법무법인[유] 지평 || [헌법 · 행정 · 규제대응] 페이스북 이용자 친구 개인정보의 제3자 앱 제공 사건 – 이미 공개된 개인정보의 처리(대법원 2025. 3. 13. 선고 2024두55440 판결)

법률정보|최신 판례

[헌법 · 행정 · 규제대응] 페이스북 이용자 친구 개인정보의 제3자 앱 제공 사건 – 이미 공개된 개인정보의 처리(대법원 2025. 3. 13. 선고 2024두55440 판결)

2025.06.26

<div style="text-align: justify;">2015년 영국 언론의 보도로 불거진 케임브리지 애널리티카(이하 ‘CA’) 스캔들이 전 세계에 적잖은 충격을 안겨주었습니다.  CA가 페이스북 이용자들(Users), 그리고 그 페이스북 이용자들과 연결된 친구들(Friends)의 개인정보까지 성격 퀴즈 앱(This Is Your Digital Life)을 통해 취득한 뒤, 이를 정치 성향 분석 같은 목적으로 사용하여 미국 대통령 선거나 영국 국민투표 등에 영향을 주었다고 알려진 사태입니다.  이후 각국 개인정보 감독기구는 메타(구 페이스북)에 수위 높은 처분을 내렸습니다.  우리나라 개인정보보호위원회도 2020. 11. 25. 메타를 상대로 CA 스캔들과 관련한 시정명령 및 67억 4,800만 원의 과징금 처분을 부과하였습니다.  메타는 개인정보보호위원회 처분의 취소를 구하는 소를 제기하였으나, 제1, 2심에 이어 대법원도 메타의 개인정보 처리가 위법하였다고 판단하였고, 개인정보보호위원회의 처분이 정당하다는 판결을 확정하였습니다. 
 
이번 판결은 SNS를 통해 이미 공개된 개인정보를 처리하는 행위의 적법성 기준을 제시하였다는 데에 중요한 의미를 가집니다.  최근 머신러닝 기반의 인공지능 환경에서 공개된 개인정보를 AI 학습용으로 활용할 수 있는지 꾸준히 문제되고 있습니다.  공개된 개인정보의 활용과 관련한 그간의 법원의 태도에 비추어 보면, 공개된 개인정보의 내용과 성격 및 보호 조치를 포함한 데이터 처리의 전 과정에 따라 개인정보 처리의 적법성 여부가 사안마다 달리 판단될 것으로 보입니다. 
 
 
1. 사안의 개요 및 쟁점의 정리 
 
이 사건에서 문제된 사실관계, 즉 페이스북 서비스로부터 제3자 앱으로의 개인정보의 제공 구조 및 작동 순서를 요약하면 다음과 같습니다. 
 
[1단계] 페이스북은 제3자 앱이 페이스북 사용자들의 개인정보 등을 제공받아 서비스할 수 있도록 프로그램 간의 상호작용을 돕는 인터페이스인 Graph API V1을 개발하여 도입하였습니다. 
 
[2단계] 제3자 앱은 Graph API V1을 사용하여 앱을 개발하고 이후 페이스북이 제공하는 개발자 툴을 이용하여 페이스북으로부터 받을 개인정보 항목을 선택합니다.  이때 이용자(Users, 제3자 앱에 ‘페이스북 로그인’ 방식으로 회원가입하고자 하는 자)뿐만 아니라 그 이용자의 페이스북 친구들(Friends, 이하 ‘친구’)의 개인정보(Friends-Related Information)도 제공받을 정보 항목으로 선택 가능합니다. 
 
[3단계] 이용자가 제3자 앱을 이용하려는 때 여러 가지 회원가입 방식 중에서 페이스북 계정을 이용한 로그인 방식을 선택합니다. 
 
[4단계] 이용자가 페이스북 로그인 방식으로 회원가입을 요청하면 ‘허가 요청 (Request for Permission)’ 화면이 제시되는데, 이 화면에는 ‘내 친구들의 정보에 접근’이라는 내용이 포함되어 있고 이용자는 이를 변경할 수 없습니다. 
 
[5단계] 이용자가 ‘허가하기(Allow)’를 선택하면 제3자 앱을 이용할 수 있고, ‘허가 안함’을 선택하면 페이스북 로그인 방식으로는 제3자 앱을 이용할 수 없습니다. 
 
