처리정지

【전문】

【원고, 피항소인】

원고 1 외 4인 (소송대리인 법무법인 덕수 외 2인)

【피고, 항소인】

○○○ 주식회사 (소송대리인 법무법인(유한) 광장 담당변호사 고환경 외 4인)

【제1심판결】

서울중앙지방법원 2023. 1. 19. 선고 2021가합509722 판결

【변론종결】

2023. 9. 22.

【주 문】

1. 제1심판결을 다음과 같이 변경한다.
피고는 원고들의 개인정보에 대하여, ‘개인정보 보호법 제28조의2(가명정보의 처리 등)에 따른 가명정보의 처리’를 위하여, 가명처리를 하여서는 아니 된다.
2. 소송 총비용은 피고가 부담한다.

【청구취지 및 항소취지】

1. 청구취지
피고는 원고들의 개인정보에 대하여, 개인정보 보호법 제28조의2(가명정보의 처리 등)에 따른 가명정보의 처리를 위하여, 가명처리를 하여서는 아니 된다.
2. 항소취지
제1심판결을 취소한다. 원고들의 각 청구를 모두 기각한다.

【이 유】

1. 제1심판결의 인용
이 법원의 판결 이유는, 아래 제2항과 같이 고치거나 덧붙이고 제3항과 같은 판단을 추가하는 것 외에는 제1심판결의 이유 기재와 같으므로, 민사소송법 제420조 본문에 의하여 이를 그대로 인용한다.
2. 고치거나 덧붙이는 부분
○ 제1심판결 5면 표 안 17행~6면 표 안 6행 부분을 다음과 같이 고친다.
『 제28조의7(적용범위)
제28조의2 또는 제28조의3에 따라 처리된 가명정보는 제20조, 제20조의2, 제27조, 제34조 제1항, 제35조, 제35조의2, 제36조 및 제37조를 적용하지 아니한다.
제37조(개인정보의 처리정지 등)
① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. 이 경우 공공기관에 대해서는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다.
② 개인정보처리자는 제1항에 따른 처리정지 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.
1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못한느 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우』
○ 제1심판결 6면 마지막행~7면 1행의 "(따라서 이와 달리 ~ 받아들이지 않는다)"를 다음과 같이 고친다.
『[피고는 "‘가명처리’는 정보주체의 권리침해 위험을 감소, 소멸시키는 ‘안전조치’의 성격을 가지므로 정보주체의 권리침해 위험을 발생, 증가시키는 개념을 의미하는 개인정보 보호법 제2조 제2호의 ‘처리’, 즉 ‘개인정보의 처리’에 해당한다고 할 수 없어 같은 법 제37조에 따라 그 정지를 요구할 수 없다, 개인정보 보호법이 ‘가명처리’를 ‘처리’와 별도의 조항에서 정의하고 제23조 제2항, 제24조 제3항 등에서 ‘가명처리’를 포괄하는 단어인 ‘안전성 확보에 필요한 조치‘와 ‘처리’ 단어를 병렬적으로 사용하고 있는 점 등에 비추어 보아도 ‘가명처리’는 처리정지 요구권의 대상인 ‘개인정보의 처리’와 구분되는 전혀 별개의 개념임을 알 수 있다"는 취지로 주장한다. 그러나 이 사건에서 문제가 되는(원고들이 정지를 구하고 있는) 가명처리는, 개인정보 보호법 제2조 제1호의2에서 정하고 있는 ‘가명처리’ 전부를 지칭하는 것이 아니라, 같은 법 제28조의2 제1항에 따른 ‘가명정보의 처리’를 위한 사전 준비단계의 일환으로 이루어지는 것으로, 그 이후에는 같은 법 제28조의2에 따른 가명정보의 처리(정보주체가 이에 동의하였는지, 이를 예측하였는지 여부와 무관하게 이루어질 수 있음)가 당연히 예정되어 있는데 그와 같은 가명정보의 처리는 뒤에서 보는 바와 같이 정보주체의 개인정보자기결정권에 대한 제한(정보주체가 처리의 정지를 요구할 수 없는 경우)에 해당하는 점, 가명정보의 처리를 위한 전 단계로서의 가명처리가 비록 안전조치의 성격도 갖는다고 하여도 그 기술의 취약성 