- ITㆍ정보ㆍ방송통신
- 개인정보ㆍ위치정보ㆍ신용정보
- 98. [사례분석] 위메프 사건 1, 2, 3심 판결을 통해 확인된 개인정보 관련 법리의 정리
98.[사례분석] 위메프 사건 1, 2, 3심 판결을 통해 확인된 개인정보 관련 법리의 정리
[사례분석] 위메프 사건 1, 2, 3심 판결을 통해 확인된 개인정보 관련 법리의 정리
대법원은 2023. 10. 12. 선고한 2022두68923 판결에서, 위메프 블랙프라이스데이 이벤트(이하 ‘이 사건 이벤트’) 당시 직원의 실수로 캐시 정책이 잘못 설정되어 이용자 20명의 개인정보가 다른 이용자 29명에게 노출된 사안과 관련하여, 개인정보보호법제 위반시의 과징금 산정 기준 및 고려 요소에 대해, 최초로 명시적인 판단을 했다. 그런데 이 사건의 경우 심급별로 유의미한 법리의 확인이 있었기에, 이를 모두 살펴볼 필요가 있다.
[1심 판결(서울행정법원 2020구합59628): 구 개인정보의 기술적∙관리적 보호조치 기준 제4조 제9항이 정한 보호조치의 내용에 대한 대법원 최신 판결을 캐시 정책 설정 오류에 적용]
구 개인정보의 기술적∙관리적 보호조치 기준 제4조 제9항은 “정보통신서비스 제공자 등은 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터에 <조치>를 취하여야 한다.”는 규정입니다.
2021. 8. 19. 대법원은 KT 개인정보 유출 사건에서 위 <조치>의 내용은 “정보통신서비스 제공자 등이 취급 중인 개인정보가 인터넷 홈페이지 등에 대한 해킹 등 침해사고에 의해 유출되지 않도록 개인정보처리시스템과 개인정보취급자의 컴퓨터에 취하여야 할 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치”라고 최초로 명시적인 판결을 했습니다(대법원 2018두56404).
그런데 마침 위메프 사건 1심이 그 직후인 2021. 8. 27. 변론종결되었으며, 이 사건에서도 캐시 정책 설정 오류가 위 제4조 제9항 <조치>의무 위반에 해당하느냐가 쟁점이었고, 1심 법원은 위 대법원 판결을 반영해 아래와 같이 판시했습니다.
| ㉠ 개인정보에 대한 접근통제를 위하여 필요한 조치나 개인정보가 외부에 유출되지 않도록 취하여야 하는 조치 등은 그 유형이나 종류가 광범위하여 해당 법령이나 구 보호조치 기준에서는 다소 개략적으로 그에 대한 보호조치 의무를 규정하는 것이 불가피한 점, ㉡ 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있는 점, ㉢ 이 사건 보호조치 기준 해설서에서도 ‘홈페이지 설계‧구현 오류로 인한 개인정보 유‧노출 사고’를 개인정보 보호조치의무의 위반사례로 설명하고 있는 점 등에 비추어 보면, 구 보호조치 기준 제4조 제9항이 구체적인 조치의무를 규정하지 아니한 채 사실상 결과책임을 부과하는 규정이라거나, 피고가 구체적인 개인정보 보호조치의무 위반의 내용을 특정하지 아니한 채 이 사건 각 처분을 한 것으로 보기 어렵다. (중략) 이 사건 사고는 이 사건 이벤트를 운영하기 위해 이 사건 이벤트 페이지를 새롭게 제작하는 과정에서 원고 소속 직원의 설계 오류 및 캐시 설정 변경에 대한 영향도 미확인 등 원고 측 과실로 인해 발생한 것임은 명백한바… |
즉 직원이 실수로 캐시 정책을 잘못 설정하여 개인정보가 유출되도록 설정하고 이에 대해 검증 등 확인이 이루어지지 않은 점에 대해 과실을 인정하고 위 제4조 제9항 위반에 해당한다고 판단하여, 시정명령 처분이 적법하다고 했고 이는 확정되었습니다.
