대 법 원
제 1 부
판 결
사 건 2023도5226 개인정보보호법위반
피 고 인 1. A
2. B
3. C
상 고 인 검사
변 호 인 법무법인(유한) 강남(피고인 A, C을 위하여)
담당변호사 진재용
변호사 임소진(피고인 B을 위하여)
원 심 판 결 춘천지방법원 2023. 4. 7. 선고 2020노968 판결
판 결 선 고 2025. 7. 3.
주 문
상고를 모두 기각한다.
이 유
상고이유를 판단한다.
1. 관련 법리
가. 구 「개인정보 보호법」 (2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 ‘구 개인정보 보호법’이라 한다)은 제59조에서 ‘개인정보를 처리하거나 처리하였던 자는 다음 각호의 어느 하나에 해당하는 행위를 하여서는 아니 된다’고 규정하면서 각호에서 금지행위를 열거하고, 각호에서 금지하는 행위를 한 자를 처벌하는 규정을 두고있다(제71조 제5호, 제6호, 제72조 제2호). 구 개인정보 보호법 제59조의 의무주체인‘개인정보를 처리하거나 처리하였던 자’는 단순히 개인정보를 처리하거나 처리하였던 모든 자를 의미하는 것이 아니라 ‘업무상’ 개인정보를 처리하거나 처리하였던 자를 말한다. 그 이유는 다음과 같다.
1) 구 개인정보 보호법 제59조 제1호는 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위’를, 제2호는 ‘업무상 알게 된개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위’를, 제3호는 ‘정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출하는 행위’를 금지하고 있다. 비록 위 제1, 3호는 업무 처리와 관련된 개인정보임을 명시하고 있지 않지만, 아래에서 보는 위반행위의 주체, 금지의무의 대상, 처벌규정의 체계 등에 비추어 보면, 이러한 금지행위의 유형은 업무와 관련하여 또는 업무 수행 과정에서 개인정보 처리가 수반되면서 일어나는 다양한 형태의 침해행위를 몇 가지 유형으로 분류하여 규정하고 있는 것으로 봄이 타당하다.
2) 구 개인정보 보호법 제71조 제5호, 제6호 및 제72조 제2호는 ‘개인정보를 처리하거나 처리하였던 자’의 제59조 위반행위 즉, 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위, 개인정보를 누설하거나, 권한 없이 다른 사람이 이용하도록 제공, 유출하는 행위 등을 처벌하는 반면, ‘개인정보를 처리하거나 처리하였던 자’가 아닌 경우에는 위와 같은 행위를 처벌하지 않는다. 나아가 구 개인정보 보호법 제71조는 정보주체의 동의 등이 없이 개인정보가 제공되는 경우에는, ‘개인정보처리자’에 의한 행위(제1호, 제2호)와 ‘개인정보를 처리하거나 처리하였던 자’에 의한 행위(제5호, 제6호)를 구별하지 않고 동일한 법정형으로 처벌한다.
이러한 처벌규정의 내용과 체계에 비추어 보면, ‘개인정보를 처리하거나 처리하였던자’는 일반 개인과는 구별되고, ‘개인정보처리자’와 동일한 정도로 정보주체의 개인정보자기결정권을 보호할 책무가 있는 자라고 보아야 한다.
3) 만약, 구 개인정보 보호법 제59조의 수범자에 관하여 ‘업무상’ 개인정보를 처리하거나 처리하였을 것의 요건이 필요하지 않다고 본다면, 개인들이 일상생활 전반에 걸쳐 업무와 무관하게 개인정보를 수집․이용․파기 등으로 처리하는 경우에도, 구 개인정보 보호법 제59조의 금지의무가 부과되고, 이를 위반하는 경우 형사처벌 대상이 되는 결과가 되어 불합리하다.
나. 구 개인정보 보호법 제59조 각호의 금지행위의 객체가 되는 개인정보는 ‘개인정보를 처리하거나 처리하였던 자’가 ‘업무상’ 같은 법 제2조 제2호에서 규정한 바와 같이 처리하거나 처리하였던 개인정보이다. 여기서 구 개인정보 보호법 제59조의 ‘개인정보를 처리하거나 처리하였던 자’의 ‘업무’는 정보주체들의 개인정보를 수집하여 처리하는 것을 주된 내용으로 하는 업무에 한정되지 않고, 개인정보의 수집․처리 외의 일반적인 업무를 주된 내용으로 하면서 그 업무와 밀접한 관련이 있는 부수적 업무로서 개인정보의 수집․처리가 이루어지는 경우도 포함한다. 그 이유는 다음과 같다.
