17.

[사례분석] 구글ㆍ메타 맞춤형 광고를 위한 타사 행태정보 수집 관련 1000억원 과징금 사건 1심 해설(Meta 판결문 포함)

• 새 탭 열기
• 작성 이력 보기

[요약]

1. 혹시 당신의 웹사이트나 앱에 메타 픽셀, SDK, 페이스북 로그인, 소셜 플러그인 중 하나를 설치하셨나요? 만일 그렇다면 페이스북 회원이 우연히 당신의 웹사이트나 앱을 방문했을 때 여기서 활동한 정보(타사 행태정보)가 개인정보로서 메타로 전송되고 있습니다.

2. 혹시 페이스북 회원이신가요? 만일 그렇다면 메타 픽셀, SDK, 페이스북 로그인, 소셜 플러그인 중 하나라도 설치된 웹사이트나 앱을 방문만 해도 그 활동정보가 당신이 식별된 상태로 메타로 전송됩니다. 그리고 그 정보를 바탕으로 당신에게 맞춤형 광고를 하지요.

3. 1.에 해당할 경우 조금은 안심하세요. 메타는 비즈니스 도구를 설치한 당신이 개인정보 수집이용 동의랑 제3자 제공 동의까지 다 받았어야 한다고 주장했지만, 법원은 메타가 페이스북 회원으로부터 개인정보 수집이용 동의를 받아야 할 주체가 맞다고 판단했어요. 

4. 2.에 해당할 경우 'Facebook 외부 활동' 메뉴(계정 → 설정 및 개인정보 → 설정 → 내 Facebook 정보 → Facebook 외부 활동)를 통해 회원 계정 정보와 타사 행태정보의 결합을 해제하세요. 그럼 사생활을 좀 더 보호할 수 있어요. 다만 회원가입을 할 때부터 이걸 알고 선택할 수 있었으면 더 좋았겠죠? 법원도 그래야 적법하다고 판단했어요.

서울행정법원 2025. 1. 23. 선고 2023구합54259 판결

주 문

1. 원고의 청구를 모두 기각한다.

2. 소송비용은 원고가 부담한다.

청 구 취 지

피고가 2022. 9. 14. 원고에 대하여 한 별지 1 기재 각 처분을 모두 취소한다.

이 유

1. 처분의 경위

가. 원고는 영리를 목적으로 정보통신망을 통해 대한민국 국민 등 이용자들에게 소셜네트워크서비스(SNS)인 ‘페이스북(facebook.com)’, ‘인스타그램(instagram.com)’(이하 ‘이 사건 서비스’라 하고, 개별적으로는 ‘페이스북’, ‘인스타그램’이라 한다)을 제공하고 있는 자로서, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라 한다) 제2조 제1항 제3호에 의한 정보통신서비스 제공자이다.

나. 피고는, 원고가 개인정보 주체인 이 사건 서비스 이용자의 동의를 받지 아니하고 이용자가 다른 사업자가 운영하는 웹사이트나 모바일 어플리케이션에서 활동한 행태정보^[1](이하 웹사이트나 모바일 어플리케이션을 ‘웹’ 또는 ‘앱’이라 하고, 이를 운영하는 사업자를 ‘웹ㆍ앱 사업자’라 하며, 원고 회원들의 타사 웹ㆍ앱에서의 행태정보를 ‘타사 행태정보’라 한다)를 수집ㆍ이용한 것이 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것, 이하 같다) 제39조의3 제1항을 위반하였다는 이유로, 2022. 9. 14. 원고에게 별지 1 기재 각 처분을 하였다(이하 ‘이 사건 각 처분’이라 하고, 그 중 제1항의 처분을 ‘이 사건 시정명령 처분, 제2항의 처분을 ‘이 사건 과징금 부과처분’이라 한다)

[인정근거] 다툼 없는 사실, 갑 제1호증의 기재, 변론 전체의 취지

2. 관계 법령

별지 2 기재와 같다.

3. 이 사건 각 처분의 위법 여부

가. 당사자들 주장의 요지

1) 원고의 주장

가) 웹사이트나 앱에 비즈니스 도구인 메타 픽셀, FB SDK를 설치하고 설정함으로써 개인정보 주체의 행태정보를 수집ㆍ이용ㆍ통제ㆍ전송하는 주체는 웹ㆍ앱 사업자인 광고주이고, 원고는 타사 행태정보의 처리를 위탁받은 자(구 개인정보 보호법 제26조 제1항)이거나 이를 제공받는 제3자(구 개인정보 보호법 제17조 제1항)에 불과하며, 해당 웹ㆍ앱과 관련한 정보통신서비스 제공자도 아니다. 따라서 타사 행태정보의 수집ㆍ이용에 대한 동의를 받을 의무는 원고가 아닌 광고주에게 있다.

나) 설령 원고에게 타사 행태정보 수집에 대한 동의를 받을 의무가 있다고 보더라도, 원고는 이용에 대한 동의를 받고 있으므로 구 개인정보 보호법에서 요구하는 동의 요건을 충족하였다.

다) 이 사건 각 처분은 처분의 기초가 되는 사실을 오인하고, 비례원칙을 위반하는 등 재량권을 일탈ㆍ남용하였다.

라) 이 사건 과징금 부과처분은 과징금 대신 과태료 부과가 가능하다는 점에서 법령 적용의 위법이 있고, 과징금 액수 산정과 관련하여 관련 매출액 산정의 오류, 과징금 부과기준 적용의 위법 등 재량권을 일탈ㆍ남용한 위법이 있다.

2) 피고의 주장

가) 원고는 비즈니스 도구를 제작하여 웹ㆍ앱사업자에게 배포하고, 이 사건 서비스를 이용하는 회원들의 이용자 식별자를 생성ㆍ수집ㆍ저장한 뒤 행태정보 수집도구를 통하여 회원들의 타사 행태정보를 이용자 식별자와 결합한 형태로 수집ㆍ저장하여 자신의 업무에 이용하였다. 반면에 웹ㆍ앱 사업자는 타사 행태정보를 취득한 사실이 없으므로, 타사 행태정보의 수집ㆍ이용에 대한 동의를 받을 의무는 원고에게 있다.

나) 원고는 타사 행태정보를 수집하면서 동의 절차 없이 ‘개인정보처리방침’만을 고지하였을 뿐이고, 의도적으로 혼동을 주는 표현, 불명확하거나 난해한 전문용어 등을 이용하여 이용자들의 인식을 어렵게 하였으므로 적법한 동의를 받았다고 볼 수 없다.

다) 이 사건 각 처분 또는 이 사건 과징금 부과처분에는 재량권 일탈ㆍ남용의 위법이 있다고 할 수 없다.

나. 인정사실

1) 맞춤형 콘텐츠, 광고의 의미

맞춤형 콘텐츠, 맞춤형 광고는 웹ㆍ앱 사용 이력, 구매 및 검색 이력 등 이용자의 기호, 성향 등을 파악할 수 있는 온라인상의 이용자 정보를 수집ㆍ분석한 후 해당 이용자에게 맞춤형으로 콘텐츠나 광고를 제공하는 것을 의미한다.

2) 타사 행태정보 수집ㆍ이용 방식(① 비즈니스 도구 배포 → ② 식별자 생성ㆍ수집 및 저장 → ③ 식별자와 결합된 타사 행태정보 수집 → ④ 타사 행태정보의 분석ㆍ활용)

가) 원고의 비즈니스 도구 제작ㆍ배포, 웹ㆍ앱사업자의 설치

(1) 원고는 이용자의 행태정보에 관한 분석, 광고 타겟팅, 광고효과의 측정 등을 목적으로, 웹ㆍ앱사업자가 자신의 웹사이트나 앱에 설치하도록 하는 비즈니스 도구(웹사이트의 경우 ‘메타 픽셀’, 앱의 경우 ‘FB SDK’)를 제작하여 원고가 제공하는 서비스의 ‘이벤트 관리자’ 메뉴를 통하여 무료로 배포하였다. 위 비즈니스 도구 중 메타 픽셀은 ‘https://connect.facebook.net/en_US/fbevents.js’와 같이 URL 형태로 제공되는데 위 URL에는 약 12,300여줄로 구성된 코드가 포함되어 있고, FB SDK는 1,020개의 파일과 427개의 폴더로 구성되어 있고 페이스북 로그인, 페이스북 메신저 등의 기능들이 포함되어 있다. 웹ㆍ앱사업자는 웹사이트나 앱 방문자들의 행태정보 분석을 목적으로 웹사이트의 자바스크립트 코드에 메타 픽셀을, 앱에는 FB SDK를 각 설치하게 되고, 이후 원고로부터 방문자들에 대한 분석과 관련한 익명의 통계를 제공받을 수 있게 된다.

