상단여백
HOME 법률판례 판례 평석
개인정보의 개념서울고등법원 2021. 12. 23. 선고 2020노628 판결


01 사안과 쟁점

 이 사건은, 대한약사회 산하 재단법인 약학정보원 대표이사 등이 정보주체 동의 같은 적법처리 근거 없이 5년 동안 국내 처방전 정보 수십억 건을 수집한 후 암호화하여 건강통계업체에 판매한 행위에 대하여 피해자인 의사와 환자가 개인정보 보호법 위반으로 형사 고소한 사안으로서, 암호화된 개인정보가 여전히 개인정보로서 개인정보 보호법의 적용 대상이 되는지가 주된 쟁점이다.
 

02 사건 경과

 대상 판결은 형사 제2심 판결(서울고등법원 2021. 12. 23. 선고 2020노628)로서 기존 민사 판결과 형사 판결의 판시내용을 전제하고 있다. 피해자 측은 처방전 정보가 건강통계업체에 판매되는 데에 관여하였던 약학정보원, 처방전 정보 관리프로그램 개발사, 건강통계업체의 임직원을 대상으로 개인정보 보호법 위반과 같은 불법행위를 저질렀다는 이유로 민사상 손해배상을 청구함과 동시에 형사고소를 하였기 때문이다.

 민사 제1심 판결[서울중앙지방법원 2017. 9. 11. 선고 2014가합508066 · 2014가합538302(병합)]에서는 양방향 암호화(1기 암호화 방식)된 개인정보는 복호화가 가능하므로 개인정보이며 적법처리 근거 없이 처리하여 개인정보 보호법에 위반되나, 구체적인 손해발생에 이르지는 않았으므로 정신적 손해에 따른 배상을 인정할 수 없다는 이유로 원고의 손해배상 청구를 기각했다.

 민사 제2심 판결[서울고등법원 2019. 5. 3. 선고 2017나2074963 · 2017나2074970(병합)]에서는 양방향 암호화(1기 암호화 방식)된 개인정보는 복호화가 가능하므로 개인정보이고, 일방향 암호화(2, 3기 암호화 방식)된 개인정보도 이전에 양방향 암호화된 개인정보와 결합하여 개인을 식별할 수 있으므로 개인정보이며, 적법처리 근거 없이 처리하여 개인정보 보호법에 위반되나 구체적인 손해발생에 이르지 않았으므로 정신적 손해에 따른 배상을 인정할 수 없다는 이유로 원고의 손해배상 청구를 기각했다. 이후 원고는 불복하여 상고하였고, 현재 대법원에 계류 중(2019다242045)이다.

 형사 제1심 판결(서울중앙지방법원 2020. 2. 14. 선고 2015고합665)에서는 본건 암호화된 개인정보가 적용법조인 개인정보 보호법의 적용 대상이 되는 개인정보인지 여부는 단정적으로 판단하지 않고 그 판단기준만을 제시하였으며, 개인정보처리자의 고의성 판단은 주관적인 요소로서 객관적인 요소에 해당하는 개인정보성 판단에 영향을 주지 않는 별개 요소임을 언급하며, 본 건의 공소사실 중 개인정보 처리행위에 있어 피고인들의 개인정보 보호법 위반에 대한 고의성이 충분히 입증되지 못했다고 판단하며, 무죄(형사소송법 제325조 후단)를 선고하였다. 이후 검사 측과 피고인 측은 모두 항소하였다.
 

03 판결 요지

 고등법원은 먼저, 개인정보라 함은 개인을 알아볼 수 있는 정보, 즉 개인을 식별할 수 있는 정보를 뜻하는데(개인정보 보호법 제2조 제1호 가.목), 특정 데이터를 다른 데이터와 구분할 수 있다는 ‘구분 가능성’ 내지 특정 데이터가 특정 개인과 대응된다는 ‘선별 가능성’이 있다는 사정만으로는 이를 개인정보라 할 수 없다고 하였다. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 개인정보처리자의 입장에서 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 역시 개인정보에 해당한다는 점(개인정보 보호법 제2조 제1호 나.목)을 감안하면, 개인정보란 ‘해당 정보를 처리하는 자의 입장에서 합리적으로 활용될 가능성이 있는 수단을 고려하여 특정 개인을 식별할 수 있는 정보’라고 하였다.

 고등법원은 상기 개인정보의 정의를 바탕으로, 개인정보 보호법 위반이 성립하기 위해서는 제공하는 정보에 ‘구분 가능성’이나 ‘선별 가능성’이 있다고 인식하는 것만으로는 부족하고, 그 정보에 ‘식별 가능성’이 있다는 점에 관한 인식과 이를 용인할 의사가 인정되어야만 한다고 하였다. 나아가 해당 정보에 비식별화 조치가 이루어졌다면 이를 복호화하여 처리할 수 있다는 인식과 이를 용인하는 의사가 있어야 한다고 하였다.

