안녕하세요, 법무법인 청출 이영경 변호사입니다.
대법원 2026. 2. 26. 선고 2024도14998 판결은 보험설계사가 고객의 개인정보를 수집·이용한 사안에서, 실제로 개인정보를 취급하였다는 사정만으로 곧바로 개인정보보호법상 ‘개인정보처리자’에 해당한다고 볼 수 있는지 여부를 다룬 판결입니다.
실무상 고객 접점에 있는 모집종사자, 위탁수행자, 현장 담당자 등이 개인정보를 직접 다루는 경우가 많아, 누가 개인정보처리자인지, 누가 법적 의무와 책임의 귀속주체인지가 핵심 쟁점이 되는데, 이 판결은 그 판단기준을 비교적 분명하게 제시하였다는 점에서 의미가 있습니다.
[Question]
보험설계사가 보험계약 체결 및 고객관리 과정에서 고객 개인정보를 수집·이용하였다면, 그 사정만으로 곧바로 개인정보보호법상 ‘개인정보처리자’에 해당한다고 볼 수 있을까?
[Answer]
대법원은 보험설계사가 실제로 개인정보를 처리하였다는 사정만으로 곧바로 개인정보처리자에 해당한다고 볼 수 없고, 개인정보처리의 목적, 내용, 방법, 절차 등에 관한 사항을 종국적으로 결정하는 권한이 누구에게 있는지를 중심으로 판단하여야 한다고 보았습니다.
1. 사실관계
판결문에 따르면, 피고인은 “2015. 10. 22.경부터 ○○○ 주식회사(이하 ‘공소외 1 회사’라 한다)에서 보험설계사로 위촉되어 활동한 사람”이었습니다. 공소사실상 피고인은 공소외 3과 공모하여, 공소외 1 회사 상담원에게 마치 고객 본인인 것처럼 전화하게 한 다음, 보험 가입 및 고객 관리를 위해 수집한 생년월일, 주소, 연락처 등을 이용하여 특약 해지 및 주계약의 보장내용 변경 등을 신청한 것으로 기소되었습니다.
“피고인은 2017. 1. 4.경 공소외 3과 공모하여, 공소외 3이 공소외 1 회사 상담원에게 전화하여 마치 공소외 2인 것처럼 행세하면서 피고인이 보험설계사로서 보험 가입 및 고객 관리를 위해 수집한 공소외 2의 생년월일, 주소, 연락처 등을 이용하여 공소외 2가 공소외 1 회사에 가입한 보험의 특약 해지, 주 계약의 보장내용 변경 등을 신청하였다.” “이로써 개인정보처리자인 피고인은 공소외 2의 개인정보를 수집 목적의 범위를 초과하여 이용하였다.” |
제1심과 원심은 위 공소사실에 관하여 구 개인정보 보호법 제71조 제2호, 제18조 제1항 위반을 인정하였으나, 대법원은 피고인을 곧바로 ‘개인정보처리자’로 볼 수 있는지에 관한 심리가 충분하지 않다고 보아 원심판결을 파기·환송하였습니다.
2. 쟁점 및 법령
이 사건의 핵심은 보험설계사 개인이 고객 개인정보를 실제 취급하였다는 사정만으로 개인정보보호법 제18조 제1항의 수범자인 ‘개인정보처리자’에 해당하는지 여부입니다. 대법원은 우선 처벌규정과 의무규정, 그리고 개인정보처리자 정의규정을 함께 제시한 다음, 개인정보처리자 해당 여부는 실제 취급행위의 존재만으로 정할 것이 아니라, 개인정보처리에 관한 종국적 결정권이 누구에게 있는지를 기준으로 보아야 한다고 판시하였습니다.
“구 개인정보 보호법(이하 ‘법’이라 한다)은 제71조 제2호에서 “제18조 제1항․제2항을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자”를 처벌하도록 규정하고, 제18조 제1항은 “개인정보처리자는 개인정보를 제15조 제1항에 따른 범위를 초과하여 이용하거나 제17조 제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다.”라고 규정한다.” “법 제18조 제1항의 수범자인 ‘개인정보처리자’란 ‘업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등’을 말한다(법 제2조 제5호).” |
또한 대법원은 개인정보처리자의 판단기준을 다음과 같이 설시하였습니다. 이 부분은 향후 위탁, 도급, 모집, 파견 등 다양한 구조에서 누가 개인정보처리자인지 판단할 때 직접적인 기준으로 원용될 수 있는 대목입니다.
“누가 개인정보처리자인지는 개인정보처리의 목적, 내용, 방법, 절차 등 개인정보처리에 관한 사항을 종국적으로 결정하는 권한이 누구에게 있는지에 따라 판단하여야 한다. 이러한 판단은 개인정보처리의 목적이 누구의 고유한 업무 및 이익과 밀접한 관련성을 맺고 있는지, 그 목적 달성을 위해 개인정보를 처리하는 과정에서 실질적인 지휘 또는 감독을 하는 자가 누구인지, 개인정보파일을 누가 어떠한 목적으로 어떻게 생성․보유․운용하고 있는지 등 여러 사정을 종합적으로 고려하여 이루어져야 한다. 아울러 이러한 판단을 함에 있어서는 개인정보처리자의 의무와 책임을 누구에게 귀속시키는 것이 정보주체의 권익 보호와 개인정보의 적합한 처리 보장의 요청에 잘 부합하는지도 염두에 두어야 한다.” |
즉, 이 판결은 누구의 업무를 위하여, 누구의 이익을 위하여, 누구의 지휘·감독 아래, 어떤 파일을 어떠한 체계로 생성·보유·운용하였는지를 종합적으로 따져야 한다는 점을 분명히 한 것입니다.
