[형사] "개인정보 접근권한 있다고 '개인정보처리자' 아니야"
[형사] "개인정보 접근권한 있다고 '개인정보처리자' 아니야"
  • 기사출고 2019.09.11 17:55
이 기사를 공유합니다

[대법] "처벌범위 확대해석 안 돼"

개인정보에 접근할 권한이 있다는 사실만으로 개인정보 보호법이 규정한 '개인정보처리자'로 볼 수 없다는 대법원 판결이 나왔다. 개인정보 보호법에 따르면, 개인정보처리자란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

대법원 제3부(주심 김재형 대법관)는 7월 25일 청취자의 개인정보를 자신의 변호사에게 주었다가 개인정보 보호법 위반 혐의로 기소된 지상파 라디오 프로그램 작가 A씨에 대한 상고심(2019도3215)에서 검사의 상고를 기각, A씨를 개인정보처리자로 볼 수 없다며 무죄를 선고한 원심을 확정했다. 개인정보 보호법 18조 1항에 따르면, 개인정보처리자는 정보주체의 개인정보를 동의없이 목적 외의 용도로 이용하여서는 아니 되며, 이를 위반한 경우 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다(71조 2호).

A씨는 2010년경부터 한 지상파 라디오 프로그램의 작가로 근무하면서 라디오 청취자들의 개인정보를 관리하던 중, 이 프로그램의 경품에 당첨되었던 청취자 B씨가 2016년 10월경부터 프로그램 게시판, 국민신문고 등에 지속적으로 자신에 대한 항의글을 게시하자 B씨에게 이와 같은 행위의 중단을 요청하는 내용증명을 보내기로 했다. A씨는 2017년 2월경 정보주체인 B씨의 동의나 개인정보 보호법에 정한 사유 없이 B씨에 대한 고소사건에서 자신을 대리하던 법무법인의 변호사에게 B씨의 주소와 연락처를 주어 개인정보를 목적 외의 용도로 이용한 혐의로 기소됐다.

재판에서는 A씨가 개인정보 보호법에서 정한 '개인정보처리자'에 해당하는지 여부가 쟁점이 됐다.

1심 재판부는 "피고인의 행위는 수집 목적 범위 외의 이용에 해당된다고 봄이 타당하다"며 벌금 30만원의 선고유예 판결을 내렸으나, 항소심 재판부는 A씨를 개인정보처리자로 볼 수 없다며 무죄를 선고했다.

항소심 재판부는 이렇게 판단하는 이유로, "라디오 작가가 상품수령자로 결정된 청취자의 전화번호를 라디오의 운영팀에 알려주면 운영팀이 각 청취자로부터 개인정보의 이용 등에 관한 동의를 받아 주소와 인적사항 등을 제공받은 후, 이 개인정보를 상품배송 대행업체에 전달하여 이 업체를 통하여 선물을 발송하는 사실, 피고인은 라디오를 위하여 일하는 프리랜서 작가로서 그와 같은 과정에서 청취자에 대한 경품이 1차 배송한 주소로 배송이 되지 아니하는 경우 상품 미수령 민원 등을 해결하기 위하여 청취자의 주소 등을 라디오의 운영팀에 요청하여 제공받을 수 있는 사실은 인정되나, 나아가 피고인이 이 사건 당시 업무를 목적으로 상품배송자들의 개인정보 집합물을 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 검색시스템을 구축하고 운용하고 있었는지에 관하여는 이를 인정할 아무런 증거가 없다"고 밝혔다.

이에 대해 검사는 재판에서 "피고인에게 라디오가 마련한 개인정보 데이터베이스에 대한 접근권한이 있었으므로 이러한 점에서 피고인을 개인정보처리자로 보아야 한다"는 취지로 주장했다. 재판부는 그러나 "개인정보처리자의 개념에 비추어 보면 피고인에게 다른 자가 운용하는 개인정보파일에 접근할 권한이 있다는 사정만으로 피고인 역시 곧바로 개인정보처리자에 해당한다고 보기 어려울 뿐 아니라, 오히려 당초 개인정보보호와 관련하여 공공부분은 공공기관의 개인정보보호에 관한 법률로, 민간부분은 정보통신망 이용촉진 및 정보보호 등에 관한 법률로 나누어 규율하였던 것을, 정보사회의 고도화와 개인정보의 경제적 가치 증대로 사회 모든 영역에 걸쳐 개인정보의 수입과 이용이 보편화되고 있는 반면, 국가사회 전반을 규율하는 개인정보 보호원칙 및 개인정보 처리기준이 마련되지 못해 개인정보보호의 사각지대가 발생할 뿐만 아니라, 개인정보의 유출 · 오용 · 남용 등 개인정보 침해 사례가 지속적으로 발생함에 따라 국민의 프라이버시 침해는 물론 명의도용, 전화사기 등 정신적 · 금전적 피해가 초래되고 있어, 공공부문과 민간부문을 망라하여 국제 수준에 부합하는 개인정보 처리원칙 등을 규정하고 개인정보 침해로 인한 국민의 피해 구제를 강화하여 국민의 사생활의 비밀을 보호하며 개인정보에 대한 권리와 이익을 보장하기 위한 필요가 있음을 이유로 2011. 3. 29. 개인정보 보호법이 제정되기에 이르렀고(시행일은 2011. 6. 29.이다), 위 법에서 '개인정보처리자'라는 개념이 신설되었던 점, 개인정보 보호법은 공공기관 뿐만 아니라 비영리단체 등 업무상 개인정보파일을 운용하기 위하여 개인정보를 처리하는 자로 하여금 이 법에 따른 개인정보 보호규정을 준수하도록 하는 등 수범대상을 개인정보파일 운용자로 한정하고 있는 점 등에 비추어 볼 때, 검사의 주장과 같은 해석은 개인정보 보호법의 입법목적과 개인정보 보호법 18조 1항의 가능한 해석범위를 넘어서 확장해석을 하는 것으로 처벌범위를 지나치게 확대시킬 위험이 있고, 이와 같은 접근권한이 없는 자가 거짓이나 부정한 수단 내지 방법을 통하지 아니한 채 우연히 알게 된 개인정보를 이용하는 경우에는 별도의 처벌규정이 없는 것과도 형평이 맞지 않는다는 점에서 어느 모로 보나 이를 그대로 받아들이기 어렵다"고 밝혔다.

대법원도 "원심의 판단에 개인정보 보호법에서 정한 '개인정보처리자'에 관한 법리를 오해한 잘못이 없다"고 판시했다.

리걸타임즈 김덕성 기자(dsconf@legaltimes.co.kr)