◇ 개인정보 유출 관련 과징금 산정의 기초가 되는 매출액 산정 시 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 범위 ◇ ◇ 개인정보 보호조치 의무 위반에 대한 과징금 부과처분의 재량권 일탈·남용 여부 판단 기준 ◇ 1. 과징금 산정의 기초가 되는 매출액에 관한 규정의 내용 구 정보통신망법 제64조의3 제1항 제6호는 이용자의 개인정보를 유출한 경우로서 개인정보의 보호조치를 하지 아니한 경우 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 규정하면서, 제4항에서 과징금의 구체적 산정기준과 산정절차는 대통령령으로 정하도록 하고 있다. 그 위임에 따른 구 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령'(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것, 이하 ‘구 정보통신망법 시행령’이라고 한다) 제69조의2 제1항 본문은 ‘위반행위와 관련한 매출액’을 “해당 정보통신서비스 제공자 등의 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연평균 매출액”이라고 정의하면서, 같은 조 제4항 [별표 8]의 “3. 세부기준”에서 방송통신위원회로 하여금 위반행위와 관련한 매출액의 산정에 관한 세부 기준을 정하여 고시하도록 하였다. 구 과징금 부과기준 제4조 제1항은 관련 매출액을 “위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업연도의 연평균 매출액”으로 정하였고, 같은 조 제2항은 관련 매출액 산정 시 서비스의 범위는 서비스 제공방식, 서비스 가입방법, 이용약관에서 규정한 서비스 범위, 개인정보 데이터베이스 관리 조직·인력 및 시스템 운영 방식 등을 고려하여 판단한다고 정하고 있다. 2. 과징금은 위반행위에 대한 제재의 성격과 함께 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수로서의 성격도 가지고, 이는 구 정보통신망법 제64조의3 제1항 각 호에서 정한 행위에 대하여 부과하는 과징금의 경우도 마찬가지이다(헌법재판소 2022. 5. 26. 선고 2020헌바259 결정 참조). 그런데 이 사건과 같이 이용자의 개인정보가 유출된 경우 정보통신서비스 제공자가 개인정보 보호조치를 취하지 않음으로 인해 매출액이 증대되는 경우를 상정하기 어렵다. 구 과징금 부과기준 제4조 제2항 또한 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 범위를 판단할 때 서비스 가입방법, 개인정보 데이터베이스 관리 조직·인력 및 시스템 운영 방식 등을 고려하도록 하고 있는바, 위 요소들은 위반행위로 인하여 취득한 이익의 규모와 직접적인 관련이 없다. 구 정보통신망법 제64조의3 제1항 제6호에서 정한 자에 대하여 과징금을 부과함으로써 박탈하고자 하는 이득은, 문제된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히려 정보통신서비스 제공자가 적절한 보호조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유함으로써 얻은 이득이라 보아야 한다. 이에 따라 위 과징금 부과를 위한 관련 매출액을 산정함에 있어 “위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스”의 범위는, 유출사고가 발생한 개인정보를 보유·관리하고 있는 서비스의 범위를 기준으로 판단하여야 한다. 3. 구 정보통신망법 제64조의3 제1항에 따른 과징금은 법 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수의 성격과 함께 위법행위에 대한 제재로서의 성격을 가지고, 같은 조 제3항은 과징금을 부과할 때 위반행위의 내용과 정도, 기간과 횟수 외에 위반행위로 인하여 취득한 이익의 규모 등도 고려하도록 규정하고 있다. 개인정보 보호조치 의무 위반에 대해 부과되는 과징금의 액수는 보호조치 위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려하여 정하여야 한다. 그리고 과징금의 액수가 위반행위의 내용에 비해 과중하여 사회통념상 현저하게 타당성을 잃은 경우라면 그러한 과징금 처분은 재량권을 일탈·남용하여 위법하다고 보아야 한다. ☞ 원고는 쇼핑몰을 운영하는 회사로, 이벤트를 진행하면서 모바일용 이벤트 페이지에 캐시 정책을 잘못 설정하여 쇼핑몰 이용자 20명의 개인정보가 다른 이용자 29명에게 노출되는 사고가 발생하였음 ☞ 피고 개인정보보호위원회(2020. 8. 5. '개인정보 보호법' 개정에 따라 방송통신위원회 소관사무 중 개인정보보호 해당 사항에 관한 행정처분은 피고의 행위로 봄)는 원고가 구 정보통신망법 제28조 제1항 제2호 등을 위반하여 쇼핑몰 이용자들의 개인정보를 유출했다는 이유로 원고가 운영하는 쇼핑몰의 전체 매출액을 구 과징금 부과기준 제4조 제1항에서 정한 ‘관련 매출액’으로 보아, 이를 기준으로 원고에 대하여 시정명령, 과태료 및 과징금 18억 5,200만 원 부과처분 등을 하였음 ☞ 원심은, ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 매출액은 ‘쇼핑몰 전체의 연매출액’이 아닌 ‘이벤트로 인한 매출액’으로 한정되어야 하고, 이 사건 과징금의 액수는 다른 정보통신서비스 제공자의 위반행위에 대해 부과된 과징금 액수와 비교하여 균형을 잃은 것으로 보인다고 판단하여 과징금 부과처분을 취소하였음 ☞ 대법원은, 위 법리에 따라 원고가 운영하는 쇼핑몰 전체 매출액이 ‘관련 매출액’에 해당한다고 보아야 하나, 이 사건 과징금액은 제재적 성격이 지나치게 강조되어 위반행위의 위법성의 정도에 비해 과중하게 산정되었다고 볼 수 있다고 판단하여, 원심의 결론을 수긍하면서 상고를 기각함

