온라인 쇼핑몰 판매자의 개인정보취급자 인정 여부 사건

개인정보보호위원회는 온라인 쇼핑몰 'C'를 운영하는 A 주식회사에 대해 판매자들이 개인정보 보호법상 '개인정보취급자'에 해당한다는 전제하에, 이들에게 안전한 인증 수단을 적용하고 정기 교육을 실시하라는 시정명령과 840만 원의 과태료를 부과했습니다. A 주식회사는 판매자들이 회사의 지휘·감독을 받는 개인정보취급자가 아닌 독립된 개인정보처리자라고 주장하며 시정명령 취소 소송을 제기했습니다. 법원은 판매자들이 A 주식회사의 지휘·감독을 받는 개인정보취급자에 해당한다고 보기 어렵다고 판단하여, 개인정보보호위원회의 시정명령을 취소했습니다.

관련 당사자

• A 주식회사: 온라인 쇼핑몰 'C'를 운영하며 판매자들에게 온라인 점포를 제공하는 회사
• 개인정보보호위원회: A 주식회사에 시정명령과 과태료를 부과한 정부 기관

분쟁 상황

A 주식회사는 온라인 쇼핑몰 'C'를 운영하며 판매자들에게 온라인 점포를 제공합니다. 구매자가 상품을 주문·결제할 때 A 주식회사 및 판매자에게 개인정보 제공 동의를 하고, A 주식회사는 이 동의에 근거하여 판매자에게 구매자의 개인정보를 제공합니다. 개인정보보호위원회는 C의 판매자들이 개인정보 보호법상 '개인정보취급자'에 해당한다고 판단하며, 판매자들이 외부에서 C에 접속 시 안전한 인증 수단을 적용하지 않고 단순히 계정(ID)과 비밀번호만으로 접속한 것이 개인정보 보호법 제29조 등을 위반했다고 보았습니다. 이에 개인정보보호위원회는 A 주식회사에 판매자들에 대한 안전한 인증 수단 적용 및 정기적인 교육 실시 등의 시정조치와 840만 원의 과태료를 부과했습니다. A 주식회사는 이 시정명령에 불복하여 취소 소송을 제기했습니다.

핵심 쟁점

온라인 쇼핑몰의 판매자가 쇼핑몰 운영 회사의 지휘·감독을 받아 개인정보를 처리하는 '개인정보취급자'로 보아야 하는지, 아니면 독립적인 '개인정보처리자'(제3자)로 보아야 하는지 여부입니다. 이 분류에 따라 쇼핑몰 운영 회사가 판매자들에 대한 개인정보 안전성 확보 조치 의무를 부담하는지가 결정됩니다.

법원의 판단

피고인 개인정보보호위원회가 2021년 6월 25일 원고 A 주식회사에 내린 별지 1 기재 시정명령을 취소한다. 소송비용은 피고가 부담한다.

결론

법원은 개인정보 보호법상 '개인정보취급자'는 개인정보처리자의 지휘·감독을 받아 업무를 집행하는 자를 의미하며, 반드시 고용계약 관계에 한정되지 않더라도 종속적인 관계가 전제되어야 한다고 보았습니다. 온라인 쇼핑몰 'C'의 판매자들은 독립적으로 판매업무를 수행하며 구매자의 개인정보를 처리하는 자로서, A 주식회사가 판매자들에게 개인정보 목적 외 사용 금지 의무를 부과하거나 관리 안내서를 제공하는 것은 계약상 의무 또는 정보 제공에 불과할 뿐 실질적인 지휘·감독이라고 볼 수 없다고 판단했습니다. 또한, 약 111만 명에 이르는 판매자들의 컴퓨터 등에 물리적, 논리적 조치를 강제하는 것이 현실적으로 불가능하거나 과도한 의무를 부과하는 것이라는 점, 판매자를 독립된 개인정보처리자로 보아 직접 규제하는 것이 개인정보 보호에 더 적합하다는 점 등을 종합하여, 판매자를 A 주식회사의 개인정보취급자로 볼 수 없다고 결론 내렸습니다. 따라서 판매자를 개인정보취급자로 전제한 시정명령은 위법하므로 취소되어야 한다고 판결했습니다.

