[ccibomb@CRG]# _bykim

사생활(Privacy, 개인정보)

1. 사생활(개인정보) 권리의 법적근거 - 연방헌법

(1) 미국 연방 헌법

- 헌법은 사생활에 대한 권리를 명확하게 규정하고 있지는 않으나, 수정헌법 제9조에 따라 헌법에 열거가 없더라도 ‘사생활 권리’가 부정되지 않음

(2) 수정헌법 제4조와 제5조

- 수정헌법 제4조(영장 없는 압수·수색 금지)와 제5조(사유재산보장)에 명시적인 규정은 없으나 해석상 ‘사생활 권리’의 근거가 됨

(3) 관련 판례

1) Katz v. United States, 389 U.S. 347(1967)

- (의의) 수정헌법 제4조가 보장하는 보호가 개인이 ‘사생활에 대한 합리적인 기대’를 가지고 있는 모든 영역으로 확대됨

※ 영장없이 공공지역에서의 대화(공중전화)의 도청이 불법이라는 첫 판결

- (개요) 기술에 의한 무형의 침범을 수색으로 간주하여 수정헌법 제4조의 ‘부당한 수색·체포’에 대한 기존의 해석 변경

※ Olmstead v. United States(1928)과 Goldman v. United States(1942)의 판례를 뒤짚음

2) Griswold v. Connecticut(1965)

- 연방대법원은 인권선언(the Bill of Rights)에 의한 사생활보호 인정

- 사생활에 대한 합리적인 기대를 위한 최소한의 요구조건

① 사생활에 대한 실제 기대를 보일 것

② 일반적으로 그 기대가 합리적이라고 인정될 것

2. 관습법(Common Law)으로 인정되는 사생활침해에 대한 불법행위(4가지)

(1) 사적공간의 침범(Intrusion Upon Seclusion)

- (불법행위법 상 정의) 개인의 사생활 또는 사적인 관심사의 고독(solitude)에 대해 물리적이거나 기타 다른 방법으로 의도적으로 침범하는 것

①침범의 의도가 있거나 침범이 잘못되었다고 알고 있을 것

②사생활에 대한 합리적인 기대가 있을 것

③침범은 합리적인 사람에게 상당히 그리고 극도로 공격적일 것

(2) 평판을 손상시키는 사생활의 공개(public disclosure of pricate facts causing injury to reputation)

- (정의) 극도로 개인적인 사실이나 정보를 공개 또는 전송하여 그 결과 평판을 손상시키는 일체의 행위

- 평판과 관련하여

① 해당 사실이 사생활이어야 하고,

② 통신(communication) 또는 매스컴의 관심(publicity)이 지역사회의 중요한 부분에 표면화되어야 함

- 이러한 불법행위는 공개된 사실이

①합리적인 사람에게 극도로 공격적이고

②공익에 대한 적법한 관심(legitimate concern to the public)이 아닌 경우 성립됨

(3) 잘못된 인상을 심어주는 행위(Publicly placing another in a false light)

- (불법행위법 상 정의) 다음의 경우, 개인에 대해 잘못된 인상을 심어줄 수 있는 사실을 매스컴에 알린 자는 사생활 침해에 대한 책임이 있을 가능성 높음

①개인에 대한 잘못된 인상이 합리적인 사람들에게 극도로 공격적이고

②행위자가 공개된 사실이 거짓으로 잘못된 인상을 줄 수 있다는 사실을 알고 있었거나 부주의하게 무시한 경우

(4) 평판을 손상시키는 성명 또는 초상 등의 도용(Misappropriation of a Person’s Name or Likeness Causing Injury to Reputation)

- 주로 살아있는 개인의 이름이나 사진을 당사자의 동의 없이 상업적 목적(뉴스가치가 없이)으로 사용한 경우 적용됨

- ①이름, 초상화 또는 사진이 사용될 것

②거래 또는 광고의 목적일 것

③원고의 서면동의가 없을 것을 증명해야 함

3. 연방 개인정보 보호법(Federal Privacy Laws)

(1) 사생활 보호 법(Privacy Protection Act, PPA, 1980)

- 정부기관에 의한 수색으로부터 기자와 언론기관을 보호

- ‘노동 생산품(work products)’과 ‘문서자료(documentary materials)’보호

- 정보에 대한 접근을 위해서는 법원에 의한 소환장이 필요함

(2) 1974년의 개인정보 보호법(Privacy Act)

