1. 사건개요
정보통신망을 통한 개인정보 유출사고로, 신용카드 등 발행·관리 등의 사업을 영위하는 A회사가 B회사에 카드사고분석시스템(Fraud Detection System)의 업데이트에 관한 용역을 의뢰하고, 업무상 필요를 이유로 B회사의 직원들에게 신용카드 회원의 정보를 제공하였는데,
B회사 직원인 C(B회사 소속 외주직원으로서 위 용역업무 수행)이 A회사 사무실에서 업무용 하드디스크에 D 등을 비롯한 신용카드 회원의 개인정보를 저장하여 사용한 뒤 업무용 하드디스크를 포맷하지 않고 몰래 숨겨서 가지고 나와 자신의 컴퓨터에 위 개인정보를 저장한 후 대출중개 영업 등에 개인정보를 활용할 의도를 가지고 있는 E에게 전달하였고, 이에 D 등이 A회사를 상대로 개인정보 유출 등으로 인한 손해배상을 청구한 사안(서울중앙지법 2016. 7. 15. 선고 2015고합336 판결)에서,
A회사가 B회사의 직원들이 작업을 위하여 반입한 하드디스크의 수량을 파악하거나 포맷 작업을 수행 또는 감독하지 않은 것은 구 전자금융감독규정 시행세칙 제9조 제1항 제7호의 위반에 해당하고, A회사와 D 등 사이에 정보통신서비스 제공자와 이용자의 관계가 성립되었다고 볼 수 없으므로,
위 개인정보 유출사고에 정보통신망법이 적용된다고 할 수는 없고, 다만 A회사는 개인정보의 유출을 막기 위한 조치를 취할 주의의무를 다하지 아니한 잘못이 인정되므로 민법상 불법행위에 따른 손해배상책임은 부담한다고 한 사례
2. 하급심(1, 2심) : 정보통신망법 위반에도 해당
원고들이 피고로부터 발급받은 카드를 이용하여 물품대금 등을 결제하거나 신용대출을 받을 때 가맹점 또는 대출업체에게 카드단말기, 컴퓨터 프로그램, ARS 서비스 등을 통하여 성명 등으로 특정된 결제정보 또는 인적사항을 제공하거나 매개하는 정보통신서비스가 이루어지므로 2010. 4.경 발생한 개인정보 유출사고에 정보통신망법이 적용된다.
3. 대법원 : 정통망법 위반은 아니지만, 민사상 손해배상책임 인정
(1) 정보통신망법상 정보통신서비스 이용자에 해당하는지
1) 정보통신망법은 정보통신분야의 개인정보 보호를 위해 제정된 법률이다. 여기서 규정하는 개인정보 보호조항은 기본적으로 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 상대방으로서의 정보주체를 보호하기 위한 것이다. 정보통신방법 제28조 제1항은 정보통신서비스 제공자가 정보통신서비스 이용자의 개인정보를 취급할 때 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여여 할 법률적 의무를 규정하고 있다.
정보통신서비스 제공자가 정보주체로부터 개인정보를 최초로 수집할 때 반드시 정보통신서비스를 이용하여 수집하여야 하는 것은 아니다. 그러나 정보통신서비스 제공자가 정보통신망법 제28조 제1항에 따라 부담하는 개인정보 보호조치의무는 불특정 다수의 개인정보를 수집·이용하는 경우를 전제로 하는 것이 아니라, 해당 정보통신서비스를 이용하는 이용자의 개인정보 취급에 관한 것이고,
여기서 정보통신서비스라 함은 정보통신서비스 제공자가 정보통신망을 통하여 행하는 각종 정보의 게시·전송·대여·공유 등 일련의 정보 제공 행위를 직접 행하거나 정보를 제공하려는 자와 제공받으려는 자를 연결시켜 정보의 제공이 가능하도록 하는 매개행위를 말한다.
또한 정보통신수단이 고도로 발달된 현대사회에서는 일상생활에서 대부분의 개인정보처리가 정보통신망을 통하여 이루어지고 이를 통해 수시로 정보전송이 일어나는데, 개인정보보호법을 비롯하여 금융, 전자거래, 보건의료 등 각 해당 분야의 개인정보를 다루는 개별 법령과의 관계나 정보통신망법의 입법취지와 관련 규정의 내용에 비추어 보면, 이처럼 정보통신망을 활용하여 정보를 제공받거나 정보 제공의 매개 서비스를 이용하는 모든 이용자를 통틀어 정보통신망법에서 예정한 정보통신서비스 이용자에 해당한다고 할 수는 없다.
2) 원심의 위와 같은 판단을 앞서 본 법리에 비추어 보면 다음과 같은 이유로 수긍하기 어렵다.
① 정보통신망법 적용과 관련하여 원심이 1심을 인용하여 인정한 피고의 개인정보 보호의무 위반의 점은 정보통신망법 제28조 제1항과 시행령 제15조에서 규정하고 있는 정보통신서비스 제공자의 기술적·관리적 보호조치 위반에 따른 민법상 불법행위 책임이다. 이는 앞서 본 바와 같이 정보통신서비스 제공자와 이용자 사이의 정보통신서비스의 이용관계를 전제로 하는 것이다.
