18.

[사례분석] 이루다 AI 1심 판결 해설: 개인정보·민감정보 무단 AI 학습 (판결문 포함)

• 새 탭 열기
• 작성 이력 보기

1. 수집하는 개인정보의 항목 및 수집방법

가. 수집하는 개인정보의 항목

(중략)

- 이용자 상태정보, 이용자 이름, 아이디, 사진, 쿠키, 분석의 대상이 되는 메시지, 방문 일시, 서비스 이용 기록, 불량 이용 기록

(중략)

2. 개인정보의 수집 및 이용목적

가. 연애의 과학의 기본 기능 제공

연애의 과학은 이용자가 동의한 정보를 활용하여 이용자가 주고 받은 메시지 텍스트 파일을 통한 분석 서비스를 제공합니다. 또한 연애의 과학은 이용자의 가입 시에 계정정보를 수집하고 저장하여 이용자의 개인식별을 위한 계정으로 사용하게 됩니다. 이용자 상태정보, 이용자 이름, 아이디, 사진은 이용자에게 더 나은 정보를 제공하기 위해 사용합니다.

(중략)

라. 신규 서비스 개발 및 마케팅∙광고에의 활용

신규 서비스 개발 및 맞춤 서비스 제공, 통계학적 특성에 따른 서비스 제공 및 광고 게재, 서비스의 유효성 확인, 이벤트 및 광고성 정보 제공 및 참여기회 제공, 접속빈도 파악, 회원의 서비스이용에 대한 통계

4. 개인정보의 보유 및 이용기간이용자의 개인정보는 원칙적으로 개인정보의 수집 및 이용목적이 달성되면 지체 없이 파기합니다. 단, 다음의 정보에 대하여는 아래의 이유로 명시한 기간 동안 보존합니다.

(중략)

5. 개인정보 파기절차 및 방법

이용자의 개인정보는 원칙적으로 개인정보의 수집 및 이용목적이 달성되면 지체 없이 파기합니다. 회사의 개인정보 파기절차 및 방법은 다음과 같습니다.

가. 파기절차

- 이용자가 회원가입 등을 위해 입력한 정보는 목적이 달성된 후 별도의 DB로 옮겨져(종이의 경우 별도의 서류함) 내부 방침 및 기타 관련 법령에 의한 정보보호 사유에 따라(보유 및 이용기간 참조)일정 기간 저장된 후 파기됩니다.

- 동 개인정보는 법률에 의한 경우가 아니고서는 보유되는 이외의 다른 목적으로 이용되지 않습니다.

서울동부지방법원 2025. 6. 12. 선고 2021가합104007 판결

주문
 

1. 피고는 별지4-1 목록 기재 원고들에게 각 100,000원, 별지4-2 목록 기재 원고들에게 각 300,000원, 별지4-3 목록 기재 원고들에게 각 400,000원 및 위 각 돈에 대하여 2021. 4. 13.부터 2025. 6. 12.까지는 연 5%의, 그다음 날부터 다 갚는 날까지는 연 12%의 각 비율로 계산한 돈을 지급하라.

2. 제1항 기재 원고들의 나머지 청구와 제1항 기재 원고들을 제외한 나머지 원고들의청구를 각 기각한다.

3. 소송비용 중 별지4-1 목록 기재 원고들과 피고 사이에 생긴 부분은 8분하여 그중 7은 별지4-1 목록 기재 원고들이, 나머지는 피고가 각 부담하고, 별지4-2 목록 기재 원고들과 피고 사이에 생긴 부분은 8분하여 그중 5는 별지4-2 목록 기재 원고들이, 나머지는 피고가 각 부담하며, 별지4-3 목록 기재 원고들과 피고 사이에 생긴 부분은 2분하여 그중 1은 별지4-3 목록 기재 원고들이, 나머지는 피고가 각 부담하고, 제1항 기재 원고들을 제외한 나머지 원고들과 피고 사이에 생긴 부분은 제1항 기재 원고들을 제외한 나머지 원고들이 부담한다.

4. 제1항은 가집행할 수 있다.

청구취지

피고는 원고들에게 각 800,000원 및 위각 돈에 대하여 이 사건 소장 부본 송달일 다음 날부터 다 갚는 날까지 연 12%의 비율로 계산한 돈을 지급하라.

이유

1. 기초사실

가. 당사자들의 지위

1) 피고는 인터넷 서비스업 등을 목적으로 하는 주식회사로, 'K', 'L', 'M'라는 어플리케이션(앱) 서비스(이하 포괄하여 '이 사건 앱'이라 한다)를 운영하였다.

2) 원고들은 이 사건 앱을 이용하는 과정에서 피고에게 자신들의 개인정보가 포함된 카카오톡 어플리케이션 대화내역 등을 제공하였다고 주장하는 사람들이다. 구체적으로 원고들이 이 사건 앱 중 자신들이 이용하였다고 주장하는 앱의 내역은 별지2 표 기재와 같다.

나. 이 사건 앱의 개요 

1) 'L'은 이용자들의 카카오톡 대화내역을 기반으로 대화 상대방과의 '연애관계발전가능성', '호감도' 또는 상대방이 연인이라면 '연애 애착도', '바람기 분석', '대화변화 분석' 등을 분석하기 위해 상대방과의 대화내역들을 피고가 보유하는 심리학 논문 등을 알고리즘화한 연산에 대입하여 그에 따라 도출되는 분석 결과를 알려주거나, 이용자들에게 연애와 관련된 심리학 논문을 기반으로 한 관계 테스트와 연애팁을 제공하는 어플리케이션 서비스이다.

2) 'K'은 'L' 앱이 출시되기 전인 2013년경에 출시되었고, 연애관계를 앞둔 당사자들에 특화된 어플리케이션 서비스이다.

3) 'M'는 'L'이 카카오톡 대화내역을 기반으로 하는 것과 달리 연인들 간에만 사용하는 별도의 메신저 앱인 N의 대화내역을 기반으로 위 1)항의 사항들을 분석하는 어플리케이션 서비스이다.

4) 이 사건 앱은 아래 글상자 기재와 같은 5가지 단계를 거쳐 이용자들의 대화내역을 분석한다.

