정보통신망의 불법정보에 관한 행정법적 규율 : ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣제44조 내지 제44조의10과 관련하여

최승원,손현 이화여자대학교 법학연구소 2008 法學論集 Vol.12 No.2

지식정보를 에너지로 하여 부단히 창출되는 전자공간은 단순히 가상공간이 아니라 지식정보사회의 구성원 누구에게나 필수적인 또 하나의 생활공간으로 존재한다. 전자공간은 기하급수적으로 증대되는 글로벌 웹기반의 복합멀티미디어매체 내지 이를 통한 다종ㆍ다양의 콘텐츠서비스매체들을 매개로 하여 쌍방향ㆍ다방향 표현의 자유의 구현을 통한 정보공유의 극대화와 G·B·C 제 주체간의 복합중첩적 다면ㆍ다중관계 형성 등 인류가 일찍이 겪지 못한 또 다른 생태적 생활공간으로의 진화를 계속해가고 있다. 반면, 온라인상에 Database 및 사생활 침해, 명예훼손 등의 불법정보가 만연하게 되고, 음란, 청소년 유해정보도 여과 없이 유통되는 등 다양한 부작용도 발생하고 있다. 이에 대한 우려를 명분으로 인류의 미래가 감시와 통제의 일상화로 다가올지 정보혁명의 돛배를 탄 인류의 향해가 e-welfare의 희망봉에 도달할지는 불확실하지만, 전자공간에 대한 ‘자유 및 자율’과 ‘규제 및 통제’, 정보의 ‘공개’와 ‘보호’는 나름의 명분으로 무수한 담론을 거듭하며 새로운 패러다임 형성의 헤게모니 쟁탈전을 벌여갈 것이다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’) 제44조 등은 전자공간상의 음란, 명예훼손 등의 불법정보로 인한 권리침해 예방과 이용자의 권익보호를 위한 다양한 규율 내용을 담고 있다. 본 논문은 정보통신망의 불법정보 규율을 위한 G, B, C의 바람직한 역할분담 및 방송통신위원회를 중심으로 불법정보에 관한 현행 행정규율 체계 및 규율 방향의 일단을 모색함을 목적으로 한다. 정보통신망의 불법정보에 관한 책임은 방송통신위원회(G), 정보통신서비스제공자(B), 이용자(C)로 나뉘어 규율되고 있다. 다양한 형태의 B와 C가 존재할 수 있는 상황을 고려하여, 세분화ㆍ유형화를 통한 G, B, C의 상호 역할 분담에 기한 규율이 필요하다. 한편 전자공간에 있어서는 표현의 자유 및 정보 접근권을 최대한으로 보장하고, 분쟁의 사전 예방 및 신속한 피해자의 권리 보호를 위하여 사전 예방적 규율 및 자율규율이 중요하다. 또한 자율규율이 실효성을 거두고, 분쟁의 사전 예방을 위해서는 사후 규제인 민ㆍ형사적 규제보다는 행정 특히 규제적 행정작용보다는 사전ㆍ조성적 행정작용의 역할이 강조될 필요가 있다. 불법정보로 인한 권리침해를 받은 당사자는 이용자 및 사업자에게 민ㆍ형사적 책임 및 행정적 책임을 추궁할 수 있게 되는데, 하나의 위법행위에 대한 책임으로는 과도한 책임 부과의 우려가 있을 수 있다. 우리나라의 경우 전자공간에서 발생하는 다양한 역기능을 해결하기 위하여 최우선적으로 법적 규제 특히 벌칙규정을 앞세운 형사적 규제를 최우선적으로 고려하는 경향이 있는데, 이는 전자공간의 다양한 순기능마저도 오히려 저해할 우려가 높다. 따라서 형사적 규제는 가급적 최후 보충적으로 자제하고, 행정적 규율 특히 규제적 행적작용보다는 행정지도 등을 활용한 조성적ㆍ비공식적 행정작용의 활용도를 높여 분쟁의 사전예방에 힘쓰고, 사업자와 이용자의 자율적인 규율체계를 구축하도록 법은 최소한의 규제와 절차적 보장의 마련에 집중할 필요가 있을 것이다. 민ㆍ행ㆍ형사적 규제수단들 간의 적절한 균형이 요구된다. 정보통신망의 불법정보에 대한 방송통신위원회의 시정명령과 방송통신심의위원회의 심의 및 시정요구제도, 전기통신사업법상의 전기통신사업자에 대한 허가, 등록, 신고제의 운영 및 이에 대한 제재 등 규제적 행정수단을 활용하는 경우에는 상호 규제수단들간의 균형ㆍ조화를 통한 규율의 적정성이 담보되어야 하며, 집행절차의 엄격한 보장도 필요하다. 비례의 원칙, 적법절차, 이중처벌금지원칙 등을 고려한 최소한의 규제가 고려되어야 한다. 사후 분쟁해결을 위해서도 민사 및 형사소송을 통한 사법적 구제 외에도 ADR을 통한 분쟁의 신속한 해결및 당사자간의 합의를 유도하는 등의 다양한 행정적 구제 방안의 활용도 적극적으로 검토될 필요가 있다. 정보통신영역이야말로 다종다양한 공익과 공익, 사익과 사익, 이들 상호간의 복합중첩적인 갈등과 충돌을 여하히 조절ㆍ조화시키는 이해조절적 행정기능의 중요성이 강조되는 영역이다. 따라서 정보통신망의 불법정보에 대한 규제 등 전자공간에서의 규율은 글로벌 네트워크 기반의 G, B, C의 상호간의 기능적 역할 분담을 전제로 한 Governance 개념을 전제로 하여, <사전ㆍ사후>, <자율ㆍ법적>, <민ㆍ행ㆍ형>,<T-CodeㆍL-Code>가 균형ㆍ조화를 이룬 이해조절적 Co-regulation이 고려된 방향으로 규율 체계가 마련되어야 할 것이다 Cyber space where global web-based knowledge information is being created ceaselessly is not a simple virtual space but another living space necessary for all members of information society. Global