2018년 발생한 개인정보 역대 최대 유출 사건인 케임브리지 애널리티카(CA) 스캔들은 메타(옛 페이스북)가 처리하던 페이스북 사용자 개인정보 8700만개가 제3자 앱에 제공·판매돼 사용자 정치성향 분석이나 정치적 선거 등에 이용된 사건으로, 당시 뿐만 아니라 지금까지 충격적 사건으로 기억되고 있다.
CA 스캔들이 알려지자, 각국 개인정보 감독기구는 메타에 강력한 처분을 내렸다. 미국 FTC는 역대 최고인 50억 달러(한화 6조원)의 벌금을, 영국 ICO는 법정 최고한도인 50만 파운드(한화 7억원)의 벌금을 부과했다. 당시 우리나라 개인정보보호위원회(이하 개보위) 역시 메타를 상대로 CA 스캔들과 관련한 시정명령 및 과징금 부과 처분을 내렸다. 처분은 방송통신위원회 업무가 개인정보보호위원회로 통합된 이후 제1호 처분이었다. 메타는 다투었고, 2023년 10월 26일 서울행정법원은 개보위 손을 들어 주었다.
서울행정법원 판결은 개인정보 감독기구와 메타간 합의 등으로 종결된 사건을 제외하고 세계적으로 최초로 법원이 메타의 개인정보 제공 행위가 위법하다는 점을 확인했다는 점에서 의미가 있으며, 특히 판결에서 '이미 공개된 개인정보' 활용에 대한 구체적 기준을 제시하고 있어 살펴볼 필요가 있다.
사실관계를 정리하면, 메타는 제3자 앱이 페이스북 사용자 개인정보를 제공받을 수 있도록 Graph API을 개발·도입했고, 제3자 앱은 Graph API를 사용해 메타로부터 받을 개인정보 항목을 선택, 이러한 선택을 기초로 메타는 서버에 저장된 페이스북 사용자의 개인정보를 제3자 앱에 제공했다. 이 과정에서 메타는 페이스북 사용자에게 '개인정보를 제공받는 자, 제공받는 자의 개인정보 이용 목적, 제공되는 개인정보의 항목, 제공받는 자의 개인정보 보유 및 이용기간'의 법정 고지사항을 표시해 안내하거나 동의를 요청한 사실이 없다.
메타는 위와 같은 개인정보 제공은 정보통신망법 제24조의2 제1항이 적용되지 않은 개인정보 이전이라고 주장했으나, 서울행정법원은 이를 배척하고, 메타의 개인정보 제공을 동의없는 위법한 제공으로 판단했다. 메타는 여기에 더해, 제3자 앱에 제공된 페이스북 사용자의 개인정보가 공개된 개인정보이므로 과거 로앤비 판결(대법원 2016. 8. 17. 선고 2014다235080 판결)이 제시한 '이미 공개된 개인정보'의 처리에 대한 기준을 적용해야 하고, 이에 따라 페이스북 사용자의 별도 동의없이 제3자 앱에 제공할 수 있다고 주장했다.
서울행정법원은 메타의 주장을 배척하며 로앤비 판결에서 나온 '이미 공개된 개인정보' 처리 요건을 더욱 구체화했다. 첫째, 개인정보보호법 취지에 따른 판단기준과 이익형량에 의한 판단기준을 모두 적용해 처리의 적법성을 따져야 하고, 둘째, 정보주체의 동의가 있었다고 객관적으로 인정되는 범위를 판단함에 있어서 본래 동의를 구할 때 고지되는 4가지 법정 고지사항을 적극적으로 고려해서 판단해야 한다고 판단했고, 셋째, 해당 정보주체의 공개 목적과 처리자의 처리 목적 사이의 동일성이 유지돼야 한다는 점을 명확히 했다.
서울행정법원 판결은, '이미 공개된 개인정보' 활용에 대해 위와 같이 로앤비 판결의 적용요건을 보다 구체화하였다는 점에서 큰 의의가 있다.
김경환 법무법인 민후 변호사