33.

[사례분석] 페이스북 CA 스캔들 사건 2심 판결 해설 (판결문 포함)

• 새 탭 열기
• 작성 이력 보기

처분 내역

1. 원고에 대하여 다음과 같이 시정조치를 명한다.

가. 이용자의 개인정보를 제3자에게 제공하려면 개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간을 이용자에게 알리고 동의를 받아야 한다.

나. 제3자 앱에 제공된 개인정보를 삭제하는 방안을 피고와 협의하여 이행하여야 한다.

다. 위 가., 나.의 시정명령에 따른 시정조치를 이행하고, 시정조치 명령 처분 통지를 받은 날로부터 60일 이내에 이행결과를 피고에 제출하여야 한다.

2. 원고에 대하여 다음과 같이 과징금과 과태료를 부과한다.

가. 과징금: 원고 6,748,000,000원

나. 과태료

○ Facebook Incorporation: 28,000,000원

○ 원고: 38,000,000원

다. 납부기한: 고지서에 명시된 납부기한 이내

라. 납부장소: 한국은행 국고수납 대리점

3. 원고와 원고의 ○○○을 수사기관에 고발한다.

4. 원고의 법 위반행위 내용 및 결과를 피고 홈페이지에 공표한다. 끝

1) ‘정보통신서비스 제공자는 이용자의 개인정보를 제3자에게 제공하려면 법정고지사항을 알리고 동의를 받아야 한다’는 규정은, “개인정보 제공을 주도하는” 정보통신서비스 제공자는 이용자의 개인정보를 제3자에게 제공하려면 법정고지사항을 알리고 동의를 받아야 한다는 내용으로 한정해서 해석되어야 한다.

쉽게 말해, 정보통신서비스 제공자가 그러한 개인정보 제공을 “주도”한 경우에만 동의받을 의무를 지게 된다.

2) 이 사건에서 개인정보 제공을 “주도”한 사람은 메타가 아니라 페이스북 이용자이다. 페이스북 이용자가 “친구들” 개인정보의 이전을 허가했기 때문에 개인정보 이전의 주도적인 의사결정을 한 것이다.

따라서 메타는 “친구들”의 개인정보를 제3자 앱에 이전할 때에 “친구들”에게 동의받을 필요가 없었다.

3) 설령 메타가 개인정보 제3자 제공의 주체에 해당한다고 하더라도, “친구들”이 이미 페이스북 플랫폼에 공개한 정보를 제3자 앱에 이전할 때에는 대법원의 일명 ‘로앤비 판결’에 따라 “친구들”에게 동의를 받을 필요가 없다.

원심의 판단은 개인정보자기결정권의 내용을 정확히 반영한 매우 적절한 판단이었습니다. 로앤비 판결의 핵심 취지는, [정보주체의 공개 의도]를 존중한 처리만 적법하다는 것입니다(각주: 실제로 로앤비 판결을 보면 정보주체의 결정 내용을 추정하는 부분에서 "그로부터 추단되는 정보주체의 공개 의도 내지 목적", "거기에서 추단되는 원고(정보주체)의 공개 의도 내지 목적"이라는 표현을 사용합니다). 때문에, 적법성 판단을 위해 [정보주체의 공개 의도] 즉 [정보주체의 동의가 있었다고 객관적으로 인정되는 범위]를 추단하는 작업부터 하라고 한 것입니다.

그리고 이는 다시 말해 정보주체의 자기결정 범위, 곧 [자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 이용되도록 할 것인지 결정한 내용]부터 객관적으로 확정하라는 의미이기도 한데(파란색으로 표시한 위 4가지는 결국 같은 말입니다), 정보주체의 동의 범위(=자기결정 범위)를 구성하는 가장 기본적인 항목들을 법적으로 규정한 게 바로 법정고지사항입니다.

그래서 원심이 로앤비 판결의 [정보주체의 동의가 있었다고 객관적으로 인정되는 범위] 추단시 4가지 법정고지사항도 함께 고려할 필요를 언급한 것입니다.

원고가 원심 취지를 이해하지 못하는 근본적인 이유는, 원고는 '의도 내지 목적'과 '이론적인 최악의 예상가능'을 혼동하고 있기 때문입니다.

예컨대, 명함을 상대방에게 건네줄 때는, 상대방이 내 명함을 나에 대한 적절한 연락 목적으로 사용하는 것을 '의도 내지 목적'하고 건네주는 것입니다. 물론 상대방이 이를 범죄조직에 넘길 최악의 가능성도 예상은 할 수도 있을 것입니다. 일단 한번 상대방에게 명함이 넘어가면 내 통제가 현실적으로 불가능하기 때문입니다. 그러나 이러한 최악의 가능성을 '의도 내지 목적'하고서 명함을 건네주는 사람은 세상 어디에도 없을 것입니다.

내 사진을 SNS에 공개할 때도 마찬가지입니다. 내 사진을 올리면 이것에 딥페이크 범죄에 사용될 최악의 가능성을 '예상'하는 것은 이론적으로 얼마든지 가능합니다. 그러나 이러한 최악의 가능성을 '의도 내지 목적'하고서 내 사진을 올리는 사람은 세상 어디에도 없을 것입니다. 그런 최악의 가능성이 현실화되자마자 사람들이 사진을 내리고 있는 것만 보더라도 말입니다.

(중략)

게다가 원고는 정보주체인 '이용자친구'의 '의도 내지 목적'을 아예 정면으로 무시하고서 이 사건 행위를 하였습니다.

'이용자친구'는 친구만 보기를 '의도 내지 목적' 했으나 원고는 이를 무시하였고, '이용자친구'는 내 계약자인 원고가 내 정보를 잘 보호해 주는 것을 '의도 내지 목적' 했으나 원고는 이를 무시하였습니다.

4가지 법정고지사항은 '자신에 관한 정보가 언제 누구에게 어느 범위까지' 알려질 것인지에 대한 결정 항목들입니다.

'이용자친구'는 자기가 지정한 정보가 자기가 삭제하기 전까지 자기가 지정한 범위 내의 페이스북 회원에게만 알려지도록 결정하였습니다. 그러나 원고는 이를 무시하고 제3자 앱이 지정한 정보가 제3자 앱에게 전송되도록 행위하였습니다.

로앤비 판결에 따를 때 본래 원고의 행위가능범위는 정보주체의 '의도 내지 목적' 범위인데, 원고는 '이용자친구'의 '의도 내지 목적'을 존중하지 않고 '이론적인 최악의 예상가능' 범위까지가 마치 원고의 행위가능범위인 것처럼 행동하고 주장하는 것입니다. (다만 원고가 이 사건 행위를 한 것이 알려졌을 때 전 세계적 스캔들이 된 것을 볼 때, 원고의 이 사건 행위는 사실 이론적으로 예상할 수 있는 최악의 가능성도 벗어난 행위라 할 수 있습니다. 글로벌 대기업인 원고가 개인정보처리자로서의 의무를 내팽개치고 제3자 앱에 불법제공을 하고 있었다는 것은 아무도 예상할 수 없었기 때문입니다)

주 문 

1. 원고의 항소를 기각한다.

2. 항소비용은 보조참가로 인한 부분을 포함하여 원고가 부담한다. 

청구취지 및 항소취지 

제1심판결을 취소한다. 피고가 2020. 11. 25. 원고에 대하여 한 [별지 1] 처분 내역 중 제1항, 제2의 가.항 및 제4항 기재 각 처분을 모두 취소한다. 

이 유 

1. 제1심판결의 인용 

원고의 항소이유는 제1심에서 원고가 주장한 내용과 크게 다르지 않고, 제1심 및 당심에 제출된 증거들을 원고의 주장에 비추어 다시 살펴보더라도 제1심의 사실인정과 판단은 정당하다. 이에 이 법원의 판결 이유 중 결론을 제외한 부분은 아래와 같이 일부 고치거나 추가하는 것 외에는 제1심판결 이유의 해당 부분과 같으므로, 행정소송법 제8조 제2항, 민사소송법 제420조 본문에 의하여 [별지 2]를 포함하여 이를 인용한다. 

○ 제1심판결 제22면 제5행 끝 부분에 “또한 고객센터(Help Center)에서 이용자들이 제3자 앱과 웹사이트 관련 기능을 사용하지 않는 방법에 관하여 설명하였다. 그 문서의 제목은 2011~2012년경 ‘How do I turn off Platform app and websites?’, 2012~2014년경 ‘How do I turn off apps and websites’, 2014~2018년경 ‘You can turn off apps, games, plugins, and websites from your account settings’였고, 현재는 ‘Turn off Facebook's integration with apps, games and websites’이다.”라고 덧붙인다. 

○ 제1심판결 제25면 글상자 아래의 ‘[인정근거]’에 “갑 제31, 32호증”을 추가한다. 

○ 제1심판결 제27면 제4행 끝 부분에 “(원고가 정보통신서비스 제공자인 이상, 특별한 사정이 없는 한 이 사건 쟁점조항의 주체 요건을 충족한다고 볼 것이고, 이 부분에 대한 원고의 나머지 주장은 행위 요건에서 판단하여도 충분하나, 원고가 위와 같이 Graph API V1이라는 기술적 수단을 제공한 것에 불과하여 주체 요건을 충족하지 않는다는 취지로 일관하여 주장하므로, 필요한 한도 내에서 그 주장의 당부를 여기에서 살핀다)”라고 덧붙인다. 

○ 제1심판결 제31면 제2행의 “뿐이다.” 다음에 “이용자가 ‘허가하기(Allow)’를 선택할 때 ‘내 친구들의 정보에 접근[성함, 좋아하는 것, 음악, TV, 영화, 책, 인용구, 온라인 접속여부(중략)]’라는 화면이 제시되기는 하나, 해당 화면에는 법정 고지사항 중 개인정보를 제공받는 제3자가 친구의 개인정보를 이용하려는 목적, 개인정보를 제공받는 제3자가 해당 개인정보를 보유 및 이용하려는 기간은 전혀 고지되지 않고, 고지되는 ‘제공하는 개인정보의 항목’도 실제로 제공될 수 있는 개인정보의 항목과 차이가 있다. 그렇다면,”을 추가한다. 

○ 제1심판결 제31면 제3행의 “불과하므로”를 “불과하다고 볼 것이므로”라고 고친다.

