행정
소셜 네트워크 서비스(SNS)를 운영하는 A회사가 이용자들의 다른 웹사이트나 모바일 애플리케이션(이하 웹·앱) 활동 정보(타사 행태정보)를 수집·이용하면서 적법한 동의를 받지 않았다는 이유로 개인정보보호위원회로부터 시정명령과 약 308억 원의 과징금 처분을 받았습니다. A회사는 자신들이 개인정보 수집 주체가 아니며 동의 절차도 적법했다고 주장하며 처분 취소 소송을 제기했지만, 법원은 A회사가 타사 행태정보 수집·이용의 주체이며 동의 절차가 미흡하여 개인정보 보호법을 위반했다고 판단하고 A회사의 청구를 모두 기각했습니다.
원고 A회사는 소셜 네트워크 서비스인 'B'와 'C'을 운영하는 정보통신서비스 제공자입니다. A회사는 이용자들의 행태정보 분석과 맞춤형 광고 등을 목적으로, 웹·앱 사업자들이 자신의 웹사이트나 앱에 설치하도록 하는 비즈니스 도구(D, E)를 제작하여 배포했습니다. 이 도구를 통해 A회사 회원이 다른 웹·앱에서 활동한 '타사 행태정보'(사용 이력, 구매 내역 등)가 A회사 서버로 전송되었고, A회사는 이를 A회원의 계정 정보(온라인 식별자)와 결합하여 회원별로 축적·관리하며 맞춤형 광고 및 콘텐츠 제공 등에 활용했습니다.
피고 개인정보보호위원회는 A회사가 이러한 타사 행태정보를 이용자의 동의 없이 수집·이용하여 구 개인정보 보호법 제39조의3 제1항을 위반했다고 판단했습니다. 이에 2022년 9월 14일 A회사에 시정명령과 함께 약 308억 원(미화 2,240만 8,000달러에 해당하는 30,806,000,000원)의 과징금을 부과했습니다.
A회사는 이에 불복하여 소송을 제기했습니다. A회사는 자신이 타사 행태정보 수집의 주체가 아니며 웹·앱 사업자(광고주)에게 동의 책임이 있거나, 설령 수집 주체라 하더라도 이미 '데이터 정책'을 통해 적법한 동의를 받았다고 주장했습니다. 또한, 과징금 부과가 처분 사실을 오인하고 재량권을 일탈·남용한 위법이 있다고 주장했습니다.
이 사건의 핵심 쟁점은 다음과 같습니다.
타사 웹·앱에서의 이용자 행태정보 수집 주체가 A회사인지, 아니면 A회사와 계약한 웹·앱 사업자인지 여부.
A회사가 이용자로부터 타사 행태정보 수집·이용에 대해 개인정보 보호법이 요구하는 적법한 동의를 받았는지 여부. 특히, A회사의 '데이터 정책' 고지 방식이 개인정보 자기결정권을 보장하는 충분한 동의 절차였는지.
개인정보보호위원회가 A회사에 내린 시정명령 및 약 308억 원의 과징금 부과 처분이 사실오인이나 재량권 일탈·남용에 해당하는지 여부.
법원은 원고 A회사가 제기한 시정명령 등 처분 취소청구의 소에 대해, 원고의 청구를 모두 기각하고 소송비용은 원고가 부담하도록 판결했습니다. 이는 피고 개인정보보호위원회가 원고 A회사에 내린 시정명령 및 과징금 부과 처분이 적법하다고 인정한 것입니다.
법원은 A회사가 소셜 네트워크 서비스 제공자로서 이용자의 타사 행태정보를 수집하고 이용하는 주체이며, 이 과정에서 이용자로부터 구 개인정보 보호법 제39조의3 제1항에 따른 적법한 동의를 받지 않았다고 판단했습니다. 특히, '데이터 정책'을 통해 동의를 받는 방식은 이용자의 개인정보 자기결정권을 충분히 보장하지 못하는 '옵트아웃(Opt-out) 방식'(사후 거부)에 해당하며, 구 개인정보 보호법 제22조가 정한 동의 절차 요건을 충족하지 못한다고 보았습니다. 또한, 과징금 산정 및 부과 기준에도 문제가 없다고 판단하여 개인정보보호위원회의 처분이 정당함을 확인했습니다. 이 판결은 정보통신서비스 제공자가 이용자의 개인정보를 수집할 때 명확하고 투명한 사전 동의 절차를 반드시 준수해야 함을 강조하는 중요한 선례가 됩니다.
이 사건과 관련된 주요 법령과 법리(법률 원칙)는 다음과 같습니다.
구 개인정보 보호법 제39조의3 제1항 (정보통신서비스 제공자의 개인정보 수집·이용 동의): 정보통신서비스 제공자가 이용자의 개인정보를 수집·이용하려는 경우, 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유·이용 기간을 이용자에게 알리고 동의를 받아야 합니다. 이 사건에서 원고 A회사는 타사 웹·앱 이용자들의 행태정보를 수집하면서 이러한 고지 및 동의 의무를 제대로 이행하지 않았다고 판단되었습니다.
