개인정보 관련 사생활에 관한 보호가 더욱 강화되고 있습니다.
이름과 주민등록번호를 포함해 영상 등 다른 매체를 통해서 특정한 자를 구분할 수 있는 데이터가 전부 포함됩니다. 이것만으로 특정한 사람인지 알아보기 어려워도, 다른 내용과 결합하면 알아볼 수 있는 때에도 해당된다고 할 수 있습니다.
1. 개인정보법위반이란?
실무상으로는 주로 데이터 처리 과정에서 발생합니다. 수집하는 것에서부터 생성과 연계 및 연동, 기록과 저장, 보유, 편집, 가공, 검색, 복구, 정정, 이용과 제공, 공개를 하는 등의 일체의 행위를 말합니다. 업무상 담당자는 특정한 사람에 관한 내용을 수집할 수 있고 목적범위 내에서 이용할 수도 있습니다. 하지만 그러려면 주체에게서 동의를 받아야 합니다. 이러한 규정을 위반한 상태로 무단으로 모으는 경우 과태료를 5천만원까지 부과받을 수 있습니다.
데이터를 수집하고 이용하기 위해서 당사자에게 동의를 받을 때도 법령상 정해진 바를 따라야 합니다. 수집하고 이용하려 하는 목적을 밝혀야 하고, 수집하고자 하는 구체적인 항목 등을 알려야 합니다. 그리고 언제까지 이용하고 보유할 것인지를 알리고 이를 거부할 권리가 있다는 것도 알려주어야 합니다. 이를 거부했을 때 어떠한 불이익을 받을 수 있는지 또한 구체적인 사항을 알려야 합니다. 이를 어기는 경우 개인정보보호법 제72조에 의해 3년까지의 징역 혹은 3천만원까지의 벌금이라는 처벌을 받을 수 있습니다.
목적을 위해 필요한 것보다 더 많은 데이터를 수집한 것이 문제시된 사례도 볼 수 있습니다. 실무에서 반드시 요구되는 사항이었는지를 처리 담당자가 입증할 책임이 있습니다. 주체에게서 동의를 받아서 모으는 경우, 필요한 것 외의 다른 수집에는 동의하지 않을 수도 있음을 구체적으로 알릴 필요가 있습니다. 필요한 만큼의 것 이외일 경우, 동의하지 않았다는 이유로 재화나 서비스를 제공하지 않는 것도 법률 위반입니다. 이를 어기는 경우에도 3천만원까지의 과태료를 부과받을 수가 있습니다.
2. 주의사항
인터넷 쇼핑몰 사이트들이 해킹을 당해 수백만건에서 수천만건이 유출되는 사건들이 빈번히 일어나고 있습니다. 그러한 사건들이 빈번해지면서 특정인의 고유한 사항들을 보호해야 한다는 목소리가 높아진 결과 관련 법률이 만들어지게 되었습니다. 개인정보보호법 제39조에 의하면 인터넷쇼핑몰 사업자는 소비자의 데이터를 이용하고자 수집할 수 있지만 그러려면 사전 동의를 구해야 한다고 규정하고 있습니다.
물론 예외적으로 동의가 없어도 가능하도록 한 규정이 있습니다. 상품을 제공하고자 소비자와 계약을 체결할 때 데이터가 필요하기 때문입니다. 기술적 사유, 혹은 경제적 이유로 통상적인 방법으로 동의를 구하기가 곤란하거나 상품을 제공하면서 요금을 정산하기 위해서 필요한 경우, 그리고 법률상으로 특별규정이 있는 경우에 가능합니다. 이에 해당하지 않는데도 정당한 사유도 없이 데이터를 모았다면 개인정보법위반으로 5년까지의 징역 또는 5천만원까지의 징역 선고가 가능합니다.
또한 민감한 데이터를 처리해서는 안 된다고도 규정한 바 있습니다. 구체적으로는 특정인의 사상이나 신념 및 정치적 견해, 노조나 정당 가입 및 탈퇴, 성생활 등의 민감성 자료를 처리해서는 안 된다고 명확히 밝히고 있습니다. 하지만 소비자에게 이를 모은다는 것을 알리고 별도로 처리동의를 구했다면, 혹은 법령에서 이를 허용하는 경우라면 예외적으로 가능합니다. 이를 어기고 민감한 사항을 수집했다면 개인정보법위반에 해당할 수 있습니다. 그 결과로 해당 사업에서 발생하는 매출액 100분의 3을 과징금으로 부과받을 수도 있습니다.
3. 사례
실제 발생한 사례도 살펴보겠습니다. A씨는 마트에 갔다가 경품행사를 한다는 소식을 듣고 응모했습니다. 응모를 하려면 자신의 사적인 사항을 기재해야 했기에 상세히 작성하여 제출했습니다. 이후 스팸 전화를 수차례 받고 나서야 A씨는 응모권에 작성한 내용이 마케팅자료로 활용될 수 있다는 것을 알게 되었습니다. 대법원에서는 이러한 사례가 위법하다고 판시한 바 있습니다. 마트에서 모은 내용을 넘겨 이를 영업성으로 활용하고자 하는 목적이 있었기 때문입니다.
광고와 경품행사를 하려는 주요한 목적을 숨긴 채로 소비자들을 오인하게 하고 행사와 무관한 사항까지 모아 이를 다른 사람에게 제공하는 행위는 엄연히 불법입니다. 이렇게 모은 데이터의 규모와 다른 사람에게 이를 넘겨줌으로써 얻었던 부당이익 등을 고려하면 개인정보법위반에 해당한다고 볼 수 있습니다. 거짓 혹은 부정한 방법을 통해 취득하고 처리한 사실이 있기 때문입니다.
4. 결론
나를 다른 사람과 구별할 수 있도록 해주는 사항은 어디까지나 법적으로 철저하게 보호받아야 합니다. 이를 신중하게 처리해야 할 곳에서의 고의적 행동이나 잘못으로 피해가 발생한다면 법령을 근거로 이에 대해서 민형사상 대응을 해야 합니다.
개인정보법위반에 해당하는 내용은 무엇이 있는지, 이를 어기면 어떤 처벌을 받을 수 있는지 알아보았습니다. 그러나 실제 판례에서 적용되는 쟁점이 다를 수 있고, 개별 사안별로도 고려해야 할 내용이 다릅니다. 일반인이 직접 대응하기 어려운 경우가 많으므로, 이와 같은 상황에 휘말려있다면 변호사와 논의하여 더큰 문제로의 확산을 방지하시기 바랍니다.
김민재 변호사입니다.
로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.
콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.