개인정보 유출 배상

[1] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2012. 2. 17. 법률 제11322호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라고 한다) 제28조 제1항은 정보통신서비스 제공자가 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 그 각호의 기술적·관리적 보호조치를 하여야 한다고 규정하고 있다. 이어 위 조항은 그 각호로 ‘1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행 2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영 3. 접속기록의 위조·변조 방지를 위한 조치 4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치 5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치 6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치’를 규정하고 있다. 그리고 구 정보통신망법 제28조 제1항의 위임을 받은 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2011. 8. 29. 대통령령 제23104호로 개정되기 전의 것) 제15조는 정보통신서비스 제공자가 취하여야 할 개인정보의 안전성 확보에 필요한 위와 같은 기술적·관리적 조치를 보다 구체적으로 규정하고 있다. 따라서 정보통신서비스 제공자는 구 정보통신망법 제28조 제1항 등에서 정하고 있는 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 할 법률상 의무를 부담한다.<br/> 나아가 정보통신서비스 제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로 하여금 이용약관 등을 통해 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신서비스 제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실·도난·누출·변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담한다.<br/> 그런데 정보통신서비스가 ‘개방성’을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스 제공자가 구축한 네트워크나 시스템과 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 ‘해커’ 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 않다. 또한 해커 등은 여러 공격기법을 통해 정보통신서비스 제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스 제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적이다. 이처럼 정보통신서비스 제공자가 취해야 할 개인정보의 안전성 확보에 필요한 보호조치에 관해서는 고려되어야 할 특수한 사정이 있다.<br/> 그러므로 정보통신서비스 제공자가 구 정보통신망법 제28조 제1항이나 정보통신서비스 이용계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는, 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종·영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해 발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다.<br/>[2] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(2011. 8. 29. 대통령령 제23104호로 개정되기 전의 것) 제15조 제6항은 “방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.”라고 규정하고 있다. 