인터넷과 개인정보의 보호¸터넷과_개인정보의_보호(1)(1).pdf · 최근 들어...
TRANSCRIPT
인터넷과 개인정보의 보호
(Inte rnet a nd the Protect io n of Pe rs o na l Info rmat io n)
최정열(Choe, Jeong Yeol)
目 次
I. 들어가는 말
II. 개인정보의 의의와 보호의 법적 근거
1. 개인정보의 의의
2. 개인정보보호의 법적 근거
III. 인터넷을 통한 개인정보의 수집과 활용
1. 개인정보의 수집
(1) 정보주체에 의한 정보제공
(2) 기술적 수단을 이용한 정보의 수집
1) 쿠키
2) 웹버그(Web bu g)
3) 스파이웨어(Sp yw are)
2. 기업의 개인정보의 이용목적
(1) 거래비용의 절감
(2) 고객 확보 및 고객관리
(3) 마케팅에의 활용
(4) 새로운 상품 및 서비스의 개발
(5) 디-마케팅
3. 관련 사례
(1) Dou bleClick 사건
(2) 토이마트 사건
IV. 개인정보의 보호를 위한 외국의 법제
1. 국제기구의 지침
(1) OECD
(2) 유럽연합의 지침
(3) 유엔 지침
2. 입법례
(1) 미국
(2) 독일
(3) 영국
(4) 일본
V. 우리나라의 개인정보 보호 법제
1. 서론
2. 개인정보보호에 관한 법률의 주요 내용
(1) 연혁
(2) 적용대상
(3) 개인정보의 수집
1) 이용자의 동의의 원칙
2) 수집의 제한
(4) 개인정보의 이용 및 이용제공
(5) 개인정보 처리의 위탁 등
(6) 영업의 양수 등의 통지
(7) 개인정보관리책임자
(8) 개인정보의 보안 및 파기
(9) 이용자의 권리
(10) 개인정보분쟁조정위원회
1) 설치 및 구성
2) 조정의 효력 등
(11) 개인정보침해 신고 센터
(12) 위반행위에 대한 처벌
3. 개인정보보호마크제도
(1) 의의
(2) 제도의 내용
4. 현행법률에 대한 평가
(1) 서론
(2) 법체계상의 문제점
(3) 보호대상
(4) 제3자의 수집행위
(5) 기술적 수단에 의한 정보수집
(6) 수집제한 규정의 문제점
(7) 형벌 규정의 문제점
(8) 조정제도의 문제점
(9) 기타 해석상의 문제점
VI. 맺음말
요 약
최근 들어 인터넷 및 전자상거래의 활용이 급속히 확산되면서 인터넷 기업들
에 의하여 수집된 개인정보가 무단으로 거래되거나 부주의하게 제3자에게 유
출되는 등 무분별한 개인정보의 수집과 오·남용 사례가 알려지자 인터넷 이
용자들 사이에 개인정보의 침해에 대한 우려가 확산되어 가고 있으며, 이에 따
라 보다 효과적인 정부 규제를 통하여 인터넷 기업들의 무분별한 개인정보 수
집과 오·남용을 억제할 필요성이 대두되고 있다.
그러나 디지털경제시대에 있어서 고객관계관리라는 기업의 새로운 경영전략
에 의하여 개인에 관한 정보를 이용하는 것은 불가피한 측면이 있으므로 무분
별한 개인정보의 수집과 오·남용으로부터 개인을 보호하는 것 못지 않게 기
업들이 일정한 조건 하에 안심하고 개인정보를 수집하고 활용할 수 있는 기반
을 마련하는 것도 중요하다.
개인정보보호에 관한 국제적인 기준이나 각국의 법제는 동의, 고지, 제3자
이전제한, 개인의 접근 및 정정권 등 그 기본적인 원칙에 있어서 일치하고 있
다. 최근에 개정된 우리나라의 정보통신망이용촉진및정보보호등에관한법률도
이러한 국제적인 기본원칙에 입각하여 인터넷을 이용한 개인정보의 수집과 활
용에 관한 원칙을 규정하고 있으며 그 적용대상을 인터넷 서비스제공자 이외
의 자에 대해서도 확대하고 있어 민간부문에 있어서 정보통신기술을 이용한
개인정보의 처리와 이용을 규율하는 사실상의 일반법으로서 기능을 하리라고
예상된다. 그러나 현행 법률은 일부 규정의 해석상 위헌의 논란이 야기될 염려
가 있는 등 아직은 법률의 내용에 있어서 여러 가지 미흡한 점이 발견된다. 특
히, 개인정보의 오·남용으로 사후적인 구제수단에 관한 규정이 미흡한 것은
현행 법률이 개인정보보호에 관한 일반법으로 기능하기 위해서 반드시 개선되
어야 할 점이다. 또한, 법개정 초기이기는 하지만 아직도 많은 인터넷 서비스
제공자들이 개인정보보호에 관한 법률의 제반규정상의 요건을 충족하지 못하
고 있다는 점도 향후 법집행 당국이 해결해야 할 과제이다.
정보통신망이용촉진및정보보호에관한법률이 개정됨으로써 인터넷에서의 개
인정보보호에 관한 기본적인 정책의 방향은 결정된 것으로 보아야 할 것이다.
따라서 이제는 정부규제니 자율규제니 하는 정책제언에 관한 논의보다는 현재
의 법제를 어떻게 효율적이고 합리적으로 해석·운영할 것인가에 관하여 논의
의 중심이 옮겨져야 할 것이다.
주 제 어l
정보통신망이용촉진및정보보호등에관한법률, 인터넷, 개인정보, 쿠키, 정보보호, 정
보프라이버시, 프라이버시, 인터넷과 개인정보, 사생활, 개인정보보호, 스파이웨어,
개인정보활용
I. 들어가는 말
인터넷이나 컴퓨터 등으로 대변되는 정보통신기술(이른바 IT 기술)의 발달은
각종 정보를 수집·저장하는 능력을 극대화시켰을 뿐 아니라 나아가 온·오프라인
에서 수집된 단편적인 정보들을 서로 연결함으로써 특정 사건이나 개인에 관한 완
전한 정보로 가공하여 활용할 수 있는 기술적인 기반을 제공하고 있다.1)
이른바 닷-컴 기업이라고 호칭되는 인터넷 기업들은 일찍부터 이러한 정보통신기
술을 활용하여 영업의 대상인 인터넷 이용자들에 관한 다양한 정보를 수집·가공하
여 이를 적극적으로 활용하기 시작하였으며 최근에는 닷-컴 기업뿐만 아니라 인터
넷 홈페이지를 운영하는 거의 대부분의 기업들이 인터넷 회원가입이나 맞춤정보 등
을 빌미로 이용자들에 관한 다양한 정보를 수집하여 활용하고 있다.
그런데 최근 들어 인터넷 및 전자상거래의 활용이 급속히 확산되면서 인터넷 기
업들에 의하여 수집된 개인정보가 무단으로 거래되거나 부주의하게 제3자에게 유출
되는 등 무분별한 개인정보의 수집과 오·남용 사례가 알려지자 인터넷 이용자들
사이에 개인정보의 침해에 대한 우려가 확산되어 가고 있으며, 이에 따라 보다 효
과적인 정부 규제를 통하여 인터넷 기업들의 무분별한 개인정보 수집과 오·남용을
억제할 필요성이 대두되고 있다.2)
이와 같은 개인에 관한 정보의 부당한 이용은 개인의 자기정보에 관한 통제권 내
지는 결정권을 부당하게 침해하고 경우에 따라서는 건전한 개인의 인격형성을 저해
하고 개인의 사생활에 대한 부당한 침해를 초래하여 궁극적으로는 인간존엄을 심각
하게 위협할 염려가 있는 것이므로 어떤 형태로든 적절하게 이를 규제할 필요가 있
음은 두말할 필요가 없을 것이다.
1) 컴퓨터와 인터넷의 등장에 따른 개인정보 수집능력의 확대에 관해서는 정재훈, 민간부문에서의 정
보프라이버시보호, 정보법학 제2호 125-126 면, 한편, 전자신문 2000. 12. 4. 자는 'Softexp o 2000' 출
품된 소프트웨어에 관하여 소개하고 있는데 위 기사에 의하면 인공지능 인터넷마켓팅 솔루션 업체
에서 출품한 어떤 제품은 인터넷 이용자의 성별·나이·지역·취미 등 항목별로 인터넷상에서 인
공지능 시스템에 의해 자료를 분류, 개별 고객에게 가장 적합한 정보만을 제공해 개인 이용자의 구
매력을 높이는 역할을 하는 것으로서 그 주요 기능으로는 고객 명단을 성별·수입·취향 등 특정
기준에 따라 그룹화하고 e메일을 받아볼 고객 각각에 맞는 메시지를 동시에 발송하는 타게팅, e메일 개봉여부 등 고객반응을 24시간 인터넷상에서 실시간으로 자동 추적해 시스템 스스로 고객성향
을 비교 분석하는 트래킹, 고객이 e메일 정보에 따라 상품을 구입했는지를 체크해 다음 번 행사나
제품 홍보시 중요한 자료로 사용할 수 있도록 해주는 커머스, 고객정보를 인터넷상에서 시스템이
자동으로 분류(메일 실시간 도달률, 콘텐츠별 고객 반응정도 측정 등 회원반응을 지속적으로 자동
조사)해 새로운 고객정보로 만들어주는 리포팅 등이 있다고 한다.2) 한국정보보호진흥원이 2001. 11. 16.부터 같은 달 22. 까지 인터넷 이용자 2,000 명을 대상으로 조사
한 결과에 따르면 응답자 모두가 인터넷 이용과 관련하여 개인정보를 제공한 경험을 가지고 있으
며, 개인정보 제공을 가장 많이 하는 웹사이트로는 '인터넷 쇼핑몰' (43.1%), 금융기관 (10.7%), '전문
정보 사이트' (10.3%) 등의 순이고 개인정보제공경험이 가장 적은 웹사이트는 공공기관 (1.4 %)으로
조사되어, 영리목적의 웹사이트가 개인정보를 요구하는 경우가 많은 것으로 나타났다. 응답자 대다
수(93.9%)가 개인정보를 통해 프라이버시 침해 가능성을 우려하고 있었으며, 예금계좌번호, 신용카
드번호, 주민등록번호 등의 정보제공을 가장 꺼려하고 있었다. 개인정보를 제공하는 목적으로는 정
보서비스를 받기 위해서(62.0%)가 가장 많았으며, 상품 서비스 구매(21.8%), 경품이나 현금(12%)이
뒤를 이었다. 한국정보보호진흥원, 2001년 정보화 역기능 실태조사 보고서, 2001. 12., 24-32면
- 1 -
그러나 다른 한편으로는 인터넷 기업들에 있어서 기업이 수집, 이용하고 있는 개
인정보의 양과 질은 바로 그 기업의 자산가치로 평가되는 실정이므로 인터넷 기업
들의 개인정보 수집과 활용을 무작정 규제만 하는 것도 바람직한 것은 아니다. 특
히 비대면 거래를 특징으로 하는 전자상거래에 있어서 인터넷 기업이 보유하고 있
는 개인정보는 사업자의 경쟁우위에 있어서 대단히 중요한 요소이며 개인정보의 공
유나 제3자 제공 등이 시장에서의 미치는 영향이 큰 것이다.3)
뿐만 아니라 최근의 기업경영에서 중요한 테마로 부각되고 있는 고객관계관리
(Cu stomer Relations Managem ent; CRM) 시스템에 있어서도 고객들에 관한 정보의
수집과 적절한 활용은 기업경영의 중요한 과제로 떠오르고 있다.
따라서 고객에 관한 개인정보가 기업경영의 핵심적인 수단의 하나로 떠오르고 나
아가 그 자체가 기업의 가치를 평가하는 중요한 자산의 하나로 평가되고 있는 디지
털 경제시대에 있어서는 개인정보를 효과적으로 보호하는 것 못지 않게 기업들이
인터넷 등을 통하여 인터넷 이용자들의 개인정보를 일정한 조건 하에서 자유롭게
수집하고 이를 가공하여 활용할 수 있도록 보장하는 것도 전체적인 국가 산업발전
이라는 측면에서 어느 정도는 필요한 것이라고 할 것이다.
이 글의 목적은 이러한 전제 위에서 민간부문에서 인터넷을 이용하여 개인정보를
수집하고 활용하는 행위의 목적과 의미, 개인정보의 오·남용에 대한 각국의 대응
방안 등을 알아보고, 우리나라에서 정보통신기술을 이용한 개인정보의 수집과 활용
을 규율하는 기본적인 법률이라고 할 수 있는 정보통신망이용촉진및정보보호등에관
한법률을 중심으로 인터넷 기업들의 무분별한 개인정보의 수집과 활용으로부터 개
인의 기본권을 보호하면서 다른 한편으로는 인터넷을 통하여 수집된 개인정보를 활
용한 기업들의 정당한 경영활동을 보장할 수 있는 방안을 모색하는 계기를 마련하
기 위한 것이다.
II. 개인정보의 의의와 보호의 법적 근거
1. 개인정보의 의의
일반적으로 개인정보란 개인의 정신, 신체, 재산, 사회적 지위, 신분 등에 관한
사실·판단 평가를 나타내는 개인에 관한 정보 및 당해 정보에 포함되어 있는 성
명, 주민등록번호 등의 사항에 의하여 개인을 식별할 수 있는 정보를 말한다.4) 미국
캘리포니아 주법에서는 개인정보를 개인의 이름, 주민등록번호, 신체외형기록, 주
소, 전화번호, 교육정도, 재정상태, 의료기록 및 고용기록 등을 포함하나, 이에 한정
되지 아니하며, 개인을 식별하거나 묘사하는 것으로서 기관에 의하여 보관되는 정
3) 이성구, 전자상거래에서의 소비자보호 법제 정비 , 정보법학 2000. 제4권 제2호 77면4) 이관기, 「알권리와 프라이버시권의 관계에 관한 연구-정보공개와 개인정보 보호제도를 중심으로
-」, 한양대학교 박사학위 논문, 1993. 2. 한양대학교, 99면
- 2 -
보 라고 정의하고 있으며,5) 경제협력개발기구(OECD) 이사회의 권고안으로 1980. 9.
23. 채택된 프라이버시 보호와 개인정보의 국가간 유통에 관한 가이드라인
(Guidelines on the Protection of Privacy and Transborder Flow s of Personal
Data)은 개인정보(personal data)에 관해서 식별되거나 식별될 수 있는 개인(정보주
체)에 관한 모든 정보{any inform ation relating to an identified or identifiable
individu al(data subject)} 라고 정의하고 있다.6) 즉, 약간의 표현의 차이가 있을 뿐
개인정보에 관해서 정보의 구체적인 내용을 불문하고 개인을 식별시킬 수 있는 모
든 유형의 정보라고 보는 점에서 대체적인 견해가 일치한다고 볼 수 있다.7)
우리나라의 법률가운데 개인정보에 관하여 정의를 하고 있는 법률로는 국가행정
기관·지방자치단체 등과 같은 공공기관의 컴퓨터에 의하여 처리되는 개인정보의
보호를 위하여 그 취급에 관한 사항을 정한 공공기관의개인정보보호에관한법률(이
하 공공정보법이라고 한다)과 정보통신서비스제공업자와 같은 민간부문에 의한 개
인정보의 수집과 이용을 규제하기 위한 정보통신망이용촉진및정보보호등에관한법률
(이하 정보통신망법 이라고 한다)이 있다.
먼저 공공정보법 제2조 제2호에서는 개인정보 라 함은 생존하는 개인에 관한 정
보로서 당해 정보에 포함되어 있는 성명·주민등록번호 등의 사항에 의하여 당해
개인을 식별할 수 있는 정보(당해 정보만으로는 특정개인을 식별할 수 없더라도 다
른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함한다)를 말한다고 정의하고
있고, 정보통신망법은 제6조 제6호에서 개인정보 라 함은 생존하는 개인에 관한
정보로서 성명·주민등록번호 등에 의하여 당해 개인을 알아볼 수 있는 부호·문
자·음성·음향 및 영상 등의 정보(당해 정보만으로는 특정 개인을 알아볼 수 없는
경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
고 규정하고 있다.
결국 현행 법률의 규정에 의한 개인정보 또한 개인을 식별할 수 있는 모든 유형
의 정보를 포함하고 있다는 점에서 개인정보에 관한 앞서 본 일반적인 정의에서 크
게 다르지 않다고 보여진다.8)9)
5) 정재훈, 민간부분에서의 정보프라이버시 보호 (주 1), 130면6) OECD, Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, 2001.
OECD 13 면,7) 특히 최근 정보통신 기술의 발달로 인해 개인이 언제 어디서 누구를 만나 무엇을 하였는지, 어떤
소비성향을 가지고 있는지, 누구와 어떠한 내용의 금융거래를 하였는지, 어떤 병력을 가지고 있는
지 등에 관한 수많은 개인정보가 컴퓨터에 의하여 쉽게 포착되고 무한대로 저장·처리·확산될 수
있어 개인정보의 개념은 과거보다 광범위하게 정의되어지는 경향이다. 조연상외 2인, 「기업경영자
원으로서의 개인정보이용 및 보호방안 연구」, 한국정보보호센타 2001. 8면,8) 2000. 1. 행정자치부에서 발간한 공공기관의 개인정보보호제도 는 공공정보법에서 말하는 개인정
보란 개인의 정신, 신체, 재산, 사회적 지위, 신분 등에 관한 사실·판단·평가를 나타내는 일체의
정보를 말한다고 해설하면서 구체적으로 사상, 신조, 종교, 가치관, 양심 등과 같은 내면의 비밀, 체
력, 건강상태, 신체적 특징, 병력 등과 같은 심신의 상태, 학력, 범죄경력, 직업, 자격, 소속 정당, 단
체 등과 같은 사회 경력, 재산상황, 소득, 채권채무관계와 같은 경제관계, 성명, 주소, 본적, 가족관
계, 출생지, 본관 등과 같은 생활·가정·신분관계 등을 예시하고 있다. 행정자치부, 「공공기관의
- 3 -
다만 우리의 법률은 보호대상인 개인정보를 생존하는 자연인으로 한정하고 있으
며,10) 인터넷이나 정보통신기술의 발달에 따라 단독적으로는 개인을 식별하는 정보
로 사용될 수 없더라도 다른 정보들과의 기술적 결합을 통하여 개인을 식별하는 정
보로 사용될 수 있는 점을 감안하여 그와 같은 정보도 개인정보에 포함하고 있고,
특히 정보통신망법은 민간부문에서 정보통신망을 통하여 수집되는 개인정보들의 경
우에는 그 특성상 소리, 영상, 부호 등과 같은 형태의 정보가 많다는 점을 고려하여
이러한 비문자적인 정보도 개인정보에 포함되는 것임을 명백히 하고 있다.
2 . 개인정보보호의 법적 근거
개인정보를 보호하는 근거에 관해서는 이를 헌법상의 프라이버시권(사생활보호
권) 또는 그 한 내용으로서의 개인정보자기결정권에서 찾는 것이 일반적이다.11) 이
러한 견해에 따르면 인간은 타인에게 알리고 싶지 않다고 생각하는 것이 정당한 일
정한 사적인 개인정보에 관하여, (1) 개인정보의 수집·취득, (2) 개인정보의 보유·
이용, (3) 개인정보의 열람·제공의 각각의 단계에서 정보주체에 의한 통제의 권리
보장을 요구함과 동시에, 이러한 권리를 실효적으로 확보하기 위하여, (4) 개인정보
의 열람청구권·정정청구권을 갖는다는 것이다.12)
이에 대하여 개인정보를 재산권의 일종으로 파악하자고 하는 견해도 있다.13) 이
러한 견해에 따르면 개인정보에 대한 재산권을 해당 개인에게 부여함으로써 거래
당사자들인 판매자와 구매자 모두의 거래비용을 감소시킬 수 있을 것이며, 개인정
보를 본인의 명시적 혹은 묵시적 동의 없이 제3자에게 판매하는 것은 불법적인 것
이 되며, 승낙이 이루어진 경우에도 판매대금의 지분에 해당하는 권리는 개인에게
귀속될 것이다. 재산권 부여방식은 프라이버시 침해에 대한 적절한 보상청구권을
보장해 주며, 적정수준의 개인정보 유통을 유지시켜 줄 것이라고 한다.14)
개인정보보호제도」, 2000. 1. 3-4면
9) 한편, 앞서본 한국정보보호진흥원의 2001년 정보화 역기능 실태조사 보고서 에 의하면 인터넷 이용
자들이 웹사이트에서 가장 많이 제공해본 개인정보는 이름(98.3%), 주민등록번호(97.0%), 성별
(96.7%), 주소(96.6%), 나이(96.2%), 직업(95.7%), 전자우편주소(95.5%), 자택전화번호(93.7%), 학력
(92.1%), 결혼여부(87.8%), 이동통신번호(87.0%), 취미(79.5%) 등으로 조사되었다. 한국정보보호진흥
원 「 2001년 정보화 역기능 실태조사 보고서」(주 2) 24면
10) 공공정보법이나 정보통신망법이 보호대상인 개인정보의 주체를 생존하는 자연인으로 한정하고 있
는 점에 관해서는 비판적인 견해가 제기되고 있는 바, 이점에 관해서는 뒤에서 구체적으로 살펴본
다.11) 백윤철, 헌법상 개인정보자기결정권에 관한 연구 , 법조, 2002. 5.(통권 548호) 173면 이하, 정재훈,
민간부분에서의 정보프라이버시보호 (주 1) 132면 이하,12) 백윤철, 위의 논문, 187면13) 조연상외 2인, 「기업경영자원으로서의 개인정보이용 및 보호방안 연구」, 한국정보보호센타 2001.