현재 시행되고 있는 개인정보의 안전성 확보조치 기준 제6조 제3항은 위 제4조 제9항과 거의 유사한 내용을 유지하면서 수범자는 모든 개인정보처리자로 확장했습니다. 때문에, 위 제4조 제9항에 대한 대법원 판결 및 위메프 사건 1심 판결의 판단 내용은 앞으로도 계속 참조할 필요가 있습니다.
[2심 판결(서울고등법원 2021누73975): ‘관련성’은 불확정개념으로 하위 규범이 구체화할 수 있고, 법률이 정한 ‘관련매출액’을 시행령과 고시가 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업년도의 연평균 매출액’으로 구체화한 것이 위법하지 않다고 판단]
개인정보보호법제는 과징금을 부과할 때 기준이 되는 ‘관련매출액’을 시행령과 고시가 구체화할 때에, 다른 법률과 달리, 위반행위와 직접적으로 관련이 있는 매출액이 아니라 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 <서비스>의 직전 3개 사업년도의 <연평균 매출액>’으로 구체화하고 있습니다.
위메프 사건 2심에서는 이에 대해 처음으로 ‘시행령과 고시가 법률의 위임 범위를 벗어나 위법하다’는 주장이 명시적으로 제기되었고, 이에 따라 법원의 명시적인 판단도 요구되었습니다.
그런데 마침 2022. 5. 26. 위 관련매출액에 대한 헌법재판소의 2020헌바259 결정이 있었고, 위메프 사건 2심은 2022. 9. 30. 변론종결되었기에, 2심 법원은 위 헌법재판소 결정을 반영하여 위 시행령과 고시는 모두 법률의 위임 범위를 벗어나지 않았다고 판시했습니다.
특히 2심 판결은 ‘위반행위와 관련한 매출액’의 ‘관련성’ 부분은 불확정개념으로서 하위 규범에서 이를 구체화하도록 위임하는 것은 자연스러우므로 시행령이 ‘관련성’ 개념의 한계를 벗어났음이 명백하지 않은 이상 그러한 시행령이 무효라고 보기 어렵다고 했습니다.
또한 헌법재판소의 판시를 인용하면서, 개인정보보호법제에서의 ‘관련매출액’은 ‘위반행위와 관련한 서비스 분야의 일반적인 경제적 능력’을 반영하는 것으로서 ‘해당 서비스의 연매출’을 기준으로 하는 것이고, ‘위반행위의 기간’은 과징금 부과시 여러 고려요소 중 하나이기 때문에 위반행위의 기간이 짧은 경우까지도 ‘직전 3개 사업연도’의 연평균 매출액을 기초로 과징금을 부과하도록 정했더라도 법률의 위임 범위를 벗어나지 않는다고도 했습니다.
한편 현행 개인정보보호법은 ‘관련매출액’을 산정하는 것이 아니라 전체매출액에서 ‘위반행위와 관련이 없는 매출액’을 제외하게 하고 있습니다. 그러나 시행령은 이러한 ‘관련이 없는 매출액’을 ‘개인정보의 처리와 관련이 없는 재화 또는 서비스의 매출액’ 또는 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 재화 또는 서비스의 매출액이 아닌 것’으로 구체화하였고, 위 전체매출액 역시 ‘직전 3개 사업연도의 연평균 매출액’으로 구체화했기 때문에, 위메프 사건 2심 판결 역시 향후에도 참고할 수 있을 것으로 보입니다.
[대법원 판결: ①관련매출액 산정의 기준이 되는 <서비스> 범위와 ②과징금 부과시의 재량권에 대해 최초로 명시적으로 판시]
위메프 사건의 2심 판결은 시행령과 고시가 관련매출액을 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 <서비스>의 직전 3개 사업년도의 <연평균 매출액>’으로 구체화한 것이 적법하다고 하면서도, 위 <서비스> 범위를 ‘이 사건 이벤트’로 한정해야 한다고 판단했습니다. 이 사건 쇼핑몰 홈페이지의 웹서버와 이 사건 이벤트 페이지의 웹서버가 서로 분리 운영되었고, 이에 따라 개인정보가 보관된 데이터베이스에 대한 접근경로에도 차이가 있었는데, 이 사건 사고의 원인인 캐시 설정 오류는 이 사건 이벤트 페이지에서만 발생했다는 게 그 이유였습니다.
