Home > 전체기사
[개인정보보호 연차보고서 톺아보기-4] 개인정보보호 주요 판례
  |  입력 : 2020-09-09 00:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
헌법재판소, 전기통신사업자의 본인확인의무 등 위헌 확인 등 3가지 결정례
대법원, 1㎜ 고지 사건의 개인정보보호법 위반 등 2가지 판례


최근 개인정보보호위원회에서 발간한 ‘2020 개인정보보호 연차보고서’는 2018년 5월에 발효된 EU GDPR(유럽연합 개인정보보호법)에 대한 정부의 대책 및 기업 지원 현황, 빅데이터·AI 등 신기술 발전에 대응한 관계 부처별 개인정보보호 정책 동향을 분석했다. 또한, 지난 1년간 헌법재판소 결정례 및 대법원 판례, 보호위원회 결정례를 소개하는 등 산업계·학계는 물론 개인정보보호에 관심 있는 국민들도 유용하게 활용할 수 있도록 풍부한 내용을 수록했다. 이에 본지에서는‘2020 개인정보보호 연차보고서’에 수록된 내용들을 시리즈로 소개한다. [편집자 주]

[이미지=utoimage]


2020 개인정보보호 연차보고서에는 행정안전부와 방송통신위원회의 개인정보보호 관련법 위반 행정처분 내용과 함께 개인정보보호 관련 주요 사건에 대한 헌법재판소의 결정례와 대법원 판례도 소개돼 있는데, 주요 판례들을 살펴보면 다음과 같다.

헌법재판소 결정
가. 전기통신사업자의 본인확인의무 등 위헌 확인
청구인들은 이동통신사 대리점에서 휴대전화 이동통신서비스 제공계약(휴대전화 통신계약)을 체결하고자 했다. 청구인 A는 주민등록증을 제시하고 부정가입방지시스템으로 본인임을 확인받은 후 계약을 체결했고, 청구인 B는 그러한 본인확인절차를 거치지 아니함으로써 계약을 체결하지 못했다.

청구인들이 헌법소원심판을 청구한 조항은 「전기통신사업법」 제32조의4(2014. 10. 15.법률 제12761호로 개정된 것) 제2항·제3항 등으로, 이들 조항은 휴대전화 통신계약 체결 시 전기통신사업자로 하여금 계약 상대방에게 본인임을 확인할 수 있는 증서 등을 제시하도록 요구하고 부정가입방지시스템 등을 이용해 본인 여부를 확인하도록 의무를 부과하고 있다.

헌법재판소는 「전기통신사업법」 제32조의4 제2항, 제3항 및 「전기통신사업법 시행령」 제37조의6 제1항, 제2항 제1호, 제3항, 제4항(이를 전부 합해 ‘심판대상조항’이라 한다)이 청구인들의 개인정보 자기결정권, 통신의 자유, 사생활의 비밀과 자유를 침해하는지 여부를 심판했다.

그 결과 헌법재판소는 심판대상 조항으로 인해 개인정보 자기결정권·통신의 자유가 제한되는 불이익과 비교했을 때, 명의도용 피해를 막고 차명 휴대전화의 생성을 억제해 보이스피싱 등 범죄의 범행도구로 악용될 가능성을 방지함으로써 잠재적 범죄 피해 방지 및 통신망 질서 유지라는 더욱 중대한 공익의 달성효과가 인정된다고 보았다. 따라서 심판대상조항은 청구인들의 개인정보 자기결정권 및 통신의 자유를 침해하지 않는다고 판단했다.

나. 구 「아동·청소년의 성보호에 관한 법률」 제42조 제1항 위헌 확인
청구인은 「아동·청소년의 성보호에 관한 법률」 제7조 제3항의 아동·청소년에 대한 강제추행죄(이 사건 범죄)로 벌금형 등이 확정된 자이다. 이로써 청구인은 「성폭력범죄의 처벌 등에 관한 특례법」(2016. 12. 20. 법률 제14412호로 개정된 것, 이하 ‘성폭력처벌법’이라 한다)에 따른 신상정보 등록대상자가 됐다. 이에 청구인은 관련 조항에 대해 헌법소원심판을 청구했다.

