충남경찰청 사이버범죄수사대가 지난해 6월 검거한 일당이 운영하던 해외 거점 불법도박사이트. 이 기사와 직접적인 관련 없음. 사진 충남경찰청
불법으로 개인정보를 얻어서 무단 사용한 경우라 하더라도 ‘개인정보처리자’로서 의무를 부과받고, 위반시 이에 따른 처벌을 받아야 한다는 대법원 판단이 나왔다.
A씨는 2024년 11월 불법 인터넷 도박사이트를 개설한 혐의(도박공간개설)로 기소됐다. 사이트 개설 과정에서 A씨는 다른 도박사이트에 가입한 796명의 개인정보를 불법으로 얻은 뒤 이를 새로 만든 사이트 회원으로 무단 등록한 혐의(개인정보보호법 위반)도 함께 받았다.
1·2심은 두 혐의 모두 유죄로 보고 A씨에게 징역 1년을 선고했다. 다만 개인정보보호법 위반 혐의에 대해서는 어떤 조항을 적용해 처벌해야 하는지 판단이 엇갈렸다. 1심에서는 “정당한 권한 없이 다른 사람의 개인정보를 이용한 행위”를 처벌하는 개인정보보호법 71조 10호를 적용했다.
반면 2심은 A씨가 ‘개인정보처리자’라고 보고 그에 대한 처벌 조항(71조 2호)를 적용했다. 법적으로 개인정보처리자란 “업무를 목적으로 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등”을 의미한다. 정보 수집·처리 등에 대해 다양한 의무를 부과받고, 이를 위반할 경우 형사책임을 진다. 기업과 공공기관, 교육기관과 의료기관 등이 여기에 해당된다.
대법원 판단은 2심과 같았다. 대법원 1부(주심 서경환 대법관)는 A씨의 상고를 기각하며 불법으로 정보를 얻어 취급했다 하더라도 ‘개인정보처리자’로서의 의무와 책임을 져야 한다고 판단했다.
대법원은 정보를 어떻게 취득했는지가 개인정보처리자의 법률상 조건에 포함돼 있지 않다고 짚었다. 대법원은 “개인정보보호법은 개인정보처리자가 정보 파일을 어떤 경위와 방법으로 취득했는지에 대해서는 아무런 제한을 두고 있지 않다”며 “법 문언과 입법 취지를 고려하면, 해킹 등으로 개인정보를 취득하거나 불법 유통 개인정보를 취득한 경우라고 하더라도 달리 볼 것은 아니다”라고 했다.
만일 개인정보를 불법으로 얻었다고 해서 ‘개인정보처리자’가 아니라고 본다면, 오히려 처벌 범위가 좁아지는 모순이 생긴다고도 했다. 대법원은 이 경우 “부정한 방법으로 개인정보를 취득한 후 당사자의 권익을 침해할 우려가 큰 상황에서 오히려 개인정보처리자의 여러 의무와 책임을 면하는 결과가 된다”고 지적했다.
최서인([email protected])