그러나 대법원은 이에 대해 아래와 같이 판단했습니다.
구 정보통신망법 제64조의3 제1항 제6호에서 정한 자에 대하여 과징금을 부과함으로써 박탈하고자 하는 이득은, 문제된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히려 정보통신서비스 제공자가 적절한 보호조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유함으로써 얻은 이득이라 보아야 한다. 이에 따라 위 과징금 부과를 위한 관련 매출액을 산정함에 있어 “위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스”의 범위는, 유출사고가 발생한 개인정보를 보유∙관리하고 있는 서비스의 범위를 기준으로 판단하여야 한다. 이 사건 이벤트 페이지를 통해 유출된 개인정보는 이 사건 쇼핑몰 이용자들의 정보가 담긴 데이터베이스에서 유출된 것으로서, 그 개인정보는 이 사건 쇼핑몰 서비스의 전체적인 운영을 위해 수집∙관리되는 정보이고, 이 사건 이벤트 페이지에서 제공하는 서비스만을 위한 목적으로 수집∙관리된 정보가 아니다. 그렇다면 원고에 대한 과징금을 산정하기 위한 관련 매출액도 해당 개인정보 데이터베이스를 보유∙관리하는 서비스인 이 사건 쇼핑몰 서비스 전체의 매출액으로 보아야 한다. 이 사건 이벤트 페이지로부터 개인정보 데이터베이스에 접근할 수 있는 경로가 이 사건 쇼핑몰 웹사이트에서의 접근경로와 다르다는 사정만으로 관련 매출액이 이 사건 이벤트 페이지에서 발생한 매출액으로 한정된다고 볼 수 없다. 물론, 이 사건 쇼핑몰 이용자들의 개인정보가 담긴 데이터베이스에 대하여 독립된 접근경로를 가진 웹페이지에서 제공하는 서비스가 이 사건 쇼핑몰이 제공하는 서비스와 외견상 구분되는 독자적인 서비스인 경우에는, 해당 서비스에서 발생한 매출액만을 관련 매출액으로 산정할 여지가 있다. 그러나 이 사건 이벤트 페이지는 이 사건 쇼핑몰과 독립된 서비스를 제공하는 것이 아니라, 이 사건 쇼핑몰의 이용자들을 대상으로 이 사건 쇼핑몰에서 판매하는 상품에 대한 포인트 적립 혜택을 제공하기 위한 것일 뿐이므로, 이 사건 쇼핑몰에서 제공하는 서비스와 구분될 수 없다. |
다만 대법원은 이 사건의 경우 단 하루, 직원의 단순 실수로, 20명의 개인정보가 29명의 다른 이용자에게 개별적으로 유출되어 추가 피해 우려가 매우 작았다는 점, 그리고 위반 정도가 경미할 경우 과징금 부과를 시정조치 명령으로 갈음할 수 있고 현행 규정이 과징금 면제사유를 규정한 부분 등을 고려하여, 이 사건 과징금은 위반행위의 위법성 정도에 비해 과중하여 재량권을 일탈∙남용했다고 보았습니다.
대법원의 판시 취지를 전체적으로 종합하면, 관련매출액 산정시 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 <서비스>의 범위는 <문제의 개인정보를 보유∙관리하고 있는 서비스>의 범위를 기준으로 판단하여야 하는 게 맞고, 다만 경미한 위반사안에 대하여 과중한 과징금이 부과되지 않도록 과징금 부과 여부 자체 등 재량권을 적절히 행사하라는 취지로 이해함이 적절해 보입니다.
그리고 대법원이 이번 판시를 위해 고려한 제반 사항들은 현행법에서도 모두 유사하게 규정하고 있기 때문에, 위 대법원의 판시는 앞으로도 동일하게 참고할 수 있을 것입니다.
