대법원 2023. 10. 12. 선고 2022두68923 시정명령 등 처분 취소청구의 소
1. 판결의 요지
원고는 쇼핑몰을 운영하는 회사로, 이벤트를 진행하면서 모바일용 이벤트 페이지에 캐시 정책을 잘못 설정하여 쇼핑몰 이용자 20명의 개인정보가 다른 이용자 29명에게 노출되는 사고가 발생하였습니다. 피고 개인정보보호위원회(2020.
8. 5. 「개인정보 보호법」 개정에 따라 방송통신위원회 소관사무 중 개인정보보호 해당 사항에 관한 행정처분은 피고의 행위로 봄)는 원고가 구 정보통신망법 제28조 제1항 제2호 등을 위반하여 쇼핑몰 이용자들의 개인정보를 유출했다는 이유로 원고가 운영하는 쇼핑몰의 전체 매출액을 구 과징금 부과기준 제4조 제1항에서 정한 ‘관련 매출액’으로 보아, 이를 기준으로 원고에 대하여 시정명령, 과태료 및 과징금 18억 5,200만 원 부과처분 등을 하였습니다.
원심은, ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 매출액은 ‘쇼핑몰 전체의 연매출액’이 아닌 ‘이벤트로 인한 매출액’으로 한정되어야 하고, 이 사건 과징금의 액수는 다른 정보통신서비스 제공자의 위반행위에 대해 부과된 과징금 액수와 비교하여 균형을 잃은 것으로 보인다고 판단하여 과징금 부과처분을 취소하였습니다. 이에 대법원은, 아래 법리에 따라 원고가 운영하는 쇼핑몰 전체 매출액이 ‘관련 매출액’에 해당한다고 보아야 하나, 이 사건 과징금액은 제재적 성격이 지나치게 강조되어 위반행위의 위법성의 정도에 비해 과중하게 산정되었다고 볼 수 있다고 판단하여, 원심의 결론을 수긍하면서 상고를 기각하였습니다.
2. 적용법리
가. 개인정보 유출 관련 과징금 산정의 기초가 되는 매출액 산정 시 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 범위
(1)
과징금 산정의 기초가 되는 매출액에 관한 규정의 내용
구 정보통신망법 제64조의3 제1항 제6호는 이용자의 개인정보를 유출한 경우로서 개인정보의 보호조치를 하지 아니한 경우 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 규정하면서, 제4항에서 과징금의 구체적 산정기준과 산정절차는 대통령령으로 정하도록 하고 있다.
그 위임에 따른 구 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」(2020.
8. 4. 대통령령 제30894호로 개정되기 전의 것, 이하 ‘구 정보통신망법 시행령’이라고 한다) 제69조의2 제1항 본문은 ‘위반행위와 관련한 매출액’을 “해당 정보통신서비스 제공자 등의 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연평균 매출액”이라고 정의하면서, 같은 조 제4항 [별표 8]의 “3. 세부기준”에서 방송통신위원회로 하여금 위반행위와 관련한 매출액의 산정에 관한 세부 기준을 정하여 고시하도록 하였다.
구 과징금 부과기준 제4조 제1항은 관련 매출액을 “위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업연도의 연평균 매출액”으로 정하였고, 같은 조 제2항은 관련 매출액 산정 시 서비스의 범위는 서비스 제공방식, 서비스 가입방법, 이용약관에서 규정한 서비스 범위, 개인정보 데이터베이스 관리 조직․인력 및 시스템 운영 방식 등을 고려하여 판단한다고 정하고 있다.
(2)
과징금은 위반행위에 대한 제재의 성격과 함께 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수로서의 성격도 가지고, 이는 구 정보통신망법 제64조의3 제1항 각 호에서 정한 행위에 대하여 부과하는 과징금의 경우도 마찬가지이다(헌법재판소 2022. 5. 26. 선고 2020헌바259 결정 참조).
그런데 이 사건과 같이 이용자의 개인정보가 유출된 경우 정보통신서비스 제공자가 개인정보 보호조치를 취하지 않음으로 인해 매출액이 증대되는 경우를 상정하기 어렵다. 구 과징금 부과기준 제4조 제2항 또한 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 범위를 판단할 때 서비스 가입방법, 개인정보 데이터베이스 관리 조직․인력 및 시스템 운영 방식 등을 고려하도록 하고 있는바, 위 요소들은 위반행위로 인하여 취득한 이익의 규모와 직접적인 관련이 없다.
구 정보통신망법 제64조의3 제1항 제6호에서 정한 자에 대하여 과징금을 부과함으로써 박탈하고자 하는 이득은, 문제된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히려 정보통신서비스 제공자가 적절한 보호조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유함으로써 얻은 이득이라 보아야 한다. 이에 따라 위 과징금 부과를 위한 관련 매출액을 산정함에 있어 “위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스”의 범위는, 유출사고가 발생한 개인정보를 보유․관리하고 있는 서비스의 범위를 기준으로 판단하여야 한다.
나. 개인정보 보호조치 의무 위반에 대한 과징금 부과처분의 재량권 일탈·남용 여부 판단 기준
구 정보통신망법 제64조의3 제1항에 따른 과징금은 법 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수의 성격과 함께 위법행위에 대한 제재로서의 성격을 가지고, 같은 조 제3항은 과징금을 부과할 때 위반행위의 내용과 정도, 기간과 횟수 외에 위반행위로 인하여 취득한 이익의 규모 등도 고려하도록 규정하고 있다.
개인정보 보호조치 의무 위반에 대해 부과되는 과징금의 액수는 보호조치 위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려하여 정하여야 한다. 그리고 과징금의 액수가 위반행위의 내용에 비해 과중하여 사회통념상 현저하게 타당성을 잃은 경우라면 그러한 과징금 처분은 재량권을 일탈․남용하여 위법하다고 보아야 한다.
정회목 변호사
댓글 없음:
댓글 쓰기