시정명령등처분취소청구의소

 ⁠[서울고등법원 2022. 11. 18. 선고 2021누73975 판결]

【전문】

【원고, 피항소인】

주식회사 위메프 ⁠(소송대리인 변호사 이언석 외 2인)

【피고, 항소인】

개인정보보호위원회 ⁠(소송대리인 법무법인 민후 담당 변호사 김경환 외 1인)

【제1심판결】

서울행정법원 2021. 11. 12. 선고 2020구합59628 판결

【변론종결】

2022. 9. 30.

【주 문】

 
1.  피고의 항소를 기각한다.
 
2.  항소비용은 피고가 부담한다.

【청구취지 및 항소취지】

1. 청구취지
피고가 2019. 12. 27. 원고에 대하여 한 ⁠[별지] 처분 내역 기재 각 시정명령 및 과징금 납부명령을 모두 취소한다.
2. 항소취지
제1심 판결 중 피고 패소 부분을 취소하고, 그 취소 부분에 해당하는 원고의 청구를 기각한다.

【이 유】

1. 이 법원의 심판범위
제1심 법원은 원고의 이 사건 청구 중 각 시정명령 부분을 기각하고, ⁠[별지] 처분 내역 중 과징금 부과처분 부분을 취소하였다. 이에 대하여 피고만이 패소 부분에 불복하여 항소하고 원고는 항소하지 않았으므로, 이 법원의 심판범위는 ⁠[별지] 처분 내역 중 과징금 부과처분 부분에 한정된다.
2. 제1심 판결의 인용
이 법원이 이 사건에 관하여 적을 이유는, 당사자 쌍방이 이 법원에서 추가하거나 강조한 주장에 관하여 아래 제3항과 같은 판단을 추가하는 외에는 제1심 판결의 이유 기재(다만 이 법원의 심판범위에서 제외된 ⁠‘이 사건 각 시정명령’과 관련된 부분 및 ⁠“3. 결론” 부분은 제외한다)와 같으므로 행정소송법 제8조 제2항, 민사소송법 제420조 본문에 따라 이를 그대로 인용한다(피고의 그 밖의 항소이유는 제1심에서의 주장과 크게 다르지 않고, 제1심 법원에 제출된 증거들에다가 이 법원에서 추가로 제출된 증거들을 종합하여 다시 살펴보더라도 제1심의 사실인정과 판단은 정당하다고 판단된다).
3. 추가 판단
가. 원고의 주장과 이에 대한 판단
1) 원고의 주장
아래와 같은 이유로, 이 사건 과징금 처분은 법률의 위임이 없거나 위임 범위를 벗어난 구 정보통신망법 시행령 제69조의2 제1항 및 구 과징금 부과기준 제4조 제1항에 근거한 것으로 위법하다.
가) 이 사건 과징금 처분의 근거규정인 구 정보통신망법 제64조의3 제1항은 과징금 부과사유가 있는 경우 해당 정보통신서비스 제공자 등에게 ⁠‘위반행위와 관련한 매출액’의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다고 정하고, 같은 조 제4항은 제3항 각 호의 사항(위반행위의 내용 및 정도, 위반행위의 기간 및 횟수, 위반행위로 인하여 취득한 이익의 규모)을 고려한 ⁠‘과징금’의 구체적인 산정기준과 산정절차에 대하여 대통령령에서 정하도록 위임하고 있을 뿐, ⁠‘위반행위와 관련한 매출액’의 개념 또는 범위에 대하여는 하위 법령을 통하여 구체화하도록 위임한 바 없다.
