최근소식

최근 네이버, 지마켓(구 이베이코리아)에 대한 개인정보보호위원회의 제재처분을 취소하는 판결(이하 ‘대상판결’)이 확정되어 그 내용을 소개해 드립니다. 대상판결은 '통신판매 중개 서비스를 제공하는 플랫폼(이하 “중개 플랫폼”)에 입점한 판매자(이하 ‘판매자’)는 개인정보 보호법상 중개 플랫폼 사업자의 개인정보취급자에 해당하지 않는다’는 판단을 하였습니다. 구체적 내용은 아래와 같습니다. 

1. 사안의 개요
중개 플랫폼 사업자는 해당 플랫폼 회원들(판매자와 구매자)에게 온라인 공간에서 상품을 거래할 수 있는 서비스를 제공합니다. 판매자는 중개 플랫폼 사업자로부터 제공받은 구매자의 개인정보를 이용하여 구매자에게 상품을 배송하는 등 판매 업무를 수행합니다.

개인정보보호위원회는 중개 플랫폼 사업자가 개인정보 보호법상 ‘개인정보처리자’이며, 판매자는 중개 플랫폼 사업자의 지휘·감독을 받아 개인정보를 처리하는 ‘개인정보취급자’에 해당한다고 전제하고, 중개 플랫폼 사업자가 판매자로 하여금 계정(ID)과 비밀번호만으로 판매자시스템에 접속할 수 있도록 하고 추가적으로 안전한 인증수단을 적용하지 않은 것이 개인정보 보호법상 안전조치의무를 위반한 것으로 판단하였습니다. 이에 개인정보보호위원회는 중개 플랫폼 사업자인 7개 대형 사업자들에게 안전한 인증수단 적용 및 판매자들에 대한 정기적인 교육 실시 등의 시정조치를 명하였습니다(이하 ‘이 사건 처분’). 

이 사건 처분을 부과받은 중개 플랫폼 사업자들 중 네이버와 지마켓은 개인정보보호위원회를 상대로 이 사건 처분의 취소를 구하는 소를 각 제기하였고, 법무법인(유) 광장은 제1심부터 네이버와 지마켓을 대리하여 소송을 수행하였습니다.

2. 대상판결의 요지
개인정보처리자의 안전한 인증수단 적용 의무는 ‘개인정보취급자’에 대해 적용되는 것이므로, 이 사건 처분의 위법성을 판단함에 있어서는 판매자가 중개 플랫폼 사업자의 ‘개인정보취급자’에 해당하는지가 핵심적인 쟁점이 되었습니다.

대상판결은 다음과 같은 이유로, 판매자는 중개 플랫폼 사업자의 ‘개인정보취급자’에 해당하지 않는다고 판단하여 이 사건 처분을 취소하였고, 대법원 및 서울고등법원에서 위 판결이 확정되었습니다. 

   - ‘개인정보취급자’는 반드시 개인정보처리자와 고용계약을 체결한 자로 한정되는 것은 아니며, 법령 또는 계약상 개인정보처리자의 의사에 따라 개인정보처리자를 위하여 그 지휘·감독 아래 업무를 집행하는 자를 의미함.

   - 판매자는 중개 플랫폼 사업자로부터 구매자의 개인정보를 제공받아 판매자 자신의 업무를 위하여 스스로의 의사에 따라 개인정보를 처리하는 ‘개인정보처리자’이자 ‘제3자’일 뿐, 중개 플랫폼 사업자의 ‘개인정보취급자’에 해당하지 않음.

3. 대상판결의 의의
대상판결은 개인정보 보호법상 ‘개인정보취급자’의 정의 및 범위, 개인정보취급자와 제3자 구분의 중요성에 대하여 최초로 구체적인 판시를 하였다는 점에서 큰 의미가 있습니다. 대상판결은 비단 중개 플랫폼 영역에 국한되지 않고, 개별 사안에서 ‘개인정보취급자’ 해당 여부 및 안전성 확보조치 적용 대상 여부에 관한 판단 기준 제시를 하였다는 점에서 향후 중요한 leading case가 될 것입니다.