등으로 인하여 안전성 확보의 정도가 불완전할 수 있는데다 가명처리하여 생성된 가명정보는 추가정보의 사용·결합 등에 의하여 정보주체에 대한 식별가능 위험이 존재하는 점(같은 법 제28조의4가 개인정보처리자로 하여금, 같은 법 제28조의2에 따른 가명정보의 처리를 위한 목적으로 가명처리를 한 이후에도, 가명정보에 대하여 안전성 확보에 필요한 기술적 ·관리적 및 물리적 조치를 하도록 요구하는 것도 위와 같은 위험 등에 대비할 필요성 때문으로 이해됨, 참고로 위와 같은 가명처리는 ① 가명정보 처리의 목적 설정 등 사전준비 → ② 처리 대상의 위험성 검토 → ③ 가명처리 수행 → ④ 가명처리 등의 적정성 검토 및 추가 가명처리 수행 → ⑤ 가명정보의 안전한 관리 단계로 이루어지는데, 위 같은 법 제28조의4에 따른 가명정보에 대한 안전성 확보 조치는 위 ⑤단계에 해당함), 이러한 측면에서 가명정보의 처리를 위한 전 단계로서의 가명처리가 순수하게 정보주체의 권리침해 위험을 감소, 소멸시키는 행위에만 해당한다고 평가하기는 어려운 점(반면 개인정보처리자가 ‘같은 법 제28조의2 이외의 법률적 근거’에 기초하여 개인정보를 처리하는 경우에 안전조치의 일환으로 취하는 가명처리는, 당초부터 개인정보의 처리가 가명처리 여부와 무관하게 확정되어 있거나 예측 가능한 상황에서 그에 따라 발생 가능한 정보주체의 권리침해 위험을 감소, 소멸시키기 위한 목적으로만 이루어지는 것인 만큼, 순수하게 정보주체의 권리침해 위험을 감소, 소멸시키는 행위에 해당한다고 평가하는 것이 타당해 보인다 , 다만 정보주체가 이와 같은 가명처리, 즉 안전조치의 일환으로 취하는 가명처리에 대하여도 스스로 정지를 요구하는 것이 허용되는지 여부는 가명처리로 인한 이익의 포기와 관련된 것으로 이와 별개의 문제이다), 한편 개인정보 보호법이 ‘가명처리’와 ‘처리’를 정의하고 있는 규정체계나 제23조 제2항 등에서 사용하고 있는 단어를 모두 살펴보아도 ‘개인정보 보호법 제28조의2 제1항 에 따른 가명정보의 처리를 위한 사전 준비단계의 일환’으로 이루어지는 ‘가명처리’가 ‘개인정보의 처리’와 구분되는 전혀 별개의 개념이라고 보기 어려운 점 등의 사정에 비추어, 피고의 위 주장은 받아들일 수 없다]』
○ 제1심판결 7면 2~8행의 "따라서 원고들은 ~ 필요가 있다."를 다음과 같이 고친다.
『따라서 원고들은 정보주체로서 개인정보 보호법 제37조 제1항에 따라 개인정보처리자인 피고에 대하여, ‘피고가 개인정보 보호법 제28조의2에 의하여 가명정보를 처리하기 위한 목적으로 자신들(원고들)의 개인정보를 가명처리하는 것’의 정지를 요구할 수 있으므로, 피고는 같은 법 제37조 제2항 본문에 따라 원고들의 처리정지 요구의 의사표시가 기재된 이 사건 소장 부본을 송달받음으로써 향후 원고들의 개인정보에 대하여, 같은 법 제28조의2에 따른 가명정보의 처리를 위하여, 가명처리를 하여서는 아니 될 의무가 있고, 피고가 이와 같은 의무의 존재 여부를 다투고 있어 임의의 이행을 기대하기 어려운 이상 원고들로서는 이를 미리 청구할 필요도 있다.』
○ 제1심판결 7면 중, ① 13~18행의 "개인정보 보호법은 ~ 있기는 하다."를 "개인정보 보호법은 2020. 2. 4. 법률 제16930호로 개정되고, 2023. 3. 14. 다시 법률 제19234호로 개정되었는데(이하 개정 전후의 개인정보 보호법을 구별하여 표기할 필요가 있는 경우에는 2020. 2. 4. 개정된 개인정보 보호법을 ‘2020. 2. 4. 개정된 개인정보 보호법’, 2023. 3. 14. 개정된 개인정보 보호법을 ‘2023. 3. 14. 개정된 개인정보 보호법’이라 하고, 2020. 2. 4. 개정되기 전 개인정보 보호법을 ‘구 개인정보 보호법’이라 한다), 2020. 2. 4. 개정된 개인정보 보호법은 ‘가명정보’에 관한 규정들을 신설하면서 제28조의7에서 ‘가명정보에 대하여는 제37조의 규정을 적용하지 않는다’는 취지로 규정하고 있고, 2023. 3. 14. 개정된 개인정보 보호법 또한 제28조의7에서 ‘제28조의2에 따라 처리된 가명정보에 대하여는 제37조의 규정을 적용하지 않는다’는 취지로 규정하고 있기는 하다."로, ② 밑에서 3행의 "갑 제7 내지 10호증의 각 기재"를 "갑 제7~10, 17호증, 을 제13호증의 각 기재"로 각 고친다.
