<p style="text-align: left;"><br>개인정보보호법위반죄, 유·무죄를 판단하는 3가지 기준<br><br><br>글 : 이승현 변호사<br><br><br>2025.04.09<br><br><br>개인정보보호법위반죄, 유·무죄를 판단하는 3가지 기준<br><br>대구지방법원 2024. 8. 14. 선고 2023노2558 판결<br><br><br><br>사실관계<br><br>피고인은 A 고등학교를 설립·운영하는 학교법인 B의 행정실 주무관이다. 과거 A 고등학교에 재학했던 학생 C가 학교법인을 상대로 손해배상청구소송을 제기했을 당시 학교법인이 선임한 변호사와 함께 소송 대응 업무를 담당했다. 당시 변호사 측은 소송 대응을 위해 C의 학교생활기록부, 학생건강기록부를 요청했고, 피고인은 다른 주무관 등으로부터 이를 전달 받아 이메일로 전송했다. 피고인은 업무상 알게 된 C의 개인정보를 누설함과 동시에 정당한 권한 없이 C의 개인정보를 유출했다는 범죄사실로 기소되었다. <br><br>주요 쟁점<br><br>1심에서는 개인정보를 누설하거나 유출한 상대방이 소송 대응 업무를 담당하는 변호사인 경우에도 개인정보보호법상 개인정보 누설 또는 유출에 해당하는지(구성요건 해당성), 그리고 이 경우 법률의 착오 또는 정당행위를 인정할 수 있는지(위법성)가 주요 쟁점으로 다뤄졌다.<br><br>반면 2심에서는 이 사건 개인정보가 ‘업무상 알게 된 개인정보’ 및 ‘유출’에 해당하는지가 주된 쟁점이었다.<br><br>사건의 경과<br><br>가. 대구지방법원 경주지원 2023. 6. 22. 선고 2023고정2 판결<br>1심은 소송대리인 역시 개인정보보호법이 금지하는 누설 또는 유출의 상대방에서 제외할 수 없다고 보았다. 누설 또는 유출의 예외를 인정한 개인정보보호법 제19조 제2항 제8호 ‘법원의 재판업무 수행을 위하여 필요한 경우’란 법원의 소송지휘에 따라 개인정보가 제출되는 경우만을 의미하는 것으로, 소송당사자가 법원의 요청 없이 임의로 법원에 개인정보를 제출하는 경우까지 포함하는 것은 아니라고 보았다. 그럼에도 죄가 되지 않는다는 소송대리인 측의 말만 믿고 피해자의 개인정보를 제공한 것은 형법 제16조가 규정하는 정당한 이유가 될 수 없다고 본 것이다. 다만, 아래와 같은 점을 종합적으로 고려해 사회통념상 허용될 만한 상당성이 있어 형법 제20조에 따라 위법성이 없다고 판단했다. <br><br>피고인이 개인적인 이익을 위해 피해자의 개인정보를 제공한 것은 아니었던 점<br>법원을 제외한 제3자가 이를 알거나 알게 될 가능성은 없었던 점<br>어차피 소송 과정에서 문서제출명령 등을 통해 제공받을 수 있는 정보였던 점<br>소송대리인의 요청은 피고인의 고용주인 학교법인의 지시와 동일한 것으로 보이므로 그 요청을 거부하기 어려웠을 것이라는 점<br>이에 대해 검사는 피고인의 행위에 정당한 동기나 목적이 있다고 보기 어렵고, 피고인의 행위로 얻는 보호이익보다 피해자의 개인정보 자기결정권에 대한 침해이익이 더 크며, 긴급성이나 보충성이 인정되지 않으므로 형법 제20조 ‘사회상규에 위배되지 아니하는 행위’에 해당하지 않는다는 취지로 항소했다.<br> <br><br>나. 대구지방법원 2024. 8. 14. 선고 2023노2558 판결<br>2심은 개인정보보호법 제59조 제2호의 ‘업무상 알게 된 개인정보’란 ‘개인정보를 처리하거나 처리하였던 자’가 ‘개인정보를 처리하는 업무와 관련하여 알게 된 개인정보’만을 의미한다고 보았다. ‘개인정보를 처리하거나 처리하였던 자’가 개인정보 처리와 관련 없이 담당한 ‘모든 업무 과정에서 알게 된 일체의 개인정보’를 의미하는 것이 아니라는 뜻이다(대법원 2019. 6. 13. 