[피고와 이동통신서비스 이용계약을 체결한 원고가 구 정보통신망법 또는 위 이용계약을 근거로 원고의 발신통화내역상 접속된 기지국의 위치(지번주소 또는 허가번호)의 공개를 구하는 사건] ◇ 피고가 서비스 이용약관 또는 개인정보 처리방침에 따라 원고에게 위와 같은 기지국의 지번주소 또는 허가번호를 제공할 의무가 있는지 여부(소극) ◇ ☞ 피고와 이동통신서비스 이용계약을 체결한 원고는 피고를 상대로 구 정보통신망법 또는 위 이용계약을 근거로 원고의 발신통화내역상 접속된 기지국의 위치(지번주소 또는 허가번호)의 공개를 구함 ☞ 원심은, 원고의 휴대전화 단말기가 발신하였을 때 접속한 기지국의 위치에 관한 정보(‘이 사건 정보’)는 원고의 위치가 아닌 기지국의 위치에 관한 것으로서 발신 기지국의 위치만으로는 휴대전화 단말기가 어느 위치에서 발신한 것인지를 알아내는 데 한계가 있으므로 이 사건 정보는 구 위치정보법상 위치정보나 개인위치정보 또는 구 정보통신망법상 개인정보에 해당한다고 보기 어렵고, 위 이용계약에 피고가 원고에게 원고의 휴대전화가 발신하였을 때 접속한 기지국 위치에 관한 주소를 제공할 의무가 있다는 내용이 포함되었다고 보기도 어렵다는 이유로 원고의 청구를 받아들이지 않았음 ☞ 대법원은 위와 같은 원심의 판단을 수긍하여 상고를 기각함

암호화폐 전자지갑을 해킹당해 1000만원 가량을 피해 본 가입자가 운영업체를 상대로 소송을 제기했으나 패소 판결을 선고한 사례 1. 주문 (1) 원고의 항소를 기각한다. (2) 항소비용은 원고가 부담한다. 2. 청구취지 및 항소취지 제1심 판결을 취소한다. 피고는 원고에게 1100만4875원과 이에 대하여 2019년 4월 19일부터 이 사건 소장 송달일까지는 연 5%의, 그 다음날부터 다 갚는 날까지는 연 15%의 각 비율로 계산한 돈을 지급하라. 3. 기초사실 가. 피고는 인터넷관련 소프트웨어 개발 및 제조 판매업 등을 영위하는 회사로서 온라인 암호화폐거래소인 'A'를 운영하고 있고, 원고는 A에 본인 계정 및 암호화폐 보관 전자지갑(이하 '이 사건 계정')을 생성하여 비트코인(BTC) 등 암호화폐를 보유하고 있었다. 나. 2019년 4월 18일 23시 3분경 이 사건 계정에서 원고가 보유하고 있던 1.72964646 BTC가 성명불상자에 의하여 불상의 다른 암호화폐 전자지갑으로 송금되는 거래(이하 '이 사건 거래')가 발생하였다. 4. 원고의 주장 가. 원고와 피고 사이에 체결된 서비스 이용계약에 따르면, 피고는 원고의 A 계정에 보관되어 있는 원화포인트 또는 암호화폐를 원고를 위하여 안전하게 보관해 줄 의무를 부담한다. 이는 일종의 유상임치계약으로서, 피고는 위 보관과 관련하여 선량한 관리자의 주의의무를 부담한다. 그런데도 피고는 개인정보 유출 방지, 해외 IP접속 차단조치, 가상화폐 출금시 OTP(One Time Password, 일회용 비밀번호) 등을 이용한 인증시스템 활용, 거래내용에 대한 알림 문자 전송, 보험 가입 등 보호조치를 사전에 구축하지 아니하는 등 선량한 관리자의 주의의무를 게을리함으로써 해커가 원고의 이 사건 계정에 침입하여 그곳에 있던 암호화폐를 인출해 가는 사고가 발생하였고, 그로 인해 원고는 그에 상응하는 원화 상당의 손해를 입었다. 따라서 피고는 원고가 입은 손해를 배상할 의무가 있다. 나. 피고는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 '정보통신망법')에 따른 정보통신서비스의 제공자로서 이용자의 정보보호를 위하여 각종 인증수단을 동원하여 의도하지 않은 접속이나 거래로부터 고객의 정보를 보호할 의무가 있음에도 위 가.항에서 주장한 바와 같은 내용의 정보통신망법 상 주의의무를 게을리함으로써 발생한 원고의 손해를 배상할 의무가 있다. 다. 손해배상청구 금액은 1.72964646 BTC를 원화로 환산한 1100만4875원이다. 5. 판단 살피건대, 앞서 본 증거의 각 기재 및 변론 전체의 취지에 의하여 인정되는 다음과 같은 사실 및 사정을 종합하면, 피고가 암호화폐 거래소로서 이를 이용하는 원고의 계정을 해킹 등으로부터 보호할 선관주의의무(민법 제374조) 또는 정보통신망법상 주의의무를 다하지 못하였다고 인정하기 부족하고, 달리 이를 인정할 증거가 없다. 가. 원고의 회원정보 유출이 피고의 개인정보처리시스템 등의 관리 부실로 발생하였다고 인정할만한 증거가 없다. 현재까지도 이 사건 거래 당시 해커로 추정되는 성명불상자가 어떠한 방법으로 원고의 개인정보를 취득하여 이 사건 계정에 로그인하였는지 정확하게 알 수 없는바, 피고의 A 관리와 무관하게 원고의 휴대폰이 해킹당하거나 복제당하여 원고의 개인정보가 제3자에게 유출되었을 가능성도 배제하기 어렵다. 나. 피고는 2018년 12월 27일 한국인터넷진흥원으로부터 정보통신망법 상 정보보호 관리체계가 적합하다는 인증을 받았고, 그 이후로도 2019년, 2020년에 걸쳐 매년 한국인터넷진흥원으로부터 정보보호관리체계(ISMS)를 심사받고 그에 대한 '인증 유지' 결과를 통보받은 바, 피고가 정보통신망법 상 정보보호조치를 미흡하게 하였다고 볼만한 정황은 확인되지 아니한다. 다. 이 사건 거래 당시 성명불상자는 해외에 소재한 IP 주소(생략)로 접속한 것으로 보인다. 이와 관련하여 피고가 해외 IP 접속차단 등 정보통신서비스 제공자로서 기대되는 최소한의 거래 안전장치를 갖추지 아니하였는지에 관하여 살펴보면, 해외 IP의 접속을 차단하는 것이 이 사건 거래 당시 대한민국 법률 상 보호대상 자산이 아닌 암호화폐 등의 거래를 주선하는 피고의 영업에 대하여 법령상 부과된 의무는 아니고, 해외 IP 접속 차단이 익명의 모든 거래참여자에 의한 거래를 그 근본적 성격으로 하는 암호화폐 거래의 속성에 비추어 피고 측에서 사전에 불법에 관련되어 있다고 구체적으로 인지한 경우가 아닌 한 해외 IP 접속에 대하여 일반적으로 해외 IP 차단의무가 있다고 볼 수도 없으며, 피고의 거래소와 같은 영업에 있어 특정한 거래 안전장치가 일반적 거래관행으로 자리 잡았다는 입증도 없다. 따라서 피고가 평소와 해외 IP 주소를 통한 이용자의 접속을 막지 않았다고 하여 보호의무를 다하지 못한 것으로 보기는 어렵다. 라. 나아가 이 사건 거래 당시 성명불상자는 2019년 4월 18일 22시 35분경 A에 원고 명의로 로그인한 후 실패 없이 출금에 성공하였는데, 이는 성명불상자가 원고의 ID와 비밀번호 및 구글 OTP번호까지 모두 정확하게 입력했다는 것을 의미한다. 이러한 상황이라면 피고 측에서도 이 사건 거래 행위를 해킹에 의한 비정상적인 거래로 인지하기는 어려웠을 것으로 보인다. 마. 또한 피고가 암호화폐 거래소를 운영함에 있어서 고객의 출금요청이 있는 경우 문자메시지를 통하여 거래내역을 통지하는 등의 보안시스템을 갖추어야 한다거나 고객들의 해킹 피해에 대비한 보험에 가입하여야 할 법적 의무가 있다고 볼만한 근거는 없다. 6. 결론 그렇다면 원고의 이 사건 청구는 이유 없어 기각하여야 한다. 제1심 판결은 이와 결론을 같이하여 정당하므로 원고의 항소는 이유없어 이를 기각하기로 하여 주문과 같이 판결한다.

