즉시 상담을 받아보세요!
* 연중무휴, 24시간 상담 가능
오픈마켓 판매자는 개인정보취급자인가? 시정조치 명령의 적법성
2022누54360* 본 법률정보는 대법원 판결문을 바탕으로 한 일반적인 정보 제공에 불과하며, 구체적인 사건에 대한 법률적 판단이나 조언으로 해석될 수 없습니다. 동일해 보이는 상황이라도 사실관계나 시점 등에 따라 결론이 달라질 수 있으므로, 자세한 내용은 변호사와 상담을 권장합니다.
시정조치명령처분취소의소
[서울고법 2023. 9. 1. 선고 2022누54360 판결 : 상고]
【판시사항】
통신판매중개업을 영위하는 甲 주식회사가 회원들(판매자와 구매자)에게 온라인공간에서 상품을 거래할 수 있는 플랫폼을 제공하고, 회원 가입 및 주문·결제 시 ‘개인정보 제3자 제공’에 동의한 구매자의 개인정보를 판매자에게 제공하며, 판매자는 이를 이용하여 구매자에게 상품을 배송했는데, 개인정보보호위원회가 甲 회사는 개인정보 보호법상 ‘개인정보처리자’에, 판매자는 ‘개인정보취급자’에 해당한다는 전제에서, 판매자가 외부에서 오픈마켓 접속 시 안전한 인증수단을 적용하지 않은 것이 개인정보 보호법 제29조 등 위반행위에 해당한다는 이유로, 甲 회사에 판매자에 대한 안전한 인증수단 적용 및 정기교육 실시 등의 시정조치를 명한 사안에서, 오픈마켓의 판매자는 甲 회사의 지휘·감독을 받아 개인정보를 처리하는 ‘개인정보취급자’에 해당한다고 보기 어려우므로, 판매자가 개인정보취급자라는 전제에서 시정조치를 명한 위 처분이 위법하다고 한 사례
【판결요지】
통신판매중개업을 영위하는 甲 주식회사가 회원들(판매자와 구매자)에게 온라인공간에서 상품을 거래할 수 있는 플랫폼을 제공하고, 회원 가입 및 주문·결제 시 ‘개인 정보 제3자 제공’에 동의한 구매자의 계정(ID), 성명, 전화번호, 휴대전화 번호, 배송지 주소 등 개인정보를 판매자에게 제공하며, 판매자는 이를 이용하여 구매자에게 상품을 배송했는데, 개인정보보호위원회가 甲 회사는 개인정보 보호법상 ‘개인정보처리자’에, 판매자는 甲 회사의 지휘·감독을 받아 개인정보를 처리하는 ‘개인정보취급자’에 해당한다는 전제에서, 판매자가 외부에서 오픈마켓 접속 시 계정(ID)과 비밀번호만으로 접속할 수 있도록 하고 추가로 안전한 인증수단을 적용하지 않은 것이 개인정보 보호법 제29조, 개인정보 보호법 시행령 제48조의2 등을 위반한 행위에 해당한다는 이유로, 甲 회사에 판매자에 대한 안전한 인증수단 적용 및 정기교육 실시 등의 시정조치를 명한 사안이다.
개인정보 보호법은 물론 개인정보보호위원회 스스로 고시한 표준 개인정보 보호지침의 문언에 비추어 보면, ‘개인정보취급자’는 “개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서” “임직원, 파견근로자, 시간제근로자 등”을 의미하는 것으로서, 반드시 개인정보처리자와 고용계약을 체결한 자로 한정되는 것은 아니지만, 적어도 법령 또는 계약상 개인정보처리자의 의사에 따라 개인정보처리자를 위하여 그 지휘·감독 아래 업무를 집행하는 자를 의미하는 점, 실제로 개인정보 보호법령 등에 개인정보처리자가 개인정보취급자에 대한 실질적인 지휘·감독 권한을 가지고 있음을 전제로 하는 다수의 규정을 두고 있는 점, 판매자는 정보통신서비스 제공자인 甲 회사로부터 이용자(구매자)의 개인정보를 제공받은 자로서 개인정보 보호법 제29조, 개인정보 보호법 시행령 제48조의2 제1항 제1호 (나)목 등에 따라 자신(판매자)의 지휘·감독을 받는 개인정보취급자를 관리·감독할 의무를 부담하므로 甲 회사와는 별개의 개인정보처리자에 해당하는 점, 판매자가 외부사용자로서 甲 회사의 서비스를 이용하는 범위 내에서 약관에서 정한 바에 따라 계약상의 제약을 받는다는 점만으로 종속적인 관계에서 甲 회사의 지휘·감독을 받는다고 볼 수 없는 점, 개인정보처리자로부터 개인정보를 제공받은 ‘제3자’와 ‘개인정보취급자’는 서로 양립할 수 없는 별개의 지위라고 보는 것이 타당하고, 판매자는 처음부터 甲 회사로부터 개인정보를 제공받은 ‘제3자’였을 뿐 이와 동시에 甲 회사의 ‘개인정보취급자’의 지위를 가진다고 볼 수 없는 점 등을 종합하면, 오픈마켓의 판매자는 甲 회사로부터 개인정보처리시스템에 대한 접근권한을 부여받음으로써 구매자의 개인정보를 제공받아 자신의 업무를 위하여 스스로의 의사에 따라 개인정보를 처리 및 이용하는 ‘제3자’일 뿐 甲 회사의 지휘·감독을 받아 개인정보를 처리하는 ‘개인정보취급자’에 해당한다고 보기 어려우므로, 판매자가 甲 회사의 지휘·감독 대상인 개인정보취급자라는 전제에서 시정조치를 명한 위 처분이 위법하다고 한 사례이다.
【참조조문】
개인정보 보호법 제2조 제5호, 제28조 제1항, 제29조, 제64조 제1항, 개인정보 보호법 시행령 제48조의2
【전문】
【원고, 피항소인】
주식회사 지마켓(변경 전 상호: 지마켓글로벌 유한책임회사) (소송대리인 법무법인(유한) 광장 담당변호사 고범석 외 1인)
【피고, 항소인】
개인정보보호위원회 (소송대리인 법무법인 민후 담당변호사 김경환 외 1인)
【제1심판결】
서울행법 2022. 7. 8. 선고 2021구합78848 판결
【변론종결】
2023. 6. 23.
【주 문】
1. 피고의 항소를 기각한다.
2. 항소비용은 피고가 부담한다.
【청구취지 및 항소취지】
1. 청구취지
피고가 2021. 6. 25. 원고에 대하여 한 별지 1 기재 시정조치명령을 취소한다.
2. 항소취지
제1심판결을 취소한다. 원고의 청구를 기각한다.
【이 유】
1. 처분의 경위
이 법원이 이 부분에 관하여 설시할 판결의 이유는, 아래와 같이 고쳐 쓰거나 추가하는 외에는, 제1심판결의 해당 부분 기재와 같으므로 행정소송법 제8조 제2항, 민사소송법 제420조 본문에 의하여 이를 그대로 인용한다.
○ 제1심판결문 제2쪽 제5행의 “(변경 전 상호: 이베이코리아 유한책임회사)” 부분을 “(그 상호가 이베이코리아 유한책임회사, 지마켓글로벌 유한책임회사, 원고로 순차 변경되었다)”로 고쳐 쓴다.
○ 제1심판결문 제2쪽 제13~14행의 “기재한다” 부분을 “기재하되, 아래 표시 중 ‘회사’는 ‘원고’를 의미한다”로 고쳐 쓴다.
○ 제1심판결문 제2쪽 표 안의 제1행 위에 다음과 같은 내용을 추가한다.
『제1조(목적)
이 약관은 회사가 운영하는 ‘G마켓’ 인터넷 오픈마켓 사이트(이하 ‘G마켓’이라 함)와 스마트폰 등 이동통신기기를 통해 제공되는 ‘G마켓’ 모바일 애플리케이션(이하 ‘모바일G마켓’이라 함)에 판매회원으로 가입하여 전자상거래 관련 판매 서비스 및 기타 서비스(이하 ‘서비스’라 함)를 이용하는 자 간의 권리, 의무를 확정하고 이를 이행함으로써 상호 발전을 도모하는 것을 그 목적으로 합니다.
제2조의1(회사의 일반적 준수사항)
2. 회사는 판매회원에게 가격인하, 기획전 참여 등을 부당하게 강요하지 않습니다.
3. 회사는 판매회원 간 수수료 및 판매촉진서비스 이용료를 다르게 정하지 않습니다.
4. 회사는 판매회원이 다른 오픈마켓사업자와 거래하지 못하게 하거나 다른 오픈마켓사업자와 거래한다는 이유로 판매회원에게 불이익을 제공하지 않습니다.
제3조(용어의 정의)
1. 이 약관에서 사용하는 용어의 정의는 다음과 같습니다.
1) 오픈마켓: 누구나 판매자나 구매자가 되어 온라인상에서 상품을 팔고 살 수 있는 가상의 장터를 말합니다.
2) 오픈마켓사업자: 오픈마켓과 오픈마켓에서의 부가서비스(광고서비스 등)를 제공하고, 이에 대한 대가를 받는 사업자를 말합니다.』
○ 제1심판결문 제3쪽 표 안의 제7행 다음에 아래와 같은 내용을 추가한다.
『제11조(계약기간 및 이용계약의 종료)
1. 이용계약의 기간은 판매회원이 약관에 대해 동의한 날로부터 당해 연도 말일까지로 하고, 기간 만료 1개월 전까지 서면에 의한 반대의 의사표시가 없는 한 계약기간은 동일한 조건으로 1년간 자동 갱신됩니다.
2. 회사의 해지
1) 회사는 다음과 같은 사유가 발생하거나 확인된 경우 이용계약을 해지할 수 있습니다.
① 다른 회원 또는 타인의 권리나 명예, 신용 기타 정당한 이익을 침해하거나 대한민국 법령 또는 공서양속에 위배되는 행위를 한 경우
② 회사가 제공하는 서비스의 원활한 진행을 방해하는 행위를 하거나 시도한 경우
3. 당사자 일방에게 다음 각호의 사유가 발생한 경우, 그 상대방은 별도의 최고 없이 해지의 통지를 함으로써 이용계약을 해지할 수 있습니다.
1) 이용계약의 의무를 위반하여 상대방으로부터 그 시정을 요구 받은 후 7일 이내에 이를 시정하지 않은 경우
4) 관련 법령 위반 등 판매회원의 책임 있는 사유로 인하여 회사가 명예 실추 등 유무형적 손해를 입은 경우
3의1. 판매회원의 해지
제3항에도 불구하고, 판매회원은 언제든지 회사에 해지의사를 통지함으로써 이용계약을 해지할 수 있습니다.
4. 회사는 컴퓨터 등 정보통신설비의 보수, 점검, 교체 및 고장, 통신의 두절 등의 사유가 발생한 경우에는 서비스의 제공을 일시적으로 중단할 수 있습니다. 이 경우 서비스 일시 중단 사실과 이유를 G마켓 초기화면에 게시합니다.』
○ 제1심판결문 제5쪽 제13행의 “갑 제1, 2, 5호증, 을 제2, 3, 8, 9호증” 부분을 “갑 제1, 2, 5, 14호증, 을 제2, 3, 8, 9, 17, 19호증”으로 고쳐 쓴다.
2. 이 사건 처분의 적법 여부
가. 원고의 주장
이 법원이 이 부분에 관하여 설시할 판결의 이유는 제1심판결의 해당 부분 기재와 같으므로, 행정소송법 제8조 제2항, 민사소송법 제420조 본문에 의하여 이를 그대로 인용한다.
나. 관계 법령
별지 2 기재와 같다.
다. 판단
1) 관련 규정
이 법원이 이 부분에 관하여 설시할 판결의 이유는 제1심판결의 해당 부분 기재와 같으므로, 행정소송법 제8조 제2항, 민사소송법 제420조 본문에 의하여 이를 그대로 인용한다.
2) 관련 법리
가) 법은 원칙적으로 불특정 다수인에 대하여 동일한 구속력을 갖는 사회의 보편타당한 규범이므로 이를 해석함에 있어서는 법의 표준적 의미를 밝혀 객관적 타당성이 있도록 하여야 하고, 가급적 모든 사람이 수긍할 수 있는 일관성을 유지함으로써 법적 안정성이 손상되지 않도록 하여야 한다. 한편 실정법은 보편적이고 전형적인 사안을 염두에 두고 규정되기 마련이므로 사회현실에서 일어나는 다양한 사안에서 그 법을 적용함에 있어서는 구체적 사안에 맞는 가장 타당한 해결이 될 수 있도록 해석할 것도 또한 요구된다. 요컨대 법해석의 목표는 어디까지나 법적 안정성을 저해하지 않는 범위 내에서 구체적 타당성을 찾는 데 두어야 한다. 나아가 그러기 위해서는 가능한 한 법률에 사용된 문언의 통상적인 의미에 충실하게 해석하는 것을 원칙으로 하면서, 법률의 입법 취지와 목적, 그 제·개정 연혁, 법질서 전체와의 조화, 다른 법령과의 관계 등을 고려하는 체계적·논리적 해석방법을 추가적으로 동원함으로써, 위와 같은 법해석의 요청에 부응하는 타당한 해석을 하여야 한다(대법원 2013. 1. 17. 선고 2011다83431 전원합의체 판결, 대법원 2022. 10. 27. 선고 2022두44354 판결 등 참조).
나) 침익적 행정처분은 상대방의 권익을 제한하거나 상대방에게 의무를 부과하는 것이므로 헌법상 요구되는 명확성의 원칙에 따라 그 근거가 되는 행정법규를 더욱 엄격하게 해석·적용해야 하고, 행정처분의 상대방에게 지나치게 불리한 방향으로 확대해석이나 유추해석을 해서는 안 된다(대법원 2021. 11. 11. 선고 2021두43491 판결 등 참조).
3) 구체적 판단
앞서 든 증거들과 을 제1, 4, 5, 7, 10, 11호증의 각 기재에 변론 전체의 취지를 더하여 알 수 있는 다음과 같은 사정들을 종합하여 위 법리에 비추어 보면, 이 사건 오픈마켓의 판매자가 원고의 지휘·감독을 받아 개인정보를 처리하는 ‘개인정보취급자’에 해당한다고 보기 어렵다. 따라서 판매자가 원고의 지휘·감독 대상인 개인정보취급자라는 전제에서 개인정보 보호법 제29조, 제64조 제1항, 같은 법 시행령 제48조의2 제1항 제1호, 제2호, 이 사건 고시 제3조 제2항, 제4조 제4항 등을 적용하여 시정조치를 명한 이 사건 처분은 그 처분사유가 인정되지 아니하여 위법하므로, 이를 지적하는 원고의 주장은 이유 있다.
