시정명령등처분취소청구의소[개인정보 유출로 인한 과징금 부과처분의 취소를 구한 사건]

【판시사항】

[1] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제64조의3 제1항 각호에서 정한 행위에 대하여 부과하는 과징금의 성격 / 위 조항 제6호에서 정한 자에 대하여 과징금을 부과함으로써 박탈하고자 하는 이득 / 위 과징금 부과를 위한 관련 매출액을 산정할 때 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 범위를 판단하는 기준
[2] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제64조의3 제1항에 따라 개인정보 보호조치 의무 위반에 대해 부과되는 과징금의 액수를 정할 때 고려할 사항 및 과징금의 액수가 위반행위의 내용에 비해 과중하여 사회통념상 현저하게 타당성을 잃은 경우, 과징금 부과처분이 위법한지 여부(적극)

【판결요지】

[1] 과징금은 위반행위에 대한 제재의 성격과 함께 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수로서의 성격도 가지고, 이는 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2020. 2. 4. 법률 제16955호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제64조의3 제1항 각호에서 정한 행위에 대하여 부과하는 과징금의 경우도 마찬가지이다.
그런데 이용자의 개인정보가 유출된 경우 정보통신서비스 제공자가 개인정보 보호조치를 취하지 않음으로 인해 매출액이 증대되는 경우를 상정하기 어렵다. 구 개인정보보호 법규 위반에 대한 과징금 부과기준(2020. 12. 10. 방송통신위원회고시 제2020-9호로 폐지) 제4조 제2항 또한 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 범위를 판단할 때 서비스 가입방법, 개인정보 데이터베이스 관리 조직·인력 및 시스템 운영 방식 등을 고려하도록 하고 있는바, 위 요소들은 위반행위로 인하여 취득한 이익의 규모와 직접적인 관련이 없다.
구 정보통신망법 제64조의3 제1항 제6호에서 정한 자에 대하여 과징금을 부과함으로써 박탈하고자 하는 이득은, 문제 된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히려 정보통신서비스 제공자가 적절한 보호조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유함으로써 얻은 이득이라 보아야 한다. 이에 따라 위 과징금 부과를 위한 관련 매출액을 산정할 때 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 범위는, 유출사고가 발생한 개인정보를 보유·관리하고 있는 서비스의 범위를 기준으로 판단해야 한다.
[2] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2020. 2. 4. 법률 제16955호로 개정되기 전의 것) 제64조의3 제1항에 따른 과징금은 법 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수의 성격과 함께 위법행위에 대한 제재로서의 성격을 가지고, 같은 조 제3항은 과징금을 부과할 때 위반행위의 내용과 정도, 기간과 횟수 외에 위반행위로 인하여 취득한 이익의 규모 등도 고려하도록 규정하고 있다.
개인정보 보호조치 의무 위반에 대해 부과되는 과징금의 액수는 보호조치 위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려하여 정해야 한다. 그리고 과징금의 액수가 위반행위의 내용에 비해 과중하여 사회통념상 현저하게 타당성을 잃은 경우라면 그러한 과징금 부과처분은 재량권을 일탈·남용하여 위법하다고 보아야 한다.

【참조조문】

[1] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2020. 2. 4. 법률 제16955호로 개정되기 전의 것) 제2조 제1항 제2호, 제64조의3 제1항 제6호(현행 개인정보 보호법 제64조의2 제1항 제9호 참조), 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것) 제69조의2 제1항(현행 개인정보 보호법 시행령 제60조의2 제1항 참조), 제4항 [별표 8](현행 개인정보 보호법 시행령 제60조의2 제6항 [별표 1의5] 참조)
[2] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2020. 2. 4. 법률 제16955호로 개정되기 전의 것) 제28조 제1항, 제64조의3 제1항 제6호(현행 개인정보 보호법 제64조의2 제1항 제9호 참조), 제3항(현행 개인정보 보호법 제64조의2 제4항 참조), 행정소송법 제27조

【참조판례】

[1] 헌법재판소 2022. 5. 26. 선고 2020헌바259 전원재판부 결정(헌공308, 733)

【전문】

【원고, 피상고인】

주식회사 위메프 (소송대리인 변호사 유해용 외 5인)

【피고, 상고인】

개인정보보호위원회 (소송대리인 법무법인 민후 담당변호사 김경환 외 4인)

【원심판결】

서울고법 2022. 11. 18. 선고 2021누73975 판결

【주 문】

상고를 기각한다. 상고비용은 피고가 부담한다.

【이 유】

상고이유(상고이유서 제출기간이 지난 다음 제출된 상고이유보충서의 기재는 상고이유를 보충하는 범위에서)를 판단한다. 
1.  사안의 개요
원심판결 이유와 기록에 의하면 다음과 같은 사정을 알 수 있다.
 