◇ ‘악성프로그램’ 해당 여부에 관한 판단 기준 ◇ 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2016. 3. 22. 법률 제14080호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제71조 제9호 및 제48조 제2항 위반죄는 악성프로그램이 정보통신시스템, 데이터 또는 프로그램 등(이하 ‘정보통신시스템 등’이라 한다)에 미치는 영향을 고려하여 악성프로그램을 전달 또는 유포하는 행위만으로 범죄 성립을 인정하고, 그로 인하여 정보통신시스템 등의 훼손·멸실·변경·위조 또는 그 운용을 방해하는 결과가 발생할 것을 요하지 않는다. 이러한 ‘악성프로그램’에 해당하는지 여부는 프로그램 자체를 기준으로 하되, 그 사용용도 및 기술적 구성, 작동 방식, 정보통신시스템 등에 미치는 영향, 프로그램 설치에 대한 운용자의 동의 여부 등을 종합적으로 고려하여 판단하여야 한다. ☞ 피고인들이 자동 회원가입, 자동 방문 및 이웃신청 등의 기능을 이용하여 네이버 카페나 블로그 등에 자동적으로 게시글과 댓글을 등록하고 쪽지와 초대장을 발송하는 등의 작업을 반복 수행하는 이 사건 프로그램을 판매한 행위는 구 정보통신망법 제71조 제9호 및 제48조 제2항의 악성프로그램 유포죄에 해당한다고 기소된 사안임 ☞ ‘악성프로그램’에 해당하는지 여부는 구체적인 사안별로 프로그램 자체를 기준으로 하되, 그 사용용도 및 기술적 구성, 작동 방식, 정보통신시스템 등에 미치는 영향, 프로그램 설치에 대한 운용자의 동의 여부 등을 종합적으로 고려하여 판단하여야 한다는 새로운 판단기준을 제시함 ☞ 이 사건 프로그램은 상품 등을 광고하는 데 사용하기 위한 것이고, 기본적으로 일반 사용자가 직접 작업하는 것과 동일한 경로와 방법으로 작업을 수행하며, 이 사건 프로그램 사용으로 정보통신시스템 등의 기능 수행이 방해된다거나 네이버 등의 서버가 다운되는 등의 장애가 발생한다고 볼만한 증거가 없다는 등의 사정을 살펴보면, 검사가 제출한 증거만으로는 구 정보통신망법 제48조 제2항의 정보통신시스템 등의 운용을 방해할 수 있는 ‘악성프로그램’에 해당한다고 인정하기에 부족하다는 이유로 무죄판결을 선고한 원심판결을 확정한 사례

전기통신역무제공에 관한 계약을 체결하는 경우 전기통신사업자로 하여금 가입자에게 본인임을 확인할 수 있는 증서 등을 제시하도록 요구하고 부정가입방지시스템 등을 이용하여 본인인지 여부를 확인하도록 한 전기통신사업법(2014. 10. 15. 법률 제12761호로 개정된 것) 제32조의4 제2항, 제3항 및 전기통신사업법 시행령(2015. 4. 14. 대통령령 제26191호로 개정된 것) 제37조의6 제1항, 제2항 제1호, 제3항, 제4항(이를 전부 합하여 ‘심판대상조항’이라 한다)이 익명으로 이동통신서비스에 가입하여 자신들의 인적사항을 밝히지 않은 채 통신하고자 하는 자들의 개인정보자기결정권 및 통신의 자유를 침해하는지 여부(소극) 심판대상조항이 이동통신서비스 가입 시 본인확인절차를 거치도록 함으로써 타인 또는 허무인의 이름을 사용한 휴대전화인 이른바 대포폰이 보이스피싱 등 범죄의 범행도구로 이용되는 것을 막고, 개인정보를 도용하여 타인의 명의로 가입한 다음 휴대전화 소액결제나 서비스요금을 그 명의인에게 전가하는 등 명의도용범죄의 피해를 막고자 하는 입법목적은 정당하고, 이를 위하여 본인확인절차를 거치게 한 것은 적합한 수단이다. 가입자는 자신의 주민등록번호를 제공해야 하지만 특히 뒷자리 중 성별을 지칭하는 숫자 외의 6자리는 일회적인 확인 후 폐기되므로 주민등록번호가 이동통신사에 보관되어 계속적으로 이용되는 것이 아니다. 가입자는 대면(오프라인)가입 대신 온라인 가입절차에서 공인인증서로 본인확인하는 방법을 택하여 주민등록번호의 직접 제공을 피할 수도 있다. 또한 가입자의 이름과 주소, 생년월일, 주민등록번호 등 개인정보 수집에 따른 유출피해 등 부작용을 방지하기 위해 ‘개인정보 보호법’과 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 ‘정보통신망법’)에서는 정보처리자에게 개인정보의 기술적·관리적 보호조치를 취할 것을 요구하고 그 준수 여부를 행정청이 점검하는 등 적절한 통제장치를 마련함으로써 개인정보자기결정권의 제한을 최소화하고 있다(개인정보 보호법 제61조, 제26조 제4항, 제28조, 정보통신망법 제28조 제1항, 같은 법 시행령 제15조 제6항). 