나) 그런데도 구 정보통신망법 시행령 제69조의2 제1항은 상위 법령에서 위임받지 않은 사항인 ⁠‘위반행위와 관련한 매출액’의 범위를 ⁠“위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연평균 매출액”이라고 일의적으로 정하고 있다. 설령 상위 법령에 위임의 근거 규정 자체는 있다고 보더라도, 구 정보통신망법 시행령 제69조의2 제1항은 위반기간의 장단을 전혀 고려하지 않고 무조건 ⁠‘직전 3개 사업연도의 연평균 매출액’을 기초로 과징금을 부과하도록 정함으로써 ⁠‘위반행위와 전혀 관련 없는 매출액’에 대해서까지도 제재적 의미의 과징금을 부과할 수 있도록 하고 있으므로, 이는 상위 법령의 위임의 한계를 일탈하여 위법하다고 보아야 한다.
다) 구 과징금 부과기준 제4조 제1항은 ⁠‘관련 매출액’을 ⁠“위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업년도의 연평균 매출액”으로 정하고 있는데, 이 또한 구 정보통신망법 시행령 제69조의2 제1항과 마찬가지로 법령에 위임의 근거 규정을 찾을 수 없고, 설령 법령에 위임의 근거 규정 자체는 있다 하더라도 그 위임의 범위를 벗어난 것으로 위법하다.
2) 판단
구 정보통신망법 시행령 제69조의2 제1항 및 구 과징금 부과기준 제4조 제1항은 모두 상위 법령에 위임의 근거 규정이 있고, 그 위임의 범위를 벗어나지 않았다고 봄이 타당하므로, 이와 다른 전제에 선 원고의 이 부분 주장은 받아들일 수 없다. 그 구체적인 이유는 다음과 같다.
가) 구 정보통신망법 제64조의3 제1항은 과징금 부과사유가 있는 경우 해당 정보통신서비스 제공자 등에게 ⁠“위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액”을 과징금으로 부과할 수 있다고 규정하고, 같은 조 제4항은 ⁠“제1항에 따른 과징금은 제3항을 고려하여 산정하되, 구체적인 산정기준과 산정절차는 대통령령으로 정한다”고 규정하고 있다. 구 정보통신망법 제64조의3 제4항의 문언에 비추어 ⁠“제1항에 따른 과징금”의 구체적인 산정기준을 대통령령으로 정하도록 위임하고 있음이 분명한데, ⁠“제1항에 따른 과징금”이란 ⁠“위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액”이므로, 결국 위 제4항은 ⁠“위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액”의 구체적인 산정기준을 대통령령으로 정하도록 위임하는 근거규정이 된다. 그중에서도 ⁠“100분의 3”이라는 부분은 계산상 명백한 부분이고, ⁠“위반행위와 관련한 매출액”에서의 ⁠‘관련성’ 부분은 불확정개념으로서 위와 같이 하위 규범에서 이를 구체화할 수 있도록 위임하는 것은 자연스러우므로, 시행령 조항이 ⁠‘관련성’이라는 개념의 한계를 벗어났음이 명백하지 않은 이상 그러한 시행령 조항이 무효라고 보기 어렵다.
나) ⁠“위반행위와 관련한 매출액”은 ⁠‘위반행위로 인하여 취득한 이익’만을 의미하는 것이 아니라 ⁠‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 매출액’을 의미하고, 이는 ⁠‘위반행위로 인하여 취득한 이익’ 및 ⁠‘위반행위와 관련한 분야의 일반적인 경제적 능력’을 동시에 반영한다(헌법재판소 2022. 5. 26. 선고 2020헌바259 결정). ⁠‘위반행위와 관련한 서비스 분야의 일반적인 경제적 능력’을 수치화한 지표라고 볼 수 있는 ⁠‘해당 서비스의 연매출’을 ⁠‘위반행위와 관련한 매출액’으로 정하는 것은 구 정보통신망법이 2008. 