[6단계] 메타는 서버에 저장된 이용자 및 이용자 친구 개인정보 중 제3자 앱이 [2단계]에서 선택한 것을 Graph API V1을 통해 제3자 앱에 제공합니다. 
 
이 사건에서 메타의 핵심 주장 요지는 다음 2가지 사항이었습니다.  메타는 ① 제3자 앱으로의 개인정보 이전이 마치 트윗 공유나 이메일 포워딩 등과 같이 이용자의 주도적 행위로 친구 개인정보가 이전되는 것일 뿐이라고 하였습니다.  즉, 메타의 개인정보 제3자 제공 행위가 없으므로 메타가 정보주체인 친구로부터 동의를 받아야 하는 경우가 아니라고 주장하였습니다.  나아가 메타는 ② 설령 개인정보 제3자 제공에 대한 동의의 규정이 적용된다고 하더라도, 이미 동의가 있었다고 인정되는 범위 내에 있다고 하였습니다.  이른바 ‘로앤비 판결’(대법원 2016. 8. 17. 선고 2014다235080 판결)에서, 이미 공개된 개인정보의 경우 정보주체가 제3자에게 제공된다는 점을 알고 자신의 개인정보를 공개하는 것이므로 제공에 대한 동의가 있었다고 인정될 수 있다고 본 점을 근거로 들었습니다.  마찬가지로, 페이스북 서비스를 이용하는 친구 역시 페이스북에 자기 개인정보를 공개하였고, 그렇게 공개한 범위 내에서는 친구로부터 제공에 대한 별도 동의는 불필요하므로, 제3자 앱으로 개인정보가 이전되는 국면에서 메타가 친구의 별도 동의 없이 제3자 앱에 제공할 수 있다고 주장하였습니다.  그러나 법원은 2가지 메타의 주장이 모두 타당하지 않다고 판단하였는데 그 주요 내용을 살펴보겠습니다. 
 
 
2. 개인정보 제3자 제공 행위에 해당하는지 [쟁점 ①] 
 
첫 번째 쟁점에 대해, 법원은 페이스북 서비스로부터 제3자 앱으로의 개인정보 이전이 ‘개인정보를 제3자에게 제공하는 행위’에 해당한다고 판단하였습니다.  개인정보의 제3자 제공이라 함은, 본래의 개인정보 수집ㆍ이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 것을 의미합니다.  그런데 이용자가 제3자 앱에 새로 가입할 때 그 제3자 앱에 본인의 개인정보가 포괄적으로 이전되는 것은, 페이스북 친구가 결정한 당초 개인정보 이용 목적 범위를 명백하게 벗어납니다.  이때 메타는 정보주체인 친구의 동의 여부와 무관하게, 제3자 앱으로 하여금 정보주체의 개인정보에 접근하고 이를 이전받을 수 있는 권한을 가지도록 설계한 기술적 조치를 적극적으로 마련하였고, 이를 제3자 앱에 제공하였습니다.  법원은 이러한 메타의 일련의 행위가 개인정보를 제3자 앱에 ‘제공’한 행위라고 평가하기에 충분하다고 보았습니다. 
 
한편, 메타는 정보 이전 과정을 주도한 주체가 이용자라고 주장하였습니다.  즉, 이용자가 페이스북 로그인 방식으로 제3자 앱에 가입할 때 ‘허가 요청(Request for Permission)’ 화면에서 ‘허가하기(Allow)’를 선택함으로써 주도적인 의사 결정을 한다는 것입니다.  메타가 정보의 이전을 주도하지 않으므로 메타의 개인정보 제3자 제공 행위로 평가할 수 없다는 취지였습니다. 
 
그러나 법원은 친구의 개인정보가 제3자 앱으로 이전되는 정보 이전 과정을 메타가 적극적, 체계적으로 주도하였다고 하였습니다.  메타는 자신이 수집하여 관리하는 친구의 개인정보를 제3자 앱에 제공되도록 하는 기술적 장치를 개발하여 도입한 것에서 더 나아가 이용자가 페이스북 로그인의 방식으로 제3자 앱에 가입하려고 할 때 친구 개인정보의 제공에 관한 ‘허가하기’ 화면을 직접 제작하여 노출시켰습니다.  반면, 이용자는 간편하게 제3자 앱에 가입하여 서비스를 이용하고자 페이스북 로그인 방식을 선택하였을 뿐입니다.  이용자 본인의 친구의 개인정보까지 제3자 앱에 제공된다는 것까지 쉽게 예상하기 어려웠을 것이고, 그렇다면 이용자가 단순히 ‘허가하기’에 클릭하는 것만으로 정보 이전 과정에서 주도적인 역할을 수행하였다고는 볼 수 없다는 것입니다. 
 
