업무상 개인정보를 취득한 당신. 부정한 이용은 형사처벌 대상이다.

geralt @ Pixabay.com

제품이나 용역의 구매 또는 사용을 위하여 개인정보제공, 위탁 또는 제3자 제공은 이미 특별한 법률적 동의 절차가 아니라 일상으로 느껴질 정도이다.

 

그런데 위 동의시 개인정보를 처리하는 자가 누구인지는 깊게 고려하지 않는 경우가 대다수이다. 

 

제품의나 용역의 제공자는 일반적으로 법인사업자인 경우가 대다수이므로, 개인정보의 수집, 취급, 처리, 파기의 당사자도 위 법인사업자로 생각하는 경우가 많다.

 

위 판단이 틀린 것은 아니다.

개인정보보호법상 개인정보처리자의 정의는 "업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인"이기 때문이다.

 

그렇다면 개인정보처리자, 일반적으로 법인에 고용되어 업무를 위한 개인정보를 운용하는 '개인'의 지위는 어떻게 정의할 수 있을까

 

개인정보보호법은 위 요건에 부합하는자를 '개인정보취급자'로 정의하고 있다. 즉 '개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자 등'은 개인정보보호법상 개인정보취급자로 정의된 것이다.

 

즉, 업무 목적으로 개인정보를 제공받는 법인은 '개인정보처리자', 위 개인정보처리자의 지휘감독을 받아 개인정보를 처리하는 임직원 또는 근로자는 '개인정보취급자'인 것이다.

 

이와 같은 정의의 구분은 개인정보운용에 관한 책임범위, 특히 형사처벌의 범위를 판단하는 데 중요하다.

개인정보보호법의 벌칙규정의 수범자가 대부분 개인정보처리자로 규정되어 있기 때문이다.

 

법구조의 형식성만을 보면 완전히 불합리하다고 할 수 없다. 

개인정보를 수집, 보관 및 파기하는 자는 형식상 개인정보처리자이므로, 위 의무부담자가 의무를 위배할 경우 처벌을 하면 되는 것이다.

 

하지만 실제 개인정보가 처리되는 과정을 생각해보면 위 처벌규정에 공백이 있음을 인지할 수 있다.

형식상 업무 목적으로 개인정보를 처리하는 자는 개인정보처리자이지만 이들은 일반적으로 법인, 즉 자연인이 아닌 경우가 대부분이다.

하지만 실질적으로 위 처리 전반에 관하여하는 자는 개인정보처리자에 고용되거나 업무를 위임받은 자연인들, 즉 개인정보취급자이다.

특히 개인정보의 목적외 사용 또는 유출의 경우 개인정보처리자 자체의 고의 과실 뿐만 아니라 개인정보취급자의 작위 또는 부작위가 개입되는 경우가 상당하다. 심지어 개인정보처리자는 스스로의 의무를 성실히 이행하였음에도 불구하고 개인정보취급자의 악의적 행위로 인하여 개인정보의 목적외 사용 또는 유출이 발생하는 경우도 충분히 생각해 볼 수 있다.

 

따라서 개인정보처리자 뿐만 아니라 개인정보취급자의 행위에 대한 형사처벌의 필요성도 충분히 대두될 수 있는 것이다.

 

최근 수능시험을 보던 수험생의 개인정보를 캐내 '마음에 든다'는 내용의 카카오톡 메시지를 보낸 고등학교 교사에 대한 형사사건이 그러하다.

 

이 경우 수능시험운영을 위하여 개인정보를 처리하는 개인청보처리자는 교육부 또는 한국교육과정평가원이지만 실제로 수집된 개인정보의 목적외 사용행위는 개인정보처리자가 아니라 개인정보취급자인 교사에 의하여 발생하였다 (물론 개인정보처리자도 개인정보취급자의 관리감독을 소홀히 한 데에 관한 책임을 부담할 수 있다).

 

그런데 개인정보취급자의 목적외 사용에 관하여는 법문상 처벌규정이 명확하다고 보기 어려운 점이 재판의 쟁점으로 부각된 것이다.

 

검찰은 위 고등학교 교사에 대하여 "개인정보처리자로부터 개인정보를 제공받은자"에 대한 처벌규정 (개인정보보호법 제71조 제2호, 동법 제19조)을 근거로 기소하였다. 즉 고등학교 교사는 개인정보처리자로부터 개인정보를 제공받은 자이고, 목적외 사용 금지에 관한 형사처벌 대상이 된다는 것이다.

 

검찰의 판단은 다소 무리한 것으로 보일 수도 있지만 사실 유사사례 (아동청소년보호법 위반 교사가 학생들의 개인정보를 이용하여 학생들 주소지에 사과문을 발송하고, 교사 대리 변호사에게 위 개인정보를 제공한 사실)에서 '개인정보를 제공받은 자'의 해당을 긍정한 1심 판례가 있었다 (수원지법2017고합281). 즉 행위양태상 개인정보처리자와 고용 또는 수탁관계에 있는 개인이 업무상 취득한 개인정보를 목적외로 사용하는 경우, 위 개인에 대하여 '개인정보를 제공받은 자'에 대한 처벌규정을 적용한 사례가 있었던 것이다. 추측하건대 위 사례의 경우 학생을 보호하여야 할 책임이 있는 교사가 오히려 학생들을 성적 추행하고, 자신의 형사적 면책을 위하여 학생의 개인정보를 임의 사용한 악의적 정황도 고려되었을 것이다. 

 

그러나 본건의 경우 1심에서는 무죄가 선고되었다. 고등학교 교사가 개인정보를 제공받은 자가 아니라는 근거였다.사실 법문의 형식적 해석으로는 1심 판단이 틀렸다고 보기는 어렵다. 앞서 기재한 바와 같이 수능감독교사는 개인정보처리자의 지휘감독을 받아 개인정보처리업무를 담당하는 개인정보취급자에 해당한다고 보는 것이 문언에 좀더 자연스럽게 합치되는 해석이기 때문이다.실제로 다른 1심판례에서는 '개인정보를 제공받은 자'를 아예 제3자, 즉 고용이나 지시감독관계가 없는 자라고 전제한 듯한 판시도 있다 (2015고정1144).

 

단 2심에서는 고등학교 교사가 개인정보를 제공받은 자에 해당한다고 판단하고, 개인정보를 제공받은 목적외로 사용했음을 근거로 징역4개월에 집행유예 1년을 선고하였다 (서울서부지법 2019노4259).앞서 기재한 수원지법 사례와 같이 수능감독교사로서의 책무에도 불구하고 학생에게 만남을 요구하는 메시지를 보냈다는 점에서 행동의 악의성이 처벌 필요성에 대한 판단에 영향을 미쳤을 것으로 생각된다.실제로 위 수능감독교사는 반성은 커녕 학생을 오히려 무고죄로 고소할 것이라는 발언을 하였으며, 이러한 정황도 고려되었을 것이다.

 

결론적으로 개인정보를 업무상 취급하는 개인정보취급자가 개인정보를 목적외 사용하거나 유출할 경우 형사책임을 부담할 수 있으므로 개인정보의 취급에 특별히 유의하여야 할 것이다. 개인정보는 단일 또는 결합하여 개인을 식별할 수 있는 정보이므로, 개인정보의 범위는 생각보다 넓을 수 있음을 아울러 인식하여야 한다.

또한 개인정보주체에 대한 보호의무를 지는 자 (예를 들어 교사)는 형사처벌 가능성에 관하여 좀 더 엄격한 판단기준이 적용될 수 있음에 주의하여야 할 것이다.