제3행정부 2023. 11. 2. 선고 <일반> □ 사안 개요 원고는 초등온라인학습 서비스(‘이 사건 서비스’)를 운영하면서 서비스 이용자 42만여 건의 정보를 수집ㆍ보관하였음. 위 서비스 이용자의 개인정보 23만여 건이 유출되자 피고(개인정보보호위원회)는 원고가 개인정보처리시스템에 대한 접근통제, 시스템 접속기록 보관 및 점검을 소홀히 하였다는 이유로 과징금을 부과함 □ 쟁점 - 원고가 개인정보처리시스템에 대한 접근통제를 소홀히 하였는지(적극) - 「개인정보 보호법」 위반에 따른 과징금을 부과하기 위하여 접속기록 보관, 점검 소홀 등 같은 법 제29조의 안전조치의무 위반과 개인정보 유출 사이에 인과관계가 있어야 하는지(소극) 및 과징금 부과처분에 기준금액 산출, 필수적 가중 등 재량권을 일탈ㆍ남용한 위법이 있는지(소극) □ 판단 - 원고는 A법인과 최상단 1차 방화벽 내에서 함께 서비스를 운영하고 DB 접근제어솔루션을 공동 사용하면서, A법인의 서비스 접근 권한을 가진 IP가 이 사건 서비스 DB에 접속할 수 있게 허용함. 그러나 이 사건 서비스의 DB서버 입장에서는 A법인의 네트워크가 실질적으로 외부망에 해당하므로, 여기서 들어오는 트래픽을 필터링하여 개인정보처리시스템에 대한 인가받지 않은 접근을 차단하여야 함에도 원고는 이를 차단하지 않아 개인정보처리시스템에 대한 접근통제를 소홀히 한 것으로 평가할 수 있음 - 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」의 2014. 5. 28. 개정이유, 「개인정보 보호법」의 규정 형식과 내용을 고려하면, 「개인정보 보호법」상 과징금 부과규정은 그 요건으로 서비스제공자의 같은 법 제29조에 따른 안전조치의무 위반행위와 개인정보 유출 사이에 인과관계를 명시적으로 요구하지 않음. 안전조치 의무 위반과 개인정보 유출 사이에 ‘관련성’이 있어야 한다고 보더라도 이 사건에서 관련성이 충분히 인정됨 - ① 개인정보 유출사고와 관련하여 적어도 원고에게 중과실이 있는 점, ② 구 「개인정보보호 법규 위반에 대한 과징금 부과기준」(2022. 10. 20. 개인정보보호위원회 고시 제2022-3호로 개정되기 전의 것) 제5조 제3항 제2호의 ‘정보통신서비스 제공자 등이 보유하고 있는 개인정보’는 서비스제공자 등이 보유한 모든 개인정보가 아니라 위반행위와 관련된 개인정보로 해석해야 하고, 이 사건 서비스와 중ㆍ고등온라인학습 서비스는 별개이므로 피해규모가 원고가 보유한 개인정보의 5% 이내에 불과하다고 할 수 없는 점, ③ 원고의 위반행위는 해커가 A법인의 웹 서버에 웹 셸을 업로드한 때 개시되어 위반기간이 2년을 초과하는 장기인 점, ④ 피해규모가 작지 않고, ⑤ 위반행위와 관련된 서비스의 직전 3개 사업연도의 연평균 매출액이 과징금 액수 결정에 상당한 영향을 미치므로 매출액에 차이가 있는 다른 사안과 단순 비교하기 어려운 점 등을 고려하면, 과징금 부과처분이 재량권을 일탈ㆍ남용하여 위법하다고 볼 수 없음 [항소기각(원고패)]

◇ 개인정보 유출 관련 과징금 산정의 기초가 되는 매출액 산정 시 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 범위 ◇ ◇ 개인정보 보호조치 의무 위반에 대한 과징금 부과처분의 재량권 일탈·남용 여부 판단 기준 ◇ 1. 과징금 산정의 기초가 되는 매출액에 관한 규정의 내용 구 정보통신망법 제64조의3 제1항 제6호는 이용자의 개인정보를 유출한 경우로서 개인정보의 보호조치를 하지 아니한 경우 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 규정하면서, 제4항에서 과징금의 구체적 산정기준과 산정절차는 대통령령으로 정하도록 하고 있다. 