본문 바로가기

판례

[부산변호사상담] 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’의 의미 및 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리..

 

 


개인정보보호법위반·정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등)

[대법원 2017.4.7, 선고, 2016도13263, 판결]

【판시사항】

[1] 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’의 의미 및 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지 판단하는 방법
[2] 개인정보 보호법 제17조와 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제24조의2에서 말하는 개인정보의 ‘제3자 제공’의 의미 및 개인정보 보호법 제26조와 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제25조에서 말하는 개인정보의 ‘처리위탁’의 의미 / 개인정보 처리위탁에 있어 수탁자가 개인정보 보호법 제17조와 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제24조의2에 정한 ‘제3자’에 해당하는지 여부(소극) / 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지 판단하는 기준

【판결요지】

[1] 개인정보자기결정권의 법적 성질, 개인정보 보호법의 입법 목적, 개인정보 보호법상 개인정보 보호 원칙 및 개인정보처리자가 개인정보를 처리함에 있어서 준수하여야 할 의무의 내용 등을 고려하여 볼 때, 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’이란 개인정보를 취득하거나 또는 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 개인정보 취득 또는 그 처리에 동의할지에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위를 뜻한다. 그리고 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지를 판단할 때에는 개인정보처리자가 그에 관한 동의를 받는 행위 자체만을 분리하여 개별적으로 판단하여서는 안 되고, 개인정보처리자가 개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴보아 거기에서 드러난 개인정보 수집 등의 동기와 목적, 수집 목적과 수집 대상인 개인정보의 관련성, 수집 등을 위하여 사용한 구체적인 방법, 개인정보 보호법 등 관련 법령을 준수하였는지 및 취득한 개인정보의 내용과 규모, 특히 민감정보·고유식별정보 등의 포함 여부 등을 종합적으로 고려하여 사회통념에 따라 판단하여야 한다.
[2] 개인정보 보호법 제17조 제1항 제1호제26조제71조 제1호정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라고 한다) 제24조의2 제1항제25조제71조 제3호의 문언 및 취지에 비추어 보면, 개인정보 보호법 제17조와 정보통신망법 제24조의2에서 말하는 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보 보호법 제26조와 정보통신망법 제25조에서 말하는 개인정보의 ‘처리위탁’은 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다. 개인정보 처리위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리·감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로, 개인정보 보호법 제17조와 정보통신망법 제24조의2에 정한 ‘제3자’에 해당하지 않는다.
한편 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리·감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다.

【참조조문】

[1] 헌법 제10조제17조개인정보 보호법 제1조제3조 제1항제15조제17조 제1항제2항제22조 제1항제59조 제1호제72조 제2호구 개인정보 보호법(2013. 8. 6. 법률 제11990호로 개정되기 전의 것) 제16조 제1항제2항(현행 제16조 제3항 참조) 
[2] 개인정보 보호법 제17조 제1항 제1호제26조제71조 제1호정보통신망 이용촉진 및 정보보호 등에 관한 법률 제24조의2 제1항제25조구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2016. 3. 22. 법률 제14080호로 개정되기 전의 것) 제71조 제3호(현행 제71조 제1항 제3호 참조)

【참조판례】

[2] 대법원 2011. 7. 14. 선고 2011도1960 판결(공2011하, 1675)


【전문】

【피 고 인】

 

【상 고 인】

검사

【변 호 인】

변호사 손지열 외 11인

【원심판결】

서울중앙지법 2016. 8. 12. 선고 2016노223 판결

【주 문】

원심판결을 파기하고, 사건을 서울중앙지방법원에 환송한다. 원심판결의 사건명 표시 “개인정보보호법위반”을 “가. 개인정보보호법위반, 나. 정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등)”으로 경정한다.