- 개인은 본인의 개인정보에 대한 접근권한을 가지고 있고, 해당 기록에 오류가 있는 경우 수정할 수 있음

- 관련성과 필요성이 있는 정보만 수집하도록 제한

- 사생활 보호를 위해 몇몇의 예외를 제외하고는 제3자에 의한 정보접근을 제한

(3) 통신망법(Cable Communication Policy Act, 1984)

- 방송중계업자의 의무

①개인에 대한 인적정보를 수집하기 전 이용자의 사전 허락을 받아야 함

②개인정보가 공개되거나 사용된 정도와 정보를 수집한 목적을 매년 이용자에게 고지해야 함

③이용자가 자료를 검사하고 오류나 실수를 수정할수 있도록 허용해야 함

④법이나 법원명령에 의해 요구되지지 않는 한 자료를 공개하지 않아야함

- 방송중계업자와 비슷한 여흥(entertainment)을 제공하는 웹사이트 업자에게도 적용됨

(4) 비디오 사생활 보호 법(Video Privacy Protection Act, 1988)

- 통신망법을 확장한 법

- 서면동의가 없는 한 개인이 빌리거나 구입한 비디오와 그와 유사한 제품에 대한 사적 정보의 공개와 사용을 금지함(Robert Heron Bork)

(5) 전화소비자보호법(Telephone Consumer Protection Act, TCPA, 1991)

- 자동전화설비를 사용하여 랜덤 또는 순차적인 전화번호로 사전에 동의하지 않은 전화를 하는 것을 금지

- 동의하더라도 오전 8시부터 오후 9시사이에만 전화발신 가능

(6) 전기통신보호법(Electronic Communication Privacy Act, ECPA, 1986)

- 정부를 포함하여 누구라도 상당한 이유가 있는 수색영장 없는 도청금지

- (Title 1)도청으로부터 보호되는 통신은 무선호출, 휴대전화, 컴퓨터로 생성되는 전송 그리고 이메일을 포함

- (Title 2)서버에 전송 중이거나 목적지에 도달하려고 하는 저장자료를 공개하거나 접근하는 것을 보호함(램에 저장된 정보, 플로피디스크, CD에 저장된 정보)

- (Title 3)도청장치, 전화이용 상황 기록장치, 그리고 전기통신 기록장치에 적용되며, 사용을 위해 법원명령 또는 수색영장을 필요로 함(U.S. Patriot Act에 의해 수정됨)

(7) 공정신용보고법(Fair Credit Reproting Act)과 FACTA(2003)

1) 공정신용보고법(FCRA, 1970)

- 신용보고가 정확하고 공정하고 사생활을 존중한다는 것을 보장하기 위해 제정

- 일반적으로 신용보고회사는 신용정보를 배포하기 위해 개인의 허락을 얻어야 함

- 소비자 역시 신용보고회사로부터 신용상태에 대한 정보를 획득할 권한이 있음

2) 공정하고 정확한 신용거래법(Fair and Accurate Credit Transactions Act, FACTA)

- 2003년 FCRA를 수정하여 제정한 연방법

- FACTA는, 어느 정도는, 누가 개인소비에 대한 정보보고서에 접근하는 것이 가능한지 그리고 어떻게 사용될 수 있는지를 규제하고 있음

- FACTA는 특정한 소비자신용보고회사(Equifax, TransUnion, Experian)로부터 본인의 소비정보를 1년에 1번 무료로 받을 수 있도록 하고 있음

(8) 그람-리치-브릴리법(Gramm-Leach-Bliley Act, 1999)

- GLB Act는 개인금융정보 보호를 제공함

- 금융정보를 포함한 기록은 ①금융기관이 그들의 개인정보보호정책(privacy policy)을 공개하고 제3자에게 알려줌으로써, ②특정한 자료수집서비스의 실행(금융 및 인사정보에 대한 권리를 잘못 전달함으로써 해당 정보를 취득하는 것)을 금지함으로써 보호되고 있음

(9) 의료보험이전 및 책임법(Health Insurance Portability and Accountability Act, 1996)

- 의료보험을 전송하고 유지하기 위한 능력을 제공하고, 의료사기 및 남용을 감소

- 전자청구서와 다른 절차에 있어 의료정보에 대한 산업전반에 대한 기준 지시

- 의료정보정보의 보호 및 기밀유지를 요구

- 각 개인의 추가대응을 위해 개인정보 유출 시 개인에게 정보알림 규정 존재

(10) 아동 온라인 개인정보보호법(Children’s Online Privacy Protection Act, 1998)

