. 04:49경부터 05:33경까지, ②2008. 1. 5. 03:33경부터 04:33경까지, ③2008. 1. 7. 04:08경부터 05:11경까지, ④2008. 1. 8. 02:42경부터 03:45경까지 등 4차례에 걸쳐 인터넷 오픈마켓사인 옥션의 웹 서버 중 하나인 이노믹스 서버[아이피(IP) 주소 : 211.233.17.184]에 침입하여 이노믹스 서버를 통해 피고 옥션의 메인디비2(MAINDB2) 데이터베이스 서버에 저장되어 있던 피고 옥션 회원의 이름, 주민등록번호, 주소, 전화번호, 아이디, 계좌번호 등 개인정보를 자신의 컴퓨터로 내려받아 이를 유출했다(10,807,471명의 개인정보 유출). 갑 은, 옥션이 운영하는, 아이디 ‘admin’, 비밀번호는 기본으로 설정되어 있는 톰캣 서버에 무단 로그인한 다음 위 서버에 백도어 프로그램을 올렸고, 이후 ‘ipconfig’ 등의 명령어를 실행하여 IP 주소 등 시스템 정보를 획득했으며, 3389 포트의 터미널 서비스를 기동한 다음, 자신의 IP 주소를 세탁하기 위하여 한국 내 경유지로 터미널 서비스 포트를 포워딩했다. 이어서 경유지인 서버를 거쳐 옥션의 이노믹스 서버를 통하여 데이터베이스 서버에 접속한 다음 데이터베이스 서버에 저장되어 있던 옥션 회원의 개인정보를 경유지로 전송하고, 경유지에서 개인정보를 백업한 다음 자신의 컴퓨터로 전송받은 것이었다. 이에 원고들은 옥션에게 30만원의 위자료 청구를 하기에 이르렀다. 이 사건에서의 쟁점은, 옥션이 법령에서 요구하고 있는 정보보호조치 의무를 다하였는지 여부였다. 이 에 대하여 원고들은, 옥션이 보안전담 부서를 따로 설치하지 않았고 웹 관련 해킹을 막기 위해서는 필수적으로 설치해야 하는 웹 방화벽을 웹 서버에 전혀 설치하지 않았으며, 2008. 1. 3.경 이노믹스 서버에 설치된 악성코드를 발견하고도, 데이터베이스 서버 관리자의 아이디를 변경하는 등의 적절한 조치를 취하지 않았다고 주장했다. 또한, 정보통신부 고시 제2005-18호에서 암호화 대상으로 규정하고 있는 본인인증 정보인 주민등록번호 등이 사건 데이터베이스 서버에 저장되어 있는 피고 회사의 개인정보를 암호화하지 않았으며, 서버에 대한 인증 및 접근 제어 시스템을 도입하지 않았다고 주장했다. 또 한, 웹서버인 이노믹스 서버에 대하여 아무런 보안 조치를 하지 않은 채, 전용선이나 ‘VPN’이 아닌 인터넷을 통해서도 외부에서 이노믹스 서버에 접근할 수 있도록 함으로써 해커에게 이노믹스 서버를 노출했고, 해커가 새벽 시간대에 이노믹스 서버를 통해 이 사건 데이터베이스 서버에 저장되어 있던 피고 회원의 개인정보를 조회하는 과정에서 이노믹스 서버로부터 데이터베이스 서버로의 정보조회 요청에 따른 비정상적인 다량의 쿼리(Query)가 발생했다. 그럼에도 이를 탐지하고 경고할 수 있는 모니터링 시스템을 갖추지 않아 이 사건 해킹 사고를 전혀 인식하지 못하였으며, 이노믹스 서버 관리자의 아이디, 비밀번호 앞 여섯 자리, 이 사건 데이터베이스 서버 관리자의 아이디, 비밀번호를 피고 옥션의 아이디 및 비밀번호에 대한 내부 관리 지침에 위배하여 설정했다고 주장했다. 옥 션은 원고들에게 서비스 이용계약에 따른 전자금융거래 서비스를 제공하는 계약당사자 또는「전자금융거래법」상 전자금융업자로서 접근매체의 위조나 변조로 발생한 사고, 계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고로 인하여 이용자가 입은 손해를 배상할 책임을 지는데, 이 사건 해킹사고를 통해 원고들의 금융정보가 유출되도록 했으며, 그 밖에 피고의 약관 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등에서 요구하고 있는 정보보호 조치 의무를 다하지 않았다는 것이 원고들의 주장이었다. 이 에 대하여 법원은, 첫째, 피고는 이 사건 해킹 사고 당시 정보보호정책 및 관리지침서 제2장 정보보호조직 관리지침에 따라 임원을 정보보호책임자로 임명하고 산하에 세부 분야별로 정보호호관리자 및 담당 직원(보안 전담 부서로는 SIT팀)을 운영하여 정보보호 업무를 한 사실이 인정되고, 둘째, 피고 옥션이 이 사건 해킹 사고 당시 이노믹스 서버를 비롯한 피고의 웹 서버에 웹 방화벽을 설치하지 않았다고 하더라도 관련 법령상으로도 웹 방화벽의 설치가 의무화되어 있지 않는 한 피고에게 그로 인한 주의의무 위반이 있다고 할 수 없다. 셋째, 피고 옥션이 2008년 1월 4일경 이노믹스 서버에 설치된 악성코드를 발견한 다음 수행한 대응 조치에 어떠한 주의의무 위반이 있다고 할 수 없고, 달리 피고 옥션이 이 사건 해킹 사고 당시 적절한 대응조치를 취하지 않아 이 사건 해킹 사고를 막지 못하였다는 점을 인정할 만한 증거가 없으며, 넷째, 주민등록번호는 생존하는 개인에 관한 정보로서 개인을 식별할 수 있는 개인정보에 해당될 뿐, 이 사건 고시 제5조 제1항에서 암호화 대상으로 정하고 있는 본인 인증 정보에는 해당되지 않는다. 그 리고 다섯째, 피고 옥션은 서버 운영체제인 ‘윈도우 서버 2003’에 내재되어 있는 인증 및 접근 제어 시스템인 ‘Active Directory’를 사용하여 중앙통제 방식으로 다양한 권한의 등급을 가진 사용자 및 하위 관리자의 인증 및 접근제어를 구현했고, 데이터베이스 관리 시스템(DBMS, Database Management System)의 하나인 ‘윈도우 SQL 서버’의 내재된 인증 및 제어 시스템을 사용하여 데이터베이스에 대한 SQL(질의) 작업시 별도 서버에서 가상 계정이 부여된 사용자만이 접근할 수 있도록 함으로써 비인가자의 데이터베이스 접근을 차단했다. 여 섯째, 해커가 이 사건 해킹 당시 침입하였던 이노믹스 서버에 대하여 외부 인터넷을 통해서도 접근이 가능했던 사실만으로는 피고 옥션이 이노믹스 서버에 대하여 아무런 보안 조치를 하지 않은 채 해커에게 이노믹스 서버를 노출하여 이 사건 해킹 사고가 발생하였다는 사실을 인정하기에는 부족하다. 일곱째, 이 사건 해킹 사고 당시 이 사건 데이터베이스 서버에서는 초당 약 3,333개(12,000,000개/3,600초) 정도의 쿼리가 발생하고 있었는데, 해커가 이 사건 해킹에 사용한 쿼리는 모두 십여 개에 불과하며, 이 사건 해킹 사고 당시 데이터베이스 서버에 대하여 평소 대비 정상 범위를 벗어난 수의 쿼리가 발생하거나 비정상 쿼리가 발생하는 경우 이를 실시간으로 탐지하여 문자나 메일로 알려주는 자체 개발 프로그램을 운영하고 있었는 바, 옥션이 이 사건 해킹 사고 당시 해커가 개인정보를 유출하는 과정에서 발생한 쿼리를 탐지하지 못하였다고 하더라도 그로 인한 주의의무 위반이 있다고 할 수 없다. 여 덟째, 시스템 관리자의 아이디와 비밀번호를 회사명 등 잘 알려진 단어로 설정하는 경우 브루트-포싱(brute-forcing) 공격에 취약해 브루트-포싱 공격을 시도하는 해커에게 시스템 관리자 권한을 빼앗길 우려가 크기는 하나, 이 사건 해킹 사고는 해커가 웹쉘을 통해 이 사건 데이터베이스 서버 관리자의 아이디와 비밀번호를 알아낸 다음 이를 통해 이 사건 데이터베이스 서버에 저장되어 있던 옥션 회원의 개인정보를 자신의 컴퓨터로 내려받아 이를 유출하여 발생한 것으로 추정된다. 설령 옥션이 내부 관리 지침에 위배하여 이노믹스 서버 및 이 사건 데이터베이스 서버 관리자의 비밀번호와 이 사건 데이터베이스 서버 관리자의 아이디를 회사명이 포함되게 설정했다고 하더라도, 이로 인해 이 사건 해킹사고가 발생했다고 볼 수는 없다고 판시했다. 나 아가 법원은, 이 사건 해킹 사고는 옥션이 저장·보관하고 있는 회원 개인정보의 도난에 해당할 뿐, ‘접근매체의 위조나 변조로 발생한 사고’, 또는 ‘계약체결 또는 거래지시의 전자적 전송이나 처리과정에서 발생한 사고’에 해당한다고 볼 수 없다. 그 리고 옥션은 이 해킹 사고 당시 이용약관 및 각종 기술적·관리적 정보보호조치의 이행, 그 밖에 피고 내부의 정보보호정책 및 관리지침에 따른 보안조치 등 다양한 방식의 해킹 방지 조치를 이행하고 있었던 점, 이 사건 해킹 사고는 초급 수준을 넘어 적어도 상당한 수준의 해킹 기술을 보유하고 있는 지능적인 해커에 의하여 발생한 것으로 보이는 점 등을 종합적으로 고려하면, 옥션이 이용약관 등에서 규정하고 있는 정보보호 치 의무를 다하지 않아 이 사건 해킹 사고를 예방하지 못했다고 할 수 없다. 그 러므로, 결국 옥션이 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제28조 제1항, 같은 법 시행규칙 제3조의3 제1항 및 이에 근거한 정보통신부 고시 제2005-18호, 제2007-3호에서 각각 규정하고 있는 개인정보 보호를 위한 기술적·관리적 조치를 다한 사실은 인정된다고 판시했다. 이번 사건은 해커가 톰캣 서버를 간단하게 뚫은 다음에 여러 단계를 거쳐 데이터베이스 시스템에 접근한 사건으로서, 대규모 해킹에 의한 개인정보 유출사건에 대해 법원이 기업의 과실을 부정한 대표적인 사건이다.
