50.3.2.2.

페이스북 ‘CA 스캔들’ 1심 판결이 제시한 ‘공개된 개인정보’ 처리의 기준

• 새 탭 열기
• 작성 이력 보기

서울행정법원 2023. 10. 26. 선고 2021구합57117 판결

(3) 한편 이미 공개된 개인정보를 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서 수집∙이용∙제공 등 처리를 할 때는 정보주체의 별도의 동의는 불필요하다고 보아야 할 것이다. 그리고 정보주체의 동의가 있었다고 인정되는 범위 내인지는 공개된 개인정보의 성격, 공개의 형태와 대상 범위, 그로부터 추단되는 정보주체의 공개 의도 내지 목적뿐만 아니라, 정보처리자의 정보제공 등 처리의 형태와 그 정보제공으로 인하여 공개의 대상 범위가 원래의 것과 달라졌는지, 그 정보제공이 정보주체의 원래의 공개 목적과 상당한 관련성이 있는지 등을 검토하여 객관적으로 판단하여야 할 것이다[대법원 2016. 8. 17. 선고 2014다235080 판결(로앤비 판결) 등 참조].

(4) 그러나 개인정보의 제3자 제공에 관한 규정은 정보주체의 개인정보자기결정권 제한에 대한 근거가 되므로, 정보통신서비스 제공자가 개인정보를 제3자에 제공함에 있어서는 어디까지나 구 정보통신망법 제24조의2 제1항에 따른 정보주체의 동의를 받는 경우가 원칙적인 모습이 되어야 하고, 정보주체의 동의가 없는 개인정보의 제3자 제공은 예외적으로만 인정되어야 하므로 그 요건 또한 가급적 엄격히 해석되어야 한다(대법원 2023. 6. 29. 선고 2018도1917 판결의 취지 참조).

서울행정법원 2023. 10. 26. 선고 2021구합57117 판결

3. 이 사건 처분의 적법 여부

다. 이 사건 처분사유의 존부

4) 개인정보를 제3자 앱에 제공할 때 정보주체인 친구의 동의가 필요한지 여부

나) 구체적인 판단

앞서 인정한 사실관계와 앞서 든 증거들에 변론 전체의 취지를 더하여 알 수 있는 다음과 같은 사정들을 종합하면, 설령 제3자 앱에 제공된 개인정보가 친구 스스로 이미 공개한 개인정보라고 하더라도, 이를 두고 이 사건 쟁점조항에서 요구하는 필수적 법정 고지사항의 명확한 인식 내지 예상 가능성을 전제로 한 추정적 동의라고 평가할 수는 없으므로, 원고가 그 개인정보를 이 사건 정보이전 과정을 통해 제3자 앱에 제공한 행위는 정보주체인 친구의 별도의 동의를 받지 않더라도 친구의 동의가 있었다고 객관적으로 인정되는 범위 내에 해당한다고 보기 어렵다. 따라서 원고가 친구의 동의 없이 그 개인정보를 제3자 앱에 제공한 것은 친구의 개인정보자기결정권을 침해한 위법한 행위에 해당한다고 봄이 타당하다.

(1) 설령 원고의 주장과 같이 친구가 페이스북에 공유한 개인정보가 ’이미 공개된‘ 개인정보라고 볼 여지가 있다고 하더라도, 공개된 개인정보도 개인정보자기결정 권에 의해 보호대상이 되고, 개인정보를 스스로 공개한 경우에도 해당 개인정보의 처리는 여전히 정보주체의 통제 하에 있어야 한다

(2) 이 사건 쟁점조항에 의하면 개인정보를 제3자에 제공하려면 법정 고지사항(① 개인정보를 제공받는 자, ② 개인정보를 제공받는 자의 개인정보 이용 목적, ③ 제공하는 개인정보의 항목, ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간)을 이용자에게 알리고 그 동의를 받아야 하고, 정보통신서비스 제공자는 적법한 동의를 받기 위하여 미리 용이하게 법정 고지사항의 구체적 내용을 알아볼 수 있을 정도로 법정 고지사항 전부를 명확하게 게재하여야 한다. 따라서 이미 공개된 개인정보를 ’정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서‘ 제공한 것인지 여부를 판단할 때에도, 개인정보가 제3자에 제공될 당시 해당 정보주체가 개인정보가 제3자에 제공된다는 사실 자체뿐만 아니라 위 4가지의 법정 고지사항에 관하여 어느 정도 인식할 수 있었는지 여부도 충분히 고려하여 신중하게 판단하여야 한다.

