아파트 관리회사가 다른 아파트 입주민 정보를 무단 공유한 판결

유한회사 C의 대표이사 A는 D아파트의 관리소장으로부터 입주민 F의 개인정보가 담긴 입주자카드를 팩스로 전달받았습니다. A는 이 정보를 F의 동의 없이 C이 관리하는 다른 아파트인 G아파트의 관리소장에게 다시 팩스로 전달했습니다. 이 행위는 F가 G아파트에서 D아파트로 이사하면서 발생한 G아파트 동별 대표자 자격 논란을 확인하기 위한 목적이었습니다. 법원은 A의 행위를 개인정보보호법 위반으로 판단하고 벌금 50만 원을 선고했습니다.

관련 당사자

• 피고인 A: 유한회사 C의 대표이사로 D아파트와 G아파트의 관리 업무를 총괄했습니다.
• 유한회사 C: D아파트와 G아파트의 관리주체로서 아파트 관리 업무를 위탁받아 수행하는 회사입니다.
• D아파트 관리소장 E: C 소속으로 D아파트 관리 업무를 담당했습니다.
• 피해자 F: D아파트 입주민이자 개인정보의 주체입니다.
• G아파트 관리소장 H: C 소속으로 G아파트 관리 업무를 담당했습니다.

분쟁 상황

피해자 F가 G아파트에 거주하다 D아파트로 이사하자, G아파트 내에서 F의 동별 대표자 자격에 대한 논란이 발생했습니다. 이에 유한회사 C의 대표이사 A는 F의 D아파트 실거주 여부를 확인하기 위해 D아파트 관리소장 E으로부터 F의 개인정보가 담긴 입주자카드를 팩스로 전송받았습니다. 이후 A는 F의 동의 없이 이 입주자카드를 다시 G아파트 관리소장 H에게 팩스로 전송하여 F의 개인정보를 전달하였습니다. 이 행위가 개인정보보호법 위반으로 기소되었습니다.

핵심 쟁점

1. 동일한 관리회사가 두 개의 아파트를 관리하는 경우 한 아파트 입주민의 개인정보를 다른 아파트 관리소장에게 제공하는 것이 개인정보보호법상 '제3자 제공'에 해당하는지 여부
2. 입주민의 동별 대표자 자격 확인을 위한 개인정보 제공이 '정당한 업무 목적'으로 인정되어 정보주체의 동의 없이도 가능한지 여부
3. 입주자카드 작성 시 동의한 개인정보 이용 범위가 다른 아파트의 독립적인 관리 업무에까지 미치는지 여부

법원의 판단

원심판결(벌금 100만 원)을 파기하고 피고인 A에게 벌금 50만 원을 선고했습니다. 피고인이 벌금을 납입하지 않을 경우 10만 원을 1일로 환산한 기간 노역장에 유치하고, 벌금 상당액의 가납을 명했습니다.

결론

법원은 유한회사 C이 D아파트와 G아파트의 관리 업무를 수행하는 것은 각각 별개의 계약에 따른 상호 독립된 지위라고 판단했습니다. 따라서 D아파트 입주민 F의 개인정보를 G아파트 측에 제공한 것은 '개인정보보호법상 제3자에게 제공한 것'으로 보았으며, G아파트의 동별 대표자 자격 확인은 D아파트 관리 업무와 무관하므로 정당한 업무 목적이 아니라고 보았습니다. 또한, 입주자카드 작성 시의 정보 이용 동의가 다른 아파트의 관리 업무에까지 확장된다고 볼 수 없다고 판단하여 피고인의 주장을 모두 기각했습니다.

연관 법령 및 법리

이 사건은 주로 「개인정보 보호법」의 여러 조항과 그 법리를 중심으로 판결되었습니다.

1. 개인정보 제공의 원칙 (개인정보 보호법 제17조 제1항)​ 이 조항은 '개인정보처리자는 정보주체의 동의를 받은 경우', '법률에 특별한 규정이 있거나 법률상 의무를 준수하기 위하여 불가피한 경우' 등 특별한 사유가 없는 한 개인정보를 제3자에게 제공할 수 없다고 규정합니다. 이 사건에서 법원은 피고인 A가 피해자 F의 동의 없이 입주자카드를 G아파트 관리소장에게 제공한 행위를 이 조항 위반으로 보았습니다.

2. 개인정보의 제3자 제공 위반에 대한 처벌 (개인정보 보호법 제71조 제1호, 제74조 제2항)​ 제71조 제1호는 제17조 제1항을 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자는 '5년 이하의 징역 또는 5천만원 이하의 벌금'에 처한다고 명시합니다. 제74조 제2항은 제71조 제1호의 '벌칙 적용에 있어서 개인정보처리자가 법인인 경우에는 개인정보처리자를 처벌한다'고 규정하며, '법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과한다'는 양벌규정이 적용됩니다. 이 사건에서는 유한회사 C의 대표이사인 A가 C의 업무에 관하여 개인정보를 제공했으므로 이 조항이 적용되어 처벌받게 됩니다.

3. '제3자'의 범위 및 '정당한 업무 목적'의 해석 이 사건의 핵심 법리 중 하나는 '제3자'의 범위에 대한 해석입니다. 법원은 유한회사 C이 D아파트와 G아파트를 동시에 관리하더라도, 각 아파트의 관리 업무는 별개의 위·수탁 계약에 따른 상호 독립된 지위라고 판단했습니다. 즉, D아파트 입주민의 개인정보에 대해서는 G아파트의 관리주체나 그 직원은 '개인정보보호법상 제3자'에 해당한다는 것입니다. 또한, G아파트 동별 대표자 자격 확인 업무는 D아파트의 관리 업무와 무관하므로, 이를 위해 D아파트 입주민의 개인정보를 제공한 것은 입주자카드 정보의 '정당한 업무 목적'으로 볼 수 없다고 명확히 했습니다. 피해자가 D아파트 입주자카드를 작성하면서 관리업무를 위한 정보 이용에 동의했더라도, 그 동의가 D아파트 관리업무와 무관한 G아파트의 관리업무에까지 확장된다고 볼 수 없다는 법리도 적용되었습니다.

참고 사항

개인정보는 수집 목적을 넘어서 활용하거나 제3자에게 제공할 때는 반드시 정보주체의 명시적인 동의를 다시 받아야 합니다. 동일한 회사가 여러 사업장이나 시설을 관리하더라도, 각 사업장이나 시설의 관리 업무는 독립적인 것으로 간주될 수 있으므로, 한 곳에서 수집된 개인정보를 다른 곳에서 임의로 활용하거나 공유하는 것은 개인정보보호법 위반이 될 수 있습니다. 특히 아파트 관리 주체는 입주민의 개인정보를 취급할 때, 공동주택관리법뿐만 아니라 개인정보보호법의 엄격한 규정을 준수해야 합니다. 정보주체가 최초 동의 시 서명한 내용이 있더라도, 그 동의 범위를 벗어나는 새로운 목적이나 제3자에게 정보를 제공하는 경우에는 반드시 별도의 동의 절차를 거쳐야 합니다.