서울중앙지방법원 2018.8.16.선고 2017노1296 판결

가. 검사는, ① 피고인 B, C, D가 공모하여 2011. 12.경부터 2012. 8.경까지, 피고인C, D가 공모하여 2012. 9.경부터 2013. 4.경까지, 피고인 A, C, E이 공모하여 2013. 7.경부터 2013. 11.경까지, 피고인 A, C, F이 공모하여 2013. 12.경부터 2014. 6.경까지 각 거짓이나 그 밖의 부정한 수단이나 방법으로 경품행사 응모고객들의 개인정보를 취득하고 처리에 관한 동의(제3자 제공)를 받았다는 사실에 관하여 위 피고인들에 대해서 각 개인정보보호법위반죄로, ② P, O 등과 공모하여, 피고인 D가 2013. 2.경부터 2013. 5. 15.경까지 L 주식회사(이하 'L'이라 한다)의 제휴마케팅팀 차장인 피고인 G등에게, 2011. 12.경부터 2013. 5.경까지 N 주식회사(이하 'N'이라 한다)의 제휴마케팅팀 차장인 피고인 H 등에게, 피고인 E이 2013. 5.경부터 2013. 12.경까지 피고인 G, H등에게, 피고인 F이 2014. 1.경부터 2014. 8.경까지 피고인 G, H 등에게 정보주체 또는 정보통신서비스 이용자의 동의를 받지 아니한 I 회원정보를 각 제공하였다는 사실로 위 피고인들에 대해서 각 개인정보보호법 위반죄 및 정보통신망이용촉진및정보보호등에 관한법률위반(개인정보누설 등)죄로[이 사건에서 피고인 D, E, F, G, H에 대해서 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2016. 3. 22. 법률 제14080호로 개정되기 전의 것, 이하 같다) 제71조 제3호, 제24조의 2 제1항이, 피고인 I 주식회사에 대해서는 위 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제75조, 제71조 제3호, 제24조의2 제1항이 각 적용되었다. 이하에서는 위 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률을 '정보통신망법'으로 표시한다.], ③ 피고인 주식회사(이하 ''라 한다)의 대표자나 종업원인 피고인 A, B, C, D, E, F이 위 ①항 기재 각 위반행위를 하였다는 사실로 I에 대해서 각 개인정보보호법위반죄로(이하에서는 피고인 A, B, C, D, E, F에 대한 위 ①항 기재 공소사실과 I에 대한 이 부분 공소사실을 '개인정보취득 등으로 인한 개인정보보호법위반의 점'이라 한다), I의 종업원인 피고인 D, E, F이 위 ② 항 기재 각 위반행위를 하였다는 사실로 I에 대해서 개인정보보호법위반죄 및 정보통신망이용촉진및정보보호등에관한법률위반(개인정보 누설등)죄로(이하에서는 피고인 D, E, F에 대한 위 ②항 기재 공소사실과 I에 대한 이 부분 공소사실을 '개인정보 제공으로 인한 개인정보보호법위반, 정보통신망법위반의 점'이라 한다), ④ 피고인 G이 2013. 2.경부터 2014. 8.경까지, 피고인 H이 2011. 12.경부터 2012. 8.경까지 및 2013. 6.경부터 2014. 8.경까지 각 회사의 영리 목적으로 제3자 정보제공에 관한 동의가 되어 있지 아니한 I 고객의 회원정보를 피고인 D 등으로부터 제공받았다는 사실로 위 피고인들에 대해서 각 개인정보보호법위반죄 및 정보통신망이용촉진및정보보호등에관한법률위반(개 인정보누설등)죄(이하에서는 피고인 G, H에 대한 이 부분 각 공소사실을 '개인정보 수령으로 인한 개인정보보호법 위반, 정보통신망법위반의 점'이라 한다)로 공소를 제기하였다.

나. 원심은 아래 제4의 나.항 기재와 같은 이유로 이 사건 공소사실을 전부 무죄로 판단하였다. 이에 대해서 검사가 아래 제2항 기재와 같이 법리오해 및 사실오인을 항소이유로 하여 항소를 제기하였는데, 환송 전 당심은 검사의 항소를 모두 기각하였다.다. 이에 검사가 위 환송 전 당심판결에 법리오해와 채증법칙 위반 등의 위법이 있다는 이유로 상고를 제기하였다. 상고심은 환송 전 당심판결에, 개인정보 취득으로 인한 개인정보보호법위반의 점에 관해서는 개인정보 보호법 제59조 제1호, 제72조 제2호 에 정한 '거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받는 행위'에 관한 법리를 오해하고 필요한 심리를 다하지 아니하여 판결에 영향을 미친 잘못이 있고, 개인정보 제공으로 인한 개인정보보호법 위반, 정보통신망법 위반의 점에 관해서는 개인정보 보호법과 정보통신망법에 정한 개인정보의 '제3자 제공'과 그 '처리위탁'의 구별에 관한 법리 등을 오해하고 필요한 심리를 다하지 아니하여 판결에 영향을 미친 잘못이 있다고 판단하고, 검사의 상고를 받아들여 환송 전당심판결을 파기하고 사건을 이 법원에 환송한다는 이 사건 환송판결을 하였다.

2. 항소이유의 요지

가. 개인정보취득 등으로 인한 개인정보보호법 위반의 점에 대하여 피고인 A, B, C, D, E, F(이하 '피고인 A 등'이라 한다)은 보험사에게 유상으로 판매할 목적으로 경품행사를 통하여 고객들로부터 개인정보를 수집하였으므로, 개인정보 보호법 제15조 제2항에 따라 그 정보주체인 응모 고객들에게 이 사건 경품행사에 따른 실제 '개인정보의 수집·이용목적'인 '개인정보의 판매' 사실을 고지할 의무가 있었음에도 이를 고지하지 않았을 뿐 아니라 응모권에 '수집·이용목적', '개인정보를 제공받는 자' 등 동의 관련 사항을 1m 크기로 기재하여 응모 고객들이 사실상 읽을 수 없도록 하였다. 만약 응모 고객들이 이 사건 경품행사를 통한 개인정보의 수집·이용 목적이 위와 같은 것임을 고지 받았다면 개인정보의 수집에 동의하지 않았을 것이 경험칙상 명백하다. 또한 피고인 A 등은 응모 고객들로 하여금 경품 발송에 필요한 응모고객의 성명 · 연락처 외에 생년월일, 자녀수 등 불필요한 항목에 대한 정보수집에 대해 동의하지 않을 수 없도록 하였고, 경품 당첨자에 대해서 연락을 소홀히 하거나 아예 연락을 하지 않는 방법으로 경품을 지급하지 않기도 하였다. 이러한 점들을 종합하면, 피고인 A 등의 위와 같은 행위는 개인정보 보호법 제59조 제1호의 '거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위'에 해당한다. 그럼에도 피고인 A 등과 I의 개인정보취득 등으로 인한 개인정보보호법위반의 점을 무죄로 판단한 원심판결에는 사실을 오인하거나, 개인정보 보호법 제59조 제1호의 '거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위'에 관한 법리를 오해하여 판결에 영향을 미친 위법이 있다.

나. 개인정보 제공 및 수령으로 인한 개인정보보호법 위반, 정보통신망법위반의 점보험모집에 적당한 대상자를 선별하는 필터링은 보험사가 가지고 있던 데이터를 기초로 한 것으로 보험사만이 할 수 있는 업무일 뿐 아니라 보험사의 이익을 위한 것이므로, 이는 보험사의 업무에 해당한다. 그리고 이 부분 공소사실 기재와 같이 피고인D, E, F(이하 '피고인 D 등'이라 한다)이 이른바 사전필터링을 위해서 보험사인 L과 N에 동의를 받지 아니한 고객들의 개인정보를 제공함에 있어 그들에게는 1의 업무를 L과 N에 위탁한다는 인식이 없었고, 위 개인정보를 제공받은 피고인 G, H 등에게도 [의 업무를 수탁한다는 인식이 없었다. 따라서 피고인 D 등이 사전필터링을 위해서 고객들의 개인정보를 L과 N에 제공한 것은 개인정보 보호법 제26조와 정보통신망법 제25조 에 규정된 개인정보의 처리위탁이 아니라 개인정보의 제3자 제공에 해당한다고 보아야 한다. 그럼에도 위와 같은 피고인 D 등의 개인정보 제공행위를 개인정보의 처리위탁으로 보고, 이 사건 공소사실 중 피고인 D 등과 I, 피고인 G, H에 대한 각 개인정보 제공 또는 수령으로 인한 개인정보보호법 위반, 정보통신망법위반의 점을 모두 무죄로 판단한 원심판결에는 사실을 오인하거나 개인정보 보호법과 정보통신망법이 정한 개인정보의 '제3자 제공'과 그 '처리위탁'의 구별에 관한 법리를 오해하여 판결에 영향을 미친 위법이 있다.

3. 직권 판단

검사의 항소이유에 대한 판단에 앞서 직권으로 본다.

검사는 환송 후 당심에서 이 사건 공소사실을 2차례에 걸쳐 최종적으로 [별지 1] '범 죄사실' 기재와 같이 변경하는 공소장변경허가신청을 하였고, 이 법원이 이를 허가함으로써 그 심판대상이 변경되었으므로, 원심판결은 더 이상 유지될 수 없게 되었다.

다만 위와 같은 직권파기 사유가 있음에도, 최종적으로 변경된 공소사실과 변경 전의 공소사실은 그 내용과 판단의 쟁점이 사실상 동일하므로 1) 검사의 항소이유는 여전히 이 법원의 판단대상이 된다.

4. 검사의 항소이유에 대한 판단

가. 이 사건 공소사실의 요지

[별지 1] '범죄사실' 기재와 같다(피고인들에게 적용된 이 사건 각 죄의 구성요건과 무관한 부분을 삭제하는 등 적절하게 수정하였다).

나. 원심의 판단

1) 개인정보취득 등으로 인한 개인정보보호법위반의 점에 관하여 원심은 이 사건 공소사실 중 피고인 A 등의 각 개인정보취득 등으로 인한 개인정보보호법위반의 점에 대해서 아래와 같은 이유로 무죄로 판단하고, 위와 같은 판단에 기초하여 I의 각 개인정보취득 등으로 인한 개인정보보호법위반의 점에 대해서도 역시 무죄로 판단하였다.

