<판결요지>
[1] 구 전자금융거래법(2013.5.22. 법률 제11814호로 개정되기 전의 것) 제21조는 금융기관이 전자금융거래가 안전하게 처리될 수 있도록 선량한 관리자로서의 주의를 다하여야 하고(제1항), 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 정보기술부문 및 전자금융업무에 관하여 금융위원회가 정하는 기준을 준수하여야 한다고 정하였다(제2항). 그에 따라 제정된 구 전자금융감독규정(2011.10.10. 금융위원회고시 제2011-18호로 전부 개정되기 전의 것, 이하 같다)의 위임을 받은 구 전자금융감독규정시행세칙(2012.5.24. 전부 개정되기 전의 것) 제9조는 금융기관이 전산자료의 유출, 파괴 등을 방지하기 위하여 수립하여야 할 전산자료 보호대책 중 하나로 ‘정기적으로 보조기억매체의 보유 현황 및 관리실태를 점검하고 관리책임자의 확인을 받을 것’을 정하였다(제1항제7호).
여기에서 말하는 보조기억매체에는 금융기관이 직접 보유·관리하는 것뿐만 아니라, 금융기관의 업무상 필요에 따라 외부로부터 반입된 것도 포함된다. 금융기관이 전자금융거래의 안전성을 확보하여야 할 선량한 관리자로서의 주의의무를 다하기 위해서는 외부로부터 반입한 보조기억매체의 보유 현황 및 관리실태도 정기적으로 점검하고 확인할 필요가 있기 때문이다. 그리고 구 전자금융감독규정 제2조가 보조기억매체를 정의하면서 든 ‘자기테이프, 디스크, 디스켓, 콤팩트디스크(CD) 등’은 예시에 불과하다. 따라서 하드디스크 드라이브를 비롯한 새로운 저장매체도 보조기억매체에 해당한다.
[2] 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라고 한다)은 정보통신분야의 개인정보 보호를 위해 제정된 법률이다. 여기서 규정하는 개인정보 보호조항은 기본적으로 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 상대방으로서의 정보주체를 보호하기 위한 것이다. 정보통신망법 제28조제1항은 정보통신서비스 제공자가 정보통신서비스 이용자의 개인정보를 취급할 때에 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 할 법률적 의무를 규정하고 있다.
정보통신서비스 제공자가 정보주체로부터 개인정보를 최초로 수집할 때 반드시 정보통신서비스를 이용하여 수집하여야 하는 것은 아니다. 그러나 정보통신서비스 제공자가 정보통신망법 제28조제1항에 따라 부담하는 개인정보 보호조치의무는 불특정 다수의 개인정보를 수집·이용하는 경우를 전제로 하는 것이 아니라, 해당 정보통신서비스를 이용하는 이용자의 개인정보 취급에 관한 것이고, 여기서 정보통신서비스라 함은 정보통신서비스 제공자가 정보통신망을 통하여 행하는 각종 정보의 게시·전송·대여·공유 등 일련의 정보 제공 행위를 직접 행하거나 정보를 제공하려는 자와 제공받으려는 자를 연결시켜 정보의 제공이 가능하도록 하는 매개행위를 말한다.
또한 정보통신수단이 고도로 발달된 현대사회에서는 일상생활에서 대부분의 개인정보처리가 정보통신망을 통하여 이루어지고 이를 통해 수시로 정보전송이 일어나는데, 개인정보 보호법을 비롯하여 금융, 전자거래, 보건의료 등 각 해당 분야의 개인정보를 다루는 개별 법령과의 관계나 정보통신망법의 입법 취지와 관련 규정의 내용에 비추어 보면, 이처럼 정보통신망을 활용하여 정보를 제공받거나 정보 제공의 매개 서비스를 이용하는 모든 이용자를 통틀어 정보통신망법에서 예정한 정보통신서비스 이용자에 해당한다고 할 수는 없다.
