카테고리 없음2019. 4. 2. 09:13

[보안뉴스=법무법인 선우 손태진 변호사] 29일부터 개인정보보호가 한층 강화된 정통망법 개정안이 시행되면서 기업의 부담이 가중되고 있다. 정부에서 강제하는 규정을 따르기 위해서는 새로운 솔루션을 도입해야 하고, 규제강화로 개인정보 취급에 있어서도 상당한 주의가 요구되고 있다.

기업에서 새로운 부가가치를 창출하기 위해서는 개인정보의 수집 가공을 통한 개인정보의 활발한 활용이 필요하지만, 개인정보가 한번 유출되고 나면 변경이 거의 불가능해 피해회복을 할 방법이 없다. 이를 취급한 기업도 상당한 처벌이 따른다. 여기서 살펴보고자 하는 부분은 어디까지 개인정보로 볼 것인지 여부다. 과거의 판례를 기준으로 이를 살펴보고, 어떻게 관리할지에 대한 방안을 마련하는 것이 필요하다.

일신전속적인 개인정보는 그 변경이 거의 불가능해 침해발생시 피해회복이 힘들다는 점에서 본질적으로 활용이 제한될 수밖에 없다. 이에 개인정보에 관한 법률들은 그 활용방안을 규정하면서도 활용자에게 개인정보의 보호의무를 부과하고 유출에 책임이 있는 경우, 민사적 책임(손해배상 책임), 형사적 책임, 행정적 책임(시정명령, 과징금, 과태료 등)을 부과하고 있다.

이런 상황에서 정보활용이 필요한 자들로서는 과연 어떤 정보가 ‘개인정보’인지 여부를 명확히 인식해야만 개인정보 활용시 발생할 수 있는 여러 법적 규제를 사전에 준수하고 그로 인한 법적 책임을 피해갈 수 있을 것이다.

‘개인정보’에 관한 법률 규정 및 판례에 의하면, 개인정보의 개념요소는 크게 생존하는(살아 있는) 개인에 관한 정보로서 성명, 주민등록번호 등을 통해 (특정한)개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보로 나뉜다. 또한, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합해 특정 개인을 알아볼 수 있는 정보도 포함한다. 법원에서는 이 같은 정보의 유출사고를 어떻게 판단했을지 몇 가지 사안에 대해서 살펴본다.

어디까지 개인정보인가

ID/PW 만으로 개인정보로 볼 수 있을까?
온라인 게임서비스 제공업체인 엔씨소프트가 게임 서버의 업데이트 과정에서 실수로 일부 이용자의 아이디와 비밀번호 등이 로그파일로 기록되는 사고가 난 사안에서 법원에서는 이용자의 아이디와 비밀번호는 당연히 개인정보에 해당한다는 전제에서 별도의 판단을 하지는 않았다(서울고등법원 2006나12182).

이메일 주소만 유출...개인정보 유출인가?
은행담당자가 특정 유형의 금융상품 가입고객에게 이메일을 발송하면서 실수로 해당 금융상품에 가입한 고객의 성명, 주민등록번호, 이메일 주소 등의 정보를 첨부파일로 발송해 이메일을 수령한 고객들이 다른 고객들의 정보를 알 수 있게 한 사건에서 법원은 이메일 주소만으로는 특정 개인을 알아볼 수 없지만 다른 정보와 결합할 경우 특정인에 대한 추정이 가능해 개인정보로 판단했다(서울중앙지법 2007.2.8. 선고 2006가합33062,53332 판결).

특정한 상황에서만 확인 가능한 IMEI 및 USIM 일련번호는?
스마트폰 어플리케이션 개발업체가 사용자의 동의 없이 단말기의 고유한 식별자인 IMEI 및 USIM 일련번호의 조합정보를 전송해 서버에 저장토록 하는 ‘증권통’이라는 증권정보제공 어플리케이션이 문제된 사안에서 법원은 기계적인 정보라도 특정 개인에게 부여됐음이 객관적으로 명백하고, 이러한 정보를 통해 개인이 식별될 가능성이 크다면 이를 개인정보로 봐야 한다고 판단했다.

