A. 사건 개요
- GS칼텍스는 보너스카드를 가입하면서, 고객들의 이름, 주민등록번호, 자택 주소 자택 주소, 자택전화번호, 회사주소, 회사 전화번호, 핸드폰 번호, 이메일 주소 등을 고객들로부터 수집했다.
GS넥스테이션은 GS칼텍스로부터 CSC(일명 “콜센터”)와 CSC DB 운영 및 관련 장비 유지보수 업무를 위탁받아 수행했다.
소외 1과 2는 GS넥스테이션의 직원으로, CSC DB 접근 권한을 이용하여 고객정보를 빼낸 후 이를 시중에 판매하거나 집단소송을 의뢰받을 변호사에게 판매하는 방법 등으로 금원을 취득하기로 모의했다.
소외1은 친구인 소외 3에게 판매처를 알아보도록 하였으며, 소외 3은 소외 4에게 판매처를 알아보라고 하는 등의 공모하였다.
소외1은 2008년 7월 8일 경부터, 같은 달 20일 경까지 CSC서버에 접속하여 보너스카드 회원 11,517,125명의 성명, 주민등록번호, 주소, 전화번호, 이메일 주소 등 고객정보를 자신의 위 사무용 컴퓨터로 전송받아 76개의 엑셀 파일의 형태로 저장하였다.
8월 중순경, 소외1은 소외 2에게 엑셀 파일의 편집을 부탁하였고, 8월 29일 경, 소외2는 편집 후 자신의 USB에 편집된 파일을 넣어 전달하였다. 소외1은 파일을 복사한 뒤, 소외2에게 USB를 돌려주었다. 소외2는 같은 달31일, 소외5를 만나 판매처 물색을 부탁하며 파일을 소외5의 외장하드에 복사해 주었다.
소외1은 8월 29일, 복사된 DVD 한 장을 소외3을 통해 소외 4에게 전달하였다. 소외4는 DVD 1장을 추가로 복사하였으며, 7월 13일 경, 소외1을 통해 6명의 정보만을 담은 샘플 CD를 가지고 있었다.
8월 28일, 소외4는 변호사 사무장인 소외6에게 개인정보를 이용해 집단소송에 활용하고 수익을 분배하자고 제안하였다. 이에 소외6은 언론에 보도되어 사회적인 문제가 되어야 한다고 했다.
이에 소외 4는 소외7로부터, 기자인 소외8과 소외9. PD인 소외10, 그리고 소외 7의 친구인 소외11을 만나 “도심 쓰레기 더미에서 피고의 고객정보가 담긴 DVD를 주웠다는 취지의 발언을 하며, 기자인 소외8에게 샘플 CD와 DVD를 각 1장 교부했다. 이후 CD와 DVD를 추가 복사하여, 소외8,9,10이 CD 각 1장씩. 소외7,10,11이 DVD 각 1장씩 나눠가졌다.
기자인 소외8은 CD와 DVD에 수록된 정보가 피고의 고객정보와 일치하는지 문의하고, 거의 일치함을 확인한 다음, 관련 내용을 언론에 보도하였다.
소외 1,2,4,5가 가지고 있던 저장매체는 압수되거나 폐기되었으며 기자들의 매체는 임의 제출되었다. 소외7은 DVD를 자체 폐기하였고 소외 11은 소외4를 통해 전달했고 추후에 소외4를 통하여 압수되었다.
소외 1,2,3,4는 정보통신망침해 등의 죄로 실형이 확정되었다.
(서울중앙지방법원 2008고단5877호, 서울중앙지방법원 2009노375호)
B. 1심 판시사항
헌법 10조와 17조에 따라, 원고는 자신의 의사에 반하여 개인정보가 함부로 공개되지 아니할 권리를 가진다.
피고에게 손해배상 책임을 지우기 위해서는 다음 사항들이 인정되어야 한다.
1. 최소한 개인정보가 외부로 누출됨으로써 원고들의 개인정보가 불특정 다수에게 공개되어 이를 열람할 수 있는 상태
2. 원고들의 의사에 반하여 원고들의 개인정보가 수집·이용될 수 있는 상태에 이르러 원고들의 개인정보자기결정권이 침해되었다거나 침해될 상당한 위험이 발생할 수 있는 상태
기각 판결 사유
1. 저장매체가 압수되거나 폐기되어 원고들의 개인정보가 열람되거나, 의사에 반하여 수집, 이용될 위험성이 사라진 점
2. 소외1이 개인정보를 처리하면서 개인정보를 열람한 사실이 있으나, 개인정보를 식별하기 위하여 열람하지 않았고, 개인을 특정하여 식별하거나 기억하는 것이 불가능한 점
3. 기자들에게 제공된 정보는 고객정보의 일치 여부 확인을 위한 것으로 불특정 다수에게 유포되었다고 보기 힘들며, 저장매체도 모두 회수된 점
4. 소외1 등이 빼낸 개인정보가 다른 곳으로 유출된 흔적이 없는 점을 고려하여
원고의 개인정보자기결정권이 침해되어가 침해당할 상당한 위험성이 있다고 보기는 어렵다.
원고들이 수인한도를 초과하는 정신적 손해를 입었다고 할 수 없는 이상, 소외1등이 형사 처벌을 받았더라도, 사용자 책임에 의한 손해배상 책임을 피고에게 지울 수 없다.
따라서 1심에서는 모두 이유 없음으로 판단하고, 기각을 선고하였다.
요약: 저장매체가 폐기되고, 열람만으로 개인을 특정하기 힘듦, 다른 곳으로 유출된 흔적이 없어 개인정보자기결정권이 침해되었다고 보기는 힘들다.
