【형사판례<개인정보처리자>】《재판사무주체로서의 법원(수소법원)이 개인정보처리자에 해당하는지 여부(대법원 2024. 12. 12. 선고 2021도12868 판결)》〔윤경 변호사 더리드(The Lead) 법률사무소〕
1. 판결의 요지 : [가처분사건의 당사자가 법원으로부터 타인의 개인정보가 포함되어 있는 소송서류를 송달받은 경우 ‘개인정보처리자로부터 개인정보를 제공받은 자’에 해당하는지 여부가 문제된 사건]
【판시사항】
개개의 사건에 대하여 재판사무를 담당하는 수소법원이 ‘개인정보처리자’에서 제외되는지 여부(적극) 및 수소법원이 그 재판권에 기하여 법에서 정해진 방식에 따라 행하는 공권적 통지행위로서 여러 소송서류 등을 송달하는 경우, ‘개인정보처리자’로서 개인정보를 제공한 것인지 여부(소극)
【판결요지】
구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 ‘개인정보보호법’이라 한다) 제19조는 개인정보처리자로부터 개인정보를 제공받은 자는 정보주체로부터 별도의 동의를 받거나 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다고 규정하고, 제71조 제2호는 제19조를 위반하여 개인정보를 이용하거나 제3자에게 제공한 자를 처벌하도록 규정하고 있으므로, 개인정보보호법 제71조 제2호, 제19조 위반죄는 피고인이 ‘개인정보처리자’로부터 개인정보를 제공받은 경우 성립할 수 있다.
‘개인정보처리자’란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말하고(개인정보보호법 제2조 제5호), ‘개인정보파일’이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다(같은 법 제2조 제4호). 개인정보보호법은 ‘공공기관’을 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체, 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관으로 정의하고 있다(제2조 제6호). 한편 사법부 고유 업무인 재판사무와 법원의 행정사무, 즉 법원의 인사⋅예산⋅회계⋅시설⋅통계⋅송무⋅등기⋅가족관계등록⋅공탁⋅집행관⋅법무사⋅법령조사 및 사법제도연구에 관한 사무(법원조직법 제19조 제2항 참조) 등은 업무 목적과 내용 등에서 구별된다.
이러한 관련 법령의 문언, 규정 체계 및 ‘행정사무를 처리하는 기관’으로서의 법원과 ‘재판사무를 처리하는 기관’으로서의 법원의 구별 등을 종합하여 보면, 개개의 사건에 대하여 재판사무를 담당하는 법원(수소법원)은 ‘개인정보처리자’에서 제외된다고 보는 것이 타당하다. 재판사무의 주체로서 법원이 민사⋅형사⋅행정 등의 여러 재판에서 개별 사건을 단위로 당사자의 주장과 증거제출 등을 통해 심리를 진행한 다음 공권적 판단을 내림으로써 쟁송을 해결하거나 국가형벌권을 실현하기 위한 재판 과정에서 증거나 서면의 일부 등으로 개인정보를 처리하더라도, 다수의 개인정보 그 자체를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 집합물, 즉 개인정보파일을 운용하기 위하여 개인정보를 처리하는 것이라고 볼 수 없다. 따라서 재판사무를 담당하는 법원(수소법원)이 그 재판권에 기하여 법에서 정해진 방식에 따라 행하는 공권적 통지행위로서 여러 소송서류 등을 송달하는 경우에는 ‘개인정보처리자’로서 개인정보를 제공한 것으로 볼 수 없다.
2. 사안의 개요 및 쟁점 [이하 대법원판례해설 제142호 최지아 P.467-480 참조]
가. 쟁점 공소사실의 요지
개인정보처리자로부터 개인정보를 제공받은 자는 정보주체로부터 별도의 동의를 받거나 다른 법률에 특별한 규정이 없는 이상 이를 제3자에게 제공하여서는 아니 된다.
피고인은 2018. 7. 24. 부산 이하 불상지에서 부산지방법원 서부지원으로부터 교부 받은 A의 사실확인서에 첨부되어 있는 운전면허증 사본을 휴대전화를 이용하여 사진을 찍어 입주자 대표인 B에게 휴대전화로 전송하고, 다음 날 같은 방법으로 비상대책위원장인 C, D에게 휴대전화로 전송하였다.
이로써 피고인은 정보주체로부터 별도의 동의를 받지 아니하고 개인정보가 기재되어 있는 운전면허증 사본을 제3자에게 제공하였다.
나. 제1심 및 원심의 판단: 무죄
⑴ 제1심
개인정보 보호법 제2조 제5호는 개인정보처리자를 업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 처리하는 공공기관 등으로 정하고 있고, 개인정보파일이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거 나 구성한 개인정보의 집합물이다. A가 제출한 사실확인서에 자신의 신분증이 첨부되어 있기는 하나 법원은 채권자들이 제출한 소송서류의 부본을 기계적으로 소송상대방인 피고인에게 송달하였을 뿐이어서, 그 과정에서 법원이 A의 개인정보를 검색할 수 있도록 배열하거나 구성하여 개인정보파일을 운용하였다고 보기 어렵다. 따라서 피고인은 ‘개인정보처리자로부터 개인정보를 제공받은 자’에 해당하지 않으므로, 피고인이 법원에서 송달받은 서류를 통해 A의 개인정보를 알게 되어 이를 제3자에 제공하였다고 하더라도 개인정보보호법 제19조를 위반하였다고 볼 수 없다.
⑵ 원심 : 검사가 항소하였으나, 원심은 제1심의 판단을 인용하여 검사의 항소를 기각하였다.
다. 이 사건의 쟁점
⑴ 개인정보 보호법 제19조는 ‘개인정보처리자로부터 개인정보를 제공받은 자’의 ‘목적외 이용’, ‘제3자 제공’을 금지하고, 제71조 제2호는 제19조를 위반한 자를 처벌한다[이 사건에 적용된 법률은 구 「개인정보 보호법」(2020. 2. 4. 법률 제16930호로 개정되기 전의 것)이고, 개인정보보호법 제71조는 이후 개정되었으나 이 사건의 쟁점이 되는 처벌규정은 동일하다. 따라서 이하에서는 구법을 별도 표기하지 않고 ‘개인정보 보호법’으로만 기재한다].
⑵ 이 사건에서는 피고인의 행위가 ‘제3자 제공’임은 비교적 명백하고, 다만 피고인을 ‘개인정보처리자로부터 개인정보를 제공받은 자’로 볼 수 있을지가 문제 된다. 즉 소송의 당사자로서 소장, 준비서면, 서증 등 소송서류를 송달받는 경우, 법원을 ‘개인 정보처리자’로 볼 수 있는지가 이 사건의 주된 쟁점이다.
라. 대법원의 판단 (= 상고기각)
⑴ 위 판결의 쟁점은, 재판사무를 담당하는 법원(수소법원)이 그 재판권에 기하여 법에서 정해진 방식에 따라 행하는 공권적 통지행위로서 여러 소송서류 등을 송달하는 경우 ‘개인정보처리자’로서 개인정보를 제공한 것으로 볼 수 있는지 여부(소극)이다.
⑵ 구 「개인정보 보호법」(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 ‘개인정보보호법’이라 한다) 제19조는 개인정보처리자로부터 개인정보를 제공받은 자는 정보주체로부터 별도의 동의를 받거나 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다고 규정하고, 제71조 제2호는 제19조를 위반하여 개인정보를 이용하거나 제3자에게 제공한 자를 처벌하도록 규정하고 있으므로, 개인정보보호법 제71조 제2호, 제19조 위반죄는 피고인이 ‘개인정보처리자’로부터 개인정보를 제공받은 경우 성립할 수 있다.
‘개인정보처리자’란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말하고(개인정보보호법 제2조 제5호), ‘개인정보파일’이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다(같은 법 제2조 제4호). 개인정보보호법은 ‘공공기관’을 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체, 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관으로 정의하고 있다(제2조 제6호). 한편 사법부 고유 업무인 재판사무와 법원의 행정사무, 즉 법원의 인사ㆍ예산ㆍ회계ㆍ시설ㆍ통계ㆍ송무ㆍ등기ㆍ가족관계등록ㆍ공탁ㆍ집행관ㆍ법무사ㆍ법령조사 및 사법제도연구에 관한 사무(법원조직법 제19조 제2항 참조) 등은 업무 목적과 내용 등에서 구별된다.