[3] 신용카드 등 발행·관리 등의 사업을 영위하는 甲 주식회사가 乙 주식회사에 카드사고분석시스템(Fraud Detection System, 이하 ‘FDS’라 한다)의 업데이트에 관한 용역을 의뢰하고, 업무상 필요를 이유로 乙 회사의 직원들에게 신용카드 회원의 개인정보를 제공하였는데, 乙 회사의 직원인 丙이 甲 회사의 사무실에서 업무용 하드디스크에 丁 등을 비롯한 신용카드 회원의 개인정보를 저장하여 사용한 뒤 업무용 하드디스크를 포맷하지 않고 몰래 숨겨서 가지고 나와 자신의 컴퓨터에 위 개인정보를 저장한 후 대출중개 영업 등에 개인정보를 활용할 의도를 가지고 있는 戊에게 전달하였고, 이에 丁 등이 甲 회사를 상대로 개인정보 유출 등으로 인한 손해의 배상을 구한 사안에서, 乙 회사의 직원들이 작업을 위하여 반입한 하드디스크는 甲 회사의 업무상 필요에 따라 甲 회사의 지배 영역에서 관리되고 있었으므로, 甲 회사가 하드디스크의 수량을 파악하거나 포맷 작업을 수행 또는 감독하지 않은 것은 구 전자금융감독규정시행세칙(2012.5.24. 전부 개정되기 전의 것) 제9조제1항제7호의 위반에 해당하고, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라고 한다) 제28조제1항과 같은 법 시행령 제15조에서 규정하고 있는 정보통신서비스 제공자의 기술적·관리적 보호조치 위반에 따른 민법상 불법행위 책임은 정보통신서비스 제공자와 이용자 사이의 정보통신서비스의 이용관계를 전제로 하는데, 유출된 丁 등의 개인정보는 甲 회사와 신용카드 등에 대한 사용 및 금융거래계약을 맺고 신용카드 등을 발급받아 사용하기 위한 목적으로 수집·이용된 개인정보로서 甲 회사의 사무실에 FDS 업데이트를 위하여 반입된 업무용 하드디스크에 저장되어 있다가 유출된 것이므로, 이러한 사실관계만으로는 甲 회사와 丁 등 사이에 정보통신망법상 정보통신서비스 제공자와 이용자의 관계가 성립되었다고 볼 수 없으므로, 위 개인정보 유출사고에 정보통신망법이 적용된다고 할 수 없으나, 甲 회사는 乙 회사에 FDS 업데이트에 관한 용역을 의뢰하고 乙 회사의 직원들에게 신용카드 회원의 개인정보를 제공하여 취급하도록 하는 과정에서 개인정보의 유출을 막기 위한 조치를 취할 주의의무를 다하지 아니한 잘못이 인정되므로 민법상 불법행위에 따른 손해배상책임을 부담한다고 한 사례.
[4] 개인정보를 처리하는 자가 수집한 개인정보가 정보주체의 의사에 반하여 유출된 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해 온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다. 또한 불법행위로 입은 정신적 고통에 대한 위자료 액수에 관하여는 사실심 법원이 제반 사정을 참작하여 그 직권에 속하는 재량에 의하여 확정할 수 있다.
【대법원 2019.9.26. 선고 2018다222303, 222310, 222327 판결】
• 원고, 피상고인 / 별지 원고 명단 기재와 같다.
• 피고, 상고인 / ○○카드 주식회사
• 원심판결 / 서울고법 2018.2.2. 선고 2016나2090012, 2090029, 2090036 판결
<주 문>
상고를 모두 기각한다. 상고비용은 피고가 부담한다.
<이 유>
상고이유를 판단한다.
1. 상고이유 제3점에 대하여
가. 구 전자금융거래법(2013.5.22. 법률 제11814호로 개정되기 전의 것) 제21조는 금융기관이 전자금융거래가 안전하게 처리될 수 있도록 선량한 관리자로서의 주의를 다하여야 하고(제1항), 전자금융거래의 안전성과 신뢰성을 확보할 수 있도록 정보기술부문 및 전자금융업무에 관하여 금융위원회가 정하는 기준을 준수하여야 한다고 정하였다(제2항). 그에 따라 제정된 구 전자금융감독규정(2011.10.10. 금융위원회고시 제2011-18호로 전부 개정되기 전의 것, 이하 같다)의 위임을 받은 구 전자금융감독규정시행세칙(2012.5.24. 전부 개정되기 전의 것, 이하 같다) 제9조는 금융기관이 전산자료의 유출, 파괴 등을 방지하기 위하여 수립하여야 할 전산자료 보호대책 중 하나로 ‘정기적으로 보조기억매체의 보유 현황 및 관리실태를 점검하고 관리책임자의 확인을 받을 것’을 정하였다(제1항제7호).
