개인정보를 처리하는 자가 수집한 개인정보가 정보주체의 의사에 반하여 유출된 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지 판단하는 기준 및 불법행위로 입은 정신적 고통에 대한 위자료 액수의 산정이 사실심 법원의 재량 사항인지 여부(적극)

민법 제393조 , 제750조 , 제751조 , 제763조

대법원 1999. 4. 23. 선고 98다41377 판결 (공1999상, 998) 대법원 2012. 12. 26. 선고 2011다59834, 59858, 59841 판결 (공2013상, 219)

원고(선정당사자) (소송대리인 법무법인 모악 담당변호사 노혜성 외 1인)

주식회사 케이비국민카드 외 1인 (소송대리인 법무법인 세종 외 1인)

서울중앙지법 2018. 1. 17. 선고 2016나15432 판결

상고를 모두 기각한다. 상고비용은 피고들이 부담한다.

상고이유를 판단한다.

1. 피고 주식회사 케이비국민카드의 상고이유 제1점에 관하여

가. 원심은 그 판시와 같은 사실을 인정한 다음, 피고 주식회사 케이비국민카드(이하 ‘피고 국민카드’라 한다)가 구 개인정보 보호법(2015. 7. 24. 법률 제13423호로 개정되기 전의 것)이 정한 개인정보처리자로서 각 법률 및 시행령, 이를 구체화한 고시(개인정보 안전성 확보조치 기준) 등 관련 법령에서 정한 개인정보의 안전성 확보 또는 이용자정보의 보호에 필요한 조치를 취할 의무를 부담한다고 판단하였다. 그리고 피고 국민카드가 피고 코리아크레딧뷰로 주식회사(이하 ‘피고 크레딧뷰로’라 한다)와 카드사고분석시스템(Fraud Detection System, 이하 ‘FDS’라 한다) 업그레이드 관련 개발용역계약을 체결하고, 피고 크레딧뷰로의 개발인력들에게 카드고객의 개인정보를 제공하여 취급하도록 하는 과정에서, 위 법령들을 위반하여 보안프로그램 설치 및 관리·감독의무, 개인정보 처리업무 위탁 시 기술적·관리적 보호조치에 관한 문서약정 및 그 관리·감독의무, 암호화된 카드고객정보 제공의무, 단말기에 이용자 정보를 보관·공유하지 않을 의무, 접근권한 제한 등 보안조치를 취할 의무 등을 다하지 않았으므로, 이로 인해 개인정보가 유출된 원고(선정당사자) 및 선정자들에 대하여 위 개인정보 보호법 제39조 에 따라 손해를 배상할 책임이 있다고 판단하였다.

나. 관련 규정과 기록에 비추어 살펴보면, 원심의 위와 같은 판단은 정당하고, 거기에 개인정보 안전성 확보조치 기준에 관한 해석을 잘못하여 손해배상책임의 성립에 관한 대법원의 판례와 상반되는 판단을 하는 등의 소액사건심판법이 정한 상고이유를 찾아볼 수 없다.

2. 피고 크레딧뷰로의 상고이유 제1 내지 4점에 관하여

가. 원심은 그 판시와 같은 이유로, 피고 크레딧뷰로와 피고 국민카드의 FDS 개발용역계약에 따라 피고 크레딧뷰로가 FDS 개발업무를 수행하는 과정에서, 피고 국민카드로부터 신용정보법 제17조 에 따라 신용정보 처리업무를 위탁받았음에도 신용정보인 카드고객정보의 안전성 확보를 위해 필요한 조치를 취하지 않았고, 이러한 사정 등을 기화로 피고 크레딧뷰로의 직원인 소외인이 FDS 개발용역 수행이라는 사무집행에 관하여 피고 국민카드의 카드고객정보를 유출하는 행위를 저질렀으며, 피고 크레딧뷰로가 제출한 증거들만으로는 피고 크레딧뷰로가 사용자로서 소외인에 대하여 선임 및 사무감독에 상당한 주의를 하였거나 상당한 주의를 하였어도 카드고객정보 유출로 인한 손해가 발생하였음을 인정하기에 부족하여, 피고 크레딧뷰로는 피고 국민카드와 공동하여 위와 같은 불법행위자 및 소외인의 사용자로서 원고(선정당사자) 및 선정자들에게 카드고객정보 유출로 인한 손해를 배상할 책임이 있다고 판단하였다.

나. 관련 법리와 기록에 비추어 살펴보면, 원심의 위와 같은 판단은 정당하고, 거기에 상고이유 주장과 같이 사용자책임에 있어 사무집행 관련성 및 면책사유와 인과관계, 신용정보 처리업무 위탁관계에 관한 대법원의 판례와 상반되는 판단을 하는 등의 소액사건심판법이 정한 상고이유를 찾아볼 수 없다.

3. 피고 국민카드의 상고이유 제2점 및 피고 크레딧뷰로의 상고이유 제5점에 관하여

가. 개인정보를 처리하는 자가 수집한 개인정보가 정보주체의 의사에 반하여 유출된 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는, 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해 온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다 ( 대법원 2012. 12. 26. 선고 2011다59834, 59858, 59841 판결 등 참조). 또한 불법행위로 입은 정신적 고통에 대한 위자료 액수에 관하여는 사실심 법원이 여러 사정을 참작하여 그 직권에 속하는 재량에 의하여 확정할 수 있다 ( 대법원 1999. 4. 23. 선고 98다41377 판결 등 참조).

나. 원심은 그 판시와 같은 사실을 인정한 다음, 이 사건 카드고객정보 유출사고에서 유출된 개인정보는 원고(선정당사자) 및 선정자들 개인을 식별할 수 있을 뿐 아니라 개인의 사생활 및 신용과 밀접한 관련이 있는 정보들로서, 유출사고의 전반적 경위 등을 종합해 볼 때 그 전파 및 확산과정에서 이미 제3자에 의해 열람되었거나 앞으로 개인정보가 열람될 가능성이 크므로, 사회통념상 원고(선정당사자) 및 선정자들에게 개인정보 유출로 인한 정신적 손해가 현실적으로 발생하였다고 봄이 타당하다고 판단하고, 여러 사정을 고려하여 피고들이 공동하여 원고(선정당사자) 및 선정자들에게 배상하여야 할 위자료를 각 10만 원으로 정하였다.

다. 앞서 본 법리와 기록에 비추어 살펴보면, 정신적 손해 발생 여부에 관한 원심의 위와 같은 판단은 정당하고, 원심이 정한 위자료 액수 또한 형평의 원칙에 현저히 반하여 재량의 한계를 일탈하였다고 인정할 만큼 과다하다고 볼 수 없다. 따라서 원심의 판단에 피고들의 상고이유 주장과 같이 손해배상책임의 범위에 관한 대법원의 판례와 상반되는 판단을 하는 등의 소액사건심판법이 정한 상고이유를 찾아볼 수 없다.

4. 결론

그러므로 상고를 모두 기각하고, 상고비용은 패소자가 부담하도록 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.

[[별 지] 선정자 명단: 생략]