검색
율촌

개인정보보호법 상 형사처벌의 대상이 되는 ‘업무상 개인정보 유출행위’와 관련하여

‘개인정보 처리 업무 중 알게 된 개인정보’에 한정되어야 한다는 대법원례(2019도1143)

[2019.09.02.]


회사의 대표 A는 직원 B가 퇴직하면서 두고 간 서류 중 B의 개인정보가 기재된 서류(얼굴 사진, 주소, 전화번호 등)를 지역 유력인사인 C에게 전달한 혐의로 기소되었습니다. 회사대표 A는 ‘사무실 내 방치된 B의 짐을 정리하던 중 찾은 서류를 전달했을 뿐이다’라고 하였으나, 검찰은 ‘A가 B의 개인정보가 기재되어 있다는 사실을 인식했다면 개인정보 누설 의사가 있었던 것’이라고 주장했습니다.


개인정보보호법 제59조 2에 의하면, 개인정보처리자가 업무상 알게 된 개인정보를 누설하거나 다른 사람이 이용하도록 제공하는 경우 5년 이하의 징역 및 5천만 원 이하의 벌금에 처하도록 규정되어 있습니다.


위 사건의 담당한 1심 재판부는 검찰의 주장을 받아들여 ‘개인의 권리를 보호하는 개인정보보호법의 입법목적을 고려할 때 ‘업무상 알게 된 정보’의 범위를 ‘개인정보를 처리하는 업무상 알게 된 정보’로 좁혀서 해석할 이유가 없다’는 취지로 A에게 벌금형을 선고하였습니다.


그러나 항소심 재판부는 ‘업무상 알게 된 개인정보’를 개인정보처리자가 담당한 모든 업무에서 알게 된 일체의 개인정보로 해석할 경우 처벌의 범위가 지나치게 확대되어 해석될 수밖에 없어 이는 죄형법정주의 원칙에 위배된다’고 하면서 ‘업무상 알게 된 개인정보’란 개인정보처리자가 ‘개인정보를 처리하는 업무와 관련하여 알게 된 개인정보만을 의미하는 것’이며 ‘A가 해당 문서를 직접 작성한 의심은 들지만 이를 인정할 증거가 부족하고, 해당 문서가 업무와 관련하여 알게 된 개인정보를 이용해 작성되었다고 보기 어렵다’고 판단하여 무죄를 선고했고, 최근 대법원에서 A에게 무죄를 선고한 원심이 확정되었습니다.


이는 개인정보보호법 상 개인정보 유출행위에 대하여 그 범위를 ‘업무상 알게 된 개인정보’가 아닌 ‘개인정보를 처리하는 업무와 관련하여 알게 된 개인정보’로 한정하였다는 점에서 그 의미가 있다고 할 것이므로, 개인정보를 취급하는 기업은 개인정보처리자가 취급 또는 생성한 정보를 명확하게 확인할 수 있는 방안과 그 기록을 보관할 수 있는 업무체계를 수립 또는 개선하여야 할 것입니다.



박은재 변호사 (ejpark@yulchon.com)

손도일 변호사 (dison@yulchon.com)

조상욱 변호사 (swcho@yulchon.com)

임형주 변호사 (hjlim@yulchon.com)

관련 법조인

미국변호사