 고등법원(형사)은 앞서 선고된 고등법원(민사) 판결이 본건 제1, 2, 3기 암호화 방식으로 암호화된 정보를 모두 개인정보에 해당한다고 판단하면서 피고인이 개인정보 보호법을 위반하였다고 판시하였다는 점을 인정하면서도, 그 위반사실에 대한 피고인의 미필적 고의를 부정하였다. (1) 제1기 암호화 당시 별도의 가이드라인이 없었으며 이후 발간된 비식별 조치 가이드라인들에서 복호화가 가능한 양방향 암호화를 비식별 처리 방식 중 하나로 인정하고 있었고, (2) 제2기 및 제3기 암호화 당시 1기 암호화 방식으로 암호화된 데이터에 대응하는 제2기 및 제3기 암호화 방식으로 암호화가 된 데이터가 무엇인지 확인할 수 있는 매칭 테이블을 제공하였던 사실은 당시 주고받은 이메일 등을 확인한 결과 기존 데이터에 더 강화된 암호화 방식을 적용하기 위한 것이었고, 향후 매칭 테이블을 폐기하기로 합의했으며 실제로 삭제하였으므로, 위법한 개인정보 처리행위를 용인하였다고 볼 수 없었기 때문이다.
 

04 판례 평석

 개인정보 보호법 위반이 성립하기 위해서는 ‘개인정보처리자’가 ‘개인정보’를 적법처리 근거 없이 처리해야 한다. 만일 개인정보처리자가 처리한 정보가 개인정보가 아니라든지, 개인정보를 처리한 자가 개인정보처리자가 아니라면 개인정보 보호법 위반이 성립하지 않는다. 본 건 대상 판결은 상기 두 가지 쟁점(개인정보처리자의 지위, 개인정보성)을 모두 다루고 있어 개인정보 보호법의 맥락에서는 매우 중요한 판결이다. 상술한 판결 요지와 같이, 어느 정보가 개인정보에 해당하는지에 대한 기준을 제시하였으며(구분 가능성이나 선별 가능성을 넘어 식별 가능성까지 있어야 함), 개인정보를 제공받은 것이 아닌 위탁받았을 뿐인 경우에는 개인정보처리자에 해당하지 않는다고 판단하였기 때문이다(본 쟁점은 상기 판결 요지 부분에서 소개하지 않았다).

 어느 정보가 개인정보에 해당하여 개인정보 보호법의 적용 대상인지를 판단하는 가장 중요한 요소는 ‘식별 가능성’이다. 이는 국내외를 막론하고 전 세계 개인정보 보호법제의 가장 중심이 되는 개념으로서, 개인정보의 보호와 활용의 균형을 잡아 주는 역할을 하고 있다. 대상 판결은 (1) 이러한 점을 다시금 확인하여 개인정보성 판단에 있어 중요한 기준은 식별 가능성이라는 점을 명시하였고, (2) 개인정보란 해당 정보를 처리하는 자의 입장에서 합리적으로 활용될 가능성이 있는 수단을 고려하여 특정 개인을 식별할 수 있는 정보라고 함으로써 사건 발생 이후인 2020년 개정법을 통해 재확인된 개인정보 식별성 판단 기준(절충설 내지 상대설)을 본건에도 적용하였으며, (3) 앞서 선고된 민사 판결들과 판단이 상충되지 않도록 본건 대상 정보가 개인정보에 해당하는지 여부를 명시적으로 언급하지 않으면서 행위자가 개인정보 보호법 위반에 대한 고의가 있었는지를 판단함으로써 세련된 논증과정을 보여 주었다.

 기술발전으로 인해 식별성 중심으로 규정되어 있는 현행 개인정보 보호법제가 합리적인지에 대한 의문이 제기되고 있다. 가령 인공지능 활용과정에서 모델을 학습하는 데에 사용되는 개인정보와 모델을 적용하는 데에 처리되는 개인정보가 다를 경우, 기존의 개인정보 보호법제로서는 대처하기 힘든 지점이 발생하여 입법의 공백이 발생할 수 있다는 문제제기가 있다. 아직 국내에서는 거의 논의가 없지만, 이는 국제적으로 집단프라이버시(Group privacy)나 예측프라이버시(Predictive privacy)라는 개념으로 활발하게 논의되고 있다. 그럼에도 불구하고 식별성을 중심으로 개인정보 보호법제가 마련되어 있는 국내의 현실에 비추어 볼 때에, 대상 판결에서 제시한 법리는 현재로서 최선의 논증이었다고 생각한다. 죄형법정주의에 따라 엄격하게 법조문을 해석하고 적용하였으며, 이미 선고된 판결과의 논리적인 일관성을 유지하고자 노력했기 때문이다. 본 건을 두고 앞으로 선고될 대법원의 판결이 더욱 기대되는 이유이다.

 

정종구 변호사

정종구의 다른기사 보기
icon인기 글
댓글 0
전체보기
첫번째 댓글을 남겨주세요.
여백
여백
여백
Back to Top