즉, ① 개인정보 보호법은 개인정보처리자가 취득한 개인정보를 제3자에게 제공하는 경우 그 개인정보를 제3자에게 '유상'으로 제공하는지 여부까지 고지하도록 하고 있지는 않은데, 피고인 A 등이 개인정보 보호법 제17조에 열거된 사항을 응모권에 모두 기재한 이상 개인정보 보호법에서 정한 고지의무를 다하였다고 보아야 한다. ② 피고인 A 등이 1의 온라인 및 오프라인 매장에서 상품을 구매하지 않은 고객들에게도 경품응모의 기회를 부여하였고, 위 경품행사에서 응모한 고객들 중 약 30% 정도는 개인정보의 제3자 제공에 동의하지 아니하여 경품 추첨 대상에서 배제된 점 등에 비추어 볼 때 고객들의 입장에서도 경품에 당첨될 기회를 얻으려면 자신의 개인정보가 보험회사의 영업에 사용될 것이라는 점을 인식하고 그 제공에 동의하였다고 봄이 타당하다. ③ 피고인 A 등이 고객들에게 제공한 경품 응모권에 기재된 동의 관련 사항이 약 1mm 정도의 크기로 작게 기재되어 있으나, 그 정도의 글자 크기가 사람이 읽을 수 없는 정도라고 단정할 수 없고, 실제 다른 각종 응모행사에서도 위와 같은 글자 크기가 많이 통용되고 있으며, 피고인 A 등이 경품행사 당시 응모함 바로 옆에 실제 응모권의 약 4배에 해당하는 응모권확대사진을 부착한 점 등에 비추어 피고인 A 등이 경품행사 응모권의 글자크기를 1mm 정도로 작게 기재한 것을 "거짓 그 밖의 부정한 수단이나 방법"에 해당한다고 볼 수 없다. 그리고 응모자의 생년월일, 자녀수 등은 개인정보 제3자 제공의 목적인 보험마케팅에 필요한 범위 내의 정보라고 봄이 타당하므로, 피고인 A 등이 고객들로부터 이러한 정보의 수집에 동의하도록 한 것을 들어 "거짓 그 밖의 부정한 수단이나 방법"에 해당한다고 볼 수도 없다. ④ 피고인 A 등이 처음부터 당첨자들에게 경품을 지급할 의사가 없는데도 마치 개인정보 제공에 동의하면 경품에 당첨될 기회가 주어지는 것처럼 경품행사에 응모하는 사람들을 기망하는 수법으로 고객정보를 수집하거나 제3자 제공에 동의를 받게 하였다고 볼 수 없다. 6 결국 검사가 제출한 증거들만으로는 이 부분 공소사실을 인정하기에 부족하고, 달리 이를 인정할 증거가 없다.

2) 개인정보 제공 및 수령으로 인한 개인정보보호법 위반, 정보통신망법위반의 점에 관하여

원심은 피고인 D 등의 각 개인정보 제공으로 인한 개인정보보호법 위반, 정보통신망법위반의 점에 관하여, 아래와 같은 이유로 이 부분 공소사실을 무죄로 판단하고, 위와 같은 판단에 기초하여 I의 각 개인정보 제공으로 인한 개인정보보호법 위반, 정보통신망법위반의 점과 피고인 G, H의 각 개인정보 수령으로 인한 개인정보보호법위반, 정보통신망법위반의 점도 역시 무죄로 판단하였다.

즉, 이 사건에서 사전필터링을 위한 개인정보의 이전은 I를 위한 업무로 I의 이익을 위한 것이므로, L과 N은 개인정보 보호법 및 정보통신망법에서 규정하는 제3자가 아니라 I를 위하여 I의 퍼미션 콜 업무의 일부를 수행하는 수탁자로서의 지위를 가진다.고 보아야 한다. 결국 검사가 제출한 증거만으로는 피고인 D 등이 제3자에게 미동의 개인정보를 제공하였다는 점을 인정하기 어렵고, 달리 이를 인정할 증거가 없다.다. 환송 후 당심의 판단

1) 개인정보취득 등으로 인한 개인정보보호법위반의 점에 관하여

가) 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보자 기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 그러한 개인정보를 대상으로 한 조사 · 수집·보관·처리 · 이용 등의 행위는 모두 원칙적으로 개인정보자기결 정권에 대한 제한에 해당한다(대법원 2014. 7. 24. 선고 2012다49933 판결, 대법원 2016. 8. 17. 선고 2014다235080 판결 등 참조).

개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 2011. 3. 29. 법률 제10465호로 제정되어 2011. 9. 30.부터 시행된 개인정보 보호법은 개인정보처리자가 업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 수집·보유·이용·제공 등의 처리를 하는 경우에 준수하여야 할 의무에 관하여 규정하고 있다. 즉 개인정보처리자는 개인정보를 수집하는 경우에 그 목적에 필요한 최소한의 개인정보를 수집하여야 하고, 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다(제16조 제1항, 제2항). 그리고 개인정보처리자가 정보주체의 개인정보를 제3자에게 제공하는 경우에는 개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목 등을 정보주체에게 알리고 동의를 받아야 하는데(제17조 제1항, 제2항), 이때에 개인정보처리자는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알려야 한다(제22조 제1항).

또한 개인정보 보호법은 '개인정보를 처리하거나 처리하였던 자가 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받는 행위'를 금지하고(제59조 제1호), 이를 위반하여 '거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자'를 3년 이하의 징역 또는 3천만 원 이하의 벌금에 처하도록 규정하고 있다(제72조 제2호). 이와 같은 개인정보자기결정권의 법적 성질, 개인정보 보호법의 입법 목적, 개인정보 보호법상 개인정보 보호 원칙 및 개인정보처리자가 개인정보를 처리함에 있어서 준수하여야 할 의무의 내용 등을 고려하여 볼 때, 개인정보 보호법 제72조 제2호에 규

정된 '거짓이나 그 밖의 부정한 수단이나 방법'이라 함은 개인정보를 취득하거나 또는 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 개인정보 취득 또는 그 처리에 동의할지 여부에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위를 뜻한다고 봄이 타당하다. 그리고 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지 여부를 판단함에 있어서는 개인정보처리자가 그에 관한 동의를 받는 행위 그 자체만을 분리하여 개별적으로 판단하여서는 안 되고, 개인정보처리자가 개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴보아 거기에서 드러난 개인정보 수집 등의 동기와 목적, 수집 목적과 수집 대상인 개인정보의 관련성, 수집 등을 위하여 사용한 구체적인 방법, 개인정보 보호법 등 관련 법령을 준수하였는지 여부 및 취득한 개인정보의 내용과 규모, 특히 민감정보 · 고유식별정보 등의 포함 여부 등을 종합적으로 고려하여 사회통념에 따라 판단하여야 한다.

나) 원심 및 환송 전 당심이 적법하게 채택하여 조사한 증거들에 의하면 다음과 같은 사실이 인정된다.

① I는 2000년경부터 I 패밀리카드 회원을 모집하면서 회원정보를 수집하였고, 2003년경부터 개인정보의 제3자 제공에 동의한 고객들에 대한 정보를 제휴카드사업자에게 제공하기 시작하였으며, 2007년경부터는 보험회사에 고객들의 개인정보를 판매하였다.

② I는 I 패밀리카드 회원 가입신청서의 양식이 변경되는 등으로 인하여 보험회사들에 판매할 개인정보가 부족해지자, 신유통서비스본부 산하 보험서비스팀 주관으로 경품행사를 통해 개인정보를 수집하여 이를 판매하는 사업을 기획하였고, 이에 따라

2009년경부터 고객들에 대한 경품행사를 시작하였다.

③ I는 2011. 10. 27.경 L, 2010. 6. 17.경 N과 I 고객들의 개인정보를 1건당 1,980원에 판매하기로 하는 업무제휴약정을 체결하였다. 이어서 I는 2011년 12월경부터 2014년 6월경까지 11회에 걸쳐 경품행사(이하 '이 사건 경품행사'라고 한다)를 실시하였는데, 이를 통하여 경품행사에 응모한 고객들의 개인정보(성명, 생년월일 또는 주민등록번호, 휴대전화번호, 자녀 수, 부모님과 동거 여부 등) 합계 약 712만 건을 수집하고 그 처리(제3자 제공)에 관한 동의를 받았으며, 그 중 약 600만 건을 N과 L 등에 판매함으로써 약 119억 원을 지급받았다.

④ 이 사건 경품행사는 벤츠 승용차, 다이아몬드 반지 등을 경품으로 내걸었고, I매장을 방문하거나 물건을 구매하지 않는 사람도 응모할 수 있도록 되어 있다. I는 전단지, 인터넷 홈페이지, 물품구매 영수증 등을 통해 경품행사를 광고하였는데(이하 '이 사건 광고'라고 한다), 위와 같은 광고와 응모권(15cmX7cm 크기) 앞면에는 경품 사진과 함께 커다란 글씨로 'DO', 'R', 'DP', 'DQ' 등의 문구가 기재되어 있고, 응모권 뒷면과 인터넷 응모 화면에는 [개인정보 수집, 취급위탁, 이용동의 ]라는 제목 하에 '수집/이용 목적'은 '경품 추첨 및 발송, 보험마케팅을 위한 정보 제공, I 제휴상품 소개 및 제휴사에 대한 정보 제공 동의 업무' 등이, [개인정보 제3자 제공]이라는 제목 하에 '개인정보를 제공받는 자'는 'L, N 등'이, '이용목적'은 '보험상품 등의 안내를 위한 전화 등 마케팅자료로 활용됩니다.'라는 내용 등이 약 1m 크기의 글씨로 기재되어 있으며, 말미에는 '기재/동의 사항 일부 미기재, 미동의, 서명 누락시 경품추첨에서 제외됩니다.'라는 사항이 붉은 글씨로 인쇄되어 있다.

다) 위와 같은 사실관계를 앞서 본 법리에 비추어 살펴본다.

