2006 개인정보분쟁조정사례집
序文 오늘날의사회를지식정보화사회라고들합니다. 미래학자엘빈토플러는그의저서 부의미래 에서 지식 을 미래의석유 로비유하며지식은석유와다르게아무리써도닳지않으며재생산이가능한것으로극찬하고있습니다. 그가예측한미래였던지식정보화사회는이미우리곁에다가와우리삶과같이하고있으며, 이제세계는지식정보화사회이후의사회를논하고있습니다. 그러나한편우리는이러한지식정보화사회의이면에정보화역기능이라는어두운측면이존재하고있음을실감하고있습니다. 날로새로워지고진화해가는해킹, 스파이웨어, 피싱등사이버침해행위, 스팸메일, 스팸전화등온갖원치않는불법광고로인한정보사회공해와사생활침해등이대표적인사례입니다. 특히삶의영위가개인정보이용을통해이루어지는것이일상화되면서개인정보의경제적가치가증대하고이에따른개인정보오 남용과침해문제는시급히해결하여야할국가적과제가되었다는것은정보화역기능의어두운면을단적으로보여주고있습니다. 최근한국사회는인터넷상의개인정보도용및유출사고로인한기사로하루의시작을시작하는사회가되었다고해도과언이아닐것입니다. 2006 년연초부터발생한게임사이트에서의대량명의도용사건, 금융기관의내부자과실에의한고객개인정보유출사건, 인터넷통신회사의 720만고객정보유출사건, 인터넷검색사이트의주민등록번호노출사건, 그리고심지어는법원 검찰 금융기관등을사칭한개인정보수집, 이른바보이스피싱사건등크고작은일련의개인정보침해관련보도들이줄을잇고있습니다.
개인정보침해문제의심각성으로인하여국민들은누군가에의해자신의정보가수집되어오 남용될수있다는막연한두려움과정보사회에대한불신감을갖게되고이는정보사회의건전한발전을저해하는주요원인으로작용하고있습니다. 이와같은정보사회역기능확대로일반국민들의개인정보피해에따른고충처리나피해구제를요구하는목소리도점점커지고있습니다. 개인정보분쟁조정위원회는이러한국민들의목소리에귀를기울이며개인정보침해를당한국민의경제적 정신적피해에대한구제를위한노력을아끼지않았습니다. 보다많은국민들이법원의소송절차를거치지않고간편한조정절차에따라피해구제를받을수있었습니다. 이러한우리위원회의지난 1년간의노력을정리하여사례집으로담았습니다. 본사례집에는지난 1년동안의분쟁조정및상담사례를수록하여국민과기업그리고각기관에서그간의개인정보침해동향과유형을참고할수있도록하였고, 이사례들은개인정보침해예방과대응책마련을위한지침서로활용될수있을것입니다. 끝으로, 지난한해동안개인정보분쟁조정위원회에접수된다양한사건들을성심성의껏처리하여주신분쟁조정위원회위원님들께깊이감사드립니다. 또한본사례집발간을위해애를쓴강달천박사와김희은주임연구원그리고개인정보분쟁조정위원회사무국모든직원에게도감사의말씀을전합니다. 2006 년 12 월 개인정보분쟁조정위원회 위원장박준수
연구진 연구책임자 사무국장강달천 참여연구원 연구원 김희은
목 차 제 1 장개인정보피해구제개요 1 제 1 절개인정보피해구제의의의 1 1. 개관 1 2. 개인정보및개인정보침해의개념 2 3. 개인정보피해구제의필요성 4 제 2 절개인정보피해구제절차 5 1. 개인정보피해구제절차개요 5 2. 개인정보분쟁조정위원회 6 3. 개인정보침해신고센터 10 4. 이용방법 13 제 2 장 2006 년개인정보보호주요활동 14 제 1 절신속 공정한개인정보민원처리 15 1. ISO 9001 인증획득을통한민원처리절차개선 15 2. 개인정보분쟁조정위원회개최 16 제 2 절개인정보보호인식제고활동 16 1. 개인정보보호교육홍보 16 2. 개인정보보호캠페인 19 I
제 3 절개인정보보호정책지원 20 1. 개인정보보호관련법률제 개정지원 20 2. 주민등록번호대체수단이용활성화 20 3. CCTV 개인영상정보보호가이드라인마련 21 4. 신규 IT서비스프라이버시보호방안연구 22 제 4 절개인정보보호를위한국제협력 23 1. 개관 23 (1) APEC 23 (2) OECD 24 (3) ICDPC 25 (4) IWGDPT 27 (5) APPA 27 2. 국외개인정보보호기구에서의활동 27 (1) APEC TEL 회의에서 중국 대만웹사이트개인정보노출차단방안 논의 27 (2) 제20차 OECD WPISP 회의개최 28 (3) 제28차국제개인정보보호감독기구회의 (ICDPC) 참가 28 (4) 제39차및제40차 IWGDPT 회의참가 29 (5) 제25차및제26차 APPA 회의참가 29 제 3 장 2006 년도개인정보피해구제현황분석 30 제 1 절신청현황 30 1. 연도별 월별신청접수현황 30 II
2. 침해유형별현황 32 3. 신청인별현황 40 4. 접수방법별신청현황 42 제 2 절조치현황 44 1. 위원회개최현황 44 2. 위원회조정결정현황 44 3. 조치내역별현황 45 4. 침해유형별세부조치내역 48 제 4 장주요피해구제사례분석 50 제 1 절조정결정사례 50 Ⅰ. 이용자의개인정보수집시고지또는명시의무를 불이행한사례 50 < 사례 1> 제휴업체에개인정보제공시개인정보보호정책상의 고지의무불이행에관한건 50 Ⅱ. 이용자의개인정보를동의없이목적외로이용한사례 59 < 사례 1> 유선전화사업자의부가서비스무단가입건 59 < 사례 2> 초고속인터넷사업자의웹사이트임의가입에대한손해배상요구건 67 < 사례 3> ( 주 )A 홈쇼핑의대리인터넷회원가입행위에대한손해배상요구건 75 III
< 사례 4> ( 주 )X 통신사의해지고객개인정보목적외이용에대한손해배상요구건 81 < 사례 5> 방문판매업자의판매대행업체의고객개인정보의목적외이용에대한손해배상요구건 86 < 사례6> 금융기관에서민원해결을위해고객개인정보를무단조회한건 92 < 사례 7> ( 주 )A 유선사업자가이용자의동의없이고객개인정보를서비스홍보에이용한건 98 < 사례 8> 초고속인터넷사업자의부가서비스무단가입및관리소홀에대한손해배상요구건 102 < 사례 9> 이동통신사업자의부가서비스무단가입건 108 Ⅲ. 이용자의개인정보를동의없이제 3 자에게제공한사례 113 < 사례 1> 유선전화사업자의채권추심과정상의개인정보제 3 자 제공에대한손해배상요구건 113 Ⅳ. 개인정보취급자에의한개인정보훼손 침해 누설사례 118 < 사례 1> ( 주 )XX 이동통신사대리점직원에의한개인통화내역출력행위에대한손해배상요구건 118 < 사례 2> ( 주 )A통신사의개인정보취급관리자에의한개인정보침해에대한손해배상요구건 125 Ⅴ. 사업자가개인정보보호기술적 관리적조치를미비한사례 132 < 사례 1> 초고속인터넷사업자의고객개인정보관리소홀에대한 IV
손해배상요구건 132 < 사례 2> 유선전화사업자가제 3 자에게요금체납사실을 SMS 로고지한 행위에대한손해배상요구건 139 Ⅵ. 수집 제공받은목적을달성한후개인정보를미파기한사례 144 < 사례 1> 온라인커뮤니티사업자의고객정보미파기및목적외 이용에대한손해배상요구건 144 Ⅶ. 개인정보수집 이용에대한동의철회, 열람, 정정요구 불응사례 151 < 사례 1> ( 주 )A 사의개인정보정정요구불응및미정정정보이용에 대한손해배상요구건 151 Ⅷ. 기타 161 < 사례 1> 위성방송사영업점의고객개인정보를이용한텔레마케팅행위에대한손해배상요구건 161 < 사례 2> 게임사업자의명의도용방조행위에대한손해배상요구건 168 < 사례 3> 직업전문학교의수료자명단이검색사이트에노출된것에대한손해배상요구건 175 < 사례 4> 이동통신사의 CP업체관리감독의무위반에대한손해배상요구건 184 < 사례 5> 유선전화사업자의신용정보무단조회건 189 < 사례 6> 건설회사의아파트입주예정자정보의하청업체제공에대한손해배상요구건 196 V
제 2 절조정전합의및고충처리사례 201 < 사례 1> 신청인 A가 X화장품사이트와화장품계약관련분쟁중에 X화장품사이트에서임의로 A의사이트이용을차단시킨건 201 < 사례 2> 게임사이트가불법프로그램을이용하여게임을한회원에대하여이용영구정지조치를내리면서회원탈퇴및개인정보삭제요구에불응한건 203 < 사례 3> 제휴관계를맺은업체에대하여이용약관에명시하지않은건 205 < 사례 4> 보습학원이법정대리인의동의없이아동의개인정보를수집한건 206 < 사례 5> 이름과주민번호만으로별도의절차없이 ID와 PW가노출되도록한건 207 < 사례 6> 이동통신사업자의영리목적의광고성정보전송의제한위반에관한건 208 < 사례 7> 항공사의인터넷예약시의기술적 관리적조치미비에관한건 210 < 사례 8> USB 드라이버생산 판매업체가소비자의동의없이 IP주소를수집한건 211 < 사례 9> 백화점임시직원이고객의개인정보를무단으로이용한건 213 < 사례 10> 이동전화대리점이이용자의단말기고유번호를무단으로도용한건 215 < 사례 11> 홈쇼핑이영리 부정한목적으로개인정보를수집하고자사의사이트에인증마크를도용하여사용한건 217 < 사례 12> 케이블방송사가유선으로서비스개통을신청한회원의정보를개인정보활용에대한고지없이자회사인인터넷통신서비스업체로제공한건 219 VI
< 사례 13> 결혼정보회사가자사인터넷사이트에서탈퇴한회원의개인정보를파기하지않고회원가입유치에이용한건 221 < 사례 14> 통신사가고객의개인정보를목적외로이용한건 223 < 사례 15> 인터넷사업자가고객동의없이부가서비스에무단가입시킨건 224 < 사례 16> 홈쇼핑에서회원의변경전개인정보를미파기하여, 신청인의변경전개인정보를현재사용하는다른회원에의해개인정보가일부변경된건 225 < 사례 17> 이동통신사업자가업무상과실로인하여고객의통화내역을제3 자에게제공한건 227 < 사례 18> 초고속인터넷사업자가고객의개인정보를미파기하고목적외로이용한건 229 < 사례 19> ( 주 )X텔레콤의 CRM전화를명백하게수신거부했음에도불구하고계속이용자의개인정보를서비스홍보에이용한건 231 < 사례 20> 휴대전화제조업체의 A/S 센터에수리의뢰후신청인의휴대전화정보대신타인의휴대전화정보가입력시킨건 232 < 사례 21> 영어박람회개최업체에서박람회신청인의동의없이개인정보를영어박람회참여업체에제공한건 234 < 사례 22> 이용자의개인정보를취급하는자의개인정보누설에관한건 236 < 사례 23> P2P 사업자의고객정보미파기및목적외이용에관한건 238 제 3 절이용자상담사례 239 < 사례 1> 사업자가회원자신의로그인기록의제공을거부한건 239 < 사례 2> 온라인사이트에서회원탈퇴를한후개인정보가파기 되지않고검색이되는건 240 VII
< 사례 3> 아는사람을사칭한수신자부담국제전화 242 < 사례 4> 개인블로그에불법도박사이트광고로인해포털업체의개인정보유출의심건 243 < 사례 5> 대리인이이동통신사에전화를하여명의인의정보를변경한건 245 < 사례 6> OO 업체가 증권에개인정보를제공하여텔레마케팅에이용한건 247 < 부록 1 > 정보통신망이용촉진및정보보호등에관한법률 251 < 부록 2 > 개인정보분쟁조정위원회위원명단 311 VIII
표목차 [ 표 1-1] 개인정보침해상담 신고 분쟁조정신청방법 13 [ 표 2-1] 2006년개인정보보호교육실적 18 [ 표 3-1] 전년대비민원증감율 30 [ 표 3-2] 월별신청현황 30 [ 표 3-3] 침해유형별신청현황 32 [ 표 3-4] 법정대리인동의없는아동개인정보수집 유형현황 37 [ 표 3-5] 기타 침해유형별신청현황 38 [ 표 3-6] 개인정보침해유형분류표 39 [ 표 3-7] 신청인거주지역별접수현황 42 [ 표 3-8] 접수방법별현황 43 [ 표 3-9] 개인정보분쟁조정위원회회의실적 44 [ 표 3-10] 위원회조정결정현황 44 [ 표 3-11] 개인정보침해신고센터조치내역별현황 46 [ 표 3-12] 전체조치내역별현황 47 [ 표 3-13] 침해유형별조치내역현황 48 그림목차 [ 그림 1-1] 개인정보고충처리및분쟁조정절차도 12 [ 그림 3-1] 타인정보의훼손 침해 도용사례세부분류 33 [ 그림 3-2] 신청인성별분포 40 [ 그림 3-3] 신청인거주지역별분포 41 IX
제 1 장개인정보피해구제개요 제 1 절개인정보피해구제의의의 1. 개관 지난 10여년간우리나라는디지털혁명을통해지식정보화사회를이룩하였고, 이제우리는지식정보화사회를넘어 드림소사이어티 또는 감성소사이어티 를논하는시대에살고있다. 지식정보화사회를예견한미래학자엘빈토플러조차도 미래는예상치못한때에예상치못한순서로찾아온다 면서예측의어려움을표현했다. 전문가들은향후 10년이내에컴퓨터자판을두드리거나마우스를클릭할필요없이사람과대화하는것처럼컴퓨터기기를이용할수있는시대가온다고전망하고있다. 1) 그러나이러한지식정보화사회의이면에는해킹, 피싱, 불법스팸, CCTV 나휴대폰위치정보서비스를통한개인사생활침해, 인터넷음란물유통과사이버명예훼손등각종어두운그림자도드리워져있으며, 이중에서도개인정보침해로인한피해는가장심각할것으로판단된다. 이러한개인정보침해들은피해구제의필요성을야기하게되었다. 개인정보침해사례의발생은지난몇년간꾸준한증가세를유지하고있으며, 특히주민등록번호도용사례또는기술적조치미비로인한개인정보노출사례등이증가하고있으며, 발생한피해는그규모면에서도종전의그것보다더욱커지고있는경향을보이고있어이에대한전문적 효율적인대응이필요하다. 1) 이홍섭, 한국정보보호진흥원장, 디지털타임즈기고문, 2006.11.28. - 1 -
2. 개인정보및개인정보침해의개념 개인정보는학자마다또는관련규범에따라다양하게정의되고있으나주로 개인을식별할수있는기록된정보중주로체계적으로관리되고이용되는정보 를말한다고볼수있다. 이에대하여 OECD 이사회가채택한 1980년 프라이버시보호및개인정보의국가간유통에관한가이드라인에관한이사회권고 에서는 식별된또는식별될수있는개인에관한모든정보 ( any information relating to identified or identifiable individual) 2) 라고정의하고있으며, EU의 1995년 개인정보처리에있어서개인정보의보호및정보의자유로운이동에관한유럽의회및이사회의지침 에서는개인정보를 자연인을식별하거나식별할수있는모든정보 라고정의하고있다. 3) 2) Guidelines on the protection of privacy and transborder flow of personal data, annex to the recommendation of the council of 23 rd September 1980 OECD.Pt.1.cl.(1)(b) 3) 이외의개인정보의개념에대하여는각각이다음과같은법률을통해규정하고있다. ⅰ) 프랑스정보처리축적및자유에관한법률 (Loi n 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés) 제 2 조 : 개인정보는직접또는간접적으로식별확인번호나그를확인하게해주는하나이상의요소를참고함으로써식별되거나식별가능한개인에관한정보로구성된다. 개인이식별가능한지를결정하기위해서는신원확인을이용가능하거나정보처리의책임자가접근가능하거나혹은어떤다른사람이소유할수있는모든수단을고려할것이권고된다. ⅱ) 독일연방개인정보보호법 (Bundesdatenschutzgesetz) 제 3 조제 1 항 : 개인정보 란신원이확인되었거나확인가능한자연인 ( 정보주체 ) 의인적, 물적환경에관한일체의정보를의미한다. ⅲ) 영국의개인정보보호법 (The Data Protection Act 1998) 제 1 조제 1 항 : 개인정보는다음 (a),(b) 로부터식별할수있는생존하는개인에관한데이터를의미한다 ; (a) 당해정보 (b) 정보관리자가보유하고있거나앞으로보유할가능성이많은기타데이터나정보또는해당개인에대한의견의표현이나해당개인에대한다른사람들또는정보관리자의의도를드러내는모든표시를포함한다. ⅳ) 호주연방프라이버시법 (The Privacy Act 1988) 제 6 조제 1 항 : 개인정보 란진실하거나아니거나, 물리적인형태에기록되어있거나아니건간에그의신원이명백하거나합리적으로판명될수있는개인에관한정보또는의견을 ( 데이타베이스의부분을형성하는정보또는의견를포함 ) 의미한다. 이상, 이창범 김본미, 개인정보피해구제및배상기준에관한연구, 개인정보분쟁조정위원회, 2004, 12 면참조 - 2 -
한편우리나라의 공공기관의개인정보보호에관한법률 에서는 개인정보란생존하는개인에관한정보로서당해정보에포함되어있는성명, 주민등록번호등의사항에의하여당해개인을식별할수있는정보 ( 당해정보만으로는특정개인을식별할수없더라고다른정보와용이하게결합하여식별할수있는것을포함한다 ) 4) 라고정의하고있다. 공공기관의개인정보보호에관한법률 은공공기관이보유하고있는개인정보중컴퓨터로처리되는개인정보만을대상 5) 으로하기때문에민간부문에서의개인정보는제외된다. 민간부문에서의 정보통신망이용촉진및정보보호등에관한법률 에서는 개인정보라함은생존하는개인에관한정보로서성명 주민등록번호등에의하여당해개인을알아볼수있는부호 문자 음성및영상등의정보 ( 당해정보만으로는특정개인을식별할수없더라도다른정보와용이하게결합하여식별할수있는것을포함한다 ) 라고정의하고있다. 6) 예컨대취미나출신학교등의정보는그자체만으로는개인을식별할수없으나성명과결합하여서는당해개인을알아볼수있는개인정보에해당한다. 개인정보는정보주체의프라이버시보호요구와사업자의마케팅등의수집및활용사이에이해상충및갈등관계에있으며이에따라개인정보침해의위험성이증가되고있다. 또한대량의개인정보가중앙집중방식으로수집 관리되어데이터베이스화되면사업자의고의또는과실에의해언제라도개인정보가침해 누설될수밖에없는위험성에놓여지게된다. 개인정보의침해는이러한상황에서 정보주체의동의없이개인정보가수집 이용 제3 자제공되는일체의피해 를포괄하여일컫는것으로해석할수있을것이다. 4) 공공기관의개인정보보호에관한법률제 2 조제 2 호 5) 공공기관의개인정보보호에관한법률제 1 조 6) 정보통신망이용촉진및정보보호등에관한법률제 2 조제 6 호. 종전에는공공기관의개인정보보호에관한법률과동일하게정의하고있었으나, 2001. 1. 16 의개정으로종류와형태에대해서더구체적으로나열하여정의하였다. - 3 -
3. 개인정보피해구제의필요성 과거의개인정보는개인의신분을나타내는단순한의미밖에는없었으나, 오늘날정보사회에서의개인정보는인간의존엄과자유를실현하기위하여반드시보호되어야하는필수적인요소이자전자상거래 금융거래등기업활동을위해서도없어서는안될핵심적인가치로서기능하고있다. 이러한개인정보의수집및이용이사회전영역에서다양한형태로확대되고있고그규모면에서도대규모로수집 이용되고있기때문에 7) 개인정보의유출이나오 남용의위험성도그만큼증가되었음을의미한다. 개인정보의오 남용으로정신적 경제적피해가발생할수있으며명예훼손등심각한인격권침해도예상할수있다. 따라서개인정보의오 남용에의한정보주체의권리침해를사전에예방하고, 사후에지체없이구제함으로써정보주체의존엄과자유로운인격의형성 발전을위한신속하고공정한구제절차및사전예방대책이마련되어야한다. 8) 개인정보가적절히보호되지않는상황에서는개인의안전하고자유로운삶이보장될수없으며, 건전한지식정보사회발전도기대할수없기때문이다. 7) 개인정보데이터베이스를활용한 DB 마케팅활동은기업의주된경쟁력의원천이되고있다. 통신서비스업체, 유통업체, 항공사, 금융기관등대다수기업들이고객의평소이용행태를분석해관련데이터를자세히기록해두고영업에반영하는 CRM(Customer Relationship Management : 고객지향경영 ) 시스템을광범위하게적용하고있다. 8) 정보화사회에서개인정보보호관련법률들은이제초창기의법률처럼개인정보의 오 남용 으로부터만개인을보호하는것이아니라그남용여부와상관없이개인정보의조사, 수집으로부터저장 사용 전달및삭제될때까지해당개인정보를보호해야만한다. ( 김일환, " 생체인식기술등첨단정보보호기술의이용촉진을위한제도적방안연구, 한국정보보호진흥원, 2004, 167 면 ) - 4 -
제 2 절개인정보피해구제절차 1. 개인정보피해구제절차개요 국내의개인정보피해구제는정보통신, 금융, 의료등각개별분야마다개인정보와관련하여이를관리 감독하는담당행정부처또는관련법령에의해설립된기구등이해당분야의개인정보보호역할을나누어맡고있는실정이다. 예를들면공공기관의개인정보침해에대하여는행정자치부에서, 금융기관의신용정보의침해에대해서는금융감독원이피해구제업무를하고있으며, 정보통신분야에서는정보통신부, 한국정보보호진흥원내개인정보침해신고센터에서관련업무를수행하고있다. 또한개인정보관련분쟁을조정하기위해서개인정보분쟁조정위원회가설립되어있다. 본서에서는정보통신분야의개인정보피해구제의절차를중심으로자세히살펴보도록한다. 정보통신분야에서의개인정보피해구제는정보통신부가중앙행정기관으로서개인정보보호정책의수립및집행을담당하고있다. 개인정보침해에대한상담및고충처리기능을수행하기위하여 2000년 4월한국정보보호진흥원내에 개인정보침해신고센터 가설치되었으며 2001년 12월에는정보통신망이용촉진및정보보호등에관한법률에의거하여개인정보에관한분쟁을조정하기위한 개인정보분쟁조정위원회 가구성되었고, 위원회업무를지원하기위하여한국정보보호진흥원내에사무국이설치되었다. 현행정보통신망법에서는위원회와신고센터의조직과기능을각각독립적으로규정하고있으나, 양자의부분적기능중복은어느정도불가피한측면이있고소비자및사업자의입장에서는개인정보상담 피해구제절차가일원화되지않음에따라민원처리가이관되는과정에서시간 - 5 -
이소요되는등불편한점이일부발생하여왔다. 이러한점을고려하여, 2005년 2월부터위원회와신고센터는개인정보피해구제및상담민원창구를일원화하여운영하고있다. 이에따라이전에비해보다신속 편리한민원처리가가능하게됨으로써민원인및사업자들의불편이상당부분해소되었고, 개인정보및프라이버시와관련한다양한정보가신속히제공됨으로써명실상부한 개인정보보호종합서비스 가구현될수있는기반을마련하였다. 2. 개인정보분쟁조정위원회 가. 설립근거및구성 개인정보분쟁조정위원회 ( 이하 위원회 ) 는개인정보와관련된분쟁이발생한경우당사자간에합리적이고원만하게분쟁을해결하기위하여설립된대안적분쟁해결기구로서, 정보통신망법제33조에근거해 2001 년 12월 3일발족하였다. 위원회는위원장 1인을포함한 15인이내의위원으로구성되며, 위원은정보통신부장관이임명또는위촉하며, 법조계또는학계의전문가 사업자 소비자단체에서추천하는인사등으로구성되어개인정보분쟁해결의전문성은물론독립성과자율성을보장하고있다. 위원의임기는 3년이고연임이가능하다. 나. 기능및권한 위원회는개인정보와관련한분쟁조정을고유기능으로하고있다. 위원회는필요한경우조정절차를진행하기전에당사자에게합의를권고할수있다. 또한위원회는분쟁조정을위해필요한자료의제공을분쟁당사자에게요청할수있으며, 분쟁당사자또는참고인으로하여금분쟁조정위원회에출석하게하여의견을들을수있다. 분쟁당사자는정당한 - 6 -
사유가없는한위원회의자료제공요청에응해야한다. 한편위원회는 2004년 8월부터 조정부제도 를도입하여운영중에있다. 조정부제도는개인정보분쟁조정업무를더욱효율적으로수행하기위하여도입된것으로서, 위원장이지명하는 5인이하의위원으로구성되며특히그중 1인은변호사의자격을가진위원이포함되도록하고있다. 앞으로개인정보분쟁조정사건에대한심의 의결은조정부회의에서처리하게됨으로써개인정보피해를입은이용자들은더욱신속 간편하게피해구제를받을수있게되었다. 또한위원회는분쟁조정뿐만아니라피해예방활동, 법제도개선건의, 기업의위법한거래행태에대한시정권고등을통해국민의권리보호및 기업능률향상과건전한개인정보이용환경구축에도이바지하고있다. 다. 분쟁조정의범위 위원회는개인정보, 즉생존하는개인에관한정보로서성명 주민등록번호등에의하여개인을알아볼수있는부호 문자 음향및영상등의정보침해로인한분쟁이면모두조정대상으로하고있다. 특히위원회는정보통신망법에서규율하고있는개인정보침해이외에도기타법률의규정에의한개인정보침해나사생활침해등에대해서도조정대상에포함시켜오고있다. 위원회는제6 차분쟁조정위원회에서위원회의조정범위에대하여정보통신망법위반사건에한정하지아니하며신청인및피신청인도정보통신망법상이용자및정보통신서비스제공자에한정하지아니하기로결정한이래, 개인정보침해사건에대해서는모두위원회가조정할수있고개인정보를침해당한자및침해한자는모두조정사건의신청인및피신청인이될수있다는입장을견지해오고있다. 다만, 타기관에서처리함이타당하다고판단되는사건에대하여는위원회의결정으로당해사건을처리대상에서제외할수있다. - 7 -
라. 조정신청자격 개인정보와관련하여분쟁이있는이해관계인은누구나위원회에분쟁의조정을신청할수있다. 여기에는이용자뿐만아니라분쟁의해결을원하는사업자도포함된다. 다만개인정보침해자가국가 지방자치단체등공공기관인경우는제외된다. 분쟁당사자는변호사기타제3 자를대리인으로선임할수있는데, 이경우는대리권의범위를명시한위임장을위원회에제출하도록하고있다. 또한공동의이해관계가있는다수당사자는그중 1인또는수인을대표당사자로선임할수있다. 대표당사자는조정에관한일체의행위를할수있으며, 위원회는대표당사자를상대로하여조정절차를진행한다. 마. 분쟁조정의효력 위원회의조정안을제시받은당사자쌍방이제시받은날로부터 15일이내에위원회의조정안을수락하는경우양당사자간에는조정서와동일한내용의합의 ( 민사상의화해계약 ) 가성립된것으로본다. 당사자중일방이라도조정안을거부하면조정의효력은상실되며이경우피해자는민사소송을통해해결할수있다. 바. 분쟁조정절차 (1) 분쟁조정신청접수및사실조사 분쟁조정은웹사이트, 우편, 팩스등을통해신청할수있다. 분쟁조정신청사건이접수되면, 사무국은양당사자에게접수사실을통보하고, 당사자로부터전화, 우편, 전자우편, 팩스등다양한수단을이용해사실조사를실시한다. - 8 -
(2) 조정전합의권고 위원회는조정에앞서당사자간의자율적인노력에의하여분쟁이해결될수있도록당사자에게합의를권고한다. 위원회의합의권고에의해당사자간합의가성립하면사건이종결되나, 합의가이루어지지않으면조정절차가개시된다. (3) 조정결정 위원회는당사자의의견청취, 증거수집등필요한절차를거쳐접수일로부터 60일이내에쌍방에게합당한조정안을제시하고수락을권고한다. 이경우당사자는위원회의회의에참석하여자신의의견을개진할수있다. (4) 조정의종결 양당사자가모두조정안을수락하면조정이성립되어조정서가작성되고조정절차가종료하게된다. 그러나당사자일방이조정안을수락하지않으면조정이성립되지않는다. 조정이불성립된경우당사자는법원에소를제기할수있다. 법원은위원회의조정결정에구속되지아니하나, 위원회의결정은법률가, 기술전문가, 사업자및이용자단체대표등이면밀한검토끝에내린결론이므로법원의판단에도일정한영향을미칠수있다. 한편법위반사항이중대하고반복적인경우, 위원회는관계부처, 경찰등에위법사실을통보하고있다. - 9 -
3. 개인정보침해신고센터 가. 설치근거및기능 개인정보침해신고센터는정보통신망법제 52 조제 3 항제 8 호의규정에의 하여 2000 년 4 월한국정보보호진흥원 (KISA) 에설치되었다. 개인정보침해신고센터의주요업무는정보통신망법시행령제 26 조에다 음과같이규정되어있다. 개인정보침해방지및보호와관련한기술적자문, 그밖에필요한지원 개인정보침해와관련한고충처리및상담 개인정보침해관련대책연구 개인정보침해방지를위한교육및홍보 기타개인정보보호를위한사업 나. 상담및고충처리의범위 개인정보침해로피해를입은자는누구든지개인정보침해신고센터에상담 신고를할수있다. 현행법상고충처리및피해구제의대상이되는개인정보의범위는 정보통신망이용촉진및정보보호등에관한법률 제2 조에의하여생존하는개인에관한정보로서성명, 주민등록번호, 사진, ID 등에의해개인을알아볼수있는부호 문자 음향및영상등의정보를말한다. 따라서동조항에따른정보침해로인한것이면모두침해상담 신고의대상이되는개인정보의범위에해당된다. 현행정보통신망법은정보통신서비스제공자및그로부터정보를제공 받은자그리고일부오프라인 (off-line) 사업자에대해적용되고있기때 문에, 주로이들사업자의행위로인한개인정보침해문제를규제하고 - 10 -
있다. 한편개인정보분쟁조정위원회는당사자의분쟁을해결하기위하여 원칙적으로특정영역에관계없이피해구제를담당하고있다. 다. 상담및신고절차 개인정보침해신고센터의상담 신고에따른고충처리는다음과같은 절차로진행되며, 이절차는원칙적으로상담의경우 7 일이내, 신고처리 의경우 30 일이내에완료하고있다. (1) 사건의접수및통보 개인정보침해로인한상담또는신고는웹사이트 (www.1336.or.kr 또는 www.kisa.or.kr), 전화 ( 국번없이 1336), 팩스 (02-405-4729), 이메일 (privacy@kisa.or.kr), 우편 방문 ( 서울송파구가락동 78번지 IT 벤처타워 ) 등을통해신청인이직접또는대리로신청할수있다. 고충처리요청및침해신고가접수되면신청인과피신청인에게접수사실이통보된다. 이와별도로신청인이민사적피해보상등피해구제를요구하는경우에는개인정보분쟁조정위원회로이관한다. (2) 사실조사 조사담당자는모니터링, 당사자로부터의견청취 ( 전화, 우편, 전자우편, 팩스등 ) 를하며, 필요한경우에는자료제출요구및현장조사등을통하 여사실조사를실시한다. 개인정보침해신고센터는사실조사결과개인정보보호조치가미흡한부분이발견되는경우사업자에게침해를유발하는제도 관행의개선, 이용자의신속한고충해결등시정을요구하고, 시정요구를받아들일경우사건처리를종결한다. 그러나시정요구를받아들이지않거나동일침 - 11 -
해가반복되는경우및법률을명백히위반하였다고판단되는경우에는 보고서를작성하여정보통신부로이송한다. (3) 시정명령또는과태료부과 정보통신부는한국정보보호진흥원 ( 개인정보침해신고센터 ) 의보고서를 접수한후법위반경중에따라시정명령을내리거나과태료를부과하는 등행정처분을과한다. 개인정보침해고충처리및분쟁조정절차 1336 www.1336.or.kr 개인정보침해상담신고접수 손해배상요구 Yes 분쟁조정실시 No 자료제출요구 / 현장조사 사실조사 Yes 형사사건 조정전합의 수용 합의 공문발송 不수용 No 시정요구 不수용 조정신청 不수용 수사의뢰또는포기 수사의뢰 과태료부과등행정처분요구 수용 t 사실조사결과보고서제출및처리완료 수용 수사착수 ( 경찰 ) 행정처분 ( 정통부 ) PIDMC 법원 ( 분쟁조정위원회 ) [ 그림 1-1] 개인정보고충처리및분쟁조정절차도 - 12 -
4. 이용방법 누구든지개인정보의유출이나침해등개인정보와관련한불만이나피해를겪은경우에는전화, 우편, 팩스, 인터넷, 방문등을통해개인정보침해신고센터또는분쟁조정위원회에상담, 신고, 분쟁조정신청을할수있다. [ 표 1-1] 개인정보침해상담 신고 분쟁조정신청방법전화상담국번없이 1336, ARS 2번인터넷 www.1336.or.kr 서울시송파구가락동 78번지 IT벤처타워한국정보보호진우편 방문흥원개인정보침해신고센터 ( 우편번호 : 138-803) 팩스 02-405-4729 [ 전화상담가능시간 ] 월~ 금 : 09:00~18:00 (12:00~13:00, 점심시간제외 ) 휴무일 : 토 일요일 법정공휴일 인터넷을통한상담 신고는연중 1일 24시간가능 - 13 -
제 2 장 2006 년개인정보보호주요활동 한국정보보호진흥원 (KISA) 개인정보침해신고센터와개인정보분쟁조정위원회는 2006년한해신속 공정한개인정보민원처리, 개인정보보호인식제고, 관련법제정책지원, 그리고국제협력분야에서중점적으로활동하였다. 주요활동 ( 요약 ) O 신속 공정한민원처리 - ISO 품질경영시스템인증서획득 - 민원총 23,333건접수, 상담및정보제공 22,521건, 위법사실통보 49건등 - 분쟁조정위원회 12회전체회의개최 29건조정결정, 40건조정전합의등 - 개인정보관련사회적이슈다수검토 O 인식제고활동 - 1,209 개사업자무료온라인교육 - 기간통신사업자 2,396개대리점교육 - 기타이용자, 공공기관, 유관기관교육지원 - 개정주민등록법안내및주민번호도용방지캠페인 (2회 ) O 정책지원 - 개인정보보호관련법률제 개정지원 O 국제협력 - APEC, OECD, ICDPC, IWGDPT, APPA 등국제회의참석 - APEC 프라이버시보호원칙의국제적이행모델의개발참여 - 14 -
제 1 절신속 공정한개인정보민원처리 1. ISO 9001 품질경영시스템인증서획득을통한민원처리절차개선 2006 년한국정보보호진흥원 (KISA) 개인정보침해신고센터와개인정보 분쟁조정위원회는민원서비스프로세스개선을위하여 ISO 9001 품질경 영시스템인증을추진하여인증서를획득하였다. 그동안개인정보침해신고센터는개인정보침해와관련한상담및고충처리와위법사실의감시 시정을담당하고, 개인정보분쟁조정위원회는개인정보침해에대한민사적피해구제를담당하여왔으며, 2005 년이후두기관의민원처리창구를통합하여일원화하는등지속적인프로세스개선을위해노력하여왔다. 2006년도한국정보보호진흥원은 ISO 9001 품질경영시스템도입을통해민원처리프로세스운영 관리기준등에대한종합적인품질경영계획수립, 문서화등품질경영시스템규격에서규정하고있는여러사항을개선하였다. 또한 ISO 9001 품질경영시스템인증서획득을통해민원처리창구의단일화이후에도계속해서제기되었던민원처리절차상의문제점, 예컨대민원처리지연이나결과에대한신속한피드백등고객만족도분야에서미진하였던점등을개선할수있도록민원처리절차를점검하였으며, 향후에도지속적인심사를통해문제점을개선해나가도록할계획이다. - 15 -
2. 개인정보분쟁조정위원회개최 위원회는 2006 년도에전체회의 12 회를개최하였고, 이를통해보고안 건 14 건, 의결안건 12 건, 조정안건 28 건등총 54 건을상정 처리하였다. 2006년분쟁조정을통해피해구제를받거나종결된건은총 69건이며, 시정권고및고충해결을통해종결된건이 351건, 수사의뢰등위법사실통보와타기관이첩건이총 49건으로상담및정보제공건까지포함하면전체신청건수의 98.5% 에달하는 22,990건이신고센터및위원회의피해구제 상담절차를통해도움을얻은것으로분석되었다. 또한, 위원회는개인정보피해구제뿐만아니라사업자를위한기업상 담기능강화와사회적중요이슈에대한법률검토및대응방안수립에 도적극나서고있다. 제 2 절개인정보보호인식제고활동 1. 개인정보보호교육홍보 KISA는개인정보침해로인한피해를사전예방하고개인정보보호의중요성을널리알릴수있도록이용자와사업자를대상으로다양한교육및홍보활동을실시하여오고있다. 2006 년도에는무료온라인교육을받은 1,209개사업자를포함하여 SKT, KTF, LGT, KT 등기간통신사업자 2,396개대리점과교육부, 정보문화진흥원 (KADO) 등 9개공공 유관기관등을대상으로교육을실시하였다. - 16 -
(1) KISA 개인정보보호전문교육과정 KISA는사업자, 공공기관, 각종단체, 개인등을대상으로개인정보보호전문교육과정을운영하고있다. 2006 년도에는 5월부터 11월까지격월로각각 4회에걸쳐실시되었으며, 주요커리큘럼은개인정보보호법률의주요내용, 대표적인개인정보침해사례, 개인정보침해예방및대응요령, 침해신고센터및분쟁조정위소개등으로구성되었다. (2) 사업자개인정보보호일반교육 KISA는그동안사업자개인정보보호일반교육을개설하여개인정보관리실태조사대상사업자및조사결과개선조치대상사업자를대상으로집체교육을시행해왔다. 2006 년도에는기간통신사업자대리점, 판매점등사외유통망에의한개인정보유출이빈번함에따라기간통신사업자대리점을대상으로 6월한달간전국순회교육을실시하였다. 2006년전국순회교육은 SKT 등 9개기간통신사업자의 2,396개대리점직원 2,046명을대상으로총 10회에걸쳐교육을시행하였으며, 교육을받지못한기간통신사업자대리점및판매점임직원은온라인개인정보보호교육과정을통해교육을이수하도록지원하였다. 교육내용은개인정보보호와관련한법제도현황, 개인정보침해유형과피해구제방법등고객개인정보보호를위한기초지식및대리점및판매점에서준수하여야할기본적인의무사항등이다. 온라인교육수강은 http://www.usafe.or.kr 을통해수강할수있다. (3) 외부기관교육지원 KISA 는 2006 년도에사업자, 주요공공기관등을대상으로개인정보보 - 17 -
호교육을실시하였다. 외부기관에서개인정보보호교육을요청하는경우강사를파견하여개인정보보호교육을지원하고있다. 교육내용은주로개인정보보호관련법률내용및주요사례소개이며교육대상자의자율적인질의에대한응답시간을가지고있다. 특히한국정보문화진흥원및학부모정보감시단과협력하여개인정보보호를포함한정보통신윤리강사양성교육과정을지원, 타기관과의개인정보인식제고사업을유기적으로수행하였다. [ 표 2-1] 2006년개인정보보호교육실적 교육기관 교육대상및인원 경기지방공사 임직원 100여명 공공기관 남양주시청남양주시청공무원 100여명한국문화예술위원회관계직원 60여명 시흥시청 시흥시청공무원 300여명 정보통신부 지식정보센터임직원 150여명 KADO 교원정보보호직무연수교육참가자 ( 초중고교사 ) 150 여명 유관기관정보통신윤리교육전문강사양성교육 KADO 참가자 (50여명) KISA(4회 ) 개인정보보호전문교육 145명 교육부 지식정보기반과직원 삼성화재 (2회) 준법감시팀, 법무팀등임원 SKC(2회 ) 고객만족팀개인정보취급자 SKT 대리점 535개대리점 KTF 대리점 526개대리점 LGT 대리점 355개대리점 KT 대리점 480개대리점 사업자 파워콤대리점 196개대리점 하나로텔레콤대리점 186개대리점 데이콤대리점 39개대리점 온세통신대리점 40개대리점 드림라인대리점 39개대리점 개인정보무료온라인교육 1,209개사업자 경기공업대 교직원 학교 한양사이버대학교 교직원 KCU 교직원 병원 우리들병원 직원 - 18 -
