청구인 정○하·정○권(2003헌마282): 해당 초등학교가 NEIS를 시행하지 않아 정보 보유 공권력 행사 자체 불존재 여부; 다른 학생 정보 보유를 다투는 경우 자기관련성 결여 여부
청구인 문○준(2003헌마282): 피청구인들의 NEIS 정보 보유 행위가 공권력 행사에 해당하는지; 보충성 원칙 준수 여부
2003헌마425 사건 청구인들: 2003. 6. 1.자 시행지침이 공권력 행사에 해당하는지; 학교장 집행행위 매개로 인한 기본권 침해 직접성 결여 여부; 일반 국민 청구인들의 자기관련성 결여 여부
본안 판단
피청구인들이 청구인 문○준의 성명·생년월일·졸업일자를 NEIS에 보유하는 행위가 개인정보자기결정권을 침해하는지 여부
법률유보원칙 위반 여부 (공공기관의개인정보보호에관한법률 제5조의 일반적 수권조항으로 충분한지)
비례성원칙 위반 여부 (보유목적 달성 적합성·필요 최소성·법익균형성)
2) 사실관계
사건개요
교육인적자원부장관은 2000. 9.부터 2002. 10.까지 NEIS(National Education Information System)를 전국적으로 구축하고, 2003학년도 1학기부터 운영함. NEIS는 시·도교육청에 통합데이터베이스를 구축하고 전국 1만여 개 초·중등학교와 16개 시·도교육청 및 교육인적자원부를 인터넷망으로 연결하는 종합교육정보시스템임
청구인 정○하는 ○○초등학교 1학년 재학생, 청구인 정○권은 정○하의 부(父), 청구인 문○준은 1990. 2. 13. ○○고등학교를 졸업한 자임
청구인 정○하의 재학 학교는 NEIS를 시행하지 않고 기존 C/S 방식을 운용 중이었으며, 피청구인들은 NEIS에 문○준의 성명·생년월일·졸업일자 정보를 보유하고 있었음
교육인적자원부장관은 2003. 5. 26. 교무·학사, 보건, 입·진학 영역 개인정보 수집·관리를 재검토하기로 발표하였다가, 같은 해 6. 1. '고2 이하에 대하여는 정보화위원회 최종방침이 정해질 때까지 한시적으로 교무·학사, 입(진)학, 보건 3개 영역에 대하여 수기로 하되 불가피한 경우 S/A, C/S, NEIS 등 가능한 방법을 선택 사용'하도록 하는 시행지침을 발표함
당사자 주장
청구인들
피청구인들이 초·중등교육법 제25조, 학교보건법 제7조에 근거를 주장하나, 해당 규정은 각 학교의 장이 작성·관리하도록 한 것으로 오히려 피청구인들의 행위를 금지하는 규정임
고도의 사생활 정보인 건강기록·학생생활기록 등 광범위한 정보를 수집·보유하고, 시·도교육청 집중 서버 관리로 해킹 시 정보유출 위험이 크므로 최소침해성 위반
2003. 6. 1.자 시행지침으로 학교장 재량에 따라 시·도교육감 및 교육인적자원부장관이 정○하·정○권의 개인정보를 수집·관리할 수 있게 됨
별지 청구인명단 소재 청구인들은 5. 26. 발표에 대한 신뢰가 6. 1.자 지침으로 침해되었다고 주장
피청구인들
교육인적자원부장관은 NEIS 기반 구축자에 불과하고, 시·도교육감은 기술적 관리자에 불과하며, 학생정보는 각급 학교 교육공무원이 수집·입력하므로 피청구인들의 공권력 행사 자체가 부존재함
정○하 재학 학교는 NEIS 미시행으로 정○하·정○권의 정보가 NEIS에 보유되지 않음
헌법소원 청구 전 행정소송 등 구제절차를 거치지 않아 보충성 위반
개인정보법 제5조 및 관련 법률에 법률적 근거 있음; 2005. 3. 법률 개정으로 근거 명확화
1.자 시행지침은 각급 학교 대상 내부지침에 불과하여 공권력 행사 아님; 학교장의 집행행위가 매개되므로 직접성 결여
침해 원인이 되는 공권력 행사/불행사
2003헌마282: 교육인적자원부장관 및 서울특별시 교육감이 청구인들의 개인정보를 NEIS에 보유하는 행위
2003헌마425: 교육인적자원부장관의 2003. 6. 1.자 시행지침 중 해당 부분
