IT Solutions/Security

판례로 살펴본 알쏭달쏭 개인정보보호

2018.10.01 09:30
개인정보 보호법은 개인정보의 수집•유출•오용•남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적(개인정보 보호법 제 1조 제1항)으로 2011년 9월 30일부터 시행되었습니다.


모든 기업은 개인정보 보호법에 따라 개인정보는 최소한의 개인정보만을 적법하고 정당하게 수집해야 하며, 처리 목적에 필요한 최소한의 범위에서 적합하게 개인정보를 처리해야 합니다.


즉, 개인정보의 정확성•완전성•최신성 보장, 개인정보의 안전한 관리, 정보 주체의 권리 보장, 정보 주체의 신뢰를 얻기 위한 노력 등을 준수해야 하며, 수집한 개인정보는 개인정보의 라이프사이클에 따라 수집•저장•이용•제공•파기까지 처리 단계별 보호 체계를 유지해야 합니다.


l 개인정보처리자의 주요 의무사항 (출처: LG CNS)


그럼, 개인정보를 처리하는 기업이 준수해야 할 개인정보 라이프사이클에 따른 단계별 보호 조치를 판례를 통해 살펴보도록 하겠습니다.


 개인정보의 정의


개인정보를 활용하는 기업으로서는 과연 어떤 정보가 ‘개인정보’인지 여부를 명확히 인식해야만 개인정보 활용 시 발생할 수 있는 여러 법적 규제를 사전에 준수할 수 있을 것입니다.


개인정보에 관한 법률 규정에 의하면, 개인정보는 아래와 같이 정의하고 있습니다.


‘개인정보’란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.)


l 개인정보의 정의 (출처: 개인정보보호위원회)


특히, 개인정보 정의에 관한 법률의 규정 중 ‘특정한 개인을 알아볼 수 있는 정보’는 상황에 따라 해석이 달라질 수 있습니다.


● 판례: 휴대전화번호 뒷 4자리

 

대전지법 논산지원(2013고단17 판결)은 「휴대전화번호 뒷자리 4자」에 대하여, “휴대전화번호 뒷자리 4자만으로도 그 전화번호 사용자가 누구인지를 식별할 수 있는 경우가 있고, 특히 그 전화번호 사용자와 일정한 인적 관계를 맺어온 사람이라면 더더욱 그러할 가능성이 높으며, 설령 휴대전화번호 뒷자리 4자만으로는 그 전화번호 사용자를 식별하지 못한다 하더라도 그 뒷자리 번호 4자와 관련성이 있는 다른 정보(생일, 기념일, 집 전화번호, 가족 전화번호, 기존 통화내역 등)와 쉽게 결합하여 그 전화번호 사용자가 누구인지를 알아볼 수도 있다”고 하여 「개인정보 보호법」 제2조 제1호에 규정된 개인정보에 해당된다고 판시하고 있다.


오로지 휴대전화번호 뒷 4자리만 있을 경우에는 개인정보에 해당하지 않으나, 이 판례에서는 다른 정보와의 결합 가능성 등을 고려하여 개인 식별 가능성이 있으므로 개인정보로 본 것입니다.


즉, 불확실한 상황에서 기업의 법적 위험을 회피하기 위해서는 최소한 개인에 관련된 정보라면 그것이 ‘개인정보’로서 법적 규제의 대상일 수 있다는 보수적인 관점이 필요합니다.


 개인정보의 수집


개인정보에 관한 법률 규정에 의하면 개인정보의 수집은 아래의 경우에만 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서만 이용할 수 있도록 하고 있습니다.

  • 정보 주체의 동의를 받은 경우

  • 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

  • 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

  • 정보 주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우

  • 정보 주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보 주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

  • 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보 주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한함


또한, 개인정보 수집에 관한 정보 주체의 동의를 받는 경우 정보 주체가 동의 여부를 실질적으로 선택할 수 있도록 수집 목적과 항목 등을 구체적이고 명확하게 안내해야 하며, 정보 주체의 동의를 받았거나 법령에 따른 수집 또는 계약 체결 이행을 위해 불가피한 경우 등에도 수집 목적에 비추어 필요한 최소한의 개인정보만을 수집하도록 하고 있습니다.


● 판례: 1mm 글자의 홈플러스 개인정보 수집 동의서

 

대법원(2016도13263)은 개인정보를 수집•판매할 목적으로 경품 행사를 진행하면서 겉으로는 사은 목적의 경품 행사인 것처럼 선전•광고하고, 경품 행사에 필요하지 않은 개인정보까지 수집하여 제3자 제공에 대한 필수 동의를 받으면서 동의 내용을 1mm 정도의 작은 글씨로 알린 행위를 “거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받은 행위”로 판시하고 있다.


위 판례의 사례와 같이 관련 법령에 따라 법정 고지 사항을 모두 기재하는 등의 단편적인 준수가 아니라 이용자의 입장에서 정보 주체의 권리 보장을 최우선으로 생각하며 사회 통념상 합당하다고 인정될 방법으로 명확하게 동의 사항을 알리고 개인정보를 수집해야 할 것입니다.


 개인정보의 저장•이용


기업이 수집한 개인정보는 그 수집 목적의 범위에서만 이용할 수 있도록 해야 하며, 개인정보가 정확성•완전성•최신성이 보장되도록 하여야 합니다. 또한, 개인정보가 분실•도난•유출•변조 또는 훼손되지 아니하도록 아래와 같이 안전성 확보에 필요한 기술적•관리적 및 물리적 조치를 취해야 합니다.