여기에서 말하는 보조기억매체에는 금융기관이 직접 보유·관리하는 것뿐만 아니라, 금융기관의 업무상 필요에 따라 외부로부터 반입된 것도 포함된다. 금융기관이 전자금융거래의 안전성을 확보하여야 할 선량한 관리자로서의 주의의무를 다하기 위해서는 외부로부터 반입한 보조기억매체의 보유 현황 및 관리실태도 정기적으로 점검하고 확인할 필요가 있기 때문이다. 그리고 구 전자금융감독규정 제2조가 보조기억매체를 정의하면서 든 ‘자기테이프, 디스크, 디스켓, 콤팩트디스크(CD) 등’은 예시에 불과하다. 따라서 하드디스크 드라이브를 비롯한 새로운 저장매체도 보조기억매체에 해당한다.
나. 원심판결 이유와 원심이 채택한 증거에 의하면, 다음과 같은 사실을 알 수 있다.
1) 원고들은 신용카드, 선불카드, 직불카드 발행, 판매와 관리 등의 사업을 영위하는 피고와 신용카드 등에 대한 사용과 금융거래계약을 맺고 신용카드 등을 발급받아 사용하거나 사용하였던 사람들이다.
2) 피고는 2006년 카드 도난·분실 및 위·변조 등으로 인한 이상 거래 또는 부정사용을 탐지하기 위한 카드사고분석시스템(Fraud Detection System, 이하 ‘FDS’라 한다)을 도입한 뒤 정기적인 개선작업을 시행하였다. 피고는 2009.10.경 비아이랩(BILab)에 FDS 업데이트에 관한 용역을 의뢰하였는데, 당시 비아이랩의 직원이었던 소외 1이 프로젝트 총괄 매니저로서 위 업무에 관여하였다.
3) 피고는 업무상 필요를 이유로 비아이랩 직원들에게 피고 회원의 개인정보를 제공하였다. 그런데 피고는 2010.4.경 비아이랩 직원들이 FDS 업데이트를 위하여 피고 사무실에 반입한 컴퓨터에 대해서만 장비반입증을 제출받았을 뿐 반입한 내·외장 하드디스크의 수량을 파악하지 않았고, 위 직원들이 피고 사무실에서 작업을 마치고 철수할 때 하드디스크 포맷을 하라고 지시하였을 뿐 직접 하드디스크를 포맷하거나 포맷 여부를 감독하지 않았다.
4) 소외 1은 피고가 반입되는 하드디스크에 피고 회원의 개인정보가 저장된 채로 반출되지 않도록 철저히 관리·감독하지 않는 것을 틈타, 2010.4.경 피고의 사무실에서 업무용 하드디스크에 원고들을 비롯한 피고 회원 약 1,023만 명의 개인정보를 저장하여 사용한 뒤, 업무용 하드디스크를 포맷하지 않고 몰래 숨겨서 가지고 나와 2010.7.경 자신의 컴퓨터에 위 개인정보를 저장하였다.
5) 소외 1은 2011.1.경 대출중개 영업 등에 개인정보를 활용할 의도를 가지고 있는 소외 2에게 위와 같이 빼내어 온 피고의 회원 약 1,023만 명 중 약 255만 명의 개인정보를 전달하였다.
다. 원심은 2010.4.경 비아이랩 직원들이 작업을 위하여 반입한 하드디스크는 피고의 업무상 필요에 따라 피고의 지배 영역에서 관리되고 있었으므로, 피고가 하드디스크의 수량을 파악하거나 포맷 작업을 수행 또는 감독하지 않은 것은 구 전자금융감독규정시행세칙 제9조제1항제7호의 위반에 해당한다고 보았다.
위와 같은 사실관계를 앞에서 본 법리에 비추어 보면, 원심의 판단에 상고이유 주장과 같이 구 전자금융감독규정시행세칙 제9조에 관한 법리를 오해한 잘못이 없다.