선고 2019도1143 판결, 서울고등법원 2019. 1. 10. 선고 2018노2498 판결 등). 다음과 같은 점을 감안해, 피고인이 제공한 C의 학교생활기록부와 학생건강기록부는 개인정보 처리와 관련 없이 개인정보를 처리하거나 처리하였던 자가 담당한 업무 과정에서 우연히 알게 된 정보에 불과하다고 판단했다.<br><br>피고인은 학교의 지출 및 예산 관리 업무를 담당하는 행정실 주무관으로서 개인정보가 기재된 학교생활기록부와 학생건강기록부를 처리하는 것이 담당 업무는 아니었던 점<br>피고인이 담당한 소송 대응 업무를 그 자체로 개인정보를 직접 처리하는 업무라고 보기 어려운 점 등<br>또한, 재판부는 ‘개인정보를 처리하거나 처리하였던 자’가 법원에 증거자료로 제출하기 위해 개인정보를 제공하는 행위를 개인정보보호법 제59조 제3호의 '유출'로 평가할 수도 없다고 판시했는데, 그 근거는 다음과 같다. 개인정보보호법 제59조 제3호에서 말하는 ‘유출’이란, 개인정보처리자의 관리 및 통제권을 벗어나 제3자가 다른 사람의 개인정보를 알 수 있는 상태에 이르게 하는 것을 의미한다(대법원 2014. 5. 16. 선고 2011다24555, 2011다24562 판결 등). 소송 업무를 수행하는 과정에서 법원에 제출된 개인정보는 법원의 엄격한 관리와 통제 아래 있고, 법원의 재판 업무 수행을 위하여 필요한 경우에 개인정보의 제공을 허용하고 있으므로, 법원에 제출된 개인정보가 개인정보처리자의 관리·통제권을 벗어나는 것으로 보기 어렵다는 것이다.<br><br>나아가 설령 피고인의 행위가 개인정보보호법 제59조 제2호의 ‘누설’이나 제3호의 ‘유출’에 해당한다고 하더라도, 원심의 판단과 같이 사회통념상 허용될 만한 상당성이 있는 행위에 해당한다고 보아 1심의 결론을 유지했다.<br><br><br><br><br>전문위원의 인사이트 <br><br><br>이 판례를 통해 개인정보보호법 제59조 제2호와 제3호 위반죄 성립 여부를 판단할 때 고려해야 할 몇 가지 사항을 도출할 수 있다. <br><br>우선, 구성요건 해당성 단계에서 고려해야 할 것을 살펴본다. <br><br>가. ‘업무와 관련하여 알게 된 개인정보’ 문구의 제한적 해석 <br>판례에 따르면, 이 문구에서 ‘업무’란 ‘개인정보를 처리하는 업무’로 제한하여 해석함이 타당하고, 개인정보 처리와 관련 없는 모든 업무를 의미하는 것이 아님을 알아 둘 필요가 있다. 이렇게 제한적으로 해석하는 근거에 대해 법원은 아래와 같이 설시했다.<br><br>…(중략) 여기에서 "업무상 알게 된 제2조 제1호 소정의 개인정보"란, ① 형벌법규의 해석은 엄격하여야 하고, 명문의 형벌법규의 의미를 피고인에게 불리한 방향으로 지나치게 확장해석하거나 유추해석하는 것은 헌법이 정하고 있는 죄형법정주의의 원칙에 어긋나는 것으로서 허용되지 아니하는 점, ② 개인정보 보호법 제59조는 개인정보처리자 이외의 개인정보를 처리하거나 처리하였던 자의 개인정보 침해행위를 금지하고자 하는 규정으로서, 제1호에서는 "거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위"를 규정함으로써 '개인정보를 처리하거나 처리하였던 자'의 개인정보취득 및 처리 과정에서의 개인정보침해행위를, 제3호에서 "정당한 권한 없이 또는 허용된 권 한을 초과하여 다른 사람의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출하는 행위"를 규정하여 '개인정보를 처리하거나 처리하였던 자'의 개인정보 처리 과정에서의 권한 남용행위를 금지하면서, 제2호에서 업무상 알게 된 개인정보를 누설하거나 다른 사람에게 이용하도록 제공하는 행위를 금지하고 