개인정보처리자란 누구인가요? 대법원 판례 4건으로 보는 판단기준
목차
가상 사례:
· 도박 사이트 운영자 Y —
“어차피 해킹으로 이미 유출된 정보를 산 것인데, 내가 개인정보처리자겠냐?”
· 보험설계사 Y2 —
“고객 정보를 수집한 건 맞지만, 진짜 처리자는 보험회사 아니냐?”
· 아파트 주민 Y3 —
“단체대화방에서 실명을 공개했는데, 주민들이 동의한 것 아니냐?”
· 국회의원 Y4 —
“교원들의 노조 가입 현황은 공적 정보 아니냐?”
네 사람 모두 개인정보보호법 위반일까?
· Y (도박 사이트) —
불법 취득 개인정보를 업무상 파일로 운용하면 개인정보처리자에 해당하여 처벌받습니다. (2026도477)
· Y2 (보험설계사) —
단순히 정보를 처리했다는 사실만으로는 처리자가 되지 않습니다.
종국적 결정 권한이 누구에게 있는지가 핵심입니다. (2024도14998)
· Y3 (아파트 주민) —
정보주체의 사전 동의가 있으면 누설죄로 처벌할 수 없습니다. (2024도19539)
· Y4 (국회의원) —
공적 생활에서 형성된 정보라도 개인정보자기결정권의 보호 대상입니다.
무단 공개는 위법합니다. (2012다49933)
같은 법조문, 네 가지 다른 결론 — 개인정보보호법의 경계를 어디에 그을 것인가
※ 위 가상 사례는 아래 소개되는 대법원 판결들의 사실관계를 바탕으로 쟁점 이해를 돕기 위해 재구성한 것입니다. 실제 판결의 구체적인 사실관계와 다를 수 있습니다.
개인정보보호법은 “개인정보처리자”를 수범자로 하여 수집·이용·제공·누설 등 개인정보 처리의 전 과정에 걸쳐 의무를 부과하고, 위반 시 형사처벌까지 규정합니다. 그런데 정작 “내가 개인정보처리자인가”라는 질문에 법문만으로 답하기 어려운 경우가 많습니다. 대법원은 2012년부터 2026년에 이르기까지 개인정보자기결정권의 의미, 개인정보처리자의 판단 기준, 동의의 효력, 불법 취득 정보의 처리 등 핵심 쟁점들을 차례로 정리해 왔습니다. 아래에서 판례 4건을 시간 순으로 살펴보며 개인정보보호법의 외연을 구체적으로 그려보겠습니다.
1. 개인정보처리자란 무엇이고, 왜 중요한가요?
개인정보보호법 제2조 제5호는 개인정보처리자를 “업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등”으로 정의합니다. 이 정의가 중요한 이유는 형사처벌 조항의 수범자 범위를 결정하기 때문입니다. 개인정보보호법 제71조 제2호(목적 외 이용·제3자 제공 금지 위반), 제71조 제10호(정당한 권한 없이 개인정보 이용·유출 등 위반) 모두 개인정보처리자 또는 개인정보를 처리하거나 처리하였던 자를 수범자로 합니다. 내가 이 범주에 속하는지에 따라 형사책임의 성립 여부가 달라집니다.
개인정보처리자 개념의 구성 요소
| 요소 | 내용 |
|---|---|
| 목적 | 업무를 목적으로 |
| 수단 | 개인정보파일을 운용하기 위하여 |
| 방법 | 스스로 또는 다른 사람을 통하여 |
| 행위 | 개인정보를 처리 |
| 주체 | 공공기관, 법인, 단체, 개인 등 모두 포함 |
법문에는 개인정보파일을 어떠한 경위와 방법으로 취득하였는지에 대한 제한이 없습니다. 이것이 아래 판례들에서 중요한 출발점이 됩니다.
