본문 바로가기

칼럼 & 사례

〈인터넷 사이트에서 개인정보를 수집하면서 적법한 동의를 받았는지 문제 된 사건〉[공2016하,1045]

대법원 2016. 6. 28. 선고 2014두2638 판결

[시정조치등취소]〈인터넷 사이트에서 개인정보를 수집하면서 적법한 동의를 받았는지 문제 된 사건〉[공2016하,1045]

【판시사항】

 

[1] 정보통신서비스 제공자가 이용자에게서 개인정보 수집·제공에 관하여 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따라 적법한 동의를 받기 위한 요건

 

 

[2] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따른 정보통신서비스 제공자인 갑 주식회사가 오픈마켓 등 웹사이트의 배너 및 이벤트 광고 팝업창을 통하여 개인정보 수집 항목 및 목적, 보유기간에 대한 안내 없이 ‘확인’을 선택하면 동의한 것으로 간주하는 방법으로 명시적인 동의를 받지 않고 이용자 개인정보를 수집하여 보험사 등에 제공하였다는 이유로 방송통신위원회가 갑 회사에 시정조치 등을 한 사안에서, 갑 회사가 이벤트 화면을 통하여 이용자의 개인정보 수집 등을 하면서 위 법률에 따른 개인정보의 수집·제3자 제공에 필요한 이용자의 적법한 동의를 받지 않았다고 본 원심판단이 정당하다고 한 사례

 

【판결요지】

 

[1] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2013. 3. 23. 법률 제11690호로 개정되기 전의 것, 이하 ‘정보통신망법’이라 한다) 제22조 제1항, 제24조의2 제1항, 제26조의2, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2012. 8. 17. 대통령령 제24047호로 개정되기 전의 것) 제12조 제1항의 문언·체계·취지 등에 비추어 보면, 정보통신서비스 제공자가 이용자에게서 개인정보 수집·제공에 관하여 정보통신망법에 따라 적법한 동의를 받기 위하여는, 이용자가 개인정보 제공에 관한 결정권을 충분히 자유롭게 행사할 수 있도록, 정보통신서비스 제공자가 미리 인터넷 사이트에 통상의 이용자라면 용이하게 ‘개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간’(이하 통틀어 ‘법정 고지사항’이라 한다)의 구체적 내용을 알아볼 수 있을 정도로 법정 고지사항 전부를 명확하게 게재하여야 한다. 아울러, 법정 고지사항을 게재하는 부분과 이용자의 동의 여부를 표시할 수 있는 부분을 밀접하게 배치하여 이용자가 법정 고지사항을 인지하여 확인할 수 있는 상태에서 개인정보의 수집·제공에 대한 동의 여부를 판단할 수 있어야 하고, 그에 따른 동의의 표시는 이용자가 개인정보의 수집·제공에 동의를 한다는 명확한 인식하에 행하여질 수 있도록 실행 방법이 마련되어야 한다.

 

 

[2] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2013. 3. 23. 법률 제11690호로 개정되기 전의 것, 이하 ‘정보통신망법’이라 한다)에 따른 정보통신서비스 제공자인 갑 주식회사가 오픈마켓 등 웹사이트의 배너 및 이벤트 광고 팝업창을 통하여 개인정보 수집 항목 및 목적, 보유기간에 대한 안내 없이 ‘확인’을 선택하면 동의한 것으로 간주하는 방법으로 명시적인 동의를 받지 않고 이용자 개인정보를 수집하여 보험사 등에 제공하였다는 이유로 방송통신위원회가 갑 회사에 시정조치 등을 한 사안에서, 갑 회사가 이벤트 화면에서 법정 고지사항을 제일 하단에 배치한 것은 법정 고지사항을 미리 명확하게 인지·확인할 수 있게 배치한 것으로 볼 수 없는 점, 이벤트 화면에 스크롤바를 설치한 것만으로는 개인정보 수집·이용 및 제3자 제공에 관한 동의를 구하고 있고 화면 하단에 법정 고지사항이 존재한다는 점을 쉽게 인지하여 확인할 수 있는 형태라고 볼 수 없는 점, 이벤트에 참여하려면 일련의 팝업창이 뜨는데, 팝업창 문구 자체만으로는 수집·제공의 대상이 ‘개인정보’이고 제공처가 제3자인 보험회사라는 점을 쉽고 명확하게 밝힌 것으로 볼 수 없는데도 이용자가 팝업창에서 ‘확인’ 버튼만 선택하면 개인정보 수집·제3자 제공에 동의한 것으로 간주되도록 한 점 등을 종합하면, 갑 회사가 이벤트 화면을 통하여 이용자의 개인정보 수집 등을 하면서 정보통신망법에 따른 개인정보의 수집·제3자 제공에 필요한 이용자의 적법한 동의를 받지 않았다고 본 원심판단이 정당하다고 한 사례.

