28.

[사례분석] 메타 맞춤형 광고를 위한 타사 행태정보 수집 관련 페이스북 및 인스타그램 서비스 거부에 대한 시정명령ㆍ과태료 사건 1심 판결 (구 개인정보보호법 제39조의3 제3항 위반 사건, 행정법원 판결문 및 판결 해설)

• 새 탭 열기
• 작성 이력 보기

서울행정법원 2025. 1. 23. 선고 2023구합71018 사건

주 문

1. 원고의 청구를 모두 기각한다.

2. 소송비용은 원고가 부담한다.

청 구 취 지

피고가 2023. 2. 8. 원고에 대하여 한 별지 1 주문 기재 제1항의 시정명령, 제3항의 공표결정을 모두 취소한다.

이 유

1. 처분의 경위

가. 원고는 영리를 목적으로 정보통신망을 통해 대한민국 국민 등 이용자들에게 소셜네트워크서비스(SNS)인 ‘페이스북(facebook.com)’, ‘인스타그램(instagram.com)’(이하 ‘이 사건 서비스’라 하고, 개별적으로는 ‘페이스북’, ‘인스타그램’이라 한다)을 제공하고 있는 자로서, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라 한다) 제2조 제1항 제3호에 의한 정보통신서비스 제공자이다.

나. 피고는, 원고가 이 사건 서비스의 이용자들이 다른 사업자가 운영하는 웹사이트나 모바일 어플리케이션에서 활동한 행태정보(이하 웹사이트나 모바일 어플리케이션을 ‘웹’ 또는 ‘앱’이라 하고, 이를 운영하는 사업자를 ‘웹․앱 사업자’라 하며, 원고 회원들의 웹․앱에서의 행태정보를 ‘타사 행태정보’라 한다)의 제공을 거부하는 경우에는 이 사건 서비스의 회원에 가입할 수 없도록 한 것은 ‘필요 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부해해서는 아니된다’고 규정한 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것, 이하 같다) 제39조의3 제3항을 위반한 것이라는 이유로, 2023. 2. 8. 원고에게 별지 1 기재 각 처분을 하였다(그 중 제1항의 처분을 ‘이 사건 시정명령 처분, 제3항의 처분을 ‘이 사건 공표명령’이라 하고, 원고가 다투는 위 2개의 처분을 ‘이 사건 각 처분’이라 한다).

[인정근거] 다툼 없는 사실, 갑 제1호증, 변론 전체의 취지

2. 관계 법령

별지 2 기재와 같다.

3. 이 사건 각 처분의 위법 여부

가. 원고 주장의 요지

1) 웹사이트나 앱에 비즈니스 도구인 메타 픽셀(웹사이트), FB SDK(앱)를 설치하고 설정함으로써 개인정보 주체의 행태정보를 수집․전송하는 주체는 웹․앱 사업자인 광고주이지, 원고가 아니다. 따라서 구 개인정보 보호법 제39조의3 제3항은 원고에게 적용되지 않는다.

2) 설령 원고가 타사 행태정보의 수집 주체에 해당하더라도, 이 사건 서비스의 본질적 기능을 수행하기 위해서는 타사 행태정보가 반드시 필요하다.

3) 원고는 이 사건 서비스의 회원 가입 단계에서 이용자에게 회원 가입 후 타사 행태정보가 이용되는 것을 제한하는 기능을 사용할 수 있음을 밝혔고, 이용자는 이 사건 서비스를 이용하는 중에 원고의 타사 행태정보 이용에 대한 동의를 거부할 수 있으므로, 원고가 서비스 제공을 거부하였다고 볼 수 없다.

4) 이 사건 시정명령은 이용자의 피해는 없는 반면 원고에게는 지나치게 가혹하여 비례원칙을 위반하였고, 원고가 이용자 동의 없이 타사 행태정보를 수집하였다는 내용으로 조사를 하는 과정에서 이 사건 서비스를 위한 타사 행태정보의 필수성 등에 대한 충분한 조사 없이 이 사건 각 처분이 이루어지는 등 재량권을 일탈ㆍ남용하였다.

나. 인정사실

1) 맞춤형 콘텐츠, 광고의 의미

맞춤형 콘텐츠, 맞춤형 광고는 웹ㆍ앱 사용 이력, 구매 및 검색 이력 등 이용자의 기호, 성향 등을 파악할 수 있는 온라인상의 이용자 정보를 수집ㆍ분석한 후 해당 이용자에게 맞춤형으로 콘텐츠나 광고를 제공하는 것을 의미한다.

2) 타사 행태정보 수집ㆍ이용 방식(① 비즈니스 도구 배포 → ② 식별자 생성ㆍ수집 및 저장 → ③ 식별자와 결합된 타사 행태정보 수집 → ④ 타사 행태정보의 분석ㆍ활용)

가) 원고의 비즈니스 도구 제작ㆍ배포, 웹ㆍ앱사업자의 설치

(1) 원고는 웹ㆍ앱사업자가 자신의 웹사이트나 앱에 설치하도록 하는 비즈니스 도구(웹사이트의 경우 ‘메타 픽셀’, 앱의 경우 ‘FB SDK’)를 제작하여 무료로 배포하였다. 웹ㆍ앱사업자는 웹사이트나 앱 방문자들의 행태정보 분석을 목적으로 웹사이트의 자바스크립트 코드에 메타 픽셀을, 앱에는 FB SDK를 각 설치하게 되고, 이후 원고로부터 방문자들에 대한 분석과 관련한 익명의 통계를 제공받을 수 있게 된다.

(2) ‘페이스북 로그인’은 원고의 서비스 이용자가 페이스북의 자격 증명을 이용하여 다른 웹ㆍ앱에서 간이하게 계정을 만들 수 있게 하는 기능으로 원고 서비스 이용자는 타사 웹ㆍ앱에 로그인하기 위해 별도의 ID와 비밀번호를 개설할 필요가 없는 서비스를 의미한다. ‘소셜 플러그인’은 웹ㆍ앱사업자가 페이스북 계정을 사용해 해당 웹ㆍ앱에 댓글을 남기거나 ‘좋아요’ 버튼 기능을 사용토록 함으로써 이용자가 선호하는 콘텐츠를 우선적으로 보여지도록 하는 등 웹ㆍ앱과 페이스북을 상호 연결하는 서비스를 의미한다. 웹ㆍ앱사업자가 페이스북 로그인 기능을 설치하는 경우 FB SDK의 구성요소인 ‘FB 로그인 SDK’를 설치해야 하고, 이때 행태정보 수집 기능을 담당하는 FB SDK에 필수적으로 포함되어 있는 ‘FB Core SDK’도 함께 설치된다. 원고는 ‘데이터 정책’, ‘개발자 페이지’ 등의 메뉴에서 페이스북 로그인 및 소셜 플러그인 기능은 비즈니스 도구로서 이들을 사용하는 경우 타사 행태정보가 수집된다는 취지로 기재하였다.

