개인정보 유출 사례 분석 및 시사점 : 판례를 중심으로

박수황,장경배 보안공학연구지원센터(JSE) 2016 보안공학연구논문지 Vol.13 No.3

본 논문은 개인정보유출 사례를 분석하여 개인정보유출방지 및 시사점을 제시함으로써 공공기관, 민간기업 그리고 개인 모두에게 개선 방안을 제시한다. 첫 번째, 불법 개인정보 수집 처벌 강화 즉 정보주체의 동의 없이 개인정보를 불법으로 수집할 경우 강력한 민․형사상 처벌이 이루어 저야 할 것이다. 두 번째, 개인정보 불법 공유 및 불법거래에 대한 처벌 강화이다. 세 번째, 직원 보안 교육 및 보안관리 체계 확립이다. 기존 공공기관 및 민간 기업들은 연간 2회 정도 내부 직원 보안교육을 실시 하지만 실질적으로 기업여건 등으로 인해 보안교육을 미실시 하는 사례가 늘고 있다. 이에 따라 공공기관에서는 주기적으로 관리 감독을 통해 민간 기업들을 관리를 해야 될 것이다. 마지막으로 개 개인의 스마트기기 및 PC에 대한 철저한 관리가 필요 할 것이라고 판단된다. In this paper, we provide not only personal information leakage prevention and its implications by analysing cases of personal information leakage but also the improvement of personal information leakage. First improvement is the intensification of penalty for collecting personal information illegally, that is to say, when somebody collects personal information without consent of all parties. severe civil and criminal penalties could be imposed. Second is the intensification of penalty for sharing and trading personal information illegally. Third is to establish the system of security education training for employee and security management. Public and private organizations have already offerd security education training to theirs employees twice every year, but the number of businesses offering security education training by the rules due to the business conditions is decreasing. Therefore, public organizations control private organizations through a periodic management and supervision. Finally, individuals need to manages rigorously their smart devices and PC.

개인정보 유출에 따른 손배해상청구와 관련하여

류승훈(Ryu, Seung Hun) 전북대학교 법학연구소 2016 法學硏究 Vol.47 No.-

최근 들어 포털 사나 금융기관 등에 의한 개인정보 유출로 인해 국민들의 개인정보 유출에 대한 위기의식이 극도에 달하고 있다. 피해를 입은 소비자는 피해구제의 한 방법으로 집단소송에 의해 손해배상을 청구하는 방법을 선택하게 되는데 최근 들어 개인정보 유출과 관련한 집단소송이 줄을 잇고 있다. 이는 어찌 보면 사회적 비용을 증가시키고 사회의 결집력을 소모케 하는 비생산적 노력일 수 있다. 그러나 개인정보를 유출당한 피해자의 입장에서는 보이스 피싱 등의 혹시 있을지 모르는 개인정보의 유출로 인한 제2차적 피해를 걱정해야 하는 등 맘 편할 일이 없는 긴장의 연속선 상에서 실생활에 임하지 않으면 안 되는 고충이 있다. 이러한 긴장된 삶 그리고 혹 발생할지도 모를 자신의 신용 침해에 대한 막연한 불안감 등은 정신적 고통내지는 스트레스로 남게 된다. 문제는 이러한 개인정보 유출로 인한 피해자들이 입게 되는 정신적 손해에 대한 구제는 가능할 것인가 하는 것이다. 유출된 정보에 의한 2차적 피해가 발생해야만이 위자료청구가 가능하다는 우리 대법원 판례의 입장은 과연 정당한 것인지 의문이다. 위자료청구에 대한 좀 더 적극적인 입장으로의 변화가 요구되고 있다. 아울러 개인정보관련 법제에서 도입하고 있는 법정손해배상제도에 대해서도 살펴보고자 한다. While the Internet is very useful, it can cause serious problems such as leak of personal information. However, we should also pay attention to the negative sides such as an outflow of private information and the invasion of privacy. Anyone can be a victim of personal information leacks, so always be on the lookout. There is little doubt that the Internet-site operators have failed to establish an effective information security system. Besides, they have done little to prevent any further attempt to steal personal data. The Internet-site operators should also be held accountable for not properly supervising the pension service. The illegal release of confidential information could not only infringe on privacy of individuals but also cause irrecoverable damage to them. But the court of justice has been passive in response to collective lawsuits. With positive position the court of justice has to accept a compensation claim related with personal information leacks. Besides legal compensation for damages is adopted in protection law of personal information etc. The attempt for remedy of victims is very affirmative. Further adoption of double compensation in USA has to take into consideration.