이에 따라 방송통신위원회가 마련한 ‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시 제2011-1호, 이하 ‘고시’라고 한다)은 해킹 등 침해사고 당시의 기술 수준 등을 고려하여 정보통신서비스 제공자가 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2012. 2. 17. 법률 제11322호로 개정되기 전의 것) 제28조 제1항 등에 따라 준수해야 할 기술적·관리적 보호조치를 구체적으로 규정하고 있다. 그러므로 정보통신서비스 제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다면, 특별한 사정이 없는 한 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다.<br/> 다만 고시는 정보통신서비스 제공자가 반드시 준수해야 할 최소한의 기준을 정한 것으로 보는 것이 타당하다. 따라서 정보통신서비스 제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다고 하더라도, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치를 다하지 아니한 경우에는 위법행위로 평가될 수 있다. 나아가 정보통신서비스 제공자가 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다고 하더라도, 불법행위에 도움을 주지 말아야 할 주의의무를 위반하여 타인의 불법행위를 용이하게 하였고 이러한 방조행위와 불법행위에 의한 피해자의 손해 발생 사이에 상당인과관계가 인정된다면 민법 제760조 제3항에 따른 책임을 면할 수 없다.<br/>[3] 인터넷상에서 포털서비스사업을 하는 甲 주식회사가 제공하는 온라인 서비스에 가입한 회원들의 개인정보가 해킹사고로 유출되었는데, 서비스 이용자인 乙 등이 甲 회사를 상대로 손해배상을 구한 사안에서, 정보통신서비스 제공자가 정보처리시스템에 접속한 개인정보취급자로 하여금 작업 종료 후 로그아웃을 하도록 하는 것은, 비록 ‘개인정보의 기술적·관리적 보호조치 기준’(방송통신위원회 고시 제2011-1호)에서 정하고 있는 기술적·관리적 보호조치에는 해당하지 않으나, 정보통신서비스 제공자가 마땅히 준수해야 한다고 일반적으로 쉽게 예상할 수 있고 사회통념상으로도 합리적으로 기대 가능한 보호조치에 해당하므로, 정보통신서비스 제공자가 이러한 보호조치를 미이행하여 정보처리시스템에 접속권한이 없는 제3자가 손쉽게 시스템에 접속하여 개인정보의 도난 등의 행위를 할 수 있도록 하였다면 이는 불법행위에 도움을 주지 말아야 할 주의의무를 위반한 것으로써 이러한 방조행위와 피방조자의 불법행위 사이에 상당인과관계가 인정된다면 공동불법행위자로서 책임을 면할 수 없는데, 해킹사고 당시 해커가 이미 키로깅을 통하여 DB 서버 관리자의 아이디와 비밀번호를 획득한 상태였기 때문에 甲 회사의 DB 기술팀 소속 직원이 자신의 컴퓨터에서 로그아웃을 하였는지 여부와 무관하게 언제든지 게이트웨이 서버를 거쳐 DB 서버에 로그인을 할 수 있었던 것으로 보이므로, 위와 같은 보호조치의 미이행과 해킹사고의 발생 사이에 상당인과관계가 인정되지 아니하여 甲 회사의 손해배상책임이 인정되지 않는다고 한 사례.<br/>

[1] 개인정보를 처리하는 자가 수집한 개인정보를 피용자가 정보주체의 의사에 반하여 유출한 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다.<br/>[2] 주유 관련 보너스카드 회원으로 가입한 고객들의 개인정보를 데이터베이스로 구축하여 관리하면서 이를 이용하여 고객서비스센터를 운영하는 甲 주식회사로부터 고객서비스센터 운영업무 등을 위탁받아 수행하는 乙 주식회사 관리팀 직원 丙이, 丁 등과 공모하여 戊 등을 포함한 보너스카드 회원의 성명, 주민등록번호, 주소, 전화번호, 이메일 주소 등 고객정보를 빼내어 DVD 등 저장매체에 저장된 상태로 전달 또는 복제한 후 개인정보유출사실을 언론을 통하여 보도함으로써 집단소송에 활용할 목적으로 고객정보가 저장된 저장매체를 언론관계자들에게 제공한 사안에서, 개인정보가 丙에 의하여 유출된 후 저장매체에 저장된 상태로 공범들과 언론관계자 등에게 유출되었지만 언론보도 직후 개인정보가 저장된 저장매체 등을 소지하고 있던 사건 관련자들로부터 저장매체와 편집 작업 등에 사용된 컴퓨터 등이 모두 압수, 