(3) 원고는 페이스북 서비스의 데이터 정책, SRR, ‘공개 범위 설정’ 화면, ‘앱, 플러그인, 웹사이트 끔’ 화면 등에 의하여 친구에게 그 개인정보가 친구관계인 이용자를 통해 제3자 앱에 공개될 수 있음을 고지하였고, 친구는 설정 조정을 통하여 이용자에게 공유한 개인정보가 제3자 앱에 이전되는 것을 제한할 수도 있었다는 점을 근거로 친구의 동의가 있었다고 객관적으로 인정되는 범위 내에서 그 개인정보가 제3자 앱에 제공된 것이라고 주장한다.

살피건대, 먼저 ① 데이터 정책(‘기타 웹사이트 및 앱’ 항목 → ‘다른 웹사이트 및 앱’ 화면)에 의하면, 이용자가 페이스북 로그인 방식을 통하여 제3자 앱에 가입하여 이용하면 (친구의 별도의 동의 없이) 제공되는 친구의 정보는 원칙적으로 (친구 중 같 은 제3자 앱을 사용하는 사람이 누구인지 파악하기 위하여) 친구의 ‘아이디’ 등에 한정되고, 친구가 자신의 ‘좋아요 설정 관련 정보’를 이용자를 포함한 페이스북 친구들만 볼 수 있도록 설정한 경우 제3자 앱은 친구가 아니라 “이용자”에게 그 정보의 공유를 허락해달라고 요청할 수 있다고 기재되어 있을 뿐, 친구가 이용자와 공유한 모든 개인정보가 제공될 수 있다는 취지나 그 과정에서 친구로부터 별도의 동의 내지 허락을 받는다는 취지의 내용은 발견할 수 없다. 다음으로 ② SRR에 의하면, ‘제3자 앱은 다른 사람들(예컨대 친구)이 이용자와 공유한 콘텐츠와 정보에 접근하고자 “이용자”의 허락을 요청할 수 있다’는 취지로만 기재되어 있어, 정보주체인 친구의 동의 내지 허락을 받지는 않는다는 점에 관하여는 전혀 언급이 없다. 따라서 친구가 데이터 정책이나 SRR을 숙지하였다고 가정하더라도, 그 문구상 자신과 친구관계인 이용자가 제3자 앱을 사용할 경우 친구 자신의 개인정보가 (이용자가 아닌 친구 자신의) 별도의 동의 내지 허락 없이 포괄적으로 제공되리라는 것을 예상하기는 어려워 보인다.

다음으로 ③ ‘공개 범위 설정’ 화면(‘다른 사람들이 사용하는 앱’ 도구)과 ‘앱, 플러그인, 웹사이트 끔’ 화면의 경우, 이는 친구로 하여금 이용자가 제3자 앱에 가입하여 이용할 때 친구 자신의 개인정보가 제공되는 것을 제한할 수 있게 하는 도구이기는 하다. 그런데 먼저 ‘다른 사람들이 사용하는 앱’ 도구의 경우, 친구가 페이스북 서비스 의 메인 화면에서 이에 접근하기 위해서는 여러 단계로 버튼을 순차적으로 클릭하여야 했고, 위 도구에서 일부 항목 외에는 대부분의 개인정보 항목이 원칙적으로 제3자 앱에 제공되는 것이 기본값으로 설정되어 있었으며(이는 정보주체인 페이스북 사용자의 동의 여부를 불문하고 그 개인정보를 처리하고 정보주체가 명백히 거부의사를 밝힌 경 우에만 개인정보 처리를 중지하는 이른바 옵트아웃(Opt-out) 방식을 채택한 것으로, 개인정보를 제3자에 제공하려면 미리 정보주체로부터 동의를 받도록 한 이 사건 쟁점조항에 부합하지 않음을 지적하여 둔다), 그 화면에 기재된 ‘이 설정을 사용해서 앱 이용 시에 공유 가능한 정보를 관리하세요’라는 문구 자체의 의미도 친구에게 이 사건 정보 이전 과정을 제한할 의사가 있는지 여부를 묻는 것인지 명확하지 않다. ‘앱, 플러그인, 웹사이트 끔’ 화면의 경우, 친구가 그 화면에서 ‘플랫폼 끄기’를 선택할 경우에는 친구 스스로도 페이스북 로그인 방식으로 다른 웹사이트나 앱을 이용하는 것 자체가 원천적으로 차단된다는 취지의 것을 포함하여 여러 가지 경고 메시지가 노출되었기 때문에 친구가 위 화면에서 ‘플랫폼 끄기’를 선택하기는 사실상 어려웠을 것으로 보인다.

