외국사업자에 대한 개인정보 관련 권리 행사시 법적쟁점


서울중앙지방법원 2015. 10. 16. 선고 2014가합38116 판결 (구글에 대한 개인정보제공내역 요청 사건)

1. 이 사건의 배경

인터넷의 역사는 스노든의 전 미국 CIA 직원의 미국 정부의 정보 사찰 프로그램인 '프리즘'의 폭로 전후로 극명하게 나누어진다. 구글, MS, 야후 등 미국 IT기업들의 그 서버에 쌓인 이메일과 사생활 데이터가 전세계 이용자의 감시에 사용되었다는 사실은 엄청난 충격이었고 ‘개방성’과 ‘중립성’을 근간으로 했던 인터넷 체제에 대한 불신을 키우게 되었다.

그 불신의 결과로 각 나라는 ‘자국민의 보호’라는 목적 하에 인터넷의 개방성과 중립성과는 다른 방향의 ‘데이터 분권화’ 또는 ‘정보주권주의’ 강화 정책을 선택하는 방향으로 가고 있다.

그러한 대표적인 예로서, 유럽의회 시민자유위원회가 추진하는 ‘데이터 보호 규약’ 개정안으로서 자국 데이터의 월경을 막는 데이터 블록화 움직임이 가시화하였으며, 최근 유럽사법재판소의 미국ㆍEU 사이의 세이프하버협정의 무효화 역시 같은 맥락으로 이해할 수 있다.

이 사건 제기의 근간은 스노든 폭로 이후 생겨난 국외 특히 미국으로 넘어간 개인정보의 이용이나 제공 현황에 대한 의문이나 불신이라 할 수 있고, 법원의 판시 내용은 정보 영역에서의 ‘자국민의 보호’라는 국제사회의 큰 흐름 측면에서 파악해 보는 것이 좋을 것이다.

2. 사실관계

원고들은 구글 계정을 생성하여 미국 캘리포니아 주법에 의하여 설립된 피고 구글본사가 제공하는 지메일 등 구글서비스에 가입한 이용자들 또는 구글본사가 제공하는 기업메일 서비스의 이용자들이다.

원고들은 2014. 2. 17. 피고 구글본사 및 한국법인인 피고 구글코리아(이하 합하여 ‘피고들’이라 함)를 상대로 자신들의 정보를 제3자에게 제공한 내역을 제공해 달라는 요청을 하였고, 이에 피고 구글본사는 법률에 의한 경우에만 이용자의 정보를 정부기관에 제공한다는 원칙적인 답변만을 하였다.

원고들은 2014. 5. 20. 재차 제3자 제공내역을 요청하였으나 피고들은 구체적인 제공내역을 제공하지 않았다.

이에 원고들은 피고들을 상대로 서울중앙지방법원에 개인정보 및 서비스이용내역의 제3자 제공현황을 공개하고, 이용자의 개인정보자기결정권 침해를 이유로 한 재산적ㆍ정신적 손해배상 50만원을 구하는 소송을 제기하였다.

다만 구글 서비스 약관에 의하면, 구글 서비스와 관련한 모든 소송은 미국 캘리포니아주 산타클라라 카운티의 연방 또는 주법원이 전속적인 관할을 가진다는 전속적 국제재판관할 합의가 존재하였고, 구글 서비스와 관련하여 발생되는 분쟁에 대하여 미국 캘리포니아주 법률에 따르기로 하는 준거법 합의가 존재하였다.

3. 이 사건의 쟁점 및 법원의 판시내용

이 사건의 쟁점을 정리하면 아래 4가지로 정리할 수 있다.

1) 원고들의 피고 구글본사에 대한 한국법원에의 소제기가 구글 서비스 약관에 존재하는 전속적 국제재판관할 합의에 반하는지 여부

2) 원고들의 피고 구글본사에 대한 제3자 제공내역 요청은 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라 한다) 제30조 제2항, 제4항에 근거하는바, 위 정보통신망법 조항에 근거한 이 사건 청구가 구글 서비스 약관에 존재하는 준거법 합의에 반하여 허용되지 않는지 여부

3) 원고들의 제3자 제공내역 요청에 대하여 피고 구글본사가 필요한 조치를 취하지 않음으로 인하여, 원고들이 정신적 피해 외에 재산상 손해를 주장할 수 있는지 여부 (개인정보자기결정권이 재산상 권리인지 여부)

4) 피고 구글코리아가 구글 서비스의 제공 주체로서 정보통신망법상 정보통신서비스제공자에 해당하는지 여부

법원의 판시 내용 및 주문을 위 쟁점별로 정리하면 아래와 같다.

