Chloe

✅ 프라이버시 vs 개인정보 자기결정권 비교 정리

🎯 핵심 차이 요약

📌 대법원 2017. 4. 7. 선고 2016도13263 판결

사건 개요:

• 피고인은 회사의 인사노무팀장으로 재직 중, 직원들의 동의 없이 단체보험 계약을 체결하고, 이를 위해 직원들의 개인정보를 보험사에 제공하였습니다.​

쟁점:

• 피고인이 직원들의 동의 없이 보험사에 개인정보를 제공한 행위가 개인정보 보호법 위반에 해당하는지 여부.​

대법원 판단:

• 대법원은 피고인이 직원들의 동의 없이 보험사에 개인정보를 제공한 행위가 개인정보 보호법 제17조 제1항 및 제18조 제1항을 위반한 것으로 판단하였습니다.​

결론:

• 피고인의 행위는 개인정보 보호법 위반에 해당하며, 이에 따라 유죄 판결이 선고되었습니다.

✅ 핵심 주제: "개인정보 보호법 vs 상법 중 무엇이 우선인가?"

💡 배경

• 개인정보 보호법은 정보주체(예: 근로자)의 동의 없이는 개인정보를 제3자(예: 보험사)에게 제공하지 못한다고 함.
• 하지만 다른 법률에 특별한 규정이 있는 경우, 그 법이 우선 적용될 수 있음.
  → 이게 바로 개인정보 보호법 제15조 제1항 제2호 및 제18조 제2항 제2호에서 말하는 "특별한 규정"이에요.

⚖️ 사례 상황

• 회사가 근로자를 위한 복리후생 목적으로 단체보험 계약을 체결하고,
• 그 보험가입을 위해 근로자의 개인정보를 보험사에 제공해야 할 때,
• 근로자의 동의 없이 보험사에 정보를 넘겨도 될까? 가 쟁점이에요.

✅ 결론: "상법이 우선 적용될 수 있음"

1. 상법 제731조 제1항:
   → “타인의 사망을 보험의 목적으로 하는 계약에서는 반드시 **그 사람(피보험자)**의 서면 동의가 필요하다”고 명시함.
2. 그러나 단체보험의 경우,
   → 계약 대상이 개별 피보험자가 아니라 단체이며,
   → 단체 계약에 관한 사항이 규약으로 정해져 있다면
   → 피보험자의 개별 동의 없이도 계약 체결 가능하다고 상법은 허용함.
3. 상법 제735조의3은
   → 단체협약, 취업규칙, 정관 등 내부 규정에 의해 구성원들의 동의가 간주되는 구조를 허용

🎯 그래서 어떻게 되는가?

• 단체보험에 대해 단체협약, 취업규칙 등에 관련 내용이 포함되어 있다면
  ✅ 회사는 근로자의 동의 없이 보험사에 개인정보를 제공할 수 있음
  ✅ 이 경우엔 상법이 개인정보 보호법보다 우선 적용됨

⚠️ 주의할 점

• 단체협약이나 취업규칙에 관련 내용이 없다면
  ❌ 그냥 보험사에 개인정보를 넘기면 불법
  → ✅ 반드시 개별 근로자의 동의를 받아야 함!

법률이 아닌 시행령, 시행규칙, 고시, 조례 등에 개인정보 보호법과 다른 특별한 규정이 있을 경우에도 개인정보 보호법을 우선하여 적용하는 것이 현재의 개인정보 보호법이다. 그러나 그 시행령 등이 법률의 위임을 받은 것일 경우에 한하여 그 시행령 등이 우선하여 적용될 수 있다는 것도 개인정보 보호법이다.​

이와 관련하여, 개인정보 보호법 제6조는 다음과 같이 규정하고 있습니다.​

제6조(다른 법률과의 관계) 개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.​

또한, 개인정보 보호법 제18조 제2항 제2호는 다음과 같이 규정하고 있습니다.

