​[법과 정치] 판례로 보는 세상 - 누군가 내 개인정보를 돈을 받고 판매했다면?

대법원 2017. 04. 07. 선고 2016도13263 판결

  • 프린트
  • 글씨작게
  • 글씨크게
1. 들어가며

누군가 내 개인정보를 돈을 받고 판매했다면 어떤 생각이 들까? 일반적인 사람이라면 불쾌한 감정을 느끼고, 혹시 불법은 아닐까, 어디에 신고할 수 있을까 생각해 보기 마련이다. 그러나 개인정보를 수집한 사람이 개인정보의 제3자 제공에 대해 동의를 받았다면 이는 불법이 아니다.

동의를 받을 때, 유상으로 개인정보를 판매한다는 점을 굳이 알리지 않아도 된다. 더 나아가 개인정보를 수집하고 판매해 이익을 얻는 것을 주된 목적으로 하는 사업을 운영하는 것도 가능하다.

이는 우리나라의 개인정보 관련 법령이 개인정보의 수집, 이용 및 제공(이하 처리)과 관련해 정보주체(정보에 의해 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람)의 동의를 가장 중요시하기 때문이다. 일부 예외가 있지만(주민등록번호는 법에서 정한 사유가 있어야 처리가 가능함) 사실 상 정보주체의 동의만 얻으면 다 할 수 있다고 말해도 과장이 아니다. 그렇다면 이렇게 중요한 개인정보 처리에 대한 동의 획득은 우리 주변에서 어떤 방법으로 이뤄지고 있을까?

2. 사실관계

홈플러스는 경품행사를 통해 수집한 개인정보를 1건당 ○○ 원에 판매하기로 하는 업무제휴 약정을 보험회사 등과 체결하고, 2011년 12월경부터 2014년 6월경까지 11회에 걸쳐 경품행사를 실시했다.

벤츠 승용차, 다이아몬드 반지 등 고가의 상품이 경품으로 내걸렸고 홈플러스는 전단지, 인터넷 홈페이지, 물품구매 영수증 등을 통해 경품행사를 광고했다.

경품행사 광고와 응모권 앞면에는 경품 사진과 함께 커다란 글씨로 ‘창립 14주년 고객감사 대축제’, ‘브라질 월드컵 승기 기원’, ‘홈플러스가 올해도 10대를 쏩니다’ 등의 문구가 기재돼 있을 뿐, 개인정보의 수집과 제공에 관한 내용은 없었다.

개인정보 수집 및 제공에 대해 동의를 얻는 내용은 응모권(15cm ⅹ 7cm) 뒷면과 인터넷 응모 화면 뒷면에 약 1mm 크기로 기재돼 있었다. 응모권에는 ‘개인정보 제3자 제공’이라는 제목 하에 ‘개인정보를 제공받는 자 : △△△ 생명 등’, ‘이용목적 : 보험상품 등의 안내를 위한 전화 등 마케팅 자료로 활용됩니다’라는 내용 등이 있었다.

그 주변에는 붉은 색상 등의 더 눈에 띄는 글씨로 ‘경품 당첨 시 본인 확인을 위해 주민번호를 기재 받고 있습니다’ ‘기재/동의 사항 일부 미기재, 미동의, 서명 누락시 경품 추첨에서 제외됩니다’라는 내용 등이 들어가 있었다.

홈플러스는 위와 같이 경품행사를 실시, 경품행사에 응모한 고객 712만명의 개인정보(성명, 생년월일 또는 주민등록번호, 휴대전화번호, 자녀 수, 부모님과 동거 여부 등)를 수집하고 제3자 제공에 대한 동의를 획득했다. 그리고 이렇게 수집한 개인정보 중 약 600만건을 업무제휴 약정을 체결한 보험회사 등에 판매함으로써 약 119억원을 지급받았다.

개인정보 보호법은 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자를 3년 이하의 징역 또는 3000만원 이하의 벌금에 처한다’고 규정하고 있었다. 검사는 2015년 1월 30일 홈플러스 및 그 임직원들을 개인정보 보호법 위반으로 기소했다.

