대법원 2025. 7. 3. 선고 2023도5226 개인정보보호법위반
1. 판결의 요지
피고인 1은 휴대전화기기 판매업무를 하는 사람, 피고인 2, 3은 경찰공무원으로, 피고인 1은 A에게 휴대전화를 판매하면서 A가 무상으로 교부하여 준 A의 구형 휴대전화 단말기를 보관하던 중 피고인 2의 요구로 A의 휴대전화기를 교부하였습니다. 이에 피고인 1은 개인정보를 처리하거나 처리하였던 자로서 개인정보를 누설하거나 유출하였고, 피고인 2, 3은 그 사정을 알면서도 부정한 목적으로 영리 또는 부정한 목적으로 개인정보를 제공받았다는 개인정보 보호법 위반으로 기소되었습니다.
원심은, 공소사실 기재 휴대전화 단말기의 교부 경위 등을 고려하면, 검사가 제출한 증거만으로는 피고인 1이 A에게 휴대전화 기기를 판매할 때 A의 구형 휴대전화 단말기에 저장되어 있는 공소사실 기재 각 개인정보를 업무와 관련하여 보유하거나 취득하였다는 사실을 인정하기에 부족하다고 보아, 공소사실을 무죄로 판단하였습니다.
대법원은 아래와 같은 법리를 설시하면서, 피고인 1이 휴대전화 기기에 저장된 각 개인정보를 ‘업무상’ 보유하거나 취득한 것이 아니라는 전제에서 공소사실을 무죄로 판단한 원심을 수긍하여 상고를 기각하였습니다.
2. 적용법리
가. 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것) 제59조의 ‘개인정보를 처리하거나 처리하였던 자’는 단순히 개인정보를 처리하거나 처리하였던 모든 자를 의미하는 것이 아니라 ‘업무상’ 개인정보를 처리하거나 처리하였던 자를 말하는지 여부(적극), 나. 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것) 제59조 제2호의 ‘업무상 알게 된 개인정보’의 의미 및 ‘업무’에 개인정보의 수집ㆍ처리 외의 일반적인 업무를 주된 내용으로 하면서 그 업무와 밀접한 관련이 있는 부수적 업무로서 개인정보의 수집ㆍ처리가 이루어지는 경우도 포함하는지 여부(적극), 다. 업무상 개인정보를 처리하였다는 것은 업무처리나 업무수행과 개인정보 처리 사이에 직접적이고 밀접한 인과관계가 있다는 의미인지 여부(적극), 라. 업무상 개인정보를 처리하였다는 사실은 검사가 증명해야 하는지 여부(적극)
가. 구 「개인정보 보호법」
(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 ‘구 개인정보 보호법’이라 한다)은 제59조에서 ‘개인정보를 처리하거나 처리하였던 자는 다음 각호의 어느 하나에 해당하는 행위를 하여서는 아니 된다’고 규정하면서 각호에서 금지행위를 열거하고, 각호에서 금지하는 행위를 한 자를 처벌하는 규정을 두고 있다(제71조 제5호, 제6호, 제72조 제2호). 구 개인정보 보호법 제59조의 의무주체인 ‘개인정보를 처리하거나 처리하였던 자’는 단순히 개인정보를 처리하거나 처리하였던 모든 자를 의미하는 것이 아니라 ‘업무상’ 개인정보를 처리하거나 처리하였던 자를 말한다. 그 이유는 다음과 같다.
1)
구 개인정보 보호법 제59조 제1호는 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위’를, 제2호는 ‘업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위’를, 제3호는 ‘정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출하는 행위’를 금지하고 있다. 비록 위 제1, 3호는 업무 처리와 관련된 개인정보임을 명시하고 있지 않지만, 아래에서 보는 위반행위의 주체, 금지의무의 대상, 처벌규정의 체계 등에 비추어 보면, 이러한 금지행위의 유형은 업무와 관련하여 또는 업무 수행 과정에서 개인정보 처리가 수반되면서 일어나는 다양한 형태의 침해행위를 몇 가지 유형으로 분류하여 규정하고 있는 것으로 봄이 타당하다.