그 밖에 원고가 친구를 포함한 페이스북 사용자들에게 제시한 각종 약관, 설정 및 안내 화면 등을 모두 살펴보더라도, 페이스북 서비스에서 해당 도구나 화면에 접근하는 것 자체가 용이하지 않은 점, 원고가 제시한 각 문구를 보더라도 친구가 과연 이 사건 정보이전 과정을 통한 개인정보의 포괄적인 제공 사실을 명확하게 알 수 있었다거나 설정 변경을 통하여 이를 제한할 수 있다는 취지라고 분명하게 이해할 수 있었을지 의문인 점 등에 비추어 보면, 친구가 이 사건 정보이전 과정을 충분히 미리 알고 이를 제한할 수 있었다고 보기는 어렵고, 특히 친구는 개인정보를 제공받는 자인 제3자 앱이 누구인지, 제3자 앱이 위 개인정보를 이용하는 목적, 제3자 앱의 개인정보 보유 및 이용 기간 등의 법정 고지사항에 관하여 전혀 인식할 수 없었던 것으로 보인다. 그렇다면 이 사건 정보이전 과정을 통해 제3자 앱에 친구의 개인정보가 제공된 것이 정보주체인 친구의 동의가 있었다고 객관적으로 인정되는 범위 내에서 이루어진 것이라고 보기는 어렵다고 판단된다.

[이 사건 행위에 관한 외국의 제재 사례를 살펴보더라도, ① 영국 ICO는 ‘친구는 제3자 앱에 의하여 자신의 개인정보가 수집된다는 사실을 알지 못했고, 동의를 요청받은 사실도 없다. 원고가 주장하는 방식에 의한 동의는 Directive 95/46/EC12) 제2조 (h)에 따른 ’자유롭게 주어진, 특정된, 고지된‘ 의사의 표시로 볼 수 없으며 따라서 유효한 동의라고 볼 수 없다’고 결정하였고, ② 이탈리아 GPDP는 ‘페이스북 로그인 기능을 통해 제3자 앱을 활성화한 이상 이용자에게 원고가 수집한 개인정보가 전부 전송되도록 하는 것 외에 다른 대안이 부여되지 않았으며 옵트아웃 방식을 통한 부분적인 변경만 가능하였는데 이 경우에도 전송에 동의하는 것이 기본값으로 설정되어 있었다는 점에서 개인정보 전송에 대한 동의가 명시적이고 구체적이고 자유롭게 표현된 것으로 간주할 수 없다’고 결정하였으며, ③ 미국 FTC의 동의의결 및 이 사건 소장에는 ‘Facebook은 친구의 개인정보에 접근하기 위해 제3자 앱 개발자가 친구에게 직접 권한을 요청하도록 요구하지 않았다. 대신 Facebook은 이용자가 부여한 권한만을 기반으로 친구 개인정보를 자동으로 보냈다’, ‘Facebook은 친구가 이용자와 개인정보를 공유하면 Facebook이 해당 개인정보를 제3자 앱 개발자와 공유할 수 있다는 사실을 친구에게 공개하지 않았다’, ‘Facebook은 친구가 설정 페이지에서 설정을 찾아 옵트아웃 하지 않는 한 친구의 개인정보를 제3자 앱 개발자와 공유하는 기본 설정을 사용하여 친구를 오도하였다’고 기재되어 있는바, 그 공통된 취지는 원고가 제시한 각종 약관, 설정 및 안내 화면 등에도 불구하고 개인정보가 제3자 앱에 제공되는 것에 대하여 친구의 동의가 있었다고 추단하기 어렵다는 것이다.]

(4) 친구가 페이스북 서비스를 이용하면서 공유한 정보는 ’전체 공개‘의 경우에는 모든 페이스북 사용자들, ’친구만‘ 공개의 경우에는 페이스북 친구들 등 원칙적으로 한정된 사람을 공유의 대상으로 한다. 그리고 설령 원고의 주장과 같이 이 사건 정보이전 과정의 결과 원고가 Graph API V1을 개발·도입한 취지와 같이 이용자의 입장에서 친구와 연결하여 공유하는 경험을 다른 서비스(제3자 앱)로 가져갈 수 있는 긍정적인 효과가 발생한다고 하더라도, 이는 친구와는 직접적인 관련이 없다. 더군다나 제3자 앱은 원고로부터 제공받은 친구의 개인정보를 위 Graph API V1의 개발·도입 취지와 전혀 무관한 용도로 자의적으로 활용하였다[원고가 데이터 플랫폼 정책(갑 제21호증) 등을 통하여 ’제3자 앱은 위 개인정보를 앱을 이용하는 컨텍스트 내에서만 사용할 수 있고 다른 목적으로 이를 사용하고자 할 경우 확실한 사전 동의를 얻어야 한다‘고 명시하였다고 하더라도, 이는 오히려 제3자 앱이 원래 개인정보를 제공받은 목적 외로 이를 악용하는 것에 대한 원고의 예방적 조치들이 불충분했음을 뒷받침한다]. 따라서 친구와 친구관계인 이용자가 제3자 앱에 페이스북 로그인 방식으로 가입하여 이용할 때 친구 자신의 개인정보가 그 제3자 앱에 제공되는 것은 친구의 원래 공개 목적과 상당한 관련성이 있다고 보기 어려울 뿐만 아니라, 친구의 공개 의도 내지 목적에도 부합하지 않는다(따라서 원고의 주장과 달리 친구가 데이터 정책과 SRR에 동의하고 페이스북에 개인정보를 공유함으로써 이용자에 의한 정보의 재공유를 허용하는 방향으로 개인정보자기결정권을 행사하였다고 볼 수도 없다). 정보주체인 친구는 이 사건 정보이전 과정에 전혀 개입하지 않았고, 이를 충분히 인지할 수 있었다고 보기도 어려우며, 따라서 개인정보자기결정권을 적절하게 행사할 수 없었다.

