1. 11월 개인정보보호 법령 및 정책 동향 등
1
2014. 11. 테크앤로 법률사무소
□ 개인정보보호 법령 개정안
○ 조원진 의원 대표발의 「개인정보 보호법 일부개정법률안」(14.11.5)
- (주요내용) 대통령 소속 개인정보 보호위원회의 기능 강화, 개인정보 국
외 제공 기준 마련, 수탁자 책임 강화 등 현행법의 운영상 미비사항을
보완하고, 징벌적 손해배상제·법정손해배상제를 도입하는 등 새로운 제
도를 신설하여 개인정보 보호 강화를 위한 기업의 관심과 투자를 촉구하
고 개인정보 유출사고 발생을 근본적으로 예방
※ ① 국외의 제3자가 안전행정부장관이 고시하는 인증을 받은 경우 또는
국외 제공 계약에 관한 지침을 준수하여 국외의 제3자와 계약을 체결하
는 경우 등에 한하여 개인정보 국외 제공이 가능하도록 하여 글로벌 환
경 하에서 개인정보 보호의 적정을 기함(안 제19조의2 신설). ② 정보주
체 이외로부터 개인정보를 수집한 경우 해당 개인정보의 수집 목적 및
출처 관리를 의무화하는 등 개인정보처리자의 책임성을 강화함(안 제20
조의2 신설). ③ 개인정보 처리업무의 재위탁에 관한 법적 근거 및 한계
를 명확히 함(안 제26조제6항 신설). ④ 열람·정정·삭제 요구권 행사의
편의성을 제고하는 등 정보주체의 권리를 강화함(안 제38조제4항, 제75
조제2항제1호 및 제75조제3항제12호). ⑤ 징벌적 손해배상제 및 법정손
해배상제를 도입(안 제39조제3항·제4항 및 제39조의2 신설). ⑥ 부정한
수단이나 방법으로 취득한 개인정보를 영리 또는 부정한 목적으로 제3
자에게 제공한 자에게 10년 이하의 징역 또는 1억원 이하의 벌금에 처
하도록 하는 등 제재수준을 강화함(안 제70조제2항 및 제74조의2 신설).
2. ○ 금융위원회, 18일 「신용정보의 이용 및 보호에 관한 법률」전부개정법률
안 입법예고(법제처 심사 등을 거쳐 내년 3월 국회에 제출 예정)
- 법명이 '신용정보 보호 및 처리법'으로 변경
- 피해액의 3 배를 배상하도록 하는 '징벌적 손해배상제' 도입
- 신용정보 수집·이용, 제공 등에 대한 동의 절차 강화 등
□ 국회 및 주무부처 정책 동향 및 유출사고 조사 등
○ (방송통신위원회) 장기 미이용자 개인정보 파기 등 제도 개선 논의
- 현재 정보통신망법 시행령 개정 논의 중에 있는바, 전자상거래의 경우
전자상거래법 제 6 조, 같은 법 시행령 제 6 조 제 1항에 따른 4가지 종류
의 기록1은 해당 기간 동안 보존의무 적용하고, 기타 기록은 유휴 1 년시
파기 등 조치 의무 적용(미확정)
○ (방송통신위원회) “개인정보 최소수집∙보관을 위한 온라인 개인정보 취급
2
가이드라인” 공포(2014.11.12)
- 기본방향 : 정보통신망법 제 23 조 제 3 항(최소 수집), 제 29 조(단계별 개
인정보 파기), 제26조의2(이해하기 쉬운 동의서 작성)에 따른 기준 제시
- 필수항목은 해당 서비스의 본질적 기능을 수행하기 위하여 반드시 필요
한 정보로 엄격히 제한
해당 서비스 본질적 기능 필수항목
인터넷 회원 Ÿ 회원에 대한 요금조회, 상담, 아이디, 비밀번호, 성명, 법
