logobeta
텍스트 조절
arrow
arrow
무죄
orange_flag
서울중앙지방법원 2016. 1. 8. 선고 2015고단510 판결
[개인정보보호법위반][미간행]
피 고 인

피고인 1 외 8인

검사

정광수, 심형석(기소), 이승훈(공판)

변 호 인

변호사 김성욱 외 5인

주문

피고인들은 각 무죄.

피고인들에 대한 판결의 요지를 공시한다.

이유

Ⅰ. 공소사실

1. 피고인들의 업무

가. 피고인 9 주식회사(이하, ‘피고인 9 회사’라고만 한다.)의 업무

피고인 9 회사는 1999. 5.경 하이퍼마켓 상점의 개발과 운영 등을 비롯한 물류·유통 등을 목적으로 설립된 회사로서 전국적으로 139개의 대형마트, 286개의 직영점(익스프레스), 8개의 물류유통센터, 인터넷 쇼핑몰 등을 운영하고 있으며, 점포 또는 피고인 9 회사 인터넷 홈페이지 등을 통하여 위 회사의 물품 판매, 서비스 제공과 관련한 회원정보 및 경품이벤트 행사와 관련한 응모고객 정보를 수집·관리·제공하는 등의 처리업무를 수행하고 있다.

피고인 9 회사는 수집한 회원정보 및 경품행사 응모고객 정보를 보험모집을 원하는 여러 보험회사에 유상으로 임의 판매하는 방법으로 영업이익을 극대화하려는 영업방침에 따라, 2002년경 일반상품부문 산하에 신유통서비스본부를 설치하고, 신유통서비스본부 내의 보험서비스팀으로 하여금 수집한 회원정보 및 경품행사 응모고객 정보판매 등의 업무를 전담하게 하는 한편(예 : 2013년 보험서비스팀의 개인정보 판매 관련 순이익 174억 원, 2014년 보험서비스팀의 개인정보 판매 관련 순이익 목표금액 214억 원), 2004년경부터 계속하여 패밀리카드 가입을 통한 회원정보를 수집하고(현재까지 회원정보 약 1,800만 건), 2009년경부터 경품이벤트 행사를 개최하여 지속적으로 응모고객 정보를 수집(응모고객 정보 약 1,200만 건)하고 있다.

피고인 1은 1999년경부터 피고인 9 회사에서 근무하면서 2008년경부터 2011년 8월경까지 피고인 9 주식회사의 대표이사를, 2013년 5월경부터 현재까지 피고인 9 회사의 대표이사를 각각 맡아, 피고인 9 회사의 업무 전반을 관리하고, 보험서비스팀이 소속된 신유통서비스본부의 실적 등을 보고받고 관리하여 왔다.

피고인 2는 1999년경부터 피고인 9 회사에 근무하면서 2009년 4월경부터 2012년 8월경까지 피고인 9 회사의 신유통서비스본부가 소속된 일반상품부문을 담당하는 부사장을 맡아 피고인 9 회사의 신유통부문의 업무 전반을 관리하고, 보험서비스팀의 실적 등을 보고받고 관리하여 왔다.

피고인 3은 2002년경 피고인 9 회사에 입사하여 2002년 8월경부터 소매금융팀 팀장으로, 2006년경부터 현재까지 신유통서비스본부 본부장으로 각각 근무하면서, 보험서비스팀을 비롯한 신유통부문의 업무 전반을 관리하였고, 피고인 1, 피고인 2에게 신유통서비스본부의 실적, 현안 등을 수시로 보고하여 왔다.

피고인 4는 2008년경 피고인 9 회사에 입사하여 2010년 5월경부터 2011년 7월경까지 보험서비스팀 생명보험 파트장으로, 2011년 7월경부터 2013년 5월경까지 보험서비스팀 팀장으로 각각 근무하면서, 점포 또는 피고인 9 회사 인터넷 홈페이지 등을 통하여 보험서비스팀 패밀리카드 가입 회원정보 및 경품행사 응모고객 정보를 수집하고, 위와 같이 수집한 패밀리카드 가입 회원정보 및 경품행사 응모고객 정보를 여러 보험회사에 유상으로 판매하는 일을 담당하였다.

피고인 5는 2001년경 피고인 9 회사에 입사하여 2013년 5월경부터 2013년 12월경까지 보험서비스팀 팀장으로 근무하면서, 점포 또는 피고인 9 회사 인터넷 홈페이지 등을 통하여 패밀리카드 가입 회원정보 및 경품행사 응모고객 정보를 수집하고, 위와 같이 수집한 패밀리카드 가입 회원정보 및 경품행사 응모고객 정보를 여러 보험회사에 유상으로 판매하는 일을 담당하였다.

피고인 6은 2001년경 피고인 9 회사에 입사하여 2013년 12월경부터 보험서비스팀 팀장으로 근무하면서, 점포 또는 피고인 9 회사 인터넷 홈페이지 등을 통하여 패밀리카드 가입 회원정보 및 경품행사 응모고객 정보를 수집하고, 위와 같이 수집한 패밀리카드 가입 회원정보 및 경품행사 응모고객 정보를 여러 보험회사에 유상으로 판매하는 일을 담당하였다.

나. 피고인 7의 업무

공소외 1 주식회사(이하, ‘공소외 1 회사’라고 한다.)는 1987년 생명보험 판매 등을 목적으로 미국 ○○○그룹 소속의 공소외 1 회사 한국지사로 설립되어 2004. 6. 1. 공소외 1 회사로 법인화된 회사로, 위 회사의 보험가입과 관련한 회원정보 및 텔레마케팅 영업과 관련한 대상자 정보를 수집·관리·제공하는 등의 처리업무를 수행하고 있다.

공소외 1 회사는 생명보험 등의 보험가입 유치를 위해 다양한 기업과 제휴관계를 통해 개인정보를 수집하고, 위와 같이 제휴사 등으로부터 수집한 개인정보를 이용하여 서울, 대구, 광주, 부산 등에 소재한 콜센터에 소속된 5,600명 규모의 텔레마케터 등 텔레마케팅 영업판매조직을 통해 고객들과 접촉하여 고객들로 하여금 공소외 1 회사가 판매하는 보험에 가입하게 하고 있다.

피고인 7은 2008년 4월경 공소외 1 회사에 입사하여 2011년 10월경부터 2014년 5월경까지 제휴마케팅팀 차장으로 근무하면서, 제휴사들로부터 개인정보를 취득하여 텔레마케팅 영업판매 조직에 배분하여 보험모집 영업에 사용하도록 하는 업무를 담당하였다.

다. 피고인 8의 업무

공소외 2 주식회사(이하, ‘공소외 2 회사’라고 한다)는 1990. 1. 4.경 생명보험, 연금보험 판매 등을 목적으로 설립된 회사로서 전국적으로 210개의 지점을 운영하고 있으며, 위 회사의 보험 가입과 관련한 회원정보 및 텔레마케팅 영업과 관련한 대상자 정보를 수집·관리·제공 등의 처리 업무를 수행하고 있다.

공소외 2 회사는 생명보험 등의 보험가입 유치를 위해 다양한 기업과 제휴관계를 통해 개인정보를 수집하고 있고, 위와 같이 제휴사 등으로부터 수집한 개인정보를 이용하여 콜센터에 소속된 텔레마케터 등 텔레마케팅 영업판매조직을 통해 고객들과 접촉하여 고객들로 하여금 공소외 2 회사가 판매하는 보험에 가입하게 하고 있다.