헌법재판소는 성폭력처벌법의 조항 중 이 사건 범죄로 유죄판결이 확정된 자를 신상정보등록대상자로 하고(등록대상조항), 그에 따른 신상정보 제출 의무를 부과하는 조항(제출조항), 출입국 시 신고의무를 부과하는 조항(출입국 신고조항), 법무부장관의 신상정보 등록·보존·관리 의무를 규정한 조항(등록조항 및 관리조항), 법무부장관의 등록정보의 검사 또는 각급 경찰관서의 장에 대한 배포 의무를 규정한 조항(배포조항)이 청구인의 개인정보 자기결정권을 침해하는지 여부를 심판했다.

그 결과 헌법재판소는 심판대상 조항들이 모두 일정한 성폭력범죄자의 개인정보의 수집·보관·처리·이용에 관한 근거규정으로서 개인정보 자기결정권을 제한한다(헌재 2016. 3. 31. 2014헌마457; 헌재 2018. 3. 29. 2017헌마396 참조)는 점을 인정했다.

그러나 헌법재판소는 이들 조항 모두 성범죄 억제 및 수사 효율이라는 정당한 목적을 달성하기 위한 것으로서 목적의 정당성 및 수단의 적합성이 인정되며, 또한 개별 조항의 내용 및 입법 목적에 비춰 볼 때 침해의 최소성 및 법익의 균형성 또한 인정된다고 봤다. 따라서 심판대상 조항들은 헌법에 위반하지 않는다고 판단했다.

다. 「성폭력범죄의 처벌 등에 관한 특례법」 제45조 제1항 등 위헌 확인
청구인은 형법 제298조의 강제추행죄로 벌금 등의 형을 선고받고, 그 형이 확정된 자이다. 청구인은 성폭력처벌법 제42조 제1항, 제45조 제1항 제4호에 따라 등록기간이 10년인 신상정보 등록대상자가 됐고(관리조항), 같은 법 제45조의2 제2항 제4호에 따라 기본신상정보를 최초로 등록한 날부터 7년이 경과된 후 법무부장관에게 신상정보 등록의 면제를 신청할 수 있는 실정이다(등록면제신청조항).

청구인은 위 조항들에 대하여 헌법소원심판을 청구했고, 헌법재판소는 성폭력처벌법 제45조 제1항 본문 제4호, 제45조의2 제2항 제4호가 청구인의 개인정보 자기결정권을 침해하는지 심판했다.

그 결과 헌법재판소는 위 심판대상 조항들이 청구인의 신상정보의 보존 및 관리에 관한 사항을 규정하고 있으므로 청구인의 개인정보 자기결정권을 제한한다고 보았다. 그러나 이들 조항은 목적의 정당성, 수단의 적합성, 침해의 최소성, 법익의 균형성이 인정되므로 청구인의 개인정보 자기결정권을 침해하지 않는다고 결정했다.

대법원 판례
가. 1㎜ 고지 사건
(1)「개인정보 보호법」 제72조 제2호 위반 관련
A사는 2011년 12월경부터 2014년 6월경까지 수차례에 걸쳐 경품행사를 실시하고, 이에 응모한 고객들의 성명, 생년월일 또는 주민등록번호, 휴대전화번호, 자녀 수, 부모님과 동거 여부 등을 수집하고 그중 약 600만건을 보험회사들에게 약 119억원에 판매했다.

이때 A사는 이 사건 경품행사 광고와 응모권(15㎝×7㎝ 크기) 앞면에 경품 사진과 함께 ‘창립 14주년 고객 감사 대축제’ ‘그룹 탄생 5주년 기념’ 등의 문구를 기재했고, 응모권 뒷면과 인터넷 응모화면에 1㎜의 크기로 보험회사들에게 보험마케팅을 위해 개인정보를 제공한다는 점에 관한 사항을 기재해 고객의 동의를 받았다.

이러한 A사의 행위와 관련해 「개인정보 보호법」 제72조 제2호의 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위’로서 형사처벌의 대상이 되는지가 문제됐다.

(2)「개인정보 보호법」 제71조 제1호, 「정보통신망의 이용촉진 및 정보보호 등에 관한 법률」 제71조 제3호 위반 관련
한편, A사는 개인정보 제3자 제공에 동의하지 않는 고객의 개인정보 데이터베이스에 대해 일단 보험회사들이 여기에 접근해 보험회사 블랙리스트 등록자를 걸러내는 필터링 작업을 하게 한 후(이 사건 접근 허용 행위), 이들 고객에게 연락해 보험회사에 대한 제휴 마케팅 목적의 개인정보 제3자 제공 동의를 받았다.

