개인정보__글11건

  1. 2019.04.23 개인정보 보호법 실무적 쟁점, 개인정보 처리자에 대한 징벌적 손해배상 제도 및 홈플러스 경품 응모권 사건 대법원 판결 요지
  2. 2018.09.12 [개인정보보호] 개인정보 보호법의 개정 - 징벌적 손해배상 규정과 법정손해배상 규정
  3. 2018.09.12 [개인정보보호] 홈페이지 운영 대행사의 개인정보보호법 준수의무
  4. 2018.01.31 [개인정보유출분쟁] 에스케이커뮤니케이션즈 개인정보 유출 사건 대법원 2015다249054 판결 기술적 관리적 보호조치 여부의 구체적 판단 근거
  5. 2018.01.31 [개인정보유출분쟁] SK 커뮤니케이션즈 개인정보 유출 사건 대법원 2018. 1. 25. 선고 2015다249054 판결
  6. 2018.01.25 개인정보보호 기술적 관리적 조치 – 대법원 2018. 1. 25. 선고 2015다24904 판결
  7. 2017.07.13 차세대 염기서열분석(Next generation Sequencing, NGS)과 유전자 정보의 활용
  8. 2016.08.19 이미 공개된 민감정보가 아닌 개인정보를 별도 동의 없이 수집, 이용, 유료 제공한 행위 - 적법: 대법원 2016. 8. 17. 선고 2014다235080 판결
  9. 2016.07.12 기업 내부의 각종 문서에 대한 문서제출명령 관련 대법원 2016. 7. 1.자 2014마2239 결정
  10. 2016.03.23 미국 연구소에서 건강정보를 포함한 개인정보를 저장한 노트북을 도난 당한 책임으로$3.9 million 지급 + Corrective Action Plan 합의 뉴스
  11. 2015.08.27 2016. 7. 25.부터 적용되는 개인정보 보호법 개정내용 - 징벌적 손해배상 규정과 법정손해배상 규정

 

 

1. 홈플러스 응모권 형사사건 대법원 201613263 개인정보보호법위반 사건의 판결 요지 

 

법규정 및 기본 법리

개인정보 보호법은 개인정보를 처리하거나 처리하였던 자가 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받는 행위를 금지하고(59조 제1), 이를 위반하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자3년 이하의 징역 또는 3천만 원 이하의 벌금에 처하도록 규정하고 있다(72조 제2).

 

이와 같은 개인정보 자기결정권의 법적 성질, 개인정보 보호법의 입법 목적, 개인정보 보호법상 개인정보 보호 원칙 및 개인정보처리자가 개인정보를 처리함에 있어서 준수하여야 할 의무의 내용 등을 고려하여 볼 때, 개인정보 보호법 제72조 제2호에 규정된 거짓이나 그 밖의 부정한 수단이나 방법이라 함은 개인정보를 취득하거나 또는 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 개인정보 취득 또는 그 처리에 동의할지 여부에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위를 뜻한다고 봄이 타당하다.

 

그리고 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지 여부를 판단함에 있어서는 개인정보처리자가 그에 관한 동의를 받는 행위 그 자체만을 분리하여 개별적으로 판단하여서는 안 되고, 개인정보처리자가 개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴보아 거기에서 드러난 개인정보 수집 등의 동기와 목적, 수집 목적과 수집 대상인 개인정보의 관련성, 수집 등을 위하여 사용한 구체적인 방법, 개인정보 보호법 등 관련 법령을 준수하였는지 여부 및 취득한 개인정보의 내용과 규모, 특히 민감정보·고유식별정보 등의 포함 여부 등을 종합적으로 고려하여 사회통념에 따라 판단하여야 한다.

 

개인정보 보호법 제17조와 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법이라 한다) 24조의2에서 말하는 개인정보의 3자 제공은 본래의 개인정보 수집, 이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보 보호법 제26조와 정보통신망법 제25조에서 말하는 개인정보의 처리위탁은 본래의 개인정보 수집, 이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다. 개인정보 처리위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리, 감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로, 개인정보 보호법 제17조와 정보통신망법 제24조의2에 정한 3에 해당하지 않는다.

 

한편, 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리, 감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다.

 

구체적 사안의 판단

피고인 홈플러스 주식회사(이하 홈플러스라고 한다)가 개인정보를 수집하여 판매할 목적으로 경품행사를 진행하면서 그와 같은 목적을 숨긴 채 고객들을 속이거나 고객들로 하여금 잘못 알게 할 우려가 있는 광고를 하면서 개인정보 수집 및 제3자 제공에 관한 내용은 응모권 뒷면이나 응모화면에 읽기 어려운 약 1mm 크기의 글씨로만 고지하였고, 또한 홈플러스가 그 고객들의 개인정보 데이터베이스를 보험회사에 제공하고, 보험회사가 그 중 자신과 이미 보험계약을 체결하였거나 자신의 블랙리스트에 올라 있는 고객을 걸러내면(이른바 사전필터링), 홈플러스가 필터링 되고 남은 고객들에게 전화를 걸어 위 보험회사에 개인정보를 제공하는 것에 동의하는지 여부를 확인하여 그에 동의한 고객들의 개인정보를 다시 보험회사에 제공한 사안에서, 피고인들은 개인정보 보호법 제72조 제2, 59조 제1호에 규정된 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자에 해당하고, 홈플러스가 사전필터링을 위해 보험회사에 개인정보를 제공하는 것 역시 개인정보 보호법 제17조와 정보통신망법 제24조의2에서 말하는 개인정보의 3자 제공에 해당한다.

 

2. 홈플러스 응모권 행정사건 대법원 201661242 표시광고법 사건의 판결요지

 

관련 법규정 및 기본 법리

표시·광고의 공정화에 관한 법률(이하 ‘표시광고법’이라 한다) 3조 제1항 제2, 같은 법 시행령 제3조 제2항에 의하면, 기만적인 광고는 사실을 은폐하거나 축소하는 등의 방법으로 소비자를 속이거나 소비자로 하여금 잘못 알게 할 우려가 있는 광고행위로서 공정한 거래질서를 해칠 우려가 있는 광고를 말한다.

 

한편 일반 소비자는 광고에서 직접적으로 표현된 문장, 단어, 디자인, 도안, 소리 또는 이들의 결합에 의하여 제시되는 표현뿐만 아니라 거기에서 간접적으로 암시하고 있는 사항, 관례적이고 통상적인 상황 등도 종합하여 전체적·궁극적 인상을 형성하므로, 광고가 소비자를 속이거나 소비자로 하여금 잘못 알게 할 우려가 있는지는 보통의 주의력을 가진 일반 소비자가 그 광고를 받아들이는 전체적·궁극적 인상을 기준으로 하여 객관적으로 판단하여야 한다(대법원 2013. 6. 14. 선고 201182 판결 등 참조).