그 위임에 따른 구 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령'(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것, 이하 ‘구 정보통신망법 시행령’이라고 한다) 제69조의2 제1항 본문은 ‘위반행위와 관련한 매출액’을 “해당 정보통신서비스 제공자 등의 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연평균 매출액”이라고 정의하면서, 같은 조 제4항 [별표 8]의 “3. 세부기준”에서 방송통신위원회로 하여금 위반행위와 관련한 매출액의 산정에 관한 세부 기준을 정하여 고시하도록 하였다. 구 과징금 부과기준 제4조 제1항은 관련 매출액을 “위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업연도의 연평균 매출액”으로 정하였고, 같은 조 제2항은 관련 매출액 산정 시 서비스의 범위는 서비스 제공방식, 서비스 가입방법, 이용약관에서 규정한 서비스 범위, 개인정보 데이터베이스 관리 조직·인력 및 시스템 운영 방식 등을 고려하여 판단한다고 정하고 있다. 2. 과징금은 위반행위에 대한 제재의 성격과 함께 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수로서의 성격도 가지고, 이는 구 정보통신망법 제64조의3 제1항 각 호에서 정한 행위에 대하여 부과하는 과징금의 경우도 마찬가지이다(헌법재판소 2022. 5. 26. 선고 2020헌바259 결정 참조). 그런데 이 사건과 같이 이용자의 개인정보가 유출된 경우 정보통신서비스 제공자가 개인정보 보호조치를 취하지 않음으로 인해 매출액이 증대되는 경우를 상정하기 어렵다. 구 과징금 부과기준 제4조 제2항 또한 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 범위를 판단할 때 서비스 가입방법, 개인정보 데이터베이스 관리 조직·인력 및 시스템 운영 방식 등을 고려하도록 하고 있는바, 위 요소들은 위반행위로 인하여 취득한 이익의 규모와 직접적인 관련이 없다. 구 정보통신망법 제64조의3 제1항 제6호에서 정한 자에 대하여 과징금을 부과함으로써 박탈하고자 하는 이득은, 문제된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히려 정보통신서비스 제공자가 적절한 보호조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유함으로써 얻은 이득이라 보아야 한다. 이에 따라 위 과징금 부과를 위한 관련 매출액을 산정함에 있어 “위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스”의 범위는, 유출사고가 발생한 개인정보를 보유·관리하고 있는 서비스의 범위를 기준으로 판단하여야 한다. 3. 구 정보통신망법 제64조의3 제1항에 따른 과징금은 법 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수의 성격과 함께 위법행위에 대한 제재로서의 성격을 가지고, 같은 조 제3항은 과징금을 부과할 때 위반행위의 내용과 정도, 기간과 횟수 외에 위반행위로 인하여 취득한 이익의 규모 등도 고려하도록 규정하고 있다. 개인정보 보호조치 의무 위반에 대해 부과되는 과징금의 액수는 보호조치 위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려하여 정하여야 한다. 그리고 과징금의 액수가 위반행위의 내용에 비해 과중하여 사회통념상 현저하게 타당성을 잃은 경우라면 그러한 과징금 처분은 재량권을 일탈·남용하여 위법하다고 보아야 한다. ☞ 원고는 쇼핑몰을 운영하는 회사로, 이벤트를 진행하면서 모바일용 이벤트 페이지에 캐시 정책을 잘못 설정하여 쇼핑몰 이용자 20명의 개인정보가 다른 이용자 29명에게 노출되는 사고가 발생하였음 ☞ 피고 개인정보보호위원회(2020. 