개인정보 자기결정권 침해, 개인정보처리 위반, 최소수집원칙 위반 등의 판례 및 결정 소개
위치 및 지문정보 활용해 근태관리하려면 정보주체자로부터 사전에 동의 받아야
[보안뉴스 기획취재팀] 필기시험 응시자에게 신원조회 서류 요구는 가능할까? PC방 주인은 개인정보 처리자일까? 타인에 관한 개인정보 공개 요구는 개인정보보호법 적용대상일까? 어디까지가 개인정보를 침해한 것이고, 어느 정도까지 개인정보를 요구해도 되는지 등 알쏭달쏭한 경우가 적지 않다. 개인정보보호에 대한 인식이 예전에 비해 많이 높아졌지만 상황에 따른 개인정보 침해 여부나 개인정보 요구 가능 여부 등의 판단은 아직도 헷갈리고 어렵기만 하다. 이와 관련 개인정보보호위원회 김용학 서기관은 ‘PIS FAIR 2022’에서 개인정보 처리 이슈 관련 사례 및 판례에 대해 설명했다.
[이미지=utoimage]
Q. 이미 공개된 개인정보를 인터넷에 공개해도 될까?
1. 개인정보 자기결정권을 침해한 것
개인정보 자기결정권의 정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격 주체성의 특성이 있다. 개인의 내밀한 영역의 정보뿐만 아니라 공적 생활에서 형성되었거나 이미 공개된 개인정보까지도 포함된다는 얘기다. 국회의원인 갑 등이 ‘각급 학교 교원의 교원단체 및 교원노조 가입현황 실명자료’를 인터넷에 공개한 것은 해당 교원들의 개인정보 자기결정권을 침해한 것(2014년 7월 대법원 판결)이다.
Q. PC방 주인은 개인정보 처리자일까?
2. 개인정보 처리자로 보기 어려워
PC방 운영을 목적으로 개인정보를 처리하지 않았고, 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보 파일을 운용할 목적이 없기 때문이다. 사용 종료와 동시에 자동으로 삭제돼 개인정보 처리자라고 할 수 없다(2016년 12월 서울중앙지방법원 판결).
Q. 필기시험 응시자에게 신원조회 서류 요구는 가능할까?
3. 개인정보 최소수집원칙 위반
보안업무 규정상 제33조에서는 신원조사 대상을 공무원 임용예정자로 규정하고 있다. 필기시험 응시자나 1차 합격자, 면접시험 대상자 등은 최종합격자가 아니기 때문에 임용예정자에 해당하지 않는다. 따라서 최종적으로 채용시험에 합격한 임용예정자에 대해서만 신원조회 서류를 요구해야 한다(2016년 12월 국가인권위원회 결정).
Q. 징계 사실을 게시판에 올려도 될까?
4. 개인정보 처리의 필요 최소한의 원칙 위반
개인정보를 삭제해 사례를 전파하더라도 소속 공무원의 품위유지 의무 강화라는 공익의 목적을 충분히 달성할 수 있고, 다른 기관에서 개인정보를 삭제하고 사례를 전파한다는 점에 비춰 보아도 목적 달성을 위해 반드시 개인정보가 필요하지 않음을 알 수 있다. 징계 사실의 공문 공람 조치는 법적인 근거 없이 진정인의 권리를 제한한 조치이며, 과잉금지의 원칙을 위반해 헌법 제10조의 행복추구권에서 도출되는 진정인의 인격권과 개인정보 자기결정권을 침해한 것(2018년 8월 국가인권위원회 결정)이다.
Q. 타인에 관한 개인정보 공개 요구는 개인정보보호법 적용대상일까?
5. 공공기관의 정보공개에 관한 법률 적용대상
정보공개법 제4조 제1항은 ‘정보의 공개에 관해 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법이 정하는 바에 의한다’고 규정하고 있다. 여기서 ‘정보공개에 관해 다른 법률에 특별한 규정이 있는 경우’에 해당한다고 함으로써 정보공개법의 적용을 배제하기 위해서는 그 특별한 규정이 법률이어야 하고, 나아가 그 내용이 정보공개의 대상 및 범위, 정보공개의 절차, 비공개 대상 정보 등에 관해 정보공개법과 달리 규정해야 한다. 개인정보보호법에서는 자신의 개인정보에 대한 열람만 규정하고 있다(2010년 2월 대법원 판결).