(2) ‘페이스북 로그인’은 원고의 서비스 이용자가 페이스북의 자격 증명을 이용하여 다른 웹ㆍ앱에서 간이하게 계정을 만들 수 있게 하는 기능으로 원고 서비스 이용자는 타사 웹ㆍ앱에 로그인하기 위해 별도의 ID와 비밀번호를 개설할 필요가 없는 서비스를 의미한다. ‘소셜 플러그인’은 웹ㆍ앱사업자가 페이스북 계정을 사용해 해당 웹ㆍ앱에 댓글을 남기거나 ‘좋아요’ 버튼 기능을 사용토록 함으로써 이용자가 선호하는 콘텐츠를 우선적으로 보여지도록 하는 등 웹ㆍ앱과 페이스북을 상호 연결하는 서비스를 의미한다. 웹ㆍ앱사업자가 페이스북 로그인 기능을 설치하는 경우 FB SDK의 구성요소인 ‘FB 로그인 SDK’를 설치해야 하고, 이때 행태정보 수집 기능을 담당하는 FB SDK에 필수적으로 포함되어 있는 ‘FB Core SDK’도 함께 설치된다. 원고는 ‘데이터 정책’, ‘고객센터’ 등의 메뉴에서 페이스북 로그인 및 소셜 플러그인 기능을 사용하는 경우 타사 행태정보가 수집된다는 취지로 기재하였다.

나) 원고 회원 가입 시 식별자 생성ㆍ수집 및 저장

(1) [웹에서의 이용자 식별자 생성ㆍ저장] 이용자가 이 사건 서비스에 접속하면, 원고는 datr, fr, ps_l, ps_n, wd 등 쿠키^[2]를 생성하여 이용자 기기에 저장을 한다. 그리고 원고의 회원이 이 사건 서비스에 로그인을 하면, 원고는 c_user^[3], dpr, xs 등 새로운 쿠키(이하 ‘이용자 식별자’라 한다)를 추가 생성하여(기존 fr등 쿠키와 함께) 이용자 기기에 저장한 뒤 이용자의 이 사건 서비스 회원 계정과 결합해 둔다.

(2) [앱에서의 광고식별자 수집ㆍ저장] 모바일 기기의 운영체제를 공급하는 애플과 구글은 당초 기기별로 광고식별자를 할당하여 이용자 개인을 식별하지 않은 상태에서 광고 제공이 가능하도록 하였고, 이용자의 명시적 동의 없이 개인을 식별하기 위해 광고식별자를 사용하는 것을 금지하고 있다. 그런데 이용자가 이 사건 서비스에 접속ㆍ로그인을 하면, 원고는 이용자의 모바일 기기에 할당되어 있는 광고식별자(ADID^[4], IDFA^[5]) 등을 수집하여 이용자 계정과 결합하여 보관한다.

다) 온라인 식별자와 결합된 타사 행태정보 수집

(1) 이용자가 비즈니스 도구를 설치한 웹ㆍ앱사업자의 웹ㆍ앱을 방문하여 물품 구매 등 일정한 행위(타사 행태정보가 된다)를 하면, 비즈니스 도구가 이용자 식별자 또는 광고식별자(이하 이들을 통틀어 ‘온라인 식별자’라 한다)와 결합된 위 타사 행태정보를 이용자 기기에서 원고 서버로 전송하도록 지시를 한다. 원고는 비즈니스 도구를 통해 이용자 기기에서 원고 서버로 전송하도록 하는 타사 행태정보의 종류(‘장바구니에 담기’ 등)를 ‘표준 이벤트’라는 명칭으로 사전에 유형화해 두고(메타 픽셀에는 17개, FB SDK에는 24개), 웹ㆍ앱사업자로 하여금 표준 이벤트 항목 중에서 원고에게 전송할 타사 행태정보의 범위를 설정하도록 하거나, ‘맞춤 이벤트’라는 명칭으로 해당 웹ㆍ앱의 환경에 맞도록 원고에게 전송할 타사 행태정보를 별도로 설정(가령, 공유 자동차 앱 운영자는 ‘승차 요청’, ‘승차 완료’와 같은 정보를 수집하도록 설정할 수도 있다)할 수 있도록 하고 있다.

(2) 원고는 이와 같은 온라인 식별자를 매개로 하여 타사 행태정보를 이 사건 서비스의 회원 계정과 매칭함으로써 이용자 개인이 식별된 상태의 타사 행태정보를 이용자별로 축적하여 수집한다.^[6]

라) 온라인 식별자와 결합된 타사 행태정보의 분석ㆍ활용

원고는 특정 개인이 식별된 타사 행태정보를 당해 개인의 이 사건 서비스 내에서의 행태정보와 함께 묶어 원고의 서버에서 관리하고, 위와 같이 회원별로 관리되는 타사 행태정보를 비롯한 회원의 행태정보를 원고가 구축한 머신 러닝 시스템(Machine learning System)을 통해 학습시키고 타게팅한 뒤 회원들에게 이 사건 서비스를 통해 맞춤형 콘텐츠, 맞춤형 광고를 제공한다.

3) 이 사건 서비스 내에서 계정정보와 타사 행태정보의 연결 해제 방식 도입

원고는 2019. 8.경 국내 이용자의 이 사건 서비스 계정정보와 타사 행태정보의 연결을 해제하고 향후에도 결합되지 않도록 설정할 수 있는 메뉴를 신설하였다. 이에 따라 원고의 회원이 이 사건 서비스 계정에 로그인한 뒤 ‘Facebook 외부 활동’ 메뉴(계정 → 설정 및 개인정보 → 설정 → 내 Facebook 정보 → Facebook 외부 활동)를 통해 회원의 계정 정보와 타사 행태정보의 결합을 해제할 수 있고, ‘파트너가 제공한 회원님의 활동 데이터’ 메뉴를 통해 타사 행태정보를 사용한 맞춤형 광고 제공을 거부할 수 있게 되었다. 그러나 위와 같이 선택을 하기 전에는 계정 정보와 타사 행태정보 결합, 맞춤형 광고 제공이 모두 ‘허용됨’으로 설정되어 있다.

4) 원고의 약관 내용

원고의 서비스 약관에는 “이용자들에게 Facebook 또는 기타 본 약관이 적용되는 제품 및 서비스의 사용료를 청구하지는 않으나, 비즈니스와 단체 및 다른 사람이 제품 및 서비스 광고를 회원에게 보여드리도록 비용을 지불한다. 우리 제품을 이용함으로써 회원은 우리가 회원 및 회원의 관심사와 관련 있을 수 있다고 생각하는 광고를 보여주는 것에 동의하게 된다”고 기재되어 있다.

5) 원고와 웹ㆍ앱사업자와의 관계

원고가 작성한 비즈니스 도구 약관에는 “관련 법령에 따라 귀하가 처리하는 개인정보가 비즈니스 도구 데이터에 포함되어 있는 경우 귀하는 원고가 원고의 이익을 위하여 비즈니스 도구 데이터를 사용하는 것에 관하여 관련 법령에 따라 최종 사용자로부터 필요한 동의를 받아야 한다”는 내용이 기재되어 있다.

6) 원고의 타사 행태정보 수집 목적

원고는 피고의 조사과정에서 ① 광고주의 광고효과 측정 및 분석, ② 광고 타게팅 및 광고 게재 개선 등 맞춤형 광고 제공, ③ 원고가 제공하는 서비스 기능 및 콘텐츠 맞춤화, 제품 개선 및 보호 등을 위하여 이용자의 행태정보를 수집하고 있다고 답변하였다.

[인정근거] 다툼 없는 사실, 갑 제1, 4 내지 6, 18, 21, 30, 31호증, 을 제4, 8 내지 14, 16, 23 내지 31, 33 내지 38, 40 내지 45호증의 각 기재 및 영상, 변론 전체의 취지

다. 개인정보 수집 주체에 관한 판단

1) 관련 규정의 내용

가) 구 개인정보 보호법은 개인정보를 살아 있는 개인에 관한 정보로서, ‘성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보’(제2조 제1호 가목), ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다)’(제2조 제1호 나목), ‘가목 또는 나목을 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(가명정보)’(제2조 제1호 다 목)로 정의하는 한편, ‘개인정보파일’을 ‘개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)’로 규정하고(제2조 제4호), ‘개인정보처리자란’ 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다고 규정하고 있다(제2조 제5호).

나) 구 개인정보 보호법 제15조 제1항 제1호는 개인정보처리자는 정보주체의 동의를 받은 경우 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다고 규정하고, 제15조 제2항은 개인정보처리자는 제1항 제1호에 따른 동의를 받을 때에는 ‘개인정보의 수집ㆍ이용 목적’(제1호), ‘수집하려는 개인정보의 항목’(제2호), ‘개인정보의 보유 및 이용 기간’(제3호), ‘동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용’(제4호)을 정보주체에게 알려야 한다고 규정하고 있다.

그리고 구 개인정보 보호법 제39조의3 제1항은 정보통신서비스 제공자는 제15조 제1항에도 불구하고 이용자의 개인정보를 이용하려고 수집하는 경우에는 ‘개인정보의 수집ㆍ이용 목적’(제1호), ‘수집하는 개인정보의 항목’(제2호), ‘개인정보의 보유ㆍ이용 기간’(제3호)을 이용자에게 알리고 동의를 받아야 한다고 규정하면서 위 사항을 변경하려는 경우에도 또한 같다고 규정하고 있다.