① 이 사건 경품행사의 기획 및 실시 경위 등을 살펴보면, 이 사건 경품행사의 목적은 I 고객들의 매장 방문을 유도하여 매출을 증대하는 데 있다기보다 처음부터 고객들의 개인정보를 수집하여 이를 보험회사에 대가를 받고 판매하는 데 있었음을 알 수 있다. 그럼에도 이 사건 경품행사를 광고하기 위한 수단인 전단지, 인터넷 홈페이지 등에는 'DO', 'R', 'DP', 'DQ' 등의 문구를 경품사진과 함께 큰 글씨로 전면에 배치하여 경품행사를 광고하고 있을 뿐이고, 가 소비자의 개인정보를 수집하고 이를 제3자에게 제공한다는 점에 관한 기재가 누락되어 있다. 따라서 일반적인 소비자가 이 사건 광고를 접하게 되는 경우 소비자들은 오로지 고객에 대한 사은행사의 일환으로 경품행사를 실시하는 것으로 받아들일 가능성이 크다. 그런데 소비자의 입장에서는 이 사건 경품행사가 아무런 대가 없이 이루어지는 단순 사은행사인지 아니면 자신의 개인정보를 수집하여 보험회사 등 제3자에게 제공하는 대가로 경품을 제공하는 행사인지 여부가 이 사건 경품행사에 응모할지 여부에 영향을 미치는 중대한 요소라고 보인다. 따라서 가이 사건 경품행사를 진행하면서 위와 같은 목적을 은폐하고 광고한 것은 '표시·광고의 공정화에 관한 법률' 제3조 제1항 제2호에서 말하는 '소비자를 속이거나 소비자로 하여 금 잘못 알게 할 우려가 있는 광고 행위'에 해당한다. ② 이 사건 경품행사에 응모한 고객들은 응모권 뒷면과 인터넷 응모화면에 기재되어 있는 '개인정보 수집 및 제3자 제공 동의' 등 사항이 경품행사 진행을 위하여 필요한 것으로 받아들일 가능성이 크다. 그런데 응모권에 따라서는 경품추첨 사실을 알리는 데 필요한 개인정보와 관련 없는 '응모자의 성별, 자녀 수, 동거 여부' 등 사생활의 비밀에 관한 정보와 심지어는 주민등록번호와 같은 고유식별정보까지 수집하면서 이에 관한 동의를 하지 않을 때에는 응모가 되지 아니 하거나 경품 추첨에서 제외된다고 고지하고 있다. 이는 개인정보처리자가 정당한 목적으로 개인정보를 수집하는 경우라 하더라도 그 목적에 필요한 최소한의 개인정보 수집에 그쳐야 하고 이에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 안 된다는 개인정보 보호 원칙(개인정보 보호법 제3조 제1항)과 개인정보 보호법 규정에 위반되는 것이다. ③ 더욱이 이 사건 경품행사를 위하여 사용된 응모권에 기재된 동의 관련 사항은 약 1mm 크기의 글씨로 기재되어 있어 소비자의 입장에서 보아 그 내용을 읽기가 쉽지 않다. 여기에 더하여 이 사건 광고를 통하여 단순 사은행사로 오인하고 경품행사에 응모하게 된 고객들의 입장에서는 짧은 시간 동안 응모권을 작성하거나 응모화면에 입력을 하면서 그 내용을 정확히 파악하여 잘못된 인식을 바로잡기가 어려울 것으로 보인다. 이러한 조치는 개인정보처리자가 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 하여야 한다는 개인정보 보호법상의 의무를 위반한 것이다.

이상에서 살펴본 것처럼, 피고인 A 등이 이 사건 광고 및 경품행사의 주된 목적을 숨긴 채 사은행사를 하는 것처럼 소비자들을 오인하게 한 다음 경품행사와는 무관한 고객들의 개인정보까지 수집하여 이를 제3자에게 제공한 점, 피고인 A 등이 이와 같은 행위를 하면서 개인정보 보호법상의 개인정보 보호 원칙 및 제반 의무를 위반한 점, 피고인 A 등이 수집한 개인정보에는 사생활의 비밀에 관한 정보나 심지어는 고유식별정보 등도 포함되어 있는 점 및 피고인 A 등이 수집한 개인정보의 규모 및 I가 이를 제3자에게 판매함으로써 얻은 이익 등을 종합적으로 고려하여 보면, 피고인 A 등은 개인정보 보호법 제72조 제2호에 규정된 '거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자'에 해당한다.고 봄이 타당하다.

라) 그럼에도 앞서 본 것과 같은 이유로 이 사건 공소사실 중 피고인 A 등과 1의 각 개인정보취득 등으로 인한 개인정보보호법위반의 점을 무죄로 판단한 원심판결에는 사실을 오인하거나 개인정보 보호법 제59조 제1호, 제72조 제2호에 정한 '거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받는 행위'에 관한 법리를 오해하여 판결에 영향을 미친 위법이 있다. 검사의 이 부분 항소이유 주장은 이유 있다.

2) 개인정보 제공 및 수령으로 인한 개인정보보호법위반, 정보통신망법위반의 점에 관하여

가) 원심 및 환송 전 당심이 적법하게 채택하여 조사한 증거들에 의하면 다음과 같은 사실이 인정된다.

① I는 경품행사를 통해 수집한 개인정보와 패밀리카드 회원에 가입하면서 개인정보 제3자 제공에 동의한 고객들의 개인정보를 보험회사에 제공해 오다가, 패밀리카드 회원 중 아직 개인정보 제3자 제공에 동의하지 않은 고객에 대하여도 와 위탁계약 이 체결된 W 주식회사(이하 'W'라고 한다)의 상담원들이 전화를 걸어 제3자 제공 동의를 얻은 후(이른바 퍼미션 콜) 이를 L과 N 등 보험회사에 제공하기 시작하였다(이른 바 퍼미션 DB). 이후 위 보험회사들은 I로부터 제공받은 개인정보 데이터베이스를 자신들이 보유한 개인정보 데이터베이스와 비교·분석하여, 그 중 간 위 각 보험회사에보험 안내 전화를 받지 않겠다는 의사를 밝힌 사람, 나 위 각 보험회사와 이미 보험계약을 체결하였거나 3~6개월 내에 보험 텔레마케팅 통화를 한 적이 있는 사람, 다 위 각 보험회사의 블랙리스트에 등록된 사람(경우에 따라 보험계약이 해지 · 실효된 사람, 보험료 미납자, 특정 질병 등으로 인해 보험 가입이 부적절한 사람 등이 포함됨) 등을 걸러내는 작업(이른바 필터링 작업)을 수행하고, 남은 고객들에 대해서만 I에 수수료를 지급하고 그들을 대상으로 보험 텔레마케팅 영업을 하였다.

② [는 퍼미션 콜 업무를 W에 위탁하고, 개인정보 제3자 제공에 관한 동의를 받은 고객 1인당 1,700원을 수수료로 지급하기로 하였으나, 보험회사의 필터링을 통해 걸러진 개인정보에 대해서는 수수료를 지급하지 않았다.

③ I는 L과 2009. 2. 27.자 업무제휴계약, 2009. 10. 1.자 업무제휴 부속계약, 2010. 6. 11.자 업무제휴 부속계약을 체결하였고, N과 2011. 6. 20.자 업무제휴계약 부속약정을 체결하였다. 위 각 계약 또는 약정에는 퍼미션 콜 업무가 보험회사의 텔레마 케팅을 위하여 필요한 '보험 텔레마케팅 지원 업무'로 규정되어 있었다. 그 구체적인 내용은, L과 N이 I 고객들을 상대로 보험 텔레마케팅을 할 수 있도록, I가 자신의 고객들에게 위 보험회사들로부터 보험관련 상담을 받을 의사가 있는지 여부와 개인정보 제3자 제공에 동의하는지 여부를 확인하여 그에 동의한 고객의 개인정보를 건당 2,800원에 위 보험회사들에 제공하는 것이다. 다만, 이미 위 보험회사들과 보험계약이 체결되어 있거나 3~6개월 내에 보험 텔레마케팅 통화를 한 적이 있는 고객 등은 수수료 산정에서 제외하였다.

④ 위와 같은 수수료 산정 방식으로 인하여 I는 보험회사에 제공한 퍼미션 DB 중 보험회사가 필터링을 통해 걸러내는 개인정보 비율을 줄이기 위하여 보험회사에 필터링 조건을 완화해 달라고 요구하는 등 노력을 하였으나, 필터링을 거치고 남은 유효데이터베이스의 비율이 점차 줄어드는 등 수익성이 악화되었다. 이에 I가 N과 L에 이른바 사전필터링을 제안하게 되었는데, 그 내용은 I의 입장에서는 종전에 보험회사가 제3자 제공 동의를 받은 개인정보 데이터베이스를 건네받은 이후에 시행하던 필터링 절차를 고객들로부터 제3자 제공 동의를 받기 전에 시행하게 되면 불필요한 퍼미션 콜절차를 줄일 수 있는 이점이 있고, 보험회사로서도 어차피 거쳐야 할 필터링 절차를 미리 시행하는 불편밖에 없으니 필터링을 사전에 시행하도록 해 달라는 것이었고, L과 N이 위와 같은 요청을 받아들였다.

⑤ 이에 따라 피고인 D 등은 사전필터링을 위해 2011년 12월경부터 2014년 8월경까지 피고인 G, H 등에게 이 부분 공소사실 기재와 같이 개인정보를 제공하였다. L과 N은 의 웹하드를 통해 제공받은 개인정보 데이터베이스를 필터링하여 (사전필터링) 다시 위 웹하드에 업로드하였고, I는 그 데이터베이스를 가지고 퍼미션 콜 작업을 수행한 후 동의를 받은 고객들의 개인정보를 다시 위 보험회사들에 제공하였다. 한편, L과 N은 사전필터링을 마친 개인정보 데이터베이스를 I 웹하드에 업로드 한 후 자신들의 시스템에서는 이를 모두 삭제하였다.

나) 개인정보 보호법 제71조 제1호는 제17조 제1항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자를 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다고 규정하고 있다. 그리고 정보통신망법 제71조 제3호는 제24조의2 제1항을 위반하여 이용자의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자를 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다고 규정하고 있다. 한편 개인정보 보호법 제26조와 정보통신망법 제25조는 개인정보처리자와 정보통신서비스 제공자의 개인정보 처리업무 위탁에 관한 내용을 정하고 있다.

위 각 법률 조항의 문언 및 취지에 비추어 보면, 개인정보 보호법 제17조와 정보통신망법 제24조의2에서 말하는 개인정보의 '제3자 제공'은 본래의 개인정보 수집·이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보 보호법 제26조와 정보통신망법 제25조에서 말하는 개인정보의 처리위탁'은 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다. 개인정보 처리위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리·감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로, 개인정보 보호법 제17조와 정보통신망법 제24조의2에 정한 '제3자'에 해당하지 않는다.

