32.

[사례분석] 페이스북 이용자 친구들의 개인정보를 제3자 앱에 제공한 페이스북 CA 스캔들 사건(관련 행정법원 판결 해설)

• 새 탭 열기
• 작성 이력 보기

서울행정법원은 2023. 10. 26. 페이스북 CA(케임브리지 애널리티카) 스캔들과 관련하여 개인정보보호위원회가 메타에게 시정명령 및 과징금 부과처분을 한 것에 대해 메타(원고)의 취소청구를 기각하였다(서울행정법원 2023. 10. 26. 선고 2021구합57117 판결). 

CA 스캔들과 관련해서는 전 세계적으로 여러 처분과 소송이 이어졌는데, 위 서울행정법원의 판결은 합의 등이 아니라 법원의 판결로써 명시적으로 메타의 개인정보 제3자 제공 행위의 위법성이 확인된 사례라는 점에서 특히 의미가 있다. 또한 이번 판결에서는 공개된 개인정보의 활용에 대한 구체적인 기준을 제시하는 등 다양한 쟁점이 다루어졌기에, 이를 살펴볼 필요가 있다.

[사실관계]

판결로써 인정된 사실관계 중 주요 부분을 요약하면 아래와 같다.

- 1단계: 메타는 제3자 앱들이 페이스북 사용자들의 개인정보를 제공받을 수 있도록 프로그램 간의 상호작용을 돕는 인터페이스인 Graph API V1을 개발하여 도입하였음

- 2단계: 제3자 앱은 원고에게 개발자 등록을 하고 Graph API V1을 사용하여 앱을 개발하며, 이후 원고가 제공하는 개발자 툴을 이용하여 원고로부터 받을 개인정보 항목을 선택하는데, 이때 이용자(제3자 앱에 ‘페이스북 로그인’ 방식으로 회원가입하고자 하는 자) 뿐만 아니라 그 이용자의 페이스북 친구들(이하 ‘이용자친구’)의 개인정보도 제공받을 정보로 선택할 수 있도록 함

- 3단계: 이용자(페이스북 회원)가 제3자 앱에 페이스북 로그인 방식으로 회원가입하겠다고 선택함

- 4단계: 이용자가 가입을 요청하면 메타가 제작한 허가 요청 화면이 제시되는데, 이 화면에는 ‘내 친구들의 정보에 접근’이라는 내용이 포함되어 있고 이용자는 이를 변경할 수 없음

- 5단계: 이용자가 ‘허가하기’를 선택하면 페이스북 로그인 방식으로 제3자 앱을 이용할 수 있고, ‘허가 안함’을 선택하면 페이스북 로그인 방식으로 제3자 앱을 이용할 수 없음

- 6단계: 메타는 서버에 저장된 이용자 및 이용자친구의 개인정보 중 제3자 앱이 위 2단계에서 선택한 것을 제3자 앱에 제공함

- 메타는 위와 같은 방식으로 이용자친구의 개인정보가 제3자 앱에 제공되는 것과 관련하여, 이용자친구에게 ‘개인정보를 제공받는 자, 제공받는 자의 개인정보 이용 목적, 제공되는 개인정보의 항목, 제공받는 자의 개인정보 보유 및 이용기간’(법정 고지사항)을 표시하여 안내하거나 동의를 요청한 사실이 없음

[메타가 개인정보 제3자 제공 동의에 대한 규정을 적용받는지 여부에 대한 판단]

이 사건에서 메타는, 위와 같은 제3자 앱으로의 개인정보 이전은 마치 트윗 공유나 이메일 포워딩 또는 애플의 공유앨범 기능 등과 같이 이용자의 주도적 행위로써 친구들 정보가 제3자에게 이전되는 것이므로, 메타가 개인정보 제3자 제공의 주체로써 제3자 제공시 법정 고지사항을 고지하고 동의받을 의무에 대한 규정(구 정보통신망법 제24조의2 제1항, 이하 ‘이 사건 쟁점조항’)을 적용받는 게 아니라고 주장했다.

그러나 법원은 이에 대해 “이 사건 쟁점조항의 적용대상인 ‘개인정보의 제3자 제공’ 행위를 다른 주체(이용자 등)의 행동이 전혀 개입되지 않은 채 정보통신서비스 제공자가 단독으로 제3자에 개인정보를 제공하는 경우로 한정하여 해석할 근거도 부족하다.”고 하였다.

