1. 들어가며

공연 예매를 위한 개인정보 수집, 오디션 참가자 정보 취합, 출연진 계약 등 공연예술 현장에서는 생각보다 다양한 지점에서 ‘개인정보’를 수집하고, 이를 활용하게 됩니다. 그런데 조직체계가 잘 갖추어지지 않은 중소 공연기획사나 예술단체, 또는 개인 기획자들 중 일부는 개인정보보호법의 내용을 정확히 인지하지 못한 채 개인정보를 취급하기도 하고, 직원들에 대한 교육 및 관리의 어려움으로 개인정보 관리를 소홀히 하는 경우도 적지 않습니다. 또한 최근에는 도대체 어디까지가 ‘개인정보’인지도 헷갈리고, 개인간 전화번호만 물어봐도 개인정보를 수집하는것이니 법적용을 받게 되는 것인가, 하는 걱정을 하게 되기도 합니다.

이번 칼럼에서는 ‘개인정보’란 무엇인지, 개인정보보호법의 적용을 받는 주체와 의무사항 등에 대하여 살펴보고자 합니다.


2. ‘개인정보’란 무엇일까

개인정보보호법상 ‘개인정보’란, 살아 있는 개인에 관한 정보로서, 해당 정보만으로 또는 다른 정보와 쉽게 결합하여 개인을 식별할 수 있는 정보를 말합니다(개인정보보호법 제2조 제1호). 여기에는 이름, 주민등록번호, 영상 등과 같이 직접 개인을 알아볼 수 있는 정보 외에도 해당 정보 자체만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하면 알아볼 수 있는 정보까지도 포함이 됩니다. 이에 인적사항은 물론, 신체적 정보(얼굴, 홍채, 지문, 키 등), 정신적 정보(물품구매내역, 웹사이트 검색내역 등), 사회적 정보(교육정보, 근로정보, 법적 정보 등), 재산적 정보(소득정보, 신용정보, 부동산 정보 등). 통신 및 위치 정보 등과 같은 정보도 ‘개인정보’로서 폭넓게 보호가 되고, 이러한 ‘개인정보’를 노출하게 되면 개인정보보호법의 적용을 받게 될 가능성이 있습니다.


3. 개인정보보호법의 적용을 받는 ‘개인정보처리자’는 누가 되는 것일까

다만, 친구 사이에 상대방 주소를 물어보거나 전화번호를 교환한다고 해서 개인정보보호법의 적용을 받는 것이 아닌 것처럼, 개인정보를 취득하거나 수집한다고 무조건 개인정보보호법의 적용을 받는 것은 아닙니다.

개인정보보호법에 따른 ‘개인정보처리자’로서 개인정보를 수집 또는 취급하는 경우에 비로소 법에서 정한 여러가지 의무를 부담하게 되는데, 위의 법에 따르면 ‘개인정보처리자’란 “업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등”을 의미합니다. 즉, 업무가 목적이 아닌 사석에서의 개인정보 교환은 문제가 되지 않는 것인데, 다만 업무를 목적으로 하는 한에서는 개인, 법인, 단체를 가리지 않고 법 적용을 받습니다.

다만, 회사에 소속된 임직원이나 파견근로자 등 개인정보처리자인 회사의 지휘, 감독을 받아 개인정보를 처리하는 경우 ‘개인정보취급자’가 되어 법률상 직접적인 의무를 부담하지는 않습니다. 그렇지만 ‘개인정보취급자’의 경우에도 개인정보를 안전하게 처리하고, 업무상 알게 된 개인정보를 누설하지 않을 의무는 부담하게 됩니다.


