세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
[정보보호법바로알기 4] 구글의 선택과 역풍: 개인정보통합의 주요 법적 쟁점(2)
  |  입력 : 2012-04-04 13:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
우리나라의 정보통신망법과 개인정보보호법 등을 적용해 본다면?


[보안뉴스=법률사무소 민후 김경환 대표변호사] 구글의 개인정보통합정책에 대한 해외 소송사례에서 원고들은 구글의 개인정보통합 행위에 대해 다음과 같은 위법성이 있다고 평가했다. 


첫째, 구글은 이용자가 계정에서 로그아웃해도 여전히 쿠키 등을 통하여 개인 인터넷 사용내역 등을 추적한 다음 이러한 정보를 수집하여 저장해 두고 있다는 것. 그리고 다시 이용자가 로그인하면 위와 같이 로그아웃 상태에서 수집한 개인정보를 기존의 축적된 개인정보파일에 자동으로 부가시키는 방식으로 관리하고 있기 때문에 이러한 행위는 연방도청방지법(Federal Wiretap Act, 18 U.S.C. §2511) 위반이라는 것이다. 우리 법으로 보면, 통신비밀보호법 제3조(통신비밀보호) 위반 또는 정보통신망법 제22조(개인정보의 수집 동의)·개인정보보호법 제15조(개인정보의 수집 동의) 위반이 될 수 있다.


원고들의 두 번째 주장은 구글이 구글 서버에 수집·저장되어 있는 이용자들의 개인정보에 권한 없이 접근하고 있으며, 쿠키를 통하여 이용자들의 컴퓨터에 저장되어 있는 개인정보에 권한 없이 접근하고 있다는 것. 이러한 행위가 전자통신정보법(Stored Electronic Communications Act, 18 U.S.C. §2701) 위반이라는 것이다. 우리 법으로 보면, 정보통신망법 제22조(개인정보의 수집 동의)·제24조(개인정보의 이용 제한) 위반 또는 개인정보보호법 제15조(개인정보의 수집 동의)·제18조(개인정보의 이용 제한) 위반이 될 수 있다.


세 번째 주장은 구글이 권한 없이 컴퓨터에 접근하여 프로그램, 정보, 코드, 명령어 등을 전송시킴으로써 이용자들에게 손실을 입히는 것으로, 이러한 행위가 컴퓨터사기남용금지법(Computer Fraud Abuse Act, 18 U.S.C. §1030) 위반이라는 것이다. 우리 법으로 보면, 정보통신망법 제49조의2(속이는 행위에 의한 개인정보의 수집금지)·형법 제347조의2(컴퓨터등사용사기) 위반에 해당할 수 있다.


네 번째 주장은 구글이 그들이 수집한 개인정보를 이용자들의 동의 없이 광고·판매 등의 상업적 목적에 사용하여 수익을 올리고 있는 것으로, 이러한 행위가 퍼블리시티권에 관한 캘리포니아주법(California's Right of Publicity Statute Civil Code §3344) 위반 또는 코먼로(Common Law) 상의 개인정보의 부정 유용에 해당한다는 것이다. 우리 법으로 보면, 아직 명문의 규정이 없는 퍼블리시티권 침해가 될 수 있다.


다섯 번째 주장은 구글은 이용자들의 사적 영역에 접근하여 프라이버시권을 침해한 것으로 이러한 행위가 코먼로 상의 프라이버시권 침해가 될 수 있다는 것이다. 우리 법으로 보면, 헌법 제17조(사생활의 비밀과 자유) 위반이 된다.


원고들의 여섯 번째 주장은 구글의 새로운 개인정보통합지침은 부실표시된 이전 지침이나 연방거래위원회와의 이행합의를 신뢰한 이용자에 대한 기망에 해당하고, 구글은 이러한 부실표시·기망 등의 방법에 의하여 이용자들의 물건(chattel, 여기서는 개인정보)에 대한 불법침해를 했다는 것이고, 이러한 행위가 코먼로 상의 불법행위가 될 수 있다는 것이다. 우리 법으로 보면, 민법 제750조(일반불법행위)가 적용될 수 있다.


