[개인정보] 개인정보 보호법상 법정손해배상책임의 성립 여부가 문제된 사건
대법원 2025. 12. 4. 선고 2023다311184 판결
【판시사항】
[1] 소액사건에 관하여 상고이유로 할 수 있는 ‘대법원의 판례에 상반되는 판단을 한 때’의 요건을 갖추지 않았지만 대법원이 실체법 해석과 적용에 관하여 판단할 수 있는 경우
[2] 개인정보 보호법 제39조의2 제1항의 입법 취지 및 정보주체가 위 조항에 따른 법정손해배상을 청구하기 위하여 부담하는 주장·증명책임의 내용
[3] 개인정보처리자가 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하지 아니하였음을 주장·증명하여 개인정보 보호법 제39조의2 제1항에 따른 법정손해배상책임을 면할 수 있는지 여부(적극) / 정보주체가 개인정보처리자를 상대로 개인정보 보호법 제39조의2 제1항에 따른 법정손해배상청구를 하는 사안에서 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하지 않았다는 개인정보처리자의 주장을 판단하는 방법
【판결요지】
[1] 소액사건에 적용되는 법령의 해석에 관한 대법원 판례가 명확하지 않고, 그 법령이 적용되는 다수의 사건이 하급심에 계속되는 등 특별한 사정이 있는 경우에는 소액사건에 관한 상고이유 중 ‘대법원의 판례에 상반되는 판단을 한 때’의 요건을 갖추지 아니하였더라도 법령해석의 통일이라는 대법원의 본질적 기능에 비추어 실체법의 해석과 적용에 관하여 판단할 수 있다.
[2] 개인정보 보호법은 ‘손해배상책임’이라는 제목 아래 제39조 제1항에서 “정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.”라고 규정하여 정보주체가 손해를 입을 것을 청구요건으로 명시하고 있다. 이와 달리 개인정보 보호법 제39조의2 제1항에서는 ‘법정손해배상의 청구’라는 제목으로 “제39조 제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 300만 원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.”라고 규정하여 정보주체의 손해 부분을 청구요건에서 제외하고 있다. 개인정보 보호법 제39조의2 제1항의 입법 취지는 개인정보의 광범위한 처리가 일반화된 현대사회에서 개인정보 유출 등의 법익침해가 있을 경우에 손해에 관한 증명이 곤란하더라도 정보주체로 하여금 개인정보처리자로부터 일정한 한도의 법정금액을 배상받을 수 있도록 함으로써 피해자가 쉽게 권리구제를 받을 수 있도록 하는 데에 있다.
위와 같은 문언의 내용과 입법 취지 등을 고려해 보면, 정보주체는 개인정보처리자를 상대로 개인정보 보호법 제39조의2 제1항에 따른 법정손해배상을 청구하기 위하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손되었다는 사실만 주장·증명하면 되고 손해의 발생 사실을 구체적으로 주장·증명할 필요는 없다고 보아야 한다.
[3] 손해가 발생하지 않은 것이 분명한 경우까지 손해배상의무를 인정하려는 것이 개인정보 보호법 제39조의2 제1항의 취지는 아니므로, 정보주체가 위자료 배상을 청구하는 경우 개인정보처리자로서는 정보주체에 위자료로 배상할 만한 정신적 손해가 발생하지 아니하였음을 주장·증명함으로써 위 규정에 따른 법정손해배상책임을 면할 수 있다.
나아가 개인정보처리자가 처리하는 개인정보가 정보주체의 의사에 반하여 유출되어 이를 이유로 개인정보 보호법 제39조의2에 따른 법정손해배상청구를 하는 사안에서, 그러한 유출로 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생한 것은 아니라는 개인정보처리자의 주장을 판단할 때에는, 유출된 개인정보의 종류와 성격, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 장래의 열람 가능성 유무, 유출된 개인정보의 확산 범위, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보처리자의 개인정보 관리 상황과 개인정보 유출의 경위, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 취해진 조치의 내용 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하되, 손해에 관한 증명 없이 피해자의 권리구제가 가능하게 하려는 법정손해배상제도의 취지가 형해화되지 않도록 주의하여야 한다.