 

그리고 표시광고법이 부당한 광고행위를 금지하는 목적은 소비자에게 바르고 유용한 정보의 제공을 촉진하여 소비자로 하여금 올바른 상품 또는 용역의 선택과 합리적인 구매결정을 할 수 있도록 함으로써 공정한 거래질서를 확립하고 소비자를 보호하는 데 있으므로, ‘기만적인 광고’에 해당하는지 여부는 광고 그 자체를 대상으로 판단하면 되고, 특별한 사정이 없는 한 광고가 이루어진 후 그와 관련된 상품이나 용역의 거래 과정에서 소비자가 알게 된 사정 등까지 고려하여야 하는 것은 아니다.

 

구체적 사안의 판단

‘원고 홈플러스와 원고 홈플러스스토어즈 주식회사가 12회에 걸쳐 개인정보 수집판매를 목적으로 경품행사를 진행하면서 그 광고에 개인정보 수집과 제3자 제공에 동의하여야만 경품행사에 응모할 수 있다는 내용을 기재하지 않은 것은, 중요한 거래조건을 은폐하여 소비자를 속이거나 소비자로 하여금 잘못 알게 함으로써 공정한 거래질서를 해칠 우려가 있는 것이므로 표시광고법 제3조 제1항 제2호에 정한 기만적인 광고에 해당하므로 원고들에게 과징금 합계 4 3,500만 원을 부과하고 유사 광고 행위를 금지한 피고 공정거래위원회의 시정명령 및 과징금 납부명령은 적법하다’라는 원심 판단을 정당하다고 판단하여 원고들의 상고를 기각함.

 

3. 개인정보 보호법의 징벌적 손해배상 규정과 법정손해배상 규정

 

1. 징벌적 손해배상제도 도입 - 개정 개인정보 보호법 제39조 제3항 및 제4항 신설

 

개인정보 처리자의 고의 또는 중과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 실제 발생한 손해를 초과하여 최대 그 실제 손해액의 3배까지 징벌적 손해배상을 부과할 수 있습니다(39조 제3항 본문).

 

징벌적 손해배상액(i) 개인정보처리자가 고의 또는 손해 발생의 우려를 인식한 정도 (ii) 정보주체가 입은 피해 규모 (iii) 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익 (iv) 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도 등을 고려하여 결정합니다(39조 제4).

 

당연히 개인정보처리자가 고의 또는 중대한 과실이 없었음을 입증한 경우에는 손해배상책임이 없습니다(39조 제3항 단서).

 

2. 법정손해배상제도 도입 - 개정 개인정보 보호법 제39조의2 신설

 

실제 사건에서 구체적 손해액을 입증하는 것은 매우 어렵습니다. 개정법은 이와 같은 문제를 감안하여, 피해자가 구체적 손해액을 입증하지 못한 경우에도 최대 300만까지 법정 손해배상을 명할 수 있도록 하였습니다(39조의2 1항 제1). 다만, 개인정보처리자는 고의 또는 과실이 없었음을 입증하면 법정손해배상책임을 면하게 됩니다(39조의2 1항 제2).

 

3. 개인정보 처리자의 개인정보보호법 준수의무

 

2011 9월 개인정보보호법 개정으로 공공기관 이외의 민간을 포함한 모든 개인정보처리자까지 규율대상이 확장되었고, 컴퓨터 등에 의해 처리되는 개인정보파일 뿐만 아니라 종이문서에 기록된 개인정보로까지 보호범위가 확장되었습니다. 개정 전·후의 변경된 내용은 간략히 아래와 같습니다.

 

(출처: 개인정보 보호법의 이해, 행정안전부, 2012. 5.)

 

광고 대행사의 웹페이지 운영 사례

기업에서는 회사나 상품 또는 서비스를 알릴 목적으로 광고대행사 등을 활용하여 홈페이지를 운영하는 경우가 많습니다. 이러한 경우, 광고의 주체인 기업뿐만 아니라 홈페이지를 대행하여 운영하는 업체도 개인정보보호법의 규율 대상에 해당하는지 여부가 문제됩니다.

 

예를 들어, A 광고대행사가 B 제약회사의 전문 의약품을 처방하는 의사 및 이를 처방 받는 환자를 대상으로 회원제로 운영되는 웹사이트 운영·관리를 대행하는 경우 A 광고대행사가 개인정보보호법의 규율대상인지 여부 및 개인정보처리자에 해당할 경우 A 광고대행사가 준수해야 하는 의무를 살펴보겠습니다.

 

. 개인정보처리자

 

개인정보보호법에 따르면, 개인정보처리자란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 의미합니다(2조 제5).

 

또한, 개인정보보호법은 개인정보의 처리 업무를 위탁하는 개인정보처리자를 위탁자로, 개인정보 처리 업무를 위탁 받아 처리하는 자를 수탁자로 규정하고(동법 제26조 제2), 일부 개인정보처리자의 의무를 수탁자에 대해서도 준용하고(동법 동조 제7) 있습니다.

 

따라서, 위 사안의 경우 A 광고대행사는 홈페이지 회원가입 과정에서 환자의 주민번호 및 주소 등의 개인정보를 수집하므로 개인정보 처리 업무를 수탁하여 처리하는 자로서 위탁자인 B 제약회사와 함께 개인정보처리자에 해당합니다. A 광고대행사가 홈페이지 관리 업무를 제3자에게 위탁하여 운영하는 경우에도 개인정보 처리 업무 위탁자로서 개인정보처리자에 해당할 것입니다. 

 

. 개인정보처리자의 의무

 

개인정보처리자는 개인정보보호법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력해야 하며(동법 제3조 제8), 개인정보의 처리 및 안전한 관리와 관련된 규정들의 주체로서 관련 규정을 준수하여야 합니다(동법 제3, 4).

 

구체적으로 개인정보처리자는 개인정보를 수집, 이용 및 제공하기 위해서는 불가피한 경우를 제외하고는 정보주체의 동의를 받아야 하며(동법 제15조 제1), 개인정보는 필요 최소한으로 수집하여야 하며(동법 제16조 제1), 일부 예외적인 경우를 제외하고는 정보주체의 동의 없이는 개인정보를 제3자에게 제공할 수 없습니다(동법 제18조 제1). 특히, 개인정보 처리 업무를 위탁하는 경우에는 위탁자는 위탁하는 업무의 내용과 수탁자를 정보 주체가 언제든지 쉽게 확인할 수 있도록 공개하여야 합니다(동법 제26조 제2).

 

수탁자가 위탁 받은 업무와 관련하여 개인정보를 처리하는 과정에서 개인정보보호법을 위반하여 손해가 발생한 경우 수탁자는 개인정보처리자의 소속직원으로 간주되므로 위탁회사에게 손해배상책임이 있습니다(동법 제26조 제6). 그러나, 위탁자가 정보 주체에 대하여 손해배상책임을 이행하더라도 위탁자는 수탁자에 대하여 손해배상청구를 할 수 있으므로 A 광고대행사와 같은 수탁자도 결과적으로 손해배상책임을 지게 될 것입니다.   