【이 유】

1. 이 사건 공소사실의 요지
 
가.  개인정보 취득 등으로 인한 개인정보 보호법 위반의 점
(1) 피고인 1, 피고인 2, 피고인 3, 피고인 4, 피고인 5, 피고인 6(이하 ‘피고인 1 등’이라고 한다)은 피고인 9 주식회사(이하 ‘피고인 9 회사’라고 한다)의 임직원들로서, 공소외 1 주식회사 및 공소외 2 주식회사(이하 각 ‘공소외 1 회사’, ‘공소외 2 회사’라고 한다)와 피고인 9 회사가 경품행사를 통해 취득하는 개인정보를 1건당 1,980원에 판매한다는 업무제휴약정을 각 체결하고, 경품행사를 가장하여 경품 당첨을 기대하고 응모하는 고객들의 개인정보를 수집하여 보험회사에 대가를 받고 팔아넘길 목적으로 경품행사를 기획·시행하기로 하였다.
피고인 1 등은 피고인 9 회사의 회원정보만으로는 보험회사에 판매할 충분한 개인정보를 확보할 수 없어 경품행사를 하게 되었다는 사실, 경품행사를 하는 목적이 경품행사를 가장하여 보험회사에 판매할 개인정보를 취득하는 것이라는 사실을 알면서도, 위와 같은 목적을 달성하기 위하여 각자의 직위에 따라 역할을 분담하여 경품행사를 통해 개인정보를 취득하기로 하였다.
피고인 1 등은 이에 따라 응모권 용지에 개인정보 수집 및 제3자 제공에 관한 내용을 약 1mm 크기로 인쇄하여 사실상 읽을 수 없도록 하여 응모자들로 하여금 어수선한 경품행사 현장에서 응모권에 있는 고가의 경품 사진에 현혹되어 무심코 동의를 하도록 하였다.
또 피고인 1 등은 경품행사에 필요한 범위를 넘어 개인정보를 수집하고, 그에 동의하지 않으면 경품 추첨에서 배제하였으며, 당첨자에게 연락하려는 노력을 게을리하거나 경품을 준비 또는 지급하지 않았고, 적법한 보험모집자가 아님에도 보험계약 체결 가능성이 있는 대량의 개인정보를 알선해 주고 그 대가를 받았다.
결국 피고인 1 등은 피고인 9 회사의 임직원으로서 아래 ①~④항 기재와 같이 공모하여 거짓이나 그 밖의 부정한 수단이나 방법으로 해당 범죄일람표 기재와 같이 경품행사 응모 고객들의 개인정보(성명·생년월일·휴대전화번호·자녀 수)를 취득하고 그 처리(제3자 제공)에 관한 동의를 받았다.
① 피고인 2, 피고인 3, 피고인 4: 2011년 12월경부터 2012년 8월경까지, 별지 범죄일람표(1-1)~(1-3), 3개 경품행사, 개인정보 2,986,247건
② 피고인 3, 피고인 4: 2012년 9월경부터 2013년 4월경까지, 별지 범죄일람표(1-4)~(1-6), 3개 경품행사, 개인정보 1,290,125건
③ 피고인 1, 피고인 3, 피고인 5: 2013년 7월경부터 2013년 11월경까지, 별지 범죄일람표(1-7)~(1-9), 3개 경품행사, 개인정보 1,698,457건
④ 피고인 1, 피고인 3, 피고인 6: 2013년 12월경부터 2014년 6월경까지, 별지 범죄일람표(1-10)~(1-11), 2개 경품행사, 개인정보 1,146,311건
(2) 피고인 9 회사는 위 (1)항 기재와 같이 그 대표자나 종업원인 피고인 1 등이 법인의 업무에 관하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하고 그 처리에 관한 동의를 받았다.
 
나.  개인정보 제공으로 인한 개인정보 보호법 위반 또는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 ‘정보통신망법’이라고 한다) 위반(개인정보 누설 등)의 점
(1) 개인정보처리자는 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공하여서는 아니 되고, 정보통신서비스 제공자는 이용자의 동의를 받지 아니하고 개인정보를 제3자에게 제공하여서는 아니 된다(사후동의 금지).
피고인 4, 피고인 5, 피고인 6 등은 피고인 9 회사의 영업방침에 따라 점포 또는 인터넷을 통해 가입한 피고인 9 회사 패밀리카드 회원들의 동의 없이 그 개인정보를 보험회사에 임의로 제공하여 판매하되, 해당 보험회사에서 그중 보험모집에 적당한 대상자를 선별하여 다시 건네주면 제3자 제공의 불법성을 희석시키기 위해 공소외 3 주식회사 등과 같은 콜센터를 통해 선별된 회원들에게 전화를 걸어 사후동의를 받는 편법을 동원하기로 하였다.
이에 따라 위 피고인들은 보험서비스팀 생명 파트장 공소외 4, 공소외 5 및 생명 파트원 공소외 6, 공소외 7, 공소외 8 등에게 지시하여 제3자 정보제공 동의가 되어 있지 않은 피고인 9 회사 패밀리카드 회원들 중 공소외 1 회사 및 공소외 2 회사에 제공할 대상자를 피고인 9 회사에서 운용하는 웹하드에 업로드하여 공소외 1 회사 및 공소외 2 회사에서 다운로드할 수 있도록 하는 방법으로 제공하기로 공모하여, 2011년 12월경부터 2014년 8월경까지 별지 범죄일람표(2-1), (2-2), (3-1), (3-2) 중 일부(자세한 내용은 생략한다) 기재와 같이 정보주체 또는 정보통신서비스 이용자인 피고인 9 회사 패밀리카드 회원들의 동의를 받지 아니하고 회원들의 성명·주민등록번호·연락처 등 개인정보 합계 4,195,321건(온라인 가입 개인정보 253건)을 피고인 7, 피고인 8 등에게 제공하였다.
(2) 피고인 9 회사는 위 (1)항 기재와 같이 그 종업원인 피고인 4, 피고인 5, 피고인 6 등이 법인의 업무에 관하여 2011년 12월경부터 2014년 8월경까지 별지 범죄일람표(2-1), (2-2), (3-1), (3-2) 기재와 같이 정보주체 또는 정보통신서비스 이용자의 동의를 받지 아니하고 성명·주민등록번호·연락처 등 개인정보 합계 4,438,632건(온라인 가입 개인정보 348건)을 피고인 7, 피고인 8 등에게 제공하였다.
(3) 피고인 7, 피고인 8 등은 피고인 9 회사가 정보주체 또는 정보통신서비스 이용자의 동의를 받지 아니하고 위와 같이 개인정보를 제공한다는 사정을 알면서도, 피고인 7은 2013년 2월경부터 2014년 8월경까지 별지 범죄일람표(2-1) 순번 1~207581, 별지 범죄일람표(2-2) 기재와 같이 피고인 9 회사 고객의 개인정보 1,841,585건(온라인 가입 개인정보 90건)을, 피고인 8은 2011년 12월경부터 2012년 8월경 및 2013년 6월경부터 2014년 8월경까지 별지 범죄일람표(3-1) 순번 1~335800, 715493~1018388, 별지 범죄일람표(3-2) 순번 608515~1513270 기재와 같이 피고인 9 회사 고객의 개인정보 1,543,452건(온라인 가입 개인정보 330건)을 각 제공받았다.
 
