2024도14998 고객정보 이용해 계약 바꾼 보험설계사 개인정보보호법위반 등

1) 쟁점

실체법적 쟁점

• 보험설계사가 구 개인정보 보호법 제18조 제1항의 수범자인 '개인정보처리자'에 해당하는지 여부
• 보험설계사가 보험계약 체결 중개 과정에서 수집한 고객 개인정보를 수집 목적 범위를 초과하여 이용한 행위가 구 개인정보 보호법 제71조 제2호 위반에 해당하는지 여부
• 사기, 사전자기록등위작, 위작사전자기록등행사 각 공소사실 유무죄 여부

소송법적 쟁점

• 원심이 개인정보처리자 해당 여부에 관한 필요한 심리를 다하였는지 여부 (심리미진)
• 개인정보 보호법 위반 부분 파기 시 경합범으로 묶인 나머지 부분의 파기 범위

---

2) 사실관계

• 피고인은 2015. 10. 22.경부터 B 주식회사(이하 'B')에서 보험설계사로 위촉되어 활동한 사람
• C은 2015년, 2016년 무렵 피고인을 통해 B의 보험상품에 가입한 사람
• 피고인은 보험 가입 및 고객 관리를 위해 C의 생년월일, 주소, 연락처 등 개인정보를 수집
• 피고인은 2017. 1. 4.경 D와 공모하여, D로 하여금 B 상담원에게 전화하여 마치 C인 것처럼 행세하게 하면서 위 수집된 C의 개인정보를 이용하여 C이 B에 가입한 보험의 특약 해지, 주 계약의 보장내용 변경 등을 신청하게 함
• 검사는 피고인이 '개인정보처리자'로서 C의 개인정보를 수집 목적의 범위를 초과하여 이용하였다는 구 개인정보 보호법 위반 공소사실을 기소
• 제1심 및 원심 모두 구 개인정보 보호법 제71조 제2호, 제18조 제1항을 적용하여 유죄 인정
• 사기, 사전자기록등위작, 위작사전자기록등행사 부분은 원심이 유죄 유지 → 상고이유 이유 없음으로 배척

---

3) 적용법령 및 판례요지

적용법령

조문	요지
구 개인정보 보호법 제2조 제5호	'개인정보처리자'란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등
구 개인정보 보호법 제18조 제1항	개인정보처리자는 수집 목적 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 됨
구 개인정보 보호법 제71조 제2호	제18조 제1항을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 처벌
구 개인정보 보호법 제74조	양벌규정 — 개인정보처리자가 아니어도 양벌규정상 행위자에 해당하면 벌칙규정 적용 가능
보험업법 제2조 제9호, 제83조 제1항 제1호	보험설계사는 보험회사 등에 소속되어 보험계약의 체결을 중개하는 모집종사자
형법 제37조 전단	경합범 — 판결이 확정되지 않은 수개의 죄

판례요지

• 개인정보처리에 해당하는 행위를 실제로 하였다는 사정만으로 당연히 개인정보처리자에 해당하는 것은 아님
• 누가 개인정보처리자인지는 개인정보처리의 목적, 내용, 방법, 절차 등 개인정보처리에 관한 사항을 종국적으로 결정하는 권한이 누구에게 있는지에 따라 판단하여야 함
• 구체적 판단 요소:
  • 개인정보처리의 목적이 누구의 고유한 업무 및 이익과 밀접한 관련성을 맺고 있는지
  • 그 목적 달성을 위해 개인정보를 처리하는 과정에서 실질적인 지휘 또는 감독을 하는 자가 누구인지
  • 개인정보파일을 누가 어떠한 목적으로 어떻게 생성·보유·운용하고 있는지
  • 개인정보처리자의 의무와 책임을 누구에게 귀속시키는 것이 정보주체의 권익 보호와 개인정보의 적합한 처리 보장의 요청에 잘 부합하는지
• 보험회사에 소속된 보험설계사가 보험계약 체결을 중개하는 과정에서 보험계약자 등의 개인정보를 수집·보유하는 등 개인정보처리 행위를 하더라도, 특별한 사정이 없는 한 그 개인정보처리의 목적은 보험회사의 고유한 업무 및 이익과 밀접한 관련성을 맺게 되어 개인정보처리에 관한 사항의 종국적 결정 권한이 보험회사에 있다고 볼 여지가 높음
• 이러한 경우 정보주체의 권익 보호와 개인정보의 적합한 처리를 위하여 보험회사로 하여금 개인정보 보호법상 개인정보처리자의 의무와 책임을 지도록 할 필요가 있음
• 피고인이 개인정보처리자가 아니라고 판단되더라도 법 제74조 양벌규정에서 정한 행위자에 해당한다면 위 벌칙규정의 적용대상이 될 수 있음(대법원 2021. 10. 28. 선고 2020도1942 판결 참조)

---

4) 적용 및 결론

쟁점 1 — 보험설계사의 개인정보처리자 해당 여부

법리 개인정보처리자 해당 여부는 개인정보처리에 해당하는 행위를 실제로 하였는지가 아니라, 개인정보처리에 관한 사항을 종국적으로 결정하는 권한이 누구에게 있는지를 개인정보처리의 목적·고유한 업무 및 이익과의 관련성·실질적 지휘감독 주체·개인정보파일 생성·보유·운용 주체 등 여러 사정을 종합하여 판단하여야 함.

포섭 원심은 피고인이 B과 체결한 보험설계사 위촉계약·보험모집 위탁계약의 내용, 피고인이 보험계약 체결을 중개·모집하면서 수집하거나 알게 된 고객 개인정보의 관리 주체나 방법, 개인정보처리의 목적과 밀접한 관련성을 맺고 있는 고유한 업무 및 이익의 주체, 개인정보처리 과정에서 실질적인 지휘 또는 감독을 하는 자가 누구인지 등 여러 사정과, 피고인이 운용한다고 기재된 개인정보파일의 존부 및 그 생성·보유·운용에 관한 구체적 사정을 충분히 살펴보지 않은 채, 피고인이 C의 개인정보를 수집한 적이 있다는 사정만으로 피고인을 개인정보처리자라고 단정함. 보험설계사는 보험회사에 소속되어 보험계약의 체결을 중개하는 모집종사자로서, 특별한 사정이 없는 한 그 개인정보처리의 목적은 보험회사의 고유한 업무 및 이익과 밀접한 관련성을 맺고 개인정보처리에 관한 사항의 종국적 결정 권한이 보험회사에 있다고 볼 여지가 높은데, 원심은 이 점을 심리하지 않음.

결론 원심 판단은 개인정보처리자에 관한 법리를 오해하거나 필요한 심리를 다하지 않음으로써 판결에 영향을 미친 잘못이 있음 → 이 부분 상고이유 인용.

쟁점 2 — 사기, 사전자기록등위작, 위작사전자기록등행사 부분

법리 자유심증주의 원칙상 논리와 경험의 법칙을 위반하지 않는 한 원심의 사실인정 존중.

포섭 원심판결 이유를 관련 법리와 적법하게 채택된 증거에 비추어 살펴보면 논리와 경험의 법칙을 위반하여 자유심증주의의 한계를 벗어난 잘못 없음.

결론 이 부분 상고이유 이유 없음. 유죄 유지.

파기 범위

개인정보 보호법 위반 부분이 파기되어야 하고, 위 파기 부분과 원심이 유죄로 인정한 사기 등 나머지 부분이 형법 제37조 전단의 경합범 관계에 있어 하나의 형이 선고된 것이므로 원심판결 전부 파기 → 서울중앙지방법원에 환송.

---

참조: 2024도14998