제3행정부 2023. 11. 2. 선고 <일반> □ 사안 개요 원고는 초등온라인학습 서비스(‘이 사건 서비스’)를 운영하면서 서비스 이용자 42만여 건의 정보를 수집ㆍ보관하였음. 위 서비스 이용자의 개인정보 23만여 건이 유출되자 피고(개인정보보호위원회)는 원고가 개인정보처리시스템에 대한 접근통제, 시스템 접속기록 보관 및 점검을 소홀히 하였다는 이유로 과징금을 부과함 □ 쟁점 - 원고가 개인정보처리시스템에 대한 접근통제를 소홀히 하였는지(적극) - 「개인정보 보호법」 위반에 따른 과징금을 부과하기 위하여 접속기록 보관, 점검 소홀 등 같은 법 제29조의 안전조치의무 위반과 개인정보 유출 사이에 인과관계가 있어야 하는지(소극) 및 과징금 부과처분에 기준금액 산출, 필수적 가중 등 재량권을 일탈ㆍ남용한 위법이 있는지(소극) □ 판단 - 원고는 A법인과 최상단 1차 방화벽 내에서 함께 서비스를 운영하고 DB 접근제어솔루션을 공동 사용하면서, A법인의 서비스 접근 권한을 가진 IP가 이 사건 서비스 DB에 접속할 수 있게 허용함. 그러나 이 사건 서비스의 DB서버 입장에서는 A법인의 네트워크가 실질적으로 외부망에 해당하므로, 여기서 들어오는 트래픽을 필터링하여 개인정보처리시스템에 대한 인가받지 않은 접근을 차단하여야 함에도 원고는 이를 차단하지 않아 개인정보처리시스템에 대한 접근통제를 소홀히 한 것으로 평가할 수 있음 - 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」의 2014. 5. 28. 개정이유, 「개인정보 보호법」의 규정 형식과 내용을 고려하면, 「개인정보 보호법」상 과징금 부과규정은 그 요건으로 서비스제공자의 같은 법 제29조에 따른 안전조치의무 위반행위와 개인정보 유출 사이에 인과관계를 명시적으로 요구하지 않음. 안전조치 의무 위반과 개인정보 유출 사이에 ‘관련성’이 있어야 한다고 보더라도 이 사건에서 관련성이 충분히 인정됨 - ① 개인정보 유출사고와 관련하여 적어도 원고에게 중과실이 있는 점, ② 구 「개인정보보호 법규 위반에 대한 과징금 부과기준」(2022. 10. 20. 개인정보보호위원회 고시 제2022-3호로 개정되기 전의 것) 제5조 제3항 제2호의 ‘정보통신서비스 제공자 등이 보유하고 있는 개인정보’는 서비스제공자 등이 보유한 모든 개인정보가 아니라 위반행위와 관련된 개인정보로 해석해야 하고, 이 사건 서비스와 중ㆍ고등온라인학습 서비스는 별개이므로 피해규모가 원고가 보유한 개인정보의 5% 이내에 불과하다고 할 수 없는 점, ③ 원고의 위반행위는 해커가 A법인의 웹 서버에 웹 셸을 업로드한 때 개시되어 위반기간이 2년을 초과하는 장기인 점, ④ 피해규모가 작지 않고, ⑤ 위반행위와 관련된 서비스의 직전 3개 사업연도의 연평균 매출액이 과징금 액수 결정에 상당한 영향을 미치므로 매출액에 차이가 있는 다른 사안과 단순 비교하기 어려운 점 등을 고려하면, 과징금 부과처분이 재량권을 일탈ㆍ남용하여 위법하다고 볼 수 없음 [항소기각(원고패)]

◇ 개인정보 유출 관련 과징금 산정의 기초가 되는 매출액 산정 시 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 범위 ◇ ◇ 개인정보 보호조치 의무 위반에 대한 과징금 부과처분의 재량권 일탈·남용 여부 판단 기준 ◇ 1. 과징금 산정의 기초가 되는 매출액에 관한 규정의 내용 구 정보통신망법 제64조의3 제1항 제6호는 이용자의 개인정보를 유출한 경우로서 개인정보의 보호조치를 하지 아니한 경우 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 규정하면서, 제4항에서 과징금의 구체적 산정기준과 산정절차는 대통령령으로 정하도록 하고 있다. 