check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[한국사회를 변화시킨 9대 개인정보 유출사고 판례 분석⑦] 개인정보 부정 수집 및 제3자 제공 사건

제3자 제공 대가로 경품 제공 행사인지 여부 중요…이를 숨긴 것은 표시광고법 위반

길민권 기자 mkgil@dailysecu.com 2019년 05월 30일 목요일

gavel-2492011_640.jpg
한국개인정보법제연구회의 도움으로 한국사회를 변화시킨 9건의 개인정보 유출 사고와 해당 판례를 분석한 기고문을 게재합니다. 대량 개인정보 유출 사건을 중심으로 살펴보고 이 사건들이 우리나라 개인정보보호법에 어떤 영향을 미쳤는지 그리고 기업들은 어떤 부분을 주의해야 하는지 독자들과 공유하고 실무에 도움이 되는 시간이 되길 바랍니다. 의미있는 자료를 데일리시큐에 기고해 주신 한국개인정보법제연구회에 깊은 감사의 말씀을 전합니다. -편집자주-

◇관련 판결
1. 행정 사건 : 대법원 2017. 4. 7. 선고 2016두61242 판결
2. 형사 사건 : 대법원 2017. 4. 7. 선고 2016도13263 판결, 서울중앙지방법원 2018. 8. 16. 선고 2016노223 판결(파기환송심) 
3. 민사 사건 : 서울고등법원 2018. 8. 31. 선고 2018나2014586 판결

1. 사건의 발생 경위

가. 개인정보 수집 및 제3자 제공에 관한 동의 사항 고지 미흡

A사는 고객의 개인 정보를 보험회사인 B사와 C사에 판매하기로 하는 약정을 체결한 후 2011. 12.경부터 2014. 6.경까지 경품행사를 수회 실시하면서 이에 응모한 고객의 개인정보를 수집한 후 보험회사에 판매하였습니다.

그런데 경품 행사 당시 응모권 등에 기재된 개인정보 수집을 위한 동의를 받는 항목에 가족관계 등 이용 목적과 관련이 없는 정보가 포함되어 있었고, 보험회사에 개인정보가 제공되는 점에 동의를 해야 경품행사에 응모가 된다는 점이 기재되어 있지 않았으며, 응모권에 기재된 제3자 제공 동의 관련 사항이 약 1㎜크기로 인쇄되어 있어 식별하기 어려운 점이 문제가 되었습니다.

나. 사전필터링을 위해 제3자 제공 동의를 받지 않은 개인의 정보를 보험회사에 제공

A사는 본래 고객으로부터 개인정보를 제3자인 보험회사에 제공한다는 동의를 받은 후 보험회사들에게 개인정보를 제공하고 보험회사가 필터링을 하여 조건에 부합하는 정보인 경우 대가를 제공하였습니다. 그런데 위 과정을 바꾸어, A사가 제3자 제공 동의를 받기 이전에 먼저 보험회사에 개인정보를 제공하여 보험회사가 필요한 정보인지를 확인하는 사전필터링을 하기로 하였고, 제3자 제공 동의를 받지 않은 상태에서 보험회사에 사전필터링을 위한 개인정보 목록을 제공하였습니다. 이에 따라 일부 패밀리카드에 가입된 고객의 개인정보가 고객의 제3자 제공 동의를 받지 않은 상태에서 보험회사에 제공되었습니다.

2. 관련 소송의 경과

이 사건 경품 행사 당시 관련하여 공정거래위원회는 표시광고법 위반을 이유로 A사 및 A사의 자회사에 대하여 과징금과 시정명령 처분을 하였습니다. 이에 관하여 위 처분의 취소를 구하는 행정 소송이 제기되었습니다.

또한 A사 대표이사 등 임직원과 B사 및 C사 담당자가 기소되어 형사 재판이 진행되었습니다. 형사 사건에서는 1, 2심 판결이 모두 피고인들을 무죄로 보았으나 대법원은 모두 유죄 취지로 파기 환송을 하였고 파기환송심은 대법원 판결에 따라 유죄 판결을 하였습니다.

A, B, C사에 대한 민사 손해배상 사건의 1심 판결은 경품행사를 통해 개인정보가 수집된 원고들에 대하여는 각 20만원을, 사전필터링 명목으로 보험회사에 개인정보가 제공된 보너스카드 회원인 원고들에게는 각 5만원을 배상하라고 판결하였고, 2심 판결 역시 유사한 취지로 선고되었습니다. 이 사건은 현재 항소심에 계류 중입니다.

