개인정보 삭제 요청

<br/> [1] 개인정보 보호법 제59조 제2호는 개인정보를 처리하거나 처리하였던 자는 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위를 하여서는 아니 된다고 규정하고, 같은 법 제71조 제5호는 제59조 제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 등에 해당하는 자는 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다고 규정하고 있다. 한편 구 공공기관의 개인정보보호에 관한 법률(2011. 3. 29. 법률 제10465호로 폐지되기 전의 것, 이하 같다) 제11조는 개인정보의 처리를 행하는 공공기관의 직원이나 직원이었던 자 등은 직무상 알게 된 개인정보를 누설 또는 권한 없이 처리하거나 타인의 이용에 제공하는 등 부당한 목적을 위하여 사용하여서는 아니 된다고 규정하고, 같은 법 제23조 제2항은 제11조의 규정을 위반하여 개인정보를 누설 또는 권한 없이 처리하거나 타인의 이용에 제공하는 등 부당한 목적으로 사용한 자는 3년 이하의 징역 또는 1천만 원 이하의 벌금에 처한다고 규정하였다. <br/> 구 공공기관의 개인정보보호에 관한 법률이 2011. 3. 29. 폐지되고 개인정보 보호법이 제정된 취지는 공공부문과 민간부문을 망라하여 국제 수준에 부합하는 개인정보 처리원칙 등을 규정하고, 개인정보 침해로 인한 국민의 피해 구제를 강화하여 국민의 사생활의 비밀을 보호하며, 개인정보에 대한 권리와 이익을 보장하려는 것이다. <br/><br/> [2] 구 공공기관의 개인정보보호에 관한 법률(2011. 3. 29. 법률 제10465호로 폐지되기 전의 것, 이하 같다) 제23조 제2항, 제11조의 ‘누설’이란 아직 개인정보를 알지 못하는 타인에게 알려주는 일체의 행위를 말하고, 고소·고발장에 다른 정보주체의 개인정보를 첨부하여 경찰서에 제출한 것은 그 정보주체의 동의도 받지 아니하고 관련 법령에 정한 절차를 거치지 아니한 이상 부당한 목적하에 이루어진 개인정보의 ‘누설’에 해당하였다. 개인정보 보호법 제71조 제5호, 제59조 제2호 위반죄는 구 공공기관의 개인정보보호에 관한 법률 제23조 제2항, 제11조 위반죄와 비교하여 범행주체가 다르고 ‘누설’에 부당한 목적이 삭제되었다는 것만 다를 뿐 나머지 구성요건은 실질적으로 동일한 점, 개인정보 보호법 제59조 제2호가 금지하는 누설행위의 주체는 ‘개인정보를 처리하거나 처리하였던 자’이고, 그 대상은 ‘업무상 알게 된 개인정보’로 제한되므로, 수사기관에 대한 모든 개인정보 제공이 금지되는 것도 아닌 점 및 개인정보 보호법의 제정 취지 등을 감안하면, 구 공공기관의 개인정보보호에 관한 법률에 따른 ‘누설’에 관한 위의 법리는 개인정보 보호법에도 그대로 적용된다.<br/>

개인정보 보호법 제37조 제1항 제1문은 "정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다."라고 하여 처리정지의 대상이 개인정보에 대한 "처리"임을 전제로 하고 있고, 2020. 2. 4. 법률 제16930호로 개정되기 전의 구 개인정보 보호법 제2조 제2호는 "처리"를 ‘개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위’로 정의하였다. 그런데 2020. 2. 4. 법률 제16930호로 개정된 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것) 제28조의2 제1항은 "개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다."라고 규정하여 가명정보의 활용범위를 정하였고, 같은 법 제2조는 "가명정보"를 ‘가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보’[제1호 (다)목]로, "가명처리"를 ‘개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것’(제1호의2)으로 정의함으로써 "가명처리"를 같은 법 제2조 제2호의 "처리"와는 별도로 규정하였다. <br/> "가명처리"는 그 개념적 정의에 의하더라도 개인정보에 대한 식별의 위험성을 낮추는 방법이므로, 정보주체에 대한 권리 또는 사생활 침해의 위험을 발생시킬 수 있는 개인정보 보호법 제2조 제2호에서 규정한 여러 유형의 개인정보 "처리"와는 구별된다. 