가. 먼저, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2013. 3. 23. 법률 제11690호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제44조의7 제3항이 정한 ‘정보의 취급 거부 등’에 웹사이트의 웹호스팅 서비스 중단도 포함되는지 여부에 관하여 본다. (1) 구 정보통신망법상 ‘정보’라 함은 구 정보화촉진기본법(2009. 5. 22. 국가정보화 기본법으로 전부 개정되기 전의 것) 제2조 제1호가 규정한 ‘정보’의 정의 규정에 따라 “자연인 또는 법인이 특정목적을 위하여 광 또는 전자적 방식으로 처리하여 부호ㆍ문자ㆍ음성ㆍ음향 및 영상 등으로 표현한 모든 종류의 자료 또는 지식”을 뜻하고(제2조 제2항), ‘정보통신망’이란 “「전기통신사업법」제2조 제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제”를 말하며(제2조 제1항 제1호), ‘정보통신서비스’란 “전기통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것”을 뜻한다(제2조 제1항 제2호). 여기서 ‘전기통신역무’는 “전기통신설비를 이용하여 타인의 통신을 매개하거나 전기통신설비를 타인의 통신용으로 제공하는 것”을 말한다(전기통신사업법 제2조 제6호). 한편 구 정보통신망법 제44조의7 제1항 제8호, 제3항에 따르면, 누구든지 정보통신망을 통하여 “국가보안법에서 금지하는 행위를 수행하는 내용의 정보”를 유통하여서는 아니 되고, 이에 해당하는 정보에 관하여 관계 중앙행정기관의 장의 요청, 방송통신심의위원회의 심의 및 시정 요구, 그 시정 요구에 대한 정보통신서비스 제공자 등의 불응이라는 요건을 모두 갖춘 경우 방송통신위원회는 정보통신서비스 제공자 등에게 해당 정보의 취급을 거부ㆍ정지 또는 제한하도록 명하여야 한다. (2) 이와 같은 구 정보통신망법상 정보, 정보통신, 정보통신서비스 등의 의미 및 정보통신서비스 제공자 등에 대한 ‘국가보안법에서 금지하는 행위를 수행하는 내용의 정보’ 등의 취급 거부ㆍ정지 또는 제한 명령에 관한 각 규정의 형식 및 내용과 아울러, ① 웹사이트(website)는 그 제작자 또는 운영자가 웹프로그래밍 등 전자적ㆍ기술적 방식을 기반으로 개설목적에 맞는 이용자들의 유인 등 특정한 제작 의도에 따라 다수 개별 정보들을 체계적으로 분류하고 유기적으로 통합시킨 것으로서 그 자체가 구 정보통신망법상 정보에 해당한다고 볼 수 있는 점, ② ‘정보통신망’의 의미에 비추어 정보통신망에서 ‘정보의 취급’이란 정보의 제공 또는 제공을 매개하기 위하여 전기통신설비와 컴퓨터 등을 이용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 등의 행위를 뜻한다고 보이는 점, ③ 웹호스팅은 정보통신망에 웹사이트를 구축하고자 하는 고객을 위하여, 자신의 서버를 임대하고 서버의 운영?관리 및 정보통신망 연결 등을 대행함으로써 고객이 독자적인 설비를 갖추지 않더라도 웹사이트를 운영할 수 있도록 해주는 역무이므로, 이러한 웹호스팅 서비스도 정보 제공의 매개를 목적으로 자신의 전기통신설비 등을 이용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 등의 ’정보의 취급‘에 해당한다고 보아야 하는 점, ④ 구 정보통신망법 제44조의7 제1항 제8호가 정한 ‘국가보안법에서 금지하는 행위를 수행하는 내용의 정보’에는 국가보안법에서 금지하는 행위에 해당하는 정보는 물론, 국가보안법에서 금지하는 행위의 직접적인 수단이거나 국가보안법 제7조 제5항이 정한 이적표현물에 해당하는 등 금지행위의 객체에 해당하는 경우 등도 포함된다고 보이는 점 등을 종합적으로 고려하면, 특정 웹사이트가 국가보안법에서 금지하는 행위를 수행하는 내용의 정보에 해당하고, 구 정보통신망법 제44조의7 제3항이 정한 나머지 요건을 충족하는 경우, 피고는 ‘해당 정보에 대한 취급 거부’로서 해당 웹사이트에 대한 웹호스팅 서비스를 제공하는 자를 상대로 해당 웹사이트의 웹호스팅 서비스를 중단할 것을 명할 수 있다고 보아야 한다. 나. 다음으로, 특정 웹사이트를 구 정보통신망법 제44조의7 제1항 제8호가 정한 ‘국가보안법에서 금지하는 행위를 수행하는 내용의 정보’로 보아 해당 웹사이트에 대한 웹호스팅 중단명령을 하기 위한 요건에 관하여 살핀다. (1) 헌법 제21조 제1항에서 보장하고 있는 표현의 자유에는 인터넷에서 의사를 표현?전파하는 것도 포함되고, 그 기본권도 헌법 제37조 제2항에 따라 국가안전보장, 질서유지 또는 공공복리를 위하여 법률로서 제한할 수 있다. 