2016도13263 개인정보보호법위반 등 (라) 파기환송
[이른바 ‘홈플러스 경품 응모권 1mm 글씨 고지’ 등 관련 형사사건]
◇1. 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위’의 의미, 2. 개인정보 보호법 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률 상 개인정보의 제3자 제공과 그 처리위탁의 구별 기준◇
1. 개인정보 보호법은 ‘개인정보를 처리하거나 처리하였던 자가 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받는 행위’를 금지하고(제59조 제1호), 이를 위반하여 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자’를 3년 이하의 징역 또는 3천만 원 이하의 벌금에 처하도록 규정하고 있다(제72조 제2호).
이와 같은 개인정보자기결정권의 법적 성질, 개인정보 보호법의 입법 목적, 개인정보 보호법상 개인정보 보호 원칙 및 개인정보처리자가 개인정보를 처리함에 있어서 준수하여야 할 의무의 내용 등을 고려하여 볼 때, 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’이라 함은 개인정보를 취득하거나 또는 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 개인정보 취득 또는 그 처리에 동의할지 여부에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위를 뜻한다고 봄이 타당하다. 그리고 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지 여부를 판단함에 있어서는 개인정보처리자가 그에 관한 동의를 받는 행위 그 자체만을 분리하여 개별적으로 판단하여서는 안 되고, 개인정보처리자가 개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴보아 거기에서 드러난 개인정보 수집 등의 동기와 목적, 수집 목적과 수집 대상인 개인정보의 관련성, 수집 등을 위하여 사용한 구체적인 방법, 개인정보 보호법 등 관련 법령을 준수하였는지 여부 및 취득한 개인정보의 내용과 규모, 특히 민감정보·고유식별정보 등의 포함 여부 등을 종합적으로 고려하여 사회통념에 따라 판단하여야 한다.
2. 개인정보 보호법 제17조와 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라 한다) 제24조의2에서 말하는 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집․이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보 보호법 제26조와 정보통신망법 제25조에서 말하는 개인정보의 ’처리위탁‘은 본래의 개인정보 수집․이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다. 개인정보 처리위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리․감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로, 개인정보 보호법 제17조와 정보통신망법 제24조의2에 정한 ‘제3자’에 해당하지 않는다. 한편, 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리․감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다.
☞ 피고인 홈플러스 주식회사(이하 ‘홈플러스’라고 한다)가 개인정보를 수집하여 판매할 목적으로 경품행사를 진행하면서 그와 같은 목적을 숨긴 채 고객들을 속이거나 고객들로 하여금 잘못 알게 할 우려가 있는 광고를 하면서 개인정보 수집 및 제3자 제공에 관한 내용은 응모권 뒷면이나 응모화면에 읽기 어려운 약 1mm 크기의 글씨로만 고지하였고, 또한 홈플러스가 그 고객들의 개인정보 데이터베이스를 보험회사에 제공하고, 보험회사가 그 중 자신과 이미 보험계약을 체결하였거나 자신의 블랙리스트에 올라 있는 고객을 걸러내면(이른바 사전필터링), 홈플러스가 필터링 되고 남은 고객들에게 전화를 걸어 위 보험회사에 개인정보를 제공하는 것에 동의하는지 여부를 확인하여 그에 동의한 고객들의 개인정보를 다시 보험회사에 제공한 사안에서, 피고인들은 개인정보 보호법 제72조 제2호, 제59조 제1호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자’에 해당하고, 홈플러스가 사전필터링을 위해 보험회사에 개인정보를 제공하는 것 역시 개인정보 보호법 제17조와 정보통신망법 제24조의2에서 말하는 개인정보의 ‘제3자 제공’에 해당한다고 본 사례
0개의 댓글