brunch

수능감독관이 수험생의 개인정보를 이용하여 사적으로 연락

개인정보보호법위반에 대한 대법원 판례

by 채다은 변호사
Oct 30. 2025


20250916_113818.jpg?type=w966


피고인은 대학수학능력시험 고사장 감독업무를 수행하면서 수험생의 개인정보가 포함된 응시원서를 제공받아 이를 각 수험생의 수험표와 대조하는 과정에서 甲의 연락처를 알게 되었습니다. 이후 피고인은 위 휴대전화번로를 이용하여 카카오톡 친구로 추가한 후 甲에게 카카오톡으로 “사실 ○○씨가 맘에 들어서요.” 등의 메시지를 발송하였습니다.


피고인은 이러한 행위로 개인정보처리자로부터 제공받은 개인정보를 제공받은 목적 외 용도로 이용하였다는 구 개인정보 보호법 위반의 공소사실로 기소되었습니다.


요즘은 '개인정보보호법위반'이라는 용어를 많은 분들께서 자주 사용하시는 것 같습니다.


하지만 개인정보보호법위반이 성립하기 위해서는 '개인정보처리자'이거나 '개인정보처리자로부터 개인정보를 제공받은 자'와 같이 특정한 행위 주체가 행위를 한 경우에만 범죄가 성립하게 되는 경우가 있어, 그 내용이 어렵게 느껴질 수밖에 없는 것 같습니다.


이 사건은 피고인이 교육청으로부터 대학수학능력시험 감독관으로 위촉되어 시험감독업무 수행을 위하여 수험생의 개인정보가 포함된 응시원서를 제공받은 사람인데, 이러한 자가 「개인정보 보호법」 제71조 제2호, 제19조에서 정한 ‘개인정보처리자로부터 개인정보를 제공받은 자’에 해당하는지 여부가 쟁점이었습니다.

개인정보보호법


제19조(개인정보를 제공받은 자의 이용ㆍ제공 제한) 개인정보처리자로부터 개인정보를 제공받은 자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다.

1. 정보주체로부터 별도의 동의를 받은 경우

2. 다른 법률에 특별한 규정이 있는 경우



제71조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.

2. 제19조를 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자



%ED%98%95%EC%82%AC%EC%82%AC%EA%B1%B4.jpg?type=w966

구 「개인정보 보호법」 제71조 제2호는 “제19조를 위반하여 개인정보를 이용하거나 제3자에게 제공한 자”를 처벌하도록 규정하고, 제19조는 “개인정보처리자로부터 개인정보를 제공받은 자는 정보주체로부터 별도의 동의를 받은 경우나 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다.”라고 규정한다. 그런데 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자인 개인정보취급자(같은 법 제28조)가 개인정보처리자의 업무 수행을 위하여 개인정보를 이전받는 경우 위와 같은 개인정보취급자는 ‘개인정보처리자로부터 개인정보를 제공받은 자’에 해당하지 않는다. 그 이유는 다음과 같다.


1) 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집․이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보의 지배․관리권이 이전되는 것으로, 개인정보처리자가 개인정보의 지배․관리권을 그대로 유지하면서 개인정보처리자의 업무처리와 이익을 위하여 내부적으로 개인정보를 이용하는 것과 구별된다. 개인정보처리자는 다른 사람을 통하여 개인정보를 처리하는 것도 가능하므로(구 「개인정보 보호법」 제2조 제5호) 개인정보처리자의 의사에 따라 개인정보처리 업무를 직접 수행하는 개인정보취급자가 개인정보처리자로부터 정보주체의 개인정보를 이전받더라도 이와 같은 이전은 ‘제3자 제공’에 해당한다고 볼 수 없다.


2) 구 「개인정보 보호법」은 제15조, 제16조에서 개인정보처리자의 개인정보 수집․이용에 관하여 규정하고, 제17조에서 개인정보처리자가 수집한 개인정보를 제3자에게 제공할 수 있는 경우를 규정하며, 제18조 제2항에서 개인정보처리자가 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있는 경우를 규정한 다음, 제19조에서 ‘개인정보처리자로부터 개인정보를 제공받은 자’를 수범자로 하여 정보주체로부터 별도의 동의를 받거나 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다고 규정하고 있다. 위와 같은 법령의 체계와 문언에 비추어 보면, 구 「개인정보 보호법」 제19조에서 말하는 ‘개인정보처리자로부터 개인정보를 제공받은 자’라 함은 같은 법 제17조, 제18조 등에 규정된 바에 따라 개인정보처리자로부터 개인정보의 지배․관리권을 이전받은 그 제3자를 의미한다고 보는 것이 타당하다.