 
다. 개인정보제공 동의 및 개인정보 수집·보관

1) 피고는 2013. 2. 1.부터 2021. 1. 31.까지 'K' 서비스를 제공하면서 그 이용자 □명의 개인정보를 수집하여 보관하였고, 2016. 5. 9.부터 2021. 1. 31.까지 'L' 서비스를 제공하면서 이용자 □명의 개인정보를 수집하여 보관하였다. 또한 피고는 2020. 12. 22.경 페이스북 기반의 AI 챗봇(인공지능이 빅데이터 분석을 바탕으로 일상 언어로 사람과 대화하며 특정한 작업을 수행하도록 제작된 컴퓨터 프로그램) 'O' 를 출시하고 서비스를 제공하면서, 2021. 1. 12. 기준으로 이용자 □명의 개인정보를 수집하여 보관하고 있었다.

2) 'K'과 'L' 버전 1.0(2019. 4. 14.까지 서비스가 제공된 것)은 이용자가 '이용약관 및 개인정보처리방침에 동의합니다'라는 안내사항이 기재된 체크박스에 체크한 후 회원가입이 가능하도록 하고 있고, 'L' 버전 2.0(2019. 4. 15.부터 서비스가 제공된 것)은 이용자에게 회원가입 시 '로그인함으로써 이용약관 및 개인정보처리방침에 동의합니다'라고 안내하고 있다. 'K'과 'L'의 개인정보처리방침에는 개인정보 수집 항목, 이용 목적, 보유 및 이용기간, 파기 절차 및 방법 등 개인정보 처리에 관한 동의사항이 포함되어 있고, 회원가입 시 안내사항으로 "개인정보처리방침"이라는 글자를 클릭하는 경우에는 팝업을 통해 그 전문을 볼 수 있으나, 이 밖에 개인정보 처리에 관한 동의절차나 다른 안내사항은 없다.

3) 'L'의 개인정보 취급 방침 중 이 사건과 관련된 내용은 아래 글상자 기재와 같다('M'의 개인정보 취급 방침 역시 이와 거의 유사한 내용이다).

4) 피고는 'K'을 1년 이상 사용하지 않은 □명과 'L'을 1년 이상 사용하지 않은 □명의 개인정보를 파기하거나 다른 이용자의 개인정보와 분리하는 등의 조치를 하지 않은 채 이를 보관하였다.

 
라. 피고의 이 사건 앱 이용자들의 카카오톡 대화 수집, 보관 및 인터넷 사이트 게시

1) 피고는 'K'과 'L'에서 카카오톡 대화를 이용한 심리분석 서비스를 제공하였고, 이용자 □명이 2013. 2. 14.부터 2020. 3. 31.까지 사이에 총 □회 카카오톡 대화를 이용한 심리분석을 요청하였다.

2) 위 심리분석 서비스를 이용하기 위하여 카카오톡 대화를 업로드하려면, 이용자는 대화 상대방의 닉네임을 설정하고, 이용자와의 관계(친구, 연인, 배우자, 소개팅 상대, 아는 사람 중 하나)를 입력하여야 하며, 카카오톡의 텍스트 내보내기 기능을 이용하여 카카오톡 대화를 피고에게 전송하거나(□) 피고가 부여한 고객별 전용 이메일로 전송하여야 한다(□). 피고는 전송된 카카오톡 대화를 업로드한 이용자의 프로필명은 'P'로, 대화 상대방의 프로필명은 'Q'로 각 치환하여 'K', 'L'의 각 서비스 DB(데이터베이스)에 저장한다. 이후 전송된 카카오톡 대화 파일 원본은 삭제된다.

3) 피고는 'K'과 'L'의 각 서비스 DB에 저장된 이용자 중 약 600,000명의 회원정보 일부와 카카오톡 대화문장 약 9,400,000,000건을 서비스 DB와 별도의 DB(이하 '학습 DB'라 한다)에 저장하였다. 피고는 'K'과 'L' 이용자가 해당 앱 서비스에서 탈퇴하는 경우 각 서비스 DB에서 이용자의 회원정보와 카카오톡 대화 파일을 모두 파기하였으나, 학습 DB에 저장된 일부 회원정보와 카카오톡 대화 문장은 파기하지 않았다. 학습 DB에 저장된 정보에는 이용자의 로그인 아이디, 닉네임 등의 식별자가 포함되어 있지는 않으나, SHA-256^[2] 해쉬함수로 일방향 암호화된 회원번호, 성별·나이·대화 상대방과의 관계 정보, 카카오톡 대화 문장 등이 변경 없이 원문 그대로 포함되어 있다.

4) 피고는 2019. 10. 19. R ^[3]공개 저장소에 연구성과 공유 목적으로 □^[4] 모델과 함께  100건(1,431건의 대화문장)의 카카오톡 대화(이하 '이 사건 R 대화'라 한다)를 게시하여, 2021. 1. 13. 이를 비공개 처리하기 전까지 R 사이트에 접속한 누구나 이 사건 R 대화를 다운로드할 수 있도록 제공하였다. 이 사건 R 대화 파일 내에는 100건의 각 대화를 구분하는 session id와 발화자의 정보(성별, 관계, 직업)가 기재되어 있고, 성이 포함되지 않은 사람 이름 11건, 구나 동 단위의 지명정보 32건, 성별, 대화 상대방과의 관계(friend, lover 중 하나), 직업(student, collegian, civilian 중 하나) 정보가 포함되어 있으며, 각 대화단위별로 일련의 연속된 대화가 저장되어 있다.

마. 피고의 수집된 카카오톡 대화를 이용한 O 개발

1) 피고는 2020. 2.부터 2020. 12.까지 학습 DB에 저장된 카카오톡 대화 문장 □건을 □^[5], □ 알고리즘^[6]을 통해 학습시켜 AI 챗봇 'O'를 개발하였다. O는 '사람이 되고 싶은 20대 대학생'을 컨셉으로 하여 다양한 주제에 대해 친근하고 자연스럽게 대화를 나눌 수 있는 대화형 AI이다.

