업무를 수행하다 보면 자연스럽게 명함을 주고받게 됩니다. 다양한 사람들과의 만남에서 명함은 필수적인 소통 수단입니다. 그런데 최근 이러한 질문을 받는 경우가 증가하고 있습니다.
“명함을 받아서 정리해두면 개인정보처리자가 되나요?”
“명함 정보를 엑셀이나 CRM에 입력하면 개인정보보호법 위반인가요?”
“명함을 준 행위 자체가 개인정보 수집 동의로 볼 수 있나요?”
이는 단순히 호기심 차원의 질문이 아닙니다. 개인정보 보호법 위반 시 형사처벌(5년 이하의 징역 또는 5천만원 이하의 벌금, 개인정보 보호법 제71조)은 물론, 민사상 손해배상책임(개인정보 보호법 제39조)까지 발생할 수 있기 때문입니다.
본고에서는 명함 수집·정리 행위의 법적 성격과 개인정보처리자 해당 여부, 그리고 실무상 유의사항을 검토하고자 합니다.
1. 개인정보처리자의 개념 및 명함 정보의 법적 성격
가. 개인정보처리자의 정의
개인정보 보호법 제2조 제5호는 “개인정보처리자”를 “업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등”으로 정의하고 있습니다.
여기서 핵심 요건은 다음과 같습니다.
- 업무를 목적으로 할 것
- 개인정보파일을 운용할 것
- 개인정보를 처리할 것
“개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말합니다(개인정보 보호법 제2조 제4호). 그리고 “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말합니다(개인정보 보호법 제2조 제2호).
나. 명함 정보의 개인정보 해당성
명함에는 통상 성명, 소속, 직책, 전화번호, 이메일 주소 등이 기재되어 있습니다. 이는 개인정보 보호법 제2조 제1호 가목의 “성명 등을 통하여 개인을 알아볼 수 있는 정보”에 명백히 해당합니다.
따라서 명함에 기재된 정보는 개인정보에 해당하며, 이를 수집·정리·보관하는 행위는 개인정보의 “처리”에 해당합니다.
다. 명함 수집·정리 행위와 개인정보처리자 해당 여부
명함을 받아서 명함철에 보관하거나, 엑셀 파일이나 CRM 시스템에 입력하여 체계적으로 정리하는 행위는 개인정보를 “일정한 규칙에 따라 체계적으로 배열하거나 구성”하는 것으로서 개인정보파일을 운용하는 행위에 해당합니다.
따라서 사업상 받은 명함을 수집하여 정리한 경우, 원칙적으로 개인정보처리자에 해당한다고 보아야 합니다. (박노형, 『개인정보보호법[제2판]』, 박영사(2023년), 193면)
2. 명함 제공 행위의 법적 의미 – 동의 인정 범위
가. 명함 제공 행위 자체는 명시적 동의가 아니다
개인정보처리자는 원칙적으로 정보주체의 동의를 받아 개인정보를 수집할 수 있으며, 그 수집 목적의 범위에서 이용할 수 있습니다(개인정보 보호법 제15조 제1항 제1호). 이때 동의를 받을 때에는 개인정보의 수집·이용 목적, 수집하려는 개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의 거부권 및 불이익 등을 정보주체에게 알려야 합니다(개인정보 보호법 제15조 제2항).
명함을 전달하는 행위만으로는 위와 같은 고지사항이 전달되지 않으므로, 일반적인 의미의 “명시적 동의”로 보기 어렵습니다.
대법원 판례도 개인정보 수집에 대한 동의를 받는 행위 자체만을 분리하여 개별적으로 판단하여서는 안 되고, 개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴보아 사회통념에 따라 판단하여야 한다고 판시하고 있습니다(대법원 2017. 4. 7. 선고 2016도13263 판결 개인정보보호법위반·정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등)).
나. 명함 제공의 상황에 따른 묵시적 동의의 인정
그러나 명함 제공의 맥락과 상황에 따라서는 일정한 범위 내에서 묵시적 동의가 인정될 수 있습니다.