2) 구체적 판단

가) 비즈니스 도구는 이용자의 타사 행태정보를 수집하는 도구로서 웹ㆍ앱사업자가 스스로 자신의 웹ㆍ앱에 원고가 제작ㆍ배포한 비즈니스 도구를 설치하는 사실, 이용자의 타사 행태정보가 처음 발생하는 곳은 웹ㆍ앱사업자가 운영하는 웹ㆍ앱인 사실, 원고는 비즈니스 도구를 제작하면서 ‘맞춤 이벤트’라는 명칭으로 해당 웹ㆍ앱의 환경에 맞도록 웹ㆍ앱사업자가 원고에게 전송할 타사 행태정보의 범위를 별도로 설정할 수 있도록 하였고, 비즈니스 도구 약관에서 웹ㆍ앱사업자로 하여금 “관련 법령에 따라 최종 사용자로부터 필요한 동의를 받아야 한다”는 내용을 기재하여 둔 사실은 앞서 본 바와 같고, 갑 제10호증의 각 기재에 의하면, 웹ㆍ앱사업자 중 아디다스 코리아, 아모레퍼시픽 등 일부 사업자들은 ‘개인정보 처리방침’란을 통해 타사 행태정보를 수집하고 있음을 이용자에게 고지하고 있고, 쿠팡, 티몬, 넥스터즈는 여기서 더 나아가 원고와 같이 타사 행태정보를 제공받는 회사까지 명시하고 있는 사실이 인정된다.

위 인정사실에 의하면, 웹ㆍ앱사업자도 이용자의 타사 행태정보가 수집되는 과정에서 일정한 역할을 하는 것으로 보이기는 한다.

나) 그러나 앞서 본 인정사실에 의하여 알 수 있는 다음 사정들, 즉 개인정보에 해당하는 타사 행태정보 취득의 주체, 타사 행태정보 이용의 목적 유무, 개인정보 보호법 상 개인정보처리자의 개념 및 정보통신서비스 제공자와 개인정보처리자의 관계 등을 종합해 보면, 구 개인정보 보호법 제39조의3 제1항에 따라 개인정보에 해당하는 타사 행태정보 수집의 동의를 받아야 하는 정보통신서비스 제공자는 원고로 봄이 타당하다.

이에 반하는 원고 주장은 받아들이지 아니한다.

(1) 구 개인정보 보호법 제12조 제1항은 개인정보보호위원회는 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 표준 개인정보 보호지침(이하 “표준지침”이라 한다)을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다고 규정하고, 그 위임에 따른 구 ‘(개인정보보호위원회) 표준 개인정보 보호지침’(개인정보보호위원회고시 제2024-1호로 개정되기 전의 것) 제6조 제1항은 개인정보의 ‘수집’이란 정보주체로부터 직접 이름, 주소, 전화번호 등의 개인정보를 제공받는 것뿐만 아니라 정보주체에 관한 모든 형태의 개인정보를 취득하는 것을 말한다고 규정하고 있다.

이 사건에서 이용자가 웹ㆍ앱을 이용하는 과정에서 발생한 행태정보들이 원고가 생성ㆍ수집해 둔 온라인 식별자와 결합하여 이용자 기기에서 곧바로 원고 서버로 전송된다는 사실은 앞서 본 바와 같다. 이용자가 웹ㆍ앱을 이용하는 과정에서 발생한 행태정보들은 그 행태정보가 어떠한 특정인의 행태정보인지 구별할 수 없는 상태에서는 구 개인정보 보호법상 개인정보라고 할 수 없지만, 온라인 식별자와 결합하게 되면 온라인 식별자를 매개로 타사 행태정보에 원고의 회원 계정과 결합하는 방식으로 특정 개인을 식별할 수 있게 되므로 구 개인정보 보호법 제2조 제1호 나목에서 정하는 개인정보에 해당한다. 그러므로 원고가 이용자 기기에서 온라인 식별자와 결합한 타사 행태정보를 자신의 서버로 전송받는 시점에 원고는 회원들의 개인정보인 타사 행태정보를 취득한다고 볼 수 있다. 웹ㆍ앱 사업자는 이러한 과정에서 이용자 식별자와 결합한 타사 행태정보를 전송받지 못하므로 개인정보를 취득한다고 볼 수 없다.

이에 대하여 원고는, 이용자가 ‘장바구니 담기’ 등 일정한 행위를 하면 웹ㆍ앱의 서버와 상호작용을 하면서 타사 행태정보가 웹ㆍ앱사업자의 서버에 저장되므로 이용자가 웹ㆍ앱에 일정한 행위를 요청하는 시점부터 웹ㆍ앱사업자가 타사 행태정보를 취득하게 되고 이는 곧 ‘개인정보의 수집’에 해당한다는 취지로 주장을 한다. 그러나 이용자가 웹ㆍ앱에서 일정한 행위를 요청하는 것은 클라이언트(이용자 기기)와 웹ㆍ앱사업자의 서버 사이에 인터넷 통신(HTTP)을 하기 위한 것으로서 웹ㆍ앱의 통상적인 이용 과정에서 발생하는 정보에 불과하다. 따라서 위와 같이 인터넷 통신을 위한 정보는 ‘특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보’(구 개인정보 보호법 제2조 제1호 나목)로서 ‘개인정보’의 개념에 부합한다고 볼 수 없다. 뿐만 아니라 HTTP 통신 과정에서 서버 응답을 위해 일정한 정보를 입력 받은 행위를 두고 구 개인정보 보호법 제39조의3 제1항에 따라 동의를 받아야 하는 개인정보의 ‘수집’으로 평가하기도 어렵다.

(2) 구 개인정보보호법 제39조의3 제1항은 정보통신서비스 제공자로 하여금 ‘개인정보를 이용하려고’ 수집하는 경우에 ‘개인정보의 수집ㆍ이용 목적’(제1호), ‘개인정보의 보유ㆍ이용 기간’(제3호) 등을 이용자에게 알리고 동의를 받아야 한다고 규정하고 있다.

위 규정의 문언 및 체계, 취지 등을 종합하면, 개인정보 수집주체로서 이용자 동의를 받아야 할 의무가 발생하는 정보통신서비스 제공자에게는 개인정보를 이용할 목적과 개인정보의 이용행위가 있어야 한다.

원고는 타사 행태정보를 수집하기 위해 비즈니스 도구를 제작ㆍ배포하여 웹ㆍ앱에 설치하도록 하였고, 이 사건 서비스 이용자로부터 비용을 받지 않는 대신에 맞춤형 광고를 이용하는 광고주 등이 지불하는 비용으로 수익을 충당하고 있다(을 제4호증). 뿐만 아니라 원고는 ① 광고주의 광고효과 측정 및 분석, ② 광고 타게팅 및 광고게재 개선 등 맞춤형 광고 제공, ③ 원고가 제공하는 서비스 기능 및 콘텐츠 맞춤화, 제품 개선 및 보호 등 다양한 사업 목적으로 이 사건 서비스 이용자의 타사 행태정보를 수집ㆍ이용하고 있다.

이에 대하여 원고는, 웹ㆍ앱사업자에게는 이용자의 행태정보에 관한 분석, 광고 효과의 측정, 맞춤형 광고 제공 등의 목적이 있다는 취지로 주장을 한다. 그러나 이용자의 행태정보에 관한 분석이나 광고효과의 측정 등은 모두 익명의 통계로 제공될 뿐이어서 개인 식별을 할 필요가 없다. 또한 웹ㆍ앱사업자 모두가 원고에게 광고를 의뢰하는 광고주인 것도 아닐 뿐만 아니라 맞춤형 광고는 1차적으로 원고가 자신의 수익을 위해 생성ㆍ제공하는 것이므로 원고에 우선하여 웹ㆍ앱사업자에게 개인정보로서 타사 행태정보의 이용 목적이나 이용 행위가 있다고 보기 어렵다.

(3) 종전에 개인정보 보호 관련 법령은 일반법인 개인정보 보호법과 정보통신서비스 제공자등에 대한 개인정보 보호를 규율하는 정보통신망법으로 분산되어 있었으나 개인정보의 오용ㆍ남용 및 유출 등을 감독할 감독기구를 개인정보 보호위원회로, 관련 법률의 유사ㆍ중복 규정을 개인정보 보호법으로 일원화하여 개인정보의 보호와 관련 산업의 발전이 조화될 수 있도록 개인정보 보호 관련 법령을 체계적으로 정비하기 위하여 2020. 2. 4. 개인정보 보호법과 정보통신망법이 개정되면서 정보통신망법의 개인정보 보호 규정은 개인정보 보호법에 통합되었다. 이 과정에서 개인정보 보호법은 종전 정보통신망법의 규정 중 개인정보 보호법과 상이하거나 정보통신서비스의 특성상 정보통신망법에만 있는 규정을 개인정보 보호법 제6장(정보통신서비스 제공자 등의 개인정보 처리 등 특례)에 반영함으로써 종전 개인정보 보호법과 정보통신망법의 일반법과 특별법의 관계를 일반규정과 특례규정의 관계로 유지하였다. 즉, 일반규정은 공공ㆍ민간부문에 포괄적으로 적용되는 일반법적인 성격을, 특례규정은 정보통신서비스 제공자 등에 적용되는 특별법적 성격을 가지게 되었다. 그러므로 일반규정과 특례규정의 내용이 상호 모순ㆍ저촉되거나 특례규정에 일반규정의 적용을 배제하는 내용이 포함되어 있는 경우에는 특례규정이 우선 적용되고, 그렇지 않고 일반규정이 특례규정에 존재하지 않는 사항을 담고 있는 경우에는 해당 일반규정이 그대로 적용된다고 할 것이다.