6. 18. 개정 당시 제64조의3을 신설한 목적, 즉 ⁠‘기업 간 고객유치의 경쟁으로 개인정보의 수요가 급증하면서 개인정보 대량 유출 사례가 자주 발생하고 있으나, 과태료나 벌칙 중심의 제재수단으로는 그 제재 및 예방 효과가 불충분한 문제가 있는바, 개인정보의 무단 수집·이용·유출, 보호조치 미이행 등 개인정보 보호의무 위반 행위자에게 과징금을 부과하여 그 위법행위로 인한 사업수익의 일부를 환수하도록 함으로써 대량의 개인정보 침해 및 유출사고가 감소되고, 정보주체의 권익이 향상될 것으로 기대한다’(2008. 6. 13. 정보통신망법 개정이유)는 것에 부합한다.
다) ⁠‘위반행위의 기간’은 과징금을 부과할 때 고려하여야 할 여러 사항 중 하나에 불과하고(구 정보통신망법 제64조의3 제3항 제2호, 위 헌법재판소 2020헌바259 결정 참조), 위반행위의 기간의 장단만으로 ⁠‘위반행위와 매출액의 관련성’ 유무가 곧바로 결정된다고 볼 수는 없다. 특히 개인정보 유출은 장기간에 걸쳐 진행되는 경우도 있지만 단기간에 완료되어 버리기도 하고, 보호조치를 제대로 하지 않은 단기간의 위반행위만으로도 얼마든지 대규모의 유출로 이어질 수 있다. 그렇다면 구 정보통신망법 시행령 제69조의2 제1항이 위반행위의 기간이 짧은 경우까지도 ⁠‘직전 3개 사업연도’의 연평균 매출액을 기초로 과징금을 부과할 수 있도록 정하고 있다 하더라도, 위임의 범위를 벗어났다고 단정하기는 어렵다.
라) 과징금 부과조항에 의한 과징금은 부당이득의 환수뿐만 아니라 제재를 통하여 위반행위를 억지하는 데에도 목적이 있다(위 헌법재판소 2020헌바259 결정). 구 정보통신망법 시행령 제69조의2 제1항 본문이 ⁠‘직전 3개 사업연도의 연평균 매출액’이라고 정함으로써 경우에 따라 과징금의 상한이 매우 높아질 수도 있으나, 매출액이 큰 정보통신서비스 제공자는 다량의 개인정보를 수집·보관하고 있을 가능성이 높으므로 개인정보 유출에 따른 피해가 광범위하여 제재의 필요성이 더 크다. 또한, 개인정보 보호를 위한 기술적·관리적 조치를 위해서는 상당한 비용이 소요될 수 있으므로, 과징금 제재로 인하여 부담하게 될 경제적 손실이 개인정보 보호조치를 위하여 추가로 지출하여야 할 비용에 비하여 미미하거나 매출액 규모에 비하여 무시할 만한 수준이라면 위반행위 억지의 효과를 충분히 확보할 수 없다(위 헌법재판소 2020헌바259 결정 참조). 구 정보통신망법 시행령 제69조의2 제1항의 ⁠‘직전 3개 사업연도의 연평균 매출액’ 부분은 과징금 부과조항의 위와 같은 목적에 부합하는 것으로 판단되는바, 이러한 점에서 보더라도 위 시행령 조항이 위임의 범위를 일탈하였다고 보기 어렵다.
마) 한편, 구 정보통신망법 시행령 제69조의2 제4항은 ⁠‘구 정보통신망법 제64조의3 제4항에 따른 과징금의 산정기준과 산정절차는 ⁠[별표 8]과 같다’고 정하고 있고, 구 정보통신망법 시행령 ⁠[별표 8]은 ⁠‘3. 세부 기준’ 부분에서 ⁠‘위반행위와 관련한 매출액의 산정에 관한 세부 기준 그 밖에 과징금의 부과에 필요한 사항은 방송통신위원회가 정하여 고시한다’고 정하고 있다. 