개인정보유출에 대한 소비자의 부정적 감정과 행동 반응:Mehrabian과 Russell의 S-O-R 모델을 바탕으로

전상민 한국소비자·광고심리학회 2015 한국심리학회지 소비자·광고 Vol.16 No.1

The study sets a structural model for measuring consumers' negative emotions and behavioral responses caused by infringement on personal information and also verifies the moderating effect of (a) the information load of infringement on personal information and (b) the usefulness and awareness of the personal information managers. The study examines displeasure, arousal, and helplessness as negative emotions of consumers, based on PAD emotion scale. Additionally, approach(exiting, voicing) and avoidance(neglecting, retaining) are analyzed as negative behavioral responses based on EVLN response scale. Perceived risk from infringement on personal information was found to generate negative emotions; thus, negative emotions affected negative behavioral responses. Displeasure positively influenced approach and negatively influenced avoidance. Arousal positively affected approach and helplessness positively influenced avoidance. Among the negative emotions, arousal was not only the most positively affected by perceived risk from infringement on personal information but the most positively affected approach as well. Contrary to other negative emotions, helplessness positively influenced avoidance, and information load of infringement on personal information significantly moderated the relationship between helplessness and avoidance. The moderating effect of information load of infringement on personal information was partly accepted, while the effect of the usefulness and awareness of personal information managers was mostly rejected. This study has enhanced the usefulness of the S-O-R model by extending the model, through use of the PAD emotion scale and EVLN response scale, to cover negative emotions and behavioral responses caused by infringement on personal information. Moreover, the study proposes strategies for personal information managers to use when counselling customers, as well as useful implications for government agencies and consumer protections agencies to protect consumers' rights and benefits. 본 연구는 개인정보유출로 인한 소비자의 부정적 감정과 부정적 행동 반응의 관계와 형성 과정을 Mehrabian과 Russell의 S-O-R 모델에 적용하여 분석하기 위하여 구조모형을 설정하고, 개인정보유출의 정보부하와 개인정보처리자의 유용도 및 인지도의 조절효과를 검증하였다. 본 연구는 개인정보유출로 인한 부정적 감정을 PAD 감정 척도를 사용하여 불쾌감과 각성, 무력감으로, 부정적 행동 반응을 EVLN 척도를 사용하여 접근(이탈과 항의)과 회피(무시와 유지)로 선정하였다. 분석 결과, 개인정보유출에 대한 지각된 위험이 소비자의 부정적 감정을 생성하고, 부정적 행동 반응으로 영향을 미치는 것으로 나타났다. 즉, 불쾌감은 접근에 정적, 회피에는 부적 영향을 미쳤고, 각성은 접근에 정적 영향을 미쳤으며, 무력감은 회피에 정적 영향을 미쳤다. 이 중, 각성이 개인정보유출에 대한 지각된 위험도에 가장 큰 정적 영향을 받았을 뿐 아니라, 접근 행동 반응에도 가장 큰 정적 영향을 미치는 것으로 분석되었다. 무력감은 다른 부정적 감정과 달리 회피에 정적 영향을 미치는 것으로 나타났고, 무력감 → 회피 경로에 대한 개인정보유출의 정보부하 조절효과가 유의한 것으로 분석되었다. 개인정보유출로 인한 부정적 감정 → 부정적 행동 반응에 대한 개인정보유출의 정보부하의 조절효과는 일부 검증되었고, 개인정보처리자의 유용도와 인지도의 조절효과는 대부분 유의하지 않았다. 본 연구는 S-O-R 모델과 PAD 감정 척도, EVLN 척도를 개인정보유출로 인한 소비자의 부정적 감정과 부정적 행동 반응 차원으로 적용하여 이를 검증하고, 개인정보처리자와 상담 관계자, 그리고 관련 정부부처 및 소비자보호기관에게 고객응대 및 소비자 권익보호를 위한 시사점을 제안하였다.