② 그런데 2010. 4.경 개인정보 유출사고에서 유출된 원고들의 개인정보는 피고와 신용카드 등에 대한 사용 및 금융거래계약을 맺고 신용카드 등을 발급받아 사용하기 위한 목적으로 수집·이용된 개인정보로서 피고 사무실에 FDS 업데이트를 위하여 반입된 업무용 하드디스크에 저장되어 있다가 유출된 것이다.
이는 신용카드 회원의 개인정보로서 앞서 본 사실관계만으로는 원고들과 피고 사이에 개인정보 보호에 관한 다른 법령이 적용되는 것은 별론으로 하더라도 정보통신망법상 정보통신서비스 제공자와 이용자의 관계가 성립되었다고 볼 수 없고, 달리 원고들이 피고가 제공하는 홈페이지 서비스에 회원가입 절차를 거쳐 이를 이용하는 등으로 정보통신서비스 이용관계가 있었음을 인정할 증거도 없다.
③ 한편 정보통신망법 제5조에서는 정보통신망법에서 특별히 규정된 경우에는 그 법률에 따르도록 규정하고 있다. 원고들이 신용카드를 이용하여 물품대금 등 결제서비스나 신용대출서비스를 받는 과정에서 정보통신망을 통하여 개인정보가 제공·이용되는 경우 이러한 개인정보는 신용정보의이용및보호에관한법률(신용정보법)에서 규정하는 신용정보에 따라 정보통신망법이 아니라 신용정보법이 적용된다.
④ 따라서 원심이 2010. 4.경 개인정보 유출사고에 정보통신망법이 적용된다고 판단하기 위하여는 신용카드 회원인 원고들이 별도로 피고(신용카드회사인 A회사)가 제공하는 정보통신서비스를 이용하여 정보통신망법에서 정하는 정보통신서비스 이용자에 해당하는지를 살폈어야 한다. 따라서 원심판단에는 정보통신망법에 관한 법리를 오해하여 필요한 심리를 다하지 못한 잘못이 있다.
⑤ 그러나 피고는 앞서 본 바와 같이 B회사에 FDS 업데이트에 관한 용역을 의뢰하고 위 회사의 개발인력들에게 피고 카드 회원의 개인정보를 제공하여 취급하도록 하는 과정에서 개인정보의 유출을 막기 위한 조치를 취할 주의의무를 다하지 아니한 잘못이 인정되므로 여전히 민법상 불법행위에 따른 손해배상책임을 부담한다. 결국 원심의 위 잘못은 판결 결과에 영향을 미치지 않았다. 그러므로 이 부분 상고이유 주장은 받아들일 수 없다.
(2) 개인정보 유출에 따른 정신적 손해의 배상액 산정
1) 개인정보를 처리하는 자가 수집한 개인정보가 정보주체의 의사에 반하여 유출된 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는
유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체의 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지,
개인정보를 처리하는 자가 개인정보를 관리해 온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하였는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다(대법원 2011다59834, 59858, 59841 등).
또한 불법행위로 입은 정신적 고통에 대한 위자료 액수에 관하여는 사실심 법원이 제반 사정을 참작하여 그 직권에 속하는 재량에 의하여 확정할 수 있다(대법원 98다41377 등).
2) 원심은 채택 증거를 종합하여 판시와 같은 사실을 인정하고, 다음과 같은 이유로 사회통념상 원고들에게 개인정보 유출로 인한 정신적 손해가 현실적으로 발생하였다고 판단한 뒤, 제반 사정을 고려하여 피고가 원고들에게 배상하여야 할 위자료를 각 7만 원으로 정하였다.
① 2010. 4.경 개인정보 유출사고에서 유출된 개인정보에는 각 개인에게 유일하고 영구적이며 일신전속적인 성격을 지닌 주민등록번호가 포함되어 있고, 이를 도용한 2차적 피해 발생과 확대의 가능성을 배제하기 어렵다.
② 유출사고의 전반적 경위 등을 종합해 볼 때 그 전파 및 확산과정에서 이미 제3자에 의해 열람되었거나 앞으로 개인정보가 열람될 가능성이 크다.
③ 정신적 손해 발생 여부에 관한 원심의 위와 같은 판단은 정당하다. 원심이 정한 위자료 액수 또한 형평의 원칙에 현저히 반하여 재량의 한계를 일탈하였다고 인정할 만큼 과다하다고 볼 수 없다(대법원 2019. 9. 26. 2018다222303, 222310, 222327 판결 등).
▶ 위 판결에 대한 해설(권영준 개인정보판례백선 2022. 7.)