Q. 개인 위치정보를 이용해 근태관리를 해도 될까?
6. 정보주체로부터 사전에 동의를 받아야
00택시 회사는 콜 관제 시스템에서 택시기사들의 위치정보를 확인해 택시기사들이 모여 있는 장소를 파악함으로써 택시기사들의 도박이나 음주를 확인했다. 2년여에 걸쳐 모여 있는 사람들의 성향과 장소를 파악하는 등 택시기사의 동향 확인에 콜 관제 시스템을 활용한 것이다. 정보주체의 동의 없이 개인 위치정보를 활용해 사생활의 비밀 등이 침해됐고 위법한 개인 위치정보 수집으로 정신적 고통을 입었다고 볼 수 있다(2016년 9월 대법원 판결).
Q. 보육교사가 반대하는데도 어린이집에 CCTV를 설치해도 될까?
7. 영유아보육법 제15조의5에 따라 설치해 운영
어린이집에서의 아동학대 근절과 보육환경의 안전성 확보는 사회적·국가적으로 보호할 필요가 있는 중대한 공익이다. 보육교사 등의 기본권에 가해지는 제약이 위 공익에 비해 크다고 보기 어렵다. 어린이집의 CCTV 설치 및 운영은 과잉금지 원칙을 위반해 보육교사 등의 개인정보자기결정권 및 어린이집 원장의 직업수행의 자유를 침해하지 않는다(2017년 12월 헌법재판소 선고).
Q. 지문인식으로 출퇴근 관리를 해도 될까?
8. 다른 대체수단과 함께 정보주체의 동의를 받아야
지문정보를 수집해 이용하기 위해서는 정보주체의 동의를 받아야 한다. 실질적인 동의가 되기 위해서는 동의하지 않을 경우의 대체수단도 마련돼야 한다. 전자태그 방식이나 시스템에 로그인한 후 출퇴근 시간을 입력하는 등의 대체수단에 대한 언급이 없이 지문정보로만 출퇴근 관리를 하도록 하는 것은 지문등록을 강요한 것으로 개인정보 자기결정권을 침해한 것이다(2018년 5월 국가인권위원회 진정).
Q. 안전성 확보조치 기준(고시)을 준수했지만 개인정보 유출사고가 발생한 경우 손해배상 책임이 있을까?
9. 주의 의무를 다하지 않아 유출되었다면 손해배상 책임이 있다
개인정보 취급자가 작업 종료 후 로그아웃을 하도록 하는 것은 기술적·관리적 보호 조치 기준에는 해당하지 않으나, 정보통신서비스 제공자가 마땅히 준수해야 한다고 쉽게 예상할 수 있다. 따라서 사회통념상으로도 합리적으로 기대 가능한 보호조치에 해당된다. 만약 이러한 보호조치를 미이행해 접속 권한이 없는 제3자가 손쉽게 시스템에 접속해 개인정보를 빼내갔다면 이는 주의 의무를 위반한 것이며, 개인정보 유출과의 상당인과 관계가 인정된다면 그 책임을 면할 수 없다(2018년 1월 대법원 판결).
김용학 서기관은 기본 원칙에 충실할 것을 당부하며, △처리 목적의 명확화, 목적 내에서 적합하고 정당하게 최소 수집 △처리 목적 내에서 처리, 목적 외 활용금지 △처리 목적 내에서 정확성, 완전성, 최신성 보장 △정보주체의 권리침해 위험성 등을 고려하여 안전하게 관리 △개인정보 처리사항 공개, 정보주체의 권리보장 △사생활 침해 최소화 방법으로 처리 △가능한 경우 익명 처리 △개인정보 처리자의 책임 준수, 정보 주체의 신뢰성이 확보돼야 한다고 강조했다.