개인정보 유출로 인한 손해배상책임

송혜정 민사판례연구회 2015 民事判例硏究 Vol.- No.37

대상판결은 개인정보를 처리하는 자가 수집한 개인정보를 그 피용자가 해당 개인정보의 정보주체의 의사에 반하여 유출한 경우, 그로 인하여 그 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지 여부는, 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보의 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 그 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보의 유출로 추가적인 법익침해의 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보의 유출로 인한 피해의 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다고 판시하였다. 이 글에서는 먼저 논의의 기초로서 개인정보의 의미와 보호의 법적 근거, 다양한 개인정보 침해 사안의 분류를 살펴보고, 개인정보 유출로 인한 손해배상책임 전반에 관하여 대상판결 이전의 관련 판결들에서 판단한 내용들에 초점을 두어 살펴본 후, 대상판결을 검토하였다. 대상판결은 우선 개인정보에 대한 위법한 침해가 있다고 하여 당연히 위자료로 배상할 만한 정신적 손해가 인정되는 것은 아니라는 점을 명확히 하였다는 점에서 의미가 있고, 또한, 대상판결에서 제시한 정신적 손해 발생 여부의 판단기준은 대규모 개인정보 유출 사고가 반복적으로 발생하여 이로 인한 손해배상청구소송이 줄을 잇고 있는 상황에서 기본적인 판단기준으로 적용될 수 있다는 점에서도 큰 의미가 있다. 대상판결에서 제시한 기준은 향후 다양한 사실관계에 기초한 여러 건의 손해배상사건에 적용되면서 더욱 정교하게 발전해 나갈 것으로 생각된다. The Supreme Court’s decision at issue is a case where personal information collected by a person who handles the information was leaked out by the person’s employee against the intentions of the subject of the personal information(hereinafter‘data subject’). The decision held that when determining whether the leakage caused the data subject to suffer emotional distress which qualifies as compensable damages, the determination should be made after considering the following circumstances, and judged accordingly and specifically to each individual case. Firstly, the type and characteristic of the leaked personal information; whether the data subject is identifiable through the leaked information; whether a third party accessed the leaked information, and if it did not occur, whether there is probability that a third party had such access or will have access in the future; to what extent the leaked information was spread; whether the leakage possibly caused any additional infringement of rights; the actual reality of how the personal information was managed by the person who handled the information, and the specific circumstances in which the information was leaked; and what measures were taken to prevent injury caused by the leakage, and to prevent the spread of leaked information. This article examines the meaning of personal information, the legal ground for the protection of personal information and the various types of personal information infringement as a basis for discussion, and then reviews existing decisions on related issues, and finally reviews the Supreme Court’s decision at issue. The Supreme Court’s decision at issue is meaningful in the aspects as follows: Firstly, the Decision made it clear that the personal information infringement does not necessarily cause emotional distress which qualifies for compensation; Secondly, the standard on the data subject’s emotional distress which qualifies as compensable damages set in the Decision can be a basic standard for damage claims based on the personal information leakage accident. The standard will be developed more elaborately through the application to various types of personal information infringement cases.

개인정보유출소송의 현황과 법적 과제

허성욱(Heo Seong-Wook) 한국법학원 2009 저스티스 Vol.- No.110

여러 건의 개인정보유출사고를 거치면서 인터넷 상의 개인정보보호 문제가 사회적으로 큰 관심의 대상이 되고 있고, 실제로 많은 개인정보유출소송이 제기되어 있는 상황이다. 이러한 개인정보유출소송은 개인정보의 유출을 이유로 한 손해배상으로서 위자료를 청구하는 형식으로 이루어지는데, 구체적인 사건에 있어서 어느 범위까지 개인정보의 유출을 인정할 것인지, 현실적이고 경제적인 손해가 입증되지 않은 상태에서 위자료배상청구권이 인정될 수 있는 것인지를 놓고 여러 가지 의견이 있을 수 있다. 이처럼 쉽게 정답을 찾기 어려운 사건에 있어서 법관들이 어떻게 ‘법’을 발견할 것인가에 관한 실험적 고찰이 이 논문의 주제이다. 이 논문에서는 대표적인 법발견 방법론인 관행주의, 법실용주의, Integrity로서의 법, 이렇게 세 가지 방법론에 관해서 살펴보고 이를 개인정보유출소송에 적용해보는 시도를 하였으며, 그 과정을 통해서 법실용주의가 현재의 개인정보유출소송을 다루는 가장 바람직한 법발견방법론이라는 결론에 이르게 되는 과정을 논증하였다. 또한 법실용주의의 관점에서 불법행위소송을 통한 개인정보보호를 달성하기 위한 방법으로 개인정보유출의 범위에 관한 기준을 명확하게 할 것과 개인정보유출 사건의 유형에 따라 위자료액수를 차등화할 것, 그리고 규제행정법 체계와의 조화라는 관점에서 개인정보유출소송의 요건과 효과를 재검토하는 것이 필요함을 지적하였다. While I was working as a judge of Seoul Central District Court in 2006, I dealt with the so-called Lineage II case which became the leading case of private information leakage lawsuits in Korea. After that, I wrote a paper under the title of "A Study on the Protection of Private Information in the Internet under Tort Law" which reviewed several issues on private information leakage lawsuits. This paper is a following-up paper of the preceding paper. In this paper, I tried to analyze the judicial methodology of finding law in hard cases. In this sense, I made an attempt to apply three different kinds of tort law interpretation from the different perspectives of the three major conceptions of law which are conventionalism, legal pragmatism, and law as integrity. After reviewing the contents of each conceptions of law, I concluded that legal pragmatism is the most candid and most suitable legal methodology in dealing with the recent private information leakage lawsuits in Korea. According to that conclusion, I made several suggestions to refine the requirements and impacts of private information leakage lawsuits.

