개인정보법 과태료

<br/> 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것, 이하 같다) 제59조는 ‘개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.’고 규정하면서 제2호에서 ‘업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위’를 규정하고 있고, 제71조 제5호는 ‘제59조 제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자’를 처벌하도록 규정하고 있다. 이때 ‘누설’의 사전적 의미는 ‘비밀이 새어 나감 또는 그렇게 함’이고 ‘비밀’의 사전적 의미는 ‘숨기어 남에게 드러내거나 알리지 말아야 할 일’이며, 대법원은 ‘누설’을 ‘아직 개인정보를 알지 못하는 타인에게 알려주는 일체의 행위’로 해석하여 왔다. <br/> 개인정보 보호법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고 나아가 개인의 존엄과 가치를 구현함을 목적으로 하고(제1조), 정보주체의 개인정보자기결정권을 그 보호법익으로 한다. 여기에서 개인정보자기결정권은 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 것으로, 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. <br/> 이러한 구 개인정보 보호법 제59조 제2호 및 제71조 제5호의 문언, 개인정보 보호법의 입법 목적과 취지, 개인정보자기결정권의 의미 등을 종합하면, 구 개인정보 보호법 제59조 제2호에서 금지하는 개인정보의 누설에 관하여 정보주체의 사전 동의가 있는 경우에는 피고인을 벌할 수 없다고 봄이 타당하다.<br/>

개인정보처리자는 정보주체의 동의를 받거나 법률에 특별한 규정이 있는 등 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되어 2020. 8. 5.부터 시행되기 전의 것)이 정하는 예외 사유가 있는 경우에만 개인정보를 제3자에게 제공할 수 있고(제17조, 제18조), 개인정보를 처리하거나 처리하였던 자는 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위 등을 하여서는 아니 된다(제59조). 그러나 재판과정에서 소송상 필요한 주장의 증명이나 범죄혐의에 대한 방어권 행사를 위하여 개인정보가 포함된 소송서류나 증거를 법원에 제출하는 경우, 고소·고발 또는 수사절차에서 범죄혐의의 소명이나 방어권의 행사를 위하여 개인정보가 포함된 증거자료를 수사기관에 제출하는 경우에는 사회상규에 위배되지 않는 행위에 해당하여 형법 제20조에 따라 위법성이 조각될 수 있다. 이때 정당행위에 해당하는지 여부는 개인정보 제출자가 개인정보를 수집·보유하고 제출하게 된 경위 및 목적, 개인정보를 제출한 상대방, 제출행위의 목적 달성에 필요한 최소한의 정보 제출인지 여부, 비실명화 등 개인정보의 안전성 확보에 필요한 조치 가능성 및 조치 여부와 내용, 제출한 개인정보의 내용, 성질(민감정보 여부 등) 및 양, 침해되는 정보주체의 법익 내용, 성질 및 침해의 정도, 개인정보를 제출할 다른 수단이나 방식의 존재 여부, 다른 수단이나 방식을 취하지 않고 개인정보를 제출하게 된 불가피한 사정의 유무 등 개별적인 사안에서 나타난 여러 사정을 종합적으로 고려하여 객관적이고 합리적으로 판단하여야 한다.<br/>

개인정보 보호법 제37조 제1항 제1문은 "정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다."라고 하여 처리정지의 대상이 개인정보에 대한 "처리"임을 전제로 하고 있고, 2020. 2. 4. 법률 제16930호로 개정되기 전의 구 개인정보 보호법 제2조 제2호는 "처리"를 ‘개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위’로 정의하였다. 그런데 2020. 2. 4. 법률 제16930호로 개정된 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것) 제28조의2 제1항은 "개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다."라고 규정하여 가명정보의 활용범위를 정하였고, 같은 법 제2조는 "가명정보"를 ‘가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보’[제1호 (다)목]로, "가명처리"를 ‘개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것’(제1호의2)으로 정의함으로써 "가명처리"를 같은 법 제2조 제2호의 "처리"와는 별도로 규정하였다. <br/> "가명처리"는 그 개념적 정의에 의하더라도 개인정보에 대한 식별의 위험성을 낮추는 방법이므로, 정보주체에 대한 권리 또는 사생활 침해의 위험을 발생시킬 수 있는 개인정보 보호법 제2조 제2호에서 규정한 여러 유형의 개인정보 "처리"와는 구별된다. 같은 법 제3조 제7항에서 "개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다."라고 규정한 것은 가명처리를 익명처리에 준하는 개인정보 보호조치로 분류한 것으로 볼 수 있다. 또한 "가명처리"는 더 이상의 처리가 가능하지 않도록 개인정보 자체를 삭제하거나 파쇄 또는 소각하는 개인정보의 파기와도 개념적으로 구분이 되는 행위이다. <br/> 이러한 사정에다가 데이터 관련 신산업 육성이 범국가적 과제로 대두되고 인공지능, 클라우드, 사물인터넷 등 신기술을 활용한 데이터 이용이 필요한 상황에서 데이터의 이용을 활성화하기 위한 가명정보조항의 입법취지를 고려하면, "가명처리"는 개인정보 보호법 제37조 제1항 제1문에서 처리정지 요구의 대상으로 정한 개인정보 "처리"에 해당하지 않는다고 보아야 한다.<br/>

