-
❤️💛대법원 2017. 4. 7. 선고 2016도13263 판결[개인정보보호법위반·정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등)]〈이른바 '경품 응모권 1mm 글씨 고지' 등 관련 형사사건..대법원 판례 - 민사 2023. 12. 30. 14:11
❤️💛대법원 2017. 4. 7. 선고 2016도13263 판결[개인정보보호법위반·정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등)]〈이른바 '경품 응모권 1mm 글씨 고지' 등 관련 형사사건〉 - 개인정보의 ‘제3자 제공’의 의미💛❤️
【판시사항】
[1] 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’의 의미 및 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지 판단하는 방법
[2] 개인정보 보호법 제17조와 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제24조의2에서 말하는 개인정보의 ‘제3자 제공’의 의미 및 개인정보 보호법 제26조와 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제25조에서 말하는 개인정보의 ‘처리위탁’의 의미 / 개인정보 처리위탁에 있어 수탁자가 개인정보 보호법 제17조와 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제24조의2에 정한 ‘제3자’에 해당하는지 여부(소극) / 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지 판단하는 기준
【판결요지】
[1] 개인정보자기결정권의 법적 성질, 개인정보 보호법의 입법 목적, 개인정보 보호법상 개인정보 보호 원칙 및 개인정보처리자가 개인정보를 처리함에 있어서 준수하여야 할 의무의 내용 등을 고려하여 볼 때, 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’이란 개인정보를 취득하거나 또는 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 개인정보 취득 또는 그 처리에 동의할지에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위를 뜻한다. 그리고 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지를 판단할 때에는 개인정보처리자가 그에 관한 동의를 받는 행위 자체만을 분리하여 개별적으로 판단하여서는 안 되고, 개인정보처리자가 개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴보아 거기에서 드러난 개인정보 수집 등의 동기와 목적, 수집 목적과 수집 대상인 개인정보의 관련성, 수집 등을 위하여 사용한 구체적인 방법, 개인정보 보호법 등 관련 법령을 준수하였는지 및 취득한 개인정보의 내용과 규모, 특히 민감정보·고유식별정보 등의 포함 여부 등을 종합적으로 고려하여 사회통념에 따라 판단하여야 한다.
[2] 개인정보 보호법 제17조 제1항 제1호, 제26조, 제71조 제1호, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라고 한다) 제24조의2 제1항, 제25조, 제71조 제3호의 문언 및 취지에 비추어 보면, 개인정보 보호법 제17조와 정보통신망법 제24조의2에서 말하는 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보 보호법 제26조와 정보통신망법 제25조에서 말하는 개인정보의 ‘처리위탁’은 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다. 개인정보 처리위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리·감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로, 개인정보 보호법 제17조와 정보통신망법 제24조의2에 정한 ‘제3자’에 해당하지 않는다.
한편 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리·감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다.
【참조조문】
[1] 헌법 제10조, 제17조, 개인정보 보호법 제1조, 제3조 제1항, 제15조, 제17조 제1항, 제2항, 제22조 제1항, 제59조 제1호, 제72조 제2호, 구 개인정보 보호법(2013. 8. 6. 법률 제11990호로 개정되기 전의 것) 제16조 제1항, 제2항(현행 제16조 제3항 참조) [2] 개인정보 보호법 제17조 제1항 제1호, 제26조, 제71조 제1호, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제24조의2 제1항, 제25조, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2016. 3. 22. 법률 제14080호로 개정되기 전의 것) 제71조 제3호(현행 제71조 제1항 제3호 참조)
【참조판례】
[2] 대법원 2011. 7. 14. 선고 2011도1960 판결(공2011하, 1675)
【전 문】
【피 고 인】 피고인 1 외 8인
【상 고 인】 검사
【변 호 인】 변호사 손지열 외 11인
【원심판결】 서울중앙지법 2016. 8. 12. 선고 2016노223 판결
【주 문】
원심판결을 파기하고, 사건을 서울중앙지방법원에 환송한다. 원심판결의 사건명 표시 “개인정보보호법위반”을 “가. 개인정보보호법위반, 나. 정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등)”으로 경정한다.
【이 유】
1. 이 사건 공소사실의 요지
가. 개인정보 취득 등으로 인한 개인정보 보호법 위반의 점
(1) 피고인 1, 피고인 2, 피고인 3, 피고인 4, 피고인 5, 피고인 6(이하 ‘피고인 1 등’이라고 한다)은 피고인 9 주식회사(이하 ‘피고인 9 회사’라고 한다)의 임직원들로서, 공소외 1 주식회사 및 공소외 2 주식회사(이하 각 ‘공소외 1 회사’, ‘공소외 2 회사’라고 한다)와 피고인 9 회사가 경품행사를 통해 취득하는 개인정보를 1건당 1,980원에 판매한다는 업무제휴약정을 각 체결하고, 경품행사를 가장하여 경품 당첨을 기대하고 응모하는 고객들의 개인정보를 수집하여 보험회사에 대가를 받고 팔아넘길 목적으로 경품행사를 기획·시행하기로 하였다.
피고인 1 등은 피고인 9 회사의 회원정보만으로는 보험회사에 판매할 충분한 개인정보를 확보할 수 없어 경품행사를 하게 되었다는 사실, 경품행사를 하는 목적이 경품행사를 가장하여 보험회사에 판매할 개인정보를 취득하는 것이라는 사실을 알면서도, 위와 같은 목적을 달성하기 위하여 각자의 직위에 따라 역할을 분담하여 경품행사를 통해 개인정보를 취득하기로 하였다.
피고인 1 등은 이에 따라 응모권 용지에 개인정보 수집 및 제3자 제공에 관한 내용을 약 1mm 크기로 인쇄하여 사실상 읽을 수 없도록 하여 응모자들로 하여금 어수선한 경품행사 현장에서 응모권에 있는 고가의 경품 사진에 현혹되어 무심코 동의를 하도록 하였다.
또 피고인 1 등은 경품행사에 필요한 범위를 넘어 개인정보를 수집하고, 그에 동의하지 않으면 경품 추첨에서 배제하였으며, 당첨자에게 연락하려는 노력을 게을리하거나 경품을 준비 또는 지급하지 않았고, 적법한 보험모집자가 아님에도 보험계약 체결 가능성이 있는 대량의 개인정보를 알선해 주고 그 대가를 받았다.
결국 피고인 1 등은 피고인 9 회사의 임직원으로서 아래 ①~④항 기재와 같이 공모하여 거짓이나 그 밖의 부정한 수단이나 방법으로 해당 범죄일람표 기재와 같이 경품행사 응모 고객들의 개인정보(성명·생년월일·휴대전화번호·자녀 수)를 취득하고 그 처리(제3자 제공)에 관한 동의를 받았다.
① 피고인 2, 피고인 3, 피고인 4: 2011년 12월경부터 2012년 8월경까지, 별지 범죄일람표(1-1)~(1-3), 3개 경품행사, 개인정보 2,986,247건
② 피고인 3, 피고인 4: 2012년 9월경부터 2013년 4월경까지, 별지 범죄일람표(1-4)~(1-6), 3개 경품행사, 개인정보 1,290,125건
③ 피고인 1, 피고인 3, 피고인 5: 2013년 7월경부터 2013년 11월경까지, 별지 범죄일람표(1-7)~(1-9), 3개 경품행사, 개인정보 1,698,457건
④ 피고인 1, 피고인 3, 피고인 6: 2013년 12월경부터 2014년 6월경까지, 별지 범죄일람표(1-10)~(1-11), 2개 경품행사, 개인정보 1,146,311건
(2) 피고인 9 회사는 위 (1)항 기재와 같이 그 대표자나 종업원인 피고인 1 등이 법인의 업무에 관하여 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하고 그 처리에 관한 동의를 받았다.
나. 개인정보 제공으로 인한 개인정보 보호법 위반 또는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 ‘정보통신망법’이라고 한다) 위반(개인정보 누설 등)의 점
(1) 개인정보처리자는 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공하여서는 아니 되고, 정보통신서비스 제공자는 이용자의 동의를 받지 아니하고 개인정보를 제3자에게 제공하여서는 아니 된다(사후동의 금지).
피고인 4, 피고인 5, 피고인 6 등은 피고인 9 회사의 영업방침에 따라 점포 또는 인터넷을 통해 가입한 피고인 9 회사 패밀리카드 회원들의 동의 없이 그 개인정보를 보험회사에 임의로 제공하여 판매하되, 해당 보험회사에서 그중 보험모집에 적당한 대상자를 선별하여 다시 건네주면 제3자 제공의 불법성을 희석시키기 위해 공소외 3 주식회사 등과 같은 콜센터를 통해 선별된 회원들에게 전화를 걸어 사후동의를 받는 편법을 동원하기로 하였다.
이에 따라 위 피고인들은 보험서비스팀 생명 파트장 공소외 4, 공소외 5 및 생명 파트원 공소외 6, 공소외 7, 공소외 8 등에게 지시하여 제3자 정보제공 동의가 되어 있지 않은 피고인 9 회사 패밀리카드 회원들 중 공소외 1 회사 및 공소외 2 회사에 제공할 대상자를 피고인 9 회사에서 운용하는 웹하드에 업로드하여 공소외 1 회사 및 공소외 2 회사에서 다운로드할 수 있도록 하는 방법으로 제공하기로 공모하여, 2011년 12월경부터 2014년 8월경까지 별지 범죄일람표(2-1), (2-2), (3-1), (3-2) 중 일부(자세한 내용은 생략한다) 기재와 같이 정보주체 또는 정보통신서비스 이용자인 피고인 9 회사 패밀리카드 회원들의 동의를 받지 아니하고 회원들의 성명·주민등록번호·연락처 등 개인정보 합계 4,195,321건(온라인 가입 개인정보 253건)을 피고인 7, 피고인 8 등에게 제공하였다.
(2) 피고인 9 회사는 위 (1)항 기재와 같이 그 종업원인 피고인 4, 피고인 5, 피고인 6 등이 법인의 업무에 관하여 2011년 12월경부터 2014년 8월경까지 별지 범죄일람표(2-1), (2-2), (3-1), (3-2) 기재와 같이 정보주체 또는 정보통신서비스 이용자의 동의를 받지 아니하고 성명·주민등록번호·연락처 등 개인정보 합계 4,438,632건(온라인 가입 개인정보 348건)을 피고인 7, 피고인 8 등에게 제공하였다.
(3) 피고인 7, 피고인 8 등은 피고인 9 회사가 정보주체 또는 정보통신서비스 이용자의 동의를 받지 아니하고 위와 같이 개인정보를 제공한다는 사정을 알면서도, 피고인 7은 2013년 2월경부터 2014년 8월경까지 별지 범죄일람표(2-1) 순번 1~207581, 별지 범죄일람표(2-2) 기재와 같이 피고인 9 회사 고객의 개인정보 1,841,585건(온라인 가입 개인정보 90건)을, 피고인 8은 2011년 12월경부터 2012년 8월경 및 2013년 6월경부터 2014년 8월경까지 별지 범죄일람표(3-1) 순번 1~335800, 715493~1018388, 별지 범죄일람표(3-2) 순번 608515~1513270 기재와 같이 피고인 9 회사 고객의 개인정보 1,543,452건(온라인 가입 개인정보 330건)을 각 제공받았다.
2. 개인정보 취득 등으로 인한 개인정보 보호법 위반의 점에 관하여
가. 원심의 판단
원심은 다음과 같은 이유로 이 부분 공소사실을 무죄로 판단한 제1심판결을 그대로 유지하였다.
(1) 피고인 1 등과 피고인 9 회사는 개인정보 보호법상 개인정보 수집 및 그 처리에 관한 동의를 받을 때 정보주체에게 알려야 하는 사항을 응모권에 모두 기재하였다.
(2) 피고인 9 회사가 개인정보를 ‘유상으로’ 제3자에게 제공한다는 사실까지 알려야 할 의무를 부담한다고 볼 수 없고, 그와 같은 사항은 응모자들의 동의 여부 결정에 영향을 미치는 핵심적인 사항으로 보이지도 않는다.
(3) 응모권에 기재된 약 1mm 크기의 글씨는 복권, 의약품 사용설명서 등 다양한 곳에서 통용되는 것으로 경품행사 응모자들도 읽을 수 있었던 것으로 보이고, 응모함 옆에 응모권 확대 사진을 부착한 점 등에 비추어 볼 때 피고인 9 회사가 의도적으로 글씨 크기를 작게 하여 그 내용을 읽을 수 없도록 방해하였다고 보기도 어려우며, 응모자들은 자신들의 개인정보가 보험회사에 마케팅 목적으로 제공된다는 사실을 충분히 인식할 수 있는 상태에서 그에 관한 동의를 하였다고 봄이 상당하다.
(4) 검사가 제출한 증거만으로는 피고인 9 회사가 경품을 지급할 의사가 없음에도 응모자들을 기망하여 개인정보 수집 등에 관한 동의를 받은 사실을 인정하기에 부족하고, 그 밖의 검사 주장도 모두 받아들이기 어렵다.
나. 대법원의 판단
(1) 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 그러한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다(대법원 2014. 7. 24. 선고 2012다49933 판결, 대법원 2016. 8. 17. 선고 2014다235080 판결 등 참조).
개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 2011. 3. 29. 법률 제10465호로 제정되어 2011. 9. 30.부터 시행된 개인정보 보호법은 개인정보처리자가 업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 수집·보유·이용·제공 등의 처리를 하는 경우에 준수하여야 할 의무에 관하여 규정하고 있다. 즉 개인정보처리자는 개인정보를 수집하는 경우에 그 목적에 필요한 최소한의 개인정보를 수집하여야 하고, 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다(제16조 제1항, 제2항). 그리고 개인정보처리자가 정보주체의 개인정보를 제3자에게 제공하는 경우에는 개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목 등을 정보주체에게 알리고 동의를 받아야 하는데(제17조 제1항, 제2항), 이때에 개인정보처리자는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알려야 한다(제22조 제1항).