가) 개인정보 보호법은 제2조 제5호에서 ‘개인정보처리자’를 ‘업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인’으로 정의하고 있는 반면, 제28조 제1항에서 ‘개인정보취급자’를 ‘임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자’로 정의하여 양자의 의미를 명확히 구분하고 있다.
개인정보 보호법 제12조 제1항에 따라 개인정보 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정하고 있는 「표준 개인정보 보호지침」(2020. 8. 11. 자 개인정보보호위원회고시 제2020-1호, 이하 ‘표준지침’이라 한다) 제2조 제6호 역시 ‘개인정보취급자’란 ‘개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.’고 규정하고 있다.
위와 같은 개인정보 보호법의 문언은 물론 피고 스스로 고시한 표준지침의 문언에 비추어 보면, ‘개인정보취급자’는「“? 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서(이하 ‘?요건’이라 한다)” “? 임직원, 파견근로자, 시간제근로자 등(이하 ‘?요건’이라 한다)”」(즉 ?요건과 ?요건을 모두 충족하고 있는 자)을 의미하는 것으로서, 반드시 개인정보처리자와 고용계약을 체결한 자로 한정되는 것은 아니지만, 적어도 법령 또는 계약상 개인정보처리자의 의사에 따라 개인정보처리자를 위하여 그 지휘·감독 아래 업무를 집행하는 자를 의미한다고 봄이 타당하다.
나) 실제로 개인정보 보호법령, 이 사건 고시, 표준지침은 모두 개인정보처리자가 개인정보취급자에 대한 실질적인 지휘·감독 권한을 가지고 있음을 전제로 하는 아래와 같은 다수의 규정(이하 ‘이 사건 규정들’이라 한다)을 두고 있다.
(1) 개인정보 보호법 제28조 제1항은 ‘개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 개인정보취급자에 대하여 적절한 관리·감독을 하여야 한다.’고 규정하고, 제2항은 ‘개인정보처리자가 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.’고 규정하고 있다.
(2) 개인정보 보호법 시행령 제48조의2 제1항은 정보통신서비스 제공자 등이 개인정보를 처리하는 경우 취해야 할 안전성 확보 조치로서 ‘개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단 조치’[제2호 (다)목, 일정 규모 이상의 정보통신서비스 제공자에 대하여만 해당], ‘개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램 침투 여부를 항시 점검·치료할 수 있도록 하기 위한 백신소프트웨어 설치 및 주기적 갱신·점검 조치’(제5호)를 규정하고 있는바, 이는 개인정보처리자가 개인정보취급자의 컴퓨터 등을 직접 관리하거나 그에 대한 관리를 지시할 수 있는 지위에 있음을 전제로 한다.
(3) 이 사건 고시 제4조 제1항은 ‘정보통신서비스 제공자 등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다.’고 규정하고, 제2항은 ‘정보통신서비스 제공자 등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.’고 규정하며, 제6항은 ‘일정 규모 이상인 정보통신서비스 제공자 등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.’고 규정하고, 제9항은 ‘정보통신서비스 제공자 등은 처리 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.’고 규정하며, 제10항은 ‘정보통신서비스 제공자 등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다.’고 규정하고 있다.
위와 같은 규정들은 ‘개인정보취급자’가 개인정보처리자의 개인정보 처리 업무를 수행하는 자임을 전제로 하는 것으로서, 종속적 지위에서 개인정보처리자의 지휘·감독을 받아 업무를 처리하는 자임을 의미하고, 또한 개인정보처리자가 개인정보취급자의 컴퓨터와 모바일 기기 등을 직접 관리할 수 있거나 그에 대하여 일정한 조치를 취할 것을 지시할 수도 있는 지위에 있음을 전제로 한다.
(4) 또한 표준지침 제15조 제1항은 ‘개인정보처리자는 개인정보취급자를 업무상 필요한 한도 내에서 최소한으로 두어야 하며, 개인정보취급자의 개인정보 처리 범위를 업무상 필요한 한도 내에서 최소한으로 제한하여야 한다.’고 규정하고, 제2항은 ‘개인정보처리자는 개인정보 처리시스템에 대한 접근권한을 업무의 성격에 따라 당해 업무수행에 필요한 최소한의 범위로 업무담당자에게 차등 부여하고 접근권한을 관리하기 위한 조치를 취해야 한다.’고 규정하며, 제3항은 ‘개인정보처리자는 개인정보취급자에게 보안서약서를 제출하도록 하는 등 적절한 관리·감독을 해야 하며, 인사이동 등에 따라 개인정보취급자의 업무가 변경되는 경우에는 개인정보에 대한 접근권한을 변경 또는 말소해야 한다.’고 규정하고 있다.
위와 같은 규정들은 개인정보취급자가 개인정보처리자의 업무를 수행하는 종속적 지위에 있는 자로서 원고가 개인정보취급자의 숫자와 업무 범위를 필요에 따라 조정할 수 있음을 전제로 하고 있다.
다) 개인정보 보호법 제29조는 개인정보처리자의 안전조치의무를 규정하면서 그 구체적인 내용에 관하여 대통령령으로 정하도록 위임하고 있고, 이에 따라 개인정보 보호법 시행령 제48조의2 제1항은 ‘개인정보의 안전성 확보 조치에 관한 특례’라는 제목으로 “정보통신서비스 제공자와 그로부터 이용자의 개인정보를 법 제17조 제1항 제1호에 따라 제공받은 자(이하 ‘정보통신서비스 제공자 등’이라 한다)는 이용자의 개인정보를 처리하는 경우에는 제30조에도 불구하고 법 제29조에 따라 다음 각호의 안전성 확보 조치를 해야 한다.”라고 규정하고 있는데, 같은 항 제1호 (나)목에서는 ‘개인정보취급자’를 ‘정보통신서비스 제공자 등의 지휘·감독을 받아 이용자의 개인정보를 처리하는 자’라고 정의하고 있다.
또한 이 사건 고시 제1조 제1항은 ‘이 기준은 개인정보 보호법 제29조 및 같은 법 시행령 제48조의2 제3항에 따라 정보통신서비스 제공자 등(개인정보 보호법 제39조의14에 따라 준용되는 자를 포함한다. 이하 같다)이 이용자의 개인정보를 처리함에 있어서 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성 확보를 위하여 필요한 기술적·관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한다.’고 규정하고, 제2항은 ‘정보통신서비스 제공자 등은 사업규모, 개인정보 보유 수 등을 고려하여 스스로의 환경에 맞는 개인정보 보호조치 기준을 수립하여 시행하여야 한다.’고 규정하고 있다.
위 규정들의 내용을 체계적, 종합적으로 해석해 보면, ‘정보통신서비스 제공자’ 및 ‘그로부터 이용자의 개인정보를 제공받은 자’는 모두 개인정보처리자로서 각자의 개인정보취급자에 대하여 교육 및 관리 등의 안전성 확보 조치를 이행해야 함을 의미하는 것으로 보인다.
따라서 판매자는 정보통신서비스 제공자인 원고로부터 이용자(구매자)의 개인정보를 제공받은 자로서 위 규정들에 따라 개인정보처리자에 해당하고, 그 자신(판매자)의 지휘·감독을 받는 개인정보취급자를 관리·감독할 의무를 부담한다고 보아야 하므로, 판매자는 원고와는 별개의 개인정보처리자이다.
라) 피고는, 개인정보취급자의 요건으로서 ?요건 중 ‘개인정보처리자의 지휘·감독’의 의미에 관하여, 이는 일반 업무상의 지휘·감독이 아니라 개인정보 처리에 관한 지휘·감독을 의미하는 것으로 개인정보 처리라는 사실적 현상을 기준으로 판단하여야 하므로 ‘개인정보의 안전한 관리 목적을 효과적으로 달성하고 개인정보 처리가 잘못되지 않도록 통솔 및 단속하는 행위’ 일체를 포함하는 것인바, 판매자가 원고의 개인정보처리시스템 내에서 원고의 구매자 개인정보 파일을 처리하는 경우, 원고로부터 해당 시스템에 대한 접근권한을 미리 부여받아 등록된 계정과 비밀번호를 입력하여야 하고 해당 시스템이 예정하고 허용하는 개인정보 처리 업무만 가능하며 허용된 기간 동안에만 시스템에 접근할 수 있는 등 원고 개인정보처리시스템의 설계코드와 정책(약관 등)을 통하여 개인정보처리자인 원고의 지휘·감독을 받게 된다는 취지로 주장한다.
그러나 아래와 같은 사정 등에 비추어 볼 때, 피고의 이 부분 주장은 받아들이기 어렵다.
(1) 원고가 판매자에게 원고 개인정보처리시스템에 대한 접근권한을 부여하여 판매자로 하여금 구매자의 개인정보를 열람할 수 있게끔 한 것은 제3자인 판매자에게 구매자의 개인정보를 제공한 행위의 한 형태에 해당하고, 단순히 계정 및 비밀번호를 입력하게 하고 시스템 접근 가능 기간을 제한하였다고 하여 개인정보를 안전하게 관리하기 위하여 판매자를 지휘·감독한 것으로 보기는 어렵다.
(2) 피고는 원고가 이 사건 약관(을 제2, 3, 8호증)에서 판매자가 구매자의 개인정보를 이 사건 오픈마켓 서비스 이용에 필요한 목적 외의 용도로 사용하는 것을 엄격히 금지하는 내용을 규정하고 있는 점 등을 들어 판매자가 원고로부터 ‘정책상의 지휘·감독’을 받는다고 주장하지만, 원고가 이 사건 약관에 판매자에 대하여 구매자의 개인정보를 목적 외의 용도로 사용하면 안 된다는 취지의 조항을 마련하고 있는 것이나, 개인정보 유출 등으로 구매회원 등의 이의제기가 있을 경우 판매자가 이에 대한 책임을 진다는 취지의 안내문 또는 준수사항을 마련하고 있는 것은, 계약 당사자로 대등한 지위에 있는 판매자에게 업무로 넘겨받은 개인정보를 유출하거나 무단으로 수집하여서는 안 될 계약상의 의무를 부여한 것에 불과할 뿐이므로, 이를 두고 원고가 판매자를 지휘·감독하는 관계에 있다는 근거로 보기는 어렵다(실제로 개인정보 보호법 제19조가 개인정보처리자로부터 개인정보를 제공받은 자는 정보주체로부터 별도의 동의를 받은 경우 등을 제외하고 개인정보를 제공받은 목적 외의 용도로 이용하여서는 아니 된다고 규정하고 있는바, 개인정보의 목적 외 사용 금지는 개인정보처리자로부터 개인정보를 제공받은 자가 준수하여야 할 당연한 의무에 해당할 뿐이다).
(3) 앞서 살핀 바와 같이 이 사건 규정들은 개인정보처리자가 개인정보취급자의 컴퓨터나 모바일 기기 등에 물리적인 조치를 취하는 등 이를 직접 관리할 수 있고 개인정보취급자의 숫자나 업무 범위 등을 임의로 조정할 수 있음을 전제로 하고 있고, 특히 이 사건 고시 제4조 제4항은 ‘정보통신서비스 제공자 등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다.’고 규정하고 있어 개인정보취급자가 원칙적으로 개인정보처리자의 내부 정보통신망을 통하여 개인정보처리시스템에 접속하는 자임을 전제하고 있는바, 이 사건의 판매자와 같이 원고의 직접적인 관리를 받지 않는 컴퓨터 등으로 원고 내부망이 아닌 외부 정보통신망을 통하여 원고의 정보처리시스템에 접속한 후 그 설계코드 및 정책에 따라 해당 시스템을 이용하는 모든 자들을 원고의 개인정보취급자로 보는 피고의 해석은 이 사건 규정들의 내용과 부합하지 않는다고 보인다.
(4) 피고는 개인정보 보호법이 ‘정보법’에 해당하여 민법 등의 ‘조직법’과는 다른 독자적인 관점에서 해석되어야 한다는 취지로 주장하나, ‘정보법’이라는 용어가 실제 사용되고 있는지 여부는 별론으로 하고 이로 인해 개인정보 보호법령상의 개인정보취급자의 ?요건, ?요건마저도 앞서 본 법리와 같은 일반적인 법령 해석방법과는 달리 독창적으로 해석하여야 한다는 당위가 성립된다고 보기는 어렵다.
오히려 개인정보 보호법은 그 제정 이유, 제정 당시 제1조(목적)의 내용, 제정 당시의 제39조(손해배상책임)의 내용 및 그 후 2015. 7. 24. 개정(법률 제13423호) 당시 신설된 제39조 제3항, 제4항 및 제39조의2(법정손해배상의 청구)의 내용 등에 비추어 볼 때, 개인정보 보호법을 해석함에 있어 민법, 그중 특히 불법행위에 기한 손해배상에 관한 규정들과 전체적인 조화를 이루도록 해석해야 한다고 봄이 상당하다.
따라서 개인정보 보호법에서 정한 개인정보취급자의 요건인 개인정보처리자의 ‘지휘·감독’은 민법상 사용자책임에서의 ‘지휘·감독’과 동일하거나 유사한 의미로 해석되어야 한다고 봄이 상당하므로, ‘개인정보취급자’는 반드시 개인정보처리자와 고용관계에 있을 필요는 없으나, 적어도 법령 또는 계약상 개인정보처리자의 의사에 따라 개인정보처리자를 위하여 그 지휘·감독 아래 개인정보 처리 업무를 집행하는 자를 의미한다고 봄이 타당하다.
마) 피고는, 개인정보취급자의 요건으로서 ?요건과 관련하여, 만약 ‘임직원, 파견근로자, 시간제근로자 등’을 종속적 관계에 대한 예시 문언으로 보아 개인정보취급자를 개인정보처리자와 사이에 ‘고용관계 또는 이에 준하는 업무상의 종속적 관계’에 있는 자라고 해석하게 되면, 대표이사, 감사, 사외이사 등의 경우 회사의 임원에 해당하여 위 ‘임직원, 파견근로자, 시간제근로자 등’에는 포함됨에도 불구하고 이들은 누군가의 지휘·감독을 받는 자가 아니라 오히려 지휘·감독을 하는 자이므로 개인정보취급자가 될 수 없다는 모순이 발생하는바, 개인정보처리자와 종속적 관계에 있을 것이 개인정보취급자의 요건 중 하나라고 해석할 수 없다는 취지로 주장한다.
