2025도10321

개인정보보호법위반

대법원 · 2026.03.12

판시사항

[1]

구 개인정보 보호법 제71조 제2호, 제18조 제1항 벌칙규정의 적용 대상이 개인정보처리자로 한정되는지 여부(적극) 및 같은 법 제74조 제2항 양벌규정에 의하여 개인정보처리자 아닌 행위자도 위 벌칙규정의 적용 대상이 되는지 여부(적극) / ‘법인격 없는 공공기관’이 위 양벌규정에 의하여 처벌되는 개인정보처리자에 해당하는지 여부(소극) 및 이때 행위자를 위 양벌규정으로 처벌할 수 있는지 여부(소극)

[2]

甲 소방서의 공무직 채용 면접위원인 피고인이 면접절차와 관련하여 제공받은 면접응시자 乙의 개인정보를 개인적으로 보관하였다가 乙의 휴대전화번호로 전화를 걸어 사적인 발언을 함으로써 정보주체의 동의 없이 수집 목적 범위를 초과하여 개인정보를 이용하였다는 구 개인정보 보호법 위반으로 기소된 사안에서, 경기도의 직속기관에 불과하여 법인격이 없는 甲 소방서는 같은 법 제74조 제2항 양벌규정에 의하여 처벌되는 개인정보처리자에 포함되지 않고, 따라서 그 행위자 역시 위 양벌규정에 의하여 처벌할 수 없다는 이유로, 이와 달리 보아 피고인에게 유죄를 인정한 원심판단에 법리오해의 잘못이 있다고 한 사례

판결요지

[1]

구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것, 이하 같다) 제71조 제2호는 같은 법 제18조 제1항을 위반하여 수집 목적 범위를 초과하여 개인정보를 이용한 개인정보처리자를 처벌하도록 규정하였다. 같은 법 제74조 제2항은, 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 같은 법 제71조에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과하도록 하는 양벌규정이다.

구 개인정보 보호법 제71조 제2호, 제18조 제1항에서는 벌칙규정의 적용 대상을 개인정보처리자로 한정하고 있다. 그런데 위 양벌규정의 취지는 개인정보처리자가 아니면서 그러한 업무를 실제로 처리하는 자가 있을 때 벌칙규정의 실효성을 확보하기 위하여 그 적용 대상을 해당 업무를 실제로 처리하는 행위자까지 확장함으로써 그 행위자와 개인정보처리자를 모두 처벌하려는 데 있으므로, 양벌규정에 의하여 개인정보처리자 아닌 행위자도 벌칙규정의 적용 대상이 된다.

그러나 구 개인정보 보호법이 제2조 제5호, 제6호에서 공공기관 중 법인격 없는 ‘중앙행정기관 및 그 소속 기관’ 등을 개인정보처리자 중 하나로 규정하면서도 양벌규정에 의하여 처벌되는 개인정보처리자로는 같은 법 제74조 제2항에서 ‘법인 또는 개인’만 규정하였을 뿐이고, 법인격 없는 공공기관에 대하여 위 양벌규정을 적용할 것인지에 대하여는 명문의 규정을 두고 있지 않다. 그러므로 죄형법정주의의 원칙상 ‘법인격 없는 공공기관’을 위 양벌규정에 의하여 처벌할 수는 없고, 그 경우 행위자 역시 위 양벌규정으로 처벌할 수 없다고 봄이 타당하다.

