대상 판결은 개인정보 보호조치를 위반할 때 부과되는 과징금은 법 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수의 성격과 함께 위법행위에 대한 제재로서의 성격을 가진다는 점을 확인하고 구 정보통신망법(개인정보 보호법)상 의무위반을 이유로 하는 과징금의 부과 시 재량권 행사의 한계와 과징금 산정 시 관련 매출액의 기준이 되는 서비스의 범위에 관하여 명시적으로 설시한 최초의 판결이다. Ⅰ. 사실관계 온라인 쇼핑몰을 운영하는 원고는 2018. 11. 1. 이벤트 대상 상품을 일정 금액 이상 구매하는 경우 사용할 수 있는 포인트 적립권을 선착순으로 배포하는 이벤트(이하 ‘이 사건 이벤트’)를 진행하였으며, 이를 위해 쇼핑몰의 PC용 웹사이트와 모바일용 웹사이트에 각각 이벤트 페이지를 만들고 다수의 이용자가 동시에 접속하여 연결이 지연되는 문제가 발생하지 않도록 하기 위하여 이벤트 페이지를 통해 접속하는 경우 사용하는 웹서버를 별도로 분리하였다. 또한 쇼핑몰 홈페이지에 적용되는 캐시 정책과 별도로 모바일 웹을 통해 접속 가능한 이 사건 이벤트 페이지에만 적용되는 별도의 캐시 정책을 마련하였다. 그런데 직원의 실수로 모바일 웹을 통해 접속 가능한 이 사건 이벤트 페이지의 캐시 정책을 잘못 설정하였고, 그 결과 원고 쇼핑몰 이용자 20명의 개인정보(이름, 이메일, 휴대폰번호, 배송지 주소 등)가 열람권한이 없는 다른 이용자 29명에게 노출되는 사고(이하 ‘이 사건 사고’)가 발생하였다. 이에 방송통신위원회는 원고가 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2020. 2. 4. 법률 제16955호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제28조 제1항 제2호(개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영)의 조치를 하지 아니하여 이 사건 쇼핑몰 이용자의 개인정보를 유출했다는 이유로 2019. 12. 27. 각 시정명령, 과태료 및 과징금 18억 5200만 원 등을 부과하였다(이 사건 처분 이후 2020.8.5. 시행된 개정 「개인정보 보호법」에 따라 방송통신위원회 소관사무 중 개인정보보호에 해당하는 사무가 개인정보보호위원회로 기능 이관되어 이 사건 피고는 ‘개인정보보호위원회’이다). Ⅱ. 대상판결 요지 구 정보통신망법 제64조의3 제1항 제6호에서 정한 자에 대하여 과징금을 부과함으로써 박탈하고자 하는 이득은 문제된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히려 정보통신서비스 제공자가 적절한 보호조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유함으로써 얻은 이득이라 보아야 한다. 이에 따라 위 과징금 부과를 위한 관련 매출액을 산정할 때 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 범위는 유출사고가 발생한 개인정보를 보유·관리하고 있는 서비스의 범위를 기준으로 판단해야 한다. 구 정보통신망법 제64조의3 제1항에 따른 과징금은 법 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수의 성격과 함께 위법행위에 대한 제재로서의 성격을 가지고, 같은 조 제3항은 과징금을 부과할 때 위반행위의 내용과 정도, 기간과 횟수 외에 위반행위로 인하여 취득한 이익의 규모 등도 고려하도록 규정하고 있다. 개인정보 보호조치 의무 위반에 대해 부과되는 과징금의 액수는 보호조치 위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려하여 정해야 한다. 그리고 과징금의 액수가 위반행위의 내용에 비해 과중하여 사회통념상 현저하게 타당성을 잃은 경우라면 그러한 과징금 부과처분은 재량권을 일탈·남용하여 위법하다고 보아야 한다. Ⅲ. 판례평석 1. 