2) 피고는 'O'를 개발하기 위한 알고리즘 학습 과정을 거치는 동시에 'O'가 특정한 응답후보군 문장 중에 가장 적절한 문장을 선택하여 발화할 수 있도록 'O'의 응답 DB □건을 구축하였다. 응답 DB는 학습 DB에 저장된 카카오톡 대화 문장 중 20대 여성이 발화한 약 □건의 대화 문장을 추출한 후, 2020. 2. 18.부터 2020. 12. 17.까지의 기간에 걸쳐 피고가 자체 개발한 필터링 모델 등을 이용하여 실명, 장소, 숫자/영문, 선정적 표현이라고 보이는 단어 등이 포함된 대화문장을 반복하여 제거하는 방식으로 구축되었다.

3) 피고는 2020. 12. 22. 경 'O' 서비스를 제공하기 시작하였으나, 개인정보 취급·처리가 부적절했다는 논란이 제기되자 2021. 1. 12.경 'O' 서비스를 잠정 중단하기로 결정하고, 같은 달 15. 개인정보보호위원회와 한국인터넷진흥원의 조사가 종료되는 즉시 'O' DB와 딥러닝 대화 모델의 폐기를 진행한다는 방침을 밝혔다.

바. 개인정보보호위원회의 시정조치 등

1) 개인정보보호위원회는 'O'가 'L' 이용자의 카카오톡 대화를 이용하여 개발되는 등 개인정보를 침해하였다는 언론보도 등을 계기로 2021. 1. 12.부터 2021. 3. 25.까지 피고의 개인정보 취급·운영 실태 및 개인정보 보호 법규 위반 여부를 조사하였다.

2) 개인정보보호위원회는 위 조사 결과를 토대로, 2021. 4. 28. 피고가 구 「개인정보 보호법」 (2023. 3. 14. 법률 제19234호로 개정되기 전의 것 이하 '구 개인정보 보호법'이라 한다) 제22조 제1항, 제22조 제6항, 제23조 제1항, 제21조 제1항, 제39조의6 제1항, 제18조 제1항, 제28조의2 제2항을 각 위반하였다는 이유로 피고에게 'K'과 'L' 회원가입 과정에서의 개인정보 처리 등에 대한 동의 절차 마련, 'O' 개발 및 운영에 이용된 카카오톡 대화 정보 중 회원탈퇴한 이용자의 정보 파기, 'K'과 'L' 1년 이상 미사용자의 개인정보 파기 또는 분리·보관, 이 사건 R 대화 삭제 등의 시정조치를 명하고, 이와 함께 과징금 55,500,000원 및 과태료 47,800,000원을 부과하였다(이하 위 각 시정조치 및 과징금, 과태료 부과를 통틀어 '이 사건 처분'이라 한다).

【인정근거] 다툼 없는 사실, 갑 제1 내지 10, 12, 13, 17, 19, 20, 25, 28 내지 30, 32, 35, 36, 37호증(가지번호 있는 것은 각 가지번호 포함, 이하 같다)의 각 기재, 변론 전체의 취지

2. 관계 법령

별지 3 기재와 같다.

3. 당사자들의 주장

가. 원고들의 주장

1) 개인정보처리자인 피고는 아래에서 보는 바와 같이 구 개인정보 보호법을 위반하였다.

가) 피고는 구 개인정보 보호법 제22조 제1항에 따라 개인정보 처리에 대하여 정보주체의 동의를 받을 때에는 수집·이용 동의, 제3자 제공 동의 등 정보주체가 개인정보 처리에 동의한다는 사실을 명확하게 인지할 수 있도록 각각의 동의사항을 알리고 각각 동의를 받아야 함에도, 이를 제대로 고지하거나 각각 동의를 받지 않았다.

나) 피고는 학습 DB에 저장된 약 94억 건의 카카오톡 대화 문장을 'O' 개발을 위한 학습 과정에 이용하고, 이 중 선별한 응답 DB에 속한 카카오톡 대화 문장을 'O' 서비스 운영에 이용하였다. 이는 개인정보를 수집한 목적 범위를 초과하여 이용한 것으로서 구 개인정보 보호법 제18조 제1항 위반에 해당한다.

다) 피고는 이 사건 앱의 '개인정보 취급방침'에서 '이용자의 개인정보는 원칙적으로 개인정보의 수집 및 이용목적이 달성되면 지체 없이 파기'하되 부정이용을 방지하기 위한 회사 내부 방침에 따라 1년, 관계법령에 따라 3개월, 3년 또는 5년의 보존 기간 동안 예외적으로 개인정보를 보존할 수 있다고 고지하였다. 그러나 피고는 실제로는 원고들에게 카카오톡 대화를 이용한 심리분석 등 서비스를 제공한 이후에도 학습 DB에 카카오톡 대화내역 등을 저장하여 보관하였고, 이 사건 앱에서 탈퇴한 이용자들의 대화내역 등도 삭제하지 않고 저장하여 보관하였다. 이는 구 개인정보 보호법 제21조 제1항 및 제39조의6 제1항 위반에 해당한다.

라) 피고가 수집한 대화내역 속에는 이용자 및 대화상대방의 민감정보^[7] 및 고유 식별정보 등이 다수 포함되어 있었다. 민감정보와 고유식별정보를 처리하기 위해서는 다른 개인정보처리에 대한 동의와 별도로 동의를 받아야 하고, 그중 주민등록번호는 구 개인정보 보호법 제24조의2 제1항 각호의 사유에 해당하지 아니하는 경우에는 어떠한 경우에도 처리할 수 없음에도, 피고는 이용자들의 별도의 동의가 없었고 법령상 예외사유에 해당하지 않음에도 위 민감정보 및 고유식별정보를 수집∙처리함으로써 구 개인정보 보호법 제23조 제1항, 제24조 제1항 및 제24조의2 제1항을 위반하였다.

2) 피고의 위와 같은 구 개인정보 보호법 위반 행위로 인해 원고들은 개인정보가 유출되는 등의 손해를 입었다. 따라서 피고는 구 개인정보 보호법 제39조 또는 민법 제750조에 따라 원고들의 손해를 배상할 의무가 있는바, 원고들은 그중 정신적 손해에 관한 명시적 일부청구로서 위자료 각 800,000원의 배상 및 그에 대한 지연손해금의 지급을 구한다.