있는바, 위 제2호의 규정은 '개인정보를 처리하거나 처리하였던 자'가 범하기 쉬운 개인정보침해행위 중 제1, 3호에 의하여 포섭되지 못한 개인정보 누설 등과 관련된 부분을 금지하고자 하는 취지로 보이는 점, ③ 개인정보 보호법은 개인정보처리자와 '개인정보를 처리하거나 처리하였던 자' 외의 사람에 대하여는 개인정보 누설 등과 관련한 별도로 처벌규정을 두고 있지 아니한 점, ④ 형사 관련 법규에서 '업무'란 통상 "직업 또는 계속적으로 종사하는 사무나 사업을 말하고, 여기서 '사무' 또는 '사업'은 단순히 경제적 활동만을 의미하는 것이 아니라 널리 사람이 그 사회생활상의 지위에서 계속적으로 행하는 일체의 사회적 활동"의 의미하여 그 범위가 매우 넓은 상황에서, 위 제2호의 "업무상 알게 된 개인정보"를 '개인정보를 처리하거나 처리하였던 자'가 담당한 모든 업무 과정에서 알게 된 일체의 개인정보로 해석할 경우에는 '개인정보를 처리하거나 처리하였던 자'라는 신분을 가진 자에 대한 개인정보 누설행위에 대한 처벌범위가 지나치게 확대될 위험이 있을 뿐 아니라, '개인정보를 처리하거나 처리하였던 자'가 아닌 자가 업무상 알게 된 개인정보를 누설한 경우에는 별도의 처벌규정이 없는 것과 형평이 맞지 않는 점 등에 비추어 보면, 제2호의 "업무상 알게 된 개인정보"란 '개인정보를 처리하거나 처리하였던 자'가 그 업무 즉 개인정보를 처리하는 업무와 관련하여 알게 된 개인정보만을 의미하는 것이지, 개인정보 처리와 관련 없이 '개인정보를 처리하거나 처리하였던 자'가 담당한 모든 업무 과정에서 알게 된 일체의 개인정보를 의미하는 것은 아니라고 보아야 한다(대법원 2019. 6. 13. 선고 2019도1143 판결, 서울고등법원 2019. 1. 10. 선고 2018노2498 판결 등 참조).<br><br>나. ‘누설’ 또는 ‘유출’의 판단 기준으로서 관리·통제권의 유지 여부<br>이 판례에 따르면 개인정보를 누설하거나 유출한 상대방의 관리·통제권이 유지되고 있는지도 고려해야 한다. 특히 1심과 2심의 판단이 갈렸던 만큼 주목할 필요가 있다.<br><br>1심은 “'누설'이란 아직 개인정보를 알지 못하는 타인에게 알려주는 일체의 행위를 말하고, '유출'이란 개인정보주체의 의사에 반하여 제3자에게 정보가 흘러 들어가는 것을 의미하는 것으로, 해당 규정에서 누설 및 유출의 상대방에 특별한 제한이나 예외를 두고 있지는 않다.”고 하면서, 소송대리인뿐 아니라 법원 역시 개인정보보호법에서 금지하는 누설 또는 유출의 상대방에 해당한다고 판단하여 구성요건 해당성을 인정했다(다만, 1심도 법원이 상대방인 경우, 법원의 소송지휘에 따른 개인정보 제공 행위에 대해서는 예외를 인정할 수 있다는 취지로 보았다). <br><br>반면 2심은 ‘관리·통제권’을 벗어나야 누설 또는 유출된 것이라고 제한 해석했다. 피고인이 개인정보를 제공한 목적과 그 상대방을 고려하여, 피고인이 소송 대응 업무 목적으로 개인정보를 소송대리인에게 제공하였고 이것이 그 목적에 맞게 소송대리인을 통해 법원에 제출되었다면, 법원에 제출된 개인정보는 법원의 엄격한 관리와 통제 아래 있다는 점에서 개인정보처리자의 관리·통제권을 벗어나지 않았으므로 누설 또는 유출이 아니라고 보아 구성요건 해당성 자체를 부정했다. <br><br>그런데 이러한 2심의 판단은 기존 대법원 판례와 결을 달리하는 것으로 볼 여지가 있다. 예컨대, 대법원 2022. 11. 10. 선고 2018도1966 판결은 고소 고발 과정에서 이를 알지 못하는 수사기관에 개인정보를 알려준 경우도 개인정보 ‘누설’에 해당할 수 있다면서 아래와 같이 판시한 바 있다.<br><br>(중략) 구「공공기관의 개인정보보호에 관한 법률」이 2011. 