김 대리는 회사에 출근하자마자 컴퓨터를 켜고 사내 메신저에 접속한다. 업무 중에 틈틈이 동료들과 메신저로 대화를 하면서 팀장에 대한 불만을 털어놓기도 하는데, 어느 순간 불현듯 누군가 내 메신저를 엿보는 것 같은 느낌이 들었다. 기억을 더듬어보니 입사할 때 개인정보 관련 서류에 뭔가 사인을 했던 것 같다. 회사가 제공한 메신저인 만큼 회사에서 기술적으로 대화 내용을 볼려면 볼 수 있을테지만, 일개 직원을 감시할 정도로 회사가 한가할 리는 없을 거란 생각도 들었다. 그럼에도 나와 동료들이 시시콜콜 나눈 대화를 누군가 들여다볼 수 있다고 생각하니 ‘아니, 그건 부당한 노동 감시이자 사생활 침해 아닌가?’라는 생각에 매우 불쾌하다.
회사가 직원들의 사내 메신저 대화를 몰래 들여다 보는 것은 과연 적법한 것일까?
가장 먼저 거론되는 것은 개인정보보호법 이슈다. 사내 메신저를 통해 수집되는 직원들의 대화 중에는 ‘개인정보’가 포함될 수 있으므로, 이 경우 개인정보보호법이 적용된다. 개인정보를 수집하려면 원칙적으로 정보 주체인 직원의 동의를 얻어야 하고, 그 수집 목적 범위 내에서 이용할 수 있다(개인정보보호법 제15조 제1항 제1호).
다만 ‘개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우’ 등 예외적인 경우에 한해서 동의 없이도 개인정보를 수집·이용할 수 있다(개인정보보호법 제15조 제1항 제6호). 예를 들어, 만일 회사가 직장 내 괴롭힘 사실 확인 등을 위해 사후적으로 일정 기간을 특정해 메신저 대화를 열람하는 경우, 회사의 정당한 이익이 정보주체의 권리보다 우선하는 예외적인 경우로 인정될 여지가 있을 것이다. 다만 이 때도 목적 달성을 위한 범위 내에서만 열람해야 하고, 이를 넘어서면 위법할 수 있다.
또한 그 메신저 열람 내용이나 태양에 따라 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(정보통신망법), 통신비밀보호법에 위반될 소지도 있다. 정보통신망법은 정당한 접근 권한 없이 또는 허용된 접근 권한을 넘어 정보통신망에 침입해서는 안 되고(제48조 제1항), 정보통신망에 의해 처리·보관, 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용, 누설해서는 안 된다고 규정하고 있다(제49조). 통신비밀보호법은 전기통신의 감청을 금지하고 있다(제3조). 따라서 회사가 사내 메신저를 실시간으로 모니터링하는 경우, 보안 또는 인사관리 목적을 벗어나 직원의 비밀을 침해하거나, 감청에 해당할 소지가 있어 정보통신망법이나 통신비밀보호법 위반에 해당할 소지가 크다.
일각에서는 원할한 업무 수행을 위해 사내 메신저가 제공된 만큼, 회사가 언제든 대화 내용을 열람할 수 있고, 근로자도 당연히 이를 전제하고 사용해야 하는 것 아니냐고 주장할 수도 있다. 온전히 사적 영역에서 이루어진 대화는 아니지 않냐는 것이다.
그러나 사내 메신저가 업무의 수단이자 회사의 자산이라고 하더라도, 회사가 이를 동의 없이 함부로 열람하는 경우 앞서 본 것처럼 개인정보보호법 등에 위반될 소지가 있다. 사내 메신저라 해도 아이디와 비밀번호를 입력해야 접속할 수 있고, 그 대화 내용은 원칙적으로 제3자가 알 수 없으며, 통상 대화 내용이 일정 기간만 보관되고 이후 삭제되는 점 등을 고려하면, 사내 메신저 대화는 공적인 업무 영역과 사생활 영역이 혼재되어 있고, 이를 일률적으로 구분하기 어려워, 결과적으로 사생활 침해로 이어질 가능성이 있다.
판례 역시 메신저 열람에 대해 당사자의 명시적 동의를 얻었거나, 그렇지 못했다면 회사의 정당한 이익이 직원의 권리보다 명백하게 우선하는 경우에 한하여 제한적인 범위에서 적법성을 인정하는 경향을 보인다.
