2024년 개인정보 분쟁조정 사례집이 개인정보분쟁조정위원회 홈페이지에 얼마 전에 공개되었다. 저명한 분쟁조정 위원님들이 개인정보 관련 분쟁사안을 어떻게 판단하는지 참고하고 법적 해석에 참고할 목적으로 매년 공개되는 분쟁조정 사례집을 읽어보고 있다.
개인정보분쟁조정위원회
www.kopico.go.kr
개인적으로 참고할 만한 내용을 정리해 보면 다음과 같다.
1. 정보주체의 의사에 따라 공개된 개인정보를 이용할 때 정보주체의 동의 없이 영리목적으로 개인정보를 이용할 경우 정보처리자에게 영리 목적이 있었다는 사실만으로 개인정보 처리가 위법하다고 볼 수 없고 아래 기준 들을 고려해 개인정보 이용이 동의가 있었다고 인정되는 범위 내인지를 판단해야 함(24페이지)
- 개인정보의 성격
- 공개의 형태와 대상 범위
- 정보주체의 공개 의도 내지 목적
- 정보처리자의 정보제공 등 처리의 형태
- 개인정보이용으로 인해 공개 대상 범위가 원래의 것과 달라졌는지
- 개인정보이용이 정보주체의 원래의 공개 목적과 상당한 관련성이 있는지
> 예전 로앤비 관련 판결(2014다235080)의 내용과 같지만 오랜만에 다시 상기할 겸 적어본다.
2. 여론 조사를 위한 용역 계약을 체결한 적은 있지만 위탁자가 수탁자에게 개인정보를 제공하지 않고 수탁자로부터 개인정보를 제공 받지 않은 사안에서, 수탁자가 임의걸기 방식(RDD, Random Digit Dialing)으로 개인정보를 처리한 경우 위탁자가 아닌 수탁자를 개인정보처리자로 본 사례(27페이지)
> 개인정보 처리위탁 관점에서 위탁자가 아닌 수탁자가 개인정보처리자가 되는 경우가 있을 수 있는지 개인적으론 의문이 듬
3. 손해보험업을 영위하는 보험회사에서 보험상품 가입자인 정보주체의 보험금 청구 요청이 있어 동의없이 전 직장에 전화를 하여 현황조사를 한 경우를 보험금 지급과 관련 계약을 이행하기 위해 사실관계를 확인할 의무가 있어 개인정보 보호법 제15조를 위반했다고 보지 않은 사례(29페이지)
4. 보험업법 시행령에 민감정보(건강정보) 처리에 대한 근거가 포함되어 있음(32페이지)
| 제102조(민감정보 및 고유식별정보의 처리) ⑤ 보험회사는 다음 각 호의 사무를 수행하기 위하여 필요한 범위로 한정하여 해당 각 호의 구분에 따라 「개인정보 보호법」 제23조에 따른 민감정보 중 건강에 관한 정보(이하 이 항에서 “건강정보”라 한다)나 같은 법 시행령 제19조에 따른 주민등록번호, 여권번호, 운전면허의 면허번호 또는 외국인등록번호(이하 이 항에서 “고유식별정보”라 한다)가 포함된 자료를 처리할 수 있다. 1. 「상법」 제639조에 따른 타인을 위한 보험계약의 체결, 유지ㆍ관리, 보험금의 지급 등에 관한 사무: 피보험자에 관한 건강정보 또는 고유식별정보 2. 「상법」 제719조(「상법」 제726조에서 준용하는 재보험계약을 포함한다) 및 제726조의2에 따라 제3자에게 배상할 책임을 이행하기 위한 사무: 제3자에 관한 건강정보 또는 고유식별정보 4. 「상법」 제735조의3에 따른 단체보험계약의 체결, 유지ㆍ관리, 보험금지급 등에 관한 사무: 피보험자에 관한 건강정보 또는 고유식별정보 |
5. 개인정보 보호법 제15조 제1항 제4호의 계약의 이행이란 주된 의무의 이행뿐만 아니라 주된 의무를 이행하기 위한 부수의무(경품배달, 포인트 관리, 애프터서비스 의무 등) 이행도 포함된다고 할 수 있다.(35페이지)
6. 물품구매 시 부여되는 주문번호는 그 자체로는 특정 개인을 알아볼 수 없더라도 판매자에게 제공되는 경우 회원가입된 특정 개인이 주문하는 상품에 고유하게 생성되어 귀속되며 이름, 아이디, 휴대전화번호, 상품 구매정보, 결제수단, 주소 등이 포함되어 있어 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 개인정보에 해당(64페이지)