이러한 관련 법령의 문언, 규정 체계 및 ‘행정사무를 처리하는 기관’으로서의 법원과 ‘재판사무를 처리하는 기관’으로서의 법원의 구별 등을 종합하여 보면, 개개의 사건에 대하여 재판사무를 담당하는 법원(수소법원)은 ‘개인정보처리자’에서 제외된다고 보는 것이 타당하다. 재판사무의 주체로서 법원이 민사ㆍ형사ㆍ행정 등의 여러 재판에서 개별 사건을 단위로 당사자의 주장과 증거제출 등을 통해 심리를 진행한 다음 공권적 판단을 내림으로써 쟁송을 해결하거나 국가형벌권을 실현하기 위한 재판 과정에서 증거나 서면의 일부 등으로 개인정보를 처리하더라도, 다수의 개인정보 그 자체를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 집합물, 즉 개인정보파일을 운용하기 위하여 개인정보를 처리하는 것이라고 볼 수 없다. 따라서 재판사무를 담당하는 법원(수소법원)이 그 재판권에 기하여 법에서 정해진 방식에 따라 행하는 공권적 통지행위로서 여러 소송서류 등을 송달하는 경우에는 ‘개인정보처리자’로서 개인정보를 제공한 것으로 볼 수 없다.
⑶ 가처분사건의 채무자인 피고인이 법원으로부터 채권자들이 제출한 준비서면과 개인정보가 포함된 소명자료를 송달받고 소명자료에 첨부되어 있는 A의 운전면허증 사본을 휴대전화로 촬영하여 제3자에게 휴대전화로 전송함으로써, 개인정보처리자로부터 개인정보를 제공받은 자가 정보주체로부터 동의를 받지 않고 이를 제3자에게 제공하였다는 「개인정보 보호법」 위반으로 기소된 사안임
⑷ 원심은, 이 사건에서 법원이 A의 개인정보에 대하여 개인정보처리자의 지위에 있다고 보기 어렵다고 보아 이 사건 공소사실에 대하여 무죄를 선고한 제1심을 유지하였음
⑸ 대법원은 위와 같은 법리를 설시하면서, 가처분 사건을 담당하는 법원이 해당 사건의 재판권에 기하여 법에서 정해진 방식에 따라 행하는 공권적 통지행위로써 당사자인 피고인에게 소송서류를 송달한 것이므로 개인정보처리자로서 개인정보를 제공하였다고 볼 수 없다고 보아, 원심을 수긍하여 상고를 기각함
3. 재판사무주체로서의 법원(수소법원)이 개인정보처리자에 해당하는지 여부(대법원 2024. 12. 12. 선고 2021도12868 판결) [이하 대법원판례해설 제142호 최지아 P.467-480 참조]
가. 개인정보처리자로부터 개인정보를 제공받은 자(개인정보 보호법 제19조의 수범자)
⑴ ‘개인정보처리자’의 의미
㈎ 개인정보 보호법은 ‘개인정보처리자’를 ‘업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등’으로 정의한다(제2조 제5호).
‘업무’는 형법상 개념, 즉 직업 또는 사회생활 상의 지위에 기하여 계속적으로 종사하는 사무나 사업의 일체를 의미하고, 그 업무가 주된 것이든 부수적인 것이든 가리지 아니하며, 일회적인 사무라 하더라도 그 자체가 어느 정도 계속하여 행해지는 것이거나 혹은 그것이 직업 또는 사회생활상의 지위에 서 계속적으로 행하여 온 본래의 업무수행과 밀접불가분의 관계에서 이루어진 경우에 도 이에 해당한다(대법원 2005. 4. 15. 선고 2004도8701 판결 등).
‘개인정보파일’은 ‘개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물’을 말한다(개인정보보호법 제2조 제4호). 개인정보파일의 요건인 ‘일정한 규칙에 따른 체계적 배열 또는 구성’에서 일정한 규칙의 기준을 규정하고 있지 않으므로 어떠한 기준도 포함될 수 있고 이는 결국 구체적 사안에서의 판단에 의할 수밖에 없을 것이다. 또한 개인정보처리자는 공공기관, 법인, 단체, 개인 등 개인정보를 수집, 이용, 제공 등 처리하는 모든 자가 될 수 있다.
㈏ ‘개인정보처리자’는 개인정보 보호법상 금지 및 행위규범의 일반적 수범자라는 점 에서 개인정보처리자에 해당하는지 여부는 중요하다[다만 제8장 보칙의 장에 따로 제59조를 두어 ‘개인정보처리자’ 외에도 ‘개인정보를 처리하거나 처리하였던 자’를 의무주체로 하는 금지행위에 관하여 규정함으로써 수범자의 범위를 확장하고 있다].
대법원은 관리주체인 아파트 관리사무소장으로서 아파트 주거 생활의 질서유지, 관리비 수납 등 효율적인 관리 업무를 위하여 입주자들의 성명, 생년월일, 전화번호 등 개인정보를 수집한 다음 동․호수 등 일정한 규칙에 따라 체계적으로 배열한 입주자카드 등 개인정보 집합물을 운용한 경우에는 개인정보처리자에 해당할 여지가 많다고 보았고(대법원 2016. 3. 10. 선고 2015도8766 판결), 반면 경찰서 소속의 경찰공무원은 개인정보처리자에 해당하지 않는다고 보았다(대법원 2017. 9. 21. 선고 2016도19905 판결).
㈐ ‘개인정보취급자’는 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘․ 감독을 받아 개인정보를 처리하는 자(개인정보 보호법 제28조)이고, 개인정보보호법 제59조4)의 수범자인 ‘개인정보를 처리하거나 처리하였던 자’는 제2조 제5호 소정의 ‘개인정보처리자’ 즉 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등에 한정되지 않고, 업무상 알게 된 제2조 제1호 소정의 ‘개인정보’를 제2조 제2호 소정의 방법으로 ‘처리’하거나 ‘처리’하였던 자를 포함한다는 점에서 각 개인정보처리자와는 구별되는 개념이다(대법원 2016. 3. 10. 선고 2015도8766 판결).
● 제59조(금지행위) 개인정보를 처리하거나 처리하였던 자는 다음 각호의 어느 하나에 해당하는 행위를 하여 서는 아니 된다.
1. 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위
2. 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위
3. 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 이용, 훼손, 멸실, 변경, 위조 또는 유출하는 행위
⑵ 개인정보 ‘제공’의 의미
㈎ 개인정보보호법은 ‘처리’의 한 유형으로 ‘제공’을 두고 있으나(제2조 제2호) ‘제공’에 관한 별도의 정의 규정은 두고 있지 않다. 표준 개인정보 보호지침에서는 개인정보의 ‘제공’이란 개인정보의 저장 매체나 개인정보가 담긴 출력물․책자 등을 물리적으로 이전하거나 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제3자의 접근 권한 부여, 개인정보처리자와 제3자의 개인정보 공유 등 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위를 말한다고 정의한다(제8조 제1항).
개인정보의 ‘제공’은 개인정보처리자 외의 제3자에게 개인정보의 지배․관리권이 이전되는 것, 즉 개인정보를 저장한 매체나 수기문서를 전달하는 경우뿐만 아니라, DB 시스템에 대한 접속권한을 허용하여 열람․복사가 가능하게 하여 개인정보를 공유하는 경우 등도 ‘제공’에 포함된다.
● 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.
2. “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
㈏ 대법원은 「개인정보 보호법」 제71조 제5호 후단의 ‘개인정보를 제공받은 자’에 해당한다고 보기 위해서는 개인정보를 처리하거나 처리하였던 자가 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 개인정보의 지배․관리권을 이전받을 것을 요한다고 보아(대법원 2024. 8. 23. 선고 2020도18397 판결) ‘제공’은 개인 정보 ‘지배․관리권의 이전’을 의미함을 확인하였다.
⑶ 개인정보 보호법 제19조의 입법 취지 등
개인정보보호법 제19조는 개인정보를 제공받은 자가 그 개인정보를 제한 없이 처리할 수 있다면 개인정보 유출 또는 불법유통 등 정보주체의 권리를 침해할 우려가 높기 때문에 이를 금지하고자 하는 것이다. 위 규정은 개인정보처리자로부터 개인정보를 제공받은 자에게 적용되고, 개인정보처리 업무를 위탁받은 수탁자에게는 본 조항이 적용되지 않는다. 개인정보를 제공받은 자는 해당 개인정보를 제공하거나 제공받은 목적과 다른 용도로 이용하거나 제3자에게 제공하여서는 안 된다. 개인정보 보호법 제19조는 개인정보를 제공받은 자의 목적 외 이용․제공을 금지하는 규정일 뿐 개인정보를 제공받은 자의 목적 내 이용․제공을 금지하는 규정은 아니다. 따라서 개인정보를 제공받은 자는 개인정보 보호법 제17조 제1항 제2호의 사유가 있는 경우 수집한 정보를 해당 수집 목적의 범위 내에서 정보주체의 동의 없이 제3자에게 제공할 수 있다.
나. ‘법원’의 의미
⑴ 개인정보 보호법의 ‘공공기관’, ‘법원’에 관한 규정
㈎ 앞서 본 바와 같이 공공기관도 개인정보처리자가 될 수 있다. 개인정보 보호법은 ‘공공기관’을 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기 관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체[(가)목], 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관[(나)목]으로 정의한다(제2조 제6호).
