- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 171. [사례분석] 퇴직자의 개인정보 누설 책임: 인재관리시트의 '개인정보파일' 해당 여부 및 노동위원회 제출의 '누설행위' 인정 여부
이 주제의 전문가를
소개합니다.
171.[사례분석] 퇴직자의 개인정보 누설 책임: 인재관리시트의 '개인정보파일' 해당 여부 및 노동위원회 제출의 '누설행위' 인정 여부
[사례분석] 퇴직자의 개인정보 누설 책임: 인재관리시트의 '개인정보파일' 해당 여부 및 노동위원회 제출의 '누설행위' 인정 여부
![[사례분석] 퇴직자의 개인정보 누설 책임: 인재관리시트의 '개인정보파일' 해당 여부 및 노동위원회 제출의 '누설행위' 인정 여부](https://api.nepla.ai/api/v1/image/1767047690527-XkkckXmm1NnGY7Wg.png)
인재관리시트의 '개인정보파일' 해당 여부 및
노동위원회 제출의 '누설행위' 인정 여부
<핵심 요약>
체계적으로 관리되는 인재 DB는 '개인정보파일'에 해당하며, 퇴직자가 이를 동의 없이 제출하면 '누설행위'가 성립한다. 이러한 제출은 노동위원회 등 공공기관이 대상이거나 권리구제 목적이었더라도, '정당행위'로 인정받기 어렵다. 권리구제 목적이라도 비식별화 조치 등 개인정보 노출을 최소화하지 않았다면 형사책임이 인정될 수 있기 때문이다.
자세한 기본 법리는 아래 위키들을 참고하십시오.
- 법원이나 수사기관에 타인의 개인정보를 제출하는 행위는 적법한가
- [일문일답] 개인정보 유출시 2차 피해가 없어도 손해배상을 받을 수 있을까?
- [일문일답] 직원이 임의로 개인정보를 유출한 경우 처벌조문은?
- 개인정보 유출 사고 및 안전조치의무 중심 주요 조사·처분 사례 및 시사점
- 개인정보 유출 손해배상 소송 방어 사례 - 처리 과정 참여만으로는 공동불법행위 책임 미성립을 주장하여 대법원 최종 전부승소
1. 사건 개요
전문 인재 매칭 플랫폼을 운영하는 A사에서 선임 매니저로 근무하던 B가 퇴사 직전, 노동위원회에 부당인사발령 구제신청을 하며 증거자료로 '인재관리 시트' 파일을 제출하였다. 이 시트에는 A사가 관리하던 프리랜서의 이름, 연락처, 이메일, 학력, 경력, 평가, 단가 등 약 20개 항목의 개인정보가 포함되어 있었다. B는 이러한 개인식별 정보를 삭제하지 않은 상태로 시트를 제출하였고, A사는 이를 개인정보 보호법 위반으로 고소하였다.
2. 핵심 법률 쟁점
본 사건은 퇴직자가 자신의 권리구제를 목적으로 회사 내부의 개인정보 파일을 공공기관에 제출한 행위의 위법성을 다룬다. 핵심 쟁점은 다음과 같다.
(1) A사의 인재관리 시트가 법의 보호를 받는 '개인정보파일'에 해당하는지 여부
(2) B가 노동위원회에 자료를 제출한 행위가 '업무상 알게 된 개인정보의 누설'에 해당하는지 여부
(3) B의 행위가 권리구제를 위한 '정당행위'로 인정되어 위법성이 조각될 수 있는지 여부
3. 법원의 판단 및 법리적 분석
Q: 체계적으로 관리된 '인재관리 시트'도 개인정보파일에 해당할까?
'개인정보파일'이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 집합물을 의미한다(개인정보 보호법 제2조 제4호). 본 사건의 인재관리 시트는 이름, 연락처, 이력, 평가 등 20여 개 항목의 개인정보가 포함되어 있었고, 구글 시트 형태로서 체계적 검색이 가능한 구조로 관리되고 있었다. 따라서 이는 명백히 개인정보보호법상 '개인정보파일'에 해당한다.
Q: 노동위원회 등 공공기관에 개인정보를 제출하는 것도 '누설'에 해당할까?
개인정보 보호법 제59조 제2호는 "업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위"를 금지한다. 여기서 '누설'이란 정보주체의 동의 없이 정보를 공개하는 행위를 의미하며, 그 상대방이 공공기관이라 하더라도 원칙적으로 예외가 되지 않는다. 대구지방법원 2018. 5. 4. 선고 2018고정101 판결 역시 공공기관에 대한 제출이라도 정보주체의 동의가 없었다면 유출에 해당한다고 판시한 바 있다.
