■ 방송 : YTN 라디오 FM 94.5 (15:00~16:00)

■ 진행 : 최휘 아나운서

■ 방송일 : 2023년 1월 25일 (수요일)

■ 대담 : 이창선 법률사무소 A&P 변호사

* 아래 텍스트는 실제 방송 내용과 차이가 있을 수 있으니 보다 정확한 내용은 방송으로 확인하시기 바랍니다.

[생생경제] LG U+ 고객 정보 유출, 개인정보보호법 판례 어땠나?

-LG U+ 개인정보 유출, 개인정보보호법 위반

-수험생에 "맘에 든다" 연락한 수능 감독 교사… 법원 "징계 정당"

-법원 "개인정보 무단 유출은 중대 비위"

◇ 최휘 아나운서(이하 최휘)> 꼭 알아야 할 생활법률 상식사전, 'Law & Economy' 시간입니다. 오늘은 법률사무소 A&P의 이창선 변호사 스튜디오에 직접 모셨습니다. 안녕하세요?

◆ 이창선 법률사무소 A&P 변호사(이하 이창선)> 네, 안녕하세요.

◇ 최휘> 오늘의 주제는 개인정보 보호법에 관한 것이네요?

◆ 이창선> 이번 달 10일 LG U+에서 대규모 개인정보 유출 사태가 발생하였습니다. 고객 18만 명의 이름과 생년월일, 전화번호 등의 개인정보가 유출된 것이죠. 이와 같은 개인정보 유출 사태는 너무 자주 발생해서 이제는 감흥이 없을 정도입니다. 우스갯소리로 우리 국민들의 개인정보는 공공재라는 말이 나온 지도 오래되었습니다. 당연한 말이지만, 개인정보는 매우 중요합니다. 특히 요즘처럼 유출된 개인정보들이 보이스피싱에 이용되는 상황에서는 더더욱 그렇습니다. 그래서 우리나라는 개인정보 보호법을 통해 개인정보를 강하게 보호하고 있습니다. 그럼에도, 위와 같은 대규모 개인정보 유출 사태 외에도 개인정보 보호법 위반 사례는 우리 주변에서 흔히 볼 수 있습니다. 나도 모르는 새 개인정보 보호법 위반 행위를 하는 경우가 종종 있는데, 이러한 경우를 방지하고자 오늘은 개인정보 보호법 위반에 관해 판결을 위주로 살펴보겠습니다.

◇ 최휘> 그렇군요. ‘개인정보’라고 하면 그 개념을 쉽게 알 것 같으면서도 명확히 정의내리기는 힘들어 보이는데, 개인정보를 어떻게 정의하면 좋을까요?

◆ 이창선> 개인정보 보호법 제2조 제1호는 개인정보의 개념에 관해 설명하고 있습니다. 이에 따르면 개인정보는 살아 있는 개인에 관한 정보로서, 성명, 주민등록번호 및 영상 등을 통해 개인을 알아볼 수 있는 정보를 말합니다. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 말하기도 합니다. 예를 들어 정말 빈번히 발생하는 실수인데, 단체 메일을 발송할 때 다른 사람의 이메일 주소가 노출되는 경우가 종종 있습니다. 판례에 따르면 이메일 주소만으로는 특정 개인을 알아볼 수 없지만 다른 정보와 결합할 경우 특정인에 대한 추정이 가능하기 때문에 이메일 주소도 개인정보에 해당하게 됩니다.

◇ 최휘> 그렇게 되면 개인정보에 해당하는 범위가 생각보다 훨씬 넓을 수 있겠네요. 그러면 개인정보와 관련하여 보통 어떤 것들이 문제가 되나요?

◆ 이창선> 개인정보 처리 과정은 네 단계로 볼 수 있는데, 1) 개인정보를 수집하고, 2) 저장하거나 이용, 관리하고, 3) 그 개인정보를 제3자 등에게 제공하고, 4) 사용 목적을 달성한 후에는 개인정보를 파기하는 단계로 이루어집니다. 이 중 실무상으로는 앞선 세 단계에서 문제가 많이 발생합니다. 먼저 개인정보 수집과 관련된 판례를 소개해 드리겠습니다. 2014년 브라질 월드컵 열기가 뜨거울 때 일입니다. 대형마트에서 ‘브라질 월드컵 승리 기원 경품 응모권’ 행사를 진행했는데, 그 응모권 용지에 ‘개인정보 수집 및 제3자 제공’에 관한 내용을 1mm 크기로 인쇄해서 고객들의 이름, 주민등록번호, 전화번호, 심지어 자녀 수, 동거 유무 등의 개인정보를 취득하고, 이를 보험회사에 판매한 사건이었습니다. 이와 같이 1mm 크기 글씨로 해서 개인정보 수집 및 제3자 제공 동의를 받으면 적법할까요? 어떻게 생각하십니까?

