대법원 2017. 4. 7. 선고 2016도13263 판결[개인정보보호법위반·정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등)]〈이른바 '경품 응모권 1mm 글씨 고지' 등 관련 형사사건〉

대법원 2017. 4. 7. 선고 2016도13263 판결[개인정보보호법위반·정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등)]〈이른바 '경품 응모권 1mm 글씨 고지' 등 관련 형사사건〉

 

【판시사항】

[1] 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’의 의미 및 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지 판단하는 방법

[2] 개인정보 보호법 제17조와 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제24조의2에서 말하는 개인정보의 ‘제3자 제공’의 의미 및 개인정보 보호법 제26조와 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제25조에서 말하는 개인정보의 ‘처리위탁’의 의미 / 개인정보 처리위탁에 있어 수탁자가 개인정보 보호법 제17조와 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제24조의2에 정한 ‘제3자’에 해당하는지 여부(소극) / 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지 판단하는 기준

【판결요지】

[1] 개인정보자기결정권의 법적 성질, 개인정보 보호법의 입법 목적, 개인정보 보호법상 개인정보 보호 원칙 및 개인정보처리자가 개인정보를 처리함에 있어서 준수하여야 할 의무의 내용 등을 고려하여 볼 때, 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’이란 개인정보를 취득하거나 또는 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 개인정보 취득 또는 그 처리에 동의할지에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위를 뜻한다. 그리고 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지를 판단할 때에는 개인정보처리자가 그에 관한 동의를 받는 행위 자체만을 분리하여 개별적으로 판단하여서는 안 되고, 개인정보처리자가 개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴보아 거기에서 드러난 개인정보 수집 등의 동기와 목적, 수집 목적과 수집 대상인 개인정보의 관련성, 수집 등을 위하여 사용한 구체적인 방법, 개인정보 보호법 등 관련 법령을 준수하였는지 및 취득한 개인정보의 내용과 규모, 특히 민감정보·고유식별정보 등의 포함 여부 등을 종합적으로 고려하여 사회통념에 따라 판단하여야 한다.

[2] 개인정보 보호법 제17조 제1항 제1호, 제26조, 제71조 제1호, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라고 한다) 제24조의2 제1항, 제25조, 제71조 제3호의 문언 및 취지에 비추어 보면, 개인정보 보호법 제17조와 정보통신망법 제24조의2에서 말하는 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보 보호법 제26조와 정보통신망법 제25조에서 말하는 개인정보의 ‘처리위탁’은 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다. 개인정보 처리위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리·감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로, 개인정보 보호법 제17조와 정보통신망법 제24조의2에 정한 ‘제3자’에 해당하지 않는다.

한편 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리·감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다.

【참조조문】

[1] 헌법 제10조, 제17조, 개인정보 보호법 제1조, 제3조 제1항, 제15조, 제17조 제1항, 제2항, 제22조 제1항, 제59조 제1호, 제72조 제2호, 구 개인정보 보호법(2013. 8. 6. 법률 제11990호로 개정되기 전의 것) 제16조 제1항, 제2항(현행 제16조 제3항 참조) [2] 개인정보 보호법 제17조 제1항 제1호, 제26조, 제71조 제1호, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제24조의2 제1항, 제25조, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2016. 3. 22. 법률 제14080호로 개정되기 전의 것) 제71조 제3호(현행 제71조 제1항 제3호 참조)

【참조판례】

[2] 대법원 2011. 7. 14. 선고 2011도1960 판결(공2011하, 1675)

【전 문】

【피 고 인】 피고인 1 외 8인

【상 고 인】 검사

【변 호 인】 변호사 손지열 외 11인

【원심판결】 서울중앙지법 2016. 8. 12. 선고 2016노223 판결

【주 문】

원심판결을 파기하고, 사건을 서울중앙지방법원에 환송한다. 원심판결의 사건명 표시 “개인정보보호법위반”을 “가. 개인정보보호법위반, 나. 정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등)”으로 경정한다.

【이 유】

1. 이 사건 공소사실의 요지

가. 개인정보 취득 등으로 인한 개인정보 보호법 위반의 점

(1) 피고인 1, 피고인 2, 피고인 3, 피고인 4, 피고인 5, 피고인 6(이하 ‘피고인 1 등’이라고 한다)은 피고인 9 주식회사(이하 ‘피고인 9 회사’라고 한다)의 임직원들로서, 공소외 1 주식회사 및 공소외 2 주식회사(이하 각 ‘공소외 1 회사’, ‘공소외 2 회사’라고 한다)와 피고인 9 회사가 경품행사를 통해 취득하는 개인정보를 1건당 1,980원에 판매한다는 업무제휴약정을 각 체결하고, 경품행사를 가장하여 경품 당첨을 기대하고 응모하는 고객들의 개인정보를 수집하여 보험회사에 대가를 받고 팔아넘길 목적으로 경품행사를 기획·시행하기로 하였다.

피고인 1 등은 피고인 9 회사의 회원정보만으로는 보험회사에 판매할 충분한 개인정보를 확보할 수 없어 경품행사를 하게 되었다는 사실, 경품행사를 하는 목적이 경품행사를 가장하여 보험회사에 판매할 개인정보를 취득하는 것이라는 사실을 알면서도, 위와 같은 목적을 달성하기 위하여 각자의 직위에 따라 역할을 분담하여 경품행사를 통해 개인정보를 취득하기로 하였다.

피고인 1 등은 이에 따라 응모권 용지에 개인정보 수집 및 제3자 제공에 관한 내용을 약 1mm 크기로 인쇄하여 사실상 읽을 수 없도록 하여 응모자들로 하여금 어수선한 경품행사 현장에서 응모권에 있는 고가의 경품 사진에 현혹되어 무심코 동의를 하도록 하였다.

또 피고인 1 등은 경품행사에 필요한 범위를 넘어 개인정보를 수집하고, 그에 동의하지 않으면 경품 추첨에서 배제하였으며, 당첨자에게 연락하려는 노력을 게을리하거나 경품을 준비 또는 지급하지 않았고, 적법한 보험모집자가 아님에도 보험계약 체결 가능성이 있는 대량의 개인정보를 알선해 주고 그 대가를 받았다.

결국 피고인 1 등은 피고인 9 회사의 임직원으로서 아래 ①~④항 기재와 같이 공모하여 거짓이나 그 밖의 부정한 수단이나 방법으로 해당 범죄일람표 기재와 같이 경품행사 응모 고객들의 개인정보(성명·생년월일·휴대전화번호·자녀 수)를 취득하고 그 처리(제3자 제공)에 관한 동의를 받았다.

① 피고인 2, 피고인 3, 피고인 4: 2011년 12월경부터 2012년 8월경까지, 별지 범죄일람표(1-1)~(1-3), 3개 경품행사, 개인정보 2,986,247건

② 피고인 3, 피고인 4: 2012년 9월경부터 2013년 4월경까지, 별지 범죄일람표(1-4)~(1-6), 3개 경품행사, 개인정보 1,290,125건

③ 피고인 1, 피고인 3, 피고인 5: 2013년 7월경부터 2013년 11월경까지, 별지 범죄일람표(1-7)~(1-9), 3개 경품행사, 개인정보 1,698,457건

④ 피고인 1, 피고인 3, 피고인 6: 2013년 12월경부터 2014년 6월경까지, 별지 범죄일람표(1-10)~(1-11), 2개 경품행사, 개인정보 1,146,311건

(2) 피고인 9 회사는 위 (1)항 기재와 같이 그 대표자나 종업원인 피고인 1 등이 법인의 업무에 관하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하고 그 처리에 관한 동의를 받았다.

나. 개인정보 제공으로 인한 개인정보 보호법 위반 또는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 ‘정보통신망법’이라고 한다) 위반(개인정보 누설 등)의 점

(1) 개인정보처리자는 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공하여서는 아니 되고, 정보통신서비스 제공자는 이용자의 동의를 받지 아니하고 개인정보를 제3자에게 제공하여서는 아니 된다(사후동의 금지).

피고인 4, 피고인 5, 피고인 6 등은 피고인 9 회사의 영업방침에 따라 점포 또는 인터넷을 통해 가입한 피고인 9 회사 패밀리카드 회원들의 동의 없이 그 개인정보를 보험회사에 임의로 제공하여 판매하되, 해당 보험회사에서 그중 보험모집에 적당한 대상자를 선별하여 다시 건네주면 제3자 제공의 불법성을 희석시키기 위해 공소외 3 주식회사 등과 같은 콜센터를 통해 선별된 회원들에게 전화를 걸어 사후동의를 받는 편법을 동원하기로 하였다.

이에 따라 위 피고인들은 보험서비스팀 생명 파트장 공소외 4, 공소외 5 및 생명 파트원 공소외 6, 공소외 7, 공소외 8 등에게 지시하여 제3자 정보제공 동의가 되어 있지 않은 피고인 9 회사 패밀리카드 회원들 중 공소외 1 회사 및 공소외 2 회사에 제공할 대상자를 피고인 9 회사에서 운용하는 웹하드에 업로드하여 공소외 1 회사 및 공소외 2 회사에서 다운로드할 수 있도록 하는 방법으로 제공하기로 공모하여, 2011년 12월경부터 2014년 8월경까지 별지 범죄일람표(2-1), (2-2), (3-1), (3-2) 중 일부(자세한 내용은 생략한다) 기재와 같이 정보주체 또는 정보통신서비스 이용자인 피고인 9 회사 패밀리카드 회원들의 동의를 받지 아니하고 회원들의 성명·주민등록번호·연락처 등 개인정보 합계 4,195,321건(온라인 가입 개인정보 253건)을 피고인 7, 피고인 8 등에게 제공하였다.

(2) 피고인 9 회사는 위 (1)항 기재와 같이 그 종업원인 피고인 4, 피고인 5, 피고인 6 등이 법인의 업무에 관하여 2011년 12월경부터 2014년 8월경까지 별지 범죄일람표(2-1), (2-2), (3-1), (3-2) 기재와 같이 정보주체 또는 정보통신서비스 이용자의 동의를 받지 아니하고 성명·주민등록번호·연락처 등 개인정보 합계 4,438,632건(온라인 가입 개인정보 348건)을 피고인 7, 피고인 8 등에게 제공하였다.

(3) 피고인 7, 피고인 8 등은 피고인 9 회사가 정보주체 또는 정보통신서비스 이용자의 동의를 받지 아니하고 위와 같이 개인정보를 제공한다는 사정을 알면서도, 피고인 7은 2013년 2월경부터 2014년 8월경까지 별지 범죄일람표(2-1) 순번 1~207581, 별지 범죄일람표(2-2) 기재와 같이 피고인 9 회사 고객의 개인정보 1,841,585건(온라인 가입 개인정보 90건)을, 피고인 8은 2011년 12월경부터 2012년 8월경 및 2013년 6월경부터 2014년 8월경까지 별지 범죄일람표(3-1) 순번 1~335800, 715493~1018388, 별지 범죄일람표(3-2) 순번 608515~1513270 기재와 같이 피고인 9 회사 고객의 개인정보 1,543,452건(온라인 가입 개인정보 330건)을 각 제공받았다.

2. 개인정보 취득 등으로 인한 개인정보 보호법 위반의 점에 관하여

가. 원심의 판단

원심은 다음과 같은 이유로 이 부분 공소사실을 무죄로 판단한 제1심판결을 그대로 유지하였다.

(1) 피고인 1 등과 피고인 9 회사는 개인정보 보호법상 개인정보 수집 및 그 처리에 관한 동의를 받을 때 정보주체에게 알려야 하는 사항을 응모권에 모두 기재하였다.

(2) 피고인 9 회사가 개인정보를 ‘유상으로’ 제3자에게 제공한다는 사실까지 알려야 할 의무를 부담한다고 볼 수 없고, 그와 같은 사항은 응모자들의 동의 여부 결정에 영향을 미치는 핵심적인 사항으로 보이지도 않는다.

(3) 응모권에 기재된 약 1mm 크기의 글씨는 복권, 의약품 사용설명서 등 다양한 곳에서 통용되는 것으로 경품행사 응모자들도 읽을 수 있었던 것으로 보이고, 응모함 옆에 응모권 확대 사진을 부착한 점 등에 비추어 볼 때 피고인 9 회사가 의도적으로 글씨 크기를 작게 하여 그 내용을 읽을 수 없도록 방해하였다고 보기도 어려우며, 응모자들은 자신들의 개인정보가 보험회사에 마케팅 목적으로 제공된다는 사실을 충분히 인식할 수 있는 상태에서 그에 관한 동의를 하였다고 봄이 상당하다.

(4) 검사가 제출한 증거만으로는 피고인 9 회사가 경품을 지급할 의사가 없음에도 응모자들을 기망하여 개인정보 수집 등에 관한 동의를 받은 사실을 인정하기에 부족하고, 그 밖의 검사 주장도 모두 받아들이기 어렵다.

나. 대법원의 판단

(1) 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 그러한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다(대법원 2014. 7. 24. 선고 2012다49933 판결, 대법원 2016. 8. 17. 선고 2014다235080 판결 등 참조).

개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 2011. 3. 29. 법률 제10465호로 제정되어 2011. 9. 30.부터 시행된 개인정보 보호법은 개인정보처리자가 업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 수집·보유·이용·제공 등의 처리를 하는 경우에 준수하여야 할 의무에 관하여 규정하고 있다. 즉 개인정보처리자는 개인정보를 수집하는 경우에 그 목적에 필요한 최소한의 개인정보를 수집하여야 하고, 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다(제16조 제1항, 제2항). 그리고 개인정보처리자가 정보주체의 개인정보를 제3자에게 제공하는 경우에는 개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목 등을 정보주체에게 알리고 동의를 받아야 하는데(제17조 제1항, 제2항), 이때에 개인정보처리자는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알려야 한다(제22조 제1항).

또한 개인정보 보호법은 ‘개인정보를 처리하거나 처리하였던 자가 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받는 행위’를 금지하고(제59조 제1호), 이를 위반하여 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자’를 3년 이하의 징역 또는 3천만 원 이하의 벌금에 처하도록 규정하고 있다(제72조 제2호).

이와 같은 개인정보자기결정권의 법적 성질, 개인정보 보호법의 입법 목적, 개인정보 보호법상 개인정보 보호 원칙 및 개인정보처리자가 개인정보를 처리함에 있어서 준수하여야 할 의무의 내용 등을 고려하여 볼 때, 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’이라 함은 개인정보를 취득하거나 또는 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 개인정보 취득 또는 그 처리에 동의할지 여부에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위를 뜻한다고 봄이 타당하다. 그리고 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지 여부를 판단함에 있어서는 개인정보처리자가 그에 관한 동의를 받는 행위 그 자체만을 분리하여 개별적으로 판단하여서는 안 되고, 개인정보처리자가 개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴보아 거기에서 드러난 개인정보 수집 등의 동기와 목적, 수집 목적과 수집 대상인 개인정보의 관련성, 수집 등을 위하여 사용한 구체적인 방법, 개인정보 보호법 등 관련 법령을 준수하였는지 여부 및 취득한 개인정보의 내용과 규모, 특히 민감정보·고유식별정보 등의 포함 여부 등을 종합적으로 고려하여 사회통념에 따라 판단하여야 한다.

(2) 원심판결 이유와 원심이 적법하게 채택한 증거에 의하면 다음과 같은 사실을 알 수 있다.

① 피고인 9 회사는 2000년경부터 피고인 9 회사 패밀리카드 회원을 모집하면서 회원정보를 수집하였고, 2003년경부터 개인정보의 제3자 제공에 동의한 고객들에 대한 정보를 제휴카드사업자에게 제공하기 시작하였으며, 2007년경부터는 보험회사에 고객들의 개인정보를 판매하였다.

② 피고인 9 회사는 피고인 9 회사 패밀리카드 회원 가입신청서의 양식이 변경되는 등으로 인하여 보험회사들에 판매할 개인정보가 부족해지자, 신유통서비스본부 산하 보험서비스팀 주관으로 경품행사를 통해 개인정보를 수집하여 이를 판매하는 사업을 기획하였고, 이에 따라 2009년경부터 고객들에 대한 경품행사를 시작하였다.

③ 피고인 9 회사는 2011. 10. 27.경 공소외 1 회사, 2010. 6. 17.경 공소외 2 회사와 피고인 9 회사 고객들의 개인정보를 1건당 1,980원에 판매하기로 하는 업무제휴약정을 체결하였다. 이어서 피고인 9 회사는 2011년 12월경부터 2014년 6월경까지 11회에 걸쳐 경품행사(이하 ‘이 사건 경품행사’라고 한다)를 실시하였는데, 이를 통하여 경품행사에 응모한 고객들의 개인정보(성명, 생년월일 또는 주민등록번호, 휴대전화번호, 자녀 수, 부모님과 동거 여부 등) 합계 약 712만 건을 수집하고 그 처리(제3자 제공)에 관한 동의를 받았으며, 그중 약 600만 건을 공소외 2 회사와 공소외 1 회사 등에 판매함으로써 약 119억 원을 지급받았다.

④ 이 사건 경품행사는 벤츠 승용차, 다이아몬드 반지 등을 경품으로 내걸었고, 피고인 9 회사 매장을 방문하거나 물건을 구매하지 않는 사람도 응모할 수 있도록 되어 있다. 피고인 9 회사는 전단지, 인터넷 홈페이지, 물품구매 영수증 등을 통해 경품행사를 광고하였는데(이하 ‘이 사건 광고’라고 한다), 위와 같은 광고와 응모권(15cm×7cm크기) 앞면에는 경품 사진과 함께 커다란 글씨로 ‘창립 14주년 고객감사 대축제’, ‘그룹 탄생 5주년 기념’, ‘브라질 월드컵 승리 기원’, ‘피고인 9 회사가 올해도 10대를 쏩니다’ 등의 문구가 기재되어 있고, 응모권 뒷면과 인터넷 응모 화면에는 [개인정보 수집, 취급위탁, 이용동의]라는 제목하에 ‘수집/이용목적’은 ‘경품 추첨 및 발송, 보험마케팅을 위한 정보 제공, 피고인 9 회사 제휴상품 소개 및 제휴사에 대한 정보 제공 동의 업무’ 등이, [개인정보 제3자 제공]이라는 제목하에 ‘개인정보를 제공받는 자’는 ‘공소외 1 회사, 공소외 2 회사 등’이, ‘이용목적’은 “보험상품 등의 안내를 위한 전화 등 마케팅자료로 활용됩니다.”라는 내용 등이 약 1mm 크기의 글씨로 기재되어 있으며, 말미에는 “기재/동의 사항 일부 미기재, 미동의, 서명 누락 시 경품추첨에서 제외됩니다.”라는 사항이 붉은 글씨로 인쇄되어 있다.

(3) 위와 같은 사실관계를 앞서 본 법리에 비추어 살펴본다.

