고객 개인정보를 무단으로 제3자에게 넘긴 인터넷 쇼핑몰 운영자에게 법원이 유죄를 선고했다. 업계 관행이라는 주장도 받아들여지지 않았다.

16일 법조계에 따르면 광주지법 형사6단독은 개인정보보호법 위반 혐의로 기소된 쇼핑몰 운영자 A씨에게 벌금 100만원을 선고했다.

A씨는 재고가 없는 상품을 대신 주문하는 과정에서 고객의 이름과 주소 등 개인정보를 당사자 동의 없이 다른 쇼핑몰에 전달한 혐의로 재판에 넘겨졌다.

재판부는 해당 행위가 단순 배송을 위한 정보 전달과는 본질적으로 다르다고 판단했다. 택배사에 배송을 맡기기 위해 필요한 범위의 정보 제공은 계약 이행 과정에서 허용될 여지가 있지만, 재고 부족을 이유로 다른 판매자에게 고객 정보를 넘겨 재주문하는 행위는 별개의 제3자 제공에 해당한다는 취지다.

현행 개인정보보호법은 정보주체의 동의 없이 제3자에게 개인정보를 제공하는 행위를 원칙적으로 금지하고 있으며, 수집 목적을 벗어난 이용·제공 역시 엄격히 제한하고 있다. 특히 제공받는 자, 이용 목적, 항목, 보유 기간 등을 명확히 고지하고 별도의 동의를 받아야 한다.

법원은 유사한 사안에서도 일관된 판단을 이어왔다. 주문자의 이름과 주소 등이 포함된 정보를 다른 업체에 전달해 재주문한 경우, 단순 배송 정보 제공이 아닌 제3자 제공으로 보고 유죄를 인정했다.

A씨는 상품 상세 페이지를 통해 관련 내용을 안내했고 이용자가 이에 동의한 것으로 봐야 한다고 주장했다.

그러나 재판부는 이를 받아들이지 않았다. 안내 문구가 지나치게 작고 눈에 띄지 않아 이용자가 내용을 명확히 인지했다고 보기 어렵다는 이유다. 단순히 일괄 동의 구조를 만들어 놓았다는 사정만으로는 유효한 동의로 인정할 수 없다고도 판단했다.

또한 업계에서 흔히 이뤄지는 방식이라는 주장 역시 배척됐다.

재판부는 “관행이라 하더라도 법률에 위반되는 이상 정당화될 수 없다”며 “개인정보 보호는 사업 편의보다 우선되어야 한다”고 지적했다.