2.  개인정보 취득 등으로 인한 개인정보 보호법 위반의 점에 관하여 
가.  원심의 판단
원심은 다음과 같은 이유로 이 부분 공소사실을 무죄로 판단한 제1심판결을 그대로 유지하였다.
(1) 피고인 1 등과 피고인 9 회사는 개인정보 보호법상 개인정보 수집 및 그 처리에 관한 동의를 받을 때 정보주체에게 알려야 하는 사항을 응모권에 모두 기재하였다.
(2) 피고인 9 회사가 개인정보를 ‘유상으로’ 제3자에게 제공한다는 사실까지 알려야 할 의무를 부담한다고 볼 수 없고, 그와 같은 사항은 응모자들의 동의 여부 결정에 영향을 미치는 핵심적인 사항으로 보이지도 않는다.
(3) 응모권에 기재된 약 1mm 크기의 글씨는 복권, 의약품 사용설명서 등 다양한 곳에서 통용되는 것으로 경품행사 응모자들도 읽을 수 있었던 것으로 보이고, 응모함 옆에 응모권 확대 사진을 부착한 점 등에 비추어 볼 때 피고인 9 회사가 의도적으로 글씨 크기를 작게 하여 그 내용을 읽을 수 없도록 방해하였다고 보기도 어려우며, 응모자들은 자신들의 개인정보가 보험회사에 마케팅 목적으로 제공된다는 사실을 충분히 인식할 수 있는 상태에서 그에 관한 동의를 하였다고 봄이 상당하다.
(4) 검사가 제출한 증거만으로는 피고인 9 회사가 경품을 지급할 의사가 없음에도 응모자들을 기망하여 개인정보 수집 등에 관한 동의를 받은 사실을 인정하기에 부족하고, 그 밖의 검사 주장도 모두 받아들이기 어렵다.
 