① 이 사건 경품행사의 기획 및 실시 경위 등을 살펴보면, 이 사건 경품행사의 목적은 피고인 9 회사 고객들의 매장 방문을 유도하여 매출을 증대하는 데 있다기보다 처음부터 고객들의 개인정보를 수집하여 이를 보험회사에 대가를 받고 판매하는 데 있었음을 알 수 있다. 그럼에도 이 사건 경품행사를 광고하기 위한 수단인 전단지, 인터넷 홈페이지 등에는 ‘창립 14주년 고객감사 대축제’, ‘그룹 탄생 5주년 기념’, ‘브라질 월드컵 승리 기원’, ‘피고인 9 회사가 올해도 10대를 쏩니다’ 등의 문구를 경품사진과 함께 큰 글씨로 전면에 배치하여 경품행사를 광고하고 있을 뿐이고, 피고인 9 회사가 소비자의 개인정보를 수집하고 이를 제3자에게 제공한다는 점에 관한 기재가 누락되어 있다. 따라서 일반적인 소비자가 이 사건 광고를 접하게 되는 경우 소비자들은 오로지 고객에 대한 사은행사의 일환으로 경품행사를 실시하는 것으로 받아들일 가능성이 크다. 그런데 소비자의 입장에서는 이 사건 경품행사가 아무런 대가 없이 이루어지는 단순 사은행사인지 아니면 자신의 개인정보를 수집하여 보험회사 등 제3자에게 제공하는 대가로 경품을 제공하는 행사인지 여부가 이 사건 경품행사에 응모할지 여부에 영향을 미치는 중대한 요소라고 보인다. 따라서 피고인 9 회사가 이 사건 경품행사를 진행하면서 위와 같은 목적을 은폐하고 광고한 것은 ‘표시·광고의 공정화에 관한 법률’ 제3조 제1항 제2호에서 말하는 ‘소비자를 속이거나 소비자로 하여금 잘못 알게 할 우려가 있는 광고 행위’에 해당한다.

② 이 사건 경품행사에 응모한 고객들은 응모권 뒷면과 인터넷 응모화면에 기재되어 있는 ‘개인정보 수집 및 제3자 제공 동의’ 등 사항이 경품행사 진행을 위하여 필요한 것으로 받아들일 가능성이 크다. 그런데 응모권에 따라서는 경품추첨 사실을 알리는 데 필요한 개인정보와 관련 없는 ‘응모자의 성별, 자녀 수, 동거 여부’ 등 사생활의 비밀에 관한 정보와 심지어는 주민등록번호와 같은 고유식별정보까지 수집하면서 이에 관한 동의를 하지 않을 때에는 응모가 되지 아니하거나 경품 추첨에서 제외된다고 고지하고 있다. 이는 개인정보처리자가 정당한 목적으로 개인정보를 수집하는 경우라 하더라도 그 목적에 필요한 최소한의 개인정보 수집에 그쳐야 하고 이에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 안 된다는 개인정보 보호 원칙(개인정보 보호법 제3조 제1항)과 개인정보 보호법 규정에 위반되는 것이다.

③ 더욱이 이 사건 경품행사를 위하여 사용된 응모권에 기재된 동의 관련 사항은 약 1mm 크기의 글씨로 기재되어 있어 소비자의 입장에서 보아 그 내용을 읽기가 쉽지 않다. 여기에 더하여 이 사건 광고를 통하여 단순 사은행사로 오인하고 경품행사에 응모하게 된 고객들의 입장에서는 짧은 시간 동안 응모권을 작성하거나 응모화면에 입력을 하면서 그 내용을 정확히 파악하여 잘못된 인식을 바로잡기가 어려울 것으로 보인다. 이러한 조치는 개인정보처리자가 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 하여야 한다는 개인정보 보호법상의 의무를 위반한 것이다.

이상에서 살펴본 것처럼, 피고인들이 이 사건 광고 및 경품행사의 주된 목적을 숨긴 채 사은행사를 하는 것처럼 소비자들을 오인하게 한 다음 경품행사와는 무관한 고객들의 개인정보까지 수집하여 이를 제3자에게 제공한 점, 피고인들이 이와 같은 행위를 하면서 개인정보 보호법상의 개인정보 보호 원칙 및 제반 의무를 위반한 점, 피고인들이 수집한 개인정보에는 사생활의 비밀에 관한 정보나 심지어는 고유식별정보 등도 포함되어 있는 점 및 피고인들이 수집한 개인정보의 규모 및 이를 제3자에게 판매함으로써 얻은 이익 등을 종합적으로 고려하여 보면, 피고인들은 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자’에 해당한다고 보는 것이 옳다.

(4) 그럼에도 원심은 그 판시와 같은 이유만으로 이 부분 공소사실을 무죄로 판단하였으니, 원심판결에는 개인정보 보호법 제59조 제1호, 제72조 제2호에 정한 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받는 행위’에 관한 법리를 오해하고 필요한 심리를 다하지 아니하여 판결에 영향을 미친 잘못이 있고, 이 점을 지적하는 검사의 상고이유 주장은 이유 있다.

3. 개인정보 제공으로 인한 개인정보 보호법 위반, 정보통신망법 위반(개인정보 누설 등)의 점에 관하여

가. 원심의 판단

피고인들은, 피고인 9 회사가 이 부분 공소사실 기재와 같이 개인정보 데이터베이스를 공소외 1 회사와 공소외 2 회사에 제공한 것은, 정보주체의 동의가 필요한 개인정보의 제3자 제공에 해당하는 것이 아니라, 개인정보 데이터베이스 중 이른바 퍼미션 콜에 필요한 대상자를 미리 선별하는 피고인 9 회사의 업무를 위 보험회사들에 처리위탁한 것에 불과하므로 정보주체의 동의가 필요 없다고 주장하였다. 원심은 다음과 같은 이유로 피고인들의 위와 같은 주장을 받아들여 이 부분 공소사실을 무죄로 판단한 제1심판결을 그대로 유지하였다.

이른바 퍼미션 콜 업무나 그에 부수하여 퍼미션 콜 대상자를 선별하는 업무인 사전필터링은 피고인 9 회사의 업무이고, 사전필터링에 따른 경제적 이익은 퍼미션 콜에 드는 시간과 비용을 절약할 수 있는 피고인 9 회사에 귀속되었을 뿐 사전필터링을 통해 공소외 1 회사와 공소외 2 회사가 유의미한 경제적 이익을 얻었다고 볼 수 없다. 그 밖에 위 보험회사들이 단순히 사전필터링을 해주기 위한 용도로 이전받은 개인정보 데이터베이스를 그 목적 범위 내에서 기계적으로 필터링한 후 위 데이터베이스를 자신들의 시스템에서 삭제하고 다른 용도로 사용하지 않은 점 등에 비추어 볼 때, 사전필터링에 있어 공소외 1 회사와 공소외 2 회사는 피고인 9 회사를 위하여 피고인 9 회사의 퍼미션 콜 업무 일부를 수행한 수탁자로서의 지위를 가질 뿐, 개인정보 보호법 제17조와 정보통신망법 제24조의2에 정한 ‘제3자’로서의 지위를 가진다고 볼 수 없다.

나. 대법원의 판단

(1) 원심이 유지한 제1심판결 이유와 원심이 적법하게 채택한 증거에 의하면 다음과 같은 사실을 알 수 있다.

① 피고인 9 회사는 경품행사를 통해 수집한 개인정보와 피고인 9 회사 패밀리카드 회원에 가입하면서 개인정보 제3자 제공에 동의한 고객들의 개인정보를 보험회사에 제공해 오다가, 패밀리카드 회원 중 아직 개인정보 제3자 제공에 동의하지 않은 고객에 대하여도 피고인 9 회사와 위탁계약이 체결된 공소외 3 주식회사(이하 ‘공소외 3 회사’라고 한다)의 상담원들이 전화를 걸어 제3자 제공 동의를 얻은 후(이른바 퍼미션 콜) 이를 공소외 1 회사와 공소외 2 회사 등 보험회사에 제공하기 시작하였다(이른바 퍼미션 DB). 이후 위 보험회사들은 피고인 9 회사로부터 제공받은 개인정보 데이터베이스를 자신들이 보유한 개인정보 데이터베이스와 비교·분석하여, 그중 ㉮ 위 각 보험회사에 보험 안내 전화를 받지 않겠다는 의사를 밝힌 사람, ㉯ 위 각 보험회사와 이미 보험계약을 체결하였거나 3~6개월 내에 보험 텔레마케팅 통화를 한 적이 있는 사람, ㉰ 위 각 보험회사의 블랙리스트에 등록된 사람(경우에 따라 보험계약이 해지·실효된 사람, 보험료 미납자, 특정 질병 등으로 인해 보험가입이 부적절한 사람 등이 포함됨) 등을 걸러내는 작업(이른바 필터링 작업)을 수행하고, 남은 고객들에 대해서만 피고인 9 회사에 수수료를 지급하고 그들을 대상으로 보험 텔레마케팅 영업을 하였다.

② 피고인 9 회사는 퍼미션 콜 업무를 공소외 3 회사에 위탁하고, 개인정보 제3자 제공에 관한 동의를 받은 고객 1인당 1,700원을 수수료로 지급하기로 하였으나, 보험회사의 필터링을 통해 걸러진 개인정보에 대해서는 수수료를 지급하지 않았다.

③ 피고인 9 회사는 공소외 1 회사와 2009. 2. 27.자 업무제휴계약, 2009. 10. 1.자 업무제휴 부속계약, 2010. 6. 11.자 업무제휴 부속계약을 체결하였고, 공소외 2 회사와 2011. 6. 20.자 업무제휴계약 부속약정을 체결하였다. 위 각 계약 또는 약정에는 퍼미션 콜 업무가 보험회사의 텔레마케팅을 위하여 필요한 ‘보험 텔레마케팅 지원 업무’로 규정되어 있었다. 그 구체적인 내용은, 공소외 1 회사와 공소외 2 회사가 피고인 9 회사 고객들을 상대로 보험 텔레마케팅을 할 수 있도록, 피고인 9 회사가 자신의 고객들에게 위 보험회사들로부터 보험 관련 상담을 받을 의사가 있는지 여부와 개인정보 제3자 제공에 동의하는지 여부를 확인하여 그에 동의한 고객의 개인정보를 건당 2,800원에 위 보험회사들에 제공하는 것이다. 다만 이미 위 보험회사들과 보험계약이 체결되어 있거나 3~6개월 내에 보험 텔레마케팅 통화를 한 적이 있는 고객 등은 수수료 산정에서 제외하였다.

④ 위와 같은 수수료 산정 방식으로 인하여 피고인 9 회사는 보험회사에 제공한 퍼미션 DB 중 보험회사가 필터링을 통해 걸러내는 개인정보 비율을 줄이기 위하여 보험회사에 필터링 조건을 완화해 달라고 요구하는 등 노력을 하였으나, 필터링을 거치고 남은 유효 데이터베이스의 비율이 점차 줄어드는 등 수익성이 악화되었다. 이에 피고인 9 회사가 공소외 2 회사와 공소외 1 회사에 이른바 사전필터링을 제안하게 되었는데, 그 내용은 피고인 9 회사의 입장에서는 종전에 보험회사가 제3자 제공 동의를 받은 개인정보 데이터베이스를 건네받은 이후에 시행하던 필터링 절차를 고객들로부터 제3자 제공 동의를 받기 전에 시행하게 되면 불필요한 퍼미션 콜 절차를 줄일 수 있는 이점이 있고, 보험회사로서도 어차피 거쳐야 할 필터링 절차를 미리 시행하는 불편밖에 없으니 필터링을 사전에 시행하도록 해 달라는 것이었고, 공소외 1 회사와 공소외 2 회사가 위와 같은 요청을 받아들였다.

⑤ 이에 따라 피고인 4, 피고인 5, 피고인 6 등은 사전필터링을 위해 2011. 12.경부터 2014. 8.경까지 피고인 7, 피고인 8 등에게 이 부분 공소사실 기재와 같이 개인정보를 제공하였다. 공소외 1 회사와 공소외 2 회사는 피고인 9 회사의 웹하드를 통해 제공받은 개인정보 데이터베이스를 필터링하여(사전필터링) 다시 위 웹하드에 업로드하였고, 피고인 9 회사는 그 데이터베이스를 가지고 퍼미션 콜 작업을 수행한 후 동의를 받은 고객들의 개인정보를 다시 위 보험회사들에 제공하였다. 한편 공소외 1 회사와 공소외 2 회사는 사전필터링을 마친 개인정보 데이터베이스를 피고인 9 회사 웹하드에 업로드한 후 자신들의 시스템에서는 이를 모두 삭제하였다.

(2) 개인정보 보호법 제71조 제1호는 제17조 제1항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자를 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다고 규정하고 있다. 그리고 정보통신망법 제71조 제3호는 제24조의2 제1항을 위반하여 이용자의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자를 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다고 규정하고 있다. 한편 개인정보 보호법 제26조와 정보통신망법 제25조는 개인정보처리자와 정보통신서비스 제공자의 개인정보 처리업무 위탁에 관한 내용을 정하고 있다.

위 각 법률 조항의 문언 및 취지에 비추어 보면, 개인정보 보호법 제17조와 정보통신망법 제24조의2에서 말하는 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보 보호법 제26조와 정보통신망법 제25조에서 말하는 개인정보의 ‘처리위탁’은 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다. 개인정보 처리위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리·감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로, 개인정보 보호법 제17조와 정보통신망법 제24조의2에 정한 ‘제3자’에 해당하지 않는다.

한편 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리·감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다.

(3) 앞서 본 사실관계 및 기록에 나타난 다음과 같은 사정을 위와 같은 법리에 비추어 살펴보면, 공소외 1 회사와 공소외 2 회사는 단순한 수탁자로서가 아니라 자신들의 독자적인 이익과 업무 처리를 위하여 피고인 9 회사로부터 개인정보를 제공받은 ‘제3자’에 해당하고, 피고인 4, 피고인 5, 피고인 6이 피고인 7, 피고인 8에게 사전필터링을 위해 개인정보를 이전해준 행위는 개인정보 보호법 및 정보통신망법에서 말하는 개인정보 제3자 제공에 해당한다고 보는 것이 옳다.

① 이 부분 공소사실에 기재된 피고인 9 회사 패밀리카드 회원들의 성명·주민등록번호·연락처 등 개인정보는 실질적으로 보험회사들인 공소외 1 회사와 공소외 2 회사가 보험마케팅 영업을 하는 데 필요한 것이다.

② 공소외 1 회사와 공소외 2 회사가 한 필터링은 위 각 보험회사의 보험가입자나 블랙리스트에 올라 있는 사람 등을 걸러냄으로써, 즉 보험상품 판매에 적합한 대상자를 선정함으로써 보험 텔레마케팅의 효율을 높이기 위한 것이므로 위 보험회사들의 업무에 해당하고, 사전필터링의 경우에도 위와 같은 필터링 업무의 목적이나 성격 자체가 변한다고 보기 어렵다. 또한 앞서 본 퍼미션 콜의 구체적인 내용 등에 비추어 볼 때 퍼미션 콜 업무도 위 보험회사들의 보험 텔레마케팅 업무를 분담·지원하는 성격을 가지므로, 설령 사전필터링을 퍼미션 콜 업무의 부수업무로 보더라도 이를 온전히 피고인 9 회사의 업무라고 보기는 어렵다. 그렇다면 사전필터링 업무는 피고인 9 회사의 업무임과 동시에 위 보험회사들의 업무로서의 성격을 가지고, 위 보험회사들은 위와 같은 업무 처리에 관하여 독자적인 이익을 가진다고 볼 수 있다.

③ 공소외 1 회사와 공소외 2 회사 담당 직원들은 일단 사전필터링에 필요한 개인정보 데이터베이스를 각자의 업무용 컴퓨터에 다운로드 받은 후에는 이를 자유롭게 복사, 편집, 이용, 전송할 수 있었고, 피고인 9 회사는 그에 관하여 아무런 관리·감독을 하지 않았던 것으로 보이며, 피고인 9 회사가 위 보험회사들에 명확한 필터링 기준을 정해준 것으로 보이지도 않는다.

(4) 그럼에도 원심은 그 판시와 같은 이유만으로 이 부분 공소사실을 무죄로 판단하였으니, 원심판결에는 개인정보 보호법과 정보통신망법에 정한 개인정보의 ‘제3자 제공’과 그 ‘처리위탁’의 구별에 관한 법리 등을 오해하고 필요한 심리를 다하지 아니하여 판결에 영향을 미친 잘못이 있다. 이 점을 지적하는 검사의 상고이유 주장은 이유 있다.

4. 이 사건 공소사실 중 전자적 형태의 문서에 의해 범죄일람표가 제출된 부분에 관한 직권 판단

가. 검사가 공소사실의 일부인 범죄일람표를 컴퓨터 프로그램을 통하여 열어보거나 출력할 수 있는 전자적 형태의 문서(이하 ‘전자문서’라고 한다)로 작성한 다음, 종이문서로 출력하지 않고 전자문서가 저장된 저장매체 자체를 서면인 공소장에 첨부하여 제출한 경우에는, 서면인 공소장에 기재된 부분에 한하여 적법하게 공소가 제기된 것으로 보아야 한다. 따라서 검사가 전자문서나 저장매체를 이용하여 공소를 제기한 경우, 법원은 저장매체에 저장된 전자문서 부분을 제외하고 서면인 공소장에 기재된 부분만으로 공소사실을 판단하여야 한다. 만일 그 기재 내용만으로는 공소사실이 특정되지 않은 부분이 있다면 검사에게 특정을 요구하여야 하고, 그런데도 검사가 특정하지 않는다면 그 부분에 대해서는 공소를 기각할 수밖에 없다(대법원 2016. 12. 15. 선고 2015도3682 판결 등 참조).

나. 검사는 공소장에 별지로 범죄일람표(1-1)~(1-11), (2-1), (2-2), (3-1), (3-2)와 CD를 첨부하였다. 그런데 그 CD에는 위 범죄일람표 15개가 각각 엑셀파일 형태로 저장되어 있고, 각 엑셀파일에는 공소장에 기재된 개수의 개인정보(피해자의 성명, 생년월일, 연락처 등)가 빠짐없이 기재되어 있는 반면, 종이문서로는 위 각 범죄일람표 중 첫 두 장과 마지막 두 장씩만 첨부되어 있다.

다. 먼저, 공소장에 첨부된 CD나 그것에 저장된 엑셀파일은 공소장의 일부인 ‘서면’이라고 할 수 없으므로, 위 엑셀파일에 기재된 부분까지 적법하게 공소가 제기된 것으로 볼 수 없다.

다음으로, 위 각 개인정보 보호법 위반죄와 정보통신망법 위반(개인정보 누설 등)죄는 원칙적으로 정보주체 또는 정보통신서비스 이용자별로 각각 별개의 죄를 구성한다. 그러므로 이 사건 공소사실 중 공소장에 종이문서로 첨부된 각 범죄일람표에 정보주체와 개인정보 내역 등이 기재되어 있는 부분은 공소사실이 구체적으로 특정되었다고 할 것이나, 그 나머지 부분, 즉 공소장에 범행 시기와 종기, 취득하거나 제공한 개인정보의 종류와 건수 등만 기재되어 있고 범죄일람표가 CD로만 제출되어 있는 부분은 정보주체가 누구인지 또는 피고인들이 취득하거나 제공하고 제공받은 개인정보의 내용이 무엇인지 등을 전혀 알 수 없어 공소사실이 특정되었다고 할 수 없다.

그렇다면 원심으로서는 검사에게 이 사건 공소사실 중 위와 같이 특정되지 않은 부분을 특정할 것을 요구하고, 만일 검사가 이를 특정하지 않으면 그 부분에 대한 공소를 기각하였어야 한다. 그런데도 원심은 이러한 조치를 취하지 않은 채 이 부분에 대해서도 실체판단을 하였다. 이러한 원심의 조치에는 공소제기 방식과 공소사실 특정에 관한 법리를 오해하여 판결에 영향을 미친 잘못이 있다.

5. 결론

원심판결 중 공소사실이 특정되지 않은 부분에 관해서는 직권파기 사유가 있고, 그 나머지 부분에 관해서는 개인정보 보호법 또는 정보통신망법에 관한 법리를 오해하는 등의 잘못이 있다.

그러므로 원심판결을 파기하고 사건을 다시 심리·판단하도록 원심법원에 환송하기로 하되, 원심판결에 잘못된 기재가 있음이 분명하므로 형사소송규칙 제25조에 따라 이를 경정하기로 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.

