하나로텔레콤(주)의 전자상거래소비자보호법 위반행위에 대한 건

1. 기초사실 가. 피심인 적격성 피심인은 자신의 사이버몰<각주>1</각주>(www.hanaro.com) 등을 통하여 초고속인터넷서비스 등의 판매에 관한 정보를 제공하고 소비자의 청약에 의하여 재화 등을 판매하는 사업자로서 전자상거래 등에서의 소비자보호에 관한 법률(일부개정 2007. 7. 19. 법률 제8538호, 이하 '법’이라 한다) 제2조의 규정에 의한 전자상거래를 행하는 사업자 및 통신판매업자에 해당된다. 또한, 피심인은 초고속인터넷통신망 등 전기통신회선설비의 임대를 업으로 하는 사업자로서 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 '정통망법’이라 한다) 제2조의 규정에 의한 정보통신서비스제공자<각주>2</각주>에도 해당된다. 2007. 12. 31. 기준 피심인의 일반현황 및 상품별ㆍ유치경로별 가입자 현황은 다음 <표 1>, <표 2>, <표 3>과 같다. <표 1> 피심인의 일반현황 (단위 : 억원, 명) <img src="/LSW/flDownload.do?flSeq=120741967" alt="이유 1번째 이미지" ></img> ※ 자료출처 : 피심인 제출자료 <표 2> 상품별 가입자 현황 (단위 : 명) <img src="/LSW/flDownload.do?flSeq=120741969" alt="이유 2번째 이미지" ></img> ※ 자료출처 : 피심인 제출자료 <표 3> 유치경로별 가입자 현황 (단위 : 명) <img src="/LSW/flDownload.do?flSeq=120741971" alt="이유 3번째 이미지" ></img> ※ 자료출처 : 피심인 제출자료 나. 개인정보 보호정책 (1) 개인정보 및 개인정보 도용의 정의 개인정보란 생존하는 자연인의 내면적 사실, 신체나 재산상의 특질, 사회적 지위나 속성에 관하여 식별되거나 또는 식별할 수 있는 모든 정보의 총체를 의미하며,<각주>3</각주>개인정보 도용이란 정보주체의 동의 없이 부정한 목적으로 개인정보가 불법적으로 이용됨으로써 정보주체의 인격적 침해 및 경제적 손실을 야기하는 것을 말한다. (2) 국내의 개인정보보호 관련 법률 현황 정통망법, 전기통신사업법, 주민등록법 등은 사생활의 비밀과 자유보장이라는 헌법상의 원칙<각주>4</각주>을 실현하기 위하여 각 분야별 특성을 고려하여 개인정보 보호에 관한 규정을 두고 있다. (3) 개인정보 도용의 결과 경제활동을 포함한 사회활동 전반에서 주민등록번호 등의 개인정보가 사용되고 있는 현실을 감안하면 개인정보의 도용은 해당 소비자에게 광범위한 물질적ㆍ정신적인 피해를 유발할 수 있다고 할 것이다. 더구나, 신용사회, 정보화사회가 급속하게 진전됨에 따라 개인정보 도용에 따른 문제는 ① 피해의 연쇄성(1회의 개인정보 도용으로 2차ㆍ3차의 피해가 발생됨) ② 피해의 대량성(전자적인 방법으로 대량의 개인정보 도용이 가능해짐) ③ 신용정보와의 관련성(신용정보와 관련된 개인정보 도용으로 재산상의 손해가 직접 발생함) 등을 특징으로 하고 있다. (4) 개인정보 침해에 대한 대응방안 소비자는 인터넷 웹사이트나 서면양식 등에 따라 자신의 개인정보를 제공하고 회원가입을 하는 경우, 자신의 최소한의 정보만을 제공하여 개인정보가 도용되는 것을 사전에 방지하여야 한다. 