나. 피고의 주장

1) 각 원고들이 피고의 어떠한 구 개인정보 보호법 위반 행위로 인하여 자신의 어떠한 개인정보가 유출되었는지를 개별적으로 주장. 증명할 책임이 있으나, 그에 대한 주장·증명이 부족하다.

2) 다음과 같은 이유에서 피고는 구 개인정보 보호법을 위반하지 않았다.

가) 피고는 다른 회사들이 운영하는 앱 서비스의 선례에 비추어 적절하다고 여겨지는 방식으로 개인정보 처리에 대하여 정보주체에게 알려야 하는 사항을 모두 알리고 그에 대한 정보주체의 동의를 얻었는바, 구 개인정보 보호법 제22조 제1항을 위반하였다고 볼 수 없다.

나) 'O'의 응답 DB 구축 및 'O' 운영 과정에서 이용된 이 사건 앱 이용자들의 정보는 일방향 암호화되어 있는바 '시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보'에 해당하여 구 개인정보 보호법 제58조의2에 따라 동법의 적용을 받지 않거나, 다른 추가 정보의 사용∙결합 없이는 특정 개인을 알아볼 수 없는 가명정보(동법 제2조 제1호 다목)에 해당하여 동법 제28조2에 따라 과학적 연구 등을 위하여 정보주체의 동의 없이 처리할 수 있다. 나아가 'O'는 기존의 'K' 및 'L' 앱 서비스와 그 구조나 내용의 측면에서 별다른 차이가 없으므로, 'O' 학습 DB 및 응답 DB의 구축 및 운영은 피고가 개인정보 취급 방침을 통해 이 사건 앱 이용자들에게 알린 '신규 서비스 개발'이라는 개인정보의 수집·이용 목적 범위에 포함된다. 따라서 이는 구 개인정보 보호법 제18조 제1항 위반에 해당하지 않는다.

다) 'O'의 학습 DB 및 응답 DB의 구축 및 운영은 '신규 서비스 개발'로서 이 사건 앱의 개인정보 수집·이용 목적에 포함되므로, 'O'의 학습 및 운영을 위해 위 정보가 계속 사용되고 있는 이상 그 이용 목적이 달성되었다고 보기 어렵다. 따라서 피고가 이를 파기하지 않았다고 하더라도, 구 개인정보 보호법 제21조 제1항 및 제39조의6 제1항을 위반하였다고 볼 수 없다.

라) 피고는 적극적으로 이용자로부터 민감정보 등을 수집한 바 없고 단지 이용자가 제공한 카카오톡 대화내역에 일부 민감정보가 포함되어 있었을 뿐이므로, 구 개인정보 보호법 제23조 제1항 등을 위반하였다고 볼 수 없다.

3) 피고가 구 개인정보 보호법을 위반하였다고 하더라도, 그로 인해 원고들에게 정신적 손해가 발생하였다는 점에 대한 증명이 부족하다.

4. 피고가 개별 원고들에 대하여 구 개인정보 보호법 위반 행위를 하였음이 인정되는지 여부에 관한 판단

가. 관련 법리

「개인정보 보호법」제39조 제1항은 "정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다."라고 규정하고 있다. 이 규정은 정보주체가 개인정보처리자의 「개인정보 보호법」 위반행위로 입은 손해의 배상을 청구하는 경우에 개인정보처리자의 고의나 과실을 증명하는 것이 곤란한 점을 감안하여 그 증명책임을 개인정보처리자에게 전환하는 것일 뿐이고, 개인정보처리자가 「개인정보 보호법」을 위반한 행위를 하였다는 사실 자체는 정보주체가 주장∙증명하여야 한다(대법원 2024. 5. 17. 선고 2018다262103 판결 참조).

나. 구체적 판단

1) 별지4-1, 4-2, 4-3 각 목록 기재 원고들을 제외한 나머지 원고들(총 153명)의 경우, 제출된 증거들만으로는 위 원고들이 이 사건 앱을 통하여 카카오톡 대화 내용 등을 피고에게 제공하였다거나 피고에게 제공한 카카오톡 대화 내용에 그 개인정보가 포함되어 있었다고 인정하기 부족하고, 달리 이를 인정할 증거가 없다. 따라서 피고가 위 원고들에 대하여는 구 개인정보 보호법을 위반한 행위를 하였다고 보기 어려우므로, 위 원고들의 청구는 더 나아가 살필 필요 없이 이유 없다.

이에 대하여 위 원고들은, 개인정보보호위원회가 이 사건 처분에서 피고가 이 사건앱 이용자들 모두에 대해 구 개인정보 보호법을 위반한 사실을 확정한 점에 비추어 보면 이 사건에서도 피고가 위 원고들에 대하여 구 개인정보 보호법을 위반하였음이 증명되었다고 주장한다. 그러나 이 사건 처분은 피고에 대하여 시정조치를 명하고 과징금, 과태료를 부과하면서 피고가 불특정 다수의 이 사건 앱 이용자들에 대해 구 개인정보 보호법을 위반한 것을 그 사유로 제시하는 취지로 보일 뿐 이 사건의 원고들(총 246명) 개개인 모두가 피고의 구 개인정보 보호법 위반 행위의 상대방에 해당한다는 사실까지 인정한 것으로 보기는 어려우므로, 이 사건 처분서의 기재만으로 피고의 위 원고들에 대한 구 개인정보 보호법 위반 행위의 존재가 증명되었다고 볼 수는 없다. 위 원고들의 이 부분 주장은 이유 없다.

2) 그러나 앞서 든 증거 및 변론 전체의 취지를 종합하여 보면, 별지4-1, 4-2, 4-3 각 목록 기재 원고들(총 93명)은 피고에게 별지5 표 기재와 같이 그 개인정보가 포함된 카카오톡 대화 내용을 제공하였다고 인정되는바, 이하 별지4-1, 4-2, 4-3 각 목록 기재 원고들(이하 통틀어 '이 사건 피해 원고들'이라 한다)에 한정하여 피고의 구 개인 정보 보호법 위반 여부 및 그에 따른 불법행위 성립 여부와 그로 인한 손해 발생 여부 등에 관하여 본다.


