[1] 방송통신위원회 고시인 구 개인정보의 기술적ㆍ관리적 보호조치 기준 제4조 제5항의 ‘개인정보처리시스템’의 의미 및 개인정보처리시스템에 데이터베이스(DB)와 연동되어 개인정보의 처리 과정에 관여하는 응용프로그램 등이 포함되는지 여부(적극)

[2] 방송통신위원회 고시인 구 개인정보의 기술적ㆍ관리적 보호조치 기준 제4조 제9항이 내부적인 부주의로 개인정보가 외부로 유출되는 사고뿐 아니라 외부로부터의 불법적인 접근에 따른 개인정보 유출 방지를 위한 조치의무까지 포함하는지 여부(적극)

[1] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2018. 9. 18. 법률 제15751호로 개정되기 전의 것) 제28조 제1항 제2호 , 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것, 이하 ‘구 정보통신망법 시행령’이라 한다) 제15조 제2항 등 관련 규정의 체계와 입법 목적 및 구 정보통신망법 시행령 제15조 제2항 제1호 와 구 개인정보의 기술적ㆍ관리적 보호조치 기준(2020. 1. 2. 방송통신위원회 고시 제2019-13호로 개정되기 전의 것, 이하 ‘보호조치 기준’이라 한다) 제2조 제4호에서 모두 ‘개인정보처리시스템’을 ‘개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템’으로 정의하고 있는 점 등에 비추어 볼 때, 위 보호조치 기준 제4조 제5항의 ‘개인정보처리시스템’은 개인정보의 생성, 기록, 저장, 검색, 이용과정 등 데이터베이스시스템(DBS) 전체를 의미하는 것으로, 데이터베이스(DB)와 연동되어 개인정보의 처리 과정에 관여하는 응용프로그램 등을 포함한다.

[2] 구 개인정보의 기술적ㆍ관리적 보호조치 기준(2020. 1. 2. 방송통신위원회 고시 제2019-13호로 개정되기 전의 것, 이하 ‘보호조치 기준’이라 한다) 제4조 제9항은 “정보통신서비스 제공자 등은 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.”라고 규정하고 있다. 위 보호조치 기준을 마련하도록 위임한 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2018. 9. 18. 법률 제15751호로 개정되기 전의 것) 제28조 제1항 제2호 와 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것) 제15조 제2항 제2호 가 모두 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치ㆍ운영에 관하여 규정하고 있는 점 등에 비추어 보면, 위 보호조치 기준 제4조 제9항은 정보통신서비스 제공자 등의 내부적인 부주의로 개인정보가 외부로 유출되는 사고뿐만 아니라 정보통신서비스 제공자 등이 기술적 보호조치를 충분히 다하지 못하여 해킹과 같이 외부로부터의 불법적인 접근에 의해 개인정보가 외부로 유출되는 사고도 방지하려는 것으로 보아야 한다.

[1] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2018. 9. 18. 법률 제15751호로 개정되기 전의 것) 제28조 제1항 제2호 , 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것) 제15조 제2항 , 제6항 [2] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2018. 9. 18. 법률 제15751호로 개정되기 전의 것) 제28조 제1항 제2호 , 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것) 제15조 제2항 제2호

[1][2] 대법원 2021. 8. 19. 선고 2018두56404 판결 (공2021하, 1724)

주식회사 이스트소프트 (소송대리인 법무법인(유한) 세종 담당변호사 김용호 외 4인)

개인정보 보호위원회(경정 전 피고: 방송통신위원회) (소송대리인 법무법인 인 담당변호사 권창범 외 1인)

서울고법 2020. 11. 4. 선고 2019누43964 판결

상고를 모두 기각한다. 상고비용 중 원고의 상고로 인한 부분은 원고가, 피고의 상고로 인한 부분은 피고가 각각 부담한다.

상고이유를 판단한다.

1. 원고의 상고이유에 대하여

가. 상고이유 제1점에 대한 판단

구「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(2018. 9. 18. 법률 제15751호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라고 한다) 제28조 제1항 제2호 , 구「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」(2020. 8. 4. 대통령령 제30894호로 개정되기 전의 것, 이하 ‘구 정보통신망법 시행령’이라고 한다) 제15조 제2항 등 관련 규정의 체계와 입법 목적 및 구 정보통신망법 시행령 제15조 제2항 제1호 와 구「개인정보의 기술적ㆍ관리적 보호조치 기준」(2020. 1. 2. 방송통신위원회 고시 제2019-13호로 개정되기 전의 것, 이하 ‘이 사건 보호조치 기준’이라고 한다) 제2조 제4호에서 모두 ‘개인정보처리시스템’을 ‘개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템’으로 정의하고 있는 점 등에 비추어 볼 때, 이 사건 보호조치 기준 제4조 제5항의 ‘개인정보처리시스템’은 개인정보의 생성, 기록, 저장, 검색, 이용과정 등 데이터베이스시스템(DBS) 전체를 의미하는 것으로, 데이터베이스(DB)와 연동되어 개인정보의 처리 과정에 관여하는 응용프로그램 등을 포함한다고 봄이 타당하다 .

