34.

[사례분석] 페이스북 이용자 친구 개인정보를 제3자 앱에 제공한 메타 CA 스캔들 사건 3심 판결 해설 (대법원 판결문 포함)

• 새 탭 열기
• 작성 이력 보기

설령 제3자 앱에 제공된 개인정보가 친구 스스로 이미 공개한 개인정보라고 하더라도, 이를 두고 이 사건 쟁점조항에서 요구하는 필수적 법정 고지사항의 명확한 인식 내지 예상 가능성을 전제로 한 추정적 동의라고 평가할 수는 없으므로, 원고가 그 개인정보를 이 사건 정보이전 과정을 통해 제3자 앱에 제공한 행위는 정보주체인 친구의 별도의 동의를 받지 않더라도 친구의 동의가 있었다고 객관적으로 인정되는 범위 내에 해당한다고 보기 어렵다. 따라서 원고가 친구의 동의 없이 그 개인정보를 제3자 앱에 제공한 것은 친구의 개인정보자기결정권을 침해한 위법한 행위에 해당한다고 봄이 타당하다.

(1) 설령 원고의 주장과 같이 친구가 페이스북에 공유한 개인정보가 ‘이미 공개된’ 개인정보라고 볼 여지가 있다고 하더라도, 공개된 개인정보도 개인정보자기결정권에 의해 보호대상이 되고, 개인정보를 스스로 공개한 경우에도 해당 개인정보의 처리는 여전히 정보주체의 통제 하에 있어야 한다.

(2) 이 사건 쟁점조항에 의하면 개인정보를 제3자에 제공하려면 법정 고지사항(① 개인정보를 제공받는 자, ② 개인정보를 제공받는 자의 개인정보 이용 목적, ③ 제공하는 개인정보의 항목, ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간)을 이용자에게 알리고 그 동의를 받아야 하고, 정보통신서비스 제공자는 적법한 동의를 받기 위하여 미리 용이하게 법정 고지사항의 구체적 내용을 알아볼 수 있을 정도로 법정 고지사항 전부를 명확하게 게재하여야 한다. 따라서 이미 공개된 개인정보를 ‘정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서’ 제공한 것인지 여부를 판단할 때에도, 개인정보가 제3자에 제공될 당시 해당 정보주체가 개인정보가 제3자에 제공된다는 사실 자체뿐만 아니라 위 4가지의 법정 고지사항에 관하여 어느 정도 인식할 수 있었는지 여부도 충분히 고려하여 신중하게 판단하여야 한다.

(3) 원고는 페이스북 서비스의 데이터 정책, SRR, ‘공개 범위 설정’ 화면, ‘앱, 플러그인, 웹사이트 끔’ 화면 등에 의하여 친구에게 그 개인정보가 친구관계인 이용자를 통해 제3자 앱에 공개될 수 있음을 고지하였고, 친구는 설정 조정을 통하여 이용자에게 공유한 개인정보가 제3자 앱에 이전되는 것을 제한할 수도 있었다는 점을 근거로 친구의 동의가 있었다고 객관적으로 인정되는 범위 내에서 그 개인정보가 제3자 앱에 제공된 것이라고 주장한다.