같은 법 제3조 제7항에서 "개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다."라고 규정한 것은 가명처리를 익명처리에 준하는 개인정보 보호조치로 분류한 것으로 볼 수 있다. 또한 "가명처리"는 더 이상의 처리가 가능하지 않도록 개인정보 자체를 삭제하거나 파쇄 또는 소각하는 개인정보의 파기와도 개념적으로 구분이 되는 행위이다. <br/> 이러한 사정에다가 데이터 관련 신산업 육성이 범국가적 과제로 대두되고 인공지능, 클라우드, 사물인터넷 등 신기술을 활용한 데이터 이용이 필요한 상황에서 데이터의 이용을 활성화하기 위한 가명정보조항의 입법취지를 고려하면, "가명처리"는 개인정보 보호법 제37조 제1항 제1문에서 처리정지 요구의 대상으로 정한 개인정보 "처리"에 해당하지 않는다고 보아야 한다.<br/>

<br/> [1] 구 공공기관의 정보공개에 관한 법률(2020. 12. 22. 법률 제17690호로 개정되기 전의 것, 이하 ‘구 정보공개법’이라 한다)은 국민의 알권리를 보장하고 국정(國政)에 대한 국민의 참여와 국정 운영의 투명성을 확보하기 위하여 공공기관이 보유·관리하는 정보에 대한 국민의 공개 청구 및 공공기관의 공개 의무에 관하여 필요한 사항을 정하고 있다(제1조). 이와 달리 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 같다)은 개인의 자유와 권리를 보호하고 개인의 존엄과 가치를 구현하는 것을 입법 목적으로 하여 개인정보의 처리 및 보호에 관한 사항을 정하는 법률로서(제1조), "개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다."라고 규정하고 있다(제6조). <br/> 공공기관의 정보공개에 관한 법률(이하 ‘정보공개법’이라 한다)상 ‘공개’는 공공기관이 정보공개법에 따라 정보를 열람하게 하거나 그 사본·복제물을 제공하는 것 또는 전자정부법 제2조 제10호에 따른 정보통신망을 통하여 정보를 제공하는 것 등을 말한다(구 정보공개법 제2조 제2호). 한편 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보를 이전하는 행위이다. 공공기관이 개인정보가 포함된 정보를 정보공개법에 따라 그 정보주체가 아닌 자에게 ‘공개’하는 것은 구 개인정보 보호법 제17조, 제18조에서 말하는 개인정보의 ‘제3자 제공’에 해당할 수 있다. <br/> 그런데 구 정보공개법과 구 개인정보 보호법의 각 입법 목적과 규정 내용, 구 정보공개법 제9조 제1항 제6호의 문언과 취지 등에 비추어 보면, 구 정보공개법 제9조 제1항 제6호는 공공기관이 보유·관리하고 있는 개인정보의 공개 과정에서의 개인정보를 보호하기 위한 규정으로서 이때에는 구 개인정보 보호법 제6조에서 말하는 ‘개인정보 보호에 관하여 다른 법률에 특별한 규정이 있는 경우’에 해당한다. 그러므로 공공기관이 보유·관리하고 있는 개인정보의 공개에 관하여는 구 정보공개법 제9조 제1항 제6호가 구 개인정보 보호법에 우선하여 적용된다. <br/> 따라서 공공기관이 보유·관리하고 있는 타인에 관한 개인정보의 정보공개법에 따른 공개가 구 개인정보 보호법 제17조에서 말하는 개인정보 제3자 제공에 해당하더라도, 그에 관하여는 구 개인정보 보호법 제17조의 규정이 적용되지는 않으므로, 구 개인정보 보호법 제17조 위반을 전제로 하는 구 개인정보 보호법 제71조 제1호도 적용될 수 없다.<br/><br/> [2] 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 같다) 제71조 제1호는 ‘제17조 제1항 제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자’와 ‘그 사정을 알고 개인정보를 제공받은 자’를 처벌하도록 규정한다. 개인정보처리자는 정보주체의 동의를 받은 경우 외에 구 개인정보 보호법 제15조 제1항 제2호, 제3호, 제5호에 따라 개인정보를 수집한 목적 범위 내에서 정보주체의 개인정보를 제3자에게 제공할 수 있으나, 그 범위를 초과하여 제3자에게 제공하여서는 안 된다(구 개인정보 보호법 제17조 제1항, 제18조 제1항). 다만 개인정보처리자는 구 개인정보 보호법 제18조 제2항 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 제3자에게 제공할 수 있다. 따라서 개인정보의 제3자 제공이 구 개인정보 보호법 제17조 제1항, 제3항의 수집한 목적 범위 내의 제공이 아니라 하더라도, 구 개인정보 보호법 제18조 제2항의 요건에 따른 제공에 해당한다면 구 개인정보 보호법 제71조 제1호 위반죄로 처벌할 수 없다.<br/>