1) 구글 서비스 약관상 전속적 국제재판관할합의는 일응 구글 서비스 이용자들과 피고 구글본사 사이에서 적법하게 그 효력을 가지나, 국내의 소비자가 구글 계정을 생성하여 피고 구글본사가 제공하는 구글 서비스를 이용하는 거래관계는 국제사법 제27조가 보호하는 소비자계약에 해당한다고 봄이 상당하므로, 소비자계약의 당사자가 분쟁이 발행하기 전에 대한민국 법원의 국제재판관할권을 배제하기로 하는 내용의 합의를 하였다고 하더라도, 그러한 합의는 국제사법 제27조 제6항에 위반하여 효력이 없다고 보아야 한다. 결국 국내의 소비자는 국제사법 제27조 제4항에 따라 대한민국 법원에 피고 구글본사를 상대로 소를 제기할 수 있다. (다만 소비자계약에 포함하지 않은 기업메일 서비스의 이용자(일부 원고)는 대한민국 법원에 소를 제기할 수 없다)

2) 정보통신망법이 국제사법 제7조에서 정한 강행규정에 해당한다고 보기는 어려우므로, 외국법을 준거법으로 하여 체결된 계약에 관하여 그 준거법에 관한 합의에도 불구하고 정보통신망법이 이른바 국제적 강행법규로서 적용되어야 한다고 보기는 어렵다. 그러나 정보통신망법 제30조가 규정하고 있는 정보통신서비스 이용자의 권리는, 사업자인 정보통신서비스 제공자에 비하여 비교적 열악한 지위에 있는 이용자인 소비자들을 보호하기 위한 것으로서 국제사법 제27조 제1항이 규정하는 ‘준거법 선택에 의하더라도 박탈할 수 없는 소비자에게 부여되는 보호에 관한 강행규정’에 해당한다고 봄이 상당하다. 따라서 구글 서비스 약관상의 준거법 합의에도 불구하고 정보통신망법상 이용자의 권리 보호에 관한 규정들(제30조 등)이 적용될 수 있다.

3) 피고 구글본사는 18 U.S.C § 2709(c)(1), 18 U.S Code § 1861(d) 등 비공개 의무가 부과된 사항을 제외하고 원고들의 개인정보 및 서비스이용내역을 제3자에게 제공하였는지 여부 및 그 내용을 공개할 의무가 있다. 하지만 피고 구글본사의 미조치에 대하여 원고들에게 어떠한 재산적 손해가 발생하였다고 보기 어렵고, 정신상의 고통을 입었다고 하더라도 해당 정보를 공개함으로써 회복할 수 있는바, 나머지 원고들의 피고 구글 본사에 대한 재산적 및 정신적 손해배상 청구는 모두 이유 없다.

4) 구글 서비스를 제공하는 주체는 피고 구글본사라고 할 것이므로, 결국 피고 구글본사가 구글 서비스와 관련된 정보통신서비스 제공자의 지위를 가지고 있다고 봄이 상당한바, 피고 구글코리아는 각종 구글 서비스를 제공하는 주체에 해당한다고 할 수 없다.

5) 결국 일부 원고들의 피고 구글본사에 대한 소는 각하, 일부 원고를 제외한 나머지 원고들의 피고 구글본사에 대한 공개청구는 인용ㆍ피고 구글본사에 대한 손해배상청구는 기각, 전체 원고들의 구글 코리아에 대한 청구는 기각.

4. 판례해설

흔히 인터넷은 국경이 없다고 알려져 있다. 이용자의 정보는 국경에 무관하게 해외 서버에 저장되고, 해외 사업자의 정보는 국경에 무관하게 우리나라 이용자에게 도달하고 있다.

이런 상황에서 사업자와 이용자를 모두 관할할 수 있는 규범이나 법령이 존재하면 많은 문제들이 해결될 것이지만, 아직까지 주권이나 국경을 전제로 하는 전통적인 법체제로 국경이 없는 인터넷 체제를 규율하다 보니 이용자의 권리 행사는 정보 이용만큼 쉽지 않은 것이 현실이다.

특히 글로벌 사업자는 인터넷의 개방성과 자유를 이용하여 전세계로부터 막대한 부를 유입ㆍ축적하고 있지만, 이용자의 불만이나 법적 청구, 이용자 소속 정부당국의 요구 등에 대하여는 국경의 커튼 뒤에 숨어 애써 무시하려는 경향이 강하였다.

국경의 커튼은 다른 쪽으로 악용되었는데, 그것이 바로 스노든이 폭로한 글로벌 IT 기업을 활용한 전세계인의 감시였다. 스노든의 폭로는 인터넷의 개방성과 자유는 더 이상 불변의 가치가 아니라는 교훈을 주었다.