32 [정보보호법바로알기 47] 개인정보 관련 10대 집단소송 사례①
[레벨:30]관리자
778 2013-07-30
“크고 작은 개인정보 유출 사건이 개인정보보호법 제정 이끌어 내” 우리나라에서 일어난 개인정보 관련 집단소송의 시초는, 지금은 잘 알려져 있지 않지만 2001년에 있었던 삼성생명의 개인정보 무단제공 사건으로서, 1인당 위자료 200만원이라는 꽤 큰 규모의 손해배상액을 법원이 인정한 사례였다. 그 러다가 2005년 엔씨소프트 리니지 게임 개인정보유출 사건을 기점으로, 개인정보의 ‘대량유출’이라는 새로운 형태의 개인정보 사고유형이 우후죽순처럼 발생하기 시작하였고 이는 개인정보의 기술적·관리적 보호조치 기준의 내용을 매년 업그레이드 시키는 계기로 작용하였으며, 개인정보보호법이라는 기본법의 제정까지 이끌어 내었다. 또한 법원은 개인정보의 개념과 종류, 개인정보처리자의 주의의무의 내용과 정도, 손해발생의 판단기준 등에 대하여 법리를 하나 하나 발전시켜 나갔다. 특 히 2008년도의 옥션 해킹사건, 2011년도의 네이트·싸이월드 해킹 사건은 해킹으로 인한 개인정보 유출사건 중에서도 매우 큰 중요도를 차지하고 있는 사건들이라 할 수 있는데, 기업들이 취해야 할 보안조치의 내용들이 실질화되고 구체화되는 과정에서 가장 큰 역할을 한 사건들이었다. 한 편 개인정보 관련 사건 중에 유출사고 다음으로 중요한 카테고리는 바로 개인정보의 무단제공인데, 삼성생명 사건과 하나로텔레콤 사건이 바로 이에 해당한다. 이 사건들을 통해 제공과 위탁의 개념이 확실히 구분되었으며, 동의의 실질성에 대해서도 법원이 일응의 기준을 제시하여 주게 되었다. 아래에서는 이와 같이 우리나라 개인정보보호 역사에 크나큰 공헌을 한 역대 10대 개인정보 관련 집단소송 사례들을 정리함으로써, 개인정보보호의 역사가 어떻게 흘러왔는지를 살펴보고자 한다. 1. [2001. 2.~2001. 5.] 삼성생명 개인정보 무단제공 사건 삼 성생명은 신용정보제공·이용자로서 삼성생명의 금융상품에 가입하고 있는 고객 중에서 다른 금융기관으로부터 높은 이율로 대출을 받은 고객들을 파악해 그들을 상대로 삼성생명이 판매하는 아파트담보대출상품을 효과적으로 홍보하고 그 대출상품으로의 전환을 유도하기로 하였다. 이 에 삼성생명은 전국은행연합회로부터 제공받은 다른 금융기관의 대출정보 및 삼성생명이 자체적으로 수집·보관하고 있던 고객정보를 혼합하는 방법으로 원고들을 포함한 개인신용정보주체의 이름, 주민등록번호, 주소, 전화번호, 대출금융기관, 대출금액 등의 신용정보를 정리한 수십만건의 자료를 마련한 뒤, 이를 삼성생명의 보험영업본부 산하 충청지역단 등 수 개의 지역단에 송부하여 지역단 산하 각 지점 및 영업소를 통하여 그 소속 보험모집원들에게 이를 배포하였다. 뒤늦게 이 사실을 알게 된 원고들은 삼성생명을 상대로 300만원의 손해배상을 청구하였다. 이 사건에서의 주요 쟁점은, 삼성생명이 보험모집원들에게 위와 같이 신용정보를 제공한 행위가 신용정보의 이용 및 보호에 관한 법률을 위반하여, 원고들에게 정신적 손해배상을 하여야 하는지 여부였다. 이 에 대하여 법원은, 삼성생명이 대출상품의 판매를 위한 수요자의 물색 및 그에 대한 효율적인 영업활동이라는 적극적인 영업목적을 위하여 원고들로부터 서면에 의한 동의를 받지 아니하고 임의로 원고들의 신용정보를 추출·가공하여 영업조직에 배포하는 방법으로 이용하였으므로, 이는 신용정보법에 반하는 위법행위라고 할 것이고, 이러한 위법행위에 관하여 삼성생명에게 고의 또는 과실이 없다는 점을 인정할 만한 아무런 증거가 없으므로, 피고는 원고들에게 손해를 배상할 의무가 있다고 판시하였다(위자료 200만원 인정). 다만 법원은 피고가 영업조직을 통하여 보험모집인들에게 원고들의 신용정보를 배포한 행위를 신용정보법에서 규정하고 있는 신용정보의 누설로 볼 수는 없다고 하였다. 이 는 신용정보의 이용 및 보호에 관한 법률 제33조에 규정된 개인신용정보의 이용에는, 적극적으로 금융상품을 판매할 상대방을 선정하고 그와의 거래관계의 설정 여부를 결정하기 위하여 고객들의 신용정보를 이용하는 경우는 포함되지 않는다는 점, 상품판촉을 위하여 신용정보를 추출·가공하고 타인에게 배포하는 행위는 신용정보의 위법·부당한 이용이라는 점을 확인한 의미 있는 판결이었다. 다만 참고로 2012년 12월경 금융위원회는 위 판결 이후 개정된 보험업법 시행령에 근거하여 보험사의 고객 개인식별정보를 활용한 마케팅 행위는 징계할 수 없다는 판단을 한 바 있다. 2. [2005. 5.] 엔씨소프트 리니지 게임 개인정보유출 사건 온 라인 게임 운영업체인 엔씨소프트사는 게임 서버의 업데이트 과정에서 이용자들의 개인정보인 아이디와 비밀번호가 암호화되지 않은 상태에서 로그파일에 저장되도록 함으로써, 컴퓨터에 관한 상당 수준의 전문지식이 있는 사람이라면 누구라도 그에 접근하여 이용자들의 아이디와 비밀번호를 알 수 있는 상황을 발생시켰는데, 이에 이용자들은 엔씨소프트사를 상대로 손해배상청구를 하기에 이르렀다. 이 사건에서의 주요 쟁점은, 아이디와 비밀번호 등의 식별번호가 개인정보인지 여부, 피고 회사에게 과실(주의의무 위반)이 있는지 여부, 이를 개인정보의 누출로 볼 수 있는지 여부 등이었다. 이 에 대해 법원은, 첫째, 아이디와 비밀번호 등 식별부호는 실제공간과는 달리 익명성이 통용되어 행위자가 누구인지 명확하게 확인하기 어려운 가상공간에서 그 행위자의 인격을 표상한다고 할 것이므로, 개인에 관한 정보로서 당해 개인을 알아볼 수 있는 정보, 즉 ‘개인정보’에 해당한다고 하였고, 둘째, 엔씨소프트사는 원고들의 개인정보가 누출되지 않도록 암호화기술 등을 이용한 보안조치를 다하여야 할 주의의무를 부담함에도, 이 사건 게임서버의 정기점검·업데이트 과정에서 원고들의 개인정보인 아이디 및 비밀번호가 암호화되지 않은 상태로 원고들이 사용한 컴퓨터에 생성·저장된 로그파일에 기록되도록 함으로써 위와 같은 주의의무를 위반하였다고 보았다. 다 만 셋째, ‘누출’이라 함은 개인정보가 정보통신서비스 제공자 및 이용자의 개인정보 관리·통제권의 범위를 벗어나 당해 개인정보를 모르는 제3자가 그 내용을 알 수 있는 상태를 이르는 것을 의미한다고 봄이 상당하고, 나아가 침해, 누설, 도용의 경우처럼 당해 개인정보를 모르는 제3자가 현실적으로 그 내용을 알게 되었다거나 적어도 이와 동일시 할 수 있는 정도의 구체적이고 현실적인 고도의 위험이 발생할 것 또는 당해 개인정보를 모르는 제3자에게 그 내용을 알릴 것 또는 이를 도용할 것까지 요구하는 것은 아니라고 볼 것인데, 접속 당시 피시방 컴퓨터를 이용한 원고들의 경우에는 피시방 컴퓨터에 위 원고들의 아이디 및 비밀번호가 담긴 로그파일이 저장됨으로써 컴퓨터에 관한 일정 수준의 지식이 있는 제3자라면 누구라도 로그파일에 접근하여 위 원고들의 아이디 및 비밀번호를 알 수 있는 상태에 이르렀으므로, 위 원고들의 개인정보는 누출되었다고 봄이 상당하지만, 접속 당시 집에 있는 개인용 컴퓨터를 이용한 원고들의 경우에는 위 원고들의 아이디 및 비밀번호가 담긴 로그파일은 위 원고들이 집에서 사용하는 개인용 컴퓨터에 저장되었을 뿐이므로, 위 원고들의 개인정보 관리·통제권의 범위를 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르렀다고 보기 어려우므로, 위 원고들의 개인정보는 누출되지 않았다고 봄이 상당하다고 판시하였다(피시방 컴퓨터를 이용한 원고들에 한하여 위자료 10만원 인정). 이 판결은 개인정보에 관한 안정성 확보에 필요한 기술적·관리적 조치에 대한 구체적 판단에 나아간 판결로서, 서버의 정기점검·업데이트 과정에서 발생할 수 있는 개인정보의 유출에 대하여 회사의 과실을 인정하였고, 나아가 유출로 인한 정신적 피해도 인정한 판결이다. 특히 유출의 개념을 구체화하여 설시한 판결로서, 어느 정도에 이르면 유출을 인정할 수 있을지에 대하여 의미있는 판시를 하고 있다. 3. [2006. 3.] 국민은행 개인정보유출 사건 국 민은행은 국민은행과의 사이에 복권서비스 이용계약을 체결한 가입 회원 중 최근 3개월간 위 서비스를 이용하지 아니한 32,277명의 회원들에게 서비스에 관한 안내 이메일을 발송하는 과정에서, 피해자인 원고들을 포함한 위 32,277명의 회원들의 성명, 주민등록번호, 이메일 주소, 최근 접속일자가 수록된 텍스트 파일을 이메일 첨부파일란에 첨부하여 발송하고 말았다. 이 후 국민은행은 위 이메일을 전송받은 3,723명의 회원들의 이메일 계정을 관리하는 포털사이트 운영자에게 위 이메일을 회수하여 줄 것을 요청하여, 이미 이메일을 열람한 641명의 회원들을 제외한 나머지 회원들에게 전송된 이메일을 회수하였다. 이 사건에서의 주요 쟁점은, 이메일 주소가 개인정보에 해당하는지 여부, 개인정보 보호에 관한 주의의무를 위반하였는지 여부, 피해자들에게 정신적 손해가 발생하였는지 여부 등이었다. 이 에 대해 법원은, 첫째, 이메일 주소는 당해 정보만으로는 특정 개인을 알아볼 수 없을지라도 다른 정보와 용이하게 결합할 경우 당해 개인을 알아볼 수 있는 정보라 할 것이므로 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조 제1항 제6호에서 정한 ‘개인정보’에 해당한다고 판시하였다. 