20111117 개인정보 판례분석_구태언_최종
DESCRIPTION
S통신사의 동의 없는 위수탁(텔레마케팅)에 대해 법원이 20만원의 손해배상을 선고한 판결을 분석합니다.TRANSCRIPT
2 l
차 례
판결 분석
침해사고 유형별 기업의 책임
Q&A
3 l
S 통신사 관련 2008 가합 74807 호 손해배상 ( 기 ) 판결
4 l
당 사 자1. 원고 : 9,763 명 2. 피고 : S 통신사주 문
1. 피고는 , 별지 원고 목록 2 내지 5 기재 원고들에게 각 200,000 원 , 별지 원고 목록 6 기재 원고들에게 각 100,000 원 및 위 각 금원에 대하여 2008. 8. 6. 부터 2011. 9. 30. 까지는 연 5%, 그 다음날부터 다 갚는 날까지는 연 20% 의 각 비율에 의한 금원을 각 지급하라 .
2. 별지 원고 목록 1, 7 기재 원고들의 각 청구 및 별지 원고 목록 2 내지 6 기재 원고들의 나머지 청구를 각 기각한다 .
3. 소송비용 중 별지 원고 목록 2 내지 6 기재 원고들과 피고 사이에 생긴 부분의 4/5 는 별지 원고 목록 2 내지 6 기재 원고들이 , 나머지는 피고가 , 별지 원고 목록 1, 7 기재 원고들과 피고 사이에 생긴 부분은 별지 원고 목록 1, 7 기재 원고들이 각 부담한다 .
4. 제 1 항은 가집행할 수 있다 .
청 구 취 지피고는 원고들에게 각 1,000,000 원 및 이 사건 소장 부본 송달일 다음날부터 다 갚는 날까지 연 20% 의 비율에 의한 금원을 지급하라 .
5 l
원고들은 2007. 12. 31. 이전까지 피고와 사이에 피고가 구축한 초고속 인터넷 서비스 이용계약 체결피고는 2005 년경 텔레마케팅 종합시스템 및 개인정보처리시스템 구축
그 무렵부터 자사의 기타 서비스 (IPTV, 전화 ), 부가서비스 ( 홈닥터 , PC 세이퍼 , 노턴플러스 ) 의 가입 유치 목적으로 전화권유판매사업자들과 ‘영업업무 위탁계약’ 체결후 고객들의 이름 , 전화번호 , 주민번호 중 생년월일 , 뒷자리 중 첫번째 숫자 , 주소 제공2006. 9. 28. S 은행과 ‘업무제휴’ 계약 체결 - 초고속 인터넷서비스에 가입된 고객들 중 추가적으로 IPTV, 전화서비스에 가입하는 고객에게 ‘신용카드’를 발급해 주는 내용그 무렵 전화권유판매사업자와 ‘고객관리업무 위탁 및 제휴 프로그램 운영관리 대행 협약’ 체결 - 초고속 인터넷 서비스 고객을 대상으로 전화권유판매를 하여 IPTV 또는 위 신용카드를 모집하는 내용2006. 1. 1. 부터 2007. 12. 31. 까지 영업업무 위탁계약에 따른 수탁업체들에게 총 515,206 명 개인정보 제공
6 l
【 행 위 사 실 】가 . 이용자 동의 없는 개인정보 취급 위탁 및 개인정보의 목적 외 이용
2007. 7. 27. 부터 2008. 4. 말까지 신규가입자 435,562 명에 대한 총 1,273,076 건의 TM 중 고객의 동의 없이 또는 동의 전에 고객정보를 ( 주 )○○ 네트웍 등 위탁업체에 제공하여 227,996 건의 초고속인터넷 등 서비스가입유치 TM 을 실시하게 한 사실을 확인 .
2006. 1. 1.~ 2008. 4. 까지 고객정보를 활용하여 TM 을 실시한 400 개 업체 중 TM 총량 상위 189개 업체에 대해 계약현황 및 개인정보취급방침상 고지 여부를 조사한 결과 , 8 개사에 대한 업무위탁계약서가 없고 , 75 개사가 위탁계약 체결 이전에 TM 을 발송하였으며 , 33 개사의 개인정보취급방침상 고지 이력이 없음을 확인 .
