1. 홈플러스 응모권 형사사건 대법원 2016도13263 개인정보보호법위반 사건의 판결 요지
법규정 및 기본 법리
개인정보 보호법은 ‘개인정보를 처리하거나 처리하였던 자가 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받는 행위’를 금지하고(제59조 제1호), 이를 위반하여 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자’를 3년 이하의 징역 또는 3천만 원 이하의 벌금에 처하도록 규정하고 있다(제72조 제2호).
이와 같은 개인정보 자기결정권의 법적 성질, 개인정보 보호법의 입법 목적, 개인정보 보호법상 개인정보 보호 원칙 및 개인정보처리자가 개인정보를 처리함에 있어서 준수하여야 할 의무의 내용 등을 고려하여 볼 때, 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’이라 함은 개인정보를 취득하거나 또는 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 개인정보 취득 또는 그 처리에 동의할지 여부에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위를 뜻한다고 봄이 타당하다.
그리고 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지 여부를 판단함에 있어서는 개인정보처리자가 그에 관한 동의를 받는 행위 그 자체만을 분리하여 개별적으로 판단하여서는 안 되고, 개인정보처리자가 개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴보아 거기에서 드러난 개인정보 수집 등의 동기와 목적, 수집 목적과 수집 대상인 개인정보의 관련성, 수집 등을 위하여 사용한 구체적인 방법, 개인정보 보호법 등 관련 법령을 준수하였는지 여부 및 취득한 개인정보의 내용과 규모, 특히 민감정보·고유식별정보 등의 포함 여부 등을 종합적으로 고려하여 사회통념에 따라 판단하여야 한다.
개인정보 보호법 제17조와 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라 한다) 제24조의2에서 말하는 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집, 이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보 보호법 제26조와 정보통신망법 제25조에서 말하는 개인정보의 ’처리위탁‘은 본래의 개인정보 수집, 이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다. 개인정보 처리위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리, 감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로, 개인정보 보호법 제17조와 정보통신망법 제24조의2에 정한 ‘제3자’에 해당하지 않는다.
한편, 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리, 감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다.
구체적 사안의 판단
피고인 홈플러스 주식회사(이하 ‘홈플러스’라고 한다)가 개인정보를 수집하여 판매할 목적으로 경품행사를 진행하면서 그와 같은 목적을 숨긴 채 고객들을 속이거나 고객들로 하여금 잘못 알게 할 우려가 있는 광고를 하면서 개인정보 수집 및 제3자 제공에 관한 내용은 응모권 뒷면이나 응모화면에 읽기 어려운 약 1mm 크기의 글씨로만 고지하였고, 또한 홈플러스가 그 고객들의 개인정보 데이터베이스를 보험회사에 제공하고, 보험회사가 그 중 자신과 이미 보험계약을 체결하였거나 자신의 블랙리스트에 올라 있는 고객을 걸러내면(이른바 사전필터링), 홈플러스가 필터링 되고 남은 고객들에게 전화를 걸어 위 보험회사에 개인정보를 제공하는 것에 동의하는지 여부를 확인하여 그에 동의한 고객들의 개인정보를 다시 보험회사에 제공한 사안에서, 피고인들은 개인정보 보호법 제72조 제2호, 제59조 제1호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자’에 해당하고, 홈플러스가 사전필터링을 위해 보험회사에 개인정보를 제공하는 것 역시 개인정보 보호법 제17조와 정보통신망법 제24조의2에서 말하는 개인정보의 ‘제3자 제공’에 해당한다.
2. 홈플러스 응모권 행정사건 대법원 2016두61242 표시광고법 사건의 판결요지
관련 법규정 및 기본 법리
“표시·광고의 공정화에 관한 법률(이하 ‘표시광고법’이라 한다) 제3조 제1항 제2호, 같은 법 시행령 제3조 제2항에 의하면, 기만적인 광고는 사실을 은폐하거나 축소하는 등의 방법으로 소비자를 속이거나 소비자로 하여금 잘못 알게 할 우려가 있는 광고행위로서 공정한 거래질서를 해칠 우려가 있는 광고를 말한다.