2. 개인정보보호캠페인 2006 년도에는개정된주민등록법의시행 ( 06. 9.25) 을앞두고개정주민 등록법에대한안내와주민번호도용방지를위해 2 차에걸친캠페인을 시행하였다. 1차캠페인은 노출된내개인정보를찾아라 라는제목으로 구글 (Google)' 과같은검색사이트를통해개인정보가손쉽게검색되어명의도용등에악용되는사례가갈수록증가하기때문에이에대한대책의일환으로실시되었다. 1차캠페인을통해서는총 1,548개국내홈페이지에서 254,395명의개인정보노출확인및삭제가이루어졌다. 2차캠페인은 주민번호도용방지캠페인 이라는제목으로일부사이트에서유료로제공중인 개인정보온라인이용내역무료조회서비스 를캠페인기간동안무료로제공하는등자신의이름과주민번호로등록된사이트의정보를확인하게됨으로써개인정보를스스로관리하고보호하는계기를마련하였다. 본캠페인에는정보통신산업협회 (KAIT), 정보문화진흥원 (KADO) 등정보통신부산하기관 9개기관과개인정보관리책임자 (CPO) 협의회회원사, 주요포털 게임사업자 30여곳의협조를통해배너게시등각종홍보활동을진행하였다. 또한한국신용평가정보, 서울신용평가정보, 한국신용정보주식회사등신용평가 3사에서유료로제공하는 개인정보온라인이용내역조회서비스 등명의도용여부에대한조회서비스를캠페인기간동안은무료로제공하는등각종캠페인프로모션이진행되기도했다. - 19 -
제 3 절개인정보보호정책지원 1. 개인정보보호관련법률제 개정지원 KISA는정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보통신망법 이라한다 ) 등개인정보보호관련법률의제 개정을지원하고있다. 특히 2006년도에는정보통신망법의개정이 3월, 10월, 12월세차례에걸쳐진행되었으며, 그중 2006년 12월 21일에통과된정보통신망법의주요개정내용을살펴보면다음과같다. 가. 개인정보의수집 이용 제공에대한고지및동의제도개선 보완 ( 안제22조내지제24조및제24조의 2) 나. 개인정보의취급위탁에따른관리 감독강화 ( 안제25조 ) 다. 정보통신서비스제공자가삭제요청을받은유통정보에대한일반이용자의접근을임시차단할수있는임시조치제도의도입 ( 안제 44조의 2 및제44조의 3) 라. 제한적인본인확인제도의도입 ( 안제44조의5 신설 ) 마. 불법정보의유통금지등 ( 안제44조의6 신설 ) 바. 정보통신윤리위원회기능강화 ( 안제44조의7 내지제44조의 10 신설 ) 사. 자료제출요구권의행사요건등 ( 안제55조 ) 2. 주민등록번호대체수단이용활성화 주민등록번호는편리한본인확인수단으로사용되어왔으나도용또는유출시사생활침해의위험이높으므로, 인터넷상에서주민등록번호를대체할수있는수단에대한요구가증가하고있다. 정보통신부와 KISA 는이러한사회적요구에따라주민등록번호대체수단도입정책을추진 - 20 -
하고있다. 즉, 인터넷사업자의주민등록번호수집을원천적으로차단하면서도이용자가편리하게이용할수있는아이핀 (i-pin) 을적용하는웹사이트를확산함으로써주민등록번호도용문제최소화를위해노력하고있다. 이를위해 KISA 는지난 2005년마련한 주민번호대체수단가이드라인 ( 안 ) 에대한개정안을발표하였으며아이핀홍보웹페이지구축과주민번호대체수단서비스설명회등을개최하여주민번호대체수단활성화를위해노력하였다. 향후에는주민번호대체수단 ( 아이핀 ) 의제도적기반구축및보급확산을위해주민번호대체수단에대한법적근거마련과본인확인기관에대한정기점검실시, 본인확인기관보안성개선등으로주민번호대체수단의안전성 신뢰성확보, 그리고대체수단확산을위한홍보및기술지원을할계획이다. 3. CCTV 개인영상정보보호가이드라인마련 2006년 KISA 는범죄예방등의목적으로 CCTV 가관련법령이나기준없이설치 운영되고있어이로인한프라이버시침해가사회적문제로대두되어이를규제하기위한법률제정이전에 CCTV 개인정보보호가이드라인 을우선제정, 사업자의자율준수를권고하고대국민홍보를강화하였다. 주요추진내용으로는 CCTV 개인영상정보보호가이드라인해설서를발간 배포하였으며, CCTV 가이드라인내용을쉽게이해할수있도록온라인동영상교육자료를개발하여홈페이지등을통해무료보급하였다. 이를통해법제정이전에가이드라인을통한자율준수를권고함으 - 21 -
로써관련규정미비로인한사각지대를최소화할수있게되었다. 4. 신규 IT 서비스프라이버시보호방안연구 정부의의욕적인 IT839 전략추진에따라 8대신규서비스가속속개발 상용화되고있어, 신규 IT서비스의상용화과정에서발생가능한개인정보침해요인을사전분석하여프라이버시보호대책을수립하고자하였다. 2006년도에는 RFID 와개인정보의결합으로인한프라이버시침해방지를위해법제도적인프라구축및기술적보호수준강화를위한 RFID 정보보호대책수립과 RFID 전문가로구성된작업반을구성하여자문회의등을개최하여향후정책방향과추진계획등을작성하였다. 또한개인위치정보보호법 제도개선및사업자위치정보보호조치이행점검등을통해개인위치정보보호체계를확립하고개인위치정보침해요인에대처할수있는기술기준을마련하여위치정보의기술적보호기반을강화하고자하였다. 이를위해 위치정보의보호및이용등에관한법률해설서 를발간하고법률개정 ( 안 ) 을마련하였으며, 위치정보의관리적 기술적보호조치가이드라인을배포하였다. 이외에도 KISA 는신원확인수단으로바이오정보의이용이확산됨에따라무분별한개인정보침해를최소화할수있는분야별대응책을수립하는등바이오정보보호대책마련을위해노력하였다. 바이오정보는점차산업화 생활화될것으로예상되므로이에따른프라이버시침해에대비하기위하여바이오정보보호체계개선을통한개인정보보호강화대책을마련할계획이다. - 22 -
제 4 절개인정보보호를위한국제협력 1. 개관 국가간또는지역간경제활동의증가와인터넷을이용한전자상거래의활성화로인하여개인정보의국가간이동이매우자연스럽게발생하고있다. 이로인해, 개인정보침해행위가국경을넘어발생하게되는등개별국가의독자적인노력만으로모든이용자의개인정보피해를구제하기어려운상황이되었다. 따라서, 개인정보보호를위한국제적차원의협력강화가그어느때보다절실히요구되고있다. 한국정보보호진흥원 (KISA) 의개인정보보호단에서는 2006년한해동안 APEC, OECD, IWGDPT, ICDPC, APPA 등해외개인정보보호관련회의에서각국의개인정보보호기관과정보교류를더욱강화하였고국내개인정보보호연구결과물을발표하는등활발한국제협력활동을펼쳐왔다. (1) APEC 아시아 태평양경제협력기구 (Asia-Pacific Economic Cooperation; APEC) 는전자상거래분야의특별그룹인 ECSG(Electronic Commerce Steering Group) 내에개인정보보호및프라이버시모델연구를위해프라이버시서브그룹 (Privacy Subgroup) 을두고있다. APEC 은적절한프라이버시보호의개선을촉진하고아시아- 태평양지역의자유로운정보흐름을제고하기위하여 2003년부터 APEC 프라이버시보호원칙 (APEC Privacy Principles) 9) 의제정을준비하여 2004년 11월 APEC 장관회의에서최종승인을받았다. 9) APEC 프라이버시보호원칙은피해예방, 고지, 수집제한, 개인정보의이용, 동의및선택, 개인정보의무결성, 보안조치, 개인정보에의접근및수정, 책임등에대한 9 개의원칙으로이루어져있음 - 23 -
2006 년도에는제 13, 14 차 APEC 프라이버시서브그룹 (Privacy Subgroup) 회의가 2006 년 2 월과 9 월베트남하노이와다낭에서, APEC TEL(eSTG 및 BFSG) 회의가 4 월에캐나다캘거리에서개최되었다. 2006년제13, 14차 APEC 프라이버시서브그룹회의에서는전자정부및전자상거래정보보호심포지움개최 (2월 20일 ~22 일 ) 결과보고및프라이버시서브그룹의명칭변경에대한논의, 다단계고지 (Multi-layered Notice) 에대한연구진행과정경과보고등이주로논의되었다. 특히국경간정보이전과관련하여민간부문의실질적인사례들을제공하는것에대하여호주, 한국, 멕시코, 미국, ICC 가 국경간프라이버시규칙개발스터디그룹 을구성하여사례수집및논의등향후프로젝트를추진하기로하였다. 특히 4월에개최된 APEC TEL(eSTG 및 BFSG) 회의에서는중국 대만과중국웹사이트에노출된한국인주민번호노출차단관련사항등을논의, 실무협력라인을개설하기위한노력을앞으로도계속추진하기로합의하였다. (2) OECD 경제협력개발기구 (Organization for Economic Cooperation and Development ; OECD) 는선진공업국을중심으로구성된경제에관한국제협력기구이며파리에본부를두고있다. 회원국은유럽각국, 미국, 일본등 29개국의선진공업국으로이루어져있으며유럽연합 (EU) 의 15개회원국과함께유럽위원회도 OECD 의제반활동에참여하고있다. 1980 년에국가간의정보이전이국제적인관심사로부상하고이용자들 이공통적으로개인정보의노출을우려하게됨에따라국가적 지역적 국제적정보유통질서를확립하고자 프라이버시보호및개인정보의국 - 24 -
제적유통에관한지침 을제정한바있다. 현재 OECD 에서개인정보및프라이버시보호를담당하고있는곳은 DSTI(Directorate for Science, Technology and Industy) 산하 ICCP(Committee for Information, Computer and Communications Policy) 의정보보호및프라이버시작업반 (WPISP : Working Party on Information Security and Privacy) 이다. WPISP 에서는프라이버시보호와관련된주제외에도정보시스템과네트워크보안, 전자인증과계정관리, RFID/ 센터와네트워크, 암호작성정책, 국외여행시큐리티와프라이버시등을논의한다. 2006년제21차 WPISP 회의에서는국가간프라이버시보호협력을위한첫단계로 국가간프라이버시법이행관련보고서 를마련하여 ICCP에제출하고동보고서를기초로하여프라이버시보호를위한협조를고무시키기위한정책과실질적툴개발에대하여논의하였다. 또한국가간상호협력과집행력확보, 국가간공통적인법집행우선순위확인, 지속적인정보공유등이중요한고려사항임을언급하였다. (3) ICDPC 국제개인정보보호기구회의 (International Conference of Data Protection and Privacy Commissioners ; ICDPC) 에서는각국의개인정보보호기관을심사하여인정된기관에한하여 ICDPC 의회원자격을부여하고있는데, 우리나라는 KISA 가 2004년폴란드에서개최된제26차회의에서아시아최초의회원으로인정받았다. 영국에서개최된 2006 년제 28 차 ICDPC 회의에서는 IT 기술의발전에 따라정보의이전및침해가글로벌화됨에따라유럽및캐나다등은 개인정보국외이전에따른침해사례와법적용사례등에대한정보 - 25 -
공유및국가간협조체계를강조하였다. 또한감독기구들은 EU의유럽연합지침제29조 ( 개인정보국외이전관련조항 ) 에대한워킹그룹활동에적극참가하기로합의하였으며, 현대사회에서감시가어느정도필연적인현상임을인정하면서도이에대응하기위해새로운기술, 제도, 시스템에대한전체적인평가를통한해결방안을모색해야한다는데의견을같이했다. (4) IWGDPT 국제정보통신개인정보보호워킹그룹회의 (International Working Group on Data Protection in Tele communication: IWGDPT) 는각국의개인정보보호기구가정보통신및미디어분야에서의개인정보 프라이버시보호증진을목적으로정보통신분야프라이버시이슈관련법제현황및기술과제에대해논의하고있는연구그룹이다. 1983 년에발족하였으며매년 2회개최되는데 2006년 4월미국워싱턴에서제39차회의와독일베를린에서제40차회의가진행되었다. 2006년 IWGDPT 에서의주된논의사항은인터넷전화이용자의개인정보침해위험성및피해구제방법등을고지하고개인정보보호를위한기술적 관리적조치마련, 통신암호화조치마련, 서비스제공및요금과금을위한필요최소한의개인정보만을수집 이용하도록하는등 VoIP 에대한프라이버시가이드라인이필요하다는것이었다. 이외에도캐싱에따른프라이버시침해문제와개인전자의료기록에 관한 DB 구축문제, PKI 활용에대한각국의동향, 스파이웨어, 스팸등 에대한각국의대응방안등이소개되었다. - 26 -
(5) APPA 아시아 태평양개인정보감독기구포럼 (Asia Pachific Privacy Authorities Forum; APPA) 은원래호주와뉴질랜드의개인정보보호감독기구회의 (PANZA) 가홍콩과한국의참여로 PANZA+ 로확대된것을 2005년 PANZA+ 제24차회의에서 + 가홍콩과한국을의미하기에는적절치않고 PANZA+ 회의를아시아 태평양지역회의로확대하고자아시아 태평양프라이버시감독기구포럼 (Asia Pacific Privacy Authorities Forum : APPA) 으로변경한회의이다. 2006년 5월과 11월에호주와홍콩에서제25차와제26차회의가각각개최되었으며, 회원국의프라이버시관련이슈가논의되었다. APPA 회원국들은회원국통계비교프로젝트와회원국사례보급프로젝트가진행중이며, APPA 공식웹사이트구축등아시아 태평양지역의개인정보국제포럼으로서의위상제고를위하여노력중이다. 최근에는대만, 마카오등 APPA 참여범위확대등에대한논의가주요이슈로떠오르고있다. 2. 국외개인정보보호기구에서의활동 (1) APEC TEL 회의에서 중국 대만웹사이트개인정보노출차 단방안 논의 2006년 4월캐나다캘거리에서개최된 APEC TEL 회의에서한국은중국 대만과중국웹사이트에노출된한국인의주민번호노출차단관련사항을논의하여각국외교채널을통해문제를해결을할수있는노력을계속할것을협의하였다. 이외에도 APEC TEL 회의에서는정보보호분야에서논의되는주제들 - 27 -
이점점확대됨에따라 APEC TEL 조직개편에서기존의정보보호분야회의체인 estg(security Task Group) 가운영위원회 (Steering Group) 로승격되었으며, 정보보호분야운영위원회의부의장을한국이맡게되었다. (2) 제 20 차 OECD WPISP 회의개최 2006년 5월 15일부터 17일까지제20차 OECD WPISP 회의가서울코엑스인터콘티넨탈호텔에서개최되었다. 한국은국내전자인증현황및모범사례로인터넷상의주민번호대체수단도입사례를소개하였으며, KISA 는또한전자적침해사고로인한피해방지및정보보호에관한이용자인식제고를위한관련법의개정현황을소개하고 OECD 정보보호통계집계방식의개선필요성을주장하였다. (3) 제 28 차국제개인정보보호감독기구회의 (ICDPC) 참가 2006 년 10 월영국런던에서개최된제 28 차국제개인정보보호감독기 구회의의한국대표로서참가하여 2 개사항에대한결의와자유토론에 토론자로참가하였다. 결의사항은 ICDPC 하부워킹그룹활성화를위해협의회의조직정비를위한워킹그룹을만들고차기회의에그연구결과를발표할것과, 각회원국은검색서비스제공자에게이용자의서비스이용과정에서발생하는데이터처리에관해명료하고명백하게이용자에게정보를제공할것과검색서비스과정에서이용자의불필요한정보의저장을금지할것등프라이버시보호를위한조치를권고하는것이다. - 28 -
(4) 제 39 차및제 40 차 IWGDPT 회의참가 한국은 2006년 4월제39차 IWGDPT 회의와 9월에개최된제40차회의에참석하였으며, 한국의개인정보보호법제정현황과정책방향 및 검색엔진에의한프라이버시침해현황대책 등을발표하였다. 회원국은한국의개인정보보호법이통과되었을경우의 KISA 의역할에대해많은관심을표명하였으며, 일본과오스트리아는한국의개인정보보호법령과개인정보보호현황에대한자료등을요청하기도하였다. (5) 제 25 차및제 26 차 APPA 회의참가 한국은제25차, 제26차 APPA 회의에대표로참가하여한국의개인정보침해동향및개인정보분쟁조정위원회현황등을소개하였다. 특히회원국은한국의 CCTV 프라이버시침해현황에대해서큰관심을보였으며, CCTV 가이드라인과해설서개발등한국의개인영상정보보호를위한노력에대해각별한관심을표명하였다. - 29 -
제 3 장 2006 년도개인정보피해구제현황분석 제 1 절신청현황 1. 연도별 월별신청접수현황 2006 년한해동안한국정보보호진흥원에접수된개인정보피해구제및 상담신청건은총 23,333 건으로집계되었다. 이는전년도접수된 18,206 건과비교해볼때약 28% 정도증가한것으로나타났다 ( 표 3-1 참조 ). [ 표 3-1] 전년대비민원증감율 ( 단위 : 건 ) 구분 2005 년 2006 년증감 ( ) 율 (%) 피해구제신청 18,206 23,333 28 개인정보피해구제신청건수는한국정보보호진흥원이 2000년개인정보침해신고센터를개소하고 2001년개인정보분쟁조정위원회발족이후매년개인정보피해구제사업을시작한이래매년지속적인증가추세를보이다 2003년도이후부터증가비율이감소하는추세를보였으나 2006년도에다시상승하는추세를보여전년대비약 28% 가량증가하였다. [ 표 3-2] 월별신청현황 ( 단위 : 건 ) 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 12 월합계 2,131 3,561 1,538 1,613 1,521 1,439 1,859 1,746 1,885 2,133 2,016 1,891 23,333-30 -
개인정보피해구제및상담신청건수를월별로살펴보면, 가장많이접수된달은 2월로서 3,561건이접수되었고가장적게접수된달은 6월로서 1,439건이접수되어, 월평균으로는 1,944건이접수된것으로나타났다 ( 표 3-2 참조 ). 2월에민원접수가가장많았던이유로는엔씨소프트의리니지게임사이트주민번호도용사건에따른문의접수가폭발적으로접수된것이주된이유로분석되며, 2월한달간문의된주민번호도용문의는 2,309건으로당월접수건 (3,561건 ) 의 65% 를차지하였다. 하반기에많은접수율을보인 10월과 11월은각각개정주민등록법시행 (2006 년 9월 25일 ) 과관련하여단순주민번호도용자처벌과관련된문의와금융기관과공공기관을사칭하여전화를통해개인정보를불법수집하는사기성전화 ( 일명 보이스피싱 ) 에대한민원이많이접수되었다. - 31 -
2. 침해유형별현황 2006 년접수된개인정보피해구제및상담신청을침해유형별로분류하 여보면 ( 표 3-3) 과같다. [ 표 3-3] 침해유형별신청현황 ( 단위 : 건, %) 침해유형 2005 년 2006 년 건수비율건수비율 증감율 이용자동의없는개인정보수집 1,140 6.3 2,565 10.99 125 개인정보수집시고지또는명시의무불이행 15 0.1 27 0.12 80 과도한개인정보수집 33 0.2 61 0.26 85 고지 명시한범위를초과한목적외이용또는제 3 자제공 916 5.0 917 3.93 0.1 개인정보취급자에의한훼손 침해또는누설 186 1.0 206 0.88 11 개인정보처리위탁시고지의무불이행 4 0.05 5 0.02 25 영업의양수등의통지의무불이행 7 0.05 11 0.05 57 개인정보관리책임자미지정 25 0.2 23 0.09 8 개인정보보호기술적 관리적조치미비 390 2.1 632 2.7 62 수집또는제공받은목적달성후개인정보미파기 152 0.8 266 1.2 75 동의철회 열람또는정정요구등불응 771 4.2 923 3.96 20 동의철회, 열람 정정을수집방법보다쉽게해야할조치미이행 285 1.6 484 2.1 69 법정대리인의동의없는아동의개인정보수집 71 0.4 23 0.1 67 주민번호등타인정보의훼손 침해 도용 9,810 53.9 10,835 46.4 10 기타 ( 정보통신망법규정외의침해유형 ) 4,401 24.1 6,355 27.2 44 합계 18,206 100 23,333 100 28-32 -
(1) 타인정보의훼손 침해 도용사례 전체접수된 23,333건중에서가장많이접수된침해유형은주민번호, ID 비밀번호등 타인정보의훼손 침해 도용 유형으로서, 총 10,835 건이접수되어전체민원의 46.4% 를차지하였다. 동유형은전년도에도 9,810건 (53.9%) 이접수된데이어금년도에도최다접수유형으로기록되었다. 타인정보의훼손 침해 도용사례 10,835건을좀더세부적으로살펴보면, 먼저 타인주민등록번호도용사례 (7,830 건 ) 가가장많고, ID 비밀번호도용 (615 건 ), 전화번호도용 (261 건 ) 순으로나타났다 ( 그림 3-1 참조 ). [ 그림 3-1] 타인정보의훼손 침해 도용사례세부분류 202 (2%) 1,805 261 (17%) (2%) 122 (1%) 615 (6%) 7,830 (72%) 주민번호도용 아이디비번도용 아이템도용 전화번호도용 주민등록법개정관련문의 기타 주민번호도용과관련한민원은해마다전체민원의절반정도를차지 하고있어이의근본적해결을위한대책마련이시급하다. 특히지난 2 월에발생한리니지게임관련대량주민번호도용사건은국가적차원 - 33 -
에서온라인상에서의주민번호인증제도에대한전반적인재검토의필요 성을인식하는계기가되었다. 이와관련하여정보통신부는온라인상에서안정적으로활용될수있는 본인확인수단을제공하기위해아이핀 (i-pin) 등주민번호대체수단을보 급 확산하기위한노력을기울이고있다. 한편, 전년도에주민번호등타인정보훼손 침해 도용민원이전체접수민원의 53.9% 를차지한데비해올해는전체접수민원의 46.4% 정도를차지하여전체침해유형에서차지하는비율은점차감소하는것으로분석되었다. 이는 2006년 9월 25일부터단순주민번호도용행위도처벌할수있도록개정된주민등록법이시행됨으로써인터넷상에서타인의주민번호로회원가입하는단순주민번호도용행위가점차감소하고있는것이원인으로파악된다. 그러나아직도 타인정보의훼손 침해 도용 유형은인터넷등온라인서비스이용과관련하여가장빈번히발생하고있어향후 주민번호대체수단 도입등주민번호도용으로인한피해를최소화할수있는사전예방적활동이필요할것으로판단된다. (2) 이용자동의없는개인정보수집사례 2006 년개인정보민원중두번째로많이접수된침해유형은 이용자 동의없는개인정보수집 ( 개인정보무단수집 ) 사례로서, 총 2,565 건 (10.99%) 이 접수되어전년도 1,140 건대비 125% 증가하였다. 개인정보무단수집사례가증가한것은고객확보를위한타겟마케팅이 - 34 -
필요한통신사및금융사영업점, 보험사, 기획부동산등의업체가개인 정보데이터베이스를음성적인경로로수집한뒤이를텔레마케팅등에 악용하는경우가증가한데따른것으로보인다. 따라서향후에는음성적경로로유통되는각종개인정보 DB 에대한 단속과처벌이엄격히이루어질필요가있다고판단된다. (3) 동의철회, 열람 정정요구불응사례 2006 년도에세번째로맣이접수된유형은 개인정보수집에대한동 의철회 열람요구또는정정요구불응 ( 회원탈퇴불응 ) 사례로서총 923 건 (3.96%) 접수되어전년도 771 건대비 20% 가량증가하였다. 이침해유형은주로이용자의인터넷웹사이트회원탈퇴요구또는개인정보정정요구에대해사업자들이불응하는사례를말한다. 동유형은 2005년도에잠시줄어드는것으로분석되었으나, 2006년도에다시증가하는추세로반등하였으며, 동의철회 ( 회원탈퇴 ), 열람 정정을수집방법보다쉽게해야하는조치를미이행하는유형과더불어회원탈퇴를쉽게해주지않고있는사업자의관행이아직도개선되지않고있는것으로분석된다. (4) 이용자동의없는개인정보목적외이용 제 3 자제공사례 이침해유형은사업자들이고객의개인정보를당초수집시고지 명시한이용목적을벗어나 무단이용 하거나, 고객의동의없이개인정보를 제3 자에게무단제공 하는사례를말한다. 구체적으로는통신사업자의직원이나대리점등에서영업이익 ( 인센티브등 ) 을노리고고객의개인정보를이용해부가서비스 정액요금제등에무단가입시키는사례, 처음에가입했던것과는전혀다른상품 서비스마케팅에고객정보를무단 - 35 -
이용하는사례, 사업제휴등을빌미로개인정보를제 3 의사업자에게제 공하면서동의를구하지않는사례등이이에해당한다. 이침해유형은전체민원접수건수에서차지하는비중은그리크지않지만, 서비스무단가입에따라부당한요금을부과하게되거나자신의개인정보가외부로유출된사실을뒤늦게인지하게되는등실제로경제적 정신적피해를야기하는경우가많고피해규모도큰경우가많아주의가필요하다. (5) 개인정보보호를위한기술적 관리적조치미비사례 개인정보의기술적 관리적보호조치미비 사례는총 632건 (2.7%) 접수되어전년접수된 390건대비 62% 증가했다. 특히동침해유형은주로사업자의기술적 관리적보안조치의미비로구글 (Google) 등검색사이트에개인정보가노출되거나일반웹사이트에서중요개인정보가노출된경우가해당된다. 동유형이증가하는것은이용자의개인정보중요성에대한인식이행상되고있는반면에개인정보를수집 이용하는사업자들은아직도개인정보보호중요성에대한인식이부족하다는것을반영하고있는것으로분석된다. (6) 법정대리인동의없는아동개인정보수집사례 법정대리인의동의없는아동개인정보수집 사례는그간위원회의지속적인조정결정, 대응방안홍보활동및게임사업자에대한개선방안권고등효과적인대책으로인하여 2005년도에이어 2006년도에도그발생비율이크게감소하였다. - 36 -
[ 표 3-4] 법정대리인동의없는아동개인정보수집 유형현황 ( 단위 : 건 ) 구분 2003년 2004년 2005년 2006년 신청 1,195 736 71 23 2006년도접수건은 2003년도접수건의 1.9% 수준으로감소 법정대리인의동의없는아동의개인정보수집사례는 2003 년 1,195 건, 2004 년 736 건등매년다량의민원이접수되어왔으나, 금년에는불과 23 건이접수되는데그쳐전년대비 68% 이상감소한것으로나타났다. (7) 기타개인정보침해사례 정보통신서비스제공자외의자에의한개인정보침해및개인정보침해유형을명확히분류할수없는개인정보침해사례에대한피해구제신청도총 6,355건 (27.2%) 이접수된것으로나타났다 ( 표 3-5 참조 ). 이들침해사례는정보통신망법의직접적용대상이아닌금융 의료 유통사업자에의한개인정보침해, 공공기관 비영리기관에의한개인정보침해사례등이모두포함된다. 특히정보통신분야이외의사업자를대상으로한민원이증가한것은개인정보침해신고센터가타기관에비해상대적으로인지도가높아져개인정보침해를당했다고생각하는민원인이우선적으로개인정보침해신고센터에문의하는경우가증가하였기때문인것으로분석되며, 또한불법채권추심등신용정보분야관련민원이소폭이지만지속적으로증가하고있고, 2006년하반기전국적으로기승을부린국세청, 법원, 은행등공공기관을사칭한개인정보불법수집관련민원등새로운침해유형이많이발생한것이주요원인으로파악된다. - 37 -
[ 표 3-5] 기타 침해유형별신청현황 ( 단위 : 건, %) 침해유형 2005 년 2006 년 건수비율건수비율 신용정보관련 250 5.7 287 4.5 비영리 공공기관관련 28 0.6 44 0.7 의료분야관련 ( 생체정보포함 ) 11 0.3 16 0.3 개인정보 사생활침해 각급학교관련 5 0.1 1 0.0 직장내프라이버시침해 (E-Mail 감시, CCTV 프라이버시침해등포함 ) 온라인명예훼손등기타개인에의한사생활침해 21 0.5 20 0.3 722 16.4 1,142 18.0 법령질의, 사업자문의등 506 11.5 767 12.1 영리목적의광고성정보전송 - - 288 4.5 개인정보외 피해구제기관문의, 2,486 56.4 3,272 51.5 일반적서비스 상품불만등 피싱등사기전화민원 518 8.1 내용확인불가 372 8.5 - - 합계 4,029 91.5 6,355 100 또한개인정보외일반소비자피해관련피해구제기관에대한문의나일반적서비스 상품불만등에대한상담및피해구제신청이다수접수되고있는것은한국정보보호진흥원및개인정보분쟁조정위원회의대국민인지도가상승하면서정보통신분야와직접연관이없는개인정보침해사례에대해서도우선진흥원또는개인정보분쟁조정위원회에문의를하는것으로설명될수있다. - 38 -
참고로, 개인정보분쟁조정위원회에서는정보통신망이용촉진및정보보호 등에관한법률의규정에따라아래 ( 표 3-6) 과같이개인정보침해유형을 분류하고있다. [ 표 3-6] 개인정보침해유형분류표 번호 침해유형 법률근거 1 이용자동의없는개인정보수집 정보통신망법제 22조제 1항 2 개인정보수집시고지또는명시의무불이행 정보통신망법제 22조제 2항 3 과도한개인정보수집 정보통신망법제 23조 4 이용자동의없는개인정보목적외이용또는제 3자제공정보통신망법제 24조제 1항 5 개인정보취급자에의한훼손 침해또는누설 정보통신망법제 24조제 4항 6 개인정보처리위탁시고지의무불이행 정보통신망법제 25조제 1항 7 영업의양수등의통지의무불이행 정보통신망법제 26조제 1항 8 개인정보관리책임자미지정 정보통신망법제 27조제 1항 9 개인정보보호기술적 관리적조치미비 정보통신망법제 28조 10 수집또는제공받은목적달성후개인정보미파기정보통신망법제 29조 11 동의철회 열람또는정정요구등불응 정보통신망법제 30 조제 1 항및제 2 항 12 개인정보오류정정요구접수후미정정정보이용정보통신망법제 30 조제 5 항 13 동의철회 열람또는정정을수집방법보다쉽게해야할조치미이행 정보통신망법제 30 조제 6 항 14 법정대리인의동의없는아동의개인정보수집정보통신망법제 31 조제 1 항 15 타인정보의훼손 침해 도용정보통신망법제 49 조 16 기타 ( 정보통신망법규정외의침해유형 ) - 39 -
3. 신청인별현황 (1) 성별 2006년접수된 23,333건중에서신청인의성별구분이가능한건은총 19,763건으로, 이중남성이 10,806건 (54.7%), 여성이 8,957건 (45.3%) 으로남성의비중이다소높게나타났는데,( 그림 3-2 참조 ) 이는남성이여성에비해인터넷이용률이비교적높은데원인이있는것으로판단된다. 성별인터넷이용률 : 남79.3%, 여67.6% ( 한국인터넷진흥원, 2006 상반기한국인터넷통계집 ) [ 그림 3-2] 신청인성별분포 여성 8,957 (45%) 남성 10,806 (55%) 남 여 (2) 연령별 2006년부터개인정보보호차원에서주민번호대체수단도입확대등주민번호이용제한문화를정착시키기위해정책적으로민원접수시민원인의주민번호를수집하고있지않음으로인하여신청인의연령별분석은어렵다. - 40 -
(3) 거주지역별 2006년접수된 23,333건중에서신청인의거주지역구분이가능한건은총 4,674건으로 ( 그림 3-3 참조 ), 이중 서울 거주자가 1,598건 (34%), 경기도 ( 인천광역시포함 ) 거주자가 1,289(28%) 으로, 서울을포함한수도권거주자가총 2,887건 (62%) 에달하는것으로나타났다. 이는수도권거주자수가타지역에비해월등히많고, 각종경제활동 및정보통신서비스등이활발한데따른결과로해석된다. 이외에경남 북 (944 건 ), 충남 북 (339 건 ), 전남 북 (336 건 ) 등의순으로접수되었다. 한편, 해외거주자가개인정보피해구제를신청한건수는 24건 (1%) 으로나타나전년과동일한수준이며민원내용의대부분은한국인이해외에거주하면서국내인터넷을이용하던중주민번호도용등을겪음에따라상담을신청한경우가대부분인것으로분석된다. [ 그림 3-3] 신청인거주지역별분포 전남, 전북 336(7%) 충남, 충북 339(7%) 강원, 제주 144(3%) 해외및기타 24(1%) 서울 1598(34%) 경남, 경북 944(20%) 경기 1289(28%) 서울경기경남경북전남전북충남충북강원제주기타해외 - 41 -
[ 표 3-7] 신청인거주지역별접수현황 구분 접수건수 비율 (%) 서울 1,598 34 경기 ( 인천광역시포함 ) 1,289 28 경남 경북 944 20 충남 충북 339 7 전남 전북 336 7 강원 제주 144 3 해외등기타 24 1 계 4,674 100 2006년도피해구제접수건중신청인연령및지역이파악되는건수가비교적적은이유는, 한국정보보호진흥원이개인정보피해구제민원을접수받는과정에있어행정자치부권고에의거민원인주민번호를수집하지않는등개인정보수집을최소화함에따라나타난결과이다. 4. 접수방법별신청현황 2006년도개인정보상담및피해구제민원건을접수방법별로구분하여보면, 전년도에인터넷접수가가장많았던것과는달리올해는전화를통한민원접수를가장선호하였으며그다음으로인터넷, 이메일등온라인접수를많이이용한것으로나타났다 ( 표 3-8 참조 ). - 42 -
2006년도총접수된 23,333건중에서전화를통한민원접수는 13,058건 (55.96%) 이며, 인터넷및이메일등온라인을통한민원접수는 10,263건 (43.99%), FAX, 서신, 방문등의방법을통한민원접수는 12건 (0.05%) 이접수된것으로나타났다. [ 표 3-8] 접수방법별현황 ( 단위 : 건, %) 접수방법 전자인터넷우편 전화팩스우편방문계 건수 9,416 847 13,058 9 3 0 23,333 비율 40.35 3.64 55.96 0.04 0.01 0 100-43 -
제 2 절조치현황 1. 위원회개최현황 2006 년도개인정보분쟁조정위원회회의개최실적은 ( 표 3-9) 에서보는 바와같이총 12 회의전체회의를개최하여 54 건의안건을심의하였다. [ 표 3-9] 개인정보분쟁조정위원회회의실적 구분 2005 년 2006 년 위원회개최횟수 총 19 회 ( 조정부회의 14 회 / 전체회의 5 회 ) 총 12 회 ( 전체회의 12 회 ) 심의안건수 74 건 54 건 심의안건수에는보고안건, 조정안건, 의결안건을모두포함한수치임 2. 위원회조정결정현황 2006 년도접수된개인정보피해구제에대한개인정보분쟁조정위원회의조 정결정내역은다음의 ( 표 3-10) 과같다. [ 표 3-10] 위원회조정결정현황 ( 단위 : 건 ) 건수 조치내역 2005년 2006년 조정전합의 84 40 조정성립 17 11 인용결정조정불성립 6 13 조정결정기각결정 7 4 각하 1 1 합 계 115 69-44 -
개인정보분쟁조정위원회의조정결정내역을세부적으로살펴보면, 전체조정결정 69건중에서당사자의손해배상요구또는조치요구등이받아들여진 조정전합의 건을포함한 인용결정 은모두 64건 (92.8%) 이며, 당사자의청구가이유없음으로인하여 기각결정 이내려진건은 4건 (5.8%), 법령상분쟁조정당사자에해당하지않는등신청요건불비로인한 각하결정 은 1건 (1.4%) 으로나타났다. 다만, 조정전합의를포함한조정성립률이 2006년도에 74% 대로서전년 (87%) 대비저조한이유는신청인과피신청인사이의손해배상범위에대한이해관계가크게상이한것이주요원인으로분석된다. 특히, 신청인의경우사업자의개인정보침해로인해입은피해에비해과도한손해배상을요구하는경우가점차많아지고있으며, 피신청인은과도한손해배상을요구하는신청인의요구를수용하기어려워합의가되지않는경우가많은것으로분석된다. 3. 조치내역별현황 전체접수된 23,333건중에서 2006년말현재처리가완료된건은총 23,249건이다. 이중상담및고충처리를통해종결된건은모두 22,519 건이며, 분쟁조정을통해피해구제를받거나종결된건총 69건, 시정권고및고충해결을통해종결된건이 351건, 수사의뢰등위법사실통보와타기관이첩건이총 51건이다. 즉전체신청건수의 98.5% 에달하는 22,990건이신고센터및위원회의피해구제 상담절차를통해도움을얻은것으로분석되었다. 한편전체신청건수중민원인스스로민원신청을철회한건은 87 건, 조사결과피신청인의법위반사항이없는경우는 59 건, 민원당사자의소 재불명이나조사비협조등으로사실확인이불가능한건은 113 건으로집 - 45 -
계되었다. 2006년도접수된개인정보상담및고충처리요청에대한개인정보침해신고센터의조치내역은다음의 ( 표 3-11) 와같으며, 개인정보분쟁조정위원회와개인정보침해신고센터의조치내역을종합한것은 ( 표 3-12) 과같다. [ 표 3-11] 개인정보침해신고센터조치내역별현황 ( 단위 : 건 ) 조치내역 건수 2005 년 2006 년 상담및정보제공 17,106 22,519 고충처리 위법사실통보 고충해결 489 284 위법사실시정 51 67 정보통신부 12 7 경찰 3 43 타기관이첩 1 1 신청철회 141 87 법위반사항없음 90 59 사실확인불가능 198 113 사실확인중 - 84 합 계 18,091 23,264-46 -
[ 표 3-12] 전체조치내역별현황 ( 단위 : 건 ) 조치내역 건수 2005 2006 조정전합의 84 40 고충처리 1) 고충처리 489 284 위법사실시정 51 67 조정결정 2) 조정성립 17 11 인용결정조정불성립 6 13 기각결정 7 4 각하결정 1 1 위법사실통보 정보통신부 12 7 경찰 3 43 타기관이첩 1 1 신청철회 3) 141 87 법위반사항없음 4) 90 59 사실확인불가능 5) 198 113 상담및정보제공 6) 17,106 22,519 사실확인중 7) - 84 합 계 18,206 23,333 1) 위원회의합의권고, 신고센터의고충해결및시정권고등에의해고충처리가완료된경우 2) 위원회의분쟁조정결정을통하여피해가구제된경우 3) 민원인스스로민원철회의사를밝힌경우 4) 사실조사결과피신청인의법률위반사항이없는것으로확인된경우 5) 당사자소재불명, 사실조사비협조등으로인하여사실조사가불가능한경우 6) 관련법률안내, 자율적피해구제방법에대한정보제공등 7) 2006년 12월 31일현재사실확인이진행중인건 - 47 -
