Q 홈페이지에 회원가입을 하려고 하는데, 아무런 고지 없이 아이디, 비밀번호, 이메일만 수집합니다.
요즘 방송이나 신문에서 개인정보를 사업자에게 제공할 때에는 꼭 내 개인정보가 어떻게 이용되는지 고지사항을 확인하라는 내용을 자주 보았습니다. 평소에는 인터넷사이트에서 필요한 정보를 수집하기 위해 마구잡이로 회원가입을 하였지만 최근에는꼭 개인정보를 제공할 때에는 개인정보 관련 고지사항을 보게 됩니다. 그런데, 개인정보라고 하기는 좀 그런 아이디, 비밀번호, 이메일만을 수집하고 별다른 고지 내용도 없는 사이트가 있습니다. 해당 사이트에 꼭 필요한 자료가 있어서 회원가입을 해야하는데, 해당 사이트가 개인정보 보호 법령을 잘 준수하고 있는건지 궁금합니다.
A 개인정보는 개인을 특정하고 식별할 수 있는 정보로 해당 개인정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함합니다.
개인정보란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함합니다. 하나의 정보만으로도 개인을 식별하거 특정할 수 있는 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호뿐만 아니라 다른 정보와 쉽게 결합하여 개인을 식별하거나 특정할 수 있는 아이디, 이메일 등도 개인정보에 해당됩니다. 따라서 아이디, 비밀번호, 이메일만을 수집하더라도 개인정보 보호 법령상 개인정보의 수집에 해당하므로 정보주체에게 해당 개인정보의 수집·이용 목적에 대해 고지하고 동의를 구하는 절차를 만들어야 합니다.
「개인정보 보호법」
제2조(정의)
이 법에서 사용하는 용어의 뜻은 다음과 같다.
1. “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
2. “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그밖에 이와 유사한 행위를 말한다.
3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
제15조(개인정보의 수집·이용)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
제16조(개인정보의 수집 제한)
① 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.
② 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다.
③ 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.
제75조(과태료)
① 다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다.
1. 제15조제1항을 위반하여 개인정보를 수집한 자
② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다.
1. 제15조제2항, 제17조제2항, 제18조제3항 또는 제26조제3항을 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자
대전지방법원 논산지원 2013. 8. 9. 선고 2013고단17 판결
경찰공무원인 피고인 甲이 피해자 乙의 신고에 따라 피고인 丙등의 도박 현장을 단속한 다음 훈방 조치하였는데, 그 후 피고인 丙으로부터 신고자의 전화번호를 알려달라는 부탁을 받고 ‘乙의 휴대전화번호 뒷자리 4자’를 알려 주었다고 하여 개인정보 보호법 위반으로 기소된 사안에서, 휴대전화 사용이 보편화되면서 휴대전화번호 뒷자리 4자에 전화번호 사용자의 정체성이 담기는 현상이 심화되고 있어 휴대전화번호 뒷자리 4자만으로도 전화번호 사용자가 누구인지 식별할 수 있는 점 등을 종합할 때, 피고인 甲이 피고인 丙에게 제공한 乙의 휴대전화번호 뒷자리 4자는 살아있는 개인인乙에 관한 정보로서 乙임을 알아볼 수 있는 정보이거나, 적어도 다른 정보와 쉽게 결합하여 乙임을 알아볼 수 있는 정보여서 개인정보 보호법 제2조 제1호 에 규정된 ‘개인정보’에 해당한다는 이유로 피고인들에게 유죄를 선고한사례.
2. 개인정보의 수집·이용
Q 길거리에서 서명을 받고 있는데 타인의 개인정보가 전부 노출되고 있습니다.
◯◯단체에서 쓰레기 분리 수거장 유치 반대 집회를 하면서 시민들을 상대로 홍보물을 배포하고 쓰레기 분리 수거장 유치 반대지지 서명을 받고 있습니다. 평소 사회 문제에 많은 관심이 없어 그냥 지나가려고 하는데, 서명부를 보니 지지서명을 한 사람들의 이름, 주소, 연락처가 한 장에 수십개씩 적혀있었습니다. 제가 알기로는 개인정보를 수집하려면 정보주체의 동의도 받아야하고 지지서명 여부가 노출되는게 좀 이상한 것 같은데 개인정보 보호법상 위반은 없는지 궁금합니다.
A 민감한 내용이 타인에게 노출될 위험이 있으므로 개별적으로 동의를 받는 등 필요한조치를 취해야 합니다.
원칙적으로 정보주체로부터 개인정보를 수집하는 경우에는 정보주체에게 법에서 요구하는 고지항목을 알리고 명확한 동의를 받아야합니다. 또한, 사람의 사상, 신념, 정치적 견해 등에 관한 정보는 일반 개인정보와 달리 민감한 개인정보로 구분하여 별도의 동의절차 및 안전하게 관리하기 위한 조치를 취하도록 하고 있습니다.
이 사례의 경우, ◯◯단체가 지지서명을 받는 과정에서 정보주체로부터 법에서 요구하는 고지항목을 알리고, 동의를 받는 절차가 미흡한 것으로 보입니다. 물론, ◯◯단체가지지서명을 유도하는 과정에서 지지서명의 목적, 내용 등을 설명하였을 수는 있지만 그렇다고 하더라도 법에서 요구하는 고지 항목이 전부 포함되어 있고, 이를 정보주체가 명확하게 인식하였는지 여부에 대해서 확인이 필요하므로 법에서 정한 절차를 이행해야할 것입니다. 또한, 사상, 신념, 정치적 견해 등은 민감정보로써 특히 위와 같은 조치를 이행해야할 것으로 판단됩니다. 지지서명부의 경우, 타인의 개인정보가 전부 노출될 가능성이 많으므로, 개별 서명 등을 통해 지지서명부에 적힌 개인정보가 유·노출, 오·남용되지 않도록 필요한 조치를 해야 하며, 이를 위반할 경우, 형사처벌을 받을 수도 있습니다.
「개인정보 보호법」
제15조(개인정보의 수집·이용)
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집·이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
제22조(동의를 받는 방법)
① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제5항에 따른 법정대리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다.
