8. 개인정보 소송사례

◎ 개인정보 소송의 배경

• 정보기술의 발전에 따라 수집, 결합, 분석됨으로써 유용한 가치가 됨
• 2008년 이후 여러 차례 대규모의 개인정보 유출 사고가 발생
• 개인정보의 수집과 이용이 보편화 되고 있으나, 국가사회전반을 규율하는 개인정보 보호원칙과 개인정보 처리기준이 마련되지 못하는 상황
• 2011년 9월 30일부터 개인정보 보호법이 시행되어 개정 및 보완을 하고 있음

 

◎ N온라인 게임업체 개인정보 유출사건

- 국내 최초의 개인정보 유출 집단소송

- 5월 11일~16일 그 사이에 유출 피해 계속 발생 (아이디, 비밀번호가 로그파일에 기록됨)

 

◎ K은행 개인정보 유출사건

- 개인정보 유출로 인해 최초로 1,000명 이상의 원고가 소송을 제기한 사례

 

◎ L통신사 사건

 

각 사례의 판례

	N온라인 게임업체	K은행	L통신사
법원의 판단	• 아이디와 비밀번호는 가상공간에서 행위자의 인격을 표상한다고 할 것이므로 개인정보에 해당된다. • 헌법상의 기본권인 개인정보가 공개되지 아니할 권리를 침해하였다. • 정보통신망법 제 28조 (기술적∙관리적∙조치의무)를 위반하였다	• 이메일도 개인정보에 해당된다 • 개인정보가 공개되지 아니할 권리를 침해하였다. • 인격적 이익에 직접 관계되는 것이므로, 원고의 정신적 고통은 통상 손해이다. • 정보통신망법 제 28조 위반	폰 정보 조회 페이지에 원고들의 휴대전화 번호를 입력하기 전에는 원고들의 개인정보는 서버에 그대로 보관된 채 아무런 접근이 이루어 지지 않으며, 원고들의 개인정보가 개인휴대통신서비스를 제공하는 주식회사의 관리∙통제권을 벗어나 제3자가 내용을 알 수 있는 상태에 이르게 되었다고 볼 수 없다.
결과	• 1심 : 5명 각 50만원 배상 • 2심 : 3명 각 10만원 배상, 집에서 컴퓨터를 이용한 2명은 기각 • 두번째로 제기한 소송(원고 44명)이 대법원에서 2009년 5월28일에 2심 판결 내용 그대로 확정	• 1심 : 1,024명 각 10만원, 이메일만 유출된 2명 각 7만원 배상 • 2심 : 1인당 20만원 배상 (이메일 유출자는 10만원으로 증액) • 양측 상고하지 않아 2심 판결로 확정됨	• 1심 : 원고 일부 승소   (1인당 5만원) • 2심 : 원고 패소

 

 

 

◎ A인터넷쇼핑몰 개인정보 유출사건

- 2008년 국내 최대 인터넷 쇼핑몰에서 고객DB가 해킹

- 사고 발생 후 2년이나 지나서 전체 회원 1,863만 명의 정보 유출임이 밝혀짐

 

◎ G정유사 사건

- 명백하게 책임자의 의도(고의)에 의해 개인정보 유출된 사건

 

◎ S회사 해킹 사건

- 인터넷 포털서비스업을 하는 S주식회사가 제공하는 온라인 서비스에 저장된 가입자 3,500만 명 전원의 아이디, 비밀번호, 이름, 주민등록번호, 연락처 등의 개인정보가 유출된 최대 규모의 개인정보 유출사건으로 기록

 

◎ '회피 연아' 사건

- 차모 씨가 자신의 개인정보를 동의없이 제공하였다는 이유로 네이버에 위자료 청구

- 개인 간의 소송 사례

 

