네이버, 개보위 시정명령 처분 불복해 행정소송···1심서 승소 판결
1심 “판매자는 개인정보 취급자 아닌 독립된 처리자···네이버 관리·감독 의무 없어”
[시사저널e=주재한 기자] 네이버가 오픈마켓 판매자 계정 도용 사기 거래 사건 이후 시정명령이 부당하다며 개인정보보호위원회(개보위)를 상대로 낸 소송 2심 판결이 이번 주 나온다.
오픈마켓 판매자를 개인정보취급자로 볼 것인지, 이에 따라 개인정보처리자인 사업자에게 판매자에 대한 지휘·감독 의무가 발생하는지가 쟁점이다.
서울고법 행정4-1부는 10일 오후 2시 네이버가 개보위를 상대로 낸 시정명령 취소 청구 소송 항소심 판결을 선고한다.
이 사건은 지난 2021년 5월로 거슬러 올라간다. 개보위는 오픈마켓 판매자 계정 도용 등에 따른 전자상거래 사기 사건이 지속적으로 증가하고 있는데, 사업자들이 판매자에 대한 충분한 보호조치를 하지 않았다며 총 5200만원의 과태료를 부과하고 시정명령을 내렸다. 소송을 제기한 네이버·이베이(G마켓 인수)를 포함해 쿠팡, 11번가, 인터파크, 티몬, 롯데쇼핑 등 7개 오픈마켓 사업자가 제재 대상이었다.
개인정보보호법 제28조 제1항은 개인정보처리자에게 개인정보취급자에 대한 적절한 관리·감독 의무를 부여하고 있다. 또 같은법 시행령 제48조의2 제1항은 외부 인터넷망 차단 조치, 백신소프트웨어 설치 등 개인정보처리자가 취해야 할 ‘안정성 확보 조치 의무’ 등을 부여하고 있다.
개인정보위는 판매자가 개인정보취급자라는 전제에서 지휘감독 책임이 있는 사업자가 안정성 확보조치 의무를 다하지 않았다고 봤다. 제재 이후 모든 사업자들은 휴대전화 인증, 일회용 비밀번호 등 이중인증을 도입했다.
이후 네이버 등은 과태료를 납부하고 시정명령을 이행했지만, 법률적인 문제점을 지적하며 행정소송을 제기했다. 판매자는 개인정보처리자인 자신들로부터 구매자의 개인정보를 제공받는 제3자이자 ‘독립된 개인정보처리자’에 불과하다는 이유였다.
1심은 네이버의 손을 들어줬다. 판매자는 개인정보취급자가 아닌 독립된 개인정보처리자로 볼 수 있고, 사업자에게 110만여명에 이르는 판매자에 대한 교육의무, 관리·감독 의무를 부담하게 하는 것은 사실상 불가능하다는 판단에서다. 오픈마켓 사업자는 개인정보취급자인 판매자에 대한 지휘·감독 의무가 있는 개인정보처리자라는 행정처분의 전제가 틀렸다고 본 것이다.
재판부는 “판매자가 원고(네이버)의 지휘·감독을 받아 개인정보를 처리한 개인정보취급자에 해당한다고는 보기 어렵다”며 “판매자가 원고의 지휘·감독 대상인 개인정보취급자라는 전제에서 시정조치를 명한 이 사건 처분은 그 처분 사유가 인정되지 않아 위법하다”고 판시했다.