피고인 8은 2006년경 공소외 2 회사에 입사하여 2006년 9월경부터 2012년 9월경 및 2013년 6월경부터 현재까지 제휴마케팅팀 차장으로 근무하면서 제휴사들로부터 개인정보를 취득하여 텔레마케팅 영업판매 조직에 배분하여 보험모집 영업에 사용하도록 하는 업무를 담당하여 왔다.

2. 피고인 9 회사측 범죄사실

가. 피고인 1, 피고인 2, 피고인 3, 피고인 4, 피고인 5, 피고인 6의 부정한 방법에 의한 개인정보 취득 관련 개인정보보호법위반 공동범행

개인정보를 처리하거나 처리하였던 자는 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위를 하여서는 아니 된다.

① 개인정보처리자는 개인정보보호법 제15조 제1항 의 사유에 한하여 그 목적에 필요한 최소한의 개인정보를 수집하여야 하고, 그 수집목적의 범위에서 이용할 수 있다. 또한 동의를 받아 개인정보를 수집하는 경우에는 ‘개인정보의 수집·이용목적’ 등을 정보주체에게 제대로 알려야 하고, 수집목적에 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알려야 하며, 이를 통해 정보주체가 동의함에 있어서 주요한 판단자료로 삼게 된다. 그리고 개인정보처리자는 수집목적에 필요한 최소한의 정보 외의 개인정보수집에 정보주체가 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.

② 보험업의 건전한 육성과 이해관계인의 권익을 보호하고자 보험을 모집할 수 있는 자는 보험설계사, 보험대리점, 보험중개사, 보험회사의 임원으로 제한되어 있고, 보험회사는 그러한 자격 있는 자 이외의 자에게 모집을 위탁하거나 모집에 관하여 수수료, 보수, 그 밖의 대가를 지급하지 못하도록 하고 있다. 이러한 보험업법의 관련 규정에 비추어 볼 때, 적법한 보험모집업자 이외의 자는 보험계약 체결 성사 시 어떤 대가를 지급받아서는 안 됨은 물론 그 계약체결 이전 단계라고 하더라도 보험계약 체결 가능성이 있는 대량의 개인정보를 조직적이고 지속적인 방법으로 알선해주고, 그 대가를 지급받아서는 아니 된다.

본건의 경우 개인정보처리자는 수집목적에 필요한 최소한의 범위에서 개인정보를 수집하여야 하고, 경품이벤트 행사는 주관사의 홍보 측면에서 고객에 대한 사은(사은) 행사 취지로 개최되는 것이므로 개인정보 수집 목적은 경품 당첨자의 경품발송에 국한되어야 하며, 그 목적을 제대로 알려야 한다.

그런데도 피고인들은 2009. 10. 1.경 공소외 1 회사, 2010. 6. 17.경 공소외 2 회사와 경품이벤트 행사를 통해 취득하는 개인정보를 1건당 1,980원에 판매한다는 업무제휴약정을 각각 체결하고, 경품이벤트 행사를 가장(가장)하여 경품 당첨을 기대하고 응모하는 고객들의 심리를 이용하여 그 개인정보를 여러 보험회사에 대가를 받고 팔아넘길 목적으로 경품행사를 기획·시행하기로 하였다.

피고인 2는 비상품부문장으로 근무하면서 경품행사는 보험회사에 개인정보를 제공하기 위해 시작되었고, 특히 피고인 9 회사의 회원정보만으로는 보험회사에 판매할 충분한 개인정보를 확보할 수 없어 경품행사를 하게 되었다는 사실, 경품행사를 하는 목적이 경품이벤트 행사를 가장하여 보험회사에 대가를 받고 판매할 개인정보를 취득하기 위한 것이라는 사실을 알고 있었으며, 위와 같은 경품행사의 목적을 달성하기 위해 피고인 3 등으로부터 매주 보험서비스팀이 소속된 신유통서비스 본부의 실적을 보고받고, 일부 경품행사의 경우 개인정보 취득의 극대화를 위해 경품을 외제차 1대에서 국산차 10대로 변경하라고 지시하는 등 경품행사를 통한 개인정보 취득에 관여하고, 피고인 1은 대표이사로서 취임 이후부터 약 1개월에 한 번씩 개최되는 일명 GG미팅(Governance Group Meeting)이라는 임원회의에서 신유통서비스 본부의 보험서비스팀에서 경품행사를 하는 목적이 경품이벤트 행사를 가장하여 보험회사에 대가를 받고 판매할 개인정보를 취득하기 위함임을 보고받아 이에 대해 알고 있었으며, 주기적으로 매주 실적자료를 보고받아 왔을 뿐 아니라, 이에 대해 피고인 3에게 실적이 미달되는 이유, 데이터 판매에 대해 물어보기도 하는 등 지속적으로 경품행사를 통한 개인정보 취득에 관여하고, 피고인 3은 신유통서비스본부장으로 근무하면서 보험서비스팀의 현안을 피고인 2, 피고인 1에게 보고하고, 피고인 2, 피고인 1의 지시에 따라 보험서비스팀을 관리하면서 피고인 4, 피고인 5, 피고인 6에게 지시하는 등 경품행사를 주관하고, 피고인 4, 피고인 5, 피고인 6은 보험서비스팀 팀장으로 피고인 3의 지시에 따라 경품행사를 기획·시행하고, 보험서비스팀 직원인 공소외 4, 공소외 5, 공소외 6 등에게 지시하여 경품행사를 통해 개인정보를 취득하기로 하였다.

피고인들은 이에 따라 경품응모권 용지의「개인정보 수집·이용목적」란에 본래의 수집목적인 ‘경품 추첨 및 발송’ 이외에 ‘보험 마케팅을 위한 정보 제공’을 추가 기재하고, 협찬이라는 미명하에 개인정보 제3자 제공의 「제공받는자」란에 공소외 1 회사, 공소외 2 회사 등 각종 보험회사를 기재하고「이용목적」란에 ‘생명, 손해보험상품 등의 안내를 위한 전화, SMS 등 마케팅자료로 활용됩니다.’라고 기재하였음에도 불구하고, 이러한 내용의 글자 크기를 약 1mm로 인쇄함으로써 사실상 가독(가독)할 수 없도록 하여 응모고객들로 하여금 어수선한 경품이벤트 행사 현장에서 응모권에 있는 고가(고가)의 경품 사진에 현혹되어 무심코 동의를 하도록 하였다.

또한 경품행사에 있어서 개인정보의 수집 범위는 당첨자에 대한 경품발송에 필요한 응모고객의 성명·연락처 정도로 국한되어야 함에도, 보험회사의 요청에 따라 보험회사에서 보험모집에 적당한 대상자를 선별할 때 중요한 요소인「생년월일」,「자녀수」란을 경품응모권 용지에 만들어 넣고,「기재/동의 사항 일부 미기재, 미동의 서명누락시 경품 추첨에서 제외됩니다」라는 문구를 기재하여 경품이벤트 행사에 응모하려면 불필요한 항목에 대해서까지 동의하지 않을 수 없도록 하고, 일부 항목이라도 기재하지 않거나 동의하지 않으면 그 고객을 경품 추첨에서 배제하였다.

그리고 경품응모권 용지의 연락처 아래에 「경품 추첨이 SMS로 고지되니 정확하게 기재하셔야 합니다」라고 기재하여 응모고객들이 자신의 전화번호(집·사무실 등)와 휴대폰번호를 기재하도록 하였다. 그런데 사실은 피고인들을 비롯한 보험서비스팀 직원들은 회사의 영업이익 극대화 방침에 따라 경품추첨 이후에는 당첨자에게 제대로 연락하지 않고 전화를 받지 아니하면 더 이상 연락을 하려는 노력을 하지 않았고, 당첨자에게 그 연락처로 SMS를 보낸 사실이 없었으며, 2013. 10. 10.경부터 2013. 11. 27.경까지 실시한 “그룹탄생 5주년 기념 경품대축제” 경품행사에서는 1등과 3등 당첨자에게 연락을 전혀 취하지 않는 등 수개의 경품행사에서 연락을 취하지 않는 방법으로 경품을 지급하지 않기도 하였다.