개인정보보호위원회는 기존에 가이드라인을 통하여 판매자가 중개 플랫폼 사업자의 개인정보취급자에 해당한다는 해석을 하고 있었으나, 법원은 이를 제재 처분의 근거로 삼기는 어렵다고 판단한 것입니다. 다만, 네이버, 지마켓 등 중개 플랫폼 사업자들은 자율규제로서 구매자의 개인정보를 보호하기 위한 안전조치 수준을 스스로 강화한 바 있습니다(개인정보보호위원회, 2022. 7. 13.자 “온라인쇼핑(중개) 플랫폼 10개 사, 안전한 개인정보 이용을 위한 민관협력 자율규제 규약 서명” 보도자료).

또한 대상판결은 중개 플랫폼 사업자와 판매자 간 개인정보 처리에 관한 책임의 범위를 명확히 정립하였다는 점에서, 향후 중개 플랫폼 사업자가 개인정보 보호에 관한 컴플라이언스 구축 업무를 수행함에 있어서도 중요한 참고가 될 것으로 평가할 수 있습니다.


이번 판결은, 2020년 데이터 3법 개정 이후 중앙행정기관으로 새로이 출범한 개인정보보호위원회의 처분에 대하여 취소 판결이 내려진 최초의 판결입니다. 저희 법무법인(유) 광장은 국내 최대 규모의 개인정보 보호 및 정보보안 전문가들로 구성된 개인정보 및 정보보호 그룹을 구성하여, 이 사건 소송 수행을 포함하여 정보보호 분야에 관한 선도적인 자문 활동과 규제 대응 업무를 수행해 오고 있습니다.

개인정보 보호법 등 정보보호 분야와 관련하여 도움이 필요하신 경우, 언제든지 법무법인(유) 광장 개인정보 보호 및 정보보호 그룹에 문의하여 주시기 바랍니다.
 

2021년 1월 개인정보보호위원회는 네이버와 지마켓에 대하여, 오픈마켓 판매자 계정 도용 등에 따른 전자상거래 사기 사건이 지속적으로 증가하고 있음에도 판매자가 시스템 접속 시 충분한 안전성 확보조치를 취하지 아니하였다는 이유로 시정명령 및 과태료 부과 처분을 내렸습니다. 개인정보보호위원회는 네이버와 지마켓에서 물품을 판매하는 제3자들이 네이버와 지마켓의 개인정보취급자라고 보고, 네이버와 지마켓이 이들에 대한 관리·감독의무가 있다고 보아 위 처분을 한 것입니다.

이에 법무법인(유) 광장은 네이버 및 지마켓을 대리하여 위 처분에 대한 취소소송을 제기하였으며, 판매자들은 네이버와 지마켓의 개인정보취급자가 아니라 이들로부터 개인정보를 제공받은 제3자이자 독립한 개인정보처리자라는 점을 다양한 각도에서 입증하며 위 처분이 위법·부당함을 주장하였습니다. 

1심 법원은 네이버 및 지마켓의 주장을 받아들여 개인정보보호위원회의 본건 처분을 취소하였으며, 최근 지마켓 사건의 항소심 법원도 개인정보보호위원회의 항소를 기각하여 원심 판단을 유지하였습니다. 개인정보보호위원회는 데이터 3법 개정 이후 중앙행정기관으로 새롭게 출범하였는데, 현재 본건은 중앙행정기관인 개인정보보호위원회의 처분에 대하여 취소 판결이 내려진 유일한 사건입니다.

나아가 본건은 개인정보취급자의 범위를 명확히 하는 최초의 판결이고, 특히 오픈마켓 등 전자상거래 비즈니스와 관련하여 플랫폼 서비스 제공자의 역할 및 책임이라는 관점에서 선례로서 매우 중요한 가치를 지니고 있습니다. 