4. ‘개인정보처리자’가 되면 어떤 의무가 발생할까

‘개인정보처리자’의 지위에 서게 되면, 위의 법에 따라 개인정보처리원칙 준수의무, 안전조치 의무, 개인정보보호 책임자 지정 의무, 개인정보 처리방침 수립 및 공개 의무, 정보주체 권리 보장 의무 등 여러 의무를 부담하게 되는데, 그 중 개인정보가 분실, 도난, 유출, 위조, 변조, 훼손되지 않도록 내부 관리 계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 취해야 하는 안전조치 의무가 매우 중요해지고, 이는 전문성과 비용이 필요한 일이기 때문에 소규모 업체의 경우에도 세심한 관리가 필요합니다.

예를 들어, 공연예매 플랫폼을 운영하는 소규모 기획사나 오디션 참가자 정보를 모아 이메일로 주고받는 예술단체라 하더라도, 반복적이며 체계적인 방식으로 개인정보를 수집·관리하고 있다면 개인정보파일을 ‘운용’하는 것으로 간주될 수 있어 법 적용 대상이 됩니다. 특히 최근에는 이메일 수집 목록, 엑셀 문서, 카카오톡 채팅방에 저장된 정보들도 '개인정보파일'로 보아 법 적용 범위에 포함시키는 해석이 강화되고 있습니다. 또한 위탁사나 외주업체를 통해 개인정보를 간접적으로 수집하거나 처리하는 경우에도 위탁자 역시 일정한 관리·감독 의무를 부담하게 되므로, 단순히 “외주사에서 처리했다”는 이유만으로 책임을 면할 수는 없습니다. 결국 ‘개인정보처리자’인지 여부는 단체의 규모나 공공성 여부와 무관하게, 업무 목적의 반복적·체계적인 개인정보 수집과 관리 여부를 중심으로 판단된다는 점을 유의해야 합니다.


5. 개인정보를 수집할 때는 어떻게 해야할까?

개인정보보보법에 따르면 개인정보처리자는 정보주체의 동의를 받거나 법에 정한 사유가 있는 경우에만 개인정보를 수집할 수 있고, 이용할 때에도 수집한 목적 범위 내에서만 이용을 하여야 합니다. 이에 동의를 받을 때에는 개인정보의 수집, 이용 목적과 수집하려는 개인정보의 항목, 개인정보의 보유 및 이용기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있다면 그 내용을 함께 알리면서 동의를 받아야 합니다. 그런데 수집하려는 정보에 주민등록번호나 건강에 관한 정보 등 고유식별번호, 민감정보가 있다면 이에 대해서는 따로 별도의 동의를 각각 받으실 필요가 있습니다.


6. 수집한 개인정보를 홍보나 마케팅에 활용하려면 어떻게 해야할까?

개인정보를 수집한 이후, 개인정보처리자는 정기적으로 공연에 대한 소식이나 홍보 등을 메시지나 이메일을 통해 발송하고자 할 것입니다. 이렇게 개인정보를 마케팅에 활용하기 위하여는 개인정보보호법상 정보주체로부터 명시적인 동의를 받아야 하는데, 개인정보 수집을 하면서 함께 동의를 받으면 안되고, 다른 동의와 구분하여 별도의 마케팅 활용 동의를 받아야 합니다(법 제22조 제1항). 우리가 통상 어떤 사이트에 가입을 할 때 체크란에 항상 '선택'으로 구분된 마케팅 활용 동의란에 체크하도록 되어 있는 것이 위의 법조항 때문입니다. 또한 동의를 받으면서 개인정보의 수집·이용 목적, 수집하려는 개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익 내용과 같은 사실을 공개할 필요가 있습니다.

또한 개인정보를 제3자에게 제공하는 경우에도 정보주체로부터 다른 동의와 구분되는 별도의 동의를 받아야만 제공이 가능한데, 만일 티켓 등을 배송하기 위해 택배회사에 개인정보를 전달하는 것처럼, 내부적으로 개인정보의 처리를 위탁하는 경우라면, 정보주체의 별도 동의 없이도 가능할 수 있습니다. 다만 이 때에는 개인정보처리자가 업무를 위탁하면서 법에 정한 내용이 담긴 계약을 체결하여야 하고, 위탁사실을 공개하여야 합니다. 물론, 위탁받은 자가 개인정보를 안전하게 처리하는지에 대한 관리 감독을 할 필요는 있습니다.