② 개인정보처리자는 제15조제1항제1호, 제17조제1항제1호, 제23조제1항제1호 및 제24조제1항제1호에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체와의 계약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다
제23조(민감정보의 처리 제한)
①개인정보처리자는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 "민감정보"라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에
는 그러하지 아니하다. <개정 2016.3.29.>
1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에대한 동의와 별도로 동의를 받은 경우
2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.
제29조(안전조치의무)
개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.
제71조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.
3. 제23조제1항을 위반하여 민감정보를 처리한 자
제73조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다.
1. 제23조제2항, 제24조제3항, 제25조제6항 또는 제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 자
제75조(과태료)
② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다.
1. 제15조제2항, 제17조제2항, 제18조제3항 또는 제26조제3항을 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자
국가인권위원회 12진정0030600, 2012. 6. 14., 침해
개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격 주체성을 특정 짓는 것으로써 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 때, 지문은 개인의 신체에 부착된 일신 전속적인 것이고 개인의 고유성이 매우 강한 바이오정보로써 개인정보자기결정권에 의하여 보호되어야 할 중요하고도 본질적인기본권의 내용을 구성하고 있다. 또한 개인의 본질적인 기본권을 제한하는 행위는「헌법」제10조 및 제17조에서 보호하고 있는 개인정보자기결정권을 현저하게 침해하거나 제한하는 행위로 볼 수 있으며, 본질적인 기본권을 제한하기 위해서는 법률적 근거가 필요하다.
우리나라는 현재「주민등록법」, 「출입국관리법」, 「실종아동 등의 보호 및 지원에 관한 법률」, 「형의 실효 등에 관한 법률」, 「군행형법」, 「여권법」은 법률에 지문을 채취하도록 하고 있다.
따라서 공익근무요원들에 대한 지문등록시스템을 도입하기 위해서는 「주민등록법」과 같이 지문채취와 관련된 법률적 근거를 마련해야 함에도 불구하고, 피진정인이 도입·시행하고 있는 공익근무요원들에 대한 출퇴근용 지문등록시스템은 법률적 근거가 없으며, OO시의 자체 규정이나 지침도 마련되어 있지 않아 헌법 제37조 제2항에 따라 법률유보 원칙을 위반할 소지가 있다.
지문등록시스템 도입은 헌법 제10조와 제17조에 의거한 기본권인 개인정보자기결정권 제한의 문제이므로, 헌법의 기본권 제한에 따르는 과잉금지의 원칙과 법률유보의 원칙에 따라 검토되어야 하며, 이러한조건이 충족되어야 설치 및 운영이 정당화 될 수 있을 것이다.
따라서 출퇴근 확인을 위한 지문등록시스템 도입이 기본적 인권을 제한하는데 있어서 그 목적의 정당성 및 수단의 적합성 여부, 침해의 최소성 및 법익의 균형성 여부 등을 검토할 필요가 있을 것이다.
피진정인은 공익근무요원들의 지속적인 근무지 이탈 증가 등으로 복무(근태)관리에 어려움이 있고, 출퇴근용 카드(발급비용, 1개당 12,000원)분실로 인한 재발급 비용을 줄일 목적으로 2011. 10. 28.자로 00시청 소속 공익근무요원들(130여명)에게 지문을 등록하여 출·퇴근 시 지문을 찍도록 하는 지문등록시스템을 도입하였다고 하므로 목적 그 자체는 정당하다 할 것이다. 지문등록시스템의 도입은 공익근무요원들의 효율적인 근태관리에 도움이 되기 때문에 수단의 적합성이 인정된다. 이런 바이오 정보에 의한 신원 확인은 카드나 종이로 된 기존신원 인식 방식에 비해 위조가 어렵고 유일성, 불변성, 보편성을 가지고 있어 유일식별자로서 기능하므로 데이터베이스화되기 쉬운 특징을 가지고 있어 정부와 기업 등에서 선호하고 있다. 그럼에도 불구하고, 개인정보 생명주기에 따라 수집과정에서 명확한 인식과 설명(개인정보 열람·정정·삭제 청구권) 없는 수집의 위험성, 저장관리 과정에서 해킹에 의한 유출 및 삭제, 이용 및 제공과정에서 다른 개인정보 데이터베이스와의 결합에 따른 오·남용(특성, 습관, 행동, 감정추론) 사례가 발생할 가능성이 존재하며, 원데이터의 복원이나 당사자 역추적 등도 가능하므로 개인정보 유출 가능성을 배제할 수는 없다.
한편, 본 진정사건과 관련하여 공익근무요원들에 대한 복무(근태)관리는 담당자가 지속적인 점검을 통하여 이를 감독할 수가 있으며, 부득이하게출퇴근용 카드발급시스템을 사용한다 하더라도 충분히 예방할수 있으므로 지문등록시스템 도입은 침해의 최소성에 맞지 않다고 판단된다.
공익근무요원들의 출퇴근 관리를 위한 지문등록시스템의 도입은 그 목적이 정당하고 수단이 적정하다하더라도 복무(근태)관리는 담당자의 지속적인 관리와 점검을 통하여 충분히 이루어질 수 있는 부분이고 수집되는 정보는 정보주체의 생체정보로써 개별식별 정보이자 민감 정보에 해당하여 개인정보자기결정권을 침해할 수 있다. 또한 지문등록시스템의 도입을 통해 달성하려는 복무(근태)관리 편의라는 공익에 비해 제한되는 사익은 개인정보자기결정권이므로 침해의 최소성 및 법익의 균형성에 어긋나 과잉금지원칙에 위반될 뿐만 아니라 이를 시행할 법률상의 근거가 미비하여 법률유보원칙을 위반할 소지가 있다.
3. 개인정보의 목적 외 이용·제공 제한
Q 2년전에 예약한 적이 있는 ◯◯레스토랑에서 이벤트 문자가 수신되었습니다.
