부류별 방법과 거부조건에 의한 필기체 숫자의 인식 ( Handwritten Numeral Recognition by Per - Class Approach and Veto Conditions )

오일석 대한전자공학회 1994 대한전자공학회 워크샵 Vol.1994 No.-

소프트웨어의 진화 2 - IBM의 '공짜소프트 포기'와 패키지 판매의 등장

오일석 열린전북 2010 열린전북 Vol.2010 No.9

소프트웨어의 진화4 - 소프트웨어계의 영웅들이 나타나다

오일석 열린전북 2010 열린전북 Vol.2010 No.10

개인정보 보호의무 위반에 따른 배상 가능한 “손해”에 대한 고찰

오일석 梨花女子大學校 法學硏究所 2015 法學論集 Vol.19 No.3

Under the negligence tort cases, a plaintiff shall prove the duty, a breach of duty, damages and causations. When personal information was negligently lost, stolen, hacked or disposed, a plaintiff shall demonstrate these elements to recover the damages against companies or organizations which collect, retain, maintain and control personal information. The Supreme Court of Korea in the big issued personal information breaching case, called “Auction Case”, decided that the internet service provider(ISP), Auction, had not breached the duty to protect personal information which it had collected and stored but been hacked and leaked. It is because the company has followed and complied the regulations and guidelines described by governmental authorities. However, the regulations and guidelines were minium standards that ISPs shall comply. The company, Auction, had not set up the firewall and made an encryption on the personal information under its control. Therefore, I think Auction has breached its duty to guard personal information. However, many district courts have decided and resolved, in the damage claim cases related to breach of personal information, a monetary compensation on pain and sufferings or emotional distress of people based on the fact that their personal information under ISPs or personal information holders's control be discharged. The courts have said that it should be commonly acknowledged with practical social experience when a person's personal information is discharged. It would cause sufferings or emotional distresses to the person. Therefore, courts have concluded that ISPs or personal information holders shall have to make monetary compensations on the pain and sufferings or emotional distresses. However, pain and sufferings or emotional distresses are unclear, imprecise and vague. Consequently, they shall be enormously expended. A scholar said a person's pain and sufferings or emotional distresses arising from tort cases shall not be compensated with one year's of total national budgets. I have really wondered what the damages are the victims whose personal information was discharged really suffered. They have just worried or been in pain with anxieties that there personal information might be abused by unlawful behaviors or criminal conducts. This kind of worries or anxieties shall not be the damages which shall be recovered since there were no actual or immediate damages. These pains and sufferings or emotional distresses shall be the compensated damage when they caused and linked to physical harm of the person whose personal information was discharged. These pains and sufferings or emotional distresses such as anxiety and worry are likely to be potential harms in the near future which are very similar to the future harms when a person is exposed to destructive gases, acids or radioactive materials. These kinds of future harms shall be compensated since they shall be made assured. However, the victim who suffered from discharged personal information has not indeed been exposed his body under harmful materials or situations. Hence, the pains and sufferings or emotional distresses that personal