1 1. 표시ㆍ광고에 관한 기록: 6 개월
2. 계약 또는 청약철회 등에 관한 기록: 5 년
3. 대금결제 및 재화등의 공급에 관한 기록: 5 년
4. 소비자의 불만 또는 분쟁처리에 관한 기록: 3 년
3. 제 서비스 서비스 신청, 포인트 적립 등
Ÿ 명의도용∙부정이용 방지 등
3
회원 관리
정 생년월일, 연락처 등2
유료 서비스 구매한 서비스 및 상품 결제 결제수단별 필요한 개인정
보(계좌번호, 카드번호 등)
결재 및 배송
서비스
구매한 서비스 및 상품 결재,
배송
결재정보(계좌번호, 카드번
호 등), 배송정보(배송 주소
지, 수령인 연락처 등)
- 선택항목은 ① 서비스 목적별로 그룹화하고 개별적으로 동의하도록 하고,
② 특히 마케팅 활용 목적을 위한 선택항목(연락처 등)은 별도로 그룹화
하여 개별 동의 받으며, ③ 거부하더라도 서비스 이용 가능하다는 점을
“굵은 글씨, 빨간색 등”으로 명확하게 표시 등
- 방통위의 가이드라인과 공정위의 표준약관 사이에 일부 상충되는 것처럼
보이는 점이 있으나, ① 공정위가 “원칙적”으로 금지한다고 설명하고 있
는 점, ② 방통위의 가이드라인에서도 예외적으로 선택항목으로 분류하
여 수집하라고 하고 있는 점 등을 종합하여 보면 모순된다고 할 수 없음
방통위(안) 공정위 표준약관
“온라인 쇼핑몰”의 경우 ① 가
입 시점에는 아이디∙비밀번호
등 최소한의 정보만 요구하는
것이 원칙적이나, ② 온라인
쇼핑을 이용하려는 고객의 경
우, 사전에 물품구매를 위해
배송정보와 결제정보 수집사실
을 예상할 수 있고, 반복적으
로 수집이 이루어지므로 ‘선택
항목’으로 분류하여 동의를 받
는 경우에는 ‘미리’ 수집∙저장
후 이용 가능
회원가입단계에서 구매계약 이행을 위해
필요한 정보(주소 등 배송정보)의 사전 수
집을 원칙적으로 금지
2 온라인 쇼핑몰에서 “비회원 구매”의 경우에는 ‘인터넷 회원가입’이 필요 없으므로 결재∙배송 정
보만 수집
4. 4
□ 최근 판례 및 분쟁조정 사례
○ 방송통신위원회가 개인정보를 수집하면서 수집항목과 동의칸을 떨어뜨려
배치하고, 수집항목 등에 대한 안내 없이 “확인”을 선택하면 동의한 것으
로 간주하는 등의 방법으로 동의를 받은 것이 정보통신망법을 위반하였다
는 이유로 ① 과징금 203,000,000원, ② 과태료 15,000,000원을 각 부
과하고, ③ 시정조치 및 공표 명령을 하자, 원고가 이 사건 과징금 부과
처분, 시정조치 및 공표명령의 취소를 구한 사건에서, 법위반 사실은 인
정되나 과징금 등 계산 방법을 고지하지 않은 점이 인정된다는 이유로,
① 과징금 등 부과처분은 취소하고, ② 시정조치 및 공표 명령 취소 청구
부분은 기각한 사례(서울행정법원 2013. 5. 2. 선고 2012구합21154 판결
【시정조치 등 취소】)
- 자세한 사실관계, 원고의 주장, 법원의 판단 요지는 [별첨] 자료 참조
○ (시사점) 동 판결에서 적시한 위법사항 중 주의할 사항은 다음과 같음
- 홈페이지 등을 통한 동의 서식 구현시 수집항목 고지란과 동의 항목란
배치에 유의하여야 함(고지 사항과 동의란의 격리를 최소화 하도록 노력)
- 이용자가 체크박스에 아무런 체크를 하지 않고 이벤트에 참여하고자 할
