|
그런데, 개인정보 보호법은 개인정보의 처리를 폭넓게 정의하고 있다. 법은 개인정보의 처리를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위라고 규정하고 있다. 즉, 법은 ‘저장’이 개인정보 처리에 포함된다는 점을 명확히 하고 있으므로, 법문만 보면 서버에 개인정보가 저장되는 순간 개인정보 처리가 이루어진다고 이해하기 쉽다.
하지만 이렇게 해석하면 하나의 의문이 생긴다. 인터넷에서는 개인정보를 전달하기 위해 저장이 불가피한데, 그렇다면 오늘날 대부분의 디지털 서비스는 정보를 전달하는 과정만으로도 모두 개인정보를 처리한다고 보아야 하는 것일까.
이 질문에 중요한 판단기준을 제시한 판례가 대법원 2020도13960 판결(대법원 2024. 7. 11. 선고 2020도13960 판결)이다.
이 사건은 의료기관이 작성한 전자처방전이 약국으로 전송되는 과정에서, 이동통신사의 중개 서버에 일시적으로 저장된 행위가 개인정보 보호법상 개인정보의 ‘처리’에 해당하는지가 문제된 사건이다.
검사는 이동통신사의 서버에 환자의 개인정보가 저장된 이상 개인정보 보호법이 정한 처리행위 중 하나인 ‘저장’이 이루어졌고, 따라서 개인정보 처리에도 해당한다고 주장하였다. 개인정보 보호법의 정의규정만 놓고 보면 충분히 가능한 주장이다.
그러나 법원의 판단은 달랐다.
법원은 먼저 개인정보 보호법이 단순한 전달 또는 전송행위를 개인정보의 처리로 보지 않는다는 점에 주목하였다. 그리고 디지털 환경에서는 이러한 전달이나 전송을 위해 중개 서버에 정보가 일시적으로 저장되는 것이 기술적으로 불가피하다는 점도 함께 고려하였다. 만약 전송 과정에서 이루어지는 일시적 저장만을 이유로 개인정보 처리에 해당한다고 본다면, 결국 단순한 전달 또는 전송행위까지 모두 개인정보 처리에 포함되는 모순이 발생하게 된다.
이러한 이유에서 법원은 이동통신사가 전자처방전 정보를 서버에 저장하였다고 전송한 행위를 단순한 전달 또는 전송행위로 보았다. 중개 서버에 개인정보가 일시적으로 저장되기는 하였지만, 이는 목적지까지 정보를 전달하기 위해 기술적·기계적으로 수반되는 과정에 불과하다고 본 것이다. 따라서 이러한 일시적 저장은 개인정보 보호법에서 말하는 개인정보의 처리에 해당하지 않는다고 판단하였다.
물론 모든 일시적 저장이 개인정보 처리에서 제외되는 것은 아니다. 개인정보를 업무상 보관하거나 검색, 분석, 활용하기 위하여 저장하는 경우라면 당연히 개인정보 처리에 해당한다. 결국 같은 저장이라는 행위라도 그 목적과 기능에 따라 법적 평가는 달라질 수 있다.
이 판결은 개인정보 보호법의 정의규정을 형식적으로 해석해서는 안 된다는 점을 보여준다. 디지털 환경에서는 정보를 전달하는 과정에서 저장이 발생하는데 이러한 특성을 고려하지 않은 채 ‘저장’이라는 형식만으로 개인정보 처리 여부를 판단한다면 개인정보 보호법의 적용 범위는 지나치게 확대될 수 있다. 결국 법원은 ‘저장’이라는 형식보다 그 저장이 어떠한 목적과 기능을 가지는지를 함께 살펴야 한다는 해석기준을 제시한 것이다.
또한, 이러한 해석은 ‘처리’의 개념에만 적용되는 이야기가 아닐 것이다. 디지털 환경에서의 작동 방식과 법률이 전제한 현실 사이에 차이가 생기는 경우가 점점 늘어나고 있으므로, 개인정보 보호법을 해석할 때에는 조문의 문언뿐 아니라 그 규정이 보호하려는 목적과 기술적 특성을 함께 고려하는 접근이 더욱 중요해질 것이다.
■정세진 변호사 △고려대학교 전기전자전파공학 졸업 △한국과학기술원(KAIST) 전기 및 전자공학 석사 졸업 △성균관대학교 법학전문대학원 석사 졸업 △고려대학교 정보보호대학원 박사과정 수료 △前김앤장 법률사무소 변호사 △前 법무법인 율촌 변호사 △과학기술정보통신부 고문변호사 △개인정보보호위원회 고문변호사 △금융감독원 금융감독자문위원회 자문위원(디지털/IT분과)△사단법인 벤쳐기업협회 자문위원 △한국핀테크지원센터 혁신금융 전문위원 △한국금융연수원 겸임교수 △성균관대학교 법학전문대학원 겸임교수