개인정보의 수집ㆍ이용 주체는 소비자의 개인정보를 제3자에게 제공하는 것이 서비스 제공에 반드시 필요한 경우가 아니라면 제3자에게 개인정보를 제공하는 것에 대한 동의는 소비자의 선택사항으로 하여야 한다. 또한, 개인정보의 수집ㆍ이용 주체는 소비자의 개인정보가 유출 또는 도용된 경우에 해당 소비자에게 유출 등의 범위 및 경로 등을 감안하여 개인정보 보호를 위한 조치를 신속하게 취하여 추가적ㆍ연쇄적인 정보유출 및 도용에 따른 피해를 방지하여야 한다. 2. 사이버몰 초기화면에서의 표시사항 미기재 행위 가. 행위사실 피심인은 전자상거래를 행하는 사이버몰의 운영자임에도 불구하고 자신의 사이버몰(www.hanaro.com)의 초기화면에 자신의 신원정보인 대표자 성명, 전자우편주소 및 사업자등록번호를 표시하지 아니하였다. 또한, 피심인은 초고속인터넷서비스 등의 거래에 관한 청약을 받을 목적으로 자신의 사이버몰을 통하여 표시ㆍ광고를 하면서 통신판매업 신고번호 및 신고기관명을 포함하지 아니하였다. 나. 관련 법규정 법 제10조 (사이버몰의 운영) ①전자상거래를 행하는 사이버몰의 운영자는 소비자가 사업자의 신원 등에 관하여 쉽게 알 수 있도록 다음 각호의 사항을 총리령이 정하는 바에 따라 표시하여야 한다. 1. 상호 및 대표자 성명 2. 영업소 소재지 주소(소비자의 불만을 처리할 수 있는 곳의 주소를 포함한다) 3. 전화번호ㆍ전자우편주소 4. 사업자등록번호 5. 사이버몰의 이용약관 6. 그 밖에 소비자 보호를 위하여 필요한 사항으로 대통령령이 정하는 사항 법 시행규칙 제7조 (사이버몰 운영자의 표시방법) ①전자상거래를 행하는 사이버몰의 운영자는 법 제10조제1항제1호 내지 제5호에 규정된 사항을 소비자가 알아보기 쉽도록 사이버몰의 초기 화면에 표시하여야 한다. 다만, 법 제10조제1항 제5호의 사항은 소비자가 연결화면을 통하여 볼 수 있도록 할 수 있다. 법 제13조 (신원 및 거래조건에 대한 정보의 제공) ①통신판매업자가 재화등의 거래에 관한 청약을 받을 목적으로 표시ㆍ광고를 행하는 경우에는 다음 각호의 사항이 포함되도록 하여야 한다. 1. 상호 및 대표자 성명 2. 주소ㆍ전화번호ㆍ전자우편주소 3. 제12조의 규정에 따라 공정거래위원회나 시ㆍ도지사에게 한 신고번호ㆍ신고기관 등 신고를 확인할 수 있는 사항 다. 위법성 판단 비대면거래인 전자상거래에서 사이버몰의 운영자 및 통신판매업자의 신원정보는 소비자의 구매선택시 중요한 고려요소이다. 따라서, 법 제10조 및 제13조에서는 소비자의 구매안전을 확보하고 전자상거래에서의 신뢰도를 높이기 위하여 사이버몰의 운영자 및 통신판매업자의 신원정보 표시 등에 대하여 규정하고 있다. 우선, 법 제10조 제1항 및 법 시행규칙 제7조에 따르면, 전자상거래를 행하는 사이버몰의 운영자는 소비자가 사업자의 신원 등에 관하여 쉽게 알 수 있도록 상호 및 대표자 성명 등을 사이버몰의 초기화면에 표시하여야 한다. 또한, 법 제13조 제1항에 따르면, 통신판매업자가 재화 등의 거래에 관한 청약을 받을 목적으로 표시ㆍ광고를 행하는 경우에는 통신판매업 신고번호 등의 사항이 포함되도록 하여야 한다. 