그러나 개인정보 보호법 제31조 제1항은 “개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 ‘개인정보 보호책임자’를 지정하여야 한다.”라고 규정하고, 같은 조 제6항의 위임에 따른 개인정보 보호법 시행령 제32조 제2항 제2호는 공공기관 외의 개인정보처리자는 ‘사업주 또는 대표자’ 또는 ‘임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)’ 중 어느 하나에 해당하는 사람을 개인정보 보호책임자로 지정한다고 규정하며, 이 사건 고시 제2조 제1호는 ‘개인정보 보호책임자’란 ‘이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원을 말한다.’고 규정하고, 표준지침 제2조 제5호는 ‘개인정보 보호책임자’란 ‘개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조 제2항에 해당하는 자를 말한다.’고 규정하고 있다.
위와 같은 개인정보 보호책임자에 관한 규정 내용과 위 ?요건과 ?요건의 관련성 등을 종합하여 볼 때, 개인정보취급자에 관한 규정이 ‘임직원, 파견근로자, 시간제근로자 등’으로 정하고 있어 임원을 포함하고 있다고 하더라도 이는 모든 임원이 개인정보취급자에 해당함을 의미하는 것이 아니라, 개인정보 보호법 시행령 제32조 제2항 제2호에 따라 개인정보 보호책임자로 지정된 ‘사업주, 대표자, 임원’은 개인정보취급자의 범위에서 제외되고, 개인정보 보호책임자로 지정되지 않은 나머지 임원 중에서도 위 ?요건을 갖춘 임원만이 개인정보처리자의 지휘·감독하에 개인정보 처리 업무를 직접 수행하여 개인정보취급자로 구분되는 경우를 상정한 것으로 봄이 상당하므로, ‘임직원, 파견근로자, 시간제근로자 등’이라는 예시 문언을 근거로 개인정보취급자의 개인정보처리자에 대한 종속성을 인정하더라도 피고가 주장하는 바와 같은 모순은 발생하지 않는다.
앞서 살핀 바와 같은 이 사건 규정들의 내용, 특히 이 사건 고시 제4조 제2항이 ‘전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우’라고 하여 개인정보취급자가 개인정보처리자와 고용관계 또는 이와 유사한 관계에 있어 개인정보처리자의 인사정책의 영향을 받는 자임을 전제하고 있고(표준지침 제15조 제3항도 마찬가지이다), 이 사건 고시 제4조 제4항은 개인정보취급자가 개인정보처리자의 내부 정보통신망을 사용하는 자임을 전제하고 있는 점 및 여기에 더하여 표준지침 제52조, 제56조에서 언급된 개인정보취급자와 관련된 내용 등을 종합적으로 고려하면, 개인정보취급자는 개인정보처리자의 지휘·감독을 받는 업무상 종속적 관계에 있는 자로 봄이 타당하므로, 피고의 이 부분 주장도 받아들이기 어렵다.
바) ① 이 사건 오픈마켓의 판매자는 원고와의 이 사건 약관 등에 의한 약정에 따라 원고 개인정보처리시스템에 대한 접근권한을 부여받음으로써 구매자 개인정보를 제공받아, 즉 원고의 서비스를 이용함으로써 판매자 자신의 업무를 위하여 스스로의 의사에 따라 개인정보를 처리 및 이용하는 자이다.
② 판매자가 원고의 개인정보처리시스템에 접근하는 방식은 원고와 실질적인 사용관계에 있는 임직원[파견근로자, 시간제근로자 포함, 이하 바)항에서는 이와 같다] 등이 해당 시스템에 접근하는 방식과는 그 구조 및 내용이 아래 ‘표’와 같이 상당한 차이가 있다고 보인다.
○ 오픈마켓 판매자와 구매자가 오픈마켓 사업자의 내부시스템에 저장된 정보를 접근·사용하는 방법 - 오픈마켓 사업자의 임직원은 오픈마켓 사업자의 사업 수행을 위하여 오픈마켓 사업자의 사업 수행을 위하여 오픈마켓 사업자의 내부시스템을 유지·보수·관리하기 위하여 내부시스템에 접근하는 내부사용자에 해당한다. - 오픈마켓 판매자와 구매자는 모두 오픈마켓상에서 상품을 판매하고 구매하기 위해 필요한 한도 내에서 내부시스템의 일정 영역에 저장된 일부 정보를 한정적으로 접근·사용하는 외부사용자로 봄이 상당하다. - 오픈마켓 판매자나 구매자 모두 사업자의 내부시스템에 직접 접속하는 것은 아니고, 인터넷을 통해 내부망(인트라넷)과 외부 인터넷망의 중간에 사업자가 구축한 영역(DMZ, Web server)에 접속하여 내부시스템의 정보를 요청하고, 내부시스템으로부터 위 중간 영역에 요청하였던 정보가 넘어오면 이에 접근하는 방식으로 오픈마켓 플랫폼에서 정보를 접근·사용하는 점에서, 오픈마켓 판매자나 구매자는 모두 오픈마켓 플랫폼 및 이에 관련된 내부시스템의 외부에 있는 전형적인 ‘외부사용자’라고 할 것이다. 즉, 오픈마켓 판매자는 오픈마켓 사업자인 원고가 관리·운영하는 데이터베이스 서버에 직접 접근 또는 접속하여 개인정보를 취득하는 것이 아니라, 오픈마켓 판매자가 인터넷을 통해 필요한 주문자 정보를 요청하면, 이에 대한 응답으로 오픈마켓 판매자와 연결된 원고의 웹서버 시스템이 원고의 데이터베이스 서버에 저장되어 있는 데이터베이스를 검색하여 주문자 정보를 찾아 달라고 요청하고, 그 요청에 따라 내부 프로그램이 데이터베이스에서 요청된 주문자 정보를 검색한 다음 그 결과를 다시 웹서버에 전달하고, 그 웹서버를 통해 오픈마켓 판매자에게 요청된 주문자 정보가 제공되는 것으로서, 오픈마켓 판매자는 원고의 데이터베이스 서버 그 자체에 대한 접근권한이 부여되는 것이 아니다. - 이에 반해 내부사용자의 경우 내부망(인트라넷)을 통해 내부시스템인 데이터베이스 서버 자체에 접속할 수 있고, 그 직무 내용에 따라 내부시스템의 각 영역에 저장된 전체 정보를 제한 없이 접근·사용할 수 있는 점에서, 외부사용자와 본질적으로 구별된다. - 기업이나 단체의 임직원, 즉 ‘내부사용자’는 사무실에서 외부 인터넷망과는 별도로 구축되는 내부망(인트라넷)으로 연결된 내부시스템에 직접 접속하여 내부시스템의 유지·보수·관리 업무를 처리하고, 출장, 재택근무 등으로 외부에서 해당 기업이나 단체의 내부망(인트라넷)에 접근하여 관련 업무를 처리하는 경우에도 외부사용자와 같이 인터넷을 통해서 내부시스템과 외부시스템의 중간 영역에 연결되도록 하는 방식 대신 VPN주10) 등을 이용하여 내부망(인트라넷)에 직접 접근하는 방식을 통해 외부 인터넷망과는 단절된 형태로 내부시스템에 직접 접속하고 있다고 보인다. - 이를 그림으로 나타내면 아래와 같다.
③ 판매자는 판매자 본인의 상품 판매라는 자신의 고유 업무를 위하여 구매자의 개인정보를 처리한다.
④ 만약 판매자가 오픈마켓 사업자인 원고의 개인정보취급자에 해당한다는 피고의 논리대로라면, 판매자는 개인정보 보호법 시행령 제48조의2 제1항 제2호 (다)목, 이 사건 고시 제4조 제6항에서 규정한 일정한 규모를 갖춘 정보통신서비스 제공자인 원고의 오픈마켓 플랫폼 및 관련 시스템에 접근하려면 현재와 같이 인터넷망을 통해서는 아니 되고 인터넷망과 분리된 별도의 망을 구축하고 이를 통하여 원고의 시스템에 접근하도록 하여야 하고, 위와 같은 일정한 규모를 갖춘 정보통신서비스 제공자인 원고가 이러한 조치를 취하지 않는 경우에는 개인정보 보호법 제29조의 안전조치의무 위반을 한 경우에 해당하여 같은 법 제64조 제1항의 시정조치나 제75조 제2항 제6호의 과태료 등의 제재를 받을 수 있다.
그러나 VPN이나 전용선과 같은 수단은 임직원들과 같은 내부사용자가 출장이나 재택근무와 같이 외부에서 내부망에 접속하기 위하여 이용하는 것으로, 정보시스템의 일반적 구조상 오픈마켓 판매자와 같은 외부사용자들을 위한 수단으로 보기 어려울 뿐만 아니라, 수많은 오픈마켓 판매자에게 VPN이나 전용선을 이용할 수 있도록 조치하는 것은 정보통신서비스 제공자인 원고에게는 현실적으로 실현가능성이 높지 않다고 보인다[따라서 이러한 망분리에 관한 개인정보 보호법 시행령 제48조의2 제1항 제2호 (다)목, 이 사건 고시 제4조 제6항 규정은 오픈마켓 판매자와 같은 시스템의 외부사용자는 개인정보취급자에 해당하지 않는 것을 전제로 하여 마련된 것으로 봄이 상당하다].
⑤ 위와 같은 사정을 종합하여 보면, 판매자가 외부사용자로서 위와 같이 원고의 서비스를 이용하는 범위 내에서 이 사건 약관에서 정한 바에 따라 계약상의 제약을 받는다는 점만으로 사용자와 피용자 사이와 같은 종속적인 관계에서 원고의 지휘·감독을 받는다고 볼 수는 없다.
사) 피고는, 판매자는 개인정보처리자인 원고로부터 개인정보를 제공받은 제3자에 해당하는데, 제3자와 개인정보취급자가 서로 양립 불가능한 개념이라는 법적 근거가 없으므로 이러한 점에서도 판매자를 개인정보취급자로 인정함에 문제가 없다고 주장하면서, 시점별 판매자의 법적 지위에 관하여, 판매자는 원고 개인정보처리시스템 내에서 개인정보를 처리하는 동안 개인정보처리자, 개인정보취급자, 개인정보처리자로부터 개인정보를 제공받은 제3자의 지위를 모두 지니다가, 개인정보처리시스템에서 구매자 개인정보를 출력 내지 다운로드한 시점부터 더 이상 개인정보취급자에는 해당하지 않게 되는 것이라는 취지로 주장한다.
(1) 피고 스스로 제정하여 고시한 표준지침 제7조 제2항에는 “개인정보 보호법 제17조의 ‘제3자’란 정보주체와 정보주체에 관한 개인정보처리를 수집·보유하고 있는 개인정보처리자를 제외한 모든 자를 의미한다.”라고 규정하고 있는바, 이러한 규정의 문언자체에 따르면, ‘정보주체’와 ‘개인정보처리자’가 아닌 개인정보취급자는 개인정보 보호법 제17조의 ‘제3자’[(1)항과 아래 (2), (3)항에서는 이하 ‘제3자’라고 표현한다]에 해당한다고 해석할 여지가 있기는 하다.
(가) 그러나 만약 개인정보취급자를 ‘제3자’에 해당한다고 가정할 경우에는 아래와 같은 문제점이 있다.
① 개인정보 보호법 제17조 제1항 제1호에 의하면, 개인정보처리자는 정보주체의 동의를 받은 경우에 정보주체의 개인정보를 ‘제3자’에게 제공할 수 있는바, 원고는 구매자들이 이 사건 오픈마켓에 회원가입을 하거나 상품을 주문·결제할 경우 그 개인정보를 판매자에게 제공하는 것에 대한 명시적인 동의를 받고 있고, 위와 같은 동의에 근거하여 판매자에게 구매자의 개인정보를 제공하고 있다.
그런데 개인정보취급자가 ‘제3자’에 해당한다고 볼 경우에는, 개인정보처리자로서는 개인정보 보호법 제17조 제1항 제2호에 해당하지 않는 한 원칙적으로 정보주체의 동의를 받아야만 비로소 ‘제3자’인 개인정보취급자에게 정보주체의 개인정보를 제공할 수 있다고 해석할 수밖에 없다.
② 개인정보의 처리 중 하나인 ‘개인정보의 제공’이란 개인정보의 저장 매체나 개인정보가 담긴 출력물·책자 등을 물리적으로 이전하거나 네트워크를 통한 개인정보의 전송, 개인정보에 대한 ‘제3자’의 접근권한 부여, 개인정보처리자와 ‘제3자’의 개인정보 공유 등 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위를 말하는바(개인정보 보호법 제2조 제2호, 표준지침 제7조 제1항), 개인정보취급자가 ‘제3자’에 해당한다고 볼 경우에는, 개인정보처리자가 자신의 지휘·감독을 받는 ‘제3자’인 개인정보취급자에게 개인정보에 대한 접근권한 부여, 개인정보의 공동 이용 상태 초래 등도 모두 여기에 해당할 수 있으므로, 이러한 경우 개인정보처리자로서는 미리 정보주체로부터 동의를 받아야 한다.
③ 만약 개인정보처리자가 ‘제3자’인 개인정보취급자에게 개인정보를 제공함에 있어 정보주체로부터 동의를 받았다면, 개인정보처리자로서는 정보주체에게 개인정보를 제공받는 자인 개인정보취급자를 알려야 하고, 이와 같이 알리는 경우에는 그 성명과 연락처를 함께 알려야 한다(개인정보 보호법 제7조 제2항 제1호, 표준지침 제7조 제3항). 그런데 예를 들어 개인정보처리자가 각종 정보회사, 신용카드회사 등 다수의 개인정보를 처리하는 기업 등인 경우에는 그 지휘·감독을 받는 개인정보취급자가 상당히 많은 인원이 있을 여지가 있음에도, 개인정보취급자를 ‘제3자’로 볼 경우에는 단지 개인정보의 공동 이용 상태 초래 등을 하였다는 이유로 그들의 성명과 연락처를 모두 정보주체에게 알려야 한다고 볼 수밖에 없게 된다.
