검색
판례해설 서울중앙지방법원 2019나31794

법인에 있어 개인정보보호법상 ‘개인정보처리자’ 개념의 병존가능성

- 서울중앙지방법원 2020. 1. 10. 선고 2019나31794 손해배상(기) 판결 -

159929.jpg

인간은 사회적 동물이라는 말이 있듯이 사회로부터 완전히 고립된 인간은 상정할 수 없고 누구나 어떠한 형태로든 타인과 교류하고 소통하면서 삶을 영위해 나간다. 그 덕분에 인류는 현재의 문명생활을 누리게 되었으나 사회 가 점점 고도화되면서 비례하여 나의 권리가 타인에 의하여 침해되거나 타인의 다른 권리와 충돌되는 영역이 늘어만 가는 것도 현실이다.


빅데이터 시대가 열리면서 개인정보가 대량으로 유통됨에 따라 익명화되지 않은 개인정보의 보호 문제가 더욱 대두되면서 개인정보보호법, 신용정보의 이용 및 보호에 관한 법률, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등이 입법되었고 산업발전과 사회인식의 변화를 반영하여 현재도 부단한 개정작업이 진행되고 있다.

본 사건은 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권의 침해에 대한 위자료배상을 다룬다. 개인정보자기결정권이란 정보주체가 자신에 관한 정보를 스스로 관리하고 통제할 수 있는 권리이다.

개인정보법(이하 ‘법’이라 한다) 제4조는 정보주체는 자신의 개인정보 처리와 관련하여 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리를 가진다고 규정하고 있다. 개인정보를 대상으로 한 조사,수집,보관,처리,이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다.

사건의 개요는 다음과 같다. 원고는 피고 A와 B가 주식회사 형태로 공동으로 운영하는 심리상담센터에 방문하여 A로부터 심리상담을 받았는데 A는 위 상담센터의 설립자이자 실질적 운영자이고 B는 A의 아내이자 대표자이다. 위 상담과정에서 A는 자신의 휴대폰으로 상담내용을 녹취한 후 그 음성파일을 직원에게 전달하여 파일 및 녹취록 등의 형태로 보관하도록 지시하였다. A가 녹취한 상담내용에는 원고의 신상정보를 포함하여 온갖 내밀한 민감정보가 포함되어 있었다.

그 후 위 상담센터는 유료 세미나를 개최하면서 다수의 세미나 참가자에게 원고의 상담내용 녹취록을 메일로 전송하였다. 또한 위 상담센터에서 전문가과정을 이수한 C는 원고의 상담내용이 포함된 자료를 이용하여 책자를 만들어 시중에 판매하기도 하였다.

이에 충격을 받은 원고는 A와 B의 공동불법행위 책임을 물어 3천만원의 위자료배상을 구하는 소를 제기하였다. 소송의 결과를 먼저 말하면, 1심법원은 1천만원의 일부인용판결을 선고하였고 2심법원은 원,피고 쌍방의 항소를 기각하고 1심판결의 결론을 유지하였다.

법 제39조 제1항은 ‘정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다’라고 규정하고 있다. 민법 제750조가 규정하는 일반적 불법행위책임에 비하여 책임의 주체가 ‘개인정보처리자’로 한정되어 있으며 고의, 과실에 대한 입증책임이 전환되어 있다.

본 사건의 핵심은 피고 A와 B가 법 제2조 제5호가 정한 ‘개인정보처리자’에 해당하는지의 여부이다. 법은 기본적으로 ‘개인정보처리자’를 의무주체로 상정하고 각종 의무를 부과하고 있다. ‘개인정보처리자’는 법률에 특별한 규정이 있는 등의 예외사유가 없는 한 정보주체의 동의를 받아야만 개인정보를 수집, 수집 목적의 범위 내에서 이용, 제3자에게 제공할 수 있으며(제15조, 제17조) 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하려면 정보주체의 별도의 동의를 받아야 하고(제18조) 사상,신념 등 민감정보를 처리할 경우에도 별도의 동의를 받아야 한다.(제23조)

법 제2조 제5호가 규정하는 ‘개인정보처리자’란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다. 피고 A는 위 상담센터의 실질적 운영자이기는 하지만 대표자는 아니므로 ‘개인정보처리자’가 아니라고 다투었다. 또한 주식회사 등 법인 형태의 사기업의 경우 법인 자체가 아닌 법인의 기관에 불과한 대표이사 등이 의무주체인 ‘개인정보처리자’에 해당하는지 여부에 대한 문제가 있다.

원고의 상담내용은 익명화되어 있지 않은 원고의 신상정보가 포함되어 있으므로 당연히 ‘개인정보’에 해당한다. ‘개인정보파일’이란 종이파일, 전산파일 형태를 불문하고 체계적으로 관리되는 개인정보의 집합물을 말하고, 원고를 포함하여 위 상담센터에서 체계적으로 관리되고 있는 상담자들의 신상정보파일은 이에 해당한다. ‘처리’란 개인정보의 수집부터 파기에 이르는 모든 행위 유형을 포괄하는 용어이고, 위 상담센터에서 A가 스스로 또는 직원을 통하여 원고의 상담내용을 수집, 저장, 편집, 이용, 제공, 유출한 행위는 모두 ‘처리’에 해당한다.