 

개인정보법상의 의무를 위반하는 경우, 개인정보처리자는 5년 이하의 징역 또는 5천만원이하의 벌금(동법 제71~73) 또는 5천만원 이하의 과태료를 부과 받습니다(동법 제 75~76).

 

KASAN_개인정보 보호법 실무적 쟁점, 개인정보 처리자에 대한 징벌적 손해배상 제도 및 홈플러스 경품 응모권 사건

 

[질문 또는 상담신청 입력하기]

 

 

작성일시 : 2019.04.23 08:41
Trackback 0 : Comment 0

댓글을 달아 주세요


 

1. 징벌적 손해배상제도 도입 - 개정 개인정보 보호법 제39조 제3항 및 제4항 신설

개인정보 처리자의 고의 또는 중과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 실제 발생한 손해를 초과하여 최대 그 실제 손해액의 3배까지 징벌적 손해배상을 부과할 수 있습니다(39조 제3항 본문).

 

징벌적 손해배상액은 (i) 개인정보처리자가 고의 또는 손해 발생의 우려를 인식한 정도 (ii) 정보주체가 입은 피해 규모 (iii) 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익 (iv) 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도 등을 고려하여 결정합니다(39조 제4).

 

당연히 개인정보처리자가 고의 또는 중대한 과실이 없었음을 입증한 경우에는 손해배상책임이 없습니다(39조 제3항 단서).

 

2. 법정손해배상제도 도입 - 개정 개인정보 보호법 제39조의2 신설

실제 사건에서 구체적 손해액을 입증하는 것은 매우 어렵습니다. 개정법은 이와 같은 문제를 감안하여, 피해자가 구체적 손해액을 입증하지 못한 경우에도 최대 300만까지 법정 손해배상을 명할 수 있도록 하였습니다(39조의2 1항 제1). 다만, 개인정보처리자는 고의 또는 과실이 없었음을 입증하면 법정손해배상책임을 면하게 됩니다(39조의2 1항 제2).

 

KASAN_[개인정보보호] 개인정보 보호법의 개정 - 징벌적 손해배상 규정과 법정손해배상 규정.pdf

 

[질문 또는 상담신청 입력하기]

 

 

작성일시 : 2018.09.12 14:30
Trackback 0 : Comment 0

댓글을 달아 주세요


 

1. 개인정보보호법

20119월 개인정보보호법 개정으로 공공기관 이외의 민간을 포함한 모든 개인정보처리자까지 규율대상이 확장되었고, 컴퓨터 등에 의해 처리되는 개인정보파일 뿐만 아니라 종이문서에 기록된 개인정보까지 보호범위가 확장되었습니다. 개정 전·후의 변경된 내용은 간략히 아래와 같습니다.

 

  (출처: 개인정보 보호법의 이해, 행정안전부, 2012. 5.)

 

2. 광고 대행사의 웹페이지 운영 사례

기업에서는 회사나 상품 또는 서비스를 알릴 목적으로 광고대행사 등을 활용하여 홈페이지를 운영하는 경우가 많습니다. 이러한 경우, 광고의 주체인 기업뿐만 아니라 홈페이지를 대행하여 운영하는 업체도 개인정보보호법의 규율 대상에 해당하는지 여부가 문제됩니다.

 

예를 들어, A 광고대행사가 B 제약회사의 전문 의약품을 처방하는 의사 및 이를 처방 받는 환자를 대상으로 회원제로 운영되는 웹사이트 운영·관리를 대행하는 경우 A 광고대행사가 개인정보보호법의 규율대상인지 여부 및 개인정보처리자에 해당할 경우 A 광고대행사가 준수해야 하는 의무를 살펴보겠습니다.

 

. 개인정보처리자

개인정보보호법에 따르면, 개인정보처리자란 업무를 목적으로 개인정보 파일을 운용하기 위하여 스스로 또는 다른사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 의미합니다(2조 제5).

 

또한, 개인정보보호법은 개인정보의 처리 업무를 위탁하는 개인정보 처리자를 위탁자로, 개인정보 처리업무를 위탁받아 처리하는 자를 수탁자로 규정하고(동법 제26조 제2), 일부 개인정보처리자의 의무를 수탁자에 대해서도 준용하고(동법 동조 제7) 있습니다.

 

따라서, 위 사안의 경우 A 광고대행사는 홈페이지 회원가입 과정에서 환자의 주민번호 및 주소 등의 개인정보를 수집하므로 개인정보 처리 업무를 수탁하여 처리하는 자로서 위탁자인 B 제약회사와 함께 개인정보 처리자에 해당합니다. A 광고대행사가 홈페이지 관리 업무를 제3자에게 위탁하여 운영하는 경우에도 개인정보 처리 업무 위탁자로서 개인정보 처리자에 해당할 것입니다.

 

. 개인정보처리자의 의무

개인정보처리자는 개인정보보호법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력해야 하며(동법 제3조 제8), 개인정보의 처리 및 안전한 관리와 관련된 규정들의 주체로서 관련 규정을 준수하여야 합니다(동법 제3, 4).

 

구체적으로 개인정보처리자는 개인정보를 수집, 이용 및 제공하기 위해서는 불가피한 경우를 제외하고는 정보주체의 동의를 받아야 하며(동법 제15조 제1), 개인정보는 필요 최소한으로 수집하여야 하며(동법 제16조 제1), 일부 예외적인 경우를 제외하고는 정보주체의 동의 없이는 개인정보를 제3자에게 제공할 수 없습니다(동법 제18조 제1). 특히, 개인정보 처리 업무를 위탁하는 경우에는 위탁자는 위탁하는 업무의 내용과 수탁자를 정보 주체가 언제든지 쉽게 확인할 수 있도록 공개하여야 합니다(동법 제26조 제2).

 

수탁자가 위탁 받은 업무와 관련하여 개인정보를 처리하는 과정에서 개인정보보호법을 위반하여 손해가 발생한 경우 수탁자는 개인정보처리자의 소속직원으로 간주되므로 위탁회사에게 손해배상책임이 있습니다(동법 제26조 제6). 그러나, 위탁자가 정보 주체에 대하여 손해배상책임을 이행하더라도 위탁자는 수탁자에 대하여 손해배상청구를 할 수 있으므로 A 광고대행사와 같은 수탁자도 결과적으로 손해배상책임을 지게 될 것입니다.

 

개인정보법상의 의무를 위반하는 경우, 개인정보 처리자는 5년 이하의 징역 또는 5천만원이하의 벌금(동법 제71~73) 또는 5천만 원 이하의 과태료를 부과 받습니다(동법 제75~76).