④ 더 큰 문제는 형사적인 처벌이나 과징금, 과태료 등에 있을 수 있다.
㉮ 개인정보 보호법 제71조 제1호에 의하면, 같은 법 제17조 제1항 제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 ‘제3자’에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자에 대하여 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처하도록 규정하고 있다.
‘개인정보취급자’를 ‘제3자’에 해당한다고 볼 경우에는 만약 개인정보처리자가 위 ①항에서 본 바와 같이 정보주체의 동의를 받아야 함에도 불구하고 이를 받지 않고 개인정보를 ‘제3자’인 ‘개인정보취급자’에게 제공하였다면, 개인정보처리자와 그 정보를 받은 ‘개인정보취급자’는 모두 위와 같은 형사처벌을 받을 가능성이 높을 수밖에 없게 된다.
㉯ 개인정보 보호법 제39조의15 제1항 제1호에 의하면, 피고는 원고와 같은 정보통신서비스 제공자 등에게 제17조 제1항 등을 위반하여 개인정보를 이용·제공한 경우에는 해당 정보통신서비스 제공자 등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.
‘개인정보취급자’를 ‘제3자’에 해당한다고 볼 경우에는 만약 개인정보처리자가 위 ①항에서 본 바와 같이 정보주체의 동의를 받아야 함에도 불구하고 이를 받지 않고 개인정보를 ‘제3자’인 ‘개인정보취급자’에게 제공하였다면, 개인정보처리자는 정보통신서비스 제공자 등으로서 위와 같은 과징금 부과를 받을 수 있다.
㉰ 개인정보 보호법 제75조 제2항 제1호에 의하면, 같은 법 제17조 제2항을 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자에 대하여 3천만 원 이하의 과태료를 부과하도록 규정하고 있다.
‘개인정보취급자’를 ‘제3자’에 해당한다고 볼 경우에는 만약 개인정보처리자가 개인정보취급자에게 개인정보를 제공함에 있어 위 ②항에서 본 바와 같이 정보주체의 동의를 받았다고 하더라도, 그 개인정보취급자의 성명과 인적사항 등을 정보주체에게 알리지 않았다면(앞서 예를 든 다수의 개인정보를 처리하는 기업 등의 경우 상당히 많은 수의 개인정보취급자 중 1명이라도), 개인정보처리자로서는 위와 같은 과태료를 부과받을 수밖에 없게 된다.
(나) 따라서 표준지침 제7조 제2항의 문언에도 불구하고 개인정보 보호법령의 입법 취지와 목적, 앞서 본 바와 같은 개인정보 보호법 제2조 제2호, 제7조 제2항 제1호, 제17조 제1항 제1호, 제39조의15 제1항 제1호, 제71조 제1호, 제75조 제2항 제1호 및 표준지침 제7조 제1항, 제3항 등 다른 규정과의 관계 등을 함께 고려하여 볼 때, 표준지침 제7조 제2항에 규정한 ‘제3자’의 범위에 개인정보취급자는 포함되지 않는 것으로 해석함이 상당하다.
(2) ① 개인정보취급자는 개인정보처리자의 의사에 따라 개인정보 처리의 업무를 직접 수행하는 자에 불과하고, 대법원도 “개인정보 보호법 제17조에서 말하는 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우”라고 판시하였는바(대법원 2017. 4. 7. 선고 2016도13263 판결 참조), 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 개인정보취급자는 비록 개인정보처리자로부터 정보주체의 개인정보를 이전받았다고 하더라도, 이를 두고 위와 같은 ‘제3자 제공’에 해당한다고 볼 수는 없다고 할 것인 점, ② 개인정보 보호법은 제17조 제1항에서 개인정보처리자가 ‘제3자’에게 개인정보를 제공하는 경우 정보주체의 동의를 요구하고 있는 반면, 개인정보처리자의 지휘·감독을 받아 개인정보 처리 업무를 담당하는 개인정보취급자가 정보주체의 개인정보를 처리하는 경우에는 그것이 개인정보처리자의 당연한 업무범위 내라는 전제에서 별도의 동의를 요구하지 않고 있다고 해석함이 상당한 점 등을 고려하여 볼 때, ‘제3자’와 개인정보취급자는 서로 양립할 수 없는 별개의 지위라고 봄이 타당하고, 판매자가 원고 개인정보처리시스템에서 개인정보를 출력 내지 다운로드받기 직전의 아주 일시적인 순간이라고 하더라도 개인정보를 제공받은 ‘제3자’의 지위와 개인정보취급자의 지위를 동시에 가진다고 볼 수는 없다.
(3) 결국 판매자는 당초부터 원고로부터 개인정보를 제공받은 ‘제3자’였을 뿐이고(이로 인해 독자적인 개인정보처리자의 지위를 가짐은 별론으로 한다), 이와 동시에 원고의 개인정보취급자에 해당하지는 않는다고 봄이 타당하므로, 피고의 이 부분 주장은 받아들일 수 없다.
아) 만약 피고의 주장대로 판매자가 원고의 개인정보취급자에 해당한다고 본다면, 원고는 이 사건 규정들에 따라 수십만 명에 이르는 판매자들의 컴퓨터 등에 외부 인터넷망 차단 조치를 취하고, 판매자들의 컴퓨터와 휴대전화 등에 정보공유 등을 제한하는 일정한 조치를 취해야 한다는 결론이 되는데, 원고가 이 사건 약관에 따라 이 사건 오픈마켓에 가입한 회원에 불과한 판매자들에게 위와 같은 조치를 취하거나 이를 강제하는 것은 실현하기 어렵다고 보인다.
이 사건 규정들은 개인정보처리자의 개인정보취급자에 대한 안전조치 내용을 상당히 구체적으로 정하고 있는데 이는 개인정보취급자가 개인정보처리자의 의사에 따라 그 지휘·감독을 받으며 업무를 수행하는 자이기에 가능한 것이고, 원고가 전국에 산재해 있는 수십만 명의 판매자들에게 일일이 연락하여 판매자들을 교육시키거나, 판매자들이나 그들의 개인정보 처리 업무 담당자들의 컴퓨터 등을 물리적으로 직접 관리하는 것은 사실상 실현하기 어렵다고 보인다.
이러한 점에서도 개인정보취급자는 원고와 단순한 계약관계에 따라 개인정보를 제공받는 자가 아니라 원고와 종속적인 관계에서 그 지휘·감독 아래 원고의 의사에 따라 업무를 수행하는 자로 한정된다고 봄이 타당하다.
자) 피고는 ‘개인정보의 기술적·관리적 보호조치 기준 해설서’에 오픈마켓 판매자가 개인정보취급자에 해당한다고 기재(을 제1호증 중 제27쪽)되어 있는 것을 근거로 이 사건 처분이 적법하다는 주장도 하고 있으나, 위 해설서는 이 사건 고시에 대한 이해를 돕기 위하여 피고 스스로가 한국인터넷진흥원과 함께 발간한 해석을 담은 문서에 불과하므로, 위 해설서에 근거하여 개인정보 보호법령에서 규정하는 내용과 달리 ‘개인정보취급자’의 범위를 확장할 수는 없다.
차) (1) 나아가 개인정보 보호법은 대부분의 규정에서 개인정보의 수집, 이용, 처리 등에 관한 권리·의무의 주체로 개인정보처리자를 상정하고 있다. 그런데 판매자는 자신의 판매업무를 목적으로 개인정보를 처리하므로 개인정보파일을 운용할 경우 개인정보 보호법 제2조 제5호에서 정한 ‘개인정보처리자’에 해당할 수 있는바, 이러한 경우 판매자는 독자적으로 개인정보 보호법에 따른 개인정보 보호 의무를 부담하게 될 뿐만 아니라 벌칙 규정 등의 적용 대상이 되므로, 피고 등 관할관청은 이러한 판매자에 대한 직접 관리·감독 조치를 통해서도 구매자의 개인정보를 충분히 보호할 수 있다고 보인다.
특히, 판매자는 개인정보 보호법 시행령 제48조의2 제1항에 의하여 정보통신서비스 제공자 등에 해당하여 각호의 안전성 확보 조치를 취해야 하는 점은 앞서 본 바와 같고,같은 항 제5호에서는 ‘개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 하기 위한 백신소프트웨어 설치 및 주기적 갱신·점검 조치’를 규정하고 있고, 이 사건 고시 제4조 제5항에 ‘정보통신서비스 제공자 등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각호의 기능을 포함한 시스템을 설치·운영하여야 한다.’고 규정하면서, 제1호에 ‘개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한’, 제2호에 ‘개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지’를 열거하고 있다.
(2) 피고는 최근 해커들이 판매자의 정보를 해킹한 후 이를 이용하여 원고의 개인정보처리시스템에 불법으로 접속하여 개인정보를 유출한 사고가 발생하고 있음을 우려하여 이 사건 처분을 내린 것으로 보이는바, 정보통신서비스 제공자 등에 해당하는 판매자가 위 개인정보 보호법 시행령 제48조의2 제1항 제5호, 이 사건 고시 제4조 제5항에 따른 조치를 취함으로써 판매자 컴퓨터 등에 악성프로그램이 침투하여 판매자 정보를 유출 당하는 사태를 막을 수 있다면 이것만으로도 피고가 우려하는 사고를 충분히 예방할 수 있어 보인다.
이와 관련하여, 피고는 ‘개인정보의 기술적·관리적 보호조치 기준 해설서’에서 아래 ‘표’ 기재와 같은 내용으로 이 사건 고시 제4조 제5항을 설명하고 있는바(을 제1호증 중 제52~54쪽), 정보통신서비스 제공자 등에 해당하는 판매자도 특별한 사정이 없는 한 그와 같은 설명에 따른 조치를 취하여야 한다고 보인다(개인정보 보호법 제29조, 제39조의15 제1항 제5호, 제65조, 제73조 제1호, 제75조 제2항 제6호 및 을 제1호증 중 제6쪽 등 참조).
○ 정보통신서비스 제공자 등은 불법적인 접근 및 침해사고 방지를 위해 다음과 같은 시스템 등을 스스로의 환경을 고려하여 접근 제한 기능 및 유출 탐지 기능이 적합하게 수행되도록 설치·운영하여야 한다.참고☞ 불법적인 접근: 인가되지 않은 자(내·외부자 모두 포함)가 사용자계정 탈취, 자료유출 등의 목적으로 개인정보처리시스템, 개인정보취급자의 컴퓨터 등에 접근하는 것을 말한다.☞ 침해사고: 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태를 말한다.(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제2조 제1항 제7호) - 해당 시스템으로는 침입차단시스템, 침입탐지시스템, 침입방지시스템, 보안 운영체제(Secure OS), 웹방화벽, 로그분석시스템, ACL(Access Control List)을 적용한 네트워크 장비, 통합보안관제시스템 등을 활용할 수 있다. 다만 어느 경우라도 접근 제한 기능 및 유출 탐지 기능이 모두 충족되어야 한다. - SOHO 등 소기업은 인터넷데이터센터(IDC), 클라우드 서비스 등에서 제공하는 보안서비스(방화벽, 침입방지, 웹방화벽 등)를 활용하거나 공개용(무료) S/W를 사용하여 해당 기능을 구현한 시스템을 설치·운영할 수 있다. 다만 공개용(무료) S/W를 사용할 때에는 적절한 보안이 이루어지는지를 사전에 점검할 필요가 있다.○ 접근 제한 기능 및 유출 탐지 기능의 충족을 위해서는 단순히 시스템을 설치하는 것만으로는 부족하며, 신규 위협 대응 및 정책의 관리를 위하여 다음과 같은 방법 등을 활용하여 체계적으로 운영·관리하여야 한다. - 정책 설정 운영: 신규 위협 대응 등을 위하여 접근 제한 정책 및 유출 탐지 정책을 설정하고 지속적인 업데이트 적용 및 운영·관리 - 이상 행위 대응: 모니터링 등을 통해 인가받지 않은 접근을 제한하거나 인가자의 비정상적인 행동에 대응 - 로그 분석: 로그 등의 대조 또는 분석을 통하여 이상 행위를 탐지 또는 차단○ IP주소 등에는 IP주소, 포트 그 자체뿐만 아니라, 해당 IP주소의 행위(과도한 접속성공 및 실패, 부적절한 명령어 등 이상 행위 관련 패킷)를 포함한다.
(3) 이와 달리 원고의 개인정보처리시스템에 대하여 개인정보처리자로서 지는 안전성 확보조치 의무와 관련하여 판매자에 의해서는 그러한 확보조치가 어렵다는 이유만으로 이 사건 처분과 같이 판매자가 원고의 지휘·감독을 받는 개인정보취급자에 해당함을 전제로 하는 안전성 확보조치를 원고에게 강제한다면, 판매자와 이 사건 오픈마켓 이용계약을 체결한 당사자에 불과하여 판매자들을 구체적으로 통제할 만한 권한과 수단이 있다고 볼 수 없는 원고에게 수십만 명에 이르는 판매자에 대한 교육의무, 관리·감독 의무를 부담하게 하여 사실상 불가능하거나 과도한 의무를 요구하게 되고, 판매자가 구매자의 개인정보를 고의로 악용하여 구매자에게 손해를 가하였을 경우에도 원고가 법적 책임을 부담하게 될 여지가 있어 자기책임의 원칙에도 반한다고 보인다.
카) 판매자를 원고의 개인정보취급자로 보지 않는다고 하더라도, 원고는 여전히 개인정보 보호법 제29조, 같은 법 시행령 제48조의2 제1항 제2 내지 5호, 이 사건 고시 제4조 제5항 등에 따라 스마트스토어 시스템에 저장되어 있는 구매자의 개인정보에 대한 불법접근 차단, 접속기록의 위조·변조 방지, 개인정보의 안전한 저장·전송을 위한 각종 조치(판매자를 개인정보취급자로 볼 경우에만 필요한 조치들 제외) 등을 취해야 할 의무를 부담하므로, 판매자를 반드시 원고의 개인정보취급자로 보아야 할 만한 정책적 필요도 크지 않다.
3. 결론
그렇다면 원고의 청구는 이유 있어 이를 인용하여야 한다. 이와 결론을 같이하는 제1심판결은 정당하므로 피고의 항소는 이유 없어 이를 기각하기로 하여, 주문과 같이 판결한다.