또한 “원고의 주장과 같이 정보통신서비스 제공자가 이 사건 쟁점조항의 주체가 될 수 있는 경우를 ‘개인정보 제공을 주도하는 경우’로 엄격하게 해석하더라도, 원고는 여전히 이 사건 쟁점조항의 주체라고 봄이 타당하다.”고도 하였으며, 특히 메타가 주장한 위 타 서비스들과 이 사건은 사실관계에 차이가 있다는 점을 명확히 언급하였다.

메타는 관련하여 이용자친구의 개인정보는 곧 이용자의 개인정보라거나, 이용자친구가 이용자에게 개인정보의 이전 권한을 부여하였다는 전제 하에, 이용자가 개인정보 이동권(Right to data portability)을 행사하여 이용자친구의 개인정보를 제3자 앱에 이전한 것이라는 주장도 하였으나, 법원은 ‘개인정보 이동권’이 법령에 도입되어 구체화되지 않은 이상 그러한 권리의 행사로 평가할 수 없다고 하였다.

또한 이용자친구의 개인정보에는 이용자와 관련없는 독자적인 정보도 다수 포함되어 있다는 점과 ‘정보주체’의 법적 개념을 고려하여, 이용자친구의 개인정보를 이용자의 개인정보로 볼 수 없고, “설령 친구가 페이스북에 자신의 정보를 이용자 등이 볼 수 있도록 자발적으로 공유한 것이라고 하더라도, 이는 기본적으로 자신의 정보에 대한 제한적 공유 내지 전전(轉傳) 공유 정도를 의도한 것일 뿐 정보의 포괄적 처분 권한을 부여한 것이 아니고, 친구가 공개 범위를 ‘전체 공개’로 설정한 경우뿐만 아니라 ‘친구만’으로 설정한 경우에도 그 정보가 제3자 앱에 제공된 이상, 친구가 페이스북 서비스에 가입하는 단계 등에서 이용자에게 개인정보의 이전 권한을 부여하였다고 볼 수도 없다.”고 하였다.

[이용자친구의 개인정보는 페이스북(SNS)에 공개된 개인정보임에도 불구하고 이를 제3자 제공시 이용자친구의 동의가 필요한지 여부에 대한 판단 – 로앤비 판결의 체계적 적용]

이 사건에서 메타는 제3자 앱에 제공된 이용자친구의 개인정보가 페이스북 내에 공개된 개인정보이므로 과거 로앤비 판결(대법원 2016. 8. 17. 선고 2014다235080 판결)이 제시한 ‘공개된 개인정보’의 처리에 대한 기준을 적용해야 하고, 이에 따라 이용자친구의 별도 동의 없이 제3자 앱에 제공할 수 있다고 주장했다.

관련하여 법원은 아래 로앤비 판결과 최근 대법원 판시를 함께 참조하였다.

또한 위 로앤비 판결에서 대법원은 위 판시 부분만 판단기준으로 설시한 것이 아니라, “정보주체가 공적인 존재인지, 개인정보의 공공성과 공익성, 원래 공개한 대상 범위, 개인정보 처리의 목적·절차·이용형태의 상당성과 필요성, 개인정보 처리로 인하여 침해될 수 있는 이익의 성질과 내용 등 여러 사정을 종합적으로 고려하여, 개인정보에 관한 인격권 보호에 의하여 얻을 수 있는 이익과 그 정보처리 행위로 인하여 얻을 수 있는 이익 즉 정보처리자의 ‘알 권리’와 이를 기반으로 한 정보수용자의 ‘알 권리’ 및 표현의 자유, 정보처리자의 영업의 자유, 사회 전체의 경제적 효율성 등의 가치를 구체적으로 비교 형량하여 어느 쪽 이익이 더 우월한 것으로 평가할 수 있는지에 따라 그 정보처리 행위의 최종적인 위법성 여부를 판단”하라고 하여 이익형량에 따른 판단기준도 함께 설시했는데, 이번 사건에서 행정법원은 대법원의 위와 같은 판단기준 부분도 함께 참조하면서, ‘공개된 개인정보’의 활용 가능 범위를 판단함에 있어 그 개인정보의 공공성에 대해서 명시적으로 고려하였다.