구체적으로 살펴보면, 정보통신서비스 제공자에 관하여 개인정보 수집 동의를 받도록 한 구 정보통신망법(2020. 2. 4. 법률 제16955호로 개정되기 전의 것, 이하 같다) 제22조 제1항은 개인정보 보호법이 2020. 2. 4. 법률 제16930호로 개정되어 2020. 8. 5. 시행되면서 신설된 개인정보 보호법 제6장(정보통신서비스 제공자 등의 개인정보 처리 등 특례)의 제39조의3 제1항으로 이동하였다. 위와 같이 개인정보 보호법이 개정되면서 동의를 받는 방법에 관한 규정인 구 정보통신망법 제26조의2는 삭제되었으나, 개인정보 보호법은 동의를 받는 방법에 관한 규정인 제22조 제1, 2항을 별도로 개정하지 않았고, 정보통신서비스 제공자가 동의를 받는 방법에 관하여도 별도의 규정을 신설하지 아니하였다. 그리고 개인정보 보호법이 위와 같이 개정되면서 ‘개인정보처리자’가 개인정보를 제3자에게 제공할 수 있는 경우를 규율하는 제17조 제1항 제2호에 정보통신서비스 제공자에 관한 제39조의3 제2항 제2, 3호가 추가되었고, ‘개인정보처리자’의 개인정보의 목적 외 이용ㆍ제공 제한을 규율하는 제18조 제1항에도 정보통신서비스 제공자에 관한 제39조의3 제1, 2항이 추가되어 개인정보처리자와 정보통신서비스 제공자를 함께 규율하게 되었다.

이와 같은 개인정보 보호법의 체계, 문언, 개정 연혁 등을 종합해 보면, “개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다”, “개인정보처리자는 제1항의 동의를 서면으로 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집ㆍ이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 보호위원회가 고시로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다”고 규정한 구 개인정보 보호법 제22조 제1, 2항은 특례규정인 개인정보 보호법 제6장의 규정에는 존재하지 않는 사항을 담고 있고, 달리 위 규정들과 모순ㆍ저촉되는 내용이 없으므로, 정보통신서비스 제공자에게도 그대로 적용된다고 할 것이다.

이 사건에 관하여 보건대, 원고는 이 사건 서비스 회원들의 행태정보를 분석하여 맞춤형 광고나 맞춤형 콘텐츠 등을 제공할 목적으로 회원들의 이 사건 서비스 내에서의 행태정보와 이 사건 서비스 외에서 이루어진 타사 행태정보를 수집한 뒤 이를 회원 계정과 매칭하여 회원별로 관리하고 있으므로, 원고는 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 ‘개인정보처리자’(구 개인정보 보호법 제2조 제5호)에 해당한다. 이용자의 기기에서 원고의 서버로 전송되는 타사 행태정보는 이용자의 특정 웹ㆍ앱에서의 단편적 행태정보만으로 개인정보파일이 되는 것이 아니라, 여러 웹ㆍ앱에서의 수많은 행태정보들이 원고의 서버에 수집된 뒤 온라인 식별자를 매개로 이 사건 서비스 회원 계정과 매칭되고 나서야 비로소 ‘개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물’인 개인정보파일(구 개인정보 보호법 제2조 제4호)에 해당하게 되는 점에서 더욱 그러하다.

이에 반하여 이 사건에 제출된 증거만으로는 웹ㆍ앱사업자가 웹ㆍ앱에 접속한 이용자들의 웹ㆍ앱 서버와의 통신 내용을 개별적인 개인정보파일로 운용하였다거나 이와 같이 개인정보파일을 운영하는 가운데 이용자들이 웹ㆍ앱 서버와 통신을 하면 해당 정보를 원고에게 제공하였다고 보기 부족하고 달리 이를 인정할 증거가 없다. 게다가 웹ㆍ앱사업자들이 온라인 식별자를 회원 정보와 결합하여 개인을 식별하였음을 인정할 증거도 없는바, 웹ㆍ앱사업자로서는 자신의 회원이나 이용자 중 누구의 행태정보가 원고에게 제공되는지 식별하기도 어려워 보인다. 설령 웹ㆍ앱사업자들이 해당 웹ㆍ앱 회원들에게 별도로 이용자 식별자를 부여하는 형태로 개인정보파일을 운용하였다고 하더라도 이는 자신의 웹ㆍ앱 내에서의 행태정보를 수집하는 것으로, 수집ㆍ이용하는 개인정보의 내용이나 수집ㆍ이용 목적이 다르다는 점에서 원고의 타사 행태정보 수집행위와는 별도로 평가되어야 할 것이다.

따라서 원고가 구 개인정보 보호법 제15조에 따른 개인정보처리자가 아니므로 구 개인정보 보호법 제39조의3에서 정한 정보통신서비스 제공자에 해당하지 않는다거나 정보통신서비스 제공자는 웹ㆍ앱사업자로 보아야 한다는 주장, 개인정보처리자가 동의를 받는 방법에 관하여 정한 구 개인정보 보호법 제22조 제1, 2항은 정보통신서비스 제공자에게 적용되지 않는다는 전제에서 “이용자가 자유로운 결정권을 행사하고 쉽고 명확하게 인지할 수 있도록 이용자에게 알리고 동의를 받아야 한다”는 내용의 이 사건 시정명령이 모호하고, 불특정ㆍ불확실하여 그 자체로 위법하다는 취지의 원고 주장은 모두 받아들이지 아니한다.

(4) 한편, 웹ㆍ앱사업자가 비즈니스 도구를 설치하면서 원고에게 전송할 타사 행태정보의 범위를 달리 설정할 수 있는 것으로 보이기는 한다. 그러나 앞에서 살핀바와 같이 타사 행태정보를 전송하도록 하는 비즈니스 도구는 원고가 제작하여 배포한 점, 위 비즈니스 도구를 통해 전송된 개인정보를 취득하는 주체는 원고인 점, 원고가 주장하는 사업들을 추진하거나 홍보하기 위해서는 타사 행태정보의 수집ㆍ이용이 효과적인 수단이 될 뿐만 아니라 긴요하다고 보이는 점, 원고는 ‘표준 이벤트’라는 명칭으로 원고의 서버로 전송할 타사 행태정보의 종류를 사전에 유형화 해 두었고, 비즈니스 도구를 설치한 웹ㆍ앱사업자가 위 표준 이벤트 항목의 범위를 특별히 축소할 만한 사정은 확인되지 않는 점 등에 비추어 보면, 원고가 제공받는 타사 행태정보의 범위가 웹ㆍ앱사업자의 설정에 따라 일부 변동될 수 있다고 하여 이를 개인정보의 수집 주체에 관한 판단을 번복할 만한 사정에 해당한다고 보기 어렵다.

(5) 또한 웹ㆍ앱사업자가 페이스북 로그인, 소셜 플러그인 기능들을 설치할 때 일반적으로 비즈니스 도구 중 타사 행태정보 수집 기능이 함께 설치되는 점, 원고도 ‘데이터 정책’, ‘고객센터’ 등의 메뉴에서 위 기능들을 사용하는 경우 타사 행태정보가 수집된다는 취지로 기재하였다는 점에서 웹ㆍ앱사업자가 비즈니스 도구인 메타 픽셀이나 FB SDK를 직접 설치한 경우는 물론 페이스북 로그인, 소셜 플러그인 기능을 설치한 경우에도 원고가 개인정보에 해당하는 타사 행태정보를 수집한다고 봄이 타당하다.

(6) 원고는, 비즈니스 도구를 설치한 웹ㆍ앱사업자는 원고도 확인이 불가능하고, 기술적인 측면에서 볼 때 웹ㆍ앱사업자 목록을 모두 첨부하여 원고가 회원들로부터 개인정보 수집 동의를 받을 것을 요구하는 것은 불가능한 반면, 웹ㆍ앱사업자가 이용자로부터 동의를 받는 것이 용이하다는 취지로 주장을 한다.

그러나 온라인 식별자가 결합된 타사 행태정보가 개인정보 보호법에 정의된 개인정보에 해당하는 이유는 원고가 온라인 식별자와 회원 계정의 매칭을 통해 특정 개인을 식별할 수 있기 때문인데 온라인 식별자를 생성ㆍ수집하고, 행태정보 수집도구를 제작ㆍ배포하여 이용자들의 타사 행태정보가 온라인 식별자와 결합하여 원고의 서버로 전송되도록 하는 주체는 바로 원고이다. 또한 원고는 이와 같은 방식으로 수집한 타사 행태정보를 회원 계정과 결합한 뒤 회원별 개인정보파일을 운용하면서 맞춤형 광고 등에 적극적으로 활용하고 있는바, 원고는 애초에 온라인 식별자를 생성ㆍ수집하는 시점, 즉 회원들이 이 사건 서비스에 가입하거나 로그인하는 시점에 회원들로부터 원고가 수집할 타사 행태정보에 관한 수집ㆍ이용 동의를 받는 것이 충분히 가능하다고 보이고, 행태정보의 수집과정에 비추어 보아도 그 시점에 동의를 받는 것이 바람직하다. 만약 회원이 수집ㆍ이용을 거부하는 경우라면 뒤에서 보는 바와 같이 유럽에서 제공하는 서비스 방식, 즉 수집된 데이터를 삭제하는 방식으로 개인정보의 수집ㆍ이용 행위를 중단할 수도 있을 것이다. 설령 원고가 주장하는 바와 같이 동의를 받는 데 기술적인 어려움이 있다거나 그로 인해 원고의 사업구조를 변경해야 하는 위험이 초래된다고 하더라도 이는 그 사업방식을 고안한 원고가 해결할 문제이고, 그러한 사정만으로 개인정보 보호법 위반을 정당화할 수는 없다.

