개정 개인정보보호법 시행 눈앞...개인정보 어떻게 보호받을 수 있나
상태바
개정 개인정보보호법 시행 눈앞...개인정보 어떻게 보호받을 수 있나
  • 전범진
  • 승인 2020.05.20 11:38
  • 댓글 0
이 기사를 공유합니다

[동네변호사 전범진의 법률체크] 개인정보보호법의 개인정보 침해 법적 이슈

지난 2020. 4. 3.  미성년자 등 여성들을 협박해 찍은 성착취 동영상을 유포한 텔레그램 '박사방'에서 유료회원으로 활동하며 운영자인 조주빈에게 피해자들의 개인정보를 넘긴 전 사회복무요원 최모씨가 구속됐다. 서울중앙지법 원정숙 영장전담 부장판사는 3일 주민센터에서 피해자 200여명의 개인정보를 불법으로 조회하고 이중 17명의 개인정보를 조씨에게 제공한 혐의(개인정보보호법 위반)를 받는 최씨에 대해 구속영장을 발부했다.

서울 송파구의 한 주민센터에서 주민등록증 발급 보조업무를 하던 사회복무요원으로 알려진 최씨는 조씨에게 손석희 JTBC 사장의 차량번호를 포함해 조씨 일당에게 다수의 개인정보를 제공한 혐의를 받았다. 위 사건 이외에도 보이스피싱, 사기 등의 범죄 등에 있어서 개인정보가 주체의 의사에 반하여 이용되고 유통되는 사례는 다수이다.

위와 같은 사회현실에서 개인정보를 보호받기 위하여 개인정보보호법이 규정하는 내용을 숙지하는 것은 개인에 있어서 사생활 등을 보장 받는 차원에서 매우 의미 있는 일이다.

 

1. 개인정보보호법 주요 내용

가. 개인정보는 필요 최소한의 범위 내에서 수집·이용되어야 한다(제16조)

 

제16조(개인정보의 수집 제한) ① 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.

② 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다. 

③ 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.

 

나. 정보주체의 수집 출처 요청시 준수사항(제20조) : 위반시 3천만원 이하의 과태료

수집출처에 관한 사실을 모른다거나 알 수 없다고 밝히는 것만으로는 고지의무를 이행한 것으로 볼 수 없으며, 최대한 구체적으로 성실하게 답변해야 한다. 수집 출처가 기관·단체인 경우 그 명칭까지 구체적이고 성실히 답해야 한다.

수집 출처가 특정 개인이고 고지로 인하여 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 ‘OO동창회 명부’,‘OO동호회 회원명단’ 등 수집출처를 정보주체가 알 수 있을 정도로 답변할 수 있다. 막연히 지인, 당원 등으로 답변하는 것은 구체적이고 성실한 답변으로 볼 수 없다. 이를 위해 출처고지 요구에 대비하여 수집 단계부터 수집 출처별로 구분·범주화 하여 관리할 필요가 있다.

 

제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지) ① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.

1. 개인정보의 수집 출처 2. 개인정보의 처리 목적 3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실

② 제1항에도 불구하고 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다.  

④ 제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다. 

1. 고지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우

2. 고지로 인하여 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

 

다. 개인정보 파기 관련 준수사항(제21조) : 위반시 3천만원 이하의 과태료

제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.

② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.

③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장ㆍ관리하여야 한다.

 

라. 정보주체의 열람 및 삭제 요청시 준수사항(제35조, 제36조, 제37조) : 위반 시 각 3천만원 이하 과태료

제35조(개인정보의 열람) ① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다.

② 제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 행정안전부장관을 통하여 열람을 요구할 수 있다. 

③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다.

④ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다.

1. 법률에 따라 열람이 금지되거나 제한되는 경우 2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우

가. 조세의 부과ㆍ징수 또는 환급에 관한 업무

나. 「초ㆍ중등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치된 고등교육기관에서의 성적 평가 또는 입학자 선발에 관한 업무

다. 학력ㆍ기능 및 채용에 관한 시험, 자격 심사에 관한 업무

라. 보상금ㆍ급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무

마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무

 

제36조(개인정보의 정정ㆍ삭제) ① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.

② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ㆍ삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.

③ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.

④ 개인정보처리자는 정보주체의 요구가 제1항 단서에 해당될 때에는 지체 없이 그 내용을 정보주체에게 알려야 한다.

⑤ 개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주체에게 정정ㆍ삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다.

 

제37조(개인정보의 처리정지 등) ① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다. 이 경우 공공기관에 대하여는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다.

② 개인정보처리자는 제1항에 따른 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.

1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우

4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우

③ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다.

④ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다.

 

마. 개인정보 안정성 확보조치(제29조) : 위반시 3천만원 이하의 과태료

개인정보를 PC 등에 보관 시 각 파일별 비밀번호 설정, 백신 등 보안프로그램 설치 등 안전성 확보조치가 필요하다.

 

제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.

 

바. 개인정보 처리 방침 및 책임자 공개(제30조, 제31조) : 위반시 각 1천만원 이하의 과태료

제30조(개인정보 처리방침의 수립 및 공개) ① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보 처리방침"이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.  <개정 2016. 3. 29.>

1. 개인정보의 처리 목적

2. 개인정보의 처리 및 보유 기간

3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항

6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처

7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)

8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

③ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.

④ 행정안전부장관은 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다

 

제31조(개인정보 보호책임자의 지정) ① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.

② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.

1. 개인정보 보호 계획의 수립 및 시행

2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축

5. 개인정보 보호 교육 계획의 수립 및 시행

6. 개인정보파일의 보호 및 관리ㆍ감독

7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

③ 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.

④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다.

⑤ 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다.

 

 

2. 개인정보보호법 관련 판례들

가. 개인정보 파일에 접근할 권한이 있다는 사실만으로 개인정보 보호법이 규정한 '개인정보처리자'로 볼 수는 없다.

대법원 2019도3215 판결 무죄

개인정보 보호법 제18조는 '개인정보처리자는 정보주체의 개인정보를 동의 없이 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니된다.

라디오 작가가 청취자의 전화번호를 방송사 운영팀에 알려주면, 운영팀이 청취자로부터 개인정보의 이용 등에 관한 동의를 받아 주소 및 인적사항 등을 제공받고, 개인정보를 상품배송 대행업체에 전달해 선물을 발송하는 시스템이다. A씨가 당시 개인정보 집합물을 쉽게 검색할 수 있도록 시스템을 구축·운용하고 있었는지에 대한 증거가 없다. 개인정보처리자의 개념에 비춰보면 A씨가 다른 사람이 운용하는 개인정보파일에 접근할 권한이 있다는 사정만으로 곧바로 개인정보처리자에 해당한다고 보기 어렵다. 검사가 제출한 증거만으로는 A씨가 개인정보 보호법이 정한 행위주체인 '개인정보처리자' 신분임이 증명되지 않는다

 

나. 이미 공개된 개인정보는 당사자의 동의가 없더라도 제3자에게 유료로 제공할 수 있다.

대법원 2014다235080 판결

이 사건 개인정보는 이미 정보주체의 의사에 따라 국민 누구나가 일반적으로 접근할 수 있는 정보원에 공개된 개인정보로서 그 내용 또한 민감정보나 고유식별정보에 해당하지 않고 대체적으로 공립대학 교수로서의 공적인 존재인 A씨의 직업적 정보에 해당한다. 이와 같은 정보를 로앤비 등이 영리목적으로 수집해 제3자에게 제공했다고 해도 그에 따라 얻을 수 있는 '알권리'와 '표현의 자유', '영업의 자유', '사회 전체의 경제적 효율성' 등 법적 이익이 그와 같은 정보처리를 막음으로써 얻을 수 있는 정보주체의 인격적 법익에 비하여 우월하다고 할 것이다. 이미 공개된 개인정보는 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서 수집·이용·제공 등 처리를 할 때는 정보주체의 별도의 동의가 불필요하다. 로앤비 등의 행위를 A씨의 개인정보자기결정권을 침해하는 위법한 행위로 평가할 수는 없다.

