[안미령 이정운 변호사와 떠나는 IT법여행]⑧정보통신서비스 제공자와 개인정보보호

📁관련 통계자료 다운로드개인정보 수집 이용 시 양 법의 차이점

안녕하세요! 김앤장법률사무소 안미령·이정운 변호사입니다. 이번 달에는 정보통신서비스 제공자와 개인정보보호에 대해 알아보겠습니다.

지난달 30일 개인정보보호법이 본격적인 법 적용에 들어갔다. 개인정보보호에 관한 일반법이 마련됐다는 점에서 분명 환영할 일이다. 하지만 구체적인 해석과 적용에 많은 숙제가 남아 있는 상황이다. 특히 정보통신서비스 제공자는 구체적인 상황에서 정보통신망 이용 촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)상 개인정보보호 규정과 개인정보보호법상 규정 중 어떤 것이 적용되는지 판단이 어려운 때가 적지 않다. 이번에는 정보통신망법과 개인정보보호법의 구체적인 차이점을 비롯해 정보통신서비스 제공자의 개인정보보호와 관련된 쟁점들을 살펴보기로 한다.

[안미령 이정운 변호사와 떠나는 IT법여행]⑧정보통신서비스 제공자와 개인정보보호

전자신문사가 주최하고 행정안전부 인터넷 진흥원이 후원하는 `개인정보보호법 대해부 콘퍼런스`가 27일 서울 효창동 백범기념관에서 열렸다. 30일 부터 발효되는 정부의 `개인정보보호법` 추진 방향과 최신 기술 트렌드가 소개된 이번 행사에서 황서종 행정안전부 정보기반정책관이 기조연설을 하고 있다.
전자신문사가 주최하고 행정안전부 인터넷 진흥원이 후원하는 `개인정보보호법 대해부 콘퍼런스`가 27일 서울 효창동 백범기념관에서 열렸다. 30일 부터 발효되는 정부의 `개인정보보호법` 추진 방향과 최신 기술 트렌드가 소개된 이번 행사에서 황서종 행정안전부 정보기반정책관이 기조연설을 하고 있다.
[안미령 이정운 변호사와 떠나는 IT법여행]⑧정보통신서비스 제공자와 개인정보보호

사례1. A사 회원제 웹사이트에 가입하기 위해서는 본인확인을 위해 주민등록번호를 입력해야 한다. A사는 개인정보보호법 시행에 따라 웹사이트 회원가입 절차를 개선해야 하는지 고민이다.

◇정보통신서비스 제공자와 정보통신망법=정보통신서비스 제공자가 이용자 개인정보를 취급할 때에는 원칙적으로 정보통신망법상 개인정보보호에 관한 규정들이 적용된다. 이때 정보통신서비스 제공자 개념에는 단순히 제품 홍보 등을 위해 웹사이트를 운영하는 자도 포함되므로 정보통신망법이 적용되는 범위가 상당히 넓다.

정보통신망법 제22조에 따르면 이용자 개인정보를 수집해 이용하려는 경우 원칙적으로 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목, 개인정보 보유·이용기간을 알리고 이용자 동의를 받도록 규정하고 있다. 따라서 A사는 그동안 주민등록번호와 같은 이용자 개인정보를 수집해 이용할 때는 반드시 이용자의 명시적인 동의를 얻어야 했다.

◇개인정보보호법 적용 여부=한편, 새로 제정된 개인정보보호법에서는 주민등록번호나 운전면허번호처럼 개인을 식별하기 쉬운 정보를 고유식별정보라고 하여 이러한 정보를 처리하기 위해서는 다른 개인정보 처리에 관한 동의와 별도로 동의를 받아야 한다고 규정하고 있다. 따라서 A사의 개인정보 수집·이용에 대해 개인정보보호법이 적용된다고 하면, A사는 회원가입 절차 중 주민등록번호의 수집·이용에 관한 별도 동의란을 마련해야 할 것이다.