66면 이하
14) 위의 책, 67면
- 4 -
III. 인터넷을 통한 개인정보의 수집과 활용
1. 개인정보의 수집
(1) 정보주체에 의한 정보제공
기업이나 개인과 같은 민간영역에서 인터넷을 이용하여 개인정보를 수집하
는 가장 기본적인 수단은 정보주체로부터 직접 개인정보를 수집하는 것이다. 대부
분의 인터넷 홈페이지에서는 홈페이지의 정보를 무료로 이용하거나 홈페이지를 이
용한 전자상거래를 하기 위한 전제조건으로 회원가입을 요구하고 있으며, 경우에
따라서는 각종 경품을 내걸고 이를 미끼로 개인정보를 수집하고 있다. 이와 같이
수집되는 개인정보는 대부분 본인의 동의 하에 본인이 제공하는 정보를 수집하는
것이므로 이용자 자신이 정보를 제공하고 있다는 사실 및 제공하는 정보의 내용을
알고 있으므로 대개의 경우 수집단계 자체에 있어서는 별다른 법률적인 문제는 없
을 것이다.
다만 이러한 견해에 대해서는 개인들이 자신의 정보 제공을 통해서 얻는 이익과
정보제공으로 인하여 예상되는 불이익을 비교하여 합리적으로 선택하는 것을 전제
로 하는 것이나, 이른바 정보화시대라고 불려 지는 현대 사회에 있어 인터넷을 이
용하고 전자상거래를 이용하는 것은 개인의 삶의 질을 높이는데 있어서 불가피한
것인 만큼 이러한 동의는 행복한 삶을 추구하기 위한 불가피한 선택 즉 비자발적
동의라는 견해도 있다. 또한 홈페이지 콘텐츠 이용을 위한 회원가입 절차에서 제공
을 요구하는 정보의 양과 질이 필요 이상 크다는 점에 비판을 가하는 견해도 있다.
(2) 기술적 수단을 이용한 정보의 수집
기술적 수단을 이용한 정보수집의 경우에는 예컨대 쿠키나 웹버그와 같은 인
터넷 기술을 이용하여 본인이 의식하지 못하는 사이에 본인에 관한 식별정보를 수
집하는 것을 말한다. 이러한 방법에 의한 개인정보의 수집은 대개의 경우 본인의
사전동의를 얻지 않은 것일 뿐만 아니라 수집의 대상인 정보의 내용이 어떤 것인지
도 알 수가 없기 때문에 법률적인 문제를 야기한다. 특히 개인정보 수집의 대표적
인 기술적 수단인 쿠키와 웹버그, 스파이웨어 등은 프라이버시의 침해가능성이 높
다고 할 것이다.
1) 쿠키
쿠기(Cookie)란 이용자가 접속한 웹서버로부터 웹브라우저로 보내지는 텍
스트 파일 형태의 메시지로서 그 메시지는 이용자의 하드디스크의 주어진 폴더에
저장되어 있다가 이용자가 당해 웹서버에 접속하여 웹페이지를 요청할 때마다 다시
- 5 -
웹서버로 보내진다. 쿠키의 본래 목적은 웹서버가 접속자의 신원을 확인하고 그에
알맞은 맞춤서비스를 제공하기 위한 것이다. 예컨대 이용자가 웹서버에 접속하여
이름이나 취미와 같은 정보를 웹서버에 제공하면 그 내용은 쿠키파일에 저장되어
이용자의 하드디스크에 저장되고 다음에 이용자가 당해 홈페이지에 접속하면 인터
넷 익스플로러와 같은 웹브라우저는 쿠키에 저장된 정보를 웹서버에 보내게 된다.
이렇게 되면 서버는 일반적인 초기화면 대신에 예컨대 이용자의 실명이나 관심분야
가 나타나는 초기화면을 보여주기도 한다.15)16)
쿠기파일에는 이용자의 해당 웹사이트 방문기록이나 구매 물건 등에 관한 정보가
저장되어 있기 때문에 이를 통하여 웹사이트 측은 쿠키를 이용한 차별화된 타깃 마
케팅이 가능하며, 보다 효과적인 서비스를 제공할 수 있다. 또한 쿠키를 이용하면
이용자는 회원제로 운용되는 웹사이트에서 각 웹페이지에 접근할 때마다 아이디와
비밀번호를 기억하여 입력하는 불편도 해소된다. 또한 이용자의 개인정보 및 웹사
이트 이용기록이 저장되기 때문에 이용자에게 맞는 맞춤 서비스를 제공할 수도 있
다. 즉 쿠기에 저장된 정보와 웹서버에 저장된 정보 데이터베이스를 활용하여, 이용
자가 주로 검색한 내용이나 구입한 가격대·상품유형 등을 분석하여 그에 맞는 광
고·상품 목록 제공 등 개별화된 서비스를 제공할 수 있는 것이다.17)
쿠키는 이용자의 입장에서는 편리함을, 서비스 제공자의 입장에서는 효율적인 마
케팅 및 서비스질의 향상을 가져왔지만, 다른 한편으로는 이용자가 의도하지 않았
던 정보가 이용자들이 모르는 사이에, 모르는 사이트에 유출될 수도 있다는 점에서
개인정보에 관한 부당한 침해를 야기할 가능성이 있다.18) 즉 쿠키에 의한 자동적인
개인정보의 수집에 관한 이용자의 관여가 거의 불가능함으로써 개인정보의 수집단
계에서부터 프라이버시 침해의 위험이 높다는 점이다. 물론 이 경우에 웹브라우저
의 옵션설정을 통하여 쿠키의 저장을 허용하지 않는 것도 하나의 방법이 될 수 있
지만,19) 상당수의 인터넷 사이트들이 웹브라우저가 쿠키를 허용하지 않는 경우에는
사이트의 이용을 차단하고 있어20) 인터넷 사이트의 정보이용을 포기하지 않는 한
15) http :/ / www .webopedia.com/ TERM/ c/ cookie.html, 2002. 6. 11. 방문
16) 쿠키를 세탁소 세탁물을 맡기고 받는 보관증과 같은 것으로 설명하기도 한다. 인터넷에서 쿠키가
필요한 것은 인터넷 프로토콜인 http는 사이트의 방문이나 웹페이지의 브라우징 행위를 매번 새로
운 방문이나 새로운 브라우징으로 독립적으로 처리하기 때문에(이런 이유로 http를 statelessprotocol 이라고 한다) 특정 방문자가 방문하였다는 사실을 별도의 수단으로 표시하여 둘 필요가 있
고 이를 구현한 것이 Cookie 이다. David Whalen, The Unofficial Cookie FAQ,http :/ / www .cookiecentral.com / faq/ , 2002. 5. 30. 방문
17) 그밖에 쿠키에 관한 보다 자세한 내용은 http :/ / www .cookiecentral.com을 참조.18) 일반적으로 쿠키는 이용자가 방문한 사이트에 의하여 설정되고 쿠키를 설정한 사이트의 호스트에
의하여 읽히는 것이 원칙이지만 HTML 문서와 HTTP 프로토콜의 특성을 이용하여 이용자가 실제
로 방문한 바가 없는 사이트의 쿠키가 설정될 수도 있으며 뒤에 보는 DoubleClick사는 그 홈페이
지에 이와 같은 방법을 이용하여 인터넷 이용자들에 대한 정보를 수집하고 있음을 공지하고 있다.David Whalen, The Unofficial Cookie FAQ, http :/ / www .cookiecentral.com/ faq/ ,(주 16)
19) 그 구체적인 방법은 웹브라우저마다 차이가 있으나 어떤 브라우저이든 쿠키의 이용을 제할 수 있
는 기능을 두고 있다는 점에서는 차이가 없다.
- 6 -
실제로는 거의 불가능한 방법이다.
나아가 쿠키정보의 이용의 측면에서는 쿠키에 담기는 정보가 일상적인 아이디나
비밀번호 및 해당 사이트에서의 간단한 구매기록이나 정보이용기록과 같은 비교적
간단한 개인정보라고 하더라도 그와 같은 정보와 웹사이트의 데이터베이스 및 오프
라인이나 제3자로부터 수집된 기록의 결합을 통하여 개인에 대한 완벽한 프로필을
만든다 거나 중요한 개인정보의 도출이 가능하게 되는 경우에는 인터넷 이용자의
프라이버시 보호라는 측면에서 더욱 큰 문제를 야기할 수 있다.21)
또한 쿠키정보가 해킹에 의하여 쿠키를 설정한 웹사이트가 아닌 제3자에 의하여
도용 당하는 경우에도 심각한 개인정보 침해의 결과가 될 수 있다.22)
2) 웹버그(Web bu g)
웹버그는 웹비콘(Web beacon)이라고 불리우는 것으로서 통상 쿠키와 함
께 사용되는 1×1 픽셀 정도의 작은 크기의 투명한23) 그림 파일로서 인터넷 사이트
의 홈페이지나 이메일 속에 포함되어 홈페이지 방문자나 이메일 이용자의 인터넷
이용을 모니터링 하는데 이용된다. 구체적으로 보면 웹페이지나 이메일에 포함된
HTML 코드가 이미지 파일(웹버그)을 가져오기 위해 당해 이미지가 저장된 사이트
를 호출하면 위 코드는 동시에 위 이미지가 저장된 사이트에 이미지를 가져가려는
컴퓨터(인터넷 호스트 컴퓨터 또는 이용자의 컴퓨터)의 인터넷 주소(IP address), 웹
버그가 이용자에게 노출되기 시작한 시간과 그 기간, 그리고 이미 저장된 쿠키 값
등을 웹버그 파일이 존재하는 서버로 전송하게 된다.24)
20) 예컨대 국내 최대의 웹메일 사이트인 Daum 사이트는 그 개인정보보호정책에서 이용자가 브라우
저에 모든 쿠키의 저장을 거부하는 옵션을 선택한 경우에는 로그인이 필요한 Daum의 모든 서비스
는 이를 이용할 수 없다고 규정하고 있다.http :/ / w w w .d au m .net / d oc/ info-p rotection .h tm l, 2002. 6. 1. 방문
21) 뒤에 보는 DoubleClick 사의 사례가 좋은 예이다.22) 2000. 11. 2.자 한국일보에 게재된 다음의 기사에서도 국내 20개 포털사이트가 해킹위험에 무방비
로 노출돼 있어 개인정보가 유출될 가능성이 크다는 지적이 제기됐다.『 1일 관련업계 및 한국정보보호센터에 따르면 H, N, O 등 국내 유명 포털사이트 20개가 `쿠키가
로채기(스니핑)'라는 해킹 위험에 노출돼 있는 것으로 드러났다. 쿠키스니핑은 이용자가 인터넷 사
이트에 접속했을 때 임시로 개인정보를 저장해 놓는 `쿠키'파일을 가로채는 해킹기법이다. 이 문제
를 처음 제기한 보안컨설턴트 임대호(26)씨는 “20여개의 인터넷 포털사이트와 웹메일사이트가 웹
메일 본문에서 자바언어로 된 파일(자바스크립트)을 사용하거나 이용자 ID 및 비밀번호 입력 서버
와 홈페이지 운영서버가 동일한 경우 해커가 가로챈 쿠키를 이용, 서버로 침투해 쉽게 이용자들의
정보를 빼내갈 수 있다”고 경고했다. 임씨는 이 같은 사실을 해당 포털사이트에 직접 실험을 통해
확인하고 경찰청 사이버테러대응센터와 한국정보보호센터에 통보했다고 밝혔다. 한국정보보호센터
측도 가로챈 쿠키를 통해 웹사이트에서 이용자들의 정보를 훔칠 가능성이 있다고 보고 해당 사이
트들에 대한 보안실태를 점검한 뒤 조만간 보안권고문을 발표할 계획이다. 임씨는 “사이트 운영업
체측에서 쿠키스니핑을 막으려면 해커가 가로챈 쿠키로 침투하지 못하도록 인증서버와 홈페이지
운영서버를 다르게 지정할 것”을 권고했다. 임씨는 또 “네티즌도 웹메일 서비스를 이용할 경우
서비스 선택사항에서 `자바스크립트 허용여부'를 선택하지 말고 쿠키를 확인하는 사이트를 방문한
상태에서 다른 사이트를 동시에 검색하거나 접속하지 말라”고 당부했다.』23) 투명하다는 것은 바탕색과 같은 색이어서 그림의 존재를 인식할 수 없다는 것을 의미한다.
- 7 -
웹버그 또한 인터넷 이용자의 동의 없이 이메일 등을 이용해서 이용자의 인터넷
이용 행태에 관한 정보를 수집한다는 점에서 프라이버시 침해의 위험이 높다고 할
것이다.
3) 스파이웨어(Spyw are)
스파이웨어란 애드웨어(adw are)라고도 호칭되는 것으로서 통상 광고의 목
적으로 이용자가 의식하지 않는 동안에 이용자가 알 수 없는 방법으로 인터넷 연결
을 통하여 이용자에 관한 정보를 수집하는 소프트웨어를 의미한다. 이러한 프로그
램들은 통상 인터넷에서 다운로드받을 수 있는 프리웨어(freew are)25)나 쉐어웨어
(sharew are)26) 프로그램 속에 내장되어 있으면서 이용자의 인터넷 이용 현황 등을
모니터링 한 후 이용자가 알 수 없는 상황에서(in the background) 당해 정보를 제
3자에게 전송한다. 스파이웨어의 종류에 따라서는 이메일 주소나 심지어 비밀번호
나 신용카드번호를 수집하여 전송하기도 한다.27)
스파이웨어는 이용자들이 다른 프로그램을 설치할 때 자신도 모르는 사이에 함께
설치된다는 점에서 트로이목마 프로그램28)과 유사하다. 스파이웨어는 특히 요사이
유행하는 인터넷 직접연결 및 파일 공유 프로그램(p eer-to-peer file sw apping
products)29)을 통하여 가장 흔하게 전파된다.30)
스파이웨어는 정보윤리와 프라이버시침해 문제뿐만 아니라 이용자의 컴퓨터 메모
리 자원을 이용하고, 이용자의 인터넷 연결을 이용하여 정보를 스파이웨어의 기지
가 되는 서버에 전송함으로써 이용자의 인터넷 전송대역(bandwidth)의 일부를 잡아
먹는다는 점에서 이용자의 시스템 자원을 도용하고 그 결과, 종종 시스템의 프로그
램들이 충돌을 일으키거나 불안정한 작동을 하게 만들기도 한다.31)
스파이웨어는 독립적으로 실행 가능한 프로그램으로 동작하므로, 이용자의 키스
24) http :/ / www .webopedia.com/ TERM/ W/ Web_beacon .html,25) 이용자들이 대가를 지불하지 않고 자유롭게 이용할 수 있는 프로그램, 단 저작자가 저작권을 완전
히 포기한 것은 아니므로 상업적으로 배포하거나 기업에서 사용할 경우에는 그 이용이 제한될 수
도 있다.26) 일정한 기능이나 기간의 제한을 두고 이용자가 사용할 수 있는 프로그램으로 이용자가 비용을 지
불하면 기능이나 기간의 제한없이 사용할 수 있도록 한다. 인터넷 등 온라인을 이용한 프로그램 판
매의 한 수단으로 사용되며 이용자들은 프로그램을 시험사용해 보고 구입여부를 결정할 수 있는
장점이 있다.27) http :/ / www .webopedia.com/ TERM/ s/ spyware.html28) 다른 용도로 쓰이는 프로그램인양 속여서 타인의 컴퓨터에 설치되게 한 후 그 컴퓨터를 해킹하거
나 심지어는 바이러스 기능을 하도록 하는 프로그램들을 일컫는 말
29) 인터넷 서버를 거치지 아니하고 인터넷에 연결된 개인 컴퓨터 사이를 직접 연결하여 말단 이용자
들이 직접 파일 등을 공유할 수 있도록 해주는 프로그램으로 음악파일을 공유하게 해주는 냅스터
나 소리바다 프로그램 등이 대표적이다. 또 최근 유행하는 메신저 프로그램도 일종의 Peer-to-Peer프로그램이다.
30) http :/ / www .webopedia.com/ TERM/ s/ spyware.html31) 위의 글
- 8 -
트록(keystroke)을 모니터하고, 하드디스크에 저장된 파일들을 검색하기도 하고, 채
팅프로그램이나 워드프로세서와 같은 다른 프로그램의 동작을 엿보고 쿠키를 읽어
내고 인터넷 브라우저의 기본 홈페이지를 바꾸기도 할 능력이 있으며 이러한 내용
들은 모두 스파이웨어를 심어놓고 광고나 마케팅 또는 개인정보의 판매목적으로 정
보를 수집하는 자에게 전달된다.32)
다운로드받는 프로그램에 동반되는 사용허락계약 문언에는 종종 이용자가 목적하
는 프로그램과 함께 스파이웨어가 설치될 것이라는 내용이 기재되어있기는 하지만,
대개는 이해하기도 어렵고, 읽기도 어려운 면책규정(legal disclaim er) 속에 자리잡고
있어 언제나 완벽하게 읽혀지는 것이 아니라는 데 문제가 있다.33)
2. 기업의 개인정보의 이용목적34)
(1) 거래비용의 절감
기업들이 인터넷을 통하여 개인정보 특히 잠재적 구매자들에 대한 개인정보
를 수집하려는 것은 거래비용 가운데 정보탐색비용(inform ation search cost)을 절감
하려는 목적이 가장 주요한 것이다. 또한 소비자의 입장에서도 자신이 구매하고자
하는 상품의 종류와 형태 등을 기업들이 알고 있다면 그 상품을 찾아다니는 수고를
덜 수 있으므로 마찬가지로 거래비용을 절감할 수 있을 것이다. 따라서 이러한 구
매자들 중 일부는 개인적 선호 등 자신에 관한 개인정보가 기업에게 알려지기를 원
할 것이다.
(2) 고객 확보 및 고객관리
기업들의 입장에서 고객들에 대한 개인정보는 고객관계관리(CRM: Consum er
Relations Managem ent)면에서도 중요한 자원으로 활용될 수 있다. 글로벌 경제에서
는 생산자 수가 이전에 비해 훨씬 많으므로 생산자 위주의 시장이 아니라 소비자
지향적 시장으로 변화하고 있어, 기업은 고객이 원하는 바를 정확히 알아야 하며
고객지향적 네트워크(consumer responsive netw ork)를 관리할 수 있는 능력을 지녀
야 한다.
기업은 소비자가 원하는 바를 파악하기 위해서 다양한 수단과 방법을 동원할 수
있다. 예컨대 시장가격 및 거래량 추이 조사, 설문조사, 시제품 호응도 조사, 인구통
계학적 조사 등등의 방법이 전통적으로 많이 쓰이던 방법이다. 그러나 만일 기업이
자사 제품에 대한 잠재적 구매자들에 대한 연령, 성별, 직업, 소득수준, 기호 및 취
32) 위의 글
33) 위의 글
34) 주로 조연상 외 2인, 「기업 경영자원으로서의 개인정보 이용 및 보호방안 연구」(주 13) 18-24면
을 참조함
- 9 -
미, 소비성향 등에 대한 상세한 개인정보 파일을 보유하고 있다면 위와 같은 조사
비용을 들이지 않고도 상대적으로 정확한 정보를 획득할 수 있으므로, 거래비용 가
운데 탐색비용(search cost)을 대폭 절약할 수 있을 것이다.
개인정보는 이러한 의미에서 기업의 중요한 자산이 되고 있다. 특히 미국을 비롯
한 정보화 선진국에서는 이미 전국적인 수준의 개인정보시장이 형성되어 있어 개인
정보가 공공연하게 거래되고 있다. 개인정보의 구매자는 물론 대부분 기업이다. 거
래되는 개인정보의 내용은 예를 들어 주택 구입에 관심을 갖는 20-35세의 기혼자
명단 및 주소 와 같은 비교적 덜 민감한 내용에서부터 병원에서 수집한 환자기록
내용과 같은 민감한 내용에 이르기까지 매우 다양하다. 이러한 개인정보를 구입하
는 주택판매회사나 제약회사가 경쟁사에 비해 판매 전략면에서 우위를 점할 수 있
다는 것은 불을 보듯 명확하다.
(3) 마케팅에의 활용
기업이 개인정보를 활용하는 최종적인 목적은 마케팅 전략의 수립에 활용하
는 것이라고 볼 수있다. 이를 구체적으로 살펴보면 상품판매업체(고객 확보, 고객에
대한 판촉 방법 개발시 참고자료로 활용), 제조업체(제품 생산시 특정 품목의 수요
예측, 예를 들면 제약회사의 경우 의료기록을 활용, 특정 약품에 대한 수요 예측),
금융업체(신용 우수 고객 유치), 보험업체(보험상품 개발, 보험요율 산정시 참고자료
로 활용), 리서치 업체(인구통계학적 참고자료로 활용), 데이터베이스 마케팅 업체
(개인정보 데이터베이스를 용도에 맞추어 가공하여 판매), 광고업체(특정 광고물 전
달 대상 선정자료로 활용), 그리고 인터넷 서비스 제공업체(가입자 유치, 확보 및 탈
퇴방지 등 관리자료로 활용) 등 다양한 마케팅에 활용될 수 있다.
(4) 새로운 상품 및 서비스의 개발
시장조사 회사 Forrester Research Inc.가 발표한 보고서 "Post-Web Retail"에
서 전자상거래 시장이 성숙되면서 소비자 수요 예측 능력이 있고, 재래식 매장, 카
탈로그, 콜 센터, 웹사이트, 대화형 TV, 휴대형 기기를 비롯한 다양한 판매 채널을
복합적으로 활용할 수 있는 "Post-Web" 소매 회사들이 부상할 것이라고 전망했다.
Forrester에 따르면, Post-Web 소매상으로서 성공하려면 소비자들의 구매 기록,
DM (Direct Mail) 반응도, 온라인 상점 방문시 클릭 데이터를 비롯한 소비자 관련
정보를 종합적으로 분석해 가장 높은 이윤을 확보할 수 있는 소비자 계층을 파악할
수 있는 능력을 갖춰야 한다. 또한 Forrester는 가장 적합한 영업 대상이 되는 소비
- 10 -
자 계층을 파악하고, 이들에게 가장 매력적인 상품 카테고리를 균형 있게 선정하는
것이 Post-Web 소매상들의 가장 어려운 과제가 될 것이라고 지적했다.
