[260329] 개인정보 포털-개인정보 관련 개념 이해(입문)_사례로 보는 개인정보 이슈

[사례1] 개인정보의 합법적 처리-개인정보 수집 동의

<사건 개요 및 문제행위>

개인정보 취득 부분

-수집한 개인정보를 보험회사에 판매하여, 보험사가 이를 이용해 텔레마케팅을 하도록 함: 필수 고지사항이 기재되어 있었으나 글씨 크기가 약 1mm 로 매우 작아 인지가 어려웠음.

-고객의 명시적 동의 없이 개인정보를 제3자에게 제공함: 회원카드(패밀리카드) 회원들의 동의없이 그 개인정보를 보험회사에 임의로 제공하여 판매

 

<대법원(상고심)>

-거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받은 행위를 한 자에 해당.

 

<시사점>

1. 실질적 동의가 없으면 부정한 방법의 동의라고 판단하여 유죄 확정

2. 개인정보 보호법상 '실질적 동의' 기준 확립

-실제로 정보주체가 해당 기재 내용을 인지할 수 있는 정도였는지가 중요

3. 중요한 내용을 명확히 표시하여 알아보기 쉽게 하여야 한다.

 

 

[사례2] 기업의 개인정보보호 책임-개인정보 보호 유출 사고

<사건 개요 및 문제 행위>

해커가 직원 VPN 계정(서버관리자 포함)을 탈취

->사용자인증 및 권한부여 관리 서버(AD 서버).파일서버 접속

->파일서버에 저장된 파일 외부 유출 및 다크웹 공개

->유출 인정.사과문 게시

 

<개인정보보호위원회 결정 요지>

위반행위

-보유기간 경과

-처리목적 달성 등 불필요하게 된 최소 38만여명의 개인정보 미파기

 

관련 법조문

-개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다.

 

결정

-개인정보 보호법 제21조 제1항(개인정보의 파기) 위반

 

<시정명령>

홈페이지 등 공표 명령

과징금, 과태료

 

 

[사례3] 개인정보의 AI 활용-인공지능 학습데이터의 수집 및 이용

<사건 개요 및 문제 행위>

 AI가 대화 내용을 직접 생성하는 것이 아닌 응답데이터 문장 중 가장 적절한 문장을 선택하여 발화하는 형태로 작동

 

-학습 DB에 저장된 카카오톡 대화문장 약 94억 건을 이름과 숫자 등을 치환하지 않은 상태로 알고리즘을 통해 학습시킴

-응답 DB에서 상세주소 1건, 휴대전화번호 20건 확인됨

 

저장방법: 띄어쓰기 없이 일부 오타가 포함되었거나 숫자를 한글로 기재한 경우 개인정보가 완전히 제거되지 않음.

 

<쟁점 별 개인정보보호위원회 결정 요지>

쟁점: 법정대리인 동의 없이 만 14세 미만 아동의 개인정보를 수집한 행위

 

(개인정보보호위원회 판단)

정보주체가 자발적으로 민감정보를 개인정보처리자에게 제공하였다는 이유만으로, 정보주체의 별도 동의 의사를 추단할 수 없음.

-개인정보 보호법 제23조제1항 (민감정보의 처리 제한) 위반

 

<시정명령>

동의절차 개선, 미파기 정보 삭제, Github 게시자료 삭제 등.

 

<산업적 의의>

-인공지능.데이터 산업의 개인정보 활용 기준을 제시한 대표적 결정

-비정형 데이터(대화, 음성 등)에 대한 가명처리 기술 개발의 필요성 부각

-AI 윤리 및 개인정보 거버넌스 필요성 부각

 

<시사점>

형식적 동의의 한계 재확인: 각각의 동의 사항을 구분하여 정보주체가 명확히 인지할 수 있도록 해야함

인공지능 개발 단계의 개인정보 활용 경계 명확화: AI 학습용 데이터라도 수집 목적 내 이용 및 가명처리 요건 충족이 필수

아동.민감정보 보호 강화

-만 14세 미만 이용자 동의는 반드시 법정대리인 동의 절차가 필요

-성생활 등 민감정보는 별도 명시적 동의를 받아야 함.

 

 

---

<퀴즈>

1번 (객관식)

사례1에서 대법원이 판단한 ‘부정한 방법에 의한 동의’의 핵심 기준은 무엇인가?

A. 동의서에 법적 문구가 포함되어 있는지 여부
B. 개인정보 제공 여부를 별도로 체크했는지 여부
C. 정보주체가 실제로 내용을 인지할 수 있었는지 여부
D. 기업이 사전에 고지를 했는지 여부

정답: C

- 이 문제의 핵심은 ‘형식적 동의’와 ‘실질적 동의’를 구분하는 데 있습니다. 사례1에서는 개인정보 제공에 대한 고지가 이루어졌다고 하더라도, 글씨 크기가 약 1mm로 매우 작아 정보주체가 내용을 사실상 인지하기 어려웠습니다. 대법원은 이러한 경우 단순히 고지 여부만으로는 충분하지 않다고 판단하였으며, 정보주체가 실제로 해당 내용을 인지할 수 있었는지가 중요하다고 보았습니다. 따라서 실질적으로 내용을 이해할 수 없는 상태에서 이루어진 동의는 ‘부정한 방법에 의한 동의’로 판단됩니다. 이러한 점에서 정답은 C입니다.