개인정보 보호조치 의무 위반 과징금의 법적 구조 구 정보통신망법 제64조의3 제1항 제6호는 이용자의 개인정보를 분실·도난·유출·위조·변조 또는 훼손한 경우로서 제28조 제1항 제2호부터 제5호(2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영, 3. 접속기록의 위조·변조 방지를 위한 조치, 4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치, 5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치)까지의 조치를 하지 아니한 경우 해당 정보통신서비스 제공자 등에게 “위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액”을 과징금으로 부과할 수 있도록 규정하였다. 같은 조에서 위반행위의 내용 및 정도, 위반행위의 기간 및 횟수, 위반행위로 인하여 취득한 이익의 규모를 고려하여 과징금을 부과하도록 하면서, 구체적인 산정기준과 산정절차는 시행령에 위임하였다(제3항, 제4항). 그 위임에 따른 구 정보통신망법 시행령 제69조의2는 ‘법 제64조의3 제1항 각 호 외의 부분 본문에서 ‘위반행위와 관련한 매출액’이란 해당 정보통신서비스 제공자등의 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연평균 매출액을 말한다.’고 규정하고 있고(제1항), 같은 조에서 과징금의 산정기준과 산정절차는 [별표 8] ‘과징금 산정기준과 산정절차’에서 구체적으로 정하면서 세부기준 및 부과방법 등에 관한 사항을 고시에 위임하였다(제4항). 한편 위 구 정보통신망법의 규정 이관된 현행 「개인정보 보호법」은 제29조에서 개인정보처리자의 안전조치 의무를 규정하고 제64조의2 제9호에서 과징금 부과 근거를 두고 있어 이 사건 판결에서 대법원이 설시하고 있는 과징금 부과의 합법성 조건은 현행 「개인정보 보호법」에서도 여전히 유효하다 할 것이다. 2. 매출액 산정의 기준이 되는 위반행위 ‘관련성’의 의미 과징금 부과 시 금액 산정의 1차적 기준이 되는 ‘위반행위와 관련한 매출액’의 범위와 관련하여, 원심은 이 사건 쇼핑몰 홈페이지의 웹서버와 이 사건 이벤트 페이지의 웹서버가 서로 분리 운영되어 개인정보가 보관된 데이터베이스에 대한 접근경로에도 차이가 있고, 캐시 설정의 오류도 이 사건 이벤트 페이지에서만 발생하였다는 이유로 쇼핑몰 전체의 연매출액이 아닌 ‘이 사건 이벤트로 인한 매출액’으로 한정되어야 한다고 보았다. 그러나 대법원은 먼저 과징금이 부당이득의 환수뿐만 아니라 제재를 통하여 위반행위를 억지하는 데에도 목적이 있다는 점을 확인하면서 이 사건 과징금 처분으로 박탈하고자 하는 이득은 문제된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히려 정보통신서비스 제공자가 적절한 보호조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유함으로써 얻은 이득이라고 보았다. 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 범위도 “유출사고가 발생한 개인정보를 보유·관리하고 있는 서비스의 범위를 기준으로 판단하여야” 하고, 이 사건 이벤트 페이지를 통해 유출된 개인정보는 이 사건 쇼핑몰 서비스의 전체적인 운영을 위해 수집·관리되는 정보이고, 이 사건 이벤트 페이지에서 제공하는 서비스만을 위한 목적으로 수집·관리된 정보가 아니라고 보았다. 즉, 원고에 대한 과징금을 산정하기 위한 관련 매출액은 해당 개인정보 데이터베이스를 보유·관리하는 서비스인 이 사건 쇼핑몰 서비스 전체의 매출액으로 보아야 하고, 이 사건 이벤트 페이지로부터 개인정보 데이터베이스에 접근할 수 있는 경로가 이 사건 쇼핑몰 웹사이트에서의 접근경로와 다르다는 사정만으로 관련 매출액이 이 사건 이벤트 페이지에서 발생한 매출액으로 한정된다고 볼 수 없다고 판시하였다. 3. 