나 . 개인정보의 목적 외 이용 1) 해지자 개인정보의 목적 외 이용
완전해지자의 개인정보 121,816 건을 해지 완료 시점 이후에 TM 업체에 제공하여 마케팅에 활용한 사실을 확인 .
2) 가입자 개인정보의 동의 받은 목적 외 이용자사의 정보통신서비스 역무 제공과는 무관한 제휴카드 TM 업무를 위해 인터넷상 개인정보취급방침 중 개인정보 수집 및 활용 목적 , 업체명 등을 고지하고 , 고객의 개인정보를 조회할 수 있는 캠페인시스템을 통해 2006. 9 .30.~ 2007. 7. 31. 까지 예드림에 총 515,206 건의 고객정보를 제공한 사실을 확인 .
7 l
3) 개인정보 활용 동의 철회자의 개인정보 목적 외 이용다 . 해지자의 개인정보 파기의무 위반
▫ 완전 해지자에 대한 개인정보 파기 의무 준수 여부를 확인하기 위해 해지건수 297,111 건을 추출 ․ 확인한 결과 , 완전 해지자 개인정보 20,640 건이 파기되지 않고 2008. 5. 14. 현재 조회됨을 확인 .
마 . 개인정보의 기술적 ․ 관리적 보호조치 의무 위반 ▫ 피고는 자사의 개인정보시스템에 대한 접근 권한을 서비스 제공을 위해 필요 최소한의 인원에게만 부여하여야 하나 , 본사 및 자사 직원에게 개인정보 취급업무의 구분 없이 일괄적으로 개인정보처리시스템 계정 16,067 개를 (2008. 5. 7. 기준 ) ․ 부여함 .
▫ 열람 권한이 없는 자에게 개인정보가 공개되지 않도록 개인정보 취급자의 PC 에 공유설정 및 P2P 프로그램 설치를 제한하여야 하나 , 임의 선정한 6 대의 개인정보취급자 PC 중 1 대에서 P2P 프로그램 ( 소리바다 ) 의 삭제 기록이 확인 .
▫ 피고의 개인정보시스템에 저장된 개인정보 값들을 유통망 등 외부 업체에 송 ․ 수신할 경우 암호화하지 않고 전송 . 일부 해지자 정보를 별도 DB 로 분리하여 관리하지 않고 , 개인정보 취급자 및 유통망 상담원 등이 해지자 정보를 조회할 수 있도록 기존 가입고객 DB 에 통합하여 관리하고 있는 사실을 확인 .
-> 40 일간 신규가입자 모집업무 정지 , 3,000 만원 과태료 부과 , 업무처리절차 개선 ( 일괄 동의 -> 개별 동의 , 계약 체결과 개인정보 이용 동의 분리 ) 시정명령
8 l
전화권유판매업자에게 515,206 명의 개인정보를 제공한 점이 전자상거래 등에서의 소비자 보호에 관한 법률 제 11 조 제 2 항에서 정하고 있는 ‘ 소비자에 관한 정보가 도용되어 당해 소비자가 재산상 손해가 발생하였거나 발생할 우려가 있는 특별한 사유가 있는 경우’ 에 해당
피고는 같은 법 시행령 제 12 조에 따라 본인 확인이나 피해의 회복 등 필요한 조치를 취하여야 함에도 개인정보의 도용 여부의 확인을 구하는 고객에게 “ 양해의 말씀” 또는 “정확한 내역을 파악하고 있는 중” 등 답변만을 한 채 소정의 조치를 취하지 않음
피고에게 ‘ 자신이 보유한 소비자의 개인정보를 위 업자에게 제공함으로서 개인정보가 도용된 소비자에게 본인 확인이나 피해의 회복 등의 필요한 조치를 취하여야 한다’ 고 시정명령
피고는 서울고등법원에 시정명령 취소 소송 (2008누 26918) -> 2009. 7. 1. 피고 청구 기각 판결 -> 대법원에 상고 (2009두 12549) -> 2009. 11. 12. 피고의 상고 기각 판결