> 간혹 주문번호도 개인정보가 맞냐는 질문이 오곤하는데 근거로 제시하기에 적합해보임
7. 개인정보가 기재된 인사기록카드는 신청인의 학력, 자격사항, 경력사항이 포함되어 있어 근로기준법 시행령 제22조 제1항의 임금계산의 기초에 관한 서류 내지 고용에 관한 서류에 해당하는 것으로 볼 수 있고 퇴직한 날을 기준으로 3년간 보존이 필요함(80페이지)
| 근로기준법 제42조(계약 서류의 보존) 사용자는 근로자 명부와 대통령령으로 정하는 근로계약에 관한 중요한 서류를 3년간 보존하여야 한다. 동법 시행령 제22조(보존 대상 서류 등) ①법 제42조에서 “대통령령으로 정하는 근로계약에 관한 중요한 서류”란 다음 각 호의 서류를 말한다. 3. 임금의 결정ㆍ지급방법과 임금계산의 기초에 관한 서류 4. 고용ㆍ해고ㆍ퇴직에 관한 서류 |
8. 수사기관에서 개인정보 보호법 제18조 제2항 제7호(범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우)를 근거로 공공기관에 개인정보를 요청할 경우 아래 내용 들을 고려해야 함(97페이지)
- 영장에 의하지 않는 경우에는 피의자가 죄를 범하였다고 의심할 만한 정황이 있고 해당 사건과 관계가 있다고 인정할 수 있는 경우에 한해 극히 제한적으로 개인정보를 제공해야 할 것이며
- 범죄의 형태나 경중, 정보주체가 받을 불이익의 정도 등 제반사정을 종합적으로 고려해 개인정보 이용 없이는 수사의 목적을 달성할 수 없는 경우에 한하여 극히 제한적으로 개인정보를 제공해야 함
즉, 범죄의 형태나 경중, 정보주체가 받을 불이익의 정도, 민원인의 정보보호 등 제반사정에 대한 구체적인 판단이 필요함
> 공공기관이 수사기관의 요청이라고 무턱대고 개인정보를 제공할 경우 개인정보 보호법 위반에 해당할 수 있다는 내용
9. 이용자의 계정을 임의 탈퇴처리한 것과 관련해서는 개인정보보호법의 소관 사항에 속한다고 보기 어렵고 계약상 의무 위반에 관한 사항에 해당(개인정보 보호법은 개인정보를 파기하지 않을 의무에 관한 사항에 대하여는 규정이 존재하지 않음)(108페이지)
10. 통신이용자정보 제공을 한 경우 제공 사실, 정보제공요청서 등을 1년간 보존해야 하는 의무가 전기통신사업법 시행령에 규정되어 있음(112페이지)
| 제53조(통신비밀의 보호) ① 전기통신사업자는 법 제83조제5항에 따른 통신이용자정보 제공대장을 1년간 보존하여야 한다. |
11. (같은 아파트 입주민 모임이라는 전제하에) 아파트의 동/호수를 개인정보로 간주(117페이지)
12. 필요한 최소한의 개인정보를 판단하는 기준(121페이지)
- 해당 개인정보가 없으면 법률상 의무의 준수, 소관업무 수행, 정보주체와 체결한 계약의 이행 등이 현저히 곤란하거나 불가능한 경우
13. 예약제 카페 운영 시 입장하는 고객으로부터 신분증을 받아 확인함으로써 예약자 본인여부를 판단한 사례에서, 예약 티켓 양도 차단, 카페 공간활용도를 높이고 시설안전 및 질서유지, 입장객 편의 도모 목적의 개인정보 처리를 개인정보 보호법 위반으로 보지 않음(121페이지)
>신분증 내 개인정보를 저장하지 않고 육안으로 확인 후 다시 돌려줬기 때문으로 판단
14. 특정 IP의 반복 로그인 시도가 초당 29건 이하인 경우를 악의적인 행위로 판시한 바가 있다고 함(176페이지)
> 2019누43964 판결 (이스트소프트 2심)
