사실관계에서 피고는 해킹 등 부정한 방법으로 개인정보파일을 취득한 뒤 이를 자신이 운영하는 도박사이트에 입력해 운영에 이용했고, 검찰은 개인정보보호법 위반을 포함해 다수의 혐의를 기소했다. 쟁점은 해킹으로 취득했더라도 ‘개인정보처리자’에 해당하는지와 법 제71조 제2호·제18조 제1항 위반죄와 제71조 제10호·제59조 제3호 위반죄의 관계다. 대법원은 해킹 여부에 관계없이 “업무를 목적적으로 개인정보파일을 운용하는 자”라면 개인정보처리자에 해당한다고 판단했고, 이는 정보주체의 권리 보호 측면의 공백을 방지하기 위한 해석이다. 또한 두 죄의 구성요건 차이로 보아 특별관계가 아니라 상상적 경합에 이른다고 보았다.
원심은 제2호·제18호 위반죄가 별도로 성립하지 않는다고 보았고, 대법원은 상상적 경합으로 보되 결과에는 큰 차이가 없다고 판단해 상고를 기각했다. 이로써 결론은 동일하게 유지되었지만 법리적 정리는 명확해졌다. 판결의 의의는 개인정보를 얻은 경로와 무관하게 이를 이용해 업무를 운영하는 자는 모두 개인정보처리자로 본다는 점에 있다. 다크웹이나 해킹으로 얻은 정보라도 처리자로서의 책임이 적용될 수 있으며, 이는 형사처벌뿐 아니라 손해배상 책임에도 영향을 미친다. 또한 사이버 범죄 영역의 데이터 비즈니스에 대한 개인정보보호법의 적용 가능성을 시사한다.
시사점은 해킹으로 취득한 정보라도 업무에 활용하는 순간 개인정보처리자의 의무를 부담하게 된다는 점이다. 부정 취득자를 처리자로 제외하면 정보주체의 권리 침해 위험이 커진다는 점이 재차 강조된다. 상상적 경합의 성립은 형량에 직접적인 곱절효과를 주지는 않더라도 형량 산정에서 여러 구성요건의 침해가 반영될 수 있고, 손해배상 범위 역시 넓어질 수 있다. 따라서 향후 유사 사례에서 개인정보의 취득경로와 무관한 처리자의 책임이 더욱 강화될 전망이다.
#
2026도477
#
정보보호
#
여현동변호사
#
상상적경합
#
사이버범죄
#
법조경합
#
법무법인차온
#
도박사이트
#
대법원판례
#
개인정보침해
#
개인정보처리자
#
개인정보자기결정권
#
개인정보유출
#
개인정보보호법
#
해킹
