오픈마켓 판매자 개인정보 관리 책임 범위 판결

오픈마켓 운영 회사인 원고가 판매자에게 구매자 개인정보를 제공하는 과정에서, 개인정보보호위원회가 판매자를 원고의 지휘·감독을 받는 '개인정보취급자'로 보고 안전한 인증 수단 적용 및 정기 교육 미실시를 이유로 시정조치 명령과 과태료 2,280만 원을 부과했습니다. 이에 원고는 판매자는 개인정보처리자의 지휘·감독을 받는 취급자가 아닌 독립적인 제3자라고 주장하며 시정조치 명령 취소 소송을 제기했습니다.

관련 당사자

• 원고 A 유한책임회사: C, D, E 오픈마켓을 운영하며 판매자와 구매자에게 거래 플랫폼을 제공하는 회사
• 피고 개인정보보호위원회: 개인정보 보호 관련 법규 위반 여부를 조사하고 시정조치 등을 명령하는 행정기관
• 오픈마켓 판매자들: 원고가 운영하는 오픈마켓에서 상품을 판매하는 약 215만 명의 사업자들 (C 약 76만 명, D 약 94만 명, E 약 45만 명)
• 오픈마켓 구매자들: 원고가 운영하는 오픈마켓을 통해 상품을 구매하는 소비자들

분쟁 상황

오픈마켓 운영사인 A 유한책임회사가 C, D, E 오픈마켓을 운영하며 다수의 판매자들과 구매자들에게 플랫폼을 제공했습니다. 구매자들은 상품 주문 시 개인정보를 판매자에게 제공하는 것에 동의했고, 원고는 이에 따라 판매자에게 개인정보를 전달했습니다. 하지만 개인정보보호위원회는 판매자를 원고의 '개인정보취급자'로 보고, 원고가 판매자들에게 외부 접속 시 안전한 인증 수단을 적용하지 않고 정기적인 교육을 실시하지 않은 것이 개인정보 보호법 위반이라고 판단했습니다. 이에 위원회는 원고에게 2,280만 원의 과태료와 함께 판매자에 대한 안전한 인증 수단 적용 및 교육 실시 등의 시정조치를 명령했고, 원고는 이에 불복하여 소송을 제기했습니다.

핵심 쟁점

오픈마켓에서 구매자의 개인정보를 받아 상품 배송 등에 활용하는 판매자가 오픈마켓 운영사의 '개인정보처리자'에 대한 '개인정보취급자'에 해당하는지 여부가 이 사건의 핵심 쟁점입니다. 만약 판매자가 개인정보취급자로 인정된다면, 운영사는 판매자에 대해 개인정보 보호를 위한 안전한 인증 수단 적용 및 정기 교육 실시 의무를 부담하게 됩니다.

법원의 판단

법원은 개인정보보호위원회가 원고에게 내린 시정조치 명령을 취소했습니다. 이는 오픈마켓 판매자가 운영사의 지휘·감독을 받는 개인정보취급자에 해당한다고 볼 수 없다는 원고의 주장을 받아들인 것입니다.

결론

법원은 개인정보 보호법상 '개인정보취급자'는 개인정보처리자의 지휘·감독을 받아 업무를 처리하는 임직원, 파견근로자 등과 같이 종속적인 지위에 있는 자를 의미한다고 보았습니다. 오픈마켓 판매자는 원고와 오픈마켓 이용계약을 체결한 대등한 계약 당사자로서, 원고의 지휘·감독을 받아 개인정보를 처리하는 관계에 있다고 보기 어렵다고 판단했습니다. 원고가 판매자들에게 개인정보 사용에 대한 계약상의 의무를 부여하거나 유출 시 책임을 지도록 하는 것은, 지휘·감독 관계가 아닌 계약 당사자로서 당연히 지켜야 할 의무를 명시한 것에 불과하다고 보았습니다. 또한, 수십만 명에 이르는 판매자들의 개인 컴퓨터나 모바일 기기에 원고가 물리적·논리적으로 망 분리, 외부 인터넷망 차단 등의 조치를 취하거나 강제하는 것은 사실상 불가능하다는 점도 고려했습니다. 판매자는 자신의 판매 업무를 목적으로 개인정보를 처리하므로, 독자적인 '개인정보처리자'로서 개인정보 보호 의무를 부담하고 직접 규제할 수 있으므로, 판매자를 운영사의 취급자로 보지 않아도 개인정보 보호의 공백이 발생하지 않는다고 보아 시정조치 명령은 위법하다고 결론 내렸습니다.