한편, 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리·감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다.

다) 앞서 본 사실관계와 원심 및 환송 전 당심이 적법하게 채택하여 조사한 증거들에 의하여 인정되는 다음과 같은 사정을 위와 같은 법리에 비추어 살펴보면, L과 N은 단순한 수탁자로서가 아니라 자신들의 독자적인 이익과 업무 처리를 위하여 I로부터 개인정보를 제공받은 '제3자'에 해당하고, 피고인 D 등이 피고인 G, H 등에게 사전필터링을 위해 개인정보를 이전해준 행위는 개인정보 보호법 및 정보통신망법에서 말하는 개인정보 제3자 제공에 해당한다고 봄이 타당하다.

① 이 부분 공소사실에 기재된 I 패밀리카드 회원들의 성명 · 주민등록번호 · 연락처 등 개인정보는 실질적으로 보험회사들인 L과 N이 보험 마케팅 영업을 하는 데 필요.한 것이다. ② L과 N이 한 필터링은 위 각 보험회사의 보험가입자나 블랙리스트에 올라 있는 사람 등을 걸러냄으로써, 즉 보험상품 판매에 적합한 대상자를 선정함으로써보험 텔레마케팅의 효율을 높이기 위한 것이므로 위 보험회사들의 업무에 해당하고, 사전필터링의 경우에도 위와 같은 필터링 업무의 목적이나 성격 자체가 변한다고 보기 어렵다. 또한 앞서 본 퍼미션 콜의 구체적인 내용 등에 비추어 볼 때 퍼미션 콜 업무도 위 보험회사들의 보험 텔레마케팅 업무를 분담 · 지원하는 성격을 가지므로, 설령 사전필터링을 퍼미션 콜 업무의 부수업무로 보더라도 이를 온전히 1의 업무라고 보기는 어렵다. 그렇다면, 사전필터링 업무는 I의 업무임과 동시에 위 보험회사들의 업무로서의 성격을 가지고, 위 보험회사들은 위와 같은 업무 처리에 관하여 독자적인 이익을 가진다고 볼 수 있다. ③ L과 N 담당 직원들은 일단 사전필터링에 필요한 개인정보 데 이터베이스를 각자의 업무용 컴퓨터에 다운로드 받은 후에는 이를 자유롭게 복사, 편집, 이용, 전송할 수 있었고, I는 그에 관하여 아무런 관리·감독을 하지 않았던 것으로 보이며, I가 위 보험회사들에 명확한 필터링 기준을 정해준 것으로 보이지도 않는다. 라) 그럼에도 앞서 본 것과 같은 이유로 이 사건 공소사실 중 피고인 D 등과 의 각 개인정보 제공으로 인한 개인정보보호법위반, 정보통신망법위반의 점과 피고인 G, H의 각 개인정보 수령으로 인한 개인정보보호법 위반, 정보통신망법위반의 점을 무죄로 판단한 원심판결에는 사실을 오인하거나 개인정보 보호법과 정보통신망법에 정한 개인정보의 '제3자 제공'과 그 '처리위탁'의 구별에 관한 법리 등을 오해하여 판결에 영향을 미친 위법이 있다. 검사의 이 부분 항소이유 주장도 이유 있다.

5. 결론

그렇다면 원심판결에 대한 검사의 항소는 이유 있고, 또한 원심 판결에는 위와 같은 직권파기 사유가 있으므로, 형사소송법 제364조 제2항, 제6항에 따라 원심판결을 파기하고, 변론을 거쳐 다시 다음과 같이 판결한다.

[다시 쓰는 판결]

범죄사실

이 법원이 인정하는 범죄사실은 [별지 1] '범죄사실' 기재와 같다(다만, 범죄일람표 1-1 내지 1-11, 2-1, 2-2, 3-1, 3-2 전부를 종이문서로 출력하여 이 판결서에 첨부할 경우 그 양이 지나치게 방대하므로, 그 대신 [별지 2]에 위 각 범죄일람표 파일을 '읽기 전용'으로 저장한 CD를 첨부하되, 동일성의 확인을 위해서 위 각 범죄일람표 파일의 해쉬값을 기재한다)). 증거의 요지

1. 원심 증인 P, Q, AH, AI, 환송 전 당심 증인 BE, AM의 각 법정진술(원심 증인 AH, AI의 각 법정진술은 피고인 H에 한하여)

1. 피고인 A, B, C, D, E, F, G, H에 대한 각 일부 검찰 피의자신문조서[G에 대한 검찰 피의자신문조서(제2회, 대질) 중 BL, Q, P, AI 각 진술부분 포함]

1. P, Q, 0, BL, BX, BN, BH에 대한 각 검찰 피의자신문조서 사본[Q에 대한 각 검찰 피의자신문조서(제2, 3, 4, 5, 6, 8, 9, 10회, 대질) 중 각 P, AH 진술부분, P에 대한 각 검찰 피의자신문조서(제5, 6, 7, 8, 9회, 대질) 중 각 Q 진술부분] 1. AX, BE, AI, BJ, BK, BM, O, X, Y, AK, AL, AM, CE, BW, CS, AW, DR, CV, BT, CY, BQ, BA에 대한 각 검찰 진술조서[AI에 대한 검찰 피의자신문조서(제2회, P와 대질) 중 P 진술부분 포함]

1. 각 수사보고[검사 신청 증거목록(증거서류 등) 순번 2, 3, 24, 26, 28, 30, 60, 63, 84, 95, 96, 106, 178, 179, 181, 183, 186, 188, 191, 217, 219, 221, 227, 228, 230, 233, 238, 266, 353, 354, 356, 357, 358, 359, 361, 364] 1. 고액당첨자 경품지급 현황 사본, 'AO, L, K' 합의서 사본, Q이 주고 받은 메일내역, 보험팀 DB 운영현황 -131202, 퍼미션 대상고객 리스트, I에서 압수한 문건 사본 1부, Q 이메일에서 확인한 GG회의 자료 내역 1부, 메일, L 1차 퍼미션 스크립트(I), 각 전자세금계산서 사본, 생명보험제휴계약서, 업무제휴 부속계약서, I 웹하드 구성도, 메일, 사전필터링 진행과정, 생명보험 제휴계약서, L 내부 직원의 I Q, W AI과의 BR 대화 내용 1부 등, 생명보험 제휴계약서, L 퍼미션 정산율 현황, DB 사용업무 FLOW, 메일, 500만 원 이상 고액 경품 행사 및 지급 현황, I 내부 품의서, 경품 디자인 업체 제안 이메일, 퍼미션 사전 필터링 대상 캠페인 번호, EJ 운영안, 사후동의 스크립트 내용, L 사전필터링 관련 퍼미션문서 사본 1부, L I 제휴마케팅 업무현황 문서 파일 사본, 퍼미션 관련 제안 이메일, 각 이메일, 각 이메일 내역, '퍼미션 월별 업로드 현황' 이메일 등, 'Retail Services Weekly Report', Team Leaders Group Meeting, AW 발수신 및 참조 전자결재 이메일, 보험 비즈니스 전략 수정, Q이 보낸 "12A 경품이벤트 점포 체크사항" 등, 메일 및 GG회의 자료, 이메일 내역 및 N 퍼미션 스크립트 등, 2014년 EL 실장/SM 전략회의 자료 사본 등, 오프라인 경품행사 결과보고와 향후 계획 등, A 수신 이메일 및 첨부자료, 기타 사전필터링 및 퍼미션 DB 관련 자료 및 이메일 등, I A 메일사본 법령의 적용

1. 범죄사실에 대한 해당법조

가. 피고인 A, B, C : 각 개인정보 보호법 제72조 제2호, 제59조 제1호, 형법 제30조

나. 피고인 D, E, F : 각 개인정보 보호법 제72조 제2호, 제59조 제1호, 형법 제30 조(부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받은 점), 각 개인정보 보호법 제71조 제1호, 제17조 제1항, 형법 제30조(미동의 개인정보 제3자 제공의 점), 각 정보통신망법 제71조 제3호, 제24조의2 제1항, 형법 제30조(미동의 개인정보 제3자 제공의 점)다. 피고인 G, H: 각 개인정보보호법 제71조 제1호, 제17조 제1항, 각 정보통신망법 제71조 제3호, 제24조의2 제1항

라. 피고인 I : 각 개인정보 보호법 제74조 제2항, 제72조 제2호, 제59조 제1호(부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받은 점), 각 개인정보보호법 제74조 제2항, 제71조 제1호, 제17조 제1항, 각 정보통신망법 제75조, 제71조 제3호, 제24조의2 제1항(각 미동의 개인정보 제3자 제공의 점)

1. 형의 선택

가. 피고인 A, B, C, D, E, F : 각 징역형 선택

나. 피고인 G, H: 각 벌금형 선택

1. 경합범가중

피고인들 : 각 형법 제37조 전단, 제38조 제1항 제2호, 제50조

1. 노역장유치

피고인 G, H: 각 형법 제70조 제1항, 제69조 제2항

1. 집행유예

피고인 A, B, C, D, E, F : 각 형법 제62조 제1항

1. 가납명령

피고인 G, H, I : 각 형사소송법 제334조 제1항

피고인들과 그 변호인의 주장에 대한 판단

1. 피고인 A, B(개인정보취득 등으로 인한 개인정보보호법위반의 점 관련)

가. 주장 요지

피고인 A, B는 I가 이 사건 경품행사를 통해 개인정보를 수집하여 보험회사에 제공하여 수익을 얻는다는 사실은 알고 있었으나, 대기업인 I의 대표이사 또는 부사장의 지위에 있었던 피고인들로서는 피고인 D, E, F을 포함한 보험서비스팀 직원들이 이 부분 공소사실과 같이 부정한 수단이나 방법으로 고객들의 개인정보를 취득하거나 처리에 관한 동의를 받고 있다는 등의 세세한 사정들은 알 수 없었다. 더구나 피고인 A의 경우 이 사건 경품행사가 시작될 무렵에는 외국에 체류하다가 상당 부분 진행된 이후인 2013. 5.경 대표이사로 취임하였다. 따라서 피고인 A, B에게는 개인정보취득 등으로 인한 개인정보보호법위반의 점 중 각 해당 부분 범행(피고인 A - 범죄일람표 1-7 내지 1-11 부분, 피고 B - 범죄일람표 1-1 내지 1-3 부분)에 관한 기능적 행위지배나 고의가 없었다.