1) 구 개인정보 보호법 제59조 제2호는 ‘개인정보를 처리하거나 처리하였던 자’에 대하여 ‘업무상 알게 된 개인정보’의 누설, 제공 행위를 금지하고 있을 뿐 그 업무의 내용을 한정하는 규정을 두고 있지 않고, 제1호나 제3호의 규정에 의하더라도 달리 업무의 내용을 한정할 근거는 없다.
2) ‘개인정보처리자’는 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등으로(구개인정보 보호법 제2조 제5호) 업무의 주된 내용이 개인정보의 처리에 한정되지 않는다. 앞서 본 구 개인정보 보호법 제59조의 입법 목적, 취지를 고려하여 보면, ‘개인정보를 처리하거나 처리하였던 자’도 마찬가지로 일반적 업무를 주된 내용으로 하면서 부수적으로 개인정보를 수집․처리하더라도 그로 인하여 알게 된 개인정보의 누설 행위, 개인정보의 유출 행위 등을 금지하는 것으로 보는 것이 타당하다.
3) 해당 개인정보를 ‘업무상’ 처리하여야 누설, 제공, 유출 등의 행위가 금지되므로, 업무와 무관하게 사적 영역에서 개인정보를 처리하고 그 과정에서 알게 된 개인정보를 누설 또는 제공하거나 수집․보유한 개인정보를 유출하는 행위 등은 처벌되지 않는다.
이와 같이 업무와 무관한 사적 영역을 제외하면, ‘개인정보 처리를 주된 업무로 하는 과정에서 처리하는 개인정보’와 ‘업무 과정에서 부수적으로 또는 업무에 수반하여 처리하는 개인정보’의 보호 필요성을 달리 볼 필요도 없다.
다. 한편 위와 같이 사적 영역에서 처리하는 개인정보에 대한 누설, 제공, 유출 행위 등은 형사처벌의 대상으로 삼을 수 없고, 형벌법규는 엄격하게 해석되어야 하므로, 업무상 개인정보를 처리하였다는 것은 업무처리나 업무수행과 개인정보 처리 사이에 직접적이고 밀접한 인과관계가 있다는 의미로 새겨야 한다. 그리고 업무상 개인정보를처리하였다는 사실은 범죄구성요건이므로 검사가 증명하여야 한다.
2. 이 사건의 경우
원심은, 공소사실 기재 휴대전화 단말기의 교부 경위 등을 고려하면, 검사가 제출한 증거만으로는 피고인 B이 D에게 휴대전화 기기를 판매할 때 D의 구형 휴대전화 단말기에 저장되어 있는 공소사실 기재 각 개인정보를 업무와 관련하여 보유하거나 취득하였다는 사실을 인정하기에 부족하다고 보았다. 그에 따라 그 판시와 같은 이유로 피고인들에 대한 이 사건 주위적 공소사실을 무죄로 판단한 제1심판결을 그대로 유지하고,원심에서 추가된 피고인들에 대한 예비적 공소사실도 무죄로 판단하였다.
이와 같이 피고인 B이 이 사건 공소사실 기재 각 개인정보를 ‘업무상’ 보유하거나 취득한 것이 아니라는 전제에서 피고인들에 대한 이 사건 주위적․예비적 공소사실을 모두 무죄로 판단한 원심의 판단은 앞서 본 법리에 비추어 정당한 것으로 받아들일 수 있다. 거기에 상고이유 주장과 같이 논리와 경험의 법칙을 위반하여 자유심증주의의한계를 벗어나거나 관련 법리를 오해하는 등으로 판결에 영향을 미친 잘못이 없다.
3. 결론
상고를 모두 기각하기로 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.
재판장 대법관 마용주 _________________________
대법관 노태악 _________________________
주 심 대법관 서경환 _________________________
대법관 신숙희 _________________________
<대법원>