4. 침해유형별세부조치내역 개인정보피해구제및상담신청건에대한조치내역을침해유형별로세 분화한결과는다음의 ( 표 3-13) 와같다. 침해유형 [ 표 3-13] 침해유형별조치내역현황 조치내역고충조정처리결정 위법통보 이첩 법신청위반철회없음 사실확인불가 ( 단위 : 건, %) 상담조치 이용자동의없는개인정보수집 34 5 39 14 13 26 2,414 20 2,565 개인정보수집시고지 명시의무불이행 3 2 3 19 27 과도한개인정보수집 1 60 61 처리중 계 고지 명시범위를초과한목적외이용 제 3 자제공 34 7 2 15 14 4 825 16 917 개인정보취급자에의한훼손 침해 누설 10 1 1 7 181 6 206 개인정보처리위탁시고지의무불이행 5 5 영업의양수등의통지의무불이행 1 1 8 1 11 개인정보관리책임자미지정 2 1 2 18 23 개인정보보호기술적 관리적조치미비 41 4 1 5 6 2 569 4 632 수집 제공목적달성후개인정보미파기 47 2 2 1 1 4 204 5 266 동의철회 열람 정정요구등불응 125 2 1 3 14 59 713 6 923 동의철회등을수집방법보다쉽게할조치미이행 42 1 4 3 8 422 4 484 법정대리인의동의없는아동개인정보수집 1 1 20 1 23 타인정보의훼손 침해 도용 35 4 2 3 20 5 10,755 11 10,835 정보통신망법적용대상이외의개인정보침해 16 2 1 9 9 2 6,306 10 6,355 합계 391 29 50 1 59 87 113 22,519 84 23,333-48 -
가장많이접수된 타인정보의훼손 침해 도용 사례의경우, 전체 10,835건중에서 2006년 12월말현재처리가완료된건은 10,824건이다. 이중에서고충처리및조정결정을통하여처리된건은 39건에그치는반면, 상담및정보제공을통하여처리완료된건은 10,755건 (99.3%) 에달하고있다. 주민번호등타인정보도용사례의경우고충처리비율이낮은것은그특성상가해자를찾기어렵고, 사실확인을위한증거수집도곤란한점이많아피해구제가쉽지않은데서그원인을찾을수있다. 그다음으로 이용자동의없는개인정보수집 사례는전체 2,565건중에서 2,545건이처리완료되었으며, 그중고충처리및조정결정 39건 (1.5%), 위법성통보 39건 (1.5%), 상담및정보제공 2,416건 (94.2%) 으로나타났다. 이용자동의없는개인정보목적외이용 제3 자제공 사례는전체 917건중처리완료된건은 901건이며, 이중상담및정보제공이 825건 (90%) 인반면고충처리및조정결정이 41건으로전체완료건의 4.5% 에달하고있어타유형에비해비교적높은고충처리와조정결정율을보여주고있다. 이는앞서분석한바와개인정보를이용한부가서비스무단가입사례, 개인정보의유출사례등이주를이루고있어실제경제적 정신적피해가발생한건이많고, 주로통신사등대규모사업자에서많이발생하고있어사실조사를위한증거수집도비교적용이한데그원인이있는것으로보인다. - 49 -
제 4 장주요피해구제사례분석 제 1 절조정결정사례 Ⅰ. 이용자의개인정보수집시고지또는명시의무를불이행한사례 < 사례 1> 제휴업체에개인정보제공시개인정보보호정책상의고지의무불이행에 관한건 사실관계신청인은피신청인이주민번호, 이름, 주소, 전화번호, 계좌번호등의개인정보가포함된손해배상요구서를신청인의동의없이피신청인의부가서비스제공업체에제공함으로써피신청인의개인정보보호정책에규정된제휴업체에개인정보제공시의고지및동의절차를준수하지않아피해가발생하였다고주장하며분쟁을요청함 조정결과 제휴업체 를명시하지않은피신청인의 고객정보활용동의 는 제휴업체 에대한개인정보제공에대한동의에해당된다볼수없으므로 제휴업체 를구체적으로고지하여동의를얻어야하며, 신청인의동의없는개인정보제공으로인하여신청인에게입힌정신적인피해가상당하다고판단하여신청인이입은정신적피해에대한보상으로 1,000,000원을지급하도록결정 1. 사건개요 신청인 A 씨 ( 남 ) 는피신청인 ( 주 )B 사의휴대전화서비스이용자로서, 피신 - 50 -
청인이부가서비스로제공하는증권조회서비스 ( 피신청인의부가서비스업체인 ( 주 )C사가제공함 ) 를함께이용하고있었다. 신청인은피신청인의서비스가입시가입신청서상의개인정보이용및제공에대한 고객정보활용동의 에서명하였음 2005.6 월부터부가서비스이용요금이부당하다고판단하여피신청인에 게요금환불및피해보상및사과를요구하는과정에서피신청인은신청 인이 2005.9.16 일에발송한손해배상요구서를 ( 주 )C 사에제공하였다. 이에대해신청인은피신청인이주민번호, 이름, 주소, 전화번호, 계좌번호등의개인정보가포함된손해배상요구서를신청인의동의없이 ( 주 )C사에제공함으로써피신청인의개인정보보호정책에규정된제휴업체에개인정보제공시의고지및동의절차를준수하지않았다고주장하였다. 주요쟁점 - 개인정보를제3 자에게제공시개인정보보호정책에제공받는자를 제휴관계 또는 위탁처리 등과같이포괄적으로명시하는것이정보보호법제 22조제 2항의고지의무를위반하였는지여부 - 일반적인제휴업무목적이외에 민원해결 을위해제휴업체에개인정보를제공시피신청인개인정보보호정책의고지및동의절차를준수하여야하는지여부 2. 당사자주장 가. 신청인 피신청인의가입신청서의 고객정보활용동의 는제공하는개인정보의 종류및제공받는자에대해서지나치게포괄적으로기재되어있어본사 건같이제휴업체에개인정보를제공하는경우에대한동의에해당된다고 - 51 -
볼수없으므로피신청인의개인정보보호정책상의개인정보의제휴업체 제공시고지및동의절차를준수하여야한다고주장하였다. 신청인은설사가입신청서의 고객정보활용동의 의범위에제휴업체에대한개인정보제공에대한동의가해당된다할지라도피신청인의개인정보보호정책제4 조제1 항의개인정보의수집및이용목적의범위를넘어계좌번호, 손해배상요구서등과도하게개인정보를제공하여정신적피해를끼쳤다고주장하였다. ( 주 )C 사의직원 ( 이하 직원 이라함 ) 은민원해결을위해신청인을방문 하였고, 신청인은직원과의대화내용을녹취하여피신청인에게보낸바 있다. 이에대해피신청인은본인의동의없이대화를녹취한것이불법이므 로신청인에게법적대응을하겠다고위협함으로써신청인의업무수행에 지장을초래하였다고주장하였다. 나. 피신청인 신청인은 2005년 6월에피신청인의부가서비스의이용요금이부당하다는민원을제기하였고, 피신청인은신청인이보내온손해배상요구서를부가서비스제공제휴업체인 ( 주 )C사에제공하였는바, 이는민원해결을위한피신청인의조치로써이에대해서는이미가입신청서상의 고객정보활용동의 에의해개인정보의제공에대한동의를획득하였으므로신청인의주장이타당하지않다고주장하였다. 피신청인의개인정보보호정책상의제휴업체관련고지절차는일반적인 제휴업무를위한것이므로, 본사건과같이민원해결을위해제휴업체에 개인정보를제공하는경우에는별도로개인정보보호정책상의고지및동 - 52 -
의절차를이행할필요가없다고주장하였다. 3. 사실조사 가. 피신청인의개인정보수집및이용에대한동의절차 피신청인의서비스에가입하기위해서는성명, 주민번호, 주소, 연락처 등의개인정보및서비스세부내용을기입하고, 가입신청서에아래와 같이기명날인또는서명하였다. 나. 피신청인의개인정보보호정책상의 제휴관계 피신청인의개인정보보호정책상의제휴관계란피신청인의멤버십서비스를제공하는멤버쉽제휴업체와피신청인의유 무선인터넷에서부가서비스컨텐츠의제공을제휴한이른바 CP(Contents Provider) 업체등을말한다. 피신청인의홈페이지에는멤버쉽업체의목록은게시되어있으나, CP 업체 의목록은게시하지않았다. 4. 사무국의견 가. 개인정보를제 3 자에게제공시개인정보보호정책에제공받는자 를 제휴관계 또는 위탁처리 등과같이포괄적으로명시하는 것이정보보호법제 22 조제 2 항의고지의무를위반하였는지여부 정보보호법제 22 조제 2 항은개인정보수집에대한동의를얻고자하는 경우 개인정보를제 3 자에게제공하는경우의제공받는자, 제공목적및 제공할정보의내용 에대해이용자에게고지하거나정보통신서비스이 - 53 -
용약관에명시하여야한다고규정하고있다. 또한, 개인정보보호지침제6 조제3 호 ( 정보통신부장관고시 ) 도 개인정보를제3 자에게제공하는경우의제공받는자의명칭, 주된사업, 연락처, 제공목적및제공할정보의내용 을서면또는인터넷홈페이지등을통하여이용자가내용을쉽게이용할수있도록고지하거나서비스이용약관에명시하여야한다고규정하고있다. 본건에서피신청인의가입신청서상의 고객정보활용동의 는개인정보 가제 3 자제공시제공되는개인정보의범위, 제공목적, 제공받는자에대 해규정하고있으나, 그내용이포괄적으로규정되어있다. 피신청인의개인정보보호정책제 6 조제 1 항에는개인정보의제 3 자에 대한제공에관한내용을규정하고있으며 제휴관계 와 위탁처리 부 분으로나누어규정하고있다. 그리고제휴사및위탁처리업체에개인정보를제공하는경우에는이용 자에게사전에제휴사등을고지하고동의를얻는다고규정하고있다. 본건에서피신청인은가입신청서의 고객정보활용동의 를통해신청 인의동의를얻었다고주장하지만, 이활용동의서에는개인정보를제공받 는자를포괄적으로열거하고있다. 다만, 활용동의서마지막부분에 개인정보보호방침에따른다 고규정 하고있어이를살펴보아도개인정보를제공받는제휴사에대한구체적인 고지는없었다. 판단컨대정보보호법이정보통신서비스제공자가개인정보수집시에이 용자에게해당정보를제공받는제 3 자를명시하여고지하도록규정하고 - 54 -
있는것은이용자로하여금누구에게자신의정보가제공되는지를명확히 인지하도록하여이용자의개인정보가제 3 자에게무분별하게제공되는것 을방지하기위한것이그입법취지로판단된다. 결국, 개인정보를제공받는자를 제휴사 등과같은포괄적고지보다는개별적으로고지하여야하며, 포괄적으로고지하는경우에도 가입신청서의첨부 또는 홈페이지에게시된제휴사목록 참조등이용자가용이하게제공받는제3 자를확인할수있도록조치를취하여야만적법한고지및동의획득절차라고볼수있다. 따라서개인정보를제3자에게제공시 고객정보활용동의 및 개인정보보호정책 에제공받는자를 제휴관계 또는 위탁처리 등과같이포괄적으로명시하고, 그구체적사항을확인할수있는아무런것도고지하지않는행위는정보보호법제22조제2 항의고지의무를위반한것이라판단된다. 나. 일반적인제휴업무목적이외에 민원해결 을위해제휴업체에 개인정보를제공시피신청인개인정보보호정책상의고지및동 의절차를준수하여야하는지여부 개인정보보호정책은정보통신서비스제공자가자율적으로이용자의개 인정보를보호하기위하여수립한기본지침및계획이므로개인정보와 관련되어이용자와분쟁발생시판단의기준이된다. 개인정보보호정책규정에제휴업체에게이용자의개인정보를제공하 거나공유하는경우별도의고지및동의방법이규정되어있다면이를 준수하여야한다. 신청인은이와같은맥락에서피신청인이자신의개인정보를제휴사에 - 55 -
제공하는경우에는피신청인의 개인정보보호정책 에따라신청인에게 고지하고동의를획득했어야함에도피신청인은이러한절차를준수하지 않았다고주장하였다. 이에대해서피신청인은순수히 고객의민원해결 목적을위해제휴업체에이용자의개인정보를제공하는것은 일반적인제휴업무수행 과관련된개인정보보호정책 ( 제6 조제1항 ) 과는별개의사건이므로개인정보보호정책규정의고지및동의절차를준수할필요가없다고주장하였다. 피신청인은또한가입신청서의 고객정보활용동의 를통해신청인으로부터동의를받았는바, 고객정보활용동의에는 고객관리 를위해고객정보를활용할수있음을명시하고있고여기에는본건과같은 민원해결 목적도포함되기때문에아무런위반사항이없다고주장하였다. 피신청인의주장을살펴보면, 고객정보활용동의 를통해신청인으로부터제휴사에고객정보를제공하는것에대한동의를얻었다고하지만, 고객정보활용동의 안에는 지점, 대리점등에게제공합니다 라는문구는있지만여기에 제휴업체 에대해서는아무런언급은없다. 또한피신청인의개인정보보호정책에도제휴사목록은확인할수없 었다. 한편, 피신청인은본건에서고객정보활용동의에의해 고객관리 의일환으로서 고객민원의원만한해결 을위해개인정보를제공한것이므로, 이는일반제휴업무와관련한개인정보보호정책의고지및동의획득절차준수문제와는별개의것이라주장하고있지만, 원래 고객관리 를위해개인정보를제3 자에게제공하는것의구체적목적은통상적으로제품안내및거래내역확인등사항을원만하게해결하기위한전화번호, 주소등고객의신상정보확보라고볼수있다. - 56 -
따라서본사건의 고객민원해결 문제 ( 부가서비스를제공하는제휴업체 의부당요금부과및과금체계에대한이의제기 ) 가통상적인 고객관리 의범위에포함된다고보기는곤란하다. 또한본건에서고려하여야할점은피신청인이제휴업체에게제공한신청인의개인정보가단순한신상정보이외에도계좌번호, 손해배상요구서등으로서이는수집및제공목적을벗어난과도한개인정보제공이라판단된다. 위정황들을종합하여보면, 피신청인이고객과의민원해결을위해신청인의개인정보를제휴업체에제공하기위해서는포괄적 고객정보활용동의 와는별개로개인정보제3 자제공에대한개별적동의를얻어야한다고판단된다. 결과적으로, 본건에서문제된 민원해결목적 이 일반제휴업무목적 과별개라고할지라도, 개인정보를제휴사에제공할경우고객에게그내용을미리개별적으로고지하고동의를얻도록규정한 개인정보보호정책 규정을준수하여야할것이다. 다. 신청인이입은피해및배상금액판단 본건에서피신청인의행위로인하여신청인이입은경제적피해는없 다고판단된다. 그러나피신청인이신청인의계좌번호등의민감한개인정보를신청인의동의없이부가서비스제공업체에제공한바, 이로인하여신청인은자신의민감한개인정보가분쟁관련자들에게제공되어상황이더욱심각해진다는불안감으로인하여정신적스트레스를입었음이인정된다. 또한부가서비스업체직원이대화녹취와관련하여명예훼손과불법도 - 57 -
청을이유로법적대응을하겠다고위협한바, 이로인하여심리적인부 담감이증가함으로써신청인의업무수행에지장을초래하였음을인정 한다. 본건에서사실확인결과등여러정황을종합적으로고려하여볼때, 피신청인은신청인이입은정신적피해에대한배상금으로금 1,000,000 원을지급함이타당하다고판단된다. 5. 위원회결정 피신청인은신청인에게금 1,000,000 원을조정이성립된날로부터 7 일 이내에지급한다. - 58 -
Ⅱ. 이용자의개인정보를동의없이목적외로이용한사례 < 사례 1> 유선전화사업자의부가서비스무단가입건 사실관계신청인은피신청인이제공하는유선전화서비스2 대를이용하는고객이었으나, 자신이알지못하는부가서비스총 5건이가입되어일반요금보다많은요금이계속적으로인출되어온것에대한정신적피해에대한배상으로금 100만원과부가서비스가입절차의개선을요구하는분쟁조정을신청 조정결과피신청인은기존의유선전화계약에부가서비스를무단가입시켜신청인의개인정보를목적외로이용함에따라신청인에게정신적피해를입힌점이인정되므로이로인해신청인이입은정신적피해에대한보상으로금 1,000,000원을지급할것을결정하였으며, 또한, 이와같은피신청인의행위로분쟁조정신청이빈발함에따라텔레마케팅을통한부가서비스신청접수후서면 ( 전자우편을포함 ) 등가입동의서를통한명시적인동의절차를마련할것을권고 1. 사건개요 신청인은피신청인 ( 주 )A가제공하는유선전화서비스2 대를이용하는고객이었으나, 자신이알지못하는 3가지부가서비스총 5건이가입되어일반요금보다많은요금이계속적으로인출되어왔다는사실을발견하게되었다. 이에신청인은피신청인 ( 주 )A 가자신의동의없이개인정보를이용하여 - 59 -
위 3 가지부가서비스에무단으로가입시켰다고주장하면서정신적피해에 대한배상으로금 100 만원과부가서비스가입절차의개선을요구하는분쟁 조정을신청하였다. 주요쟁점 - 신청인의동의없이부가서비스를가입시킨피신청인의행위가이용자의동의없는개인정보의목적외이용을금지한 정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보보호법 이라함 ) 제24조제1항에위반하는지여부 2. 당사자주장 가. 신청인 신청인은피신청인이 5년동안 3가지종류, 5건의부가서비스를무단으로가입시켰고어떠한동의도한적이없다고주장하며, 이에대한정신적피해의배상을요구하는분쟁조정을신청한다고주장하였다. 특히신청인은자동이체방식으로서비스이용요금납부를하였으므로부가서비스가입사실을쉽게인지하지못하였으며, 피신청인이부가서비스가입에있어가입동의서를받거나최소한의가입확인절차도없이이루어지는텔레마케팅영업에극소수의항의고객에게환급만해주면그만이라는식의관행은개선되어야한다고주장하였다. 나. 피신청인 피신청인은신청인명의로가입된 2대의유선전화에 맞춤형정액요금제, 통화중대기 부가서비스가가입된것은텔레마케팅을통해신청인의동의를얻었으나가입시점이 3년이지나서보관된자료가없으며, LM 더블프리 부가서비스는자사의영업위탁점인 YN텔레콤에서텔레마케팅을 - 60 -
통해신청인의처제인신모씨의동의를얻어가입처리하였다고주장하였다. 또한피신청인은신청인의요구를적극적으로수용하여기납부한부가서비스요금 172,690원전액을환급하였음에도불구하고과도한손해배상요구나해당부서및직원의문책요구는수용불가하며, 더욱이신청인이위부가서비스신청서가존재하지않는다고하여모든부가서비스가입처리자체를무단가입이라고매도하는것은과도한주장이라고하였다. 그러나피신청인은최근일부불법적인텔레마케팅영업의피해방지를위해사외유통망별도관리부서를운영중이며추후부가서비스가입시해피콜, SMS 문자메세지통보, ARS 통보등을통해사후가입사실을확인시켜주는방법으로개편예정이라고하였다. 3. 사실조사 가. 신청인이 5 건의부가서비스에가입된경위 신청인은자택과가게에피신청인의유선전화서비스 2 대 (061-XXX-XXXX, 061-YYY-YYYY) 를사용하고있으며자동이체를통해 요금을납부하고있었다. 신청인의아들인대리인이모씨는 2005. 9월우편으로발송된요금청구서내역을살펴보던중 OO 더블프리 부가서비스에 2대모두가입된사실을확인하고, 피신청인에게문의한결과 2005. 7월이모에게홍보하고서비스에가입시켰다는답변을듣게되었다. 또한, 2001. 2 월피신청인고객센터상담원이신청인과전화상담을통 해 061-XXX-XXXX 번으로 통화중대기 신청을받았고, 2002. 10 월피신 청인광양지점직원이텔레마케팅을통해 맞춤형정액제 에 2 대모두 - 61 -
가입시켰다는답변을듣게되었다. 이에대리인이모씨는아버지인신청인에게확인결과그런사실이없음 을확인하였다. 나. 피신청인의사후조치 피신청인은매월전화요금청구서를통해서고객들에게부가서비스가입사실을고지하고있으나, 과거 2003년이전부가서비스모집이별도의신청서없이주로텔레마케팅에의해이루진점을고려하여고객의항의시대부분환급처리하고있다고하였으며, 이번사건의신청인의경우도총5건의부가서비스기납부금 172,690원을환급처리하였다. 특히, 맞춤형정액제 요금제의경우는본사차원에서 2002. 12. 9 일 맞춤형정액요금제모집종료후가입고객전체에게요금제변경에대한 별도의안내문을발송하였고각지역별로안내전화 ( 해피콜 ) 를하였다. 신청인은피신청인의광양지점고객서비스팀장의방문을통한사과를 거절하고본사와전남본부에지속적으로민원을제기하였으나, 피신청인 과합의가이루어지지않았다. 4. 위원회판단 가. 신청인의동의없이부가서비스를가입시킨피신청인의행위가 이용자의동의없는개인정보의목적외이용을금지한정보보호 법제 24 조제 1 항에위반하는지여부 정보보호법제 24 조제 1 항에따르면, 정보통신서비스제공자는사전에 고지또는이용약관에명시한범위를넘어서이용자의개인정보를이용 - 62 -
하는것을금지하고있다. 피신청인의이용약관 ( 전기통신서비스이용기본약관 ) 제16조제1 항에의하면, 피신청인은서비스제공과관련하여획득한이용자의정보를이용자의동의없이타인에게누설하거나다른목적으로이용할수없도록규정하고있다. 피신청인전기통신서비스이용기본약관제 16 조제 1 항 제16조 ( 계약당사자의의무 ) 1자사의의무는다음과같습니다. 1. ~ 3 ( 생략 ) 4. 전기통신관련법령및기타법령에서정한경우를제외하고는서비스제공과관련하여획득한이용자의정보를이용자의동의없이타인에게누설하거나다른목적으로이용하지않습니다. 피신청인이신청인의유선전화가입자정보를계약체결시수집목적외로이용하기위해서는반드시신청인본인의동의가있어야한다. 텔레마케팅에의한부가서비스가입과같이이용자의명시적의사표시가필요한중요한사항에있어서의동의라함은서면또는기타명시적인방법을통한동의를의미하는것으로해석하여야할것이다. 최초계약체결이후에추가적인부가서비스가입은계약내용의변경에해당하며, 원칙적으로가입자의동의가필요하고동의없이가입되었다면개인정보의목적외이용으로보아야할것이다. 본건의경우, 피신청인은 맞춤형정액요금제 통화중대기 부가서비스의신청인동의가있었는지여부에대하여, 피신청인은가입시점이 3 년이지난상황이라서녹취자료등을통해입증하기어렵다고하나, 신청인은자동이체로요금을납부하고있었으며부가서비스가입건도 4건이나 - 63 -
되기때문에새로운계약조건의체결을입증한다는면에서본인의동의 를얻었음을입증할수있는자료를제시해야할것이다. 더구나, OO 더블프리 부가서비스에대해서는본인확인을하지않았 을뿐만아니라본인이아님을알면서신청인의처제와통화하여가입신 청을받았음으로신청인의동의없이무단가입시켰음이인정된다. 피신청인이제출한 OO 더블프리 부가서비스녹취자료에도영업점상담원은전화통화상대방이명의자인신청인이아님을알면서도가입유치를하였으며, 빠른속도의음성으로서비스가입을유도하여이용자가서비스의장 단점을판단할여유를주지못하다고판단된다. 따라서텔레마케팅을통한부가서비스가입의경우에는사후가입동의서등서면또는기타명시적인동의를얻는절차를구비하여야할것이다. 텔레마케팅은전화상으로가입신청이된다는편리성이장점이나, 짧은시간내에상품홍보와계약성립이이루어짐에따라소비자의충동구매를부추기거나상품의장점만을부각하면서소비자권리미고지, 노인등의사판단이신속하지못한분들에게가입을독촉한다는단점이발생함 위정황들을살펴보면, 피신청인은신청인의동의없이텔레마케팅에의해간단하고형식적인절차만으로 LM 더블프리 등 5건의부가서비스에무단가입시켰다고판단되며, 이는개인정보의목적외이용을금지하고있는정보보호법제24조제1항에위반으로판단된다. 나. 신청인이입은손해및배상금액의적정성판단 본사건으로신청인이입은경제적피해는피신청인이부가서비스를 무단으로가입함으로발생한요금이며, 이에대하여는피신청인이이전 - 64 -
가입된부가서비스요금을포함하여 172,696 원전액을이미환급하였다. 따라서신청인에게경제적피해는없으나, 피신청인의행위로인하여신청인은자신의개인정보가무단으로이용되고있는사실및자신도모르게부가서비스요금이무단인출되었다는사실에당혹감을느끼는등정신적피해를입은점이인정된다. 특히, 본건에서처럼 66세노인을대상으로텔레마케팅을하는경우에는이용자가보다용이하게이해할수있는방법으로고지하고동의를얻어야했음에도불구하고가입을독촉한점은피신청인의책임이더욱크다고인정된다. 이와같은정황을종합적으로고려하여볼때, 신청인이입은정신적 피해에대한보상액으로금 1,000,000 원을산정함이타당하다. 다. 현행텔레마케팅을통한부가서비스가입방식의개선방안권고 ( 안 ) 우리위원회는통신사의부가서비스무단가입건으로 2002. 5 월제 5 차 위원회부터수차례조정결정을내린바있으나, 아직까지사업자의불법 적인텔레마케팅을통한부가서비스무단가입사건은계속발생하고있다. 따라서피신청인은현행텔레마케팅을통한부가서비스가입방식을이용자가쉽게이해할수있는가입절차를도입하여, 가입자에게부가서비스를추가로가입함에대한명시적동의를얻도록개선할것을권고한다. 동의방법의예시 - 텔레마케팅을통한부가서비스신청접수후서면 ( 전자우편을포함 ) 을통한동의서작성 - 서면에는부가서비스명과내용, 동의철회기간과방법, 이용요금등을명시 - 65 -
5. 위원회결정 피신청인은기존의유선전화계약에 맞춤형정액요금제 통화중대기 OO 더블프리 부가서비스를무단가입시켜신청인의개인정보를목적외로이용함에따라신청인에게정신적피해를입힌점이인정되므로이로인해신청인이입은정신적피해에대한보상으로금 1,000,000 원을지급한다. 또한, 이와같은피신청인의행위로분쟁조정신청이빈발함에따라 텔레마케팅을통한부가서비스신청접수후서면 ( 전자우편을포함 ) 등 가입동의서를통한명시적인동의절차를마련할것을권고한다. - 66 -
< 사례 2> 초고속인터넷사업자의웹사이트임의가입에대한손해배상 요구건 사실관계신청인 W, X, Y, Z는피신청인 A사의초고속인터넷서비스를이용하면서피신청인의웹사이트에도회원가입을시도하던중알지못하는아이디와비밀번호로이미가입되었음을알게되었고, 피신청인의영업점에서자신의동의없이개인정보를이용하여웹사이트에무단으로가입시켰다고주장하면서정신적피해에대한배상으로금 1,000,000원을요구하는분쟁조정을신청 조정결과사실조사결과, 피신청인이자사초고속인터넷서비스이용자를자사웹사이트의회원으로자동가입시킨점은인정되나, 이는부가서비스제공을위한것으로초고속인터넷서비스의목적범위내로판단되므로신청인의손해배상청구를기각함다만, 피신청인이서비스설치시에아이디및비밀번호미기재고객에대해임의로이를생성하여피신청인의웹사이트에자동가입시키는관행의개선을권고함 1. 사건개요 신청인 W, X, Y, Z는피신청인 A사의초고속인터넷서비스를신청하여이용하면서피신청인의포털웹사이트인 www..com 에회원가입을시도중알지못하는아이디와비밀번호로이미가입되었음을알게되었으며, 피신청인의고객센터로문의한결과본인의동의없이영업점에서임의로가입시킨사실을확인한후, A사가자신의동의없이개인정보를이용하여웹사이트에무단으로가입시켰다고주장하면서정신적피해에대한배 - 67 -
상으로금 10 만원을요구하였다. 주요쟁점 - 신청인의동의없이초고속인터넷가입정보를이용하여아이디및비밀번호를임의생성하고자사의포털웹사이트회원에임의로가입시킨피신청인의행위가이용자의동의없는개인정보의목적외이용을금지한정보보호법제 24조제1 항에위반하는지여부 - 피신청인의아이디및비밀번호임의생성행위가이용약관을위반하는지여부 2. 당사자주장 가. 신청인 신청인들은피신청인이약관이나가입신청서를통해초고속인터넷서비스가입과동시에웹사이트에임의로가입된다는점에대하여고지받거나동의한적이없으며, 초고속인터넷서비스와웹사이트가입은별개임에도불구하고자신의동의없이피신청인이임의로가입시키고, 이에대해아이디와비밀번호를정정하면그만이라는식의태도는개선되어야한다고주장하였다. 나. 피신청인 피신청인은초고속인터넷서비스가입신청후서비스개통및이용을위해서는반드시고객아이디가필요하고고객의신청을통해아이디와비밀번호가생성되며동일한아이디로웹사이트에자동가입되는것이며, 가입신청서에초고속인터넷서비스가입자에게더많은혜택을제공하기위한정책으로자동가입에대한내용이고지되어있다고주장하였다. - 68 -
3. 사실조사 가. 신청인이피신청인의웹사이트에가입된경위 1) 제1 신청인신청인 W는 광역시 동지점에서 1년약정으로인터넷을설치받고얼마후서울로이사하여해당서비스의이전설치를요청하기위해웹사이트 (www..com) 의사이버고객센터에회원가입을하려던중이미가입된회원이라는메시지를확인하고고객센터에문의결과영업점에서임의의아이디와비밀번호로가입시킨사실을확인하게되었다. 2) 제2 신청인신청인 X는 2005. 9월웹사이트 (www..com) 에회원가입시도중 2002. 9월에이미회원가입이되었음을알게되었고, 아이디와비밀번호를기억할수없어고객센터로문의한결과가입당시설치기사가임의로가입시켰다는답변을듣게되었다. 3) 제3 신청인신청인 Y도웹사이트 (www..com) 에회원가입중이미가입되었음을확인하고고객센터에문의결과영업점에서임의로가입시켰다는답변을듣게되었다. 4) 제4 신청인신청인 Z도영업점에서웹사이트 (www..com) 에임의로가입시킨사실을알게되었고, 설치당시설치기사가이에대한설명을안해준것같다는답변을듣게되었다. - 69 -
나. 웹사이트자동가입과관련된피신청인의회원관리정책 피신청인은고객이초고속인터넷서비스가입신청시에가입신청서에기재한아이디와비밀번호를이용하여고객이인터넷웹사이트에서가입할필요없이자동으로가입시키고있으며, 고객들에게대용량메일계정, 영화 만화 음악다운로드등의무료서비스와게임머니, 아이템구매등의유료서비스로제공하고있었다. 초고속인터넷설치시가입신청서에아이디와비밀번호기재란이있으며신청서에기재된아이디와비밀번호로자동가입된다는문구는있으나, 피신청인의초고속인터넷서비스이용약관이나웹사이트이용약관에는자동가입또는가입자가아이디와비밀번호를기재하지않을경우에임의부여한다는내용은없었다. 다. 타사초고속인터넷서비스의웹사이트자동가입및임의아이디발급관련회원관리현황 본건과관련하여사무국조사결과, 초고속인터넷서비스사업자인피신청인 A사와 B사, C사모두초고속인터넷서비스가입시신청서에기재한아이디로웹사이트상에자동으로동일한아이디로가입시키고있으나이용약관에는이러한내용이없는것으로확인되었으며, 가입신청서에고객이아이디와비밀번호를기재하지않을경우에는고객에게연락하여아이디와비밀번호를받고있으나, 일부영업점에서임의로부여하여가입시키는경우가있었다. 또한, 서비스 3 사모두아이디는이용고객이선정도록규정하고있을 뿐임의로아이디및비밀번호를부여하여가입할수있는약관규정은 없었다. - 70 -
타사와의웹사이트임의가입현황비교 구분 A사 B사 C사 웹사이트명칭 하 메 신 웹사이트자동가입여부 O O O 약관상자동가입근거조항존재여부 X X X 가입신청서아이디미기재시임의가입여부 O O O 약관상임의가입근거조항존재여부 X X X 4. 위원회판단 가. 신청인의동의없이초고속인터넷가입정보를이용하여아이디및비밀번호를임의생성하고자사의웹사이트회원에임의로가입시킨피신청인의행위가이용자의동의없는개인정보의목적외이용을금지한정보보호법제24조제1 항에위반하는지여부 정보보호법제 24 조제 1 항에따르면, 정보통신서비스제공자는이용자의 동의가있거나사전에고지또는이용약관에명시한범위를넘어서이용 자의개인정보를이용하는것을금지하고있다. 그러나, 본건에서피신청인은신청인에게고지또는동의없이아이디와비밀번호를임의생성하여웹사이트에자동가입시킨것이나, 이것을수집시고지또는명시한범위를넘어본래서비스목적과상이한개인정보의이용으로판단하기에는무리가있다. 본건에서피신청인가입신청서의개인정보의제공및활용동의서에 는신청서에기재한아이디와비밀번호를이용하여웹사이트에자동가 입된다고고지하여동의를받고있다. - 71 -
가입신청서상에신청인의아이디및비밀번호미기재의경우웹사이트자동가입을위해아이디및비밀번호를임의로생성하는것은초고속인터넷서비스이용에있어필수적인사항으로보기는어려우나, 피신청인이실제필수사항으로받고있고, 광고및웹사이트상의고지한부가적인서비스 ( 대용량이메일, 콘덴츠다운로드, 웹하드 ) 제공을위한것으로초고속인터넷서비스의목적범위내라고판단된다. 따라서피신청인이신청인의동의없이초고속인터넷가입정보를이용하여아이디및비밀번호를임의생성하고자사의포털웹사이트회원에임의로가입시킨것을이용자의동의없는개인정보의목적외이용을금지한정보보호법제24조제1항위반으로판단하기어렵다. 나. 피신청인의아이디및비밀번호임의생성행위가이용약관을 위반하는지여부 피신청인의이용약관 ( 전기통신서비스이용기본약관 ) 제2 조제4 호에의하면, 고객의아이디를이용고객의식별과이용고객의서비스이용을위하여이용고객이선정하고회사가부여하는문자와숫자등의조합으로규정하고있다. 본건의경우, 피신청인은고객이선정하지도않은아이디와비밀번호로 이용하여고객의동의없이웹사이트에가입시킨사실이인정된다. 피신청인은가입신청서상에아이디및비밀번호기재란을두고있지만, 이에대해서피신청인의설명이없으면신청인이확인하기곤란하다는점, 피신청인이임의로부여하였다면그사실을신청인에게통보했어야한다는점등을고려할때피신청인은 아이디를고객이선정한다 는이용약관을위반하였으며달리피신청인이급박하게임의로부여하여야할예외적인경우로판단하기곤란하다. - 72 -
따라서, 피신청인은아이디및비밀번호를임의생성한후웹사이트에 가입시킨것은아이디를고객이선정한다는이용약관제 2 조제 4 호를위반하 였다고판단된다. 피신청인전기통신서비스이용기본약관 제 2 조 용어의정의 이약관에서사용하는용의의정의는다음과같습니다. 1. ~ 3 ( 생략 ) 4. 고객ID : 이용고객의식별과이용고객의서비스이용을위하여이용고객이선정하고회사가부여하는문자와숫자등의조합 제 11 조 고객 ID관리 1 고객ID 및비밀번호의관리및이용에대한책임은고객에게있으며, 고객은고객 ID를타인과공유, 양도또는임의로변경할수없습니다. 2 고객ID가다음중하나에해당하는경우, 회사는고객과협의하여이를변경할수있습니다. 1. 고객ID가고객의전화번호또는주민등록번호등으로되어있어사생활침해가우려되는경우 2. 타인에게혐오감을주거나미풍양속에어긋나는경우 3. 기타회사가인정하는합리적인이유가있는경우 3 고객이사용하는고객ID 및비밀번호에의하여발생하는서비스이용상의과실또는제3 자에의한부정사용등에대한책임은고객에게있습니다. 단, 회사의고의또는과실이있는경우에는그렇지않습니다. 다. 신청인이입은손해및배상금액의적정성판단 본사건으로신청인이입은경제적피해는없다. 또한, 피신청인이고객의아이디및비밀번호를임의로생성하여웹사 이트에가입시킴으로써신청인이고객센터에서그사실을확인받기전 - 73 -
까지자신의정보가도용당했다는불안감을느낀것은인정되나, 피신청 인의행위가고객의개인정보를수집목적외의용도로이용하였다고보 기는곤란하며구체적인정신적피해를인정하기는어렵다. 5. 위원회결정 신청인의손해배상청구를기각한다. 피신청인이서비스설치시에현행아이디및비밀번호미기재고객에대해임의로이를생성하여피신청인의웹사이트에자동가입시키는관행의개선을권고한다. - 가입신청서에아이디및비밀번호를필수기재사항으로명시할것 - 웹사이트자동가입에대하여반드시본인의동의를받도록하는내용을약관에명시할것 - 74 -
< 사례 3> ( 주 )A 홈쇼핑의대리인터넷회원가입행위에대한손해배상 요구건 사실관계신청인은자신이가입한적없는피신청인의인터넷쇼핑몰에회원가입이되어있는것을발견, 이는명백히본인동의없는개인정보목적외이용이라고주장하며손해배상을요구 조정결과사실조사결과, 피신청인은회원가입유치를목적으로할인행사를진행한것이명백하고, 회원가입신청서에자동가입에대한고지가있었던점, 회원가입유치시담당자의책임소재를분명히한점등여러가지정황을고려할때, 피신청인의회원가입유치시신청인의동의가있었다고보아신청인의손해배상청구는이를기각함 1. 사건개요 신청인최모씨 ( 여, 만 53세 ) 및대리인이모씨 ( 남, 만 58세 ) 는 2000년 11월 3 일서울강남에소재하고있는 ( 주 )A 홈쇼핑매장을찾아가압력밥솥을구입하려고하였으며 ( 주 )A 홈쇼핑회원가입시 5,000원할인받을수있다는권유에신청인의개인정보를신청서에기입한후상기물품을구입하였다. 2005년 4월 5일신청인은피신청인인터넷홈페이지에가입하고자신청인의개인정보를입력하던중이미신청인의명의로알지못하는 ID와 PW, E-mail 주소등으로가입되어있는사실을발견하였고, 신청인은피신청인홈페이지에서는회원으로등록한적이없었기때문에피신청인에게어떤경로로신청인이가입되어있는지문의하였다. - 75 -
그결과, 2000년 11월회원가입당시담당직원이신청인의동의하에임의로 ID와 PW 등이부여되어대리가입이된것으로답변을받았으며, 신청인은오프라인상의회원등록을목적으로제공한신청인의개인정보를이용하여피신청인이무단으로회원가입을시킨것이라고주장하며이에대한피신청인대표자의사과메일및정신적피해에대한배상금으로 50만원이상의금전적배상을주장하는분쟁조정을우리위원회에신청하였다. 주요쟁점 - 피신청인이정보통신망이용촉진및정보보호등에관한법률의 ( 이하 정보보호법 이라한다 ) 정보통신서비스제공자에해당하는지여부 - 피신청인이운영하는홈쇼핑회원가입을위해신청인이신청서에기재한개인정보를이용하여피신청인이대리로인터넷회원가입등록을한행위가개인정보의목적외이용을금지한정보보호법제24조제1 항을위반하는지여부 2. 당사자주장 가. 신청인 신청인은진위여부를위해피신청인의고객센터에확인한결과당시점포근무직원이온라인상의가입을위해고객의 ID, PW, E-Mail 등을임의로등록한것이라고하며이에대한잘못을인정하였다고하면서자신의동의없이개인정보를피신청인의인터넷홈페이지에임의로회원가입시킨것은명백히잘못이므로피신청인대표자명의로된 E-Mail 로잘못된부분에대해서인정하는사과메일발송과 50만원이상에해당하는상품권이나적립금등금전적인보상을요구하였다. - 76 -
나. 피신청인 피신청인은피신청인의당시강남매장직원은매장을방문한고객들에게인터넷회원가입을할경우 5,000원적립및할인받을수있음을알려드리고간혹연세가있으시거나인터넷사용이어려운고객들을대신해서현장에서가입해드리기도하였다고주장하였다. 매장직원이대신회원가입을해드릴경우 ID나 PW는추후에변경가능함을해당신청인에게구두로알려드렸다고하며, 피신청인이제출한당시고객용회원가입양식과동일한임직원회원가입양식에도 PW 는주민번호뒷자리 7자리로자동설정이되나로그인후반드시변경 하도록하는문구가있다고함 피신청인은신청인이자사홈쇼핑회원가입시 5,000원을할인받을수있다는권유에몇가지개인정보를기입후서명하여상품을구매한사실에대해서는인정하면서도당시신청서가인터넷회원가입용이라는것에대해서는인정하지않고, 당시직원의구두설명에대해서도전혀들은바없다라고주장하는등피신청인에의한무단회원가입으로주장하는것은억울한부분이라고주장하였다. 또한경위를불문하고당시피신청인의홈페이지회원가입을할당시상세한설명이부족했던점과민원신청이후가입경로에대한문의에대한답변이지연되었던점에대해서는수차례사과를드렸음에도불구하고개인정보관리책임자 ( 직위 : 업무팀팀장 ) 또는담당자의사과메일이아닌피신청인대표자 E-Mail 로사과를요구하는것등은수용하기어려운부분이라고하며분쟁조정위원회의최종결정에따르겠다고하였다. - 77 -
3. 사실조사 가. 신청인이피신청인 ( 주 )A 홈쇼핑인터넷쇼핑몰홈페이지에가입된사실을 알게된경위 신청인은 2005 년 4 월 5 일경 ( 주 )A 홈쇼핑인터넷쇼핑몰홈페이지이벤 트에응모하고자회원가입을하려고하던중본인의명의로이미회원가 입이되어있음을발견하게되었다. 또한신청인은피신청인고객센터직원과의전화통화를통해어떤경 로로본인의명의로회원가입이되어있는지항의하였으며, 2000 년 11 월 3 일피신청인의직원에의해회원가입이되었음을확인하였다. 나. 피신청인이신청인의개인정보를이용하여회원가입을대행한경위 피신청인은 2000년 11월경 ( 주 )A 홈쇼핑인터넷쇼핑몰홈페이지오픈기념이벤트를하면서회원가입을유치하였으며, 직접매장을방문한고객들에게이벤트에대해홍보하면서인터넷사용이어려운고객들을위해서는회원가입신청서를받고고객의동의를얻어회원가입등록을대행하였다고하였다. 피신청인의인터넷쇼핑몰의경우인터넷상에서고객을관리하기위해홈쇼핑의단순한 고객등록 과는구별되는 회원가입 절차를밟게되며, 따라서홈쇼핑을이용한고객의경우 고객등록 은되나 회원가입 은되지않으며, 회원가입절차는인터넷쇼핑몰이용을위해서만필요한절차라고하였다. 피신청인은 TV 홈쇼핑, 인터넷, 카달로그등 3가지매체를통해거래가발생한경우고객으로등록함 - 78 -