(7) 원고는 개인정보 처리 업무를 위탁(구 개인정보 보호법 제26조)받거나 제3자로서 개인정보를 제공받아 취득(구 개인정보 보호법 제17조)한 것에 불과하므로 구 개인정보 보호법 제39조의3 제1항이 적용되지 않는다는 취지로도 주장을 한다. 그러나 앞서 살핀바와 같이 원고가 개인정보인 타사 행태정보를 수집ㆍ이용하는 주체에 해당하는 이상 원고의 행위가 개인정보 처리 업무를 위탁받거나 제3자로서 개인정보를 제공받아 취득한 것에 불과하다고 볼 수 없다.

(8) 그렇다면, 원고는 정보통신서비스 제공자로서 이용자에게 개인정보인 타사 행태정보의 수집ㆍ이용 목적, 수집하는 타사 행태정보 항목, 타사 행태정보의 보유ㆍ이용기간을 알리고 동의를 받아야 할 의무가 있다고 할 것이므로 구 개인정보 보호법 제39조의3 제1항의 적용대상이 된다.

라. 개인정보 수집ㆍ이용에 대한 동의를 받았는지 여부에 관한 판단

1) 관련 규정 및 법리

가) 대한민국 헌법은 제10조 제1문에서 인간의 존엄과 가치 및 행복추구권을, 제17조에서 사생활의 비밀과 자유를 규정하고 있는데, 위 규정들은 고도로 정보화된 현대 사회에서 개인이 그에 대한 개인정보를 자율적으로 통제할 수 있는 적극적인 권리까지도 보장하기 위한 취지로 해석되고(대법원 1998. 7. 24. 선고 96다42789 판결 참조), 위 규정들에 기초하여 개인은 자신의 개인정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 스스로 결정할 수 있는 권리, 즉 정보주체인 개인이 개인정보의 공개와 이용에 관하여 스스로 결정할 권리에 해당하는 ‘개인정보 자기결정권’을 가진다고 볼 수 있다[헌법재판소 2005. 5. 26. 선고 99헌마513, 2004헌마190(병합) 결정 등 참조].

나) 구 개인정보 보호법은 제39조의3 제1항에서 정보통신서비스 제공자가 이용자의 개인정보를 이용하려고 수집하는 경우에는 개인정보의 수집ㆍ이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유ㆍ이용 기간(이하 ‘법정 고지사항’이라 한다)을 이용자에게 알리고 동의를 받아야 한다고 정하여 정보통신서비스 제공자가 개인정보를 이용하려고 수집하는 경우 정보주체에 해당하는 이용자의 동의를 그 전제요건으로 정하고 있고, 제22조 제1항에서 이용자의 동의를 받는 방법으로 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받을 것을 정하고 있다. 구 개인정보 보호법에서 정한 이러한 개인정보 수집에 관한 동의 절차는 정보 주체인 이용자에게 보장된 개인정보 자기결정권을 실현할 수 있는 것이어야 한다.

그러므로 구 개인정보 보호법 제39조의3 제1항에서 이용자의 개인정보 수집에 관한 동의가 적법하려면, 정보통신서비스 제공자가 이용자에게 법정 고지사항에 대한 인식 가능성만을 부여한 것으로는 충분하지 않고, 이용자가 개인정보의 수집에 관한 개인정보 자기결정권을 충분히 행사할 수 있도록 통상의 이용자라면 각각의 법정 고지사항의 구체적 내용을 알아볼 수 있게 게시하고, 법정 고지사항의 내용을 명확하게 인식한 상태에서 동의 여부를 자유롭게 선택할 수 있도록 동의 여부를 표시할 수 있는 부분을 밀접하게 배치하여야 한다(대법원 2016. 6. 28. 선고 2014두2638 판결 등 참조).

2) 인정사실

가) 원고는 이용자들이 이 사건 서비스에 가입하고자 하는 경우, 가입 단계에서 원고의 ‘데이터 정책’에 ‘동의’를 체크하여야 가입이 가능하도록 하고 있다. 원고가 페이스북 가입 단계에서 가입자의 동의를 구하며 제시하는 ‘데이터 정책’에 관한 설명은, 아래 그림에서 보는 바와 같이 한 화면에 5줄 가량이 제시되면서 스크롤 바를 내려가며 확인하여야 하는데, 그 전문은 별지 3(2022. 1.경에 개정된 내용이다)과 같고, 전체적으로 공백 포함 14,600여개 글자, 694줄로 이루어져 있다. 그리고 인스타그램의 경우, ‘이용 약관에 동의’ 메뉴에서 ‘데이터 정책(필수)’ 아래에서 ‘더 알아보기’ 링크를 눌러야 ‘데이터 정책’ 메뉴 전문 확인이 가능한데, 이를 확인하지 않고도 가입이 가능하다.

나) 위 데이터 정책의 “저희가 수집하는 정보의 유형”란에는 ① 회원님 및 다른 사람의 활동 및 제공하는 정보, ② 기기정보 ③ 파트너가 제공하는 정보가 모두 포함되어 있고, ③ 파트너가 제공하는 정보란에는 “광고주, 앱 개발자 및 퍼블리셔는 이들이 사용하는 Meta 비즈니스 도구, 즉 저희의 소셜 플러그인(예: ‘좋아요’ 버튼), 페이스북 로그인, SDK, 메타 픽셀을 통해 저희에게 정보를 제공할 수 있다. 이 파트너들은 회원들의 원고 계정 보유 여부 또는 저희 제품 로그인 여부와 관계 없이 회원들의 활동에 대한 정보(회원님의 기기, 회원님이 방문한 웹사이트, 회원님의 구매 내역, 회원님에게 표시되는 광고 및 회원님이 해당 파트너들의 서비스를 사용한 방법에 관한 정보 포함)를 제공한다”는 내용이 기재되어 있다. 또한 ‘저희가 정보를 활용하는 방법’란에는 “저희는 보유한 정보(회원님의 관심사, 행동 및 관계에 관한 정보를 포함)를 이용하여 광고, 쿠폰 및 회원에게 표시되는 기타 홍보 콘텐츠를 선택하고 맞춤화한다. 저희가 광고를 선택하고 맞춤화하는 방법, 광고 및 기타 홍보 콘텐츠를 선택하기 위해 사용한 데이트에 관한 회원님의 선택 사항을 페이스북 설정 및 인스타그램 설정에서 자세히 알아보세요”라는 내용이 기재되어 있다.

다) 원고는 우리나라와는 달리 유럽 이용자가 이 사건 서비스에 접속하는 경우, 타사 행태정보를 결합하기 위한 쿠키 사용 허용 여부에 대한 동의 화면을 제공하고 있고, 유럽 이용자가 쿠키 사용에 동의하지 않는 경우 수집된 타사 행태정보가 ‘삭제된다’고 안내하고 있다.

[인정근거] 다툼 없는 사실, 갑 제1, 6호증의 각 기재, 변론 전체의 취지

3) 구체적 판단

앞서 본 인정사실, 갑 제1, 36 내지 38호증의 각 기재에 변론 전체의 취지에 의하여 알 수 있는 다음의 사실 및 사정들을 종합해 보면, 정보통신서비스 제공자인 원고는 이 사건 서비스 회원들로부터 개인정보인 타사 행태정보의 수집ㆍ이용에 관하여 구 개인정보 보호법 제39조의3 제1항에 따른 적법한 동의를 받았다고 보기 어렵다. 이에 반하는 원고의 주장은 이유 없다.

가) 정보통신서비스 제공자에 관한 구 개인정보 보호법 제39조의3을 비롯한 제6장의 규정들은 개인정보처리자에 관한 구 개인정보 보호법 제3장의 특례규정으로 봄이 타당하고, 정보통신서비스 제공자에 대해서도 특례규정에 반하지 않는 한 일반규정인 구 개인정보 보호법 제3장의 내용들이 준용될 수 있다는 점은 앞서 본 바와 같다. 따라서 개인정보처리자가 정보주체로부터 동의를 받는 방법에 관하여 정한 구 개인정보보호법 제22조는 정보통신서비스 제공자인 원고가 개인정보의 수집ㆍ이용에 관하여 동의를 받는 경우에 있어서도 그대로 적용된다.

따라서 정보통신서비스 제공자는 통상의 이용자라면 용이하게 ‘개인정보의 수집ㆍ이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유ㆍ이용기간’ 등 법정 고지사항의 구체적 내용을 알아볼 수 있을 정도로 법정 고지사항 전부를 명확하게 게재하여야 한다. 아울러, 그에 따른 동의의 표시는 이용자가 개인정보의 수집ㆍ이용에 동의를 한다는 명확한 인식하에 행하여질 수 있도록 실행 방법이 마련되어야 할 것이다.