구 영유아보육법(2020. 12. 29. 법률 제17785호로 개정되기 전의 것, 이하 같다) 제15조의4 제1항은 “어린이집을 설치·운영하는 자는 아동학대 방지 등 영유아의 안전과 어린이집의 보안을 위하여 개인정보 보호법 및 관련 법령에 따른 폐쇄회로 텔레비전을 설치·관리하여야 한다.”라고 정하고, 구 영유아보육법 제15조의5 제3항은 “어린이집을 설치·운영하는 자는 제15조의4 제1항의 영상정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획의 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.”라고 정한다. 그리고 구 영유아보육법 제54조 제3항은 “제15조의5 제3항에 따른 안전성 확보에 필요한 조치를 하지 아니하여 영상정보를 분실·도난·유출·변조 또는 훼손당한 자는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다.”라고 정한다.<br/> 여기서 처벌의 대상이 되는 자 중 ‘영상정보를 훼손당한 자’란 어린이집을 설치·운영하는 자로서 구 영유아보육법 제15조의5 제3항에서 정한 폐쇄회로 영상정보에 대한 안전성 확보에 필요한 조치를 하지 않았고 그로 인해 영상정보를 훼손당한 자를 뜻한다. 영상정보를 삭제·은닉 등의 방법으로 직접 훼손하는 행위를 한 자는 위 규정의 처벌대상이 아니고 행위자가 어린이집을 설치·운영하는 자라고 해도 마찬가지이다.<br/>

<br/> 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것, 이하 같다) 제59조는 ‘개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.’고 규정하면서 제2호에서 ‘업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위’를 규정하고 있고, 제71조 제5호는 ‘제59조 제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자’를 처벌하도록 규정하고 있다. 이때 ‘누설’의 사전적 의미는 ‘비밀이 새어 나감 또는 그렇게 함’이고 ‘비밀’의 사전적 의미는 ‘숨기어 남에게 드러내거나 알리지 말아야 할 일’이며, 대법원은 ‘누설’을 ‘아직 개인정보를 알지 못하는 타인에게 알려주는 일체의 행위’로 해석하여 왔다. <br/> 개인정보 보호법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고 나아가 개인의 존엄과 가치를 구현함을 목적으로 하고(제1조), 정보주체의 개인정보자기결정권을 그 보호법익으로 한다. 여기에서 개인정보자기결정권은 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 것으로, 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. <br/> 이러한 구 개인정보 보호법 제59조 제2호 및 제71조 제5호의 문언, 개인정보 보호법의 입법 목적과 취지, 개인정보자기결정권의 의미 등을 종합하면, 구 개인정보 보호법 제59조 제2호에서 금지하는 개인정보의 누설에 관하여 정보주체의 사전 동의가 있는 경우에는 피고인을 벌할 수 없다고 봄이 타당하다.<br/>

개인정보처리자는 정보주체의 동의를 받거나 법률에 특별한 규정이 있는 등 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되어 2020. 8. 5.부터 시행되기 전의 것)이 정하는 예외 사유가 있는 경우에만 개인정보를 제3자에게 제공할 수 있고(제17조, 제18조), 개인정보를 처리하거나 처리하였던 자는 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위 등을 하여서는 아니 된다(제59조). 그러나 재판과정에서 소송상 필요한 주장의 증명이나 범죄혐의에 대한 방어권 행사를 위하여 개인정보가 포함된 소송서류나 증거를 법원에 제출하는 경우, 고소·고발 또는 수사절차에서 범죄혐의의 소명이나 방어권의 행사를 위하여 개인정보가 포함된 증거자료를 수사기관에 제출하는 경우에는 사회상규에 위배되지 않는 행위에 해당하여 형법 제20조에 따라 위법성이 조각될 수 있다. 