○ 제1심판결 제32면 제15행 끝 부분에 “구 정보통신망법 제3조 제1항에 따라 이용자의 개인정보를 보호하고 건전하고 안전한 정보통신서비스를 제공할 책무가 있는 정보통신서비스 제공자인 원고로서는 페이스북 사용자들의 개인정보를 처리 목적에 필요한 범위에서 안전하게 관리하고, 정보주체의 개인정보자기결정권을 보호할 수 있는 방식으로 개인정보 처리를 위한 기술적 수단을 설계하여야 함에도, 원고가 제3자 앱으로 하여금 정보주체인 친구가 아닌 이용자의 ‘허가하기(Allow)’ 선택을 통하여 용이하게 정보주체의 개인정보에 접근하고 이를 이전할 수 있는 권한을 가지도록 설계한 기술적 조치를 적극적으로 마련하여 이를 제3자 앱에 제공한 이상, 이러한 원고의 행위는 친구의 개인정보를 제3자 앱에 ‘제공’한 것이라고 평가하기에 충분하다.”라고 덧붙인다. 

○ 제1심판결 제39면 제9, 10행의 “친구 자신의 ... 어려워 보인다.”를 “친구로서는 이용자의 ‘허가하기(Allow)’ 선택에 따라 별도의 적법한 동의 내지 허락 절차를 거쳐 자신의 개인정보가 제3자 앱에 제공될 수도 있다는 점을 인식할 수 있었다고 볼 수는 있을지언정, 나아가 친구 자신의 아이디 이외에 바이오정보, 기념일, 가족관계, 종교 및 정치관 등의 프로필 내용과 온·오프라인 현황, 피트니스 관련 활동사항, 게임 관련 활동사항, 뉴스기사 관련 활동사항, 동영상 관련 활동사항, 위치정보, 좋아요 누른 페이지 등 페이스북을 사용하는 과정에서 자연스럽게 생성되는 개인정보까지 광범위하게 정보주체인 자신의 별도 동의 내지 허락 없이 제3자 앱에 제공될 수 있음을 인식하리라 기대하기는 어려워 보이므로, 이러한 개인정보들까지 제3자 앱에 제공되는 것이 친구의 동의가 있었다고 객관적으로 인정되는 범위 내에 있다고 볼 수는 없다.”라고 고친다. 

○ 제1심판결 제40면 제8행의 “살펴보더라도,” 다음에 “원고가 이용자들에게 제시한 데이터 정책, SRR, 고객센터(Help Center) 게시물, 프라이버시 투어(Privacy Tour), 공개범위확인 도구(Privacy Checkup Tools) 등은 이를 확인할 수 있는 경로가 제각기 다르고, 이용자들이 이들 안내사항에 접근하는 시점이나 제3자 앱에 로그인하여 ‘허가하기(Allow)’를 선택하는 시점과도 다를 수밖에 없으므로, 위 2014두2638 판결이 설시하는 바와 같이 법정 고지사항을 게재하는 부분과 이용자나 정보주체인 친구의 동의 여부를 표시할 수 있는 부분이 밀접하게 배치되었다고 볼 수 없는 점,”을 추가한다. 

2. 결론 

그렇다면 원고의 이 사건 청구는 이유 없으므로 이를 기각할 것인바, 제1심판결은 이와 결론이 같아 정당하다. 이에 대한 원고의 항소는 이유 없으므로 이를 기각한다.

3. 이 사건 처분의 적법 여부

가. 원고 주장의 요지

1) 이 사건 처분사유의 부존재

가) 이 사건 쟁점조항의 주체 및 행위 요건의 미충족

(1) 이 사건 쟁점조항에 의하여 이루어지는 처분은 침익적 행정처분일 뿐만 아니라, 위 조항은 형사처벌의 근거규정도 되므로, 엄격해석원칙에 기초하여 해석되어야 한다. 따라서 이 사건 쟁점조항에 따라 정보통신서비스 제공자가 정보주체로부터 동의를 받아야 하는 경우는 ‘정보통신서비스 제공자가 개인정보 제공을 주도하는 주체로서’ 독자적으로 제3자에 개인정보를 이전하는 경우로 한정된다고 보아야 한다.^[1]

(2) 이용자 친구(Friends, 이하 ‘친구’라고만 한다)의 개인정보(Friends-Related Information)가 제3자 앱에 이전되는 과정은 원고가 아니라 이용자(Users, 이하 ‘이용자’라고만 한다)가 주도한 것이다. 즉, 이용자는 페이스북 계정을 이용한 로그인(이하 ‘페이스북 로그인’이라 한다) 방식으로 제3자 앱에 가입하여 이용할 것을 결정하고 ‘허가 요청(Request for Permission)’ 화면에서 ‘허가하기(Allow)’를 선택함으로써 정보 이전의 주도적인 의사결정을 하였다. 친구는 자신의 개인정보를 페이스북 서비스를 통하여 이용자에게 자발적으로 공유함으로써 (친구의 ‘공개 범위 설정’에 따라) 이용자에게 그 정보를 재공유할 수 있는 권한을 부여한 것이고, 이는 원고의 데이터 정책(Data Policy), 권리 및 책임에 관한 정책(Statement of Right and Responsibilities, 이하 ‘SRR’이라 한다) 등에 의해서 충분히 고지되었으므로, 이용자는 제3자에게 재공유하는 것이 허용된 정보를 제3자 앱에 이전한 것일 뿐이다. 반면에 원고는 페이스북 사용자들이 제3자 앱을 편리하게 이용하고 그 제3자 앱에서 더 나은 유대관계 형성을 경험할 수 있도록 돕기 위하여 Graph API V1이라는 도구(인터페이스)를 개발․도입하여 기술적인 지원을 한 것일 뿐이므로, 이 사건 쟁점조항의 주체가 될 수 없다.

(3) 개인정보를 제3자 제공하는 행위에 해당하기 위해서는 정보통신서비스 제공자가 본래의 개인정보 수집․이용 목적의 범위를 넘어 정보를 제공받는 자의 업무처리와 이익을 위하여 독자적으로 개인정보를 이전하는 경우여야 하는데, 원고의 이 사건 행위는 단지 이용자가 자신의 정보 및 자신에게 공유된 친구의 정보를 제3자 앱에 쉽게 이전할 수 있는 기술적 수단을 제공한 것일 뿐이다. 직접적인 개인정보의 이전은 원고가 아니라 다른 주체인 이용자에 의하여 이루어졌으므로, 이는 개인정보의 이전이 정보통신서비스 제공자와 제3자의 양자 간 관계에서 이루어지는 것을 전제하는 개인정보의 제3자 제공 행위에 포섭될 수 없다. 이는 유사한 방식으로 개인정보가 이전되는 카카오톡의 연락처 및 프로필, 메시지, 사진 전송 기능, 트위터의 트윗 공유 기능, 애플의 공유앨범 기능, 아웃룩 등 이메일의 포워딩 기능, 구글의 연락처 및 캘린더 동기화 기능, 명함 앱 등 다른 정보통신서비스 제공자가 제공하는 서비스(이하 ‘이 사건 타 서비스’라 한다) 역시 이 사건 쟁점조항의 제재대상이 될 수 없는 것과 마찬가지이다.

(4) 이 사건 행위는 친구로부터 부여받은 개인정보 이전 권한을 행사하는 이용자의 요청에 따라 개인정보 처리자들(원고, 제3자 앱) 사이에 개인정보를 직접 전송하는 방식으로 이루어졌는데, 이는 유럽연합의 General Data Protection Regulation(이하 ‘GDPR’ 이라 한다) 제20조(Right to data portability)에 의하여 인정되고 있는 ‘개인정보 이동권’이 행사된 것과 유사한 형태이므로, 이는 이 사건 행위가 이 사건 쟁점조항을 위반한 것인지 여부에 중요하게 고려되어야 한다.

나) 정보주체인 친구의 동의 불필요

설령 이 사건 행위가 이 사건 쟁점조항의 주체 및 행위 요건을 충족한다고 하더라도, 대법원 2016. 8. 17. 선고 2014다235080 판결(이하 ‘로앤비 판결’이라 한다)에 의하면 이미 공개된 개인정보를 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서 수집ㆍ이용ㆍ제공 등 처리를 할 때는 정보주체의 별도의 동의는 불필요한바, 다음과 같은 사정들을 위 법리에 비추어 보면 원고가 개인정보를 제3자 앱에 제공할 때 친구로부터 별도의 동의를 받는 것은 불필요하다.

(1) 친구의 개인정보는 페이스북 서비스에 자발적으로 입력하여 공유한 것으로 공개된 개인정보에 해당하고, 민감정보에 해당하지 않으며, 친구는 개인정보를 공유하려는 의도를 가지고 이를 게시한 것이다. 친구는 원고가 제시하는 데이터 정책, SRR, ‘공개 범위 설정’ 화면, 고객센터(Help Center) 게시글, ‘프라이버시 투어’ 화면, ‘공개 범위 확인’ 화면 등에 의하여 자신의 개인정보가 페이스북 친구관계를 맺은 이용자를 통해 제3자 앱에 공유될 수 있음을 고지 받았고, 설정 조정을 통하여 이용자에게 공유한 개인정보가 제3자 앱에 이전되는 것을 제한할 수도 있었다. 따라서 이 사건 행위는 친구의 동의가 있었다고 객관적으로 인정되는 범위 내에서 개인정보를 제3자에 제공하는 경우에 해당한다.

(2) 이익형량의 관점에서 보더라도, 친구는 자신의 개인정보를 페이스북 서비스에 자발적으로 공유한 것인 점, 원고는 모니터링 및 검수, 제재 조치 등을 통하여 제3자 앱에 대한 사후통제를 실시한 점, 이용자 및 제3자 앱은 제3자 앱이 친구의 개인정보에 접근함으로써 상당한 편익을 제공받은 점, 원고는 친구에게 제3자 앱에 개인정보가 제공되는 것을 통제할 수 있는 도구를 제공한 점 등에 비추어 보면, 이 사건 행위로 친구의 개인정보자기결정권이 침해되었다고 볼 수 없다.

2) 이 사건 처분의 재량권 일탈ㆍ남용

가) 이 사건 처분은 ① 이 사건 행위로 제공된 친구의 개인정보 중 일부는 이용자의 개인정보로도 볼 수 있음에도 모두 친구의 정보에만 해당된다고 보았고, ② 미국 연방거래위원회(Federal Trade Commission, 이하 ‘FTC’라 한다)가 작성한 소장(이하 ‘이 사건 소장’이라 한다)의 내용에 의존하고 있으며, ③ 제3자 앱에 개인정보가 제공된 친구의 수를 객관적인 증거 없이 인정하는 등, 그 전제가 되는 구체적인 사실관계를 중대하게 오인하여 재량권을 일탈ㆍ남용하였다.

나) 이 사건 처분이 이행될 경우 원고의 이익은 현저하게 침해되는 반면 그 이행으로 인한 공익 보호 효과는 미미하고, 오히려 이용자가 제3자 앱이 제공하는 서비스의 부실화를 겪게 되고 이를 해결하기 위하여 다시 정보를 이전하는 시간과 노력을 투자하여야 하는 등 공익 침해의 정도가 상당하므로, 공익과 사익을 비교형량하면 이 사건 처분은 재량권을 일탈ㆍ남용하여 위법하다.