[별 지 1] 시정명령: 생략
[별 지 2] 관계 법령: 생략
판사 조진구(재판장) 신용호 정총령
판례 검색
오픈마켓 판매자는 개인정보취급자인가? 시정조치 명령의 적법성
2022누54360* 본 법률정보는 대법원 판결문을 바탕으로 한 일반적인 정보 제공에 불과하며, 구체적인 사건에 대한 법률적 판단이나 조언으로 해석될 수 없습니다. 동일해 보이는 상황이라도 사실관계나 시점 등에 따라 결론이 달라질 수 있으므로, 자세한 내용은 변호사와 상담을 권장합니다.
시정조치명령처분취소의소
[서울고법 2023. 9. 1. 선고 2022누54360 판결 : 상고]
【판시사항】
통신판매중개업을 영위하는 甲 주식회사가 회원들(판매자와 구매자)에게 온라인공간에서 상품을 거래할 수 있는 플랫폼을 제공하고, 회원 가입 및 주문·결제 시 ‘개인정보 제3자 제공’에 동의한 구매자의 개인정보를 판매자에게 제공하며, 판매자는 이를 이용하여 구매자에게 상품을 배송했는데, 개인정보보호위원회가 甲 회사는 개인정보 보호법상 ‘개인정보처리자’에, 판매자는 ‘개인정보취급자’에 해당한다는 전제에서, 판매자가 외부에서 오픈마켓 접속 시 안전한 인증수단을 적용하지 않은 것이 개인정보 보호법 제29조 등 위반행위에 해당한다는 이유로, 甲 회사에 판매자에 대한 안전한 인증수단 적용 및 정기교육 실시 등의 시정조치를 명한 사안에서, 오픈마켓의 판매자는 甲 회사의 지휘·감독을 받아 개인정보를 처리하는 ‘개인정보취급자’에 해당한다고 보기 어려우므로, 판매자가 개인정보취급자라는 전제에서 시정조치를 명한 위 처분이 위법하다고 한 사례
【판결요지】
통신판매중개업을 영위하는 甲 주식회사가 회원들(판매자와 구매자)에게 온라인공간에서 상품을 거래할 수 있는 플랫폼을 제공하고, 회원 가입 및 주문·결제 시 ‘개인 정보 제3자 제공’에 동의한 구매자의 계정(ID), 성명, 전화번호, 휴대전화 번호, 배송지 주소 등 개인정보를 판매자에게 제공하며, 판매자는 이를 이용하여 구매자에게 상품을 배송했는데, 개인정보보호위원회가 甲 회사는 개인정보 보호법상 ‘개인정보처리자’에, 판매자는 甲 회사의 지휘·감독을 받아 개인정보를 처리하는 ‘개인정보취급자’에 해당한다는 전제에서, 판매자가 외부에서 오픈마켓 접속 시 계정(ID)과 비밀번호만으로 접속할 수 있도록 하고 추가로 안전한 인증수단을 적용하지 않은 것이 개인정보 보호법 제29조, 개인정보 보호법 시행령 제48조의2 등을 위반한 행위에 해당한다는 이유로, 甲 회사에 판매자에 대한 안전한 인증수단 적용 및 정기교육 실시 등의 시정조치를 명한 사안이다.
개인정보 보호법은 물론 개인정보보호위원회 스스로 고시한 표준 개인정보 보호지침의 문언에 비추어 보면, ‘개인정보취급자’는 “개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서” “임직원, 파견근로자, 시간제근로자 등”을 의미하는 것으로서, 반드시 개인정보처리자와 고용계약을 체결한 자로 한정되는 것은 아니지만, 적어도 법령 또는 계약상 개인정보처리자의 의사에 따라 개인정보처리자를 위하여 그 지휘·감독 아래 업무를 집행하는 자를 의미하는 점, 실제로 개인정보 보호법령 등에 개인정보처리자가 개인정보취급자에 대한 실질적인 지휘·감독 권한을 가지고 있음을 전제로 하는 다수의 규정을 두고 있는 점, 판매자는 정보통신서비스 제공자인 甲 회사로부터 이용자(구매자)의 개인정보를 제공받은 자로서 개인정보 보호법 제29조, 개인정보 보호법 시행령 제48조의2 제1항 제1호 (나)목 등에 따라 자신(판매자)의 지휘·감독을 받는 개인정보취급자를 관리·감독할 의무를 부담하므로 甲 회사와는 별개의 개인정보처리자에 해당하는 점, 판매자가 외부사용자로서 甲 회사의 서비스를 이용하는 범위 내에서 약관에서 정한 바에 따라 계약상의 제약을 받는다는 점만으로 종속적인 관계에서 甲 회사의 지휘·감독을 받는다고 볼 수 없는 점, 개인정보처리자로부터 개인정보를 제공받은 ‘제3자’와 ‘개인정보취급자’는 서로 양립할 수 없는 별개의 지위라고 보는 것이 타당하고, 판매자는 처음부터 甲 회사로부터 개인정보를 제공받은 ‘제3자’였을 뿐 이와 동시에 甲 회사의 ‘개인정보취급자’의 지위를 가진다고 볼 수 없는 점 등을 종합하면, 오픈마켓의 판매자는 甲 회사로부터 개인정보처리시스템에 대한 접근권한을 부여받음으로써 구매자의 개인정보를 제공받아 자신의 업무를 위하여 스스로의 의사에 따라 개인정보를 처리 및 이용하는 ‘제3자’일 뿐 甲 회사의 지휘·감독을 받아 개인정보를 처리하는 ‘개인정보취급자’에 해당한다고 보기 어려우므로, 판매자가 甲 회사의 지휘·감독 대상인 개인정보취급자라는 전제에서 시정조치를 명한 위 처분이 위법하다고 한 사례이다.
【참조조문】
개인정보 보호법 제2조 제5호, 제28조 제1항, 제29조, 제64조 제1항, 개인정보 보호법 시행령 제48조의2
【전문】
【원고, 피항소인】
주식회사 지마켓(변경 전 상호: 지마켓글로벌 유한책임회사) (소송대리인 법무법인(유한) 광장 담당변호사 고범석 외 1인)
【피고, 항소인】
개인정보보호위원회 (소송대리인 법무법인 민후 담당변호사 김경환 외 1인)
【제1심판결】
서울행법 2022. 7. 8. 선고 2021구합78848 판결
【변론종결】
2023. 6. 23.
【주 문】
1. 피고의 항소를 기각한다.
2. 항소비용은 피고가 부담한다.
【청구취지 및 항소취지】
1. 청구취지
피고가 2021. 6. 25. 원고에 대하여 한 별지 1 기재 시정조치명령을 취소한다.
2. 항소취지
제1심판결을 취소한다. 원고의 청구를 기각한다.
【이 유】
1. 처분의 경위
이 법원이 이 부분에 관하여 설시할 판결의 이유는, 아래와 같이 고쳐 쓰거나 추가하는 외에는, 제1심판결의 해당 부분 기재와 같으므로 행정소송법 제8조 제2항, 민사소송법 제420조 본문에 의하여 이를 그대로 인용한다.
○ 제1심판결문 제2쪽 제5행의 “(변경 전 상호: 이베이코리아 유한책임회사)” 부분을 “(그 상호가 이베이코리아 유한책임회사, 지마켓글로벌 유한책임회사, 원고로 순차 변경되었다)”로 고쳐 쓴다.
○ 제1심판결문 제2쪽 제13~14행의 “기재한다” 부분을 “기재하되, 아래 표시 중 ‘회사’는 ‘원고’를 의미한다”로 고쳐 쓴다.
○ 제1심판결문 제2쪽 표 안의 제1행 위에 다음과 같은 내용을 추가한다.
『제1조(목적)
이 약관은 회사가 운영하는 ‘G마켓’ 인터넷 오픈마켓 사이트(이하 ‘G마켓’이라 함)와 스마트폰 등 이동통신기기를 통해 제공되는 ‘G마켓’ 모바일 애플리케이션(이하 ‘모바일G마켓’이라 함)에 판매회원으로 가입하여 전자상거래 관련 판매 서비스 및 기타 서비스(이하 ‘서비스’라 함)를 이용하는 자 간의 권리, 의무를 확정하고 이를 이행함으로써 상호 발전을 도모하는 것을 그 목적으로 합니다.
제2조의1(회사의 일반적 준수사항)
2. 회사는 판매회원에게 가격인하, 기획전 참여 등을 부당하게 강요하지 않습니다.
3. 회사는 판매회원 간 수수료 및 판매촉진서비스 이용료를 다르게 정하지 않습니다.
4. 회사는 판매회원이 다른 오픈마켓사업자와 거래하지 못하게 하거나 다른 오픈마켓사업자와 거래한다는 이유로 판매회원에게 불이익을 제공하지 않습니다.
제3조(용어의 정의)
1. 이 약관에서 사용하는 용어의 정의는 다음과 같습니다.
1) 오픈마켓: 누구나 판매자나 구매자가 되어 온라인상에서 상품을 팔고 살 수 있는 가상의 장터를 말합니다.
2) 오픈마켓사업자: 오픈마켓과 오픈마켓에서의 부가서비스(광고서비스 등)를 제공하고, 이에 대한 대가를 받는 사업자를 말합니다.』
○ 제1심판결문 제3쪽 표 안의 제7행 다음에 아래와 같은 내용을 추가한다.
『제11조(계약기간 및 이용계약의 종료)
1. 이용계약의 기간은 판매회원이 약관에 대해 동의한 날로부터 당해 연도 말일까지로 하고, 기간 만료 1개월 전까지 서면에 의한 반대의 의사표시가 없는 한 계약기간은 동일한 조건으로 1년간 자동 갱신됩니다.
2. 회사의 해지
1) 회사는 다음과 같은 사유가 발생하거나 확인된 경우 이용계약을 해지할 수 있습니다.
① 다른 회원 또는 타인의 권리나 명예, 신용 기타 정당한 이익을 침해하거나 대한민국 법령 또는 공서양속에 위배되는 행위를 한 경우
② 회사가 제공하는 서비스의 원활한 진행을 방해하는 행위를 하거나 시도한 경우
3. 당사자 일방에게 다음 각호의 사유가 발생한 경우, 그 상대방은 별도의 최고 없이 해지의 통지를 함으로써 이용계약을 해지할 수 있습니다.
1) 이용계약의 의무를 위반하여 상대방으로부터 그 시정을 요구 받은 후 7일 이내에 이를 시정하지 않은 경우
4) 관련 법령 위반 등 판매회원의 책임 있는 사유로 인하여 회사가 명예 실추 등 유무형적 손해를 입은 경우
3의1. 판매회원의 해지
제3항에도 불구하고, 판매회원은 언제든지 회사에 해지의사를 통지함으로써 이용계약을 해지할 수 있습니다.
4. 회사는 컴퓨터 등 정보통신설비의 보수, 점검, 교체 및 고장, 통신의 두절 등의 사유가 발생한 경우에는 서비스의 제공을 일시적으로 중단할 수 있습니다. 이 경우 서비스 일시 중단 사실과 이유를 G마켓 초기화면에 게시합니다.』
○ 제1심판결문 제5쪽 제13행의 “갑 제1, 2, 5호증, 을 제2, 3, 8, 9호증” 부분을 “갑 제1, 2, 5, 14호증, 을 제2, 3, 8, 9, 17, 19호증”으로 고쳐 쓴다.
2. 이 사건 처분의 적법 여부
가. 원고의 주장
이 법원이 이 부분에 관하여 설시할 판결의 이유는 제1심판결의 해당 부분 기재와 같으므로, 행정소송법 제8조 제2항, 민사소송법 제420조 본문에 의하여 이를 그대로 인용한다.
나. 관계 법령
별지 2 기재와 같다.
다. 판단
1) 관련 규정
이 법원이 이 부분에 관하여 설시할 판결의 이유는 제1심판결의 해당 부분 기재와 같으므로, 행정소송법 제8조 제2항, 민사소송법 제420조 본문에 의하여 이를 그대로 인용한다.
2) 관련 법리
가) 법은 원칙적으로 불특정 다수인에 대하여 동일한 구속력을 갖는 사회의 보편타당한 규범이므로 이를 해석함에 있어서는 법의 표준적 의미를 밝혀 객관적 타당성이 있도록 하여야 하고, 가급적 모든 사람이 수긍할 수 있는 일관성을 유지함으로써 법적 안정성이 손상되지 않도록 하여야 한다. 한편 실정법은 보편적이고 전형적인 사안을 염두에 두고 규정되기 마련이므로 사회현실에서 일어나는 다양한 사안에서 그 법을 적용함에 있어서는 구체적 사안에 맞는 가장 타당한 해결이 될 수 있도록 해석할 것도 또한 요구된다. 요컨대 법해석의 목표는 어디까지나 법적 안정성을 저해하지 않는 범위 내에서 구체적 타당성을 찾는 데 두어야 한다. 나아가 그러기 위해서는 가능한 한 법률에 사용된 문언의 통상적인 의미에 충실하게 해석하는 것을 원칙으로 하면서, 법률의 입법 취지와 목적, 그 제·개정 연혁, 법질서 전체와의 조화, 다른 법령과의 관계 등을 고려하는 체계적·논리적 해석방법을 추가적으로 동원함으로써, 위와 같은 법해석의 요청에 부응하는 타당한 해석을 하여야 한다(대법원 2013. 1. 17. 선고 2011다83431 전원합의체 판결, 대법원 2022. 10. 27. 선고 2022두44354 판결 등 참조).
나) 침익적 행정처분은 상대방의 권익을 제한하거나 상대방에게 의무를 부과하는 것이므로 헌법상 요구되는 명확성의 원칙에 따라 그 근거가 되는 행정법규를 더욱 엄격하게 해석·적용해야 하고, 행정처분의 상대방에게 지나치게 불리한 방향으로 확대해석이나 유추해석을 해서는 안 된다(대법원 2021. 11. 11. 선고 2021두43491 판결 등 참조).
3) 구체적 판단
앞서 든 증거들과 을 제1, 4, 5, 7, 10, 11호증의 각 기재에 변론 전체의 취지를 더하여 알 수 있는 다음과 같은 사정들을 종합하여 위 법리에 비추어 보면, 이 사건 오픈마켓의 판매자가 원고의 지휘·감독을 받아 개인정보를 처리하는 ‘개인정보취급자’에 해당한다고 보기 어렵다. 따라서 판매자가 원고의 지휘·감독 대상인 개인정보취급자라는 전제에서 개인정보 보호법 제29조, 제64조 제1항, 같은 법 시행령 제48조의2 제1항 제1호, 제2호, 이 사건 고시 제3조 제2항, 제4조 제4항 등을 적용하여 시정조치를 명한 이 사건 처분은 그 처분사유가 인정되지 아니하여 위법하므로, 이를 지적하는 원고의 주장은 이유 있다.