web-based multimedia and various kinds of media content services are increasing at an incredible speed. In addition, cyber space continues to evolve into an unprecedented ecological living space which provides opportunities for subjective participation and individuality development through the maximization of information sharing and the establishment of multirelationships based on liberal communication activities between two or many people using web-based multimedia and media content services. However, lots of serious problems, such as attacks on database, privacy invasion, the prevalence of illegal information, and the distribution of obscene materials and unfiltered information that may harm adolescents, are also taking place online. In order to overcome such problems and achieve a goal of establishing e-welfare society, the Broadcasting and Communications Commission(G), the information and communication service provider(B), and the user(C) all need to make ceaseless efforts to harmonize their interests. ‘Freedom and self-regulating’, ‘regulation and control’, and ‘publication’ and ‘protection’ of information in cyber world will go through lots of discourse, competing for hegemony over the establishment of a new paradigm. Restrictions on illegal information in information and communications networks and other regulations in cyber space should be based on governance concepts on the premise that the functional roles of G, B, and C are divided, and be created in consideration of harmony among <beforeㆍafter>, <self-regulatingㆍlegal>, <civilㆍadministrativeㆍcriminal>, <T-CodeㆍL-Code>. Article 44 of Information and Communication Network Law contains various regulations intended to protect the user’s rights by preventing them being damaged by obscene materials, privacy invasion, and illegal information. This study analyzed and developed regulations contained in Article 44 of Information and Communication Network Law, according to the relationship among the divided roles of the G, B, and C. After that, it discussed the appropriate responsibilities and roles of G, B, and C for the regulation of illegal information in information and communications network. Especially because an administrative role for prevention and self-regulation is more needed than regulations under civil and criminal law in cyber space, it is necessary to examine the validity of the current administrative regulation system and seek the appropriate direction of administrative regulations under the lead of the Korea Broadcasting and Communications Commission.