임의제출되거나 폐기된 점, 범행을 공모한 丙 등이 개인정보 판매를 위한 사전작업을 하는 과정에서 위와 같이 한정된 범위의 사람들에게 개인정보가 전달 또는 복제된 상태에서 범행이 발각되어 개인정보가 수록된 저장매체들이 모두 회수되거나 폐기되었고 그 밖에 개인정보가 유출된 흔적도 보이지 아니하여 제3자가 개인정보를 열람하거나 이용할 수는 없었다고 보이는 점, 개인정보를 유출한 범인들이나 언론관계자들이 개인정보 중 일부를 열람한 적은 있으나 개인정보의 종류 및 규모에 비추어 위와 같은 열람만으로 특정 개인정보를 식별하거나 알아내는 것은 매우 어려울 것으로 보이는 점, 개인정보 유출로 인하여 戊 등에게 신원확인, 명의도용이나 추가적인 개인정보 유출 등 후속 피해가 발생하였음을 추지할 만한 상황이 발견되지 아니하는 점 등 제반 사정에 비추어 볼 때, 개인정보 유출로 인하여 戊 등에게 위자료로 배상할 만한 정신적 손해가 발생하였다고 보기는 어렵다고 한 사례.<br/>

경찰관으로 근무하던 甲이 타인의 개인정보를 사적인 목적으로 조회하고 이용하였다는 이유로 경찰청으로부터 정직 1월의 징계처분을 받은 후 정직처분 취소소송을 제기하여 승소하였는데, 이후 위 취소소송의 경찰청 측 소송수행자로 지정되어 소송업무를 수행한 乙을 상대로 위 취소소송에서 乙이 자신에 대한 허위사실을 적시한 서면을 제출하는 등의 불법행위를 하였다는 이유로 손해배상을 구하는 민사소송을 제기하자, 乙이 소송대리인을 통해 甲의 징계기록 및 위 취소소송 기록 등의 자료를 제출하였고, 위 민사소송에서 甲의 패소판결이 선고·확정되었는데, 甲이 乙 등을 상대로 乙이 경찰청장의 승인을 받지 않고 위 자료를 사본하여 유출하였고, 민사소송의 소송대리인을 통해 법원에 위 자료를 제출하여 누설하는 등 乙의 개인정보 보호법 위반 등을 주장하며 불법행위로 인한 손해배상을 구한 사안이다.<br/>개인정보 보호법 제59조 제3호는 개인정보를 처리하거나 처리하였던 자는 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 유출하는 행위를 하여서는 아니 된다고 규정하는데, ‘다른 사람의 개인정보를 유출하는 행위’라 함은 다른 사람의 개인정보를 개인정보처리자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있게 하는 상태에 이르게 하는 것을 의미한다고 해석되는바, 乙이 경찰청에서 위 취소소송의 소송수행자로서 업무상 취득한 자료를 사본하여 보관하였다 하더라도, 위와 같은 사실만으로는 개인정보처리자인 경찰청 또는 그 취급자였던 乙 외의 제3자가 그 내용을 알 수 있는 상태에 이르렀다고 보기 어려우므로, 이를 개인정보의 유출이라고 할 수는 없고, 개인정보 보호법 제59조 제2호는 개인정보를 처리하거나 처리하였던 자는 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위를 하여서는 아니 된다고 규정하는데, ‘누설’이란 아직 개인정보를 알지 못하는 타인에게 알려주는 일체의 행위를 말하는바, 乙이 민사소송에서 자신이 위 취소소송을 수행하면서 취득하여 보관하고 있던 甲의 징계처분 자료 등을 소송대리인을 통하여 담당 법원에 제출하였는데, 위 자료에 포함된 甲의 주민등록번호, 직업, 주거, 연락처 등의 개인정보 및 甲이 징계처분을 받았다는 사실과 甲의 범죄전력 등의 개인정보는 甲이 관련 민사소송의 소장과 증거를 제출함으로 乙의 소송대리인 및 법원에 대부분 이미 알려진 내용이라 할 것이므로, 위 자료를 소송대리인을 통해 담당 법원에 제출한 것을 개인정보의 누설이라고 보기는 어려우며, 설령 乙이 소송대리인을 통해 법원에 위 자료를 제출한 것이 개인정보의 누설에 해당한다고 하더라도, 乙이 소송수행자로서 수행한 업무의 정당성이 관련 민사소송의 쟁점이 되어 乙이 그 정당성을 증명하기 위한 것으로, 이는 乙이 甲이 제기한 관련 민사소송에서 피고로서의 방어권 행사를 위하여 한 것이므로, 사회상규에 위배되지 않는 정당행위에 해당하여 위법성이 조각된다는 등의 이유로, 甲의 청구를 기각한 사례이다.<br/>