심판대상조항에 의해서는 아직 의사소통이 이루어지지 않은 이동통신서비스 가입단계에서의 본인확인절차를 거치는 것이므로, 이동통신서비스 가입자가 누구인지 식별가능해진다고 하여도 곧바로 그가 누구와 언제, 얼마동안 통화하였는지 등의 정보를 파악할 수 있는 것은 아니다. 따라서 심판대상조항으로 인해 가입자가 개개의 통신내용과 이용 상황에 기한 처벌을 두려워하여 이동통신서비스 이용 여부 자체를 진지하게 고려하게 할 정도라고 할 수 없다. 개인정보자기결정권, 통신의 자유가 제한되는 불이익과 비교했을 때, 명의도용피해를 막고, 차명휴대전화의 생성을 억제하여 보이스피싱 등 범죄의 범행도구로 악용될 가능성을 방지함으로써 잠재적 범죄 피해 방지 및 통신망 질서 유지라는 더욱 중대한 공익의 달성효과가 인정된다. 따라서 심판대상조항은 청구인들의 개인정보자기결정권 및 통신의 자유를 침해하지 않는다. [이석태·김기영 재판관의 반대의견 요지] 익명휴대전화를 이용하는 자들이 언제나 범죄의 목적을 가지는 것은 아니고, 익명통신은 도덕적으로 중립적인 것이므로, 익명휴대전화를 금지하는 것 자체는 정당한 입법목적이 될 수 없다. 명의도용피해는 후불제 계약에서만 발생하는 것이므로, 선불제 이용자에 대하여 본인 확인 절차를 거치도록 하는 것은 명의도용피해를 방지하기 위한 적합한 수단이 아니다. 또한 범죄는 여러 가지 동기에 의하여 다양한 행위태양으로 발생하는 것이므로, 심판대상조항이 익명휴대전화의 발생을 방지하는 것에서 더 나아가 범죄까지 예방할 수 있는 수단이라고 볼 수 없다. 가입자는 이용하고자 하는 서비스를 제공받기 위해서 반드시 필요한 개인정보만을 제공하면 이동통신서비스를 이용할 수 있는 것이 이동통신서비스 이용계약의 원칙적인 모습이다. 그런데 심판대상조항은 정보통신망을 이용하여 계약을 체결하는 경우 외에는 모든 국민이 신분증에 포함된 개인정보를 제공해야만 이동통신서비스를 이용할 수 있도록 규정하고 있고, 그 개인정보에는 가장 보호의 필요성이 높은 주민등록번호까지 포함되어 있다. 이는 이동통신서비스를 이용하고자 하는 국민들의 개인정보자기결정권을 중대하게 제한하는 것이다. 통신의 자유에는 실명으로 통신할 것인지 아니면 익명으로 통신할 것인지를 선택할 자유도 포함된다. 전기통신설비를 갖춘 전기통신사업자를 통해서만 이루어질 수 있는 전기통신의 특성상 본인 확인을 거친 이용자의 개인정보는 통신이용 후 통신에 관한 각종 정보를 연결하게 된다. 개별 이용자가 이동통신의 이용과정에서 발생하는 통신에 관한 정보를 일일이 통제하는 것은 불가능하므로, 통신정보 축적 및 이용자 식별의 가능성은 스스로 이동통신의 이용을 제한하는 위축효과를 발생시키기에 충분하다. 익명통신은 이용자가 통신의 비밀과 자유를 보호하기 위하여 취할 수 있는 소수의 수단들 중 하나로서 중요한 의미를 갖는다. 심판대상조항은 익명으로 이동통신서비스를 이용할 가능성을 완전히 배제하고 있으므로, 익명통신의 자유에 대한 제한 역시 매우 중대하다. 후불제 계약에서 발생하는 명의도용피해는 신분증을 이용하지 않는 본인 확인이나 자신의 명의로 이동통신서비스 이용계약이 체결되는 것을 사전에 제한하는 서비스로 방지할 수 있다. 또한 ‘전기통신금융사기 피해 방지 및 피해금 환급에 관한 특별법’ 등은 다양한 사전적·사후적 수단을 두고 있다. 심판대상조항은 이러한 대체수단이 존재함에도 불구하고, 이용자의 추적이 가능한 통신을 이용할 것을 강제함으로써 모든 국민을 잠재적인 범죄자와 같이 취급하고 있으므로 침해의 최소성에 반한다. 심판대상조항이 명의도용피해와 범죄 예방에 기여하는 정도는 익명통신을 범죄에 악용하는 극히 예외적인 경우를 이유로 대다수의 무고한 국민들의 기본권을 광범위하게 제한하는 것을 정당화할 수 있을 정도로 크다고 볼 수 없다. 그렇다면 심판대상조항은 과잉금지원칙에 반하여 청구인들의 개인정보자기결정권 및 익명통신의 자유를 침해한다.