3. 이 사건의 주요 쟁점

행정 소송에서는 A사가 경품 행사에 응모한 고객의 개인정보를 보험회사에 유상으로 제공한다는 사실과 제3자 제공에 동의하지 않으면 경품 응모가 되지 않는다는 점을 광고하지 않은 점이 표시․광고의 공정화에 관한 법률(이하 ‘표시광고법’이라 합니다) 제3조 제1항 제2호 위반에 해당하는지 여부가 쟁점이 되었습니다. 이에 관하여 서울고등법원은 A사가 표시광고법을 위반하였으므로 공정거래위원회의 과징금 등 처분이 적법하다고 판단하였고 이 행정 판결은 대법원에서 확정되었습니다.

이 사건 형사 사건과 민사 사건에서는, ①경품행사를 이용하여 A사가 개인정보를 부정한 방법으로 취득하였는지(개인정보 보호법 관련)와 관련하여 응모권 등에 개인정보 제3자 제공 등에 관한 동의 사항이 약 1㎜ 크기의 글자로 인쇄되어 개인정보 주체들이 이를 인식하기 어려웠는지 여부가 쟁점이 되었습니다. 또한 ②사전필터링을 위하여 A사가 보험회사들에게 개인정보주체(보너스카드 고객)의 제3자 제공에 관한 동의를 받지 않은 상태에서 개인정보를 제공하였는지(개인정보 보호법 위반 및 정보통신망법 관련) 관련하여 A사가 사전필터링을 목적으로 보험회사에 개인정보를 제공한 것이 개인정보의 위탁인지 제3자 제공인지 여부가 쟁점이 되었습니다.

k-1.JPG
[표] 판결 주요 쟁점 및 판결 요지

4. 판결의 요지

가. 표시광고법 위반 여부(행정 사건)

이 사건 행정 사건에서 대법원 판결은, “A사가 경품행사를 진행하면서 광고의 내용에, 응모자의 개인정보를 수집하여 이를 보험회사에 제공하는 것에 동의해야만 경품행사에 응모할 수 있다는 것을 기재하지 않았는데 이는 소비자의 구매 선택에 중요한 영향을 미칠 수 있는 거래조건을 은폐하여 공정한 거래질서를 해칠 우려가 있는 것이므로 표시광고법 제3조 제1항 제2호의 기만적인 광고에 해당하고, 이는 소비자들이 광고 이후 응모권 작성 단계에서 비로소 올바른 정보를 얻어 잘못된 인식을 바로잡을 가능성이 있다는 사정만으로는 달리 볼 수 없다.”고 판시하면서 A사의 표시광고법 위반 사항에 관한 행정처분이 적법하다고 보았습니다.

나. 개인정보를 유상으로 판매하는 것을 고지하지 않아도 되는지 여부

형사 1, 2심 판결은 개인정보를 유상으로 판매하는 것을 고지하지 않은 것이 위법한지 여부에 관하여 개인정보 보호법 17조상 정보주체에게 알려야 하는 사항에 포함되지 않는다고 보았습니다. 그러나 형사 대법원 판결은 개인정보를 유상으로 판매하는지 여부는 중요한 사항으로서 이를 고지하지 않은 것은 표시광고법 위반에 해당하므로 개인정보 보호법 제59조의 “거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득”한 것에 해당한다고 판시하였습니다.

다. 동의 규정이 1㎜ 크기로 인쇄되어 있어 명확성 원칙에 반하는지 여부

개인정보처리자는 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 하는데 이 사건의 경우 동의 관련 사항이 약 1㎜ 크기로 인쇄되어 있는 점이 문제가 되었습니다.

동의 관련 사항을 작게 기재되어 있는 점에 관하여, 형사 1, 2심 판결은, “1㎜의 글자 크기는 사람이 읽을 수 없는 정도라고 단정할 수 없고, 응모함 옆에 응모권을 4배 확대한 사진을 부착하기도 하였으며, 다른 행사에서도 이 정도의 글자 크기는 많이 통용되고 있는 점을 보면 이 사건에서 피고인들이 정보제공에 동의를 받기 위해 일부러 글자 크기를 작게 하여 읽지 못하게 한 것으로 볼 수는 없다.”고 판시하였습니다. 그러나 형사 대법원 판결은 1㎜의 글자 크기는 사실상 읽을 수 없게 한 행위에 해당한다고 보았습니다.

민사 1심 판결은, “경품행사 응모권에 기재된 동의 관련 사항은 약 1㎜ 크기로 인쇄되어 있어 소비자의 입장에서는 그 내용을 읽기 쉽지 않고, 이에 더하여 이 사건 광고를 통해 단순 사은행사로 오인하고 경품행사에 응모하게 된 고객의 경우 짧은 시간 동안 응모권을 작성하거나 응모화면에 입력하면서 그 내용을 정확히 파악하여 잘못된 인식을 바로잡기가 어려울 것으로 보이므로 이 사안의 경우 개인정보 보호법상의 명확성 원칙을 위배한 것”이라고 보았습니다.