또한, 2013. 12. 26.경부터 2014. 2. 8.경까지 실시한 “피고인 9 회사에서 다이아몬드가 내린다.” 경품행사에서는 다이아몬드 등 고가의 경품을 내걸더라도 실제로 미리 그 경품 모두를 준비하지도 않고, 설령 다이아몬드 당첨자가 어렵게 당첨사실을 알고 피고인 9 회사에 연락하더라도 미처 경품이 준비되지 않아 경품 대신에 피고인 9 회사 상품권 등 다른 물품으로 대체하여 지급할 수밖에 없었다.

나아가 적법한 보험모집자 이외의 자는 누구든지 보험계약 체결 성사시 어떤 대가를 지급받아서는 안 됨은 물론 그 계약 체결 이전이라도 보험계약 체결 가능성이 있는 대량의 개인정보를 알선해주고, 그 대가를 받아서는 아니 됨에도 피고인 9 회사는 공소외 1 회사와 공소외 2 회사에 대량의 경품응모고객 정보를 제공하고, 건당 1,980원의 대가를 지급받아 왔다.

결국 피고인 2, 피고인 3, 피고인 4는 공모하여 2011년 12월경부터 2012년 8월경까지 거짓이나 그 밖의 부정한 수단이나 방법으로 별지 범죄일람표(1-1)∼(1-3) 기재와 같이 “연말연시 벤츠가 온다 경품이 쏟아진다” 등 3개 경품행사 응모고객들의 개인정보(성명·생년월일·휴대폰번호·자녀수) 2,986,247건을 취득하고 처리에 관한 동의(제3자 제공)를 받았고, 피고인 3, 피고인 4는 공모하여 2012. 9월경부터 2013년 4월경까지 거짓이나 그 밖의 부정한 수단이나 방법으로 별지 범죄일람표(1-4)∼(1-6) 기재와 같이 “넝굴째 굴러온 아우디 벤츠” 등 3개 경품행사 응모고객들의 개인정보(성명·생년월일·휴대폰번호·자녀수) 1,290,125건을 취득하고 처리에 관한 동의(제3자 제공)를 받았으며, 피고인 1, 피고인 3, 피고인 5는 공모하여 2013년 7월경부터 2013년 11월경까지 거짓이나 그 밖의 부정한 수단이나 방법으로 별지 범죄일람표(1-7)∼(1-9) 기재와 같이 “가정의 달 황금이 쏟아진다” 등 3개 경품행사 응모고객들의 개인정보(성명·생년월일·휴대폰번호·자녀수) 1,698,457건을 취득하고 처리에 관한 동의(제3자 제공)를 받았고, 피고인 1, 피고인 3, 피고인 6은 공모하여 2013년 12월경부터 2014년 6월경까지 거짓이나 그 밖의 부정한 수단이나 방법으로 별지 범죄일람표(1-10)∼(1-11) 기재와 같이 “피고인 9 회사에서 다이아몬드가 내린다” 등 2개 경품행사 응모고객들의 개인정보(성명·생년월일·휴대폰번호·자녀수) 1,146,311건을 취득하고 처리에 관한 동의(제3자 제공)를 받았다.

이로써 피고인들은 공모하여 아래 표와 같이 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하고 처리에 관한 동의(제3자 제공)를 받았다.

본문내 포함된 표
순번 피고인 기간 경품행사 개인정보 범죄일람표
1 피고인 1 2013. 5.∼2014. 6. 5개 2,844,768건 (1-7)∼(1-11)
2 피고인 2 2011. 12.∼2012. 8. 3개 2,986,247건 (1-1)∼(1-3)
3 피고인 3 2012. 9.∼2014. 6. 11개 7,121,140건 (1-1)∼(1-11)
4 피고인 4 2011. 12.∼2013. 4. 6개 4,276,372건 (1-1)∼(1-6)
5 피고인 5 2013. 5.∼2013. 12. 3개 1,698,457건 (1-7)∼(1-9)
6 피고인 6 2014. 1.∼2014. 6. 2개 1,146,311건 (1-10)∼(1-11)

나. 피고인 4, 피고인 5, 피고인 6의 미동의 개인정보 제공 관련 개인정보보호법위반 및 정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등) 범행

개인정보처리자는 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공하여서는 아니 되고, 정보통신서비스 제공자는 이용자의 동의를 받지 아니하고 개인정보를 제3자에게 제공하여서는 아니 된다(사후동의 금지).

피고인들은 피고인 9 회사 영업방침에 따라 점포 또는 인터넷을 통해 가입한 피고인 9 회사 패밀리카드 회원들의 동의 없이 그 개인정보를 보험회사에 임의로 제공하여 판매하되, 해당 보험회사에서 그 중 보험모집에 적당한 대상자를 선별하여 다시 건네주면 제3자 제공의 불법성을 희석시키기 위해 공소외 3 주식회사(이하, ‘공소외 3 회사’라고 한다.) 등과 같은 콜센터를 통해 선별된 회원들에게 전화를 걸어 사후동의를 받는 편법을 동원하기로 하였다.

이에 따라 피고인들은 보험서비스팀 생명보험 파트장 공소외 4, 공소외 5 및 생명보험 파트원 공소외 6, 공소외 7, 공소외 8 등에게 지시하여 제3자 정보제공 동의가 되어 있지 않은 피고인 9 회사 패밀리카드 회원들 중 공소외 1 회사 및 공소외 2 회사에 제공할 대상자를 피고인 9 회사에서 운용하는 웹하드에 업로드하여 공소외 1 회사 및 공소외 2 회사에서 다운로드 할 수 있도록 하는 방법으로 제공하였다.