과징금 부과시 재량권 행사의 기준 대법원은 개인정보 보호조치 의무 위반에 대해 부과되는 과징금 부과처분은 재량행위에 해당하며, 이 사건 과징금액은 보호조치 의무 위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려할 때, 과징금의 액수가 위반행위의 내용에 비해 과중하여 사회통념상 현저하게 타당성을 잃은 경우에 해당하여 재량권을 일탈·남용하였다고 평가하였다. 법원이 재량권의 일탈·남용으로 본 주된 지점은 이 사건 사고가 담당 직원의 사소한 부주의나 오류로 인한 것이지 구조적인 문제로 발생한 것으로 볼 것은 아니며, 문제된 캐시 정책이 단 하루만 이 사건 이벤트 페이지에 적용되었으며 다음날 원고가 바로 자진 신고한 점, 유출된 정보주체의 수가 20명으로 비교적 적은 수의 개인정보 유출 사고가 발생하였으며 이 정도 경미한 경우에 대해 이 사건 과징금과 같이 거액의 과징금이 부과된 사례는 찾아보기 어려운 점, 주민등록번호·비밀번호 등은 노출되지 않았고 추가 피해 우려도 비교적 작았던 점 등이다. 4. 대상 판결의 의미 대법원은 관련 매출액을 산정함에 있어 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 범위에 대한 판단은 원심과 달리하면서도 결과적으로 과징금의 액수가 위반행위의 내용에 비해 과중하게 산정되어 과징금 처분이 비례원칙에 반하여 재량권을 일탈·남용하였다는 점에 대해서는 같은 입장을 견지하였다. 개인정보 보호조치 의무 위반행위에 대한 과징금 산정과 관련하여 위반행위 관련 매출액을 어떻게 산정하느냐는 과징금액은 물론 과징금의 적법성을 가르는 핵심 이슈가 된다. 그간 법원은 개인정보 유출과 관련하여 직접적으로 영향을 받는 서비스의 매출액뿐만 아니라 간접적으로 영향을 받는 서비스의 매출액도 포함하여도 부당하지 않다는 입장을 보여왔으며(서울고등법원 2019.11.1. 선고 2018누56291), 본 대상 판결에서는 그 서비스의 범위도 유출사고가 발생한 개인정보를 ‘보유·관리하고 있는 서비스’의 범위를 기준으로 판단하여야 하고 매출액도 ‘이 사건 이벤트로 인한 매출액’으로 한정된다고 볼 수 없다고 밝히고 있다. 다만 쇼핑몰 이용자들의 개인정보가 담긴 데이터베이스와 관련하여 독립된 접근경로를 가진 웹페이지에서 제공하는 서비스가 이 사건 쇼핑몰이 제공하는 서비스와 외견상 구분되는 독자적인 서비스인 경우에는 해당 서비스에서 발생한 매출액만을 관련 매출액으로 산정할 여지가 있다는 점은 인정하였는데, 본 사건 사고에서 유출된 개인정보는 쇼핑몰 서비스의 전체적인 운영을 위해 수집·관리되는 정보이지 이 사건 이벤트 페이지에서 제공하는 서비스만을 위한 목적으로 수립·관리된 것은 아니므로 과징금을 산정하기 위한 관련 매출액도 이 사건 쇼핑몰 서비스 전체의 매출액으로 보아야 한다고 판단한 것이다. 위반행위 관련 매출액은 위반행위 관련 서비스에서 발생한 매출로 이해하여야 하고, 위반행위 관련 서비스의 범위는 명확히 구분되어야 한다. 관련 매출액에 관한 법원의 판단은 개인정보 보호조치 의무 위반에 대한 실효적 제재 필요성에 무게를 두고 아울러 과징금 부과 시 매출액 산정을 위한 서비스 범위 획정의 실무적인 어려움을 고려한 것으로 보인다. 그러나 과징금의 제재적 수단으로서의 의미를 감안하더라도 경제적 이익의 박탈과 관련성이 인정되지 못 하는 과징금은 제도의 기본적 속성에 반한다는 비판을 면할 수 없다. 2023.3.14. 「개인정보 보호법」 개정으로 기존 형사처벌 대상이던 행위가 대폭 과징금 부과대상으로 편입되었으며, 과징금 산정을 위한 매출액 기준도 ‘위반행위 관련 매출액’이 아닌 ‘전체 매출액’을 기준으로 하되 ‘위반행위와 관련이 없는 매출액’을 제외하는 방식으로 강화되었다(제64조의2 제2항). 또한 개인정보보호위원회는 개인정보처리자가 정당한 사유 없이 매출액 산정자료의 제출을 거부하거나 거짓의 자료를 제출한 경우에는 해당 개인정보처리자의 전체 매출액을 기준으로 산정할 수 있다고 규정함으로써 관련 매출액에 대한 입증책임을 사실상 수범자에게 전가하고 있다. 