Q: 권리구제를 위한 목적이었다면 '정당행위'로 면책될 수 있을까?
피고소인은 노동위원회 제출이 정당한 권리구제 행위라고 주장할 수 있으나, 정당행위로 인정되려면 사회상규에 위배되지 않아야 한다. 개인의 권리구제 목적이 있다 하더라도, 그 과정에서 타인의 개인정보를 노출시킬 필요가 있었다면 개인정보를 식별할 수 없도록 삭제(비식별화)하는 등 노출을 최소화하기 위한 조치를 취했어야 한다. 이러한 최소화 조치 없이 개인정보를 그대로 제출한 행위는 합당한 이유가 있다고 보기 어려우므로 정당행위로 인정되기 어렵다.
본 사건에서 경찰은 이러한 법리를 바탕으로 B의 개인정보보호법 위반 혐의(개인정보 보호법 제59조 제2호 위반, 개인정보 보호법 제71조 제9호)가 인정된다고 보아 검찰에 송치하였다.
※ 관련 법률 인사이트
관련 사례에 대한 변호사의 실제 사건 수행 전략은 아래 법률 인사이트에서 더 깊이 있게 확인할 수 있습니다.
4. 관련 법규 및 판례
| 개인정보 보호법 제2조(정의) 제4호 이 법에서 사용하는 용어의 뜻은 다음과 같다. 4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다. 개인정보 보호법 제59조(금지행위) 제2호 2. 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위 개인정보 보호법 제71조(벌칙) 제9호 9. 제59조제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자 |
| 대구지방법원 2018. 5. 4. 선고 2018고정101 판결 이유 범죄사실 피고인은 2016. 2. 18.부터 2017. 8. 20.까지 대구 북구 C 아파트 관리 소장으로 근무하면서, 직원의 이름, 주민등록번호 등이 담긴 근로 계약서를 관리사무소 문서함에 보유하는 방법으로 개인정보를 처리하던 사람이다. 피고인은 2017. 8. 17. 위 C 아파트 관리사무소에서 전임 관리 소장 D의 이름, 주민등록번호 등이 기재된 근로 계약서를 복사해서 가지고 나간 다음 같은 해 11. 13. 경북 지방노동위원회에 부당해고 구제신청을 하면서 제출하였다. 이로써 피고인은 개인정보를 처리하였던 사람으로서 정당한 권한 없이 다른 사람의 개인정보를 유출하였다. (후략) 2. 판단 개인정보 보호법은 개인의 자유와 권리를 보호하기 위해 제정되었고(제1조), 여기서 말하는 ‘개인’ 은 당연히 정보주체이다(제2조 제3호). 공공기관이라도 정보주체의 동의 나 그 밖의 법에서 열거한 사유 없이 개인정보를 수집이용할 수 없다(제2조 제5호, 제6호, 제15조 제1항). 정보주체의 동의가 있거나 법에서 열거한 수집 목적 범위에 해당하지 않는다면 개인정보를 제삼자에게 제공할 수 없다(제17조 제1항). 이처럼 개인정보 보호법은 정보주체의 이익을 위해 개인정보의 수집·이용· 제공 자체를 엄격히 제한하고 있고, 개인정보가 당장 악용될 우려가 없다고 하여 이러한 제한에서 벗어날 수는 없다. 법에서 허용한 사유로 제공한 것이 아니라면, 개인정보가 머물러 있어야 할 장소를 벗어난 것이므로 설령 그 상대방이 공공기관이라도 '유출'로 봄이 옳다. 사회상규에 위배되지 않는 정당행위에 해당하려면, 그 행위로 보호되는 이익과 침해되는 이익이 균형을 이루어야 하고, 그 행위 외에 다른 수단이나 방법이 없어야 한다(대법원 2016. 5. 12. 선고 2013도15616 판결 등 참조). 피고인은 부당해고구제신청을 위해 D의 근로계약서를 제출했다는 주장만 반복할 뿐, 이름과 주민등록번호를 지우거나 노출을 최소화하지 않은 채 그대로 제출할 수밖에 없었던 합당한 이유는 밝히지 않았다. 제출된 증거를 통틀어 보아도 피고인의 행위를 정당화할 만한 사정을 찾을 수 없다. 피고인은 법령이나 업무로 인한 행위라는 주장도 하나, 피고인 개인의 권리구제를 위한 행위일 뿐 그 주장과 같은 정당행위로 볼 수 없다. 피고인과 국선변호인의 주장은 받아들이지 않는다. (후략) |