제18조(개인정보의 목적 외 이용·제공 제한) ② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다.​

다른 법률에 특별한 규정이 있는 경우​

이러한 규정에 따라, 법률에 특별한 규정이 있는 경우에는 해당 법률이 개인정보 보호법보다 우선 적용될 수 있습니다. 그러나 시행령, 시행규칙, 고시, 조례 등은 법률의 위임을 받은 경우에 한하여 개인정보 보호법보다 우선 적용될 수 있습니다.​

이와 관련하여, 개인정보 보호위원회는 다음과 같이 해석하고 있습니다.

'법률'로 한정되어 있으므로 시행령·시행규칙에만 관련 규정이 있는 경우에는 제2호에 따른 목적 외 이용·제공이 허용되지 않는다. 다만 법률에 위임근거가 있고 이에 따라 시행령·시행규칙에 제공 관련 규정이 있는 경우는 허용된다.

또한 목적 외 이용·제공과 관련하여 '특별한 규정이 있는 경우'에 한하므로, 법률에서 개인정보의 목적 외 이용·제공을 구체적으로 허용하고 있어야 하며, '법령상 의무이행'과 같이 포괄적으로 규정된 경우에는 허용되지 않는다.​

다만, 해당 법률에 목적 외 이용·제공되는 개인정보의 항목이 구체적으로 열거되어 있지 않더라도 당해 업무의 목적, 성격 등을 고려하였을 때 목적 외 이용·제공 대상에 개인정보가 포함될 것이 합리적으로 예견되는 경우에는 허용될 수 있다.​

그러나 현재까지 확인된 바로는, 이러한 내용을 수행한 구체적인 판례는 확인되지 않았습니다.

📌 사건 개요

• 사건번호: 2022도1676
• 선고일자: 2022년 6월 16일
• 주요 쟁점: 주택재개발정비사업 조합의 조합원이 조합 임원 해임 총회 개최를 위해 조합원 명단을 제공받은 행위가 개인정보 보호법 위반에 해당하는지 여부​ 국가법령정보센터

⚖️ 판결 요지

피고인은 조합 임원 해임 총회 개최를 위해 조합원 명단을 제공받아 사용하였습니다. 검찰은 이를 개인정보 보호법 위반으로 기소하였으나, 대법원은 다음과 같이 판단하였습니다:​

• 도시 및 주거환경정비법에 따라 조합원은 조합원 명단을 열람·복사할 수 있으며, 조합 임원 해임을 위한 총회 소집 시 조합원에게 통지할 의무가 있습니다.
• 피고인은 조합원 명단을 해임 총회 개최를 위한 통지 목적으로 사용하였으며, 이는 도시 및 주거환경정비법에 따른 정당한 행위로 볼 수 있습니다.
• 따라서, 피고인의 행위는 개인정보 보호법에서 말하는 '부정한 목적'에 해당하지 않으며, 개인정보 보호법 위반으로 볼 수 없습니다.
  

  ---

❌ 특별한 규정이 아닌 경우

어떤 법에서 “개인정보를 수집할 수 있다”고만 써 있고,
동의 요건, 보호조치, 제공 제한 등은 아무 언급이 없다.

➡ 이럴 땐 보호법과 충돌도 없고, 명시적 배제도 없으므로
➡ 특별한 규정이 아니고, → 개인정보 보호법이 그대로 적용됩니다.

✅ 특별한 규정이 맞는 경우

어떤 법에서 “공공기관은 이 업무에 한해 정보주체 동의 없이 개인정보를 제공할 수 있다.
이 경우 개인정보 보호법 제17조는 적용하지 않는다.”

➡ ✅ 충돌 있음 + 명시적 배제 조항 있음
➡ → 이 법이 특별한 규정으로 인정돼 우선 적용됨

📌 2022도1676 사건에서 상호 모순·저촉되는 규정의 존재 여부

도정법 제124조 제4항은 조합원, 토지등소유자가 조합원 명부 등 정비사업 시행에 관한 서류와 관련 자료에 대하여 열람·복사를 요청할 경우, 추진위원장이나 사업시행자가 15일 이내에 그 요청에 따라야 한다고 규정하고 있습니다.​에너지 정책 위원회+5법제처+5법제처+5

이는 개인정보 보호법 제17조 제1항에서 개인정보를 제3자에게 제공하려면 정보주체의 동의를 받아야 한다는 규정과 상충됩니다. 즉, 도정법은 조합원 명단을 정보주체의 동의 없이 열람·복사할 수 있도록 허용하고 있어, 개인정보 보호법과의 규정 충돌이 발생합니다.​