연관 법령 및 법리

이 사건은 '개인정보 보호법'의 핵심 개념인 '개인정보처리자'와 '개인정보취급자'의 범위를 명확히 구분하는 판례입니다.

• 개인정보 보호법 제2조 제5호 (개인정보처리자)​: '업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등'으로, 개인정보를 다루는 주체로서 포괄적인 의무를 지닙니다.

• 개인정보 보호법 제28조 제1항 (개인정보취급자에 대한 관리ㆍ감독)​: '임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자'를 '개인정보취급자'로 정의하며, 개인정보처리자는 이들에게 적절한 관리ㆍ감독을 해야 합니다. 이는 실질적인 지휘·감독과 통제 관계를 전제로 합니다.

• 개인정보 보호법 제28조 제2항: 개인정보처리자는 개인정보취급자에게 정기적으로 필요한 교육을 실시할 의무가 있습니다.

• 개인정보 보호법 제29조 (안전조치의무)​: 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 내부 관리계획 수립, 접속기록 보관 등 필요한 기술적·관리적 및 물리적 조치를 해야 합니다.

• 개인정보 보호법 시행령 제48조의2 제1항 (개인정보의 안전성 확보 조치)​: 정보통신서비스 제공자와 그로부터 이용자의 개인정보를 제공받은 자는 개인정보 처리 시 내부관리계획 수립, 개인정보 불법 접근 차단 등의 안전성 보호 조치를 취해야 하며, 세부 기준은 개인정보보호위원회가 고시합니다.

• 구「개인정보의 기술적·관리적 보호조치 기준」제3조 제2항, 제4조 제4항 (이 사건 고시)​: 이 고시는 개인정보처리자가 개인정보취급자에게 정기 교육을 실시하고, 외부에서 개인정보처리시스템에 접속할 경우 안전한 인증 수단을 적용해야 한다고 규정하고 있습니다.

이 판결은 '개인정보취급자'의 범위를 해석함에 있어, 단순히 개인정보를 제공받아 처리하는 계약 관계를 넘어, 개인정보처리자가 실질적으로 해당 인원의 업무 집행과 개인정보 처리 과정을 지휘·감독하고 통제할 수 있는 종속적 관계가 존재해야 함을 강조합니다. 오픈마켓 판매자와 같은 독립적인 사업자는 일반적으로 플랫폼 운영사의 '개인정보처리자'가 아닌 별도의 '개인정보처리자'로 보아야 한다는 법리를 제시했습니다. 이는 플랫폼 운영사가 모든 외부 협력업체의 개인정보 보호 조치까지 책임져야 하는 과도한 부담을 방지하고, 각 주체가 자기 책임 원칙에 따라 개인정보 보호 의무를 다하도록 하는 취지입니다.

참고 사항

온라인 플랫폼을 운영하며 다수의 외부 판매자나 서비스 제공자들과 협력하여 고객의 개인정보를 공유하는 경우, '개인정보처리자'와 '개인정보취급자'의 법적 정의를 명확히 이해해야 합니다. 단순히 계약을 통해 개인정보를 전달하고, 계약상 의무를 부과하는 것만으로는 해당 판매자가 플랫폼 운영사의 지휘·감독을 받는 '개인정보취급자'로 인정되지 않을 수 있습니다. 플랫폼 운영사는 외부 판매자들의 개인정보 보호 의무를 직접적으로 책임지는 것이 아니라, 판매자들 스스로가 독립적인 '개인정보처리자'로서 개인정보 보호법상의 의무를 다하도록 계약적으로 명확히 하고, 구매자에게는 개인정보가 제3자(판매자)에게 제공되는 것에 대한 명확한 동의를 받아야 합니다. 또한, 현실적으로 수많은 외부 독립 사업자들의 개인정보 처리 시스템에 대해 기술적·관리적 보호 조치를 강제하기 어려운 경우라면, 법원이 이를 '개인정보취급자'로 인정하기 어렵다고 판단할 가능성이 높습니다.