경찰청이 제공하는 고소장 서식에는 피고소인을 특정하기 위해 성명, 주민등록번호, 주소, 직업, 전화번호, 이메일 등을 기재하도록 안내한다. 이 서식을 참고해 피고소인의 주민등록번호를 기재한 고소장을 제출했다가 개인정보보호법 위반(권한을 초과한 개인정보 유출)으로 기소된 사건이 있었다. 법원의 석명 요구에 따라 제출한 자료가 문제되어 개인정보보호법 위반(목적 외 제3자 제공 및 개인정보 누설)으로 기소된 사건도 있었다. 하급심은 두 사건 모두에 대해 유죄를 선고했으나, 2025년 대법원은 이들 사건을 잇달아 무죄 취지로 파기환송하였다.
재판ㆍ수사 절차에서의 개인정보 처리 문제가 단순한 이론적 쟁점을 넘어 규범 체계상 공백 문제로 부각된 지 오래됐다.
문제의 뿌리는 현행 개인정보보호법이 소송ㆍ수사 절차에서 이루어지는 개인정보 처리에 대해 명시적인 적법처리근거를 두고 있지 않다는 데 있다. 분쟁의 해결과 형사사법의 실현은 당사자와 국가기관이 보유한 정보를 일정한 절차에 따라 제출하고 교환하는 과정을 통해 이루어지며, 이 과정에서 개인정보가 포함된 자료의 제출은 불가피하다. 그럼에도 이에 대한 명시적 근거가 없어, 개인정보 규범 체계와 헌법상 재판청구권ㆍ적법절차 원칙과의 관계가 모호하고 아슬아슬하게 이어져 왔다.
정당행위 법리만으로는 부족하다
이에 대해 대법원이 최근 해석론을 정립했다. 대법원은 재판ㆍ수사 절차에서 개인정보가 포함된 자료를 법원이나 수사기관에 제출하는 행위가 형법 제20조 정당행위로 위법성이 조각될 수 있다는 원칙을 재확인하고, 제출 목적, 정보의 성질ㆍ양, 최소성, 비실명화 조치 여부, 대안 수단의 존재 및 불가피성 등 구체적인 판단 기준을 마련하여 정당행위 인정을 확대하고 있다. 아울러 처벌 대상 개인정보를 ‘정보 주체의 사적 영역에 대한 정보’로 한정하는 해석론을 통해 처벌 범위를 합리적으로 조정하려고 있다.
긍정적 시도로 평가할 수 있으나, 결국 형법상 위법성 조각을 통한 사후적ㆍ개별적ㆍ보완적 통제라는 한계가 있다. 법률전문가조차 명확히 답을 내기 어려운데, 일반인들이 자신의 증거 제출 행위의 적법 여부를 사전에 명확하게 판단하기를 기대하기엔 어렵다.
입법으로 해결해야 하는 이유
우리 헌법은 모든 국민에게 헌법과 법률이 정한 법관에 의해 공정한 재판을 받을 권리를 보장한다. 형사 피해자에게는 해당 사건의 재판절차에서 진술할 권리를 별도로 두고 있다. 재판청구권은 자신의 주장을 자유롭게 개진하고 이를 뒷받침할 증거를 충분히 제출할 수 있는 권리를 포함한다. 소송의 어느 당사자도 기본권 행사의 일환인 증거 제출 행위로 인해 별도의 형사처벌 위험을 감수해야 하는 구조라면, 기본권의 실질적 보장 측면에서 재검토가 필요하다.
당사자의 기본권 차원만이 아니다. 법원의 재판과 수사기관의 수사는 본질적으로 개인정보를 포함한 다양한 정보의 처리 과정으로도 설명될 수 있다. 재판과 수사 제도는 당사자들이 정보를 어떻게 공유하도록 할 것인지, 그렇게 공개된 다양한 정보 중에서 법원과 수사기관이 유의미한 정보를 어떻게 추출할 것인지에 관한 절차를 체계화한 것이다.
![[제미나이]](https://wimg.mk.co.kr/news/cms/202604/29/news-p.v1.20260429.61c6a8999fb644faac7465a2cc6597a8_P1.png)
실체 진실의 발견은 충분한 정보의 공개와 교환을 전제한다. 개인정보가 포함된 증거를 제출하는 행위가 개인정보보호법 위반의 구성요건을 충족할 수 있다면, 당사자는 증거를 제출할 범위를 스스로 제한하게 된다. 제출 범위를 줄이면 소송상 입증에 불리하고, 필요한 자료를 모두 제출하면 형사처벌 위험이 남는 딜레마에 빠지게 된다. 어느 쪽을 선택해도 당사자에게 불리한 이 딜레마는 이미 실무에서 현실화된 문제이다.
고소인인 형사 피해자의 처지는 더욱 절박할 수 있다. 수사관의 자료 제출 협조 요청에 대해 적법처리근거가 불명확하다는 이유로 압수수색 영장 신청 방식으로 진행해달라고 했다가 면박을 당한 경험이 있다. 개인정보보호법을 모른다며 수사기관을 탓할 일은 아니다. 명확한 근거가 없는 상황에서 당사자와 수사기관 모두 난감한 처지가 되고, 불필요한 절차적 비용이 발생한다.
개인정보 적법처리 근거 중 하나인 정당한 이익 조항을 제한적으로 운용하는 우리나라와 달리, EU GDPR(유럽연합 개인정보 보호 규제)은 이익형량을 전제로 소송·분쟁 대응 맥락에서의 활용이 비교적 자유롭다. 민감정보에 대해서는 “법적 청구의 설정ㆍ행사ㆍ방어를 위한 처리”를 별도의 허용 사유로 규정한다.
물론 소송·수사 절차라는 이유만으로 개인정보 처리에 대한 통제를 전면적으로 완화하는 접근은 신중할 필요가 있다. 다만 법원과 수사기관은 다른 어떤 개인정보처리자보다 개인정보의 유출과 목적외 이용 가능성이 낮고, 이를 방지할 제도적 수단도 갖추고 있다. 핵심은 예외를 확대하는 것이 아니라, 이미 불가피하게 이루어지고 있는 처리에 대해 명확한 법적 근거를 개인정보보호법 안에 두는 것이다.
재판청구권과 실체 진실 발견이라는 헌법적ㆍ제도적 가치를 뒷받침하는 명시적 적법처리근거가 개인정보보호법에 마련되어야 한다. 소송의 본질이 증거에 담긴 정보의 제출과 평가를 통해 결론에 이르는 절차라면, 그 처리의 적법성 근거를 형법상 정당행위에만 미룰 일은 아니다.
[지평 테크레이더]에서는 AI, 데이터, 디지털 기술 발전에 따라 급변하는 법·제도 환경을 기업ㆍ기관 실무자가 이해하기 쉬운 형태로 전달하고자 합니다. 최정규 변호사는 지평 IPㆍIT 그룹장 및 개인정보ㆍ데이터ㆍAI팀장으로서, 지식재산, 인공지능, 개인정보ㆍ데이터 분야의 자문 및 분쟁 업무를 수행하고 있습니다. 개인정보 분쟁조정위원회 위원으로도 활동하고 있습니다.
English (US) · 