다. 피신청인의사후조치 피신청인은본건에대하여신청인에게회원가입당시상세한설명이 부족한점에대해서는사과를드리며즉시 ID, PW 등정보의정정을해 드리겠다고하였으나신청인이거부하였다. 4. 위원회판단 가. 피신청인이정보보호법의적용대상인지여부 본사건에서피신청인은 TV 홈쇼핑과온라인쇼핑몰을동시에운영하는 자로서정보보호법제 2 조에서규정하고있는정보통신서비스제공자에해당 한다. 나. 피신청인이신청인의정보를이용하여인터넷쇼핑몰에회원가입을 대행한행위가고지 명시한범위를초과한목적외이용에해당되어 정보보호법제 24 조제 1 항을위반하는지여부 정보보호법제 24 조제 1 항은정보통신서비스제공자가이용자에게사전에 고지한범위를넘어개인정보를이용하거나제 3 자에게제공하는것을금지 하고있다. 본건에서피신청인이신청인으로부터회원가입신청서를받으면서동의를 받지않고회원가입을대행하였다면피신청인의행위는고지 명시한범위 를넘어선목적외이용에해당될수있는여지가있다. 그러나본사건의경우 1 피신청인의회원가입유치를목적으로할인행사 를진행한것이명백하다는점, 2 회원가입신청서에자동가입에대한고지 가있었던점, 3 회원가입유치시담당자의책임소재를분명히한점등여 - 79 -
러가지정황을고려할때, 피신청인의회원가입유치시신청인의동의가있었다고보아야할것이고, 따라서개인정보의목적외이용을금지한정보보호법제 24조제1 항을위반하였다고판단하기곤란하다. 피신청인은당시피신청인의강남매장직원이었던백모씨가인터넷상의회원가입시회원추천인란에자신의 ID를남김으로써책임의소재를분명히하고자하였고또한확인서를통해서자신이신청인의동의하에임의로회원가입을대행한것임을입증하고있음 다. 피신청인의위법및배상책임의인정여부에대한판단 사실조사과정에서신청인은당시회원가입은오프라인상의회원가입이지인터넷상의회원가입은아니라고주장하고있으나기사실확인결과를종합적으로고려해볼때, 피신청인은신청인의개인정보를피신청인의손해배상청구는기각함이타당하다고판단된다. 5. 위원회결정 신청인이주장하는신청인의개인정보목적외사용에대한손해배상청 구는기각한다. - 80 -
< 사례 4> ( 주 )X 통신사의해지고객개인정보목적외이용에대한 손해배상요구건 사실관계신청인은타통신사로번호이동을한이후에도피신청인이수차례에걸쳐신청인에게텔레마케팅전화를하여영업활동에이용하는등목적달성후에도신청인에관한개인정보를파기하지않고목적외로이용함으로써개인정보를침해하였다고주장하면서이에대한정신적피해로 10,000,000 원의손해배상을요구하는분쟁조정을신청 조정결과사실조사결과피신청인은신청인이계약을해지하면서까지 TM 수신거부의사를밝혔음에도불구하고타사로의번호이동이후에도지속적으로 TM을행함으로써개인정보의목적외이용을금지하고있는정보보호법제24조제1 항을위반한점이인정되어신청인이입은정신적피해에대한배상으로금 700,000원을지급하도록결정 1. 사건개요 신청인이모씨 ( 여 ) 는 2005 년 9 월까지약 20 년동안피신청인 X 통신사의 유선전화를쓰는고객이었으나, 피신청인의텔레마케팅피해로인해쓰던 번호그대로 2005 년 10 월경 Y 통신사로전화번호이동을하였다. 그럼에도불구하고피신청인은이후에도수차례에걸쳐신청인에게텔레마케팅전화를하는등영업활동에이용하여신청인은목적달성후에도자신에관한개인정보를파기하지않고목적외로이용함으로써개인정보를침해하였다고주장하면서이에대한정신적피해로일천만원의손해배상을요구하는분쟁조 - 81 -
정을신청하였다. 주요쟁점 - 신청인이피신청인과의계약관계가종료되었음에도불구하고신청인의개인정보를이용한텔레마케팅을계속한행위가고지 명시한범위를초과한목적외이용을금지하는제24조제1 항을위반하는지여부 2. 당사자주장 가. 신청인 신청인은번호이동을한이후에도피신청인이자신의개인정보를영업점에서계속활용하여 TM을실시하는것과특히해지이후에도계속전산상에자신의개인정보가열람되는것은개인정보를파기하지않고계속보유하고있는것과마찬가지이므로부당하다고주장하였다. 나. 피신청인 피신청인은신청인의유선전화번호이동서비스제공과관련하여유선전화의번호이동서비스는 호전환서비스기능 을이용하여제공하는것으로지속적인서비스유지를위해서는번호이동전, 후사업자가모두개인정보보유가필요하다고주장하였다. 예컨대, 번호이동서비스지속제공과이용자의고장신고등자사서비스구간에서호처리이상유무확인등 A/S를처리하기위해개인정보보유가필요하다고함 번호이동서비스에서사용하는호전환서비스 (call-forwarding service) 는전화교환기를통하여걸려온전화를 A사에서 B사로전달해주는서비스를의미함 - 82 -
따라서번호이동가입자의개인정보를보유하지못할경우번호이동서비스제공이불가하다고답변하였으며, 신청인의번호이동 ( 전화해지 ) 이후에도피신청인이본인의개인정보를보유하고있다는주장에대하여번호이동해지또는전화가입해지시해지고객으로분류및국세법등관련법령에서규정하고있는보유기간경과후개인정보를삭제한다고주장하였다. 3. 사실조사 가. 신청인이유선전화번호를 X 통신사에서 Y 통신사로이동한경위 신청인은 2005년 10월경약 20년간사용해오던피신청인 X통신사의유선전화번호를피신청인의무분별한 TM으로인하여쓰던번호그대로 Y통신사로번호이동을하였다. 그러나번호이동을한 2005년 10월이후에도계속해서피신청인의대리점이라는곳으로부터 TM 전화를받았으며, 이에대하여 TM 전화가걸려온피신청인 OO지사라는곳에항의하였으나오히려번호이동의경우에는쓰던번호가피신청인의전산시스템에그대로보관되기때문에피신청인의번호를반납하고번호를변경할것을강요하였다. 나. 피신청인의사후조치 피신청인은번호이동고객의개인정보는서비스의특성상고객이서비스를사용하는동안에는계속해서보유하는것이불가피하며, 번호자체를파기할수없다고하였다. 또한번호이동해지, 또는전화가입해지시에도해지고객으로분류되어관련법령에서규정하고있는보유기간이경과된후에삭제가가능하다고하였다. - 83 -
4. 위원회판단 가. 신청인이타사로번호이동을한이후에도지속적으로 TM 영업을 한피신청인의행위가이용자로부터수집시제공받은목적외이 용을금지한정보보호법제 24 조제 1 항을위반하는지여부 정보보호법제 24 조제 1 항은정보통신서비스제공자는이용자의동의없이 수집시고지 명시한범위를넘어이용하는것을금지하고있다. 또한정보통신부가발표한 ( 05 년 10월 ) 이동통신서비스제공자의개인정보보호지침 제 6조는이동통신서비스제공자는해지고객개인정보를고지또는명시한보유목적외의목적으로이용하거나제3자에게제공하여서는아니된다고규정하고있다. 본사건에서피신청인은 2004년이후신청인의계속적인 TM 수신거부요청의사에도불구하고 TM 영업행위를그치지않았을뿐만아니라, 2005년 10월타사로번호이동을한이후에도계속 TM 영업을행한것으로조사된다. 신청인의민원내용에의하면 2005년 12월, 2006년 2월, 3월에도계속 TM을받았다고하며, 2월및3월 TM건은녹취록을보관중이라고함 본건에서해지고객정보는요금정산또는법적의무를다하기위한목적으로만보관해야함에도불구하고이를이용한피신청인의 TM 행위는해지고객의정보를보유한목적외로이용한것이므로정보보호법제24조제1 항을위반한것으로판단된다. - 84 -
나. 신청인이입은손해및배상액에대한판단 본사건에서피신청인의행위로인하여신청인이입은경제적피해는 없다. 그러나본사건은신청인의 TM 수신거부의사에반한피신청인의행위, 특히타사로번호이동을행한이후에도수차에걸쳐신청인의개인정보를 TM에이용한점을고려해볼때신청인이입은정신적피해에대한배상으로금 700,000원을지급함이타당하다고판단된다. 5. 위원회결정 본건에서피신청인은신청인이계약을해지하면서까지 TM 수신거부의사를밝혔음에도불구하고타사로의번호이동이후에도지속적으로 TM을행함으로써개인정보의목적외이용을금지하고있는정보보호법제24조제1 항을위반한점이인정되어신청인이입은정신적피해에대한배상으로금 700,000원을지급한다. - 85 -
< 사례 5> 방문판매업자의판매대행업체의고객개인정보의목적외 이용에대한손해배상요구건 사실관계신청인은자신을방문한피신청인직원으로부터피신청인이운영하는고객만족사이트에대한설명을듣고해당사이트에가입하려다가자신이이미가입된것을발견하고개인정보가침해되었다고주장하며피신청인의공식적인사과와손해배상을요구하며분쟁조정을신청함 조정결과사실조사결과피신청인의판매대행업체의임시고용인이신청인의동의없이신청인을고객만족사이트에가입시킨것으로추정되는바, 신청인에게입힌정신적인피해가상당하다고판단하여신청인이입은정신적피해에대한보상으로금 300,000원을지급하도록결정 1. 사건개요 2006. 4. 17일신청인은자신을방문한피신청인직원으로부터피신청인의고객만족사이트 S에대한설명을듣고사이트에가입하려다가자신이이미가입된것을발견하고개인정보가침해되었다고주장하며피신청인의웹사이트에사과문을게재할것과정신적피해에대한손해배상을요구하며분쟁조정을신청하였다. 주요쟁점 - 피신청인의판매대행업체가본인의동의없이이용자의개인정보를이용하여피신청인이운영하는사이트에가입시킨행위에대하여, 피신청인에게개인정보의목적외이용을금지한정보통 - 86 -
신망이용촉진및정보보호등에관한법률제 24 조제 1 항규정을위반 한책임을지울수있는지여부 2. 당사자주장 가. 신청인 피신청인의제품을사용하는신청인은 2006. 4. 17일오후 5시경피신청인 ( 주 )A 본사사업국에근무한다는갑으로부터 7만원의할인혜택을받을수있으니제품을구입하라는전화를받았고당사제품구입계약을다음날체결하기로하고전화를끊었다. 같은날기존사용제품의정기점검을위해신청인의집을방문한을 ( 신청인과피신청인과의거래관계관리및유지등업무를수행하는직원 ) 로부터고객만족사이트 S에대해서듣고사이트에가입하려다가자신이가입된것을발견하고자신의개인정보가침해되었다고주장하였다. 사이트 S 는피신청인의고객만족사이트로서회사기존고객이 가입하면이벤트등에참가하여포인트를적립받을수있고, 적립포인 트를제품구입할인에이용할수있음 나. 피신청인 피신청인은신청인의개인정보가어떠한경로로어떻게임의로가입되었는지정확하게파악할수없으며, 고객정보를중요한자산으로여기는피신청인으로서는오히려자사의이미지가훼손되어피해자임을주장하였다. 그리고피신청인은신청인을 S사이트에임의로가입시킨갑은피신청인과판매대행계약을맺고있는 ( 주 )B( 통신판매업자 ) 의사업국임시고용인 ( 아르바이트생 ) 이므로직접적인고용관계및계약관계가없어자사는아무런법적책임이없다고주장하였다. - 87 -
3. 사실조사 가. 신청인이 S 사이트에가입되게된경위 피신청인과 ( 주 )B는판매대행계약을맺어판매시피신청인이 ( 주 )B에일정수당을지급하는관계이며 ( 주 )B는제품판매를위하여여러사업국을두고있으며갑은사건발생당시사업국중하나인 C사업국의임시고용인이었다. 갑은 2006. 4. 00일신청인에게전화를걸어할인혜택을설명하며새로운물품구입을권유하여다음날신청인과계약을체결하기로한후신청인을피신청인의고객만족사이트인 S에가입시켰다 피신청인은가입자 IP주소추적등을통해이모씨가신청인을 S사이트에가입시킨것을알게됨 갑이신청인의동의없이신청인을 S에가입시켰는지, 신청인이갑에게 S에가입을부탁했는지에대해서는신청인과 ( 주 )B의주장이아래와같이엇갈리고있고이에대한입증자료가없어명확한진위여부확인이곤란하였다. (1) 신청인은갑에게자신의주민등록번호, 주소, 휴대폰번호등개인정보를제공하거나 S에가입시켜줄것을부탁한적이없으며사건당일정기점검차자신의집을방문한을로부터 S를처음알게되었다고주장함 (2) ( 주 )B 는갑이 114CD 의명부를이용하여판매권유전화를하던중 신청인과통화하게되었으며, 신청인이자신은잘가입할줄모른 다며갑에게 S 에가입시켜줄것을부탁하였다고주장함 - 88 -
(3) 피신청인은 자사의판매대행업체인 ( 주 )B 에서고객을 S 에가입시 켜자사제품의재구매가가능하도록한것으로파악된다 고주장함 나. 피신청인의사후조치 신청인을사이트 S 에서탈퇴조치하고, ( 주 )B 에대해본건민원을야 기한사업국장및갑에대한인사조치요구를통해관련담당자를해고 하고신청인에게사과공문을발송하였다. 4. 위원회판단 가. 피신청인의판매대행업체가신청인의동의없이신청인을피신 청인의사이트에가입시킨행위가정보보호법제 24 조제 1 항에서 규정하고있는개인정보의목적외이용에해당하는지여부 본건에서 ( 주 )B는피신청인과판매대행계약을체결한판매대행업체로서각사업국에서는신규고객의정보를수집하여피신청인의고객정보 DB시스템에등록하며, 이시스템을통해서고객의정보를검색할수있는권한을가지고있으므로피신청인과 ( 주 )B는정보보호법제25조제1 항규정의개인정보취급등에대한위탁관계에있다고판단된다. 피신청인의고객정보DB시스템은고객의 A/S등을파악하고고객을관리하기위하여접근권한이있는자가 VPN( 인증시스템 ) 을통해조회할수있음 ( 사업국에서는고객이름으로주소, 전화번호등을알수있으나, 주민등록번호는알수없다고함 ) 민원접수이후피신청인은 ( 주 )B 사업국등에대하여사이트 S 접속이불가하도록조치함 정보보호법제 25 조제 2 항은개인정보의수집 취급 관리등을위탁한정 보통신서비스제공자등은수탁자에대하여개인정보보호규정을위반하지 - 89 -
아니하도록관리 감독하여야한다고규정하고있다. 이규정에따라피신청인은판매대행업체관계에있는 ( 주 )B 에대해서고 객정보를보호하기위한관리 감독의무를다하여야한다. 본건에서다음과같은사항에비추어 ( 주 )B 에서임의로신청인을 S 사이트에가입시킨것으로판단된다. (1) 피신청인의고객정보DB시스템에 ( 주 )B 사업국장이고객정보조회및 S 사이트의대리가입이가능했다는점 (2) 사건당시의 ( 주 )B 사업국처장이 신청인자신이컴퓨터가입방법을잘몰라서갑에게가입시켜줄것을부탁하였다 는주장에대해실제로신청인은컴퓨터이용이능숙하다는점 (3) ( 주 )B에서고객을 S에가입시켜자사제품의재구매가가능하도록한것으로파악된다는피신청인의주장등 이러한정황을고려할때, ( 주 )B의임시고용인이신청인의동의없이신청인을 S 사이트에가입시킨것으로추정되며, 이는수집한개인정보를본인의동의없이목적외로이용하는것을금지한정보보호법제24조제1 항에위반한다고판단된다. 정보보호법제25조제3 항에서는수탁자가제1 항의규정에의하여위탁받은업무와관련하여개인정보보호규정을위반하여이용자에게손해를발생시킨경우에는그수탁자를손해배상책임에있어서정보통신서비스제공자등의소속직원으로본다고규정하고있다. 따라서본건에서신청인을 S 사이트에가입시킨판매대행업체인 ( 주 )B 의행위에대해서손해가발생한경우에는피신청인은당해손해 에대한배상책임을져야한다. - 90 -
나. 신청인이입은손해및배상액에대한판단 본사건에서피신청인의행위로인하여신청인이입은경제적피해는 없으나신청인의동의없이웹사이트에가입시키는등개인정보오남용에 대한우려야기등정신적피해를입힌것이인정된다. 이러한사실을종합적으로고려해볼때, 신청인이주장하고있는정신적 피해에대한배상으로금 300,000 원을지급함이타당하다고판단된다. 5. 위원회결정 피신청인은신청인에게금 300,000 원을조정이성립된날로부터 7 일 이내에지급한다. - 91 -
< 사례 6> 금융기관에서민원해결을위해고객개인정보를무단조 회한건 사실관계신청인은피신청인의 A은행웹사이트에건의사항을게시하였는데, 이때신청인의주소를기재하지않았으나피신청인의담당자는신청인의주소를정확히알고있어, 이에신청인은피신청인이본인의동의없이고객정보를조회하여신청인의개인정보를열람하였다고주장하며이에대한배상을요구하는분쟁조정을신청 조정결과사실조사결과신청인은민원제기당시성명, 주민번호, 핸드폰번호등의개인정보를은행거래와는별도로제공하였으나, 피신청인은민원해결을이유로신청인의계좌개설현황등민원내용과연관성이없는개인정보를무단으로조회하여신청인이입은불쾌감과정신적피해에대한보상으로금 500,000원을지급하도록결정 1. 사건개요 신청인최모씨 ( 만 29세 ) 는 2006년 7월경피신청인의웹사이트고객불만게시판에건의사항을게시하였는데, 이때신청인의주소를기재하지않았으나피신청인의담당자는신청인의주소를정확히알고있었음. 이에신청인은피신청인이본인의동의없이고객정보를조회하여신청인의개인정보를열람하였다고주장하며, 우리위원회에분쟁조정을신청하였다. 주요쟁점 - 피신청인이정보통신망이용촉진및정보보호등에관한법률 ( 이하 정 - 92 -
보보호법 이라한다 ) 적용대상인지여부 - 금융거래를위해제공한신청인의정보를금융거래와관련없는민원해결을위해동의없이조회한피신청인의행위가고지 명시한범위를초과한목적외이용또는동의없는개인정보의제3 자제공을금지하는정보보호법제24조제1 항에위배되는지의여부 2. 당사자주장 가. 신청인 신청인은피신청인의지점리모델링공사가소음이심하고새벽에도진행되어이에대한민원제기를위해피신청인의홈페이지게시판에고객불만신고를하였으며, 민원을제기할당시주소를기재하지않았으나, 신청인의집주소를정확히알고있는담당자에게전화를받아, 이에신청인은피신청인의홈페이지에입력한정보를바탕으로신청인의동의없이피신청인의금융전산시스템에등록된고객정보를조회하여개인정보의침해를당했다고주장하며정신적피해에대한손해배상을요구하는분쟁조정을신청한다고주장하였다. 나. 피신청인 피신청인은지점공사로인해불편을느낀다는고객의불만사항을접수받아지점장을통해신청인에게사과전화를하였으며, 민원해결을위해주소를조회하였고, 민원처리도업무중일부이므로고객정보조회가불법이아니라고주장하였다. - 93 -
3. 사실조사 가. 피신청인이신청인의고객정보를조회한경위 신청인은 2006 년 7 월 30 일오전 6 시 30 분경피신청인의홈페이지 고객의불만 게시판에민원을제기하였으며, 인적사항기재란에성 명, 주민등록번호, 전화번호, 이메일주소를입력하였다. 피신청인은신청인이민원제기를위해입력한주민등록번호를이용하 여신청인이지점에서가입한예금거래 1 건과온라인홈페이지에서신청 한여신거래 1 건등을조회하였다. 이에대해피신청인은고객정보조회는금융지주회사법제48조의2 에의해영업상이용하게할목적으로조회한것이며, 영업상이용의범위에는민원해결을위한것도포함되는것으로판단하며, 수 여신거래고객으로서피신청인의전산시스템에등록되어있는신청인의주소를조회하였다. 금융지주회사법제48조의 2( 개인신용정보등의제공및관리 ) 1금융지주회사등은신용정보의이용및보호에관한법률제23조및제24조제4 항의규정에불구하고동법제1 호 제3 호및제4 호의규정에의한개인에관한신용정보를그가속하는금융지주회사등에게영업상이용하게할목적으로제공할수있다. 신청인이피신청인으로부터받아사무국에제출한증거자료에따르면 2006년 7월 31일부터 8월 8일까지의신청인의정보조회로그기록은고객별계좌개설현황, 여신계좌원장등총 8건을조회하였고, 조회한직원은 B지점의지점장, 차장본사고객만족센터의실장으로확인되었다. - 94 -
나. 피신청인의사후조치 피신청인은신청인의동의없는개인신용정보조회에대해불법이아니라고주장하며, 본건에대한원만한해결을위해신청인에게금 500,000만원을제시하였으나, 신청인은정식적인사과와금 1,500,000원을요구하여합의에이르지못하였다. 4. 위원회판단 가. 피신청인이정보보호법의적용대상인지여부 피신청인은인터넷웹사이트운영을통해정보제공, 고객상담등의업무뿐아니라예금, 대출, 펀드등의영업활동도영위하고있으므로피신청인은정보보호법상의 정보통신서비스제공자 에해당된다고판단된다. 본건에서의피신청인은은행이지만민원내용은신용정보관련사항이아니므로정보보호법적용이타당하다고판단됨 나. 금융거래를위해제공한신청인의정보를정당한근거없이조 회한피신청인의행위가정보보호법제 24 조제 1 항에위배되는 지여부 정보보호법제 24 조제 1 항은정보통신서비스제공자가이용자에게사전 에고지한범위를넘어개인정보를이용하거나제 3 자에게제공하는것을 금지하고있다. 은행등금융기관에서는금융거래및금융서비스제공을목적으로개 인정보를수집하고이용하는것이통상의목적범위내라고볼수있으 며, 일반개인도그러한서비스를제공받기위해개인정보를제공한다. - 95 -
본건에서신청인은예금거래와학자금대출의목적으로자신의개인 정보를피신청인에게제공한것이며, 피신청인도수집목적범위내에서 신청인의개인정보를이용하여야한다. 신청인이제기한민원은은행건물공사중발생한소음등에관련한민원으로서성명, 주민번호, 핸드폰번호, 이메일정보등의개인정보를은행거래와는별도로민원내용입력시제공하였으므로피신청인은민원해결을위해신청인의거래내역정보를조회할필요가없었을것으로판단된다. 그러나피신청인은민원해결을이유로신청인의고객별계좌개설현황, 여신계좌원장등민원해결과연관성이없는개인정보를무단으로조회하였으므로이는명백히고지 명시한범위를넘어선목적외이용으로정보보호법제24조제1항에위반된다고판단된다. 피신청인의웹사이트개인신용등의취급방침을살펴보면 금융지주회사법제48조의2 에의해개인신용정보등의취급방침을제정 운영하고있으며, 이러한개인신용정보등의제공및이용은고객의금융거래에따른불편함을해소하고더욱더만족스러운금융서비스를제공하기위해시행하는것 이라규정하고있음 그러나금융감독원지주회사팀담당자에따르면금융업무와직결되지않는민원은금융지주회사법제48조의 2에명시된 영업상이용하게할목적 으로보기어렵다고함 다. 신청인이입은피해및배상요구액의적정성판단 본사건에서피신청인의행위로인하여신청인이입은경제적피해는 없다. 그러나, 신청인은자신의신용정보가무분별하게조회되며, 통상적 으로노출을꺼리는대출내역을피신청인의민원담당자가알게됨으로 - 96 -
써불쾌감을느끼는등의정신적피해는인정된다. 이러한사실을종합적으로고려해볼때피신청인이신청인이금융거래를목적으로제공한정보를금융거래와관련없는민원해결을위해고객별계좌개설현황, 여신계좌원장등의정보를조회한행위는정보보호법제24조제1 항위반으로인정된다. 또한피신청인은무분별한정보조회에대해잘못을인정하지않으면서단순히분쟁철회를위해신청인에게금500,000원을제시한점에비추어, 피신청인에대해법위반사실을명확히하기위해신청인이입은정신적피해에대한배상으로금 500,000원으로산정함이타당하다고판단된다. 5. 위원회결정 피신청인은신청인에게금 500,000 을조정이성립된날로부터 7 일이 내에지급한다. - 97 -
< 사례 7> ( 주 )A 유선사업자가이용자의동의없이고객개인정보를 서비스홍보에이용한건 사실관계신청인은피신청인 ( 주 )A사로부터 A사의상품에대한홍보성전화를수차례에걸쳐받았으며걸려오는전화마다수신거부를하였지만소용이없었고, 이에신청인은자신의명시적인수신거부요청이있었음에도불구하고피신청인이자신의개인정보를이용하여지속적인광고전화를해옴에따라정신적인피해가발생하였다고주장하면서이에대해분쟁조정을신청 조정결과사실조사결과피신청인 ( 주 )A사는신청인이지속적으로개인정보이용에대한수신거부를명시적으로요청하였음에도불구하고신청인의개인정보를서비스홍보에활용한피신청인의행위로인해신청인에게정신적피해가발생한사실이인정되어금 200,000원을지급하도록결정 1. 사건개요 신청인김모씨 ( 남 ) 는 8월경부터수차례에걸쳐 ( 주 )A사의상품에대한홍보성전화를받았다. 신청인은한달에수차례씩전국의영업점에서걸려오는전화마다수신거부를하였지만소용이없었고, 특히신청인의거주지역인부산의 ( 주 )A사지점과 ( 주 )A사의본사에도수신거부요청을하였지만광고전화는끊이지않았다. 이에신청인은자신의명시적인수신거부요청이있었음에도불구하고 ( 주 )A 사가자신의개인정보를이용하여지속적인광고전화를해옴에따라 - 98 -
정신적피해가발생하였다고주장하면서, 이에대해분쟁조정을신청하였다. 주요쟁점 - 신청인이광고전화수신의사를밝혔음에도피신청인이전화광고를지속한행위가고지또는명시한범위를넘어선개인정보이용을금하고있는정보보호법제 24조제 1항에위반되는지여부 2. 당사자주장 가. 신청인 신청인은계속되는 ( 주 )A사의상품홍보성전화에대해 ( 주 )A사의부산지점과 ( 주 )A사의본사에수신거부의사를밝혔음에도불구하고특정지역구분없이전국에서홍보성전화가온다고주장하였다. 전화가올때마다영업점의위치와연락처를물어보았으나가르쳐주지않았고신청인이수신거부를요청했다고하면수신거부에대한기록을보지못하였다면서사과를하고끊었다고하였다. 신청인은수신거부에도불구하고계속적으로전화가온것에대하여 ( 주 )A사가자신의개인정보를동의없이목적외로이용하였으며개인정보관리소홀로전국모든영업점에서신청인의정보를볼수가있어서전화가오는것이라고주장하여이에대한분쟁조정을신청하였다. 나. 피신청인 ( 주 )A 사는아무런소명자료를제출하지않았다. - 99 -
3. 사실조사 가. 신청인이피신청인의홍보성전화기가입을권유받은경위 신청인김모씨 ( 남 ) 는 8월경부터 ( 주 )A사의상품홍보성전화를전국에있는영업점으로부터받게되었는데계속되는광고전화를참기힘들어 ( 주 )A 사의본사와현재거주지역의 ( 주 )A사의대리점인부산지점에도수신거부를신청하였으나수신거부신청이후에도계속적으로광고전화를받게되었다. 신청인은자신이거부의사를밝혔음에도불구하고, 계속적인서비스홍보전화에대해서 ( 주 )A사에항의하였으나사실조사결과신청인의수신거부의사는받아들여지지않았다고주장하였다. 이에대해담당자가 ( 주 )A사에확인한결과수신거부내역에대한아무런기록이없었고상담원은신청인의개인정보 DB에수신거부의사를기록하여놓겠다고하였다. 또한상담원은신청인의 DB에수신거부의사를기록해두는것일뿐이고영업점에서그사실을확인하고전화영업을해야하는데이를확인하지않고전화영업을하는것같다고설명하였다. 나. 피신청인의사후조치 신청인이 ( 주 )A사의본사및부산지점에도전화를해서수신거부에대한요청을했을때상담원이전산에기록을하겠다고했지만여전히계속적인전화로인한피해를신청인이받고있는바 ( 주 )A사는아무런조치를취하지않은것으로판단된다. 4. 위원회판단 가. 일반전화서비스이용을위해제공한개인정보를자사의 OOO 전화기 가입권유를위해이용한피신청인의행위가고지또는명시한범위를 - 100 -
넘어선개인정보이용을금하고있는정보보호법제 24 조제 1 항에위반 되는지여부 정보보호법제24조제1 항은정보통신서비스제공자는사전에고지또는이용약관에명시한범위를넘어서이용자의개인정보를이용하는것을금지하고있다. 신청인은지속적으로개인정보이용에대한수신거부를요청하였으나피신청인은이를제대로이행하지않았다. 피신청인은신청인의의사에반하여자사의고개관리전산시스템에등록된신청인의개인정보를이용하여연락처 ( 유선전화와핸드폰전화 ) 로전화를걸어자사의서비스홍보를하였는바이는이용자의동의없는개인정보의목적외이용을금지한정보보호법제 24조제1항을위반한행위로판단된다. 다. 신청인이입은손해및배상액에대한판단 본사건에서피신청인의행위로인하여신청인이입은경제적피해는없다. 그러나, 신청인이자신의개인정보를활용금지할것을명시적으로요청 하였음에도불구하고신청인의개인정보를서비스홍보에활용한피신청인 의행위로인해신청인에게정신적피해가발생한사실은인정된다. 이러한사실을종합적으로고려하여볼때, 피신청인은신청인이입은 정신적피해에대한배상으로금 200,000 원을지급함이타당하다고판단 된다. 5. 위원회결정 피신청인은신청인에게금 200,000 원을조정이성립된날로부터 7 일 이내에지급한다. - 101 -
< 사례 8> 초고속인터넷사업자의부가서비스무단가입및관리소홀에대한 손해배상요구건 사실관계신청인은피신청인이본인에게동의를얻지않고지방에거주하는부친과의전화통화를통해부가서비스에무단가입시켰을뿐만아니라, 서비스해지에따른사후처리지연으로인해개인사업자인신청인에게업무상손해와신용훼손이라는피해를입혔다고주장하며이에 1,000,000원의피해배상을요구하는분쟁조정을신청 조정결과사실조사결과, 피신청인은부가서비스가입유치시본인동의없이신청인의부친과의전화통화를통해부가서비스에가입시키고, 신청인의부가서비스해지요구에대한처리지연으로신청인에게 12일동안인터넷일부사이트에접속할수없는불편함과정신적피해를입힌점이인정되므로, 이에대한보상으로금 400,000원을지급하도록결정 1. 사건개요 신청인 ( 남, 31 세 ) 은 A인터넷통신사에본인명의로 2회선의인터넷통신망을이용하는자로서 2006년 9월 8일인터넷이용중일부웹사이트에접속할수없다는메시지를보고피신청인에게확인한결과, 피신청인이 2006 년 9월 4일대구에거주하는신청인부친의동의를얻어甲부가서비스에가입시킨사실을알게되었으며, 해당서비스로인해일부사이트에접속이차단되고있다는설명을듣게되었다. 이에, 신청인은甲부가서비스로인해업무상접속이필요한사이트를이용 하지못하는피해가있음을알리고해지를요구하였으나서비스해지에따른 - 102 -
사후처리지연으로인해개인사업자인신청인에게업무상손해와신용훼 손이라는피해를입혔다고주장하며이에 1,000,000 원의피해배상을요구 하는분쟁조정을신청하였다. 주요쟁점 - 피신청인이신청인 ( 명의자이자실사용자임 ) 의동의를얻지않고대구에거주하는부친의동의를얻어甲부가서비스에가입시킨행위를개인정보의수집목적외이용을금지한정보보호법제24조제1 항위반으로볼수있는지여부 - 신청인이피신청인에게수차례에걸쳐甲부가서비스해지를요구하였음에도불구하고 12일동안처리를지체시킴으로써피신청인의업무에피해를준점에대해민법제 750조불법행위책임을물을수있는지여부 2. 당사자주장 가. 신청인 신청인은피신청인과인터넷통신망이용계약을체결할당시, 본인의휴대폰번호와대구의집전화번호를알려주었고, 피신청인은대구집전화를통해부친과통화하였는바, 본인부재시에는휴대폰통화를하여서비스가입여부에대한동의를얻을수있음에도불구하고부친으로부터동의를얻어서비스에가입시킨것은본인동의없는개인정보이용에해당된다고주장하였다. 또한, 신청인은업무상필요한사이트접속을위해甲부가서비스해지를요구하였음에도불구하고피신청인이 12일동안처리를지연시킴으로써업무상손해와함께정신적피해를입었다며이에대한손해배상으로금 1,000,000원을요구하는분쟁조정을신청하였다. - 103 -
나. 피신청인 피신청인은고객정보란에표시된연락처로연락을한것이며, 신청인부모님의동의를얻어부가서비스에가입시킨만큼개인정보의침해또는목적외사용은아니지만, 甲부가서비스해지요구에따른사후처리가지연된점에대하여 3개월간의이용료 (86,085원 ) 를면제해줄의사가있음을밝혔다. 3. 사실조사 가. 신청인이甲부가서비스서비스에가입된경위 피신청인은 2006. 9. 4. 신청인의고객정보로등록된대구집전화로 甲부가서비스 가입유치전화를하였으며신청인의부친과통화한후 가입동의를얻어 甲부가서비스 에가입시키게되었다. 나. 서비스해지처리가지연된경위 신청인은 2006. 9. 8일안양에서인터넷을사용하던중에甲부가서비스로인해사이트에접속할수없다는메시지를확인하였으며 2006. 9. 9일피신청인에게서비스해지를요구하였으나, 안양지역을관리하는운용팀의시스템작업이지체되어 12일이라는기간이소요되었다. 다. 해지지연으로신청인이입은경제적피해 신청인은 소프트웨어자문, 개발및공급 을주업무로하는개인사업자로서, ( 주 )OO 솔루션과 채권시스템유지보수용역 계약을체결한상태이며업무상인터넷을통해작업을해야하는경우도있는데, 甲부가서비스의해지지연으로 12일동안업무상차질이발생하였고사업자로서의 - 104 -
신용이훼손되었다고주장하나이에대한입증자료는제출하지못하였다. 라. 피신청인의사후조치및문제점 피신청인은 2006. 9. 9 일신청인으로부터甲부가서비스해지접수를받 은후운용팀에서시스템처리를하는데정당한사유없이 12 일이상을지 체하였음에도불구하고, 단지 3 개월분의이용료의보상제시하였다. 또한, 신청인은피신청인에게인터넷사용과관련된내용에대해서는본 인에게통지해줄것을요청하였음에도불구하고 2006. 9. 21 일재차신 청인의동의없이부친의동의만으로가입상품을변경하였다 4. 위원회판단 가. 피신청인이신청인의부모님의동의를얻어부가서비스에가입시킨 행위가개인정보의목적외이용을금지한정보보호법제 24 조제 1 항에 위반된다고볼수있는지여부 정보보호법제24조제1 항에의하면, 피신청인은사전에고지또는이용약관에명시한범위를넘어서이용자의개인정보를이용할수없으며서비스관련업무이외의목적으로사용하기위해서는사전에이용자본인의동의를얻도록규정하고있다. 피신청인이용약관제 15 조제 1 항에의하면회사는서비스제공과관련하 여취득한고객의정보를본인의사전승낙없이서비스관련업무이외의 목적으로사용할수없다고규정하고있다. 본건에서피신청인은부가서비스이용가입권유시에고객정보에기입된휴 대폰번호로연락하여본인의동의를얻을수있었음에도불구하고, 신청인 - 105 -
의부친에게부가서비스가입을유치한점은 이용자의동의없는부가서비 스무단가입 으로판단된다. 더구나, 텔레마케팅을통한부가서비스가입은상품홍보와함께계약체결을완료하고자상품의장점만을부각시키는경우가많으며, 짧은시간내에의사결정을해야하는단점을고려할때이용자본인의명시적의사표시가필요하다. 따라서, 본건에서피신청인의행위는개인정보의목적외이용을금지하 고있는정보보호법제 24 조제 1 항을위반한것으로판단된다. 나. 피신청인이 ' 甲부가서비스 ' 계약해지에따른사후조치를지연시킴 으로써발생한신청인의업무상손실에대해민법제 750 조불법행위 책임을물을수있는지여부 신청인이 2006. 9. 9 일업무상필요한사이트접속을위해 ' 甲부가서비스 ' 의 중지를요청하였음에도불구하고피신청인의업무 Process 문제로처리가지 연되어일정사이트에접속할수없는현상이지속된사실이있다. 신청인이업무상인터넷접속이필요하였고 12일동안업무처리를위한인터넷이용이제한되는불편을겪었다는점은인정되지만, 피신청인의행위로인해업무상손해를입었다거나신용이저하되었다는사실을입증할만한구체적인입증자료는없다. 그러나적어도신청인의본인동의없이가입된甲부가서비스로인해불편함이초래된점, 피신청인이 가디언서비스 해지처리를지연한것에대한정당한사유가없다는점, 그리고신청인이이용할수있는인터넷사이트범위를부당히축소시킴으로써불편을초래한점등을고려할때피신청인의과실로인한정신적피해를인정할수있다고판단된다. - 106 -
다. 신청인이입은손해및배상액에대한판단 본사건에서피신청인의행위로인하여신청인이입은경제적피해는 없는것으로판단된다. 그러나, 12 일동안일부인터넷사이트접속이차단된점, 무엇보다자신의 동의없이부친의동의만으로부가서비스에무단가입시키고, 이에대한이의제 기및해지절차를신속하게진행하지못한점에대해정신적피해가인정된다. 이러한사실을종합적으로고려하여볼때, 피신청인은신청인이입은 정신적피해에대하여 400,000 원을배상하는것이타당하다. 5. 위원회결정 피신청인은신청인에게금 400,000 원을조정이성립된날로부터 7 일 이내에지급한다. - 107 -
< 사례 9> 이동통신사업자의부가서비스무단가입건 사실관계신청인은피신청인 A텔레콤 ( 주 ) 이용자로서피신청인이부가서비스에무단으로가입시킨후 2년동안의부가서비스요금을인출하였다며부가서비스요금, 부가세, 법정이자의반환과함께정신적피해에대한배상으로금 1,000,000원을요구하는분쟁조정을신청 조정결과사실조사결과, 신청인이피신청인의乙부가서비스무단가입으로 2년동안요금이인출되어불쾌감등정신적피해를입은점은인정되나, 신청인이부가서비스가입일로부터 2년경과시까지이용요금고지서등을확인하지않은점을고려하여기납부된부가서비스요금 356,500원을환급하는외에정신적피해에대해 150,000원을배상하도록결정 1. 사건개요 신청인은피신청인 A텔레콤 ( 주 ) 을이용하는고객으로자신이신청하지않은乙부가서비스에가입되어 2년동안요금이계속적으로인출된사실을발견한후, 피신청인이자신의동의없이개인정보를이용하여부가서비스에무단으로가입시켰다고주장하면서 2년동안의부가서비스요금, 부가세, 법정이자의반환과함께정신적피해에대한배상으로금 1,000,000원을요구하는분쟁조정을신청하였다. 주요쟁점 - 신청인을부가서비스에가입시킨피신청인의행위가이용자의동의없는개인정보의목적외이용을금지한 정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보보호법 이라함 ) 제 24 조제 1 항에위반하는지여부 - 108 -
2. 당사자주장 가. 신청인 신청인은피신청인이乙부가서비스에무단으로가입시켰고자신은어떠한동의도한적이없으며, 자동이체방식으로서비스이용요금을납부하였기때문에부가서비스가입사실을쉽게인지하지못하였으며, 2년이라는기간동안 3분이상통화한사실이거의없을만큼乙부가서비스는본인에게필요치않은서비스라고주장하며보상을요구하였다. 나. 피신청인 피신청인은 2004. 9. 13 텔레마케팅을통해신청인의동의를얻고乙부가서비스에가입시켰으나, 가입시점으로부터 2년이경과하였기때문에이를증빙할수있는녹취자료는보관되어있지않다며, 乙부가서비스텔레마케팅과관련한전산시스템상의기록을제출하였다. 또한, 피신청인은신청인이 긴통화무료옵션 부가서비스를통해실제로초과통화이용료등 44,862원의할인혜택을입은사실이있음에도불구하고, 기납부한부가서비스요금 356,500원전액을환급하겠다고제안하였으나, 신청인이전액환불외에 1,000,000원이라는과도한손해배상을요구하고있어수용이불가하다는의사를밝혔다. 신청인은본민원을 통신위원회 에도제기하였으며, 통신위원회는피신 청인에게부가서비스요금을환급하라는결정을통보한바, 이에따라피 신청인은이용요금환급을하려했으나신청인이이를거부하였다. - 109 -
