[행정 판결문] 서울고등법원 2022누54360 - 시정조치명령처분 취소의 소

[행정] 서울고등법원 2022누54360 - 시정조치명령처분 취소의 소.pdf

0.43MB

[행정] 서울고등법원 2022누54360 - 시정조치명령처분 취소의 소.docx

0.04MB

- 1 -
서 울 고 등 법 원
제 8 - 2 행 정 부
판 결
사 건 2022누54360 시정조치명령처분 취소의 소
원고, 피항소인 주식회사 C (변경 전 상호: A 유한책임회사)
피고, 항소인 개인정보보호위원회
제 1심판결 서울행정법원 2022. 7. 8. 선고 2021구합78848 판결
변 론 종 결 2023. 6. 23.
판 결 선 고 2023. 9. 1.
주 문
1. 피고의 항소를 기각한다.
2. 항소비용은 피고가 부담한다.
청구취지 및 항소취지
1. 청구취지
피고가 2021. 6. 25. 원고에 대하여 한 별지 1 기재 시정조치명령을 취소한다.
2. 항소취지
제1심판결을 취소한다. 원고의 청구를 기각한다.
- 2 -
이 유
1. 처분의 경위 
이 법원이 이 부분에 관하여 설시할 판결의 이유는, 아래와 같이 고쳐 쓰거나 추가
하는 외에는, 제1심판결의 해당 부분 기재와 같으므로 행정소송법 제8조 제2항, 민사
소송법 제420조 본문에 의하여 이를 그대로 인용한다.
○ 제1심판결문 제2쪽 제5행의 “(변경 전 상호: B 유한책임회사)” 부분을 “(그 상호
가 B 유한책임회사, A 유한책임회사, 원고로 순차 변경되었다)”로 고쳐 쓴다. 
○ 제1심판결문 제2쪽 제13~14행의 “기재한다” 부분을 “기재하되, 아래 표시 중 ‘회
사’는 ‘원고’를 의미한다”로 고쳐 쓴다.
○ 제1심판결문 제2쪽 표 안의 제1행 위에 다음과 같은 내용을 추가한다.
『제1조(목적)
이 약관은 회사가 운영하는 ‘C’ 인터넷 오픈마켓 사이트(이하 ‘C’이라 함)와 스마트폰 등 
이동통신기기를 통해 제공되는 ‘C’ 모바일 애플리케이션(이하 ‘모바일C’이라 함)에 판매회
원으로 가입하여 전자상거래 관련 판매 서비스 및 기타 서비스(이하 ‘서비스’라 함)를 이
용하는 자간의 권리, 의무를 확정하고 이를 이행함으로써 상호 발전을 도모하는 것을 그 
목적으로 합니다. 
제2조의1(회사의 일반적 준수사항)
2. 회사는 판매회원에게 가격인하, 기획전 참여 등을 부당하게 강요하지 않습니다.
3. 회사는 판매회원 간 수수료 및 판매촉진서비스 이용료를 다르게 정하지 않습니다.
4. 회사는 판매회원이 다른 오픈마켓사업자와 거래하지 못하게 하거나 다른 오픈마켓사
업자와 거래한다는 이유로 판매회원에게 불이익을 제공하지 않습니다.
제3조(용어의 정의)
1. 이 약관에서 사용하는 용여의 정의는 다음과 같습니다.
1) 오픈마켓: 누구나 판매자나 구매자가 되어 온라인상에서 상품을 팔고 살 수 있는 가
상의 장터를 말합니다.
- 3 -
2) 오픈마켓사업자: 오픈마켓과 오픈마켓에서의 부가서비스(광고서비스 등)를 제공하고, 
이에 대한 대가를 받는 사업자를 말합니다.』
○ 제1심판결문 제3쪽 표 안의 제7행 다음에 아래와 같은 내용을 추가한다.
『제11조(계약기간 및 이용계약의 종료)
1. 이용계약의 기간은 판매회원이 약관에 대해 동의한 날로부터 당해 연도 말일까지로 
하고, 기간 만료 1개월 전까지 서면에 의한 반대의 의사표시가 없는 한 계약기간은 
동일한 조건으로 1년간 자동 갱신됩니다. 
2. 회사의 해지
1) 회사는 다음과 같은 사유가 발생하거나 확인된 경우 이용계약을 해지할 수 있습니다.
① 다른 회원 또는 타인의 권리나 명예, 신용 기타 정당한 이익을 침해하거나 대한민국 
법령 또는 공서양속에 위배되는 행위를 한 경우
② 회사가 제공하는 서비스의 원활한 진행을 방해하는 행위를 하거나 시도한 경우
3. 당사자 일방에게 다음 각 호의 사유가 발생한 경우, 그 상대방은 별도의 최고 없이 해
지의 통지를 함으로써 이용계약을 해지할 수 있습니다. 
1) 이용계약의 의무를 위반하여 상대방으로부터 그 시정을 요구 받은 후 7일 이내에 이
를 시정하지 않은 경우
4) 관련 법령 위반 등 판매회원의 책임 있는 사유로 인하여 회사가 명예 실추 등 유무
형적 손해를 입은 경우
3의1. 판매회원의 해지
제3항에도 불구하고, 판매회원은 언제든지 회사에 해지의사를 통지함으로써 이용계약을 
해지할 수 있습니다. 
4. 회사는 컴퓨터 등 정보통신설비의 보수, 점검, 교체 및 고장, 통신의 두절 등의 사유
가 발생한 경우에는 서비스의 제공을 일시적으로 중단할 수 있습니다. 이 경우 서비스 
일시 중단 사실과 이유를 C 초기화면에 게시합니다.』
○ 제1심판결문 제5쪽 제13행의 “갑 제1, 2, 5호증, 을 제2, 3, 8, 9호증” 부분을 “갑 
제1, 2, 5, 14호증, 을 제2, 3, 8, 9, 17, 19호증”으로 고쳐 쓴다. 
2. 이 사건 처분의 적법 여부 
- 4 -
가. 원고의 주장
이 법원이 이 부분에 관하여 설시할 판결의 이유는 제1심판결의 해당 부분 기재와 
같으므로, 행정소송법 제8조 제2항, 민사소송법 제420조 본문에 의하여 이를 그대로 
인용한다.
나. 관계 법령
별지 2 기재와 같다.
다. 판단
1) 관련 규정
이 법원이 이 부분에 관하여 설시할 판결의 이유는 제1심판결의 해당 부분 기재와 
같으므로, 행정소송법 제8조 제2항, 민사소송법 제420조 본문에 의하여 이를 그대로 
인용한다.
2) 관련 법리
가) 법은 원칙적으로 불특정 다수인에 대하여 동일한 구속력을 갖는 사회의 보편
타당한 규범이므로 이를 해석함에 있어서는 법의 표준적 의미를 밝혀 객관적 타당성이 
있도록 하여야 하고, 가급적 모든 사람이 수긍할 수 있는 일관성을 유지함으로써 법적 
안정성이 손상되지 않도록 하여야 한다. 한편 실정법은 보편적이고 전형적인 사안을 
염두에 두고 규정되기 마련이므로 사회현실에서 일어나는 다양한 사안에서 그 법을 적
용함에 있어서는 구체적 사안에 맞는 가장 타당한 해결이 될 수 있도록 해석할 것도 
또한 요구된다. 요컨대 법해석의 목표는 어디까지나 법적 안정성을 저해하지 않는 범
위 내에서 구체적 타당성을 찾는 데 두어야 한다. 나아가 그러기 위해서는 가능한 한 
법률에 사용된 문언의 통상적인 의미에 충실하게 해석하는 것을 원칙으로 하면서, 법
- 5 -
률의 입법 취지와 목적, 그 제․개정 연혁, 법질서 전체와의 조화, 다른 법령과의 관계 
등을 고려하는 체계적․논리적 해석방법을 추가적으로 동원함으로써, 위와 같은 법해
석의 요청에 부응하는 타당한 해석을 하여야 한다(대법원 2013. 1. 17. 선고 2011다
83431 전원합의체 판결, 대법원 2022. 10. 27. 선고 2022두44354 판결 등 참조).
나) 침익적 행정처분은 상대방의 권익을 제한하거나 상대방에게 의무를 부과하는 
것이므로 헌법상 요구되는 명확성의 원칙에 따라 그 근거가 되는 행정법규를 더욱 엄
격하게 해석․적용해야 하고, 행정처분의 상대방에게 지나치게 불리한 방향으로 확대
해석이나 유추해석을 해서는 안 된다(대법원 2021. 11. 11. 선고 2021두43491 판결 등 
참조).
3) 구체적 판단
앞서 든 증거들과 을 제1, 4, 5, 7, 10, 11호증의 각 기재에 변론 전체의 취지를 
더하여 알 수 있는 다음과 같은 사정들을 종합하여 위 법리에 비추어 보면, 이 사건 
오픈마켓의 판매자가 원고의 지휘․감독을 받아 개인정보를 처리하는 ‘개인정보취급자’
에 해당한다고 보기 어렵다. 따라서 판매자가 원고의 지휘․감독 대상인 개인정보취급
자라는 전제에서 개인정보 보호법 제29조, 제64조 제1항, 같은 법 시행령 제48조의2 
제1항 제1호, 제2호, 이 사건 고시 제3조 제2항, 제4조 제4항 등을 적용하여 시정조치
를 명한 이 사건 처분은 그 처분사유가 인정되지 아니하여 위법하므로, 이를 지적하는 
원고의 주장은 이유 있다.
가) 개인정보 보호법은 제2조 제5호에서 ‘개인정보처리자’를 ‘업무를 목적으로 개
인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 
공공기관, 법인, 단체 및 개인’으로 정의하고 있는 반면, 제28조 제1항에서 ‘개인정보취
- 6 -
급자’를 ‘임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘․감독을 받아 개
인정보를 처리하는 자’로 정의하여 양자의 의미를 명확히 구분하고 있다. 
개인정보 보호법 제12조 제1항에 따라 개인정보 처리에 관한 기준, 개인정보 침
해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정하고 있는「표준 개인정보 보
호지침」(2020. 8. 11.자 개인정보보호위원회고시 제2020-1호, 이하 ‘표준지침’이라 한
다) 제2조 제6호 역시 ‘개인정보취급자’란 ‘개인정보처리자의 지휘․감독을 받아 개인
정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한
다’고 규정하고 있다. 