3. 29. 폐지되고 「개인정보보호법」이 제 정된 취지는 공공부문과 민간부문을 망라하여 국제 수준에 부합하는 개인정보 처리원칙 등을 규정하고, 개인정보 침해로 인한 국민의 피해 구제를 강화하여 국민의 사생활의 비밀을 보호하며, 개인정보에 대한 권리와 이익을 보장하려는 것이다. 한편,「공공기관의 개인정보보호에 관한 법률」 제23조 제2항, 제11조의 '누설'이라 함은 아직 개인정보를 알지 못하는 타인에게 알려주는 일체의 행위를 말하고(대법원 2015. 7. 9. 선고 2013도13070 판결 참조), 고소 · 고발장에 다른 정보주체의 개인정보를 첨부하여 경찰서에 제출한 것은 그 정보주체의 동의도 받지 아니하고 관련 법령에 정한 절차를 거치지 아니한 이상 부당한 목적하에 이루어진 개인정보의 '누설'에 해당하였다(대법원 2008. 10. 23. 선고 2008도5526 판결 참조).「개인정보 보호법」 제71조 제5호, 제59조 제2호 위반죄는 구「공공기관의 개인정보보호에 관한 법률」 제23조 제2항, 제11조 위반죄와 비교하여 범행주체가 다르고 '누설'에 부당한 목적이 삭제되었다는 것만 다를 뿐 나머지 구성요건은 실질적으로 동일한 점, 「개인정보 보호법」 제59조 제2호가 금지하는 누설 행위의 주체는 '개인정보를 처리하거나 처리하였던 자'이고, 그 대상은 '업무상 알게 된 개인정보'로 제한되므로, 수사기관에 대한 모든 개인정보제공이 금지되는 것도 아닌 점 및「개인정보 보호법」 의 제정 취지 등을 감안하면, 구「공공기관의 개인정보보호에 관한 법률」에 따른 '누설'에 관한 위의 법리는 「개인정보 보호법」에도 그대로 적용된다. (중략) 피고인이 고소 · 고발에 수반하여 이를 알지 못하는 수사기관에 개인정보를 알려주었다고 하더라도, 그러한 행위를 「개인정보 보호법」에 따른 개인정보 '누설'에서 제외할 수는 없다(다만, 피고인의 위 행위가 범죄행위로서 처벌대상이 될 정도의 위법성을 갖추고 있지 않아 위법성이 조각될 수 있는지는 별개의 문제이다).<br><br>같은 맥락에서 수원지방법원 2023. 10. 16. 선고 2022노4789 판결은, 학원 강사였던 피고인이 퇴직금 미지급을 이유로 노동청에 진정하면서 강사 업무를 수행하며 처리했던 학원 수강생의 성명, 학년 등 개인정보가 포함된 보충일지, 강의시간표, 진도계획표 등을 노무법인을 통해 노동청에 제출한 사안에서 개인정보 유출을 인정했다. 재판부는 목적이 정당하다고 하더라도 행위의 수단이나 방법의 상당성, 법익균형성, 보충성 요건을 갖추었다고 할 수 없다고 보아 유죄 판결을 선고했다. <br><br> <br><br>이번에는 위법성 단계에서 고려해야 할 사항을 살펴본다.<br><br>다. 정당행위 여부<br>앞에서 언급한 바와 같이, 1심과 2심은 다음과 같은 점에 근거해 사회통념상 허용될 만한 상당성이 있다고 판단했다. <br><br>피고인이 개인적 이익을 위해 개인정보를 제공한 것은 아닌 점<br>법원을 제외한 제3자가 피해자의 개인정보를 알거나 알게 될 가능성이 없었던 점<br>어차피 소송과정에서 문서제출명령 등을 통해 제공받을 수 있는 정보였던 점<br>피고인은 소송대리인의 요청을 거부하기 어려웠을 것으로 보이는 점 등<br>이는 향후 다른 사안에서도 기준이 될 수 있다.<br><br>다만, ‘사회상규에 위배되지 않는 행위’, ‘사회통념상 허용될 만한 행위’는 상당히 추상적인 개념으로서 구체적 사실관계뿐 아니라 판단하는 사람의 가치관이나 성향 등에 따라 그 범위가 달라질 가능성이 크다는 점은 염두에 두어야 할 것이다. 보통 사회상규의 판단 기준으로는 ⓵ 행위의 동기나 목적의 정당성, ⓶ 행위의 수단이나 방법의 상당성, ⓷ 보호법익과 침해법익과의 법익균형성, ⓸ 긴급성, ⓹ 보충성의 인정을 고려하는 것으로 알려져 있다(대법원 2009. 