이들 정보가 개인의 소유로 귀속되기 전까지는 기기나 특정 카드에 부여된 고유번호이지만 어느 개인이 소유하는 순간부터 이들 번호는 ‘기기나 특정카드에 부여된 고유번호’라는 의미 이외에 특정 개인이 소유하는 휴대폰의 기기번호 및 USIM카드의 일련번호’라는 의미를 함께 지니게 된다는 것이다(서울중앙지방법원 2011. 2. 23. 선고 2010고단5343 판결).

휴대전화 뒷번호만 공개했다면 개인정보 침해일까?
경찰로부터 도박현장을 단속 당한 피고인이 경찰에 신고자를 알려달라는 부탁에 휴대전화 뒷자리 4자리를 알려줬는데 이를 통해 신고자가 누구인지 알 수 있었다. 이에 대해 법원은 휴대전화 사용이 보편화되면서 휴대번호 뒷자리 4개 숫자에 생일이나 기념일 등의 일정한 의미나 패턴을 담는 경우가 많고 집 전화번호의 뒷자리와 일치시키는 경우, 한 가족이 동일한 휴대전화번호 뒷자리 4자를 사용하는 경우도 적지 않다는 점, 그리고 휴대번호 뒷자리에 그 전화번호 사용자의 정체성이 담기는 현상이 점점 심화되고 있다는 점을 들어 개인정보로 판단했다.

특히 전화번호 사용자와 일정한 인적관계를 맺어온 사람이라면 특정한 개인을 파악할 수 있는 가능성이 높으며, 휴대번호 뒷자리 4자만으로는 그 전화번호 사용자를 식별하지 못한다 하더라도 뒷자리 번호 4자와 관련성이 있는 생일, 기념일, 집 전화번호, 가족 전화번호, 기존 통화내역 등을 통해 사용자가 누구인지 알아볼 수 있다는 것이 그 이유다(대전지방법원 논산지원 2013고단17판결).

정보 활용자가 바라보는 ‘개인정보’의 개념
앞서 본 바와 같이 ‘개인정보’ 정의에 관한 법률 문구들은 개별 판례를 통해 해석되고 있으나, 문언 자체가 매우 구체적이지 않고 보는 관점에 따라 여러 의미로 해석될 수도 있다는 문제도 있다.

개인정보 정의에 관한 법률의 규정 중 ‘특정한 개인을 알아볼 수 있다’고 할 때 특정한 개인을 ‘알아보는 것’이 이미 특정한 개인을 알고 있었던 사람을 기준으로 판단해야 하는지, 아니면 특정한 개인을 전혀 모르는 제3자를 기준으로 판단해야 하는지에 따라 해석이 충분히 달라질 수 있다. 또한, 다른 정보와 쉽게 결합한다는 점에서 ‘다른 정보’는 누구나 알 수 있는 정보인지, 아니면 행위자가 현재 취득한 정보만을 의미하는지, 적법하게 취득가능한 모든 정보만을 의미하는지에 대한 해석도 다를 수 있다.

이런 애매함은 학자들이나 수많은 법원 판결을 통해 언젠가는 해결되겠지만 정보 활용자는 그때까지 마냥 기다릴 수는 없는 상황이다. 불확실한 상황에서 정보 활용자가 자신의 법적 위험을 피하기 위해서 어떻게 해야 할까? 최소한 개인에 관련된 정보라면 그것이 ‘개인정보’로서 법적 규제의 대상일 수 있다는 ‘보수적’인 관점이 필요하다.

이를 위해 정보 활용자는 개인과 관련된 정보는 개인정보일 수 있다는 의심을 품고, 현재 자신이 활용하고 있는 정보가 과연 ‘개인정보’로 판단된 사례가 있는지, 어떻게 해석되고 있는지 적극 살펴봐야 한다.

Posted by FDS Theo Kim

댓글을 달아 주세요