보안/판례 및 논문 19

서울행정법원 2025. 1. 23. 선고 2023구합71018 판결 [시정명령 등 처분 취소청구의 소]

1. 쟁점▶ 원고(개인정보 처리자)와 웹·앱사업자 간 타사 행태정보 수집의 개인정보보호법 위반 여부2. 내용이 사건은 SNS 제공자인 ‘원고’ A가 웹이나 앱에서 사용자들의 행동 정보를 어떻게 수집하고 있는지에 관한 문제이다. 특히, 원고가 이용자의 ‘타사 행태정보’, 즉 원고가 아닌 다른 웹사이트나 앱에서 이용자가 어떻게 행동했는지에 관한 정보를 수집하는 과정과 그 법적 책임이 쟁점이 된 것이다. 먼저, 원고가 만든 ‘비즈니스 도구’라는 게 있다. 이 도구를 웹·앱 사업자 B, C가 자기 사이트나 앱에 설치하면, 이용자 행동에 대한 정보가 원고 A 쪽으로 전송된다. 중요한 건 이 정보를 실제로 수집하고 처리하는 주체가 원고 A라는 점이다. B, C는 단순히 도구를 설치하는 역할만 할 뿐, 개인정보 처리..

민원인 - 구직자의 정신질환을 확인하기 위한 의사소견서나 건강진단확인서가 「채용절차의 공정화에 관한 법률」 제2조제6호에 따른 채용서류에 해당하는지

법제처 2025. 5. 7.자 25-0134 쟁점: 구직자가 밝힌 정신질환을 확인하기 위한 의사소견서나 건강진단확인서가 채용절차법 제2조제6호에 따른 채용서류에 해당하는지? 단, 여기서의 정신질환은 이 사안에서 업무 수행과 직접적으로 관련되지 않고, 법령에서 해당 업무에 대해 필수적 고용요건으로 정신질환 관련 내용을 규정하고 있지 않은 경우를 전제한다. 그리고 결과적으로, 이 사안에서의 의사소견서, 건강진단확인서는 채용절차법에 따른 채용서류에 포함되지 않는다. 채용절차법 제2조제6호에서는 채용서류를 ① 기초심사자료 ② 입증자료 ③ 심층심사자료로 정의하면서, 같은 조 제3호에서 ① 기초심사자료를 ⑴ 응시원서 ⑵ 이력서 및 자기소개서라고 규정하고 있다. 여기서 ② 입증자료는 기초심사자료에 기재한 사항을 증명..

수탁사 개인정보보호 강화를 위한 프레임워크 및 점검방법 연구

개인정보 관련 대표적인 업무 중 하나가 있다면 바로 위탁사 관리일 것이다. 수탁사 관리만 수행하는 데도 1명의 직원이 그것에만 몰두해야 할 정도로 수탁사가 많은 곳도 종종 있다. 이 과정에서 다양한 유형의 개인정보가 위탁업체로 제공되고, 처리되고, 폐기된다. 그리고 나도 컨설팅에 참여하며 여러 위수탁 계약서와 그에 의거한 위수탁 점검 보고서를 접했으나, 실효성 차원에서 부족함이 느껴지는 것은 어쩔 수 없다. 그러나 만일 실무의 현실적인 상황이 반영된 가이드라인이 생긴다면, 이는 위수탁 관리에 있어 개인정보담당자들의 노고를 덜어줄 수 있을 것이다. 수탁사를 대상으로 개인정보보호를 점검한다고 해서 특별한 기준을 적용할 필요까지는 없다. 우리에게 이미 친숙한 개념인 '개인정보 생애주기'가 있기 때문이다. 위탁..

개인정보 유출로 인한 정신적 손해와 관련하여

개인정보가 유출되면 당연하게도 정신적 손해가 발생할 것이다. 언젠가 발생할 수 있는 피해에 대한 두려움이 있기 때문이다. 그런데 정신적 손해라는 것은 어느 분야에서나 입증하기 힘든 영역이다. 따라서 그간의 판례, 해외의 사례를 토대로 정신적 손해에 대한 기준에 대해 탐구하도록 한다. 사례 1. 리니지Ⅱ 이용자 개인정보 유출 사건(대법원 2008)피고 회사 직원의 실수로 이용자의 ID, PW가 유출되는 사고가 발생하였고, 이에 피고 회사는 로그파일이 자동 삭제되도록 시스템 패치를 하는 한편, 모든 이용자가 주민등록번호를 통한 본인확인 진행 후 비밀번호를 반드시 변경하도록 조치하였다.  여기서 PC방을 이용해 리니지Ⅱ를 플레이한 사람과 본인의 집에서 개인 PC를 이용해 리니지를 플레이한 사람이 나뉘게 된다...

헌법체계상 인격권과의 관계에서 본 프라이버시권(사생활의 비밀과 자유)의 내용 및 성격

프라이버시권은 미국에서 생성 및 발전한 권리다. 그러나 수정헌법에 직접 명시되지는 않았다. 법원과 국민에 의해 인정되어 온 헌법상의 권리인 것이다. 프라이버시라는 개념 자체가 다소 최근의 것이라는 점을 고려한다면, 당연한 일일 것이다. 그래서 프라이버시 영역은 헌법상 명시된 권리에 의해 직접 보호받는 것은 아니지만, 간접적인 영향을 받음으로써 구체적 권리들이 다양하게 형성되는 것으로 이해할 수 있다. 프라이버시라는 것이 미국에서 오랜 기간 헌법상 기본권으로 인정되어 온 것은 맞다. 그러나 이것의 의미는 계속해서 변해왔다. 그리고 이것도 상당히 당연한 일일테다. 프라이버시, 즉, 사생활 비밀이라는 것은 정보통신의 진보로 인한 사회적 변화를 반영하는 것이 당연지사이기 때문이다. 그래서 프라이버시권이라고 하는..

