14일 법조계에 따르면, 대법원 2부(주심 오경미 대법관)는 A씨가 지식거래 사이트 해피캠퍼스를 상대로 낸 손해배상 청구 소송에서 원심 원고패소 판결을 지난달 확정했다.
지난 2021년 9월 해피캠퍼스에서 발생한 해킹으로 인해 40만3000여명의 비밀번호·이메일 주소 등 개인정보가 유출되는 사고가 발생했다.
이에 A씨는 해피캠퍼스가 외부 접근 통제를 소홀히 해 개인정보가 유출됐으며 이후 스팸 메일을 받거나 보이스피싱을 비롯한 2차 피해가 우려되는 등 정신적 손해를 입었다고 주장하며 법정손해배상금 30만원과 이에 대한 지연손해금을 지급하라는 손해배상 청구 소송을 제기했다.
현행 개인정보보호법 제39조의2 제1항은 개인정보 유출 등 사고의 법정손해배상 제도를 규정하고 있다.
해당 조문에서는 피해자는 개인정보 유출에 따른 손해를 입증하지 않아도 최대 300만원까지 배상을 청구할 수 있다. 이는 개인정보 사고에서 피해자가 기업을 상대로 구체적인 손해를 입증하기 어렵다는 지적에 따라 지난 2016년 개정된 바 있다.
해피캠퍼스 측은 재판에서 스팸 메일로 인한 피해는 해킹 사고로 이메일 주소가 유출된 것과 관련이 없으며 비밀번호는 암호화돼 2차 피해가 발생할 가능성이 없다고 주장했다.
그러나 이번 소송에서 1·2심과 대법원도 해피캠퍼스의 손해배상책임이 인정되지 않는다며 원고 패소 판결을 내렸다.
대법원은 “법정손해배상을 청구하기 위해 손해 발생 사실을 구체적으로 증명할 필요는 없다”면서도 “손해가 발생하지 않은 것이 분명한 경우까지 손해배상 의무를 인정하려는 것이 해당 조항의 취지는 아니”라고 판시했다.
이어 “개인정보처리자는 정보 주체에게 정신적 손해가 발생하지 않았음을 주장·증명해 법정손해배상 책임을 면할 수 있다”고 설명했다.
특히 대법원은 정신적 손해 발생 여부를 판단할 때 유출된 개인정보의 종류와 성격, 개인정보 주체를 식별할 가능성, 유출된 개인정보의 제3자 열람 여부, 유출된 정보의 확산 범위 등을 고려해 개별적으로 판단해야 한다고 전했다.
또한 해피캠퍼스 유출 사고는 비밀번호가 암호화돼 제3자가 그 내용을 파악하거나 이용했을 가능성이 낮고 이메일 주소나 성명 등 다른 정보와 결합한 상태로 유출되지 않아 정보 주체가 누구인지 식별하기 어렵다고 판단했다.
재판부는 “피고는 이 사건 사고를 인지한 후 유출 정보 내역을 확인한 다음 개인정보보호위원회와 사이버경찰청에 사고 발생사실을 신고하고, 원고에게도 정보유출사실을 통보하고 비밀번호 변경을 요청하는 등 나름의 조치를 했다”며 “이 사건 사고로 금전으로 위자할 정도의 정신적 손해를 입었음을 전제로 하는 원고의 주장을 받아들이기 어렵다”고 말했다.
그러면서 “이 사건에서 이메일 주소가 유출됐다고 해서 정보 주체에게 사생활·명예의 침해나 재산적 피해 등이 발생할 위험성은 낮고, 유출된 개인정보가 영리 목적으로 이용되거나 확산할 위험성도 높지 않아 보인다”고 A씨의 상고를 기각했다.
Copyright ⓒ 투데이코리아 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
