서울행정법원 2025. 1. 23. 선고 2023구합71018 판결 [시정명령 등 처분 취소청구의 소]
1. 쟁점
▶ 원고(개인정보 처리자)와 웹·앱사업자 간 타사 행태정보 수집의 개인정보보호법 위반 여부
2. 내용
이 사건은 SNS 제공자인 ‘원고’ A가 웹이나 앱에서 사용자들의 행동 정보를 어떻게 수집하고 있는지에 관한 문제이다. 특히, 원고가 이용자의 ‘타사 행태정보’, 즉 원고가 아닌 다른 웹사이트나 앱에서 이용자가 어떻게 행동했는지에 관한 정보를 수집하는 과정과 그 법적 책임이 쟁점이 된 것이다.
먼저, 원고가 만든 ‘비즈니스 도구’라는 게 있다. 이 도구를 웹·앱 사업자 B, C가 자기 사이트나 앱에 설치하면, 이용자 행동에 대한 정보가 원고 A 쪽으로 전송된다. 중요한 건 이 정보를 실제로 수집하고 처리하는 주체가 원고 A라는 점이다. B, C는 단순히 도구를 설치하는 역할만 할 뿐, 개인정보 처리 책임자는 A다.
또한, 개인정보 보호법에서는 ‘개인정보처리자’가 개인정보를 적법하게 수집하고 이용해야 한다고 명시하고 있다. A는 이용자 계정 정보와 타사 행태정보를 연결해 특정 개인을 알아낼 수 있기 때문에 개인정보처리자에 해당되는 것이 명백하다. 그래서 A는 이용자로부터 명확한 동의를 받아야 하는 의무가 있다.
하지만 A는 가입할 때 개인정보와 타사 행태정보에 대한 동의를 한꺼번에 받고, 만약 동의를 거부하면 가입 자체를 못 하게 하고 있는 것이 문제가 되었다. 이 점이 법적으로 문제가 된 것이다. 이용자 입장에서는 ‘필요한 최소한의 개인정보만 제공하고, 그 외에는 제공하지 않아도 서비스 이용에 문제가 없도록’ 해야 하는데, A는 이 선택권을 주지 않은 것이다.
또한, A는 이 타사 행태정보를 광고를 맞춤화하는 데 활용하고 있는데, 이 정보가 이 서비스의 ‘본질적인 기능’에 꼭 필요한 개인정보인지 여부가 중요한 쟁점이었다.
판결은, 이 정보가 서비스 이용 자체에 반드시 필요한 정보는 아니라는 것이었다. 즉, 이용자는 이 정보를 제공하지 않아도 서비스 기본 기능을 사용하는 데 지장이 없다는 뜻이다.
사실 A는 서비스 가입 이후 이용자가 직접 맞춤형 광고를 거부할 수 있는 선택지를 제공하고 있지만, 가입 단계에서부터 그런 선택지를 주지 않는 건 이용자의 개인정보 자기결정권을 제대로 보장하지 않는다고 판단된 것이다.
또한, A는 유럽 이용자에게는 ‘쿠키 사용 동의’를 별도로 받고, 동의하지 않으면 해당 데이터를 삭제하는 시스템을 운영하고 있다. 그런데 국내 이용자에게는 이런 선택권을 제공하지 않고 있어서 불공정하다는 지적도 제기되었다. EU의 GDPR 위반의 방망이만 무서웠던 것일까?
마지막으로, A는 자신이 단순히 개인정보를 위탁받거나 제3자로부터 제공받아 처리하는 것에 불과하다고 주장했지만, 법원은 A가 직접 정보를 수집·처리하는 개인정보처리자라고 명확히 봤다.
법원은 이러한 사실들을 종합해 A가 이용자에게 개인정보 수집에 관한 충분하고 적법한 동의를 받지 않은 점, 그리고 이용자가 자신의 개인정보 제공을 거부할 권리를 사실상 박탈한 점을 문제 삼아, 개인정보 보호법 위반으로 판단했다.
'개인정보의 최소한의 수집'이라는 것은 개인정보보호법을 접하게 되는 사람들에게는 마치 상식처럼 여겨지는 영역이다. 그런데 실제로 뚜껑을 열어보면, 지켜지지 않는 사례가 매우 많은 것을 확인할 수 있다. 왜 그럴까?
위 표는 A사의 매출액에 대한 내용이다. 광고 매출이 대다수를 차지하고 있는 것을 확인할 수 있다. 참고로 단위는 백만 달러다. 그리고 법원은 A사가 수집한 행태정보를 광고 매출 극대화에 이용하였고 보았다. 개인정보처리자가 아닌 것처럼 교묘하게 선을 타면서, 최소수집을 위반할 수 있다면 그 이익은 막대해지는 것이다.
