대법 "위법성에 비해 과중…여러 요소 종합적으로 고려해야"
|
12일 대법원 3부(주심 안철상 대법관)는 위메프가 방통위를 상대로 제기한 시정명령 등 처분 취소 소송 상고심에서 원고 승소 판결한 원심을 확정했다.
위메프는 2018년 11월 1일 '블랙프라이스데이' 이벤트를 진행하던 중 캐시 정책을 잘못 설정해 쇼핑몰 이용자 20명의 개인정보가 다른 이용자 29명에게 노출되는 사고가 발생했다.
이에 방통위는 한국인터넷진흥원과 함께 2018년 11월 위메프에 대한 현장조사를 실시했고, 2019년 12월 위메프에 시정명령과 시정명령 이행결과의 보고, 과징금 18억5200만원을 명하는 처분을 내렸다.
방통위는 위메프의 전체 매출액을 '구 개인정보보호 법규 위반에 대한 과징금 부과기준'이 정한 '관련 매출액'으로 보고 과징금을 산정했는데, 이에 위메프 측은 과징금 계산이 잘못됐다며 소송을 제기했다.
1·2심 재판부는 "위반 행위와 시기적으로 무관한 매출액도 관련 매출액에 포함하고 있어 과징금의 액수가 지나치게 과하다"는 위메프 측 주장에 수긍했다.
이날 대법원 역시 "과징금 부과를 위한 매출액을 산정할 때 유출사고가 발생한 개인정보를 보유·관리하는 서비스의 범위를 기준으로 판단해야 한다"며 "이 사건 과징금이 관련 규정에서 정한 상한을 초과하지 않는다는 사정 등을 감안하더라도, 위반행위의 위법성의 정도에 비해 과중하게 산정됐다"고 판시했다.
대법원은 그러면서 "개인정보 보호조치 의무 위반에 대해 부과되는 과징금은 보호조치 위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려해 정해야 한다"고 과징금 산정의 기준을 최초로 명시했다.