Forrester는 Macy s, Wal-Mart와 같은 백화점 형태의 소매상들은 판매 이익을 가
장 많이 낼 수 있는 소비자 계층을 파악한 후 이들에게 적합한 종류의 상품을 판매
하는 방식으로 상품 카테고리를 좁혀 나갈 필요가 있다고 지적했다. 반면,
Sm arterKids.com, Gap과 같은 전문점들은 시장성이 높은 제품들을 Post-Web 소매
업계의 주요 회사들과의 제휴를 통해 판매하는 전략을 강구해야 할 것으로 지적됐
다.
(5) 디- 마케팅
일반적으로 수요 초과 시장에서 초과수요의 상태에서 제품을 획득하려는 잠
재고객들의 경쟁을 수수방관하기보다는 고객만족을 보장하고 장기적인 고객관계를
유지/ 개선하기 위하여 수요를 적정수준으로 감축하고 가용한 제품을 합리적으로 할
당할 필요가 있으며 이러한 마케팅 관리과업을 디-마케팅이라고 한다.35)
인터넷 기반산업에 있어서 디-마케팅은 일반적으로 정보통신제공자가 그 회원들
에게 주민등록번호에 의한 실명확인이나, 성인인증을 거쳐 정보통신서비스를 이용
할 것을 요구하고 가명이거나 미성년자인 경우에는 서비스의 이용을 제한하는 것을
일컫는 것으로 해석된다.36)
회원수가 곧 기업의 자산가치를 결정하는 것으로 인식하고 회원 늘리기를 지상과
제로 무차별적으로 회원을 늘리던 정보통신서비스제공업자들도 최근에는 불량회원
으로부터 정상회원을 보호할 필요성, 해외 진출이나 외자 유치 때 거품 회원 은
오히려 장애가 되고, 다소 수는 적더라도 충실한 회원을 체계적으로 관리하는 게
회사로서는 더 큰 이익이라는 인식을 하게 되면서 주민등록번호나 실명이 아니라고
판단되는 회원을 퇴출시키고 있다.37)
3. 관련 사례
(1) DoubleClick 사건
35) http :/ / marketingschool.co.kr/ enrollcts/ mgdic/ mgdic03.htm 2002. 6. 1. 방문
36) 김연수, 개인정보에 기반한 마케팅 활동과 프라이버시 문제 , 함께 하는 시민행동 주최 자유토론
회 기조 발제문, 2001. 10. 22. 9면
37) 국내 최대 인터넷 채팅업체인 하늘사랑(www .skylove.co.kr)은 2000. 3. 초부터 불량 회원 퇴출에
들어가 보름만에 13만7천여명의 회원을 정리했다. 정리대상은 신원이 불분명한 회원. 이름이 이상
하거나 주민등록번호가 가짜라고 판단되면 바로 회원 자격을 박탈하였다. 이중 대표적인 것이 주민
등록번호 허위 작성이다. 지금까지 8만4천여명의 회원이 이 때문에 정리됐다. 이들 중 주민등록번
호의 요건은 맞지만 나이가 2~3살짜리도 있다고 하늘사랑은 밝혔다. 또 의도적으로 가명을 사용하
거나 ID 암호 등이 불명확한 회원도 4만1천여명이 퇴출당했다. 한국경제신문 2000. 3. 16. 자
- 11 -
인터넷 광고대행사인 DoubleClick (더블클릭)사는 인터넷 이용자들이 자신의
고객의 광고를 보게될 때 쿠키정보에 고유한 식별번호인 Global User ID (GUID)를
부여한 후 이용자의 컴퓨터에 쿠키정보로 저장되게 함으로써 개별 이용자들의 인터
넷 이용상황을 모니터링 하여 이용자들이 인터넷 서핑을 하는 동안에 같은 내용의
광고가 반복적으로 나타나지 않도록 하였다.38) DoubleClick 사는 이와 같이 쿠키를
통하여 개인의 인터넷 이용정보를 수집한다는 사실을 자신의 고객 사이트 등을 통
하여 이용자들에게 고지하거나 동의를 받은 바는 없었으나 이러한 인터넷 이용정보
를 구체적인 개인의 식별정보와 연결시키지 않았으므로 처음에는 이와 같은 관행이
문제가 되지는 않았다.39)
그러나 더블클릭사는 여기에서 그치지 않고 1999. 11., 카탈로그 마케팅을 하는
미국 내 1100여 개 디렉트마케팅 업체로부터 개인들의 물품 구매정보 및 홈쇼핑 습
관 등에 관한 정보를 수집하여 카탈로그 마케팅에 관한 한 미국 내에서 가장 큰 데
이터베이스를 보유한 회사인 Abacu s 사40)를 합병함으로써 사회적 문제가 되기 시
작하였다.41)
즉, 2000. 1. 26. 미국의 일간지인 USA Today는 최대 규모의 인터넷 광고 대행사
인 더블클릭사가 Abacus 사의 데이터베이스와 쿠키를 통해 수집한 인터넷 이용자
들의 인터넷 이용 정보를 결합하여, 인터넷 이용정보에 구체적인 이용자의 이름을
연결하기 시작하였다고 보도하였다. 이와 같은 보도가 있은 바로 다음날 Harriet
Judnick 이라는 여성이 캘리포니아주 마린카운티 주 지방법원(California Sup erior
Court of Marin County)에 더블클릭사를 상대로, 더블클릭사가 쿠키를 이용하여 인
터넷 이용자의 신원을 확인하고 그들의 인터넷 이용 상황을 추적하고, 이용자의 동
의 없이 개인정보를 취득하였다고 주장하며, 이용자의 사전 동의 없는 쿠키 사용의
중단과 동의 없이 수집한 인터넷 이용자들의 개인정보의 파기를 구하는 소송을 제
기하였다. 그동안 아무런 문제의식 없이 사용되는 쿠키의 이용에 대한 사회적인 관
심을 촉발하는 계기가 마련된 것이다.42)
이처럼 캘리포니아의 한 여성에 의하여 시작된 더블클릭사의 쿠키정보와 오프라
38) 인터넷 포털 사이트의 하나인 천리안 인터넷 홈페이지(http :/ / www .chollian .net)에 접속한 직후에
Cookies 폴더를 확인해본 결과 더블클릭사의 홈페이지에 전혀 접속한 바가 없음에도 쿠키 폴더에
******@doubleclick [1].txt라는 이름(******는 네트워크상에서 컴퓨터의 로그인 이름이다)의 더블클릭사
쿠키 파일이 생성되었음을 확인할 수 있었다. 위 쿠키파일의 내용은 다음과 같은 것으로서 더블클
릭 홈페이지에 접속한 바도 없는 이용자(정확하게는 이용자의 컴퓨터)에게 더블클릭사가 관리할 수
있는 세계에서 하나뿐인 고유한 관리번호(Global User ID)가 부여된 것이다.id 800000176c40c4d doubleclick .net/ 0 3626421760 29717815 974615456 29497539 *
39) Courtenay Youngblood . A New Millennium Dilemma; Cookie Technology, Consumers, A nd the
Future of the Internet, 11 J. Art & Ent. Law 45, 5240) 일반인들에게는 직접적으로 널리 알려진 회사는 아니다.41) Courtenay Youngblood . A New Millennium Dilemma; Cookie Technology, Consumers, A nd the
Future of the Internet, (주 39) p5342) Id . 54
- 12 -
인 데이터베이스를 연결하려는 시도에 대한 문제제기는 여기에서 그치지 않았고,
여러 주 및 연방법원에 더블클릭사의 위와 같은 행위가 사생활 침해, 공정거래법위
반, 소비자보호에 관한 다양한 법률위반 심지어는 무단침입(tresp ass to property)
등에 해당한다고 주장하는 소송이 제기되었다. 연방법원에 제기된 12개의 소송 가
운데 10개는 뉴욕 남부 지방법원에 제기되었다.43)
또한 2000. 2. 에는 연방거래위원회와 뉴욕주 법무장관이 더블클릭사의 업무의 정
당성에 관한 비공식적인 조사를 시작하였으며, 미시건주 법무장관은 더블클릭사의
행위가 일종의 사이버 도청(cyber wiretapping)에 해당한다고 주장하며 더블클릭사
를 제소하였다. 워싱턴에 본부를 두고 있는 대표적인 인터넷 프라이버시 관련 단체
인 Electronic Privacy Inform ation Center (EPIC)도 2000. 2. 10.에 더블클릭사가 인터
넷 이용자들의 동의 없이 인터넷 이용을 추적하고 그 정보를 마케팅 데이터베이스
에 포함된 상세한 개인식별 정보와 연결함으로써 불공정하고 기만적인 거래를 하였
다고 주장하며 연방거래위원회에 공식 제소하였다.44)
(2) 토이마트 사건
월트디즈니의 사실상의 계열사로서 인터넷을 통하여 어린이를 위한 교육용
완구를 판매하던 Toysmart .com은 영업부진으로 2000. 5. 사이트를 폐쇄하였고 같은
해 6. 9. 채권자들에 의하여 파산법 제11장(Chapter 11)에 의한 파산 신청이 제기되
어45) 같은 달 26. 파산법원에 의하여 파산(reorganization)이 허가되었다. 그런데 토
이마트사는 이와 같은 파산절차가 진행 중에 신문 등을 통하여 자사가 보관중인 고
객에 관한 데이터베이스를 포함한 회사 자산에 대한 매각광고를 내었는데 위 데이
터베이스에는 웹사이트가 개설된 이래 사이트를 방문한 25만명 이상의 고객 및 그
가족의 프로필, 신용카드 데이터 등이 포함되어 있었다.46)
미 연방거래위원회는 2000. 7초 매사추세츠 주 연방지방법원에 토이마트사가 고
객 정보를 판매하지 못하도록 하는 소송을 제기하였다. 연방거래위원회는 토이마트
사가 고객정보를 판매하는 것은 고객들에게 고지한 자신의 개인정보보호정책에 반
하는 것으로서 연방 프라이버시법을 위반한 것이라고 주장하였다. 또한 연방거래위
원회는 소장에서 토이마트사가 웹사이트를 통하여 어린이 고객들로부터 수집된 개
인정보가 포함된 고객명단과 프로필을 제3자에게 매각하려고 시도함으로써 연방거
래위원회법을 위반하였다고 주장하였다.47)
연방거래위원회는 소제기 직후에 월트디즈니 측과 합의하여 데이터의 구매자가
43) Id . 5544) Id .45) 미국 회사법상 Chapter 11 파산절차는 회사정리절차와 유사한 절차이다.46) Courtenay Youngblood . A New Millennium Dilemma; Cookie Technology, Consumers, A nd the
Future of the Internet, (주 39) p5847) Id .
- 13 -
토이마트측이 최초에 약속한 개인정보보호정책을 준수하는 것을 동의하는 경우에
한하여 데이터베이스를 매각할 수 있다는데 합의하였고, 위 합의 내용에 따르면 토
이마트는 데이터베이스를 웹사이트 전체와 일체로 매각하되 파산법원의 담당판사가
결정하는 바에 따른 자격을 갖춘 동종업체에만 매각하고, 어린이 온라인 프라이버
시 보호법(Children' s Online Privacy Protection Act; COPPA) 48)에 위반하여 수집
된 수천명에 관한 데이터는 삭제하여야 한다.49)
연방거래위원회가 토이마트측과 합의를 하자 이번에는 39개 주정부 법무장관들이
함께 파산법원 담당판사에게 토이마트가 위 데이터베이스를 판매하는 것은 해당 주
의 소비자 프라이버시에 관한 법률에 위반된 것이므로 그 판매를 금지하여 줄 것을
청원하였고, 인터넷 비즈니스의 프라이버시 보호에 관한 인증업무를 담당하는 인터
넷 기업인 Tru stE 또한 토이마트의 고객정보가 팔리지 않도록 해줄 것을 요청하는
서류를 파산법원 담당판사에게 제출하였다. 그러나 파산법원 담당판사는 2000. 8.
18. 개인정보는 일체로 동종 산업에 종사하는 자에게 판매되어야 한다는 연방거래
위원회의 조건을 무효로 하고, 연방거래위원회와의 합의는 토이마트사의 자산을 구
매하려는 자가 실제로 나타났을 때 고려해 볼 수 있을 뿐이라고 결정하였다.50)
IV. 개인정보의 보호를 위한 외국의 법제
1. 국제기구의 지침
(1) OECD
앞에서 언급한 바와 같이 OECD 이사회는 1980. 9. 23.에 사생활보호 및 개
인정보의 국경 없는 흐름에 관한 지침(Guidlines on the Protection of Privacy and
Transborder Flow s of Personal Inform ation) 을 가맹국에 대한 권고안으로 채택하
였다. 위 지침은 프라이버시보호 뿐 아니라 정보의 자유로운 흐름도 막지 않을 것
을 목적으로 적용대상을 공공·사적부문을 초월한 특정 개인과 관련된 모든 정보로
규정하고 있다.51)
위 지침은 용어에 관한 정의와 적용범위 등을 담고 있는 제1부 총칙, 국내에서에
서의 개인정보보호에 관한 기본원칙을 담고있는 제2부, 국제적인 개인정보유통에
관한 기본원칙을 내용으로 하는 제3부, 제2부 및 제3부에서 선언한 기본원칙의 국
내 이행을 위한 국내 입법 등에 관한 내용을 담고 있는 제4부와 국제 협력에 관한
내용을 담고 있는 제5부로 구성되어 있는 바, 이글의 주제와 주로 관련이 있는 것
48) 15 U.S.C 6591 et seq49) Courtenay Youngblood . A New Millennium Dilemma; Cookie Technology, Consumers, A nd the
Future of the Internet, (주 39) p5950) Id . 59, 6051) 지침 Part One 2.
- 14 -
은 주로 제2부의 국내에서의 개인정보보호에 관한 기본원칙이다.
제2부의 기본원칙이 일반적으로 개인정보보호에 관한 OECD 8원칙이라고 하는
것인데 이를 구체적으로 살펴보면 다음과 같다.
① 수집제한의 원칙(Collection Limitation Principle); 개인정보의 수집에는 일정한
제한이 있어야 하며, 공정하고 합법적이어야 하고, 적절한 방법에 의하여 정보주체
의 인식 및 동의하에 이루어져야 한다.
② 정보내용의 정확성(Data Qualitiy Principle); 개인정보는 그 이용목적에 부합되
는 것이어야 하며 이용목적에 필요한 범위 안에서 정확하고 완전하며 최신의 것이
어야 한다
③ 목적명확화의 원칙(Purp ose Specification Principle); 개인정보의 수집목적은
늦어도 수집시까지 명확화 되어야 한다. 그 후의 이용은 수집목적의 실현 또는 수
집목적과 양립되어야 하고 목적이 변경될 때마다 명확하게 될 수 있는 것으로 제한
되어야 한다.
④ 이용제한의 원칙(Use Limitation Princip le); 개인정보는 제9조에 의하여 명확화
된 목적 이외의 목적을 위하여 개시, 이용, 기타 사용에 제공되어서는 안된다. 다만,
(a) 정보주체의 동의가 있는 경우 (b) 법률의 규정에 의한 경우에는 그러하지 아니
하다.
⑤ 안전확보의 원칙(Security Safegu ards Principle); 개인정보는 그 분실 또는 불법
적인 액세스, 파괴, 사용, 수정, 개시 등의 위험에 대하여 합리적인 안전조치를 함으
로써 보호하여야 한다.
⑥ 공개의 원칙(Op enness Princip le); 개인정보와 관련된 개발, 실시, 정책에 대하
여는 일반적인 공개정책을 취하여야 한다. 개인정보의 존재, 성질 및 그 주요 이용
목적과 함께 정보관리자의 식별, 주소를 명확하게 하기 위한 수단은 용이하게 이용
할 수 있어야 한다.
⑦ 개인참가의 원칙(Individual Particip ation Princip le); 개인은, (a) 정보관리자가
자기에 관한 정보를 갖고 있는지 여부에 대하여 정보관리자 또는 기타의 자로부터
확인을 받을 권리, (b) 개인에 관한 정보를 (ⅰ) 합리적인 기간 내에, (ⅱ) 만일 필요
하다면 과다하지 않은 비용으로, (ⅲ) 합리적인 방법과 (ⅳ) 알기 쉬운 형태로 통지
하도록 하는 권리, (c) 위의 (a) 및 (b)의 요구가 거부당한 경우에는 그 이유를 밝히
도록 하고 이와 같은 거부에 대하여 이의를 제기하는 권리, (d) 자기에 관한 정보에
대하여 이의를 제기하고 그 이의가 인정되지 않을 경우에는 그 정보를 소각, 수정,
완전화, 보완하게 하는 권리를 갖는다.
⑧ 책임의 원칙(Accountability Principle); 정보관리자는 위의 제원칙을 실시하기
위한 조치에 따를 책임이 있다.
- 15 -
(2) 유럽연합의 지침
1995. 10. 24. 유럽연합 이사회(Council of Europ ean Union)52)에서 채택된
유럽연합의 개인정보보호에 관한 지침53)은 개인정보의 보호에 관한 국내법을 통일
하고 조화를 이루기 위한 노력의 일환으로 제정된 것으로서, 제1조에서는 회원국은
개인에 관한 정보를 처리하는 것과 관련하여 개인의 기본적인 인권과 자유 특히 프
라이버시권을 보호하여야 한다고 규정함으로서 정보프라이버시(information
privacy)를 기본적 인권(fundam ental human right)으로 선언하는 등 개인정보보호
에 있어서 최근 10년 내에 가장 중요한 발전으로 평가되고 있다.54)
위 지침은 제2장에서 개인정보의 수집과 처리의 합법성에 관한 일반 규정에 관
하여 정하고 있는데 구체적으로 제6조에서는55) 개인정보의 ① 공정하고 합법적인
처리 ② 구체적이고 정당한 목적을 위한 개인정보의 수집 및 합목적적 이용 ③ 수
집·처리되는 정보와 이용의 목적과의 적절한 관련성유지 및 필요 이상의 정보의
수집 금지 ④ 정확한 최신의 정보의 이용 및 부정확하고 불완전한 정보의 삭제 ⑤
정보의 보유기간의 제한 등에 관하여 회원국들의 입법의 최소기준을 제시하고 있으
며, 제2장의 제7조에서는 정보주체의 명백한(unambigu ous) 동의, 계약 또는 법률상
의 의무 이행을 위하여 필요한 경우, 정보주체의 생명에 관한 이익을 위하여 필요
한 경우 등과 같이 개인정보의 수집·처리가 정당화 될 수 있는 경우를 한정적으로
열거하고 있다.56)
지침은 그밖에도 공공의 이익 등을 이유로 한 개인정보의 정당한 이용에 대하여
정보주체나 정보의 특성을 이유로 그 수집, 처리를 반대할 권리, 개인에게 법률적
영향을 미치는 자동화된 결정에 대하여 이의를 제기할 권리 등과 같은 정보주체의
권리,57) 개인정보의 보안에 관한 규정58) 등 개인정보보호를 위하여 매우 상세한 규
52) 각료회의(Council of Ministers)라고 하기도 한다.53) Directive 95/ 46/ EC of the European Parliament and of the Council of 24 October 1995 on the
protection of individuals with regard to the processing of personal data and on the freem ovement of such data, 유럽연합의 지침(Directive)은 유럽연합 이사회(Council of EuropeanUnion)의 공동체 입법의 한 형식으로서 앞으로 달성해야 할 목표와 최종시한만을 정해줄 뿐이지
만, 회원국들은 지침에서 정해진 목표를 달성하기 위해 일련의 정책을 수립하고 시행해야 할 의무
를 지닌다. 즉 공동체 차원에서는 지침에 정해진 결정이 회원국을 구속하지만, 그 구체적인 시행방
법과 절차는 회원국이 자국의 상황에 따라 선택, 결정하는 것이다. 유럽연합 이사회의 의사결정 방
식에는 그밖에도 직접적인 효력을 갖는 규칙(regulation), 개별사안에 대해 특별정 회원국, 법인 또
는 개인을 대상으로 특정한 지시인 결정(decision), 법적 구속력이 없는 권고(recommendation), 의
견(opinion) 등이 있다. 지침은 규칙의 위임을 받아 집행기관인 위원회(Commissions of theEuropean Communities)에서 제정되는 일이 많으므로 일반적으로 지침제정행위는 입법행위 그 자
체라기 보다는 이사회의 입법권에 따른 위원회의 집행행위의 성격이 강하다.http :/ / p rom e.snu .ac.kr/ ~skkim / lectu re/ lectu re7/ eu / eu 04.h tm l 2002. 6. 1. 방문
54) Domingo R. Tan, Personal Privacy in the Inf ormation A ge: Comparison of Internet Data ProtectionRegulation in the United States and The European Union, 21 Loy. L.A. Int l̀ & Comp . L. J. 661, 677
55) Article 6.56) Art. 7.57) Art. 14, 15
- 16 -
정 등을 두고 있다.
특히 위 지침은 유럽연합 회원국으로 하여금 동 지침 및 이에 기하여 제정된 국
내법의 준수 여부를 감시할 수 있는 독립적인 감독기관(Sup ervisory Authority)을
두고 위 감독기관으로 하여금 개인정보에 대한 접근권, 수사권 및 사법적인 절차를
개시할 권한 등을 갖도록 규정하고 있다.59)
이처럼 강력한 입법을 통해서만 개인정보보호가 이루어질 수 있음을 전제로 하는
유럽연합의 지침은 개인정보에 관한 적절한 수준의 보호(adequ ate level of
protection)가 보장되지 않은 국가로의 개인정보 이전을 원칙적으로 금지하고 있
어60) 민간부문에서의 정보보호에 있어 자율규제를 취하고 있는 미국 정부 및 미국
정보산업계와의 사이에 대립을 초래하였고 협상의 결과 미국이 뒤에서 보는 세이프
하버 원칙을 마련하는 계기가 되었다.61)
(3) 유엔 지침62)
1960년대 후반에서부터 차츰 자동화된 정보처리가 프라이버시에 미칠 수 있
는 영향에 관하여 국제적 차원에서 관심을 갖게 되는데 특히 UN ESCO는 이 시기
부터 프라이버시 및 개인정보보호영역에 관심을 기울이기 시작하였는바, 이후 1990.