<br/> 경찰관으로 근무하던 甲이 타인의 개인정보를 사적인 목적으로 조회하고 이용하였다는 이유로 경찰청으로부터 정직 1월의 징계처분을 받은 후 정직처분 취소소송을 제기하여 승소하였는데, 이후 위 취소소송의 경찰청 측 소송수행자로 지정되어 소송업무를 수행한 乙을 상대로 위 취소소송에서 乙이 자신에 대한 허위사실을 적시한 서면을 제출하는 등의 불법행위를 하였다는 이유로 손해배상을 구하는 민사소송을 제기하자, 乙이 소송대리인을 통해 甲의 징계기록 및 위 취소소송 기록 등의 자료를 제출하였고, 위 민사소송에서 甲의 패소판결이 선고·확정되었는데, 甲이 乙 등을 상대로 乙이 경찰청장의 승인을 받지 않고 위 자료를 사본하여 유출하였고, 민사소송의 소송대리인을 통해 법원에 위 자료를 제출하여 누설하는 등 乙의 개인정보 보호법 위반 등을 주장하며 불법행위로 인한 손해배상을 구한 사안이다.<br/> 개인정보 보호법 제59조 제3호는 개인정보를 처리하거나 처리하였던 자는 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 유출하는 행위를 하여서는 아니 된다고 규정하는데, ‘다른 사람의 개인정보를 유출하는 행위’라 함은 다른 사람의 개인정보를 개인정보처리자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있게 하는 상태에 이르게 하는 것을 의미한다고 해석되는바, 乙이 경찰청에서 위 취소소송의 소송수행자로서 업무상 취득한 자료를 사본하여 보관하였다 하더라도, 위와 같은 사실만으로는 개인정보처리자인 경찰청 또는 그 취급자였던 乙 외의 제3자가 그 내용을 알 수 있는 상태에 이르렀다고 보기 어려우므로, 이를 개인정보의 유출이라고 할 수는 없고, 개인정보 보호법 제59조 제2호는 개인정보를 처리하거나 처리하였던 자는 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위를 하여서는 아니 된다고 규정하는데, ‘누설’이란 아직 개인정보를 알지 못하는 타인에게 알려주는 일체의 행위를 말하는바, 乙이 민사소송에서 자신이 위 취소소송을 수행하면서 취득하여 보관하고 있던 甲의 징계처분 자료 등을 소송대리인을 통하여 담당 법원에 제출하였는데, 위 자료에 포함된 甲의 주민등록번호, 직업, 주거, 연락처 등의 개인정보 및 甲이 징계처분을 받았다는 사실과 甲의 범죄전력 등의 개인정보는 甲이 관련 민사소송의 소장과 증거를 제출함으로 乙의 소송대리인 및 법원에 대부분 이미 알려진 내용이라 할 것이므로, 위 자료를 소송대리인을 통해 담당 법원에 제출한 것을 개인정보의 누설이라고 보기는 어려우며, 설령 乙이 소송대리인을 통해 법원에 위 자료를 제출한 것이 개인정보의 누설에 해당한다고 하더라도, 乙이 소송수행자로서 수행한 업무의 정당성이 관련 민사소송의 쟁점이 되어 乙이 그 정당성을 증명하기 위한 것으로, 이는 乙이 甲이 제기한 관련 민사소송에서 피고로서의 방어권 행사를 위하여 한 것이므로, 사회상규에 위배되지 않는 정당행위에 해당하여 위법성이 조각된다는 등의 이유로, 甲의 청구를 기각한 사례이다.<br/>

[1] 상고법원은 상고이유에 따라 불복신청의 한도 안에서 심리한다(민사소송법 제431조). 따라서 상고이유서에는 상고이유를 특정하여 원심판결의 어떤 점이 법령에 어떻게 위반되었는지를 구체적이고도 명시적인 이유로 기재하여야 하고, 상고인이 제출한 상고이유서에 위와 같은 구체적이고도 명시적인 이유를 기재하지 않은 때에는 상고이유서를 제출하지 않은 것으로 취급할 수밖에 없다.<br/> [2] 당사자 일방이 증명을 방해하는 행위를 하였더라도 법원으로서는 이를 하나의 자료로 삼아 자유로운 심증에 따라 방해자 측에게 불리한 평가를 할 수 있음에 그칠 뿐 증명책임이 전환되거나 곧바로 상대방의 주장 사실이 증명된 것으로 보아야 하는 것은 아니다. <br/> [3] 개인정보 보호법 제39조 제1항은 "정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다."라고 규정하고 있다. 이 규정은 정보주체가 개인정보처리자의 개인정보 보호법 위반행위로 입은 손해의 배상을 청구하는 경우에 개인정보처리자의 고의나 과실을 증명하는 것이 곤란한 점을 감안하여 그 증명책임을 개인정보처리자에게 전환하는 것일 뿐이고, 개인정보처리자가 개인정보 보호법을 위반한 행위를 하였다는 사실 자체는 정보주체가 주장·증명하여야 한다.<br/>

