지난달 6일 'Justica'라는 닉네임을 사용하는 한 학우가 학내 커뮤니티 ARA에 학부총학생회(이하 총학)가 학우 개인정보를 무단 사용하고 있다는 글을 올렸다. Justica는 2일에 걸쳐 총 4개의 게시물을 통해 총학과 학교행정 당국의 해명을 요구했으며 사실관계 확인에 대한 논란과 책임 공방이 일었다.
개인정보보호법에서는 제삼자에게 개인정보 제공이 가능한 경우를 제한하고 있으며 개인정보관리자에게 특정 의무를 부여하고 있다. Justica는 총학이 학우들의 개인정보를 사용하고 있음에도 불구하고 ▲사전에 개인정보 사용에 대한 학우들의 동의를 구하지 않은 점 ▲개인정보처리방침을 만들어 공개하지 않은 점이 개인정보보호법에 반한다고 주장했다. 실제로 총학은 따로 개인정보 관리 방법에 대한 지침을 공개하거나 학우들로부터 정보 제공 동의를 구하지 않고 ‘100번의 데이트’의 참여를 독려하는 문자를 발송한 적이 있다. 이어 Justica는 학교행정 당국이 총학에 학우들의 개인정보를 임의로 제공하고 있다는 의혹을 제기했으며 이러한 행동이 위법 행위라고 주장했다.
이에 대해 총학은 문자를 발송할 때 사용한 학우들의 연락처는 학교행정 당국이 아닌 과학생회로부터 받은것이라고 해명하며 지금까지 보관하고 있던 모든 개인정보를 파기했다고 밝혔다. 과학생회는 학우들의 개인정보를 과사무실로부터 받거나 학우들로부터 동의 아래 개인정보를 직접 수집했다. 과사무실로부터 학우들의 개인정보를 받은 것은 학교 당국으로부터 받은 것과 동일하게 볼 수 있다. 또한, 총학은 내년부터 입학하는 신입생들에게 개인정보제공동의를 받을 방법을 마련하고 있다고 덧붙였다. 제승우 총학 회장은 “총학에 우리 학교 당국이 사용하고 있는 개인정보 처리 방식을 도입하기 위해 인사팀과 협의를 하고 있다”라며“ 국가에서 정한 기준에 따라 적법한 절차를 거쳐 개인정보 보호를 위한 방법을 강구하고 있다”라고 말했다.
개인정보 무단 사용에 대한 법리적 판단은?
Justica는 우리 학교가 총학에 개인정보를 학우들의 동의 없이 제공한 것은 개인정보보호법 제17조(개인정보의 제공), 제18조(개인정보의 이용‧ 제공 제한), 제22조(동의를 받는 방법), 제30조(개인정보 처리방침의 수립 및 공개)를 위반한 것이라고 지적했다. 또한, 동일법의 제71조(제17조 위반 시 벌칙조항)와 제75조(제22조, 제30조 위반 시 과태료 조항)에 따라 우리 학교와 총학에 대한 처벌이 가능하다고 주장했다. 하지만 이 상황에 대한 법적 책임은 우리 학교와 총학의 관계에 대한 해석에 따라 달라진다.
법리적 판단의 핵심은
총학과 학교와의 관계
KAIST 학부 총학생회 학생회칙 제6조(학교 당국과의 관계)에 따르면 총학은 학교 당국에 대해 독립적, 자율적 지위를 가진다. 하지만 우리 학교 학칙 제95조(학생회)에서 학생회를 학내 자치기구로 규정하고 있다는 것과 조직, 기능 및 운영에 관한 회칙에 대해 총장의 승인을 얻어야 한다는 것을 미루어 볼 때 법적으로 독립된 기관이 아닌 학교 내부 기관으로 보아야 한다는 시각도 있다.
총학이 학교 내부의 기관인 경우에는 개인정보관리자인 학교나 총학의 구성 부분인 과학생회가 학우들의 개인정보를 총학에 제공했더라도 법적으로 문제가 되지 않는다. 또한, 학교행정 당국도 개인정보처리방침을 마련해 공개하고 있기 때문에 개인정보보호법을 위반한 것이 아니다.
만약 총학이 학교와 완전히 독립된 비법인 사단일 경우, 총학은 개인정보관리자가 아닌 정보를 받은 제삼자이므로 학우들의 동의를 구하는 등 개인정보관리자의 법률상 의무가 적용되지 않는다. 여기서 비법인사단은 사단법인의 실질을 갖추고 있으나 민법상에서 권리 능력을 갖추지 않은 단체를 의미한다. 하지만 학우들로부터 직접 수집한 개인정보를 과학생회로부터 받았다면 총학은 개인정보관리자의 지위에 있게 된다. 개인정보 파기 및 이용중지 요청에 응할 의무가 생기는 것이다. 또한, 수집 목적, 처리 방법 및 보유기간 등의 내용을 담은 개인정보 처리방침을 공개할 의무도 갖게 된다.
고발한다고 해도
실질적인 처벌은 어려워
총학이 비법인 사단으로 인정되어 개인정보보호법을 위반했다고 판명되는 경우 개인정보보호법 제71조에 의해 형벌(5년 이내의 징역 또는 5천만 원 이내의 벌금)이 선고되거나 제75조 제3항 제7호에 의해 1천만원 이하의 과태료가 부과될 수 있다. 하지만 Justica가 이를 고발한다고해도 총학이 실질적인 처벌을 받기는 어렵다는 것이 전문가의 의견이다. 최봉석 동국대학교 법과대학 교수는 “개인정보보호법 상의 벌칙 규정은 영리를 위한 사용, 부정한 사용, 정보주체의 피해 발생 등의 부정한 목적과 결과를 전제로 하고 있기 때문에 (Justica가 제기한 위법 사항에 대해) 형벌 조항이 적용되기 어렵다”라고 말했다.
한편, 현재까지 이와 유사한 사건이나 법원의 판결은 없는 것으로 알려졌다.
