“고객정보 유출 위메프에 18억 과징금은 과중”…대법, 상고 기각

“쇼핑몰 전체 매출액 기준 과징금 산정은 과도”

온라인 쇼핑몰 ‘위메프’가 20명의 개인정보를 노출한 사고로 18억원의 과징금을 부과 받았지만, 해당 처분이 과중하다는 취지의 대법원 판결이 나왔다.

대법원 3부(주심 대법관 안철상)는 12일 오전 11시 위메프가 개인정보보호위원회를 상대로 제기한 시정명령 등 처분 취소 소송 상고심에서 모든 상고를 기각한다고 밝혔다.

방송통신위원회는 지난 2019년 개인정보를 유출해 정보통신망법을 위반한 위메프에게 과징금 18억5200만원과 1000만원의 과태료를 부과했다. 이후 해당 사건은 2020년 개인정보보호법 개정으로 인해 관련 사무가 개인정보보호위원회로 이관됐다.

위메프는 2018년 11월 ‘블랙프라이데이’ 이벤트를 진행하던 중 로그인하는 과정에서 데이터베이스 매칭오류로 20명의 고객정보가 다른 이용자 29명에게 노출되는 사고를 일으킨 바 있다.

개인정보보호위원회는 과징금 산정 시 위메프 전체 매출액을 구 ‘개인정보보호 법규 위반에 대한 과징금 부과기준 제4조 제1항’에서 정한 것으로 봤다. 또 정보통신망법 제64조의3 제1항, 같은 법 시행령 제69조의2에 따라 위반행위와 관련된 정보통신서비스의 직전 3개년도의 연평균 매출액의 100분의 3 이하에 해당하는 금액으로 결정했다.

다만 위메프는 개인정보보호위원회의 과징금 산정에 문제가 있다며 처분을 취소하는 소송을 제기했다. 사고 기간이 하루에 불과하고, 개인정보 노출 이용자 역시 20명인 것과 비교해 과징금이 과중하다는 지적이었다.

특히 정보통신망법 제64조의3 제1항에서 정한 ‘위반행위와 관련된 매출액’의 범위를 블랙프라이데이 이벤트로 인한 매출액이 아닌, 쇼핑몰 전체의 연매출액으로 산정한 것이 문제라고 주장했다.

1심은 위메프의 손을 들어줬다. 재판부는 “과징금을 부과하기 위해서는 위반행위의 내용과 정도, 기간과 횟수 등을 고려해야 한다”며 “연매출액을 기준으로 산정한 이 사건 과징금의 액수는 이 사건 사고의 정도나 피해의 규모에 비해 지나치게 과중한 것으로 보인다”고 말했다.

또 “이 사건 시정명령 처분은 적법하고, 이 사건 과징금 처분은 비례의 원칙에 위배돼 위법하므로 취소돼야 한다”며 과징금 부과처분 부분을 취소했다.

2심도 개인정보보호위원회의 과징금 처분이 부당하다며 항소를 기각했다. 재판부는 “과징금 처분이 ‘블랙프라이데이 이벤트로 인한 매출액’이 아닌 ‘이 사건 쇼핑몰 전체의 연매출액’을 기준으로 해 과징금을 산정한 것은 과도하다고 판단된다”고 설명했다.

대법원도 개인정보보호위원회의 상고를 기각하며 “이 사건 과징금액은 제재적 성격이 지나치게 강조돼 위반행위의 위법성의 정도에 비해 과중하게 산정됐다고 볼 수 있다”며 “이 사건 과징금 처분에 재량권을 일탈·남용한 잘못이 있다고 본 원심의 결론은 정당하다”고 판단했다.

[서울=뉴시스]