가. 심판대상조항의 ‘비방할 목적’은 고의 외에 추가로 요구되는 주관적 구성요건요소로서 사람의 명예에 대한 가해의 의사나 목적을 의미한다. ‘비방’이나 ‘목적’이라는 용어는 정보통신망법에서만 사용되는 고유한 개념이 아니고, 일반인이 일상적으로 사용하거나 다른 법령들에서도 사용되는 일반적인 용어로서, 특별한 경우를 제외하고는 법관의 보충적 해석 작용 없이도 일반인들이 그 대강의 의미를 이해할 수 있는 표현이다. 심판대상조항에서 사용되는 의미 또한 일반적으로 사용되는 의미범위를 넘지 않고 있으므로, ‘비방할 목적’이 불명확하다고 보기 어렵다. 또한, ‘비방할 목적’과 공공의 이익을 위하여 사물의 옳고 그름에 대한 판단을 표현하는 ‘비판할 목적’은 서로 구별되는 개념이다. 대법원도 ‘비방할 목적’은 행위자의 주관적 의도의 방향에서 공공의 이익을 위한 것과는 상반되는 관계에 있으므로, 적시한 사실이 공공의 이익에 관한 것일 때에는 특별한 사정이 없는 한 비방할 목적은 부인된다고 판시하여, 비방할 목적과 공공의 이익에 대한 판단기준을 분명하게 제시하고 있다. 따라서 심판대상조항은 명확성 원칙에 위배되지 아니한다. 나. 우리나라는 현재 인터넷의 이용이 상당한 정도로 보편화됨에 따라 정보통신망을 이용한 명예훼손범죄가 급증하는 추세에 있고, 인터넷 등 정보통신망을 이용하여 사실에 기초하더라도 왜곡된 의혹을 제기하거나 편파적인 의견이나 평가를 추가로 적시함으로써 실제로는 허위의 사실을 적시하여 다른 사람의 명예를 훼손하는 경우와 다를 바 없거나 적어도 다른 사람의 사회적 평가를 심대하게 훼손하는 경우가 적지 않게 발생하고 있고, 이로 인한 사회적 피해는 심각한 상황에 이르고 있다. 따라서 이러한 명예훼손적인 표현을 규제함으로써 인격권을 보호해야 할 필요성은 매우 크다. 심판대상조항은 이러한 명예훼손적 표현을 규제하면서도 ‘비방할 목적’이라는 초과주관적 구성요건을 추가로 요구하여 그 규제 범위를 최소한도로 하고 있고, 헌법재판소와 대법원은 정부 또는 국가기관의 정책결정이나 업무수행과 관련된 사항에 관하여는 표현의 자유를 최대한 보장함으로써 정보통신망에서의 명예보호가 표현의 자유에 대한 지나친 위축효과로 이어지지 않도록 하고 있다. 또한, 민사상 손해배상 등 명예훼손 구제에 관한 다른 제도들이 형사처벌을 대체하여 인터넷 등 정보통신망에서의 악의적이고 공격적인 명예훼손행위를 방지하기에 충분한 덜 제약적인 수단이라고 보기 어렵다. 그러므로 심판대상조항은 과잉금지원칙을 위반하여 표현의 자유를 침해하지 않는다. [재판관 2인의 반대의견 요지] 심판대상조항은 진실한 사실을 적시하고자 하는 사람에게 스스로 표현행위를 자제하게 되는 위축효과를 야기한다. 진실한 사실을 적시하여 사람의 명예를 훼손하는 경우에는 ‘비방할 목적’과 공공의 이익을 위한 ‘비판할 목적’의 구별이 항상 명확한 것은 아니다. 따라서 심판대상조항에서 ‘비방할 목적’이라는 초과주관적 구성요건이 존재한다고 하여 진실한 사실을 적시한 표현행위에 대한 처벌가능성이 제한되거나, 표현의 자유에 대한 위축효과가 완화된다고 보기 어렵다. 또한, 인터넷 등 정보통신망에서 비방할 목적으로 이루어지는 명예훼손행위를 규제할 필요가 있다고 하더라도 반박문 게재, 정보통신서비스제공자에 대한 명예훼손적 게시글의 삭제 요청(정보통신망법 제44조의2 제1항), 민사상 손해배상(민법 제751조), 정보통신망법에 따른 명예훼손조정 신청(정보통신망법 제44조의10) 및 정정보도, 반론보도, 추후보도의 청구(언론중재 및 피해구제 등에 관한 법률 제14조 내지 제17조의2) 등 형사처벌 외에 다른 덜 제약적인 명예훼손 구제에 관한 제도들이 존재한다. 심판대상조항은 허위의 명예나 과장된 명예를 보호하기 위하여 표현의 자유에 대한 심대한 위축효과를 발생하는 형사처벌을 하도록 규정하고 있으므로 법익균형성 원칙에 위배된다. 따라서 진실한 사실을 적시하더라도 처벌할 수 있고 더구나 징역형까지 부과할 수 있도록 하고 있는 심판대상조항은 과잉금지원칙을 위반하여 표현의 자유를 침해한 것이다.

1. 정보통신망법 제44조의7 제1항 제8호에 대하여는 법원의 위헌제청신청 각하 또는 기각결정이 없었고, 구 정보통신망법 제73조 제5호는 이 사건 법률조항에 따른 방송통신위원회의 명령을 이행하지 아니하였을 때 적용되는 형사처벌 조항으로서 당해사건인 행정재판에 적용되지 않으므로 이 부분들에 대한 심판청구는 부적법하다. 2. 정보통신망법이 따르도록 한 국가정보화 기본법상 정보의 정의, 웹사이트의 개념에 비추어 볼 때 웹사이트에 게재된 개별적인 게시물뿐만 아니라 웹사이트 그 자체도 이 사건 법률조항의 ‘정보’에 해당한다고 볼 수 있다. 그리고 ‘취급거부’의 문언적 의미, 정보통신망법상 정보통신망 내지 정보통신서비스의 의미를 종합하면, 웹호스팅 서비스의 중단, 즉 웹사이트 폐쇄는 해당 정보의 ‘취급거부’에 포함된다고 보아야 한다. 방송통신위원회의 취급거부명령은 서비스제공자 등이 방송통신심의위원회의 시정요구에 따르지 아니하였을 경우에 비로소 이루어지는 단계적 내지 중첩적 규제제도인데, 만약 취급거부에 웹사이트 폐쇄가 포함되지 않는다고 본다면, 방송통신심의위원회는 시정요구로서 웹사이트 폐쇄에 해당하는 ‘이용자에 대한 이용해지’를 할 수 있음에도 불구하고, 서비스제공자 등이 그 시정요구를 따르지 않을 경우 방송통신위원회는 그에 대한 제재조치로서 위 ‘이용자에 대한 이용해지’에 해당하는 웹사이트 폐쇄를 명할 수 없게 됨으로써, 결국 시정요구 중 가장 무거운 ‘이용자에 대한 이용해지’는 그 실효성이 없게 되는 부당한 결론에 이르게 된다. 