5. 피고의 구 개인정보 보호법 위반 여부 및 그에 따른 불법행위 성립 여부에 관한 판단

 
가. 구 개인정보 보호법 제22조 제1항 위반 여부

1) 앞서 든 증거 및 변론 전체의 취지를 종합하여 알 수 있는 다음과 같은 사실 내지 사정 등을 종합하면, 피고가 이 사건 피해 원고들에게 개인정보 동의사항을 명확하게 인지·확인할 수 있게 고지하거나 이 사건 피해 원고들로부터 그에 대한 실질적인 동의를 받지 않았다고 봄이 타당하다.

가) 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리를 말하고, 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다(대법원 2014. 7. 24. 선고 2012다49933 판결, 대법원 2016. 8. 17. 선고 2014다235080 판결 등 참조). 구 개인정보 보호법 제22조는 개인정보처리자가 개인정보 처리에 대하여 정보주체의 동의를 받을 때에는 개인정보 수집·이용 동의, 제3자 제공 동의 등 각각의 동의사항을 구분하여 정보주체에게 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받도록 하고 있는바, 이는 정보주체의 개인정보자기결정권 행사를 보장하기 위한 규정이라 할 것이므로, 구 개인정보 보호법 제22조에 따라 요구되는 정보주체의 동의는 실질적인 것이어야 한다. 

나) 그런데 앞서 본 바와 같이, 피고는 2013. 2. 1.부터 2021. 1. 31.까지 K에서 이용자들의 개인정보(성별, 이메일 주소, 직업, 비밀번호 등)를 수집하고 2016. 5. 9.부터 2021. 1. 31.까지 L에서 이용자들의 개인정보(성별, 이메일 주소 또는 소셜 ID, 비밀번호, 연령 등)를 수집하면서, 개인정보를 입력하고 '이용약관 및 개인정보처리방침에 동의합니다'라는 안내사항에 체크한 경우 개인정보 처리에 동의한 것으로 보거나, '로그인함으로써 이용약관 및 개인정보처리방침에 동의합니다'라는 안내사항만을 보여주고 이용자가 개인정보를 입력 완료하는 경우 동의한 것으로 간주하고, 별도의 개인정보 처리에 관한 동의를 받지 않았다.

다) 이용자의 동의가 형식적이지 않고 실질적인 것이었다고 보려면 미리 법정 고지사항에 관하여 일반적으로 예상되는 방법을 사용하여 이해하기 쉽고 명확하게 표시하여 이를 이용자에게 알린 상태에서 동의를 받은 것이라고 평가할 수 있어야 할 것인데, 이 사건 피해 원고들은 별도로 개인정보 처리 방침을 클릭하여야만 팝업창을 통하여 해당 내용을 확인할 수 있었거나, 피고로부터 "로그인함으로써 이용약관 및 개인정보처리방침에 동의합니다"라는 일방적인 안내만 받았을 뿐이다.

2) 따라서 피고는 구 개인정보 보호법 제22조 제1항을 위반하였다.

나. 구 개인정보 보호법 제18조 제1항 위반 여부

1) 앞서 든 증거 및 변론 전체의 취지를 종합하여 알 수 있는 다음과 같은 사실 내지 사정 등을 종합하면, 피고가 'O' 서비스와 관련하여 구 개인정보 보호법 제58조의2 또는 제28조의2에 따라 이 사건 피해 원고들의 동의 없이 그 개인정보를 처리할 수 있었다고 보기는 어렵다.

가) 피고가 'O' 개발을 위해 구축한 학습 DB에는 회원정보 일부(SHA-256 해쉬 함수로 일방향 암호화된 회원번호, 성별·나이·대화 상대방과의 관계 정보)와 카카오톡 대화 문장이 저장되어 있었고, 저장된 카카오톡 대화 문장 중에는 이 사건 피해 원고들의 이름, 휴대전화 번호, 집 주소, 현관 비밀번호, 계좌번호 등의 개인정보가 포함된 부분도 있으며, 그 외에도 이 사건 피해 원고들의 직업이나 인간관계 등을 추정할 수 있는 발화가 다수 확인된다. 이 점에서 학습 DB에 저장된 정보는 적절한 시간·비용·기술 등을 들여 다른 추가적인 정보와의 결합 등을 통해 특정 개인의 동일성을 식별하는 데 충분히 사용할 수 있다고 보이는바, 구 개인정보 보호법 제58조의2에 따라 같은 법의 적용을 받지 않는다고 보기 어렵다.

나) 과학적 연구 등을 위하여 정보주체의 동의 없이 처리할 수 있는 가명정보란 '성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보' 또는 '다른 정보와 쉽게 결합하여 알아볼 수 있는 정보'를 '가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용∙결합 없이는 특정 개인을 알아볼 수 없는 정보'를 의미하고, 여기서 가명처리란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다(구 개인정보 보호법 제2조 제1호, 제1호의2). 따라서 개인정보처리자가 과학적 연구 등을 목적으로 정보주체의 동의 없이 처리할 수 있는 가명정보라고 보기 위해서는, 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 하는 조치가 취해져야 한다.

그런데 피고는 'O' 개발에 학습 DB에 저장된 정보를 이용하면서 그중 회원번호는 일방향 암호화하였으나, 카카오톡 대화 문장에 대해서는 위 가)항에서 본 바와 같이 다수의 개인정보가 포함되어 있었음에도 그 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 조치를 취함으로써 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 하는 가명처리를 하지 않은 것으로 보인다. 따라서 이를 구 개인정보 보호법이 정한 '가명정보'에 해당한다고 볼 수 없다.

뿐만 아니라, 구 개인정보 보호법에서 말하는 과학적 연구란 기술의 개발과 실증, 기초연구, 응용연구 및 민간 투자 연구 등 과학적 방법을 적용하는 연구를 의미하는데(제2조 제8호), 'O' 서비스의 내용은 응답 DB에 포함된 문장 중 이용자의 질문에 대한 대답으로 가장 적절한 것을 골라 발화되도록 하는 것으로서 이를 구축하는 데 개인정보를 이용한 것이 과학적 연구를 위한 것이라고 보기 어렵다는 점에서도 구 개인정보 보호법 제28조의2에 따라 정보주체의 동의 없이 개인정보를 처리할 수 있는 경우에 해당한다고 보기 어렵다.

