법률신문

[한국행정법학회 행정판례평석] (13) 개인정보 보호조치 의무 위반 과징금의 합법성 조건

대상 판결은 개인정보 보호조치를 위반할 때 부과되는 과징금은 법 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수의 성격과 함께 위법행위에 대한 제재로서의 성격을 가진다는 점을 확인하고 구 정보통신망법(개인정보 보호법)상 의무위반을 이유로 하는 과징금의 부과 시 재량권 행사의 한계와 과징금 산정 시 관련 매출액의 기준이 되는 서비스의 범위에 관하여 명시적으로 설시한 최초의 판결이다. Ⅰ. 사실관계 온라인 쇼핑몰을 운영하는 원고는 2018. 11. 1. 이벤트 대상 상품을 일정 금액 이상 구매하는 경우 사용할 수 있는 포인트 적립권을 선착순으로 배포하는 이벤트(이하 ‘이 사건 이벤트’)를 진행하였으며, 이를 위해 쇼핑몰의 PC용 웹사이트와 모바일용 웹사이트에 각각 이벤트 페이지를 만들고 다수의 이용자가 동시에 접속하여 연결이 지연되는 문제가 발생하지 않도록 하기 위하여 이벤트 페이지를 통해 접속하는 경우 사용하는 웹서버를 별도로 분리하였다. 또한 쇼핑몰 홈페이지에 적용되는 캐시 정책과 별도로 모바일 웹을 통해 접속 가능한 이 사건 이벤트 페이지에만 적용되는 별도의 캐시 정책을 마련하였다. 그런데 직원의 실수로 모바일 웹을 통해 접속 가능한 이 사건 이벤트 페이지의 캐시 정책을 잘못 설정하였고, 그 결과 원고 쇼핑몰 이용자 20명의 개인정보(이름, 이메일, 휴대폰번호, 배송지 주소 등)가 열람권한이 없는 다른 이용자 29명에게 노출되는 사고(이하 ‘이 사건 사고’)가 발생하였다. 이에 방송통신위원회는 원고가 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2020. 2. 4. 법률 제16955호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제28조 제1항 제2호(개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영)의 조치를 하지 아니하여 이 사건 쇼핑몰 이용자의 개인정보를 유출했다는 이유로 2019. 12. 27. 각 시정명령, 과태료 및 과징금 18억 5200만 원 등을 부과하였다(이 사건 처분 이후 2020.8.5. 시행된 개정 「개인정보 보호법」에 따라 방송통신위원회 소관사무 중 개인정보보호에 해당하는 사무가 개인정보보호위원회로 기능 이관되어 이 사건 피고는 ‘개인정보보호위원회’이다). Ⅱ. 대상판결 요지 구 정보통신망법 제64조의3 제1항 제6호에서 정한 자에 대하여 과징금을 부과함으로써 박탈하고자 하는 이득은 문제된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히려 정보통신서비스 제공자가 적절한 보호조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유함으로써 얻은 이득이라 보아야 한다. 이에 따라 위 과징금 부과를 위한 관련 매출액을 산정할 때 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 범위는 유출사고가 발생한 개인정보를 보유·관리하고 있는 서비스의 범위를 기준으로 판단해야 한다. 구 정보통신망법 제64조의3 제1항에 따른 과징금은 법 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수의 성격과 함께 위법행위에 대한 제재로서의 성격을 가지고, 같은 조 제3항은 과징금을 부과할 때 위반행위의 내용과 정도, 기간과 횟수 외에 위반행위로 인하여 취득한 이익의 규모 등도 고려하도록 규정하고 있다. 개인정보 보호조치 의무 위반에 대해 부과되는 과징금의 액수는 보호조치 위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려하여 정해야 한다. 그리고 과징금의 액수가 위반행위의 내용에 비해 과중하여 사회통념상 현저하게 타당성을 잃은 경우라면 그러한 과징금 부과처분은 재량권을 일탈·남용하여 위법하다고 보아야 한다. Ⅲ. 판례평석 1. 개인정보 보호조치 의무 위반 과징금의 법적 구조 구 정보통신망법 제64조의3 제1항 제6호는 이용자의 개인정보를 분실·도난·유출·위조·변조 또는 훼손한 경우로서 제28조 제1항 제2호부터 제5호(2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영, 3. 