나) 원고 회원 가입 시 식별자 생성ㆍ수집 및 저장

(1) [웹에서의 이용자 식별자 생성ㆍ저장] 이용자가 이 사건 서비스에 접속하면, 원고는 fr 등 쿠키를 생성하여 이용자 기기에 저장을 한다. 그리고 원고의 회원이 이 사건 서비스에 로그인을 하면, 원고는 c_user, dpr, xs 등 새로운 쿠키(이하 ‘이용자 식별자’라 한다)를 추가 생성하여(기존 fr등 쿠키와 함께) 이용자 기기에 저장한 뒤 이용자의 이 사건 서비스 회원 계정과 결합해 둔다.

(2) [앱에서의 광고식별자 수집ㆍ저장] 모바일 기기의 운영체제를 공급하는 애플과 구글은 당초 기기별로 광고식별자를 할당하여 이용자 개인을 식별하지 않은 상태에서 광고 제공이 가능하도록 하였고, 이용자의 명시적 동의 없이 개인을 식별하기 위해 광고식별자를 사용하는 것을 금지하고 있다. 그런데 이용자가 이 사건 서비스에 접속ㆍ로그인을 하면, 원고는 이용자의 모바일 기기에 할당되어 있는 광고식별자(ADID, IDFA) 등을 수집하여 이용자 계정과 결합하여 보관한다.

다) 온라인 식별자와 결합된 타사 행태정보 수집

(1) 이용자가 비즈니스 도구를 설치한 웹ㆍ앱사업자의 웹ㆍ앱을 방문하여 물품 구매 등 일정한 행위(타사 행태정보가 된다)를 하면, 비즈니스 도구가 이용자 식별자 또는 광고식별자(이하 이들을 통틀어 ‘온라인 식별자’라 한다)와 결합된 위 타사 행태정보를 이용자 기기에서 원고 서버로 전송하도록 지시를 한다. 원고는 비즈니스 도구를 통해 이용자 기기에서 원고 서버로 전송하도록 하는 타사 행태정보의 종류(‘장바구니에 담기’ 등)를 ‘표준 이벤트’라는 명칭으로 사전에 유형화해 두고(메타 픽셀에는 17개, FB SDK에는 24개), 웹ㆍ앱사업자로 하여금 표준 이벤트 항목 중에서 원고에게 전송할 타사 행태정보의 범위를 설정하도록 하거나, ‘맞춤 이벤트’라는 명칭으로 해당 웹ㆍ앱의 환경에 맞도록 원고에게 전송할 타사 행태정보를 별도로 설정(가령, 공유 자동차 앱 운영자는 ‘승차 요청’, ‘승차 완료’와 같은 정보를 수집하도록 설정할 수도 있다)할 수 있도록 하고 있다.

(2) 원고는 이와 같은 온라인 식별자를 매개로 하여 타사 행태정보를 이 사건 서비스의 회원 계정과 매칭함으로써 이용자 개인이 식별된 상태의 타사 행태정보를 이용자별로 축적하여 수집한다.

라) 온라인 식별자와 결합된 타사 행태정보의 분석ㆍ활용

원고는 특정 개인이 식별된 타사 행태정보를 당해 개인의 이 사건 서비스 내에서의 행태정보와 함께 묶어 원고의 서버에서 관리하고, 위와 같이 회원별로 관리되는 타사 행태정보를 비롯한 회원의 행태정보를 원고가 구축한 머신 러닝 시스템(Machine learning System)을 통해 학습시키고 타게팅한 뒤 회원들에게 이 사건 서비스를 통해 맞춤형 콘텐츠, 맞춤형 광고를 제공한다.

3) 타사 행태정보 연결을 거부하는 경우 회원가입 방법 미제공

가) 원고는 이용자들이 이 사건 서비스에 가입하고자 하는 경우, 계정을 만들기 위해 성명, 생일, 성별, 핸드폰 번호 또는 이메일 주소, 비밀번호를 기입하도록 하고 그 다음 단계에서 원고의 ‘데이터 정책’에 ‘동의’를 체크하여야 가입이 가능하도록 하고 있다. 원고가 페이스북 가입 단계에서 가입자의 동의를 구하며 제시하는 ‘데이터 정책’에 관한 설명은, 아래 그림에서 보는 바와 같이 한 화면에 5줄 가량이 제시되면서 스크롤 바를 내려가며 확인하여야 하는데, 그 전문은 별지 3(2022. 1.경에 개정된 내용이다)과 같고, 전체적으로 공백 포함 14,600여개 글자, 694줄로 이루어져 있다. 그리고 인스타그램의 경우, ‘이용 약관에 동의’ 메뉴에서 ‘데이터 정책(필수)’ 아래에서 ‘더 알아보기’ 링크를 눌러야 ‘데이터 정책’ 메뉴 전문 확인이 가능한데, 이를 확인하지 않고도 가입이 가능하다. 위와 같이 ‘동의’에 체크를 하면, 이 사건 서비스 계정정보와 타사 행태정보가 결합되고 맞춤형 광고가 제공되도록 설정이 된다. 원고는 이용자가 이를 ‘허용 안함’으로 설정하고 이 사건 서비스에 가입할 수 있는 방법을 제공하고 있지 않다.

나) 위 데이터 정책의 “저희가 수집하는 정보의 유형”란에는 ① 회원님 및 다른 사람의 활동 및 제공하는 정보, ② 기기정보 ③ 파트너가 제공하는 정보가 모두 포함되어 있고, ③ 파트너가 제공하는 정보란에는 “광고주, 앱 개발자 및 퍼블리셔는 이들이 사용하는 Meta 비즈니스 도구, 즉 저희의 소셜 플러그인(예: ‘좋아요’ 버튼), 페이스북 로그인, SDK, 메타 픽셀을 통해 저희에게 정보를 제공할 수 있다. 이 파트너들은 회원들의 원고 계정 보유 여부 또는 저희 제품 로그인 여부와 관계 없이 회원들의 활동에 대한 정보(회원님의 기기, 회원님이 방문한 웹사이트, 회원님의 구매 내역, 회원님에게 표시되는 광고 및 회원님이 해당 파트너들의 서비스를 사용한 방법에 관한 정보 포함)를 제공한다”는 내용이 기재되어 있다. 또한 “저희가 정보를 활용하는 방법”란에는 “저희는 보유한 정보(회원님의 관심사, 행동 및 관계에 관한 정보를 포함)를 이용하여 광고, 쿠폰 및 회원에게 표시되는 기타 홍보 콘텐츠를 선택하고 맞춤화한다. 저희가 광고를 선택하고 맞춤화하는 방법, 광고 및 기타 홍보 콘텐츠를 선택하기 위해 사용한 데이트에 관한 회원님의 선택 사항을 페이스북 설정 및 인스타그램 설정에서 자세히 알아보세요”라는 내용이 기재되어 있다.

