Social Networking Service and Protection of Personal Information
사회관계망서비스는 익명성을 특징으로 하는 통상의 인터넷 서비스와 달리 이용자 스스로 개인정보를 적극 공개한다는 측면에서 프라이버시 침해의 우려가 상존한다. 특히 사회관계망서비스 제공자가 이용자들의 개인정보를 수집, 처리, 분석하여 Target Marketing에 활용하고 있는 점은 이용자의 프라이버시 침해에 대한 또 다른 위험요소로 작용한다. 이러한 측면에서 사회관계망서비스 이용자의 개인정보보호와 관련된 제도적 문제점과 법적 쟁점에 대해 살펴보았다. 먼저 적용 법률과 관련하여 개인정보보보법 제정 이후 주무부처간의 해석차이로 사회관계망서비스 제공자에게 어떤 법률이 적용되어야 하는지에 대해 의견이 분분한 상황이나 법해석의 일반원칙에 따라 정보통신서비스제공자에게 적용되는 정보통신망법이 특별법으로 우선 적용되고 동법에 특별한 규정이 없는 경우 보충적으로 일반법인 개인정보보호법이 적용된다고 보아야 할 것이다. 다음으로 개인정보의 법적 개념 역시 법규정상의 모순으로 인해 명확한 개념 규정이 쉽지 않은 상황이며 이에 대한 연구 또한 부족한 상황이나 사견으로는 개별 정보는 다른 정보와의 조합 또는 결합에 의해 그 식별력을 갖게 된다는 점에서 특정 정보가 개인정보에 해당하는지 여부는 결합의 용이성이라는 규범적 해석기준을 통해 판단해야 할 것으로 보이고, 결합의 용이성은 객관적 측면과 주관적 측면을 고려하여 판단하는 것이 타당하다고 본다. 다음으로 사회관계망서비스 제공자가 이용자의 개인정보를 이용하여 Target Marketing을 하는 것은 허용된다 하더라도 필요최소정보수집의 원칙이 적용되어야하며 개인정보의 수집 및 이용, 생성정보 수집툴의 활용 등과 관련하여 이용자에게 명확히 고지하고 사전 동의를 받아야 할 것이다. 또한 이용자의 개인정보 수집은 원칙적으로 이용자의 동의를 전제로 함이 원칙이며 관련 법령에서 예외적으로 이용자의 동의 없는 개인정보 수집을 허용하는 경우에도 이용자의 입장에서 그러한 개인정보의 수집이 예견 가능한 것이었는지 여부, 사전 동의절차 이행의 용이성, 사회관계망서비스 제공자의 정당한 이익과 이용자 개인정보보호의 필요성의 적절한 이익형량 등의 요건 등을 고려하여 신중히 판단하여야 할 것이다. 아울러 정보통신망법상 개인정보의 제3자 제공은 개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 등을 모두 고지하고 개별적으로 동의를 받도록 규정하고 있어 사회관계망 서비스 제공자가 이용자의 개인정보를 불특정 다수를 상대로 판매, 양도, 대여, 열람하게 하는 등의 소위 개인정보데이터베이스 마케팅은 사실상 금지되어 있다고 보아야 할 것이다. 개인정보의 국외 이전은 정보통신망법의 규정상 이용자의 동의를 요한다고 해석할 수밖에 없으나 개인정보보호법 규정의 취지, 실무적인 측면 등을 고려할 때 개인정보 국외이전의 경우 예외 없이 이용자의 동의를 필요로 한다는 정보통신망법의 규정은 다소 문제의 소지가 있어 보인다. 개인정보와 관련된 쟁점들은 최근 연이어 발생하고 있는 대형 개인정보유출 사고와 개인정보보호법의 시행 등으로 그 관심이 높아지고 있으나 개인정보보호법과 정보통신망법의 적용 범위, 해석 기준 등이 통일되어 있지 못할뿐만 아니라 실효성 있는 개인정보 보호 대책 또한 제대로 수립되어 있지 못한 형편이며 이와 관련된 학계의 연구나 실무적 관행 수립 또한 미흡한 것이 현실이다. 부디 조속히 학계의 연구와 법률 개정 등이 이루어져 사회관계망서비스 제공자와 이용자의 이해관계를 합리적으로 조율할 수 있는 실무 관행이 정착되길 바란다.