대상 판결은 구 정보통신망법의 적용 범위를 명확히 제시하였다는 점에서 중요한 의미가 있다. 2020. 2. 개인정보보호법과 정보통신망법이 개정되기 전까지는 개인정보보호법과 구 정보통신망법 중 어느 것이 적용되는지가 실무상 매우 중요한 쟁점이었다.
개인정보보호법이 규정하는 개인정보처리자의 주의의무와 구 정보통신망법이 규정하는 정보통신서비스 제공자의 주의의무가 완전히 달랐고, 두 법률의 적용 범위가 반드시 명확하지는 않았기 때문이다. 정보통신망법이 2020. 2. 4. 개정되면서 정보통신망법의 개인정보 보호 관련 규정들이 개인정보보호법으로 흡수되기는 하였지만,
해당 규정들은 ‘정보통신서비스 제공자 등의 개인정보 처리 등 특례’ 규정의 형태로 여전히 존재하고 있다. 이처럼 법이 개정된 이후에도 대상 판결이 제시한 법리는 위 특례 규정의 적용 범위를 결정하는 기준으로서 의미를 가진다.
-출처-
IT시대 개인정보 이정수변호사 법률신문사
4. 쟁점에 관한 문답풀이(Q&A)
위 판례의 핵심 내용을 Q&A와 서술형 요약으로 정리하면,
① Q1. 신용카드를 사용할 때 결제 정보가 통신망을 통해 오가는데, 왜 ‘정보통신망법’이 적용되지 않나?
A1. 대법원은 단순히 기술적으로 정보통신망을 이용한다고 해서 모두 ‘정보통신서비스 이용자’는 아니라고 보았다. 정보통신망법상의 보호를 받으려면 홈페이지 회원가입처럼 정보통신서비스 제공자와 직접적인 이용 관계가 있어야 한다. 이 사건의 경우, 유출된 정보는 신용카드 발급 및 금융거래 계약을 위해 수집된 ‘금융 정보’이므로 정보통신망법이 아닌 신용정보법이나 일반 개인정보보호법의 영역에 해당한다고 판단한 것이다.
② Q2. 정보통신망법 위반이 아니라면, 카드사는 아무런 책임이 없는 건가?
A2. 아니다. 특별법인 정보통신망법이 적용되지 않더라도, 카드사는 민법상 불법행위에 따른 손해배상 책임을 진다. 외주업체 직원이 하드디스크를 무단으로 반출하는 과정에서 수량을 확인하지 않거나 포맷 여부를 감독하지 않은 것은 개인정보 관리자로서의 ‘주의의무’를 위반한 것이기 때문이다. 즉, 관리 소홀에 대한 일반적인 민사 책임은 피할 수 없다.
③ Q3. 유출된 정보로 인한 실제 금전적 피해가 없어도 위자료를 받을 수 있나?
A3. 네, 가능함. 대법원은 유출된 정보에 주민등록번호와 같은 일신전속적 정보가 포함되어 있고, 제3자에게 노출되어 2차 피해가 발생할 가능성이 있다면 정신적 손해(위자료)가 발생한 것으로 본다. 이 사건에서도 유출 경위와 관리 실태 등을 종합적으로 고려하여 1인당 7만 원의 위자료를 정당한 배상액으로 확정했다.
5. 요점정리
(1) 핵심내용
이 사건은 외주업체 직원이 카드사 사고분석시스템(FDS) 업데이트 과정에서 고객 정보를 무단 반출하여 발생한 대규모 정보 유출 사고에 관한 것이다. 판결의 핵심은 정보통신망법의 적용 범위를 엄격하게 제한했다는 점에 있다.
대법원은 현대 사회에서 대부분의 정보 처리가 통신망을 통해 이루어지지만, 이를 근거로 모든 금융 거래 고객을 정보통신망법상의 ‘이용자’로 간주할 수는 없다고 명시했다. 신용카드 회원의 정보는 기본적으로 금융 거래 계약을 위한 것이므로, 별도의 웹 서비스 이용 관계가 입증되지 않는 한 정보통신망법상의 특례 규정을 적용할 수 없다는 논리이다.
(2) 시사점
비록 특별법 위반은 인정되지 않았으나, 법원은 카드사가 외주업체의 하드디스크 관리를 방치한 점을 민법상 과실로 인정하여 손해배상 책임을 확정했다. 위자료 산정 과정에서는 유출된 정보의 성격(주민등록번호 포함 여부), 제3자의 열람 가능성, 추가 피해 발생 위험성 등을 종합적으로 고려해야 한다는 구체적인 기준을 재확인했다.
이 판결은 2020년 개인정보보호법 통합 이후에도 여전히 존재하는 ‘정보통신서비스 제공자 특례’ 규정이 어떤 범위의 대상에게 적용될지를 결정하는 중요한 법적 잣대로 평가받고 있다. 결과적으로 기업은 특별법 적용 여부와 관계없이 개인정보 처리 과정 전반에 걸쳐 고도의 주의의무를 다해야 한다는 경종을 울린 사례라 할 수 있다.
https://blog.naver.com/duckhee2979/223837698322[유사사례 무죄 사건]