어느 평범한 오후, 어린이집 원장 A씨는 집무실에 앉아 CCTV 화면을 들여다보고 있었다. 아이들이 잘 지내고 있는지 확인하는 일상적인 업무였다. 그런데 화면 속 보육교사 B씨가 아이들 곁을 떠나 구석에서 스마트폰을 들여다보고 있는 장면이 눈에 들어왔다.
원장 A씨는 7월 한 달간 B씨가 근무시간 중 세 차례나 휴대전화를 사용한 사실을 영상으로 확인했다. 그리고 이 내용을 관할 법인의 보육사업 담당자에게 구두로 전달하며 업무지시 불이행을 이유로 징계를 요청했다.
그런데 며칠 뒤, 원장 A씨에게 뜻밖의 연락이 왔다. 보육교사 B씨가 원장을 개인정보 보호법 위반으로 고소한 것이다.
"나를 감시할 목적으로 보안 CCTV를 열람한 건 수집 목적 외 이용이에요. 엄연히 개인정보 보호법 위반 아닌가요?"
원장은 반론했다. "어린이집에서 CCTV를 보는 건 당연한 업무 아닌가요? 영상 자체를 외부에 유출한 것도 아니고, 그냥 말로 전달했을 뿐인데요."
과연 법원은 어느 쪽의 손을 들어줬을까.
이 사건, 대체 무슨 일이 있었나
사건의 배경을 조금 더 살펴보면 이렇다. 해당 어린이집은 서울 송파구로부터 운영을 위탁받은 구립 어린이집이었고, 원장 A씨는 수탁 법인의 직원으로서 원장직을 맡고 있었다.
어린이집 내 CCTV는 영유아보육법에 따라 아동학대 방지와 어린이집 보안을 목적으로 설치된 것이었다. 원장 A씨는 이 CCTV 영상을 통해 보육교사 B씨가 2021년 7월 5일, 21일, 27일, 세 차례에 걸쳐 근무시간 중 휴대전화를 사용했다는 사실을 파악했고, 이를 수탁 법인 담당자에게 구두로 알리며 징계를 요청했다.
검찰은 원장 A씨를 '개인정보를 수집 목적의 범위를 초과하여 이용'했다는 혐의로, 수탁 법인은 사용자로서의 양벌 책임을 물어 함께 기소했다.
개인정보 보호법 이해하기
개인정보란 무엇인가
살아있는 개인에 관한 정보로, 해당 정보만으로 또는 다른 정보와 결합하여 특정 개인을 알아볼 수 있는 것을 말한다. 성명이나 주민등록번호는 물론, CCTV에 담긴 얼굴과 신체 모습도 당연히 개인정보에 해당한다.
개인정보를 '이용'한다는 게 무슨 뜻인가
개인정보 보호법 제18조 제1항은 개인정보처리자가 개인정보를 수집한 목적의 범위를 초과하여 이용하는 것을 금지한다. 여기서 '이용'이란 개인정보처리자가 개인정보의 지배·관리권을 다른 사람에게 넘기지 않은 채 스스로 개인정보를 쓰는 행위를 말한다. 쉽게 말해, 외부에 유출하지 않더라도 허용된 목적 밖으로 사용하면 위반이 된다.
위반하면 어떻게 되나
목적 외 이용이나 제3자 제공이 확인될 경우 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해진다(개인정보보호법 제71조 제2호). 법인의 경우 양벌 규정에 따라 1억 원 이하의 벌금이 부과될 수 있으며, 행정적으로는 관련 매출액의 3% 이하 과징금도 부과된다.
1심 및 2심의 판단
1심과 2심 법원은 모두 원장 A씨에게 무죄를 선고했다. 그 논리는 이렇다.
원장이 담당자에게 전달한 것은 CCTV 영상 파일 자체가 아니라, 영상을 보고 파악한 '근무 태도에 관한 정보'를 입으로 말한 것에 불과하다. 이렇게 구술로 전달된 정보는 개인정보처리자로서 취득한 개인정보 그 자체가 아니고, 그 정보만으로 특정 개인을 알아볼 수 있는 것도 아니므로 개인정보 보호법상 '개인정보의 목적 외 이용'으로 볼 수 없다.
언뜻 들으면 타당한 논리처럼 들린다. "B씨가 7월 5일에 휴대폰을 사용했어요"라는 말 자체가 개인정보냐고 하면, 직관적으로는 고개를 갸웃하게 되니까.
대법원의 판단
그러나 대법원은 원심의 판단을 정면으로 뒤집었다. (대법원 2025. 6. 26. 선고 2023도18539 판결)
대법원이 제시한 법리의 핵심은 이것이다.
"개인정보의 이용에는 개인정보를 수집된 형태 그대로 쓰는 행위뿐만 아니라, 수집된 개인정보를 가공·편집하여 쓰거나 그로부터 정보를 추출하여 쓰는 행위도 포함된다. 따라서 개인정보의 이용에 해당하는지는 개인정보를 쓰는 일련의 행위를 전체적으로 보아 판단해야 한다."
