<B7CEBED8BAF128BABBB9AE292E687770>

Size: px

Start display at page:

Download "<B7CEBED8BAF128BABBB9AE292E687770>"

도연 두
6 years ago
Views:

1 제 1 편민법 개인정보보호제도개관 개인정보보호제도개관 Ⅰ. 개인정보보호의의의 1. 프라이버시권리와개인정보자기결정권 가. 개인정보자기결정권의보장 사람은누구나인간으로서의존엄과가치를가지며, 행복을추구할권리를가지고있다. 또인간은자아를둘러싼비밀을가지고있으며, 자기만의영역에서평온을누리면서자유롭게살아가길원한다. 이처럼인간내면의비밀과평온을보호하고자우리헌법은모든국민에게프라이버시권리 (privacy right) 즉, 사생활의비밀과자유 ( 제17 조 ) 를보장하고있다. 사생활의비밀과자유 는인간의존엄을실현하고인격의자유로운발전을포괄적으로뒷받침하는불가침의인격권이라할수있다. 프라이버시권리는원래소극적의미의 홀로있을권리 (a right to be let alone) 로이해되었으며, 1890 년미국의 Warren 과 Brandeis 의논문 1) 에서하나의독립된권리로주창되어 20세기초미국에서판례를통하여법적권리로인정되었다. 이러한 홀로있을권리 로는 사생활의자유의불가침, 사생활비밀의불가침 등이있다. 이중 사생활의자유의불가침 은결혼, 임신, 피임, 낙태, 자녀양육, 교육, 용모, 성생활의자유등사생활의자율을침해받지아니하는것을말한다. 그리고 사생활비밀의불가침 은개인의사사 ( 私事 ) 에의침입, 개인의난처한사사의공개, 공중에게오해를낳게할사사의공표, 성명ㆍ 1) Samuel D. Warren and Louis D. Brandeis, The Right t Privacy, 4 Harvard L. Rev. 193 (1890). 9

2 초상등사사의영리적이용등으로부터보호받는것을뜻한다. 2) 현대에들어와정보기술의발전과정보화의진전에따라개인에관한온갖정보가다양한방식으로수집ㆍ이용ㆍ제공ㆍ축적되어개인의사생활을더욱위협하게되었다. 이처럼정보사회에있어서정보화의부작용으로나타나는사적영역의침해에대응한 정보프라이버시 (informational privacy) 는중요한권리로인식되고있다. 정보프라이버시권리 는주로개인이자신에관한정보의수집ㆍ공표ㆍ이용ㆍ유통을결정하고통제할수있는 개인정보자기결정권 의형태로구체화된다. 자기정보의무단수집ㆍ이용ㆍ제공의금지, 자기정보의열람및정정ㆍ보완요구뿐만아니라 CCTV, 통신도ㆍ감청, 직장에서의이메일감청등을통한노동감시, 스마트폰등첨단미디어를이용한위치추적및개인행동양식탐지, 생체정보의수집ㆍ이용증가, 스팸메일, 인터넷상의신상털기등정보처리기술의고도화ㆍ지능화및이용ㆍ남용의증대로부터의사생활보호등오늘날사회문제화되고있는다양한이슈가 개인정보자기결정권 과관련되어있다. 전통적인프라이버시권리인 홀로있을권리 는소극적권리의성격이강한반면에, 정보프라이버시권리 또는 개인정보자기결정권 은소극적으로 자기에관한정보가없을것 을요구하는권리에머물지않고정보주체가보다적극적으로 자기정보를통제할수있는권리 까지내포하고있다. 개인정보자기결정권 은자신에관한정보가언제누구에게어느범위까지알려지고또이용되도록할것인지를그정보주체가스스로결정할수있는권리이다. 즉정보주체가개인정보의공개와이용에관하여스스로결정할권리를말한다. 개인정보자기결정권의보호대상이되는개인정보는개인의신체, 신념, 사회적지위, 신분등과같이개인의인격주체성을특징짓는사항으로서그개인의동일성을식별할수있게하는일체의정보라고할수있고, 반드시개인의내밀한영역이나사사 ( 私事 ) 의영역에속하는정보에국한되지않고공적생활에서형성되었거나이미공개된개인정보까지포함한다. 또한그러한개인정보를대상으로한조사ㆍ수집ㆍ보관ㆍ처리ㆍ이용등의행위는모두원칙적으로개인정보자기결정권에대한제한에해당한다. 3) 2) 이상, 윤명선ㆍ김병묵, 헌법체계론 (I), 법률계, 520 면. 10