나.  대법원의 판단
(1) 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 그러한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다(대법원 2014. 7. 24. 선고 2012다49933 판결대법원 2016. 8. 17. 선고 2014다235080 판결 등 참조).
개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 2011. 3. 29. 법률 제10465호로 제정되어 2011. 9. 30.부터 시행된 개인정보 보호법은 개인정보처리자가 업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 수집·보유·이용·제공 등의 처리를 하는 경우에 준수하여야 할 의무에 관하여 규정하고 있다. 즉 개인정보처리자는 개인정보를 수집하는 경우에 그 목적에 필요한 최소한의 개인정보를 수집하여야 하고, 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다(제16조 제1항제2항). 그리고 개인정보처리자가 정보주체의 개인정보를 제3자에게 제공하는 경우에는 개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목 등을 정보주체에게 알리고 동의를 받아야 하는데(제17조 제1항제2항), 이때에 개인정보처리자는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알려야 한다(제22조 제1항).
또한 개인정보 보호법은 ‘개인정보를 처리하거나 처리하였던 자가 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받는 행위’를 금지하고(제59조 제1호), 이를 위반하여 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자’를 3년 이하의 징역 또는 3천만 원 이하의 벌금에 처하도록 규정하고 있다(제72조 제2호).
이와 같은 개인정보자기결정권의 법적 성질, 개인정보 보호법의 입법 목적, 개인정보 보호법상 개인정보 보호 원칙 및 개인정보처리자가 개인정보를 처리함에 있어서 준수하여야 할 의무의 내용 등을 고려하여 볼 때, 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’이라 함은 개인정보를 취득하거나 또는 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 개인정보 취득 또는 그 처리에 동의할지 여부에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위를 뜻한다고 봄이 타당하다. 그리고 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지 여부를 판단함에 있어서는 개인정보처리자가 그에 관한 동의를 받는 행위 그 자체만을 분리하여 개별적으로 판단하여서는 안 되고, 개인정보처리자가 개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴보아 거기에서 드러난 개인정보 수집 등의 동기와 목적, 수집 목적과 수집 대상인 개인정보의 관련성, 수집 등을 위하여 사용한 구체적인 방법, 개인정보 보호법 등 관련 법령을 준수하였는지 여부 및 취득한 개인정보의 내용과 규모, 특히 민감정보·고유식별정보 등의 포함 여부 등을 종합적으로 고려하여 사회통념에 따라 판단하여야 한다.
(2) 원심판결 이유와 원심이 적법하게 채택한 증거에 의하면 다음과 같은 사실을 알 수 있다.
① 피고인 9 회사는 2000년경부터 피고인 9 회사 패밀리카드 회원을 모집하면서 회원정보를 수집하였고, 2003년경부터 개인정보의 제3자 제공에 동의한 고객들에 대한 정보를 제휴카드사업자에게 제공하기 시작하였으며, 2007년경부터는 보험회사에 고객들의 개인정보를 판매하였다.
② 피고인 9 회사는 피고인 9 회사 패밀리카드 회원 가입신청서의 양식이 변경되는 등으로 인하여 보험회사들에 판매할 개인정보가 부족해지자, 신유통서비스본부 산하 보험서비스팀 주관으로 경품행사를 통해 개인정보를 수집하여 이를 판매하는 사업을 기획하였고, 이에 따라 2009년경부터 고객들에 대한 경품행사를 시작하였다.
③ 피고인 9 회사는 2011. 10. 27.경 공소외 1 회사, 2010. 6. 17.경 공소외 2 회사와 피고인 9 회사 고객들의 개인정보를 1건당 1,980원에 판매하기로 하는 업무제휴약정을 체결하였다. 이어서 피고인 9 회사는 2011년 12월경부터 2014년 6월경까지 11회에 걸쳐 경품행사(이하 ‘이 사건 경품행사’라고 한다)를 실시하였는데, 이를 통하여 경품행사에 응모한 고객들의 개인정보(성명, 생년월일 또는 주민등록번호, 휴대전화번호, 자녀 수, 부모님과 동거 여부 등) 합계 약 712만 건을 수집하고 그 처리(제3자 제공)에 관한 동의를 받았으며, 그중 약 600만 건을 공소외 2 회사와 공소외 1 회사 등에 판매함으로써 약 119억 원을 지급받았다.