◇ 최휘> 1mm면 잘 보이지도 않을 것 같은데, 개인정보의 중요성을 생각하면 불법이라고 봐야 되지 않을까요? 그래도 일단 동의를 받긴 받았으니 적법할까요?

◆ 이창선> 아나운서님이 고민하신 것과 같이, 하급심과 대법원 판결이 엇갈렸습니다. 대형마트와 그 임직원, 보험회사가 개인정보 보호법 위반 혐의로 기소되었는데, 우선 1, 2심은 모두 무죄를 선고했습니다. ‘개인정보 수집’과 관련한 쟁점은 ‘개인정보의 수집 및 제3자 제공’에 관한 내용을 1mm 크기로 인쇄해서 고객들의 동의를 받은 것이 개인정보 보호법 제72조 제2호의 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위’에 해당하는지에 관한 것이었는데, 거칠게 말해, 1, 2심은 어쨌든 고객들의 동의를 받았다고 본 것이었죠. 그러나 대법원은 고객들의 동의를 받게 된 과정을 봤을 때, 마트는 애초에 보험회사에 고객들의 개인정보를 판매할 목적으로 경품행사를 시작한 것이고, 약 600만 건의 개인정보를 판매해서 119억 원의 이익을 얻었으며, 벤츠 승용차 등을 경품으로 하고 동의에 관한 문구를 1mm 크기로 기재하여 고객들이 쉽게 알아볼 수 없게 했다는 점을 고려해서, 피고인들이 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받았다’고 판단하여, 원심판결을 파기하였습니다.

◇ 최휘> 듣고 보니, 말씀해주신 사건 이후로는 경품 행사에 응모하면 보험사에서 전화가 온다는 걸 다들 알게 되었던 기억이 납니다. 다음 판례는 어떤 것인가요?

◆ 이창선> 이번에는 ‘개인정보를 목적 외의 용도로 이용’한 유명한 사건을 소개해 드리겠습니다. 고등학교 교사인 수능시험 감독관이 수능날 고사장 감독 업무를 수행하면서, 수험생의 개인정보가 포함된 응시원서를 제공받고 이를 각 수험생의 수험표와 대조하는 과정에서 피해자의 연락처를 알게 되자, 피해자를 카카오톡 친구로 추가하고 카카오톡으로 ‘OO씨가 마음에 든다’라는 메시지를 발송하여, 기소된 사건입니다. 개인정보 보호법 제71조 제2호, 제19조는 ‘개인정보처리자로부터 개인정보를 제공받은 자는 정보주체로부터 별도의 동의를 받은 경우, 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다’라고 정하고 있습니다. 이를 위반시 5년 이하의 징역 또는 5,000만 원 이하의 벌금형에 처해지게 됩니다. 이 사건도 1심에서는 감독관이 개인정보처리자(서울시교육청)로부터 개인정보를 제공받은 자가 아니라는 이유로 무죄를 선고했으나, 항소심은 이를 인정하여 징역 4월, 집행유예 1년을 선고하였습니다.

◇ 최휘> 결국 제공받은 개인정보를 목적 외의 용도로 이용하면 형사처벌 대상이 될 수 있는 것이네요. 다음 판례는 무엇인가요?

◆ 이창선> 이번 사건은 최신 판례인데, 제가 또 질문 하나 드리겠습니다. 업무상 알게 된 개인정보가 있는데, 고소할 때 그 개인정보를 고소자료로 제출하는 행위는 ‘개인정보 누설’에 해당할까요?

◇ 최휘> 어차피 수사기관에 제출되는 거라면 그걸 두고 개인정보 누설로 보기는 힘들지 않을까요?

◆ 이창선> 이번 사건 역시 하급심과 대법원 판결이 엇갈린 경우인데, 대법원 판결에 따르면 그 경우에도 ‘개인정보 누설’에 해당한다고 합니다. 사안은 이렇습니다. 고발인은 지방 농협에 근무하다가 퇴사한 사람인데, 농협 조합장에게 농업협동조합법 위반 등의 혐의가 있다는 이유로 고발장을 제출하면서, 고발인이 조합의 경제상무로 근무할 때 확보하여 보관하고 있던 개인정보가 담긴 자료들을 첨부하여 경찰서에 함께 제출하였습니다. 위 사건에서 조합장은 벌금형 처벌을 받았지만, 고발인 역시 개인정보 보호법 제71조 제5호, 제59조 제2호 위반죄로 입건되어 기소되었습니다. 위 규정에 따르면 개인정보를 처리하거나 처리하였던 자는 업무상 알게 된 개인정보를 누설하면 안 되는데, 1심은 고발인이 개인정보 보호법을 위반했다며 벌금 500만 원을 선고했으나, 항소심은 ‘개인정보 보호법상 개인정보 누설에는 고소, 고발에 수반하여 개인정보를 수사기관에 알려주는 행위는 포함되지 않는다’고 보아 무죄를 선고하였습니다. 그러나 대법원은 업무상 알게 된 개인정보를 수사기관에 제공한 행위도 개인정보 누설에 해당한다며 항소심 판결을 파기하였습니다. 위 대법원 판결에서는 ‘위법성이 조각될 수 있는지는 별개’라고 덧붙여 판시하였으므로 위 고발인은 정당행위 등을 인정받아 위법성 조각을 이유로 무죄 선고를 받을 여지는 있습니다. 그러나 위와 같은 사유로 입건될 가능성이 있다는 점은 알고 있어야 합니다.