【참조조문】
[1] 소액사건심판법 제3조 제2호 [2] 개인정보 보호법 제39조 제1항, 제39조의2, 민사소송법 제288조[증명책임] [3] 개인정보 보호법 제39조의2, 민사소송법 제288조[증명책임]
【참조판례】
[1] 대법원 2018. 9. 13. 선고 2017다16778 판결(공2018하, 1970)
대법원 2023. 4. 27. 선고 2022다297014 판결
【전 문】
【원고, 상고인】 원고 (소송대리인 법무법인 oo 담당변호사 ooo)
【피고, 피상고인】 주식회사 ○○○
【원심판결】 서울남부지법 2023. 12. 7. 선고 2023나55205 판결
【주 문】
상고를 기각한다. 상고비용은 원고가 부담한다.
【이 유】
1. 사안의 개요
원심판결 이유와 기록에 의하면 아래와 같은 사실을 알 수 있다.
가. 피고는 온라인 지식거래 서비스를 제공하는 인터넷 사이트인 ‘△△△’(이하 ‘이 사건 사이트’라고 한다)를 운영하면서, 가입자들의 개인정보파일을 운용하기 위하여 개인정보를 처리하는 개인정보처리자이다.
나. 원고는 2001. 4. 10. 이 사건 사이트에 회원으로 가입하면서, 피고에게 ID, 비밀번호, 성명, 생년월일, 성별, 전화번호, 이메일 주소 등 개인정보를 제공하였다.
다. 2021. 9. 10.부터 2021. 9. 13.까지 사이에 신원미상의 해커가 이 사건 사이트를 해킹하여 원고를 포함한 가입자 403,298명의 개인정보가 유출되었다(이하 ‘이 사건 사고’라고 한다). 이 사건 사고로 유출된 원고의 개인정보는 암호화된 비밀번호와 이메일 주소이다.
라. 개인정보 보호위원회는 2022. 9. 14. 피고가 이 사건 사고에 관하여 「개인정보 보호법」(이하 ‘개인정보보호법’이라고 한다) 제29조, 구 개인정보보호법 시행령(2023. 9. 12. 대통령령 제33723호로 삭제) 제48조의2 제1항 제2호에서 정한 안전조치의무를 위반하였다고 판단하여 피고에게 과징금 및 과태료를 부과하였다.
2. 소액사건에서 상고이유의 판단이 필요한 경우
소액사건에 적용되는 법령의 해석에 관한 대법원 판례가 명확하지 않고, 그 법령이 적용되는 다수의 사건이 하급심에 계속되는 등 특별한 사정이 있는 경우에는 소액사건에 관한 상고이유 중 ‘대법원의 판례에 상반되는 판단을 한 때’의 요건을 갖추지 아니하였더라도 법령해석의 통일이라는 대법원의 본질적 기능에 비추어 실체법의 해석과 적용에 관하여 판단할 수 있다(대법원 2018. 9. 13. 선고 2017다16778 판결, 대법원 2023. 4. 27. 선고 2022다297014 판결 등 참조).
이 사건에서 쟁점이 되고 있는 개인정보보호법 제39조의2에 따른 법정손해배상책임에서, 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하지 아니하였다는 이유로 개인정보처리자의 손해배상책임을 부정할 수 있는지에 관하여 판례의 입장이 명확하지 않으므로, 법령해석의 통일을 위하여 판단한다.
3. 피고의 개인정보보호법상 법정손해배상책임 성립 여부
가. 관련 법리
1) 개인정보보호법은 ‘손해배상책임’이라는 제목 아래 제39조 제1항에서 “정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.”라고 규정하여 정보주체가 손해를 입을 것을 청구요건으로 명시하고 있다. 이와 달리 개인정보보호법 제39조의2 제1항에서는 ‘법정손해배상의 청구’라는 제목으로 “제39조 제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 300만 원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.”라고 규정하여 정보주체의 손해 부분을 청구요건에서 제외하고 있다. 개인정보보호법 제39조의2 제1항의 입법 취지는 개인정보의 광범위한 처리가 일반화된 현대사회에서 개인정보 유출 등의 법익침해가 있을 경우에 손해에 관한 증명이 곤란하더라도 정보주체로 하여금 개인정보처리자로부터 일정한 한도의 법정금액을 배상받을 수 있도록 함으로써 피해자가 쉽게 권리구제를 받을 수 있도록 하는 데에 있다.