 

다. 개인정보 유출 사례들

① 심리상담센터가 피상담자의 허락 없이 심리상담 내용이 담긴 녹취록을 세미나 자료 등으로 사용했다면 배상책임 존재(서울중앙지법 2019나31794 판결 : 위자료 1000만원),

② 경품행사로 대량 수집한 고객 개인정보를 보험사에 팔아넘긴 혐의로 기소된 홈플러스에 벌금형이 확정(대법원 2018도13694 판결 : 벌금 7500만원),

③ 시장점유율을 유지하기 위해 고객정보를 무단으로 이용해 선불폰(요금을 미리 내고 쓰는 휴대전화) 요금을 임의로 충전한 SK텔레콤에 벌금형이 확정(대법원 2016도10102 판결 : SK텔레콤 벌금 500만원, 전·현직 팀장급 직원 2명에게는 징역 2년에 집행유예 3년),

④ 수백 명의 개인정보를 불법으로 구매해 인터넷 게시글의 추천 수를 조작한 혐의로 재판에 넘겨진 30대 남성에게 징역형(인천지법 2017고단9501 판결 : 징역 1년, 집행유예 2년, 80시간 사회봉사명령),

⑤ 법률사무소에서 사무장으로 일하는 동생의 부탁을 받고 다른 사람의 수배내역 등을 몰래 알아봐 준 혐의로 기소된 전직 경찰관에게 징역형이 선고(인천지법 2017고단8711 판결 : 징역 4월, 집행유예 1년),

⑥ 개인정보 불법 수집 여부를 둘러싸고 의사와 환자들이 약학정보원 등을 상대로 소송을 냈지만 1심에서 패소(서울중앙지법 2014가합508066 판결 : 약학정보원이 식별성이 완전히 제거되지 않은 정보를 정보주체의 동의 없이 한국IMS헬스에 제공한 것은 개인정보보호법 위반이나, 해당 정보가 약학정보원과 한국IMS헬스에 제공된 이외에 다른 곳으로 유출되거나 제3자가 열람했을 가능성이 있다고 보기는 어려움),

⑦ 결혼중개업체가 다른 회사에 회원 정보를 무단으로 제공했다면 비록 회원의 만남을 주선할 목적이었다 하더라도 개인정보 유출에 해당해 피해를 배상해야(서울중앙지법 2015가단5163598 판결 : 위자료 250만원),

⑧ 직원이 개인적으로 사용하기 위해 사내 전산망에서 다른 직원의 전화번호와 주소 등 개인정보를 조회하고 사용했다면 회사도 손해배상 책임(서울중앙지법 2016가단5038590 판결 : 각 50만원 위자료, 개인정보의 처리 업무 위탁자인 회사는 정보주체의 개인정보가 유출되지 않도록 수탁자를 교육하고 처리 현황을 점검하는 등 감독해야),

⑨ 구글은 제3자에게 제공한 가입자의 개인정보와 서비스이용내역 현황을 가입자에게 공개할 의무가 존재(서울고법 2015나2065729 판결 : 미국 본사인 구글 인코퍼레이티드, 구글 한국지사인 구글코리아는 이용자의 개인정보, 서비스이용내역을 제3자에게 제공한 현황을 공개하라, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제30조 2항),

⑩ 개인정보 유출로 피해를 본 롯데카드 이용자들에게 카드사가 10만원씩을 배상해야(서울남부지법 2014가합101508 판결 : 각 10만원씩 위자료),

⑪ 온라인에서 할인쿠폰 이벤트 등으로 수집한 고객 정보를 보험사에 넘긴 개인정보수집업체에 대한 방송통신위원회의 제재는 정당하다(대법원 2014두2638 판결),

⑫ 휴대전화 번호 뒷자리 숫자 4개도 개인정보에 해당하기 때문에 무단으로 유출하면 처벌(대전지법 논산지원 2013고단17 판결 : 경찰관 서모씨와 서씨에게서 김씨의 전화번호를 받은 도박 참가자 윤모씨에게 각각 징역 6월, 4월에 집행유예 1년을 선고),