◇ 최휘> 업무상 얻은 정보는 그것이 수사기관에 제출되는 용도로도 이용할 수가 없는 것이군요. 생각보다 개인정보 보호법 위반으로 보는 범위가 넓어 보이네요. 다음은 어떤 판례인가요?

◆ 이창선> 앞선 판결과 유사한 쟁점을 가진 사례를 하나 더 소개해 드리겠습니다. 피고인 A는 안마시술소 운영자였는데, A는 안마시술소가 잘 운영도 되지 않는 상황에서 불법 성매매 영업이 단속당하면 큰 손실을 볼 것이라고 우려했습니다. 그래서 안마시술소에 투자를 했던 자신의 친척에게, 매제와 평소 친하게 지내던 경찰공무원에게 경찰서 질서계 단속 직원들의 사진을 구해달라고 부탁하게 됐습니다. 그러자 그 경찰은 경찰서 공용컴퓨터로 경찰청 표준인사시스템에 접속한 후 직원 조회 창에서 생활질서계 풍속업소 단속 경찰관들의 신상 정보를 검색해서 그들의 사진을 휴대폰으로 촬영하고, 이를 카카오톡으로 안마시술소 운영자에게 제공하기에 이르렀습니다. 이와 같이 업무상 알게 된 개인정보를 권한 없이 다른 사람이 이용하도록 제공하는 행위는 개인정보 보호법 제71조 제5호, 제5조 제2호 위반죄에 해당해서, 그 정보를 제공한 경찰, 그 사정을 알면서도 영리 또는 부정한 목적으로 제공받은 안마시술소 운영자와 그 친척 모두 유죄 판결을 받았습니다.

◇ 최휘> 그렇군요. 지금 말씀해주신 사건 같은 경우는 다툼의 여지도 없이 유죄로 인정되었을 것 같네요. 또 다른 판결이 있을까요?

◆ 이창선> 이번에는 개인정보 제3자 제공과 관련해서, 아파트에서 많이 발생하는 개인정보 보호법 위반 사례를 소개해 드리겠습니다. 입주자대표회의 회장이 있고, 그 반대 세력이 있던 아파트였습니다. 아파트 승강기에 입주자대표회의 반대 측이 ‘중요 고지사항을 알립니다’라는 공고문을 부착해 놓자, 입주자대표회의 회장은 그 공고문을 부착한 모습이 촬영된 CCTV 영상을 제공해 달라고 관리소장에게 요청했고, 관리소장은 그 영상을 촬영한 후 주요 장면을 A4 용지에 인쇄해서 입대의 회장에게 교부하였습니다. 그리고 이번에는 엘리베이터에 입주자대표회의가 부착한 공고문을 누가 떼어 가자, 입대의 회장은 공고문을 떼는 모습이 촬영된 CCTV 영상을 다시 관리소장에게 요청했고, 관리소장은 그 영상을 휴대전화로 촬영해서 입대의 회장에게 전송하였습니다. 개인정보 보호법 제71조 제1호에 따르면, 정보주체의 동의를 받지 않고 개인정보를 제3자에게 제공하여서는 안 되는데, 관리소장은 입대의 회장의 개인적 목적, 즉 고소를 위해 피해자의 개인정보인 CCTV 영상을 제3자인 입대의 회장에게 제공한 것이어서 법원은 벌금 50만 원을 관리소장에게 선고하였습니다.

◇ 최휘> 말씀해 주신 것처럼, CCTV 영상은 정말 필요할 때가 많은데, 그럴 때마다 CCTV 영상을 제공받는 게 개인정보 보호법 위반인지는 꼼꼼히 따져봐야겠네요?

◆ 이창선> 맞습니다. 실생활에서 개인정보 보호법 위반은 굉장히 많이 문제가 되기 때문에, 개인정보 위반이 문제가 될 여지가 있어 보이면 법률전문가와 상의하시고 행동하시는 것을 권유드립니다.

◇ 최휘> 네, 오늘 말씀 감사합니다. 지금까지 법률사무소 A&P의 이창선 변호사였습니다.