📌 2022도1676 사건에서 개인정보 보호법 관련 조항을 배제하고자 하는 내용의 포함 여부

도정법은 조합원 명단의 열람·복사를 허용하면서, 정보주체의 동의 요건이나 개인정보 보호 조치에 대한 별도의 언급이 없습니다. 이는 개인정보 보호법의 적용을 배제하려는 명시적인 의도는 없지만, 실질적으로 개인정보 보호법의 규정을 배제하는 효과를 가져옵니다.

​

📌 사건 개요

• 사건번호: 2020도1511
• 선고일자: 2021년 5월 13일
• 피고인: 공립 고등학교 교사
• 혐의: 개인정보 보호법 위반
• 쟁점: 수험생의 개인정보를 목적 외로 이용한 행위가 개인정보 보호법 제19조 위반에 해당하는지 여부 ​국가법령정보센터

⚖️ 판결 요지

피고인은 대학수학능력시험 감독관으로 임명되어 수험생의 응시원서를 통해 개인정보를 취득하였습니다. 이후, 특정 수험생의 연락처를 이용하여 개인적인 메시지를 보냈습니다. 원심은 이를 개인정보 보호법 제19조 위반으로 판단하였으나, 대법원은 다음과 같이 판시하였습니다:​

"피고인은 개인정보처리자인 교육청의 지휘·감독하에 개인정보를 처리한 자로서, 개인정보 보호법 제19조에서 말하는 '개인정보처리자로부터 개인정보를 제공받은 자'에 해당하지 않는다."​

즉, 피고인은 '개인정보취급자'에 해당하며, 제19조의 적용 대상이 아니라는 이유로 원심을 파기하고 사건을 환송하였습니다.​

🔍 법적 해석의 충돌

• 개인정보 보호법 제19조: '개인정보처리자로부터 개인정보를 제공받은 자'는 정보주체의 동의 없이 목적 외로 이용하거나 제3자에게 제공해서는 안 된다고 규정하고 있습니다.
• 대법원의 해석: 피고인은 개인정보처리자의 지휘·감독하에 업무를 수행하는 '개인정보취급자'로서, 제19조의 '제공받은 자'에 해당하지 않으므로 해당 조항을 적용할 수 없다고 판단하였습니다.

관련 보도에 따르면 피고인은 수험생의 응시원서에 기재된 연락처를 이용하여 개인적인 메시지를 보냈으며, 이는 '구애 문자'로 표현되고 있습니다. ​법률신문​

✅ 개인정보취급자란?

📘 개인정보 보호법 제28조 제1항
“개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자”

즉,

• 스스로 책임지고 처리하는 **“개인정보처리자”**가 아니라
• 그 밑에서 지시받고 개인정보를 직접 다루는 사람이에요.

👩‍💼 예시

✅ 법적 지위와 책임

✅ 수능 감독관의 가능성 있는 휴대폰 번호 접근 경로

1. 응시원서

• 수험생은 수능 응시원서를 제출할 때
  **성명, 수험번호, 생년월일, 주소, 연락처(휴대폰 포함)**를 기재합니다.
• 이 응시원서는 시험장 운영 목적으로 일정 범위 내에서 공유될 수 있어요.

📌 정상적인 범위라면:

• 시험 당일 감독관이 수험표를 통해 수험생 이름과 수험번호를 확인
• 개인 연락처까지 볼 권한은 없음 (보통은 시험본부, 행정지원 인력이 보관)

✅ 문제는 무엇인가?

👉 해당 사건(2020도1511 판결)에서는 감독관이 시험 직후, 특정 수험생의 휴대전화 번호를 입수하여 ‘개인적인 메시지’를 전송했어요.

이 말은:

• 감독관이 시험 운영 중이거나 이후에,
• **자신이 접근해서는 안 되는 개인정보(휴대전화 번호)**를

고의적·비정상적으로 열람하거나 받아낸 것으로 추정됩니다.

✅ 대법원은 이 상황을 어떻게 봤을까?