2. 상고이유 제1점에 대하여
가. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라고 한다)은 정보통신분야의 개인정보 보호를 위해 제정된 법률이다. 여기서 규정하는 개인정보 보호조항은 기본적으로 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 상대방으로서의 정보주체를 보호하기 위한 것이다. 정보통신망법 제28조제1항은 정보통신서비스 제공자가 정보통신서비스 이용자의 개인정보를 취급할 때에 개인정보의 안전성 확보에 필요한 기술적·관리적 조치를 취하여야 할 법률적 의무를 규정하고 있다.
정보통신서비스 제공자가 정보주체로부터 개인정보를 최초로 수집할 때 반드시 정보통신서비스를 이용하여 수집하여야 하는 것은 아니다. 그러나 정보통신서비스 제공자가 정보통신망법 제28조제1항에 따라 부담하는 개인정보 보호조치의무는 불특정 다수의 개인정보를 수집·이용하는 경우를 전제로 하는 것이 아니라, 해당 정보통신서비스를 이용하는 이용자의 개인정보 취급에 관한 것이고, 여기서 정보통신서비스라 함은 정보통신서비스 제공자가 정보통신망을 통하여 행하는 각종 정보의 게시·전송·대여·공유 등 일련의 정보 제공 행위를 직접 행하거나 정보를 제공하려는 자와 제공받으려는 자를 연결시켜 정보의 제공이 가능하도록 하는 매개행위를 말한다.
또한 정보통신수단이 고도로 발달된 현대사회에서는 일상생활에서 대부분의 개인정보처리가 정보통신망을 통하여 이루어지고 이를 통해 수시로 정보전송이 일어나는데, 개인정보 보호법을 비롯하여 금융, 전자거래, 보건의료 등 각 해당 분야의 개인정보를 다루는 개별 법령과의 관계나 정보통신망법의 입법 취지와 관련 규정의 내용에 비추어 보면, 이처럼 정보통신망을 활용하여 정보를 제공받거나 정보 제공의 매개 서비스를 이용하는 모든 이용자를 통틀어 정보통신망법에서 예정한 정보통신서비스 이용자에 해당한다고 할 수는 없다.
나. 원심은, 원고들이 피고로부터 발급받은 카드를 이용하여 물품대금 등을 결제하거나 신용대출을 받을 때 가맹점 또는 대출업체에게 카드단말기, 컴퓨터 프로그램, ARS 서비스 등을 통하여 성명 등으로 특정된 결제정보 또는 인적사항을 제공하거나 매개하는 정보통신서비스가 이루어지므로 2010.4.경 발생한 개인정보 유출사고에 정보통신망법이 적용된다고 보았다.
다. 그러나 원심의 위와 같은 판단을 앞서 본 법리에 비추어 보면 다음과 같은 이유로 수긍하기 어렵다.
1) 정보통신망법 적용과 관련하여 원심이 1심을 인용하여 인정한 피고의 개인정보 보호의무 위반의 점은 정보통신망법 제28조제1항과 그 시행령 제15조에서 규정하고 있는 정보통신서비스 제공자의 기술적·관리적 보호조치 위반에 따른 민법상 불법행위 책임이다. 이는 앞서 본 바와 같이 정보통신서비스 제공자와 이용자 사이의 정보통신서비스의 이용관계를 전제로 하는 것이다.
2) 그런데 2010.4.경 개인정보 유출사고에서 유출된 원고들의 개인정보는 피고와 신용카드 등에 대한 사용 및 금융거래계약을 맺고 신용카드 등을 발급받아 사용하기 위한 목적으로 수집·이용된 개인정보로서 피고 사무실에 FDS 업데이트를 위하여 반입된 업무용 하드디스크에 저장되어 있다가 유출된 것이다. 이는 신용카드 회원의 개인정보로서 앞서 본 사실관계만으로는 원고들과 피고 사이에 개인정보 보호에 관한 다른 법령이 적용되는 것은 별론으로 하더라도 정보통신망법상 정보통신서비스 제공자와 이용자의 관계가 성립되었다고 볼 수 없고, 달리 원고들이 피고가 제공하는 홈페이지 서비스에 회원가입 절차를 거쳐 이를 이용하는 등으로 정보통신서비스 이용관계가 있었음을 인정할 증거도 없다.
