- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 106. 개인정보의 유출과 노출
- 106.1. 개인정보의 유출과 노출의 개념
이 페이지의 첫 번째 전문가가 되어주세요!
OOO 변호사
OOO 검사
OOO 법학박사
OOO 판사
위키를 작성하면 이 곳에 프로필이 표시됩니다.
프로필은 본인 닉네임 클릭 > ‘내정보관리’에서 설정할 수 있습니다.
106.1.개인정보의 유출과 노출의 개념
개인정보의 유출과 노출의 개념
개인정보의 '유출'과 '노출'은 용어는 비슷하지만 전혀 다른 의미를 가지고 있고, 둘 중 어디에 해당하느냐에 따라 법적 효과도 완전히 다르기 때문에, 각각의 의미를 정확히 파악하여 둘 필요가 있다.
먼저, 개인정보의 '유출'에 대해서는 표준 개인정보 보호지침에서 정의 규정을 두고 있기 때문에, 이를 기준으로 그 개념을 파악하면 된다. 다만 그 정의 규정은 다소 변화가 있었는바, 구 규정과 신 규정을 함께 보면 아래와 같다.
표준 개인정보 보호지침 제25조(개인정보의 유출) 개인정보의 유출은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서 다음 각 호의 어느 하나에 해당하는 경우를 말한다.
표준 개인정보 보호지침 제25조(개인정보의 유출등) 개인정보의 분실ㆍ도난ㆍ유출(이하 "유출등"이라 한다)은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고 개인정보가 해당 개인정보처리자의 관리ㆍ통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 말한다. |
이를 보면, 구 규정에서는 ‘개인정보처리자의 관리통제권 상실’ or ‘권한없는 자의 접근 허용’을 유출로 규정한 반면, 신 규정에서는 ‘개인정보처리자의 관리통제권 밖’ + ‘제3자가 그 내용을 알 수 있는 상태’를 유출로 규정하였다.
이러한 "유출" 개념의 개정은, 대법원 2014. 5. 16. 선고 2011다24555 판결의 취지를 반영한 것으로서, 해당 판결에서는 “개인정보의 누출이란 개인정보가 해당 정보통신서비스 제공자의 관리․통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 의미”한다고 판시하여, 현행 표준 개인정보 보호지침 상의 ‘유출’의 정의와 동일한 문언의 판시를 하고 있다.
| 대법원 2014. 5. 16. 선고 2011다24555 판결 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라고 한다)로 보호되는 개인정보의 누출이란 개인정보가 해당 정보통신서비스 제공자의 관리․통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것을 의미하는바, 어느 개인정보가 정보통신서비스 제공자의 관리․통제하에 있고 그 개인정보가 제3자에게 실제 열람되거나 접근되지 아니한 상태라면, 정보통신서비스 제공자의 기술적․관리적 보호조치에 미흡한 점이 있어서 제3자가 인터넷상 특정 사이트를 통해 정보통신서비스 제공자가 보관하고 있는 개인정보에 접근할 수 있는 상태에 놓여 있었다고 하더라도 그것만으로 바로 개인정보가 정보통신서비스 제공자의 관리․통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 되었다고 할 수는 없다. |
한편, 개인정보의 ‘노출’에 대해서 개인정보보호법령에서는 따로 정의를 하지 않고 있다. 다만 2020 개인정보 보호 법령, 지침, 고시 해설서에서는 아래와 같이 “(개인정보가) 정보통신망을 통하여 공중에 노출된 경우”를 “정보통신망 상에서 공중이 해킹 등 특별한 방법을 사용하지 않고도 정보통신망을 통해 이용자의 개인정보를 손쉽게 확인·조회하거나 취득할 수 있도록 개인정보가 공개 또는 방치되어 있는 상태”라고 정의한 바 있다.
| 2020 개인정보 보호 법령, 지침, 고시 해설서 461페이지 “정보통신망을 통하여 공중(公衆)에 노출된 경우란 정보통신망 상에서 공중이 해킹 등 특별한 방법을 사용하지 않고도 정보통신망을 통해 이용자의 개인정보를 손쉽게 확인·조회하거나 취득할 수 있도록 개인정보가 공개 또는 방치되어 있는 상태” |
이를 참조하면, 개인정보의 ‘노출’이란 ‘공중이 해킹 등 특별한 방법을 사용하지 않고도 개인정보를 손쉽게 확인ㆍ조회하거나 취득할 수 있도록 개인정보가 공개 또는 방치되어 있는 상태’라고 정의할 수 있다.
이에 따라 ‘노출’과 ‘유출’의 의미를 비교하면 아래와 같다.
| 노출 | 유출 |
| 공중이 해킹 등 특별한 방법을 사용하지 않고도 개인정보를 손쉽게 확인ㆍ조회하거나 취득할 수 있도록 개인정보가 공개 또는 방치되어 있는 상태에 이르게 된 것 | 개인정보가 해당 개인정보처리자의 관리ㆍ통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 된 것 |
| 개인정보의 공개 또는 방치 상태 (관리ㆍ통제권과 무관. 즉, 본래 관리ㆍ통제권 하에 있었던 개인정보인지, 관리ㆍ통제권을 벗어났는지 여부 무관) | 개인정보처리자의 관리ㆍ통제권을 벗어난 상태 + 제3자가 그 내용을 알 수 있는 상태 |
이를 보면, 개인정보의 ‘노출’은 관리ㆍ통제권을 그 개념상 요건으로 삼고 있지 않으며, 그저 공중이 해킹 등 특별한 방법을 사용하지 않고도 개인정보를 손쉽게 확인, 조회하거나 취득할 수 있도록 개인정보가 공개나 방치된 상태 자체를 의미한다.
반면 개인정보의 ‘유출’은 기본적으로 해당 개인정보처리자의 관리ㆍ통제권 하에 있었던 개인정보를 대상으로 하는 개념으로서 그 관리ㆍ통제권을 벗어난 상태와 제3자가 그 내용을 알 수 있는 상태가 함께 충족되었을 때를 의미한다.
따라서 노출과 유출은 시간적으로 반드시 전후의 관계라고는 할 수 없으며, 서로 개별적으로 성립하는 개념이라 볼 수 있다.