[기획취재팀(boan3@boannews.com)]
위치 및 지문정보 활용해 근태관리하려면 정보주체자로부터 사전에 동의 받아야
[보안뉴스 기획취재팀] 필기시험 응시자에게 신원조회 서류 요구는 가능할까? PC방 주인은 개인정보 처리자일까? 타인에 관한 개인정보 공개 요구는 개인정보보호법 적용대상일까? 어디까지가 개인정보를 침해한 것이고, 어느 정도까지 개인정보를 요구해도 되는지 등 알쏭달쏭한 경우가 적지 않다. 개인정보보호에 대한 인식이 예전에 비해 많이 높아졌지만 상황에 따른 개인정보 침해 여부나 개인정보 요구 가능 여부 등의 판단은 아직도 헷갈리고 어렵기만 하다. 이와 관련 개인정보보호위원회 김용학 서기관은 ‘PIS FAIR 2022’에서 개인정보 처리 이슈 관련 사례 및 판례에 대해 설명했다.
[이미지=utoimage]
Q. 이미 공개된 개인정보를 인터넷에 공개해도 될까?
1. 개인정보 자기결정권을 침해한 것
개인정보 자기결정권의 정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격 주체성의 특성이 있다. 개인의 내밀한 영역의 정보뿐만 아니라 공적 생활에서 형성되었거나 이미 공개된 개인정보까지도 포함된다는 얘기다. 국회의원인 갑 등이 ‘각급 학교 교원의 교원단체 및 교원노조 가입현황 실명자료’를 인터넷에 공개한 것은 해당 교원들의 개인정보 자기결정권을 침해한 것(2014년 7월 대법원 판결)이다.
Q. PC방 주인은 개인정보 처리자일까?
2. 개인정보 처리자로 보기 어려워
PC방 운영을 목적으로 개인정보를 처리하지 않았고, 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보 파일을 운용할 목적이 없기 때문이다. 사용 종료와 동시에 자동으로 삭제돼 개인정보 처리자라고 할 수 없다(2016년 12월 서울중앙지방법원 판결).
Q. 필기시험 응시자에게 신원조회 서류 요구는 가능할까?
3. 개인정보 최소수집원칙 위반
보안업무 규정상 제33조에서는 신원조사 대상을 공무원 임용예정자로 규정하고 있다. 필기시험 응시자나 1차 합격자, 면접시험 대상자 등은 최종합격자가 아니기 때문에 임용예정자에 해당하지 않는다. 따라서 최종적으로 채용시험에 합격한 임용예정자에 대해서만 신원조회 서류를 요구해야 한다(2016년 12월 국가인권위원회 결정).
Q. 징계 사실을 게시판에 올려도 될까?
4. 개인정보 처리의 필요 최소한의 원칙 위반
개인정보를 삭제해 사례를 전파하더라도 소속 공무원의 품위유지 의무 강화라는 공익의 목적을 충분히 달성할 수 있고, 다른 기관에서 개인정보를 삭제하고 사례를 전파한다는 점에 비춰 보아도 목적 달성을 위해 반드시 개인정보가 필요하지 않음을 알 수 있다. 징계 사실의 공문 공람 조치는 법적인 근거 없이 진정인의 권리를 제한한 조치이며, 과잉금지의 원칙을 위반해 헌법 제10조의 행복추구권에서 도출되는 진정인의 인격권과 개인정보 자기결정권을 침해한 것(2018년 8월 국가인권위원회 결정)이다.
Q. 타인에 관한 개인정보 공개 요구는 개인정보보호법 적용대상일까?
5. 공공기관의 정보공개에 관한 법률 적용대상
정보공개법 제4조 제1항은 ‘정보의 공개에 관해 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법이 정하는 바에 의한다’고 규정하고 있다. 여기서 ‘정보공개에 관해 다른 법률에 특별한 규정이 있는 경우’에 해당한다고 함으로써 정보공개법의 적용을 배제하기 위해서는 그 특별한 규정이 법률이어야 하고, 나아가 그 내용이 정보공개의 대상 및 범위, 정보공개의 절차, 비공개 대상 정보 등에 관해 정보공개법과 달리 규정해야 한다. 개인정보보호법에서는 자신의 개인정보에 대한 열람만 규정하고 있다(2010년 2월 대법원 판결).