접속기록의 위조·변조 방지를 위한 조치, 4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치, 5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치)까지의 조치를 하지 아니한 경우 해당 정보통신서비스 제공자 등에게 “위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액”을 과징금으로 부과할 수 있도록 규정하였다. 같은 조에서 위반행위의 내용 및 정도, 위반행위의 기간 및 횟수, 위반행위로 인하여 취득한 이익의 규모를 고려하여 과징금을 부과하도록 하면서, 구체적인 산정기준과 산정절차는 시행령에 위임하였다(제3항, 제4항). 그 위임에 따른 구 정보통신망법 시행령 제69조의2는 ‘법 제64조의3 제1항 각 호 외의 부분 본문에서 ‘위반행위와 관련한 매출액’이란 해당 정보통신서비스 제공자등의 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연평균 매출액을 말한다.’고 규정하고 있고(제1항), 같은 조에서 과징금의 산정기준과 산정절차는 [별표 8] ‘과징금 산정기준과 산정절차’에서 구체적으로 정하면서 세부기준 및 부과방법 등에 관한 사항을 고시에 위임하였다(제4항). 한편 위 구 정보통신망법의 규정 이관된 현행 「개인정보 보호법」은 제29조에서 개인정보처리자의 안전조치 의무를 규정하고 제64조의2 제9호에서 과징금 부과 근거를 두고 있어 이 사건 판결에서 대법원이 설시하고 있는 과징금 부과의 합법성 조건은 현행 「개인정보 보호법」에서도 여전히 유효하다 할 것이다. 2. 매출액 산정의 기준이 되는 위반행위 ‘관련성’의 의미 과징금 부과 시 금액 산정의 1차적 기준이 되는 ‘위반행위와 관련한 매출액’의 범위와 관련하여, 원심은 이 사건 쇼핑몰 홈페이지의 웹서버와 이 사건 이벤트 페이지의 웹서버가 서로 분리 운영되어 개인정보가 보관된 데이터베이스에 대한 접근경로에도 차이가 있고, 캐시 설정의 오류도 이 사건 이벤트 페이지에서만 발생하였다는 이유로 쇼핑몰 전체의 연매출액이 아닌 ‘이 사건 이벤트로 인한 매출액’으로 한정되어야 한다고 보았다. 그러나 대법원은 먼저 과징금이 부당이득의 환수뿐만 아니라 제재를 통하여 위반행위를 억지하는 데에도 목적이 있다는 점을 확인하면서 이 사건 과징금 처분으로 박탈하고자 하는 이득은 문제된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히려 정보통신서비스 제공자가 적절한 보호조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유함으로써 얻은 이득이라고 보았다. 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 범위도 “유출사고가 발생한 개인정보를 보유·관리하고 있는 서비스의 범위를 기준으로 판단하여야” 하고, 이 사건 이벤트 페이지를 통해 유출된 개인정보는 이 사건 쇼핑몰 서비스의 전체적인 운영을 위해 수집·관리되는 정보이고, 이 사건 이벤트 페이지에서 제공하는 서비스만을 위한 목적으로 수집·관리된 정보가 아니라고 보았다. 즉, 원고에 대한 과징금을 산정하기 위한 관련 매출액은 해당 개인정보 데이터베이스를 보유·관리하는 서비스인 이 사건 쇼핑몰 서비스 전체의 매출액으로 보아야 하고, 이 사건 이벤트 페이지로부터 개인정보 데이터베이스에 접근할 수 있는 경로가 이 사건 쇼핑몰 웹사이트에서의 접근경로와 다르다는 사정만으로 관련 매출액이 이 사건 이벤트 페이지에서 발생한 매출액으로 한정된다고 볼 수 없다고 판시하였다. 3. 과징금 부과시 재량권 행사의 기준 대법원은 개인정보 보호조치 의무 위반에 대해 부과되는 과징금 부과처분은 재량행위에 해당하며, 이 사건 과징금액은 보호조치 의무 위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려할 때, 과징금의 액수가 위반행위의 내용에 비해 과중하여 사회통념상 현저하게 타당성을 잃은 경우에 해당하여 재량권을 일탈·남용하였다고 평가하였다. 