본 대상판결에서 개인정보 데이터베이스에 대한 독립된 접근경로를 가진 웹페이지에서 제공하는 서비스가 다른 서비스와 외견상 구분되는 독자적인 서비스에 해당하는 경우에는 매출액 산정에서 제외될 수 있다는 여지를 남겼지만, 이는 데이터 기반 서비스를 제공하는 사업에서 현실적으로 기대할 수 없거나 최근 클라우드 기반 서비스가 확대되고 있다는 점을 고려하면 기술발전을 역행한다는 비판에서 자유롭지 못하다. 광범위하고 막대한 과징금 부과권한을 보유하게 된 개인정보보호위원회는 법원이 제시한 기준에 안주하지 말고 보다 예측가능하고 합리적인 과징금 산정 기준을 지속적으로 정립하여 데이터 산업의 규제 불확실성을 해소해야 할 것이다. 김도승 교수(국립목포대학교 법경찰학부)

작년 12월 대법원은 메타와 방통위 간 분쟁에서 메타의 국내 트래픽 접속 변경이‘이용 제한’에 해당하지 않는 결정을 내렸다. 이용 자체는 가능하나 이용에 영향을 미쳐 이용에 다소간의 지연이나 불편을 초래하게 하는 행위는 이용 제한이 아니라는 것이다. 이 분쟁 이후 CP에게도 망 품질 관리책임을 부여하는 법이 시행되어 CP에게 인터넷 생태계에서의 의무와 책임이 부여되었다. I. 사안의 개요 메타, 아마존, 구글 등 글로벌 ICT 기업들은 지능정보사회의 핵심 플랫폼의 역할을 하면서 글로벌 생태계 구축을 위한 경쟁을 하고 있다. 이와 같은 콘텐츠제공자(Contents Provider: CP)들은 서비스 제공을 위해 인터넷서비스제공자(Internet Service Provider: ISP)의 네트워크를 이용하데, 이 과정에서 망 이용대가 부담 주체, 적정규모 등에 관한 분쟁이 빈번하다. 이와 관련 메타(구 페이스북)가 SKT와 LGU+ 가입자가 자사에 접속하는 인터넷 트래픽의 일부의 접속경로를 국내 서버에서 홍콩 등 해외 서버 등으로 변경하여 국내 이용자들의 접속이 제대로 되지 않거나 동영상이 제대로 재생되지 않는 등의 장애, 불편, 지연 등이 발생하자, 방송통신위원회 이러한 임의의 접속경로 변경 행위가 전기통신사업법상 이용 제한에 해당하고 이용자 이익의 저해 정도가 현저하다는 이유로 시정조치와 과징금(3억 9,600만 원) 납부 등을 명하였다. 이에 불복한 메타는 시정조치 및 과징금 부과 처분 등을 취소소송을 제기하였으나 대법원은 방통위의 상고를 기각하였다(대법원 2023. 12. 21. 선고 2020두50348 판결). 메타는 방통위의 예정 처분에 대해서 1) 콘텐츠 제공사업자로서 인터넷 접속 품질에 대한 책임을 부담할 수 없으며, 2) 응답속도가 느려졌더라도 이용자가 체감할 수준은 아니며, 3) 이용약관에 서비스 품질을 보장할 수 없다고 명시하였으므로 전기통신사업법을 위반하지 않았다고 했으나, 방통위는 1) 메타가 콘텐츠 제공사업자라 하더라도 직접 접속경로를 변경한 행위 주체로서 책임이 있으며, 2) 응답속도는 전반적인 네트워크 관리지표로서 2.4배 또는 4.5배 응답속도가 저하된 것은 접속 품질이 과거 수준에서 현저히 벗어난 것으로 볼 수 있으며, 3) 이용약관에서 정한 무조건적인 면책조항은 부당한 점 등을 고려하여 페이스북의 소명을 받아들이지 않았다 Ⅱ. 대상판결의 요지 이 사건의 쟁점은 원고의 접속경로 변경행위가 이 사건 쟁점 조항의 ‘이용 제한’에 해당하는지 여부 등이다. 이 사건 쟁점 조항이 정한 금지행위를 이유로 하는 과징금 부과 등은 침익적 행정처분에 해당하므로, 이 사건 쟁점조항은 엄격하게 해석·적용해야 하고, 행정처분의 상대방에게 지나치게 불리한 방향으로 해석·적용하여서는 안 된다. ‘제한’의 사전적 의미와 ‘제한’이 ‘중단’과 병렬적으로 규정되어 있는 점 등을 고려하면, ‘이용의 제한’은 이용의 시기나 방법, 범위 등에 한도나 한계를 정하여 이용을 못 하게 막거나 실질적으로 그에 준하는 정도로 이용을 못 하게 하는 것을 의미한다고 해석된다. 