오픈마켓 판매자는 ‘개인정보취급자’ 아닌 독립된 ‘개인정보처리자’
법원 “네이버 등 오픈마켓 사업자는 판매자 지휘·감독 책임 없다”
[시사저널e=주재한 기자] 오픈마켓 판매자 계정에 대해 2단계 인증 절차를 마련하지 않았다는 이유로 네이버에 부과된 개인정보보호위원회(개보위)의 시정명령 등은 위법해 취소돼야 한다는 법원 판결이 확정됐다.
10일 법조계에 따르면, 개보위는 지난달 10일 네이버가 개보위를 상대로 낸 시정명령 취소 청구 소송 항소심에서 패소한 뒤 상고하지 않았다. 상소(항소 또는 상고)는 판결서가 송달된 날부터 2주 이내에 제기돼야 한다. 이 사건 판결서는 지난달 19일 송달이 완료됐으며, 2주 뒤인 지난 2일 사건이 확정됐다.
이번 소송은 지난 2021년 5월 개보위가 네이버 등 오픈마켓 사업자들에 대해 내린 시정명령을 취소해 달라는 사건이다.
당시 개보위는 오픈마켓 판매자 계정 도용 등에 따른 전자상거래 사기 사건이 지속적으로 증가하자, 네이버 등 오픈마켓 사업자들이 판매자에 대한 충분한 보호조치를 하지 않았다며 총 5200만원의 과태료를 부과하고 시정명령을 내렸다.
개인정보보호법 제28조 제1항은 개인정보처리자에게 개인정보취급자에 대한 적절한 관리·감독 의무를 부여하고 있다. 또 같은 법 시행령 제48조의2 제1항은 외부 인터넷망 차단 조치, 백신소프트웨어 설치 등 개인정보처리자가 취해야 할 ‘안정성 확보 조치 의무’ 등을 부여하고 있다.
이 처분의 전제는 오픈마켓 판매자가 원고(네이버)의 지휘·감독을 받아 개인정보를 처리한 ‘개인정보취급자’에 해당한다는 것이었다. 개보위 제재 이후 모든 사업자들은 휴대전화 인증, 일회용 비밀번호 등 ‘이중인증’을 도입했다.
네이버는 과태료와 시정명령을 이행하면서도 개보위의 법 해석이 잘못됐다며 행정소송을 냈다.
이어진 1·2심에서 네이버는 모두 승소했다. 재판부는 ‘오픈마켓 판매자는 개인정보취급자가 아닌 독립된 개인정보처리자이며, 개인정보처리자인 오픈마켓 사업자(네이버)에게 판매자에 대한 지휘·감독 의무가 발생하지 않는다’고 판단했다. 개보위의 처분 전제가 틀리다고 본 것이다.
법원은 유사 소송에서도 오픈마켓 사업자에게 판매자에 대한 지휘·감독 의무를 부과할 수 없다고 봤다. 지난해 10월 대법원은 지마켓이 개보위를 상대로 낸 시정명령 취소소송에서 지마켓의 손을 들어줬다.