개인정보보호법은 공공부문과 민간부문을 구분하지 않고 하나의 법으로 규율하되, 공공기관에 대하여는 의무를 강화하거나 혹 은 완화하여 달리 규정하는 바가 있으므로 이에 대한 정의규정을 둔 것이다.
㈏ 그중 법원에 관하여는 ‘법원의 행정사무를 처리하는 기관’이라고 명시하고 있다. 사법행정사무를 관장하기 위하여 대법원에 법원행정처를 두고, 법원행정처는 법원의 인사․예산․회계․시설․통계․송무(訟務)․등기․가족관계등록․공탁․집행관․법무사․법령조사 및 사법제도연구에 관한 사무를 관장한다(법원조직법 제19조).
개인정보보호법은 국회, 법원, 헌법재판소, 중앙선거관리위원회는 다른 국가기관과 구별하여 그 ‘행정사무를 처리하는 기관’(국회는 국회사무처, 국회도서관 등, 법원은 법원행정처, 헌법재판소는 헌법재판소사무처, 중앙선거관리위원회는 중앙선거관리위원회사무처가 각 이에 해당한다)을 법적용의 주체로 규정하고 있는데, 헌법기관인 해당 기관들에 대하여는 그 특성을 고려한 별도 규정을 두고 행정사무처리기관을 수범자로 규정한 것으로 보인다.
㈐ 위 기관들에 대한 개인정보 보호기본계획(제9조), 개인정보보호지침(제12조), 개인정보파일의 등록 및 공개(제32조), 개인정보 영향평가(제33조), 의견제시 및 개선권고(제61조), 시정조치(제64조)에 관한 규정 등이 그러하다.
● 제9조(기본계획)
① 보호위원회는 개인정보의 보호와 정보주체의 권익 보장을 위하여 3년마다 개인정보보호 기본계획(이하 ‘기본계획’이라 한다)을 관계 중앙행정기관의 장과 협의하여 수립한다.
③ 국회, 법원, 헌법재판소, 중앙선거관리위원회는 해당 기관(그 소속 기관을 포함한다)의 개인정보보호를 위한 기본계획을 수립․시행할 수 있다.
● 제12조(개인정보 보호지침)
① 행정안전부장관은 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 표준 개인정보 보호지침(이하 ‘표준지침’이라 한다)을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. ③ 국회, 법원, 헌법재판소 및 중앙선거관리위원회는 해당 기관(그 소속 기관을 포함한다)의 개인정보 보호지침을 정하여 시행할 수 있다.
● 제32조(개인정보파일의 등록 및 공개)
① 공공기관의 장이 개인정보파일을 운용하는 경우에는 다음 각호의 사항을 행정안전부장관에게 등록하여 야 한다. 등록한 사항이 변경된 경우에도 또한 같다.
1. 개인정보파일의 명칭 (이하 생략)
⑥ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정한다.
● 제33조(개인정보 영향평가)
① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 ‘영향평가’라 한다)를 하고 그 결과를 행정안전부장관에게 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 행정안전부장관이 지정하는 기관(이하 ‘평가기관’이라 한다) 중에서 의뢰하여야 한다.
⑦ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 영향평가에 관한 사항은 국회 규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따른다.
● 제61조(의견제시 및 개선권고)
④ 중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 그 소속 기관 및 소관 공공 기관에 대하여 개인정보 보호에 관한 의견을 제시하거나 지도․점검을 할 수 있다.
● 제64조(시정조치 등)
① 행정자치부장관은 개인정보가 침해되었다고 판단할 상당한 근거가 있고 이를 방치할 경우 회복하기 어려운 피해가 발생할 우려가 있다고 인정되면 이 법을 위반한 자(중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 제외한다)에 대하여 다음 각호에 해당하는 조치를 명할 수 있다. (이하 생략)
③ 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 그 소속 기관 및 소관 공공기관이 이 법을 위반하였을 때에는 제1항 각호에 해당하는 조치를 명할 수 있다.
④ 보호위원회는 중앙행정기관, 지방자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회가 이 법을 위반 하였을 때에는 해당 기관의 장에게 제1항 각호에 해당하는 조치를 하도록 권고할 수 있다. 이 경우 권고를 받은 기관은 특별한 사유가 없으면 이를 존중하여야 한다.
⑵ 법원의 의의
㈎ 법원은 사법권을 행사하는 국가기관을 말한다(헌법 제101조). 사법권은 법률상의 쟁송에 대하여 심리․재판하는 권한과 이에 부수하는 권한이다. 사법권에는 법관에 의 하여 행사되는 심판권뿐만 아니라 사법행정권과 사법입법권(규칙제정권)이 포함된다.
● 제101조
① 사법권은 법관으로 구성된 법원에 속한다.
② 법원은 최고법원인 대법원과 각급법원으로 조직된다.
㈏ 법원이라는 말은 조직법상의 의미와 소송법상 의미 두 가지로 사용된다. 조직법상 의미의 법원은 재판기관뿐 아니라 법원직원(법원조직법 제53조)을 포함한 통일체로 서 사법행정권의 주체 내지 그 행사 단위인 관청을 의미한다. 조직법상 의미의 법원은 최고법원인 대법원과 각급 법원으로 조직되고(헌법 제101조 제2항), 대법원 이외의 각 급 법원은 고등법원․특허법원․지방법원․가정법원․행정법원․회생법원으로 분류 된다(법원조직법 제3조).
소송법상 의미의 법원은 개개의 사건에 대하여 실제로 재판을 하는 재판기관으로서의 법원을 의미하고, 법관만으로 구성된다.
● 제53조(법원직원) 법관 외의 법원공무원은 대법원장이 임명하며, 그 수는 대법원규칙으로 정한다.
다. 소송당사자가 법원으로부터 소송서류를 송달받은 경우 ‘개인정보처리자로부터 개인정보를 제공받은 자’에 해당하는지
⑴ 쟁점의 정리
㈎ 사안과 같이 법원으로부터 소송서류를 송달받은 경우 개인정보 보호법 제19조의 ‘개인정보처리자로부터 개인정보를 제공받은 자’에 해당하여 해당 규정의 수범자가 되는지는 각 단계별로 나누어 생각해 볼 필요가 있다. ① 앞서 본 ‘개인정보처리자’의 개념을 바탕으로 재판업무를 수행함에 있어 법원을 개인정보처리자로 볼 수 있는지, ② 소송서류를 ‘개인정보’로 볼 수 있는지, ③ 소송서류의 송달을 법원의 개인정보 ‘제공’행위로 볼 수 있는지가 각 문제 될 수 있다. 논의의 가장 기본 전제는 결국 재판업무를 수행하는 법원(수소법원)이 개인정보처리자가 될 수 있는지일 것이다.
㈏ 이에 관하여는 ① 긍정설(소송법상의 의미를 포함하여 법원의 모든 업무에 관하여 ‘개인정보 처리자’에 해당한다는 견해)와 ② 부정설(재판업무에 관하여 법원은 ‘개인정보처리자’에 해당하지 않는다는 견해)가 대립한다.
⑵ 대상판결(대법원 2024. 12. 12. 선고 2021도12868 판결)의 결론 (= 부정설)
부정설을 택하였다. 개인정보 보호법은 개인정보처리자가 될 수 있는 ‘공공기관’ 중 법원에 관하여 법원의 행정사무를 처리하는 기관으로 정의하고 있고(제2조 제6호), 사법부 고유 업무인 재판사무와 법원의 행정사무, 즉 법원의 인사․예산․회계․시설․통계․송무․등기․가족관계등록․공탁․집행관․법무사․법령조사 및 사법제도연구에 관한 사무(법원조직법 제19조 제2항 참조) 등은 업무 목적과 내용 등에서 구별된다.
이러한 관련 법령의 문언, 규정 체계 및 ‘행정사무를 처리하는 기관’으로서의 법원 과 ‘재판사무를 처리하는 기관’으로서의 법원의 구별 등을 종합하여, 개개의 사건에 대하여 재판사무를 담당하는 법원(수소법원)은 ‘개인정보처리자’에서 제외된다고 보았다.
재판사무의 주체로서 법원이 재판 과정에서 증거나 서면의 일부 등으로 개인정보를 처리하더라도, 다수의 개인정보 그 자체를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 집합물, 즉 개인정보파일을 운용하기 위하여 개 인정보를 처리하는 것이라고 볼 수 없다는 점에서도 그러하다.
라. 대상판결(대법원 2024. 12. 12. 선고 2021도12868 판결)의 의의
대상판결(대법원 2024. 12. 12. 선고 2021도12868 판결)은 개인정보 보호법, 법원조직법 등 의 체계적 해석을 통하여 개인정보처리자, 개인정보파일 운용의 개념 요소와 법원의 고유 업무인 재판사무 업무와 법원의 행정사무가 구별된다는 점을 확인하고, 이를 통하여 사법부 고유 업무인 재판사무를 담당하는 수소법원은 개인정보처리자에 해당하지 않음을 명확히 하였다.
