“罚款基准应为总销售额… 二审认定有误”
“罚款数额过高,属‘裁量权逾越与滥用’之结论合理”
在开展活动过程中发生客户信息泄露并被处以18亿韩元级别罚款的线上购物平台Wemakeprice,在请求撤销罚款处分的诉讼中最终胜诉。
大法院第3小法庭(主审法官 Ahn Cheolsang)12日对株式会社Wemakeprice起诉个人信息保护委员会、要求撤销整改命令等处分一案,作出维持原审判决的终审判决,确认撤销罚款处分。
Wemakeprice于2018年11月1日开展名为“黑色价格日”的活动,向购买特定类别商品满10万韩元的客户发放50%积分使用券。
当时,Wemakeprice在适用于通过普通网页访问的购物网站主页的缓存策略之外,另行发布了仅适用于通过移动网页访问的活动页面的缓存策略。
但在此过程中,发生了购物网站20名用户的个人信息被泄露给其他29名用户的事故。
Wemakeprice在活动次日即2018年11月2日向广播通信委员会报告称,通过移动网页在活动页面登录时,会被登录到他人账号,从而能够访问特定页面(我的页面、购买信息),导致20名客户的个人信息被泄露。
与韩国互联网振兴院共同进行现场调查的广播通信委员会认为,Wemakeprice违反了《信息通信网法》,决定对其处以18.52亿韩元罚款并下达整改命令。
此后,广播通信委员会业务中有关个人信息保护的事务由个人信息保护委员会承接。Wemakeprice随即向个人信息保护委员会提起诉讼,请求撤销整改命令和罚款处分。
此前一审和二审均判决支持Wemakeprice。
合议庭表示:“综合事故发生的经过和内容、损害程度等因素来看,罚款金额明显过高”,“本案罚款处分存在逾越并滥用裁量权的违法性。”
合议庭还指出,个人信息保护委员会在计算罚款时,以与该活动并无直接关联的整个购物网站销售额为基准也是错误的。
合议庭表示:“根据《信息通信网法》,与违法行为无关的销售额部分不得作为罚款的考量因素,但广播通信委员会却以非活动产生的销售额、而是以整个购物网站的年度销售额为基准计算罚款金额,属于过度。”
大法院认为,在销售额计算标准方面,下级审的判断存在问题。但同时认为,罚款处分逾越裁量权、应予撤销的结论是正当的。
合议庭首先指出:“在为罚款计算相关销售额时,‘因违法行为而直接或间接受到影响的服务’的范围,应以发生泄露事故的个人信息所由其持有、管理的服务范围为基准进行判断。”
合议庭表示:“通过本案活动页面泄露的个人信息,是从存储本案购物网站用户信息的数据库中泄露的,该个人信息是为购物网站服务整体运营之目的而收集、管理的信息,而非仅为本案活动页面所提供的服务而收集、管理的信息”,“因此,为对原告计算罚款而认定的相关销售额,也应视为持有、管理该个人信息数据库之服务——即本案购物网站服务整体的销售额。”
接着指出:“原审认为,对原告应当课征的罚款的相关销售额应限于本案活动所产生的销售额,这一判断误解了《信息通信网法》所规定的相关销售额的解释法律原则。”
合议庭补充道:“即便考虑到本案罚款金额是在未超过相关规定上限的范围内计算得出,且原告销售额相对较大等情况,本案罚款金额在制裁性方面被过度强调,与违法行为本身的违法程度相比,仍可认为计算过重。”
但合议庭同时表示:“对于违反个人信息保护措施义务而被课征的罚款金额,应综合考虑保护措施违法行为的原因和类型、因违法行为而泄露的个人信息规模、为防止违法行为所负履行义务的程度、类似案例中的罚款金额等因素来确定”,“若罚款金额相较于违法行为的内容过重,以至于依照社会通念明显丧失妥当性,则应认定该罚款处分属于逾越并滥用裁量权而违法。”
合议庭说明驳回上诉的理由称:“因此,尽管原审认为本案罚款的相关销售额应限于本案活动所产生的销售额这一点有误,但原审关于本案罚款处分存在逾越并滥用裁量权之错误、应予撤销的结论是正当的。”
![“月薪150万不如去美国年入5亿” 首尔大·KAIST人才纷纷收拾行囊 [科学家正在消失]①](https://cwcontent.asiae.co.kr/asiaresize/93/2026051414165763158_1778735817.jpg)
大法院相关人士表示:“这是首次明确指出在因个人信息泄露事故而课征罚款的处分中,用于计算罚款基准的‘相关销售额’范围,以及在计算罚款金额时应当考虑的要素的判决。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