3. 사실조사 가. 신청인이 긴통화무료옵션 부가서비스에가입된경위 피신청인의답변자료에의하면신청인은 2006. 9. 14 오전 10시경피신청인의고객센터직원의텔레마케팅전화를받고부가서비스에가입하였다고하나, 시스템상의기록만으로는신청인의동의에의한것인지또는상담직원이임의로부가서비스에가입시켰는지에대한확인이곤란하다. 따라서, 피신청인이제출한시스템기록만으로는피신청인이신청인의동의를얻어부가서비스에가입시켰다고볼수없다. 피신청인은유사민원에대해서는기납부금에서할인혜택이용요금을제외한금액을환급또는익월요금에서감액하였다 나. 피신청인의사후조치 피신청인은신청인에게 2년여동안의전화요금청구내역을공개하면서고객만족차원에서할인혜택금액 44,862원을감액하지않고부가서비스기납부금 365,500원전액을환급하기로하겠다고하였으나피신청인은이를거부하였다. 4. 위원회판단 가. 신청인을부가서비스에가입시킨피신청인의행위가이용자의 동의없는개인정보의목적외이용을금지한정보보호법제 24 조 제 1 항에위반하는지여부 정보보호법제 24 조제 1 항에따르면, 정보통신서비스제공자는사전에 - 110 -
고지또는이용약관에명시한범위를넘어서이용자의개인정보를이용 하는것을금지하고있다. 피신청인이신청인의고객정보를계약체결시명시한수집목적외로이용하기위해서는반드시신청인본인의동의가있어야할것이며, 텔레마케팅에의한부가서비스가입과같이이용자의명시적의사표시가필요한중요사항에있어서는, 이용자의동의여부를가입당시의녹취또는서면신청서등을통해입증할수있어야한다. 피신청인은보관상의문제로가입일로부터 1 년동안만녹취자료를보 관하고이후에는담당자, 통화시각, 마케팅상품명, 동의여부등중요 정보만을전산시스템상의기록으로남기고있다. 본사건에서는 부가서비스가입시본인의동의여부 를확인하기가 곤란하며, 피신청인이제출한시스템자료만으로신청인의동의가있었다 고보기는어렵다. 따라서, 피신청인이신청인을부가서서비스에가입시킨행위는개인정 보의목적외이용을금지하고있는정보보호법제 24 조제 1 항에위반된다 고판단된다. 나. 신청인이입은손해및배상액에대한판단 본사건에서신청인이입은경제적피해를확정하기에는사실관계확인에어려움이있다. 통신위원회는본사건에대해부가서비스가입으로발생한요금 356,500원전액을환급하라는결정을내린바가있다. - 111 -
본위원회에서는통신사업자의 본인동의없는부가서비스가입 에관한사건에대하여정신적피해를인정하여 300,000원을배상토록조정한사례가있으나, 사건에있어신청인이부가서비스가입일로부터 2년경과시까지이용요금고지서를확인하지않음으로써자신의권리를확보하지못하였다는점등을고려한다면신청인에게도일부책임을인정된다. 따라서, 피신청인은신청인이 2 년동안납입한부가서비스요금전액 356,500 원을환급하고, 이로인한정신적피해에대한배상으로 150,000 원 을배상하도록하는것이타당하다. 5. 위원회결정 피신청인은신청인에게금 506,500 원을조정이성립된날로부터 7 일 이내에지급한다. - 112 -
Ⅲ. 이용자의개인정보를동의없이제 3 자에게제공한사례 < 사례 1> 유선전화사업자의채권추심과정상의개인정보제 3 자제공에 대한손해배상요구건 사실관계신청인 ( 남 ) 은피신청인이이동전화요금체납관련민원해결을위해피신청인의퇴직한직원에게신청인의주소를알려주어방문하게함으로써이사실을부모등가족이알게되는등정신적인피해를입혔다고주장하며이에대한정신적손해배상을요구하는분쟁조정을신청함 조정결과피신청인의행위는정보보호법제24조제1 항규정의제3 자제공에해당한다고판단신청인에게금 150,000원을조정이성립된날로부터 7일이내에지급할것을결정 1. 사건개요 신청인류OO( 남 ) 은피신청인이이동전화요금체납관련민원해결을위해피신청인의퇴직한직원에게신청인의주소를알려주어방문하게함으로써이사실을부모등가족이알게되는등정신적인피해를입혔다고주장하며이에대한정신적손해배상을요구하는분쟁조정을신청함 주요쟁점 - 신청인의개인정보를피신청인의요금체납관련민원해결을위해피신청인의퇴직한직원에게주소를알려준행위가개인정보를제3 자에게제공한행위에해당하는지여부 - 113 -
2. 당사자주장 가. 신청인 신청인은휴대폰으로사용한국제전화요금이휴대전화가입시기재한잘못된주소지로청구됨으로써요금납부고지서를몇개월간받지못하였으며, 이로인해피신청인으로부터요금체납고지서가발급되었으나이것역시주소지오류로인해수령하지못하였다고주장하였다. 신청인은주소지가왜잘못기재되었는지알지못하기때문에본인의잘못이아니라고주장함 미납요금체납으로인해불거진민원해결을위해피신청인이현직직원도아닌퇴직직원에게신청인의주소를알려주어집으로찾아오게한행위는명백히개인정보침해라고주장하며이에대한피해보상을하지않으면체납요금을낼수없다고주장하였다. 나. 피신청인 피신청인은신청인의요금체납기간이장기화되어피신청인은장기체납관련위탁업체인한국신용평가정보 ( 주 ) 로체납관리를이관하였으며, 한국신용평가정보 ( 주 ) 에서 2006년 3월초체납액관련법적통지서를발송하였다. 또한피신청인은지속적인민원해소를위해신청인과이웃에거주하는퇴직직원을신청인거주지로방문토록한것은, 퇴직직원은신청인과동일한건물에살고있으면서신청인을잘아는사이였기때문에피신청인과의민원해결에도움을줄것이라판단하여보냈다고주장하였다. 신청인은 고지서부도달 ( 不到達 ) 로인한요금납부불가 및상담원불친절등을이유로 16회에걸쳐피신청인에게민원을제기하였고, 방문당시신청인은 - 114 -
부재중이었고신청인의모친에게방문사유를정중히말씀드렸으나신청인은이를또한개인정보유출이라고주장함 이후피신청인서대전지사요금관리팀에서는신청인의민원해소를위해수차례전화등대화를시도하였지만, 신청인은개인정보유출에대한피해보상이안되면절대로사용요금을납부할수없으며, 청와대나통신위원회에제소하겠다는주장을반복하였다. 3. 사실조사 가. 신청인이요금납부고지서를받지못한경위 신청인은 2005 년 4 월경휴대전화로국제전화 (001) 를사용한적이있으며, 이에대한요금고지서가다른집으로 7 개월정도발송되어졌다. 체납액은 67,060 원 ( 04. 8 월 ~ 05. 10 월 ) 임 고지서를받은집에서반송을하다못해우편물을열어보고고지서를찾아가라는연락을하여신청인이우편물을반송한집을방문하여확인하였더니신청인이사용한국제전화요금고지서였으며, 휴대전화가입신청서에주소지가잘못기재되어있었음을확인하였다. 피신청인이발송한주소는국제전화미납요금에대하여 XX텔레콤에서제공한 OO 동87-2 번지 이나실제주소는 OO동 78-21 번지임 나. 피신청인이퇴직직원에게신청인의주소를알려주게된경위 2005년 8월부터시작된신청인의 고지서부도달 ( 不到達 ) 로인한요금납부불가 민원해결을위해 2006년 3월 7일피신청인서대전지사요금관리팀에서는신청인에게수차전화통화등대화를시도하였으나, 신청인이만나주지도않고해결책도없어고민하던중신청인이사업하는건물에피신청인 - 115 -
의퇴직직원이거주하고있는것을알게되어퇴직직원에게민원해소를위해 대화를나눌수있도록신청인을만나달라고요청하였다. 피신청인의부탁을받은퇴직직원청구외임 O 가신청인을방문하였으나신 청인은부재중이어서신청인의모친에게방문사유를밝혔다. 다. 피신청인의사후조치 피신청인의서대전지사요금관리팀은퇴직직원을보내민원해결을하 려고시도한것은민원해결방법상지나친감이있어사과하기위해지 속적으로신청인에게대화를시도하였으나신청인이거부하였다. 4. 위원회판단 가. 피신청인이민원해결을위해퇴직한직원에게신청인의주소를 알려준행위가정보보호법제 24 조제 1 항에서규정하고있는이 용자동의없는개인정보제 3 자제공에해당하는지여부 정보보호법제 24 조제 1 항은정보통신서비스제공자는이용자의동의없이 개인정보를제 3 자에게제공하여서는아니된다라고규정하고있다. 본사건에서피신청인이신청인과의원만한민원해결을위하여신청인을잘아는피신청인의퇴직한직원에게신청인을찾아가도록신청인의주소를알려준행위는신청인의지나친대화거부와민원제기에따른해결방안으로피신청인의현장직원이궁여지책으로선택한방법이라고하나, 당시신청인의요금체납사실과피신청인과의분쟁에대한사실등알리고싶지않은사실을가족이알게되는등사생활을침해하는결과를가져옴으로써결코바람직한민원해결방법은아니었다고판단된다. - 116 -
따라서본사건의경우피신청인의이러한행위는정보보호법제 24 조제 1 항규정의제 3 자제공에해당한다고판단된다. 나. 신청인이입은손해및배상액에대한판단 본사건에서피신청인의행위로인하여신청인이입은경제적피해는없으나, 본사건에서피신청인이신청인과의민원해결을위해피신청인의퇴직직원에게주소를알려줌으로써신청인의요금체납분쟁에대한사실을신청인의부모님에게알리는등정신적피해를초래한점이인정된다. 이러한사실을종합적으로고려해볼때피신청인이신청인의개인정보 를피신청인의퇴직직원에게알려준점등신청인이입은정신적인피해 에대해일금 150,000 원을지급함이타당하다고판단된다. 5. 위원회결정 피신청인은신청인이주장하고있는정신적피해에대한배상으로금 150,000 원을지급한다. - 117 -
Ⅳ. 개인정보취급자에의한개인정보훼손 침해 누설사례 < 사례 1> ( 주 )XX 이동통신사대리점직원에의한개인통화내역출력 행위에대한손해배상요구건 사실관계신청인은핸드폰수리를위해해당통신사의임대폰서비스를받는과정에서신청인의핸드폰에저장되어있던전화번호가삭제되었고, 이를복구하는과정에서피신청인이신청인의동의없이통화내역을출력하는등신청인의개인정보를침해하였다고주장하면서이에대한정신적피해로 3,000,000원의손해배상을요구하는분쟁조정을신청 조정결과 신청인이주장하는신청인의개인정보침해를이유로조정신청한신청 인의손해배상청구는이를기각함이타당함 1. 사건개요 신청인조OO( 남 ) 은 2006년 3월 27일신고인의핸드폰수리를위해해당통신사의임대폰서비스를받고자구미시에있는피신청인 XX텔레콤직영대리점을방문하여신청인의핸드폰에저장되어있는전화번호를임대폰으로저장해줄것을요청하였으나, 피신청인대리점직원의실수로신청인의핸드폰에저장되어있던전화번호가모두지워졌다. 이에신청인이저장된전화번호를다시복구해달라고하니피신청인의 대리점직원은이는불가능하다고하며신청인의통화내역을출력한후신 청인에게번호를확인하여이름을불러주면직접입력해주겠다고하였다. - 118 -
이에신청인은신청인의동의없이통화내역을출력하는등신청인의개 인정보를침해하였다고주장하면서이에대한정신적피해로 3,000,000 원의손 해배상을요구하는분쟁조정을신청하였다. 주요쟁점 - 신청인의동의없이피신청인대리점직원이무단으로신청인의통화내역을출력한행위자체가개인정보취급자에의한훼손 침해 누설을금지하고있는정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보보호법 ) 제24조제 4항을위반하는지여부 - 피신청인의대리점직원에의한통화내역출력행위가정보보호법제 28조에서규정하고있는기술적 관리적조치위반에해당하는지여부 2. 당사자주장 가. 신청인 신청인은 2006 년 3 월 27 일경신청인의핸드폰수리를위해해당통신 사의임대폰서비스를받기로결정하고피신청인이직영으로운영하고 있는구미인동대리점을방문하였다. 신청인의핸드폰에저장된번호를임대폰으로이동하여저장하여줄 것을요청하였으나피신청인대리점직원의실수로신청인핸드폰에저 장된번호가모두지워졌다. 이에신청인이저장되어있던번호를다시복구해달라고요청하였으나피신청인대리점의직원은불가능하다고답변하였다. 이후신청인의통화내역을무단으로출력해와서는신청인에게번호와이름을불러주면입력해주겠다고하였다. - 119 -
이때까지만해도피신청인대리점직원의위와같은행위가불법임을알지못하였으나동일시각피신청인인동대리점지점장과지점장의지인이이야기하는중 고객이원하고승인하시면사용내역서를출력해주겠다 고하는대화내용을듣고이런행위가불법임을알게되었다. 이에신청인은피신청인의대리점직원에의해신청인의통화내역이 무단으로열람, 출력된것은불법이라고주장하였다. 나. 피신청인 피신청인은직원실수로삭제된전화번호복구를위하여신청인의통화내역을출력하여삭제된전화번호복구를해보겠다는건의를하였고, 이에신청인은구두상으로동의를하였다. 피신청인이통화내역 3개월분을출력하니신청인이 6개월분까지통화내역을더출력해줄것을요청하였다고함 피신청인은통화기록에남아있는전화번호와그전화번호에해당되는이름을신청인이알려주면이를입력하는방식으로복구를시도하였으나, 신청인은통화내역상의전화번호만으로는누구인지알수없다며개개인에게전화를걸어확인해볼수는있으나 6개월정도가소요되니 6개월분에대한요금감면과 MP3 단말기를무상으로달라는요구를하며요구사항이관철되지않을경우법적소송과각종언론사게시판, XX 텔레콤본사게시판및통신위원회소비자보호센터에폭로하고고발조치하겠다고하였다. 피신청인은신청인이제시한방식으로의전화번호완전복구는곤란하 므로, 사죄를하고 100,000 원정도의요금감면을해드리겠다고제안하였 으나신청인이제안을거부하였다고주장하였다. - 120 -
3. 사실조사 가. 피신청인이신청인의통화내역을출력하게된경위 삭제된전화번호복구를위해통화내역을출력하게되었는바, 이에대해서양당사자의주장이상이하고정황증거제시가불충분하여신청인의사전동의가있었는지정확한판단은곤란하였다. 신청인은피신청인이통화내역열람신청서의접수없이무단으로신청인의통화내역을출력했다고주장하며피신청인은구두상으로사전동의를받았다고주장함 나. 출력한행위의타당성 통화내역열람은본사의특정직원및직영대리점담당직원만이열람가능하며, 이동통신사에서의통화내역열람및출력권한은담당 1인 ( 직영점점장 ) 및사원1 인 ( 영업과장또는선임급직원 ) 등 1~2 명에한하여권한이한정된다. 열람이되는통화내역은착신번호, 발신번호, 통화시각, 사용시간, 요금종류, 문자또는음성메시지사용내역임 이동통신사의통화내역열람은고객의요금정산등과금정보를확인하기위한것으로특정직원에한정하여열람할수있으며, 이는로그기록등으로남게됨 본인이통화내역을열람하기위해선이동통신사본사또는직영점에 내방하여본인확인후통화내역열람신청서를작성하면 6 개월까지의통 화내역열람이가능하다고하였다. 본건에서신청인의통화내역을출력한피신청인직영대리점직원은 통화내역열람및출력에대한접근권한을가진자로서신청인본인의 - 121 -
동의가있었다면그의출력행위는적법한것으로판단된다. 다. 피신청인의사후조치 피신청인은신청인에게사죄하고과실을인정하는뜻으로 10만원정도의요금감면을제안하였으나, 신청인은 6개월분의무료통화와시중가 34만원정도되는 MP3 단말기를무료로지급할것을요구하여피신청인의제안을거부하였다. 또한신청인이본사와정보통신부에민원을넣음으로써본사로부터 CS 점수에대한패널티를받았다. 4. 위원회판단 가. 피신청인의대리점직원이신청인의통화내역을출력한행위가 정보보호법제 24 조제 4 항을위반하는지여부 정보보호법제 24 조제 4 항은이용자의개인정보를취급하거나취급하였던 자는직무상알게된개인정보를훼손 침해또는누설하는것을금지하고 있다. 본사건에서피신청인의대리점직원이신청인의통화내역을출력한행위는원칙적으로신청인의서면동의가필요한행위였으나, 정황상지워진전화번호를복구하기위한긴급조치로서면동의없이구두상신청인의동의하에이루어졌다라고판단되어지나양당사자의주장이상이하여정확한판단을하기는곤란하다. 그러나신청인의요구사항등정황을살펴보면, 명시적동의는아니지 만어느정도의적어도묵시적동의는있었던것으로볼수있다. - 122 -
따라서피신청인의통화내역출력행위가개인정보취급자에의한개인 정보훼손 침해 누설이라고보기에는곤란하다고판단된다. 나. 피신청인의대리점직원에의한통화내역출력행위가접근권한 없는자에의한출력행위로정보보호법제 28 조에서규정하고있 는기술적 관리적조치위반에해당하는지여부 정보보호법제28조및동법시행규칙제3 조의 2의규정에의해마련된 개인정보의기술적 관리적보호조치기준 제 3조제1 항에따르면정보통신서비스제공자등은개인정보를처리할수있도록체계적으로구성한데이터베이스시스템 ( 이하 개인정보처리시스템 이라한다 ) 에대한접근권한을서비스제공을위해필요한최소한의인원에게만부여하도록규정하고있다. 정보보호법제28조는정보통신서비스제공자의개인정보취급시안전성확보를위한기술적 관리적조치를강구하도록규정하고있으며, 이에대한개인정보관리계획의수립 시행등세부지침을고시한바있음 ( 정보통신부고시제 2005-18호 )( 05. 3. 24) 본사건에서피신청인의대리점직원에의한통화내역출력행위가접근권한있는자에의한것인지여부에따라피신청인의기술적 관리적조치위반여부를물을수있을것이나, 사실조사결과신청인의통화내역을출력한피신청인대리점직원은통화내역열람및출력에대한접근권을가진자로조사되어정보보호법제28조를위반하였다고보기어렵다. 다. 신청인이입은손해및배상액에대한판단 본사건에서피신청인의행위로인하여신청인이입은경제적피해는 없다. 또한통화내역출력에대한신청인의서면동의등정확한발급절 - 123 -
차를밟지않은것은피신청인의업무상과실에해당되나신청인의구두상의동의가있었는지여부를판단하기어렵고, 정황상본사건에서의통화내역출력행위가개인정보취급자에의한개인정보제3 자제공등개인정보취급자에대한훼손 침해 누설에대한침해행위 ( 정보보호법제 24조제4항 ) 라고보기어려우며, 접근권한있는관리자에의한출력행위이므로개인정보취급자의개인정보보호에대한기술적 관리적조치 ( 정보보호법제28조 ) 를위반한것이라고판단하기도곤란하다. 본건에서실질적인쟁점은신청인의통화내역열람으로인한개인정보침해문제라기보다는전화번호삭제된부분에대한복구와관련한손해배상여부이므로신청인이주장하는신청인의개인정보침해를이유로조정신청한신청인의손해배상청구는이를기각함이타당하다. 5. 위원회결정 신청인이주장하는신청인의개인정보침해에대한손해배상청구는기 각한다. - 124 -
< 사례 2> ( 주 )A 통신사의개인정보취급관리자에의한개인정보침해에 대한손해배상요구건 사실관계신청인은피신청인직원김모씨가사적인용도로고객정보를불법적으로이용함으로써자신에게정신적피해를입었음을주장하며분쟁조정을요청함 조정결과피신청인직원의가족의욕설등으로인한신청인의정신적피해, 피신청인의민원해결에대한소극적태도및개인정보보호인식부족등의여러정황을종합적으로고려하여볼때, 피신청인은신청인이입은정신적피해에대한배상으로금 2,000,000원을지급하도록결정 1. 사건개요 ( 주 )B사직원이었던신청인양모씨 ( 여 ) 는자신의대리점에피신청인 ( 주 )A사의직원김모씨 ( 여 ) 가방문하여휴대전화고장수리를요청하여이를수리하는과정에서피신청인직원의휴대전화에저장되었던전화번호가삭제되었다. 이에피신청인 ( 주 )A사의직원김모씨는신청인이피신청인의고객임을알고피신청인의고객센터DB를확인하여신청인의전화번호를알아내어전화번호삭제에대해항의하였는데, 이에대해서신청인은피신청인의직원이사적인용도로고객정보를불법적으로이용함으로써자신에게정신적피해를입었음을주장하며분쟁조정을요청하였다. - 125 -
주요쟁점 - 개인정보취급자가직무상알게된고객정보를사적인용도로이용하는것이개인정보취급자의개인정보의훼손ㆍ침해또는누설을금지하는정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보보호법 이라함 ) 제24조제 4항에위배되는지의여부 - 직원의개인정보침해행위에대하여회사에손해배상책임을물을수있는지여부 2. 당사자주장 가. 신청인 신청인은 2006.8.11 오후 7 시경피신청인직원이자신의휴대전화로전 화를걸어고장수리를부탁했던자신의휴대전화에저장되었던전화번호 가모두삭제되었다고항의하였다. 신청인은피신청인직원이자신의동의없이개인정보를내부직원의사적인용도로이용하여개인정보의침해를당했다고주장하며퇴사로인하여발생한경제적피해와정신적피해에대한손해배상을요구하였다. 신청인은피신청인직원및가족의욕설등으로인하여회사에서퇴사하였으며과도한정신적스트레스를받아왼쪽손가락 2개에마비증상이발생하였다고주장함 나. 피신청인 신청인의개인정보를직원이사적인용도로이용한사실을인정하나, 피신청인직원이휴대전화번호가삭제된사실로경황이없었다는점, 사건발생이후에해당직원을퇴사시킨점을고려해본다면신청인이청구하는금액이과도하다고진술은하였으나, 이사건의조사과정에서조사 - 126 -
담당자및사무국장은피신청인의개인정보관리책임자를직접만나자료제출지체등비협조적인태도에대해시정해줄것을요구하여향후적극적으로협조하겠다는답변을들었으나본건에대한소명자료를제출하지않았다. 3. 사실조사 가. 피신청인이신청인의개인정보를사적용도로이용한경위 신청인은 ( 주 )B 사대리점에서근무하며, 피신청인의유선전화서비스의 이용자이다. 피신청인직원 ( 고객센터근무 ) 은 ( 주 )B 사휴대전화서비스의이용자로서 휴대전화기가고장이발생하여신청인이근무하는대리점에수리를의뢰 하였다. 피신청인의직원은자신의휴대전화에저장된번호가삭제되었음을알 았고, 피신청인의고객센터 DB 를통해신청인의휴대전화번호를알아내 어항의전화를하였다. 신청인은고장수리과정에서저장된휴대전화번호가삭제될수있음을사전에피신청인직원에게고지하였다고주장하나, 해당고지는수리를직접담당한 ( 주 )S사서비스센터에서하였으므로신청인주장의진위여부는판단하기곤란하였다. 나. 신청인의피해경위 신청인은자신이민원을제기한이후에 2006.8.14 일피신청인직원의 남편등이신청인의대리점을방문하여그동안의사건을없었던일로하 - 127 -
자고종용하였을뿐만아니라업무를방해하였다고주장하였다. 또한 2006.8.19 일에는피신청인직원의어머니가신청인에게전화하여 고소해서집어넣겠다, 죽여버리겠다, 등의욕설을하였다고주장하였다. 폭언이후에신청인은왼쪽손가락에마비증상이발생하여병원에문의 한바, 병원측에서는심한정신적스트레스가원인이므로치료가필요하 다고답변하였다. 2006.8.22 일에는피신청인직원의남편과이모가대리점을방문하여신 청인을제외하고신청인의대리점사장과합의서를작성하고신청인에게 합의를강요하였다고주장하였다. 2006.8.29일에피신청인의직원은합의금으로금 1,000,000원을지급하였으나신청인은이를피신청인의직원에게반환하였고, 2006.8.31일신청인은피신청인직원의친인척의협박및대리점사장의합의종용등으로근무를지속하기곤란하다고판단하여대리점을퇴사하였다. 다. 피신청인의사후조치 피신청인은상황의심각성을인식하여해당직원을퇴사시켰고신청인 에게금 500,000 원을제시하며합의를시도하였다고주장하였다. 그러나피신청인은해당직원을퇴사시켰다는데큰의미를부여할뿐, 어떠한경위로피신청인직원이고객 DB 를확인할수있었는지소명자료 제출등민원해결을위한적극적인노력을보이지않았다고판단된다. - 128 -
4. 사무국의견 가. 개인정보취급자가직무상알게된고객정보를사적인용도로이 용하는것이개인정보취급자의개인정보의훼손ㆍ침해또는누 설을금지하는정보보호법제 24 조제 4 항에위배되는지의여부 정보보호법제 24 조제 4 항은개인정보취급자나개인정보취급자였던자 가직무상알게된이용자의개인정보를훼손ㆍ침해또는누설하는것을 금지하고있다. 여기에서개인정보취급자에의한개인정보 침해 라함은개인정보를 취급하는직위에있는자가개인정보의수집목적이외의용도로사용하 는행위를모두포함하는것으로해석하는것이타당하다. 본사건에서피신청인직원은고객센터에근무하고있으므로일정한 고객정보를열람할수있는권한을부여받은개인정보취급자에해당한다. 피신청인의직원이통상고객응대업무와전혀상관없이자신의사적인 불만처리를위해고객정보를이용하는행위는정보보호법제 24 조제 4 항의 침해 에해당된다. 따라서피신청인의직원은개인정보를취급하는자로서사적인목적으 로고객의휴대전화번호를이용하였으므로개인정보취급자의개인정보 침해를금지하는정보보호법제 24 조제 4 항을위반하였다고판단된다. 나. 직원의개인정보침해행위에대하여회사에손해배상책임을물을수 있는지여부 피신청인직원은피신청인의지휘 감독하에서사무를집행하는피용 - 129 -
자에해당하고본건에서고객정보를열람한행위는주관적상황과관계없이외형상사무집행에관한행위에해당하므로, 피신청인은직원의침해행위에대하여민법제756조의사용자책임에따라신청인의손해에대하여배상책임을진다고판단된다. 민법제 756 조 제756조 ( 사용자의배상책임 ) 1타인을사용하여어느사무에종사하게한자는피용자가그사무집행에관하여제3 자에게가한손해를배상할책임이있다. 그러나사용자가피용자의선임및그사무감독에상당한주의를한때또는상당한주의를하여도손해가있을경우에는그러하지아니하다. 2사용자에갈음하여그사무를감독라는자도전항의책임이있다. 3전 2항의경우에사용자또는감독자는피용자에대하여구상권을행사할수있다. 다. 신청인이입은피해및배상요구액의적정성판단 본건에서피신청인의행위로인하여신청인이입은경제적피해는없 다고판단된다. 신청인이요구하는퇴사로인하여받지못한급여에해당하는부분은 본건과직접적인인과관계가있다고보기곤란하므로경제적피해로인 정하기어렵다고판단된다. 본건으로인하여신청인은피신청인직원의친인척으로부터협박및모욕적인욕설을당한바, 이로인한인간적인모욕감과신청인의사용자의질책등의심리적부담감으로인하여정신적인스트레스를입었음이인정된다. - 130 -
본건에서피신청인직원의가족의욕설등으로인한신청인의정신적피해, 피신청인의민원해결에대한소극적태도및개인정보보호인식부족등의여러정황을종합적으로고려하여볼때, 피신청인은신청인이입은정신적피해에대한배상으로금 2,000,000원을지급함이타당하다고판단된다. 5. 위원회결정 피신청인은신청인에게금 2,000,000 원을조정이성립된날로부터 7 일 이내에지급한다. - 131 -
Ⅴ. 사업자가개인정보보호기술적 관리적조치를미비한사례 < 사례 1> 초고속인터넷사업자의고객개인정보관리소홀에대한손해배상 요구건 사실관계신청인은피신청인 ( 주 )XXX 의초고속인터넷서비스이용자로서, 2005년 11월소재미상의 ( 주 )OOO 영업점 2곳으로부터 OOO에전환가입할것을권유하는전화광고를수신하였는바, 피신청인이자사고객개인정보에대한관리를소홀히하여신청인의고객정보가유출되었다고주장하며, 이로인해자신이입은정신적피해에대한사과및배상을요구하는분쟁조정을신청 조정결과피신청인은자사의고객개인정보에대한관리소홀로인하여신청인의가입자정보가 ( 주 )OOO 영업점에서초고속인터넷서비스가입유치에이용됨에따라신청인이입은정신적피해에대한보상으로금 200,000원을조정이성립된날로부터 7일이내에신청인에게지급하도록결정 1. 사건개요 신청인은피신청인 ( 주 )XXX 의초고속인터넷서비스이용자로서, 2005 년 11월소재미상의 ( 주 )OOO 영업점 2곳으로부터 OOO에전환가입할것을권유하는전화광고를수신하였는바, 이에신청인은피신청인이자사고객개인정보에대한관리를소홀히하여 ( 주 )XXX 의고객정보가 ( 주 )OOO 영업점으로유출되었다고주장하며, 이로인해자신이입은정신적피해에대한사과및배상을요구하는분쟁조정을신청하였다. - 132 -
주요쟁점 - 피신청인이신청인의개인정보에대한기술적 관리적조치를소홀히하였는지여부 - 피신청인의위탁영업점직원이신청인의개인정보를무단수집한행위에대해피신청인본사가책임을지는지의여부 2. 당사자주장 가. 신청인 신청인은피신청인측이고객개인정보에대한관리를소홀히함에따라 자신의개인정보가 ( 주 )OOO 영업점으로유출되어텔레마케팅등에무단이 용되는등정신적피해를입었다고주장하였다. 신청인은 2005년 11월 15일 OO 인터넷, 11월 17일 인터넷관리센터강북지점 이라는초고속인터넷영업점으로부터 XXX 가입만기가되어가니 OOO 초고속인터넷으로전환가입할것 을권유하는전화를받았다고주장하고특히이들영업점들은신청인의성명, 연락처는물론 ( 주 )XXX 가입고객인사실, 3년가입약정기간등상세한정보를모두알고 TM을하였다고주장하였다. 신청인은자신의개인정보유출경위를파악하기위해피신청인 ( 주 )XXX 동대문고객센터및동대문지역담당영업점, ( 주 )OOO 동대문지역담당영업점 를차례로방문하였으나이들고객센터및영업점은고객개인정보를유출한적이없고, 신청인에게 TM을실시한적이없으며, 신청인에게 TM 전화를한 OO 인터넷 이란곳과도아무런관계가없다고주장하였다. 한편신청인은피신청인동대문지역담당영업점 를방문 - 133 -
했을당시, 동영업점대표인사건외오 OO 이신청인에게폭언과협 박을하였다고주장하였다. 나. 피신청인 피신청인은자사영업점에서설치기사로근무하던사람이 ( 주 )OOO 영업점으로옮기면서신청인의개인정보를유출한것으로추정된다고신청인에게답하였으나본사차원에서고객개인정보유출은없었다고주장하였다. 3. 사실조사 가. 신청인이 ( 주 )OOO 영업점으로부터초고속인터넷전환가입권유 전화를받은경위 신청인은 2006년 11월 15일 OO 인터넷 이라는초고속인터넷영업점으로부터 TM 전화를받고자신의개인정보를어디서수집했는지를물어보았으며신청인주장에따르면 OO 인터넷 이라는영업점은신청인의인터넷개설지점 (XXX 장안지점 ) 에서개인정보를제공받았다고답변한뒤전화를끊었다고하였다. 신청인의확인결과, 신청인은 2002 년서울동대문구지역을관할 하는 영업점에서가입되었으며, 고객관리는 XXX 장안지 점 에서담당하고있었다. 신청인은자신의휴대전화에표시된 OO 인터넷 전화번호 (02-XXXX-YYYY) 를사무국에증거자료로제시하였으나확인결과, 동전화번호는결번인것으로나타났다. - 134 -
나. 신청인의개인정보가피신청인으로부터유출되었는지여부 신청인은인터넷전환가입 TM 전화를받은후자신의개인정보유 출경위를파악하기위해 ( 주 )XXX 고객센터및영업점, ( 주 )OOO 영 업점을방문하였다. 피신청인동대문고객센터담당자는신청인에게 OOO 의동대문담당영업점 의영업팀장김OO이과거 ( 주 )XXX 동대문지역영업점 의설치기사로일했으며, 김OO이신청인을포함한 ( 주 )XXX 고객정보를가지고나가 OOO 영업에활용했을가능성이있다 고말하였으나실제로김OO이 XXX 고객개인정보를유출했는지에대한물증은없다고답변하였다. 이에신청인은피신청인의동대문구지역영업점 를방문 했는바신청인주장에따르면 ' ' 대표인오 OO 이자신에게 폭언과협박을했다고주장하였다. 사실확인결과피신청인 ( 주 )XXX 본사는영업점오 OO 에대해신 청인에게불량한행동을한것을이유로경고조치를한사실을인정 하였다. 한편, 신청인은피신청인이정보유출자로추정한김OO도면담하였는바, ( 주 )OOO 영업점 에서근무하는김OO은자신이 영업팀장 도아니고, 신청인의개인정보를유출하여 OOO 영업에이용한사실도없다고주장하였다. 피신청인의소명에따르면김 OO 은과거피신청인 XXX 설치기사로 근무하며수집한고객정보 ( 초고속인터넷개통작업리스트 ) 를보유하 고있었으며, 다만이고객정보를실제영업에이용했는지는확인이 - 135 -
불가하다고답변하였다. 조사담당자가피신청인 ( 주 )XXX 및 ( 주 )OOO 영업점 에확인한결과, 양영업점은신청인에대해 2005년 11월당시초고속인터넷가입유치 TM을실시한사실이없다고주장하였으나, 이에대한추가적인사실확인은불가능하였다. 피신청인 ( 주 )XXX 본사의소명에따르면신청인의고객정보가 OOO 측에유출된사실이없으며, 신청인의 ( 주 )XXX 가입정보가 ( 주 )OOO 의초고속인터넷가입유치에이용된경위는피신청인본사로서는명확히알수없다고답변하였다. 4. 위원회판단 가. 피신청인이신청인의개인정보가유출되지않도록하기위한 보호조치를소홀히하였는지여부 정보통신망법제 28 조는정보통신서비스제공자가이용자개인정보를취 급함에있어개인정보가분실, 누출되지않도록필요한보호조치를취할 것을규정하고있다. 본사건에서신청인은소재미상의 OO 인터넷 및 인터넷관리센 터강북지점 에서신청인의약정기간등상세한정보를이용하여가 입유치 TM 을실시했다고주장하였다. 피신청인본사에서는자사의고객정보가 ( 주 )OOO 영업점등으로 유출된사실이없다고주장하고있다. 그러나사실확인결과나타난제반상황을고려해볼때, 비록신청인 - 136 -
의주장을뒷받침할구체적증거는없다하더라도과거피신청인영업점에서근무한직원 ( 김OO) 이임의로고객개인정보를수집, 보관한사실및최근본사무국에접수되는동일내용의다수민원, 초고속인터넷사업자영업점의고객유치과잉경쟁으로인한개인정보침해사례등여러정황을고려하여볼때, 이들영업점이신청인의 XXX 고객정보를어떤경로로수집 이용하여 TM을실시한것은분명한사실인것으로판단된다. 최근초고속인터넷사업자영업점등이본사로부터지급되는신규가입 유치수수료를노리고기존고객에대해타사전환가입을권유하는사례가크게증가하고있으며 - 정보통신부는이러한피해사례의원인분석및대응방안마련을위해 2006. 4월 ( 주 ) 케이티, ( 주 ) 하나로텔레콤, ( 주 ) 온세통신, ( 주 ) 데이콤, ( 주 ) 파워콤, ( 주 ) 드림라인등 6개초고속인터넷사업자를대상으로실태조사를실시한바있음 따라서본사건사실조사결과및제반정황을고려하여볼때, 피신청인 ( 주 )XXX는자사의영업점, 설치점등에서고객의개인정보가유출되지않도록충분한보호조치및관리감독을행하였다고보기어려우며이는개인정보보호를위한적절한조치를취하도록규정하고있는정보통신망법제28조에위반되는것으로판단된다. 나. 신청인이입은피해및배상액의산정 신청인은자신의 XXX 가입정보가 ( 주 )OOO 의가입유치 TM 에이용됨 에따라개인정보유출에대한불안감등정신적피해를입은사실이 인정되며또한신청인이항의차방문한피신청인영업점 ( ) 의 - 137 -
대표가신청인에게폭언을하는등정상적인고객응대를하지않아 신청인에게정신적피해를입힌사실이인정된다. 따라서피신청인의행위로인하여신청인이입은피해는금 200,000 원으로산정함이타당하다. 5. 위원회결정 피신청인은신청인이입은정신적피해에대한보상으로금 200,000 원을지급한다. - 138 -
< 사례 2> 유선전화사업자가제 3 자에게요금체납사실을 SMS 로고지한 행위에대한손해배상요구건 사실관계신청인추OO( 남 ) 는피신청인의유선전화사용중신청인의사정으로사업정리시명의변경없이자신의형수가그대로사용하도록하였고, 이후체납요금이발생하였는바, 피신청인이신청인의부하직원에게요금체납관련 SMS 를발송하는등신청인의개인정보를제3 자에게제공하였다고주장하며이에대한정신적손해배상을요구하는분쟁조정을신청 조정결과본건에서피신청인이고객개인정보를오류없이관리하고이것이유출되지않도록기술적 관리적조치를취해야함에도불구하고이에따른주의의무를다하지않았으므로피신청인의고객정보관리미흡으로인한개인정보유출행위는정보보호법제28조기술적 관리적조치위반으로인정되며신청인이입은정신적피해에대한배상으로금 100,000원을지급하도록결정 1. 사건개요 신청인추OO( 남 ) 는피신청인의유선전화사용중신청인의사정으로사업정리시명의변경없이자신의형수가그대로사용하도록하였고, 이후체납요금이발생하였는바, 피신청인이신청인의부하직원에게요금체납관련 SMS 를발송하는등신청인의개인정보를제3 자에게제공하였다고주장하며이에대한정신적손해배상을요구하는분쟁조정을신청하였다. - 139 -
주요쟁점 - 피신청인이요금체납안내 SMS 를신청인이아닌제3 자에게잘못발송한행위가이용자동의없는개인정보제3 자제공행위인지여부 2. 당사자주장 가. 신청인 신청인은피신청인이아무리체납요금안내라고하지만본인여부도확인하지않고관련 SMS 를자신의부하직원에게보냄으로써신청인의개인적인입장이난처하게되었으며, 이에대해피신청인은단순실수이니신청인이이해하라는일방적인통보만을하고있다며이에대한정신적인피해를보상받기원한다고주장하였다. 신청인이제시하는손해배상은현금 30억원또는피신청인대표이사의공개사과, 일간지에사과문게시등임 나. 피신청인 피신청인은신청인의미납요금수납을위해여러차례신청인에게안내장을발송하였으나, 이용요금이계속미납되어서비스사용이력을조회하던중고객이사용중인피신청인의초고속인터넷서비스회선에대한 A/S 신청및주소정정요구건을발견, 최근의신청인연락번호라고생각하여미납안내 SMS 를발송하였다고주장하였다. 3. 사실조사 가. 피신청인이발송한전화요금체납안내 SMS 가신청인의부하직 원에게발송된것을알게된경위 - 140 -
2006 년 3 월경신청인의직장부하직원의휴대폰으로 추 OO 님 000-0000 번전화요금이미납되어있으니정리하지않으면신용불량등록됩니다 라는 문자메시지가 2 회에걸쳐왔다. 신청인은전화요금미납사실에대해서사전에통보받은일이없기에피신청인에게항의전화를하였고, 문자메세지가신청인이아닌신청인의부하직원에게잘못발송된경위를듣게되었다. 신청인은본인명의의일반전화를피신청인에게가입하였고, 사업을그만두면서그전화이용계약을해지하지않고신청인의형수에게인도하였으나, 신청인의형수되는사람이전화요금을미납하였음 나. 피신청인이신청인의부하직원에게체납안내문자메세지를잘못 발송한경위 신청인은자신의회사에서숙소로제공되는아파트에거주하면서피신청인 의초고속인터넷서비스를가입하여사용하고있었다. 최근신청인과같은숙소에살고있는부하직원이동인터넷서비스 A/S 를신청한적이있었으며, 당시 A/S 기사가서비스를신청한부하직원의전화번호를기록해두었으며, 피신청인은이를신청인의휴대전화번호라고생각하여체납안내 SMS 를발송하게되었다. 다. 피신청인의사후조치 2006 년 3 월이후 3 차례신청인에게잘못된 SMS 전송에대하여사과하 였으나신청인이이를거부, 결국분쟁조정위원회에분쟁조정을의뢰하 였다. - 141 -
4. 위원회판단 가. 피신청인이체납요금안내 SMS 를신청인이아닌타인에게발송한 행위가이용자동의없는개인정보제 3 자제공을금지하고있는 정보보호법제 24 조제 1 항을위반하는지여부 정보보호법제 24 조제 1 항의규정에의하면정보통신서비스제공자는사전 에고지또는이용약관에명시한범위를넘어서이용자의개인정보를제 3 자에게제공하는행위를금지하고있다. 본사건에서피신청인의행위는업무상개인정보관리소홀로인해신청인의이용료체납사실등개인정보를신청인의부하직원에게유출한것으로보아야하며, 동의없는개인정보제3 자제공에해당한다고판단하기는곤란하다. 따라서본건에서피신청인이고객개인정보를오류없이관리하고이것이유출되지않도록기술적 관리적조치를취해야함에도불구하고이에따른주의의무를다하지않았으므로정보보호법제28조에서규정하고있는개인정보보호의기술적 관리적조치위반이라고판단된다. 나. 신청인이입은손해및배상액에대한판단 본사건에서피신청인의행위로인하여신청인이입은경제적피해는없다. 그러나고객개인정보관리미흡으로인해체납사실등알리고싶지않 은사실을부하직원이알게하는등정신적피해를입힌점이인정된다. 이러한사실을종합적으로고려해볼때피신청인의고객정보관리미흡으 로인한개인정보유출행위는정보보호법제 28 조기술적 관리적조치위반 - 142 -