위와 같은 개인정보 보호법의 문언은 물론 피고 스스로 고시한 표준지침의 문언
에 비추어 보면, ‘개인정보취급자’는 「“❶ 개인정보처리자의 지휘․감독을 받아 개인
정보를 처리하는 업무를 담당하는 자로서(이하 ‘❶요건’이라 한다)” “❷ 임직원, 파견근
로자, 시간제근로자 등(이하 ‘❷요건’이라 한다)”」(즉 ❶요건과 ❷요건을 모두 충족하
고 있는 자)을 의미하는 것으로서, 반드시 개인정보처리자와 고용계약을 체결한 자로 
한정되는 것은 아니지만, 적어도 법령 또는 계약상 개인정보처리자의 의사에 따라 개
인정보처리자를 위하여 그 지휘․감독 아래 업무를 집행하는 자를 의미한다고 봄이 타
당하다. 
나) 실제로 개인정보 보호법령, 이 사건 고시, 표준지침은 모두 개인정보처리자가 
개인정보취급자에 대한 실질적인 지휘․감독 권한을 가지고 있음을 전제로 하는 아래
와 같은 다수의 규정(이하 ‘이 사건 규정들’이라 한다)을 두고 있다.
(1)　 　 　 개인정보 보호법 제28조 제1항은 ‘개인정보처리자가 개인정보를 처리함에 있
어서 개인정보가 안전하게 관리될 수 있도록 개인정보취급자에 대하여 적절한 관리․
- 7 -
감독을 하여야 한다’고 규정하고, 제2항은 ‘개인정보처리자가 개인정보취급자에게 정기
적으로 필요한 교육을 실시하여야 한다’고 규정하고 있다.
(2) 개인정보 보호법 시행령 제48조의2 제1항은 정보통신서비스 제공자등1)이 개
인정보를 처리하는 경우 취해야 할 안전성 확보 조치로서 ‘개인정보처리시스템에 접속
하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단 조치’(제2호 다목, 일정 
규모 이상의 정보통신서비스 제공자에 대하여만 해당), ‘개인정보취급자가 개인정보 처
리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램 침투 여부를 
항시 점검․치료할 수 있도록 하기 위한 백신소프트웨어 설치 및 주기적 갱신․점검 
조치’(제5호)를 규정하고 있는바, 이는 개인정보처리자가 개인정보취급자의 컴퓨터 등
을 직접 관리하거나 그에 대한 관리를 지시할 수 있는 지위에 있음을 전제로 한다.
(3) 이 사건 고시 제4조 제1항은 ‘정보통신서비스 제공자등2)은 개인정보처리시스
템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정
보취급자에게만 부여한다’고 규정하고, 제2항은 ‘정보통신서비스 제공자등은 전보 또는 
퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보
처리시스템의 접근권한을 변경 또는 말소한다’고 규정하며, 제6항은 ‘일정 규모 이상인 
정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 
수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 
컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다’고 규정하고, 제9항은 ‘정보
통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통
1) ‘정보통신서비스 제공자와 그로부터 이용자의 개인정보를 개인정보 보호법 제17조 제1항 제1호에 따라 제
공받은 자’를 의미한다.
2) 여기서, ‘정보통신서비스 제공자등’은 위 각주 1)과 동일한 의미로 보인다(이 사건 고시 제1조 제1항 참조). 
이하 (3)항에서는 이와 같다.
- 8 -
하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 
및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다’고 규정하며, 제10
항은 ‘정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속
이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다’고 규정하고 
있다. 
위와 같은 규정들은 ‘개인정보취급자’가 개인정보처리자의 개인정보 처리 업무를 
수행하는 자임을 전제로 하는 것으로서, 종속적 지위에서 개인정보처리자의 지휘․감
독을 받아 업무를 처리하는 자임을 의미하고, 또한 개인정보처리자가 개인정보취급자
의 컴퓨터와 모바일 기기 등을 직접 관리할 수 있거나 그에 대하여 일정한 조치를 취
할 것을 지시할 수도 있는 지위에 있음을 전제로 한다. 
(4) 또한 표준지침 제15조 제1항은 ‘개인정보처리자는 개인정보취급자를 업무상 
필요한 한도 내에서 최소한으로 두어야 하며, 개인정보취급자의 개인정보 처리 범위를 
업무상 필요한 한도 내에서 최소한으로 제한하여야 한다’고 규정하고, 제2항은 ‘개인정
보처리자는 개인정보 처리시스템에 대한 접근권한을 업무의 성격에 따라 당해 업무수
행에 필요한 최소한의 범위로 업무담당자에게 차등 부여하고 접근권한을 관리하기 위
한 조치를 취해야 한다’고 규정하며, 제3항은 ‘개인정보처리자는 개인정보취급자에게 
보안서약서를 제출하도록 하는 등 적절한 관리․감독을 해야 하며, 인사이동 등에 따
라 개인정보취급자의 업무가 변경되는 경우에는 개인정보에 대한 접근권한을 변경 또
는 말소해야 한다’고 규정하고 있다. 
위와 같은 규정들은 개인정보취급자가 개인정보처리자의 업무를 수행하는 종속
적 지위에 있는 자로서 원고가 개인정보취급자의 숫자와 업무 범위를 필요에 따라 조
- 9 -
정할 수 있음을 전제로 하고 있다.
다) 개인정보 보호법 제29조는 개인정보처리자의 안전조치의무를 규정하면서 그 
구체적인 내용에 관하여 대통령령으로 정하도록 위임하고 있고, 이에 따라 개인정보 
보호법 시행령 제48조의2 제1항은 ‘개인정보의 안전성 확보 조치에 관한 특례’라는 제
목으로 ‘정보통신서비스 제공자와 그로부터 이용자의 개인정보를 법 제17조 제1항 제1
호에 따라 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 이용자의 개인정
보를 처리하는 경우에는 제30조에도 불구하고 법 제29조에 따라 다음 각 호의 안전성 
확보 조치를 해야 한다’고 규정하고 있는데, 같은 항 제1호 나목에서는 ‘개인정보취급
자’를 ‘정보통신서비스 제공자등의 지휘․감독을 받아 이용자의 개인정보를 처리하는 
자’라고 정의하고 있다. 
또한 이 사건 고시 제1조 제1항은 ‘이 기준은 개인정보 보호법 제29조 및 같은 
법 시행령 제48조의2 제3항에 따라 정보통신서비스 제공자등(개인정보 보호법 제39조
의14에 따라 준용되는 자를 포함한다. 이하 같다)이 이용자의 개인정보를 처리함에 있
어서 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손을 방지하고 개인정보의 안
전성 확보를 위하여 필요한 기술적ㆍ관리적 보호조치의 최소한의 기준을 정하는 것을 
목적으로 한다’고 규정하고, 제2항은 ‘정보통신서비스 제공자등은 사업규모, 개인정보 
보유 수 등을 고려하여 스스로의 환경에 맞는 개인정보 보호조치 기준을 수립하여 시
행하여야 한다’고 규정하고 있다.
위 규정들의 내용을 체계적, 종합적으로 해석해 보면, ‘정보통신서비스 제공자’ 및 
‘그로부터 이용자의 개인정보를 제공받은 자’는 모두 개인정보처리자로서 각자의 개인
정보취급자에 대하여 교육 및 관리 등의 안전성 확보 조치를 이행해야 함을 의미하는 
- 10 -
것으로 보인다. 
따라서 판매자는 정보통신서비스 제공자인 원고로부터 이용자(구매자)의 개인정
보를 제공받은 자로서 위 규정들에 따라 개인정보처리자에 해당하고, 그 자신(판매자)
의 지휘․감독을 받는 개인정보취급자를 관리․감독할 의무를 부담한다고 보아야 하므
로, 판매자는 원고와는 별개의 개인정보처리자이다.
라) 피고는, 개인정보취급자의 요건으로서 ❶요건 중 ‘개인정보처리자의 지휘․감
독’의 의미에 관하여, 이는 일반 업무상의 지휘․감독이 아니라 개인정보 처리에 관한 
지휘․감독을 의미하는 것으로 개인정보 처리라는 사실적 현상을 기준으로 판단하여야 
하므로 ‘개인정보의 안전한 관리 목적을 효과적으로 달성하고 개인정보 처리가 잘못되
지 않도록 통솔 및 단속하는 행위’ 일체를 포함하는 것인바, 판매자가 원고의 개인정보
처리시스템 내에서 원고의 구매자 개인정보 파일을 처리하는 경우, 원고로부터 해당 
시스템에 대한 접근권한을 미리 부여받아 등록된 계정과 비밀번호를 입력하여야 하고 
해당 시스템이 예정하고 허용하는 개인정보 처리 업무만 가능하며 허용된 기간 동안에
만 시스템에 접근할 수 있는 등 원고 개인정보처리시스템의 설계코드와 정책(약관 등)
을 통하여 개인정보처리자인 원고의 지휘․감독을 받게 된다는 취지로 주장한다. 
그러나 아래와 같은 사정 등에 비추어 볼 때, 피고의 이 부분 주장은 받아들이기 
어렵다. 
(1) 원고가 판매자에게 원고 개인정보처리시스템에 대한 접근권한을 부여하여 판
매자로 하여금 구매자의 개인정보를 열람할 수 있게끔 한 것은 제3자인 판매자에게 구
매자의 개인정보를 제공한 행위의 한 형태에 해당하고, 단순히 계정 및 비밀번호를 입
력하게 하고 시스템 접근 가능 기간을 제한하였다고 하여 개인정보를 안전하게 관리하
- 11 -
기 위하여 판매자를 지휘․감독한 것으로 보기는 어렵다. 
(2) 피고는 원고가 이 사건 약관(을 제2, 3, 8호증)에서 판매자가 구매자의 개인정
보를 이 사건 오픈마켓 서비스 이용에 필요한 목적 외의 용도로 사용하는 것을 엄격히 
금지하는 내용을 규정하고 있는 점 등을 들어 판매자가 원고로부터 ‘정책상의 지휘․
감독’을 받는다고 주장하지만, 원고가 이 사건 약관에 판매자에 대하여 구매자의 개인
정보를 목적 외의 용도로 사용하면 안 된다는 취지의 조항을 마련하고 있는 것이나, 
개인정보 유출 등으로 구매회원 등의 이의제기가 있을 경우 판매자가 이에 대한 책임
을 진다는 취지의 안내문 또는 준수사항을 마련하고 있는 것은, 계약 당사자로 대등한 
지위에 있는 판매자에게 업무로 넘겨받은 개인정보를 유출하거나 무단으로 수집하여서
는 안 될 계약상의 의무를 부여한 것에 불과할 뿐이므로, 이를 두고 원고가 판매자를 
지휘․감독하는 관계에 있다는 근거로 보기는 어렵다(실제로 개인정보 보호법 제19조
가 개인정보처리자로부터 개인정보를 제공받은 자는 정보주체로부터 별도의 동의를 받
은 경우 등을 제외하고 개인정보를 제공받은 목적 외의 용도로 이용하여서는 아니 된
다고 규정하고 있는바, 개인정보의 목적 외 사용 금지는 개인정보처리자로부터 개인정
보를 제공받은 자가 준수하여야 할 당연한 의무에 해당할 뿐이다).