물론 A사는 이용자가 '장바구니 담기' 등 일정한 행위를 하면 웹·앱의 서버와 상호작용을 하면서 타사 행태정보가 웹 · 앱사업자의 서버에 저장되므로 이용자가 웹 · 앱에 일정한 행위를 요청하는 시점부터 웹 · 앱사업자가 타사 행태정보를 취득하게 되고 이는 곧 '개인정보의 수집'에 해당한다는 취지로 주장을 하였다.
그러나 A는 이 사건 서비스 회원들의 행태정보를 분석하여 맞춤형 광고나 맞춤형 콘텐츠 등을 제공할 목적으로 회원들의 이 사건 서비스 내에서의 행태정보와 이 사건 서비스 외에서 이루어진 타사 행태정보를 수집한 뒤, 이를 회원 계정과 매칭하여 회원별로 관리하였으므로, A는 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 '개인정보처리자'에 해당한다고 보는 것이 합당하다.
더군다나 이용자들이 A의 서비스(SNS)에 가입하는 주된 이유는 자신의 계정에 자신의 최근 소식이나 그와 관련된 사진을 올리고 친구관계를 통해 공유된 친구의 최신 소식이나 사진을 살펴보며 서로에게 댓글을 다는 방식으로 소통하는 것이다.
즉, 요컨대 소식을 얻는 게 주된 목적이라는 점이다.
여기서 A는 타사의 행태정보를 수집함으로써, 아래와 같은 이유로 인해 행태정보 수집이 최소한의 수집 원칙에 위배되지 않는다고 주장하였다.
① 회원님에게 맞춤화된 경험을 제공합니다.
② 회원님을 회원님에게 중요한 사람 및 단체와 연결합니다.
③ 회원님이 자신을 표현하고 회원님이 중요하게 생각하는 것을 나눌 수 있도록 합니다.
④ 회원님이 관심을 가질 만한 콘텐츠, 제품, 서비스를 찾을 수 있도록 지원합니다
그러나 A는 서비스 가입 시 필수적으로 실명, 이메일 주소 또는 휴대전화번호, 생년월일, 성별을 입력할 것을 요구하고 있고, 가입 후에는 프로필 사진, 직장, 학력, 거주지, 출신지, 가족, 결혼/연애 상태, 취미 등의 정보를 추가 입력받으며, 서비스 제공 과정에서 친구 등 연결관계, 기기 정보, 위치 정보, 콘텐츠에 포함된 관심사 정보 등을 광범위하게 수집한다. 이미 상당한 정보를 수집하고 있고, 개인 식별이 불가능한 기기 식별자에 기반한 타사행태 정보 또한 수집하고 있으므로, 위와 같이 수집한 정보만으로도 이용자에게 맞춤형 광고나 맞춤형 콘텐츠를 제공할 수 있을 것으로 볼 수 있다는 것이다.
그럼에도 A는 서비스 가입 단계에서 회원의 계정 정보와 타사 행태정보의 결합을 해제하거나 맞춤형 광고 제공을 거부하는 선택지를 제공하지 않으면서, 이용자의 타사 웹·앱에서의 활동을 수집하여 개인정보파일로 관리하고 있는 바, 장기간 축적된 이용자의 타사 행태정보를 분석할 경우 이 사건 서비스 이용자의 사상·신념, 정치적 견해, 건강, 신체적·생리적·행동적 특징 및 민감정보를 생성하고 식별할 위험이 있으므로, 이용자의 사생활의 비밀과 자유에 악영향을 미칠 가능성이 상당하다.
A의 회원은 이 서비스에 가입한 이후에 'R' 메뉴, '파트너가 제공한 회원님의 활동 데이터' 메뉴를 통해 회원의 계정 정보와 타사 행태정보의 결합을 해제하거나 맞춤형 광고 제공을 거부하는 선택을 할 수 있다. A가 마련한 방법에 따라 이 사건 서비스에 가입하자마자 위와 같이 맞춤형 광고 제공을 거부하는 것과 이 사건 서비스 가입 단계에서 맞춤형 광고 제공 수신을 거부하는 방법을 제공하는 것 사이에 본질적인 차이가 있다고 보기 어렵다. 그리고 A의 회원이 이 서비스에 가입한 뒤 타사의 웹·앱을 방문하지 않거나 비즈니스 도구를 설치하지 않은 타사의 웹·앱만을 방문한 경우에 있어서도 A가 위 회원에게 이 사건 서비스를 제공하는 데 특별한 문제는 없어 보인다.
따라서 서비스 가입 단계에서 회원의 계정 정보와 타사 행태정보의 결합을 해제하거나 맞춤형 광고 제공을 거부하는 선택지를 부여한다고 하여 A가 이 사건 서비스를 제공하는 데 어떠한 장애가 있다고 보기 어렵다는 것이다. 그리하여 A는 개인정보보호법을 위반하였다고 볼 수 있다.