<회사 소유 전산기기의 열람과 개인정보보호법>

 

고양이에게 생선을 맡긴다.

 

○지금까지의 노동법의 역사는 크게 사용자와 국가 등으로부터 노동자의 권리를 보호하는 방향으로 발전되었습니다. 강자와 약자라는 대립적인 구도를 설정하여 노동자의 권리를 증진시키는 방향으로 설정한 것이 일정 부분 효과를 얻은 것도 사실입니다. 그런데 현실에서는 노동자가 언제나 약자이고 피해자인 것은 아니었습니다. 편의점의 점원이 사장의 계산대에 놓인 돈을 훔치는 사례처럼, 사용자의 재산과 신체에 위해를 가하는 경우도 존재하기 때문입니다. 물론 이런 경우에는 일반 민사법과 형사법으로 대처하였습니다. 노동자의 의무는 기본적으로 사용자의 신체와 재산을 보호하여야 하는 의무, 직관적으로 이해하면 주인의 생선가게를 지키는 고양이와 같은 의무를 졌음에도 이를 져버리는 경우도 엄존합니다.

 

○고양이가 생선을 먹어치우는 수준의 도둑질이라면 차라리 사용자의 손해는 그나마 줄어들 수 있습니다. 삼성전자의 반도체 생산라인의 기술유출처럼 한국의 국부를 유출하는 도둑질이라면 국가 차원의 산업스파이 문제로 비화됩니다. 그래서 내부 단속의 필요성이 제기됩니다. 지금도 ‘부정경쟁방지 및 영업비밀 보호에 관한 법률(부정경쟁방지법)’에는 영업비밀을 보호하는 법적 장치가 있지만, 이것은 형사법으로 처벌을 도모하여 기업을 보호하는 것이고, 기업 내 도둑고양이를 잡는 장치로는 미흡합니다. 그러나 한국에서는 유럽의 GDPR(일반정보보호 규정)과 같이 기업에서 노동자를 포괄적으로 정보유출을 막을 수 있는 장치가 없습니다. 기업 내 도둑고양이의 도둑질은 상당수가 기업의 전산기기를 악용하여 이루어집니다.

 

○A라는 기업의 갑이 업무용 pc에 카카오톡 메신저를 설치했다고 가정합니다. 갑은 단체대화방에서 업무용 메시지를 보낼 수도 있지만, 사적인 주식투자 메시지를 외부인과 주고 받을 수도 있습니다. 심지어는 카카오톡으로 기업비밀을 외부에 유출할 수도 있습니다. 여기에서 기업은 갑의 카카오톡 메시지는 물론 이메일을 감시할 필요가 있습니다. 미국에서는 사전에 해당 근로자의 포괄적 동의를 얻어서 각 근로자를 감시하는 것이 일상화되었습니다. 그런데 기업의 전산기기라 하더라도 사적인 내용이 담긴 메신저나 이메일은 개인정보이기에 동의가 없는 한 무한정한 감시는 불가능합니다. 실제로 대구지법(대구지법 2024. 8. 21. 선고 2023나320254 판결)은 직원의 컴퓨터 사용내역을 몰래 확인한 사용자에게 위자료 책임이 인정되는 지 여부에 대하여 ‘컴퓨터에 저장된 개인의 인터넷 검색기록이나 웹사이트 방문기록, 애플리케이션 로그 등은 개인의 사생활의 비밀에 관한 사항에 해당하므로 이러한 정보에 대한 무단탐지는 사생활의 비밀과 자유, 정보에 대한 자기결정권 등을 침해하는 것으로서 정당한 이유가 없는 한 불법행위를 구성한다. 따라서 이 사건 탐지행위는 불법행위에 해당한다 할 것이므로 피고는 원고에게 이로 인하여 원고가 입은 정신적 고통에 대하여 손해를 배상할 책임이 있다.’라고 판시하여 동의가 없는 한 사용자의 무단탐지는 위법하다고 판시하였습니다.