온라인 게임 운영업체가 게임 서버의 업데이트 과정에서 이용자들의 개인정보인 아이디와 비밀번호가 암호화되지 않은 상태에서 로그파일에 저장되도록 함으로써, 컴퓨터에 관한 상당 수준의 전문지식이 있는 사람이라면 누구라도 그에 접근하여 이용자들의 아이디와 비밀번호를 알 수 있는 상황을 발생시킨 사안에서, 개인정보 유출의 위험에 처한 이용자들에 대한 온라인 게임 운영업체의 손해배상책임을 인정한 사례.<br/>

[1] 구 전자금융거래법(2013. 5. 22. 법률 제11814호로 개정되기 전의 것) 제21조는 금융기관이 전자금융거래가 안전하게 처리될 수 있도록 선량한 관리자로서의 주의를 다하여야 하고(제1항), 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 정보기술부문 및 전자금융업무에 관하여 금융위원회가 정하는 기준을 준수하여야 한다고 정하였다(제2항). 그에 따라 제정된 구 전자금융감독규정(2011. 10. 10. 금융위원회고시 제2011-18호로 전부 개정되기 전의 것, 이하 같다)의 위임을 받은 구 전자금융감독규정시행세칙(2012. 5. 24. 전부 개정되기 전의 것) 제9조는 금융기관이 전산자료의 유출, 파괴 등을 방지하기 위하여 수립하여야 할 전산자료 보호대책 중 하나로 ‘정기적으로 보조기억매체의 보유 현황 및 관리실태를 점검하고 관리책임자의 확인을 받을 것’을 정하였다(제1항 제7호).<br/> 여기에서 말하는 보조기억매체에는 금융기관이 직접 보유·관리하는 것뿐만 아니라, 금융기관의 업무상 필요에 따라 외부로부터 반입된 것도 포함된다. 금융기관이 전자금융거래의 안전성을 확보하여야 할 선량한 관리자로서의 주의의무를 다하기 위해서는 외부로부터 반입한 보조기억매체의 보유 현황 및 관리실태도 정기적으로 점검하고 확인할 필요가 있기 때문이다. 그리고 구 전자금융감독규정 제2조가 보조기억매체를 정의하면서 든 ‘자기테이프, 디스크, 디스켓, 콤팩트디스크(CD) 등’은 예시에 불과하다. 따라서 하드디스크 드라이브를 비롯한 새로운 저장매체도 보조기억매체에 해당한다.<br/>[2] 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라고 한다)은 정보통신분야의 개인정보 보호를 위해 제정된 법률이다. 여기서 규정하는 개인정보 보호조항은 기본적으로 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 상대방으로서의 정보주체를 보호하기 위한 것이다. 정보통신망법 제28조 제1항은 정보통신서비스 제공자가 정보통신서비스 이용자의 개인정보를 취급할 때에 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 할 법률적 의무를 규정하고 있다.<br/> 정보통신서비스 제공자가 정보주체로부터 개인정보를 최초로 수집할 때 반드시 정보통신서비스를 이용하여 수집하여야 하는 것은 아니다. 그러나 정보통신서비스 제공자가 정보통신망법 제28조 제1항에 따라 부담하는 개인정보 보호조치의무는 불특정 다수의 개인정보를 수집·이용하는 경우를 전제로 하는 것이 아니라, 해당 정보통신서비스를 이용하는 이용자의 개인정보 취급에 관한 것이고, 여기서 정보통신서비스라 함은 정보통신서비스 제공자가 정보통신망을 통하여 행하는 각종 정보의 게시·전송·대여·공유 등 일련의 정보 제공 행위를 직접 행하거나 정보를 제공하려는 자와 제공받으려는 자를 연결시켜 정보의 제공이 가능하도록 하는 매개행위를 말한다.<br/> 또한 정보통신수단이 고도로 발달된 현대사회에서는 일상생활에서 대부분의 개인정보처리가 정보통신망을 통하여 이루어지고 이를 통해 수시로 정보전송이 일어나는데, 개인정보 보호법을 비롯하여 금융, 전자거래, 보건의료 등 각 해당 분야의 개인정보를 다루는 개별 법령과의 관계나 정보통신망법의 입법 취지와 관련 규정의 내용에 비추어 보면, 이처럼 정보통신망을 활용하여 정보를 제공받거나 정보 제공의 매개 서비스를 이용하는 모든 이용자를 통틀어 정보통신망법에서 예정한 정보통신서비스 이용자에 해당한다고 할 수는 없다.