본문 바로가기

2024-2025년 개인정보보호법 판례 분석

킴청명 2025. 9. 14.

개인정보보호법 관련 판례는 2024-2025년 들어 더욱 복잡하고 다양한 양상을 보이고 있으며, 특히 기업의 개인정보 처리 방식과 손해배상 책임에 대한 법원의 판단이 주목받고 있습니다.

최근 대법원과 각급 법원에서 선고된 주요 판례들을 통해 현재 개인정보보호법 적용의 실무적 기준과 향후 전망을 살펴보도록 하겠습니다.

개인정보 '이용' 개념

대법원은 2025년 6월 26일 개인정보보호법상 '이용'의 개념을 최초로 명시적으로 정의하는 중요한 판결을 선고했습니다. 이 판결에서 법원은 수집된 개인정보로부터 새로운 정보를 추출하거나 가공하는 행위도 개인정보의 '이용'에 해당한다고 명확히 했는데요.

이러한 판결은 빅데이터 분석과 AI 기술을 활용하는 기업들에게 중요한 의미를 갖습니다. 단순히 개인정보를 저장하는 것뿐만 아니라 이를 활용해 새로운 정보나 패턴을 도출하는 과정에서도 개인정보보호법의 규제를 받게 되었기 때문입니다.

페이스북 개인정보 제3자 제공

2025년 3월, 대법원은 메타(페이스북)의 개인정보 제3자 제공에 대한 과징금 부과를 적법하다고 판결했습니다. 이 사건은 메타가 2012년부터 2018년까지 페이스북 이용자와 그 친구들의 개인정보 약 330만 건을 제3자 앱에 제공하면서 해당 이용자들의 동의를 받지 않은 것에 대한 것이라 합니다.

법원의 핵심 판단은 다음과 같습니다. 개인정보의 제3자 제공에 관한 규정은 정보주체의 개인정보자기결정권 제한에 대한 근거가 되므로, 정보통신서비스 제공자가 개인정보를 제3자에 제공할 때는 원칙적으로 정보주체의 동의를 받아야 합니다.

특히 주목할 점은 "이미 공개된 개인정보"라 하더라도 제3자에게 제공할 때는 별도의 동의가 필요하다고 본 것입니다. META 는 친구들이 자발적으로 공개한 정보이므로 별도 동의가 불필요하다고 주장했지만, 법원은 이를 받아들이지 않았습니다.

공개된 개인정보 처리의 한계

2024년 6월 대법원은 대학 교수 평가 사이트 운영과 관련한 개인정보자기결정권 침해 사건에서 중요한 판단기준을 제시했습니다. 이 사건에서 법원은 이미 공개된 개인정보를 정보주체의 동의 없이 처리하는 행위의 위법성을 판단할 때 다음 요소들을 종합적으로 고려해야 한다고 했습니다

  • 정보주체가 공적인 존재인지 여부
  • 개인정보의 공공성과 공익성
  • 원래 공개한 대상 범위
  • 개인정보 처리의 목적·절차·이용형태의 상당성과 필요성
  • 개인정보 처리로 침해될 수 있는 이익의 성질과 내용

이 판례는 표현의 자유와 개인정보자기결정권 간의 균형을 찾는 중요한 기준을 제시했다는 평가를 받고 있습니다.

수사기관 개인정보 제출의 주의점

최근 대법원은 수사기관에 타인의 개인정보를 제출하는 행위에 대해서도 엄격한 기준을 적용하고 있습니다. 2022년 판결들에서 법원은 고소·고발 과정에서 타인의 개인정보를 제출하는 행위도 개인정보보호법 제59조 제2호의 '누설'에 해당할 수 있다고 판단했습니다.

주요 판단 내용은 다음과 같습니다. 개인정보보호법 제59조 제2호의 '누설'은 아직 개인정보를 알지 못하는 타인에게 알려주는 일체의 행위를 의미하므로, 정보 주체의 동의를 받지 않고 고소·고발장에 타인의 개인정보를 첨부하여 제출하는 것은 위법할 수 있습니다

개인정보 유출 손해배상의 현실

개인정보 유출에 대한 손해배상 실태는 여전히 문제가 많습니다. 2021년부터 2024년 9월까지 유출된 개인정보가 7,735만 건에 달하지만, 개인정보 손해배상 책임보험 지급은 단 9건에 불과했습니다. 이는 전체 유출 건수 대비 0.00001% 수준으로, 개인정보 손해배상 제도의 실효성이 의문시되는 상황입니다.

모두투어 개인정보 유출 사건에서는 2024년 6월 해커에 의해 회원정보가 유출된 것에 대해 법원이 1인당 10만원의 손해배상을 인정했습니다. 이는 개인정보 유출에 대한 구체적인 배상액 산정의 참고 사례가 되고 있습니다.

부정한 방법에 의한 개인정보 취득

개인정보보호법 제72조는 "거짓이나 그 밖의 부정한 수단이나 방법"으로 개인정보를 취득하는 행위를 처벌하고 있습니다. 대법원은 이를 "개인정보를 취득하거나 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 일체의 행위"로 해석하고 있습니다.

특히 해킹과 같이 정보주체 등의 의사결정과 무관하게 그 자체로 위계 기타 사회통념상 부정한 방법이라고 인정되는 행위도 포함된다고 명시했습니다. 이는 기술적 수단을 이용한 개인정보 침해에 대해서도 엄격한 잣대를 적용하겠다는 의지를 보여줍니다.

영상정보와 개인정보 제공

2024년 8월 대법원은 영상정보처리기기로 촬영된 개인정보의 시청도 '개인정보를 제공받은 자'에 해당할 수 있다고 판결했습니다. 이 판결은 영상 형태의 개인정보에 대한 새로운 해석을 제시한 것으로, CCTV나 블랙박스 등 영상정보를 다루는 업무에 중요한 기준이 될 것으로 보입니다.

향후 전망과 실무 대응 방안

최근 판례들을 종합해보면, 법원은 개인정보보호에 대해 점점 더 엄격한 기준을 적용하고 있습니다. 특히 다음 사항들에 주의해야 합니다:

첫째, 이미 공개된 개인정보라 하더라도 제3자에게 제공할 때는 별도의 동의가 필요할 수 있습니다. 둘째, 개인정보의 '이용' 개념이 확대되어 단순 저장을 넘어 분석·가공 행위도 규제 대상이 됩니다. 셋째, 수사기관에 개인정보를 제출할 때도 신중한 검토가 필요합니다.

기업들은 이러한 판례 동향을 반영하여 개인정보 처리 정책을 재점검하고, 동의 절차를 강화하며, 개인정보보호 담당자의 전문성을 높여야 할 것입니다. 또한 개인정보 유출 시 신속한 대응체계 구축과 함께 실질적인 손해배상 방안도 마련해야 할 것으로 보입니다.

개인정보보호법 판례는 디지털 환경의 변화와 함께 계속 진화하고 있으며, 기업과 개인 모두 이러한 변화에 적극적으로 대응해 나가야 할 것입니다.

댓글

티스토리툴바