그 위임에 따른 구 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령'(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것, 이하 ‘구 정보통신망법 시행령’이라고 한다) 제69조의2 제1항 본문은 ‘위반행위와 관련한 매출액’을 “해당 정보통신서비스 제공자 등의 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연평균 매출액”이라고 정의하면서, 같은 조 제4항 [별표 8]의 “3. 세부기준”에서 방송통신위원회로 하여금 위반행위와 관련한 매출액의 산정에 관한 세부 기준을 정하여 고시하도록 하였다. 구 과징금 부과기준 제4조 제1항은 관련 매출액을 “위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업연도의 연평균 매출액”으로 정하였고, 같은 조 제2항은 관련 매출액 산정 시 서비스의 범위는 서비스 제공방식, 서비스 가입방법, 이용약관에서 규정한 서비스 범위, 개인정보 데이터베이스 관리 조직·인력 및 시스템 운영 방식 등을 고려하여 판단한다고 정하고 있다. 2. 과징금은 위반행위에 대한 제재의 성격과 함께 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수로서의 성격도 가지고, 이는 구 정보통신망법 제64조의3 제1항 각 호에서 정한 행위에 대하여 부과하는 과징금의 경우도 마찬가지이다(헌법재판소 2022. 5. 26. 선고 2020헌바259 결정 참조). 그런데 이 사건과 같이 이용자의 개인정보가 유출된 경우 정보통신서비스 제공자가 개인정보 보호조치를 취하지 않음으로 인해 매출액이 증대되는 경우를 상정하기 어렵다. 구 과징금 부과기준 제4조 제2항 또한 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 범위를 판단할 때 서비스 가입방법, 개인정보 데이터베이스 관리 조직·인력 및 시스템 운영 방식 등을 고려하도록 하고 있는바, 위 요소들은 위반행위로 인하여 취득한 이익의 규모와 직접적인 관련이 없다. 구 정보통신망법 제64조의3 제1항 제6호에서 정한 자에 대하여 과징금을 부과함으로써 박탈하고자 하는 이득은, 문제된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히려 정보통신서비스 제공자가 적절한 보호조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유함으로써 얻은 이득이라 보아야 한다. 이에 따라 위 과징금 부과를 위한 관련 매출액을 산정함에 있어 “위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스”의 범위는, 유출사고가 발생한 개인정보를 보유·관리하고 있는 서비스의 범위를 기준으로 판단하여야 한다. 3. 구 정보통신망법 제64조의3 제1항에 따른 과징금은 법 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수의 성격과 함께 위법행위에 대한 제재로서의 성격을 가지고, 같은 조 제3항은 과징금을 부과할 때 위반행위의 내용과 정도, 기간과 횟수 외에 위반행위로 인하여 취득한 이익의 규모 등도 고려하도록 규정하고 있다. 개인정보 보호조치 의무 위반에 대해 부과되는 과징금의 액수는 보호조치 위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려하여 정하여야 한다. 