정보통신망 침입에 대한 연구- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조를 중심으로 -

조성훈 법조협회 2013 法曹 Vol.62 No.12

1995. 12. 29. 법률 제5057호로 개정된 형법은 “컴퓨터 등 정보처리장치”와 “전자기록 등 특수매체기록”의 개념을 도입하여 기존 구성요건을 정비하고 새로운 구성요건을 신설하는 등으로 컴퓨터범죄의 기본 틀을 마련하였다. 한편 2001. 1. 16. 법률 제6360호로 전부 개정된 “정보통신망이용촉진및정보보호등에관한법률” 제48조는 “정보통신망 침해행위 등의 금지”라는 표제 하에 일련의 행위를 금지하고 이를 위반할 경우 처벌하도록 규정하는 바, 컴퓨터범죄 관련 형법 구성요건과 정보통신망법의 관계가 반드시 명확한 것은 아니다. 본고에서는 위 두 법률의 규정을 비교하여 그 차이점을 분석하고, 정보통신망법 제48조 제1항과 유사한 구조를 가진 미국의 Computer Fraud and Abuse Act의 기본 구조를 살펴본 후, 정보통신망법 제48조 제1항의 범위가 부당히 확장되는 것을 방지하려면 ‘권한 없는 정보통신망 침입’은 기술적 보호조치 또는 이에 준하는 보호조치를 무력화하거나 우회하는 방법으로 자신에게 부여되지 않은 권한을 취득하고 이를 이용하여 정보통신망에 접근한 경우로 제한되어야 한다는 해석론을 제시한다. In this article, I first examine in every detail the differences between the statutes in Criminal Code of Korea related with computer crime and the statutes in the Information Network Act of Korea related with network crime. Then, I present a doctrinal analysis regarding the interpretation of network trespass in Information Network Act. I propose that courts should limit network trespass as access to network that invalidates or circumvents code-based restrictions. The constitutional void-for-vagueness doctrine would help in delineating the proper scope of criminal liability when applying the Information Network Act. By means of this process, the network trespass will completely “metamorphose” into normal sanctions that delicately balance competing interests between owners of networked computer systems and users and draw a bright line between permissible and forbidden uses.