나) 아래와 같은 사정들을 종합할 때, 원고는 이용자가 이 사건 서비스 계정을 생성하는 과정에서 법정 고지사항을 불충분한 문구를 통해 모호하게 설명하여 통상의 이용자로 하여금 법정 고지사항을 명확하게 인식할 수 없도록 하였다고 봄이 타당하다.

(1) 원고가 서비스 가입 단계에서 동의를 체크하도록 한 내용의 제목은 그 명칭이 ‘데이터 정책’으로서 개인정보 수집ㆍ이용에 관한 내용이 기재되어 있다는 점이 명확하게 드러나지 않고, 원고 스스로도 위 ‘데이터 정책’을 ‘개인정보 처리방침’이라고 설명하고 있다. 개인정보 처리방침(구 개인정보 보호법 제30조)은 개인정보 수집ㆍ이용에 관한 동의와는 법적 근거와 고지할 내용, 이용자의 동의 의사 징구 유무가 다르므로, 개인정보 처리방침을 수립ㆍ공개한 것을 두고 개인정보 수집ㆍ이용에 관한 동의를 받았다고 볼 수는 없다.

(2) 위 ‘데이터 정책’은 전문이 공백 포함 14,600여개 글자, 694줄로 이루어져 있어 내용이 방대함에도 페이스북 회원 가입을 하는 경우에 이용자에게 한 화면에 제시되는 내용은 불과 5줄 가량에 불과하고 스크롤 바를 내려가며 확인하여야 하는 등 내용을 확인하는 것이 용이하지 않게 되어 있다. 심지어 인스타그램의 경우에는 ‘데이터 정책(필수)’ 내용이 일부라도 제시되어 있지 않고 ‘더 알아보기’ 링크를 눌러야 확인이 가능하며, 이를 확인하지 않고도 가입이 가능하다.

(3) 한편, ‘데이터 정책’의 내용 중 ‘파트너가 제공하는 정보’, ‘저희가 정보를 활용하는 방법’ 중 일부가 타사 행태정보에 관하여 설명하는 것으로 보이기는 하나, 그 내용은 모두 웹ㆍ앱사업자로부터 타사 행태정보를 제공받았음을 전제로 그 ‘이용’에 관한 것으로 보일 뿐이고, 구 개인정보 보호법 제39조의3 제1항에서 이용자에게 알리고 동의를 받도록 한 사항들, 즉 ‘개인정보의 수집 ㆍ이용 목적’(제1호), ‘수집하는 개인정보의 항목’(제2호) 등 원고가 타사 행태정보를 ‘수집’한다는 점에 관한 설명이 나타나 있지 않다. 또한, 위 ‘데이터 정책’의 메뉴에서 다시 ‘관리’, ‘자세히 알아보세요’ 링크를 통해 이동하여 나타나는 화면들(갑 제33, 34호증) 혹은 ‘페이스북 외부 활동’(‘Meta 테크놀로지 외부의 활동’으로 변경되었다) 메뉴(갑 제36호증)를 보아도 마찬가지이다. 나아가 ‘데이터 정책’ 메뉴에 나타난 설명을 보아도 ‘광고주’나 ‘파트너’가 누구를 의미하는지, 비즈니스 도구인 소셜 플러그인ㆍ페이스북 로그인ㆍSDKㆍ메타 픽셀이 무엇인지, 위 도구들을 통해 정보가 어떻게 수집되는 것인지 이용자 입장에서 이해하기가 매우 어렵게 되어 있다.

다) 나아가 원고는 이용자가 데이터 정책에 동의를 하지 않는 경우 가입을 할 수 없도록 설정해두면서 사후적으로 이용자가 그 설정을 변경하도록 하는 방식을 취하고 있다.

(1) 이용자가 이 사건 서비스 계정을 생성하는 과정에서 나타나는 ‘데이터 정책’에는 표면상 개인정보 수집ㆍ이용 여부에 대한 선택지가 드러나 있지 않고, ‘페이스북의 데이터 정책에 동의합니다’에 체크박스가 있고 위 체크박스에 클릭을 하여야 회원 가입이 가능하다.^[7]

(2) 원고는 2019. 8.경 국내 이용자의 이 사건 서비스 계정정보와 타사 행태정보의 연결을 해제하고 향후에도 결합되지 않도록 설정할 수 있는 메뉴를 신설하였다. 이에 따라 원고의 회원이 이 사건 서비스 계정에 로그인한 뒤 ‘Facebook 외부 활동’(이후 ‘Meta 테크놀로지 외부의 활동’으로 변경되었다) 메뉴(계정 → 설정 및 개인정보 → 설정 → 내 Facebook 정보 → Facebook 외부 활동), ‘파트너가 제공한 회원님의 활동 데이터’ 메뉴(갑 제37호증), ‘개인정보 보호센터’ 메뉴(갑 제38호증) 등을 통해 회원의 계정 정보와 타사 행태정보의 결합을 해제하거나 타사 행태정보를 사용한 맞춤형 광고 제공을 거부할 수 있기는 하다.

그러나 회원들은 이 사건 서비스에 가입하는 과정에서 위와 같이 원고의 ‘데이터 정책’에 동의함으로써 이 사건 서비스 계정정보와 타사 행태정보가 연결되고, 맞춤형 광고 제공에 동의를 하게 된다. 따라서 타사 행태정보의 수집ㆍ이용의 동의를 거부하기 위해서는 회원 가입 이후에 위 메뉴들을 찾아 들어가 동의를 거부하는 선택지를 별도로 클릭해야 하므로 개인정보 수집ㆍ이용에 관하여 동의 여부를 선택하는 경우와 비교하여 훨씬 번거로운 절차를 거치게 되고, 이는 이른바 ‘옵트아웃(Opt-out) 방식(사후 거부 방식)’에 해당한다고 볼 수 있다. 이러한 방식은 정보주체의 동의 없이 개인정보를 처리하다가 정보주체가 어떠한 계기로 이를 인식하고 거부를 하여야만 개인정보 처리가 중지된다는 점에서 정보주체로부터 동의 여부를 사전에 명확히 확인받고 그 동의 의사에 따라 개인정보처리자가 개인정보를 수집하는 이른바 ‘옵트인 방식(사전 동의 방식)’과 비교하여 개인정보 자기결정권이 충실히 보장된다고 볼 수 없다.

라) 원고가 유럽 이용자에 대하여 타사 행태정보를 결합하기 위한 쿠키 사용 허용 여부에 대한 동의 화면을 제공하면서 유럽 이용자가 쿠키 사용에 동의하지 않는 경우 수집된 타사 행태정보가 ‘삭제된다’고 안내하는 등 타사 행태정보와 이용자 계정정보를 결합하지 않을 선택권을 부여하는 경우와 비교하여 보더라도, 수집 동의를 받는 데 개인정보 자기결정권을 실질적으로 보장하기 위한 방법이 없다고 보이지도 않는다.

마) 한편, 원고는 자신의 법 위반행위는 동의를 받는 방법에 관한 구 개인정보 보호법 제22조 제1, 2항 위반행위에 해당하므로, 이 사건 과징금 부과처분이 아닌 구 개인정보보호법 제75조 제4항 제2호에 따른 과태료의 제재가 이루어져야 한다는 취지로도 주장을 한다. 그러나 앞서 살핀바와 같이 원고가 개인정보인 타사 행태정보를 수집함에 있어 구 개인정보 보호법 제39조의3 제1항에 따른 적법한 동의를 받지 않았다고 판단한 이상 원고의 타사 행태정보 무단 수집행위가 단순히 구 개인정보 보호법 제22조 제1, 2항을 위반한 것이라고 볼 수 없다.

마. 이 사건 각 처분의 재량권 일탈ㆍ남용의 위법 여부

1) 개인정보인 타사 행태정보 취득의 주체, 타사 행태정보 이용의 목적, 개인정보보호법상 개인정보처리자의 개념 및 정보통신서비스 제공자와 개인정보처리자의 관계 등을 종합해 보면, 타사 행태정보 수집의 동의를 받아야 하는 정보통신서비스 제공자는 원고로 봄이 타당하다는 점, 원고가 제공받는 타사 행태정보의 범위가 웹ㆍ앱사업자의 설정에 따라 일부 변동될 수 있다고 하여 개인정보의 수집 주체에 관한 판단을 번복할 만한 사정에 해당한다고 보기 어렵다는 점은 앞서 본 바와 같다.

그리고 갑 제1호증의 기재에 의하면, 피고는 이 사건 처분 당시 타사 행태정보의 수집ㆍ이용의 주체에 관하여 “사업자는 원고가 제작ㆍ배포한 비즈니스 도구를 설치하여 원고의 행태정보 수집 과정에 보조적인 역할을 한다....(중략)...원고 회원의 타사 행태정보 수집ㆍ이용의 목적과 수단, 전체 정보처리 과정의 흐름을 종합해 보면 원고가 주도적인 관리ㆍ통제권을 행사하는 주체이므로 원고가 이용자(회원)의 동의를 받아야 함이 마땅하다”라고 판단한 사실을 인정할 수 있다.

위와 같은 사실 및 사정을 종합해 보면, 피고가 이 사건 처분 과정에서 웹ㆍ앱사업자가 비즈니스 도구를 설치한다거나 웹ㆍ앱사업자가 자신의 선택에 따라 타사 행태정보가 수집되어 원고에게 전송됨을 인식하였다는 사실을 누락하는 등 처분의 기초가 되는 사실을 오인하였다고 보기 어렵다.