가.  원고는 구 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(2020. 2. 4. 법률 제16955호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라고 한다) 제2조 제1항 제2호에 따른 정보통신서비스 제공자로, 웹과 모바일 애플리케이션을 통해 제공되는 온라인 쇼핑몰인 ‘위메프’(이하 ‘이 사건 쇼핑몰’이라고 한다)를 운영하는 회사이다.
 
나.  원고는 2018. 11. 1. 이벤트 대상 상품을 10만 원 이상 구매하는 경우 사용할 수 있는 50% 포인트 적립권을 선착순으로 배포하는 ‘블랙프라이스데이’ 이벤트(이하 ‘이 사건 이벤트’라고 한다)를 진행하였다. 위 이벤트를 준비하면서 원고는 이 사건 쇼핑몰의 PC용 웹사이트와 모바일용 웹사이트에 각각 이벤트 페이지를 만들고, 다수의 이용자가 동시에 접속하여 연결이 지연되는 문제가 발생하지 않도록 하기 위하여 이벤트 페이지를 통해 접속하는 경우 사용하는 웹서버를 별도로 분리하였다.
 
다.  원고는 일반 웹페이지를 통해 접속할 수 있는 이 사건 쇼핑몰 홈페이지에 적용되는 캐시 정책과 별도로 모바일 웹을 통해 접속 가능한 위 이벤트 페이지에만 적용되는 캐시 정책을 새로이 배포하였다. 그런데 원고는 모바일 웹을 통해 접속 가능한 이벤트 페이지(이하 ‘이 사건 이벤트 페이지’라고 한다)에 한하여 적용되는 캐시 정책을 잘못 설정하여 이 사건 이벤트 페이지를 통해 접속한 쇼핑몰 이용자 20명의 개인정보가 다른 이용자 29명에게 노출되는 사고(이하 ‘이 사건 사고’라고 한다)가 발생하였다.
 
라.  원고는 2018. 11. 2. 방송통신위원회(2020. 2. 4. 법률 제16930호로 개정되어 2020. 8. 5. 시행된 「개인정보 보호법」 부칙 제3조 제1항에 따라 방송통신위원회의 소관사무 중 개인정보보호에 해당하는 사무가 피고에게 승계되었고, 위 부칙 제3조 제4항에 따라 방송통신위원회가 개인정보보호에 해당하는 사항에 관하여 행한 행정처분은 피고의 행위로 보게 되었다. 이하 ‘피고’라고 한다)에 이 사건 사고를 신고하였다.
 
마.  피고는 원고가 구 정보통신망법 제28조 제1항 제2호 등을 위반하여 이 사건 쇼핑몰 이용자의 개인정보를 유출했다는 이유로 2019. 12. 27. 원고에 대하여 각 시정명령, 과태료 및 과징금 18억 5,200만 원 등을 부과하였다(이하 위 각 처분 중 과징금에 관한 부분을 ‘이 사건 과징금 처분’이라고 한다).
 
바.  피고는 이 사건 쇼핑몰의 전체 매출액을 구 「개인정보보호 법규 위반에 대한 과징금 부과기준」(2020. 12. 10. 방송통신위원회고시 제2020-9호로 폐지되기 전의 것, 이하 ‘구 과징금 부과기준’이라고 한다) 제4조 제1항에서 정한 관련 매출액으로 보아 이를 기준으로 과징금을 산정하였다.
 
2.  제1 상고이유에 관한 판단 
가.  과징금 산정의 기초가 되는 매출액에 관한 규정의 내용
1) 구 정보통신망법 제64조의3 제1항 제6호는 이용자의 개인정보를 유출한 경우로서 개인정보의 보호조치를 하지 아니한 경우 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 규정하면서, 제4항에서 과징금의 구체적 산정기준과 산정절차는 대통령령으로 정하도록 하고 있다.
2) 그 위임에 따른 구 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것, 이하 ‘구 정보통신망법 시행령’이라고 한다) 제69조의2 제1항 본문은 ‘위반행위와 관련한 매출액’을 "해당 정보통신서비스 제공자 등의 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연평균 매출액"이라고 정의하면서, 같은 조 제4항 [별표 8]의 "3. 세부기준"에서 방송통신위원회로 하여금 위반행위와 관련한 매출액의 산정에 관한 세부기준을 정하여 고시하도록 하였다.
3) 구 과징금 부과기준 제4조 제1항은 관련 매출액을 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업연도의 연평균 매출액’으로 정하였고, 같은 조 제2항은 관련 매출액 산정 시 서비스의 범위는 서비스 제공방식, 서비스 가입방법, 이용약관에서 규정한 서비스 범위, 개인정보 데이터베이스 관리 조직·인력 및 시스템 운영 방식 등을 고려하여 판단한다고 정하고 있다.
 