정보환경의 변천에 따른 개인정보 보호 정책의 헌법합치적 본질성 반추

이민영 ( Lee Min-yeong ) 한남대학교 과학기술법연구원 2018 과학기술법연구 Vol.24 No.1

이른바 제4차 산업혁명의 범용기술(GPT; General Purpose Technology)로 평가되는 인공지능(AI; Artificial Intelligence) 그리고 모든 것과의 인터넷 연결로서 사물인터넷(IoT; Internet of Things), 수집 보유 정보의 효용성 있는 정보처리체계인 클라우드컴퓨팅, 효과적 분석기법이 적용되는 방대한 대용량 자료로서 빅데이터, 스마트 디바이스처럼 정보의 수신 교류가 항시 가능한 구조인 모바일 등 초지능화(Hyper-Intelligent) 기술의 활용과 융합이 상용화로 최근 정보환경은 급격히 변화하고 있다. 이에 따라 사람 중심의 창의성과 유연성을 핵심가치로 여기는 지능정보사회로의 진화과정에 급속한 변천이 투영되고 있지만, 인간지성(human mentality)을 대체할 초연결(Hyper-Connected)의 지능정보화에서 정보통신기술(ICT; Information Communication Technologies)의 자율성범위, 즉 판단의 범위와 책임의 소재에 관한 사회적 합의의 도출과 권익침해를 통제할 수 있는 규제제도의 재정비는 미흡한 상황이다. 이러한 문제인식은 정보보호 개념 관점에서 사물인터넷에 관한 산업적 활용에 대한 개별법령의 적절한 제한과 규제를 정보인권(the right to information) 관념 측면에서 정립하고 포섭해야 함을 역설하는 입장이나 종전의 무선환경보다는 정보보호에 보다 응전적인 사물인터넷 시나리오에 적합하고 효과적인 정보보호 근본대책이 응용환경에 접목될 수 있도록 고안되어야 함을 주장하는 견해와도 맥락이 같다. 이는 개인정보 보호법제의 체계와 내용에 관한 해석 적용 법리를 밀도 있게 재론함으로써 도출될 수 있는 법정책적 방편에의 본질적 함축의 접점이며, 그 경계는 개인정보자기결정권 제한의 한계라고 할 수 있기에 그러하다. 이에 따라 개인정보자기결정권 제한의 한계와 그 대응책을 살펴보는 이 글은 합헌적·민주적·법치적 원리에 의거하여 구체적인 법규 분석과 대응방안의 단초 모색을 현행법규의 자리매김 차원에서 천착한다. 다만, 정보환경의 변천과 개인정보 관련법제에 있어서 개별법령의 입법취지와 근본이념을 함유한 최상위법인 『대한민국헌법』이 그 기본원칙과 지도원리로 작동함은 당연하지만, 그 중요성에도 불구하고 그 범위를 개인정보보호의 일반법인 『개인정보 보호법』과 온라인에 적용되는 개별법인 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』에 한정해 검토한다. 비유컨대 어린이 보호구역이나 대중교통 정류장 등에서의 주 정차가 초래하는 질서위반을 금지하는 행위규범을 마련하고 그 제재근거를 명시하여 이를 단속하고 과태료나 범칙금을 부과한다 하여 불법 주 정차라는 행위규범위반이 전멸하지는 않듯, 정보환경의 변화를 주축으로 하는 초연결 지능정보화에서 식별가능성 없는 정보의 처리로 말미암아 개인정보를 생성하여 동의가 전제되지 않는 개인정보를 기록 저장 또는 보유케 되고 이를 가공 편집하거나 이용 제공하는 과정을 거칠 수 있다. 프로파일링 또는 데이터마이닝 등 그 처리과정을 통해 비식별정보가 식별정보로 변화 전환될 가능성이 있으므로 이 경우 개인정보의 수집에 대한 사전 동의를 요구하는 것이 사실상 어려운 상황에 놓인다. 따라서 정보주체로 하여금 접근통제에 관한 권리를 보장하고 관리주체에게로만 제한된 사용만이 가능할 수 있게 조치의무를 규율하되, 이러한 권리의무관계의 공동규제적 방안의 보완 역시 필요하다고 본다. 결론적으로 그 지향점으로 소위 일반법과 개별법의 관계로 일컬어지는 『개인정보 보호법』과 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』의 체계정합, 개인정보 보호책무의 분장에서는 이분되거나 중첩되는 등 혼선의 여지는 다분히 있는 상황에서 국민 권익보장에 관한 규율이라는 지향점을 고려한 주무 유관 관서의 상호관계 및 추진체계 재정립, 입법정책 재논의에 있어 『정보통신 진흥 및 융합 활성화 등에 관한 특별법』과 같은 한정적이고 한시적인 대응이 갖는 제한적이고 잠정적인 측면에 관한 개선책 발굴 등과 같은 입법과제를 제시하고 있다. Recent information environment shifts are caused by common usage of utilization and convergence upon hyper-intelligent technologies, such as AI(Artificial Intelligence) Robotics estimated on GPT(General Purpose Technology) of so-called ‘The 4th Industrial Revolution’, IoT(Internet of Things) linking all everything to internet networks, Cloud Computing as effectual information processing system, Big Data as enormous volumetric information material massively and effectively analyzed, Mobile as information frame like smart device within the realm of possibility in receipt of information and alternating current constantly. While the present progressive ICT(Information Communication Technologies) to intelligent information society evaluating ingenuity and flexibility of human being as the point of the nucleus, legislative system of conducting social consensus on the legal issue of the scope of ICT’s decision or the concerned of liability and regulation on controlling the infringement of the human rights and interests by ICT in the era of hyper-connected intelligent information society confronted with feasibleness of substituting for human mentality. In this viewpoint, this article inquires jurisprudential review of the status quo debate on internet self-regulation with regulatory patterns which contain contents regulation but almost exclude structural regulation in coherence of the context as the legal concept of ‘the right to information’, for instance, data protection including information privacy and information security nowadays. On that ground, this study investigates the limits of restriction on the right to self-determination of information, in other words, information privacy, and the equivalent law scheme from the standpoint and inquiry of constitutional consistency accompanied by the principle theories and judicial precedents of democratism and legalism on condition that this thesis focuses upon Personal Data Protection Act as the general statues and Act on Promotion of Information and Communications Network Utilization and Information Protection, etc. as on-line law with intent to qualification of looking out over legal thesis on personal data protection policy to deal with this themes. Therefore, the pending problem such as potentialities of identification and of cohesion-ease related to the ‘personal data’ notion, rational legislative prescription on the consent of data subjects associated with personal data process, reorganizing personal data protection regulation structure, and so on. Synthetically and consequently speaking, this treatise reaches the conclusion indicating some law-making tasks that the personal data protection policy should head toward re-systematizing substantially appropriate relationship between 『Personal Data Protection Act』 and 『Act on Promotion of Information and Communications Network Utilization and Information Protection, etc.』, concretizing the legal norms constitutional consistently within consideration of guaranteeing human rights to information, and so forth, from the angle of vision of for the sake of harmonizing public interest and human rights.

