개인정보를 넘겨받은 사람, 언제 처벌받나

---

개인정보처리자로부터 개인정보를 받은 사람이 이를 다른 용도로 사용했다고 해서 곧바로 구 개인정보 보호법 제19조 위반으로 처벌할 수 있는 것은 아닙니다. 대법원은 제19조의 수범자 범위를 엄격하게 해석하여, 그 조항이 적용되는 '제공받은 자'가 누구인지를 명확히 했습니다.

구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것) 제19조는 "개인정보처리자로부터 개인정보를 제공받은 자"가 제공받은 목적 외의 용도로 개인정보를 이용하거나 제3자에게 제공하는 행위를 금지하고, 이를 위반하면 제71조 제2호에 따라 형사처벌을 받을 수 있습니다. 문제는 이 조항에서 말하는 '제공받은 자'의 범위입니다. 회사 임직원이나 파견근로자처럼 개인정보처리자의 지휘·감독 아래 개인정보를 다루는 **개인정보취급자**가 업무 수행을 위해 개인정보를 이전받는 경우, 이들은 제19조의 수범자에 해당하지 않습니다. 이들은 개인정보처리자의 내부 조직 안에서 움직이는 것이지, 외부 제3자로서 개인정보의 지배·관리권을 넘겨받은 것이 아니기 때문입니다.

나아가 대법원은 제19조의 '제공받은 자'를 법 제17조·제18조에 따라 개인정보처리자로부터 **개인정보의 지배·관리권을 이전받은 제3자**로 한정했습니다. 그리고 같은 조항에서 말하는 '제공받은 목적' 역시 제17조·제18조에서 정한 제3자 제공이 허용되는 경우와 연결된 목적을 의미하며, 정보를 받은 사람이 주관적·일방적으로 품은 목적과는 다릅니다. 개인정보처리자가 적법하게 수집한 정보를 제3자에게 넘긴 이상, 그 정보는 제공의 이유와 의도에 부합하는 방식으로만 사용되어야 한다는 논리입니다.

이러한 해석의 실질적 의미는 다음과 같습니다. 개인정보처리자가 제17조·제18조를 위반하여 개인정보를 제공했고, 그 사정을 알면서도 영리 또는 부정한 목적으로 정보를 받은 사람이 있다면, 그 사람을 제71조 제1호 또는 제2호로 처벌할 수 있는지는 별개의 문제입니다. 그러나 단지 제19조의 '제공받은 자'에 해당한다는 이유만으로 제71조 제2호를 적용하여 처벌하는 것은 허용되지 않는다는 것이 대법원의 결론입니다.

개인정보를 다루는 업무 환경에서는 '내부 취급자'와 '외부 제3자'의 구분이 형사책임의 성립 여부를 가르는 핵심 기준이 됩니다. 같은 행위처럼 보이더라도 정보를 받은 사람이 어떤 지위에서, 어떤 법적 근거로 정보를 이전받았는지에 따라 적용 조항과 처벌 가능성이 달라질 수 있으므로, 관련 분쟁에서는 이 점을 먼저 면밀히 살펴야 합니다.