1. 사건
대법원 2026. 2. 26. 선고 2024도14998 사기 등 (마) 파기환송
[보험가입 및 고객 관리를 위하여 고객의 개인정보를 수집한 보험설계사가 개인정보처리자에 해당하는지 여부가 문제된 사건]
보험설계사가 이미 취득한 고객 개인정보를 이용하여 임의로 보험계약을 변경한 것이 개인정보보호법상 수집목적 범위 초과로 문제된 사건이다.
2. 쟁점
어떤 주체가 업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 수집, 보유, 이용하는 등 개인정보처리에 해당하는 행위를 실제로 하였다는 사정만으로 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것)상 개인정보처리자에 해당하는지 여부(소극) / 개인정보처리자에 해당하는지 판단하는 기준 및 이를 판단할 때 고려할 사항
3. 법리
(1) 법상 개인정보 수집목적 범위초과 이용, 제3자제공 금지
구 개인정보 보호법(이하 ‘법’이라 한다)은 제71조 제2호에서 “제18조 제1항․제2항을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자”를 처벌하도록 규정하고, 제18조 제1항은 “개인정보처리자는 개인정보를 제15조 제1항에 따른 범위를 초과하여 이용하거나 제17조 제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다.”라고 규정한다.
법 제18조 제1항의 수범자인 ‘개인정보처리자’란 ‘업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등’을 말한다(법 제2조 제5호).
(2) 개인정보처리자의 업무 범위
개인정보처리자는 스스로 개인정보를 처리할 수 있을 뿐 아니라, 제3자에게 개인정보 처리 업무를 위탁하거나(법 제26조), 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘․감독을 받아 개인정보를 처리하는 자인 개인정보취급자(법 제28조)를 통하여 개인정보를 처리하는 등 다른 사람을 통하여 개인정보를 처리할 수도 있다. 따라서 어떤 주체가 업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 수집, 보유, 이용하는 등 개인정보처리에 해당하는 행위를 실제로 하였다는 사정만으로 그가 당연히 개인정보처리자에 해당하는 것은 아니다.
누가 개인정보처리자인지는 개인정보처리의 목적, 내용, 방법, 절차 등 개인정보처리에 관한 사항을 종국적으로 결정하는 권한이 누구에게 있는지에 따라 판단하여야 한다. 이러한 판단은 개인정보처리의 목적이 누구의 고유한 업무 및 이익과 밀접한 관련성을 맺고 있는지, 그 목적 달성을 위해 개인정보를 처리하는 과정에서 실질적인 지휘 또는 감독을 하는 자가 누구인지, 개인정보파일을 누가 어떠한 목적으로 어떻게 생성․보유․운용하고 있는지 등 여러 사정을 종합적으로 고려하여 이루어져야 한다.
아울러 이러한 판단을 함에 있어서는 개인정보처리자의 의무와 책임을 누구에게 귀속시키는 것이 정보주체의 권익 보호와 개인정보의 적합한 처리 보장의 요청에 잘 부합하는지도 염두에 두어야 한다.
4. 사건개요
보험설계사인 피고인이 보험가입 및 고객 관리를 위하여 수집한 고객의 개인정보를 이용하여 임의로 고객의 보험계약 내용 변경신청을 한 사안에서 개인정보처리자인 피고인이 수집 목적의 범위를 초과하여 개인정보를 이용하였다는 개인정보 보호법 위반 등으로 기소된 사안임
5. 법원판단
(1) 원심
피고인이 개인정보처리자라는 전제 아래 피고인의 행위는 구 개인정보 보호법 제71조 제2호, 제18조 제1항 위반죄에 해당한다고 판단하였음
(2) 상급심
대법원은 위와 같은 법리를 설시하면서, 피고인이 개인정보처리에 해당하는 행위를 실제 하였다는 사정만으로 당연히 개인정보처리자에 해당하는 것은 아니고,
