업장은 개인정보보호법 개인정보보호법 제73조 제1호에 따라 2년 이하의 징역 또는 2천만원 이하의 벌금형이 가능하며, 개인정보를 무단 취득한 제3자는 개인정보보호법 제75조 제1호상 5천만원 이하 과태료 처분 가능하다. 또한 불안감을 유발하는 연락을 반복적으로 취했다면 정보통신망법상 처벌도 고려될 수 있다.
코로나 재확산에 따른 방역 강화로 정부는 카페 및 음식점 출입자에 대하여는 명부를 비치하여 성명, 전화번호를 수집하고 신분증을 확인하는 방역수칙을 안내하였다. 위 수칙 위반은 감염병예방법 위반이 되어 사업주 및 이용자에게 벌금형 (300만원 이하)이 부과될 수 있다.
그런데 위 명부의 관리에 관하여 최근 법적 분쟁이 있었다. 명부는 QR 코드를 활용한 전자명부 혹은 수기기재 명부 중 하나를 선택할 수 있는데, 수기명부에 기재된 연락처를 제3자가 임의로 획득하여, 연락처의 개인정보 주체에게 휴대전화 메시지를 보낸 사건이 있었던 것이다.
위 사건에 관하여 개인정보를 임의획득한 제3자, 그리고 수기명부를 관리하는 업장에 어떠한 법률이 적용될 수 있는지 검토하고자 한다.
수기명부를 관리하는 업장
식음료판매업장은 업장 운영이라는 업무를 목적으로 스스로 개인정보를 처리하므로, 개인정보보호법상 개인정보처리자에 해당한다 (개인정보보호법 제2조 제5호).
개인정보처리자는 개인정보가 도난ㆍ유출되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다 (개인정보보호법 제29조). 이를 위반하여 개인정보를 도난 또는 유출당한 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처해질 수 있다 (개인정보보호법 제73조 제1호)
또한 개인정보처리자는 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하여서는 아니 되며 (개인정보보호법 제59조 제2호), 허용된 권한을 초과하여 타인의 개인정보를 유출하여서는 아니 된다 (개인정보보호법 제59조 제3호). 위반시 5년 이하의 징역 또는 5천만원 이하의 벌금에 처해질 수 있다 (개인정보 보호법 제71조 제5호 및 제6호)
본건에서 최소한 개인정보가 개인정보주체의 동의 없이, 원래 수집목적 (방역)을 초과하여 제3자에게 전달된 사실은 확실하므로, 업장은 개인정보보호법 위반을 피하기 어렵다. 여기서 안전성 조치 없이 수기명부를 제3자가 볼 수 있도록 업장에 놓아 둔 행위로 인하여 개인정보가 유출’된’것인지, 아니면 위 행위를 사실상 유출’하’거나 제공’한’행위로 해석될 수 있는지가 쟁점이 된다. 위 쟁점이 중요한 이유는 위 판단에 따라 개인정보를 취득한 제3자에 대한 판단도 달라지기 때문이다.
수기명부의 운영방법은 원칙적으로 명부를 업장이 관리하고 출입자 개개인에 대한 정보를 별도 관리하는 것이 가장 바람직하며, 수기명부를 출입자가 쉽게 볼 수 있도록 방치한 것은 사실상 부작위에 의한 제3자 제공 또는 유출로 해석할 수도 있다.
하지만 정부가 제시한 방역수칙은 수기명부를 ‘방식’이고, 업장은 정부의 방역강화방침을 충실히 이행하기 위하여 수기명부를 비치한 것이며, 현실적으로 업장을 운영하면서 출입자 개개인마다 명부를 별도 작성 및 관리함은 매우 어렵다는 점을 고려하면 업장이 적극적인 제3자 제공 또는 유출행위를 한 것은 아니라는 해석도 가능하다.