살피건대, 먼저 ① 데이터 정책(‘기타 웹사이트 및 앱’ 항목 → ‘다른 웹사이트 및 앱’ 화면)에 의하면, 이용자가 페이스북 로그인 방식을 통하여 제3자 앱에 가입하여 이용하면 (친구의 별도의 동의 없이) 제공되는 친구의 정보는 원칙적으로 (친구 중 같은 제3자 앱을 사용하는 사람이 누구인지 파악하기 위하여) 친구의 ‘아이디’ 등에 한정되고, 친구가 자신의 ‘좋아요 설정 관련 정보’를 이용자를 포함한 페이스북 친구들만 볼 수 있도록 설정한 경우 제3자 앱은 친구가 아니라 “이용자”에게 그 정보의 공유를 허락해달라고 요청할 수 있다고 기재되어 있을 뿐, 친구가 이용자와 공유한 모든 개인정보가 제공될 수 있다는 취지나 그 과정에서 친구로부터 별도의 동의 내지 허락을 받는다는 취지의 내용은 발견할 수 없다. 다음으로 ② SRR에 의하면, ‘제3자 앱은 다른 사람들(예컨대 친구)이 이용자와 공유한 콘텐츠와 정보에 접근하고자 “이용자”의 허락을 요청할 수 있다’는 취지로만 기재되어 있어, 정보주체인 친구의 동의 내지 허락을 받지는 않는다는 점에 관하여는 전혀 언급이 없다. 따라서 친구로서는 이용자의 ‘허가하기(Allow)’ 선택에 따라 별도의 적법한 동의 내지 허락 절차를 거쳐 자신의 개인정보가 제3자 앱에 제공될 수도 있다는 점을 인식할 수 있었다고 볼 수는 있을지언정, 나아가 친구 자신의 아이디 이외에 바이오정보, 기념일, 가족관계, 종교 및 정치관 등의 프로필 내용과 온·오프라인 현황, 피트니스 관련 활동사항, 게임 관련 활동사항, 뉴스기사 관련 활동사항, 동영상 관련 활동사항, 위치정보, 좋아요 누른 페이지 등 페이스북을 사용하는 과정에서 자연스럽게 생성되는 개인정보까지 광범위하게 정보주체인 자신의 별도 동의 내지 허락 없이 제3자 앱에 제공될 수 있음을 인식하리라 기대하기는 어려워 보이므로, 이러한 개인정보들까지 제3자 앱에 제공되는 것이 친구의 동의가 있었다고 객관적으로 인정되는 범위 내에 있다고 볼 수는 없다.

다음으로 ③ ‘공개 범위 설정’ 화면(‘다른 사람들이 사용하는 앱’ 도구)과 ‘앱, 플러그인, 웹사이트 끔’ 화면의 경우, 이는 친구로 하여금 이용자가 제3자 앱에 가입하여 이용할 때 친구 자신의 개인정보가 제공되는 것을 제한할 수 있게 하는 도구이기는 하다. 그런데 먼저 ‘다른 사람들이 사용하는 앱’ 도구의 경우, 친구가 페이스북 서비스의 메인 화면에서 이에 접근하기 위해서는 여러 단계로 버튼을 순차적으로 클릭하여야 했고, 위 도구에서 일부 항목 외에는 대부분의 개인정보 항목이 원칙적으로 제3자 앱에 제공되는 것이 기본값으로 설정되어 있었으며(이는 정보주체인 페이스북 사용자의 동의 여부를 불문하고 그 개인정보를 처리하고 정보주체가 명백히 거부의사를 밝힌 경우에만 개인정보 처리를 중지하는 이른바 옵트아웃(Opt-out) 방식을 채택한 것으로, 개인정보를 제3자에 제공하려면 미리 정보주체로부터 동의를 받도록 한 이 사건 쟁점조항에 부합하지 않음을 지적하여 둔다), 그 화면에 기재된 ‘이 설정을 사용해서 앱 이용 시에 공유 가능한 정보를 관리하세요’라는 문구 자체의 의미도 친구에게 이 사건 정보이전 과정을 제한할 의사가 있는지 여부를 묻는 것인지 명확하지 않다. ‘앱, 플러그인, 웹사이트 끔’ 화면의 경우, 친구가 그 화면에서 ‘플랫폼 끄기’를 선택할 경우에는 친구 스스로도 페이스북 로그인 방식으로 다른 웹사이트나 앱을 이용하는 것 자체가 원천적으로 차단된다는 취지의 것을 포함하여 여러 가지 경고 메시지가 노출되었기 때문에 친구가 위 화면에서 ‘플랫폼 끄기’를 선택하기는 사실상 어려웠을 것으로 보인다.