<br/>[3] 신용카드 등 발행·관리 등의 사업을 영위하는 甲 주식회사가 乙 주식회사에 카드사고분석시스템(Fraud Detection System, 이하 ‘FDS’라 한다)의 업데이트에 관한 용역을 의뢰하고, 업무상 필요를 이유로 乙 회사의 직원들에게 신용카드 회원의 개인정보를 제공하였는데, 乙 회사의 직원인 丙이 甲 회사의 사무실에서 업무용 하드디스크에 丁 등을 비롯한 신용카드 회원의 개인정보를 저장하여 사용한 뒤 업무용 하드디스크를 포맷하지 않고 몰래 숨겨서 가지고 나와 자신의 컴퓨터에 위 개인정보를 저장한 후 대출중개 영업 등에 개인정보를 활용할 의도를 가지고 있는 戊에게 전달하였고, 이에 丁 등이 甲 회사를 상대로 개인정보 유출 등으로 인한 손해의 배상을 구한 사안에서, 乙 회사의 직원들이 작업을 위하여 반입한 하드디스크는 甲 회사의 업무상 필요에 따라 甲 회사의 지배 영역에서 관리되고 있었으므로, 甲 회사가 하드디스크의 수량을 파악하거나 포맷 작업을 수행 또는 감독하지 않은 것은 구 전자금융감독규정시행세칙(2012. 5. 24. 전부 개정되기 전의 것) 제9조 제1항 제7호의 위반에 해당하고, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라고 한다) 제28조 제1항과 같은 법 시행령 제15조에서 규정하고 있는 정보통신서비스 제공자의 기술적·관리적 보호조치 위반에 따른 민법상 불법행위 책임은 정보통신서비스 제공자와 이용자 사이의 정보통신서비스의 이용관계를 전제로 하는데, 유출된 丁 등의 개인정보는 甲 회사와 신용카드 등에 대한 사용 및 금융거래계약을 맺고 신용카드 등을 발급받아 사용하기 위한 목적으로 수집·이용된 개인정보로서 甲 회사의 사무실에 FDS 업데이트를 위하여 반입된 업무용 하드디스크에 저장되어 있다가 유출된 것이므로, 이러한 사실관계만으로는 甲 회사와 丁 등 사이에 정보통신망법상 정보통신서비스 제공자와 이용자의 관계가 성립되었다고 볼 수 없으므로, 위 개인정보 유출사고에 정보통신망법이 적용된다고 할 수 없으나, 甲 회사는 乙 회사에 FDS 업데이트에 관한 용역을 의뢰하고 乙 회사의 직원들에게 신용카드 회원의 개인정보를 제공하여 취급하도록 하는 과정에서 개인정보의 유출을 막기 위한 조치를 취할 주의의무를 다하지 아니한 잘못이 인정되므로 민법상 불법행위에 따른 손해배상책임을 부담한다고 한 사례.<br/>[4] 개인정보를 처리하는 자가 수집한 개인정보가 정보주체의 의사에 반하여 유출된 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해 온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다. 또한 불법행위로 입은 정신적 고통에 대한 위자료 액수에 관하여는 사실심 법원이 제반 사정을 참작하여 그 직권에 속하는 재량에 의하여 확정할 수 있다.<br/>

甲이 유튜브(youtube) 및 자신의 에스엔에스(SNS)에 ‘자신은 최근 유출된 출사 사진 사건의 피해자이고, 3년 전 乙 지하철역 3번 출구 근처의 한 스튜디오에서 진행된 촬영회는 자신을 기망하여 이루어진 성범죄 현장이었다’는 내용의 동영상과 글을 올리자, 乙 지하철역 3번 출구 근처에서 丙 스튜디오를 운영하는 丁이 丙 스튜디오 인터넷 카페에 丙 스튜디오는 위 사건과 무관하다는 내용의 해명글을 올렸고, 그 후 언론에 丙 스튜디오는 甲의 촬영회를 진행한 스튜디오가 아니라고 丁이 반박하였다는 내용의 기사가 보도되기 시작하였는데, 위 해명글 게시 직후 戊가 청와대 홈페이지 국민소통 광장 국민청원 게시판에 “丙 스튜디오 불법 누드촬영”이라는 제목으로 甲이 SNS에 올린 글 전문을 그대로 인용한 청원글을 게시하고, 위 반박 기사가 보도된 후 인스타그램 팔로워(instagram follower) 수가 870만 명에 이르는 유명 연예인인 己가 자신의 인스타그램 스토리에 위 청원글에 동의하였음을 알리는 인증사진을 게시한 다음 그 인증사진 게시 경위 등을 기재한 글을 올리고, 그 후 다시 庚이 청와대 홈페이지 국민소통 광장 토론방 게시판에 “丙 스튜디오 불법 누드촬영”이라는 제목으로 위 청원글 전문을 인용한 글을 게시하는 일이 발생하자, 丁이 戊, 己, 庚을 상대로는 명예훼손에 따른 손해배상을 청구하고, 국가를 상대로는 국민청원 게시판 관리자의 주의의무 위반을 이유로 국가배상을 청구한 사안이다.