• 대법원은 피고인이 **지휘·감독을 받으며 개인정보를 처리한 자(=개인정보취급자)**라고 봤고,
• 그가 개인정보처리자의 ‘외부 수령자’가 아니기 때문에
  **개인정보 보호법 제19조(목적 외 이용 금지)**는 적용되지 않는다고 판단했어요.

하지만 대법원도 명시합니다:

“개인적인 목적으로 연락처를 이용한 행위는 부적절했으며,
향후 이런 행위를 처벌할 수 있도록 입법적 정비가 필요하다.”

✅ 결론

수능 감독관은 원래 수험생의 휴대전화 번호까지 접근할 권한이 없으며,
만약 응시원서 등에서 몰래 확인하거나 부당하게 전달받았다면,
이는 명백한 업무 범위 외 개인정보 부당 열람 및 사적 이용입니다.

→ 이번 사건에서는 법적으로 “어떻게 처벌할지” 규정이 불명확해 무죄로 판단되었지만,
→ 개인정보보호법의 사각지대가 드러난 대표 사례로 회자됩니다.

✅ 영상정보처리기기를 법에서 따로 지정한 이유

📌 1. 사생활 침해 가능성이 매우 크기 때문

• 영상정보처리기기(CCTV 등)는 특정 공간을 지속적으로 감시하고
• 다수의 불특정 다수를 촬영하기 때문에
  → 일반적인 카메라보다 정보주체의 사생활 침해 우려가 훨씬 큽니다.

📌 그래서 법은 이를 더 엄격하게 관리하고 보호하려는 거예요.

📌 2. 공공기관 및 사업자의 설치·운영을 규제하기 위해

• 영상정보처리기기는 보통 관공서, 건물, 학교, 아파트, 병원, 대중교통 등
  공적인 공간에 설치돼요.
• 이런 기기를 설치한 자는 운영 목적, 보유 기간, 열람 요청 방법, 안내표지 부착 등
  아주 상세한 규제를 받아야 합니다.

📌 3. 개인의 일상적인 촬영 장비와 구분하기 위해

• 스마트폰, 캠코더, 차량 블랙박스 등은
  사용자가 언제, 어디서, 어떻게 사용할지 제어 가능하고 한시적이기 때문에
  → 이런 장비까지 영상정보처리기기로 보면 과잉규제가 될 수 있어요.

그래서 법에서는 이런 장비는 **“영상정보처리기기에서 제외”**하고,
CCTV처럼 고정적·지속적 감시 장비만 포함시켜 규율하는 거죠.

📘 법적 정의 참고 – 「개인정보 보호법 시행령」 제2조

“영상정보처리기기란”
일정한 공간에서 사람이나 사물의 모습을 지속적으로 촬영하여
정보를 수집하는 장치를 말함.
(※ 차량 블랙박스 등은 제외됨)

📌 1. 두 법의 대상자 비교

👉 신용정보법은 금융거래 등을 위한 "정보의 유통"에 중점을 둠
👉 개인정보 보호법은 "정보의 처리 주체와 방법"에 초점을 둠

📌 2. 예외 적용 – 정보통신서비스 제공자

• 개인정보 보호법은 일반적으로 개인정보처리자 중심으로 규율하지만,
• 특정한 정보통신서비스 제공자는 예외적으로 정보통신망법이 적용돼요.

📌 여기서 말하는 정보통신서비스 제공자란? → 예: KT, SKT, 네이버, 카카오 등처럼
→ 통신망이나 플랫폼을 통해 정보를 제공하거나 파는 사업자

📘 [정보통신망법 제2조 제3호]

“정보통신서비스 제공자” = 전기통신사업자(통신망 가진 회사 등)의 설비를 이용해서
정보를 제공하거나, 그 정보를 팔거나 판매하게 하는 자

📘 [신용정보법 제2조 제7호]

“신용정보제공·이용자” = 금융거래를 위해
신용정보를 타인에게 제공하거나,
타인에게서 받은 신용정보를 이용하는 자
→ 주로 금융회사, 카드사, 보험사, 신용조회회사 등이 여기에 해당함

✅ 네이버·카카오도 정보통신서비스 제공자인 이유

📌 법적으로 “정보통신서비스”란?

