대법원 2026. 4. 16. 선고 2026도477 도박공간개설 등
1. 판결의 요지
해킹 등 부정한 방법에 의해 개인정보파일을 취득한 피고인이 이를 자신이 운영하는 도박사이트에 입력하고 위 사이트 운영에 이용하였다는 이유로 「개인정보 보호법」 위반 등으로 기소된 사안입니다.
원심은, 피고인의 행위는 「개인정보 보호법」 제71조 제2호, 제18조 제1항 위반죄에 해당한다고 판단하면서, 「개인정보 보호법」 제71조 제2호, 제18조 제1항 위반죄가 성립하는 경우 「개인정보 보호법」 제71조 제10호, 제59조 제3호 위반죄는 별도로 성립하지 않는다고 판단하였습니다.
대법원은 아래와 같은 법리를 설시하면서, 피고인이 해킹 등 부정한 방법을 통해 개인정보를 취득하거나 정보주체의 동의 또는 법률의 규정 등에 기하지 아니한 채 불법적으로 유통되고 있는 개인정보를 취득한 후 이를 기초로 업무상 개인정보파일을 운용하기 위하여 개인정보를 처리한 경우라고 하더라도 개인정보처리자에 해당한다고 판단한 다음, 피고인에 대한 「개인정보 보호법」 제71조 제2호, 제18조 제1항 위반죄와 「개인정보 보호법」 제71조 제10호, 제59조 제3호 위반죄는 상상적 경합의 관계에 있는 것인데, 이와 같은 죄수 평가에 관한 원심 판단이 판결에 영향을 미쳤다고 볼 수는 없다는 이유로, 원심의 결론을 수긍하여 상고를 기각하였습니다.
2. 적용법리
가. 해킹 등 부정한 방법을 통하여 개인정보를 취득하거나 정보주체의 동의 또는 법률의 규정 등에 기하지 아니한 채 불법적으로 유통되고 있는 개인정보를 취득한 후 이를 기초로 업무상 개인정보파일을 운용하는 자가 개인정보처리자에 해당하는지 여부(적극)
「개인정보 보호법」 제2조 제5호 등 관련 규정의 문언과 체계, 「개인정보 보호법」의 입법취지와 보호법익을 고려한 ‘개인정보처리자’ 개념에 관한 합리적 해석 등을 종합하여 보면, 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통해 개인정보를 처리하는 자는 특별한 사정이 없는 한 「개인정보 보호법」 제2조 제5호에서 정한 ‘개인정보처리자’에 해당한다고 보아야 하고, 해킹 등 부정한 방법을 통하여 개인정보를 취득하거나 정보주체의 동의 또는 법률의 규정 등에 기하지 아니한 채 불법적으로 유통되고 있는 개인정보를 취득한 후 이를 기초로 업무상 개인정보파일을 운용하기 위하여 개인정보를 처리한 경우라고 하더라도 이와 달리 볼 것은 아니다. 그 이유는 다음과 같다.
(1)
「개인정보 보호법」은 제71조 제2호에서 ‘제18조 제1항․제2항을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자’를 처벌하도록 규정하고, 제18조 제1항은 ‘개인정보처리자는 개인정보를 제15조 제1항에 따른 범위를 초과하여 이용하거나 제17조 제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다’라고 규정한다. 「개인정보 보호법」 제18조 제1항의 의무주체인 ‘개인정보처리자’란 ‘업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등’을 말하고(제2조 제5호), ‘개인정보파일’이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다(제2조 제4호).
이와 같이 「개인정보 보호법」 관련 규정의 문언과 체계를 살펴보면, ‘개인정보처리자’의 개념에 관하여 ‘업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다’고 규정할 뿐, 개인정보처리자가 개인정보파일을 어떠한 경위와 방법으로 취득하였는지에 대하여는 아무런 제한을 두고 있지 않다.
(2)
「개인정보 보호법」은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고 나아가 개인의 존엄과 가치를 구현함을 목적으로 하고(제1조), 정보주체의 개인정보자기결정권을 그 보호법익으로 한다(대법원 2014. 7. 24. 선고 2012다49933 판결, 대법원 2025. 10. 30. 선고 2024도19539 판결 등 참조).
이러한 취지에서 「개인정보 보호법」은 정보주체의 권익을 보호하고 개인정보의 적합한 처리를 보장하기 위하여, 개인정보파일 운용의 주체인 ‘개인정보처리자’에게 개인정보 수집․이용․제공부터 개인정보 처리에 관한 관리․감독 등에 이르기까지 다양한 의무를 부과하고 이를 위반할 경우 형사책임을 지도록 규정하고 있다. 즉 개인정보처리자는 정보주체의 동의를 받거나 법률에 특별한 규정이 있는 경우 등에 개인정보를 수집할 수 있고, 그 수집 목적의 범위에서 이용할 수 있으며(제15조 제1항), 개인정보처리자는 정보주체의 동의를 받는 등 일정한 경우 정보주체의 개인정보를 제3자에게 제공할 수 있고(제17조 제1항), 원칙적으로 개인정보처리자는 개인정보를 제15조 제1항에 따른 범위를 초과하여 이용하거나 제17조 제1항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다(제18조 제1항). 나아가 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 개인정보의 수집 출처 등을 정보주체에게 알려야 하고(제20조 제1항), 정보주체는 개인정보처리자에게 자신의 개인정보에 대한 열람을 요구할 수 있으며(제35조 제1항), 그 개인정보에 대한 정정 또는 삭제, 처리의 정지 등을 요구할 수 있다(제36조 제1항, 제37조 제1항). 또한 정보주체는 개인정보처리자가 「개인정보 보호법」을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있고, 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다(제39조 제1항).