<br/> 甲이 SNS에 올린 글에는 자신에 대한 촬영회가 “3년 전”, “乙 지하철역 3번 출구 근처의 한 스튜디오”에서 이루어졌다는 내용이 기재되어 있을 뿐 丙 스튜디오가 甲에 대한 촬영회를 진행한 스튜디오라고 믿을 만한 객관적인 자료가 없는데도 이에 대한 아무런 조사를 하지 않은 채 청원글 제목에 “丙 스튜디오”라는 상호를 특정하여 기재한 戊의 행위, 이미 丁이 丙 스튜디오 인터넷 카페에 甲의 SNS에 올라온 글에 기재된 스튜디오가 丙 스튜디오가 아님을 해명하는 글을 올려 이러한 내용의 기사가 보도되었는데도 아무런 확인이나 조사도 하지 않은 채 토론방 게시판에 “丙 스튜디오 불법 누드촬영”이라는 제목의 게시글을 올린 庚의 행위, 丁이 丙 스튜디오 인터넷 카페에 해명하는 내용의 글을 올려 이러한 내용의 기사가 보도된 이후인데도 청원글 제목에 기재된 “丙 스튜디오”가 甲에 대한 촬영회가 진행된 스튜디오가 맞는지에 관하여 아무런 조사나 확인도 하지 아니한 채 청원글에 동의한 후 해당 화면을 캡처하여 자신의 인스타그램에 인증사진을 올리고 그 인증사진의 게시 경위를 설명하면서 해당 청원글의 내용을 파악할 수 있는 글을 게시한 己의 행위는 모두 丁의 사회적 가치 내지 평가가 침해될 만한 구체적인 허위 사실을 적시한 명예훼손 행위로서 불법행위를 구성하고 그 불법행위들은 丁에 대한 권리침해 및 손해발생에 공통의 원인이 되었으므로 戊 등은 민법 제760조 제1항에 따라 공동불법행위책임을 진다고 판단한 다음, 국가배상청구에 대해서는 국민청원 게시판 관리자가 청원글 제목에 기재된 스튜디오 상호 전체를 곧바로 숨김 처리하지 않았거나 청원글을 즉시 삭제하지 않았다고 하여 이를 위법하거나 부당하다고 볼 수 없는 점, 게시판 관리자가 청원글에 대한 戊의 민원신청 내역(甲에 대한 업체를 잘못 지정하였다는 내용)과 丁의 민원신청 내역(청원글에 기재된 상호가 공개되지 않도록 해달라는 내용)을 확인한 후 청원글 제목의 상호를 전부 숨김 처리한 조치가 상당한 기간이 경과한 후 이루어진 조치라고 보기 어려운 점, 丁이 국민청원 게시판 개인정보보호 담당자에게 직접 연락하여 청원글에 대한 수정이나 삭제 요청을 하는 것이 가능한 것으로 보이는 점, 청원글에 대한 이의신청이 있다는 사유만으로 즉시 해당 글을 삭제하는 것은 오히려 국민의 청원권이나 표현의 자유를 침해할 우려가 있는 점 등에 비추어 게시판 관리자가 청원글을 즉시 삭제하는 등 상당한 기간 내에 丁의 피해를 방지할 수 있는 조치를 취할 주의의무를 위반하였다고 인정하기 어렵다는 이유로 그 청구를 기각한 사례이다.<br/>

<br/> [1] 소액사건에 적용되는 법령의 해석에 관한 대법원 판례가 명확하지 않고, 그 법령이 적용되는 다수의 사건이 하급심에 계속되는 등 특별한 사정이 있는 경우에는 소액사건에 관한 상고이유 중 ‘대법원의 판례에 상반되는 판단을 한 때’의 요건을 갖추지 아니하였더라도 법령해석의 통일이라는 대법원의 본질적 기능에 비추어 실체법의 해석과 적용에 관하여 판단할 수 있다.<br/><br/> [2] 개인정보 보호법은 ‘손해배상책임’이라는 제목 아래 제39조 제1항에서 "정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다."라고 규정하여 정보주체가 손해를 입을 것을 청구요건으로 명시하고 있다. 이와 달리 개인정보 보호법 제39조의2 제1항에서는 ‘법정손해배상의 청구’라는 제목으로 "제39조 제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 300만 원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다."라고 규정하여 정보주체의 손해 부분을 청구요건에서 제외하고 있다. 개인정보 보호법 제39조의2 제1항의 입법 취지는 개인정보의 광범위한 처리가 일반화된 현대사회에서 개인정보 유출 등의 법익침해가 있을 경우에 손해에 관한 증명이 곤란하더라도 정보주체로 하여금 개인정보처리자로부터 일정한 한도의 법정금액을 배상받을 수 있도록 함으로써 피해자가 쉽게 권리구제를 받을 수 있도록 하는 데에 있다.<br/> 위와 같은 문언의 내용과 입법 취지 등을 고려해 보면, 정보주체는 개인정보처리자를 상대로 개인정보 보호법 제39조의2 제1항에 따른 법정손해배상을 청구하기 위하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손되었다는 사실만 주장·증명하면 되고 손해의 발생 사실을 구체적으로 주장·증명할 필요는 없다고 보아야 한다.