다) 원고는 2019. 8.경 국내 이용자의 이 사건 서비스 계정정보와 타사 행태정보의 연결을 해제하고 향후에도 결합되지 않도록 설정할 수 있는 메뉴를 신설하였다. 이에 따라 원고의 회원이 이 사건 서비스 계정에 로그인한 뒤 ‘Facebook 외부 활동’ 메뉴(계정 → 설정 및 개인정보 → 설정 → 내 Facebook 정보 → Facebook 외부 활동)를 통해 회원의 계정 정보와 타사 행태정보가 결합되지 않도록 설정할 수 있고, ‘파트너가 제공한 회원님의 활동 데이터’ 메뉴를 통해 타사 행태정보를 사용한 맞춤형 광고를 수신할지 여부를 선택할 수 있다. 다만 인스타그램 회원의 경우에는 페이스북 계정을 생성한 후 인스타그램 계정과 연동한 뒤에 페이스북에 있는 ‘Facebook 외부 활동’ 메뉴에 접속하여야 위 결합을 해제할 수 있다.

라) 원고는 우리나라와는 달리 유럽 이용자가 이 사건 서비스에 접속하는 경우, 타사 행태정보를 결합하기 위한 쿠키 사용 허용 여부에 대한 동의 화면을 제공하고 있고, 유럽 이용자가 쿠키 사용에 동의하지 않는 경우 수집된 타사 행태정보가 ‘삭제된다’고 안내하고 있다.

4) 원고의 약관 내용

원고의 페이스북 서비스 약관에는 “이용자들에게 Facebook 또는 기타 본 약관이 적용되는 제품 및 서비스의 사용료를 청구하지는 않으나, 비즈니스와 단체 및 다른 사람이 제품 및 서비스 광고를 회원에게 보여드리도록 비용을 지불한다. 우리 제품을 이용함으로써 회원은 우리가 회원 및 회원의 관심사와 관련 있을 수 있다고 생각하는 광고를 보여주는 것에 동의하게 된다”고 기재되어 있고, 인스타그램의 서비스약관에는 “서비스의 사용료를 지불하지 않는 대신 본 약관이 적용되는 서비스를 사용함으로써 회원은 사업체 및 단체들이 홍보를 위해 우리에게 비용을 지불한 광고를 Meta Compamy 내외부에서 보게 될 수 있다는 것을 인정합니다”라고 기재되어 있다.

5) 원고와 웹ㆍ앱사업자와의 관계

원고가 작성한 비즈니스 도구 약관에는 “관련 법령에 따라 귀하가 처리하는 개인정보가 비즈니스 도구 데이터에 포함되어 있는 경우 귀하는 원고가 원고의 이익을 위하여 비즈니스 도구 데이터를 사용하는 것에 관하여 관련 법령에 따라 최종 사용자로부터 필요한 동의를 받아야 한다”는 내용이 기재되어 있다.

6) 원고가 밝힌 타사 행태정보 수집 목적

원고는 피고의 조사과정에서 ① 광고주의 광고효과 측정 및 분석, ② 광고 타게팅 및 광고 게재 개선 등 맞춤형 광고 제공, ③ 원고가 제공하는 서비스 기능 및 콘텐츠 맞춤화, 제품 개선 및 보호 등을 위하여 이용자의 행태정보를 수집하고 있다고 답변하였다.

7) 원고가 이 사건 서비스 내에서 수집․이용하는 정보

원고는 이 사건 서비스 가입 시 필수적으로 실명, 이메일 주소 또는 휴대전화번호, 생년월일, 성별을 입력할 것을 요구하고 있고, 가입 후에는 프로필 사진, 직장, 학력, 거주지, 출신지, 가족, 결혼/연애 상태, 취미 등의 정보를 추가 입력받으며, 서비스 제공 과정에서 친구 등 연결관계, 기기 정보, 위치 정보, 콘텐츠에 포함된 관심사 정보 등을 수집한다.

8) 이용자들이 이 사건 서비스를 이용하는 이유

한국언론진흥재단에서 2021년경 소셜미디어 이용자를 상대로 여론조사를 실시하였다. 응답자들은 아래와 같이 친구의 최신 소식 듣기, 정보․뉴스 획득, 소통 등의 이유로 이 사건 서비스를 이용한다고 답변하였다.

9) 원고의 매출은 다음과 같이 광고 매출이 대부분을 차지하고 있다.

(편집자 주: 2019~2021년도 원고의 광고매출액, 기타 수입, 전체 매출액 표 생략)

10) 피고는 이 사건 각 처분에 앞서, 원고가 개인정보 주체인 이 사건 서비스 이용자의 동의를 받지 아니하고 이용자의 타사 행태정보를 수집ㆍ이용한 것이 구 개인정보 보호법 제39조의3 제1항을 위반하였다는 이유로, 2022. 9. 14. 원고에게 시정조치 명령, 과징금 부과처분, 위반행위 공표명령을 하였고(이하 ‘선행 처분’이라 한다), 원고는 이에 불복하여 이 법원 2023구합54259호로 선행 처분의 취소를 구하는 소송을 제기하여 소송 계속 중이다.

[인정근거] 다툼 없는 사실, 갑 제1, 13, 39호증의 각 기재, 변론 전체의 취지

다. 개인정보 수집 주체에 관한 판단

1) 관련 규정의 내용

가) 구 개인정보 보호법은 개인정보를 살아 있는 개인에 관한 정보로서, ‘성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보’(제2조 제1호 가목), ‘해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다)’(제2조 제1호 나목), ‘가목 또는 나목을 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(가명정보)’(제2조 제1호 다 목)로 정의하는 한편, ‘개인정보파일’을 ‘개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)’로 규정하고(제2조 제4호), ‘개인정보처리자란’ 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다고 규정하고 있다(제2조 제5호).

나) 구 개인정보 보호법 제15조 제1항 제1호는 개인정보처리자는 정보주체의 동의를 받은 경우 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다고 규정하고, 제15조 제2항은 개인정보처리자는 제1항 제1호에 따른 동의를 받을 때에는 ‘개인정보의 수집ㆍ이용 목적’(제1호), ‘수집하려는 개인정보의 항목’(제2호), ‘개인정보의 보유 및 이용 기간’(제3호), ‘동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용’(제4호)을 정보주체에게 알려야 한다고 규정하고 있다.

그리고 구 개인정보 보호법 제39조의3 제1항은 정보통신서비스 제공자는 제15조 제1항에도 불구하고 이용자의 개인정보를 이용하려고 수집하는 경우에는 ‘개인정보의 수집ㆍ이용 목적’(제1호), ‘수집하는 개인정보의 항목’(제2호), ‘개인정보의 보유ㆍ이용 기간’(제3호)을 이용자에게 알리고 동의를 받아야 한다고 규정하면서 위 사항을 변경하려는 경우에도 또한 같다고 규정하고 있다.