정보유출배상책임보험의 가입 의무화에 관한 연구

박영준(Young Joon Park) 한국보험법학회 2015 보험법연구 Vol.9 No.1

인터넷의 발달과 그 이용의 확대는 우리의 생활에 많은 편리를 가지고 왔지만 정보통신기술의 악용으로 대량의 개인정보가 유출되는 사고도 빈번하게 발생하고 있다. 개인정보유출 사건이 발생하는 경우 자신의 개인정보가 침해된 피해자들은 피해액을 입증하기가 쉽지 않고 소송절차가 번거로워 배상이 용이하지 않으며 그 배상액 또한 낮은 문제점이 있다. 반면 개인정보유출을 당한 기업체는 유출로 인한 손해배상의 범위가 확정되어 있지 않아서 이로 인한 손해배상액의 예측이 어려워 위험관리측면에서 어려움을 겪고 있다. 이러한 위험을 관리하기 위하여 미국 등에서는 “사이버 배상책임보험”(Cyber Liability Insurance: CLI)이사용되고 있다. 사이버 배상책임보험은 e-비지니스, 인터넷 네트워크 및 정보 자산 등 사이버 리스크와 관련하여 계약당사자의 위험과 제3자에 대한 손해배상 위험을 모두 담보하는 보험으로, 기업에게는 개인정보유출로 인한 위험을 관리할 수 있도록 해주고 피해자에게는 손해배상의 확실성을 담보해주게 된다. 우리나라에서도 개인정보유출에 따른 피해자에 대한 배상책임을 담보하는 보험이 사이버 배상책임보험의 일종으로 몇몇 손해보험사에서 “개인정보보호 배상책임보험”이라는 명칭으로 보험상품으로서 제공하여 왔으나 그 이용실적은 미미하였다. 지난 2011년 7월 SK커뮤니케이션즈가 운영하는 서버가 중국에 거주하는 해커에게 해킹 당하여 네이트 또는 싸이월드의 회원 3500만여명의 개인정보가 유출되었다. 2012년에는 KT 한국통신의 전산시스템의 해킹으로 870만건의 고객정보가 유출되었다. 그리고 2014년 1월에는 KB국민, NH농협, 롯데카드 등 3개 신용카드사에서 1억 580만 건의 고객정보가 유출되었다. 이러한 일련의 사고를 계기로 사회전반에서 개인정보 유출의 심각성이 대두되고 그 배상방법의 불확실성에 대한 우려가 커지면서 최근에는 개인정보유출시의 배상에 관한 보험가입을 의무화하기 위한 법률개정안들이 국회에 의원입법으로 상정되어 왔다. 그 중 신용정보법은 2015년 3월 11일 개정되어 보험가입 의무화 규정(제43조의3)이 신설되었고 2015년 9월 12일부터 시행된다. 본고에서는 입법에 의한 정보유출배상책임보험의 가입 의무화가 과연 적절한 것인지에 관하여 살펴보았다. 그리고 만약 정보유출배상책임보험의 가입을 의무화할 경우 입법시 고려할 법적 쟁점에 관하여 각각의 쟁점별로 고찰하였다. Development and advancement of internet technology offering more convenience in our lives, but the personal information could be leaked in the course of using it and the using process itself is exposed to the risk of hacking. When private information leakage incident has occurred, it is very difficult that victims prove their damages. On the other hand, company have trouble to managing their risks related to information leak. Cyber Liability Insurance(CLI) is one of the most useful method that help companies managing information leak risk. Cyber liability insurance cover companies’ liability to third-party damages which caused leakage of the private information. Cyber liability insurance is very popular in America, but in Korea, it’s not. In July 2011, two popular web sites, Nate and Cyworld operated by SK Communications were hacked by a Chinese hacker, causing the private information of 35 million users to be leaked. In 2012, KT Communications’ data server were hacked by an hacker, causing the private information of 8.7 million users to be leaked. And, in Jan 2014, three major credit card companies (KB card, NH card, Lotte card) leaked 105 million of their customer’s private information. In the wake of such accidents, several legislative bills which contain mandatory cyber liability insurance were submitted to the National Assembly, such as the revision of the Personal Information Protection Act, the revision of the Information & Communications Network Act, and the revision of the Credit Information Act. Especially, in March 11, 2015, the National Assembly passed the revision of the Credit Information Act which contains mandatory cyber liability insurance(Art. 43-3). It is enforced from Sep. 12, 2015. In this article, the author insist on mandatory cyber liability insurance would be helpful for both of the information company and their consumers. And the author suggest adopting mandatory cyber liability insurance in the near future on the Personal Information Protection Act and the Information & Communications Network Act.