이와 같이 피고인 4는 2013년 2월경부터 2013. 5. 15.경까지 별지 범죄일람표 (2-1) 순번 1∼9826 기재와 같이 피고인 9 회사 회원들의 동의를 받지 아니하고 회원들의 개인정보(성명·주민등록번호·연락처 등) 약 631,425건(특정된 개인정보 건수 : 9,826건)을 공소외 1 회사의 제휴마케팅팀 차장인 피고인 7 등에게 제공하고, 2011년 12월경부터 2013년 5월경까지 별지 범죄일람표 (3-1) 순번 1∼715492, 별지 범죄일람표 (3-2) 순번 1∼171233 기재와 같이 피고인 9 회사 회원들의 동의를 받지 아니하고 회원들의 개인정보(성명·주민등록번호·연락처 등) 약 4,603,854건(특정된 개인정보 건수 : 886,725건, 온라인가입 개인정보 건수 : 7건)을 공소외 2 회사의 제휴마케팅팀 차장인 피고인 8 등에게 제공하여 합계 5,235,279건(특정된 개인정보 건수 : 896,551건, 온라인가입 개인정보 건수 : 7건)을 제공하고 사후동의를 받은 후 그 대가로 1명당 2,800원을 취득하고, 피고인 5는 2013년 5월경부터 2013년 12월경까지 별지 범죄일람표 (2-1) 순번 68560∼111361, 별지 범죄일람표 (2-2) 순번 1∼1342537, 별지 범죄일람표 (3-1) 순번 715493∼776685, 별지 범죄일람표 (3-2) 순번 171234∼1513270 기재와 같이 피고인 9 회사 회원들의 동의를 받지 아니하고 회원들의 개인정보(성명·주민등록번호·연락처 등) 약 2,583,656건(특정된 개인정보 건수 : 1,385,539건, 온라인가입 개인정보 건수 : 1건)을 공소외 1 회사의 제휴마케팅팀 차장인 피고인 7 등에게, 1,685,726건(특정된 개인정보 건수 : 1,403,230건, 온라인가입 개인정보 건수 : 20건)을 공소외 2 회사의 제휴마케팅팀 차장인 피고인 8 등에게 각 제공하여 합계 4,269,382건(특정된 개인정보 건수 : 2,788,569건, 온라인가입 개인정보 건수 : 21건)을 제공하고 사후동의를 받은 후 그 대가로 1명당 2,800원을 취득하였으며, 피고인 6은 2014년 1월경부터 2014년 8월경까지 별지 범죄일람표 (2-1) 순번 188458∼272970, 별지 범죄일람표 (2-2) 순번 1342538∼1634004, 별지 범죄일람표 (3-1) 순번 884168∼1018388 기재와 같이 피고인 9 회사 회원들의 동의를 받지 아니하고 회원들의 개인정보(성명·주민등록번호·연락처 등) 약 4,187,231건(특정된 개인정보 건수 : 375,980건, 온라인가입 개인정보 건수 : 89건)을 공소외 1 회사의 제휴마케팅팀 차장인 피고인 7 등에게, 2,397,876건(특정된 개인정보 건수 : 134,221건)을 공소외 2 회사의 제휴마케팅팀 차장인 피고인 8 등에게 각 제공하여 합계 6,585,107건(특정된 개인정보 건수 : 510,201건, 온라인가입 개인정보 건수 : 225건)을 정보주체 또는 정보통신서비스 이용자의 동의를 받지 아니하고 제3자에게 제공하고 사후동의를 받은 후 그 대가로 1명당 2,800원을 취득하였다.

이로써 피고인들은 공소외 5, 공소외 4 등과 공모하여, 정보주체 또는 정보통신서비스 이용자의 동의를 받지 아니한 피고인 9 회사 회원정보를 제3자인 공소외 1 회사의 피고인 7 등과 공소외 2 회사의 피고인 8 등에게 임의로 제공하였다.

다. 피고인 9 회사

(1) 피고인은 제2의 가항 기재와 같이 피고인 회사의 대표이사 피고인 1, 피고인 회사의 종업원 피고인 2, 피고인 3, 피고인 4, 피고인 5, 피고인 6 등이 2011년 12월경부터 2014년 6월경까지 거짓이나 그 밖의 부정한 수단이나 방법으로 별지 범죄일람표(1-1)∼(1-11) 기재와 같이 “연말연시 벤츠가 온다 경품이 쏟아진다” 등 11개 경품행사 응모고객들의 개인정보(성명·생년월일·휴대폰번호·자녀수) 7,121,140건을 취득하거나 처리(제3자 제공)에 관한 동의를 받아, 공소외 1 회사에 약 323만 건을 판매하여 약 64억 원을 취득하고, 공소외 2 회사에 약 약 279만 건을 판매하여 약 55억 4천만 원을 취득하였다.

이로써 피고인은 피고인의 대표자, 종업원이 그 법인의 업무에 관하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하고 처리(제3자 제공)에 관한 동의를 받았다.

(2) 피고인은 제2의 나항 기재와 같이 피고인 회사에서 근무하는 피고인 4, 피고인 5, 피고인 6 등이 2011년 12월경부터 2014년 8월경까지 별지 범죄일람표 (2-1), (2-2), (3-1), (3-2) 기재와 같이 피고인 9 회사 회원들의 동의를 받지 아니하고 회원들의 개인정보(성명·주민등록번호·연락처 등) 약 7,652,312건(특정된 개인정보 건수 : 1,906,974건, 온라인가입 개인정보 건수 : 90건)을 공소외 1 회사의 제휴마케팅팀 차장인 피고인 7 등에게, 약 9,295,970건(특정된 개인정보 건수 : 2,531,658건, 온라인가입 개인정보 건수 : 248건)을 공소외 2 회사의 제휴마케팅팀 차장인 피고인 8 등에게 각 제공하여 합계 16,948,282건(특정된 개인정보 건수 : 4,438,632건, 온라인가입 개인정보 건수 : 348건)을 정보주체 또는 정보통신서비스 이용자의 동의를 받지 아니하고 제3자에게 제공하고 공소외 1 회사로부터 약 30억 2천만 원을 취득하고, 공소외 2 회사로부터 약 53억 3천만 원을 취득하였다.

이로써 피고인은 피고인의 종업원이 그 법인의 업무에 관하여 정보주체 또는 정보통신이용자의 동의를 받지 아니한 피고인 9 회사 회원정보를 제3자인 공소외 1 회사와 공소외 2 회사에게 임의로 제공하였다.

3. 피고인 7의 범죄사실

누구든지 개인정보처리자가 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한다는 것을 알면서 개인정보를 제공받아서는 아니 되고, 누구든지 정보통신서비스 제공자가 이용자의 동의를 받지 아니하고 개인정보를 제3자에게 제공한다는 것을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받아서는 아니 된다.

그럼에도 불구하고 공소외 1 회사 제휴마케팅팀 차장인 피고인 7은 제2의 나항 기재와 같은 방법으로 피고인 9 회사 웹하드에 업로드 된 제3자 정보제공 미동의 회원정보를 다운로드하여 제3자 정보제공 미동의 개인정보를 제공받고, 제공받은 회원정보 중 공소외 1 회사의 DNC(Do Not Call) 고객, 기가입고객 등을 필터링하고, 선별한 개인정보를 다시 피고인 9 회사 웹하드에 업로드하여 공소외 3 회사 등과 같은 콜센터로 하여금 사후동의를 받게 하였다.

이와 같이 피고인 7은 2013년 2월경부터 2014년 8월경까지 별지 범죄일람표 (2-1) 순번 1-207581, 별지 범죄일람표(2-2) 기재와 같이 제3자 정보제공에 관한 동의가 되어 있지 아니한 피고인 9 회사 고객의 주민등록번호 등 개인정보(성명, 주민등록번호, 연락처 등) 약 5,637,548건(특정된 개인정보 건수 : 1,841,585건, 온라인가입 개인정보 건수 : 90건)을 그와 같은 사정을 잘 알면서도 피고인 9 회사 보험서비스팀장 피고인 4 등으로부터 제공받았다.

이로써 피고인 7은 정보주체 또는 이용자의 동의를 받지 아니한 피고인 9 회사 고객의 회원정보를 제3자 정보제공에 관한 동의가 되어 있지 않다는 사정을 알면서도 회사의 영리 목적으로 피고인 9 회사 보험서비스팀장 피고인 4 등으로부터 제공받았다.

4. 피고인 8의 범죄사실

누구든지 개인정보처리자가 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한다는 것을 알면서 개인정보를 제공받아서는 아니 되고, 누구든지 정보통신서비스 제공자가 이용자의 동의를 받지 아니하고 개인정보를 제3자에게 제공한다는 것을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받아서는 아니 된다.

그럼에도 불구하고 공소외 2 회사 제휴마케팅팀 차장인 피고인 8은 제2의 나항 기재와 같은 방법으로 피고인 9 회사 웹하드에 업로드 된 제3자 정보제공 미동의 회원정보를 다운로드하여 제3자 정보제공 미동의 개인정보를 제공받고, 제공받은 회원정보 중 공소외 2 회사의 DNC(Do Not Call) 고객, 기가입고객 등을 필터링하고, 선별한 개인정보를 다시 피고인 9 회사 웹하드에 업로드하여 공소외 3 회사 등과 같은 콜센터로 하여금 사후동의를 받게 하였다.