information victim suffered shall not be compensated as a recoverable future harm damage. Moreover, the pains and sufferings or emotional distresses shall be considered as an economic loss which can not be compensated because they are consequential losses. When a tortfeasor or a contract breaching party has foreseen or should have foreseen the secondary harmful commits such as Phishing and Pharming that it could be compensated. However, it is almost impossible for the victim to prove a foreseeability and a causation. To protect secondary harmful incidents and to maintain a secured credit, the victim shall have a mind to expense a necessary cost to monitor the risk of degrading from the incidents which may be developed by discharged personal information. In some parts, credit monitoring costs would be regarded as consequential losses. Yet, credit monitoring damages of the victim would be similar to the damage which is compensated to the victim of toxic exposure to monitor his/her health and to be provided with secured medical care. Furthermore, credit monitoring damages can be calculated as the out of pocket expenses in order to restore his/her credit regarding their personal time consuming on that task. Although credit monitoring damages are not directly arising from personal information discharged, it shall be the compensated damage with a high degree of certainty. In conclusion, pains and sufferings or emotional distresses resulting from breaching protection of personal information shall not be compensated damages under tort or contract claims because they are too speculative, unclear, imprecise and there were no actual or immediate damage. Expecting for ISPs and personal information holders to make proper activities to protect personal information Korean governmental authorities shall look for another way. They shall conceive that the personal information protection should be the one of the consumer protection activities. Then the Korean Fair Trade Commission would bolster 개인정보는 정보주체의 인격권인 동시에 재산적 이익도 부수적으로 보호되는 특수한 인격권이라고 할 수 있다. 인격권의 일종인 개인정보가 침해되었다고 하여 바로 정신적 손해가 발생하였다고 보기 어렵다. 왜냐하면 정신적 손해는 무정형하고 객관화하기 곤란하여 끝없이 확대될 수 있기 때문이다. 그러므로 개인정보 침해로 인한 정신적 손해에 대한 진정성, 신뢰성을 담보하고 사소한 피해에 대한 책임의 무한한 확대를 제한할 수 있는 법리가 필요하다. 이와 관련하여 신체적 손해와 결부되어 발생한 정신적 손해에 대한 배상을 원칙적으로 인정하고 있지 않은 미국 법원의 판례에 주목할 필요가 있다. 개인정보의 침해로 인하여 불안감, 우려 또는 근심 등과 같은 단순한 정신적 피해 또는 고통의 결과, 정신과 치료를 받거나, 정신질환 등으로 치료를 받거나, 근육통증, 손떨림 등과 같은 신체적 증상으로 이어지는 경우, 배상가능한 손해로 인정하여야 할 것이다. 한편 개인정보 유출 또는 침해로 인한 2차적 피해에의 노출 가능성에 대한 정신적 고통은 장래 손해로서, 피해자가 이러한 위험에 노출되어 장래의 손해 발생의 개연성이 매우 큰 경우 배상될 수도 있다. 그러나 배상가능 한 장래손해에 대한 정신적 고통은, 원래 방사능, 오염물질, 특정 병원체나 질병에 노출되어 질병 발생 가능성에 대한 정신적 고통에서 비롯되었다. 즉 신체가 위험에 직접 노출된 상황 하에 있었으며 그로 인한 심각한 신체적 결과의 발생이 진행 중에 있거나, 장래의 일정한 시점에 결과가 발생할 수 있는 개연성이 상당한 경우 정신적 고통에 대한 배상이다. 그러나 개인정보 유출의 경우 신체의 일부가 위험원에 노출된 것이 아니므로 신체에 대한 침해 또는 그 가능성은 거의 없다. 또한 개인정보 침해로 인한 장래의 손해발생이나 피해 위험의 증가는 실제 또는 급박하다고 할 수 없다. 즉, 기업이 보관 또는 관리하고 있는 개인정보가 유출된 경우 원고의 신분도용의 위험성 증가, 신용카드 분실신고 및 철회, 예금계좌 폐쇄 등은 현재의 손해가 아니라 미래의 기대 손해로서 배상가능한 손해라고 하기 곤란하다. 이러한 손해는 추정 또는 가정적 손해로서 실제 또는 급박한 손해가 아니므로 손해배상에서 제외되어야 한다. 또한 개인정보 침해로 인한 정신적 손해는 물론 개인정보 침해로 인한 피싱, 파밍 등에 따른 2차적 손해는 개인정보처리자 등이 알았거나 알 수 있었던 특별한 손해로서 배상되는 것도 곤란하다. 개인정보 보호의무 위반으로 개인정보가 유출된 정보주체는 위험물질에 노출된 피해자와 마찬가지로 장래손해의 위험에 처해 있는바, 이러한 장래 손해의 진행 여부를 합리적이고 신중하게 감시하여 자신의 신용을 유지하는데 소요되는 비용을 신용관리비용이라 한다. 이와 같은 신용관리비용은 피해자의 일정한 시간과 금전이 투입되기 때문에 손해의 확실성을 가지고 있으므로, 완전히 추상적인 비용이라고 보기도 곤란하다. 신용관리비용은, 비록 손해의 현재성이나 신체적 손해와 결부되지 아니하였다 하더라도, 손해를 최소화하기 위하여 구체적으로 투입된 비용으로서 확정가능하다는 점에서 배상되어야 할 손해로 인정되어야 한다.