[2]

甲 소방서의 공무직 채용 면접위원인 피고인이 면접절차와 관련하여 제공받은 면접응시자 乙의 개인정보를 개인적으로 보관하였다가 乙의 휴대전화번호로 전화를 걸어 사적인 발언을 함으로써 정보주체의 동의 없이 수집 목적 범위를 초과하여 개인정보를 이용하였다는 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것, 이하 같다) 위반으로 기소된 사안에서, 경기도의 직속기관에 불과하여 법인격이 없는 甲 소방서는 구 개인정보 보호법 제74조 제2항의 양벌규정에 의하여 처벌되는 개인정보처리자에 포함된다고 볼 수 없고, 따라서 그 행위자 역시 위 양벌규정에 의하여 처벌할 수 없다는 이유로, 이와 달리 甲 소방서가 개인정보처리자로서 구 개인정보 보호법 제74조 제2항의 양벌규정에 의하여 처벌될 수 있음을 전제로 피고인이 위 양벌규정에 따른 甲 소방서의 사용인으로서 ‘행위자’에 해당한다고 보아 피고인에게 유죄를 인정한 원심의 판단에 구 개인정보 보호법 제74조의 양벌규정에 관한 법리오해의 잘못이 있다고 한 사례.

판례내용

피 고 인

피고인

상 고 인

피고인

변 호 인

변호사 김명철

원심판결

서울동부지법 2025. 6. 13. 선고 2024노737 판결

주 문

원심판결을 파기하고, 사건을 서울동부지방법원에 환송한다.

이 유

상고이유를 판단한다.

공소사실의 요지

피고인은 2023. 2. 1. 실시된 ○○소방서 공무직 채용 면접절차의 면접위원이었고, 안○린은 위 채용의 면접응시자였다.

개인정보처리자는 정보주체의 동의 등 없이 수집 목적 범위를 초과하여 개인정보를 이용하여서는 아니 되고, 법인 또는 개인의 사용인, 그 밖의 종업원 등이 그 법인 또는 개인의 업무에 관하여 위와 같은 위반행위를 하면 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과한다.

그럼에도 피고인은 개인정보처리자의 사용인으로서 위 면접과 관련하여 면접위원 자격으로 제공받은 안○린의 개인정보를 개인적으로 보관하였다가 2023. 2. 9. 16:02경 안○린의 휴대전화번호로 전화를 걸어 사적인 발언을 함으로써 정보주체의 동의 없이 수집 목적 범위를 초과하여 개인정보를 이용하였다.

원심의 판단

원심은, 피고인이 개인정보처리자인 ○○소방서의 사용인으로서 양벌규정의 행위자에 해당한다고 보아, 구 「개인정보 보호법」(2023. 3. 14. 법률 제19234호로 개정되기 전의 것, 이하 ‘구 개인정보 보호법’이라 한다) 제74조 제2항의 양벌규정, 제71조 제2호의 벌칙규정, 제18조 제1항의 의무규정을 적용하여 이 사건 공소사실을 유죄로 인정하였다.

대법원의 판단

가.

구 개인정보 보호법 제71조 제2호는 같은 법 제18조 제1항을 위반하여 수집 목적 범위를 초과하여 개인정보를 이용한 개인정보처리자를 처벌하도록 규정하였다. 같은 법 제74조 제2항은, 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 같은 법 제71조에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과하도록 하는 양벌규정이다.

나.

다.

이러한 법리에 비추어 살펴보면, 경기도의 직속기관에 불과하여 법인격이 없는 ○○소방서는 구 개인정보 보호법 제74조 제2항의 양벌규정에 의하여 처벌되는 개인정보처리자에 포함된다고 볼 수 없고, 따라서 그 행위자 역시 위 양벌규정에 의하여 처벌할 수 없다.

라.

그런데도 원심은, ○○소방서가 개인정보처리자로서 구 개인정보 보호법 제74조 제2항의 양벌규정에 의하여 처벌될 수 있음을 전제로, 피고인이 위 양벌규정에 따른 ○○소방서의 사용인으로서 ‘행위자’에 해당한다고 보아 이 사건 공소사실을 유죄로 판단하였다. 이러한 원심의 판단에는 구 개인정보 보호법 제74조의 양벌규정에 관한 법리를 오해하여 판결에 영향을 미친 잘못이 있다.

결론

나머지 상고이유에 관한 판단을 생략한 채 원심판결을 파기하고 사건을 다시 심리·판단하도록 원심법원에 환송하기로 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.