A시에서 꽤 유명한 ◯◯레스토랑에 가족들과 식사를 하기 위해 ◯◯레스토랑 전화번호로 저녁 예약을 하였습니다. 담당 매니저 B씨가 정말 친절하여 좋은 기억이 있었으나 직장이 C시로 이전하면서 2년 넘게 ◯◯레스토랑을 가지 못하였습니다. 그런데 우리 가족을 담당했던 ◯◯레스토랑 매니저 B씨가 ◯◯레스토랑에서 나와 C시에 개업을 하였다며 개업 안내 문자를 보내왔습니다. ◯◯레스토랑에 저녁 식사 예약을 위해 제공한 개인정보를 B씨가 이용할 수 있는지 궁금합니다.
A 개인정보를 수집한 목적 외로 이용하면 형사처벌을 받을 수 있습니다.
◯◯레스토랑은 식사 예약을 위해서 정보주체의 동의 없이 이름, 전화번호 등을 수집할 수 있습니다. 다만, ◯◯레스토랑이 식사 예약을 위해서 수집한 개인정보이므로 식사 예약자 확인, 예약 내용 안내, 식사 제공 등의 목적에 한해서만 이용이 가능합니다.
또한, 정보주체가 개인정보를 제공한 목적인 식당 예약 등의 목적이 전부 달성된 경우에는 지체 없이 파기 등 필요한 조치를 하여야 합니다.
이 사례의 경우, ◯◯레스토랑은 식사 예약을 목적으로 수집한 정보주체의 개인정보를 식사가 제공된 이후인 2년이 지나서도 파기 등 필요한 조치를 하지 않고 보관하고 있어 개인정보 미파기가 의심되며, 개인정보 취급자라고 할 수 있는 담당 매니저 B씨가 ◯◯레스토랑을 퇴사하는 과정에서 예약자 명단을 무단으로 취득하여 외부로 반출한 혐의 및 이를 이용하여 식사 예약의 목적이 아닌 담당 매니저 B씨의 영업자 홍보의 목적으로 이용한 혐의가 있습니다. 특히, 개인정보 취급자가 개인정보를 무단으로 외부로 반출하거나 수집한 목적과 다르게 이용할 경우에는 형사처벌을 받을 수도 있으므로 개인정보처리자는 항상 개인정보 취급자에 대한 적절한 교육 및 관리·감독을 하여야 합니다.
「개인정보 보호법」
제15조(개인정보의 수집·이용)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
제18조(개인정보의 목적 외 이용·제공 제한)
① 개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다.
제21조(개인정보의 파기)
① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
제29조(안전조치의무)
개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.
제71조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.
2. 제18조제1항·제2항, 제19조, 제26조제5항 또는 제27조제3항을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자
제72조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 3년 이하의 징역 또는 3천만원 이하의 벌금에 처한다.
2. 제59조제1호를 위반하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자
제75조(과태료)
② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다.
4. 제21조제1항을 위반하여 개인정보를 파기하지 아니한 자
대법원 2016. 3. 10. 선고 2015도8766 판결
구 개인정보 보호법(2014.3.24.법률 제12504호로 개정되기 전의 것, 이하 ‘개인정보 보호법’이라 한다)제71조 제1호는 제17조 제1항을 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자를 처벌하도록 하고 있고, 제17조 제1항은 ‘개인정보처리자’가 정보주체의 동의를 받은 경우나 수집한 목적 범위 내에서는 개인정보를 제공할 수 있는 것으로 정하고 있어, ‘개인정보처리자’의 개인정보 무단 제공행위 및 그로부터 개인정보를 무단으로 제공받는 행위에 관하여는 제71조 제1호 , 제17조 제1항에 의하여 별도로 규제되고 처벌할 수 있는 점, 개인정보 보호법 제59조 제2호의 의무주체는 ‘개인정보를 처리하거나 처리하였던 자’로서 제15조 (개인정보의 수집·이용), 제17조 (개인정보의 제공), 제18조 (개인정보의 목적 외 이용·제공 제한)등의 의무주체인 ‘개인정보처리자’와는 법문에서 명백히 구별되는 점, 개인정보 보호법이 금지 및 행위규범을 정할 때 일반적으로 개인정보처리자를 규범준수자로 하여 규율함에 따라, 제8장 보칙의 장에 따로 제59조를 두어 ‘개인정보처리자’외에도 ‘개인정보를 처리하거나 처리하였던 자’를 의무주체로 하는 금지행위에 관하여 규정함으로써 개인정보처리자 이외의 자에 의하여 이루어지는 개인정보 침해행위로 인한 폐해를 방지하여 사생활의 비밀 보호 등 개인정보 보호법의 입법 목적을 달성하려 한 것으로 볼 수 있는 점 등을 고려하면, 개인정보 보호법 제71조 제5호 의 적용대상자로서 제59조 제2호의 의무주체인 ‘개인정보를 처리하거나 처리하였던 자’는 제2조 제5호의 ‘개인정보처리자’즉 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등에 한정되지 않고, 업무상 알게 된 제2조 제1호의 ‘개인정보’를 제2조 제2호의 방법으로 ‘처리’하거나 ‘처리’하였던 자를 포함한다.
4. 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지
Q 인터넷 가입센터라는 곳에서 인터넷 가입 권유 전화를 받았습니다.
본인들은 인터넷 가입을 대행해주는 ◯◯텔레콤 가입센터라면서 기존에 쓰고 있는 인터넷 서비스에 대해 업그레이드를 하라는 전화를 받았습니다. ◯◯텔레콤 가입센터에서 먼저 저의 이름과 저희 집 인터넷 가입년도, 회선 수 등을 말하였고, 저희 집 주소도 알고 있었습니다. 저의 개인정보를 어떻게 알고 있냐고 물었지만 ◯◯텔레콤 가입센터에서는 정확한 출처는 얼버무리며 전화통화를 종료하는데 급급했습니다. 이런 경우, 제가 취해야할 조치가 무엇인지 궁금합니다.
A 개인정보 수집 출처 고지를 요구할 수 있으며, 개인정보 파기 요청을 할 수 있습니다.