한편 일반 소비자는 광고에서 직접적으로 표현된 문장, 단어, 디자인, 도안, 소리 또는 이들의 결합에 의하여 제시되는 표현뿐만 아니라 거기에서 간접적으로 암시하고 있는 사항, 관례적이고 통상적인 상황 등도 종합하여 전체적·궁극적 인상을 형성하므로, 광고가 소비자를 속이거나 소비자로 하여금 잘못 알게 할 우려가 있는지는 보통의 주의력을 가진 일반 소비자가 그 광고를 받아들이는 전체적·궁극적 인상을 기준으로 하여 객관적으로 판단하여야 한다(대법원 2013. 6. 14. 선고 2011두82 판결 등 참조).
그리고 표시광고법이 부당한 광고행위를 금지하는 목적은 소비자에게 바르고 유용한 정보의 제공을 촉진하여 소비자로 하여금 올바른 상품 또는 용역의 선택과 합리적인 구매결정을 할 수 있도록 함으로써 공정한 거래질서를 확립하고 소비자를 보호하는 데 있으므로, ‘기만적인 광고’에 해당하는지 여부는 광고 그 자체를 대상으로 판단하면 되고, 특별한 사정이 없는 한 광고가 이루어진 후 그와 관련된 상품이나 용역의 거래 과정에서 소비자가 알게 된 사정 등까지 고려하여야 하는 것은 아니다.
구체적 사안의 판단
‘원고 홈플러스와 원고 홈플러스스토어즈 주식회사가 12회에 걸쳐 개인정보 수집․판매를 목적으로 경품행사를 진행하면서 그 광고에 개인정보 수집과 제3자 제공에 동의하여야만 경품행사에 응모할 수 있다는 내용을 기재하지 않은 것은, 중요한 거래조건을 은폐하여 소비자를 속이거나 소비자로 하여금 잘못 알게 함으로써 공정한 거래질서를 해칠 우려가 있는 것이므로 표시광고법 제3조 제1항 제2호에 정한 기만적인 광고에 해당하므로 원고들에게 과징금 합계 4억 3,500만 원을 부과하고 유사 광고 행위를 금지한 피고 공정거래위원회의 시정명령 및 과징금 납부명령은 적법하다’라는 원심 판단을 정당하다고 판단하여 원고들의 상고를 기각함.
3. 개인정보 보호법의 징벌적 손해배상 규정과 법정손해배상 규정
1. 징벌적 손해배상제도 도입 - 개정 개인정보 보호법 제39조 제3항 및 제4항 신설
개인정보 처리자의 고의 또는 중과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 실제 발생한 손해를 초과하여 최대 그 실제 손해액의 3배까지 징벌적 손해배상을 부과할 수 있습니다(제39조 제3항 본문).
징벌적 손해배상액은 (i) 개인정보처리자가 고의 또는 손해 발생의 우려를 인식한 정도 (ii) 정보주체가 입은 피해 규모 (iii) 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익 (iv) 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도 등을 고려하여 결정합니다(제39조 제4항).
당연히 개인정보처리자가 고의 또는 중대한 과실이 없었음을 입증한 경우에는 손해배상책임이 없습니다(제39조 제3항 단서).
2. 법정손해배상제도 도입 - 개정 개인정보 보호법 제39조의2 신설
실제 사건에서 구체적 손해액을 입증하는 것은 매우 어렵습니다. 개정법은 이와 같은 문제를 감안하여, 피해자가 구체적 손해액을 입증하지 못한 경우에도 최대 300만까지 법정 손해배상을 명할 수 있도록 하였습니다(제39조의2 제1항 제1문). 다만, 개인정보처리자는 고의 또는 과실이 없었음을 입증하면 법정손해배상책임을 면하게 됩니다(제39조의2 제1항 제2문).
3. 개인정보 처리자의 개인정보보호법 준수의무
2011년 9월 개인정보보호법 개정으로 공공기관 이외의 민간을 포함한 모든 개인정보처리자까지 규율대상이 확장되었고, 컴퓨터 등에 의해 처리되는 개인정보파일 뿐만 아니라 종이문서에 기록된 개인정보로까지 보호범위가 확장되었습니다. 개정 전·후의 변경된 내용은 간략히 아래와 같습니다.