보험설계사는 보험회사 등에 소속되어 보험계약의 체결을 중개하는 모집종사자로 보험회사에 소속된 보험설계사가 보험계약의 체결을 중개하는 과정에서 보험계약자 등의 개인정보를 수집, 보유하는 등 개인정보처리 행위를 하더라도, 그 개인정보처리의 목적은 특별한 사정이 없는 한 보험회사가 당사자인 보험계약 체결 및 그에 따른 보험회사의 의무 이행 등 보험회사의 고유한 업무 및 이익과 밀접한 관련성을 맺게 되어 개인정보처리에 관한 사항의 종국적 결정 권한이 보험회사에 있다고 볼 여지가 높기 때문에,
이러한 경우에는 개인정보처리에 관한 정보주체의 권익 보호와 개인정보의 적합한 처리를 위하여 보험회사로 하여금 개인정보 보호법상 개인정보처리자의 의무와 책임을 지도록 할 필요도 있음에도,
원심이 피고인의 개인정보 처리 목적과 밀접한 관련성을 맺고 있는 고유한 업무 및 이익의 주체, 개인정보처리 과정에서 실질적인 지휘 또는 감독을 하는 자가 누구인지 등의 사정뿐만 아니라 피고인이 운용한다고 기재된 개인정보파일의 존부와 그 생성ㆍ보유ㆍ운용에 관한 구체적 사정을 충분히 살펴보지 않은 채, 피고인이 고객의 개인정보를 수집한 적이 있다는 등의 사정만으로 개인정보처리자라는 전제 아래 이 부분 공소사실을 유죄로 판단한 원심을 파기ㆍ환송함
-출처-
판례속보 2026. 3. 5. 법원도서관 작성
6. 시사점
(1) 개인정보처리자의 범위 엄격 해석
위 대법원 판결은 개인정보 보호법의 핵심 수범자인 ‘개인정보처리자’의 범위를 엄격하게 해석함으로써, 실무 현장에서 발생할 수 있는 책임 소재의 혼란을 명확히 정리했다는 점에서 법 전문가로서 매우 고무적인 판결이라 평가할 수 있다.
사건의 핵심은 단순히 개인정보를 수집하고 이용하는 행위를 했다고 해서 무조건 그 사람을 ‘개인정보처리자’로 단정할 수 없다는 점에 있다. 대법원은 누가 개인정보처리자인지를 판단할 때 ‘종국적인 결정 권한’이 누구에게 있는지를 가장 중요한 잣대로 삼았다. 즉, 해당 데이터 처리가 누구의 고유한 업무와 이익을 위한 것인지, 그리고 그 과정에서 실질적인 지휘·감독권을 행사하는 주체가 누구인지를 종합적으로 따져봐야 한다는 논리이다.
(2) 보험설계사는 보험계약 체결 중개하는 모집 종사자에 불과
보험설계사의 사례를 구체적으로 살펴보면, 설계사는 보험계약 체결을 중개하는 모집 종사자일 뿐이며, 그가 수집한 고객 정보는 결국 보험회사의 영업 이익과 보험계약 이행이라는 회사의 고유 업무를 위해 사용된다. 따라서 특별한 사정이 없는 한,
개인정보 처리에 관한 결정권은 설계사가 아닌 보험회사에 있다고 보는 것이 타당하다. 설계사가 고객 정보를 임의로 사용해 계약 내용을 바꾼 행위가 부적절할지언정, 법리적으로 설계사 개인을 ‘개인정보처리자’로 묶어 무거운 형사 책임을 지우는 것은 법의 취지에 어긋날 수 있다는 판단이다.
(3) 보험설계사 개개인 모두 개인정보처리자로 본다면 기업은 개인에게 책임 전가 할 우려
이러한 대법원의 태도는 ‘책임과 권한의 일치’라는 법 원칙을 충실히 반영하고 있다. 만약 설계사 개개인을 모두 처리자로 본다면, 기업은 관리·감독의 책임을 회피하고 개인에게 책임을 전가할 우려가 있다.
대법원은 오히려 보험회사와 같은 거대 조직이 개인정보 보호법상의 의무와 책임을 온전히 부담하게 함으로써 정보주체의 권익을 더 두텁게 보호하려는 정책적 의지를 보인 것이다.
(4) 결론
결과적으로 이번 판결은 원심이 피고인(설계사)이 관리하는 별도의 ‘개인정보파일’이 실재하는지, 그 운용의 주도권이 누구에게 있는지 등을 충분히 심리하지 않은 채, 내린 유죄 원심 판결을 파기함으로써 하급심에 정밀한 법리 검토를 요구했다.
실무적으로는 기업들이 임직원이나 협력사 직원의 개인정보 취급 행위에 대해 더 철저한 지휘·감독 체계를 갖춰야 한다는 강력한 신호를 보낸 것으로 볼 수 있다.
결국 “정보를 만진다고 다 주인은 아니다“라는 상식적이면서도 정교한 법리가 확인된 셈이다.
[With Gemini]
https://blog.naver.com/duckhee2979/223770881636[시험감독관은 “개인정보처리자로부터 개인정보제공받은 자” 비해당]