또한 개인정보 보호법은 ‘개인정보를 처리하거나 처리하였던 자가 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받는 행위’를 금지하고(제59조 제1호), 이를 위반하여 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자’를 3년 이하의 징역 또는 3천만 원 이하의 벌금에 처하도록 규정하고 있다(제72조 제2호).
이와 같은 개인정보자기결정권의 법적 성질, 개인정보 보호법의 입법 목적, 개인정보 보호법상 개인정보 보호 원칙 및 개인정보처리자가 개인정보를 처리함에 있어서 준수하여야 할 의무의 내용 등을 고려하여 볼 때, 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’이라 함은 개인정보를 취득하거나 또는 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 개인정보 취득 또는 그 처리에 동의할지 여부에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위를 뜻한다고 봄이 타당하다. 그리고 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지 여부를 판단함에 있어서는 개인정보처리자가 그에 관한 동의를 받는 행위 그 자체만을 분리하여 개별적으로 판단하여서는 안 되고, 개인정보처리자가 개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴보아 거기에서 드러난 개인정보 수집 등의 동기와 목적, 수집 목적과 수집 대상인 개인정보의 관련성, 수집 등을 위하여 사용한 구체적인 방법, 개인정보 보호법 등 관련 법령을 준수하였는지 여부 및 취득한 개인정보의 내용과 규모, 특히 민감정보·고유식별정보 등의 포함 여부 등을 종합적으로 고려하여 사회통념에 따라 판단하여야 한다.
(2) 원심판결 이유와 원심이 적법하게 채택한 증거에 의하면 다음과 같은 사실을 알 수 있다.
① 피고인 9 회사는 2000년경부터 피고인 9 회사 패밀리카드 회원을 모집하면서 회원정보를 수집하였고, 2003년경부터 개인정보의 제3자 제공에 동의한 고객들에 대한 정보를 제휴카드사업자에게 제공하기 시작하였으며, 2007년경부터는 보험회사에 고객들의 개인정보를 판매하였다.
② 피고인 9 회사는 피고인 9 회사 패밀리카드 회원 가입신청서의 양식이 변경되는 등으로 인하여 보험회사들에 판매할 개인정보가 부족해지자, 신유통서비스본부 산하 보험서비스팀 주관으로 경품행사를 통해 개인정보를 수집하여 이를 판매하는 사업을 기획하였고, 이에 따라 2009년경부터 고객들에 대한 경품행사를 시작하였다.
③ 피고인 9 회사는 2011. 10. 27.경 공소외 1 회사, 2010. 6. 17.경 공소외 2 회사와 피고인 9 회사 고객들의 개인정보를 1건당 1,980원에 판매하기로 하는 업무제휴약정을 체결하였다. 이어서 피고인 9 회사는 2011년 12월경부터 2014년 6월경까지 11회에 걸쳐 경품행사(이하 ‘이 사건 경품행사’라고 한다)를 실시하였는데, 이를 통하여 경품행사에 응모한 고객들의 개인정보(성명, 생년월일 또는 주민등록번호, 휴대전화번호, 자녀 수, 부모님과 동거 여부 등) 합계 약 712만 건을 수집하고 그 처리(제3자 제공)에 관한 동의를 받았으며, 그중 약 600만 건을 공소외 2 회사와 공소외 1 회사 등에 판매함으로써 약 119억 원을 지급받았다.
④ 이 사건 경품행사는 벤츠 승용차, 다이아몬드 반지 등을 경품으로 내걸었고, 피고인 9 회사 매장을 방문하거나 물건을 구매하지 않는 사람도 응모할 수 있도록 되어 있다. 피고인 9 회사는 전단지, 인터넷 홈페이지, 물품구매 영수증 등을 통해 경품행사를 광고하였는데(이하 ‘이 사건 광고’라고 한다), 위와 같은 광고와 응모권(15cm×7cm크기) 앞면에는 경품 사진과 함께 커다란 글씨로 ‘창립 14주년 고객감사 대축제’, ‘그룹 탄생 5주년 기념’, ‘브라질 월드컵 승리 기원’, ‘피고인 9 회사가 올해도 10대를 쏩니다’ 등의 문구가 기재되어 있고, 응모권 뒷면과 인터넷 응모 화면에는 [개인정보 수집, 취급위탁, 이용동의]라는 제목하에 ‘수집/이용목적’은 ‘경품 추첨 및 발송, 보험마케팅을 위한 정보 제공, 피고인 9 회사 제휴상품 소개 및 제휴사에 대한 정보 제공 동의 업무’ 등이, [개인정보 제3자 제공]이라는 제목하에 ‘개인정보를 제공받는 자’는 ‘공소외 1 회사, 공소외 2 회사 등’이, ‘이용목적’은 “보험상품 등의 안내를 위한 전화 등 마케팅자료로 활용됩니다.”라는 내용 등이 약 1mm 크기의 글씨로 기재되어 있으며, 말미에는 “기재/동의 사항 일부 미기재, 미동의, 서명 누락 시 경품추첨에서 제외됩니다.”라는 사항이 붉은 글씨로 인쇄되어 있다.
(3) 위와 같은 사실관계를 앞서 본 법리에 비추어 살펴본다.
① 이 사건 경품행사의 기획 및 실시 경위 등을 살펴보면, 이 사건 경품행사의 목적은 피고인 9 회사 고객들의 매장 방문을 유도하여 매출을 증대하는 데 있다기보다 처음부터 고객들의 개인정보를 수집하여 이를 보험회사에 대가를 받고 판매하는 데 있었음을 알 수 있다. 그럼에도 이 사건 경품행사를 광고하기 위한 수단인 전단지, 인터넷 홈페이지 등에는 ‘창립 14주년 고객감사 대축제’, ‘그룹 탄생 5주년 기념’, ‘브라질 월드컵 승리 기원’, ‘피고인 9 회사가 올해도 10대를 쏩니다’ 등의 문구를 경품사진과 함께 큰 글씨로 전면에 배치하여 경품행사를 광고하고 있을 뿐이고, 피고인 9 회사가 소비자의 개인정보를 수집하고 이를 제3자에게 제공한다는 점에 관한 기재가 누락되어 있다. 따라서 일반적인 소비자가 이 사건 광고를 접하게 되는 경우 소비자들은 오로지 고객에 대한 사은행사의 일환으로 경품행사를 실시하는 것으로 받아들일 가능성이 크다. 그런데 소비자의 입장에서는 이 사건 경품행사가 아무런 대가 없이 이루어지는 단순 사은행사인지 아니면 자신의 개인정보를 수집하여 보험회사 등 제3자에게 제공하는 대가로 경품을 제공하는 행사인지 여부가 이 사건 경품행사에 응모할지 여부에 영향을 미치는 중대한 요소라고 보인다. 따라서 피고인 9 회사가 이 사건 경품행사를 진행하면서 위와 같은 목적을 은폐하고 광고한 것은 ‘표시·광고의 공정화에 관한 법률’ 제3조 제1항 제2호에서 말하는 ‘소비자를 속이거나 소비자로 하여금 잘못 알게 할 우려가 있는 광고 행위’에 해당한다.
② 이 사건 경품행사에 응모한 고객들은 응모권 뒷면과 인터넷 응모화면에 기재되어 있는 ‘개인정보 수집 및 제3자 제공 동의’ 등 사항이 경품행사 진행을 위하여 필요한 것으로 받아들일 가능성이 크다. 그런데 응모권에 따라서는 경품추첨 사실을 알리는 데 필요한 개인정보와 관련 없는 ‘응모자의 성별, 자녀 수, 동거 여부’ 등 사생활의 비밀에 관한 정보와 심지어는 주민등록번호와 같은 고유식별정보까지 수집하면서 이에 관한 동의를 하지 않을 때에는 응모가 되지 아니하거나 경품 추첨에서 제외된다고 고지하고 있다. 이는 개인정보처리자가 정당한 목적으로 개인정보를 수집하는 경우라 하더라도 그 목적에 필요한 최소한의 개인정보 수집에 그쳐야 하고 이에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 안 된다는 개인정보 보호 원칙(개인정보 보호법 제3조 제1항)과 개인정보 보호법 규정에 위반되는 것이다.
③ 더욱이 이 사건 경품행사를 위하여 사용된 응모권에 기재된 동의 관련 사항은 약 1mm 크기의 글씨로 기재되어 있어 소비자의 입장에서 보아 그 내용을 읽기가 쉽지 않다. 여기에 더하여 이 사건 광고를 통하여 단순 사은행사로 오인하고 경품행사에 응모하게 된 고객들의 입장에서는 짧은 시간 동안 응모권을 작성하거나 응모화면에 입력을 하면서 그 내용을 정확히 파악하여 잘못된 인식을 바로잡기가 어려울 것으로 보인다. 이러한 조치는 개인정보처리자가 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 하여야 한다는 개인정보 보호법상의 의무를 위반한 것이다.
이상에서 살펴본 것처럼, 피고인들이 이 사건 광고 및 경품행사의 주된 목적을 숨긴 채 사은행사를 하는 것처럼 소비자들을 오인하게 한 다음 경품행사와는 무관한 고객들의 개인정보까지 수집하여 이를 제3자에게 제공한 점, 피고인들이 이와 같은 행위를 하면서 개인정보 보호법상의 개인정보 보호 원칙 및 제반 의무를 위반한 점, 피고인들이 수집한 개인정보에는 사생활의 비밀에 관한 정보나 심지어는 고유식별정보 등도 포함되어 있는 점 및 피고인들이 수집한 개인정보의 규모 및 이를 제3자에게 판매함으로써 얻은 이익 등을 종합적으로 고려하여 보면, 피고인들은 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자’에 해당한다고 보는 것이 옳다.
(4) 그럼에도 원심은 그 판시와 같은 이유만으로 이 부분 공소사실을 무죄로 판단하였으니, 원심판결에는 개인정보 보호법 제59조 제1호, 제72조 제2호에 정한 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받는 행위’에 관한 법리를 오해하고 필요한 심리를 다하지 아니하여 판결에 영향을 미친 잘못이 있고, 이 점을 지적하는 검사의 상고이유 주장은 이유 있다.
3. 개인정보 제공으로 인한 개인정보 보호법 위반, 정보통신망법 위반(개인정보 누설 등)의 점에 관하여
가. 원심의 판단
피고인들은, 피고인 9 회사가 이 부분 공소사실 기재와 같이 개인정보 데이터베이스를 공소외 1 회사와 공소외 2 회사에 제공한 것은, 정보주체의 동의가 필요한 개인정보의 제3자 제공에 해당하는 것이 아니라, 개인정보 데이터베이스 중 이른바 퍼미션 콜에 필요한 대상자를 미리 선별하는 피고인 9 회사의 업무를 위 보험회사들에 처리위탁한 것에 불과하므로 정보주체의 동의가 필요 없다고 주장하였다. 원심은 다음과 같은 이유로 피고인들의 위와 같은 주장을 받아들여 이 부분 공소사실을 무죄로 판단한 제1심판결을 그대로 유지하였다.
이른바 퍼미션 콜 업무나 그에 부수하여 퍼미션 콜 대상자를 선별하는 업무인 사전필터링은 피고인 9 회사의 업무이고, 사전필터링에 따른 경제적 이익은 퍼미션 콜에 드는 시간과 비용을 절약할 수 있는 피고인 9 회사에 귀속되었을 뿐 사전필터링을 통해 공소외 1 회사와 공소외 2 회사가 유의미한 경제적 이익을 얻었다고 볼 수 없다. 그 밖에 위 보험회사들이 단순히 사전필터링을 해주기 위한 용도로 이전받은 개인정보 데이터베이스를 그 목적 범위 내에서 기계적으로 필터링한 후 위 데이터베이스를 자신들의 시스템에서 삭제하고 다른 용도로 사용하지 않은 점 등에 비추어 볼 때, 사전필터링에 있어 공소외 1 회사와 공소외 2 회사는 피고인 9 회사를 위하여 피고인 9 회사의 퍼미션 콜 업무 일부를 수행한 수탁자로서의 지위를 가질 뿐, 개인정보 보호법 제17조와 정보통신망법 제24조의2에 정한 ‘제3자’로서의 지위를 가진다고 볼 수 없다.
나. 대법원의 판단
(1) 원심이 유지한 제1심판결 이유와 원심이 적법하게 채택한 증거에 의하면 다음과 같은 사실을 알 수 있다.
① 피고인 9 회사는 경품행사를 통해 수집한 개인정보와 피고인 9 회사 패밀리카드 회원에 가입하면서 개인정보 제3자 제공에 동의한 고객들의 개인정보를 보험회사에 제공해 오다가, 패밀리카드 회원 중 아직 개인정보 제3자 제공에 동의하지 않은 고객에 대하여도 피고인 9 회사와 위탁계약이 체결된 공소외 3 주식회사(이하 ‘공소외 3 회사’라고 한다)의 상담원들이 전화를 걸어 제3자 제공 동의를 얻은 후(이른바 퍼미션 콜) 이를 공소외 1 회사와 공소외 2 회사 등 보험회사에 제공하기 시작하였다(이른바 퍼미션 DB). 이후 위 보험회사들은 피고인 9 회사로부터 제공받은 개인정보 데이터베이스를 자신들이 보유한 개인정보 데이터베이스와 비교·분석하여, 그중 ㉮ 위 각 보험회사에 보험 안내 전화를 받지 않겠다는 의사를 밝힌 사람, ㉯ 위 각 보험회사와 이미 보험계약을 체결하였거나 3~6개월 내에 보험 텔레마케팅 통화를 한 적이 있는 사람, ㉰ 위 각 보험회사의 블랙리스트에 등록된 사람(경우에 따라 보험계약이 해지·실효된 사람, 보험료 미납자, 특정 질병 등으로 인해 보험가입이 부적절한 사람 등이 포함됨) 등을 걸러내는 작업(이른바 필터링 작업)을 수행하고, 남은 고객들에 대해서만 피고인 9 회사에 수수료를 지급하고 그들을 대상으로 보험 텔레마케팅 영업을 하였다.
