164.

개인정보 유출 손해배상 소송 방어 사례 - 처리 과정 참여만으로는 공동불법행위 책임 미성립을 주장하여 대법원 최종 전부승소

• 새 탭 열기
• 작성 이력 보기

<핵심 요약>
법무법인 민후가 IT 기업을 대리하여 개인정보 유출 손해배상 소송에서 최종 승소한 성공 사례이다. 민후는 해당 기업이 불법적인 제3자가 아닌, 적법한 위탁계약에 따른 '수탁자'임을 성공적으로 입증했다. 이에 피고의 고의·과실 및 원고의 손해 발생이 입증되지 않아 청구는 최종 기각되었다.

1. 사실 관계
법무법인 민후의 의뢰인은 공동주택 관리 ERP 시스템을 개발 및 공급하는 IT 기업으로, 본 사건에서 피고 중 한 곳(피고 4)으로 소송에 대응하였다.

원고는 특정 아파트 입주자로서, 아파트 관리 시스템 교체 과정에서 의뢰인을 포함한 피고들이 자신의 개인정보를 무단으로 수집·이용 및 외부에 유출하는 공동불법행위를 저질렀다고 주장하며 손해배상을 청구하였다.

원고의 주장은, 기존 관리 시스템을 의뢰인의 프로그램으로 변경하는 과정에서 아파트 관리업체가 제3자와의 용역계약을 체결하고, 의뢰인에게 개인정보를 전달했으며, 의뢰인이 이러한 사실을 알면서도 개인정보를 수령하여 이용했으므로 개인정보보호법을 위반했다는 것이다.

2. 이 사건 관련 법조

① 개인정보 보호법 제17조 제1항

개인정보 처리자는 정보주체의 동의 없이 개인정보를 제3자에게 제공할 수 없다.

② 개인정보 보호법 제71조(벌칙)

개인정보의 부정한 수집, 제공 등이 있었을 경우 형사처벌 및 손해배상 책임이 발생할 수 있음.

③ 민법 제750조 (불법행위)

타인에게 손해를 가한 자는 손해배상의 책임을 진다.

3. 이 사건의 쟁점

(1) 의뢰인이 실제 개인정보를 제공받았는지 여부

본 사안의 핵심 쟁점은 원고의 개인정보가 실제로 의뢰인에게 '제공'되었는지 여부이다.

원고 측은 아파트 관리업체가 시스템을 교체하며 의뢰인에게 개인정보를 불법적으로 제공했다고 주장했다. 이는 의뢰인이 시스템을 운영하며 데이터를 이전받았으므로 불법 수령의 책임이 있다는 취지이다.

그러나 법무법인 민후는 의뢰인이 ① 개인정보를 직접 수집하거나 전달받은 사실이 없으며, ② 모든 절차는 아파트 관리업체와의 ‘적법한 개인정보처리 위탁계약’에 따른 수탁자로서의 업무 수행이었고, ③ 개인정보 취급이 있었다 하더라도 이는 계약에 따른 최소한의 기술 지원에 불과했다고 반박했다(대법원 2017. 4. 7. 선고 2016도13263 판결 등 참고)

결국 양측의 입장은 ‘전달되었다 → 불법적인 제3자 제공’이라는 주장과 ‘전달되지 않았다 → 적법한 위탁관계에 따른 업무처리’라는 주장이 첨예하게 대립하였다.

(2) 의뢰인의 고의 또는 과실 존재 여부

설령 개인정보가 일부 이전되었다 하더라도, 불법행위 책임을 묻기 위해서는 의뢰인의 고의 또는 과실이 입증되어야 한다.

원고는 의뢰인이 불법행위를 인식하거나 최소한 인지할 수 있었음에도 무단 사용을 묵인한 ‘과실’이 존재한다고 주장했다. 반면 법무법인 민후는 의뢰인이 표준 개인정보처리 위탁계약에 따라 ‘수탁자’로서의 의무를 다했음을 강조했다. 즉, 의뢰인은 서버 이전이나 프로그램 업그레이드 같은 기술 지원만 수행했을 뿐 개인정보에 직접 접근한 사실이 없으며, 위탁받은 범위 내에서 ‘개인정보 비식별화 조치’ 등 기술적·관리적 보호조치를 충실히 이행했다고 주장했다.

