고객 정보 훔쳐 보험 ‘무단 해지’한 설계사… 대법원 “개인정보법 처벌 불가”

고객의 개인정보를 이용해 무단으로 보험 특약을 해지한 보험설계사에 대해 대법원이 제동을 걸었다.

개인정보를 직접 수집하고 다뤘더라도, 법률상 엄격한 의미의 '개인정보처리자'로 단정해 처벌할 수는 없다는 판단이다.

고객 정보 이용해 지인과 미리 짜고…보험 임의 해지

보험설계사 A씨는 2015년 10월경부터 B 보험회사에 소속되어 일했다. A씨는 2015년과 2016년 무렵 자신을 통해 보험에 가입한 고객 C씨의 개인정보를 수집해 관리하고 있었다.

사건은 2017년 1월 4일경 발생했다.

A씨는 평소 알고 지내던 지인과 미리 짜고, 지인이 B사 상담원에게 전화를 걸어 마치 고객 C씨인 것처럼 행세하게 했다.

이들은 A씨가 보관해 둔 C씨의 생년월일, 주소, 연락처 등을 이용해 C씨가 가입한 보험의 특약을 해지하고 주 계약의 보장내용 변경을 신청했다.

이에 검찰은 A씨가 개인정보처리자로서 C씨의 개인정보를 처음 수집한 목적의 범위를 벗어나 이용했다며 구 개인정보 보호법 위반 등의 혐의로 재판에 넘겼다.

2심 유죄 판결 뒤집은 대법원…"최종 결정 권한은 보험사에"

1심과 2심 재판부는 A씨가 직접 C씨의 개인정보를 수집한 적이 있다는 사실 등을 바탕으로 그를 구 개인정보 보호법에서 규정하는 '개인정보처리자'로 보고 유죄를 선고했다.

하지만 대법원의 판단은 달랐다. 대법원은 2심 판결 중 개인정보 보호법 위반 부분을 취소하고 사건을 서울중앙지방법원으로 돌려보냈다.

재판부는 어떤 사람이 업무 목적으로 개인정보를 수집하고 보관하는 등 실제 다루는 일을 했다는 사실만으로 당연히 개인정보처리자에 해당하는 것은 아니라고 지적했다.

법률상 개인정보처리자인지는 개인정보를 다루는 목적, 내용, 방법 등을 최종적으로 결정하는 권한이 누구에게 있는지에 따라 판단해야 한다는 기준을 내세웠다.

개인정보처리자 조건 엄격하게 따져야

재판부는 보험회사의 업무 특성에 주목했다.

소속 보험설계사가 계약 과정에서 고객의 개인정보를 수집하더라도, 이는 특별한 사정이 없는 한 보험계약 체결 등 보험회사의 고유한 업무 및 이익과 매우 가깝게 연결되어 있다고 보았다.

따라서 개인정보를 다루는 일에 관한 최종 결정 권한은 보험회사에 있다고 볼 가능성이 높다는 것이 대법원의 판단이다.

결과적으로 대법원은 2심이 A씨의 행동과 관련해 실제 지시나 감독을 하는 사람이 누구인지 등을 충분히 살피지 않은 채 A씨를 개인정보처리자로 단정한 것은 잘못이라고 판단했다.

다만 대법원은 A씨의 사기, 전자기록 위조 등 나머지 혐의에 대해서는 2심의 유죄 판단이 맞다고 인정했다.

하지만 취소되는 개인정보 보호법 위반 부분이 나머지 혐의와 합쳐져 하나의 처벌이 내려졌으므로, 2심 판결 전부를 취소하고 다시 재판하도록 돌려보내기로 결정했다.

[참고] 대법원 2024도14998 판결문 (2026. 2. 26. 선고)