-> 공정거래위원회에 민원을 제기할 경우에 본인 확인 조치 가능
9 l
공소사실 정보통신서비스제공자는 개인정보의 수집 , 이용 목적 등에 관하여 미리 고지한 사항의 범위 또는
정보통신서비스 약관에 명시한 범위를 넘어 이용하거나 제 3 자에게 제공하여서는 아니됨에도 전화권유판매업자에게 515,206 명의 개인정보를 서비스 이용자들의 동의를 받지 아니한 채 미리 고지한 이용 목적의 범위를 넘어서 이용하고 ( 목적 외 이용 )
제 3 자인 위 업자에게 이를 제공하였다 ( 제 3 자 제공 )
2010. 7. 15. 1 심 무죄 선고 ( 서울중앙지방법원 2009 고단 1864 호 ) 2011. 1. 27. 항소심 유죄 선고 ( 목적 외 이용 부분 )
S 통신사 – 벌금 1,500 만원 부사장 – 벌금 500 만원 제 3 자 제공 부분은 위 업자가 제 3 자가 아니라 정보통신망법 제 25 조 제 1 항에서 정한 취급위탁에
해당한다며 1심과 마찬가지로 무죄로 판시 -> 2008. 12. 14. 개정 정보통신망법은 동의 없는 위탁도 형사처벌로 개정
10 l
원고 피고는 원고들로부터 개인정보의 수집 및 이용에 관한 동의를 받지 아니한 채 원고들로부터 수집한
개인정보를 무단으로 제 3 자에게 제공하였는 바 , 이러한 피고의 행위는 원고들의 개인정보자기결정권을 침해한 것이므로 ,
피고는 원고들에게 그 손해를 배상할 의무가 있다 .
피고 피고는 원고들로부터 개인정보 수집 , 이용에 관한 적법한 동의를 받았다 . 피고의 전화권유판매사업자 등에 대한 개인정보 제공은 정보통신망법에서 정한 ‘ 제 3 자 제공’ 이 아니라 ‘ 취급위탁’ 에 해당하는 것으로서 피고는 법이 정한 바에 따라 원고들에게 고지 및 동의 절차를 모두 거쳤다 .
피고는 개인정보를 수집․이용할 당시 원고들에게 고지하고 동의를 받은 수집․이용 목적 범위 내에서 원고들의 개인정보를 제공⋅활용하였다 . 설령 피고의 행위가 정보통신망법을 위반한 것이라고 하더라도 이로 인하여 원고들의 개인정보자기결정권이 침해되었다고 볼 수 없고 , 원고들에게 현실적인 손해가 발생하지도 않았다 .
11 l
쟁점 1
• 서비스이용계약서의 보존의 중요성 ( 보존이 안될 경우 동의 부존재 간주 )
• 계약서와 별도로 개인정보 수집 , 이용 , 제공 동의를 적절하게 받을 것 ( 본인과 관계
표시 )
• 피고가 원고들로부터 개인정보의 수집 및 이용에 관한 유효한 동의를 받았고 , 그 동의
범위 내에서 개인정보를 이용 , 제공하였다는 점에 관한 입증책임은 1) 원고들로서는
유효한 동의가 없었다는 사실을 입증하기 어려운 점 , 2) 개인정보의 이용 , 제공에
있어서 고의 , 과실의 입증책임 전환 규정 ( 정보통신망법 제 32 조 ) 에 비추어 피고에게
있다 .
• 피고는 서비스개통확인과 개인정보 수집 , 이용에 관한 동의 서명을 함께 받고 있다 .
이는 유효한 동의라고 보기 어렵다 .
• 별지 2목록 기재 원고들에 대해서는 동의서 ( 초고속 인터넷 이용 계약서 ) 가 없거나 ,
본인의 서명으로 인정하기 어렵다 .
피고는 원고들로부터 개인정보 수집 , 이용에 관한 적법한 동의를 받았다 . 피 고주 장피 고주 장
판 단판 단
교 훈교 훈
12 l
쟁점 2
• 수탁자가 많고 빈번하게 교체되는 사업자의 경우에 개인정보취급방침에 그 변경이
제대로 반영되도록 IT 시스템을 구축함이 중요 .
