쇼핑몰 20명 개인정보유출 전체 매출액 기준 과징금 취소

1. 정보통신망의 개인정보 유출 과징금 규정

가. 연혁

구 정보통신망법의 전신은 ‘전산망 보급 확장과 이용촉진에 관한 법률’로서, 1999. 2. 8. 법률 제5835호로 전부개정되어 ‘정보통신망 이용촉진 등에 관한 법률’로 법명이 변경되었고, 다시 2001. 1. 16. 법률 제6360호로 전부개정되어 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’로 법명이 변경되면서 개인정보 보호에 관한 규정이 대폭 추가되었다. 2001. 1. 16. 전부개정된 법률에는 과징금에 관한 규정은 없었고, 위법한 개인정보 수집 등에 대한 과태료 규정(제67조) 및 개인정보를 제공받은 목적 외의 용도로 이용하는 행위 등에 대한 형사처벌 규정(제62조, 제63조)만 존재하였다.

이후 구 정보통신망법이 2008. 6. 13. 법률 제9119호로 개정되면서, 위법행위로 인한 부당이득을 환수함으로써 제재의 실효성을 높일 필요가 있다는 이유로 과징금 부과에 관한 제64조의3이 신설되었다. 이 조항은 과징금의 상한을 ‘위반행위와 관련한 매출액의 100분의 1 이하’로 정하되, 개인정보 보호조치를 하지 아니하여 개인정보 유출 등이 발생한 경우에는 1억 원 이하의 과징금을 부과할 수 있도록 하였다.

대규모 개인정보 유출 사건 등을 계기로 2014. 5. 28. 법률 제12681호로 개정된 구 정보통신망법은 과징금의 상한을 ‘위반행위와 관련한 매출액의 100분의 3 이하’로 변경하고 1억 원 이하의 과징금을 부과할 수 있도록 한 제64조의3 제1항 단서를 삭제하는 등 과징금을 상향 조정하고, 각종 처벌을 강화하였다. 그리고 기존에 개인정보 유출 등으로 인한 과징금 부과 사유에 대해서 ‘조치를 하지 아니하여 이용자의 개인정보를 분실…한 경우’라고 인과관계가 보다 분명하게 요구되는 표현을 사용하였던 것을 ‘개인정보를 분실…한 경우로서 … 조치를 하지 아니한 경우’로 변경하였다(제64조의3 제1항 제6호).

2016. 3. 22. 법률 제14080호로 개정된 구 정보통신망법에서는 제64조의3 제1항 제6호의 ‘누출ㆍ변조’가 ‘유출ㆍ위조ㆍ변조’로 개정되고, 제67조에 따라 준용되는 의무를 위반한 경우를 포함한다고 명시하였다.

이후 2020. 2. 4. 개인정보 보호법이 법률 제16930호로, 정보통신망법이 법률 제16955호로 각 개정되면서 정보통신망법에서 위 과징금 부과 조항이 삭제되고, 개인정보 보호에 관한 규정이 모두 개인정보 보호법으로 일원화되었다. 현행 개인정보 보호법은 정보통신서비스 제공자 등에 대한 특례로 구 정보통신망법과 같은 취지의 과징금 부과 규정을 두고 있다(제39조의15).

 

나. 과징금부과조항 관련 규정의 체계

  1) 구 정보통신망법에 따르면, 정보통신서비스 제공자는 개인정보의 유출 등을 방지하기 위하여 대통령령으로 정하는기준에 따라 기술적ㆍ관리적 조치를 할 의무가 있다(제28조 제1항). 구 정보통신망법 시행령에서는 조치 의무의 내용을 구체화하면서(제15조 제1항 내지 제5항), 보다 세부적인 기준은 방송통신위원회 고시에 위임하였다(제15조 제6항). 이에 따라 마련된 ‘개인정보의 기술적ㆍ관리적 보호조치 기준’에서는 개인정보의 안전성을 확보하기 위한 기술적ㆍ관리적 보호조치의 최소한의 기준을 정하는 한편, 사업규모, 개인정보 보유 수 등을 고려하여 스스로의 환경에 맞는 개인정보 보호조치 기준을 수립하여 시행하여야 한다고 명시하였다(제1조).

