[사례 1] 개인정보의 합법적 처리

개인정보 취득 부분

수집한 고객정보를 보험회사에 판매하여, 보험사가 이를 이용해 텔레마케팅을 하도록 함

-> 필수 고지사항이 기재되어 있었으나 글씨 크기가 약 1mm로 매우 작아 인지가 어려웠음

개인정보 수집 및 제3자 제공 동의란에 모두 체크/서명하도록 하였고, 미동의나 서명 누락 시 추첨에서 제외된다고 기재함.

소송 경과 및 판결 요지

  • 1심 : A사의 행위는 거짓이나 그 밖의 부정한 수단/방법으로 동의를 받은 경우에 해당하지 않음. 고객의 동의가 완전히 무효가 보기 어려움.(의도적 기망으로 보기 어려움) -> 무죄
  • 2심 : 1심 판단 유지. 정보주체가 개인정보 제공 동의 문구를 전혀 인지할 수 없었다고 단정하기 어려움. (항소 기각)
  • 3심 : A사는 거짓이나 그 밖의 부정한 수단/방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자에 해당한다. (최소수집원칙, 정보주체가 각각의 동의사항을 구분하여 명확하게 인지할 수 있도록 하여야 한다는 의무 위반) -> 파기환송
  • 파기환송심 : 경품행사를 통해 받은 개인정보 제공 동의는 실질적이지 않았으며, A사는 개인정보 보호법 위반. -> 유죄
  • 최종대법원 : 환송심의 유죄 판단이 정당 -> 상고 기각

시사점

실질적 동의가 없으면 부정한 방법의 동의라고 판단하여 유죄 확정

개인정보 보호법상 실질적 동의 기준 확립

실제로 정보주체가 해당 기재 내용을 인지할 수 있는 정도였는지가 중요

중요한 내용을 명확히 표시하여 알아보기 십게 하여야 한다는 조항 신설

[사례 2] 기업의 개인정보보호 책임

개인정보 유출사고 개요

해커가 직원 VPN 계정 탈취, 파일서버에 저장된 파일 외부 유출 및 다크웹 공개, B사는 초반 "유출 없음" 발표하였으나 조사 중 유출 인정, 사과문 게시.

기업의 개인정보 관리/기술 보호조치 취약

  • VPN 안전조치 미흡
  • 파일 서버 관리 미흡
  • 개별 파일 보안 미흡

출처 : 개인정보 배움터

개인정보보호위원회 결정 요지

  • 위반행위 : 보유기간 경과, 처리 목적 달성 등 불필요하게 된 최소 38만여 명의 개인정보 미파기
  • 관련 법조문 : 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기
  • 결정 : 개인정보 보호법 제21조 제1항(개인정보의 파기) 위반
  • 위반행위 : 주민증록번호 등을 암호화하지 않고 파일서버에 저장/보관
  • 관련 법조문 : 주민등록번호가 분실/도난/유출/위조/변조 또는 훼손되지 않도록 암호화 조치를 통하여 안전하게 보관
  • 결정 : 개인정보 보호법 제24조의 제2항(주민등록번호 처리의 제한) 위반
  • 위반행위 : 다량의 개인정보가 저장된 파일서버에 대해 미흡한 관리체계 운영, 파일서버 안정조치 소홀
  • 관련 법조문 : 안전성 확보에 필요한 기술적/관리적 및 물리적 조치를 하여야 한다.
  • 결정 : 개인정보 보호법 제29조(안전조치의무) 위반

=> 홈페이지 등 공표 명령, 과징금 75억 4백만원, 과태료 540만원

시사점

과징금 체계 변화의 첫 적용 사례

원격근무 확산 대응 보안 거버넌스 필요

적절한 개인정보보호 안전조치 필요

2차 피해의 심각성

[사례 3] 개인정보의 AI 활용

인공지능 학습 데이터 수집/이용 과정에서의 개인정보보호

학습 데이터는 C사의 다른 서비스 A,B의 아용자가 업로드한 카카오톡 대화를 수집하여 E 챗봇 서비스 개발 학습데이터 및 운영 응답데이터에 사용함.

출처 : 개인정보 배움터

문제 행위

  • 학습 DB에 저장도니 카카오톡 대화문장 약 94억 건을 이름과 숫자 등을 치환하지 않은 상태로 학습시킴
  • 응답 DB에서 상세 주소 1건, 휴대전화번호 20건 확인됨
  • 목적 : 응답 DB내 저장된 대화문장 중 가장 적절한 문장을 선택해 발화하기 위해 약 1억 건 응답 구축
  • 저장방법 : 20대 여성이 발화한 대화 문장 추출 -> 자체 개발 필터링 모델 -> 실명, 장소명, 숫자/영문, 선정적 표현이 포함된 대화 문장 반복 제거하여 구축(일부 오타, 숫자를 한글로 기재한 경우 개인정보의 완전한 제거 X)
  • 수집 목적 외 이용
  • 법정대리인 동의 없이 만 14세 미만 아동의 개인정보 수집, 민감데이터
  • 민감정보 동의 없이 처리, 개인정보 미파기