④ 이 사건 경품행사는 벤츠 승용차, 다이아몬드 반지 등을 경품으로 내걸었고, 피고인 9 회사 매장을 방문하거나 물건을 구매하지 않는 사람도 응모할 수 있도록 되어 있다. 피고인 9 회사는 전단지, 인터넷 홈페이지, 물품구매 영수증 등을 통해 경품행사를 광고하였는데(이하 ‘이 사건 광고’라고 한다), 위와 같은 광고와 응모권(15cm×7cm크기) 앞면에는 경품 사진과 함께 커다란 글씨로 ‘창립 14주년 고객감사 대축제’, ‘그룹 탄생 5주년 기념’, ‘브라질 월드컵 승리 기원’, ‘피고인 9 회사가 올해도 10대를 쏩니다’ 등의 문구가 기재되어 있고, 응모권 뒷면과 인터넷 응모 화면에는 [개인정보 수집, 취급위탁, 이용동의]라는 제목하에 ‘수집/이용목적’은 ‘경품 추첨 및 발송, 보험마케팅을 위한 정보 제공, 피고인 9 회사 제휴상품 소개 및 제휴사에 대한 정보 제공 동의 업무’ 등이, [개인정보 제3자 제공]이라는 제목하에 ‘개인정보를 제공받는 자’는 ‘공소외 1 회사, 공소외 2 회사 등’이, ‘이용목적’은 “보험상품 등의 안내를 위한 전화 등 마케팅자료로 활용됩니다.”라는 내용 등이 약 1mm 크기의 글씨로 기재되어 있으며, 말미에는 “기재/동의 사항 일부 미기재, 미동의, 서명 누락 시 경품추첨에서 제외됩니다.”라는 사항이 붉은 글씨로 인쇄되어 있다.
(3) 위와 같은 사실관계를 앞서 본 법리에 비추어 살펴본다.
① 이 사건 경품행사의 기획 및 실시 경위 등을 살펴보면, 이 사건 경품행사의 목적은 피고인 9 회사 고객들의 매장 방문을 유도하여 매출을 증대하는 데 있다기보다 처음부터 고객들의 개인정보를 수집하여 이를 보험회사에 대가를 받고 판매하는 데 있었음을 알 수 있다. 그럼에도 이 사건 경품행사를 광고하기 위한 수단인 전단지, 인터넷 홈페이지 등에는 ‘창립 14주년 고객감사 대축제’, ‘그룹 탄생 5주년 기념’, ‘브라질 월드컵 승리 기원’, ‘피고인 9 회사가 올해도 10대를 쏩니다’ 등의 문구를 경품사진과 함께 큰 글씨로 전면에 배치하여 경품행사를 광고하고 있을 뿐이고, 피고인 9 회사가 소비자의 개인정보를 수집하고 이를 제3자에게 제공한다는 점에 관한 기재가 누락되어 있다. 따라서 일반적인 소비자가 이 사건 광고를 접하게 되는 경우 소비자들은 오로지 고객에 대한 사은행사의 일환으로 경품행사를 실시하는 것으로 받아들일 가능성이 크다. 그런데 소비자의 입장에서는 이 사건 경품행사가 아무런 대가 없이 이루어지는 단순 사은행사인지 아니면 자신의 개인정보를 수집하여 보험회사 등 제3자에게 제공하는 대가로 경품을 제공하는 행사인지 여부가 이 사건 경품행사에 응모할지 여부에 영향을 미치는 중대한 요소라고 보인다. 따라서 피고인 9 회사가 이 사건 경품행사를 진행하면서 위와 같은 목적을 은폐하고 광고한 것은 ‘표시·광고의 공정화에 관한 법률’ 제3조 제1항 제2호에서 말하는 ‘소비자를 속이거나 소비자로 하여금 잘못 알게 할 우려가 있는 광고 행위’에 해당한다.
② 이 사건 경품행사에 응모한 고객들은 응모권 뒷면과 인터넷 응모화면에 기재되어 있는 ‘개인정보 수집 및 제3자 제공 동의’ 등 사항이 경품행사 진행을 위하여 필요한 것으로 받아들일 가능성이 크다. 그런데 응모권에 따라서는 경품추첨 사실을 알리는 데 필요한 개인정보와 관련 없는 ‘응모자의 성별, 자녀 수, 동거 여부’ 등 사생활의 비밀에 관한 정보와 심지어는 주민등록번호와 같은 고유식별정보까지 수집하면서 이에 관한 동의를 하지 않을 때에는 응모가 되지 아니하거나 경품 추첨에서 제외된다고 고지하고 있다. 이는 개인정보처리자가 정당한 목적으로 개인정보를 수집하는 경우라 하더라도 그 목적에 필요한 최소한의 개인정보 수집에 그쳐야 하고 이에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 안 된다는 개인정보 보호 원칙(개인정보 보호법 제3조 제1항)과 개인정보 보호법 규정에 위반되는 것이다.
③ 더욱이 이 사건 경품행사를 위하여 사용된 응모권에 기재된 동의 관련 사항은 약 1mm 크기의 글씨로 기재되어 있어 소비자의 입장에서 보아 그 내용을 읽기가 쉽지 않다. 여기에 더하여 이 사건 광고를 통하여 단순 사은행사로 오인하고 경품행사에 응모하게 된 고객들의 입장에서는 짧은 시간 동안 응모권을 작성하거나 응모화면에 입력을 하면서 그 내용을 정확히 파악하여 잘못된 인식을 바로잡기가 어려울 것으로 보인다. 이러한 조치는 개인정보처리자가 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 하여야 한다는 개인정보 보호법상의 의무를 위반한 것이다.
이상에서 살펴본 것처럼, 피고인들이 이 사건 광고 및 경품행사의 주된 목적을 숨긴 채 사은행사를 하는 것처럼 소비자들을 오인하게 한 다음 경품행사와는 무관한 고객들의 개인정보까지 수집하여 이를 제3자에게 제공한 점, 피고인들이 이와 같은 행위를 하면서 개인정보 보호법상의 개인정보 보호 원칙 및 제반 의무를 위반한 점, 피고인들이 수집한 개인정보에는 사생활의 비밀에 관한 정보나 심지어는 고유식별정보 등도 포함되어 있는 점 및 피고인들이 수집한 개인정보의 규모 및 이를 제3자에게 판매함으로써 얻은 이익 등을 종합적으로 고려하여 보면, 피고인들은 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자’에 해당한다고 보는 것이 옳다.
(4) 그럼에도 원심은 그 판시와 같은 이유만으로 이 부분 공소사실을 무죄로 판단하였으니, 원심판결에는 개인정보 보호법 제59조 제1호제72조 제2호에 정한 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받는 행위’에 관한 법리를 오해하고 필요한 심리를 다하지 아니하여 판결에 영향을 미친 잘못이 있고, 이 점을 지적하는 검사의 상고이유 주장은 이유 있다.
 