2) 원고는 이 사건 서비스를 제공하면서 회원들의 페이스북과 인스타그램 내에서의 활동에 관하여 상당한 규모의 개인정보를 수집하고 있고, 이 사건 서비스 밖에서 이루어진 이용자들의 행태정보 또한 앞서 살핀 바와 같은 방법으로 광범위하게 수집하고 있다. 원고의 이러한 타사 행태정보 수집행위는 이용자들의 인터넷 활동의 익명성을 상실시킬 위험이 있고, 장기간 수집된 이용자별 행태정보를 분석할 경우 이용자 개개인의 사상ㆍ신념, 정치적 견해, 건강, 신체적ㆍ생리적ㆍ행동적 특징 및 민감정보까지 식별하게 될 가능성이 높다. 이와 같은 원고의 타사 행태정보 수집 방식은 기술적으로 복잡할 뿐만 아니라 행태정보의 수집이 별다른 공지 없이 은밀하게 이루어져 이용자들이 이를 인지하기가 쉽지 않다. 이로 인해 맞춤형 광고를 제공받는 이 사건 서비스 이용자의 입장에서는 자신의 온라인에서의 행동이 누군가에 의해 감시당하고 있는 것은 아닌지 불안감을 느낄 가능성이 커 보인다. 따라서 온라인 활동이 필수적인 현대사회에서 정보주체인 이용자들에게 개인정보에 해당하는 타사 행태정보에 관한 자기결정권을 보장할 필요성이 매우 높다.

원고는 온라인 식별자를 생성ㆍ수집하는 시점, 즉 회원들이 이 사건 서비스에 가입하거나 로그인할 때 타사 행태정보에 관한 수집ㆍ이용 동의를 받는 것이 가능하고, 만약 회원이 수집ㆍ이용을 거부하는 경우라면 유럽 이용자과 같이 수집된 데이터를 삭제하는 방식으로 개인정보의 수집ㆍ이용 행위를 중단할 수 있다고 보이는 점, 설령 원고가 주장하는 바와 같이 원고가 이용자로부터 개별적 동의를 받기 어려운 기술적인 문제가 있더라도 이는 그와 같은 사업방식을 고안한 원고가 해결할 문제인 것이고, 원고가 기술적으로 이를 해결할 수 없다거나 사업 구조의 변경 문제가 발생할 수 있다고 하여 법 위반을 정당화할 만한 사정으로 볼 수는 없다는 점 또한 앞서 본 바와 같다.

위 사정들을 종합할 때, “피고가 이 사건 각 처분을 통해 본래 목적한 공익을 달성할 수 없고, 오히려 원고가 받는 사익의 침해가 극심하여 비례의 원칙에 반한다”는 주장은 받아들이기 어렵다.

3) 따라서 이 사건 각 처분에 재량권을 일탈ㆍ남용한 위법이 있다고 볼 수 없다.

바. 이 사건 과징금 부과처분의 위법 여부

1) 인정사실

피고가 이 사건 과징금 부과처분의 액수를 구체적으로 산정한 방식은 다음과 같다.

가) 기준금액의 산정

(1) 관련 매출액의 산정

구 개인정보 보호법 제39조의15 제1항, 구 개인정보 보호법 시행령(2022. 10. 20. 대통령령 제32813호로 개정되기 전의 것, 이하 같다) 제48조의11 제1항, (개인정보보호위원회) 개인정보보호 법규 위반에 대한 과징금 부과기준(개인정보보호위원회고시 제2020-6호, 이하 ‘구 과징금 부과기준’이라 한다) 제4조 제1항은 구 개인정보 보호법 제39조의3 제1항 위반에 따른 과징금의 관련 매출액을 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업년도의 연평균 매출액’으로 정하고 있다.

피고는 위반행위의 관련 매출액을 2019년부터 2021년까지 원고의 전 세계 매출액 중 기타 수입을 제외한 이 사건 서비스의 광고 매출액 중 한국 활성 이용자 비율에 해당하는 금액을 3개년 평균하여 아래와 같이 미화 7억 4,694만 달러로 산정하였다.

<페이스북 및 인스타그램 서비스 3년간(‘19~ ‘21년) 매출액 현황(단위 : 백만불)>

(편집자 주: 표 생략)

(2) 중대성의 판단

구 과징금 부과기준 제5조 제1항은 ‘시행령 [별표 1의5] 2. 가. 1)에 따른 위반행위의 중대성 판단기준 중 고의ㆍ중과실 여부는 영리 목적의 유무, 위 시행령 제48조의2에 따른 안전성 확보조치 이행 여부 등을 고려하여 판단한다’고 규정하고 있는데, 피고는 원고에게 고의ㆍ중과실이 있다고 보았다.

한편 구 과징금 부과기준 제5조 제3항 본문에 따르면, 위반 정보통신서비스 제공자 등에게 고의ㆍ중과실이 있으면 위반행위의 중대성을 ‘매우 중대한 위반행위’로 판단하게 된다. 다만 같은 항 단서에 따르면, ‘위반 정보통신서비스 제공자 등이 위반행위로 인해 직접적으로 이득을 취득하지 않은 경우’(제1호), ‘위반행위로 인한 개인정보의 피해규모가 위반 정보통신서비스 제공자 등이 보유하고 있는 개인정보의 100분의 5 이내인 경우’(제2호), ‘이용자의 개인정보가 공중에 노출되지 않은 경우’(제3호) 중 모두에 해당할 때에는 ‘보통 위반행위’로, 1개 이상 2개 이하에 해당하는 경우에는 ‘중대한 위반행위’로 감경하는데, 피고는 원고에게 위 제3호의 사유가 있다고 보아 원고의 위반행위를 ‘중대한 위반행위’로 판단하였다.

(3) 기준금액

피고는 원고의 관련 매출액 미화 7억 4,694만 달러에 구 개인정보 보호법 시행령 [별표 1의5] 2. 가. 1)의 ‘중대한 위반행위’의 부과기준율 1천분의 21을 적용하여 기준금액을 미화 1,568만 5,000달러(= 미화 7억 4,694만 달러 × 21/1,000, 백달러 이하 버림)로 산정하였다.

나) 필수적 가중 및 감경

피고는 구 과징금 부과기준 제6조, 제7조에 따라 원고의 위반행위 기간이 2년을 초과하는 ‘장기 위반행위’에 해당한다는 이유로 기준금액의 100분의 50에 해당하는 금액(미화 784만 2,500달러)을 가산하고(미화 1,568만 5,000달러 + 784만 2,500달러 = 2,352,7,500달러), 원고가 최근 3년 이내에 과징금 부과처분을 1회(2021. 8. 25.) 받은 사실이 있다는 이유로 별다른 감경을 하지 아니하였다.

다만, 위와 같이 필수적 가중을 한 결과 구 개인정보 보호법 제39조의15 제1항에서 정한 과징금의 상한(관련 매출액의 100의 3 이하)을 초과한다는 이유로 관련 매출액의 100의 3에 해당하는 금액인 2,240만 8,000달러(= 미화 7억 4,694만 달러 × 3/100, 백달러 이하 버림)에 해당하는 금액을 적용하였다.

다) 추가적 가중 및 감경

피고는 특별히 추가적 가중 및 감경을 하지 않았다.

라) 과징금의 결정

피고는 위와 같이 단계별로 산출한 금액인 미화 2,240만 8,000달러를 원고에 대한 최종 과징금으로 결정하였다(처분일인 2022. 9. 14. 최초 고시 매매기준 환율 1,374.8원을 적용하여 환산하여 백만 원 미만을 버림하면 30,806,000,000원이 된다).

[인정근거] 다툼 없는 사실, 갑 제1호증의 기재, 변론 전체의 취지

2) 관련 매출액 산정의 위법 여부

가) 관련 규정 및 법리

구 개인정보 보호법 제39조의15 제1항은 구 개인정보 보호법 제39조의3 제1항을 위반하여 이용자의 동의를 받지 아니하고 개인정보를 수집한 경우 과징금의 상한을 ‘위반행위와 관련한 매출액’의 100분의 3으로 정하고 있고, 같은 법 시행령 제48조의11 제1항은 “구 개인정보 보호법 제39조의15 제1항에 따른 매출액은 해당 정보통신서비스 제공자등의 위반행위와 관련된 정보통신서비스의 직전 3개 사업연도의 연평균 매출액으로 한다”고 규정하고 있다. 위 법률 및 시행령의 위임에 따라 제정된 구 과징금 부과기준 제4조 제1항은 ‘관련 매출액은 정보통신서비스 제공자등의 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 직전 3개 사업년도의 연평균 매출액으로 한다’고 정하고, 같은 조 제2항은 관련 매출액 산정 시 서비스의 범위는 전기통신사업법 제5조를 기준으로 판단하되, 구체적인 판단에 있어서는 다음 각 호의 사항을 고려하여야 한다’고 하면서 제1호로 ‘서비스 제공 방식’, 제2호로 ‘서비스 가입 방법(서비스 가입시 온라인 가입인지 오프라인 가입인지 여부 및 하나의 사업자가 수 개의 웹사이트를 운영하는 경우 독립되어 각각 별개의 가입을 요구하는지 여부 등을 의미한다)’, 제3호로 ‘이용약관에서 규정한 서비스 범위’, 제4호로 ‘개인정보 데이터베이스 관리 조직ㆍ인력 및 시스템 운영 방식’을 정하고 있다.