위의 이 사건 접근 허용 행위가 「개인정보 보호법」 제71조 제1호, 정보통신망법 제71조 제3호가 금지하는 정보주체의 동의 없이 개인정보를 제3자에게 제공하는 행위에 해당해 형사처벌의 대상이 되는지가 문제됐다. 이와 관련해 이 사건 접근 허용 행위가 개인정보처리위탁인지 아니면 개인정보의 제공에 해당하는지가 쟁점이 됐다.

위 사건들에 관해 서울중앙지방법원 2018. 8. 16. 선고 2017노1296 판결은 (1)이 사건 경품행사와 관련해 「개인정보 보호법」 제72조 제2호 위반을 인정했고, (2)이 사건 접근 허용 행위를 보험회사들에 대한 동의 없는 개인정보 제3자 제공으로 보고 「개인정보 보호법」 제71조 제1호·정보통신망법 제71조 제3호의 위반을 인정한 바 있다. 대법원은 원심의 위와 같은 판시를 확정했다.

이 판결은 「개인정보 보호법」 제72조 제2호의 구성요건의 의미를 명확히 하고, 개인정보위탁과 제공의 판단 기준을 보다 구체화했다는 데 의의가 있다.

나. 「개인정보 보호법」상 ‘개인정보처리자’의 범위
피고인 B는 라디오 방송국의 프로그램 작가이다. 위 프로그램의 경품에 당첨된 청취자 C가 위 프로그램 게시판 등에 지속적으로 피고인에 대한 항의글을 게시하자, 피고인은 그 중단을 요청하는 내용증명을 보내기로 마음먹었다. 피고인은 C의 동의 또는 기타 「개인정보 보호법」상 근거 없이 변호사 D에게 C의 주소 및 연락처를 교부했다.

이때 피고인이 C의 개인정보를 수집한 목적 외의 목적으로 제3자 D에게 제공함으로써 「개인정보 보호법」 제18조 제1항을 위반한 것인지 문제됐다. 그 전제로서, 피고인이 제18조 제1항의 수범자인 개인정보처리자에 해당하는지가 쟁점이 됐다.

이 사건에 관해 원심 판결인 서울서부지방법원 2019. 2. 14. 선고 2018노556 판결은 피고인이 ‘업무를 목적으로 개인정보파일을 운용’하는 자가 아니므로 개인정보처리자에 해당하지 않고, 따라서 제18조 제1항의 수범자가 될 수 없다고 판시했다.

대법원은 원심의 판결을 그대로 유지했다. 이 판결은 「개인정보 보호법」의 수범자인 ‘개인정보처리자’ 개념에 대한 확장 해석을 경계하고, 개인정보처리자의 개념요소인 ‘개인정보파일 운용’ 여부를 개인정보처리자 여부 판단에 있어 실질적으로 고려했다는 점에 의미가 있다고 생각된다.

구체적으로, 원심 판결은 「개인정보 보호법」 제2조 제5호의 개인정보처리자가 되기 위해서는 ‘업무를 목적으로 개인정보파일을 운용하기 위해 스스로 또는 다른 사람을 통해 개인정보를 처리’하는 자여야 하는데, 피고인은 자신의 업무를 목적으로 개인정보파일을 운용했다고 보기 어렵다고 봤다.

이와 같이 판단함에 있어 원심은 피고인은 B 라디오 방송국을 위해 일하는 프리랜서 작가로서 청취자의 전화번호만을 수집해 B 라디오로 전달하는 점, 경품 배송을 위한 개인정보의 수집 및 처리 과정에서 청취자의 개인정보 이용 등의 동의를 받아 주소 및 인적사항을 수집하고 이를 배송업체에 전달하는 것은 B 라디오인 점, 피고인이 개인정보파일 즉 개인정보 집합물을 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 검색시스템을 구축하고 운용하였다고 볼 만한 증거가 없는 점 등을 감안했다. 비록 피고인이 미배송 민원 처리를 하는 과정에서 B 라디오 방송국이 마련한 개인정보 데이터베이스에 접근할 수 있었지만, 이것만으로 피고인이 개인정보처리자라고 보기는 불충분하다고 판시했다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)