3) 이 사건 시정명령 처분의 독자적 위법성

이 사건 시정명령 처분 중 ‘제3자 앱에 제공된 개인정보를 삭제하는 방안을 피고와 협의하여 이행하여야 한다’(나.항), ‘시정조치를 이행하고, 시정조치 명령 처분 통지를 받은 날로부터 60일 이내에 이행결과를 피고에 제출하여야 한다’(다.항)는 부분은, 원고가 제3자 앱 측에 그들이 저장․보관하고 있는 개인정보의 삭제를 요구할 법적 근거가 없고, 피고가 정한 기간 내에 위와 같은 시정명령을 이행하는 것은 객관적으로 불가능하며, 제3자 앱의 의사에 따라 그 이행 가능 여부가 좌우될 뿐만 아니라, 그 이행 시기나 구체적으로 어떠한 방식으로 피고와 협의하라는 것인지 명확하지 않고 특정되어 있지도 않으므로, 행정처분의 적법요건인 명확성과 특정성을 갖추지 못하여 위법하다.

4) 이 사건 과징금 처분의 독자적 위법성

가) 구 정보통신망법 제64조의3 제1항 제4호, 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것, 이하 ‘구 정보통신망법 시행령‘이라 한다) 제69조의2 제1항 본문에 의하여 과징금 산정의 기준이 되는 ‘관련 매출액’은 이 사건 행위로 인하여 직ㆍ간접적으로 영향을 받은 서비스의 매출액으로 한정되어야 하는데, 객관적으로 그 매출액을 산정하기 어려우므로 정액과징금이 부과되어야 한다.

나) 구 ｢개인정보보호 법규 위반에 대한 과징금 부과기준｣(2020. 12. 10. 방송통신위원회고시 제2020-9호로 폐지되기 전의 것, 이하 ‘구 과징금 부과기준’이라고 한다)에 따르면 이 사건 행위는 ‘중대한 위반행위’가 아니라 ‘보통 위반행위’에 해당할 뿐이고, 원고는 피고에게 허위 정보를 제공하거나 피고의 조사를 방해하지 않았으므로 과징금 가중사유에도 해당하지 않는다.

다) 이 사건 행위가 이 사건 쟁점조항을 위반하였다고 하더라도 그 정도가 중하지 않은 점, 이 사건 행위와 관련 있는 매출액이 없는 점 등에 비추어 보면, 이 사건 과징금 처분은 비례의 원칙에 위반하여 위법하다.

나. 인정사실

1) 원고의 Graph API V1 도입 및 운영

가) 원고는 2007. 5. 24. 제3자 앱이 페이스북 사용자들의 개인정보 등을 제공받아 서비스할 수 있도록 프로그램 간의 상호작용을 돕는 인터페이스인 Graph API V1을 개발하여 도입하였다. Graph API V1은 페이스북 사용자가 페이스북 로그인의 방식을 통해 제3자 앱에 가입하여 이용할 때 그 앱을 이용하는 페이스북 사용자(이용자) 본인뿐만 아니라 친구의 개인정보 역시 제3자 앱에 함께 제공되는 방식으로 설계되었는데, 구체적인 구조 및 작동 순서는 다음과 같다(이하 ‘이 사건 정보이전 과정’이라 한다).

<1단계: 원고, Graph API V1 개발 및 도입> ○ 원고에 의하면, Graph API V1을 개발·도입한 주된 목적은 사용자들이 페이스북을 통해서 얻는 대표적인 경험인 ‘다른 사람들과 연결하여 자신의 것들을 공유하는 경험’을 페이스북뿐만 아니라 다른 서비스(제3자 앱)로 가져갈 수 있도록 해주는 것이었음. <2단계: 제3자 앱, ‘Permission’ 항목 설정> ○ 제3자 앱은 원고에게 개발자 등록을 하고 Graph API V1을 사용하여 앱을 개발함. 이후 제3자 앱은 원고가 웹에서 제공하는 개발자 툴을 이용하여 다음과 같이 원고로부터 받을 개인정보, 즉 ‘허가(Permission)’ 항목을 선택함(이때 이용자의 개인정보 뿐만 아니라 친구의 개인정보도 선택할 수 있음). <3단계: 이용자, 페이스북 로그인의 방식으로 제3자 앱 가입> ○ 이용자는 여러 가지 가입 방식(예: 직접 가입, 다른 SNS 계정을 이용한 가입) 중에 페이스북 로그인의 방식을 선택하여 제3자 앱에 가입함. <4단계: 원고, 이용자에게 ‘Request for Permission’ 화면 제시> ○ 이용자가 페이스북 로그인의 방식으로 제3자 앱에 가입하면, 원고가 제작한 아래 화면이 이용자에게 노출됨(이용자는 열거된 허가 항목을 변경할 수 없음). <5단계: 이용자, ‘Allow’ 선택> ○ 이용자는 ‘허가하기(Allow)’를 선택하면 제3자 앱을 이용할 수 있음(그렇지 않고 ‘허가 안 함(Don’t Allow)‘을 선택하면 페이스북 로그인의 방식으로 제3자 앱을 이용할 수 없음). <6단계: 친구 개인정보가 제3자 앱에 제공> ○ 원고의 서버에 저장된 이용자 및 친구의 개인정보 중 제3자 앱이 <2단계>에서 선택한 것이 Graph API V1을 통하여 제3자 앱에 제공됨.                                                                   <이 사건 정보이전 과정 요약>

나) 원고는 Graph API V1을 2015. 4. 30.까지 운영하였고, Graph API의 수정된 버전을 다음과 같이 여러 차례 출시하여 운영하였다. 원고는 제3자 앱이 Graph API V1을 사용하여 이용자 및 친구의 개인정보를 제공받도록 앱을 개발하여 운영하는 것에 대하여 사전에 검토하는 과정을 두지 않았고, 다만 2014. 4.경 도입된 Graph API V2에서는 제3자 앱에 대한 심사를 통해 승인받은 앱만이 이용자 및 친구의 개인정보에 접근할 수 있도록 조치하였다.

다) 원고는 피고의 조사 과정에서 ‘2015. 4. 30. 공식적으로 Graph API V1에 대한 지원을 중단하여 제3자 앱에 친구의 개인정보가 제공되지 않도록 하였다’고 하였으나, 이후 특정한 제3자 앱(68개, 개발자 ’Whitelisted Developers‘)에 대해서는 2018. 6.경까지 계속하여 Graph API V1을 통하여 이 사건 정보이전 과정과 동일한 방식으로 친구의 개인정보가 제공된 것으로 밝혀졌다.

2) 이 사건 정보이전 과정을 통하여 제3자 앱에 제공된 친구의 개인정보

가) 원고의 ‘Graph API V1 개발자 가이드’ 및 미국 FTC 조사결과에 따르면, 제3자 앱은 Graph API V1을 통하여 원고로부터 다음과 같은 이용자 및 친구의 개인정보에 접근할 권한을 제공받을 수 있도록 개발될 수 있었다(이 사건 정보이전 과정의 <2단계>).

나) 원고가 제공하는 페이스북 서비스의 ‘다른 사람들이 사용하는 앱(Apps Others Use)’ 도구에 따르면, 제3자 앱은 원고로부터 친구의 다음과 같은 개인정보를 제공받을 수 있다고 되어 있다.

3) 이 사건 정보이전 과정을 통하여 제3자 앱에 개인정보가 제공된 친구의 규모

가) 제3자 앱 중 Global Science Research(This Is Your Digital Life 앱)의 경우

(1) 미국 국적의 과학자인 Aleksandr Kogan이 운영하는 회사인 Global Science Research(이하 ‘GSR’이라 한다)는 Graph API V1을 사용한 제3자 앱인 This Is Your Digital Life 앱(이하 ‘Life 앱’이라 한다)을 개발하였고, GSR은 2013. 11.경부터 2015. 12.경까지 Life 앱을 운영하면서 페이스북 로그인 방식을 이용한 가입 서비스를 통하여 이 사건 정보이전 과정을 거쳐 친구의 개인정보를 제공받았다.

(2) 대한민국에서는 184명의 페이스북 사용자(이용자)가 Life 앱을 사용하였고, 원고는 대한민국에서 85,709명의 친구 개인정보가 Life 앱에 제공된 것으로 추산하였다. Life 앱에 제공된 친구의 개인정보로는 이름, 성별 등 공개 프로필, 생년월일, 거주 도시, 친구가 태그한 사진, 친구가 좋아요를 누른 페이지 등이 있다.

(3) GSR은 2014. 4. 30. Graph API V2가 출시되자 원고에게 앱 리뷰를 요청하였으나, 원고는 앱 리뷰 결과 Life 앱이 제공받은 개인정보가 ‘이용자의 앱 내 경험’ 개선에 활용되지 않을 것이라는 이유로 그 요청을 거부하였다. 그러나 GSR은 Graph API V1이 Graph API V2로 전환되는 유예기간인 2014. 4. 30.부터 2015. 4. 30.까지 계속해서 Life 앱의 사용자인 이용자, 그리고 그 친구의 개인정보를 제공받았다.

(4) 영국 언론 The Guardian은 2015. 12. 11. ‘GSR이 Life 앱을 통하여 페이스북 사용자로부터 취득한 개인정보를 정치, 대정부, 군사 관련 업무를 수행하는 회사인 SLCL Elections Ltd와 Cambridge Analytica에 전달했을 수 있다’는 기사를 보도하였고, 이에 원고는 2015. 12. 17. GSR이 페이스북의 서비스 정책을 위반하였다는 이유로 페이스북 서비스에서 Life 앱을 금지시켰다.

나) 제3자 앱 중 랭크웨이브(Rankwave 앱)의 경우

(1) SNS 데이터분석, 고객관리 솔루션 등을 개발․공급하는 회사인 주식회사 랭크웨이브(이하 ‘랭크웨이브’라 한다)는 Rankwave 앱을 운영하면서 2012. 5.부터 페이스북 로그인 방식을 이용한 가입 서비스를 도입하였고, 이 사건 정보이전 과정을 통하여 친구의 개인정보를 제공받았다.

(2) 랭크웨이브는 2012. 10.경부터 2013. 10.경까지 중소기업청(중소기술진흥원)의 지원을 받아 R&D 연구용역인 ‘온라인 소셜 네트워크 사용자의 사회적 영향력 분석기술을 활용한 온라인광고 시스템 구축’ 과제를 수행하였고, 기업들을 대상으로 페이스북 사용자의 데이터를 실시간으로 분석하여 기업들이 SNS에서 잠재 고객의 특성을 파악할 수 있게 해주는 소셜 분석 서비스인 ‘빅큐브’를 제공하였다. 랭크웨이브는 Rankwave 앱을 사용한 이용자 및 그 친구의 개인정보를 제공받아 위 과제를 수행하거나 빅큐브 서비스를 제공하는 데 활용하였다.