(3) 앞서 살핀 바와 같이 이 사건 규정들은 개인정보처리자가 개인정보취급자의 
컴퓨터나 모바일 기기 등에 물리적인 조치를 취하는 등 이를 직접 관리할 수 있고 개
인정보취급자의 숫자나 업무 범위 등을 임의로 조정할 수 있음을 전제로 하고 있고, 
특히 이 사건 고시 제4조 제4항은 ‘정보통신서비스 제공자등은 개인정보취급자가 정보
통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 
수단을 적용하여야 한다’고 규정하고 있어 개인정보취급자가 원칙적으로 개인정보처리
- 12 -
자의 내부 정보통신망을 통하여 개인정보처리시스템에 접속하는 자임을 전제하고 있는
바, 이 사건의 판매자와 같이 원고의 직접적인 관리를 받지 않는 컴퓨터 등으로 원고 
내부망이 아닌 외부 정보통신망을 통하여 원고의 정보처리시스템에 접속한 후 그 설계
코드 및 정책에 따라 해당 시스템을 이용하는 모든 자들3)을 원고의 개인정보취급자로 
보는 피고의 해석은 이 사건 규정들의 내용과 부합하지 않는다고 보인다.
(4) 피고는 개인정보 보호법이 ‘정보법’에 해당하여 민법 등의 ‘조직법’과는 다른 
독자적인 관점에서 해석되어야 한다는 취지로 주장하나, ‘정보법’이라는 용어가 실제 
사용되고 있는지 여부는 별론으로 하고 이로 인해 개인정보 보호법령상의 개인정보취
급자의 ❶요건, ❷요건마저도 앞서 본 법리와 같은 일반적인 법령 해석방법과는 달리 
독창적으로 해석하여야 한다는 당위가 성립된다고 보기는 어렵다. 
오히려 개인정보 보호법은 그 제정 이유,4) 제정 당시 제1조(목적)의 내용,5) 제정 
당시의 제39조(손해배상책임)의 내용 및 그 후 2015. 7. 24. 개정(법률 제13423호) 당
시 신설된 제39조 제3항, 제4항 및 제39조의2(법정손해배상의 청구)의 내용 등에 비추
어 볼 때, 개인정보 보호법을 해석함에 있어 민법, 그중 특히 불법행위에 기한 손해배
3) 다만, 피고는 이러한 자들 중 구매자에 해당하는 자에 대하여는 원고의 개인정보취급자에 해당한다고 주장
하지는 않는 것으로 보인다(피고의 2023. 7. 28.자 참고서면 제35쪽). 
4) 정보사회의 고도화와 개인정보의 경제적 가치 증대로 사회 모든 영역에 걸쳐 개인정보의 수집과 이용이 보
편화되고 있으나, 국가사회 전반을 규율하는 개인정보 보호원칙과 개인정보 처리기준이 마련되지 못해 개
인정보 보호의 사각지대가 발생할 뿐만 아니라, 최근 개인정보의 유출․오용․남용 등 개인정보 침해 사례
가 지속적으로 발생함에 따라 국민의 프라이버시 침해는 물론 명의도용, 전화사기 등 정신적․금전적 피해
를 초래하고 있는 바, 공공부문과 민간부문을 망라하여 국제 수준에 부합하는 개인정보 처리원칙 등을 규
정하고, 개인정보 침해로 인한 국민의 피해 구제를 강화하여 국민의 사생활의 비밀을 보호하며, 개인정보에 
대한 권리와 이익을 보장하려는 것임(2011. 3. 29. 법률 제10465호로 제정된 개인정보 보호법에 관한 ‘국회
의안정보’ 참조).
5) 이 법은 개인정보의 수집․유출․오용․남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이
익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목
적으로 한다.
- 13 -
상에 관한 규정들과 전체적인 조화를 이루도록 해석해야 한다고 봄이 상당하다.6) 
따라서 개인정보 보호법에서 정한 개인정보취급자의 요건인 개인정보처리자의 
‘지휘․감독’은 민법상 사용자책임7)에서의 ‘지휘․감독’과 동일하거나 유사한 의미로 
해석되어야 한다고 봄이 상당하므로, ‘개인정보취급자’는 반드시 개인정보처리자와 고
용관계에 있을 필요는 없으나, 적어도 법령 또는 계약상 개인정보처리자의 의사에 따
라 개인정보처리자를 위하여 그 지휘․감독 아래 개인정보 처리 업무8)를 집행하는 자
를 의미한다고 봄이 타당하다. 
마) 피고는, 개인정보취급자의 요건으로서 ❷요건과 관련하여, 만약 ‘임직원, 파견
근로자, 시간제근로자 등’을 종속적 관계에 대한 예시 문언으로 보아 개인정보취급자를 
개인정보처리자와 사이에 ‘고용관계 또는 이에 준하는 업무상의 종속적 관계’에 있는 
자라고 해석하게 되면, 대표이사, 감사, 사외이사 등의 경우 회사의 임원에 해당하여 
위 ‘임직원, 파견근로자, 시간제근로자 등’에는 포함됨에도 불구하고 이들은 누군가의 
지휘․감독을 받는 자가 아니라 오히려 지휘․감독을 하는 자이므로 개인정보취급자가 
6) 정보주체의 개인정보와 개인정보처리자의 손해배상책임 등에 관한 대법원 판결[대법원 2018. 12. 13. 선고 
2018다219994, 2018다220000(병합) 판결, 대법원 2018. 12. 28. 선고 2018다214142 판결, 대법원 2019. 1. 
31. 선고 2018다221010 판결, 대법원 2019. 9. 26. 선고 2018다222303, 222310, 222327 판결 등] 참조
7) 민법 제756조의 사용자책임이 성립하려면 사용자와 불법행위자 사이에 사용관계, 즉 사용자가 불법행위자
를 실질적으로 지휘․감독하는 관계에 있어야 하고(대법원 1995. 4. 11. 선고 94다15646 판결 등 참조), 이
는 반드시 유효한 고용관계가 있는 경우에 한하는 것이 아니고 사실상 어떤 사람이 다른 사람을 위하여 그 
지휘․감독 아래 그 의사에 따라 사업을 집행하는 관계에 있으면 족하다(대법원 1998. 8. 21. 선고 97다
13702 판결 등 참조). 
8) 이에 대하여, 피고는 다양한 근거를 들며 개인정보취급자가 받은 개인정보처리자의 지휘․감독은 일반 업
무상의 지휘․감독이 아니라 개인정보 처리에 대한 지휘․감독이므로 사용자책임에서의 지휘․감독과 다른 
개념이라고 주장하나, 개인정보취급자가 개인정보 처리 업무에 대한 지휘․감독을 받는 자임은 개인정보취
급자의 개념 정의에 의하여 당연히 인정되는 것이므로 그러한 업무 범위가 특정되어 있다는 점만으로 사용
자책임에서의 지휘․감독과 다른 개념이라고 보이지 않는다. 업무의 내용과 관계없이 사용자(개인정보처리
자)의 의사에 따라 종속적인 지위에서 해당 업무를 처리한다는 점에서 지휘․감독을 받는다는 것이므로 결
국 양자는 동일하거나 유사한 개념으로 볼 수 있다. 따라서 피고의 이 부분 주장은 받아들일 수 없다. 
- 14 -
될 수 없다는 모순이 발생하는바, 개인정보처리자와 종속적 관계에 있을 것이 개인정
보취급자의 요건 중 하나라고 해석할 수 없다는 취지로 주장한다. 
그러나 개인정보 보호법 제31조 제1항은 ‘개인정보처리자는 개인정보의 처리에 
관한 업무를 총괄해서 책임질 “개인정보 보호책임자”를 지정하여야 한다’고 규정하고, 
같은 조 제6항의 위임에 따른 개인정보 보호법 시행령 제32조 제2항 제2호는 공공기
관 외의 개인정보처리자는 ‘사업주 또는 대표자’ 또는 ‘임원(임원이 없는 경우에는 개인
정보 처리 관련 업무를 담당하는 부서의 장)’ 중 어느 하나에 해당하는 사람을 개인정
보 보호책임자로 지정한다고 규정하며, 이 사건 고시 제2조 제1호는 ‘개인정보 보호책
임자’란 ‘이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원
을 말한다’고 규정하고, 표준지침 제2조 제5호는 ‘개인정보 보호책임자’란 ‘개인정보처
리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조 제2항에 해
당하는 자를 말한다’고 규정하고 있다. 
위와 같은 개인정보 보호책임자에 관한 규정 내용과 위 ❶요건과 ❷요건의 관련
성 등을 종합하여 볼 때, 개인정보취급자에 관한 규정이 ‘임직원, 파견근로자, 시간제근
로자 등’으로 정하고 있어 임원을 포함하고 있다고 하더라도 이는 모든 임원이 개인정
보취급자에 해당함을 의미하는 것이 아니라, 개인정보 보호법 시행령 제32조 제2항 제
2호에 따라 개인정보 보호책임자로 지정된 ‘사업주, 대표자, 임원’은 개인정보취급자의 
범위에서 제외되고, 개인정보 보호책임자로 지정되지 않은 나머지 임원 중에서도 위 
❶요건을 갖춘 임원만이 개인정보처리자의 지휘․감독 하에 개인정보 처리 업무를 직
접 수행하여 개인정보취급자로 구분되는 경우를 상정한 것으로 봄이 상당하므로, ‘임직
원, 파견근로자, 시간제근로자 등’이라는 예시 문언을 근거로 개인정보취급자의 개인정
- 15 -
보처리자에 대한 종속성을 인정하더라도 피고가 주장하는 바와 같은 모순은 발생하지 
않는다. 
앞서 살핀 바와 같은 이 사건 규정들의 내용, 특히 이 사건 고시 제4조 제2항이 
‘전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우’라고 하여 
개인정보취급자가 개인정보처리자와 고용관계 또는 이와 유사한 관계에 있어 개인정보
처리자의 인사정책의 영향을 받는 자임을 전제하고 있고(표준지침 제15조 제3항도 마
찬가지이다), 이 사건 고시 제4조 제4항은 개인정보취급자가 개인정보처리자의 내부 
정보통신망을 사용하는 자임을 전제하고 있는 점 및 여기에 더하여 표준지침 제52조, 
제56조에서 언급된 개인정보취급자와 관련된 내용 등을 종합적으로 고려하면, 개인정
보취급자는 개인정보처리자의 지휘․감독을 받는 업무상 종속적 관계에 있는 자로 봄
이 타당하므로, 피고의 이 부분 주장도 받아들이기 어렵다.