이러한 법령에 비추어 볼 때, 피심인이 사이버몰을 운영하면서 사이버몰의 초기화면에 대표자 성명, 전자우편주소, 사업자등록번호를 표시하지 아니한 행위는 법 제10조 제1항에 위반되고, 피심인이 사이버몰의 초기화면을 통하여 표시ㆍ광고하면서 통신판매업 신고번호와 신고기관명을 포함하지 아니한 행위는 법 제13조 제1항에 위반된다. 3. 제휴마케팅에 따른 정보도용 이후 필요한 조치 미실시행위 가. 행위사실 (1) 피심인의 제휴마케팅 개요 피심인은 2006. 9. 28. 주식회사 한국스탠다드차타드제일은행(이하 '제일은행’이라 한다)과 피심인의 초고속인터넷서비스인 '하나포스’에 가입된 고객 중에서 추가적으로 피심인의 '하나TV’<각주>5</각주>또는 전화서비스에 가입하는 고객에게 제일은행의 “하나포스SC멤버스카드”(이하 '하나카드’라 한다)<각주>6</각주>를 발급해주는 것을 내용으로 하는 “업무제휴계약”을 체결하였다. 또한, 피심인은 2006년 9월경 텔레마케팅 사업자인 주식회사 예드림씨앤엠(이하 '예드림’이라 한다)과 예드림이 하나포스 고객을 대상으로 텔레마케팅을 하여 하나TV 또는 하나카드 등의 신청자를 모집하는 것을 내용으로 하는 “고객관리업무 위탁 및 제휴프로그램 운영관리 대행 협약”을 체결하였다. 이러한 제휴마케팅은 ① 피심인이 자신의 '하나포스’ 고객의 개인정보를 예드림에게 제공하고 ② 예드림이 개인정보를 제공받은 고객을 대상으로 전화를 이용하여(텔레마케팅) 하나카드 신청자를 모집하여 ③ 제일은행이 카드발급심사를 통하여 하나카드를 발급하는 것을 주요내용으로 한다. (2) 개인정보 도용에 따른 필요한 조치 미실시행위 피심인은 위와 같은 제휴마케팅계약에 따라 다음 <표 4>와 같이, 2006. 9. 30.부터 2007. 7. 31.까지의 기간 동안 자신의 '하나캠페인프로세스’<각주>7</각주>를 통하여 예드림에게 '하나포스’ 가입자 515,206명의 개인정보인 이름, 서비스명, 전화번호, 주민등록번호의 생년월일과 앞자리 1자, 주소, 사용요금조회 등을 전산망을 통하여 총 25회에 걸쳐 제공하였다. <표 4> 개인정보 제공 내역 <img src="/LSW/flDownload.do?flSeq=120741973" alt="이유 4번째 이미지" ></img> ※ 4차, 10차, 13차는 기획자의 실수로 순번이 잘못 기재된 경우이고, 5차, 14차는 취소, 29차～32차는 미실시된 행사이다. * 출처 : 피심인 제출 자료 피심인은 위와 같은 제휴마케팅에 앞서 2006. 9. 21. 소비자 이용약관의 “개인정보 보호방침”의 “개인정보 수집 및 활용목적”에 다음 <표 5>와 같이 추가된 내용을 피심인의 사이버몰에 고지하였으나, 소비자로부터 별도의 동의는 받지 아니하였다. <표 5> “개인정보보호방침” 내 “개인정보 수집 및 활용목적” 추가사항 <img src="/LSW/flDownload.do?flSeq=120741975" alt="이유 5번째 이미지" ></img> * 출처 : 피심인 제출 자료 피심인의 위와 같은 일련의 행위와 관련하여 서울지방경찰청(사이버범죄수사대)은 2008. 4. 22. 피심인이<각주>8</각주>고객의 동의 없이 개인정보를 판촉업체에게 제공하였다고 발표하였고, 이에 따라 소비자들은 피심인에게 자신의 개인정보가 도용되었는지에 대한 확인 등을 요청하였다. 