이때 정당행위에 해당하는지 여부는 개인정보 제출자가 개인정보를 수집·보유하고 제출하게 된 경위 및 목적, 개인정보를 제출한 상대방, 제출행위의 목적 달성에 필요한 최소한의 정보 제출인지 여부, 비실명화 등 개인정보의 안전성 확보에 필요한 조치 가능성 및 조치 여부와 내용, 제출한 개인정보의 내용, 성질(민감정보 여부 등) 및 양, 침해되는 정보주체의 법익 내용, 성질 및 침해의 정도, 개인정보를 제출할 다른 수단이나 방식의 존재 여부, 다른 수단이나 방식을 취하지 않고 개인정보를 제출하게 된 불가피한 사정의 유무 등 개별적인 사안에서 나타난 여러 사정을 종합적으로 고려하여 객관적이고 합리적으로 판단하여야 한다.<br/>

구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 ‘개인정보보호법’이라 한다) 제19조는 개인정보처리자로부터 개인정보를 제공받은 자는 정보주체로부터 별도의 동의를 받거나 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다고 규정하고, 제71조 제2호는 제19조를 위반하여 개인정보를 이용하거나 제3자에게 제공한 자를 처벌하도록 규정하고 있으므로, 개인정보보호법 제71조 제2호, 제19조 위반죄는 피고인이 ‘개인정보처리자’로부터 개인정보를 제공받은 경우 성립할 수 있다.<br/> ‘개인정보처리자’란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말하고(개인정보보호법 제2조 제5호), ‘개인정보파일’이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다(같은 법 제2조 제4호). 개인정보보호법은 ‘공공기관’을 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체, 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관으로 정의하고 있다(제2조 제6호). 한편 사법부 고유 업무인 재판사무와 법원의 행정사무, 즉 법원의 인사·예산·회계·시설·통계·송무·등기·가족관계등록·공탁·집행관·법무사·법령조사 및 사법제도연구에 관한 사무(법원조직법 제19조 제2항 참조) 등은 업무 목적과 내용 등에서 구별된다. <br/> 이러한 관련 법령의 문언, 규정 체계 및 ‘행정사무를 처리하는 기관’으로서의 법원과 ‘재판사무를 처리하는 기관’으로서의 법원의 구별 등을 종합하여 보면, 개개의 사건에 대하여 재판사무를 담당하는 법원(수소법원)은 ‘개인정보처리자’에서 제외된다고 보는 것이 타당하다. 재판사무의 주체로서 법원이 민사·형사·행정 등의 여러 재판에서 개별 사건을 단위로 당사자의 주장과 증거제출 등을 통해 심리를 진행한 다음 공권적 판단을 내림으로써 쟁송을 해결하거나 국가형벌권을 실현하기 위한 재판 과정에서 증거나 서면의 일부 등으로 개인정보를 처리하더라도, 다수의 개인정보 그 자체를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 집합물, 즉 개인정보파일을 운용하기 위하여 개인정보를 처리하는 것이라고 볼 수 없다. 따라서 재판사무를 담당하는 법원(수소법원)이 그 재판권에 기하여 법에서 정해진 방식에 따라 행하는 공권적 통지행위로서 여러 소송서류 등을 송달하는 경우에는 ‘개인정보처리자’로서 개인정보를 제공한 것으로 볼 수 없다.<br/>

[1] 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 같다) 제71조 제2호는 "제19조를 위반하여 개인정보를 이용하거나 제3자에게 제공한 자"를 처벌하도록 규정하고, 제19조는 "개인정보처리자로부터 개인정보를 제공받은 자는 정보주체로부터 별도의 동의를 받은 경우나 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다."라고 규정한다. 그런데 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자인 개인정보취급자(같은 법 제28조)가 개인정보처리자의 업무 수행을 위하여 개인정보를 이전받는 경우 위와 같은 개인정보취급자는 ‘개인정보처리자로부터 개인정보를 제공받은 자’에 해당하지 않는다. 그 이유는 다음과 같다.<br/> (가) 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보의 지배·관리권이 이전되는 것으로, 개인정보처리자가 개인정보의 지배·관리권을 그대로 유지하면서 개인정보처리자의 업무처리와 이익을 위하여 내부적으로 개인정보를 이용하는 것과 구별된다. 