(3) 랭크웨이브가 제출한 자료 등에 따르면, 대한민국에서는 81,528명의 페이스북 사용자(이용자)가 Rankwave 앱을 사용하였고, 대한민국에서 약 325만 명(= 개인정보가 제공된 총 페이스북 사용자 3,333,028명 – 이용자 81,528명)의 친구 개인정보가 Rankwave 앱에 제공된 것으로 추산되었다.

4) 원고의 허가 요청 및 데이터 정책 등의 고지

가) 제3자 앱 사용자(이용자)에 대한 허가 요청

(1) 페이스북 사용자가 제3자 앱에 페이스북 로그인 방식으로 가입하려고 할 때, 원고는 그 사용자에게 ‘제3자 앱이 친구의 개인정보에 접근하는 것을 허가할 것인지’ 여부를 묻는 ‘허가 요청(Request for Permission)’ 화면을 제작ㆍ구성하여 노출시켰다(이 사건 정보이전 과정의 <4단계>).

(2) 페이스북 로그인 방식으로 제3자 앱을 사용하려는 이용자가 위 화면에서 ‘허가하기(Allow)’를 선택하면(이 사건 정보이전 과정의 <5단계>), 원고의 서버에 저장되어 있던 이용자 및 그 친구의 개인정보가 제3자 앱에 제공되었다(이 사건 정보이전 과정의 <6단계>). 이용자는 ‘허가하기’를 선택하여야만 제3자 앱을 사용할 수 있었고, 그렇지 않고 페이스북 로그인의 방식으로 제3자 앱을 사용할 수 있는 방법은 없었다.

(3) 원고는 위와 같은 방식으로 친구의 개인정보가 제3자 앱에 제공되는 것과 관련하여 친구에게 개인정보를 제공받는 자, 제공받는 자의 개인정보 이용 목적, 제공되는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간을 표시한 화면 등을 통해 안내하거나 위 ‘허가 요청’ 화면과 동일하거나 유사한 형태로 동의를 요청한 사실은 없다.

나) 페이스북 서비스 가입 및 개인정보 처리방침

(1) 대한민국 사용자가 페이스북 서비스를 이용하기 위해서는 성명, 이메일, 비밀번호, 생년월일, 성별 등을 입력하고 가입하기 버튼을 눌러서 가입해야 하는데, 원고는 정보를 입력하는 화면 아래에 ‘가입하기를 클릭하시면 이용 약관에 동의하며 쿠키 사용을 포함한 데이터 사용 정책(데이터 정책을 말한다. 이하 같다)을 숙지하신 것으로 간주됩니다’라는 문구를 노출시키고, ‘이용약관’, ‘쿠키 사용’, ‘데이터 사용 정책’을 클릭하는 경우 팝업 화면을 통해 각각의 내용을 확인할 수 있도록 하였다.

(2) 원고는 2011. 3.부터는 위와 같이 페이스북에 가입하는 절차에 ‘I agree to Facebook’s Privacy Policy’ 및 ‘I agree to Facebook’s Terms of Service’를 체크하도록 하는 화면을 추가하였고, 그 화면에 표시되는 내용은 당시에 시행 중이던 데이터 정책(Data Policy) 및 SRR이었다. 2013. 11. 15. 기준 데이터 정책 및 SRR의 주요 내용은 다음과 같다.

                                                                                 <데이터 정책>

위 화면에서 ‘기타 웹사이트 및 앱’ 항목을 클릭하는 경우, 다음과 같은 ‘다른 웹사이트 및 앱’이라는 제목의 화면이 나타나는데, 그 중 이 사건과 관련되는 부분은 다음과 같다.

                                                                                        <SRR>

다) 페이스북 서비스의 개인정보 제공 설정 및 안내

(1) 원고는 페이스북 사용자가 자신의 개인정보 및 작성한 게시물 등의 공개 범위를 ‘전체 공개’, ‘친구만’, ‘아는 사람을 제외한 친구’, ‘나만 보기’ 등으로 설정할 수 있는 메뉴를 제공하였고, 그 설정을 변경할 수 있는 다음과 같은 도구(‘공개 범위 확인’)도 제공하였다. 친구의 개인정보는 친구가 공개 범위를 ‘전체 공개’로 설정한 경우뿐만 아니라 ‘친구만’으로 설정한 경우에도 이 사건 정보이전 과정을 통하여 제3자 앱에 제공되었다.

(2) 원고는 페이스북 사용자가 사용하지 않는 제3자 앱에 제공될 수 있는 개인정보의 범위를 제한할 수 있는 ‘다른 사람들이 사용하는 앱’ 도구를 제공하였는데, 그 화면은 다음과 같다(화면에서 보는 바와 같이, ‘관심 있는 성별’, ‘종교관과 정치 성향’ 등 일부 항목 외에는 대부분의 항목이 기본으로 체크가 되어 있었다). 위 도구는 ‘이용자들이 사용 앱으로 정보를 가져오는 방법’이라는 메뉴로 접속하는 경우에만 제공되었는데, 페이스북 사용자가 이에 접근하기 위해서는 페이스북 서비스 화면의 ‘공개 범위 설정 -> 광고, 앱, 웹사이트의 설정 관리 -> 이용자들이 사용 앱으로 정보를 가져오는 방법의 “설정 관리”’의 순서로 버튼을 클릭하여야 했다.

(3) 원고는 페이스북 사용자에게 다음과 같은 ‘앱, 플러그인, 웹사이트 끔’이라는 도구를 제공하였고, 페이스북 사용자가 위 도구에서 ‘플랫폼 끄기’를 클릭할 경우 제3자 앱 등을 이용할 수 없게 된다. 이용자가 위 도구 화면에 접근하여 ‘플랫폼 끄기’를 클릭하지 않는 한 기본으로 ‘플랫폼’ 설정은 활성화되어 있는 상태였다.

(4) 원고는 2012년경부터 페이스북 신규 이용자들이 로그인하는 과정에서 제시되는 화면으로서 페이스북의 프라이버시 및 앱 설정을 이용하는 방법에 관하여 설명하는 ‘프라이버시 투어(Privacy Tour)’를 도입하였는데, 그 화면에는 ‘친구 또는 제3자가 자신들이 사용하는 앱이나 웹사이트에 가지고 갈 수 있는 정보를 포함하여 누가 어떠한 정보에 접근할 수 있는지 통제하세요’라고 기재되어 있다. 또한 고객센터(Help Center)에서 이용자들이 제3자 앱과 웹사이트 관련 기능을 사용하지 않는 방법에 관하여 설명하였다. 그 문서의 제목은 2011~2012년경 ‘How do I turn off Platform app and websites?’, 2012~2014년경 ‘How do I turn off apps and websites’, 2014~2018년경 ‘You can turn off apps, games, plugins, and websites from your account settings’였고, 현재는 ‘Turn off Facebook’s integration with apps, games and websites‘이다.

5) 이 사건 행위에 대한 외국의 제재 사례

가) 영국

영국 개인정보 보호위원회(Information Commissioner’s Office, 이하 ‘ICO’라 한다)는 2018. 10. 24. 원고에게 이 사건 행위에 관하여 50만 파운드의 벌금 부과 통지를 하였는데, 그 결정문 중 이 사건과 관련되는 주요 부분의 취지는 다음과 같다.

나) 이탈리아

이탈리아 개인정보 감독 당국인 Garante per la Protezione dei Dati Personali(이하 ‘GPDP’라 한다)는 2019. 6. 14. 원고에게 이 사건 행위에 관하여 금지 명령 및 과징금 등의 처분을 내렸는데, 그 결정문 중 이 사건과 관련되는 주요 부분의 취지는 다음과 같다.

다) 미국

미국 정부(FTC)와 Facebook Incorporation은 2012. 7. 27. 이 사건 행위에 관하여 동의의결을 체결하였는데, 미국 정부(FTC)는 2019년경 Facebook Incorporation이 위 동의의결 및 연방거래위원회법을 위반하였다는 이유로 콜럼비아 특별구 법원에 이 사건 소장을 제출하면서 민사소송을 제기하였고, 이후 Facebook Incorporation과 후속 ‘Stipulated order for civil penalty, monetary judgment and injunctive relief’(동의의결)을 체결하였다. 위 2012. 7. 27.자 동의의결 및 이 사건 소장의 내용 중 이 사건과 관련되는 주요 부분의 취지는 다음과 같다.

                                                                        <2012. 7. 27.자 동의의결>

[인정근거] 다툼 없는 사실, 갑 제1, 3, 4, 6 내지 10, 18 내지 21, 28호증, 갑 제31, 32호증, 을가 제1 내지 3, 6, 11, 12, 14호증(가지번호 있는 것은 각 가지번호 포함, 이하 같다)의 각 기재 및 영상, 변론 전체의 취지

다. 이 사건 처분사유의 존부

1) 이 사건 쟁점조항의 적용 요건 개관

이 사건 쟁점조항은 정보통신서비스 제공자가 이용자의 개인정보를 제3자에게 제공하려면 일정한 경우 외에는 ‘① 개인정보를 제공받는 자, ② 개인정보를 제공받는 자의 개인정보 이용 목적, ③ 제공하는 개인정보의 항목, ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간’을 이용자에게 알리고 동의를 받아야 한다고 규정하고 있다(이하 동의를 받을 때 이용자에게 알려야 할 위 4가지 사항을 통틀어 ‘법정 고지사항’이라 한다).

즉, 개인정보를 제3자에게 제공하는 행위가 이 사건 쟁점조항에 의한 제재대상이 되기 위해서는 ① 개인정보를 제3자에게 제공하는 주체가 정보통신서비스 제공자여야 하고(이하 ‘주체 요건’이라 한다), ② 개인정보를 제3자에게 제공하는 행위가 있어야 하며(이하 ‘행위 요건’이라 한다), ③ 개인정보를 제3자에게 제공할 때 이용자의 동의를 받지 않아야 하므로(이하 ‘동의 요건’이라 한다), 이하에서 순차적으로 살펴본다.

2) 이 사건 쟁점조항의 주체 요건 충족 여부

앞서 인정한 사실관계와 앞서 든 증거들에 갑 제29, 30호증의 각 기재 및 변론 전체의 취지를 더하여 알 수 있는 다음과 같은 사정들을 종합하면, 원고는 ‘개인정보를 제3자에 제공하는 정보통신서비스 제공자’로서 이 사건 쟁점조항의 주체에 해당한다고 판단된다.