【개인정보보호법<개인정보의 제공, 개인영상정보, 개인정보매입(취득)>】《개인정보를 처리하거나 처리하였던 자가 CCTV 영상을 재생하여 시청할 수 있도록 해 준 경우 그 영상을 시청한 행위를 ‘개인정보를 제공받은 행위’로 볼 수 있는지 여부(대법원 2024. 8. 23. 선고 2020도18397 판결), 개인정보보호법 제72조 제2호 전단의 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하는 행위’의 의미(대법원 2024. 6. 17. 선고 2019도3402 판결)》〔윤경 변호사 더리드(The Lead) 법률사무소〕
1. 개인정보보호법 제72조 제2호 전단의 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하는 행위’의 의미(대법원 2024. 6. 17. 선고 2019도3402 판결) [이하 대법원판례해설 제140호, 김태욱 P.561-579]
가. 개인정보 보호법 개관
⑴ 개인정보 보호법의 보호법익
개인정보 보호법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다(제1조). 개인정보자기결정권이란 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리, 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 통제․결정할 수 있는 권리를 말한다(헌법재판소 2005. 7. 21. 선고 2003헌마282, 425 전원재판부 결정).
⑵ 개인정보 보호법의 구조
개인정보 보호법은 금지 및 행위규범을 정함에 있어 일반적으로 개인정보처리 자를 수범자로 하여 규율하면서도, 제8장 보칙의 장에 따로 제59조를 두어 ‘개인정보처리자’ 외에도 ‘개인정보를 처리하거나 처리하였던 자’를 의무주체로 하는 금지행위에 관하여 규정함으로써 수범자의 범위를 확장하고 있다.
⑶ 개인정보 보호법의 ‘제공’에 관한 형사처벌
개인정보 보호법은 다른 입법례에서 찾기 어려울 만큼 광범위하고 강력한 형사처벌을 두고 있는 것이 특징이다. 개인정보의 제공 등과 관련된 형사처벌 조항은 아래 표와 같이 ㈎ 대향범의 구조로 처벌하는 규정, ㈏, ㈐ 일방만 처벌하는 규정으로 구성된다(이하 표는 현행법을 기준으로 한다).
㈎ 제공한 자와 피제공자 모두 처벌
㈏ 피제공자만 처벌하는 경우
㈐ 누설․제공한 자만 처벌하는 경우
나. 이 사건의 쟁점(제2 예비적 공소사실 관련)
⑴ 개인정보 보호법 제59조 제1호는 ‘개인정보를 처리하거나 처리하였던 자는 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 하여서는 아니 된다.’고 규정하고, 제72조 제2호는 ‘제59조 제1호를 위반하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자’를 처벌하고 있다(이하 제72조 제2호 전단을 ‘쟁점 조항’이라 한다. 이후 개인정보 보호법이 개정되었으나 쟁점 조항은 동일하다).
⑵ 피고인들이 개인정보 판매상으로부터 정보주체의 동의 없이 유통되고 있는 개인 정보를 매입한 행위를 개인정보 보호법 쟁점 조항의 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득’한 행위로 볼 수 있는지가 이 사건의 주된 쟁점이다.
다. 쟁점 조항 일반론
⑴ 수범자 – 개인정보를 처리하거나 처리하였던 자
개인정보보호법 제59조는 ‘개인정보를 처리하거나 처리하였던 자’에게 개인정보 침해 금지의무를 부과함으로써 수범자의 범위를 넓힌다. 개인정보 보호법 제59조의 ‘개인정보를 처리하거나 처리하였던 자’는 ‘개인정보처리자’, 즉 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등(개인정보보호법 제2조 제5호)에 한정되지 않고, 업무상 알게 된 제2조 제1호 소정의 ‘개인정보’를 제2조 제2호 소정의 방법으로 ‘처리’하거나 ‘처리’하였던 자를 포함한다(대법원 2016. 3. 10. 선고 2015도8766 판결).
⑵ 행위 – 거짓이나 그 밖의 부정한 수단으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위
대법원은, 경품행사의 목적이 고객들의 개인정보를 수집하여 이를 보험회사에 대가를 받고 판매하는 데 있었음에도 경품 응모권 용지에 개인정보 수집 및 제3자 제공에 관한 내용을 약 1mm 크기로 인쇄하여 사실상 읽을 수 없도록 하여 고객들의 개인정보를 취득하고 그 처리에 관한 동의를 받은 사안에서, “개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’이란 개인정보를 취득하거나 또는 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 개인정보 취득 또는 그 처리에 동의할 지에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위를 뜻한다.”라고 판시하였다[대법원 2017. 4. 7. 선고 2016도13263 판결].
한편 개인정보 보호법 제70조 제2호는 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 다른 사람이 처리하고 있는 개인정보를 취득한 후 이를 영리 또는 부정한 목적으로 제3자에게 제공한 자와 이를 교사․알선한 자’를 처벌하고 있어 쟁점 조항과 ‘거짓이나 그 밖의 부정한 수단이나 방법’을 동일하게 규정하고 있다.
⑶ 상대방 – 정보주체에 국한되지 않음
개인정보 보호법 제59조와 쟁점 조항은 ‘개인정보를 취득하거나 처리에 관한 동의를 받은 행위’를 처벌대상으로 하면서, 누구로부터 개인정보를 취득하여야 하는지 혹은 누구로부터 처리에 관한 동의를 받아야 하는지에 관하여 문언상 아무런 제한을 두고 있지 않다. 쟁점 조항의 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하는 행위(Ⓐ)’와 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보 처리에 관한 동의를 받는 행위(Ⓑ)’는 준별된다. 개인정보 취득은 정보주체 뿐 아니라 개인정보를 보유하는 자로부터도 이루어질 수 있으므로, Ⓐ에 관하여 정보주체와의 관계에서만 거짓이나 그 밖의 부정한 수단이 사용되는 것에 국한되지 않는다고 보아야 한다.
⑷ 개인정보 보호법 제72조 제2호 전단과 후단의 구별
개인정보 보호법 제72조 제2호는 전단(쟁점 조항)에서 개인정보 취득자를, 후단에서 전득자를 처벌하고 있다. 전단은 개인정보를 처리하거나 처리하였던 자를 주체로 하여 그 위반행위를 처벌하는 반면, 후단은 주체의 제한을 두지 않는 대신 주관적 요건을 충족한 자, 즉 그 사정을 알면서 영리 또는 부정한 목적으로 개인정보를 제공받은 자를 처벌한다.
라. 개인정보 판매상으로부터 불법 유통 개인정보를 매입한 행위를 ‘부정한 수단이나 방법을 사용하여 개인정보를 취득’한 것으로 볼 수 있는지
⑴ 논의의 전제
쟁점 조항 중 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하는 행위’의 의미를 분명하게 하기 위하여 쟁점 조항이 적용되어 기소된 선례들을 통하여 행위를 유형화한 후 유형별 행위, 특히 불법 유통되는 개인정보의 매입행위가 쟁점 조항의 처벌 대상에 포함되는지에 관한 견해대립을 상정하여 본다.
다음과 같은 견해는 견해대립 상정에서 제외한다. 먼저 단순히 개인정보 보호법에서 정한 절차를 거쳐 취득된 개인정보가 아니라는 것을 알면서 이를 취득하더라도 쟁점 조항에 해당한다는 견해이다. 구 개인정보 보호법 제75조에서 개인정보처리자가 정보주체의 동의 없이 개인정보를 수집하는 경우 과태료를 부과할 뿐이므로[현행 개인정보 보호법에서는 개인정보처리자가 법 제15조 제1항, 제17조 제1항, 제18조 제2항을 위반하여 개인정보를 처리한 경우 과징금을 부과한다(제64조의2)], 쟁점 조항은 법에서 정한 근거 없이 개인정보를 취득한 것에 더하여 그 취득이 ‘거짓이나 그 밖의 부정한 수단이나 방법’으로 이루어질 것을 요건으로 한다고 보아야 하기 때문이다.
다음으로, 부정한 수단 등은 ‘정보주체로부터’ 개인정보를 취득함에 있어 ‘정보주체의 의사결정에 영향을 미칠 수 있는’ 행위만을 의미한다는 견해도 제외한다. 앞서 본 바와 같이 쟁점 조항은 부정한 수단 등을 반드시 특정 상대방에게 행사하거나 개인정보 출처를 정보주체로 한정한다는 의미로 볼 수 없기 때문이다.