3 제 1 편민법 개인정보보호제도개관 나. 정보사회와개인정보보호의중요성 정보사회에있어서개인정보는유용한수단ㆍ가치로서의빛이자다른한편으로는다양한역기능을내포하는그림자라고할수있다. 전사회적인정보화진전과정보기술에대한의존도가커짐에따라개인정보는기업의영업활동과수입창출을뒷받침하는영업자산이고, 공공ㆍ민간부문에있어서다양한서비스제공과사회적기능을뒷받침하는기반으로서개인정보의비즈니스가치가크게증대되었다. 최근스마트폰등정보기술의발달로새롭게등장하는많은서비스는대부분개인정보의활용에기반한다. 한편정보기술의발달로개인정보수집경로의다양화, 디지털개인정보의무한복제와빠른전파성으로인해개인정보의유출과침해위험은더욱커지고있다. 언제 어디서나개인정보의수집 편집 생성 복구 제공등이가능하게되어정보주체의의지또는인지여부와관계없이외부로노출또는침해될가능성이있다. 이러한침해사고의원인으로는개인정보의고의적인오ㆍ남용, 내부자관리부실로인한유출, 개인정보의불법적매매 ( 제공 ), 개인정보과다보유, 해킹등외부공격에의한유츨, 업무위탁시수탁자에의한유출등매우다양하다. 개인정보유출ㆍ침해의심각성은유출ㆍ침해된개인정보를이용ㆍ악용한 2 차피해에있다. 유출ㆍ침해된개인정보를이용한스팸메일발송, 명예훼손, 해킹, 회원가입, 대포폰ㆍ대포통장가입ㆍ신용카드발급ㆍ보이스피싱등신분증위조, 명의도용과경제적손실등의피해뿐만아니라심하면사람의납치ㆍ유인ㆍ살인등사람의생명ㆍ신체에대한위해로까지피해를줄수있다. 단순유출의 1차피해는정보주체등의심리적측면에피해를주지만, 2차피해는정보주체의경제적 사회적생활영역에실질적인피해를준다는점에서더욱심각하다. 3) 헌법재판소 선고, 99 헌마 513 결정. 11

4 다. 개인정보의유출등에따른피해현황개인정보분쟁조정위원회와개인정보침해센터에접수된개인정보피해구제신청건수는 2003 년이후매년증가하고있다. 특히 2011 년신청건수는 122,215건으로 2010년의 54,832건보다약 223% 증가된것으로나타났다. < 그림 1> 연도별 ( ) 개인정보침해상담신청건수 ( 단위 : 건 ) 130, , ,000 90,000 70,000 50,000 30,000 10,000 (10,000) (30,000) 67,383 54,832 39,811 35,167 23,333 25,965 17,777 17,569 18,206 19,665 13, ,127 2,632-4, * 출처 : 인터넷통계정보검색시스템 ( 그리고 2007년이후개인정보침해신고는개인정보의수집ㆍ이용ㆍ제공ㆍ파기등개인정보처리의전과정에걸쳐이루어지고있으며, 그중에서특히 주민등록번호등타인정보의훼손ㆍ침해ㆍ도용 과 기술적ㆍ관리적조치미비로인한개인정보누출 을이유로한상담신청이큰부분을차지하고있다. < 표 1> 연도별개인정보침해상담사유별신청건수 ( 단위 : 건, %) 항목 연도 건수 비율 건수건수건수건수건수 ( 비율 ) ( 비율 ) ( 비율 ) ( 비율 ) ( 비율 ) 이용자의동의없는개인정보수집 개인정보수집시고지또는명시의무불이행 1,166 1,129 1,075 1,267 1,623 (4.4) (2.8) (3.06) (2.31) (1.33) (0.0) (0.0) (0.04) (0.14) (0.04) 12