그 밖에 원고가 친구를 포함한 페이스북 사용자들에게 제시한 각종 약관, 설정 및 안내 화면 등을 모두 살펴보더라도, 원고가 이용자들에게 제시한 데이터 정책, SRR, 고객센터(Help Center) 게시물, 프라이버시 투어(Privacy Tour), 공개범위확인 도구(Privacy Checkup Tools) 등은 이를 확인할 수 있는 경로가 제각기 다르고, 이용자들이 이들 안내사항에 접근하는 시점이나 제3자 앱에 로그인하여 ‘허가하기(Allow)’를 선택하는 시점과도 다를 수밖에 없으므로, 위 2014두2638 판결이 설시하는 바와 같이 법정 고지사항을 게재하는 부분과 이용자나 정보주체인 친구의 동의 여부를 표시할 수 있는 부분이 밀접하게 배치되었다고 볼 수 없는 점, 페이스북 서비스에서 해당 도구나 화면에 접근하는 것 자체가 용이하지 않은 점, 원고가 제시한 각 문구를 보더라도 친구가 과연 이 사건 정보이전 과정을 통한 개인정보의 포괄적인 제공 사실을 명확하게 알 수 있었다거나 설정 변경을 통하여 이를 제한할 수 있다는 취지라고 분명하게 이해할 수 있었을지 의문인 점 등에 비추어 보면, 친구가 이 사건 정보이전 과정을 충분히 미리 알고 이를 제한할 수 있었다고 보기는 어렵고, 특히 친구는 개인정보를 제공받는 자인 제3자 앱이 누구인지, 제3자 앱이 위 개인정보를 이용하는 목적, 제3자 앱의 개인정보 보유 및 이용 기간 등의 법정 고지사항에 관하여 전혀 인식할 수 없었던 것으로 보인다. 그렇다면 이 사건 정보이전 과정을 통해 제3자 앱에 친구의 개인정보가 제공된 것이 정보주체인 친구의 동의가 있었다고 객관적으로 인정되는 범위 내에서 이루어진 것이라고 보기는 어렵다고 판단된다.

[이 사건 행위에 관한 외국의 제재 사례를 살펴보더라도, ① 영국 ICO는 ‘친구는 제3자 앱에 의하여 자신의 개인정보가 수집된다는 사실을 알지 못했고, 동의를 요청받은 사실도 없다. 원고가 주장하는 방식에 의한 동의는 Directive 95/46/EC12) 제2조 (h)에 따른 ‘자유롭게 주어진, 특정된, 고지된’ 의사의 표시로 볼 수 없으며 따라서 유효한 동의라고 볼 수 없다’고 결정하였고, ② 이탈리아 GPDP는 ‘페이스북 로그인 기능을 통해 제3자 앱을 활성화한 이상 이용자에게 원고가 수집한 개인정보가 전부 전송되도록 하는 것 외에 다른 대안이 부여되지 않았으며 옵트아웃 방식을 통한 부분적인 변경만 가능하였는데 이 경우에도 전송에 동의하는 것이 기본값으로 설정되어 있었다는 점에서 개인정보 전송에 대한 동의가 명시적이고 구체적이고 자유롭게 표현된 것으로 간주할 수 없다’고 결정하였으며, ③ 미국 FTC의 동의의결 및 이 사건 소장에는 ‘Facebook은 친구의 개인정보에 접근하기 위해 제3자 앱 개발자가 친구에게 직접 권한을 요청하도록 요구하지 않았다. 대신 Facebook은 이용자가 부여한 권한만을 기반으로 친구 개인정보를 자동으로 보냈다’, ‘Facebook은 친구가 이용자와 개인정보를 공유하면 Facebook이 해당 개인정보를 제3자 앱 개발자와 공유할 수 있다는 사실을 친구에게 공개하지 않았다’, ‘Facebook은 친구가 설정 페이지에서 설정을 찾아 옵트아웃하지 않는 한 친구의 개인정보를 제3자 앱 개발자와 공유하는 기본 설정을 사용하여 친구를 오도하였다’고 기재되어 있는바, 그 공통된 취지는 원고가 제시한 각종 약관, 설정 및 안내 화면 등에도 불구하고 개인정보가 제3자 앱에 제공되는 것에 대하여 친구의 동의가 있었다고 추단하기 어렵다는 것이다.]