○ 제1심판결 8면 중, ① 6행의 "타당하다" 다음에 "(2023. 3. 14. 개정된 개인정보 보호법 제28조의7이 개인정보 보호법 제37조의 적용이 배제되는 대상을 ‘제28조의2에 의하여 처리된’ ‘가명정보’로 개정하였는데, 위 ‘제28조의2에 의하여 처리된’ ‘가명정보’에 ‘가명처리’가 포함되지 않음은 문언상 분명하다)"로 고치고, ② 마지막 행의 "개인정보에 해당하고" 다음에 "(피고는 가명처리와 유사한 성격을 가지는 익명처리에 대하여 처리정지 요구권이 인정되지 않으므로 가명처리에 대하여도 처리정지 요구권이 인정되어서는 안 된다는 취지로 주장하나, 설령 익명처리에 대하여 처리정지 요구권이 인정되지 않는다고 하더라도, 앞서 본 바와 같이 가명정보는 개인정보에 해당하는 반면, 익명정보는 더 이상 개인정보에 해당하지 않으므로, 익명처리에 대하여 처리정지 요구권이 배제되는지와 가명처리에 대하여 처리정지 요구권이 배제되는지는 같은 차원의 것이 아니라고 판단되므로, 가명처리와 익명처리의 성격이 다소 유사하다는 점에 착안한 피고의 위 주장은 받아들일 수 없다)"를 덧붙인다.
○ 제1심판결 10면 3행의 "가명정보를"을 삭제한다.
○ 제1심판결 10면 4~10행의 "① 개인정보처리자의 ~ 동의 철회에 관한 권리(제39조의7)"을 "개인정보처리자의 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지의무(제20조), 영업양도 등에 따른 사전 통지의무(제27조), 개인정보 유출 통지의무(제34조)와 정보주체의 열람권(제35조), 정정·삭제에 관한 권리(제36조), 처리정지 요구권(제37조)"으로 고친다.
○ 제1심판결 10면 밑에서 4~1행의 ‘다)’ 부분을 다음과 같이 고친다.
『2020. 2. 4. 개정된 개인정보 보호법과 관련하여, ① ‘가명정보 처리 가이드라인’(2022. 4. 개인정보보호위원회 발행)에는 ‘가명정보 처리의 목적 설정 등 사전준비 단계와 관련하여 가명처리 대상 선정이 필요한데, 개인정보처리자는 정보주체가 자신의 개인정보에 대한 가명처리 정지를 요구한 경우 가명처리 대상 정보에서 해당 정보주체의 정보를 제외하고 선정해야 한다(개인정보 보호법 제37조), 개인정보처리자는 개인정보 보호법 제37조에 따라 정보주체가 자신의 개인정보에 대한 가명처리 정지를 요구하는 경우 이를 보장하여야 한다, 정보주체의 가명처리 정지를 요구 받았을 때에는 지체없이 해당 정보주체의 개인정보 처리의 전부 또는 일부를 정지하여야 한다, 다만 이미 해당 주체의 개인정보가 가명처리된 경우에는 가명처리 정지 요구가 적용되지 않으며, 해당 정보주체의 개인정보에 대해서는 향후 통계작성, 과학적 연구, 공익적 기록보존 등 목적으로 가명처리가 이루어지지 않도록 처리하여야 한다‘는 취지의 내용 이 있고, ② ‘개인정보 보호 법령 및 지침·고시 해설’(2020. 12. 개인정보보호위원회 발행)에는 ‘정보주체는 가명정보에 대하여 제37조에 따른 처리정지 요구권을 행사할 수 없다(제28조의7), 다만 정보주체는 자신의 정보가 가명정보로 처리되기 이전에는 자신의 개인정보에 대한 가명정지 처리를 요구할 수 있다’는 취지의 내용 이 있으며, ③ ‘보건의료 데이터 활용 가이드라인’(2020. 9. 개인정보보호위원회, 보건복지부 공동 발행)에도 ‘정보주체는 자신의 정보에 대한 가명처리 정지를 요구할 수 있다, 개인정보처리자는 가명처리 정지요구 방법과 절차를 마련하고 가명처리 정지요구를 받은 경우 개인정보 보호법 제37조에 따라 처리하여야 한다(가명처리 대상에서 제외 등)’는 취지의 내용 이 있다.
3. 추가 판단 부분
 
