보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[PIS FAIR 2024] 개인정보위 김용학 서기관, 개인정보 주요 분쟁사례 7가지 발표

입력 : 2024-06-07 00:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
개인정보위에 많이 신고되는 주요 개인정보 관련 분쟁사례 7가지 발표
처리 목적의 명확화, 목적 내에서 적법하고 정당하게 최소 수집 등 기본 원칙에 충실해야 분쟁 최소화


[보안뉴스 김경애 기자] 국내 최대 개인정보보호 콘퍼런스 ‘PIS FAIR 2024’에서 개인정보보호위원회(이하 개인정보위) 김용학 서기관이 ‘개인정보 분쟁 발생 최소화 방안(분쟁조정 사례를 중심으로)‘이란 주제로 주요 개인정보 분쟁사례 7가지를 발표했다.

▲PIS FAIR 2024에서 개인정보보호위원회 김용학 서기관이 개인정보 주요 분쟁 사례에 대해 발표하고 있다[사진=보안뉴스]


CASE 1. 로그인하지 않았는데 본인인증되었다고...
[사건개요]
A씨는 국민신문고에 로그인을 한 후 OO부처 홈페이지의 ‘장관과의 대화’에 접속했다. 이때 별도의 인증절차를 거치지 않았는데, 본인인증되었다는 문구가 뜨자 동의 없이 개인정보를 수집했다고 하면서 분쟁조정을 신청했다. 이에 OO부처는 ‘장관과의 대화’ 홈페이지와 국민신문고는 연계되어 있어 본인인증 결과값만 받아 보여주는 것으로 별도의 개인정보 수집은 없다고 주장했다.

이에 대한 분쟁 조정결과, 국민신문고에서 본인인증한 결과만을 받아 화면에 보여준 것으로 확인되어 분쟁조정 신청은 ‘기각’으로 결정됐다

이에 대해 김용학 서기관은 “개인정보 수집이 없었음을 차분하고 설득력 있게 설명하는 게 필요하다”며 “대개 이런 유형의 사건에서 신청인은 정부 정책에 불만이 많은 사람으로 무슨 말을 해도 이해하려 하지 않기 때문에 최대한 친절하고 차분하게 업무처리 상황을 설명해 이해를 구해야 한다”고 말했다. 또한 “유사 사례 재발 방지를 위해 국민신문고에서 본인인증 받은 결과값을 확인했다는 안내 문구를 추가하는 것도 검토가 필요하다”고 덧붙였다.

CASE 2. 동의 없이 내 개인정보의 처리를 위탁했다고?
[사건개요]
A씨는 OO기관에 청년면접수당을 신청했는데 만족도를 묻는 문자를 수차례 받았다. 이에 홈페이지를 확인하니 개인정보처리방침에 해당 업무의 위탁 내용이 없었다. 이에 OO기관은 개인정보처리방침을 수정하는 과정에 약 6개월간 해당 업무위탁이 누락됐음을 인정하고, 즉시 개인정보처리방침을 수정했다.

이에 대한 분쟁 조정결과, 개인정보처리방침에 위탁업무가 누락된 사실은 있으나 이로 인해 손해가 발생했다는 점을 인정하기 어려워 ‘기각’으로 결정됐다.

이와 관련 김용학 서기관은 “만족도 조사와 같이 이용자에게 불편이 예상되는 업무라면 법적으로 처리하는 업무일지라도 사전에 해당 업무에 대해 고지하는 것이 중요하다”며 “비록 OO기관이 민원제기 즉시 시정했어도 이미 원치 않는 설문조사로 화가 나 있던 상황으로 이용자에게 불편이 될 수 있는 업무는 사전에 고지해 원치 않는 사람은 거부할 수 있도록 조치를 취하는 것이 바람직하다”고 말했다.