각 사례의 판례

	A인터넷쇼핑몰 개인정보유출사건	S회사 해킹사건
법원의 판단	•정보통신서비스제공자가 이 사건 고시에서 정하고 있는 기술적∙관리적 보호조치를 다하였다면 특별한 사정이 없는 한 정보통신 서비스제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률성 또는 계약상 의무를 위반하였다고 보기는 어렵다.	•피고는 정보통신서비스 제공자로써 정보통신망법 및 동법 시행령 등에 따라 그 이용자인 원고의 개인정보를 보호할 의무가 있으며, 서비스 이용약관에 따라 원고의 개인정보를 취급함에 있어 안전성 확보에 필요한 합리적인 수준의 기술적 및 관리적 대책을 수립∙운영할 계약상 의무가 있음에도 이러한 의무를 위반하여 이 사건을 방지하지 못하고, 원고의 개인정보가 유출되도록 하였으므로 정보통신망법 제32조에 따른 손해배상책임은 물론 계약상 채무불이행에 따른 손해배상책임 또한 부담한다.
결과	•원심 : 원고 청구 기각 •대법원 : 관련 법리와 기록에 비추어 살펴보면, 원심의 사실인정 및 판단은 정당한 것으로 수긍. 거기에 논리와 경험의 법칙을 위반하고 자유심증주의의 한계를 벗어나거나 보안관제 담당업체의 손해배상책임에 관한 법리를 오해하는 등의 위법이 없다.	•1심 : 원고 승소(100만 원) •2심 : 피고는 원고에게 100만원 및 이에 대하여 이 사건 해킹사고가 발생한 시점부터 피고가 이행의무의 존재 여부나 범위에 관하여 항쟁하는 것이 타당하다고 인정되는 제 1심판결 선고일까지 민법이 정한 연5%, 그 다음 날부터 다 갚는 날까지는 소송촉진 등에 관한 특례법이 정한 연 20%의 각 비율로 계산한 지연손해듬을 지급할 의무가 있다.

- A인터넷쇼핑몰 개인정보유출사건은 현재라면 다른 판결이 나올 수도 있을 듯 (개인정보의 중요성과 가치가 더 높아짐)

 

 

◎ 카드 3사 개인정보 유출 사례

 

사건개요

• 2014년 1월 18일, KB국민카드, NH농협카드, 롯데카드가 소유한 대량의 개인정보가 유출된 사실이 언론을 통해 공개
• 유출은 2012년 10월부터 2013년 12월까지 지속적으로 이루어졌음
• 유출규모는 1억400만여 건으로 세계적으로 3번째로 큰 규모의 유출사고로 기록됨
• 체계적인 보안 시스템의 미비, 보안에 대한 관리자의 주의 의무 결여에서 비롯된 사건

유출과정

• 아이핀을 관리하는 국내 신용평가 업체(코리아크레딧뷰)의 직원이 각 카드사에 파견되어근무
• 당시 파견된 직원은 카드사의 분실∙위변조 탐지 시스템(FDS)을 개발하는 프로젝트 책임자로 각 카드사에 시스템 테스트용으로 받은 개인정보를 USB에 담아 빼냈다
• 카드사가 외부 용역담당자에게 시스템 테스트용으로 고객들의 진짜 정보를 제공했다는 점도 문제가 됨

피해규모

• KB국민카드(약 4,000만 건), 롯데카드(약 2,000만 건), NH농협카드(약 2,000만 건)
• 개인 신상정보과 결제계좌 및 민감한 금융정보까지 유출
• 해당 카드3사의 카드를 사용하지 않는 사람들 및 5년 이상 미사용자, 사망자 정보까지 유출

대응과정

• 금융감독원은 긴급브리핑을 열고 파악된 유출 규모와 대응방안을 발표
• 사건의 책임을 지고 카드사 임원진 전원은 사퇴 의사를 밝힘
• 피해고객들의 2차 피해방지를 위해 결제 내역 알림 문자 서비스를 1년 무료제공
• 각 카드사 홈페이지에는 개인정보 유출여부를 열람할 수 있는 페이지를 운영
• 금융당국은 ‘금융권 개인정보 보호 종합대책‘을 발표
• 카드3사에 대하여 현행법상 최고수준인 3개월 영업정지 부과
• 매출의 1%를 과징금으로 부과, 징벌적 손해배상제도를 도입을 검토한다고 발표
  (but 현행법상 과징금은 최대 600만원 까지만 부과)

 

 

◎ 개인정보 유출 사례의 유형

유  형	사  례	적용법률(정보통신망법)
과실에 의한 정부 유출	N온라인 게임업체 사건, K은행 개인정보 유출 사건, L통신사 사건	제 28조 제 1항
제3자의 해킹 등에 의한 개인정보 유출	A인터넷쇼핑몰 개인정보 유출 사건 S회사 해킹사건	제 28조 제 1항
고의에 의한 정보 유출	G정유사 사건	제 28조의 2 제1항
동의 없이 제3자에게 제공	‘회피연아’ 사건	제 24 조

 

 

◎ 법원의 위자료 산정 시 고려 요소

사고의 단계	영향 요소
사고발생이전	개인정보의 수집 목적
	해당 기업의 규모 및 성격
	사전 보안 조치 여부
사고의 내용 및 경위	유출의 주체
	개인정보 유출 사고에 있어서의 고의, 과실의 유무 및 그 정도
	유출 정보의 규모 및 성격, 전파가능성
사고 이후의 조치	사후조치의 신속성, 적절성
	피해자에 대한 사고의 고지 및 피해회복조치의 유무
	2차적 피해 발생 여부