불법으로 유통된 타인의 개인정보를 넘겨받아 사이트 운영에 사용한 사람도 개인정보보호법상 ‘개인정보처리자’에 해당한다는 대법원 판단이 나왔다.

31일 법조계에 따르면 대법원 1부(주심 서경환 대법관)는 도박공간개설, 개인정보보호법 위반 혐의로 기소된 A씨의 상고를 기각하고 징역 1년을 선고한 원심판결을 확정했다.

A씨는 2024년 공범과 함께 불법 인터넷 도박사이트를 개설하면서 성명불상자로부터 다른 도박사이트 회원 796명의 이름, 계좌번호, 휴대전화번호 등 개인정보를 넘겨받은 혐의로 재판에 넘겨졌다.

A씨는 새로 만드는 도박사이트의 입출금 기능과 게임 기능이 제대로 작동하는지 확인하기 위해 이들의 개인정보를 사이트에 임의로 등록했다. 피해자들은 동의 없이 새 도박사이트 회원으로 가입된 상태가 됐다.

쟁점은 불법으로 유통된 개인정보를 넘겨받아 업무에 사용한 사람도 개인정보보호법상 개인정보처리자로 볼 수 있는지였다.

개인정보보호법상 개인정보처리자는 업무 목적으로 개인정보파일을 운용하며 개인정보를 처리하는 자를 말한다. 법은 개인정보를 적법하게 취득했는지에 따라 개인정보처리자 해당성을 달리 정하고 있지는 않다.

1심과 2심은 A씨의 혐의를 모두 유죄로 인정하고 징역 1년을 선고했다. A씨 측은 재판 과정에서 사이트가 완성되지 않아 도박공간개설죄가 성립하지 않는다고 주장했지만 받아들여지지 않았다.

대법원도 원심 판단에 법리 오해가 없다고 판단했다.

대법원은 “업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 자는 특별한 사정이 없는 한 개인정보처리자에 해당한다”며 “해킹 등 부정한 방법으로 개인정보를 취득하거나 정보주체의 동의 또는 법률상 근거 없이 불법 유통된 개인정보를 취득한 뒤 이를 기초로 업무상 개인정보파일을 운용해 처리한 경우라고 하더라도 달리 볼 수 없다”고 판시했다.

또 “불법 취득자를 개인정보처리자에서 제외하면 개인정보처리자에게 부과되는 각종 관리의무와 손해배상책임을 회피하는 결과가 발생할 수 있다”고 밝혔다.

이어 “불법 유통된 개인정보일수록 정보주체의 권리 침해 위험이 크다”며 “취득 경위가 불법이라는 이유만으로 개인정보처리자 해당성을 부정하면 피해자 보호에 공백이 생길 수 있다”고 판단했다.

도박공간개설죄에 대해서도 대법원은 “이용자들이 사이트에 접속해 바카라와 슬롯 등 게임을 할 수 있었고 도박자금 입·출금 기능도 작동했다”며 원심 판단을 유지했다.