이와 같이 피고인 8은 2011년 12월경부터 2012년 8월경 및 2013년 6월경부터 2014년 8월경까지 별지 범죄일람표(3-1) 순번 1∼335800, 715493∼1018388, 별지 범죄일람표(3-2) 순번 608515-1513270 기재와 같이 제3자 정보제공에 관한 동의가 되어 있지 아니한 피고인 9 회사 고객의 주민등록번호 등 개인정보(성명, 주민등록번호, 연락처 등) 약 6,119,897건(특정된 개인정보 건수 : 1,543,452건, 온라인가입 개인정보 건수 : 330건)을 그와 같은 사정을 잘 알면서도 피고인 9 회사 보험서비스팀장 피고인 4 등으로부터 제공받았다.

이로써 피고인 8은 정보주체 또는 이용자의 동의를 받지 아니한 피고인 9 회사 고객의 회원정보를 제3자 정보제공에 관한 동의가 되어 있지 않다는 사정을 잘 알면서도 회사의 영리 목적으로 피고인 9 회사 보험서비스팀장 피고인 4 등으로부터 제공받았다.

Ⅱ. 판단

1. 피고인 1, 피고인 2, 피고인 3, 피고인 4, 피고인 5, 피고인 6의 부정한 방법에 의한 개인정보 취득 관련 개인정보보호법위반 공동범행에 관한 판단

가. 인정사실

이 법원이 적법하게 채택하여 조사한 증거들을 종합하면 다음과 같은 사실이 인정된다.

1) 피고인 9 회사는 2000년경부터 영국 본사인 테스코의 보험영업을 벤치마킹하여 피고인 9 회사 패밀리카드 회원을 모집하면서 회원정보를 수집하였고, 2003년경부터 개인정보의 제3자 제공에 동의한 고객들에 대한 정보를 제휴카드사업자에게 제공하기 시작하였으며, 2007년경부터는 보험사에 고객들의 개인정보를 판매하였다. 피고인 9 회사는 2009. 10. 1.경 공소외 1 회사, 2010. 6. 17.경 공소외 2 회사와 피고인 9 회사 고객들의 개인정보를 1건당 1,980원에 판매하기로 하는 업무제휴약정을 체결하였다.

2) 피고인 9 회사는 2009년경부터 고객들에 대한 경품행사를 시작하였는데 그 주요 목적은 고객들의 매장방문을 유도하여 매출을 증대시키고 경품 당첨을 기대하고 응모하는 고객들로부터 개인정보를 취득하여 이를 보험회사에 대가를 받고 판매하는 것이었다.

3) 피고인들은 경품응모권 용지에 약 1mm 정도의 크기로 「개인정보 수집·이용목적」란에 ‘경품 추첨 및 발송’ 및 ‘보험 마케팅을 위한 정보 제공’을 기재하고, 개인정보 제3자 제공의 「제공받는자」란에 공소외 1 회사, 공소외 2 회사 등 각종 보험회사를 기재하였으며, 「이용목적」란에 ‘생명, 손해보험상품 등의 안내를 위한 전화, SMS 등 마케팅자료로 활용됩니다.’라고 기재하였다. 또한, 피고인들은 경품응모권 용지에 응모자의 「생년월일」, 「자녀수」란을 만들어 넣고, 「기재/동의 사항 일부 미기재, 미동의 서명 누락시 경품 추첨에서 제외됩니다.」라는 문구를 기재하였다. 그리고 경품응모권 용지의 연락처 아래에「경품 추첨이 SMS로 고지되니 정확하게 기재하셔야 합니다.」라고 기재하여 응모고객들이 자신의 전화번호(집·사무실 등)와 휴대폰번호를 기재하도록 하였다.

4) 피고인 9 회사는 2011년 12월경부터 2014년 6월경까지 “연말연시 벤츠가 온다. 경품이 쏟아진다.” 등 경품행사를 11회 실시하여 응모고객들의 개인정보(성명·생년월일·휴대폰번호·자녀수) 7,121,140건을 취득하고 처리에 관한 동의(제3자 제공)를 받았으며, 이를 공소외 1 회사와 공소외 2 회사에 제공하여 건당 1,980원의 대가를 지급받아 왔다.

나. 판단

1) 개인정보 취득에 있어서 그 정보를 제3자에 유상으로 제공한다는 사실을 고지할 법적 의무가 있는지 여부

개인정보보호법 제17조 는 개인정보처리자가 정보주체의 동의를 받을 때 정보주체에게 알려야 하는 사항으로 ① 개인정보를 제공받는 자, ② 개인정보를 제공받는 자의 개인정보 이용 목적, ③ 제공하는 개인정보의 항목, ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, ⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익의 내용 등을 열거하고 있다. 즉, 개인정보보호법은 개인정보처리자가 취득한 개인정보를 제3자에게 제공하는 경우 그 제3자, 제공받는 정보의 내용 및 그 이용 목적을 정보제공자에게 고지할 것을 요건으로 규정하고 있으나 그 개인정보를 제3자에게 유상으로 제공하는지 여부를 고지하도록 하고 있지는 않다.

2) 개인정보를 제3자에 유상으로 제공한다는 사실을 고지하지 않고 정보제공 동의를 받은 것이 “거짓 그 밖의 부정한 수단이나 방법”에 해당하는지 여부

개인정보를 처리하거나 처리하였던 자는 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위를 하여서는 아니 된다( 개인정보보호법 제72조 제2호 , 제59조 제1호 ). 여기서 ‘거짓 그 밖의 부정한 수단·방법’이라 함은 법에 따른 절차에 의해서는 정보주체로부터 그 개인정보를 취득하거나 처리에 관한 동의를 받을 수 없음에도 이를 취득 또는 처리에 관한 동의를 받기 위하여 행하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 그 의사결정에 영향을 미칠 수 있는 적극적 및 소극적 행위를 뜻한다고 봄이 상당하다.( 대법원 2014. 2. 27. 2013도10461 판결 참조)

그러므로 개인정보처리자가 정보제공자에게 어떠한 사실을 고지하지 않은 채 정보제공의 동의를 얻은 행위가 거짓이나 그 밖의 부정한 수단·방법에 해당하기 위하여는 개인정보처리자가 정보제공의 동의를 받음에 있어 정보제공자에게 그 사실을 고지하여야 할 의무가 있어야 할 것이다.

앞서 인정한 사실에 따르면, 피고인들이 제공한 응모권에는 ① 개인정보를 제공받는 자로 공소외 1 회사, 공소외 2 회사 등을, ② 개인정보를 제공받는 자의 개인정보 이용 목적으로 생명, 손해보험상품 등의 안내를 위한 전화 등을, ③ 제공하는 개인정보의 항목으로 성명, 전화번호, 자녀수, 주민등록번호, 휴대폰번호 등을, ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, ⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익의 내용 등을 기재하고 있는바, 피고인들은 개인정보보호법 제17조 에 열거된 고지의무를 다하였다고 판단된다. 또한, 이 법원이 적법하게 채택하여 조사한 증거에 의하면, 피고인들은 피고인 9 회사의 온라인 및 오프라인 매장에서 상품을 구매하지 않은 고객들에게도 경품 응모의 기회를 부여하였고, 위 경품행사에서 응모한 고객들 중 약 30% 정도는 개인정보의 제3자 제공에 동의하지 아니 하여 경품 추첨 대상에서 배제된 사실을 인정할 수 있는바, 위 사실에 비추어 볼 때 고객들의 입장에서도 경품에 당첨될 기회를 얻으려면 자신의 개인정보가 보험회사의 영업에 사용될 것이라는 점을 인식하고 그 제공에 동의하였다고 봄이 상당하다.

