개인정보보호법 개정 이후 개인정보의 정의가 축소되었으므로 이에 맞추어 기존 판례를 재해석하고 합리적인 운용을 해야 한다.

1. 2022년 개인정보보호법학회 춘계학술대회
개인정보보호법 형사 판례 동향과
바람직한 해석론
- 20.8.5. 개정 개인정보보호법의 정의 변경
에 집중하여
2022. 4. 22.
구태언 변호사
법무법인 린
tekoo@law-lin.com

2. 1. 개인정보 관련 중요 형사판례 동향 및 평가
2. 개인정보 과잉 해석을 낳은 개인정보 정의와 해석,
2020. 8. 개정 개인정보보호법상 ‘개인정보 정의’ 변경
3. 바람직한 해석론을 위한 ‘개인정보보호법 표준해석례’ 비판
2
목차
4. 습관적 개인정보 정의의 확대해석은
개인정보 해외유출과 인공지능 주권 상실

3. 3
*2011년 개인정보보호법
제정 전후 중요 형사판례
1. 개인정보 관련 중요 형사판례* 동향 및 평가

4. 주요 형사판례 동향
• 서울중앙 2010고단5343 증권통 사건
– IMEI와 USIM 조합 82,413건, IMEI와 휴대전화번호 조합 1,003건 수집
– 판단) 개인식별정보가 없지만, 위 정보 조합은 개인이 식별가능한 개인정보
• 서울중앙 2013고합577 국정원 댓글조작 사건
– 민간업체가 수사기관에 트위터 정보 제공
– 판단1) 개인식별정보가 없지만, 트위터 정보를 종합하거나 다른 정보와 쉽게 결합하여 특정개인의 식별이 가
능한 경우가 있으므로 트위터 정보는 개인정보
– 판단2) 개인정보보호법 제20조 제1항에 따라 개인정보처리자가 정보주체 이외로부터 개인정보를 수집하여
처리하는 경우에는 개인정보의 수집 및 이용에 관한 개인정보보호법 제15조보다 위 조항이 우선 적용되는
것으로 해석함이 타당
• 대전지법 논산지원 2013고단17 신고자 전화번호 뒷자리 4자리 유출사건
– 경찰공무원이 도박죄 피고인에게 신고자의 휴대전화번호 뒷자리 4자리를 알려줌
– 판단) 휴대전화번호 뒷자리 4자만으로도 그 전화번호 사용자가 누구인지를 식별할 수 있는 경우가 있고, 특
히 그 전화번호 사용자와 일정한 인적 관계를 맺어온 사람이라면 더더욱 그러할 가능성이 높으며, 설령 휴대
전화번호 뒷자리 4자만으로는 그 전화번호 사용자를 식별하지 못한다 하더라도 그 뒷자리 번호 4자와 관련
성이 있는 다른 정보(앞서 언급한 생일, 기념일, 집 전화번호, 가족 전화번호, 기존 통화내역 등)와 쉽게 결합
하여 그 전화번호 사용자가 누구인지를 알아볼 수도 있으므로 개인정보
4

5. 주요 형사판례 동향
• 서울중앙 2006가합33062 국민은행 이메일 주소 유출사건
– 사업자가 이메일 발송 과정에서 실수로 이용자들의 이메일 주소가 포함된 텍스트 파일 첨부
– 판단) 이메일 주소는 당해 정보만으로는 특정 개인을 알아볼 수 없을지라도 다른 정보와 용이하게 결합할 경
우 당해 개인을 알아볼 수 있는 정보라 할 것이므로 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조
제1항 제6호에서 정한 ‘개인정보’에 해당
• 서울고등 2014나19631 MAC 주소, IP주소 수집
– 소프트웨어 업체가 이용자의 MAC주소, IP주소 수집과정에서 명시적 동의 없음
– 판단) 소프트웨어 설치과정에서 사용자의 설치동의를 받았으므로 위법수집증거라고 할 수 없음
• 대법원 2020도19905 경찰 수배내역 조회
– 경찰관이 장모의 지명수배내역을 조회하여 이를 수배자에게 알려줌
– 판단) 이 사건 경찰관은 ‘개인정보처리자’가 아니므로(지명수배 시스템의 운영자가 아님), 개인정보처리자를
의무주체로 하고 있는 개인정보보호법 제71조 제2호, 제18조 제2항을 적용하여 처벌할 수 없음(양벌규정
으로 기소하지 않음)
5