인터넷 혹은 이동통신사라고 하며 상담사가 직접 육성으로 가입 권유전화를 한다면 텔레마케팅으로 볼 수 있습니다. 이와 관련하여 통신사가 고객의 동의를 받고 직접 또는 위탁하여 신규 요금제 또는 서비스 안내 등을 전화로 광고하는 행위는 허용될 수 있습니다. 그러나 인터넷통신서비스 관련 불법텔레마케팅은 보유하고 있는 개인정보를 고객 동의 없이 이용하거나 통신사의 대리점(혹은 판매점)에서 불법적으로 수집(구매)한 개인정보를 활용하는 경우가 있습니다. 대리점(혹은 판매점)인 경우 소속, 직급을 문의하였을 때 대답을 회피하거나 발신전용번호 또는 휴대전화번호로 광고를 한다면 불법 텔레마케팅을 의심할 수 있습니다.
이 사례의 경우, ◯◯텔레콤 가입센터에 정보주체의 개인정보를 어떻게 수집하였는지 개인정보 수집 출처 고지를 요구하였지만 ◯◯텔레콤 가입센터이 이에 대한 적절한 답변을 하지 않았으므로 과태료가 부과될 수 있습니다. ◯◯텔레콤 가입센터는 정보주체의 개인정보 수집 출처 요구에 법에 정한 고지 내용을 알려줘야할 의무가 있기 때문입니다. 또한, ◯◯텔레콤 가입센터는 인터넷 서비스를 제공하기 위해 수집한 개인정보를 별도의 마케팅 목적으로 사용하고자 한다면, 정보주체에게 별도로 마케팅 목적으로개인정보를 사용해도 되는지를 법에 정한 고지 항목을 알리고 동의를 받아서 이용해야하며, 이를 위반할 경우, 형사처벌을 받을 수도 있습니다.
「개인정보 보호법」
제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)
① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.
1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실
② 제1항에도 불구하고 처리하는 개인정보의 종류·규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인
정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다.
제37조(개인정보의 처리정지 등)
① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다. 이 경우 공공기관에 대하여는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다.
② 개인정보처리자는 제1항에 따른 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보처리의 전부를 정지하거나 일부를 정지하여야 한다.
제73조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다.
3. 제37조제2항을 위반하여 개인정보의 처리를 정지하지 아니하고 계속 이용하거나 제3자에게 제공한 자
제75조(과태료)
② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다.
3. 제20조제1항 또는 제2항을 위반하여 정보주체에게 같은 항 각 호의 사실을 알리지 아니한 자
12. 제37조제4항을 위반하여 처리가 정지된 개인정보에 대하여 파기 등 필요한 조치를 하지 아니한 자
「정보통신망 이용촉진 및 정보보호 등에 관한 법률」
제50조(영리목적의 광고성 정보 전송 제한)
① 누구든지 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 사전 동의를 받지 아니한다.
1. 재화등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 대통령령으로 정한 기간 이내에 자신이 처리하고 수신자와 거래한 것과 동종의 재화등에 대한 영리목적의 광고성 정보를 전송하려는 경우
2. 「방문판매 등에 관한 법률」에 따른 전화권유판매자가 육성으로 수신자에게 개인정보의 수집출처를 고지하고 전화권유를 하는 경우
② 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려는 자는 제1항에도 불구하고 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우에는 영리목적의 광고성 정보를 전송하여서는아니 된다.
대법원 2016. 8. 17. 선고 2014다235080 판결
인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조 의 사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리이다. 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 개인의 동일성을 식별할 수 있게 하는 일체의 정보이고, 반드시 개인의 내밀한 영역에 속하는 정보에 국한되지 아니하며 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다. 또한 개인정보를 대상으로 한 조사ㆍ수집ㆍ보관ㆍ처리ㆍ이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다.
개인정보자기결정권이라는 인격적 법익을 침해ㆍ제한한다고 주장되는 행위의 내용이 이미 정보주체의 의사에 따라 공개된 개인정보를 그의 별도의 동의 없이 영리목적으로 수집ㆍ제공하였다는 것인 경우에는, 정보처리 행위로 침해될 수 있는 정보주체의 인격적 법익과 그 행위로 보호받을 수 있는 정보처리자 등의 법적 이익이 하나의 법률관계를 둘러싸고 충돌하게 된다. 이때는 정보주체가 공적인 존재인지, 개인정보의 공공성과 공익성, 원래 공개한 대상 범위, 개인정보 처리의 목적ㆍ절차ㆍ이용형태의 상당성과 필요성, 개인정보 처리로 침해될 수 있는 이익의 성질과 내용 등 여러 사정을 종합적으로 고려하여, 개인정보에 관한 인격권 보호에 의하여 얻을 수 있는 이익과 정보처리 행위로 얻을 수 있는 이익 즉 정보 처리자의 ‘알 권리’와 이를 기반으로 한 정보수용자의 ‘알 권리’및 표현의 자유, 정보처리자의 영업의 자유, 사회 전체의 경제적 효율성 등의 가치를 구체적으로 비교형량 하여 어느 쪽 이익이 더 우월한 것으로 평가할 수 있는지에 따라 정보처리 행위의 최종적인 위법성 여부를 판단하여야하고, 단지 정보처리자에게 영리 목적이 있었다는 사정만으로 곧바로 정보처리 행위를 위법하다고 할 수는 없다.
2011.3.29.법률 제10465호로 제정되어 2011.9.30.부터 시행된 개인정보 보호법은 개인정보처리자의 개인정보 수집ㆍ이용(제15조)과 제3자 제공(제17조)에 원칙적으로 정보주체의 동의가 필요하다고 규정하면서도, 대상이 되는 개인정보를 공개된 것과 공개되지 아니한 것으로 나누어 달리 규율하고 있지는 아니하다.
