earticle

영어

If personal information is leaked, the data subject may suffer various serious damages such as property damage, defamation, and loss of confidentiality of personal information due to identity theft and credit fraud. Therefore, it is most important to prevent personal information from being leaked in advance, rather than reacting to the damage after the fact. The government has improved the legal system to strengthen the obligation of the provider of information and communications services to take personal information protection measures to prevent personal information leakage and to hold them strictly liable for violations in Korea. On May 28, 2014, Article 64-3(vi) of the ACT ON PROMOTION OF INFORMATION AND COMMUNICATIONS NETWORK, as amended, changed the wording to allow for the imposition of fines in cases where users' personal information is leaked and technical and administrative protective measures are not taken, which led to the current Article 39-15①((v) of the PERSONAL INFORMATION PROTECTION ACT. As the requirement for imposing fines no longer requires a causal relationship between the failure to implement safety measures and the leakage of personal information, the burden on information and communication service providers to implement safety measures is bound to increase. This has the effect of curtailing the property rights and professional freedom of personal information processors. Conversely, it is difficult to ensure the right of data subjects to self-determination of personal information if the leakage of personal information is causally related to the violation of specific protection measures. In this respect, the requirement for the imposition of penalty surcharges should serve to reconcile the conflict between the fundamental rights of data subjects and data processors. From this perspective, I believe that the imposition of penalty surcharges requires at least a relevance between the breach of personal information and the default to take protective measures is an appropriate way to harmoniously resolve such a conflict of fundamental rights.

한국어

개인정보가 유출될 경우 정보주체는 명의도용 및 신용사기로 인한 재산적 손해, 명예훼손, 개인정보의 기밀성 상실 등과 같은 다양하고 심각한 피해를 겪을 수 있다. 따라서 개인정보는 유출의 피해에 대한 사후 구제나 대응보다는 사전에 개인정보가 유출되지 못하도록 예방하 는 것이 무엇보다 중요하다. 그런데도 최근까지 국내에서 개인정보가 대규모로 유출되는 사례가 이어지고 있는 것이 현실이다. 이에 따라 국가는 개인정보의 유출을 막기 위한 정보통신서비스 제공자에 대해 개인정보 보호조치 의무를 강화하고 그 위반에 대해 엄중한 책임을 묻는 방향으로 법제도를 개선 해왔다. 2014. 5. 28. 개정된 정보통신망법 제64조의3 제6호에서 과거와 달리 이용자의 개인정보를 누출한 경우로서 기술적·관리적 보 호조치를 취하지 아니한 경우에 과징금을 부과할 수 있도록 문구를 변 경하였고, 그것이 현행 개인정보보호법 제39조의15 제1항 제5호로 이어지고 있다. 이처럼 과징금의 부과요건으로 안전성 확보조치 미이행과 개인정보 의 유출 사이의 인과관계를 요구하지 않게 되면서 안전성 확보조치의 이행을 위한 정보통신서비스 제공자의 부담은 가중될 수밖에 없다. 이 는 개인정보처리자의 재산권과 직업수행의 자유가 위축되는 결과를 초 래한다. 거꾸로 개인정보의 유출이 특정 보호조치 의무 위반과 인과관 계가 있을 경우에만 과징금 부과의 대상이 될 수 있도록 한다면 정보 주체의 개인정보자기결정권이 제대로 보장되기 어려운 문제가 발생한 다. 이러한 점에서 과징금부과의 요건조항은 정보주체와 개인정보처리 자의 기본권이 서로 충돌하는 상황을 조정하는 기능을 수행해야 한다. 이러한 관점에서 필자는 과징금의 부과를 위해서는 적어도 개인정보의 유출과 보호조치 미이행 사이의 관련성은 요구된다고 해석하는 것이 그러한 기본권 충돌의 상황을 조화적으로 해결하는 방안으로서도 적절 하다고 본다.