내부 임직원 등 개인정보 취급자는 개인정보보호법상 ‘개인정보처리자로부터 개인정보를 제공받은 자’에 해당하지 않는다는 대법원 판단이 나왔다. 목적 외 이용 여부와 별개로 형벌 규정은 엄격하게 해석해야 한다는 원칙을 재확인한 판결이다.

16일 법조계에 따르면 대법원 1부(주심 노태악 대법관)는 개인정보보호법 위반 및 금융실명거래 및 비밀보장에 관한 법률 위반 혐의로 기소된 인천 지역 새마을금고 이사장 A 씨와 차장 B 씨, 그리고 소송대리인 C 변호사에게 벌금형을 선고한 원심을 파기하고 사건을 인천지방법원으로 돌려보냈다.

A 씨와 B 씨는 2019년 징계 해고된 근로자 7명의 동의 없이 계좌의 예금 잔액과 지급 가능 금액 등이 담긴 ‘회원거래 총괄내역증명서’와 ‘고객별 지급 가능 금액 조회’ 자료를 C 변호사에게 제공한 혐의로 재판에 넘겨졌다.

해당 자료는 해고 근로자들이 제기한 임금 지급 가처분 신청 사건에 대응하기 위한 소명자료로 법원에 제출됐다.

1·2심은 이들의 행위를 구 개인정보보호법(2020년 2월 4일 개정 전) 제19조 위반으로 보고 A 씨에게 벌금 700만 원, B·C 씨에게 각각 벌금 300만 원을 선고했다.

구 개인정보보호법 제19조 “개인정보처리자로부터 개인정보를 제공받은 자는 정보주체의 별도 동의가 있거나 다른 법률에 특별한 규정이 있는 경우를 제외하고는 제공받은 목적 외의 용도로 이용하거나 제3자에게 제공하여서는 아니 된다”고 규정한다.

원심은 “금융거래계약에 따라 수집·관리한 주민등록번호 및 금융거래 정보를 부당해고 관련 가처분 사건의 증거자료로 활용한 것은 수집 목적 범위를 벗어난 것”이라며 “정보주체의 별도 동의나 법원 제출명령 등 정당화 사유가 없다”고 판단했다.

이어 “정보 오용 가능성과 무관하게 정보주체의 자기결정권은 침해된다”고 지적했다.

그러나 대법원의 판단은 달랐다. 대법원은 구 개인정보보호법 제19조의 적용 대상을 제17조·제18조에 따라 개인정보의 지배·관리권을 이전받은 ‘제3자’로 한정해 해석해야 한다고 봤다. 즉 ‘개인정보처리자로부터 개인정보를 제공받은 자’는 외부 제3자를 의미한다는 취지다.

이에 따라 대법원은 A 씨와 B 씨에 대해 “개인정보처리자인 금고의 지휘·감독 아래에서 개인정보를 처리한 ‘개인정보취급자’에 해당된다”며 “금고로부터 별도로 개인정보를 제공받은 제3자로 보기 어렵다”고 판단했다.

내부 임직원은 개인정보처리자의 범위 내에서 업무를 수행하는 자에 해당하므로 제19조의 처벌 대상이 될 수 없다는 것이다.

C 변호사에 대해서도 대법원은 “금고의 자료 제공 행위가 구 개인정보보호법상 요건을 충족한 적법한 제공이라고 보기 어렵다”며, 그 전제인 ‘개인정보처리자로부터 개인정보를 제공받은 자’에 해당한다고 단정하기 어렵다고 판단했다.

대법원은 앞선 판례에서도 같은 취지의 법리를 밝힌 바 있다. 2025년 대법원은 대학수학능력시험 감독관으로 위촉된 교사가 교육청으로부터 수험생 개인정보가 포함된 응시원서를 전달받아 사적으로 이용한 사건에서도 같은 법리를 적용했다.

당시 원심은 감독관이 개인정보를 ‘제공받은 자’에 해당한다고 보아 유죄를 인정했으나, 대법원은 감독관은 교육청의 지휘·감독 아래 개인정보를 처리하는 ‘개인정보취급자’에 불과하고, 지배·관리권을 이전받은 제3자로 볼 수 없다며 이를 파기했다(대법원 2020도14713).

박민규 법무법인 안팍 변호사는 “대법원은 ‘개인정보처리자로부터 개인정보를 제공받은 자’의 의미를 확장 해석해 처벌 범위를 넓힌 원심 판단에 법리 오해가 있다고 봤다”며 “형벌 규정은 엄격하게 해석해야 한다는 원칙을 재확인한 판결로 평가된다”고 설명했다.