따라서 피고인들이 고객들의 개인정보를 보험회사 등에 유상으로 제공한다는 사실을 고지하지 않은 채 고객들로부터 정보제공의 동의를 받았다고 하더라도 그것을 거짓이나 그 밖의 부정한 수단이나 방법을 사용한 것으로 볼 수는 없다.

3) 그 밖에 공소사실에 열거된 행위들이 “거짓 그 밖의 부정한 수단이나 방법”에 해당하는지 여부

가) 동의 관련 사항을 1mm 크기로 기재하여 사실상 읽을 수 없게 한 행위

검사가 제출한 증거에 의하면 피고인들이 제작하여 고객들에게 제공한 경품응모권에 기재된 동의 관련 사항에 관한 글자의 크기가 약 1mm정도인 사실이 인정되나, 그 정도의 글자 크기가 사람이 읽을 수 없는 정도라고 단정할 수 없으며, 한편 이 법원이 적법하게 채택하여 조사한 증거에 의하면, 피고인들은 경품행사 당시 응모함 바로 옆에 실제 응모권의 약 4배에 해당하는 응모권확대사진을 부착하기도 하였으며, 온라인 경품행사의 경우에는 응모자가 컴퓨터 화면으로 응모권의 내용을 확대하여 볼 수도 있는 사실, 실제 다른 각종 응모행사에서도 이 사건 응모권의 글자크기가 많이 통용되고 있는 사실 등을 인정할 수 있는바, 위 인정사실에 비추어 보면 피고인들이 고객들로부터 정보제공동의를 받기 위하여 일부러 글자크기를 1mm정도로 작게 하여 그 내용을 읽을 수 없도록 한 것으로 보기 어렵다. 따라서 피고인들이 경품행사 응모권의 글자크기를 1mm 정도로 작게 기재한 것을 “거짓 그 밖의 부정한 수단이나 방법”에 해당한다고 볼 수 없다.

나) 경품 당첨자에 대한 발송에 필요한 응모고객의 성명·연락처 이외에 생년월일, 자녀수 등 불필요한 정보까지 동의하게 한 행위

피고인들이 경품행사에 사용한 응모권에는 제공하는 개인정보의 항목으로 성명, 전화번호, 자녀수, 주민등록번호, 휴대폰번호 등이 기재되어 있고, 위 항목에 대한 정보를 제공하지 않을 경우 경품 추첨에서 배제된다는 문구가 기재되어 있는 사실은 앞서 본 바와 같으나, 한편 피고인들이 개인정보를 보험회사 등에 제공할 목적으로 이 사건 경품행사를 시행하였고, 위 응모권 제3자 제공의 목적란에 생명, 손해보험상품 등의 안내를 위한 전화 등 보험마케팅을 위한 자료로 활용된다는 취지의 문구가 기재되어 있는 사실도 이미 인정한 바와 같은 바, 응모자의 생년월일, 자녀수 등은 개인정보 제3자 제공의 목적인 보험마케팅에 필요한 범위 내의 정보라고 봄이 상당하고, 피고인들이 고객들로부터 이러한 정보의 수집에 동의하도록 한 것을 들어 “거짓 그 밖의 부정한 수단이나 방법”에 해당한다고 볼 수 없다.

다) 경품을 제대로 지급하지 않은 행위

(1) 이러한 행위는 개인 정보 수집 이후의 사정에 불과하므로 피고인들이 거짓 기타 부정한 방법으로 고객들로 하여금 개인정보 수집에 동의하도록 하였다는 공소사실과 무관하다. 다만, 피고인들이 당첨자들에게 경품을 지급할 의사가 없는데도 마치 개인정보 제공에 동의하면 경품에 당첨될 기회가 주어지는 것처럼 경품행사에 응모하는 사람들을 기망하는 수법으로 고객정보를 수집하거나 제3자 제공에 동의를 받게 하였다면, 부정한 방법에 의한 개인정보취득 및 제3자 제공죄가 성립할 수 있으므로 이에 관하여 살펴본다.

(2) 이 법원이 적법하게 채택하여 조사한 증거에 의하여 인정되는 다음과 같은 사정을 종합하여 보면, 검사가 제출한 증거만으로는 피고인들이 경품행사에 응모하는 고객들을 기망하는 방법으로 개인정보를 수집하거나 제3자 제공에 동의를 받게 하였다는 점을 인정하기에 부족하고, 달리 이를 인정할 증거가 없다.

(가) 피고인 9 회사는 경품행사 기획 시 회계팀과 협업을 통해 사전에 경품지급을 위해 발생하는 비용과 예산을 책정하고 이에 대한 결재를 마친 뒤 행사를 진행하여 왔으므로 사전에 경품을 지급하지 않을 의도 아래 이 사건 경품행사를 시행한 것으로 보이지 않는다. 경품이 당첨된 이후 금액이 크지 않은 경품은 위탁사를 통하여, 금액이 큰 경품은 피고인 9 회사가 직접 당첨자에게 전화를 걸어 당첨 사실을 알려 왔는데, 당첨자가 전화를 받지 않는 경우에는 연락이 닿을 때까지 반복하여 전화를 걸었다.

(나) 피고인 9 회사의 보험서비스팀 직원이던 공소외 6은 2013년 12월경 실시한 ‘다이아몬드가 내린다.‘ 경품행사를 시행할 당시 상사인 피고인 6에게 “1등 당첨자가 연락이 안 되는데, 경품을 지급하지 않는 것이 어떠냐.”라는 취지로 제의하였으나, 피고인 6은 이를 거절한 적이 있다.

(다) 피고인 9 회사의 직원이었던 공소외 5와 공소외 6은 피고인 9 회사가 시행하는 경품행사에서 경품 추첨 조작을 통해 경품을 지인들 명의로 당첨받은 뒤 이를 판매하여 재산상의 이익을 취득할 것을 공모한 뒤, 2011년 8월에 시행된 ‘썸머페스티발 자동차 10대를 쏩니다’ 경품행사에서 지인인 공소외 13이 위 경품행사의 1등 당첨자가 되게 하여 경품인 SM7승용차를 교부받게 한 것을 비롯하여, 2012년 4월에 시행된 경품행사에서 공소외 14가 1등 당첨자가 되게 하여 경품인 BMW 320d 승용차를 교부받게 하고, 2012년 12월 시행된 경품행사에서 공소외 15, 공소외 16이 위 경품행사의 1등 및 2등에 당첨되게 하여 BMW 320d 및 K7 승용차를 교부받게 하였으며, 2013년 5월 시행된 경품행사에서 공소외 17, 공소외 18가 위 경품행사의 1등 및 2등에 당첨되게 하여 순금 골드바 1kg 및 아우디 A4 승용차를 교부받게 하였다. 공소외 5, 공소외 6은 위 사건으로 개인정보보호법위반죄가 아니라 형법상 피고인 9 회사에 대한 업무방해 및 업무상배임죄로 기소되어 2014. 12. 18. 각 유죄판결을 선고받았으나, 피고인들은 위 사건으로 공소제기된 바가 없다.

라) 수집한 고객 정보를 보험사에 제공하고 대가를 받은 행위

이러한 행위는 개인 정보 수집 이후의 사정에 불과하므로 피고인들이 거짓 기타 부정한 방법으로 고객들로 하여금 개인정보 수집에 동의하도록 하였다는 공소사실과 무관하다.

