1. 위치정보 무단수집과 손해배상책임 여부 판단기준

정보주체의 동의를 얻지 아니하고 개인의 위치정보를 수집한 경우, 그로 인하여 손해배상책임이 인정되는지는 위치정보 수집으로 정보주체를 식별할 가능성이 발생하였는지, 정보를 수집한 자가 수집된 위치정보를 열람 등 이용하였는지, 위치정보가 수집된 기간이 장기간인지, 위치정보를 수집하게 된 경위와 그 수집한 정보를 관리해 온 실태는 어떠한지, 위치정보 수집으로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다(대법원 2016. 9. 28. 선고 201456652 판결 참조).

 

2. 구체적 사안의 판단

iOS 4.0이 적용된 아이폰 등 이 사건 기기에서 사용자가 위치서비스 기능을으로 설정하였음에도 기기의 위치정보가 피고 애플의 서버에 주기적으로 전송되고, 사용자가 위치기반서비스 애플리케이션을 동작시킬 경우 위치서비스 기능을으로 전환하지 않더라도 이 사건 기기가 피고 애플의 위치정보시스템에 실시간으로 접속하여 현재 위치정보를 계산한 뒤 기기 내 데이터베이스에 저장함으로써 사용자의 개인위치정보를 수집하는 버그가 발생하였음.

 

이에 아이폰 등의 사용자인 원고들이 피고 애플과 애플코리아를 상대로 위치정보 또는 개인위치정보 수집으로 인한 손해배상을 구한 사안에서, 이 사건 기기로부터 전송되는 정보만으로는 특정 기기나 사용자가 누구인지 알 수 없고, 이 사건 기기 내 데이터베이스에 저장된 정보도 외부 유출 가능성이 거의 없으며, 수집된 위치정보나 개인위치정보가 위치정보시스템 정확도 향상 목적과 달리 이용되거나 유출된 것으로 보이지 않는다.

 

à 에플의 손해배상책임 없음

 

첨부: 대법원 2018. 5. 30. 선고 2015251539 판결

 

KASAN_[애플위치정보수집] 아이폰 사용자의 동의 없이 위치정보 무단 수집 but bug 원인 – 애플의 손해배상

대법원 2018. 5. 30. 선고 2015다251539 판결.pdf

 

[질문 또는 상담신청 입력하기]

 

 

작성일시 : 2018. 6. 4. 09:21
Trackback 0 : Comment 0   댓글달기

댓글을 달아 주세요


 

 

 

K사는 해킹으로 인하여 2013. 8. 8.부터 2014. 2. 5.까지 1천만명의 사용자들에 대한 개인정보를 유출하였습니다. 이에 대하여 방송통신위원회는 2014. 6. 26. 사건 해킹사고와 관련하여 KT 정보통신망법 28 1 2, 시행령 15, 개인정보의 기술적·관리적 보호조치 기준(2015. 5. 19. 방송통신위원회 고시 2015-3호로 개정되기 전의 ) 4 2, 5, 9항을 위반하였다고 보아, 정보통신망법 64조의3 1 6호에 따라 과징금 7,000 원을 부과하는 처분을 하였습니다.

 

정보통신망법 28(개인정보의 보호조치) 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 호의 기술적·관리적 조치를 하여야 한다.

1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 접근 통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치·운영 컴퓨터바이러스에 의한 침해 방지조치

6. 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

 

시행령 15(개인정보의 보호조치) 28조제1항제1호에 따라 정보통신서비스 제공자등은 개인정보의 안전한 취급을 위하여 다음 호의 내용을 포함하는 내부관리계획을 수립ㆍ시행하여야 한다.

1. 개인정보 관리책임자의 지정 개인정보보호 조직의 구성ㆍ운영에 관한 사항

2. 개인정보취급자의 교육에 관한 사항

3. 2항부터 5항까지의 규정에 따른 보호조치를 이행하기 위하여 필요한 세부 사항

28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 호의 조치를 하여야 한다. 다만, 3호의 조치는 전년도 기준 직전 3개월간 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다.