12. 14. UN에서는 개인정보의 보호를 위하여 총회의 결의로 Guidelines for the
Regulation of Computerized Personal Data Files 를 채택하였다. 이 지침은 ① 합
법성과 공정성(Principle of Lawfulness and Fairness), ② 정확성(Principle of
Accuracy), ③ 목적구체성(Principle of the Purp ose Specification), ④ 관련 개인의
접근원칙(Princip le of Interested Person Access), ⑤ 비차별원칙(Principle of
N on-Discrimination), ⑥ 예외에 관한 결정권한(Pow er to m ake Exceptions), ⑦ 보
안원칙(Princip le of Security), ⑧ 감독과 제재(Sup ervision and Sanction), ⑨ 국경
없는 정보유통(Transborder Data Flow s), ⑩ 적용범위(Field of Application) 등을 개
인정보보호에 관한 원칙으로 담고 있으며, 공적, 사적 기관들 및 수기 파일도 그 적
용대상에 포함하고 있다.
58) Art. 16. 1759) Art. 28.60) Art 25. 한편 이 원칙에는 다음과 같은 예외가 있다.
1) 정보주체의 동의가 있는 경우, 2) 정보주체가 당사자인 계약 등의 이행을 위하여 정
보의 이전이 불가피한 경우, 3) 정보주체나 정보의 발원지인 회원국의 이익을 위하여 필
요한 경우, 4 ) 정보를 수신하는 기업 등이 정보주체의 프라이버시나 기본적인 권리를 충
분히 보장하는 때 (즉 유럽연합에 의하여 승인된 계약에 의하여) Art 26.61) Domingo R. Tan, Personal Privacy in the Inf ormation A ge: Comparison of Internet Data Protection
Regulation in the United States and The European Union,(주 54), 677면62) 김철완, 이민영, 「인터넷 개인정보보호에 관한 법제도 연구」, 정보통신정책연구원, 2000. 12. 57
면.
- 17 -
2. 입법례
(1) 미국
미국은 정보사회에서의 개인의 사생활이 심각하게 침해될 수 있다는 것을 비
교적 일찍부터 인식한 나라임에도 불구하고 개인관련정보를 포괄적으로 보호하는
법률을 제정하지 않고 구체적이고 개별적인 법률을 통하여 개인정보를 보호하며,
신용기록기관처럼 특정 유형의 정보조사·사용기관을 규율하는 법률들이 연방이나
주에서 제정되고 있다.63)
미국에서 개인정보보호에 관한 초기의 법률은 The Privacy Act of 197464)로서 위
법률은 미국 연방정부 가 보유하는 개인의 신상정보를 보호하기 위한 일반적인 법
률로서, 특정 목적을 위해 얻어진 정보는 당해 주체의 동의 없이 다른 목적을 위
해 이용되어서는 아니 된다 는 것을 기본원칙으로 삼고 있으며 위반 시 민사 및 형
사책임을 묻고 있다. 따라서 이 법은 공공기관의 개인정보 처리에 대해서만 규율하
며, 개인정보를 보관하고 있는 회사 등 민간부문에는 적용되지 않는다는 점에서 인
터넷 시대 민간의 영역에서의 개인정보 침해를 규제하기 위한 법률로서 기능을 하
지는 못하고 있다.
민간부문에서 인터넷에 의한 개인정보의 수집과 활용을 규제할 수 있는 기본적인
법률로는 The Electronic Communication Privacy Act of 1986(ECPA)65)이 있다. 위
법률은 컴퓨터와 원거리 통신기술의 발전에 발맞추어 새로운 프라이버시보호의 기
준을 만들기 이해 제정된 것으로서66) 음성우편, 전자우편 및 온라인 컴퓨터데이터
베이스와 같은 전자적으로 저장된 정보를 보호하고 있다.
미국은 종래부터 개인정보보호를 위한 지나친 정부관여는 정보기술의 발전과 업체
들의 자유로운 경제활동을 저해할 가능성이 크다고 판단하고 개인정보보호문제를
민간자율에 맡기고 자율규제가 실패한 경우에만 정부가 개입하여야 한다는 입장을
취하고 있었다. 하지만 지금까지 많은 교류를 해왔던 유럽연합에서 개인정보에 대
한 적절한 수준의 보호(adequ ate level of protection)가 없는 국가에 대한 정보유통
을 금지하는 단호한 입장을 밝히면서 미국의 경우에도 국가적인 차원의 적절한 수
준의 보호를 제공하지 못하고 있다고 지적하자, 연방거래위원회는 미국측의 입장으
63) Henry H . Perrit Jr., Law and the Information Superhighway, Wiley Law Publication 1996, p .88, 김철완, 앞의 책 60면에서 재인용
64) Pub. L. No. 93-579-88 Stat . 1896 (1974), 5 U.S.C §552a)65) 18 U.S.C §§ 2510-271166) 이전에 통신의 비밀을 보호하기 위해 제정되었던 법률로는 Federal Wire Tap Act of 1968(18
U.S.C. §2510) 및 the Privacy Act of 1980(42 U.S.C. §2000aa)이 있다. 전자는 유선 통신상의 대
화의 비밀을 보호하기 위한 것이다 컴퓨터상의 송신을 보호대상에 포함하지 아니하며(U .S. v .Seidlitz, 589 F.2d 152 (4th Cir . 1978) cert . denied, 441 U.S. 922(1979)), 후자는 BBS나 컴퓨터네트
워크가 불법적인 행위에 직접적으로 연루되어 있다고 의심할만한 충분한 사유가 있는 경우에만 압
수, 수색을 허용하도록 제한하는 법률이다., 정재훈 민간부분에서의 정보프라이버시 보호 (주 1)153면의 각주 96)
- 18 -
로서 이른바 세이프하버(safe harbor)에 관한 지침을 마련하고 위 세이프하버에 관
한 지침을 준수할 것을 승인한 기업들에 대하여는 유럽연합 지침의 제3국 이전 금
지의 예외조항에67) 해당하는 것으로 하는 우선적인 합의를 이루었다.68)
기업들이 세이프하버 원칙을 준수하는 것으로 인정되면, 유럽연합회원국들은 EU
위원회의 기업의 개인정보보호조치의 적정성에 관한 판단에 기속되어야 하고, 개별
기업들은 유럽연합 지침의 예외조항에 해당하는 개인정보에 관한 적절한 수준의 보
호를 하는 것으로 인정되어 정보의 이전이 방해받지 않으며, 개인정보의 이전에 관
한 회원국의 사전동의가 면제되거나 자동승인으로 바뀌며, 유럽연합의 시민들이 미
국 기업을 상대로 제기하는 소송은 일부 예외를 제외하고는 미국의 법원에서 심리
가 되는 등의 이익을 누릴 수 있다.69)
세이프하버 원칙의 상세한 내용 및 이에 관한 상무성의 원칙을 담은 "Frequently
Asked Qu estions(FAQs)"와 원칙을 준수할 것을 선택한 기업들의 명단 등은 미국
상무성의 웹사이트인 http :/ / w ww .export .gov/ safehabor .에서 확인할 수 있다.
세이프하버 원칙의 주요한 내용은 다음과 같다.70)
① 고지(N otice); 기업은 개인정보를 수집할 경우에는 정보수집의 목적, 질문이나
불만이 있을 경우 기업과 연락을 할 방법, 기업이 정보를 공유하게 될 제3자, 정보
주체가 기업에 대하여 자신의 정보에 대한 사용과 공유를 제한하는 옵션과 그 방법
에 관한 내용을 당사자에게 통보하여야 한다.
② 선택(Choice); 기업은 각 개인에게 개인 정보의 이용과 공유에 대한 개인의 수
락여부와 방법을 선택할 수 있는 기회(opt-out)를 제공하여야 한다. 이러한 선택의
기회는 명백하고, 이해하기 쉬우며, 기꺼이 이용할 수 있으며, 이용 가능한 방법으
로 제공되어야 한다. 의학적이나 건강과 같은 민감한 정보나, 인종과 문화와 같은
정보, 정치적 견해, 종교와 철학적 신념, 성생활 관련 정보와 같은 민감한 정보에
대해서는 기업은 명백한 선택(opt-in)을 제공하여야 한다.
③ 제3자 제공(Onw ard Transfer); 기업은 고지와 선택의 원칙 하에서만 제3자에
게 정보를 제공할 수 있다. 기업이 이미 고지에 의하여 제3자와의 정보공유를 인정
받은 경우에는 선택 과정 없이 제3자와 정보를 공유할 수 있다. 단, 이 경우에 제3
자가 세이프하버 원칙을 지킬 것을 미리 선언한 경우이어야 하며, 그렇지 않은 경
우에는 기업은 제3자가 세이프하버 원칙과 동등한 수준으로 개인의 프라이버시를
보호할 것이라는 내용의 계약서에 서명하도록 하여야 한다.
④ 안전성(Security); 개인정보를 창출하고, 유지하고, 이용하고, 유통시키는 기업
67) 구체적으로는 Art. 26(2)로서 내용은 정보수신자(즉 기업 등)가 정보주체의 프라이버시나 기본적인
권리를 보호하는 것을 보장할 수 있으면 그러한 기업들에 대한 정보의 이전은 허용된다는 것이다.68)D. Reed Freedman, Jr ., Elisa A. Nemiroff. Privacy Law In Q2 2002.,
http :/ / www .privacylawplaybook.com/ documents/ , 2002. 6. 1. 방문
69) Id .70) 2000. 7. 21. 상무성에 의하여 발표된 최종안에 기한 것임.
- 19 -
은 그 정보를 의도에 맞게 사용하는 것이 안전하다는 것을 보장할 수 있는 수단을
강구해야 한다. 또한 정보의 손실과 오용, 무단접근, 노출, 변경과 파괴에 관해서도
상당한 주의를 강구해야 한다.
⑤ 자료의 무결성(Data Integrity); 기업은 개인정보를 수집한 목적과 동일한 목적
으로 처리하여야 한다. 이 목적을 위해 필요한 정도로 기업은 이들 자료가 정확하
고, 완전하며, 현재의 것이라는 점을 확신할 수 있는 상당한 조처를 취해야 한다.
⑥ 접근(Access); 각 개인이 기업이 소유하고 있는 개인정보에 대한 합리적인 접
근 수단을 가지고 있어야 한다. 또한 부정확한 정보에 대해 수정하고 보충할 수 있
어야 한다(접근의 합리성은 수집된 정보의 특성과 민감한 정보의 의도적 이용, 그리
고 개인에게 정보에 대한 접근을 제공하는 데 드는 비용과 어려움에 관련되어있다).
⑦ 집행(enforcement); 효과적인 프라이버시 보호를 위해 당해 원칙을 준수하기
위한 매커니즘, 개인의 배상청구권 및 원칙을 준수하지 않을 경우 기업이 받게 될
결과 등을 포함하고 있어야 한다.
한편, 미국은 앞에서 본 더블클릭사의 사례와 같은 일련의 개인정보와 분쟁을 경
험하면서 종래의 법률이나 기업의 자율규제만으로는 인터넷 이용자들의 프라이버시
를 보호하는 데 한계가 있음을 느끼고 2001년 초반부터 개인정보의 보호에 관한
입법을 시도하고 있다.
예컨대, 2001. 1. 29. 상원에서 제안된 법률은 일반공중이 사용하도록 된 컴퓨터소
프트웨어가 이용자에 관한 정보를 수집하고 이를 보유하는 경우에는 첫째, 소프트
웨어가 그러한 기능을 갖고 있다는 사실을 명확하게 고지하여야하고, 둘째, 수집의
대상인 정보를 설명하여야 하며, 셋째, 소프트웨어의 성능이나 기능에 영향을 미치
지 아니하고 그와 같은 정보수집 기능을 무력화하는 방법을 명확하게 설명할 것 등
을 요구하고 있다.71)
또, 2001. 1. 31. 하원에서 제안된 법률은 연방거래위원회로 하여금 인터넷 상에서
개인으로부터 또는 개인에 관하여 수집되는 개인정보의 프라이버시를 보호하고, 정
보의 수집과 이용에 관하여 개별 이용자들의 통제권이 강화되도록 하는 내용의 행
정규칙을 제정할 것을 요구하고 있다. 위 법안은 또한 인터넷 서비스제공자가 이와
같은 연방거래위원회의 행정규칙에 위반하는 방법으로 13세 이상 개인에 관한 개인
정보를 수집, 이용 또는 누설하지 못하도록 규정하고 있다.72) 그밖에 하원은 2001.
2. 13.에는 프라이버시 보호문제를 깊이 있게 연구하기 위한 위원회를 설치하는 내
용의 법률을 제안하기도 하였다.73)
이와 같은 법률안 가운데 아직 하나도 정식 입법에 이른 것은 없지만 이와 같은
법률안이 존재한다는 사실만으로도 미국이 인터넷서비스제공자의 개인정보 침해 문
71) Spyware Control and Privacy Protection Act of 2001, S. 197, 107th Cong(2001)72) Consumer Online Privacy and Disclosure Act, H .R. 347, 107th . Cong.(2001)73) Privacy Commission Act, H .R. 583, 107th Cong.(2001)
- 20 -
제에 관한 이용자들의 우려를 해소하는데 있어서 더 이상 기업의 자율규제에만 의
존하지는 않을 것임을 분명하게 보여주는 것이다.74)
(2) 독일
미국과 달리 독일은 유럽연합과 같이 강력한 정부개입에 의한 개인정보보호
입장에 있는 나라로서 이미 1977년에 연방차원에서 연방데이터보호법을 제정하였
다.
위 법률은 개인정보보호에 대한 일반법으로서 공공 및 민간부문 모두에 적용되는
것으로서 효과적인 개인정보보호를 위하여 연방개인정보보호 감독관, 주정부 개인
정보보호 감독관 등과 같은 개인정보보호 감독체계를 규정하고 있다. 1991년에 개
정된 위 법률은 컴퓨터에 의하여 처리되는 정보뿐만 아니라 공공기관의 수기자료를
포함한 개인에 관한 모든 정보도 적용대상으로 하며, 정보주체의 자기 정보에 대한
청구권, 정정권, 폐쇄권, 삭제권 등의 권리를 보장하고 있으며, 권리침해를 받은 사
람은 연방기관을 통해 해결하도록 하고, 개인정보 수집에 있어서 목적의 명확성 등
에 관한 기본원칙을 규정하고 있다.
독일은 또한 1997년에 정보통신기본법제(멀티미디어법) 정비의 일환으로 텔레서비
스의 개인정보보호법을 제정하여 사이버공간에서 이루어지는 전자상거래 환경에서
발생할 수 있는 여러 가지 문제점들을 법률적으로 해결할 수 있는 기반을 마련하였
다.75)
이처럼 독일정부는 개인정보보호의 중요성을 일찍부터 깨닫고 급변하는 정보화
사회의 물결에 순항하기 위해 여러 가지 지침 및 법안을 마련하여 정부의 적극적인
주도로 규제를 시행하고 있다.
(3) 영국76)
1960년대부터 프라이버시권의 보호를 위한 태동이 시작된 영국은 1970년
Kenneth Younger를 주축으로 하는 프라이버시 위원회가 개인정보보호를 위한 상설
위원회 설치를 권고하고 연이어 영국정부도 컴퓨터와 프라이버시 , 컴퓨터와 프라
이버시에 관한 보호조치 라는 백서를 발간하여 정보보호위원회 설치의 뜻을 적극
피력함에 따라 드디어 영국은 공공부문과 민간부문 모두를 대상으로 하는 옴니버스
형식의 데이터 보호법, 1984 를 제정하게 되었다.
74) Courtenay Youngblood . A New Millennium Dilemma; Cookie Technology, Consumers, A nd the
Future of the Internet, (주 39) p .7675) 위 법률안의 내용에 관해서는 한국전산원이 번역한 독일정보통신 서비스법안 참조, 한국전산원
홈페이지(http :/ / www .nca.or .kr)의 자료실에서 구할 수 있음
76) 하종현, 개인정보보호제도의 딜레마와 효과적인 도입방안 , 1999http :/ / www .kisa.or.kr/ edu / essay99/ index.htm, 9면
- 21 -
동 법은 공공·민간부문의 컴퓨터에 의해 처리되는 개인정보보호를 위한 법으로
서 개인정보의 보호범위, 정보보호의 기본원칙, 정보보호 등록소 및 심판소의 설치,
개인정보처리의 등록 및 감독, 정보 주체로서의 정보정정권, 삭제권 행사의 한계 등
을 규정하고 있다.
그러나 적용대상 규정에서 컴퓨터에 의해 처리되는 개인정보만을 규정하고 실상
업무에 사용되는 수많은 수작업 개인정보를 제외시킨 정부는 개인정보보호에 많은
어려움을 겪게 되었다. 이에 영국정부는 컴퓨터에 의해 처리되는 개인정보는 물론
마이크로필름, 정보카드, 정보인덱스 등 수기 처리정보도 적용대상에 포함하는 개
인기록 접근법(Access-to Personal Files Act, 1987 을 제정하게 되었다.
그 후 기존 정보보호법안의 내용을 계승하면서 OECD의 개인정보보호 지침 의
8개 원칙을 수용하여 정보처리에 보다 엄격한 조항을 부여하는 새로운 모습의 개
인정보보호법, 1998 을 마련하였다.
동 법에서는 EU회원국들간에 시행하고 있는 데이터보호등록관 77) 제도를 시행하
고 있는데 이 제도에서는 개인정보를 보유하고 이용하고자 하는 업체나 개인은 정
보등록소에 소유정보의 내용과 이용목적 등을 미리 서면으로 신고하도록 하고 있
다. 또한 등록관리소에 등록되지 않은 개인정보는 결코 소유하거나 이용할 수 없도
록 규정하고 있다. 그리고 정보사용 시 항상 발생 가능한 분쟁을 해결하고 중재역
할을 담당하는 데이터보호심판소 78)를 설치하도록 하고 있다.
현재 영국은 개인정보 보호를 국가차원의 중요한 과제로 인식하고 각종 법안을
마련하여 시행하고 있다. 그리고 데이터 등록관리소의 관리 부담을 줄이기 위해 기
업연합체나 단체들로 하여금 구성원들에게 정보보호 실행지침을 제공하고 준수를
유도하고 있으며 정보화의 최대 편익을 누림과 동시에 국민의 기본권을 최대한 보
장하려고 노력하고 있다.
(4) 일본79)
일본은 국가가 보유한 개인정보에 관해서는 1988. 12. 제정·공포한 『행정기
관이 보유하는전자계산기처리에따른개인정보의보호에관한법률』에 의해서, 그리고
지방자치단체가 보유하고 있는 개인정보에 관해서는 각 지방자치단체의 조례에 의
해서 규율되고 있다. 현재 일본은 민간부문을 대상으로 한 개인정보보호에 관한 포
괄적인 법률은 없으며, 정부지침·고시와 민간의 자율규제에 의존하고 있다.
일본의 경우에 개인정보보호의 문제에 관하여 정부차원에서 논의되기 시작한 때
는 1974년부터로 초기에는 별도의 입법이 필요치 않다는 견해가 지배적이었다. 또
77) 데이터보호 등록관은 영국여왕이 직접 임명하는 공무원으로 임기는 5년이다.78) 데이터보호 심판소는 검찰총장과 협의 후 대법관이 임명한 의장과 주무장관이 임명하는 위원들
로 구성된다.79) 개인정보침해신고센터(http :/ / www .cyberprivacy.or .kr), 일본개인정보보호동향, 2002. 6. 1. 방문
- 22 -
한 일본은 민간부문에 대한 프라이버시 법규의 적용이 기업활동에 지장을 줄 수 있
다고 보고 정부차원에 프라이버시 법안을 가지고 있지 않다.
그러나 1989년 통상산업성은 『민간부문에 있어서 전자계산기처리와 관련한 개인
정보의 보호에 관한 지침』을 채택한 바 있으며, 이후 정보기술의 발전 및 EU 수준
으로 적절하게 개인정보를 보호하지 않는 국가에게로 개인정보의 이전을 금지하는
1995년의 EU지침의 제정 등 국내외의 환경변화의 영향으로 1997년 3월에 통상산업
성이 위 1989년의 지침을 『민간부문에 있어서 전자계산기처리와 관련한 개인정보
의 보호에 관한 가이드라인』(1997. 3. 4. 통상산업성 고시 제98호)으로 개칭하고 그
내용을 대폭 수정·보완하여 공표하였다. 한편 우정성에 의한 정보통신사업에서의
개인정보 보호지침(1991) 도 공표된 바 있다.
민간부문에서의 개인정보처리 시 개인정보보호는 위에서 언급한 1997년 3월에 개
정된 민간부문에서의 전자계산기 처리에 관련된 개인정보 보호에 관한 가이드라인
에 기초하고 있다. 일본의 각 사업자단체는 이 통산성의 가이드라인을 참고하여 자
체적인 가이드라인을 제정하여 운영하고 있다. 1997년 사이버산업연합회의 사이버
산업에서의 개인정보보호를 위한 가이드라인 , 1998년 3월 전자상거래실증추진협의
회의 전자상거래에 있어서의 개인정보보호 가이드라인 등이 그것이다.
일본은 EU지침에서 규정한 적절한 개인정보보호 수준 확보 의 한 방안으로서
일본 산업규격인 개인정보보호규격(JIS Q 15001)을 1999년 3월 제정하여 개인정보보
호에 관한 인식제고에 노력하고 있다. 또한 EU 등 국제간 거래환경 조성을 위해 개
인정보보호의 중요성을 부각시키기 위한 다각적인 노력을 하고 있으며 이와 아울러
통산성 산하 재단법인 일본정보처리개발협회에서는 1998년 4월 1일부터 개인정보
보호지침 을 근거로 하여 개인정보취급 관련 전 사업자를 대상으로 민간부문에서
자율적으로 개인정보보호를 위해 프라이버시마크제도를 시행하고 있다.
