개인정보유출월간네트워커

팔기만 하면 이득인 개인정보, 벌금 내고도 번다?

By 2004/02/20 10월 29th, 2016 No Comments

Cyber Law

이지선

네트워커 독자라면 정보가 얼마나 중요한지 다 알고 있을 텐데, 다시 구구하게 판례까지 들먹이며 이야기 할 필요가 있을까. 개인정보를 팔아먹은 대기업이 겨우 1,000만원의 벌금을 물었다는 판결을 새삼스레 들며 하소연하는 것이 무슨 변호사의 판례 평석이라고 할 수 있을까. 몇 번의 망설임 끝에 결국은 쓴다. 시작이 반이라고 이렇게 기초부터 시작하자 위안을 삼으며.

개인정보, 4천만 원에 팔면 3천5백만 원이 이득
판례의 내용은 이렇다. 엘지전자는 정보통신망을 이용해 수집한 개인정보를 제3자에게 제공하는 경우와 관련하여 제공받는 자, 제공목적, 제공할 정보의 내용을 약관에 구체적으로 명시하지 않았다. 한편 엘지전자에서 일하는 J는 고객 84,212명의 성명, 주민등록번호, 주소, 전화번호를 고객들의 동의 없이 엘지 캐피탈에 넘겨주면서, 엘지 캐피탈로부터 39,600,000원 상당의 판촉물을 받았고, 추가로 2,063,800원을 지급받기로 했다. 법원은 이러한 행위를 ‘정보통신 서비스 이용자의 사전 동의 없이, 약관에 명시한 범위를 넘어 이용자들의 개인정보를 제3자에게 제공한 것’이라고 판시했다. 그러면서 엘지전자에게 벌금 1,000만원, 종업원인 J에게 벌금 500만원을 선고했다(서울지방법원 2001. 11. 19.선고 2001고단10442 판결).

‘정보통신망이용촉진및정보보호등에관한법률’ 제24조에 의하면 이용자의 동의가 있는 경우를 제외하고는 개인정보를 약관에 명시한 범위를 넘어 이용하거나 제3자에게 제공할 수 없도록 하고 있다. 법을 보건데, 엘지전자와 J는 위법한 행위를 한 것이므로 처벌받는 것이 당연하다. 그런데 이 판결을 보면서 몇 가지 의문이 생긴다.

벌금 받더라도 파는게 더 이익이다?
우선 정보를 판매한 자가 자신이 받은 이익보다 적은 벌금형을 받았다는 사실이다(엘지전자와 J가 4,000만원에 이르는 판촉물을 엘지 캐피탈에 돌려주었는지는 모르겠지만, 그와 무관하게). 이래서야 벌금을 내고라도 개인정보를 팔겠다고 하는 사람들을 저지할 수 있을까하는 것이 첫 번째 의문이다.

또, ‘법에 의하더라도 약관에 명시하거나 이용자의 동의가 있으면 개인정보를 제3자에게 제공하는데 아무 문제가 없게 되는 것이 아닌가’하는 의문도 생긴다. 문제는 약관과 동의가 유명무실하다는 것이다. 우리나라 사람들이 인터넷사이트의 회원으로 가입할 때의 행동양식을 보면, 개인정보보호정책 약관을 ‘꼼꼼히 읽어보는 편이다’가 8.3%이고, ‘거의 읽지 않는 편이다’가 57% 라고 한다(금융기관과 인터넷에서의 개인정보 공유현황 실태조사-2003, 국가인권위원회 발간). 더구나 약관을 보면서 사람들이 중요하게 생각한 것은 대부분 요금관련사항이었다.

이런 상황에서 이용자가 개인정보의 제3자 제공을 명시한 약관에 동의하였다고 하여도, 이것이 이용자의 진정한 동의라고는 할 수 없다. 자신의 정보를 제3자에게 알려주겠다는 것은 중요한 사항이다. 이런 중요한 사항은 최소한 굵은 글씨로 표시하고, 서비스제공자가 따로 설명도 해야 한다. 그래야 개인의 자기정보통제가 이루어지는 것이고, 헌법상 보장된 프라이버시권이 실질적으로 보호받는다고 할 수 있다. 하기는 이런 생각은 좀 때이른 걱정일지도 모른다. 약관에서 이용자의 개인정보가 제3자와 공유될 수 있다는 사실과 공유기업을 알려주는 인터넷사이트가 겨우 17.9%에 불과하다니 말이다.