결국 이 쟁점은 ‘적법한 위탁계약에 따른 기술 지원’이 ‘위법한 이용’ 또는 ‘고의·과실 있는 침해행위’로 볼 수 있는지의 문제로 귀결된다.

(3) 정신적 손해 및 손해발생 인정 여부

개인정보침해로 인한 손해배상청구가 인용되려면, 실제 손해의 발생과 그 인과관계가 증명되어야 한다.

원고는 "자신의 개인정보가 동의 없이 제3자에게 제공되었다"는 사실 자체만으로 정신적 고통을 겪었으므로 위자료가 지급되어야 한다고 주장했다.

4. 민후의 전략

(1) 의뢰인의 역할 한정 및 행위 분리

원고가 모든 피고를 공동불법행위자로 주장한 데 맞서, 의뢰인은 개인정보를 직접 처리하는 '개인정보처리자'가 아닌, 계약에 따라 기술만 지원하는 '수탁자'에 불과하다는 점을 명확히 구분했다.

(2) '적법한 위탁계약' 이행 사실 강조

의뢰인의 모든 업무는 아파트 관리업체와 체결한 개인정보처리 위탁계약에 근거한 적법 행위임을 강조하고, 계약에 명시된 수탁자로서의 의무(보호조치 등)를 충실히 이행했음을 입증했다.

(3) 위법성 및 고의·과실 부존재 주장

원고가 주장하는 '유출'은 없었으며, 데이터 이전은 계약에 따른 적법한 기술 지원 절차이므로 위법성이 없고, 의뢰인에게는 어떠한 고의나 과실도 없었음을 주장했다.

(4) 손해 발생 및 인과관계의 입증 책임 지적

원고가 자신의 정신적 손해 발생 사실과 그 손해액, 그리고 의뢰인의 행위와의 인과관계를 구체적으로 입증해야 하는 ‘입증 책임’을 다하지 못했음을 지적하며 손해배상 책임이 성립하지 않음을 주장했다(서울중앙지방법원 2010. 9. 16. 선고 2008가합111003,2009가합26041(병합),2009가합121922(병합) 판결 등 참고).

5. 법원의 판단

1심, 항소심, 상고심 재판부 모두 법무법인 민후의 주장을 받아들여 원고의 청구를 기각했다. 대법원에서 최종 확정된 주요 판단 근거는 다음과 같다.
 

• 법원은 의뢰인이 원고의 개인정보를 직접 수집하거나 위법하게 이용한 사실이 없다고 판단했다.
• 의뢰인의 시스템 제공 및 기술 지원은 적법한 ‘개인정보처리 위탁계약’에 따른 행위이며, 이를 통한 개인정보 유출 증거가 없다고 보았다.
• 의뢰인에게 불법행위의 고의 또는 과실이 있다고 인정할 수 없으며, 원고가 주장하는 정신적 손해의 발생 또한 입증되지 않았다고 판시했다.

결론적으로 법원은 원고의 청구가 손해배상 책임의 법적 요건을 갖추지 못했다고 보아 최종적으로 기각 판결을 확정했다.

6. 이 사건의 의의

본 판결은 IT 시스템 교체 등 복수의 주체가 관여하는 개인정보 처리 과정에서 ‘수탁자’의 법적 책임 범위를 명확히 한 중요한 선례적 의의가 있다.

첫째, 개인정보 처리 과정에 관여했다는 사실만으로 자동적으로 공동불법행위 책임이 성립하는 것은 아님을 분명히 했다.

둘째, 적법한 ‘개인정보처리 위탁계약’을 체결하고 그 계약의 범위 내에서 기술 지원 등 수탁자의 의무를 다했다면, 원칙적으로 손해배상 책임이 성립하지 않음을 보여주었다.

셋째, 개인정보침해로 인한 손해배상을 청구하는 원고에게 유출 행위, 손해의 발생, 인과관계, 가해자의 고의·과실에 대한 구체적인 ‘입증 책임’이 있음을 재확인했다는 점에서 의미가 크다.

7. 이 사건 참고 판례