특히 이번 사건에서 주목할 부분은, 법원이, ‘정보주체의 동의가 있었다고 객관적으로 인정되는 범위’를 판단함에 있어서 본래 동의를 구할 때 고지되는 4가지 법정 고지사항을 적극적으로 고려하였다는 점이다. 이는 대법원의 로앤비 판결이 제시한 판단기준을 보다 체계화한 것으로 볼 수 있는바, 그 이유는 아래와 같다.

개인정보자기결정권의 헌법적 정의는 “자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리”이고, 4가지 법정 고지사항은 바로 이를 구체화하여 정보주체의 결정 내용을 체계화한 것이다. 그런데 공개된 개인정보와 관련하여 로앤비 판결에서 대법원은 “공개된 개인정보의 성격, 공개의 형태와 대상 범위, 그로부터 추단되는 정보주체의 공개 의도 내지 목적”을 먼저 검토하도록 하고 “정보처리자의 정보제공 등 처리의 형태와 그 정보제공으로 인하여 공개의 대상 범위가 원래의 것과 달라졌는지, 그 정보제공이 정보주체의 원래의 공개 목적과 상당한 관련성이 있는지”를 검토하도록 하였다. 그리고 이러한 검토사항 중 전단은, 4가지 법정 고지사항 즉 정보주체의 결정 내용을 추단하는 작업으로 볼 수 있으며, 후단은 자세히 보면 결국, 정보처리자의 실제 처리 과정에서 그러한 추단된 결정 내용이 유지되고 있는지를 확인하라는 취지로 해석된다.

 즉 대법원은 로앤비 판결에서 공개된 개인정보에 대해 무분별한 2차 사용을 허락한 것이 아니라, 정보주체가 이미 ‘동의’한 것이나 다름 없다고 ‘객관적으로’ 인정되는 범위를 먼저 판단하게 하였는데, 여기서 ‘동의’라는 것은 당연히 개인정보자기결정권의 행사 결과값일 것이고, 개인정보자기결정권의 행사 결과인 ‘결정 내용’을 객관화하고 체계화한 것이 4가지 법정 고지사항이니, ‘동의가 있었다고 객관적으로 인정되는 범위’를 추단함에 있어서 4가지 법정 고지사항에 상응하는 정보주체의 인식 가능성은 당연히 필요하다.

그리고 이번 행정법원 판결은 로앤비 판결을 적용함에 있어 “해당 정보주체가 개인정보가 제3자에 제공된다는 사실 자체뿐만 아니라 위 4가지의 법정 고지사항에 관하여 어느 정도 인식할 수 있었는지 여부도 충분히 고려하여 신중하게 판단하여야 한다”고 판시하였는바, 위와 같은 로앤비 판결의 법원리를 보다 체계화하여 적용하였다고 볼 수 있는 것이다(아래 판시 참조).

이는 동시에 “정보주체의 동의가 없는 개인정보의 제3자 제공은 예외적으로만 인정되어야 하므로 그 요건 또한 가급적 엄격히 해석”하라는 최신 대법원 판결도 충분히 반영한 것으로 보인다.

그 결과 법원은 제3자 앱에 제공된 개인정보가 이용자친구 스스로 이미 공개한 개인정보라고 하더라도, 이를 두고 이 사건 쟁점조항이 요구하는 필수적 법정 고지사항의 명확한 인식 내지 예상 가능성을 전제로 한 추정적 동의라고 평가할 수는 없으므로, 원고가 그 개인정보를 이 사건 정보이전 과정을 통해 제3자 앱에 제공한 행위는 정보주체인 이용자친구의 별도의 동의를 받지 않더라도 이용자친구의 동의가 있었다고 객관적으로 인정되는 범위 내에 해당한다고 보기 어렵고, 따라서 동의 없이 제3자 앱에 제공한 것은 위법하다고 판단하였다.

[과징금 산정 – 위메프 사건 대법원 판결 적용]

한편 메타는 이 사건에서 관련 매출액을 페이스북 로그인 서비스의 매출액으로 한정하여야 한다고 주장하였으나, 법원은 위메프 사건 대법원 판결(대법원 2023. 10. 12. 선고 2022두68923 판결)을 인용하면서, “위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 범위는 제3자에 제공된 개인정보를 보유∙관리하고 있는 서비스의 범위를 기준으로 판단하여야 한다”고 보아, “원고에 대한 과징금을 산정하기 위한 관련 매출액도 해당 개인정보 데이터베이스를 보유∙관리하는 서비스인 페이스북 서비스 전체의 매출액으로 보아야 한다”고 판시하였다(대한민국 이용자 비율 기준).