바로 이러한 점에서 법원은 이 사건 정보 이전 과정이 카카오톡의 연락처 전송, 트위터의 트윗 공유, 아웃룩의 이메일 포워딩 등과 전혀 다르다고 보았습니다.  연락처 전송, 트윗 공유, 이메일 포워딩 등 타 서비스는 제재 대상이 되지 않습니다.  정보통신서비스 제공자는 오로지 이용자들의 편의를 위해서 기술적인 장치를 마련하고, 이용자는 이에 기반해서 주도적으로 서로 개인정보를 주고받을 의사로 그러한 행위를 하기 때문입니다.  그러나 이 사건 페이스북 서버로부터의 정보 이전 과정의 경우, 이용자는 단순히 페이스북 로그인 방식으로 간편하게 제3자 앱에 가입하여 이용하려는 것이 주된 의도였을 뿐이고, 메타는 ‘허가 요청’ 화면을 제작ㆍ구성하여 이용자에게 노출시키고 제3자 앱과 사전에 조율된 계획에 따라 그에게 직접 개인정보를 이전하는 등 훨씬 적극적인 역할을 수행하였습니다.  그러므로 이 사건에서는 메타가 개인정보의 제공을 주도하였다고 볼 수 있다는 취지입니다. 
 
 
3. 공개된 개인정보라고 하더라도 정보주체의 별도 동의가 필요한지 [쟁점②] 
 
메타는, 설령 제3자 앱으로의 개인정보 이전이 ‘개인정보를 제3자에게 제공하는 행위’에 해당한다고 하더라도, 이 사건에서 적법하게 개인정보 제3자 제공이 이루어졌다고도 주장하였습니다.  특히 메타는 제3자 앱에 제공된 이용자 친구의 개인정보가 페이스북 내에 이미 공개된 개인정보이므로 이른바 ‘로앤비 판결’(대법원 2016. 8. 17. 선고 2014다235080 판결)이 제시한 공개된 개인정보의 처리에 대한 기준을 적용해야 한다고 주장했습니다.  즉, 이미 자신의 개인정보 제공에 관하여 정보주체의 동의가 있다고 평가할 수 있으므로, 이에 따라 친구의 별도 동의 없이 제3자 앱에 제공할 수 있다는 것입니다.  
 
그런데 이번 사건에서는 법원이 메타의 제3자 앱에 대한 친구 개인정보의 제공이 “정보주체의 동의가 있었다고 객관적으로 인정되는 범위” 내에서 처리된 것이 아니라고 보고, 따라서 정보주체인 이용자 친구의 별도 동의가 필요하다고 판단하였습니다.  특히 법원은 ‘로앤비 판결’에서 언급된 판단 기준을 구체화하였습니다.  먼저, 개인정보자기결정권의 목적상, 정보주체 동의가 없는 개인정보 제3자 제공은 예외적으로만 인정되어야 하며, 그 요건 역시 엄격하게 해석해야 한다는 점을 전제하였습니다.  그리고 이미 공개된 개인정보를 “정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서” 제공한 것인지 판단할 때에는, 개인정보 제3자 제공 시의 법정 고지사항[(i) 개인정보를 제공받는 자, (ii) 제공받는 자의 개인정보 이용 목적, (iii) 제공하는 개인정보의 항목, (iv) 제공받는 자의 개인정보 보유 및 이용 기간]에 관하여 어느 정도 인식할 수 있었는지 여부를 충분히 고려하여 신중하게 판단하여야 한다고 강조하였습니다.   
 