[1] 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것) 제18조 제1항에 규정된 개인정보의 ‘이용’은 개인정보처리자가 개인정보의 지배·관리권을 이전하지 않은 채 스스로 개인정보를 쓰는 행위를 의미한다. 개인정보의 이용에는 개인정보를 수집된 형태 그대로 쓰는 행위뿐만 아니라 수집된 개인정보를 가공, 편집하여 쓰거나 그로부터 정보를 추출하여 쓰는 행위도 포함된다. 따라서 개인정보의 이용에 해당하는지는 개인정보를 쓰는 일련의 행위를 전체적으로 보아 판단해야 한다.<br/> [2] 어린이집 원장인 피고인 甲이 어린이집 내부에 설치·관리 중인 폐쇄회로 텔레비전(이하 ‘CCTV’라 한다) 영상을 시청하여 교사 乙이 근무시간 중 휴대전화를 사용한 사실을 파악한 후 이를 어린이집 사무를 수탁한 법인인 피고인 丙의 보육사업 담당자인 丁에게 乙의 업무지시 불이행 사안으로 전달하여, 개인정보처리자인 피고인 甲은 개인정보를 수집 목적의 범위를 초과하여 이용하였다는 내용으로, 피고인 丙은 사용자인 피고인 甲이 업무에 관하여 위와 같은 위반행위를 하였다는 내용으로 기소된 사안에서, 피고인 甲이 시청한 CCTV 영상은 乙의 초상, 신체의 모습 등이 촬영되어 영상을 통하여 乙을 알아볼 수 있는 정보로서, 정보주체인 乙의 개인정보에 해당하고, CCTV 영상에 포함된 乙의 휴대전화 사용에 관한 정보를 징계심의의 자료로 사용하는 것은 전체적으로 보아 개인정보처리자가 개인정보의 지배·관리권을 이전하지 않은 채 스스로 개인정보를 쓰는 행위로서 개인정보인 CCTV 영상을 이용한 행위에 해당하며, 이러한 일련의 행위 과정에서 피고인 甲이 전달한 정보가 乙의 초상, 신체의 모습 등이 촬영된 CCTV 영상 자체가 아니라 그로부터 추출한 정보라는 사정만으로 다르게 볼 이유가 없음에 비추어, 피고인 甲이 乙의 근무 태도에 관한 정보를 丁에게 전달한 행위 부분만을 분리한 뒤 그 정보가 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것)상 개인정보에 해당하지 않는다고 본 원심판단에 개인정보의 이용에 관한 법리오해 등의 잘못이 있다고 한 사례.<br/>