대법관 박병대(재판장) 박보영 권순일(주심) 김재형

 

(출처 : 대법원 2017. 4. 7. 선고 2016도13263 판결 [개인정보보호법위반·정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등)] > 종합법률정보 판례)

=========================

서울중앙지방법원 2016. 8. 12. 선고 2016노223 판결

[개인정보보호법위반][미간행]

 

【전 문】

【피 고 인】 피고인 1 외 8인

【항 소 인】 검사

【검 사】 정광수, 심형석(기소), 손영배, 심형석(공판)

【변 호 인】 변호사 김성욱 외 6인

【원심판결】 서울중앙지방법원 2016. 1. 8. 선고 2015고단510 판결

【주 문】

검사의 피고인들에 대한 항소를 모두 기각한다.

【이 유】

1. 항소이유의 요지

가. 피고인 1, 피고인 2, 피고인 3, 피고인 4, 피고인 5, 피고인 6, 피고인 9 주식회사(이하 ‘피고인 9 회사’라고만 한다)의 부정한 방법에 의한 개인정보 취득 관련 개인정보보호법위반의 점에 대하여

⑴ 개인정보보호법(이하 ‘법’이라고만 한다) 제59조 제1호와 제15조, 제17조주1) 의 관계 등에 대한 법리오해

㈎ 이 부분 공소사실은 ‘피고인들이 개인정보보호법 제15조에 의한 개인정보 수집에 관한 동의를 부정한 방법으로 받았다’는 것이지, 법 제17조에서 규정한 ‘개인정보의 제3자 제공에 관한 정보주체의 동의를 부정한 방법으로 받았다’는 것이 아니다. 따라서 피고인들은 법 제15조 제2항에 따라 응모자인 정보주체에게 이 사건 경품행사에 따른 실제 ‘개인정보의 수집·이용목적’인 ‘개인정보의 판매’ 사실을 고지할 의무가 있다. 그럼에도 불구하고 제1심은 법 제17조에서 개인정보처리자가 개인정보를 제3자에게 제공함에 있어 정보주체의 동의를 받아야 할 사항에 ‘그 개인정보를 제3자에게 유상으로 제공하는지 여부’를 고지하도록 규정하고 있지 않다는 이유로 피고인들이 정보주체에게 이 사건 경품행사를 통하여 취득한 개인정보를 제3자에게 유상으로 제공한다는 사실을 고지할 법적인 의무가 없다고 판단하였다.

㈏ 또한, 제1심은 개인정보의 제3자에 대한 유상제공 사실을 고지할 법적인 의무가 없다고 판단하였으나, 피고인들이 이 사건 경품행사를 통한 개인정보의 수집·이용 목적에 관한 사정, 즉 경품행사의 실제 목적이 개인정보를 제3자에게 판매하기 위한 것이라는 점을 고지하였다면 정보주체가 개인정보의 수집에 동의하지 않았을 것이 경험칙상 명백하므로, 피고인들이 이러한 사정을 고지하지 아니한 것은 법 제59조 제1호의 ‘거짓이나 그 밖의 부정한 수단이나 방법’에 해당한다.

㈐ 한편, ‘거짓이나 그 밖의 부정한 수단이나 방법’은 위계 기타 사회통념상 부정한 방법으로 정보주체의 의사결정에 영향을 끼쳐 동의를 받는 것을 의미하고, 정보처리자가 정상적인 절차에 의하여 개인정보를 취득하거나 처리에 관한 동의를 받을 수 없음에도 의사결정에 영향을 미칠 수 있는 행위로 개인정보를 취득하거나 처리에 관한 동의를 받은 경우에는 명시적인 금지 규정이 없더라도 이에 해당한다.

㈑ 따라서 명시적인 금지규정이 없다면 처벌할 수 없다는 취지로 이 부분 공소사실에 대하여 무죄를 선고한 제1심 판결에는 법 제59조 제1호와 제15조, 제17조의 관계 및 기망에 관한 법리 등을 오해하여 판결 결과에 영향을 미친 위법이 있다.

⑵ 정보주체의 의사에 대한 사실오인

수사기관에서 이 사건 경품행사 응모자들 중 200여 명 이상을 상대로 전화진술을 청취하였는바, 위 응모자들은 피고인 9 회사가 경품행사를 통하여 취득한 개인정보를 판매한다는 사실을 알았더라면 경품 행사에 응모하지 않았을 것이라고 진술하였다. 그럼에도 불구하고 제1심은 정보주체의 의사에 관한 사실을 오인하여 응모자의 입장에서도 경품에 당첨될 기회를 얻으려면 자신의 개인정보가 보험회사의 영업에 사용될 것이라는 점을 인식하고 그 제공에 동의하였다고 봄이 상당하다고 판단하였다.

⑶ 동의 관련 사항을 1㎜ 크기로 기재하여 사실상 읽을 수 없게 한 행위와 관련한 사실오인 내지 법리오해

피고인들이 이 사건 경품행사 당시 주변에 응모권의 확대사진을 부착한 것은 더 많은 응모를 받기 위하여 응모자에게 기재례를 보여주기 위한 목적이었을 뿐, 정보주체로 하여금 그 내용을 제대로 읽을 수 있도록 하기 위한 목적이 아니었다. 또한, 피고인들은 응모권의 기재에 있어 피고인들이 받아야 하는 동의 부분에 대해서는 크게 부각하여 표시하고, 동의에 있어서 중요한 내용인 제공받는 제3자, 제공목적 등에 대해서는 1mm 정도로 작게 기재하여 정보주체가 이를 제대로 읽을 수 없도록 하였다. 따라서 이러한 피고인들의 행위는 ‘거짓이나 그 밖의 부정한 수단이나 방법’에 해당한다.

⑷ 경품 당첨자에 대한 발송에 필요한 응모고객의 성명·연락처 이외에 생년월일, 자녀수 등 불필요한 정보까지 동의하게 한 행위와 관련한 법리오해

개인정보처리자는 법 제16조에 따라 개인정보를 수집하는 경우 그 목적에 필요한 최소한의 개인정보를 수집하여야 하고, 사회통념상 경품행사는 주관사의 홍보와 고객에 대한 사은행사의 취지로 개최되는 것이므로 개인정보의 수집목적은 경품당첨자의 경품 발송에 국한되어야 함에도 피고인들은 이를 위반하여 응모자의 생년월일이나 자녀수 등 불필요한 정보까지 수집하였다. 이 부분 공소사실은 개인정보의 제3자 제공에 대한 것이 아니라 피고인들의 개인정보 수집에 관한 것임에도 제1심은 법리를 오해하여 이 사건 응모권의 ‘제3자 제공의 목적’란에 ‘생명, 손해보험상품 등의 안내를 위한 전화 등 보험마케팅을 위한 자료로 활용된다’는 취지의 문구가 기재되어 있으므로 응모자의 생년월일, 자녀수 등이 개인정보 제3자 제공의 목적인 보험마케팅에 필요한 범위 내의 정보라고 판단하였다(더욱이 이 사건 첫 번째 경품행사인 “벤츠가 온다, 경품이 쏟아진다”에서는 개인정보의 수집목적에 ‘보험 및 제휴카드 마케팅을 위한 정보제공’이라는 점을 기재하지도 아니하였다).

⑸ 경품 미지급 관련 사실오인 내지 법리오해

피고인들은 이 사건 응모권 용지의 연락처 아래에 “경품 추첨이 SMS로 고지되니 정확하게 기재하셔야 합니다.”라고 기재하여 응모자들이 자신의 전화번호(집·사무실 등)와 휴대전화번호를 기재하도록 하였음에도 불구하고, 회사의 영업이익 극대화 방침에 따라 실제로는 당첨자들에게 SMS로 고지하는 등 제대로 연락을 취하지 아니한 채 경품을 지급하지 않는 것으로 처리하였다. 피고인들의 경품 미지급은 1회성이 아니라 지속적인 것이었고, 따라서 경품 미지급이 처음에는 비록 개인정보 수집 이후의 사정이었다 할지라도 그 이후는 회사 차원에서 경품이 미지급되고 있다는 사실을 알면서 경품행사를 계속 진행해 온 것이었다. 또한, 설사 제1심 판결의 논리에 의하더라도 피고인 9 회사의 직원 공소외 5, 공소외 6이 경품을 미지급한 것은 피고인 9 회사의 이익 극대화를 위한 것이었으므로, 이는 법인의 업무에 관한 행위로서 피고인 9 회사에게 그 책임이 있다. 그럼에도 제1심은 사실을 오인하거나 법리를 오해하여 피고인들에게 아무런 책임이 없다는 취지로 판단하였다.

⑹ 보험업법 규정을 위반하여 부정한 방법으로 개인정보 취득

보험업법 관련 규정에 비추어, 적법한 보험모집자 이외의 자는 보험계약 체결 성사시 어떤 대가를 지급받거나, 그 계약 체결 이전 단계라고 할지라도 보험계약 체결 가능성이 있는 대량의 개인정보를 조직적이고 지속적인 방법으로 알선하고 그 대가를 지급받아서는 아니 된다. 따라서 피고인들의 이 부분 공소사실 기재 행위는 보험업법의 명시적인 규정을 위반한 것에 해당함에도 제1심은 이에 관하여 아무런 판단을 하지 아니한 채 개인정보의 판매를 금지하는 명시적인 규정이 없으므로 피고인들의 행위가 ‘거짓이나 그 밖의 부정한 수단이나 방법’에 해당하지 않는다고 판단하였다.

⑺ 고객들을 기망한 일방적 사행행위

이 사건 경품행사의 응모자는 위 행사의 실제 목적을 알지 못한 채 고객 사은행사라는 명목에 속아 경품 당첨을 기대하고 자신의 개인정보를 무심코 제공하였고, 경품 추첨에 당첨되지 아니한 경우에도 그 개인정보가 원래대로 환원되지 않아 결국 ‘개인정보의 제공’이라는 손실을 입게 된다. 따라서 이는 사행행위 등 규제 및 처벌 특례법에서 규정하고 있는 ‘사행행위’에 해당하고, 응모자는 사행행위에 따른 피해자가 된다. 이러한 새로운 형태의 ‘편면적이고 일방적인 사행행위’는 통상적인 사행행위보다 죄질이 무겁고 그 피해자가 수백만 명에 이른다는 점에서 매우 엄중하게 평가되어야 함에도 제1심은 이러한 점을 고려하지 아니하였다.

나. 피고인 4, 피고인 5, 피고인 6, 피고인 7, 피고인 8, 피고인 9 회사의 미동의 개인정보 제공 및 수령 관련 개인정보보호법위반 및 정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등)의 점에 대하여

⑴ ‘주2) 사전필터링’이 누구의 업무인지와 관련한 사실오인 내지 법리오해

‘사전필터링’과 ‘사후필터링’ 모두 보험회사가 자신이 매수할 개인정보를 자신이 가지고 있는 데이터베이스(이하 ‘DB’라고만 한다)를 이용하여 고르는 것으로서 보험회사만이 할 수 있다. 따라서 이는 보험회사의 업무에 해당하고, 피고인 9 회사가 개인정보의 제3자 제공에 대한 동의를 얻기 위한 업무(이하 ‘퍼미션 콜’이라고만 한다)의 일부를 보험회사에 위탁한 것이라고 볼 수 없다.

⑵ ‘사전필터링’이 누구를 위한 것인지와 관련한 사실오인 내지 법리오해

‘사전필터링’은 보험회사와 피고인 9 회사 및 피고인 9 회사의 퍼미션 콜 수탁업체인 공소외 3 주식회사(이하 ‘공소외 3 회사’라고만 한다) 사이의 협의에 따라 진행된 것으로서, 보험회사와 피고인 9 회사측 모두에게 이익이 되는 것이다. 즉, 이를 통하여 보험회사는 자신의 영업에 적합한 대상자의 선정 및 안정적인 개인정보 DB 공급 등의 이익을 얻게 되고, 피고인 9 회사 및 공소외 3 회사는 퍼미션 콜 대상자의 축소에 따른 경제적인 이익을 얻게 된다.

⑶ 위탁의사가 있는지, 업무위탁 관련 계약이 있었는지 여부

피고인 9 회사는 ① 보험회사와 위탁계약을 체결하지 아니하고, ② 훼밀리카드 가입신청서에 보험회사를 수탁사로 기재하지 아니하였으며, ③ 보험회사와 사이에 문서에 의한 위수탁계약을 체결한 바 없고, ④ 인터넷, 관보 등에 보험회사가 자신의 업무 수탁자라고 게재하지 아니하였으며, ⑤ 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 보험회사를 교육한 사실도 없고, ⑥ 보험회사가 개인정보를 어떻게 처리하는지에 관하여 점검하거나 감독한 사실도 없다. 결국 피고인 9 회사는 보험회사를 수탁자로 취급하거나 취급할 의사가 없었고, 그 관리범위 내에서 개인정보를 보유하지도 아니하였으므로, ‘사전필터링’이 피고인 9 회사가 보험회사에 개인정보의 처리 업무를 위탁한 것이라고 볼 수 없다.

2. 판 단

가. 피고인 1, 피고인 2, 피고인 3, 피고인 4, 피고인 5, 피고인 6, 피고인 9 회사의 부정한 방법에 의한 개인정보 취득 관련 개인정보보호법위반의 점에 관한 판단

⑴ 개인정보보호법 제59조 제1호와 제15조, 제17조의 관계 등에 대한 법리오해 주장에 관한 판단

㈎ 먼저 이 부분 공소사실 요지에 관하여 보건대, 이는 ‘피고인들이 공모하여 범죄일람표 1-1 내지 1-11 기재와 같이 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하고 처리에 관한 동의(제3자 제공)를 받았다’는 것이고, 법 제59조 제1호도 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위’를 모두 규정하고 있는바, 결국 위 공소사실은 피고인들이 거짓이나 그 밖의 부정한 수단이나 방법으로 정보주체의 개인정보를 취득한 부분뿐만 아니라 제3자 제공이라는 처리에 관한 동의를 받은 부분도 모두 포함된 것으로 봄이 상당하다. 따라서 피고인들이 경품행사를 통하여 응모자의 개인정보를 취득하고, 이를 제3자인 보험회사에게 제공한다는 동의를 받음에 있어서 개인정보를 유상으로 제3자에게 제공한다는 사실을 고지할 의무가 있는지를 모두 살펴보아야 한다.

㈏ 개인정보처리자는 ① 법 제15조 제1항에 따라 정보주체의 동의를 받은 경우 개인정보를 수집하여 그 수집목적의 범위에서 이용할 수 있고, 같은 조 제2항에 따라 위와 같은 동의를 받을 때에는 정보주체에게 ‘1. 개인정보의 수집·이용 목적, 2. 수집하려는 개인정보의 항목, 3. 개인정보의 보유 및 이용 기간, 4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용’을 알려야 하며, ② 법 제17조 제1항에 따라 정보주체의 동의를 받은 경우 정보주체의 개인정보를 제3자에게 제공할 수 있는데, 그 경우 같은 조 제2항에 따라 ‘1. 개인정보를 제공받는 자, 2. 개인정보를 제공받는 자의 개인정보 이용 목적, 3. 제공하는 개인정보의 항목, 4 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용’을 알려야 한다.

제1심 및 항소심이 적법하게 채택하여 조사한 각 증거에 의하면, 피고인 9 회사는 2009.경부터 고객들에 대한 이벤트 경품행사를 시작하였는데 그 주요 목적이 고객들의 매장방문을 유도하여 매출을 증대시키고 경품 당첨을 기대하고 응모하는 고객들로부터 개인정보를 취득하여 이를 보험회사에 대가를 받고 판매하는 것인 사실, 피고인들은 이 사건 경품행사의 응모권 용지에 약 1mm 정도의 크기로 [개인정보 수집·취급위탁, 이용동의]란에 ‘수집/이용목적’으로 ‘경품 추첨 및 발송, 보험 마케팅을 위한 정보 제공 / 피고인 9 회사 훼밀리카드 회원일 경우 이벤트를 통해 수집된 개인정보를 훼밀리카드 고객정보로 업데이트 / 피고인 9 회사 제휴상품 소개 및 제휴사에 대한 정보 제공 동의 업무’를 기재한 사실(다만, 이 사건 공소사실 중 첫 번째 경품행사인 “벤츠가 온다, 경품이 쏟아진다”의 응모권에는 ‘수집/이용목적’ 부분에 ‘보험 마케팅을 위한 정보제공’이라는 문구를 기재하지는 않고, [개인정보 제3자 제공] 부분은 기재하였다), [개인정보 제3자 제공]란의 ‘개인정보 제공받는자’로 ‘공소외 1 회사, 공소외 2 회사’ 등 각종 보험회사를 기재하고, ‘이용목적’에 ‘생명, 손해보험상품 등의 안내를 위한 전화, SMS 등 마케팅자료로 활용됩니다.’라고만 기재하였을 뿐, 위 응모권에 기재된 개인정보를 보험회사에 대가를 받고 판매할 예정임을 기재하지는 아니한 사실 등은 인정된다.

살피건대, 피고인들이 이 사건 응모권 용지에 ‘수집/이용목적’으로 ‘경품 추첨 및 발송’뿐만 아니라, ‘보험 마케팅을 위한 정보 제공’까지 기재하고, 개인정보의 제3자 제공에 있어서의 ‘이용목적’으로 ‘생명, 손해보험상품 등의 안내를 위한 전화, SMS 등 마케팅자료로 활용됩니다.’라고 기재한 이상, 법 제15조 제2항 제1호에 규정된 개인정보의 수집·이용목적 및 법 제17조 제2항 제2호에 규정된 ‘개인정보를 제공받는 자의 개인정보 이용 목적’을 모두 고지하였다고 할 것이고, 나아가 법 규정상 정보주체에게 이러한 개인정보의 수집 및 제3자 제공 동의를 통하여 피고인 9 회사가 얻게 되는 경제적인 효과에 해당하는 ‘개인정보의 제3자에게 따른 대가 수령 여부’까지 고지할 의무가 있다고 볼 수는 없다(또한, 법 제15조에 규정된 ‘개인정보의 수집·이용 목적’에 개인정보처리자 스스로의 이용목적 뿐만 아니라 개인정보를 제3자에게 제공하려는 이유까지 포함된다고 보는 것은, ‘개인정보의 수집·이용’과 ‘개인정보의 제3자 제공’을 별개로 정의하고 개인정보의 ‘제3자 제공에 관한 동의’를 ‘수집·이용에 대한 동의’와 별도로 받도록 하고 있는 법의 체계와도 맞지 않다. 즉, 개인정보의 제3자 제공에 관한 내용은 ‘제3자 제공 동의항목’을 통해 별도로 고지되므로 이와 중복되게 ‘수집·이용 동의항목’에 제3자 제공에 관한 내용까지 포함시키는 것은 불필요하다).

한편, 이 사건 경품행사 중 일부 응모권에는 ‘보험 마케팅을 위한 정보 제공’이라는 표현이 ‘개인정보의 수집·이용 목적’란에 기재되지 않은 경우도 있었으나, 그 경우에도 ‘개인정보의 제3자 제공 동의’란에 ‘해당 정보를 보험회사의 마케팅을 위하여 보험회사에 제공한다’는 내용을 기재하였고 이에 대하여 응모자의 명시적인 동의를 받았으므로, 정보주체인 응모자의 입장에서는 ‘보험 마케팅에 사용하게 할 목적으로 개인정보를 보험회사에 제공하기 위하여 피고인 9 회사가 개인정보를 수집한다는 점’을 피고인 9 회사로부터 고지를 받아 동의하였다고 볼 수 있다.

