Ⅰ 개인정보 자기결정권
1. 개인정보 자기결정권 의의
- [판] 개인정보 자기결정권은 정보주체가 자신의 개인정보에 대한 공개와 이용에 관하여 스스로 결정할 권리
- [판] 개인정보 자기결정권은 헌법 제10조(일반적 인격권)와 제17조(사생활의 비밀과 자유)에 근거한 권리
※ [판] 개인정보는 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보이며, 반드시 개인의 내밀한 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다.
※ [판] 공개된 개인정보에 대한 개인정보 자기결정권은 개인정보보호법 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지), 제37조(개인정보의 처리정지 등)에 의해 보장된다.
2. 개인정보 자기결정권 적용 사례
- [판] 정보주체의 동의를 받지 않고, 다른 대체 수단도 없이 지문 등록 방법으로 출퇴근 관리를 하는 것은 개인정보보호법 제15조1항 위반하여 개인정보 자기결정권 침해한 것이다.
- [판] 개인정보 제공이 최소한도로 이루어지고, 제공 후 목적 내에서만 이용하도록 제도적 장치가 있다면 개인정보 자기결정권 침해하였다고 볼 수 없다.
- [판] 성폭력 범죄자의 신상정보 공개는 공개로 인한 피해최소화 장치가 마련되어 있고 법익의 균형성도 인정된다면 개인정보 자기결정권 침해하였다고 볼 수 없다.
- [판] 개인정보 자기결정권은 국가안전보장, 질서유지, 공공복리를 위하여 필요한 경우 헌법 제37조2항에 따라 법률로써 제한될 수 있다.
- [판] CCTV를 통한 직원 근태관리는 개인정보 자기결정권 제한하게 되므로 법률상 근거, 목적의 정당성, 수단의 적절성, 기본권 침해의 최소성 등의 요건을 충족하여야 한다.
- [판] 어린이집 CCTV 설치 및 열람은 영유아보육법에 따라 CCTV 열람의 활용 목적을 제한하고 있고, 열람시간 지정 등을 통해 보호자의 열람 요청에 적절히 대응할 수 있으며, 이를 통해 달성할 수 있는 아동학대 근절이라는 공익의 중대함을 고려할 때 원장이나 보육교사의 개인정보 자기결정권을 침해한다고 볼 수 없다.
- [판] 개인정보를 삭제하지 않고 공무원 징계사실을 전 직원에게 공람한 것은 필요 최소한의 원칙에 위배하여 개인정보 자기결정권 침해한 것으로 판단된다.
※ 과잉금지의 원칙은 ‘목적의 정당성’, ‘수단의 적합성’, ‘피해의 최소성’, ‘법익의 균형성’ 원칙으로 구성된다.
※ 어떠한 제도나 법 조항, 행위가 개인정보 자기결정권 침해에 해당하려면 과잉금지의 원칙 위반이어야 한다.
Ⅱ 정의, 원칙, 다른 법률과의 관계
1. 개인정보
1) 법 조문 및 해석
- [법 제2조1호] 개인정보란 해당 정보만으로 특정 개인을 알아볼 수 있는 정보와 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 경우, 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(가명정보)를 포함한다.
- [판] 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보인지를 판단하기 위해서는 개인정보처리자 또는 임의의 다른 사람 등이 합리적으로 사용할 가능성이 있는 모든 수단을 고려하여야 한다.
- [판] 만약 특정 개인을 알아보기 위하여 불합리할 정도의 시간, 노력, 비용 등이 투입되어야 한다면 해당 정보는 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 개인정보에 해당한다고 볼 수 없다.
2) 적용 사례
- [판] 기계적인 정보(imei나 usim 일련번호)라 하더라도 다른 정보(휴대폰 가입신청서 등)와 쉽게 결합하여 개인이 식별될 가능성이 크다면 개인정보에 해당
- [판] 이메일 주소는 다른 정보와 용이하게 결합할 경우 당해 개인을 알아볼 수 있으므로 개인정보에 해당
- [판] 비식별조치가 이루어졌더라도 재식별 가능성이 현저하다면 개인정보에 해당
- [판] 휴대전화번호 뒷자리 4자만으로도 그 전화번호 사용자가 누구인지를 식별할 수 있는 경우가 있고, 설령 식별하지 못한다고 하더라도 그 뒷자리 4자와 관련성 있는 다른 정보(생일, 기념일, 집 전화번호, 가족 전화번호, 기존 통화내역 등)와 쉽게 결합하여 그 전화번호 사용자가 누구인지를 알아볼 수도 있으므로 개인정보에 해당
- [판] 전자의무기록에 저장된 개인식별정보(이름, 주소, 주민등록번호 등)뿐만 아니라 의료내용에 관한 정보도 개인정보에 해당
- [판] 개인위치정보는 특정 개인의 위치정보 또는 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알 수 있는 것을 포함하며(위치정보법 제2조), 사적 영역을 파악할 수 있어 사생활 침해 우려가 매우 크다.