② 피고인 9 회사는 퍼미션 콜 업무를 공소외 3 회사에 위탁하고, 개인정보 제3자 제공에 관한 동의를 받은 고객 1인당 1,700원을 수수료로 지급하기로 하였으나, 보험회사의 필터링을 통해 걸러진 개인정보에 대해서는 수수료를 지급하지 않았다.
③ 피고인 9 회사는 공소외 1 회사와 2009. 2. 27.자 업무제휴계약, 2009. 10. 1.자 업무제휴 부속계약, 2010. 6. 11.자 업무제휴 부속계약을 체결하였고, 공소외 2 회사와 2011. 6. 20.자 업무제휴계약 부속약정을 체결하였다. 위 각 계약 또는 약정에는 퍼미션 콜 업무가 보험회사의 텔레마케팅을 위하여 필요한 ‘보험 텔레마케팅 지원 업무’로 규정되어 있었다. 그 구체적인 내용은, 공소외 1 회사와 공소외 2 회사가 피고인 9 회사 고객들을 상대로 보험 텔레마케팅을 할 수 있도록, 피고인 9 회사가 자신의 고객들에게 위 보험회사들로부터 보험 관련 상담을 받을 의사가 있는지 여부와 개인정보 제3자 제공에 동의하는지 여부를 확인하여 그에 동의한 고객의 개인정보를 건당 2,800원에 위 보험회사들에 제공하는 것이다. 다만 이미 위 보험회사들과 보험계약이 체결되어 있거나 3~6개월 내에 보험 텔레마케팅 통화를 한 적이 있는 고객 등은 수수료 산정에서 제외하였다.
④ 위와 같은 수수료 산정 방식으로 인하여 피고인 9 회사는 보험회사에 제공한 퍼미션 DB 중 보험회사가 필터링을 통해 걸러내는 개인정보 비율을 줄이기 위하여 보험회사에 필터링 조건을 완화해 달라고 요구하는 등 노력을 하였으나, 필터링을 거치고 남은 유효 데이터베이스의 비율이 점차 줄어드는 등 수익성이 악화되었다. 이에 피고인 9 회사가 공소외 2 회사와 공소외 1 회사에 이른바 사전필터링을 제안하게 되었는데, 그 내용은 피고인 9 회사의 입장에서는 종전에 보험회사가 제3자 제공 동의를 받은 개인정보 데이터베이스를 건네받은 이후에 시행하던 필터링 절차를 고객들로부터 제3자 제공 동의를 받기 전에 시행하게 되면 불필요한 퍼미션 콜 절차를 줄일 수 있는 이점이 있고, 보험회사로서도 어차피 거쳐야 할 필터링 절차를 미리 시행하는 불편밖에 없으니 필터링을 사전에 시행하도록 해 달라는 것이었고, 공소외 1 회사와 공소외 2 회사가 위와 같은 요청을 받아들였다.
⑤ 이에 따라 피고인 4, 피고인 5, 피고인 6 등은 사전필터링을 위해 2011. 12.경부터 2014. 8.경까지 피고인 7, 피고인 8 등에게 이 부분 공소사실 기재와 같이 개인정보를 제공하였다. 공소외 1 회사와 공소외 2 회사는 피고인 9 회사의 웹하드를 통해 제공받은 개인정보 데이터베이스를 필터링하여(사전필터링) 다시 위 웹하드에 업로드하였고, 피고인 9 회사는 그 데이터베이스를 가지고 퍼미션 콜 작업을 수행한 후 동의를 받은 고객들의 개인정보를 다시 위 보험회사들에 제공하였다. 한편 공소외 1 회사와 공소외 2 회사는 사전필터링을 마친 개인정보 데이터베이스를 피고인 9 회사 웹하드에 업로드한 후 자신들의 시스템에서는 이를 모두 삭제하였다.
(2) 개인정보 보호법 제71조 제1호는 제17조 제1항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자를 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다고 규정하고 있다. 그리고 정보통신망법 제71조 제3호는 제24조의2 제1항을 위반하여 이용자의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자를 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다고 규정하고 있다. 한편 개인정보 보호법 제26조와 정보통신망법 제25조는 개인정보처리자와 정보통신서비스 제공자의 개인정보 처리업무 위탁에 관한 내용을 정하고 있다.
위 각 법률 조항의 문언 및 취지에 비추어 보면, 개인정보 보호법 제17조와 정보통신망법 제24조의2에서 말하는 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보 보호법 제26조와 정보통신망법 제25조에서 말하는 개인정보의 ‘처리위탁’은 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다. 개인정보 처리위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리·감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로, 개인정보 보호법 제17조와 정보통신망법 제24조의2에 정한 ‘제3자’에 해당하지 않는다.
한편 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리·감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다.
(3) 앞서 본 사실관계 및 기록에 나타난 다음과 같은 사정을 위와 같은 법리에 비추어 살펴보면, 공소외 1 회사와 공소외 2 회사는 단순한 수탁자로서가 아니라 자신들의 독자적인 이익과 업무 처리를 위하여 피고인 9 회사로부터 개인정보를 제공받은 ‘제3자’에 해당하고, 피고인 4, 피고인 5, 피고인 6이 피고인 7, 피고인 8에게 사전필터링을 위해 개인정보를 이전해준 행위는 개인정보 보호법 및 정보통신망법에서 말하는 개인정보 제3자 제공에 해당한다고 보는 것이 옳다.
① 이 부분 공소사실에 기재된 피고인 9 회사 패밀리카드 회원들의 성명·주민등록번호·연락처 등 개인정보는 실질적으로 보험회사들인 공소외 1 회사와 공소외 2 회사가 보험마케팅 영업을 하는 데 필요한 것이다.
② 공소외 1 회사와 공소외 2 회사가 한 필터링은 위 각 보험회사의 보험가입자나 블랙리스트에 올라 있는 사람 등을 걸러냄으로써, 즉 보험상품 판매에 적합한 대상자를 선정함으로써 보험 텔레마케팅의 효율을 높이기 위한 것이므로 위 보험회사들의 업무에 해당하고, 사전필터링의 경우에도 위와 같은 필터링 업무의 목적이나 성격 자체가 변한다고 보기 어렵다. 또한 앞서 본 퍼미션 콜의 구체적인 내용 등에 비추어 볼 때 퍼미션 콜 업무도 위 보험회사들의 보험 텔레마케팅 업무를 분담·지원하는 성격을 가지므로, 설령 사전필터링을 퍼미션 콜 업무의 부수업무로 보더라도 이를 온전히 피고인 9 회사의 업무라고 보기는 어렵다. 그렇다면 사전필터링 업무는 피고인 9 회사의 업무임과 동시에 위 보험회사들의 업무로서의 성격을 가지고, 위 보험회사들은 위와 같은 업무 처리에 관하여 독자적인 이익을 가진다고 볼 수 있다.
③ 공소외 1 회사와 공소외 2 회사 담당 직원들은 일단 사전필터링에 필요한 개인정보 데이터베이스를 각자의 업무용 컴퓨터에 다운로드 받은 후에는 이를 자유롭게 복사, 편집, 이용, 전송할 수 있었고, 피고인 9 회사는 그에 관하여 아무런 관리·감독을 하지 않았던 것으로 보이며, 피고인 9 회사가 위 보험회사들에 명확한 필터링 기준을 정해준 것으로 보이지도 않는다.
(4) 그럼에도 원심은 그 판시와 같은 이유만으로 이 부분 공소사실을 무죄로 판단하였으니, 원심판결에는 개인정보 보호법과 정보통신망법에 정한 개인정보의 ‘제3자 제공’과 그 ‘처리위탁’의 구별에 관한 법리 등을 오해하고 필요한 심리를 다하지 아니하여 판결에 영향을 미친 잘못이 있다. 이 점을 지적하는 검사의 상고이유 주장은 이유 있다.
4. 이 사건 공소사실 중 전자적 형태의 문서에 의해 범죄일람표가 제출된 부분에 관한 직권 판단
가. 검사가 공소사실의 일부인 범죄일람표를 컴퓨터 프로그램을 통하여 열어보거나 출력할 수 있는 전자적 형태의 문서(이하 ‘전자문서’라고 한다)로 작성한 다음, 종이문서로 출력하지 않고 전자문서가 저장된 저장매체 자체를 서면인 공소장에 첨부하여 제출한 경우에는, 서면인 공소장에 기재된 부분에 한하여 적법하게 공소가 제기된 것으로 보아야 한다. 따라서 검사가 전자문서나 저장매체를 이용하여 공소를 제기한 경우, 법원은 저장매체에 저장된 전자문서 부분을 제외하고 서면인 공소장에 기재된 부분만으로 공소사실을 판단하여야 한다. 만일 그 기재 내용만으로는 공소사실이 특정되지 않은 부분이 있다면 검사에게 특정을 요구하여야 하고, 그런데도 검사가 특정하지 않는다면 그 부분에 대해서는 공소를 기각할 수밖에 없다(대법원 2016. 12. 15. 선고 2015도3682 판결 등 참조).
나. 검사는 공소장에 별지로 범죄일람표(1-1)~(1-11), (2-1), (2-2), (3-1), (3-2)와 CD를 첨부하였다. 그런데 그 CD에는 위 범죄일람표 15개가 각각 엑셀파일 형태로 저장되어 있고, 각 엑셀파일에는 공소장에 기재된 개수의 개인정보(피해자의 성명, 생년월일, 연락처 등)가 빠짐없이 기재되어 있는 반면, 종이문서로는 위 각 범죄일람표 중 첫 두 장과 마지막 두 장씩만 첨부되어 있다.
다. 먼저, 공소장에 첨부된 CD나 그것에 저장된 엑셀파일은 공소장의 일부인 ‘서면’이라고 할 수 없으므로, 위 엑셀파일에 기재된 부분까지 적법하게 공소가 제기된 것으로 볼 수 없다.
다음으로, 위 각 개인정보 보호법 위반죄와 정보통신망법 위반(개인정보 누설 등)죄는 원칙적으로 정보주체 또는 정보통신서비스 이용자별로 각각 별개의 죄를 구성한다. 그러므로 이 사건 공소사실 중 공소장에 종이문서로 첨부된 각 범죄일람표에 정보주체와 개인정보 내역 등이 기재되어 있는 부분은 공소사실이 구체적으로 특정되었다고 할 것이나, 그 나머지 부분, 즉 공소장에 범행 시기와 종기, 취득하거나 제공한 개인정보의 종류와 건수 등만 기재되어 있고 범죄일람표가 CD로만 제출되어 있는 부분은 정보주체가 누구인지 또는 피고인들이 취득하거나 제공하고 제공받은 개인정보의 내용이 무엇인지 등을 전혀 알 수 없어 공소사실이 특정되었다고 할 수 없다.
그렇다면 원심으로서는 검사에게 이 사건 공소사실 중 위와 같이 특정되지 않은 부분을 특정할 것을 요구하고, 만일 검사가 이를 특정하지 않으면 그 부분에 대한 공소를 기각하였어야 한다. 그런데도 원심은 이러한 조치를 취하지 않은 채 이 부분에 대해서도 실체판단을 하였다. 이러한 원심의 조치에는 공소제기 방식과 공소사실 특정에 관한 법리를 오해하여 판결에 영향을 미친 잘못이 있다.
5. 결론
원심판결 중 공소사실이 특정되지 않은 부분에 관해서는 직권파기 사유가 있고, 그 나머지 부분에 관해서는 개인정보 보호법 또는 정보통신망법에 관한 법리를 오해하는 등의 잘못이 있다.
그러므로 원심판결을 파기하고 사건을 다시 심리·판단하도록 원심법원에 환송하기로 하되, 원심판결에 잘못된 기재가 있음이 분명하므로 형사소송규칙 제25조에 따라 이를 경정하기로 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.
대법관 박병대(재판장) 박보영 권순일(주심) 김재형
(출처: 대법원 2017. 4. 7. 선고 2016도13263 판결 [개인정보보호법위반·정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등)] > 종합법률정보 판례)
=====================유사 고법 판례
서울고법 2023. 9. 1. 선고 2022누54360 판결 - [시정조치명령처분취소의소]
【판시사항】
통신판매중개업을 영위하는 갑 주식회사가 회원들(판매자와 구매자)에게 온라인공간에서 상품을 거래할 수 있는 플랫폼을 제공하고, 회원 가입 및 주문·결제 시 ‘개인정보 제3자 제공’에 동의한 구매자의 개인정보를 판매자에게 제공하며, 판매자는 이를 이용하여 구매자에게 상품을 배송했는데, 개인정보보호위원회가 갑 회사는 개인정보 보호법상 ‘개인정보처리자’에, 판매자는 ‘개인정보취급자’에 해당한다는 전제에서, 판매자가 외부에서 오픈마켓 접속 시 안전한 인증수단을 적용하지 않은 것이 개인정보 보호법 제29조 등 위반행위에 해당한다는 이유로, 갑 회사에 판매자에 대한 안전한 인증수단 적용 및 정기교육 실시 등의 시정조치를 명한 사안에서, 오픈마켓의 판매자는 갑 회사의 지휘·감독을 받아 개인정보를 처리하는 ‘개인정보취급자’에 해당한다고 보기 어려우므로, 판매자가 개인정보취급자라는 전제에서 시정조치를 명한 위 처분이 위법하다고 한 사례
【판결요지】
통신판매중개업을 영위하는 갑 주식회사가 회원들(판매자와 구매자)에게 온라인공간에서 상품을 거래할 수 있는 플랫폼을 제공하고, 회원 가입 및 주문·결제 시 ‘개인 정보 제3자 제공’에 동의한 구매자의 계정(ID), 성명, 전화번호, 휴대전화 번호, 배송지 주소 등 개인정보를 판매자에게 제공하며, 판매자는 이를 이용하여 구매자에게 상품을 배송했는데, 개인정보보호위원회가 갑 회사는 개인정보 보호법상 ‘개인정보처리자’에, 판매자는 갑 회사의 지휘·감독을 받아 개인정보를 처리하는 ‘개인정보취급자’에 해당한다는 전제에서, 판매자가 외부에서 오픈마켓 접속 시 계정(ID)과 비밀번호만으로 접속할 수 있도록 하고 추가로 안전한 인증수단을 적용하지 않은 것이 개인정보 보호법 제29조, 개인정보 보호법 시행령 제48조의2 등을 위반한 행위에 해당한다는 이유로, 갑 회사에 판매자에 대한 안전한 인증수단 적용 및 정기교육 실시 등의 시정조치를 명한 사안이다.
