가명처리는 개인정보 처리가 아니다? 대법원, 정보주체 기본권을 짓밟다

내 정보가 동의 없이 기업 연구에 사용된다면 어떨까요? 2020년 개인정보 보호법 개정으로 가명처리만 하면 정보주체인 우리의 동의 없이 개인정보를 과학적 연구나 통계작성에 활용할 수 있게 되었습니다. 기업의 사익을 위한 연구도 ‘과학적 연구’에 포함됐죠. 내 정보가 마구잡이로 활용되지 않도록 막을 수 있는 유일한 방법은, 동의 없는 활용의 전제인 ‘가명처리’ 단계에서 처리 정지를 요구하는 것입니다.

하지만 SKT는 처리정지 요구를 거부했고, 시민사회단체 활동가들은 정보주체의 ‘처리정지권’을 보장하라며 소송을 내기에 이르렀습니다. 1심과 2심 법원은 모두 정보주체의 손을 들어주며, 처리정지권을 인정해야 한다고 밝혔습니다. 그러나 대법원은 ‘데이터 신산업 육성’을 이유로 들며, 정보주체의 기본권을 봉쇄하는 파기환송 판결을 내렸습니다. 11월 7일 파기환송심 선고를 앞둔 지금, 정보주체의 권리를 위한 정의로운 판결을 요구하며 오병일 디지털정의네트워크 대표가 대법원 파기환송 판결의 문제점을 짚어봅니다.

정보주체에게 ‘처리정지권’이 중요한 이유

2020년에 개인정보 보호법은 크게 개정되었다. 개인정보 감독기구인 개인정보보호위원회를 중앙행정기관으로 격상함으로써 개인정보 보호를 강화하는 동시에, 과학적 연구, 통계작성 등의 목적으로 정보주체의 동의 없이 가명처리된 개인정보를 활용할 수 있도록 허용하였다. 그러나 개정법은 빅데이터 산업 육성을 위해 개인정보 보호 수준을 지나치게 완화한 것으로 비판받았다. 

• 첫째, 개정법은 과학적 연구를 ‘과학적 방법을 적용하는 연구’로 정의함으로써, 신상품 개발을 위한 기업의 연구를 포함하여 연구라고 주장하는 모든 연구로 동의 없는 활용 범위를 확대했고,
• 둘째 유럽연합의 경우 과학적 연구 목적으로 활용할 경우에도 가능할 경우 정보주체의 권리를 보장하도록 했지만, 개정법은 정보주체의 권리(예를 들어, 수집출처 등 고지받을 권리, 개인정보 파기, 개인정보 유출통지, 열람권, 정정・삭제에 관한 권리, 처리정지 요구권 등)를 아예 제한하였다.

그런데 정보주체인 이용자는 아무리 과학적 연구 목적이라고 할지라도, 자신의 개인정보가 자신의 가치관에 위배되는 방식으로 활용되는 것을 원하지 않을 수 있다. 예를 들어, 자신의 개인정보가 시민과 노동자를 감시하거나 사회적 소수자를 차별하는 기술 개발에 활용되는 것을 원하지 않을 수 있고, 또는 가명정보가 제3자에게 제공되어 남용될 가능성을 우려할 수도 있다.

하지만 현행 개인정보 보호법은 개인정보 처리자가 자신의 개인정보를 가명처리하여 과학적 연구 목적으로 활용하고자 할 경우, 정보주체가 이에 대해 동의할지 여부를 선택할 수 없을 뿐만 아니라, 가명정보에 대해서는 자신의 개인정보를 처리하지 말아 달라고 거부할 권리도 제한하고 있는 것이다.

이러한 상황에서 이용자가 선택할 수 있는 유일한 방법은 ‘사전에’ 자신의 개인정보를 과학적 연구 목적 활용을 위해 가명처리하지 말아 달라고 요구하는 것뿐이다. 개인정보 보호법 제37조는 정보주체가 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 권리(처리정지권)를 보장하고 있다.

SKT에 대한 처리정지권 소송의 경과

2020년 개인정보 보호법 개정 이후, 과학적 연구를 명분으로 한 개인정보의 목적 외 활용에 대응하기 위한 수단으로 시민사회단체 활동가들은 통신 3사에 대해 자신의 개인정보를 과학적 연구 목적으로 가명처리하는 것에 대한 처리정지를 청구하였다. 그러나 통신 3사 모두 이 요구를 거부했으며, 이에 KT에 대해서는 분쟁조정 신청을, LGU+에 대해서는 개인정보 침해신고를, SKT에 대해서는 처리정지이행청구 소송을 제기하였다.