때 나타나는 팝업창을 제작함에 있어, 이용자가 자신의 개인정보에 대한
수집ㆍ제공이 이루어지는 것을 충분히 인식할 수 있도록 구축하여야 함
- 주무부처에 유권해석을 하는 경우 사실관계 또는 질의사항을 명확히 하
여야 하고, 유사한 사례에 대한 유권해석을 해당 건에 임의로 확대 해석
하지 않아야 함(사후적으로 신뢰보호원칙 위반을 주장하더라도 배척될
가능성 높음)
[별첨] 2012구합21154 판결 검토
5. 5
○ 사실관계
방송통신위원회가 원고에게, ① 개인정보를 수집하면서 수집항목 등에 대
한 안내 없이 “확인”을 선택하면 동의한 것으로 간주하는 등의 방법으로
명시적인 동의를 받지 않아 정보통신망법 제22조 제1항을 위반하였고,
② 직접 수집하거나 취급 위탁받는 방법으로 만 14세 미만 아동의 개인
정보를 법정대리인의 동의 없이 수집∙관리하여 정보통신망법 제31조 제1
항을 위반하였으며, ③ 개인정보 수집 동의를 받으면서 ‘동의 철회 방법’
에 대한 안내는 이용자가 찾아보기 어렵게 구성하는 동의 방법으로 개인
정보 철회 방법을 수집방법보다 쉽게 하여야 할 의무를 이행하지 아니하
여 정보통신망법 제30조를 위반하였고, ④ 개인정보처리시스템 접속기록
을 별도 저장장치에 백업 보관하지 않았고, 홈페이지를 운영하면서 전송
구간에 보안서버를 적용하지 않아 정보통신망법 제28조 제1항 제3호, 제
4호를 위반하였다는 이유로, ① 과징금 203,000,000원, ② 과태료
15,000,000원을 각 부과하고, ③ 시정조치 및 공표 명령을 하자, 원고가
이 사건 과징금 부과처분, 시정조치 및 공표명령의 취소를 구하는 소송을
제기
○ 원고의 주장 및 판결 이유의 요지
원고 주장 법원 판단
1.사실관계 오인
(법령 요구 사
항을 충분히 고
지하고 동의를
받았으므로 이
사건 각 처분은
잘못된 사실관
① 원고가 제작한 이 사건 이벤트 화면은 고지사항 및 체크박스
부분을 화면 하단에 배치하면서 그 중간에 상품평 이미지를
삽입하여 고지사항 및 체크박스 부분을 개인정보 입력 부분으
로부터 멀리 떨어뜨려 배치하고 있다.
② 이용자가 체크박스에 아무런 체크를 하지 않고 이벤트에 참여
하고자 할 때 나타나는 팝업창과 관련하여, 원고가 제시한 팝
업창의 문구만으로는 이용자가 자신의 개인정보에 대한 수집
6. 6
계를 전제로 한
것이다.)
ㆍ제공이 이루어지는 것을 충분히 인식한 상태에서 동의를 했
다고 보기는 어렵게 되어 있다.
③ 이러한 사정을 종합하여 보면, 원고가 제작한 이벤트 화면에
서, 이용자는 개인 정보 입력란과 고지사항 및 체크박스 사이
의 간격이 커 고지사항 및 체크박스의 존재를 확인하지 못한
채 개인정보를 입력하고 이벤트에 참여할 우려가 큰 것으로
보이고, 그 과정에서 나타나는 팝업창의 문구가 불분명하여,
이 사건 각 처분에 그 주장과 같이 사실을 오인한 위법이 있
다고 할 수 없다.
2.신뢰보호원칙
위반
① 원고의 질의에 대해 피고 담당자가 "정보통신망 법 제24조의2
를 준수하셨다면 개인정보 제3자 제공에 대한 적법한 절차를
따르셨다고 판단됩니다."라는 답변을 기재한 사실은 인정된다.
