직원은 죄가 없다? 개인정보보호법이 말하는 처리자와 취급자의 3가지 진실

개인정보보호법 위반으로 경찰 조사를 받게 된 직장인들이 수사관 앞에서 가장 많이 하는 말이 있다. "저는 그냥 시키는 대로 일한 직원일 뿐인데, 왜 제가 피의자인가요?" 대다수의 사람들은 개인정보보호법이 '회사(기업)'만을 처벌하는 법이라고 굳게 믿는다. 하지만 2026년 현재, 법원은 당신이 사장인지, 부장인지, 혹은 어제 입사한 막내인지에 따라 각기 다른 '이름표'를 붙이고 그에 걸맞은 형사 책임을 묻는다. 우리가 흔히 잘못 알고 있는 개인정보 처리 주체에 대한 3가지 오해를 최신 판례를 통해 자세히 알아보겠다.

 

첫 번째 오해는 "사장님만 '처리자'이고, 직원은 책임이 없다"는 생각이다. 법은 '개인정보처리자'와 '개인정보취급자'를 철저히 구분하며, 각각 독립된 처벌 규정을 두고 있다. 개인정보처리자(Data Controller)는 보통 법인이나 사업주를 의미하며, 데이터의 수집 목적을 결정하고 전체 시스템을 운영하는 '주인'이다. 반면 개인정보취급자(Data Handler)는 그 주인의 지휘와 감독을 받아 실무를 수행하는 임직원을 뜻한다. 대법원(2015도8766)은 설령 개인이 처리자는 아닐지라도, 업무상 알게 된 정보를 사적으로 누설하거나 유출했다면 '취급자'로서 독자적인 형사 책임을 져야 한다고 판시했다. 즉, "회삿일이었다"는 방패는 당신이 정보를 사적으로 이용하거나 무단으로 넘긴 순간 모래성처럼 무너진다.

퇴사라는 이름의 도망은 불가능하다

두 번째로 사람들이 간과하는 것은 "퇴사하면 더 이상 '취급자'가 아니니 괜찮다"는 위험한 믿음이다. 과거에는 이 논리가 어느 정도 통했지만, 지금은 퇴사하는 순간 새로운 법적 족쇄가 채워진다. 2023년 개정되어 2026년 현재 수사 현장에서 강력하게 적용 중인 제71조 제10호는 '개인정보를 처리하였던 자(퇴직자)'를 처벌 대상으로 명시하고 있다. 예전에는 퇴사한 직원이 고객 명단을 빼돌려 이직한 회사에서 영업에 써도 처벌이 모호했으나, 이제는 '권한 없는 이용'만으로도 5년 이하의 징역형에 처해질 수 있다. 퇴직과 동시에 '취급자'라는 신분은 사라질지 몰라도, 업무 중 다루었던 데이터에 대한 '비밀유지 의무'는 영구히 당신을 따라다니는 셈이다.

 

마지막으로, "고객 연락처를 엑셀로 정리하면 무조건 '처리자'다"라는 통념도 팩트체크가 필요하다. 누구를 '개인정보처리자'로 볼 것인가는 수사 단계에서 유무죄를 가르는 핵심 쟁점이다. 대전지방법원(2023노700) 판례에 따르면, 처리자가 되기 위해서는 정보를 체계적으로 검색할 수 있도록 배열한 '개인정보파일'을 계속적인 업무 목적으로 운영해야 한다. 만약 당신이 동창회 명부를 단순히 텍스트 파일로 저장해 두었거나, 일회성으로 단골손님 장부를 적어둔 수준이라면 법상 '처리자' 요건을 충족하지 못해 처벌 대상에서 제외될 수 있다. 법은 '업무적 체계성'이 없는 사적 활동에까지 개인정보보호법의 엄격한 잣대를 들이대지는 않기 때문이다.

양벌규정 : 사장님과 직원의 위험한 동행

하지만 여기서 끝이 아니다. 개인정보보호법에는 '양벌규정'이라는 무서운 족쇄가 하나 더 있다. 직원이 개인정보를 유출했다면, 수사기관은 해당 직원만 잡는 것으로 끝내지 않는다. 그를 고용하고 감독해야 했던 '법인(처리자)'에게도 똑같이 벌금을 부과한다. 다만, 회사가 평소에 "정보보호 교육을 정기적으로 실시했고, 접속 로그를 매일 점검했다"는 사실을 입증한다면 법인은 책임을 면할 수 있다. 결국 사고가 터졌을 때 누군가는 감옥에 가고 누군가는 회사의 문을 닫아야 하는 이 가혹한 처벌의 연쇄 고리는, 본인이 법적으로 어떤 지위에 있는지 정확히 인지하는 것에서부터 끊어낼 수 있다.

 

법은 당신이 앉아 있는 의자의 높이보다, 당신의 손이 닿는 데이터의 깊이를 더 중요하게 본다. 내가 사장이라면 시스템 전체의 보안을 책임지는 처리자로서, 직원이라면 내 눈을 거쳐가는 정보를 지키는 취급자로서 각자의 법적 무게를 견뎌야 한다. 결국 개인정보보호법 위반이라는 덫에 걸리지 않는 유일한 방법은, 내 업무용 모니터에 떠 있는 이름과 전화번호가 결코 '내 소유'가 아님을 인정하는 것이다. 퇴직 후의 자유조차도 재직 시절 다루었던 정보에 대한 깨끗한 이별이 전제될 때 비로소 완성된다는 사실을 명심해야 한다.

※ 법리 및 실무 참조 안내: 본 칼럼은 개인정보보호법상 처리자와 취급자의 구분, 그리고 2023년 개정법에 따른 퇴직자 처벌 수위를 실제 대법원 및 하급심 판례를 바탕으로 분석한 법률 에세이입니다. 개별 사건에서의 유무죄 판단은 정보의 파일 형태, 업무의 계속성, 고의성 유무 등 구체적인 사실관계에 따라 달라질 수 있습니다. 본 내용은 일반적인 정보 제공을 목적으로 하며, 실제 법적 분쟁 발생 시에는 반드시 법률 전문가의 조언을 구하시기 바랍니다. (최종 작성일: 2026. 2.)