개인정보 누출 사고는 끊이지 않고 발생하고 있습니다. 그런데 단순히 누출될 가능성만으로도 손해배상을 받을 수 있을까요? 최근 대법원 판결을 통해 자세히 알아보겠습니다.
사건의 개요
이번 사건은 통신사(乙)로부터 시스템 점검용 아이디와 비밀번호를 받은 업체(甲)가 점검 후 이를 삭제하지 않아 발생했습니다. 이로 인해 특정 웹사이트에 휴대폰 번호를 입력하면 가입자의 개인정보가 전송될 수 있는 상태가 되었죠. 통신사 가입자들(丙 등)은 개인정보 누출을 주장하며 손해배상을 청구했습니다.
쟁점: 접근 가능성 vs. 실제 누출
핵심 쟁점은 "개인정보에 접근할 수 있는 상태였던 것만으로 개인정보가 누출된 것으로 볼 수 있는가"였습니다. 즉, 실제로 누군가 정보를 열람하지 않았더라도, 시스템 취약점으로 인해 접근 가능성이 있었다면 누출로 인정해야 하는지가 문제였습니다.
대법원의 판단: 실제 누출이 있어야 한다!
대법원은 개인정보 누출은 "정보통신서비스 제공자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태"라고 정의했습니다. 단순히 접근 가능성만으로는 부족하며, 실제로 제3자가 정보 내용을 알 수 있는 상태에 이르러야 한다는 것이죠.
이 사건에서 통신사는 웹사이트와 서버의 연동을 끊는 등 정보 접근을 차단할 수 있는 관리·통제권을 가지고 있었습니다. 또한, 원고들의 휴대폰 번호가 문제의 웹사이트에 입력되었는지 확인되지 않았습니다. 따라서 대법원은 실제 누출이 있었다고 보기 어렵다고 판단하여 원고들의 청구를 기각했습니다.
판결의 의의
이번 판결은 개인정보 누출에 대한 중요한 기준을 제시했습니다. 정보 접근 가능성만으로는 누출로 인정하기 어렵다는 점을 명확히 한 것이죠. 물론 정보통신서비스 제공자는 개인정보 보호를 위한 기술적·관리적 보호조치를 철저히 해야 할 의무가 있습니다. 하지만 실제 누출 여부를 판단할 때는 접근 가능성뿐 아니라, 실제 열람이나 접근 여부를 종합적으로 고려해야 한다는 점을 강조한 판결입니다.
관련 법조항: 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제3조 제1항, 제28조 제1항, 제32조
민사판례
기업이 고객의 개인정보를 유출했을 경우, 유출된 정보의 종류, 유출 경위, 추가 피해 가능성 등을 고려하여 정신적 손해에 대한 배상 책임을 져야 한다.
민사판례
개인정보 유출로 인한 정신적 손해배상 책임을 인정받으려면 유출된 정보의 종류, 유출 경위, 피해 확산 가능성, 사후 조치 등 여러 요소를 종합적으로 고려해야 합니다.
민사판례
개인정보 유출 시, 정보 주체는 정신적 손해에 대한 위자료를 청구할 수 있으며, 위자료 액수는 법원의 재량으로 정해진다.
민사판례
기업이 개인정보를 유출했을 경우, 유출된 정보의 종류, 유출 경위, 피해 확산 가능성 등을 종합적으로 고려하여 정신적 손해에 대한 배상책임을 져야 합니다. 배상액(위자료)은 법원이 여러 사정을 고려하여 결정합니다.
민사판례
개인정보 보호법 위반으로 인한 손해배상 청구 소송에서, 정보주체는 개인정보처리자가 법을 위반했다는 사실 자체를 입증해야 하며, 단순히 증명이 어렵다는 이유만으로 증명책임이 전환되는 것은 아니다. 또한, 상고 시에는 원심 판결의 어떤 부분이 어떻게 잘못되었는지 구체적으로 밝혀야 한다.
민사판례
해커가 포털사이트 직원의 아이디와 비밀번호를 훔쳐 개인정보를 유출한 사건에서, 포털 운영사가 직원들에게 로그아웃을 강제하지 않았더라도 해킹 피해와 직접적인 인과관계가 없다고 판단하여 운영사의 책임을 묻지 않은 판례.