형사
전화번호 뒷자리 4개만 누설해도 개인정보보호법 위반 유영란변호사|20-02-21본문
전화번호 뒷자리 4개만 누설해도 개인정보보호법 위반(대전지방법원 논산지원 2013. 8. 9. 선고 2013고단17 판결)
경찰관이 ‘신고자의 휴대전화번호 뒷자리 4자’를 알려 준 사건에서, 휴대전화번호 뒷자리 4자는 개인정보 보호법상 ‘개인정보’에 해당하므로, 경찰관과 위 휴대전화번호 뒷자리 4자의 정보를 제공받은 자에게 유죄를 선고한 판례를 소개합니다.
1. 사실관계
피고인 A는 경찰공무원인데, 2012. 3. 피해자의 신고에 따라 피고인 B 등의 도박 현장을 단속한 다음 훈방 조치하였습니다. 피고인 A는 2012. 4. 피고인 B로부터 신고자의 전화번호를 알려 달라는 부탁을 받고 ‘피해자의 휴대전화번호 뒷자리 4자’를 알려 주었습니다.
이로써 개인정보를 처리하였던 피고인 A는 업무상 알게 된 개인정보를 누설하였고, 피고인B는 부정한 목적으로 개인정보를 제공받았습니다.
2. 관련 법령
개인정보 보호법 제2조(정의) 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. <개정 2014. 3. 24., 2020. 2. 4.>
1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다. 가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다. 다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다) 1의2. “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
개인정보보호법 제59조(금지행위) 개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.
1. 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위 2. 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위 3. 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출하는 행위
개인정보보호법 제71조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.<개정 2016. 3. 29., 2020. 2. 4.>
1. 제17조 제1항 제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자 2. 제18조제1항ㆍ제2항(제39조의14에 따라 준용되는 경우를 포함한다), 제19조, 제26조제5항, 제27조제3항 또는 제28조의2를 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 3. 제23조제1항을 위반하여 민감정보를 처리한 자 4. 제24조제1항을 위반하여 고유식별정보를 처리한 자 4의2. 제28조의3을 위반하여 가명정보를 처리하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 가명정보를 제공받은 자 4의3. 제28조의5제1항을 위반하여 특정 개인을 알아보기 위한 목적으로 가명정보를 처리한 자 4의4. 제36조제2항(제27조에 따라 정보통신서비스 제공자등으로부터 개인정보를 이전받은 자와 제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 정정ㆍ삭제 등 필요한 조치(제38조제2항에 따른 열람등요구에 따른 필요한 조치를 포함한다)를 하지 아니하고 개인정보를 이용하거나 이를 제3자에게 제공한 정보통신서비스 제공자등 4의5. 제39조의3제1항(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 이용자의 동의를 받지 아니하고 개인정보를 수집한 자 4의6. 제39조의3제4항(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 법정대리인의 동의를 받지 아니하거나 법정대리인이 동의하였는지를 확인하지 아니하고 만 14세 미만인 아동의 개인정보를 수집한 자 5. 제59조제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 6. 제59조제3호를 위반하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출한 자
|
3. 개인정보보호법 위반인지 여부
피고인A는 휴대전화번호 뒷자리 4자만으로는 피해자를 알아볼 수 없고, 이 사건 정보를 다른 정보와 쉽게 결합하여 피해자를 알아볼 수도 없으므로, 이는 개인정보 보호법 제2조 제1호에 규정된 개인정보에 해당하지 않는다고 주장하였습니다.
그러나 휴대전화번호 뒷자리 4자만으로도 그 전화번호 사용자가 누구인지를 식별할 수 있는 경우가 있고, 특히 그 전화번호 사용자와 일정한 인적 관계를 맺어온 사람이라면 더더욱 그러할 가능성이 높으며, 설령 휴대전화번호 뒷자리 4자만으로는 그 전화번호 사용자를 식별하지 못한다 하더라도 그 뒷자리 번호 4자와 관련성이 있는 다른 정보(생일, 기념일, 집 전화번호, 가족 전화번호, 기존 통화내역 등)와 쉽게 결합하여 그 전화번호 사용자가 누구인지를 알아볼 수도 있습니다.
실제로 이 사건의 경우, 피고인 B는 피고인A로부터 제공받은 휴대전화 번호 뒷자리 4와 자신의 휴대전화에 저장된 기존 통화내역을 결합하여 도박신고자가 피해자임을 쉽게 알아내었습니다.
따라서 피고인 A가 피고인 B에게 제공한 휴대전화 번호는 피해자임을 알아볼 수 있는 정보이거나, 적어도 다른 정보와 쉽게 결합하여 피해자임을 알아볼 수 있는 정보이므로, 이는 개인정보 보호법 제2조 제1호에 규정된 개인정보에 해당됩니다,
4. 결 어