7. 개인정보 분쟁, 어떤 사례가 있었을까

개인정보처리자가 법에 정해진 의무를 따르지 않거나 위반한 경우에는 법에 따른 형사처벌을 받게 될 수 있습니다. 그리고 개인정보를 제공한 주체는 개인정보가 유출되었을 때 개인정보처리자를 상대로 개인정보보호법에 따른 손해배상을 청구할 수 있고, 통상 위자료가 손해로서 인정됩니다. 금액은 대규모 유출 당시에는 인당 10~20만원 정도의 위자료가 인정되었으나, 현재 법에서는 300만원까지 손해액을 입증할 필요없이 배상을 청구할 수 있도록 정하고 있고, 징벌적 손해배상으로 손해액의 5배까지도 손해배상이 인정될 수 있어, 점점 배상액이 증가되고 있는 추세입니다.

관련하여, 공연예매사이트인 인터파크에서 2016년 대규모 데이터 유출 사고가 있었고, 약 1,030만명의 사용자 정보가 유출된 바 있습니다. 유출된 개인정보에는 이름, 주민등록번호, 전화번호, 이메일 주소 등이 포함되었습니다. 이에 당국에서는 인터파크가 보안 조치 이행에 소홀했다고 판단하며, 인터파크에 44억 8천만 원의 과징금을 부과했습니다. 또한, 피해자들은 손해배상을 요구하는 집단 소송을 제기했으며, 당시 대법원은 최종적으로 인터파크가 정신적 고통에 대한 위자료로 1인당 10만 원을 지급해야 한다고 판결하였습니다.

한편, 공연 티켓 암표 판매를 위해 개인정보를 불법적으로 수집하여 활용한 암표상이 붙잡혀 재판을 받기도 하였는데, 위 암표상은 공연 티켓 암표 판매에 사용하기 위해 웹하드 사이트에서 다수의 개인정보(성명, 주민등록번호)가 담긴 엑셀파일을 다운로드 받고, 이를 이용해 예매 사이트에 접속할 아이디를 생성하여 티켓을 구입하기도 하였습니다. 법원은 위 암표상에 대하여 정보통신망이용촉진 및 정보보호등에관한법률위반, 주민등록법위반, 업무방해 등으로 징역 1년을 선고하기도 하였습니다{대전지방법원 천안지원 2017. 8. 10. 선고 2016고단1910,2017고단7(병합)}


8. 맺음말

이제는 개인정보에 대한 권리의식이 높아져, 많은 분들이 이름이나 핸드폰 번호와 같은 정보를 주거나 수집할때 법적으로 문제가 없을까 하는 생각을 하실 것입니다. 그러나 이름이나 핸드폰 번호 같이 누가보더라도 개인정보임이 명백한 정보 외에도, 다른정보와 결합했을 때 개인정보가 될 수 있는 여러 정보들도 모두 개인정보가 될 수 있고, 이를 업무적으로 수집한다면 개인정보처리자의 지위가 생겨 법률상 여러 의무를 부담하게 된다는 점을 기억할 필요가 있습니다. 또한 기존 대규모 개인정보 유출 건들도 살펴보면 개인정보취급자가 회원들의 비밀번호를 엑셀로 단순하게 보관한다거나 하는 사소한 관리상 실수로부터 발생하는 경우가 많아, 개인정보 취급에 유의하실 필요도 있습니다. 현재 한국에서 해킹사고는 매일 5건 이상씩 발생한다고 하고 그 중 상당 부분은 개인정보를 노리고 이루어집니다. 이에 규모가 작다거나 취급하는 개인정보의 양이 적다고하여 가볍게 여기지 마시고 안전조치에 힘쓰는 것이 사고 예방에 도움이 될 것입니다.