 

KASAN_[개인정보보호] 홈페이지 운영 대행사의 개인정보보호법 준수의무.pdf

 

[질문 또는 상담신청 입력하기]

 

 

작성일시 : 2018.09.12 13:30
Trackback 0 : Comment 0

댓글을 달아 주세요


 

 

 

정보통신서비스 제공자는 법령에 따라 개인정보의 분실, 도난 등을 방지해야 법령상의 의무가 있는데, 사건 당시 기술적, 관리적 보호조치를 규정한 법령은 정보통신망법 28, 시행령 15, 방통위 고시인 개인정보의 기술적, 관리적 보호조치 기준입니다.

 

대법원에서 쟁점이 것은 방통위 고시 4 4, 5 등이 정하고 있는 기술적, 관리적 보호조치를 다하였는지 여부였습니다.

 

(1) 고시 4 4항은 정보통신서비스 제공자 등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에서 공인인증서 안전한 인증수단을 적용하여야 한다고 규정하고 있습니다. 사건에서 개인정보취급자는 A빌딩에서 다른 장소인 IDC 있는 DB서버에 VPN 이용하여 연결하여 업무를 처리하였습니다. 해킹사고는 해커가 A빌딩에 있던 직원의 컴퓨터에 침입하여 VPN 통해 IDC DB서버에 접속하면서 발생한 것입니다. 이에 대하여 법원은 VPN 이용하여 접속한 것은 외부에서 IDC 접속한 것이 아니므로 고시 4 4 적용되지 않는다고 판시하였습니다.

 

(2) 고시 4 5항은 정보통신서비스 제공자가 불법적인 접근 침해사고 방지를 위해 개인정보처리시스템에 대한 접속권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 제한하고 접속 IP주소를 재분석하여 불법적인 개인정보 유출시도를 탐지하는 기능을 포함한 시스템을 설치 운영하여야 한다고 규정하고 있습니다. 이에 대하여 주요 정보의 유출을 차단, 예방하는 하드웨어/소프트웨어인 DLP 솔루션을 설치 운영해야 한다고 보기 어렵고, 대량 유출 정보를 실시간으로 모니터링하는 보호조치까지 포함된다고 보기도 어렵다고 판단하였습니다.

 

(3) 고시 4 5 1호에 관해서는, 정보통신서비스 제공자는 게이트웨이 서버와 DB 서버에 접속할 있는 IP주소를 권한이 있는 직원들이 사용하는 컴퓨터의 IP 주소로 한정하였습니다. 사건에서는 키로깅을 통하여 DB 서버의 관리자의 아이디와 비밀번호를 취득하여 게이트웨어 서버와 DB 서버에 접속하였던 것이므로, 고시 규정의 기술적, 관리적 보호조치를 위반하였다고 수는 없다고 보았습니다.

 

(4) 사건에서 개인정보처리자가 퇴근시 로그아웃 하지 않았고, 자동 로그아웃 기능도 설정되지 않았습니다. 법원은 이에 대하여 법령이나 계약상 의무에 위와 같은 사항이 있다고 수는 없다고 보았습니다. 더구나 로그아웃 유무에 따라 키로깅을 통한 해킹을 방지할 없다고 인정하였습니다.

 

(5) 정보통신서비스 사업자의 개인정보보호 업무지침 26 4항에 개인정보 접근 PC에서 FTP 서비스를 제공하는 행위를 금하고 있는 , 사건에서 개인정보 데이터가 FTP 통하여 유출되었습니다. 그러나 법원은 업무지침은 개인정보 접근 PC FTP 서버로 설정하는 행위를 금지하고 있을 뿐이라고 해석하여, 개인정보 접근 PC FTP 클라이언트로 사용하여 전송한 것은 업무지침에 위반한 것으로 보지 않았습니다.

 

대법원은 위와 같은 사유로 개인정보유출 피해자들의 상고이유를 기각하였습니다.

 

정회목 변호사

 

[질문 또는 상담신청 입력하기]

 

 

작성일시 : 2018.01.31 14:32
Trackback 0 : Comment 0

댓글을 달아 주세요


 

 

 

정보통신서비스 제공자는 법령에 따라 개인정보의 분실, 도난 등을 방지해야 법령상의 의무가 있는데, 사건 당시 기술적, 관리적 보호조치를 규정한 법령은 아래와 같습니다.

 

정보통신망법 (시행 2011.7.6. 법률 10560, 2011.4.5. 일부개정)

28 (개인정보의 보호조치) 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 호의 기술적·관리적 조치를 하여야 한다.

1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 접근 통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치·운영 컴퓨터바이러스에 의한 침해 방지조치

6. 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

시행령 15 (개인정보의 보호조치) 정보통신서비스 제공자가 취하여야 개인정보의 안전성 확보에 필요한 기술적, 관리적 조치를 보다 구체적으로 규정.

개인정보의 기술적, 관리적 보호조치 기준 (방송통신위원회 고시 2011-1)

 

또한 정보통신서비스를 이용하려는 이용자와 이용계약을 체결하면서 개인정보를 필수적으로 제공하도록 요청하여 수집하였다면, 정보통신서비스 제공자는 수집한 개인정보 등이 분실, 도난, 누출, 변조, 훼손되지 않도록 안전성 확보에 필요한 보호조치를 취하여야 이용계약상의 의무도 부담합니다.

 

그런데 대법원은 개인정보 유출 피해자들의 상고심에서 정보통신서비스 제공자가 위와 같은 법령상, 계약상 의무를 위반하지 않았다고 판단하였습니다.

 

주요 근거는 정보통신서비스의 개방성, 네트워크 시스템과 운영체제 등의 내재적 취약성 등으로 해커 등의 침입에 완벽한 보안을 갖추는 것은 불가능하다고 보아, 정보통신서비스 제공자가 갖추어야 개인정보의 안전성 확보에 필요한 보호조치에 대하여 위와 같은 특수한 사정을 고려해야 한다는 것이었습니다. 결국 여러 사정을 종합적으로 고려하여 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단해야 한다고 판시한 것입니다.

 

구체적으로는 방통위 고시에서 정하고 있는 기술적, 관리적 보호조치를 다하였다면 정보통신서비스 제공자가 필요한 보호조치를 취하여야 법률상 또는 계약상 의무를 위반하였다고 보기 어렵다고 판단하였습니다. 다만, 정보통신서비스 제공자가 마땅히 준수해야 한다고 예상할 있고 사회통념상 합리적으로 기대 가능한 보호조치를 다하지 아니하였거나, 불법행위에 도움을 주지 말아야할 주의의무를 위반하여 타인의 불법행위를 용이하게 하고 피해자의 손해발생과 인과관계가 성립하는 경우에는 예외적으로 위법행위에 대한 책임을 물을 있다고 판단하였습니다.