2) 그리고 앞서 든 증거 및 변론 전체의 취지를 종합하여 알 수 있는 다음과 같은 사실 내지 사정 등을 종합하면, 피고는 이 사건 피해 원고들의 개인정보를 그 수집∙이용 목적 범위를 초과하여 이용하였다고 봄이 타당하다.

가) 앞서 살펴본 바와 같이 'L'은 이용자들의 카카오톡 대화내역을 기반으로 대화 상대방과의 '연애관계발전가능성', '호감도' 또는 상대방이 연인이라면 '연애 애착도', '바람기 분석', '대화변화분석' 등을 분석하기 위해 상대방과의 대화내역들을 피고가 보유하는 심리학 논문 등을 알고리즘화한 연산에 대입하여 그에 따라 도출되는 분석 결과를 알려주거나 이용자들에게 연애와 관련된 심리학 논문을 기반으로 한 관계 테스트와 연애팁을 제공하는 앱 서비스이고, 'K'은 '연애관계를 앞둔 당사자들을 위하여 특화된 앱 서비스로서 위 앱 서비스 모두 연인 또는 연애관계를 앞둔 당사자들을 위한 앱 서비스이다. 반면 'O'는 페이스북 기반의 AI 챗봇으로서 일상적인 대화를 나눌 수 있는 대화형 AI인바, 이를 연인 또는 연애관계를 위한 'K', 'L' 등 앱 서비스와 유사하다거나 위 앱 서비스를 수행하기 위하여 수반되는 신규서비스라고 보기는 어렵다.

나) 앞서 본 바와 같이 피고는 이 사건 피해 원고들에게 개인정보 처리 관련 동의사항을 명확하게 인지∙확인할 수 있게 고지하거나 이 사건 피해 원고들로부터 그에 대한 실질적인 동의를 받지 않았다고 보이는바, 이 사건 피해 원고들이 '신규 서비스 개발' 목적의 처리에 동의한다는 사실을 명확히 인지할 수도 없었을 것으로 보인다. 뿐만 아니라, 개인정보 처리 방침의 '신규 서비스 개발'이라는 기재만으로 'K'이나 'L' 앱에서 수집된 카카오톡 대화가 성격· 기반 플랫폼. 이용 대상 등이 본질적으로 다른, AI 챗봇인 'O'의 개발·운영에 이용될 것이라는 점을 이 사건 피해 원고들이 합리적으로 예상할 수 있었다고 보기도 어렵다.

다) 피고는 개인정보처리방침에 '신규 서비스 개발' 목적을 명시한 것 외에 카카오톡 대화문장을 'O' 학습과 운영을 위하여 이용하는 것에 대하여 이 사건 피해 원고들로부터 별도의 동의를 받은 사실이 없다.

라) 한편 구 개인정보 보호법 제15조 제3항에 따라 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체의 불이익, 안전성 확보조치 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보의 추가적인 이용이 허용되기는 하나, 앞서 본 바와 같이 'O'는 'K'이나 'L'과는 본질적으로 다른 성격의 서비스로서 그 개발 및 운영이 당초의 개인정보 수집 목적과 관련성이 있다고 인정하기 어렵고, 'O' 개발과 운영에 개인정보를 추가적으로 이용하는 것에 대한 이용자의 예측 가능성이 낮다는 점에서 정보주체에게 불이익이 발생할 우려도 크므로, 구 개인정보 보호법 제15조 제3항에 따라 합리적으로 관련된 범위에서 추가적인 이용이 허용되는 경우라고 보기도 어렵다.

3) 따라서 피고는 구 개인정보 보호법 제18조 제1항을 위반하였다.

다. 구 개인정보 보호법 제21조 제1항, 제39조의6 제1항 위반 여부

1) 앞서 든 증거, 갑 제21호증의 기재 및 변론 전체의 취지를 종합하여 알 수 있는 다음과 같은 사실 내지 사정 등을 종합하면, 피고는 피고가 주장하는 개인정보 파기의 예외사유에 해당하지 않음에도 탈퇴자, 장기간 미이용자의 개인정보 처리목적이 달성된 개인정보 등을 파기하지 않은 사정이 인정된다.

가) 앞서 본 바와 같이 피고는 'K'과 'L' 이용자가 해당 앱 서비스에서 탈퇴하는 경우 각 서비스 DB에서 이용자의 회원정보와 카카오톡 대화파일을 모두 파기하였으나 학습 DB에 저장된 일부 회원정보(SHA-256 해쉬함수로 일방향 암호화된 회원번호, 성별∙나이∙대화 상대방과의 관계 정보)와 카카오톡 대화 문장 등은 파기하지 않았고, 'K'을 1년 이상 사용하지 않은 □명과 'L'을 1년 이상 사용하지 않은 □명의 개인정보를 파기하거나 다른 이용자의 개인정보와 분리하는 등의 조치를 하지 않은 채 이를 보관하였다.

나) 앞서 살펴본 바와 같이 'O' 학습 DB 및 응답 DB의 구축 및 운영이 신규 서비스의 개발로서 기존의 개인정보 수집·이용 동의 범위에 포함된다고 볼 수 없음에도, 피고는 이 사건 앱에서 탈퇴한 사람이나 1년 이상 그 서비스를 이용하지 않은 사람의 개인정보를 파기하거나 분리 저장하는 등의 조치를 취하지 않은 채 이를 계속 사용하였다.

다) 피고는 'O' 서비스로 인한 개인정보 유출에 대한 논란이 제기되자, 2021. 1. 20.경 'L' 앱에 "신청하시면 이용자의 카톡 데이터는 DB에서 전부 삭제되며 향후 딥러닝 대화 모델 학습에도 이용되지 않습니다."라는 문구와 함께 "모든 정보 삭제/L에 입력한 카톡 데이터 원본, 이용내역, 보유 코인 및 모든 회원 정보가 삭제됩니다. 제출 즉시 탈퇴 처리됩니다." 또는 "대화 데이터 삭제/유저님께서 L에 입력한 카톡 데이터 원본이 삭제됩니다. 해당 데이터 삭제는 1월 21일부터 진행됩니다."를 선택하도록 하는 내용의 공지를 올리기도 하였다. 피고의 주장과 같이 개인정보의 수집·이용 목적이 달성되지 않아 피고가 자신의 DB에 보관된 정보를 계속 이용할 수 있었다면, 피고가 위와 같은 조치를 취할 필요가 없다.