개인정보 보호법은 물론 개인정보보호위원회 스스로 고시한 표준 개인정보 보호지침의 문언에 비추어 보면, ‘개인정보취급자’는 “개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서” “임직원, 파견근로자, 시간제근로자 등”을 의미하는 것으로서, 반드시 개인정보처리자와 고용계약을 체결한 자로 한정되는 것은 아니지만, 적어도 법령 또는 계약상 개인정보처리자의 의사에 따라 개인정보처리자를 위하여 그 지휘·감독 아래 업무를 집행하는 자를 의미하는 점, 실제로 개인정보 보호법령 등에 개인정보처리자가 개인정보취급자에 대한 실질적인 지휘·감독 권한을 가지고 있음을 전제로 하는 다수의 규정을 두고 있는 점, 판매자는 정보통신서비스 제공자인 갑 회사로부터 이용자(구매자)의 개인정보를 제공받은 자로서 개인정보 보호법 제29조, 개인정보 보호법 시행령 제48조의2 제1항 제1호 (나)목 등에 따라 자신(판매자)의 지휘·감독을 받는 개인정보취급자를 관리·감독할 의무를 부담하므로 갑 회사와는 별개의 개인정보처리자에 해당하는 점, 판매자가 외부사용자로서 갑 회사의 서비스를 이용하는 범위 내에서 약관에서 정한 바에 따라 계약상의 제약을 받는다는 점만으로 종속적인 관계에서 갑 회사의 지휘·감독을 받는다고 볼 수 없는 점, 개인정보처리자로부터 개인정보를 제공받은 ‘제3자’와 ‘개인정보취급자’는 서로 양립할 수 없는 별개의 지위라고 보는 것이 타당하고, 판매자는 처음부터 갑 회사로부터 개인정보를 제공받은 ‘제3자’였을 뿐 이와 동시에 갑 회사의 ‘개인정보취급자’의 지위를 가진다고 볼 수 없는 점 등을 종합하면, 오픈마켓의 판매자는 갑 회사로부터 개인정보처리시스템에 대한 접근권한을 부여받음으로써 구매자의 개인정보를 제공받아 자신의 업무를 위하여 스스로의 의사에 따라 개인정보를 처리 및 이용하는 ‘제3자’일 뿐 갑 회사의 지휘·감독을 받아 개인정보를 처리하는 ‘개인정보취급자’에 해당한다고 보기 어려우므로, 판매자가 갑 회사의 지휘·감독 대상인 개인정보취급자라는 전제에서 시정조치를 명한 위 처분이 위법하다고 한 사례이다.
【참조조문】
개인정보 보호법 제2조 제5호, 제28조 제1항, 제29조, 제64조 제1항, 개인정보 보호법 시행령 제48조의2
【전 문】
【원고, 피항소인】 주식회사 지마켓(변경 전 상호: 지마켓글로벌 유한책임회사) (소송대리인 법무법인(유한) 광장 담당변호사 고범석 외 1인)
【피고, 항소인】 개인정보보호위원회 (소송대리인 법무법인 민후 담당변호사 김경환 외 1인)
【제1심판결】 서울행법 2022. 7. 8. 선고 2021구합78848 판결
【변론종결】
2023. 6. 23.
【주 문】
1. 피고의 항소를 기각한다.
2. 항소비용은 피고가 부담한다.
【청구취지 및 항소취지】
1. 청구취지
피고가 2021. 6. 25. 원고에 대하여 한 별지 1 기재 시정조치명령을 취소한다.
2. 항소취지
제1심판결을 취소한다. 원고의 청구를 기각한다.
【이 유】
1. 처분의 경위
이 법원이 이 부분에 관하여 설시할 판결의 이유는, 아래와 같이 고쳐 쓰거나 추가하는 외에는, 제1심판결의 해당 부분 기재와 같으므로 행정소송법 제8조 제2항, 민사소송법 제420조 본문에 의하여 이를 그대로 인용한다.
○ 제1심판결문 제2쪽 제5행의 “(변경 전 상호: 이베이코리아 유한책임회사)” 부분을 “(그 상호가 이베이코리아 유한책임회사, 지마켓글로벌 유한책임회사, 원고로 순차 변경되었다)”로 고쳐 쓴다.
○ 제1심판결문 제2쪽 제13~14행의 “기재한다” 부분을 “기재하되, 아래 표시 중 ‘회사’는 ‘원고’를 의미한다”로 고쳐 쓴다.
○ 제1심판결문 제2쪽 표 안의 제1행 위에 다음과 같은 내용을 추가한다.
『제1조(목적)
이 약관은 회사가 운영하는 ‘G마켓’ 인터넷 오픈마켓 사이트(이하 ‘G마켓’이라 함)와 스마트폰 등 이동통신기기를 통해 제공되는 ‘G마켓’ 모바일 애플리케이션(이하 ‘모바일G마켓’이라 함)에 판매회원으로 가입하여 전자상거래 관련 판매 서비스 및 기타 서비스(이하 ‘서비스’라 함)를 이용하는 자 간의 권리, 의무를 확정하고 이를 이행함으로써 상호 발전을 도모하는 것을 그 목적으로 합니다.
제2조의1(회사의 일반적 준수사항)
2. 회사는 판매회원에게 가격인하, 기획전 참여 등을 부당하게 강요하지 않습니다.
3. 회사는 판매회원 간 수수료 및 판매촉진서비스 이용료를 다르게 정하지 않습니다.
4. 회사는 판매회원이 다른 오픈마켓사업자와 거래하지 못하게 하거나 다른 오픈마켓사업자와 거래한다는 이유로 판매회원에게 불이익을 제공하지 않습니다.
제3조(용어의 정의)
1. 이 약관에서 사용하는 용어의 정의는 다음과 같습니다.
1) 오픈마켓: 누구나 판매자나 구매자가 되어 온라인상에서 상품을 팔고 살 수 있는 가상의 장터를 말합니다.
2) 오픈마켓사업자: 오픈마켓과 오픈마켓에서의 부가서비스(광고서비스 등)를 제공하고, 이에 대한 대가를 받는 사업자를 말합니다.』
○ 제1심판결문 제3쪽 표 안의 제7행 다음에 아래와 같은 내용을 추가한다.
『제11조(계약기간 및 이용계약의 종료)
1. 이용계약의 기간은 판매회원이 약관에 대해 동의한 날로부터 당해 연도 말일까지로 하고, 기간 만료 1개월 전까지 서면에 의한 반대의 의사표시가 없는 한 계약기간은 동일한 조건으로 1년간 자동 갱신됩니다.
2. 회사의 해지
1) 회사는 다음과 같은 사유가 발생하거나 확인된 경우 이용계약을 해지할 수 있습니다.
① 다른 회원 또는 타인의 권리나 명예, 신용 기타 정당한 이익을 침해하거나 대한민국 법령 또는 공서양속에 위배되는 행위를 한 경우
② 회사가 제공하는 서비스의 원활한 진행을 방해하는 행위를 하거나 시도한 경우
3. 당사자 일방에게 다음 각호의 사유가 발생한 경우, 그 상대방은 별도의 최고 없이 해지의 통지를 함으로써 이용계약을 해지할 수 있습니다.
1) 이용계약의 의무를 위반하여 상대방으로부터 그 시정을 요구 받은 후 7일 이내에 이를 시정하지 않은 경우
4) 관련 법령 위반 등 판매회원의 책임 있는 사유로 인하여 회사가 명예 실추 등 유무형적 손해를 입은 경우
3의1. 판매회원의 해지
제3항에도 불구하고, 판매회원은 언제든지 회사에 해지의사를 통지함으로써 이용계약을 해지할 수 있습니다.
4. 회사는 컴퓨터 등 정보통신설비의 보수, 점검, 교체 및 고장, 통신의 두절 등의 사유가 발생한 경우에는 서비스의 제공을 일시적으로 중단할 수 있습니다. 이 경우 서비스 일시 중단 사실과 이유를 G마켓 초기화면에 게시합니다.』
○ 제1심판결문 제5쪽 제13행의 “갑 제1, 2, 5호증, 을 제2, 3, 8, 9호증” 부분을 “갑 제1, 2, 5, 14호증, 을 제2, 3, 8, 9, 17, 19호증”으로 고쳐 쓴다.
2. 이 사건 처분의 적법 여부
가. 원고의 주장
이 법원이 이 부분에 관하여 설시할 판결의 이유는 제1심판결의 해당 부분 기재와 같으므로, 행정소송법 제8조 제2항, 민사소송법 제420조 본문에 의하여 이를 그대로 인용한다.
나. 관계 법령
별지 2 기재와 같다.
다. 판단
1) 관련 규정
이 법원이 이 부분에 관하여 설시할 판결의 이유는 제1심판결의 해당 부분 기재와 같으므로, 행정소송법 제8조 제2항, 민사소송법 제420조 본문에 의하여 이를 그대로 인용한다.
2) 관련 법리
가) 법은 원칙적으로 불특정 다수인에 대하여 동일한 구속력을 갖는 사회의 보편타당한 규범이므로 이를 해석함에 있어서는 법의 표준적 의미를 밝혀 객관적 타당성이 있도록 하여야 하고, 가급적 모든 사람이 수긍할 수 있는 일관성을 유지함으로써 법적 안정성이 손상되지 않도록 하여야 한다. 한편 실정법은 보편적이고 전형적인 사안을 염두에 두고 규정되기 마련이므로 사회현실에서 일어나는 다양한 사안에서 그 법을 적용함에 있어서는 구체적 사안에 맞는 가장 타당한 해결이 될 수 있도록 해석할 것도 또한 요구된다. 요컨대 법해석의 목표는 어디까지나 법적 안정성을 저해하지 않는 범위 내에서 구체적 타당성을 찾는 데 두어야 한다. 나아가 그러기 위해서는 가능한 한 법률에 사용된 문언의 통상적인 의미에 충실하게 해석하는 것을 원칙으로 하면서, 법률의 입법 취지와 목적, 그 제·개정 연혁, 법질서 전체와의 조화, 다른 법령과의 관계 등을 고려하는 체계적·논리적 해석방법을 추가적으로 동원함으로써, 위와 같은 법해석의 요청에 부응하는 타당한 해석을 하여야 한다(대법원 2013. 1. 17. 선고 2011다83431 전원합의체 판결, 대법원 2022. 10. 27. 선고 2022두44354 판결 등 참조).
나) 침익적 행정처분은 상대방의 권익을 제한하거나 상대방에게 의무를 부과하는 것이므로 헌법상 요구되는 명확성의 원칙에 따라 그 근거가 되는 행정법규를 더욱 엄격하게 해석·적용해야 하고, 행정처분의 상대방에게 지나치게 불리한 방향으로 확대해석이나 유추해석을 해서는 안 된다(대법원 2021. 11. 11. 선고 2021두43491 판결 등 참조).
3) 구체적 판단
앞서 든 증거들과 을 제1, 4, 5, 7, 10, 11호증의 각 기재에 변론 전체의 취지를 더하여 알 수 있는 다음과 같은 사정들을 종합하여 위 법리에 비추어 보면, 이 사건 오픈마켓의 판매자가 원고의 지휘·감독을 받아 개인정보를 처리하는 ‘개인정보취급자’에 해당한다고 보기 어렵다. 따라서 판매자가 원고의 지휘·감독 대상인 개인정보취급자라는 전제에서 개인정보 보호법 제29조, 제64조 제1항, 같은 법 시행령 제48조의2 제1항 제1호, 제2호, 이 사건 고시 제3조 제2항, 제4조 제4항 등을 적용하여 시정조치를 명한 이 사건 처분은 그 처분사유가 인정되지 아니하여 위법하므로, 이를 지적하는 원고의 주장은 이유 있다.
가) 개인정보 보호법은 제2조 제5호에서 ‘개인정보처리자’를 ‘업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인’으로 정의하고 있는 반면, 제28조 제1항에서 ‘개인정보취급자’를 ‘임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자’로 정의하여 양자의 의미를 명확히 구분하고 있다.
개인정보 보호법 제12조 제1항에 따라 개인정보 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정하고 있는 「표준 개인정보 보호지침」(2020. 8. 11. 자 개인정보보호위원회고시 제2020-1호, 이하 ‘표준지침’이라 한다) 제2조 제6호 역시 ‘개인정보취급자’란 ‘개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.’고 규정하고 있다.
위와 같은 개인정보 보호법의 문언은 물론 피고 스스로 고시한 표준지침의 문언에 비추어 보면, ‘개인정보취급자’는「“❶ 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서(이하 ‘❶요건’이라 한다)” “❷ 임직원, 파견근로자, 시간제근로자 등(이하 ‘❷요건’이라 한다)”」(즉 ❶요건과 ❷요건을 모두 충족하고 있는 자)을 의미하는 것으로서, 반드시 개인정보처리자와 고용계약을 체결한 자로 한정되는 것은 아니지만, 적어도 법령 또는 계약상 개인정보처리자의 의사에 따라 개인정보처리자를 위하여 그 지휘·감독 아래 업무를 집행하는 자를 의미한다고 봄이 타당하다.