2) 구체적 판단

가) 비즈니스 도구는 이용자의 타사 행태정보를 수집하는 도구로서 웹ㆍ앱사업자가 스스로 자신의 웹ㆍ앱에 원고가 제작ㆍ배포한 비즈니스 도구를 설치하는 사실, 이용자의 타사 행태정보가 처음 발생하는 곳은 웹ㆍ앱사업자가 운영하는 웹ㆍ앱인 사실, 원고는 비즈니스 도구를 제작하면서 ‘맞춤 이벤트’라는 명칭으로 해당 웹ㆍ앱의 환경에 맞도록 웹ㆍ앱사업자가 원고에게 전송할 타사 행태정보의 범위를 별도로 설정할 수 있도록 하였고, 비즈니스 도구 약관에서 웹ㆍ앱사업자로 하여금 “관련 법령에 따라 최종 사용자로부터 필요한 동의를 받아야 한다”는 내용을 기재하여 둔 사실은 앞서 본 바와 같고, 갑 제12호증의 각 기재에 의하면, 웹ㆍ앱사업자 중 아디다스 코리아, 아모레퍼시픽 등 일부 사업자들은 ‘개인정보 처리방침’란을 통해 타사 행태정보를 수집하고 있음을 이용자에게 고지하고 있고, 쿠팡, 티몬, 넥스터즈는 여기서 더 나아가 원고와 같이 타사 행태정보를 제공받는 회사까지 명시하고 있는 사실을 인정할 수 있다.

위 인정사실에 의하면, 웹ㆍ앱사업자도 이용자의 타사 행태정보가 수집되는 과정에서 일정한 역할을 하는 것으로 보이기는 한다.

나) 그러나 앞서 본 인정사실에 의하여 알 수 있는 다음 사정들, 즉 개인정보에 해당하는 타사 행태정보 취득의 주체, 타사 행태정보 이용의 목적 유무, 개인정보 보호법 상 개인정보처리자의 개념 및 정보통신서비스 제공자와 개인정보처리자의 관계 등을 종합해 보면, 구 개인정보 보호법 제39조의3 제1항에 따라 개인정보에 해당하는 타사 행태정보 수집의 동의를 받아야 하는 정보통신서비스 제공자는 원고로 봄이 타당하다.

(1) 구 개인정보 보호법 제12조 제1항은 개인정보보호위원회는 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 표준 개인정보 보호지침(이하 “표준지침”이라 한다)을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다고 규정하고, 그 위임에 따른 구 ‘(개인정보보호위원회) 표준 개인정보 보호지침’(개인정보보호위원회고시 제2024-1호로 개정되기 전의 것) 제6조 제1항은 개인정보의 ‘수집’이란 정보주체로부터 직접 이름, 주소, 전화번호 등의 개인정보를 제공받는 것뿐만 아니라 정보주체에 관한 모든 형태의 개인정보를 취득하는 것을 말한다고 규정하고 있다.

이 사건에서 이용자가 웹ㆍ앱을 이용하는 과정에서 발생한 행태정보들이 원고가 생성ㆍ수집해 둔 온라인 식별자와 결합하여 이용자 기기에서 곧바로 원고 서버로 전송된다는 사실은 앞서 본 바와 같다. 이용자가 웹ㆍ앱을 이용하는 과정에서 발생한 행태정보들은 그 행태정보가 어떠한 특정인의 행태정보인지 구별할 수 없는 상태에서는 구 개인정보 보호법상 개인정보라고 할 수 없지만, 온라인 식별자와 결합하게 되면 온라인 식별자를 매개로 타사 행태정보에 원고의 회원 계정과 결합하는 방식으로 특정 개인을 식별할 수 있게 되므로 구 개인정보 보호법 제2조 제1호 나목에서 정하는 개인정보에 해당한다. 그러므로 원고가 이용자 기기에서 온라인 식별자와 결합한 타사 행태정보를 자신의 서버로 전송받는 시점에 원고는 회원들의 개인정보인 타사 행태정보를 취득한다고 볼 수 있다. 웹ㆍ앱 사업자는 이러한 과정에서 이용자 식별자와 결합한 타사 행태정보를 전송받지 못하므로 개인정보를 취득한다고 볼 수 없다.

이에 대하여 원고는, 이용자가 ‘장바구니 담기’ 등 일정한 행위를 하면 웹ㆍ앱의 서버와 상호작용을 하면서 타사 행태정보가 웹ㆍ앱사업자의 서버에 저장되므로 이용자가 웹ㆍ앱에 일정한 행위를 요청하는 시점부터 웹ㆍ앱사업자가 타사 행태정보를 취득하게 되고 이는 곧 ‘개인정보의 수집’에 해당한다는 취지로 주장을 한다. 그러나 이용자가 웹ㆍ앱에서 일정한 행위를 요청하는 것은 클라이언트(이용자 기기)와 웹ㆍ앱사업자의 서버 사이에 인터넷 통신(HTTP)을 하기 위한 것으로서 웹ㆍ앱의 통상적인 이용 과정에서 발생하는 정보에 불과하다. 따라서 위와 같이 인터넷 통신을 위한 정보는 ‘특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보’(구 개인정보 보호법 제2조 제1호 나목)로서 ‘개인정보’의 개념에 부합한다고 볼 수 없다. 뿐만 아니라 HTTP 통신 과정에서 서버 응답을 위해 일정한 정보를 입력 받은 행위를 두고 구 개인정보 보호법 제39조의3 제1항에 따라 동의를 받아야 하는 개인정보의 ‘수집’으로 평가하기도 어렵다.

(2) 구 개인정보보호법 제39조의3 제1항은 정보통신서비스 제공자로 하여금 ‘개인정보를 이용하려고’ 수집하는 경우에 ‘개인정보의 수집ㆍ이용목적’(제1호), ‘개인정보의 보유ㆍ이용기간’(제3호) 등을 이용자에게 알리고 동의를 받아야 한다고 규정하고 있다.

위 규정의 문언 및 체계, 취지 등을 종합하면, 개인정보 수집주체로서 이용자 동의를 받아야 할 의무가 발생하는 정보통신서비스 제공자에게는 개인정보를 이용할 목적과 개인정보의 이용행위가 있어야 한다.

원고는 타사 행태정보를 수집하기 위해 비즈니스 도구를 제작ㆍ배포하여 웹ㆍ앱에 설치하도록 하였고, 이 사건 서비스 이용자로부터 비용을 받지 않는 대신에 맞춤형 광고를 이용하는 광고주 등이 지불하는 비용으로 수익을 충당하고 있다(을 제4호증). 뿐만 아니라 원고는 ① 광고주의 광고효과 측정 및 분석, ② 광고 타게팅 및 광고게재 개선 등 맞춤형 광고 제공, ③ 원고가 제공하는 서비스 기능 및 콘텐츠 맞춤화, 제품 개선 및 보호 등 다양한 사업 목적으로 이 사건 서비스 이용자의 타사 행태정보를 수집ㆍ이용하고 있다.

이에 대하여 원고는, 웹ㆍ앱사업자에게는 이용자의 행태정보에 관한 분석, 광고 효과의 측정, 맞춤형 광고 제공 등의 목적이 있다는 취지로 주장을 한다. 그러나 이용자의 행태정보에 관한 분석이나 광고효과의 측정 등은 모두 익명의 통계로 제공될 뿐이어서 개인 식별을 할 필요가 없다. 또한 웹ㆍ앱사업자 모두가 원고에게 광고를 의뢰하는 광고주인 것도 아닐 뿐만 아니라 맞춤형 광고는 1차적으로 원고가 자신의 수익을 위해 생성ㆍ제공하는 것이므로 원고에 우선하여 웹ㆍ앱사업자에게 개인정보로서 타사 행태정보의 이용 목적이나 이용 행위가 있다고 보기 어렵다.