• 취급위탁은 정보통신서비스제공자자신의 업무와 직 , 간접적으로 관련된 업무의
일부에 관해 개인정보를 타인에게 제공하는 것 • 제 3자 제공은 정보통신서비스 제공자 자신의 업무와 직 , 간접적으로 관련이 없는
사항에 관해 개인정보를 타인에게 제공하는 것• 본건은 1) 자사 서비스 가입 홍보 목적 , 2) 자사의 부가서비스 가입 홍보 목적 , 3)
신용카드도 피고의 상품이나 고객의 혜택에 관한 내용도 포함되어 있으므로 ‘취급 위탁’
• 개인정보취급방침에 기재되지 않는 수탁자에게도 원고들의 정보를 제공한 사실이
인정되므로 , 이는 동의 없는 취급위탁에 해당하여 피고는 원고들의 권리 침해
전화권유판매업자는 제 3자가 아니라 취급위탁이다 .피 고주 장피 고주 장
판 단판 단
교 훈교 훈
13 l
No 일시 이용 단계 침해 유형 분쟁 조정 결정례
1 2006
이동통신회사가 증권조회서비스를 제공하는 부가서비스업체 (CP 업체 ) 에게 당해 업체에 대한 민원해결을 위하여 고객의 정보를 제공함
가입 당시 고객에게 제휴관계 /위탁처리를 위하여 개인정보를 제공할 수 있다는 포괄적 고지는 있었음
적법한 고지 · 동의 없는 제 3자 제공임
위자료 100 만원 지급 결정
2 2005
인터넷쇼핑몰업체가 고객들에게 이메일로 사전 동의를 구한 후 리서치 회사에 의뢰하여 설문조사
설문 조사의 안내 및 동의를 구하는 전자우편을 받지 못한 회원임에도 개인정보가 제공됨
동의 없는 제 3자 제공에 해당함 위자료로 30 만원 지급 결정
3 2002
인터넷쇼핑몰운영자가 자신이 배포한 S/W 로 인해 컴퓨터에 이상이 생긴 고객의 항의를 해결 하고자 해당 S/W 제작업체에 고객정보를 제공함
제작업체가 고객에게 원인설명 · 치료 · 사과 등의 조치를 취하려고 연락을 취함
동의 없는 제 3자 제공에 해당함 위자료 20 만원 지급 결정
14 l
No 일시 이용 단계 침해 유형 분쟁 조정 결정례
1 2004
초고속인터넷 사업자가 PC 정비 및 보안과 관련된 부가서비스 위탁사실을 고지하지 아니하고 고객의 개인정보를 부가서비스업체에 제공함
사업자의 웹사이트에도 “제휴업체가 부가 서비스를 제공한다”는 내용만 명시되어 있음
제공업체 , 제공 목적 등과 관련한 명시적 사전 고지 및 동의 없었음
개인정보 제공자 ( 통신사업자 ) 의 사무 처리를 위한 경우로 제 3자제공이 아닌 개인정보처리위탁임
부가서비스를 위탁하여 처리하고자 하는 경우 최소한 수탁자 , 수탁관계 등을 이용자에게 고지하여야 함
2
2006
케이블방송사업자가 인터넷 통신서비스를 제공하는 자회사에 고객정보를 제공 , 자회사가 TM 실시
제공업체 , 제공 목적 등과 관련한 명시적 사전 고지 및 동의 없었음 ( 포괄적 문구로 고지 )
개인정보취급위탁이 아닌 제 3자 제공에 해당함
2004
온라인 보험판매 대행업자가 생명보험사에 고객 정보를 제공 , 보험사가 TM 실시
제공업체 , 제공 목적 등과 관련한 명시적 사전 고지 및 동의 없었음 ( 포괄적 문구로 고지 )
15 l
쟁점 3
• 개인정보보호 법령상 규정에 위반한 행위는 정보주체의 권리를 침해한다 .
• 정보통신기술이 발달하면서 개인정보의 수집과 이용이 활발하게 이루어지고 있고 ,
개인정보의 수집 및 활용이 사회적 비용을 감소시킬 수 있는 긍정적인 역할 역시
분명하게 존재하며 , 제 3자의 기본권과 충돌할 경우 등과 같이 개인정보자기결정권을
제한할 필요성이 있는 때에는 정보의 종류․성격․수집목적․이용형태 등에 따라 제 3자의
기본권과 비교형량하여 그 보호의 범위를 결정하여야 할 것이기는 하나 ,
• 원고들의 개인정보가 공적인 성격을 가진다고 볼 수 없고 , 피고는 원고들의 동의를
얻지 아니한 채 또는 동의를 받은 범위 외의 수탁자에게 원고들의 개인정보를
제공함으로써 정보의 공개 및 이용을 스스로 결정하고 통제하는 것을 내용으로 하는
개인정보자기결정권의 본질적인 내용을 침해하였다 .