다. 소결론

그러므로 피고인 1, 피고인 2, 피고인 3, 피고인 4, 피고인 5, 피고인 6의 부정한 방법에 의한 개인정보 취득 관련 개인정보보호법위반의 공소사실에 대하여 검사가 제출한 증거만으로는 이를 인정하기에 부족하고, 달리 이를 인정할 증거가 없다.

2. 피고인 4, 피고인 5, 피고인 6의 미동의 개인정보 제공 관련 개인정보보호법위반 및 정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등) 범행에 관한 판단

가. 공소사실의 요지

개인정보처리자는 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공하여서는 아니 되고, 정보통신서비스 제공자는 이용자의 동의를 받지 아니하고 개인정보를 제3자에게 제공하여서는 아니 된다. 그런데도 피고인들은 보험서비스팀 생명보험 파트장 공소외 4, 공소외 5 및 생명보험 파트원 공소외 6, 공소외 7, 공소외 8 등에게 지시하여 제3자 정보제공 동의가 되어 있지 않은 피고인 9 회사 패밀리카드 회원들 중 공소외 1 회사 및 공소외 2 회사에 제공할 대상자를 피고인 9 회사에서 운용하는 웹하드에 업로드하여 공소외 1 회사 및 공소외 2 회사에서 다운로드 할 수 있도록 하는 방법으로 제공하였다.

나. 피고인들의 주장

피고인들이 이용자의 동의가 없는 상태에서 그 개인정보가 담겨 있는 데이터베이스를 공소외 1 회사와 공소외 2 회사에 제공한 것은 사실이나, 이는 정보주체의 동의가 필요한 개인정보의 제3자 제공에 해당하는 것이 아니라, 개인정보 데이터베이스 중 보험마케팅에 필요한 대상자를 미리 선별하는 피고인 9 회사의 업무를 위 보험회사에 처리위탁한 것에 불과하므로 정보주체의 동의가 필요 없고, 피고인들의 위와 같은 행위는 죄가 되지 않는다.

다. 판단

1) 인정사실

이 법원이 적법하게 채택하여 조사한 증거에 의하면, 다음과 같은 사실이 인정된다.

가) 피고인 9 회사는 멤버십 회원 중 제3자 제공에 동의한 고객의 정보(이른바 FMC DB)와 경품행사 시 제3자 제공에 동의한 응모자의 정보를 보험사에 제공하여 왔는데, FMC DB 중 아직 제3자 제공에 동의하지 않은 고객에 대하여는 피고인 9 회사와 위탁계약이 체결된 공소외 3 회사의 콜센터에서 전화를 통하여 고객들로부터 제3자 제공 동의를 얻은 후(이른바 퍼미션 콜) 이를 공소외 1 회사, 공소외 2 회사 등 보험회사에 제공하여 왔다. 이후 위 보험회사들은 피고인 9 회사로부터 제공받은 고객 정보를 분석하여 그 중 보험상품 설명을 위한 전화 받기를 원하지 않는 고객, 이미 보험계약이 되어 있는 고객, 최근 6개월 또는 12개월 이내에 텔레마케팅을 받은 경력이 있는 고객, 기타 블랙리스트에 올라간 고객들을 걸러내는 작업(이른바 필터링 작업)을 수행하고 남은 개인정보를 다시 피고인 9 회사의 웹하드에 업로드하고, 위 고객들에게 전화를 걸어 보험마케팅을 시행하였다.

나) 피고인 9 회사는 2009. 10. 1. 공소외 3 회사와 개인정보 취급 위탁계약을 체결하였는데 그 주요 내용은 공소외 3 회사가 퍼미션 콜 업무를 수행하고, 피고인 9 회사는 위와 같이 정보제공에 동의한 고객이 최종적으로 보험계약을 체결한 경우, 그 월납 초회 보험료의 250%를 공소외 3 회사에 수수료로 지급하기로 하는 것이었다. 그런데 피고인 9 회사와 공소외 3 회사는 2010. 2. 1. 수수료 지급방식을 변경하여 정보제공에 동의한 고객이 보험계약을 체결하였는지 여부와 상관없이 정보 제공 동의한 고객 1인 당 1,700원의 수수료를 지급하는 것으로 변경하였다.

다) 피고인 9 회사는 2009년 10월경 공소외 1 회사와, 2009년 8월경 공소외 2 회사와 각 업무제휴계약을 체결하였는데, 그 주요 내용은 피고인 9 회사가 정보 제공에 동의한 고객들의 정보를 위 보험회사에 이전하고, 그 고객이 최종적으로 위 보험회사와 보험계약을 체결한 경우, 그 월납 초회 보험료의 400% 또는 320%를 수수료로 지급받기로 하였다가, 2010. 5. 3.부터(공소외 2 회사의 경우 2011년 6월경)는 수수료의 지급방식을 변경하여 제공받은 개인정보 건당 2,800원을 지급받되 피고인 9 회사가 제공한 개인정보 중 보험상품 설명을 위한 전화 받기를 원하지 않는 고객, 이미 보험계약이 되어 있는 고객, 최근 6개월 또는 12개월 이내에 텔레마케팅을 받은 경력이 있는 고객, 기타 블랙리스트에 올라간 고객들에 대한 부분은 수수료 산정에서 제외하였다(이른바 사후 필터링). 공소외 1 회사와 공소외 2 회사는 이른바 필터링을 거치고 남은 개인정보를 다시 피고인 9 회사의 웹하드에 업로드하고 위와 같이 업로드된 개인정보의 개수에 따라 수수료를 산정하여 피고인 9 회사에 지급하였다.

라) 위와 같은 수수료 산정 방식 변경으로 인하여 피고인 9 회사는 보험회사에 제공한 제3자 제공 동의 고객의 데이터베이스(이른바 퍼미션 DB) 중 보험회사가 필터링을 통하여 걸러내는 개인정보의 비율을 줄이기 위하여 보험회사에 필터링 조건을 완화해 달라고 요구하는 등 노력을 하였으나, 2011년경에 이르러 기존에 확보한 DB의 양이 감소하고, 퍼미션 DB 중 보험회사의 필터링을 거쳐 다시 피고인 9 회사 웹하드에 업로드되는 유효한 DB의 비율(이른바 업로드율)이 점차 줄어드는 등 수익성이 악화되었다. 이에 피고인 9 회사의 보험서비스팀 직원이던 공소외 5가 공소외 2 회사와 공소외 1 회사에 이른바 사전 필터링을 제안하게 되었는데, 그 내용은 피고인 9 회사의 입장에서는 종전에 보험회사가 제3자 제공 동의를 받은 개인정보 DB를 건네받은 이후에 시행하던 필터링 절차를 고객들로부터 제3자 제공 동의를 받기 이전에 시행하게 되면 불필요한 퍼미션 콜 절차를 줄일 수 있는 이점이 있고, 보험회사로서도 어차피 거쳐야 할 필터링 절차를 미리 시행하는 불편밖에 없으니 필터링을 사전에 시행하도록 해 달라는 것이었다. 공소외 1 회사와 공소외 2 회사는 위와 같은 요청을 받아들여 2011년 12월경부터 2014년 8월까지 공소사실 기재와 같이 피고인 9 회사 웹하드를 통하여 수령한 DB를 필터링 절차를 거친 후 다시 위 웹하드에 업로드하였고, 피고인 9 회사는 해당 DB에 대하여 퍼미션 콜을 수행한 후 다시 이를 위 보험회사에 제공하였다. 한편, 위 보험회사들은 사전 필터링을 위하여 이전받은 고객정보를 피고인 9 회사의 웹하드에 업로드 한 이후 자신들의 시스템에서 모두 삭제하였다.

