“기업 개인정보 유출, 피해자가 증명해야 보상”… 대법원 첫 판시

‘정보 유출’ 소비자들, 홈플러스 상대 손해배상 소송
대법 “기업의 법 위반 사실은 정보 주체가 입증해야”

입력 : 2024-05-17 17:08/수정 : 2024-05-17 17:09
대법원 전경. 국민일보DB

기업의 개인정보 유출로 피해를 입었더라도 피해자가 기업의 법 위반 사실을 증명해야 보상을 받을 수 있다넌 대법원의 첫 판단이 나왔다.

대법원 2부(주심 신숙희 대법관)는 17일 김모씨 등 283명이 홈플러스를 상대로 낸 손해배상 청구 소송에서 원심의 원고 일부승소 판결을 확정하면서 “개인정보 처리자가 개인정보 보호법 위반 행위를 했다는 사실 자체는 정보 주체가 주장·증명해야 한다”고 밝혔다.

홈플러스는 2010년 신한생명보험과, 이듬해 라이나생명보험과 회원 정보 1건을 1980원에 판매하는 계약을 맺었다. 홈플러스가 경품행사‧패밀리카드 가입을 통해 모은 개인정보를 위탁 업체의 제3자 제공 동의 여부를 확인 작업을 거쳐 보험사에 넘기는 방식이다. 보험사는 이미 가입한 고객을 제외하는 등 선별 작업을 거쳐 남은 고객의 개인정보에 대해서만 대금을 지급했다.

하지만 홈플러스는 순서를 바꿔 보험사가 선별 작업을 먼저 하고 남은 고객을 대상으로 제3자 정보 제공 동의를 받았다. 선별 작업을 거친 뒤 남는 고객이 거의 없어 수익이 많지 않았기 때문이다. 홈플러스의 행위로 정보 제공에 동의하지 않은 고객의 명단까지 전부 보험사에 제공됐다. 2015년 개인정보범죄 정부합동수사단은 수사 끝에 이런 위법 행위를 밝혀냈다. 정보가 동의 없이 제공된 소비자들은 홈플러스가 개인정보를 팔아 손해를 봤다며 1인당 50만~70만원의 배상을 요구하는 소송을 제기했다.

쟁점은 홈플러스에서 보험사로 개인정보가 넘어간 사실을 증명할 책임 소재가 누구에게 있는지였다. 소송 원고 중 4명을 제외한 대부분이 개인정보 유출 상황이 명확하게 밝혀지지 않았기 때문이다.

1심은 홈플러스가 개인정보를 제공하지 않았다는 사실을 증명해야 한다고 보고 손해배상을 명령했다. 반면 2심은 개인정보가 제공됐다는 점을 소비자가 증명해야 한다고 판단을 뒤집었다. 이에 따라 홈플러스는 이를 증명하지 못한 소비자에 대한 배상 책임을 면하게 됐다.

대법원도 이러한 2심 판결에 문제가 없다고 봤다. 대법원은 “원고의 개인정보가 보험회사에 제공됐다는 사실에 관한 구체적·개별적 증명이 없는 이상 피고의 개인정보 보호법 위반 행위를 인정할 수 없다고 본 원심 판단에 잘못이 없다”고 판결했다.

대법원은 개인정보 보호법상 유출에 고의‧과실이 없다는 점은 개인정보 처리자가 증명해야 하지만, 유출 사실 자체는 피해자가 직접 증명해야 한다고 봤다. 이날 쟁점이 같은 홈플러스 사건을 심리한 대법원 2부(주심 김상환 대법관)도 같은 취지의 결론을 내렸다.

대법원 관계자는 “개인정보처리자가 개인정보 보호법을 위반한 행위를 하였다는 사실 자체는 정보 주체가 주장·증명해야 한다는 점을 최초로 판시한 사례”라고 밝혔다.

양한주 기자 1week@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재, 수집, 재배포 및 AI학습 이용 금지

국민일보 신문구독
X 페이스북 카카오톡