제3행정부 2023. 11. 2. 선고 <일반> □ 사안 개요 원고는 초등온라인학습 서비스(‘이 사건 서비스’)를 운영하면서 서비스 이용자 42만여 건의 정보를 수집ㆍ보관하였음. 위 서비스 이용자의 개인정보 23만여 건이 유출되자 피고(개인정보보호위원회)는 원고가 개인정보처리시스템에 대한 접근통제, 시스템 접속기록 보관 및 점검을 소홀히 하였다는 이유로 과징금을 부과함 □ 쟁점 - 원고가 개인정보처리시스템에 대한 접근통제를 소홀히 하였는지(적극) - 「개인정보 보호법」 위반에 따른 과징금을 부과하기 위하여 접속기록 보관, 점검 소홀 등 같은 법 제29조의 안전조치의무 위반과 개인정보 유출 사이에 인과관계가 있어야 하는지(소극) 및 과징금 부과처분에 기준금액 산출, 필수적 가중 등 재량권을 일탈ㆍ남용한 위법이 있는지(소극) □ 판단 - 원고는 A법인과 최상단 1차 방화벽 내에서 함께 서비스를 운영하고 DB 접근제어솔루션을 공동 사용하면서, A법인의 서비스 접근 권한을 가진 IP가 이 사건 서비스 DB에 접속할 수 있게 허용함. 그러나 이 사건 서비스의 DB서버 입장에서는 A법인의 네트워크가 실질적으로 외부망에 해당하므로, 여기서 들어오는 트래픽을 필터링하여 개인정보처리시스템에 대한 인가받지 않은 접근을 차단하여야 함에도 원고는 이를 차단하지 않아 개인정보처리시스템에 대한 접근통제를 소홀히 한 것으로 평가할 수 있음 - 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」의 2014. 5. 28. 개정이유, 「개인정보 보호법」의 규정 형식과 내용을 고려하면, 「개인정보 보호법」상 과징금 부과규정은 그 요건으로 서비스제공자의 같은 법 제29조에 따른 안전조치의무 위반행위와 개인정보 유출 사이에 인과관계를 명시적으로 요구하지 않음. 안전조치 의무 위반과 개인정보 유출 사이에 ‘관련성’이 있어야 한다고 보더라도 이 사건에서 관련성이 충분히 인정됨 - ① 개인정보 유출사고와 관련하여 적어도 원고에게 중과실이 있는 점, ② 구 「개인정보보호 법규 위반에 대한 과징금 부과기준」(2022. 10. 20. 개인정보보호위원회 고시 제2022-3호로 개정되기 전의 것) 제5조 제3항 제2호의 ‘정보통신서비스 제공자 등이 보유하고 있는 개인정보’는 서비스제공자 등이 보유한 모든 개인정보가 아니라 위반행위와 관련된 개인정보로 해석해야 하고, 이 사건 서비스와 중ㆍ고등온라인학습 서비스는 별개이므로 피해규모가 원고가 보유한 개인정보의 5% 이내에 불과하다고 할 수 없는 점, ③ 원고의 위반행위는 해커가 A법인의 웹 서버에 웹 셸을 업로드한 때 개시되어 위반기간이 2년을 초과하는 장기인 점, ④ 피해규모가 작지 않고, ⑤ 위반행위와 관련된 서비스의 직전 3개 사업연도의 연평균 매출액이 과징금 액수 결정에 상당한 영향을 미치므로 매출액에 차이가 있는 다른 사안과 단순 비교하기 어려운 점 등을 고려하면, 과징금 부과처분이 재량권을 일탈ㆍ남용하여 위법하다고 볼 수 없음 [항소기각(원고패)]

[제8-2행정부 2023. 9. 1. 선고] <일반> □ 사안 개요 - 오픈마켓을 운영하는 원고(통신판매중개자)는 오픈마켓 회원들(판매자와 구매자)에게 온라인공간에서 상품을 거래할 수 있는 플랫폼을 제공함 - 구매자는 회원가입, 주문·결제 시 판매자에게 계정(ID), 성명, 전화번호, 배송지 주소 등을 제공하는 것에 대해 동의할 수 있고, 원고는 위 ‘개인정보 제3자 제공’동의에 근거하여 구매자의 개인정보를 판매자에게 제공하며, 판매자는 구매자의 개인정보를 이용하여 상품을 배송함 - 피고(개인정보보호위원회)는 원고가 '개인정보 보호법'상 ‘개인정보처리자’에 해당하고, 판매자는 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 ‘개인정보취급자’에 해당한다는 전제 하에, 원고에게 판매자에 대한 안전한 인증수단 적용 및 정기적인 교육 실시 등의 시정조치를 할 것을 명함. 원고는 위 처분의 취소를 구함 □ 쟁점 - '개인정보 보호법'상 ‘개인정보취급자’에 해당하기 위한 요건 - ‘개인정보취급자’의 지위와 '개인정보 보호법' 제17조 제1항에 따라 개인정보를 제공받는 ‘제3자’의 지위가 양립가능한지(소극) □ 판단 - '개인정보 보호법'상 ‘개인정보취급자’는 ① 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 ② 임직원, 파견근로자, 시간제근로자 등을 의미하고(①, ② 요건을 모두 충족해야 함), 반드시 개인정보처리자와 고용계약을 체결한 자로 한정되지는 않지만 적어도 법령 또는 계약상 개인정보처리자의 의사에 따라 그 지휘·감독 아래 업무를 집행하는 자를 의미함 - '개인정보 보호법' 제17조 제1항은 개인정보처리자가 제3자에게 개인정보를 제공하는 경우 정보주체의 동의를 요구하는 반면, 개인정보취급자의 경우에는 개인정보 처리가 당연한 업무범위 내라는 전제에서 정보주체의 별도 동의를 요구하지 않고 있는 점에 비추어, ‘제3자’와 ‘개인정보취급자’는 서로 양립할 수 없는 별개의 지위라고 봄이 타당함 - 판매자는 이 사건 약관 등 약정에 따라 원고로부터 개인정보처리시스템에 대한 접근권한을 부여받음으로써 구매자의 개인정보를 제공받아, 판매자 자신의 업무를 위하여 스스로의 의사에 따라 개인정보를 처리 및 이용하는 ‘제3자’일 뿐 원고의 개인정보취급자에 해당하지 않음[항소기각(원고승)]