CASE 3. 자네, 상급기관에 민원은 왜 신청했어?
[사건개요]
A씨는 OO지자체의 산하기관 직원이지만 이를 숨기고 OO지자체가 산하기관에 보낸 공문에 대한 정보공개를 청구했다. 그런데 얼마 후 OO지자체 담당자가 A씨 상급자에게 전화해 A씨가 정보공개 청구한 사실을 알려주며 이유를 알아봐 달라고 했다. 이에 A씨는 자신의 개인정보가 침해됐다며 분쟁조정을 신청했다. OO지자체 담당자는 해당 공문은 비공개 자료로 담당자만 알고 있는 문서이고, A씨는 해당 업무와 관련 있는 자로 이름이 특이해 알 수 있었다고 했다.

분쟁조정 결과, 비공개 문서는 비공개로 처리해야 한다며, 신청인의 상급자에 전화를 해 신청인이 정신적 피해를 입었음이 인정되어 10만원 손해배상이 결정됐다.

김용학 서기관은 “정보공개 청구인의 신분을 의도적으로 확인하는 것은 정당한 개인정보 처리라고 볼 수 없다”며 “확인할 내용이 있다면 신청서에 기재된 연락처로 하면 된다”고 설명했다.

CASE 4. A씨, 회원들이 보는 SNS에서 그렇게 말해도 되나요?
[사건개요]
A씨는 아파트 입주자 온라인 카페에서 B씨와 말다툼이 있었는데, B씨가 카페 회원 ID와 같이 병기된 동, 호수를 보고 집으로 찾아와 항의했다. 이에 A씨는 아파트 입주자 온라인 카페에서 ID와 동, 호수를 병기하지 못하게 해 달라고 분쟁조정을 신청했다. 아파트 관리사무소는 카페 내에서 비방과 욕설이 많아 이를 방지하기 위해 불가피하다고 했다.

분쟁조정 결과, 동과 호수를 병기하면 작성자를 특정할 수 있어 사생활 침해의 위험성이 크므로 동, 호수를 병기하지 않도록 개선할 것을 조정 결정했다.

이에 대해 김용학 서기관은 “개인정보 처리는 사생활 침해를 최소화하도록 프라이버시 바이 디자인(Privacy by Design)에 기초해 처리해야 한다”며 “공익목적이라도 사생활 침해가 발생한다면 개인정보 처리방법을 달리 해야 한다”고 당부했다.

그러면서 김용학 서기관은 “동, 호수 등 주소 표기는 개인을 특정할 수 있는 사생활 노출 위험성이 큰 만큼 동, 호수는 같이 사용하지 않도록 주의해야 한다”며 “특히 카페 내 비방이나 욕설 등은 자체 내부 규칙을 강화해 삭제 조치하고, 자동 삭제 프로그램 등을 이용해 해결하는 게 가장 바람직하다”고 말했다.

CASE 5. 자네, XX공모전에 출품했었어? 결과는?
[사건개요]
A씨는 OO지자체가 시행한 공모전에 응모했지만 탈락했다. 6개월 후 지인이 공모전에 응모한 결과를 물어와서 어떻게 알았느냐고 물으니 인터넷 검색에서 알았다고 했다. 이에 개인정보 노출에 대한 피해보상을 요구하는 분쟁조정을 신청했다. OO지자체는 포털에서 검색되지 않도록 차단 조치를 하지 않았음을 인정했다.

분쟁조정 결과, OO지자체는 한국인터넷진흥원(KISA)으로부터 위 사건과 별개로 개인정보가 노출되고 있다는 통보를 앞서 받고 검색 차단 조치를 했다고 했다. 그러나 포털에서 계속 검색된 것으로 보아 안전성 확보조치를 제대로 이행하지 않았고, A씨의 정보가 노출되었으므로 피해를 인정해 60만원 손해배상이 결정됐다.

이와 관련 김용학 서기관은 “사진, 디자인 등 각종 공모전 등과 같은 이러한 유형 발생은 개인정보 분쟁 발생 위험이 높다”며 “A씨는 3차례 이상 노출 차단을 요청했고, 지자체에서는 없앤다고 했는데 잘 차단되지 않았다”고 지적했다.

더욱 큰 문제는 해당 지자체가 KISA로부터 개인정보 유출 통보를 받았다는 것이다. 이는 노출 차단 조치 등 안전성 확보조치 미흡으로 인해 포털 검색을 통해 개인정보 노출이 지속적으로 반복된 것으로, 안전성 확보조치 이행은 무엇보다 중요하다.