대법원은 2009년 판결에서 직원의 업무상 배임 혐의가 구체적이고 합리적으로 의심되는 상황임에도 직원이 이를 부인하자, 직원의 하드디스크 저장정보 중 배임 혐의를 확인하는데 필요한 범위 내에서 파일 검색, 메신저 대화 내용, 이메일을 열람한 행위가 형법 제20조의 정당행위에 해당하여 위법하지 않다고 판시했다(대법원 2009. 12. 14. 선고 2007도6243 판결).
또한 최근 법원은, 회사가 직원의 회사 컴퓨터에 저장된 인터넷 검색 기록, 웹사이트 방문기록, 애플리케이션 로그 등을 무단으로 탐지한 것은 사생활의 비밀과 자유, 정보에 대한 자기결정권 등을 침해하는 것으로서 정당한 이유가 없는 한 불법행위라고 보아, 회사의 손해배상책임을 인정한 바 있다(대구지방법원 2024. 8. 21. 선고 2023나320254 판결).
위와 같은 판례의 태도를 고려하면, 회사의 사내 메신저 열람은 원칙적으로 직원의 명시적 동의를 얻어야 하고, 동의를 얻지 못했다면 회사의 업무상 필요가 직원의 사생활의 자유보다 명확히 큰 경우에 한하여, 필요 최소한도의 범위 내에서 허용된다고 보는 것이 합리적이다.
즉, 적어도 △직원의 동의 없이 몰래 메신저 대화를 열람·복사하는 경우 △직원의 동의를 얻었더라도 회사의 정당한 이익을 벗어나서 목적을 초과한 열람을 하는 경우 △PC 모니터 녹화를 통한 실시간 메신저 열람 등은 위법하다고 인정될 소지가 크다.
그렇다면 회사가 미리 직원들로부터 개인정보 수집·이용에 관해 동의서를 얻었다면 사내 메신저를 언제든 열람해도 아무런 문제가 없을까? 많은 기업들이 정보보호 서약서, 개인정보 수집·이용 동의서 등을 징구하면서 동의를 얻고 있으나, 포괄적인 동의에 그치는 경우가 많은 것이 현실이다. 즉 사내 메신저의 열람, 감사 기능 활용 등과 같은 구체적인 시기, 내용, 방법을 적시하지 않은 채 단지 재직 중 임직원의 개인정보를 수집·이용할 수 있다는 정도의 포괄적인 동의에 그치는 것이다. 올해 모 유명인이 회사에서 사내 메신저를 통해 직원들이 나눈 메시지를 동의 없이 몰래 엿봤다는 뉴스가 보도되었 때, 많은 직장인들이 충격과 배신감을 느낀 것도 같은 이유가 아닐까.
물론 이 부분에 관해 관해 아직 법령 해석례나 판례가 축적되지 않은 상태이고, 포괄적인 동의라는 이유로 동의가 부적법하다고 본 판례는 찾아보기 어렵다. 그러나 앞으로 이에 관한 논의가 더 진척된다면, 포괄적인 동의의 효력이 문제될 가능성도 배제할 수 없다.
그렇다면, 기업은 개인정보 보호법 등에 따라 사내 메신저 등을 통해 본래 목적에 필요한 범위에서 최소한의 정보만을 수집해야 하며, 정확히 어느 정도 범위까지 정보 수집·이용이 이루어질 수 있는지 명확히 알려주고 동의를 받을 필요가 있다. 또한 직원들에게 사내 메신저 사용에 대한 명확한 규정, 열람 및 감사 기능 등의 목적 등을 미리 설명하고 협의하는 것이 바람직하다.
사용자는 근로자에 대한 업무상 지휘·감독권을 가지므로, 회사 내에서 근로자의 사생활의 자유는 상당 부분 제한될 수 있다. 하지만 그렇더라도 개인정보보호법 등에 위반하거나 개인의 사생활의 자유 등을 지나치게 간섭하는 관리·감독은 위법이라는 점을 기억해야 한다. 특히 근로자에 대한 지나친 감시나 모니터링이 직장 내 괴롭힘에 해당할 소지가 있다는 점도 유의해야 한다.
윤혜영 법무법인 세종 변호사
관련뉴스