제2조(정의) 제5호
“개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
2. 개인정보자기결정권이란 무엇인가요? — 대법원 2012다49933
개인정보보호법이 보호하는 핵심 법익은 ‘개인정보자기결정권’입니다. 이 권리의 내용과 범위를 명확히 정립한 것이 대법원 2014. 7. 24. 선고 2012다49933 판결입니다. 이 판결은 이후 개인정보 관련 판결들이 공통으로 인용하는 기본 판례로 자리잡았습니다.
사건의 경위
당시 국회의원이던 피고 1은 교육과학기술부장관에게 요청하여 각급 학교 교원의 교원단체 및 교원노조 가입현황 실명자료를 받은 뒤, 당초 목적과 달리 이를 인터넷에 공개하였습니다. 전국교직원노동조합과 해당 교원들은 개인정보자기결정권 침해를 이유로 손해배상을 청구하였습니다.
대법원이 확립한 개인정보자기결정권의 내용
대법원은 개인정보자기결정권을 “자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리”로 정의하였습니다. 이 권리는 헌법 제10조 제1문의 일반적 인격권과 헌법 제17조의 사생활의 비밀과 자유에 의해 보장됩니다.
보호대상인 개인정보의 범위도 넓게 인정하였습니다. 반드시 개인의 내밀한 영역에 속하는 정보에 국한되지 않고, 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함합니다. 노조 가입 여부처럼 직업 활동에 관한 정보도 개인정보자기결정권의 보호를 받습니다.
공개 이익과 비공개 이익의 형량
대법원은 개인정보 공개가 표현의 자유와 충돌하는 경우, 개인이 공적 존재인지 여부, 개인정보의 공공성과 공익성, 수집 목적·절차·이용형태의 상당성, 이용의 필요성, 침해되는 이익의 성질 등을 종합적으로 비교형량하여 위법 여부를 판단하여야 한다고 밝혔습니다(대법원 2011. 9. 2. 선고 2008다42430 전원합의체 판결 참조). 이 사건에서는 피고가 정보를 공개한 표현행위로 얻을 수 있는 이익이 교원들의 비공개 이익에 비해 우월하다고 볼 수 없다고 보아, 공개행위가 위법하다고 판단하였습니다.
이 판결이 확립한 개인정보자기결정권의 정의는 이후 대법원 2025. 10. 30. 선고 2024도19539 판결 등 수많은 판결에서 그대로 인용되고 있습니다.
3. 불법 취득 개인정보를 이용해도 개인정보처리자인가요? — 대법원 2026도477
대법원 2026. 4. 16. 선고 2026도477 판결은, 해킹 등 부정한 방법으로 취득하거나 불법 유통 중인 개인정보를 취득한 뒤 이를 기초로 업무상 개인정보파일을 운용하기 위해 처리한 자도 개인정보보호법 제2조 제5호의 ‘개인정보처리자’에 해당한다고 확인하였습니다.
제18조(개인정보의 목적 외 이용·제공 제한) 제1항
개인정보처리자는 개인정보를 제15조제1항에 따른 범위를 초과하여 이용하거나 제17조제1항 및 제28조의8제1항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다.
사건의 경위
Y는 도박공간을 개설·운영하면서 회원 모집 등을 위해 해킹 등 부정한 방법으로 취득하거나 불법 유통되고 있는 개인정보를 이용하여 업무상 개인정보파일을 운용하였습니다. Y는 자신이 적법하게 개인정보를 수집한 것이 아니므로 ‘개인정보처리자’에 해당하지 않는다고 다투었습니다.
대법원의 판단 근거
대법원은 세 가지 논거로 Y의 주장을 배척하였습니다.
첫째, 법문의 해석입니다. 개인정보보호법 제2조 제5호는 개인정보처리자가 개인정보파일을 어떠한 경위와 방법으로 취득하였는지에 대하여 아무런 제한을 두고 있지 않습니다.
둘째, 입법목적과 보호법익입니다. 2012다49933 판결이 확립한 바와 같이, 개인정보보호법은 정보주체의 개인정보자기결정권을 보호법익으로 합니다(대법원 2014. 7. 24. 선고 2012다49933 판결, 대법원 2025. 10. 30. 선고 2024도19539 판결 등 참조). 불법 취득자를 개인정보처리자에서 배제하면 정보주체의 권익 보호에 상당한 공백이 발생합니다.