결국 법 제15조 및 제17조 모두를 고려하더라도 정보주체에게 검사의 위 주장과 같이 ‘개인정보의 제3자 제공 사실’뿐만 아니라 ‘개인정보의 제3자 제공으로 인하여 피고인 9 회사가 경제적인 이익을 얻는다는 사실(즉, 개인정보의 유상제공 사실)’까지 고지할 의무가 있다고 할 수 없다.

㈐ 또한, 아래 “⑵ 정보주체의 의사에 대한 사실오인 주장에 관한 판단‘ 부분에서 보는 바와 같은 사정 및 이 사건 경품행사에 응모한 바 있는 공소외 12도 항소심 법정에 증인으로 출석하여 ‘개인정보가 보험회사에 유상이든 무상이든 제공된다는 사실을 알았다면 개인정보의 제3자 제공에 동의하지 않았을 것이다’라고 진술하는 등 피고인 9 회사가 이 사건 경품행사에서 수집한 개인정보를 제3자인 보험회사 등에게 제공한다는 사실 자체를 인식하지 못한 채 개인정보의 제3자 제공에 동의한 것을 문제로 삼고 있을 뿐, 그러한 제3자 제공이 유상인지 무상인지 여부는 개인정보의 수집 및 제3자 제공 동의에 관한 결정을 함에 있어 중요한 사항이 아니었다는 취지로 진술하고 있는 점, 결국 정보주체로서는 ‘자신의 개인정보가 마케팅 목적으로 보험회사에 제공된다’는 사실 등 법에 규정된 사항만 제대로 고지를 받는다면 자신의 개인정보의 수집이나 제3자 제공에 동의할지에 관한 의사 결정을 충분히 할 수 있을 것으로 보이고, 나아가 그 제3자 제공이 유상인지 또는 무상인지 여부는 그와 같은 의사 결정을 함에 있어서 영향을 미치는 핵심적인 사항이라고 보이지 아니하는 점 등에 비추어 보면, 피고인들이 개인정보를 제3자에게 판매한다는 사정을 고지하였다면 정보주체가 개인정보의 수집 등에 동의하지 않았을 것이 경험칙상 명백한 경우에 해당한다고 볼 수 없고, 달리 이를 인정할 증거가 없다.

㈑ 한편, 법 제59조 제1호의 ‘거짓 그 밖의 부정한 수단이나 방법’이란 법에 따른 절차에 의해서는 정보주체로부터 그 개인정보를 취득하거나 처리에 관한 동의를 받을 수 없음에도 취득 또는 처리에 관한 동의를 받기 위하여 행하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 그 의사결정에 영향을 미칠 수 있는 적극적 및 소극적 행위를 뜻하고(대법원 2014.02.27. 선고 2013도10461 판결 참조), 법상 개인정보의 수집이나 제3자 제공에 관한 동의 취득시 정보주체에게 고지하여야 할 사항을 누락한 경우 과태료 등의 행정제재만을 규정(즉, 법 제75조 제1항은 ‘제15조 제1항을 위반하여 개인정보를 수집한 자’에 대하여 5천만 원 이하의 과태료를 부과하고, 같은 조 제2항은 ‘제15조 제2항, 제17조 제2항을 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자’에 대하여 3천만 원 이하의 과태료를 부과한다고 규정하고 있을 뿐, 이에 대한 벌칙 규정을 두고 있지는 아니하다)하고 있는 점 등에 비추어 보면, 법상 명시적인 금지규정이 없다 할지라도 정보처리자가 정보주체에게 어떠한 사실을 고지하지 아니한 채 정보제공의 동의를 얻은 행위가 제59조 제1호의 ‘거짓이나 그 밖의 부정한 수단이나 방법’에 해당하려면 정보처리자가 법에 따른 사항을 모두 고지하여서는 정보주체로부터 그 개인정보를 취득하거나 처리에 관한 동의를 받을 수 없는 경우로서 정보주체에게 이러한 사항을 단순히 미고지한 것에서 나아가 ‘위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 그 의사결정에 영향을 미칠 수 있는 적극적 및 소극적 행위를 하였다’고 인정되어야 한다.

살피건대, 앞서 본 바와 같이 피고인들이 이 사건 응모권에 기재한 사항에서 나아가 이 사건 경품행사에 있어 정보주체에게 수집된 개인정보를 보험회사 등에 유상으로 판매한다는 사실까지 고지할 명시적 또는 묵시적인 법적 의무가 있다고 할 수 없고, 피고인들이 그 밖에 법상 규정된 고지사항을 모두 위 응모권에 기재하여 고지한 이상, 피고인들이 법에 따른 절차에 의해서는 정보주체로부터 그 개인정보를 취득하거나 처리에 관한 동의를 받을 수 없는 경우에 해당한다고 볼 수 없다. 또한, 피고인들에게 가사 이러한 사항을 정보주체에게 고지할 의무가 인정된다고 할지라도 피고인들이 이를 단순히 미고지한 것만으로는 ‘위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 그 의사결정에 영향을 미칠 수 있는 적극적 및 소극적 행위를 하였다’고 인정할 수 없고, 검사가 제출한 증거만으로는 이를 인정하기에 부족하며, 달리 이를 인정할 아무런 증거가 없다.

㈒ 따라서 검사의 이 부분 법리오해 주장 등은 모두 이유 없다.

⑵ 정보주체의 의사에 관한 사실오인 주장에 관한 판단

제1심 및 항소심이 적법하게 채택하여 조사한 각 증거에 의하면, 이 사건 경품행사 응모자들 중 200여명에 대한 전화 진술 청취 결과 위 응모자들이 ‘피고인 9 회사가 위 경품행사를 통하여 취득한 개인정보를 판매하려는 사실을 알았더라면 위 경품행사에 응모하지 않았을 것이다’라는 취지로 진술하고 있는 점은 인정된다.

그러나 위 각 증거에 의하여 인정되는 아래와 같은 사정 즉, ① 피고인들은 피고인 9 회사의 온라인 및 오프라인 매장에서 상품을 구매하지 않은 고객들에게도 경품 응모의 기회를 부여한 점, ② 이 사건 경품행사 응모자들은 이 사건 응모권의 동의란에 스스로 체크표시를 하기 전에 그 내용을 확인할 수도 있었고, 응모권 내용을 모르거나 확인이 되지 않을 경우 개인정보 제공에 동의하지 않을 수 있었으며, 실제로 그 중 약 30% 정도는 개인정보의 제3자 제공에 동의하지 아니하여 경품 추첨 대상에서 배제된 점, ③ 피고인들 및 피고인 9 회사나 그 직원들이 응모자들이 이러한 내용을 확인하는 것을 방해한 바 없고, 오히려 응모권 4배의 확대사진을 응모함 옆에 부착하기도 한 점 등에 비추어 보면, 응모자들은 경품에 당첨될 기회를 얻으려면 자신의 정보가 보험회사에 마케팅 목적으로 제공된다는 점을 인식하거나 충분히 인식이 가능한 상태에서 이에 관한 동의를 하였다고 봄이 상당하고, 일부 응모자들이 응모권의 고지내용을 제대로 파악하지 아니하여 그러한 사정을 알지 못한 채 정보제공에 관한 동의를 하였다고 할지라도 그와 같은 사정만으로는 피고인들이 ‘거짓이나 그 밖의 부정한 수단이나 방법’으로 개인정보를 취득하거나 처리에 관한 동의를 받았다고 볼 수 없다.

제1심이 고객들의 입장에서도 경품에 당첨될 기회를 얻으려면 자신의 개인정보가 보험회사의 영업에 사용될 것이라는 점을 인식하고 그 제공에 동의하였다고 사실을 인정한 것은 일부 사실을 오인한 잘못이 있으나, 그와 같은 잘못이 판결 결과에 영향을 미친 위법이 있다고 볼 수는 없으므로, 결국 검사의 이 부분 주장도 받아들이지 아니한다.

⑶ 동의 관련 사항을 1㎜ 크기로 기재하여 사실상 읽을 수 없게 한 행위 관련한 사실오인 내지 법리오해 주장에 관한 판단

살피건대, 제1심 및 항소심이 적법하게 채택하여 조사한 각 증거에 의하면, 이 사건 응모권 용지에 약 1mm 정도의 크기로 [개인정보 수집·취급위탁, 이용동의] 및 [개인정보 제3자 제공]의 각 해당 내용이 기재되어 있고, 이러한 사항들에 대한 동의 여부 표시란은 그에 비하여 상대적으로 크고 굵게 강조하여 기재된 사실은 인정된다.

그러나 위 각 증거에 의하여 인정되는 다음과 같은 사정들 즉, ① 이 사건 응모권에 기재된 정도의 글자 크기는 복권, 공산품의 품질표시, 의약품 사용설명서, 각종 서비스 약관 등 다양한 곳에서 통용되는 것으로 보이는 점, ② 이 사건 경품행사에 있어 정보 제공에 동의하지 않은 응모자들도 상당수 있었고, 따라서 응모자들이 정보제공 동의에 관한 사항을 충분히 읽을 수 있었던 것으로 보이는 점, ③ 피고인들은 경품행사 당시 응모함 바로 옆에 실제 응모권의 약 4배에 해당하는 응모권 확대사진을 부착하기도 하였고, 온라인 경품행사의 경우에는 응모자가 컴퓨터 화면으로 응모권의 내용을 확대하여 볼 수도 있는 점, ④ 이 사건 응모권의 정보제공 동의에 관한 체크 부분이 고지사항 부분보다 상대적으로 크고 굵은 글씨로 되어 있다고 할지라도 그와 같은 사정이 응모자가 개인정보의 동의에 관하 고지사항을 인식함에 있어 영향을 미쳤다고 보이지는 아니하는 점 등에 비추어 보면, 피고인들이 응모자로부터 정보 제공 동의를 받기 위하여 의도적으로 글자 크기를 1mm 정도로 상대적으로 작게 하여 그 내용을 읽을 수 없도록 방해하였다고 보기 어렵고, 달리 이를 인정할 만한 증거가 없다.

따라서 피고인들의 위와 같은 행위가 ‘거짓 그 밖의 부정한 수단이나 방법’에 해당한다고 볼 수 없으므로, 검사의 이 부분 주장도 이유 없다.

⑷ 경품 당첨자에 대한 발송에 필요한 응모고객의 성명·연락처 이외에 생년월일, 자녀수 등 불필요한 정보까지 동의하게 한 행위와 관련한 법리오해 주장에 관한 판단

제1심 및 항소심이 적법하게 채택하여 조사한 각 증거에 의하면, 피고인들은 이 사건 응모권 용지에 응모자의 이름과 연락처 외에 응모자의「생년월일」,「자녀수」또는「동거여부(부모님)」을 기재하는 란을 만들어 넣고, ‘※ 기재/동의 사항 일부 미기재, 미동의 서명 누락시 경품 추첨에서 제외됩니다.’라는 문구를 기재한 사실이 인정되고, 한편, 피고인들이 개인정보를 보험회사 등에 제공할 목적으로 이 사건 경품행사를 시행하였고, 위 응모권 제3자 제공의 목적란에 ‘생명, 손해보험상품 등의 안내를 위한 전화 등 보험마케팅을 위한 자료로 활용된다’는 취지의 문구가 기재되어 있는 사실은 앞서 본 바와 같다.

살피건대, ① 경품행사 자체가 응모권을 통한 개인정보 수집이 아니라 무조건 고객사은 목적으로만 이루어져야 하고 경품발송과 무관한 개인정보를 수집하는 것이 금지된다고 볼 근거가 없는 점, ② 피고인 9 회사는 고객 사은뿐만 아니라 보험회사의 마케팅을 위한 개인정보 제공을 위하여 경품행사를 진행하였고, 그러한 목적을 법에서 정한 바에 따라 이 사건 응모권에 모두 명시하였으며, 생년월일, 자녀수 등의 정보는 이러한 보험회사의 마케팅에 필요한 범위 내의 정보라고 보이는 점, ③ 설령 피고인들이 개인정보를 수집하는 경우 그 목적에 필요한 최소한의 개인정보를 수집하여야 하고, 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다는 법 제16조주3) 의 규정을 위반하였다고 할지라도, 이러한 경우 법 제75조 제2항 제2호에 따라 3천만 원 이하의 과태료를 부과할 수 있을 뿐, 별도로 형사처벌 하는 규정이 없는 점 등에 비추어 보면, 이 사건 경품행사에서 응모자의 성명, 연락처 외에 생년월일이나 자녀수 등의 정보를 수집한 것이 필요한 최소한의 정보 외의 개인정보를 수집한 것이라거나 법 제59조 제1호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’에 해당한다고 볼 수는 없다. 따라서 검사의 이 부분 주장도 이유 없다.

⑸ 경품 미지급 관련 사실오인 내지 법리오해 주장에 관한 판단

㈎ 이 사건 증거들을 기록에 비추어 면밀히 검토해 보면, 제1심이 그와 같은 증거판단을 토대로 피고인들이 이 사건 경품행사에 따른 경품을 제대로 지급하지 아니한 행위는 개인정보 수집 이후의 사정에 불과하므로 피고인들이 거짓이나 그 밖의 부정한 수단이나 방법으로 고객들로 하여금 개인정보 수집에 동의하도록 하였다는 공소사실과 무관하고, 검사가 제출한 증거만으로는 피고인들이 당첨자들에게 경품을 지급할 의사가 없는데도 마치 개인정보 제공에 동의하면 경품에 당첨될 기회가 주어지는 것처럼 경품행사에 응모하는 사람들을 기망하는 수법으로 고객정보를 수집하거나 제3자 제공에 동의를 받았다는 점을 인정하기에 부족하며, 달리 이를 인정할 증거가 없다고 판단한 조처는 정당한 것으로 수긍이 되므로, 제1심판결에 검사가 지적하는 바와 같은 사실오인 또는 법리오해의 위법이 있다고 판단되지 아니한다.

㈏ 또한 검사는, 설사 제1심 판결의 논리에 의하더라도 피고인 9 회사의 직원 공소외 5, 공소외 6이 경품을 미지급한 것은 피고인 9 회사의 이익 극대화를 위한 것이었으므로 피고인 9 회사의 직원인 공소외 5, 공소외 6의 경품 미지급 행위는 법인의 업무에 관한 행위로서 법인인 피고인 9 회사가 책임져야 한다고 주장한다.

살피건대, 제1심 및 항소심이 적법하게 채택하여 조사한 각 증거에 의하면, 공소외 5, 공소외 6이 공모하여 이 사건 경품행사 중 일부 행사에서 경품 추첨 조작을 통하여 지인들 명의로 경품을 당첨받은 뒤 이를 판매하여 재산상의 이익을 취득하고, 이러한 범죄사실(업무상 배임)로 인하여 처벌받은 사실은 인정되나, 이러한 공소외 5, 공소외 6의 행위가 피고인 9 회사를 위한 것이라고 할 수는 없고, 나머지 경품행사의 경우에는 제1심이 판단한 바와 같이 검사가 제출한 각 증거만으로는 공소외 5, 공소외 6이 당첨자들에게 경품을 지급할 의사가 없는데도 마치 개인정보 제공에 동의하면 경품에 당첨될 기회가 주어지는 것처럼 경품행사에 응모하는 사람들을 기망하는 수법으로 고객정보를 수집하거나 제3자 제공에 동의를 받았다는 사실을 인정할 수 없으므로, 결국 이와 다른 전제에서 선 검사의 위 주장도 이유 없다.

⑹ 보험업법 규정을 위반하여 부정한 방법으로 개인정보 취득 주장에 관한 판단

제1심 및 항소심이 적법하게 채택하여 조사한 각 증거에 의하면, 피고인 9 회사는 2011. 12.경부터 2014. 6.경까지 “연말연시 벤츠가 온다. 경품이 쏟아진다.” 등 경품행사를 11회 실시하여 응모자들의 개인정보(성명·생년월일·휴대폰번호·자녀수 등) 7,121,140건을 취득하고 처리에 관한 동의(제3자 제공)를 받았으며, 이를 공소외 1 회사와 공소외 2 회사에 제공하여 건당 1,980원의 대가를 지급받아 온 사실, 공소외 1 회사와 공소외 2 회사는 위와 같이 취득한 개인정보를 이용하여 텔레마케팅을 통한 보험영업에 활용한 사실 등은 인정된다.

그러나 피고인들은 응모자들의 개인정보를 보험회사가 마케팅에 사용할 수 있도록 제공하고, 보험회사로부터 제공한 개인정보 건당에 따른 대가를 지급받았을 뿐인바, 이러한 점만으로 ‘보험모집을 위탁하거나 모집에 관하여 수수료, 보수, 그 밖의 대가를 지급받는 등’ 보험업법의 규정에 위반하여 보험모집 행위 자체에 관여하였다고 볼 수 없고, 달리 이를 인정할 아무런 증거가 없다.

또한, 가사 피고인들이 보험업법을 위반하였다 할지라도 피고인들에 대하여 보험업법 규정 위반에 따른 제재를 가하는 것은 별론으로 하고, 이러한 사정만으로 피고인들의 이 사건 경품행사를 통한 개인정보 취득 등이 법 제59조 제1호에서 규정하는 ‘거짓이나 그 밖의 부정한 수단이나 방법’에 해당한다고 보기도 어렵다. 따라서 검사의 이 부분 주장도 이유 없다.

⑺ 고객들을 기망한 일방적 사행행위 주장에 관한 판단

살피건대, 이 사건 경품행사를 통한 개인정보 취득 등이 사행행위에 해당한다는 점은 이 사건 공소사실과 무관할 뿐만 아니라, "사행행위"란 ‘여러 사람으로부터 재물이나 재산상의 이익을 모아 우연적 방법으로 득실을 결정하여 재산상의 이익이나 손실을 주는 행위’로서, 이 사건 경품행사가 이러한 사행행위에 해당한다고 볼 수 없으므로 이를 이유로 피고인들의 위 개인정보 취득 등이 ‘거짓이나 그 밖의 부정한 수단이나 방법’에 해당한다고 할 수 없다. 따라서 검사의 이 부분 주장도 이유 없다.

나. 피고인 4, 피고인 5, 피고인 6, 피고인 7, 피고인 8, 피고인 9 회사의 미동의 개인정보 제공 및 수령 관련 개인정보보호법위반 및 정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등)의 점에 관한 판단

⑴ 누구의 업무인지 여부에 관련한 사실오인 내지 법리오해 주장에 관한 판단

제1심이 설시한 사실 및 사정들에 제1심 및 항소심이 적법하게 채택하여 조사한 각 증거에 의하여 인정되는 다음과 같은 사정 등을 종합하여 보면, ‘사전필터링’은 보험회사가 아니라 피고인 9 회사를 위한 업무로 봄이 상당하다는 제1심의 사실인정과 판단은 옳고, 거기에 검사가 지적한 바와 같은 사실오인이나 법리오해의 위법이 있다고 할 수 없다. 따라서 검사의 이 부분 주장은 이유 없다.