정보주체가 직접 또는 제3자를 통하여 이미 공개한 개인정보는 공개 당시 정보주체가 자신의 개인정보에 대한 수집이나 제3자 제공 등의 처리에 대하여 일정한 범위 내에서 동의를 하였다고 할 것이다. 이와 같이 공개된 개인정보를 객관적으로 보아 정보주체가 동의한 범위 내에서 처리하는 것으로 평가할 수 있는 경우에도 동의의 범위가 외부에 표시되지 아니하였다는 이유만으로 또다시 정보주체의 별도의 동의를 받을 것을 요구한다면 이는 정보주체의 공개의사에도 부합하지 아니하거니와 정보주체나 개인정보처리자에게 무의미한 동의절차를 밟기 위한 비용만을 부담시키는 결과가 된다.
다른 한편 개인정보 보호법 제20조 는 공개된 개인정보 등을 수집ㆍ처리하는 때에는 정보주체의 요구가 있으면 즉시 개인정보의 수집 출처, 개인정보의 처리 목적, 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실을 정보주체에게 알리도록 규정하고 있으므로, 공개된 개인정보에 대한 정보 주체의 개인정보자기결정권은 이러한 사후통제에 의하여 보호받게 된다.
따라서 이미 공개된 개인정보를 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서 수집ㆍ이용ㆍ제공 등 처리를 할 때는 정보주체의 별도의 동의는 불필요하다고 보아야 하고, 별도의 동의를 받지 아니하였다고 하여 개인정보 보호법 제15조나 제17조를 위반한 것으로 볼 수 없다. 그리고 정보 주체의 동의가 있었다고 인정되는 범위 내인지는 공개된 개인정보의 성격, 공개의 형태와 대상 범위, 그로부터 추단되는 정보주체의 공개 의도 내지 목적뿐만 아니라, 정보처리자의 정보제공 등 처리의 형태와 정보제공으로 공개의 대상 범위가 원래의 것과 달라졌는지, 정보제공이 정보주체의 원래의 공개 목적과 상당한 관련성이 있는지 등을 검토하여 객관적으로 판단하여야 한다.
법률정보 제공 사이트를 운영하는 甲 주식회사가 ○○대학교인 乙 대학교 ○○대학 법학과 교수로 재직 중인 丙의 사진, 성명, 성별, 출생연도, 직업, 직장, 학력, 경력 등의 개인정보를 위 법학과 홈페이지 등을 통해 수집하여 위 사이트 내 ‘법조인’항목에서 유료로 제공한 사안에서, 甲 회사가 영리 목적으로 丙의 개인정보를 수집하여 제3자에게 제공하였더라도 그에 의하여 얻을 수 있는 법적 이익이 정보처리를 막음으로써 얻을 수 있는 정보주체의 인격적 법익에 비하여 우월하므로, 甲 회사의 행위를 丙의 개인정보 자기결정권을 침해하는 위법한 행위로 평가할 수 없고, 甲 회사가 丙의 개인정보를 수집하여 제3자에게 제공한 행위는 丙의 동의가 있었다고 객관적으로 인정되는 범위 내이고, 甲 회사에 영리 목적이 있었다고 하여 달리 볼 수 없으므로, 甲 회사가 丙의 별도의 동의를 받지 아니하였다고 하여 개인정보 보호법 제15조나 제17조를 위반하였다고 볼 수 없다고 한 사례
5. 개인정보의 파기
Q 이전에 신용대출을 받은 적이 있는데, 그 이후부터 대출 광고 문자가 자주 옵니다.
갑자기 급하게 돈이 필요하였는데 인터넷 대출 광고를 보게 되었습니다. 몇가지 개인정보를 입력하고 본인 인증을 받고 나니 곧바로 통장으로 약간의 선이자를 제외한 금액이 입금되었습니다. 그런데 그 이후부터 예전과 다르게 대출 광고 문자가 하루에도 수십개씩 수신되었습니다. 처음에는 대수롭지 않게 생각을 하였는데 대출금을 기간내에 다 상환한 후에도 대출 광고 문자가 지속적으로 수신되니 조금은 불쾌하였습니다. 혹시 내 개인정보가 대부업체들 사이에서 공공연하게 거래되거나 유통되는게 아닌지 걱정이 됩니다. 이런 경우에 제가 취할 수 있는 조치가 무엇인지 궁금합니다.
A 개인정보처리자는 해당 개인정보를 수집한 목적 범위안에서만 이용할 수 있고, 수집목적이 달성된 후에는 지체 없이 파기해야합니다.
원칙적으로 개인정보처리자(대부업자)는 개인정보를 수집한 목적 범위 내에서만 이용해야하고, 수집 목적을 달성한 경우에는 지체 없이 파기해야합니다. 개인정보처리자(대부업자)가 정보주체가 제공한 개인정보를 어떻게 처리하는지를 간편하게 알 수 있는 방법은 홈페이지 등에 공개되어있는 개인정보처리방침을 확인하는 것입니다. 알 수 없는 곳에서 대출 광고 문자를 받는다면, 개인정보처리자에게 본인 개인정보의 수집 출처를 요구할 수 있고, 대출금을 기간내에 다 상환한 후에도 해당 업체로부터 대출 광고 문자가 수신된다면 해당 업체에 개인정보 파기 요청 등을 할 수 있습니다.
만약에 대출 문자로 인한 금전적 피해가 발생했다면 가까운 경찰서나 경찰청 사이버안전국(http://cyberbureau.police.go.kr)에 신고하여 신속한 피해구제를 받을 수 있습니다.
「개인정보 보호법」
제15조(개인정보의 수집·이용)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
제18조(개인정보의 목적 외 이용·제공 제한)
① 개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다.
제21조(개인정보의 파기)
① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
제30조(개인정보 처리방침의 수립 및 공개)
① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 “개인정보 처리방침”이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
8. 그밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
② 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.
제71조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.
2. 제18조제1항·제2항, 제19조, 제26조제5항 또는 제27조제3항을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자
제75조(과태료)
② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다.