「정보통신망법」 제2조 제1호:
정보통신망을 통해 정보통신서비스를 제공하는 것
➤ 여기서 말하는 “정보통신서비스”는
웹사이트, 앱, 메신저, 클라우드, 검색엔진, 이메일, 포털, 커뮤니티, 쇼핑몰 등 포함돼요.

📌 네이버·카카오가 제공하는 대표적인 정보통신서비스

✅ 그래서 네이버·카카오는 이런 법 적용 대상이 됩니다

✅ 정보통신서비스 제공자에게 적용되는 특별 의무

✅ 정보통신서비스 제공자에게 추가로 적용되는 제재 사항

• 과징금/과태료 부과
  • 위반 정도, 위반 항목에 따라 과징금(최대 수익의 3% 이내) 또는 과태료 부과 가능
• 형사 처벌 대상
  • 유출 고의/중과실, 동의 없이 제공, 파기 위반 시 형사처벌도 가능 (보호법 §70~75)

✅ 2. 📌 "같아 보이지만 다른 이유"

🎯 겉보기엔 비슷해요, 왜냐하면:

• 둘 다 **개인정보를 ‘결정하는 자’ vs ‘처리만 하는 자’**로 나눠요.
• 그래서 **“개인정보처리자 = Controller”, “취급자 = Processor”**처럼 보이죠.

⚠️ 하지만 실제론 중요한 차이들이 있어요:

🧠 쉽게 비유하자면?

• 한국:
  • 📂 개인정보처리자 = 회사 사장
  • 🧑‍💼 개인정보취급자 = 회사 직원, 알바생
• GDPR:
  • 📂 Controller = 프로젝트 발주자(갑)
  • 🛠 Processor = 작업수행 업체(을)

✅ 정리 요약

✔ 외형적으로는 "목적 정하는 자 vs 처리 수행자"라는 점에서 같지만,
✔ GDPR은 Processor도 독립된 법적 책임 주체인 반면,
✔ 한국의 취급자는 내부 인력 수준으로 법적 책임과 지위가 다름

📌 1. 업무방해죄에서의 ‘업무’

어떤 사람이 직업·사업·사회활동의 일환으로 계속적으로 하는 활동 전체를 의미하며,
꼭 돈벌이가 아니어도 사회적으로 기능을 수행하면 '업무'에 해당함.

🧾 판례: 대법원 2005. 4. 15. 선고 2004도5870

• 누가: 방송국 외부작가 A씨가
• 언제·어디서: 2004년경 방송 프로그램 기획 업무 중
• 무엇을: 방송 제작 관련 자료를 외부에 유출하거나 무단 사용하고
• 어떻게: 내부 승인 없이 외부와 접촉해 업무에 지장을 줌
• 왜: 해당 작가의 활동이 ‘부수적 업무’지만, 지속적이고 사회적 기능을 가진 업무로 인정돼
• ▶ 업무방해죄 성립, 업무로 인정됨

📌 2. 업무상과실치사상죄에서의 ‘업무’

사람의 생명·신체에 위해를 방지할 책임이 있는 활동은 '업무'로 인정되며,
이로 인해 주의 의무를 위반하면 업무상 과실치사상이 성립할 수 있음.

🧾 판례: 대법원 2002. 5. 31. 선고 2002도1342

• 누가: 놀이공원 운영업체 직원 B씨가
• 언제·어디서: 2001년 국내 모 놀이공원에서
• 무엇을: 놀이기구 작동 전 점검을 제대로 하지 않고
• 어떻게: 안전벨트 미확인 상태에서 운행 시작
• 왜: 그 결과 탑승객이 추락하여 부상을 입었고,
• ▶ 해당 직무는 **생명 보호 의무가 있는 ‘업무’**이므로 업무상 과실치상죄로 선고

📌 3. 업무상횡령죄에서의 ‘업무’

법적 직책이 없어도 계약·관습·지위 등으로 반복적으로 재산을 관리해 왔다면,
사실상의 업무 관계로 인정됨.

