최근에 불법적인 방법으로 개인정보를 취득한 다음 이를 인터넷 등을 통해 유료로 판매하는 행위가 빈번하게 발견된다. 아마 대부분은 정보주체의 동의가 없는 경우일 것인데, 판매자의 처벌 여부와 별개로 구매자 처벌 여부가 실무에서 많이 문제된다. 특히 판매자의 신원 파악이나 추적이 어려운 관계로 형사적으로는 구매자 위주로 처벌되고 있다.
특히 구매자가 정보주체의 동의가 없이 취득된 개인정보라는 사실을 알았을 경우 구매자를 처벌할 수 있는지가 문제되어 왔는데, 관련해서 최근 대법원(2024. 6. 17. 선고 2019도3402 판결)의 유의미한 판결이 나와서 그 내용을 자세히 살펴보기로 한다.
판매자에 대해서는 통상적으로 개인정보보호법 제72조 제2호(제59조 제1호를 위반하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자)의 전단으로 의율하고 있는데, 이 조문의 후단은 구매자에게 적용된다.
여기의 '거짓이나 그 밖의 부정한 수단이나 방법'이란 개인정보를 취득하거나 그 처리에 관한 동의를 받기 위해 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 일체의 행위를 말한다. 그렇다면 구매자가 동의 없이 취득한 개인정보라는 사실을 알았을 때 '거짓이나 그 밖의 부정한 수단이나 방법'으로 개인정보를 취득한 경우에 해당한다고 볼 수 있는지가 문제된다.
대법원은 개인정보 취득 과정에서 사용하는 '거짓이나 그 밖의 부정한 수단이나 방법'에는 정보주체나 개인정보 보유자의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위는 물론 해킹과 같이 정보주체 등의 의사결정과 무관하게 그 자체로 위계 기타 사회통념상 부정한 방법이라고 인정되는 행위도 포함된다고 봤다. 따라서 단순히 정보주체의 동의를 받지 않고 개인정보를 취득한 경우는 위 '거짓이나 그 밖의 부정한 수단이나 방법'에 해당하지 않는다고 판단했는 바, 따라서 구매자가 단순히 정보주체의 동의를 받지 않고 개인정보를 취득했음을 인지했더라도 개인정보보호법 제72조 제2호로 처벌할 수 없게 됐다.
이 판결은 그 동안 실무에서 많이 문제된 사안을 정리한 것으로서, 그 위반시 3년 이하의 징역 또는 3000만원 이하의 벌금에 처해지는 개인정보보호법 제72조 제2호를 엄격하게 해석함으로써, 단순 구매자에 대한 처벌을 면해 주는 역할을 하게 됐다.
본 사안에서 피고인은 텔레마케팅 업무 등을 위해 개인정보 판매자로부터 대량의 개인정보를 그 출처를 확인하지 않은 채 수회에 걸쳐 유상으로 매입한 적은 있어 정보주체의 동의 없이 취득된 개인정보라는 점에 대해서는 인식이 있는 것으로 보이나, 개인정보를 취득하기 위해 위계 기타 사회통념상 부정한 방법을 사용해 개인정보 판매자의 의사결정에 영향을 미쳤다거나 해킹 등 그 자체로 위계 기타 사회통념상 부정하다고 볼 수 있는 방법을 사용한 적이 없었는 바, 따라서 대법원은 이 피고인에 대해 무죄를 선고했다.
단순 구매자가 아닌 처벌되는 구매자가 되기 위해서는, 구매자가 개인정보의 출처나 그 유통 경위 등까지 알고 있어야 한다는 게 대법원의 논지다.
그 동안 형사법정에서 개인정보보호법 제72조 제2호가 과도하게 적용된 사례를 많이 보아 왔는 바, 대법원의 판결은 타당하다고 생각한다. 다만 무분별한 판매행위를 억제할 필요성은 절실한 바, 행정적인 조치를 강화하는 것이 필요하다고 본다.
김경환 법무법인 민후 변호사