2)
구 개인정보 보호법 제71조 제5호, 제6호 및 제72조 제2호는 ‘개인정보를 처리하거나 처리하였던 자’의 제59조 위반행위 즉, 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위, 개인정보를 누설하거나, 권한 없이 다른 사람이 이용하도록 제공, 유출하는 행위 등을 처벌하는 반면, ‘개인정보를 처리하거나 처리하였던 자’가 아닌 경우에는 위와 같은 행위를 처벌하지 않는다. 나아가 구 개인정보 보호법 제71조는 정보주체의 동의 등이 없이 개인정보가 제공되는 경우에는, ‘개인정보처리자’에 의한 행위(제1호, 제2호)와 ‘개인정보를 처리하거나 처리하였던 자’에 의한 행위(제5호, 제6호)를 구별하지 않고 동일한 법정형으로 처벌한다. 이러한 처벌규정의 내용과 체계에 비추어 보면, ‘개인정보를 처리하거나 처리하였던 자’는 일반 개인과는 구별되고, ‘개인정보처리자’와 동일한 정도로 정보주체의 개인정보자기결정권을 보호할 책무가 있는 자라고 보아야 한다.
3)
만약, 구 개인정보 보호법 제59조의 수범자에 관하여 ‘업무상’ 개인정보를 처리하거나 처리하였을 것의 요건이 필요하지 않다고 본다면, 개인들이 일상생활 전반에 걸쳐 업무와 무관하게 개인정보를 수집․이용․파기 등으로 처리하는 경우에도, 구 개인정보 보호법 제59조의 금지의무가 부과되고, 이를 위반하는 경우 형사처벌 대상이 되는 결과가 되어 불합리하다.
나. 구 개인정보 보호법 제59조 각호의 금지행위의 객체가 되는 개인정보는 ‘개인정보를 처리하거나 처리하였던 자’가 ‘업무상’ 같은 법 제2조 제2호에서 규정한 바와 같이 처리하거나 처리하였던 개인정보이다. 여기서 구 개인정보 보호법 제59조의 ‘개인정보를 처리하거나 처리하였던 자’의 ‘업무’는 정보주체들의 개인정보를 수집하여 처리하는 것을 주된 내용으로 하는 업무에 한정되지 않고, 개인정보의 수집․처리 외의 일반적인 업무를 주된 내용으로 하면서 그 업무와 밀접한 관련이 있는 부수적 업무로서 개인정보의 수집․처리가 이루어지는 경우도 포함한다. 그 이유는 다음과 같다.
1)
구 개인정보 보호법 제59조 제2호는 ‘개인정보를 처리하거나 처리하였던 자’에 대하여 ‘업무상 알게 된 개인정보’의 누설, 제공 행위를 금지하고 있을 뿐 그 업무의 내용을 한정하는 규정을 두고 있지 않고, 제1호나 제3호의 규정에 의하더라도 달리 업무의 내용을 한정할 근거는 없다.
2)
‘개인정보처리자’는 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등으로(구 개인정보 보호법 제2조 제5호) 업무의 주된 내용이 개인정보의 처리에 한정되지 않는다. 앞서 본 구 개인정보 보호법 제59조의 입법 목적, 취지를 고려하여 보면, ‘개인정보를 처리하거나 처리하였던 자’도 마찬가지로 일반적 업무를 주된 내용으로 하면서 부수적으로 개인정보를 수집․처리하더라도 그로 인하여 알게 된 개인정보의 누설 행위, 개인정보의 유출 행위 등을 금지하는 것으로 보는 것이 타당하다.
3)
해당 개인정보를 ‘업무상’ 처리하여야 누설, 제공, 유출 등의 행위가 금지되므로, 업무와 무관하게 사적 영역에서 개인정보를 처리하고 그 과정에서 알게 된 개인정보를 누설 또는 제공하거나 수집․보유한 개인정보를 유출하는 행위 등은 처벌되지 않는다. 이와 같이 업무와 무관한 사적 영역을 제외하면, ‘개인정보 처리를 주된 업무로 하는 과정에서 처리하는 개인정보’와 ‘업무 과정에서 부수적으로 또는 업무에 수반하여 처리하는 개인정보’의 보호 필요성을 달리 볼 필요도 없다.
다. 한편 위와 같이 사적 영역에서 처리하는 개인정보에 대한 누설, 제공, 유출 행위 등은 형사처벌의 대상으로 삼을 수 없고, 형벌법규는 엄격하게 해석되어야 하므로, 업무상 개인정보를 처리하였다는 것은 업무처리나 업무수행과 개인정보 처리 사이에 직접적이고 밀접한 인과관계가 있다는 의미로 새겨야 한다. 그리고 업무상 개인정보를 처리하였다는 사실은 범죄구성요건이므로 검사가 증명하여야 한다.
정회목 변호사
댓글 없음:
댓글 쓰기