셋째, 실질적 형평의 문제입니다. 부정한 방법으로 개인정보를 취득한 자가 오히려 개인정보처리자로서의 각종 의무(수집 출처 고지, 열람·정정·삭제 요구 응대, 손해배상 등)를 면하는 결과가 된다면, 이는 입법취지에 정면으로 반합니다.
이 판결의 시사점
다크웹이나 불법 브로커로부터 개인정보를 구매하여 마케팅, 사기, 불법 영업 등에 활용하는 행위는 구매자 스스로 개인정보처리자의 지위를 취득한다는 점에서 형사책임을 피할 수 없습니다. “내가 직접 해킹한 것이 아니다”는 항변은 법적으로 의미가 없습니다.
4. 보험설계사는 개인정보처리자인가요? — 대법원 2024도14998
대법원 2026. 2. 26. 선고 2024도14998 판결은, 보험설계사가 고객 개인정보를 수집·처리하는 행위를 실제로 하였다는 사정만으로 당연히 개인정보처리자에 해당하는 것은 아니라고 판시하며 원심을 파기환송하였습니다.
사건의 경위
Y는 A 주식회사 소속 보험설계사로 위촉되어 보험계약 체결을 중개하면서 고객 B의 생년월일, 주소, 연락처 등 개인정보를 수집하였습니다. 이후 Y는 C와 공모하여 C로 하여금 A 상담원에게 전화해 마치 B인 것처럼 행세하게 하고, Y가 수집한 B의 개인정보를 이용하여 B가 가입한 보험의 특약 해지 및 보장내용 변경 등을 신청하도록 하였습니다. 검사는 Y가 개인정보처리자로서 B의 개인정보를 수집 목적의 범위를 초과하여 이용하였다는 공소사실로 기소하였고, 원심은 이를 유죄로 인정하였습니다.
대법원이 제시한 개인정보처리자 판단 기준
대법원은 누가 개인정보처리자인지는 개인정보처리에 관한 사항을 종국적으로 결정하는 권한이 누구에게 있는지에 따라 판단하여야 한다고 밝혔습니다. 이를 위해 다음 사항을 종합적으로 고려해야 합니다.
- 개인정보처리의 목적이 누구의 고유한 업무 및 이익과 밀접한 관련성을 맺고 있는지
- 목적 달성을 위해 개인정보를 처리하는 과정에서 실질적인 지휘·감독을 하는 자가 누구인지
- 개인정보파일을 누가 어떠한 목적으로 어떻게 생성·보유·운용하고 있는지
- 개인정보처리자의 의무와 책임을 누구에게 귀속시키는 것이 정보주체의 권익 보호에 잘 부합하는지
대법원은 보험설계사가 보험계약 체결을 중개하는 과정에서 처리하는 개인정보의 경우, 그 처리 목적은 특별한 사정이 없는 한 보험회사의 고유한 업무 및 이익과 밀접한 관련성을 맺게 되어 종국적 결정 권한도 보험회사에 있다고 볼 여지가 높다고 보았습니다. 원심이 이러한 사항들을 충분히 심리하지 아니한 채 Y가 B의 개인정보를 수집하였다는 사실만으로 개인정보처리자라고 단정한 것은 법리 오해라고 판단하였습니다.
양벌규정의 가능성
다만 대법원은, Y가 개인정보처리자가 아니라고 판단되더라도 개인정보보호법 제74조 양벌규정에서 정한 ‘행위자’에 해당한다면 벌칙규정의 적용대상이 될 수 있다는 점을 별도로 명시하였습니다(대법원 2021. 10. 28. 선고 2020도1942 판결 참조). 개인정보처리자 지위를 벗어났다고 해서 형사책임이 완전히 소멸하는 것은 아닙니다.