이러한 위임에 따라 방송통신위원회 고시 제2015-30호인 구 과징금 부과기준이 제4조 제1항에서 ⁠‘관련 매출액’을 ⁠“위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업년도의 연평균 매출액”으로 정하고 있는 것이다. 따라서 구 정보통신망법 제64조의3 제4항, 구 정보통신망법 시행령 제69조의2 제4항 및 ⁠[별표 8]이 구 과징금 부과기준 제4조 제1항에 대한 위임의 근거 규정이 되고, 앞에서 구 정보통신망법 시행령 제69조의2 제1항이 위임의 범위를 일탈하지 않았다고 판단한 것과 같은 이유로, 구 과징금 부과기준 제4조 제1항 역시 상위 법령의 위임의 범위를 벗어나지 않았다고 봄이 타당하다.
나. 피고의 주장과 이에 대한 판단
1) 과징금의 산정에 있어 ⁠‘이 사건 이벤트(‘블랙프라이스데이’ 이벤트)로 인한 매출액‘이 아닌 ⁠‘이 사건 쇼핑몰 전체의 연매출액’을 기준으로 한 것에 대하여
가) 피고의 주장
 ⁠(1) 정보주체인 이용자의 관점에서 보았을 때 이 사건 이벤트는 전혀 다른 성격의 서비스가 아니라 기존과 동일한 쇼핑 서비스가 제공된 것이고(동일한 서비스 제공 방식), 별도의 회원가입 없이 기존에 가입한 회원 전부에게 이벤트가 제공되었으며(동일한 서비스 가입단위), 그에 따라 당연히 동일한 약관이 적용되었고, 이용약관에서도 이벤트를 별도의 서비스로 규정하지 않았으며(이용약관에서 규정한 서비스 범위), 개인정보 데이터베이스 관리 조직·인력 및 시스템 운영 방식도 전혀 구별하지 않았는바, 이 사건 이벤트와 원고의 기존의 쇼핑 서비스를 분리하여 판단하여서는 안 된다. ⁠‘이벤트’라는 것은 ⁠‘서비스’의 한 부수적인 마케팅 방식일 뿐으로, 이는 서비스의 한 내용인 것이지, 이러한 이벤트를 독립된 별도의 서비스로 평가하여서는 안 된다.
 ⁠(2) 구 과징금 부과기준 제4조 제2항은 매출액 산정 시 서비스의 범위는 전기통신사업법 제5조를 기준으로 판단하도록 정하고 있는데, 하나의 서비스 내에서 그 서비스의 홍보 내지 판매 권유 행위로서 이루어진 이벤트 행위를 독립된 서비스 단위로 파악하여 ⁠‘상시적인 일반 판매’와 ⁠‘일시적인 이벤트 판매’를 서로 다른 ⁠‘서비스’라고 보게 되면, ⁠‘서비스’를 ⁠‘사업’ 단위로 나누도록 한 구 과징금 부과기준 제4조 제2항에 정면으로 위배된다. 따라서 이 사건 이벤트를 하나의 서비스 단위로 보아 ⁠‘이 사건 이벤트로 인한 매출액’에 한정하여 관련 매출액을 파악하여서는 안 된다.
 ⁠(3) 따라서 이 사건 과징금 처분의 과징금 산정에 있어 이 사건 쇼핑몰 전체의 연매출액을 기준으로 하여 산정한 것이 과도하다고 볼 수 없다.
나) 판단
 ⁠(1) 구 과징금 부과기준 제4조 제2항은 ⁠‘제1항에 따른 매출액 산정 시 서비스의 범위는 전기통신사업법 제5조를 기준으로 판단하되, 구체적인 판단에 있어서는 서비스 제공방식(제1호), 서비스 가입 방법(제2호), 이용약관에서 규정한 서비스 범위(제3호), 개인정보 데이터베이스 관리 조직·인력 및 시스템 운영 방식(제4호)을 고려하여야 한다’고 정하고 있다. 이러한 규정은, 위 각 호의 고려요소 하나하나에 대하여 각각 별도의 서비스로 볼 수 있는 정도가 되어야만 별도의 서비스로 판단할 수 있다는 취지가 아니라, 위 각 호의 요소들을 종합적으로 고려하여 별도의 서비스에 해당하는지를 판단하여야 한다는 취지로 봄이 타당하다.