둘 째, 국민은행은, 위 이메일에 대한 발송승인을 할 때 메일 서버 시스템의 속도가 과부하로 인하여 순간적으로 느려져 이 사건 파일이 첨부파일란에 업로드되었다는 표시가 나타나지 않았고, 그와 같은 문제로 인하여 위 발송담당자는 이 사건 파일이 이메일에 첨부되었다는 사실을 확인할 수 없는 상태에서 위 이메일을 발송하게 된 것이므로 이 사건 사고는 메일 서버 자체의 기술상의 하자에 기인한 것이어서 과실이 없다는 취지로 다투었으나, 법원은 이메일 발송담당자가 위 이메일을 발송할 때 피고의 메일 서버 시스템이 과부하로 인하여 그 속도가 순간적으로 느려졌다는 점을 인정할 증거가 부족하고, 설사 사실이 그와 같다 하더라도 이 사건 사고가 메일 서버 자체의 기술상의 하자에 기인한 것이라거나 피고에게 과실이 없다고 할 수 없다는 이유로 국민은행의 위 주장을 받아들이지 않았다. 셋 째, 법원은 국민은행이 원고들의 성명, 주민등록번호, 이메일 주소 등을 누출함에 따라 원고들은 자신들의 위와 같은 개인정보를 제3자가 알게 되거나 이를 도용 또는 악용할지도 모를 위험에 노출되었다 할 것이므로, 원고들이 이 사건 사고로 받은 정신적 고통은 통상손해이고, 비록 국민은행이 신속하게 사후조치를 취하여 결과적으로 원고들의 성명, 주민등록번호 및 이메일 주소가 악용 또는 도용되었다는 사실이 없는 것으로 판명되고, 이메일 시스템상의 스팸메일 제한장치의 작동으로 스팸메일의 유해성으로부터 어느 정도 보호받을 수 있는 등의 사정들이 있다 하더라도, 이러한 사정들은 위자료 액수의 산정 과정에서 참작할 요소에 불과할 뿐, 이를 이유로 위와 같이 인격권을 침해받은 원고들에게 정신적 손해가 발생하지 않는다고 볼 수는 없다고 판시하였다(성명, 주민등록번호, 이메일주소가 누출된 원고들의 위자료는 20만원, 성명, 이메일주소가 누출된 원고들의 위자료는 10만원). 이 사건에서 이메일 주소가 개인정보에 해당하는 점, 국민은행의 법위반 사실 또는 과실이 인정된 점 외에 관심을 가져야 할 것은, 개인정보가 유출된 경우 겪을 피해자들의 정신적 고통은 통상손해인바, 개인정보가 유출되어 TM, 스팸, 보이스 피싱 등의 2차적 피해가 발생했는지 여부는 정신적 손해 인정에 고려되지 않는다는 점, 유출된 개인정보의 양에 따라 정신적 손해배상의 액수가 달라질 수 있다는 점이다. 4. [2006. 9.] 엘지전자 개인정보 유출 사건 원 고들은 엘지전자의 온라인 입사지원사이트에 입사지원의 목적으로 개인정보를 제공하였는데, 불합격통지를 받은 갑이 URL정보를 분석하여 링크파일을 만들고 이를 통하여 일반인들도 쉽게 채용사이트에 접속하여 원고들의 사진, 기본인적사항(성명, 주민등록번호, 전화번호, 주소, 병역사항, 희망근무지ㆍ직무), 상세인적사항(학력사항, 대학교 및 대학원의 경우 학점 포함, 어학성적), 자기소개(자신이 가진 열정에 대하여, 본인이 이룬 가장 큰 성취에 대하여, 본인의 가장 큰 실패 경험에 대하여, 본인의 역량에 관하여, 본인의 성격에 관하여, 본인의 10년 후 계획에 대하여), 경력/인턴(경력회사, 경력상세기술서, 최종연봉·희망연봉, 인턴경험), 연구실적(석사학위 이상만 기재, 수행프로젝트, 세부전공, 입사후 희망 연구분야)을 열람하게 되는 사고가 발생하자, 원고들은 엘지전자를 상대로 손해배상을 청구하기에 이르렀다. 이 사건에서의 주요 쟁점은, 개인정보의 범위, 엘지전자가 불법행위책임자로서 원고들의 정신적 고통을 위자할 의무가 있는지 여부, 정신적 손해 발생 여부, 손해배상의 범위 등이었다. 이 에 대하여 법원은, 첫째, 엘지전자는 정보를 취득한 자가 당해 개인을 알지 못하는 한 “화상” 정보인 사진만으로는 개인의 식별이 불가능하다는 취지의 주장을 하나, “개인을 식별할 수 있는 정보”는 당해 정보에 의하여 개인을 식별할 가능성만 있으면 되는 것이고 정보를 취득한 자가 당해 개인이 누구인지 구체적으로 특정할 것은 요하지 않으며, 이 점은 성명이나 주민등록번호의 경우도 마찬가지라고 판시하였다. 그 리고 법원은, 둘째, 입사지원사이트의 URL이 Ctrl키와 N키를 함께 누르는 간단한 조작(새창열기 기능의 실행)으로 노출되고, 입사지원자의 지원서 내용을 열람할 수 있는 URL 중 특정 변수의 인자값을 변경하여 입력하면 위 사이트에 침입하여 타인의 입사지원서를 열람할 수 있는 보안취약점을 간과하였고 입사지원사이트의 웹서버에 웹방화벽을 적용하지 않고 있었던 점, 갑은 2006. 9. 21.부터 2006. 9. 26. 이 사건 게시물을 올리기 전까지 인터넷 웹브라우저 프로그램의 주소 입력창에 엘지전자의 입사지원사이트의 주소를 입력하고 Process ID에 임의의 값을 입력하는 방법으로 44회에 걸쳐 엘지전자의 입사지원사이트를 방문하여 다른 사람의 입사지원정보를 열람하였다. 그러나 엘지전자의 전산시스템은 이와 같은 침입에 대한 탐지장치가 구비되어 있지 않았던 점, 갑이 만든 간단한 자바스크립트 링크파일을 실행하기만 하면 로그인 등 아무런 인증절차 없이 엘지전자의 DB서버에 저장된 입사지원자 50명의 사진(화상정보)이 한꺼번에 보여지고 사진을 클릭하면 당해 개인의 학력, 자기소개서 등의 정보가 노출되었던 점, 갑은 같은 방법으로 다른 대기업의 입사지원사이트에도 침입을 시도하였으나, 엘지전자 등 4개 회사를 제외하고는 보안장치에 막혀 그 뜻을 이루지 못한 점 등에 비추어 보면, 엘지전자는 당시의 기술수준에 비추어 보더라도 엘지전자가 그 신입사원의 채용을 위한 목적으로 보관중인 개인정보의 분실·도난·누출 등 방지에 필요한 보안조치를 강구하여야 할 주의의무를 위반하였다고 할 것이다. 이 로 말미암아 갑이 위 URL정보를 분석하여 위 링크파일을 만들고 이를 통하여 일반인들도 쉽게 이 사건 채용사이트에 접속하여 위 원고들의 입사지원정보를 열람하게 되는 결과가 발생하였으니, 엘지전자의 위와 같은 과실과 이 사건 사고 사이에는 상당인과관계가 있다고 판시하였다. 또 한 셋째로, 위 원고들이 이 사건 사고로 인하여 자신들이 입사지원의 목적으로 제공한 개인정보가 불특정 다수인들에 의하여 열람당함으로써 정신적 고통을 받았을 것임은 경험칙상 쉽게 인정할 수 있으므로, 엘지전자는 불법행위책임으로서 위 원고들의 정신적 고통을 금전으로나마 위자할 의무가 있다고 하였다(위자료 30만원 인정).
31 [정보보호법바로알기 44] 병원·의료기관에서의 진료·개인정보보호③
[레벨:30]관리자
674 2013-07-09
병원에서의 진료 및 개인정보 유출시 병원·환자가 취해야할 조치 향후 진료정보 관련 3가지 과제는 원격진료, 빅데이터, 그리고 보안 이번에는 Q&A로 풀어본 병원에서의 진료·개인정보보호, 마지막 순서로 진료정보나 병원·의료기관에서 취급하는 개인정보의 유출통지, 유출시 손해배상 책임, 영상정보처리기기, 향후 과제 등에 살펴보기로 한다. <유출통지> Q 23. 진료ㆍ개인정보가 유출됐을 때, 병원이 취해야 하는 조치는? 진료·개인정보가 유출됐을 때, 병원에게는 두 가지의 의무가 발생한다. 정보주체에 대한 통지의무와 안전행정부, 한국인터넷진흥원(KISA), 한국정보화진흥원(NIA)에의 신고의무가 그것이다. 먼저 통지의무에 관하여 살펴보면, 진료·개인정보가 유출된 즉시 병원은 정보주체에게 지체 없이 개별적으로 통지해야 하고, 이 경우 통지의 방법은 서면, 전자우편, 팩스, 전화, 문자전송 등의 방법을 활용할 수 있다. 정 당한 사유가 없는 한 5일 이내에 통지해야 하며, 통지의 내용에는 ①유출된 진료·개인정보 항목 ②유출된 시점 및 경위 ③유출로 인한 피해를 최소화하기 위해 정보주체가 할 수 있는 방법 등에 관한 정보 ④병원의 대응조치 및 피해 구제절차 ⑤피해 발생시 신고 등을 접수할 수 있는 담당부서 및 연락처가 포함되어 있어야 한다. 한 편, 1만명 이상의 개인정보가 유출되면 5일 이내에 안전행정부나 한국정보화진흥원, 한국인터넷진흥원에도 신고해야 한다. 다만 이 경우 정보주체에의 개별 통지에 그쳐서는 아니 되고, 홈페이지에 유출통지 내용(위 5개 항목)을 7일 이상 게시해야 한다. Q 24. 진료·개인정보가 유출됐을 때, 정보를 유출당한 환자가 취할 수 있는 절차는 어떤 것이 있는가? 진 료·개인정보가 유출된 피해자의 경우는, ①한국인터넷진흥원의 개인정보침해신고센터(☏118, privacy.kisa.or.kr)에 신고할 수도 있고 ②병원과 분쟁이 있는 경우 분쟁조정위원회에 분쟁조정을 신청하여 조정을 받을 수도 있다. 분쟁조정으로 인하여 손해배상도 받을 수 있다. 조정은 자발적인 합의를 전제로 하므로, 일방이 불복하여 소송을 제기하게 되면 분쟁조정은 성립하지 않게 된다. <유출시 손해배상책임> Q 25. 진료·개인정보를 유출당한 피해자는 병원으로부터 손해배상도 받을 수 있는가? 진료·개인정보가 유출된 피해자는 개인정보보호법 제39조에 의하여, 병원에 대하여 손해배상청구를 할 수 있다. 이 경우 피해자인 원고는 병원의 의료법이나 개인정보보호법 위반 사실에 대하여 입증해야 한다. 그 밖에 진료·개인정보 유출에 대하여 책임이 있는 병원은 행정상 과태료, 형사적 처벌도 받을 수 있는 바, 피해자는 병원에 대하여 행정상 신고 또는 형사상 고소의 조치를 취할 수 있다. <영상정보처리기기> Q 26. 병원 내부의 근로자 모니터링을 위하여 CCTV를 설치할 수 있는가? 근 로자참여 및 협력증진에 관한 법률 제20조 제1항 제14호에 의하면, 사업장 내 근로자 감시 설비의 설치에 대하여 근로자와 사용자로 구성되는 노사협의회에서 협의할 수 있다고 되어 있는 바, 회사 내부의 근로자 모니터링이 위법은 아니다. 