원심은, 원고가 이용자에게 제공한 응용프로그램인 알툴즈(알툴바)가 이용자의 개인정보가 저장된 데이터베이스(DB)와 연결되어 있어 정당한 권한을 가진 이용자가 위 응용프로그램에 접근하는 경우에 이용자의 개인정보를 데이터베이스(DB)에서 불러와 조회할 수 있으므로, 위 응용프로그램이 이 사건 보호조치 기준 제4조 제5항의 ‘개인정보처리시스템’에 해당한다고 판단하였다. 이와 같은 원심의 판단은 앞서 본 법리에 따른 것으로서 정당하고, 거기에 상고이유 주장과 같이 이 사건 보호조치 기준상 ‘개인정보처리시스템’의 개념에 관한 법리를 오해하여 판결에 영향을 미친 잘못이 없다.

나. 상고이유 제2점에 대한 판단

원심은 그 판시와 같은 이유로, 원고가 알툴즈(알툴바) 프로그램을 이용자에게 제공하면서 정보통신서비스 제공자 등으로 하여금 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 인가받지 않은 접근을 제한하고 불법적인 개인정보 유출 시도를 탐지하는 기능을 포함한 시스템을 운영하도록 한 이 사건 보호조치 기준 제4조 제5항에 따른 의무를 소홀히 하였다고 판단하였다.

원심판결 이유를 기록에 비추어 살펴보면, 원심의 위와 같은 판단은 관련 법리에 따른 것으로서 정당하다. 거기에 상고이유 주장과 같이 이 사건 보호조치 기준상 침입차단ㆍ탐지시스템 설치ㆍ운영의무에 관한 법리를 오해하여 판결에 영향을 미친 잘못이 없다.

다. 상고이유 제3점에 대한 판단

이 사건 보호조치 기준 제4조 제9항은 “정보통신서비스 제공자 등은 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.”라고 규정하고 있다. 이 사건 보호조치 기준을 마련하도록 위임한 구 정보통신망법 제28조 제1항 제2호 와 구 정보통신망법 시행령 제15조 제2항 제2호 가 모두 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치ㆍ운영에 관하여 규정하고 있는 점 등에 비추어 보면, 이 사건 보호조치 기준 제4조 제9항은 정보통신서비스 제공자 등의 내부적인 부주의로 인하여 개인정보가 외부로 유출되는 사고뿐만 아니라 정보통신서비스 제공자 등이 기술적 보호조치를 충분히 다하지 못하여 해킹과 같이 외부로부터의 불법적인 접근에 의해 개인정보가 외부로 유출되는 사고도 방지하려는 것으로 보아야 한다 ( 대법원 2021. 8. 19. 선고 2018두56404 판결 참조).

‘이 사건 보호조치 기준 제4조 제9항을 내부적인 부주의로 인한 개인정보의 노출방지만을 위한 규정으로 한정하여 해석할 수 없고 외부의 불법적 접근에 따른 개인정보 유출 방지를 위한 조치의무까지 포함하여 규정한 것으로 해석하여야 한다.’는 원심의 판단은 위와 같은 법리에 따른 것으로서 정당하다. 거기에 상고이유 주장과 같이 이 사건 보호조치 기준 제4조 제9항의 적용 범위에 관한 법리를 오해하여 판결에 영향을 미친 잘못이 없다.

2. 피고의 상고이유에 대하여

가. 상고이유 제1점, 제2점에 대한 판단

원심은 그 판시와 같은 이유로, 원고가 알툴즈(알툴바) 프로그램을 이용자에게 제공하면서 개인정보시스템에 대한 침입차단ㆍ탐지시스템의 설치의무를 위반한 것으로 볼 수 없다고 판단하였다.

관련 법리에 비추어 기록을 살펴보면, 위와 같은 원심의 판단은 정당하고, 거기에 상고이유 주장과 같이 구 정보통신망법 제28조 제1항 제2호 , 구 정보통신망법 시행령 제15조 제2항 제2호 에서 정한 침입차단ㆍ탐지시스템의 설치의무를 오해하고 필요한 심리를 다하지 않아 판결에 영향을 미친 잘못이 없다.

나. 상고이유 제3점에 대한 판단

원심은, 이 사건 제1처분사유 중 침입차단ㆍ탐지시스템의 설치의무를 소홀히 하였다는 부분 위반행위가 인정되지 아니하므로, 이 사건 과징금납부명령에는 과징금부과 재량행사의 기초가 되는 사실인정에 오류가 있어 재량권 일탈ㆍ남용의 위법이 있다고 판단하였다.

원심판결 이유를 기록에 비추어 살펴보면, 위와 같은 원심의 판단은 관련 법리에 따른 것으로서 정당하다. 거기에 상고이유 주장과 같이 행정처분의 취소 및 과징금 산정에 관한 법리를 오해하여 판결에 영향을 미친 잘못이 없다.

3. 결론

그러므로 상고를 모두 기각하고, 상고비용 중 원고의 상고로 인한 부분은 그 부분 패소자인 원고가, 피고의 상고로 인한 부분은 그 부분 패소자인 피고가 각각 부담하도록 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.