3. 판결요지

가. 원심 : 서울중앙지방법원 2016. 8. 12. 선고 2016노223판결 개인정보보호법 위반

1심과 2심은 피고인들이 무죄라고 판단했다. 원심은 홈플러스가 개인정보 보호법상 개인정보 수집 및 처리에 관한 동의를 받을 때 정보주체에게 알려야 하는 사항을 응모권에 모두 기재했다.

홈플러스가 개인정보의 제3자 제공 사실 뿐만 아니라 ‘개인정보의 제3자 제공으로 인해 경제적인 이익을 얻는다는 사실(즉, 개인정보의 유상 제공 사실)까지 고지할 의무는 없다고 봤다.

응모권 용지에 기재된 약 1mm 크기의 글씨 크기와 관련해서는 피고인들이 응모자로부터 정보 제공 동의를 받기 위해 의도적으로 글자 크기를 1mm 정도로 상대적으로 축소, 그 내용을 읽을 수 없도록 방해했다고 보기 어렵다고 판단했다.

그렇게 판단한 이유로 1mm 크기의 글씨는 복권, 공산품의 품질표시, 의약품 사용설명서 등 다양한 곳에서 통용되는 것으로 보이는 점, 개인정보 제공에 동의하지 않은 응모자들도 상당수 있었다.

따라서 응모자들이 개인정보 제공 동의에 관한 사항을 충분히 읽을 수 있었던 것으로 보이는 점, 경품행사 당시 응모함 옆에 실제 응모권의 약4배에 해당하는 응모권 사진이 부착돼 있기도 했다. 온라인 경품행사의 경우 컴퓨터 화면으로 응모권 내용을 확대해서 볼 수 있었다는 점 등을 근거로 제시했다.

나. 이 사건 판결 : 대법원 2017 4. 7. 선고 2016도13263 판결

대법원은 피고인들에 대해 무죄를 선고한 원심 판결을 파기하는 내용의 판결을 선고했다.

대법원은 개인정보 보호법에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’이란 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 개인정보 수집 또는 처리에 동의할지 여부에 관해 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위를 뜻한다고 봤다.

‘거짓이나 그 밖의 부정한 수단이라 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지 여부’를 판단함에 있어서는 동의를 받는 그 행위 자체만을 떼놓고 봐서는 안 된다.

개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴봐 거기에서 드러난 개인정보 수집 등의 동기와 목적, 그 목적과 수집 대상인 개인정보의 관련성, 수집 등을 위해 사용한 구체적인 방법, 개인정보 보호법 등 관련 법령을 준수했는지 여부 및 취득한 개인정보의 내용과 규모, 민감정보·고유식별정보 등의 포함여부 등을 종합적으로 고려해 사회통념에 따라 판단해야 한다고 봤다.

그리고 위와 같은 법리를 바탕으로, 피고인들이 개인정보 보호법에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자’에 해당한다고 보는 것이 옳다고 판단했다.

판단의 이유로는 이 사건 경품행사는 처음부터 고객들의 개인정보를 수집해 보험회사에 대가를 받고 판매하는데 있었음에도 경품행사의 주된 목적을 숨긴 채 사은행사를 하는 것처럼 소비자들을 오인하게 한 다음 경품행사와는 무관한 고객들의 개인정보까지 수집해 이를 제3자에게 제공한 점, 이러한 행위를 하면서 개인정보 보호법상의 개인정보 보호 원칙 및 제반 의무(개인정보의 처리 목적을 명확하게 해야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집해야 한다는)를 위반한 점, 피고인들이 수집한 개인정보에는 사생활의 비밀에 관한 정보나 심지어 고유식별정보도 포함돼 있다는 점, 피고인들이 수집한 개인정보의 규모 및 이를 제3자에게 판매함으로써 얻은 이익 등을 종합적으로 고려한다고 판시했다.

또한 원심에서 논란이 됐던 응모권 뒷면에 기재된 1mm 크기의 글씨는 소비자의 입장에서 그 내용을 읽기가 쉽지가 않아 짧은 시간 동안 응모권 작성 시 그 내용을 정확히 파악하기 어렵다고 봤다.