 

다만, 대법원은 방통위 고시에 특정 보호조치를 의무가 규정되어 있지 않다는 이유만으로 정보통신서비스 제공자가 위와 같은 보호조치 의무를 부담하지 않는 것처럼 판시한 부분에 대하여 적절하지 않다고 판시하였습니다. 그러나 사건은 해커가 이미 원격데스크탑 연결과 키로깅을 통하여 아이디와 비밀번호를 획득하였기 때문에 고시상 또는 적절한 보호조치를 하였더라도 DB서버에 로그인하는 것을 막을 없다고 보았습니다.

 

사건에서 아쉬운 점은 정보통신서비스 제공자의 직원이 업무상 부주의로 키로깅 해킹 프로그램이 업무용 PC 설치되었고 이로 인하여 게이트웨어 서버, DB 서버에 접속하여 개인정보를 유출하였던 것인데, 회사의 책임이 없다고 보이지 않는 사안에서 최소한의 책임이라도 묻지 못한 점이라고 보입니다.

 

첨부: 대법원 2018. 1. 25. 선고 2015249054 판결

대법원 2015다24904 판결.pdf

KASAN_[개인정보유출분쟁] SK 커뮤니케이션즈 개인정보 유출 사건 대법원 2018. 1. 25. 선고 2015다

 

정회목 변호사

 

[질문 또는 상담신청 입력하기]

 

 

작성일시 : 2018.01.31 13:41
Trackback 0 : Comment 0

댓글을 달아 주세요


 

 

 

S사는 인터넷 포털 서비스업을 영위하는 업체로서 2011. 7.경에 발생한 해킹사고로 서비스에 가입한 사용자들 3500만명의 가입 당시 성명, 주민등록번호, 아이디(ID), 비밀번호, 이메일 주소, 주소, 전화번호 개인정보가 유출되는 사고를 당했습니다. 유출사고는 S사의 직원이 공개용 압축프로그램을 사용하던 중에 해커가 심어 놓은 악성 프로그램인 dll 파일을 함께 다운로드 받아 발생했습니다. 악성 프로그램은 키로깅 정보를 파일로 저장하게 하고 해커가 생성된 정보를 확인하고 서버에 관리자 아이디로 로긴하여 사용자들의 개인정보를 FTP 이용하여 모두 다운로드 받은 것입니다.

 

사건에서 개인정보의 유출을 방지하기 위한 기술적 관리적 조치를 취하였는지가 쟁점이었습니다.

 

 

정보통신망법(시행 2011.7.6. 법률 10560, 2011.4.5. 일부개정)

28(개인정보의 보호조치) 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 호의 기술적·관리적 조치를 하여야 한다.

1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 접근 통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치·운영 컴퓨터바이러스에 의한 침해 방지조치

6. 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

 

 

2015. 3. 20. 있었던 서울고등법원(201320037) 판결에서 사건 해킹사고 당시 정보통신망 관련 법령에서 정한 기술적 관리적 보호조치의 내용, 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 피고가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여, S사가 개인정보 유출 방지에 관한 기술적 관리적 보호조치를 이행하지 아니한 과실로 인하여 사건 해킹사고가 발생하였다고 보기 어렵다고 판단하여 S사가 승소하였습니다. 

 

이와 관련한 다른 사건에서 대법원은 정보통신망 이용촉진 정보보호 등에 관한 법률 시행령(2012. 8. 17. 대통령령 24047호로 개정되기 전의 , 이하 정보통신망법시행령이라 한다) 15조는 정보통신망법 28 1 각호에 규정된 기술적관리적 조치의 기준으로 1 내지 5항에서 구체적인 보호조치를 정하고 있을 뿐만 아니라, 6항에서방송통신위원회는 1항부터 5항까지의 규정에 따른 사항과 28 1 6호에 따른 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.’ 라고 규정하고 있고, 이에 따라 방송통신위원회가 마련한 사건 고시는 해킹 침해사고 당시의 기술수준 등을 고려하여 정보통신서비스 제공자가 정보통신망법 28 1, 정보통신망법시행령 15 6항에 따라 준수해야 기술적관리적 보호조치의 구체적인 기준을 규정하고 있으므로, 정보통신서비스 제공자가 사건 고시에서 정하고 있는 기술적 관리적 보호조치를 다하였다면, 특별한 사정이 없는 , 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다 판단한 바가 있습니다(대법원 2015. 2. 12. 선고 201343994, 44003 판결 참조).

 

항소심 사건에서 원고들은 상고하였으나 대법원은 2018. 1. 25. 상고를 기각하여 항소심의 결론대로 확정되었습니다. 다만, 이후 개정된 개인정보보호법, 정보통신망법 등에서 기술적, 관리적 조치의 범위와 내용이 보다 구체적으로 설정되어 있으므로 현재에는 개인정보 보호의 정도가 보다 개선되었습니다. 개인정보를 사용 보관해야 하는 사업자, 스타트업, 벤처, 중소기업 등은 변경된 기술적, 관리적 조치에 주의하여야 것입니다.

 

KASAN_개인정보보호 기술적 관리적 조치 – 대법원 2018. 1. 25. 선고 2015다24904 판결.pdf

 

정회목 변호사

[질문 또는 상담신청 입력하기]

 

 

 

작성일시 : 2018.01.25 14:42
Trackback 0 : Comment 0

댓글을 달아 주세요


 

 

 

 

이전의 포스팅에서 무세포 태아 DNA 측정에 관한 내용을 소개 드리면서, 대량 병렬 시퀀싱(Massive Parallel Sequencing, MPS)에 대한 언급이 있었습니다. MPS의 방식이 도입됨에 따라 DNA 염기서열 정보를 빠른 속도로 얻는 것이 가능 해졌습니다. 최근 많은 바이오 업체들이 이와 같은 MPS 방법을 포함하는 차세대 염기서열분석을 통한 다양한 질병 진단 기술을 개발하고 있으며 해당 업체가 주목 받고 있다는 기사를 자주 접할 수 있습니다.

 

<관련기사>


NGS기반 유전자검사 '제도권' 진입…암 진단 첫걸음 

 http://www.dailypharm.com/News/223791


랩지노믹스, 가천대 길병원과 NGS 암 패널 검사 수탁계약 http://www.biospectator.com/view/news_view.php?varAtcId=3351


써모피셔, NGS 비소세포폐암 동반진단 3 FDA 허가 

http://www.biospectator.com/view/news_view.php?varAtcId=3487


아마존-마이크로소프트가 주목한 NGS 유전체 분석 

http://www.dailypharm.com/Users/News/NewsView.html?ID=227174&dpsearch=ngs


엔젠바이오, NGS 유방암 검사 'CE-IVD’ 획득 

http://www.biospectator.com/view/news_view.php?varAtcId=3514

 

이에 따라 NGS 기술을 개략적으로 살펴보고, 해당 기술의 적용 및 임상활용에 있어 문제점 등에 대하여 간략히 소개 드리고자 합니다.