바) ① 이 사건 오픈마켓의 판매자는 원고와의 이 사건 약관 등에 의한 약정에 따
라 원고 개인정보처리시스템에 대한 접근권한을 부여받음으로써 구매자 개인정보를 제
공받아, 즉 원고의 서비스를 이용함으로써 판매자 자신의 업무를 위하여 스스로의 의
사에 따라 개인정보를 처리 및 이용하는 자이다. 
② 판매자가 원고의 개인정보처리시스템에 접근하는 방식은 원고와 실질적인 사
용관계에 있는 임직원[파견근로자, 시간제근로자 포함, 이하 바)항에서는 이와 같다] 등
이 해당 시스템에 접근하는 방식과는 그 구조 및 내용이 아래 ‘표’와 같이 상당한 차이
가 있다고 보인다.9) 
9) 이와 관련하여, 피고는 이 사건 오픈마켓과 같은 거래관여형 플랫폼의 판매회원이 개인정보를 처리하는 역
할은 종합쇼핑몰형 플랫폼에서 그 내부 직원들이 개인정보 처리 업무를 수행하는 역할과 사실상 다르지 않
다고 주장하나, 종합쇼핑몰형 플랫폼의 내부 직원은 플랫폼 사업자의 사업을 위하여 내부 직원이 담당하는 
업무를 처리하는 반면, 거래관여형 플랫폼의 판매회원은 플랫폼 사업자가 아닌 자기 자신의 사업 목적을 
- 16 -
위하여 오픈마켓 사업자와 이 사건 약관과 같은 내용의 계약을 체결하여 플랫폼 서비스를 이용하는 것이므
로, 양자의 성격은 본질적으로 구별되는 것인바, 피고의 이 부분 주장은 받아들일 수 없다. 
10) 전국적인 조직을 갖춘 회사나 단체가 내부사용자들만 쓸 수 있는 내부망(인트라넷)을 구축할 때 내부시스
○ 오픈마켓 판매자와 구매자가 오픈마켓 사업자의 내부시스템에 저장된 정보를 접
근․사용하는 방법
- 오픈마켓 사업자의 임직원은 오픈마켓 사업자의 사업 수행을 위하여 오픈마켓 
사업자의 사업 수행을 위하여 오픈마켓 사업자의 내부시스템을 유지․보수․관리하
기 위하여 내부시스템에 접근하는 내부사용자에 해당한다.
- 오픈마켓 판매자와 구매자는 모두 오픈마켓 상에서 상품을 판매하고 구매하기 
위해 필요한 한도 내에서 내부시스템의 일정 영역에 저장된 일부 정보를 한정적으
로 접근․사용하는 외부사용자로 봄이 상당하다. 
- 오픈마켓 판매자나 구매자 모두 사업자의 내부시스템에 직접 접속하는 것은 아
니고, 인터넷을 통해 내부망(인트라넷)과 외부 인터넷망의 중간에 사업자가 구축한 
영역(DMZ, Web server)에 접속하여 내부시스템의 정보를 요청하고, 내부시스템으
로부터 위 중간 영역에 요청하였던 정보가 넘어오면 이에 접근하는 방식으로 오픈
마켓 플랫폼에서 정보를 접근․사용하는 점에서, 오픈마켓 판매자나 구매자는 모두 
오픈마켓 플랫폼 및 이에 관련된 내부시스템의 외부에 있는 전형적인 ‘외부사용자’
라고 할 것이다.
즉, 오픈마켓 판매자는 오픈마켓 사업자인 원고가 관리․운영하는 데이터베이스 
서버에 직접 접근 또는 접속하여 개인정보를 취득하는 것이 아니라, 오픈마켓 판매
자가 인터넷을 통해 필요한 주문자 정보를 요청하면, 이에 대한 응답으로 오픈마켓 
판매자와 연결된 원고의 웹서버 시스템이 원고의 데이터베이스 서버에 저장되어 있
는 데이터베이스를 검색하여 주문자 정보를 찾아 달라고 요청하고, 그 요청에 따라 
내부 프로그램이 데이터베이스에서 요청된 주문자 정보를 검색한 다음 그 결과를 
다시 웹서버에 전달하고, 그 웹서버를 통해 오픈마켓 판매자에게 요청된 주문자 정
- 17 -
템의 서버와 내부사용자들의 컴퓨터만을 전용선으로 연결해서 외부의 제3자가 접근하지 못하도록 하는데, 
VPN(Virtual Private Network, 가상 사설망)이라 함은, 전용선이 없는 지역에서는 내부망(인트라넷) 자체에 
접근이 불가능하여, 인터넷망을 전용망(인트라넷)처럼 사용할 수 있도록 하는 기술이 사용되는 것을 의미한
다고 보인다(을 제1호증 중 제52쪽 등 참조). 
보가 제공되는 것으로서, 오픈마켓 판매자는 원고의 데이터베이스 서버 그 자체에 
대한 접근권한이 부여되는 것이 아니다.
- 이에 반해 내부사용자의 경우 내부망(인트라넷)을 통해 내부시스템인 데이터베
이스 서버 자체에 접속할 수 있고, 그 직무 내용에 따라 내부시스템의 각 영역에 저
장된 전체 정보를 제한 없이 접근․사용할 수 있는 점에서, 외부사용자와 본질적으
로 구별된다. 
- 기업이나 단체의 임직원, 즉 ‘내부사용자’는 사무실에서 외부 인터넷망과는 별도
로 구축되는 내부망(인트라넷)으로 연결된 내부시스템에 직접 접속하여 내부시스템
의 유지․보수․관리 업무를 처리하고, 출장, 재택근무 등으로 외부에서 해당 기업
이나 단체의 내부망(인트라넷)에 접근하여 관련 업무를 처리하는 경우에도 외부사용
자와 같이 인터넷을 통해서 내부시스템과 외부시스템의 중간 영역에 연결되도록 하
는 방식 대신 VPN10) 등을 이용하여 내부망(인트라넷)에 직접 접근하는 방식을 통해 
외부 인터넷망과는 단절된 형태로 내부시스템에 직접 접속하고 있다고 보인다. 
- 이를 그림으로 나타내면 아래와 같다.
- 18 -
③ 판매자는 판매자 본인의 상품 판매라는 자신의 고유 업무를 위하여 구매자의 
개인정보를 처리한다. 
④ 만약 판매자가 오픈마켓 사업자인 원고의 개인정보취급자에 해당한다는 피고
의 논리대로라면, 판매자는 개인정보 보호법 시행령 제48조의2 제1항 제2호 다목, 이 
사건 고시 제4조 제6항에서 규정한 일정한 규모를 갖춘 정보통신서비스 제공자인 원고
- 19 -
의 오픈마켓 플랫폼 및 관련 시스템에 접근하려면 현재와 같이 인터넷망을 통해서는 
아니 되고 인터넷망과 분리된 별도의 망을 구축하고 이를 통하여 원고의 시스템에 접
근하도록 하여야 하고, 위와 같은 일정한 규모를 갖춘 정보통신서비스 제공자인 원고
가 이러한 조치를 취하지 않는 경우에는 개인정보 보호법 제29조의 안전조치의무 위반
을 한 경우에 해당하여 같은 법 제64조 제1항의 시정조치나 제75조 제2항 제6호의 과
태료 등의 제재를 받을 수 있다.
그러나 VPN이나 전용선과 같은 수단은 임직원들과 같은 내부사용자가 출장이
나 재택근무와 같이 외부에서 내부망에 접속하기 위하여 이용하는 것으로, 정보시스템
의 일반적 구조상 오픈마켓 판매자와 같은 외부사용자들을 위한 수단으로 보기 어려울 
뿐만 아니라, 수많은 오픈마켓 판매자에게 VPN이나 전용선을 이용할 수 있도록 조치
하는 것은 정보통신서비스 제공자인 원고에게는 현실적으로 실현가능성이 높지 않다고 
보인다(따라서 이러한 망분리에 관한 개인정보 보호법 시행령 제48조의2 제1항 제2호 
다목, 이 사건 고시 제4조 제6항 규정은 오픈마켓 판매자와 같은 시스템의 외부사용자
는 개인정보취급자에 해당하지 않는 것을 전제로 하여 마련된 것으로 봄이 상당하다). 
⑤ 위와 같은 사정을 종합하여 보면, 판매자가 외부사용자로서 위와 같이 원고
의 서비스를 이용하는 범위 내에서 이 사건 약관에서 정한 바에 따라 계약상의 제약을 
받는다는 점만으로 사용자와 피용자 사이와 같은 종속적인 관계에서 원고의 지휘․감
독을 받는다고 볼 수는 없다.
사) 피고는, 판매자는 개인정보처리자인 원고로부터 개인정보를 제공받은 제3자에 
해당하는데, 제3자와 개인정보취급자가 서로 양립 불가능한 개념이라는 법적 근거가 
없으므로 이러한 점에서도 판매자를 개인정보취급자로 인정함에 문제가 없다고 주장하
- 20 -
면서,11) 시점별 판매자의 법적 지위에 관하여, 판매자는 원고 개인정보처리시스템 내에
서 개인정보를 처리하는 동안 개인정보처리자, 개인정보취급자, 개인정보처리자로부터 
개인정보를 제공받은 제3자의 지위를 모두 지니다가, 개인정보처리시스템에서 구매자 
개인정보를 출력 내지 다운로드한 시점부터 더 이상 개인정보취급자에는 해당하지 않
게 되는 것이라는 취지로 주장한다.
(1) 피고 스스로 제정하여 고시한 표준지침 제7조 제2항에는 “개인정보 보호법 
제17조의 ‘제3자’란 정보주체와 정보주체에 관한 개인정보처리를 수집․보유하고 있는 
개인정보처리자를 제외한 모든 자를 의미한다”고 규정하고 있는바, 이러한 규정의 문
언자체에 따르면, ‘정보주체’와 ‘개인정보처리자’가 아닌 개인정보취급자는 개인정보 보
호법 제17조의 ‘제3자’[(1)항과 아래 (2), (3)항에서는 이하 ‘제3자’라고 표현한다]에 해
당한다고 해석할 여지가 있기는 하다. 
(가) 그러나 만약 개인정보취급자를 ‘제3자’에 해당한다고 가정할 경우에는 아래
와 같은 문제점이 있다.