정보보안 침해 범죄의 형벌 및 제재 규정에 관한 연구 : 정보통신망법 및 기반보호법을 중심으로

이상현(Lee Sanghyun) 대검찰청 2013 형사법의 신동향 Vol.0 No.38

2008년 이래 우리는 매년 정부 . 금융기관의 전산망에 대한 무단침입, DDos 공격, 악성 프로그램 투입, 대규모의 개인정보의 무단 유출을 반복하여 경험하고 있으며, 최근 들어 스마트폰에 악성 코드를 투입시켜 금융정보를 무단 수집하는 사건들까지 나타나고 있다. 그럼에도 이러한 정보통신망에로의 무단 침입, 기능의 장애 야기, 악성 프로그램의 유포와 같은 범죄-정보보안 침해 범죄-에 대한 형사처벌 규정을 체계적으로 검토하고 그 적정성에 관한 법이론적 분석을 시도한 예는 많지 않았다. 본 논문은 정보보안 침해에 관한 행위의 규제의 법적 근거가 되는 정보통신망법과 기반보호법상에서 형벌의 대상이 되는 행위와 그에 대한 제재수단으로서의 형벌을 면밀히 검토하였다. 또, 비교법적 검토의 예로서 정보통신망법과 정보통신기반보호법에 대응하는 미국의 정보통신망 보호에 관한 입법에서 특히 정보통신망에 대한 공격행위를 대상으로 한 제재, 처벌 규정들을 소개하였다. 이를 통해, 본 논문은 결과적 가중범 또는 결합범 형태의 입법 필요성, 예비 . 음모 및 미수처벌 규정 도입 필요성과 함께 양형기준의 확립, 행정 기관의 명령 불이행 또는 거부죄의 비범죄화 및 사이버범죄의 처벌에 관한 법 제정이라는 제안을 해 보았다. 전산망을 통한 소통, 정보의 집적 및 유통이 확대되고 있는 상황에서 정보보안 침해 범죄와 제재수단에 대한 입법적 개선이 시급하다. South Korea has experienced large-leveled hacking or DDos attack on information network systems or leakage of mass personal information since 2008. In spite of the successive information-security infringing activities, there have been rare, if any, researches on examining provisions criminalizing and penalizing the activities under Act on Promotion of Utilization of Information and Communication Network and Protection of Personal Information, and Act on the Protection of Information and Communications Infrastructure. This thesis analyzed the provisions under both legislations from the perspective of criminal law theory, and comparative research of American legislation and Convention on Cybercrime of European Union. On the basis of the analysis and the study, several legislative improvements are to be suggested. Firstly, the definition of‘mala-ware program’ should be extended to cover a device and date which support unauthorized access to the network system or collect personal information without permission. Secondly, provisions of attempt, conspiracy, and erfolgsqualifiziertes Delikt which aggravates penalty against the crimes causing deaths or serious injuries of human-beings, should be adopted. Thirdly, sentencing guidelines should be announced as regards cybercrime, including information-security-infringing ones. Fourthly, refusal to abide by administrative agency’s order should be dealt with administrative sanctions rather than criminal penalty. Finally, an integrated bill dealing with cybercrimes is to be designed in order to meet challenges of a rapid growth of cybercrimes from information-technology-based society.

개인정보자기결정권과 정보통신망 이용촉진 및 정보보호 등에 관한 법률 개정안에 대한 연구

이희훈 한국입법학회 2017 입법학연구 Vol.14 No.1

헌법 제17조의 사생활의 비밀과 자유 규정을 근거로 하는 개인정보자기결정권은 익명권, 정보수집 동의권, 정보 수집․이용제한청구권, 정보열람청구권, 정보 수정(정정)청구권, 정보 사용정지․삭제․폐기청구권, 정보 분리 및 시스템 공개청구권을 내용으로 한다. 최근 정보통신서비스 제공자(사업자)가 그 이용자의 개인정보를 경품이나 추첨에 의한 명목으로 수집시 보험사의 마케팅 자료나 기타 제3자의 이용목적상 마케팅 자료로 활용(처리)될 수 있음을 함께 고지하고 동의를 받을 때에 정보통신서비스 제공자(사업자)가 제3자에게 유상으로 매매할 경우에는 해당 정보통신서비스 이용자에게 별도의 사전 고지 후에 이에 대한 별도의 추가적 동의를 받도록 해당 정보통신망 이용촉진 및 정보보호 등에 관한 법률 조항을 수정하고 이를 위반시 처벌할 수 있도록 개선하려는 것을 주요 골자로 하는 의안번호 2003237번의 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제24조의 2 규정 등에 대한 개정안은 정보통신서비스 이용자의 정보 수집․이용제한청구권 등의 개인정보자기결정권을 좀 더 넓고 강하게 보호해 준다는 점에서 타당한 개정안이라고 할 것이다. The right to informational self-determination be grounded on a secret of the private life of 17 clause of constitutions and a right of anonymity, the right of consent to the information collection, claim for information collection and use restriction, a claim for information reading, a claim for information revision, a claim for information use coming to a stop, deletion and disuse and a claim for information separation and a system exhibition in contents. It revises it tells an information and communication service user about the reform bill of 2 of 24 clause of information methods of the 2003237th bill number particularly recently when a person of information and communication service offer(an enterprise) buys and sells personal information of an information and communication service user for payment, and to receive an extra agreement. And an information and communication service offer person(an enterprise) improves this rule to be able to punish him when he violate this rule. Therefore, this reform bill is proper because it is a little wider and strongly protects a claim for information collection and use restriction of an information and communication service user.