카피레프트의 도전

오일석 열린전북 2003 열린전북 Vol.2003 No.4

소프트웨어의 진화 4 : “빌 게이츠가 될 번한 사람” 킬달

오일석 열린전북 2010 열린전북 Vol.2010 No.11

전북 IT 포럼: 전라북도 IT산업 부흥을 위한 하나의 길

오일석 열린전북 2004 열린전북 Vol.2004 No.8

소프트웨어의 진화 1 - 소프트웨어의 시장이 열리다

오일석 열린전북 2010 열린전북 Vol.2010 No.8

위험분배의 관점에 기초한 정보통신기반보호법 개선 방안

오일석 梨花女子大學校 法學硏究所 2014 法學論集 Vol.19 No.1

사이버 위험은, 과학기술의 진보가 전혀 의도하지 않았던 현대적 위험 가운데 하나로서, 사이버 공간이 존재하는 한 존재하는 위험이다. 사이버 위험은 위험의 지배자에게 위험이 배분되어야 한다는 점에서 사이버 공간의 모든 이용자들에게 적절하게 분배되어야 한다. 그러나 사이버 위험은 위험의 결과를 즉시 알 수 없고, 원인규명을 명확하게 할 수 없는 경우가 많으며, 사이버 보안에 대한 무임승차의 동인 및 투자대비 효용에 대한 명백한 자료와 데이터가 부재함으로 인하여 민간 자율에 의해 분배되기에는 곤란한 측면이 있다. 따라서 국가가 개입하여 사이버 위험에 대한 위험분배를 결정하고, 적합한 보안 수준 등을 지정함으로써 국가 전체적인 사이버 보안 수준을 향상 시켜야 한다. 특히 민간 기업들이 전력, 통신, 도로, 항공 등 국가의 핵심시설의 운영과 관련되어 있는 경우, 국가는 보다 적극적으로 사이버 위험에 대한 위험분배에 개입할 수밖에 없다. 우리의 경우 정보통신기반보호법을 통해 국가의 핵심 기능에 대한 사이버 위험에 대한 위험분배를 하고 있다. 이 법은 주요정보통신기반시설에 대한 사이버 위험이 관리기관에게 우선적으로 분배되도록 하고 있다. 즉 관리기관으로 하여금 자신의 비용과 부담으로 취약성 분석 평가를 통하여 사이버 위험을 식별하고 이를 기반으로 보호대책을 수립하여 보고하도록 하고 있다. 다만, 관리기관의 장은 보호대책의 수립과 관련하여 일정한 경우 기술적 지원을 요청할 수 있으며, 국가는 관리기관에 대한 지원 대책을 수립할 수 있다. 그런데 정보통신기반보호법이 국가안보에 관한 법률이며 사이버 보안은 국민 생활의 안정을 위하여 국가가 담보하여야 하는 점 등을 고려할 때, 사이버 위험은 국가가 우선적으로 분배받고, 관련 비용도 부담하여야 한다. 따라서 선언적으로 규정되어 있는 이 법 제25조의 관리기관에 대한 국가의 지원의무를 관리기관에 대한 “재정”지원으로 개정하고, “국가는 관리기관이 주요정보통 신기반시설보호대책의 수립, 제11조에 따른 보호조치 이행권고의 이행, 침해사고 예방 및 복구 등을 수행함에 있어 재정적 지원이 필요하다고 인정하면 대통령령으로 정하는 바에 따라 그 관리기관에게 필요한 자금의 일부를 보조하거나 융자할 수 있다.”고 개정하여야 한다. 아울러 정보통신기반보호법 제25조의2를 신설하여 관리기관 공제조합 설립의 근거를 마련하고, 국가로 하여금 일정 금액을 출연하거나 지원 할 수 있는 근거 규정을 마련하여야 한다. 한편 관리기관은 정보통신기반보호법 제7조에 따라 기술적 지원을 요청할 수 있는 데, 개인정보를 포함하고 있는 정보통신기발시설에 대해서는 국가정보원의 기술적 지원을 사실상 받을 수 없게 되어 있다. 이는 국가 핵심기능에 대한 사이버 위험을 국가가 부담하여야 한하는 위험분배의 관점에 반한다. 따라서 정보통신기반보호법 제7조를 개정하여 국가정보원으로 하여금 관리기관에 대한 기술적 지원을 원만하게 수행하도록 하여야 한다. 다만 개인정보 보호의 강화를 위해 제7조의2를 신설하여 국가정보원으로 하여금, 개인정보 보호조치를 취할 의무를 부담하도록 하고, 개인정보 보호조치 및 기술적 지원에 대하여 국회의 통제를 받도록 하여야 한다. Risks shall be allocated to a person, an institute or an organization which would have a power to control them. Cyber risks including cyber attacks, cyber threats and cyber crimes shall not be assigned to a person, institute an institute or an organization because cyber space shall not be controled. Cyber security, responding and making measures standards and policies against cyber risks, shall be regarded as public good and under market failures. A person, an institute or an organization will not be willing to take actions against cyber risks. Therefore, cyber risks shall be allocated to a state. In Korea, to protect critical information infrastructures from cyber risks, “Critical