223.

공공기관 개인정보 보호의 입법적 공백

• 공유하기
• 새 탭 열기
• 작성 이력 보기

최근 대법원은 소방서 채용 면접위원으로 참여해 알게 된 응시자의 개인정보를 사적인 목적으로 이용한 행위자에 대해 유죄를 선고한 원심을 깨고 무죄 취지로 파기환송했다(대법원 2026. 3. 12. 선고 2025도10321 판결). 면접과정에서 취득한 전화번호로 사적 연락을 취한 위반 행위의 부당성에는 이견이 없겠으나, 사법부는 형벌법규의 엄격한 해석과 죄형법정주의라는 헌법적 대원칙을 고수했다. 

본 사건의 핵심 쟁점은 소방서 등 ‘법인격 없는 공공기관’에 근무하거나 위촉된 행위자를 현행 개인정보 보호법상 양벌규정으로 처벌할 수 있는가였다. 현행법 제71조 제2호는 개인정보를 목적 외로 이용한 ‘개인정보처리자’를 처벌하도록 규정하고 있으며, 제74조 제2항의 양벌규정은 ‘법인 또는 개인’의 대리인, 사용인, 그 밖의 종업원이 위반 행위를 했을 때 행위자를 함께 처벌하도록 규정하고 있다. 1심과 2심 법원은 피고인이 소속된 소방서를 개인정보처리자로 보아 양벌규정을 적용해 유죄(벌금형)를 선고했다. 

그러나 대법원의 판단은 달랐다. 대법원은 개인정보 보호법이 정의하는 ‘개인정보처리자’에 법인격 없는 중앙행정기관 및 그 소속 기관 등이 포함될 수 있다고 인정하면서도, 형사처벌의 근거가 되는 ‘양벌규정’의 적용 대상은 문언상 ‘법인 또는 개인’으로 엄격히 한정되어 있다는 점에 주목했다. 사안의 안양소방서는 경기도의 직속 기관에 불과하여 독립된 법인격이 없는 ‘법인격 없는 공공기관’이다. 따라서 양벌규정상의 ‘법인’에 해당하지 않으므로 기관 자체를 처벌할 수 없고, 구조적으로 그 종사자인 행위자 역시 양벌규정을 통해 처벌할 수 없다는 논리다. 이는 피고인의 행위가 도덕적·사회적으로 지탄받아 마땅하더라도, 법률에 명문의 규정이 없는 한 유추해석이나 확장해석을 통해 형사처벌을 확장할 수 없다는 죄형법정주의 원칙을 엄격하게 적용한 결과다. 

이 판결이 가지는 법조계와 사회적 의미는 다층적이다. 첫째, 사법부가 죄형법정주의의 한계와 형벌법규 엄격해석의 원칙을 확고히 재확인했다는 점이다. 둘째, 역설적으로 민간 영역과 공공 영역 간의 심각한 형사처벌 불균형과 입법 미비를 밝혔다. 만약 일반 민간 기업의 면접위원이 지원자의 번호로 사적인 연락을 취했다면 기업이라는 ‘법인’의 양벌규정에 의거해 행위자는 예외 없이 형사처벌을 받게 된다. 반면, 더 엄격하고 민감한 수준의 개인정보를 취급하는 소방서, 국세청, 경찰서, 동주민센터 등 법인격이 없는 수많은 공공기관의 종사자가 동일한 침해 행위를 저질렀을 때는 형사처벌을 할 수 없다는 불합리한 결론에 도달한다. 국민의 권익을 보호해야 할 공공 영역이 오히려 처벌의 사각지대가 되는 모순이 발생한 것이다. 

이 판결의 파급효과는 이미 입법부와 행정부의 긴박한 움직임으로 나타나고 있다. 다만 제도적 대안이 확립되기 전까지 공공기관들은 자체적인 내부 통제와 징계 시스템을 대폭 강화해야 하는 과제를 안게 되었다. 형사처벌이 불가능하다고 해서 해당 행위의 위법성 자체가 사라지는 것은 아니기 때문이다. 공공기관은 면접위원이나 계약직, 파견직을 포함한 모든 업무수행자를 대상으로 개인정보 보호 교육을 의무화하고, 서약서 징구 및 위반 시 강력한 내부 징계와 민사상 손해배상 책임을 묻는 등 강력한 관리·감독 체계를 강화해야 한다. 

결론적으로 신속한 법 개정을 통해 이 입법적 사각지대를 즉시 해소해야 하며, 정부 기관들 역시 법 개정 전까지 발생할 수 있는 공백을 메우기 위해 보안 및 관리 체계를 촘촘히 재정비해야 할 것이다.