  2) 과징금부과조항이 포함된 구 정보통신망법 제64조의3 제1항 제6호는 개인정보의 유출 등이 발생한 경우로서 제28조 제1항 제2호부터 제5호까지의 조치를 하지 아니한 위반행위가 있는 경우에 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 과징금을 부과할 수 있도록 규정하고 있다. 구 정보통신망법은 이와 같은 과징금 부과와 별도로 제28조 제1항에 따른 조치를 하지 아니한 위반행위에 대해 3천만 원 이하의 과태료를 부과하도록 규정하고(제76조 제1항 제3호), 나아가 제28조 제1항 제2호부터 제5호까지의 조치를 하지 아니한 위반행위로 인하여 개인정보의 유출 등이 발생한 경우에는 2년 이하의 징역 또는 2천만 원 이하의 벌금에 처한다고 규정하고 있다(제73조 제1호).

 

다. 과징금부과조항의 해석

  1) 법령을 명확한 용어로 규정할 것을 요구하는 명확성원칙은 민주주의와 법치주의의 원리에 기초하여 모든 기본권 제한입법에 요구되는 원칙이다. 법규범이 명확한지 여부는 그 법규범이 수범자에게 법규의 의미내용을 알 수 있도록 공정한 고지를 하여 예측가능성을 주고 있는지 여부 및 그 법규범이 법을 해석ㆍ집행하는 기관에게 충분한 의미내용을 규율하여 자의적인 법해석이나 법집행이 배제되는지 여부에 따라 판단할 수 있다. 법규범의 의미내용은 그 문언뿐만 아니라 입법목적이나 입법취지, 입법연혁, 그리고 법규범의 체계적 구조 등을 종합적으로 고려하는 해석방법에 의하여 구체화하게 된다. 따라서 법규범이 명확성원칙에 위배되는지 여부는 위와 같은 해석방법에 의하여 그 의미내용을 합리적으로 파악할 수 있는 해석기준을 얻을 수 있는지 여부에 달려 있다(헌재 2012. 11. 29. 2010헌바454 참조).

  2) 과징금부과조항은 ‘위반행위와 관련한 매출액’의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다고 규정하고 있다. 우선, ‘매출액’이란 사전적으로 ‘상품의 매출 또는 서비스의 제공에 대한 수입금액으로, 반제품, 부산품, 작업폐물 등을 포함한 총매출액에서 매출환입액 및 에누리액을 제외한 순매출액’을 의미한다.

 한편, 정보통신서비스 제공자의 개인정보 보호조치 의무 위반 등과 관련하여 과징금을 부과하도록 하는 조항은 구 정보통신망법이 2008. 6. 13. 법률 제9119호로 개정되면서 처음 도입되었는데, 이미 과태료 및 형사처벌 규정이 있었음에도 별도로 과징금 규정을 신설한 것은 위반행위와 관련된 부당이득을 환수함으로써 제재의 실효성을 높이기 위함이었다. 그런데 개인정보의 도난, 유출 등은 정보통신서비스 제공자가 자신이 직접 이익을 얻을 목적으로 행하기보다는 정보통신서비스 제공자의 보호조치 미비 등 과실을 이용하는 제3자에 의하여 이루어지는 경우가 대부분이다. 그렇다면 과징금부과조항에 따른 과징금은 위반행위와 관련된 부당이득을 환수하는 성격과 개인정보 보호조치 의무 이행이라는 행정목적을 실현하기 위하여 그 위반행위에 대하여 제재를 가하는 행정상의 제재금으로서의 성격을 동시에 가진다.

  나아가 ‘위반행위로 인하여 취득한 이익의 규모’는 위반행위의 내용 및 정도, 위반행위의 기간 및 횟수와 함께 과징금을 부과할 때 고려해야 할 여러 사항 중 하나에 불과하다(구 정보통신망법 제64조의3 제3항 참조).

  위와 같은 사정을 종합하면, 과징금부과조항에서 ‘위반행위와 관련한 매출액’은 ‘위반행위로 인하여 취득한 이익’만을 의미하는 것이 아니라 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 매출액을 의미하는 것임을 알 수 있다.