개인정보처리자는 다른 사람을 통하여 개인정보를 처리하는 것도 가능하므로(구 개인정보 보호법 제2조 제5호) 개인정보처리자의 의사에 따라 개인정보처리 업무를 직접 수행하는 개인정보취급자가 개인정보처리자로부터 정보주체의 개인정보를 이전받더라도 이와 같은 이전은 ‘제3자 제공’에 해당한다고 볼 수 없다.<br/> (나) 구 개인정보 보호법은 제15조, 제16조에서 개인정보처리자의 개인정보 수집·이용에 관하여 규정하고, 제17조에서 개인정보처리자가 수집한 개인정보를 제3자에게 제공할 수 있는 경우를 규정하며, 제18조 제2항에서 개인정보처리자가 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있는 경우를 규정한 다음, 제19조에서 ‘개인정보처리자로부터 개인정보를 제공받은 자’를 수범자로 하여 정보주체로부터 별도의 동의를 받거나 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다고 규정하고 있다. 위와 같은 법령의 체계와 문언에 비추어 보면, 구 개인정보 보호법 제19조에서 말하는 ‘개인정보처리자로부터 개인정보를 제공받은 자’란 같은 법 제17조, 제18조 등에 규정된 바에 따라 개인정보처리자로부터 개인정보의 지배·관리권을 이전받은 그 제3자를 의미한다고 보는 것이 타당하다.<br/> (다) 구 개인정보 보호법 제19조의 ‘개인정보처리자로부터 개인정보를 제공받은 자’는 정보주체로부터 별도의 동의를 받은 경우나 다른 법률에 특별한 규정이 있는 경우에는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 다시 제3자에게 제공할 수 있으므로, ‘제공받은 개인정보’를 개인정보처리자의 의사와 무관하게 자신의 의사에 따라 이용하거나 이를 제3자에게 제공할 수 있는 지위에 있다. 반면 개인정보처리에 관한 독자적 이익을 위하여 개인정보를 이용하거나 제3자에게 이를 제공할 수 있는 지위에 있지 않는 개인정보취급자는 구 개인정보 보호법 제19조의 ‘개인정보처리자로부터 개인정보를 제공받은 자’에 포함되지 않는다.<br/> (라) 한편 개인정보취급자는 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 사람으로서 직접 개인정보에 관한 업무를 담당하는 사람과 그 밖에 업무상 필요에 의해 개인정보에 접근하여 이를 처리하는 모든 사람을 말하고, 개인정보파일 운용에 직접 관여하는 업무를 하는 자에 한정된다고 볼 것은 아니다.<br/> [2] 피고인이 대학수학능력시험 고사장 감독업무를 수행하면서 수험생의 개인정보가 포함된 응시원서를 제공받아 이를 각 수험생의 수험표와 대조하는 과정에서 알게 된 甲의 연락처를 이용하여 카카오톡 친구로 추가한 후 甲에게 카카오톡으로 "사실 ○○씨가 맘에 들어서요." 등의 메시지를 발송함으로써 개인정보처리자로부터 제공받은 개인정보를 제공받은 목적 외 용도로 이용하였다는 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 같다) 위반의 공소사실로 기소된 사안에서, 피고인은 서울특별시가 설립한 공립 고등학교의 교사로서 2019학년도 대학수학능력시험 감독관으로 위촉(임명)되어 대학수학능력시험 고사장 감독업무 중 일부인 수험생의 동일성 확인업무 수행을 위하여 서울특별시교육청으로부터 수험생의 성명, 주민등록번호, 연락처, 주소 등 개인정보가 포함된 응시원서를 전달받은 사실에 비추어, 피고인은 개인정보처리자인 서울특별시교육청의 지휘·감독하에 수험생들의 개인정보를 처리한 자로 개인정보취급자에 해당할 뿐, 개인정보처리자인 서울특별시교육청으로부터 ‘개인정보를 제공받은 자’로 보기 어렵다는 이유로, 이와 달리 보아 공소사실을 유죄로 판단한 원심판결에 구 개인정보 보호법 제19조의 ‘개인정보처리자로부터 개인정보를 제공받은 자’의 의미에 관한 법리오해의 잘못이 있다고 한 사례.<br/>