일곱 번째 주장은 구글은 수집한 개인정보를 이용하여 광고수익을 올리거나 제3자에게 제공함으로써 이득을 실현시키고 있지만 그 대가를 이용자에게 제공하지 않는것으로 이러한 행위가 부당이득에 해당한다는 것이다. 우리 법으로 보면, 민법 제741조(부당이득)가 적용될 수 있다.


여덟 번째 주장은 구글의 법령위반, 기망행위, 부실표시 등의 행위가 불공정경쟁방지법 위반에 해당할 수 있다는 것이다. 우리 법으로 보면, 공정거래법 위반이 될 수 있다.


한편, 우리나라의 방송통신위원회는 구글의 새로운 이용약관에 대하여 개인정보 이용목적의 포괄적 기재, 명시적 동의에 관한 절차 미비, 정보통신망법상 필수 명시사항인 개인정보 보유 및 이용기간·파기절차·파기방법의 흠결, 개인정보 취급 위탁자 업무내용·위탁자에 대한 정보 등의 흠결이 있다는 이유로 시정 명령 등 필요한 조치를 취할 것이라고 밝힌 바 있다. 하지만 이러한 지적은 타당하나 이 사건의 본질은 아니다.


현행 개인정보보호법의 해석만으로 개인정보 이용의 남용에 해당

구글의 개인정보통합정책 사건의 본질은 원고들의 주장에 잘 나타나 있듯이, 형식적으로는 이러한 개인정보통합에 대하여 구글이 이용자들의 별도 동의를 얻은 이상 이를 위법이라고 평가하기 어렵다(별도의 동의조차도 필요 없다는 견해도 있음).


그러나 원고들은 당사자가 자신의 데이터 수집을 허용하지 않는다고 명시할 때 정보수집이 금지되는 제도인 옵트아웃(opt-out) 실행이 극히 어려운 구글 서비스의 이용자라는 점, 그리고 최초의 개인정보 수집 당시와 개인정보 통합 당시의 2번의 동의 과정에서 본 구글의 행위를 전체적으로 고찰할 때, 만일 최초 동의시 구글이 제대로 고지했더라면 원고들은 구글 서비스를 이용하지 않았을 수 있다는 것으로, 이러한 원고들의 주장은 일견 타당성이 인정된다.


수집된 개인정보의 무분별한 통합을 긍정하게 되면, 서비스의 특성에 맞추어 필요한 정보만 수집해야 한다는 개인정보 최소수집의 원칙 규정(개인정보보호법 제16조)이 형해화 될 수 있고, 수집·이용 과정에서 엄격한 동의 절차를 요하는 규정(개인정보보호법 제15조, 제22조)이 사실상 사문화될 수 있다.


궁극적으로는 개인정보의 ‘통합’에 대한 규제 조문을 신설하는 것이 가장 바람직할 수 있다. 그러나 현행 개인정보보호법의 해석상으로도 기업의 수익을 극대화하기 위한 목적으로, 서비스 제공에 필요한 개인정보의 보유정도에 있어 차이가 크거나 서비스 목적·특성이 상이하고 서비스 체계상 관련성이 약한 서비스끼리 개인정보를 통합하는 것은 개인정보 이용의 남용(濫用)으로서 허용되지 않는다고 보아야 한다.

[글_ 법률사무소 민후 김경환 대표변호사(hi@minwho.kr)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 공공 및 민간의 클라우드 컴퓨팅 도입이 더욱 활발해질 것으로 보입니다. 보안성과 효율성을 고려할 때 자사의 클라우드 도입시 가장 우선적으로 검토할 기업 브랜드는?
아마존웹서비스(AWS)
마이크로소프트 애저(MS Azure)
IBM 클라우드
오라클 클라우드
NHN엔터테인먼트 토스트 클라우드
NBP 네이버 클라우드 플랫폼
기타(댓글로)