그리고 과징금의 액수가 위반행위의 내용에 비해 과중하여 사회통념상 현저하게 타당성을 잃은 경우라면 그러한 과징금 처분은 재량권을 일탈·남용하여 위법하다고 보아야 한다. ☞ 원고는 쇼핑몰을 운영하는 회사로, 이벤트를 진행하면서 모바일용 이벤트 페이지에 캐시 정책을 잘못 설정하여 쇼핑몰 이용자 20명의 개인정보가 다른 이용자 29명에게 노출되는 사고가 발생하였음 ☞ 피고 개인정보보호위원회(2020. 8. 5. '개인정보 보호법' 개정에 따라 방송통신위원회 소관사무 중 개인정보보호 해당 사항에 관한 행정처분은 피고의 행위로 봄)는 원고가 구 정보통신망법 제28조 제1항 제2호 등을 위반하여 쇼핑몰 이용자들의 개인정보를 유출했다는 이유로 원고가 운영하는 쇼핑몰의 전체 매출액을 구 과징금 부과기준 제4조 제1항에서 정한 ‘관련 매출액’으로 보아, 이를 기준으로 원고에 대하여 시정명령, 과태료 및 과징금 18억 5,200만 원 부과처분 등을 하였음 ☞ 원심은, ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 매출액은 ‘쇼핑몰 전체의 연매출액’이 아닌 ‘이벤트로 인한 매출액’으로 한정되어야 하고, 이 사건 과징금의 액수는 다른 정보통신서비스 제공자의 위반행위에 대해 부과된 과징금 액수와 비교하여 균형을 잃은 것으로 보인다고 판단하여 과징금 부과처분을 취소하였음 ☞ 대법원은, 위 법리에 따라 원고가 운영하는 쇼핑몰 전체 매출액이 ‘관련 매출액’에 해당한다고 보아야 하나, 이 사건 과징금액은 제재적 성격이 지나치게 강조되어 위반행위의 위법성의 정도에 비해 과중하게 산정되었다고 볼 수 있다고 판단하여, 원심의 결론을 수긍하면서 상고를 기각함

1. 독점규제및공정거래에관한법률시행령 제61조 제1항 관련 [별표 2(생략)] 제6호 단서에서 정하고 있는 과징금 부과기준 중 ‘입찰담합에 있어서 입찰계약이 체결된 경우에는 계약금액의 5/100 이내, 입찰계약이 체결되지 아니한 경우에는 10억원 이하’라고 정하고 있는 부분은 독점규제및공정거래에관한법률 제22조 및 제55조의3 제1항, 제3항의 위임에 근거하면서 입찰담합의 특수성을 고려한 것으로서, 모법의 위임 없이 법이 예정하고 있지 아니한 과징금 부과기준을 국민에게 불리하게 변경하는 규정이라고 할 수 없다. 2. 위 [별표 2(생략)] 제6호 단서에서 규정하고 있는 입찰담합에 있어서 ‘계약이 체결된 경우’라 함은, 입찰담합에 의하여 낙찰을 받고 계약을 체결한 사업자가 있는 경우를 의미하고 이러한 계약이 체결된 경우에는 계약을 체결한 당해 사업자뿐만 아니라 담합에 가담한 다른 사업자에 대해서도 그 ‘계약금액’이 과징금 부과기준이 되며, 담합이 수 개의 입찰을 대상으로 한 경우에는 담합에 가담한 모든 사업자에 대하여 각 입찰에서의 계약금액을 모두 합한 금액이 과징금 부과기준이 된다. 3. 원고들에 대한 이 사건 과징금의 액수가 법 제22조와 법 시행령 제9조 제1항, 이 사건 지침의 과징금 부과기준 중 입찰에 관한 부분 또는 법 시행령 위 [별표 2] 제6호 단서에서 정한 방식에 의하여 그 상한을 초과하지 않는 범위 내에서 산정된 것이라고 하더라도, 이 사건 입찰담합 중 원고들이 참여자로서 입찰담합에 가담한 부분에 관한 과징금 액수를 산정함에 있어서는 입찰계약을 체결한 부분보다는 낮은 부과기준을 적용하는 등 위반행위로 인하여 취득한 이익의 규모를 고려하였어야 할 것임에도 동일한 부과기준을 적용하고, 정유사별로 조사에의 협조 여부나 종전의 법 위반횟수는 고려하면서도 사업자의 자금사정 등 현실적인 부담능력은 고려하지 아니하여 과징금의 부당이득환수적인 면보다는 제재적 성격이 지나치게 강조되고 그 액수 또한 과다하게 되었을 뿐 아니라, 입찰계약의 체결규모가 다른 정유사들과의 사이에 균형을 상실하게 되었다면, 이 사건 과징금 부과처분이 재량권의 일탈·남용에 해당한다고 볼 수 있다.