[Law&Biz] "非영리법인은 개인정보 보호 조치 의무 없어"
비영리 목적의 정보통신서비스 제공자가 이용자의 개인정보 보호를 다소 소홀히 했더라도 영리 목적의 제공자와 같은 잣대로 처벌할 수 없다는 법원 판결이 나왔다. 법원이 서비스 제공자의 유형을 기준으로 개인정보 관리 책임을 구분한 건 처음이다.

서울중앙지법 형사4부(부장판사 임동규)는 “A의료학회 홈페이지 관리를 소홀히 해 저장돼 있던 의사 22명의 개인정보가 누출됐다”는 혐의로 기소된 A의료학회장 B씨에 대해 무죄 판결했다고 23일 밝혔다. 재판부는 “정보통신망법에서는 영리 목적으로 정보를 수집한 자에게 개인정보 보호 조치를 취할 의무를 부과하고 있다”며 “A의료학회는 영리 목적이 아닌 의사들의 친목 도모 등을 위해 설립된 것이므로 이런 의무를 지지 않는다”고 판시했다.

이 판결은 2심이었으며 검사가 상고를 포기해 최종 확정됐다. 지방법원 단독판사가 1심을 맡은 사건은 지방법원 합의부가 2심을 맡는다. B씨를 대리한 김도형 법무법인 바른 변호사(38·사법연수원 34기·사진)는 “개인정보를 관리하는 자에 대한 기대수준은 영리법인과 비영리법인에 차이가 있기 때문에 책임 정도 또한 구분해야 한다”고 말했다.

앞서 이 사건 1심은 ‘누출’의 범위를 명확히 했다. 1심 재판부는 “개인정보의 누출이란 개인정보가 해당 정보통신서비스 제공자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 됨을 의미한다”며 “이 사건에서는 수사기관이 구글에 특수언어를 사용해 개인정보를 검색한 바, 이를 누출이라고 보기는 어렵다”고 판단했다.

배석준 기자 eulius@hankyung.com