가) 개인정보 보호법은 제2조 제5호에서 ‘개인정보처리자’를 ‘업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인’으로 정의하고 있는 반면, 제28조 제1항에서 ‘개인정보취급자’를 ‘임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자’로 정의하여 양자의 의미를 명확히 구분하고 있다.
개인정보 보호법 제12조 제1항에 따라 개인정보 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정하고 있는 「표준 개인정보 보호지침」(2020. 8. 11. 자 개인정보보호위원회고시 제2020-1호, 이하 ‘표준지침’이라 한다) 제2조 제6호 역시 ‘개인정보취급자’란 ‘개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.’고 규정하고 있다.
위와 같은 개인정보 보호법의 문언은 물론 피고 스스로 고시한 표준지침의 문언에 비추어 보면, ‘개인정보취급자’는「“? 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서(이하 ‘?요건’이라 한다)” “? 임직원, 파견근로자, 시간제근로자 등(이하 ‘?요건’이라 한다)”」(즉 ?요건과 ?요건을 모두 충족하고 있는 자)을 의미하는 것으로서, 반드시 개인정보처리자와 고용계약을 체결한 자로 한정되는 것은 아니지만, 적어도 법령 또는 계약상 개인정보처리자의 의사에 따라 개인정보처리자를 위하여 그 지휘·감독 아래 업무를 집행하는 자를 의미한다고 봄이 타당하다.
나) 실제로 개인정보 보호법령, 이 사건 고시, 표준지침은 모두 개인정보처리자가 개인정보취급자에 대한 실질적인 지휘·감독 권한을 가지고 있음을 전제로 하는 아래와 같은 다수의 규정(이하 ‘이 사건 규정들’이라 한다)을 두고 있다.
(1) 개인정보 보호법 제28조 제1항은 ‘개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 개인정보취급자에 대하여 적절한 관리·감독을 하여야 한다.’고 규정하고, 제2항은 ‘개인정보처리자가 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.’고 규정하고 있다.
(2) 개인정보 보호법 시행령 제48조의2 제1항은 정보통신서비스 제공자 등이 개인정보를 처리하는 경우 취해야 할 안전성 확보 조치로서 ‘개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단 조치’[제2호 (다)목, 일정 규모 이상의 정보통신서비스 제공자에 대하여만 해당], ‘개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램 침투 여부를 항시 점검·치료할 수 있도록 하기 위한 백신소프트웨어 설치 및 주기적 갱신·점검 조치’(제5호)를 규정하고 있는바, 이는 개인정보처리자가 개인정보취급자의 컴퓨터 등을 직접 관리하거나 그에 대한 관리를 지시할 수 있는 지위에 있음을 전제로 한다.
(3) 이 사건 고시 제4조 제1항은 ‘정보통신서비스 제공자 등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다.’고 규정하고, 제2항은 ‘정보통신서비스 제공자 등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.’고 규정하며, 제6항은 ‘일정 규모 이상인 정보통신서비스 제공자 등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.’고 규정하고, 제9항은 ‘정보통신서비스 제공자 등은 처리 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.’고 규정하며, 제10항은 ‘정보통신서비스 제공자 등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다.’고 규정하고 있다.
위와 같은 규정들은 ‘개인정보취급자’가 개인정보처리자의 개인정보 처리 업무를 수행하는 자임을 전제로 하는 것으로서, 종속적 지위에서 개인정보처리자의 지휘·감독을 받아 업무를 처리하는 자임을 의미하고, 또한 개인정보처리자가 개인정보취급자의 컴퓨터와 모바일 기기 등을 직접 관리할 수 있거나 그에 대하여 일정한 조치를 취할 것을 지시할 수도 있는 지위에 있음을 전제로 한다.
(4) 또한 표준지침 제15조 제1항은 ‘개인정보처리자는 개인정보취급자를 업무상 필요한 한도 내에서 최소한으로 두어야 하며, 개인정보취급자의 개인정보 처리 범위를 업무상 필요한 한도 내에서 최소한으로 제한하여야 한다.’고 규정하고, 제2항은 ‘개인정보처리자는 개인정보 처리시스템에 대한 접근권한을 업무의 성격에 따라 당해 업무수행에 필요한 최소한의 범위로 업무담당자에게 차등 부여하고 접근권한을 관리하기 위한 조치를 취해야 한다.’고 규정하며, 제3항은 ‘개인정보처리자는 개인정보취급자에게 보안서약서를 제출하도록 하는 등 적절한 관리·감독을 해야 하며, 인사이동 등에 따라 개인정보취급자의 업무가 변경되는 경우에는 개인정보에 대한 접근권한을 변경 또는 말소해야 한다.’고 규정하고 있다.
위와 같은 규정들은 개인정보취급자가 개인정보처리자의 업무를 수행하는 종속적 지위에 있는 자로서 원고가 개인정보취급자의 숫자와 업무 범위를 필요에 따라 조정할 수 있음을 전제로 하고 있다.
다) 개인정보 보호법 제29조는 개인정보처리자의 안전조치의무를 규정하면서 그 구체적인 내용에 관하여 대통령령으로 정하도록 위임하고 있고, 이에 따라 개인정보 보호법 시행령 제48조의2 제1항은 ‘개인정보의 안전성 확보 조치에 관한 특례’라는 제목으로 “정보통신서비스 제공자와 그로부터 이용자의 개인정보를 법 제17조 제1항 제1호에 따라 제공받은 자(이하 ‘정보통신서비스 제공자 등’이라 한다)는 이용자의 개인정보를 처리하는 경우에는 제30조에도 불구하고 법 제29조에 따라 다음 각호의 안전성 확보 조치를 해야 한다.”라고 규정하고 있는데, 같은 항 제1호 (나)목에서는 ‘개인정보취급자’를 ‘정보통신서비스 제공자 등의 지휘·감독을 받아 이용자의 개인정보를 처리하는 자’라고 정의하고 있다.
또한 이 사건 고시 제1조 제1항은 ‘이 기준은 개인정보 보호법 제29조 및 같은 법 시행령 제48조의2 제3항에 따라 정보통신서비스 제공자 등(개인정보 보호법 제39조의14에 따라 준용되는 자를 포함한다. 이하 같다)이 이용자의 개인정보를 처리함에 있어서 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성 확보를 위하여 필요한 기술적·관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한다.’고 규정하고, 제2항은 ‘정보통신서비스 제공자 등은 사업규모, 개인정보 보유 수 등을 고려하여 스스로의 환경에 맞는 개인정보 보호조치 기준을 수립하여 시행하여야 한다.’고 규정하고 있다.
위 규정들의 내용을 체계적, 종합적으로 해석해 보면, ‘정보통신서비스 제공자’ 및 ‘그로부터 이용자의 개인정보를 제공받은 자’는 모두 개인정보처리자로서 각자의 개인정보취급자에 대하여 교육 및 관리 등의 안전성 확보 조치를 이행해야 함을 의미하는 것으로 보인다.
따라서 판매자는 정보통신서비스 제공자인 원고로부터 이용자(구매자)의 개인정보를 제공받은 자로서 위 규정들에 따라 개인정보처리자에 해당하고, 그 자신(판매자)의 지휘·감독을 받는 개인정보취급자를 관리·감독할 의무를 부담한다고 보아야 하므로, 판매자는 원고와는 별개의 개인정보처리자이다.
라) 피고는, 개인정보취급자의 요건으로서 ?요건 중 ‘개인정보처리자의 지휘·감독’의 의미에 관하여, 이는 일반 업무상의 지휘·감독이 아니라 개인정보 처리에 관한 지휘·감독을 의미하는 것으로 개인정보 처리라는 사실적 현상을 기준으로 판단하여야 하므로 ‘개인정보의 안전한 관리 목적을 효과적으로 달성하고 개인정보 처리가 잘못되지 않도록 통솔 및 단속하는 행위’ 일체를 포함하는 것인바, 판매자가 원고의 개인정보처리시스템 내에서 원고의 구매자 개인정보 파일을 처리하는 경우, 원고로부터 해당 시스템에 대한 접근권한을 미리 부여받아 등록된 계정과 비밀번호를 입력하여야 하고 해당 시스템이 예정하고 허용하는 개인정보 처리 업무만 가능하며 허용된 기간 동안에만 시스템에 접근할 수 있는 등 원고 개인정보처리시스템의 설계코드와 정책(약관 등)을 통하여 개인정보처리자인 원고의 지휘·감독을 받게 된다는 취지로 주장한다.
그러나 아래와 같은 사정 등에 비추어 볼 때, 피고의 이 부분 주장은 받아들이기 어렵다.
(1) 원고가 판매자에게 원고 개인정보처리시스템에 대한 접근권한을 부여하여 판매자로 하여금 구매자의 개인정보를 열람할 수 있게끔 한 것은 제3자인 판매자에게 구매자의 개인정보를 제공한 행위의 한 형태에 해당하고, 단순히 계정 및 비밀번호를 입력하게 하고 시스템 접근 가능 기간을 제한하였다고 하여 개인정보를 안전하게 관리하기 위하여 판매자를 지휘·감독한 것으로 보기는 어렵다.
(2) 피고는 원고가 이 사건 약관(을 제2, 3, 8호증)에서 판매자가 구매자의 개인정보를 이 사건 오픈마켓 서비스 이용에 필요한 목적 외의 용도로 사용하는 것을 엄격히 금지하는 내용을 규정하고 있는 점 등을 들어 판매자가 원고로부터 ‘정책상의 지휘·감독’을 받는다고 주장하지만, 원고가 이 사건 약관에 판매자에 대하여 구매자의 개인정보를 목적 외의 용도로 사용하면 안 된다는 취지의 조항을 마련하고 있는 것이나, 개인정보 유출 등으로 구매회원 등의 이의제기가 있을 경우 판매자가 이에 대한 책임을 진다는 취지의 안내문 또는 준수사항을 마련하고 있는 것은, 계약 당사자로 대등한 지위에 있는 판매자에게 업무로 넘겨받은 개인정보를 유출하거나 무단으로 수집하여서는 안 될 계약상의 의무를 부여한 것에 불과할 뿐이므로, 이를 두고 원고가 판매자를 지휘·감독하는 관계에 있다는 근거로 보기는 어렵다(실제로 개인정보 보호법 제19조가 개인정보처리자로부터 개인정보를 제공받은 자는 정보주체로부터 별도의 동의를 받은 경우 등을 제외하고 개인정보를 제공받은 목적 외의 용도로 이용하여서는 아니 된다고 규정하고 있는바, 개인정보의 목적 외 사용 금지는 개인정보처리자로부터 개인정보를 제공받은 자가 준수하여야 할 당연한 의무에 해당할 뿐이다).
(3) 앞서 살핀 바와 같이 이 사건 규정들은 개인정보처리자가 개인정보취급자의 컴퓨터나 모바일 기기 등에 물리적인 조치를 취하는 등 이를 직접 관리할 수 있고 개인정보취급자의 숫자나 업무 범위 등을 임의로 조정할 수 있음을 전제로 하고 있고, 특히 이 사건 고시 제4조 제4항은 ‘정보통신서비스 제공자 등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다.’고 규정하고 있어 개인정보취급자가 원칙적으로 개인정보처리자의 내부 정보통신망을 통하여 개인정보처리시스템에 접속하는 자임을 전제하고 있는바, 이 사건의 판매자와 같이 원고의 직접적인 관리를 받지 않는 컴퓨터 등으로 원고 내부망이 아닌 외부 정보통신망을 통하여 원고의 정보처리시스템에 접속한 후 그 설계코드 및 정책에 따라 해당 시스템을 이용하는 모든 자들을 원고의 개인정보취급자로 보는 피고의 해석은 이 사건 규정들의 내용과 부합하지 않는다고 보인다.
(4) 피고는 개인정보 보호법이 ‘정보법’에 해당하여 민법 등의 ‘조직법’과는 다른 독자적인 관점에서 해석되어야 한다는 취지로 주장하나, ‘정보법’이라는 용어가 실제 사용되고 있는지 여부는 별론으로 하고 이로 인해 개인정보 보호법령상의 개인정보취급자의 ?요건, ?요건마저도 앞서 본 법리와 같은 일반적인 법령 해석방법과는 달리 독창적으로 해석하여야 한다는 당위가 성립된다고 보기는 어렵다.
오히려 개인정보 보호법은 그 제정 이유, 제정 당시 제1조(목적)의 내용, 제정 당시의 제39조(손해배상책임)의 내용 및 그 후 2015. 7. 24. 개정(법률 제13423호) 당시 신설된 제39조 제3항, 제4항 및 제39조의2(법정손해배상의 청구)의 내용 등에 비추어 볼 때, 개인정보 보호법을 해석함에 있어 민법, 그중 특히 불법행위에 기한 손해배상에 관한 규정들과 전체적인 조화를 이루도록 해석해야 한다고 봄이 상당하다.
따라서 개인정보 보호법에서 정한 개인정보취급자의 요건인 개인정보처리자의 ‘지휘·감독’은 민법상 사용자책임에서의 ‘지휘·감독’과 동일하거나 유사한 의미로 해석되어야 한다고 봄이 상당하므로, ‘개인정보취급자’는 반드시 개인정보처리자와 고용관계에 있을 필요는 없으나, 적어도 법령 또는 계약상 개인정보처리자의 의사에 따라 개인정보처리자를 위하여 그 지휘·감독 아래 개인정보 처리 업무를 집행하는 자를 의미한다고 봄이 타당하다.
마) 피고는, 개인정보취급자의 요건으로서 ?요건과 관련하여, 만약 ‘임직원, 파견근로자, 시간제근로자 등’을 종속적 관계에 대한 예시 문언으로 보아 개인정보취급자를 개인정보처리자와 사이에 ‘고용관계 또는 이에 준하는 업무상의 종속적 관계’에 있는 자라고 해석하게 되면, 대표이사, 감사, 사외이사 등의 경우 회사의 임원에 해당하여 위 ‘임직원, 파견근로자, 시간제근로자 등’에는 포함됨에도 불구하고 이들은 누군가의 지휘·감독을 받는 자가 아니라 오히려 지휘·감독을 하는 자이므로 개인정보취급자가 될 수 없다는 모순이 발생하는바, 개인정보처리자와 종속적 관계에 있을 것이 개인정보취급자의 요건 중 하나라고 해석할 수 없다는 취지로 주장한다.