따 라서 병원의 사용자는 병원 내부에 근로자 모니터링 목적으로 CCTV를 설치할 수 있다. 더불어 CCTV가 설치된 회사 내부가 일반인에게 공개된 장소가 아니라면 개인주택의 경우처럼, CCTV에 관한 법령상의 의무 규정이 적용되지 않는다. 다만 병원 내부의 근로자 모니터링을 위한 CCTV라도 개인정보를 수집하고 있으므로 촬영범위에 있는 모든 사람들의 동의를 얻어야 하며, 만일 CCTV가 설치된 병원 내부의 장소가 일반인의 출입이 잦은 곳이라면 공개된 장소로 보아야 할 것이므로 CCTV에 관한 법령상의 의무 규정이 적용된다. Q 27. 대형병원 안에 여러 대의 CCTV를 운영 중인데, 이 경우 CCTV마다 안내판을 설치해야 하는가? 건 물 안에 여러 대의 CCTV를 설치하고 운영하는 경우, 출입구 등 사람들에게 잘 노출되는 곳에 해당 건물 안에 여러 대의 CCTV가 운영되고 있다는 내용으로 안내판을 설치하면 되고, CCTV마다 별도의 안내판을 설치할 필요는 없다. 다만 출입구가 여러 군데에 있어서 사람들의 동선이 일치하지 않은 경우에는 동선을 고려하여 출입구마다 별도로 안내판을 설치하는 것이 바람직하다. Q 28. CCTV로 녹음도 가능한가? 택 시 등 내부에 CCTV를 설치하면서 동시에 취객이나 승객과의 요금 분쟁을 미연에 방지하기 위하여 녹음기능도 활성화시키는 경우가 있다. 하지만 이러한 행위는 법령 위반에 해당한다. CCTV는 어떠한 경우에도 녹음을 해서는 안 된다. 택시 등의 내부에 꼭 녹음을 하고 싶다면, CCTV 영상장치와는 별도의 녹음기 등의 장치를 설치·이용해야 할 것이며 택시기사 스스로가 대화자인 경우에만 녹음이 가능하다. 나아가, CCTV 사용에 대하여는 반드시 승객들의 시선이 잘 미치는 곳에 미리 공지해야 하며, 불가피하게 별도의 녹음기를 사용해 할 경우에는 이 또한 미리 공지하는 것이 바람직하다. Q 29. 범죄현장이 찍힌 병원 CCTV 영상자료를 피해환자 또는 수사기관에게 제공해도 되는가? 병원이 CCTV 영상자료를 피해환자에게 제공하는 것은 금지된다. 다만 CCTV 영상자료에 찍힌 정보주체의 동의가 있는 경우에는 가능하다. CCTV 영상자료를 수사기관에 제공하는 것은 허용된다. 다만 이 경우에도 법원이 발부한 영장이 있어야 하는 것이 원칙이다. 그러나 정보주체 또는 제3자의 급박한 생명, 신체, 재산상 이익을 위해 필요한 경우에는 영장 없이 제공할 수 있는 바, 범죄현장에 관한 것이라면 형사소송법 또는 경찰관직무집행법상 수사기관의 협조요청만으로도 정보주체의 동의 없이 CCTV 영상자료를 제공할 수 있다. CCTV 영상자료를 제3자에게 제공하는 경우에도 사전에 점검하여 필요한 최소한의 범위에 한하여 제공해야 한다. Q 30. 병원 안의 지갑 소매치기를 잡기 위하여 피해자에게 CCTV 영상자료의 열람을 허락해도 되는가? 정 보주체가 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우에는 정보주체의 동의 없이 개인영상정보의 열람을 허락할 수 있다. 병 원 안의 소매치기를 잡기 위하여 피해자에게 CCTV 영상자료를 보여주는 경우는 정보주체가 의사표시를 할 수 없는 상태이거나 주소불명 등으로 사전 동의를 받을 수 없고 나아가 급박한 재산의 이익을 위하여 필요한 경우이므로 정보주체의 동의 없이도 피해자에게 CCTV 영상자료의 열람을 허락해도 된다. 다만 이러한 경우라도 사전에 미리 점검하여 필요한 최소한의 범위 내에서만 열람을 허락해야 하고, 불필요한 영상이 노출되지 않도록 주의를 기울일 필요가 있다. Q 31. CCTV 영상자료는 며칠이나 보유하고 있어야 하는가? CCTV 를 통하여 얻은 개인영상정보는 수집 이후 30일 이내에 파기하거나 삭제해야 한다. 다만 법령에 특별한 규정이 있는 경우, 개인영상정보를 수사나 재판 자료로 제공하는 경우, 기타 정당한 이유가 있는 경우에는 기간을 초과할 수 있다. 기타 정당한 이유가 있는 경우로는 CCTV 설치목적 등 설치자의 특성에 따라 CCTV 영상자료 보관 목적 달성을 위해 필요한 최소한의 기간이 30일을 초과하는 경우를 들 수 있다. 이 경우에는 영상정보처리기기 운영·관리지침에 사전에 이러한 내용이 반영되어 있어야 한다. Q 32. IP를 활용한 네트워크 카메라를 설치·운영하고 있는 소규모 병원의 운영자인데, 이 경우에도 개인영상정보에 대한 안전성 확보조치를 모두 이행해야 하는가? 상 시근로자 수가 광업·제조업·건설업 및 운수업의 경우 10인 미만, 그 밖의 업종의 경우 5인 미만인 사업장에 대하여는 안전성 확보조치 중에서 내부관리계획 수립 의무가 면제된다. 따라서 상시근로자수가 5인 미만인 병원이라면 내부관리계획의 수립은 하지 않아도 된다. 다만, 내부관리계획의 수립의무만이 면제되므로, 개인영상정보 안전성 확보에 관한 접근 통제 및 접근권한의 제한 조치, 개인영상정보를 안전하게 저장·전송할 수 있는 기술의 적용, 처리기록의 보관 및 위·변조 방지를 위한 조치 등은 취하여야 한다. <향후 과제> Q 33. 향후 진료정보에 관한 과제는 무엇이 있을까? 3 가지가 중요과제라 생각한다. 현재 진료정보에 관한 과제는 2가지가 중요하게 거론된다. 첫째가 원격진료이고, 둘째가 빅데이터다. 원격진료란 ICT기술을 이용해 의사가 원거리에서 환자기록, 의료영상 등 각종 정보를 확인하고 진단, 처방하는 것을 말한다. 빅데이터란 기존의 분석도구 및 관리체계로는 감당할 수 없는 엄청난 양의 데이터를 말하며 이러한 데이터로부터 가치를 추출하고 결과를 분석하는 기술을 통칭한다. 원 격진료, 빅데이터 모두 진료정보의 이용촉진과 관련되어 있다. 진료정보의 이용촉진으로 인하여 더 나은 보건의료 환경을 만들어갈 수 있으리라는 믿음에 기초한 것이고, 또 그렇게 되리라고 믿어 의심치 않는다. 그러나 이용촉진의 축이 높아지면, 정보보호의 축도 높아져야 한다. 관리적·기술적인 진료정보의 보호조치에 대해서도 긴장을 놓지 말아야 하는데, 세 번째 과제가 바로 진료정보의 보호 및 보안이라 할 수 있다.
30 [정보보호법바로알기 43] 병원·의료기관에서의 진료·개인정보보호②
[레벨:30]관리자
825 2013-07-03
주요 진료정보의 보존기간은?...환자 명부 5년, 진료기록부 10년 등 진료·의료정보의 안전한 관리 위해 취해야 할 3가지 조치는? 이번에는 Q&A로 풀어본 병원에서의 진료·개인정보보호, 그 두 번째 시간으로 진료정보나 병원·의료기관에서 취급하는 개인정보의 제공·공유, 위탁, 관리, 이전, 폐기 등을 정보보호 측면에서 살펴보도록 한다. <제공·공유> Q 9. 수집한 진료정보를 수사기관이나 법원에 제공하는 것은 허용되는가? 진료정보의 제공에 관하여는 의료법 제21조가 적용된다. 따라서 진료정보의 제공에 관하여는 의료법 제21조에 근거하여 판단하면 된다. 이 에 따르면 진료정보를 수사기관이나 법원에 제공할 수는 있지만, 이 경우 일정한 절차를 거쳐야 하고, 그렇지 않으면 위법하다. 수사기관이 압수·수색영장을 제시하는 등의 조치를 취할 때에만 의료정보를 제공해야 하고, 임의로 판단하여 진료정보를 수사기관에 제해서는 안 된다. 마찬가지로 법원의 문서제출 명령이 있어야만 의료정보를 법원에 제공할 수 있고, 소송이 걸렸다는 이유만으로 환자나 환자보호자 아닌 사람에게 함부로 진료정보를 제공해서는 안 된다. 참 고로, 진료정보가 아닌 개인정보의 경우에는 개인정보보호법에 의하여 판단하여야 하는데, 민간의료기관은 정보주체의 동의를 얻거나 또는 진료정보와 마찬가지로 영장이나 문서제출 명령을 확인하고 제공해야 하지만, 공공의료기관은 영장이나 문서제출 명령이 없더라도 진료정보 아닌 개인정보를 수사기관이나 법원에 제출할 수 있다. 다만 이 경우에도 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때에는 허용되지 않는다. Q 10. 수집한 진료정보를 다른 의사에게 제공하는 것은 허용되는가? 의 료인은 다른 의료인으로부터 진료정보의 내용 확인이나 환자의 진료경과에 대한 소견 등을 제공할 것을 요청받은 경우에는 해당 환자나 환자 보호자의 동의를 받아 제공해야 한다. 다만, 해당 환자의 의식이 없거나 응급환자인 경우 또는 환자의 보호자가 없어 동의를 받을 수 없는 경우에는 환자나 환자 보호자의 동의 없이 제공할 수 있다. 나아가 진료정보를 보관하고 있는 의료기관이나 진료기록이 이관된 보건소에 근무하는 의사·치과의사 또는 한의사는 자신이 직접 진료하지 아니한 환자의 과거 진료 내용의 확인 요청을 받은 경우에는 진료정보를 근거로 하여 사실을 확인하여 줄 수 있다. 한 편 정보주체에게 제3자 제공에 대한 동의를 받는 경우에는 ①개인정보를 제공받는 자 ②개인정보를 제공받는 자의 이용목적 ③이용 또는 제공하는 개인정보의 항목 ④제공받는 자의 개인정보의 보유 및 이용기간 ⑤동의를 거부할 권리가 있다는 사실과 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 등을 알리고 동의를 받아야 한다. Q 11. 외부에서 전화로 진료정보나 환자정보를 문의하는 경우, 알려주어도 되는가? 원 칙적으로 환자의 진료정보나 환자에 관한 정보를 전화로 알려주는 것은 허용되지 않는다. 이 경우 환자나 그 보호자의 동의를 받은 다음에 알려주는 것은 무방하다. 