1. 개인정보 자기결정권이란 

인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리입니다. 

2. 보호대상이 되는 개인정보

개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함됩니다. 

그러한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당하게 됩니다. 

(참고 : 대법원 2014.07.24. 선고 2012다49933 판결[손해배상(기)])

3. 동의없는 개인정보 공개의 위법성 판단 기준 

정보주체의 동의 없이 개인정보를 공개함으로써 침해되는 인격적 법익과 정보주체의 동의 없이 자유롭게 개인정보를 공개하는 표현행위로써 보호받을 수 있는 법적 이익이 하나의 법률관계를 둘러싸고 충돌하는 경우에는, 개인이 공적인 존재인지 여부, 개인정보의 공공성과 공익성, 개인정보 수집의 목적·절차·이용형태의 상당성, 개인정보 이용의 필요성, 개인정보 이용으로 인해 침해되는 이익의 성질과 내용 등 여러 사정을 종합적으로 고려하여, 개인정보에 관한 인격권 보호에 의하여 얻을 수 있는 이익(비공개 이익)과 표현행위에 의하여 얻을 수 있는 이익(공개 이익)을 구체적으로 비교 형량하여, 어느 쪽 이익이 더 우월한 것으로 평가할 수 있는지에 따라 그 행위의 최종적인 위법성 여부를 판단하여야 합니다. 

(참고 : 대법원 2011. 9. 2. 선고 2008다42430 전원합의체 판결)

4. 개인정보 유출로 인한 정신적 손해 발생 판단 기준

개인정보를 처리하는 자가 수집한 개인정보를 피용자가 정보주체의 의사에 반하여 유출한 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 합니다.

(참고: 대법원 2012.12.26. 선고 2011다59834 판결)

5. 정보통신서비스 제공자의 개인정보 안정성 확보에 대한 의무

정보통신서비스제공자는 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙(2008. 9. 23. 행정안전부령 제34호로 전부 개정되기 전의 것) 제3조의3 제1항 각 호에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 할 법률상 의무를 부담합니다. 나아가 정보통신서비스제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로 하여금 이용약관 등을 통해 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신서비스제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실·도난·누출·변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담하게 됩니다. 

6. 정보통신서비스 제공자의 의무위반 판단 기준

정보통신서비스가 ‘개방성’을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스제공자가 구축한 네트워크나 시스템 및 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 ‘해커’ 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 아니한 점, 해커 등은 여러 공격기법을 통해 정보통신서비스제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적인 점 등의 특수한 사정이 있습니다. 

그러므로 정보통신서비스제공자가 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2008. 2. 29. 법률 제8852호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스제공자의 업종·영업규모와 정보통신서비스제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피 가능성, 정보통신서비스제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 합니다.

특히 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙(2008. 9. 23. 행정안전부령 제34호로 전부 개정되기 전의 것) 제3조의3 제2항은 “정보통신부장관은 제1항 각 호의 규정에 의한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.”라고 규정하고 있고, 이에 따라 정보통신부장관이 마련한 「개인정보의 기술적·관리적 보호조치 기준」(정보통신부 고시 제2005-18호 및 제2007-3호, 이하 ‘고시’라 한다)은 해킹 등 침해사고 당시의 기술수준 등을 고려하여 정보통신서비스제공자가 구 정보통신망법 제28조 제1항에 따라 준수해야 할 기술적·관리적 보호조치를 구체적으로 규정하고 있으므로, 정보통신서비스제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다면, 특별한 사정이 없는 한, 정보통신서비스제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다.

(참고: 대법원 2015.02.12. 선고 2013다43994 판결[손해배상(기)·손해배상(기)])

7. 국회의원이 교원노조 가입현황 실명자료를 공개한 것은 위법

국회의원인 갑 등이 ‘각급학교 교원의 교원단체 및 교원노조 가입현황 실명자료’를 인터넷을 통하여 공개한 사안에서, 위 정보는 개인정보자기결정권의 보호대상이 되는 개인정보에 해당하므로 이를 일반 대중에게 공개하는 행위는 해당 교원들의 개인정보자기결정권과 전국교직원노동조합의 존속, 유지, 발전에 관한 권리를 침해하는 것이고, 갑 등이 위 정보를 공개한 표현행위로 인하여 얻을 수 있는 법적 이익이 이를 공개하지 않음으로써 보호받을 수 있는 해당 교원 등의 법적 이익에 비하여 우월하다고 할 수 없으므로, 갑 등의 정보 공개행위가 위법합니다. 

(참고 : 대법원 2014.07.24. 선고 2012다49933 판결[손해배상(기)])

윤대기 변호사 (인천지방변호사회소속)  webmaster@ecumenian.com

<저작권자 © 에큐메니안, 무단 전재 및 재배포 금지>