Unlike other general internet services, which feature anonymity, the Social Networking Service (“SNS”)arouses concern over infringement of personal information in that the users of the SNS actively disclose theirown personal information. In particular, SNS providers’act of collecting, processing and analyzing personalinformation of SNS users and using such information for their target marketing is another risk factor forinfringement of personal information of SNS users. In this regard, the institutional problems and legal issuesarising in connection with the protection of personal information of SNS users have been addressed below.First, the Personal Information Protection Act (“PIPA”) has been enacted as a general law concerning personalinformation; however, there are conflicting opinions on the laws applicable to SNS providers due to adiscrepancy in interpretation among competent agencies. Nonetheless, it would be reasonable to deem that theAct on Promotion of Information and Communication Network Utilization and information Protection, etc.(“APIC”) which is applicable to information and communication service providers first applies as a special law,and then the PIPA supplementarily applies as a general law if there is no particular provision in the APIC, inaccordance with the general principles for the interpretation of law. Second, it is not easy to clearly define thelegal concept of personal information due to contradiction among legal provisions, and research thereon has notbeen actively progressed. Personally, judgment on whether or not certain information falls under personalinformation should be rendered based on the criterion for normative interpretation, namely easiness ofcombination, because individual information becomes discriminable when it is mixed or combined with otherinformation; and easiness of combination should be determined by taking into account both objective andsubjective aspects. Next, even if SNS providers are allowed to conduct target marketing activities by usingpersonal information of SNS users, the principle of collection of minimum information required is still applicableand SNS providers are required to plainly notify the users of the collection and use of personal information andthe use of information collection tools and then obtain prior consent from them. Moreover, personal informationof SNS users must be collected on the premise that the SNS users have consented to such collection, inprinciple. Even in the case where personal information is allowed to be collected without consent of users underapplicable laws as an exception, predictability of such collection, easiness of the implementation of theprocedure for prior consent, appropriate balancing of interests between the legitimate profit of SNS providersand the need of personal information of SNS users, and other requirements must be considered from the pointof view of the users. In addition, the APIC stipulates that every information and communication service providershall, whenever it intends to furnish a third party with personal information of a user, notify the user of theperson to whom the personal information is furnished, the purposes of use of the personal information of the person to whom the personal information is furnished, the items of the personal information furnished, and theperiod of time during which the person to whom the personal information is furnished will possess and use thepersonal information, and shall obtain consent from the user. As such, it should be deemed that SNS providersare actually prohibited from conducting so-called personal information database marketing activities, includingsale, transfer, lease or provision of personal information of SNS users to many and unspecified persons. As tooverseas transfer of personal information, there is no choice but to see that overseas transfer of personalinformation requires consent of the users of the personal information pursuant to the provisions of the APIC.However, in view of the spirit of the PIPA, practical perspectives, etc., the provisions of the APIC requiringconsent of users for overseas transfer of personal information without exception seem to be controversial.There is a rising interest on the issues relating to personal information along with the enforcement of the PIPA;however, it is difficult to prepare realistic and effective measures to protect personal information because thescope of application and the criterion for interpretation of the PIPA and the APIC are inconsistent and theprovisions of each law are ambiguous and thus can be interpreted in different ways. Public awareness aboutprotection of personal information has been greatly raised due to the occurrence of a series of full-scalepersonal information leakages; however, academic research and business practices have not yet beensufficiently developed. I hope that academic research is made, relevant laws are amended, and other measuresare taken as soon as possible so that business practices that can mediate between the interests of SNSproviders and those of SNS users are established.