Information Infrastructure Protection Act” has been enacted since 2002. According to the Act, cyber risks on critical information infrastructures shall be allocated to the Management Agencies, some of which are from public parts but others are form private sectors. However, cyber risks shall be distributed to a state, under the principle of the risk allocation. In considering the principle, the Act shall describe duties of a state in order to support the Management Agencies especially from the private parts. Article 25 of the Act depicts that a state shall support the Management Agencies by providing equipments, technical assistance and other supports to protect critical information infrastructures. This article shall not illustrate any detailed procedures and programs. Therefore, the Management Agencies shall not have any actions or claims against a state to enforce the duties. In this paper, I recommend amending the title of this article to “financial support to the Management Agencies” and insert clauses with which state shall provide “government subsidies” and “loans” directly to the Agencies. Furthermore, I recommend establishing Mutual Benefit Association of the Agencies to support each other. The Management Agencies have a right to require ‘technical assistance’ to authorities of a state, such as ‘Ministry of Science, ICT and Future Planning’, ‘National Intelligence Service(NIS)’ and other institutions, when they suffer from cyber risks and prepare to establish Responding Plan or taken ‘vulnerability analysis and assessment according to the article 7 of the Act. However, the NIS, the best expert technical authority on cyber security in Korean government, shall be excluded on technical assistance when a required Management Agency has a critical information infrastructure including personal information. It is because all of the Management Agencies’ critical information infrastructures contain personal information, NIS shall not aid ‘technical assistance’ even if it has a technical priority on this field. Therefore, I advocate to amend the article 7, allowing NIS to make technical assistance. Additionally, I recommend a new clause to the article 7-2 which mandates a duty for NIS to maintain and protect personal information comprised in the critical information infrastructures. Under the article 7-2, I recommend describing other clauses that National Assembly shall control the technical assistance activities made by NIS, to depend personal information.

소프트웨어의 진화 6 : 소프트웨어 독점의 상징이 된 마이크로소프트

오일석 열린전북 2011 열린전북 Vol.134 No.-