2) 따라서 피고는 구 개인정보 보호법 제21조 제1항, 제39조의6 제1항을 위반하였다.

라. 구 개인정보 보호법 제23조 제1항 위반 여부

1) 앞서 든 증거 및 변론 전체의 취지를 종합하면, 별지4-2 및 4-3 각 목록 기재 원고들이 피고에게 제공한 카카오톡 대화 문장 중에는 별지5 표 기재와 같이 발화자의 사상∙신념, 건강, 성생활에 관한 정보 등 구 개인정보 보호법 제23조 제1항이 정한 민감정보에 관한 내용이 포함되어 있었던 사실이 인정된다. 그럼에도 피고는 위와 같은 민감정보의 처리에 관하여 위 원고들에게 구 개인정보 보호법 제15조 제2항, 제17조 제2항이 정한 사항을 알리거나 위 원고들로부터 동의를 받지 않았다.

따라서 피고는 별지4-2 및 4-3 각 목록 기재 원고들에 대하여 구 개인정보 보호법 제23조 제1항을 위반하였다.

2) 그러나 별지4-1 목록 기재 원고들의 경우 제출된 증거들만으로는 해당 원고들이 피고에게 제공한 카카오톡 대화 문장 중에 민감정보에 관한 내용이 포함되어 있었다는 점을 인정하기 부족하고, 달리 이를 인정할 증거가 없다.

따라서 별지4-1 목록 기재 원고들의 이 부분 주장은 이유 없다.

마. 구 개인정보 보호법 제24조 제1항, 제24조의2 제1항 위반 여부

제출된 증거들만으로는 이 사건 피해 원고들이 피고에게 제공한 카카오톡 대화 내용에 주민등록번호 등 고유식별정보가 포함되었다고 인정하기 부족하고, 달리 이를 인정할 증거가 없다.

따라서 이 사건 피해 원고들의 이 부분 주장은 이유 없다.

바. 소결론

피고는 이 사건 피해 원고들에 대한 관계에서 구 개인정보 보호법 제22조 제1항, 제18조 제1항, 제21조 제1항 및 제39조의6 제1항을 위반하였고, 같은 원고들 중 별지 4-2 및 4-3 각 목록 기재 원고들에 대해서는 제23조 제1항도 위반하였으며, 이는 특별한 사정이 없는 한 불법행위에 해당한다.

따라서 피고는 구 개인정보 보호법 제39조, 민법 제750조에 따라 이 사건 피해 원고들이 손해를 입었다면 이를 배상할 의무가 있다.

6. 손해의 발생 여부에 관한 판단

가. 관련 법리

개인정보를 처리하는 자가 수집한 개인정보를 그 피용자가 해당 개인정보의 정보 주체의 의사에 반하여 유출한 경우, 그로 인하여 그 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지 여부는, 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보의 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 그 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보의 유출로 추가적인 법익침해의 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보의 유출로 인한 피해의 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다(대법원 2012. 12. 26. 선고 2011다59834, 59858, 59841 판결 참조).

나. 구체적 판단

앞서 든 증거 및 변론 전체의 취지를 종합하여 알 수 있는 다음과 같은 사실 내지 사정 등을 종합하면, 이 사건 피해 원고들이 피고의 구 개인정보 보호법 위반 행위로 인해 정신적 고통을 받았을 것임을 충분히 인정할 수 있다.

1) 이 사건 피해 원고들은 개인정보 수집·이용 목적 등 피고의 개인정보 처리에 관한 사항에 대해 실질적으로 동의권을 행사하지 못한 상태에서 이름, 휴대전화번호, 집 주소 등 개인의 사생활을 현저하게 침해할 우려가 있는 개인정보를 제공하거나(별지4-1, 4-3 각 목록 기재 원고들의 경우), 사상·신념, 건강, 성생활에 관한 정보 등 민감정보를 제공하였다(별지4-2, 4-3 각 목록 기재 원고들의 경우).

2) 피고는 이 사건 피해 원고들의 개인정보가 포함된 카카오톡 대화 문장을 원문 그대로 학습 DB에 저장하고, 개인정보 수집·이용 목적 범위를 초과하여 'O' 서비스를 개발하면서 '사람이 되고 싶은 20대 대학생'이라는 'O'의 컨셉에 맞추어 이 사건 피해 원고들이 주로 속한 성별과 연령대의 카카오톡 대화 문장을 추출하여 응답 DB를 구성하였으며, 1년이 넘는 기간 동안 R에 이 사건 R 대화를 게시하여 누구나 이를 다운로드받을 수 있도록 하였다. 그리고 이 사건 처분에서 'O' 서비스의 이용자에게 발화되는 카카오톡 대화 문장이 있는 응답 DB에 상세주소 1건과 휴대전화번호 20건이 확인되었음이 인정되었고, 'O' 서비스의 이용자들로부터 은행계좌, 예금주, 주소 등의 개인정보가 포함된 대화 문장이 발화되었다는 경험담이 알려지기도 하였다. 이 점에서 이 사건 피해 원고들이 피고에게 제공한 개인정보는 피고의 임직원, R에 접속한 불특정 다수, 'O' 서비스의 이용자 등 수집·이용 목적 범위를 초과한 이용을 함으로써 개인정보에 대한 권한을 가지지 못한 피고의 관련자 또는 피고와 전혀 무관한 제3자가 열람하였거나 열람할 가능성이 있는 상태가 되었다고 할 것이고, 그 개인정보의 성격 및 내용에 비추어 볼 때 개인정보의 위와 같은 노출가능성으로 인한 추가적인 법익침해 가능성도 높다고 할 것이다. 이에 따라 이 사건 피해 원고들은, 자신들의 의사와 무관하게 자신들의 개인정보를 제3자가 알게 되었을 수 있다는 불안감 또는 자신들의 개인정보가 피고의 영리활동에 이용되었다는 불쾌감을 갖게 되었다고 보인다(다만, 이 사건 피해 원고들이 제공한 카카오톡 대화 문장이 제3자에게 유출된 이 사건 R 대화, 개인정보가 포함된 응답 DB의 대화 문장, 'O' 서비스 이용자에게 발화된 대화 문장 등에 포함되었는지까지는 확인되지 않으므로, 이 사건 피해 원고들이 입은 손해의 정도는 위 인정범위 내에서만 인정한다).