1. 개인정보를 처리할 있도록 체계적으로 구성한 데이터베이스시스템(이하 "개인정보처리시스템"이라 한다) 대한 접근권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행

2. 개인정보처리시스템에 대한 침입차단시스템 침입탐지시스템의 설치ㆍ운영

3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단

4. 비밀번호의 생성 방법 변경 주기 등의 기준 설정과 운영

5. 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치

28조제1항제3호에 따라 정보통신서비스 제공자등은 접속기록의 위조ㆍ변조 방지를 위하여 다음 호의 조치를 하여야 한다.

 

개인정보의 기술적·관리적 보호조치 기준 4(접근통제) 정보통신서비스 제공자등은 전보 또는 퇴직 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.

정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 침해사고 방지를 위해 다음 호의 기능을 포함한 시스템을 설치·운영하여야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한

2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지

정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 개인정보취급자의 컴퓨터에 조치를 취하여야 한다.

 

 

방송통신위원회는 다음과 같은 처분 사유를 지적하였습니다.

(1) 1처분사유: 일단 로그인을 하면 타인의 고객서비스계약번호(9자리) 입력하더라도 인증 단계 없이 타인의 정보(이름 )까지 조회 가능( 사건 고시 4 5, 9 위반)

(2) 2처분사유: 특정 IP에서 최대 수십만 건의 개인정보를 조회하였음에도 비정상적인 접근을 탐지, 차단하지 못함( 사건 고시 4 5 위반)

(3) 3처분사유: 사내망에서 인가받은 자가 접근할 있는 웹페이지에, 해커가 인터넷망을 통하여 접속하였음에도 탐지·차단하지 못함( 사건 고시 4 5 위반)

(4) 4처분사유: 사용 중지된 퇴직자 ID 8 건의 개인정보를 조회하였음에도 비정상적 접근을 탐지, 차단하지 못함( 사건 고시 4 2, 9 위반)

 

개인정보의 안전성 확보 여부에 대한 판단 법리에 대하여 대법원은 정보통신서비스제공자가 정보통신망법 28 1항이나 정보통신 서비스이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는, 해킹 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종·영업 규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 효용의 정도, 해킹 기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여, 정보통신서비스제공자가 해킹 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다고 보고 있습니다(대법원 2015. 2. 12. 선고 201343994 판결 ).

 

서울행정법원은 사건에서 정보통신망법 64조의3 의하면 방송통신위원회는 정보통신서비스 제공자 등의 위반행위에 대하여 과징금 부과 여부에 관하여 재량을 가집니다. 그런데 KT 사건 고시 4 2항을 위반하였으나 사건 고시 4 5, 9항을 위반하였다고 볼수 없으므로, 법원은 KT 사건 고시 4 5, 9항도 위반하였음을 전제로 사건 처분은 재량권을 일탈·남용하여 위법하다고 판단하여 사건 처분을 취소하였습니다.

 

방송통신위원회는 판결에 대하여 항소를 하였고, 사건은 서울고등법원에서 201664533 사건으로 항소심이 진행 중에 있습니다. 사건에 대하여 항소심 판결이 나오면 다시 구체적으로 말씀을 드리겠습니다. 개인정보를 보관 사용하는 정보통신사업자에 해당하는 업체, 벤처, 중소기업 등은 사건에서 퇴직자들의 시스템에 대한 접근권한이 유지되지 않도록 유의하여야 것입니다.

 

KASAN_정보통신사업자의 개인정보 보호조치 의무와 과징금 처분 – 서울행정법원 2016. 8. 18. 선고 201

 

정회목 변호사

[질문 또는 상담신청 입력하기]

 

 

작성일시 : 2018. 1. 25. 15:51
Trackback 0 : Comment 0   댓글달기

댓글을 달아 주세요