그럼에도 불구하고, 피심인은 도용여부의 확인 및 처리상황의 통지 등의 어떠한 조치도 하지 아니하고 다만, “양해의 말씀” 또는 “정확한 내역을 파악하고 있는 중” 등의 내용으로 민원인에게 답변하였다. 나. 관련 법규정 법 제11조 (소비자에 관한 정보의 이용 등) ②사업자는 재화등을 거래함에 있어서 소비자에 관한 정보가 도용되어 당해 소비자가 재산상의 손해가 발생하였거나 발생할 우려가 있는 특별한 사유가 있는 경우에는 본인 확인이나 피해의 회복 등 대통령령이 정하는 필요한 조치를 취하여야 한다. 법 시행령 제12조 (소비자에 관한 정보의 확인 등) 법 제11조제2항에서 "대통령령이 정하는 필요한 조치"라 함은 다음 각호의 1을 말한다. 1. 소비자 본인이 요청하는 경우 도용여부의 확인 및 당해 소비자에 대한 관련거래 기록의 제공 2. 도용에 의하여 변조된 소비자에 관한 정보의 원상회복 3. 도용에 의한 피해의 회복 다. 위법성 판단 전자상거래를 행하는 사업자가 자신의 소비자에 관한 정보도용에 따른 필요한 조치를 이행하였는지의 여부는 ① 사업자가 보유한 소비자에 관한 정보가 도용되었는지 여부 ② 당해 소비자에게 재산상의 손해가 발생하거나 발생할 우려가 있는지 여부 ③ 도용여부의 확인, 도용에 의하여 변조된 정보의 원상회복 및 도용에 의한 피해의 회복 등의 조치를 이행하였는지 여부 등을 종합적으로 고려하여 판단한다. (1) 소비자에 관한 정보의 도용 여부 소비자에 관한 정보의 '도용’ 여부는 앞서 설명한 '개인정보 도용의 정의’와 같이 '정보주체의 동의 없는 개인정보의 부당한 이용’에 해당되는지를 기준으로 판단하며, 이러한 기준에 비추어 볼 때, 피심인의 행위는 다음과 같은 이유로 소비자에 관한 정보를 도용한 것으로 인정된다. 첫째, 개인정보에 대한 활용동의시 '상품소개’ 등 지나치게 포괄적이고 모호한 내용으로 표시하거나 개인정보활용내역을 사후에 사이버몰에 단순히 기재하는 것만으로는 개인정보활용에 필요한 소비자의 동의를 얻었다고 볼 수 없다. 둘째, 통신서비스 사업자인 피심인이 자신의 업종과 무관한 신용카드발급과 관련하여 소비자의 개인정보를 이용한 행위는 개인정보를 부당하게 이용한 경우에 해당된다. 셋째, 개인정보 도용의 주요 원인은 개인정보를 대량으로 수집ㆍ이용하는 사업자의 고의ㆍ과실인 점, 소비자 권익을 보호하고 시장의 신뢰도 제고가 목적인 법 취지 및 사업자에 대하여 정보도용에 따른 조치의무를 부과한 법 제11조 제2항의 규정 등을 고려할 때, 개인정보가 정보주체의 의사에 반하여 부당하게 이용되어 정보주체인 소비자의 재산상 손해를 야기할 우려가 있는 상황이 초래되면 법 제11조 제2항의 '도용’에 해당되고, 이러한 도용의 주체가 정보수집자인 사업자인지 또는 제3자인지 여부 등은 법 제11조 제2항의 '도용’이 있었는지 여부를 판단함에 있어 직접적인 고려요소는 아니다. (2) 재산상의 손해발생 여부 재산상의 손해가 발생하거나 발생할 우려가 있는 특별한 사유가 있는 경우에 해당하는지 여부는 실질적인 경제적 손해가 초래된 경우나 재산상의 손해가 발생할 가능성이 있는 경우를 의미한다. 