11) 나아가, 피고는 표준지침 제7조 제1항에서 ‘개인정보에 대한 제3자의 접근권한 부여’를 ‘제공’의 한 태양으
로 인정하고 있고, 이 사건 고시 제4조 제1항은 ‘정보통신서비스 제공자등은 개인정보처리시스템에 대한 접
근권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다’고 규정
하고 있는바, 만약 원고로부터 개인정보를 제공받은 판매자가 개인정보취급자는 절대 될 수 없다고 해석하
면 원고는 표준지침 제7조 제1항의 방식으로 개인정보를 제공하였으나 이 사건 고시 제4조 제1항을 위반
하는 결과가 초래된다고 주장한다(피고의 2023. 4. 5.자 준비서면 제23쪽). 
그러나 이 사건 고시 제1조에 의하면 이 사건 고시의 제정 목적은 개인정보 보호법 시행령 제48조의2에 
규정된 정보통신서비스 제공자등이 이용자의 개인정보를 처리함에 있어 개인정보의 안전성 확보를 위하여 
필요한 기술 보호조치의 내용을 정하는 것인바, 이 사건 고시 제4조 제1항은 개인정보 보호책임자 또는 개
인정보취급자가 개인정보처리자의 의사에 따라 개인정보를 처리하도록 함에 있어 개인정보처리시스템에의 
접근 가능한 주체를 한정하여 개인정보를 안전하게 관리하도록 한 것인 반면, 표준지침 제7조 제1항은 개
인정보 보호법 제17조 제1항을 구체화하여 세부적인 사항을 규정한 것으로서 개인정보처리자가 자신과는 
별개의 개인정보처리자에 해당하는 제3자에게 개인정보에 대한 접근권한을 부여하는 방식으로 개인정보를 
제공할 수 있음을 규정한 것이므로, 판매자가 개인정보취급자에 해당하지 않는다고 보더라도 원고가 이 사
건 고시 제4조 제1항을 위반한 것이 되지는 않는다고 봄이 상당하다. 따라서 피고의 이 부분 주장은 받아
들일 수 없다.
- 21 -
① 개인정보 보호법 제17조 제1항 제1호에 의하면, 개인정보처리자는 정보주체
의 동의를 받은 경우에 정보주체의 개인정보를 ‘제3자’에게 제공할 수 있는바, 원고는 
구매자들이 이 사건 오픈마켓에 회원가입을 하거나 상품을 주문․결제할 경우 그 개인
정보를 판매자에게 제공하는 것에 대한 명시적인 동의를 받고 있고, 위와 같은 동의에 
근거하여 판매자에게 구매자의 개인정보를 제공하고 있다. 
그런데 개인정보취급자가 ‘제3자’에 해당한다고 볼 경우에는, 개인정보처리자
로서는 개인정보 보호법 제17조 제1항 제2호에 해당하지 않는 한 원칙적으로 정보주
체의 동의를 받아야만 비로소 ‘제3자’인 개인정보취급자에게 정보주체의 개인정보를 제
공할 수 있다고 해석할 수밖에 없다.
② 개인정보의 처리 중 하나인 ‘개인정보의 제공’이란 개인정보의 저장 매체나 
개인정보가 담긴 출력물․책자 등을 물리적으로 이전하거나 네트워크를 통한 개인정보
의 전송, 개인정보에 대한 ‘제3자’의 접근권한 부여, 개인정보처리자와 ‘제3자’의 개인정
보 공유 등 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위를 말하는바
(개인정보 보호법 제2조 제2호, 표준지침 제7조 제1항), 개인정보취급자가 ‘제3자’에 해
당한다고 볼 경우에는, 개인정보처리자가 자신의 지휘․감독을 받는 ‘제3자’인 개인정
보취급자에게 개인정보에 대한 접근권한 부여, 개인정보의 공동 이용 상태 초래 등도 
모두 여기에 해당할 수 있으므로, 이러한 경우 개인정보처리자로서는 미리 정보주체로
부터 동의12)를 받아야 한다. 
③ 만약 개인정보처리자가 ‘제3자’인 개인정보취급자에게 개인정보를 제공함에 
있어 정보주체로부터 동의를 받았다면, 개인정보처리자로서는 정보주체에게 개인정보
12) 개인정보 보호법 제22조, 표준지침 제12조에 따른 동의절차를 거쳐야 한다. 
- 22 -
를 제공받는 자인 개인정보취급자를 알려야 하고, 이와 같이 알리는 경우에는 그 성명
과 연락처를 함께 알려야 한다(개인정보 보호법 제7조 제2항 제1호, 표준지침 제7조 
제3항). 그런데 예를 들어 개인정보처리자가 각종 정보회사, 신용카드회사 등 다수의 
개인정보를 처리하는 기업 등인 경우에는 그 지휘․감독을 받는 개인정보취급자가 상
당히 많은 인원이 있을 여지가 있음에도, 개인정보취급자를 ‘제3자’로 볼 경우에는 단
지 개인정보의 공동 이용 상태 초래 등을 하였다는 이유로 그들의 성명과 연락처를 모
두 정보주체에게 알려야 한다고 볼 수밖에 없게 된다. 
④ 더 큰 문제는 형사적인 처벌이나 과징금, 과태료 등에 있을 수 있다. 
㉮ 개인정보 보호법 제71조 제1호에 의하면, 같은 법 제17조 제1항 제2호에 
해당하지 아니함에도 같은 항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개
인정보를 ‘제3자’에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자에 대하여 
5년 이하의 징역 또는 5천만원 이하의 벌금에 처하도록 규정하고 있다.
‘개인정보취급자’를 ‘제3자’에 해당한다고 볼 경우에는 만약 개인정보처리자가 
위 ①항에서 본 바와 같이 정보주체의 동의를 받아야 함에도 불구하고 이를 받지 않고 
개인정보를 ‘제3자’인 ‘개인정보취급자’에게 제공하였다면, 개인정보처리자와 그 정보를 
받은 ‘개인정보취급자’는 모두 위와 같은 형사처벌을 받을 가능성이 높을 수밖에 없게 
된다. 
㉯ 개인정보 보호법 제39조의15 제1항 제1호에 의하면, 피고는 원고와 같은 
정보통신서비스 제공자등에게 제17조 제1항 등을 위반하여 개인정보를 이용ㆍ제공한 
경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 
이하에 해당하는 금액을 과징금으로 부과할 수 있다.
- 23 -
‘개인정보취급자’를 ‘제3자’에 해당한다고 볼 경우에는 만약 개인정보처리자가 
위 ①항에서 본 바와 같이 정보주체의 동의를 받아야 함에도 불구하고 이를 받지 않고 
개인정보를 ‘제3자’인 ‘개인정보취급자’에게 제공하였다면, 개인정보처리자는 정보통신
서비스 제공자등으로서 위와 같은 과징금 부과를 받을 수 있다. 
㉰ 개인정보 보호법 제75조 제2항 제1호에 의하면, 같은 법 제17조 제2항을 
위반하여 정보주체에게 알려야 할 사항을 알리지 아니한 자에 대하여 3천만원 이하의 
과태료를 부과하도록 규정하고 있다.
‘개인정보취급자’를 ‘제3자’에 해당한다고 볼 경우에는 만약 개인정보처리자가 
개인정보취급자에게 개인정보를 제공함에 있어 위 ②항에서 본 바와 같이 정보주체의 
동의를 받았다고 하더라도, 그 개인정보취급자의 성명과 인적사항 등을 정보주체에게 
알리지 않았다면(앞서 예를 든 다수의 개인정보를 처리하는 기업 등의 경우 상당히 많
은 수의 개인정보취급자 중 1명이라도), 개인정보처리자로서는 위와 같은 과태료를 부
과받을 수밖에 없게 된다. 
(나) 따라서 표준지침 제7조 제2항의 문언에도 불구하고 개인정보 보호법령의 
입법 취지와 목적, 앞서 본 바와 같은 개인정보 보호법 제2조 제2호, 제7조 제2항 제1
호, 제17조 제1항 제1호, 제39조의15 제1항 제1호, 제71조 제1호, 제75조 제2항 제1호 
및 표준지침 제7조 제1항, 제3항 등 다른 규정과의 관계 등을 함께 고려하여 볼 때, 
표준지침 제7조 제2항에 규정한 ‘제3자’의 범위에 개인정보취급자는 포함되지 않는 것
으로 해석함이 상당하다.13) 
13) 하위법령은 그 규정이 상위법령의 규정에 명백히 저촉되어 무효인 경우를 제외하고는 관련 법령의 내용
과 입법 취지 및 연혁 등을 종합적으로 살펴서 의미를 상위법령에 합치되는 것으로 해석하여야 한다(대법
원 2016. 6. 10. 선고 2016두33186 판결 등 참조).
- 24 -
(2) ① 개인정보취급자는 개인정보처리자의 의사에 따라 개인정보 처리의 업무를 
직접 수행하는 자에 불과하고, 대법원도 “개인정보 보호법 제17조에서 말하는 개인정
보의 ‘제3자 제공’은 본래의 개인정보 수집․이용 목적의 범위를 넘어 정보를 제공받는 
자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우”라고 판시하였는바(대법원 
2017. 4. 7. 선고 2016도13263 판결 참조), 개인정보처리자의 지휘․감독을 받아 개인
정보를 처리하는 업무를 담당하는 개인정보취급자는 비록 개인정보처리자로부터 정보
주체의 개인정보를 이전받았다고 하더라도, 이를 두고 위와 같은 ’제3자 제공‘에 해당
한다고 볼 수는 없다고 할 것인 점, ② 개인정보 보호법은 제17조 제1항에서 개인정보
처리자가 ‘제3자’에게 개인정보를 제공하는 경우 정보주체의 동의를 요구하고 있는 반
면, 개인정보처리자의 지휘․감독을 받아 개인정보 처리 업무를 담당하는 개인정보취
급자가 정보주체의 개인정보를 처리하는 경우에는 그것이 개인정보처리자의 당연한 업
무범위 내라는 전제에서 별도의 동의를 요구하지 않고 있다고 해석함이 상당한 점 등
을 고려하여 볼 때, ‘제3자’와 개인정보취급자는 서로 양립할 수 없는 별개의 지위라고 
봄이 타당하고, 판매자가 원고 개인정보처리시스템에서 개인정보를 출력 내지 다운로
드 받기 직전의 아주 일시적인 순간이라고 하더라도 개인정보를 제공받은 ‘제3자’의 지
위와 개인정보취급자의 지위를 동시에 가진다고 볼 수는 없다. 