이와 같이 이 사건 법률조항은 수범자의 예견가능성을 해하거나 행정기관의 자의적 집행을 가능하게 할 정도로 불명확하다고 할 수 없으므로, 명확성원칙에 위반되지 아니한다. 3. 방송통신위원회의 명령은 시정요구의 내용을 포괄하고 있으므로 대상 정보의 불법성의 경중에 따라 상대방에게 단계적으로 적절한 명령을 할 수 있다. 이용자가 삭제에도 불구하고 반복적으로 동일하거나 유사한 내용의 불법정보를 대량으로 게시하는 사태는 실제로도 흔히 발생하고 있으며, 이러한 경우에 웹사이트 폐쇄 등을 제외하고 달리 적절한 대처방법을 생각하기 어려운 점, 현실적으로 웹사이트의 게시물 전체가 불법정보에 해당하는 경우는 상정하기 곤란한 점, 이와 관련하여 법원도 전체 웹사이트를 위법한 정보로 평가할 수 있는 경우에 한하여 예외적으로 그 폐쇄를 명할 수 있다고 보고 있는 점, 해외 웹사이트에 대한 접속차단이 국내 이용자에게 미치는 효과가 이와 유사한 점 등을 종합하면, 이 사건 법률조항은 과도하게 언론의 자유를 침해하지 아니한다. [재판관 2인의 반대의견의 요지] 이 사건 법률조항은 사법부의 판단이 있기 전에 행정기관에 의한 정보의 취급거부 명령 등의 제재를 규정한 조항이므로 제재의 내용에 대한 명확성의 요구는 더욱 커진다 할 것이다. 취급거부와 시정요구의 관계를 보면, 이용해지는 이용자를 대상으로 하는 것이고 해당 정보를 대상으로 하는 것이 아니므로 ‘해당 정보의 취급거부’와 ‘이용자에 대한 이용해지’를 동일한 의미로 볼 수 없다. 그리고 시정요구의 종류에 대해서는 법률이 아닌 대통령령에서 정하고 있고 법률이 대통령령에 이를 위임하지도 않고 있으므로 취급거부가 시정요구에 따르지 않았을 때 이루어지는 규제라는 이유만으로 반드시 시정요구를 포괄하는 개념이라고 볼 수는 없다. 또한, 문언해석상 취급거부의 대상은 ‘해당’ 불법정보 그 자체이고, 해당 불법정보가 게재된 웹사이트 전체를 취급거부의 대상이 되는 해당 정보라고 보기는 어렵다. 그런데도 법집행기관은 해당 정보의 취급거부에 웹호스팅 중단이 포함됨을 전제로 법을 해석·적용하고 있다. 이는 이 사건 법률조항이 제재의 종류를 명확히 규정하지 않은 데 기인한 것이다. 특히 행정기관의 판단에 따라 웹호스팅 중단을 명하고 이에 응하지 아니할 경우 형사처벌까지 가능하게 하는 것은 구체적 사안에 따라서는 표현의 자유에 대한 과잉제한의 문제를 야기할 수 있고, 법원의 판단이 있기 전까지의 위축효과도 무시할 수 없다. 따라서 이 사건 법률조항은 명확성원칙에 반하여 헌법에 위반된다.

○ 제한되는 기본권 및 심사 기준 심판대상조항은 본인확인기관으로 지정된 정보통신서비스 제공자에게 이용자의 주민등록번호를 수집?이용할 수 있는 권한을 부여하고 있고, 본인확인기관은 주민등록번호를 수집?이용할 때 이용자의 동의를 받아야 한다. 휴대전화서비스를 이용하려는 사람이 휴대전화 인증 본인확인기관에 주민등록번호를 제공하는 것에 동의하지 않을 경우 결국 휴대전화서비스를 이용하지 못하게 되어 주민등록번호의 제공이 사실상 강제되고 있으므로, 심판대상조항은 이용자가 자신의 개인정보인 주민등록번호에 대한 수집?이용에 관하여 스스로 결정할 권리인 개인정보자기결정권을 제한한다. 심판대상조항이 헌법 제37조 제2항의 과잉금지원칙에 반하여 청구인의 개인정보자기결정권을 침해하였는지 살펴본다. ○ 목적의 정당성 및 수단의 적절성 심판대상조항은 주민등록번호 유출로 말미암은 피해를 최소화하기 위해 정보통신서비스 제공자가 이용자의 주민등록번호를 수집?이용하는 것을 원칙적으로 금지하면서, 방송통신위원회에 의하여 안전성과 신뢰성을 인정받은 본인확인기관에 한하여 예외적으로 본인확인업무를 수행하기 위해 주민등록번호를 수집?이용할 수 있는 권한을 부여한 것으로 정당한 목적 달성을 위한 적절한 수단이다. ○ 침해의 최소성 본인확인업무에 다른 고유식별정보를 활용할 수 있다고 하더라도, 정확성, 신뢰성의 측면에서 주민등록번호에 비견할만한 것은 찾아보기 어렵다는 점, 본인확인기관은 본인확인업무라는 한정된 목적을 위해 이용자의 동의를 받아 그가 동의한 기간에만 주민등록번호를 수집?이용할 수 있고 주민등록번호를 취급하는 자는 최소한으로 제한해야 한다는 점, 정보통신망법 및 관련 법령은 민간 사업자에게 본인확인기관 지정 신청자격을 부여하면서도 이들이 수행하는 본인확인업무의 안전성과 신뢰성을 확보하기 위한 여러 조치를 마련하고 있다는 점을 고려하면, 심판대상조항은 침해의 최소성에 위반되지 않는다. ○ 법익의 균형성 심판대상조항에 의해 이용자는 본인확인기관에 자신의 주민등록번호를 제공하게 되나, 본인확인기관이 아닌 정보통신서비스 제공자들은 주민등록번호를 전혀 수집하지 못하고, 본인확인기관으로 지정된 정보통신서비스 제공자는 본인확인업무를 위한 한정된 목적에 따라 이용자의 동의를 받아 그가 동의한 기간에만 주민등록번호를 수집?이용할 수 있으므로 침해되는 사익은 크지 않다. 반면 무분별한 주민등록번호 수집에 대한 반성적 고려에서 마련된 심판대상조항이 달성하고자 하는 대체수단의 개발?제공?관리라는 공익이 중요한 것임은 명백하다. 따라서 심판대상조항은 법익의 균형성을 충족한다. ○ 소결 심판대상조항은 과잉금지원칙에 반하여 청구인의 개인정보자기결정권을 침해하지 않는다.