그런데 앞서 본 바와 같이 특정 웹사이트에 대한 웹호스팅 중단도 구 정보통신망법 제44조의7 제3항의 문언 해석상 ‘해당 정보의 취급 거부’에 포섭시킬 수 있다 하더라도, 이는 해당 웹사이트를 인터넷상에서 폐쇄시키는 결과를 초래하므로 개별 정보의 삭제나 그 게시자에 대한 이용 정지 등을 명하는 것과 달리 해당 웹사이트에 존재하는 적법한 다른 정보의 유통까지 제한하고 위법한 정보를 게시한 이용자뿐 아니라 해당 웹사이트를 이용하는 다른 이용자들의 표현의 자유도 위축시킴으로써 표현의 자유를 침해할 우려가 있다. 또한 민주주의 사회에서 표현의 자유가 차지하는 기능 등을 고려하면 표현의 자유를 제한하는 입법이 명확하게 규정되어야 하고 또한 목적 달성에 필요한 범위를 넘어 과도하게 제한하여서는 아니된다는 헌법적 요청은, 법률의 해석?적용에 있어서도 그대로 적용된다고 할 것이므로 어떤 법률의 개념이 다의적이거나 포괄적이어서 그 어의의 테두리 안에서 여러 가지 해석이 가능할 때, 헌법을 최고법규로 하는 통일적인 법질서의 형성을 위하여 헌법에 합치되는 해석을 하여야 하며, 이에 의하여 위헌적인 결과가 될 해석은 배제하면서 합헌적이고 긍정적인 면은 살려야 한다(대법원 2005. 1. 27. 선고 2004도7488 판결 등 참조). (2) 표현의 자유 제한에 관한 이러한 법리를 기초로 살피건대, 개별 정보의 집합체인 웹사이트 자체를 대상으로 삼아 구 정보통신망법 제44조의7 제3항에 따라 그 취급 거부 등을 명하기 위하여는, 그 취급 거부의 대상이 ‘제1항 제7호 내지 제9호에 해당하는 정보’로 정해져 있는 점 등에 비추어, 원칙적으로 웹사이트 내에 존재하는 개별 정보 전체가 제1항 제8호의 유통이 금지된 정보에 해당하여야 할 것이나, 웹사이트 내에 존재하는 개별 정보 중 일부가 이에 해당한다 하더라도 해당 웹사이트의 제작 의도, 웹사이트 운영자와 게시물 작성자의 관계, 웹사이트의 체계, 게시물의 내용 및 게시물 중 위법한 정보가 차지하는 비중 등 제반 사정을 고려하여, 전체 웹사이트를 구 정보통신망법 제44조의7 제1항 제8호에 위반하는 정보로 평가할 수 있고 그에 대한 웹호스팅 중단이 불가피한 경우에는 예외적으로 해당 웹사이트에 대한 웹호스팅 중단을 명할 수 있다고 보아야 한다. 다. 나아가 구 정보통신망법 제44조의7 제3항이 명확성의 원칙에 반하는지 여부 및 앞서 본 해석론이 과잉금지원칙에 반하는지 여부에 관하여 살핀다. (1) 앞서 본 바와 같이 구 정보통신망법이 ‘정보의 취급 거부?정지?제한’이라고만 규정하고 그 정의 규정을 두고 있지 아니하더라도, 앞서 본 바와 같이 통상의 해석방법에 의하여 그 의미내용을 합리적으로 파악할 수 있다고 할 것이므로 위 규정이 명확성의 원칙에 반한다고 볼 수 없다. (2) 구 정보통신망법 제44조의7 제3항은 정보통신망을 건전하게 이용할 수 있는 환경을 조성하기 위한 것으로서 그 입법목적의 정당성이 인정되고, 이를 실현하기 위한 수단으로 유통이 금지되는 정보의 취급 거부 등의 명령의 근거를 마련한 것은 적합하다. 그리고 그 처분에 이르기까지 의견 제출 기회 제공 등 정보통신서비스제공자 또는 이용자의 권익을 보호하기 위한 제도적 장치를 마련하고 있고, 방송통신심의위원회의 시정요구 불이행 이외에 관계 중앙행정기관의 장의 요청이라는 추가적 요건이 규정되어 있어 시정요구의 불이행만으로 곧바로 위와 같은 명령을 받게 되는 것은 아니며, 취급 거부ㆍ정지ㆍ제한명령에 대하여 행정소송을 통한 사법적 사후심사가 보장되어 있는 점 등에 비추어 권리 침해의 최소성의 요건도 충족한다. 또한 인터넷의 특수성으로 인하여 불법정보에 대하여 신속하게 적절한 조치를 취하지 않으면 그로 인해 발생할 수 있는 개인적 피해와 사회적 혼란 등을 사후적으로 회복하기란 사실상 불가능에 가까운 점, 반면 앞서 본 해석론에 의하면 전체 웹사이트에 대한 웹호스팅 중단은 전체 웹사이트를 위법한 정보로 평가할 수 있는 경우에 한하여 예외적으로만 가능한 점 등에 비추어, 보호되는 입법목적 내지 공익과 제한되는 표현의 자유 등 기본권과의 사이에 불균형이 있다고 할 수 없다. 따라서 구 정보통신망법 제44조의7 제3항이 정보의 취급 거부 등의 명령의 근거를 규정한 것이나 그 명령에 웹사이트에 대한 웹호스팅 중단이 포함된다고 해석하는 것이 헌법상 과잉금지원칙에 위반된다고 볼 수 없다(대법원 2009. 5. 14. 선고 2009도329 판결, 헌법재판소 2002. 6. 27. 선고 99헌마480 결정, 헌법재판소 2012. 2. 23. 선고 2011헌가13 결정, 헌법재판소 2014. 9. 25. 선고 2012헌바325 결정 등 참조). ☞ 한총련 웹사이트가 구 정보통신망법 제44조의7 제1항 제8호가 정한 ‘국가보안법에서 금지하는 행위를 수행하는 내용의 정보’에 해당한다는 이유로 피고가 한 웹사이트 전체에 대한 취급거부명령(웹호스팅 중단)이 적법하다고 본 원심을 수긍한 사안