병원 직원이 제약사 직원에게 민감정보가 포함된 환자정보 약 5만여 건을 송부한 사안에서, 법무법인(유) 광장은 연세의료원(세브란스병원)을 대리하였습니다. 경찰 등 수사기관이 리베이트 관련 제약사 압수수색과정에서 본건 환자정보 유출을 확인함에 따라, 수사기관 수사와 개인정보보호위원회 조사가 함께 진행되었습니다. 또한 연세의료원은 의료법인인 동시에 학교법인에도 속한 관계로 본건에서는 소관부처인 교육부와 보건복지부에 대한 대응도 필요하였습니다. 

광장의 개인정보팀은 사건 초기부터 정보보호 전문 위원들을 세브란스 병원에 상주시켜 수사기관 및 개인정보보호위원회 조사를 시뮬레이션 하고 대응하였으며, 개인정보 유출과 관련한 언론 및 환자 민원 대응 업무까지 수행하였습니다. 

특히 수사기관의 수사 과정에서는 광장의 개인정보팀과 형사팀이 협업하여 연세의료원 주요 임원의 참고인 조사에 참여하고 변호인 의견서를 제출하였습니다. 환자의 개인정보 유출로 인한 손해배상청구 소송에서는 광장의 개인정보팀과 송무팀이 협업하여 본건이 불필요한 소송전으로 확대되는 것을 미연에 방지하였습니다. 

광장은 본건에서 규제기관 대응 업무에만 그치지 않고 연세의료원의 개인정보 보호 절차 개선 업무, 연세의료원 및 개별 병원의 정보보호조직 개편 업무 등 정보보호 거버넌스에 관한 실무 자문도 수행하였습니다.

이와 같이 광장이 개인정보팀을 중심으로 유기적이고 전문화된 토탈서비스를 제공한 결과, 고객은 복잡하고 전방위적인 개인정보 유출 사건에서 최소한의 제재만 받게 되었습니다. 광장은 고객의 신뢰를 바탕으로 현재도 수사기관 대응 등 본건의 잔여 업무를 신속하고 효과적으로 수행하고 있습니다.

개인정보보호위원회는 7개 오픈마켓 사업자가 오픈마켓 내 판매자들이 시스템에 접속할 때 안전한 인증수단을 적용하지 않은 것이 개인정보 보호법상 개인정보의 기술적ㆍ관리적 보호조치 기준의 위반이라고 판단해 2021.06.25. 위 오픈마켓 사업자들을 대상으로 과태료 및 시정조치 명령을 부과했습니다. 

법무법인(유) 광장은 위 7개 오픈마켓 사업자 중 네이버와 지마켓글로벌(구 이베이코리아)를 대리해 시정조치 명령의 취소를 구하는 행정소송을 수행했습니다. 

광장은 행정소송에서 개인정보보호위원회의 시정명령이 오픈마켓 판매자가 오픈마켓 사업자의 ‘개인정보취급자’에 해당한다는 것을 전제로 하는데, 오픈마켓 판매자는 자신의 상품 판매라는 독립적인 업무와 이익을 위해 개인정보를 처리하는 개인정보처리자의 지위에 있을 뿐만 아니라 오픈마켓 사업자로부터 구매자의 개인정보를 제공받은 자이므로 개인정보취급자에 해당하지 않는다는 점을 주장했습니다. 1심 재판부는 위 주장을 받아들여 개인정보보호위원회의 시정조치 명령을 취소한다는 판결을 내렸습니다. 

본 판결은 오픈마켓 뿐 아니라 향후 다양한 온라인 플랫폼 사업자들과 이용자들 간 관계를 정의함에 있어서도 큰 영향을 미칠 선례가 될 것으로 보입니다. 본 소송의 성공적인 수행을 통해 개인정보 분야에서 광장의 독보적인 전문성이 다시 한번 확인됐습니다.