15. 고객센터에 전화해 자신의 휴대전화번호로 문자가 수신된 사유에 대해 문의한 것만으로도 개인정보 열람을 요구한 것으로 볼 수 있음(186페이지)
16. 타인이 정보주체의 개인정보를 등록한 경우에서 정보주체가 개인정보 삭제 요구를 한다면 이에 응하는게 타당함(187페이지)
17. 데이터 보존 근거가 될 수 있는 다양한 법률이 있음(186페이지)
| 자본시장과 금융투자업에 관한 법률 제60조(자료의 기록ㆍ유지) ① 금융투자업자는 금융투자업 영위와 관련한 자료를 대통령령으로 정하는 자료의 종류별로 대통령령으로 정하는 기간 동안 기록ㆍ유지하여야 한다. 동법 시행령 제62조(자료의 기록ㆍ유지) ① 금융투자업자는 법 제60조제1항에 따라 다음 각 호의 자료를 다음 각 호의 기간 동안 기록ㆍ유지하여야 한다. 다만, 금융위원회는 투자자 보호를 해칠 염려가 없는 경우에는 그 기간을 단축하여 고시할 수 있다 1. 영업에 관한 자료 가. 투자권유 관련 자료: 10년 나. 주문기록, 매매명세 등 투자자의 금융투자상품의 매매, 그 밖의 거래 관련 자료 및 다자간매매체결회사의 다자간매매체결업무(법 제8조의2제5항 각 호 외의 부분에 따른 다자간매매체결업무를 말한다. 이하 같다) 관련 자료: 10년 다. 집합투자재산, 투자일임재산, 신탁재산 등 투자자재산의 운용 관련 자료: 10년 라. 매매계좌 설정ㆍ약정 등 투자자와 체결한 계약 관련 자료: 10년 마. 업무위탁 관련 자료: 5년 바. 부수업무 관련 자료: 5년 사. 그 밖의 영업 관련 자료: 5년 2. 재무에 관한 자료: 10년 3. 업무에 관한 자료 가. 주주총회 또는 이사회 결의 관련 자료: 10년 나. 법 제161조에 따른 주요사항보고서(이하 “주요사항보고서”라 한다)에 기재하여야 하는 사항에 관한 자료: 5년 다. 고유재산 운용 관련 자료: 3년 라. 자산구입ㆍ처분 등, 그 밖의 업무에 관한 자료: 3년 4. 내부통제에 관한 자료 가. 내부통제기준, 위험관리 등 준법감시 관련 자료: 5년 나. 임원ㆍ대주주ㆍ전문인력의 자격, 이해관계자 등과의 거래내역 관련 자료: 5년 다. 그 밖의 내부통제 관련 자료: 3년 5. 그 밖에 법령에서 작성ㆍ비치하도록 되어 있는 장부ㆍ서류: 해당 법령에서 정하는 기간(해당 법령에서 정한 기간이 없는 경우에는 제1호부터 제4호까지의 보존기간을 고려하여 금융위원회가 정하여 고시하는 기간을 말한다) |
| 금융소비자 보호에 관한 법률 제28조(자료의 기록 및 유지ㆍ관리 등) ① 금융상품판매업자등은 금융상품판매업등의 업무와 관련한 자료로서 대통령령으로 정하는 자료를 기록하여야 하며, 자료의 종류별로 대통령령으로 정하는 기간 동안 유지ㆍ관리하여야 한다. 동법 시행령 제26조(자료의 기록 및 유지ㆍ관리 등) ① 법 제28조제1항에서 “대통령령으로 정하는 자료”란 다음 각 호의 자료를 말한다. 1. 계약체결에 관한 자료 2. 계약의 이행에 관한 자료 3. 금융상품등에 관한 광고 자료 4. 금융소비자의 권리행사에 관한 다음 각 목의 자료 가. 법 제28조제4항 후단 및 제5항에 따른 금융소비자의 자료 열람 연기ㆍ제한 및 거절에 관한 자료 나. 법 제46조에 따른 청약의 철회에 관한 자료 다. 법 제47조에 따른 위법계약의 해지에 관한 자료 5. 내부통제기준의 제정 및 운영 등에 관한 자료 6. 업무 위탁에 관한 자료 7. 제1호부터 제6호까지의 자료에 준하는 것으로서 금융위원회가 정하여 고시하는 자료 ② 법 제28조제1항에서 “대통령령으로 정하는 기간”이란 10년을 말한다. 다만, 다음 각 호의 자료는 해당 호에서 정하는 기간으로 한다. 1. 제1항제1호 및 제2호의 자료: 다음 각 목의 구분에 따른 기간 가. 보장기간이 10년을 초과하는 보장성 상품의 경우: 해당 보장성 상품의 보장기간 나. 계약기간이 10년을 초과하는 금융상품의 경우: 해당 금융상품의 계약기간 2. 제1항제5호의 자료: 5년 이내의 범위에서 금융위원회가 정하여 고시하는 기간 3. 제1항제7호의 자료: 10년 이내의 범위에서 금융위원회가 정하여 고시하는 기간 |