더불어 의료법 제21조 소정의 서류를 갖춘 다음에 요청하는 경우에도 진료정보나 환자정보를 알려주는 것이 적법하다. Q 12. 네트워크 병원끼리 진료정보나 환자정보를 통합관리, 공유하거나 상호 제공하는 것은 허용되는가? 네 트워크 병원끼리는 별도의 병원으로 취급하므로 무단으로 진료정보나 환자정보를 통합관리, 공유하거나 상호제공해서는 안 된다. 이 문제는 Q 10의 문제로 귀결된다. 즉, 의료인은 다른 의료인으로부터 진료정보의 내용 확인이나 환자의 진료경과에 대한 소견 등을 제공할 것을 요청받은 경우에는 해당 환자나 환자 보호자의 동의를 받아 제공해야 한다. 다만, 해당 환자의 의식이 없거나 응급환자인 경우 또는 환자의 보호자가 없어 동의를 받을 수 없는 경우에는 환자나 환자 보호자의 동의 없이 제공할 수 있다. 따라서 환자나 환자 보호자의 동의가 있어야 네트워크 병원끼리 진료정보나 환자정보를 통합관리, 공유하거나 상호 제공할 수 있다. <위탁> Q 13. 수집한 진료·개인정보를 위탁하여 관리할 수 있는가? 진료·개인정보의 위탁이란 위탁자의 이익을 위하여 제3자가 위탁자의 감독 하에 진료·개인정보를 처리하는 것을 의미한다. 위탁이란 위탁자의 이익을 위한 것이라면, 제공이란 제공받은 자의 이익을 위한 것이라는 점에서 양자는 구별된다. 절차적으로 위탁은 정보주체의 동의절차 없이 공개나 고지로 갈음하나, 제공의 경우에는 정보주체의 동의가 원칙적으로 필요하다. 진 료·개인정보의 위탁은 가능하지만, 다만 몇 가지 엄격한 절차를 거쳐야 한다. 위탁의 목적에 따라 지켜야 할 절차가 다른데, 진료목적을 위하여 위탁하는 경우와 서비스의 홍보나 판매 권유의 목적으로 위탁하는 경우를 나누어 살펴보아야 한다. 먼 저, 진료목적을 위하여 위탁하는 경우에는 문서작성의무 및 공개의무만 준수하면 된다. 즉 위탁업무 수행 목적 외 진료·개인정보의 처리 금지에 관한 사항, 진료·개인정보의 기술적·관리적 보호조치에 관한 사항 등이 포함된 업무위탁문서를 작성해야 하고, 위탁업무의 내용과 수탁자에 대한 사항을 인터넷 홈페이지를 통해 공개해야 하며, 홈페이지에 공개할 수 없는 경우 사업장 등의 보기 쉬운 장소에 게시하는 방법 등으로 공개해야 한다. 둘 째, 서비스의 홍보나 판매 권유의 목적으로 위탁하는 경우에는 문서작성의무, 공개의무에 고지의무까지 준수해야 한다. 즉 서비스의 홍보나 판매 권유의 목적으로 진료·개인정보를 위탁할 때에는 정보주체에게 서면 등의 방법으로 위탁사실을 알려야 한다. 업 무위탁시 주의해야 할 사항이 있는데, 수탁자 또는 수탁자의 소속직원이 위탁받은 업무와 관련하여 법을 위반하여 손해배상책임을 지는 경우, 위탁자도 동일한 책임을 질 수 있다는 것이다. 이는 위탁으로 인한 위탁자의 감독의무 소홀을 우려하여 생긴 규정이다. <관리> Q 14. 진료·개인정보의 안전한 관리를 위하여 필요한 조치는 어떤 것이 있는가? 진 료·개인정보의 안전한 관리를 위하여 필요한 조치는 3가지가 있다. ①진료·개인정보의 관리적·기술적·물리적 보호조치(안전성 확보조치)를 취해야 하고, ②개인정보처리방침을 수립하여 공개해야 하며, ③개인정보보호책임자를 지정해야 한다. 이 중에서 가장 난이도가 있고 투자가 필요한 영역은 ①진료·개인정보의 관리적·기술적·물리적 보호조치이다. 순서대로 살펴보면, ① 진료·개인정보의 안전성 확보조치는 3개의 영역으로 나누어진다. 관리적 보호조치, 기술적 보호조치, 물리적 보호조치가 그것이다. 관리적 보호조치란, 개인정보보호 책임자의 지정, 안전성 확보에 필요한 조치사항 등을 담은 내부관리계획을 수립하는 것인데, 다만 상시 근무인원이 5인 미만인 병원·의료기관의 경우에는 이러한 관리적 보호조치가 면제된다. 기술적 보호조치란, 접근 통제 및 접근권한의 제한 조치, 암호화 기술 적용 또는 이에 상응하는 조치, 접속기록의 보관 및 위·변조 방지를 위한 조치, 보안프로그램의 설치 및 갱신 등을 포함하는 논리적 보안을 의미한다. 물리적 보호조치란, 개인정보의 안전한 보관을 위한 보관시설 또는 잠금장치의 설치를 포함하는 물리적 보안을 의미한다. ② 개인정보처리방침을 수립하여 공개해야 하는데, 이러한 개인정보처리방침에는 개인정보의 처리 목적, 개인정보의 처리 및 보유 기간, 개인정보의 제3자 제공에 관한 사항, 개인정보처리의 위탁에 관한 사항, 정보주체의 권리·의무 및 그 행사방법에 관한 사항, 처리하는 개인정보의 항목, 개인정보의 파기에 관한 사항, 개인정보의 안전성 확보 조치에 관한 사항 등이 포함되어 있어야 한다. ③ 개인정보처리에 관한 업무를 총괄하는 개인정보보호책임자를 지정하여야 하는데, 사업주 또는 대표자, 개인정보 처리 관련 업무를 담당하는 부서의 장 또는 개인정보 보호에 관한 소양이 있는 사람 중에서 지정하여야 한다. 다만 공공의료기관은 개인정보 처리 관련 업무를 담당하는 부서의 장을 개인정보보호책임자로 지정하여야 한다. <이전> Q 15. 운영하던 병원을 폐업할 때는 진료정보를 어떻게 해야 하는가? 운 영하던 병원을 폐업할 때 또는 1개월 이상 휴업할 때, 진료정보는 관할보건소로 이관하여야 한다(의료법 제40조). 다만 폐업이나 휴업을 하는 사람이 진료정보를 직접 보관하고자 하는 경우에는 진료기록 보관계획서를 작성하여 관할 보건소장의 허가를 받아 보관할 수 있다. 진료정보는 민감한 정보이므로, 폐업이나 휴업을 핑계로 다른 사람에게 이전시켜서는 안 된다. Q 16. 병원을 두 의사가 동업하다가 한 명이 나가는 경우, 나가는 의사는 진료정보를 가지고 나갈 수 있는가? 병 원을 공동으로 개설하여 운영하였다고 하더라도, 그 기간 형성된 진료정보를 가지고 나갈 수 없고, 열람할 수도 없다. 다만 두 가지 예외가 있다. 우선, 환자의 동의를 얻은 경우에는 진료정보를 가지고 나갈 수 있다. 그리고 환자의 진료를 위하여 필요한 경우에는 의료인은 다른 의료인으로부터 진료정보의 내용 확인이나 환자의 진료경과에 대한 소견 등을 제공할 것을 요청할 수 있고, 이 경우 요청을 받은 의료인은 해당 환자나 환자 보호자의 동의를 받아 제공하여야 한다. Q 17. 병원을 다른 의사에게 넘기는 경우, 진료정보나 개인정보는 어떻게 넘겨야 하는가? 병 원을 다른 의사에게 넘기는 경우 의료법 제33조 제5항이 적용된다. 즉 병원 개설자의 변경사항에 관하여, 병원급의 경우 시·도지사에게 허가를 받거나 의원급의 경우 시장·군수·구청장에게 신고한 경우, 동일한 개인정보처리자가 유지된 것으로 보므로, 결국 위 절차만으로 진료정보를 계속적으로 보관할 수 있다. Q 18. 진료정보가 아닌 개인정보를 이전하는 경우에도 진료정보와 동일한 조치를 취해야 하는가? 이 경우 의료법이 아닌 개인정보보호법 제27조가 적용되므로 정보주체에의 고지의무와 목적범위 내의 이용의무가 발생한다. 즉 양도인 또는 양수인 중 택일하여 개인정보를 이전하려는 사실, 개인정보를 이전받는 자의 성명, 주소, 전화번호 및 그 밖의 연락처, 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차를 정보주체에게 고지하여야 하고, 양수인은 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공할 의무를 부담한다. <파기> Q 19. 진료정보의 보존기간은 어떠한가? 진료에 관한 기록의 보존기간은 의료법 시행규칙 제15조에 아래와 같이 규정되어 있다. 다만 이 기간은 최소기간이므로 진료목적상 필요하면 기간을 연장할 수 있다. 1. 환자 명부 : 5년 2. 진료기록부 : 10년 3. 처방전 : 2년 4. 수술기록 : 10년 5. 검사소견기록 : 5년 6. 방사선사진 및 그 소견서 : 5년 7. 간호기록부 : 5년 8. 조산기록부: 5년 9. 진단서 등의 부본(진단서·사망진단서 및 시체검안서 등을 따로 구분하여 보존할 것) : 3년 Q 20. 진료정보의 파기는 어떻게 해야 하는가? 진 료정보의 보존기간이 종료하면 진료정보를 파기해야 한다. 단순히 전자파일을 삭제하는 것으로 그쳐서는 아안 된다. 전자적 파일은 복원이 불가능한 방법으로 영구 삭제하고, 종이 등 기록매체는 파쇄 또는 소각의 방법으로 파기해야 한다. 다만 공공의료기관은 반드시 기록물평가심의회를 구성하여 보유기간 연장이나 폐기를 결정해야 한다. Q 21. 진료정보가 아닌 개인정보의 경우는 어떠한가? 이 경우 개인정보보호법 제21조가 적용된다. 따라서 진료정보가 아닌 개인정보의 경우, 보유기간이 경과했거나 처리목적의 달성 등 사유 발생시 즉시 파기해야 한다. 개인정보의 파기는 개인정보보호책임자의 책임 하에 정당한 사유가 없는 한 5일 이내에 파기해야 한다. 파기의 방법은 진료정보의 경우와 같고, 파기에 관한 기록은 보관해야 한다. <정정·삭제 등> Q 22. 환자가 자신에 관한 진료·개인정보의 변경을 요구하는 경우에 병원은 정정 또는 삭제할 의무가 있는가? 진 료목적으로 수집한 진료정보에 관하여는 정보주체라도 보존기간 동안 원칙적으로 정정·삭제를 요청할 수 없다. 나아가 의사도 임의로 수정할 수 없다. 의료법이 적용되기 때문이다. 그러나 진료정보 아닌 개인정보의 경우는 개인정보보호법이 적용되기 때문에 그러하지 아니하다. 진료정보 아닌 개인정보에 대하여 정보주체가 열람, 처리정지, 수정, 삭제 등을 요구할 경우 10일 이내에 요청에 대한 처리를 하거나 연기 또는 처리할 수 없는 사유를 정보주체에게 통보해야 한다.