A가 원고의 상담내용을 녹취, 그 음성파일을 직원에게 전달하여 파일 및 녹취록의 형태로 보관하도록 지시, 세미나 참가자에게 상담내용 녹취록을 메일로 전송, C에게 상담자료를 제공하는 과정에서 원고의 명시적 동의는 전혀 없었다. 상담센터의 대표자인 B 또한 위 일련의 과정을 묵인한 것으로 보인다.

일단 주식회사 형태의 위 상담센터는 그 심리상담 업무를 목적으로 회사 내부의 업무분장을 통해 개인정보인 상담자의 상담내용 등을 데이터베이스화하여 체계적으로 관리하였으므로 원칙적인 ‘개인정보처리자’에 해당한다. 대법원도 다수의 판례에서 법인 자체가 배상책임의 주체인 ‘개인정보처리자’임을 확인해 주고 있다.(대법원 2011다60797, 2014다235080, 2018다223214, 2018다219352 판결 등) 자연인 피고 A와 B가 ‘개인정보처리자’에 해당하는지에 대해서는 좀 더 검토가 필요하다.

법 제28조는 ‘개인정보처리자’의 ‘개인정보취급자’에 대한 지휘,감독의무에 대하여 규정하고 있다. ‘개인정보취급자’는 ‘개인정보처리자’의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 임직원 등을 말한다. 본 사건에서 A의 지시를 받아 원고의 상담내용 녹취록을 만들고 외부에 메일을 보낸 직원 등은 개인정보취급자에 해당하며 법 제59의 의무주체인 ‘개인정보를 처리하거나 처리하였던 자’의 개념에 포섭될 수 있다. 판례도 ‘개인정보처리자’와 ‘개인정보를 처리하거나 처리하였던 자’를 전혀 다른 개념으로 보고 있다.(대법원 2015도 8766 판결)

A와 B는 누구의 지시를 받아 원고의 개인정보를 처리한 자가 아니므로 ‘개인정보취급자’가 아닌 점은 분명하다. 또한 위 상담센터가 법인격없는 사업체였다면 내부에서 자기의 계산으로 사업을 경영하면서 최상위 의사결정권을 행사한 A와 B가 ‘개인정보처리자’에 해당한다는 점도 명확하다.

그렇다면 법인의 경우 법인과 함께 법인의 기관에 해당하는 대표자 등이 모두 ‘개인정보처리자’가 될 수 있는가? 본 사건의 재판부는 이 점을 긍정하면서 A와 B가 회사 내부에서 수행한 역할과 지위 등을 고려할 때 모두 ‘개인정보처리자’에 해당하므로 공동으로 원고가 입은 정신적 손해를 배상할 책임이 있다고 판시하였다. 추측컨대 재판부는 ‘개인정보처리자’의 개념에 ‘법인’과 ‘개인’이 병렬적으로 나열되어 있는 점까지 고려한 것으로 보인다.

법 제74조는 양벌규정을 두어 법 제71조 제1호 내지 제4호 등에 의하여 징역형 등으로 처벌되는 ‘개인정보처리자’의 법 위반행위에 대하여 그 법률효과가 귀속되는 ‘개인정보처리자’인 법인 또한 벌금형으로 처벌하고 있어 ‘개인정보처리자’의 개념은 병존할 수 있음을 전제로 하고 있다. 판례도 경품행사를 가장하여 개인정보를 대량으로 수집하고 판매한 사건에서 개인정보 처리 업무를 총괄한 것으로 보이는 팀장과 회사를 ‘개인정보처리자’로 보고 처벌하였다.(대법원 2016도13263 판결)

앞서도 언급했듯이 대법원에서 법인의 개인정보 침해에 따른 위자료 배상이 문제된 대부분의 사건은 법인 자체의 책임 문제를 다루었고, 임직원 등이 ‘개인정보처리자’로서 배상책임의 주체가 되는지 여부에 대하여 명시적 판단을 한 사례는 눈에 띄지 않는다. 본 판결은 회사의 임직원도 ‘개인정보처리자’로서 배상책임의 주체가 될 수 있다고 설시한 점에서 상당한 의미를 가진 판결이다.

이를 긍정하면 피해자 입장에서는 일반 불법행위책임이 아닌 법 제39조 제1항 위반을 직접적인 원인으로 하여 ‘개인정보처리자’의 지위에 있는 회사와 임직원 모두를 피고로 하거나 또는 선택적인 피고로 하여 피해 구제를 받을 수 있게 된다. 이러한 해석이 개인정보 침해를 당한 피해자 보호에 유리한 점은 자명하다. 향후 판례의 추이를 지켜볼 일이다.

본 사건으로 돌아와 위자료 액수와 관련하여서는 수집된 정보가 원고의 민감정보를 포함하고 있고 영리 목적으로 반복적, 분업적으로 처리가 이루어졌을 뿐만 아니라 책자 배포에 따른 2차에 걸친 유출이 이루어진 점 등이 고려되어 1천만원이라는 비교적 고액의 배상액이 인정되었다. 다만 재판부가 법 제39조 제3항이 규정하는 징벌적 손해배상(손해액의 3배를 넘지 아니하는 범위)을 명한 것인지 여부는 불명확하다.



도규삼 변호사 (도규삼 법률사무소)

미국변호사

관련 법조인