8. 5. '개인정보 보호법' 개정에 따라 방송통신위원회 소관사무 중 개인정보보호 해당 사항에 관한 행정처분은 피고의 행위로 봄)는 원고가 구 정보통신망법 제28조 제1항 제2호 등을 위반하여 쇼핑몰 이용자들의 개인정보를 유출했다는 이유로 원고가 운영하는 쇼핑몰의 전체 매출액을 구 과징금 부과기준 제4조 제1항에서 정한 ‘관련 매출액’으로 보아, 이를 기준으로 원고에 대하여 시정명령, 과태료 및 과징금 18억 5,200만 원 부과처분 등을 하였음 ☞ 원심은, ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 매출액은 ‘쇼핑몰 전체의 연매출액’이 아닌 ‘이벤트로 인한 매출액’으로 한정되어야 하고, 이 사건 과징금의 액수는 다른 정보통신서비스 제공자의 위반행위에 대해 부과된 과징금 액수와 비교하여 균형을 잃은 것으로 보인다고 판단하여 과징금 부과처분을 취소하였음 ☞ 대법원은, 위 법리에 따라 원고가 운영하는 쇼핑몰 전체 매출액이 ‘관련 매출액’에 해당한다고 보아야 하나, 이 사건 과징금액은 제재적 성격이 지나치게 강조되어 위반행위의 위법성의 정도에 비해 과중하게 산정되었다고 볼 수 있다고 판단하여, 원심의 결론을 수긍하면서 상고를 기각함

2021누35218 시정명령및과징금납부명령취소 [제3행정부 2023. 2. 9. 선고] <공정거래> □ 사안의 개요 원고는 이용자에게 온라인 검색서비스와 광고기반 무료 동영상 서비스(동영상 콘텐츠를 무료로 제공하면서 광고를 노출시켜 광고주로부터 수익을 얻는 서비스) 등을 제공하는 회사로서, 피고는 원고가 ① 동영상 검색 알고리즘 개편 관련 중요 정보에 대한 차별적 제공 및 왜곡 행위(‘이 사건 차별적 정보 제공 행위’)와 ② 원고TV 테마관 동영상에 대한 가점부여 행위(‘이 사건 가점부여 행위’)를 하였고, 이러한 행위가 위계에 의한 고객유인에 해당한다는 이유로 시정명령 및 과징금납부명령을 하였음 □ 쟁점 및 판단 - 비록 원고가 동영상 검색 알고리즘 개편 이전 내부적으로만 개편 사실을 알리고 색인정보 입력에 대한 안내를 하는 한편, 원고의 자회사에게 키워드 입력 가이드를 교부하면서 원고TV 동영상 색인정보를 보완하는 작업을 수행토록 하였으나, 이러한 행위가 부당하게 경쟁자의 고객을 자기와 거래하도록 유인하거나 강제하는 행위에 해당하기 위해서는 차별적 의사를 실현할 수 있는 구체적 행위, 즉 위 개편 과정에서 가장 중요한 의미를 갖는 ‘제목과 일치하는 키워드’의 인입을 추가로 실현함으로써 고객을 오인하게 할 우려를 발생시켜야 함. 그런데 원고가 내부적으로 정보를 제공한 이후에도 원고TV 동영상 키워드 인입률에 큰 변화가 없었고 오히려 감소한 점, 키워드를 인입하지 않는 사업 방식을 취한 검색제휴사업자들이 원고로부터 정보를 제공받았더라도 키워드 인입률을 높이는 조치를 취하였을지 의문인 점, 차별적 정보 제공 행위로 원고TV 동영상의 노출수 내지 재생수가 증가하였다고 단정할 수 없는 점 등을 종합하면, 원고가 위 정보를 이용하여 고객을 오인하게 할 만한 구체적인 후속 행위로 나아가 고객이 원고의 동영상을 실제보다 또는 경쟁 검색제휴사업자의 동영상보다 우량 또는 유리하다고 오인할 우려를 발생시켰다고 보기는 어려움 - 반면에 원고는 합리적 사유 없이 원고TV 테마관 동영상에만 가점을 부여하였는데, 이는 고객에 대한 위계 또는 기만행위로 볼 수 있고, 고객의 거래 여부 결정에 영향을 미쳐 고객을 오인하거나 유인할 가능성이 있으며, 공정한 거래를 저해하고 부당한 행위에 해당함 - 따라서 이 사건 차별적 정보 제공 행위와 관련된 시정명령은 위법하고, 이 사건 가점부여 행위와 관련된 시정명령은 적법함. 한편 이 사건 차별적 정보 제공 행위 부분만을 분리하여 그에 해당하는 과징금 부분만을 취소할 수 없어 과징금납부명령은 전부 취소함 (원고일부승)