실수로 지원자의 개인정보가 포함된 이력서를 유출해 기소된 회사와 인사팀 직원이 무죄를 선고받았다. 사진은 기사내용과 무관. /임영무 기자

法 "고의 유출만 처벌…업체도 '개인정보처리자' 아냐"

[더팩트ㅣ송주원 기자] 인사팀 직원 실수로 지원자의 개인정보가 담긴 이력서가 유출됐다면 직원과 회사를 처벌할 수 있을까. 법원은 고의성 없는 개인정보 유출은 범죄가 아니고, 업체를 개인정보보호법상 '개인정보 처리자'로 볼 수 없다며 무죄를 선고했다.

28일 법조계에 따르면 서울중앙지법 형사항소1-1부(김재영·송혜영·조중래 부장판사)는 개인정보보호법 위반 혐의로 기소된 리조트 운영업체 A 회사와 인사 담당 직원 B 씨에게 무죄를 선고한 1심 판결을 유지했다.

B 씨 등은 2019년 1월 지원자 주민등록번호가 포함된 이력서와 자기소개서를 암호 등 안전 조치 없이 보관하던 중 구인 사이트에 등록해 개인정보를 유출한 혐의를 받았다. B 씨는 이력서에 개인정보가 없는 것으로 오인해 사이트에 올린 것으로 조사됐다. A 회사 역시 개인정보 처리자로서 같은 혐의로 함께 재판에 넘겨졌다.

1심은 직원과 업체 모두에게 무죄를 선고했다. 개인정보보호법상 과실로 정보 유출 행위까지 형사처벌할 수 없다는 판단이다. 1심 재판부는 "개인정보보호법에서 금지하는 정보 유출은 고의성이 전제돼 있다"며 "고의적 유출 행위 없이 과실로 유출된 것까지 범죄 구성요건에 포함된다고 볼 수 없다"라고 설명했다.

A 회사를 개인정보 처리자로 볼 수 없다고도 봤다. 1심 재판부는 "개인정보 처리자는 업무상 목적으로 개인정보를 처리하는 공공기관이나 법인, 단체·개인으로, 여기서 개인정보 파일이란 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열된 정보 집합물"이라며 "검사가 제출한 증거만으로는 이 사건 회사가 이력서 등을 체계적으로 배열해 개인정보를 처리했다고 보기 어렵다"라고 판단했다.

A 회사를 개인정보 처리자로 볼 수 있는지는 검찰 항소로 열린 2심 재판에서도 쟁점이 됐지만 2심 판단 역시 같았다. 2심 재판부는 "피고인들은 근로기준법상 노동자 개인정보를 3년간 의무적으로 보존해야 해서 이력서·자기소개서를 컴퓨터 내 별도 폴더에 모아 저장한 사실이 인정된다"면서도 "단순히 개인정보가 기재된 문서를 집합해 놓은 것에 불과해 일정한 규칙에 따라 체계적으로 배열한 정보 집합물로 볼 수 없어 개인정보보호법상 개인정보 처리자로 인정할 수 없다"라고 했다.

개인정보보호법 사건에서 '피고인이 개인정보 처리자인지'는 늘 화두다. 2017년 프로그램 게시판에 항의글을 쓴 게시자의 주소·연락처를 파악한 혐의로 기소된 방송작가는 1심에서 유죄를 선고받았으나 2심에서 혐의를 벗었다. 2심은 "개인정보에 접근할 권한이 있다는 사정만으로 개인정보 처리자라고 보기 어렵다"며 1심을 뒤집었고 대법원은 이 판결을 확정했다.

ilraoh@tf.co.kr