원고들의 개인정보를 취급위탁한 경위 , 개인정보자기결정권이 여전히 그 내용 등에 있어서
생성과정에 있는 권리로서 그 권리에 대한 보호범위가 명백하지 않은 점 , 원고들의
개인정보자기결정권 역시 타인의 권리와 관련하여 제한될 수 있는 점 등을 고려할 때 본건
위탁으로 원고들의 개인정보자기결정권이 침해되지 않았다 .
피 고주 장피 고주 장
판 단판 단
교 훈교 훈
16 l
쟁점 4
• 대 고객 커뮤니케이션 , 수탁자 관리 ( 접근통제 ), 적절한 위수탁 체결 등의 중요성
• 아래 3가지 측면에서 경험칙상 손해발생 인정 및 피고도 예측 가능• 개인정보 수집 , 이용 경위 - 방통위로부터 행정제재를 받기 전까지 고객들에게
개인정보 수집 , 이용 동의에 관한 제대로 된 고지나 설명을 하지 않음• 피고가 활용한 개인정보의 성격 – 개인식별정보로서 전화사기가 빈번한 현실• 개인정보 관리 현황 및 유출 위험 – 수탁자들에게 출력 , 복사 제한 및 기간 제한을
부과하였으나 유출가능성 있고 , 본사 및 자사 직원에게 16,000 개가 넘는 계정
부여 , 비암호화• 개인정보의 활용 범위 및 빈도 – 다수의 수탁자와 영업업무 위탁계약 및 제공으로
제 3자가 개인정보 도용 위험
동의 없는 위탁 만으로는 손해 발생이 없다 .피 고주 장피 고주 장
판 단판 단
교 훈교 훈
17 l
쟁점 5
• 목적 , 사업자의 성격 뿐만 아니라 업무 처리 및 개인정보 관리 실태와 함께 사후
고객조치도 위자료 산정에 반영됨
• 침해의 태양 및 동기 – 영리적인 목적에서 불법적으로 개인정보 제공• 피고의 지위 – 기간통신사업자로서 고도의 주의의무를 갖고 고객의 개인정보를 수집 ,
취급하여야 하며 , 대량의 개인정보를 수집 /취급함에 따라 상당한 이익을 얻을 수 있는
지위에 있음• 피고의 개인정보 관리 현황 – 일부 수탁자와 업무 위탁계약서 미작성 , 위탁 계약 체결
이전에 고객의 개인정보 사전 제공 , 기술적 /관리적 보호조치 부실 이행• 행위 이후의 사정 – 불법 이용 사실이 드러난 이후에도 고객의 피해 확인 요청에
적극적으로 임하지 않은 점
손해배상의 범위 결정을 위한 피고 측 고려 요소피 고주 장피 고주 장
판 단판 단
교 훈교 훈
18 l
쟁점 6
• 제공된 개인정보가 단순한 식별정보일지라도 중요한 정보로 판단되고 , 수탁자의
다소가 판단에 영향을 미치며 , 추가적 손해 유무도 중요한 요소임
• 침해의 대상 및 식별 가능성 – 제공된 개인정보가 개인들에 대한 식별수단으로서 중요한
정보임 . 주민번호 뒷자리가 제공되지 않은 점은 참작 .