나.  원심의 판단
원심은, 이 사건 쇼핑몰 홈페이지의 웹서버와 이 사건 이벤트 페이지의 웹서버가 서로 분리 운영되었고, 이에 따라 개인정보가 보관된 데이터베이스에 대한 접근경로에도 차이가 있었는데, 이 사건 사고의 원인인 캐시 설정의 오류는 이 사건 이벤트 페이지에서만 발생하였다는 이유로, 원고의 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 매출액은 ‘이 사건 쇼핑몰 전체의 연매출액’이 아닌 ‘이 사건 이벤트로 인한 매출액’으로 한정되어야 한다고 판단하였다.
 
다.  대법원의 판단
1) 그러나 이와 같은 원심의 판단은 다음과 같은 이유에서 수긍하기 어렵다.
가) 과징금은 위반행위에 대한 제재의 성격과 함께 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수로서의 성격도 가지고, 이는 구 정보통신망법 제64조의3 제1항 각호에서 정한 행위에 대하여 부과하는 과징금의 경우도 마찬가지이다(헌법재판소 2022. 5. 26. 선고 2020헌바259 전원재판부 결정 참조).
그런데 이 사건과 같이 이용자의 개인정보가 유출된 경우 정보통신서비스 제공자가 개인정보 보호조치를 취하지 않음으로 인해 매출액이 증대되는 경우를 상정하기 어렵다. 구 과징금 부과기준 제4조 제2항 또한 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 범위를 판단할 때 서비스 가입방법, 개인정보 데이터베이스 관리 조직·인력 및 시스템 운영 방식 등을 고려하도록 하고 있는바, 위 요소들은 위반행위로 인하여 취득한 이익의 규모와 직접적인 관련이 없다.
구 정보통신망법 제64조의3 제1항 제6호에서 정한 자에 대하여 과징금을 부과함으로써 박탈하고자 하는 이득은, 문제 된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히려 정보통신서비스 제공자가 적절한 보호조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유함으로써 얻은 이득이라 보아야 한다. 이에 따라 위 과징금 부과를 위한 관련 매출액을 산정함에 있어 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 범위는, 유출사고가 발생한 개인정보를 보유·관리하고 있는 서비스의 범위를 기준으로 판단하여야 한다.
나) 이 사건 이벤트 페이지를 통해 유출된 개인정보는 이 사건 쇼핑몰 이용자들의 정보가 담긴 데이터베이스에서 유출된 것으로서, 그 개인정보는 이 사건 쇼핑몰 서비스의 전체적인 운영을 위해 수집·관리되는 정보이고, 이 사건 이벤트 페이지에서 제공하는 서비스만을 위한 목적으로 수집·관리된 정보가 아니다.
그렇다면 원고에 대한 과징금을 산정하기 위한 관련 매출액도 해당 개인정보 데이터베이스를 보유·관리하는 서비스인 이 사건 쇼핑몰 서비스 전체의 매출액으로 보아야 한다. 이 사건 이벤트 페이지로부터 개인정보 데이터베이스에 접근할 수 있는 경로가 이 사건 쇼핑몰 웹사이트에서의 접근경로와 다르다는 사정만으로 관련 매출액이 이 사건 이벤트 페이지에서 발생한 매출액으로 한정된다고 볼 수 없다.
다) 물론, 이 사건 쇼핑몰 이용자들의 개인정보가 담긴 데이터베이스에 대하여 독립된 접근경로를 가진 웹페이지에서 제공하는 서비스가 이 사건 쇼핑몰이 제공하는 서비스와 외견상 구분되는 독자적인 서비스인 경우에는, 해당 서비스에서 발생한 매출액만을 관련 매출액으로 산정할 여지가 있다. 그러나 이 사건 이벤트 페이지는 이 사건 쇼핑몰과 독립된 서비스를 제공하는 것이 아니라, 이 사건 쇼핑몰의 이용자들을 대상으로 이 사건 쇼핑몰에서 판매하는 상품에 대한 포인트 적립 혜택을 제공하기 위한 것일 뿐이므로, 이 사건 쇼핑몰에서 제공하는 서비스와 구분될 수 없다.
2) 따라서 원고에 대하여 부과되어야 하는 과징금의 관련 매출액이 이 사건 이벤트로 인한 매출액에 국한된다고 본 원심판단에는 구 정보통신망법 제64조의3 제1항, 구 정보통신망법 시행령 제69조의2 제1항, 구 과징금 부과기준 제4조 제1항에서 정한 관련 매출액의 해석에 관한 법리를 오해한 잘못이 있다.
 
