초록 열기/닫기 버튼
정보통신서비스는 그 이용자에게 상당한 편익을 가져다주지만 그 이면에는 개인정보의 유출이라는 위험이 상존하고 있다. 이용자의 개인정보가 이른바 해킹에 의하여 대량으로 유출된 경우 서비스제공자의 기술적 · 관리적보호조치 준수 여부가 법적 책임 소재에 있어서 가장 큰 쟁점이 된다. 대상판결의 경우 정보통신서비스 제공자인 원고가 구 정보통신망법 제28조 제1항, 그 시행령 제15조 및 이 사건 고시 제4조 제5항 및 제9항이 정하는 보호조치의무의 위반에 해당하는지 여부에 대하여 판단하였다. 이와 관련하여 불법적인 접근이나 침해의 방지를 위한 시스템의 설치 및 운영이 적절하였는지, 개인정보의 공개나 유출을 방지해야 하는 보호조치 의무를 다하였는지에 대한구체적인 판단이 필요하다. 보호조치 기준은 행정상 제재의 근거로 작용함에따라 명확성원칙과 엄격해석 원칙이 적용되어 사업자의 의무위반 여부를 소극적으로 해석하게 되고, 민사상 손해배상책임의 요건으로 그대로 적용됨에따라 사업자의 책임이 완화되는 결과를 낳게 된다. 한편, 행정규칙의 형식을가진 이 사건 고시가 제재처분의 기준으로서 법규명령적 성질을 가지고 있는것이 타당한지 검토되어야 하고, 위 고시의 규정체계 및 위임의 범위에 비추어 포괄위임금지원칙에 위배되는지 판단되어야 한다. 그리고 세부 쟁점으로서 웹 서버나 웹 페이지가 개인정보처리시스템에 포함되는지 여부 및 법령의해석상 갖추어야 할 침입 차단 및 침입탐지 기능을 갖춘 설비의 기준은 무엇인지, 설비가 정상적으로 운영되었는지 여부를 어떻게 판단할지에 대한 논리적 점검이 필요하다. 이러한 논리적 분석을 통하여 이 사건 고시가 정한 보호조치의 기준이 제재기준으로서 엄격해석 원칙이 적용됨에 따라 법원이 지나치게 소극적인 판단을 하여 서비스제공자에게 면책을 주고 최소한의 보호조치만을 갖추어도 법적으로 문제가 되지 않는다는 잘못된 인식을 심어줄 우려가 있다는 점이 지적된다. 특히, 가명정보 활용 등 데이터 3법의 개정으로 개인정보의 활용이 활발해지고 있는 우리 법령체계의 변화, GDPR이나 CPRA 등 개인정보 보호를 엄격하게 규정하고 있는 해외법령의 추세 및 위반사례에 대한 행정명령의 정도 등을 비교할 때 보호조치 의무 위반에 대한 판단이 어느 선에서 적당한 것인지 깊이 있는 고민이 필요하다
Information and communications services provide significant benefits to users, but behind them, there is a risk of computer security incident(ex. leakage of personal information). If the user's personal information is leaked in large quantities by so-called hacking, the biggest issue is whether the service provider complies with technical and managerial protection measures. This decision determined whether the Plaintiff, the provider of information and communications services, violates the duty of protection measures of personal information by law. In this regard, it is necessary to make a detailed judgment on whether the installation and operation of a system to prevent illegal access and infringement accidents were appropriate and whether the duty of protective measures to prevent disclosure or leakage of personal information was fulfilled. Since the criteria for protection measures is used the basis for administrative sanctions, the clarity and strict interpretation principles are applied, and accordingly, the violation of the duty of protective measures is passively interpreted, and the liability of the business is eased. On the other hand, it should be reviewed whether it is reasonable that the notice in this case, which has the form of administrative rules, has the nature of a legal order as a guideline for sanctions, and there is room for violation of the comprehensive commission support rule in light of the regulatory system and scope of delegation of the notice. And as a detailed issue, it is necessary to check whether a web server or web page is included in the personal information processing system, and how to determine the criteria for intrusion prevention and intrusion detection functions to be included in the interpretation of laws and regulations. As the guideline of protection measures set by the notice of this case falls under the sanctions standard and the strict interpretation principle is applied, it may be pointed out that the court may make a too passive judgment to exempt service providers and give them a false perception that it is not a legal problem even with minimal protection measures. In particular, when comparing changes in the legal system, which is actively using personal information due to the revision of the three data laws, the trend of overseas laws such as GDPR and CPRA, and the degree of administrative orders for violations, it is necessary to consider in depth.
키워드열기/닫기 버튼
Personal information leakage, Information and communication services, Hacking, Duty of protection measures, Guideline, Protection personal information
