행정
개인정보보호위원회가 한 시정명령의 적법성을 다툰 사건으로 법원은 개인정보처리시스템 접근 권한 부여 대상에 대한 고시 해석을 통해 시정명령이 위법하다고 판단했습니다.
개인정보보호위원회는 A 주식회사가 개인정보를 제공받은 판매자에게 개인정보처리시스템 접근권한을 부여한 것이 개인정보 보호 고시 제4조 제1항을 위반했다고 판단하여 시정명령을 내렸습니다. 위원회는 판매자가 '개인정보취급자'가 아니라면 해당 고시를 위반한 것이라고 주장했습니다. 이에 A 주식회사는 이 시정명령의 취소를 구하는 소송을 제기했습니다.
개인정보처리시스템 접근권한 부여 대상에 대한 개인정보보호위원회 고시 제4조 제1항의 해석이 쟁점이었습니다. 특히 개인정보를 제공받은 판매자가 '개인정보취급자'에 해당하는지 여부 및 침익적 행정처분의 법규 해석 원칙이 중요하게 다루어졌습니다.
피고인 개인정보보호위원회의 항소는 기각되었으며 원고인 A 주식회사가 받은 시정명령은 취소되었습니다. 항소 비용은 피고가 부담하도록 결정되었습니다.
법원은 개인정보보호위원회가 내린 시정명령이 위법하다고 보아 이를 취소했습니다. 이는 개인정보처리시스템 접근권한 부여 대상에 대한 고시 조항이 접근 권한의 범위만을 제한하는 규정이지 접근 권한을 부여할 수 있는 대상을 개인정보보호책임자나 개인정보취급자로 한정하는 규정으로 볼 수 없다는 법리 해석에 따른 것입니다. 또한 침익적 행정처분은 엄격하게 해석되어야 한다는 원칙이 적용되었습니다.
법 해석의 일반 원칙: 법은 불특정 다수인에게 동일한 구속력을 가지는 보편타당한 규범이므로 법적 안정성을 해치지 않는 범위 내에서 구체적 타당성을 찾는 데 목표를 두어야 합니다. 이를 위해 법률 문언의 통상적인 의미에 충실하게 해석하는 것을 원칙으로 하며 법률의 입법 취지, 목적, 제·개정 연혁, 법질서 전체와의 조화, 다른 법령과의 관계 등을 고려하는 체계적·논리적 해석 방법이 동원되어야 합니다(대법원 2013. 1. 17. 선고 2011다83431 전원합의체 판결 참조). 침익적 행정처분의 법규 해석 원칙: 상대방의 권익을 제한하거나 의무를 부과하는 침익적 행정처분은 헌법상 명확성의 원칙에 따라 그 근거가 되는 행정법규를 더욱 엄격하게 해석·적용해야 합니다. 또한 행정처분 상대방에게 지나치게 불리한 방향으로 확대 해석하거나 유추 해석해서는 안 됩니다(대법원 2021. 11. 11. 선고 2021두43491 판결 참조). 개인정보 보호 고시 제4조 제1항: 이 조항은 '정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다'고 규정하고 있습니다. 그러나 이 사건 판결에서는 이 규정이 개인정보처리자가 개인정보취급자에게 접근권한을 부여할 경우 필요 최소한의 범위에서 부여하도록 하여 개인정보의 부당 이용 및 유출을 방지하기 위한 규정일 뿐 접근권한을 부여할 수 있는 대상을 개인정보보호책임자나 개인정보취급자로 한정하는 규정으로 볼 수 없다고 해석했습니다.
행정기관의 시정명령과 같은 침익적(권리 제한 및 의무 부과) 성격의 처분은 관련 법규를 엄격하게 해석하여야 합니다. 법률 문언의 통상적인 의미와 함께 입법 취지, 목적, 전체 법질서와의 조화 등 다양한 해석 방법을 고려해야 합니다. 개인정보처리시스템 접근권한 부여와 관련하여 개인정보 보호 고시 제4조 제1항은 접근 권한을 부여할 때 최소한의 범위에서 부여하도록 하는 규정으로 해석될 뿐 접근 권한을 부여할 수 있는 대상을 제한하는 규정으로 볼 수 없으므로 유사한 상황에서 유의해야 합니다. 행정처분의 근거가 되는 법규는 행정처분을 받는 당사자에게 지나치게 불리한 방향으로 확대 해석되거나 유추 해석되어서는 안 됩니다.