개인정보 보호법상의 개인정보 유출통지제도 및 미국의 개인정보 유출통지법(Security Breach Notification Laws)의 비교연구

강성영 서울대학교 기술과법센터 2014 Law & technology Vol.10 No.2

인터넷 이용이 활발해지고 온라인 서비스를 비 롯한 각종 정보통신기술이 사람들의 생활 깊숙이 들어오면서 개인정보 유출사고 역시 급격히 증가 하고 있다. 이에 따라 미국은 California 주를 비롯 한 거의 모든 주에서 개인정보 유출사고 발생 시 정 보주체에게 그 사실을 통지하도록 의무화하는 개 인정보 유출통지법(Security Breach Notification Laws)을 운영하고 있다. 미국의 개인정보 유출통 지법의 내용은 크게 통지대상이 되는 개인정보, 통 지의무자 및 대상, 통지요건, 통지시기, 통지방법, 통지내용, 처벌조항으로 구성된다. 우리나라 또한 2011년 3월 29일 개인정보 보 호법 제정을 통하여 개인정보 유출사고 발생 시 정 보통신서비스제공자가 유출된 정보, 유출시점 및 대처방법 등을 이용자에게 통지하고 안전행정부장 관에게 신고하도록 의무화하는 규정을 추가하였 다. 그러나 위 규정상의 통지시점이 획일적이고 통지방법이 다양하지 못하며 개인정보 유출신고절차 가 이용자 보호에 미흡하다는 문제점이 있다. 뿐만 아니라 과태료 규정은 그 부과기준이 불명확하고 통지의무 준수 여부를 감독할 개인정보 보호위원 회의 독립성과 전문성도 보장되어 있지 않다. 향후 개인정보 보호법 개정을 통하여 위와 같은 입법적 미비는 개선될 필요가 있고, 이러한 점에서 장기간 의 입법적 노력과 선진적인 실무경험이 담겨있는 미국 각 주의 개인정보 유출통지법은 중요한 자료 로 활용될 수 있을 것이다. Identity theft presents real financial and national security threats that must be met with a broad spectrum of resources. One way to help prevent identity theft is to require businesses who own, license, or process personal information to notify individuals when their data systems have been breached, exposing sensitive personal information. California was the first jurisdiction to enact a Security Breach Notification Law in 2002, and there followed the emergence of numerous state bills modeled after the California law imposing notification requirements on entities that own, license, or process personal information. Korea also enacted personal information protection law including security breach notification requirements. The reforms of security breach notification were recommended based on the analysis of the United States’legal system and this analysis focuses on the following components: ⑴ the type of information protected; ⑵ the parties subjected to the law; ⑶ breach notification triggers; ⑷ breach notification timelines; ⑸ breach notification methods; ⑹ contents to be noticed; and ⑺ enforcement provisions. The modifications presented in this analysis will increase the legislation effectiveness by: closing loopholes to increase the legislation’s applicability, especially about breach notification timelines and methods; addressing ambiguous provisions about penalties; increasing the legislation’s ability to prevent information security breaches. By making these adjustments, Korea can provide its nation with a more efficient security breach notification system that will better protect its personal information from those who would exploit it.