1. 차세대 염기서열분석(Next generation Sequencing, NGS)이란

 

시퀀싱이라고 불리우는 염기서열분석은 생물개체의 유전정보를 갖고 있는 DNA의 서열을 밝히는 과정을 의미합니다.

 

전통적인 방법인 생거시퀀싱(Sanger Sequencing)의 방법은 DNA합성기작을 기초로 하여 ddNTP(dideoxynucleoside triphosphate)를 이용한 Chain Termination기술로서 이렇게 중합반응이 중단된 DNA 조각들에 대한 전기영동을 거쳐 염기서열을 결정하는 방법입니다. 전통적인 방법을 위해서는 DNA의 라이브러리를 구축하기 위한 클로닝 과정을 거쳐야 하므로 많은 시간과 자금이 소요되는 단점이 있습니다.

 

NGS는 라이브러리 구축 및 클로닝 과정을 거치지 아니하고 PCR(Polymerase Chain Reaction)로서 바로 증폭하여 주형(Template) DNA의 클론을 얻는 클론 증폭(Clone amplification) 과정을 거치면서 획기적으로 시간을 단축하였고, 대량 병렬 방식(Massively parallel)을 도입하여 동시에 수십만 개의 클론을 취급할 수 있도록 하여 효율을 향상 시키는 것은 물론 전기영동과정을 제거하고 주형 DNA의 서열정보를 바로 읽는 새로운 방법입니다.

 

전통적인 생거시퀀싱을 인간게놈프로젝트는 30억 염기서열을 해독하는 데 약 13년간 30억달러의 비용이 투입되었습니다. 그러나 현재의 NGS 기술을 이용하면, 인간 유전체서열을 해독하는 데 10,000달러 이내로 2주내에 가능합니다. NGS기술은 한 번에 대량의 염기서열을 해독함으로써, 시간과 비용을 획기적으로 줄일 수 있는 핵심기술에 해당합니다.

 

2. NGS를 통한 유전정보의 수집 및 활용

NGS는 단시간에 많은 시퀀싱을 수행하는 기술로서, 이를 통해 짧은 시간에 DNA 염기서열정보를 축적할 수 있습니다.

 

앞서 언급한 인간 게놈프로젝트와 같이 한 종(, species)의 일반적 염기서열의 정보를 통하여 생물학적 연구 및 진화학적 연구로의 활용함과 병행하여, 많은 연구실 혹은 회사는 침습적이지 않은 방법으로 개인의 유전자 정보를 확보하여 분석함으로 활용하는 기술이 개발되었거나, 현재 개발 중에 있습니다. 많은 활용 분야 중에서도 개인의 유전자 정보를 활용에 가장 중요한 부분은 분자진단검사 및 임상의학 분야라고 할 것입니다..

 

기존의 시퀀싱 기술로는 분석 시간 및 비용의 문제로 특정 질환에 특이적인 소수의 유전자 검사만이 수행되었으며, 그 정확도 역시 낮았으나, NGS의 발전으로 하나의 샘플에서 다양한 질병 관련 유전자들을 동시에 분석할 수 있게 되어 유전체 분석을 통한 검사 및 분자단위의 진단이 본격적으로 시작될 것입니다.

 

분자단위의 진단의 대표적인 예로서는 이전 블로그에서 소개한 cffDNA 측정을 통하여 모체내 태아의 유전질환 등을 조기 진단, 소량의 샘플을 통하여 유전성 암의 진단 및 체내의 감염성 질환의 유전적 변이를 진단이 있습니다.

 

발전하는 NGS 기술에 대응하기 위하여, 식품의약품안전처는 2016. 7. “차세대염기서열분석(Next Generation Sequencing) 체외진단용 의료기기의 성능평가 가이드라인을 발간한 바 있습니다. 해당 자료를 첨부해 드립니다.


3. NGS를 임상에 활용하기 위해서는 해결해야 할 문제

 

이와 같은 NGS 기술은 그 민감성과, 소량의 샘플로 시퀀싱이 가능하다는 장점에도 불구하고 해결해야할 문제점도 내포하고 있습니다. 단시간에 수많은 유전정보를 취득할 수 있다는 점에서 매우 강점이 있으나, 동시에 수많은 유전정보를 정확하게 분석하기 위한 분석 기술들의 개발이 필요합니다. , 현재 컴퓨팅 파워로서는 과량의 유전정보를 효과적으로 처리할 수 없다는 단점이 있습니다.

 

무엇보다도, NGS의 임상 활용에서 해결해야 하는 문제는 결국 법적, 윤리적 문제가 될 것입니다.

 

개인의 유전정보가 공개되어도 되는 정보에 해당하는지 여부에 따라 개인정보보호법의 적용 대상이 될 것인지도 문제가 됩니다. 또한 개인의 유전정보의 공개로서 현재 존재하지 않으나, 유전질환의 발병확률 등을 이유로 보험 가입이 거절되는 경우도 발생할 수 있으며, 이에 따라 고용의 불평등의 문제가 발생할 수 있습니다.

 

나아가, 병원 등 진료기관이 아닌 일반 회사의 유전정보의 처리에 관하여도 의료계 및 법조계의 고민이 필요한 부분입니다. 이에 대하여는 실리콘밸리 스타트업 23andME에 대하여 다룬 저희 블로그의 글을 읽어 보시기를 권해드립니다(http://kasaninsight.tistory.com/1136).

김명환 변호사


 

작성일시 : 2017.07.13 08:28
Trackback 0 : Comment 0

댓글을 달아 주세요


-- 이미 공개된 민감정보가 아닌 개인정보를 별도 동의 없이 수집, 이용, 유료 제공한 행위 - 적법: 대법원 2016. 8. 17. 선고 2014235080 판결 --

 

사회적 관심사항인 개인정보보호에 관한 최근 대법원 판결입니다. 분쟁사안의 배경, 쟁점과 판결요지뿐만 아니라 그 사회적 의미를 잘 설명한 대법원 보도자료를 첨부합니다. 한번 읽어 보시기 바랍니다.

 

위 판결사안은, 대학의 학과 홈페이지에 공개된 교수의 사진, 성명, 성별, 출생연도, 직업, 직장, 학력, 경력 등의 개인정보를 해당 교수의 동의 없이 수집하여 유료로 제3자에게 제공한 회사에 대해 당사자 교수가 개인정보자기결정권 침해라고 주장하면서 손해배상을 청구한 사건입니다.

 

이에 대해 하급심은 이미 공개된 개인정보라도 별도 동의 없는 수집 및 유료제공한 회사에 대해 불법행위 + 손해배상책임을 인정하였습니다.

