행정
원고는 소셜 네트워크 서비스인 B와 C를 운영하는 사업자로서, 이용자들이 다른 웹사이트나 앱에서 활동한 행태 정보(타사 행태정보)를 서비스 가입 시 필수적으로 동의하도록 했습니다. 이에 피고인 개인정보보호위원회는 원고의 이러한 행위가 서비스 제공에 반드시 필요한 최소한의 개인정보 외의 정보를 제공하지 않는다는 이유로 서비스 제공을 거부해서는 안 된다는 구 개인정보 보호법 제39조의3 제3항을 위반했다고 보아 시정명령과 공표 결정을 내렸습니다. 원고는 이 처분이 위법하다며 취소를 구하는 소송을 제기했으나 법원은 원고의 청구를 모두 기각했습니다.
원고는 소셜 네트워크 서비스인 'B'와 'C'를 운영하며 이용자들의 다양한 온라인 활동을 기반으로 맞춤형 콘텐츠와 광고를 제공했습니다. 이를 위해 원고는 다른 웹사이트나 모바일 앱 사업자들에게 비즈니스 도구(웹사이트용 D, 앱용 E)를 무료로 배포했습니다. 이 도구가 설치된 웹이나 앱을 이용자가 방문하여 활동하면, 해당 행태 정보(타사 행태정보)는 원고가 생성하고 이용자 기기에 저장해 둔 온라인 식별자(쿠키, 광고식별자 등)와 결합하여 이용자의 계정 정보와 매칭된 상태로 원고의 서버로 전송되었습니다. 문제는 원고가 이 사건 서비스의 회원 가입 단계에서 이용자들에게 성명, 생일, 성별, 연락처, 비밀번호 등 필수 정보와 함께 원고의 '데이터 정책'에 '동의'를 체크하도록 강제했다는 점입니다. 이 데이터 정책은 1만 4천여 글자, 694줄에 달하는 방대한 내용으로, 이 안에는 타사 행태정보 수집 및 맞춤형 광고 이용에 관한 내용이 포함되어 있었습니다. 이용자가 이 정책에 동의하지 않으면 서비스 가입 자체가 불가능했으며, '허용 안 함'과 같은 선택지는 제공되지 않았습니다. 개인정보보호위원회는 원고가 이러한 방식으로 타사 행태정보를 수집한 것이 '필요 최소한의 개인정보 이외의 개인정보를 제공하지 않는다는 이유로 서비스 제공을 거부해서는 안 된다'는 구 개인정보 보호법 제39조의3 제3항을 위반했다고 판단했습니다. 즉, 타사 행태정보가 서비스의 본질적인 기능에 반드시 필요한 정보가 아님에도 불구하고 이를 필수적으로 동의하게 함으로써 서비스 가입을 강제했다고 본 것입니다. 이에 개인정보보호위원회는 원고에게 시정명령과 공표 결정을 내렸고, 원고는 이에 불복하여 이 처분의 취소를 구하는 소송을 제기했습니다.
이 사건의 주요 쟁점은 다음과 같습니다. 첫째, 원고가 이용자들의 다른 웹사이트나 앱에서의 활동 정보(타사 행태정보)를 수집하는 주체에 해당하는지 여부입니다. 둘째, 원고가 수집한 타사 행태정보가 원고가 제공하는 서비스의 본질적인 기능을 수행하기 위해 반드시 필요한 최소한의 개인정보인지 여부입니다. 셋째, 원고가 타사 행태정보 제공에 동의하지 않으면 서비스 가입이 불가능하도록 한 것이 구 개인정보 보호법 제39조의3 제3항에서 금지하는 '필요 최소한의 개인정보 이외의 정보를 제공하지 아니한다는 이유로 서비스 제공을 거부한 행위'에 해당하는지 여부입니다. 넷째, 피고가 내린 시정명령과 공표 결정이 재량권을 일탈하거나 남용한 위법한 처분인지 여부입니다.
법원은 원고의 주장을 모두 받아들이지 않고, 피고인 개인정보보호위원회가 원고에게 내린 시정명령과 공표 결정이 적법하다고 판단하여 원고의 청구를 모두 기각했습니다. 이로써 원고는 소송비용까지 부담하게 되었습니다.
이번 판결을 통해 소셜 미디어와 같은 정보통신 서비스 제공자는 서비스 가입 시 이용자에게 본질적 기능에 필요 없는 외부 활동 정보(타사 행태정보)의 수집 동의를 강제할 수 없다는 점이 명확해졌습니다. 이는 이용자의 개인정보 자기결정권을 보호하고, 정보통신서비스 제공자가 개인정보 보호법의 최소 수집 원칙과 동의 강제 금지 원칙을 준수해야 함을 강조하는 중요한 선례가 됩니다. 이용자들은 서비스 가입 단계에서부터 비필수적인 개인정보 수집에 대한 거부 선택권을 보장받아야 합니다.
이 사건은 주로 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것)의 여러 조항과 관련 법리에 따라 판단되었습니다.