나) 실제로 개인정보 보호법령, 이 사건 고시, 표준지침은 모두 개인정보처리자가 개인정보취급자에 대한 실질적인 지휘·감독 권한을 가지고 있음을 전제로 하는 아래와 같은 다수의 규정(이하 ‘이 사건 규정들’이라 한다)을 두고 있다.
(1) 개인정보 보호법 제28조 제1항은 ‘개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 개인정보취급자에 대하여 적절한 관리·감독을 하여야 한다.’고 규정하고, 제2항은 ‘개인정보처리자가 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.’고 규정하고 있다.
(2) 개인정보 보호법 시행령 제48조의2 제1항은 정보통신서비스 제공자 등주1) 이 개인정보를 처리하는 경우 취해야 할 안전성 확보 조치로서 ‘개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단 조치’[제2호 (다)목, 일정 규모 이상의 정보통신서비스 제공자에 대하여만 해당], ‘개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램 침투 여부를 항시 점검·치료할 수 있도록 하기 위한 백신소프트웨어 설치 및 주기적 갱신·점검 조치’(제5호)를 규정하고 있는바, 이는 개인정보처리자가 개인정보취급자의 컴퓨터 등을 직접 관리하거나 그에 대한 관리를 지시할 수 있는 지위에 있음을 전제로 한다.
(3) 이 사건 고시 제4조 제1항은 ‘정보통신서비스 제공자 등주2) 은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다.’고 규정하고, 제2항은 ‘정보통신서비스 제공자 등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.’고 규정하며, 제6항은 ‘일정 규모 이상인 정보통신서비스 제공자 등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.’고 규정하고, 제9항은 ‘정보통신서비스 제공자 등은 처리 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.’고 규정하며, 제10항은 ‘정보통신서비스 제공자 등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다.’고 규정하고 있다.
위와 같은 규정들은 ‘개인정보취급자’가 개인정보처리자의 개인정보 처리 업무를 수행하는 자임을 전제로 하는 것으로서, 종속적 지위에서 개인정보처리자의 지휘·감독을 받아 업무를 처리하는 자임을 의미하고, 또한 개인정보처리자가 개인정보취급자의 컴퓨터와 모바일 기기 등을 직접 관리할 수 있거나 그에 대하여 일정한 조치를 취할 것을 지시할 수도 있는 지위에 있음을 전제로 한다.
(4) 또한 표준지침 제15조 제1항은 ‘개인정보처리자는 개인정보취급자를 업무상 필요한 한도 내에서 최소한으로 두어야 하며, 개인정보취급자의 개인정보 처리 범위를 업무상 필요한 한도 내에서 최소한으로 제한하여야 한다.’고 규정하고, 제2항은 ‘개인정보처리자는 개인정보 처리시스템에 대한 접근권한을 업무의 성격에 따라 당해 업무수행에 필요한 최소한의 범위로 업무담당자에게 차등 부여하고 접근권한을 관리하기 위한 조치를 취해야 한다.’고 규정하며, 제3항은 ‘개인정보처리자는 개인정보취급자에게 보안서약서를 제출하도록 하는 등 적절한 관리·감독을 해야 하며, 인사이동 등에 따라 개인정보취급자의 업무가 변경되는 경우에는 개인정보에 대한 접근권한을 변경 또는 말소해야 한다.’고 규정하고 있다.
위와 같은 규정들은 개인정보취급자가 개인정보처리자의 업무를 수행하는 종속적 지위에 있는 자로서 원고가 개인정보취급자의 숫자와 업무 범위를 필요에 따라 조정할 수 있음을 전제로 하고 있다.
다) 개인정보 보호법 제29조는 개인정보처리자의 안전조치의무를 규정하면서 그 구체적인 내용에 관하여 대통령령으로 정하도록 위임하고 있고, 이에 따라 개인정보 보호법 시행령 제48조의2 제1항은 ‘개인정보의 안전성 확보 조치에 관한 특례’라는 제목으로 “정보통신서비스 제공자와 그로부터 이용자의 개인정보를 법 제17조 제1항 제1호에 따라 제공받은 자(이하 ‘정보통신서비스 제공자 등’이라 한다)는 이용자의 개인정보를 처리하는 경우에는 제30조에도 불구하고 법 제29조에 따라 다음 각호의 안전성 확보 조치를 해야 한다.”라고 규정하고 있는데, 같은 항 제1호 (나)목에서는 ‘개인정보취급자’를 ‘정보통신서비스 제공자 등의 지휘·감독을 받아 이용자의 개인정보를 처리하는 자’라고 정의하고 있다.
또한 이 사건 고시 제1조 제1항은 ‘이 기준은 개인정보 보호법 제29조 및 같은 법 시행령 제48조의2 제3항에 따라 정보통신서비스 제공자 등(개인정보 보호법 제39조의14에 따라 준용되는 자를 포함한다. 이하 같다)이 이용자의 개인정보를 처리함에 있어서 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성 확보를 위하여 필요한 기술적·관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한다.’고 규정하고, 제2항은 ‘정보통신서비스 제공자 등은 사업규모, 개인정보 보유 수 등을 고려하여 스스로의 환경에 맞는 개인정보 보호조치 기준을 수립하여 시행하여야 한다.’고 규정하고 있다.
위 규정들의 내용을 체계적, 종합적으로 해석해 보면, ‘정보통신서비스 제공자’ 및 ‘그로부터 이용자의 개인정보를 제공받은 자’는 모두 개인정보처리자로서 각자의 개인정보취급자에 대하여 교육 및 관리 등의 안전성 확보 조치를 이행해야 함을 의미하는 것으로 보인다.
따라서 판매자는 정보통신서비스 제공자인 원고로부터 이용자(구매자)의 개인정보를 제공받은 자로서 위 규정들에 따라 개인정보처리자에 해당하고, 그 자신(판매자)의 지휘·감독을 받는 개인정보취급자를 관리·감독할 의무를 부담한다고 보아야 하므로, 판매자는 원고와는 별개의 개인정보처리자이다.
라) 피고는, 개인정보취급자의 요건으로서 ❶요건 중 ‘개인정보처리자의 지휘·감독’의 의미에 관하여, 이는 일반 업무상의 지휘·감독이 아니라 개인정보 처리에 관한 지휘·감독을 의미하는 것으로 개인정보 처리라는 사실적 현상을 기준으로 판단하여야 하므로 ‘개인정보의 안전한 관리 목적을 효과적으로 달성하고 개인정보 처리가 잘못되지 않도록 통솔 및 단속하는 행위’ 일체를 포함하는 것인바, 판매자가 원고의 개인정보처리시스템 내에서 원고의 구매자 개인정보 파일을 처리하는 경우, 원고로부터 해당 시스템에 대한 접근권한을 미리 부여받아 등록된 계정과 비밀번호를 입력하여야 하고 해당 시스템이 예정하고 허용하는 개인정보 처리 업무만 가능하며 허용된 기간 동안에만 시스템에 접근할 수 있는 등 원고 개인정보처리시스템의 설계코드와 정책(약관 등)을 통하여 개인정보처리자인 원고의 지휘·감독을 받게 된다는 취지로 주장한다.
그러나 아래와 같은 사정 등에 비추어 볼 때, 피고의 이 부분 주장은 받아들이기 어렵다.
(1) 원고가 판매자에게 원고 개인정보처리시스템에 대한 접근권한을 부여하여 판매자로 하여금 구매자의 개인정보를 열람할 수 있게끔 한 것은 제3자인 판매자에게 구매자의 개인정보를 제공한 행위의 한 형태에 해당하고, 단순히 계정 및 비밀번호를 입력하게 하고 시스템 접근 가능 기간을 제한하였다고 하여 개인정보를 안전하게 관리하기 위하여 판매자를 지휘·감독한 것으로 보기는 어렵다.
(2) 피고는 원고가 이 사건 약관(을 제2, 3, 8호증)에서 판매자가 구매자의 개인정보를 이 사건 오픈마켓 서비스 이용에 필요한 목적 외의 용도로 사용하는 것을 엄격히 금지하는 내용을 규정하고 있는 점 등을 들어 판매자가 원고로부터 ‘정책상의 지휘·감독’을 받는다고 주장하지만, 원고가 이 사건 약관에 판매자에 대하여 구매자의 개인정보를 목적 외의 용도로 사용하면 안 된다는 취지의 조항을 마련하고 있는 것이나, 개인정보 유출 등으로 구매회원 등의 이의제기가 있을 경우 판매자가 이에 대한 책임을 진다는 취지의 안내문 또는 준수사항을 마련하고 있는 것은, 계약 당사자로 대등한 지위에 있는 판매자에게 업무로 넘겨받은 개인정보를 유출하거나 무단으로 수집하여서는 안 될 계약상의 의무를 부여한 것에 불과할 뿐이므로, 이를 두고 원고가 판매자를 지휘·감독하는 관계에 있다는 근거로 보기는 어렵다(실제로 개인정보 보호법 제19조가 개인정보처리자로부터 개인정보를 제공받은 자는 정보주체로부터 별도의 동의를 받은 경우 등을 제외하고 개인정보를 제공받은 목적 외의 용도로 이용하여서는 아니 된다고 규정하고 있는바, 개인정보의 목적 외 사용 금지는 개인정보처리자로부터 개인정보를 제공받은 자가 준수하여야 할 당연한 의무에 해당할 뿐이다).
(3) 앞서 살핀 바와 같이 이 사건 규정들은 개인정보처리자가 개인정보취급자의 컴퓨터나 모바일 기기 등에 물리적인 조치를 취하는 등 이를 직접 관리할 수 있고 개인정보취급자의 숫자나 업무 범위 등을 임의로 조정할 수 있음을 전제로 하고 있고, 특히 이 사건 고시 제4조 제4항은 ‘정보통신서비스 제공자 등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다.’고 규정하고 있어 개인정보취급자가 원칙적으로 개인정보처리자의 내부 정보통신망을 통하여 개인정보처리시스템에 접속하는 자임을 전제하고 있는바, 이 사건의 판매자와 같이 원고의 직접적인 관리를 받지 않는 컴퓨터 등으로 원고 내부망이 아닌 외부 정보통신망을 통하여 원고의 정보처리시스템에 접속한 후 그 설계코드 및 정책에 따라 해당 시스템을 이용하는 모든 자들주3) 을 원고의 개인정보취급자로 보는 피고의 해석은 이 사건 규정들의 내용과 부합하지 않는다고 보인다.
(4) 피고는 개인정보 보호법이 ‘정보법’에 해당하여 민법 등의 ‘조직법’과는 다른 독자적인 관점에서 해석되어야 한다는 취지로 주장하나, ‘정보법’이라는 용어가 실제 사용되고 있는지 여부는 별론으로 하고 이로 인해 개인정보 보호법령상의 개인정보취급자의 ❶요건, ❷요건마저도 앞서 본 법리와 같은 일반적인 법령 해석방법과는 달리 독창적으로 해석하여야 한다는 당위가 성립된다고 보기는 어렵다.
오히려 개인정보 보호법은 그 제정 이유,주4) 제정 당시 제1조(목적)의 내용,주5) 제정 당시의 제39조(손해배상책임)의 내용 및 그 후 2015. 7. 24. 개정(법률 제13423호) 당시 신설된 제39조 제3항, 제4항 및 제39조의2(법정손해배상의 청구)의 내용 등에 비추어 볼 때, 개인정보 보호법을 해석함에 있어 민법, 그중 특히 불법행위에 기한 손해배상에 관한 규정들과 전체적인 조화를 이루도록 해석해야 한다고 봄이 상당하다.주6)
따라서 개인정보 보호법에서 정한 개인정보취급자의 요건인 개인정보처리자의 ‘지휘·감독’은 민법상 사용자책임주7) 에서의 ‘지휘·감독’과 동일하거나 유사한 의미로 해석되어야 한다고 봄이 상당하므로, ‘개인정보취급자’는 반드시 개인정보처리자와 고용관계에 있을 필요는 없으나, 적어도 법령 또는 계약상 개인정보처리자의 의사에 따라 개인정보처리자를 위하여 그 지휘·감독 아래 개인정보 처리 업무주8) 를 집행하는 자를 의미한다고 봄이 타당하다.
마) 피고는, 개인정보취급자의 요건으로서 ❷요건과 관련하여, 만약 ‘임직원, 파견근로자, 시간제근로자 등’을 종속적 관계에 대한 예시 문언으로 보아 개인정보취급자를 개인정보처리자와 사이에 ‘고용관계 또는 이에 준하는 업무상의 종속적 관계’에 있는 자라고 해석하게 되면, 대표이사, 감사, 사외이사 등의 경우 회사의 임원에 해당하여 위 ‘임직원, 파견근로자, 시간제근로자 등’에는 포함됨에도 불구하고 이들은 누군가의 지휘·감독을 받는 자가 아니라 오히려 지휘·감독을 하는 자이므로 개인정보취급자가 될 수 없다는 모순이 발생하는바, 개인정보처리자와 종속적 관계에 있을 것이 개인정보취급자의 요건 중 하나라고 해석할 수 없다는 취지로 주장한다.
그러나 개인정보 보호법 제31조 제1항은 “개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 ‘개인정보 보호책임자’를 지정하여야 한다.”라고 규정하고, 같은 조 제6항의 위임에 따른 개인정보 보호법 시행령 제32조 제2항 제2호는 공공기관 외의 개인정보처리자는 ‘사업주 또는 대표자’ 또는 ‘임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)’ 중 어느 하나에 해당하는 사람을 개인정보 보호책임자로 지정한다고 규정하며, 이 사건 고시 제2조 제1호는 ‘개인정보 보호책임자’란 ‘이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원을 말한다.’고 규정하고, 표준지침 제2조 제5호는 ‘개인정보 보호책임자’란 ‘개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조 제2항에 해당하는 자를 말한다.’고 규정하고 있다.
