“개인정보 유출돼도 책임 없다” 약관에 못 쓴다…공정위, 쿠팡 등 약관 시정

사건의 배경

 

이번 기사는 공정거래위원회가 쿠팡, 네이버 등 주요 플랫폼 사업자들의 이용약관을 심사해 개인정보 유출 시 사업자 책임을 부당하게 면제하거나 이용자에게 전가하던 조항을 시정했다는 내용을 다루고 있다. 공정위는 4월 27일 쿠팡, 네이버, 컬리, SSG닷컴, G마켓, 11번가, 놀유니버스 등 7개 플랫폼 사업자의 이용약관을 점검한 결과, 총 11개 유형의 불공정 약관을 확인하고 시정을 권고했다고 밝혔다. 특히 SSG닷컴을 제외한 6개 사업자는 모두 개인정보 유출과 관련해 사업자 책임을 과도하게 면책하거나 이용자에게 전가하는 조항을 두고 있었던 것으로 나타났다.

이 내용을 보면서 가장 먼저 든 생각은 개인정보 유출이 반복되는 상황에서 플랫폼은 약관으로 책임을 줄이려 했다는 점이었다. 기술적으로는 개인정보를 대규모로 수집하고 활용하면서, 정작 사고가 나면 제3자 불법 접속이므로 책임이 없다는 식으로 빠져나가려 했다는 건 결국 개인정보 보호를 서비스 운영의 핵심 책임으로 보지 않았다는 뜻에 가깝게 느껴졌다. 

 

개인정보 침해 쟁점

 

이번 사안의 핵심은 개인정보 유출 책임을 사업자가 약관으로 미리 면제할 수 있는가 하는 점이다. 기사에 따르면 쿠팡은 그동안 제3자의 불법 접속으로 발생한 손해에 대해 회사는 책임지지 않는다는 내용을 약관에 두고 있었다. 겉으로 보면 외부 해킹은 사업자가 통제할 수 없는 일처럼 보일 수 있지만 개인정보 유출은 단순히 누가 침입했는지만이 아니라, 그 침입을 막기 위한 보호조치가 충분했는지, 탐지와 대응이 적절했는지를 고려해야 하기 때문이다.

해커가 들어왔다는 사실만으로 사업자 책임이 자동으로 사라지지는 않는다. 개인정보보호법도 사업자가 고의 또는 과실이 없음을 스스로 입증하지 못하면 손해배상 책임을 지도록 규정하고 있다. 그런데 약관으로 제3자가 침입했으니 책임이 없다고 미리 적어두는 건, 법이 정한 책임 구조를 사실상 무력화하는 방식에 가깝다. 공정위가 이를 사업자의 귀책 여부와 관계없이 책임을 일괄 면제하고 이용자에게 손해를 전가하는 불공정 약관이라고 본 이유도 바로 이 지점이라고 느껴졌다.

 

관련 규범을 찾아보며

 

이번 사안을 보면서 가장 먼저 떠오르는 건 개인정보보호법상 손해배상 책임 구조이다. 현행 개인정보보호법은 개인정보처리자가 고의 또는 과실이 없음을 입증하지 못하면 정보주체에게 발생한 손해를 배상하도록 하고 있다. 즉 개인정보 유출 사고에서는 기본적으로 사업자가 책임을 지고, 스스로 우리는 과실이 없었다는 점을 입증해야 한다. 그런데 약관으로 이 책임을 미리 지우는 건 법이 전제한 보호 구조와 충돌할 수밖에 없다.

따라서 이번 점검에서 공정위는 부당한 면책 및 손해배상 제한, 자의적 운영권 행사, 정산 및 환불 관련 불이익, 기타 불공정 조항 등 4개 영역에서 총 11개 유형의 불공정 약관을 확인했다. 이 가운데 개인정보 보호와 가장 직접 연결되는 건 사업자 책임을 일괄 면제하는 조항이었다. 단순히 우리는 책임지지 않는다는 식의 선언으로 개인정보 보호 의무를 피해갈 수 없다는 점을 공정위가 다시 확인한 셈이다.

또 이번 조치가 흥미로웠던 건 개인정보 유출 책임뿐 아니라, 플랫폼이 약관을 통해 구조적으로 이용자 책임을 키우는 방식 전반을 함께 손봤다는 점이다. 약관보다 내부 운영정책을 우선 적용하거나, 이용자 동의 없이 결제수단을 변경하거나, 판매대금 정산을 지연하거나, 손해배상 한도를 일방적으로 제한하는 조항도 시정 대상에 포함됐다. 