쟁점 별 개인정보보호위원회 결정 요지

  • A,B 서비스
    정보주체에게 명확하게 인지할 수 있도록 알리고 동의를 받지 않은 행위
    ->정보주체가 각각의 동의사항을 명확하게 인지할 수 있도록 알리지 않음
    -> 개인정보 보호법 제22조 제1항(동의를 받는 방법) 위반
  •  A, B, E 서비스
    법정대리인의 동의 없이 만 14세 미만 아동의 개인정보를 수집한 행위
    -> 스스로 제공하는 서비스와 관련하여 만 14세 미만인 아동의 개인정보를 수집하는 경우 법정대리인의 동의를 받아야 할 의무가 있음
    => 개인정보 보호법 제22조 제6항(동의를 받는 방법-만 14세 미만) 위반
    (현행법(2025.4.1 개정안) 기준 제22조의2 제1항)
  • A 서비스
    성생활 등에 관한 정보를 처리하면서 별도의 동의를 받지 않은 행위
    -> 자발적으로 민감정보를 제공하였다는 이유만으로 정보주체의 별도 동의 의사를 추단할 수 없음
    => 개인정보 보호법 제23조 제1항(민감정보의 처리 제한) 위반
  • A, B 서비스
    회원 탈퇴한 자의 개인정보를 파기하지 않은 행위
    -> 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 함
    => 개인정보 보호법 제21조 제1항(개인정보의 파기) 위반
  • A, B 서비스
    1년 이상 서비스 미사용자의 개인정보를 파기하거나 분리/보관하지 않은 행위
    -> 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보의 파기 등 필요한 조치를 취하여야 함
    => 개인정보 보호법 제 39조의6 제1항(개인정보의 파기에 대한 특례) 위반(2023.3.14. 개정안부터 삭제된 조항)
  • E 서비스
    카카오톡 대화문장을 이용한 것이 수집 목적 내 이용에 해당하는지 여부
    -> C사가 이용자로부터 동의 받은 목적 내에서 개인정보를 이용한 것이라고 할 수 없음
    => 개인정보 보호법 제18조 제1항(개인정보의 목적 외 이용/제공 제한) 위반
  • E 서비스
    Github에 이용자의 카카오톡 대화를 공유한 행위
    -> 특정 개인을 알아보기 위하여 사용될 수 있는 정보와 결합하여 개인을 알아볼 수 있음
    => 개인정보 보호법 제28조의2 제2항(가명정보의 처리 등-가명정보 제3자 제공 제한) 위반

=> 시정명령 : 동의절차 개선, 미파기 정보 삭제, Github 게시자료 삭제 등. 과징금 5550만 원, 과태로 4780만 원

시사점

형식적 동의의 한계 재확인

인공지능 개발 단계의 개인정보 활용 경계 명확화

아동/민감정보 보호 강화

산업적 의의(개인정보 활용 기준 제시, 비정형 데이터에 대한 가명처리 기술 개발의 필요성, AI 윤리, 거버넌스)

퀴즈

1. [사례 1] 대법원 판결에 따르면, 개인정보 수집 시 '필수 고지사항'을 기재했더라도 글씨 크기가 1mm 정도로 매우 작아 정보주체가 이를 명확히 인지하기 어려웠다면 무엇을 위반한 것으로 보았나요?
A.개인정보의 기술적 보호 조치
B.개인정보의 실질적 동의 원칙
C.개인정보의 제3자 제공 원칙
D.개인정보의 국외 이전 제한


2. [사례 2] 해킹 사고가 발생한 B사는 개인정보 보호법의 여러 조항을 위반하여 과징금을 부과받았습니다. 다음 중 B사의 위반 행위와 법 조문의 연결이 잘못된 것은 무엇인가요?
A. 주민등록번호 평문(미암호화) 저장 - 제24조의2 제2항
B. 만 14세 미만 아동의 법정대리인 동의 미확인 - 제18조 제1항
C. 파일서버 관리 소홍 및 기술적 조치 미흡 - 제29조
D. 보유기간 경과 정보 미파기 - 제21조 제1항

3.[사례 1] 대법원 판결 이후, 개인정보 보호법에는 정보주체가 중요 내용을 명확히 표시하여 '이것'하기 쉽게 해야 한다는 조항이 신설되었습니다. '이것'에 들어갈 말은 무엇인가요?
(서명하기 쉽게 / 알아보기 쉽게)

4. [사례 3] C사는 챗봇 서비스 학습을 위해 기존 서비스의 카카오톡 대화 문장을 활용했습니다. 개인정보보호위원회는 이를 기존 수집 목적의 범위를 벗어난 '이것' 위반으로 판단했습니다. 무엇인가요?
(목적 외 이용 / 개인정보 유출)

5. [사례 3] AI 학습 데이터를 공유하는 과정에서, 이름과 숫자를 단순히 치환하더라도 다른 정보와 결합하여 특정 개인을 알아볼 수 있다면 이는 '이것' 정보에 대한 제3자 제공 제한 위반에 해당합니다. 무엇인가요?
(익명 정보 / 가명정보)
1. B
형식적으로는 고지사항을 기재했더라도 정보주체가 명확히 인지할 수 없는 방식이라면 실질적 동의로 인정되지 않아 '부정한 수단'에 해당한다고 보았습니다.
2. B
아동의 개인정보 수집 시 법정대리인 동의 의무는 제22조 관련이며, 제18조 제1항은 '목적 외 이용/제공 제한'에 관한 조항.
3. 알아보기 쉽게
4. 목적 외 이용
5.가명정보

PPT 자료

[개인정보 배움터] 사례로 보는 개인정보 이슈.pdf
12.74MB

'개인정보보호 > 개인정보보호 강의 수강' 카테고리의 다른 글

[개인정보배움터] 개인정보 처리 단계별 절차 이해 - 이용/제공  (0) 2026.05.10
[가명정보 지원 플랫폼] 가명정보 관련 제도에 대한 이해  (0) 2026.04.12
[가명정보 지원 플랫폼] 가명정보 관련 법에 대한 이해  (0) 2026.04.05
[개인정보 배움터] 개인정보 보호 필요성  (0) 2026.04.04
[가명정보 지원 플랫폼] 1차시 : 데이터 3법 및 가명정보의 이해  (0) 2026.03.29

티스토리툴바