(3) 결국 판매자는 당초부터 원고로부터 개인정보를 제공받은 ‘제3자’였을 뿐이고
(이로 인해 독자적인 개인정보처리자의 지위를 가짐은 별론으로 한다), 이와 동시에 원
고의 개인정보취급자에 해당하지는 않는다고 봄이 타당하므로, 피고의 이 부분 주장은 
받아들일 수 없다. 
아) 만약 피고의 주장대로 판매자가 원고의 개인정보취급자에 해당한다고 본다면, 
- 25 -
원고는 이 사건 규정들에 따라 수십만 명에 이르는 판매자들의 컴퓨터 등에 외부 인터
넷망 차단 조치를 취하고, 판매자들의 컴퓨터와 휴대전화 등에 정보공유 등을 제한하
는 일정한 조치를 취해야 한다는 결론이 되는데, 원고가 이 사건 약관에 따라 이 사건 
오픈마켓에 가입한 회원에 불과한 판매자들에게 위와 같은 조치를 취하거나 이를 강제
하는 것은 실현하기 어렵다고 보인다. 
이 사건 규정들은 개인정보처리자의 개인정보취급자에 대한 안전조치 내용을 상
당히 구체적으로 정하고 있는데 이는 개인정보취급자가 개인정보처리자의 의사에 따라 
그 지휘․감독을 받으며 업무를 수행하는 자이기에 가능한 것이고, 원고가 전국에 산
재해 있는 수십만 명의 판매자들에게 일일이 연락하여 판매자들을 교육시키거나, 판매
자들이나 그들의 개인정보 처리 업무 담당자들의 컴퓨터 등을 물리적으로 직접 관리하
는 것은 사실상 실현하기 어렵다고 보인다. 
이러한 점에서도 개인정보취급자는 원고와 단순한 계약관계에 따라 개인정보를 
제공받는 자가 아니라 원고와 종속적인 관계에서 그 지휘․감독 아래 원고의 의사에 
따라 업무를 수행하는 자로 한정된다고 봄이 타당하다.
자) 피고는 ‘개인정보의 기술적․관리적 보호조치 기준 해설서’에 오픈마켓 판매자
가 개인정보취급자에 해당한다고 기재(을 제1호증 중 제27쪽)되어 있는 것을 근거로 
이 사건 처분이 적법하다는 주장도 하고 있으나, 위 해설서는 이 사건 고시에 대한 이
해를 돕기 위하여 피고 스스로가 한국인터넷진흥원과 함께 발간한 해석을 담은 문서에 
불과하므로, 위 해설서에 근거하여 개인정보 보호법령에서 규정하는 내용과 달리 ‘개인
정보취급자’의 범위를 확장할 수는 없다. 
차) (1) 나아가 개인정보 보호법은 대부분의 규정에서 개인정보의 수집, 이용, 처리 
- 26 -
등에 관한 권리․의무의 주체로 개인정보처리자를 상정하고 있다. 그런데 판매자는 자
신의 판매업무를 목적으로 개인정보를 처리하므로 개인정보파일을 운용할 경우 개인정
보 보호법 제2조 제5호에서 정한 ‘개인정보처리자’에 해당할 수 있는바, 이러한 경우 
판매자는 독자적으로 개인정보 보호법에 따른 개인정보 보호 의무를 부담하게 될 뿐만 
아니라 벌칙 규정 등의 적용 대상이 되므로, 피고 등 관할관청은 이러한 판매자에 대
한 직접 관리․감독 조치를 통해서도 구매자의 개인정보를 충분히 보호할 수 있다고 
보인다. 
특히, 판매자는 개인정보 보호법 시행령 제48조의2 제1항에 의하여 정보통신서
비스 제공자등에 해당하여 각 호의 안전성 확보 조치를 취해야 하는 점은 앞서 본 바
와 같고,14) 같은 항 제5호에서는 ‘개인정보처리시스템 및 개인정보취급자가 개인정보 
처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여
부를 항시 점검․치료할 수 있도록 하기 위한 백신소프트웨어 설치 및 주기적 갱신․
점검 조치’를 규정하고 있고, 이 사건 고시 제4조 제5항에 ‘정보통신서비스 제공자등은 
정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함
한 시스템을 설치․운영하여야 한다’고 규정하면서, 제1호에 ‘개인정보처리시스템에 대
한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한’, 제2호에 ‘개인정
보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지’
를 열거하고 있다. 
(2) 피고는 최근 해커들이 판매자의 정보를 해킹한 후 이를 이용하여 원고의 개
14) 피고도 이 사건 고시 제4조 제6항, 제7조에 관하여, ‘원고가 판매자의 컴퓨터에 대해서까지 망분리 혹은 
보안 프로그램을 설치․운영해 줄 의무를 부담하는 것은 아니고, 판매자의 컴퓨터는 판매자 스스로 망분리 
혹은 보안 프로그램을 설치․운영 조치를 취하는 것이 수년간 걸쳐 확립된 행정관행’이라는 취지로 주장한
다(피고의 2023. 4. 5.자 준비서면 제39~41쪽).
- 27 -
인정보처리시스템에 불법으로 접속하여 개인정보를 유출한 사고가 발생하고 있음을 우
려하여 이 사건 처분을 내린 것으로 보이는바, 정보통신서비스 제공자등에 해당하는 
판매자가 위 개인정보 보호법 시행령 제48조의2 제1항 제5호, 이 사건 고시 제4조 제5
항에 따른 조치를 취함으로써 판매자 컴퓨터 등에 악성프로그램이 침투하여 판매자 정
보를 유출 당하는 사태를 막을 수 있다면 이것만으로도 피고가 우려하는 사고를 충분
히 예방할 수 있어 보인다. 
이와 관련하여, 피고는 ‘개인정보의 기술적․관리적 보호조치 기준 해설서’에서 
아래 ‘표’ 기재와 같은 내용으로 이 사건 고시 제4조 제5항을 설명하고 있는바(을 제1
호증 중 제52~54쪽), 정보통신서비스 제공자등에 해당하는 판매자도 특별한 사정이 없
는 한 그와 같은 설명에 따른 조치를 취하여야 한다고 보인다(개인정보 보호법 제29
조, 제39조의15 제1항 제5호, 제65조, 제73조 제1호, 제75조 제2항 제6호 및 을 제1호
증 중 제6쪽 등 참조). 
○ 정보통신서비스 제공자등은 불법적인 접근 및 침해사고 방지를 위해 다음과 같은 시
스템 등을 스스로의 환경을 고려하여 접근 제한 기능 및 유출 탐지 기능이 적합하
게 수행되도록 설치․운영하여야 한다.

- 해당 시스템으로는 침입차단시스템, 침입탐지시스템, 침입방지시스템, 보안 운영체
참고 
☞ 불법적인 접근 : 인가되지 않은 자(내․외부자 모두 포함)가 사용자계정 탈취, 자료유
출 등의 목적으로 개인정보처리시스템, 개인정보취급자의 컴퓨터 등
에 접근하는 것을 말한다. 
☞ 침해사고 : 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자
기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하
는 행위를 하여 발생한 사태를 말한다.( 「정보통신망 이용촉진 및 정보
보호 등에 관한 법률」제2조 제1항 제7호)
- 28 -
(3) 이와 달리 원고의 개인정보처리시스템에 대하여 개인정보처리자로서 지는 안
전성 확보조치 의무와 관련하여 판매자에 의해서는 그러한 확보조치가 어렵다는 이유
만으로 이 사건 처분과 같이 판매자가 원고의 지휘․감독을 받는 개인정보취급자에 해
당함을 전제로 하는 안전성 확보조치를 원고에게 강제한다면, 판매자와 이 사건 오픈
마켓 이용계약을 체결한 당사자에 불과하여 판매자들을 구체적으로 통제할 만한 권한
과 수단이 있다고 볼 수 없는 원고에게 수십만 명에 이르는 판매자에 대한 교육의무, 
제(Secure OS), 웹방화벽, 로그분석시스템, ACL(Access Control List)을 적용한 네
트워크 장비, 통합보안관제시스템 등을 활용할 수 있다. 다만, 어느 경우라도 접근 
제한 기능 및 유출 탐지 기능이 모두 충족되어야 한다.
- SOHO 등 소기업은 인터넷데이터센터(IDC), 클라우드 서비스 등에서 제공하는 보안
서비스(방화벽, 침입방지, 웹방화벽 등)를 활용하거나 공개용(무료) S/W를 사용하여 
해당 기능을 구현한 시스템을 설치․운영할 수 있다. 다만, 공개용(무료) S/W를 사
용할 때에는 적절한 보안이 이루어지는지를 사전에 점검할 필요가 있다.
○ 접근 제한 기능 및 유출 탐지 기능의 충족을 위해서는 단순히 시스템을 설치하는 것
만으로는 부족하며, 신규 위협 대응 및 정책의 관리를 위하여 다음과 같은 방법 등을 
활용하여 체계적으로 운영․관리하여야 한다.
- 정책 설정 운영 : 신규 위협 대응 등을 위하여 접근 제한 정책 및 유출 탐지 정책
을 설정하고 지속적인 업데이트 적용 및 운영‧관리
- 이상 행위 대응 : 모니터링 등을 통해 인가받지 않은 접근을 제한하거나 인가자의 
비정상적인 행동에 대응
- 로그 분석 : 로그 등의 대조 또는 분석을 통하여 이상 행위를 탐지 또는 차단
○ IP주소 등에는 IP주소, 포트 그 자체뿐만 아니라, 해당 IP주소의 행위(과도한 접속성
공 및 실패, 부적절한 명령어 등 이상 행위 관련 패킷)를 포함한다.
- 29 -
관리․감독 의무를 부담하게 하여 사실상 불가능하거나 과도한 의무를 요구하게 되고, 
판매자가 구매자의 개인정보를 고의로 악용하여 구매자에게 손해를 가하였을 경우에도 
원고가 법적 책임을 부담하게 될 여지가 있어 자기책임의 원칙에도 반한다고 보인
다.15) 
카) 판매자를 원고의 개인정보취급자로 보지 않는다고 하더라도, 원고는 여전히 개
인정보 보호법 제29조, 같은 법 시행령 제48조의2 제1항 제2 내지 5호, 이 사건 고시 
제4조 제5항 등에 따라 스마트스토어 시스템에 저장되어 있는 구매자의 개인정보에 대
한 불법접근 차단, 접속기록의 위조․변조 방지, 개인정보의 안전한 저장․전송을 위한 
각종 조치(판매자를 개인정보취급자로 볼 경우에만 필요한 조치들 제외) 등을 취해야 
할 의무를 부담하므로, 판매자를 반드시 원고의 개인정보취급자로 보아야 할 만한 정
책적 필요도 크지 않다. 