4. 판결의 의의

개인정보를 처리함에 있어 정보주체의 동의는 가장 중요한 사항이다. 그러나 기존의 개인정보 보호법에는 개인정보를 처리하려는 자가 정보주체의 동의를 받을 때 정보주체가 동의 사항을 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다는 원칙 정도만 규정돼 있었다.

그 결과, 정보주체가 동의 사항을 명확하게 인지할 수 있도록 하는 방법이 무엇인지 판단이 쉽지 않았다.
이 사건 판결은 정보주체로부터 개인정보 처리에 관한 동의를 받음에 있어 거짓이나 그 밖의 부정한 수단이나 방법이 있었는지 여부를 판단하는 기준을 제시했다는 점에서 이의가 있다.

또한 개인정보 처리에 관한 동의를 받는 그 행위 자체만을 놓고 판단하지 않고, 개인정보 수집 등의 목적 등을 종합적으로 고려해 사회통념에 따라 판단함에 있어 그 판단 기준을 제시한 점에서 이의가 있다.

다만 그럼에도 이 사건 판결이 1심과 2심에서 무죄라고 판단된 것은 다소 아쉽게 느껴지기는 한다.

5. 나가며

위 사건 이후 올해 4월 18일자로 개인정보 보호법이 개정돼 지난 10월 19일부터 시행됐다.

그리고 개정 개인정보 보호법에는 개인정보처리자가 정보주체로부터 개인정보 처리에 대해 서면(전자문서 포함)으로 동의를 받을 때, 알아보기 쉽도록 명확히 표시해야 할 ‘중요한 내용’과 이를 ‘표시하는 방법’을 구체적으로 규정하는 내용이 신설됐다.

이는 정보주체가 자신의 개인정보가 어떻게 처리되는지를 인식할 수 있는 가능성을 높였고, 개인정보를 수집하려는 자에게 일종의 가이드를 제시했다는 점에서 환영할 만한 조치다. 이제는 제2의 홈플러스 사건이 나오지 않을 것이라고 기대해본다.

한편 개인정보보호법이 개인정보에 관한 일반법이라면, 온라인 상의 개인정보 처리에 대해 특별법으로 정보통신망 이용촉진 및 정보보호에 관한 법률(이하 정보통신망법)이 적용된다.

보통은 일반법이 생기고 특별법이 생기기 마련인데, 개인정보 보호법이 정보통신망보다 보다 더 늦게 시행됐다.

정보통신망법 제5조는 다른 법률과의 관계에 대해 정보통신망 이용촉진 및 정보보호 등에 관해는 다른 법률에서 특별히 규정된 경우 외에는 이 법으로 정하는 바에 따른다고 규정해 정보통신망법이 우선 적용됨을 밝히고 있다.

그런데 개인정보 보호법 개정에도 불구하고, 정보통신망법에는 여전히 ‘동의를 얻어야 할 사항을 이용자가 명확하게 인지하고 확인할 수 있도록 표시해야 한다는’ 원칙이 제시되고 있을 뿐, 개인정보 처리 동의를 받을 때 표시해야 할 ‘중요한 내용’과 ‘표시하는 방법’ 등이 구체적으로 규정돼 있지 않다.

이는 온라인상에서 개인정보를 처리하려는 자에게 정보통신망법의 내용대로만 하면 되는 것인지, 아니면 보충적으로 개인정보 보호법의 내용도 따라야 하는 것인지 혼란을 가져온다.

온라인상에서의 개인정보 처리 동의를 오프라인에서의 개인정보 처리 동의와 다르게 볼 이유는 없을 것 같다.

오히려 비대면으로 더 많은 개인정보 처리에 대한 동의 획득이 가능하다는 온라인의 특성상, 정보통신망법에 더 구체적이고 명확한 동의 획득 방법이 규정돼야 하지 않을까 싶다. 조만간 개인정보 보호법과 정보통신망법의 관계가 명확하게 정리될 수 있기를 바란다.

[서승원 변호사]