㈎ 피고인 9 회사는 공소외 1 주식회사(이하 ‘공소외 1 회사’라고만 한다)와 2009. 1. 1. ‘업무제휴계약’을 체결한 후 같은 해 10. 1. 위 업무제휴계약을 보충하는 ‘업무제휴 부속계약’을 체결하고, 공소외 2 주식회사(이하 ‘공소외 2 회사’라고만 한다)와 2010. 6. 17. ‘업무제휴계약’을 체결한 후 2011. 6. 20. 위 업무제휴계약을 보충하는 ‘업무제휴계약 부속약정’을 체결하여 위 각 보험회사에 고객들의 개인정보를 제공하고 대가를 지급받아 왔다. 위 각 계약에 따르면, 피고인 9 회사의 멤버십 회원 중 제3자 제공에 동의하지 아니한 고객의 정보(이하 ‘미동의 FMC DB’라고만 한다)에 대하여는 피고인 9 회사가 퍼미션 콜을 하여 고객들로부터 제3자 제공 동의를 받은 후 이를 공소외 1 회사와 공소외 2 회사에 제공하기로 규정되어 있고, 이에 따라 피고인 9 회사의 수탁업체인 공소외 3 회사의 콜센터에서 전화를 통하여 고객들로부터 제3자 제공 동의를 얻은 후 이를 위 각 보험회사에 제공하여 왔다. 결국 위 각 계약의 내용상 퍼미션 콜 업무는 피고인 9 회사의 업무이고, ‘사전필터링’은 이러한 퍼미션 콜의 대상자를 선별하기 위하여 이루어지는 것으로서 퍼미션 콜 업무를 위한 부수절차에 해당하므로 이는 피고인 9 회사의 업무라고 봄이 상당하다.

㈏ 보험회사만이 ‘사전필터링’을 할 수 있다는 사정은 개인정보의 처리위탁과 제3자 제공을 구분하는 기준이 될 수 없을 뿐만 아니라, ‘사전필터링’을 함에 있어서는 보험회사가 가지고 있는 정보가 필요할 뿐 이를 이유로 ‘사전필터링’을 보험회사만이 할 수 있는 업무라고 볼 수는 없다. 위탁이란 위탁자가 자신의 업무와 관련된 업무의 일부를 타인으로 하여금 그 책임과 권한으로 행하도록 하는 것을 의미할 뿐이다. 즉, 위탁 대상 업무가 개인정보를 전달하는 자의 업무와 관련된 것인지, 전달받는 자의 업무와 관련된 것인지에 따라 개인정보 위탁 여부가 결정되는 것이지, “위탁자가 스스로 수행할 수 있는 업무”를 위탁한 경우만을 개인정보보호법상 “위탁”에 해당하는 것으로 볼 아무런 근거가 없다.

㈐ 피고인 9 회사(또는 공소외 3 회사)는 ‘사전필터링’ 대상 DB를 공소외 1 회사나 공소외 2 회사에 직접 송부 내지 전달한 것이 아니라, 피고인 9 회사가 직접 관리 및 감독하는 웹하드에 관련 DB를 업로드하면 각 보험회사에서 접근권한을 부여받은 실무 담당자가 위 웹하드에 접속하여 위 DB를 다운로드한 후 ‘사전필터링’ 절차를 거치는 형태로 진행하였다.

㈑ 공소외 1 회사나 공소외 2 회사는 피고인 9 회사로부터 영업에 활용할 목적이 아닌 단순히 ‘사전필터링’을 해주기 위한 용도로 이전받은 미동의 FMC DB 등을 ‘사전필터링’의 목적 범위 내에서 기계적으로 필터링 한 후 당초 이전받은 위 DB를 공소외 1 회사나 공소외 2 회사의 각 시스템에서 삭제하였을 뿐, 이를 '사전필터링' 이외 자신의 마케팅 목적으로 활용하거나 제3자에게 제공하는 등으로 이용할 권리가 없으며, 실제로 이를 구체적으로 열람하거나 마케팅 목적으로 이용하는 등의 행위로 나아간 사실도 없다. 따라서 ‘사전필터링’으로 인하여 각 보험회사와 미동의 FMC DB의 정보주체와 사이에 어떠한 관계도 설정되지 아니하였다(제1심 증인 공소외 9의 법정진술에 의하더라도, 공소외 3 회사는 피고인 9 회사로부터 제공받은 미동의 FMC DB를 ‘사전필터링’을 위하여 공소외 1 회사에게 전달할 때 피고인 9 회사의 직원인 공소외 6의 지시에 따라 주민등록번호만 기재해서 보내거나 일부 필드 값만 추출하여 보낸 적이 있고, 그 경우 고객의 전화번호가 없기 때문에 이를 이용하여 영업을 하는 것은 불가능하였던 사실이 인정된다).

⑵ ‘사전필터링’이 누구를 위한 것인지에 관련한 사실오인 내지 법리오해 주장에 관한 판단

제1심이 설시한 사실 및 사정들에 제1심 및 항소심이 적법하게 채택하여 조사한 각 증거에 의하여 인정되는 다음과 같은 사정 등을 종합하여 보면, ‘사전필터링’은 보험회사가 아니라 피고인 9 회사의 이익을 위한 것으로 봄이 상당하다는 제1심의 사실인정과 판단은 옳고, 거기에 검사가 지적한 바와 같은 사실오인이나 법리오해의 위법이 없다. 따라서 검사의 이 부분 주장도 이유 없다.

㈎ 피고인 9 회사의 퍼미션 콜 업무 수탁업체인 공소외 3 회사는 피고인 9 회사와 계약상으로는 제3자 제공 동의를 받은 DB 개당 1,700원을 지급받는 것으로 되어 있으나, 실제로는 이와 달리 제3자 제공 동의를 받은 DB 중 보험회사가 ‘사후필터링’을 통하여 인수한 유효한 DB에 대하여만 피고인 9 회사로부터 정산을 받았다. 따라서 공소외 3 회사로서는 유효한 DB로 인수되는 비율이 그 수익에 있어 매우 중요하였고, 이에 공소외 3 회사의 대표 공소외 10은 공소외 1 회사의 인수율이 충분히 높지 않다는 이유로 피고인 9 회사의 담당자인 공소외 5에게 DB의 단가를 인상하여 줄 것을 요청하였으나, 피고인 9 회사에서는 단가를 인상하는 대신 각 보험회사를 통하여 ‘사전필터링’을 하는 방법으로 비용을 절감하는 방법을 택하여 각 보험회사에 먼저 ‘사전필터링’을 제의하였다.

㈏ 공소외 1 회사와 공소외 2 회사는 미동의 FMC DB에 대하여 ‘사전필터링’을 실시하기 이전에도 ‘사후필터링’을 실시하였고, 그 경우에도 실제 ‘사후필터링’ 과정에서 제외되는 DB에 대해서는 피고인 9 회사에게 대가를 지급하지 아니하였다. 각 보험회사는 ‘사전필터링’이 시행되던 기간 동안에도 별도로 ‘사후필터링’을 하여 최종적으로 인수할 DB를 골라내어 이에 대하여만 피고인 9 회사에 대가를 지급하였다. 결국 ‘사전필터링’을 통해 피고인 9 회사는 퍼미션 콜을 할 때 발생하는 시간과 비용 및 노력을 줄일 수 있으나, 공소외 1 회사와 공소외 2 회사로서는 ‘사전필터링’을 하더라도 ‘사후필터링’을 생략하지 아니함으로써 당초 수행하던 ‘사후필터링’ 외에 ‘사전필터링’ 업무가 추가됨으로써 오히려 번거롭고 추가적인 시간과 노력을 기울이게 되었다.

㈐ 결국 ‘사전필터링’에 따른 실제적인 경제적 효과는 피고인 9 회사 및 퍼미션 콜 업무 수탁자인 공소외 3 회사에 귀속되고, 각 보험회사로서는 ‘사전필터링’을 수행하지 않더라도 ‘사후필터링’을 거치면 제공받을 수 있는 DB가 결국 동일하므로 인수되는 DB의 절대량을 늘리는 효과를 가져올 수 없다. 다만, ‘사전필터링’을 통하여 보험회사도 ‘신속하게 양질의 DB를 공급받아 안정적으로 영업을 할 수 있다’는 측면에서 경제적으로 환산할 수 없는 어느 정도의 이익이 있다고 할 수도 있으나, 이는 결국 피고인 9 회사의 각 보험회사에 대한 DB 공급이 원활하게 이루어진다는 것으로서 피고인 9 회사와 공소외 3 회사의 이익에 따라 발생하는 부수적·간접적 이익에 불과할 뿐, ‘사전필터링’을 위한 이 사건 개인정보 이전의 성격을 판단할 기준으로서의 가치를 지닐 정도에 이르는 이익으로 보기는 어렵다.

㈑ 검사는, 공소외 1 회사의 2010. 4. 29.자 ‘제휴마케팅/텔레마케팅 업무현황’의 주4) 기재내용’에서 적시하고 있는 ‘필터링’의 배경을 근거로 보험회사가 ‘사전필터링’에 따른 이익을 가진다는 취지로 주장하나, ‘사전필터링’이 이루어진 시기는 위 문서가 작성된 시기로부터 1년 8개월 가량 지난 2011. 12.경이라는 점에 비추어 보면, 이는 ‘사전필터링’이 아닌 ‘사후필터링’의 배경을 적시한 문건인 것으로 보인다.

⑶ 위탁의사가 있는지, 업무위탁 관련 계약이 있었는지 여부에 관한 판단

㈎ 제1심 및 항소심이 적법하게 채택하여 조사한 각 증거에 의하면, 피고인 9 회사는 공소외 1 회사 및 공소외 2 회사와 각 문서에 의한 위수탁계약을 체결하거나 인터넷이나 관보 등에 위 각 보험회사가 자신의 업무 수탁자라고 게재한 바 없고, 멤버십 가입신청서에 위 각 보험회사를 수탁사로 기재하지 아니하였으며, 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 위 각 보험회사를 교육하거나 위 각 보험회사가 ‘사전필터링’을 위하여 제공받은 정보를 실제 파기하는지 등에 관하여 확인한 바 없는 사실 등은 인정된다.

㈏ 그러나 한편, 위 각 증거에 의하여 인정되는 아래와 같은 사정 등에 비추어 보면, 앞서 인정한 사실만으로 ‘사전필터링’에 있어서 공소외 1 회사와 공소외 2 회사가 피고인 9 회사를 위하여 피고인 9 회사의 퍼미션 콜 업무의 일부를 수행하는 수탁자로서의 지위가 아니라 별개로 위 각 보험회사의 업무를 수행한 제3자로서의 지위를 가진다고 볼 수 없고, 달리 피고인들이 제3자에게 미동의 개인정보를 제공하였다는 점을 인정할 증거가 없다. 따라서 검사의 이 부분 주장도 이유 없다.

① 이 사건에서 관련자들은 모두 미동의 FMC DB에 대한 피고인 9 회사 및 공소외 3 회사의 퍼미션 업무를 위한 ‘사전필터링’을 위하여 개인정보가 이전된다고 인식하고, 상호 ‘사전필터링’을 하기로 하는 합의에 따라 개인정보를 이전하였는바, 이는 결국 구두에 의한 위수탁계약의 합의라 할 것이다. 이에 따른 명시적인 문서가 작성된 바 없다고 하여 이러한 합의에 따른 위수탁계약의 성립이 부정될 수는 없다.

② 법 제26조주5) 에서는 업무위탁에 따른 개인정보의 처리에 관하여 여러 절차적인 제한 규정을 두고 있으나, 피고인 9 회사가 공소외 1 회사 및 공소외 2 회사에 개인정보의 처리 업무를 위탁함에 있어 법 제26조 제1, 2, 3항의 각 의무를 위반하였다고 할지라도 이는 모두 법상 과태료 부과의 대상에 불과하고, 같은 조 제4항의 의무를 위반한 경우에는 과태료의 부과 대상에도 해당하지 아니한다. 결국 개인정보의 제3자 제공과 개인정보 처리업무의 제3자 위탁은 모두 개인정보가 제3자에게 이전된다는 측면에서는 동일하나, 개인정보의 ‘제3자 제공’은 ‘제공받는 자의 목적'을 위하여 개인정보가 제공되는 경우이고, 개인정보의 ‘타인 위탁’은 ‘제공하는 자의 사무처리'를 위한 경우로 구별되어야 하는바(대법원 2011. 7. 14. 선고 2011도1960 판결 참조), 위와 같은 절차적 사항을 위반하였다고 하여 ‘사전필터링’의 법적 성격을 달리 판단하여야 한다고 볼 수 없다.

③ 피고인 9 회사의 멤버십 회원들은 주6) 가입신청서를 통하여 피고인 9 회사가 제휴 상품의 소개 또는 제휴사(보험회사 등)에 해당 회원의 개인정보를 제공하는 것에 대한 별도의 동의를 받는 업무(즉, 퍼미션 콜 업무)를 공소외 3 회사 등의 업체에 위탁하여 처리한다는 점에 대하여 고지를 받았고, 일부 회원들은 이에 대하여 동의까지 하였는바, 회원들은 자신의 정보가 수탁업체에 전달되어 퍼미션 콜 또는 제휴마케팅에 이용될 수 있다는 점에 대하여 충분히 인지하고 있었거나 인지할 수 있었다고 할 것이다. 앞서 본 바와 같은 ‘사전필터링’의 절차나 과정 등에 비추어 보면, 이러한 개인정보의 이전이 퍼미션 콜을 위하여 개인정보가 수탁업체에 위탁될 수 있다는 점을 고지받은 회원들의 예상범위 밖에 있다고 보기는 어렵고, 오히려 퍼미션 콜 또는 제휴마케팅의 일환으로 이루어지는 것으로서 고객이 인지하였거나 인지가능한 범위 안에 있는 정보의 이전이라고 봄이 상당하다. 따라서 이에 대하여 개인정보의 미동의 제3자 제공을 처벌하는 조항을 적용하는 것은 정보주체가 예상할 수 있는 개인정보의 불법적인 유통이 이루어지는 것을 방지하기 위한 법의 입법목적과도 부합하지 아니한다.

④ ‘사전필터링’을 위한 개인정보의 이전은 해당 개인정보의 유통을 목적으로 이루어진 것이 아니고, 실제로 공소외 1 회사나 공소외 2 회사는 ‘사전필터링’ 대상 DB를 ‘사전필터링’ 이후 모두 삭제하였다. 또한, 앞서 본 바와 같이 피고인 9 회사(또는 공소외 3 회사)는 피고인 9 회사의 웹하드에 ‘사전필터링’ 대상 DB를 올려 두고, 각 보험회사의 담당자에게 접속 권한을 부여하는 방법으로 접근하게 하여 해당 DB에 대한 접근 권한을 제어하고 접근 여부를 확인할 권한을 가지는 등 관리·감독을 수행하였거나 수행할 장치를 일부 마련하기도 하였다.

3. 결 론

그렇다면, 검사의 피고인들에 대한 항소는 각 이유 없으므로 형사소송법 제364조 제4항에 의하여 이를 모두 기각하기로 하여 주문과 같이 판결한다.

판사 장일혁(재판장) 조형우 이미선

주1) 법 제15조(개인정보의 수집·이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다. 1. 정보주체의 동의를 받은 경우 ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 1. 개인정보의 수집·이용 목적 2. 수집하려는 개인정보의 항목 3. 개인정보의 보유 및 이용 기간 4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 법 제17조(개인정보의 제공) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. 1. 정보주체의 동의를 받은 경우 ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 1. 개인정보를 제공받는 자 2. 개인정보를 제공받는 자의 개인정보 이용 목적 3. 제공하는 개인정보의 항목 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 법 제59조(금지행위) 개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다. 1. 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위

주2) 보험회사들은 피고인 9 회사로부터 제공받은 개인정보를 분석하여 그 중 보험상품 설명을 위한 전화 받기를 원하지 않는 고객, 이미 보험계약이 되어 있는 고객, 최근 6개월 또는 12개월 이내에 텔레마케팅을 받은 경력이 있는 고객, 기타 블랙리스트에 올라간 고객들을 걸러내는 작업(이른바 필터링 작업)을 수행하여 위 고객들에 대한 부분을 제외한 나머지 부분에 대하여만 피고인 9 회사에게 대가를 지급하였는데, 편의상 피고인 9 회사가 개인정보의 제3자 제공에 대한 동의를 얻은 후에 제공한 개인정보에 대하여 하는 필터링 작업을 ‘사후필터링’, 위와 같은 동의가 이루어지기 이전에 하는 필터링 작업을 ‘사전필터링’이라고 칭하기로 한다.

주3) 한편, 법 제16조 제2항은 “개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다.”고 규정하고 있으나, 위 조항은 2013. 8. 6. 법률 제11990호로 개정되면서 신설된 조항으로서 공포 후 1년이 경과한 날부터 시행되어 이 사건 경품행사 당시에는 적용되지 아니하였다.

주4) ① M센터 생산성 극대화를 위한 GET/Build 분리 운영 정책-당사는 센터 생산성 극대화를 위해 GET와 Build 센터의 분리 정책을 유지해 오고 있음, BL 필터링을 하지 않을 시 Build 센터의 급격한 DB 모수 감소 및 생산성 하락 이슈 발생, ② 회사의 수익성 극대화 -BL DB 당사 Inhouse Build 센터에서 사용함으로써 충성 고객군에 의한 수익성 극대화, BL DB를 Partner GET에서 사용할 시, 추가 Commission 지급으로 수익성 악화 우려, 필터링을 하지 않을시, BL DB Cost까지 회사가 부담함으로써 비용의 이중화 현상 발생

주5) 법 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적·관리적 보호조치에 관한 사항 3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항 ② 제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 "위탁자"라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 "수탁자"라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다. ③ 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다. ④ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.

주6) 즉,「위탁업무내용」피고인 9 회사 제휴 상품 소개 및 제휴사에 대한 정보 제공 동의 업무, 「수탁업체」공소외 3 주식회사, 공소외 11 주식회사 등의 내용을 가입신청서에 기재하여 고지하고 있다.

 

(출처 : 서울중앙지방법원 2016. 8. 12. 선고 2016노223 판결 [개인정보보호법위반] > 종합법률정보 판례)

 

============================

서울중앙지방법원 2016. 1. 8. 선고 2015고단510 판결

[개인정보보호법위반][미간행]

 

【전 문】

【피 고 인】 피고인 1 외 8인

【검 사】 정광수, 심형석(기소), 이승훈(공판)

【변 호 인】 변호사 김성욱 외 5인

【주 문】

피고인들은 각 무죄.

피고인들에 대한 판결의 요지를 공시한다.

【이 유】

Ⅰ. 공소사실

1. 피고인들의 업무

가. 피고인 9 주식회사(이하, ‘피고인 9 회사’라고만 한다.)의 업무

피고인 9 회사는 1999. 5.경 하이퍼마켓 상점의 개발과 운영 등을 비롯한 물류·유통 등을 목적으로 설립된 회사로서 전국적으로 139개의 대형마트, 286개의 직영점(익스프레스), 8개의 물류유통센터, 인터넷 쇼핑몰 등을 운영하고 있으며, 점포 또는 피고인 9 회사 인터넷 홈페이지 등을 통하여 위 회사의 물품 판매, 서비스 제공과 관련한 회원정보 및 경품이벤트 행사와 관련한 응모고객 정보를 수집·관리·제공하는 등의 처리업무를 수행하고 있다.

피고인 9 회사는 수집한 회원정보 및 경품행사 응모고객 정보를 보험모집을 원하는 여러 보험회사에 유상으로 임의 판매하는 방법으로 영업이익을 극대화하려는 영업방침에 따라, 2002년경 일반상품부문 산하에 신유통서비스본부를 설치하고, 신유통서비스본부 내의 보험서비스팀으로 하여금 수집한 회원정보 및 경품행사 응모고객 정보판매 등의 업무를 전담하게 하는 한편(예 : 2013년 보험서비스팀의 개인정보 판매 관련 순이익 174억 원, 2014년 보험서비스팀의 개인정보 판매 관련 순이익 목표금액 214억 원), 2004년경부터 계속하여 패밀리카드 가입을 통한 회원정보를 수집하고(현재까지 회원정보 약 1,800만 건), 2009년경부터 경품이벤트 행사를 개최하여 지속적으로 응모고객 정보를 수집(응모고객 정보 약 1,200만 건)하고 있다.