(4) 친구가 페이스북 서비스를 이용하면서 공유한 정보는 ‘전체 공개’의 경우에는 모든 페이스북 사용자들,13) ’친구만‘ 공개의 경우에는 페이스북 친구들 등 원칙적으로 한정된 사람을 공유의 대상으로 한다. 그리고 설령 원고의 주장과 같이 이 사건 정보이전 과정의 결과 원고가 Graph API V1을 개발․도입한 취지와 같이 이용자의 입장에서 친구와 연결하여 공유하는 경험을 다른 서비스(제3자 앱)로 가져갈 수 있는 긍정적인 효과가 발생한다고 하더라도, 이는 친구와는 직접적인 관련이 없다. 더군다나 제3자 앱은 원고로부터 제공받은 친구의 개인정보를 위 Graph API V1의 개발ㆍ도입 취지와 전혀 무관한 용도로 자의적으로 활용하였다[원고가 데이터 플랫폼 정책(갑 제21호증) 등을 통하여 ’제3자 앱은 위 개인정보를 앱을 이용하는 컨텍스트 내에서만 사용할 수 있고 다른 목적으로 이를 사용하고자 할 경우 확실한 사전 동의를 얻어야 한다‘고 명시하였다고 하더라도, 이는 오히려 제3자 앱이 원래 개인정보를 제공받은 목적 외로 이를 악용하는 것에 대한 원고의 예방적 조치들이 불충분했음을 뒷받침한다]. 따라서 친구와 친구관계인 이용자가 제3자 앱에 페이스북 로그인 방식으로 가입하여 이용할 때 친구 자신의 개인정보가 그 제3자 앱에 제공되는 것은 친구의 원래 공개 목적과 상당한 관련성이 있다고 보기 어려울 뿐만 아니라, 친구의 공개 의도 내지 목적에도 부합하지 않는다(따라서 원고의 주장과 달리 친구가 데이터 정책과 SRR에 동의하고 페이스북에 개인정보를 공유함으로써 이용자에 의한 정보의 재공유를 허용하는 방향으로 개인정보자기결정권을 행사하였다고 볼 수도 없다). 정보주체인 친구는 이 사건 정보이전 과정에 전혀 개입하지 않았고, 이를 충분히 인지할 수 있었다고 보기도 어려우며, 따라서 개인정보자기결정권을 적절하게 행사할 수 없었다.

(5) 다음과 같은 사정들에 비추어 보면, 제3자 앱이 친구 개인정보를 제공받음으로써 얻을 수 있는 이익이 그로 인해 침해되는 정보주체인 친구의 인격적 법익에 비하여 우월하다고 볼 수 없다.

(가) 설령 제3자 앱에 제공된 친구의 개인정보가 정보주체인 친구 스스로 페이스북 서비스를 통하여 이미 공개한 정보라고 하더라도(따라서 구 정보통신망법 제23조에서 말하는 ‘민감정보’에는 해당하지 않는다고 볼 여지가 있다고 하더라도), 앞서 본 바와 같이 (특히 ‘친구만’ 공개의 경우) 원칙적으로 한정된 사람을 공유의 대상으로 하고 있다는 점에서 일반인이 일반적으로 접근할 수 있도록 외부에 공개된 매체에 공개된 경우와는 그 성질을 달리한다. 나아가 위 개인정보에는 Graph API V1의 개발․도입 목적인 ‘이용자의 앱 내 경험 공유’와 관련이 있다고 보기는 어렵고 오히려 제3자 앱에 의하여 악용될 위험이 있거나 개인의 사생활을 침해할 수 있는 정보, 예컨대 친구의 바이오정보, 기념일, 위치정보, 가족관계, 관계선호도, 종교 및 정치관 등도 다수 포함되어 있었다.

(나) 로앤비 판결에서는 정보주체가 공립대학교 법학과 교수로서 공적인 존재이고 그 학력, 경력에 관한 정보는 공공성 있는 개인정보라는 점이 중요하게 고려되었는데, 이 사건에서는 정보주체인 친구가 공적인 존재라고 볼 근거가 없을 뿐만 아니라, 앞서 본 그 구체적인 내용에 비추어 볼 때 친구의 개인정보가 공공성과 공익성이 있다고 평가하기도 어렵다(따라서 그 개인정보를 수집할 수 있는 ‘알 권리’나 이를 기반으로 하는 정보수용자의 표현의 자유가 위 개인정보를 제공받는 행위로 보호받을 수 있는 법적 이익에 포함된다고 보기도 어렵다). 친구 스스로 유해하다고 생각하거나 친구와는 전혀 관련 없는 제3자 앱에 이용자가 가입함으로써 친구의 정보가 제공되는 경우를 상정해본다면, 원래 공개 목적과의 상당한 관련성을 인정할 수 없음은 물론이고 공공성 역시 인정할 수 없음이 더욱 명확하다. 즉, 친구의 개인정보가 친구 본인의 의사에 반하여서까지 제3자 앱에 제공되어야 할 공공성 있는 개인정보라고 볼 수 없다.