가) 구 정보통신망법은 정보통신서비스 제공자는 이용자의 개인정보를 보호하고 건전하고 안전한 정보통신서비스를 제공하여 이용자의 권익보호와 정보이용능력의 향상에 이바지하여야 하여야 하는데(구 정보통신망법 제3조 제1항), 정보통신서비스 제공자는 이용자에게 알리고 그 동의를 받아 이용자의 개인정보를 수집․이용할 수 있고(제22조 제1항), 개인정보를 처리하는 경우에는, 개인정보 처리방침을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록 공개하여야 할 뿐만 아니라(제27조의2) 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위하여 기술적ㆍ관리적 조치를 하여야 한다(제28조)고 규정하고 있다. 위 조항의 내용에다가 원고는 주로 페이스북 사용자들이 페이스북 서비스를 통하여 공유한 개인정보를 이용하여 광고주들로부터 대가를 수령하고 맞춤형 광고를 보게 함으로써 매출을 발생시키는 점을 더하여 보면, 정보통신서비스 제공자인 원고는 페이스북 사용자들의 개인정보를 수집․이용하면서 이를 보유ㆍ관리하는 주체라고 봄이 타당하고, 그 중 이 사건 정보이전 과정을 통하여 제3자 앱에 제공된 친구의 개인정보 역시 원고가 보유ㆍ관리하는 개인정보에 해당한다(원고가 정보통신서비스 제공자인 이상, 특별한 사정이 없는 한 이 사건 쟁점조항의 주체 요건을 충족한다고 볼 것이고, 이 부분에 대한 원고의 나머지 주장은 행위 요건에서 판단하여도 충분하나, 원고가 위와 같이 Graph API V1이라는 기술적 수단을 제공한 것에 불과하여 주체 요건을 충족하지 않는다는 취지로 일관하여 주장하므로, 필요한 한도 내에서 그 주장의 당부를 여기에서 살핀다).

나) 원고의 이 사건 행위는 제3자 앱이 페이스북 사용자들의 개인정보 등을 제공받아 서비스할 수 있도록 프로그램 간의 상호작용을 돕는 인터페이스인 Graph API V1을 개발ㆍ도입한 것이다. 그런데 원고는 페이스북 사용자(이용자)가 페이스북 로그인의 방식을 통해 제3자 앱에 가입하여 이용할 때 그 앱을 이용하는 이용자 본인의 개인정보뿐만 아니라 그 친구의 개인정보 역시 제3자 앱에 함께 제공되는 방식으로 Graph API V1을 설계하여 운영하였고, 이 사건 정보이전 과정에서 제3자 앱은 사전에 선택한 항목에 해당하는, 원고의 서버에 저장된 친구의 개인정보를 제공받았다.

다) 이 사건 정보이전 과정을 구체적으로 살펴보면, 원고가 이용자 및 친구의 개인정보가 제3자 앱에 이전될 수 있는 기술적 장치인 Graph API V1을 개발하여 운영하면(<1단계>), 제3자 앱이 원고에게 개발자 등록을 한 후 원고가 제공하는 개발자 툴을 이용하여 원고로부터 받을 개인정보인 ‘허가(Permission)’ 항목을 선택하였고(<2단계>. 이때 이용자의 개인정보뿐만 아니라 친구의 개인정보도 함께 선택되었다), 원고는 이용자가 페이스북 로그인 방식으로 제3자 앱에 가입할 때(<3단계>) ‘허가 요청(Request for Permission)’ 화면을 구성하여 이용자에게 노출시켰으며(<4단계>), 이용자가 ‘허가하기(Allow)’를 선택하면(<5단계>) 원고의 서버에 저장된 친구의 개인정보가 제3자 앱으로 제공되었다(<6단계>).

이처럼 원고는 자신이 수집하여 관리하는 친구의 개인정보를 제3자 앱에 제공되도록 하는 기술적 장치를 개발하여 도입한 것에서 더 나아가 이용자가 페이스북 로그인의 방식으로 제3자 앱에 가입하려고 할 때 친구 개인정보의 제공에 관한 ‘허가하기’ 화면을 직접 제작하여 노출시키는 등, 친구의 개인정보가 제3자 앱으로 이전되는 이 사건 정보이전 과정을 (Graph API V1을 사용하여 앱을 개발하고 제공받을 개인정보를 사전에 선택한) 제3자 앱과 함께 적극적, 체계적으로 주도하였다. 따라서 원고의 주장과 같이 정보통신서비스 제공자가 이 사건 쟁점조항의 주체가 될 수 있는 경우를 ‘개인정보 제공을 주도하는 경우’로 엄격하게 해석하더라도, 원고는 여전히 이 사건 쟁점조항의 주체라고 봄이 타당하다.

라) 원고는 스스로 데이터 정책에 ‘회원님이 페이스북 계정을 이용해 웹사이트에 로그인하는 등 앱과 연결 관계를 맺으면 원고는 그 앱에 회원님의 사용자 아이디와 공개 정보를 포함한 기본 정보를 제공한다’는 표현을 사용하였고, 2014. 4.경 도입된 Graph API V2에서 제3자 앱에 대한 심사를 통해 승인받은 일부 앱만이 이용자 및 친구의 개인정보에 접근할 수 있도록 조치하기도 한바, 이 역시 제3자 앱에 개인정보를 제공할 것인지를 결정하는 주체는 원고임을 뒷받침한다. 한편 이 사건 행위에 대하여 ‘친구의 동의를 받지 않고 제3자 앱에 친구의 개인정보를 제공하였다’는 등의 이유로 원고 등에게 제재를 가한 외국의 사례(영국 ICO, 이탈리아 GPDP, 미국 FTC 2012. 7. 27.자 동의의결)나 원고가 제출한 워싱턴 D.C. 고등법원 결정문 및 캐나다 연방 법원 판결문(갑 제29, 30호증)에 의하더라도 원고 등이 이 사건 정보이전 과정에서 주체적인 역할을 하였음을 전제하고 있고, 이 사건에서 원고가 주장함에 따라 논의되고 있는 ‘정보제공 행위의 주체가 누구인지(원고인지 아니면 이용자인지)’는 전면적인 쟁점이 되지도 않은 것으로 보인다.

마) 이에 대하여 원고는 개인정보 제공을 주도한 주체는, 페이스북 로그인 방식으로 제3자 앱에 가입할 것을 결정하고 ‘허가하기’를 선택하는(<5단계>) 등 이 사건 정보이전 과정에서 주도적인 의사결정을 한 이용자이지 원고가 아니라는 취지로 주장하나, 다음과 같은 이유로 받아들일 수 없다.

(1) 이용자가 제3자 앱에 가입할 당시 페이스북 로그인 방식을 선택하는 주된 이유는, 별도의 아이디, 비밀번호 등을 생성하거나 제3자 앱 자체에 개인정보를 다시 입력하지 않고 보다 간편하게 제3자 앱에 가입하여 그 서비스를 이용하려는 것이다. 그 과정에서 이용자가 페이스북 서비스를 통하여 공유하거나 친구로부터 공유 받은 개인정보가 제3자 앱에 제공됨으로써 (원고의 주장과 같이) 이용자가 ‘다른 사람들과 연결하여 공유하는 경험을 다른 서비스(제3자 앱)로 가지고 간다’는 의사는 보충적인 것에 불과한 경우가 대부분일 것이다. 더군다나 이용자가 페이스북 로그인 방식으로 제3자 앱에 가입하면서 ‘이용자’ 자신이 직접 페이스북 서비스를 이용하면서 공유한 개인정보가 제3자 앱에 제공되리라는 것은 어느 정도 예상할 수 있을지언정, 그 ‘친구’의 개인정보까지 제3자 앱에 제공된다는 것까지 예상하기는 어려우므로, 적어도 친구의 개인정보 부분에 관하여는 이용자가 원고에게 개인정보 제공을 요청하는 방법으로 이 사건 정보이전 과정에 참여하였다고 평가할 수도 없다(오히려 원고에게 친구 개인정보 제공을 요청한 주체는 Graph API V1을 통하여 제공받을 정보를 미리 선택하였을 뿐만 아니라 위 개인정보를 제공받음으로써 직접적인 이익을 얻는 제3자 앱이라고 봄이 타당하다).

(2) 원고가 데이터 정책, SRR, (이 사건 정보이전 과정 <4단계>에서 이용자에게 노출시킨) ‘허가하기’ 화면 등을 통하여 이용자에게 ‘제3자 앱이 친구의 개인정보에 접근할 수 있다’는 사실을 충분히 인지시켰고, 이용자가 이를 방지하기 위하여 플랫폼을 끄거나 페이스북 로그인이 아닌 다른 방식으로 제3자 앱에 가입하여 이용하는 방법을 선택하는 것이 가능하였다고 하더라도, 앞서 본 바와 같이 이용자로서는 친구의 개인정보까지 제3자 앱에 제공된다는 것까지 쉽게 예상할 수 없었고, 설령 이용자가 이를 어렴풋이나마 알 수 있었다고 하더라도 이미 제3자 앱에 가입할 때 페이스북 로그인 방식을 이용하기로 마음먹고 그 가입 절차를 진행 중인 상태에서(이 사건 정보이전 과정의 <3단계> 이후) 이용자 자신과는 직접적인 관련이 없을 뿐만 아니라 페이스북 로그인 방식을 통하여 제3자 앱에 가입하려고 하는 과정에서 부수적으로 발생하는 결과에 불과한 ‘친구 개인정보의 제3자 앱 제공’을 의식한 나머지 <4단계>에서 ‘허가하기’가 아닌 ‘허가 안함’을 선택하여 그 절차를 중단시킬 것을 기대하기도 어렵다(이용자가 ‘허가하기’를 선택하지 않으면 페이스북 로그인 방식으로 제3자 앱에 가입하여 이용하는 것 자체가 불가능한 사실은 앞서 본 바와 같다). 무엇보다 원고는 이용자가 ‘허가하기’를 선택함으로써 이용자 자신과 친구의 개인정보가 포괄적으로 제3자 앱에 이전되도록 설정하였을 뿐, 열거된 허가 항목을 변경할 수 있도록 하는 등 개인정보가 일부만 이전되거나 이전되지 않는 방법으로 페이스북 로그인 방식으로 제3자 앱을 이용할 수 있는 대안을 이용자에게 마련해주지 않았다.