그러나 개인정보 보호법 제31조 제1항은 “개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 ‘개인정보 보호책임자’를 지정하여야 한다.”라고 규정하고, 같은 조 제6항의 위임에 따른 개인정보 보호법 시행령 제32조 제2항 제2호는 공공기관 외의 개인정보처리자는 ‘사업주 또는 대표자’ 또는 ‘임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)’ 중 어느 하나에 해당하는 사람을 개인정보 보호책임자로 지정한다고 규정하며, 이 사건 고시 제2조 제1호는 ‘개인정보 보호책임자’란 ‘이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원을 말한다.’고 규정하고, 표준지침 제2조 제5호는 ‘개인정보 보호책임자’란 ‘개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조 제2항에 해당하는 자를 말한다.’고 규정하고 있다.
위와 같은 개인정보 보호책임자에 관한 규정 내용과 위 ?요건과 ?요건의 관련성 등을 종합하여 볼 때, 개인정보취급자에 관한 규정이 ‘임직원, 파견근로자, 시간제근로자 등’으로 정하고 있어 임원을 포함하고 있다고 하더라도 이는 모든 임원이 개인정보취급자에 해당함을 의미하는 것이 아니라, 개인정보 보호법 시행령 제32조 제2항 제2호에 따라 개인정보 보호책임자로 지정된 ‘사업주, 대표자, 임원’은 개인정보취급자의 범위에서 제외되고, 개인정보 보호책임자로 지정되지 않은 나머지 임원 중에서도 위 ?요건을 갖춘 임원만이 개인정보처리자의 지휘·감독하에 개인정보 처리 업무를 직접 수행하여 개인정보취급자로 구분되는 경우를 상정한 것으로 봄이 상당하므로, ‘임직원, 파견근로자, 시간제근로자 등’이라는 예시 문언을 근거로 개인정보취급자의 개인정보처리자에 대한 종속성을 인정하더라도 피고가 주장하는 바와 같은 모순은 발생하지 않는다.
앞서 살핀 바와 같은 이 사건 규정들의 내용, 특히 이 사건 고시 제4조 제2항이 ‘전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우’라고 하여 개인정보취급자가 개인정보처리자와 고용관계 또는 이와 유사한 관계에 있어 개인정보처리자의 인사정책의 영향을 받는 자임을 전제하고 있고(표준지침 제15조 제3항도 마찬가지이다), 이 사건 고시 제4조 제4항은 개인정보취급자가 개인정보처리자의 내부 정보통신망을 사용하는 자임을 전제하고 있는 점 및 여기에 더하여 표준지침 제52조, 제56조에서 언급된 개인정보취급자와 관련된 내용 등을 종합적으로 고려하면, 개인정보취급자는 개인정보처리자의 지휘·감독을 받는 업무상 종속적 관계에 있는 자로 봄이 타당하므로, 피고의 이 부분 주장도 받아들이기 어렵다.
바) ① 이 사건 오픈마켓의 판매자는 원고와의 이 사건 약관 등에 의한 약정에 따라 원고 개인정보처리시스템에 대한 접근권한을 부여받음으로써 구매자 개인정보를 제공받아, 즉 원고의 서비스를 이용함으로써 판매자 자신의 업무를 위하여 스스로의 의사에 따라 개인정보를 처리 및 이용하는 자이다.
② 판매자가 원고의 개인정보처리시스템에 접근하는 방식은 원고와 실질적인 사용관계에 있는 임직원[파견근로자, 시간제근로자 포함, 이하 바)항에서는 이와 같다] 등이 해당 시스템에 접근하는 방식과는 그 구조 및 내용이 아래 ‘표’와 같이 상당한 차이가 있다고 보인다.
○ 오픈마켓 판매자와 구매자가 오픈마켓 사업자의 내부시스템에 저장된 정보를 접근·사용하는 방법 - 오픈마켓 사업자의 임직원은 오픈마켓 사업자의 사업 수행을 위하여 오픈마켓 사업자의 사업 수행을 위하여 오픈마켓 사업자의 내부시스템을 유지·보수·관리하기 위하여 내부시스템에 접근하는 내부사용자에 해당한다. - 오픈마켓 판매자와 구매자는 모두 오픈마켓상에서 상품을 판매하고 구매하기 위해 필요한 한도 내에서 내부시스템의 일정 영역에 저장된 일부 정보를 한정적으로 접근·사용하는 외부사용자로 봄이 상당하다. - 오픈마켓 판매자나 구매자 모두 사업자의 내부시스템에 직접 접속하는 것은 아니고, 인터넷을 통해 내부망(인트라넷)과 외부 인터넷망의 중간에 사업자가 구축한 영역(DMZ, Web server)에 접속하여 내부시스템의 정보를 요청하고, 내부시스템으로부터 위 중간 영역에 요청하였던 정보가 넘어오면 이에 접근하는 방식으로 오픈마켓 플랫폼에서 정보를 접근·사용하는 점에서, 오픈마켓 판매자나 구매자는 모두 오픈마켓 플랫폼 및 이에 관련된 내부시스템의 외부에 있는 전형적인 ‘외부사용자’라고 할 것이다. 즉, 오픈마켓 판매자는 오픈마켓 사업자인 원고가 관리·운영하는 데이터베이스 서버에 직접 접근 또는 접속하여 개인정보를 취득하는 것이 아니라, 오픈마켓 판매자가 인터넷을 통해 필요한 주문자 정보를 요청하면, 이에 대한 응답으로 오픈마켓 판매자와 연결된 원고의 웹서버 시스템이 원고의 데이터베이스 서버에 저장되어 있는 데이터베이스를 검색하여 주문자 정보를 찾아 달라고 요청하고, 그 요청에 따라 내부 프로그램이 데이터베이스에서 요청된 주문자 정보를 검색한 다음 그 결과를 다시 웹서버에 전달하고, 그 웹서버를 통해 오픈마켓 판매자에게 요청된 주문자 정보가 제공되는 것으로서, 오픈마켓 판매자는 원고의 데이터베이스 서버 그 자체에 대한 접근권한이 부여되는 것이 아니다. - 이에 반해 내부사용자의 경우 내부망(인트라넷)을 통해 내부시스템인 데이터베이스 서버 자체에 접속할 수 있고, 그 직무 내용에 따라 내부시스템의 각 영역에 저장된 전체 정보를 제한 없이 접근·사용할 수 있는 점에서, 외부사용자와 본질적으로 구별된다. - 기업이나 단체의 임직원, 즉 ‘내부사용자’는 사무실에서 외부 인터넷망과는 별도로 구축되는 내부망(인트라넷)으로 연결된 내부시스템에 직접 접속하여 내부시스템의 유지·보수·관리 업무를 처리하고, 출장, 재택근무 등으로 외부에서 해당 기업이나 단체의 내부망(인트라넷)에 접근하여 관련 업무를 처리하는 경우에도 외부사용자와 같이 인터넷을 통해서 내부시스템과 외부시스템의 중간 영역에 연결되도록 하는 방식 대신 VPN주10) 등을 이용하여 내부망(인트라넷)에 직접 접근하는 방식을 통해 외부 인터넷망과는 단절된 형태로 내부시스템에 직접 접속하고 있다고 보인다. - 이를 그림으로 나타내면 아래와 같다.
③ 판매자는 판매자 본인의 상품 판매라는 자신의 고유 업무를 위하여 구매자의 개인정보를 처리한다.
④ 만약 판매자가 오픈마켓 사업자인 원고의 개인정보취급자에 해당한다는 피고의 논리대로라면, 판매자는 개인정보 보호법 시행령 제48조의2 제1항 제2호 (다)목, 이 사건 고시 제4조 제6항에서 규정한 일정한 규모를 갖춘 정보통신서비스 제공자인 원고의 오픈마켓 플랫폼 및 관련 시스템에 접근하려면 현재와 같이 인터넷망을 통해서는 아니 되고 인터넷망과 분리된 별도의 망을 구축하고 이를 통하여 원고의 시스템에 접근하도록 하여야 하고, 위와 같은 일정한 규모를 갖춘 정보통신서비스 제공자인 원고가 이러한 조치를 취하지 않는 경우에는 개인정보 보호법 제29조의 안전조치의무 위반을 한 경우에 해당하여 같은 법 제64조 제1항의 시정조치나 제75조 제2항 제6호의 과태료 등의 제재를 받을 수 있다.
그러나 VPN이나 전용선과 같은 수단은 임직원들과 같은 내부사용자가 출장이나 재택근무와 같이 외부에서 내부망에 접속하기 위하여 이용하는 것으로, 정보시스템의 일반적 구조상 오픈마켓 판매자와 같은 외부사용자들을 위한 수단으로 보기 어려울 뿐만 아니라, 수많은 오픈마켓 판매자에게 VPN이나 전용선을 이용할 수 있도록 조치하는 것은 정보통신서비스 제공자인 원고에게는 현실적으로 실현가능성이 높지 않다고 보인다[따라서 이러한 망분리에 관한 개인정보 보호법 시행령 제48조의2 제1항 제2호 (다)목, 이 사건 고시 제4조 제6항 규정은 오픈마켓 판매자와 같은 시스템의 외부사용자는 개인정보취급자에 해당하지 않는 것을 전제로 하여 마련된 것으로 봄이 상당하다].
⑤ 위와 같은 사정을 종합하여 보면, 판매자가 외부사용자로서 위와 같이 원고의 서비스를 이용하는 범위 내에서 이 사건 약관에서 정한 바에 따라 계약상의 제약을 받는다는 점만으로 사용자와 피용자 사이와 같은 종속적인 관계에서 원고의 지휘·감독을 받는다고 볼 수는 없다.
사) 피고는, 판매자는 개인정보처리자인 원고로부터 개인정보를 제공받은 제3자에 해당하는데, 제3자와 개인정보취급자가 서로 양립 불가능한 개념이라는 법적 근거가 없으므로 이러한 점에서도 판매자를 개인정보취급자로 인정함에 문제가 없다고 주장하면서, 시점별 판매자의 법적 지위에 관하여, 판매자는 원고 개인정보처리시스템 내에서 개인정보를 처리하는 동안 개인정보처리자, 개인정보취급자, 개인정보처리자로부터 개인정보를 제공받은 제3자의 지위를 모두 지니다가, 개인정보처리시스템에서 구매자 개인정보를 출력 내지 다운로드한 시점부터 더 이상 개인정보취급자에는 해당하지 않게 되는 것이라는 취지로 주장한다.
(1) 피고 스스로 제정하여 고시한 표준지침 제7조 제2항에는 “개인정보 보호법 제17조의 ‘제3자’란 정보주체와 정보주체에 관한 개인정보처리를 수집·보유하고 있는 개인정보처리자를 제외한 모든 자를 의미한다.”라고 규정하고 있는바, 이러한 규정의 문언자체에 따르면, ‘정보주체’와 ‘개인정보처리자’가 아닌 개인정보취급자는 개인정보 보호법 제17조의 ‘제3자’[(1)항과 아래 (2), (3)항에서는 이하 ‘제3자’라고 표현한다]에 해당한다고 해석할 여지가 있기는 하다.
(가) 그러나 만약 개인정보취급자를 ‘제3자’에 해당한다고 가정할 경우에는 아래와 같은 문제점이 있다.
① 개인정보 보호법 제17조 제1항 제1호에 의하면, 개인정보처리자는 정보주체의 동의를 받은 경우에 정보주체의 개인정보를 ‘제3자’에게 제공할 수 있는바, 원고는 구매자들이 이 사건 오픈마켓에 회원가입을 하거나 상품을 주문·결제할 경우 그 개인정보를 판매자에게 제공하는 것에 대한 명시적인 동의를 받고 있고, 위와 같은 동의에 근거하여 판매자에게 구매자의 개인정보를 제공하고 있다.
그런데 개인정보취급자가 ‘제3자’에 해당한다고 볼 경우에는, 개인정보처리자로서는 개인정보 보호법 제17조 제1항 제2호에 해당하지 않는 한 원칙적으로 정보주체의 동의를 받아야만 비로소 ‘제3자’인 개인정보취급자에게 정보주체의 개인정보를 제공할 수 있다고 해석할 수밖에 없다.
② 개인정보의 처리 중 하나인 ‘개인정보의 제공’이란 개인정보의 저장 매체나 개인정보가 담긴 출력물·책자 등을 물리적으로 이전하거나 네트워크를 통한 개인정보의 전송, 개인정보에 대한 ‘제3자’의 접근권한 부여, 개인정보처리자와 ‘제3자’의 개인정보 공유 등 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위를 말하는바(개인정보 보호법 제2조 제2호, 표준지침 제7조 제1항), 개인정보취급자가 ‘제3자’에 해당한다고 볼 경우에는, 개인정보처리자가 자신의 지휘·감독을 받는 ‘제3자’인 개인정보취급자에게 개인정보에 대한 접근권한 부여, 개인정보의 공동 이용 상태 초래 등도 모두 여기에 해당할 수 있으므로, 이러한 경우 개인정보처리자로서는 미리 정보주체로부터 동의를 받아야 한다.
③ 만약 개인정보처리자가 ‘제3자’인 개인정보취급자에게 개인정보를 제공함에 있어 정보주체로부터 동의를 받았다면, 개인정보처리자로서는 정보주체에게 개인정보를 제공받는 자인 개인정보취급자를 알려야 하고, 이와 같이 알리는 경우에는 그 성명과 연락처를 함께 알려야 한다(개인정보 보호법 제7조 제2항 제1호, 표준지침 제7조 제3항). 그런데 예를 들어 개인정보처리자가 각종 정보회사, 신용카드회사 등 다수의 개인정보를 처리하는 기업 등인 경우에는 그 지휘·감독을 받는 개인정보취급자가 상당히 많은 인원이 있을 여지가 있음에도, 개인정보취급자를 ‘제3자’로 볼 경우에는 단지 개인정보의 공동 이용 상태 초래 등을 하였다는 이유로 그들의 성명과 연락처를 모두 정보주체에게 알려야 한다고 볼 수밖에 없게 된다.