- 13세 미만의 개인을 아동(child)로 규정

- 아동에게 인적정보를 수집하는 웹사이트에만 적용됨

- 부모 동의와 같은 정보를 수집하려는 사이트는 반드시 개인정보보호정책을 통해 ①무슨 정보를 수집하는지, ②정보수집의 목적이 무엇인지 공개해야 함

(11) 반 포르노 마케팅 통제법(Controlling the Assault of Non-Solicited Pornography and Marketing Act, Can-Spam, 2003)

- 동의받지 않은 상업적 이메일은 반드시 ①라벨을 붙이고, ②옵트아웃(Opt-out) 지침을 포함해야 하며, ③헤더를 위조하면 않됨

- 연방무역위원회(Federal Trade Commission, FTC)는 ‘이메일 받지 않음(do-not-email)’등기소를 설립할 권한을 부여받음

※ 1번 등록시 5년간 광고 이메일이 오지 않음

4. 주의 개인보호법(State Privacy Laws)

- 캘리포니아 온라인 개인정보보호법(Califonia Online Privacy Protection Act, OPPA, 2003)

- 상업 웹사이트의 운영자가 캘리포니아 주민에 대한 식별가능한 정보를 수집하고자 할 때에는 특정한 요구조건에 맞는 개인정보보호정책을 적용하고 동 정책을 우편으로 발송하여야 함

5. 자료 보안(Data Security)

(1) 자료유출통지법(Data Breach Notification Laws) - 46개 주(주별로 내용이 다름)

- 대부분의 주는 ‘유출’을 컴퓨터에 암호화되지 않은 상태로 저장된 인적정보(성명 등), 사회보장번호, 운전면허번호, 금융계좌, 신용카드번호 및 비밀번호에 대한 권한 없는 접근으로 정의함

(2) 법에 따른 구체적인 보안 요구사항의 규정

○ 지불카드산업 자료보안 표준(Payment Card Industry Data Security Standard, PCI DSS)

- 신용카드, 직불카드 그리고 특정한 지불카드를 다루는 기관에게 요구되는 일련의 산업표준은 신용카드 사기를 줄이기 위한 노력으로 만들어짐

○ PCI DSS는 ①PCI 자료 보안 표준, ②PIN 거래 보안 요구사항, ③지급신청자료 보안 표준의 세가지 하위표준을 포함하고 있음

(3) 프라이버시와 자료보안 권리의 집행

1) FTC vs Toysmart

- (배경) 토이스마트는 제3자에게 고객정보를 공유하지 않는다는 개인정보보호정책을 우편송달하였음에도 인터넷을 통해 수집한 인적정보의 판매를 시도

- (FTC의 조치) FTC는 인적자료를 제3자에게 공유하지 않는다고 고객에게 잘못 전달함으로써 FTC법 제5조를 위반하였다며 회사를 상대로 법집행

- (토이스마트) 토이스마트는 독립자산으로써 고객 리스트를 판매하는 것이 금지됨. 다만 합의안은 토이스마트가 인적자료를 포함한 고객정보를 오직 ①전체 웹사이트에 포함된 패키지의 한 부분으로, ② 관련시장에 있는 기업에, 그리고 ③인적자료에 대해 토이스마트의 이익계승자임 동의하는 표현을 하는 기업에게만 판매하는 것을 허용

- (결론) 일련의 FTC의 법집행은 FTC가 온라인 개인정보보호정책 상 보장되는 자료보안에 대한 법집행을 강조하기 시작했다는 것을 의미함

2) FTC vs Eli lily

- (배경) Eli lily는 항우울증 치료제인 Prozac을 포함한 의약품 제조회사임. Prozac 마케팅을 통해, Lilly는 Prozac 웹사이트를 운영하였고, 이를 통해 사이트를 방문하는 방문자의 다양한 인적 정보를 수집하였음. Eli Lilly는 ‘의약메신저’라는 서비스를 제공하였고 이를 통해 등록된 사용자에게 맞춤형 이메일을 제공하였음

- (FTC의 조치) FTC는 ‘의약메신저’ 서비스에 대한 개인정보보호정책에 대한 표현이 잘못되었거나 거짓이라고 주장하면서 행동을 취함

- (Eli Lilly) Eli Lilly는 결국 FTC와 합의하였고, 향후 유사한 행동에 관여되는 것을 막기 위한 목적으로 동의명령을 포함하는 조항에 사인함

- (결론) 동의명령은 Eli Lilly가 제공하는 광고, 마케팅, 판매와 관련된 소비자의 인적 정보의 수집에 광범위하게 적용되었음

3) FTC vs Guess?