개인정보유출에 기한 손해배상 사건과 소송상 준거법

한승수(Seungsoo HAN),최지현(Jihyun CHOI) 인하대학교 법학연구소 2021 法學硏究 Vol.24 No.1

인터넷상 수많은 국제계약이 체결되고 그 과정에서 정보주체의 개인정보가 제공되고 있음에도 불구하고, 그에서 파생되는 분쟁에 어떻게 대응할 것인지에 관한 논의는 아직까지 많지 않은 것으로 보인다. 대표적으로 그와 같은 회사들의 서비스와 관련하여 우리나라의 정보주체가 제공한 개인정보의 유출사고가 발생하였다면, 그리고 그로 인해 정보주체가 해당 회사들에게 우리나라 법원에서 소송상 손해배상책임을 묻게 된다면, 그 준거법에 관한 논의가 요구된다. 먼저 개인정보 유출사건에서 발생하는 사업자의 손해배상책임의 성질결정이 필요하다. 그 판단을 위해서 개인정보 유출사건에서의 보호법익, 관련 법률, 실무의 태도, 다른 입법례 등을 살펴볼 필요가 있는데, 개인정보 유출사건에서의 손해배상책임은 통상 불법행위로 성질결정이 된다는 점을 검토하였다. 이후 이를 전제로 우리 국제사법상의 연결 원칙이 어떻게 적용되는지 살펴보았다. 당사자 자치에서 시작하여 공통상거소지, 행위지까지 여러 연결원칙이 사용될 수 있다. 여러 행위주체가 개입할 수 있는 개인정보 유출사건의 특성 등을 고려하여 피해자의 이익을 고려한 연결점을 모색할 필요가 있다. 한편 그를 다른 특수한 불법행위와 함께 입법으로 명문화하는 것도 고려할 수 있는 해결방법이라고 생각한다. 개인정보의 관리에 관한 사항은 통상 계약 내용의 일부로 규정되므로 개인정보 유출사건을 계약 위반으로서 접근하는 것도 가능하다. 따라서 그 경우의 준거법 결정도 살펴보았다. 그 과정에서 국제사법 제27조의 소비자계약으로서의 보호 가능성, 국제적 강행규정 또는 공서위반 해당여부, 손해배상 관련 문제도 검토하였다. 마지막으로 불법행위에 관한 종속적 연결과의 관련성을 살펴보았다. 불법행위 또는 계약 위반 중 어느 쪽으로 접근하느냐에 따라서 적용 법리 또 그로 인한 결과에 차이가 있을 수 있다. 따라서 실제로 소송을 함에 있어서 원고 입장에서는 어떠한 방식으로 청구하는 것이 유리한 것인지 고민하는 것이 필요하다. 아직까지 우리 대법원은 이 문제에 대한 판시를 하지 않고 있는데, 우리 실생활에서 개인정보의 수집, 제공 등이 활발하고 개인정보 유출사건에 관한 판례들이 상당하다는 점을 고려할 때 실무의 가이드가 될 수 있는 판결이 서둘러 내려지기를 기대한다. Although numerous international contracts have been signed on the internet and personal data is provided in the process, there seems to be not much discussion on how to respond to the disputes derived from them. Typically, if there is a leakage of personal data provided by Korean Citizen in connection with the services of internet companies based of the foreign countries, and if the disputes on the damages are examined in Korean courts, the governing law can be problematic. Since the leakage of personal data is usually characterized as a tort, we reviewed how the principle of connection in our international private law is applied. Several connection principles can be used from ‘party autonomy’ to the ‘lex loci delicti’, but it is necessary to seek a connection point considering the victim"s interests in consideration of the nature of events in which various actors can intervene, and it is desirable to stipulate the principle of the connection on this matter along with other special kinds of torts. On the other hand, it is also possible to approach the case of personal data leakage as a breach of contract, so the governing law in this regard with was also examined. Depending on which way the plaintiff files a lawsuit, there may be differences in the governing law and the consequences, so it is necessary for the plaintiff to consider how it is advantageous to file a lawsuit. The Supreme Court has not yet ruled on this issue, and we hope that the ruling, which can be a guide to practice, will be made in a hurry, considering that the collection and provision of personal data is active in our real life and the cases of personal data leakage are significant.