(3) 종전에 개인정보 보호 관련 법령은 일반법인 개인정보 보호법과 정보통신서비스 제공자등에 대한 개인정보 보호를 규율하는 정보통신망법으로 분산되어 있었으나 개인정보의 오용ㆍ남용 및 유출 등을 감독할 감독기구를 개인정보 보호위원회로, 관련 법률의 유사ㆍ중복 규정을 개인정보 보호법으로 일원화하여 개인정보의 보호와 관련 산업의 발전이 조화될 수 있도록 개인정보 보호 관련 법령을 체계적으로 정비하기 위하여 2020. 2. 4. 개인정보 보호법과 정보통신망법이 개정되면서 정보통신망법의 개인정보 보호 규정은 개인정보 보호법에 통합되었다. 이 과정에서 개인정보 보호법은 종전 정보통신망법의 규정 중 개인정보 보호법과 상이하거나 정보통신서비스의 특성상 정보통신망법에만 있는 규정을 개인정보 보호법 제6장(정보통신서비스 제공자 등의 개인정보 처리 등 특례)에 반영함으로써 종전 개인정보 보호법과 정보통신망법의 일반법과 특별법의 관계를 일반규정과 특례규정의 관계로 유지하였다. 즉, 일반규정은 공공ㆍ민간부문에 포괄적으로 적용되는 일반법적인 성격을, 특례규정은 정보통신서비스 제공자 등에 적용되는 특별법적 성격을 가지게 되었다. 그러므로 일반규정과 특례규정의 내용이 상호 모순ㆍ저촉되거나 특례규정에 일반규정의 적용을 배제하는 내용이 포함되어 있는 경우에는 특례규정이 우선 적용되고, 그렇지 않고 일반규정이 특례규정에 존재하지 않는 사항을 담고 있는 경우에는 해당 일반규정이 그대로 적용된다고 할 것이다.

구체적으로 살펴보면, 정보통신서비스 제공자에 관하여 개인정보 수집 동의를 받도록 한 구 정보통신망법(2020. 2. 4. 법률 제16955호로 개정되기 전의 것, 이하 같다) 제22조 제1항은 개인정보 보호법이 2020. 2. 4. 법률 제16930호로 개정되어 2020. 8. 5. 시행되면서 신설된 개인정보 보호법 제6장(정보통신서비스 제공자 등의 개인정보 처리 등 특례)의 제39조의3 제1항으로 이동하였다. 위와 같이 개인정보 보호법이 개정되면서 동의를 받는 방법에 관한 규정인 구 정보통신망법 제26조의2는 삭제되었으나, 개인정보 보호법은 동의를 받는 방법에 관한 규정인 제22조 제1, 2항을 별도로 개정하지 않았고, 정보통신서비스 제공자가 동의를 받는 방법에 관하여도 별도의 규정을 신설하지 아니하였다. 그리고 개인정보 보호법이 위와 같이 개정되면서 ‘개인정보처리자’가 개인정보를 제3자에게 제공할 수 있는 경우를 규율하는 제17조 제1항 제2호에 정보통신서비스 제공자에 관한 제39조의3 제2항 제2, 3호가 추가되었고, ‘개인정보처리자’의 개인정보의 목적 외 이용ㆍ제공 제한을 규율하는 제18조 제1항에도 정보통신서비스 제공자에 관한 제39조의3 제1, 2항이 추가되어 개인정보처리자와 정보통신서비스 제공자를 함께 규율하게 되었다.

이와 같은 개인정보 보호법의 체계, 문언, 개정 연혁 등을 종합해 보면, “개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다”, “개인정보처리자는 제1항의 동의를 서면으로 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집ㆍ이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 보호위원회가 고시로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다”고 규정한 구 개인정보 보호법 제22조 제1, 2항은 특례규정인 개인정보 보호법 제6장의 규정에는 존재하지 않는 사항을 담고 있고, 달리 위 규정들과 모순ㆍ저촉되는 내용이 없으므로, 정보통신서비스 제공자에게도 그대로 적용된다고 할 것이다.

이 사건에 관하여 보건대, 원고는 이 사건 서비스 회원들의 행태정보를 분석하여 맞춤형 광고나 맞춤형 콘텐츠 등을 제공할 목적으로 회원들의 이 사건 서비스 내에서의 행태정보와 이 사건 서비스 외에서 이루어진 타사 행태정보를 수집한 뒤 이를 회원 계정과 매칭하여 회원별로 관리하고 있으므로, 원고는 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 ‘개인정보처리자’(구 개인정보 보호법 제2조 제5호)에 해당한다. 이용자의 기기에서 원고의 서버로 전송되는 타사 행태정보는 이용자의 특정 웹ㆍ앱에서의 단편적 행태정보만으로 개인정보파일이 되는 것이 아니라, 여러 웹ㆍ앱에서의 수많은 행태정보들이 원고의 서버에 수집된 뒤 온라인 식별자를 매개로 이 사건 서비스 회원 계정과 매칭되고 나서야 비로소 ‘개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물’인 개인정보파일(구 개인정보 보호법 제2조 제4호)에 해당하게 되는 점에서 더욱 그러하다.

이에 반하여 이 사건에 제출된 증거만으로는 웹ㆍ앱사업자가 웹ㆍ앱에 접속한 이용자들의 웹ㆍ앱 서버와의 통신 내용을 개별적인 개인정보파일로 운용하였다거나 이와 같이 개인정보파일을 운영하는 가운데 이용자들이 웹ㆍ앱 서버와 통신을 하면 해당 정보를 원고에게 제공하였다고 보기 부족하고 달리 이를 인정할 증거가 없다. 게다가 웹ㆍ앱사업자들이 온라인 식별자를 회원 정보와 결합하여 개인을 식별하였다고 인정할 증거도 없는바, 웹ㆍ앱사업자로서는 자신의 회원이나 이용자 중 누구의 행태정보가 원고에게 제공되는지 식별하기도 어려워 보인다. 설령 웹ㆍ앱사업자들이 해당 웹ㆍ앱 회원들에게 별도로 이용자 식별자를 부여하는 형태로 개인정보파일을 운용하였다고 하더라도 이는 자신의 웹ㆍ앱 내에서의 행태정보를 수집하는 것으로, 수집ㆍ이용하는 개인정보의 내용이나 수집ㆍ이용 목적이 다르다는 점에서 원고의 타사 행태정보 수집행위와는 별도로 평가되어야 할 것이다.

따라서 원고가 구 개인정보 보호법 제15조에 따른 개인정보처리자가 아니므로 구 개인정보 보호법 제39조의3에서 정한 정보통신서비스 제공자에 해당하지 않는다거나 정보통신서비스 제공자는 웹ㆍ앱사업자로 보아야 한다는 원고 주장은 받아들이지 아니한다.