(3) 이용자의 객관적인 행위를 놓고 보더라도, 이 사건 정보이전 과정은 원고와 제3자 앱이 원고가 보유․관리하는 개인정보가 Graph API V1을 통하여 제3자 앱에 제공되는 시스템을 미리 구축해놓으면, 이용자는 페이스북 로그인 방식으로 제3자 앱에 가입하는 과정에서 단순히 원고가 제공하는 화면의 ‘허가하기’를 클릭하는 것일 뿐이다. 이용자가 ‘허가하기(Allow)’를 선택할 때 ‘내 친구들의 정보에 접근[성함, 좋아하는 것, 음악, TV, 영화, 책, 인용구, 온라인 접속여부(중략)]’라는 화면이 제시되기는 하나, 해당 화면에는 법정 고지사항 중 개인정보를 제공받는 제3자가 친구의 개인정보를 이용하려는 목적, 개인정보를 제공받는 제3자가 해당 개인정보를 보유 및 이용하려는 기간은 전혀 고지되지 않고, 고지되는 ‘제공하는 개인정보의 항목’도 실제로 제공될 수 있는 개인정보의 항목과 차이가 있다. 그렇다면, 이용자의 위와 같은 행위는 이 사건 정보이전 과정 전반에서 수동적이고 부차적인 역할을 하는 것에 불과하다고 볼 것이므로, 설령 이용자가 자발적으로 페이스북 로그인 방식을 선택하였다거나 이용자의 위 행위가 있어야만 개인정보가 제3자 앱에 이전되는 것이 사실이라고 하더라도 이는 결국 원고가 설계하여 제공되도록 한 전체 공정(process)의 요소 중 하나에 불과할 뿐이므로 그것이 앞서 본 바와 같이 정보통신서비스 제공자인 원고가 이 사건 쟁점조항의 주체가 될 수 있을 정도로 이 사건 정보이전 과정에서 주도적인 역할을 수행하였다는 점을 뒤집을 정도에는 이르지 않는다고 판단된다.

3) 이 사건 쟁점조항의 행위 요건 충족 여부

가) 관련 법리

구 정보통신망법 제24조의2에서 말하는 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집ㆍ이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우를 말한다. 어떠한 행위가 개인정보의 제공인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다(대법원 2017. 4. 7. 선고 2016도13263 판결 등의 취지 참조).

나) 구체적인 판단

앞서 인정한 사실관계와 앞서 든 증거들에 갑 제5, 11 내지 17, 23, 25 내지 27호증의 각 기재 및 변론 전체의 취지를 더하여 알 수 있는 다음과 같은 사정들을 종합하면, 원고가 친구의 개인정보를 제3자 앱에 제공한 행위는 이 사건 쟁점조항에서 말하는 ‘개인정보를 제3자에게 제공하는 행위’에 해당한다고 판단된다.

(1) 앞서 본 바와 같이 이 사건 정보이전 과정을 주도한 주체는 이용자가 아니라 원고이므로, 이와 다른 전제에서 개인정보를 제3자 앱에 ‘제공’하는 행위를 한 주체가 이용자이므로 원고는 위 ‘제공’ 행위를 하지 않았다는 취지의 원고 주장은 더 나아가 살필 필요 없이 받아들일 수 없다.

(2) 페이스북 사용자가 원고의 서버에 개인정보를 입력하면 이를 다른 사용자들과 공유할 수 있도록 하는 페이스북 서비스를 제공하는 것이 원고가 위 개인정보를 수집ㆍ이용하는 주된 목적이라고 할 수 있다. 그런데 친구의 입장에서는, 친구 자신이 기존에 페이스북에 ‘친구만’으로 한정하여 공유한 것을 포함하여 이용자에게 공유되었을 뿐인 개인정보가 친구관계인 이용자가 제3자 앱에 가입할 때 포괄적으로 그 제3자 앱에 이전되는 것은 친구가 결정한 개인정보 이용의 목적 범위를 명백하게 넘어서는 것이다. 나아가 제3자 앱은 원고로부터 이전받은 친구의 개인정보를 원래 Graph API V1이 개발ㆍ도입된 목적인 ‘이용자의 앱 내 경험 공유’와 전혀 상관없는 영리 목적, 기업 판매용 광고․마케팅 분석 모델 작성 목적 등으로 자의적으로 활용한바, 이는 제3자 앱의 업무처리와 이익을 위하여 개인정보가 이전되는 경우에 해당한다. 구 정보통신망법 제3조 제1항에 따라 이용자의 개인정보를 보호하고 건전하고 안전한 정보통신서비스를 제공할 책무가 있는 정보통신서비스 제공자인 원고로서는 페이스북 사용자들의 개인정보를 처리 목적에 필요한 범위에서 안전하게 관리하고, 정보주체의 개인정보자기결정권을 보호할 수 있는 방식으로 개인정보 처리를 위한 기술적 수단을 설계하여야 함에도, 원고가 제3자 앱으로 하여금 정보주체인 친구가 아닌 이용자의 ‘허가하기(Allow)’ 선택을 통하여 용이하게 정보주체의 개인정보에 접근하고 이를 이전할 수 있는 권한을 가지도록 설계한 기술적 조치를 적극적으로 마련하여 이를 제3자 앱에 제공한 이상, 이러한 원고의 행위는 친구의 개인정보를 제3자 앱에 ‘제공’한 것이라고 평가하기에 충분하다.

(3) 원고는 이 사건 쟁점조항에 의한 제재대상이 되지 않는 이 사건 타 서비스, 예컨대 카카오톡의 연락처 및 프로필, 메시지, 사진 전송 기능, 트위터의 트윗 공유 기능, 애플의 공유앨범 기능, 아웃룩 등 이메일의 포워딩 기능, 구글의 연락처 및 캘린더 동기화 기능, 명함 앱 등 역시 이 사건 정보이전 과정과 유사한 방식으로 개인정보가 이전된다고 주장한다.

그러나 이 사건 타 서비스의 경우에는 정보통신서비스 제공자가 오로지 이용자들의 편의를 위해서 마련한 기술적인 장치에 기반하여 이용자가 주도하여 서로 개인정보를 주고받을 의사로 그러한 행위를 하는 형태임이 분명한 반면, 이 사건 정보이전 과정의 경우 이용자는 단순히 페이스북 로그인 방식으로 간편하게 제3자 앱에 가입하여 이용하려는 것이 주된 의도였을 뿐이고 개인정보 제공에는 수동적이고 부차적인 역할만을 한 점, 기술적인 장치를 마련한 이후에 실제로 개인정보가 이전되는 과정에서 이 사건 타 서비스의 경우 정보통신서비스 제공자가 별다른 역할을 수행하지 않는 반면 이 사건 정보이전 과정의 경우 원고는 ‘허가 요청’ 화면을 제작ㆍ구성하여 이용자에게 노출시키고, 제3자 앱과 사전에 조율된 계획에 따라 그에게 직접 개인정보를 이전하는 등 훨씬 적극적인 역할을 수행한 점 등에 비추어 보면, 양자는 명확하게 구별된다(따라서 다른 정보통신서비스 제공자가 이 사건 타 서비스를 제공한 행위가 이 사건 쟁점조항의 적용대상이 된다고 볼 수는 없으므로, 원고의 주장과 달리 이 사건 처분의 효력이 유지된다고 하더라도 국내 IT 산업 전반에 막대한 영향을 미칠 것이라고 단정하기도 어렵다). 이 사건 쟁점조항의 적용대상인 ‘개인정보의 제3자 제공’ 행위를 다른 주체(이용자 등)의 행동이 전혀 개입되지 않은 채 정보통신서비스 제공자가 단독으로 제3자에 개인정보를 제공하는 경우로 한정하여 해석할 근거도 부족하다.

(4) 원고는 친구의 개인정보가 곧 이용자의 개인정보라거나, 친구가 이용자에게 개인정보의 이전 권한을 부여하였다는 전제 하에, 친구의 개인정보가 제3자 앱에 제공된 것은 이용자가 개인정보 이동권(Right to data portability)을 행사한 결과일 뿐이라는 취지로 주장하나, 다음과 같은 이유로 받아들일 수 없다.

(가) 원고의 이 부분 주장이 최근 들어 해외에서 논의되어 국내에도 신용정보의 이용 및 보호에 관한 법률(제33조의2)에 ‘개인신용정보 전송요구권’이라는 명칭으로 도입되기도 한 ‘개인정보 이동권’과 관련하여 경청할 필요가 있는 것은 사실이나, 이와 같은 ‘개인정보 이동권’이 정보통신서비스 관련 법령에 도입되어 권리의 주체 및 내용 등이 구체적으로 정해지지 아니한 이상, 이를 이유로 이용자가 친구의 개인정보를 제3자 앱에게 전송하여 줄 것을 원고에게 요구할 권리를 행사한 것이라고 평가할 수는 없다.

(나) 제3자 앱이 원고로부터 제공받은 친구의 개인정보에는 이용자와는 아무런 직접적인 관련이 없는 친구의 독자적인 정보도 다수 포함되어 있으므로 친구의 개인정보가 곧 이용자의 개인정보라고 볼 수 없고, ‘정보주체’란 ‘처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람’을 말하므로[구 개인정보 보호법(2020. 2. 4. 법률 제16930호로 개정되기 전의 것) 제2조 제3호] 친구의 개인정보에 관한 정보주체가 친구가 아니라 이용자라고 볼 수도 없다. 나아가 설령 친구가 페이스북에 자신의 정보를 이용자 등이 볼 수 있도록 자발적으로 공유한 것이라고 하더라도, 이는 기본적으로 자신의 정보에 대한 제한적 공유 내지 전전(轉傳) 공유 정도를 의도한 것일 뿐 정보의 포괄적 처분 권한을 부여한 것이 아니고, 친구가 공개 범위를 ‘전체 공개’로 설정한 경우뿐만 아니라 ‘친구만’으로 설정한 경우에도 그 정보가 제3자 앱에 제공된 이상, 친구가 페이스북 서비스에 가입하는 단계 등에서 이용자에게 개인정보의 이전 권한을 부여하였다고 볼 수도 없다.

4) 개인정보를 제3자 앱에 제공할 때 정보주체인 친구의 동의가 필요한지 여부

가) 관련 법리

(1) 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역에 속하는 정보에 국한되지 아니하며 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다. 또한 그러한 개인정보를 대상으로 한 조사ㆍ수집ㆍ보관ㆍ처리ㆍ이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다(대법원 2014. 7. 24. 선고 2012다49933 판결 등 참조).

(2) 구 정보통신망법은, 정보통신서비스 제공자는 이용자의 개인정보를 수집․이용하려면 ‘개인정보의 수집ㆍ이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유ㆍ이용 기간’을 이용자에게 알리고 동의를 받아야 하고(제22조 제1항), 이용자의 개인정보를 제3자에게 제공하려면 일정한 경우 외에는 법정 고지사항(① 개인정보를 제공받는 자, ② 개인정보를 제공받는 자의 개인정보 이용 목적, ③ 제공하는 개인정보의 항목, ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간)을 이용자에게 알리고 동의를 받아야 한다(제24조의2 제1항)고 규정하고 있다. 구 정보통신망법 제26조의2는 이용자로부터 동의를 받는 방법은 개인정보의 수집매체, 업종의 특성 및 이용자의 수 등을 고려하여 대통령령으로 정하도록 위임하고 있다. 이에 따라 구 정보통신망법 시행령 제12조 제1항은 정보통신서비스 제공자가 동의를 받는 방법 중 하나로 ’인터넷 사이트에 동의 내용을 게재하고 이용자가 동의 여부를 표시하도록 하는 방법‘(제1호)을 들면서, ’정보통신서비스 제공자 등은 동의를 얻어야 할 사항을 이용자가 명확하게 인지하고 확인할 수 있도록 표시하여야 한다‘고 규정하고 있다.

