[제8-2행정부 2023. 9. 1. 선고] <일반>
□ 사안 개요
- 오픈마켓을 운영하는 원고(통신판매중개자)는 오픈마켓 회원들(판매자와 구매자)에게 온라인공간에서 상품을 거래할 수 있는 플랫폼을 제공함
- 구매자는 회원가입, 주문·결제 시 판매자에게 계정(ID), 성명, 전화번호, 배송지 주소 등을 제공하는 것에 대해 동의할 수 있고, 원고는 위 ‘개인정보 제3자 제공’동의에 근거하여 구매자의 개인정보를 판매자에게 제공하며, 판매자는 구매자의 개인정보를 이용하여 상품을 배송함
- 피고(개인정보보호위원회)는 원고가 '개인정보 보호법'상 ‘개인정보처리자’에 해당하고, 판매자는 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 ‘개인정보취급자’에 해당한다는 전제 하에, 원고에게 판매자에 대한 안전한 인증수단 적용 및 정기적인 교육 실시 등의 시정조치를 할 것을 명함. 원고는 위 처분의 취소를 구함
□ 쟁점
- '개인정보 보호법'상 ‘개인정보취급자’에 해당하기 위한 요건
- ‘개인정보취급자’의 지위와 '개인정보 보호법' 제17조 제1항에 따라 개인정보를 제공받는 ‘제3자’의 지위가 양립가능한지(소극)
□ 판단
- '개인정보 보호법'상 ‘개인정보취급자’는 ① 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 ② 임직원, 파견근로자, 시간제근로자 등을 의미하고(①, ② 요건을 모두 충족해야 함), 반드시 개인정보처리자와 고용계약을 체결한 자로 한정되지는 않지만 적어도 법령 또는 계약상 개인정보처리자의 의사에 따라 그 지휘·감독 아래 업무를 집행하는 자를 의미함
- '개인정보 보호법' 제17조 제1항은 개인정보처리자가 제3자에게 개인정보를 제공하는 경우 정보주체의 동의를 요구하는 반면, 개인정보취급자의 경우에는 개인정보 처리가 당연한 업무범위 내라는 전제에서 정보주체의 별도 동의를 요구하지 않고 있는 점에 비추어, ‘제3자’와 ‘개인정보취급자’는 서로 양립할 수 없는 별개의 지위라고 봄이 타당함
- 판매자는 이 사건 약관 등 약정에 따라 원고로부터 개인정보처리시스템에 대한 접근권한을 부여받음으로써 구매자의 개인정보를 제공받아, 판매자 자신의 업무를 위하여 스스로의 의사에 따라 개인정보를 처리 및 이용하는 ‘제3자’일 뿐 원고의 개인정보취급자에 해당하지 않음[항소기각(원고승)]