[1] 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것) 제18조 제1항에 규정된 개인정보의 ‘이용’은 개인정보처리자가 개인정보의 지배·관리권을 이전하지 않은 채 스스로 개인정보를 쓰는 행위를 의미한다. 개인정보의 이용에는 개인정보를 수집된 형태 그대로 쓰는 행위뿐만 아니라 수집된 개인정보를 가공, 편집하여 쓰거나 그로부터 정보를 추출하여 쓰는 행위도 포함된다. 따라서 개인정보의 이용에 해당하는지는 개인정보를 쓰는 일련의 행위를 전체적으로 보아 판단해야 한다.<br/> [2] 어린이집 원장인 피고인 甲이 어린이집 내부에 설치·관리 중인 폐쇄회로 텔레비전(이하 ‘CCTV’라 한다) 영상을 시청하여 교사 乙이 근무시간 중 휴대전화를 사용한 사실을 파악한 후 이를 어린이집 사무를 수탁한 법인인 피고인 丙의 보육사업 담당자인 丁에게 乙의 업무지시 불이행 사안으로 전달하여, 개인정보처리자인 피고인 甲은 개인정보를 수집 목적의 범위를 초과하여 이용하였다는 내용으로, 피고인 丙은 사용자인 피고인 甲이 업무에 관하여 위와 같은 위반행위를 하였다는 내용으로 기소된 사안에서, 피고인 甲이 시청한 CCTV 영상은 乙의 초상, 신체의 모습 등이 촬영되어 영상을 통하여 乙을 알아볼 수 있는 정보로서, 정보주체인 乙의 개인정보에 해당하고, CCTV 영상에 포함된 乙의 휴대전화 사용에 관한 정보를 징계심의의 자료로 사용하는 것은 전체적으로 보아 개인정보처리자가 개인정보의 지배·관리권을 이전하지 않은 채 스스로 개인정보를 쓰는 행위로서 개인정보인 CCTV 영상을 이용한 행위에 해당하며, 이러한 일련의 행위 과정에서 피고인 甲이 전달한 정보가 乙의 초상, 신체의 모습 등이 촬영된 CCTV 영상 자체가 아니라 그로부터 추출한 정보라는 사정만으로 다르게 볼 이유가 없음에 비추어, 피고인 甲이 乙의 근무 태도에 관한 정보를 丁에게 전달한 행위 부분만을 분리한 뒤 그 정보가 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것)상 개인정보에 해당하지 않는다고 본 원심판단에 개인정보의 이용에 관한 법리오해 등의 잘못이 있다고 한 사례.<br/>

[1] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2012. 2. 17. 법률 제11322호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라고 한다) 제28조 제1항은 정보통신서비스 제공자가 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 그 각호의 기술적·관리적 보호조치를 하여야 한다고 규정하고 있다. 이어 위 조항은 그 각호로 ‘1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행 2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영 3. 접속기록의 위조·변조 방지를 위한 조치 4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치 5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치 6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치’를 규정하고 있다. 그리고 구 정보통신망법 제28조 제1항의 위임을 받은 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2011. 8. 29. 대통령령 제23104호로 개정되기 전의 것) 제15조는 정보통신서비스 제공자가 취하여야 할 개인정보의 안전성 확보에 필요한 위와 같은 기술적·관리적 조치를 보다 구체적으로 규정하고 있다. 따라서 정보통신서비스 제공자는 구 정보통신망법 제28조 제1항 등에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 할 법률상 의무를 부담한다.<br/> 나아가 정보통신서비스 제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로 하여금 이용약관 등을 통해 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신서비스 제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실·도난·누출·변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담한다.<br/> 그런데 정보통신서비스가 ‘개방성’을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스 제공자가 구축한 네트워크나 시스템과 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 ‘해커’ 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 않다. 