이러한 기준에 비추어 볼 때, 피심인의 제휴마케팅은 신용정보가 포함된 신용카드의 발급과 관련된 점, 2차ㆍ3차의 연쇄적인 도용에 따라 추가적인 재산상 손해가 발생할 가능성이 있는 점 등을 고려할 때 피심인의 행위로 인하여 소비자에게 재산상의 손해가 발생할 우려가 있는 것으로 인정된다. (3) 필요한 조치의 이행여부 필요한 조치의 이행여부는 법, 법시행령 및 “전자상거래 등에서의 소비자보호 지침”(2006. 8. 1. 공정거래위원회 고시 제2006-13호) 등을 종합적으로 볼 때, 본인 확인, 관련 거래기록의 제공, 신고에 대한 처리상황의 통지, 원상회복 및 피해의 회복 등의 조치를 이행하였는지 여부를 기준으로 판단한다. 이러한 '필요한 조치’의 구체적인 내용은 당해 사안에서의 도용의 정도 및 그에 따른 피해의 수준 등에 따라 사안별로 판단되어야 할 것인 바, 해킹, 신용카드 명의도용 및 ARS 결제요금 전가 등과 같이 도용의 정도가 심하고 신용정보와 관련되어 재산상 손해가 직접 발생한 경우에는 본인 확인부터 피해의 회복까지 모든 조치를 이행해야 필요한 조치를 이행하였다고 볼 수 있는 반면, 신용정보와 무관한 단순 개인정보를 마케팅에 일부 이용한 것과 같이 도용의 정도가 경미하여 재산상 손해가 직접 발생하지 않은 경우나 2차ㆍ3차적인 도용으로 이어질 가능성이 크지 않은 경우에는 본인확인 및 처리상황의 통지, 재발방지 등의 조치를 이행함으로써 필요한 조치를 이행하였다고 볼 수 있을 것이다. 이러한 기준에 비추어 볼 때, 피심인의 행위는 다음과 같은 이유로 필요한 조치를 이행하지 않은 것으로 인정된다. 첫째, 피심인이 민원인에게 답변한 내용인 “양해의 말씀” 또는 “정확한 내역을 파악하고 있는 중” 등은 민원에 대한 단순답변에 불과하므로 법령에서 규정한 필요한 조치에는 해당되지 않는다. 둘째, 피심인의 행위가 해킹 등과 무관하여 도용의 정도가 경미하고 2차ㆍ3차적인 도용의 가능성이 크지 않다는 점은 인정되지만, 최소한 본인확인 및 처리상황의 통지 등과 같은 일차적인 조치는 필요한 상황에서 아무런 조치도 이행하지 아니하였다. (4) 피심인 주장에 대한 검토 피심인은 다음과 같은 사유로 피심인의 행위는 법 제11조 제2항의 적용대상이 아니라고 주장한다. 첫째, 이 사건 피심인의 행위 등과 관련하여 2008. 6. 24. 방송통신위원회의 의결에 따라 영업정지 등의 엄중한 제재를 받은 점 등을 고려할 때 피심인의 행위에 대하여는 법 제4조<각주>9</각주>의 규정에 따라 정통망법 등이 우선 적용되어야 한다. 둘째, 피심인의 행위는 개인정보를 단순히 텔레마케팅에 이용한 것에 불과하므로 사업자에 의한 개인정보의 부당한 이용인 '유용’에 해당됨은 별론으로 하더라도 제3자에 의한 개인정보의 '도용’과는 무관하다. 셋째, 피심인의 행위로 인하여 소비자에게 재산상의 손해가 발생할 우려가 없다. 넷째, 법 제11조 제2항에 규정된 '재화등을 거래함에 있어서’의 의미는 온라인신청자와 같이 전자상거래의 방식으로 가입한 소비자를 대상으로 전자상거래가 이루어진 경우를 의미한다. 따라서, 이 사건 민원인은 전자상거래와는 무관한 방식으로 가입한 소비자인 점, 개인정보의 도용에 따른 전자상거래가 이루어지지 않은 점 등을 고려할 때 피심인의 행위는 법 제11조 제2항의 적용대상이 아니다. 