⑬ SK커뮤니케이션즈(SK컴즈)는 해킹으로 회원 개인정보를 유출당한 네이트와 싸이월드 회원들에게 손해를 배상해야(서울서부지법 2011가합11733 판결 : 원고 1인당 20만원씩, 개인정보 3500만여건이 여러 단계를 거쳐 외부로 유출됐는데도 SK컴즈 탐지 시스템이 전혀 감지하지 못했으며, 기업형 알집보다 보안상 취약한 공개용 알집을 사용해 해킹이 더 쉽게 이뤄지도록 했음),

⑭ 변호사가 신용정보업체로부터 제공받은 상대방의 개인신용정보를 의뢰인 측에게 제공해 다른 용도로 사용하게 한 경우 형사처벌(대법원 2007도9493 판결 : 벌금 200만원)

 

라. 개인정보 유출 책임이 부정된 사례들

① 2012년 KT 고객 개인정보 유출 사고에 대해 KT는 손해배상 책임이 인정되지 않음(대법원 2017다207994 판결 : KT가 개인정보 유출방지에 관한 기술적·관리적 보호조치를 이행하지 않은 과실 없음),

② 가상화폐 거래소 빗썸 이용자가 거래소가 개인정보 보호를 위한 의무를 다하지 않아 4억원 상당의 가상화폐를 해커에게 도난당했다며 거래소를 상대로 소송을 냈지만 패소(서울중앙지법 2017가합585293 판결 : 가상화폐는 일반적으로 재화 등을 사는 데 이용될 수 없고, 가치의 변동 폭도 커 현금 또는 예금으로 교환이 보장될 수 없으며 주로 투기적 수단으로 이용되고 있어 전자금융거래법에서 정한 전자화폐에 해당한다고 볼 수 없음),

③ 계정이 해킹돼 보유하고 있던 가상화폐(암호화폐)를 도난당했다고 해도, 가상화폐 거래소에 배상 책임을 물을 수는 없음(서울중앙지법 2017가단5016023 판결 : BTC코리아닷컴이 비트코인 인출을 위한 인증체계를 4단계에서 1단계로 간소화한 사실로 인해 해커가 A씨의 ID와 비밀번호, OTP(일회용 비밀번호) 등을 입수할 수 있었다고 인정할 증거가 없음),

④ 사내 전산망에 공개된 노동조합원의 개인정보를 노조 임원선거 출마자에게 제공한 혐의로 기소된 전 노조위원장이 항소심에서 무죄 판결(울산지법 2017노622 판결 : 무죄, 개인정보 주체인 노조원의 사전동의가 있었다고 인정되는 범위에 속하는 개인정보는 별도 동의 절차를 생략하더라도 수집·이용·제공될 수 있음),

⑤ 인터넷 포털업체가 수사기관의 요청에 따라 이용자의 성명과 주민등록번호 등 개인정보를 넘겼더라도 손해배상책임이 없다(대법원 2012나105482 판결, 전지통신사업법 규정).

⑥ 회사가 개인정보 보호조치를 하지 않아 누구든지 이용자의 개인정보 등을 열람하거나 내려받을 수 있도록 했더라도 실제 개인정보 분실이나 도난, 누출 등이 이뤄지지 않았다면 처벌 할 수 없음(대전지법 2014고정1905 판결 : 무죄, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제28조),

⑦ 온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 해당 업체에게 개인정보 유출에 대한 책임을 지우기 어려움(대법원 2013다43994 판결),

⑧ 정보통신망법상 '개인정보의 누출'은 개인정보가 피고인의 지배 영역을 떠나 외부로 새어 나갔거나 불특정 다수에게 공개돼 열람할 수 있게 된 상태를 의미한다. 단순히 개인정보를 조회한 것만으로는 누출이 있었다고 보기 어렵고 이씨의 지배 영역 밖에 저장된 사실까지 인정돼야 누출이라고 볼 수 있음(서울중앙지법 2012고단6164 판결 : 무죄)

 

마. 근로자가 개인정보 침해를 우려해 회사 업무용 앱 설치를 거부하더라도 이를 징계사유로 삼을 수는 없다.