으로인정되며신청인이입은정신적피해에대한배상으로금 100,000 원을 지급함이타당하다고판단된다. 5. 위원회결정 본건에서피신청인은신청인이입은정신적피해에대한배상으로금 100,000 원을지급한다. - 143 -
Ⅵ. 수집 제공받은목적을달성한후개인정보를미파기한사례 < 사례 1> 온라인커뮤니티사업자의고객정보미파기및목적외이용에대한 손해배상요구건 사실관계신청인이모씨와정모씨는 A커뮤니티웹사이트에회원으로가입하여서비스를이용하다회원탈퇴를신청하였으나, 이후피신청인이발송한광고성전자우편을수차례수신하여, 이에신청인들은피신청인이탈퇴회원의개인정보를파기하지않았다고주장하며이로인해입은정신적피해에대한보상을요구하는분쟁조정을신청 조정결과사실조사결과, 피신청인은제1, 제2 신청인의회원탈퇴요구에도불응하고수개월간회원탈퇴조치및개인정보파기조치를지연하였음이명백하며피신청인은마치제1, 제2 신청인의회원탈퇴조치및개인정보삭제조치가완료된것처럼하면서실제로는신청인들의성명, 전자우편주소등개인정보를계속보유하고광고성전자우편발송에수차례이용하였음이명백한바신청인들이입은정신적피해에대한보상으로금 400,000원을지급하도록결정 1. 사건개요 신청인이모씨와정모씨는 A커뮤니티웹사이트에회원으로가입하여서비스를이용하다회원탈퇴를신청하였으나, 이후피신청인이발송한광고성전자우편을수차례수신하였다. 이에신청인들은피신청인이탈퇴회원의개인정보를파기하지않고보유하면서이를광고성전 - 144 -
자우편발송에무단이용하였다고주장하며이로인해입은정신적 피해에대한보상을요구하는분쟁조정을신청함 주요쟁점 - 피신청인이탈퇴회원의개인정보를파기하지않고보유하면서광고성전자우편발송에이용한행위가 개인정보수집 제공목적달성시지체없는개인정보파기 를규정하고있는정보통신망법제29조및 동의없는개인정보목적외이용금지 를규정한정보통신망법제 24조제 1항에위반되는지여부 2. 당사자주장 가. 제 1 신청인 신청인은 2005 년말경피신청인의웹사이트에서회원탈퇴를했음 에도불구하고피신청인으로부터수차례광고성전자우편발송이계 속되자 2006 년 3 월경피신청인에게수신거부를요청하였다. 이과정에서제1 신청인은피신청인측으로부터탈퇴후 15일전후까지는광고성전자우편이발송될수있다는답변을들었으나, 제1 신청인은자신이회원탈퇴를한것은수개월전이므로피신청인의해명을수긍할수없다고주장하였다. 나. 제 2 신청인 제 2 신청인은 2006 년 1 월경피신청인의웹사이트에서회원탈퇴를 신청하였으나탈퇴완료조치가즉시이루어지지아니하였으며, 피신청 인으로부터수차례광고성전자우편발송이계속되었다고주장하였다. - 145 -
이에제2 신청인은자신의회원탈퇴완료여부를확인한결과개인정보가삭제되었다는안내를받았으나, 광고성전자우편수신거부를하는과정에서자신의개인정보가삭제되지않고그대로보관되어있는사실을확인하였다고주장하였다. 다. 피신청인 피신청인이제1 신청인은 2005년 11월 10일, 제2 신청인은 2006년 1월 16일에각각탈퇴신청을하였고, 사무국의자료제출요청에따라 2006년 4월 24일에회원정보를확인하였을때이미탈퇴처리가완료된것을확인하였다고주장하였다. 피신청인은웹사이트회원들의회원탈퇴요구가있는경우시스템을통한자동조치를취하여왔으나 2005년 10월경고객정보데이터베이스통합과정에서시스템오류가발생한이후시스템을통한즉시조치가이루어지지않았으며, 이후회원탈퇴요구가있는경우에는우선해당회원의비밀번호를변경한뒤, 회원탈퇴예정자 로별도분류하고매일직원의수작업을통해처리를하고있다고해명하였다. 이때, 탈퇴신청자의비밀번호를변경하는것은탈퇴처리도중사용자가로그인을함으로써데이터베이스에변경이생기는것을방지하기위함이라고주장하였다. 이과정에서인력의부족등으로인해수작업을통한회원탈퇴처리가지연되어이용자가탈퇴신청을한뒤에도즉시개인정보가파기되지않았으며 2006년 4월현재까지시스템복구가완벽히이루어지지않음에따라탈퇴회원의정보가 DM 발송그룹 에서삭제되지아니하여결과적으로신청인들에게광고성전자우편이발송된것이라고답변하였다. - 146 -
3. 사실조사 가. 제 1 신청인이회원탈퇴후온라인 A 커뮤니티로부터광고성 전자우편을받게된경위 제1 신청인은피신청인웹사이트에서 2005년 11월말경회원탈퇴신청을하였으나이후에도몇달간수차례에걸쳐자신을수신인으로하는광고성전자우편을수신하여피신청인웹사이트에서회원가입여부확인을해본결과 존재하지않는아이디 로나타남을확인하였다. 이에제1 신청인은 2006년 3월 20일피신청인에게전자우편수신거부를요청하였으며 3월 20일당일에피신청인담당자로부터 탈퇴후 15일전후까지는광고성전자우편이발송될수있으며, 담당부서에제1 신청인의전자우편주소삭제를요청했다는내용의답변을받았다. 하지만이에대해제1 신청인은자신이회원탈퇴를한것은 2005 년 11월경이므로피신청인의주장이타당치않다고주장하였다. 이후제 1 신청인은 2006 년 4 월 3 일피신청인이발송한광고성전 자우편을또다시수신하였다. 나. 제 2 신청인이회원탈퇴후온라인 A 커뮤니티로부터광고성 전자우편을받게된경위 제2 신청인은 2006년 1월경피신청인의웹사이트에서탈퇴신청을하였으나그이후에도수차례에걸쳐피신청인이발송한전자우편을수신하여 2006년 3월 11일자신의회원정보를확인해본결과, 자신의아이디가그대로존재하였으며단지비밀번호만자신이쓰던비밀번호가아닌 탈 **** 로변경되어있는것을발견하였다. - 147 -
제2 신청인은 2006년 3월 17일피신청인에게메일을통해개인정보미파기및광고성전자우편발송에대한해명을요청하였으며당일피신청인으로부터 탈퇴신청처리과정에서오류가있어처리완료가되지않았으며, 탈퇴신청을완료했다 는내용의답변을받았다. 그러나제2 신청인은 2006년 4월 5일피신청인이발송한광고성전자우편을또다시수신하였으며수신거부메뉴를클릭해본결과 이 OO 님의타겟메일수신거부페이지입니다 라는메시지가나타나는것을확인하였다. 제 2 신청인은피신청인의광고성전자우편을재차수신한후자신의 회원가입여부를즉시조회해본결과, 등록되지않은이용자 로나타 나는것을확인하였다. 다. 피신청인이신청인들의개인정보를미파기하고광고성전자 우편을발송한경위 피신청인은자사의시스템오류에따라회원탈퇴요구에대해수작업 으로탈퇴조치를취하는과정에서신청인들의회원탈퇴및개인정보파 기가지연된것이라고주장하였다. 그러나사무국사실조사결과, 피신청인은신청인들의회원탈퇴요구이후에도수개월간에걸쳐회원탈퇴조치및개인정보삭제조치를취하지않았음이명백하며이는비록직원의수작업으로정보삭제조치를취한것을감안한다하더라도사회통념상소요되는기간을훨씬초과한것으로판단된다. 또한신청인들이제시한증거자료에따르면, 마치회원탈퇴및정보 - 148 -
삭제조치가완료된것처럼하고있으나실제로는광고성전자우편발 송을위한별도의데이터베이스를그대로유지하고있음이확인되었다. 4. 위원회판단 가. 피신청인의행위가개인정보의수집 제공받은목적달성후지 체없는개인정보파기를규정한정보통신망법제 29 조에위반 하는지여부 정보통신망법제 29 조는개인정보의수집목적또는제공받은목적을 달성한때에는당해개인정보를지체없이파기할것을규정하고있다. 그러나사실조사결과, 피신청인은제 1, 제 2 신청인의회원탈퇴요구 에도불응하고수개월간회원탈퇴조치및개인정보파기조치를지 연하였음이명백하다. 따라서피신청인은신청인들이제공한개인정보를수집 제공받은목적달성이후에도계속보유한것에해당하므로, 개인정보수집또는제공받은목적달성후개인정보파기를규정하고있는정보통신망법제29조를위반한것으로판단된다. 나. 피신청인의행위가당사자동의없는개인정보의목적외이용을 금지하고있는정보통신망법제 24 조제 1 항에위반하는지여부 정보통신망법제 24 조제 1 항은당해이용자의동의가있는경우를제 외하고는고지 명시한범위를넘어개인정보를이용하는행위를금지 하고있다. 그러나사실조사결과, 피신청인은마치제 1, 제 2 신청인의회원탈퇴 - 149 -
조치및개인정보삭제조치가완료된것처럼하면서실제로는신청인들의성명, 전자우편주소등개인정보를계속보유하고광고성전자우편발송에수차례이용하였음이명백한바, 이는신청인들이제공한개인정보를당초의수집 제공받은목적외로이용한것으로서정보통신망법제24조제1 항위반으로판단된다. 다. 신청인이입은피해및배상액의산정 본사건에서피신청인의행위로인하여신청인들이입은경제적 피해는없다. 그러나신청인들이회원탈퇴신청이후에도피신청인은개인정보를삭제하지않고계속하여보유하면서광고성전자우편발송에이용함에따라자신들의개인정보가무분별하게보관 이용되고있다는불안감및스트레스등정신적피해를입었음이인정된다. 이러한사실을종합적으로고려하여볼때, 피신청인은신청인들이 입은정신적피해에대한배상으로금 400,000 원을지급함이타당하 다고판단된다. 5. 위원회결정 피신청인은신청인에게금 400,000 원을조정이성립된날로부터 7 일 이내에지급한다. - 150 -
Ⅶ. 개인정보수집 이용에대한동의철회, 열람, 정정요구불응사례 < 사례 1> ( 주 )A 사의개인정보정정요구불응및미정정정보이용에 대한손해배상요구건 사실관계신청인은피신청인 ( 주 )A사로부터자신이연체하지않은인터넷서비스이용요금연체에대한미납요금변제최고장을 6년간지속적으로받아이에대한정정요청을수차례하였으나제대로정정되지않아지속적으로미납요금변제최고장을받았다고주장하며이에대한배상을요구하는분쟁조정을신청 조정결과사실조사결과피신청인 ( 주 )A사는 6년간신청인의정정요구를근본적으로이행하지아니하고, 신청인의정보를채권추심업체에여러차례제공하여신청인으로하여금미납요금독촉장을받게하는등신청인에게입힌정신적인피해가상당하다고판단하여신청인이입은정신적피해에대한보상으로금 2,000,000원을지급하도록결정 1. 사건개요 신청인장모씨 ( 남, 만36세 ) 는 2005년 10월경 OO신용평가정보 ( 주 ) 로부터피신청인 ( 주 )A사의미납요금변제최고장을받고이에대하여피신청인에게문의한결과, 지난 1997년피신청인 ( 주 )A가운영하던 B PC통신동호회의인터넷정보통신서비스공동구매를통하여동사인터넷서비스 ID를부여받았으나, 2000년부터당시 B PC 통신동호회의공동구매를통해인터넷정보통신서비스에가입한실사용자들의인터넷서비스이용요금이체납되기시작하면서그체납요금이전산상대표사용자로되어있던신청인에게청구되 - 151 -
기시작하였다는것을알게되었다. 이에신청인이수차례잘못된것에대 한정정을요구하였음에도불구하고이러한미납요금변제최고장이 6 년간 신청인에게발송되었다고주장하였다. 주요쟁점 - 신청인의개인정보정정요구에도불구하고 5년이상정정하지않고신청인에게매년미납요금변제최고장을보낸피신청인의행위가정보보호법제 30조제 4항과제5 항에서규정하고있는개인정보정정요구불응과정정하지아니한정보이용에해당하는지여부 2. 당사자주장 가. 신청인 신청인은 2000년부터 2005년 10월까지피신청인 ( 주 )A의과실로인하여자신이연체하지않은인터넷서비스사용요금에대하여 OO신용평가정보 ( 주 ) 로부터 ( 주 )A 미납요금변제최고장을받았고, 이에대한정정요구를수차례해왔으나제대로정정이되지않아지금까지자신이연체자로등록되어체납고지서를받는등지난 6년동안막대한정신적인피해를입었다고주장하며이에대해업체의재발방지확약및정신적피해에대한손해배상을요구하는분쟁조정을신청한다고주장하였다. 나. 피신청인 피신청인은이번사건은 ( 주 )A의영업위탁점의영업행위에대한관리미흡과 ( 주 )A의전산미비와업무처리소홀로인한사항으로개인정보침해와무관하다고주장하나, 신청인이자사의업무상과실로입은정신적인피해에대해서는소정의손해배상을해줄의향이있다고하였다. - 152 -
3. 사실조사 가. 신청인이 ( 주 )A 체납요금납부독촉장을받게된경위 신청인은 1997년당시 PC 통신동호회에서인터넷정보통신서비스를공동구매를통해구매하였는데, 피신청인은 1997년당시 ( 주 )A 영업위탁점인 OO 전자 에서 B PC 통신동호회의인터넷정보통신서비스공동구매를유치하여서비스 ID를부여하면서신청인을대표사용자로일괄처리하였다. 2000년이후당시 B PC 통신동호회의공동구매를통해인터넷정보통신서비스에가입한실사용자들의인터넷서비스이용요금이체납되기시작하면서그체납요금이전산상대표사용자로되어있던신청인에게청구되기시작하였다. 피신청인은신청인명의의 ID를실사용자명의로명의변경하는과정에서전국의각지역전산국에서오류를정정하여야하는데단지서울전산국에서관리하고있는 ID만을처리하고지역전산국에서관리하는 ID 를누락함으로써신청인명의의일부 ID가여전히지방에서사용되고있었고, 여전히지방에서신청인명의로사용되고있던인터넷정보통신서비스고객의 ID 이용요금이체납되자, ( 주 )A의체납요금추심대행기관인 OO신용평가정보 ( 주 ) 에서신청인에게체납요금추심통지서를발송하였다. 당시인터넷정보통신서비스공동구매는 B PC 통신동호회전국회원을대상으로이루어졌기때문에신청인명의의 ID가전국에서사용되어왔음 나. 피신청인의사후조치 피신청인 ( 주 )A 는지역전산국 (9 개 ) 으로부터현재전국에서사용되고 - 153 -
있던신청인명의의 ID 를전부받아서현재사용중인 ID 는실사용자에게 명의변경하고해지된 ID 의체납요금 (107,724 원 ) 은전부감액처리하였다. 4. 위원회판단 가. 신청인의개인정보정정요구에도불구하고 6년간정정하지않고신청인에게매년미납요금변제최고장을보낸피신청인의행위가정보보호법제30조제4 항에서규정하고있는개인정보정정요구불응에해당하는지여부 정보보호법제 30 조제 4 항은 정보통신서비스제공자등은제 2 항의규정에 의하여오류의정정요구를받은경우에는지체없이필요한조치를취하여 야한다 고규정하고있다. 그러나본사건에서피신청인은신청인의계속적인개인정보정정요구에대하여매년지체없이조치를하였다고주장하고있지만 6년간반복적으로미납요금변체독촉장을발송케하는원인을제공하는과실을반복한행위는신청인의정정요구에대한필요한조치를취하지않은것으로판단된다. 따라서피신청인의행위는정보보호법제30조제4 항에서규정하고있는 정보통신서비스제공자등은제2항의규정에의하여오류의정정요구를받은경우에는지체없이필요한조치를취하여야한다 라는조항을위반한것으로판단된다. 나. 신청인의개인정보를채권추심업체인 OO 신용평가정보 ( 주 ) 에제 공한행위가정보보호법제 30 조제 5 항에서규정하고있는개인 정보오류정정요구접수후미정정정보이용에해당하는지여부 정보보호법제 30 조제 5 항은 정보통신서비스제공자등은제 2 항의규정에 - 154 -
의하여오류의정정요구를받은경우에는그오류를정정할때까지당해 개인정보를제공또는이용하여서는아니된다 라고규정하고있다. 본건에서피신청인은신청인의서비스이용요금을체납하지않은것에대한오류의정정요구에도불구하고오류를정정하지아니하고실제체납자인지여부를확인하지아니한채신청인의정보를채권추심업체에게제공하였다. 따라서피신청인이신청인이요청한정보의정정요구접수후근본적으 로정정하지않은정보를채권추심업체에제공한행위는정보보호법제 30 조 제 5 항규정을위반한다고판단된다. 다. 신청인이입은손해및배상액에대한판단 본사건에서피신청인의행위로인하여신청인이입은경제적피해는없다. 그러나본사건에서피신청인이 6년간신청인의정정요구를근본적으로이행하지아니하고, 신청인의정보를채권추심업체에여러차례제공하여신청인으로하여금미납요금독촉장을받게하는등신청인에게입힌정신적인피해가상당하다고판단된다. 이러한사실을종합적으로고려해볼때, 신청인이주장하고있는정신적 피해에대한배상으로금 2,000,000 원을지급함이타당하다고판단된다. 5. 위원회결정 피신청인은신청인에게금 2,000,000 원을조정이성립된날로부터 7 일 이내에지급한다. - 155 -
< 사례 2> 통신사업자가개인정보열람내역및제 3 자제공내역에대한 열람을거부한건 사실관계신청인은피신청인 A( 주 ) 의 B지점에방문하여개인정보열람내역및제3자제공내역에대한열람을요청하였으나해당내용에대해피신청인의검토후이상이없으면열람은불가하다는답변을받은것에대해이용자의권리가침해되었다고주장하는분쟁조정을신청 조정결과피신청인은신청인이요구한개인정보열람내역, 이용내역및제 3자제공내역중통신사실확인자료등통신비밀보호법또는관련법률에서예외적으로규정한항목이외의사항에대해서는그존재여부및구체적내역에대해서신청인이열람할수있도록필요한조치를취할것을시정권고하도록결정 1. 사건개요 신청인박모씨 ( 남 ) 는 2006. 9. 26 일 A( 주 ) 의 B지점에방문하여개인정보열람내역및제3 자제공내역에대한열람을요청하였으나해당내용에대해피신청인의검토후이상이없으면열람은불가하다는답변을받았다고주장하며이에대해개인정보열람내역및제3 자제공내역에대한열람불응으로인해이용자의권리가침해되었다고주장하는분쟁조정을신청하였다. 주요쟁점 - 이용자가정보보호법제 30 조제 2 항및제 4 항규정에따라자 신의개인정보열람내역또는개인정보를이용하거나제 3 자 - 156 -
에게제공한내역을요구하는경우정보통신서비스제공자등은 신청인이요구한모든사항에대해지체없이필요한조치를 취하여야할책임이있는지여부 2. 당사자주장 가. 신청인 신청인은피신청인 A( 주 ) 의이용자로서자신의개인정보열람내역및제 3 자제공내역을열람할권리가있음에도, 피신청인이이에불응하고있는데, 이는정보보호법제 30 조제 2 항및제 4 항에대한위반이라고주장하였다. 신청인은피신청인에의해개인정보열람에대한모든권리를침해받 았다고주장하며이에대해분쟁조정위원회의판단을구하며분쟁조정을 신청하였다. 나. 피신청인 피신청인은개인정보열람내역및제3 자제공내역은기밀이포함된회사내부자료로서사외비로취급되어개인의신상정보또는서비스이용내역관련정보와는달라이용자에게열람시켜주는데어려움이있다고주장하였다. 다만, 고객으로부터개인정보유출관련또는수사기관에신고한내용 이있는경우에한해접수확인서에의거제한적으로당사에서보관하고 있는로그자료를제공하고있다고답변하였다. - 157 -
3. 사실조사 가. 신청인이피신청인에게개인정보열람내역및제 3 자제공내역을요청 한경위 신청인은 2006년 9월 26일 A( 주 ) 의 B지점을방문하여자신의개인정보열람내역및제3 자제공내역에대한열람을요청하였으나해당내용에대한열람신청서가구비되어있지않아임의로서류를작성하여피신청인에제출하였다. 신청인은 2006 년 9 월 27 일 A( 주 ) 의 B 지점의노모씨와전화연결을통 해해당내용에대한피신청인의자체검토결과이상이없으므로열람 할수없다는안내를받았다. 나. 피신청인이열람을불허한사유 피신청인은신청인이요청하는개인정보열람내역및제 3 자제공내 역은사외비로취급되고있기때문에이를이용자가열람하는데있어어 려움이있다고주장하였다. 다만, 개인정보유출과관련하여신청인이구체적인피해에대해서자 사에신고하면, 이에대해확인하여정보유출등문제가발생한경우에 는고객에게제한적으로열람정보를제공한다고답변하였다. 또한, 개인정보의제 3 자제공내역에대해서는수사기관의협조요청 에따라정보를요구할시에만제한적으로제공할수있으며, 그외에 는제공할수없도록하고있다고답변하였다. - 158 -
다. 피신청인의사후조치 피신청인은신청인이요청한개인정보열람및제 3 자제공내역에대 한열람권한에대해법무팀에서검토하겠다는의견을피력하였다. 4. 사무국의견 정보보호법제30조제2 항은이용자가정보통신서비스제공자에대하여자신의개인정보에대한열람또는개인정보를이용하거나제3 자에게제공한내역을요구할수있다고규정하고있으며, 제30조제4 항은정보통신서비스제공자등이제2 항의규정에의하여이용및제공내역요구를받은경우에는지체없이필요한조치를취하여야한다고규정하고있다. 본건에서피신청인은신청인이자신의개인정보의열람및이용 제공한 내역의열람요청에대하여구체적인개인정보피해와관련한정황이있는 경우에이를확인하여제한적으로열람하도록하겠다고답변하였다. 판단컨대, 정보보호법제30조는이용자가자신의개인정보가어떻게저장되고이용되는지, 그리고제공되는지에대해확인할권리를보호하는것이므로, 본건에서피신청인이신청인자신의개인정보열람요구권을무조건거부하는것은정보보호법위반이라볼수있으며, 따라서피신청인은신청인이요구하는개인정보항목중통신비밀보호법등관련법률에서규정한사항을제외하고는신청인의요구에필요한조치를취하여할의무가존재한다. 따라서위원회는피신청인은신청인이요구한개인정보열람내역, 이용내역및제3 자제공내역중통신사실확인자료등통신비밀보호법또는관련법률에서예외적으로규정한항목이외의사항에대해서는그존재여부및구체적내역에대해서신청인이열람할수있도록필요한조치를취할것을시정권고함이타당하다고판단된다. - 159 -
5. 위원회결정 피신청인은신청인이요구한개인정보열람내역, 이용내역및제3 자제공내역중통신사실확인자료등통신비밀보호법또는관련법률에서예외적으로규정한항목이외의사항에대해서는그존재여부및구체적내역에대해서신청인이열람할수있도록필요한조치를취할것을권고한다. - 160 -
Ⅷ. 기타 < 사례 1> 위성방송사영업점의고객개인정보를이용한텔레마케팅 행위에대한손해배상요구건 사실관계신청인은자신이제1 피신청인 (X위성방송) 에게제공했던개인정보를자신도모르는아무런관계없는영업점 ( OO IT몰 ) 에서전화광고에이용한것은개인정보의유출이라고주장하며, 제1 피신청인 (X위성방송 ) 및제2 피신청인 ( 제1 피신청인과가입자유치영업위탁계약을맺고이를다시하위영업점인 OO IT몰 와의재위탁계약을맺은사업자 ) 에대한손해배상을요구하는분쟁조정을신청 조정결과사실조사결과제1 피신청인및제2 피신청인은정보보호법상의정보통신서비스제공자에해당되지않으므로동법규정의적용이곤란하며, 또한본건의내용이신청인의피해와개인정보침해와는상당인과관계가존재한다고보기어려워신청인의손해배상청구를기각함 1. 사건개요 신청인문모씨 ( 남 ) 는 2005. 8. 14 일경제 2 피신청인 (Y 남부지사 ) 의 OO IT 몰 이 라는곳에서휴대폰단말기를무료로지급한다는고객사은행사와관련한광 고전화를받고휴대폰을신청하였다. 그러나배송되어온휴대전화단말기는액정이흐리고소리가잘들리 지않는불량품이었으며, 무료라고했던단말기도 2 년약정으로월 - 161 -
14,900 원씩고지가되어있었다. 이에신청인은휴대폰을신청한것과는별도로자신이제1 피신청인 (X 위성방송 ) 에게제공했던개인정보를자신도모르는아무런관계없는영업점 ( OO IT몰 ) 에서전화광고에이용한것은개인정보의유출이라고주장하며, 제1 피신청인 (X위성방송) 및제2 피신청인 ( 제1 피신청인과가입자유치영업위탁계약을맺고이를다시하위영업점인 OO IT몰 과의재위탁계약을맺은사업자 ) 에대한손해배상을요구하는분쟁조정신청을우리위원회에신청하였다. 주요쟁점 - 피신청인이정보통신망이용촉진및정보보호등에관한법률의 ( 이하 정보보호법 이라한다 ) 정보통신서비스제공자에해당하는지여부 - 본사건이본위원회의조정범위에해당되는지여부 2. 당사자주장 가. 신청인 신청인은제1 피신청인 (X위성방송) 이본인의개인정보를유출하여제2 피신청인 (Y남부지사) 의 OO IT몰 이라는대리점에서사기성무료핸드폰행사를하였다고주장하며이는명백히개인정보제3 자제공이라고주장하였다. 나. 제 1 피신청인 제 1 피신청인은자사와영업위탁계약이종료된 'Y 남부지사 ' 의하위유 통망인 OO IT 몰 이자사의대리점이라고사칭하여자사의가입자를대 상으로 XX 텔레콤번호이동영업을하였으며, 이를인지한 Y 남부지사 측 - 162 -
에서항의를하자 2005 년 9 월부터 OO IT 몰 이 X 위성방송대리점사칭 을중단하였다고하였다. 제1 피신청인은신청인이주장하는것처럼신청인의개인정보를유출한적이없으며, 자사의영업위탁대리점과의계약기간중해당대리점이유치한가입자의정보만확인할수있도록전산시스템을관리하므로모든가입자정보를대리점이조회할수없다고주장하며, 특히 OO IT 몰 의경우 2005년 4월계약이해지되면서전산시스템에접속할수있는권한마저상실된상태이고, 본건은그이후에발생한것이므로제1 피신청인의가입자정보를이용한영업은불가능하다고주장하였다. 다. 제 2 피신청인 제 2 피신청인 Y 남부지사 는신청인과영업위탁계약 (2005 년 1~4 월 ) 을맺 고, 이를위해동기간동안 Y 남부지사 6 팀 ( OO IT 몰 ) 에게 TM 영업을재위 탁하였으며이영업은 2005 년 4 월부로종료되었다고하였다. 제2 피신청인은 2005년 7~8 월경 OO IT 몰 이 X위성방송가입자를대상으로 XX텔레콤휴대폰을사은품으로주는영업을하는것에대해서문제가많음을제1피신청인으로부터통보받고조사해본결과, OO IT 몰 이 X위성방송대리점을사칭하여기존에유치를하였던고객또는불특정다수인을상대로하여 XX텔레콤휴대폰을사은품으로준다는전화광고를진행한것이라고주장하였다. 제2 피신청인은신청인이요구하는부분, 즉최신형휴대폰단말기로교체를원하는부분에대해서는무상으로지급할수있는단말기기종의범위를넘어서는무리한요구이기에도저히수용할수없으며, 단말기때문에빚어진분쟁을신청인이개인정보침해문제로확대하여제기한것이라고주장하였다. - 163 -
3. 사실조사 가. 제 1 피신청인, 제 2 피신청인및 'OO IT 몰 의계약관계 앞에서당사자가주장한바와같다. 나. OO IT 몰 이신청인에게 XX 텔레콤번호이동권유전화판매를한 경위 OO IT 몰 은 Y 남부지사 와의영업위탁계약이해지된이후인 2005 년 7 월 ~8 월경 X 위성방송가입자를대상으로번호이동을할경우무료로 XX 텔레콤휴대폰을사은품으로주는 TM 영업을하였다. 이때 OO IT 몰 은자신이 X 위성방송대리점이라고사칭하면서, X 위 성방송을이용하는분들에게사은품으로 XX 텔레콤휴대폰을무료로드 린다 는내용의 TM 을하였다. 다. 피신청인의사후조치 제1 피신청은본사건에대하여영업위탁계약이종료된상황에서하부유통망이자사를사칭하여다른영업행위를한것에대하여부당영업경고조치를하였으며, 자사의고객을상대로영업행위가이루어진점등을고려하여고객의불만사항을원만하게해결하도록지시하였다. 제2 피신청인은고객의불만사항의주요원인인단말기문제에대해서한단계높은단말기를교체해주려하였으나신청인이거절하였고, 단말기할부금을지원하는형태에서일시납으로처리하려하였으나이역시신청인이거절하였다. - 164 -
4. 위원회판단 가. 피신청인이정보보호법적용대상인지여부 본사건에서제 1 피신청인은디지털위성방송서비스를제공하는사업자로 방송법 에서규정하고있는 방송사업자 에해당된다. 또한제2피신청인은이동통신사업자대리점등록및전화권유판매업을등록한사업자로써정보보호법에서규정하고있는정보통신서비스제공자에는해당되지않는다. 따라서피신청인에게정보보호법의규정을적용하기곤란하다. 방송법제 2 조 정보보호법제 2 조 ( 용어의정의 ) 1 이법에서사용하는용어의정의는다음과같다. < 개정 2004. 3. 22> 3. 방송사업자 라함은다음각목의자를말한다. 다. 위성방송사업자 : 위성방송사업을하기위하여제 9 조제 2 항의규정에의하여허가를받은자 나. 본사건이위원회의조정범위에해당되는지여부 본위원회는정보보호법위반사항이아니거나당사자가정보통신서비스 제공자및이용자가아닌경우에도, 원칙적으로개인정보에관한분쟁에관 해서는위원회의조정범위에포함시킨다는입장을견지하여왔다. 신청인은본사건의제 1 피신청인이영업위탁점인제 2 피신청인에게자신의 - 165 -
개인정보를유출하여동사건이발생하였다고주장하며피해구제를요구하 므로본위원회에서심의함이타당하다고판단된다. 그러나본건에서제1 피신청인및제2 피신청인은정보보호법을적용하기곤란하여동법을위반하였다고판단하기어렵다는점, 신청인이피신청인과의거래관계를상당기간유지하였던점등정황을고려하면, 신청인이주장하는손해배상의주요원인이동의없는개인정보의이용등개인정보침해와는상당인과관계가존재한다고보기어렵고, 오히려본건의성격이전화권유판매행위과정에서의기망행위와관련한문제로보는것이타당할것으로판단된다. 따라서개인정보침해를이유로조정신청한신청인의손해배상청구는이 를기각함이타당하다. 본사건에서제2 피신청인은영업점 OO IT몰 을통하여 X위성방송고객을대상으로 XX텔레콤으로번호이동을할경우무료로핸드폰을지급하는것처럼신청인을기망하여핸드폰번호이동영업행위를하였으며, 실제로무료로단말기를지급한다는부분은신청인이단말기값을할부로先지불한후업체가고객의계좌로입금해주는형태로써진정한의미의무료지급과는거리가있다고판단됨 비록현재제2 피신청인이신청인의항의에따라단말기가격만큼전화요금에서차감하고있지만, 신청인이계약당시이해한단말기무료지급의부분과는방법상의차이가있으며, 이는신청인을기망한부분으로판단됨 - 166 -
방문판매등에관한법률제 11 조 제11조 ( 금지행위 ) 1방문판매자등은다음각호의 1에해당하는행위를하여서는아니된다. 1. 생략 2. 허위또는과장된사실을알리거나기만적방법을사용하여소비자를유인또는거래하거나청약철회등또는계약의해지를방해하는행위 다. 결론 제1 피신청인및제2 피신청인은정보보호법상의정보통신서비스제공자에해당되지않으므로동법규정의적용은곤란하다. 또한본건의내용이신청인의피해와개인정보침해와는상당인과관계가존재한다고보기어려워신청인의손해배상청구를기각함이타당하다. 5. 위원회결정 신청인의손해배상청구를기각한다. - 167 -
< 사례 2> 게임사업자의명의도용방조행위에대한손해배상요구건 사실관계신청인갑, 을, 병은언론보도를통해피신청인 ( 주 )A사의 R게임에서대량명의도용사실을접하게되어확인해본결과, 자신의명의가도용된것을알게되어피신청인이명의도용을방치하여자신의개인정보가침해되었다고주장하며이에대한배상을요구하는분쟁조정을신청 조정결과사실조사결과피신청인 ( 주 )A사는자사의서비스제공과정에서대량의명의도용문제가발생하고있다는사실을인지하고있었음에도불구하고본인의실질적인동의획득노력을다하지아니고이를방조하여신청인에게입힌정신적인피해가상당하다고판단하여신청인이입은정신적피해에대한보상으로금 100,000원을지급하도록결정 1. 사건개요 신청인갑, 을, 병은언론보도를통해피신청인 ( 주 )A의대량명의도용사건을접하고자신의성명과주민등록번호를조회해본결과제3 자에게도용당하였음을확인하고, 피신청인은영업이익만추구할뿐사전에명의도용에관해인식하고있었음에도이를방지하기위한노력을하지않았다고주장하면서정신적피해배상을요구하는분쟁조정을신청하였다. 주요쟁점 - 신청인과피신청인이정보통신망이용촉진및정보보호등에관한 법률 ( 이하 정보보호법 이라함 ) 상의이용자관계에있는지여부 - 168 -
- 피신청인이제 3 자에의한도용행위에대하여주의의무를소홀히 하여도용자의불법행위를방조하였다고볼수있는지여부 2. 당사자주장 가. 신청인 신청인은피신청인이사전에대량의명의도용사건을인식하고있음에도불구하고이를방지하기위한노력을하지않았으며, 명의도용피해사실이언론에알려지자피신청인이가입절차를개선하여휴대전화인증시스템을구비하였는데, 이는대량명의도용사건을사전에충분히방지할수있었음에도사건발생후에야뒤늦게조치를취한것이라고주장하였다. 나. 피신청인 본사건은약관에서금지하는아이템현금거래를통해수익을얻는이른바 작업장 이라고하는불법행위자들이피신청인의게임서버, 네트워크직접해킹, 이용자들의계정을도용하는공격등을시도함으로써발생한것으로서, 피신청인은법령에서요구하는의무를성실히이행하여왔으며도용자 ( 작업장 ) 와는어떠한관련공동성도없으므로, 도용된개인정보가피신청인의서비스가입신청에이용되었다는점만을근거로과실책임을논할수없다고주장하였다. 3일무료계정이란유료정액게임을처음부터결재한후이용하기를꺼려하는이용자들을위한 3일무료체험서비스로 3일이후로그아웃을하지않을경우에최대 10일까지무료게임이가능 - 169 -
3. 사실조사 가. 사건개요 피신청인이제출한소명자료에따르면, 2005. 10월부터 R게임의신규회원수가비정상적으로급증하였는데이중상당수의회원이명의도용에관련되어있었으며, 특히 2006. 1월에는특정이메일계정1 2 개에약 10만명의회원가입이이루어진것이확인되었다. 2006. 1. 1일 3. 2일동안총1,081건의사건이한국정보보호진흥원개인정보침해신고센터및개인정보분쟁조정위원회에접수됨 경찰청사이버테러대응센터는구체적인개인정보유출및도용경로에대해소위 게임작업장 을운영하는자들에의한행위라고중간수사결과를발표하였다. 게임작업장이란집단적으로게임아이템및사이버머니를생산하여거래사이트등을통해현금화하는영리집단을말하여, 인건비가적게드는중국에주로위치하고있는것으로파악됨 나. 사건발생원인 피신청인의 R게임은이용자의이름과주민등록번호의일치여부만으로본인확인을하고, 3일무료계정서비스 를통해신규회원가입후 3일간게임을무료로이용하고사이버머니를모을수있도록한점등을고려할때도용이용이한이름과주민등록번호만을본인확인수단으로한점, R게임을통해모은사이버머니와게임아이템은중개사이트를통해현금으로거래되고있어 3일무료계정서비스 를통해 게임작업장 에서타인의정보를도용하고자하는유인을제공하였다고판단된다. - 170 -
R게임회원가입절차 o 이름과주민등록번호를입력하여최초실명인증을받은후기타사항을입력하면가입됨 - 회원가입은필수입력사항과그외정보입력으로구성되어있으며이름, 주민등록번호, 계정명, 비밀번호, 이메일등이필수입력사항임 - 최근도용사건으로인하여 06. 2월부터휴대전화인증을위해가입자의휴대전화번호를추가하였음 다. 피신청인의신규가입자현황및명의도용신고접수 피신청인의월별신규가입자증가현황을살펴보면 05. 9월부터증가하기시작하여 06. 1월에최고치를기록하고있음에반해계정도용은 05. 7 8 월에대량으로발생하다가 9월이후에는감소하고있다. 피신청인이집계한 06. 3. 31일까지의명의도용신고건수는주민등록번호도용이 190.172건, 이로인한도용신규계정수가 483,390건으로확인됨 라. 신청인별명의도용현황 신청인갑, 을, 병은 2006. 2. 15 일언론보도확인후, 해당사이트를통 해확인해본결과 2005. 7. 30 일, 2006. 2. 06 일, 2005. 12. 20 일각각자 신의주민번호가도용당했음을확인하였다. 마. 피신청인의작업장제재조치현황 피신청인은작업장퇴치를위해서 2005년한해동안게임마스터 150 여명을투입하여모니터링활동을강화하여작업장의 BOT 계정에대한제한조치로써의심되는약21만계정을이용정지하고대량자동가입방지를위해가입시그림으로나타난문자를직접입력케하는 그림문자시스템 을도입하는등필요한조치를하였고, 2005. 10월말경부터게임 - 171 -
내동시접속자수증가와 3일무료계정 의증가가연관이있다는결론을내리고, 2005. 12월이후작업장에대한단속을실시하고명의도용을근본적으로해결할수있는린OTP, 휴대폰인증등대책을검토 시행하였고, 2006. 1월초경찰에수사를의뢰하였다. 용어설명 - BOT는사용자가게임속에서직접행동을하지않고도게임속의몬스터등과싸워서아이템또는사이버머니를취득할수있도록제작한자동프로그램으로 BOT 가이용되면아이템싹슬이등으로이용자들의재미를현저히저해함 - 린OTP(One Time Password) 는휴대전화를이용하여 1회용패스워드를제공받는서비스로서, 이용자들이게임에접속하고자할때마다자신의휴대전화로매번변경되어있는비밀번호를제공받아로그인하는것임 2006. 2. 13일 R게임의대량명의도용이언론에보도된후, 주요일간지와웹사이트에사과문을게시하였으며, 주민등록번호대체수단도입적극검토, 게임업체들의협회차원의개인정보피해신고센터상설운영추진, 공인인증서, 신용카드등다양한방식을통한본인인증강화, 캐릭터생성시부터게임내활동의모니터링강화등의방안을제시하였다. 4. 위원회판단 가. 신청인과피신청인이정보보호법상의이용자관계에있는지여부 피신청인은이용자가실제본인인지여부와관계없이자사시스템에입 력되어있는성명과주민등록번호의당사자 ( 신청인 ) 를정상적인이용자로 인정하여서비스를제공하고있고, 신청인의입장에서는도용당한자신의 - 172 -
개인정보에대하여정당한권리를가진다는점및실제로자신의개인정보 가피신청인에의하여사용되고있다는점에서정보통신서비스제공자와사 실상이용자관계에있다고보아야한다. 피신청인은특히자사의서비스제공과정에서대량의명의도용문제가발생하고있다는사실을인지하고있었음에도단순한실명확인절차만거쳤을뿐본인으로부터정보수집이전에, 또는정보수집이후의사후에실질적인동의획득노력을다하지않았다. 따라서개인정보의수집시이용자의동의를얻도록한정보보호법제 22 조제 1 항의규정을위반하였다고판단된다. 나. 피신청인이제 3 자에의한도용행위에대하여주의의무를소홀히 하여도용자의불법행위를방조하였다고볼수있는지여부 피신청인은명의도용행위의심각성을충분히인식하였음에도명의도용방지를위한조치에대한주의의무를해태하였는바, 작업장의 BOT 계정에대한제한조치, 자동가입방지를위한그림문자도입등계정도용방지를위한일련의조치를취하였으나, 이것은본건에서문제되는명의도용방지를위한조치였다고보기는어렵고, 휴대전화본인인증의조기도입등능동적인해결의지, 관련기관의대책마련노력등필요한조치를취했다면도용자의불법행위를사전에방지할수있었을것이다. 결국피신청인은도용자의불법행위를알았거나알수있었음에도불구하고이를방치함으로써민법제760조제3 항에서규정하고있는공동불법행위의책임을면할수없을것으로판단된다. - 173 -
민법제 760 조 제760조 ( 공동불법행위자의책임 ) 1 수인이공동의불법행위로타인에게손해를가한때에는연대하여그손해를배상할책임이있다. 2 공동아닌수인의행위중어느자의행위가그손해를가한것인지를알수없는때에도전항과같다 3 교사자나방조자는공동행위자로본다. 다. 신청인이입은손해및배상액에대한판단 본사건에서피신청인은자사의서비스제공과정에서본인의실질적동의획득의노력을다하지않은점, 대량명의도용사건의발생으로명의도용행위의심각성을충분히인식했음에도불구하고이를방치한점이인정된다. 다만, 피신청인이대량명의도용행위를경찰수사이후에인지하였다 고판단되므로그이후부터신규로가입된신청인갑, 을, 병에한해금 100,000 원의정신적손해배상금을배상하는것이타당하다. 5. 위원회결정 피신청인은신청인에게금 100,000 원을조정이성립된날로부터 7 일 이내에지급한다. - 174 -