Q. 개인 위치정보를 이용해 근태관리를 해도 될까?
6. 정보주체로부터 사전에 동의를 받아야
00택시 회사는 콜 관제 시스템에서 택시기사들의 위치정보를 확인해 택시기사들이 모여 있는 장소를 파악함으로써 택시기사들의 도박이나 음주를 확인했다. 2년여에 걸쳐 모여 있는 사람들의 성향과 장소를 파악하는 등 택시기사의 동향 확인에 콜 관제 시스템을 활용한 것이다. 정보주체의 동의 없이 개인 위치정보를 활용해 사생활의 비밀 등이 침해됐고 위법한 개인 위치정보 수집으로 정신적 고통을 입었다고 볼 수 있다(2016년 9월 대법원 판결).
Q. 보육교사가 반대하는데도 어린이집에 CCTV를 설치해도 될까?
7. 영유아보육법 제15조의5에 따라 설치해 운영
어린이집에서의 아동학대 근절과 보육환경의 안전성 확보는 사회적·국가적으로 보호할 필요가 있는 중대한 공익이다. 보육교사 등의 기본권에 가해지는 제약이 위 공익에 비해 크다고 보기 어렵다. 어린이집의 CCTV 설치 및 운영은 과잉금지 원칙을 위반해 보육교사 등의 개인정보자기결정권 및 어린이집 원장의 직업수행의 자유를 침해하지 않는다(2017년 12월 헌법재판소 선고).
Q. 지문인식으로 출퇴근 관리를 해도 될까?
8. 다른 대체수단과 함께 정보주체의 동의를 받아야
지문정보를 수집해 이용하기 위해서는 정보주체의 동의를 받아야 한다. 실질적인 동의가 되기 위해서는 동의하지 않을 경우의 대체수단도 마련돼야 한다. 전자태그 방식이나 시스템에 로그인한 후 출퇴근 시간을 입력하는 등의 대체수단에 대한 언급이 없이 지문정보로만 출퇴근 관리를 하도록 하는 것은 지문등록을 강요한 것으로 개인정보 자기결정권을 침해한 것이다(2018년 5월 국가인권위원회 진정).
Q. 안전성 확보조치 기준(고시)을 준수했지만 개인정보 유출사고가 발생한 경우 손해배상 책임이 있을까?
9. 주의 의무를 다하지 않아 유출되었다면 손해배상 책임이 있다
개인정보 취급자가 작업 종료 후 로그아웃을 하도록 하는 것은 기술적·관리적 보호 조치 기준에는 해당하지 않으나, 정보통신서비스 제공자가 마땅히 준수해야 한다고 쉽게 예상할 수 있다. 따라서 사회통념상으로도 합리적으로 기대 가능한 보호조치에 해당된다. 만약 이러한 보호조치를 미이행해 접속 권한이 없는 제3자가 손쉽게 시스템에 접속해 개인정보를 빼내갔다면 이는 주의 의무를 위반한 것이며, 개인정보 유출과의 상당인과 관계가 인정된다면 그 책임을 면할 수 없다(2018년 1월 대법원 판결).
김용학 서기관은 기본 원칙에 충실할 것을 당부하며, △처리 목적의 명확화, 목적 내에서 적합하고 정당하게 최소 수집 △처리 목적 내에서 처리, 목적 외 활용금지 △처리 목적 내에서 정확성, 완전성, 최신성 보장 △정보주체의 권리침해 위험성 등을 고려하여 안전하게 관리 △개인정보 처리사항 공개, 정보주체의 권리보장 △사생활 침해 최소화 방법으로 처리 △가능한 경우 익명 처리 △개인정보 처리자의 책임 준수, 정보 주체의 신뢰성이 확보돼야 한다고 강조했다.
[기획취재팀(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 TH.jpg)
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