3) 한편 정보통신망법 제5조에서는 정보통신망 이용촉진 및 정보보호 등에 관하여 다른 법률에서 특별히 규정된 경우에는 그 법률에 따르도록 규정하고 있다. 원고들이 신용카드를 이용하여 물품대금 등 결제서비스나 신용대출서비스를 받는 과정에서 정보통신망을 통하여 개인정보가 제공·이용되는 경우 이러한 개인정보는 신용정보의 이용 및 보호에 관한 법률(이하 ‘신용정보법’이라고 한다)에서 규정하는 신용정보에 해당하여 정보통신망법이 아니라 신용정보법이 적용된다.
4) 따라서 원심이 2010.4.경 개인정보 유출사고에 정보통신망법이 적용된다고 판단하기 위하여는 신용카드 회원인 원고들이 별도로 피고가 제공하는 정보통신서비스를 이용하여 정보통신망법에서 정하는 정보통신서비스 이용자에도 해당하는지를 살폈어야 한다. 따라서 원심판단에는 정보통신망법에 관한 법리를 오해하여 필요한 심리를 다하지 못한 잘못이 있다.
5) 그러나 피고는 앞서 본 바와 같이 비아이랩에 FDS 업데이트에 관한 용역을 의뢰하고 위 회사의 개발인력들에게 피고 카드 회원의 개인정보를 제공하여 취급하도록 하는 과정에서 개인정보의 유출을 막기 위한 조치를 취할 주의의무를 다하지 아니한 잘못이 인정되므로 여전히 민법상 불법행위에 따른 손해배상책임을 부담한다. 결국 원심의 위 잘못은 판결 결과에 영향을 미치지 않았다. 그러므로 이 부분 상고이유 주장은 받아들일 수 없다.
3. 상고이유 제2점에 대하여
가. 개인정보를 처리하는 자가 수집한 개인정보가 정보주체의 의사에 반하여 유출된 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해 온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다(대법원 2012.12.26. 선고 2011다59834, 59858, 59841 판결 등 참조). 또한 불법행위로 입은 정신적 고통에 대한 위자료 액수에 관하여는 사실심 법원이 제반 사정을 참작하여 그 직권에 속하는 재량에 의하여 확정할 수 있다(대법원 1999.4.23. 선고 98다41377 판결 등 참조).
나. 원심은 채택 증거를 종합하여 판시와 같은 사실을 인정하고, 다음과 같은 이유로 사회통념상 원고들에게 개인정보 유출로 인한 정신적 손해가 현실적으로 발생하였다고 판단한 뒤, 제반 사정을 고려하여 피고가 원고들에게 배상하여야 할 위자료를 각 7만 원으로 정하였다.
1) 2010.4.경 개인정보 유출사고에서 유출된 개인정보에는 각 개인에게 유일하고 영구적이며 일신전속적인 성격을 지닌 주민등록번호가 포함되어 있고, 이를 도용한 2차적 피해 발생과 확대의 가능성을 배제하기 어렵다.
2) 유출사고의 전반적 경위 등을 종합해 볼 때 그 전파 및 확산과정에서 이미 제3자에 의해 열람되었거나 앞으로 개인정보가 열람될 가능성이 크다.
다. 정신적 손해 발생 여부에 관한 원심의 위와 같은 판단은 정당하다. 원심이 정한 위자료 액수 또한 형평의 원칙에 현저히 반하여 재량의 한계를 일탈하였다고 인정할 만큼 과다하다고 볼 수 없다. 따라서 원심의 판단에 상고이유 주장과 같이 필요한 심리를 다하지 아니한 채 논리와 경험의 법칙을 위반하여 자유심증주의의 한계를 벗어나거나 개인정보의 유출로 인한 정신적 손해의 발생과 그 증명책임 및 정도에 관한 법리를 오해하고 판례를 위반하는 등의 잘못이 없다.
4. 결론
그러므로 상고를 모두 기각하고, 상고비용은 패소자가 부담하도록 하여 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.
대법관 박상옥(재판장) 안철상 노정희(주심) 김상환