 

【참조조문】

[1] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2013. 3. 23. 법률 제11690호로 개정되기 전의 것) 제22조 제1항, 제24조의2 제1항, 제26조의2, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2012. 8. 17. 대통령령 제24047호로 개정되기 전의 것) 제12조 제1항 [2] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2013. 3. 23. 법률 제11690호로 개정되기 전의 것) 제22조 제1항, 제24조의2 제1항, 제26조의2, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2012. 8. 17. 대통령령 제24047호로 개정되기 전의 것) 제12조 제1항

【전 문】

【원고, 상고인】주식회사 열심히커뮤니케이션즈 (소송대리인 법무법인 광장 담당변호사 고원석 외 7인)

【피고, 피상고인】방송통신위원회 (소송대리인 법무법인(유한) 태평양 담당변호사 류광현 외 3인)

【원심판결】서울고법 2014. 1. 9. 선고 2013누14476 판결

【주 문】

상고를 기각한다. 상고비용은 원고가 부담한다.

【이 유】

상고이유(상고이유서 제출기간이 경과한 후에 제출된 ‘참고서면’의 기재는 상고이유를 보충하는 범위 내에서)를 판단한다.

1. 원고가 개인정보를 수집·제공함에 있어 이용자의 동의를 받아야 하는지(상고이유 제8점)에 관하여

가. 원고가 정보통신서비스 제공자에 해당하는지

(1) 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2013. 3. 23. 법률 제11690호로 개정되기 전의 것, 이하 ‘정보통신망법’이라 한다) 제2조 제1항 제3호는 ‘정보통신서비스 제공자’란 ‘전기통신사업법 제2조 제8호에 따른 전기통신사업자’와 ‘영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자’를 말한다고 규정하고, 제4호는 ‘이용자’란 ‘정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자’를 말한다고 규정하고 있다.

(2) 원심은, 원고는 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 이 사건 이벤트 화면을 통하여 이벤트에 관한 정보를 제공하거나 그 정보의 제공을 매개하는 자로서 ‘정보통신서비스 제공자’에 해당하고, 이 사건 이벤트 화면에 접속하여 이벤트에 참여하면서 개인정보를 제공한 자는 원고가 제공한 정보통신서비스를 이용한 ‘이용자’에 해당한다고 판단하였다.

(3) 원심판결 이유를 앞서 본 관련 법률규정과 기록에 비추어 살펴보면 원심의 판단은 정당한 것으로 수긍이 가고, 거기에 상고이유의 주장과 같은 정보통신망법상 이용자의 해석·적용에 관한 법리오해 등의 위법이 없다.

나. 원고가 개인정보보호법 제15조 제1항 제4호에 따라 정보주체의 동의 없이 개인정보를 수집·이용할 수 있는지

(1) 원심은, ① 2011. 3. 29. 법률 제10465호로 제정되어 2011. 9. 30.부터 시행된 개인정보보호법 제2조 제5호에 의하면 개인정보보호법의 수범자는 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등에 해당하는 ‘개인정보처리자’로서, 정보통신망법의 수범자인 ‘정보통신서비스 제공자’와 명확히 구분되는 점, ② 개인정보보호법은 제6조에서 “개인정보 보호에 관하여는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「신용정보의 이용 및 보호에 관한 법률」 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.”라고 규정하고 있고, 원고와 같은 정보통신서비스 제공자의 개인정보 수집·이용에 이용자의 동의가 필요하다는 것과 동의가 필요하지 아니한 예외 사유에 관하여 정보통신망법 제22조에서 별도로 규정하고 있으므로 정보통신망법 규정이 우선적으로 적용되어야 할 것인 점, ③ 비록 개인정보보호법 제15조 제1항에서 정보주체의 동의를 받은 경우(제1호) 이외에 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우(제4호)에 정보주체의 동의 없이도 개인정보를 수집할 수 있도록 규정하고 있지만, 위 규정의 수범자가 ‘개인정보처리자’임을 명시하고 있는 이상, 개인정보보호법 제15조 제1항 제4호의 규정만을 근거로 전기통신설비나 컴퓨터 등을 이용하여 다량의 개인정보를 수집하고 제3자에 제공할 수 있는 정보통신서비스 제공자로 하여금 이용자의 동의 없는 개인정보의 수집 등을 허용할 수는 없다고 판단되는 점 등의 사정을 들어, 정보통신서비스 제공자인 원고가 개인정보보호법 제15조 제1항 제4호를 근거로 이용자의 동의 없이도 개인정보를 수집·이용할 수 있다는 취지의 원고의 주장을 받아들이지 아니하였다.