이용자 편의 도모나 이용자의 보호를 이유로 이용의 ‘제한’을 ‘이용 자체는 가능하나 이용에 영향을 미쳐 이용에 다소간의 지연이나 불편을 초래하게 하는 행위’까지 포함하는 것으로 해석하는 것은 문언의 가능한 의미를 벗어나므로 유추해석금지의 원칙에 반할 여지가 있다. CP가 자신이 제공하는 콘텐츠로의 과다 접속에 따른 다량의 트래픽을 효율적으로 전송, 처리하기 위하여 접속경로 변경을 선택하는 경우도 많고 결코 이례적이라고 보기 어렵다. 이처럼 CP의 접속경로 변경행위는 합리적 의사결정에 따른 것으로 영업상 허용되는 범위 내에 있을 여지도 다분하다. 전기통신사업법은 2020. 6. 9. 법률 제17352호로 개정되면서 제22조의7이 신설되었는데, 위 조항은 이용자 수, 트래픽 양 등이 대통령령으로 정하는 기준에 해당하는 부가통신사업자는 이용자에게 편리하고 안정적인 전기통신서비스를 제공하기 위하여 서비스 안정수단의 확보, 이용자 요구사항 처리 등 대통령령으로 정하는 필요한 조치를 취할 의무를 부담한다고 규정하고 있다. 그 위임에 따라 전기통신사업법 시행령 제30조의8 제2항은 서비스 안정수단 확보를 위한 구체적 조치사항으로 안정적인 서비스 제공을 위한 트래픽의 과도한 집중, 기술적 오류 등을 방지하기 위한 기술적 조치와 트래픽 양 변동 추이를 고려한 서버 용량, 인터넷 연결의 원활성 확보 및 트래픽 경로의 최적화 등을 규정하고 있다. 위와 같이 법이 개정된 이유는 이용자의 보호를 위한 것인데, 전기통신사업법 제22조의7이 신설되기 이전에는 CP의 일방적인 접속경로 변경행위에 대한 규제 또는 규율의 법적 공백이 있었다고 볼 여지가 있다. Ⅲ. 평석 1. 이용 제한 해당 여부 2018. 3. 21. 방통위 처분으로 시작된 접속경로 변경 분쟁은 5년 7개월 만에 마무리되었다. 이 사건의 핵심 쟁점은 메타의 접속경로 변경 행위가 전기통신사업법령에서 금지하는 ‘정당한 사유 없이 전기통신서비스의 가입, 이용을 제한 또는 중단하는 행위’ 중 ‘이용의 제한’에 해당하는지와 전기통신이용자의 이익을 현저히 해치는 방식으로 전기통신서비스를 제공하는 행위에 해당하는지의 요건을 충족하는지 여부이다. 이에 대해 1심은 메타의 접속경로 변경이 이용 제한이 아니라고 판시했다. “전기통신서비스의 이용을 지연하거나 이용에 불편을 초래한 행위에 해당할 뿐, 이용 제한에 해당한다고 볼 수 없다”는 것이다. 즉, 인터넷 이용은 가능하나, 인터넷 이용이 지연되거나 불편할 수는 있으나 이용은 가능했기 때문에 ‘제한’이 아니라는 것이다. 2심 재판부는 접속경로를 ‘우회’하도록 한 것은 이용 제한 행위에 해당한다고 봤다. 재판부는 “이용 제한이란 ‘이용은 가능하지만 이용에 영향을 미쳐 이를 곤란하게 하는 행위’를 의미한다. 다만, 다른 요건인 이용자들의 이익을 현저히 해치는 방식으로 전기통신서비스를 제공하는 행위에 해당한다고 보기는 어렵다고 보았다. 상고심은 ‘이용의 ‘제한’을 ‘이용 자체는 가능하나 이용에 영향을 미쳐 이용에 다소간의 지연이나 불편을 초래하게 하는 행위’까지 포함하는 것으로 해석하는 것은 유추해석 금지의 원칙에 반할 여지가 있다고 판단했다. 결국 1심은 이용 제한에 해당하지 않는다고 보았고, 2심은 이용 제한에 해당하나 이용자 이익을 현저히 해치는 방식이 아니라고 보았으며, 상고심은 1심의 결론을 지지했다. 이처럼 ‘이용 제한’의 개념에 대한 심급별 판단이 달랐다. 그러나 2심에서 지적한 바와 같이 제한은 금지에 이르지 않지만 곤란, 불편, 장애가 있는 상태이기 때문에 본건 인터넷 응답속도 저하는 제한에 해당한다고 보는 것이 맞다고 봐야 할 것이다. 다음 현저성에 관한 것이다. 전기통신사업법은 명백히 전기통신이용자의 이익을 현저히 해치는 방식으로 전기통신서비스를 제공하는 행위를 금지하고 있다. 따라서 현저성의 요건은 정도나 수준의 문제라기보다 방식, 수단, 형태에 관한 판단이 필요한데, 1심과 2심 모두 이런 판단을 하지 않았다. 재판부에서 판단한 것처럼 ‘CP인 원고로서는 접속경로 변경으로 인하여 서비스 품질이 어느 정도까지 저하될 것인지 사전에 예측하기 어렵다’는 점은 사실과 부합하지 않는 것으로 보인다. 