<br/><br/> [3] 손해가 발생하지 않은 것이 분명한 경우까지 손해배상의무를 인정하려는 것이 개인정보 보호법 제39조의2 제1항의 취지는 아니므로, 정보주체가 위자료 배상을 청구하는 경우 개인정보처리자로서는 정보주체에 위자료로 배상할 만한 정신적 손해가 발생하지 아니하였음을 주장·증명함으로써 위 규정에 따른 법정손해배상책임을 면할 수 있다.<br/> 나아가 개인정보처리자가 처리하는 개인정보가 정보주체의 의사에 반하여 유출되어 이를 이유로 개인정보 보호법 제39조의2에 따른 법정손해배상청구를 하는 사안에서, 그러한 유출로 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생한 것은 아니라는 개인정보처리자의 주장을 판단할 때에는, 유출된 개인정보의 종류와 성격, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 장래의 열람 가능성 유무, 유출된 개인정보의 확산 범위, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보처리자의 개인정보 관리 상황과 개인정보 유출의 경위, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 취해진 조치의 내용 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하되, 손해에 관한 증명 없이 피해자의 권리구제가 가능하게 하려는 법정손해배상제도의 취지가 형해화되지 않도록 주의하여야 한다.<br/>

[1] 과징금은 위반행위에 대한 제재의 성격과 함께 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수로서의 성격도 가지고, 이는 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2020. 2. 4. 법률 제16955호로 개정되기 전의 것, 이하 ‘구 정보통신망법’이라 한다) 제64조의3 제1항 각호에서 정한 행위에 대하여 부과하는 과징금의 경우도 마찬가지이다. <br/> 그런데 이용자의 개인정보가 유출된 경우 정보통신서비스 제공자가 개인정보 보호조치를 취하지 않음으로 인해 매출액이 증대되는 경우를 상정하기 어렵다. 구 개인정보보호 법규 위반에 대한 과징금 부과기준(2020. 12. 10. 방송통신위원회고시 제2020-9호로 폐지) 제4조 제2항 또한 위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스의 범위를 판단할 때 서비스 가입방법, 개인정보 데이터베이스 관리 조직·인력 및 시스템 운영 방식 등을 고려하도록 하고 있는바, 위 요소들은 위반행위로 인하여 취득한 이익의 규모와 직접적인 관련이 없다. <br/>구 정보통신망법 제64조의3 제1항 제6호에서 정한 자에 대하여 과징금을 부과함으로써 박탈하고자 하는 이득은, 문제 된 위반행위로 인해 증가한 매출액에 따른 이득이 아니라, 오히려 정보통신서비스 제공자가 적절한 보호조치를 취하지 않은 개인정보를 자신의 영업을 위해 보유함으로써 얻은 이득이라 보아야 한다. 이에 따라 위 과징금 부과를 위한 관련 매출액을 산정할 때 ‘위반행위로 인하여 직접 또는 간접적으로 영향을 받는 서비스’의 범위는, 유출사고가 발생한 개인정보를 보유·관리하고 있는 서비스의 범위를 기준으로 판단해야 한다. <br/> [2] 구 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2020. 2. 4. 법률 제16955호로 개정되기 전의 것) 제64조의3 제1항에 따른 과징금은 법 위반행위에 따르는 불법적인 경제적 이익을 박탈하기 위한 부당이득 환수의 성격과 함께 위법행위에 대한 제재로서의 성격을 가지고, 같은 조 제3항은 과징금을 부과할 때 위반행위의 내용과 정도, 기간과 횟수 외에 위반행위로 인하여 취득한 이익의 규모 등도 고려하도록 규정하고 있다. <br/> 개인정보 보호조치 의무 위반에 대해 부과되는 과징금의 액수는 보호조치 위반행위의 원인과 유형, 위반행위로 인해 유출된 개인정보의 규모, 위반행위 방지를 위한 조치의무의 이행 정도, 유사 사례에서의 과징금 액수 등을 종합적으로 고려하여 정해야 한다. 그리고 과징금의 액수가 위반행위의 내용에 비해 과중하여 사회통념상 현저하게 타당성을 잃은 경우라면 그러한 과징금 부과처분은 재량권을 일탈·남용하여 위법하다고 보아야 한다.<br/>