가. 먼저, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2013. 3. 23. 법률 제11690호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제44조의7 제3항이 정한 ‘정보의 취급 거부 등’에 웹사이트의 웹호스팅 서비스 중단도 포함되는지 여부에 관하여 본다. (1) 구 정보통신망법상 ‘정보’라 함은 구 정보화촉진기본법(2009. 5. 22. 국가정보화 기본법으로 전부 개정되기 전의 것) 제2조 제1호가 규정한 ‘정보’의 정의 규정에 따라 “자연인 또는 법인이 특정목적을 위하여 광 또는 전자적 방식으로 처리하여 부호ㆍ문자ㆍ음성ㆍ음향 및 영상 등으로 표현한 모든 종류의 자료 또는 지식”을 뜻하고(제2조 제2항), ‘정보통신망’이란 “「전기통신사업법」제2조 제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제”를 말하며(제2조 제1항 제1호), ‘정보통신서비스’란 “전기통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것”을 뜻한다(제2조 제1항 제2호). 여기서 ‘전기통신역무’는 “전기통신설비를 이용하여 타인의 통신을 매개하거나 전기통신설비를 타인의 통신용으로 제공하는 것”을 말한다(전기통신사업법 제2조 제6호). 한편 구 정보통신망법 제44조의7 제1항 제8호, 제3항에 따르면, 누구든지 정보통신망을 통하여 “국가보안법에서 금지하는 행위를 수행하는 내용의 정보”를 유통하여서는 아니 되고, 이에 해당하는 정보에 관하여 관계 중앙행정기관의 장의 요청, 방송통신심의위원회의 심의 및 시정 요구, 그 시정 요구에 대한 정보통신서비스 제공자 등의 불응이라는 요건을 모두 갖춘 경우 방송통신위원회는 정보통신서비스 제공자 등에게 해당 정보의 취급을 거부ㆍ정지 또는 제한하도록 명하여야 한다. (2) 이와 같은 구 정보통신망법상 정보, 정보통신, 정보통신서비스 등의 의미 및 정보통신서비스 제공자 등에 대한 ‘국가보안법에서 금지하는 행위를 수행하는 내용의 정보’ 등의 취급 거부ㆍ정지 또는 제한 명령에 관한 각 규정의 형식 및 내용과 아울러, ① 웹사이트(website)는 그 제작자 또는 운영자가 웹프로그래밍 등 전자적ㆍ기술적 방식을 기반으로 개설목적에 맞는 이용자들의 유인 등 특정한 제작 의도에 따라 다수 개별 정보들을 체계적으로 분류하고 유기적으로 통합시킨 것으로서 그 자체가 구 정보통신망법상 정보에 해당한다고 볼 수 있는 점, ② ‘정보통신망’의 의미에 비추어 정보통신망에서 ‘정보의 취급’이란 정보의 제공 또는 제공을 매개하기 위하여 전기통신설비와 컴퓨터 등을 이용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 등의 행위를 뜻한다고 보이는 점, ③ 웹호스팅은 정보통신망에 웹사이트를 구축하고자 하는 고객을 위하여, 자신의 서버를 임대하고 서버의 운영?관리 및 정보통신망 연결 등을 대행함으로써 고객이 독자적인 설비를 갖추지 않더라도 웹사이트를 운영할 수 있도록 해주는 역무이므로, 이러한 웹호스팅 서비스도 정보 제공의 매개를 목적으로 자신의 전기통신설비 등을 이용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 등의 ’정보의 취급‘에 해당한다고 보아야 하는 점, ④ 구 정보통신망법 제44조의7 제1항 제8호가 정한 ‘국가보안법에서 금지하는 행위를 수행하는 내용의 정보’에는 국가보안법에서 금지하는 행위에 해당하는 정보는 물론, 국가보안법에서 금지하는 행위의 직접적인 수단이거나 국가보안법 제7조 제5항이 정한 이적표현물에 해당하는 등 금지행위의 객체에 해당하는 경우 등도 포함된다고 보이는 점 등을 종합적으로 고려하면, 특정 웹사이트가 국가보안법에서 금지하는 행위를 수행하는 내용의 정보에 해당하고, 구 정보통신망법 제44조의7 제3항이 정한 나머지 요건을 충족하는 경우, 피고는 ‘해당 정보에 대한 취급 거부’로서 해당 웹사이트에 대한 웹호스팅 서비스를 제공하는 자를 상대로 해당 웹사이트의 웹호스팅 서비스를 중단할 것을 명할 수 있다고 보아야 한다. 나. 다음으로, 특정 웹사이트를 구 정보통신망법 제44조의7 제1항 제8호가 정한 ‘국가보안법에서 금지하는 행위를 수행하는 내용의 정보’로 보아 해당 웹사이트에 대한 웹호스팅 중단명령을 하기 위한 요건에 관하여 살핀다. (1) 헌법 제21조 제1항에서 보장하고 있는 표현의 자유에는 인터넷에서 의사를 표현?전파하는 것도 포함되고, 그 기본권도 헌법 제37조 제2항에 따라 국가안전보장, 질서유지 또는 공공복리를 위하여 법률로서 제한할 수 있다. 그런데 앞서 본 바와 같이 특정 웹사이트에 대한 웹호스팅 중단도 구 정보통신망법 제44조의7 제3항의 문언 해석상 ‘해당 정보의 취급 거부’에 포섭시킬 수 있다 하더라도, 이는 해당 웹사이트를 인터넷상에서 폐쇄시키는 결과를 초래하므로 개별 정보의 삭제나 그 게시자에 대한 이용 정지 등을 명하는 것과 달리 해당 웹사이트에 존재하는 적법한 다른 정보의 유통까지 제한하고 위법한 정보를 게시한 이용자뿐 아니라 해당 웹사이트를 이용하는 다른 이용자들의 표현의 자유도 위축시킴으로써 표현의 자유를 침해할 우려가 있다. 또한 민주주의 사회에서 표현의 자유가 차지하는 기능 등을 고려하면 표현의 자유를 제한하는 입법이 명확하게 규정되어야 하고 또한 목적 달성에 필요한 범위를 넘어 과도하게 제한하여서는 아니된다는 헌법적 요청은, 법률의 해석?적용에 있어서도 그대로 적용된다고 할 것이므로 어떤 법률의 개념이 다의적이거나 포괄적이어서 그 어의의 테두리 안에서 여러 가지 해석이 가능할 때, 헌법을 최고법규로 하는 통일적인 법질서의 형성을 위하여 헌법에 합치되는 해석을 하여야 하며, 이에 의하여 위헌적인 결과가 될 해석은 배제하면서 합헌적이고 긍정적인 면은 살려야 한다(대법원 2005. 1. 27. 선고 2004도7488 판결 등 참조). (2) 표현의 자유 제한에 관한 이러한 법리를 기초로 살피건대, 개별 정보의 집합체인 웹사이트 자체를 대상으로 삼아 구 정보통신망법 제44조의7 제3항에 따라 그 취급 거부 등을 명하기 위하여는, 그 취급 거부의 대상이 ‘제1항 제7호 내지 제9호에 해당하는 정보’로 정해져 있는 점 등에 비추어, 원칙적으로 웹사이트 내에 존재하는 개별 정보 전체가 제1항 제8호의 유통이 금지된 정보에 해당하여야 할 것이나, 웹사이트 내에 존재하는 개별 정보 중 일부가 이에 해당한다 하더라도 해당 웹사이트의 제작 의도, 웹사이트 운영자와 게시물 작성자의 관계, 웹사이트의 체계, 게시물의 내용 및 게시물 중 위법한 정보가 차지하는 비중 등 제반 사정을 고려하여, 전체 웹사이트를 구 정보통신망법 제44조의7 제1항 제8호에 위반하는 정보로 평가할 수 있고 그에 대한 웹호스팅 중단이 불가피한 경우에는 예외적으로 해당 웹사이트에 대한 웹호스팅 중단을 명할 수 있다고 보아야 한다. 다. 