3) 적용법령 및 결정요지
적용법령
조문
요지
헌법 제10조 제1문
인간의 존엄과 가치, 행복추구권 — 일반적 인격권 근거
헌법 제17조
사생활의 비밀과 자유
헌법 제37조 제2항
기본권 제한의 한계 — 법률로써, 필요한 경우에 한함
헌법재판소법 제68조 제1항
헌법소원 청구요건 — 공권력 행사로 인한 기본권 침해를 받은 사람 청구
공공기관의개인정보보호에관한법률 제5조
공공기관은 소관업무 수행에 필요한 범위 안에서 개인정보화일 보유 가능
공공기관의개인정보보호에관한법률 제9조·제10조·제11조
안전성 확보조치 의무; 목적 외 이용·제공 원칙 금지; 정보누설·부정사용 금지
교육행정정보시스템운영규정(교육인적자원부 훈령 제633호)
시스템 목적 외 사용금지, 시설보안, 공인인증시스템(PKI) 인원보안 등
개인정보자기결정권
자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 이용되도록 할 것인지 정보주체 스스로 결정할 수 있는 권리 — 헌법 제10조 제1문(일반적 인격권) 및 제17조(사생활의 비밀과 자유) 근거
결정요지
(가) 개인정보자기결정권 일반론
개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리로서, 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말함. 보호대상 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등 인격주체성을 특징짓는 사항으로 동일성을 식별할 수 있게 하는 일체의 정보이며, 반드시 내밀한 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함함. 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당함.
(나) 법률유보원칙
정보화사회의 급속한 진전으로 개인정보 보호 필요성이 증대하므로, 국가권력에 의하여 개인정보자기결정권을 제한함에 있어서는 수집·보관·이용 등의 주체, 목적, 대상, 범위 등을 법률에 구체적으로 규정하는 것이 바람직함. 그러나 개인정보의 종류와 성격, 정보처리 방식과 내용 등에 따라 수권법률의 명확성 요구 정도는 달라지며, 일반적으로 개인의 인격에 밀접히 연관된 민감한 정보일수록 규범명확성의 요청은 더 강해짐.
(다) 비례성원칙
개인정보의 종류 및 성격, 수집목적, 이용형태, 정보처리방식 등에 따라 개인정보자기결정권 제한이 인격권 또는 사생활의 자유에 미치는 영향이나 침해 정도는 달라짐. 종교적 신조, 육체적·정신적 결함, 성생활에 대한 정보와 같이 인간의 존엄성이나 인격의 내적 핵심, 내밀한 사적 영역에 근접하는 민감한 개인정보들에 대하여는 그 제한의 허용성이 엄격히 검증되어야 함. 반면 성명, 직명(職名)과 같이 공동체에서 식별·전달이 필요한 기초정보들은 사회생활 영역에서 노출이 자연스러운 정보로서, 다른 위험스런 정보에 접근하기 위한 식별자(識別子) 역할을 하거나 다른 개인정보들과 결합하여 개인의 인격상을 추출하는 데 사용되지 않는 한 언제나 엄격한 보호의 대상이 된다고 하기 어려움.
자동화된 전산시스템으로 정보를 보유·관리하는 경우 정보에의 무단 접근, 정보결합, 정보전달, 공조에 의한 정보공유 등이 시공(時空)의 제한 없이 매우 손쉽게 일어날 위험성이 크므로, 처리되는 정보의 범위는 가급적 최소한으로 축소되어야 하고 보유기관은 개인정보 보호를 위한 일정한 조치를 취할 의무가 있음.
4) 적용 및 결론
가. 적법요건 판단
① 청구인 정○하·정○권의 심판청구(2003헌마282)
법리: 헌법소원은 공권력 행사로 인한 기본권의 침해가 있을 때 그 침해를 받은 사람이 청구 가능함(헌법재판소법 제68조 제1항). 자기관련성도 요건임.