29 [정보보호법바로알기 46] 새 정부 정책과 개인정보보호
[레벨:30]관리자
819 2013-07-25
빅데이터 운영·개인맞춤형 서비스 앞서 개인정보보호법제 정비 우선 금년 2월에 들어선 새 정부의 정책이 하나하나 가시적으로 보여지고 계획·실행되어가고 있다. 창조경제, 국민행복, 공공정보 공개 및 공유(정부3.0), 개인맞춤형 정보제공 및 복지서비스 등이 새 정부 정책의 키워드라 할 수 있다. 새 정부 정책을 간단하게 정리하면, 데이터를 공개하고 활용함으로써 창조경제 달성에 기여하는 정보통신산업을 진흥시키고 더불어 개인맞춤형 서비스를 제공하여 결국 국민의 행복을 증진시키겠다는 것이다. 그렇다면 이러한 새 정부 정책에서 개인정보보호는 어디에 위치하고 있는가, 또는 어디에 위치해야 하는가에 대하여 궁금하지 않을 수 없다. 이에 새 정부 정책에 개인정보보호라는 가치가 어떻게 작용할 수 있는지, 개인정보보호라는 가치는 새 정부 정책에 어떻게 기여를 할 수 있는지, 새 정부의 개인정보보호 정책은 어떠해야 하는지에 대해 살펴보고자 한다. 첫 째, 단언컨대 개인정보보호 없이는 국민행복이 이루어질 수 없다. 국민의 데이터를 남이 가지고 있고, 그들이 국민의 개인정보를 이용해 국민의 재산을 편취하며 국민들이 매일 매일 스팸이나 광고에 시달리면서 불안에 떨고 있다면, 최고의 ICT 인프라를 갖추고 최고의 ICT 서비스를 제공받는다고 해서 행복해지는 것은 아닐 것이다. 과거 우리는 환경이나 인권을 고려하지 않고 ‘개발’의 기치 아래 앞만 보고 달려왔다. 그 때에는 그럴 수밖에 없었다고 하지만, 그 이후 환경이나 인권 때문에 막대한 사회적 비용을 지출하면서 심각한 사회적 갈등에 시달려야만 했다. 하 지만 지금은 예전과는 상황이 많이 바뀌었다. IT 및 데이터 산업은 이러한 잘못을 반복하지 않아야 할 것이다. 과거와 달리 우리는 정보산업발전·데이터이용 촉진과 개인정보보호·프라이버시보호의 두 마리 토끼를 모두 잡을 수 있는 능력이 있고, 그러한 환경도 갖추어져 있기도 하다. 의식만 전환되기만 하면 물리적으로 불가능할 일은 아니다. 둘째, 개인정보보호·프라이버시보호라는 것을 IT 산업발전을 역행하는 것이라 생각해서는 안 된다. IT 기업이 고속도로를 달리는 자동차라면, 개인정보보호·프라이버시보호는 고속도로 옆에 설치된 가드레일이자 가로등에 해당한다. 고속도로를 달리는 자동차가 속도를 올리면서 안전하게 달리고, 고속도로 옆을 벗어나 민가에 해를 끼치지 않기 위해서는 튼튼하고 명확한 가드레일과 알맞은 밝기의 가로등은 필수이다. 새 정부 정책은 공공기관의 데이터를 공개·공유(정부3.0)하면서, 데이터 산업, IT 산업 및 빅데이터 산업을 활성화시키겠다는 것이다. 이러한 정책은 굉장히 고무적인 현상이며, 선진국의 길로 가는 우리나라에서 반드시 필요한 정책이라 생각한다. 하지만 이 정책에서 개인정보보호·프라이버시보호를 고려하지 않는 것은 가드레일이나 가로등이 설치되지 않은 안전하지 않은 고속도로에 고속으로 운행하는 자동차를 내모는 것과 같다. 성 장·발전하면서 여러 가지 비즈니스 모델을 시도·활용하는 IT 기업에게 명확한 개인정보보호·프라이버시보호 기준을 제시하는 것이 반드시 필요하며, 이러한 명확한 기준이 선행되어야만 기업은 헛수고를 하지 않을 것이며, 국민들도 안심하고 자신의 개인정보를 기꺼이 내놓을 것이다. 명확하고 제대로 된 개인정보보호·프라이버시보호 기준은 기업에게는 경쟁력이 될 것이며, 국민들에게는 신뢰가 될 것이다. 셋 째, 개인정보보호·프라이버시보호에도 IT 기술이 필요한 바, 이러한 기술도 IT 산업의 일종으로 이해해야 한다. 인류는 급격한 산업화 과정에서 지구를 지키고 지속가능한 발전을 하기 위해 환경보호라는 가치를 고려하지 않을 수 없었고, 지속가능한 성장을 위해 반드시 달성되어야 하는 환경보호의 가치는 결국 기술적 도움으로 지켜내었던 것을 기억해야 한다. 정보산업의 발전도 마찬가지이다. 개인정보보호·프라이버시보호를 고려하지 않은 IT 산업의 발전만을 고려하는 정책은 지속가능한 발전을 이루지 못할 것이다. 나 아가 개인정보보호·프라이버시보호라는 것도 상당부분 기술적인 지원에 의해 해결될 것인 바, 개인정보보호·프라이버시보호의 기술도 국가가 진흥을 장려해야 하는 IT 기술의 일종으로 포함시키는 인식의 전환이 필요하다. 개인정보보호·프라이버시보호 산업도 키워야 할 중요한 산업 분야이고, 이 산업이 창조경제에 크게 기여하고 있으며 많은 일자리도 창출해낼 수 있다. 넷째, 새 정부는 데이터기 술을 활용해 국민에게 개인맞춤형 서비스를 제공하고자 한다. 새 정부가 추구하는 개인맞춤형 서비스라 함은 그 안에 개인정보 처리가 당연히 내포되어 있는 것이다. 하지만 새 정부가 추구하는 개인맞춤형 서비스가 현행 개인정보보호법제에서 제대로 위법을 저지르지 않고 운영될 수 있는지는 의문이다. 미흡한 개인정보보호법제 때문에 기업들은 개인정보 운용에 관하여 많은 시도를 포기했는데, 새 정부는 위법을 저지르지 않고 예외적으로 그 그물망을 뚫고 제대로 시도하여 성공할 수 있을지 지켜볼 사안인 것 같다. 기술발전, 경제발전 그리고 글로벌 추세에 맞지 않은 개인정보보호법제 때문에 실제로는 정보주체의 보호도 제대로 달성하지 못하면서 개인정보의 이용촉진까지도 달성 못하는 애매한 사태가 발생하고 있다. 빅데이터 운영 및 개인맞춤형 서비스의 기획에 앞서 우선 개인정보보호법제 정비부터 해야 하는 것이 순서인 듯 하다. 이상 새 정부 정책에 있어 개인정보보호의 지위와 관계를 살펴보았다. 새 정부의 정책을 시행함에 있어 선행되어야 하고 업데이트해 풀어야 할 개인정보보호 과제가 산적되어 있다. 개인정보보호. 새 정부의 목표를 달성함에 있어 반드시 지켜야 할 가치이면서 풀어야 할 열쇠라는 점을 잊지 말아야 할 것이다.
28 [정보보호법바로알기 45] 바람직한 개인정보의 국외이전 입법
[레벨:30]관리자
901 2013-07-16
“국제적 흐름에 맞으면서도 실질적 보호기능 갖춘 유연한 입법 필요” 개인정보의 국외이전이란 개인정보가 국경을 넘어 이동하는 것을 의미한다(OECD). 개인정보의 국외이전이라는 용어는 정보통신망법 제63조, 개인정보보호법 제14조에 언급되고 있으며, TBDF(Transborder Data Flow)라고도 한다. 개 인정보의 국외이전은, 개인정보보호 법제가 약한 나라로의 이전을 통한 규제 회피 목적에서 이루어졌기에 과거에는 특이하고 예외적인 현상이었을지 모르나, 지금은 빈번하게 발생하는 흔한 현상이 되었다. 기업이 아닌 개인들이 외국의 포털에 가입하거나, 외국의 서점에서 책을 주문하는 등의 행위가 일상생활이 되었기 때문이다. 이 렇게 개인정보의 국외이전이 빈번하게 된 원인으로는, ①GATT, WTO 등의 영향을 받은 세계 경제의 글로벌화 ②인터넷·정보처리기술·클라우드의 발달 및 개인정보처리산업의 급성장 ③전자상거래·SNS·검색엔진의 발달 및 소비자들·개인들의 국외이전 참여 활발 ④국경을 초월한 글로벌 기업의 급성장 등이 꼽히고 있다. 위의 원인으로 인하여 개인정보의 국외이전이 빈번해지고 일반화되었다고 하더라도, 법적·정보보호적 관점에서는 개인정보의 국외이전에 대하여 어느 정도의 규제가 필수불가결하다. 개 인정보의 국외이전에 관한 입장으로는, ①정보의 유통을 보장하는 차원에서 원칙적으로 개인정보의 국외이전을 허용하면서 예외적으로 개인정보통제권이나 프라이버시권의 보호 차원에서 제한하는 태도와 ②원칙적으로 개인정보의 국외이전을 제한하면서 예외적으로 일정한 요건이 만족되면 개인정보의 국외이전을 허용하는 태도로 나눌 수 있다. 전자에 해당하는 것이 OECD이고, 후자에 해당하는 규제가 EU이다. 어 떠한 태도를 취하든지 중요한 것은 ①개인정보의 국외이전 및 정보의 유통 보장이라는 것이 경제발전과 정보서비스 발달에 기여하는 바가 크다는 점, 그러나 ②정보주체의 개인정보통제권이나 프라이버시권의 보호라는 것도 반드시 수호되어야 한다는 점이다. 이 두 가지 목표를 달성하기 위해서 필요한 것은 ‘유연한 규율’이다. 유연한 규율이라는 것은 ①다양한 법 현상을 포섭하면서, ②바람직한 개인정보 국외이전을 제한하지 않으면서, ③정보주체의 개인정보통제권이나 프라이버시권을 보호하는 것을 의미한다. 우 리나라 입법의 개인정보 국외이전에 대한 태도는 대단히 경직되어 있다. 우리나라 기업이 외국으로 개인정보를 이전시키려면 반드시 동의를 얻어야 하며, 동의 외의 다른 절차로는 개인정보의 국외이전을 할 수 없게끔 규정되어 있기 때문이다(정보통신망법 제63조, 개인정보보호법 제17조). 우 리나라는 기업의 형태에 상관없이, 상태에 상관없이, 이전 목적에 상관없이 오직 동의를 받아야 개인정보의 국외이전을 할 수 있게 되어 있다. 실제로 이미 수집한 고객의 개인정보를 해외로 이전하여야 하는 필요성이 큼에도 불구하고 동의를 받아야 하는 절차 수행이 어려워 이를 포기하는 기업도 속출하고 있다. EU의 경우 개인정보보호가 매우 엄격하다고 알려져 있지만, 개인정보의 국외이전에 대하여는 엄격함뿐만 아니라 유연성도 갖추고 있다. 개 인정보의 국외이전에 관한 입법은 현재 시행 중인 95년도 개인정보보호방침(95/46/EC Directive)과 앞으로 시행을 기다리는 일반정보보호규정안(General Data Protection Regulation. 2012년 발표)이 존재하는데, 후자를 검토해 보기로 한다. 먼저, EU 집행위원회가 이전될 국가가 적절한 수준의 보호(Adequate level of protection)를 갖추고 있다고 판정을 하면 가능하다(Transfer with adequacy decision). 둘 째, 기업이나 조직이 위 규정안에 열거된 적절한 보호기준을 갖추고 있으면 개인정보의 국외이전이 가능하다(Transfer by way of appropriate safeguards). 열거된 적절한 보호기준으로는 BCRs(Binding Corporate Rules), EU 집행위원회가 채택한 표준데이터보호조항, EU 집행위원회가 유효하다고 인정하고 감독기관이 채택한 표준데이터보호조항, 감독기관이 승인한 표준계약조항이 있다. 여 기서 BCRs란 2003년도부터 시행된 ‘기속력 있는 기업규칙’이라는 국외이전 기준으로서, 한 회원국가의 감독관이 개인정보의 국외이전을 하는 기업이 이 기준을 준수하고 있음을 인정하면, 다른 회원국가에서도 이를 인정하여 개인정보의 국외이전을 허용해 주고 있다. 셋 째, 적절수준의 판정(Adequacy Decision)이나 적절한 보호기준(Appropriate Safeguards)을 갖추지 않은 경우라도, 정보주체가 충분한 설명을 받고 동의를 한 경우, 국외이전이 계약이행에 필요한 경우, 정보주체의 이익을 위하여 필요한 경우, 공익을 위하여 필요한 경우, 법적 공방을 위하여 필요한 경우, 정보주체의 동의를 얻지 못하는 상황에서 정보주체의 이익을 위하여 필요한 경우 등의 조건하에서는 개인정보의 국외이전은 허용된다(Derogations). 넷 째, 세이프하버 약정이 체결되어 있고 그 기준을 준수한 경우에도 개인정보의 국외이전은 허용된다(Safe Harbor). 자국의 적절한 개인정보보호법제가 없는 미국은 EU와 세이프하버 약정을 맺어 개인정보보호 7원칙을 지킨 자국의 기업을 상무부 홈페이지에 공지하고 있는데, 이러한 기업의 개인정보 국외이전은 허용된다. 다 섯째, EU 의회에서 승인한 경우에도 개인정보의 국외이전이 가능하다. EU 의회는 미국에 대한 승객정보 제공에 대하여 승인한 적도 있으며(EU-US PNR 협정), 테러방지를 위한 금융정보 제공에 대하여도 승인한 적도 있다(EU-US FMD 협정). 위 EU의 법제와 비교해보아도, 우리나라 개인정보 국외이전 법제가 얼마나 제한적이고 경직되어 있는지 파악할 수 있다. 개인정보 국외이전 시 개인정보보호의 과제는 반드시 동의를 거치게 하여야만 이루어지는 것은 아니다. 물 론, 동의 대신 고지만 하면 국외이전이 가능하게 한다든지 하여 관문 자체를 없애는 것도 위험하지만, 동의라는 관문만을 통과하게끔 하고 다른 관문을 막아 놓게 되면 기업은 개인정보의 국외이전을 제대로, 제때 하지 못하여 경제발전이나 정보서비스·정보산업의 발달은 어렵게 되고, 그로 인하여 국부의 축적이 어려워지게 된다. 기술발전·글로벌화·국제적 흐름에 맞으면서도 실질적인 보호를 제공할 수 있는 유연한 입법이 그 어느 때보다 시급하다. 법이 경제발전이나 기술발전의 발목을 잡아서는 안 되기 때문이다.