나아가 구 정보통신망법 제44조의7 제3항이 명확성의 원칙에 반하는지 여부 및 앞서 본 해석론이 과잉금지원칙에 반하는지 여부에 관하여 살핀다. (1) 앞서 본 바와 같이 구 정보통신망법이 ‘정보의 취급 거부?정지?제한’이라고만 규정하고 그 정의 규정을 두고 있지 아니하더라도, 앞서 본 바와 같이 통상의 해석방법에 의하여 그 의미내용을 합리적으로 파악할 수 있다고 할 것이므로 위 규정이 명확성의 원칙에 반한다고 볼 수 없다. (2) 구 정보통신망법 제44조의7 제3항은 정보통신망을 건전하게 이용할 수 있는 환경을 조성하기 위한 것으로서 그 입법목적의 정당성이 인정되고, 이를 실현하기 위한 수단으로 유통이 금지되는 정보의 취급 거부 등의 명령의 근거를 마련한 것은 적합하다. 그리고 그 처분에 이르기까지 의견 제출 기회 제공 등 정보통신서비스제공자 또는 이용자의 권익을 보호하기 위한 제도적 장치를 마련하고 있고, 방송통신심의위원회의 시정요구 불이행 이외에 관계 중앙행정기관의 장의 요청이라는 추가적 요건이 규정되어 있어 시정요구의 불이행만으로 곧바로 위와 같은 명령을 받게 되는 것은 아니며, 취급 거부ㆍ정지ㆍ제한명령에 대하여 행정소송을 통한 사법적 사후심사가 보장되어 있는 점 등에 비추어 권리 침해의 최소성의 요건도 충족한다. 또한 인터넷의 특수성으로 인하여 불법정보에 대하여 신속하게 적절한 조치를 취하지 않으면 그로 인해 발생할 수 있는 개인적 피해와 사회적 혼란 등을 사후적으로 회복하기란 사실상 불가능에 가까운 점, 반면 앞서 본 해석론에 의하면 전체 웹사이트에 대한 웹호스팅 중단은 전체 웹사이트를 위법한 정보로 평가할 수 있는 경우에 한하여 예외적으로만 가능한 점 등에 비추어, 보호되는 입법목적 내지 공익과 제한되는 표현의 자유 등 기본권과의 사이에 불균형이 있다고 할 수 없다. 따라서 구 정보통신망법 제44조의7 제3항이 정보의 취급 거부 등의 명령의 근거를 규정한 것이나 그 명령에 웹사이트에 대한 웹호스팅 중단이 포함된다고 해석하는 것이 헌법상 과잉금지원칙에 위반된다고 볼 수 없다(대법원 2009. 5. 14. 선고 2009도329 판결, 헌법재판소 2002. 6. 27. 선고 99헌마480 결정, 헌법재판소 2012. 2. 23. 선고 2011헌가13 결정, 헌법재판소 2014. 9. 25. 선고 2012헌바325 결정 등 참조). ☞ 한총련 웹사이트가 구 정보통신망법 제44조의7 제1항 제8호가 정한 ‘국가보안법에서 금지하는 행위를 수행하는 내용의 정보’에 해당한다는 이유로 피고가 한 웹사이트 전체에 대한 취급거부명령(웹호스팅 중단)이 적법하다고 본 원심을 수긍한 사안

구 ·정보통신망 이용촉진 및 정보보호 등에 관한 법률·(2008. 2. 29. 법률 제8852호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제28조 제1항은 “정보통신서비스제공자 등은 이용자의 개인정보를 취급함에 있어서 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 정보통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 조치를 하여야 한다.”고 규정하고 있다. 그리고 구 정보통신망법 제28조 제1항의 위임을 받은 구 ·정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙·(2008. 9. 23. 행정안전부령 제34호로 전부 개정되기 전의 것, 이하 ‘구 정보통신부령’이라 한다) 제3조의3 제1항은 정보통신서비스제공자가 취하여야 할 개인정보의 안전성 확보에 필요한 기술적·관리적 조치로 ‘개인정보의 안전한 취급을 위한 내부관리계획의 수립 및 시행(제1호)’, ‘개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근통제장치의 설치·운영(제2호)’, ‘접속기록의 위조·변조 방지를 위한 조치(제3호)’, ‘개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치(제4호)’, ‘백신소프트웨어의 설치·운영 등 컴퓨터바이러스 방지 조치(제5호)’, ‘그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치(제6호)’를 규정하고 있다. 따라서 정보통신서비스제공자는 구 정보통신부령 제3조의3 제1항 각호에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 할 법률상 의무를 부담한다. 나아가 정보통신서비스제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로 하여금 이용약관 등을 통해 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신서비스제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실·도난·누출·변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담한다. 그런데 정보통신서비스가 ‘개방성’을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스제공자가 구축한 네트워크나 시스템 및 그 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 ‘해커’ 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 아니한 점, 해커 등은 여러 공격기법을 통해 정보통신서비스제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적인 점 등의 특수한 사정이 있으므로, 정보통신서비스제공자가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스제공자의 업종·영업규모와 정보통신서비스제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피가능성, 정보통신서비스제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다. 특히 구 정보통신부령 제3조의3 제2항은 “정보통신부장관은 제1항 각호의 규정에 의한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.”고 규정하고 있고, 이에 따라 정보통신부장관이 마련한 ·개인정보의 기술적·관리적 보호조치 기준·(정보통신부 고시 제2005-18호 및 제2007-3호, 이하 ‘이 사건 고시’라 한다)은 해킹 등 침해사고 당시의 기술수준 등을 고려하여 정보통신서비스제공자가 구 정보통신망법 제28조 제1항에 따라 준수해야 할 기술적·관리적 보호조치를 구체적으로 규정하고 있으므로, 정보통신서비스제공자가 이 사건 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다면, 특별한 사정이 없는 한, 정보통신서비스제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다.