또한 해커 등은 여러 공격기법을 통해 정보통신서비스 제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스 제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적이다. 이처럼 정보통신서비스 제공자가 취해야 할 개인정보의 안전성 확보에 필요한 보호조치에 관해서는 고려되어야 할 특수한 사정이 있다.<br/> 그러므로 정보통신서비스 제공자가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는, 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종·영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다.<br/>[2] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2011. 8. 29. 대통령령 제23104호로 개정되기 전의 것) 제15조 제6항은 “방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.”라고 규정하고 있다. 이에 따라 방송통신위원회가 마련한 ‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시 제2011-1호, 이하 ‘고시’라고 한다)은 해킹 등 침해사고 당시의 기술 수준 등을 고려하여 정보통신서비스 제공자가 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2012. 2. 17. 법률 제11322호로 개정되기 전의 것) 제28조 제1항 등에 따라 준수해야 할 기술적·관리적 보호조치를 구체적으로 규정하고 있다. 그러므로 정보통신서비스 제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다면, 특별한 사정이 없는 한 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다.<br/> 다만 고시는 정보통신서비스 제공자가 반드시 준수해야 할 최소한의 기준을 정한 것으로 보는 것이 타당하다. 따라서 정보통신서비스 제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다고 하더라도, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있다. 나아가 정보통신서비스 제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다고 하더라도, 불법행위에 도움을 주지 말아야 할 주의의무를 위반하여 타인의 불법행위를 용이하게 하였고 이러한 방조행위와 불법행위에 의한 피해자의 손해 발생 사이에 상당인과관계가 인정된다면 민법 제760조 제3항에 따른 책임을 면할 수 없다.<br/>[3] 인터넷상에서 포털서비스사업을 하는 甲 주식회사가 제공하는 온라인 서비스에 가입한 회원들의 개인정보가 해킹사고로 유출되었는데, 서비스 이용자인 乙 등이 甲 회사를 상대로 손해배상을 구한 사안에서, 정보통신서비스 제공자가 정보처리시스템에 접속한 개인정보취급자로 하여금 작업 종료 후 로그아웃을 하도록 하는 것은, 비록 ‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시 제2011-1호)에서 정하고 있는 기술적·관리적 보호조치에는 해당하지 않으나, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치에 해당하므로, 정보통신서비스 제공자가 이러한 보호조치를 미이행하여 정보처리시스템에 접속권한이 없는 제3자가 손쉽게 시스템에 접속하여 개인정보의 도난 등의 행위를 할 수 있도록 하였다면 이는 불법행위에 도움을 주지 말아야 할 주의의무를 위반한 것으로써 이러한 방조행위와 피방조자의 불법행위 사이에 상당인과관계가 인정된다면 공동불법행위자로서 책임을 면할 수 없는데, 해킹사고 당시 해커가 이미 키로깅을 통하여 DB 서버 관리자의 아이디와 비밀번호를 획득한 상태였기 때문에 甲 회사의 DB 기술팀 소속 직원이 자신의 컴퓨터에서 로그아웃을 하였는지 여부와 무관하게 언제든지 게이트웨이 서버를 거쳐 DB 서버에 로그인을 할 수 있었던 것으로 보이므로, 위와 같은 보호조치의 미이행과 해킹사고의 발생 사이에 상당인과관계가 인정되지 아니하여 甲 회사의 손해배상책임이 인정되지 않는다고 한 사례.<br/>