[1] 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 같다) 제71조 제2호는 "제19조를 위반하여 개인정보를 이용하거나 제3자에게 제공한 자"를 처벌하도록 규정하고, 제19조는 "개인정보처리자로부터 개인정보를 제공받은 자는 정보주체로부터 별도의 동의를 받은 경우나 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다."라고 규정한다. 그런데 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자인 개인정보취급자(같은 법 제28조)가 개인정보처리자의 업무 수행을 위하여 개인정보를 이전받는 경우 위와 같은 개인정보취급자는 ‘개인정보처리자로부터 개인정보를 제공받은 자’에 해당하지 않는다. 그 이유는 다음과 같다.<br/> (가) 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보의 지배·관리권이 이전되는 것으로, 개인정보처리자가 개인정보의 지배·관리권을 그대로 유지하면서 개인정보처리자의 업무처리와 이익을 위하여 내부적으로 개인정보를 이용하는 것과 구별된다. 개인정보처리자는 다른 사람을 통하여 개인정보를 처리하는 것도 가능하므로(구 개인정보 보호법 제2조 제5호) 개인정보처리자의 의사에 따라 개인정보처리 업무를 직접 수행하는 개인정보취급자가 개인정보처리자로부터 정보주체의 개인정보를 이전받더라도 이와 같은 이전은 ‘제3자 제공’에 해당한다고 볼 수 없다.<br/> (나) 구 개인정보 보호법은 제15조, 제16조에서 개인정보처리자의 개인정보 수집·이용에 관하여 규정하고, 제17조에서 개인정보처리자가 수집한 개인정보를 제3자에게 제공할 수 있는 경우를 규정하며, 제18조 제2항에서 개인정보처리자가 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있는 경우를 규정한 다음, 제19조에서 ‘개인정보처리자로부터 개인정보를 제공받은 자’를 수범자로 하여 정보주체로부터 별도의 동의를 받거나 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다고 규정하고 있다. 위와 같은 법령의 체계와 문언에 비추어 보면, 구 개인정보 보호법 제19조에서 말하는 ‘개인정보처리자로부터 개인정보를 제공받은 자’란 같은 법 제17조, 제18조 등에 규정된 바에 따라 개인정보처리자로부터 개인정보의 지배·관리권을 이전받은 그 제3자를 의미한다고 보는 것이 타당하다.<br/> (다) 구 개인정보 보호법 제19조의 ‘개인정보처리자로부터 개인정보를 제공받은 자’는 정보주체로부터 별도의 동의를 받은 경우나 다른 법률에 특별한 규정이 있는 경우에는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 다시 제3자에게 제공할 수 있으므로, ‘제공받은 개인정보’를 개인정보처리자의 의사와 무관하게 자신의 의사에 따라 이용하거나 이를 제3자에게 제공할 수 있는 지위에 있다. 반면 개인정보처리에 관한 독자적 이익을 위하여 개인정보를 이용하거나 제3자에게 이를 제공할 수 있는 지위에 있지 않는 개인정보취급자는 구 개인정보 보호법 제19조의 ‘개인정보처리자로부터 개인정보를 제공받은 자’에 포함되지 않는다.<br/> (라) 한편 개인정보취급자는 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 사람으로서 직접 개인정보에 관한 업무를 담당하는 사람과 그 밖에 업무상 필요에 의해 개인정보에 접근하여 이를 처리하는 모든 사람을 말하고, 개인정보파일 운용에 직접 관여하는 업무를 하는 자에 한정된다고 볼 것은 아니다.<br/> [2] 피고인이 대학수학능력시험 고사장 감독업무를 수행하면서 수험생의 개인정보가 포함된 응시원서를 제공받아 이를 각 수험생의 수험표와 대조하는 과정에서 알게 된 甲의 연락처를 이용하여 카카오톡 친구로 추가한 후 甲에게 카카오톡으로 "사실 ○○씨가 맘에 들어서요." 등의 메시지를 발송함으로써 개인정보처리자로부터 제공받은 개인정보를 제공받은 목적 외 용도로 이용하였다는 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 같다) 위반의 공소사실로 기소된 사안에서, 피고인은 서울특별시가 설립한 공립 고등학교의 교사로서 2019학년도 대학수학능력시험 감독관으로 위촉(임명)되어 대학수학능력시험 고사장 감독업무 중 일부인 수험생의 동일성 확인업무 수행을 위하여 서울특별시교육청으로부터 수험생의 성명, 주민등록번호, 연락처, 주소 등 개인정보가 포함된 응시원서를 전달받은 사실에 비추어, 피고인은 개인정보처리자인 서울특별시교육청의 지휘·감독하에 수험생들의 개인정보를 처리한 자로 개인정보취급자에 해당할 뿐, 개인정보처리자인 서울특별시교육청으로부터 ‘개인정보를 제공받은 자’로 보기 어렵다는 이유로, 이와 달리 보아 공소사실을 유죄로 판단한 원심판결에 구 개인정보 보호법 제19조의 ‘개인정보처리자로부터 개인정보를 제공받은 자’의 의미에 관한 법리오해의 잘못이 있다고 한 사례.<br/>