3.  개인정보 제공으로 인한 개인정보 보호법 위반, 정보통신망법 위반(개인정보 누설 등)의 점에 관하여 
가.  원심의 판단
피고인들은, 피고인 9 회사가 이 부분 공소사실 기재와 같이 개인정보 데이터베이스를 공소외 1 회사와 공소외 2 회사에 제공한 것은, 정보주체의 동의가 필요한 개인정보의 제3자 제공에 해당하는 것이 아니라, 개인정보 데이터베이스 중 이른바 퍼미션 콜에 필요한 대상자를 미리 선별하는 피고인 9 회사의 업무를 위 보험회사들에 처리위탁한 것에 불과하므로 정보주체의 동의가 필요 없다고 주장하였다. 원심은 다음과 같은 이유로 피고인들의 위와 같은 주장을 받아들여 이 부분 공소사실을 무죄로 판단한 제1심판결을 그대로 유지하였다.
이른바 퍼미션 콜 업무나 그에 부수하여 퍼미션 콜 대상자를 선별하는 업무인 사전필터링은 피고인 9 회사의 업무이고, 사전필터링에 따른 경제적 이익은 퍼미션 콜에 드는 시간과 비용을 절약할 수 있는 피고인 9 회사에 귀속되었을 뿐 사전필터링을 통해 공소외 1 회사와 공소외 2 회사가 유의미한 경제적 이익을 얻었다고 볼 수 없다. 그 밖에 위 보험회사들이 단순히 사전필터링을 해주기 위한 용도로 이전받은 개인정보 데이터베이스를 그 목적 범위 내에서 기계적으로 필터링한 후 위 데이터베이스를 자신들의 시스템에서 삭제하고 다른 용도로 사용하지 않은 점 등에 비추어 볼 때, 사전필터링에 있어 공소외 1 회사와 공소외 2 회사는 피고인 9 회사를 위하여 피고인 9 회사의 퍼미션 콜 업무 일부를 수행한 수탁자로서의 지위를 가질 뿐, 개인정보 보호법 제17조와 정보통신망법 제24조의2에 정한 ‘제3자’로서의 지위를 가진다고 볼 수 없다.
 
