내 개인정보, 누가 함부로 봤나요? 카드사 개인정보 유출, 책임은 누구에게?

개인정보 유출 사고, 뉴스에서 심심찮게 접하는 소식입니다. 특히 금융정보는 한번 유출되면 2차 피해로 이어질 가능성이 커서 더욱 불안한데요, 오늘은 카드사의 개인정보 유출과 관련된 법원 판례를 살펴보면서, 기업의 책임과 소비자의 권리에 대해 알아보겠습니다.

사건의 개요

A 카드사는 사기 거래를 탐지하는 시스템(FDS) 업데이트를 위해 B 회사에 용역을 맡겼습니다. B 회사 직원들은 업무를 위해 A 카드사 사무실에서 작업했고, 이 과정에서 A 카드사는 회원들의 개인정보를 B 회사 직원들에게 제공했습니다. 그런데 B 회사 직원 C는 회원들의 개인정보가 담긴 하드디스크를 몰래 빼돌렸고, 이 정보를 불법으로 이용하려던 D에게 넘겼습니다. 피해를 입은 회원들은 A 카드사를 상대로 손해배상 소송을 제기했습니다.

쟁점

이 사건의 핵심 쟁점은 다음과 같습니다.

1. 외부에서 반입된 하드디스크도 관리 대상인가?
2. 카드사와 회원들 사이에 정보통신망법이 적용되는가?
3. 카드사는 어떤 책임을 져야 하는가?
4. 개인정보 유출로 인한 정신적 손해는 어떻게 배상해야 하는가?

법원의 판단

1. 외부 반입 기기도 관리해야! 법원은 금융기관이 전자금융거래의 안전을 위해 선량한 관리자로서 주의 의무를 다해야 한다고 판단했습니다. (구 전자금융거래법 제21조 제1항, 제2항) 외부에서 반입된 하드디스크도 금융기관의 지배 영역에서 관리되므로, 이에 대한 관리 책임을 다해야 한다는 것입니다. (구 전자금융감독규정시행세칙 제9조 제1항 제7호)

2. 정보통신망법 적용은 안 돼! 법원은 A 카드사와 회원들 사이에는 정보통신망법상 정보통신서비스 제공자와 이용자의 관계가 성립되지 않는다고 판단했습니다. 정보통신망법은 정보통신서비스 제공자가 제공하는 서비스를 이용하는 상대방을 보호하기 위한 법인데, 이 사건의 개인정보 유출은 FDS 업데이트 과정에서 발생했기 때문입니다. (정보통신망법 제2조, 제3조, 제28조) 신용카드 결제 과정에서 정보통신망이 이용되더라도, 이는 신용정보법의 적용 대상이라는 점도 지적했습니다.

3. 카드사의 책임 인정! 비록 정보통신망법은 적용되지 않지만, A 카드사는 개인정보 유출을 막기 위한 주의 의무를 다하지 못한 책임이 있다고 판단했습니다. (민법 제750조) 따라서 A 카드사는 회원들에게 손해를 배상해야 합니다.

4. 정신적 손해 배상! 법원은 개인정보 유출로 인한 정신적 손해를 인정하고, 피해 회원들에게 위자료를 지급하도록 판결했습니다. 위자료 액수는 유출된 정보의 종류, 유출 경위, 피해 확산 가능성 등을 고려하여 결정됩니다. (민법 제750조, 제751조, 제763조, 대법원 1999. 4. 23. 선고 98다41377 판결, 대법원 2012. 12. 26. 선고 2011다59834, 59858, 59841 판결)

결론

이 판례는 기업이 개인정보 보호에 더욱 신경 써야 한다는 점을 강조하고 있습니다. 외부에서 반입된 저장매체 관리에도 소홀함이 없어야 하며, 개인정보 유출 방지를 위한 적절한 조치를 취해야 할 것입니다. 소비자 역시 자신의 개인정보가 어떻게 처리되고 있는지 관심을 가지고, 유출 피해를 입었을 경우 적극적으로 권리를 행사해야 합니다.