• 2020.12.07. [보도자료] 통신3사의 개인정보열람청구권, 처리정지권 침해에 소송 등 대응

개인정보 분쟁조정위원회는 개인정보의 가명처리 정지를 이행하도록 조정하였고, KT는 이 조정안을 수락하였다. 그러나 LGU+의 경우에는 활동가들의 개인정보 침해신고를 접수한 개인정보 침해신고센터가 정보주체의 권리를 제대로 구제하지 못하는 엉뚱한 답변을 했기 때문에 제대로 해결되지 못했다. SKT에 제기된 소송의 경우 1심(서울중앙지방법원 2023. 1. 9. 선고 2021가합509722)과 항소심(서울고등법원 2023.12.20 선고 2023나2009236) 모두 정보주체의 손을 들어주었다. 항소심 재판부는 가명처리가 되지 않은 개인정보에 대해서는 처리정지권이 배제되지 않는다는 것과, 이를 인정하지 않을 경우 “정보주체가 개인정보처리자에 대하여 가명정보에 대한 개인정보자기결정권을 행사할 수 있는 방법이 원천적으로 봉쇄되는 부당한 결론에 이르게 된다”는 점을 지적하였다.

그런데 2025년 7월 18일 대법원은 원심 법원의 판결을 뒤집으며 파기환송하였다. “정보주체가 가명정보에 대한 개인정보자기결정권을 행사할 수 있는 방법을 원천적으로 봉쇄하는 부당한 결론”을 낸 것이다.

대법원 판결 문제점: ‘가명처리’는 개인정보 처리가 아니다?

대법원이 원심 판결을 뒤집기 위해 무슨 대단한 논거를 제시한 것도 아니다. 대법원은 개인정보의 ‘처리’와 ‘가명처리’는 개념적으로 구분되며, 따라서 제37조에서 처리정지 요구의 대상으로 정한 개인정보의 ‘처리’에 해당하지 않는다고 본 것이다.

판결문 제3쪽 내지 제4쪽

그러나 원심의 판단은 다음과 같은 이유에서 그대로 수긍하기 어렵다.

1) … (중략) … 같은 법 제2조는 “가명정보”를 ‘가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보’(제1호 다목)로, “가명처리”를 ‘개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것’(제1의2호)으로 정의함으로써 “가명처리”를 같은 법 제2조 제2호의 “처리”와는 별도로 규정하였다.

2) “가명처리”는 그 개념적 정의에 의하더라도 개인정보에 대한 식별의 위험성을 낮추는 방법이므로, 정보주체에 대한 권리 또는 사생활 침해의 위험을 발생시킬 수 있는 ｢개인정보 보호법｣ 제2조 제2호에서 규정한 여러 유형의 개인정보 “처리”와는 구별된다.

… (중략) …

이러한 사정에다가 데이터 관련 신산업 육성이 범국가적 과제로 대두되고 인공지능, 클라우드, 사물인터넷 등 신기술을 활용한 데이터 이용이 필요한 상황에서 데이터의 이용을 활성화하기 위한 가명정보조항의 입법취지를 고려하면, “가명처리”는 ｢개인정보 보호법｣ 제37조 제1항 제1문에서 처리정지 요구의 대상으로 정한 개인정보 “처리”에 해당하지 않는다고 보아야 한다.

개인정보의 ‘처리’란 “개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위”를 말한다.(제2조 제2호) 즉, 개인정보에 대한 모든 형태의 활용과 변경을 포함한다. 당연히 ‘가명처리’는 이러한 ‘처리’ 양태의 하나이다. 실제로 ‘가명처리’의 정의를 보면 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것”이라고 정의(제2조 제1의2호)하고 있어, 가명처리 역시 특정한 방식의 개인정보 처리임을 표현하고 있다.

비단 우리나라 개인정보 보호법만 그런 것이 아니다. 우리 개인정보 보호법이 과학적 연구 목적의 개인정보 처리 규정을 차용해 온 유럽연합 개인정보 보호법(GDPR) 제4조 제5호는 ‘가명처리(pseudonymisation)’를 다음과 같이 특정한 방식의 개인정보 처리로 정의하고 있다.