나.  대법원의 판단
(1) 원심이 유지한 제1심판결 이유와 원심이 적법하게 채택한 증거에 의하면 다음과 같은 사실을 알 수 있다.
① 피고인 9 회사는 경품행사를 통해 수집한 개인정보와 피고인 9 회사 패밀리카드 회원에 가입하면서 개인정보 제3자 제공에 동의한 고객들의 개인정보를 보험회사에 제공해 오다가, 패밀리카드 회원 중 아직 개인정보 제3자 제공에 동의하지 않은 고객에 대하여도 피고인 9 회사와 위탁계약이 체결된 공소외 3 주식회사(이하 ‘공소외 3 회사’라고 한다)의 상담원들이 전화를 걸어 제3자 제공 동의를 얻은 후(이른바 퍼미션 콜) 이를 공소외 1 회사와 공소외 2 회사 등 보험회사에 제공하기 시작하였다(이른바 퍼미션 DB). 이후 위 보험회사들은 피고인 9 회사로부터 제공받은 개인정보 데이터베이스를 자신들이 보유한 개인정보 데이터베이스와 비교·분석하여, 그중 ㉮ 위 각 보험회사에 보험 안내 전화를 받지 않겠다는 의사를 밝힌 사람, ㉯ 위 각 보험회사와 이미 보험계약을 체결하였거나 3~6개월 내에 보험 텔레마케팅 통화를 한 적이 있는 사람, ㉰ 위 각 보험회사의 블랙리스트에 등록된 사람(경우에 따라 보험계약이 해지·실효된 사람, 보험료 미납자, 특정 질병 등으로 인해 보험가입이 부적절한 사람 등이 포함됨) 등을 걸러내는 작업(이른바 필터링 작업)을 수행하고, 남은 고객들에 대해서만 피고인 9 회사에 수수료를 지급하고 그들을 대상으로 보험 텔레마케팅 영업을 하였다.
② 피고인 9 회사는 퍼미션 콜 업무를 공소외 3 회사에 위탁하고, 개인정보 제3자 제공에 관한 동의를 받은 고객 1인당 1,700원을 수수료로 지급하기로 하였으나, 보험회사의 필터링을 통해 걸러진 개인정보에 대해서는 수수료를 지급하지 않았다.
③ 피고인 9 회사는 공소외 1 회사와 2009. 2. 27.자 업무제휴계약, 2009. 10. 1.자 업무제휴 부속계약, 2010. 6. 11.자 업무제휴 부속계약을 체결하였고, 공소외 2 회사와 2011. 6. 20.자 업무제휴계약 부속약정을 체결하였다. 위 각 계약 또는 약정에는 퍼미션 콜 업무가 보험회사의 텔레마케팅을 위하여 필요한 ‘보험 텔레마케팅 지원 업무’로 규정되어 있었다. 그 구체적인 내용은, 공소외 1 회사와 공소외 2 회사가 피고인 9 회사 고객들을 상대로 보험 텔레마케팅을 할 수 있도록, 피고인 9 회사가 자신의 고객들에게 위 보험회사들로부터 보험 관련 상담을 받을 의사가 있는지 여부와 개인정보 제3자 제공에 동의하는지 여부를 확인하여 그에 동의한 고객의 개인정보를 건당 2,800원에 위 보험회사들에 제공하는 것이다. 다만 이미 위 보험회사들과 보험계약이 체결되어 있거나 3~6개월 내에 보험 텔레마케팅 통화를 한 적이 있는 고객 등은 수수료 산정에서 제외하였다.
④ 위와 같은 수수료 산정 방식으로 인하여 피고인 9 회사는 보험회사에 제공한 퍼미션 DB 중 보험회사가 필터링을 통해 걸러내는 개인정보 비율을 줄이기 위하여 보험회사에 필터링 조건을 완화해 달라고 요구하는 등 노력을 하였으나, 필터링을 거치고 남은 유효 데이터베이스의 비율이 점차 줄어드는 등 수익성이 악화되었다. 이에 피고인 9 회사가 공소외 2 회사와 공소외 1 회사에 이른바 사전필터링을 제안하게 되었는데, 그 내용은 피고인 9 회사의 입장에서는 종전에 보험회사가 제3자 제공 동의를 받은 개인정보 데이터베이스를 건네받은 이후에 시행하던 필터링 절차를 고객들로부터 제3자 제공 동의를 받기 전에 시행하게 되면 불필요한 퍼미션 콜 절차를 줄일 수 있는 이점이 있고, 보험회사로서도 어차피 거쳐야 할 필터링 절차를 미리 시행하는 불편밖에 없으니 필터링을 사전에 시행하도록 해 달라는 것이었고, 공소외 1 회사와 공소외 2 회사가 위와 같은 요청을 받아들였다.
⑤ 이에 따라 피고인 4, 피고인 5, 피고인 6 등은 사전필터링을 위해 2011. 12.경부터 2014. 8.경까지 피고인 7, 피고인 8 등에게 이 부분 공소사실 기재와 같이 개인정보를 제공하였다. 공소외 1 회사와 공소외 2 회사는 피고인 9 회사의 웹하드를 통해 제공받은 개인정보 데이터베이스를 필터링하여(사전필터링) 다시 위 웹하드에 업로드하였고, 피고인 9 회사는 그 데이터베이스를 가지고 퍼미션 콜 작업을 수행한 후 동의를 받은 고객들의 개인정보를 다시 위 보험회사들에 제공하였다. 한편 공소외 1 회사와 공소외 2 회사는 사전필터링을 마친 개인정보 데이터베이스를 피고인 9 회사 웹하드에 업로드한 후 자신들의 시스템에서는 이를 모두 삭제하였다.
(2) 개인정보 보호법 제71조 제1호는 제17조 제1항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자를 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다고 규정하고 있다. 그리고 정보통신망법 제71조 제3호는 제24조의2 제1항을 위반하여 이용자의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자를 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다고 규정하고 있다. 한편 개인정보 보호법 제26조와 정보통신망법 제25조는 개인정보처리자와 정보통신서비스 제공자의 개인정보 처리업무 위탁에 관한 내용을 정하고 있다.
위 각 법률 조항의 문언 및 취지에 비추어 보면, 개인정보 보호법 제17조와 정보통신망법 제24조의2에서 말하는 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보 보호법 제26조와 정보통신망법 제25조에서 말하는 개인정보의 ‘처리위탁’은 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다. 개인정보 처리위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리·감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로, 개인정보 보호법 제17조와 정보통신망법 제24조의2에 정한 ‘제3자’에 해당하지 않는다.
한편 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리·감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다.
(3) 앞서 본 사실관계 및 기록에 나타난 다음과 같은 사정을 위와 같은 법리에 비추어 살펴보면, 공소외 1 회사와 공소외 2 회사는 단순한 수탁자로서가 아니라 자신들의 독자적인 이익과 업무 처리를 위하여 피고인 9 회사로부터 개인정보를 제공받은 ‘제3자’에 해당하고, 피고인 4, 피고인 5, 피고인 6이 피고인 7, 피고인 8에게 사전필터링을 위해 개인정보를 이전해준 행위는 개인정보 보호법 및 정보통신망법에서 말하는 개인정보 제3자 제공에 해당한다고 보는 것이 옳다.
① 이 부분 공소사실에 기재된 피고인 9 회사 패밀리카드 회원들의 성명·주민등록번호·연락처 등 개인정보는 실질적으로 보험회사들인 공소외 1 회사와 공소외 2 회사가 보험마케팅 영업을 하는 데 필요한 것이다.
② 공소외 1 회사와 공소외 2 회사가 한 필터링은 위 각 보험회사의 보험가입자나 블랙리스트에 올라 있는 사람 등을 걸러냄으로써, 즉 보험상품 판매에 적합한 대상자를 선정함으로써 보험 텔레마케팅의 효율을 높이기 위한 것이므로 위 보험회사들의 업무에 해당하고, 사전필터링의 경우에도 위와 같은 필터링 업무의 목적이나 성격 자체가 변한다고 보기 어렵다. 또한 앞서 본 퍼미션 콜의 구체적인 내용 등에 비추어 볼 때 퍼미션 콜 업무도 위 보험회사들의 보험 텔레마케팅 업무를 분담·지원하는 성격을 가지므로, 설령 사전필터링을 퍼미션 콜 업무의 부수업무로 보더라도 이를 온전히 피고인 9 회사의 업무라고 보기는 어렵다. 그렇다면 사전필터링 업무는 피고인 9 회사의 업무임과 동시에 위 보험회사들의 업무로서의 성격을 가지고, 위 보험회사들은 위와 같은 업무 처리에 관하여 독자적인 이익을 가진다고 볼 수 있다.
③ 공소외 1 회사와 공소외 2 회사 담당 직원들은 일단 사전필터링에 필요한 개인정보 데이터베이스를 각자의 업무용 컴퓨터에 다운로드 받은 후에는 이를 자유롭게 복사, 편집, 이용, 전송할 수 있었고, 피고인 9 회사는 그에 관하여 아무런 관리·감독을 하지 않았던 것으로 보이며, 피고인 9 회사가 위 보험회사들에 명확한 필터링 기준을 정해준 것으로 보이지도 않는다.
(4) 그럼에도 원심은 그 판시와 같은 이유만으로 이 부분 공소사실을 무죄로 판단하였으니, 원심판결에는 개인정보 보호법과 정보통신망법에 정한 개인정보의 ‘제3자 제공’과 그 ‘처리위탁’의 구별에 관한 법리 등을 오해하고 필요한 심리를 다하지 아니하여 판결에 영향을 미친 잘못이 있다. 이 점을 지적하는 검사의 상고이유 주장은 이유 있다.
 