| 상법 제33조(상업장부등의 보존) ①상인은 10년간 상업장부와 영업에 관한 중요서류를 보존하여야 한다. 다만, 전표 또는 이와 유사한 서류는 5년간 이를 보존하여야 한다. |
| 특정 금융거래정보의 보고 및 이용 등에 관한 법률 제5조의4(금융회사등의 금융거래등 정보의 보유기간 등) ① 금융회사등은 제4조, 제4조의2, 제5조의2 및 제5조의3에 따른 의무이행(이하 이 조에서 “의무이행”이라 한다)과 관련된 다음 각 호의 자료 및 정보를 금융거래등의 관계가 종료한 때부터 5년간 보존하여야 한다. 1. 제4조 및 제4조의2에 따른 보고와 관련된 다음 각 목의 자료 가. 금융거래등 상대방의 실지명의(實地名義)를 확인할 수 있는 자료 나. 보고 대상이 된 금융거래등 자료 다. 금융회사등이 제4조제3항에 따라 의심되는 합당한 근거를 기록한 자료 2. 제5조의2제1항 각 호에 따른 고객확인자료 3. 제5조의3제1항 각 호에 따른 송금인 및 수취인에 관한 정보 4. 그 밖에 의무이행과 관련하여 금융정보분석원장이 정하여 고시하는 자료 |
18. 개인정보 침해를 받았을 경우 분쟁조정 외 다른 피해구제 수단(256페이지)
| 분쟁조정 신청/요구 유형 | 소관 기관 | 연락처 등 |
| 개인정보 법령해석(유권해석) | 개인정보보호위원회 (법령해석지원센터) |
(02)2100-3043 |
| 개인정보 침해에 대한 조사·처분, 해킹·피싱 신고 및 처벌 |
한국인터넷진흥원 (KISA) |
118 |
| 물품 구매·이용, 용역·서비스 피해사례 | 한국소비자원 (소비자분쟁조정위원회) |
1372 |
| 콘텐츠(영화, 음악, 게임, 출판, 영상물 등) 관련 분쟁 | 문화체육관광부 (콘텐츠 분쟁조정위원회) |
1588-2594 |
| 사업자간 불공정거래, 가맹사업, 약관·대리점 분쟁 | 공정거래위원회 (한국공정거래 조정원) |
1588-1490 |
| 신용·금융정보 침해 및 피해사례 신고 | 금융감독원 (금융분쟁조정위원회) |
1332 |
| 정보통신망 피해구제 (명예훼손, 사생활침해 등) |
방송통신심의위원회 (명예훼손분쟁조정) |
1377 |
| 이동통신 서비스, 단말장치 관련 해결 등 | 한국정보통신진흥협회 (이용자보호센터) |
(02)580-0752 |
| 전기통신사업 관련 분쟁 (명의도용) | 방송통신위원회 (통신민원조정센터) |
(080)8472-119 |
| 전기통신사업 관련 분쟁 (이동통신, 단말기 등) |
방송통신위원회 (통신분쟁조정위원회) |
142-246 |
| 주택임대차 계약 관련 분쟁 | 대한법률구조공단 (주택임대차 분쟁조정위원회) |
(054)810-0132 |
| 건축물의 내력구조물, 시설물 관련 분쟁 | 한국시설안전공단 (하자심사 분쟁조정위원회) |
(031)910-4200 |
| 공동주택 입대회의 및 관리기구 구성, 층간소음 분쟁 | 국토교통부 (중앙 공동주택 분쟁조정위원회) |
(031)738-3300 |
| 인터넷 사기, 불법사이트 등에 대한 형사처벌 요구 | 경찰청 (사이버안전국 or 시군구 경찰서) |
182 |
| 인터넷 사기 등 개인정보 침해에 대한 민·형사소송 제기 |
대검찰청 사이버수사과 |
1301 |
출처: 2024년 개인정보 분쟁조정 사례집 256-257 페이지