2016도 13263판결문 정리 (일명 "1mm 글씨 고지"사건)

1. 사건의 개요

• 피고인 1~6 (피고인 1 등)은 피고인 9 주식회사 임직원들로, 공소외 1,2 주식회사(보험회사)와 피고인 9회사가 경품행사를 통해 취득하는 개인정보를 1건에 1980원에 판매한다는 업무제휴약정을 체결하였다.
• 피고인 1 등은 자사의 고객정보만으로는 부족하여, 경품행사를 통해 개인정보를 취득하기로 하였다.
• 응모권 용지에 "개인정보 수집 및 제3자 제공에 관한 내용"을 약 1mm 크기로 인쇄하여, 응모자들로 하여금 무심코 동의를 하도록 하였다.
• 피고인 1 등은 필요한 범위를 넘어 개인정보를 수집하고, 미 동의시 경품 추천에서 제외하였으며, 적법한 보험모집자가 아님에도 보험계약 체결 가능성이 있는 대량의 개인정보를 알선해 주고 그 대가를 받았다
• 피고인 9는 공소외 1,2에게 불필요한 퍼미션콜을 줄이기 위해, 미리 필터링을 해줄 것을 제안하였다.
• 피고인 9 회사의 웹하드에 개인정보파일을 업로드하면, 공소외 1,2는 다운로드하여 사전필터링을 수행하고 다시 피고 9에 전달하였다. 이후, 공소외 1,2는 개인정보파일을 삭제했다.
• 피고인 9 회사는 제3자 동의가 안된 대상자에게 퍼미션콜 형식으로 사후동의를 받도록 공소외 3회사에 위탁했다. 1인당 1700원을 지급하기로 했으나, 공소외 1,2의 필터링을 통해 제외된 개인정보에 대해서는 수수료를 제공하지 않았다.
• 정리된 개인정보를 피고인 9 회사는 공소외 1,2에게 건당 2800원에 제공하였다. 이때, 보험계약이 체결되어 있거나 3~6개월 사이에 텔레마케팅을 한 사람은 제외하였다.

---

2. 대법원의 주요 판단기준

1. 적법한 절차에 따라, 개인정보처리에 관한 동의를 받았는가?

• 개인정보처리자가 그에 관한 동의를 받는 행위 자체만을 분리하여 개별적으로 판단X
• 개인정보처리자가 개인정보를 취득하거나 동의를 받게 된 전 과정을 살펴보아 다음 사항들을 사회통념에 따라 종합적으로 판단해야 한다.
  • 거기에서 드러난 개인정보 수집 등의 동기와 목적
  • 수집 목적과 수집 대상인 개인정보의 관련성
  • 수집 등을 위하여 사용한 구체적인 방법
  • 개인정보 보호법 등 관련 법령을 준수하였는지 및 취득한 개인정보의 내용과 규모
  • 특히 민감정보·고유식별정보 등의 포함 여부

2. 제3자 제공의 의미

• 본래의 개인정보 수집·이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우

3. 어떤 행위가 개인정보의 제공인지 아니면 처리위탁인지 판단하는 기준

• 처리위탁은 "본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미" 한다
• 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리·감독 아래 위탁받은 범위 내에서만 개인정보를 처리함

4. 제3자에게 개인정보 제공과 처리위탁인지 판단하는 기준

• 제3자: 정보 제공받는자의 업무처리와 개인정보와 관련한 이익O
• 수탁자: 관리 감독을 받으며 개인정보 처리만 수행하며, 개인정보와 관련한 이익X

---

3. 본 사건에 대한 대법원의 판단

1. 판단근거

• 개인정보를 대상으로 한 조사,수집,보관,처리,이용 등의 행위는 모두 원칙적으로 개인정보자기결정권의 제한에 해당된다. (2012다 49933, 2014다235080)
• 개인정보는 목적에 따라 최소한으로 수집하며, 부가정보 수집에 동의하지 않는다는 이유로 서비스의 제공을 거부해서는 안된다. (개인정보보호법 제16조 1,2항)
• 개인정보처리자는 각각의 동의사항을 구분하여 정보주체가 명확하게 인지할 수 있도록 알려야 한다. (개인정보보호법 제22조 1항)
• ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자’를 3년 이하의 징역 또는 3천만 원 이하의 벌금에 처한다. (개인정보보호법 제72조 제2호)

2. 개인정보 취득 등으로 인한 개인정보 보호법 위반의 점

• 처음부터 고객의 개인정보를 수집하여, 보험회사에 댓가를 받고 판매하는데 목적이 있음
• 일반적인 소비자가 이 사건 광고를 접하는 경우, 사은행사의 일환으로 인지할 가능성이 큼 → 소비자를 속이거나 소비자로 하여금 잘못 알게 할 우려가 있는 광고행위 (‘표시·광고의 공정화에 관한 법률’ 제3조 제1항 제2호)
• 또한, 정당한 개인정보 수집도 최소한으로 수행해야 하고, 동의하지 않는다는 이유로 서비스의 제공을 거부한 것은 개인정보보호 원칙에 위반됨 (개인정보보호법 제3조 제1항)
• 동의 관련 사항은 1mm로 표기되어 있어, 내용을 읽기 쉽지 않음. 내용을 정확히 파악하여 바로잡기 쉽지 않음 → 정보주체가 동의에 관한 사항을 명확히 인지 할 수 있도록 해야 한다는 의무를 위반한 것이다. (개인정보보호법 제22조 1항)
• 따라서 개인정보보호법 제72조 제2호에 따라, 개인정보의 부정취득과 부정목적사용으로 인정된다.

3. 개인정보 제공으로 인한 개인정보 보호법 위반 또는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 ‘정보통신망법’이라고 한다) 위반(개인정보 누설 등)의 점

• 공소외 1,2는 수탁자가 아닌 제3자로, 개인정보를 이전해준 행위 또한 제3자 제공에 해당함
• 따라서, 공소외 1,2는 아래의 업무에 대해 독자적인 이익을 가진다고 볼 수 있음
• 필터링 작업의 경우, 공소외 1,2의 이익을 위한 행위이므로 이들의 업무에 해당함
• 퍼미션 콜 작업의 경우, 온전히 피고인 9 회사의 업무로 보기 어려움
• 공소외 1,2 직원들은 개인정보파일을 개인용PC로 다운후 자유롭게 편집, 복사 등이 가능했고, 이에 관한 관리,감독이 없었던것으로 보임. 피고인 9 회사가 이들에게 명확한 필터링 기준을 정해준 것으로 보이지 않음

[참고자료] : 개인정보보호법위반ㆍ정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등)(이른바 '경품 응모권 1mm 글씨 고지' 등 관련 형사사건)