법률의 문언과 구조를 엄격하게 해석할 경우, 업장에 대해서는 개인정보의 직접 제공 또는 유출 규정은 적용하기 어려우며 따라서, 안전성 조치 미비에 따라 개인정보가 유출된 데에 대한 형사책임(2년 이하의 징역 또는 2천만원 이하의 벌금)을 물을 수 있을 것으로 판단된다. 또한 안전성 조치 미비는 행정상 5천만원 이하 과태료 부과도 가능하며 (개인정보보호법 제75조 제6호), 이는 형사벌과 별개로 병과 가능하다.
참고로 공중위생 목적으로 처리되는 개인정보에 관하여는 정보수집, 처리, 및 안전관리 등의 규정이 적용되지 않지만, 위 적용 제외는 일시적으로 처리되는 개인정보에 한한다 (개인정보보호법 제58조 제1항 제3호). 본건의 경우 방역지침은 업장이 수집한 개인정보를 4주간 보관 후 파기하도록 규정하고 있으므로, 원칙적으로 위 일시적 처리정보에는 해당하지 않는다고 해석된다.
업장 입장에서는 정부의 방역지침에 따라 개인정보를 수집함에 예상하지 못했던 처리, 보관 및 안전관리상 리스크가 있을 수 있으므로 되도록 방문자가 시각적으로 인식할 수 있는 수기명부보다는 QR코드 방식의 전자명부 운영이 바람직하다.
아래는 보건복지부의 전자출입명부 홍보자료이다.
http://ncov.mohw.go.kr/infoBoardView.do?brdId=3&brdGubun=32&dataGubun=&ncvContSeq=2569&contSeq=2569&board_id=&gubun=
https://www.youtube.com/watch?v=8btrO5hbvy4
개인정보를 임의획득한 제3자
위 업장에 대한 판단을 적용한다면, 제3자는 유출된 개인정보를 무단 취득한 자이다. 그런데 개인정보보호법상 위 무단취득자에 대한 형사처벌규정은 불문명하다. 업무상 알게된 개인정보를 누설한다는 사정을 알면서 ‘제공’받은 경우에는 형사처벌대상이 되지만, 유출된 정보를 임의로 취득한 자에 대한 처벌은 명문의 규정이 없다.
단 위 개인정보취득 및 이용이, 법률상 근거 및 개인정보주체의 동의 없이 이루어 진 것은 확실하므로, 5천만원 이하 과태료 부과는 가능하다 (개인정보보호법 제75조 제1항 제1호).
만약 취득한 전화번호로 계속적으로 연락을 취하였다면 정보통신망이용법 제44조의7 제3호 위반에 따른 1년 이하의 징역 또는 1천만원 이하 벌금(정보통신망이용법 제74조 제3호), 또는 경범죄처벌법 제3조 제40호상 10만원 이하 벌금등이 가능하지만 모두 반복성 또는 여러 차례 되풀이한 사실이 범죄성립요건이다. 정보통신망이용법의 해석에 관하여 판례는 발송경위, 당사자간 관계, 피해자가 처한 상황, 행위일시장소의 근접, 범의의 계속성 등을 종합적으로 고려하여야 한다고 하며, 비연속적 단발성 행위 또는 일회성 행위의 경우 처벌이 불가능하다고 판시한 바 있다 (2020노4714).
'Legal Insight - 변호사의 법과 컨텍스트 읽기' 카테고리의 다른 글
| 경영평가성과급의 평균임금 여부 (0) | 2020.09.16 |
|---|---|
| 출신학부지역을 오기재한 경우 채용 또는 근로계약 취소는 정당한가 (0) | 2020.09.10 |
| 전세금 /임대차보증금 반환채권에 관하여 질권설정 또는 채권양도 통지를 받은 후 체납에 기한 압류 통지를 받은 임대인의 대처방법 (0) | 2020.09.05 |
| 코로나로 인한 채용 취소는 '부당해고' 가능성이 높다. (0) | 2020.08.29 |
| 주택임대차보호법 개정으로 현재 전세계약을 연장할 수 있나요? (0) | 2020.08.14 |