3) 피고는 이 사건 피해 원고들을 비롯한 이 사건 앱 이용자들로부터 개인정보 처리에 관하여 실질적으로 동의를 받거나, 수집한 개인정보에 대해 가명처리를 하거나, 이 사건 앱에서 탈퇴한 사람 및 이를 장기간 이용하지 않은 이용자들의 개인정보에 대해 파기나 분리 보관 등의 적절한 조치를 취하지 않는 등, 이 사건 앱과 'O' 서비스를 운영해 오면서 개인정보 보호 법규에서 요구하는 개인정보처리자로서의 의무를 제대로 이행하지 않은 것으로 보인다.

7. 손해배상 책임의 범위에 관한 판단

가. 관련 법리

불법행위로 입은 정신적 고통에 대한 위자료 액수에 관하여는 사실심 법원이 여러 사정을 참작하여 그 직권에 속하는 재량에 의하여 확정할 수 있다(대법원 1999. 4. 23. 선고 98다41377 판결 참조).

 
나. 구체적 판단

1) 앞서 든 증거 및 변론 전체의 취지를 종합하여 보면, 이 사건에서 위자료 산정에 참작할 만한 사정으로는 다음과 같은 것들이 있다.

가) 우선 피고 측에 불리한 요소로는, ① 피고는 개인정보처리자로서 개인정보 보호 법규의 수범자임에도 개인정보 수집에 대한 동의 절차와 관련하여 개인정보 보호 법규에 대한 면밀한 고려를 하지 않았다고 보이는 점, ② 이용자들의 개인정보가 포함된 카카오톡 대화 문장에 대해 정보주체의 명시적 동의를 받거나 가명처리하려는 노력도 기울이지 않은 채 이를 수집 목적 외로 이용한 점, ③ 민감정보를 처리하면서도 이에 관해 이용자들에게 고지하거나 동의를 받는 절차를 전혀 두지 않은 점, ④ 피고는 이 사건 피해 원고들을 비롯한 여러 이용자들의 민감정보를 비롯한 개인정보를 이 사건 앱과 'O' 서비스 운영 등 자신의 사업에 영리 목적으로 이용하였고 그 과정에서 상당한 이익을 얻은 것으로 보이는 점 등을 들 수 있다.

나) 다음으로 피고 측에 유리한 요소로는, ① 피고는 개인정보처리자로서 개인정보를 활용할 필요성이 있었던 점, ② 피고는 'K'과 'L' 이용자가 해당 앱 서비스에서 탈퇴하는 경우 각 서비스 DB에서는 이용자의 회원정보와 카카오톡 대화 파일을 파기한 점, ③ 피고는 'O' 서비스에 대한 논란이 제기되자 서비스 개시 3주 만에 이를 중단하고 이후 개인정보보호위원회의 법규 위반 여부 조사에 적극 협력하였다고 보이는 점, ④ 정신적 손해 외에 이 사건 피해 원고들에게 추가적인 손해가 발생하였다고 볼 만한 자료가 없는 점 등을 들 수 있다.

2) 그리고 민감정보가 아닌 개인정보로 인하여 손해가 발생한 원고들(별지4-1 목록 기재 원고들), 민감정보로 인하여 손해가 발생한 원고들(별지4-2 목록 기재 원고들), 민감정보가 아닌 개인정보와 민감정보 모두로 인하여 손해가 발생한 원고들(별지4-3 목록 기재 원고들)에 대한 위자료 액수에 차등을 두는 것이 타당하다고 보이는바, 여기에 앞서 본 요소 등 변론에 나타난 제반 사정을 종합하여 별지4-1 목록 기재 원고들에 대한 위자료는 각 100,000원, 별지4-2 목록 기재 원고들에 대한 위자료는 각 300,000원, 별지4-3 목록 기재 원고들에 대한 위자료는 각 400,000원으로 정한다.

다. 소결론

따라서 피고는 구 개인정보 보호법 위반 행위로 인한 손해배상으로서 구 개인정보 보호법 제39조, 민법 제750조에 따라 별지4-1 목록 기재 원고들에게 각 100,000원, 별지4-2 목록 기재 원고들에게 각 300,000원, 별지4-3 목록 기재 원고들에게 각 400,000원 및 각 이에 대하여 이 사건 피해 원고들이 구하는 바에 따라 이 사건 소장 부본 송달일 다음 날인 2021. 4. 13.부터 피고가 그 이행의무의 존부나 범위에 관하여 항쟁함이 타당한 이 판결 선고일인 2025. 6. 12.까지는 민법이 정한 연 5%의, 그다음 날부터 다 갚는 날까지는 소송촉진 등에 관한 특례법이 정한 연 12%의 각 비율로 계산한 지연손해금을 지급할 의무가 있다.

8. 결론

그렇다면 이 사건 피해 원고들의 청구는 각 위 인정 범위 내에서 이유 있어 인용하고, 이 사건 피해 원고들의 나머지 청구와 이 사건 피해 원고들을 제외한 나머지 원고들의 청구는 각 이유 없으므로 기각하기로 하여 주문과 같이 판결한다.

재판장 판사 조용래

              판사 신연석

              판사 성현창

별지 1

원고들 목록

(편집자 주: 생략)

별지2

원고들이 이용하였다고 주장하는 앱의 내역

(편집자 주: 생략)

별지3

관계 법령

▣ 구 개인정보 보호법(2023. 3. 14. 법률 제19234호로 개정되기 전의 것)

(편집자 주: 각 상세 조문 생략)

별지4-1

민감정보가 아닌 개인정보로 손해가 발생한 원고들(26명)

(편집자 주: 생략)

별지4-2

민감정보로 인하여 손해가 발생한 원고들(23명)

(편집자 주: 생략)

별지4-3

민감정보가 아닌 개인정보와 민감정보 모두로 인하여 손해가 발생한 원고들(44명)

(편집자 주: 생략)

별지5

이 사건 피해 원고들의 개인정보 및 인용액 내역

(편집자 주: 생략)