5. 정보주체가 동의하면 누설죄가 성립하지 않나요? — 대법원 2024도19539
대법원 2025. 10. 30. 선고 2024도19539 판결은, 구 개인정보보호법 제59조 제2호에서 금지하는 개인정보의 누설에 관하여 정보주체의 사전 동의가 있는 경우에는 피고인을 처벌할 수 없다고 판시하며 원심을 파기환송하였습니다.
제59조(금지행위) 제2호
개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다.
2. 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위
※ 위반 시: 제71조 제9호(구법 제5호)에 따라 5년 이하의 징역 또는 5천만원 이하의 벌금
사건의 경위
Y는 인근 소음 피해보상 업무를 위해 아파트 주민들로부터 성명, 동·호수, 연락처 등 개인정보를 수집하고 카카오톡 단체대화방을 개설하였습니다. 대화방 운영 과정에서 일부 주민들이 Y의 운영 방식에 반대하는 의견을 게시하자, Y는 해당 주민들을 실명과 동·호수로 호명하며 반박하는 의견을 올렸습니다. 검사는 Y가 업무상 알게 된 개인정보를 누설하였다는 공소사실(구 개인정보보호법 제71조 제5호[현행 제9호], 제59조 제2호)로 기소하였고, 원심은 유죄로 인정하였습니다.
대법원의 파기환송 이유
대법원은 누설죄의 보호법익인 개인정보자기결정권의 의미에 비추어, 정보주체가 사전에 동의한 경우에는 이 권리에 대한 침해가 발생하지 않으므로 처벌할 수 없다고 보았습니다. 그리고 다음 사정들을 종합하여 이 사건에서 주민들의 사전 동의가 있었다고 판단하였습니다.
- 주민들은 동의서에 자신의 실명, 동·호수, 전화번호 등을 기재하고 서명하였으며, 안내문에는 카카오톡 대화방에서 동·호수·성명을 사용한 주민 의견수렴에 협조를 요청하는 내용이 포함되어 있었습니다.
- 대화방에서 일부 주민들은 스스로 자신의 실명과 동·호수를 밝히거나 다른 주민을 실명·동·호수로 특정하는 방식으로 대화에 참여하였습니다.
- 피해자들 중 일부는 원심 단계에서 “대화방에서 본인의 동·호수 및 실명이 사용·공개되는 것을 알고 서명·동의하였고, 피고인으로 인하여 개인정보가 누설되었다고 생각하지 않는다”는 취지의 사실확인서를 제출하였습니다.
- 이 사건의 수사 개시는 피해자들이 아닌 아파트 관리사무소장의 고발로 이루어진 것이었습니다.
이 판결의 시사점
이 판결은 개인정보보호법 위반죄에서 정보주체의 사전 동의가 위법성을 조각하는 요소로 기능한다는 점을 명확히 하였습니다. 동의의 범위와 내용이 구체적으로 특정되어야 하며, 업무 목적 범위를 벗어난 이용에는 별도의 동의가 필요하다는 점도 함께 이해해야 합니다. 또한, 이 판결은 개인정보자기결정권의 정의에 관하여 대법원 2014. 7. 24. 선고 2012다49933 판결과 대법원 2025. 6. 26. 선고 2025도3153 판결을 인용하면서, 개인정보자기결정권의 법리적 연속성을 재확인하였습니다.
6. 판례 4건 종합 비교
이상 살펴본 대법원 판례 4건을 정리하면 다음과 같습니다.