피고인 1은 1999년경부터 피고인 9 회사에서 근무하면서 2008년경부터 2011년 8월경까지 피고인 9 주식회사의 대표이사를, 2013년 5월경부터 현재까지 피고인 9 회사의 대표이사를 각각 맡아, 피고인 9 회사의 업무 전반을 관리하고, 보험서비스팀이 소속된 신유통서비스본부의 실적 등을 보고받고 관리하여 왔다.

피고인 2는 1999년경부터 피고인 9 회사에 근무하면서 2009년 4월경부터 2012년 8월경까지 피고인 9 회사의 신유통서비스본부가 소속된 일반상품부문을 담당하는 부사장을 맡아 피고인 9 회사의 신유통부문의 업무 전반을 관리하고, 보험서비스팀의 실적 등을 보고받고 관리하여 왔다.

피고인 3은 2002년경 피고인 9 회사에 입사하여 2002년 8월경부터 소매금융팀 팀장으로, 2006년경부터 현재까지 신유통서비스본부 본부장으로 각각 근무하면서, 보험서비스팀을 비롯한 신유통부문의 업무 전반을 관리하였고, 피고인 1, 피고인 2에게 신유통서비스본부의 실적, 현안 등을 수시로 보고하여 왔다.

피고인 4는 2008년경 피고인 9 회사에 입사하여 2010년 5월경부터 2011년 7월경까지 보험서비스팀 생명보험 파트장으로, 2011년 7월경부터 2013년 5월경까지 보험서비스팀 팀장으로 각각 근무하면서, 점포 또는 피고인 9 회사 인터넷 홈페이지 등을 통하여 보험서비스팀 패밀리카드 가입 회원정보 및 경품행사 응모고객 정보를 수집하고, 위와 같이 수집한 패밀리카드 가입 회원정보 및 경품행사 응모고객 정보를 여러 보험회사에 유상으로 판매하는 일을 담당하였다.

피고인 5는 2001년경 피고인 9 회사에 입사하여 2013년 5월경부터 2013년 12월경까지 보험서비스팀 팀장으로 근무하면서, 점포 또는 피고인 9 회사 인터넷 홈페이지 등을 통하여 패밀리카드 가입 회원정보 및 경품행사 응모고객 정보를 수집하고, 위와 같이 수집한 패밀리카드 가입 회원정보 및 경품행사 응모고객 정보를 여러 보험회사에 유상으로 판매하는 일을 담당하였다.

피고인 6은 2001년경 피고인 9 회사에 입사하여 2013년 12월경부터 보험서비스팀 팀장으로 근무하면서, 점포 또는 피고인 9 회사 인터넷 홈페이지 등을 통하여 패밀리카드 가입 회원정보 및 경품행사 응모고객 정보를 수집하고, 위와 같이 수집한 패밀리카드 가입 회원정보 및 경품행사 응모고객 정보를 여러 보험회사에 유상으로 판매하는 일을 담당하였다.

나. 피고인 7의 업무

공소외 1 주식회사(이하, ‘공소외 1 회사’라고 한다.)는 1987년 생명보험 판매 등을 목적으로 미국 ○○○그룹 소속의 공소외 1 회사 한국지사로 설립되어 2004. 6. 1. 공소외 1 회사로 법인화된 회사로, 위 회사의 보험가입과 관련한 회원정보 및 텔레마케팅 영업과 관련한 대상자 정보를 수집·관리·제공하는 등의 처리업무를 수행하고 있다.

공소외 1 회사는 생명보험 등의 보험가입 유치를 위해 다양한 기업과 제휴관계를 통해 개인정보를 수집하고, 위와 같이 제휴사 등으로부터 수집한 개인정보를 이용하여 서울, 대구, 광주, 부산 등에 소재한 콜센터에 소속된 5,600명 규모의 텔레마케터 등 텔레마케팅 영업판매조직을 통해 고객들과 접촉하여 고객들로 하여금 공소외 1 회사가 판매하는 보험에 가입하게 하고 있다.

피고인 7은 2008년 4월경 공소외 1 회사에 입사하여 2011년 10월경부터 2014년 5월경까지 제휴마케팅팀 차장으로 근무하면서, 제휴사들로부터 개인정보를 취득하여 텔레마케팅 영업판매 조직에 배분하여 보험모집 영업에 사용하도록 하는 업무를 담당하였다.

다. 피고인 8의 업무

공소외 2 주식회사(이하, ‘공소외 2 회사’라고 한다)는 1990. 1. 4.경 생명보험, 연금보험 판매 등을 목적으로 설립된 회사로서 전국적으로 210개의 지점을 운영하고 있으며, 위 회사의 보험 가입과 관련한 회원정보 및 텔레마케팅 영업과 관련한 대상자 정보를 수집·관리·제공 등의 처리 업무를 수행하고 있다.

공소외 2 회사는 생명보험 등의 보험가입 유치를 위해 다양한 기업과 제휴관계를 통해 개인정보를 수집하고 있고, 위와 같이 제휴사 등으로부터 수집한 개인정보를 이용하여 콜센터에 소속된 텔레마케터 등 텔레마케팅 영업판매조직을 통해 고객들과 접촉하여 고객들로 하여금 공소외 2 회사가 판매하는 보험에 가입하게 하고 있다.

피고인 8은 2006년경 공소외 2 회사에 입사하여 2006년 9월경부터 2012년 9월경 및 2013년 6월경부터 현재까지 제휴마케팅팀 차장으로 근무하면서 제휴사들로부터 개인정보를 취득하여 텔레마케팅 영업판매 조직에 배분하여 보험모집 영업에 사용하도록 하는 업무를 담당하여 왔다.

2. 피고인 9 회사측 범죄사실

가. 피고인 1, 피고인 2, 피고인 3, 피고인 4, 피고인 5, 피고인 6의 부정한 방법에 의한 개인정보 취득 관련 개인정보보호법위반 공동범행

개인정보를 처리하거나 처리하였던 자는 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위를 하여서는 아니 된다.

① 개인정보처리자는 개인정보보호법 제15조 제1항의 사유에 한하여 그 목적에 필요한 최소한의 개인정보를 수집하여야 하고, 그 수집목적의 범위에서 이용할 수 있다. 또한 동의를 받아 개인정보를 수집하는 경우에는 ‘개인정보의 수집·이용목적’ 등을 정보주체에게 제대로 알려야 하고, 수집목적에 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알려야 하며, 이를 통해 정보주체가 동의함에 있어서 주요한 판단자료로 삼게 된다. 그리고 개인정보처리자는 수집목적에 필요한 최소한의 정보 외의 개인정보수집에 정보주체가 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.

② 보험업의 건전한 육성과 이해관계인의 권익을 보호하고자 보험을 모집할 수 있는 자는 보험설계사, 보험대리점, 보험중개사, 보험회사의 임원으로 제한되어 있고, 보험회사는 그러한 자격 있는 자 이외의 자에게 모집을 위탁하거나 모집에 관하여 수수료, 보수, 그 밖의 대가를 지급하지 못하도록 하고 있다. 이러한 보험업법의 관련 규정에 비추어 볼 때, 적법한 보험모집업자 이외의 자는 보험계약 체결 성사 시 어떤 대가를 지급받아서는 안 됨은 물론 그 계약체결 이전 단계라고 하더라도 보험계약 체결 가능성이 있는 대량의 개인정보를 조직적이고 지속적인 방법으로 알선해주고, 그 대가를 지급받아서는 아니 된다.

본건의 경우 개인정보처리자는 수집목적에 필요한 최소한의 범위에서 개인정보를 수집하여야 하고, 경품이벤트 행사는 주관사의 홍보 측면에서 고객에 대한 사은(사은) 행사 취지로 개최되는 것이므로 개인정보 수집 목적은 경품 당첨자의 경품발송에 국한되어야 하며, 그 목적을 제대로 알려야 한다.

그런데도 피고인들은 2009. 10. 1.경 공소외 1 회사, 2010. 6. 17.경 공소외 2 회사와 경품이벤트 행사를 통해 취득하는 개인정보를 1건당 1,980원에 판매한다는 업무제휴약정을 각각 체결하고, 경품이벤트 행사를 가장(가장)하여 경품 당첨을 기대하고 응모하는 고객들의 심리를 이용하여 그 개인정보를 여러 보험회사에 대가를 받고 팔아넘길 목적으로 경품행사를 기획·시행하기로 하였다.

피고인 2는 비상품부문장으로 근무하면서 경품행사는 보험회사에 개인정보를 제공하기 위해 시작되었고, 특히 피고인 9 회사의 회원정보만으로는 보험회사에 판매할 충분한 개인정보를 확보할 수 없어 경품행사를 하게 되었다는 사실, 경품행사를 하는 목적이 경품이벤트 행사를 가장하여 보험회사에 대가를 받고 판매할 개인정보를 취득하기 위한 것이라는 사실을 알고 있었으며, 위와 같은 경품행사의 목적을 달성하기 위해 피고인 3 등으로부터 매주 보험서비스팀이 소속된 신유통서비스 본부의 실적을 보고받고, 일부 경품행사의 경우 개인정보 취득의 극대화를 위해 경품을 외제차 1대에서 국산차 10대로 변경하라고 지시하는 등 경품행사를 통한 개인정보 취득에 관여하고, 피고인 1은 대표이사로서 취임 이후부터 약 1개월에 한 번씩 개최되는 일명 GG미팅(Governance Group Meeting)이라는 임원회의에서 신유통서비스 본부의 보험서비스팀에서 경품행사를 하는 목적이 경품이벤트 행사를 가장하여 보험회사에 대가를 받고 판매할 개인정보를 취득하기 위함임을 보고받아 이에 대해 알고 있었으며, 주기적으로 매주 실적자료를 보고받아 왔을 뿐 아니라, 이에 대해 피고인 3에게 실적이 미달되는 이유, 데이터 판매에 대해 물어보기도 하는 등 지속적으로 경품행사를 통한 개인정보 취득에 관여하고, 피고인 3은 신유통서비스본부장으로 근무하면서 보험서비스팀의 현안을 피고인 2, 피고인 1에게 보고하고, 피고인 2, 피고인 1의 지시에 따라 보험서비스팀을 관리하면서 피고인 4, 피고인 5, 피고인 6에게 지시하는 등 경품행사를 주관하고, 피고인 4, 피고인 5, 피고인 6은 보험서비스팀 팀장으로 피고인 3의 지시에 따라 경품행사를 기획·시행하고, 보험서비스팀 직원인 공소외 4, 공소외 5, 공소외 6 등에게 지시하여 경품행사를 통해 개인정보를 취득하기로 하였다.

피고인들은 이에 따라 경품응모권 용지의「개인정보 수집·이용목적」란에 본래의 수집목적인 ‘경품 추첨 및 발송’ 이외에 ‘보험 마케팅을 위한 정보 제공’을 추가 기재하고, 협찬이라는 미명하에 개인정보 제3자 제공의 「제공받는자」란에 공소외 1 회사, 공소외 2 회사 등 각종 보험회사를 기재하고「이용목적」란에 ‘생명, 손해보험상품 등의 안내를 위한 전화, SMS 등 마케팅자료로 활용됩니다.’라고 기재하였음에도 불구하고, 이러한 내용의 글자 크기를 약 1mm로 인쇄함으로써 사실상 가독(가독)할 수 없도록 하여 응모고객들로 하여금 어수선한 경품이벤트 행사 현장에서 응모권에 있는 고가(고가)의 경품 사진에 현혹되어 무심코 동의를 하도록 하였다.

또한 경품행사에 있어서 개인정보의 수집 범위는 당첨자에 대한 경품발송에 필요한 응모고객의 성명·연락처 정도로 국한되어야 함에도, 보험회사의 요청에 따라 보험회사에서 보험모집에 적당한 대상자를 선별할 때 중요한 요소인「생년월일」,「자녀수」란을 경품응모권 용지에 만들어 넣고,「기재/동의 사항 일부 미기재, 미동의 서명누락시 경품 추첨에서 제외됩니다」라는 문구를 기재하여 경품이벤트 행사에 응모하려면 불필요한 항목에 대해서까지 동의하지 않을 수 없도록 하고, 일부 항목이라도 기재하지 않거나 동의하지 않으면 그 고객을 경품 추첨에서 배제하였다.

그리고 경품응모권 용지의 연락처 아래에 「경품 추첨이 SMS로 고지되니 정확하게 기재하셔야 합니다」라고 기재하여 응모고객들이 자신의 전화번호(집·사무실 등)와 휴대폰번호를 기재하도록 하였다. 그런데 사실은 피고인들을 비롯한 보험서비스팀 직원들은 회사의 영업이익 극대화 방침에 따라 경품추첨 이후에는 당첨자에게 제대로 연락하지 않고 전화를 받지 아니하면 더 이상 연락을 하려는 노력을 하지 않았고, 당첨자에게 그 연락처로 SMS를 보낸 사실이 없었으며, 2013. 10. 10.경부터 2013. 11. 27.경까지 실시한 “그룹탄생 5주년 기념 경품대축제” 경품행사에서는 1등과 3등 당첨자에게 연락을 전혀 취하지 않는 등 수개의 경품행사에서 연락을 취하지 않는 방법으로 경품을 지급하지 않기도 하였다.

또한, 2013. 12. 26.경부터 2014. 2. 8.경까지 실시한 “피고인 9 회사에서 다이아몬드가 내린다.” 경품행사에서는 다이아몬드 등 고가의 경품을 내걸더라도 실제로 미리 그 경품 모두를 준비하지도 않고, 설령 다이아몬드 당첨자가 어렵게 당첨사실을 알고 피고인 9 회사에 연락하더라도 미처 경품이 준비되지 않아 경품 대신에 피고인 9 회사 상품권 등 다른 물품으로 대체하여 지급할 수밖에 없었다.

나아가 적법한 보험모집자 이외의 자는 누구든지 보험계약 체결 성사시 어떤 대가를 지급받아서는 안 됨은 물론 그 계약 체결 이전이라도 보험계약 체결 가능성이 있는 대량의 개인정보를 알선해주고, 그 대가를 받아서는 아니 됨에도 피고인 9 회사는 공소외 1 회사와 공소외 2 회사에 대량의 경품응모고객 정보를 제공하고, 건당 1,980원의 대가를 지급받아 왔다.

결국 피고인 2, 피고인 3, 피고인 4는 공모하여 2011년 12월경부터 2012년 8월경까지 거짓이나 그 밖의 부정한 수단이나 방법으로 별지 범죄일람표(1-1)∼(1-3) 기재와 같이 “연말연시 벤츠가 온다 경품이 쏟아진다” 등 3개 경품행사 응모고객들의 개인정보(성명·생년월일·휴대폰번호·자녀수) 2,986,247건을 취득하고 처리에 관한 동의(제3자 제공)를 받았고, 피고인 3, 피고인 4는 공모하여 2012. 9월경부터 2013년 4월경까지 거짓이나 그 밖의 부정한 수단이나 방법으로 별지 범죄일람표(1-4)∼(1-6) 기재와 같이 “넝굴째 굴러온 아우디 벤츠” 등 3개 경품행사 응모고객들의 개인정보(성명·생년월일·휴대폰번호·자녀수) 1,290,125건을 취득하고 처리에 관한 동의(제3자 제공)를 받았으며, 피고인 1, 피고인 3, 피고인 5는 공모하여 2013년 7월경부터 2013년 11월경까지 거짓이나 그 밖의 부정한 수단이나 방법으로 별지 범죄일람표(1-7)∼(1-9) 기재와 같이 “가정의 달 황금이 쏟아진다” 등 3개 경품행사 응모고객들의 개인정보(성명·생년월일·휴대폰번호·자녀수) 1,698,457건을 취득하고 처리에 관한 동의(제3자 제공)를 받았고, 피고인 1, 피고인 3, 피고인 6은 공모하여 2013년 12월경부터 2014년 6월경까지 거짓이나 그 밖의 부정한 수단이나 방법으로 별지 범죄일람표(1-10)∼(1-11) 기재와 같이 “피고인 9 회사에서 다이아몬드가 내린다” 등 2개 경품행사 응모고객들의 개인정보(성명·생년월일·휴대폰번호·자녀수) 1,146,311건을 취득하고 처리에 관한 동의(제3자 제공)를 받았다.

이로써 피고인들은 공모하여 아래 표와 같이 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하고 처리에 관한 동의(제3자 제공)를 받았다.

• 0열 선택0열 다음에 열 추가
• 1열 선택1열 다음에 열 추가
• 2열 선택2열 다음에 열 추가
• 3열 선택3열 다음에 열 추가
• 4열 선택4열 다음에 열 추가
• 5열 선택5열 다음에 열 추가

• 0행 선택0행 다음에 행 추가
• 1행 선택1행 다음에 행 추가
• 2행 선택2행 다음에 행 추가
• 3행 선택3행 다음에 행 추가
• 4행 선택4행 다음에 행 추가
• 5행 선택5행 다음에 행 추가
• 6행 선택6행 다음에 행 추가

셀 전체 선택

열 너비 조절

행 높이 조절

순번	피고인	기간	경품행사	개인정보	범죄일람표
1	피고인 1	2013. 5.∼2014. 6.	5개	2,844,768건	(1-7)∼(1-11)
2	피고인 2	2011. 12.∼2012. 8.	3개	2,986,247건	(1-1)∼(1-3)
3	피고인 3	2012. 9.∼2014. 6.	11개	7,121,140건	(1-1)∼(1-11)
4	피고인 4	2011. 12.∼2013. 4.	6개	4,276,372건	(1-1)∼(1-6)
5	피고인 5	2013. 5.∼2013. 12.	3개	1,698,457건	(1-7)∼(1-9)
6	피고인 6	2014. 1.∼2014. 6.	2개	1,146,311건	(1-10)∼(1-11)

• 셀 병합
• 행 분할
• 열 분할
• 너비 맞춤
• 삭제

나. 피고인 4, 피고인 5, 피고인 6의 미동의 개인정보 제공 관련 개인정보보호법위반 및 정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등) 범행

개인정보처리자는 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공하여서는 아니 되고, 정보통신서비스 제공자는 이용자의 동의를 받지 아니하고 개인정보를 제3자에게 제공하여서는 아니 된다(사후동의 금지).

피고인들은 피고인 9 회사 영업방침에 따라 점포 또는 인터넷을 통해 가입한 피고인 9 회사 패밀리카드 회원들의 동의 없이 그 개인정보를 보험회사에 임의로 제공하여 판매하되, 해당 보험회사에서 그 중 보험모집에 적당한 대상자를 선별하여 다시 건네주면 제3자 제공의 불법성을 희석시키기 위해 공소외 3 주식회사(이하, ‘공소외 3 회사’라고 한다.) 등과 같은 콜센터를 통해 선별된 회원들에게 전화를 걸어 사후동의를 받는 편법을 동원하기로 하였다.

이에 따라 피고인들은 보험서비스팀 생명보험 파트장 공소외 4, 공소외 5 및 생명보험 파트원 공소외 6, 공소외 7, 공소외 8 등에게 지시하여 제3자 정보제공 동의가 되어 있지 않은 피고인 9 회사 패밀리카드 회원들 중 공소외 1 회사 및 공소외 2 회사에 제공할 대상자를 피고인 9 회사에서 운용하는 웹하드에 업로드하여 공소외 1 회사 및 공소외 2 회사에서 다운로드 할 수 있도록 하는 방법으로 제공하였다.