더불어 스노든 사태 이후 글로벌 사업자의 의무는 더 이상 국경의 커튼에 숨어 있을 수 없게 되었다. 대표적인 사례가 최근 유럽사법재판소의 미국ㆍEU 사이의 세이프하버협정의 무효화 판결이자 서울중앙지법의 본 판결이라 할 수 있다.

국경은 글로벌 사업자의 권한과 의무에 있어 동등하게 작용되어야 한다. 글로벌 사업자가 인터넷과 이용자를 활용하여 막대한 부를 유입하고 축적하고 있다면, 이용자에 대하여 그만큼의 의무는 부담하는 게 맞는 이치이다.

한편 글로벌 사업자의 의무는 이용자에 대한 의무와 해당 정부 당국에 대한 의무도 있는데, 본 사안은 구글 서비스의 이용자들이 구글본사 또는 구글코리아를 상태로 권리행사를 하는 경우로서 전자에 관한 것이고, 본 사안과 구별해야 할 것이 개인정보 당국이 구글본사 또는 구글코리아를 상대로 행정제재를 하는 경우로서 후자이다.

후자에 대하여 우리나라 방송통신위원회는 이미 구글본사에 대하여 행정제재를 가한 바 있다. 예컨대 2014. 2. 18. ‘스트리트 뷰’ 사건에서 구글본사가 개인정보를 불법수집한 행위에 대하여 2억 1,230만원의 과징금을 부과하였고, 방송통신위원회 직원은 구글본사에 파견되어 해당 개인정보의 파기를 확인한바 있다.

이번 사안은 글로벌 사업자의 우리나라 이용자에 대한 의무에 관한 것이고, 다르게 표현하면 우리나라 이용자의 글로벌 사업자에 대한 권리 행사에 관한 것이다.

권리 행사의 근거 조문은 정보통신망법 제30조 제2항, 제4항으로서 이용자의 개인정보 열람권이 원고들의 권리행사 내용이었다. 정보통신망법 제30조는 강행규정으로서 우리나라 사업자는 누구나 준수하여야 하는 조문이라 할 수 있는데, 글로벌 사업자에게 이 조문이 적용되는지가 쟁점이 되었던 것이다.

피고 구글본사는 이용자의 개인정보 열람권 행사에 대하여 관할합의를 전제로 한 국제재판관할권 위반 항변과 준거법합의를 전제로 한 정보통신망법 부적용 항변을 했다. 전통적인 ‘국경과 주권’ 개념을 내세워 의무성을 부정하려는 시도로 판단된다.

섭외사건에 흔히 등장하는 피고 구글본사의 항변에 대하여 서울중앙지법은 국제사법 제27조를 근거로 관할위반 항변과 준거법 항변을 배척하였다. 피고 구글본사가 제공하는 서비스의 이용자인 이 사건 나머지 원고들이 국제사법 제27조의 소비자인바, 국제사법 제27조 제4항에 의하여 소비자는 상거소가 있는 국가(= 우리나라)에서도 소를 제기할 수 있고, 제27조 제1항에 의하여 소비자는 상거소가 있는 국가의 강행규정에 의한 소비자 보호를 박탈할 수 없다는 것이다.

다만 이용자의 개인정보 열람권의 범위에 관하여는 제한적으로 해석을 하였다. 정보통신망법 제30조 제4항은 정보통신서비스 제공자에게 같은 조 제2항에 따른 요구를 받으면 지체 없이 필요한 조치를 하도록 규정하고 있으므로, 정보통신서비스 제공자로 하여금 어떤 경우이든지 예외 없이 개인정보를 제3자에게 제공한 현황을 공개하도록 하는 의무를 부담시키고 있다고 보기는 어렵고, 정당한 사유가 있는 경우에는 이용자의 개인정보를 제3자에게 제공하였는지 여부 및 그 내용을 공개하지 않아도 되는 경우가 있을 수 있다고 보아야 할 것인바, 미국의 18 U.S.C § 2709(c)(1), 18 U.S Code § 1861(d) 등에 의한 공개금지규정이 미공개의 정당한 사유가 된다는 것이다.

법원의 판결을 정리하면 ‘미국 국가 안보에 대한 위협, 범죄, 대테러, 방첩 수사 또는 외교관계의 방해, 개인의 생명 또는 신체적 안전에 대한 위협’의 결과로 이어질 수 있음을 FBI가 증명하는 경우, 국가안보명령서를 수신한 자, 해외 정보 감시법(FISA) 관련 요청이 있는 경우는 개인정보의 제3자 제공내역을 공개하지 않아도 된다는 것이다.

하지만 이 부분에 대하여는 몇 가지 의문이 생긴다.