연관 법령 및 법리

1. 개인정보 보호법 제2조 제5호(개인정보처리자 정의): '개인정보처리자'란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다. 이 사건에서 판매자들은 자신의 판매 업무를 목적으로 개인정보를 처리하므로, 개인정보처리자에 해당할 수 있습니다. 2. 개인정보 보호법 제2조 제6호(개인정보취급자 정의): '개인정보취급자'란 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자를 말합니다. 이 사건의 쟁점은 판매자가 A 주식회사의 지휘·감독을 받는 개인정보취급자에 해당하는지 여부였습니다. 3. 개인정보 보호법 제28조 제1항 및 제2항(개인정보취급자에 대한 관리·감독 및 교육 의무): 개인정보처리자는 개인정보취급자에 대해 적절한 관리·감독을 하고 정기적인 교육을 실시해야 합니다. 이 조항들은 개인정보처리자가 개인정보취급자에게 실질적인 지휘·감독 권한을 가지고 있음을 전제로 합니다. 4. 개인정보 보호법 제29조 및 시행령 제48조의2, 구 개인정보의 기술적·관리적 보호조치기준 제4조 제4항(안전성 확보 조치 의무): 개인정보처리자는 개인정보가 유출되지 않도록 안전성 확보에 필요한 기술적·관리적 조치를 해야 하며, 개인정보취급자가 외부에서 시스템에 접속 시 안전한 인증 수단을 적용해야 합니다. 이 사건에서는 판매자들이 개인정보취급자로 분류될 경우 A 주식회사가 이러한 조치 의무를 부담하게 될지가 문제되었습니다. 5. 개인정보 보호법 제17조 제1항(개인정보의 제3자 제공 동의): 개인정보처리자가 정보주체의 개인정보를 제3자에게 제공할 경우 정보주체의 동의를 받아야 합니다. 이 사건에서 A 주식회사는 구매자들의 동의를 받아 판매자들에게 개인정보를 제공했으므로, 판매자들은 개인정보를 제공받은 '제3자'의 위치에 있었습니다.

참고 사항

1. 개인정보처리자 대 개인정보취급자 구분: 온라인 플랫폼이나 서비스 운영자는 자신의 서비스 내에서 개인정보를 다루는 다양한 주체들을 '개인정보처리자'와 '개인정보취급자' 중 어느 쪽으로 분류해야 하는지 신중하게 검토해야 합니다. 이 구분은 법적 책임 범위와 의무 이행의 주체를 결정하는 중요한 기준이 됩니다. 2. 지휘·감독 관계의 실질: '개인정보취급자'는 개인정보처리자의 실질적인 지휘·감독을 받는 종속적 관계에 있는 자를 의미합니다. 단순히 계약상 의무나 가이드라인 제공만으로는 지휘·감독 관계로 인정되기 어려울 수 있습니다. 플랫폼 이용 약관이나 정책이 이용자에게 특정 의무를 부여하더라도, 그 내용이 실제 지휘·감독으로 이어지는지는 별개의 문제입니다. 3. 현실적인 이행 가능성 고려: 수많은 독립적인 사업자(판매자 등)에게 개인정보처리시스템 접근 제한, 망분리 등 기술적·관리적 조치를 강제하는 것이 현실적으로 불가능하거나 과도한 경우, 해당 사업자를 개인정보취급자로 보기는 어려울 수 있습니다. 법적 의무 부과 시 현실적인 이행 가능성도 중요한 판단 요소가 됩니다. 4. 독립적인 개인정보처리자로서의 책임: 플랫폼 내에서 활동하는 판매자 등이 자신의 업무 목적으로 개인정보를 처리한다면, 그들은 독립적인 '개인정보처리자'로서 개인정보 보호법상의 모든 의무를 스스로 부담하게 됩니다. 이 경우 플랫폼 운영자는 판매자들에게 개인정보를 '제공하는 제3자'로서의 의무를 준수하면 됩니다.