⑵ 행위의 유형화
㈎ 기망, 협박 등에 의한 하자 있는 의사에 기한 취득(이하 ‘❶ 유형’이라 한다)
광고 및 경품행사의 주된 목적을 숨긴 채 사은행사를 하는 것처럼 소비자들을 오인하게 한 다음 경품행사와는 무관한 고객들의 개인정보까지 수집하여 이를 제3자에게 제공하는 경우(기망에 의한 개인정보 취득. 앞서 본 대법원 2017. 4. 7. 선고 2016도13263 판결), 실제로 휴대전화가 개통되지 않는다고 기망하거나 휴대폰 개통에 동의하고 3개월을 유지하면 현금을 지급하겠다는 취지로 기망하여 개인정보 이용에 관한 동의를 받는 경우(기망에 의하여 개인정보 처리에 관한 동의를 받음. 대법원 2017. 2. 27. 자 2017도467 결정의 사안), 초등학교 근처에서 어린 나이로 판단능력이 부족한 불특정 다수 초등학생들에게 선물을 하는 등으로 이름, 학년 부모의 전화번호 등을 물어보아 기록하는 경우(판단능력 부족을 이용한 개인정보 취득. 대법원 2015. 1. 15. 자 2014도16946 결정의 사안) 등을 예로 들 수 있다.
㈏ 해킹, 악성코드나 스파이웨어 이용 또는 오프라인에서 관리 소홀 등을 이용하여 몰래 취득(이하 ‘❷ 유형’이라 한다)
접근권한 없이 정보통신망에 침입하거나 물리적으로 개인정보를 정리한 자료를 절취하는 등으로 제3자가 보유하는 개인정보를 취득하는 경우를 예로 들 수 있다.
㈐ 불법 유통되는 개인정보의 취득(이하 ‘❸ 유형’이라 한다)
정보주체의 동의가 없다는 것이 명백하거나 개인정보처리자가 제3자에게 개인정보를 제공할 수 있는 사유에 해당하지 않음이 명백한 개인정보임에도 이를 거래에 의하여 취득하는 경우이다. 이 사건과 같이 개인정보 판매상으로부터 다량의 개인 정보를 유상으로 매입하는 경우 등을 예로 들 수 있다.
⑶ 견해 대립
이에 대하여는, ① 제1설(무죄설)과 ② 제2설(유죄설)이 대립한다.
⑷ 대상판결(대법원 2024. 6. 17. 선고 2019도3402 판결)의 결론
㈎ 대상판결(대법원 2024. 6. 17. 선고 2019도3402 판결)은 개인정보 취득 과정에서 사용하는 ‘거짓이나 그 밖의 부정한 수단이 나 방법’의 의미에 대하여 ‘정보주체나 개인정보 보유자의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위는 물론 해킹과 같이 정보주체 등의 의사결정과 무관하게 그 자체로 위계 기타 사회통념상 부정한 방법이라고 인정되는 행위도 포함된다.’고 설시하면서 피고인들이 개인정보 판매상들로부터 대량의 개인정보를 그 출처를 확인하지 않은 채 수회에 걸쳐 유상으로 매입한 사실을 알 수 있으나, 위와 같은 사실만으로는 피고인들이 개인정보를 취득하기 위하여 위계 기타 사회통념상 부정한 방법을 사용하여 개인정보 판매상의 의사결정에 영향을 미쳤다거나 해킹 등 그 자체로 위계 기타 사회통념상 부정하다고 볼 수 있는 방법을 사용하였다고 보기는 어렵다고 보아 제1설(무죄설)을 채택하였다.
㈏ 대상판결(대법원 2024. 6. 17. 선고 2019도3402 판결)은 쟁점 조항의 ‘거짓이나 그 밖의 부정한 수단이나 방법’으로 개인정보를 취득하는 것은 정보주체의 하자 있는 의사에 기한 취득에 한정되지 않는다고 보았다. 다만 개인정보 보호법에서 정한 절차를 거쳐 취득한 개인정보가 아니라는 것을 알면서 취득한 것만으로는 부족하고 취득 과정에 ‘거짓이나 그 밖의 부정한 수단이나 방법’이 개입되어야 하는데, 개인정보 보호법의 문언, 벌칙 구조, 다른 규정과의 조화로운 해석 등을 고려하여 정보주체나 개인정보 보유자의 하자 있는 의사에 기하여 취득하는 것이나 해킹이나 절취 등 그 자체로 사회통념상 부정한 방법이라고 인정되는 행위는 포함되나, 쌍방의 합의에 의하여 거래로 취득하는 행위는 이에 포함되지 않는다고 본 것이다. 다만 이는 개인정보 보호법 제72조 제2호 전단(쟁점 조항)에 관한 것이고, 제공받은 개인정보가 ‘개인정보를 처리하거나 처리 하였던 자’가 ‘거짓이나 그 밖의 부정한 수단이나 방법을 사용하여 취득하거나 개인정보 처리에 관한 동의를 받은 것’이라는 사정을 알았고, 이를 영리 또는 부정한 목적으로 제공받은 것이라면 개인정보 보호법 제72조 제2호 후단으로 처벌할 수 있음은 당연하다.
개인정보 보호법의 문언이나 벌칙 구조에 비추어 보면, 대상판결(대법원 2024. 6. 17. 선고 2019도3402 판결)의 결론은 타당 하다고 보인다.
마. 대상판결(대법원 2024. 6. 17. 선고 2019도3402 판결)의 의의
대상판결(대법원 2024. 6. 17. 선고 2019도3402 판결)은 개인정보 보호법 제72조 제2호의 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득’하는 것의 의미에 대하여 대법원 2017. 4. 7. 선고 2016579도13263 판결에서 제시한 ‘개인정보 취득 또는 그 처리에 동의할 지에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위’에 더하여 정보주체뿐 아니라 개인정보 보유자의 의사결정에 영향을 미칠 수 있는 행위, 정보주체 등의 의사결정과 무관하게 그 자체로 위계 기타 사회통념상 부정한 방법이라고 인정되는 행위도 포함될 수 있음을 확인하였다.
바. 개인정보보호법 제72조 제2호 전단의 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하는 행위’의 의미(대법원 2024. 6. 17. 선고 2019도3402 판결)
⑴ 위 판결의 쟁점은, 「개인정보 보호법」 제72조 제2호 전단의 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득한 행위’ 및 후단의 ‘그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자’의 의미이다.
⑵ 구 「개인정보 보호법」(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 ‘구 개인정보 보호법’이라 한다) 제59조 제1호는 ‘개인정보를 처리하거나 처리하였던 자는 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 하여서는 아니 된다.’고 규정하고, 제72조 제2호는 ‘제59조 제1호를 위반하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자‘를 처벌하고 있다.
구 개인정보 보호법 제72조 제2호 전단에서 규정한 ‘거짓이나 그 밖의 부정한 수단이나 방법’이란 개인정보를 취득하거나 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 일체의 행위를 말한다(대법원 2017. 4. 7. 선고 2016도13263 판결 등 참조). 그 중 개인정보 취득 과정에서 사용하는 ‘거짓이나 그 밖의 부정한 수단이나 방법’에는 정보주체나 개인정보 보유자의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위는 물론 해킹과 같이 정보주체 등의 의사결정과 무관하게 그 자체로 위계 기타 사회통념상 부정한 방법이라고 인정되는 행위도 포함된다.
한편, 구 개인정보 보호법 제72조 제2호가 전단과 후단에서 ‘취득한 자’와 ‘제공받은 자’를 구별하여 정하고 있으므로 개인정보가 정보주체의 동의 등에 기하지 아니한 채 유통되고 있는 사정을 알면서 개인정보를 제공받은 것만으로는 구 개인정보 보호법 제72조 제2호 전단의 ‘거짓이나 그 밖의 부정한 수단이나 방법’을 사용하여 개인정보를 취득하였다고 보기는 어렵다. 다만 개인정보를 제공받은 사람이 ‘개인정보를 처리하거나 처리하였던 자가 거짓이나 그 밖의 부정한 수단이나 방법을 사용하여 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받았다는 사정’을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 경우에는 구 개인정보 보호법 제72조 제2호 후단에 해당될 수 있다.