5 제 1 편민법 개인정보보호제도개관 과도한개인정보수집 고시 명시한범위를넘어선이용또는제 3 자제공 (0.2) (0.2) (0.33) (0.27) (0.31) 1,001 1,037 1,171 1,202 1,499 (3.9) (2.6) (3.33) (2.19) (1.23) 개인정보취급자에의한훼손 침해또는누설 개인정보처리위탁시고지의무불이행 영업의양수등의통지의무불이행 개인정보관리책임자미지정 기술적 관리적조치미비로인한개인정보누출등 수집또는제공받은목적달성후개인정보미파기 동의철회 열람또는정정요구불응 동의철회, 열람 정정을수집보다쉽게해야할조치미이행 법정대리인의동의없는아동의개인정보수집 주민등록번호등타인정보의훼손 침해 도용 정보통신망법 적용대상이외의개인정보침해 ( 신용정보침해등 ) (0.5) (0.3) (0.45) (0.29) (0.23) (0.0) (0.0) (0.02) (0.05) (0.03) (0.1) (0.0) (0.02) (0.04) (0.05) (0.0) (0.1) (0.03) (0.04) (0.03) 522 1, ,551 10,958 (2.0) (3.3) (2.33) (2.83) (8.97) (0.6) (0.7) (0.84) (0.59) (0.40) (3.3) (2.4) (1.93) (1.51) (0.54) (1.8) (1.3) (1.71) (1.15) (0.65) (0.1) (0.1) (0.05) (0.06) (0.06) 9,086 10,148 6,303 13,137 67,094 (35.0) (25.5) (17.92) (18.49) (54.90) 12,497 24,144 23,893 38,414 38,172 (48.1) (60.7) (67.94) (70.06) (31.23) 합계 25,965 24,144 35, ,215 (100) (100) (100) (100) (100) * 출처 : 인터넷통계정보검색시스템 ( 13

6 그동안공공부문ㆍ민간부분에있어서크고작은개인정보피해사고가많이발생하였으며, 유출된개인정보의규모가상당한수준에이르고있다. < 표 2> 는 2005 년이후민간부문에서발생한주요개인정보유출사례를정리한것이다. < 표 2> 민간부문의주요개인정보유출사례 날짜업체피해내용 ( 출처 ) 법적책임 엔씨소프트 엔씨소프트 국민은행 LG전자 옥션 하나로텔레콤 LG유플러스 GS칼텍스 신세계몰등 25개업체 게임서버업데이트시이용자개인정보파일을암호화하지않아 ID와비밀번호노출 ( , 연합뉴스 ) 온라인게임 리니지 불법명의도용에의한대규모계정개설 ( , 매일경제 ) 직원의부주의로인터넷복권구매안내메일에 32,277명의발송대상고객명단을파일첨부하여발송 ( , 한국일보 ) 홈페이지해킹으로입사지원서의개인정보유출 ( , 아이뉴스24) 1,081 만여명의개인정보해킹, 이중 900여만명의이름, 주민번호, 환불정보, 은행계좌번호등유출 ( , 머니투데이 ) 전 현직임직원이 51만여고객의이름 주민번호 주소 전화번호등개인정보 8,500만여건을텔레마케팅업체에불법으로제공 ( , 전자신문 ) 벨소리다운로드서비스시주민번호, 핸드폰기종, 가입일등노출 (279 명소송 )( , 보안뉴스 ) GS칼텍스보너스회원 1,100만명의개인정보가 CD와 DVD에담겨유출 ( , 이데일리 ) 중국해커가국내의유명백화점, 도박사이트, 골프용품판매사등 25개업체홈페이지를해킹하여개인정보 2,000만건유출 1심 : 50만원, 2ㆍ3심 : 10만원배상판결 1심 : 이름ㆍ이메일유출 7만원, 주민번호포함시 10 만원 2심 : 각 10만원, 20만원배상판결 70만원배상판결무혐의동의없이수집ㆍ이용 20만원, 무단제공 10만원배상판결. 회사등벌금형 1심 : 5만원배상판결, 2심원고패소 14