 ⁠(2) 앞서 보았듯이, 이 사건 이벤트는 일반 할인 구매건과는 달리 선착순으로 신청한 이용자에 한하여 참가할 수 있는 이벤트였고, 2018. 11. 1. 단 하루만 별도의 페이지를 통하여 결제 금액의 50%를 페이백하는 방식으로 진행되었으며, 일반 위메프 페이지 웹서버와 이 사건 이벤트 페이지 웹서버가 서로 분리 운영되었고, 개인정보가 보관된 DB에 대한 접근경로에도 차이가 있었다. 따라서 구 과징금 부과기준 제4조 제2항 각 호의 요소들을 종합적으로 고려하였을 때 이 사건 이벤트는 원고의 기존 상품 판매 내지 쇼핑 서비스와는 서로 다른 별개의 서비스였던 것으로 봄이 타당하다.
 ⁠(3) 또한, 이 사건 사고의 원인인 캐시 설정의 오류는 이 사건 이벤트 페이지에만 적용되었고, 그 외에 위메프 웹, 모바일 웹과 앱 어느 판매 페이지에도 동일하게 적용되지 않았으며, 이벤트 페이지에서만 유출사고가 발생하였음은 앞서 본 바와 같다.
 ⁠(4) 이러한 점들에다가, 앞서 보았듯이 구 정보통신망법 제64조의3 제1항의 ⁠“위반행위와 관련한 매출액”은 ⁠‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 매출액’을 의미한다는 점(위 헌법재판소 2020헌바259 결정)을 종합하여 보면, 이 사건 과징금 처분이 ⁠‘이 사건 이벤트로 인한 매출액’이 아닌 ⁠‘이 사건 쇼핑몰 전체의 연매출액’을 기준으로 하여 과징금을 산정한 것은 과도하다고 판단된다.
2) 원고 이외의 다른 정보통신서비스 제공자의 위반행위에 대하여 부과된 과징금 액수와의 형평성 판단에 있어 ⁠‘개인정보의 유출 규모’를 고려하는 것에 관하여
가) 피고의 주장
 ⁠‘개인정보의 유출 규모’는 ⁠‘위반행위’가 아니라 ⁠‘위반결과’에 대한 것으로, 과징금 결정의 기준 또는 고려요소로 규정되어 있지 않음에도 이를 과징금 결정의 기준 또는 주요 고려요소로 삼게 되면 행위책임이 아닌 결과책임을 묻는 것이 되어, 행위책임을 묻는 구 정보통신망법 제64조의3 제1항의 취지에 어긋난다. 따라서 수많은 부수적 고려사항 중 하나에 불과한 ⁠‘개인정보의 유출 규모’만을 기준으로 하거나 ⁠‘개인정보의 유출 규모’에 특별히 큰 비중을 두어 다른 사건들과 이 사건을 비교하여서는 안 된다.
나) 판단
원고 이외의 다른 정보통신서비스 제공자의 위반행위에 대하여 부과된 과징금 액수와의 형평성 판단에 있어 개인정보의 유출 규모뿐만 아니라 사고 발생의 경위, 사고의 원인이 될 수 있는 정책(이 사건의 경우 캐시 정책)이 적용된 기간 등을 종합적으로 고려하여 보더라도, 원고에게 부과된 이 사건 과징금의 액수는 원고 이외의 다른 정보통신서비스 제공자의 위반행위에 대하여 부과된 과징금 액수와 비교하여 균형을 잃은 것으로 보인다. 이와 다른 전제에 선 피고의 이 부분 주장은 받아들일 수 없다.
4. 결론
그렇다면 원고의 이 사건 청구 중 과징금 부과처분 부분은 이유 있어 이를 인용할 것인데, 제1심 판결 중 과징금 부과처분 부분은 이와 결론이 같아 정당하므로, 피고의 항소는 이유 없어 이를 기각하기로 하여 주문과 같이 판결한다.
[별지 생략]

판사 성수제(재판장) 양진수 하태한

출처 : 서울고등법원 2022. 11. 18. 선고 2021누73975 판결 | 사법정보공개포털 판례