 

그러나, 대법원은 원심과 달리 "이 사건 개인정보는 이미 정보주체의 의사에 따라 국민 누구나가 일반적으로 접근할 수 있는 정보원에 공개된 개인정보로서 그 내용 또한 민감정보나 고유식별정보에 해당하지 않고 대체적으로 원고의 직업적 정보에 해당하여, 영리목적으로 이 사건 개인정보를 수집하여 제3자에게 제공하였더라도 개인정보자기결정권을 침해하는 위법한 행위로 평가할 수는 없다"고 판단하였습니다. 첨부한 대법원 보도자료를 보면 보다 상세한 내용을 알 수 있습니다.

 

첨부: 대법원 보도자료

2014다235080_개인정보 로앤비 사건(보도자료).pdf

 

작성일시 : 2016.08.19 09:33
Trackback 0 : Comment 0

댓글을 달아 주세요


-- 기업 내부의 각종 문서에 대한 문서제출명령 관련 대법원 2016. 7. 1. 20142239 결정 --

 

1.     문서를 가진 사람에게 그것을 제출하도록 명할 것을 신청하는 것은 서증을 신청하는 방식 중의 하나이므로, 법원은 그 제출명령신청의 대상이 된 문서가 서증으로서 필요하지 아니하다고 인정할 때에는 그 제출명령신청을 받아들이지 아니할 수 있다(대법원 2008. 9. 26. 2007672 결정 등 참조). 또한 문서제출명령의 대상이 된 문서에 의하여 입증하고자 하는 사항이 당해 청구와 직접 관련이 없는 것이라면 받아들이지 아니할 수 있다(대법원 1992. 4. 24. 선고 9125444 판결 참조). 문서제출명령신청 대상 각 문서 중 일부는 굳이 서증으로 조사할 필요가 없다는 이유로 문서제출명령 신청을 기각한 것은 정당하다.

 

2.     민사소송법 제344조 제2항 제1, 같은 조 제1항 제3호 다목, 315조 제1항 제2호는 문서를 가지고 있는 사람은 제344조 제1항에 해당하지 아니하는 경우에도 원칙적으로 문서의 제출을 거부하지 못한다고 규정하면서 그 예외사유로서 기술 또는 직업의 비밀에 속하는 사항이 적혀 있고 비밀을 지킬 의무가 면제되지 아니한 문서를 들고 있다.

 

여기에서 ‘직업의 비밀’은 그 사항이 공개되면 해당 직업에 심각한 영향을 미치고 이후 그 직업의 수행이 어려운 경우를 가리키는데, 어느 정보가 이러한 직업의 비밀에 해당하는 경우에도 문서의 소지자는 위 비밀이 보호가치 있는 비밀일 경우에만 문서의 제출을 거부할 수 있다 할 것이다.

 

나아가 어느 정보가 보호가치 있는 비밀인지를 판단함에 있어서는 그 정보의 내용과 성격, 그 정보가 공개됨으로써 문서 소지자에게 미치는 불이익의 내용과 정도, 그 민사사건의 내용과 성격, 그 민사사건의 증거로 해당문서를 필요로 하는 정도 또는 대체할 수 있는 증거의 존부 등 제반 사정을 종합하여 그 비밀의 공개로 인하여 발생하는 불이익과 이로 인하여 달성되는 실체적 진실 발견 및 재판의 공정을 비교형량하여야 한다(대법원 2015. 12. 21. 20154174 결정 참조).

 

3.     개인정보 보호법 제18조 제2항 제2호에 의하면 개인정보처리자는 ‘다른 법률에 특별한 규정이 있는 경우’에는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있고, 민사소송법 제344조 제2항은 각 호에서 규정하고 있는 문서제출거부사유에 해당하지 아니하는 경우 그 문서소지인에게 문서제출의무를 부과하고 있으므로, 위 급여 및 상여금 내역 등이 개인정보 보호법상 개인정보에 해당한다고 하더라도 이를 이유로 문서소지인인 피신청인들이 그 문서의 제출을 거부할 수 있는 것은 아니다.

 

4.     급여대장, 급여규정 및 상여금 규정, 임직원에 대한 급여명세서, 상여금명세서 등은 회사의 손익계산서 등 회계서류 작성에 필요한 정보 또는 법령상 작성의무가 있는 문서로서 외부에 개시하는 것이 예정되어 있고, 문서의 성질상 외부에 개시하더라도 문서소지자에게 심각한 불이익이 생긴다고 볼 여지가 없다.

 

5.     민사소송법 제344조 제2항은 문서를 가지고 있는 사람은 제344조 제1항에 해당하지 아니하는 경우에도 원칙적으로 문서의 제출을 거부하지 못한다고 규정하면서 그 예외 사유로서 ‘오로지 문서를 가진 사람이 이용하기 위한 문서’(이른바 ‘자기이용문서’)를 들고 있다.

 

어느 문서가 오로지 문서를 가진 사람이 이용할 목적으로 작성되고 외부자에게 개시하는 것이 예정되어 있지 않으며 이를 개시할 경우 문서를 가진 사람에게 간과하기 어려운 불이익이 생길 염려가 있다면, 이러한 문서는 특별한 사정이 없는 한 위 규정의 자기이용문서에 해당한다고 할 것이다(대법원 2015. 12. 21. 20154174 결정 참조).

 

여기서 어느 문서가 자기이용문서에 해당하는지 여부는 문서의 표제나 명칭만으로 이를 판단하여서는 아니 되고, 그 문서의 작성 목적, 기재 내용에 해당하는 정보, 당해 유형ㆍ종류의 문서가 일반적으로 갖는 성향, 문서의 소지 경위나 그 밖의 사정 등을 종합적으로 고려하여 객관적으로 판단하여야 하는데, 설령 주관적으로 내부 이용을 주된 목적으로 회사 내부에서 결재를 거쳐 작성된 문서일지라도, 신청자가 열람 등을 요구할 수 있는 사법상 권리를 가지는 문서와 동일한 정보 또는 그 직접적 기초ㆍ근거가 되는 정보가 당해 문서의 기재내용에 포함되어 있는 경우, 객관적으로 외부에서의 이용이 작성 목적에 전혀 포함되어 있지 않다고는 볼 수 없는 경우, 당해 문서 자체를 외부에 개시하는 것은 예정되어 있지 않더라도 당해 문서에 기재된 ‘정보’의 외부 개시가 예정되어 있거나 그 정보가 공익성을 가지는 경우 등에는 그 문서를 내부문서라는 이유로 자기이용문서라고 쉽게 단정할 것은 아니다.

