최주선 법무법인 민후 파트너 변호사는 디지털데일리에 ‘위메프 사건 1, 2, 3심 판결을 통해 확인된 개인정보 관련 법리의 정리’라는 제목으로 기고했습니다.

최근 대법원은 위메프 블랙프라이스데이 이벤트 당시 직원의 실수로 일부 이용자의 개인정보가 다른 이용자에게 노출된 사안과 관련하여 개인정보보호법위반시이 과징금 산정 기준 및 고려 요소에 대해 판결한 바 있습니다.

1심 재판부는 구 개인정보의 기술적·관리적 보호조치 기준을 바탕으로 위메프의 업무가 조치의무 위반에 해당한다고 판단, 위메프에 대한 시정명령 처분이 적법하다는 판결을 내렸습니다.

현재 시행 중인 개인정보의 안전성 확보조치 기준은 위의 기준과 거의 유사한 내용을 유지하면서 수범자를 모든 개인정보처리자로 확장하고 있으므로 1심 판결은 앞으로의 법적 이슈에도 참조될 것으로 예상됩니다.

2심의 경우, 위반행위와 관련된 매출액의 관련성 부분은 불확정개념으로서 하위 규범에서 이를 구체화하도록 위임하는 것은 자연스러우므로 시행령이 관련성 개념의 한계를 벗어났음이 명백하지 않은 이상 시행령이 무효라고 보기 어렵다는 판단을 하였습니다.

현행 개인정보보호법은 관련매출액을 산정하는 것이 아닌 전체매출액에서 위반행위와 관련이 없는 매출액을 제외하도록 하고 있습니다. 허나 시행령은 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 재화 또는 서비스이 매출액이 아닌 것으로 구체화하고 있어 2심 판결 역시 향후 여러 사건에서 참고할 수 있을 것으로 전망됩니다.

대법원 판결은 과징금 부과시의 재량권에 대하여 명시적으로 판시한 최초 판결로, 관련 매출액 산정의 기준이 되는 ‘서비스’의 범위에 대해 구체적으로 설명하고 있습니다.

2심의 경우, 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 ‘서비스’의 범위를 이 사건 이벤트로 한정하여 판단했습니다.

그러나 대법원은 “이벤트 페이지를 통해 유출된 개인정보는 이 사건 쇼핑몰 이용자들의 정보가 담긴 데이터베이스에서 유출된 것으로서, 그 개인정보는 이 사건 쇼핑몰 서비스의 전체적인 운영을 위해 수집·관리되는 정보이고, 이 사건 이벤트 페이지에서 제공하는 서비스만을 위한 목적으로 수집·관리된 정보가 아니다.”라고 밝히며 2심과 다른 기준을 제시하였습니다.

다만 대법원은 이 사건의 경우 단 하루 간, 직원의 단순 실수로 고객 개인정보가 유출되었고, 추가 피해 우려가 매우 작았다는 점 등을 반영하여 이 사건 과징금은 위반행위의 위법성 정도에 비해 과중하다는 판결을 내렸습니다.

법무법인 민후 최주선 파트너변호사는 기고를 통해 우리 법원이 위메프 개인정보보호법 위반 이슈에 대한 과징금 부과 처분의 타당성을 판단하는 기준을 각 심급별로 소개하고, 그 법적 의미를 상세히 설명하였습니다.

기고 전문은 우측 상단의 [기사바로보기]를 통해 만나보실 수 있습니다.