그런데 개인정보보호법 제6조는 “개인정보보호에 관하여는 `정보통신망 이용촉진 및 정보보호 등에 관한 법률` `신용정보의 이용 및 보호에 관한 법률` 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다”고 규정하고 있어 “다른 법률에 특별한 규정이 있는 경우”를 어떻게 해석하느냐에 따라 개인정보보호법 적용 범위가 달라질 수 있다.

예를 들면 정보통신망법에서는 고유식별정보에 관한 별도 규정은 두고 있지 않지만 개인정보 수집 및 이용에 관한 정보통신망법 제22조를 `다른 법률에 특별한 규정이 있는 경우`로 해석해 주민등록번호도 다른 개인정보와 함께 동의를 받아 처리하면 된다는 해석을 할 수 있다. 반대로 정보통신망법 고유식별정보에 관한 적극적인 규정이 존재하지 않는 이상 개인정보보호법의 관련 규정이 정보통신서비스 제공자에게 적용된다는 해석도 가능하다.

개인정보 수집 이용 시 양 법의 차이점

◇합리적인 법 해석의 필요성=정보통신서비스 제공자 입장에서 개인정보보호법의 추가 규제를 준수하기 위해서는 기존 시스템을 새로 구축해야 하는 등 적지 않은 비용을 지출해야 하는 문제가 있다. 따라서 차이를 보이는 각 법률이 어떻게 적용되어야 할지는 명확한 가이드라인이 필요하다.

지난 2월 국회를 통과한 개정 정보통신망법은 이러한 측면에서 사업자들에게 부담과 혼란을 초래할 수 있다. 개정 정보통신망법은 이용자 주민등록번호 수집·이용을 원칙적으로 금지하고 있기 때문에 A사가 주민등록번호 수집에 별도 동의란을 만들었다고 하더라도 올해 8월부터는 주민등록번호 수집·이용이 금지되는 것이다.

사례2. 인터넷쇼핑몰을 운영하는 B사는 회원이 주문한 상품 배송을 C택배업체에 맡기려고 한다. B사는 이러한 업무 위탁을 위해 어떠한 절차를 거쳐야 하는지 궁금하다.

◇개인정보 제3자 제공과 취급위탁 구별=정보통신망법과 개인정보보호법은 모두 개인정보의 제3자 제공과 취급 위탁을 개념적으로 구별하고 있다. 양자는 개인정보를 수집 주체가 아닌 다른 자에게 전달해 이용하게 한다는 측면에서 동일한 외형을 가지나, 이용 목적과 책임에 분명한 차이가 존재한다. 제3자 제공의 경우 개인정보를 제공받는 자의 영업이나 이익을 위해 개인정보를 이용하며, 원칙적으로 제공받은 자가 개인정보 처리에 책임을 진다.

반면에 취급위탁은 개인정보는 위탁된 업무 목적 범위에서만 이용되며, 이러한 개인정보의 처리는 수탁자뿐만 아니라 위탁자에게도 일정한 책임이 인정된다. 특히 수탁자가 위탁받은 업무를 수행하면서 개인정보보호에 관한 규정을 위반해 발생한 손해배상 책임에 대해서는 수탁자를 위탁자의 직원으로 간주한다.

제3자 제공과 취급위탁 차이점

◇개인정보 취급위탁 시 필요한 절차=정보통신망법상 개인정보의 제3자 제공을 위해서는 다른 법률에 특별한 규정이 존재하지 않는 이상 이용자의 사전동의가 필요하다. 취급위탁도 원칙적으로 이용자의 사전동의가 필요하나, 정보통신서비스의 제공에 관한 계약을 이행하기 위해 필요한 때에는 공개나 고지만으로 충분하다고 규정하고 있다.

B사가 C택배업체에 배송업무를 위탁하면서 개인정보를 처리할 수 있도록 한 것은 `계약을 이행하기 위하여 필요한 경우`에 해당하므로 위탁업무의 내용과 수탁자를 개인정보 취급 방침에 공개하면 될 것이다.