 

정보통신망 이용촉진 및 정보보호 등에 관한 법률(2014. 5. 28. 법률 제12681호로 개정되고, 2016. 3. 22. 법률 제14080호로 개정되기 전의 것)

제64조의3(과징금의 부과 등) ① 방송통신위원회는 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.
   6.이용자의 개인정보를 분실ㆍ도난ㆍ누출ㆍ변조 또는 훼손한 경우로서 제28조 제1항 제2호부터 제5호까지의 조치를 하지 아니한 경우

정보통신망 이용촉진 및 정보보호 등에 관한 법률(2012. 2. 17. 법률 제11322호로 개정되고, 2020. 2. 4. 법률 제16955호로 개정되기 전의 것)

제64조의3(과징금의 부과 등) ② 제1항에 따른 과징금을 부과하는 경우 정보통신서비스 제공자등이 매출액 산정자료의 제출을 거부하거나 거짓의 자료를 제출한 경우에는 해당 정보통신서비스 제공자등과 비슷한 규모의 정보통신서비스 제공자등의 재무제표 등 회계자료와 가입자 수 및 이용요금 등 영업현황 자료에 근거하여 매출액을 추정할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 4억원 이하의 과징금을 부과할 수 있다.

구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2008. 6. 13. 법률 제9119호로 개정되고, 2016. 3. 22. 법률 제14080호로 개정되기 전의 것)

제25조(개인정보의 취급위탁) ① 정보통신서비스 제공자와 그로부터 제24조의2 제1항에 따라 이용자의 개인정보를 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 제3자에게 이용자의 개인정보를 수집ㆍ보관ㆍ처리ㆍ이용ㆍ제공ㆍ관리ㆍ파기 등(이하 “취급”이라 한다)을 할 수 있도록 업무를 위탁(이하 “개인정보 취급위탁”이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. (각 호 생략)

제28조(개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실ㆍ도난ㆍ누출ㆍ변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적ㆍ관리적 조치를 하여야 한다.
   2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치ㆍ운영
   4. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화기술 등을 이용한 보안조치

구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2008. 6. 13. 법률 제9119호로 개정되고, 2020. 2. 4. 법률 제16955호로 개정되기 전의 것)

제64조의3(과징금의 부과 등) ③ 방송통신위원회는 제1항에 따른 과징금을 부과하려면 다음 각 호의 사항을 고려하여야 한다.
   1. 위반행위의 내용 및 정도
   2. 위반행위의 기간 및 횟수
   3. 위반행위로 인하여 취득한 이익의 규모
④ 제1항에 따른 과징금은 제3항을 고려하여 산정하되, 구체적인 산정기준과 산정절차는 대통령령으로 정한다.

 

2. 쇼핑몰 개인정보 유출과 과징금액 산정

가. 쇼핑몰 이벤트 개인정보 유출 시정명령, 과태료 및 과징금 부과

원고는 쇼핑몰을 운영하는 회사로, 이벤트를 진행하면서 모바일용 이벤트 페이지에 캐시 정책을 잘못 설정하여 쇼핑몰 이용자 20명의 개인정보가 다른 이용자 29명에게 노출되는 사고가 발생하였다.

피고 개인정보보호위원회(2020. 8. 5. 「개인정보 보호법」 개정에 따라 방송통신위원회 소관사무 중 개인정보보호 해당 사항에 관한 행정처분은 피고의 행위로 봄)는 원고가 구 정보통신망법 제28조 제1항 제2호 등을 위반하여 쇼핑몰 이용자들의 개인정보를 유출했다는 이유로 원고가 운영하는 쇼핑몰의 전체 매출액을 구 과징금 부과기준 제4조 제1항에서 정한 ‘관련 매출액’으로 보아, 이를 기준으로 원고에 대하여 시정명령, 과태료 및 과징금 18억 5,200만 원 부과처분 등을 하였다.

나. 2심, 서비스 매출액은 이벤트로 인한 매출액

원심은, ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 매출액은 ‘쇼핑몰 전체의 연매출액’이 아닌 ‘이벤트로 인한 매출액’으로 한정되어야 하고, 이 사건 과징금의 액수는 다른 정보통신서비스 제공자의 위반행위에 대해 부과된 과징금 액수와 비교하여 균형을 잃은 것으로 보인다고 판단하여 과징금 부과처분을 취소하였다.

