불법으로 넘겨받은 개인정보도 관리책임이 있을까? 

안녕하세요, 박재성 변호사입니다.

오늘은 최근 대법원이 내놓은 한 판결에 대해 말씀드리려 합니다.

제 생각에는 디지털 시대 개인정보 보호의 경계를 새로 그은 사건입니다.

우리는 매일 어디인가에 자신의 이름과 휴대전화번호, 계좌번호, 주소를 남기며 살고 있습니다. 그렇게 곳곳에 남겨진 개인정보가 우리가 모르는 사이 어딘가로 흘러가, 우리가 모르는 누군가의 손에 도달해, 우리가 모르는 어떤 사이트에 우리 이름으로 회원으로 등록되어 있다면 어떻겠습니까. 이 이야기가 그저 멀리 있는 남의 일처럼 들리시나요? 결코 그렇지 않습니다.

오늘은 이번 대법원 판결이 어떤 사건이었는지, 그리고 이 판결이 일반 시민과 사업자 모두에게 무엇을 의미하는지를 차근차근 짚어보겠습니다.

796명의 개인정보가 도박사이트로 흘러간 사건

먼저 사건의 줄거리를 정리해 드리겠습니다.

40대 A씨는 2024년 11월부터 12월 사이 공범과 함께 불법 인터넷 도박사이트를 개설했습니다. 그 과정에서 성명불상자로부터 다른 도박사이트 회원 796명의 이름·계좌번호·휴대전화번호 등 개인정보를 불법으로 넘겨받았습니다. 그리고 그 정보로 자신의 도박사이트에 회원을 무단 등록한 뒤, 사이트의 입출금 기능과 게임 기능이 제대로 작동하는지 점검하는 데 사용했습니다.

검찰은 A씨를 도박공간개설과 개인정보보호법 위반 혐의로 기소하였습니다. 1심은 A씨에게 징역 1년을 선고하면서, 개인정보보호법 위반에 관해서는 일반적인 처벌 조항을 적용했습니다. 그런데 2심에서 흥미로운 일이 일어났습니다. 항소심 재판부는 1심 판결을 직권으로 파기하면서, A씨에게는 단순한 개인정보보호법 위반이 아니라 '개인정보처리자'에게 부과되는 더 무거운 의무 위반 조항이 적용되어야 한다고 판단한 것입니다. 그리고 형량은 동일한 징역 1년을 그대로 유지했습니다.

쟁점은 여기에 있었습니다. A씨처럼 부정한 방법으로 개인정보를 취득한 사람도 '개인정보처리자'에 해당하는가. 대법원 형사1부(주심 서경환 대법관)는 지난 4월 16일 2026도477 판결에서 그렇다고 답했습니다.

'개인정보처리자'라는 개념이 왜 중요할까요

여기서 잠시 '개인정보처리자'라는 다소 생소한 개념을 짚고 가야겠습니다.

개인정보보호법은 모든 사람을 동일하게 다루지 않습니다. 단순히 개인정보를 잘못 다룬 사람과, 업무 목적으로 개인정보 파일을 운용하는 '개인정보처리자'를 구분합니다. 후자에게는 훨씬 더 무거운 관리 의무가 부과되고, 위반 시 처벌도 더 무겁습니다. 안전조치 의무, 유출 통지 의무, 손해배상 책임이 모두 처리자에게 더 두텁게 적용되는 구조입니다.

그동안 실무에서는 '개인정보처리자'를 다소 좁게 해석하는 경향이 있었습니다. 적법하게 개인정보를 수집해 업무에 활용하는 사업자만이 처리자라고 보는 시각이 우세했지요. 그렇다면 A씨처럼 처음부터 불법으로 정보를 취득한 사람은 어떻게 되느냐. 일반적인 개인정보 침해죄로만 처벌하면 충분하지 않느냐는 반론이 가능했고, 1심이 바로 그런 입장이었습니다.

대법원은 이 지점에서 분명한 선을 그었습니다. 취득 경로가 불법이라는 사정만으로 처리자 지위를 부정해버리면, 오히려 더 엄격한 책임을 져야 할 사람에게 더 가벼운 책임만 묻는 결과가 된다는 것입니다. 개인정보의 적정한 보호라는 법 목적에 정면으로 반하고, 정작 피해자 보호에도 공백이 생긴다는 것이지요. 결국 부정한 방법으로 취득해 무단 이용한 자도 그 사용 단계에서 개인정보처리자의 지위를 갖는다는 것이 대법원의 판단이었습니다.

이 판결이 일반인들에게 무엇을 의미할까요

이번 판결의 의미는 두 갈래로 풀어드릴 수 있습니다.

첫째, 피해자 입장에서는 보호 범위가 한층 두터워졌습니다. 그동안 불법 유통된 개인정보의 최종 수취자에게 책임을 묻기는 쉽지 않았습니다. 그러나 이제는 그 최종 수취자에게도 '처리자'로서의 안전조치 의무와 손해배상 책임을 함께 물을 수 있는 길이 열렸습니다. 다크웹이나 불법 거래 통로를 통해 개인정보가 흘러간 경우에도 그 끝에 있는 사람을 추적해 민·형사적 책임을 물을 수 있다는 의미입니다.

둘째, 이용자 또는 사업자 입장에서는 한층 더 신중해야 한다는 신호입니다. "이 정보가 어디에서 왔는지는 우리 알 바 아니다"라는 식의 변명은 더 이상 통하지 않게 되었습니다. 출처가 의심스러운 개인정보를 받아 사용하는 행위 자체가 처리자로서의 무거운 책임을 떠안는 출발점이 되기 때문입니다.

기업과 사업자가 다시 점검하셔야 할 세 가지

이번 판결을 계기로 사업장에서 다시 한번 짚어보셔야 할 부분이 있습니다.

첫째, 거래처나 데이터 제공자로부터 받는 개인정보의 출처가 명확한가입니다. 단순히 "정상적으로 받았다"는 상대방의 말만 믿고 그대로 사용하시다가는 처리자로서의 책임이 곧바로 본인에게 돌아옵니다.

둘째, 내부적으로 개인정보 취득 경위를 기록·관리하고 계신가입니다. 후일 분쟁이 생겼을 때 적법한 취득 경위를 입증할 수 있는 자료가 갖춰져 있어야 합니다.

셋째, 직원이나 협력업체가 우회적으로 출처 불명의 개인정보를 사용하고 있지는 않은가입니다. 이는 컴플라이언스 점검의 핵심 영역이며, 정기적인 사내 교육과 점검이 필수입니다.

정리하며

이번 판결은 우리 사회에 분명한 메시지를 던집니다. 개인정보를 다루는 모든 사람은, 그 정보가 어디에서 어떻게 왔는지에 대한 책임을 함께 지고 있다는 것입니다. 정보의 출처가 적법한지를 묻지 않는 시대는 끝났습니다.

개인정보 침해 피해를 입으셨거나, 사업장에서 개인정보 처리 관련 문제로 형사 절차에 휘말리셨거나, 회사·기관의 컴플라이언스 점검이 필요하신 분이 계시다면 사안별로 적용 법리와 대응 방향이 크게 달라질 수 있습니다. 도움이 필요하시거나 궁금한 점이 있으시면 언제든 편하게 문의 주십시오.