C. 2심 판시사항
개인정보의 유출로 인하여 그 개인에게 정신적 손해가 발생하였는지는 다음과 같은 요소를 고려하여 개별적, 구체적으로 판단되어야 한다.
1. 그 유출된 개인정보의 종류와 성격
2. 개인정보와 개인정보 주체와의 관계
3. 유출의 정도 및 이에 따라 예상되는 위험성
4. 정보수집주체가 유출된 개인정보를 이용한 방식과 규모 등
항소 기각 사유
1. 본 사건의 개인정보는 민감정보나 정보주체의 경제적 이익을 침해할 우려가 높은 정보가 아니고, 유출된 직후 바로 폐기된 점
2. 구체적인 피해를 입었다고 인정할 증거가 없거나 부족함
3. 유출된 적이 있었다는 사실만으로 원고들에게 정신적인 피해가 있었을 것이라고 단정하기는 어렵고, 인정할 만한 증거가 없다.
요약: 유출된 정보는 정보주체의 민감정보 등이 아니며 바로 폐기됨, 유출로 인한 구체적인 피해가 없고, 유출된 사실만으로 정신적인 피해가 있을 것으로 판단하기 힘들기에, 기각됨
D. 3심 판시사항
정보주체의 의사에 반하여, 위자료를 배상할 만한 정신적 손해가 발생했는지 판단하기 위해서는 다음과 같은 사항을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단해야 한다
1. 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지
2. 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지
3. 유출된 개인정보가 어느 범위까지 확산되었는지
4. 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지
5. 개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지
6. 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지
상고 기각 사유
사건 관계자들로부터, 저장매체 등이 압수나 임의제출, 폐기됨
한정된 범위의 사람들에게 복제 및 전달된 상태에서 저장매체가 폐기되고, 제3자가 개인정보를 열람하거나 이용할 수 없어 보임
범인들의 열람과 기자들의 열람을 개인정보를 이용할 의사가 아닌, 확인할 목적으로 열람한 것으로 보이며, 열람만으로 특정한 개인을 식별하기는 어려워 보임
본 사건으로 인하여, 원고들에게 명의도용 등의 후속 피해가 발생했음을 볼 만한 상황이 발견되지 않음
요약: 한정된 범위의 사람만 정보를 열람했으며. 개인정보를 이용할 의사가 있는 것은 아님. 또한 정보가 저장된 매체 등이 여러 방법으로 폐기됨, 이 사건으로 원고들에게 피해가 있었다고 보기는 힘듦. 따라서, 본 사건은 기각됨
E. [부록] 사건의 개요 (요약)
주유 관련 보너스카드 회원으로 가입한 고객들의 개인정보를 데이터베이스로 구축하여 관리하면서 이를 이용하여 고객서비스센터를 운영하는 甲 주식회사로부터 고객서비스센터 운영 업무 등을 위탁받아 수행하는 乙 주식회사 관리팀 직원 丙이, 丁 등과 공모하여 戊 등을 포함한 보너스카드 회원의 성명, 주민등록번호, 주소, 전화번호, 이메일 주소 등 고객정보를 빼내어 DVD 등 저장매체에 저장된 상태로 전달 또는 복제한 후 개인정보유출 사실을 언론을 통하여 보도함으로써 집단소송에 활용할 목적으로 고객정보가 저장된 저장매체를 언론 관계자들에게 제공한 사안에서, 개인정보가 丙에 의하여 유출된 후 저장매체에 저장된 상태로 공범들과 언론 관계자 등에게 유출되었지만 언론보도 직후 개인정보가 저장된 저장매체 등을 소지하고 있던 사건 관련자들로부터 저장매체와 편집 작업 등에 사용된 컴퓨터 등이 모두 압수, 임의 제출되거나 폐기된 점, 범행을 공모한 丙 등이 개인정보 판매를 위한 사전작업을 하는 과정에서 위와 같이 한정된 범위의 사람들에게 개인정보가 전달 또는 복제된 상태에서 범행이 발각되어 개인정보가 수록된 저장매체들이 모두 회수되거나 폐기되었고 그밖에 개인정보가 유출된 흔적도 보이지 아니하여 제3자가 개인정보를 열람하거나 이용할 수는 없었다고 보이는 점, 개인정보를 유출한 범인들이나 언론 관계자들이 개인정보 중 일부를 열람한 적은 있으나 개인정보의 종류 및 규모에 비추어 위와 같은 열람만으로 특정 개인정보를 식별하거나 알아내는 것은 매우 어려울 것으로 보이는 점, 개인정보 유출로 인하여 戊 등에게 신원확인, 명의도용이나 추가적인 개인정보 유출 등 후속 피해가 발생하였음을 추지할 만한 상황이 발견되지 아니하는 점 등 제반 사정에 비추어 볼 때, 개인정보 유출로 인하여 戊 등에게 위자료로 배상할 만한 정신적 손해가 발생하였다고 보기는 어렵다고 한 사례.
F. 참고자료
1심 판결문: 서울중앙지방법원 2010. 9. 16., 선고, 2008가합111003,2009가합26041(병합),2009가합121922(병합), 판결
2심 판결문: 서울고등법원 2011. 6. 24., 선고, 2010나111478,2010나111485(병합),2010나111492(병합), 판결
'정보보호 > 개인정보보호' 카테고리의 다른 글
| 주민등록법 제7조 제3항 등 위헌소원 판결문 정리: 주민등록번호 변경이 가능해진 이유를 중심으로 (0) | 2021.04.30 |
|---|---|
| 2016도 13263판결문 정리 (일명 "1mm 글씨 고지"사건) (0) | 2021.04.07 |