나. 판단

1) 관련 법리

형법 제30조의 공동정범은 공동가공의 의사와 그 공동의사에 기한 기능적 행위지배를 통한 범죄 실행이라는 주관적·객관적 요건을 충족함으로써 성립하는바, 공범자들 상호 간에 비록 전체의 모의과정이 없었다고 하더라도 순차적 또는 암묵적으로 상통하여 어느 범죄에 공동가공하여 그 범죄를 실현하려는 의사의 결합이 이루어지면 공모관계가 성립하고, 이러한 공모가 이루어진 이상 실행행위에 직접 관여하지 아니한 자라도 다른 공모자의 행위에 대하여 공동정범으로서의 형사책임을 진다(대법원 2000. 11. 10. 선고 2000도3483 판결 등 참조). 이처럼 구성요건행위를 직접 분담하여 실행하지 아니한 공모자가 공모공동정범으로 인정되기 위해서는, 전체 범죄에서 그가 차지하는 지위 · 역할이나 범죄경과에 대한 지배 내지 장악력 등을 종합하여 볼 때, 단순한 공모자에 그치는 것이 아니라 범죄에 대한 본질적 기여를 통한 기능적 행위지배가 존재하는 것으로 인정되어야 한다(대법원 2010. 7. 15. 선고 2010도3544 판결 등 참조).

2) 피고인 A

가) 원심 및 환송 전 당심이 적법하게 채택하여 조사한 증거들에 의하면 다음과 같은 사정들이 인정된다.

(1) 이 사건 경품행사를 주관한 보험서비스팀의 영업이익은 매년 증가하여 2013년 기준으로 170억 원 정도였고(그 중 생명보험사들과의 마케팅 제휴를 통한 영업이익은 100억 원 정도였음), 2014년 목표액은 210억 원 정도로 보험서비스팀의 조직 규모에 비해서 상당히 크다. I는 피고인 A이 대표이사에 취임한 후에도 보험사들과의 업무제휴를 통하여 고객들의 개인정보를 판매함으로써 수익을 얻는 사업을 주요한 수익 모델로 계속 성장시켜 나갈 계획이었는데, 신규 패밀리카드 회원 고객들의 감소와 개인정보의 잦은 변경 등으로 보험회사들에 판매할 개인정보가 부족해지자 이를 타개하기 위해서 경품행사를 계속 진행할 수밖에 없었다.

(2) 보험서비스팀이 경품행사를 진행하기 위해서는 I의 전국 각 점포에서 응모함을 설치할 장소를 제공하고 계산원들을 통해 응모권을 배부하는 등 적극적인 협조가 필요했는데, 응모권 배부로 인하여 계산원들의 업무 부담이 증가하고 계산대에서 고객들의 대기시간이 길어지는 문제가 발생하여 상당수의 점포에서 어려움을 호소했던 것으로 보인다. 그럼에도 지속적으로 경품행사가 진행될 수 있었던 것은 I 회사 차원의 지원이 있었기 때문인 것으로 보인다.

(3) 피고인 A은 대표이사 취임 후 관련 임원들이 모여 현안을 논의하는 GG미팅 (Retail Business Governance Group Meeting)을 도입하였다. GG미팅의 참석자는 피고인 A을 비롯하여 부사장, 본부장(피고인 C), 현안을 보고하는 팀장 등이었다. GG미팅에서는 신유통서비스본부에서 진행할 프로젝트나 실적 추이 등 신유통서비스본부의 현안보고와 이에 대한 논의가 이루어졌다. 증거로 제출된 GG미팅 자료들을 보면 실제로 GG미팅에서, 신규 패밀리카드 회원 고객들의 감소와 개인정보의 잦은 변경으로 인하여 고객들의 개인정보를 마케팅 목적으로 사용하는 것이 점점 어려워지고 있는 현실을 감안하여 고객들과의 직접적인 접촉 없이 정확한 휴대전화번호 등 개인정보를 알아내기 위해 주유권 등을 지급하는 방안 등이 논의되었고(2013. 6. 19.자 GG미팅), 보험서비스 팀이 소속된 신유통서비스본부의 주간 실적 자료를 GG미팅의 멤버들이 매주 공유하기로 하였으며(2013. 8. 12.자 GG미팅), 패밀리카드 회원정보의 획기적인 업데이트를 위해서 대대적인 전사 캠페인을 진행하는 방안이 논의되고(2013. 9. 5.자 GG미팅), 패밀리카드 및 경품행사를 통한 고객정보 수집 등을 통해 경쟁사 대비 3.5배 높은 보험사업 수익을 실현하고 있다는 내용과 신규 점포 등에 설치되는 경품 응모함 등의 디자인과 그 위치 등에 대한 보고가 이루어졌으며(2013. 10. 10.자 GG미팅), 고객정보의 활용에 대한 법적규제 강화 등으로 인한 보험제휴사업 환경의 악화 등을 감안하여 I가 보유하고 있는 고객정보 데이터베이스를 기반으로 하여 보험자회사를 설립하는 방안이 논의된 사실(2013. 12. 12.자 GG미팅, 위 GG미팅 자료에는 경품 응모함 등의 사진과 그 특징을 설명한 자료가 첨부되어 있다) 등을 확인할 수 있다.

(4) 피고인 A은 I 직원 CP 등으로부터 매주 신유통서비스본부의 주간실적을 보고 받았고, 2014. 1. 15.에는 본부장인 피고인 C에게 "C전무, 왜 계속 Underperforming?"이라는 내용의 이메일을 보내는 등 신유통서비스본부의 실적을 지속적으로 점검했던 것으로 보인다.

나) 위와 같은 사정들을 종합하면, 피고인 A은 의 업무를 총괄하는 대표이사로서 경품행사의 목적, 개요 등에 대해서 보고를 받아 이를 잘 알고 있었고, 또한 주기적으로 보험서비스팀의 실적을 보고받고, GG미팅을 통해서도 관련 현안을 보고받고 이를 논의하는 등 지속적으로 경품행사를 포함한 보험서비스팀의 업무에 관여한 것으로 보인다.

따라서 피고인 A이 대표이사로서 재임한 기간 동안 직접 경품행사에 관한 광고나 응모권의 디자인, 기재사항, 경품 품목 선정 및 지급 등 세세한 부분까지 관여하지 않았다고 하더라도 전체 범죄에서 그가 차지하는 지위 · 역할 등을 종합하여 볼 때, 범죄일람표 1-7 내지 1-11 기재 범행에 관한 피고인 A의 기능적 행위지배가 있었다고 봄이 타당하고, 아울러 피고인 A에게는 이 부분 범행에 대한 고의도 인정된다. 피고인 A과 그 변호인의 주장은 받아들이지 아니한다.

3) 피고인 B

가) 원심 및 환송 전 당심이 적법하게 채택하여 조사한 증거들에 의하면 다음과 같은 사정들이 인정된다.

(1) 피고인 B는 2009. 3. 중순경 영국에서 귀국한 후 2009. 4.경부터 2012. 8.경까지 I의 비식품 부문(일반상품 및 전자, 의류, 인터넷사업, 신유통서비스본부)의 부문장 (부사장)으로 재직하였다.

(2) 피고인 B는 부문장 재직 기간 동안 1주일에 한 번씩 본부장회의를 주재하였고, 1~2개월에 한 번씩 본부별 팀회의를 주재하였다. 피고인은 본부장회의에서 본부장들로부터 추진하는 사업에 관한 내용을 보고받고 그들에게 회사의 방침 등을 전달하였다. 피고인은 신유통서비스본부의 경우 본부장(피고인 C)과 보험서비스팀 팀장이던 피고인 D로부터 업무보고를 받았고, 특히 피고인 D로부터는 1 ~ 2개월에 한 번씩 추진사업의 진행상황, 내용, 중요한 이슈 등에 대한 업무보고를 받았다(증거기록 제6129쪽). 또한 피고인 B는 매주 'Retail Service Weekly Report'라는 제목의 문건을 통하여 신유통서비스본부의 실적에 관한 보고를 받았다(증거기록 제6139쪽).

(3) 피고인 B는 2011년경 피고인 D로부터 I 패밀리카드 고객의 수가 정체되고 탈회하는 회원이 생겨 보험상품을 판매할 수 있는 고객 데이터베이스가 부족하여 데이터베이스를 모으기 위해 경품행사를 한다는 보고를 받았고, 부문장회의에서도 피고인 D로부터 I 패밀리카드 회원 1,200만 명 중 유효한 회원이 800만 명 정도이나 제3자 정보제공에 대한 동의를 하지 않은 회원들이 많아 보험사에 제공할 고객 데이터베이스가 부족하다는 보고를 받았다. 이러한 사정들에 비추어 피고인 B는 경품행사의 목적, 개요 등을 잘 알고 있었던 것으로 보인다.

(4) P, Q은 수사기관에서 "본부장이 결정한 응모권 시안을 팀장이 부사장에게 보고하기도 한다. 2012. 6.경 진행했던 'DQ' 이벤트 행사를 진행하기 전에 부사장에게 보고한 적이 있었는데, 당시 C 전무까지 승인했었던 경품안에 대해 B 부사장이 1등을 여러 명이 나오도록 변경하라고 지시하여, 기존 1등 경품인 고가의 외제차 대신 기아자동차 레이 10대를 1등 경품으로 변경한 적이 있다. 그 외의 이벤트에도 B 부사장이 응모권 디자인을 바꾸라든지 등의 지시를 하기도 하였다. B 부사장이 직접 지시를 하는 경우는 드물었지만 많은 관심을 갖고는 있었다. 왜냐하면, 경품 이벤트 행사의 결과가 신유통서비스본부의 수익에 많은 영향이 있었기 때문이다."라고 진술하였다(증거기록 제3620쪽).