이와 같이 피고인 4는 2013년 2월경부터 2013. 5. 15.경까지 별지 범죄일람표 (2-1) 순번 1∼9826 기재와 같이 피고인 9 회사 회원들의 동의를 받지 아니하고 회원들의 개인정보(성명·주민등록번호·연락처 등) 약 631,425건(특정된 개인정보 건수 : 9,826건)을 공소외 1 회사의 제휴마케팅팀 차장인 피고인 7 등에게 제공하고, 2011년 12월경부터 2013년 5월경까지 별지 범죄일람표 (3-1) 순번 1∼715492, 별지 범죄일람표 (3-2) 순번 1∼171233 기재와 같이 피고인 9 회사 회원들의 동의를 받지 아니하고 회원들의 개인정보(성명·주민등록번호·연락처 등) 약 4,603,854건(특정된 개인정보 건수 : 886,725건, 온라인가입 개인정보 건수 : 7건)을 공소외 2 회사의 제휴마케팅팀 차장인 피고인 8 등에게 제공하여 합계 5,235,279건(특정된 개인정보 건수 : 896,551건, 온라인가입 개인정보 건수 : 7건)을 제공하고 사후동의를 받은 후 그 대가로 1명당 2,800원을 취득하고, 피고인 5는 2013년 5월경부터 2013년 12월경까지 별지 범죄일람표 (2-1) 순번 68560∼111361, 별지 범죄일람표 (2-2) 순번 1∼1342537, 별지 범죄일람표 (3-1) 순번 715493∼776685, 별지 범죄일람표 (3-2) 순번 171234∼1513270 기재와 같이 피고인 9 회사 회원들의 동의를 받지 아니하고 회원들의 개인정보(성명·주민등록번호·연락처 등) 약 2,583,656건(특정된 개인정보 건수 : 1,385,539건, 온라인가입 개인정보 건수 : 1건)을 공소외 1 회사의 제휴마케팅팀 차장인 피고인 7 등에게, 1,685,726건(특정된 개인정보 건수 : 1,403,230건, 온라인가입 개인정보 건수 : 20건)을 공소외 2 회사의 제휴마케팅팀 차장인 피고인 8 등에게 각 제공하여 합계 4,269,382건(특정된 개인정보 건수 : 2,788,569건, 온라인가입 개인정보 건수 : 21건)을 제공하고 사후동의를 받은 후 그 대가로 1명당 2,800원을 취득하였으며, 피고인 6은 2014년 1월경부터 2014년 8월경까지 별지 범죄일람표 (2-1) 순번 188458∼272970, 별지 범죄일람표 (2-2) 순번 1342538∼1634004, 별지 범죄일람표 (3-1) 순번 884168∼1018388 기재와 같이 피고인 9 회사 회원들의 동의를 받지 아니하고 회원들의 개인정보(성명·주민등록번호·연락처 등) 약 4,187,231건(특정된 개인정보 건수 : 375,980건, 온라인가입 개인정보 건수 : 89건)을 공소외 1 회사의 제휴마케팅팀 차장인 피고인 7 등에게, 2,397,876건(특정된 개인정보 건수 : 134,221건)을 공소외 2 회사의 제휴마케팅팀 차장인 피고인 8 등에게 각 제공하여 합계 6,585,107건(특정된 개인정보 건수 : 510,201건, 온라인가입 개인정보 건수 : 225건)을 정보주체 또는 정보통신서비스 이용자의 동의를 받지 아니하고 제3자에게 제공하고 사후동의를 받은 후 그 대가로 1명당 2,800원을 취득하였다.

이로써 피고인들은 공소외 5, 공소외 4 등과 공모하여, 정보주체 또는 정보통신서비스 이용자의 동의를 받지 아니한 피고인 9 회사 회원정보를 제3자인 공소외 1 회사의 피고인 7 등과 공소외 2 회사의 피고인 8 등에게 임의로 제공하였다.

다. 피고인 9 회사

(1) 피고인은 제2의 가항 기재와 같이 피고인 회사의 대표이사 피고인 1, 피고인 회사의 종업원 피고인 2, 피고인 3, 피고인 4, 피고인 5, 피고인 6 등이 2011년 12월경부터 2014년 6월경까지 거짓이나 그 밖의 부정한 수단이나 방법으로 별지 범죄일람표(1-1)∼(1-11) 기재와 같이 “연말연시 벤츠가 온다 경품이 쏟아진다” 등 11개 경품행사 응모고객들의 개인정보(성명·생년월일·휴대폰번호·자녀수) 7,121,140건을 취득하거나 처리(제3자 제공)에 관한 동의를 받아, 공소외 1 회사에 약 323만 건을 판매하여 약 64억 원을 취득하고, 공소외 2 회사에 약 약 279만 건을 판매하여 약 55억 4천만 원을 취득하였다.

이로써 피고인은 피고인의 대표자, 종업원이 그 법인의 업무에 관하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하고 처리(제3자 제공)에 관한 동의를 받았다.

(2) 피고인은 제2의 나항 기재와 같이 피고인 회사에서 근무하는 피고인 4, 피고인 5, 피고인 6 등이 2011년 12월경부터 2014년 8월경까지 별지 범죄일람표 (2-1), (2-2), (3-1), (3-2) 기재와 같이 피고인 9 회사 회원들의 동의를 받지 아니하고 회원들의 개인정보(성명·주민등록번호·연락처 등) 약 7,652,312건(특정된 개인정보 건수 : 1,906,974건, 온라인가입 개인정보 건수 : 90건)을 공소외 1 회사의 제휴마케팅팀 차장인 피고인 7 등에게, 약 9,295,970건(특정된 개인정보 건수 : 2,531,658건, 온라인가입 개인정보 건수 : 248건)을 공소외 2 회사의 제휴마케팅팀 차장인 피고인 8 등에게 각 제공하여 합계 16,948,282건(특정된 개인정보 건수 : 4,438,632건, 온라인가입 개인정보 건수 : 348건)을 정보주체 또는 정보통신서비스 이용자의 동의를 받지 아니하고 제3자에게 제공하고 공소외 1 회사로부터 약 30억 2천만 원을 취득하고, 공소외 2 회사로부터 약 53억 3천만 원을 취득하였다.

이로써 피고인은 피고인의 종업원이 그 법인의 업무에 관하여 정보주체 또는 정보통신이용자의 동의를 받지 아니한 피고인 9 회사 회원정보를 제3자인 공소외 1 회사와 공소외 2 회사에게 임의로 제공하였다.

3. 피고인 7의 범죄사실

누구든지 개인정보처리자가 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한다는 것을 알면서 개인정보를 제공받아서는 아니 되고, 누구든지 정보통신서비스 제공자가 이용자의 동의를 받지 아니하고 개인정보를 제3자에게 제공한다는 것을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받아서는 아니 된다.

그럼에도 불구하고 공소외 1 회사 제휴마케팅팀 차장인 피고인 7은 제2의 나항 기재와 같은 방법으로 피고인 9 회사 웹하드에 업로드 된 제3자 정보제공 미동의 회원정보를 다운로드하여 제3자 정보제공 미동의 개인정보를 제공받고, 제공받은 회원정보 중 공소외 1 회사의 DNC(Do Not Call) 고객, 기가입고객 등을 필터링하고, 선별한 개인정보를 다시 피고인 9 회사 웹하드에 업로드하여 공소외 3 회사 등과 같은 콜센터로 하여금 사후동의를 받게 하였다.

이와 같이 피고인 7은 2013년 2월경부터 2014년 8월경까지 별지 범죄일람표 (2-1) 순번 1-207581, 별지 범죄일람표(2-2) 기재와 같이 제3자 정보제공에 관한 동의가 되어 있지 아니한 피고인 9 회사 고객의 주민등록번호 등 개인정보(성명, 주민등록번호, 연락처 등) 약 5,637,548건(특정된 개인정보 건수 : 1,841,585건, 온라인가입 개인정보 건수 : 90건)을 그와 같은 사정을 잘 알면서도 피고인 9 회사 보험서비스팀장 피고인 4 등으로부터 제공받았다.

이로써 피고인 7은 정보주체 또는 이용자의 동의를 받지 아니한 피고인 9 회사 고객의 회원정보를 제3자 정보제공에 관한 동의가 되어 있지 않다는 사정을 알면서도 회사의 영리 목적으로 피고인 9 회사 보험서비스팀장 피고인 4 등으로부터 제공받았다.

4. 피고인 8의 범죄사실

누구든지 개인정보처리자가 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한다는 것을 알면서 개인정보를 제공받아서는 아니 되고, 누구든지 정보통신서비스 제공자가 이용자의 동의를 받지 아니하고 개인정보를 제3자에게 제공한다는 것을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받아서는 아니 된다.

그럼에도 불구하고 공소외 2 회사 제휴마케팅팀 차장인 피고인 8은 제2의 나항 기재와 같은 방법으로 피고인 9 회사 웹하드에 업로드 된 제3자 정보제공 미동의 회원정보를 다운로드하여 제3자 정보제공 미동의 개인정보를 제공받고, 제공받은 회원정보 중 공소외 2 회사의 DNC(Do Not Call) 고객, 기가입고객 등을 필터링하고, 선별한 개인정보를 다시 피고인 9 회사 웹하드에 업로드하여 공소외 3 회사 등과 같은 콜센터로 하여금 사후동의를 받게 하였다.

이와 같이 피고인 8은 2011년 12월경부터 2012년 8월경 및 2013년 6월경부터 2014년 8월경까지 별지 범죄일람표(3-1) 순번 1∼335800, 715493∼1018388, 별지 범죄일람표(3-2) 순번 608515-1513270 기재와 같이 제3자 정보제공에 관한 동의가 되어 있지 아니한 피고인 9 회사 고객의 주민등록번호 등 개인정보(성명, 주민등록번호, 연락처 등) 약 6,119,897건(특정된 개인정보 건수 : 1,543,452건, 온라인가입 개인정보 건수 : 330건)을 그와 같은 사정을 잘 알면서도 피고인 9 회사 보험서비스팀장 피고인 4 등으로부터 제공받았다.

이로써 피고인 8은 정보주체 또는 이용자의 동의를 받지 아니한 피고인 9 회사 고객의 회원정보를 제3자 정보제공에 관한 동의가 되어 있지 않다는 사정을 잘 알면서도 회사의 영리 목적으로 피고인 9 회사 보험서비스팀장 피고인 4 등으로부터 제공받았다.

Ⅱ. 판단

1. 피고인 1, 피고인 2, 피고인 3, 피고인 4, 피고인 5, 피고인 6의 부정한 방법에 의한 개인정보 취득 관련 개인정보보호법위반 공동범행에 관한 판단

가. 인정사실

이 법원이 적법하게 채택하여 조사한 증거들을 종합하면 다음과 같은 사실이 인정된다.

1) 피고인 9 회사는 2000년경부터 영국 본사인 테스코의 보험영업을 벤치마킹하여 피고인 9 회사 패밀리카드 회원을 모집하면서 회원정보를 수집하였고, 2003년경부터 개인정보의 제3자 제공에 동의한 고객들에 대한 정보를 제휴카드사업자에게 제공하기 시작하였으며, 2007년경부터는 보험사에 고객들의 개인정보를 판매하였다. 피고인 9 회사는 2009. 10. 1.경 공소외 1 회사, 2010. 6. 17.경 공소외 2 회사와 피고인 9 회사 고객들의 개인정보를 1건당 1,980원에 판매하기로 하는 업무제휴약정을 체결하였다.

2) 피고인 9 회사는 2009년경부터 고객들에 대한 경품행사를 시작하였는데 그 주요 목적은 고객들의 매장방문을 유도하여 매출을 증대시키고 경품 당첨을 기대하고 응모하는 고객들로부터 개인정보를 취득하여 이를 보험회사에 대가를 받고 판매하는 것이었다.

3) 피고인들은 경품응모권 용지에 약 1mm 정도의 크기로 「개인정보 수집·이용목적」란에 ‘경품 추첨 및 발송’ 및 ‘보험 마케팅을 위한 정보 제공’을 기재하고, 개인정보 제3자 제공의 「제공받는자」란에 공소외 1 회사, 공소외 2 회사 등 각종 보험회사를 기재하였으며, 「이용목적」란에 ‘생명, 손해보험상품 등의 안내를 위한 전화, SMS 등 마케팅자료로 활용됩니다.’라고 기재하였다. 또한, 피고인들은 경품응모권 용지에 응모자의 「생년월일」, 「자녀수」란을 만들어 넣고, 「기재/동의 사항 일부 미기재, 미동의 서명 누락시 경품 추첨에서 제외됩니다.」라는 문구를 기재하였다. 그리고 경품응모권 용지의 연락처 아래에「경품 추첨이 SMS로 고지되니 정확하게 기재하셔야 합니다.」라고 기재하여 응모고객들이 자신의 전화번호(집·사무실 등)와 휴대폰번호를 기재하도록 하였다.

4) 피고인 9 회사는 2011년 12월경부터 2014년 6월경까지 “연말연시 벤츠가 온다. 경품이 쏟아진다.” 등 경품행사를 11회 실시하여 응모고객들의 개인정보(성명·생년월일·휴대폰번호·자녀수) 7,121,140건을 취득하고 처리에 관한 동의(제3자 제공)를 받았으며, 이를 공소외 1 회사와 공소외 2 회사에 제공하여 건당 1,980원의 대가를 지급받아 왔다.

나. 판단

1) 개인정보 취득에 있어서 그 정보를 제3자에 유상으로 제공한다는 사실을 고지할 법적 의무가 있는지 여부

개인정보보호법 제17조는 개인정보처리자가 정보주체의 동의를 받을 때 정보주체에게 알려야 하는 사항으로 ① 개인정보를 제공받는 자, ② 개인정보를 제공받는 자의 개인정보 이용 목적, ③ 제공하는 개인정보의 항목, ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, ⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익의 내용 등을 열거하고 있다. 즉, 개인정보보호법은 개인정보처리자가 취득한 개인정보를 제3자에게 제공하는 경우 그 제3자, 제공받는 정보의 내용 및 그 이용 목적을 정보제공자에게 고지할 것을 요건으로 규정하고 있으나 그 개인정보를 제3자에게 유상으로 제공하는지 여부를 고지하도록 하고 있지는 않다.

2) 개인정보를 제3자에 유상으로 제공한다는 사실을 고지하지 않고 정보제공 동의를 받은 것이 “거짓 그 밖의 부정한 수단이나 방법”에 해당하는지 여부

개인정보를 처리하거나 처리하였던 자는 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위를 하여서는 아니 된다(개인정보보호법 제72조 제2호, 제59조 제1호). 여기서 ‘거짓 그 밖의 부정한 수단·방법’이라 함은 법에 따른 절차에 의해서는 정보주체로부터 그 개인정보를 취득하거나 처리에 관한 동의를 받을 수 없음에도 이를 취득 또는 처리에 관한 동의를 받기 위하여 행하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 그 의사결정에 영향을 미칠 수 있는 적극적 및 소극적 행위를 뜻한다고 봄이 상당하다.(대법원 2014. 2. 27. 2013도10461 판결 참조)

그러므로 개인정보처리자가 정보제공자에게 어떠한 사실을 고지하지 않은 채 정보제공의 동의를 얻은 행위가 거짓이나 그 밖의 부정한 수단·방법에 해당하기 위하여는 개인정보처리자가 정보제공의 동의를 받음에 있어 정보제공자에게 그 사실을 고지하여야 할 의무가 있어야 할 것이다.

앞서 인정한 사실에 따르면, 피고인들이 제공한 응모권에는 ① 개인정보를 제공받는 자로 공소외 1 회사, 공소외 2 회사 등을, ② 개인정보를 제공받는 자의 개인정보 이용 목적으로 생명, 손해보험상품 등의 안내를 위한 전화 등을, ③ 제공하는 개인정보의 항목으로 성명, 전화번호, 자녀수, 주민등록번호, 휴대폰번호 등을, ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, ⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익의 내용 등을 기재하고 있는바, 피고인들은 개인정보보호법 제17조에 열거된 고지의무를 다하였다고 판단된다. 또한, 이 법원이 적법하게 채택하여 조사한 증거에 의하면, 피고인들은 피고인 9 회사의 온라인 및 오프라인 매장에서 상품을 구매하지 않은 고객들에게도 경품 응모의 기회를 부여하였고, 위 경품행사에서 응모한 고객들 중 약 30% 정도는 개인정보의 제3자 제공에 동의하지 아니 하여 경품 추첨 대상에서 배제된 사실을 인정할 수 있는바, 위 사실에 비추어 볼 때 고객들의 입장에서도 경품에 당첨될 기회를 얻으려면 자신의 개인정보가 보험회사의 영업에 사용될 것이라는 점을 인식하고 그 제공에 동의하였다고 봄이 상당하다.

따라서 피고인들이 고객들의 개인정보를 보험회사 등에 유상으로 제공한다는 사실을 고지하지 않은 채 고객들로부터 정보제공의 동의를 받았다고 하더라도 그것을 거짓이나 그 밖의 부정한 수단이나 방법을 사용한 것으로 볼 수는 없다.

3) 그 밖에 공소사실에 열거된 행위들이 “거짓 그 밖의 부정한 수단이나 방법”에 해당하는지 여부

가) 동의 관련 사항을 1mm 크기로 기재하여 사실상 읽을 수 없게 한 행위

검사가 제출한 증거에 의하면 피고인들이 제작하여 고객들에게 제공한 경품응모권에 기재된 동의 관련 사항에 관한 글자의 크기가 약 1mm정도인 사실이 인정되나, 그 정도의 글자 크기가 사람이 읽을 수 없는 정도라고 단정할 수 없으며, 한편 이 법원이 적법하게 채택하여 조사한 증거에 의하면, 피고인들은 경품행사 당시 응모함 바로 옆에 실제 응모권의 약 4배에 해당하는 응모권확대사진을 부착하기도 하였으며, 온라인 경품행사의 경우에는 응모자가 컴퓨터 화면으로 응모권의 내용을 확대하여 볼 수도 있는 사실, 실제 다른 각종 응모행사에서도 이 사건 응모권의 글자크기가 많이 통용되고 있는 사실 등을 인정할 수 있는바, 위 인정사실에 비추어 보면 피고인들이 고객들로부터 정보제공동의를 받기 위하여 일부러 글자크기를 1mm정도로 작게 하여 그 내용을 읽을 수 없도록 한 것으로 보기 어렵다. 따라서 피고인들이 경품행사 응모권의 글자크기를 1mm 정도로 작게 기재한 것을 “거짓 그 밖의 부정한 수단이나 방법”에 해당한다고 볼 수 없다.

나) 경품 당첨자에 대한 발송에 필요한 응모고객의 성명·연락처 이외에 생년월일, 자녀수 등 불필요한 정보까지 동의하게 한 행위

피고인들이 경품행사에 사용한 응모권에는 제공하는 개인정보의 항목으로 성명, 전화번호, 자녀수, 주민등록번호, 휴대폰번호 등이 기재되어 있고, 위 항목에 대한 정보를 제공하지 않을 경우 경품 추첨에서 배제된다는 문구가 기재되어 있는 사실은 앞서 본 바와 같으나, 한편 피고인들이 개인정보를 보험회사 등에 제공할 목적으로 이 사건 경품행사를 시행하였고, 위 응모권 제3자 제공의 목적란에 생명, 손해보험상품 등의 안내를 위한 전화 등 보험마케팅을 위한 자료로 활용된다는 취지의 문구가 기재되어 있는 사실도 이미 인정한 바와 같은 바, 응모자의 생년월일, 자녀수 등은 개인정보 제3자 제공의 목적인 보험마케팅에 필요한 범위 내의 정보라고 봄이 상당하고, 피고인들이 고객들로부터 이러한 정보의 수집에 동의하도록 한 것을 들어 “거짓 그 밖의 부정한 수단이나 방법”에 해당한다고 볼 수 없다.