  • 개인정보의 안전한 처리를 위한 내부 관리계획의 수립•시행

  • 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치

  • 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치

  • 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조•변조 방지를 위한 조치

  • 개인정보에 대한 보안프로그램의 설치 및 갱신

  • 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

● 판례: 네이트의 개인정보 유출

 

대법원(2015다24904)의 사건 고시는 정보통신서비스 제공자가 반드시 준수해야 할 최소한의 기준을 정한 것으로 보는 것이 타당하다. 따라서 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적•관리적 보호조치를 다하였다고 하더라도, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회 통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있다. 나아가 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적․관리적 보호조치를 다하였다고 하더라도, 불법행위에 도움을 주지 말아야 할 주의의무를 위반하여 타인의 불법행위를 용이하게 하였고 이러한 방조 행위와 불법행위에 의한 피해자의 손해 발생 사이에 상당인과관계가 인정된다면 민법 제760조 제3항에 따른 책임을 면할 수 없다고 판시하고 있다.


위 판례에서 보듯이, 개인정보의 안전성 확보를 위해 관련 법령 및 고시된 보호 조치의 기준은 ‘최소한의 기준’으로 기업은 그 외 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있는 보호조치를 수행해야 할 주의 의무가 있습니다.


 개인정보의 제공


기업이 수집한 개인정보를 제공하는 형태는 크게 ‘업무위탁’과 ‘제3자 제공’으로 구분됩니다. 외부의 제3자에게 개인정보를 제공한다는 점에서 유사해 보이지만, 업무의 성격과 법적 책임에서는 아래와 같이 많은 차이를 보이고 있습니다.


l 개인정보 위탁업무 vs 제3자 제공 (출처: 행정안전부)


● 판례: 홈플러스 개인정보 3자 제공

 

대법원(2016도13263)은 개인정보 처리위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리·감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로, 개인정보 보호법 제17조와 정보통신망법 제24조의2에 정한 ‘제3자’에 해당하지 않는다.

 

한편 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리·감독 여부, 정보 주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다고 판시하고 있다.


기업의 영업 활동으로 인해, 수집한 개인정보를 외부의 제3자에게 제공하게 되는 일이 빈번하게 발생합니다. 위 판례와 같이 개인정보의 취득 목적과 방법, 대가 수수 여부 등을 종합적으로 고려(즉, 개인정보 처리로 인한 업무수행 성과가 주로 누구에게 귀속되는지)하여 업무위탁과 제3자 제공 여부를 구분하고, 이에 맞는 적절한 보호조치를 수행하여야 합니다.


기업은 보유 기간의 경과, 개인정보의 처리 목적 달성 등의 개인정보가 불필요하게 되었을 때는 지체 없이 복구 또는 재생되지 아니하도록 아래와 같이 파기해야 합니다. 물론, 다른 법령에 따라 파지하지 아니하고 보존하여야 하는 경우에는 해당 개인정보를 다른 개인정보와 분리하여 저장•관리할 수도 있습니다.

  • 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제

  • 전작적 파일 형태 외의 기록물, 인쇄물, 서면, 그 밖의 기록 매체인 경우: 파쇄 또는 소각


파기 시 복원이 불가능하게 하라는 것은 개인정보 보호법상 가장 중요하며 강력하게 추진하는 부분입니다. 특히, 기업은 수집한 개인정보의 보유 기간을 명확히 파악하고 파기방법 및 절차를 수립하여 지속적인 파기 활동을 수행하여야 합니다.


● 개인정보 분쟁 조정위원회 결정: 이동 통신사업자가 자사의 서비스 해지 고객 개인정보를 파기

 

정보통신서비스 제공자는 고객이 서비스를 해지하였을 경우에는 당해 개인정보를 지체 없이 파기하여야 하나, 예외적으로 상법, 국세기본법, 전자상거래소비자 보호에 관한 법률 등 다른 법령에 의한 보존 필요성이 있을 때는 이를 보존하여야 할 것이다. 따라서 본 사건에서의 피신청인 이동통신 3사는 위에서 열거한 “다른 법령”에서 보존하도록 하고 있는 항목에 해당되는 개인정보는 고객의 해지 여부와 상관없이 이를 보존할 의무가 있다고 해석되므로 피신청인 이동통신 3사는 정보 보호법 제29조를 위반하지 않았다고 판단된다.

 

다만, 피신청인 X, Y, Z 이동통신사의 고객 정보 관리 관행상 몇 가지 불합리한 사항이 발견되는 바, 다음과 같이 개선하도록 권고한다.

  • 관련 법률에 의하여 보유할 필요성이 있는 해지 고객의 개인정보만을 보유하고 기타 개인정보는 파기할 것 

  • 향후 해지 고객의 개인정보를 보유하고자 하는 경우 이를 이용자에게 고지하거나 이용약관에 명시할 것 

  • 해지 고객의 개인정보는 해당 법률에서 정한 목적 범위 및 보존 기간 내에서만 이용할 수 있도록 접근 권한을 당해 업무 담당자로 제한할 것


판례에서 보듯이, 법령상 보관 필요성 등을 위해 보관이 불가피한 경우에는 기존 개인정보와 분리하여 별도로 보관하여야 합니다. 더 나아가 개인정보의 보관 문서를 최소화하여야 하며, 해당 문서에 개인정보 또한 필요한 항목으로 최소화하여야 합니다.


오늘날 개인정보보호는 매우 중요한 사회의 관심사로 누구든지 개인정보를 처리하면서 관계 법령 등을 준수해야 하는 주의가 필요합니다. 개인정보 보호법에서 규정한 목적이 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현인 것처럼, 기업은 수집한 개인정보를 처리함에 있어 정보 주체의 사생활 침해를 최소화하려는 방법으로 개인정보를 안전하게 관리해야 할 것입니다.


글 l LG CNS 보안컨설팅팀


* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.



Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS
위로