고객의 개인정보를 공범에게 유출한 혐의로 기소된 보험설계사를 개인정보보호법상 ‘개인정보처리자’로 보고 처벌하기는 어렵다는 대법원 판단이 나왔다.
22일 법조계에 따르면 대법원 2부(주심 권영준 대법관)는 최근 사기, 사전자기록등위작, 개인정보보호법 위반 등 혐의를 받는 보험설계사 A씨에게 징역 10개월에 집행유예 2년을 선고한 원심을 깨고 사건을 서울중앙지법으로 돌려보냈다.
A씨는 2017년 1월 자신을 통해 보험상품에 가입한 고객 B씨의 생년월일·주소·연락처 등을 공범에게 유출해 보험 특약 해지, 보장 내용 변경 등을 신청한 혐의로 재판에 넘겨졌다.
1, 2심은 A씨가 개인정보보호법상 ‘개인정보처리자’ 지위에 있다고 판단해 유죄를 선고했다.
개인정보보호법에 따르면 개인정보를 정해진 목적 범위를 초과해 이용한 ‘개인정보처리자’는 5년 이하 징역 또는 5000만원 이하 벌금에 처한다. 개인정보처리자는 ‘업무를 목적으로 개인정보 파일을 운용하기 위해 스스로 또는 다른 사람을 통해 개인정보를 처리하는 법인 및 개인 등’으로 정의된다.
대법원은 1, 2심과 달리 고객의 개인정보를 처리하는 주체인 ‘개인정보처리자’는 보험설계사 개인이 아닌 보험사로 볼 여지가 있다고 판단했다.
대법원은 “A씨가 피해자를 통해 보험계약을 체결한 과정에서 해당 고객의 개인정보를 수집하는 등 처리한 사실은 알 수 있다”며 “개인정보 처리에 해당하는 행위를 실제 했다는 사정만으로 당연히 개인정보처리자에 해당하는 것은 아니다”고 밝혔다.
이어 “보험설계사가 수집한 개인정보 처리의 목적은 특별한 사정이 없는 한 보험사가 당사자가 되는 보험계약 체결, 그에 따른 보험사의 의무 이행 등 회사의 고유한 업무 및 이익과 밀접한 관련성을 맺게 된다”며 “이 경우 보험사로 하여금 개인정보처리자의 의무와 책임을 지도록 할 필요가 있다”고 설명했다.
다만 “A씨가 개인정보처리자가 아니라고 판단되더라도 양벌규정에서 정한 행위자에 해당한다면 위 벌칙 규정의 적용 대상이 될 수 있다는 점은 별론으로 한다”고 밝혔다. A씨에게 개인정보처리자 처벌 규정을 적용하기는 어렵지만, 양벌규정으로 처벌할 수 있다는 가능성을 열어 둔 채 파기환송심 재판부 판단에 맡긴 것이다.
개인정보보호법의 양벌규정은 법인의 대리인, 사용인, 그 밖의 종업원 등이 개인정보처리자의 업무와 관련해 정해진 범위를 초과해 개인정보를 사용했을 경우 그 행위자를 처벌하도록 규정한다.
사실심인 파기환송심은 대법원 판단을 고려해 사건을 다시 심리하게 된다. 파기환송심 재판부는 혐의에 적용되는 법조문을 양벌규정으로 바꾸는 내용으로 검찰에 공소장 변경을 요청할 수 있다.