earticle

영어

When judging the scope of the possibility of combining with other information in the "electronic prescription case" (patient's resident registration number, gender, date of birth, disease symbol, prescription drug information, doctor number, etc.), the first trial also included personal information controller. With a valid ruling, the GDPR is in the same position. When determining the existence or absence of personal information in the second trial, it is reasonable to say, "As long as all matching tables were held, how high the security measures taken in the prescription information were is meaningless in the normative judgment." If a decryption function or matching table is provided to a third party or information recipient, in fact, encryption is meaningless. Regarding the recognition of alimony, the court made a negative judgment on the recognition of alimony. However, if the recipient of personal information is highly likely to re-identify the information through a decoding function or matching table, there is no reason to refuse to recognize alimony in itself. There is no reason to exclude illegal information recipients by strictly interpreting the scope of leakage as the parties concerned. If the case is confirmed by the Supreme Court as it is, there will be no way to rescue victims because it will be difficult to recognize alimony despite illegal commercial sales of personal information if encryption is virtually meaningless and there is no trace of leakage between the two parties. This case is an illegal act that has abandoned its duty to protect customers by interfering with the formation of correct awareness of the risks caused by misuse to data subjects who are not aware of the leakage. Since the Defendants facilitated illegal activities such as hackers in the infringement of personal information, it may be judged that it is possible to establish aiding and abetting the violation of the duty of care of the service provider based on reason.

한국어

전자처방전(환자의 주민등록번호, 성별, 생년월일, 질병기호, 처방 의약품 정보 등) 사건에 있어 다른 정보와의 결합 가능성에 대한 범위 판단 시 제1심의 ‘해당 정보를 처리하는 자’ 외에 ‘적절한 비식별화 조 치 여부 판단근거’를 보면 개인정보의 제공을 받은 개인정보처리자도 그 판단 시 포함을 하여야 함을 의미한다. 타당한 판결로 GDPR도 동 일한 입장이다. 암호화된 정보의 개인정보의 인정 유무에 있어 제2심의 제1심과 달 리 “매칭 테이블을 모두 보유하였던 이상 해당 처방전 정보에 취한 보 안조치가 얼마나 높은 수준이였는지 여부는 개인정보성(식별 가능성 존재)의 규범적 판단에 있어서 의미가 없다.”는 입장은 타당하다. 복 호화 함수 혹은 매칭 테이블을 제3자 혹은 정보수령자에게 제공을 한 다면 사실 암호화의 의미가 없다. 암호화 수준의 실질적 평가가 이뤄 지는 것이 바람직하다. 이는 형사재판 시에도 유효하다. 사업자의 의 지와 상관이 없이 보안에 대한 무방비의 상황에서 피해자의 손해발생 입증에 실패를 할 수 밖에 없는 구조적 문제를 무시하고 유출의 흔적 을 찾을 수 없어 손해배상은 없음이라는 판단은 공정한 손해의 배분이 라는 손해배상제도의 운영에 어려움을 줄 것이다. 위자료 인정 유무에 있어 법원은 위자료 인정에 부정적인 판단을 했 다. 그러나 개인정보 수령자가 복호함수 혹은 matching table를 통 해 해당 정보에 대해 재식별 가능성이 농후하다면 그 자체로 위자료 인정을 마다할 이유가 없다. 또 유출범위를 해당 당사자로 엄격하게 해석해서 불법적인 정보수령자를 배제할 이유는 없다. 이 사건이 대법 원에서도 그대로 확정이 된다면 암호화가 사실상 의미가 없는 상태에 서 양 당사간의 유출만 있고 그 외의 자에게로 흘러간 흔적을 찾을 수 가 없다면 개인정보의 불법적인 상업적 판매에도 불구하고 위자료 인 정은 힘들어 피해자 구제의 길은 없게 된다. 물룐 현재의 「개인정보보호법」은 유출 그 자체로 과징금혹은 과태료 부과는 가능하다. 전기 통신사업법 제30조와 정보통신망법 제49조의 해석 시 ‘본인’으로 한정 하고 있는 대법원 판단을 유심히 볼 필요가 있다. 이 사건은 유출사실을 모르는 정보주체에게 오남용으로 인한 위험성 에 대한 올바른 인식형성을 방해함으로 고객에 대한 보호의무를 저버 린 위법행위다. 피고들은 개인정보의 침해에 있어 해커 등의 불법행위 를 용이하게 했기에 조리에 근거한 서비스제공자의 주의의무 위반의 방조책임의 성립이 가능하다고 판단할 수도 있다.