따라서 가명처리는 개인정보 처리의 부분집합이며, 개인정보에 대한 처리정지권은 가명처리에도 적용되어야 한다. 개인정보의 처리와 가명처리가 구별된다는 것은 억지에 불과하다.

대법원이 엄밀하게 논증하지는 않았지만 가명처리는 ‘개인정보에 대한 식별의 위험성을 낮추는 방법’이고 정보주체의 권리를 보호하기 위한 것이므로, 정보주체가 그 처리정지를 요구할 실익이 없다고 주장할 수도 있다. 실제 피고들은 이러한 주장을 펴왔다. 그러나 원고들이 처리정지를 요구했던 가명처리는 내 개인정보를 더 안전하게 보관하기 위한 가명처리가 아니었다. 내 개인정보를 과학적 연구라는 명분으로 내 동의 없이 사용하기 위한 사전 요건으로서의 가명처리를 의미한 것이었다. 즉, 핵심은 내 개인정보를 과학적 연구를 명분으로, 애초 수집 목적 외로 처리하지 말라는 것이다.

대법원, 정보주체 기본권 무시하고 SKT 손 들어주다

왜 대법원이 이처럼 허술한 논리로 판결을 했는지 짐작할 수 있는 이유가 판결문에 포함되어 있다. “데이터 관련 신산업 육성이 범국가적 과제로 대두되고 인공지능, 클라우드, 사물인터넷 등 신기술을 활용한 데이터 이용이 필요한 상황에서 데이터의 이용을 활성화하기 위한 가명정보조항의 입법취지를 고려”했기 때문이다. 우리나라 데이터 산업 발전을 위해 발벗고 나선 대법관님들의 노력이 가상하다고 해야 할까? 하지만, 자신의 기본권을 봉쇄당한 이용자들은 어디에 호소를 해야 할까.

올해 SKT에서 2,700만여 건에 달하는 유심정보가 유출되어 전 국민의 공분을 샀다. 이미 오래전부터 공격자에 의해 악성코드가 심어져 있었음에도 불구하고 SKT는 이를 인지하지 못했다. 이용자의 개인정보를 어떻게 활용하여 수익을 낼 것인가에만 관심이 있을 뿐, 이용자 개인정보 보호에는 제대로 투자하지 않은 것이다. 처리정지권 소송만 보더라도, 일부 정보주체의 요구를 수용하는 데 들었을 비용보다 훨씬 더 많은 변호사 비용을 지불하면서 소송을 대법원까지 끌고 간 것을 보면, 정보주체의 권리는 도저히 인정하지 못하겠다는 SKT의 아주 강력한 의지를 읽을 수 있다. 그리고 대법원은 파렴치한 통신사의 손을 들어주었다.

사실 대법원은 국회의 입법취지를 잘못 이해하고 있다. ‘가명정보 처리에 관한 특례’가 개인정보인 데이터의 이용을 활성화하기 위한 목적인 것은 맞지만, 처음에 발의되었던 안은 ‘가명정보의 처리’에 대한 정보주체의 권리를 제한(제28조의7)했을 뿐 아니라, ‘가명처리’에 대해서도 정보주체의 권리를 제한하는 조항을 포함하고 있었다. 국회 논의 과정에서 이 부분이 삭제되었다는 것은 가명처리는 개인정보의 처리이기 때문에, 개인정보에 대해서는 정보주체의 권리를 인정하겠다는 것이 입법자들의 의도라는 점을 시사한다.

또한, 입법자의 의도와 상관없이, 이처럼 정보주체의 기본권을 완전히 봉쇄하는 것이 헌법적으로 정당한 것인지 의문이다. 일부 정보주체의 처리정지 요구를 수용한다고 해서, 그러한 요구를 하지 않는 대다수 정보주체의 가명정보를 과학적 연구 목적으로 활용할 수 없는 것은 아니기 때문이다. (사실상 큰 영향이 없기 때문에 KT는 분쟁조정위원회의 조정을 수용했을 것이다.) 백번 양보하여 만일 연구 결과값이 왜곡될 정도로 많은 정보주체가 처리정지를 요구하는 상황이라면, 그 정도로 이용자의 반발을 야기하는 연구는 수행하지 않는 것이 타당할 것이다.