행정
소셜 미디어 플랫폼 운영 회사 A는 이용자가 제3자 앱을 사용할 때 친구의 개인정보를 광범위하게 공유하도록 설계한 것에 대해 개인정보보호위원회로부터 시정명령과 과징금 처분을 받았습니다. A는 이 처분에 불복하여 소송을 제기했으나, 1심 법원에 이어 항소심 법원에서도 A의 주장을 기각하며 개인정보보호위원회의 처분이 정당하다고 판단했습니다.
소셜 미디어 플랫폼 A는 이용자가 외부의 제3자 앱을 연동하여 사용할 때, 이용자의 '허가하기(Allow)' 선택을 통해 해당 앱이 친구의 개인정보에 접근할 수 있도록 하는 기술적 조치를 마련했습니다. 이 과정에서 친구의 이름, 좋아하는 것, 음악, TV, 영화, 책, 인용구, 온라인 접속 여부, 바이오 정보, 기념일, 가족관계, 종교 및 정치관, 온·오프라인 현황, 피트니스 및 게임 활동사항, 뉴스기사 및 동영상 활동사항, 위치정보, '좋아요' 누른 페이지 등 매우 광범위한 개인정보가 친구의 명확한 동의 없이 제3자 앱에 제공될 수 있었습니다. 개인정보보호위원회는 이러한 A의 개인정보 처리 방식이 관련 법규를 위반했다고 판단하여 시정명령 등을 내렸고, A는 이에 불복하여 소송을 제기했습니다.
회사가 제3자 앱과 연동할 때 이용자의 친구 개인정보를 충분한 고지나 동의 없이 광범위하게 제공한 행위가 구 정보통신망법상 개인정보 제공 요건을 위반한 것인지, 그리고 회사가 제공한 개인정보 고지 방식이 적법한 동의를 얻었다고 볼 수 있는지 여부가 핵심 쟁점이었습니다.
법원은 원고 A의 항소를 기각하고, 1심 법원의 판결이 정당하다고 판단했습니다. 이에 따라 개인정보보호위원회가 내린 시정명령과 과징금 처분은 그대로 유지되었습니다.
법원은 A가 이용자에게 '허가하기(Allow)' 버튼을 통해 제3자 앱에 접근 권한을 부여하도록 한 방식은 친구의 개인정보를 '제공'한 것으로 보았고, 이때 제공된 정보의 범위나 목적, 보유 기간 등에 대한 명확한 고지가 충분히 이루어지지 않았다고 판단했습니다. 특히 친구들의 명확한 동의 없이 광범위한 개인정보가 공유된 것은 정보주체의 개인정보자기결정권을 침해한다고 결론 내렸습니다.
본 사건에서는 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제3조 제1항이 중요하게 적용되었습니다. 이 법률 조항은 정보통신서비스 제공자가 이용자의 개인정보를 보호하고 건전하며 안전한 정보통신서비스를 제공할 책무가 있음을 규정하고 있습니다. 법원은 원고 A가 정보통신서비스 제공자로서 이러한 책무를 다하지 못했다고 보았습니다. 또한 개인정보를 제3자에게 제공할 때는 정보주체로부터 명확한 동의를 받아야 한다는 원칙이 강조되었습니다. 특히 정보통신서비스 제공자는 개인정보를 처리할 목적에 필요한 범위에서 안전하게 관리해야 하며, 정보주체의 개인정보자기결정권을 보호할 수 있는 방식으로 개인정보 처리 기술적 수단을 설계해야 합니다. 이용자가 제3자 앱에 '허가하기'를 선택할 때 친구의 개인정보까지 제공되는 경우, 제공받는 제3자가 친구의 개인정보를 이용하려는 목적, 보유 및 이용 기간, 실제로 제공되는 개인정보 항목 등이 명확히 고지되어야 적법한 동의로 인정될 수 있습니다.
개인정보를 제3자에게 제공할 때는 반드시 정보주체의 명확하고 구체적인 동의를 받아야 합니다. 동의를 받을 때는 개인정보를 제공받는 자가 누구인지, 제공 목적은 무엇인지, 어떤 개인정보 항목이 제공되는지, 그리고 제공된 개인정보를 얼마나 오래 보유하고 이용하는지 등을 상세하게 고지해야 합니다. 또한 '허가하기'와 같이 간단한 버튼 하나로 친구의 개인정보까지 광범위하게 공유되는 것에 대해 정보주체(친구)가 쉽게 인지하기 어려우므로, 플랫폼 제공자는 이러한 점을 고려하여 명확한 동의 절차와 고지 방식을 설계해야 합니다. 개인정보 보호는 플랫폼 제공자의 중요한 책무이며, 이용자들은 자신의 개인정보가 어떻게 활용되는지 항상 주의 깊게 살펴보고 이해할 권리가 있습니다.