위와 같은 문언의 내용과 입법 취지 등을 고려해 보면, 정보주체는 개인정보처리자를 상대로 개인정보보호법 제39조의2 제1항에 따른 법정손해배상을 청구하기 위하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손되었다는 사실만 주장·증명하면 되고 손해의 발생 사실을 구체적으로 주장·증명할 필요는 없다고 보아야 한다.
그러나 손해가 발생하지 않은 것이 분명한 경우까지 손해배상의무를 인정하려는 것이 개인정보보호법 제39조의2 제1항의 취지는 아니므로, 정보주체가 위자료 배상을 청구하는 경우 개인정보처리자로서는 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하지 아니하였음을 주장·증명함으로써 위 규정에 따른 법정손해배상책임을 면할 수 있다.
2) 나아가 개인정보처리자가 처리하는 개인정보가 정보주체의 의사에 반하여 유출되어 이를 이유로 개인정보보호법 제39조의2에 따른 법정손해배상청구를 하는 사안에서, 그러한 유출로 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생한 것은 아니라는 개인정보처리자의 주장을 판단할 때에는, 유출된 개인정보의 종류와 성격, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 장래의 열람 가능성 유무, 유출된 개인정보의 확산 범위, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보처리자의 개인정보 관리 상황과 개인정보 유출의 경위, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 취해진 조치의 내용 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하되, 손해에 관한 증명 없이 피해자의 권리구제가 가능하게 하려는 법정손해배상제도의 취지가 형해화되지 않도록 주의하여야 한다.
나. 이 사건에 관한 판단
1) 앞서 본 사실관계와 기록에 의하여 알 수 있는 다음과 같은 사정을 위 법리에 비추어 살펴보면, 이 사건 사고로 인하여 원고에게 위자료로 배상할 만한 정신적 손해가 발생하지 않았다고 봄이 타당하다.
가) 이 사건 사고로 유출된 이 사건 사이트 비밀번호의 경우 암호화되어 있었기에 제3자가 그 내용을 파악하거나 이용하였을 가능성은 매우 낮다.
나) 이 사건 사고에서 이메일 주소가 성명 등 다른 개인정보와 결합된 상태로 유출되지 아니하였고, 이 사건의 경우 추가적인 정보가 없는 한 유출된 이메일 주소 그 자체만으로는 정보주체가 누구인지 식별하기 어렵다.
다) 이 사건 사이트는 지식공유 사이트로서 가입자의 유형이 매우 폭넓고 다양하여 가입자의 가입 시기나 이용내역 등이 함께 유출되지 않은 이상, 이 사건 사이트에서 유출된 이메일 주소만으로 해당 가입자의 성향이나 수요 등을 파악하기 어렵다는 특징이 있다. 이러한 점을 고려하면 이 사건에서 이메일 주소가 유출되었다고 하여 정보주체에게 사생활·명예의 침해나 재산적 피해 등이 발생할 위험성은 낮고, 유출된 개인정보가 마케팅 등 영리 목적으로 이용되거나 확산될 위험성도 높지 않아 보인다.
라) 실제로 이 사건 사고 발생일부터 2년 넘게 지난 원심 변론종결일까지 이 사건 사고와 연관된 스팸메일의 증가가 확인되지 않고, 추가적인 법익침해나 2차 피해 발생에 관한 자료도 없다.
마) 피고에게 이 사건 사고에 관한 고의·중과실이 있다고 보기 어렵다. 피고는 이 사건 사고를 인지한 후 유출 정보 내역을 확인한 다음 개인정보 보호위원회와 사이버경찰청에 사고 발생사실을 신고하는 한편, 원고에게도 정보유출사실을 통보하고 비밀번호 변경을 요청하는 등 피해 발생 및 확산을 방지하기 위한 조치를 취하였다.
2) 원심의 이유 설시에 일부 적절하지 않은 부분이 있지만, 이 사건 사고로 인하여 원고에게 위자료로 배상할 만한 정신적 손해가 발생하였다고 보기 어렵다고 보아 원고의 청구를 배척한 원심의 결론은 정당하여 수긍할 수 있다. 거기에 개인정보보호법상 법정손해배상의 요건에 관한 법리오해 등으로 판결에 영향을 미친 잘못이 없다.
4. 결론
상고를 기각하고, 상고비용은 패소자가 부담하도록 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.