16.

개인정보 불법취득자도 개인정보처리자이다

• 공유하기
• 새 탭 열기
• 작성 이력 보기

최근 대법원 판결(2026. 4. 16. 선고 2026도477 판결)은 디지털 시대의 개인정보 보호 체계에서 간과되기 쉬운 법적 사각지대를 엄중히 짚어냈다는 점에서 중대한 시사점을 던진다. 이 사건의 핵심 쟁점은 해킹이나 불법 유통 등 부정한 방법으로 취득한 개인정보를 업무상 이용하는 자를 개인정보 보호법상 '개인정보처리자'로 볼 수 있는지 여부였다.

현행 개인정보 보호법 제2조 제5호는 개인정보처리자를 '업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통해 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등'으로 정의하고 있다.

피고인 측은 정보 취득 과정이 해킹이나 불법 유통 등 법적 정당성을 결여한 경우라면 해당 법령의 규제를 받는 처리자의 지위를 가질 수 없다고 항변했으나, 대법원은 이를 받아들이지 않았다.

대법원은 법문의 문언과 체계를 면밀히 고찰한 결과, 개인정보처리자의 성립 요건에 '취득 경위의 적법성'에 관한 어떠한 제한도 존재하지 않는다는 점을 명확히 했다. 즉, 데이터의 출처가 비도덕적이거나 불법적이라 할지라도 이를 업무 목적으로 체계화해 운용하고 있다면 법적 수범자로서의 의무를 회피할 수 없다는 논리다.

이러한 해석의 근저에는 정보주체의 '개인정보자기결정권'을 실질적으로 보호하겠다는 의지가 담겨 있다. 만약 해킹 등을 통해 정보를 얻은 자를 처리자에서 제외한다면, 오히려 불법을 저지른 자가 개인정보 보호법이 정한 각종 의무로부터 자유로워지는 역설적인 상황이 발생한다. 개인정보처리자는 정보주체의 요구가 있으면 즉시 개인정보의 수집 출처 등을 알려야 하고(제20조 제1항), 정보주체의 열람 요구(제35조 제1항)나 정정·삭제 및 처리정지 요구(제36조, 제37조)에 응할 의무가 있다. 또 위반 행위로 손해를 입힌 경우 고의 또는 과실이 없음을 스스로 입증하지 못하면 손해배상 책임을 져야 한다. 대법원은 이러한 '보호의 공백'이 입법 취지에 정면으로 반하며, 오히려 정보주체의 권익을 더 크게 침해할 우려가 있는 불법 취득자에게 면죄부를 주는 결과를 초래한다고 지적했다.

나아가 이번 판결은 죄수 관계에 있어서도 의미 있는 판단을 내놓았다. 대법원은 개인정보처리자가 범위를 초과해 제3자에게 정보를 제공하는 행위(제71조 제2호, 제18조 제1항 위반죄)와 정당한 권한 없이 다른 사람의 개인정보를 유출하는 행위(제71조 제10호, 제59조 제3호 위반죄)가 서로 독립된 별개의 구성요건을 가진다고 봤다. 비록 원심이 이를 특별관계로 보아 한 가지 죄만 인정했으나, 대법원은 두 죄가 '상상적 경합' 관계에 있다고 판시함으로써 불법적인 정보 처리에 대해 보다 촘촘한 처벌망을 구성해야 함을 시사했다.

이번 판결은 개인정보처리자의 지위 판단 기준을 '권원의 정당성'이 아닌 '처리의 실태'에 두어야 함을 확정했다. 특히 다크웹이나 해킹 커뮤니티에서 유통되는 데이터를 비즈니스에 활용하는 행위가 단순히 취득 단계의 불법성을 넘어, 이후의 이용 및 제공 행위 전반에 걸쳐 엄중한 형사책임의 대상이 됨을 선언한 것이다.
 

앞으로 기업은 보유한 데이터의 수집 경위가 불투명하더라도, 해당 데이터를 운용하는 순간부터 개인정보 보호법상의 모든 수범 의무가 발생한다는 점을 명심해야 한다. 불법적으로 취득한 정보라는 사실이 법적 책임을 회피하는 수단이 될 수 없다. 사법부는 이번 판결에서 불법의 산물이라 할지라도 개인의 존엄과 가치는 보호받아야 한다는 원칙을 확인하고 있다.

김경환 법무법인 민후 변호사