거대 CP인 메타는 접속경로를 스스로 설정할 권한을 가지고 있고, 특정 접속경로를 통해 흐르는 트래픽을 실시간으로 모니터링하고 있으며, 따라서 접속경로를 일시에 다량 변경하는 경우, 병목현상 등으로 인해 접속장애가 발생한다는 점을 잘 알면서도, 의도적으로 접속경로를 변경한 것이라고 볼 수 있다. 이 점에서 방식이나 형태의 현저성이 있다고 볼 수 있다. 만약 현저성을 수준이나 정도로 본다고 하여도 이용자 이익 저해 현저성은 상대적 개념으로 특정 국제기준이 아니라, 여러 상황을 고려하여 구체적, 개별적으로 판단할 필요가 있다. 해외의 낮은 기준으로 국내 이용자가 겪은 접속지연이 현저하지 않았다고 판단한 것은 국내 인터넷 이용자의 기대를 고려하면 다른 해석이 가능하다. 2. 시사점 위 판결에서 법원은 인터넷 응답속도 등 인터넷 접속서비스의 품질은 기본적으로 ISP가 관리, 제어할 수 있는 영역이지, 원고와 같은 CP가 관리, 통제할 수 있는 영역이 아니라고 보았다. 다만, 법원도 CP의 접속경로 변경 등으로 접속속도가 저하되어 전기통신서비스 이용을 지연하거나 이용에 불편을 초래하는 행위를 제재하기 위해서는 별도로 명문의 규정을 두어야 한다고 입법 필요성을 강조한 점을 보면, CP의 망 품질 제어 가능성은 인정하였다. 이와 관련 방통위는 2019년 말 ‘공정한 인터넷망 이용계약에 관한 가이드라인’을 마련하여, 망 이용자의 지위에 불과했던 CP들에게 트래픽 관리를 포함한 이용자 보호책임을 인정하였다. 이후 정부는 상고심이 지적한 바와 같이 CP에게도 망 품질 관리책임을 인정하는 입법을 하게 된다. 이 법 적용 대상은 직전년도 3개월간 일 평균 이용자 수가 100만 명 이상이면서 국내 발생 트래픽 총량의 1% 이상을 차지한 사업자인데, 구글, 넷플릭스, 메타, 네이버, 카카오가 대상이 되었다. 결국 이 사건 판결로 인해 인터넷 응답속도 등 인터넷 접속 서비스의 품질은 ISP가 관리, 제어할 수 있는 영역이지, CP가 관리, 통제할 수 있는 영역이 아니라고 보았던 관점이 변경되었다. 또한 부가통신사업자에 불과하였던 CP에게도 인터넷 생태계에서 책임과 의무를 인정하는 입법이 이루어졌다는 점이 이 판결의 의의라고 할 수 있다. 이성엽 교수(고려대)·법학박사

1. 사안의 개요 청구인들은 검사 또는 군수사기관의 장을 포함한 수사관서의 장, 정보수사기관의 장의 요청에 따라 자신들이 가입한 전기통신사업자가 성명, 주민등록번호, 주소, 전화번호, 가입일 등의 통신자료를 제공하였음을 알게 되자 1) 위 수사기관 등의 각 통신자료 취득행위(이하 ‘이 사건 통신자료 취득행위’라 한다)와 2) 그 근거법률인 전기통신사업법 제83조 제3항 중 “검사 또는 수사관서의 장(군 수사기관의 장을 포함한다), 정보수사기관의 장의 수사, 형의 집행 또는 국가안전보장에 대한 위해 방지를 위한 정보수집을 위한 통신자료 제공요청”에 관한 부분(이하 ‘심판대상조항’이라 한다)에 관하여 헌법재판소법 제68조 제1항에 의한 헌법소원심판을 청구하였다. 2. 결정의 요지 헌법재판소는 1) 이 사건 통신자료 취득행위에 관한 심판청구는 각하하였고, 2) 심판대상조항에 대하여는 2023. 12. 31.을 시한으로 잠정적용을 명하는 헌법불합치결정을 하였다. 3. 평석 가. 결정의 배경 헌법재판소는 2012년 유사한 사건에서 통신자료 취득행위와 구 전기통신사업법 조항에 관하여 모두 각하결정을 한 바 있다(헌재 2012. 8. 23. 2010헌마439). 그러나 그 이후에도 시민사회뿐만 아니라 유엔 자유권규약위원회와 국가인권위원회로부터도 전기통신사업법에 의한 수사기관 등(여기에는 검찰, 경찰, 고위공직자수사처 등이 포함된다)의 통신자료 취득에 기본권 침해의 소지가 있다는 우려가 계속하여 제기되었다. 대상결정은 이러한 상황을 배경으로 2016년 및 2022년 청구된 합계 4건의 헌법소원심판 사건을 병합하여 판단에 이른 것이다. 