3) 구 「개인정보 보호법」 제19조의 ‘개인정보처리자로부터 개인정보를 제공받은 자’는 정보주체로부터 별도의 동의를 받은 경우나 다른 법률에 특별한 규정이 있는 경우에는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 다시 제3자에게 제공할 수 있으므로, ‘제공받은 개인정보’를 개인정보처리자의 의사와 무관하게 자신의 의사에 따라 이용하거나 이를 제3자에게 제공할 수 있는 지위에 있다. 반면 개인정보처리에 관한 독자적 이익을 위하여 개인정보를 이용하거나 제3자에게 이를 제공할 수 있는 지위에 있지 않는 개인정보취급자는 구 「개인정보 보호법」 제19조의 ‘개인정보처리자로부터 개인정보를 제공받은 자’에 포함되지 않는다.


4) 한편, 개인정보취급자는 개인정보처리자의 지휘․감독을 받아 개인정보를 처리하는 사람으로서 직접 개인정보에 관한 업무를 담당하는 사람과 그 밖에 업무상 필요에 의해 개인정보에 접근하여 이를 처리하는 모든 사람을 말하고, 개인정보파일 운용에 직접 관여하는 업무를 하는 자에 한정된다고 볼 것은 아니다.


대법원 2025. 2. 13. 선고 2020도14713 판결 참조


이 사건에서 원심은, 피고인이 개인정보처리자인 교육청으로부터 수험생들의 전화번호 등 개인정보를 ‘제공’받았으므로, 「개인정보 보호법」 제19조에서 정한 ‘개인정보처리자로부터 개인정보를 제공받은 자’에 해당한다고 판단하여 피고인에게 유죄를 선고하였습니다.


그러나 대법원은 피고인은 서울특별시가 설립한 공립 고등학교의 교사로서 2019학년도 대학수학능력시험 감독관으로 위촉(임명)되어 대학수학능력시험 고사장 감독업무 중 일부인 수험생의 동일성 확인업무 수행을 위하여 서울특별시교육청으로부터 수험생의 성명, 주민등록번호, 연락처, 주소 등 개인정보가 포함된 응시원서를 전달받은 사실에 비추어, 피고인은 개인정보처리자인 서울특별시교육청의 지휘⋅감독하에 수험생들의 개인정보를 처리한 자로 개인정보취급자에 해당할 뿐, 개인정보처리자인 서울특별시교육청으로부터 ‘개인정보를 제공받은 자’로 보기 어렵다고 보아 이 사건 공소사실에 대해서는 무죄취지로 파기환송하였습니다.


'개인정보취급자'도 개인정보보호법위반을 할 수 있을까?


한편 개인정보취급자는 개인정보처리자와는 구별되는 개념으로, 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자입니다. 개인정보취급자는 개인정보보호법에서 개별적으로 금지하는 행위의 주체가 되지는 못합니다.


그러나 개인정보보호법 제59조 금지행위의 주체인 '개인정보를 처리하거나 처리하였던 자'는 '개인정보처리자'는 아니지만 그 지휘·감독을 받아 개인정보를 처리하거나 처리하였던 자, 다시 말해 '개인정보취급자'를 상정하고 있는 것으로 해석할 수 있습니다.


따라서 개인정보취급자가 "개인정보를 처리하거나 처리하였던 자"로서 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위가 금지되며, 이를 위반할 경우 제71조 제9호에 따라 처벌될 수 있는 것입니다.


개인정보보호법


제28조(개인정보취급자에 대한 감독) ① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자(이하 “개인정보취급자”라 한다)의 범위를 최소한으로 제한하고, 개인정보취급자에 대하여 적절한 관리ㆍ감독을 하여야 한다.

② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.


제59조(금지행위) 개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.

2. 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위


제71조(벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.

9. 제59조 제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자



banner_type.png?type=w1



keyword
채다은 변호사 소속 법무법인한중 직업 변호사 프로필

형사전문 채변호사의 사건이야기

구독자 83
작가의 이전글업무방해죄가 성립하기 위한 '업무'의 범위