4. 23. 선고 2008도6829, 대법원 1998. 10. 13. 선고 97도3337, 대법원 1996. 11. 12. 선고 96도2214 판결 등). 이러한 기준에 비추어 보자면, 이 사건 피고인의 행위에 긴급성, 보충성 요건이 인정될 수 있는지는 다소 의문의 여지가 있다. 그러나 피고인의 의도나 인식 수준, 행위를 하게 된 경위, 그에 따른 결과 등을 종합적으로 고려할 때, 피고인의 행위가 처벌 대상이 될 정도의 위법성을 갖추었다고 보기는 어렵다는 이 사건 법원의 결론에 수긍하게 되는 것도 사실이다. 법리 못지않게 구체적 타당성이 얼마나 중요한지 생각해 보게 하는 지점이다.<br><br>관련하여, 서울동부지방법원 2020. 7. 9. 선고 2019노1842 판결도 살펴볼 만하다. 이 사건의 재판부는 성형외과 대리 수술을 고발하기 위해 특정 환자의 수술실 간호기록지 사본 등 진료기록을 수사기관에 제출한 피고인들에 대해 개인정보 유출 구성요건 해당성은 인정하면서도, 다음과 같은 점을 근거로 개인정보 유출이 사회통념상 허용될 만한 상당성이 있는 것으로서 위법성이 없는 행위라고 판단했다(대법원 2023. 6. 29. 상고 기각). <br><br>피고인들이 수사기관에 고발하기 위한 공익적 목적으로 개인정보를 제출한 점<br>고발 대리 변호사와 수사기관에만 제한적으로 제출해 개인정보가 유출될 가능성을 최소화한 점<br>피고인들의 행위로 인해 침해되는 법익보다 대리 수술 등 병원의 잘못된 관행을 방지함으로써 보호할 수 있는 사람들의 생명 및 신체에 관한 법익 등이 우월한 것으로 보이는 점<br><br>피고인들이 해당 자료를 수사기관에 제출하지 않았다고 하더라도 압수 등의 절차를 통해 수사기관에 증거로 제공될 가능성이 매우 큰 점<br> <br><br>개인정보보호법은 비교적 신생 법률이고, 형사법적 차원에서 정립된 법리나 판례가 아직 많지 않다. 그러나 사람들의 권리 의식 수준 향상, AI 기술 및 빅테크의 발전으로 인해 개인정보 누설 및 유출 위험의 증가에 따른 관련 분쟁 역시 필연적으로 늘어날 것으로 보인다. 대법원 판례는 물론이고, 하급심 판례도 꼼꼼히 찾아보며 부지런히 공부할 필요가 있겠다.<br> <br><br> <br><br><br><br>이승현 변호사<br><br>약 10년간 검사로 근무한 후 법무법인(유) 율촌 형사팀의 유일한 여성 파트너로 활약 중이다. 기업형사사건, 기술유출사건, 직장 내 성희롱·괴롭힘 등 임직원의 각종 비위행위에 대한 내부조사 관련 자문 업무를 주로 수행하고 있으며, 뛰어난 외국어 실력을 바탕으로 다수의 외국계 기업을 상대로 내부조사, 컴플라이언스 관련 자문 또한 제공하고 있다. 2024 The Legal 500 Regulatory: Compliance And Investigations부문에서 Next Generation Partners로, 2024 Benchmark Litigation White-collar crime 부문에서 Future Star로 각각 선정되었다.<br><br><br>이사는 누구의 이익을 보호해야 하는가<br>대법원 2009. 5. 29. 선고 2007도4949 판결, 대법원 2017. 11. 9. 선고 2015도12633 판결, 대법원 2023. 3. 30. 선고 2019다280481 판결<br>김성민 변호사<br><br><br><br>허위성에 대한 인식 없이 허위사실을 적시한 명예훼손 사건에서 실무상 문제되는 주요 쟁점<br>대법원 2017. 4. 26. 선고 2016도18024<br>이승현 변호사<br><br><br><br></p>
<!-- -->