위와 같은 개인정보 보호책임자에 관한 규정 내용과 위 ❶요건과 ❷요건의 관련성 등을 종합하여 볼 때, 개인정보취급자에 관한 규정이 ‘임직원, 파견근로자, 시간제근로자 등’으로 정하고 있어 임원을 포함하고 있다고 하더라도 이는 모든 임원이 개인정보취급자에 해당함을 의미하는 것이 아니라, 개인정보 보호법 시행령 제32조 제2항 제2호에 따라 개인정보 보호책임자로 지정된 ‘사업주, 대표자, 임원’은 개인정보취급자의 범위에서 제외되고, 개인정보 보호책임자로 지정되지 않은 나머지 임원 중에서도 위 ❶요건을 갖춘 임원만이 개인정보처리자의 지휘·감독하에 개인정보 처리 업무를 직접 수행하여 개인정보취급자로 구분되는 경우를 상정한 것으로 봄이 상당하므로, ‘임직원, 파견근로자, 시간제근로자 등’이라는 예시 문언을 근거로 개인정보취급자의 개인정보처리자에 대한 종속성을 인정하더라도 피고가 주장하는 바와 같은 모순은 발생하지 않는다.
앞서 살핀 바와 같은 이 사건 규정들의 내용, 특히 이 사건 고시 제4조 제2항이 ‘전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우’라고 하여 개인정보취급자가 개인정보처리자와 고용관계 또는 이와 유사한 관계에 있어 개인정보처리자의 인사정책의 영향을 받는 자임을 전제하고 있고(표준지침 제15조 제3항도 마찬가지이다), 이 사건 고시 제4조 제4항은 개인정보취급자가 개인정보처리자의 내부 정보통신망을 사용하는 자임을 전제하고 있는 점 및 여기에 더하여 표준지침 제52조, 제56조에서 언급된 개인정보취급자와 관련된 내용 등을 종합적으로 고려하면, 개인정보취급자는 개인정보처리자의 지휘·감독을 받는 업무상 종속적 관계에 있는 자로 봄이 타당하므로, 피고의 이 부분 주장도 받아들이기 어렵다.
바) ① 이 사건 오픈마켓의 판매자는 원고와의 이 사건 약관 등에 의한 약정에 따라 원고 개인정보처리시스템에 대한 접근권한을 부여받음으로써 구매자 개인정보를 제공받아, 즉 원고의 서비스를 이용함으로써 판매자 자신의 업무를 위하여 스스로의 의사에 따라 개인정보를 처리 및 이용하는 자이다.
② 판매자가 원고의 개인정보처리시스템에 접근하는 방식은 원고와 실질적인 사용관계에 있는 임직원[파견근로자, 시간제근로자 포함, 이하 바)항에서는 이와 같다] 등이 해당 시스템에 접근하는 방식과는 그 구조 및 내용이 아래 ‘표’와 같이 상당한 차이가 있다고 보인다.주9)
○ 오픈마켓 판매자와 구매자가 오픈마켓 사업자의 내부시스템에 저장된 정보를 접근·사용하는 방법- 오픈마켓 사업자의 임직원은 오픈마켓 사업자의 사업 수행을 위하여 오픈마켓 사업자의 사업 수행을 위하여 오픈마켓 사업자의 내부시스템을 유지·보수·관리하기 위하여 내부시스템에 접근하는 내부사용자에 해당한다.- 오픈마켓 판매자와 구매자는 모두 오픈마켓상에서 상품을 판매하고 구매하기 위해 필요한 한도 내에서 내부시스템의 일정 영역에 저장된 일부 정보를 한정적으로 접근·사용하는 외부사용자로 봄이 상당하다.- 오픈마켓 판매자나 구매자 모두 사업자의 내부시스템에 직접 접속하는 것은 아니고, 인터넷을 통해 내부망(인트라넷)과 외부 인터넷망의 중간에 사업자가 구축한 영역(DMZ, Web server)에 접속하여 내부시스템의 정보를 요청하고, 내부시스템으로부터 위 중간 영역에 요청하였던 정보가 넘어오면 이에 접근하는 방식으로 오픈마켓 플랫폼에서 정보를 접근·사용하는 점에서, 오픈마켓 판매자나 구매자는 모두 오픈마켓 플랫폼 및 이에 관련된 내부시스템의 외부에 있는 전형적인 ‘외부사용자’라고 할 것이다.즉, 오픈마켓 판매자는 오픈마켓 사업자인 원고가 관리·운영하는 데이터베이스 서버에 직접 접근 또는 접속하여 개인정보를 취득하는 것이 아니라, 오픈마켓 판매자가 인터넷을 통해 필요한 주문자 정보를 요청하면, 이에 대한 응답으로 오픈마켓 판매자와 연결된 원고의 웹서버 시스템이 원고의 데이터베이스 서버에 저장되어 있는 데이터베이스를 검색하여 주문자 정보를 찾아 달라고 요청하고, 그 요청에 따라 내부 프로그램이 데이터베이스에서 요청된 주문자 정보를 검색한 다음 그 결과를 다시 웹서버에 전달하고, 그 웹서버를 통해 오픈마켓 판매자에게 요청된 주문자 정보가 제공되는 것으로서, 오픈마켓 판매자는 원고의 데이터베이스 서버 그 자체에 대한 접근권한이 부여되는 것이 아니다.- 이에 반해 내부사용자의 경우 내부망(인트라넷)을 통해 내부시스템인 데이터베이스 서버 자체에 접속할 수 있고, 그 직무 내용에 따라 내부시스템의 각 영역에 저장된 전체 정보를 제한 없이 접근·사용할 수 있는 점에서, 외부사용자와 본질적으로 구별된다.- 기업이나 단체의 임직원, 즉 ‘내부사용자’는 사무실에서 외부 인터넷망과는 별도로 구축되는 내부망(인트라넷)으로 연결된 내부시스템에 직접 접속하여 내부시스템의 유지·보수·관리 업무를 처리하고, 출장, 재택근무 등으로 외부에서 해당 기업이나 단체의 내부망(인트라넷)에 접근하여 관련 업무를 처리하는 경우에도 외부사용자와 같이 인터넷을 통해서 내부시스템과 외부시스템의 중간 영역에 연결되도록 하는 방식 대신 VPN주10) 등을 이용하여 내부망(인트라넷)에 직접 접근하는 방식을 통해 외부 인터넷망과는 단절된 형태로 내부시스템에 직접 접속하고 있다고 보인다.- 이를 그림으로 나타내면 아래와 같다.
③ 판매자는 판매자 본인의 상품 판매라는 자신의 고유 업무를 위하여 구매자의 개인정보를 처리한다.
④ 만약 판매자가 오픈마켓 사업자인 원고의 개인정보취급자에 해당한다는 피고의 논리대로라면, 판매자는 개인정보 보호법 시행령 제48조의2 제1항 제2호 (다)목, 이 사건 고시 제4조 제6항에서 규정한 일정한 규모를 갖춘 정보통신서비스 제공자인 원고의 오픈마켓 플랫폼 및 관련 시스템에 접근하려면 현재와 같이 인터넷망을 통해서는 아니 되고 인터넷망과 분리된 별도의 망을 구축하고 이를 통하여 원고의 시스템에 접근하도록 하여야 하고, 위와 같은 일정한 규모를 갖춘 정보통신서비스 제공자인 원고가 이러한 조치를 취하지 않는 경우에는 개인정보 보호법 제29조의 안전조치의무 위반을 한 경우에 해당하여 같은 법 제64조 제1항의 시정조치나 제75조 제2항 제6호의 과태료 등의 제재를 받을 수 있다.
그러나 VPN이나 전용선과 같은 수단은 임직원들과 같은 내부사용자가 출장이나 재택근무와 같이 외부에서 내부망에 접속하기 위하여 이용하는 것으로, 정보시스템의 일반적 구조상 오픈마켓 판매자와 같은 외부사용자들을 위한 수단으로 보기 어려울 뿐만 아니라, 수많은 오픈마켓 판매자에게 VPN이나 전용선을 이용할 수 있도록 조치하는 것은 정보통신서비스 제공자인 원고에게는 현실적으로 실현가능성이 높지 않다고 보인다[따라서 이러한 망분리에 관한 개인정보 보호법 시행령 제48조의2 제1항 제2호 (다)목, 이 사건 고시 제4조 제6항 규정은 오픈마켓 판매자와 같은 시스템의 외부사용자는 개인정보취급자에 해당하지 않는 것을 전제로 하여 마련된 것으로 봄이 상당하다].
⑤ 위와 같은 사정을 종합하여 보면, 판매자가 외부사용자로서 위와 같이 원고의 서비스를 이용하는 범위 내에서 이 사건 약관에서 정한 바에 따라 계약상의 제약을 받는다는 점만으로 사용자와 피용자 사이와 같은 종속적인 관계에서 원고의 지휘·감독을 받는다고 볼 수는 없다.
사) 피고는, 판매자는 개인정보처리자인 원고로부터 개인정보를 제공받은 제3자에 해당하는데, 제3자와 개인정보취급자가 서로 양립 불가능한 개념이라는 법적 근거가 없으므로 이러한 점에서도 판매자를 개인정보취급자로 인정함에 문제가 없다고 주장하면서,주11) 시점별 판매자의 법적 지위에 관하여, 판매자는 원고 개인정보처리시스템 내에서 개인정보를 처리하는 동안 개인정보처리자, 개인정보취급자, 개인정보처리자로부터 개인정보를 제공받은 제3자의 지위를 모두 지니다가, 개인정보처리시스템에서 구매자 개인정보를 출력 내지 다운로드한 시점부터 더 이상 개인정보취급자에는 해당하지 않게 되는 것이라는 취지로 주장한다.
(1) 피고 스스로 제정하여 고시한 표준지침 제7조 제2항에는 “개인정보 보호법 제17조의 ‘제3자’란 정보주체와 정보주체에 관한 개인정보처리를 수집·보유하고 있는 개인정보처리자를 제외한 모든 자를 의미한다.”라고 규정하고 있는바, 이러한 규정의 문언자체에 따르면, ‘정보주체’와 ‘개인정보처리자’가 아닌 개인정보취급자는 개인정보 보호법 제17조의 ‘제3자’[(1)항과 아래 (2), (3)항에서는 이하 ‘제3자’라고 표현한다]에 해당한다고 해석할 여지가 있기는 하다.
(가) 그러나 만약 개인정보취급자를 ‘제3자’에 해당한다고 가정할 경우에는 아래와 같은 문제점이 있다.
① 개인정보 보호법 제17조 제1항 제1호에 의하면, 개인정보처리자는 정보주체의 동의를 받은 경우에 정보주체의 개인정보를 ‘제3자’에게 제공할 수 있는바, 원고는 구매자들이 이 사건 오픈마켓에 회원가입을 하거나 상품을 주문·결제할 경우 그 개인정보를 판매자에게 제공하는 것에 대한 명시적인 동의를 받고 있고, 위와 같은 동의에 근거하여 판매자에게 구매자의 개인정보를 제공하고 있다.
그런데 개인정보취급자가 ‘제3자’에 해당한다고 볼 경우에는, 개인정보처리자로서는 개인정보 보호법 제17조 제1항 제2호에 해당하지 않는 한 원칙적으로 정보주체의 동의를 받아야만 비로소 ‘제3자’인 개인정보취급자에게 정보주체의 개인정보를 제공할 수 있다고 해석할 수밖에 없다.
② 개인정보의 처리 중 하나인 ‘개인정보의 제공’이란 개인정보의 저장 매체나 개인정보가 담긴 출력물·책자 등을 물리적으로 이전하거나 네트워크를 통한 개인정보의 전송, 개인정보에 대한 ‘제3자’의 접근권한 부여, 개인정보처리자와 ‘제3자’의 개인정보 공유 등 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위를 말하는바(개인정보 보호법 제2조 제2호, 표준지침 제7조 제1항), 개인정보취급자가 ‘제3자’에 해당한다고 볼 경우에는, 개인정보처리자가 자신의 지휘·감독을 받는 ‘제3자’인 개인정보취급자에게 개인정보에 대한 접근권한 부여, 개인정보의 공동 이용 상태 초래 등도 모두 여기에 해당할 수 있으므로, 이러한 경우 개인정보처리자로서는 미리 정보주체로부터 동의주12) 를 받아야 한다.
③ 만약 개인정보처리자가 ‘제3자’인 개인정보취급자에게 개인정보를 제공함에 있어 정보주체로부터 동의를 받았다면, 개인정보처리자로서는 정보주체에게 개인정보를 제공받는 자인 개인정보취급자를 알려야 하고, 이와 같이 알리는 경우에는 그 성명과 연락처를 함께 알려야 한다(개인정보 보호법 제7조 제2항 제1호, 표준지침 제7조 제3항). 그런데 예를 들어 개인정보처리자가 각종 정보회사, 신용카드회사 등 다수의 개인정보를 처리하는 기업 등인 경우에는 그 지휘·감독을 받는 개인정보취급자가 상당히 많은 인원이 있을 여지가 있음에도, 개인정보취급자를 ‘제3자’로 볼 경우에는 단지 개인정보의 공동 이용 상태 초래 등을 하였다는 이유로 그들의 성명과 연락처를 모두 정보주체에게 알려야 한다고 볼 수밖에 없게 된다.
④ 더 큰 문제는 형사적인 처벌이나 과징금, 과태료 등에 있을 수 있다.
㉮ 개인정보 보호법 제71조 제1호에 의하면, 같은 법 제17조 제1항 제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 ‘제3자’에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자에 대하여 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처하도록 규정하고 있다.