라. 생년월일, 자녀수 등 정보를 수집한 점에 관하여

경품 발송에 필요한 정보 외에 생년월일, 자녀수 등 정보까지 수집한 점에 관하여 형사 1, 2심 판결은, “응모자 생년월일과 자녀수 등은 보험마케팅에 필요한 범위 내의 정보이므로 이러한 정보를 수집한 것은 개인정보 보호법 위반에 해당하지 않는다.”고 보았습니다. 그러나 형사 대법원 판결 및 민사 판결은 경품 발송에 필요한 정보 외에 생년월일과 자녀수 등 정보를 수집 및 제공한 것은 개인정보 보호법상의 최소수집원칙을 위반한 것이라고 판시하였습니다.

마. 사전필터링을 위해 보험회사에 개인정보를 제공한 것이 동의 없는 제3자 제공인지 여부

A사가 보험회사들에게 사전필터링을 위해 개인정보를 제공한 행위는 고객의 동의를 받지 않은 상태에서 이루어졌습니다. 이에 관하여 피고들은 A사가 보험회사에 사전필터링 명목으로 개인정보를 제공한 것은 제3자 제공에 관한 동의를 받아야 하는 A사의 업무를 보험회사에 위탁한 것으로서 ‘개인정보의 처리 위탁’에 해당하므로 ‘제3자 제공’에 관한 동의를 받지 않았더라도 위법하지 않다고 주장하였습니다.

이 사건 민사 1, 2심 판결은 사전필터링이 A사의 업무에 해당하고 이를 보험회사에 처리 위탁한 것이라고 보아 피고인들에 대하여 무죄를 선고하였습니다. 그러나 형사 대법원 판결과 민사 판결은 사전필터링은 A사만의 업무로 볼 수 없고 보험회사의 업무이기도 하며 보험회사들은 사전필터링을 통해 독자적인 이익을 가진다는 점을 지적하면서 사전필터링을 위해 고객정보를 제공한 것은 개인정보 주체의 동의 없는 제3자 제공에 해당하여 위법하다고 판단하였습니다.

5. 이 사건의 영향과 판결의 시사점

가. 개인정보 보호법에 동의 규정의 글자 크기 등에 관한 규정 신설

이 사건 이후인 2017. 10. 19. 개인정보 보호법 시행규칙 제4조(서면 동의 시 중요한 내용의 표시 방법)에는, 글씨의 크기를 최소한 9포인트 이상으로서 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 하고(제1호), 글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 하며(제2호), 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시하도록(제3호) 하는 규정이 신설되었습니다.

나. 대표이사를 비롯한 관련 임직원 형사 처벌

A사의 대표이사 등 관련 임직원은 형사 1심, 2심에서 무죄를 받았으나 대법원 판결과 파기환송심 판결로서 유죄 판결을 선고받았습니다. 이 사건과 같이 개인정보를 동의 없이 제3자에게 영리 목적으로 제공하는 경우 대표이사와 관련 임직원이 형사 처벌될 수 있으므로 주의를 요합니다.

다. 형사 사건에서 추징이 구형되었습니다

이 사건 형사 사건 파기환송심에서는 추징이 구형되었습니다. 현재 시행중인 개인정보 보호법과 정보통신망법에는 몰수 ․ 추징 규정이 있는데 이 사건의 경우 위 규정이 시행되기 전 발생한 사건으로서 개인정보 보호법 또는 정보통신망법이 적용되지 못하고 형법상의 몰수 ․ 추징에 관한 규정이 적용되었습니다.

파기환송심 판결은 개인정보 판매 대금은 형법상 몰수․추징의 대상이 되지 않는다고 판시하고, “개인정보를 판매한 행위 자체는 공소가 제기되지 않았으므로 판매 대금은 ‘범죄행위로 인하여 생하였거나 이로 인하여 취득한 물건’에 해당하지 않는다.”고 판시하였습니다.

몰수․추징은 그 규모에 따라 기업의 운영에 큰 영향이 있을 수 있다는 점에서 매우 주목되는 쟁점에 해당합니다. 이 사건의 경우 몰수․추징이 선고되지 않았으나 현재 시행중인 개인정보 보호법과 정보통신망법에 몰수․추징 조항이 있고 이 사건과 같이 추징 구형이 이루어진 선례가 있으므로 앞으로 개인정보처리자는 몰수․추징 규정에 유념하여 개인정보보호 관련 법규 위반 사항이 발생하지 않도록 각별히 주의를 할 필요가 있습니다.

[글. 한국개인정보법제연구회 / 블로그 https://blog.naver.com/kadp02 /

페이스북 https://www.facebook.com/kadp02/이메일 kadp02@naver.com]

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
관련기사
목록