그 결과 법원은 제3자 앱에 제공된 개인정보가 이용자 친구 스스로 이미 공개한 개인정보라고 하더라도, 위와 같은 법정 고지사항의 명확한 인식 내지 예상 가능성을 전제로 한 추정적 동의라고 평가할 수 없으므로, 원고가 그 개인정보를 제3자 앱에 제공한 행위는 “정보주체의 동의가 있었다고 객관적으로 인정되는 범위”를 벗어났다고 판단하였습니다.  메타가 공개하였던 페이스북 서비스의 데이터 정책(Data Policy), 이용약관(Statement of Right and Responsibilities) 등을 살펴보아도 친구로서는 자신의 아이디 이외에 바이오정보, 기념일, 가족관계, 종교, 정치관 등의 프로필 내용과 온ㆍ오프라인 현황, 각종 활동사항, 위치정보, 좋아요 누른 페이지 등 페이스북을 사용하는 과정에서 자연스럽게 생성되는 개인정보까지 광범위하게 자신의 별도 동의 내지 허락 없이 제3자 앱에 제공될 수 있음을 인식하리라 기대하기는 어려웠습니다.  친구는 본인의 개인정보가 제3자 앱으로 이전되는 과정을 충분히 미리 알고 이를 제한할 수 없었습니다.  개인정보를 제공받는 자인 제3자 앱이 누구인지, 제3자 앱이 개인정보를 이용하는 목적은 무엇인지, 제3자 앱의 개인정보 보유 기간은 언제까지인지 등에 관하여 전혀 인식할 수도 없었습니다.  더욱이 친구가 원래 공개한 의도 내지 목적을 고려해 보면, 친구와 친구관계인 이용자가 제3자 앱에 가입하여 이용할 때 친구 자신의 개인정보가 그 제3자 앱에 제공되는 것은 친구의 원래 공개 목적과 그리 관련성이 크지 않습니다.  요컨대 법원은 친구의 개인정보자기결정권이 적절히 보호받지 못하였다고 판단하였습니다.  
 
한편, 법원은 정보주체가 공적인 존재인지, 개인정보의 공공성과 공익성, 원래 공개한 대상 범위, 개인정보 처리의 목적ㆍ절차ㆍ이용형태의 상당성과 필요성, 개인정보 처리로 인하여 침해될 수 있는 이익의 성질과 내용을 종합적으로 고려해야 한다고 명시하였습니다.  이러한 맥락에서, 법원은 이 사건과 ‘로앤비 판결’ 사건의 차이에도 주목하였습니다.  ‘로앤비 판결’에서는 정보주체가 공립대학교 법학과 교수로서 공적인 존재이고 그 학력, 경력에 관한 정보는 공공성 있는 개인정보라는 점이 중요하게 고려되었습니다.  반면, 이 사건에서는 정보주체인 친구가 공적인 존재라고 볼 근거가 없을 뿐만 아니라, 친구의 개인정보가 공공성과 공익성이 있다고 평가하기도 어렵습니다.  법원은 페이스북 이용자 친구의 개인정보가 친구 본인의 의사에 반하여서까지 제3자 앱에 제공되어야 할 공공성 있는 개인정보라고 볼 수 없다는 점도 고려하여, 메타가 친구의 별도 동의를 받지 않고 제3자 앱에 제공한 행위가 위법하다고 판단하였습니다. 
 
 
4. 판결의 의미 
 
페이스북 이용자 친구 개인정보의 제3자 앱 제공 사건에서 법원은, 제3자 앱에 제공된 개인정보가 친구 스스로 SNS에 이미 공개한 정보라고 하더라도, 이를 친구의 별도 동의나 허락 없이 제공한 것은 위법한 행위라고 명시적으로 판단하였습니다.  그간 개인정보보호위원회는 공개된 개인정보의 처리에 관하여 동의가 인정될 수 있는지에 관하여 ‘로앤비 판결’에서의 판단 기준[① 공개된 개인정보의 성격, ② 공개의 형태와 대상 범위, ③ 정보주체의 공개 의도 내지 목적, ④ 정보처리자의 정보제공 등 처리의 형태, ⑤ 공개의 대상 범위가 변경되었는지 여부, ⑥ 원래 공개 목적과의 상당한 관련성]을 보충적 참고 기준으로 제시해 왔습니다.  이번 판결은 추정적 동의 범위를 판단하는 이익형량 기준을 더욱 구체적으로 밝혀 주었다는 점에서 의의가 있습니다.  대표적으로 개인정보 제3자 제공에 관한 동의를 받을 때의 법정 고지사항[(i) 제공받는 자, (ii) 제공받는 자의 이용 목적, (iii) 제공하는 항목, (iv) 제공받는 자의 보유 및 이용 기간]에 관한 정보주체의 인식 가능성을 충분히 고려하여야 합니다. 
 