‘개인정보취급자’를 ‘제3자’에 해당한다고 볼 경우에는 만약 개인정보처리자가 위 ①항에서 본 바와 같이 정보주체의 동의를 받아야 함에도 불구하고 이를 받지 않고 개인정보를 ‘제3자’인 ‘개인정보취급자’에게 제공하였다면, 개인정보처리자와 그 정보를 받은 ‘개인정보취급자’는 모두 위와 같은 형사처벌을 받을 가능성이 높을 수밖에 없게 된다.
㉯ 개인정보 보호법 제39조의15 제1항 제1호에 의하면, 피고는 원고와 같은 정보통신서비스 제공자 등에게 제17조 제1항 등을 위반하여 개인정보를 이용·제공한 경우에는 해당 정보통신서비스 제공자 등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.
‘개인정보취급자’를 ‘제3자’에 해당한다고 볼 경우에는 만약 개인정보처리자가 위 ①항에서 본 바와 같이 정보주체의 동의를 받아야 함에도 불구하고 이를 받지 않고 개인정보를 ‘제3자’인 ‘개인정보취급자’에게 제공하였다면, 개인정보처리자는 정보통신서비스 제공자 등으로서 위와 같은 과징금 부과를 받을 수 있다.
㉰ 개인정보 보호법 제75조 제2항 제1호에 의하면, 같은 법 제17조 제2항을 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자에 대하여 3천만 원 이하의 과태료를 부과하도록 규정하고 있다.
‘개인정보취급자’를 ‘제3자’에 해당한다고 볼 경우에는 만약 개인정보처리자가 개인정보취급자에게 개인정보를 제공함에 있어 위 ②항에서 본 바와 같이 정보주체의 동의를 받았다고 하더라도, 그 개인정보취급자의 성명과 인적사항 등을 정보주체에게 알리지 않았다면(앞서 예를 든 다수의 개인정보를 처리하는 기업 등의 경우 상당히 많은 수의 개인정보취급자 중 1명이라도), 개인정보처리자로서는 위와 같은 과태료를 부과받을 수밖에 없게 된다.
(나) 따라서 표준지침 제7조 제2항의 문언에도 불구하고 개인정보 보호법령의 입법 취지와 목적, 앞서 본 바와 같은 개인정보 보호법 제2조 제2호, 제7조 제2항 제1호, 제17조 제1항 제1호, 제39조의15 제1항 제1호, 제71조 제1호, 제75조 제2항 제1호 및 표준지침 제7조 제1항, 제3항 등 다른 규정과의 관계 등을 함께 고려하여 볼 때, 표준지침 제7조 제2항에 규정한 ‘제3자’의 범위에 개인정보취급자는 포함되지 않는 것으로 해석함이 상당하다.주13)
(2) ① 개인정보취급자는 개인정보처리자의 의사에 따라 개인정보 처리의 업무를 직접 수행하는 자에 불과하고, 대법원도 “개인정보 보호법 제17조에서 말하는 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우”라고 판시하였는바(대법원 2017. 4. 7. 선고 2016도13263 판결 참조), 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 개인정보취급자는 비록 개인정보처리자로부터 정보주체의 개인정보를 이전받았다고 하더라도, 이를 두고 위와 같은 ‘제3자 제공’에 해당한다고 볼 수는 없다고 할 것인 점, ② 개인정보 보호법은 제17조 제1항에서 개인정보처리자가 ‘제3자’에게 개인정보를 제공하는 경우 정보주체의 동의를 요구하고 있는 반면, 개인정보처리자의 지휘·감독을 받아 개인정보 처리 업무를 담당하는 개인정보취급자가 정보주체의 개인정보를 처리하는 경우에는 그것이 개인정보처리자의 당연한 업무범위 내라는 전제에서 별도의 동의를 요구하지 않고 있다고 해석함이 상당한 점 등을 고려하여 볼 때, ‘제3자’와 개인정보취급자는 서로 양립할 수 없는 별개의 지위라고 봄이 타당하고, 판매자가 원고 개인정보처리시스템에서 개인정보를 출력 내지 다운로드받기 직전의 아주 일시적인 순간이라고 하더라도 개인정보를 제공받은 ‘제3자’의 지위와 개인정보취급자의 지위를 동시에 가진다고 볼 수는 없다.
(3) 결국 판매자는 당초부터 원고로부터 개인정보를 제공받은 ‘제3자’였을 뿐이고(이로 인해 독자적인 개인정보처리자의 지위를 가짐은 별론으로 한다), 이와 동시에 원고의 개인정보취급자에 해당하지는 않는다고 봄이 타당하므로, 피고의 이 부분 주장은 받아들일 수 없다.
아) 만약 피고의 주장대로 판매자가 원고의 개인정보취급자에 해당한다고 본다면, 원고는 이 사건 규정들에 따라 수십만 명에 이르는 판매자들의 컴퓨터 등에 외부 인터넷망 차단 조치를 취하고, 판매자들의 컴퓨터와 휴대전화 등에 정보공유 등을 제한하는 일정한 조치를 취해야 한다는 결론이 되는데, 원고가 이 사건 약관에 따라 이 사건 오픈마켓에 가입한 회원에 불과한 판매자들에게 위와 같은 조치를 취하거나 이를 강제하는 것은 실현하기 어렵다고 보인다.
이 사건 규정들은 개인정보처리자의 개인정보취급자에 대한 안전조치 내용을 상당히 구체적으로 정하고 있는데 이는 개인정보취급자가 개인정보처리자의 의사에 따라 그 지휘·감독을 받으며 업무를 수행하는 자이기에 가능한 것이고, 원고가 전국에 산재해 있는 수십만 명의 판매자들에게 일일이 연락하여 판매자들을 교육시키거나, 판매자들이나 그들의 개인정보 처리 업무 담당자들의 컴퓨터 등을 물리적으로 직접 관리하는 것은 사실상 실현하기 어렵다고 보인다.
이러한 점에서도 개인정보취급자는 원고와 단순한 계약관계에 따라 개인정보를 제공받는 자가 아니라 원고와 종속적인 관계에서 그 지휘·감독 아래 원고의 의사에 따라 업무를 수행하는 자로 한정된다고 봄이 타당하다.
자) 피고는 ‘개인정보의 기술적·관리적 보호조치 기준 해설서’에 오픈마켓 판매자가 개인정보취급자에 해당한다고 기재(을 제1호증 중 제27쪽)되어 있는 것을 근거로 이 사건 처분이 적법하다는 주장도 하고 있으나, 위 해설서는 이 사건 고시에 대한 이해를 돕기 위하여 피고 스스로가 한국인터넷진흥원과 함께 발간한 해석을 담은 문서에 불과하므로, 위 해설서에 근거하여 개인정보 보호법령에서 규정하는 내용과 달리 ‘개인정보취급자’의 범위를 확장할 수는 없다.
차) (1) 나아가 개인정보 보호법은 대부분의 규정에서 개인정보의 수집, 이용, 처리 등에 관한 권리·의무의 주체로 개인정보처리자를 상정하고 있다. 그런데 판매자는 자신의 판매업무를 목적으로 개인정보를 처리하므로 개인정보파일을 운용할 경우 개인정보 보호법 제2조 제5호에서 정한 ‘개인정보처리자’에 해당할 수 있는바, 이러한 경우 판매자는 독자적으로 개인정보 보호법에 따른 개인정보 보호 의무를 부담하게 될 뿐만 아니라 벌칙 규정 등의 적용 대상이 되므로, 피고 등 관할관청은 이러한 판매자에 대한 직접 관리·감독 조치를 통해서도 구매자의 개인정보를 충분히 보호할 수 있다고 보인다.
특히, 판매자는 개인정보 보호법 시행령 제48조의2 제1항에 의하여 정보통신서비스 제공자 등에 해당하여 각호의 안전성 확보 조치를 취해야 하는 점은 앞서 본 바와 같고,주14) 같은 항 제5호에서는 ‘개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 하기 위한 백신소프트웨어 설치 및 주기적 갱신·점검 조치’를 규정하고 있고, 이 사건 고시 제4조 제5항에 ‘정보통신서비스 제공자 등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각호의 기능을 포함한 시스템을 설치·운영하여야 한다.’고 규정하면서, 제1호에 ‘개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한’, 제2호에 ‘개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지’를 열거하고 있다.
(2) 피고는 최근 해커들이 판매자의 정보를 해킹한 후 이를 이용하여 원고의 개인정보처리시스템에 불법으로 접속하여 개인정보를 유출한 사고가 발생하고 있음을 우려하여 이 사건 처분을 내린 것으로 보이는바, 정보통신서비스 제공자 등에 해당하는 판매자가 위 개인정보 보호법 시행령 제48조의2 제1항 제5호, 이 사건 고시 제4조 제5항에 따른 조치를 취함으로써 판매자 컴퓨터 등에 악성프로그램이 침투하여 판매자 정보를 유출 당하는 사태를 막을 수 있다면 이것만으로도 피고가 우려하는 사고를 충분히 예방할 수 있어 보인다.
이와 관련하여, 피고는 ‘개인정보의 기술적·관리적 보호조치 기준 해설서’에서 아래 ‘표’ 기재와 같은 내용으로 이 사건 고시 제4조 제5항을 설명하고 있는바(을 제1호증 중 제52~54쪽), 정보통신서비스 제공자 등에 해당하는 판매자도 특별한 사정이 없는 한 그와 같은 설명에 따른 조치를 취하여야 한다고 보인다(개인정보 보호법 제29조, 제39조의15 제1항 제5호, 제65조, 제73조 제1호, 제75조 제2항 제6호 및 을 제1호증 중 제6쪽 등 참조).
○ 정보통신서비스 제공자 등은 불법적인 접근 및 침해사고 방지를 위해 다음과 같은 시스템 등을 스스로의 환경을 고려하여 접근 제한 기능 및 유출 탐지 기능이 적합하게 수행되도록 설치·운영하여야 한다.참고☞ 불법적인 접근: 인가되지 않은 자(내·외부자 모두 포함)가 사용자계정 탈취, 자료유출 등의 목적으로 개인정보처리시스템, 개인정보취급자의 컴퓨터 등에 접근하는 것을 말한다.☞ 침해사고: 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태를 말한다.(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제2조 제1항 제7호)- 해당 시스템으로는 침입차단시스템, 침입탐지시스템, 침입방지시스템, 보안 운영체제(Secure OS), 웹방화벽, 로그분석시스템, ACL(Access Control List)을 적용한 네트워크 장비, 통합보안관제시스템 등을 활용할 수 있다. 다만 어느 경우라도 접근 제한 기능 및 유출 탐지 기능이 모두 충족되어야 한다.- SOHO 등 소기업은 인터넷데이터센터(IDC), 클라우드 서비스 등에서 제공하는 보안서비스(방화벽, 침입방지, 웹방화벽 등)를 활용하거나 공개용(무료) S/W를 사용하여 해당 기능을 구현한 시스템을 설치·운영할 수 있다. 다만 공개용(무료) S/W를 사용할 때에는 적절한 보안이 이루어지는지를 사전에 점검할 필요가 있다.○ 접근 제한 기능 및 유출 탐지 기능의 충족을 위해서는 단순히 시스템을 설치하는 것만으로는 부족하며, 신규 위협 대응 및 정책의 관리를 위하여 다음과 같은 방법 등을 활용하여 체계적으로 운영·관리하여야 한다.- 정책 설정 운영: 신규 위협 대응 등을 위하여 접근 제한 정책 및 유출 탐지 정책을 설정하고 지속적인 업데이트 적용 및 운영·관리- 이상 행위 대응: 모니터링 등을 통해 인가받지 않은 접근을 제한하거나 인가자의 비정상적인 행동에 대응- 로그 분석: 로그 등의 대조 또는 분석을 통하여 이상 행위를 탐지 또는 차단○ IP주소 등에는 IP주소, 포트 그 자체뿐만 아니라, 해당 IP주소의 행위(과도한 접속성공 및 실패, 부적절한 명령어 등 이상 행위 관련 패킷)를 포함한다.(3) 이와 달리 원고의 개인정보처리시스템에 대하여 개인정보처리자로서 지는 안전성 확보조치 의무와 관련하여 판매자에 의해서는 그러한 확보조치가 어렵다는 이유만으로 이 사건 처분과 같이 판매자가 원고의 지휘·감독을 받는 개인정보취급자에 해당함을 전제로 하는 안전성 확보조치를 원고에게 강제한다면, 판매자와 이 사건 오픈마켓 이용계약을 체결한 당사자에 불과하여 판매자들을 구체적으로 통제할 만한 권한과 수단이 있다고 볼 수 없는 원고에게 수십만 명에 이르는 판매자에 대한 교육의무, 관리·감독 의무를 부담하게 하여 사실상 불가능하거나 과도한 의무를 요구하게 되고, 판매자가 구매자의 개인정보를 고의로 악용하여 구매자에게 손해를 가하였을 경우에도 원고가 법적 책임을 부담하게 될 여지가 있어 자기책임의 원칙에도 반한다고 보인다.주15)
카) 판매자를 원고의 개인정보취급자로 보지 않는다고 하더라도, 원고는 여전히 개인정보 보호법 제29조, 같은 법 시행령 제48조의2 제1항 제2 내지 5호, 이 사건 고시 제4조 제5항 등에 따라 스마트스토어 시스템에 저장되어 있는 구매자의 개인정보에 대한 불법접근 차단, 접속기록의 위조·변조 방지, 개인정보의 안전한 저장·전송을 위한 각종 조치(판매자를 개인정보취급자로 볼 경우에만 필요한 조치들 제외) 등을 취해야 할 의무를 부담하므로, 판매자를 반드시 원고의 개인정보취급자로 보아야 할 만한 정책적 필요도 크지 않다.
3. 결론
그렇다면 원고의 청구는 이유 있어 이를 인용하여야 한다. 이와 결론을 같이하는 제1심판결은 정당하므로 피고의 항소는 이유 없어 이를 기각하기로 하여, 주문과 같이 판결한다.