이러한 관련 법령규정의 문언․체계․취지 등에 비추어 보면, 정보통신서비스 제공자가 이용자로부터 개인정보 수집ㆍ제공에 관하여 구 정보통신망법에 따라 적법한 동의를 받기 위하여는, 이용자가 개인정보 제공에 관한 결정권을 충분히 자유롭게 행사할 수 있도록, 정보통신서비스 제공자가 미리 해당 인터넷 사이트에 통상의 이용자라면 용이하게 법정 고지사항의 구체적 내용을 알아볼 수 있을 정도로 법정 고지사항 전부를 명확하게 게재하여야 한다. 아울러, 법정 고지사항을 게재하는 부분과 이용자의 동의 여부를 표시할 수 있는 부분을 밀접하게 배치하여 이용자가 법정 고지사항을 인지하여 확인할 수 있는 상태에서 개인정보의 수집․제공에 대한 동의 여부를 판단할 수 있어야 하고, 그에 따른 동의의 표시는 이용자가 개인정보의 수집ㆍ제공에 동의를 한다는 명확한 인식 하에 행하여질 수 있도록 그 실행방법이 마련되어야 한다(대법원 2016. 6. 28. 선고 2014두2638 판결 등 참조).

(3) 한편 이미 공개된 개인정보를 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서 수집․이용․제공 등 처리를 할 때는 정보주체의 별도의 동의는 불필요하다고 보아야 할 것이다. 그리고 정보주체의 동의가 있었다고 인정되는 범위 내인지는 공개된 개인정보의 성격, 공개의 형태와 대상 범위, 그로부터 추단되는 정보주체의 공개 의도 내지 목적뿐만 아니라, 정보처리자의 정보제공 등 처리의 형태와 그 정보제공으로 인하여 공개의 대상 범위가 원래의 것과 달라졌는지, 그 정보제공이 정보주체의 원래의 공개 목적과 상당한 관련성이 있는지 등을 검토하여 객관적으로 판단하여야 할 것이다[대법원 2016. 8. 17. 선고 2014다235080 판결(로앤비 판결) 등 참조].

(4) 그러나 개인정보의 제3자 제공에 관한 규정은 정보주체의 개인정보자기결정권 제한에 대한 근거가 되므로, 정보통신서비스 제공자가 개인정보를 제3자에 제공함에 있어서는 어디까지나 구 정보통신망법 제24조의2 제1항에 따른 정보주체의 동의를 받는 경우가 원칙적인 모습이 되어야 하고, 정보주체의 동의가 없는 개인정보의 제3자 제공은 예외적으로만 인정되어야 하므로 그 요건 또한 가급적 엄격히 해석되어야 한다(대법원 2023. 6. 29. 선고 2018도1917 판결의 취지 참조).

나) 구체적인 판단

앞서 인정한 사실관계와 앞서 든 증거들에 변론 전체의 취지를 더하여 알 수 있는 다음과 같은 사정들을 종합하면, 설령 제3자 앱에 제공된 개인정보가 친구 스스로 이미 공개한 개인정보라고 하더라도, 이를 두고 이 사건 쟁점조항에서 요구하는 필수적 법정 고지사항의 명확한 인식 내지 예상 가능성을 전제로 한 추정적 동의라고 평가할 수는 없으므로, 원고가 그 개인정보를 이 사건 정보이전 과정을 통해 제3자 앱에 제공한 행위는 정보주체인 친구의 별도의 동의를 받지 않더라도 친구의 동의가 있었다고 객관적으로 인정되는 범위 내에 해당한다고 보기 어렵다. 따라서 원고가 친구의 동의 없이 그 개인정보를 제3자 앱에 제공한 것은 친구의 개인정보자기결정권을 침해한 위법한 행위에 해당한다고 봄이 타당하다.

(1) 설령 원고의 주장과 같이 친구가 페이스북에 공유한 개인정보가 ‘이미 공개된’ 개인정보라고 볼 여지가 있다고 하더라도, 공개된 개인정보도 개인정보자기결정권에 의해 보호대상이 되고, 개인정보를 스스로 공개한 경우에도 해당 개인정보의 처리는 여전히 정보주체의 통제 하에 있어야 한다.

(2) 이 사건 쟁점조항에 의하면 개인정보를 제3자에 제공하려면 법정 고지사항(① 개인정보를 제공받는 자, ② 개인정보를 제공받는 자의 개인정보 이용 목적, ③ 제공하는 개인정보의 항목, ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간)을 이용자에게 알리고 그 동의를 받아야 하고, 정보통신서비스 제공자는 적법한 동의를 받기 위하여 미리 용이하게 법정 고지사항의 구체적 내용을 알아볼 수 있을 정도로 법정 고지사항 전부를 명확하게 게재하여야 한다. 따라서 이미 공개된 개인정보를 ‘정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서’ 제공한 것인지 여부를 판단할 때에도, 개인정보가 제3자에 제공될 당시 해당 정보주체가 개인정보가 제3자에 제공된다는 사실 자체뿐만 아니라 위 4가지의 법정 고지사항에 관하여 어느 정도 인식할 수 있었는지 여부도 충분히 고려하여 신중하게 판단하여야 한다.

(3) 원고는 페이스북 서비스의 데이터 정책, SRR, ‘공개 범위 설정’ 화면, ‘앱, 플러그인, 웹사이트 끔’ 화면 등에 의하여 친구에게 그 개인정보가 친구관계인 이용자를 통해 제3자 앱에 공개될 수 있음을 고지하였고, 친구는 설정 조정을 통하여 이용자에게 공유한 개인정보가 제3자 앱에 이전되는 것을 제한할 수도 있었다는 점을 근거로 친구의 동의가 있었다고 객관적으로 인정되는 범위 내에서 그 개인정보가 제3자 앱에 제공된 것이라고 주장한다.

살피건대, 먼저 ① 데이터 정책(‘기타 웹사이트 및 앱’ 항목 → ‘다른 웹사이트 및 앱’ 화면)에 의하면, 이용자가 페이스북 로그인 방식을 통하여 제3자 앱에 가입하여 이용하면 (친구의 별도의 동의 없이) 제공되는 친구의 정보는 원칙적으로 (친구 중 같은 제3자 앱을 사용하는 사람이 누구인지 파악하기 위하여) 친구의 ‘아이디’ 등에 한정되고, 친구가 자신의 ‘좋아요 설정 관련 정보’를 이용자를 포함한 페이스북 친구들만 볼 수 있도록 설정한 경우 제3자 앱은 친구가 아니라 “이용자”에게 그 정보의 공유를 허락해달라고 요청할 수 있다고 기재되어 있을 뿐, 친구가 이용자와 공유한 모든 개인정보가 제공될 수 있다는 취지나 그 과정에서 친구로부터 별도의 동의 내지 허락을 받는다는 취지의 내용은 발견할 수 없다. 다음으로 ② SRR에 의하면, ‘제3자 앱은 다른 사람들(예컨대 친구)이 이용자와 공유한 콘텐츠와 정보에 접근하고자 “이용자”의 허락을 요청할 수 있다’는 취지로만 기재되어 있어, 정보주체인 친구의 동의 내지 허락을 받지는 않는다는 점에 관하여는 전혀 언급이 없다. 따라서 친구로서는 이용자의 ‘허가하기(Allow)’ 선택에 따라 별도의 적법한 동의 내지 허락 절차를 거쳐 자신의 개인정보가 제3자 앱에 제공될 수도 있다는 점을 인식할 수 있었다고 볼 수는 있을지언정, 나아가 친구 자신의 아이디 이외에 바이오정보, 기념일, 가족관계, 종교 및 정치관 등의 프로필 내용과 온·오프라인 현황, 피트니스 관련 활동사항, 게임 관련 활동사항, 뉴스기사 관련 활동사항, 동영상 관련 활동사항, 위치정보, 좋아요 누른 페이지 등 페이스북을 사용하는 과정에서 자연스럽게 생성되는 개인정보까지 광범위하게 정보주체인 자신의 별도 동의 내지 허락 없이 제3자 앱에 제공될 수 있음을 인식하리라 기대하기는 어려워 보이므로, 이러한 개인정보들까지 제3자 앱에 제공되는 것이 친구의 동의가 있었다고 객관적으로 인정되는 범위 내에 있다고 볼 수는 없다.

다음으로 ③ ‘공개 범위 설정’ 화면(‘다른 사람들이 사용하는 앱’ 도구)과 ‘앱, 플러그인, 웹사이트 끔’ 화면의 경우, 이는 친구로 하여금 이용자가 제3자 앱에 가입하여 이용할 때 친구 자신의 개인정보가 제공되는 것을 제한할 수 있게 하는 도구이기는 하다. 그런데 먼저 ‘다른 사람들이 사용하는 앱’ 도구의 경우, 친구가 페이스북 서비스의 메인 화면에서 이에 접근하기 위해서는 여러 단계로 버튼을 순차적으로 클릭하여야 했고, 위 도구에서 일부 항목 외에는 대부분의 개인정보 항목이 원칙적으로 제3자 앱에 제공되는 것이 기본값으로 설정되어 있었으며(이는 정보주체인 페이스북 사용자의 동의 여부를 불문하고 그 개인정보를 처리하고 정보주체가 명백히 거부의사를 밝힌 경우에만 개인정보 처리를 중지하는 이른바 옵트아웃(Opt-out) 방식을 채택한 것으로, 개인정보를 제3자에 제공하려면 미리 정보주체로부터 동의를 받도록 한 이 사건 쟁점조항에 부합하지 않음을 지적하여 둔다), 그 화면에 기재된 ‘이 설정을 사용해서 앱 이용 시에 공유 가능한 정보를 관리하세요’라는 문구 자체의 의미도 친구에게 이 사건 정보이전 과정을 제한할 의사가 있는지 여부를 묻는 것인지 명확하지 않다. ‘앱, 플러그인, 웹사이트 끔’ 화면의 경우, 친구가 그 화면에서 ‘플랫폼 끄기’를 선택할 경우에는 친구 스스로도 페이스북 로그인 방식으로 다른 웹사이트나 앱을 이용하는 것 자체가 원천적으로 차단된다는 취지의 것을 포함하여 여러 가지 경고 메시지가 노출되었기 때문에 친구가 위 화면에서 ‘플랫폼 끄기’를 선택하기는 사실상 어려웠을 것으로 보인다.