포섭: 청구인 정○하가 재학 중인 ○○초등학교는 NEIS를 시행하지 않고 기존 C/S 방식을 운용하여 청구인 정○하·정○권의 정보가 NEIS에 전혀 보유되지 않음. 따라서 다투는 공권력 행사 자체가 존재하지 않음. 다른 학생 정보 보유를 다투는 것이라면 기본권 침해의 자기관련성 결여.
결론: 부적법 — 각하
② 청구인 문○준의 심판청구(2003헌마282) — 적법요건
법리: 헌법소원의 공권력 행사 존재 및 보충성 원칙.
포섭: 교육인적자원부장관은 NEIS 시스템의 총괄센터 장으로서 설치·운영 주체이고 최종적 권한부여자이며, 서울특별시 교육감은 지역센터 장으로서 해당 데이터베이스가 설치된 NEIS 설치·운영 주체이자 제증명 발급 담당자임. PKI에 의해 접근이 일부 차단된다 하더라도 피청구인들이 직·간접적으로 위 청구인의 개인정보를 보유하고 있다고 봄. NEIS 서버에 정보를 보유하는 행위에 대한 별도 권리구제절차가 없고, 공공기관의 전산시스템 정보 보유 행위가 행정소송 대상인지 불확실하여 기대가능성이 없으므로 보충성 예외 인정.
결론: 적법
③ 2003헌마425 사건 청구인들의 심판청구
법리: 헌법소원은 공권력 행사로 인하여 직접 기본권의 침해를 받은 사람이 청구 가능함.
포섭: 6. 1.자 시행지침은 학교실정에 따른 선택과 재량을 전면 인정하고 구속적·규제적 기준을 강요하지 않으므로 공권력 행사에 해당하기 어려움. 설사 공권력 행사에 해당하더라도 NEIS 시행 위험은 학교장이 선택권을 행사하여 NEIS를 시행하였을 때 비로소 발생하므로 기본권 침해 직접성 인정 불가. 일반 국민 청구인들은 지침 내용과 개인적 관련 없어 자기관련성도 결여.
결론: 부적법 — 각하
나. 본안 판단 — 문○준의 개인정보자기결정권 침해 여부
(가) 제한되는 기본권
개인정보자기결정권 — 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 이용되도록 할 것인지 정보주체 스스로 결정할 수 있는 권리. 헌법 제10조 제1문(일반적 인격권) 및 제17조(사생활의 비밀과 자유) 근거.
(나) 법률유보원칙 위반 여부
법리: 민감한 정보일수록 수권법률의 규범명확성 요청이 강해지나, 정보의 종류·성격·처리 방식에 따라 명확성 요구 정도는 달라짐.
포섭: 성명·생년월일은 최소한의 개인식별정보로서 모든 행정업무 처리에 불가결한 기초정보이고, 졸업일자는 개인에 관한 의미 있는 정보이나 개인의 인격에 밀접히 연관된 민감한 정보라 보기 어려움. 졸업증명서 발급은 그 성질상 민원업무로서 모든 공공기관에서 처리하여야 하는 보편적 기본업무임. 보유정보의 성격·양(量), 정보보유 목적의 비침해성을 종합하면 수권법률의 명확성이 특별히 강하게 요구된다고 할 수 없으므로, 개인정보법 제5조의 일반적 수권조항에 근거하더라도 법률유보원칙에 위배된다고 단정하기 어려움.
결론: 법률유보원칙 위반 아님
(다) 비례성원칙 위반 여부 — 목적 달성 적합성·필요 최소성 판단
법리: 자동화된 전산시스템 보유·관리의 경우 위험성이 크므로 처리 범위 최소화 및 보호조치 의무. 성명·직명 등 기초정보는 식별자 역할이나 다른 정보와 결합하여 인격상 추출에 사용되지 않는 한 엄격한 보호 대상이 아님.