[별 지 1] 시정명령: 생략
[별 지 2] 관계 법령: 생략
판사 조진구(재판장) 신용호 정총령
주1) ‘정보통신서비스 제공자와 그로부터 이용자의 개인정보를 개인정보 보호법 제17조 제1항 제1호에 따라 제공받은 자’를 의미한다.
주2) 여기서, ‘정보통신서비스 제공자 등’은 위 각주 1)과 동일한 의미로 보인다(이 사건 고시 제1조 제1항 참조). 이하 (3)항에서는 이와 같다.
주3) 다만 피고는 이러한 자들 중 구매자에 해당하는 자에 대하여는 원고의 개인정보취급자에 해당한다고 주장하지는 않는 것으로 보인다(피고의 2023. 7. 28. 자 참고서면 제35쪽).
주4) 정보사회의 고도화와 개인정보의 경제적 가치 증대로 사회 모든 영역에 걸쳐 개인정보의 수집과 이용이 보편화되고 있으나, 국가사회 전반을 규율하는 개인정보 보호원칙과 개인정보 처리기준이 마련되지 못해 개인정보 보호의 사각지대가 발생할 뿐만 아니라, 최근 개인정보의 유출·오용·남용 등 개인정보 침해 사례가 지속적으로 발생함에 따라 국민의 프라이버시 침해는 물론 명의도용, 전화사기 등 정신적·금전적 피해를 초래하고 있는 바, 공공부문과 민간부문을 망라하여 국제 수준에 부합하는 개인정보 처리원칙 등을 규정하고, 개인정보 침해로 인한 국민의 피해 구제를 강화하여 국민의 사생활의 비밀을 보호하며, 개인정보에 대한 권리와 이익을 보장하려는 것임(2011. 3. 29. 법률 제10465호로 제정된 개인정보 보호법에 관한 ‘국회의안정보’ 참조).
주5) 이 법은 개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 한다.
주6) 정보주체의 개인정보와 개인정보처리자의 손해배상책임 등에 관한 대법원판결[대법원 2018. 12. 13. 선고 2018다219994, 220000(병합) 판결, 대법원 2018. 12. 28. 선고 2018다214142 판결, 대법원 2019. 1. 31. 선고 2018다221010 판결, 대법원 2019. 9. 26. 선고 2018다222303, 222310, 222327 판결 등] 참조
주7) 민법 제756조의 사용자책임이 성립하려면 사용자와 불법행위자 사이에 사용관계, 즉 사용자가 불법행위자를 실질적으로 지휘·감독하는 관계에 있어야 하고(대법원 1995. 4. 11. 선고 94다15646 판결 등 참조), 이는 반드시 유효한 고용관계가 있는 경우에 한하는 것이 아니고 사실상 어떤 사람이 다른 사람을 위하여 그 지휘·감독 아래 그 의사에 따라 사업을 집행하는 관계에 있으면 족하다(대법원 1998. 8. 21. 선고 97다13702 판결 등 참조).
주8) 이에 대하여, 피고는 다양한 근거를 들며 개인정보취급자가 받은 개인정보처리자의 지휘·감독은 일반 업무상의 지휘·감독이 아니라 개인정보 처리에 대한 지휘·감독이므로 사용자책임에서의 지휘·감독과 다른 개념이라고 주장하나, 개인정보취급자가 개인정보 처리 업무에 대한 지휘·감독을 받는 자임은 개인정보취급자의 개념 정의에 의하여 당연히 인정되는 것이므로 그러한 업무 범위가 특정되어 있다는 점만으로 사용자책임에서의 지휘·감독과 다른 개념이라고 보이지 않는다. 업무의 내용과 관계없이 사용자(개인정보처리자)의 의사에 따라 종속적인 지위에서 해당 업무를 처리한다는 점에서 지휘·감독을 받는다는 것이므로 결국 양자는 동일하거나 유사한 개념으로 볼 수 있다. 따라서 피고의 이 부분 주장은 받아들일 수 없다.
주9) 이와 관련하여, 피고는 이 사건 오픈마켓과 같은 거래관여형 플랫폼의 판매회원이 개인정보를 처리하는 역할은 종합쇼핑몰형 플랫폼에서 그 내부 직원들이 개인정보 처리 업무를 수행하는 역할과 사실상 다르지 않다고 주장하나, 종합쇼핑몰형 플랫폼의 내부 직원은 플랫폼 사업자의 사업을 위하여 내부 직원이 담당하는 업무를 처리하는 반면, 거래관여형 플랫폼의 판매회원은 플랫폼 사업자가 아닌 자기 자신의 사업 목적을 위하여 오픈마켓 사업자와 이 사건 약관과 같은 내용의 계약을 체결하여 플랫폼 서비스를 이용하는 것이므로, 양자의 성격은 본질적으로 구별되는 것인바, 피고의 이 부분 주장은 받아들일 수 없다.
주10) 전국적인 조직을 갖춘 회사나 단체가 내부사용자들만 쓸 수 있는 내부망(인트라넷)을 구축할 때 내부시스템의 서버와 내부사용자들의 컴퓨터만을 전용선으로 연결해서 외부의 제3자가 접근하지 못하도록 하는데, VPN(Virtual Private Network, 가상 사설망)이라 함은, 전용선이 없는 지역에서는 내부망(인트라넷) 자체에 접근이 불가능하여, 인터넷망을 전용망(인트라넷)처럼 사용할 수 있도록 하는 기술이 사용되는 것을 의미한다고 보인다(을 제1호증 중 제52쪽 등 참조).
주11) 나아가, 피고는 표준지침 제7조 제1항에서 ‘개인정보에 대한 제3자의 접근권한 부여’를 ‘제공’의 한 태양으로 인정하고 있고, 이 사건 고시 제4조 제1항은 ‘정보통신서비스 제공자 등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다.’고 규정하고 있는바, 만약 원고로부터 개인정보를 제공받은 판매자가 개인정보취급자는 절대 될 수 없다고 해석하면 원고는 표준지침 제7조 제1항의 방식으로 개인정보를 제공하였으나 이 사건 고시 제4조 제1항을 위반하는 결과가 초래된다고 주장한다(피고의 2023. 4. 5. 자 준비서면 제23쪽). 그러나 이 사건 고시 제1조에 의하면 이 사건 고시의 제정 목적은 개인정보 보호법 시행령 제48조의2에 규정된 정보통신서비스 제공자 등이 이용자의 개인정보를 처리함에 있어 개인정보의 안전성 확보를 위하여 필요한 기술 보호조치의 내용을 정하는 것인바, 이 사건 고시 제4조 제1항은 개인정보 보호책임자 또는 개인정보취급자가 개인정보처리자의 의사에 따라 개인정보를 처리하도록 함에 있어 개인정보처리시스템에의 접근 가능한 주체를 한정하여 개인정보를 안전하게 관리하도록 한 것인 반면, 표준지침 제7조 제1항은 개인정보 보호법 제17조 제1항을 구체화하여 세부적인 사항을 규정한 것으로서 개인정보처리자가 자신과는 별개의 개인정보처리자에 해당하는 제3자에게 개인정보에 대한 접근권한을 부여하는 방식으로 개인정보를 제공할 수 있음을 규정한 것이므로, 판매자가 개인정보취급자에 해당하지 않는다고 보더라도 원고가 이 사건 고시 제4조 제1항을 위반한 것이 되지는 않는다고 봄이 상당하다. 따라서 피고의 이 부분 주장은 받아들일 수 없다.
주12) 개인정보 보호법 제22조, 표준지침 제12조에 따른 동의절차를 거쳐야 한다.
주13) 하위법령은 그 규정이 상위법령의 규정에 명백히 저촉되어 무효인 경우를 제외하고는 관련 법령의 내용과 입법 취지 및 연혁 등을 종합적으로 살펴서 의미를 상위법령에 합치되는 것으로 해석하여야 한다(대법원 2016. 6. 10. 선고 2016두33186 판결 등 참조).
주14) 피고도 이 사건 고시 제4조 제6항, 제7조에 관하여, ‘원고가 판매자의 컴퓨터에 대해서까지 망분리 혹은 보안 프로그램을 설치·운영해 줄 의무를 부담하는 것은 아니고, 판매자의 컴퓨터는 판매자 스스로 망분리 혹은 보안 프로그램을 설치·운영 조치를 취하는 것이 수년간 걸쳐 확립된 행정관행’이라는 취지로 주장한다(피고의 2023. 4. 5. 자 준비서면 제39~41쪽).
주15) 피고는 원고가 스스로의 선택에 의하여 판매자에게 원고의 개인정보처리시스템에 대한 접근권한을 부여하였으므로 그에 따른 안전성 확보조치를 취하는 것은 자기책임의 원리상 당연한 귀결이라고 주장한다(피고의 2023. 4. 5. 자 준비서면 제24, 25쪽). 그러나 원고가 판매자와 체결한 이 사건 약관 제5조 후문은 ‘회사(원고)는 회원이 제공하고 등록한 정보에 대해서는 해당 회원이 그에 대한 직접적인 책임을 부담하여야 한다.’고 규정하고, 제31조 제5호는 ‘판매회원이 구매회원의 개인정보를 처리할 때에는 개인정보의 분실, 도난, 유출, 변조 또는 훼손을 방지하기 위하여 관련법령에서 정한 기술적·관리적 조치를 다하여야 한다.’고 정하고 있는바, 원고가 판매자에게 개인정보처리시스템에 대한 접근권한을 부여하면서 개인정보의 분실 등을 방지하기 위한 기술적·관리적 조치까지도 원고가 모두 책임질 것을 스스로 선택하였다고 보이지 않고, 피고의 주장 논리대로라면 판매자 역시 스스로의 선택에 의하여 원고의 개인정보처리시스템에 대한 접근권한을 부여 받아 구매자의 개인정보를 제공받았으므로 그에 따른 안전성 확보조치를 취하는 것이 자기책임의 원리상 당연한 귀결일 것으로 보인다. 따라서 피고의 이 부분 주장은 받아들일 수 없다.
(출처: 서울고등법원 2023. 9. 1. 선고 2022누54360 판결 : 상고 [시정조치명령처분취소의소] > 종합법률정보 판례)
==================
(1) 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 그러한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다(대법원 2014. 7. 24. 선고 2012다49933 판결, 대법원 2016. 8. 17. 선고 2014다235080 판결 등 참조).
개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 2011. 3. 29. 법률 제10465호로 제정되어 2011. 9. 30.부터 시행된 개인정보 보호법은 개인정보처리자가 업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 수집·보유·이용·제공 등의 처리를 하는 경우에 준수하여야 할 의무에 관하여 규정하고 있다. 즉 개인정보처리자는 개인정보를 수집하는 경우에 그 목적에 필요한 최소한의 개인정보를 수집하여야 하고, 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다(제16조 제1항, 제2항). 그리고 개인정보처리자가 정보주체의 개인정보를 제3자에게 제공하는 경우에는 개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목 등을 정보주체에게 알리고 동의를 받아야 하는데(제17조 제1항, 제2항), 이때에 개인정보처리자는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알려야 한다(제22조 제1항).
또한 개인정보 보호법은 ‘개인정보를 처리하거나 처리하였던 자가 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받는 행위’를 금지하고(제59조 제1호), 이를 위반하여 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자’를 3년 이하의 징역 또는 3천만 원 이하의 벌금에 처하도록 규정하고 있다(제72조 제2호).
이와 같은 개인정보자기결정권의 법적 성질, 개인정보 보호법의 입법 목적, 개인정보 보호법상 개인정보 보호 원칙 및 개인정보처리자가 개인정보를 처리함에 있어서 준수하여야 할 의무의 내용 등을 고려하여 볼 때, 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’이라 함은 개인정보를 취득하거나 또는 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 개인정보 취득 또는 그 처리에 동의할지 여부에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위를 뜻한다고 봄이 타당하다. 그리고 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지 여부를 판단함에 있어서는 개인정보처리자가 그에 관한 동의를 받는 행위 그 자체만을 분리하여 개별적으로 판단하여서는 안 되고, 개인정보처리자가 개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴보아 거기에서 드러난 개인정보 수집 등의 동기와 목적, 수집 목적과 수집 대상인 개인정보의 관련성, 수집 등을 위하여 사용한 구체적인 방법, 개인정보 보호법 등 관련 법령을 준수하였는지 여부 및 취득한 개인정보의 내용과 규모, 특히 민감정보·고유식별정보 등의 포함 여부 등을 종합적으로 고려하여 사회통념에 따라 판단하여야 한다.
그 처리에 관한 동의를 받았는지 판단하는 방법, 개인정보자기결정권의 법적 성질
‘거짓이나 그 밖의 부정한 수단이나 방법’이라 함은, 개인정보의 ‘제3자 제공’의 의미, 개인정보 위탁’의 의미,
개인정보 ‘제3자 제공’의 의미, ‘거짓이나 그 밖의 부정한 수단이나 방법’의 의미
개인정보자기결정권의 법적 성질, 개인정보 보호법의 입법 목적, 개인정보 보호법상 개인정보 보호 원칙
'대법원 판례 - 민사' 카테고리의 다른 글
❤️🧡💛대법원 2010. 10. 28. 선고 2010다53754 판결[손해배상(자)] - =손해배상채무의 중첩적 인수, 보험자의 손해배상채무와 피보험자의 손해배상채무의 관계(=연대채무)💛🧡❤️ (2) 2024.01.03 대법원 2003. 4. 8. 선고 2002다70181 판결[소유권말소등기] - 소송판결의 기판력이 미치는 범위 (0) 2023.12.31 피고 대리인이 주장하는 상당 인과관계는? (0) 2023.12.29 대법원 2009. 4. 23. 선고 2006다81035 판결 - 법률 해석의 방법과 한계 (0) 2023.12.25 대법원 1999. 8. 24. 선고 99다21264 판결 [구상금] - 과실상계 비율의 인정 기준 (4) 2023.12.07