그 밖에 원고가 친구를 포함한 페이스북 사용자들에게 제시한 각종 약관, 설정 및 안내 화면 등을 모두 살펴보더라도, 원고가 이용자들에게 제시한 데이터 정책, SRR, 고객센터(Help Center) 게시물, 프라이버시 투어(Privacy Tour), 공개범위확인 도구(Privacy Checkup Tools) 등은 이를 확인할 수 있는 경로가 제각기 다르고, 이용자들이 이들 안내사항에 접근하는 시점이나 제3자 앱에 로그인하여 ‘허가하기(Allow)’를 선택하는 시점과도 다를 수밖에 없으므로, 위 2014두2638 판결이 설시하는 바와 같이 법정 고지사항을 게재하는 부분과 이용자나 정보주체인 친구의 동의 여부를 표시할 수 있는 부분이 밀접하게 배치되었다고 볼 수 없는 점, 페이스북 서비스에서 해당 도구나 화면에 접근하는 것 자체가 용이하지 않은 점, 원고가 제시한 각 문구를 보더라도 친구가 과연 이 사건 정보이전 과정을 통한 개인정보의 포괄적인 제공 사실을 명확하게 알 수 있었다거나 설정 변경을 통하여 이를 제한할 수 있다는 취지라고 분명하게 이해할 수 있었을지 의문인 점 등에 비추어 보면, 친구가 이 사건 정보이전 과정을 충분히 미리 알고 이를 제한할 수 있었다고 보기는 어렵고, 특히 친구는 개인정보를 제공받는 자인 제3자 앱이 누구인지, 제3자 앱이 위 개인정보를 이용하는 목적, 제3자 앱의 개인정보 보유 및 이용 기간 등의 법정 고지사항에 관하여 전혀 인식할 수 없었던 것으로 보인다. 그렇다면 이 사건 정보이전 과정을 통해 제3자 앱에 친구의 개인정보가 제공된 것이 정보주체인 친구의 동의가 있었다고 객관적으로 인정되는 범위 내에서 이루어진 것이라고 보기는 어렵다고 판단된다.

[이 사건 행위에 관한 외국의 제재 사례를 살펴보더라도, ① 영국 ICO는 ‘친구는 제3자 앱에 의하여 자신의 개인정보가 수집된다는 사실을 알지 못했고, 동의를 요청받은 사실도 없다. 원고가 주장하는 방식에 의한 동의는 Directive 95/46/EC12) 제2조 (h)에 따른 ‘자유롭게 주어진, 특정된, 고지된’ 의사의 표시로 볼 수 없으며 따라서 유효한 동의라고 볼 수 없다’고 결정하였고, ② 이탈리아 GPDP는 ‘페이스북 로그인 기능을 통해 제3자 앱을 활성화한 이상 이용자에게 원고가 수집한 개인정보가 전부 전송되도록 하는 것 외에 다른 대안이 부여되지 않았으며 옵트아웃 방식을 통한 부분적인 변경만 가능하였는데 이 경우에도 전송에 동의하는 것이 기본값으로 설정되어 있었다는 점에서 개인정보 전송에 대한 동의가 명시적이고 구체적이고 자유롭게 표현된 것으로 간주할 수 없다’고 결정하였으며, ③ 미국 FTC의 동의의결 및 이 사건 소장에는 ‘Facebook은 친구의 개인정보에 접근하기 위해 제3자 앱 개발자가 친구에게 직접 권한을 요청하도록 요구하지 않았다. 대신 Facebook은 이용자가 부여한 권한만을 기반으로 친구 개인정보를 자동으로 보냈다’, ‘Facebook은 친구가 이용자와 개인정보를 공유하면 Facebook이 해당 개인정보를 제3자 앱 개발자와 공유할 수 있다는 사실을 친구에게 공개하지 않았다’, ‘Facebook은 친구가 설정 페이지에서 설정을 찾아 옵트아웃하지 않는 한 친구의 개인정보를 제3자 앱 개발자와 공유하는 기본 설정을 사용하여 친구를 오도하였다’고 기재되어 있는바, 그 공통된 취지는 원고가 제시한 각종 약관, 설정 및 안내 화면 등에도 불구하고 개인정보가 제3자 앱에 제공되는 것에 대하여 친구의 동의가 있었다고 추단하기 어렵다는 것이다.]

(4) 친구가 페이스북 서비스를 이용하면서 공유한 정보는 ‘전체 공개’의 경우에는 모든 페이스북 사용자들,13) ’친구만‘ 공개의 경우에는 페이스북 친구들 등 원칙적으로 한정된 사람을 공유의 대상으로 한다. 그리고 설령 원고의 주장과 같이 이 사건 정보이전 과정의 결과 원고가 Graph API V1을 개발․도입한 취지와 같이 이용자의 입장에서 친구와 연결하여 공유하는 경험을 다른 서비스(제3자 앱)로 가져갈 수 있는 긍정적인 효과가 발생한다고 하더라도, 이는 친구와는 직접적인 관련이 없다. 더군다나 제3자 앱은 원고로부터 제공받은 친구의 개인정보를 위 Graph API V1의 개발ㆍ도입 취지와 전혀 무관한 용도로 자의적으로 활용하였다[원고가 데이터 플랫폼 정책(갑 제21호증) 등을 통하여 ’제3자 앱은 위 개인정보를 앱을 이용하는 컨텍스트 내에서만 사용할 수 있고 다른 목적으로 이를 사용하고자 할 경우 확실한 사전 동의를 얻어야 한다‘고 명시하였다고 하더라도, 이는 오히려 제3자 앱이 원래 개인정보를 제공받은 목적 외로 이를 악용하는 것에 대한 원고의 예방적 조치들이 불충분했음을 뒷받침한다]. 따라서 친구와 친구관계인 이용자가 제3자 앱에 페이스북 로그인 방식으로 가입하여 이용할 때 친구 자신의 개인정보가 그 제3자 앱에 제공되는 것은 친구의 원래 공개 목적과 상당한 관련성이 있다고 보기 어려울 뿐만 아니라, 친구의 공개 의도 내지 목적에도 부합하지 않는다(따라서 원고의 주장과 달리 친구가 데이터 정책과 SRR에 동의하고 페이스북에 개인정보를 공유함으로써 이용자에 의한 정보의 재공유를 허용하는 방향으로 개인정보자기결정권을 행사하였다고 볼 수도 없다). 정보주체인 친구는 이 사건 정보이전 과정에 전혀 개입하지 않았고, 이를 충분히 인지할 수 있었다고 보기도 어려우며, 따라서 개인정보자기결정권을 적절하게 행사할 수 없었다.

(5) 다음과 같은 사정들에 비추어 보면, 제3자 앱이 친구 개인정보를 제공받음으로써 얻을 수 있는 이익이 그로 인해 침해되는 정보주체인 친구의 인격적 법익에 비하여 우월하다고 볼 수 없다.

(가) 설령 제3자 앱에 제공된 친구의 개인정보가 정보주체인 친구 스스로 페이스북 서비스를 통하여 이미 공개한 정보라고 하더라도(따라서 구 정보통신망법 제23조에서 말하는 ‘민감정보’에는 해당하지 않는다고 볼 여지가 있다고 하더라도), 앞서 본 바와 같이 (특히 ‘친구만’ 공개의 경우) 원칙적으로 한정된 사람을 공유의 대상으로 하고 있다는 점에서 일반인이 일반적으로 접근할 수 있도록 외부에 공개된 매체에 공개된 경우와는 그 성질을 달리한다. 나아가 위 개인정보에는 Graph API V1의 개발․도입 목적인 ‘이용자의 앱 내 경험 공유’와 관련이 있다고 보기는 어렵고 오히려 제3자 앱에 의하여 악용될 위험이 있거나 개인의 사생활을 침해할 수 있는 정보, 예컨대 친구의 바이오정보, 기념일, 위치정보, 가족관계, 관계선호도, 종교 및 정치관 등도 다수 포함되어 있었다.

(나) 로앤비 판결에서는 정보주체가 공립대학교 법학과 교수로서 공적인 존재이고 그 학력, 경력에 관한 정보는 공공성 있는 개인정보라는 점이 중요하게 고려되었는데, 이 사건에서는 정보주체인 친구가 공적인 존재라고 볼 근거가 없을 뿐만 아니라, 앞서 본 그 구체적인 내용에 비추어 볼 때 친구의 개인정보가 공공성과 공익성이 있다고 평가하기도 어렵다(따라서 그 개인정보를 수집할 수 있는 ‘알 권리’나 이를 기반으로 하는 정보수용자의 표현의 자유가 위 개인정보를 제공받는 행위로 보호받을 수 있는 법적 이익에 포함된다고 보기도 어렵다). 친구 스스로 유해하다고 생각하거나 친구와는 전혀 관련 없는 제3자 앱에 이용자가 가입함으로써 친구의 정보가 제공되는 경우를 상정해본다면, 원래 공개 목적과의 상당한 관련성을 인정할 수 없음은 물론이고 공공성 역시 인정할 수 없음이 더욱 명확하다. 즉, 친구의 개인정보가 친구 본인의 의사에 반하여서까지 제3자 앱에 제공되어야 할 공공성 있는 개인정보라고 볼 수 없다.

(다) 제3자 앱 중 이 사건에서 문제된 Life 앱과 Rankwave 앱만을 놓고 보더라도, 제공된 친구의 개인정보가 약 330만 명에 이를 정도로 방대하다. 제3자 앱은 원고의 정책에 반하여 영리 목적 등으로 위와 같이 제공받은 수많은 친구의 개인정보를 활용하였고, 친구는 이 사건 정보이전 과정 자체를 인식하지 못하여 이에 전혀 개입할 수 없었던바, 그로 인하여 친구의 인격권이 현저하게 침해되었다. 위와 같이 친구의 개인정보를 자의적으로 활용한 제3자 앱의 영리 목적 등이나 이용자, 제3자 앱이 ‘이용자의 앱 내 경험 공유’를 통하여 얻을 수 있는 편익 등이 친구의 인격적 법익보다 우월하다고 볼 수는 없다.

5) 소결론

원고의 이 사건 행위는 이 사건 쟁점조항의 적용 요건을 모두 충족하므로, 원고는 제3자 앱에 친구의 개인정보를 제공하려면 미리 친구에게 법정 고지사항을 알리고 동의를 받았어야 함에도 그러한 동의를 받지 않았고, 이 사건 정보이전 과정에 비추어 볼 때 별도의 동의를 받지 않더라도 친구의 동의가 있었다고 객관적으로 인정되는 범위 내에 해당한다고 보기도 어려우므로, 이 사건 처분사유는 인정된다. 따라서 원고의 이 부분 주장은 이유 없다.

(중략)

4. 결론

따라서 원고의 청구는 이유 없으므로 이를 기각하기로 하여 주문과 같이 판결한다.