(2) 원심판결 이유를 관련 법리와 기록에 비추어 살펴보면 원심의 판단은 정당한 것으로 수긍이 가고, 거기에 상고이유의 주장과 같은 개인정보보호법 제15조 제1항 제4호의 적용 범위 등에 관한 법리오해 등의 위법이 없다.

2. 원고가 이용자의 적법한 동의를 받았는지(상고이유 제1점 내지 제4점, 제7점)에 관하여

가. (1) 정보통신망법은, 정보통신서비스 제공자는 이용자의 개인정보를 수집·이용하려면 ‘개인정보의 수집·이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유·이용 기간’을 이용자에게 알리고 동의를 받아야 하고(제22조 제1항), 이용자의 개인정보를 제3자에게 제공하려면 일정한 경우 외에는 ‘개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간’을 이용자에게 알리고 동의를 받아야 한다(제24조의2 제1항)고 규정하고 있다(이하 동의를 받을 때 이용자에게 알려야 할 사항을 통틀어 ‘법정 고지사항’이라 한다). 정보통신망법 제26조의2는 이용자로부터 동의를 받는 방법은 개인정보의 수집매체, 업종의 특성 및 이용자의 수 등을 고려하여 대통령령으로 정하도록 위임하고 있다. 이에 따라 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2012. 8. 17. 대통령령 제24047호로 개정되기 전의 것, 이하 ‘정보통신망법 시행령’이라 한다) 제12조 제1항은 정보통신서비스 제공자가 동의를 받는 방법 중 하나로 ‘인터넷 사이트에 동의 내용을 게재하고 이용자가 동의 여부를 표시하도록 하는 방법’(제1호)을 들면서, ‘정보통신서비스 제공자 등은 동의를 받아야 할 사항을 이용자가 명확하게 인지하고 확인할 수 있도록 표시하여야 한다’고 규정하고 있다.

이러한 관련 법령규정의 문언·체계·취지 등에 비추어 보면, 정보통신서비스 제공자가 이용자로부터 개인정보 수집·제공에 관하여 정보통신망법에 따라 적법한 동의를 받기 위하여는, 이용자가 개인정보 제공에 관한 결정권을 충분히 자유롭게 행사할 수 있도록, 정보통신서비스 제공자가 미리 해당 인터넷 사이트에 통상의 이용자라면 용이하게 법정 고지사항의 구체적 내용을 알아볼 수 있을 정도로 법정 고지사항 전부를 명확하게 게재하여야 한다. 아울러, 법정 고지사항을 게재하는 부분과 이용자의 동의 여부를 표시할 수 있는 부분을 밀접하게 배치하여 이용자가 법정 고지사항을 인지하여 확인할 수 있는 상태에서 개인정보의 수집·제공에 대한 동의 여부를 판단할 수 있어야 하고, 그에 따른 동의의 표시는 이용자가 개인정보의 수집·제공에 동의를 한다는 명확한 인식하에 행하여질 수 있도록 그 실행 방법이 마련되어야 한다.

(2) 항고소송에서 당해 처분의 적법성에 대한 증명책임은 원칙적으로 처분의 적법을 주장하는 처분청에 있지만, 처분청이 주장하는 당해 처분의 적법성에 관하여 합리적으로 수긍할 수 있는 정도로 증명한 경우 그 처분은 정당하고, 이와 상반되는 예외적인 사정에 대한 주장과 증명은 상대방에게 책임이 돌아간다(대법원 2012. 6. 18. 선고 2010두27639, 27646 전원합의체 판결 참조).

