보험설계사가 고객 정보를 무단 이용했을 때 — 개인정보처리자는 누구인가

---

보험설계사가 고객의 개인정보를 수집 목적 외로 이용한 사건에서, 대법원은 설계사가 단순히 개인정보를 수집·이용했다는 사실만으로 곧바로 **개인정보처리자**에 해당한다고 볼 수 없다고 판단했습니다. 이 판결은 개인정보 보호법 위반 책임이 누구에게 귀속되는지를 판단하는 기준을 구체적으로 제시했다는 점에서 주목할 만합니다.

사건의 경위는 이렇습니다. 甲 보험회사 소속 보험설계사인 피고인은 고객 乙의 생년월일, 주소, 연락처 등을 보험 가입 및 고객 관리 목적으로 수집했습니다. 이후 피고인은 공범 丙과 공모하여, 丙이 甲 보험회사 상담원에게 乙인 것처럼 행세하며 전화를 걸어 乙이 가입한 보험의 특약 해지와 주 계약 보장내용 변경을 신청하도록 했습니다. 검찰은 피고인이 수집 목적의 범위를 초과하여 乙의 개인정보를 이용했다는 이유로 구 개인정보 보호법 제71조 제2호, 제18조 제1항 위반으로 기소했고, 원심은 피고인이 개인정보처리자에 해당한다는 전제 아래 유죄를 선고했습니다.

대법원은 원심 판단을 파기했습니다. 법원은 **개인정보처리자**란 "업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등"(구 개인정보 보호법 제2조 제5호)을 의미하며, 실제로 개인정보를 수집·이용하는 행위를 했다는 사정만으로 당연히 개인정보처리자가 되는 것은 아니라고 밝혔습니다. 누가 개인정보처리자인지는 개인정보처리의 목적·내용·방법·절차 등에 관한 사항을 **종국적으로 결정하는 권한**이 누구에게 있는지에 따라 판단해야 한다는 것입니다.

구체적으로 법원은 다음 요소들을 종합적으로 고려해야 한다고 설시했습니다. 개인정보처리의 목적이 누구의 고유한 업무 및 이익과 밀접하게 연결되어 있는지, 처리 과정에서 실질적인 지휘·감독을 하는 자가 누구인지, 개인정보파일을 누가 어떤 목적으로 생성·보유·운용하는지가 핵심 판단 기준입니다. 아울러 개인정보처리자의 의무와 책임을 누구에게 귀속시키는 것이 정보주체의 권익 보호에 더 잘 부합하는지도 함께 살펴야 한다고 했습니다. 이 사건에서 보험설계사는 보험업법상 보험회사에 소속되어 보험계약 체결을 중개하는 모집종사자(보험업법 제2조 제9호, 제83조 제1항 제1호)에 해당하므로, 설계사가 수집한 고객 개인정보의 처리 목적은 특별한 사정이 없는 한 보험회사의 고유한 업무 및 이익과 밀접하게 연결되고, 종국적 결정 권한도 보험회사에 있다고 볼 여지가 높다는 것입니다.

이 판결은 개인정보를 실제로 다루는 현장 담당자와 그 처리를 지휘·감독하는 조직 사이에서 법적 책임의 귀속 주체가 달라질 수 있음을 분명히 했습니다. 보험설계사, 위탁 업체 직원, 파견근로자 등 조직의 지휘·감독 아래 개인정보를 처리하는 위치에 있는 분이라면, 자신이 개인정보처리자로서의 의무와 책임을 직접 부담하는지 여부를 위촉계약이나 위탁계약의 내용, 실질적인 지휘·감독 관계, 개인정보파일의 생성·보유 주체 등을 기준으로 면밀히 살펴볼 필요가 있습니다.