정보통신/개인정보
C 주식회사 청주지사의 대표인 피고인 A는 소속 보험설계사 F(피해자 E의 배우자)가 발생시킨 환수금을 회수하기 위해 보험 가입 목적으로 수집된 피해자 E의 전화번호를 이용하여 E에게 연락했습니다. 검사는 이를 개인정보 보호법상 '목적 외 이용'에 해당한다며 피고인을 기소했습니다. 그러나 법원은 피고인이 개인정보 보호법이 정의하는 '개인정보처리자'에 해당하지 않는다고 판단했으며, C 주식회사가 실제 개인정보처리자라고 보아 피고인에게 무죄를 선고했습니다.
피고인 A는 C 주식회사 청주지사의 대표로서, 소속 보험설계사 F(피해자 E의 배우자)가 업무상 과실로 발생시킨 환수금을 회수해야 하는 상황에 처했습니다. 피고인은 이 환수금 문제를 해결하기 위해, F의 배우자인 E의 전화번호를 이용하여 E에게 연락을 시도했습니다. 이 E의 전화번호는 E가 C 주식회사와의 보험상품 계약을 체결하면서 보험상품 소개 및 판매 목적으로 제공했던 개인정보였습니다. 검사는 피고인의 이러한 행위가 개인정보 보호법 제18조 제1항을 위반하여 개인정보를 수집 목적 외로 이용한 것이라고 보아 피고인을 기소했습니다.
피고인 A가 개인정보 보호법상 '개인정보처리자'에 해당하는지 여부가 이 사건의 주요 쟁점이었습니다.
피고인은 무죄 판결을 받았습니다.
법원은 피고인 A가 C 주식회사의 청주지사 대표로서 고객 정보를 열람할 권한은 있으나, 개인정보 보호법 제2조 제5호에서 정의하는 '개인정보처리자'에 해당한다고 보지 않았습니다. 피고인은 개인정보파일을 직접 운용할 권한이나 개인정보 보호 원칙(필요 최소한의 수집, 목적 외 활용 금지, 안전한 관리 등)을 준수할 권한 및 인력을 보유하고 있지 않다고 판단했습니다. C 주식회사가 고객 및 보험설계사들로부터 개인정보 수집·이용·제공 동의서를 직접 받고 있는 점 등을 고려하여, 개인정보 보호법상 개인정보처리자는 C 주식회사라고 보는 것이 타당하다고 판시했습니다. 결론적으로 피고인이 개인정보처리자가 아니므로 검사가 제기한 공소사실은 범죄 구성요건에 해당하지 않아 무죄를 선고했습니다.
이 사건에서는 피고인의 행위가 개인정보 보호법 위반에 해당하는지에 대한 판단에 여러 법령이 적용되었습니다.
개인정보 보호법 제71조 제2호, 제18조 제1항(목적 외 이용·제공의 제한 및 처벌 조항): 이 법률은 개인정보처리자가 개인정보를 수집 목적 외의 용도로 이용하거나 제3자에게 제공하는 것을 금지하며, 이를 위반할 경우 형사처벌을 규정하고 있습니다. 피고인 A는 보험 가입 목적으로 수집된 E의 전화번호를 배우자 F의 환수금 문제 해결을 위해 이용했기에 이 조항의 위반 여부가 쟁점이 되었습니다.
개인정보 보호법 제2조 제5호(개인정보처리자의 정의): '업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 또는 개인 등을 말한다'고 명시합니다. 법원은 이 정의에 따라 피고인 A가 아닌 C 주식회사가 실제 개인정보처리자에 해당한다고 판단했습니다. 피고인은 회사의 내부 전산망을 통해 고객 정보를 열람할 권한만 있었을 뿐, 개인정보파일을 운용하는 주체로는 보기 어렵다고 본 것입니다.
개인정보 보호법 제2조 제4호(개인정보파일의 정의): '개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물'을 의미합니다. 피고인 A가 이러한 개인정보파일을 직접 운용하는 지위에 있지 않았다는 점이 개인정보처리자 판단에 영향을 미쳤습니다.
개인정보 보호법 제3조(개인정보 보호 원칙): 개인정보처리자가 개인정보를 처리할 때 준수해야 할 여러 원칙들(필요 최소한의 수집, 목적 외 활용 금지, 안전한 관리 등)을 규정하고 있습니다. 법원은 피고인이 이러한 원칙들을 준수할 권한이나 인력을 보유하고 있지 않았다는 점 또한 피고인을 개인정보처리자로 보기 어렵다는 판단의 근거로 삼았습니다.
형사소송법 제325조 후단(무죄 판결): '피고인에게 유죄의 증명이 없는 때에는 판결로 무죄를 선고하여야 한다'고 규정합니다. 이 사건에서 법원은 피고인이 개인정보 보호법상 개인정보처리자라는 '범죄사실의 증명이 없는 때'에 해당한다고 보아 무죄를 선고했습니다.
개인정보 보호법상 '개인정보처리자'의 정의를 정확히 이해하는 것이 중요합니다. 단순히 고객 정보를 열람할 수 있는 업무상 지위에 있다고 해서 모두 개인정보처리자가 되는 것은 아닙니다. 회사의 임직원이 고객 정보를 업무상 필요로 이용할 경우에도, 그 이용 목적이 개인정보 수집 당시의 동의 범위나 법령에 부합하는지 항상 신중하게 검토해야 합니다. 회사 내부 규정이나 위임된 업무 범위에 따라 누가 어떠한 개인정보 처리 권한을 가지고 있는지 명확히 구분하고 이를 숙지하는 것이 중요합니다. 개인정보를 다루는 모든 직원은 정기적으로 개인정보 보호 교육을 이수하여 관련 법규와 처리 원칙을 정확히 이해하고 준수해야 합니다. 개인정보를 수집한 목적 외의 용도로 이용하거나 제3자에게 제공해야 할 필요가 발생하면, 반드시 정보 주체의 별도 동의를 받거나 개인정보 보호법에서 정한 예외 사유에 해당하는지 법적 검토를 거쳐야 합니다. 배우자 등 가족의 개인정보라 할지라도, 함부로 공유하거나 수집 목적 외로 이용하는 행위는 개인정보 침해 문제가 발생할 수 있으므로 주의해야 합니다.