 

<칼럼> 사내에서 발생하는 회사 자금, 예산 관련 비위의 경우 매우 은밀히 이루어지는 경우가 대부분이다. 회사가 조사에 앞서 개인정보 동의서를 징구하면 그 사이에 대상 직원이 비위 흔적을 지울 가능성이 많기 때문에 상당수 회사들은 개인정보 동의서를 징구하기를 꺼린다. 이와 관련, 법원은 회사 소유 전산 기기에 있는 정보 역시 개인정보 보호법의 대상이 될 수 있다고 보고 있다. 따라서 개인정보 수집에 대한 직원 동의 없이 회사 노트북, 핸드폰의 이메일, 문자 등을 모니터링하는 것은 개인정보 보호법에 반하고, 나아가 통신비밀보호법, 정보통신망법, 형법에 위배될 수 있다. 결국 사내 비위 발생 시 회사 노트북, 서버의 이메일, 메신저 리뷰를 진행함에 있어 대상 직원의 명시적인 개인정보 수집 동의서를 징구하고 조사를 진행하는 것이 안전하다. 그렇다면 입사 시 직원이 작성하는 근로계약서 또는 보안서약서에 이메일 모니터링 등이 가능하다는 문구가 있다면 어떨까? 이에 대하여 명확히 다룬 판례는 잘 보이지 않지만 실제 개인 정보 주체의 의사가 포괄적으로 이메일, 메신저의 내용까지도 구체적으로 회사가 리뷰하는 것에 동의하였다고 보기는 어려워 법 위반 가능성을 배제할 수 없다. https://n.news.naver.com/mnews/article/011/0004448231?sid=102 <대구지법 판례> 1) 컴퓨터에 저장된 개인의 인터넷 검색기록이나 웹사이트 방문기록, 애플리케이션 로그 등은 개인의 사생활의 비밀에 관한 사항에 해당하므로 이러한 정보에 대한 무단탐지는 사생활의 비밀과 자유, 정보에 대한 자기결정권 등을 침해하는 것으로서 정당한 이유가 없는 한 불법행위를 구성한다. 따라서 이 사건 탐지행위는 불법행위에 해당한다 할 것이므로 피고는 원고에게 이로 인하여 원고가 입은 정신적 고통에 대하여 손해를 배상할 책임이 있다. 2) 이에 대하여 피고는, 이 사건 탐지행위로 인한 피고의 개인정보보호법위반죄의 피의사실에 대하여 혐의없음 처분이 이루어졌으므로 불법행위가 성립되지 않는다는 취지로 주장한다. 살피건대 을 제6호증의 기재 및 변론 전체의 취지에 의하면 피고가 열람한 정보가 개인정보보호법에 정한 ‘개인정보’에 해당하지 아니한다는 이유로 피고에게 혐의없음(증거불충분) 처분이 이루어진 사실은 인정된다. 그러나 피고가 무단으로 열람한 정보가 개인정보보호법에 정한 ‘개인정보’에 해당하지 아니한다고 하여 그 정보를 무단으로 열람한 행위가 위법하지 아니하다고 볼 수는 없다. 따라서 피고의 위 주장은 이유 없다. 피고는 또한 자신은 이 사건 회사의 대표자의 지위에서 이 사건 회사의 업무를 위하여 이 사건 탐지행위를 한 것이지 이 사건 탐지행위가 피고 개인의 행위는 아니므로 책임이 없다는 취지로 주장한다. 살피건대 주식회사의 대표이사가 업무집행을 하면서 고의 또는 과실에 의한 위법행위로 타인에게 손해를 가한 경우 주식회사는 상법 제389조 제3항, 제210조에 의하여 제3자에게 손해배상책임을 부담하게 되고, 그 대표이사도 민법 제750조 또는 상법 제389조 제3항, 제210조에 의하여 주식회사와 공동불법행위책임을 부담하게 된다 할 것이므로 피고의 위 주장은 이유 없다. (대구지법 2024. 8. 21. 선고 2023나320254 판결)

○기업의 재산권 내지 경영권 보호와 근로자의 개인정보보호라는 두 가지 법익이 충돌하는 상황입니다. 다음 <칼럼>에서는 ‘사내에서 발생하는 회사 자금, 예산 관련 비위의 경우 매우 은밀히 이루어지는 경우가 대부분이다. 회사가 조사에 앞서 개인정보 동의서를 징구하면 그 사이에 대상 직원이 비위 흔적을 지울 가능성이 많기 때문에 상당수 회사들은 개인정보 동의서를 징구하기를 꺼린다.’라고 서술하면서 현실적인 어려움을 지적하고 있습니다. 현행 개인정보보호법은 정보주체의 동의는 자유로운 동의를 전제로 하기에, 기업보호를 빌미로 강제적인 동의는 불가능한 상황입니다. 실제로도 개인정보보호법의 해석상 강제동의는 진정한 동의라고 보기도 어렵습니다. 여기에서 기업보호 차원에서 기업보유 전산기기의 사용에 있어서는 개인정보와 조화하는 선에서 사용자의 감시가 가능한 법적 장치의 도입이 필요하다고 봅니다.