우정성 산하 일본데이터통신협회에서도 개인정보보호등록센터를 개설하여 개인정
보보호 마크제도를 1998년 4월 30일부터 시행하고 있다. 우정성은 통산성과는 달리
대상사업자를 전기통신사업자와 발신정보통지서비스(Number Display Service)의 사
업용 이용자로 제한하여 마크를 부여하고 있으며 1998년 12월까지 현재 마크를 부
여받은 등록업체는 8개 업체이다.
1994. 8월에는 고도정보통신사회 구축을 위한 시책을 종합적으로 추진하고 정보
통신의 고도화에 관해 국제적인 대응을 하기 위하여 일본 총리를 본부장으로 하는
고도정보통신사회추진본부가 설치되었다. 위의 추진본부는 1998년 11월에 개인정보
보호와 관련하여 정부가 민간에 의한 자주적인 대처를 촉진함과 동시에 법률에 의
한 규제도 검토할 필요가 있다 고 언급하여 개인정보보호법제의 필요성을 지적하였
다.
일본 국회에서도 개인정보보호의 기본방침에 대해서 종합적인 검토를 거친 후 법
제도 정비를 포함한 사회시스템을 갖추어 나간다는 방침을 확인하여 이를 뒷받침하
- 23 -
고 있다. 1999년 7월에는 고도정보통신사회추진본부 하에 개인정보보호 검토부회(檢
討部會)를 설치 운영하기 시작하였고 여기에서 일본정부의 각 부처가 개인정보보호
에 관한 문제점들을 종합적으로 검토할 수 있게 되었다. 검토부회에서는 1999년 11
월 9일 개인정보보호에 관한 중간보고서를 발표하였다. 이 중간보고서에는 (1) 전
분야를 포괄하는 기본법을 제정, 관민 모두에게 적용할 수 있는 원칙을 확립하고
(2) 신용정보, 의료정보, 전기통신의 3개 분야는 개별법을 제정하여 대응하며 (3)보
도·출판, 학술·연구 분야에 대해서는 원칙의 적용을 제외하는 것을 검토한다는
등을 주요내용으로 하고 있다. 2000년 6월 9일 현재 10회에 이르는 검토부 회의를
개최하여 각급 관청 및 지방자치단체에서 행정기관으로서의 개인정보보호 대처상
황, 사회 각 분야, 업계에서의 대처방안에 대해 청문회를 실시하고 있으며 민간단체
등이나 언론기관으로부터도 개인정보 보유상황이나 보호에 대한 대처상황, 기본방
침에 대한 청문회를 실시하여 오고 있다.
개인정보보호 시스템을 확립하기 위해서는 기본적인 법제의 제정이 중요하다는
것을 인식한 일본은 역시 고도정보통신사회추진본부 하에 전문적인 법제검토를 위
하여 개인정보보호법제화전문위원회를 설립하여 운영하고 있다. 1999년 12월에 발
족한 개인정보보호법제화전문위원회는 2000년 6월에 개인정보보호기본법제에 관한
대강안(중간안)을 발표하였고, 2000년 9월 8일 현재 24회에 이르는 전문위원회의를
개최하여 정부와 사회 각 분야의 전문가로부터 방대한 분량의 의견을 수렴하여 법
제화에 반영하려 하고 있는 중이다.
개인정보보호기본법제 대강(최종)에서는 개인정보가 인격존중의 이념 아래 신중하
게 취급되어야 한다는 대전제를 명시하고 이어서 개인정보 취급의 5개 원칙을 다음
과 같이 밝히고 있다.
① 이용목적에 의한 제한 - 개인정보는 당해 이용목적의 달성에 필요한 범위 내에
서 취급되어야 한다.
② 적정한 방법에 의한 취득 - 개인정보는 적법하고 적정한 방법에 의하여 취득되
어야 한다.
③ 내용의 정확성 확보 - 개인정보는 이용목적의 달성에 필요한 범위 내에서 정
확·최신의 내용으로 유지되어야 한다.
④ 안전보호조치의 실시 - 개인정보는 적절한 안전보호조치에 의해 취급되어야 한
다.
⑤ 투명성의 확보 - 개인정보의 취급은 본인이 적절히 관여할 수 있는 투명성이 확
보되어야 한다.
V. 우리나라의 개인정보 보호 법제
1. 서론
- 24 -
개인정보 특히 컴퓨터나 인터넷 등에 의하여 수집되고 처리되는 개인정보의
이용과 보호에 관한 법체계는 유럽과 같이 민간부문과 공공부문을 총괄하는 일반법
을 두는 입장도 있을 수 있으나 우리나라에서는 공공기관과 민간부문을 구분하여
공공부문에 관해서는 공공기관의개인정보보호에관한법률에 의하여 이를 규율하고
있고 민간부문에 있어서는 각 금융실명거래및비밀보장에관한법률, 신용정보의이용
및보호에관한법률, 통신비밀보호법, 전기통신사업법, 정보통신망이용촉진및정보보호
등에관한법률 등에서 개별적으로 보호하고 있다.
이와 같은 민간부문에 있어서 개인정보보호에 관한 법률가운데 인터넷과 관련된
개인정보보호에 관한 기본적인 법률은 최근에 제정된 정보통신망이용촉진및정보보
호등에관한법률이다.80) 한편, 정보통신부는 위와 같은 법률적인 강제 규범의 제정과
함께 업계가 자발적이며 체계적으로 개인정보를 보호·관리할 수 있도록 지원하는
모델로서 개인정보보호마크제도를 도입하여 시행하고 있다.
여기서는 먼저 민간부문에서의 개인정보보호에 관한 기본법이라고 할 수 있는 정
보통신망이용촉진및정보보호에관한법률 가운데 개인정보보호에 관한 주요내용과 개
인정보보호 마크제도를 살펴보고, 현행 법률의 문제점으로 제기되는 점들에 관하여
살펴본다.
2 . 개인정보보호에 관한 법률의 주요 내용
(1) 연혁
정보통신망이용촉진및정보보호등에관한법률은 인터넷 산업의 궁극적인 발전
을 위해서는 인터넷 이용자의 개인정보를 보호하는 것이 필요하다는 인식 아래 개
인정보보호를 위하여 사업자에 대한 규제를 강화하되, 일부 불합리한 규제는 이를
완화하기 위하여 종래 정보통신망이용촉진등에관한법률을 2001. 1. 16. 법률 제6360
호로 정보통신망이용촉진및정보보호등에관한법률(이하 정보통신망법)이란 이름으로
전문 개정한 것이다.
(2) 적용대상
정보통신망법은 본법의 적용대상인 정보통신서비스제공자에 관하여 전기통신
사업법 제2조 제1항 제1호의 규정에 의한 전기통신사업자와 영리를 목적으로 전기
통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는
자(법 제2조 제1항 3호)로 정의하고, 정보통신부고시인 개인정보보호지침은 이를 좀
더 구체적으로 정의하여 전기통신회선설비를 설치하고 이를 이용하여 전기통신사업
80) 법률의 입안 과정에 대해서 보다 자세한 것은 김철완, 이민영 「인터넷 개인정보보호 법제에관한
연구 」(주 62) 181-189면
- 25 -
법시행규칙 제3조의 기간통신역무를 제공하는 사업자로서 정보통신부장관의 허가를
받은 자인 기간통신사업자, 기간통신사업자의 전기통신회선설비 등을 이용하여 기
간통신역무를 제공하는 사업자 또는 전기통신사업법시행규칙 제3조의2에서 정하는
구내에 전기통신설비를 설치하거나 이를 이용하여 그 구내에서 전기통신역무를 제
공하는 사업자로서 정보통신부장관에게 등록한 자인 별정통신사업자, 기간통신사업
자로부터 전기통신회선설비를 임차하여 부가통신역무를 제공하는 사업자로서 정보
통신부장관에게 신고한 자인 부가통신사업자로 규정하고 있다.
그런데 법 제58조에서는 개인정보보호에 관한 규정인 제22조 내지 제32조의 규정
은 정보통신서비스제공자 외의 자로서 재화 또는 용역을 제공하는 자중 대통령령이
정하는 자가 자신이 제공하는 재화 또는 용역을 제공받는 자의 개인정보를 수집·
이용 또는 제공하는 경우에 이를 준용한다고 하여 그 개인정보보호에 관한 규정의
적용범위를 확대하고 있으며, 시행령 제28조는 위 개인정보보호 규정의 준용 대상
인 사업자로서 관광진흥법 제3조제1항의 규정에 의한 여행업 또는 호텔업을 행하는
자, 항공법 제2조 제26호의 규정에 의한 항공운송사업을 행하는 자, 학원의설립·
운영및과외교습에관한법률 제2조 제1호의 규정에 의한 학원 또는 동조 제2호의 규
정에 의한 교습소를 설립·운영하는 자, 재화 또는 용역을 제공하면서 회원제 또는
그와 유사한 형태로 개인정보를 수집하는 사업자로서 관계 중앙행정기관의 장과 협
의하여 정보통신부령으로 정하는 자 등을 말한다고 규정하고 있다.
(3) 개인정보의 수집
1) 이용자의 동의의 원칙
정보통신서비스제공자는 이용자81)의 개인정보를 수집하는 경우 당해 이
용자의 동의를 얻어야 한다. 여기서 개인정보라 함은 앞에서 본 바와 같이 생존하
는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 당해 개인을 알아볼 수
있는 부호·문자·음성·음향 및 영상 등의 모든 정보로서 당해 정보만으로는 특정
개인을 알아볼 수 없는 경우에도 다른 정보와 용이하게 결합하여 알아볼 수 있는
것을 포함한다(법 제2조 제1항 제5호).
동의의 방식에 관하여 정보통신부 고시인 개인정보보호지침(2002. 1. 18., 이하 지
침)82)은 당해 이용자의 서명날인, 전자서명, 전자우편, 전화 또는 홈페이지상의 동의
81) "이용자"라 함은 정보통신서비스제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다(정보
통신망법 제2조 제1항 4호
82) 개인정보보호지침은 정보통신망이용촉진및정보보호등에관한법률에서 요구하고 있는 사항에 대한
구체적인 기준을 제시하여 개인정보 취급 사업자로 하여금 개인정보보호 규정에 대한 자발적인 준
수를 기대하는 것이므로 행정지도의 성격을 갖는다고 볼 수 있다. 또한 동 지침은 사업자의 개인정
보보호 조치를 위한 가이드라인 및 이용자의 권리구제 방법 등에 활용될 수 있으며, 지침 규정에
위반할 경우에는 법률에 근거한 과태료 등의 행정처분이 따를 수도 있다는 예고적 성격을 가진다.정보통신부 한국정보보호진흥원, 개인정보보호지침 해설서, 2002. 4. p . 1
- 26 -
란에 대한 표시 등의 방법(전화에 의한 동의는 향후 입증을 위하여 상대방과의 합
의 하에 통화내용을 녹취할 수 있다)에 의한다고 규정하고 있다.83)
다만, 정보통신서비스 이용계약의 이행을 위하여 필요한 경우, 정보통신서비스 제
공에 따른 요금정산을 위하여 필요한 경우, 법률에 특별한 규정이 있는 경우 등에
는 당사자의 동의를 요하지 않는다.(법 제22조 제1항 단서)
정보통신서비스제공자가 이용자로부터 개인정보 수집에 관한 동의를 얻고자 하는
경우에는 미리 개인정보관리책임자의 성명·소속 부서·직위 및 전화번호 기타 연락
처, 개인정보의 수집목적 및 이용목적, 개인정보를 제3자에게 제공하는 경우의 제공
받는 자, 제공목적 및 제공할 정보의 내용, 제30조 제1항·제2항 및 제31조 제2항의
규정에 의한 이용자 및 법정대리인의 권리 및 그 행사방법, 정보통신서비스제공자
가 수집하고자 하는 개인정보 항목, 수집하는 개인정보의 보유기간 및 이용기간 등
을 이용자에게 고지하거나 정보통신서비스이용약관에 명시하여야 한다(법 제22조
제2항, 시행령 제10조).
2) 수집의 제한
정보통신서비스제공자는 사상·신념·과거의 병력 등 개인의 권리·이익
및 사생활을 현저하게 침해할 우려가 있는 개인정보를 수집하여서는 아니 된다. 이
때에도 이용자의 동의가 있거나 다른 법률에 수집대상 개인정보가 명시되어 있는
경우에는 그러하지 아니하다(법 제23조 제1항).
한편 개인정보보호 지침은 서비스제공자는 이용자의 기본적 인권을 현저하게 침
해할 우려가 있는 인종 및 민족, 사상 및 신조, 출신지 및 본적지, 정치적 성향 및
범죄기록, 과거의 병력 등 건강상태 및 성생활 등의 내용을 담은 개인정보를 수집
하여서는 아니 된다. 다만, 법률에 수집대상 개인정보가 명시되어 있거나 서비스 제
공에 직접적으로 관련되어 필요한 경우로서 이용자의 동의가 있는 경우에는 예외로
한다 고 규정하여 법률의 요건을 보다 강화하여 규정하고 있다(지침 제8조 제1항).
정보통신서비스제공자는 이용자의 개인정보를 수집하는 경우 정보통신서비스의
제공을 위하여 필요한 최소한의 정보를 수집하여야 하며, 필요한 최소한의 정보 외
의 개인정보를 제공하지 아니한다는 이유로 당해 서비스의 제공을 거부하여서는 아
니 된다(법 제23조 제2항). 서비스제공자가 이용자의 개인정보를 수집하는 경우에는
성명, 연락처 등 기본적인 서비스제공을 위하여 필요한 항목인 필수항목과 기본적
인 서비스 외에 이용자에게 부가적인 서비스 제공과 직결되어 필요한 항목인 선택
항목으로 구분하여 이용자가 선택적으로 자신의 개인정보를 제공할 수 있도록 하여
야 하며 서비스제공자는 이용자가 선택항목에 해당하는 개인정보를 제공하지 아니
한다는 이유로 기본적인 서비스 제공을 거부하여서는 아니 된다(지침 제8조 제3항
83) 지침 제5조 제2항
- 27 -
제4항).
(4) 개인정보의 이용 및 이용제공
정보통신서비스제공자는 당해 이용자의 동의가 있거나, 정보통신서비스의
제공에 따른 요금정산을 위하여 필요한 경우, 통계작성·학술연구 또는 시장조사를
위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 가공하여 제공하는 경
우, 금융실명거래및비밀보장에관한법률, 신용정보의이용및보호에관한법률, 전기통신
기본법, 전기통신사업법, 지방세법, 소비자보호법, 한국은행법, 형사소송법 등 법률
에 특별한 규정이 있는 경우 등을 제외하고는 개인정보를 수집당시 고지한 범위 또
는 정보통신서비스이용약관에 명시한 범위를 넘어 이용하거나 제3자에게 제공하여
서는 아니 된다(법 제24조 제1항, 지침 제9조 제1항).
또한 정보통신서비스제공자로부터 이용자의 개인정보를 제공받은 자는 당해 이용
자의 동의가 있거나 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보
를 제공받은 목적외의 용도로 이를 이용하거나 제3자에게 제공하여서는 아니 된다
(법 제24조 제2항).
정보통신서비스제공자나 그로부터 개인정보를 제공받은 자가 이용자의 동의를 받
기 위해서는 미리 당해 이용자에게 개별적으로 서면, 전자우편, 전화 등으로 당해
이용자가 종전에 동의한 사항(서비스제공자가 종전에 고지 또는 약관에 명시한 사
항을 포함한다), 고지 또는 약관에 명시한 범위나 제공받은 목적범위를 넘어 개인정
보를 이용 또는 제공하는 사항, 이용자의 동의하지 않을 권리와 의사표시 방법, 기
타 이용자의 동의를 얻기 위하여 필요한 사항 등을 고지하여야 한다(지침 제9조 제
3항).
정보통신서비스제공자와 그로부터 이용자의 개인정보를 제공받은 자(정보통신서
비스제공자 등)는 이용자의 개인정보를 취급하는 자를, 이용자를 직접 상대로 하여
마케팅 업무를 수행하는 자, 개인정보관리책임자 등 개인정보관리업무를 수행하는
자, 기타 업무상 개인정보의 취급이 불가피한 자로 정하여 최소한으로 제한하여야
하며(법 제24조 제3항, 지침 제10조), 이용자의 개인정보를 취급하거나 취급하였던
자 또한 직무상 알게 된 개인정보를 훼손·침해 또는 누설하여서는 아니 된다(법
제24조 4항).
(5) 개인정보 처리의 위탁 등
정보통신서비스제공자 등이 타인에게 이용자의 개인정보의 수집·취급·관리
등을 위탁하는 경우에는 서면, 전자우편, 전화 또는 홈페이지를 통하여 미리 그 사
실을 이용자에게 고지하여야 하며(법 제25조 제1항, 지침 제12조 제1항), 개인정보의
- 28 -
수집을 위탁받은 자 또한 위탁에 의하여 개인정보를 수집하는 때에는 미리 위탁받
은 사실을 당해 정보주체에게 고지하여야 한다(지침 제12조 제4항).
정보통신서비스제공자등이 위탁 계약을 체결하는 때에는 수탁자와의 사이에 기술
적·관리적 보호의무, 개인정보에 관한 비밀유지 의무, 처리하는 개인정보의 제3자
제공 금지, 손해배상 책임의 귀속에 관한 내용, 기타 개인정보를 안전하게 처리하기
위하여 필요한 사항 등을 합의하여 서면 또는 전자적 기록으로 보존하여야 한다.
정보통신서비스제공자등으로부터 개인정보의 처리를 위탁받은 자는 당해 업무와
관련하여 이 장의 규정을 위반하여 발생한 손해의 배상책임에 한하여 정보통신서비
스제공자 등의 소속직원으로 본다(법 제25조 제2항).
(6) 영업의 양수 등의 통지
정보통신서비스제공자등이 영업의 전부 또는 일부를 양도하거나 합병·상속
등으로 그 권리·의무를 이전하는 경우 이용자에게 영업의 전부 또는 일부의 양도,
합병 또는 상속 등의 사실과 정보통신서비스제공자등의 권리·의무를 승계한 자의
성명(법인의 명칭), 주소(본점 소재지), 전화번호 기타 연락처 등의 사항을 인터넷홈
페이지에 최소 30일 이상 게시하거나84) 서면·전자우편 그 밖의 방법으로85) 이용자
에게 통지하여야 한다(법 제26조 제1항 및 시행령 제11조 제1항).
정보통신서비스제공자등으로부터 영업의 전부 또는 일부를 양수 받거나 합병·상
속 등으로 정보통신서비스제공자등의 권리·의무를 승계한 자 또한 정보통신서비스
제공자등의 권리·의무를 승계한 사실 및 해당 정보통신서비스제공자등의 성명, 개
인정보관리책임자의 성명·소속 부서·지위 및 전화번호 기타 연락처, 개인정보의
이용목적, 개인정보의 수집·이용 및 제공에 관한 동의 철회, 개인정보의 열람 또는
정정 요구 등 이용자의 권리 및 그 행사방법, 개인정보 항목, 개인정보의 보유기간
및 이용기간 등에 관한 사항을 위와 같은 방법으로 이용자에게 통지하여야 한다(법
제25조 제2항 및 시행령 제11조 제1항, 제3항, 제4항).
(7) 개인정보관리책임자
정보통신서비스제공자등은 이용자의 개인정보를 보호하고 개인정보와 관련
한 이용자의 불만을 처리하기 위하여 이용자 개인정보의 수집·이용·제공 및 관리
84) 위 게시는 인터넷 홈페이지의 첫화면에서 식별할 수 있도록 게시하여야 한다. 지침 제14조 제1항1호
85) 정보통신서비스제공자등이 과실 없이 이용자의 연락처를 알지 못하거나 천재·지변 그 밖에 통지
할 수 없는 정당한 사유가 있는 경우에는 2 이상의 중앙일간지(이용자의 대부분이 특정지역에 거
주하는 경우에는 그 지역을 보급구역으로 하는 일간지로 할 수 있다)에 1회 이상 공고하는 것으로
갈음할 수 있다(시행령 제11조 제2항). 그러나 이때에도 연락처를 알고 있는 이용자에 대하여는 서
면 또는 전자우편에 의한 통지를 하여야 한다(지침 제14조 제1항 제2호).
- 29 -
에 관한 업무를 총괄하고, 서비스제공자등의 소속 직원 또는 제3자에 의한 위법·
부당한 개인정보 침해행위에 대한 점검, 이용자로부터 제기되는 개인정보에 관한
불만이나 의견의 처리 및 감독, 기타 이용자의 개인정보 보호에 필요한 업무를 수
행할 개인정보관리책임자를 지정하여야 한다(법 제27조 제1항, 지침 제15조 제1항).
개인정보관리책임자는 정보통신서비스제공자등의 임원 또는 개인정보와 관련하여
이용자의 고충처리를 담당하는 부서의 장의 지위에 있는 자 또는 개인정보 취급 부
서의 장이어야 한다(법 제27조 제2항, 시행규칙 제3조, 지침 제15조 제2항).
(8) 개인정보의 보안 및 파기
정보통신서비스제공자등은 이용자의 개인정보를 정확하고 최신의 상태로 관
리하여야 하며(지침 제16조), 이용자의 개인정보를 취급함에 있어서 개인정보가 분
실·도난·누출·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관
리적 조치를 강구하여야 한다(법 제28조). 기술적 보호조치에 관해서 지침은 백신
프로그램의 설치·운영 등 컴퓨터바이러스 방지 조치, 암호알고리즘 등의 이용을
통하여 개인정보를 안전하게 네트워크상에서 전송할 수 있는 보안 조치, 침입차단
시스템 등 접근통제장치의 설치·운영, 기타 안전성 확보를 위하여 필요한 기술적
조치 등을 열거하고 있다(지침 제17조).
