개인정보를 유출한 경우의 보호조치 위반행위에 대한 과징금 부과 기준

작성자 관리자   |   2022-01-20 19:06:35


개인정보를 유출한 경우의 보호조치 위반행위에 대한 과징금 부과 기준



홍대식 서강대 법학전문대학원 교수


2022. 1. 13자 NAVER 개인정보 칼럼에 실려있는 글입니다.

(원문보러가기)



합리적인 과징금 액수를 구하기 위한 험난한 여정

현재의 개인정보보호법에는 모두 3가지 유형의 과징금 규정이 있다. 그 차이는 과징금의 법적 상한이다. 2020년 2월 데이터 3법 개정의 일환으로 개인정보보호법에 정보통신망법에 있던 정보통신서비스 제공자등의 개인정보보호에 관한 규정이 이관되기 전부터 개인정보보호법에 있던 과징금 규정(개인정보처리자의 주민등록번호 유출 등 행위)은 법적 상한이 5억 원이다. 정보통신망법에서 이관된 과징금 규정(정보통신서비스 제공자 등의 개인정보 제공 등 관련 금지의무 위반)은 기존의 법적 상한인 위반행위 관련 매출액의 100분의 3을 유지하고 있다. 여기에 2020년 2월 법 개정으로 가명정보 처리에 관한 규정이 생기면서 관련된 과징금 규정(개인정보처리자의 가명정보 처리시 금지의무 위반)이 추가되었는데, 이 규정에는 앞의 두 유형과 다르게 전체 매출액의 100분의 3이라는 법적 상한이 도입되었다. 이처럼 현재의 개인정보보호법은 명확한 근거 없이 단순한 연혁상의 이유로 과징금의 법적 상한을 달리하는 3가지 유형의 과징금 규정이 혼재해 있다.

정부는 데이터 3법 개정의 후속 작업으로 2021년 9월 개인정보보호법 개정안을 국회에 제출하였는데, 이 법안에는 3가지 유형의 과징금의 법적 상한을 통합하는 내용이 포함되어 있다. 논란이 되는 것은 통합한 기준이 외형상 법적 상한이 가장 높은 전체 매출액의 100분의 3으로 되어 있다는 점이다. 우리나라에서 과징금은 위반행위의 억제 목적을 수행하는 효과적인 행정적 집행수단으로 많이 활용된다. 그만큼 과징금 산정이 위반행위에 비례하는 합리적이고 적정한 수준인가 하는 점은 수많은 법적 다툼의 대상이 된다. 과징금의 법적 상한은 이론적인 상한선을 설정하는 것이므로 실제 부과기준을 잘 설계하면 된다고 생각할 수도 있다. 그런데, 과징금의 법적 상한과 부과기준은 위반행위의 효과적인 억제라는 과징금 제도의 목적상 일정한 내적 연관성을 가질 수밖에 없다.

합리적인 과징금을 구하기 위한 험난한 여정에서 길잡이가 되는 단서를 얻기 위해서 과거 실제 과징금이 부과된 사례를 검토, 분석해볼 필요가 있다. 문제는 전체 매출액 기준은 일부 도입된 후 아직 한 번도 적용된 적이 없고, 관련 매출액 기준이 적용된 사례에서 과징금 부과의 적정성이 법원에서 판단된 사례도 많지 않다는 점이다. 사례 경험과 논리가 축적되지 않은 상황에서 실증적인 근거를 갖고 합리적인 과징금 제도를 설계하기란 매우 어려운 일이다. 그럼에도 불구하고 몇 안 되는 법원 판결들을 찾아 분석하는 작업은 그 자체로 의미가 있다. 이 글에서는 그 중 인터넷 쇼핑몰 사업자 해킹 사건에 대해서 살펴보기로 한다.


사건의 개요와 법원의 판단

원고는 인터넷 쇼핑몰인 A를 운영하는 법인인데, 이용자의 개인정보를 저장하고 있는 HQDB 서버에 대한 해커의 공격을 받아 2016. 5. 5.부터 2016. 5. 6.까지 사이에 이용자의 개인정보가 유출되었다. 피고인 방송통신위원회는 이 사건이 원고가 이용자의 개인정보를 유출한 경우로서, 원고가 개인정보처리시스템에 최대접속시간 제한조치 등 접근통제를 소홀히 한 행위와 HQDB 서버 등을 포함한 시스템 비밀번호 관리를 소홀히 한 행위가 구 정보통신망법 제28조 제1항 제2호, 제4호에 정한 조치를 하지 아니한 경우에 해당한다고 판단하였다. 방통위가 2016. 12. 6. 원고에 대하여 시정명령과 함께 부과한 과징금 액수는 44억 8,000만 원이다.

원고는 방통위 처분에 불복하여 행정소송을 제기하였으나 서울행정법원(서울행정법원 2018. 7. 5. 선고 2017구합53156 판결)과 서울고등법원(서울고등법원 2019. 11. 1. 선고 2018누56291 판결)에서 모두 패소하였다. 대법원은 원고의 상고를 심리불속행 판결로 기각하였다(대법원 2020. 3. 12. 선고 2019두60851 판결). 대법원의 심리불속행 판결은 대법원이 상고기록을 받은 날부터 4개월 이내에 심리를 하지 않고 상고를 기각하는 판결로, 판결 이유가 적혀 있지 않아 하급심에서 다투어진 쟁점에 대해 대법원이 어떤 판단을 하는지 판결문으로는 알 수 없다.