27 [정보보호법바로알기 42] 병원·의료기관에서의 진료·개인정보보호①
[레벨:30]관리자
688 2013-07-01
건강·진료정보, 민감 개인정보로 철저히 관리 및 보호해야 대부분의 병원·의료기관은 의료정보시스템(HIS, Hospital Information System)을 갖추어 처방전달(OCS), 임상병리정보처리(LIS), 영상저장전달(PACS), 전자의무기록(EMR), 원무관리, 일반관리, 경영정보관리 등을 하고 있다. 의 료정보시스템 중에서 핵심은 의사 진료처방을 자동으로 각 부서에 전달해주는 처방전달시스템(OCS:Order Communication System), 진료처방을 이용해 각종 검사장비의 검사결과를 자동으로 입력하고 통보해 주는 임상병리정보시스템(LIS:Laboratory Information System), 방사선 촬영 영상 및 판독결과를 입력하고 통보해 주는 의료영상저장전달시스템(PACS: Picture Archiving and Communication System), 이 과정에서 생성되는 각종 의무기록들을 전자해 보관했다가 필요 시 열람할 수 있도록 지원하는 전자의무기록(EMR:Electronic Medical Record)이라 할 수 있다. 이제는 모바일시스템까지 등장하면서 그야말로 차트와 필름이 없는 전자화된 디지털병원, 스마트병원 체제가 완성되어 가고 있다. 병 원·의료기관의 정보화, 개방화로 인해 진료환경은 급속도로 나아지고 있으나, 민감한 진료정보, 건강정보가 순식간에 내부 직원에 의해 또는 외부 해커에 의하여 유출될 수 있다는 문제점도 발생하고 있으며, 실제로 이러한 사고가 일어나고 있어 병원·의료기관을 이용하는 개인들을 불안하게 하고 있다. 실제로 미국 보건당국의 통계자료에 따르면, 2009년 이후부터 서터메디컬재단 및 서터피지션 서비스 이용 고객의 환자 의료정보 유출을 포함해 미국 내에서 587건의 유출사건이 일어나 2,200만명의 피해자가 발생했다고 한다. 이에 진료정보나 병원·의료기관에서 취급하는 개인정보에 대하여 정보보호 측면에서 살펴보면서, 제대로 된 진료·개인정보의 이용과 보호 방향을 33개의 문답의 형태로 검토하고자 한다. <총설> Q 1. 진료정보는 어떤 정보를 의미하는가? 진 료정보란 진료과정·건강검진과정에서 얻은 환자 개인의 신체상황, 상병·치료, 과거병력, 가족병력 등의 진료기록으로서, 다른 사람과 구별할 수 있는 개인정보가 포함된 정보를 개인진료정보라고 한다. 진료정보는 개인정보의 한 유형으로서 예컨대, 진료기록부, 수술기록부, 조산기록부, 간호기록부, 환자명부 등이 여기에 해당한다. 구 별해야 할 개념으로서, 의료정보란 진료정보의 개념에 더하여 국가·보건의료분야 종사자들이 필요로 하는 의학지식을 포함하는 개념이며, 건강정보란 진료정보와 같은 의미로 사용되기도 하지만 질병·진단·치료·재활·출산·사망 및 건강증진 등 보건의료에 관한 지식 또는 부호·숫자·문자·음성·음향·영상 등으로 표현된 모든 종류의 자료란 의미로 사용되기도 한다. 후자로 사용되는 경우 보건의료정보라고 칭하고 있다. 예컨대 같은 맥박수 정보라도 의사나 의료기관이 진료과정에서 수집한 정보라면 진료정보가 되고 스스로 수집하여 보관하고 있는 정보는 건강정보라 할 수 있다. 넓 은 개념 순서대로 정리하면, 의료정보, 건강정보(= 보건의료정보), 개인정보, 진료정보(= 개인진료정보)가 된다. 이 중에서 개인에 관한 정보로서 성명·주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보라는 개인정보의 정의에 부합하는 정보를 우리가 개인정보라 칭하므로, 개인정보는 건강정보보다는 작고, 진료정보보다는 큰 개념이다. 다 만 이 글에서는 편의상, 형태와 무관하게 진료과정·건강검진과정에서 얻은 환자 개인의 신체상황, 상병·치료, 과거병력, 가족병력 등의 정보를 진료정보라 하고, 진료정보에 포함되지 않은 개인정보를 진료정보와 구별하여 개인정보라 부르도록 한다. Q 2. 진료정보는 어떤 특징이 있는가? 진 료정보는 의사뿐만 아니라 보조기관인 간호사나 약사, 사무직원 등에 의해서도 수집된다. 수집된 진료정보는 건강보험제도에 따라 진료의 적절성 심사나 진료비 산정을 위하여 건강보험기관이나 건강보험심사평가원에 유통되고 있다. 즉, 병원이나 의료기관에 수집된 채로 보관되는 것이 아니라 불가피하게 유통될 수밖에 없는 특징이 있다. 진 료정보에는 개개인의 정신상태나 신체상태에 관한 치명적이고 민감한 정보가 포함되어 있다. 따라서 다른 사람에게 알려진 경우에는 그 어떤 형태의 개인정보보다도 치명적인 악영향을 가져올 수 있다. 나아가 최근의 진료정보의 전자화, 통합화 경향으로 유출의 위험성 및 유출의 피해가 커져가고 있는 실정이다. Q 3. 진료·개인정보에 관한 법은 어떤 것이 있는가? 진 료정보에 관한 대표적인 법률로는 의료법이 있다. 의료법 제17조, 제18조는 진단서·검안서·증명서 또는 처방전에 관하여, 제21조 내지 제23조는 진료기록에 관하여 언급하고 있다. 그 밖에 보건의료기본법, 국민건강보험법, 응급의료법, 정신보건법 등이 있다. 진료정보도 개인정보의 일종으로서 민감정보에 속하므로, 위 법에서 언급되지 않은 사항에 대하여는 일반법인 개인정보보호법이 적용된다. 개인정보에 관한 대표적인 법률로는 개인정보보호법이 있다. 다만 정보통신망을 이용해 진료상담을 하거나 원격의료(의료인이 의료인을 상대로 하는 것으로서 의료인이 환자를 상대로 하는 원격진료와는 구별됨)를 하는 경우에는 그 범위 안에서 정보통신망법이 적용될 수 있다. <수집> Q 4. 진료ㆍ개인정보를 수집하는 경우, 정보주체의 동의를 얻어야 하는가? 진 료정보를 진료 목적으로 수집하는 경우, 의료법 시행령 제14조에 의하여 법령상 수집할 수 있으므로 환자의 동의를 받지 않고 수집할 수 있다. 예컨대 진료목적으로, ①진료를 받은 자의 주소·성명·주민등록번호·병력(病歷) 및 가족력(家族歷) ②주된 증상, 진단 결과, 진료경과 및 예견 ③치료 내용(주사·투약·처치 등) ④진료 일시분(日時分) 등의 정보를 수집할 때 환자의 동의를 얻지 않아도 된다. 따라서 개인정보 수집·이용 동의서를 받을 필요가 없다. 그 러나 진료정보라도 진료목적이 아니라 연구·분석, 공중보건, 진료비 지불, 공급자 인증, 마케팅, 설문조사 등의 목적으로 수집하는 경우(예컨대 병원소식, 백신접종 홍보 등) 또는 홍보나 홈페이지 관리, 만족도 관리 등을 위해 개인정보를 수집하는 경우 등은 반드시 정보주체의 동의를 얻고 수집해야 한다. 이 경우 ①개인정보의 수집·이용 목적, ②수집하려는 개인정보 항목, ③개인정보의 보유 및 이용기간, ④동의를 거부할 권리가 있다는 사실과 그에 따른 불이익을 알리고 동의를 받아야 한다. Q 5. 홈페이지상에서 진료상담을 하는 경우, 정보주체의 동의를 얻어야 하는가? 현행법상 홈페이지상에서 정보통신망을 이용하여 진료상담을 하는 것은 진료행위로 보지 않는다. 따라서 의료법 시행령 제14조가 적용되는 사안은 아니고 개인정보보호법이 적용된다. 홈 페이지상에서 환자의 진료정보나 개인정보를 수집하여 상담하는 서비스를 제공하는 경우, 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우에 해당한다고 볼 여지도 있으나, 상담과정에서 민감정보의 수집이나 처리가 수반될 수밖에 없으므로 반드시 정보주체의 동의를 얻어야 한다. Q 6. 진료정보를 수집하는 경우, 최소수집의 원칙이 적용되는가? 진 료정보도 개인정보의 일종이므로 최소수집의 원칙이 적용된다고 보아야 한다. 다만 의사나 의료기관에 의하여 행하여지는 의료행위는 고도로 전문적이고 재량이 많이 포함되는 것이기에 최소수집의 원칙을 엄격하게 적용할 수 없고, 진료행위의 성질에 비추어 합목적적으로 판단해야 할 것이다. 예컨대 정신과 진료 중에 의사가 환자의 학력, 직업, 결혼 유무, 종교, 가족관계, 학창시절의 범죄경력, 성폭행 당한 경험 등을 폭넓게 수집하는 것이 허용될 수도 있다. <이용> Q 7. 수집한 진료정보의 구체적인 이용범위는 어떠한가? 진 료목적으로 수집한 진료정보는 진료의 목적으로만 이용가능하고, 그 외 목적으로는 이용할 수 없다. 다만 별도의 동의를 얻으면 이용가능하다. 진료목적 범위 밖이란 연구·분석, 공중보건, 진료비 지불, 공급자 인증, 마케팅, 설문조사, 홍보나 홈페이지 관리, 만족도 관리 등의 목적인 경우를 의미한다. 진료목적 범위 내의 이용에 대하여 구체적으로 살펴보면 아래와 같다. ① 진료업무 수행을 위한 이용, 예컨대 진료예약, 진단, 검사, 치료 등의 업무에는 동의 없이 이용할 수 있다. ② 진료업무에 부수적으로 수반되는 업무수행을 위한 이용, 예컨대 진료비 수납, 예약확인 전화나 문자발송, 진단ㆍ검사결과의 통보의 경우는 동의 없이 이용할 수 있다. ③ 진료와 관련되는 진료행위에 해당하는 예방접종을 위한 안내는 진료목적 내의 이용이므로 동의 없이 이용할 수 있으나, 진료와 관련이 없는 예방접종 안내의 경우는 홍보나 마케팅을 위한 목적으로서 별도의 동의를 얻지 않고서는 이용할 수 없다. ④ 불가피하게 병원이 이전하거나 휴업 또는 진료시간이 바뀐 경우에 취하는 연락은 진료목적 범위 내의 행위로 보아야 할 것이다. Q 8. 수집한 진료정보를 통계·학술·연구 목적으로 이용하는 것은 허용되는가? 진 료정보를 그대로 활용하는 경우에는 허용되지 않는다. 특정 개인을 알아볼 수 없는 형태로 가공해야 한다. 진료정보를 가공해 특정 개인을 알아볼 수 없는 상태, 즉 비식별화 과정을 거친 다음에 비로소 통계·학술·연구 목적으로 이용할 수 있다. 다만 이 경우라도 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 경우는 허용되지 않는다.