나. 원심은 그 채택 증거를 종합하여 판시와 같은 사실을 인정한 다음, ① 원고가 이 사건 이벤트 화면에서 법정 고지사항을 제일 하단에 배치한 것은 법정 고지사항을 미리 명확하게 인지·확인할 수 있게 배치한 것으로 볼 수 없는 점, ② 원고가 이 사건 이벤트 화면에 스크롤바를 설치한 것만으로는 개인정보 수집·이용 및 제3자 제공에 관한 동의를 구하고 있고 화면 하단에 법정 고지사항이 존재한다는 점을 쉽게 인지하여 이를 확인할 수 있는 형태라고 볼 수 없는 점, ③ 이 사건 이벤트 화면에서 개인정보의 수집·제공에 관한 동의 여부를 표시하도록 되어 있는 체크박스에 아무런 표시도 하지 아니한 채 이벤트에 참여하려 하면 일련의 팝업창이 뜨는데, 그 팝업창 문구 자체만으로는 수집·제공의 대상이 ‘개인정보’이고 제공처가 제3자인 보험회사라는 점을 쉽고 명확하게 밝힌 것으로 볼 수 없음에도 원고는 이용자가 팝업창에서 ‘확인’ 버튼만 선택하면 개인정보 수집·제3자 제공에 동의한 것으로 간주되도록 한 점, ④ 원고가 이와 같은 방식으로 개인정보 수집 등을 할 수밖에 없는 불가피한 사정이 있다고 보기 어려운 점 등의 사정을 들어, 원고가 이 사건 이벤트 화면을 통하여 이용자의 개인정보 수집 등을 하면서 정보통신망법에 따른 개인정보의 수집·제3자 제공에 필요한 이용자의 적법한 동의를 받은 것으로 볼 수 없다는 취지로 판단하였다.

나아가 원심은, 정보통신서비스 제공자는 개인정보를 수집·제공할 때마다 이용자로부터 명시적인 동의를 받아야 함을 전제로, 원고가 동의를 받지 아니하고 수집·제공한 개인정보 전체를 위법한 것으로 본 이 사건 각 처분에 대하여 이 사건 개인정보의 구성, 양, 보관상태 등에 비추어 피고가 위법행위의 횟수 산정과 관련된 이 사건 각 처분의 적법성에 관하여 합리적으로 수긍할 수 있는 정도로 증명하였다고 판단하고, 이와 달리 명시적인 동의를 받았음에도 동의를 받지 아니한 것으로 산정되거나 위반 횟수가 중복하여 산정되었다는 원고의 주장은 그러한 예외적인 사정을 인정할 만한 증거가 부족하다는 이유를 들어 받아들이지 아니하였다.

다. 원심판결 이유를 관련 법리와 기록에 비추어 살펴보면 원심의 사실인정과 판단은 정당한 것으로 수긍이 가고, 거기에 상고이유의 주장과 같이 정보통신망법상 동의획득 방법에 관한 법리를 오해하거나, 법정 고지사항의 표시 여부와 이용자의 동의 의사표시 유무 및 원고가 명시적 동의 없이 개인정보를 수집·제공한 횟수 등에 관하여 필요한 심리를 다하지 아니하거나 채증법칙을 위반하는 등으로 판결 결과에 영향을 미친 위법이 없다.

3. 이 사건 각 처분이 신뢰보호의 원칙에 위배되는지(상고이유 제5점)에 관하여

가. 일반적으로 행정상의 법률관계에서 행정청의 행위에 대하여 신뢰보호의 원칙이 적용되기 위하여는, 첫째 행정청이 개인에 대하여 신뢰의 대상이 되는 공적인 견해표명을 하여야 하고, 둘째 행정청의 견해표명이 정당하다고 신뢰한 데 대하여 그 개인에게 귀책사유가 없어야 하며, 셋째 그 개인이 그 견해표명을 신뢰하고 이에 상응하는 어떠한 행위를 하였어야 하고, 넷째 행정청이 견해표명에 반하는 처분을 함으로써 그 견해표명을 신뢰한 개인의 이익이 침해되는 결과가 초래되어야 하며, 마지막으로 견해표명에 따른 행정처분을 할 경우 이로 인하여 공익 또는 제3자의 정당한 이익을 현저히 해할 우려가 있는 경우가 아니어야 한다(대법원 2006. 6. 9. 선고 2004두46 판결 등 참조). 행정청의 공적 견해표명이 있었는지를 판단할 때는 반드시 행정조직상의 형식적인 권한분장에 구애될 것은 아니고, 담당자의 조직상 지위와 임무, 당해 언동을 하게 된 구체적인 경위 및 그에 대한 상대방의 신뢰가능성에 비추어 실질에 의하여 판단하여야 한다(대법원 2008. 1. 17. 선고 2006두10931 판결 참조).