 

제도적 의미

 

이번 조치의 제도적 의미는, 개인정보 유출 책임은 약관으로 지울 수 없는 법적 책임이라는 점을 다시 분명히 했다는 데 있다고 생각한다. 플랫폼 기업들은 대규모 개인정보를 수집하고, 그 데이터를 기반으로 서비스와 수익 구조를 운영한다. 그런데 사고가 나면 우리는 책임 없다는 문구를 약관에 넣어두는 건, 수익은 기업이 가져가고 위험은 이용자에게 넘기는 구조에 가깝다. 

또 하나 눈에 띄는 건 공정위가 이번 사안을 단순 개인정보 문제로만 보지 않았다는 점이다. 기사에서도 드러나듯 이번 시정은 개인정보 유출 책임뿐 아니라 환불, 정산, 중개 책임, 운영정책 우선 적용까지 함께 다뤘다. 결국 개인정보 유출 면책 조항도 플랫폼이 약관을 통해 우월적 지위를 행사하는 broader한 구조 안에 있었다는 의미다. 공부하는 입장에서는 개인정보 보호도 이제 단순 보안 문제가 아니라, 플랫폼 권한과 책임 배분 구조의 문제로 같이 봐야 한다는 생각이 더 강해졌다.

 

내가 배운 점

 

이번 기사를 보면서 가장 크게 느낀 것은 개인정보 보호는 기술적 보안만이 아니라 계약 구조의 문제이기도 하다는 점이었다. 흔히 개인정보 유출은 해킹이나 내부 통제 실패 같은 기술 문제로만 보기 쉬운데, 실제로는 사고 이후 책임을 누가 지도록 설계해 두었는지도 굉장히 중요하다. 약관에 책임 없다는 문구가 들어가 있으면, 이용자는 사고 이후에도 구조적으로 불리한 위치에 놓이게 된다. 공부하는 입장에서는 개인정보 보호를 볼 때 시스템뿐 아니라 약관과 책임 구조까지 같이 봐야 한다는 점을 다시 느꼈다.

또 하나는 플랫폼이 개인정보를 다루는 방식과 책임지는 방식이 여전히 비대칭적이라는 점이다. 정보는 넓게 수집하고 적극적으로 활용하면서, 사고가 나면 책임은 좁게 지려는 구조는 결국 이용자 신뢰를 깎을 수밖에 없다. 이번 시정은 그런 구조를 조금은 바로잡는 조치로 보여 의미 있게 느껴졌다.

 

정리하며

 

이번 기사는 공정거래위원회가 쿠팡, 네이버 등 주요 플랫폼 사업자의 약관을 심사해, 개인정보 유출 시 사업자 책임을 부당하게 면제하거나 이용자에게 전가하던 조항을 시정한 내용을 전했다. 특히 쿠팡 등 6개 사업자는 제3자의 불법 접속으로 인한 손해는 책임지지 않는다는 식의 면책 조항을 두고 있었고, 공정위는 이를 사업자 귀책 여부와 무관하게 책임을 일괄 면제하는 불공정 약관으로 판단했다.

개인적으로는 이번 조치를 보며 개인정보 보호는 단순히 유출을 막는 기술의 문제가 아니라, 사고 이후 누가 어떤 책임을 지도록 설계되어 있는가의 문제이기도 하다는 점을 다시 느꼈다. 플랫폼이 데이터를 통해 이익을 얻는다면, 그 데이터가 유출됐을 때 책임 역시 약관이 아니라 법과 책임 원칙에 따라 져야 한다. 공부하는 입장에서도 이번 사례는 개인정보 보호를 기술, 법, 계약 구조가 함께 얽힌 문제로 다시 보게 만든다.

 

참고 자료

• 중앙일보, 「“개인정보 유출돼도 책임 없다” 약관에 못 쓴다…공정위, 쿠팡 등 약관 시정」, 2026-04-27.

 

기사 원문

 

https://www.joongang.co.kr/article/25423604

“개인정보 유출돼도 책임 없다” 약관에 못 쓴다…공정위, 쿠팡 등 약관 시정 | 중앙일보