(4) 한편, 웹ㆍ앱사업자가 비즈니스 도구를 설치하면서 원고에게 전송할 타사 행태정보의 범위를 달리 설정할 수 있는 것으로 보이기는 한다. 그러나 앞에서 살핀바와 같이 타사 행태정보를 전송하도록 하는 비즈니스 도구는 원고가 제작하여 배포한 점, 위 비즈니스 도구를 통해 전송된 개인정보를 취득하는 주체는 원고인 점, 원고가 주장하는 사업들을 추진하거나 홍보하기 위해서는 타사 행태정보의 수집ㆍ이용이 효과적인 수단이 될 뿐만 아니라 긴요하다고 보이는 점, 원고는 ‘표준 이벤트’라는 명칭으로 원고의 서버로 전송할 타사 행태정보의 종류를 사전에 유형화 해 두었고, 비즈니스 도구를 설치한 웹ㆍ앱사업자가 위 표준 이벤트 항목의 범위를 특별히 축소할 만한 사정은 확인되지 않는 점 등에 비추어 보면, 원고가 제공받는 타사 행태정보의 범위가 웹ㆍ앱사업자의 설정에 따라 일부 변동될 수 있다고 하여 이를 개인정보의 수집 주체에 관한 판단을 번복할 만한 사정에 해당한다고 보기 어렵다.

(5) 또한 웹ㆍ앱사업자가 페이스북 로그인, 소셜 플러그인 기능들을 설치할 때 일반적으로 비즈니스 도구 중 타사 행태정보 수집 기능이 함께 설치되는 점, 원고도 ‘데이터 정책’, ‘고객센터’ 등의 메뉴에서 위 기능들을 사용하는 경우 타사 행태정보가 수집된다는 취지로 기재하였다는 점에서 웹ㆍ앱사업자가 비즈니스 도구인 메타 픽셀이나 FB SDK를 직접 설치한 경우는 물론 페이스북 로그인, 소셜 플러그인 기능을 설치한 경우에도 원고가 개인정보에 해당하는 타사 행태정보를 수집한다고 봄이 타당하다.

(6) 원고는, 비즈니스 도구를 설치한 웹ㆍ앱사업자는 원고도 확인이 불가능하고, 기술적인 측면에서 볼 때 웹ㆍ앱사업자 목록을 모두 첨부하여 원고가 회원들로부터 개인정보 수집 동의를 받을 것을 요구하는 것은 불가능한 반면, 웹ㆍ앱사업자가 이용자로부터 동의를 받는 것이 용이하다는 취지로 주장을 한다.

그러나 온라인 식별자가 결합된 타사 행태정보가 개인정보 보호법에 정의된 개인정보에 해당하는 이유는 원고가 온라인 식별자와 회원 계정의 매칭을 통해 특정 개인을 식별할 수 있기 때문인데 온라인 식별자를 생성ㆍ수집하고, 행태정보 수집도구를 제작ㆍ배포하여 이용자들의 타사 행태정보가 온라인 식별자와 결합하여 원고의 서버로 전송되도록 하는 주체는 바로 원고이다. 또한 원고는 이와 같은 방식으로 수집한 타사 행태정보를 회원 계정과 결합한 뒤 회원별 개인정보파일을 운용하면서 맞춤형 광고 등에 적극적으로 활용하고 있는바, 원고는 애초에 온라인 식별자를 생성ㆍ수집하는 시점, 즉 회원들이 이 사건 서비스에 가입하거나 로그인하는 시점에 회원들로부터 원고가 수집할 타사 행태정보에 관한 수집ㆍ이용 동의를 받는 것이 충분히 가능하다고 보이고, 행태정보의 수집과정에 비추어 보아도 그 시점에 동의를 받는 것이 바람직하다. 만약 회원이 수집ㆍ이용을 거부하는 경우라면 유럽에서 제공하는 서비스와 같이 수집된 데이터를 삭제하는 방식으로 개인정보의 수집ㆍ이용 행위를 중단할 수도 있을 것이다. 설령 원고가 주장하는 바와 같이 동의를 받는 데 기술적인 어려움이 있다거나 그로 인해 원고의 사업구조를 변경해야 하는 위험이 초래된다고 하더라도 이는 그 사업방식을 고안한 원고가 해결할 문제이고, 그러한 사정만으로 개인정보 보호법 위반을 정당화할 수는 없다.

(7) 원고는 개인정보 처리 업무를 위탁(구 개인정보 보호법 제26조)받거나 제3자로서 개인정보를 제공받아 취득(구 개인정보 보호법 제17조)한 것에 불과하므로 구 개인정보 보호법 제39조의3 제1항이 적용되지 않는다는 취지로도 주장을 한다. 그러나 앞서 살핀바와 같이 원고가 개인정보인 타사 행태정보를 수집ㆍ이용하는 주체에 해당하는 이상 원고의 행위가 개인정보 처리 업무를 위탁받거나 제3자로서 개인정보를 제공받아 취득한 것에 불과하다고 볼 수 없다.

라. 타사 행태정보가 이 사건 서비스의 본질적 기능을 수행하기 위한 개인정보인지 여부

1) 관련 규정의 내용

구 개인정보 보호법 제3조 제1항은 “개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다”고 규정하고 있고, 제39조의3 제3항은 “정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부해서는 아니 된다. 이 경우 필요한 최소한의 개인정보는 해당서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 정보를 말한다”고 규정하고 있다.

2) 구체적 판단

앞서 본 사실에 의하여 알 수 있는 다음의 사정들을 종합해 보면, 타사 행태정보는 이 사건 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 최소한의 개인정보라고 보기 어렵다.

가) 2021. 9. 기준 페이스북 및 인스타그램 서비스의 월간 활성 한국 이용자 계정수는 각각 16,517,446개와 10,343,435개이다.

나) 타사행태 정보의 제공주체인 이 사건 서비스 이용자들은 자신의 계정에 자신의 최근 소식이나 그와 관련된 사진을 올리고 친구관계를 통해 공유된 친구의 최신 소식이나 사진을 살펴보며 서로에게 댓글을 다는 방식으로 소통하는 것을 주된 목적으로 이 사건 서비스에 가입한다.

다) 한국언론진흥재단에서 2021년경 소셜미디어 이용자를 상대로 실시한 이 사건 서비스의 이용목적 조사에서도 ① 친구의 최신 소식을 알고 싶어서 ② 정보나 뉴스를 얻기 위하여, ③ 소통이나 대화를 위하여, ④ 시간을 때우기 위하여 등의 답변이 있었고, 광고를 보기 위해 이 사건 서비스를 이용한다는 답변자는 없었다.

라) 원고의 매출이 대부분 광고에 기반하고 있고, 페이스북 서비스 약관에는 “이용자들에게 이 사건 서비스의 사용료를 청구하지는 않으나 웹∙앱사업자가 제품 및 서비스 광고를 회원에게 보여주도록 비용을 지불한다”는 내용이, 인스타그램의 서비스 약관에는 “서비스의 사용료를 지불하지 않는 대신 본 약관이 적용되는 서비스를 사용함으로써 회원은 사업체 및 단체들이 홍보를 위해 우리에게 비용을 지불한 광고를 Meta Compamy 내외부에서 보게 될 수 있다는 것을 인정합니다”라는 내용이 각 기재된 사실은 앞서 살핀바와 같으나, 이 사건 서비스를 이용하는 회원의 입장에서는 원고가 제공하는 광고를 시청하는 것은 이 사건 서비스를 무료로 이용하는 것에 대한 ‘반대급부’의 성격을 갖고 있을 뿐, 이 사건 서비스의 본질적 기능을 제공받는 것이라고 보기 어렵다.