• 침해의 범위 – 피고가 다수의 수탁자들에게 제공 , 피고에 관한 취급위탁 업무 이외의
다른 업무를 처리하는 업체나 개인도 상당수 있음 • 추가적 손해 발생 여부 – 추가적 손해가 발생하였다는 점에 대해서는 자료가 없음
손해배상의 범위 결정을 위한 원고 측 고려 요소피 고주 장피 고주 장
판 단판 단
교 훈교 훈
19 l
법원의 판단
• 제공된 개인정보가 단순한 식별정보일지라도 중요한 정보로 판단되고 , 수탁자의
다소가 판단에 영향을 미치며 , 추가적 손해 유무도 중요한 요소임
• 20 만원 - 위 1, 2 원고들• 10만원 – 위 3 원고들
1) 개인정보 수집 , 이용에 관한 동의를 받지 않은 원고
2) 동의를 받기도 전에 외부에 제공된 원고
3) 새로운 수탁자에게 동의 없이 제공된 원고
손해배상액수
손해배상액수
판 단판 단
교 훈교 훈
20 l
침해사고 유형별 기업의 책임
21 l
업무처리 과정에서 개인정보
침해
• 본사 직원에 의한 침해• 수집 , 이용 , 제공 , 파기 , 보존 단계별 관련 법규 위반시
• 수탁업체에 의한 침해• 본사를 위해 개인정보를 처리하는 과정에서 관련 법규 위반시
기업의책임
• 민사 책임• 사용자 책임 – 본사 직원 및 수탁업체 직원 포함 ( 정통망법 25 조 5항 )• 입증책임의 전환 ( 정통망법 32 조 ) – 기업이 고의 /과실이 없음을 입증해야• 제공받은 제 3자에 의한 침해
- 본사가 적정하게 개인정보를 제공하였는지가 책임 발생의 관건
• 형사 책임• 고의에 의한 행위자는 행위책임으로서 본인이 형사처벌을 받게 됨• 법률의 부지는 정당한 변명이 되지 않음• 입건 대상자는 기업의 개인정보 담당 임직원 ( 개인정보관리책임자로 지정된
사람에 국한되지 않음 )• 기술적 /관리적 보호조치 위반에 의한 침해로 평가될 경우 “부작위”가 처벌되는
결과
22 l
• 외부자에 의한 해킹• 기업의 기술적 /관리적 보호조치 위반이 있었는지 여부가 책임 성립의
관건• 공동불법행위에 따른 민사책임 및 기술적 /관리적 보호조치 위반으로
인한 형사책임 성립 가능
내부자에 의한 해킹
기업의책임
• 개인정보취급자에 의한 해킹• 본사 직원 및 수탁업체 직원 여부 불문• 기업은 사용자 책임 및 형사책임 발생• 민사책임에 있어서 사용자 책임의 전환으로 기업이 승소하기 곤란• 형사책임에 있어서 기술적 /관리적 보호조치 위반으로 평가받아
개인정보보호 담당 임직원이 형사처벌 가능성이 높음
• 개인정보취급자가 아닌 자에 의한 해킹• 평소 개인정보에 대한 접근권한이 없는 자에 의한 침해• 민사책임에 있어서 사용자 책임이 인정될 가능성이 아주 높음• 형사책임에 있어서 기술적 /관리적 보호조치 위반으로 평가받을 가능성이 아주 높음
23 l
개인정보관리책임자
개인정보관리책임자
• 해당 위반행위를 알고 결정했다고 평가되어 형사책임을 질 소지가 높음
• 개인정보 유출시 암호화 조치 미이행된 경우 형사책임
업무결정에 관여한 경우
업무결정에 관여하지 않은 경우• 원칙적으로는 형사책임을 지지 않음• 사실상 해당 업무처리에 대해 잘 알고 있었거나 , 해당
업무처리를 관리감독할 의무가 있다고 평가되는 경우에는 형사책임 발생 가능
평소 관리감독에 철저했는지 여부• 관리감독의 핵심은 정책수립 , 프로세스 관리 , 교육 및 점검• 개인정보 관련 업무에 대한 위임전결규정 수립 , 사전 검토 및 사후 검토에 대한 원칙 수립 , 주기적인 점검 및 관련 사항에 대한 교육 실시 필요
• 이러한 관리감독을 철저히 하였다면 형사책임이 발생하지 않을 가능성 높음
24 l
*민 , 형사 절차 동시 진행의 가능성
< 형사책임 >• 암호화 의무 등 보호조치 고시 위반 등 일정한 경우 형사책임의 발생• 양벌규정으로 인한 회사의 책임 발생 및 벌금의 부과 1< 민사책임 >• 직원 ( 수탁회사 포함 ) 의 개인정보 침해시 회사의 사용자 책임 발생• 집단 소송 ) 에 따른 거액의 손해배상책임 부담 2• 공정거래위원회의 시정명령 , 한국소비자원의 집단분쟁 조정절차 개시 ,
개인정보분쟁조정위원회의 조정절차 개시 등3
25 l
감사합니다 .
26 l
Q & A