나) 위와 같은 사정들을 종합하면, 피고인 B는 보험서비스팀이 소속된 신유통서비 스본부를 담당하는 부문장으로서 재직기간 동안 보험서비스팀으로부터 경품행사에 관한 상당히 세부적인 사항까지 보고받은 것으로 보이고, 또한 주기적으로 보험서비스팀의 실적을 보고받고 이를 점검하였으며, 나아가 개별 경품행사에 관하여 직접 지시를 하는 등 지속적으로 보험서비스팀의 업무에 관여한 것으로 보인다. 이와 같이 전체 범죄에서 피고인 B가 차지하는 지위·역할 등을 종합하여 볼 때, 범죄일람표 1-1 내지 1-3 범행에 관한 피고인 B의 기능적 행위지배가 있었다고 봄이 타당하고, 아울러 피고인 B에게는 이 부분 범행에 대한 고의도 인정된다. 피고인 B와 그 변호인의 주장은 받아들이지 아니한다.

3. 피고인 G(개인정보 수령으로 인한 개인정보보호법 위반, 정보통신망법 위반의 점 관련)가, 주장 요지

피미션 콜은 아직 제3자 정보제공에 대한 동의를 하지 않은 고객을 대상으로 그에 대한 동의를 얻기 위한 수단으로 운용되지만, 동의 후 상당한 기간이 경과한 고객들을 대상으로 기억을 환기시켜 주는 차원에서 추가 동의를 받기 위한 수단으로 운영되기도한다. 이 사건 사전필터링 과정에서 I로부터 데이터베이스를 받아 이를 L TM센터에 넘기는 실무적인 역할만을 담당한 피고인 G으로서는 사전필터링을 위해서 I로부터 제공받은 I 패밀리카드 회원들의 개인정보 데이터베이스에 제3자 정보제공에 동의하지 않은 회원들의 개인정보가 포함되었다는 사실을 제대로 인식하지 못했으므로, 피고인에게는 제3자 제공 미동의 개인정보 수령에 대한 고의가 없었다(이하 '① 주장'이라 한다). 그리고 법률전문가가 아닌 피고인 G에게 이 사건과 같이 사전필터링을 위해서 제3자 정보제공에 대한 정보주체의 동의 없이 개인정보를 제공받는 것이 개인정보 보호법이 금지하는 위법한 행위임을 인식할 것을 기대할 수 없으므로, 피고인 G이 그 위법성을 인식하지 못한 데에는 정당한 이유가 있다(이하 '② 주장'이라 한다).

나. 판단

1) ① 주장에 대하여 원심 및 환송 전 당심이 적법하게 채택하여 조사한 증거들에 의하여 인정되는 다음과 같은 사정들을 종합하면, 피고인 G은 피고인 D 등이 사전필터링을 위해서 정보주체인 I 고객들의 제3자 정보제공에 대한 동의 없이 [별지 2] 범죄일람표 2-1 순번 1-207581, 범죄일람표 2-2 기재 개인정보들을 L에 제공했다는 사정을 잘 알고 있었다.고 봄이 타당하므로, 피고인 G에게는 이 부분 범행에 대한 고의가 인정된다. 피고인 G과 그 변호인의 이 부분 주장은 받아들이지 아니한다. .

가) I와 L 사이에 2009. 10. 1.경 체결된 '업무제휴부속계약' 제3조 제2항 제2호에 퍼미션 콜의 대상으로 '패밀리 카드회원으로 가입한 자로서 가입 당시 개인정보의 제3자 제공에 대하여 동의하지 않은 자'가 명시되어 있다.

나) L은 이 사건 당시 I로부터 FMC DB를 제공받고, 이를 이용하여 텔레마케팅을 진행한 후 보험에 가입한 고객 당 월 보험료의 330%에 해당하는 금액을 I에 대가로 지급하고 있었다. 만약 피고인 G의 주장과 같이 L이 사전 필터링을 위해서 I로부터 넘겨받은 개인정보들이 이미 제3자 정보제공에 동의한 I 패밀리카드 회원들의 것이라면, 그 개인정보들은 L이 이미 I로부터 제공받은 FMC DB 중 해당 회원들의 개인정보와 중복되게 된다. 그럼에도 I가 동의한 시점으로부터 상당한 기간이 경과한 회원들을 대상으로 기억을 환기시켜 주는 차원에서 추가 동의를 받았다는 이유만으로 L이 개인정보 1건당 2,800원을 I에 추가로 지급하고 퍼미션 DB의 개인정보들을 제공받았다는 것은 납득하기 어렵다.

다) 피고인 G과 그의 직장동료인 BJ, BM, BK, 그리고 I 직원 DS의 수사기관에서의 각 진술, L 제휴마케팅팀 직원들의 컴퓨터에서 발견된 내부 문서 파일의 내용 등에 비추어, 피고인 G이나 그의 직장동료들은 사전필터링의 대상이 되는 개인정보들이 제3자 정보제공에 대한 동의가 없는 것들이라는 점을 잘 알고 있었음을 알 수 있다.

① L 제휴마케팅팀장 BJ은 수사기관에서 "과거에는 W에서 동의를 받은 후에 저희가 받아 DNC와 중복 제거를 하였는데, 이렇게 하다 보니 어렵게 동의를 구한 고객정보가 다시 필터링 되면서 버려지게 되어 결국 퍼미션이 완료된 개인정보가 무용지물 이 되어 와 W가 손해를 보는 경우가 발생하게 되었다. 그래서 I에서 제안한 방식이선 필터링인데 저희는 선 필터링이 문제가 있다고 판단하여 여러 차례 거절하였지만 계속된 1의 요청으로 어쩔 수 없이 제3자 동의 전에 필터링을 하게 된 것으로 알고 있다."(증거기록 제 1775쪽), "I에서 필터링을 요청해 왔을 때 저희는 법률검토를 하고 불법의 여지가 있다고 판단하여 여러 차례 거절했는데 I는 당시 저희에게 제일 많은 개인정보 DB를 판매하는 '갑'의 입장이었기 때문에 계속해서 거절하기 어려운 상황이었다. 만약 I에서 저희에게 개인정보 DB를 판매를 중단하면 저희는 갑자기 그 정도의 DB를 충당할 방법이 없기 때문에 불법인 줄 알면서 선 필터링에 동의한 것이다. G 차장이 당사 법무팀에 구두로 확인결과 문제의 소지가 있고 I에서 불법적으로 개인정보 DB를 제공하는 것이라는 답변을 들었다고 G 차장으로부터 들었다. (증거기록 제 1777 쪽)라고 진술하였다. ② 피고인 G의 후임자인 L 제휴마케팅팀 직원 BM도 검찰 조사에서 "2014. 5.경 인수인계를 받을 때 제가 G 차장에게 귀찮게 사전필터링을 왜 하냐고 물어보았더니, 업로드율을 개선하려는 I의 요청 때문에 해야 한다는 말을 들었다. 당시 제3자 활용동의의 단어가 정확히 나왔는지는 기억이 나지 않는데, 위와 같이 인수인계를 받았다. 인수인계를 받은 직후에 일을 하다가 G 차장에게 이거 문제 있는 DB 아니냐고 물어보았더니, 문제가 있을 수 있어서 법무팀에 확인하고 진행하는 것이라고 하였다."라고 진술하였다(증거기록 제1840쪽). ③ 2011. 8.경부터 2013. 7.경까지 L의 제휴마케팅팀 1팀장으로 근무한 BK은 수사기관에서 "제가 팀장이 되면서 각 DB의 속성에 대해 물어보았더니 그 당시 I 담당자였던 BL가 퍼미션 DB는 제3자 제공 동의가 안되어 있는 DB라고 설명해 주어서 알게 되었다."고 진술하였다(증거기록 제6006쪽), ④ 피고인 G도 수사기관에서 "제가 처음 사전필터링을 하던 시점인 2013. 2.경에는 정확한 내용을 알지 못하였고 2개월 정도 지난 2013. 4.경 P, Q과 미팅을 하면서 FMC 회정보에 대해 사전필터링하는 것은 미동의라는 것을 확실히 알게 되었다.", "I로부터 교부받아 사전필터링을 한 DB는 FMC DB도 있었고 이벤트 DB도 있었다. 이벤트 DB는 폴더에 해당 이벤트명이 모두 기재되어 있었고, FMC DB와 이벤트 DB는 구분되어 있었으므로 혼동할 염려는 없었다.", "I로부터 사전필터링을 제안받고 몇 차례 거절하다가 이를 수용하였는데, 그 직전에 정식으로는 아니지만 법무팀의 자문을 구한 적은 있다."라고 진술하였다(증거기록 제5519쪽), 또한 피고인 G은 수사기관에서 "2012. 말경쯤 IP 과장과 미팅하는 자리에서 P 과장이 '업로드율을 높이기 위해서 사전 필터링 이 필요하다. 우리가 먼저 고객정보를 제공하면 그 제공받은 고객정보를 사전필터링한 후 다시 달라. 그러면 W 등 사후동의 업체에 다시 그 필터링한 정보를 넘겨서 동의를 받아 주겠다.'고 이야기하여 저희가 시작하게 된 것이다."고 진술하였다(증거기록 제1756쪽). ⑤ 피고인 G 등 L 제휴마케팅팀 직원들의 컴퓨터에서 발견된 내부 문서 파일에는 퍼미션 DB는 제3자 정보제공 미동의 고객을 대상으로 W에서 동의를 받아 만들어지는 것이라는 취지의 설명이 기재되어 있는데, 특히 피고인 G이 제휴마케팅팀 차장으로 근무한 기간인 2014. 1. 23. 작성된 'EJ Business Summary(EJ Business 현황 및 주요 Issue)'에도 'Permission DB : 마케팅 미동의 고객에게 동의콜을 받은 후 OB TM (퍼미션 업체 W)'이라는 내용이 기재되어 있다(증거기록 제3724쪽). ⑥ I 보험서비스팀 직원으로 근무했던 이은 수사기관에서 "2013. 11.경 L 관계자(G 차장, BH 사원)와 미팅을 하게 되었는데, 당시 저희는 저와 Q이 있었다. 그때 퍼미션 관련 이야기를 하고 있는데 필터링이라는 단어가 나와서 제가 '필터링이 무엇이냐'고 함께 있는 자리에서 물어보았더니, Q이 '제3자 제공 동의를 받지 않은 DB에 대해 매칭을 한 후 퍼미션을 받기 위한 DB를 골라내는 작업이다'라고 했다."라고 진술하였다(증거기록 제3838쪽). 2) ② 주장에 대하여 앞서 1)항에서 본 사정들에 원심 및 환송 전 당심이 적법하게 채택하여 조사한 증거들에 의하여 인정되는 다음과 같은 사정들을 보태어 보면, 피고인 G은 이 부분 범행의 위법성을 충분히 인식하고 있었다고 봄이 타당하고, 설령 그 위법성을 인식하지 못했다고 하더라도 거기에 정당한 이유가 있다고 볼 수 없다. 피고인 G과 그 변호인의 이 부분 주장도 받아들이지 아니한다.