마) 원고는 페이스북 서비스 약관에는 ‘페이스북이 제공하는 서비스’로 “① 회원님에게 맞춤화된 경험을 제공합니다. ② 회원님을 회원님에게 중요한 사람 및 단체와 연결합니다. ③ 회원님이 자신을 표현하고 회원님이 중요하게 생각하는 것을 나눌 수 있도록 합니다. ④ 회원님이 관심을 가질 만한 콘텐츠, 제품, 서비스를 찾을 수 있도록 지원합니다” 등이 기재되어 있으므로, 맞춤형 광고나 콘텐츠 제공을 위한 타사 행태정보의 수집이 이 사건 서비스의 본질적 기능 수행을 위하여 반드시 필요한 정보라고 주장한다. 그러나 원고는 이 사건 서비스 가입 시 필수적으로 실명, 이메일 주소 또는 휴대전화번호, 생년월일, 성별을 입력할 것을 요구하고 있고, 가입 후에는 프로필 사진, 직장, 학력, 거주지, 출신지, 가족, 결혼/연애 상태, 취미 등의 정보를 추가 입력받으며, 서비스 제공 과정에서 친구 등 연결관계, 기기 정보, 위치 정보, 콘텐츠에 포함된 관심사 정보 등을 광범위하게 수집한다. 원고는 위와 같이 이 사건 서비스 내에서도 상당한 정보를 수집하고 있고, 개인 식별이 불가능한 기기 식별자에 기반한 타사행태 정보 또한 수집하고 있으므로, 위와 같이 수집한 정보만으로도 이용자에게 맞춤형 광고나 맞춤형 콘텐츠를 제공할 수 있을 것으로 보인다.

그럼에도 원고는 서비스 가입 단계에서 회원의 계정 정보와 타사 행태정보의 결합을 해제하거나 맞춤형 광고 제공을 거부하는 선택지를 제공하지 않으면서, 이용자의 타사 웹ㆍ앱에서의 활동을 수집하여 개인정보파일로 관리하고 있는바, 장기간 축적된 이용자의 타사 행태정보를 분석할 경우 이 사건 서비스 이용자의 사상ㆍ신념, 정치적 견해, 건강, 신체적ㆍ생리적ㆍ행동적 특징 및 민감정보를 생성하고 식별할 위험이 있으므로, 이용자의 사생활의 비밀과 자유에 악영향을 미칠 가능성이 상당하다.

바) 원고의 회원은 이 사건 서비스에 가입한 이후에 ‘Facebook 외부 활동’ 메뉴, ‘파트너가 제공한 회원님의 활동 데이터’ 메뉴를 통해 회원의 계정 정보와 타사 행태정보의 결합을 해제하거나 맞춤형 광고 제공을 거부하는 선택을 할 수 있다. 원고가 마련한 방법에 따라 이 사건 서비스에 가입하자마자 위와 같이 맞춤형 광고 제공을 거부하는 것과 이 사건 서비스 가입 단계에서 맞춤형 광고 제공 수신을 거부하는 방법을 제공하는 것 사이에 본질적인 차이가 있다고 보기 어렵다. 그리고 원고의 회원이 이 사건 서비스에 가입한 뒤 타사의 웹ㆍ앱을 방문하지 않거나 비즈니스 도구를 설치하지 않은 타사의 웹ㆍ앱만을 방문한 경우에 있어서도 원고가 위 회원에게 이 사건 서비스를 제공하는 데 특별한 문제는 없어 보인다.

따라서 서비스 가입 단계에서 회원의 계정 정보와 타사 행태정보의 결합을 해제하거나 맞춤형 광고 제공을 거부하는 선택지를 부여한다고 하여 원고가 이 사건 서비스를 제공하는 데 어떠한 장애가 있다고 보기 어렵다.

사) 원고는 우리나라와는 달리 유럽 이용자가 이 사건 서비스에 접속하는 경우, 타사 행태정보를 결합하기 위한 쿠키 사용 허용 여부에 대한 동의 화면을 제공하고 있고, 유럽 이용자가 쿠키 사용에 동의하지 않는 경우 수집된 타사 행태정보가 ‘삭제된다’고 안내하고 있다. 이처럼 원고는 유럽에서 타사 행태정보의 결합을 해제하거나 맞춤형 광고 제공을 거부하는 선택지를 제공하면서도 이 사건 서비스를 정상적으로 제공하고 있는 것으로 보인다.

마. 원고가 서비스 제공을 거부하였는지 여부에 관한 판단

1) 원고는 이용자들이 이 사건 서비스에 가입하고자 하는 경우, 계정을 만들기 위해 성명, 생일, 성별, 핸드폰 번호 또는 이메일 주소, 비밀번호를 기입하도록 하고 그 다음 단계에서 원고의 ‘데이터 정책’에 ‘동의’를 체크하여야 가입이 가능하도록 하고 있는 사실, 위 데이터 정책의 “저희가 수집하는 정보의 유형”란에는 ① 회원님 및 다른 사람의 활동 및 제공하는 정보, ② 기기정보 ③ 파트너가 제공하는 정보가 모두 포함되어 있고, ③ 파트너가 제공하는 정보란에는 “광고주, 앱 개발자 및 퍼블리셔는 이들이 사용하는 Meta 비즈니스 도구, 즉 저희의 소셜 플러그인(예: ‘좋아요’ 버튼), 페이스북 로그인, SDK, 메타 픽셀을 통해 저희에게 정보를 제공할 수 있다. 이 파트너들은 회원들의 원고 계정 보유 여부 또는 저희 제품 로그인 여부와 관계 없이 회원들의 활동에 대한 정보(회원님의 기기, 회원님이 방문한 웹사이트, 회원님의 구매 내역, 회원님에게 표시되는 광고 및 회원님이 해당 파트너들의 서비스를 사용한 방법에 관한 정보 포함)를 제공한다”는 내용이 기재되어 있는 사실, 이용자가 ‘동의’에 체크를 하면, 이 사건 서비스 계정정보와 타사 행태정보가 결합되고 맞춤형 광고가 이용자들에게 제공되도록 설정이 되며, 이용자가 이를 ‘허용 안함’으로 설정하고 이 사건 서비스에 가입할 수 있는 방법은 제공되지 않고 있다는 사실은 앞서 본 바와 같다.

2) 원고는 위와 같이 이용자들이 이 사건 서비스에 가입하고자 하는 경우, 계정을 만들기 위한 인적 사항을 기입하도록 한 뒤 데이터 정책에 대한 동의를 받으면서 필요한 최소한의 개인정보와 그 외의 개인정보를 구분하지 않은 채 데이터 정책에 일괄하여 동의하는 방식만을 설정해 두었는바, 이러한 가입방식은 이용자가 ‘필요 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다는 이유로 그 서비스의 제공을 거부한 행위’에 해당한다고 봄이 타당하다. 원고가 이 사건 서비스의 회원 가입 단계에서 이용자에게 회원 가입 후 타사 행태정보가 이용되는 것을 제한하는 기능을 사용할 수 있음을 밝혔다거나 이용자가 이 사건 서비스를 이용하는 중에 타사 행태정보 이용에 대한 동의를 거부할 수 있다는 점만으로는 구 개인정보 보호법 제39조의3 제3항을 준수하였다고 볼 수 없다.

