불법 취득 개인정보도 보호 대상인가:개인정보처리자 개념의 확장과 정보주체 보호 공백 해소

사건의 배경

 

이번 칼럼은 4월 16일 선고된 대법원 2026도477 판결을 중심으로, 불법적으로 취득한 개인정보를 업무에 활용한 사람도 개인정보 보호법상 개인정보처리자로 볼 수 있는지를 다루고 있다. 대법원은 이와 관련해 정보 취득 경위가 불법이더라도, 그 정보를 업무 목적으로 체계적으로 운용하고 있다면 개인정보 보호법상 개인정보처리자에 해당한다고 판단했다.

이 사건에서 개인정보 보호법이 보호하려는 대상이 정보주체라는 점을 중요하게 여긴다는 점이 잘 드러난다고 느꼈다. 해킹이나 불법 유통으로 가져온 정보라고 해서 그 안에 담긴 사람의 권리까지 사라지는 것은 아니고, 오히려 그런 정보일수록 더 위험한 환경에 놓여 있기 때문에 정보주체의 보호를 위해 법으로 규정한 것이 아닐까 생각이 들었다. 

 

개인정보 침해 쟁점

 

이 사건에서 피고인은 해킹이나 불법 유통처럼 애초에 정당하지 않은 방식으로 가져온 개인정보라면, 그런 정보를 다루는 사람은 개인정보 보호법이 정한 개인정보처리자가 아니라고 주장했다.

불법 취득자에게 개인정보 보호법상 의무를 지우는 것은 맞지 않다는 논리가 타당해 보였다. 개인정보 보호법은 원래 적법하게 정보를 수집하고 처리하는 사업자나 기관을 전제로 만들어진 규범이라고 이해했기 때문이다. 그런데 이 논리대로라면 정상적으로 정보를 수집한 사업자는 열람, 정정, 삭제, 처리정지 요구를 받아야 하고 손해배상 책임도 지는데, 해킹하거나 불법 구매한 사람은 오히려 그런 의무를 피하게 된다. 따라서 대법원도 불법 취득자를 개인정보 보호법 안으로 다루게 해 정보주체가 위험한 상황에서법적 보호를 받을 수 있도록 한 것이다. 

 

관련 규범을 찾아보며

 

개인정보 보호법 제2조 제5호는 개인정보처리자를 '업무를 목적으로 개인정보파일을 운용하기 위해 스스로 또는 다른 사람을 통해 개인정보를 처리하는 공공기관, 법인, 단체 및 개인'으로 정의한다. 조문을 보면 개인정보를 어떻게 취득했는지는 규정되어 있지 않고, 그 정보를 업무 목적으로, 체계적으로 운용하고 있는지 여부를 중요하게 다루고 있다.

이번 사건에서도 이 점을 바탕으로 적용할 수 있다. 개인정보처리자 성립 요건에 취득 경위의 적법성은 들어 있지 않고, 불법 취득자는 제외된다는 제한이 나와있지 않다. 개인정보를 '어떻게 가져왔는가'보다 '가져온 뒤 어떻게 쓰고 있는가'에 초점을 맞춰서 판단한 것이다.

개인정보 보호법상 개인정보처리자는 정보주체가 요구하면 개인정보 출처를 알려야 하고, 열람 요구에 응해야 하며, 정정, 삭제, 처리정지 요구도 받아야 한다. 손해가 발생하면 고의나 과실이 없음을 입증하지 못하는 한 손해배상 책임도 진다. 이런 의무는 불법적으로 이러한 정보를 취득한 사람에게도 지워줘야 정보주체가 피해를 입었을 때 법적 배상을 받을 수 있다. 

 

제도적 의미

 

이번 판결은 개인정보 보호법에서 개인정보처리자를 판단하는 기준이 '권원의 정당성'이 아니라 '처리의 실태'라는 점을 분명히 했다는 데 의미가 있다. 적법하게 수집했는지 여부도 물론 중요하지만, 누가 개인정보를 들고 어떤 목적으로 어떻게 굴리고 있는지가 더 직접적인 위험을 만들기 때문에 이를 제대로 법적 테두리 안에 규정한 것으로 보인다. 

현실적으로도 다크웹에서 구매한 개인정보 DB, 해킹으로 빼낸 회원정보, 불법 유통된 고객 리스트를 활용해 영업하거나 마케팅하는 경우가 실제로 많다. 이런 경우 예전에는 취득 자체의 불법성만 다루곤 했는데, 이번 판결을 통해서 불법적으로 가져온 정보를 업무에 쓰는 순간부터 개인정보 보호법상 책임이 생긴다는 점을 다룰 수 있도록 했다.

 

내가 배운 점

 

이 판결을 통해 개인정보 보호의 관점으로 바라볼 때 데이터의 출처보다, 그 정보 안에 담긴 사람의 권리를 중요하게 여겨야 한다는 점을 다시 한 번 확인할 수 있었다. 불법적으로 유통된 정보라고 해서 정보주체 권리까지 사라지는 건 아니기 때문이다.

오히려 불법적으로 취득된 정보일수록 정보주체는 더 취약해지기 때문에 그러한 공백을 막기 위한 판결이 나왔다는 생각이 들었다. 

 

내가 개인정보보호 담당자라면

 

내가 개인정보보호 담당자라면 조직 안에서 활용하는 데이터가 어떤 경로로 들어왔는지, 제3자 제공 데이터나 외부 구매 DB의 수집 근거가 명확한지부터 다시 확인할 것이다. 출처가 불분명한 데이터를 업무에 쓴다면 그 데이터 자체가 바로 법적 리스크가 되기 때문이다. 외부에서 받은 고객 DB, 마케팅 리스트, 제휴사 제공 데이터는 적법 수집 근거와 제공 근거가 확인되지 않으면 애초에 쓰지 않도록 해야 할 것이다.

 

정리하며

 

이번 대법원 판결은 불법적으로 취득한 개인정보라도 업무에 활용하는 순간 개인정보 보호법상 보호와 규율 대상이 된다는 점을 분명히 했다. 개인정보처리자 판단 기준은 정보 취득 경위가 아니라, 그 정보를 실제로 어떻게 운용하고 있는지에 있다.

이 판결은 개인정보 보호법이 결국 보호하려는 것이 데이터의 출처가 아니라 정보주체의 권리라는 점을 다시 확인해준다. 불법적으로 가져온 정보일수록 더 강하게 통제해야 한다는 점에서, 이번 판결은 개인정보 보호의 범위를 넓힌 판결이라고 생각한다.

 

참고 자료

• 전자신문, 「[김경환 변호사의 IT법] 〈8〉불법 취득 개인정보도 보호 대상인가: 개인정보처리자 개념의 확장과 정보주체 보호 공백 해소」, 2026-05-05.

 

기사 원문

 

https://www.etnews.com/20260505000051

[김경환 변호사의 IT법] 〈8〉불법 취득 개인정보도 보호 대상인가:개인정보처리자 개념의 확장