포섭(적합성·필요 최소성): NEIS를 통한 졸업증명서 전산 발급의 목적은 교육 관련 업무 전산처리를 통한 국민편익 증진, 행정 효율성·투명성 제고로 정당함. 성명과 생년월일은 개인식별정보의 최소한이고, 졸업일자는 졸업관련 사항의 최소한으로서 목적 달성에 필요한 최소한의 정보만 보유하고 있음. 개인정보법 제9조·제10조·제11조, 교육행정정보시스템운영규정(목적 외 사용금지, 시설보안, PKI 인원보안 등) 등 개인정보 보호체계가 갖추어져 있음. 실제 NEIS 운영이 위 법령상 보호체계에 어긋난다든지 심각한 정보노출 위험이 있다거나 피청구인들이 보유목적을 벗어나 무단 사용하였다는 자료 없음.
결론: 비례성원칙 위반 아님 → 개인정보자기결정권 침해 아님
최종 결론 (주문)
피청구인들이 청구인 문○준의 성명·생년월일·졸업일자를 NEIS에 보유하는 행위에 대한 위 청구인의 심판청구는 이유 없으므로 기각
성명·생년월일·졸업일자 세 가지 정보는 위 청구인이 고등학교를 졸업하였는지, 언제, 어느 학교를 다녔는지에 관한 학력정보를 함께 드러냄. 학력이 중시되는 우리 사회에서 학력정보는 정보주체의 인격상 추출에 대단히 중요한 역할을 하고 사회적·경제적 판단의 주요 지표가 되므로, 자신의 동의 없이 타인에게 알리고 싶지 않은 민감한 정보가 될 수 있음. 보호필요성을 낮게 평가해서는 안 됨.
② 통합 전산시스템 방식의 위험성과 법률유보 요건
NEIS와 같이 통합 데이터베이스를 구축하고 상호 연계하는 고도로 집중화된 전자적 정보처리시스템은 개인정보자기결정권 제약 정도가 대단히 큰 방식임. 이러한 방식이 정당화되려면 처리되는 정보의 범위 최소화뿐만 아니라, 처리목적이 수집단계에서 명확히 특정되어 있어야 하고 특정목적에 따라서만 저장·이용·전달되어야 함.
개인정보법 제5조는 "소관업무를 수행하기 위하여 필요한 범위 안에서 보유할 수 있다"고만 규정하여, 졸업증명서 발급이라는 구체적 목적은 물론 NEIS 전체적 목적조차 알아낼 수 없음. 교육정보라는 특별하고도 중요한 영역의 개인정보를 규율할 수 있는 수권이 이러한 일반조항에서 나올 수 있는지 의문이며, 법률유보원칙 위배 가능성 있음. 2005. 3. 개정 초·중등교육법은 재학생 정보에 대한 근거만 마련하였을 뿐 졸업증명서 발급 목적의 보유근거를 곧바로 제공하지 못함.
③ 보유목적의 정당성 및 보유수단의 필요성 결여
졸업증명서 발급은 성질상 해당 학교별로 처리하면 충분하고, 시·도교육감·교육인적자원부 차원에서 전산시스템에 집적·관리할 필요성 의문. 시스템 개발·유지 비용, 행정부담, 기본권 침해 위험을 감수하면서 추구하여야 할 우월한 공익이 존재하는지 불분명함.
④ 개인정보 보호법제 미흡 지적
개인정보법 제10조의 예외적 허용범위가 지나치게 포괄적·불명확, 정보주체의 열람·정정청구권 범위 제한적, 개인정보보호위원회의 독립성 미흡 등 보호체계 자체에 미흡한 점이 적지 않음. 이러한 상황에서 신중한 검토 없이 NEIS를 도입·운영하면 정보주권 침해 예방·교정이 불가능함.
수기가 아닌 컴퓨터파일 형태, 분산보유가 아닌 통합체계일수록 더 강화된 보호가 필요하며, 그 자체로는 보호필요성이 크지 않은 산발적 정보라도 자동검색체계를 통해 다른 정보와 유기적으로 결합하면 개인의 인격상이 국가권력의 감시·통제 아래 놓일 수 있음.
결론: 피청구인들의 NEIS 보유 행위는 청구인 문○준의 개인정보자기결정권을 침해하므로 심판청구를 인용하여야 함.