3. 대법원의 판단과 시사점
대법원은 보험설계사가 보험회사의 소속 모집종사자로서 보험계약 체결을 중개하는 과정에서 개인정보를 수집·보유하더라도, 그 개인정보처리의 목적은 원칙적으로 보험회사의 고유한 업무 및 이익과 밀접한 관련성을 가지므로, 개인정보처리에 관한 종국적 결정 권한 역시 보험회사에 있을 가능성이 높다고 보았습니다.
“보험설계사는 보험회사 등에 소속되어 보험계약의 체결을 중개하는 모집종사자로(보험업법 제2조 제9호, 제83조 제1항 제1호) 보험회사에 소속된 보험설계사가 보험계약의 체결을 중개하는 과정에서 보험계약자 등의 개인정보를 수집, 보유하는 등 개인정보처리 행위를 하더라도, 그 개인정보처리의 목적은 특별한 사정이 없는 한 보험회사가 당사자인 보험계약 체결 및 그에 따른 보험회사의 의무 이행 등 보험회사의 고유한 업무 및 이익과 밀접한 관련성을 맺게 되어 개인정보처리에 관한 사항의 종국적 결정 권한이 보험회사에 있다고 볼 여지가 높기 때문이다.” “그럼에도 원심은 피고인이 공소외 1 회사와 체결한 보험설계사 위촉계약, 보험모집 위탁계약의 내용, 피고인이 보험계약의 체결을 중개․모집하면서 수집하거나 알게 된 고객들의 개인정보에 관한 관리 주체나 방법 등과 같이 피고인의 개인정보 처리 목적과 밀접한 관련성을 맺고 있는 고유한 업무 및 이익의 주체, 개인정보처리 과정에서 실질적인 지휘 또는 감독을 하는 자가 누구인지 등의 여러 사정뿐 아니라 피고인이 운용한다고 기재된 개인정보파일의 존부와 그 생성․보유․운용에 관한 구체적 사정도 충분히 살펴보지 않은 채, 피고인이 공소외 2의 개인정보를 수집한 적이 있다는 등의 사정만으로 개인정보처리자라는 전제 아래 이 부분 공소사실 기재 피고인의 행위는 구 개인정보 보호법 제71조 제2호, 제18조 제1항 위반죄에 해당한다고 보았다.” “이러한 원심의 판단에는 개인정보처리자에 관한 법리를 오해하거나 필요한 심리를 다하지 않음으로써 판결에 영향을 미친 잘못이 있다.” |
이 판결의 첫 번째 시사점은, 현장에서 개인정보를 직접 취급하는 자와 개인정보보호법상 ‘개인정보처리자’가 항상 일치하는 것은 아니라는 점입니다. 실무에서는 영업조직, 대리점, 설계사, 외주인력, 플랫폼 운영 협력사 등 다층적 구조가 흔한데, 이 경우 누가 법상 의무주체인지에 대한 검토 없이 곧바로 형사책임의 전제를 설정하기는 어렵습니다.
두 번째로, 계약구조와 관리체계의 중요성이 강조됩니다. 위촉계약, 위탁계약, 개인정보 처리 관련 내부규정, 접근권한 부여 방식, 고객정보 저장매체 및 파일의 생성·관리주체, 실질적 지휘·감독의 존재 등이 모두 핵심 판단요소가 될 수 있으므로, 기업으로서는 이러한 구조를 문서와 운영체계 양면에서 일치시키는 것이 필요합니다.
세 번째로, 대법원은 피고인이 개인정보처리자가 아니라고 보더라도 다른 처벌규정 적용 가능성은 별론이라고 하여, 행위자 책임 가능성을 전면 부정한 것은 아니라는 점도 함께 밝혔습니다. 따라서 기업과 종사자 모두 ‘개인정보처리자 해당성’과 ‘개별 행위자 책임’이라는 두 축을 분리하여 리스크를 점검할 필요가 있습니다.
결국 이 판결은 개인정보보호 실무에서 형식적 직함이나 단순 취급사실만으로 책임주체를 단정해서는 안 되고, 개인정보처리의 목적과 지휘·감독, 파일 운용 구조, 권한배분 체계를 종합적으로 살펴 책임 귀속을 정교하게 판단하여야 한다는 점을 재확인한 판결이라고 볼 수 있습니다
법무법인 청출은 김장 법률사무소, 태평양, 광장, 세종, 율촌과 같은 국내 대형로펌과 대기업 사내변호사를 통해 쌓은 전문성과 경험을 바탕으로, 개인정보보호법 관련 종합 자문을 제공하고 있습니다.
함께 보면 좋은 관련 업무 사례
