우리에게 개인정보 결정권이 있는가? 사법부의 선택은

[미디어오늘 장선미 참여연대 공익법센터 운영위원(헌법학 박사)]

▲ 사진=Getty Images Bank

개인정보를 보호하면서도 데이터 활용을 촉진해야 한다는 건 대부분의 국가가 직면한 과제로 보인다. 문제는 그 균형을 누가, 어떤 기준으로 정하느냐다. 최근 대법원이 선고한 개인정보 관련 판결은 이 질문에 대해 사법부가 어떤 선택을 했는지를 분명히 보여준다.

대법원은 2025년 7월 18일 선고한 판결에서 정보주체가 자신의 개인정보에 대해 '가명처리 자체를 중단해 달라'고 요구할 수는 없다고 판단했다. 여기에서 말하는 '가명처리'란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다. 대법원은 이 판결에서 통계 작성이나 과학적 연구를 위한 가명처리는 개인정보 침해 위험을 줄이는 조치이므로, 헌법상 개인정보자기결정권의 통제 대상이 아니라는 것이다. 이는 1·2심이 인정했던 정보주체의 처리정지 요구권을 전면적으로 부정한 결론이다.

이러한 대법원의 판단에서 궁금해지는 것은 대법원이 헌법상 기본적 인권인 '개인정보자기결정권'을 어떻게 이해하고 있는가다. 개인정보자기결정권은 침해가 발생한 이후에만 구제를 요구할 수 있는 권리가 아니다. 헌법재판소가 누차 밝혀 왔듯이, 이 권리는 자신에 관한 정보가 언제, 어떤 방식으로, 어떤 범위에서 이용되는지를 스스로 결정할 수 있는 권리다. 권리의 핵심은 사후적 조치가 아니라 사전적 통제에 있다. 같은 맥락에서 개인정보 보호법은 정보주체의 사전 동의를 정보 이용의 기초로 삼고 있다.

'가명처리'는 개인정보 활용에서 중요한 전환점이다. 식별 가능한 개인정보가 새로운 법적 지위를 얻고, 정보주체의 동의 없이도 활용될 수 있는 출발선이 바로 가명처리이기 때문이다. 그럼에도 대법원은 이 결정적인 시점에서 정보주체의 의사를 완전히 배제했다. 자기결정권은 원칙적으로 인정하면서도, 정작 '결정'이 이루어지는 순간에는 침묵하라는 셈이다.

대법원의 논리는 가명처리가 오히려 개인정보를 더 안전하게 만드는 조치라는 데서 출발한다. 따라서 이를 막을 권리를 인정하면 데이터 활용을 허용한 입법 취지가 무력화된다는 것이다. 그러나 이 논리는 몇 가지 문제를 제기한다.

첫째, 가명처리라는 방식의 정보처리가 개인의 정보를 더 보호한다는 사법부의 판단이 정보주체의 결정을 배제하는 근거가 될 수 있는가. 개인정보자기결정권의 본질은 위험이 현실화된 이후에만 문제 삼을 수 있는 권리가 아니라, 자신의 정보가 어떤 방식으로 변형되고 활용되는지에 대해 사전에 통제할 수 있는 권리다. 이 통제권이 배제되는 순간, 자기결정권은 형식적인 권리로 축소된다. 정보주체는 자신의 정보가 가명처리되는 과정에서 무엇을 스스로 결정할 수 있는가?

둘째, 더 심각한 문제는 대법원이 이 판결에서 법률 문언을 넘어선 해석을 했다는 점이다. 개인정보 보호법은 '처리'를 매우 넓게 정의하고 있고, '가명처리'는 문언상 '처리'의 범주를 벗어나지 않는다. 또한 대법원은 가명처리가 이미 완료된 정보에 대해서 정보주체의 권리를 제한하는 규정을 근거로 들어, 아직 가명처리가 이루어지지 않은 개인정보에 대해서도 정보주체가 '가명처리하지 말라'고 요구할 수는 없다고 해석하였다. 헌법국가에서 산업 정책의 필요성이 기본권의 보호 범위를 사법부가 줄일 수 있는 정당한 근거가 될 수는 없다. 사법부는 입법자의 역할을 대신할 수 없으며, 해석을 통해 기본권의 내용을 재단하는 것도 사법부의 역할은 아니다.

데이터 경제 시대에 개인정보 보호가 어디까지 허용될 수 있는지를 결정하는 주체는 사법부가 아니다. 이러한 결정은 사회적 담론을 거쳐 입법부가 개인정보 보호법을 개정하는 방식으로 이루어져야 한다.

기술은 발전하지만, 그 발전이 헌법의 기준까지 함께 낮추어서는 안 된다. 데이터 활용의 필요성이 기본권의 내용과 범위를 재단하는 기준으로 작동하는 순간, 헌법은 더 이상 최고규범으로 기능할 수 없다.

바로 이러한 이유에서 데이터 활용을 둘러싼 논의는 언제나 헌법적 권리의 존중이라는 원칙 위에서, 공동체 차원에서 다시 점검되어야 한다. 특히 가명처리 여부를 결정하는 단계에서조차 정보주체의 의사가 고려되지 않는다면, 개인정보자기결정권은 실질적인 권리가 아니라 형식적인 선언에 머물게 되고, 더 이상 '자기'의 결정권이라 부르기 어렵다. 현재 이 사건은 파기환송되어 서울고등법원의 판단을 기다리고 있다. 그 결론이 개인정보자기결정권의 헌법적 의미를 어디까지 회복할 수 있을지 주목할 필요가 있다.