logobeta
텍스트 조절
arrow
arrow
대법원 2018. 12. 28. 선고 2018다214142 판결
[손해배상(기)][미간행]
판시사항

개인정보를 처리하는 자가 수집한 개인정보가 정보주체의 의사에 반하여 유출된 경우, 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지 판단하는 기준

원고, 피상고인

별지 원고 명단 기재와 같다. (소송대리인 법무법인 어울림 담당변호사 구은미 외 1인)

피고, 상고인

주식회사 케이비국민카드 외 1인 (소송대리인 법무법인 세종 외 1인)

주문

상고를 모두 기각한다. 상고비용은 피고들이 부담한다.

이유

상고이유를 판단한다.

1. 피고 주식회사 케이비국민카드의 상고이유 제1점에 관하여

가. 원심은 그 판시와 같은 사실을 인정한 다음, 피고 주식회사 케이비국민카드(이하 ‘피고 국민카드’라고 한다)가 구 개인정보 보호법(2015. 7. 24. 법률 제13423호로 개정되기 전의 것)이 정한 개인정보처리자 또는 구 전자금융거래법(2013. 5. 22. 법률 제11814호로 개정되기 전의 것)이 정한 금융기관으로서 각 법률과 시행령 및 이를 구체화한 고시 등 관련 법령에서 정한 개인정보의 안전성 확보 또는 이용자 정보 보호에 필요한 조치를 취할 의무를 부담한다고 판단하였다. 그리고 피고 국민카드가 피고 코리아크레딧뷰로 주식회사(이하 ‘피고 크레딧뷰로’라고 한다)와 카드사고분석시스템(Fraud Detection System, 이하 ‘FDS’라고 한다) 개선 관련 용역계약을 체결하고, 피고 크레딧뷰로의 개발인력들에게 피고 국민카드 고객의 개인정보를 제공하여 취급하도록 하는 과정에서, 위 법령 규정을 위반하여 보안프로그램 설치 및 관리·감독의무, 개인정보 처리업무 위탁 시 기술적·관리적 보호조치에 관한 서면 약정 및 수탁자에 대한 교육·감독의무, 개인정보 암호화 의무, 단말기에 이용자 정보를 보관·공유하지 않을 의무, 접근권한 제한 등 보안조치를 취할 의무 등을 다하지 않았으므로, 이로 인해 개인정보가 유출된 원고들에 대하여 손해배상책임을 부담한다고 판단하였다.

나. 관련 규정과 기록에 비추어 살펴보면, 원심의 위와 같은 판단은 정당하다. 거기에 상고이유 주장과 같이 위 각 규정에 관한 법리를 오해하거나 필요한 심리를 다하지 아니한 채 논리와 경험의 법칙에 반하여 자유심증주의의 한계를 벗어나는 등의 잘못이 없다.

2. 피고 크레딧뷰로의 상고이유 제1, 2, 3점에 관하여

가. 원심은 그 판시와 같은 이유로, 피고 크레딧뷰로와 피고 국민카드의 FDS 개선 용역계약에 따라 피고 크레딧뷰로의 직원 소외인이 FDS 개발업무를 수행하는 과정에서 그 사무집행에 관하여 피고 국민카드의 고객정보를 유출하였고, 피고 크레딧뷰로가 사용자로서 소외인에 대하여 선임 및 사무감독에 상당한 주의를 하였거나 상당한 주의를 하였어도 고객정보 유출로 인한 손해가 발생하였을 것이라는 사실을 인정할 증거가 부족하므로, 피고 크레딧뷰로는 피고 국민카드와 공동하여 민법 제756조 제1항 에 따라 원고들에게 개인정보 유출로 인한 손해를 배상할 책임이 있다고 판단하였다.

나. 관련 법리와 기록에 비추어 살펴보면, 원심의 위와 같은 판단은 정당하다. 거기에 상고이유 주장과 같이 사용자책임에 있어 사무집행 관련성과 면책사유 및 인과관계 등에 관한 법리를 오해하거나, 필요한 심리를 다하지 아니한 채 논리와 경험의 법칙에 반하여 자유심증주의의 한계를 벗어나는 등의 잘못이 없다.

3. 피고 국민카드의 상고이유 제2점, 피고 크레딧뷰로의 상고이유 제4점에 관하여

가. 개인정보를 처리하는 자가 수집한 개인정보가 정보주체의 의사에 반하여 유출된 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는, 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해 온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다 ( 대법원 2012. 12. 26. 선고 2011다59834, 59858, 59841 판결 등 참조). 또한 불법행위로 입은 정신적 고통에 대한 위자료 액수에 관하여는 사실심 법원이 여러 사정을 참작하여 그 직권에 속하는 재량에 의하여 확정할 수 있다( 대법원 1999. 4. 23. 선고 98다41377 판결 등 참조).

나. 원심은 그 판시와 같은 사실을 인정한 다음, 이 사건 카드고객정보 유출사고에서 유출된 개인정보는 원고들 개인을 식별할 수 있을 뿐 아니라 개인의 사생활과 밀접한 관련이 있고 이를 이용한 2차 범죄에 악용될 수 있는 것들로서, 이미 제3자에 의해 열람되었거나 앞으로 열람될 가능성이 크므로, 사회통념상 원고들에게 개인정보 유출로 인한 정신적 손해가 현실적으로 발생하였다고 판단하고, 여러 사정을 고려하여 피고가 원고들에게 배상하여야 할 위자료를 각 10만 원으로 정하였다.

다. 앞서 본 법리와 기록에 비추어 살펴보면, 정신적 손해 발생 여부에 관한 원심의 위와 같은 판단은 정당하고, 원심이 정한 위자료 액수 또한 형평의 원칙에 현저히 반하여 재량의 한계를 일탈하였다고 보기 어렵다. 거기에 상고이유 주장과 같이 판단을 누락하거나, 관련 법리를 오해하거나, 필요한 심리를 다하지 아니한 채 논리와 경험의 법칙에 반하여 자유심증주의의 한계를 벗어나는 등의 잘못이 없다.

4. 결론

그러므로 상고를 모두 기각하고, 상고비용은 패소자들이 부담하도록 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.

[[별 지] 원고 명단: 생략]

대법관 박정화(재판장) 권순일(주심) 이기택 김선수

arrow