수원지법 성남지원 2015가합206504 판결 : KT가 이씨에게 내린 징계처분과 전직명령은 무효, 회사의 정직처분으로 이씨가 받지 못한 임금 240여만원도 지급하라.

비록 이씨가 사용하던 휴대폰의 명의가 회사로 되어있고 단말기 금액과 통신비도 회사가 부담하고 있다고 하더라도, 이는 노사간 단체교섭을 통해 업무 구분제한없이 지급되는 것으로 임금보전적·복리후생적인 성격이 있는 것이다. 지원 조건에서도 본인이 사용하는 것 외에는 다른 제한 조건이 없고 직원들이 사실상 개인용으로 사용하는 점 등을 종합해보면 이씨에게 제공된 업무용 단말기에 저장된 이씨의 개인정보는 개인정보 보호법상의 보호대상에 해당된다. 과학기술의 진보에 따라 기업의 근로감시활동이 전자장비와 결합돼 확대됨에 따라 근로자의 인격권 내지 사생활 침해우려가 고조되고 있지만, 앱을 이용하는 대다수의 이용자가 서비스 제공자가 본인 단말기의 정보를 얼마나 수집하고 어디까지 활용할 수 있는지 정확히 알지 못하고 있다. 이러한 상황에서 근로자는 업무수행의 과정이나 방법 등과 관련된 자신의 개인정보자기결정권을 사용자가 존중해 줄것을 요구할 수 있다고 봐야 한다. 실제 앱 설치 당시 상당한 범위의 개인정보에 접근할 수 있는 권한이 요구된다는 공지가 반복되었고, 이 공지는 업무와는 무관한 개인정보 수집이 발생할 수도 있다는 우려를 낳기에 충분했다. 이씨가 앱 설치를 하지 않아 업무수행을 하지 못했다는 점만으로 성실의무 위반이라는 징계사유가 있다고 볼 수 없으므로 징계처분은 효력이 없고 징계처분을 전제로 한 전직명령 역시 무효이다.

 

3. 개정 개인정보보호법 내용

개정 개인정보 보호법이 올해 2월 4일 공포되어 8월 그 시행을 앞두고 있다. 개정법은 크게 ① 집행권한·조직을 개인정보보호위원회로 최대한 일원화하였다. ② 실체적 측면에서 종래의 목적구속의 원칙을 버리고 목적합치의 원칙을 채택하였고, 가명정보에 관한 일련의 특례를 도입하였다.

현행법 제15조 제1항과 제17조 제1항 제2호는 수집 목적의 범위에서 이용하거나 제공하는 것만을 허용하고, 제18조 제1항에서 이를 넘는 이용과 제공을 금지하면서 같은 조 제2항에서 개별적 예외사유를 열거하였다. 그러나 개정법 제15조 제3항, 제17조 제3항은, 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령이 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용·제공할 수 있게 한다.

가명정보의 특례이다. 현행법 제18조 제2항 제4호는 '통계작성 및 학술연구 등의 목적을 위하여 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우'를 목적 외 이용·제공의 예외로 규정하고 있었고, 제3조 제7항은 일반적으로 `익명처리가 가능한 경우에는 익명처리하여야 한다`는 원칙을 수립하고 있었다. 그러나 개정법은 제3조 제7항의 익명처리를 익명 또는 가명처리로 바꾸고 제18조 제2항 제4호를 삭제하는 대신 제28조의2 제1항에서 '통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다'고 규정하는 등 이하의 규정에서 가명처리의 특례를 정하였으며, 제2조 제8호에서 과학적 연구를 '기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구'로 규정하였다.

전범진   kjbjjbj@daum.net  최근글보기
새솔법률사무소에서 변호사로 일하고 있다. 민변 회원으로 공익소송을 수차례 담당했다. 행정고시, 사법시험출신 민사,형사법전문변호사이다. 영등포구청 공직자윤리심사위원을 담당했다.

관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0 (뉴스톱 댓글달기는 회원으로 가입한 분만 가능합니다)
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사