(다) 제3자 앱 중 이 사건에서 문제된 Life 앱과 Rankwave 앱만을 놓고 보더라도, 제공된 친구의 개인정보가 약 330만 명에 이를 정도로 방대하다. 제3자 앱은 원고의 정책에 반하여 영리 목적 등으로 위와 같이 제공받은 수많은 친구의 개인정보를 활용하였고, 친구는 이 사건 정보이전 과정 자체를 인식하지 못하여 이에 전혀 개입할 수 없었던바, 그로 인하여 친구의 인격권이 현저하게 침해되었다. 위와 같이 친구의 개인정보를 자의적으로 활용한 제3자 앱의 영리 목적 등이나 이용자, 제3자 앱이 ‘이용자의 앱 내 경험 공유’를 통하여 얻을 수 있는 편익 등이 친구의 인격적 법익보다 우월하다고 볼 수는 없다.

1. 원고에 대하여 다음과 같이 시정조치를 명한다.

가. 이용자의 개인정보를 제3자에게 제공하려면 개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간을 이용자에게 알리고 동의를 받아야 한다.

나. 제3자 앱에 제공된 개인정보를 삭제하는 방안을 피고와 협의하여 이행하여야 한다.

다. 위 가., 나.의 시정명령에 따른 시정조치를 이행하고, 시정조치 명령 처분 통지를 받은 날로부터 60일 이내에 이행결과를 피고에 제출하여야 한다.

이에 대하여 원고는 관련 매출액은 이 사건 행위로 직접 또는 간접적으로 영향을 받은 서비스, 즉 페이스북 로그인 서비스의 매출액으로 한정되어야 한다고 주장한다.

살피건대, 이 사건 행위를 통해 제3자 앱에 제공된 개인정보는 페이스북 사용자들의 정보가 담긴 데이터베이스에서 유출된 것으로서, 그 개인정보는 페이스북 서비스의 전체적인 운영을 위해 수집ㆍ관리되는 정보이다. 그렇다면 앞서 본 법리에 비추어 보면, 원고에 대한 과징금을 산정하기 위한 관련 매출액도 해당 개인정보 데이터베이스를 보유․관리하는 서비스인 페이스북 서비스 전체의 매출액으로 보아야 한다. 즉 이 사건 정보이전 과정은 원고가 페이스북 사용자(이용자)에게 제공한 페이스북 로그인 서비스를 통하여 이루어지기는 하였으나, 그 과정을 통하여 제3자 앱에 제공된 친구 개인정보를 보유ㆍ관리하는 것은 페이스북 서비스 전체이므로, 위반행위로 인하여 영향을 받는 범위가 페이스북 로그인 서비스로 한정된다고 볼 수 없다. 나아가 앞서 본 바와 같이 원고의 매출은 주로 페이스북 사용자들이 페이스북 서비스를 통하여 공유한 개인정보를 이용하여 광고주들로부터 대가를 수령하고 맞춤형 광고를 보게 함으로써 발생하는 이상,20) 페이스북 서비스 자체가 사용자들에게 무료로 제공된다는 사실은 매출액 산정과는 별다른 관련이 없다. 따라서 원고의 이 부분 주장도 이유 없다.

*각주 20번: 원고가 페이스북 사용자들에게 제시한 페이스북 회원 서비스 약관(을가 제13증)에는 '저희는 회원님에게 Facebook 또는 기타 본 약관이 적용되는 제품 및 서비스의 사용료를 청구하지 않습니다. 그 대신, 비즈니스와 단체 및 다른 사람이 저희에게 그들의 제품 및 서비스 광고를 회원님에게 보여드리도록 비용을 지불합니다. 저희 제품을 이용함으로써 회원님은 저희가 회원님 및 회원님의 관심사와 관련 있을 수 있다고 생각하는 광고를 보여주는 것에 동의하게 됩니다. 저희는 회원님의 개인정보를 이용하여 회원님에게 보여드릴 맞춤형 광고를 결정합니다'라고 기재되어 있다.