- [판] 온라인서비스제공자가 보유한 닉네임의 경우, 온라인서비스제공자가 보유한 다른 정보(실명, 주민등록번호, 전화번호, 아이디 등)를 수집·보관하고 있어 닉네임 정보와 결합할 경우 개인을 식별할 수 있으므로 경우에 따라 개인정보에 해당
2. 개인정보처리자
1) 법 조문 및 해석
- [법 제2조5호] 개인정보처리자란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
- [법 제2조4호] 개인정보파일이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.
- [판] 개인정보파일을 운용할 목적이 없고 개인정보를 처리하지 않는다면 개인정보처리자가 아니다.
- [판] 개인정보보호법 위반 혐의는 개인정보처리자에 해당하여야 적용할 수 있다.
- [판] 개인정보파일에 접근할 권한이 있다는 것만으로는 개인정보처리자로 볼 수 없다.
2) 적용 사례
- [판] 아파트관리소장은 입주자들의 성명, 생년월일, 전화번호 등 개인정보 수집한 다음 체계적으로 배열한 입주자 카드 등 개인정보 집합물을 운용하고 있어 개인정보처리자에 해당
3. 개인정보 최소수집 원칙
1) 법 조문
- [법 제3조1항] 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
- [법 제16조1항] 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.
2) 적용 사례
- [판] 필기시험 응시자 또는 1차 합격자에게 신원조회 서류제출을 요구하는 것은 최소수집 원칙에 위배된다.
- [판] 공무원 임용과 관련 없는 가족관계, 재산, 건강정보 등의 개인정보 수집은 최소수집 원칙에 위배된다.
4. 다른 법률과의 관계
1) 법 조문
- [법 제6조] 개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.
2) 적용 사례
- [판] 타인에 관한 개인정보 공개 요구는 공공기관의 정보공개에 관한 법률(정보공개법) 적용 대상이다.
- [판] 신용카드 결제정보는 정보통신망을 통하여 제공 이용되더라도 이는 신용정보에 해당하므로 신용정보보호법 적용대상이다.
Ⅲ 개인정보의 처리
1. 개인정보의 수집ㆍ이용(법 제15조 및 제39조의3)
- [판] 지문정보 수집에 대한 실질적인 동의를 받기 위해서는 동의하지 않을 경우의 대체수단이 마련되어야 한다.
2. 개인정보의 제3자 제공(법 제17조)
- [판] 개인정보의 제3자 제공은 본래의 개인정보 수집ㆍ이용 목적의 범위를 넘어 정보를 제공받는 제3자의 업무처리와 이익을 위해 개인정보가 이전되는 경우를 가리키는 것
- [판] 가족관계등록부에 기재되는 정보에는 민감한 개인정보가 포함되어 있으므로 증명서 발급 신청자 등 제공 범위는 필요한 최소한도에 그쳐야 한다.
- [판] 제3자 제공의 적법 여부는 개인정보 취득 목적과 방법, 대가 수수 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합해 판단하여야 한다.
- [판] 공개된 개인정보를 정보주체의 동의 없이 영리 목적으로 수집ㆍ제공한 것의 위법 여부는 당초 정보주체가 공개한 목적, 사익과 공익 등을 비교형량하여 판단하여야 한다.
- [판] 정보주체가 공개한 개인정보는 공개 목적 범위 내에서 동의 없이 이용ㆍ제공할 수 있다.
- [판] 정보주체의 편의를 위해 개인정보를 제공하더라도 정보주체의 동의를 받아야 한다.
- [판] 단체채팅방의 개인정보 공개 룰을 알고 있었다면 개인정보 공개에 대하여 묵시적 동의가 있었다고 볼 수 있다.
- [판] 지방세 납부 독촉을 위하여 동의 없이 이장에게 체납 관련 정보를 제공한 것은 위법이다.
- [판] 수능시험 감독관은 교육청으로부터 개인정보파일을 운용할 목적으로 개인정보를 받은 것이 아니므로 개인정보취급자에 해당한다고 볼 수 없고, 법 제17조에 따라 개인정보를 제공받은 자에 해당한다.
3. 개인정보의 목적 외 이용ㆍ제공 제한(법 제18조)
- [판] 법률에 근거한 개인정보의 목적 외 이용은 다른 대안을 다 소진한 다음 예외적이고 제한된 범위 내에서 최소한도로 그쳐야 한다.
- [판] 공공감사 목적으로 객관적인 증거 확보하기 위하여 CCTV 영상정보를 열람하는 것은 공공감사에 관한 법률에 근거 조문이 있으므로 법률에 근거한 개인정보의 목적 외 이용에 해당
- [판] 이용자를 위한 서비스라도 이용자의 의사와 합치되지 않는다면 목적 외 이용에 해당한다.
- [판] 주민등록번호를 제외한 조합원 명부를 조합원에게 제공하는 것은 도시정비법이나 개인정보보호법 취지에 어긋나지 않는다.
- [판] 수사기관이 공공기관 이외의 자로부터 개인정보를 제공받으려면 압수ㆍ수색영장에 의하여야 한다.
- [판] 개인정보 항목별로 수집목적이 다른 경우 각각의 수집목적 범위에서 이용하여야 한다.
