업무상 개인정보를 처리한 자의 누설·유출 금지 범위

---

구 개인정보 보호법 제59조는 '개인정보를 처리하거나 처리하였던 자'에게 개인정보 누설·유출 등을 금지하고, 이를 위반하면 형사처벌을 받도록 규정하고 있습니다. 대법원은 이 조항의 의무 주체를 단순히 개인정보를 다룬 모든 사람이 아니라, **업무상** 개인정보를 처리하거나 처리하였던 자로 한정해야 한다고 판단했습니다.

이렇게 해석하는 근거는 처벌 규정의 체계에서 찾을 수 있습니다. 구 개인정보 보호법 제71조와 제72조는 '개인정보처리자'와 '개인정보를 처리하거나 처리하였던 자'를 구별하면서도 동일한 법정형으로 처벌합니다. 이는 두 주체 모두 정보주체의 **개인정보자기결정권**을 보호할 동등한 책무를 진다는 의미입니다. 만약 업무와 무관하게 개인정보를 처리한 일반 개인에게도 이 조항이 적용된다면, 일상적인 연락처 저장이나 사진 공유처럼 사적 영역의 행위까지 형사처벌 대상이 되는 불합리한 결과가 생깁니다. 법원은 이러한 해석을 명시적으로 배제했습니다.

다음으로 '업무'의 범위가 문제됩니다. 법원은 개인정보 처리를 주된 업무로 하는 경우에만 이 조항이 적용되는 것은 아니라고 보았습니다. 예를 들어 병원이나 학교처럼 의료·교육을 주된 업무로 하면서 그 과정에서 부수적으로 환자나 학생의 개인정보를 수집·처리하는 경우도 포함됩니다. 구 개인정보 보호법 제2조 제5호의 '개인정보처리자' 정의 역시 업무의 주된 내용이 개인정보 처리에 한정되지 않는다는 점에서, 제59조의 적용 범위도 같은 방향으로 해석하는 것이 입법 취지에 부합한다고 법원은 설명했습니다.

다만 업무와 무관한 **사적 영역**에서 처리한 개인정보는 이 조항의 보호 대상이 아닙니다. 법원은 형벌법규는 엄격하게 해석되어야 한다는 원칙 아래, '업무상 개인정보를 처리하였다'는 것은 업무 수행과 개인정보 처리 사이에 **직접적이고 밀접한 인과관계**가 있어야 한다는 뜻으로 새겼습니다. 그리고 이 요건은 범죄구성요건에 해당하므로, 검사가 증명해야 할 사항입니다.

이 판결은 직장이나 단체 활동을 통해 타인의 개인정보를 알게 된 경우와, 순수하게 사적인 관계에서 알게 된 경우를 구분하는 기준을 제시한다는 점에서 실무적으로 중요합니다. 업무 과정에서 취득한 고객·회원·직원의 개인정보를 퇴직 후 또는 업무 외 목적으로 활용하거나 제3자에게 제공하는 행위는 제59조 위반으로 처벌받을 수 있습니다. 반면 개인정보 처리가 업무와 직접적으로 연결되지 않는다고 다투는 경우라면, 그 인과관계의 존부가 사건의 핵심 쟁점이 될 수 있습니다.