6. 주요 형사판례 동향
• 서울중앙 2019노4259 수능감독관 수험생 연락처 유용 사건
– 수능감독관이 응시원서와 수험표 대조 과정에서 알게 된 수험생의 연락처를 이용해 자신의 카카오톡친구로
등록하여 유용
– 판단) 피고인은 대학수학능력시험의 감독업무 수행을 위하여 개인정보처리자인 시(市)교육청으로부터 수험
생들의 전화번호 등 개인정보를 받은 것이므로 법 제17조 제1항 제2호, 제15조 제1항 제3호의 ‘공공기관이
법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우’에 해당하여 법 제19조의 ‘개인정보처리자로
부터 개인정보를 제공받은 자’에 포섭된다는 이유로, 이와 달리 피고인은 법 제28조에서 정한 ‘개인정보취급
자’에 불과하여 법 제19조의 ‘개인정보처리자로부터 개인정보를 제공받은 자’에 해당하지 않는다고 보아 무
죄를 선고한 제1심판결을 파기하고 유죄를 선고
• 대법원 2016도 13263 홈플러스 형사 사건(소위 1mm 고지문구 사건)
– 대형할인매장이 경품이벤트를 개최하면서 응모권에 기재한 응모자의 개인정보 제3자 제공 동의문구가
1mm 크기에 불과한 경우 ‘거짓 이나 부정한 수단이나 방법’으로 개인정보를 취득하거나 그 처리에 관한 동
의를 얻었는지 여부
– 판단) 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지
를 판단할 때에는 개인정보처리자가 그에 관한 동의를 받는 행위 자체만을 분리하여 개별적으로 판단하여서
는 안 되고, 개인정보처리자가 개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴보아 거기
에서 드러난 개인정보 수집 등의 동기와 목적, 수집 목적과 수집 대상인 개인정보의 관련성, 수집 등을 위하
여 사용한 구체적인 방법, 개인정보 보호법 등 관련 법령을 준수하였는지 및 취득한 개인정보의 내용과 규모,
특히 민감정보·고유식별정보 등의 포함 여부 등을 종합적으로 고려하여 사회통념에 따라 판단하여야 함(유
죄)
6

7. 주요 형사판례 동향
• 대법원 2014도7598 대학교수가 학생 고소 목적 개인정보 유용
– 대학 학과장이 학과장으로서 업무상 수집·보유하고 있던 G의 개인정보인 주소, 휴대전화번호를 G에 대한 고
소장에 기재
– 판단) 이는 개인정보 보호법 제15조 제1항 제6호에서 규정하고 있는 '개인정보처리자의 정당한 이익을 달
성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하며, 개인정보 처리자의 정당한 이익과
상당한 관련이 있고, 합리적인 범위를 초과하지 아니하는 경우'에 해당한다고 보기 어렵고, 나아가 피고인의
행위는 간급성, 보충성의 요건을 갖추지 못하여 정당행위에 해당하지 않는다는 이유로 피고인의 주장을 배척
하고, 이 사건 변경된 공소사실을 유죄로 판단
• 대법원 2017도9388 아파트 입주자대표회의 영상 CCTV 제공
– 아파트관리소장이 정보주체인 G와 분쟁 중인 상대방에게는 이 사건 각 영상을 제공하였으면서도 정작 G
와 감독기관인 송파구청의 제공요청에 대하여는 제공하기를 거부
– 판단) 아파트 관리소장인 피고인은 회의 등에 관한 다량의 영상 개인정보 등을 수집·생성·저장 등의 방법으
로 처리하기 위하여 개인정보파일을 운용한 사람이어서 개인정보 보호법에서 정한 개인정보처리자에 해당하
고, 정보주체가 이 사건 각 CCTV 영상의 출력, 제공, 공개 등에까지 동의한 적은 없으며, ③ 이 사건 발생 당
시 시행 중이던 이 사건 아파트 관리규약에 의하면, 입주민은 선거관리위원회 회의록에 대하여 열람·복사
를 요구할 수 있으나, 회의록과 회의를 촬영한 영상은 그 안에 담긴 정보의 양이 본질적으로 다르므로 위 관
리규약에 기하여 당연히 '회의 영상'이 열람·복사의 대상이 된다고 볼 수 없고, 피고인이 이 사건 각 영상
을 정보주체의 동의 없이 제공한 행위를 공동주택관리법에 따른 관리규약을 준수하기 위한 불가피한 경우
에 해당한다고 볼 수 없으며, 피고인의 행위를 관리규약에 따른 업무로 인한 정당행위라고 볼 수 없어 유죄로
판단
7