나. 원심은 그 채택 증거를 종합하여 판시와 같은 사실을 인정한 다음, 피고의 담당자가 2010. 5. 11. 원고 측의 고충민원 신청에 대하여 답변한 것은 그 내용이 전체적으로 ‘정보통신망법을 준수하였다면 적법하다’는 취지의 일반론적 견해표명에 가까울 뿐만 아니라, 원고 측이 일방적으로 제출한 자료만을 기초로 한 잠정적 답변인 점 등에 비추어 신뢰의 대상이 되는 행정청의 공적인 견해표명에 해당하지 아니하고, 나아가 원고가 주장하는 ‘검찰의 불기소처분’이나 ‘공정거래위원회 서울지방공정거래사무소의 민원 답변’도 이 사건 각 처분과는 그 처분의 주체나 근거가 되는 사실관계 및 법률적 쟁점이 다르다는 등의 이유로, 이 사건 처분이 신뢰보호원칙에 위배되어 위법하다는 취지의 원고의 주장을 받아들이지 아니하였다.

다. 원심판결 이유를 관련 법리와 기록에 비추어 살펴보면 원심의 판단은 정당한 것으로 수긍이 가고, 거기에 상고이유의 주장과 같은 신뢰보호원칙에 관한 법리오해 등의 위법이 없다.

4. 이 사건 각 처분이 재량권의 일탈·남용에 해당되는지(상고이유 제6점)에 관하여

가. 일반적으로 제재적 행정처분이 사회통념상 재량권의 범위를 일탈하였거나 남용하였는지는 처분사유로 된 위반행위의 내용과 당해 처분에 의하여 달성하려는 공익목적 및 이에 따르는 제반 사정 등을 객관적으로 심리하여 공익침해의 정도와 그 처분으로 인하여 개인이 입게 될 불이익을 비교교량하여 판단하여야 한다(대법원 2012. 5. 10. 선고 2012두1297 판결 등 참조).

나. 원심은, ① 피고는 원고가 이용자의 명시적인 동의를 받지 아니하고 수집하거나 제3자에게 제공한 개인정보와 법정대리인의 동의를 받지 아니하고 수집된 만 14세 미만 아동의 개인정보에 관하여 별도의 동의를 받거나 파기하라는 시정조치를 하였는데, 이는 헌법 규정에서 파생되는 개인정보자기결정권을 보호하기 위한 가장 적절한 수단이며, 이와 다른 경영개선조치 등은 위법하게 수집·제공된 개인정보의 보유를 용인하는 것으로서 적합하지 아니한 점, ② ‘정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자의 개인정보를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민 생활의 향상과 공공복리의 증진에 이바지함’을 목적으로 하는 정보통신망법의 입법 취지에 비추어 보면, 이 사건 각 처분으로 달성하려는 공익은 매우 큰 반면, 그로 인한 원고의 불이익은 그와 같은 공익에 비하여 크지 아니한 점, ③ 원고의 위법행위는 26,304,653건의 개인정보 수집, 13,420,204건의 개인정보 제3자 제공 등으로서 원고가 주장하는 비교사례보다 위법행위의 규모가 월등하게 큰 점 등의 사정을 들어, 이 사건 각 처분이 재량권을 일탈·남용한 경우에 해당하지 아니한다고 판단하였다.

다. 원심판결 이유를 관련 법리와 기록에 비추어 살펴보면 원심의 판단은 정당한 것으로 수긍이 가고, 거기에 상고이유의 주장과 같은 재량권의 일탈·남용에 관한 법리오해 등의 위법이 없다.

5. 결론

그러므로 상고를 기각하고, 상고비용은 패소자가 부담하도록 하여 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.

대법관   조희대(재판장) 이상훈(주심) 김창석 박상옥