다음 중 동의 없이 개인정보를 이용한 행위가 법률적으로 문제가 될 수 있는 경우는? ①고발장을 제출하면서 피고발인의 개인정보가 포함되어 있는 증거자료를 함께 내는 행위 ②업무상 수집?보유하고 있던 피고소인의 개인정보 중 성명, 주소, 휴대전화번호를 고소장에 기재해 제출하는 행위
정답은 ‘둘 다 모두 문제가 될 수 있다’이다. 최근 대법원은 업무상 알게 된 개인정보를 수사기관에 제공한 행위가 개인정보보호법 위반에 해당한다고 판단했다. 지역 농협의 전직 임원인 A씨가 ‘조합장 B씨에게 농업협동조합법을 위반한 혐의가 있다’며 관련 혐의에 관한 증거자료로 CCTV 영상, 축의금·조의금 송금 내역 등을 제출했는데, 이런 행위가 업무상 알게 된 개인정보를 누설한 경우로서 범죄라고 판단한 것이다.
수 년 전 판례이기는 하나 대법원은 학교를 비방하는 대자보를 붙인 학생회장을 명예훼손 혐의로 고소하기 위해 학교가 보관하고 있던 이름, 주소, 휴대전화번호를 고소장에 기재한 사건에 대해서도 수집 목적 범위를 초과해 개인정보를 이용한 범죄행위에 해당한다고 판단했다.
이같은 해석은 일반인의 기준으로는 다소 당황스러울 수 있다. 고발한 내용을 입증하기 위해 정보를 제공하는 것도, 피고소인이 누군지를 특정하기 위해 고소장에 이름과 주소, 휴대전화번호 정도의 정보를 기재하는 것도 어찌 보면 사생활 침해 의도가 없는 공익적인 행위로서 충분히 허용될 수 있는 것으로 생각되기 때문이다. 그러나 개인정보 보호법을 살펴보면 원칙적으로 정보주체의 동의를 받아야만 개인정보를 수집?이용할 수 있다. 정당한 이익을 달성하기 위해 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우 등 예외적인 경우에만 필요최소한의 개인정보를 동의 없이 이용할 수 있다. 또 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위를 금지하고 있는데, 이때 그 제공 목적이 영리 또는 부정한 목적인지 여부는 성립요건으로 하고 있지 않다. 따라서 위 두 케이스가 법 위반이라는 판단은 어찌 보면 자연스러운 해석으로 보인다.
그렇다면 타인의 개인정보를 처리하게 되는 경우 어떠한 점에 유의해야 할까? 먼저 동의 받은 정보인지 아닌지를 판단해야 한다. 동의 받은 정보라고 하더라도 동의 받은 목적의 범위 내에 포함되는지도 확인해야 한다. 동의 받은 정보가 아니라면 이용하기 전에 동의를 받는 것이 최선이다. 이들 사례에서와 같이 동의 받는 것이 어렵다고 생각되는 경우라면 법에서 정하고 있는 ‘동의 없이 정보를 처리할 수 있는 예외 사유’에 해당하는지를 체크해야 한다. 해당한다고 하더라도 필요최소한의 정보만 남겨둬야 하며 해당하지 않는 경우라면 반드시 개인이 특정될 수 있는 정보는 모두 삭제해야 한다. 아무리 정당한 목적이 있다고 생각되는 경우라도 법과 법원은 이를 매우 엄격하게 판단하고 있다는 사실을 꼭 유념할 필요가 있다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >