“오픈마켓 판매자는 ‘개인정보취급자’ 아냐”···네이버·G마켓 승소 이유 보니

[시사저널e=주재한 기자] 온라인 전자상거래 플랫폼 오픈마켓의 판매자에 대한 충분한 보호조치를 하지 않았다는 이유로 네이버, G마켓 등 오픈마켓 사업자에게 내려진 행정제재는 위법한 것이라는 1심 판결이 나왔다. 

법원은 ‘오픈마켓 사업자는 개인정보취급자인 판매자에 대한 지휘·감독 의무가 있는 개인정보처리자’라는 행정처분의 전제가 틀렸다고 봤다.

판매자는 개인정보취급자가 아닌 독립된 개인정보처리자로 볼 수 있고, 사업자에게 110만여명에 이르는 판매자에 대한 교육의무, 관리·감독 의무를 부담하게 하는 것은 사실상 불가능하다는 판단이다.

12일 법조계에 따르면, 서울행정법원 행정6부(재판장 이주영 부장판사) 네이버와 G마켓이 개인정보보호위원회(개인정보위)를 상대로 낸 소송을 지난 8일 원고 승소로 판결했다.

재판부는 “판매자가 원고(네이버, G마켓)의 지휘·감독을 받아 개인정보를 처리한 개인정보취급자에 해당한다고는 보기 어렵다”며 “판매자가 원고의 지휘·감독 대상인 개인정보취급자라는 전제에서 시정조치를 명한 이 사건 처분은 그 처분 사유가 인정되지 않아 위법하다”고 판시했다.

◇ 판매자 계정 도용 사기사건 증가···개인정보위, 7개 오픈마켓 사업자 과태료

이 사건은 지난해 5월로 거슬러 올라간다. 개인정보위는 오픈마켓 판매자 계정 도용 등에 따른 전자상거래 사기 사건이 지속적으로 증가하고 있는데, 사업자들이 판매자에 대한 충분한 보호조치를 하지 않았다며 총 5200만원의 과태료를 부과하고 시정명령을 내렸다. 소송을 제기한 이베이(G마켓 인수)·네이버를 포함해 쿠팡, 11번가, 인터파크, 티몬, 롯데쇼핑 등 7개 오픈마켓 사업자가 제재 대상이었다.

실제 경찰통계연보에 따르면 2017년 9만2000여건에 불과하던 오픈마켓 판매자 계정 도용 사기거래 등 전자상거래 사기사건은 2018년 11만2000여건, 2019년 13만6000여건으로 크게 늘었다.

개인정보위는 오픈마켓 사업자가 ‘개인정보처리자’이고 판매자들은 ‘개인정보취급자’라는 전제에서, 판매자가 시스템에 접속할 때 계정과 비밀번호 인증에 더해 휴대전화 인증이나 일회용 비밀번호(OTP) 등 별도 인증수단을 추가로 적용해야 했다고 봤다. 개인정보보호법 제28조는 개인정보가 안전하게 관리될 수 있도록 ‘개인정보처리자’에게 ‘개인정보취급자’에 대한 적절한 관리·감독 의무를 부여하고 있다.

제재를 받았던 7개 사업자 전부는 과태료를 납부하고 시정명령을 이행했지만, G마켓과 네이버는 법률적인 문제점을 지적하며 행정소송을 제기했다. 오픈마켓 판매자는 개인정보처리자인 자신들로부터 구매자의 개인정보를 제공받는 제3자이자 ‘독립된 개인정보처리자’에 불과하다는 이유였다.

◇ 법원 “약관만으로 지휘·감독 인정 안 돼···판매자, 개인정보보호법상 벌칙 규정 대상”

이 사건 재판부도 판매자가 오픈마켓 사업자들의 지휘·감독을 받는 개인정보취급자로 보긴 어렵다고 판단했다.

재판부는 사업자와 판매자 간 약관을 근거로 ‘오픈마켓 판매자가 사업자로부터 정책상의 지휘·감독 내지 개인정보 처리에 관한 지휘·감독을 받는다’는 개인정보위의 주장에 대해 “(약관 조항 내용은) 계약 당사자로 대등한 지위에 있는 판매자에게 업무로 넘겨받는 개인정보를 유출해서는 안된다는 계약상의 의무를 부여한 것에 불과할 뿐, 원고가 판매자를 지휘·감독하는 관계에 있다는 근거로 보기 어렵다”고 했다.

재판부는 실제 개인정보보호법이 개인정보처리자로부터 개인정보를 제공받은 자는 개인정보를 제공받은 목적 외의 용도로 이용해서는 안된다고 규정하는 점을 언급하며 “목적 외 사용 금지는 당연한 의무에 해당할 뿐이다”며 “원고가 판매자들에게 제공한 개인정보 관리 안내서나 판매관리 매뉴얼은 이에 관련한 사항을 안내하기 위한 문서에 불과할 뿐 법적 의무를 부여하기 위한 것이 아니므로, 이를 근거로 (사업자의 판매자에 대한) 지휘·감독을 인정하기 어렵다”고 지적했다.

110만개 판매자 계정에 대한 사업자의 지휘·감독이 사실상 불가능하다는 점도 판단의 근거가 됐다.

재판부는 “피고(개인정보위) 주장대로 판매자가 원고의 개인정보취급자에 해당한다고 본다면, 원고는 약 111만명에 이르는 판매자들의 컴퓨터 등에 외부 인터넷망 차단 조치를 취하고, 판매자들의 컴퓨터와 휴대전화 등에 정보공유 등을 제한하는 일정한 조치를 취해야 한다는 결론이 된다”며 “원고가 약관에 따라 가입한 판매자들에게 이 같은 조치를 취하거나 강제하는 것은 불가능하다”고 판단했다.

나아가 판매자가 개인정보보호법상 벌칙 규정의 적용 대상이 될 경우를 가정하며 “판매자가 개인정보취급자에 불과하다고 본다면, 판매자가 구매자의 개인정보를 고의로 악용해 구매자에게 손해를 가했을 경우 원고에게 법적 책임을 부담하게 할 여지가 있어 자기책임의 원칙에도 반한다”며 “이 경우 판매자를 원고의 개인정보취급자로만 보고 개인정보처리자로 보지 않음으로써 직접적인 규제의 대상으로 포섭하기 어렵게 돼 도리어 개인정보 보호의 공백이 발생할 우려도 있다”고 밝혔다.

그러면서 재판부는 “판매자를 개인정보취급자로 보지 않는다고 하더라도, 원고는 여전히 개인정보보호법상 구매자의 개인정보에 대한 불법접근 차단, 접속기록의 위조·변조 방지, 개인정보의 안전한 저장·전송을 위한 각종 조치를 할 의무를 부담한다”며 “판매자를 반드시 원고의 개인정보취급자로 보아야 할 정책적 필요도 크지 않다”고 했다.

◇ 개인정보위 “사기거래 방지 위한 이중인증 등 이미 시행···항소 여부는 검토”

개인정보위는 행정제재 이후 사업자들이 이중인중 등을 도입해 판매자 계정 도용에 따른 사기거래 문제가 사실상 해소됐다며 법률적 해석문제에 불과한 이번 소송을 계속 진행할지 검토하겠다는 입장이다.

개인정보위 관계자는 “제재 당시에는 판매자 계정을 도용해 허위로 매물을 올리고 돈을 가로채는 사기거래가 유행했다. 제재 이후 사업자들이 이중인증 등 안전한 인증수단을 추가로 적용해 문제가 상당부분 해소됐다”며 “이번 소송은 법리적 해석에 대한 다툼으로 이해하면 된다”고 설명했다.

이어 “1심 판결이 확정될 경우 어떤 문제가 발생할 수 있는지, 항소의 이익이 있는지 등을 검토하겠다”고 덧붙였다.