정보통신서비스제공자등은 또한 관리적 정보보호조치로서 이용자의 개인정보에
대한 접근 및 관리에 필요한 절차 등을 마련하여 소속 직원으로 하여금 이를 숙지
하고 준수하도록 하여야 하고(지침 제18조 제1항), 컴퓨터를 이용하여 이용자의 개
인정보를 처리하는 경우에는 개인정보에 대한 접근권한을 가진 담당자를 지정하여
식별부호(ID) 및 정기적으로 갱신되는 비밀번호를 부여하여야 하고(지침 제18조 제2
항), 인터넷 홈페이지를 통하여 회원가입 등 서비스이용계약 체결 또는 서비스제공
을 위하여 이용자의 신용카드번호, 은행결제계좌 및 사용내역 등 대금결제에 관한
정보를 수집하거나 이용자에게 제공하는 경우 식별부호(ID) 및 비밀번호 확인, 전자
서명의 사용 등 당해 이용자가 본인임을 확인하기 위하여 필요한 조치를 하여야 한
다.
정보통신서비스제공자등은 개인정보의 수집목적 또는 제공받은 목적을 달성한 때
에는 당해 개인정보를 지체 없이 파기하여야 한다. 다만, 다른 법령의 규정에 의하
여 보존할 필요성이 있는 경우에는 그러하지 아니하다(법 제29조). 단서 조항에 해
당하는 경우에 관하여 지침은 상법 등 법령의 규정에 의하여 보존할 필요성이 있는
경우, 개인정보 수집시의 고지를 통하여 보유기간을 미리 이용자에게 고지하거나
명시한 경우, 개별적으로 이용자의 동의를 받은 경우 등을 예시하고 있다(지침 제19
조 제1항). 개인정보 파기의 방법으로는 종이에 출력된 개인정보의 경우에는 분쇄기
로 분쇄하거나 소각하고, 전자적 파일 형태로 저장된 개인정보는 기록을 재생할 수
- 30 -
없는 기술적 방법을 사용하여 삭제하여야 한다(지침 제19조 제2항).
(9) 이용자의 권리
이용자는 정보통신서비스제공자등에 대하여 언제든지 개인정보 수집 및 제3
자 제공 등에 관한 동의를 철회할 수 있으며(법 제30조 제1항), 동의가 철회되면 정
보통신서비스제공자는 본인 여부를 확인하고 법령에 다르게 규정하고 있는 경우를
제외하고는 당해 개인정보를 파기하는 등 지체 없이 필요한 조치를 취하여야 한다
(지침 제20조 제1항). 인터넷 홈페이지를 통하여 주된 서비스를 제공하는 정보통신
서비스제공자등은 이용자가 인터넷 홈페이지에서 자신의 개인정보에 대한 수집, 이
용 또는 제공에 대한 동의를 철회할 수 있도록 필요한 조치를 취하여야 한다(지침
제20조 제2항). 정보통신서비스제공자등은 이용자가 제1항의 규정에 의하여 동의를
철회한 경우에는 지체 없이 수집된 개인정보를 파기하는 등 필요한 조치를 취하여
야 하며(법 제30조 제3항), 이용자의 동의철회에 따라 당해 이용자의 개인정보를 파
기하는 등의 조치를 취한 경우에는 그 사실을 이용자에게 지체 없이 통지하여야 한
다(지침 제20조 제3항).
정보통신서비스 이용자는 정보통신서비스제공자등에 대하여 자신의 개인정보에
대한 열람을 요구할 수 있으며, 자신의 개인정보에 오류가 있는 경우에는 그 정정
을 요구할 수 있다(법 제30조 제2항). 이용자가 방문하거나 서면, 전화, 전자우편, 전
자서명 또는 이용자 ID 등을 이용하여 자신의 개인정보에 대한 열람 또는 정정을
요구하는 경우에는 본인 여부를 확인하고 지체 없이 필요한 조치를 취하여야 한다
(법 제30조 제4항, 지침 제21조 제1항).
정보통신서비스제공자등은 이용자로부터 제1항 및 제2항의 규정에 의한 동의의
철회, 개인정보의 열람 또는 정정의 요구를 받은 경우에는 개인정보를 수집하는 방
법보다 쉽게 할 수 있도록 필요한 조치를 취하여야 하고(법 제30조 제6항), 인터넷
홈페이지를 통하여 주된 서비스를 제공하는 서비스제공자등은 이용자가 인터넷 홈
페이지에서 자신의 개인정보에 대한 열람 또는 정정을 수행할 수 있도록 필요한 조
치를 취하여야 한다(지침 제21조 제2항).
정보통신서비스제공자등은 제2항의 규정에 의하여 오류의 정정요구를 받은 경우
에는 그 오류를 정정할 때까지 당해 개인정보를 제공 또는 이용하여서는 아니 되며
(법 제30조 제5항), 이용자의 요구에 의하여 정정 조치를 한 경우에는 그 사실을 지
체 없이 당해 이용자에게 통지하여야 하고 당해 개인정보의 전부 또는 일부에 대하
여 열람 또는 정정을 거절할 정당한 이유가 있는 경우에는 이용자에게 이를 지체
없이 통지하고 그 이유를 설명하여야 한다(지침 제21조 제5항, 제6항).
정보통신서비스제공자가 만 14세 미만의 아동으로부터 제22조의 규정에 의하여
개인정보를 수집하거나 제24조제1항의 규정에 의하여 이용 또는 제3자에게 제공하
- 31 -
고자 하는 경우에는 그 법정대리인의 동의를 얻어야 한다. 이 경우 정보통신서비스
제공자는 그 아동에게 법정대리인의 동의를 얻기 위하여 필요한 법정대리인의 성명
등 최소한의 정보를 요구할 수 있다(법 제31조 제1항). 법정대리인은 동의를 철회할
수 있으며, 당해 아동이 제공한 개인정보에 대한 열람 또는 오류의 정정을 요구할
수 있다(법 제31조 제2항).
이용자는 정보통신서비스제공자 등이 이 장의 규정을 위반한 행위로 손해를 입
은 경우에는 그 정보통신서비스제공자 등에 대하여 손해배상을 청구할 수 있다. 이
경우 당해 정보통신서비스제공자 등은 고의 또는 과실이 없음을 입증하지 아니하면
책임을 면할 수 없다(법 제32조).
(10) 개인정보분쟁조정위원회
1) 설치 및 구성
개인정보에 관한 분쟁을 조정하기 위하여 개인정보분쟁조정위원회(이하 "
분쟁조정위원회"라 한다)를 둔다. 분쟁조정위원회는 위원장 1인을 포함한 15인 이내
의 위원으로 구성하며, 그 중 1인은 상임으로 한다(법 제33조 제1항 제2항).
위원은 대학이나 공인된 연구기관에서 부교수급 이상 또는 이에 상당하는 직에
있거나 있었던 자로서 개인정보보호관련 분야를 전공한 자, 4급 이상 공무원 또는
이에 상당하는 공공기관의 직에 있거나 있었던 자로서 개인정보보호업무에 관한 경
험이 있는 자, 판사·검사 또는 변호사의 자격이 있는 자, 정보통신서비스이용자단
체의 임원의 직에 있거나 있었던 자, 정보통신서비스제공자 또는 정보통신서비스제
공자단체의 임원의 직에 있거나 있었던 자, 비영리민간단체지원법 제2조의 규정에
의한 비영리민간단체에서 추천한 자 중에서 정보통신부장관이 임명하며(법 제33조
제2항), 위원의 임기는 3년으로 하고, 연임할 수 있다(법 제33조 제3항). 위원장은
위원 중에서 정보통신부장관이 임명한다(법 제33조 제5항).
2) 조정의 효력 등
위원회의 조정안을 제시받은 당사자는 그 제시를 받은 날부터 15일 이내
에 그 수락여부를 분쟁조정위원회에 통보하여야 한다(법 제38조 제2항). 당사자가
제3항의 규정에 의하여 조정안을 수락하고 조정서에 기명날인한 때에는 당사자간에
조정서와 동일한 내용의 합의가 성립된 것으로 본다(법 제38조 제4항).
분쟁조정위원회는 분쟁의 성질상 분쟁조정위원회에서 조정함이 적합하지 아니하
다고 인정하거나 부정한 목적으로 신청되었다고 인정하는 경우에는 당해 조정을 거
부할 수 있다. 이 경우 조정거부의 사유 등을 신청인에게 통보하여야 한다(법 제39
조 제1항). 분쟁조정위원회는 신청된 조정사건에 대한 처리절차를 진행 중에 일방
- 32 -
당사자가 소를 제기한 때에는 그 조정의 처리를 중지하고 이를 당사자에게 통보하
여야 한다(법 제39조 제2항).
(11) 개인정보침해 신고 센터
정보통신망법은 정부는 정보의 안전한 유통을 위한 정보보호에 필요한 시
책을 효율적으로 추진하기 위하여 한국정보보호진흥원을 설립하고 정보보호진흥원
내에 개인정보침해신고센터를 운영하도록 규정하고 있다.
개인정보침해신고센터는 개인정보 침해방지 및 보호와 관련한 법 제55조제5항의
규정에 의한 기술적 자문 그밖에 필요한 지원, 개인정보침해와 관련한 고충처리 및
상담, 개인정보침해 관련 대책 연구, 개인정보침해방지를 위한 교육 및 홍보, 기타
위 업무에 부수되는 사업 등을 수행한다(시행령 제26조 제1항).
(12) 위반행위에 대한 처벌
개인정보를 수집시 고지한 범위 또는 서비스 이용약관에 명시한 범위를 넘
어 이용하거나 제3자에게 제공한 정보통신서비스제공업자, 정보통신서비스제공자로
부터 이용자의 개인정보를 제공받은 자로서 이용자의 개인정보를 제공받은 목적 외
의 용도로 이용하거나 제3자에게 제공한 자, 이용자의 개인정보를 훼손·침해 또는
누설한 자 등에 대하여는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다(법
제62조 1, 2, 3호).
또한, 법 제22조 제1항의 규정을 위반하여 개인정보를 수집한 자, 제22조 제2항
의 규정을 위반하여 이용자에게 고지하지 아니하거나 이용약관에 명시하지 아니한
자, 법 제23조 제2항의 규정을 위반하여 개인정보를 수집하거나 서비스의 제공을
거부한 자, 제25조 제1항의 규정을 위반하여 위탁사실을 이용자에 고지하지 아니한
자, 제26조(법 제58조의 규정에 의하여 준용되는 경우에 해당되는 자를 포함한다)의
규정을 위반하여 통지를 하지 아니한 자, 제27조제1항(법 제58조의 규정에 의하여
준용되는 경우에 해당되는 자를 포함한다)의 규정을 위반하여 개인정보관리책임자
를 지정하지 아니한 자, 제29조 본문(법 제58조의 규정에 의하여 준용되는 경우에
해당되는 자를 포함한다)의 규정을 위반하여 개인정보를 파기하지 아니한 자, 제30
조제3항 내지 제6항(법 제30조 제7항·제31조 제3항 및 제58조의 규정에 의하여 준
용되는 경우에 해당되는 자를 포함한다)의 규정을 위반하여 필요한 조치를 취하지
아니하거나 개인정보의 오류를 정정하지 아니하고 이를 이용한 자, 제31조제1항(법
제58조의 규정에 의하여 준용되는 경우에 해당되는 자를 포함한다)의 규정을 위반
하여 아동의 개인정보를 수집한 자 등에 대하여는 500만원 이하의 과태료에 처한다
(법 제67조 제1항).
- 33 -
3. 개인정보보호마크제도
(1) 의의
개인정보보호마크제도는 정부의 지원 하에 민간부문에서 자율적인 개인정보
보호 기준을 마련하고 그 기준에 부합하는 사업자에 대하여 인증마크를 부여함으로
서 이용자들이 합리적인 선택을 할 수 있도록 하는 제도로서 미국이나 일본에서 민
간자율에 의한 개인정보보호의 신뢰성을 높이기 위한 유력한 수단으로 활용되는 제
도이다.86) 우리나라는 금년 초부터 이 제도를 도입하여 시행하고 있다.
(2) 제도의 내용87)
우리나라에서 시행되고 있는 개인정보보호마크제도는 한국정보통신산업협회
주관으로 개인정보를 수집·취급하는 인터넷 사이트 운영자(사업자) 및 온라인 사업
자를 대상으로 개인정보 보호마크(프라이버시마크)를 부여하는 것을 기본으로 하고
있다. 신청 대상은 인터넷서비스사업자, 전자상거래사이트를 운영하는 자 등 개인정
보를 수집·취급·관리하는 인터넷 사이트 운영자 및 온라인 사업자로서 인터넷 사
이트(ww w .privacym ark.or .kr 또는 www .tru stm ark.or .kr)를 통하여 수시로 접수하며
심사기준은 총 59개 항목(필수 16개, 선택 43개)에 달하는 개인정보보호에 관한 정
책 및 관리수준을 종합적으로 평가하며88) 심사절차는 사무국의 온라인 심사와 실사
팀의 서류 심사 및 사실 심사를 거치고 인증위원회의 최종심사를 거쳐 심의 확정된
다. 심사결과 인증된 기업에 대해서는 사후에도 온라인 수시 모니터링을 실시하고
이용자 불편신고센터를 설치·운영하여 심사기준 불이행·위반업체에 대한 상시감
독 및 시정권고를 하게된다.
인증을 취득한 업체에 대하여는 주민등록번호 생성기를 통한 비실명 또는 위장가
입 회원검색을 위해 개인실명 확인 서비스 무료 또는 할인서비스를 제공하고, 전자
서명 공인 인증서 서버모듈 구축비 할인에 관한 업무협력을 통해 취득업체의 전자
86) 미국에서는 Tru stE와 BBB Online 이라는 두 개의 프로그램에서 인터넷서비스제공자의 개인정보보
호지침 및 그 준수여부를 모니터링하여 인증하는 제도가 시행되고 있다. 미국과 일본의 개인정보보
호 인증마크 제도에 대해서는 윤재석, 국가간 개인정보 유통에 관한 정책연구, 한국정보보호센터
2000. 12. 43-56면 및 57-63면 각 참조
87) 정보통신부, 개인정보보호마크제도 시행 안내문, 개인정보보호지침해설서, 2002. 4. 부록 1. 80면이하
88) 필수항목은 모두 만족해야 하며 주요 심사항목은 다음과 같다.·개인정보의 수집 및 제한, 쿠키 활용, 이용자 동의에 관한 사항
·개인정보의 이용 제공 제한, 기술적 관리적 대책 여부
·권리 의무 이전에 따른 개인정보의 관리에 관한 사항
·개인정보의 파기 위탁처리에 관한 조치 사항
·이용자의 권리(동의 철회, 열람, 정정)에 관한 사항
·개인정보보호 정책 및 괸리책임자 교육 조치 여부
·비밀유지 및 만 14세 미만의 아동에 관한 조치 여부
·이용자 권리구제에 관한 조치 여부 등
- 34 -
서명 관련 투자비 절감혜택을 부여함으로써 인증취득에 따른 이점을 제공한다.
또한 해외프라이버시 마크 인증기관과 마크 상호인정추진으로 OECD, EU 등 국
제시장의 개인정보보호 규제 권고에 대한 자체 대책으로 활용할 수 있다.89)
4 . 현행법률에 대한 평가
(1) 서론
정보통신망법은 앞에서 본 각종 국제기구의 개인정보보호에 관한 여러 원칙
과 각국의 입법례를 참고하여 민간부문에서 정보통신기술을 이용하여 수집되고 활
용되는 개인정보의 수집과 활용 및 그 보호에 관한 우리의 실정에 맞는 규제 모델
을 확립함으로써 정보통신서비스의 이용자들에게는 정보통신서비스의 이용에 있어
개인정보가 부당하게 침해당하지 않는다는 신뢰를 갖게 하고, 정보통신서비스제공
자들의 입장에서는 일정한 테두리 내에서 합법적으로 인터넷 등을 통하여 제공되는
개인정보를 기업의 경영에 활용할 수 있는 근거를 마련하였다는 데 그 의의가 있다
고 할 것이다.
특히, 정보통신망법이 개인정보의 수집과 이용에 관하여 동의(법 제22조 제1항,
제23조 제1항), 고지(법 제23조 제2항), 목적외 이용 및 제3자에의 이전 제한(법 제
24조 제1항, 제2항), 개인정보의 보호(제28조), 목적 달성후 파기(제29조), 이용자의
동의 철회권, 정정요구권, 접근권(제30조) 등을 인정한 것은 앞서본 OECD 원칙이나
EU의 개인정보보호 지침을 대부분 수용한 것으로서 우리나라의 민간부문에 있어서
의 개인정보보호 수준을 적어도 제도적으로는 국제적인 기준에 맞는 수준으로 끌어
올렸다고 말할 수 있다
그러나, 다른 한편으로는 현행 정보통신망법이 개인정보보호규정의 적용대상을
정보통신서비스제공업자 이외의 자에게도 확대함으로써 사실상 민간부문에서의 개
인정보보호에 관한 일반법이라고 할 수 있음에도 불구하고 여전히 정보통신망이용
촉진법의 일부분으로 입법됨으로써 입법형식상 문제가 있고 그밖에 법률 내용의 해
석과 관련하여서도 다소 불합리한 점이 있다. 이하에서는 현행 정보통신망법의 이
와 같은 문제점 및 개선방향에 관하여 살펴본다.
(2) 법체계상의 문제점
현행법률의 개인정보보호에 관한 규정은 앞에서 본 바와 같이 그 적용범위를
정보통신서비스제공자 뿐만 아니라 재화 또는 용역을 제공하는 자중 대통령령이 정
하는 자가 자신이 제공하는 재화 또는 용역을 제공받는 자의 개인정보를 수집·이
89) 2000. 2. 5. 한국정보통신산업협회와 일본정보처리개발협회는 각자의 개인정보보호 인증마크를 상
호 인정하는 양해각서(MOU)를 채택하였다.
- 35 -
용 또는 제공하는 경우까지 이를 확장함으로써 사실상 민간부문에 있어서의 개인정
보보호에 관한 기본법으로서의 역할을 기대할 수 있는 법률임에도 정보통신망이용
촉진및개인정보보호등에관한법률이라는 형태로 이를 입법한 것은 법률의 목적이나
입법취지에 비추어 문제가 있다.
최근의 민간부문에 있어서의 개인정보 보호가 논의되기 시작한 것은 주로 정보통
신기술의 발달로 인하여 기업들의 수집과 활용이 용이해짐에 따른 개인의 프라이버
시 침해 우려가 높아지면서이기 때문에90) 개인정보 보호에 관한 논의들이 주로 정
보통신망을 통한 개인정보의 수집 및 이용 문제에 집중되어 있었기 때문이라는 측
면이 있으나, 실제 개인정보의 오·남용이나 도용에 의한 피해는 정보통신망을 이
용한 개인정보의 수집이나 이용에 한정되지 않고 당해 개인정보에 의해 수행된 거
래에 따라 그 내용이 달라지고 이에 따라 구체적인 규제 수단·방법도 달라져야 하
는 것이므로 개인정보의 보호를 주로 정보통신망 이용 관련 문제의 연장선상에서만
취급하는 것은 적절한 일이 아니다.91)
물론, 민간부문에서 개인정보의 침해의 우려가 가장 높은 부분이 정보통신서비스
의 이용과정이라는 사실과, 또한 인터넷을 이용한 정보통신서비스 산업이 이제 막
초기단계라는 점 등을 고려하면, 현재와 같이 정보통신망이용촉진을 위한 법에 개
인정보보호에 관한 규정을 두는 현재의 입법체계 또한 정보통신망이용 촉진을 통한
정보통신서비스 산업의 발전과 정보통신서비스 제공자의 개인정보 오·남용으로부
터 이용자의 권리보호의 조화를 찾기가 쉽다는 점에서 그 장점이 있다.
그러나, 향후 인터넷, 전자화폐 등의 기술이 더욱 발달하여 오프라인의 거래보다는
온라인 거래가 일상화된다면 개인정보의 보호는 단순한 정보통신서비스제공업자들
의 문제가 아니라 일반적인 상거래 전체에 걸친 문제가 될 수 있기 때문에 장기적
으로는 전체 민간부문을 포괄하는 일반법으로서의 개인정보보호법률로 발전하여야
할 것이고 아울러 현재의 법률 내용도 새로운 경제 패러다임에 맞도록 수정되어야
할 것이다.
나아가 신용정보, 의료정보, 병역정보 등이 복합되어 침해를 받게 되는 경우와 같
이 점차 다양해지는 침해형태에 따른 피해 구제의 필요성 등에 비추어 신용정보이
용보호법, 공공기관의 개인정보보호법 등 다양한 법률에 산재되어 있는 개인정보보
호 관련 규정을 일정하게 통합하여 공·사를 아우르는 일반법으로서의 개인정보보
호 법률을 제정하는 것이 필요하다는 견해도 있다.92)
(3) 보호대상
현행법률이 보호대상이 되는 개인정보를 살아있는 자연인에 관한 정보만을
90) 예컨대, 정재훈, supra91) 이성구, 전자상거래에서의 소비자보호 법제 정비 (주 3),77면92) 김연수, 「개인정보보호」사이버출판사, 2001, 522면
- 36 -
보호하는 것에 대해서는 명예훼손죄가 사망한 자에 대한 명예까지 보호하고 있다는
점과 비교할 때, 생존해 있는 사람의 개인정보만을 보호대상으로 삼는 것은 개인의
프라이버시라는 개인정보의 내재적 가치에 주목하기보다는 개인정보의 이용가치라
는 측면에 더 주목하는 것이 아닌가 하는 비판이 제기되고 있다.93)
특히, 법률이 개인의 동의가 있다면 개인정보를 수집할 수 있다고 함으로써 개인
정보 보호의 문제를 당사자 사이의 계약의 문제로 처리하는 하는 것은 개인정보 그
자체의 목적적 가치보다는 도구적 가치에 더 큰 비중을 두고 있음을 보여주고 있다
는 것이다.94) 예컨대 소위 러브호텔 에서 큰 화재가 나서 많은 사상자가 발생했을
경우, 그 사망자의 개인 신상에 관한 정보들이 공개되는 것은 본인과 그 가족의 프
라이버시를 침해할 가능성이 없지 않으므로 개인정보보호의 문제를 개인의 프라이
버시 보호라는 측면에서 접근하면 생존해 있지 않은 사람의 정보를 보호 대상에서
굳이 배제할 이유가 없다는 것이다.