4. 제21조제1항을 위반하여 개인정보를 파기하지 아니한 자
대법원 2011. 7. 14. 선고 2011도1960 판결
[1] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2007.1.26.법률 제8289호로 개정되기 전의 것, 이하 ‘법’이라고 한다) 제24조 제1항에 의하면, 정보통신제공자는 당해 이용자의 동의가 없더라도 법 제22조 제2항의 규정에 의한 고지의 범위 또는 정보통신서비스 이용약관에 명시한 범위 내에서 개인정보를이용할 수 있다고 보아야 한다. 그리고 법 제22조는 ‘개인정보의 수집’에 관한 규정이고, 법 제24조는 ‘개인정보의 이용 및 제공’에 관한 규정으로서, 법 제22조 제2항 제2호에 의하면 정보통신서비스 제공자는 개인정보 수집을 위한 동의를 얻고자 하는 경우 ‘미리’, ‘개인정보의 수집목적 및 이용목적’을 이용
자에게 고지하거나 정보통신서비스 이용약관에 명시하여야한다고 규정하고 있으므로, 법 제24조 제1항에서 말하는 ‘ 법 제22조 제2항의 규정에 의한 고지의 범위 또는 약관에 명시한 범위’란 개인정보를 수집하면서 ‘미리’고지하거나 약관에 명시한 ‘개인정보의 이용목적’의 범위를 말하고, 사후에 정보통신서
비스이용약관이 변경된 경우 변경된 약관을 기준으로 법 제24조 제1항 위반 여부를 판단하여야 한다고 볼 수는 없다.
[2] 정보통신서비스 제공자인 피고인 甲주식회사의 임원 피고인 乙이 이용자들의 개인정보를 수집하면서 ‘미리’고지하거나 약관에서 명시한 ‘개인정보의 이용목적’의 범위를 넘어 개인정보를 이용하였다고 하여 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2007.1.26.법률 제8289호로 개정되기 전의 것,
이하 ‘법’이라고 한다)위반으로 기소된 사안에서, 사후에 약관이 변경된 경우 변경된 약관을 기준으로 법 제24조 제1항 위반 여부를 판단하여야 한다는 피고인들의 주장을 배척하고 유죄를 인정한 원심판단을 수긍한 사례.
[3] 정보통신서비스 제공자인 피고인 甲주식회사의 임원 피고인 乙이 이용자들의 동의를 받지 아니하고 개인정보를 제3자인 丙주식회사에 제공하였다고 하여 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2007.1.26.법률 제8289호로 개정되기 전의 것, 이하 ‘법’이라고 한다)위반으로 기소된 사안에서,
丙회사는 甲회사를 위하여 甲회사 일부 업무를 위탁받아 수행하는 ‘수탁자’지위에 있어 법 제24조 에서 정한‘제3자’가 아니고, 달리 검사가 제출한 증거들만으로는 피고인들에게 유죄를 인정할 수 없다고 본 원심판단을 수긍한 사례.
6. 주민등록번호 처리의 제한
Q 공공기관 청사에 출입하기 위해서는 신분증을 제출해야 한다고 합니다.
공공기관에 접수한 민원의 처리가 너무 지연이 되는 것 같아 제 민원의 담당자와 수차례 통화를 하였고, 사전 약속을 잡아 방문하게 되었습니다. 안내소에 가서 공공기관에 방문하는 목적, 담당자의 이름, 연락처를 말했는데도 불구하고 청사에 출입하려면 신분증을 제출하라고 합니다. 제가 알기로는 신분증에는 주민등록번호 등 많은 개인정보가 기재되어 꼭 필요한 경우가 아니면 타인에게 제공하면 안된다고 하는데 안내소의 직원에서 제 신분증을 맡겨도 되는지 잘 모르겠습니다. 개인정보 보호법에 위반되는게 아닌지 궁금합니다.
A 본인확인을 위해 신분증을 육안으로 확인하는 것은 주민등록번호 처리에 해당하지 않습니다.
일부 건물의 경우, 건물 출입통제 확인 등을 이유로 건물 출입 시, 신분증을 맡기고 출입증을 받아 들어간 다음, 용무를 마치고 나오면서 출입증을 반납하고 신분증을 돌려 받는 경우가 있습니다. 주민등록증, 운전면허증 등의 신분증에는 주민등록번호가 기재되어 있고, 주민등록번호는 관련 법령에서 구체적으로 요구하거나 허용하는 경우에 한해서만 처리할 수 있습니다. 단순히 주민등록번호가 기재된 신분증을 육안으로 확인하고 되돌려주는 행위는 주민등록번호 처리 행위에 해당하지 않으나 건물 출입이나 출입증 발급 등을 목적으로 신분증을 맡기는 경우에는 원칙적으로 주민등록번호 처리금지 원칙에 위배될 여지가 있습니다.
「개인정보 보호법」
제24조의2(주민등록번호 처리의 제한)
① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.
1. 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 안전행정부령으로 정하는 경우
② 개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.
③ 개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.
④ 안전행정부장관은 개인정보처리자가 제3항에 따른 방법을 제공할 수 있도록 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련·지원할 수 있다.
제75조(과태료)
② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다.