가상세계 서비스 제공자의 개인정보 수집과 프로파일 구축 등에 관한 법적 규제

박원규 서울대학교 기술과법센터 2010 Law & technology Vol.6 No.5

정보통신기술의 발달로 가상세계는 현실세계와 더욱 흡사해지고 있고, 가상세계에 대한 활용도 늘어나고 있다. 가상세계 서비스 이용자는 수많은 이용자들로 이루어진 가상 사회(virtual society)의 일원으로서 현실에서 할 수 있는 거의 모든 종류의 활동을 상당한 기간 지속적으로 행하면서 자신의 의사와 상관없이 매우 다양하고 방대한 개인정보를 노출하므로, 가상세계 서비스 제공자는 종래의 온라인 서비스 제공자에 비하여 이용자에 관하여 훨씬 다양하고 방대한 정보를 얻을 수 있고 이를 적절한 도구로 분석하여 훨씬 구체적이고 정확한 이용자 프로파일(user profile)을 구축할 수 있다. 이와 같은 가상세계의 특징으로 인하여, 가상세계 서비스 제공자의 개인정보 수집, 프로파일의 구축, 이용 및 이전 등이 개인정보에 관한 중대한 문제를 야기할 위험성은 매우 높다. 위와 같은 위험을 방지하기 위하여, 가상세계 서비스 제공자의 개인정보 수집, 프로파일의 구축, 이용 및 이전에 대한 적절한 법적인 규제가 필요하고, 이와 관련하여 약관의 규제에 관한 법률 제6조의 불공정 약관 조항에 대한 해석론의 재검토와 정보통신망이용촉진 및 정보보호 등에 관한 법률 중 관련 조항에 대한 개정이 요구된다. With the progress of information and communication technologies, virtual worlds become muchlike real worlds, and more online activity moves into virtual worlds. Because of the vast extent and variety of the personal information created by virtual worldusers, virtual world service providers could collect massive and various information, and constructspecific and accurate user profiles by analyzing the information with proper analysis tools incomparison with general online service providers’case. Due to the characteristics of the virtualworlds, virtual worlds poses new and various personal information problems that are much moreserious than those arising in general online environment. The legal regulation in the virtual world service provider’s collection, profiling, etc. of personalinformation is required to solve those problems. In this regard, broad interpretation of the unjustterms clause of ‘the Regulation of standardized contract act’, and amendment of the ‘Act onpromotion of information and communication network utilization and information protection, etc.’, isneeded.

개인정보 보호조치에 관하여 -옥션 판결의 기술적·관리적 보호조치와 인과관계 판단을 중심으로

이용재 사법발전재단 2016 사법 Vol.1 No.38

The Supreme Court of Korea held that if an information and communications service provider took all necessary measures prescribed under the Guidelines on Technical and Organizational Measures for Protection of Personal Information (hereinafter “Notice”), the pertinent service provider was not liable for damages barring special circumstances. However, in examining relevant foreign statutes, such technical and organizational protection measures (hereinafter “TOM”) not stipulated in the Notice, if deemed reasonable, should be considered de jure measures as prescribed by the Act on Promotion of Information and Communications Network Utilization and Information Protection, Etc. (hereinafter “Information Communications Network Act”) and thus constituting “special circumstances”: (i) the basic protective measures already taken by the security industry, before the Notice was promulgated, were cost-efficient than the TOM; or (ii) the risk of adopting such protective measures, which became the norm in line with the technology development following the Notice, was smaller compared to TOM. Concrete examples of the security industry’s basic protective measures include changing default ID and password, restricting remote access or allowing access via only a specific IP, and other measures included in the information and communications service provider’s internal control policy provider. In the instant case, the lower court deemed that Auction did not abide by the Notice but found no causation with the leakage of personal information. The Supreme Court did not directly determine as to the causation but examined the lower court’s decision on the said portion and held that Auction’s failure to take TOM did not constitute a violation of the Information Communications Network Act on the ground that other protective measures were in place. The aforesaid ruling, however, goes against the purport of having introduced the per se Notice. 대법원판결은 개인정보의 기술적·관리적 보호조치 기준(이하 논문요약에서 ‘고시’라 함)에서 정하고 있는 보호조치를 다했으면 특별한 사정이 없는 한 정보통신서비스 제공자의 손해배상책임은 부정된다고 판시하였다. 그런데 기술적·관리적 보호조치를 규정한 해외의 입법례를 살펴보면, 고시에서 명시적으로 규정하고 있지 않은 보호조치도 합리적으로 기대되는 보호조치에 해당한다면, 정보통신망 이용촉진 및 정보보호 등에 관한 법률상의 보호조치에 해당한다고 보아야 한다. 따라서 합리적으로 기대되는 보안조치라면 ‘특별한 사정’이 인정될 수 있다. 특별한 사정이 인정될 수 있는 경우로는 1) 당초부터 보안업계에서는 기본적인 보안조치였으며, 고시에서 정하고 있는 보호조치에 비해서도 도입에 경미한 비용이 드는 보안조치와, 2) 고시에서 보호조치를 정한 이후 기술 수준이 달라져서, 이후 보안조치가 보안업계에서 기본적으로 요구되는 수준이 되었고, 도입에 드는 비용이 위험에 비해 경미한 보안조치를 위반한 경우를 상정할 수 있다. 구체적인 예시로는 ① 초기설정 상태인 계정을 변경하는 조치, ② 외부에서 관리자 계정이나 페이지 접근을 못하게 하거나 허용된 특정 아이피에서만 접근할 수 있게 하는 조치와 ③ 정보통신서비스 제공자가 내부관리계획(개인정보관리계획)에 도입한 보호조치를 들 수 있다. 대법원판결은 고시에서 정하고 있는 보호조치를 다하였다면 특별한 사정이 없는 한 기술적·관리적 보호조치 위반이 아니라고 판시하였으나, 실제 이 사건에서 고시에서 정하고 있는 보호조치도 위반했음에도 불구하고 기술적·관리적 보호조치 위반이 아니라고 판단하였다. 하급심판결은 보호조치 위반이 있으나 개인정보 유출과 인과관계가 없다는 판단을 하였는데, 대상판결은 인과관계가 이전에 기술적·관리적 보호조치 위반을 부인하였다. 다른 조치들을 갖추었다는 이유로 고시에서 정하고 있는 보호조치를 위반했더라도 정보통신망법 위반이 아니라고 본 판시사항 자체는 보호조치를 도입한 취지에 반하는 판시이다. 또한 대법원판결은 인과관계를 직접적으로 판단하지 않았으나, 개인정보 유출 사건에서 인과관계 판단의 중요성을 고려하여, 인과관계를 부정한 하급심판결에 대해서도 같이 검토한다.