④ 더 큰 문제는 형사적인 처벌이나 과징금, 과태료 등에 있을 수 있다.
㉮ 개인정보 보호법 제71조 제1호에 의하면, 같은 법 제17조 제1항 제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 ‘제3자’에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자에 대하여 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처하도록 규정하고 있다.
‘개인정보취급자’를 ‘제3자’에 해당한다고 볼 경우에는 만약 개인정보처리자가 위 ①항에서 본 바와 같이 정보주체의 동의를 받아야 함에도 불구하고 이를 받지 않고 개인정보를 ‘제3자’인 ‘개인정보취급자’에게 제공하였다면, 개인정보처리자와 그 정보를 받은 ‘개인정보취급자’는 모두 위와 같은 형사처벌을 받을 가능성이 높을 수밖에 없게 된다.
㉯ 개인정보 보호법 제39조의15 제1항 제1호에 의하면, 피고는 원고와 같은 정보통신서비스 제공자 등에게 제17조 제1항 등을 위반하여 개인정보를 이용·제공한 경우에는 해당 정보통신서비스 제공자 등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.
‘개인정보취급자’를 ‘제3자’에 해당한다고 볼 경우에는 만약 개인정보처리자가 위 ①항에서 본 바와 같이 정보주체의 동의를 받아야 함에도 불구하고 이를 받지 않고 개인정보를 ‘제3자’인 ‘개인정보취급자’에게 제공하였다면, 개인정보처리자는 정보통신서비스 제공자 등으로서 위와 같은 과징금 부과를 받을 수 있다.
㉰ 개인정보 보호법 제75조 제2항 제1호에 의하면, 같은 법 제17조 제2항을 위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자에 대하여 3천만 원 이하의 과태료를 부과하도록 규정하고 있다.
‘개인정보취급자’를 ‘제3자’에 해당한다고 볼 경우에는 만약 개인정보처리자가 개인정보취급자에게 개인정보를 제공함에 있어 위 ②항에서 본 바와 같이 정보주체의 동의를 받았다고 하더라도, 그 개인정보취급자의 성명과 인적사항 등을 정보주체에게 알리지 않았다면(앞서 예를 든 다수의 개인정보를 처리하는 기업 등의 경우 상당히 많은 수의 개인정보취급자 중 1명이라도), 개인정보처리자로서는 위와 같은 과태료를 부과받을 수밖에 없게 된다.
(나) 따라서 표준지침 제7조 제2항의 문언에도 불구하고 개인정보 보호법령의 입법 취지와 목적, 앞서 본 바와 같은 개인정보 보호법 제2조 제2호, 제7조 제2항 제1호, 제17조 제1항 제1호, 제39조의15 제1항 제1호, 제71조 제1호, 제75조 제2항 제1호 및 표준지침 제7조 제1항, 제3항 등 다른 규정과의 관계 등을 함께 고려하여 볼 때, 표준지침 제7조 제2항에 규정한 ‘제3자’의 범위에 개인정보취급자는 포함되지 않는 것으로 해석함이 상당하다.
(2) ① 개인정보취급자는 개인정보처리자의 의사에 따라 개인정보 처리의 업무를 직접 수행하는 자에 불과하고, 대법원도 “개인정보 보호법 제17조에서 말하는 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우”라고 판시하였는바(대법원 2017. 4. 7. 선고 2016도13263 판결 참조), 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 개인정보취급자는 비록 개인정보처리자로부터 정보주체의 개인정보를 이전받았다고 하더라도, 이를 두고 위와 같은 ‘제3자 제공’에 해당한다고 볼 수는 없다고 할 것인 점, ② 개인정보 보호법은 제17조 제1항에서 개인정보처리자가 ‘제3자’에게 개인정보를 제공하는 경우 정보주체의 동의를 요구하고 있는 반면, 개인정보처리자의 지휘·감독을 받아 개인정보 처리 업무를 담당하는 개인정보취급자가 정보주체의 개인정보를 처리하는 경우에는 그것이 개인정보처리자의 당연한 업무범위 내라는 전제에서 별도의 동의를 요구하지 않고 있다고 해석함이 상당한 점 등을 고려하여 볼 때, ‘제3자’와 개인정보취급자는 서로 양립할 수 없는 별개의 지위라고 봄이 타당하고, 판매자가 원고 개인정보처리시스템에서 개인정보를 출력 내지 다운로드받기 직전의 아주 일시적인 순간이라고 하더라도 개인정보를 제공받은 ‘제3자’의 지위와 개인정보취급자의 지위를 동시에 가진다고 볼 수는 없다.
(3) 결국 판매자는 당초부터 원고로부터 개인정보를 제공받은 ‘제3자’였을 뿐이고(이로 인해 독자적인 개인정보처리자의 지위를 가짐은 별론으로 한다), 이와 동시에 원고의 개인정보취급자에 해당하지는 않는다고 봄이 타당하므로, 피고의 이 부분 주장은 받아들일 수 없다.
아) 만약 피고의 주장대로 판매자가 원고의 개인정보취급자에 해당한다고 본다면, 원고는 이 사건 규정들에 따라 수십만 명에 이르는 판매자들의 컴퓨터 등에 외부 인터넷망 차단 조치를 취하고, 판매자들의 컴퓨터와 휴대전화 등에 정보공유 등을 제한하는 일정한 조치를 취해야 한다는 결론이 되는데, 원고가 이 사건 약관에 따라 이 사건 오픈마켓에 가입한 회원에 불과한 판매자들에게 위와 같은 조치를 취하거나 이를 강제하는 것은 실현하기 어렵다고 보인다.
이 사건 규정들은 개인정보처리자의 개인정보취급자에 대한 안전조치 내용을 상당히 구체적으로 정하고 있는데 이는 개인정보취급자가 개인정보처리자의 의사에 따라 그 지휘·감독을 받으며 업무를 수행하는 자이기에 가능한 것이고, 원고가 전국에 산재해 있는 수십만 명의 판매자들에게 일일이 연락하여 판매자들을 교육시키거나, 판매자들이나 그들의 개인정보 처리 업무 담당자들의 컴퓨터 등을 물리적으로 직접 관리하는 것은 사실상 실현하기 어렵다고 보인다.
이러한 점에서도 개인정보취급자는 원고와 단순한 계약관계에 따라 개인정보를 제공받는 자가 아니라 원고와 종속적인 관계에서 그 지휘·감독 아래 원고의 의사에 따라 업무를 수행하는 자로 한정된다고 봄이 타당하다.
자) 피고는 ‘개인정보의 기술적·관리적 보호조치 기준 해설서’에 오픈마켓 판매자가 개인정보취급자에 해당한다고 기재(을 제1호증 중 제27쪽)되어 있는 것을 근거로 이 사건 처분이 적법하다는 주장도 하고 있으나, 위 해설서는 이 사건 고시에 대한 이해를 돕기 위하여 피고 스스로가 한국인터넷진흥원과 함께 발간한 해석을 담은 문서에 불과하므로, 위 해설서에 근거하여 개인정보 보호법령에서 규정하는 내용과 달리 ‘개인정보취급자’의 범위를 확장할 수는 없다.
차) (1) 나아가 개인정보 보호법은 대부분의 규정에서 개인정보의 수집, 이용, 처리 등에 관한 권리·의무의 주체로 개인정보처리자를 상정하고 있다. 그런데 판매자는 자신의 판매업무를 목적으로 개인정보를 처리하므로 개인정보파일을 운용할 경우 개인정보 보호법 제2조 제5호에서 정한 ‘개인정보처리자’에 해당할 수 있는바, 이러한 경우 판매자는 독자적으로 개인정보 보호법에 따른 개인정보 보호 의무를 부담하게 될 뿐만 아니라 벌칙 규정 등의 적용 대상이 되므로, 피고 등 관할관청은 이러한 판매자에 대한 직접 관리·감독 조치를 통해서도 구매자의 개인정보를 충분히 보호할 수 있다고 보인다.
특히, 판매자는 개인정보 보호법 시행령 제48조의2 제1항에 의하여 정보통신서비스 제공자 등에 해당하여 각호의 안전성 확보 조치를 취해야 하는 점은 앞서 본 바와 같고,같은 항 제5호에서는 ‘개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 하기 위한 백신소프트웨어 설치 및 주기적 갱신·점검 조치’를 규정하고 있고, 이 사건 고시 제4조 제5항에 ‘정보통신서비스 제공자 등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각호의 기능을 포함한 시스템을 설치·운영하여야 한다.’고 규정하면서, 제1호에 ‘개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한’, 제2호에 ‘개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지’를 열거하고 있다.
(2) 피고는 최근 해커들이 판매자의 정보를 해킹한 후 이를 이용하여 원고의 개인정보처리시스템에 불법으로 접속하여 개인정보를 유출한 사고가 발생하고 있음을 우려하여 이 사건 처분을 내린 것으로 보이는바, 정보통신서비스 제공자 등에 해당하는 판매자가 위 개인정보 보호법 시행령 제48조의2 제1항 제5호, 이 사건 고시 제4조 제5항에 따른 조치를 취함으로써 판매자 컴퓨터 등에 악성프로그램이 침투하여 판매자 정보를 유출 당하는 사태를 막을 수 있다면 이것만으로도 피고가 우려하는 사고를 충분히 예방할 수 있어 보인다.
이와 관련하여, 피고는 ‘개인정보의 기술적·관리적 보호조치 기준 해설서’에서 아래 ‘표’ 기재와 같은 내용으로 이 사건 고시 제4조 제5항을 설명하고 있는바(을 제1호증 중 제52~54쪽), 정보통신서비스 제공자 등에 해당하는 판매자도 특별한 사정이 없는 한 그와 같은 설명에 따른 조치를 취하여야 한다고 보인다(개인정보 보호법 제29조, 제39조의15 제1항 제5호, 제65조, 제73조 제1호, 제75조 제2항 제6호 및 을 제1호증 중 제6쪽 등 참조).
○ 정보통신서비스 제공자 등은 불법적인 접근 및 침해사고 방지를 위해 다음과 같은 시스템 등을 스스로의 환경을 고려하여 접근 제한 기능 및 유출 탐지 기능이 적합하게 수행되도록 설치·운영하여야 한다.참고☞ 불법적인 접근: 인가되지 않은 자(내·외부자 모두 포함)가 사용자계정 탈취, 자료유출 등의 목적으로 개인정보처리시스템, 개인정보취급자의 컴퓨터 등에 접근하는 것을 말한다.☞ 침해사고: 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태를 말한다.(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제2조 제1항 제7호) - 해당 시스템으로는 침입차단시스템, 침입탐지시스템, 침입방지시스템, 보안 운영체제(Secure OS), 웹방화벽, 로그분석시스템, ACL(Access Control List)을 적용한 네트워크 장비, 통합보안관제시스템 등을 활용할 수 있다. 다만 어느 경우라도 접근 제한 기능 및 유출 탐지 기능이 모두 충족되어야 한다. - SOHO 등 소기업은 인터넷데이터센터(IDC), 클라우드 서비스 등에서 제공하는 보안서비스(방화벽, 침입방지, 웹방화벽 등)를 활용하거나 공개용(무료) S/W를 사용하여 해당 기능을 구현한 시스템을 설치·운영할 수 있다. 다만 공개용(무료) S/W를 사용할 때에는 적절한 보안이 이루어지는지를 사전에 점검할 필요가 있다.○ 접근 제한 기능 및 유출 탐지 기능의 충족을 위해서는 단순히 시스템을 설치하는 것만으로는 부족하며, 신규 위협 대응 및 정책의 관리를 위하여 다음과 같은 방법 등을 활용하여 체계적으로 운영·관리하여야 한다. - 정책 설정 운영: 신규 위협 대응 등을 위하여 접근 제한 정책 및 유출 탐지 정책을 설정하고 지속적인 업데이트 적용 및 운영·관리 - 이상 행위 대응: 모니터링 등을 통해 인가받지 않은 접근을 제한하거나 인가자의 비정상적인 행동에 대응 - 로그 분석: 로그 등의 대조 또는 분석을 통하여 이상 행위를 탐지 또는 차단○ IP주소 등에는 IP주소, 포트 그 자체뿐만 아니라, 해당 IP주소의 행위(과도한 접속성공 및 실패, 부적절한 명령어 등 이상 행위 관련 패킷)를 포함한다.
(3) 이와 달리 원고의 개인정보처리시스템에 대하여 개인정보처리자로서 지는 안전성 확보조치 의무와 관련하여 판매자에 의해서는 그러한 확보조치가 어렵다는 이유만으로 이 사건 처분과 같이 판매자가 원고의 지휘·감독을 받는 개인정보취급자에 해당함을 전제로 하는 안전성 확보조치를 원고에게 강제한다면, 판매자와 이 사건 오픈마켓 이용계약을 체결한 당사자에 불과하여 판매자들을 구체적으로 통제할 만한 권한과 수단이 있다고 볼 수 없는 원고에게 수십만 명에 이르는 판매자에 대한 교육의무, 관리·감독 의무를 부담하게 하여 사실상 불가능하거나 과도한 의무를 요구하게 되고, 판매자가 구매자의 개인정보를 고의로 악용하여 구매자에게 손해를 가하였을 경우에도 원고가 법적 책임을 부담하게 될 여지가 있어 자기책임의 원칙에도 반한다고 보인다.
카) 판매자를 원고의 개인정보취급자로 보지 않는다고 하더라도, 원고는 여전히 개인정보 보호법 제29조, 같은 법 시행령 제48조의2 제1항 제2 내지 5호, 이 사건 고시 제4조 제5항 등에 따라 스마트스토어 시스템에 저장되어 있는 구매자의 개인정보에 대한 불법접근 차단, 접속기록의 위조·변조 방지, 개인정보의 안전한 저장·전송을 위한 각종 조치(판매자를 개인정보취급자로 볼 경우에만 필요한 조치들 제외) 등을 취해야 할 의무를 부담하므로, 판매자를 반드시 원고의 개인정보취급자로 보아야 할 만한 정책적 필요도 크지 않다.
3. 결론
그렇다면 원고의 청구는 이유 있어 이를 인용하여야 한다. 이와 결론을 같이하는 제1심판결은 정당하므로 피고의 항소는 이유 없어 이를 기각하기로 하여, 주문과 같이 판결한다.
[별 지 1] 시정명령: 생략
[별 지 2] 관계 법령: 생략
판사 조진구(재판장) 신용호 정총령