4의2. 제24조의2제1항을 위반하여 주민등록번호를 처리한 자
4의3. 제24조의2제2항을 위반하여 암호화 조치를 하지 아니한 자
5. 제24조의2제3항을 위반하여 정보주체가 주민등록번호를 사용하지 아니할 수 있는 방법을 제공하지 아니한 자
대법원 2014. 2. 27. 선고 2013도10461 판결
구 공공기관의 개인정보보호에 관한 법률(2011.3.29.법률 제10465호로 제정된 ‘개인정보 보호법’에 의하여 폐지, 이하 ‘법’이라고 한다)제23조 제3항은 “거짓 그 밖의 부정한 방법으로 공공기관으로부터 처리정보를 열람 또는 제공받은 자는 2년 이하의 징역 또는 700만 원 이하의 벌금에 처한다.”고 규정함으로
써 처리정보 보유기관 장의 처리정보의 이용 및 제공의 제한 규정(법 제10조)또는 개인정보취급자의 누설 등 금지규정(법 제11조)위반을 전제로 처리정보를 열람 또는 제공받은 자를 처벌한다고 규정하지 아니한점, ② 오히려 법 제10조 , 제11조 는 처리정보 보유기관의 장 또는 개인정보취급자에 대한 의무를 규정한 것이고, 법 제23조 제3항은 처리정보 보유기관의 장 또는 개인정보취급자에 대한 법 제10조 , 제11조 의무위반과 관계없이 ‘거짓 그 밖의 부정한 방법’으로 처리정보를 제공받은 경우에 이를 처벌함으로써 처리정보를 제공받고자 하는 사람에 대하여 ‘거짓 그 밖의 부정한 방법’을 사용하지 못할 의무를 간접적으로 부과한 규정이라고 볼 수 있는 점, ③ 처리정보 보유기관의 장이 처리정보를 이용하게 하거나 제공할 수 있는 경우(법 제10조 제3항 각 호)와 관련하여 ‘거짓 그 밖의 부정한 방법’을 사용한 때에만 법 제23조 제3항이 적용되는 것으로 한 정하여 해석할 경우 개인정보 보호를 목적으로 한 법의 목적을 충분히 달성하기 어려운 점 등을 고려할 때, 법 제23조 제3항의 “거짓 그 밖의 부정한 방법”이란 법에 따른 절차에 의해서는 처리정보 보유기관으로부터 처리정보를 열람 또는 제공받을 수 없음에도 이를 열람 또는 제공받기 위하여 행하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 처리정보 열람 또는 제공에 관한 의사결정에 영향을 미칠 수 있는 적극적 및 소극적 행위를 뜻한다고 봄이 타당하며, 따라서 법 제23조 제3항 위반죄는 처리정보 보유기관의 장이 처리정보를 이용하게 하거나 제공할 수 있는 경우(법제10조 제3항 각 호)와 관련하여 ‘거짓 그 밖의 부정한 방법’을 사용하여 처리정보를 열람 또는 제공받은 때에만 성립하는 것은 아니다.
주민등록법 제37조 제8호 에서 “다른 사람의 주민등록증을 부정사용한 자”를 처벌하는 것과 별도로 같은 조 제10호에서 “다른 사람의 주민등록번호를 부정사용한 자”를 처벌하는 규정을 마련한 취지, 위 제10호 규정내용의 문언상 의미 및 개정연혁, 형벌법규의 확장해석을 금지하는 죄형법정주의의 일반원칙 등에 비추어 보면, 주민등록법 제37조 제10호는 공적ㆍ사적인 각종 생활분야에서 주민등록증이나 운전면허증과 같이 명의인의 주민등록번호가 기재된 유형적인 신분증명문서를 제시하지 않고 성명과 주민등록번호 등 만으로 본인 여부 확인 또는 개인식별 내지 특정이 가능한 절차에서 주민등록번호 소지자의 허락 없이 마치 소지자의 허락을 얻은 것처럼 행세하거나 자신이 소지자인 것처럼 행세하면서 주민등록번호를 사용하는 행위를 처벌하기 위하여 규정된 것으로 보아야 하므로, 다른 사람의 주민등록번호를 그 소지자의 허락없이 함부로 이용하였다 하더라도 주민등록번호를 본인 여부 확인 또는 개인식별 내지 특정의 용도로 사용한 경우에 이른 경우가 아닌 한 위 조항에서 정한 주민등록번호 부정사용죄는 성립하지 아니한다.
7. 적용의 일부 제외
Q 산악회에서 회원 비상연락망을 만들어서 배포하였습니다.
저는 지방의 한 소도시에서 근무하다가 정년퇴직을 하고 취미삼아서 등산을 다니고 있습니다. 매일 등산을 하다보니 자연스레 자주 만나는 사람들도 생기고, 산악회에 가입 권유를 받아 ◯◯산악회에 가입하게 되었습니다. 그런데, ◯◯산악회에서는 회원 비상연락망을 손바닥 만한 크기로 만들어 100여명이 넘는 회원에게 배포하였습니다. 취미삼아 등산을 다니는 것은 좋지만 같은 산악회라고 할지라도 회원 모두가 제 개인정보를 알고 있는 것은 불편합니다. 이런 경우 개인정보 보호법 상 취할 수있는 조치가 무엇인지 궁금합니다.
A 정보주체는 개인정보에 대한 자기 결정권이 있으므로 ◯◯산악회에 개인정보 처리정지를 요청할 수 있습니다.
동창회, 동호회 등 친목 도모를 위한 단체(자원봉사, 취미, 정치, 종교 등 공통의 관심사나 목표를 가진 사람간의 친목도로를 위한 모임)를 위하여 개인정보를 수집하는 경우에는 개인정보 수집·이용 동의를 받지 않고도 수집할 수 있습니다. 개인정보 보호법은 업무 목적으로 개인정보를 처리하는 자를 법 적용 대상자로 보고 있는데, 친목단체는 업무적 성격보다는 사적 모임의 성격이 강하기 때문에 이 법의 일부 적용을 배재하였습니다.
이 사례의 경우, ◯◯산악회는 취미삼아 등산을 좋아하는 사람들이 모여 만든 친목단체로 보이며, 따라서 업무를 목적으로 개인정보를 수집하였다고 보기 어려워 이 법의 일부 적용이 배재되나 친목 단체의 설립 목적을 벗어난 개인정보의 이용·제공에 대해서는 개인정보 보호법이 엄격하게 적용됩니다. 따라서 개인정보처리자인 산악회 운영진에게 개인정보 처리정지 요구서를 통해 개인정보 처리의 정지를 요구할 수 있습니다.
「개인정보 보호법」
제58조(적용의 일부 제외)
③ 개인정보처리자가 동창회, 동호회 등 친목 도모를 위한 단체를 운영하기 위하여 개인정보를 처리하는 경우에는 제15조, 제30조 및 제31조를 적용하지 아니한다.
④ 개인정보처리자는 제1항 각 호에 따라 개인정보를 처리하는 경우에도 그 목적을 위하여 필요한 범위에서 최소한의 기간에 최소한의 개인정보만을 처리하여야 하며, 개인정보의 안전한 관리를 위하여 필요한 기술적·관리적 및 물리적 보호조치, 개인정보의 처리에 관한 고충처리, 그밖에 개인정보의 적절한 처리를 위하여 필요한 조치를 마련하여야 한다.