정보통신서비스 제공자의 개인정보 보호조치 의무 위반 등과 관련하여 과징금을 부과하도록 하는 것은 위반행위에 대한 제재와 함께 위반행위에 따르는 불법적인 경제적 이익을 환수함으로써 위반행위에 대한 제재의 실효성을 높이기 위한 것이다. 정보통신서비스 제공자가 적법한 동의를 받지 않고 개인정보를 수집하는 경우 위반행위 즉, 적법한 동의를 받지 않은 수집행위 자체만으로 매출액이 증대되는 경우를 상정하기는 어렵지만, 위반행위로 수집한 개인정보를 자신의 영업을 위하여 보유하고 이용함으로써 경제적 이익을 얻을 수 있다. 그러므로 구 과징금 부과기준 제4조 제1항에 따라 구 개인정보 보호법 제39조의3 제1항 위반으로 인한 과징금 부과를 위한 관련 매출액을 산정함에 있어 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 범위는, 적법한 동의를 받지 않고 수집한 개인정보를 보유ㆍ이용하고 있는 서비스를 기준으로 같은 조 제2항 각 호에서 정한 서비스 제공 방식, 서비스 가입 방법, 이용약관에서 규정한 서비스 범위, 개인정보 데이터베이스 관리 조직ㆍ인력 및 시스템 운영 방식을 고려하여 판단할 수 있다(대법원 2023. 10. 12. 선고 2022두68923 판결 등 참조)

나) 구체적 판단

원고는 회원인 이용자들의 타사 행태정보 등 개인정보를 수집하여 개인들의 행태를 분석함으로써 맞춤형 광고를 포함하여 개인에 대한 관련성이 높은 광고를 더 많이 게재할 수 있고, 이를 통해 더 많은 광고주들을 유인하고 더 높은 광고 수익을 창출할 수 있다. 또한, 원고가 수집한 수많은 이용자들의 개인정보는 원고의 여러 이용자 편의 서비스들의 품질을 개선하고 새로운 서비스를 개발하는데 사용되기도 하며, 이러한 활동들은 다시 원고 서비스들의 이용률을 높여 원고로 하여금 더 많은 이용자들의 개인정보를 수집하고, 더 많은 광고 수익을 창출하게 하는바, 원고의 이용자들에 대한 개인정보 수집과 광고 서비스를 통한 수익 창출은 선순환 구조를 가진다. 그러므로 위반행위를 통해 수집된 원고 회원인 이용자의 타사 행태정보는 원고가 제공하는 광고 서비스 전반의 운영 및 개선을 위하여 보유ㆍ관리되는 정보이고, 단순히 해당 이용자에 대한 원고의 맞춤형 광고 서비스만을 위하여 보유ㆍ관리되는 정보라고 할 수 없다.

따라서 피고가 위반행위 관련 매출액을 원고의 전체 광고 매출액 중 한국 활성 이용자 비율을 곱한 금액으로 산정한 것은 위법하지 않다.

3) 부과기준율 산정의 위법 여부

가) 구 과징금 부과기준 제5조 제1항은 “위반행위의 중대성의 판단기준 중 고의ㆍ중과실 여부는 영리 목적의 유무, 영 제48조의2에 따른 안전성 확보조치 이행 여부 등을 고려하여 판단한다”고 규정하고 있다.

나) 원고가 이용자의 개인정보인 타사 행태정보를 수집ㆍ이용하는 과정에서 구 개인정보 보호법 제39조의3 제1항에 따른 적법한 동의를 받지 않은 사실은 앞서 본 바와 같다. 타사 행태정보 수집에 대한 명확한 동의가 아닌 데이터 정책에 대한 동의를 받는 방식을 택할 경우 이용자들이 이 사건 서비스와 전혀 관련 없는 타사 웹ㆍ앱에서의 행태정보가 원고에게 수집된다는 사실을 구체적으로 인식하지 못한 상태에서 원고의 ‘데이터 정책’에 동의의 의사표시를 할 가능성이 있다는 사실은 어렵지 않게 예상할 수 있다. 그럼에도 원고가 그와 같이 동의 절차를 운영하여 더 많은 개인들의 타사 행태정보를 수집하고자 한 것에는 광고 수익 증대와 같은 영리 목적 때문이었을 것으로 보인다. 따라서 원고에게 고의 내지 중과실이 있다고 판단된다.

4) 과징금 처분 전력을 고려하여 감경을 하지 않은 것의 위법 여부

가) 구 과징금 부과기준 제6조 제2항 제2호는 ‘위반 정보통신서비스 제공자등이 최근 3년간 법 제39조의15 제1항 각 호에 해당하는 행위로 1회 이상의 과징금 처분을 받은 경우’에는 달리 감경을 하지 않도록 규정하고 있다.

나) 갑 제1호증의 기재에 변론 전체의 취지에 의하면, 원고는 2021. 8. 25. 피고로부터 이용자의 동의 없이 얼굴인식 템플릿을 생성ㆍ수집하였다는 이유로 구 정보통신망법 제22조 제1항(위 조항은 개인정보 보호법이 2020. 2. 4. 법률 제16930호로 개정되면서 구 개인정보보호법 제39조의3 제1항으로 이동하였다는 점은 앞서 본 바와 같다)의 위반행위에 대해 과징금 부과처분을 받은 사실(이하 ‘얼굴인식 사건’이라 한다), 얼굴인식 사건과 이 사건의 조사기간, 위반행위 기간은 아래와 같은 사실이 인정이 된다.

다) 위 인정사실에 의하면, 얼굴인식 사건과 이 사건은 위반행위 기간이 일부 중복된다는 점을 제외하고는 위반행위의 내용이 다르고 위반행위 기간도 이 사건이 훨씬 길다는 점에서 원고의 얼굴인식 사건에서의 과징금 부과처분 전력을 고려하여 필수적 감경을 하지 않은 것에 어떠한 위법이 있다고 할 수 없다.

5) 추가 감경을 하지 않은 위법 여부

가) 구 과징금 부과기준 제8조 제1항은 ”개인정보보호위원회는 사업자의 위반행위 주도 여부, 조사 협력 여부 등을 고려하여 필수적 가중ㆍ감경을 거친 금액의 100분의 50의 범위 내에서 [별표]에 따라 추가적으로 가중하거나 감경할 수 있다“고 규정하고 있다.

나) 원고는, 19개월이 넘는 피고의 조사과정에서 9차례에 걸친 자료제출 요구에 성실히 응하고 자료를 제출하였으므로 추가 감경이 이루어져야 한다는 취지로 주장을 한다. 그러나 추가 감경 여부는 피고의 재량행위에 해당하고, 이에 대한 증명책임은 원고에게 있다고 할 것인데, 원고의 주장ㆍ증명만으로는 피고가 감경을 하지 않은 것에 어떠한 재량권의 일탈ㆍ남용이 있다고 보기 어렵다.

6) 과징금을 면제하지 않은 위법 여부

가) 개인정보 보호법 시행령이 2022. 7. 19. 대통령령 제32813호로 개정되어 2022. 10. 20. 시행되면서 별표 1의5 2. 라. ‘부과과징금의 결정’이 신설되어 ‘위반행위자 본인의 행위가 위법하지 않은 것으로 잘못 인식할 만한 정당한 사유가 있는 경우’ 등 과징금을 면제할 수 있는 사유에 관하여 규정하게 되었다.

나) 이 사건 처분은 과징금 면제 사유에 관하여 신설된 위 개인정보 보호법 시행령(대통령령 제32813호) 규정이 시행되기 전인 2022. 9. 14.에 이루어졌으므로, 위 규정을 적용하여 과징금을 면제하지 않은 것에 어떠한 위법이 있다고 할 수 없다. 뿐만 아니라 앞서 본 개인정보 수집ㆍ이용의 주체에 관한 판단에서 두루 살핀 바와 같이 원고에게 자신의 행위가 위법하지 않은 것으로 잘못 인식할 만한 정당한 사유가 인정된다고 보기도 어렵다.

7) 소결론

따라서 이 사건 과징금 부과처분에 어떠한 위법이 있다고 할 수 없으므로, 이를 다투는 원고의 주장은 모두 이유 없다.

4. 결론

그렇다면, 원고의 청구는 모두 이유 없으므로 이를 기각하기로 하여 주문과 같이 판결한다.

재판장 판사 고은설

               판사 김나연

               판사 권오상

별지 1

별지 2

관계 법령

▣ 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것)

▣ 정보통신망 이용촉진 및 정보보호 등에 관한 법률

▣ 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2020. 2. 4. 법률 제16955호로 개정되기 전의 것)

▣ 구 개인정보 보호법 시행령(2022. 10. 20. 대통령령 제32813호로 개정되기 전의 것)

▣ 구 (개인정보보호위원회) 표준 개인정보 보호지침(개인정보보호위원회고시 제2024-1호로 개정되기 전의 것)

▣ (개인정보보호위원회) 개인정보보호 법규 위반에 대한 과징금 부과기준(개인정보보호위원회고시 제2020-6호)

(편집자 주: 각 상세 조문 생략)

끝.

별지 3