- [판] 모든 수험생의 학교생활기록부 전산자료를 모든 대학에 배포하는 것은 법률에서 정한 소관 업무 수행에 해당하더라도 그 수단의 적정성, 법익의 균형성 원칙에 위배되어 적법한 행위라고 할 수 없다.
- [판] 개인정보를 목적 외로 이용한 것을 정당행위로 평가하려면 목적의 정당성, 긴급성 또는 보충성 요건을 충족하여야 한다.
4. 동의를 받는 방법(법 제22조)
- [판] 거짓이나 그 밖의 부정한 수단이나 방법으로 동의를 받았는지 여부는 동의를 받게 된 전 과정을 살펴 사회통념에 따라 판단하여야 한다.
- [판] 적법한 동의 절차는 법정 고지사항 전부를 명확히 고지하고 이용자가 개인정보의 수집ㆍ제공에 동의한다는 명확한 인식 하에 행해져야 한다.
5. 민감정보(법 제23조)
- [판] 사전 동의 절차 없이 의료기기가 아닌 개인의 휴대전화로 환자의 환부를 촬영한 것은 개인정보를 부당한 방법으로 수집한 것에 해당한다.
6. 개인정보 처리업무 위탁(법 제26조)
- [판] 제3자 제공과 위탁의 구분은 대가 수수여부, 관리ㆍ감독 여부 등을 종합하여 판단하여야 한다.
7. 안전조치 의무(법 제29조)
- [판] 안전조치 의무 위반 여부는 사회통념상 합리적으로 기대 가능한 정도의 조치를 다하였는지를 기준으로 판단하여야 한다.
- [판] 기술적ㆍ관리적 보호조치 미흡에 따라 제3자에 개인정보에 접근할 수 있는 상태에 놓여 있었다고 하더라도 그것만으로 바로 개인정보 유출에 해당한다고 할 수는 없다.
- [판] 개인정보처리시스템은 개인정보의 생성, 기록, 저장, 검색, 이용과정 등 데이터베이스시스템 전체를 의미하는 것으로, 데이터베이스와 연동되어 개인정보 처리 과정에 관여하는 웹 서버도 개인정보처리시스템에 해당한다.
- [판] 안전성 확보조치 위반과 개인정보 유출 사이의 인과관계가 증명되어야 고시 규정 위반으로 인한 개인정보 유출로 볼 수 있다.
- [판] 개인정보처리시스템의 안전성은 시스템 운영 당시의 보안 및 해킹 수준에 따라 상대적으로 판단하여야 한다.
※ 개인정보 유출이란 개인정보가 해당 정보통신서비스 제공자의 관리ㆍ통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 의미한다.
※ 개인정보처리시스템이란 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다(기술적ㆍ관리적 보호조치 기준 제2조4호).
Ⅳ 손해배상, 적용 제외, 벌칙
1. 손해배상책임(법 제39조)
- [판] 정보통신서비스 제공자가 정보처리시스템에 접속한 개인정보취급자로 하여금 작업 종료 후 로그아웃을 하도록 하는 것은 기술적ㆍ관리적 보호조치에는 해당하지 않으나, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치에 해당한다. 따라서 이러한 보호조치 미이행하여 개인정보 유출 등이 발생한 경우에는 주의의무를 위반한 것이다.
- [판] 보호조치 미이행과 개인정보 유출과의 상당인과관계가 인정된다면 손해배상책임이 있다.
- [판] 정보통신서비스 제공자가 고시에서 정한 보호조치를 다하였다면, 특별한 사정이 없는 한 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기 어렵다. 다만, 해당 고시는 정보통신서비스 제공자가 반드시 준수해야 할 최소한의 기준을 정한 것으로 보는 것이 타당하다.
- [판] 개인정보처리자가 고시에서 정한 보호조치를 다하였더라도 주의의무를 위반하여 불법행위를 용이하게 하였고 그로 인해 피해가 발생하였다면 배상책임이 있다.
- [판] 외부에서 접근이 가능하더라도 제3자가 열람하거나 접근하지 않은 상태라면 보호조치 위반이 있더라도 손해배상책임이 있다고 할 수 없다.
- [판] 민감정보가 포함된 상담 녹취록을 정보주체의 동의 없이 공개하면 정보주체에 대하여 손해배상책임이 있다.
- [판] 전기통신사업법에 따라 형식적ㆍ절차적 요건을 심사하여 수사기관에 통신자료를 제공하였다면 손해배상책임이 없다.
- [판] 정보주체를 식별할 수 없는 위치정보를 수집하여 시스템 개선에 활용하였다면 개인정보를 목적 외로 이용하거나 유출한 것이 아니므로 손해배상책임이 없다.
2. 적용 제외(법 제58조)
- [판] 개인정보보호법에서는 수집, 이용과 제공, 공개를 구별하여 규정하고 있는 점 등에 비추어 볼 때, 법 제58조1항4호는 언론인 등의 개인정보 수집ㆍ이용에 대한 것으로 일반 공중에 보도하는 것이 포함된다고 보기 어렵다.