즉 I는 2014. 4. 1.경 AY과 '전략적 제휴계약'을 체결하고 그 무렵부터 위 회사에 고객들의 개인정보를 제공하였다. 그러던 중 2014. 5.경 I 직원 P와 Q이 AY의 담당자 AX에게 사전필터링을 제안하였는데, AY은 내부 검토 결과 제3자 정보제공에 대한 동의가 없는 상태에서 사전필터링을 위해 고객 개인정보를 제공받을 경우 법률적으로 문제가 될 수 있는 것으로 판단하고 위 제안을 거절하였다. 또한 P, Q은 BF 담당자 BE에게도 그와 같은 제안을 하였으나 BF 역시 문제가 될 소지가 있다고 판단하고 위 제안을 거절하였다(증거기록 제1560쪽). 이와 같이 I는 보험사들에게 사전필터링을 제안하면서 그 대상이 제3자 정보제공에 대해 동의하지 않은 고객들의 개인정보임을 명확하게 고지했던 것으로 보인다. 이러한 사정에 비추어 의 제휴 업무를 담당하는 보험사의 직원이라면 그와 같은 사전필터링의 문제점을 잘 알고 있었을 것으로 보인다.

4. 피고인 H(개인정보 수령으로 인한 개인정보보호법 위반, 정보통신망법 위반의 점 관련)

가. 주장 요지

피고인은, [가 사전필터링을 위해서 N에 제공한 패밀리카드 회원들의 개인정보 데이터베이스에 이미 제3자 정보제공에 대해서 동의한 회원들의 개인정보만 들어있는 것으로 알고 있었고, 거기에 미동의 회원들의 개인정보가 포함되었다는 사정을 알지 못했다.

나. 판단

원심 및 환송 전 당심이 적법하게 채택하여 조사한 증거들에 의하여 인정되는 다음과 같은 사정들을 종합하면, 피고인 H은 피고인 D 등이 사전필터링을 위해서 정보주체인 I 고객들의 제3자 정보제공에 대한 동의 없이 [별지 2] 범죄일람표 3-1 순번 1~335800, 715493~1018388, 범죄일람표 3-2 순번 608515-1513270 기재 개인정보들을 제공한 사정을 잘 알면서도 위 개인정보들을 제공받은 사실을 충분히 인정할 수 있다. 피고인 H과 그 변호인의 위 주장은 받아들이지 아니한다.

1) I는 2008년 4월경 고객이 I 패밀리카드 회원가입시 제3자 정보제공에 대한 동의 여부를 선택할 수 있도록 변경하였고, 이후로는 신규 회원 중 제3자 정보제공에 대해 동의하는 비율이 10%에도 미치지 못했다. 이로 인해 보험회사들에 판매할 개인정보가 부족해지자 I는 제3자 정보제공에 대해 동의하지 않은 패밀리카드 회원들을 대상으로 전화로 동의를 받은 후 개인정보를 판매하는 방식의 퍼미션 모델을 도입하게 되었다. 2) Q이 2011. 6. 2. N과의 퍼미션 업무제휴약정서 체결과 관련하여 작성한 품의서 '개요'란에는 '미동의 고객 대상 퍼미션(동의획득) TM을 통한 신규수익 창출', '퍼미션 계약체결을 통한 N과의 비즈니스 모델 다각화로 당사 안정적 수익 확보'라고 기재되어 있다. 그 후 2011. 6. 20, I와 N 사이에 체결된 '업무제휴계약 부속약정' 제2조의2(계약 내용) 제1항에도 'I는 N이 I의 고객에 대하여 보험TM을 실시할 수 있도록 I의 고객에게 N으로부터 보험관련 상담을 받을 의사가 존재하는지 여부를 확인하고 그에 대한 개인정보 제공 동의를 획득한 개인정보를 N에게 제공하는 업무를 수행한다.'고 규정되어 있다.

3) 와 N의 실무자들은 매월 2 ~ 3회 만나 제휴업무 관련 협의를 하였고, 그 자리에서 I의 직원들은 N 직원들에게 의 데이터베이스 보유 현황, 데이터베이스의 구성 등을 알려주었다. 피고인 H도 2011년 ~ 2012년 사이에 위 실무자 협의에 계속 참석하였고, 따라서 피고인 H은 I 패밀리카드 회원들 중 제3자 정보제공에 동의한 사람들의 비율이 매우 낮은 점을 포함하여 I의 데이터베이스 보유 현황 등을 잘 알고 있었을 것으로 보인다.

4) 피고인 D는 수사기관에서 "L 및 N과 퍼미션 계약을 체결할 당시 확실히 퍼미션 DB는 제3자 개인정보 제공 동의가 되어 있지 않은 DB에 대해 사후에 동의를 받은 DB라는 사실을 협의한 것이 확실하다."고 진술하였고, P, Q, X 등 보험서비스팀에서 근무했던 I 직원들 모두 당연히 N 측에서도 사전필터링을 위해서 제공된 개인정보들이 제3자 제공 동의가 되어 있지 않은 사실을 알고 있었다고 일치된 진술을 하였다.

5) N은 이 사건 당시 I로부터 FMC DB를 제공받고, 이를 이용하여 텔레마케팅을 진행한 후 보험에 가입한 고객 당 월 보험료의 320%에 해당하는 금액을 I에 대가로 지급하고 있었다. 만약 피고인 H의 주장과 같이 N이 사전필터링을 위해서 로부터 넘겨받은 개인정보들이 이미 제3자 정보제공에 동의한 I 패밀리카드 회원들의 것이라면, 그 개인정보들은 L이 이미 I로부터 제공받은 FMC DB 중 해당 회원들의 개인정보와 중복되게 된다. 그럼에도 I가 동의한 시점으로부터 상당한 기간이 경과한 회원들을 대상으로 기억을 환기시켜 주는 차원에서 추가 동의를 받았다는 이유만으로 N이 개인정보 1건당 2,800원을 에 추가로 지급하고 퍼미션 DB의 개인정보들을 제공받았다는 것은 납득하기 어렵다.

검사의 추징 구형에 대한 판단

1. 법률 적용의 문제

개인정보 보호법 제74조의2는 "제70조부터 제73조까지의 어느 하나에 해당하는 죄를 지은 자가 해당 위반행위와 관련하여 취득한 금품이나 그 밖의 이익은 몰수할 수 있으며, 이를 몰수할 수 없을 때에는 그 가액을 추징할 수 있다. 이 경우 몰수 또는 추징은 다른 벌칙에 부가하여 과할 수 있다."고 규정하고 있고, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제75조의2는 "제71조 제1항 제1호부터 제8호까지, 제72조 제1항 제2호 및 제73조 제1호 · 제1호의2 · 제7호의 어느 하나에 해당하는 죄를 지은 자가 해당 위반행위와 관련하여 취득한 금품이나 그 밖의 이익은 몰수할 수 있으며, 이를 몰수할 수 없을 때에는 그 가액을 추징할 수 있다. 이 경우 몰수 또는 추징은 다른 벌칙에 부가하여 과할 수 있다."고 규정하고 있다. 그러나 위 개인정보 보호법 제72조 의2의 규정은 2015. 7. 24. 법률 제13423호 개정으로 신설된 것이고, 위 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제75조의2의 규정은 2016. 3. 22. 법률 제14080호 개정으로 신설된 것이어서, 이 사건에는 위 각 법규정들을 적용할 수 없다. 이 사건에서는 가 이 사건 각 범행을 통해 취득한 고객들의 개인정보와 그 개인정보를 판매하고 취득한 대금이 형법 제48조 제1항 제2호, 제3호, 제2항에 따른 몰수·추징의 요건을 충족하여 이에 따른 몰수·추징이 가능한지 여부가 문제된다.

2. 검사의 주장 요지

검사는 아래와 같은 이유로 이 사건 각 범행과 관련하여 I가 취득한 이익을 추징해야 한다고 주장한다.

가. 개인정보취득 등으로 인한 개인정보보호법위반죄 관련

① 형법 제48조 제1항 제2호는 '범죄행위로 인하여 생하였거나 이로 인하여 취득한 물건'을 몰수의 대상으로 규정하고 있고, 여기에서의 '물건'에는 유체물 뿐 아니라 권리 또는 이익도 포함된다. I가 이 부분 범행을 통하여 부정한 방법으로 취득한 것은 고객들의 개인정보이고, 위 개인정보는 이익에 해당하여 형법 제48조 제1항 제2호에 따라

몰수의 대상인 물건에 해당한다. 설령 위 개인정보가 '물건'에 해당하지 않는다고 하더라도, 그 판매대금은 형법 제48조 제1항 제3호에 따라 몰수의 대상인 물건에 해당한다. ② I는 이 부분 범죄사실의 범행기간 동안 부정한 방법으로 취득한 고객들의 개인정보를 L, N을 비롯한 8개 보험사에게 판매하여 그 대금으로 합계 14,193,137,600원을 취득하였다. ③ 이와 같이 이 사건 범행을 통하여 취득한 고객들의 개인정보나 그로 인한 이익은 모두 I에게 귀속되었고, 이를 몰수하는 것이 불가능하므로, I에 대해서 위 판매대금 상당액을 추징해야 한다.

나. 개인정보 제공으로 인한 개인정보보호법위반, 정보통신망법 위반의 점에 관하여

① 피고인 D 등과 I는 제3자 제공에 대한 동의를 받지 않은 고객들의 개인정보를 보험사인 L과 N에게 제공하여 사전필터링을 하도록 하고, 그 후 위 보험사들로부터 사전필터링을 거친 고객들의 개인정보 데이터베이스를 받아 퍼미션콜을 시행한 다음 그 중 사후동의를 한 고객들의 개인정보를 위 보험사들에 판매하여 그 대금으로 위 보험사들로부터 합계 8,175,824,400원을 취득하였다. 따라서 위 판매대금은 형법 제48조 제1항 제2호의 '범죄행위로 인하여 생하였거나 이로 인하여 취득한 물건'에 해당하여 몰수 대상이 된다. ② 위 판매대금은 모두 I에게 귀속되었고, 이를 몰수하는 것이 불가능하므로, I에 대해서 위 판매대금 상당액을 추징해야 한다.