법원이 재량권의 일탈·남용으로 본 주된 지점은 이 사건 사고가 담당 직원의 사소한 부주의나 오류로 인한 것이지 구조적인 문제로 발생한 것으로 볼 것은 아니며, 문제된 캐시 정책이 단 하루만 이 사건 이벤트 페이지에 적용되었으며 다음날 원고가 바로 자진 신고한 점, 유출된 정보주체의 수가 20명으로 비교적 적은 수의 개인정보 유출 사고가 발생하였으며 이 정도 경미한 경우에 대해 이 사건 과징금과 같이 거액의 과징금이 부과된 사례는 찾아보기 어려운 점, 주민등록번호·비밀번호 등은 노출되지 않았고 추가 피해 우려도 비교적 작았던 점 등이다. 4. 대상 판결의 의미 대법원은 관련 매출액을 산정함에 있어 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 범위에 대한 판단은 원심과 달리하면서도 결과적으로 과징금의 액수가 위반행위의 내용에 비해 과중하게 산정되어 과징금 처분이 비례원칙에 반하여 재량권을 일탈·남용하였다는 점에 대해서는 같은 입장을 견지하였다. 개인정보 보호조치 의무 위반행위에 대한 과징금 산정과 관련하여 위반행위 관련 매출액을 어떻게 산정하느냐는 과징금액은 물론 과징금의 적법성을 가르는 핵심 이슈가 된다. 그간 법원은 개인정보 유출과 관련하여 직접적으로 영향을 받는 서비스의 매출액뿐만 아니라 간접적으로 영향을 받는 서비스의 매출액도 포함하여도 부당하지 않다는 입장을 보여왔으며(서울고등법원 2019.11.1. 선고 2018누56291), 본 대상 판결에서는 그 서비스의 범위도 유출사고가 발생한 개인정보를 ‘보유·관리하고 있는 서비스’의 범위를 기준으로 판단하여야 하고 매출액도 ‘이 사건 이벤트로 인한 매출액’으로 한정된다고 볼 수 없다고 밝히고 있다. 다만 쇼핑몰 이용자들의 개인정보가 담긴 데이터베이스와 관련하여 독립된 접근경로를 가진 웹페이지에서 제공하는 서비스가 이 사건 쇼핑몰이 제공하는 서비스와 외견상 구분되는 독자적인 서비스인 경우에는 해당 서비스에서 발생한 매출액만을 관련 매출액으로 산정할 여지가 있다는 점은 인정하였는데, 본 사건 사고에서 유출된 개인정보는 쇼핑몰 서비스의 전체적인 운영을 위해 수집·관리되는 정보이지 이 사건 이벤트 페이지에서 제공하는 서비스만을 위한 목적으로 수립·관리된 것은 아니므로 과징금을 산정하기 위한 관련 매출액도 이 사건 쇼핑몰 서비스 전체의 매출액으로 보아야 한다고 판단한 것이다. 위반행위 관련 매출액은 위반행위 관련 서비스에서 발생한 매출로 이해하여야 하고, 위반행위 관련 서비스의 범위는 명확히 구분되어야 한다. 관련 매출액에 관한 법원의 판단은 개인정보 보호조치 의무 위반에 대한 실효적 제재 필요성에 무게를 두고 아울러 과징금 부과 시 매출액 산정을 위한 서비스 범위 획정의 실무적인 어려움을 고려한 것으로 보인다. 그러나 과징금의 제재적 수단으로서의 의미를 감안하더라도 경제적 이익의 박탈과 관련성이 인정되지 못 하는 과징금은 제도의 기본적 속성에 반한다는 비판을 면할 수 없다. 2023.3.14. 「개인정보 보호법」 개정으로 기존 형사처벌 대상이던 행위가 대폭 과징금 부과대상으로 편입되었으며, 과징금 산정을 위한 매출액 기준도 ‘위반행위 관련 매출액’이 아닌 ‘전체 매출액’을 기준으로 하되 ‘위반행위와 관련이 없는 매출액’을 제외하는 방식으로 강화되었다(제64조의2 제2항). 또한 개인정보보호위원회는 개인정보처리자가 정당한 사유 없이 매출액 산정자료의 제출을 거부하거나 거짓의 자료를 제출한 경우에는 해당 개인정보처리자의 전체 매출액을 기준으로 산정할 수 있다고 규정함으로써 관련 매출액에 대한 입증책임을 사실상 수범자에게 전가하고 있다. 본 대상판결에서 개인정보 데이터베이스에 대한 독립된 접근경로를 가진 웹페이지에서 제공하는 서비스가 다른 서비스와 외견상 구분되는 독자적인 서비스에 해당하는 경우에는 매출액 산정에서 제외될 수 있다는 여지를 남겼지만, 이는 데이터 기반 서비스를 제공하는 사업에서 현실적으로 기대할 수 없거나 최근 클라우드 기반 서비스가 확대되고 있다는 점을 고려하면 기술발전을 역행한다는 비판에서 자유롭지 못하다. 광범위하고 막대한 과징금 부과권한을 보유하게 된 개인정보보호위원회는 법원이 제시한 기준에 안주하지 말고 보다 예측가능하고 합리적인 과징금 산정 기준을 지속적으로 정립하여 데이터 산업의 규제 불확실성을 해소해야 할 것이다. 김도승 교수(국립목포대학교 법경찰학부)