8. 구법상 개인정보 관련 판결의 개인정보 개념=초광의
• IMEI, USIM S/N 조합
– ‘증권통’ 앱 사건 - 관심종목 등록 및 관련 정보 제공 목적으로 수집이용
– 서울중앙지법 - ‘이동통신사업자로부터 가입정보를 입수한다면 쉽게 결합하여 개인을 식별할 수 있으므로 위
정보들이 개인정보라 판결하고 형사처벌
• 휴대전화번호 뒷자리 4개
– ‘개인정보’인 휴대전화 번호의 일부인 이상 생년월일을 추정하는 등으로 나머지 번호를 결합하면 개인정보가
되므로 경찰관 처벌(휴대전화번호가 개인정보라고 전제하는 것도 역시 마찬가지 논리)
– 논산지원 ‘도박 신고자 정보 유출사건‘
개인화 서비스 관련 기기정보는 개인정보라는 판결
8

9. 구 개인정보보호법(2020. 8. 5. 개정되기 전)상
개인정보 정의 해석 실무와 평가
• 개인정보주체를 두텁게 보호하려는 목적 하에, ‘결합가능성’을 폭
넓게 해석하여,
• 사물의 개인정보나 개인에게 부여된 일련번호는 대부분 다른 정보
와 쉽게 결합 가능하다고 보고 비식별상태의 개인정보 대부분을
‘비식별 개인정보＇로 해석하여
• 형사처벌위험에 빠지게 함으로서, 개인과 관련된 정보의 처리를 대
부분 가로막는 결과 데이터산업 및 인공지능의 발전에 심각한 장애
발생
9

10. 10
비식별개인정보의 범위가
법문상으로 획기적으로 달라짐
2.
개인정보 과잉해석을 낳은 개정 개인정보보호법 상
개인정보의 정의 개정(2020. 8. 5. 시행)

11. 2020.8. 개인정보보호법 개정 전 개인정보 정의와 과잉해석
개인정보보호법 제2조 제1호
• “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을
알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결
합하여 알아볼 수 있는 것을 포함한다)를 말한다.
동일 처리자가 결합 대상 정보를 처리하고 있는지 여부를 불문하고
‘잠재적 결합가능성’만 있으면 비식별정보도 이미 개인정보라고 해석!
정보통신망법 제2조
• “개인정보”란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을
알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아
볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한
다.
11

12. 2013년 EU의 개인정보 정의와 비교
• EU는 “개인식별성”이란 (개인정보처리자에 의해) 불합리한 노력이 없어도 구할 수 있는 추가정보가 입수된다면 개
인이 ‘이름 등’으로 식별될 수 있는 것으로 정의(EU 개인정보보호법 핸드북, 2013)
– A person is identifiable if additional information can be obtained without unreasonable effort, allowing the
identification of the data subject by name and any means. - European Union Agency for Fundamental Rights,
Council of Europe, "Handbook on European data protection law" 2013
비식별정보는 합리적인 노력으로 입수할 수 있는 정보와 결합가능성이 기준
합리적인 노력 -> 2020.8. 개인정보보호법 정의에 반영
12

13. 일본 개인정보 보호법상 정의와 비교
• “다만, 그 자체로는 개인을 식별할 수 없더라도 다른 정보와 쉽게 조합(照合)하여 개인을 식별할 수 있는 경우에는 그
정보를 포함한다.”
– 조합은 대조하여 결합한다는 일본어
– 대조할 수 있는 정보를 처리중이거나 입수할 수 있는 개인정보처리자를 전제로 함
– 비식별정보를 개인정보화하는 범위를 합리적으로 제한
우리나라의 ‘쉽게 결합’과 비교해 보면, 훨씬 제한적인 개념임
비식별정보의 경우 ‘대조하여 결합할 수 있는 경우’에 개인정보
13

14. 2020. 8. 개정법에서 비식별 개인정보 정의 변화 ­ 합리적
범위 내로 제한
14

15. 개정법에서 개인정보 정의 해설(개보위)
15

16. 개정법에서 비식별개인정보 재고찰 필요
16
• 개정법에서 다음 정보는 개인정보인가? 단, 아래 정보만 보유했다는 전제.
• 휴대전화번호
• 차량등록번호
• 아이디(ID)
• 비밀번호
• IP주소
• 개정법에서 비식별개인정보의 개념이 변화함. 위 정보들은 그 자체로는 비식별상태이므로 특정
개인을 식별하기 위해서는 ‘다른 정보’가 필요하며 그 다른 정보를 입수하는데 비합리적인 시간,
비용, 노력이 든다면 이런 비식별 개인 관련 정보는 법상 ‘개인정보’가 아님