- (배경) 게스는 1998년부터 웹사이트를 통해 옷과 악세서리를 판매함. FTC는 비록 사이트가 웹기반의 어플리케이션 공격에 취약함에도 불구하고 게스의 온라인 성명은 소비자에게 그들의 정보가 보호될 것이라는 것을 보장하고 있다고 주장함. 그때, 게스의 웹사이트는 공격을 당했음

- (FTC) FTC는 회사가 고객의 인적 정보를 보호하기 위한 합리적이거나 적절한 조치를 취하는데 실패하였고, 이로 인해 고객의 정보가 일반적으로 잘알려진 공격에 의해 노출되었다고 주장함

- (게스) 게스는 정보가 보호될 것이라고 보장하였음. 그러나 보장에도 불구하고, 게스는 고객의 정보와 접속 비밀번호를 보호하지 못했음

- (결론) 게스에 의해 수행된 보안조치는 SQL공격과 다른 잘 알려진 공격으로부터 보호하는 것을 실패하였음

4) FTC vs Gateway Learning Corporation

- (배경) 게이트웨이의 개인보호정책은 고객의 명시적인 동의를 받지 않는 이상 고객과 관련된 정보를 제3자에게 판매하거나 빌려주지 않는다고 기술됨

- (FTC) FTC는 회사가 실제로는 그렇게 하지 않으면서 고객의 정보를 명시적인 동의가 있는 경우에만 공유한다고 속이고 있다고 주장함

- (Gateway) 게이트웨이는 웹사이트에서 수집된 고객정보를 팔기로 결정하면서 개인정보보호정책을 다음과 같이 수정함: 가끔 게이트웨이는 고객의 인적 정보를 고객이 흥미를 가질만한 제품 또는 서비스를 제공하는 평판이 좋은 회사에 제공합니다.

- (결론) ①고객의 동의가 없는한 정보를 판매, 대여하지 않는다는 게이트웨이의 주장은 거짓이었음. ②게이트웨이가 변경된 개인정보보호정책을 이전에 고객으로부터 수집한 정보에 소급 적용하는 것은 불공정한 행동임. ③게이트웨이가 고객에게 바뀐 개인정보보호정책을 알리지 않은 것은 최초 정책의 약속에서 볼 때 기만하는 행동임

6. 프라이버시 이슈 선택(Select Privacy Issues)

(1) 행태맞춤형광고(Behavioral Advertising)

- 고객들은 온라인상의 추적과 어떻게 그들의 인적 정보(특히 민감한 정보)가 온라인상에서 수집되고, 사용되고, 분배되는지에 대한 우려를 표현해 왔음

- 온라인 행태맞춤형광고를 위한 4가지 자기규제 원칙

①행태맞춤형광고를 위해 자료를 수집하는 웹사이트는 그것에 대한 즉각적이고 소비자친화적인 알림을 제공해야 하고 그러한 목적으로 정보가 수집할 것인지 선택할 수 있는 방법을 제공해야 함

②행태맞춤형광고의 목적으로 자료를 수집하는 사업은 그 자료에 대한 합리적인 보안을 제공해야 한다. 그러한 보호는 자료의 민감도, 회사사업수행의 성격, 회사가 마주한 위험의 종류, 그리고 합리적으로 가능한 보호에 기반을 두어야 함

③회사는 회사가 고객 정보를 어떻게 다루고 보호할 것인지에 대해 그리고 이전에 약속한 것과 다른 방법으로 자료를 수집하려고 하는 경우에는 사전에 고객의 동의를 받는 다는 것을 약속하고 지켜야 함

④회사는 행태맞춤형광고를 제공하기 이전에 고객으로부터 명시적인 동의를 받은 후에만 행태맞춤형광고를 위한 민감자료를 수집해야 함

(2) 직장 내의 프라이버시(Privacy at Work)

- 회사가 소유하고 보유하고 있는 이메일 및 컴퓨터시스템에 대한 피고용자의 부적절한 사용은 프라이버시 이슈 및 소송에 있어 지속적으로 논란거리를 제공함

<Stegart v. Loving Care Agency(2010)>

(3) 위성항공사진과 프라이버시

- 위성 또는 기타 기술을 사용하여 해당 지역에 있는 사람들에게 알리지도 않고 동의도 없이 항공이미지를 가질 수 있음(google earth, google street view)

<Boring v. Google, Inc.>