◇외국은=전 세계적으로 개인정보의 취급위탁에 별도 동의나 공개 등의 절차를 요구하는 입법례는 흔치 않다. EU나 일본도 개념상 개인정보의 제3자 제공과 취급위탁을 구분하고 있으나, 위탁에 관해 별도 동의 등 절차를 요구하고 있지는 않다. 기업 활동이 다양해짐에 따라 현실적으로 많은 업무가 전문성을 갖춘 외부업체에 의해 위탁 처리되고 있으며, 취급위탁은 여전히 위탁자의 책임 및 관리 범위에 있다는 점을 고려할 때 개인정보의 취급위탁에 별도 동의를 받는 것이 과연 적절한 것인지 고민해 볼 필요가 있다.

사례3. D사는 외부 해킹으로 인해 웹사이트 회원의 개인정보가 유출되는 사고를 당했다. 해당 웹사이트 회원으로 가입했던 E는 자신의 정신적 손해를 주장하면서 위자료 청구소송을 제기했다.

◇개인정보 유출사고와 손해배상 책임=개인정보 유출은 다양한 원인에 의해 발생할 수 있다. 최근 들어 이러한 개인정보 유출이 발생한 때는 대부분 이용자들의 집단소송이 이어지고 있다. 법원은 개인정보 유출이 있으면 헌법상 개인정보통제권의 침해를 인정해 정신적 손해에 배상을 명한 바 있다(서울중앙지방법원 2007.1.26.선고 2006나12182 판결 참조).

그러나 외부의 악의적인 해킹으로 인해 개인정보가 유출된 때는 정보통신서비스 제공자의 책임을 인정할 때 신중할 필요가 있다. 정보통신망법 등에서는 개인정보 유출 등을 방지하기 위해 일정한 기술적·관리적 보호조치를 취하도록 규정하고 있고, 관련 규제기관은 세부고시에서 구체적인 조치사항을 정하고 있다. 이러한 조치의무를 다하였음에도 불구하고, 해킹으로 인한 모든 책임을 인정하게 된다면, 이러한 보호조치를 취할 실익이 반감된다. 실제로 최근 법원의 판결들에서도 이러한 점을 고려하는 경향을 보이고 있다(서울중앙지방법원 2010.1.14. 선고 2008가합45021 판결 참조).

◇기술적·관리적 보호조치=방통위의 개인정보 기술적·관리적 보호조치 기준에 따르면 정보통신서비스 제공자는 개인정보를 암호화해 전송·저장해야 하며, 접근통제시스템을 구축하는 등의 조치를 취해야 한다. 이를 위해서는 기본적으로 많은 비용이 소요되지만 관련 법령에는 사업규모나 보유 개인정보의 양을 고려하지 않고 있는데, 법의 실효성을 고려할 때 사업자의 현황에 맞추어 의무의 정도를 차등화하는 방안 등을 고려할 수 있을 것이다.

*판례

1>서울중앙지방법원 2007.1.26.선고 2006나12182 판결=온라인게임업체의 게임서버 및 네트워크 정기점검 과정에서 직원 실수로 이용자의 컴퓨터 내에 생성되는 로그파일에 이용자의 아이디 및 비밀번호가 기록되는 일이 발생했다. 법원은 이를 개인정보 유출로 인정하고, 이로 인해 헌법에 보장된 기본권인 `자신들의 의사에 반하여 개인정보가 함부로 공개되지 아니 할 권리`가 침해되었는 바, 위와 같은 권리는 인격적 이익에 직접 관계되는 것이므로, 원고들이 이 사건 사고로 받은 정신적 고통은 통상 손해라고 보아야 한다고 판단.
2>서울중앙지방법원 2010.1.14. 선고 2008가합45021 판결=정보통신서비스 제공자가 정보통신서비스를 제공하기 위해 이용자로부터 수집한 개인정보를 해킹으로 인해 도난당하였을 때 정보통신서비스 제공자에게 이용자들에 대한 손해배상책임을 지우기 위하여는 정보통신서비스 제공자가 해킹 사고를 방지하기 위해서 선량한 관리자로서 취해야 할 기술적·관리적 조치 의무를 위반함으로써 해킹사고를 예방하지 못한 경우여야 한다고 판시.


김원석기자 stone201@etnews.com