7 제 1 편민법 개인정보보호제도개관 ( , 스포츠경향 ) 현대캐피탈 ( , MK뉴스 ) 회원수 175 만명의현대캐피탈고객중 23% 인 42만명의이름과이메일주소, 주민등록번호, 휴대전화번호, 신용등급등유출 세티즌 휴대폰사이트 세티즌 해킹으로 140 만명의 개인정보유출 ( , 아시아투데이 ) 대부업체, 저축은행, 채팅사이트등 중국인해커와공모하여 3,000 만건의개인 정보해킹후인터넷에서거래 ( , 동아일보 ) SK컴즈 삼성카드 넥슨 대리운전업체등 SK컴즈의자회사인네이트와싸이월드가입자 3,560만명의개인정보유출 ( , 디지털데일리 ) 직원이서버를해킹하여고객정보 192만건조회, 47만건유출 ( , 이데일리 ) 해킹으로게임이용자정보 1,320만건유출 ( , 전자신문 ) 대리운전운행정보관리업체를해킹해빼낸운행정보 ( 고객전화번화, 행선지, 요금, 대리운전기사정보등 ) 2,600여만건을구입해 1,300 만원에판매한혐의 ( , 뉴시스 ) 100 만원지급명 령 ( 소송중 ) 2. 개인정보보호의국제적동향 1970 년대이후컴퓨터에의한정보처리가확대됨에따라스웨덴, 미국등선진각국과국제기구에서는정보프라이버시권리또는개인정보자기결정권의보호를위한법ㆍ제도마련등구체적인논의가폭넓게진행되었다. 개인정보보호논의의초기에는정부기록에있어서의개인비밀보호가주된이슈이었으나, 차츰통신비밀, 의료기록, 재산 신용정보, 소비정보등으로그보호범위가확대되어왔다. 스웨덴이 1973 년세계최초로개인정보보호를위해데이터법 (Data Act) 을 15

8 제정하였다. 이법은공공 민간부문모두에있어서컴퓨터로처리되는개인데이터를규제하며, 이를위해개인데이터시스템의설치 보유시특별감독기관 ( 데이터검사원 ) 의허가를얻도록하고, 특정종류의데이터의입력금지, 개인의자기기록열람권, 부정확한데이터에의한손해배상청구권을인정하였다. 이법은 EU 지침 (1995) 에따라새롭게제정된개인정보법 (Personal Information Act, 1998) 에의해대체되었다. 이후 1974년미국의프라이버시법 (Privacy Act), 1977년독일의연방데이터보호법, 1978 년프랑스의 정보처리 축적및자유에관한법률, 1983 년캐나다의공공부문프라이버시법, 1984년영국의데이터보호법, 1988년일본의 행정기관이보유하는전자계산기처리에따른개인정보의보호에관한법률 등많은나라가개인정보보호를위한법체계를마련하였다. 4) 미국의경우에는 1974 년프라이버시법제정이후에도통신, 의료, 소비자등각분야별로다양한프라이버시보호법을제정하였고, 2002 년에제정된전자정부법에서는프라이버시영향평가제도를도입하였다. 캐나다도 2001 년 민간부문개인정보보호ㆍ전자문서법 을제정하고, 2002 년프라이버시영향평가의무시행제도를도입하였다. 그리고일본은 2003 년 5월 개인정보의보호에관한법률 등 5개의법률을제정하여개인정보보호법제를정비하였다. 5) 1980 년대들어정보통신기술의발전으로개인정보의보호필요성이더욱강하게대두되었고, 이에국제기구들도이를위한여러지침을제시하기시작하였다. 가장먼저 OECD 는 1980 년 프라이버시보호와개인정보의국제유통에관한지침 을통하여각국의개인정보보호를위한노력과국내입법의제정을권고하면서유명한 8개의국내적용기본원칙 (Basic Principles of National Application) 을제시하였다. 그리고 UN 은 1990년 전산처리된개인정보파일의규제지침 (Guideline for the Regulation of Computerized Personal Data 4) 2000 년이전까지주요국가의입법동향은이규정, 주요국의정보화법ㆍ제도개선동향 ( 한국정보화진흥원, 1999), 28-38면참조. 5) 5개제정법률은 1) 개인정보의보호에관한법률, 2) 행정기관이보유한개인정보의보호에관한법률, 3) 독립행정법인등이보유한개인정보의보유에관한법률, 4) 정보공개ㆍ개인정보보호심사회설치법, 5) 행정기관이보유한개인정보의보호에관한법률등의시행에따른관계법룰의정비등에관한법률이다. 16

