IT/지식재산기업법무

DATA+LAWㅣ공개된 정보도 마음대로 쓰면 불법! 네이버 스마트스토어로 본 기업의 데이터 활용 기준

공개된 정보라도 동의 없이 활용하면 개인정보보호법 위반이 될 수 있다는 사실! 네이버 스마트스토어 판매자 정보 크롤링 사건을 통해 기업의 데이터 활용 기준과 법적 책임을 분석합니다.
법무법인 슈가스퀘어's avatar
법무법인 슈가스퀘어
Nov 23, 2025
DATA+LAWㅣ공개된 정보도 마음대로 쓰면 불법! 네이버 스마트스토어로 본 기업의 데이터 활용 기준
Contents
1. “공개된 정보니까 괜찮다?” NO!2. 스마트스토어 판매자 정보, 개인정보로 볼 수 있는걸까?3. 위법 논란의 핵심: 데이터 활용의 기준은 ‘출처’가 아니라 ‘목적’입니다4. 대기업들도 넘어지는 개인정보보호 이슈, 우리 회사는 괜찮을까?5. 데이터 활용의 기준을 설계하는 법률 파트너 - 슈가스퀘어

1. “공개된 정보니까 괜찮다?” NO!

네이버 스마트스토어는 판매자의 상호, 사업자등록번호, 연락처, 후기 등 다양한 정보를 소비자에게 공개하는 구조로 운영되고 있습니다. 그런데 올해 초, 일부 사업자 정보가 자동화된 방식으로 수집(크롤링)·분석되어 외부 데이터베이스로 유통되었다는 의혹이 제기되면서, 개인정보보호위원회와 공정거래위원회가 조사를 시작했습니다.

이 사건에서 중요한 것은 ‘어떤 정보가 인터넷에 공개되어 있었다는 사실’이 아니라, 공개된 정보를 ‘어떤 목적과 방식으로 활용했는가’입니다. 대법원은 ‘이미 공개된 개인정보라도 보호 대상이 될 수 있다’고 판단했습니다. 즉, 스마트스토어에 공개된 판매자 정보라 하더라도, 이를 원래의 공개 목적(소비자와의 거래)을 벗어나 영업 목적, 데이터 판매, AI 학습 등으로 활용하는 순간 법적 문제가 발생합니다. 

공개된 정보라도 목적 없이 무단 수집하거나 다른 용도로 전환하면 개인정보보호법 위반입니다.

👉개인정보 활용 목적 어긋났던 우리카드, 134억 과징금 폭탄 안은 사연 보러가기
👉카카오도 걸려 넘어진 개인정보 유출 사건 보러가기

2. 스마트스토어 판매자 정보, 개인정보로 볼 수 있는걸까?

판매자 정보는 사업자 정보이므로 개인정보가 아니라고 주장할 수도 있겠지만, 개인정보 보호법은 "살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보"를 개인정보로 정의합니다. 따라서 판매자가 개인사업자인 경우, 그 성명과 연락처는 개인정보에 해당할 수 있습니다.

판매자가 스마트스토어에 정보를 등록할 때는 '소비자와의 거래 목적'으로 공개한 것이지, 제3자가 영업 목적이나 데이터베이스 구축을 위해 자동화된 방식으로 대량 수집하는 것에 동의한 것이 아닙니다.

이번 사건에서는 연락처, 매출 추정, 리뷰 이력 등이 AI 마케팅, 경쟁업체 타겟팅 DB로 활용된 정황도 확인되어, 이는 단순 열람을 넘어선 '목적 외 이용'에 해당할 가능성이 높습니다.

개인정보 보호법 제2조 제1항 제1호: 개인정보를 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 또는 영상 등을 통하여 개인을 알아볼 수 있는 정보를 말하며, 해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 포함한다고 규정 

📌 공개된 정보 ≠ 누구나 자유롭게 사용 가능한 정보

공개된 목적은 ‘소비자 거래 편의’였지만, 이를 영업 목적, 데이터 판매, AI 학습 등으로 활용하는 순간 법적 책임이 발생합니다.