3) 이에 대하여 원고는, 선행 처분과 이 사건 각 처분은 ‘원고가 이용자로부터 받는 타사 행태정보의 이용에 관한 동의’라는 동일한 사실을 기초로, 선행 처분은 ‘동의가 없다’는 이유로 규율하고, 이 사건 각 처분은 ‘동의가 있었으나’ 선택에 관한 동의를 받지 않은 것을 규율함으로써 서로 모순된다는 취지로 주장을 한다. 그러나 앞서 살핀 바와 같이 원고는 이용자들이 이 사건 서비스에 가입하고자 하는 경우, 계정을 만들기 위한 인적 사항을 기입하도록 한 뒤 개인정보 수집에 관한 내용이 기재된 데이터 정책에 대한 동의를 받았는바, 위와 같은 형태로 동의를 얻는 방식이 구 개인정보 보호법 제39조의3 제1항에 위반되는지 여부와 제39조의3 제3항에 위반되는지 여부는 각 근거 법령에 따라 판단하면 족한 점, 선행 처분은 원고가 형식적으로나마 ‘동의’ 절차를 마련한 사실을 전제로 하면서도 그러한 동의가 구 개인정보 보호법 제39조의3 제1항에서 정한 적법한 동의에 해당할 수 없음을 문제삼은 것으로 선행 처분과 이 사건 각 처분의 전제가 되는 사실관계나 법률적 평가가 모순된다고 보이지 않는 점 등을 종합해 보면, 원고의 이 부분 주장은 받아들이기 어렵다.

바. 재량권 일탈ㆍ남용의 위법 여부에 관한 판단

앞서 본 인정사실, 갑 제1, 9호증의 각 기재에 변론 전체의 취지를 종합하여 알 수 있는 다음의 사실 및 사정들을 종합해 보면, 이 사건 처분에 재량권을 일탈ㆍ남용한 위법이 있다고 할 수 없다.

1) 원고는 이 사건 서비스를 제공하면서 회원들의 페이스북과 인스타그램 내에서의 활동에 관하여 상당한 규모의 개인정보를 수집하고 있고, 이 사건 서비스 밖에서 이루어진 이용자들의 행태정보 또한 앞서 살핀 바와 같은 방법으로 광범위하게 수집하고 있다. 원고의 이러한 타사 행태정보 수집행위는 이용자들의 인터넷 활동의 익명성을 상실시킬 위험이 있고, 장기간 수집된 이용자별 행태정보를 분석할 경우 이용자 개개인의 사상ㆍ신념, 정치적 견해, 건강, 신체적ㆍ생리적ㆍ행동적 특징 및 민감정보까지 식별하게 될 가능성이 높다. 이와 같은 원고의 타사 행태정보 수집 방식은 기술적으로 복잡할 뿐만 아니라 행태정보의 수집이 별다른 공지 없이 은밀하게 이루어져 이용자들이 이를 인지하기가 쉽지 않다. 이로 인해 맞춤형 광고를 제공받는 이 사건 서비스 이용자의 입장에서는 자신의 온라인에서의 행동이 누군가에 의해 감시당하고 있는 것은 아닌지 불안감을 느낄 가능성이 커 보인다. 따라서 온라인 활동이 필수적인 현대사회에서 정보주체인 이용자들에게 개인정보에 해당하는 타사 행태정보에 관한 자기결정권을 보장할 필요성이 매우 높다.

2) 원고는 이 사건 서비스 가입 단계에서 원고의 ‘데이터 정책’에 ‘동의’를 체크하여야 가입이 가능하도록 하고, 이용자가 이를 거부하면서 이 사건 서비스에 가입할 수 있는 방법을 제공하고 있지 않다. 이 사건 시정명령과 같이, 서비스 가입 단계에서부터 타사 행태정보에 대한 수집을 거부할 수 있는 선택지를 제공한다면 이용자들의 개인정보 자기결정권은 더욱 충실히 보장될 수 있을 것으로 보인다. 이 사건 각 처분으로 달성하고자 하는 공익은 맞춤형 광고 및 콘텐츠의 품질 변화, 광고 매출의 일부 감소 등 원고가 우려하는 사익에 대한 제한보다 훨씬 크다고 판단된다.

3) 한편 이 사건 각 처분과정에서의 절차적 위법 주장에 관하여 보건대, 갑 제1, 9호증의 각 기재에 변론 전체의 취지를 종합하면, 피고는 선행 처분과 관련하여 조사를 하는 과정에서 2022. 8. 3. 원고에게, 처분의 원인이 되는 사실을 ‘타사 행태정보는 이 사건 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 정보가 아님에도 그 정보를 제공하지 아니한다는 이유로 서비스 제공을 거부한 행위’로 명시하여 사전 통지를 하면서 2022. 8. 17.까지 자료제출을 요구하였고, 원고의 연장 요청에 따라 2022. 9. 14.까지 자료제출 기한을 연장해 준 사실을 인정할 수 있고, 이 사건 각 처분은 위 시점부터 약 5개월이 지난 2023. 2. 8.에 이루어진 사실은 역수상 분명하다.

위 인정사실에 의하면 당사자에게 처분 전 변명과 유리한 자료를 제출할 기회를 부여함으로써 위법 사유의 시정 가능성을 고려하고 처분의 신중과 적정을 기하려는 청문 절차의 목적은 달성되었다고 봄이 타당하다. 그리고 구 개인정보 보호위원회의 조사 및 처분에 관한 규정(2023. 10. 16. 개인정보보호위원회고시 제2023-9호로 개정되기 전의 것) 제9조 단서는 피고의 조사관으로 하여금 긴급한 경우 등 일정한 경우 조사 개시와 동시에 조사대상자에게 구두로 통지할 수 있는 예외를 규정한 점 등에 비추어 볼 때, 비록 피고가 조사를 개시하기 이전에 원고에게 조사공문을 교부하지 않았다고 하더라도 그러한 사정만으로 이 사건 처분에 재량권을 일탈ㆍ남용한 위법이 있다고 볼 수 없다.

사. 소결론

따라서 이 사건 각 처분이 위법하다는 원고의 주장은 모두 받아들이기 어렵다.

4. 결론

그렇다면, 원고의 청구는 모두 이유 없으므로 이를 기각하기로 하여 주문과 같이 판결한다.

재판장 판사 고은설

       판사 김나연

       판사 권오상

별지 1

※ ‘피심인’은 원고를 의미함. 끝.

별지 2

관계 법령

▣ 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것)

▣ 구 개인정보 보호위원회의 조사 및 처분에 관한 규정(2023. 10. 16. 개인정보보호위원회고시 제2023-9호로 개정되기 전의 것)

(편집자 주: 각 상세 조문 생략)

별지 3

끝.