제2조(정의)
이 법에서 사용하는 용어의 뜻은 다음과 같다.
4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
제37조(개인정보의 처리정지 등)
① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다. 이 경우 공공기관에 대하여는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다.
② 개인정보처리자는 제1항에 따른 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.
1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우
③ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다.
④ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다.
⑤ 제1항부터 제3항까지의 규정에 따른 처리정지의 요구, 처리정지의 거절, 통지 등의 방법 및 절차에 필요한 사항은 대통령령으로 정한다.
제73조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에처한다.
3. 제37조제2항을 위반하여 개인정보의 처리를 정지하지 아니하고 계속 이용하거나 제3자에게 제공한 자
제75조(과태료)
② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다.
12. 제37조제4항을 위반하여 처리가 정지된 개인정보에 대하여 파기 등 필요한 조치를 하지 아니한 자
서울서부지방법원 2015. 12. 18. 선고 2015고정1144 판결
인터넷 신문 기자인 피고인이 뉴스 사이트에 甲에 관한 기사를 게재하면서 취재 활동 중에 알게 된 甲의 성명, 지위, 주소 등의 개인정보를 누설하였다고 하여 개인정보 보호법(이하 ‘법'이라 한다)제71조 제5호 , 제59조 위반으로 기소된 사안에서, 법 제2조 제5호에서는 개인정보처리자에 대하여 ‘개인정보파일을
운영하기 위함’이라는 요건을 부과하고 있는데, 이는 개인정보파일을 운용하기 위한 목적 없이 개인정보를 처리하는 자와 구별되어야 하는 점(법 제2조 제1호, 제2호 에서 ‘개인정보’와 ‘처리’에 대하여도 별도로 정의하고 있다), 법 제59조에서는 개인정보처리자와 구별하여 ‘개인정보를 처리하거나 처리하였던 자’를의무주체로 규정하고 있는 점, 법 제71조 제1호에서는 개인정보처리자가 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 경우를 처벌하고, 법 제71조 제2호 , 제19조에서는 개인정보처리자에게서 정보를 제공받은 제3자가 이를 이용한 경우를 처벌하는 등 개인정보처리자가 제3자에게 개인정보를 제공 한 경우를 별도로 처벌하고 있는 점 등을 종합할 때 법 제71조 제5호 , 제59조 의 ‘개인정보를 처리하거나 처리하였던 자’를 법 제2조 제5호의 ‘개인정보처리자’라 할 수 없다고 한 사례.
8. 개인정보의 수집·이용 등
Q 게임상에서 채팅한 사람과 다툼이 있었는데 그 이후로 모바일 메신저에서 제 개인정보(이름, 연락처)를 공개합니다.
게임을 좋아하다보니 여러 게임을 하고 있습니다. 게임을 자주 하다보니 게임상에서 만나 채팅을 하는 사람들이 여럿이 있는데 아무래도 온라인으로 대화를 나누다보니 별거 아닌 것으로도 언쟁을 하게 됩니다. 최근에 게임상에서 대화를 나눈 사람들 중 한 사람이 같이 게임을 하는 사람들이 모여있는 모바일 메신저 대화창에 제 이름, 연락처, 주소, 게임 아이디, 비밀번호를 공개하고 저에게 악의적인 글을 여기저기 올리고 있습니다. 이런 경우 제가 취할 수 있는 조치가 무엇인지 궁금합니다.
A 개인정보를 이용하여 타인의 사생활을 침해하거나 이를 악용하여 타인의 명예를 훼손 또는 협박하는 경우, 형사처벌될 수 있습니다.
「개인정보 보호법」은 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 ‘개인정보처리자’를 적용 대상으로 하고 있습니다. 여기서 개인정보파일이라 함은 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말합니다. 따라서 일반인이 개인적으로 사회생활을 유지하기 위해 처리하는 개인정보는 「개인정보보호법」의 규율 대상이 아닙니다. 다만, 공공연하게 다른 사람의 비방하거나 사실 또는 허위 사실을 퍼뜨리는 경우, 명예훼손 등으로 처벌받을 수 있으며, 이를 부정한 목적으로 이용하는 경우 또한 처벌받을 수 있습니다.
참고로, 인터넷상 게시글로 인해 사생활 침해 또는 명예훼손 등 권리침해 사안이 발생한 경우 방송통신심의위원회의 권리침해신고를 통해 삭제 또는 제재 등의 도움을 받아보실 수 있습니다.
「개인정보 보호법」
제2조(정의)
이 법에서 사용하는 용어의 뜻은 다음과 같다.
4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
제15조(개인정보의 수집·이용)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.
제75조(과태료)
① 다음 각 호의 어느 하나에 해당하는 자에게는 5천만원 이하의 과태료를 부과한다.
1. 제15조제1항을 위반하여 개인정보를 수집한 자
② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다.
1. 제15조제2항, 제17조제2항, 제18조제3항 또는 제26조제3항을 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자
「정보통신망 이용촉진 및 정보보호 등에 관한 법률」
제44조(정보통신망에서의 권리보호)
① 이용자는 사생활 침해 또는 명예훼손 등 타인의 권리를 침해하는 정보를 정보통신망에 유통시켜서는 아니 된다.
② 정보통신서비스 제공자는 자신이 운영·관리하는 정보통신망에 제1항에 따른 정보가 유통되지 아니하도록 노력하여야 한다.
③ 방송통신위원회는 정보통신망에 유통되는 정보로 인한 사생활 침해 또는 명예훼손 등 타인에 대한 권리침해를 방지하기 위하여 기술개발·교육·홍보 등에 대한 시책을 마련하고 이를 정보통신서비스 제공자에게 권고할 수 있다.
출처 : KISA
※ 위 내용은 한국인터넷진흥원에서 2017년 1월 발간한 개인정보 보호 상담사례집의 내용을 원문 수정 없이 그대로 가져온 것입니다. 문제가 된다면 방명록에 글 남겨 주시면 조치 하겠습니다.