4.  이 사건 공소사실 중 전자적 형태의 문서에 의해 범죄일람표가 제출된 부분에 관한 직권 판단 
가.  검사가 공소사실의 일부인 범죄일람표를 컴퓨터 프로그램을 통하여 열어보거나 출력할 수 있는 전자적 형태의 문서(이하 ‘전자문서’라고 한다)로 작성한 다음, 종이문서로 출력하지 않고 전자문서가 저장된 저장매체 자체를 서면인 공소장에 첨부하여 제출한 경우에는, 서면인 공소장에 기재된 부분에 한하여 적법하게 공소가 제기된 것으로 보아야 한다. 따라서 검사가 전자문서나 저장매체를 이용하여 공소를 제기한 경우, 법원은 저장매체에 저장된 전자문서 부분을 제외하고 서면인 공소장에 기재된 부분만으로 공소사실을 판단하여야 한다. 만일 그 기재 내용만으로는 공소사실이 특정되지 않은 부분이 있다면 검사에게 특정을 요구하여야 하고, 그런데도 검사가 특정하지 않는다면 그 부분에 대해서는 공소를 기각할 수밖에 없다(대법원 2016. 12. 15. 선고 2015도3682 판결 등 참조).
 
나.  검사는 공소장에 별지로 범죄일람표(1-1)~(1-11), (2-1), (2-2), (3-1), (3-2)와 CD를 첨부하였다. 그런데 그 CD에는 위 범죄일람표 15개가 각각 엑셀파일 형태로 저장되어 있고, 각 엑셀파일에는 공소장에 기재된 개수의 개인정보(피해자의 성명, 생년월일, 연락처 등)가 빠짐없이 기재되어 있는 반면, 종이문서로는 위 각 범죄일람표 중 첫 두 장과 마지막 두 장씩만 첨부되어 있다.
 
다.  먼저, 공소장에 첨부된 CD나 그것에 저장된 엑셀파일은 공소장의 일부인 ‘서면’이라고 할 수 없으므로, 위 엑셀파일에 기재된 부분까지 적법하게 공소가 제기된 것으로 볼 수 없다.
다음으로, 위 각 개인정보 보호법 위반죄와 정보통신망법 위반(개인정보 누설 등)죄는 원칙적으로 정보주체 또는 정보통신서비스 이용자별로 각각 별개의 죄를 구성한다. 그러므로 이 사건 공소사실 중 공소장에 종이문서로 첨부된 각 범죄일람표에 정보주체와 개인정보 내역 등이 기재되어 있는 부분은 공소사실이 구체적으로 특정되었다고 할 것이나, 그 나머지 부분, 즉 공소장에 범행 시기와 종기, 취득하거나 제공한 개인정보의 종류와 건수 등만 기재되어 있고 범죄일람표가 CD로만 제출되어 있는 부분은 정보주체가 누구인지 또는 피고인들이 취득하거나 제공하고 제공받은 개인정보의 내용이 무엇인지 등을 전혀 알 수 없어 공소사실이 특정되었다고 할 수 없다.
그렇다면 원심으로서는 검사에게 이 사건 공소사실 중 위와 같이 특정되지 않은 부분을 특정할 것을 요구하고, 만일 검사가 이를 특정하지 않으면 그 부분에 대한 공소를 기각하였어야 한다. 그런데도 원심은 이러한 조치를 취하지 않은 채 이 부분에 대해서도 실체판단을 하였다. 이러한 원심의 조치에는 공소제기 방식과 공소사실 특정에 관한 법리를 오해하여 판결에 영향을 미친 잘못이 있다.
 
5.  결론
원심판결 중 공소사실이 특정되지 않은 부분에 관해서는 직권파기 사유가 있고, 그 나머지 부분에 관해서는 개인정보 보호법 또는 정보통신망법에 관한 법리를 오해하는 등의 잘못이 있다.
그러므로 원심판결을 파기하고 사건을 다시 심리·판단하도록 원심법원에 환송하기로 하되, 원심판결에 잘못된 기재가 있음이 분명하므로 형사소송규칙 제25조에 따라 이를 경정하기로 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.

대법관 박병대(재판장) 박보영 권순일(주심) 김재형