구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 ‘개인정보보호법’이라 한다) 제19조는 개인정보처리자로부터 개인정보를 제공받은 자는 정보주체로부터 별도의 동의를 받거나 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 된다고 규정하고, 제71조 제2호는 제19조를 위반하여 개인정보를 이용하거나 제3자에게 제공한 자를 처벌하도록 규정하고 있으므로, 개인정보보호법 제71조 제2호, 제19조 위반죄는 피고인이 ‘개인정보처리자’로부터 개인정보를 제공받은 경우 성립할 수 있다.<br/> ‘개인정보처리자’란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말하고(개인정보보호법 제2조 제5호), ‘개인정보파일’이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다(같은 법 제2조 제4호). 개인정보보호법은 ‘공공기관’을 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체, 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관으로 정의하고 있다(제2조 제6호). 한편 사법부 고유 업무인 재판사무와 법원의 행정사무, 즉 법원의 인사·예산·회계·시설·통계·송무·등기·가족관계등록·공탁·집행관·법무사·법령조사 및 사법제도연구에 관한 사무(법원조직법 제19조 제2항 참조) 등은 업무 목적과 내용 등에서 구별된다. <br/> 이러한 관련 법령의 문언, 규정 체계 및 ‘행정사무를 처리하는 기관’으로서의 법원과 ‘재판사무를 처리하는 기관’으로서의 법원의 구별 등을 종합하여 보면, 개개의 사건에 대하여 재판사무를 담당하는 법원(수소법원)은 ‘개인정보처리자’에서 제외된다고 보는 것이 타당하다. 재판사무의 주체로서 법원이 민사·형사·행정 등의 여러 재판에서 개별 사건을 단위로 당사자의 주장과 증거제출 등을 통해 심리를 진행한 다음 공권적 판단을 내림으로써 쟁송을 해결하거나 국가형벌권을 실현하기 위한 재판 과정에서 증거나 서면의 일부 등으로 개인정보를 처리하더라도, 다수의 개인정보 그 자체를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 집합물, 즉 개인정보파일을 운용하기 위하여 개인정보를 처리하는 것이라고 볼 수 없다. 따라서 재판사무를 담당하는 법원(수소법원)이 그 재판권에 기하여 법에서 정해진 방식에 따라 행하는 공권적 통지행위로서 여러 소송서류 등을 송달하는 경우에는 ‘개인정보처리자’로서 개인정보를 제공한 것으로 볼 수 없다.<br/>

개인정보 보호법 제70조 제2호는 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 다른 사람이 처리하고 있는 개인정보를 취득한 후 이를 영리 또는 부정한 목적으로 제3자에게 제공한 자와 이를 교사·알선한 자’를 처벌하고 있다. 위 규정의 ‘거짓이나 그 밖의 부정한 수단이나 방법’이란 다른 사람이 처리하고 있는 개인정보를 취득하기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 일체의 행위를 말하고, 여기에는 개인정보 제공에 관한 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위는 물론 해킹과 같이 다른 사람의 의사결정과 무관하게 그 자체로 위계 기타 사회통념상 부정한 방법이라고 인정되는 행위도 포함된다.<br/>

구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 ‘구 개인정보 보호법’이라고 한다) 제59조 제2호는 ‘개인정보를 처리하거나 처리하였던 자는 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위를 하여서는 아니 된다.’고 규정하고 있고, 제71조 제5호는 ‘제59조 제2호를 위반하여 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자’를 처벌하는 것으로 규정하고 있다.<br/>구 개인정보 보호법 제71조 제5호 후단의 ‘개인정보를 제공받은 자’에 해당한다고 보기 위해서는 개인정보를 처리하거나 처리하였던 자가 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 개인정보의 지배·관리권을 이전받을 것을 요한다. 영상정보처리기기에 의하여 촬영된 개인의 초상, 신체의 모습과 위치정보 등과 관련한 영상의 형태로 존재하는 개인정보의 경우, 영상이 담긴 매체를 전달받는 등 영상 형태로 개인정보를 이전받는 것 외에도 이를 시청하는 등의 방식으로 영상에 포함된 특정하고 식별할 수 있는 살아있는 개인에 관한 정보를 지득함으로써 지배·관리권을 이전받은 경우에도 구 개인정보 보호법 제71조 제5호 후단의 ‘개인정보를 제공받은 자’에 해당할 수 있다.<br/>

[1] 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 같다) 제59조 제1호는 ‘개인정보를 처리하거나 처리하였던 자는 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 하여서는 아니 된다.’고 규정하고, 제72조 제2호는 ‘제59조 제1호를 위반하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자’를 처벌하고 있다. <br/>구 개인정보 보호법 제72조 제2호 전단에서 규정한 ‘거짓이나 그 밖의 부정한 수단이나 방법’이란 개인정보를 취득하거나 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 일체의 행위를 말한다. 그중 개인정보 취득 과정에서 사용하는 ‘거짓이나 그 밖의 부정한 수단이나 방법’에는 정보주체나 개인정보 보유자의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위는 물론 해킹과 같이 정보주체 등의 의사결정과 무관하게 그 자체로 위계 기타 사회통념상 부정한 방법이라고 인정되는 행위도 포함된다.<br/> [2] 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 같다) 제72조 제2호가 전단과 후단에서 ‘취득한 자’와 ‘제공받은 자’를 구별하여 정하고 있으므로 개인정보가 정보주체의 동의 등에 기하지 아니한 채 유통되고 있는 사정을 알면서 개인정보를 제공받은 것만으로는 구 개인정보 보호법 제72조 제2호 전단의 ‘거짓이나 그 밖의 부정한 수단이나 방법’을 사용하여 개인정보를 취득하였다고 보기는 어렵다. 다만 개인정보를 제공받은 사람이 ‘개인정보를 처리하거나 처리하였던 자가 거짓이나 그 밖의 부정한 수단이나 방법을 사용하여 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받았다는 사정’을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 경우에는 구 개인정보 보호법 제72조 제2호 후단에 해당될 수 있다.<br/>