구 ·정보통신망 이용촉진 및 정보보호 등에 관한 법률·(2008. 2. 29. 법률 제8852호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제28조 제1항은 “정보통신서비스제공자 등은 이용자의 개인정보를 취급함에 있어서 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 정보통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 조치를 하여야 한다.”고 규정하고 있다. 그리고 구 정보통신망법 제28조 제1항의 위임을 받은 구 ·정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙·(2008. 9. 23. 행정안전부령 제34호로 전부 개정되기 전의 것, 이하 ‘구 정보통신부령’이라 한다) 제3조의3 제1항은 정보통신서비스제공자가 취하여야 할 개인정보의 안전성 확보에 필요한 기술적·관리적 조치로 ‘개인정보의 안전한 취급을 위한 내부관리계획의 수립 및 시행(제1호)’, ‘개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근통제장치의 설치·운영(제2호)’, ‘접속기록의 위조·변조 방지를 위한 조치(제3호)’, ‘개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치(제4호)’, ‘백신소프트웨어의 설치·운영 등 컴퓨터바이러스 방지 조치(제5호)’, ‘그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치(제6호)’를 규정하고 있다. 따라서 정보통신서비스제공자는 구 정보통신부령 제3조의3 제1항 각호에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 할 법률상 의무를 부담한다. 나아가 정보통신서비스제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로 하여금 이용약관 등을 통해 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신서비스제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실·도난·누출·변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담한다. 그런데 정보통신서비스가 ‘개방성’을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스제공자가 구축한 네트워크나 시스템 및 그 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 ‘해커’ 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 아니한 점, 해커 등은 여러 공격기법을 통해 정보통신서비스제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적인 점 등의 특수한 사정이 있으므로, 정보통신서비스제공자가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스제공자의 업종·영업규모와 정보통신서비스제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피가능성, 정보통신서비스제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다. 특히 구 정보통신부령 제3조의3 제2항은 “정보통신부장관은 제1항 각호의 규정에 의한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.”고 규정하고 있고, 이에 따라 정보통신부장관이 마련한 ·개인정보의 기술적·관리적 보호조치 기준·(정보통신부 고시 제2005-18호 및 제2007-3호, 이하 ‘이 사건 고시’라 한다)은 해킹 등 침해사고 당시의 기술수준 등을 고려하여 정보통신서비스제공자가 구 정보통신망법 제28조 제1항에 따라 준수해야 할 기술적·관리적 보호조치를 구체적으로 규정하고 있으므로, 정보통신서비스제공자가 이 사건 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다면, 특별한 사정이 없는 한, 정보통신서비스제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다.