(출처: 개인정보 보호법의 이해, 행정안전부, 2012. 5.)
광고 대행사의 웹페이지 운영 사례
기업에서는 회사나 상품 또는 서비스를 알릴 목적으로 광고대행사 등을 활용하여 홈페이지를 운영하는 경우가 많습니다. 이러한 경우, 광고의 주체인 기업뿐만 아니라 홈페이지를 대행하여 운영하는 업체도 개인정보보호법의 규율 대상에 해당하는지 여부가 문제됩니다.
예를 들어, A 광고대행사가 B 제약회사의 전문 의약품을 처방하는 의사 및 이를 처방 받는 환자를 대상으로 회원제로 운영되는 웹사이트 운영·관리를 대행하는 경우 A 광고대행사가 개인정보보호법의 규율대상인지 여부 및 개인정보처리자에 해당할 경우 A 광고대행사가 준수해야 하는 의무를 살펴보겠습니다.
가. 개인정보처리자
개인정보보호법에 따르면, 개인정보처리자란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 의미합니다(제2조 제5호).
또한, 개인정보보호법은 개인정보의 처리 업무를 위탁하는 개인정보처리자를 위탁자로, 개인정보 처리 업무를 위탁 받아 처리하는 자를 수탁자로 규정하고(동법 제26조 제2항), 일부 개인정보처리자의 의무를 수탁자에 대해서도 준용하고(동법 동조 제7항) 있습니다.
따라서, 위 사안의 경우 A 광고대행사는 홈페이지 회원가입 과정에서 환자의 주민번호 및 주소 등의 개인정보를 수집하므로 개인정보 처리 업무를 수탁하여 처리하는 자로서 위탁자인 B 제약회사와 함께 개인정보처리자에 해당합니다. A 광고대행사가 홈페이지 관리 업무를 제3자에게 위탁하여 운영하는 경우에도 개인정보 처리 업무 위탁자로서 개인정보처리자에 해당할 것입니다.
나. 개인정보처리자의 의무
개인정보처리자는 개인정보보호법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력해야 하며(동법 제3조 제8항), 개인정보의 처리 및 안전한 관리와 관련된 규정들의 주체로서 관련 규정을 준수하여야 합니다(동법 제3, 4장).
구체적으로 개인정보처리자는 개인정보를 수집, 이용 및 제공하기 위해서는 불가피한 경우를 제외하고는 정보주체의 동의를 받아야 하며(동법 제15조 제1항), 개인정보는 필요 최소한으로 수집하여야 하며(동법 제16조 제1항), 일부 예외적인 경우를 제외하고는 정보주체의 동의 없이는 개인정보를 제3자에게 제공할 수 없습니다(동법 제18조 제1항). 특히, 개인정보 처리 업무를 위탁하는 경우에는 위탁자는 위탁하는 업무의 내용과 수탁자를 정보 주체가 언제든지 쉽게 확인할 수 있도록 공개하여야 합니다(동법 제26조 제2항).
수탁자가 위탁 받은 업무와 관련하여 개인정보를 처리하는 과정에서 개인정보보호법을 위반하여 손해가 발생한 경우 수탁자는 개인정보처리자의 소속직원으로 간주되므로 위탁회사에게 손해배상책임이 있습니다(동법 제26조 제6항). 그러나, 위탁자가 정보 주체에 대하여 손해배상책임을 이행하더라도 위탁자는 수탁자에 대하여 손해배상청구를 할 수 있으므로 A 광고대행사와 같은 수탁자도 결과적으로 손해배상책임을 지게 될 것입니다.
개인정보법상의 의무를 위반하는 경우, 개인정보처리자는 5년 이하의 징역 또는 5천만원이하의 벌금(동법 제71~73조) 또는 5천만원 이하의 과태료를 부과 받습니다(동법 제 75~76조).
KASAN_개인정보 보호법 실무적 쟁점, 개인정보 처리자에 대한 징벌적 손해배상 제도 및 홈플러스 경품 응모권 사건 대법원 판결 요지.pdf
[질문 또는 상담신청 입력하기]