3. 판단

가. 개인정보취득 등으로 인한 개인정보보호법위반죄 관련

1) 형법 제48조 제1항은 "범인 이외의 자의 소유에 속하지 아니하거나 범죄후 범인 이외의 자가 정을 알면서 취득한 다음 기재의 물건은 전부 또는 일부를 몰수할 수 있다."고 규정하고, 몰수 대상이 되는 물건으로 "범죄행위에 제공하였거나 제공하려고 한 물건(제1호)", "범죄행위로 인하여 생하였거나 이로 인하여 취득한 물건(제2호), "전2호의 대가로 취득한 물건(제3호)"을 열거하고 있다. 그리고 같은 조 제2항은 "전항에 기재한 물건을 몰수하기 불능한 때에는 그 가액을 추징한다."고 규정하고 있다. 이와 같이 몰수는 '물건'에 대한 것이고, 추징은 본래 그 물건을 몰수할 수 있었음을 전제로 하는 것임에 비추어, 형법 제48조 제2항에 의하여 추징을 명하기 위해서는 형법 제48조 제1항 각 호 중 하나에 해당하는 '물건'의 존재가 전제되어야 한다.

'물건'은 사전적으로는 '일정한 형체를 갖춘 모든 물질적 대상'을 의미한다. 형법에는 '물건'의 정의에 관한 규정은 없지만, 각칙의 여러 조항3)의 구성요건에는 범죄의 객체 또는 수단으로 '물건'이 포함되어 있고, 위 각 구성요건의 해석상 그 '물건'은 모두 유체물을 의미하는 것으로 보인다4). 한편 민법 제98조는 물건의 정의에 관해서 "본법에서 물건이라 함은 유체물 및 전기 기타 관리할 수 있는 자연력을 말한다."고 규정하고 있다.

위와 같은 '물건'의 사전적 의미와 위 형법, 민법 조항들의 각 규정 내용 등을 종합하면, 형법 제48조 제1항 각 호의 '물건'은 유체물을 의미하거나, 좀 더 넓게 해석하더라도 유체물과 전기 기타 관리할 수 있는 자연력을 의미한다고 봄이 타당하다(검사.는 대법원 1976. 9. 28. 선고 75도3607호 판결을 들어 형법 제48조 제1항 각 호의 '물 건'에는 유체물 뿐 아니라 권리 또는 이익도 포함된다고 주장하나, 위 판결은 뇌물에 대한 필요적 몰수 또는 추징을 규정한 형법 제134조에 관한 것으로, 위 판결에서 설시된 뇌물의 개념을 형법 제48조 제1항 각 호의 '물건'에 그대로 적용할 수는 없다). 2) 앞서 본 형법 제48조 제1항 각 호의 '물건'의 의미와 원심 및 환송 전 당심이 적법하게 채택하여 조사한 증거들에 의하여 인정되는 다음과 같은 사정들을 종합하면, I가 이 부분 범죄사실과 같이 부정한 수단이나 방법으로 취득한 고객들의 개인정보를 판매하여 취득한 대금 상당액은 추징의 대상이 될 수 없다고 봄이 타당하다.

① 피고인 A 등과 가 부정한 수단이나 방법으로 취득한 고객들의 개인정보는 유체물이나 전기 기타 관리할 수 있는 자연력에 해당하지 않는다. 따라서 위 개인정보는 형법 제48조 제1항 제1호 또는 제2호의 물건 중 어디에도 해당할 수 없다. ② 1가 위 개인정보를 보험사들에 판매한 행위에 대해서는 공소가 제기되지 않았으므로, I가 위 개인정보를 보험사들에 판매하여 취득한 대금은 이러한 이유로도 형법 제48조 제1항 제2호의 '범죄행위로 인하여 생하였거나 이로 인하여 취득한 물건'에 해당하지 않는다. ③ 형법 제48조 제1항 제3호는 같은 항 제1, 2호의 대가로 취득한 물건을 몰수할 수 있다는 취지이므로, 앞서 본 것과 같이 위 개인정보가 같은 항 제1, 2호의 물건 중 어디에도 해당하지 않는 이상 그 판매대금은 같은 항 제3호의 물건에 해당할 수 없다. (4) 그렇다면 가 취득한 위 판매대금은 몰수의 대상이 될 수 없으므로, 그 판매대금을 몰수하기 불가능하더라도 그 가액을 추징할 수 없다.

나. 개인정보 제공으로 인한 개인정보보호법 위반죄, 정보통신망법위반죄 관련

원심 및 환송 전 당심이 적법하게 채택하여 조사한 증거들에 의하여 인정되는 다음과 같은 사정들을 종합하면, I가 L과 N의 사전필터링을 거친 후 사후동의를 받은 고객들의 개인정보를 위 보험사들에 판매하여 취득한 대금 상당액은 추징의 대상이 될 수 없다고 봄이 타당하다.

① 피고인 D 등은 사전필터링을 위해 L과 N에 개인정보를 제공하고, L과 N은 의웹하드를 통해 제공받은 개인정보, 데이터베이스를 필터링하여 다시 위 웹하드에 업로드하면, I는 그 데이터베이스를 가지고 W 등을 통하여 퍼미션 콜 작업을 수행한 후 동의를 받은 고객들의 개인정보를 다시 위 보험사들에 판매하였다. 위와 같은 일련의 과정 중 피고인 D 등이 개인정보 보호법이나 정보통신망법을 위반한 부분은 제3자 제공에 대한 고객들의 사전 동의를 얻지 않은 상태에서 사전필터링을 위해서 그들의 개인정보를 L과 N에 제공한 행위 부분이고, 검사도 이 부분에 대해서만 공소를 제기하였을 뿐 그 후 피고인 D 등이나 I가 사후에 퍼미션 콜을 통하여 동의를 받은 고객들의 개인정보를 위 보험사들에 판매한 행위에 대해서는 공소를 제기하지 않았다. ② 위와 같이 피고인 D 등이 사전필터링을 위해서 고객들의 개인정보를 L과 N에 제공한 것이 위 보험사들에 고객들의 개인정보를 판매하기까지의 전체 과정 중 일부를 차지한 것은 맞지만 사전필터링을 위한 개인정보 제공 자체에 대해서는 대가가 없었고, 종전과 같이 사후에 필터링 작업을 거치는 경우와 비교할 때 가 사전에 필터링 작업을 거쳐 고객들의 개인정보를 위 보험사들에 판매하여 취득한 대금이 특별히 증가하였다고는 보이지 않으며, 다만 I는 사전필터링 방식을 통하여 미리 고객들로부터 동의를 받았다가 사후 필터링 작업으로 걸러지는 경우를 줄임으로써 그만큼 퍼미션 콜에 드는 비용 지출을 줄이는 등의 소극적 이익을 얻은 데 불과한 것으로 보일 뿐이다. ③ 따라서 I가 사후에 퍼미션 콜을 통하여 동의를 받은 고객들의 개인정보를 위 보험사들에 판매하여 취득한 대금은 이 부분 범행으로 인하여 생하였거나 이로 인하여 취득한 물건에 해당하지 않는다. 그렇다면 I가 취득한 위 판매대금은 몰수의 대상이 될 수 없으므로, 이를 몰수하기 불가능하더라도 그 가액을 추징할 수 없다.

양형의 이유 1. 피고인 A, B, C, D, E, F, I국내 굴지의 유통 관련 대기업인 I는 수많은 고객들의 개인정보를 처리하는 자로서 고객들의 개인정보 보호에 앞장서야 할 사회적 책임이 있음에도, 그 임직원인 피고인A 등이 공모하여 보험사들에 유상 판매할 목적임을 숨긴 채 경품행사를 가장하여 부정한 수단이나 방법으로 고객들로부터 개인정보를 취득하고 처리에 관한 동의를 받았고, 나아가 피고인 D 등은 단지 퍼미션 콜 비용의 절감이나 관련 업무 편의를 위해서 고객의 동의 없이 그들의 개인정보를 보험사들에 제공하는 등 이 사건 각 범행은 그 죄질이 매우 불량하고 비난가능성이 크다. 그리고 위 피고인들이 이 사건 각 범행을 통하여 부정하게 취득하거나 정보주체 동의 없이 보험사들에게 제공한 개인정보의 규모가 매우 크고, 나아가 I는 위와 같이 부정하게 취득한 개인정보들을 보험사들에 제공하고 큰 이익을 얻었다. 또한 이 사건 각 범행으로 인하여 수많은 고객들이 개인정보에 관한 자기결정권을 침해당하는 피해를 입었지만 그 피해가 회복되었다고 인정할 만한 자료가 제출되지 않았다. 이러한 사정들과 위 피고인들의 지위, 가담 정도, 범행 기간, 범행의 경위, 범행 후의 정황, 그 밖에 위 피고인들(I 제외)의 나이, 경력, 성행, 환경 등 이 사건 기록 및 변론에 나타난 제반 양형조건을 종합하여 주문과 같이 형을 정한다.

2. 피고인 G, H사전필터링을 위해서 L과 N에 대량의 개인정보가 제공된 점, 그 중 사후적으로도 제3자 제공에 동의하지 않은 고객들의 개인정보까지도 L이나 N에서 보유하게 된 점 등을 볼 때 위 피고인들의 범행 역시 그 죄질이 가볍지 않다. 그리고 피고인들은 1와의 제휴업무를 담당하던 실무 직원으로서 사전필터링을 위해서 제공된 개인정보들에 대해서 제3자 제공동의가 되어 있지 않다는 점을 잘 알고 있었음에도 이를 알지 못했다는 등 납득할 수 없는 주장을 계속하면서 책임을 회피하는 데 급급한 태도를 보이고 있다.

다만 위 피고인들이 모두 초범인 점, 회사의 직원으로서 업무수행 과정에서 이 부분 범행에 이른 점 등 위 피고인들에게 유리한 정상들과 그 밖에 위 피고인들의 나이, 경력, 성행, 환경, 범행의 경위, 범행 후의 정황 등 이 사건 기록 및 변론에 나타난 제반 양형조건을 종합하여 주문과 같이 형을 정한다.