⑶ 텔레마케팅 업무 등에 종사하는 피고인들이 개인정보판매상으로부터 대량의 개인정보를 유상으로 매입하였다는 개인정보 보호법 위반 등으로 기소된 사안임
⑷ 원심은, 구 개인정보 보호법 제72조 제2호는 개인정보를 처리하거나 처리하였던 자가 ‘정보주체’로부터 개인정보를 취득하거나 그 처리에 관한 동의를 받는 과정에서 거짓이나 그 밖의 부정한 수단이나 방법을 사용한 경우를 처벌하는 규정이므로, 행위자가 정보주체로부터 개인정보를 취득하거나 그 처리에 관한 동의를 받은 사실 자체가 없는 경우에는 위 조항에 의하여 처벌할 수 없다고 보아, 이 부분 공소사실을 무죄로 판단하였음
⑸ 대법원은 위와 같은 법리를 설시하면서, 개인정보 취득 과정에서 사용하는 ‘거짓이나 그 밖의 부정한 수단이나 방법’에는 정보주체 등의 의사결정과 무관하게 그 자체로 위계 기타 사회통념상 부정한 방법이라고 인정되는 행위도 포함하므로 원심이 정보주체로부터 개인정보를 취득하거나 그 처리에 관한 동의를 받은 사실을 인정할 증거가 없다는 이유만으로 구 개인정보 보호법 제72조 제2호의 죄가 성립하지 않는다고 본 것은 잘못이나, 피고인들이 정보판매상으로부터 대량의 개인정보를 그 출처를 확인하지 않은 채 매수한 사실만으로는 구 개인정보 보호법 제72조 제2호 전단에서 정한 ‘거짓 그 밖의 부정한 수단이나 방법으로 개인정보를 취득’하였다고 보기 어렵고, 피고인들이 개인정보의 출처나 그 유통 경위를 알지 못하였다면 매입한 개인정보가 그 전 단계에서 ‘개인정보를 처리하거나 처리하였던 자가 거짓이나 그 밖의 부정한 수단이나 방법을 사용하여 취득한 개인정보이거나 그와 같은 방법을 사용하여 개인정보 처리에 관한 동의를 받은 개인정보’인 사정을 알았다고 볼 수도 없으므로, 피고인들의 행위는 구 개인정보 보호법 제72조 제2호 전단 내지 후단에 해당하지 않아 원심의 위와 같은 잘못은 판결에 영향이 없다고 보아, 원심의 결론을 수긍하여 상고를 기각함
2. 개인정보를 처리하거나 처리하였던 자가 CCTV 영상을 재생하여 시청할 수 있도록 해 준 경우 그 영상을 시청한 행위를 ‘개인정보를 제공받은 행위’로 볼 수 있는지 여부(대법원 2024. 8. 23. 선고 2020도18397 판결) [이하 대법원판례해설 제142호 최지아 P.402-415 참조]
가. 구 개인정보 보호법 제71조 제5호의 ‘다른 사람이 이용하도록 제공한 자’, ‘개인정보를 제공받은 자’의 의미
⑴ 구 개인정보 보호법 제71조 제5호, 제59조 제2호
㈎ 구 개인정보 보호법 제59조 제2호(구법과 현행법이 동일하다)는 개인정보를 처리하거나 처리하였던 자는 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위를 하여서는 아니 된다고 규정하고, 제71조 제5호(이하 이 사건 ‘벌칙규정’이라고 한다. 현행법은 제71조 제9호이다)에서 제59조 제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자를 처벌한다.
㈏ 이 사건 벌칙규정에서의 ‘개인정보를 다른 사람이 이용하도록 제공한 자’, ‘개인정보를 제공받은 자’의 의미를 밝히기 위하여 이 사건 벌칙규정에서 사용되는 용어인 ‘이용’, ‘제공’의 의미를 파악한 후 이 사건 조항에서 처벌하는 행위가 무엇인지를 검토할 필요가 있다.
⑵ 개인정보 보호법 제59조 제2호
㈎ 이 사건 벌칙규정의 해석을 위해서는 제공자에 대한 금지조항의 취지를 검토할 필요가 있다.
㈏ 개인정보 보호법 제59조의 수범자는 ‘개인정보를 처리하거나 처리하였던 자’이다. 개인정보보호법은 업무를 목적으로 개인정보를 처리하는 개인정보처리자(제2조)를 중심으로 규율되고 있어 개인정보처리자 이외의 자에 의한 개인정보 침해행위에 대해서는 원칙적으로 적용되지 않는다. 다만 개인정보처리자가 아닌 개인에 의하여도 개인정보 자기결정권이 침해될 수 있기 때문에 보칙에서 제59조를 두어 개인정보 누설 등의 행위를 금지하고 있다. 제59조 제2호 소정의 의무주체인 ‘개인정보를 처리하거나 처리하였던 자’는 제2조 제5호 소정의 ‘개인정보처리자’ 즉 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등에 한정되지 않고, 업무상 알게 된 제2조 제1호 소정의 ‘개인정보’를 제2조 제2호 소정의 방법으로 ‘처리’하거나 ‘처리’하였던 자를 포함한다(대법원 2016. 3. 10. 선고 2015도8766 판결).
● 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.
4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
㈐ ‘업무상 알게 된 개인정보’를 처리하거나 처리하였을 것을 요구한다. ‘업무상 알게 된 개인정보’란 넓게 업무를 처리하는 과정에서 우연히 알게 된 것으로 충분하고 반드시 자신에게 부여된 업무를 처리하는 과정에서 적법하게 알게 된 것이어야 할 필요는 없다고 볼 것이다.
㈑ ‘누설’은 아직 개인정보를 알지 못하는 타인에게 알려주는 일체의 행위를 말한다(대법원 2022. 11. 10. 선고 2018도1966 판결 등 참조). 또한 ‘권한 없이 다른 사람이 이용하도록 제공’한 행위를 처벌하는데, 그 의미는 이하에서 본다.
⑶ 개인정보 보호법의 ‘제공’, ‘이용’의 의미
㈎ 개인정보 보호법의 규정
개인정보 보호법은 개인정보의 ‘처리’에 관하여 광범위한 정의규정을 두고, 처리 중 ‘이용’, ‘제공’을 구별하고 있다. 처리의 개념은 개인정보에 대하여 수행할 수 있는 어떤 행위도 포함하는 것으로 이해할 수 있고, 개인정보 보호법은 개인정보의 수집, 이용, 제공, 파기 등 중요한 단계별로 규정을 하고 있다.
● 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.
2. “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.407
㈏ 개인정보 ‘제공’의 의미
① 개인정보 보호법은 ‘처리’의 한 유형으로 ‘제공’을 두고 있으나(제2조 제2호) ‘제공’에 관한 별도의 정의규정은 두고 있지 않다. 표준 개인정보 보호지침에서는 개인정보의 ‘제공’이란 개인정보의 저장 매체나 개인정보가 담긴 출력물․책자 등을 물리적으로 이전하거나 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제3자의 접근 권한 부여, 개인정보처리자와 제3자의 개인정보 공유 등 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위를 말한다고 정의한다(제8조 제1항). 위와 같은 관련 법령 등의 내용을 종합하여 보면, 개인정보의 제공이란 개인정보의 이전 또는 공동 이용 상태를 초래하는 행위로써, 개인정보처리자 외의 제3자에게 ‘개인정보의 지배․관리권의 이전’을 핵심적 요소로 한다고 볼 수 있다.
● 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.
2. “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
② 개인정보를 저장한 매체나 수기문서를 전달하는 경우뿐만 아니라, DB 시스템에 대한 접속권한을 허용하여 열람․복사가 가능하게 하여 개인정보를 공유하는 경우 등이 개인정보의 제공의 전형적인 예이다. 그러나 개인정보의 제공은 정보를 체화(體化)한 유체물의 물리적 이전이나 정보에 유형적․무형적으로 접근 가능하도록 하는 방법 등으로만 이루어지는 것은 아니고, 개인정보를 지득하고 이를 자유롭게 이용하거나 타인에게 제공할 수 있는 상태가 되었다면 정보의 지배․관리권은 이전되었다고 볼 수 있으므로 단순히 알려주는 행위도 ‘제공’에 해당할 수 있다. 개인정보는 그 내용, 형태를 불문하므로 정보에 대한 지배․관리권이 이전되는 것도 그 형태나 방식을 불문하기 때문이다.
③ 다만 영상 형태의 개인정보의 경우에는 영상 형태로만 정보에 대한 지배․관리권이 이전될 수 있으므로 단순히 보여주는 것은 제공에 해당되지 않는다고 볼 것인지가 이 사건의 핵심 쟁점이다.
㈐ 개인정보 ‘이용’의 의미
개인정보의 이용이란 개인정보처리자(기관․단체․법인 등) 내에서 개인정보의 지배․관리권 이전 없이 스스로의 목적으로 쓰는 것이다. 대법원은 개인정보 보호법 제71조 제2호, 제19조는 개인정보처리자로부터 개인정보를 제공받은 사람이 제공받은 목적 외의 용도로 이용하는 행위를 처벌하는데, 피고인이 CCTV 영상을 열람하던 중 휴대전화로 촬영한 행위를 위 규정의 이용으로 볼 수 없다고 본 원심을 수긍하였다(대 법원 2022. 1. 14. 선고 2018도18095 판결). 이때 영상을 촬영한 행위는 개인정보의 ‘수집’에는 해당할 수 있으나 ‘이용’이라고 보기는 어려울 것이다.