대상결정은 심판대상조항이 통신자료 제공 이후에도 정보주체에게 이를 통지하는 절차를 두고 있지 않아 적법절차원칙에 반한다는 이유로 헌법불합치결정을 하였다. 심판대상조항이 적법절차원칙의 요구를 충족시키지 못한다는 점은 타당하나 대상결정에 따른 후속입법에 있어서는 쟁점이 되었던 다른 위헌사유들도 진지하게 검토하여 헌법적으로 최적화된 대안을 마련해야 할 것이다. 나. 적법요건 대상결정은 적법요건에 관한 중요 쟁점을 몇 가지 포함하고 있으므로 먼저 이에 관하여 본다. 헌법재판소는 우선 이 사건 통신자료 취득행위 부분은 헌법소원심판의 대상이 될 수 없다고 보았고 이 점은 2012년 결정과 같은 취지이다. 공권력 행사에 해당하기 위해서는 국가기관이나 공공단체의 고권적 작용으로 인하여 청구인의 법률관계 내지 법적 지위를 불리하게 변화시켜야 하는데 통신자료를 제공요청하고 전기통신사업자로부터 이를 자발적으로 제공받은 것은 임의수사에 불과하여 공권력 행사에 해당하지 않는다는 것이다(이에 대해 공권력 행사에 해당하지만 권리보호이익 흠결을 이유로 각하해야 한다는 별개의견도 제시되었다). 2012년 결정과 달라진 부분은 통신자료 제공과 취득의 근거규정인 심판대상조항의 직접성에 관한 판단으로서 이로 인하여 대상결정의 본안판단이 이루어질 수 있게 되었다. 헌법소원의 적법요건 중 기본권침해의 직접성만큼 논란이 많은 것은 찾아보기 어렵다. 이러한 배경에는 헌법재판소법 제68조 제1항에 명시적인 근거가 없다는 점 외에 경우에 따라서는 판례의 태도에서 일관성을 찾기가 쉽지 않다는 점도 작용한다고 보인다. 법률조항은 구체적인 집행행위를 기다리지 아니하고 그 자체에 의하여 자유의 제한, 의무의 부과, 권리 또는 법적 지위의 박탈을 일으키는 경우 그 직접성이 인정될 수 있다. 사안에서는 공권력주체인 수사기관 등의 통신자료 제공요청과 사적 행위자인 전기통신사업자의 제공행위라는 두 부분으로 구성된 집행행위의 실행이 있어야 비로소 기본권 제한이 발생하므로 원칙적으로는 기본권침해의 직접성이 없게 된다. 2012년 선행결정은 특히 전기통신사업자의 통신자료 제공행위가 재량에 달려 있다는 점을 강조하면서 이러한 취지로 판시하였다. 그러나 ‘사인(私人)의 행위’는 공권력작용이 아니므로 집행행위로 볼 수 없다는 판례들(가령 헌재 1996. 4. 25. 95헌마331)에 비추어 보더라도 직접성 판단에 있어 이 부분에 초점을 맞추는 것은 타당하지 않아 보인다. 반면 대상결정은 적어도 영장주의나 사후통지 등 절차와 관련하여서는 법률에서 그 제도를 두지 않아 기본권 침해가 직접 문제 된다고 할 수 있고, 집행행위로 인하여 비로소 기본권 제한이 발생한다고 볼 수밖에 없는 부분이 있더라도 “통신자료 취득행위에 대한 직접적인 불복수단이 존재하는지가 불분명”하고, “이용자는 수사기관 등의 통신자료 제공요청의 직접적인 상대방이 아니어서 다른 절차를 통해 권리구제를 받지 못할 가능성이 크기” 때문에 직접성의 예외가 인정될 수 있다고 보아 기존 판례를 변경하였다. 공권력작용과 사인의 행위가 결합된 형태의 집행행위에 이러한 법리가 향후 일관되게 적용될 것인지 주의해 볼 필요가 있다고 생각된다. 일부 청구인들은 통신자료 취득시점으로부터 1년이 도과한 이후에 심판청구를 하였으나, 사후통지를 받지 못한 이상 기간도과에 청구인들이 책임질 수 없는 정당한 사유가 있다고 본 점도 눈에 띈다. 다. 기본권 침해 여부 헌법재판소는 심판대상조항에 의하여 개인정보자기결정권 제한이 발생한다고 보았다. 심판대상조항의 통신자료는 정보주체의 동일성을 식별할 수 있는 ‘성명, 주민등록번호, 주소, 전화번호, 아이디, 기입일·해지일’을 뜻하므로 사안에서 개인정보자기결정권의 제한이 발생한다는 점은 분명하다고 할 것이다. 다른 한편, 청구인들은 개인정보자기결정권 외에 통신의 비밀 제한도 발생하였다고 주장하였으나 헌법재판소는 이에 관하여 명시적인 판단을 하지 않았다. 이는 전기통신사업법상 통신자료가 “구체적인 통신관계의 발생으로 야기된 모든 사실관계, 특히 통신관여자의 인적 동일성·통신장소·통신횟수·통신시간 등 통신의 외형을 구성하는 통신이용의 전반적 상황(헌재 2018. 