<br/> [1] 구 공공기관의 정보공개에 관한 법률(2020. 12. 22. 법률 제17690호로 개정되기 전의 것, 이하 ‘구 정보공개법’이라 한다)은 국민의 알권리를 보장하고 국정(國政)에 대한 국민의 참여와 국정 운영의 투명성을 확보하기 위하여 공공기관이 보유·관리하는 정보에 대한 국민의 공개 청구 및 공공기관의 공개 의무에 관하여 필요한 사항을 정하고 있다(제1조). 이와 달리 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 같다)은 개인의 자유와 권리를 보호하고 개인의 존엄과 가치를 구현하는 것을 입법 목적으로 하여 개인정보의 처리 및 보호에 관한 사항을 정하는 법률로서(제1조), "개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다."라고 규정하고 있다(제6조). <br/> 공공기관의 정보공개에 관한 법률(이하 ‘정보공개법’이라 한다)상 ‘공개’는 공공기관이 정보공개법에 따라 정보를 열람하게 하거나 그 사본·복제물을 제공하는 것 또는 전자정부법 제2조 제10호에 따른 정보통신망을 통하여 정보를 제공하는 것 등을 말한다(구 정보공개법 제2조 제2호). 한편 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보를 이전하는 행위이다. 공공기관이 개인정보가 포함된 정보를 정보공개법에 따라 그 정보주체가 아닌 자에게 ‘공개’하는 것은 구 개인정보 보호법 제17조, 제18조에서 말하는 개인정보의 ‘제3자 제공’에 해당할 수 있다. <br/> 그런데 구 정보공개법과 구 개인정보 보호법의 각 입법 목적과 규정 내용, 구 정보공개법 제9조 제1항 제6호의 문언과 취지 등에 비추어 보면, 구 정보공개법 제9조 제1항 제6호는 공공기관이 보유·관리하고 있는 개인정보의 공개 과정에서의 개인정보를 보호하기 위한 규정으로서 이때에는 구 개인정보 보호법 제6조에서 말하는 ‘개인정보 보호에 관하여 다른 법률에 특별한 규정이 있는 경우’에 해당한다. 그러므로 공공기관이 보유·관리하고 있는 개인정보의 공개에 관하여는 구 정보공개법 제9조 제1항 제6호가 구 개인정보 보호법에 우선하여 적용된다. <br/> 따라서 공공기관이 보유·관리하고 있는 타인에 관한 개인정보의 정보공개법에 따른 공개가 구 개인정보 보호법 제17조에서 말하는 개인정보 제3자 제공에 해당하더라도, 그에 관하여는 구 개인정보 보호법 제17조의 규정이 적용되지는 않으므로, 구 개인정보 보호법 제17조 위반을 전제로 하는 구 개인정보 보호법 제71조 제1호도 적용될 수 없다.<br/><br/> [2] 구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것, 이하 같다) 제71조 제1호는 ‘제17조 제1항 제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자’와 ‘그 사정을 알고 개인정보를 제공받은 자’를 처벌하도록 규정한다. 개인정보처리자는 정보주체의 동의를 받은 경우 외에 구 개인정보 보호법 제15조 제1항 제2호, 제3호, 제5호에 따라 개인정보를 수집한 목적 범위 내에서 정보주체의 개인정보를 제3자에게 제공할 수 있으나, 그 범위를 초과하여 제3자에게 제공하여서는 안 된다(구 개인정보 보호법 제17조 제1항, 제18조 제1항). 다만 개인정보처리자는 구 개인정보 보호법 제18조 제2항 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 제3자에게 제공할 수 있다. 따라서 개인정보의 제3자 제공이 구 개인정보 보호법 제17조 제1항, 제3항의 수집한 목적 범위 내의 제공이 아니라 하더라도, 구 개인정보 보호법 제18조 제2항의 요건에 따른 제공에 해당한다면 구 개인정보 보호법 제71조 제1호 위반죄로 처벌할 수 없다.<br/>