시험장서 얻은 번호로 사적 연락…수능 감독관 사건 대반전

2018학년도 대학수학능력시험(수능) 고사장 감독관으로 위촉된 한 공립 고등학교 교사 A씨가 수험생의 개인정보를 사적인 목적으로 이용한 사건이 발생했다.

A씨는 시험 감독 업무 중 수험생 본인 확인을 위해 수험생의 성명, 연락처, 주소 등이 포함된 응시원서를 제공받는 과정에서 한 수험생(B)의 연락처를 알게 되었다.

A씨는 시험이 끝난 후인 2018년 11월 25일경, 업무상 알게 된 이 연락처를 이용해 수험생 B를 카카오톡 친구로 추가했다. 이후 B에게 "사실 ○○씨가 맘에 들어서요" 등의 메시지를 발송하며 개인적인 만남을 시도했다.

이러한 행위는 개인정보처리자(서울특별시교육청)로부터 제공받은 개인정보를 제공받은 목적 외 용도로 이용한 것으로 보고 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것) 위반 혐의로 기소되었다.

엇갈린 하급심 판단: '유죄'와 '무죄' 공방

A씨에 대한 재판 과정에서 1심과 2심의 판단은 극명하게 엇갈렸다.

• 1심 판결 (무죄): A씨의 행위에 대해 무죄를 선고했다.

• 2심 판결 (유죄): A씨가 개인정보처리자인 서울특별시교육청으로부터 수험생들의 개인정보를 '제공'받았다고 보고, 그가 구 개인정보 보호법 제19조의 '개인정보처리자로부터 개인정보를 제공받은 자'에 해당한다고 판단해 유죄를 선고했다.

2심의 유죄 판결은 개인정보를 업무상 취급하는 사람이라면 누구나 개인정보 유용 시 형사 처벌을 받을 수 있다는 경고로 해석될 여지가 있어 큰 주목을 받았다.

대법원의 '법리 오해' 지적과 파기환송: 개인정보 '취급자'와 '제공받은 자'의 결정적 차이

그러나 대법원은 원심(2심)의 판단에 법리 오해의 잘못이 있다고 지적하며 사건을 다시 심리하도록 서울중앙지방법원에 파기환송했다.

핵심은 A씨가 법에서 처벌하는 '개인정보처리자로부터 개인정보를 제공받은 자'에 해당하는지 여부였다.

대법원이 제시한 핵심 법리

대법원은 구 개인정보 보호법 제19조에서 규정하는 '개인정보처리자로부터 개인정보를 제공받은 자'는 개인정보처리자로부터 개인정보의 지배·관리권을 이전받은 제3자를 의미한다고 명확히 선을 그었다.

반면, A씨와 같이 임직원, 파견근로자 등 개인정보처리자의 지휘·감독을 받아 업무 수행을 위해 개인정보를 처리하는 자는 법률상 '개인정보 취급자'(제28조)에 해당한다고 보았다.

개인정보 취급자는 개인정보처리자의 의사에 따라 업무를 수행할 뿐, 개인정보에 관한 독자적인 이익을 위하여 이용하거나 제3자에게 제공할 수 있는 지위에 있지 않다는 것이 대법원의 판단이다.

즉, 개인정보의 지배·관리권이 취급자에게 이전되었다고 볼 수 없으므로, A씨의 행위는 '개인정보를 제공받은 목적 외 용도로 이용한 행위'로 처벌하는 제19조 위반에 해당하지 않는다는 것이다.

법리 적용의 결과

서울특별시 소속 공립학교 교사였던 A씨는 서울특별시교육청(개인정보처리자)의 지휘·감독하에 수능 감독 업무를 수행하며 수험생의 개인정보를 처리한 자, 즉 '개인정보 취급자'에 불과하다는 결론이다.

따라서 대법원은 A씨를 '개인정보처리자로부터 개인정보를 제공받은 자'로 보아 유죄를 선고한 원심판결에 법리를 오해한 잘못이 있다고 판시하고, 사건을 원심법원에 돌려보냈다.

향후 전망과 시사점

이번 대법원 판결은 개인정보 취급자와 개인정보 제공받은 제3자를 구분하는 명확한 기준을 제시하며, 개인정보보호법상 처벌 규정의 적용 범위를 엄격하게 해석했다는 점에서 큰 의미가 있다.

업무상 개인정보에 접근하는 수많은 임직원과 근로자의 법적 책임 범위에 대한 중요한 이정표가 될 전망이다.

다만, 법이 '개인정보 취급자'의 목적 외 이용 행위를 직접적으로 처벌하지 않는다고 하여, 그 행위 자체가 법적 제재에서 완전히 자유롭다는 의미는 아니다.

이는 해당 개인정보 처리자가 취급자에 대한 관리·감독 의무를 다했는지, 또는 다른 법률이나 징계 절차를 통해 책임을 물을 수 있는지 등의 쟁점을 남긴다.