6. 28. 2012헌마538)”에 해당하지 않는다고 보았기 때문일 수 있으나 더 명시적인 논거와 판단기준이 드러나지 않은 점은 아쉽다. 심판대상조항의 개인정보자기결정권 침해 여부는 명확성원칙, 과잉금지원칙, 영장주의, 적법절차원칙을 기준으로 검토되었다. 명확성원칙과 관련하여서는 심판대상조항 중 ‘국가안전보장에 대한 위해’ 부분만이 문제 되었으나 일반인도 그 취지를 충분히 예측할 수 있다고 보아 명확성원칙 위반을 인정하지는 않았다. 과잉금지원칙과 관련하여서는 통신자료로서 제공되는 정보의 범위, 제공요청의 사유, 통신자료의 사전·사후 관리 등이 집중적으로 고려되었는데, 법정의견은 이 모든 사항과 관련하여 필요 이상의 기본권 제한이 발생하지 않았다고 판단한 반면, 별개의견(재판관 이종석)은 통신자료로서 ‘만능키’와 같은 주민등록번호도 수집할 수 있고, 개인정보에 관한 보관기간이나 폐기절차 등 사후관리방법도 부재하는 이상 과잉금지원칙 위반을 인정할 수 있다고 보았다. 필자는 선행정보가 후속정보의 대규모 수집, 생산으로 이어질 수 있는 오늘날의 정보통신환경을 고려할 때 별개의견이 제시한 논거들에 경청할 필요가 있다고 생각한다. 대상결정은 절차적 통제원칙들인 적법절차원칙과 영장주의의 관점에서 주의 깊게 살펴볼 필요가 있다. 헌법재판소는 적법절차원칙의 ‘절차적’ 요청으로 적절한 고지와 의견 및 자료 제출의 기회 부여를 들고 있고 제도와 사안에 따라 그 구체적 요구의 정도가 달라진다고 보고 있다. 대상결정은 심판대상조항이 사전고지절차를 마련하고 있지 않은 것은 물론, 통신자료 제공 이후 사후통지절차조차 두고 있지 않아 적법절차원칙상 요구되는 최소한의 기준을 충족하지 못한다고 보았으며 이는 타당하다고 평가된다. 재판관들도 이 점에 있어서는 별다른 이견이 없었던 것으로 보인다. 마지막으로 영장주의에 관하여 짚어 볼 필요가 있다. 대상결정은 심판대상조항에 따른 통신자료 제공요청은 통신비밀보호법상 통신사실 확인자료 제공요청(헌재 2018. 6. 28. 2012헌마191)과 달리 임의수사에 불과하여 영장주의 적용이 배제된다고 간략히 판시하는 데 그쳤으나, 기실 이는 상당한 논쟁을 배경으로 한 것이다. 특히 대상결정이 나오기 이전에 통신자료 취득에 관하여 영장주의가 적용되어야 한다는 견해가 상당수 발표되었음을 염두에 둘 필요가 있다(오동석, 황성기, 차진아, 임규철. 반대견해로는 이기수, 유주성). 영장주의 적용론은 정보제공 여부를 결정할 지위에 있는 전기통신사업자가 당해 개인정보의 주체가 아니라는 점과 제3자인 전기통신사업자조차 정보제공 여부의 타당성을 실질적으로 심사할 의무를 부담하지 않는다는 점(대법원 2016. 3. 10. 선고 2012다105482 판결 참조)을 주된 논거로 한다. 위와 같은 논쟁의 배경에 행정상의 인신구속 등에 관하여도 영장주의의 적용이 검토되고 있는 상황(헌재 2020. 9. 24. 2017헌바157 등 보충의견 참조)을 더하여 보면, 대상결정 중 영장주의에 관한 판시와 논증은 충분치 못하였다고 보인다. 통신자료의 취득이 통신사실 확인자료 제공요청 등 보다 강력한 기본권제한조치들과 빈번하게 결부될 수 있다는 점을 감안하면 더욱 그러하다. 라. 향후의 과제 대상결정은 사후통지절차의 흠결에 초점을 두고 헌법불합치결정을 하였는바, 적용시한인 2023. 12. 31. 이전에 개정입법이 이루어져야 한다. 전기통신사업법에 관한 개정안은 이미 수차례 제안된 바 있고 전기통신사업법 자체의 전면개정이 추진되고 있다는 소식도 들린다. 입법자는 개정과정에 있어 헌법재판소가 직접적인 헌법불합치사유로 거론한 ‘최소한의 사후통지절차’를 마련하는 데 그칠 것이 아니라 통신자료의 범위, 적절한 사전적 통제수단의 필요성, 보관기간이나 절차의 마련 등 대상결정에서 검토되었던 다른 위헌사유들을 진지하게 검토하여 헌법적으로 최적화된 대안을 마련하여야 할 것이다. 조동은 교수(서울대 로스쿨)