참고로 이 사안 자체는 구 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제24조의2에 관한 것입니다.  예를 들어 “정보통신서비스 제공자가 개인정보를 제3자에 제공함에 있어서는 어디까지나 구 정보통신망법 제24조의2 제1항에 따른 정보주체의 동의를 받는 경우가 원칙적인 모습이 되어야” 한다는 1심 법원의 판시 사항은, 정보주체의 동의 외에 다른 정당화 근거를 동등한 차원에서 규정하는 현행 「개인정보 보호법」의 규정 내용과 취지에 부합하지 않는 측면이 있으므로 재고가 필요합니다.  특히 정보주체의 동의가 없더라도 「개인정보 보호법」 제15조 제1항 제6호는 개인정보처리자 이익과 정보주체 권리를 비교 형량하여 개인정보 수집ㆍ이용이 가능한 경우를 규정하고 있으며, 개인정보보호위원회는 이를 근거로 공개된 개인정보를 수집ㆍ이용할 수 있다고 밝혔습니다[인공지능(AI) 개발ㆍ서비스를 위한 공개된 개인정보 처리 안내서(2024. 7.)].  이처럼 이 사건에 관한 법원의 해석이 과거의 법령에 관한 것이라는 점은 주의할 필요가 있으나, 이번 사안에서 구체화된 판단 기준은 개인정보처리자의 이익과 정보주체의 권리 사이 비교 형량 등 현행법상 공개된 개인정보 처리의 정당화 여부 판단 시에도 계속 중요하게 적용될 수 있습니다.   
 
물론 “정보주체의 동의가 있었다고 객관적으로 인정되는 범위” 내에서의 공개된 개인정보 활용은 여전히 가능할 것입니다.  예를 들어, 이른바 ‘국가정보원 사건’(대법원 2015. 7. 16. 선고 2015도2625 전원합의체 판결, 파기 후 환송심 서울고등법원 2017. 8. 30. 선고 2015노1998 판결)에서는 트위터 이용약관과 개인정보 처리방침에 사용자 정보의 수집ㆍ이용 동의, 콘텐츠 재사용 권장ㆍ허용이 명시된다는 점을 들어, 트위터 정보의 제3자 제공에 대해 포괄적인 동의를 한 것으로 인정되기도 하였습니다.  다만, 이 사건 판결에 따라, 메타와 같은 온라인 서비스 기업 등이 SNS 등 온라인 환경에 이미 공개된 정보를 정보주체의 동의 없이 수집, 이용, 제공하는 행위에는 한계가 존재한다는 점이 비교적 분명해지게 되었습니다.   
 
앞으로 공개된 개인정보의 활용에 관한 포괄적 동의가 인정되는지 여부는, 이용하려는 공개된 정보의 내용과 성격 및 데이터 처리의 전 과정을 고려하여 정보주체의 인식 가능성을 주된 기준으로 신중하게 따져볼 필요가 있습니다.  정보주체가 이미 공개한 것이라고 하더라도, 그 개인정보를 공개하게 된 당초 의도 내지 목적을 포함하여 전후의 여러 정황에 비추어, 도저히 정보주체가 인식하기 어려운 기술적 장치나 사업적 맥락 등에 의한 무분별한 2차 사용은 가능하지 않으므로 각별히 유의하여야 하겠습니다.  법무법인(유) 지평 개인정보ㆍ데이터ㆍAI팀은 AI 기반 서비스 출시 단계에서부터 개인정보 보호 규범에 부합하는 비즈니스의 설계까지 실질적인 조언을 드리기 위해 최선을 다하겠습니다.</div>

칼럼 [헌법 · 행정 · 규제대응] 가설건축물 연장신고와 건축법령의 체계적 해석 2025.06.26

칼럼 [노동] 절차적 이슈를 중심으로 살펴보는 징계 실무 2025.06.26

목록으로

JIPYONG 법무법인[유] 지평

관련 업무분야

관련 구성원