원심은 "담당자에게 구두로 전달한 행위"만 따로 떼어내 그 정보가 개인정보인지를 판단했다. 그런데 대법원은 그렇게 행위를 조각내서 보면 안 된다고 했다. 이 사건에서 원장 A씨가 한 행위는 하나의 연속된 흐름으로 봐야 한다는 것이다.
CCTV 영상 시청 → 휴대폰 사용 내역 추출·기록 → 담당자에게 전달 → 징계 자료로 활용, 이 전체가 하나의 '개인정보 이용' 행위다.
CCTV 영상에는 B씨의 얼굴, 신체 모습이 담겨 있어 B씨를 특정할 수 있으므로 명백한 개인정보다. 그 영상에서 정보를 추출하여 징계에 활용한 것은, 비록 원본 파일을 넘긴 게 아닐지라도, 개인정보를 목적 외로 이용한 행위에 해당한다는 것이 대법원의 결론이다.
결국 대법원은 원심 판결을 파기하고 사건을 서울동부지방법원으로 환송했다.
그렇다면 원장은 유죄인가
여기서 중요한 점을 짚고 넘어가야 한다. 대법원이 파기환송을 한 것이 곧 원장의 유죄 확정을 의미하지는 않는다. 대법원은 "원심이 개인정보 이용의 법리를 잘못 적용했으니 다시 심리하라"고 한 것이고, 실제 유무죄 판단은 다시 열리는 하급심에서 결정된다.
대법원은 환송심에서 다음 두 가지를 추가로 심리해야 한다고 지적했다.
첫째, 원장의 행위가 정말 CCTV 수집 목적의 범위를 초과한 이용인지를 영유아보육법의 취지와 맞춰 면밀히 따져봐야 한다. 둘째, 원장 A씨가 개인정보처리자인지, 아니면 수탁 법인의 지휘·감독을 받는 개인정보취급자인지를 가려야 한다. 만약 원장이 개인정보취급자에 해당한다면 개인정보처리자를 처벌하는 조항(제71조 제2호)으로는 처벌할 수 없고, 법인의 책임만 물을 수 있게 된다.
이 판결이 우리에게 주는 교훈
이 판결이 던지는 메시지는 CCTV가 설치된 모든 공간, 그리고 개인정보를 다루는 모든 사람에게 해당된다.
1) 일부를 추출한 정보일지라도 개인정보에 해당할 수 있다.
많은 사람들이 CCTV 영상이나 원본 파일 자체를 유출하지 않으면 괜찮다고 생각한다. 하지만 대법원은 원본에서 추출한 정보를 활용하는 것도 개인정보의 이용이라고 분명히 했다. 원본을 직접 넘기지 않아도, 그로부터 파생된 정보를 활용하는 행위 자체가 규제 대상이다.
2) CCTV는 설치 목적에 맞게만 써야 한다.
어린이집 CCTV는 아동 안전을 위해 설치된 것이다. 이를 교사 근무 감시에 활용하면 목적 외 이용이 될 수 있다. 주차장 CCTV를 입주민 동향 파악에 쓰거나, 보안 목적 접속 로그를 직원 성과 평가에 활용하는 것도 같은 맥락에서 위험하다.
3) "업무상 필요"라는 말만으로 정당화되지 않는다.
원장 입장에서는 교사의 근무태만을 확인하는 것이 당연한 관리 행위였을 것이다. 하지만 개인정보 보호법은 업무상 필요성과 별개로, 정보의 수집 목적 범위를 엄격히 요구한다. 좋은 의도라도 법적 근거 없이 개인정보를 목적 외로 활용하면 위법이 될 수 있다.
4) 법인도 함께 처벌받는다.
이 사건에서 수탁 법인도 함께 기소된 것처럼, 개인정보 보호법은 행위자 개인뿐 아니라 사용자인 법인도 양벌 규정으로 함께 처벌한다. 기업 차원에서 개인정보 교육과 관리 정책을 정비해야 할 이유가 여기에 있다.
마치며
이 사건에서 어느 쪽이 완전히 옳고 그르다고 단정하기는 어렵다. 근무 태만을 확인하고 싶었던 원장의 현실적인 고충도, 자신의 정보가 목적 외로 활용됐다고 느낀 교사의 불쾌함도 모두 이해할 수 있다.
그러나 대법원이 이 사건에서 확인한 원칙은 분명하다. 개인정보는 수집한 목적 안에서만 써야 하고, 그 판단은 행위를 잘게 쪼개서가 아니라 전체 흐름을 보고 해야 한다는 것이다.
CCTV 하나, 데이터 한 줄이 누군가의 권리와 직결된다는 사실을 이 판결은 다시 한번 상기시켜 준다.
* https://allculture.stibee.com 에서 지금까지 발행된 모든 뉴스레터를 보실 수 있습니다. 콘텐츠를 즐겁게 보시고, 주변에 널리 알려주시면 감사하겠습니다.
* '세상의 모든 문화'는 각종 협업, 프로모션, 출간 제의 등 어떠한 형태로의 제안에 열려 있습니다. 관련된 문의는 jiwoowriters@gmail.com (공식메일) 또는 작가별 개인 연락망으로 주시면 됩니다. |