⑷ 이 사건 벌칙규정의 ‘다른 사람이 이용하도록 제공한 자’, ‘개인정보를 제공받은 자’의 해석
㈎ 제공에 관한 다른 벌칙규정은 제공자의 행위를 ‘제3자에게 제공’이라는 표현을 사 용하는 반면, 이 사건 벌칙규정에서는 ‘다른 사람이 이용하도록 제공’이라고 표현하고 있다. 이 사건 벌칙규정은 대향범과 같은 구조이고[그러나 제공한 자로부터 직접 제공받을 것을 요구하지는 않는다는 점에서 대향범은 아니다(대법원 2018. 1. 24. 선고 2015도16508 판결 참조)] ‘그 사정을 알 것’을 요구하므로, 제공하는 자에 대한 행위태양의 해석 없이 후단(그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자)을 독자적으로 해석하기 어렵다. 이용과 제공은 구별되는 개념임에도 금지되는 행위태양에 함께 사용되고 있어 정보에 대한 지배․관리권의 이전 없이 다른 사람이 이용하게 하는 행위도 금지되는 것인지, 이를 넘어 다른 사람에게 제공하는 행위가 금지되는 것인지의 해석이 문제 될 수 있다. 통상 개인정보의 ‘제공’의 개념에는 단순히 이를 알게 하는 것도 포함되므로 제3자에게 이를 이용하게 하는 행위와 제공하는 행위를 명확하게 구별하기 어렵고 그 실익도 없다. 그러나 단순히 지득하게 된 것만으로는 정보에 대한 지배․관리권이 이전되었다고 보기 어려운 경우에는 이 사건 벌칙규정의 의미를 분명히 할 필요가 있을 것이다. 앞서 본 바와 같이 이 사건과 같은 영상 형태의 개인정보는 지득한 것만으로 개인정보의 지배․관리권이 이전되었다고 볼 수 있는지가 문제 되므로 선행적으로 처벌조항의 의미를 살
펴본다. 검사의 주장과 같이 지배․관리권의 이전에 이르지 않는 단순한 이용만으로 도 ‘다른 사람이 이용하도록 제공’한 것이라고 본다면 그 상대방의 경우에도 마찬가지라고 볼 것이므로, 영상 형태의 개인정보의 경우 어떠한 경우에 지배․관리권이 이전 되는지 더 나아가 살펴볼 실익이 없다.
㈏ 그러나 이 사건 벌칙규정에서의 ‘다른 사람이 이용하도록 제공한 자’, ‘개인정보를 제공받은 자’의 의미는 지배․관리권이 이전되는 ‘제공’행위를 처벌하는 의미로 해석함이 타당하다(다만 ‘그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받는 것’(후단)은 제공자의 행위가 ‘개인정보를 누설’하는 것과 ‘권한 없이 다른 사람이 이용하도록 제공’하는 행위 모두에 대응되는 것이고, ‘권한 없이 다른 사람이 이용하도록 제공’하는 행위에만 대응되는 것은 아니라고 보아야 할 것이다. 즉 누설의 상대방도 피제공자로 처벌될 수 있다).
‘다른 사람이 이용하도록 제공’은 그 문언상으로도 정보를 제공함으 로써 다른 사람이 이를 자유롭게 이용하도록 한다는 의미로 해석할 수 있다. 이 사건 벌칙규정에서 다른 벌칙규정과 달리 전단의 제공자의 금지행위를 ‘다른 사람이 이용 하도록 제공’이라고 표현한 것은 수범자가 개인정보처리자에 한정되지 않고 ‘개인정보를 처리하거나 처리하였던 자’로 확장되어 있기 때문으로 보일 뿐 개인정보의 지배․관리권이 이전되는 ‘제공’과 다른 행위태양을 처벌하기 위함은 아닌 것으로 보인다. 이 사건 벌칙조항의 의미를 직접적으로 언급한 판례는 없지만, 구 개인정보보호법 제71조 제5호 후단의 해석에서 전단의 누설 혹은 제공 행위자로부터 직접 개인정보를 제공받는 경우에 한정할 것인지, 제3자를 통해서 누설․제공된 개인정보를 취득한 전득자도 포함하는 것이 문제 된 사안에서 “개인정보를 처리하거나 처리하였던 자로부터 직접 개인정보를 제공받지 아니하더라도 개인정보 보호법 제71조 제5호의 ‘개인정보를 제공받은 자’에 해당된다.”라고 보아(대법원 2018. 1. 24. 선고 2015도16508 판결) 제71조 제5호 전단의 ‘권한 없이 다른 사람이 이용하도록 제공하는 행위’를 ‘제공’과 같은 의미로 보는 것을 전제한다.
나. 개인영상정보의 성질
⑴ 개인정보의 정의, 구성요소
㈎ 개인정보 보호법은 ‘개인정보’를 살아있는 개인에 관한 정보로서, ① 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보[(가)목], ② 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 [(나)목], ③ (가)목 또는 (나)목을 개인정보 보호법 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용․결합 없이는 특정 개인을 알아볼 수 없는 정보[(다)목] 중 어느 하나에 해당하는 것을 말한다(개인정보보호법 제2조 제1호).
㈏ 대법원은 ① 경찰전산망에 있는 특정인이 수배되지 않았다는 내용(대법원 2012. 2. 23. 선고 2011도11209 판결), ② 지명수배자료(대법원 2015. 12. 10. 선고 2015도3540 판결), ③ 휴대전화번호(대법원 2015. 7. 23. 선고 2015도5321 판결 등), ④ 전화번호 뒤 네 자리(대법원 2014. 4. 24. 선고 2014도239 판결. 경찰공무원이 도박 신고자의 전화번호 뒤 네 자리를 알려준 행위에 대하여 개인정보의 누설이 문제된 사안 이다. 전화번호 뒷자리만으로는 개인을 알아볼 수 없더라도 다른 정보(생일, 기념일, 집 전화번호, 가족 전화 번호, 기존 통화내역 등)와 쉽게 결합하여 전화번호 사용자를 알아낼 수 있으므로 개인정보에 해당할 수 있다), ⑤ 게임 아이디와 비밀번호(대법원 2018. 6. 15. 선고 2015도15571 판결), ⑥ 여론조사를 통하여 취득한 전화번호의 가입자들의 주소, 지지후보, 지지정당 등의 정보(대법원 2011. 9. 29. 선고 2011도6213 판결)가 개인정보에 해당한다고 본 원심을 수긍한 바 있다.
㈐ 반면 ① 휴대전화 단말기가 발신하였을 때 접속한 기지국의 위치에 관한 정보는 구 「위치정보의 보호 및 이용 등에 관한 법률」 (2020. 6. 9. 법률 제17347호로 개정되기 전의 것) 제2조 제2호, 제1호에서 정한 위치 정보나 개인위치정보 또는 구 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 (2020. 2. 4. 법률 제16955호로 개정되기 전의 것) 제2조 제1항 제6호[“개인정보”란 생존하는 개인에 관한 정보로서 성명․주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호․문자․음성․음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다]에서 정한 개인 정보에 해당한다고 보기 어렵다고 보았고(대법원 2023. 7. 13. 선고 2020다255245 판결. 원고의 위치가 아닌 기지국의 위치에 관한 것으로서, 휴대전화 단말기가 발신하였을 때 접속한 기지국의 위치를 알 수 있다고 하더라도 휴대전화 단말기가 접속 가능한 기지국의 반경이 최대 수 킬로미터에 달하고 발신한 휴대전화 단말기에서 가장 가까운 기지국과 접속되지 않을 수도 있으며 같은 위치에서 발신하였더라도 주파수의 세기, 이용자의 수에 따라 접속되는 기지국이 바뀔 수 있는 사정 등에 비추어 보면, 발신기 지국 위치만으로는 휴대전화 단말기가 어느 위치에서 발신한 것인지를 알아내는 데 한계가 있기 때문이다), ② 조합원별 신축건물 동호수 배정 결과는 개인정보에 해당하지 않는다고 보았다(대법원 2021. 2. 10. 선고 2019도18700 판결).
③ 근로복지공단 직원이 노무사 또는 브로커에게 제공한 ‘급여원부’에 저장되어 있는 정보 중 통합심사 의뢰사유, 요양내역, 요양신청내용, 요양신청내역, 장해심사의뢰내역은 개인정보에 해당하지 않는다는 원심의 판단을 수긍한 예가 있다(대법원 2023. 2. 23. 선고 2022도4510 판결).
④ 특정한 정보가 개인정보인지 여부는 정보의 내용만을 기준으로 하는 절대적인 개념이라기보다는 제반 사정을 살펴 결합용이성이 있는지, 그로 인하여 개인을 식별할 수 있는지에 따라 달라질 수 있는 상대적 개념이라고 보아야 할 것이다.