피심인의 주장은 다음과 같은 사유로 이유 없다. 첫째, 법 제4조에서는 법을 우선 적용한다고 명시하고 있는 점, 정통망법에서는 개인정보와 관련한 소비자의 청구에 따른 사업자의 조치의무만을 부과하고 있으나 법에서는 소비자의 청구와 무관하게 필요한 조치의무를 부과하고 있으므로 법을 적용하는 것이 소비자에게 유리한 점 등을 종합적으로 고려할 때, 이 사건 피심인의 행위에 대하여 법 제11조를 적용하는 것은 타당하다. 둘째, 정보화사회 및 신용사회로의 급속한 이행에 따른 사업자에 의한 소비자 개인정보 도용의 확산 가능성 및 그에 따른 소비자보호 필요성의 증대, 개인정보주체의 프라이버시 보호욕구와 사업자의 마케팅 등을 위한 개인정보의 수집 및 활용 사이에는 항상 이해관계가 상충되는 현실 등을 종합적으로 고려할 때, 법 제11조 제2항의 '도용’의 개념적 범위에는 해킹 등과 같이 제3자의 불법적인 행위로 인한 경우는 물론이고, 이 사건의 경우와 같이 정보수집사업자와 제3자의 계약에 의하여 정보주체인 소비자의 의사에 반하여 정보가 이용되는 경우도 포함된다고 보는 것이 타당하다. 셋째, 3.다.(2)에서 이미 살펴본 바와 같이 피심인의 행위로 인하여 소비자에게 재산상의 손해가 발생할 우려가 있는 것으로 인정된다. 넷째, 통신판매업자 등이 소비자의 가입수단과는 무관하게 개인정보를 전자상거래 등에 통합하여 이용하고 있는 현실을 고려할 때, 법 제11조 제2항에 규정된 '소비자’의 의미는 통신판매 등 전자거래의 방식으로 가입한 소비자에 한정되지 않고 통신판매업자인 당해 사업자가 보유한 소비자 전체로 봄이 타당하고, '재화등을 거래’의 의미는 '전자상거래와 관련한 행위’로 포괄적으로 봄이 타당하므로, 전자거래의 방식으로 가입한 소비자에 한하여 법 제11조 제2항의 적용대상이 된다는 취지의 피심인 주장은 타당성이 없다. (5) 소결 위에서 본 바와 같이 피심인이 자신의 고객정보를 텔레마케팅업체에 제공한 행위와 관련하여 소비자의 확인요청 등에 필요한 조치를 이행하지 않은 행위는 '개인정보 도용에 따른 필요한 조치의 이행의무’를 규정한 법 제11조 제2항 및 법시행령 제12조의 규정에 위반되는 행위라고 판단된다. 4. 과태료 부과 가. 관련 법규정 법 제45조(과태료) ② 다음 각호의 1에 해당하는 자는 500만원 이하의 과태료에 처한다. 2. 제10조 제1항 또는 제13조 제1항의 규정에 의한 사업자의 신원정보를 표시하지 아니한 자 ④ 제1항 및 제2항의 규정에 의한 과태료의 부과기준은 대통령령으로 정한다. 법 시행령 제42조(과태료 부과기준) 법 제45조 제4항의 규정에 의한 과태료의 부과기준은 별표 2와 같다. 나. 과태료 금액 피심인이 자신의 신원정보를 표시하지 않은 행위는 법 제10조 제1항 및 법 제13조 제1항의 규정에 위반되므로 피심인에 대한 과태료 부과금액은 법 제45조 제2항 및 법시행령 제42조에 따라 100만원으로 한다. 5. 결 론 피심인의 2.가.의 행위는 법 제10조 제1항 및 법 제13조 제1항의 규정에 위반되므로 법 제32조 제1항 및 법 제45조 제2항의 규정을 적용하고, 3.가.의 행위는 법 제11조 제2항에 위반되므로 법 제32조 제1항의 규정을 적용하여 주문과 같이 의결한다.