개인정보에 접근할 수 있는 상태에 놓여 있었다는 사정만으로 개인정보가 누출되었다고 볼 수는 없다.
연계된 시스템에서의 제한된 개인정보 유출 사건(민사)
제3자가 인터넷 사이트를 통해 정보통신서비스 제공자가 보관하고 있는 개인정보에 접근할 수 있는 상태에 놓여 있었다는 사정만으로 개인정보가 누출되었다고 볼 수 있는지가 쟁점인 판례
[사건번호]
대법원 2014. 5. 16. 선고 2011다2455, 2011다24562 판결 (원심 : 서울고등법원 2011. 2. 10. 선고 2009나 119131, 2009나 119148 판결, 서울중앙지방법원 2009. 11. 6. 선고 2008가합75268, 2009가합91281 판결)
1) 쟁점 : 정보통신망법상 개인정보 유출 개념 2) 사실관계 : 피고 통신회사 A는 콘텐츠 제공업체들로부터 받은 모바일 콘텐츠를 이용자들에게 제공하고 있기에 서비스 제공을 위하여 콘텐츠 제공업체가 부여받은 아이디와 패스워드를 통해 통신회사 A의 고객정보 시스템에 접속할 수 있게 하고 있었다. 한편 피고 통신회사 A의 CP인 피고 B는 피고통신회사 A에 ‘mive’라는 연예인 화보 및 풍경 서비스를 제공하기 위하여 피고 통신회사 A로부터 아이디 및 패스워드를 부여받았다. 그런데 피고 통신회사 A의 CP로 가입하려는 C는 아직 CP로 가입하지 않은 상태에서 C와 피고 통신회사 A의 연동을 시험하는 과정에서 인증이 이루어지지 않자, 피고 B에 요청하여 피고 B의 CP 아이디와 패스워드를 제공받았는데, 이후 아이디와 패스워드를 삭제하지 않음으로써 그 이후에도 C에서 휴대전화 번호를 입력하면 휴대전화정보 조회가 가능하게 되었다. 갑은 우연히 C에서 피고 통신회사 A에 가입된 자신의 휴대전화번호를 입력하면 주민등록번호, 가입 일자, 휴대전화 기종 등의 정보가 URL에 나타나는 사실을 알게 되자 친구인 을에게 위 사실을 알려 주었고, 을은 '휴대전화정보 조회' 페이지에서 키보드의 시프트 키를 누른 상태에서 휴대전화 번호를 입력하자 특정 URL이 나타났는데, 그 URL 뒷부분에 주민등록번호, 가입일, 휴대전화 기종 등이 그대로 표시되는것을 확인하게 되자, 위 URL의 소스를 확보한 다음 자신이 2001년경부터 운영하는 개인 홈페이지에 '휴대전화정보조회'라는 페이지를 만들었다.
3) 판결내용 : 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라고 한다)로 보호되는 개인정보의 유출이란 개인정보가 해당 정보통신서비스 제공자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 의미하는바, 어느 개인정보가 정보통신서비스 제공자 의 관리·통제하에 있고 그 개인정보가 제3자에게 실제 열람 되거나 접근되지 아니한 상태라면 정보통신서비스 제공자의 기술적·관리적 보호조치에 미흡한 점이 있어서 제3자가 인터넷상 특정 사이트를 통해 정보통신서비스 제공자가 보관하고 있는개인정보에 접근할 수 있는 상태에 놓여 있었다고 하더라도 그것만으로 바로 개인정보가 정보통신서비스 제공자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 되었다고 할 수는 없다.
4) 결론 : C의 ‘휴대전화정보 조회’ 페이지에 원고들의 휴대전화번호를 입력하여야만 비로소 2G 서버로부터 C로 위와 같은 개인정보가 전송되어 유출되는 것이고, 휴대전화번호를 입력하기 전에는 위와 같은 개인정보는 2G 서버에 그대로 보관된 채 아무런 접근이 이루어지지 않으며 피고 통신회사 A가 관리·통제권을 행사하여 C와 2G 서버가 더는 연동하지 않도록 함으로써 원고들의 개인정보에 대한 접근과 전송 가능성을 없앨 수 있었던 상태에 있었으므로 달리 원고들의 휴대전화번호가 C의 '휴대전화정보 조회' 페이지에 입력되었는지가 확인되지 않은 이 사건에서 C와 2G 서버가 연동하고 있었다 하더라도 이를 가리켜 곧바로 원고들의 개인정보가 피고 통신회사 A의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 되었다고 볼 수 없다.
관련링크
개인정보 유출대응메뉴얼(출처: 방통위, 한국인터넷 진흥원)
표준개인정보보호지침(출처: 행자부 고시 제2016-21호)
'IT, 저작권 이야기 > [TS] 인터파크 유출사고' 카테고리의 다른 글
| 인터넷 포털 서비스 개인정보 유출사고에 대해 손해배상 책임 및 채무불이행 책임이 있다. (0) | 2017.01.30 |
|---|---|
| 개인정보유출통지 (0) | 2017.01.29 |
| 인터파크 유출사례 (0) | 2017.01.26 |
| 인터파크 방통위 엄정제재 (0) | 2017.01.25 |