⑵ 개인영상정보의 정의, 성질
㈎ 개인정보보호법은 개인정보에 관한 포괄적 규정을 두고 있을 뿐 개인영상정보에 대한 별도의 정의규정을 두고 있지 않고, 다만 영상정보처리기기를 정의하고 그 설 치․운영에 관한 제한 규정을 두고 있다. 표준 개인정보 보호지침에서는 개인영상정 보에 관한 정의규정을 두고, 고정형/이동형 영상정보처리기기에 의하여 촬영․처리된 개인영상정보의 이용, 제공, 파기 등에 관하여 규정한다. 구 표준 개인정보보호지침 (2017. 7. 26. 행정안전부고시 제2017-1호) 제2조 제9호에서는 “개인영상정보”를 영상 정보처리기기에 의하여 촬영․처리되는 영상정보 중 개인의 초상, 행동 등과 관련된 영상으로서 해당 개인을 식별할 수 있는 정보라고 정의하였으나, 현행 표준 개인정보 보호지침(2024. 1. 4. 개정 개인정보보호위원회고시 제2024-1호)에서는 법 제2조 제1호에 따른 개인정보 중 고정형 영상정보처리기기 또는 이동형 영상정보처리기기에 의하여 촬영․처리되는 영상 형태의 개인정보로 정의하여 ‘개인의 초상, 행동 등과 관련’ 부분을 삭제하였다.
㈏ 개인영상정보는 헌법상 보장되는 기본권인 초상권, 사생활의 비밀과 자유의 침해와 관련된다. 여기에서 보호되는 권리는 ‘신체적 특징에 관하여 촬영되지 않을 권리’인데, 이는 신체적 특징을 통하여 사회통념상 특정인임을 식별할 수 있기 때문이다. 다만 신체에 한정되는 것은 아니라고 볼 것이다. 예를 들어 특정 개인과 직접적 관련이 있는 물건이나 의복 등을 통하여 특정 개인을 알아볼 수 있다면 얼굴 등이 직접 촬영되어 있지 않더라도 개인정보에 해당할 수 있을 것이다. 「위치정보의 보호 및 이용 등에 관한 법률」 제2조 제2호에서 규정하는 ‘특정 개인의 위치정보(위치정보만으로는 특정 개인의 위치를 알 수 없는 경우에도 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알 수 있는 것을 포함한다)’를 포함할 수도 있다. 특히 고정형 영상정보처리기기에 촬영된 경우에는 특정 개인의 위치를 특정하기 쉽다.
다. CCTV 영상을 열람한 행위를 이 사건 처벌규정으로 처벌할 수 있는지
⑴ 쟁점의 정리
㈎ 이하의 논의는 개인의 초상, 행동 등과 관련된 개인영상정보를 전제로 하는 것이다(다만 이하에서 편의상 이러한 개인정보를 ‘개인영상정보’라고 지칭하기로 한다). 현행 표준지침 개인영상정보의 정의에 의하면, 개인의 초상, 행동 외에 언어로 표현할 수 있는 개인정보를 촬영한 영상도 개인영상정보에 포함될 수 있는데, 그러한 개인영상정보의 제공은 기존의 개인정보의 제공에 관한 논의와 크게 다르지 않다(즉 단순히 보여주어 그 정보를 지득하도록 하는 것으로도 개인정보의 제공에 해당할 수 있다).
㈏ 개인정보를 처리하거나 처리하였던 자가 영상정보를 사본 등의 형태로 제공하거나 제공받는 자가 스스로 사본을 만들 수 있도록 제공(예를 들어 영상의 촬영을 허용)하는 경우에는 (다른 요건을 갖추었음을 전제로) 제공자와 피제공자를 각 구 개인정보보호법 제71조 제5호로 처벌할 수 있다는 점에는 큰 의문이 없다.
㈐ 이 부분 논의는 개인영상정보를 제공한 자(전단)가 해당 영상정보를 열람, 시청만 가능하도록 한 경우를 전제하는 것이다. 제공자의 그와 같은 행위가 ‘권한 없이 다른 사람이 이용하도록 제공한 행위’에 해당하는지, 피제공자가 ‘개인정보를 제공받’은 것으로 보아 제공자와 피제공자를 구 개인정보 보호법 제71조 제5호로 처벌할 수 있을 지 여부이다.
개인영상정보를 열람하여 준 행위가 개인정보의 ‘누설’에 해당하여 제공자가 처벌 될 수 있는지 여부는 별론으로 한다.
㈑ CCTV 영상을 열람한 행위를 이 사건 처벌규정으로 처벌할 수 있는지에 관하여는 ① 유죄설과 ② 무죄설이 대립한다.
⑵ 대상판결의 결론
대상판결은 유죄설을 택하였다. 영상정보처리기기인 CCTV에 의하여 촬영된 개인 의 초상, 신체의 모습과 위치정보 등과 관련한 영상의 경우, 해당 영상에 담겨 있는 개인정보 중에는 가시성과 관련이 없는 부분도 포함될 수 있고, 그 경우 영상이 담긴 매체를 전달받는 등 영상 형태로 개인정보를 이전받는 것 외에도 이를 시청하는 등의 방식으로 영상에 포함된 특정하고 식별할 수 있는 살아있는 개인에 관한 정보를 지득함으로써 지배․관리권을 이전받는 것도 가능하다고 보았다. 이 사건과 같이 개인의 초상, 신체의 모습이 촬영된 영상 형태의 개인정보를 시청하는 경우에도 개인정보를 ‘제공’받은 것으로 평가할 수 있다고 보아 원심판결을 파기환송하였다.
⑶ 대상판결의 의의
개인정보의 제공은 개인정보의 지배․관리권을 이전을 핵심적 요소로 한다는 점을 확인하고, 지배․관리권의 이전이 이루어지는 것이라면 어떠한 형태나 방법에 의하더라도 가능하다고 보았다. 영상 형태의 개인정보의 제공의 경우에도 영상 형태로 개인 정보를 제공받는 것 외에 시청의 방법으로도 그에 포함된 일부 개인정보는 제공될 수 있다고 보았다.
라. 개인정보를 처리하거나 처리하였던 자가 CCTV 영상을 재생하여 시청할 수 있도록 해 준 경우 그 영상을 시청한 행위를 ‘개인정보를 제공받은 행위’로 볼 수 있는지 여부(대법원 2024. 8. 23. 선고 2020도18397 판결)
⑴ 위 판결의 쟁점은, 영상정보처리기기에 의하여 촬영된 개인의 초상, 신체의 모습과 위치정보 등과 관련한 영상의 형태로 존재하는 개인정보를 시청하는 등의 방식으로 영상에 포함된 특정하고 식별할 수 있는 살아있는 개인에 관한 정보를 지득함으로써 지배․관리권을 이전받은 자가 ‘개인정보를 제공받은 자’에 해당하는지 여부(적극)이다.
⑵ 구 「개인정보 보호법」(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 ‘구 개인정보 보호법’이라고 한다) 제59조 제2호는 ‘개인정보를 처리하거나 처리하였던 자는 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위를 하여서는 아니 된다’고 규정하고 있고, 제71조 제5호는 ‘제59조 제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자’를 처벌하는 것으로 규정하고 있다.
구 「개인정보 보호법」 제71조 제5호 후단의 ‘개인정보를 제공받은 자’에 해당한다고 보기 위해서는 개인정보를 처리하거나 처리하였던 자가 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 개인정보의 지배․관리권을 이전받을 것을 요한다. 영상정보처리기기에 의하여 촬영된 개인의 초상, 신체의 모습과 위치정보 등과 관련한 영상의 형태로 존재하는 개인정보의 경우, 영상이 담긴 매체를 전달받는 등 영상 형태로 개인정보를 이전받는 것 외에도 이를 시청하는 등의 방식으로 영상에 포함된 특정하고 식별할 수 있는 살아있는 개인에 관한 정보를 지득함으로써 지배․관리권을 이전받은 경우에도 구 「개인정보 보호법」 제71조 제5호 후단의 ‘개인정보를 제공받은 자’에 해당할 수 있다.
⑶ 피고인이 A가 도박신고를 하였는지 여부를 확인하기 위하여 장례식장 직원에게 장례식장 CCTV 영상을 보여줄 것을 부탁한 뒤, 그 직원으로부터 허락받은 CCTV 영상을 시청하고 이를 자신의 휴대전화를 이용하여 촬영함으로써, 부정한 목적으로 개인정보를 제공받았다는 개인정보 보호법 위반으로 기소된 사안임
⑷ 원심은, 장례식장 직원이 CCTV 영상을 재생하여 피고인에게 볼 수 있도록 해주었을 뿐이고 피고인이 위 직원 몰래 휴대전화를 이용하여 무단으로 영상을 촬영한 사실을 인정하고, 피고인이 무단으로 영상을 촬영한 행위나 영상을 시청한 행위만으로는 개인정보를 제공받은 행위로 볼 수 없다고 보아, 이 사건 공소사실에 대하여 무죄를 선고하였음
⑸ 대법원은 위와 같은 법리를 설시하면서, 위 직원이 영상을 재생하여 피고인에게 볼 수 있도록 하여 피고인이 이를 시청한 것은 구 개인정보 보호법 제71조 제5호 후단의 ‘개인정보를 제공받은 행위’에 해당할 수 있다고 보아, 이와 달리 판단한 원심을 파기·환송함
