[정세진 법무법인 광장 변호사] 개인정보가 적힌 문서를 다른 곳에 사용하면 언제나 개인정보 보호법 위반이 될까? 얼핏 생각하면 그럴 것 같지만, 법적으로는 조금 더 따져보아야 한다. 개인정보 보호법상 책임은 단순히 개인정보가 포함된 자료를 사용했다는 이유만으로 곧바로 인정되는 것이 아니라, 그 개인정보가 누구로부터, 어떤 지위에서 제공되었는지에 따라 달라질 수 있기 때문이다.

이 질문에 대해 중요한 판단 기준을 제시한 판례가 2025도266 판결(대법원 2025. 3. 13. 선고 2025도266 판결)이다. 이 판결은 형사재판 과정에서 받은 판결문을 다른 민사소송에 제출한 행위가 개인정보 보호법 위반에 해당하는지가 문제된 사건이다.

사건의 출발점은 형사재판 기록의 열람·복사였다. 피고인은 자신의 형사사건 재판기록을 확인하기 위해 법원에 기록 열람·복사를 신청하였다. 그 과정에서 피고인은 판결문 사본을 받게 되었는데, 그 판결문에는 다른 사람의 성명, 생년월일, 전과 내용 등이 포함되어 있었다. 이후 피고인은 그 판결문을 자신과 그 사람 사이의 다른 민사소송에서 탄원서에 첨부하여 제출하였다.

검사는 이를 개인정보보호법 위반으로 보았다. 법원에서 받은 판결문은 형사재판 기록을 확인하기 위해 받은 것인데, 이를 별도의 민사소송에 낸 것은 원래 목적과 다른 이용이라는 것이다. 특히 판결문에 개인정보가 적힌 사람의 동의도 없었으므로, 개인정보처리자로부터 제공받은 개인정보를 목적 외로 이용한 경우에 해당한다고 보았다.

재판에서의 핵심 쟁점은 판결문을 제공한 법원을 개인정보 보호법상 개인정보처리자로 볼 수 있는지였다. 이 규정이 적용되려면 피고인이 개인정보를 ‘개인정보처리자’로부터 제공받았어야 한다. 따라서 판결문에 개인정보가 포함되어 있었는지 뿐만 아니라, 그 판결문을 열람·복사하게 해 준 법원을 개인정보처리자로 볼 수 있는지가 중요했다.

제1심과 항소심은 피고인의 행위를 개인정보 보호법 위반으로 보았으나 대법원은 달리 판단하였다. 대법원은 재판사무를 담당한 법원이 피고인의 신청에 따라 재판기록을 열람·복사하게 한 것은, 개인정보처리자로서 개인정보를 제공한 행위라고 볼 수 없다고 판단하였다.

개인정보 보호법에서 말하는 개인정보처리자는 단순히 개인정보를 가지고 있는 사람이나 기관을 의미하지 않는다. 법은 개인정보처리자를 “업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 처리하는 자”라고 정하고 있다. 여기서 중요한 부분은 ‘개인정보파일을 운용하기 위하여’라는 요건이다.

개인정보파일이란 쉽게 말해 개인정보를 일정한 기준에 따라 모아두고, 필요할 때 찾아볼 수 있도록 정리해 둔 자료의 집합을 말한다. 고객명단이나 회원정보 데이터베이스처럼 특정한 업무를 위해 개인정보를 체계적으로 관리하는 경우를 떠올리면 이해하기 쉽다.

그런데, 이 판결에서 대법원은, 재판사무의 주체로서 법원이 재판 과정에서 증거나 서면의 일부로서 개인정보를 처리하더라도,이를 곧바로 개인정보파일을 운용하기 위한 개인정보 처리라고 볼 수 없다고 보았다. 개별 사건에서 당사자의 주장과 증거를 심리하고 판단하는 과정은, 다수의 개인정보 자체를 쉽게 검색할 수 있도록 체계적으로 배열하거나 구성한 개인정보파일을 운용하는 것과는 성격이 다르다는 것이다.

또한 대법원은 법원의 재판사무와 행정사무를 구별하였다. 법원이 직원 인사자료나 민원인 정보처럼 행정 업무를 위해 개인정보를 체계적으로 관리하는 경우에는 개인정보처리자에 해당할 수 있다. 그러나 개별 사건을 담당하는 법원이 재판 절차의 일환으로 사건기록을 열람·복사하게 해 주는 것은, 법원의 행정사무가 아니라 재판사무의 수행에 가깝다.

따라서 대법원은 피고인이 개인정보처리자로부터 개인정보를 제공받았다고 볼 수 없다고 판단하였다. 결국 피고인이 형사재판 과정에서 열람·복사한 판결문을 다른 민사소송에 제출했다는 이유만으로 개인정보 보호법상 목적 외 이용 금지 규정을 적용하여 처벌할 수는 없다고 본 것이다.

이 판결에서 주목할 점은 개인정보가 포함된 자료를 사용했다고 해서 언제나 개인정보보호법 위반이 되는 것은 아니라는 점이다. 중요한 것은 그 개인정보를 누가, 어떤 지위에서, 어떤 업무의 일환으로 제공했는지이다. 개인정보처리자에 해당하려면 단순히 개인정보를 보유하거나 전달했다는 사정만으로는 부족하고, 업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 처리하는 주체여야 한다. 따라서, 개인정보 보호법 위반 여부를 판단할 때에는 “개인정보가 포함되어 있었는가”에서 멈추지 말고, “누가, 어떤 지위에서, 어떤 업무의 일환으로 그 개인정보를 다루었는가”를 함께 살펴보아야 한다.

■정세진 변호사 △고려대학교 전기전자전파공학 졸업 △한국과학기술원(KAIST) 전기 및 전자공학 석사 졸업 △성균관대학교 법학전문대학원 석사 졸업 △고려대학교 정보보호대학원 박사과정 수료 △前김앤장 법률사무소 변호사 △前 법무법인 율촌 변호사 △과학기술정보통신부 고문변호사 △개인정보보호위원회 고문변호사 △금융감독원 금융감독자문위원회 자문위원(디지털/IT분과)△사단법인 벤쳐기업협회 자문위원 △한국핀테크지원센터 혁신금융 전문위원 △한국금융연수원 겸임교수 △성균관대학교 법학전문대학원 겸임교수