3.  제2 상고이유에 관한 판단 
가.  구 정보통신망법 제64조의3 제1항에 따른 과징금은 법 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수의 성격과 함께 위법행위에 대한 제재로서의 성격을 가지고, 같은 조 제3항은 과징금을 부과할 때 위반행위의 내용과 정도, 기간과 횟수 외에 위반행위로 인하여 취득한 이익의 규모 등도 고려하도록 규정하고 있다.
개인정보 보호조치 의무 위반에 대해 부과되는 과징금의 액수는 보호조치 위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려하여 정하여야 한다. 그리고 과징금의 액수가 위반행위의 내용에 비해 과중하여 사회통념상 현저하게 타당성을 잃은 경우라면 그러한 과징금 처분은 재량권을 일탈·남용하여 위법하다고 보아야 한다.
 
나.  원심판결 이유와 기록에 의하면 다음과 같은 사정을 알 수 있다.
1) 이 사건 사고의 원인이 된 캐시 정책은 2018. 11. 1. 단 하루만 이 사건 이벤트 페이지에 적용되었고, 원고는 바로 다음 날인 2018. 11. 2. 방송통신위원회에 이 사건 사고를 신고하였다. 즉, 원고가 보호조치 의무를 장기간 위반하였다고 보기 어렵다.
2) 이 사건 사고로 인해 이 사건 쇼핑몰 회원 20명의 이름, 이메일 주소, 휴대폰 번호, 배송지 주소 등이 노출되었으나, 주민등록번호, 비밀번호 등은 노출되지 않았다.
3) 이 사건 사고가 담당 직원의 단순한 실수를 넘어 구조적인 문제로 인하여 발생하였다고 볼 만한 자료도 없다. 이 사건 사고로 인해 유출된 20명의 개인정보는 29명의 이용자들에게 개별적으로 유출되어 추가 피해의 우려도 비교적 작았던 것으로 보인다.
4) 이처럼 담당 직원의 단순한 과실로 비교적 적은 수의 개인정보 유출사고가 발생한 경우 피고가 이 사건과 같이 거액의 과징금을 부과한 사례를 찾아보기도 어렵다.
5) 구 과징금 부과기준 제9조에 따르면 위반 정도가 경미하다고 판단되는 경우에는 과징금 부과를 시정조치 명령으로 갈음할 수 있다. 또한 현행 「개인정보보호 법규 위반에 대한 과징금 부과기준」(2022. 10. 20. 개인정보보호위원회고시 제2022-3호로 개정된 것) 제9조 제2항 제2호 (나)목, (다)목에 따르면 ‘사소한 부주의나 오류로 인한 위반행위인 경우’, ‘개인정보가 유출된 경우로서 유출된 정보주체의 수가 100명 미만인 경우’에는 정보주체에게 피해가 발생하지 않았거나 경미한 경우로서 과징금을 면제할 수 있다. 앞서 본 바와 같이 이 사건 사고는 담당 직원의 사소한 부주의나 오류로 인해 발생한 것으로 보이고, 유출된 정보주체도 20명이므로 현행 과징금 부과기준을 적용하는 경우 과징금 면제사유에도 해당한다.
 
다.  관련 법리와 위와 같은 사정을 종합하면, 이 사건 과징금액이 구 정보통신망법 제64조의3, 구 정보통신망법 시행령 제69조의2 제1항, 제4항 [별표 8]에서 정한 방식에 의하여 그 상한을 초과하지 않는 범위 내에서 산정되었고, 원고의 매출액이 비교적 크다는 사정 등을 모두 감안한다 하더라도, 이 사건 과징금액은 제재적 성격이 지나치게 강조되어 위반행위의 위법성의 정도에 비해 과중하게 산정되었다고 볼 수 있다. 따라서 이 사건 과징금 처분이 비례의 원칙에 반하여 재량권을 일탈·남용하였다고 본 원심의 판단은 정당하고, 상고이유 주장과 같이 논리와 경험의 법칙을 위반하여 자유심증주의의 한계를 벗어나거나 자기구속의 원칙에 관한 법리를 오해한 잘못이 없다.
 
4.  결론
원심이 이 사건 과징금의 관련 매출액을 이 사건 이벤트로 인한 매출액으로 국한하여야 한다고 판단한 것은 잘못이지만, 이 사건 과징금 처분에 재량권을 일탈·남용한 잘못이 있다고 본 원심의 결론은 정당하고, 거기에 상고이유 주장과 같이 판결에 영향을 미친 잘못이 없다.
그러므로 상고를 기각하고, 상고비용은 피고가 부담하도록 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.