공개된 개인정보의 성격,

공개의 형태와 대상 범위,

그로부터 추단되는 정보주체의 공개 의도 내지 목적

정보처리자의 정보제공 등 처리의 형태와

그 정보제공으로 인하여 공개의 대상 범위가 원래의 것과 달라졌는지,

그 정보제공이 정보주체의 원래의 공개 목적과 상당한 관련성이 있는지

(5) 다음과 같은 사정들에 비추어 보면, 제3자 앱이 친구 개인정보를 제공받음으로써 얻을 수 있는 이익이 그로 인해 침해되는 정보주체인 친구의 인격적 법익에 비하여 우월하다고 볼 수 없다.

(가) 설령 제3자 앱에 제공된 친구의 개인정보가 정보주체인 친구 스스로 페이스북 서비스를 통하여 이미 공개한 정보라고 하더라도(따라서 구 정보통신망법 제23조에서 말하는 ‘민감정보’에는 해당하지 않는다고 볼 여지가 있다고 하더라도), 앞서 본 바와 같이 (특히 ‘친구만’ 공개의 경우) 원칙적으로 한정된 사람을 공유의 대상으로 하고 있다는 점에서 일반인이 일반적으로 접근할 수 있도록 외부에 공개된 매체에 공개된 경우와는 그 성질을 달리한다. 나아가 위 개인정보에는 Graph API V1의 개발·도입 목적인 ‘이용자의 앱 내 경험 공유’와 관련이 있다고 보기는 어렵고 오히려 제3자 앱에 의하여 악용될 위험이 있거나 개인의 사생활을 침해할 수 있는 정보, 예컨대 친구의 바이오정보, 기념일, 위치정보, 가족관계, 관계선호도, 종교 및 정치관 등도 다수 포함되어 있었다.

(나) 로앤비 판결에서는 정보주체가 공립대학교 법학과 교수로서 공적인 존재이고 그 학력, 경력에 관한 정보는 공공성 있는 개인정보라는 점이 중요하게 고려되었는데, 이 사건에서는 정보주체인 친구가 공적인 존재라고 볼 근거가 없을 뿐만 아니라, 앞서 본 그 구체적인 내용에 비추어 볼 때 친구의 개인정보가 공공성과 공익성이 있다고 평가하기도 어렵다(따라서 그 개인정보를 수집할 수 있는 ’알 권리‘나 이를 기반으로 하는 정보수용자의 표현의 자유가 위 개인정보를 제공받는 행위로 보호받을 수 있는 법적 이익에 포함된다고 보기도 어렵다). 친구 스스로 유해하다고 생각하거나 친구와는 전혀 관련 없는 제3자 앱에 이용자가 가입함으로써 친구의 정보가 제공되는 경우를 상정해본다면, 원래 공개 목적과의 상당한 관련성을 인정할 수 없음은 물론이고 공공성 역시 인정할 수 없음이 더욱 명확하다. 즉, 친구의 개인정보가 친구 본인의 의 사에 반하여서까지 제3자 앱에 제공되어야 할 공공성 있는 개인정보라고 볼 수 없다.

(다) 제3자 앱 중 이 사건에서 문제된 Life 앱과 Rankwave 앱만을 놓고 보더라도, 제공된 친구의 개인정보가 약 330만 명에 이를 정도로 방대하다. 제3자 앱은 원고의 정책에 반하여 영리 목적 등으로 위와 같이 제공받은 수많은 친구의 개인정보를 활용하였고, 친구는 이 사건 정보이전 과정 자체를 인식하지 못하여 이에 전혀 개입할 수 없었던바, 그로 인하여 친구의 인격권이 현저하게 침해되었다. 위와 같이 친구의 개인정보를 자의적으로 활용한 제3자 앱의 영리 목적 등이나 이용자, 제3자 앱이 ‘이용자의 앱 내 경험 공유’를 통하여 얻을 수 있는 편익 등이 친구의 인격적 법익보다 우월하다고 볼 수는 없다.