개인정보의 의미와 보호범위

장주봉(Ju Bong Jang) 서울대학교 법학평론 편집위원회 2012 법학평론 Vol.3 No.-

정보통신망법과 개인정보법은 보호대상인 개인정보에 해당하기 위해서는 특정한 개인을 식별할 수 있어야 한다고 규정하고 있다. 그러나 개인정보에 해당하기 위해 식별성이 요구된다는 점을 강조할 경우에는 i) 어느 정도가 되어야 특정 개인을 식별할 수 있다고 할 수 있는지, ii) 특정한 개인을 식별을 할 수 있어야 하는 주체는 누구인지, iii) 다른 정보와 용이하게 결합하여 특정한 개인을 식별할 수 있다고 하더라도 정보를 결합하는 주체는 누구이고 결합이 용이하다고 볼 수 있는 기준은 무엇인지와 관련하여 많은 해석론적인 어려움이 존재한다. 또한, 헌법에 따라 보장되는 기본권에 포함되는 사생활 비밀의 불가침(사적 사항의 공개금지) 및 사생활 자유의 불가침(사생활 평온의 불가침)을 보호하기 위해서는 식별할 수 있는 개인정보 뿐만 아니라 식별성이 없거나 낮은 개인과 관련된 정보도 보호할 필요성이 있다. 비록 해외 사례이지만, i) 식별정보가 제거된 개인의 검색기록만으로도 누구의 검색기록인지 검색의 주체를 발견할 수 있고, ii) 검색기록보다 단순한 정보만으로도 약간의 부가적인 정보가 추가된다면 정보의 주체를 파악할 수 있다는 점이 검증되었다. 또한 위치서비스, 클라우드 서비스 및 SNS 서비스와 같이 개인과 관련된 정보의 침해가능성이 높은 새로운 유형의 서비스가 개발·보급되고 있는 상황을 고려해 보더라도 개인정보의 범위를 변경해 보호범위를 확대할 필요가 있다. EU도 개인정보에 해당하기 위해 요구되는 “식별성”의 의미를 결정하는데 고려요소가 되는 정보의 예시를 확대하고, 식별성 또는 식별의 가능성이 있는지 여부를 판단함에 있어 고려할 수 있는 기준을 제시하는 방향으로 관련 규정의 개정을 추진하고 있다. 그리고 미국의 FTC도 정보의 주체인 consumer뿐만 아니라 컴퓨터나 다른 기기와 연계될 수 있는 정보까지 보호의 대상에 포함시켜 보호 범위를 확대하고 있다. 이와 같은 점을 고려한다면, 정보통신망법과 개인정보법에 따른 개인정보에도 개인과 관련된 정보가 폭넓게 포함될 수 있도록 개정하는 것이 필요하다. 특히 개인을 식별할 수 있는 근거가 되는 개별정보의 범위를 확대하고, 개인이 이용하는 컴퓨터나 기기와 연계될 수 있는 정보도 개인정보에 포함될 수 있도록 개정하는 것이 필요하리라 본다. 다만, 이와 같이 개인정보의 의미를 개정할 경우, 식별성이 없는 개인정보의 처리와 상품 또는 용역의 공급과 관련하여 개인정보를 수집·이용하는 것에 대해 완화된 규제를 도입하고, 개인정보에 대한 일부 규제와 관련하여 역외적용이 이루어 질 수 있도록 검토하는 것이 필요하다.