---

2번 (객관식)

사례2에서 개인정보보호위원회가 문제 삼은 법 위반 사항은 무엇인가?

A. 개인정보 제3자 제공 동의 미획득
B. 개인정보의 안전성 확보 조치 미흡
C. 개인정보 파기 의무 위반
D. 개인정보 국외 이전 미신고

정답: C

- 이 사례에서는 해킹 사건 자체보다도 기업이 개인정보를 적절히 관리하지 못한 점이 주요한 법 위반 사유로 판단되었습니다. 특히 보유기간이 경과하거나 처리 목적이 달성된 개인정보를 지체 없이 파기해야 함에도 불구하고, 약 38만 명의 개인정보를 삭제하지 않고 보관하고 있었습니다. 이는 개인정보 보호법 제21조 제1항에서 규정하고 있는 ‘개인정보의 파기 의무’를 위반한 것입니다. 따라서 본 문제의 정답은 개인정보 파기 의무 위반을 의미하는 C입니다.

---

3번 (객관식)

사례3에서 개인정보보호위원회가 위반으로 판단한 주요 이유는 무엇인가?

A. AI 모델의 정확도가 낮았기 때문
B. 개인정보를 암호화하지 않았기 때문
C. 법정대리인 동의 없이 아동 개인정보를 수집했기 때문
D. 데이터 저장 용량이 과도했기 때문

정답: C

- 이 문제는 인공지능 학습 데이터 활용 과정에서의 개인정보 보호 원칙을 묻는 문제입니다. 사례3에서는 AI 학습을 위해 카카오톡 대화 데이터를 활용하면서, 만 14세 미만 아동의 개인정보를 법정대리인의 동의 없이 수집한 것이 문제가 되었습니다. 개인정보보호위원회는 정보주체가 자발적으로 정보를 제공하였더라도 이를 근거로 동의를 추정할 수 없다고 판단하였으며, 특히 아동의 경우 반드시 법정대리인의 명시적 동의가 필요하다고 보았습니다. 따라서 위반의 핵심은 아동 개인정보 수집 시 동의 절차를 준수하지 않은 점이며, 정답은 C입니다.

---

4번 (서술형)

사례1을 바탕으로 ‘실질적 동의’가 무엇인지 간단히 설명하시오.

모범답안 예시:
정보주체가 개인정보 제공에 대해 형식적으로 동의한 것이 아니라, 실제로 내용을 인지하고 이해한 상태에서 이루어진 동의를 의미한다.

-‘실질적 동의’란 단순히 형식적으로 동의 절차를 거쳤다는 의미가 아니라, 정보주체가 제공되는 개인정보의 내용과 이용 목적을 충분히 인지하고 이해한 상태에서 자발적으로 동의하는 것을 의미합니다. 즉, 동의서에 서명하거나 체크를 했다는 사실만으로는 부족하며, 정보주체가 실제로 그 내용을 인식할 수 있는 환경이 보장되어야 합니다. 따라서 ‘인지 가능성’과 ‘이해를 바탕으로 한 동의’라는 요소를 포함하여 서술하시는 것이 중요합니다.

---

5번 (서술형)

사례3에서 AI 학습 데이터 활용 시 반드시 충족해야 하는 개인정보 보호 요건 2가지를 쓰시오.

모범답안 예시:

• 수집 목적 범위 내에서만 개인정보를 이용해야 한다.
• 가명처리 등 개인정보 보호 조치를 적용해야 한다.
  (추가 가능: 아동은 법정대리인 동의 필요, 민감정보는 별도 동의 필요)

- 이 문제는 AI 학습 데이터 활용 시 준수해야 할 개인정보 보호 원칙을 묻는 문제입니다. 사례3에서 드러난 핵심은, AI 개발 과정이라고 하더라도 개인정보 보호법의 적용을 받으며 예외가 될 수 없다는 점입니다. 따라서 첫째, 개인정보는 반드시 수집 목적의 범위 내에서만 이용되어야 하며, 둘째, 가명처리 등 개인정보 보호 조치를 통해 개인을 식별할 수 없도록 해야 합니다. 또한 추가적으로 아동의 경우 법정대리인의 동의를 받아야 하며, 민감정보는 별도의 명시적 동의를 받아야 한다는 점도 중요한 기준입니다. 이러한 요소 중 두 가지 이상을 포함하여 작성하시면 적절한 답안이 됩니다.