하급심 판결에는 방통위가 과징금을 부과하기 위하여 적용한 기준이 나타나 있다. 방통위는 원고가 인터넷쇼핑몰을 운영하면서 발생한 매출액을 위반행위 관련 매출액으로 보았다. 이에 반해 원고의 매출액 중 원고의 홈페이지를 이용하지 않고 현장판매나 외부판매 등에 의한 매출액은 제외한 것으로 보인다. 방통위는 위반행위의 중대성의 정도를 ‘중대한 위반행위’로 평가하여 산정된 위반행위 관련 매출액(약 3,000억 원)에 부과기준율 1,000분의 21을 곱하여 기준금액(약 63억 원)을 산출한 후, 이 금액에 필수적 가중․감경과 추가적 가중․감경을 거쳐 최종 과징금으로 44억 8,000만 원을 결정하였다.

법원은 구 정보통신망법상 과징금 규정은 개인정보의 유출 등으로 인한 이익이 직접적으로 존재하지 않더라도, 그 개인정보의 보유를 통하여 얻은 이익을 박탈함과 동시에 행정제재 측면에서 그 개인정보와 관련된 매출액 중 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다고 정한 규정이라고 보았다. 법원 판결에 따르면, 개인정보 보호조치 위반행위는 그 개인정보가 사용되는 서비스의 운영에 관하여 위험을 증가시키는 영향을 직․간접적으로 미치게 된다. 따라서 개인정보를 이용한 서비스를 통해 얻은 매출액을 기준으로 과징금을 산정․부과한 것을 두고 법령에 위반한 것이라거나 재량권을 일탈․남용한 위법이 있다고 할 수 없다. 또한 위반행위의 중대성을 판단하기 위하여 고의․중과실의 평가를 함에 있어 개인정보 유출 건수를 고려할 수 있고, 원고가 자신의 이익을 위한 영리목적으로 개인정보를 수집․활용하는 행위가 영리목적에 포함된다고 봄이 상당하다. 따라서 이런 점을 고려한 피고의 위반행위 중대성 판단에도 위법이 없다.


판결의 의의

구 정보통신망법은 이용자의 개인정보를 분실․도난․유출․변조 또는 훼손한 경우로서 개인정보 보호조치를 이행하지 않은 경우에 해당 정보통신서비스 제공자등을 과징금 부과 대상으로 하고 있었고, 이 규정은 개인정보보호법에 그대로 이관되었다. 2020년 9월 국회에 제출된 개정안은 이 규정의 적용범위를 개인정보처리자로 넓히고 과징금의 법적 상한을 위반행위 관련 매출액 기준에서 전체 매출액 기준으로 변경하고 있다. 법이 정한 요건이 ‘이용자의 개인정보 유출등’과 ‘개인정보 보호조치 미이행’인데, 판례는 법에서 두 요건 사이의 인과관계를 요구하지 않고 ‘관련성’으로 충분한 것으로 보고 있다. 따라서 사업자 입장에서는 내부적 부주의든 외부로부터의 불법적인 접근(해킹)에 의한 것이든 이용자의 개인정보 유출등이 발생하지 않도록 최선을 다해야겠지만, 만에 하나 유출 사고가 발생한 경우 그와 관련된 개인정보 보호조치 미이행으로 인정될 사유가 있는지가 신경 쓰일 수밖에 없을 것이다.

과징금은 위반행위자가 개인정보보호법 위반행위로 얻은 경제적 이익 또는 적어도 그 행위로 인한 사회적 피해에 비례하면서 수범자가 위반행위를 할 유인을 억제하는 효과성을 가질 수 있는 금액으로 산정되어야 한다. 현재 사용되고 있는 과징금 산정식은 ‘위반행위 관련 매출액 x 부과기준율’로 기준금액을 산정한 후 이 금액을 기준으로 가중․감경을 하는 방식이다. 따라서 출발점이 되는 기준금액을 어떻게 산정할 것인지가 최종 과징금액 결정에 큰 영향을 미친다. 위반행위 관련 매출액은 위반행위의 전체 규모에 대응하는 것으로, 위반행위의 효과적인 억제라는 면을 고려하여 위반행위의 크기와 비례하도록 설정하는 것이 원칙이다. 이 사건에서 원고가 정보통신서비스 제공자로서 수집한 이용자 개인정보는 인터넷쇼핑몰을 이용하는 회원에 관한 개인정보이고 이 개인정보가 유출된 것이 이 사건 행위와 관련된 사실이므로, 관련 매출액을 인터넷쇼핑몰에 한정하여 산정한 것은 타당하다. 인터넷쇼핑몰을 운영하면서 발생하는 매출 중에는 인터넷쇼핑몰을 이용하는 회원에 의하여 발생하는 거래 매출도 있고 인터넷쇼핑몰을 이용하는 회원을 대상으로 광고하는 광고주에 의하여 발생하는 광고 매출도 있는데, 방통위는 이 두 매출을 구별하지 않고 모두 관련 매출액에 포함하였다.

이처럼 위반행위 관련 매출액 기준을 사용하는 경우 관련성을 판단하는 데 어려움이 따르고 논란도 커질 수 있다. 그러나 이런 작업을 통하여 위반행위의 크기에 비례하는 과징금 액수를 구하는 목표에 비교적 가까운 출발점을 설정하게 될 수 있다. 이에 비하여 관련 매출액을 전체 매출액으로 대체해버리면 목표에 도달하기 위한 출발점은 더 멀어질 수밖에 없다. 더 멀리서 출발하면서 어떤 제도 운용 수단을 배치하여 목표에 도달하기 위한 지도를 그릴 수 있을 것인가? 이미 전체 매출액 기준을 도입하여 운용하고 있는 유럽연합(EU) 회원국들의 사례를 보면, 방법이 없지는 않을 것으로 보이기도 하지만. 과연 그럴까?


tags  
과징금
개인정보보호법
법적 상한

댓글