구 개인정보 보호법 제22조 제1항 및 제2항 (동의를 받는 방법): 개인정보처리자는 정보주체로부터 동의를 받을 때, 각각의 동의 사항을 구분하여 정보주체가 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 합니다. 특히 중요한 내용은 명확히 표시하여 알아보기 쉽게 해야 합니다. 법원은 A회사의 '데이터 정책' 방식이 이 규정을 위반하여 이용자가 타사 행태정보 수집을 명확히 인지하고 동의 여부를 선택하기 어렵게 했다고 보았습니다.
개인정보 자기결정권: 헌법 제10조(인간의 존엄과 가치, 행복추구권) 및 제17조(사생활의 비밀과 자유)에 기초하여, 개인은 자신의 개인정보가 언제 누구에게 어느 범위까지 알려지고 이용되도록 할 것인지를 스스로 결정할 수 있는 권리입니다. 법원은 A회사의 동의 절차가 이러한 개인정보 자기결정권을 실현하기에 부족하다고 판단했습니다.
개인정보처리자의 정의 (구 개인정보 보호법 제2조 제5호): 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인을 의미합니다. 법원은 A회사가 온라인 식별자와 결합된 타사 행태정보를 자신의 서버로 전송받아 회원 계정과 매칭하고 맞춤형 광고 등에 활용하는 점을 들어, A회사가 개인정보처리자에 해당하며 따라서 동의 의무가 있다고 보았습니다.
과징금 부과 (구 개인정보 보호법 제39조의15 제1항): 구 개인정보 보호법 제39조의3 제1항을 위반하여 이용자의 동의를 받지 않고 개인정보를 수집한 경우, 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 과징금을 부과할 수 있습니다. 피고 개인정보보호위원회는 원고의 위반행위 관련 매출액을 원고의 전체 광고 매출액 중 한국 활성 이용자 비율을 곱한 금액으로 산정했으며, 법원은 이 산정 방식이 적법하다고 보았습니다. 위반행위의 중대성 판단 시 고의 또는 중과실이 인정되면 과징금 액수가 높아지며, 장기 위반행위나 과거 과징금 처분 이력이 있을 경우 감경 사유에서 제외될 수 있습니다.
유사한 문제 상황에 처했을 때 다음 내용을 참고할 수 있습니다.
개인정보 수집 주체 명확화: 타사의 웹·앱에서 발생하는 이용자 정보를 수집하는 경우, 해당 정보를 누가 취득하고 이용하는 주체인지 명확히 파악해야 합니다. 단순히 기술적 도구를 제공하는 것을 넘어, 최종적으로 식별된 개인정보를 축적하고 활용하는 주체가 누구인지가 중요합니다.
사전 동의(Opt-in) 원칙 준수: 개인정보 수집·이용에 대한 동의는 '옵트아웃(Opt-out) 방식'(사후 거부)이 아닌 '옵트인(Opt-in) 방식'(사전 동의)으로 이루어져야 합니다. 이용자가 명확하게 내용을 인지하고 자유롭게 동의 여부를 선택할 수 있도록 해야 합니다.
동의 내용의 명확성 및 투명성: 개인정보 수집·이용 목적, 수집 항목, 보유·이용 기간 등 법정 고지사항을 이용자가 쉽게 이해할 수 있는 언어와 명확한 방식으로 제시해야 합니다. '데이터 정책'이나 '개인정보 처리방침'이라는 이름만으로는 개인정보 수집 동의로 간주되기 어렵습니다.
복잡한 설명 최소화: 수백 줄에 달하는 방대한 내용의 약관을 스크롤해서 확인해야 하거나, '더 알아보기' 링크를 통해서만 중요한 내용을 확인할 수 있는 방식은 적법한 동의 절차로 인정되기 어렵습니다. 핵심 내용을 간결하고 명확하게 전달하는 것이 중요합니다.
기술적 어려움은 면책 사유 아님: 개인정보 수집·활용 방식에서 발생하는 기술적 어려움이나 사업 구조 변경의 위험은 법 위반을 정당화하는 사유가 될 수 없습니다. 서비스 제공자는 법규 준수를 위한 해결 방안을 모색해야 합니다.
타사 정보 활용 시 특별한 주의: 다른 사업자의 웹·앱에서 발생하는 행태정보를 수집하여 자사 서비스에 활용할 때는 이용자의 인지도를 높이고 더욱 엄격한 동의 절차를 거쳐야 합니다. 이는 이용자의 온라인 활동 익명성을 침해할 위험이 크기 때문입니다.
과징금 부과 기준 이해: 개인정보보호법 위반 시 과징금은 관련 매출액, 위반행위의 중대성(고의·중과실 여부 포함), 위반 기간 등을 종합적으로 고려하여 산정됩니다. 과거 위반 이력 또한 감경 사유에서 제외될 수 있습니다.
.jpg&w=96&q=100){kind=small}