이어 김용학 서기관은 “결정적으로 피해보상을 인정하면서도 금액 결정을 내리지 못하는 등 공공기관의 보상이 제대로 되지 않았고, 장기간 노출 등의 사유로 분쟁조정을 통해 60만원 손해배상이 결정됐다”고 설명했다.

CASE 6. 내 지원서가 인터넷에 떠돌고 있는데...
[사건개요]
A씨는 OO기관에 지원사업을 신청했다. 그런데 몇 달 후 인터넷에서 자신이 제출한 지원서가 검색되고 다운로드까지 가능하다는 것을 발견하고는 OO기관에 신고했다. OO기관은 유출원인 파악과 삭제 조치를 한 후 A씨를 만나 보상안을 협의했으나, A씨는 OO기관이 너무 형식적으로 대응한다고 하면서 분쟁조정을 신청했다.

분쟁조정 결과, 개인정보의 안전성 확보 조치를 이행하지 않은 잘못이 있고, 불특정 다수가 다운로드한 정황, 주민번호 등의 중요 정보가 유출된 점 등 피해가 인정되어 100만원 손해배상이 결정됐다.

김용학 서기관은 “안전성 확보조치 이행은 매우 중요하다”며 “다운로드 기록이 다 남아 있었고, 빈 서식을 올린 게 아니라 지원서를 올리는 큰 실수를 저질렀다”고 지적했다. 이어 김 서기관은 “피해자가 보상 요구를 했음에도 불구하고, 피해보상을 망설이며 금전적 보상방안을 제시하지 않고 사과만 했다”며 “주저하다 결국 분쟁조정위까지 오게 된 사례로 귀책사유가 분명할 경우 상대방이 명확한 손해배상을 요구할 때에는 피해보상에 적극 임하는 것이 분쟁을 피할 수 있는 예방법”이라고 제시했다.

CASE 7. 내 전화번호, 이메일 주소를 어떻게 아셨어요?
[사건개요]
A씨는 모르는 업체로부터 제품을 홍보하는 광고성 문자를 받았다. 이에 해당 업체에 전화해 개인정보의 수집 출처를 물었으나, 무작위로 보냈다고 해 광고성 정보 수신을 거부했다. 그런데 며칠 후 같은 업체가 이메일로 동일한 광고를 보내왔다. 이에 다시 수집 출처를 물으니 인터넷 검색을 통해 수집했다고 했다. 이에 개인정보 삭제와 전송 중지를 요청했다. 하지만 또 다시 위 업체의 광고성 정보를 수신하자 분쟁조정을 신청했다.

분쟁조정 결과, 조사관이 동의 없이 광고성 정보를 전송하는 것은 법 위반임을 설명하자 해당 업체는 즉시 A씨의 개인정보를 삭제하고 재발장지를 약속했고, A씨가 이를 받아들였다.

이와 관련 김용학 서기관은 “헬스장, 성형외과 등과 같이 유사 사례는 많이 신고되는 유형”이라며 “사전 동의 없이 광고 전송시에는 과태료 부과 행정처분이 1~3천만원으로 세다”며 “광고성 문자, 제품 홍보 시에는 정통망법, 개인정보보호법에 따라 반드시 사전 동의를 받아야 한다”고 강조하며, 개인정보 분쟁을 예방하려면 기본 원칙에 충실해야 한다고 강조했다. .

[개인정보 분쟁 예방, 기본 원칙에 충실하라]
1. 처리 목적의 명확화, 목적내에서 적법하고 정당하게 최소 수집
2. 처리 목적 내에서 처리, 목적 외 활용 금지
3. 처리 목적 내에서 정확성, 완전성, 최신성 보장
4. 정보주체의 권리침해 위협성 등을 고려해 안전하게 관리
5. 개인정보 처리사항 공개, 정보주체의 권리보장
6. 사생활 침해 최소화 방법으로 처리
7. 가능한 경우 익명 처리
8. 개인정보처리자의 책임 준수, 정보주체의 신뢰성 확보
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)