손해배상
부산의 한 아파트 건물 근로자들이 건물 관리 시스템이 변경되고 운영되는 과정에서 자신들의 개인정보가 무단으로 유출되었다고 주장하며 시스템 관련 회사들을 상대로 손해배상을 청구했으나 법원은 피고들의 행위가 계약에 따른 정당한 업무 수행의 범위 내에 있었고 개인정보 유출이나 멸실이 있었다고 볼 증거가 부족하다고 판단하여 원고의 항소를 기각한 사건입니다.
부산 기장군 F 건물의 근로자인 선정자들은 이 건물 관리 업무를 위해 사용되던 J 전산 프로그램이 K 프로그램으로 변경되는 과정에서, 그리고 피고 B, D, E가 J 프로그램에 접속하는 과정에서 자신들의 개인정보가 무단으로 유출되었다고 주장하며 피고들에게 각 1,000,000원의 위자료를 청구했습니다. 원고는 피고 B가 피고 C과 공모하여 관리단의 동의 없이 J에서 K로 개인정보를 유출했고, 피고 B, E, D가 정당한 권한 없이 J에 접속하여 개인정보를 유출했으며, 피고 D는 논문 작성에 개인정보를 제공했다고 주장했습니다.
아파트 관리 전산 시스템(J 프로그램에서 K 프로그램으로) 변경 및 운영 과정에서 개인정보보호법 위반(개인정보 무단 제공 및 유출, 훼손, 멸실)이 있었는지 여부, 피고들이 정당한 권한 없이 전산 시스템에 접속하여 개인정보를 유출하였는지 여부, 계약상 '제3의 업체' 또는 '관계사'를 통한 서비스 제공 조항에 대한 설명 의무 위반 여부 및 그로 인한 정신적 손해 발생 여부가 주요 쟁점이었습니다.
법원은 원고(선정당사자)의 항소를 모두 기각하고, 항소비용은 원고가 부담하도록 판결했습니다. 이는 피고들이 원고 측에 개인정보 유출로 인한 위자료를 지급할 의무가 없다고 판단한 것입니다.
법원은 피고들이 아파트 관리 전산 시스템 변경 및 운영 과정에서 개인정보보호법을 위반하여 개인정보를 유출하거나 훼손, 멸실하였다는 원고의 주장을 모두 받아들이지 않았습니다. 법원은 피고들의 행위가 계약에 따른 업무 수행의 범위 내에 있었고 개인정보 유출을 인정할 만한 증거가 부족하며, 유출된 개인정보로 인해 선정자들에게 금전으로 배상할 만한 정신적 손해가 발생했다고 보기도 어렵다고 판단하여 최종적으로 원고의 청구를 기각했습니다.
이 사건과 관련하여 주로 적용된 법령과 법리는 다음과 같습니다.
개인정보보호법 제59조(금지행위): 이 조항은 개인정보를 처리하거나 처리하였던 자가 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 이용, 훼손, 멸실, 변경, 위조 또는 유출하는 행위를 금지합니다. 법원은 이 사건에서 피고들이 관리비 부과 등 업무 수행을 위해 전산 프로그램을 변경하거나 자료를 이관하고 시스템에 접속한 행위는 이 사건 전산운영계약에 따른 정당한 권한 내의 업무 수행이었으며, 개인정보를 무단으로 유출하거나 멸실했다고 볼 만한 증거가 부족하다고 판단했습니다. '개인정보 유출'은 개인정보처리자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있게 하는 상태에 이르게 하는 것을 의미하는데, 피고들의 행위는 계약상 업무의 연장선상에 있었다고 보았습니다.
개인정보보호법 제2조 제1호(개인정보의 정의): 이 조항은 '개인정보'를 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 또는 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보로 정의합니다. 법원은 이 사건에서 관리비 산출에 필요한 일반적인 정보 외에 원고가 주장하는 '사원번호' 및 '주민등록번호' 등 민감한 개인정보가 열람되었는지가 불분명하며, 관리비 산정에 그러한 정보가 필요하다고 보기도 어렵다고 판단했습니다. 또한 논문 작성에 사용된 자료는 수치화된 관리비용 자료에 불과하며 개인을 식별할 수 있는 정보가 포함되었다고 볼 증거가 없다고 보았습니다.
약관의 규제에 관한 법률 제3조 제3항(설명의무): 이 조항은 약관의 중요한 내용을 사업자가 고객에게 명시하고 설명할 의무를 규정합니다. 그러나 법원은 이 사건 전산운영계약서의 '제휴업체' 또는 '관계사'를 통한 서비스 제공 조항은 거래상 일반적이고 고객인 건물 관리단이 피고 B가 독자적인 관리 프로그램이 없어 외부 업체로부터 이를 공급받거나 위탁할 수 있음을 충분히 예상할 수 있었던 사항이므로, 피고 B에게 별도의 설명 의무가 있다고 보기 어렵다고 판단했습니다. 이는 고객이 예측하지 못한 불이익을 받게 되는 것을 피하려는 약관법의 취지에 부합한다고 보았습니다.
대법원 판례를 통한 정신적 손해(위자료) 인정 기준: 대법원은 개인정보 유출로 인한 정신적 손해(위자료) 발생 여부를 판단할 때 유출된 개인정보의 종류와 성격, 정보주체를 식별할 가능성, 제3자 열람 여부 및 가능성, 확산 범위, 추가 법익침해 가능성, 개인정보 관리 실태 및 유출 경위, 피해 방지 조치 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단해야 한다고 제시합니다. 이 사건에서는 전산 프로그램 변경 과정에서 관리 업무에 장애가 발생하지 않았고, 유출된 정보가 관리비 산출에 필요한 일반적인 정보였으며, 민감한 정보가 외부로 유출되거나 2차 피해가 발생했다는 사정을 찾을 수 없어 정신적 손해를 인정하기 어렵다고 보았습니다.
개인정보 유출을 주장하는 경우, 어떤 정보가 어떻게 유출되었는지, 그리고 그로 인해 어떤 유형의 피해(재산적, 정신적)가 발생했는지를 명확한 증거와 함께 입증하는 것이 중요합니다. 계약서에 '제3의 업체'나 '관계사'를 통한 서비스 제공 조항이 있는 경우, 이는 통상적인 업무 수행의 일환으로 해석될 수 있으며, 고객이 충분히 예상할 수 있는 사항이라면 별도의 설명 의무가 없다고 판단될 수 있습니다. 전산 시스템 변경이나 관리가 필요한 경우, 업무를 위한 정보 이관은 불가피하게 발생할 수 있으므로, 단순한 정보 이관을 개인정보 유출로 보기는 어렵습니다. 개인정보 유출로 인한 정신적 손해는 유출된 정보의 종류, 유출 경위, 2차 피해 발생 가능성 등 여러 요소를 종합적으로 고려하여 판단되며, 단순히 정보가 다른 시스템으로 옮겨지거나 특정 인원이 접근했다는 사실만으로 손해가 인정되지 않을 수 있습니다. 논문 작성 등에 통계 자료가 사용된 경우, 해당 자료에 개인을 식별할 수 있는 정보가 포함되지 않았다면 개인정보 유출로 인정되기 어렵습니다.