3. 결론
그렇다면 원고의 청구는 이유 있어 이를 인용하여야 한다. 이와 결론을 같이하는 제
1심판결은 정당하므로 피고의 항소는 이유 없어 이를 기각하기로 하여, 주문과 같이 
판결한다. 
15) 피고는 원고가 스스로의 선택에 의하여 판매자에게 원고의 개인정보처리시스템에 대한 접근권한을 부여
하였으므로 그에 따른 안전성 확보조치를 취하는 것은 자기책임의 원리상 당연한 귀결이라고 주장한다(피
고의 2023. 4. 5.자 준비서면 제24, 25쪽). 
그러나 원고가 판매자와 체결한 이 사건 약관 제5조 후문은 ‘회사(원고)는 회원이 제공하고 등록한 정보에 
대해서는 해당 회원이 그에 대한 직접적인 책임을 부담하여야 한다’고 규정하고, 제31조 제5호는 ‘판매회원
이 구매회원의 개인정보를 처리할 때에는 개인정보의 분실, 도난, 유출, 변조 또는 훼손을 방지하기 위하여 
관련법령에서 정한 기술적․관리적 조치를 다하여야 한다’고 정하고 있는바, 원고가 판매자에게 개인정보처
리시스템에 대한 접근권한을 부여하면서 개인정보의 분실 등을 방지하기 위한 기술적․관리적 조치까지도 
원고가 모두 책임질 것을 스스로 선택하였다고 보이지 않고, 피고의 주장 논리대로라면 판매자 역시 스스
로의 선택에 의하여 원고의 개인정보처리시스템에 대한 접근권한을 부여 받아 구매자의 개인정보를 제공받
았으므로 그에 따른 안전성 확보조치를 취하는 것이 자기책임의 원리상 당연한 귀결일 것으로 보인다. 따
라서 피고의 이 부분 주장은 받아들일 수 없다. 
- 30 -
재판장 판사 조진구
판사 신용호
판사 정총령
- 31 -
[별지 1]
시 정 명 령
원고에 대하여 다음과 같이 시정조치를 명한다.
가. 원고는 개인정보에 대한 불법적인 접근을 차단하기 위하여 개인정보취급자인 판매
자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 
안전한 인증수단을 적용하여야 한다.
나. 원고는 대표자를 비롯하여 개인정보 보호책임자 및 개인정보취급자16)를 대상으로 
정기적인 교육을 실시하고, 개인정보보호위원회와 협의하여 재발방지대책을 수립하
여야 한다.
다. 가.부터 나.까지의 시정명령에 따른 시정조치를 이행하고, 시정조치 명령 처분통지
를 받은 날로부터 30일 이내에 이행결과를 개인정보보호위원회에 제출하여야 한다.
16) 피고는 이 사건 변론과정에서 위 가.항에서와 마찬가지로 ‘개인정보취급자인 판매자’를 의미하는 것이라고 밝혔
다(피고의 2023. 5. 23.자 준비서면 중 제63쪽).
- 32 -
[별지 2]
관계 법령
▣ 개인정보 보호법
제2조(정의)
이 법에서 사용하는 용어의 뜻은 다음과 같다.
1. "개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보
를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 
수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개
인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
2. "처리"란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정
정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
3. "정보주체"란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 
사람을 말한다.
4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 
배열하거나 구성한 개인정보의 집합물(集合物)을 말한다. 
5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 
사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다. 
제4조(정보주체의 권리)
정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 
같다)을 요구할 권리
4. 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리
5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
제7조(개인정보 보호위원회)
- 33 -
① 개인정보 보호에 관한 사무를 독립적으로 수행하기 위하여 국무총리 소속으로 개인정보 보
호위원회(이하 "보호위원회"라 한다)를 둔다. 
② 보호위원회는 「정부조직법」 제2조에 따른 중앙행정기관으로 본다.
제12조(개인정보 보호지침)
① 보호위원회는 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 
표준 개인정보 보호지침(이하 "표준지침"이라 한다)을 정하여 개인정보처리자에게 그 준수
를 권장할 수 있다.
제17조(개인정보의 제공)
① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제
3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. 
1. 정보주체의 동의를 받은 경우 
2. 제15조제1항제2호ㆍ제3호ㆍ제5호 및 제39조의3제2항제2호ㆍ제3호에 따라 개인정보를 수
집한 목적 범위에서 개인정보를 제공하는 경우 
② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에
게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 
받아야 한다. 
1. 개인정보를 제공받는 자 
2. 개인정보를 제공받는 자의 개인정보 이용 목적 
3. 제공하는 개인정보의 항목 
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 
5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이
익의 내용 
제18조(개인정보의 목적 외 이용ㆍ제공 제한)
① 개인정보처리자는 개인정보를 제15조제1항 및 제39조의3제1항 및 제2항에 따른 범위를 초
과하여 이용하거나 제17조제1항 및 제3항에 따른 범위를 초과하여 제3자에게 제공하여서는 
아니 된다. 
제19조(개인정보를 제공받은 자의 이용ㆍ제공 제한)
개인정보처리자로부터 개인정보를 제공받은 자는 다음 각 호의 어느 하나에 해당하는 경우를 
제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 
- 34 -
아니 된다. 
1. 정보주체로부터 별도의 동의를 받은 경우 
2. 다른 법률에 특별한 규정이 있는 경우 
제22조(동의를 받는 방법)
① 개인정보처리자는 이 법에 따른 개인정보의 처리에 대하여 정보주체(제6항에 따른 법정대
리인을 포함한다. 이하 이 조에서 같다)의 동의를 받을 때에는 각각의 동의 사항을 구분하
여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다. 
② 개인정보처리자는 제1항의 동의를 서면(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 
전자문서를 포함한다)으로 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집ㆍ이용하려는 개
인정보의 항목 등 대통령령으로 정하는 중요한 내용을 보호위원회가 고시로 정하는 방법
에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다. 
③ 개인정보처리자는 제15조제1항제1호, 제17조제1항제1호, 제23조제1항제1호 및 제24조제1항
제1호에 따라 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체와의 계
약 체결 등을 위하여 정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 
필요한 개인정보를 구분하여야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입
증책임은 개인정보처리자가 부담한다. 
제28조(개인정보취급자에 대한 감독)
① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임
직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리
하는 자(이하 “개인정보취급자”라 한다)에 대하여 적절한 관리ㆍ감독을 행하여야 한다. 
② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적
으로 필요한 교육을 실시하여야 한다.
제29조(안전조치의무)
개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 
관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술
적ㆍ관리적 및 물리적 조치를 하여야 한다.
제31조(개인정보 보호책임자의 지정) 
① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 
지정하여야 한다.
- 35 -
⑥ 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정
한다.
제39조(손해배상책임)
① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 
손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증
하지 아니하면 책임을 면할 수 없다.
③ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ
변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 
넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중
대한 과실이 없음을 증명한 경우에는 그러하지 아니하다. 
제39조의2(법정손해배상의 청구)
① 제39조제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정
보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당
한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 
또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
제39조의15(과징금의 부과 등에 대한 특례)
① 보호위원회는 정보통신서비스 제공자등에게 다음 각 호의 어느 하나에 해당하는 행위가 있
는 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 
이하에 해당하는 금액을 과징금으로 부과할 수 있다.
1. 제17조제1항ㆍ제2항, 제18조제1항ㆍ제2항 및 제19조(제39조의14에 따라 준용되는 경우를 
포함한다)를 위반하여 개인정보를 이용ㆍ제공한 경우
5. 이용자의 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손한 경우로서 제29조의 조
치(내부 관리계획 수립에 관한 사항은 제외한다)를 하지 아니한 경우(제39조의14에 따라 
준용되는 경우를 포함한다)
제64조(시정조치 등)
① 보호위원회는 개인정보가 침해되었다고 판단할 상당한 근거가 있고 이를 방치할 경우 회복
하기 어려운 피해가 발생할 우려가 있다고 인정되면 이 법을 위반한 자(중앙행정기관, 지방
자치단체, 국회, 법원, 헌법재판소, 중앙선거관리위원회는 제외한다)에 대하여 다음 각 호에 
해당하는 조치를 명할 수 있다.
- 36 -
1. 개인정보 침해행위의 중지 
2. 개인정보 처리의 일시적인 정지 
3. 그 밖에 개인정보의 보호 및 침해 방지를 위하여 필요한 조치 
제65조(고발 및 징계권고)
① 보호위원회는 개인정보처리자에게 이 법 등 개인정보 보호와 관련된 법규의 위반에 따른 
범죄혐의가 있다고 인정될 만한 상당한 이유가 있을 때에는 관할 수사기관에 그 내용을 고
발할 수 있다. 
② 보호위원회는 이 법 등 개인정보 보호와 관련된 법규의 위반행위가 있다고 인정될 만한 상
당한 이유가 있을 때에는 책임이 있는 자(대표자 및 책임있는 임원을 포함한다)를 징계할 
것을 해당 개인정보처리자에게 권고할 수 있다. 이 경우 권고를 받은 사람은 이를 존중하여
야 하며 그 결과를 보호위원회에 통보하여야 한다.
제71조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한
다. 
1. 제17조제1항제2호에 해당하지 아니함에도 같은 항 제1호를 위반하여 정보주체의 동의를 
받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 
자
제73조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한
다. 
1. 제23조제2항, 제24조제3항, 제25조제6항, 제28조의4제1항 또는 제29조를 위반하여 안전성 
확보에 필요한 조치를 하지 아니하여 개인정보를 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼
손당한 자
제75조(과태료)
② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다. 
1. 제15조제2항, 제17조제2항, 제18조제3항 또는 제26조제3항을 위반하여 정보주체에게 알려
야 할 사항을 알리지 아니한 자
6. 제23조제2항, 제24조제3항, 제25조제6항, 제28조의4제1항 또는 제29조를 위반하여 안전성 
확보에 필요한 조치를 하지 아니한 자 
- 37 -
▣ 개인정보 보호법 시행령
제32조(개인정보 보호책임자의 업무 및 지정요건 등)
② 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다
음 각 호의 구분에 따라 지정한다. 
2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
가. 사업주 또는 대표자
나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
제48조의2(개인정보의 안전성 확보 조치에 관한 특례)
① 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3
호17)에 해당하는 자를 말한다. 이하 같다)와 그로부터 이용자(같은 법 제2조제1항제4호18)에 
해당하는 자를 말한다. 이하 같다)의 개인정보를 법 제17조제1항제1호에 따라 제공받은 자
(이하 “정보통신서비스 제공자등”이라 한다)는 이용자의 개인정보를 처리하는 경우에는 제
30조에도 불구하고 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다. 