미국에서의 개인정보 유출 관련 소송에 대한 연구

김창화(Kim, Chang-Hwa) 한국정보법학회 2015 정보법학 Vol.19 No.3

최근, 미국에서나 우리나라에서는 개인 정보의 유출과 관련된 많은 사건이 발생되고 있고, 이에 그 유출과 관련된 개인 이용자나 금융회사들은 해당 정보를 보유하고 있다가 그 정보를 유출한 회사를 상대로 소송을 제기한다. 미국의 타겟 사건에서, 법 원은 개인 정보를 유출한 회사가 그 유출에 대한 과실이 있음을 인정하였다. 하지만, 그 사건의 판단 과정을 살펴볼 때, 법원은 피고가 일정한 주의의무를 갖는다고 하였으며, 그러한 의무를 위반하였다고 판단하였지만, 이러한 해석은 기존 미국의 개인 정보 유출 소송들과는 사뭇 다른 모습을 보이고 있어 문제가 있는 것으로 보인다. 일반적으로, 미국에서는 개인 정보 유출과 관련된 소송이 제기된 경우, 피해와 관련된 문제와 청구원인에 관련된 문제를 살펴본다. 먼저, 피해와 관련하여 미국 법원들은 인식 가능한 피해가 존재하고, 그 피해와 피고의 행위 사이에 인과관계가 존재함을 요구한다. 그리하여, 인식 가능한 피해는 분명하고 추측에 근거하지 않으며, 현재의피해가 존재하여야 하지, 장래 피해의 증가된 위험, 장래 피해의 위험을 감소시키기위해 사용된 시간과 비용, 정신적 피해와 프라이버시의 침해, 정보 가치의 손실을 이유로 그 책임을 인정하지는 않는다. 또한, 손해의 인과관계도 유출과 남용 사이의 시간과 논리적인 연결을 지지하는 세부적인 사실 정보를 보여주어야만 성립하는 것으로 하고 있다. 다음으로, 청구원인에 있어서도, 원고들은 계약의 위반, 불법행위 상의 과실, 보통 법상 원칙들의 부당이득이나 위탁, 그리고 법률의 규정 위반을 들고 있다. 하지만, 미국의 법원들은 계약적 약속에 대한 의무를 인정하거나 묵시적 계약을 인정하지도 않 으며, 제3의 수익자라는 주장도 받아들이지 않고 있다 또한, 불법행위에서도 원고가 피고가 직접적인 관계가 없거나 의무가 사건의 사실에 적용되지 않는 법으로부터 발생된 경우에는 적용하지 않음으로써, 그 성립을 인정하는 데에도 상당히 부정적이다. 또한, 보통법상 원칙인 부당이득과 위탁을 인정하는 것도 그 요건에 부합하지 않는다. 그리고 마지막으로, 법률의 위반에 대해, 법원들은 각각의 법률에서 규정하고 있는 주체와 객체의 요건을 엄격하게 해석함으로써, 원고가 이를 원용하기도 쉽지 않아 보인다. 따라서 미국에서 개인 정보 유출에 대하여 회사에게 손해를 묻는 것은 상당히 어려워 보인다. 물론, 이러한 해석이 개인 정보를 믿고 맡긴 이용자나 금융회사 등의 개인정보 관련자들에게는 매우 불합리해 보인다. 그리고 개인 정보를 보유하고 있음에도 불구하고, 정보를 유출한 회사들은 그 보안의 조치에 따라 일정한 책임을 물어야 할것으로 보이기도 한다. 하지만, 손해배상과 관련된 법원칙을 따를 때. 직접적인 손해가 발생하지도 않고, 법적인 요건도 만족하지 못하고 있는 상황에서, 원고에게 피해를 배상하도록 하는 것은 타당하지 않아 보인다. 따라서 이러한 모순적인 상황을 해결할수 있는 입법적 정책이 필요할 것으로 보이며, 우리 법에서도 이는 동일하다 할 것이다. Recently, there have been many data breach cases in the US and our country, and the consumer and financial entities filed a lawsuit against companies that had the data. In the Target case, the court held that the defendant was liable for leaking the data. However, when examining the case in detail, there are some problems because the decision was different from the other US cases. In general, the US courts have checked the threshold issues relating to injury and causes of actions when filing a lawsuit concerning data security breach. Firstly, with regard to the threshold issues relating to injury, the US courts have required the cognizable injury and the causation of damages. Thus, the cognizable injury should be appreciable, non-speculative, and present. The following things are not cognizable: increased risk of future harm, time and money spent mitigating risk of future harm, emotional injury and loss of privacy, and loss of value of information. In addition, the causation of damages could be established only if the detailed facts to connect between the leakage and misuse logically are shown. Next, plaintiffs asserted the cause of action as the breach of contract, the negligence in torts, unjust enrichment, bailment in common law principles, and the violation of laws. However, many courts did not recognize these cause of actions, and moreover, they interpreted the application of the requirements very stricly. In conclusion, the US courts have been reluctant to hold the defendant that has consumers’ data liable. Of course, this trend may be unfair to the consumers and financial entities. And, the defendant could be liable according to the measure to protect the data. However, under the general legal principle, it is not appropriate to hold the defendant liable when there is no actual damage and the legal requirements were not met. Thus, the new policy is required to solve this problem.