17. 17
*2021. 7. 개인정보보호위원
회 발간, 개보위 출범 이후 의결
사례를 체계적으로 편집해 놓은
지침서
3.
개정 법상 바람직한 해석론을 위한
개인정보보호법 표준해석례* 비판

18. 개인정보 정의 부분
18

19. 자동차등록번호 및 차대번호
19
(개정법에 따른 해석 변경 필요)
• 일반적인 경우 타인의 자동차등록원부를 합법적으로 입수하는 것은 불가능에 가까우므로 합리
적인 시간, 비용, 기술의 범위 내에 있다고 할 수 없어 개인정보가 아니라고 해석을 변경해야 함
• 다만, 행정/치안 목적으로 타인의 자동차등록원부를 조회할 수 있는 공무원 등의 경우 개인정보

20. 결제대행사에 제공하는 ID와 결제상품정보
20
(개정법에 따른 해석 변경 필요)
• 일반적인 경우 고객ID와 결제상품정보만으로는 특정 개인을 식별하기 어려우며, 다른 정보(회
원명부)를 합법적으로 입수하는 것은 불가능에 가까우므로 합리적인 시간, 비용, 기술의 범위 내
에 있다고 할 수 없어 개인정보가 아니라고 해석을 변경해야 함

21. 치아 엑스레이 사진
21
(개정법에 따른 해석 변경 필요)
• 보건의료데이터 가이드라인(2020.12.) ­ 식별정보를 제거하고, DICOM정보를 제거하면 비식
별정보
• ‘설명데이터’의 의미가 불명확함. 일반적인 경우 엑스레이 사진만으로 특정 개인을 식별하기 어
려우며, 사진 자체에 특정 개인을 식별할 수 있는 식별정보가 있어야 함. 일련번호만으론 부족

22. 지하철 이용 정보
22
(개정법에 따른 해석 변경 필요)
• 일반적인 경우 지하철을 탑승하는 사람의 식별정보를 입수하는 것은 어려움. 비식별상태의 개인
의 탑승정보를 식별할 다른 정보를 입수하는 것도 합리적인 시간, 비용, 기술의 범위 내에 있다
고 할 수 없음 (경찰은 가능)
• 특정 개인이 특정한 시간 및 장소에 존재하였다는 정보가 바로 개인위치정보가 아니라, 전기통
신회선설비를 통해 수집한 것에 한함(위치정보법 제2조 제1호)

23. 회사건물 출입기록
23
(개보위 결정 비판)
• 빌딩의 입주사는 빌딩관리회사와 입주계약을 체결하였으며, 빌딩의 출입은 동시에 입주사에 출
입하는 것과 같음. 출입통제장치를 통한 상시 출입자 등록은 입주사와 위탁계약을 통해 실시
• 입주사는 근로계약에 따라 소속 직원들의 회사건물 출입기록을 정보보안, 근태관리 차원에서 접
근권한을 보유한다고 보는 것이 합리적이며, 업무위탁자로서 빌딩의 출입기록의 제공요구 가능

24. 회사의 순찰자 순찰정보
24
(개보위 결정 비판)
• 회사의 업무수행자의 정보를 법인정보이면서 개인정보이므로 공개할 수 있다고 해석하는 것은
다소 어색함
• 회사 업무수행자는 회사와 계약에 따라 업무를 수행하므로 계약의 체결 및 이행을 목적으로 그
정보를 수집이용할 수 있고(법 제15조 제1항 제4호), 회사내부자는 제3자가 아니므로 회사 내
부게시판 공개는 문제가 없음

25. CCTV 실시간 모니터 영상정보
25
(개정법에 따른 해석 변경 필요)
• 사람의 경우, CCTV에 찍힌 다른 사람의 모습을 보고 그가 누구인지 특정하는 것은 일반적으로
어렵다고 보는 것이 합리적임. 경찰도 CCTV만 보고서는 등장인물을 특정할 수 없으며, 다른 정
보를 결합하여 특정하는 것을 보아도 명백함
• 자동차등록번호는 일반적으로 타인의 자동차등록원부를 합법적으로 입수하는 것은 불가능에
가까우므로 합리적인 시간, 비용, 기술의 범위 내에 있다고 할 수 없어 개인정보가 아니라고 해
석을 변경해야 함