1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부관리계획의 수립ㆍ시
행 
가. 개인정보 보호책임자의 지정 등 개인정보 보호 조직의 구성ㆍ운영에 관한 사항 
나. 정보통신서비스 제공자등의 지휘ㆍ감독을 받아 이용자의 개인정보를 처리하는 자(이하 
이 조에서 “개인정보취급자”라 한다)의 교육에 관한 사항 
다. 제2호부터 제6호까지의 규정에 따른 조치를 이행하기 위하여 필요한 세부 사항 
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치 
가. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 이 조에서 
“개인정보처리시스템”이라 한다)에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준
의 수립ㆍ시행 
나. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영 
다. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차
단[전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일
17) "정보통신서비스 제공자"란 「전기통신사업법」 제2조제8호["전기통신사업자"란 전기통신사업법에 따라 등록 
또는 신고(신고가 면제된 경우를 포함한다)를 하고 전기통신역무를 제공하는 자를 말한다.]에 따른 전기통신사업
자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 
자를 말한다.
18) "이용자"란 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다.
- 38 -
평균 100만명 이상이거나 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 
법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다) 부문 전년도(법인
인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등
만 해당한다] 
라. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정 및 운영 
마. 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치 
3. 접속기록의 위조ㆍ변조 방지를 위한 다음 각 목의 조치 
가. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 
처리내역 등의 저장 및 이의 확인ㆍ감독 
나. 개인정보처리시스템에 대한 접속기록을 별도의 저장장치에 백업 보관 
4. 개인정보가 안전하게 저장ㆍ전송될 수 있도록 하기 위한 다음 각 목의 조치 
가. 비밀번호의 일방향 암호화 저장 
나. 주민등록번호, 계좌정보 및 제18조제3호에 따른 정보 등 보호위원회가 정하여 고시하는 
정보의 암호화 저장 
다. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신ㆍ수신하는 경우 보안서버 
구축 등의 조치 
라. 그 밖에 암호화 기술을 이용한 보안조치 
5. 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바
이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 하기 
위한 백신소프트웨어 설치 및 주기적 갱신ㆍ점검 조치 
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치 
③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다. 
▣ 구 개인정보의 기술적ㆍ관리적 보호조치 기준(2021. 9. 15. 개인정보보호위원회고시 
제2021-3호로 개정되기 전의 것)
제1조(목적)
① 이 기준은 「개인정보 보호법」(이하 "법"이라 한다) 제29조 및 같은 법 시행령 제48조의2 제
3항에 따라 정보통신서비스 제공자등(법 제39조의14에 따라 준용되는 자를 포함한다. 이하 
같다)이 이용자의 개인정보를 처리함에 있어서 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 
- 39 -
또는 훼손을 방지하고 개인정보의 안전성 확보를 위하여 필요한 기술적ㆍ관리적 보호조치
의 최소한의 기준을 정하는 것을 목적으로 한다. 
제2조(정의)
이 기준에서 사용하는 용어의 뜻은 다음과 같다.
1. "개인정보 보호책임자"란 이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정
하는 임직원을 말한다. 
2. "개인정보취급자"란 이용자의 개인정보를 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등의 
업무를 하는 자를 말한다. 
3. "내부관리계획"이라 함은 정보통신서비스 제공자등이 개인정보의 안전한 처리를 위하여 개
인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획을 말
한다. 
4. "개인정보처리시스템"이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베
이스시스템을 말한다.
5. "망분리"라 함은 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업
무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다. 
6. "비밀번호"라 함은 이용자 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할 때 식
별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 
전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다. 
8. "바이오정보"라 함은 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 
또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다. 
9. "P2P(Peer to Peer)"라 함은 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접 연결
되어 파일을 공유하는 것을 말한다. 
10. "공유설정"이라 함은 컴퓨터 소유자의 파일을 타인이 조회ㆍ변경ㆍ복사 등을 할 수 있도록 
설정하는 것을 말한다. 
11. "보안서버"라 함은 정보통신망에서 송ㆍ수신하는 정보를 암호화하여 전송하는 웹서버를 말
한다. 
12. "인증정보"라 함은 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등이 요구한 
식별자의 신원을 검증하는데 사용되는 정보를 말한다. 
제3조(내부관리계획의 수립ㆍ시행)
- 40 -
② 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보 보호책임자 및 개인정보
취급자를 대상으로 사업규모, 개인정보 보유 수 등을 고려하여 필요한 교육을 정기적으로 
실시하여야 한다. 
1. 교육목적 및 대상 
2. 교육 내용 
3. 교육 일정 및 방법 
제4조(접근통제)
① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 
필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다. 
② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변
경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다. 
④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시
스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다. 
⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다
음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다. 
1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 
제한 
2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐
지 
⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 
100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 
매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 
다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 
개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다. 
⑨ 정보통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통
하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 
개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다. 
⑩ 정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 
시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다. 
- 41 -
제7조(악성프로그램 방지) 
정보통신서비스 제공자등은 악성 프로그램 등을 방지ㆍ치료할 수 있는 백신 소프트웨어 등의 
보안 프로그램을 설치ㆍ운영하여야 하며, 다음 각호의 사항을 준수하여야 한다. 
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시하
여 최신의 상태로 유지 
2. 악성프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프
트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실
시 
▣ 표준 개인정보 보호지침(2020. 8. 11.자 개인정보보호위원회고시 제2020-1호)
제1조(목적)
이 지침은 「개인정보 보호법」(이하 "법"이라 한다) 제12조제1항에 따른 개인정보의 처리에 관
한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정함을 목적으로 한
다.
제2조(용어의 정의)
이 지침에서 사용하는 용어의 뜻은 다음과 같다. 
5. "개인정보 보호책임자"란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임
지는 자로서 영 제32조제2항에 해당하는 자를 말한다. 
6. "개인정보취급자"란 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 업무를 담
당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다. 
제7조(개인정보의 제공) 
① 개인정보의 "제공"이란 개인정보의 저장 매체나 개인정보가 담긴 출력물ㆍ책자 등을 물리적
으로 이전하거나 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제3자의 접근권한 부
여, 개인정보처리자와 제3자의 개인정보 공유 등 개인정보의 이전 또는 공동 이용 상태를 
초래하는 모든 행위를 말한다. 
② 법 제17조의 "제3자"란 정보주체와 정보주체에 관한 개인정보를 수집ㆍ보유하고 있는 개인
정보처리자를 제외한 모든 자를 의미하며, 정보주체의 대리인(명백히 대리의 범위 내에 있
는 것에 한한다)과 법 제26조제2항에 따른 수탁자는 제외한다(이하 같다). 
③ 개인정보처리자가 법 제17조제2항제1호에 따라 정보주체에게 개인정보를 제공받는 자를 알
- 42 -
리는 경우에는 그 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처를 함께 알려야 한다. 
제12조(동의를 받는 방법) 
① 개인정보처리자가 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 정보주체의 
동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 
하며, 정보주체의 동의는 동의가 필요한 개인정보에 한한다. 이 경우 동의 없이 처리할 수 
있는 개인정보라는 입증책임은 개인정보처리자가 부담한다. 
② 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 법 제18조제
3항 각 호의 사항을 알리고 동의를 받아야 한다. 
1. 개인정보를 수집ㆍ이용하고자 하는 경우로서 법 제15조제1항제2호 내지 제6호에 해당하
지 않은 경우 
2. 법 제18조제2항에 따라 개인정보를 수집 목적 외의 용도로 이용하거나 제공하고자 하는 
경우 
5. 민감정보를 처리하고자 하는 경우로서 법령에 민감정보 처리 근거가 없는 경우 
③ 개인정보처리자는 제2항 각 호에 해당하여 개인정보를 처리하고자 하는 경우에는 정보주체
에게 동의 또는 동의 거부를 선택할 수 있음을 명시적으로 알려야 한다. 
⑤ 개인정보처리자가 영 제17조제1항제2호의 규정에 따라 전화에 의한 동의와 관련하여 통화
내용을 녹취할 때에는 녹취사실을 정보주체에게 알려야 한다. 
⑦ 개인정보처리자가 정보주체의 동의를 받기 위하여 동의서를 작성하는 경우에는 「개인정보 
수집ㆍ제공 동의서 작성 가이드라인」을 준수하여야 한다. 
제15조(개인정보취급자에 대한 감독)
① 개인정보처리자는 개인정보취급자를 업무상 필요한 한도 내에서 최소한으로 두어야 하며, 
개인정보취급자의 개인정보 처리 범위를 업무상 필요한 한도 내에서 최소한으로 제한하여
야 한다. 
② 개인정보처리자는 개인정보처리시스템에 대한 접근권한을 업무의 성격에 따라 당해 업무수
행에 필요한 최소한의 범위로 업무담당자에게 차등 부여하고 접근권한을 관리하기 위한 조
치를 취해야 한다. 
③ 개인정보처리자는 개인정보취급자에게 보안서약서를 제출하도록 하는 등 적절한 관리ㆍ감
독을 해야 하며, 인사이동 등에 따라 개인정보취급자의 업무가 변경되는 경우에는 개인정보
에 대한 접근권한을 변경 또는 말소해야 한다. 
- 43 -
제22조(개인정보 보호책임자의 공개)
① 개인정보처리자가 개인정보 보호책임자를 지정하거나 변경하는 경우 개인정보 보호책임자
의 지정 및 변경 사실, 성명과 부서의 명칭, 전화번호 등 연락처를 공개하여야 한다. 
② 개인정보처리자는 개인정보 보호책임자를 공개하는 경우 개인정보 보호와 관련한 고충처리 
및 상담을 실제로 처리할 수 있는 연락처를 공개하여야 한다. 이 경우 개인정보 보호책임자
와 개인정보 보호 업무를 처리하는 담당자의 성명, 부서의 명칭, 전화번호 등 연락처를 함
께 공개할 수 있다. 
제52조(개인정보파일 등록 및 변경 신청) 
① 개인정보파일을 운용하는 공공기관의 개인정보취급자는 해당 공공기관의 개인정보 보호책
임자에게 개인정보파일 등록을 신청하여야 한다. 
③ 개인정보취급자는 등록한 사항이 변경된 경우에는 고시 제3조제2항에 따른 별지 제2호서식
의 ‘개인정보파일 등록ㆍ변경등록 신청서‘를 활용하여 개인정보 보호책임자에게 변경을 신
청하여야 한다. 
제56조(개인정보파일 등록 사실의 삭제) 
① 개인정보취급자는 제55조에 따라 개인정보파일을 파기한 경우, 법 제32조에 따른 개인정보
파일의 등록사실에 대한 삭제를 개인정보 보호책임자에게 요청해야 한다. 끝.