2) 개인정보의 제3자 제공과 개인정보의 처리위탁의 구별

가) 법령

개인정보보호법 제17조 제1항 은 개인정보처리자는 정보주체의 동의를 얻은 경우에 한하여 그 개인정보를 제3자에게 제공할 수 있다고 규정하고 있고, 정보통신망이용촉진및정보보호에관한법률(이하, ‘정보통신망법’이라고 한다) 제24조의2 제1항 은 정보통신서비스 제공자는 이용자의 동의를 받지 아니 하고 개인정보를 제3자에게 제공할 수 없다고 규정하고 있다.

한편, 개인정보보호법 제26조 정보통신망법 제25조 는 개인정보처리자 또는 정보통신서비스 제공자가 취득한 개인정보의 처리에 관한 업무를 제3자에게 위탁할 수 있음을 전제로 여러 요건들을 규정하고 있으나 별도로 정보주체 또는 이용자의 동의를 요구하고 있지는 않다.

나) 개인정보 처리위탁의 입법 취지

개인정보보호법과 정보통신망법에서 정보주체의 동의 없이도 개인정보를 제3자에 제공하게 할 수 있도록 한 입법 취지는 많은 기업이 개인정보처리자 또는 정보통신서비스 제공자로서 개인정보와 관련한 업무를 외부 업체에 아웃소싱을 통하여 처리해야 할 현실적 필요성을 감안하고, 정보주체의 개인정보 자기결정권을 침해하지 않는 범위 내에서 개인정보의 처리를 제3자에게 위탁하는 것을 허용한 데에 있는 것으로 보인다.

다) 개인정보의 제3자 제공과 개인정보의 처리 위탁의 구별 기준

이러한 입법 취지에 근거하여 개인정보의 제3자 제공과 개인정보 처리업무의 제3자 위탁을 구별해 보자면, 우선 개인정보의 제3자 제공과 개인정보 처리업무의 제3자 위탁은 모두 개인정보가 제3자에게 이전된다는 측면에서는 동일하다. 그러나 개인정보의 제3자 제공은 그 제3자의 업무(예컨대, 이 사건에 있어서 보험마케팅 자료로 활용)를 처리할 목적 및 그 제3자의 이익을 위해서 개인정보가 이전되는 것이지만, 개인정보 처리 위탁의 경우에는 개인정보처리자의 업무를 처리할 목적으로 개인정보처리자의 이익을 위하여 개인정보가 제3자에게 이전된다는 차이가 있다. ( 대법원 2011. 7. 14. 선고 2011도1960 판결 참조)

라) 구체적 검토

(1) 이 사건 사전 필터링을 위한 개인정보의 이전이 피고인 9 회사를 위한 업무인지 보험회사를 위한 업무인지에 관하여 본다.

앞서 인정한 사실관계에 비추어 알 수 있는 다음과 같은 사정, 즉 사전 필터링은 피고인 9 회사의 개인정보 제공으로 인한 수익률의 악화를 타개하기 위한 방편으로 피고인 9 회사의 직원 공소외 5가 공소외 1 회사의 피고인 7, 공소외 2 회사의 피고인 8에게 요청하여 시작된 점, 사전 필터링을 시행하게 된 목적은 피고인 9 회사가 공소외 3 회사를 통하여 고객들로부터 개인정보의 제3자 제공에 동의를 받는 퍼미션 콜의 횟수를 줄여 수익률을 향상시키기 위한 것이었던 점, 사후 필터링은 보험회사가 보험마케팅을 할 대상자를 고르기 위하여 행하여지는 것인 반면, 사전 필터링은 피고인 9 회사가 퍼미션 콜을 할 대상자의 범위를 줄이기 위하여 행하여지는 것인 점, 보험회사가 사전필터링을 위하여 제공받은 DB는 피고인 9 회사의 웹하드에 업로드한 후 모두 삭제하였으며, 이를 활용하여 보험마케팅에 사용한 것으로 보이지는 않는 점, 피고인 9 회사가 사전 필터링을 위하여 DB를 보험회사에 제공하면서 어떤 대가를 받은 것으로 보이지 않는 점 등을 종합하면, 이 사건 사전 필터링은 피고인 9 회사가 퍼미션 콜 대상자를 정하는 업무를 보험회사에 의뢰하면서 그에 관한 고객들의 개인정보를 이전한 것으로 봄이 상당하다. 즉, 사전 필터링은 보험회사가 아니라 피고인 9 회사를 위한 업무로 보아야 한다.

(2) 이 사건 사전 필터링을 위한 개인정보의 이전이 피고인 9 회사의 이익을 위한 것인지 보험회사의 이익을 위한 것인지에 관하여 본다.

앞서 본 바와 같이 피고인 9 회사가 보험회사에 의뢰하여 사전 필터링을 시행하게 된 목적은 사전에 걸러진 고객들에 대한 퍼미션 콜을 수행하지 않음으로써 관련된 시간, 비용, 노력을 줄일 수 있는 이익이 있는 반면, 보험회사의 입장에서는 필터링을 개인정보의 제3자 제공 동의를 얻기 이전에 수행하게 되면 필터링을 해야 할 대상자의 숫자가 늘어나게 되어 업무량이 늘어날 가능성이 많은 점, 위 보험회사들이 수행하던 이 사건 사전 필터링의 조건은 사후 필터링의 조건과 동일한 것으로 보이는 점 등을 종합하면, 피고인들이 이 사건 사전 필터링을 위하여 개인정보를 보험회사에 이전한 것은 피고인 9 회사의 이익을 위한 것으로 봄이 상당하다.

라. 판단

그렇다면 공소외 1 회사와 공소외 2 회사는 개인정보보호법 및 정보통신망법에서 규정하는 제3자가 아니라 피고인 9 회사를 위하여 피고인 9 회사의 퍼미션 콜 업무의 일부를 수행하는 수탁자로서의 지위를 가진다고 보아야 할 것이고, 검사가 제출한 증거만으로는 피고인들이 제3자에게 미동의 개인정보를 제공하였다는 점을 인정하기 어렵고, 달리 이를 인정할 증거가 없다.

3. 피고인 9 회사

앞서 본 바와 같이 피고인 1, 피고인 2, 피고인 3, 피고인 4, 피고인 5, 피고인 6에 대한 공소사실이 범죄의 증명이 없는 이상 이를 전제로 하는 피고인 9 회사에 대한 이 사건 공소사실 역시 범죄의 증명이 없다.

4. 피고인 7, 피고인 8

피고인들에 대한 공소사실의 요지는 보험회사에 근무하는 피고인들이 회사의 영리 목적으로 공소사실 제2의 나항 기재와 같은 방법으로 피고인 9 회사 웹하드에 업로드된 제3자 정보제공 미동의 회원정보를 다운로드하여 이를 제공받았다는 것인바, 앞서 살펴 본 바와 같이 공소외 1 회사와 공소외 2 회사는 개인정보보호법 및 정보통신망법에서 규정하는 제3자가 아니라 피고인 9 회사를 위하여 피고인 9 회사의 퍼미션 콜 업무의 일부를 수행하는 수탁자로서의 지위를 가진다고 보아야 할 것이고, 검사가 제출한 증거만으로는 피고인들이 영리 목적으로 피고인 9 회사로부터 미동의 개인정보를 제공받았다는 점을 인정하기 어렵고, 달리 이를 인정할 증거가 없다.

Ⅲ. 결론

따라서 피고인들에 대한 이 사건 공소사실은 범죄의 증명이 없는 경우에 해당하므로 형사소송법 제325조 후단에 의하여 피고인들에게 각 무죄를 선고하고, 형법 제58조 제2항 본문에 의하여 피고인들에 대한 판결의 요지를 공시하기로 한다.

[별지 생략]

판사 부상준

arrow