26. 주민등록번호 연계정보(CI)
26
(개정법에 따른 해석 변경 필요)
• 일반적인 경우 CI를 안다고 하여 바로 특정 개인을 식별할 수 있다고 보기 어려우므로 다른 정보
의 입수가 합리적인 시간, 비용, 기술의 범위 내에 있는지를 판단하여야 함
• 특정 CI가 어떤 사람의 것인지 알아 내는 것은 대부분 개인정보처리자에게는 합리적인 시간, 비
용, 기술의 범위 내라고 보기 어려움. 다만, 이미 해당 개인이 자신의 서비스를 이용하면서 CI와
연결된 식별정보를 제공한 경우는 이미 ’결합하여 식별상태’에 있으므로 논외

27. 입주자 대표회의 영상
27

28. 입주자 대표회의 영상
28
(개보위 결정 비판)
• 아파트 입주자대표회의의 활동은 단체활동이므로 단체 구성원들로서는 당연히 그 활동정보를
수집하여 이용할 권한이 있음
• 아파트 입주자대표회의를 기록한 동영상은 그 촬영에 응한 사람들은 명시적으로 촬영정보를 접
근할 권한이 있는 자들(입주자)에게 수집이용될 것에 동의한 것으로 해석하는 것이 상당함
• 단체의 활동기록에 개인정보가 포함되었다 하여 단체구성원들에게 이를 제공하는 것이 제3자
제공이라고 보는 것은 잘못된 해석임
• 이런 해석대로라면, 어떤 조직이나 단체의 활동에 대해 그 구성원들에게 공유할 때마다 일일이
정보주체의 동의를 얻어야 한다는 것이나, 그렇게 활동하고 있는 조직이나 단체는 없음

29. 졸업앨범에 교사 사진 수록시 동의
29
(개보위 결정 비판)
• 개인정보의 이용근거를 ‘동의’ 뿐이라고 하는 편협한 시각에서 내려진 잘못된 결정임
• 교사가 학교에 근무하는 것은 교육 관련 법령에 의한 것이므로 교사 정보의 수집이용은 관련 법
령에 따른 수집 이용임(개인정보보호법 제15조 제1항 제2호)
• 교사의 다른 정보는 학교 당국이 수집하여 이용하면서 졸업앨범만 달리 취급할 이유가 없음
• 졸업앨범은 특히 함께 수학한 교사/학생들의 공동체로서 함께 학교생활을 한 이상 명시적인 동
의가 이미 존재한다고 해석할 수도 있음

30. 30
글로벌 빅테크가 우리나라의 국부와
데이터를 장악해 가는 지금
데이터 관련 법률의 해석은 우물안 시
각을 벗어나야
4.
습관적 개인정보 정의의 확대해석은
개인정보 해외 유출과 인공지능 주권 상실

31. 한국은 어쩌다 개인정보 해외유출 수모를 겪었나
• 네이버는 작년 미국에서 이용자들로부터 개인정보 유출의혹으로
소송을 당했다. 네이버가 라인메신저, 스노우 등을 서비스하며 중
국의 안면인식 인공지능기업 '센스타임'의 기술을 사용했는데, 이
용자 개인정보를 해외로 유출했다는 것이었다. 그렇다면 우리나라
최고 IT기업 네이버는 왜 중국 센스타임의 인공지능기술을 사용하
게 됐을까?
• 메타버스 시대에 인종을 불문하고 정확하게 안면을 인식하는 기술
은 필수적이다. 센스타임은 99% 정확하게 영상에서 안면을 인식
해 낸다고 한다. 센스타임의 이 뛰어난 안면인식 기술은 중국정부
가 공공장소에 설치된 CCTV데이터에 접근을 허용한 결과다. 결
국 센스타임은 방대한 학습데이터를 확보해 세계 최고의 인공지능
을 만들어 냈고, 네이버마저도 이를 사용하지 않을 수 없는 '수모'
를 겪게 된 것이다.
• 국민들의 개인정보 해외유출은 법으로 막을 수 있는 것이 아니다.
훌륭한 인공지능 플랫폼 기업에 의해서 지켜질 수 있음을 다시 한
번 강조한다. 개인정보를 보호한다는 개인정보보호법이 과다한 개
인정보 정의로 말미암아 제 발등을 찍고 있는 현실이다. 근본적 법
제전환 없이는 '국가의 혼'인 데이터를 지켜내기 어렵다.
31

32. 감사합니다!
Thank you for Listening