가.  피고의 주장 요지
개인정보처리자는 개정된 개인정보 보호법 제37조 제2항 제1호에 따라 ‘법률에 특별한 규정이 있거나’ ‘법령상 의무를 준수하기 위하여 불가피한 경우’에는 정보주체의 처리정지 요구를 거절할 수 있다. 그런데 같은 법 제28조의2 제1항의 규정이 개인정보처리자인 피고에게 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 개인정보를 가명정보로 생성할 수 있는 권리, 즉 가명처리권을 부여하고 있으므로, 피고는 같은 법 제37조 제2항 제1호에서 규정한 ‘법률에 특별한 규정이 있는 경우’에 해당하고, 따라서 원고들의 가명처리 정지 요구를 거절할 수 있다. 그렇지 않더라도 개인정보처리자인 피고는 같은 법 제28조의2 제1항에 따라 가명정보를 처리하기 위해서는 반드시 가명처리를 해야 하는바 결국 가명처리의무를 부과받고 있다고 할 수 있으므로, 피고는 같은 법 제37조 제2항 제1호에서 규정한 ‘법령상 의무를 준수하기 위하여 불가피한 경우’에 해당하고, 이에 따라서도 원고들의 가명처리 정지 요구를 거절할 수 있다.
 
나.  판단
1) 법률에 특별한 규정이 있는 경우에 해당한다는 주장에 관하여
각 개정된 개인정보 보호법 제37조 제2항 제1호에서 규정하는 ‘법률에 특별한 규정이 있는 경우’는 법률에서 개인정보처리자에게 일정한 개인정보의 처리를 구체적으로 요구하거나 허용하는 규정을 두고 있는 경우로 해석된다. 그런데 같은 법 제28조의2 제1항 규정은 개인정보처리자에게 통계작성, 과학적 연구 또는 공익적 기록보존을 위하여 ‘가명정보를 처리’할 수 있도록 허용하는 규정일뿐, ‘가명처리’를 구체적으로 요구하거나 허용하는 규정이라고 보기는 어렵다. 따라서 피고의 이 부분 주장은 받아들이기 어렵다.
2) 법령상 의무를 준수하기 위하여 불가피한 경우에 해당한다는 주장에 관하여
각 개정된 개인정보 보호법 제37조 제2항 제1호에서 규정하는 ‘법령상 의무를 준수하기 위하여 불가피한 경우’는 법령에서 개인정보처리자에게 일정한 의무를 부과하고 있고 해당 개인정보처리자가 그 의무를 이행하기 위해서는 불가피하게 어떠한 개인정보의 처리를 할 수밖에 없는 경우로 해석된다. 개인정보처리자인 피고에게 위 규정이 적용되기 위해서는 피고가 법령상 부과되는 일정한 의무를 이행하기 위하여 불가피하게 가명처리를 할 수밖에 없는 경우이어야 한다. 그런데 같은 법 제28조의2 제1항은 피고에게 통계작성, 과학적 연구 또는 공익적 기록보존을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있는 권리를 부여할 뿐 어떠한 의무를 부과하고 있지 않다. 피고가 같은 법 제28조의2 제1항에 따라 가명정보를 처리하기 위해서는 가명처리를 할 수밖에 없겠으나, 이와 같은 가명처리는 피고가 권리를 행사하기 위해 필요한 것이지, 법령상 부과되는 일정한 의무를 이행하기 위해 필요로 하는 것이 아니다. 따라서 피고의 이 부분 주장 또한 받아들이지 않는다.
4. 결론
원고들의 각 청구는 이유 있어 모두 인용하여야 한다. 이 부분에 관한 제1심판결은 정당하고, 이 부분에 대한 피고의 항소는 이유 없다. 다만, 제1심판결 중 원고의 청구취지를 초과하여 피고에게 원고들의 개인정보에 대한 모든 가명처리의 정지를 명한 부분(피고가, 개인정보 보호법 제28조의2에 의하여 가명정보를 처리하기 위한 목적과 무관하게, ‘그 이외의 목적 내지 사유로’ 원고들의 개인정보를 가명처리하는 것의 정지를 명하는 부분)은 처분권주의를 위반한 잘못이 있어 부당하므로, 이에 따라 제1심판결을 변경하기로 하여, 주문과 같이 판결한다.