첫째, 정보통신망법 제30조 제2항에는 이용자의 개인정보 열람권 행사에 대하여 사업자가 정당한 사유를 내세워 그 전부 또는 일부에 대하여 거부할 수 있는 근거가 존재하지 않는다. 정보통신망법 제30조 제2항과 개인정보보호법 제35조는 동일한 개인정보 열람권을 규정하고 있지만, 개인정보보호법 제35조 제4항에는 명시적인 열람 거부 사유가 존재하는 반면, 정보통신망법 제30조 제2항에는 이러한 거부 사유가 존재하지 않음에도, 단지 제30조 제4항을 근거로 거부 사유의 존재를 인정하는 것은 문리해석에 반할 소지가 있어 보인다.

둘째, 우리나라의 법령도 아닌 다른 나라의 법령을 근거로 하여 열람의 거부 사유로 삼을 수 있는지에 대하여 고민해 볼 필요가 있어 보인다. 본 사안에서 서울중앙지법은 미국의 18 U.S.C § 2709(c)(1), 18 U.S Code § 1861(d) 등에 의한 공개금지규정이 공익적 목적이 있다고 판단하였는데, 공익이라는 것은 우리나라 내부에서 판단하여야 하는 것이지 미국 내의 공익이 우리나라 또는 우리 국민의 공익이 될 수 없음에도 불구하고 쉽사리 공익이라고 단정한 점이 있다. 스노든 사태를 고려하면 미국 정부의 공익이 우리 국민의 공익이 될 수 없음은 비교적 명확하다는 생각이 든다.

셋째, 국제적인 사법 트렌드와도 부합하지 않는다. 유럽사법재판소는 EU 회원국 국민으로부터 수집한 개인정보가 미국 내부에서 어떻게 사용되는지에 대하여 신뢰할 수 없다는 이유로 미국ㆍEU 사이의 세이프하버 협정을 무효화하였으며, 2014. 5.의 잊혀질 권리 판결과 관련하여, EU 당국은 잊혀질 권리의 판결이 집행되어야 하는 범위는 미국 구글본사의 서버에도 미친다는 점을 명시하였다. 미국 법원은 압수ㆍ수색 영장의 범위는 MS의 이메일 서버가 있는 아일랜드의 더블린에도 미친다고 판시하였다. 즉 각국 법원은 자국민의 보호를 위하여 국경에 무관하게 사법권을 확장해 가는 추세임에도, 서울중앙지법은 본 사안에서 의도적으로 사법권을 축소하였는데 설득력이 약해 보인다.

넷째, 그간 국내사업자는 규제의 ‘역차별’에 대한 불만을 늘상 제기해 왔다. 일부 법령의 강한 규제는 국내사업자에게만 적용되고 글로벌 기업은 그 적용대상이 아니기에, 국내 법령이 국내사업자의 사업에 불리하게 적용하는 것에 그치지 않고 오히려 글로벌 사업자에게 기회가 되었다는 것이다. 예컨대 공공SW입찰에서 우리나라 대기업의 참여가 제한되는 동안 글로벌기업이 그 자리를 대체하게 되었다. 이번 서울중앙지법의 판결이 국내기업과 역차별과 직접적으로 관련은 없지만, 결과적으로 글로벌 사업자의 의무를 우리 사업자의 의무에 비하여 축소시키는 것은 우리나라 사업자 입장에서는 역차별로 주장할 소지는 있어 보인다.

이런 이유로, 미국의 18 U.S.C § 2709(c)(1), 18 U.S Code § 1861(d) 등에 의한 공개금지규정이 우리나라 국민의 개인정보 제3자 제공 내역의 공개 거부에 대한 정당한 사유가 된다는 판시에 대하여는 재고할 필요가 있다고 생각한다.

5. 이 판결의 의의

이 판결은 국경이 없는 인터넷 영역에서 우리나라 이용자와 글로벌 사업자 사이에서 전형적으로 발생할 수 있는 사안에 관한 것이다. 이 판결 내용에서, 미국법의 공개금지규정을 끌어와서 공개범위를 제한한 것은 그 법적 근거에 있어 설득력이 약해 보인다는 한계가 있음에도 불구하고, 인터넷을 이용하여 수익을 창출하는 글로벌 사업자에게 국경이 더 이상 의무를 저버리게 하는 커튼이 되지 않는다는 점을 밝힌 것에 큰 의의가 있다고 볼 수 있다.

나아가 이 판결을 계기로 인터넷을 매개로 발생하는 섭외사건에 대하여 사법권의 영역과 적용범위를 어떤 방향으로 전개시켜야 하는지에 대한 근본적인 정책적 검토가 있었으면 하는 바람이다.

* 법무법인 민후 김경환 대표변호사 작성, 블로그(2016. 4. 4.) 기고.