개인정보 보호법 해석지침 및 학설에 따르면, 개인정보처리자는 정보주체로부터 직접 명함 또는 그와 유사한 매체를 제공받음으로써 개인정보를 수집하는 경우 명함 등을 제공하는 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있습니다. (박노형, 『개인정보보호법[제2판]』, 박영사(2023년), 156-157면)
변호사를 예시로 들면, 구체적으로 다음과 같은 경우에는 해당 목적 범위 내에서 묵시적 동의가 인정될 수 있습니다.
가) 업무 협의를 위해 주고받은 명함
구체적인 업무 협의를 위해 명함을 교환한 경우, 다음과 같은 목적의 연락은 통상 허용됩니다.
- 회의 일정 조율
- 실무자료 전달
- 후속 미팅 실행
- 사건 진행 상황 안내
예컨대, 법률상담을 위해 방문한 의뢰인이 변호사에게 명함을 준 경우, 그 변호사는 의뢰인의 별도 동의 없이도 상담 내용과 관련한 정보 제공을 위해 명함에 기재된 연락처를 이용할 수 있습니다.
나) 거래관계 진행을 위한 명함 제공
사건 수임, 자문계약 체결, 법률서비스 제공 등 거래관계의 개시 및 이행을 위해 명함을 제공한 경우, 그 업무 관련 연락 및 기록은 예상 가능한 사용범위에 해당합니다.
즉, “그 명함을 준 이유와 직접 관련된 목적” 안에서는 활용이 가능합니다.
다) 명함 교부의 목적 범위 제한
다만, 명함은 교부자의 직업, 업무, 직책, 역할, 권한 등에 따라 교부의 목적이 제한되므로, 교부자의 직업, 업무 등과 관련된 범위 내에서 교부자가 예상할 수 있는 범위의 연락에 대해서만 묵시적 동의를 인정해야 합니다. (이창범 외 2인, 『이론&실무 정보통신망법』, 박영사(2021년), 184-185면)
따라서 명함의 교부를 묵시적 동의로 인정받기 위해서는 해당 명함을 수집한 일시, 장소, 회의 또는 행사의 주제 등을 기록하여 교부의 목적 등을 입증할 수 있어야 합니다. (이창범 외 2인, 『이론&실무 정보통신망법』, 박영사(2021년), 184-185면)
3. 마케팅·광고 목적 이용 시 별도 동의 필요성
가. 목적 외 이용·제공의 제한
개인정보처리자는 개인정보를 제15조 제1항에 따른 범위를 초과하여 이용하거나 제17조 제1항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 됩니다(개인정보 보호법 제18조 제1항).
명함을 받았다고 해서 자동으로 다음과 같은 행위가 합법이 되는 것은 아닙니다.
- 세미나·이벤트 안내 SMS 발송
- 뉴스레터 구독 등록
- 제3자 마케팅 제공
- 광고성 이메일 발송
나. 광고성 정보 전송에 대한 별도 규제
정보통신망법 제50조는 영리목적의 광고성 정보를 전송하려는 자는 사전에 수신자의 명시적인 수신동의를 받아야 한다고 규정하고 있습니다.
여기서 “명시적 동의”란 침묵 또는 부작위에 의한 묵시적 동의와 달리, 긍정을 의미하는 적극적인 행위에 의한 동의를 의미합니다
다. 실무상 구분 기준
업무 협의 목적의 연락 → 묵시적 동의 인정 가능
광고·마케팅 목적의 연락 → 별도의 명시적 동의 필수
이 구분이 실무에서 분쟁이 발생하는 가장 핵심적인 포인트입니다.
4. 실무상 위험한 케이스 및 유의사항
가. 박람회·세미나에서 받은 명함으로 마케팅하는 경우
박람회나 세미나에서 명함을 주는 이유는 “현장에서의 즉석 상담” 또는 “해당 행사 관련 정보 교환”이지, “장기적인 이메일 광고 수신 동의”가 아닙니다.
따라서 이러한 명함을 수집하여 정기적인 뉴스레터나 세미나 안내를 발송하는 경우, 개인정보 보호법 및 정보통신망법 위반으로 제재받을 가능성이 있습니다.