26 no image 2012년 개인정보보호 상담사례집(최종) 파일
[레벨:30]관리자
550 2013-06-27
25 [정보보호법바로알기 41] 힘을 얻어가는 정당방위적 역 해킹
[레벨:30]관리자
645 2013-06-17
‘역 해킹’ 정당화, 충분하고 신뢰성 있는 법적 검토 반드시 선행돼야 최근 맨디언트(Mandiant)의 보고서에 의하면, 중국의 사이버 특수부대인 PLA(중국인민해방군) 61398부대가 140여개의 미국 기업을 해킹 공격하면서 그들의 영업비밀이나 산업기술을 빼내온 것으로 알려졌다. 미 국 국방부는 2013년 5월 6일, 의회에 제출하는 연례보고서(Annual Report to Congress)에서 노골적으로 “중국이 인민해방군의 현대화를 촉진하고 무기 공급의 해외 의존도를 낮출 기술과 전문지식을 얻으려고 사이버 해킹을 저질렀다”고 발표하면서 사이버 해킹 공격의 근원지로서 중국 정부와 군을 지적했다. 이 러한 상황에서 그 어느 때보다 미국 기업이나 공공기관의 중국 해킹에 대한 불만이 커져가고 있다. 이러한 불만은 일부 법조인 및 정보보안 분야를 중심으로, 수동적으로 방어를 하는 것만으로는 빈번한 해킹공격에 대비하여 자신의 재산을 지키기에는 부족하므로, 능동적인 역 해킹(Hacking Back, Counter Hacking, Active Defence)을 허용해야 한다는 논쟁으로 번져가고 있다. 이 문제는 ‘2013 RSA 컨퍼런스’에서도 중요하게 다루어 졌었다. 이와 더불어 오바마 美 대 통령의 초대 국가정보국장 데니스 블레어가 속한 지적재산권위원회(IP Commission)가 금년에 작성한 보고서(The IP Commission report)에도 ‘공격자 무력화를 위한 조치가 필요하며, 이로 인하여 해킹과정에서 발생하는 비용이 증가할 것이고, 그 결과 공격자는 해킹을 주저할 것이다’는 취지의 언급이 있었다. 이른바 정당방위(self-defence) 이론을 역 해킹에 도입해 역 해킹을 정당화시켜 보자는 시도이다. 정 당방위는 타인의 현재의 부당한 침해가 있는 때, 침해를 당하는 사람이 자신을 지키기 위해 불가피하다면 침해자에 대해 가해행위도 할 수 있다는 법 이론이다. 이를 역 해킹에 대입하면, 해커의 공격이 있는 동안 자신을 지키기 위해 불가피하다면 역으로 해킹을 할 수 있다. 여기서 정당방위 이론의 핵심은 △불가피한 상황, △역공의 상당성이다. 역 해킹의 방법은 여러 가지가 존재할 수 있다. 기본적인 것으로 공격자 및 공격사이트에 대한 정보수집이 있다. 그리고 공격을 저지·중단시키는 조치, 원격접속(RAT)의 무력화, 유출된 정보가 스스로 파괴되도록 하는 조치, 해커의 사이트로 들어가 데이터를 지우는 조치 등등. 전 통적으로 이러한 여러 가지 형태의 역 해킹은 불법으로 규정지어져 왔고 현재에도 여전히 이런 사고가 대부분의 사람들의 머릿속에 강하게 남아 있는 상황에서 일부 법조인 및 보안전문가의 역 해킹 합법화 시도는, 분명 오래된 주제이지만 새로운 시도임에 틀림없다. 이 역 해킹 합법화 논쟁의 중심 이슈는 자경주의(vigilantism)와 디지털 정당방위(Digital Self-Defence)이다. 즉, 국가에서 제공하는 경찰 시스템이 있는데 사적으로 보복을 할 수 있는지, 그리고 디지털 세계에서도 오프라인 세계처럼 정당방위가 인정될 수 있는지이다. 역 해킹에 대한 긍정적인 주장은 미국에서만의 현상은 아니다. 네덜란드에서는 금년 3월경, 정부기관이 용의자의 컴퓨터에 침투하거나 해킹할 수 있는 이른바 역 해킹 법안이 제출된 적이 있다. 그 러나 이들이 넘어야 할 산이 크다. 미국 컴퓨터사기방지법(CFAA, Computer Fraud and Abuse Act) 및 법무부 사이버범죄 매뉴얼에 따르면, 허가 없는 접근 및 역 해킹은 명백하게 불법으로 규정되어 있기 때문이다. 역 해킹으로 인하여 해커의 컴퓨터가 아닌 무고한 경유지 컴퓨터 소유자가 피해를 볼 수 있다는 이유에서다. 역 해킹에 대한 반대여론도 만만치 않다. 다수의 전문가들은 “보복공격은 미국의 사이버 안전을 해칠 것이며, 국제법 위반이라는 비난을 면치 못할 것이다. 그리고 해커를 자극하여 더 큰 공격의 결과를 가져올 것”이라고 비판하고 있다. 줄지 않고 늘어만 가는 사이버 해킹의 피해자나 피해기업, 자꾸만 커져가는 해커의 탐욕과 급속도로 진화하고 있는 해킹 기술이 있는 한, 역 해킹 합법화 논쟁은 점점 뜨거워질 것으로 보인다. 우 리나라에서도 일부 전문가들은 ‘역 해킹’의 필요성을 언급하고 있다. 하지만 법적인 기반 없이 단순한 현실적 필요성에서 역 해킹을 시도한다면 범죄자로 낙인찍힐 수 있으므로, 충분하고 신뢰성 있는 법적 검토가 반드시 선행되어야 할 것이다.
24 [정보보호법바로알기 38] 개인정보 손해배상제도의 문제점과 개선방향①
[레벨:30]관리자
592 2013-05-23
피해자, 기업의 고의·과실 입증 어려워...피해구제 권리보장 미흡 기업의 개인정보보호법을 위반한 행위로 인하여 정보주체에게 손해가 발생한 경우, 정보주체는 기업을 상대로 민사상 손해배상청구를 해 자신이 입은 손해를 보전받을 수 있다. 이렇듯 정보주체가 기업을 상대로 손해배상청구를 할 수 있는 근거 조문은 개인정보보호법 제39조(또는 정보통신망법 제32조, 신용정보법 제43조)인데, 개인정보보호법 제39조는 아래와 같이 규정되어 있다. 「제 39조(손해배상책임) ①정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. ②개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리 하지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상책임을 감경 받을 수 있다.」 위 규정에 대해 일반적으로 입증책임을 전환함으로써 피해를 입은 정보주체에게 신속·공정한 피해구제를 받을 권리를 실질적으로 보장하고 있다고 설명되고 있다. 과연 그러할까? 이 규정이 현실적으로 소송에서 피해자인 원고들에게 도움이 되는 규정일까? 이에 대해 자세하게 살펴보기로 한다. 제1항은 입증책임의 전환규정인가? 개인정보보호법 제39조 제1항의 본문은 ‘법위반사실’과 ‘손해발생’에 대해 규정하고 있고, 단서는 ‘고의·과실’에 대해 규정하고 있다. 입증책임의 분배는, 피해자인 정보주체가 위 세 가지 중 ‘법위반사실’과 ‘손해발생’에 대하여 입증하도록 되어 있고(본문), 기업이 위 세 가지 중 자신의 ‘고의·과실’ 없음에 대해 입증하도록 되어 있다(단서). 그 런데 개인정보 유출사고 소송과정을 살펴보면, 입증활동의 핵심은 위 세 가지 중 ‘법위반 사실’에 있다. 예컨대 해킹사고의 경우 피해자인 원고는 기업이 기술적·관리적 보호조치 의무를 위반했는지, 예컨대 접근제한 조치를 제대로 했는지, 암호화 조치를 제대로 했는지, 악성프로그램 방지 조치를 제대로 했는지 등을 스스로 입증해야 하는 것이다. 위 세 가지 중 ‘손해발생’은 유출 자체로 인한 정신적 손해를 청구하는 경우에는 아예 문제되지 아니하고(뒤에서 검토함), 기업의 ‘고의·과실’ 없음의 입증이란 ‘법을 위반했으나 고의·과실은 없다는 사실’을 입증하라는 것을 의미하는데, 이 부분이 소송에서 현실적으로 문제되는 경우는 전혀 없고, 실제로 이런 상황은 존재하기 힘들다. 결국 입증의 핵심은 ‘법위반 사실’이다. 정리하면, 예컨대 해킹사고에 의한 개인정보 유출의 경우, 원고는 피고기업이 기술적·관리적 보호조치 의무를 다하지 못했음을 입증해야만 원하는 손해배상을 받게 되는 것이다. 그 러나 ‘기술적·관리적 보호조치’라는 것이 일반인이 접근하기 어려운 전문적인 내용으로 가득 차 있고, ‘기술적·관리적 보호조치 위반’이라는 것은 소송과정에서 피고 기업이 자신이 소지한 증거자료를 충분히 자발적으로 제출해 주지 아니하면 전혀 입증할 수 없기 때문에, 원고가 ‘법위반 사실’ 입증에 성공하기는 하늘의 별따기만큼 어렵게 되어 있다. 사정이 이러한데도, 개인정보보호법 제39조 제1항이 ‘입증책임을 전환함으로써 피해를 입은 정보주체에게 신속·공정한 피해구제를 받을 권리를 실질적으로 보장하고 있다’고 할 수 있는가? 접 근하기도 쉽지 않고 내용 자체도 극히 어려우며 손해배상소송에서 가장 핵심적인 ‘법위반사실’을 피해자인 원고에게 입증부담시켜 놓고, 실제 소송에서 전혀 문제된 적도 없고 그러한 경우를 상상하기도 어려운 ‘법을 위반했는데 고의·과실이 없는 경우’를 피고기업에게 입증토록 한 조치가, 과연 진정으로 피해를 입은 정보주체에게 신속·공정한 피해구제를 받을 권리를 실질적으로 보장하는 조치인가? 개인정보보호법 제39조 제1항을 근거로 소송을 하게 되면, 피해자인 원고가 소송진행면에서 또는 입증부담 측면에서 이익을 볼 것은 전혀 없다. 민법 제750조의 일반불법행위책임 규정으로 소송할 때와 다르지 않다. 제39조 제1항이 진정으로 입증책임을 전환시켜 피해자인 정보주체에게 입증상의 부담을 덜어주려면 아래 정보통신망법 제60조 제1항의 ‘통신과금서비스제공자의 손해배상책임’과 같은 형식처럼 되어 있어야 한다. 「제 60조(손해배상 등) ①통신과금서비스제공자는 통신과금서비스를 제공함에 있어서 통신과금서비스이용자에게 손해가 발생한 경우에 그 손해를 배상하여야 한다. 다만, 그 손해의 발생이 통신과금서비스이용자의 고의 또는 중과실로 인한 경우에는 그러하지 아니하다.」 위 정보통신망법 제60조 제1항의 규정에 따르면, 피해자인 원고는 ‘손배발생’만 입증하면 되고 피고기업이 ‘고의·중과실 없음’을 입증하도록 되어 있다. 개인정보보호법 제39조 제1항이 원고에게 ‘법위반사실’과 ‘손해발생’까지 입증토록 하는 점과는 확연히 구별된다. 정보통신망법 제60조 제1항처럼 규정되어 있지 않은 현재의 개인정보 손해배상 규정인 개인정보보호법 제39조 제1항에 의하면, 실제 소송과정에서 피해자인 원고는 아무런 이익을 얻지 못한다.
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X