< 사례 3> 직업전문학교의수료자명단이검색사이트에노출된것에대한 손해배상요구건 사실관계신청인은피신청인 OO직업전문학교의 재직자과정수료자발급대장 이구글검색사이트에노출되었고이로인해수개의다른사이트에서도신청인의주민번호가이용되어이로인한정신적인피해를입었다고주장하며이에대해 10,000,000원의손해배상요구를원하는분쟁조정을신청 조정결과피신청인은회원개인정보보호를위한안전성확보에필요한조치를소홀히함에따라신청인의개인정보가노출된것에대한책임이인정되어신청인이입은정신적피해에대한배상으로금 200,000원을지급할것을결정 1. 사건개요 신청인문OO( 여 ) 은피신청인 OO직업전문학교의 재직자과정수료자발급대장 ( 이하 수료자명단 이라함 )(2005. 1월 ) 이구글검색사이트에노출되었고이로인해수개의다른사이트에서도신청인의주민번호가이용되었다고주장하며이에대해 10,000,000원의손해배상요구를원하는분쟁조정을신청하였다. OO직업전문학교는노동부인가실업자및재직자직업능력개발훈련기관, 산자부인증정보통신전문교육기관, 서울특별시고용촉진훈련기관, 정통부여성 E-BIZ 전문교육기관이며주요모집학과로는 IT분야및조리분야임 - 175 -
재직자과정은재직근로자가스스로직무능력을개발, 향상시키기위해실시하는 " 수강지원금제도 " 와사업주가근로자의업무능력향상을위해서실시하는 " 사업주직업능력개발훈련 " 제도등의훈련과정을의미함 주요쟁점 - 피신청인이정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보보호법 이라한다 ) 의적용대상인지여부및본사건이당위원회의조정범위에포함되는지의여부 - 피신청인의배상책임의인정여부 - 피신청인이노출한명단과신청인의명의가도용된다른웹사이트와의연계성인정여부 2. 당사자주장 가. 신청인 신청인은피신청인 OO 직업전문학교가신청인의개인정보가담긴파 일을암호화하거나개인정보유출에대비한아무런조치를취하지않아 신청인의개인정보가노출되었다고주장하였다. 특히신청인은 2005년 5월이후발생한 67건의명의도용사건이모두피신청인이신청인의주민번호가포함되어있는수료자명단을노출하였기때문이라고주장하고피신청인은이에대해배상할책임이있다고주장하였다. 또한신청인은 1,000 만원의손해배상외에도 2005 년 5 월이후확인된 신청인의주민번호및명의도용으로인한웹사이트회원가입건에대해 피신청인의책임이있으므로피신청인에대한정보통신부의강력한처벌 - 176 -
뿐만아니라향후신청인의신원이나재산에대해더큰피해발생시이에대한책임을피신청인이져야하며, 이와관련하여가능하다면분쟁조정위원회가증인이되어서약서를작성, 추가적인정신적 물질적피해보상을요구하였다. 나. 피신청인 피신청인은홈페이지관리시스템을회원제로운영하고있기때문에신 청인이주장하는것처럼고의또는과실에의한유출은절대로있을수 없다고주장하였다. 특히일반회원의중요한서류, 가령주민번호등개인정보가들어간서류등을게시하는인트라넷은외부인이절대로볼수없도록 ID와비밀번호를입력해야접속이되며교직원의경우에도등급에따라차별화된정보를볼수있도록시스템을관리하고있다고주장하였다. 또한신청인의도용된주민번호가여러웹사이트에서이용된사건이피신청인이노출한주민번호가오 남용되어피해를입었다고하는결정적인증거나연관성이전혀없으며, 금전적 물질적피해를당한것이아니고단순노출이되었다고하는부분에대해서손해배상을하라고하는것은인과관계가성립되지않는다고주장하였다. 3. 사실조사 가. 신청인이자신의이름과주민번호가구글검색사이트에노출된 사실을발견한경위 신청인은피신청인 OO 직업전문학교의재직자과정 ( 웹디자인과정, 2005. 1. 8.~ 2005. 2. 5.) 을이수하였다. - 177 -
신청인은최근구글사이트에개인정보가많이검색된다는뉴스기사를접하고 2006년 7월경검색사이트 구글 을통하여자신의이름 ( 문OO) 과주민번호앞자리 (80XXXX) 을검색해본결과, 자신을포함한 10여명의경원직업전문학교재직자과정수료자명단이검색되고, 검색결과를클릭하면수료자명단으로작성된엑셀파일이다운로드되는것을알게되었다. 피신청인이노출한훈련수료자명단은 2005년 1월 8일부터 2월 5일까지피신청인에게서수업을받은신청인을포함한 10명의학생들의이름, 주민번호, 수업출석률등과 2004년 5월 11일부터 2004년 6월 5일까지피신청인에게서수업을받은 7명의이름, 주민번호, 수업출석률등으로피신청인이노동부에제출하는서류인것으로확인되었다. 나. 구글을통하여피신청인의수료자명단이검색된경위 피신청인의주장에따르면, 피신청인의홈페이지는로그인기능이설정되어있기때문에보안상문제가없다고하며, 내부자료가노출된것은혹시서버를대여해준 OOO 웹호스팅의보안상의문제가있는것은아닌가주장하였다. 그러나 OOO 웹호스팅담당자의소명에따르면, OOO 웹호스팅서비스의관리범위는서버, 즉 OS 및하드웨어에대한부분이며기타홈페이지관리및소스수정, 소스관리등은웹호스팅을신청한고객의몫이라고해명하였다. 피신청인은홈페이지및인트라넷보안관리를위해필요한보호조치를취하고있다고주장하나, 사무국담당자가확인해본결과, 구글등모든인터넷검색사이트는웹상에서공개된정보 ( 로그인등별도의인증절차없이도정보를열람할수있는상태 ) 만을검색할수있고보안조치가취해진정보는검색할수없으나, 외형적으로는관리자인증등보안조치가 - 178 -
취해진것처럼보이지만실제로보안조치가이루어지지않은경우, 검색 사이트를통하여정보가노출되는경우가자주발생하고있었다. 다. 피신청인의사후조치 피신청인은 2005 년 7 월 24 일, 신청인의항의를접수하고노출된파일 이외부에검색 열람되지않도록조치를완료하였으며, 미국구글본사 에신청인의개인정보삭제조치를요청하였다. 피신청인뿐만아니라신청인도미국구글본사에노출된신청인의개인정보삭제조치요청을메일로하였으며삭제가완료되었다는답변을받음 사무국조사담당자의조사결과분쟁조정신청접수 (2006.7.26) 이후수료자명단이검색되지않는사실을확인하였음 4. 위원회판단 가. 피신청인이정보보호법적용대상인지여부및본사건이당위 원회의조정범위에포함되는지의여부 본사건에서피신청인은노동부인가 근로자직업능력개발법 에따른 직업능력개발훈련시설 로서정보보호법제2조에서규정하고있는정보통신서비스제공자또는정보보호법제58조에서규정하고있는정보통신서비스준용사업자에는해당하지않아정보보호법적용이곤란하다. 피신청인은자신을공공기관이라고주장하였으나, 사무국조사담당자가 OO직업전문학교를관할하고있는서울OO고용지원센터직업능력개발팀에문의한결과피신청인은개인이노동부의승인을받아설립한직업훈련시설로서공공기관이아니라는것을확인함 - 179 -
그러나당위원회는정보보호법위반사항이아니거나당사자가정보통신서비스제공자및이용자가아닌경우에도원칙적으로개인정보에관한분쟁에대해서는위원회의조정범위에포함시켜오고있으므로, 본사건의조정에는영향을미치지아니한다. 근로자직업능력개발법 근로자직업능력개발법제2 조 ( 정의 ) 3. " 직업능력개발훈련시설 " 이라함은다음각목의시설을말한다. 가. 공공직업훈련시설 : 국가 지방자치단체및대통령령이정하는공공단체 ( 이하 " 공공단체 " 라한다 ) 가직업능력개발훈련을실시하기위하여설치한시설로서제27조의규정에의하여노동부장관과협의하거나노동부장관의승인을얻어설치한시설나. 지정직업훈련시설 : 직업능력개발훈련을실시하기위하여설립 설치된직업훈련원 직업전문학교등의시설로서제28조의규정에따라노동부장관이지정한시설 나. 피신청인의배상책임의인정여부 피신청인은정보보호법제2 조제3 호의 정보통신서비스제공자 에해당하지아니하므로, 정보보호법상의개인정보보호의무는부담하지아니하나, 피신청인의재학생및수료자명단등을관리함에있어이들개인정보가노출되어오 남용되는것을방지할상당한주의의무가있다고판단된다. 피신청인이내부자료관리를하고있는인트라넷의보안조치를부주의 하여신청인의개인정보가노출되는등신청인의개인정보를침해한과실 이인정되는바, 민법제 750 조에근거하여신청인에게이로인한정신적피 - 180 -
해에대하여보상함이타당하다고판단된다. 일반적으로웹사이트운영자는회원리스트등중요자료에대해서는타인 에의해서검색되지않도록이하와같은보안설정을하여야한다. 가장기본적인보안설정방법으로는로그인기능설정등을통하여회원인증을받지않은자는접근이불가하도록하는방법, W3C 에서표준으로권고하고있는검색허용여부를표시하는로봇배제방식및메타태그삽입방식을통하여검색로봇의접근을방지하는방법, 그리고이외에도방화벽 (F/W) 과같은침입차단시스템이나 IDS 와같은침입탐지시스템등기본적인보안조치등을취해야한다. 한국정보보호진흥원의전문가자문결과위와같은조치는웹사이트 운영시취하여야할가장기본적인조치라고함 피신청인은위와같은보안조치를취하였다고주장하고있으나, 사무국의 확인결과피신청인은 W3C 에서권고하고있는메타태그나로봇배제방식등 을취하고있지않은것으로확인되었다. W3C(World Wide Web Consortium) 는 WWW 의발전과 HTML 의표준화를위해건립된국제기구 따라서피신청인은인트라넷의보안조치등을부주의하여신청인의개인 정보가노출되는등신청인의개인정보를침해한과실이인정되는바, 민사 상손해배상책임을부담하여야한다. - 181 -
다. 피신청인이노출한명단과신청인의명의가도용된다른웹사 이트와의연계성인정여부 신청인은 2005년 5월경웹사이트명의도용여부를유료로확인해주는싸이렌24(www.siren24.com) 에회원가입을하여확인한결과지금까지 67건의명의도용이일어났으며, 가입이전에도계속적으로누군가에의해신청인의명의가도용되었으며이는피신청인이노출한명단때문인것으로주장하고있다. 그러나, 피신청인의과실로인해명의도용이이루어졌다는명백한입증 자료가없는한신청인의명의가도용된다른여러사례를피신청인의수 료자명단노출과인과관계가있다고인정하기곤란하다. 피신청인이노출한수료자명단은구글검색사이트에서신청인 의 이름 과신청인의 주민번호앞자리 를검색어로할 때만검색이되었음 라. 신청인이피신청인의개인정보침해로인한개인정보노출로피해 를입었는지의여부및배상요구액에대한판단 본사건에서피신청인의행위로인하여신청인이입은경제적피해는 없다. 그러나본사건에서신청인의개인정보가피신청인의관리적보호조치미비로인하여웹상에노출된점, 노출된개인정보가주민번호를포함하는신청인의중요한개인정보인점등을종합적으로고려해볼때, 피신청인의회원개인정보보호를위한안전성확보에필요한조치를소홀히함에따라신청인의개인정보가노출된것에대한책임이인정되어신청인이입은정신적피해에대해금 200,000원을지급함이타당하다고판단된다. - 182 -
5. 위원회결정 본건에서피신청인은신청인의개인정보를노출한행위에대한과실이 인정되는바, 신청인이입은정신적피해에대한배상으로금 200,000 원 을지급한다. - 183 -
< 사례 4> 이동통신사의 CP 업체관리감독의무위반에대한손해배상 요구건 사실관계신청인은 2005. 12월피신청인 A사가제공하는甲부가서비스에가입하였다가 2006. 2월 B사로번호이동을하였으나, 2006. 6월피신청인 A 사로재차번호이동을하게되었는데, 이때부터피신청인이무단으로甲부가서비스에가입시켜서비스를제공하고있다며손해배상을요구하는분쟁조정을신청함 조정결과사실조사결과, 피신청인 A사는 2006. 2월이동통신계약이해지될당시에부가서비스계약도종료되도록 CP업체에해당사실을통지하여야할의무가있음에도불구하고, CP 업체의관리를소홀히하여신청인에게원치않는문자를받게하는등정신적피해가상당하다고판단하여신청인이입은정신적피해에대한보상으로금 200,000원을지급하도록결정 1. 사건개요 신청인은피신청인 A사의이용자로서 2005. 12. 7일甲부가서비스에가입하였으나 2006. 2. 18일 B사로번호이동을하게하였으며, 이후신청인은 2006. 6. 8일 B사로부터피신청인 A사로재차번호이동을하면서甲부가서비스를받게되었다며이는피신청인이본인동의없이무단으로부가서비스에가입시킨것이라고주장하였다. - 184 -
주요쟁점 - 제휴관계에있는회사에대하여자사와이용자와의서비스이용계약해지시해당해지고객의개인정보파기조치요구등조치하지아니한피신청인의행위가정보통신망법제25조제2 항의정보통신서비스제공자등의수탁자에대한관리, 감독의무를위반하였는지여부 2. 당사자주장 가. 신청인 신청인은피신청인쪽에서신청인의고객정보를이용하여무단으로부가서비스에가입시킨것이라고주장하였으며, 부가서비스의무단가입이아니라는피신청인의주장을인정할지라도, 번호이동시에는신청인에게제공하는모든서비스를즉시해지시켜야하는데도불구하고해당의무를해태하고지속적으로이용관계를유지시킨점에대해신청인의관리책임이있다고주장하면서이에대한손해배상으로향후 3년동안의이동통신기본요금면제를요구하는분쟁조정을신청하였다 나. 피신청인 피신청인은신청인이 2005. 12. 7일처음가입한부가서비스가정상적으로해지되지못하여 CP업체에서지속적으로부가서비스를제공하게되었던것이며, 이동통신이용계약해지와함께즉시부가서비스가해지처리되지못한관리상의문제점에대해신청인에게사과하고, 시스템개선약속과함께피해보상차원에서신청인에게 3개월기본료감액해주겠다고제안하였다. - 185 -
3. 사실조사 가. 신청인이번호이동과함께부가서비스를다시받게된경위 신청인은 2005. 12. 7일피신청인이제공하는부가서비스를신청하여휴대폰번호가직접 CP업체의 DB에입력되었으나, 신청인이 2006. 2. 18 일 B사로번호이동을함으로써서비스계약이해지되었음을알지못한 CP업체는신청인의민원제기시점까지도지속적으로해당서비스를제공하게되었다 부가서비스신청인의휴대폰번호는 CP업체의 DB에직접등록되고피신청인과 CP업체는고객정보를별도로관리하기때문에, 피신청인이계약해지사실을통보해주기전에는 CP업체에서확인할방법이없었다 신청인은 B사로번호이동한동안은단말기변경등으로부가서비스를받지못하다가피신청인 A사로재가입한시점부터해당서비스를재수신하게되자, 피신청인이무단으로부가서비스에가입시킨것이라고단정하게되었다 나. 피신청인의사후조치 피신청인은고객명단중에서피신청인과의이용계약이해지된고객에대해서는 CP엡체로통보하여 부가서비스 의제공을중단하고 DB의개인정보를파기하는등주기적으로고객 DB를업데이트하도록제도개선을약속하고기본료 3월분의면제를제안하였다 - 186 -
4. 위원회판단 가. 제휴관계에있는회사에대하여자사와이용자와의서비스이용계약해지시해당해지고객의개인정보파기조치요구등조치를취하지아니한피신청인의행위가정보통신망법제25조제2 항을위반하였는지여부 피신청인은 CP업체와서비스계약을맺고원하는고객에게는부가서비스인 TV알리미서비스를제공하고있으며, 고객은자신의휴대폰단말기를이용하여해당부가서비스를신청하고, 신청시에고객의휴대폰번호는 CP업체측시스템 DB에직접저장되고있다 피신청인과 CP업체는부가서비스제공과관련한개인정보의수집, 이용및취급관리등업무에있어실질적인위탁관계에있다고보는것이타당하며, 따라서피신청인이이용자에게문제의서비스제공과관련하여개인정보가 CP업체에의해수집및관리되고있음을고지하지않은책임이인정된다 또한, 피신청인은자사이용약관에서 번호이동가입자의변경전이용계약은변경후사업자의번호이동신청에의해자동해지된다 라고고지하고있음에도불구하고, 신청인의번호이동시본건의부가서비스를해지하지못한책임이인정된다 따라서, 피신청인은개인정보의수집, 취급등에있어위탁받은 CP업체를고지하지않고, CP 업체가정보통신망법상의개인정보보호규정을위반하지않도록관리, 감독하여야할책임을다하지못하여정보보호법제 25 조제1항및제2 항을위반한것으로판단된다 - 187 -
나. 신청인이입은손해및배상액에대한판단 본사건에서피신청인의행위로인하여신청인이입은경제적피해는없다. 그러나, 신청인은부가서비스에가입하지않았음에도불구하고피신청인이 CP업체에대한정보통신망법상의위탁자로서의직무수행을성실히이행하지못함으로인해기존계약이미해지되었고, 이로인해원치않는문자를받는등정신적피해를입었음이인정된다 다만, 이동통신서비스제공자의개인정보보호지침 에서통신사가해지 한고객정보를보유할수있는기간이 6 개월이내라는점을고려하여피신청 인은신청인에게금 200,000 원을배상함이타당하다고판단된다 5. 위원회결정 피신청인은신청인에게금 200,000 원을조정이성립된날로부터 7 일 이내에지급한다. - 188 -
< 사례 5> 유선전화사업자의신용정보무단조회건 사실관계신청인은피신청인 ( 주 )A의콜센터에자신이원하는전화번호를사용할수있는지에대해전화로문의하여사용불가라는답변을들었을뿐, 전화개설사실이없음에도불구하고피신청인이자신의신용정보를조회하여개인정보를침해했다고주장하면서정신적인피해에대한배상을원하는분쟁조정을신청하였음 조정결과사실조사결과피신청인은신용정보의이용및보호에관한법률상의신용정보제공 이용자로서고객의신용정보보호를위해필요한주의의무를다하지못하여신청인의신용정보가조회된것에대한책임이인정되므로신청인이입은정신적피해에대한보상으로금 100,000원을지급하도록결정 1. 사건개요 피신청인 ( 주 )A가제공하는유선전화서비스 2대를이용하는고객인신청인은인터넷신용정보조회사이트 ( 한국신용정보주식회사 ( 신용정보의이용및보호에관한법률상의신용정보업자임 ) 가운영하는사이트 ) 를통해서피신청인이두차례에걸쳐 (2005. 10월 O일과 2006. 5월 O일 ) 자신의신용정보를조회한것을알게되어피신청인이정당한이유나동의없이자신의신용정보를조회하여개인정보를침해했다고주장하면서정신적피해에대한배상을원하며분쟁조정을신청하였다. 주요쟁점 - 신청인의동의없이신용정보를조회한피신청인의행위가개인신용 - 189 -
정보의제공및이용의제한을규정한 신용정보의이용및보호에 관한법률 ( 이하 신용정보보호법 이라함 ) 제 24 조제 1 항에위반하는 지의여부 2. 당사자주장 가. 신청인 신청인은피신청인이신용조회에대한고지나정당한이유없이자신의 신용정보를두차례에걸쳐 (2005. 10. 00 일과 2006. 5.00 일 ) 조회했다고주장 하며, 이에대한시정과정신적피해의배상을요구하였다. 신청인은 2006. 5.00일피신청인측의콜센터에자신이원하는전화번호를사용할수있는지를전화로문의하였으며 10분후콜센터직원으로부터해당전화번호는사용할수없다는답변을듣고전화를끊었으며, 이후전화개설등을한사실이없다고주장하였다. 나. 피신청인 피신청인이 2005. 10. 00 일신청인의정보를조회한것은당일저녁 6 시 30 분경신청인이전화로신규가입을신청했기때문에실명조회를한것 이며그외의목적은없다고주장하였다. 피신청인이 2006. 5.00 일신청인의신용정보를조회한것은피신청인측 의콜센터직원이신청인의요구에따라업무를처리하는과정에서신용 정보조회가이루어진것으로보여진다고주장하였다. - 190 -
3. 사실조사 가. 2005. 10. 00 일신청인의신용정보가조회된경위 신청인은 2005. 10. 18 일새로운전화번호로신규가입을하였으며피신 청인은신청인과의상거래관계의설정및유지목적으로신청인의신용정 보를조회하였고본사건에서쟁점사항은아니다. 나. 2006. 5. 00 일신청인의신용정보가조회된경위 피신청인측의콜센터에의해 2006. 5. 4 일 14 시 40 분에신용조회가이 루어졌으나신용조회를한직원및신용조회를한이유등은기록이남 아있지않아신용정보가조회된경위를알수없었다. 피신청인은, 당사에서고객의신용정보를조회하는경우는 1 신규가입, 2 명의변경, 3 미수금이남아있는경우이며, 2006. 5.00 일신용조회는위 의세가지경우에해당되지않음을인정하였다. 피신청인의이용자신용정보조회절차 1 피신청인은통신사업자로서신용정보의이용및보호에관한법률제24조상의상거래관계의설정및유지목적으로 ( 주 ) 한국신용정보와신용정보이용계약을맺고이용하고있으며, ( 주 ) 한국신용정보에서는신용정보관리규약제21조에따라이용적합성을점검하고있음 2 하나로텔레콤은위계약에따라자사의전산시스템으로, 신용주체의개인정보, 조회사유코드등을입력하여, 신용주체의채무불이행여부와개설, 타기관조회내역등을조회할수있음 3 하나로텔레콤의신용조회기록은 ( 주 ) 한국신용정보의전산시스템에는저장되나하나로텔레콤의전산시스템에는저장되지않음 - 191 -
다. 피신청인의사후조치 피신청인 ( 주 )A 는 2006. 5. 00 일신청인의신용정보조회기록을 ( 주 ) 한국 신용정보에삭제요청하여 ( 주 ) 한국신용정보에서해당기록을삭제조치 하였다. 4. 위원회판단 가. 본사건에서피신청인이신용정보보호법의적용대상인지여부 및본사건이당위원회의조정범위에포함되는지의여부 피신청인은기간통신사업자로서정보보호법상의정보통신서비스제공 자에해당하는동시에신용정보보호법상의신용정보제공 이용자에해당 한다. 정보보호법제 5 조는정보통신망이용촉진및정보보호등에관하여동법이 일반법임을규정하고있는바, 본사건에서는신용정보보호법이우선적 용되어야한다. 그러나, 당위원회는정보보호법위반사항이아니거나당사자가정보통신서비스제공자및이용자가아닌경우에도, 원칙적으로개인정보에관한분쟁에대해서는위원회의조정범위에포함시킨다는입장을견지하여왔다. 특히신청인은본사건을담당할수있는마땅한민원기구를찾지못하여당위원회에피해구제를신청했다고밝히고있는바, 본사건은당위원회에서심의함이타당하다. 나. 신청인의동의없이신용정보를조회한피신청인의행위가개 인신용정보의제공및이용의제한을규정한신용정보보호법 제 24 조제 1 항에위반하는지여부 - 192 -
본건에서신용정보제공 이용자인피신청인은이용자의개인신용정보를금융거래등상거래관계의설정및유지여부등의판단목적으로만제공 이용하여야하나신청인의신용정보를정당한이유없이조회함으로써신용정보보호법제24조제1 항규정을위반한것으로판단된다. 피신청인은상거래관계의설정및유지여부등을판단하기위해내부방침으로 1신규가입, 2명의변경, 3이용요금미납액이있는경우등을정하고있지만, 피신청인은신청인의신용정보를조회한행위가위세가지의어느경우에도해당되지않음을인정하고있다. 신용정보보호법제 24 조제 1 항 제 24 조 ( 신용정보의제공및이용의제한 ) 1개인신용정보는당해신용정보주체와의금융거래등상거래관계의설정및유지여부등의판단목적으로만제공 이용하여야한다. 다만, 다음각호의 1에해당하는경우에는그러하지아니하다. 1-6 생략 다. 피신청인에게신용정보조회를가능하도록한 ( 주 ) 한국신용정보의 책임여부 한국신용정보주식회사는신용정보보호법제 4 조에근거한 신용정보 업자 로서사업자등이개인신용정보를조회할수있는서비스를적법 하게제공하고있다. ( 주 ) 한국신용정보는피신청인과신용정보보호법제 24조의상거래관계의설정및유지목적으로신용정보이용계약을맺고, 피신청인이 ( 주 ) 한국신용정보와연결된자사의전산시스템에서신용주체의정보를조회하면 ( 주 ) 한국신용정보는해당정보를보여줌 - 193 -
신용정보보호법제 4 조제 1 항, 제 24 조제 2 항 제 4 조 ( 영업의허가 ) 1신용정보업을영위하고자하는자는제4 항의규정에의한업무의종류별로금융감독위원회의허가를받아야한다. 2-7 생략제24조 ( 개인신용정보의제공및이용의제한 ) 2신용정보업자등은개인신용정보를제공할경우에는금융감독위원회가정하는바에의하여의뢰인의신원및이용목적을확인하여야한다. 따라서 ( 주 ) 한국신용정보가피신청인에게신용정보조회가가능하도록서비스를제공하는행위에대해책임을묻기는곤란하나, 신용정보조회의뢰인의과실등으로조회가이루어진경우에동조회건은의뢰인이 ( 주 ) 한국신용정보로오류조회를알리고삭제요청을하는경우동조회건을삭제할수있다. 라. 신청인이입은손해및배상금액의적정성판단 본사건에서피신청인의행위로인하여현재신청인이입은경제적피 해는없다. 그러나개인의신용정보는매우민감한개인정보로서타인에의한신용조회가개인의신용에중대한영향을미치는점등을감안할때, 특히사업을영위하는신청인의입장에서는신용정보조회를통해정신적피해를당한것이인정되어이에대한배상으로금 100,000원을지급함이타당하다고판단된다. - 194 -
5. 위원회결정 피신청인은신청인에게금 100,000 원을조정이성립된날로부터 7 일 이내에지급한다. - 195 -
< 사례 6> 건설회사의아파트입주예정자정보의하청업체제공에 대한손해배상요구의건 사실관계신청인김OO( 남 ) 은 2006년 5월경인천시에건설하고있는 OO 아파트입주예정자로서개인정보를제공한바없는 ( 주 ) 이라는업체로부터아파트내장재 ( 샤시 ) 관련광고우편물을전송받았는바, 피신청인 OO산업 ( 주 ) 이아파트입주예정자들의정보를유출한것이라고주장하며이에대한철저한조사를요구하면서분쟁조정을신청 조정결과피신청인은아파트입주예정자명단을관리함에있어이들개인정보가제3 자에게제공되거나수집목적외로사용되지않도록관리해야할의무가있으나제3 자에게제공하여사용하도록허락함으로써신청인에게정신적피해를입힌점이인정되므로신청인이입은정신적피해에대한배상으로금 300,000원을지급할것을결정 1. 사건개요 신청인은 2006 년 5 월경인천시 OO 아파트입주예정자로서개인정보를 제공한바없는 ( 주 ) 이라는업체로부터아파트내장재 ( 샤시 ) 관련광고 우편물을전송받았다. 이에신청인은이는피신청인 OO 산업 ( 주 ) 이아파트입주예정자들의 정보를유출한것이라고주장하며이에대한철저한조사를요구하면서 개인정보분쟁조정위원회에분쟁조정을신청하였다. - 196 -
주요쟁점 - 피신청인 OO 산업 ( 주 ) 이정보보호법적용대상이되는지여부 - 피신청인의개인정보유출행위에대한배상책임의인정여부 2. 당사자주장 가. 신청인 신청인은피신청인 OO산업 ( 주 ) 이 ( 주 ) 이라는아파트내장재업체에아파트입주예정자들의개인정보를제공한것이틀림없으며, 이로인해민감한개인정보노출에대한불안감으로정신적피해를입고있음을주장하였다. 나. 피신청인 피신청인은인천시 OO아파트의최초분양당시 ( 주 ) 과모델하우스에서샤시설치계약을체결한바있고, ( 주 ) 이피신청인에게추가로입주계약자와샤시설치계약을할수있도록요청한바, 2006년 5월, 피신청인 ( 강남소재 ) 은분양관리프로그램을이용하여계약자의주소가인쇄되는우편발송용라벨지를출력한후, 이를피신청인의직원이 ( 주 ) 의사무실 ( 일산소재 ) 로가져갔으며, ( 주 ) 의상호가인쇄된봉투에라벨지를붙인후 ( 주 ) 의직원과대동하여일산우체국에서발송한것일뿐개인정보를제공한것은아니라고주장하였다. 3. 사실조사 가. 신청인이 ( 주 ) 이발송한샤시광고물을받게된경위 신청인은주소지인인천시남구 OO 2 동에거주하고있으며, 2007 년 OO - 197 -
지구 OO 아파트의입주예정자인데, 2006 년 5 월경, ( 주 ) 이라는상호 가인쇄된봉투에아파트샤시제품홍보물이들어있는우편물을받게 되었다. 피신청인은입주계약자의개인정보를 ( 주 ) 에게제공하지않았다는사실을입증하기위해계약자주소가인쇄된라벨을제공했을뿐이라고주장하였으며, 당시우편물에 ( 주 ) 이위치한일산우체국소인이찍힌사유를해명하기위해피신청인은직접직원이계약자주소를인쇄한라벨지를 ( 주 ) 의봉투에붙여서일산소재우체국까지대동하여발송하였다고주장하고있으나, 이에대해서는사실입증이곤란하였다. 나. 피신청인의사후조치 피신청인은신청인의개인정보를 ( 주 ) 에제공하거나유출한적이 없다는주장으로일관하고있다. 4. 위원회판단 가. 본사건의피신청인이정보보호법적용대상인지여부 본사건의피신청인 OO 산업 ( 주 ) 은건설업체로서정보보호법의정보통신서 비스제공자또는준용사업자에해당되지않으므로정보보호법의적용대상에 포함되지않는다. 그러나, 당위원회는정보보호법위반사항이아니거나당사자가정보통신서비스제공자및이용자가아닌경우에도, 원칙적으로개인정보에관한분쟁에관해서는위원회의조정범위에포함시킨다는입장을견지하여왔으므로본사건에대해서당위원회에서심의함이타당하다고판단된다. - 198 -
나. 피신청인의배상책임의인정여부 피신청인은정보보호법제2 조제3 호의 정보통신서비스제공자 에해당하지아니하므로, 정보보호법상의개인정보보호의무는부담하지아니하나, 피신청인의아파트입주예정자명단을관리함에있어이들개인정보가제3 자에게제공되거나수집목적외로사용되지않도록관리해야할의무가있다고판단된다. 개인정보는사생활자유권의내용을이루는중요요소중의하나로서, 피신청인은계약자가자신에관한정보를자율적으로결정하고통제 관리할수있는권리 ( 개인정보자기결정권 ) 를보호하여야할의무가있다고할것이다. 피신청인은직원이직접주소라벨지를인쇄하여직접우체국까지방문하였고, 라벨지의내용도계약자명과주소뿐인점을강조하면서절대계약자의정보를유출한바없다고주장하고있으나, 이는피신청인의개인정보보호인식이매우미흡하다는것을보여주는것으로, 아파트주소및계약자명은명백히중요한개인정보로서특히주소가오 남용되는경우에는범죄목적으로도사용될소지가있다는사실을간과하고있는것으로판단된다. 따라서, 피신청인이계약자개인정보에대한일련의보호조치없이관행 적으로하청업체에게개인정보를제공또는사용하도록함으로써신청인이 입은정신적피해가인정된다. 다. 신청인이입은손해및배상액에대한판단 본사건에서피신청인의행위로인하여신청인이입은경제적피해는 없다. - 199 -
그러나, 피신청인의아파트입주예정자의개인정보를제 3 자에게제공하여 사용하도록허락함으로써신청인에게정신적피해를입힌것에대해금 300,000 원을지급함이타당하다고판단된다. 5. 위원회결정 본건에서피신청인은자사의아파트입주예정자의개인정보를제 3 자에게 제공하여사용하도록허락함으로써신청인에게정신적피해를입힌것이인 정되는바, 이에대한배상으로금 300,000 원을지급한다. - 200 -
제 2 절조정전합의및고충처리사례 < 사례 1> 신청인 A 가 X 화장품사이트와화장품계약관련분쟁중에 X 화 장품사이트에서임의로 A 의사이트이용을차단시킨건 1. 사건개요 신청인 A는 X화장품사이트에서화장품을구입하여사용하고있던중에제품의품질과관련하여 X화장품회사와계약관련분쟁이일어나게되었다. A는분쟁도중 X화장품사이트를탈퇴하려고했으나비밀번호가바뀌었다는메시지가나왔고비밀번호찾기기능을이용하여초기에입력한메일주소로비밀번호를받으려고했지만이기능조차이용할수가없었다. 이에신청인 A는해당사이트가회원의비밀번호를신청인의동의없이바꿔버려탈퇴를할수없게끔만들어놓은것에대해민원을신청하였다. 2. 사실조사및결과 신청인 A는 X화장품사이트에서화장품을구입한후물건의하자를주장하며반품을요구했고이를거절하는 X화장품사이트와의계약분쟁이일어나게되었다. 이러한과정중에신청인 A는 X화장품사이트에로그인하려고했으나비밀번호가틀렸다는메시지가뜨고비밀번호를이용자의이메일로받으려고했지만이메일로비밀번호가전송이되지않았다. 사실조사결과 X화장품사이트에서신청인 A의비밀번호를변경해놓은게아니라신청인 A의아이피를차단하고사이트의접근을막아놓은것으로확인되었다. 하지만 A가보기에는비밀번호가틀린것처럼매뉴얼이뜨면서비밀번호찾기기능까지화면상에표시가되도록하는것은신청인이충분히비밀번 - 201 -
호를바꾼것으로오해를할여지가있어보인다. 본사건은개인정보침해신고센터의권고에따라사업자가이용정지회원에대한 IP를차단할때는사이트이용정지에대한명확한고지를하고민원인의개인정보삭제와탈퇴처리를완료하는등시정조치를함으로써사건이종결되었다. - 202 -
< 사례 2> 게임사이트가불법프로그램을이용하여게임을한회원에 대하여이용영구정지조치를내리면서회원탈퇴및개인정 보삭제요구에불응한건 1. 사건개요 신청인 A( 남 ) 는 N게임사의게임을이용하던중불법프로그램을사용하여게임을진행하였다. 이에 N게임사는회사정책에따라신청인 A의게임계정을영구정지조치하였다. N게임사의게임을이용하지못하게된신청인 A는게임사로회원탈퇴를요구하였으나, 탈퇴후재가입할것을방지하기위한목적으로 N게임사는신청인의요구를들어주지않았다. 이에신청인 A는회원탈퇴요구에불응하고개인정보를보관하는것은개인정보를침해하는행위라며, 회원탈퇴및개인정보삭제를요구하였다. 2. 사실조사및결과 N게임사는게임홈페이지에운영정책으로게임회원의경고및제재조치에대하여처벌기준및처벌조항까지세부적으로공지해두었다. 특히불법프로그램의사용에대하여는영구정지시킨다고명확히공지하였다. 영구정지는불법사용자가게임탈퇴후재가입하여게임을이용할것을방지하기위한목적으로운영되고있어그정당성이인정된다. 그러나신청인 A는게임을이용하지도못하는데본인의개인정보를보관하고있도록할수없다며회원탈퇴를강력히요구하였다. 정보통신망이용촉진및정보보호등에관한법률 제 29 조는정보통신서비 스제공자가개인정보의수집목적또는제공받은목적을달성한때에는 - 203 -
당해개인정보를지체없이파기하도록규정하고다른법령의규정에의하여보존할필요성이있는경우를예외적으로인정하고있다. 본사건의경우 N게임사는불량이용자로판정된신청인이회원탈퇴를하여재가입을함으로서또다른피해자가발생할수있다는판단아래신청인의회원탈퇴요구에불응한것으로판단된다. 그러나신청인의개인정보가영구적으로파기되지않을수있다는문제점이야기된다. N게임사는개인정보침해신고센터의권고에따라영구정지회원의회원탈퇴및정보삭제조치를완료하였다. 또한개인정보침해신고센터는가입방지를위하여영구정지회원의주민등록번호만을암호화하여보관, 재가입을위해접속할경우차단되도록조치할것과이에대한내용을이용약관에명시할것을시정권고하였고, N게임사가이에대하여시정조치함으로써종결되었다. - 204 -
< 사례 3> 제휴관계를맺은업체에대하여이용약관에명시하지않은건 1. 사건개요 신청인 A( 남 ) 는 S보험사로부터보험상품에대한안내메일을수신하였다. 이에불법스팸대응센터로신고하였으나, S보험사로의확인결과신청인 A가회원으로있는 X업체내보험몰을운영중이며, X업체와제휴관계를통하여신청인 A의정보를제공받았음을확인하였다. 신청인 A는불법스팸대응센터로신고한메일에대하여위와같은답변을받자본인이 X업체의사이트를이용중이기는하나본인의개인정보를 S 보험사로제공하는것에동의한바가없다고주장하며이는 X업체가본인의개인정보를동의없이제3 자에게제공한것이라고주장하였다. 2. 사실조사및결과 사실조사결과 S보험사는 X업체와제휴계약을맺은관계로신청인이 X업체에회원가입시개인정보제공및활용에동의함으로써 동의없는개인정보제3 자제공 에는해당되지않으나 정보통신망이용촉진및정보보호등에관한법률 제 22조제2 항제3호의 개인정보를제3 자에게제공하는경우의제공받는자, 제공목적및제공할정보의내용을이용자에게고지하거나정보통신서비스이용약관에명시하여야한다 는규정에는위반하는것으로판단된다. 본사건은 X업체가 정보통신망이용촉진및정보보호등에관한법률 제 22조2 항3 호의위반사실을인정하고, 개인정보침해신고센터의권고에따라이용약관에 X업체와제휴관계인업체를모두고지하는등시정조치함으로써종결되었다. - 205 -
< 사례 4> 보습학원이법정대리인의동의없이아동의개인정보를수집 한건 1. 사건개요 신청인은 X학원이초등학교졸업앨범상의정보를통해신청인의집으로내전하여중2학년자녀와통화하면서학생의개인정보를탐문하고 X학원측에서알고있는개인정보와맞는지일일이확인하는등부당한방법으로미성년자녀의개인정보를수집하여영업에이용하고있다며 X 학원에대한규제를요구하며민원을신청하였다. 2. 사실조사및결과 X 학원은인천 OO 초등학교졸업앨범을취득한후앨범에기재된연락처 로전화를하여학생의이름과나이, 출신학교, 현재재학중인학교를탐문 하는등개인정보를수집한사실이있음을인정하였다. 피신청인 X학원이인천 OO초등학교졸업앨범에기재된신청인의집으로전화하여자녀 ( 만 13세 11개월 ) 에게이름, 나이, 출신학교및현재재학중인학교에대한정보를수집한것은 법정대리인의동의를얻지않고만 14세미만아동의개인정보를수집한행위 에해당되어정보통신망이용촉진및정보보호등에관한법률제31조제1항을위반한것으로판단된다. 본사건은개인정보침해신고센터의권고에따라피신청인이신청인에게 사과하고재발방지를약속하는등시정조치를함으로써사건이종결되었다. - 206 -
< 사례 5> 이름과주민번호만으로별도의절차없이 ID 와 PW 가노출 되도록한건 1. 사건개요 신청인은 ( 주 )OOO 의회원가입을한후아이디와패스워드를잊어버려아이디찾기를하려고이름과주민번호를기재했는데별도의인증절차없이아이디와패스워드가한번에보이도록되어있었다며이에대한업체의시정을요구하며민원을신청하였다. 2. 사실조사및결과 최근인터넷사이트상에서잊어버린아이디나비밀번호를찾을경우에는반드시여러단계를걸쳐서본인확인이가능하도록권고하고있다. 이는이름과주민번호를일괄적으로조회가가능하도록할경우에타인의이름이나주민번호만알면손쉽게아이디와비밀번호를알게되어발생되는개인정보침해를예방하기위함이다. 본사건은개인정보침해신고센터의권고에따라해당사이트에단계를거쳐서아이디와비밀번호가조회가능할수있도록하고비밀번호조회는이메일등을이용한별도의절차를이용하도록시정함으로써사건이종결되었다. - 207 -
< 사례 6> 이동통신사업자의영리목적의광고성정보전송의제한위반에 관한건 1. 사건개요 ( 주 )A의휴대전화를이용하는신청인은 ( 주 )B의갑지사로부터 ( 주 )A 의우수고객으로선정되었으니최신휴대전화로교환하라는권유전화를받고이를거절하였으나, 이후에도수차례 ( 주 )B의갑, 을지사로부터동일한내용의전화를받게되었다. 이에신청인은 ( 주 )A 가동의없이자신의개인정보를 ( 주 )B 에게제공 하였으며, 수차례수신거부를하였음에도불구하고계속된전화를한 ( 주 )B 의행위에대해서처벌하여달라며민원을신청하였다. 2. 사실조사및결과 ( 주 )B는 ( 주 )A와위탁업무계약을맺은대리점으로서 ( 주 )A사는노후된단말기교체등우수고객의관리를위해이용자의휴대전화번호, 이름, 사용중인기기모델, 평균사용액등을 ( 주 )B사에제공하였으며, 신청인은 ( 주 )A사의가입신청서에서고객관리, 부가서비스등과관련하여자사및대리점등이개인정보를활용하는데동의한것으로확인되었다. 그러나신청인이 ( 주 )B사에대하여신청인이거부의사를밝혔음에도불구하고계속적인휴대전화구입권유전화를한것은, 수신자의명시적인수신거부의사에반하는영리목적의광고성정보전송을금지하고있는정보통신망이용촉진및정보보호등에관한법률제50조제1항위반으로판단되어시정조치를권고하였다. - 208 -
