피고인들 회사는 피고인들의 사용인인 K1이 피고인들의 업무에 관하여 원심 판시와 같이 2회에 걸쳐 고객 개인정보를 빼내고 제3자에게 전달함으로써 정보통신망에 의하여 처리·보관·전송되는 타인의 비밀을 침해·누설함과 동시에 업무상 알게 된 타인의 신용정보를 업무 목적 외에 누설하였다.
(2) 예비적 공소사실
피고인들 회사는 피고인들의 사용인인 K1이 위와 같이 정보통신망에 의하여 처리·보관·전송되는 타인의 비밀을 침해·누설함과 동시에 신용정보회사 등으로 제공받은 개인신용정보를 파인에게 제공하였다.
2. 피고인 C회사(신용카드사)
피고인 회사는 피고인의 사용인인 K1이 피고인의 업무에 관하여 원심 판시와 같이 고객 개인정보를 빼내고 제3자에게 전달함으로써 정보통신망에 의하여 처리·보관·전송되는 타인의 비밀을 침해하였다.
카드사고객정보유출
2. 1심 무죄
1. 관련 법리 등
위 각 공소사실은 모두 K1이 피고인들 회사의 사용인으로서 그 업무에 관하여 위법행위를 하였음을 전제로, 피고인 회사들에 양벌규정인 정보통신망법 제75조 또는 신용정보법 제51조를 적용하고 있다.
법인의 형사처벌은 형법상 행위자책임 원칙에 대한 예외로서, 현행 형법도 법인의 처벌은 법률상 특별규정이 있는 경우에 한하여 정책적으로 인정하는 입장에 입각하고 있음에 비추어, 손해의 공평한 분담이라고 하는 이념을 실현하기 위하여 인정되는 민사상 사용자 책임의 경우와는 달리 엄격하게 해석함이 타당하다(대법원 80도1591판결 등)
구 정보통신망법 제75조 또는 구 신용정보법 제51조에서 말하는 법인의 사용인에는 법인과 정식 고용계약이 체결되어 근무하는 자뿐만 아니라 그 법인의 업무를 직접 또는 간접으로 수행하면서 법인의 통제·감독하에 있는 자도 포함된다고 할 것이나(대법원 2012도8676, 2011도11391 판결 등),
사용인의 범칙행위에 의하여 법인을 처벌하기 위한 요건으로서 ‘법인의 업무에 관하여’행한 것으로 보이기 위해서는 객관적으로 법인의 업무를 위한다는 의사를 가지고 행위함을 요한다.
‘업무 관련성’을 판단함에 있어서는 법인의 적합한 업무의 범위, 사용인의 직책이나 직위, 사용인의 범법행위와 법인의 적법한 업무 사이의 관련성, 사용인이 행한 범법행위의 동기나 사후처리, 사용인의 범법행위에 대한 법인의 인식 여부 또는 관여 정도, 사용인이 범법행위에 사용한 자금의 출처와 그로 인한 귀속 여하 등 여러 사정을 심리하여 결정하여야 한다(대법원 96도2699, 2004도1639 판결 등)
2. 업무관련성 판단
K1이 K회사와 피고인들 회사들의 용역계약에 따라 피고인 회사들에 파견되어 각 회사의 통제·감독하에서 각 회사 FDS 개발업무를 수행한 사실, 위 업무수행 기회에 원심 판시와 같이 고객 개인정보를 유출한 사실을 인정할 수 있다(구 정보통신망법 제25조 제4항).
그러나 다음과 같은 사정에 의하면, K1의 각 고객 개인정보 유출행위는 피고인 회사들의 ‘업무에 관하여’에 대한 행위라고 인정하기 어렵고, 달리 이를 인정할 만한 증거가 없다.
① K1의 각 고객 개인정보 유출행위는 K1의 고의적인 범죄행위로서, 객관적 외형상으로 피고인 회사들의 업무를 위하여 한 것이라고 볼 수 없고, 주관적으로도 K1이 피고인 회사들의 위하여 한다는 의사를 가지고 고객 개인정보를 유출하였다고 볼 수 없다. K1은 위 범행으로 2014. 6. 20. 정보통신망법위반(정보통신망침해등)죄 및 신용정보법위반죄로 징역 3년을 선고받아 2014. 10. 16. 위 판결이 확정되었다.
② K1은 업무상 스트레스 등으로 충동적으로 고객 개인정보를 유출하였다고 진술하였고, 그중 일부를 Q에게 넘기고 1,657만 원 가량을 수수하였다.
③ 피고인 회사들이 비록 원심 판시와 같이 안정성 확보조치의무를 불이행하기는 하였으나, K1의 범행이 피고인 회사들의 인식 하에 일어난 범행은 아니다.
3. 항소심 무죄
K1이 업무 수행 중에 Q 등 타인에게 전달할 목적으로 고객 개인정보를 USB메모리에 대량으로 다운로드받아 유출한 행위는, 객관적으로 피고인 회사들의 업무인 FDS 시스템 업그레이드 작업을 처리하는 과정 중에 이루어진 것으로 볼 수 없고, 주관적으로도 K1은 개인적인 이익을 추구하기 위해 위와 같은 행위를 하였을 뿐,
부수적으로 나마 피고인 회사들의 업무를 위하여 행동한다는 의사를 가지고 있었던 것으로 볼 수도 없다(서울고법 2020. 1. 31. 2016노2150 판결, 개인정보보호법위반, 정보통신망법위반, 신용정보법위반 : 대법원 확정)
-출처-
IT 개인정보, 이정수변호사, 법률신문사.
카드사개인정보사고
♦ 개인정보보호법 제74조(양벌규정) ♦
①법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제70조에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인을 7천만원 이하의 벌금에 처한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다.
② 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제71조부터 제73조까지의 어느 하나에 해당하는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과(科)한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다.