따라서 해킹 등 부정한 방법을 통해 개인정보를 직접 취득하였거나 정보주체의 동의 또는 법률의 규정 등에 기하지 아니한 채 불법적으로 유통되고 있는 개인정보를 취득하였다는 이유만으로 개인정보처리자에 해당되지 않는다고 본다면, 「개인정보 보호법」의 입법취지와 보호목적에 반하여 정보주체의 개인정보자기결정권 보호에 있어 상당한 공백이 발생하게 된다. 부정한 방법으로 개인정보를 직접 취득하거나 불법적으로 유통되는 개인정보를 취득한 후 이를 기초로 업무상 개인정보파일을 운용함으로써 정보주체의 권익을 침해할 우려가 큰 상황에서, 오히려 개인정보처리자를 수범자로 하여 인정되는 위와 같은 여러 의무와 책임을 면하는 결과가 되기 때문이다.
나. 「개인정보 보호법」 제71조 제2호, 제18조 제1항 위반죄와 「개인정보 보호법」 제71조 제10호, 제59조 제3호 위반죄 사이의 죄수관계
상상적 경합은 1개의 행위가 실질적으로 수개의 구성요건을 충족하는 경우를 말하고, 법조경합은 1개의 행위가 외관상 수개의 죄의 구성요건에 해당하는 것처럼 보이나 실질적으로 1죄만을 구성하는 경우를 말한다. 실질적으로 1죄인가 또는 수죄인가는 구성요건적 평가와 보호법익의 측면에서 고찰하여 판단하여야 한다(대법원 1998. 3. 24. 선고 97도2956 판결, 2002. 7. 18. 선고 2002도669 전원합의체 판결 등 참조). 그리고 법조경합의 한 형태인 특별관계란 어느 구성요건이 다른 구성요건의 모든 요소를 포함하는 외에 다른 요소를 구비하여야 성립하는 경우로서, 특별관계에 있어서는 특별법의 구성요건을 충족하는 행위는 일반법의 구성요건을 충족하지만, 반대로 일반법의 구성요건을 충족하는 행위는 특별법의 구성요건을 충족하지 못한다(대법원 1997. 6. 27. 선고 97도1085 판결, 대법원 2003. 4. 8. 선고 2002도6033 판결 등 참조).
「개인정보 보호법」 제18조 제1항은 ‘개인정보처리자는 개인정보를 제15조 제1항에 따른 범위를 초과하여 이용하거나 제17조 제1항 및 제28조의8 제1항에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다’고 규정하고 있다. 같은 법 제71조 제2호는 ‘제18조 제1항ㆍ제2항, 제27조 제3항 또는 제28조의2(제26조 제8항에 따라 준용되는 경우를 포함한다), 제19조 또는 제26조 제5항을 위반하여 개인정보를 이용하거나 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자에 대하여 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다‘고 규정하고 있다. 한편 같은 법 제59조는 ‘개인정보를 처리하거나 처리하였던 자는 다음 각 호의 어느 하나에 해당하는 행위를 하여서는 아니 된다’고 규정하면서 제3호에서 ‘정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 이용, 훼손, 멸실, 변경, 위조 또는 유출하는 행위’를 규정하고 있다. 같은 법 제71조 제10호에서는 ‘제59조 제3호를 위반하여 다른 사람의 개인정보를 이용, 훼손, 멸실, 변경, 위조 또는 유출한 자에 대하여 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다’고 규정하고 있다.
이와 같은 「개인정보 보호법」 제71조 제2호, 제18조 제1항 위반죄와 「개인정보 보호법」 제71조 제10호, 제59조 제3호 위반죄의 각 처벌조항은 수범자 및 금지행위 등 구체적인 구성요건을 달리하고 있어, 「개인정보 보호법」 제71조 제2호, 제18조 제1항 위반죄의 구성요건이 「개인정보 보호법」 제71조 제10호, 제59조 제3호 위반죄의 구성요건의 모든 요소를 포함하는 외에 다른 요소를 구비하는 경우에 해당하지 않는다. 그렇다면, 「개인정보 보호법」 제71조 제2호, 제18조 제1항 위반죄의 규정이 「개인정보 보호법」 제71조 제10호, 제59조 제3호 위반죄의 규정에 대하여 특별관계에 있다고 볼 수 없고, 이들은 각기 독립된 별개의 구성요건으로서 1개의 행위가 각 구성요건을 충족하는 경우에는 상상적 경합의 관계에 있다고 보아야 한다.
정회목 변호사