🧾 판례: 대법원 2006. 4. 27. 선고 2003도135

• 누가: 마을회관 자금을 관리해오던 주민 대표 C씨가
• 언제·어디서: 2002년경 ○○시 ○○면 마을회관
• 무엇을: 주민 회비 명목의 예치금을
• 어떻게: 개인 계좌로 이체해 사적으로 유용
• 왜: 특별한 직함은 없었지만, 지속적으로 회비를 수납·보관해 온 사실상의 업무가 인정돼
• ▶ 업무상 횡령죄로 유죄 판결

🔍 왜 블랙박스는 개인정보 파일인가요?

• 개인정보파일이란?
  ➤ 사람을 식별할 수 있는 정보들이
  ➤ 어떤 규칙에 따라 정리되고,
  ➤ 검색 가능하도록 저장된 형태를 말함 (개인정보 보호법 제2조 제13호)
• 블랙박스 영상은 어떤가요? ✔ 촬영 시간별로 자동 저장되고
  ✔ 영상 속에 차량번호, 얼굴, 위치정보 등 개인을 식별할 수 있는 정보가 있고
  ✔ 저장된 파일을 날짜, 시간 등으로 쉽게 찾을 수 있음
  → 👉 즉, 구조화된 개인정보의 모음 = 개인정보파일

⚖️ 서울중앙지법 2014고정5090 판결

• 내용: 택시 기사의 블랙박스 영상이 인터넷 커뮤니티에 유출됨
• 쟁점: 영상 속 차량번호 및 얼굴이 그대로 노출
• 판단: 특정인을 식별할 수 있어 개인정보 유출로 인정, 개인정보보호법 위반 유죄

⚖️ 대전지방법원 2017고단1795 판결

• 내용: 교통사고 피해자 측이 상대 차량 블랙박스 영상을 확보해 공개
• 쟁점: 피해자 외 제3자의 얼굴이 포함되어 있었음
• 판단: 블랙박스 영상은 개인정보파일이고, 제3자 동의 없는 공개는 불법 제공

⚖️ 개인정보분쟁조정위원회 조정사례 2016-23

• 내용: 아파트 경비실에서 블랙박스 영상 요청 거절
• 쟁점: 입주민이 자기 영상을 요청했으나, 경비실이 "우린 영상 저장 안 한다"고 주장
• 판단: 경비실은 블랙박스를 통해 주민의 이동 경로 등을 식별 가능하며, 요청자는 본인에 관한 정보의 열람 요구권이 있음 → 정당한 요청 거부는 위법

✅ 1. 「신용정보법」에서 말하는 “제공”의 의미

신용정보법 제2조 제13호에서 말하는 **“제공”**은
▶ 신용정보주체가 아닌 제3자에게 정보를 넘기는 행위 전체를 의미합니다.

이때의 제공은 단순 기술적 전달이 아니라,
제공하는 자가 정보 내용을 인식·통제할 수 있는 상태에서 이뤄지는 행위예요.

• 예) A 금융기관이 B 보험사에 고객의 대출정보를 전산으로 “제공”함
  → B는 이 정보를 활용하여 보험심사를 할 수 있음
  → A는 정보의 의미와 내용, 목적을 알고 “제공”하는 것임
  ✅ 처리에 해당

❌ 2. 단순한 “전달/전송”은 왜 처리가 아닌가?

개인정보보호법 해설에서는 다음과 같이 설명합니다:

“다른 사람이 처리하고 있는 개인정보를 단순히 **전달, 전송 또는 통과만 시켜주는 행위는 ‘처리’에 해당하지 않는다.”
예) 우편배달, 네트워크 전송, CDN 전달 등은
▶ 정보의 내용을 알 수 없고 통제하지 않음
▶ 단순한 경유자 역할만 함

📦 즉, **전송만 담당하는 통신망 사업자(ISP)**나
✉️ 내용을 모르는 상태로 편지를 전달하는 우체국 직원은
개인정보를 “제공”하는 것이 아니라 기계적으로 '운반'만 하는 것이기 때문에
▶ 개인정보 “처리”에 해당하지 않아요.

📌 신용정보법의 ‘제공’은 단순한 ‘전달/전송’이 아니라, 법적으로 ‘정보처리 행위’로 인정되는 제공입니다.
▶ 따라서 처리의 한 유형으로 보는 것이 맞습니다.