우리나라 인터넷 內容規制 실태에 대한 小考 : 정보통신윤리위원회의 組織과 審議를 중심으로

양동철 숭실대학교 법학연구소 2007 法學論叢 Vol.17 No.-

인터넷의 발전과 더불어 정보통신망을 통하여 유통되는 불법정보나 불건전정보를 강력히 규제하여야 할 필요성이 절실히 제기된다. 이에 따라 우리나라에는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등 새로운 정보통신 관련 법률들이 다수 입법되었다. 아울러 이 법률 등에 근거하여 인터넷 정보 등에 대한 심의와 시정을 위하여 정보통신윤리위원회가 설립되어 있다. 정보통신윤리위원회는 인터넷을 포함한 정보통신망을 통하여 유통되는 불법, 유해정보의 내용에 대하여 심의하고 그 시정을 요구할 수 있는 법정기관이다. 본 논문은 정보통신윤리위원회의 조직과 심의사례 등을 중심으로 우리나라 인터넷 내용규제의 실태를 살펴보고, 2006. 12. 22. 개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률을 비롯한 관계 법령의 올바른 해석과 함께 향후의 인터넷 내용규제의 제도적 개선방향을 제시하는데 그 목적을 둔다. In concert with the development of the internet, it is necessary to emphasize the necessity of the strong regulation on illegal or harmful informations on the internet. Recently, for this reason, some new information and communication related laws were legislated. 「Act on Promotion of Information and Communications Network Utilization and Information Protection, etc」 is one of those laws. Also, Korea Internet Safety Commission was established to prevent the circulation of harmful information and to promote a more ethical information and communication culture. KISCOM is the statutory organization which deliberates over allegedly illegal or harmful contents on information and communication network such as the internet. The purpose of this paper is to look into the realities and patterns of the regulation on illegal or harmful informations on the internet, to indicate accurate interpretation of the existing provisions, and to suggest desirable direction of future legislation in Korea.

개인정보의 불법제공에 대한 형사적 제재

이광형(Lee Kwang hyeong) 한국정보법학회 2004 정보법학 Vol.8 No.2

Personal proprietary information has more value than tangible goods for the potential consumers in the information society. EU and some other countries in the world has established the legal foundation to protect the personal propriety information. In Korea each type of information is governed by a few specific laws. I reviewed the principles internationally recognized and the legal systems in Korea for the protection of the personal proprietary information. I also conducted research of a few criminal cases which involve the unlawful release of such information. In conclusion, I propose that we have to enact the laws that are generally applied to all the types of information as soon as possible for the effective protection of the personal propriety information. Also we should impose criminal sanctions upon those who unlawfully utilize or transfer such information which is unlawfully released. 정보화 사회에 있어 잠재적 소비자에 대한 각종 개인정보는 재화 이상의 가치를 가지게 된다. 이와 같은 개인정보의 불법적 이용을 막기 위해 유럽연합 등 세계 각국은 법적 규제를 위한 기본원칙을 정립하여 왔고, 우리 나라도 개인정보가 많이 수집 처리되는 각 부문마다 각각의 법률을 제정하여 개인정보 불법이용을 규율하고 있다. 본 고에서는 개인정보를 보호하기 위해 국제적으로 승인된 원칙과 함께 국내법상 개인정보 보호체계를 살펴본 후 개인의 신용정보를 누설한 실제의 수사사례에 현행법률을 적용하는 것에서 나타날 수 있는 문제점을 검토하였다. 앞으로 우리나라의 개인정보 보호체계를 더욱 효율적으로 기능하게 하기 위해서는 정부와 민간의 각 부문에 공통적으로 적용될 수 있는 일반법의 제정을 서둘러야 한다고 본다. 또한, 개인정보의 유출행위에 대하여만 형사처벌을 하고 있는 소극적 태도에서 벗어나 불법유출된 개인정보의 전전유통 및 불법사용에 대하여도 형사처벌을 할 수 있도록 그 규제범위를 더욱 확대해 나가야 할 것이다.