② 일반적인 답변을 한 것은 질의에 대한 일반적, 단편적 답변일
뿐, 이를 원고의 주장처럼 원고의 행위 전반에 걸친 행정청의
공적인 견해표명이라고 단정할 수는 없다
(또한 원고가 당시 첨부한 자료에 의하면 간격이 크지 않고 스
크롤도 필요 없는 것으로 표현되어 있어서 본 건과 다름).
3.재량권
일탈∙남용
① (비례원칙 위반 주장)
별도의 동의를 받아 적법한 상태를 회복하거나, 동의를 받을
수 없는 경우 위법하게 수집ㆍ제공한 개인정보를 삭제하라는
감독 행정청의 시정조치는 이 사건 사안의 내용 및 그 중 대
성에 비추어 허용된다고 봄이 타당하고, 가장 적절한 수단으로
볼 수 있다.
이 사건 각 처분은 위법상태를 없애기 위한 적절한 수단으로
서 원고에 대한 최소한의 침해에 해당하고, 위 각 처분으로 인
해 달성되는 공익과 침해되는 사익 간의 균형도 이루어지고
있으므로 위 각 처분이 비례원칙을 위반하였다고 볼 수 없다.
② (평등원칙 위반 주장)
7. 원고가 주장하는 제1, 2 비교사례와는 위반건수, 행위 태양에
현저한 차이가 있어 피고가 같은 사례를 부당하게 달리 취급
하였다고 보기 어렵다.
③ (14세 미만자 관련 개발자 착오 주장)
개발자 착오에 의한 것이라는 주장이 사실이라 하더라도 이는
원고의 중대한 과실로서, 피고가 그러한 사정을 고려하지 아니
하였다 하더라도 이 사건 각 처분이 위법하다고 할 수 없다.
④ (정당한 신뢰 침해 주장)
(i) 검찰의 무혐의 처분이나 공정거래위원회 서울지방공정거래
사무소의 처분은 이 사건과 사실관계 및 그 판단 내용이 다르
고, (ii) 법무법인의 답변도 결국 정보주체가 명확히 인식하도록
하라는 취지이고 일정한 개선 권고 의견을 제시하고 있으므로,
원고의 정당한 신뢰를 침해하였다고 볼 수 없다.
⑤ (위법행위 횟수 산정 위법) 이를 인정할 증거도 없다.
⑥ (자발적인 시정노력 미반영) 처분에 참작할지 여부는 피고의
재량사항이고, 과도하게 불리한 처분 아니다.
7
4. 과징금 부과
절차 위반
방어권 행사에 지장이 초래될 정도로 과징금 산정의 근거와
이유를 제시하지 아니한 절차상 하자가 있어 위법하다.
원고의 이 부분 주장은 이유 있다.
5. 결론 ① 과징금 부과 취소 청구 - 인용
② 시정조치 명령 및 공표명령 취소 청구 - 기각
○ (시사점) 위 판결에서 적시한 위법사항 중 주의할 사항은 다음과 같음
- 홈페이지 등을 통한 동의 서식 구현시 수집항목 고지란과 동의 항목란
배치에 유의하여야 함(고지 사항과 동의란의 격리를 최소화 하도록 노력)
8. - 이용자가 체크박스에 아무런 체크를 하지 않고 이벤트에 참여하고자 할
때 나타나는 팝업창을 제작함에 있어, 이용자가 자신의 개인정보에 대한
수집ㆍ제공이 이루어지는 것을 충분히 인식할 수 있도록 구축하여야 함
- 주무부처에 유권해석을 하는 경우 사실관계 또는 질의사항을 명확히 하
여야 하고, 유사한 사례에 대한 유권해석을 해당 건에 임의로 확대 해석
하지 않아야 함(사후적으로 신뢰보호원칙 위반을 주장하더라도 배척될
8
가능성 높음)