그러나, 개인정보보호의 법적근거인 프라이버시권의 한 내용으로서의 개인정보자
기결정권은 당사자의 동의가 있다면 언제든지 개인정보가 수집되고 유통될 수 있음
을 전제로 하는 것이므로 법률이 개인정보의 보호 문제를 정보주체에게 일임하고
있다는 이유만으로 개인정보에 관하여 그 이용가치라는 도구적인 면을 중요시한 것
이라는 비난은 타당하지 않다고 본다.95) 오히려, 정보통신기술의 발달에 따라 종래
의 사생활 보호 관련 법률에 의해서는 그 보호가 충분하지 못한 영역에 대하여 법
률을 통하여 보호의 외연을 확대한 것이라고 보는 것이 옳을 것이다.
사망한 자에 관한 개인정보의 경우에는 그것이 사망한 자에 관한 개인정보에 그
치지 않고, 그 후손이나 기타 관련자들로서 생존한 자에 관한 식별정보로도 이용될
수 있는 경우에는96) 현행 법률에 의해서도 보호될 여지가 있는 것이고 그것이 사자
의 명예를 훼손하는 허위의 정보인 경우에는 형법상의 사자명예훼손죄(형법 제308
조)에 의하여 처벌될 수 있을 것이다.
다만, 현행 법률이 그 법률명칭에서 짐작되듯이 정보통신망의 이용촉진이라는 국
가 정책목표와 정보통신망의 확대에 따른 개인정보의 침해 문제의 조화를 모색하는
과정에서 나온 법률이기 때문에 개인정보 그 자체의 오·남용으로 인한 프라이버시
침해의 방지보다는 개인정보의 수집과 이용과정에서의 기업과 개인의 이익의 조화
에 중점을 두고 있는 것은 사실이라고 생각되므로 장차 법률의 운영이나 개정 시에
참작해야될 것이라고 생각한다.
93) 김성언, 개인정보침해에 관한 조사연구, 한국형사정책연구원, 2001. 12. 59-64면
94) 위의 책, 같은 면
95) 앞에서 본 유럽의 개인정보지침에서도 개인정보에 관한 권리를 기본적 인권(fundamental humanright)이라고 하면서도 동의에 의한 개인정보 수집을 허용하고 있다.
96) 예컨대, 사망한 자의 유전적 질환에 관한 정보는 그 후손의 유전적 질환 가능성에 관한 정보로서
이용될 수 있다.
- 37 -
(4) 제3자의 수집행위
현행법은 정보통신제공자 등이 이용자의 개인정보를 수집하는 경우에 당해
이용자의 동의를 얻어야 하는 것으로 규정하고 있고(법 제22조 제1항), 이용자라 함
은 정보통신서비스제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다고 하
고 있어 정보통신서비스제공자가, 자신의 정보통신서비스를 제공받는 자가 아닌 제
3자로 하여금 앞서본 쿠키나 웹버그 등의 방법으로 이용자의 정보를 수집할 수 있
게 하는 경우에는 즉 서비스 제공자와 개인정보수집 주체가 서로 다른 경우에는 개
인의 동의 없이도 여러 가지 정보를 수집할 수 있는 것으로 해석될 여지가 있다.
즉, 앞서 본 더블클릭사의 사례와 같이 정보통시서비스제공자가 쿠키 등의 기술
을 이용하여 그와 계약관계에 있는 홈페이지에 방문하는 개인들의 구매 정보 등을
이용하는 경우와 같이 이용자가 개인정보를 수집하는 자의 서비스를 직접 이용하지
않는 경우에는 정보수집 행위를 규제할 아무런 방법이 없는 것으로 해석될 여지가
있다.97) 따라서 예컨대 정보통신서비스제공자가 그와 계약관계에 있는 제3자로 하
여금 그가 제공하는 정보통신서비스의 이용자에 관한 정보를 수집할 수 있도록 쿠
키 등을 제공하는 경우나 스파이웨어나 이메일 주소 수집 프로그램 등을 통하여 자
신이 제공하지 않는 정보통신서비스를 이용하는 인터넷 이용자의 정보를 수집하는
경우에도 직접 또는 간접적으로 본인의 동의를 받도록 명확히 규정할 필요가 있다.
(5) 기술적 수단에 의한 정보수집
현행 법률은 예컨대 쿠기나 웹버그와 같은 기술적 수단을 이용하여 이용자가
의식하지 않는 때에 수집되는 정보에 관하여 명확한 규정을 두고 있지 않다.98) 따
라서 쿠키의 이용에 관한 이용자의 포괄적인 동의가 있다면 쿠키를 이용하여 어떠
한 정보를 어떠한 때에 수집해도 좋다는 것인지 아니면, 쿠키에 의하여 수집될 이
용자에 관한 정보를 미리 밝히고 이에 관한 동의를 받아야 하는 것인지가 명확하지
않다. 다만 정보통신부 지침의 해설에는 서비스제공자가 쿠키를 이용하여 이용자의
접속 정보, 전자우편 정보 등을 수집하는 경우에는 쿠키에 관한 기술적 사항을 설
명할 필요는 없으나 쿠키의 설정, 운영, 쿠키를 통하여 얻은 정보 및 그 활용에 대
하여 이용자에게 충분한 설명을 하여야 한다고 설명하고 있으나 이와 같은 지침만
으로는 그 규제가 충분하다고 할 수 없고, 쿠키와 같이 이용자가 의식하지 않는 가
97) 김연수, 「개인정보보호」(주 92) 390-395면은 이와 같은 경우에 법 제22조 제1항을 적용할 수 없
다는 견해(즉 이용자는 정보수집자의 정보통신서비스를 이용하는 자에 한정된다는 견해)와 적용할
수 있다는 견해(즉 이용자는 누구의 서비스를 이용하는 가를 묻지 않고 일반적으로 정보통신서비
스를 이용하는 자를 의미한다는 견해)가 나누어 진다고 설명하고 있다.98) 다만 앞서 본 정보통신부 지침은 제7조는 서비스제공자가 준수할 개인정보보호방침으로
서 인터넷 홈페이지 접속정보파일 (cookies )의 운영에 관한 사항 을 이용자에게 공개하여
야 한다고 규정하고 있다.
- 38 -
운데 개인정보를 수집하는 것은 이용자의 프라이버시를 침해할 가능성이 많고 또
앞서 본 바와 같이 제3자에 의한 도용의 가능성도 많은 것이므로 반드시 쿠키를 이
용한다는 사실 및 쿠키를 이용하여 수집하는 정보의 구체적인 내용에 관해서 모두
사전에 고지하고 동의를 받도록 하여야 할 것이다.
(6) 수집제한 규정의 문제점
법률 제23조는 정보통신서비스제공자는 사상·신념·과거의 병력 등 개인의
권리·이익 및 사생활을 현저하게 침해할 우려가 있는 개인정보를 수집하여서는 아
니 된다고 규정하면서도 단서에서 이용자의 동의가 있거나 다른 법률에 수집대상
개인정보가 명시되어있는 경우에는 그러하지 아니하다고 규정하고 있다. 그 결과
단서의 규정으로 인하여 이용자의 동의만 있으면 사상·신념·과거의 병력 등과 같
이 개인의 권리나 사생활을 현저하게 침해할 우려가 있는 개인정보도 수집할 수 있
는 것이 되어 버렸다. 즉 제22조에 의하여 이용자의 동의가 있으면 수집할 수 있는
일반적인 정보와 그 수집의 요건이 결과적으로 같아져 버려 사상·신념·병력 등과
같은 개인의 권리·이익 및 사생활을 현저하게 침해할 우려가 있는 개인정보의 수
집에 관한 요건을 따로 규정한 의미가 사실상 없어진 셈이다.
다만 정보통신부 고시인 개인정보보호지침은 법률에 수집대상 개인정보가 명시되
어있거나99) 서비스제공에 직접적으로 관련되어 필요한 경우로서100) 이용자의 동의
가 있는 경우에 한하여 사상·신념·병력 등과 같은 민감한 정보를 수집할 수 있는
것으로 동의의 요건을 강화하여 규정하고 있으나(지침 제8조 제1항 단서), 이는 정
보통신부 고시에 불과한 지침으로 규정할 것이 아니라 법률에 그와 같은 정보수집
의 요건을 명확히 하여야만 수집제한 대상 정보를 따로 규정한 의미를 찾을 수 있
을 것이다.
99) 인터넷으로 의료 상담 및 진료를 하기 위하여 이용자의 개인정보를 수집 또는 제공하고자 하는
경우에는 의료법 규정에 의하여 제1항 각호에 규정된 수집 금지에 해당하는 이용자의 개인정보를
수집할 수 있다.* 의료법 제20조 (기록 열람등) ①의료인 또는 의료기관 종사자는 이 법 또는 다른 법령에서 특히
규정된 경우를 제외하고는 환자에 관한 기록의 열람·사본교부등 그 내용확인에 응하여서는 아
니 된다. 다만, 환자, 그 배우자, 그 직계존비속 또는 배우자의 직계존속(배우자·직계존비속 및
배우자의 직계존속이 없는 경우에는 환자가 지정하는 대리인)이 환자에 관한 기록의 열람·사본
교부 등 그 내용확인을 요구한 때에는 환자의 치료목적상 불가피한 경우를 제외하고는 이에 응
하여야 한다.<개정 1987.11.28, 1994.1.7, 2000.1.12>②제1항의 규정에 불구하고 의료인은 동일한 환자의 진료상 필요에 의하여 다른 의료기관에서
그 기록·임상소견서 및 치료경위서의 열람이나 사본의 송부를 요구한 때 또는 환자가 검사기
록 및 방사선필름등의 사본 교부를 요구한 때에는 이에 응하여야 한다.<신설 1994.1.7>③의료인은 응급환자를 다른 의료기관에 이송할 때에는 환자이송과 동시에 초진기록을 송부하
여야 한다.,지침 해설서 33면
100) 구체적으로는 요금 할인을 적용하기 위하여 신체장애 및 국가 보훈 대상 여부의 정보를 수집하
는 경우 등이다.
- 39 -
입법론으로는 사상·신념·병력과 같은 민감한 정보는,101) 그 정보가 본인의 의사
에 반하여 공개되었을 때 개인이 받게될 정신적 고통을 고려하여 법률의 규정이나
서면에 의한 동의가 있는 경우에 한하여 수집할 수 있는 것으로 엄격하게 제한하는
것이 필요하다고 생각한다.
(7) 형벌 규정의 문제점
현행 법률은 제24조 제4항에서 이용자의 개인정보를 취급하였거나 취급하였
던 자는 직무상 알게된 개인정보를 훼손, 침해, 또는 누설하여서는 아니 된다고 규
정하면서 제62조에서 위 조항에 위반하여 이용자의 개인정보를 훼손, 침해, 또는 누
설한 자는 5년 이하의 징역이나 5천만원 이하의 벌금에 처한다고 규정하고 있는
바, 구체적으로 개인정보를 훼손하거나 침해한다는 것이 무엇을 의미하는 것인지
명확하지 않다.
즉 개인정보를 훼손한다는 것이 개인정보가 담겨진 컴퓨터 파일 등을 물리적으로
훼손한다는 것인지 아니면 개인정보의 내용을 변경하는 것을 포함하는 것인지, 변
경하는 것을 포함한다고 할 때에도, 예컨대 주민등록번호 1자리 숫자 정도 바꾸는
것도 훼손으로 볼 것인지, 전과 사실이나 구매취소 또는 반품 경력과 같이 일반적
으로 불리한 사실을 삭제하는 것도 훼손이라고 볼 수 있는 것인지 그러한 경우에도
훼손이라고 한다면 그때의 피해자는 누구인지 등 그 구체적으로 의미하는 바가 불
분명하다.
또한 직무상 알게된 개인정보를 침해 한다는 것도 구체적으로 어떤 행위를 말하
는 것인지 불분명하다. 직무상 알게된 개인정보를 누설하는 것과는 어떻게 다르고
훼손과는 또 어떻게 다른 것인지도 명확하지 않고 예컨대 직무상 알게된 개인정보
를 이용하여 단순히 본인에게 적합한 광고메일을 보내는 것도 침해에 해당하는 것
인지가 명확하지 않다.102)
특히 개인정보라는 것이 상대적으로 개념이 명확하지 않은 권리이고, 현행법률은
개인정보에 관하여 독립적으로 또는 다른 정보와 결합하여 개인을 식별할 수 있는
모든 문언적, 비문언적 정보를 포함함으로써 그 침해의 대상이 매우 넓기 때문에
그 구체적인 훼손이나 침해행위의 유형을 명확하게 규정하지 않은 채 그 행위에 대
하여 형사적인 처벌을 하는 규정을 둔 현행 법률은 헌법이 규정하고 있는 죄형법정
주의에 반하는 것으로서 위헌의 논란을 야기할 수 있다.103)
101) 한국적인 상황에서는 출신지역도 비교적 민감한 정보에 해당한다고 할 수 있다.102) 만약 그와 같은 경우에도 침해라고 한다면 5년 이하의 징역이나 5천만원이하의 징역이라는 법정
형은 지나치게 과도한 것이다.103) 사실 개인정보를 침해하는 행위를 형사적으로 규제하는 경우에 그 기본이 되는 권리인 프라이버
시권의 개념이 다의적이고 불명확하다는 점 때문에 죄형법정주의의 지배를 받는 형법상의 일반적
규제가 적절하지 않다는 지적은 이미 제기되어왔다. 김영철, 사생활비익권에 대한 형사적보호의 태
양, 저스티스 1997. 3., 61-62면, 정재훈, 전게논문 145면에서 재인용,
- 40 -
따라서 개인정보를 훼손하거나 침해하는 행위가 구체적으로 어떤 행위인지를 법
률에 명확히 규정할 필요가 있으며 그 규정의 방식은 부정경쟁방지및영업비밀보호
에관한법률 제2조 제3호의 규정을 참고할 만 한다.104) 또한 그와 같이 훼손이나 침
해에 관한 정의규정을 두는 경우에는 훼손과 누설을 따로 구분할 것이 아니라 개인
정보 침해행위에 포괄하여 규정하는 것이 바람직하다고 생각한다.
(8) 조정제도의 문제점
정보통신망법은 개인정보에 관한 분쟁의 조정을 위하여 분쟁조정위원회를 두
고 개인정보와 관련한 분쟁을 조정을 통해 해결하고자 하고 있다(법 제33조 내지
제40조). 그러나 정보통신망법에 규정된 분쟁조정 제도는 매우 불완전한 제도로서
다음과 같은 문제점을 가지고 있으므로 입법적으로 개선이 되어야 한다고 생각한
다.
현행 법률은 조정의 효력에 관하여 분쟁조정위원회는 조정안을 작성한 때에는 지
체 없이 이를 각 당사자에게 제시하여야 하고, 조정안을 제시받은 당사자는 그 제
시를 받은 날부터 15일 이내에 그 수락여부를 분쟁조정위원회에 통보하여야 하
며,105) 당사자가 조정안을 수락하고 조정서에 기명날인한 때에는 당사자간에 조정서
와 동일한 내용의 합의가 성립된 것으로 본다고 규정하고 있다. 이는 조정이 성립
하더라도 이는 당사자간의 약정으로서의 효력밖에 없어 그 집행을 위해서는 다시
소송이 필요하다는 것으로서 분쟁해결 수단으로서의 조정제도의 실익이 반감될 수
밖에 없다.
따라서 기왕에 국가 예산을 들여 개인정보분쟁조정위원회라는 기구를 두고 개인
정보와 관련된 분쟁을 효율적으로 해결하려고 한다면 조정의 효력을 단순한 개인간
의 합의에 그치게 할 것이 아니라 당해 분쟁에 관한 재판상 화해의 효력이 있는 것
으로 규정함으로써 조정제도의 활성화를 꾀할 필요가 있다.106) 물론 개인분쟁조정위
원회의 조정을 재판상화해와 같은 효력을 하기 위해서는 그 조정 절차 또한 재판절
차에 준하는 절차로 상세하게 규정이 되어야 할 것이다.
이와 관련하여 현행법은 개인정보의 침해로 인한 손해가 발생한 경우에 고의·과
실에 관한 입증책임을 전환하는 이외에 별다른 절차상 또는 실체법상 특례를 인정
하지 않고 있는바, 개인 정보를 도용 당한 경우 이외에는 개인정보의 침해로 인한
손해는 대개의 경우 재정적 손해보다는 정신적 손해에 그치는 것이고 그 금전적 가
104) 부정경쟁방지및영업비밀보호에관한법률 제2조 3호는 營業秘密 침해행위의 유형에 관하여 상세히
규정하고 있다. 그밖에 저작권법 제95조의 2, 형법 제316조 등 참조
105) 수락여부를 통지하지 않은 경우에 조정이 불성립한 것으로 본다는 것인지 아니면 수락한 것으로
간주하는 것인지도 명확하지 않다.106) 모델은 저작권법상의 저작권심의조정위원회(저작권법 제81조 내지 제90조)나 컴퓨터프로그램보호
법상의 컴퓨터프로그램심의조정위원회(컴퓨터프로그램보호법 제32조 내지 제43조) 등이 될 수 있을
것이다.
- 41 -
치는 쉽게 평가할 수 없을 뿐만 아니라 인정되는 금액 또한 비교적 소액에 그칠 가
능성이 많아 피해자 개인의 입장에서는 소송에 의하여 그 피해를 구제하는 것은 쉽
지 않을 것이라고 예상된다.
따라서 조정의 효력이 강화되고 조정제도가 활성화된다면 비교적 단순한 개인정
보의 오·남용으로 이용자들의 피해를 효과적으로 구제하는 중요한 수단이 될 수
있으리라고 예상된다.
(9) 기타 해석상의 문제점
그밖에 현행 법률의 해석과 관련하여 다음과 같은 문제점을 지적하는 견해가
있다.107)
첫째로, 법대로라면 정보통신서비스제공자는 이용자의 개인정보 수집시 반드시
본인의 동의를 받도록 되어 있어(법 제22조) 제3자로부터 이용자의 개인정보를 수집
하거나 공개된 소스로부터 이용자의 개인정보를 수집하는 것은 전면 금지되는 것으
로 이해될 수도 있다. 그러면서도 본인의 동의를 받아 제3자에게 개인정보를 제공
할 수는 있다(법 제24조)고 하여 모순된 관계를 보여준다. 그렇다면 정보서비스제공
자인 제3자로부터는 개인정보의 수집이 가능한데 기타의 사업자나 개인으로부터는
당사자 외의 개인정보를 수집할 수 없는 문제가 제기된다는 것이다.
그러나, 정보통신서비스 제공자인 제3자로부터 수집하는 경우에는 이용자가 정보
통신서비스제공자에게 수집된 정보의 제3자 제공을 허락하였기 때문이고 다른 기타
의 사업자나 개인의 경우에는 이용자의 제3자 제공에 대한 동의가 없었기 때문에
그 수집이 허용되지 않는 것은 당연하다고 할 것이므로 반드시 모순된 것이라고는
할 수 없다.
둘째로, 인터넷의 보급으로 정보통신서비스 제공자의 범위가 매우 확대되었는데도
법 적용대상 범위를 그대로 두고 있어 시시한 동네 의원이나 비디오가게까지도 홈
페이지를 만들어 정보를 제공하면 정보통신서비스 제공자로 되어 정보통신부령이
정한 개인정보관리자를 지정해야 하는 등 각종 규제를 준수해야 하는 문제가 있다.
한편 이러한 문제로 인해 국회 심의과정에서 법적용 대상을 영리를 목적으로 하는
정보통신서비스 제공자로 제한하였는데, 이로 인해 비영리 단체 등의 개인정보관리
는 법적 규제의 공백지대로 되는 문제를 야기하고 있다는 점이다.108)
이는, 결국 법적용의 대상을 어디까지로 할 것인가 하는 입법정책의 문제로서 향
후 법률의 개정과정에서 좀 더 심도있게 논의되어야 할 문제라고 생각한다.
셋째로, 제3자에게 개인정보를 제공할 때에는 정보통신서비스의 제공에 따른 요
107) 이성구, 전자상거래에서의 소비자보호 법제 정비 , (주 3), 77면 이하
108) 백윤철, 헌법상 개인정보자기결정권에 관한 연구 , (주 11), 178면도 같은 문제점을 지적하고 있
다.
- 42 -
금 정산 등을 위한 경우를 제외하고는 언제나 동의를 받아야 하므로(법 제24조), 전
자상거래에서 사이버몰 운영자가 입점 사업자의 판매활동이나 계약이행을 위해 필
요한 최소의 정보를 제공하는 과정에서도 개인정보 제공에 대한 동의를 받아야 하
는 문제를 제기하고 있다는 것이다.
그러나 이는 현행법률 규정의 합목적적 운영이나 해석을 통하여 예컨대, 사이버
몰 운영자가 거래시 또는 회원가입시 거래약관 또는 회원가입 약관을 통하여 미리
동의를 받아두는 것을 유효한 것으로 해석하거나, 판매대금 정산 등을 위하여 필요
한 경우를 정보통신서비스의 제공에 따른 요금 정산 등을 위하여 필요한 경우에 포
함되는 것으로 해석하는 방법 등을 통하여 충분히 해결할 수 있는 문제라고 생각한
다.
넷째로, 본인의 요구가 있는 경우에 사업자가 수집된 개인정보를 파기해야 한다
는 것(법 제30조)은 실제로 통제도 불가능할뿐더러 만일 신문사와 같이 중요한 개인
정보를 보관하고 보도에 사용하여야 할 사업자에 대하여 당사자들이 삭제를 요구한
다면 개인에 의한 사업자의 재산권 침해가 될 수도 있는 것이다.
그리고 1회 최초 가입시 선물을 주는 사이버몰이 있다면 소비자는 1회 가입한 후
선물을 받고 사이버몰에게 자신의 개인정보의 삭제를 요구한 후 다시 가입해서 또
선물을 받을 수도 있다는 것이다.