개인정보침해신고센터의시정조치권고에대해 ( 주 )A사는 1( 주 )B사에대해지사별로고객정보DB를분할분배 2각영업지사별로매일마감시수신거부고객명부를작성하여 ( 주 )B사의고객관리시스템에입력 3 ( 주 )B사에서각영업지사에수신거부고객명부를고객정보DB에서삭제할것을공문으로발송 4수신거부고객명부를각지사별로공유하여수신거부후재전화가가지않도록함 5( 주 )B사에서는일별거부고객 DB를확인하고민원접수여부를모니터링하는등절차를마련 시행하여시정조치를이행하였으며, 이로써본사건은종결되었다. - 209 -
< 사례 7> 항공사의인터넷예약시의기술적 관리적조치미비에관한건 1. 사건개요 신청인은 ( 주 )A항공사의인터넷예약시주민등록번호만입력하면탑승자정보 ( 성명, 성별, 연락처등 ) 가자동으로입력되는것을확인하고, 대량의개인정보누출사건이발생할우려가있다며이에대한시정을요구하는개인정보침해사건을제기하였다. 2. 사실조사및결과 ( 주 )A사의사이트에서 비회원예약 시주민등록번호만입력하면탑승자정보 ( 성명, 성별, 연락처등 ) 가자동으로입력되는점에대해서피신청인은고객이직접모든정보를입력하지않아도되도록하여고객의편의를도모하고자최초에동기능을도입하였으나, 당사의내부토의결과, 개인정보유출의가능성이있다고판단되며, 비회원예약 에서위의기능을삭제할예정이라고밝혀왔다. 피신청인의사이트에서 비회원예약 으로예약시주민등록번호를입력하면탑승자정보 ( 성명, 성별, 연락처등 ) 를열람할수있는것은 정보통신서비스제공자등은이용자의개인정보를취급함에있어서개인정보가분실 도난 누출 변조또는훼손되지아니하도록정보통신부령이정하는바에따라안전성확보에필요한기술적 관리적조치를하여야한다 고규정한정보통신망이용촉진및정보보호등에관한법률제28조에위반된다고판단하여이에대한시정조치를권고하였으며피신청인이권고안에따라국내 국외선의 비회원예약 에서이러한기능을삭제함으로써시정조치를이행하여사건이종결되었다. - 210 -
< 사례 8> USB 드라이버생산 판매업체가소비자의동의없이 IP 주소를 수집한건 1. 사건개요 신청인은피신청인 ( 주 )A사의 USB 드라이버를구입하여이용하던중 ( 주 )A사가웹사이트가입회원들에게제공하는여러서비스를이용하기위해회원가입을하고서비스중하나인 분실추적기능 을살펴보다가회원가입전에도자신의 USB 드라이버를통하여접속일자, 접속시간, 접속 IP 등이 ( 주 )A사에수집 저장되어있음을확인하고이에대한시정을요구하는개인정보침해사건을제기하였다. 2. 사실조사및결과 피신청인은사용자가해당제품을구매한후접속하였을경우의접속일자, 접속시간, 접속 IP 등에대한정보를남기는것은해당제품에탑재되어있는소프트웨어를불법으로해킹하여타 PC 또는제품에적용하여상업화하거나도용하는것을방지하기위한제품등록절차라고하였다. 또한접속일자와접속시간은단순한시간정보이며접속 IP 역시공용으로사용되는 PC에서접속한경우도있으므로이를개인정보라할수없고, 해당정보를이용하여당사에서는그어떤행위도할수없을뿐만아니라하지않고있으며, 해당정보는개인정보보호정책에의거하여당사에서제품사용자이외에그어느누구에게도노출되거나제공되지않고있다고밝혀왔다. 위치정보의보호및이용등에관한법률 ( 이하 위치정보법 ) 제 2 조제 1 호에서 는 위치정보 라함은이동성이있는물건또는개인이특정한시간에 - 211 -
존재하거나존재하였던장소에관한정보로서전기통신기본법제 2 조제 2 호및제 3 호의규정에따른전기통신설비및전기통신회선설비를이용하 여수집된것을말한다고규정하고있다. 피신청인측에서 USB 를통해접속일자, 접속시간, 접속 IP 등을추적, 수집하는것은동법에서말하는이동성이있는물건의위치정보에해당 될수있다고판단된다. 위치정보법제15조제1 항에서는 누구든지개인또는소유자의동의를얻지아니하고당해개인또는이동성이있는물건의위치정보를수집, 이용또는제공하여서는아니된다. 다만, 제29조의규정에의한긴급구조기관의긴급구조또는경보발송요청이있거나다른법률에특별한규정이있는경우에는그러하지아니하다 고규정하고있다. 따라서피신청인이 USB 소유자의동의를얻지아니하고 USB 의접속 IP등을수집하는것은위치정보법제15조에위반될가능성이있으므로, 피신청인이판매하는제품구입시동의를요하는 소프트웨어사용권계약 에이를명시하도록시정권고조치를함으로써사건이종결되었다. - 212 -
< 사례 9> 백화점임시직원이고객의개인정보를무단으로이용한건 1. 사건개요 신청인은 1818이라는발신번호로심한욕설문자를받고통신사를통해번호를추적해본결과, 발신자가 A백화점의아르바이트생임을확인하고 A백화점이고객의개인정보를소홀히관리하여개인정보가침해되었다고주장하며민원을제기하였다. 2. 사실조사및결과 A 백화점고객인신청인은 포인트적립행사 와관련하여자신의포인 트가잘못적립된것을확인하고이의를제기하는과정에서약간의다툼이 있었는데, 이후 1818 이라는발신번호로심한욕설문자를받게되었다. 신청인은통신사를통해알아본결과발신자는 A 백화점의아르바이트 생으로서다른지방으로도주하였으며, 백화점에서는정직원이아니며 단기아르바이트생이라는이유로책임을회피하고있다고주장하였다. 정보통신망이용촉진및정보보호등에관한법률 ( 이하 ' 정보통신망법 ') 제24 조제4 항은개인정보취급자에의한훼손 침해또는누설을금지하고있으며동법제62조는위반시 5년이하의징역이나 5천만원이하의벌금에처한다고규정하고있다. 개인정보를취급하거나취급하였던자 는현재개인정보를취급하고 있는자, 과거에개인정보를취급하였던자및서비스제공자로부터개인 정보의처리업무를위탁받아그업무에종사하거나종사하였던자로서 - 213 -
정규직원에한하지않고계약직원및임시직원을포함한다. 따라서행사 와관련하여고객정보를취급하는아르바이트생이고객의개인정보를부 당한목적을위하여사용하였다면동조위반에해당된다. 또한정보통신망법제66조는 법인의대표자나법인또는개인의대리인 사용인그밖의종업원이제62조내지제64조의위반행위를한때에는행위자를벌하는외에그법인또는개인에대하여도각해당조의벌금형을과한다 고규정하고있다. A백화점에서는단기아르바이트생이라는이유로책임을회피하고있으나정보통신망법제66조의양벌규정에의해벌금형의책임을질수있다. 또한정보통신망법제28조에서는 ' 정보통신서비스제공자등은이용자의개인정보를취급함에있어서개인정보가분실 도난 누출 변조또는훼손되지아니하도록정보통신부령이정하는바에따라안전성확보에필요한기술적 관리적조치를하여야한다 ' 고규정하고있다. 본사건의경우, A 백화점이고객정보에접근할권한이없는아르바이 트생이고객정보에접근하여전화번호등을수집하도록방치하였다면동 법제 28 조위반으로판단될수있다. 그러나본사건에대한사실조사중 A 백화점이신청인에게사과하고 자사의시스템을개선하여동일한일이발생하지않도록재발방지약속 을하는등시정조치를이행하여종결되었다. - 214 -
< 사례 10> 이동전화대리점이이용자의단말기고유번호를무단으로 도용한건 1. 사건개요 이동통신사업자 ( 주 )A의고객인신청인은기기변경을하기위해자신이거주하는충남홍성의대리점을방문하였으나변경하고자하는기기는사용할수없다는답변을듣고다른대리점을방문하였으나동일한답변을듣게되어그원인에대해서알아본결과, 서울의 갑 대리점에서자신이변경하고자하는기기의단말기고유번호를이용하여 아무개 라는명의의휴대전화가개통되었다는것을확인, 이에자신의개인정보가침해되었다고주장하며민원을제기하였다. 2. 사실조사및결과 ( 주 )A는 갑 대리점이신규건수를늘리기위해단말기고유번호를임의로입력하여 갑 대리점점장의부인명의로가입, 개통하는과정에서입력한고유번호가신청인이변경하고자하는기기의단말기고유번호와일치하게되었다고소명하였다. 각대리점에서는이용자들이기기변경등으로현재사용하지않는휴대폰들의단말기고유번호를확인할수없으며고객이가지고온휴대폰의고유번호를입력해야만사용가능한단말기고유번호인지확인이가능하며, 주민번호생성기처럼각대리점에서고유번호를생성하는기술은없다고 ( 주 )A측에서소명 - 215 -
피신청인이신규건수를늘리기위해신청인소유기기의단말기고유번호를입력한행위는 ' 이동전화단말기제조업체또는이동통신사업자가단말기의개통처리및수리등정당한업무의이행을위하여제공하거나제공받는경우를제외하고는누구든지단말기고유번호를제공하거나제공받아서는아니된다 ' 고규정한통신비밀보호법제3 조제3 항에위반되는사건이므로개인정보침해신고센터는본사건을경찰에수사의뢰함으로써종결하였다. - 216 -
< 사례 11> 홈쇼핑이영리 부정한목적으로개인정보를수집하고자사의 사이트에인증마크를도용하여사용한건 1. 사건개요 신청인갑외 7인은 2006년 4월경피신고인 A홈쇼핑에자신의성명, 휴대전화번호, 주소등개인정보를제공한바없음에도불구하고피신청인이자신들의개인정보를불법적으로수집하여화장품구매를권유하는전화를걸어왔다고주장하며이에대한법적조치를취해줄것을요청하는민원을제기하였다. 또한신고인갑은피신고인이화장품구매를권유하는전화를걸어옴에따라자신의개인정보수집경위등을확인하는과정에서, 피신고인웹사이트가한국전자거래진흥원및서울보증보험의인증을받지않고 e-trust 마크와고객안심쇼핑몰마크를사용하고있다고주장하며이에대한시정을요구하는민원을함께제기하였다. 2. 사실조사및결과 피신청인은 G마켓, 옥션등의인터넷쇼핑몰에입점하여영업을하고있기때문에이들인터넷쇼핑몰로부터신고인의개인정보를제공받은것이라고주장하였으나, 사실조사결과피신고인은 G마켓, 옥션등과전혀무관한것으로밝혀졌으며, 또한피신청인이 2003년경 'B' 란쇼핑몰을운영하면서여러차례의이벤트를실시했으며당시신청인이이벤트에참가하였기때문에개인정보를수집한것이라는주장에대해서도이를입증하지못하였다. - 217 -
사실조사에의해판단할때, 피신청인은신청인갑외 7인의개인정보를본인의동의없이수집하여상품광고텔레마케팅에이용하였는바, 이는정보통신망이용촉진및정보보호등에관한법률제62조제2 호에서규정하고있는 영리또는부정한목적으로개인정보를제공받은자 에해당한다고판단되어본건을경찰에수사의뢰하였다. 한편, 피신청인은한국전자거래진흥원및서울보증보험으로부터인증을받지않고 e-trust 마크와고객안심쇼핑몰마크를사용한것으로확인된바, 이는전자상거래등에서의소비자보호에관한법률제21조와표시 광고등의공정화에관한법률제3 조위반으로판단되어개인정보침해신고센터는본사건을한국전자거래진흥원으로이첩함으로써사건을종결하였다. - 218 -
< 사례 12> 케이블방송사가유선으로서비스개통을신청한회원의 정보를개인정보활용에대한고지없이자회사인인터넷 통신서비스업체로제공한건 1. 사건개요 신청인 A( 남 ) 는 C케이블방송사에유선으로케이블방송개통을신청하였다. 신청을한지 10여분정도지나신청인 A는 C케이블방송사에서제공하는인터넷통신서비스인 B인터넷으로부터 B인터넷통신을이용하라는텔레마케팅전화를수차례받게되어 C케이블방송으로본인의개인정보를 B인터넷통신으로제공한것에대하여항의하였으나, B인터넷통신은 C케이블방송에서제공하는인터넷통신서비스이므로개인정보유출이아니라는대답을듣게되었다. 그러나신청인은 C케이블방송이본인의개인정보를 B인터넷통신으로제공한것이라며 C케이블방송을상대로민원을제기하였다. 2. 사실조사및결과 사실확인결과, B인터넷통신은 C케이블방송의자회사임이확인되었다. 신청인은유선으로 C케이블방송의방송을수신할것을신청하였으므로, 실제이용계약서는작성되지않았으나서비스신청의특성상이용자관계가성립되었다고볼수있다. 따라서신청인 A의정보를 B인터넷통신으로제공한것은신청인의주장처럼 동의없는개인정보제3 자제공 에해당되지않는것으로판단된다. 다만, 인터넷사이트가입이나이용계약서를통한이용자관계성립의경우정보통신서비스이용약관에명시해야하는 정보통신망이용촉진및정보보호등에관한법률 제 22조제2 항제3 호 개인정보를제3 자에게제공하는경우의제공받는자, 제공목적 - 219 -
및제공할정보의내용 을유선으로이용계약이체결되는경우유선을 통하여사전고지해야하는것으로인정, C 케이블방송은위법률에위반 하는것으로판단된다. 본사건은 C케이블방송이고객의개인정보활용에대하여고지하지않아자회사의인터넷통신영업으로인해신청인에게불편을끼치게된것에사과하고, 추후동일한사건에대한재발방지조치를취할것을신청인에게전달하였다. 이에신청인인사과를받아들임으로써당사자간원만한합의가성립되어사건이종결되었다. - 220 -
< 사례 13> 결혼정보회사가자사인터넷사이트에서탈퇴한회원의 개인정보를파기하지않고회원가입유치에이용한건 1. 사건개요 신청인 A( 여 ) 는몇년전호기심에결혼정보회사사이트에가입을하였다가탈퇴를하였다. 그이후 D결혼정보회사에서회원가입권유전화를받게되었다. 신청인이탈퇴를했음에도본인의개인정보를파기하지않은것에이의를제기하자 D결혼정보회사는개인정보를남용하지않는다고답변하고신청인은바쁜일상에이일을잊고있었다. 그러나이후에도계속해서 D결혼정보회사로부터회원가입권유전화를받게되어본인의개인정보를파기할것을요구하였으나, 상담원으로부터수신거부등재는가능하나개인정보는파기할수없다는답변을들었다. 이에신청인은탈퇴한회원의개인정보를파기하지않고계속해서이용하는것은개인정보침해라고주장하며피해구제를요청해왔다. 2. 사실조사및결과 사실조사결과 D 결혼정보회사는신청인의개인정보를파기하지않고 자사의회원가입권유전화를한것을인정하였다. 정보통신망이용촉진및정보보호등에관한법률 제 29조는다른법령에규정이있는경우를제외하고는정보통신서비스제공자가개인정보의수집목적또는제공받은목적을달성한때에는당해개인정보를지체없이파기하도록규정하고있다. 따라서피신청인은정보통신망법제29조를위반한것으로판단된다. - 221 -
본사건은피신청인이개인정보침해신고센터로부터개인정보침해사건접수통보를받자마자신청인 A의개인정보를즉시파기하였으며, 신청인 A에게지사장이직접사과를전하고재발방지를약속하였다. 이에대해신청인이사과를받아들임으로써당사자간에원만한합의가성립하여사건이종결되었다. - 222 -
< 사례 14> 통신사가고객의개인정보를목적외로이용한건 1. 사건개요 신청인은 1994년부터피신청인 X전화를이용하던중 2002년 2월부터 2006년 7월 ( 총 53개월 ) 동안자신도모르게부가서비스대금으로총212,000원이인출된것을확인하게되었다. 신청인은지방에서 6~7 평가량의소규모장식업체를운영하는자로서부가서비스 (080 착신전환 ) 를이용할실익이없으며, 본인이부가서비스가입을신청, 동의한적이없음을밝히면서피신청인에게부가서비스대금의반환을요구하였으나거절당하였다. 이에, 신청인은피신청인이동의없이신청인의개인정보를무단이용하여부가서비스에가입시킴으로써경제적피해를입었다고주장하며분쟁조정을신청하였다. 2. 사실조사및결과 피신청인은신청인가족의동의를얻어부가서비스 (080 착신전환 ) 에가입시켰다고주장하고있으나, 부가서비스가입유치당시상담직원의자필로작성된가입신청서만으로는이를입증하기부족하였다. 또한, 가족의동의를얻었다하더라도개인사업장전화번호의부가서비스가입을신청인의동의없이가족과의전화통화만으로진행한것은본인동의없는개인정보의목적외이용을금지하고있는정보통신망법제24조제1항을위반한것으로판단될수있다. 다만, 피신청인이신청인에게사과하고부가서비스대금 212,000원전액을반환하기로당사자간에원만한합의가성립하여사건이종결되었다. - 223 -
< 사례 15> 인터넷사업자가고객동의없이부가서비스에무단가입시킨건 1. 사건개요 신청인은피신청인 X텔레콤으로부터부가서비스가입권유전화를받았으며추후전문기사와부가서비스설치시장점에대해상담한후에가입여부를결정하기로하였다. 그러나, 신청인은피신청인 X텔레콤으로부터어떠한연락이나상담을받지않았음에도불구하고 2006년 8월부터자신도모르게부가서비스에가입되어월 5,000원의이용대금이인출된것을발견하게되었다. 이에, 신청인은피신청인이동의없이신청인의개인정보를무단이용하여부가서비스에가입시킴으로써피해를입었다고주장하며당위원회에분쟁조정을신청하였다. 2. 사실조사및결과 피신청인 X텔레콤은신청인의동의를얻어부가서비스에가입시켰다고주장하였으나이를입증할수있는자료를제출하지못하였다. 또한, 피신청인 X텔레콤직원의부가서비스상품가입유치녹취를검토한결과신청인이전문기사와의상담후에가입여부를결정하겠다는의사를명확하게밝혔던것이확인되었다. 신청인이부가서비스가입의사가없음을밝혔음에도불구하고별도의안내및동의없이부가서비스에가입시킨것은본인동의없는개인정보의목적외이용을금지하고있는정보보호법제24조제1 항을위반한것으로판단된다. 다만, 피신청인이신청인에게사과하고 800,000원을배상하기로당사자간원만히합의가성립되어사건이종결되었다. - 224 -
< 사례 16> 홈쇼핑에서회원의변경전개인정보를미파기하여, 신청 인의변경전개인정보를현재사용하는다른회원에의해 개인정보가일부변경된건 1. 사건개요 신청인 H씨는 2006. 11월회원가입되어있는 W홈쇼핑으로부터주문하지도않는물품에대해 주문후무통장입금 하라는휴대폰메시지를받았다. 주문하지않은물품에대한것이라 W홈쇼핑에확인요청한결과신청인이개인정보변경전사용한전화번호를현재사용하고있는다른주문자에의한주문내역임을확인하였다. 그러나다른주문자에의해신청인의개인정보일부 ( 휴대폰번호 ) 가변경된것을확인, 변경전개인정보를파기하지않고갖고있었던점과, 본인확인을제대로하지않고개인정보를변경한 W홈쇼핑에대해 주문취소, 개인정보변경 및정신적피해보상을요구하는피해구제를신청하였다. 2. 사실조사및결과 사실조사결과, W홈쇼핑이신청인의변경전개인정보를미파기하고, 신청인의동의없이개인정보일부를변경한사항이있었음이확인되었다. 변경전개인정보를갖고있었던것은원활한구매활동을위한조치였다고하나이는정정요구를받은경우지체없이필요한조치를취하도록규정한정보통신망법제30조를위반하였다고판단된다. 그러나신청인의동의없이개인정보가일부변경된사항은본인여부를여러차례문의하여확인하였음에도다른주문자에의한주문실수로생긴사항이므로이를업체책임이라고묻기는어렵다하겠다. - 225 -
본사건은피신청인이변경전개인정보를파기하지않고갖고있었던 점을인정, 주문취소, 개인정보원상복구및금 50,000 원의피해보상금액을 지급함으로써당사자간원만한합의가성립되어사건이종결되었다. - 226 -
< 사례 17> 이동통신사업자가업무상과실로인하여고객의통화내 역을제 3 자에게제공한건 1. 사건개요 신청인이모씨는 2004년 10월경남편명의로핸드폰을개통하여사용해오다, 2005년 2월 12일본인의명의로변경하였다. 이후 2006년 4월 1 일, 당시남편박모씨가피신청인인 A텔레콤에게통화내역을신청한바, 피신청인은 2006년 1월 1일이후의통화내역을남편에게발급함으로써신청인의사생활이노출되어심각한정신적고통을당하고이혼에이르렀는데도불구하고, 피신청인은담당자가퇴사하였다는이유로책임을회피하는바, 정신적피해를배상할것을요구하는분쟁조정을신청하였다. 2. 사실조사및결과 피신청인의통화내역발급담당자는신청인의전남편박모씨명의로사용한기간인 2005년 1월 1일부터 2005년 2월 11일의기간까지출력해야하나명의변경년도를정확히확인하지않은채, 신청인의명의로사용한기간인 2006년 1월 1일부터 2006년 2월 11일까지의통화내역서를신청인의전남편에게발급하였다. 정보보호법제24조제1항규정에의하여정보통신서비스제공자는이용자의동의없이개인정보를제3 자에게제공하여서는아니된다고규정하고있다. 그러나본건에서, 피신청인은통화내역발급담당자의오작업으로인해년도표기를실수하여신청인이명의변경한이후의통화내역이제공되었다고주장하고있으나, 신청인의통화일시, 통화상대번호, 통화시간등에대해기재된통화내역은개인의중요한정보나비밀에해당 - 227 -
하며, 이동통신사업자는고객이가입시제공한정보및통화내역등을엄격하게관리하고누설하지아니할의무가있는바, 민감한개인정보인통화내역발급시에본인확인, 이용번호의명의자확인등상당한주의를기울이지않은것으로판단된다. 본사건은 A 이동통신사가신청인에게사과하고금 5,000,000 원의손해 배상금을지급함으로써당사자간의원만한합의가성립되어사건이종결 되었다. - 228 -
< 사례 18> 초고속인터넷사업자가고객의개인정보를미파기하고목적 외로이용한건 1. 사건개요 신청인최모씨는 2006년 5월 12일경피신청인의 X인터넷서비스해지를요청하였으나, 신청인은수신인이다른명의로되어있는광고메일을받았다. 이에신청인은피신청인이본인의메일주소를삭제하지않고광고메일을발송하였다고주장하며정신적피해를배상할것을요구하는분쟁조정을신청하였다. 2. 사실조사및결과 피신청인은신청인의해지요청에의해 2006년 6월 8일날정확하게해지되었으나, 메일링리스트에신청인의메일주소가삭제되지않았고, 전산상의오류로인해다른명의를수신인으로하는광고메일이신청인의메일로발송되었다고소명하였다. 정보보호법제24조제1항규정에의하여정보통신서비스제공자는고지의범위또는약관에명시한범위를넘어이용하면아니된다라고규정되어있으며, 동법제29조에의하면개인정보의수집목적또는제공받은목적을달성한때에는당해개인정보를지체없이파기하여야한다고규정되어있다. 따라서피신청인은신청인이해지요청을하였음에도불구하고, 신청인의 정보를미파기하였으며, 광고메일발송등에이용하였는바, 이는개인정 보의목적외이용을금지하고있고, 개인정보의수집목적또는제공받 - 229 -
은목적을달성한때에는당해개인정보를지체없이파기하여야하는정 보통신망이용촉진및정보보호등에관한법률제 24 조제 2 항및제 29 조를위 반한것으로판단된다. 본사건은 X 인터넷통신사업자가신청인에게사과하고금 500,000 원의 손해배상금을지급함으로써당사자간의원만한합의가성립되어사건이 종결되었다. - 230 -
< 사례 19> ( 주 )X 텔레콤의 CRM 전화를명백하게수신거부했음에도불구 하고계속이용자의개인정보를서비스홍보에이용한건 1. 사건개요 신청인 A( 남 ) 는 2005년 6월 29일고객센터를통해신청인은 CRM 캠페인전화에대한수신거부의사를밝혔다. 2005년 8월달정도에수신거부후 CRM 전화가걸려와서개인정보침해신고센터로신고접수를하여재발방지에대한약속을받았다. 그러나 2006년 5월 16일신청인은 X텔레콤의서비스홍보에대한전화를받았다. 이에신청인은 X텔레콤에명시적으로 CRM 전화에대한수신거부를하였고또한재발방지에대한약속까지받았음에도불구하고다시전화를한사업자에대해법적조치를위해달라며민원을신청하였다. 2. 사실조사및결과 신청인 A는 CRM 및스팸전화에대한수신거부를 X텔레콤에요청하였다. X텔레콤은전산시스템에신청인을캠페인거부고객으로등록을하였다. 사실조사결과 X텔레콤에서는캠페인수신거부의사를표명한고객을별도로관리하여고객불만이발생하지않도록철저히관리하고캠페인대상선정시제외시키고있다고한다. 하지만수신거부신청자가자동으로제외되는시스템이아니었고해당담당자가캠페인대상자를선별하는과정중수신거부등록자인이용자에게도전화가간것으로확인되었다. X텔레콤에서는캠페인고객 DB 작업수행시캠페인거부자가자동제외될수있도록프로세스를개선하고재발방지에대한약속을하였다. 이에당사자간원만한합의가성립되어사건이종결되었다. - 231 -
< 사례 20> 휴대전화제조업체의 A/S 센터에수리의뢰후신청인의 휴대전화정보대신타인의휴대전화정보가입력된건 1. 사건개요 신청인 A( 남 ) 는본인이사용하던휴대전화에이상이생겨제조사인 X 휴대폰제조업체의 A/S 센터에수리를의뢰했었다. 이후수리가완료되어돌려받은자신의휴대전화에신청인의휴대전화정보는남아있지않고타인의휴대전화정보 ( 전화번호부 ) 가담겨져있는것을발견하고이에 A 는자신의휴대전화정보또한타인에게제공될우려가있다고주장하여해당경위를해명해줄것을요청하며민원을신청하였다. 2. 사실조사및결과 피신청인 X 휴대폰제조업체의 A/S 센터는본사건에대해서고의적인개인정보유출은아니며 A/S 과정상기술적인과실이있었으며민원인에게직접확인및해명을위해핸드폰을회수하여본사건에대한자체사실조사를진행하였다. 현행정보통신망법제28조는정보통신서비스제공자가이용자의개인정보를취급함에있어서개인정보가분실 도난 누출 변조또는훼손되지아니하도록안전성확보를위한기술적 관리적조치를취할것을규정하고있다. X 휴대폰제조업체의 A/S 센터는정보통신망법상의정보통신서비스제공자에해당되지는않으나고객이휴대전화를수리하는과정에서타인의정보를입력시킨행위는서비스에수반되는적절한관리조치를취하지않은것으로판단된다. - 232 -
본사건은 X 휴대폰제조업체의기술적오류로인한피해였음을신 청인이납득, 재발방지에대한약속및새휴대전화기기로보상을받음 으로써당사자간에원만한합의가성립되어종결되었다. - 233 -
< 사례 21> 영어박람회개최업체에서박람회신청인의동의없이 개인정보를영어박람회참여업체에제공한건 1. 사건개요 신청인 A는 X( 주 ) 전시주최업체의홈페이지에무료참관관람신청을하였다. 신청을하면오프라인박람회관람료를내지않고참여할수있었다. 무료참관신청이후신청인 A는 X영어박람회의참여업체인 Y업체의홍보성메일을받게되었다. 이에신청인 A는무료참관관람신청시신청란에개인정보제공에대한어떤내용도기재되어있지않았고 Y업체의홍보성메일은 A의동의없이개인정보가제공되었음을주장하여이에대한제제조치를요구하는민원을신청하였다. 2. 사실조사및결과 X( 주 ) 는국제전시를기획 개최하는민간법인전시주최회사로영어캠프박람회를개최하였다. X( 주 ) 는영어캠프박람회에관심있는이용자들이온라인상에사전등록하면박람회입장권 3,000원을면제받을수있게하였고신청인 A는무료관람신청을하게되었다. 사실조사결과무료관람신청시에는이용자들의성명, 주민번호, 직업, 주소등등모든개인정보를수집하였음에도불구하고이런개인정보의제공과활용에대해서는고지한내용이없었다. X업체의주장은영어캠프나유학에관심있는이용자들에게더욱많은서비스를제공하기위하여유학박람회참여업체들이이용자들에게영어캠프에대한메일을보낼수있도록이용자들의개인정보를제공한것이라고주장하였다. - 234 -
이러한 X 의행위는개인정보의수집에있어서수집목적및이용목적 을명시할것을규정하고있는정보통신망이용촉진및정보보호등에관한 법률제 22 조에위배된다. 본사건은 X( 주 ) 가개인정보를수집할때고지명시사항을구체적으로 명시하여이용자의동의를얻도록조치하고재발방지를약속함으로써당 사자상호간에원만한합의가성립되어사건이종결되었다. - 235 -
< 사례 22> 이용자의개인정보를취급하는자의개인정보누설에관한건 1. 사건개요 신청인은자신의이름으로피신청인 A홈쇼핑에서물품을구입하고배송을신청하였는데, 피신청인의사이트에서제공하는배송현황추적시스템을통해배송을확인한결과, 인수자가자신이아닌신청인의누나이름으로등록이되었다고주장하며당위원회에민원을신청하였다. 2. 사실조사및결과 사실조사결과, 상품배송을위탁받은택배사의택배기사가상품배송시작성한 인수정보 를택배사의시스템에등록하는과정에서기존에해당택배사의일반택배를이용하여신청자와동일한전화번호로조회되는신청인누나의이름을잘못선택하여누나이름으로등록된것이확인되었다. A홈쇼핑은상품배송을위탁받은택배사가배송현황추적시스템 ( 택배사홈페이지등에서고객이운송장번호를입력하면택배현황을확인할수있도록택배사가제공하는서비스 ) 을갖추고있는경우고객이 A홈쇼핑사이트에접속하여배송현황을확인할수있도록택배사의배송현황추적시스템을 A홈쇼핑에연동시키고있음 정보보호법제 24 조제 4 항은개인정보취급자에의한훼손 침해또는누 설을금지하고있으며, 이에위반시동법제 62 조에의해 5 년이하의징 역또는 5 천만원이하의벌금에처해진다. 본사건은택배기사의업무상 - 236 -
과실에의해신청인의누나이름이등록된것으로서과실범처벌규정이 없는한정보보호법제 24 조제 4 항위반이라고볼수없다. 본사건은피신청인이신청인에게택배기사의업무상과실에대해사과 하고신청인이이를수용함으로써당사자상호간에원만한합의가성립 되어사건이종결되었다. - 237 -
< 사례 23> P2P 사업자의고객정보미파기및목적외이용에관한건 1. 사건개요 신청인은피신청인이운영하는사이트에서탈퇴하였음에도불구하고자신의이름이기재된제목의스팸메일을계속수신하였는바, 자신의개인정보가침해되었다고주장하며개인정보분쟁조정위원회에분쟁조정을신청하였다. 2. 사실조사및결과 사실조사결과, 피신청인의고객정보 DB에서는신청인의탈퇴후즉시개인정보가삭제되었으나, 피신청인의이메일광고대행회사에서신청인의개인정보가삭제되지않아신청인에게스팸메일이계속발송된것으로확인되었다. 피신청인이탈퇴회원의개인정보를파기하지않고보유하면서광고성전자우편발송에이용한행위는 개인정보수집 제공목적달성시지체없는개인정보파기 를규정한정보통신망이용촉진및정보보호등에관한법률제29조및 동의없는개인정보목적외이용금지 를규정한동법제24 조제1 항에위반된다. 본사건은정보보호법제29조및제24조를준수할것, 정보보호법제25 조에따라광고대행업체에업무를위탁하여고객의개인정보를제공한다는것을이용약관혹은개인정보보호정책에고지할것, 광고대행업체가동법제4 장개인정보의보호규정을위반하지아니하도록관리 감독의무를할것등의시정권고조치에대해서피신청인이시정및재발방지를확약하고신청인에게사과하면서 30만원의위자료를지급하여당사자상호간에원만한합의가성립되어사건이종결되었다. - 238 -
제 3 절이용자상담사례 < 사례 1> 사업자가회원자신의로그인기록의제공을거부한건 1. 상담내용 이용중인사이트의아이디, 비밀번호를친구몇명에게알려준후별로알려주고싶지않은친구까지제아이디로로그인하는것같아이를확인코자사이트의운영자에게제아이디로로그인된아이피주소를확인해달라고하였더니거부하고있습니다. 본인아이디에관한정보인데사업자가제공을거부하는것은정당한것인지알고싶습니다. 2. 답변 정보통신망법제30조제2 항에의하면이용자는정보통신서비스제공자등에대하여자신의개인정보에대한열람을요구할수있으며, 자신의개인정보에오류가있는경우에는정정을요구할수있습니다. 또한, 동법제30조제4 항에의하면정보통신서비스제공자등은제2 항의규정에의하여열람또는정정요구를받은경우에는지체없이필요한조치를취하여야합니다. 다만, 이용자의 IP주소는통신기록등에해당되기때문에정보통신서비스제공자가임의로제공할수없으며, 통신비밀보호법제3 조, 제13조에의하여검찰 경찰의 ' 통신사실확인자료제공 ' 요구시절차를밟아제공할수있습니다. - 239 -
< 사례 2> 온라인사이트에서회원탈퇴를한후개인정보가파기되지 않고검색이되는건 1. 상담내용 X라는아웃소싱업체에입사지원을한후에전혀진행사항을알려주지않아며칠만에회원탈퇴를했습니다. 그런데탈퇴후아이디찾기를하니제정보가아직남아있어서게시판에삭제요청을했으나여전히아무런답변이없었습니다. 그래서며칠후한번더삭제요청글을올리고다음날직접팀장이라는사람에게전화를하여정보를삭제해달라고하니바로지워주겠다고했습니다. 그러나, 그다음날검색해보니제정보는아직남아있었습니다. 저뿐만아니라, 그사이트게시판보면벌써한달넘게지워주지않아서답답해하는사람들이아주많습니다. 단순개인정보도아니고, 이력서, 자기소개서, 신상명세가아주자세히기록되어있는데파기가안된다는것에심히염려가됩니다. 어떻게해야할지알려주십시오. 2. 답변 개인정보의수집목적또는제공받은목적을달성한때, 이용자가개인정보수집에대한동의를철회한때에는다른법률에특별한규정이없는한당해개인정보를지체없이파기하여야하며, 이를위반한경우에는 1,000만원이하의과태료가부과될수있습니다. ' 개인정보의수집목적또는제공받은목적을달성한때 ' 와관련하여 일반적으로해당사이트의이용약관및개인정보보호정책등에개인정보 - 240 -
보유시기가명시되어있지않은경우에는회원탈퇴를한때또는회원에서제명된때에개인정보의수집목적또는제공받은목적이달성된것으로보며, 이경우에서비스제공자는당해개인정보를지체없이파기하여야합니다. 해당 X사이트에서는홈페이지내의프로그램의오류로인해회원탈퇴기능이미작동되어, 실제로보이기에는탈퇴로보이나탈퇴처리가안되었던것으로보입니다. 이에 X사이트에서는탈퇴관련프로그램을수정하고민원인의개인정보도모두삭제하였습니다. 향후해당사이트에서당해개인정보를파기하지않은부분이있다면 관련자료를첨부하셔서개인정보침해신고센터로신고해주시기바랍니다. - 241 -
< 사례 3> 아는사람을사칭한수신자부담국제전화 1. 상담내용 외국에서남편이름을대며 누구씨좀바꿔주세요 하고걸려온수신자부담전화를받았습니다. 어설픈영어로어떤자료를보내줄테니주소를알려달라고하여집주소와남편의이메일주소를알려주었습니다. 전화통화후이름, 전화, 주소, 나이를안다는것이걱정되기시작했습니다. 혹시이러한개인정보가나도모르게악용될수있을것같은데사전에차단할수는없는지알고싶습니다. 2. 답변 최근업무상또는아는사람임을사칭하여콜렉트콜전화수신에동의하게함으로써통화요금수취를목적으로하는사기성전화가급증하고있습니다. 전화통화시수신자또는주위사람의개인정보를언급함으로써수신자로하여금의심없이통화시간을연장하도록하는수법입니다. 이러한사기성콜렉트콜의경우, 발신지가외국으로개인정보침해에 대한관련조사는사실불가능하며, 통화요금또한본인이수신자부담에 동의하였으므로사실상환불받기도어렵습니다. 이러한국제전화로개인정보를수집하였다고하여바로피해가있는 것은아닙니다. 혹, 금전적피해가발생한경우에는경찰등수사기관에 도움을받으시는것이좋을것으로판단됩니다. - 242 -
< 사례 4> 개인블로그에불법도박사이트광고로인해포털업체의 개인정보유출의심건 1. 상담내용 제가사용하고있는 N업체의개인블로그가불법도박사이트광고로도배가되고있습니다. 그런데이상하게도개인블로그인데도삭제나수정권한이없다는식으로나옵니다. N업체에항의는했으나, 별다른조치가없습니다. 저뿐만아니라다른사람들도비슷한도박사이트로인해피해를입은것같은데, N업체측에서회원의정보를유출한게아닌가의심이됩니다. 2. 답변 개인블로그에불법도박사이트광고가게시된사항은개인정보침해이기보다는영리목적의광고성정보게시 ( 게시판광고 ) 로보여집니다. 이러한영리목적의광고성정보의경우자동게시프로그램등을이용하여게시물을무작위로게시하는경우가많습니다. 그러므로사용중인개인블로그에광고성게시물이게시된것만으로업체의개인정보유출로보기는어렵습니다. 영리목적의광고성정보게시 ( 게시판광고 ) 의경우운영자또는관리자의명시적인게시거부의사에반하여영리목적의광고성정보를게시하는경우는정보통신망법제50조의7 위반이문제될수있습니다. 이러한경우관련자료를첨부하여불법스팸대응센터에피해구제를신청하여주시기바랍니다. - 243 -
참고로, 광고성게시물이삭제및수정되지않는경우는게시내용상에특별한프로그램을숨기어삭제및수정되지못하도록한것으로보여지므로이부분에대해서는업체에기술적도움을받아야할것으로보여집니다. 이에대한업체의조치가이루어지지않거나미흡한경우개인정보침해신고센터로피해구제를신청하여주시기바랍니다. - 244 -
< 사례 5> 대리인이이동통신사에전화를하여명의인의정보를변경 한건 1. 상담내용 저는 X이동통신사를사용하고있는고객입니다. X사에서는배우자 ( 대리인 ) 가전화를해서주민번호에대해서확인만해주면정보변경, 부가서비스변경, 해지, 사용내역등의모든확인을다해주고있습니다. 주민번호확인하고관계만확인하면저의모든신상에대해서다안내가가능한게옳은지궁금합니다. 어떻게본인도아닌사람한테정보변경까지다해줄수있는지의문입니다. 금전적으로피해발생되는부분이아니라면보상받을수도없습니까? 금전적으로패해만발생되지않는다면주민번호알고있는모든사람에게모든정보가다확인이가능한것인지알고싶습니다. 대리인이이동통신사에전화를하여명의자의정보등을변경하려고할때명의자의본인확인의절차가궁금합니다. 2. 답변 만약타인이 X사에전화를해서명의자본인확인없이명의자의정보가제3 자에게제공된거라면이는개인정보유출이라고볼수있으나배우자 ( 대리인 ) 께서 X사에직접전화를하셔서명의자인남편분의주민번호뒷자리와성함을일러주셨고또한이렇게알아본사실을명의자도인지하고있고 X사에배우자임을명시하였다면이는개인정보침해라보기어렵습니다. - 245 -
휴대폰이라는것은명의자와실사용자가틀린경우가많기때문에실사용자가 X사의고객센터로전화를하여정보변경을요청할때, X사측에선주민번호와성명이외에도주소라든지계자이체가되는은행등등을확인을하여실사용자로간주가되는경우, 정보변경이나해지등을할수가있게끔조치한다고하니이런절차를통해서정보를확인하신경우라면 X사는본인확인의방법에있어최대한의절차를거쳤다고보아이경우는개인정보노출이라고보기가어렵다고판단됩니다. - 246 -
< 사례 6> OO 업체가 증권에개인정보를제공하여텔레마케팅에 이용한건 1. 상담내용 증권에서전화를걸어계좌이용을권하는전화를걸어와서저의개인정보 ( 이름, 주민번호, 주소, 휴대전화번호등 ) 를어떻게알았는지를물어보았더니 증권상담원이 OO업체를통해저의정보를얻었다고알려주었습니다. 저는 OO업체에서비스를이용을위해가입하였지개인정보를유출하라고하지는않았습니다. OO 업체에문의를해보았더니가입을하면서개인정보활용에동의를했다고하는데동의란것이개인정보 ( 주민번호, 전화번호, 주소, 이름 ) 를전부넘기라는의미인지알수가없습니다. 서비스동의라는명목하에 증권에회원의개인정보를주고있는데어떤것이서비스라는건지알수없으며저는개인정보피해를보았다고생각합니다. 개인정보유출이맞는지알고싶습니다. 2. 답변내용 일반적으로사업자가고객의개인정보를무단으로수집한후이를이용하여광고전화등영업활동을하는행위는개인정보침해행위에해당될것으로보입니다. 다만사업자가개인정보를수집하여제3 자에게제공한경로가고객의동의절차를거친뒤에이루어졌다면, 이는개인정보침해로판단하는데어려움이있습니다. 정보통신부에서는 " 사업자가임의로동의함에디폴트값등을설정하게 되면정보주체는동의란이있다는사실을간과하고다음절차로진행할 수있기때문에이러한경우에는정보주체의의사가명확하게표시되었 - 247 -
다고볼수없다." 고해석하고있습니다. 이에따라본사건은 OO업체에인터넷사업자가웹사이트나전자우편을통해동의를받는경우에정보주체가동의함에클릭하는행위가개인정보의처리에동의하는효과를가진다는사실을명확하게기재하여야하며당해개인정보의처리에대하여정보주체의동의가있음을증명할수있어야함을사업자에게시정권고해야할사안으로판단됩니다. 변경전 - 248 -
변경후 - 249 -