쿠키를 통한 개인정보수집에는 속수무책
세 번째는 쿠키의 문제다. 현행법으로 서비스제공자가 아닌 제3자가 쿠키를 통해 정보를 모으는 행위까지 처벌할 수 있을지가 불명확하기 때문이다.

미국의 배너광고 회사인 DoubleClick(더불클릭)은 이용자가 배너광고가 있는 웹사이트에 접속하는 경우 호스트 사이트가 아니면서도 쿠키를 생성해서 개인정보를 수집했다. DoubleClick이 수집한 개인정보가 얼마나 많았는지, 이용자의 이름, 메일주소, 전화번호로 개인을 식별할 수 있었고, 즐겨 보는 동영상, 항공기 이용일정으로 그 사람의 행동양식을 파악하며, 심지어 건강상태까지 알 수 있었다고 한다.

우리나라에서도 가능하다. 실제 ‘야후!코리아’의 개인정보 보호정책을 보면 ‘야후의 광고주들의 네트워크가 쿠키를 사용할 수 있으며, 광고주에게 제공할 집계를 위해 IP주소를 모을 수도 있다’고 명백하게 밝히고 있다. 그런데 정작 쿠키에 의한 자동적인 개인정보의 수집은 이용자의 관여가 거의 불가능하다는 치명적인 문제점이 있다. 쿠키의 내용은 암호화되어 있어 쿠키에 저장되는 정보의 내용은 쿠키의 제작자만이 알 수 있으며, 실제 이용자는 쿠키로부터 개인정보를 수집하고 있다는 사실조차도 모르는 경우가 많다. 이래서야 쿠키에 의해 수집된 자신의 개인정보를 열람하고, 정정 파기를 요구할 권리를 어떻게 실현시킬 수 있겠는가.

정보통신부에서 고시한 ‘개인정보보호지침’은 서비스제공자에게 ‘쿠키의 운영에 관한 사항을 포함한 개인정보 보호방침을 정하여 실행하고 이를 공개하여야 한다’고 하고 있지만 이는 그야말로 지침일 뿐이다. 현재의 법에서 정보통신 서비스 제공자가 제3자로 하여금 쿠키 등의 방법으로 이용자의 정보를 수집할 수 있게 하는 경우, 이를 제3자에 대한 정보제공으로 보아서 처벌할 수 있는지가 불명확하다. 또 쿠키를 통해 정보를 모집한 제3자가 다시 그 정보를 제4자에게 제공한 경우 제3자를 정보통신 서비스 제공자에 포함하여 처벌할 수 있을까하는 것도 불명확하다. ‘쿠키에 의한 개인정보의 수집과 관련된 충분하고 구체적인 고지와 이용자의 명백한 사전 동의’를 요구하는 명확한 입법이 필요하다.

한 이동통신회사의 전산시스템 관리 보조자인 A는 B의 개인정보를 쉽게 알아낼 수 있었다. A는 B의 부인에게 남편이 불륜관계를 맺고 있다는 거짓말을 문자메시지로 보냈고, B 회사의 동료 여직원에게는 잠자리 파트너를 정리하라는 내용의 문자메시지를 보냈다. 부인은 집을 나가 버렸고, 회사에서도 문제가 커졌다. B는 결국 부인과 이혼하고, 회사에서도 퇴직해야만 했다. 법원은 그 기업이 정보관리를 철저히 하지 않았으므로 B에게 위자료로 2,000만원을 지급해야 한다는 판결을 했다. A는 이 돈으로 잃어버린 삶의 터전을 보상받았을까? 내 정보 관리의 중요성을 절절히 느끼게 하는 사례다.

2004-01-04