매일 매일 우후 죽순처럼 생겨났다가 다시 사라지는 인터네 사이트들이 법에 정
한 개인정보보호 정책을 준수하는 지를 일일이 감시한다는 것 자체가 불가능한 것
은 사실이다. 그러나 통제가 불가능하다고 하여 통제자체를 포기하여서는 아니 될
것이며 또한 개인정보의 파기여부를 사전에 일일이 통제할 수는 없다고 할지라도
파기하여야 할 개인정보를 실제로 이용한 것이 사후에 발견된 경우에는109) 이에 대
한 통제가 가능할 것이므로 탈퇴후의 이용행위를 금지할 수 있다는 면에서 의미가
있을 것이고, 신문사에서 보도에 사용해야할 개인정보라면 이는 헌법상의 표현의
자유 또는 언론의 자유와 관련된 문제로 해결할 수 있을 것이다. 그리고 선물을 미
끼로 회원가입을 유도하는 사이버몰의 경우 이는 해당 사이버 몰의 경영상의 판단
에 따른 판촉활동으로서 그로 인한 이해 득실은 업자 스스로 감당해야하는 것일 뿐
만 아니라,110) 회원탈퇴 시에는 경품의 대가를 그동안의 이용요금의 형태로 징수하
는 방법 등을 강구해서 손해를 줄일 수도 있을 것이다.
4 . 결론
109) 예컨대, 회원을 탈퇴하였음에도 불구하고 광고성 메일이 계속 온다든가, 종래의 아이디와 패스워
드로 계속이용이 가능한 경우에는 사후적으로 통제가 가능하다.110) TV홈쇼핑의 경우에도 충동구매로 인한 소비자들의 반품이 많아 그 손해를 줄이기 위해 다양한
노력을 기울이고 있다고 한다. 조선일보 2002. 3. 20. 자, 결국 이와 같이 경품이나 반품으로 인한
비용들은 전체적으로 판촉활동 비용의 일종으로 개별기업들이 부담할 부분이지 그와 같은 비용증
가 때문에 법률에 정해진 이용자의 기본적인 권리가 제한되는 일이 있어서는 아니될 것이다.
- 43 -
정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자의 개인정보를 보
호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성함으로
써 국민생활의 향상과 공공복리의 증진에 이바지함을 목적으로 하여 제정된 정보통
신망법은 앞에서 언급한 바와 같이 컴퓨터와 인터넷 등 정보통신기술을 이용한 개
인정보의 수집과 활용의 합리적 기준을 제시함으로써 정보통신망을 이용하는 이용
자에게 정보통신기술의 이용에 따른 불안감을 해소하게 하고, 정보통신서비스제공
자를 비롯한 기업들에게는 합법적인 틀 안에서 개인정보를 효과적으로 수집하고 활
용할 수 있는 행위준칙(code of conduct)을 마련하였다는 점에 큰 의미가 있다. 또
한 유럽국가들과 같이 개인정보 보호에 관한 강력한 국가 규제를 요구하는 나라들
과의 정보교류에 있어서도 우리나라가 국제적인 기준에 걸맞은 개인정보보호정책을
시행하고 있음을 보여줌으로써 불필요한 마찰을 줄일 수 있게 되었다고도 할 수 있
을 것이다.
그러나, 앞에서 언급한 바와 같이 법률의 규정에 있어서 몇 가지 정밀하지 못하
거나 위헌논란의 소지가 있는 규정이 있고, 또한 법률이 정보통신을 이용한 개인정
보의 수집과 활용에 있어서의 개인의 권리와 기업의 이익의 조화에 중점을 두다보
니 개인정보의 오·남용을 막을 구체적인 대책과 오·남용으로 인한 개인의 유·무
형적 손해의 구제에 관한 규정이 충분하지 않다는 점은 앞으로 좀더 깊은 연구와
검토를 거쳐 개선되어야 할 부분이다.
또한, 현행 법률이 개정된 지 얼마 되지 않은 초기단계의 문제일 수도 있지만, 최
근의 조사결과에 의하면111) 아직도 상당수 정보통신서비스 제공업자들이 법률에 규
111) 다음은 한겨레 신문 2002. 6. 18. 자 보도내용이다.『인터넷쇼핑몰이 편리한 상품구매 수단으로 각광을 받고 있음에도 불구하고 대다수의 인터넷쇼핑
몰 운영업체들은 개인정보 보호 관련법 규정을 준수하지 않고 있는 것으로 드러났다. 정보통신부는
지난 4월 1일부터 한달 동안 한국정보보호진흥원의 개인정보침해신고센터와 공동으로 인터넷쇼핑
몰을 대상으로 개인정보 보호실태를 조사한 결과 조사대상 150개 업체중 72.7%에 달하는 93개 업
체가 `정보통신망 이용촉진 및 정보보호 이용에 관한 법률'이 규정하고 있는 각종 개인정보 보호
관련 의무를 위반한 것으로 나타났다고 17일 밝혔다. 정통부는 이번에 적발된 인터넷쇼핑몰 업체중
3가지 이상의 법규를 위반한 9개업체에 대해 각각 200만원의 과태료를 부과하고 나머지 84개 업체
에 대해서는 시정명령을 내렸다. 이번에 적발된 업체들은 개인정보의 수집 및 이용 목적, 개인정보
관리 책임자, 개인정보 보유기간 등 개인정보 관련 고지사항을 알리지 않거나 부모 등 법정 대리인
의 동의를 얻지 않고 14세 미만 아동의 개인정보를 수집하는 등 관련 법규를 위반한 것으로 드러
났다. 정통부는 또 이번 조사에서 대다수의 인터넷 쇼핑몰들이 개인정보의 처리 및 관리에 관한 내
부규정이나 지침없이 비체계적으로 개인정보를 관리하고 있는 것으로 나타났다고 밝혔다. 예컨대
인터넷쇼핑몰 업체들은 협력업체인 상품배송 업체에 소비자의 주문정보를 제공하면서도 이 개인정
보가 어떻게 이용, 보관하고 있는지에 대해 관리감독을 소홀히 하고 있어 협력업체들에 의한 스팸
메일 전송 등 개인정보 오·남용이 우려되고 있다. 이와 함께 사내 개인정보 보호 취급자들에 대한
체계적이고 전문적인 개인정보보호 교육이 이뤄지지 않고 있는 것도 문제점으로 지적됐다고 정통
부는 덧붙였다. 정통부는 인터넷쇼핑몰 업체의 개인정보 보호체계 정립을 위해 `인터넷쇼핑몰 개인
정보 보호 가이드라인'을 마련, 보급하고 인터넷쇼핑몰 업체의 개인정보 관리책임자와 한국정보보
호진흥원, 한국정보통신산업협회 등 업계 관계자들로 `인터넷쇼핑몰 개인정보 보호 협의체'를 구성,자율규제를 추진할 계획이다. 정통부는 하반기에는 인터넷쇼핑몰 이외의 다른 정보통신서비스와 항
공사, 여행사, 학원, 호텔 등 오프라인 사업자에 대해서도 개인정보보호 현황을 조사, 개선방안을
수립할 계획이다.
- 44 -
정된 개인정보보호관련 준수사항을 제대로 이행하지 않고 있는 것으로 나타나 법률
의 집행과정에 있어서 상당한 문제가 있는 것으로 보여진다는 점이다. 따라서 법률
의 규정들이 기업들에 의하여 충실하게 이행될 수 있는 수단이 필요하다고 하겠
다.112)
VI. 맺음말
정보통신기술의 발달에 따른 개인정보의 수집과 활용 및 이에 따른 개인의
프라이버시 보호문제를 어떻게 다룰 것인가에 관해서 종래부터 이를 시장규제모델,
국가개입모델 및 자율규제모델로 구분하여 논하여 왔다.113) 이들 견해에 의하면 시
장규제모델은 기업이 자신의 이익실현을 위하여 사생활 및 개인정보보호 정책을 시
행하는 것이고 국가적이나 사회적으로는 개인정보를 보호하거나 노출하는 것에 대
하여 아무런 제재가 취해지지 않는 이상적인 모델이고,114) 국가개입모델은 국가가
주도하여 제정한 법률이나 행정규칙에 의거한 법집행으로 개인정보의 오·남용을
감시하고 보호하는 것을 말하며, 자율규제모델은 민간 사업자들이 기본법을 토대로
업계의 현실적인 수행가능성에 맞게 세부지침을 마련하여 자율적으로 적용하고 준
수해 나가는 제도를 말한다. 이 규제는 강제력이 없는 대신에 사업자들이 스스로
정보보호의 중요성을 자각하고 종사자들에게 지속적인 교육을 시행하기 때문에 개
인정보 윤리의식을 고취시키기에 용이한 규제정책이라는 것이다.115)
이러한 견해는 국가개입 모델의 대표적인 경우로서 유럽연합의 지침을 들고 있으
며 자율규제모델의 대표적인 국가로는 미국을 예로 들고 있다.116) 이들은 국가규제
와 자율규제의 장단점을 여러 가지로 비교한 후117) 미국식의 자율규제원칙을 우리
의 나아갈 정책방향으로 제시하거나,118) 보다 절충적인 입장에서 정부지원형 자율규
제 모델을 제시하기도 한다.119)
그러나 그와 같은 정부규제와 자율규제의 논쟁은 정보통신망이용촉진및정보보호
에관한법률이 시행됨으로써 기업의 자율규제에만 의존하기보다는 정부규제에 의한
입법정책을 택한 현시점에서는 큰 의미가 있는 논의라고 생각하지 않는다. 특히, 논
112) 구체적인 수단은 예컨대 과태료의 인상, 현재 과태료의 대상으로 되어있는 행위들 가운데 위반내
용이 많은 것에 대해서는 이를 형벌 규정으로 하고, 행정적인 제재도 강화하는 방안 등이 검토될
수 있다.113) 하종현, 개인정보보호의 딜레마와 효과적인 도입방안 , (주 76), 3면 이하, 김성언, 「개인정보
침해에 관한 조사연구」(주 93), 99면 이하, 조연상, 「기업경영자원으로서의 개인정보이용 및 보
호방안 연구」(주 13) 64면 이하 등
114) 김성언, 위의 책, 99면
115) 하종현, 개인정보보호의 딜레마와 효과적인 도입방안 , (주 76), 5, 6면116) 하종현, 개인정보보호의 딜레마와 효과적인 도입방안 , (주 76), 7면, 김성언, 「개인정보침해에
관한 조사연구」(주 93), 101면, 조연상, 「기업경영자원으로서의 개인정보이용 및 보호방안 연구」
(주 13) 79면 등
117) 하종현, 위의 논문 4면에서는 정부규제와 자율규제의 장단점을 다음과 같이 비교하고 있다.
- 45 -
자들이 자율규제의 대표적인 국가로 예시하고 있는 미국이 앞서 본 더블클릭사 사
건이나 토이마트사 사건 등 일련의 사건을 겪으면서 기존의 프라이버시 보호 관련
법률이나 기업의 자율규제만으로는 한계가 있음을 인정하고 연방거래위원회를 중심
으로 민간기업들의 인터넷을 이용한 개인정보의 수집과 활용을 규제할 입법을 추진
중에 있으며,120) 또 다른 자율규제의 대표국가인 일본도 앞에서 본 바와 같이 정부
규제를 내용으로 하는 법안을 준비중에 있음을 볼 때 자율규제만으로 인터넷관련
개인정보보호 문제를 해결하는 것은 한계가 있다는 것이 명확하게 된 것이라고 할
것이다.
물론, 그렇다고 해서 강력한 정부규제만이 모든 문제를 해결할 수 있는 열쇠라고
도 생각하지 않는다. 특히, 말 그대로 자고 일어나면 수십개씩 나타났다 사라지는
수많은 인터넷 사이트들을 정부가 일일이 감시하고 통제한다는 것은 전혀 가능하지
않을 것이다.
따라서, 인터넷과 개인정보보호에 관한 앞으로의 논의는 자율규제 아니면 정부규
제라는 양자택일적인 선택의 문제로 하여 그중 어느 하나를 택하여야 한다고 하는
식으로 결론을 몰아가기보다는 현재 선택된 법제도를 운영하면서 현실적으로 나타
나는 또는 예상되는 구체적인 문제점들이 무엇이고 이를 해결하기 위하여 보완이
필요한 제도는 구체적으로 무엇인지에 관한 논의가 되어야 할 것이다.
즉, 자율규제인가 정부규제인가라는 선택을 앞세운 뒤 그 울타리 내에서 어떤 규
제방법을 택할 것인가를 따지기보다는 개개 제도를 놓고 각각을 어떻게 조화시키는
것이 우리의 현실과 국제적인 흐름을 동시에 만족시킬 수 있는 효율적인 방안일 것
인가에 초점을 맞추어 대응방안을 모색해야 할 것이다.121)
구분 정 부 규 제 자 율 규 제
장
점
▲성문화된 법률로 명확히 규정
▲법적소송으로 적극적인 피해보상
▲무거운 징계로 정보 오남용 저지
▲강제력 있는 규제로 참여율 상승
▲각종 솔루션 지원으로 규제효과상승
▲자발적 참여로 개인 정보윤리의식 고양
▲이익달성에 공동체적 시너지 효과
▲통일된 기준으로 비용과 부담 절감
▲급변하는 현실 대응에 민첩
▲법률이 규제하지 못하는 부분 해결
단
점
▲과다한 관리 및 준수비용
▲행정관리자들의 수행부담 증가
▲정부규칙의 경직성
▲강제참여로 개인정보윤리 의식 미흡
▲현실상황 이해 부족으로 감독미비
▲관할범위의 제한으로 인해 외국
기업의 준수 미흡
▲경쟁우위기업에 의한 카르텔 형성 및 이에
따른 진입장벽의 형성
▲각 기업의 평판과 연합체 평판간의 연관성
미흡시 개인이익 위주활동
▲전문기술 및 노하우 공유의 어려움
▲강제력 결여로 참여 준수율 불확실
▲전적인 자율참여로 탈선유혹 상존
118) 조연상, 「기업경영자원으로서의 개인정보이용 및 보호방안 연구」(주 13), 123면 이하
119) 하종현, 개인정보보호의 딜레마와 효과적인 도입방안 , (주 76), 27면 이하
120) Courtenay Youngblood, Courtenay Youngblood . A New Millennium Dilemma; Cookie Technology,Consumers, A nd the Future of the Internet, (주 39) pp .81
121) 이런 면에서 민간부문에서의 개인정보보호에 관하여 기본적으로는 정부규제의 입장을 취하고 있
는 것으로 보이는 정부가 위에서 본 바와 같이 정부규제의 보조수단으로서 민간에 의한 자율규제
의 대표적인 방법인 개인정보보호마크제도를 시행하게 된 것은 매우 바람직한 것이다.
- 46 -
아울러 개인정보보호에 관한 현재의 법제도가 이제 막 시작된 것으로서 그 운영
의 결과를 정확하게 평가하기 위해서는 아직도 많은 시일이 필요한 점을 감안하여,
개인정보의 보호와 활용에 관한 효과적인 대응 방안을 논의함에 있어서는 섣불리
현재의 법률의 기본 틀을 흔드는 쪽이 아니라 현행 제도의 합리적 운영을 모색하고
그 제도적 미비점을 보완하기 위한 쪽으로 논의가 진행되기를 기대해 본다.
參考文獻
1. 국내문헌 및 자료
1) 단행본 및 논문
김성언, 「개인정보침해에 관한 조사연구」, 한국형사정책연구원, 2001. 12.
김영철, 사생활비익권에 대한 형사적보호의 태양 , 「저스티스」 1997. 3., 61면,
김철완, 「이민영, 인터넷 개인정보보호에 관한 법제도 연구」, 정보통신정책연구
원, 2000. 12.
김연수, 「개인정보보호」, 사이버출판사, 2000.
, 개인정보에 기반한 마케팅 활동과 프라이버시 문제 , 함께 하는 시민행
동 주최 자유토론회 기조 발제문, 2001. 10. 22.
노진철, 「데이터베이스 마케팅의 프라이버시 보호에 관한 연구」, 서울대학교 석
사학위논문, 2000. 8.
백윤철, 헌법상 개인정보자기결정권에 관한 연구 , 「법조」, 2002. 5.(통권 548
호) 173면
이관기, 「알권리와 프라이버시권의 관계에 관한 연구-정보공개와 개인정보 보호
제도를 중심으로-」, 한양대학교 박사학위 논문, 1993. 2.
이성구, 전자상거래에서의 소비자보호 법제 정비 , 「정보법학」 2000. 제4권 제
2호
정재훈, 민간부분에서의 정보프라이버시보호 , 「정보법학」 제2호 123 면,
조연상외 2인, 「기업경영자원으로서의 개인정보이용 및 보호방안 연구」, 한국정
보보호센타 2001.
최경진, 쿠키의 활용과 프라이버시 보호 , 정보통신기술과 프라이버시 토론회 발
제문, http :/ / w ww .privacy .or .kr/ pds/ [2]cjk.hwp ~
하종현, 개인정보보호제도의 딜레마와 효과적인 도입방안 ,
http :/ / www .kisa.or .kr/ edu/ essay99/ index.htm
한국정보보호진흥원, 2001년 정보화 역기능 실태조사 보고서 , 2001. 12.,
윤재석, 「국가간 개인정보 유통에 관한 정책연구」, 한국정보보호센터, 2000. 12.
2) 기타자료
행정자치부, 공공기관의 개인정보보호제도 , 2001. 7.
- 47 -
정보통신부, 한국정보보호진흥원, 개인정보보호지침 해설서 , 2002. 4.
개인정보침해신고센터(http :/ / w ww .cyberprivacy .or .kr), 일본개인정보보호동향 ,
2002. 6. 1. 방문
전자신문 2000. 12. 4. 자
조선일보 2002. 3. 20. 자,
한겨레 신문 2002. 6. 18. 자
한국경제신문 2000. 3. 16. 자
한국일보 2000. 11. 2.자
http :/ / www .daum .net/ doc/ info-protection .html, 2002. 6. 1. 방문
http :/ / marketingschool.co.kr/ enrollcts/ m gdic/ mgdic03.htm 2002. 6. 1. 방문
http :/ / prom e.snu .ac.kr/ ~skkim/ lecture/ lecture7/ eu / eu04.html 2002. 6. 1. 방문
http :/ / ww w .nca.or .kr
http :/ / www .privacy.or .kr
2. 외국문헌 및 자료
Courtenay Youngblood . A N ew Millennium Dillemm a; Cookie Technology,
Com sum ers, And the Future of the Internet, 11 J. Art
& Ent. Law 45,
David Whalen, The Unofficial Cookie FAQ,
http :/ / w ww .cookiecentral.com / faq/ , 2002. 5. 30. 방문
Domingo R. Tan, Personal Privacy in the Information Age: Comparison of
Internet Data Protection Regulation in the United States
and The Europ ean Union, 21 Loy. L.A. Int l̀ & Comp . L. J.
661, 677
Dorothy Glancy, At the Intersection of Visible and Invisible Worlds; United
States Privacy Law and the Internet, 16 Computer & High
Tech. L. J. 357, 2000
D. Reed Freedman, Jr ., Elisa A . Nemiroff. Privacy Law In Q2 2002.,
http :/ / ww w .privacylawplaybook.com/ documents/ , 2002. 6. 1.
자
Giampiero Giacomello, Who is "Big Brother " ?, 5 Int'l J. Comm . L. & Pol'y 1
Henry H . Perrit Jr ., Law and the Information Superhighw ay , Wiley Law
Publication 1996,
Kenneth Brown, The Internet Privacy Debate, 6 Int' l Comm . L. & Pol'y 1
OECD, Guidelines on the Protection of Privacy and Transborder Flow s of
Personal Data, 2001. OECD
- 48 -
Rachel K. Zimm erman, The Way the Cookies Crumble; Internet Privacy and
Data Protection in the Tw enty-First Century, 4
N .Y.U.J. Legis, & Pub. Pol'y 439
http :/ / www .cookiecentral.com
http :/ / www .w ebop edia.com/ TERM/ c/ cookie.html, 2002. 6. 11. 방문
http :/ / www .w ebop edia.com/ TERM/ W/ Web_beacon.html,
http :/ / www .w ebop edia.com/ TERM/ s/ spyw are.html
http :/ / www .epic.org
- 49 -
Abstract
The public are concerned that the personal data, collected by dot-coms with or
without the prior consent of the data subjects. have been misused or leaked to the
third parties. The privacy problem has become one of the most serious concerns of
the emerging information age. Also it is argued that the collecting and use of
personal data by the private companies must be strictly restricted by the law or
government regulation.
However, in this digital age, the companies have no choice but to collect and use
the personal information for utilizing the customer relation management strategy.
Therefore, we have to find a new regulation paradigm which can not only protect
the privacy of the individual from the improper use of the personal information but
also guarantee the companies to collect and use the personal information without
any risk of being accused under a certain condition.
Section II clarifies the meaning of personal data or personal information,
reviewing the definition of the personal data in some national laws and international
guidelines such as OECD Guidelines, European Directive. Section II also tries to
find the legal grounds for the protection of personal data.
Section III briefly explains the way that the companies collect the personal
information, including such technologies cookies, web bugs and spywares which
make it possible for the dot-coms to collect the personal data without the
knowledge of the data subjects. Section III also explains the purpose of collecting
and the way of using personal data in the businesses. As examples of the collecting
and using of personal information by the e-businesses, Section III shows the
DoubleClick case and the Toysmart .com case.
Section IV provides a brief review of some of the international guidelines and
national statutes on the protection of personal information processed by computer
and the Internet . Some of the countries such as those in Europe depend on strict
government regulation, but some others such as Japan and U.S.A largely depend on
the self -regulation of the industry.
Section V explains and evaluates the Korean statute revised to reinforce the
protection of personal information from its improper use. Section V also reviews the
seal system that is introduced this year as a way of industry self-regulation.
Section VI concludes that we should find more specific ways to give balance
between the protection of privacy and the access and usage of personal information.
- 50 -