처리정지[정보주체가 개인정보처리자를 상대로 과학적 연구, 통계, 공익적 기록보존 목적을 위한 개인정보의 가명처리를 정지할 것을 구하는 사건]

【원고, 피상고인】 원고 1 외 4인 (소송대리인 법무법인 두율 외 1인)<br/>【피고, 상고인】 ○○○ 주식회사 (소송대리인 법무법인(유한) 광장 외 1인)<br/>【원심판결】 서울고법 2023. 12. 20. 선고 2023나2009236 판결<br/>【주 문】<br/> 원심판결을 파기하고, 사건을 서울고등법원에 환송한다.<br/><br/>【이 유】 상고이유(상고이유서 제출기간이 지난 다음 제출된 상고이유보충서의 기재는 상고이유를 보충하는 범위에서)를 판단한다.<br/> 1. 사안의 개요 <br/> 원심판결의 이유 및 기록에 따르면 다음 사정을 알 수 있다.<br/> 가. 원고들은 정보통신서비스 제공자인 피고와 이동통신 서비스 이용계약을 체결한 사람들이다.<br/> 나. 피고는 위 계약을 체결하면서 원고들로부터 개인정보의 수집·이용 및 제3자 제공에 관한 동의서를 받아 원고들의 개인정보를 수집한 개인정보처리자이다.<br/> 다. 원고 1은 2020. 10. 19. 피고에게 "향후 원고 1의 개인정보를 피고 혹은 제3자의 과학적 연구, 통계, 공익적 기록보존의 목적으로 가명처리하는 것에 대한 처리정지를 요구한다."라는 내용의 이메일을 발송하였으나, 피고는 2020. 10. 30. 원고 1의 처리정지 요구를 거절하는 회신을 하였다.<br/> 라. 원고들은 2021. 2. 8. 피고를 상대로 "원고들의 개인정보를 「개인정보 보호법」 제28조의2에 정한 과학적 연구, 통계, 공익적 기록보존의 목적을 위하여 가명처리를 해서는 안 된다."라는 이유로 처리정지를 구하는 이 사건 소를 제기하였다.<br/> 2. 「개인정보 보호법」 제37조 제1항의 처리정지 요구 대상 여부(제1 상고이유 관련)<br/> 가. 원심의 판단<br/> 원심은 판시와 같은 이유로 「개인정보 보호법」 제28조의2에서 정한 통계작성, 과학적 연구, 공익적 기록보존의 목적을 위한 가명처리가 같은 법 제37조 제1항의 처리정지 요구의 대상에 포함된다고 판단하였다.<br/> 나. 대법원의 판단<br/> 그러나 원심의 판단은 다음과 같은 이유에서 그대로 수긍하기 어렵다. <br/> 1) 「개인정보 보호법」 제37조 제1항 제1문은 "정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다."라고 하여 처리정지의 대상이 개인정보에 대한 "처리"임을 전제로 하고 있고, 2020. 2. 4. 법률 제16930호로 개정되기 전의 구 「개인정보 보호법」 제2조 제2호는 "처리"를 ‘개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위’로 정의하였다. 그런데 2020. 2. 4. 법률 제16930호로 개정된 구 「개인정보 보호법」(2023. 3. 14. 법률 제19234호로 개정되기 전의 것) 제28조의2 제1항은 "개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다."라고 규정하여 가명정보의 활용범위를 정하였고, 같은 법 제2조는 "가명정보"를 ‘가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보’[제1호 (다)목]로, "가명처리"를 ‘개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것’(제1호의2)으로 정의함으로써 "가명처리"를 같은 법 제2조 제2호의 "처리"와는 별도로 규정하였다. <br/> 2) "가명처리"는 그 개념적 정의에 의하더라도 개인정보에 대한 식별의 위험성을 낮추는 방법이므로, 정보주체에 대한 권리 또는 사생활 침해의 위험을 발생시킬 수 있는 「개인정보 보호법」 제2조 제2호에서 규정한 여러 유형의 개인정보 "처리"와는 구별된다. 같은 법 제3조 제7항에서 "개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다."라고 규정한 것은 가명처리를 익명처리에 준하는 개인정보 보호조치로 분류한 것으로 볼 수 있다. 또한 "가명처리"는 더 이상의 처리가 가능하지 않도록 개인정보 자체를 삭제하거나 파쇄 또는 소각하는 개인정보의 파기와도 개념적으로 구분이 되는 행위이다. <br/>이러한 사정에다가 데이터 관련 신산업 육성이 범국가적 과제로 대두되고 인공지능, 클라우드, 사물인터넷 등 신기술을 활용한 데이터 이용이 필요한 상황에서 데이터의 이용을 활성화하기 위한 가명정보조항의 입법 취지를 고려하면, "가명처리"는 「개인정보 보호법」 제37조 제1항 제1문에서 처리정지 요구의 대상으로 정한 개인정보 "처리"에 해당하지 않는다고 보아야 한다. <br/> 3) 그럼에도 원심은 판시와 같은 이유만으로 가명처리가 「개인정보 보호법」 제37조 제1항 제1문의 처리정지 요구의 대상에 포함된다고 판단하였다. 이러한 원심의 판단에는 「개인정보 보호법」 제37조 제1항 제1문의 적용 범위에 관한 법리를 오해하여 판결에 영향을 미친 잘못이 있다.<br/> 3. 결론<br/> 나머지 상고이유에 관한 판단을 생략한 채 원심판결을 파기하고 사건을 다시 심리·판단하도록 원심법원에 환송하기로 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.<br/><br/>대법관 마용주(재판장) 노태악 서경환(주심) 신숙희