 

한편 자기이용문서 등 문서제출 거부사유가 인정되지 아니하는 경우에도 법원은 민사소송법 제290조에 따라 그 제출명령신청의 대상이 된 문서가 서증으로서 필요하지 아니하다고 인정할 때에는 제출명령신청을 받아들이지 아니할 수 있고(대법원 2008. 9. 26. 2007672 결정 등 참조), 민사소송법 제347조 제1항에 따라 문서제출신청에 정당한 이유가 있다고 인정한 때에 결정으로 문서를 가진 사람에게 그 제출을 명할 수 있으므로, 당해 문서가 쟁점 판단이나 사실의 증명에 어느 정도로 필요한지, 다른 문서로부터 자료를 얻는 것이 가능한지 여부, 문서 제출로 인하여 얻게 될 소송상 이익과 피신청인이 문서를 제출함으로 인하여 받게 될 부담이나 재산적 피해 또는 개인의 프라이버시나 법인 내부의 자유로운 의사 형성 및 영업 비밀, 기타 권리에 대한 침해와의 비교형량 및 기타 소송에 나타난 여러 가지 사정을 고려하여 과연 문서제출이 필요한지 및 문서제출신청에 정당한 이유가 있는지 여부를 판단하여야 할 것이다.

 

6.     합병과정에서 불공정한 합병비율을 적용하여 회사의 주식가치가 저평가되었다는 이유로 손해배상청구 소송을 제기하여 진행 중 청구원인을 증명하기 위하여 회사의 각종 문서에 대하여 문서제출명령을 신청한 사안에서 원심이 회사 내부의 의사결정 목적으로 작성되었다는 이유만으로 자기이용문서로 판단하여 문서제출명령신청을 기각한 대상문서들 중, A회사의 판매비관리비, 각종 경비 및 고정비, 임직원에 대한 성과금 지급 규모, 급여 및 인건비, 광고단가, 각종 매출액, 플랫폼별 시장매출규모, 매년 판권 구매상각 내역 등에 관한 자료문서들은 각종 회계자료 등을 통해 외부에 공개하는 것이 예정되어 있는 정보 또는 그 직접적 기초가 되는 정보를 포함할 수 있고, ② 합병비율 판단을 위하여 회계법인에 제공한 서류 등은 합병조건에 대한 실질적인 판단자료로 주주들에게도 공개가 예정되어 있는 정보 또는 그 직접적 기초가 되는 정보 등을 포함할 수 있으며, ③ 합병 추진 및 실행과 관련하여 A회사가 다른 합병회사와 교신한 공문 등은 오로지 내부자의 이용에 제공할 목적으로 작성된 내부문서라고 단정할 수 없고, ④ 업무수행의 지침이 되는 내부회계기준이나 결의서와 같이 이미 의사결정이 내려진 상태에서 작성되는 문서는 그 문서의 성질상 개시로 인하여 문서소지자에게 간과하기 어려운 불이익이 생길 염려가 발생한다고 보기 어려우므로, 이러한 문서들의 표제나 명칭에 불구하고 문서의 목적, 기재내용, 소지 경위 등에 비추어 자기이용문서에 해당하는지 여부를 심리판단하고, 나아가 문서제출의 필요성, 정당한 이유 등에 대하여 추가 심리를 하였어야 한다는 이유로 원심결정을 파기 환송함.  

 

첨부: 대법원 2016. 7. 1. 20142239 결정

대법원 2014마2239 결정.pdf

작성일시 : 2016.07.12 11:50
Trackback 0 : Comment 0

댓글을 달아 주세요


-- 미국 연구소에서 건강정보를 포함한 개인정보를 저장한 노트북을 도난 당한 책임으로$3.9 million 지급 + Corrective Action Plan 합의 뉴스 --

 

개인정보 유출로 인한 손해배상액은 그 근거가 막연하여 구체적 입증이 매우 어렵습니다. 참고자료로 개인정보 특히 민감한 건강관련정보를 실수로 유출한 책임을 물어 체결한 합의서를 소개합니다. 우리나라가 아닌 미국 사례인데다 판결도 아닌 화해계약이라 중요한 지침은 되지 않겠지만 그냥 흥미 삼아 한번 살펴보시기 바랍니다.

 

미국 FIMR (Feinstein Institute for Medical Research)의 연구원이 2012. 9. 14. 차 안에 둔 노트북을 도난당했습니다. 그 노트북에는 13,000명의 건강관련정보를 포함한 개인정보가 암호화되지 않은 상태로 저장되어 있었습니다. 개인정보를 고의로 유출한 것이 아니라 관리부실과 실수로 유출한 경우입니다. 

 

미국 정부부처 US Department of Health and Human Services, Office for Civil Right와 유출 책임기관 FIMR 사이에 체결한 합의서에서는, $3.9 million( 45억원)를 지불하고, 정보보호조치(corrective action plan)를 시행하기로 합의했습니다.

 

첨부: 합의서

FIMR Resolution Agreement and Corrective Action Plan.pdf

 

작성일시 : 2016.03.23 12:00
Trackback 0 : Comment 0

댓글을 달아 주세요


-- 2016. 7. 25.부터 적용되는 개인정보 보호법 개정내용 - 징벌적 손해배상 규정과 법정손해배상 규정 --

 

1.     징벌적 손해배상제도 도입 - 개정 개인정보 보호법 제39조 제3항 및 제4항 신설

 

개인정보 처리자의 고의 또는 중과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 실제 발생한 손해를 초과하여 최대 그 실제 손해액의 3배까지 징벌적 손해배상을 부과할 수 있습니다(39조 제3항 본문).

 

징벌적 손해배상액은 (i) 개인정보처리자가 고의 또는 손해 발생의 우려를 인식한 정도 (ii) 정보주체가 입은 피해 규모 (iii) 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익 (iv) 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도 등을 고려하여 결정합니다(39조 제4).

 

당연히 개인정보처리자가 고의 또는 중대한 과실이 없었음을 입증한 경우에는 손해배상책임이 없습니다(39조 제3항 단서).

 

2.     법정손해배상제도 도입 - 개정 개인정보 보호법 제39조의2 신설

 

실제 사건에서 구체적 손해액을 입증하는 것은 매우 어렵습니다. 개정법은 이와 같은 문제를 감안하여, 피해자가 구체적 손해액을 입증하지 못한 경우에도 최대 300만까지 법정 손해배상을 명할 수 있도록 하였습니다(39조의2 1항 제1). 다만, 개인정보처리자는 고의 또는 과실이 없었음을 입증하면 법정손해배상책임을 면하게 됩니다(39조의2 1항 제2).

 

3.     적용범위 - 부칙 제2

 

징벌적 손해배상 규정과 법정손해배상 규정은 특별히 새로운 제도이므로 홍보와 준비기간을 부여하는 취지에서, 개정법의 다른 규정 시행일(2015. 7. 24.)로부터 1년이 경과한 날 2016. 7. 25.부터 시행되고, 그 시행일부터 발생한 분실, 도난, 유출, 위조, 변조 또는 훼손된 개인정보 관한 손해배상 청구부터 적용합니다.

 

작성일시 : 2015.08.27 09:09
Trackback 0 : Comment 0

댓글을 달아 주세요