○ 본인확인제는 인터넷게시판에 타인의 명예를 훼손하는 등의 불법정보를 게시하는 것을 억제하고 불법정보 게시로 피해가 발생한 경우 가해자를 특정할 수 있는 기초자료를 확보함으로써 건전한 인터넷문화를 조성하기 위한 것으로서 그 목적의 정당성과 수단의 적합성을 인정할 수 있다. ○ 그러나, 인터넷게시판 운영자에게 게시판 이용자에 대한 본인확인조치를 하도록 하여 게시판 이용자가 본인확인절차를 거치지 아니하면 인터넷게시판에 정보를 게시할 수 없도록 하는 본인확인제는 아래와 같이 목적달성에 필요한 범위를 넘는 과도한 제한을 하는 것으로서 침해의 최소성이 인정되지 않는다. - 불법정보 게시로 인한 피해가 발생한 경우 가해자 특정은 인터넷 주소 등의 추적 및 확인 등을 통하여, 피해자 구제는 정보통신서비스제공자에 의한 당해 정보의 삭제?임시조치(정보통신망법 제44조의2 제1항, 제2항), 게시판 관리?운영자에 대한 불법정보 취급의 거부?정지 또는 제한명령(정보통신망법 제44조의7 제2항, 제3항) 등으로 불법정보의 유통 및 확산을 차단하거나 사후적으로 손해배상 또는 형사처벌 등을 통하여 충분히 할 수 있다. - 본인확인의 대상인 ‘게시판 이용자’는 ‘정보의 게시자’뿐만 아니라 불법행위를 할 가능성이 없는 ‘정보의 열람자’도 포함하고, 본인확인제 적용 대상인 정보통신서비스제공자 선정에 있어서 그 정확성과 기준이 불분명한 이용자수 산정 결과에 따라 적용대상의 범위가 정하여지는 등 본인확인제는 인터넷의 특성을 고려하지 아니한 채 그 적용범위를 광범위하게 정함으로써 법집행자에게 자의적인 집행의 여지를 부여하고 있다. - 본인확인제에 따라 정보통신서비스제공자가 본인확인정보를 보관하여야 하는 기간은 정보의 게시가 종료된 후 6개월이 경과하는 날까지이므로, 정보를 삭제하여 그 게시를 종료하지 않는 한 본인확인정보는 무기한으로 정보통신서비스제공자에게 보관되는 결과가 발생할 수 있다. ○ 또한, 본인확인제는 아래와 같이 본인확인제로 인하여 게시판 이용자 및 정보통신서비스제공자가 입게 되는 불이익이 본인확인제가 달성하려는 공익보다 결코 더 작다고 할 수 없으므로 법익의 균형성 역시 인정되지 않는다. - 표현의 자유는 민주주의의 근간이 되는 중요한 헌법적 가치이므로 표현의 자유의 사전 제한을 정당화하기 위해서는 그 제한으로 인하여 달성하려는 공익의 효과가 명백하여야 하는데, 본인확인제 시행 이후에 명예훼손 등의 불법정보 게시가 의미있게 감소하였다는 증거를 찾아볼 수 없고, 국내 인터넷 이용자들의 해외 사이트로의 도피, 국내 사업자와 해외 사업자 사이의 차별 내지 자의적 법집행의 시비로 인한 집행 곤란의 문제를 발생시키고 있어서, 결과적으로 당초 목적과 같은 공익을 실질적으로 달성하고 있다고 보기 어렵다. 뿐만 아니라 본인확인제의 적용을 받지 않는 모바일 게시판, 소셜 네트워크 서비스 등 새로운 의사소통수단의 등장으로 본인확인제는 그 공익을 인터넷 공간의 아주 제한된 범위에서만 실현하게 되었다. - 반면에 본인확인제로 인하여 인터넷 이용자는 자신의 신원 노출에 따른 규제나 처벌 등을 염려하여 표현 자체를 포기할 가능성이 높고, 외국인이나 주민등록번호가 없는 재외국민은 인터넷게시판의 이용이 봉쇄되며, 새롭게 등장한 정보통신망상의 의사소통수단과 경쟁하여야 하는 게시판 운영자는 업무상 불리한 제한을 당하고, 본인확인정보 보관으로 인하여 게시판 이용자의 개인정보가 외부로 유출되거나 부당하게 이용될 가능성이 증가하게 되었다. ○ 따라서, 본인확인제를 규율하고 있는 이 사건 법령조항들은 과잉금지원칙에 위배하여 청구인 OOO 등의 표현의 자유, 개인정보자기결정권, 청구인 OOOOO의 언론의 자유 등 기본권을 침해한다.