행정
개인정보보호위원회가 오픈마켓 운영사인 지마켓에게 판매자를 '개인정보취급자'로 보고 개인정보 보호법에 따른 안전성 확보 의무를 다하지 않았다며 시정조치명령을 내렸습니다. 이에 지마켓은 이 명령이 부당하다며 취소 소송을 제기했고, 1심과 2심 법원 모두 판매자가 지마켓의 '개인정보취급자'에 해당하지 않는다고 판단하여 개인정보보호위원회의 항소를 기각했습니다.
개인정보보호위원회는 지마켓이 오픈마켓 판매자들에 대한 개인정보 안전성 확보 조치 의무를 충분히 이행하지 않았다고 판단하여, 2021년 6월 25일 지마켓에게 시정조치명령을 내렸습니다. 이는 판매자들을 지마켓의 '개인정보취급자'로 보았기 때문입니다. 이에 지마켓은 해당 명령이 위법하다고 주장하며 법원에 시정조치명령 취소 소송을 제기했습니다.
오픈마켓에서 상품을 판매하는 판매자들이 오픈마켓 운영사의 '개인정보취급자'에 해당하는지 여부가 이 사건의 핵심 쟁점입니다. 즉, 판매자들이 오픈마켓 운영사의 지휘·감독을 받아 이용자(구매자)의 개인정보를 처리하는 종속적 지위에 있는지, 아니면 별개의 '개인정보처리자' 또는 '제3자'로서 스스로 개인정보 보호 의무를 부담하는 주체인지가 문제 되었습니다.
피고인 개인정보보호위원회의 항소를 기각하고, 항소 비용은 피고가 부담하도록 판결했습니다. 이는 1심 판결과 동일하게, 지마켓에 대한 시정조치명령이 위법하다고 본 것입니다.
법원은 오픈마켓 판매자가 지마켓의 '개인정보취급자'에 해당한다고 보기 어렵다고 판단했습니다. '개인정보취급자'는 개인정보처리자의 지휘·감독을 받아 업무를 담당하는 자로서, 임직원, 파견근로자, 시간제근로자 등 개인정보처리자와 '종속적 관계'에 있는 자를 의미한다고 해석했습니다. 그러나 판매자는 자신의 판매 업무를 위해 스스로의 의사에 따라 개인정보를 처리하는 자이며, 계약상의 제약을 받는다고 해서 운영사의 지휘·감독을 받는 종속적 관계에 있다고 볼 수 없다고 판단했습니다. 또한, 판매자를 개인정보취급자로 볼 경우 발생할 수 있는 현실적인 어려움(수십만 판매자에 대한 교육, 망분리 등 물리적 관리의 어려움)과 법적 문제점(제3자 제공 시 동의, 고지 의무, 형사처벌 등)을 종합적으로 고려하여, 판매자는 지마켓으로부터 개인정보를 제공받은 '제3자'이자 '독자적인 개인정보처리자'의 지위를 가진다고 결론 내렸습니다.
이 사건은 개인정보 보호법의 주요 개념인 '개인정보처리자'와 '개인정보취급자', '개인정보의 제3자 제공'에 대한 해석을 다루고 있습니다.
온라인 플랫폼 사업자는 플랫폼을 이용하는 판매자들의 개인정보 처리 지위를 명확히 규정해야 합니다. 판매자들이 플랫폼 사업자의 '개인정보취급자'가 아닌 '독자적인 개인정보처리자' 또는 '제3자'로 분류될 경우, 플랫폼 사업자는 판매자들을 지휘·감독하여 개인정보 보호 조치를 강제할 의무를 부담하지 않으며, 판매자 스스로 개인정보 보호법에 따른 책임을 져야 합니다. 따라서 플랫폼 사업자는 판매자들에게 개인정보 보호 의무를 명확히 안내하고, 위반 시 발생할 수 있는 법적 책임을 주지시키는 것이 중요합니다. 또한, 기술적·관리적 보호조치 기준은 플랫폼 사업자가 자신의 시스템 내에서 직접 관리하는 정보에 대해서는 여전히 엄격하게 적용됩니다. 외부 사용자에 대한 과도한 통제나 의무 부과는 사실상 불가능하거나 자기책임 원칙에 반할 수 있음을 고려해야 합니다.
