개인정보법, 처리자에게 취급자 관리·감독 의무 부여
법원 ‘판매자=취급자’ 개보위 처분 전제 틀리다 판단
“판매자는 개인정보 처리하는 제3자···취급자 아냐”
지마켓 관련 소송도 대법서 개보위 패소 확정
[시사저널e=주재한 기자] 네이버가 오픈마켓 판매자 계정 도용 사기 거래 사건 이후 시정명령이 부당하다며 개인정보보호위원회(개보위)를 상대로 낸 소송 2심에서도 승소했다.
오픈마켓 판매자는 개인정보취급자가 아닌 독립된 개인정보처리자이며, 개인정보처리자인 오픈마켓 사업자(네이버)에게 판매자에 대한 지휘·감독 의무가 발생하지 않는다고 본 관련 사건 대법원 판례를 따른 것으로 보인다.
서울고법 행정4-1부(부장판사 정선재·이승련·한규현)는 10일 네이버가 개보위를 상대로 낸 시정명령 취소 청구 소송 항소 선고공판에서 “피고(개보위)의 항소를 기각한다”라고 밝혔다. 개보위가 네이버의 청구를 인용한 1심 판결에 불복해 항소했으나, 이를 받아들이지 않겠다는 판단이다.
이 사건은 지난 2021년 5월 네이버 등 오픈마켓 사업자들에 대해 개보위가 내린 시정명령을 취소해 달라는 소송이다. 당시 개보위는 오픈마켓 판매자 계정 도용 등에 따른 전자상거래 사기 사건이 지속적으로 증가하자, 사업자들이 판매자에 대한 충분한 보호조치를 하지 않았다며 총 5200만원의 과태료를 부과하고 시정명령을 내렸다. 네이버, 이베이(G마켓 인수), 쿠팡, 11번가, 인터파크, 티몬, 롯데쇼핑 등 7개 오픈마켓 사업자가 제재 대상이었다.
개인정보보호법 제28조 제1항은 개인정보처리자에게 개인정보취급자에 대한 적절한 관리·감독 의무를 부여하고 있다. 또 같은 법 시행령 제48조의2 제1항은 외부 인터넷망 차단 조치, 백신소프트웨어 설치 등 개인정보처리자가 취해야 할 ‘안정성 확보 조치 의무’ 등을 부여하고 있다.
이 처분의 전제는 판매자가 원고(네이버)의 지휘·감독을 받아 개인정보를 처리한 개인정보취급자에 해당한다는 것이었다. 개보위 제재 이후 모든 사업자들은 휴대전화 인증, 일회용 비밀번호 등 ‘이중인증’을 도입했다.
네이버는 시정명령 이행과는 별도로 행정소송을 제기했고, 1심은 네이버의 손을 들어줬다. 판매자는 원고(네이버)로부터 구매자의 개인정보를 제공받는 제3자이자 ‘독립된 개인정보처리자’에 불과하다는 이유였다. 1심은 또 사업자에게 110만여 명에 이르는 판매자에 대한 교육의무, 관리·감독 의무를 부담하게 하는 것은 사실상 불가능하는 점도 판단의 배경으로 삼았다.
법원은 유사소송에서도 오픈마켓 사업자에게 판매자에 대한 지휘·감독 의무를 부과할 수 없다고 봤다. 같은 법원 행정8-2부(부장판사 조진구 신용호 정총령) 역시 지난 9월 지마켓이 개보위를 상대로 낸 시정명령 취소소송을 원고 승소로 판단했다.
이 사건 재판부는 “개인정보법상 개인정보취급자는 적어도 법령 또는 계약상 개인정보처리자의 의사에 따라 그 지휘·감독 아래 업무를 집행하는 자를 의미한다”면서 “판매자는 이 사건 약관 등 약정에 따라 원고로부터 개인정보처리시스템에 대한 접근권한을 부여받음으로써 구매자의 개인정보를 제공받아, 판매자 자신의 업무를 위하여 스스로의 의사에 따라 개인정보를 처리 및 이용하는 ‘제3자’일 뿐 원고의 개인정보취급자에 해당하지 않는다”라고 밝혔다.
해당 사건은 개보위가 상고했으나, 지난 10월 대법원에서 그대로 확정(심리불속행 기각)됐다.