개인정보 보호법상 동의 제도의 개선 방안, 가장된 자율성에 대한 성찰

개인정보 보호법에서는 개인정보자기결정권을 실현하도록 하는 주된 수단으로 동의 제도를 채택하고 있다. 사실 일상에서도, 일을 하면서도, 동의 제도를 채택하지 않는 곳은 아직 본 적이 없다. 그리고 개보위와 KISA가 진행한 에 따르면, 개인정보 수집 근거로 정보주체의 동의를 활용하는 경우가 공공기관은 96.5%, 민간기업은 98.1%에 달한다고 한다. 자세한 내용은 아래와 같다. 특히나 민간인 경우 동의 제도의 비중이 매우 크다는 것을 알 수 있다. 그런데 개인정보보호법 상 동의 제도는 전세계적으로 꾸준히 비판의 대상이 되어 왔다. 이유는 동의 모델이 지닌 한계 때문이다. 잠깐 이야기를 새서, 민법에서 자연인이라 함은 온전한 인지 능력, 의사판단 능력 등을 지녔음을 인정하는 대상이다. 그렇기에 법적 책임을..

GPT를 활용한 개인정보처리방침 안전성 검증 기법

빅데이터라는 말은 이제 자주 접할 수 있는 단어다. 점점 빅데이터 구축은 당연시되고 있으며, 빅데이터가 구축된다는 말은 그만큼 개인정보의 양도 방대해진다는 것을 의미한다. 개인정보의 양이 방대해지면, 당연히 개인정보 유출의 우려도 증가하기 마련이다. 각 기업 및 단체에서는 이를 위해 정보주체에게 1차적으로 개인정보 처리방침을 제공하고 있다. 나도 이번에 OO청의 개인정보 처리방침을 개정했는데, 개인정보 처리방침이 정말 '잘' 작성되었는지 확인하기는 쉽지 않다. 보통 1~2명이 제정 또는 개정하는 것이 일반적일 것이고, 그렇기에 실수가 있을 수도 있을 것이다. 문제는 그걸 바로 잡을 대상이 누구냐는 것이다. 그리고 그걸 GPT가 해줄 수 있을 것이다. 생성형 AI인 GPT-3.5 API가 도움이 될 수 있..

장교 및 부사관 지원 시 과도한 개인정보 요구(16진정037370)

1. 논쟁공군(참모총장)은 장교 및 부사관 모집 시 필기시험 응시자 전원에게 신원진술서, 고교생활기록부, 개인신용정보서, 군 복무 당시 상벌내용, 병적증명서 등 신원조회서류를 제출토록 하는데, 이것이 개인정보를 과도하게 요구하는 것인지의 여부다.2. 내용공군은 지원자들에게 전형서류 3가지와 신원조회서류를 자그마치 9가지나 요청하고 있었다. 전형서류는 일반적인 것으로 이해할 수 있다. 여기서 문제가 되는 것은 9가지의 신원조회서류다. 신원조회를 위한 서류는 국군 기무사의 요청에 따른 것이라고 한다. 기무사는 국정원, 국방부로부터 권한을 위임받아  신원조사 업무를 수행하고 있으며, 1차 합격자에 한하여 ① 신원진술서 ② 기본증명서 ③ 가족관계증명서 ④ 주민등록등본 ⑤ 자기소개서 ⑥ 병적증명서 ⑦ 개인신용정보..

아동학대 근절을 위한 어린이집 CCTV의 직원 기본권 침해(2015헌마994)

1. 논쟁▶영유아보육법이 직원들의 기본권을 침해하여 헌법에 위반되는지 여부 2. 내용어린이집 내 아동학대 및 안전사고를 미연에 방지하고, 보호자의 불안을 해소하기 위해 어린이집을 이용하는 보호자 전원이 반대하지 않는 한 어린이집에 CCTV 설치를 의무화하는 내용의 조항이 2015년에 신설되었다. 조건부이긴 하지만, 사실상 모두가 반대한다는 것은 일어나기 불가능이라고 할 정도이므로, 모든 어린이집에는 CCTV 설치가 의무화라고 볼 수 있다. 물론, 여기서도 녹음은 금지된다. 그런데 그렇다 해도 반발은 생길 수밖에 없다. 어린이집 직원들은 직업수행의 자유를 제한한다고 불만을 터뜨리고, 자녀의 사생활의 비밀과 자유를 제한하는 것을 우려하여 CCTV 설치를 반대하는 부모도 자녀교육권 차원에서 불만이 생기는 것이..

백신 미접종 종사자 공개에 따른 개인정보자기결정권 침해(21진정0938500)

1. 논쟁▶공공의 안전 및 공중 위생을 위해 정보 주체의 동의를 받지 않고 개인정보를 공개하는 것이 개인정보자기결정권을 침해하는지 여부 2. 내용A병원은 보건소의 방역 관리 강화지침 권고사항에 따라 코로나19 백신을 접종하지 않았거나 1회만 접종한 직원에 대하여 주 1회 PCR검사를 실시했다. 그런데 피진정인은 백신 미접종 직원 명단을 당사자의 동의 없이 소속 부서장에게 이메일로 통보하여 피해자들의 개인정보자기결정권을 침해했다는 것이 논지다. A병원이 굳이 백신 미접종자 직원 명단을 각 부서장에게 원내메일을 통해 통지 및 공개한 것에 대한 이유는 알 수 없으나, 당시의 사회적 분위기를 고려할 때 피해자들은 A병원으로부터 접종을 어서 하라는 압박을 받았을 수 있다고 생각한다. 물론 병원의 입장도 일정 부분..

728x90