휴대전화 기기를 판매하는 업자 A가 개인 B가 사용하던 예전 휴대전화기를 보관 중이었는데, 그러던 중 경찰관들이 어떤 사건과 관련해 해당 휴대전화기를 경찰관들에게 줄 것을 A에게 요구하였고, A는 해당 기기를 경찰관들에게 제출하였습니다.
A에게는 개인정보보호법 위반 죄가 성립할까요?
위 예시 사건은 판매업자 A의 행위가 ‘업무상’ 개인정보보호법 위반 행위에 해당하는가의 여부가 중요 쟁점이 된 최근 대법원 판례로 (대법원 2025. 7. 3. 선고 2023도5226 판결), 해당 판결에서는 ‘개인정보처리자’의 범위에 관한 명확한 판단 기준을 제시하고 있어, 이번 컨텐츠에서는 이에 대하여 자세히 살펴보고자 합니다.
💡
「개인정보보호법」 제59조(금지행위)
개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.
1. 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위
2. 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위
3. 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 이용, 훼손, 멸실, 변경, 위조 또는 유출하는 행위
구 개인정보보호법 제59조에서 말하는 ‘개인정보를 처리하거나 처리하였던 자’는 단순히 개인정보를 처리하거나 처리했던 모든 자를 의미하는 것이 아니고, “업무상” 개인정보를 처리하거나 처리하였던 자를 의미합니다.
(개인정보보호법 제59조)
제1호 : 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위
제2호 : 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위
제3호 : 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출하는 행위
▶ 판례에 의하면 위반 행위의 주체, 금지의무의 대상, 처벌규정 등에 비추어볼 때, 이는 업무와 관련하여 또는 업무 수행 과정에서 개인정보처리가 수반되며 일어나는 다양한 형태의 침해행위를 몇 가지 유형으로 분류하여 규정하고 있는 것으로 봅니다.
‘개인정보를 처리하거나 처리하였던 자’가 아닌 경우 제59조 위반 행위를 처벌하지 않는다.
‘개인정보처리자’에 의한 행위 (제1호, 제2호)와 ‘개인정보를 처리하거나 처리하였던 자’에 의한 행위 (제5호, 제6호)의 구별 없이 동일한 법정형으로 처벌한다.
▶ 판례에 의하면 우리 법원은 “개인정보를 처리하거나 처리하였던 자”는 일반 개인과는 구별되는 자로, “개인정보처리자”와 동일한 정도로 정보주체의 개인정보자기결정권을 보호할 책무가 있는 자라고 보고 있습니다.
개인정보를 처리하였던 자가 ‘업무상’ 처리하거나 처리하였던 개인정보로, 여기서 “업무”는 정보주체들의 개인정보를 수집해 처리하는 것을 주된 내용으로 하는 업무에 한정되지 않으며, 개인정보의 수집·처리 외의 일반적인 업무를 주된 내용으로 하고 그 업무와 밀접한 관련이 있는 부수적 업무로 개인정보의 수집·처리가 이루어지는 경우도 포함됩니다.
우리 법원은 그 이유를 다음과 같이 설명하고 있습니다.
개인정보보호법 제59조 제2호는 ‘개인정보를 처리하거나 처리하였던 자’에 대해 ‘업무상 알게 된 개인정보’의 누설이나 제공 행위를 금지하고 있을 뿐이고, 그 업무의 내용을 한정하는 규정을 두고 있는 것은 아니며, 제1호나 제3호의 규정에 의하더라도 업무의 내용을 한정할 근거가 없다는 점
‘개인정보처리자’의 업무의 내용이 개인정보의 처리에 한정되는 것은 아니라는 점
구 개인정보보호법 제59조의 입법 목적, 취지를 고려할 때 ‘개인정보를 처리하거나 처리하였던 자’도 마찬가지로 일반적 업무를 주된 내용으로 하면서 부수적으로 개인정보를 수집·처리하더라도 그로 인해 알게 된 개인정보의 누설행위, 개인정보의 유출행위 등을 금지하는 것으로 보는 것이 타당하다는 점
금지되는 누설 제공, 유출 등의 행위는 해당 개인정보를 ‘업무상’ 처리하는 것으로, 업무와 무관하게 사적인 영역에서 개인정보를 처리하고 그 과정에서 알게 된 개인정보를 누설 또는 제공하거나 수집·보유한 개인정보를 유출하는 행위 등은 처벌되지 않는다는 점
위와 같은 업무와 무관한 사적 영역을 제외하면, ‘개인정보 처리를 주된 업무로 하는 과정에서 처리하는 개인정보’와 ‘업무과정에서 부수적 또는 업무에 수반하여 처리하는 개인정보’의 보호 필요성을 달리 볼 것은 아니라는 점
사적 영역에서 처리하는 개인정보에 대한 누설, 제공, 유출행위 등은 형사 처벌의 대상으로 삼을 수 없고, 형벌법규는 엄격하게 해석되어야 하므로, 업무상 개인정보를 처리하였다는 것은 업무처리나 업무수행과 개인정보 처리 사이에 직접적·밀접한 인과관계가 있다는 의미이며, 업무상 개인정보를 처리하였다는 사실은 범죄의 구성요건으로 검사가 증명해야 한다는 점
결국 처음에 소개해드린 사례에서는 위와 같은 논거에 따라 대법원은 A에게 최종적으로 무죄를 선고하였습니다.
원심은, 공소사실 기재 휴대전화 단말기의 교부 경위 등을 고려하면, 검사가 제출한 증거만으로는 피고인 2가 공소외인에게 휴대전화 기기를 판매할 때 공소외 인의 구형 휴대전화 단말기에 저장되어 있는 공소사실 기재 각 개인정보를 업무와 관련하여 보유하거나 취득하였다는 사실을 인정하기에 부족하다고 보았다. 그에 따라 그 판시와 같은 이유로 피고인들에 대한 이 사건 주위적 공소사실을 무죄로 판단한 제1심판결을 그대로 유지하고, 원심에서 추가된 피고인들에 대한 예비적 공소사실도 무죄로 판단하였다.
이와 같이 피고인 2가 이 사건 공소사실 기재 각 개인정보를 ‘업무상’ 보유하거나 취득한 것이 아니라는 전제에서 피고인들에 대한 이 사건 주위적·예비적 공소사실을 모두 무죄로 판단한 원심의 판단은 앞서 본 법리에 비추어 정당한 것으로 받아들일 수 있다. 거기에 상고이유 주장과 같이 논리와 경험의 법칙을 위반하여 자유심증주의의 한계를 벗어나거나 관련 법리를 오해하는 등으로 판결에 영향을 미친 잘못이 없다.
결국, 이 같은 판례를 볼 때, 보호 대상이 되는 “개인정보”에 해당하는지와 “업무상” 개인정보보호 위반 행위가 있었는지 여부는 그 실질에 따라 판단됨을 알 수 있습니다.
◐ 법무법인 민후 ◑
TEL. 02-532-3490
E-mail. counseling@minwho.kr
Kakao. @법무법인 민후
법무법인 민후|TEL : 02-532-3490 서울 강남구 테헤란로 134, 포스코타워 역삼 11층