9 제 1 편민법 개인정보보호제도개관 Files) 에서개인정보파일을규율하는 6개원칙을제시하여회원국이개인정보에관한입법이나규율시참고하도록하였으며, 6) APEC 도 2005년 Working Group 활동을통해 9개의프라이버시보호원칙을제시하였다. < 표 3> 국제기구의개인정보보호원칙비교 OECD UN APEC 수집제한의원칙 합법성과공정성의원칙 수집제한의원칙 정보내용정확성의원칙 정확성원칙 정확성의원칙 목적명확성의원칙 목적구체화의원칙 이용제한의원칙 - 이용제한의원칙 안전성확보의원칙 안전성의원칙 안전성의원칙 - - 침해방지의원칙 공개의원칙 - 개인참여의원칙 개인접근의원칙 선택권보장의원칙 - 비차별원칙 고지의원칙 - - 정보접근권의원칙 책임의원칙 - 책임의원칙 또한유럽연합 (EU) 은회원국국민의기본권과자유를보호하고개인정보처리와관련한프라이버시권을보호하며 EU 국가간의개인정보의자유로운유통을촉진하기위하여 1995 년10 월 개인데이터의처리와개인데이터의자유로운유통에관련된개인정보지침 을채택하고, 1997 년 12월에는 정보통신부문에서의개인정보처리및프라이버시보호에관한지침, 1999 년 2월에는 정보고속도로에서신상정보의수집처리와관련한개인의보호를위한지침 등을채택하였다. 한편개인정보의보호를위한각국의개인정보보호기구 (Data Protection 6) 6개원칙은 1 합법성과공정성의원칙 (Principle of Lawfulness and Fairness), 2 정확성의원칙 (Principle of Accuracy), 3 목적구체화의원칙 (Principle of the Purpose-specification), 4 개인접근의원칙 (Principle of Interested-person Access), 5 비차별원칙 (Principle of Non-discrimination), 6 안전성원칙 (Principle of Security) 을말한다. 17

Authority) 연합체로서각국가의개인정보보호현황을모니터하고정보보호를위한국제적협력을위하여조직된국제기구로국제개인정보보호기구회의 (ICDPPC; International Conference of Data Protection and Privacy Commissioners) 가 2001 년발족되었다.

10 Authority) 연합체로서각국가의개인정보보호현황을모니터하고정보보호를위한국제적협력을위하여조직된국제기구로국제개인정보보호기구회의 (ICDPPC; International Conference of Data Protection and Privacy Commissioners) 가 2001 년발족되었다. ICDPPC 는당초 EU 개인정보보호기구간의정보교류를위한회의 (Conference) 로출발하였으나, 2001 년 2월부터참여범위를 EU 외로확대하면서국제기구 ( 협의체 ) 성격으로변화하였다. 현재영국, 호주, 캐나다등 47 개국 77 개개인정보보호기구가회원으로등록되어있다. 3. 우리나라개인정보보호제도의발전 가. 개인정보보호법제의연혁 1970~80 년대미국, 스웨덴, 독일, 프랑스, 일본등각국의정보프라이버시권리강화를위한입법노력과여러국제기구의개인정보보호움직임은우리나라의개인정보보호법제정에영향을미쳤다. 또 1980 년대중반부터시작된국가기간전산망사업으로인한개인정보의광범위한수집ㆍ보관ㆍ이용으로부터개인의사생활보호를위한제도적장치마련요구도컸었다. 그리하여정부는외국의입법례와학계의연구성과등을반영하여 1994 년 1 월 7일 공공기관의개인정보보호에관한법률 ( 법률제4743호 ) 을제정하였다. 전체 5개장 25개조및부칙으로구성된이법은정부등공공기관을적용대상으로하였으며, 1995 년 1월 8일시행되었다. 한편국민의통신및대화의비밀과자유를보장하기위하여전기통신의감청과우편물검열등의대상을한정하고엄격한법적절차를거치게함으로써사생활의비밀과통신의자유를구현하고자 1993년 12월 27일 통신비밀보호법 ( 법률제4650호, 시행 ) 이제정되었다 년 1월 5일에는신용정보업을건전하게육성하고신용정보의효율적이용과체계적관리를기하는한편, 신용정보의오ㆍ남용으로부터사생활의비밀등을적절히보호함으로써건전한신용질서를확립하기위하여 신용정보의이용및보호에관한법률 ( 법률제4866 호, 시행 ) 이제정되었다. 18

사이버교안_2주차_1강

사이버교안_2주차_1강 1. 개인정보침해 개인정보유출의사회적위험성 개인정보의특성상일단잘못취급되면개인에게돌이킬수없는피해우려 정보유출로인한개인프라이버시의침해 명의도용을통한명예훼손 개인정보유출로인한생명및신체상의위해가능성 1. 개인정보침해 개인정보보호 개인정보를보호하고유출을방지하며안전한서비스를이용하게하는모든행동을말함 1. 개인정보침해 피싱 (phishing:private data+fishing)