 

3. 위법 논란의 핵심: 데이터 활용의 기준은 ‘출처’가 아니라 ‘목적’입니다

개인정보보호법은 다음과 같은 원칙을 명확히합니다.

  • 제18조(목적 외 이용 금지): 동의받은 목적 범위를 벗어나 개인정보를 이용하거나 제3자에게 제공할 수 없습니다.

  • 제29조(안전조치 의무): 개인정보처리자는 개인정보가 무단 수집·유통되지 않도록 기술적·관리적 조치를 취해야 합니다.

자동화된 데이터 수집(크롤링)도 개인정보 처리 행위에 해당합니다. 결국, 이번 스마트스토어 사건도 ‘크롤링이 허용되는가’ 보다도
1) 데이터가 자동화된 방식으로 수집되었는지,
2) 이용자의 동의 범위 안에서 활용되었는지,
3) 플랫폼이 데이터 통제를 충분히 수행했는지가 핵심 쟁점입니다.

플랫폼은 “정보를 공개했으니 알아서 활용하라”는 입장을 취할 수 없습니다. 공개된 데이터도 어떤 용도로, 얼마나 수집되고, 어디로 이전되는지에 대해 기업이 책임을 지는 구조로 법이 변화하고 있기 때문입니다.

4. 대기업들도 넘어지는 개인정보보호 이슈, 우리 회사는 괜찮을까?

데이터는 공개된 상태의 자산이 아니라, 법적으로 허용된 구조 속에서 활용 가능한 자산입니다. 데이터 활용이 곧 비즈니스 전략이 되는 시대에는, 데이터를 수집하는 것보다 ‘어떤 법적 구조 아래에서  사용하느냐’가 기업 가치를 결정합니다.

  • 공개된 정보라도 원래의 공개 목적을 벗어나 활용하면 위법입니다 - 수집 목적과 이용 목적이 일치하는지 확인하세요

  • 자동화된 수집(크롤링, 스크래핑)은 개인정보 처리 행위로 간주됩니다 - 정보주체의 동의 없이 개인정보를 제공받는 행위는 처벌 대상입니다

  • 판매자나 이용자의 동의 없이 데이터를 AI 학습이나 DB 구축에 사용하면 목적 외 이용으로 위법입니다 - 특히 개인사업자의 성명, 연락처는 개인정보에 해당할 수 있습니다

  • 플랫폼은 데이터가 무단으로 수집·유통되지 않도록 기술적·관리적 조치를 취해야 할 법적 의무가 있습니다 - 크롤링 방지 기술, 비정상 접근 탐지 시스템 등을 구축해야 합니다

5. 데이터 활용의 기준을 설계하는 법률 파트너 - 슈가스퀘어

법무법인 슈가스퀘어는 데이터 기반 비즈니스가 규제에 막히지 않고, 지속 가능한 성장 전략으로 나아갈 수 있도록 설계하는 법률 파트너입니다. 과학기술정보통신부 데이터분쟁조정위원회, 콘텐츠분쟁조정위원회, 공공데이터제공분쟁조정위원회 등 국가기관의 자문과 조정 업무를 수행해온 전문가들이 직접 참여하여 다음과 같은 영역을 종합적으로 지원합니다.

  • 공개·비공개 데이터의 법적 성격과 활용 가능성 분석

  • 목적 외 이용을 방지하는 데이터 흐름 및 동의 구조 설계

  • AI 학습 데이터와 마케팅 DB의 가명처리 및 적법성 검토

  • 개인정보보호위원회 조사 대응 및 행정제재 최소화 전략 수립

이제 시장은 데이터를 많이 가진 기업보다 데이터를 안전하게 활용할 수 있는 기업을 중심으로 재편되고 있습니다. 슈가스퀘어와 함께하세요. 귀사의 데이터가 리스크가 아닌 경쟁력이 되도록, 법적 기준과 성장 전략을 함께 설계해드리겠습니다.

[상담문의]


 

Share article

법무법인 슈가스퀘어 공식 블로그

RSS·Powered by Inblog