다) 경품을 제대로 지급하지 않은 행위

(1) 이러한 행위는 개인 정보 수집 이후의 사정에 불과하므로 피고인들이 거짓 기타 부정한 방법으로 고객들로 하여금 개인정보 수집에 동의하도록 하였다는 공소사실과 무관하다. 다만, 피고인들이 당첨자들에게 경품을 지급할 의사가 없는데도 마치 개인정보 제공에 동의하면 경품에 당첨될 기회가 주어지는 것처럼 경품행사에 응모하는 사람들을 기망하는 수법으로 고객정보를 수집하거나 제3자 제공에 동의를 받게 하였다면, 부정한 방법에 의한 개인정보취득 및 제3자 제공죄가 성립할 수 있으므로 이에 관하여 살펴본다.

(2) 이 법원이 적법하게 채택하여 조사한 증거에 의하여 인정되는 다음과 같은 사정을 종합하여 보면, 검사가 제출한 증거만으로는 피고인들이 경품행사에 응모하는 고객들을 기망하는 방법으로 개인정보를 수집하거나 제3자 제공에 동의를 받게 하였다는 점을 인정하기에 부족하고, 달리 이를 인정할 증거가 없다.

(가) 피고인 9 회사는 경품행사 기획 시 회계팀과 협업을 통해 사전에 경품지급을 위해 발생하는 비용과 예산을 책정하고 이에 대한 결재를 마친 뒤 행사를 진행하여 왔으므로 사전에 경품을 지급하지 않을 의도 아래 이 사건 경품행사를 시행한 것으로 보이지 않는다. 경품이 당첨된 이후 금액이 크지 않은 경품은 위탁사를 통하여, 금액이 큰 경품은 피고인 9 회사가 직접 당첨자에게 전화를 걸어 당첨 사실을 알려 왔는데, 당첨자가 전화를 받지 않는 경우에는 연락이 닿을 때까지 반복하여 전화를 걸었다.

(나) 피고인 9 회사의 보험서비스팀 직원이던 공소외 6은 2013년 12월경 실시한 ‘다이아몬드가 내린다.‘ 경품행사를 시행할 당시 상사인 피고인 6에게 “1등 당첨자가 연락이 안 되는데, 경품을 지급하지 않는 것이 어떠냐.”라는 취지로 제의하였으나, 피고인 6은 이를 거절한 적이 있다.

(다) 피고인 9 회사의 직원이었던 공소외 5와 공소외 6은 피고인 9 회사가 시행하는 경품행사에서 경품 추첨 조작을 통해 경품을 지인들 명의로 당첨받은 뒤 이를 판매하여 재산상의 이익을 취득할 것을 공모한 뒤, 2011년 8월에 시행된 ‘썸머페스티발 자동차 10대를 쏩니다’ 경품행사에서 지인인 공소외 13이 위 경품행사의 1등 당첨자가 되게 하여 경품인 SM7승용차를 교부받게 한 것을 비롯하여, 2012년 4월에 시행된 경품행사에서 공소외 14가 1등 당첨자가 되게 하여 경품인 BMW 320d 승용차를 교부받게 하고, 2012년 12월 시행된 경품행사에서 공소외 15, 공소외 16이 위 경품행사의 1등 및 2등에 당첨되게 하여 BMW 320d 및 K7 승용차를 교부받게 하였으며, 2013년 5월 시행된 경품행사에서 공소외 17, 공소외 18가 위 경품행사의 1등 및 2등에 당첨되게 하여 순금 골드바 1kg 및 아우디 A4 승용차를 교부받게 하였다. 공소외 5, 공소외 6은 위 사건으로 개인정보보호법위반죄가 아니라 형법상 피고인 9 회사에 대한 업무방해 및 업무상배임죄로 기소되어 2014. 12. 18. 각 유죄판결을 선고받았으나, 피고인들은 위 사건으로 공소제기된 바가 없다.

라) 수집한 고객 정보를 보험사에 제공하고 대가를 받은 행위

이러한 행위는 개인 정보 수집 이후의 사정에 불과하므로 피고인들이 거짓 기타 부정한 방법으로 고객들로 하여금 개인정보 수집에 동의하도록 하였다는 공소사실과 무관하다.

다. 소결론

그러므로 피고인 1, 피고인 2, 피고인 3, 피고인 4, 피고인 5, 피고인 6의 부정한 방법에 의한 개인정보 취득 관련 개인정보보호법위반의 공소사실에 대하여 검사가 제출한 증거만으로는 이를 인정하기에 부족하고, 달리 이를 인정할 증거가 없다.

2. 피고인 4, 피고인 5, 피고인 6의 미동의 개인정보 제공 관련 개인정보보호법위반 및 정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등) 범행에 관한 판단

가. 공소사실의 요지

개인정보처리자는 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공하여서는 아니 되고, 정보통신서비스 제공자는 이용자의 동의를 받지 아니하고 개인정보를 제3자에게 제공하여서는 아니 된다. 그런데도 피고인들은 보험서비스팀 생명보험 파트장 공소외 4, 공소외 5 및 생명보험 파트원 공소외 6, 공소외 7, 공소외 8 등에게 지시하여 제3자 정보제공 동의가 되어 있지 않은 피고인 9 회사 패밀리카드 회원들 중 공소외 1 회사 및 공소외 2 회사에 제공할 대상자를 피고인 9 회사에서 운용하는 웹하드에 업로드하여 공소외 1 회사 및 공소외 2 회사에서 다운로드 할 수 있도록 하는 방법으로 제공하였다.

나. 피고인들의 주장

피고인들이 이용자의 동의가 없는 상태에서 그 개인정보가 담겨 있는 데이터베이스를 공소외 1 회사와 공소외 2 회사에 제공한 것은 사실이나, 이는 정보주체의 동의가 필요한 개인정보의 제3자 제공에 해당하는 것이 아니라, 개인정보 데이터베이스 중 보험마케팅에 필요한 대상자를 미리 선별하는 피고인 9 회사의 업무를 위 보험회사에 처리위탁한 것에 불과하므로 정보주체의 동의가 필요 없고, 피고인들의 위와 같은 행위는 죄가 되지 않는다.

다. 판단

1) 인정사실

이 법원이 적법하게 채택하여 조사한 증거에 의하면, 다음과 같은 사실이 인정된다.

가) 피고인 9 회사는 멤버십 회원 중 제3자 제공에 동의한 고객의 정보(이른바 FMC DB)와 경품행사 시 제3자 제공에 동의한 응모자의 정보를 보험사에 제공하여 왔는데, FMC DB 중 아직 제3자 제공에 동의하지 않은 고객에 대하여는 피고인 9 회사와 위탁계약이 체결된 공소외 3 회사의 콜센터에서 전화를 통하여 고객들로부터 제3자 제공 동의를 얻은 후(이른바 퍼미션 콜) 이를 공소외 1 회사, 공소외 2 회사 등 보험회사에 제공하여 왔다. 이후 위 보험회사들은 피고인 9 회사로부터 제공받은 고객 정보를 분석하여 그 중 보험상품 설명을 위한 전화 받기를 원하지 않는 고객, 이미 보험계약이 되어 있는 고객, 최근 6개월 또는 12개월 이내에 텔레마케팅을 받은 경력이 있는 고객, 기타 블랙리스트에 올라간 고객들을 걸러내는 작업(이른바 필터링 작업)을 수행하고 남은 개인정보를 다시 피고인 9 회사의 웹하드에 업로드하고, 위 고객들에게 전화를 걸어 보험마케팅을 시행하였다.

나) 피고인 9 회사는 2009. 10. 1. 공소외 3 회사와 개인정보 취급 위탁계약을 체결하였는데 그 주요 내용은 공소외 3 회사가 퍼미션 콜 업무를 수행하고, 피고인 9 회사는 위와 같이 정보제공에 동의한 고객이 최종적으로 보험계약을 체결한 경우, 그 월납 초회 보험료의 250%를 공소외 3 회사에 수수료로 지급하기로 하는 것이었다. 그런데 피고인 9 회사와 공소외 3 회사는 2010. 2. 1. 수수료 지급방식을 변경하여 정보제공에 동의한 고객이 보험계약을 체결하였는지 여부와 상관없이 정보 제공 동의한 고객 1인 당 1,700원의 수수료를 지급하는 것으로 변경하였다.

다) 피고인 9 회사는 2009년 10월경 공소외 1 회사와, 2009년 8월경 공소외 2 회사와 각 업무제휴계약을 체결하였는데, 그 주요 내용은 피고인 9 회사가 정보 제공에 동의한 고객들의 정보를 위 보험회사에 이전하고, 그 고객이 최종적으로 위 보험회사와 보험계약을 체결한 경우, 그 월납 초회 보험료의 400% 또는 320%를 수수료로 지급받기로 하였다가, 2010. 5. 3.부터(공소외 2 회사의 경우 2011년 6월경)는 수수료의 지급방식을 변경하여 제공받은 개인정보 건당 2,800원을 지급받되 피고인 9 회사가 제공한 개인정보 중 보험상품 설명을 위한 전화 받기를 원하지 않는 고객, 이미 보험계약이 되어 있는 고객, 최근 6개월 또는 12개월 이내에 텔레마케팅을 받은 경력이 있는 고객, 기타 블랙리스트에 올라간 고객들에 대한 부분은 수수료 산정에서 제외하였다(이른바 사후 필터링). 공소외 1 회사와 공소외 2 회사는 이른바 필터링을 거치고 남은 개인정보를 다시 피고인 9 회사의 웹하드에 업로드하고 위와 같이 업로드된 개인정보의 개수에 따라 수수료를 산정하여 피고인 9 회사에 지급하였다.

라) 위와 같은 수수료 산정 방식 변경으로 인하여 피고인 9 회사는 보험회사에 제공한 제3자 제공 동의 고객의 데이터베이스(이른바 퍼미션 DB) 중 보험회사가 필터링을 통하여 걸러내는 개인정보의 비율을 줄이기 위하여 보험회사에 필터링 조건을 완화해 달라고 요구하는 등 노력을 하였으나, 2011년경에 이르러 기존에 확보한 DB의 양이 감소하고, 퍼미션 DB 중 보험회사의 필터링을 거쳐 다시 피고인 9 회사 웹하드에 업로드되는 유효한 DB의 비율(이른바 업로드율)이 점차 줄어드는 등 수익성이 악화되었다. 이에 피고인 9 회사의 보험서비스팀 직원이던 공소외 5가 공소외 2 회사와 공소외 1 회사에 이른바 사전 필터링을 제안하게 되었는데, 그 내용은 피고인 9 회사의 입장에서는 종전에 보험회사가 제3자 제공 동의를 받은 개인정보 DB를 건네받은 이후에 시행하던 필터링 절차를 고객들로부터 제3자 제공 동의를 받기 이전에 시행하게 되면 불필요한 퍼미션 콜 절차를 줄일 수 있는 이점이 있고, 보험회사로서도 어차피 거쳐야 할 필터링 절차를 미리 시행하는 불편밖에 없으니 필터링을 사전에 시행하도록 해 달라는 것이었다. 공소외 1 회사와 공소외 2 회사는 위와 같은 요청을 받아들여 2011년 12월경부터 2014년 8월까지 공소사실 기재와 같이 피고인 9 회사 웹하드를 통하여 수령한 DB를 필터링 절차를 거친 후 다시 위 웹하드에 업로드하였고, 피고인 9 회사는 해당 DB에 대하여 퍼미션 콜을 수행한 후 다시 이를 위 보험회사에 제공하였다. 한편, 위 보험회사들은 사전 필터링을 위하여 이전받은 고객정보를 피고인 9 회사의 웹하드에 업로드 한 이후 자신들의 시스템에서 모두 삭제하였다.

2) 개인정보의 제3자 제공과 개인정보의 처리위탁의 구별

가) 법령

개인정보보호법 제17조 제1항은 개인정보처리자는 정보주체의 동의를 얻은 경우에 한하여 그 개인정보를 제3자에게 제공할 수 있다고 규정하고 있고, 정보통신망이용촉진및정보보호에관한법률(이하, ‘정보통신망법’이라고 한다) 제24조의2 제1항은 정보통신서비스 제공자는 이용자의 동의를 받지 아니 하고 개인정보를 제3자에게 제공할 수 없다고 규정하고 있다.

한편, 개인정보보호법 제26조와 정보통신망법 제25조는 개인정보처리자 또는 정보통신서비스 제공자가 취득한 개인정보의 처리에 관한 업무를 제3자에게 위탁할 수 있음을 전제로 여러 요건들을 규정하고 있으나 별도로 정보주체 또는 이용자의 동의를 요구하고 있지는 않다.

나) 개인정보 처리위탁의 입법 취지

개인정보보호법과 정보통신망법에서 정보주체의 동의 없이도 개인정보를 제3자에 제공하게 할 수 있도록 한 입법 취지는 많은 기업이 개인정보처리자 또는 정보통신서비스 제공자로서 개인정보와 관련한 업무를 외부 업체에 아웃소싱을 통하여 처리해야 할 현실적 필요성을 감안하고, 정보주체의 개인정보 자기결정권을 침해하지 않는 범위 내에서 개인정보의 처리를 제3자에게 위탁하는 것을 허용한 데에 있는 것으로 보인다.

다) 개인정보의 제3자 제공과 개인정보의 처리 위탁의 구별 기준

이러한 입법 취지에 근거하여 개인정보의 제3자 제공과 개인정보 처리업무의 제3자 위탁을 구별해 보자면, 우선 개인정보의 제3자 제공과 개인정보 처리업무의 제3자 위탁은 모두 개인정보가 제3자에게 이전된다는 측면에서는 동일하다. 그러나 개인정보의 제3자 제공은 그 제3자의 업무(예컨대, 이 사건에 있어서 보험마케팅 자료로 활용)를 처리할 목적 및 그 제3자의 이익을 위해서 개인정보가 이전되는 것이지만, 개인정보 처리 위탁의 경우에는 개인정보처리자의 업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는 차이가 있다. (대법원 2011. 7. 14. 선고 2011도1960 판결 참조)

라) 구체적 검토

(1) 이 사건 사전 필터링을 위한 개인정보의 이전이 피고인 9 회사를 위한 업무인지 보험회사를 위한 업무인지에 관하여 본다.

앞서 인정한 사실관계에 비추어 알 수 있는 다음과 같은 사정, 즉 사전 필터링은 피고인 9 회사의 개인정보 제공으로 인한 수익률의 악화를 타개하기 위한 방편으로 피고인 9 회사의 직원 공소외 5가 공소외 1 회사의 피고인 7, 공소외 2 회사의 피고인 8에게 요청하여 시작된 점, 사전 필터링을 시행하게 된 목적은 피고인 9 회사가 공소외 3 회사를 통하여 고객들로부터 개인정보의 제3자 제공에 동의를 받는 퍼미션 콜의 횟수를 줄여 수익률을 향상시키기 위한 것이었던 점, 사후 필터링은 보험회사가 보험마케팅을 할 대상자를 고르기 위하여 행하여지는 것인 반면, 사전 필터링은 피고인 9 회사가 퍼미션 콜을 할 대상자의 범위를 줄이기 위하여 행하여지는 것인 점, 보험회사가 사전필터링을 위하여 제공받은 DB는 피고인 9 회사의 웹하드에 업로드한 후 모두 삭제하였으며, 이를 활용하여 보험마케팅에 사용한 것으로 보이지는 않는 점, 피고인 9 회사가 사전 필터링을 위하여 DB를 보험회사에 제공하면서 어떤 대가를 받은 것으로 보이지 않는 점 등을 종합하면, 이 사건 사전 필터링은 피고인 9 회사가 퍼미션 콜 대상자를 정하는 업무를 보험회사에 의뢰하면서 그에 관한 고객들의 개인정보를 이전한 것으로 봄이 상당하다. 즉, 사전 필터링은 보험회사가 아니라 피고인 9 회사를 위한 업무로 보아야 한다.

(2) 이 사건 사전 필터링을 위한 개인정보의 이전이 피고인 9 회사의 이익을 위한 것인지 보험회사의 이익을 위한 것인지에 관하여 본다.

앞서 본 바와 같이 피고인 9 회사가 보험회사에 의뢰하여 사전 필터링을 시행하게 된 목적은 사전에 걸러진 고객들에 대한 퍼미션 콜을 수행하지 않음으로써 관련된 시간, 비용, 노력을 줄일 수 있는 이익이 있는 반면, 보험회사의 입장에서는 필터링을 개인정보의 제3자 제공 동의를 얻기 이전에 수행하게 되면 필터링을 해야 할 대상자의 숫자가 늘어나게 되어 업무량이 늘어날 가능성이 많은 점, 위 보험회사들이 수행하던 이 사건 사전 필터링의 조건은 사후 필터링의 조건과 동일한 것으로 보이는 점 등을 종합하면, 피고인들이 이 사건 사전 필터링을 위하여 개인정보를 보험회사에 이전한 것은 피고인 9 회사의 이익을 위한 것으로 봄이 상당하다.

라. 판단

그렇다면 공소외 1 회사와 공소외 2 회사는 개인정보보호법 및 정보통신망법에서 규정하는 제3자가 아니라 피고인 9 회사를 위하여 피고인 9 회사의 퍼미션 콜 업무의 일부를 수행하는 수탁자로서의 지위를 가진다고 보아야 할 것이고, 검사가 제출한 증거만으로는 피고인들이 제3자에게 미동의 개인정보를 제공하였다는 점을 인정하기 어렵고, 달리 이를 인정할 증거가 없다.

3. 피고인 9 회사

앞서 본 바와 같이 피고인 1, 피고인 2, 피고인 3, 피고인 4, 피고인 5, 피고인 6에 대한 공소사실이 범죄의 증명이 없는 이상 이를 전제로 하는 피고인 9 회사에 대한 이 사건 공소사실 역시 범죄의 증명이 없다.

4. 피고인 7, 피고인 8

피고인들에 대한 공소사실의 요지는 보험회사에 근무하는 피고인들이 회사의 영리 목적으로 공소사실 제2의 나항 기재와 같은 방법으로 피고인 9 회사 웹하드에 업로드된 제3자 정보제공 미동의 회원정보를 다운로드하여 이를 제공받았다는 것인바, 앞서 살펴 본 바와 같이 공소외 1 회사와 공소외 2 회사는 개인정보보호법 및 정보통신망법에서 규정하는 제3자가 아니라 피고인 9 회사를 위하여 피고인 9 회사의 퍼미션 콜 업무의 일부를 수행하는 수탁자로서의 지위를 가진다고 보아야 할 것이고, 검사가 제출한 증거만으로는 피고인들이 영리 목적으로 피고인 9 회사로부터 미동의 개인정보를 제공받았다는 점을 인정하기 어렵고, 달리 이를 인정할 증거가 없다.

Ⅲ. 결론

따라서 피고인들에 대한 이 사건 공소사실은 범죄의 증명이 없는 경우에 해당하므로 형사소송법 제325조 후단에 의하여 피고인들에게 각 무죄를 선고하고, 형법 제58조 제2항 본문에 의하여 피고인들에 대한 판결의 요지를 공시하기로 한다.

[별지 생략]

판사 부상준

 

(출처 : 서울중앙지방법원 2016. 1. 8. 선고 2015고단510 판결 [개인정보보호법위반] > 종합법률정보 판례)

 

======================

‘거짓이나 그 밖의 부정한 수단이나 방법’의 의미,    거짓이나 그 밖의 부정한 수단이나 방법

개인정보를 취득하거나 그 처리에 관한 동의를 받았는지 판단하는 방법

개인정보의 ‘제3자 제공’의 의미,            처리위탁인지 판단하는 기준

어떠한 행위가 개인정보의 제공인지, 

부정한 수단이나 방법’의 의미    ,  개인정보자기결정권의 법적 성질