실제로 서울중앙지방법원 2017. 8. 18. 선고 2017노712 판결은 보험계약을 체결한 고객들로 하여금 포인트를 적립받을 수 있도록 제3자에게 개인정보를 이전한 행위에 대해, 고객들이 묵시적으로 동의하였다는 피고인의 주장을 배척하고 유죄를 인정하였습니다.
나. 직원이 받은 명함을 기업 CRM에 자동 업로드하는 경우
명함은 “개인이 받은” 것이지, “기업에 제공된” 것이 아닙니다.
개인정보 보호법 제26조는 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우 문서에 의하도록 규정하고 있으나, 이는 적법하게 수집된 개인정보를 전제로 합니다.
따라서 기업 차원에서 명함 정보를 CRM에 통합 관리하고자 하는 경우, 최소한 다음과 같은 조치가 필요합니다.
- 명함 제공자에게 “업무 협력 목적의 연락을 위해 명함 정보를 기업 DB에 보관한다”는 취지를 이메일 등으로 간단히 안내
- 기업내부적으로 명함 정보 관리 규정 마련
5. 명함을 안전하게 활용하기 위한 실무 가이드
가. 업무 연락 목적은 가능
업무진행, 자료 송부, 일정 조율 등 명함을 받게 된 본래의 업무 목적 범위 내에서의 연락은 묵시적 동의에 기반하여 가능합니다.
나. 장기 DB 관리 시 최소한의 안내 필요
명함 정보를 CRM 등에 장기간 보관하고자 하는 경우, “업무 협력 목적의 연락을 위해 명함 정보를 DB에 보관한다”는 취지를 이메일로 간단히 안내하는 것이 바람직합니다.
이는 개인정보 보호법 제3조 제5항이 규정하는 투명성 원칙 및 정보주체의 권리 보장 원칙에 부합합니다.
다. 광고·마케팅 목적은 반드시 별도 동의
세미나 안내, 뉴스레터 발송, 서비스 홍보 등 광고·마케팅 목적의 연락은 절대 명함만으로 해결되지 않습니다.
정보통신망법 제50조 위반 시 3천만원 이하의 과태료(정보통신망법 제76조 제1항 제1호의2)가 부과될 수 있으며, 개인정보 보호법 제18조 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금(개인정보 보호법 제71조 제2호)에 처해질 수 있습니다.
라. 제3자 제공은 더욱 엄격
명함 제공자는 “내 정보가 어느 기관에 제공되는지” 예상하지 못했기 때문에, 제3자 제공에 대해서는 별도의 명시적 동의가 필요합니다(개인정보 보호법 제17조 제1항 제1호).
대법원 2016. 8. 17. 선고 2014다235080 판결은 “이미 공개된 개인정보를 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서 수집·이용·제공 등 처리를 할 때” 별도의 동의가 필요 없다고 판시하였으나, 이는 어디까지나 “동의가 있었다고 객관적으로 인정되는 범위 내”로 엄격하게 제한됩니다.
마. 개인정보 보호 원칙의 준수
개인정보처리자로서 다음의 개인정보 보호 원칙을 준수해야 합니다(개인정보 보호법 제3조).
- 목적 제한 원칙: 처리 목적을 명확히 하고 그 목적에 필요한 범위에서 최소한으로 수집
- 데이터 최소화 원칙: 필요한 최소한의 정보만 수집
- 필요 최소한 기간 보유 원칙: 목적 달성 후 지체 없이 파기
- 투명성 원칙: 개인정보 처리에 관한 사항을 공개하고 정보주체의 권리 보장
6. 결론
사업상 받은 명함을 수집하여 정리한 경우, 원칙적으로 개인정보처리자에 해당합니다.
다만, 명함을 준 상황과 맥락에 따라 실제 업무 연락 정도는 묵시적 동의로 평가될 수 있습니다. 그러나 이는 어디까지나 “명함을 준 이유와 직접 관련된 목적” 범위 내로 엄격하게 제한됩니다.
마케팅·광고·제3자 제공 등의 목적으로 명함 정보를 이용하고자 하는 경우에는 반드시 별도의 명시적 동의를 받아야 합니다.
이러한 구분을 명확히 하지 않으면 개인정보 보호법 위반으로 형사처벌 및 민사상 손해배상책임을 부담할 수 있으므로, 실무상 각별한 주의가 필요합니다.