| 판결 | 핵심 쟁점 | 결론 | 실무 시사점 |
|---|---|---|---|
| 대법원 2014. 7. 24. 2012다49933 |
개인정보자기결정권의 의미와 범위 / 공개된 정보도 보호대상인지 | 공적 생활에서 형성된 정보도 보호대상. 교원 노조 가입 현황 공개는 위법 | 공개된 정보라도 무단 공개·이용은 개인정보자기결정권 침해 |
| 대법원 2026. 2. 26. 2024도14998 |
보험설계사의 개인정보처리자 해당 여부 | 처리 행위만으로 처리자 지위 인정 불가. 종국적 결정 권한이 기준. 파기환송 | 실질적 결정 권한 귀속 주체를 정밀하게 심리해야 함 |
| 대법원 2025. 10. 30. 2024도19539 |
정보주체의 사전 동의가 있으면 누설죄 불성립 여부 | 사전 동의가 있는 경우 누설죄로 처벌 불가. 파기환송 | 동의의 범위와 구체성이 핵심 — 수집 목적 외 사용은 별도 동의 필요 |
| 대법원 2026. 4. 16. 2026도477 |
불법 취득 개인정보 이용 시 개인정보처리자 해당 여부 | 취득 경위 불문, 업무상 파일 운용하면 처리자에 해당. 상고 기각 | 불법 취득 · 구매 개인정보 이용도 형사책임 대상 |
네 판결을 관통하는 원칙은 하나입니다. 개인정보보호법은 개인정보자기결정권을 보호법익으로 하며, 형식적 요건보다 실질적 권익 침해 여부를 중심으로 해석됩니다. 취득 경위가 불법이라도 실질적으로 파일을 운용하면 처리자이고, 실제로 처리 행위를 했더라도 종국적 결정 권한이 없으면 처리자가 아닐 수 있으며, 정보주체가 동의한 범위 안에서의 이용은 누설이 아닙니다.
7. 개인정보보호법 제71조 제2호와 제10호의 죄수관계는 어떻게 되나요?
대법원 2026도477 판결은 상고이유와 별도로 직권으로 개인정보보호법 제71조 제2호(제18조 제1항 위반: 목적 외 이용·제3자 제공)와 제71조 제10호(제59조 제3호 위반: 정당한 권한 없이 개인정보 이용·유출 등) 사이의 죄수관계를 심리하였습니다.
원심의 오류와 대법원의 직권 시정
원심은 제71조 제2호, 제18조 제1항 위반죄가 제71조 제10호, 제59조 제3호 위반죄에 대하여 특별관계에 있어 전자가 성립하면 후자는 별도로 성립하지 않는다고 보아, 후자에 대하여 이유에서 무죄로 판단하였습니다. 그러나 대법원은 이를 부정하였습니다.
두 처벌조항은 수범자 및 금지행위 등 구체적인 구성요건을 달리하므로, 전자의 구성요건이 후자의 구성요건의 모든 요소를 포함하는 외에 다른 요소를 구비하는 특별관계에 해당하지 않습니다. 따라서 1개의 행위가 양 구성요건을 충족하는 경우, 두 죄는 상상적 경합 관계에 있고(형법 제40조), 죄질이 더 무거운 죄에 정한 형으로 처벌합니다(대법원 1998. 3. 24. 선고 97도2956 판결, 대법원 2002. 7. 18. 선고 2002도669 전원합의체 판결 등 참조).
제71조(벌칙) — 관련 호
다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다.
2. 제18조제1항·제2항 … 을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자
10. 제59조제3호를 위반하여 다른 사람의 개인정보를 이용, 훼손, 멸실, 변경, 위조 또는 유출한 자
제40조(상상적 경합)
1개의 행위가 수개의 죄에 해당하는 경우에는 가장 중한 죄에 정한 형으로 처벌한다.
다만 대법원은, 처단형의 범위에 차이가 없고 양형 조건에도 실질적 차이가 없어 죄수 평가의 오류가 판결에 영향을 미쳤다고 볼 수 없으므로 상고를 기각하였습니다.
8. FAQ
개인정보보호법 형사사건에서 ‘개인정보처리자’ 해당 여부와 ‘동의’의 효력은 처벌의 성패를 가르는 핵심 쟁점입니다. 실무에서 이 쟁점들을 다투어 본 경험을 바탕으로 판단하건대, 수사 초기 단계부터 수집·이용의 경위와 동의의 구체적 내용을 정밀하게 분석하는 것이 방어 전략의 출발점입니다.
※ 본 글에서 소개된 법률 정보는 일반적인 안내 목적으로 작성되었으며, 개별 사건의 구체적인 사실관계에 따라 법적 판단이 달라질 수 있습니다. 실제 사건에 대한 대응은 반드시 변호사와 상담하시기 바랍니다.