개인정보 유출 최소화를 위한 통합 접근통제 모델 연구

최진혁(Choi Justin Jin Hyuk),박준석(Park Jun Seok) 한국공안행정학회 2010 한국공안행정학회보 Vol.19 No.1

인터넷(Internet) 이용자가 폭발적으로 증가한 지식정보화 사회에 있어서 개인정보는 보호되고 지켜져야 할 재산으로서 그 중요성은 아무리 강조해도 지나치지 않다. 온라인(On-line) 상으로 정보가 교류ㆍ저장ㆍ처리되는 사이버(Cyber) 세계에서는 개인정보의 보호가 더욱 중요시된다고 하겠다. 개인정보는 본인 확인의 기본적인 수단으로서 온라인은 물론 오프라인(Off-line)에서도 광범위하게 사용됨으로써 유출 시에는 예기치 않은 문제나 큰 피해를 불러일으킬 수 있다. 최근 인터넷을 통해 개인정보가 부당 유출되는 사례가 급증하고 있는데, 그 주요 원인을 살펴보면 주로 관리 소홀, 의도적 유출, 기술적 미비 및 기업의 오ㆍ남용 등으로 밝혀졌다. 특히 기술적 공격이나 취약성 때문이 아닌 내부자(직원)의 고의(악의적 유출)나 관리 소홀에 의한 경우가 많다는 것도 주목할 부분이다. 유출된 개인정보는 다시 암시장(Black Market) 등에서의 거래를 통해 피싱(Phishing)이나 스팸(Spam) 등 사이버범죄에 악용되기도 하며, 심지어는 제3국으로 밀반출되어 국익이나 국가 안보에도 악영향을 미칠 우려를 낳고 있는 실정이다. 이 연구에서는 개인정보의 침해와 관련한 현황과 사례, 취약성 및 위협 등을 살펴보고, 개인정보의 보호를 위한 기술적 대책과 효과적인 보안관리 방안을 모색해 보고자 하였다. 이를 위해 개인정보에 대한 접근의 최소화, 접근이 허용된 관리자 및 사용자들의 권한 단순화, 접근이 허용된 사용자들의 침해 여부 판단, 접근 및 개인정보 처리 과정의 로그(Log)와 감사 기록(Audit Trail), 비정상 행위에 대한 감시 및 대응 등을 하나의 "통합된 접근통제 모델(Integrated Access Control Model)"에서 제공하는 대안을 검토하여 유출의 최소화를 위한 효율성 향상 및 개인정보 보호 전략을 논의하였다. 이 연구에서 제안한 통합적 접근통제 모델은 개인정보 접근에 대한 '내부 DMZ(Demilitarized Zone)' 구조를 중심으로 하여 설명하였으며, 특히 내부자 관리 소홀, 내부자의 고의적 행위, 해킹(Hacking)ㆍ악성코드(Malicious Code)와 같은 기술적 수단의 사용 등과 같은 침해 유형에 효과적으로 대응할 수 있는 전략적 방법으로 파악하였다. 따라서 이러한 통합 접근통제 모델을 2007년 개인정보 피해 사례를 기준으로 적용했을 때 '기업의 오ㆍ남용'과 '개인의 부주의'를 제외한 77.49%에 이르는 나머지 유형의 침해를 방지할 수 있었을 것으로 검증되는 바, 이를 적절히 응용할 경우 개인정보의 침해를 상당히 효과적으로 예방할 수 있을 것으로 판단된다. In this study, the researcher presented the Integrated Access Control Model (the Model, hereafter) for deriving and specifying access control policies and investigated the usefulness of the Model. The Model in this research integrates access control policy specification into the data protection mechanism, making a significant step towards ensuring that policies are enforced in a manner consistent with a system's security requirements specifications. The researcher then utilized a simulation method to evaluate the Model's usefulness and effectiveness. Data leakage in corporations has been a scary proposition and a serious headache to both the CEOs(Chief Executive Officers) and the CSOs(Chief Security Officers). Security professionals or practitioners have always had to deal with data leakage issues that arise from e-mail, instant messaging(IM), and other Internet communication channels. In addition, with the proliferation of wireless and mobile technology, it's now much easier than ever for loss by data breaches to occur, whether accidentally or maliciously. While there are plenty of security tools on the market for keeping mobile and/or stationary data from leaving the enterprise surreptitiously, the best ones seem to use a combination of prevention and detection methods, such as a detection engine and a data blocker. However, it would be crucial to first understand what data types are being protected and the level of risk. In this study, the researcher explained the theoretical aspects of privacy, together with legal consideration on the protection of personal data. A company's sensitive data, including personal data, is widely distributed throughout its network. Important or sensitive data resides not just in the organization's databases, but also in e-mail messages, on individual PCs and as data objects in web portals. Sensitive information also comes in many forms, including credit card details and Resident Registration Numbers, equivalent to Social Security Numbers in the U.S. As corporations enable their businesses on the web and link up with networks belonging to partners, suppliers and customers, it is vital to keep track of what's flowing over those networks. With so many network egress points for data, it is of much significance to be able to constantly monitor network traffic and inspect e-mail, IM and peer-to-peer file-sharing systems, as well as web postings and FTP sites, for data that may be exiting a network in violation of company policies. The data protection system in a company should be designed to keep an eye on what users and administrators are doing with their access privileges and either prevent certain actions--such as modifying, copying, deleting or downloading large sets of data or files--or send out alerts when someone attempts one of those actions. Encrypting sensitive data in databases is another measure companies should consider. Access control is a mechanism for achieving confidentiality and integrity and access control policies express rules concerning who can access what information, and under what conditions. Companies should not give employees far more access than they really need. It is critical to create access control policies that limit users' network privileges strictly to what is required for their jobs, and set controls for enforcing those policies. The researcher explained how to configure the Integrated Access Control Model and examined the usefulness of the Model, utilizing a simulation method to effectively evaluate the Model's usefulness by comparison with statistics on data leaks. This study shows that limiting user privileges upon the principle of "least privilege," monitoring user access to mission-critical data, and detecting unauthorized access to high-risk data are key steps to take. It also is quite important to be able to provide clear audit trails that track when people try to act outside of corporate security policy.