다. 과징금 산정 기준 및 위법성 판단

 1) 대법원, 쇼핑몰 전체 매출액이 ‘관련 매출액’, 과징금은 위법성에 비해 과중

  대법원 2023. 10. 12. 선고 2022두68923 판결은, 개인정보 유출로 인한 과징금 부과처분의 취소를 구한 사건에서 아래 법리에 따라 원고가 운영하는 쇼핑몰 전체 매출액이 ‘관련 매출액’에 해당한다고 보아야 하나, 이 사건 과징금액은 제재적 성격이 지나치게 강조되어 위반행위의 위법성의 정도에 비해 과중하게 산정되었다고 볼 수 있다고 판단하여, 원심의 결론을 수긍하면서 상고를 기각하였다.

 2) 관련 법리

 가) 개인정보 유출 관련 과징금 산정의 기초가 되는 매출액 산정 시 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 범위

  (1) 과징금 산정의 기초가 되는 매출액에 관한 규정의 내용

   구 정보통신망법 제64조의3 제1항 제6호는 이용자의 개인정보를 유출한 경우로서 개인정보의 보호조치를 하지 아니한 경우 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 규정하면서, 제4항에서 과징금의 구체적 산정기준과 산정절차는 대통령령으로 정하도록 하고 있다.

   그 위임에 따른 구 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것, 이하 ‘구 정보통신망법 시행령’이라고 한다) 제69조의2 제1항 본문은 ‘위반행위와 관련한 매출액’을 “해당 정보통신서비스 제공자 등의 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연평균 매출액”이라고 정의하면서, 같은 조 제4항 [별표 8]의 “3. 세부기준”에서 방송통신위원회로 하여금 위반행위와 관련한 매출액의 산정에 관한 세부 기준을 정하여 고시하도록 하였다.

   구 과징금 부과기준 제4조 제1항은 관련 매출액을 “위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업연도의 연평균 매출액”으로 정하였고, 같은 조 제2항은 관련 매출액 산정 시 서비스의 범위는 서비스 제공방식, 서비스 가입방법, 이용약관에서 규정한 서비스 범위, 개인정보 데이터베이스 관리 조직ㆍ인력 및 시스템 운영 방식 등을 고려하여 판단한다고 정하고 있다.

   (2) 과징금의 성격

   과징금은 위반행위에 대한 제재의 성격과 함께 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수로서의 성격도 가지고, 이는 구 정보통신망법 제64조의3 제1항 각 호에서 정한 행위에 대하여 부과하는 과징금의 경우도 마찬가지이다.

   그런데 이 사건과 같이 이용자의 개인정보가 유출된 경우 정보통신서비스 제공자가 개인정보 보호조치를 취하지 않음으로 인해 매출액이 증대되는 경우를 상정하기 어렵다. 구 과징금 부과기준 제4조 제2항 또한 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 범위를 판단할 때 서비스 가입방법, 개인정보 데이터베이스 관리 조직ㆍ인력 및 시스템 운영 방식 등을 고려하도록 하고 있는바, 위 요소들은 위반행위로 인하여 취득한 이익의 규모와 직접적인 관련이 없다.

   구 정보통신망법 제64조의3 제1항 제6호에서 정한 자에 대하여 과징금을 부과함으로써 박탈하고자 하는 이득은, 문제된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히려 정보통신서비스 제공자가 적절한 보호조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유함으로써 얻은 이득이라 보아야 한다. 이에 따라 위 과징금 부과를 위한 관련 매출액을 산정함에 있어 “위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스”의 범위는, 유출사고가 발생한 개인정보를 보유ㆍ관리하고 있는 서비스의 범위를 기준으로 판단하여야 한다.

 나) 개인정보 보호조치 의무 위반에 대한 과징금 부과처분의 재량권 일탈ㆍ남용 여부 판단 기준

  구 정보통신망법 제64조의3 제1항에 따른 과징금은 법 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수의 성격과 함께 위법행위에 대한 제재로서의 성격을 가지고, 같은 조 제3항은 과징금을 부과할 때 위반행위의 내용과 정도, 기간과 횟수 외에 위반행위로 인하여 취득한 이익의 규모 등도 고려하도록 규정하고 있다.

  개인정보 보호조치 의무 위반에 대해 부과되는 과징금의 액수는 보호조치 위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려하여 정하여야 한다. 그리고 과징금의 액수가 위반행위의 내용에 비해 과중하여 사회통념상 현저하게 타당성을 잃은 경우라면 그러한 과징금 처분은 재량권을 일탈ㆍ남용하여 위법하다고 보아야 한다.