사실관계
정리된 사실관계가 없습니다.
판단 결과
선고
핵심 쟁점
- 소액사건에서 대법원 판례가 명확하지 않은 경우 대법원이 실체법 해석과 적용에 관하여 판단할 수 있는지 여부
- 개인정보 보호법 제39조의2 제1항에 따른 법정손해배상청구에서 정보주체가 손해 발생 사실까지 주장·증명해야 하는지 여부
- 개인정보처리자가 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하지 않았음을 주장·증명하여 법정손해배상책임을 면할 수 있는지 여부
- 개인정보 유출 사안에서 정신적 손해 발생 여부를 판단할 때 고려할 요소가 무엇인지 여부
- 이 사건에서 암호화된 비밀번호와 이메일 주소 유출만으로 위자료 배상 대상이 되는 정신적 손해가 인정되는지 여부
판례 포인트
- 개인정보 보호법 제39조의2 제1항은 손해에 관한 증명이 곤란한 경우에도 권리구제를 가능하게 하려는 취지이므로, 정보주체는 개인정보 유출 등의 사실만 주장·증명하면 된다.
- 다만 같은 조항이 손해가 전혀 없는 경우까지 배상을 인정하는 것은 아니므로, 개인정보처리자는 정신적 손해가 발생하지 않았음을 주장·증명하여 책임을 다툴 수 있다.
- 정신적 손해 부존재 판단은 유출 정보의 종류와 성격, 식별 가능성, 제3자 열람 여부나 가능성, 확산 범위, 추가 법익침해 가능성, 유출 경위, 사후 조치 등을 종합하여 개별적으로 이루어져야 한다.
- 법정손해배상제도의 취지가 형해화되지 않도록 손해 부존재 판단은 신중해야 한다.
- 이 사건에서는 암호화된 비밀번호, 단독 유출된 이메일 주소, 추가 피해 자료의 부재, 사고 후 피고의 조치 등이 책임 부정의 근거로 고려되었다.
자주 묻는 질문
개인정보 유출이 있으면 개인정보 보호법 제39조의2에 따라 손해를 따로 입증하지 않아도 법정손해배상을 청구할 수 있나요?
대법원은 개인정보 보호법 제39조의2 제1항에 따른 법정손해배상청구에서는 정보주체가 개인정보의 분실, 도난, 유출, 위조, 변조 또는 훼손 사실만 주장·증명하면 되고, 손해 발생 사실을 구체적으로 증명할 필요는 없다고 보았습니다. 이는 손해 증명이 어렵더라도 피해자가 쉽게 권리구제를 받을 수 있도록 하려는 입법 취지를 반영한 판단입니다.
개인정보처리자는 정신적 손해가 없었다는 점을 증명해 법정손해배상책임을 면할 수 있나요?
대법원은 손해가 발생하지 않은 것이 분명한 경우까지 배상책임을 인정하는 것은 제39조의2의 취지가 아니라고 보았습니다. 그래서 정보주체가 위자료 배상을 청구한 경우에는 개인정보처리자가 위자료로 배상할 만한 정신적 손해가 발생하지 않았다는 점을 주장·증명해 법정손해배상책임을 면할 수 있다고 판단했습니다.
이메일 주소와 암호화된 비밀번호만 유출된 경우에도 정신적 손해가 없다고 볼 수 있나요?
이 사건에서 대법원은 유출된 정보가 암호화된 비밀번호와 이메일 주소에 그쳤고, 이메일 주소가 성명 등 다른 정보와 결합되어 있지 않아 정보주체 식별이 어렵다고 보았습니다. 또 제3자의 실제 열람 가능성, 추가 법익침해 가능성, 영리 목적 이용이나 확산 위험성도 낮다고 보아 원고에게 위자료로 배상할 만한 정신적 손해가 발생하지 않았다고 판단했습니다.
개인정보 유출로 정신적 손해가 있는지 판단할 때 법원은 무엇을 보나요?
대법원은 유출된 개인정보의 종류와 성격, 정보주체 식별 가능성, 제3자의 열람 여부나 장래 열람 가능성, 확산 범위, 추가적인 법익침해 가능성 등을 종합적으로 보아야 한다고 밝혔습니다. 여기에 개인정보처리자의 관리 상태, 유출 경위, 피해 확산 방지를 위해 취한 조치도 함께 고려하되, 법정손해배상제도의 취지가 약화되지 않도록 구체적 사안별로 판단해야 한다고 보았습니다.
대법원 2025. 12. 4. 선고 2023다311184 사건에서는 왜 원고 청구가 받아들여지지 않았나요?
대법원은 이 사건 유출 정보가 암호화된 비밀번호와 이메일 주소였고, 이메일만으로는 정보주체 식별이나 사생활·명예 침해, 재산적 피해 발생 위험이 낮다고 보았습니다. 실제로 사고 후 2년이 넘도록 스팸메일 증가나 2차 피해 자료도 없었고, 피고가 사고 신고, 정보유출 통지, 비밀번호 변경 요청 등 확산 방지 조치를 한 점도 고려해 원고의 청구를 배척한 원심 결론을 유지했습니다.
판결 내용
손해배상(기)[개인정보 보호법 제39조의2에 따른 법정손해배상책임의 성립 여부가 문제된 사건]
【판시사항】
[1] 소액사건에 관하여 상고이유로 할 수 있는 ‘대법원의 판례에 상반되는 판단을 한 때’의 요건을 갖추지 않았지만 대법원이 실체법 해석과 적용에 관하여 판단할 수 있는 경우
[2] 개인정보 보호법 제39조의2 제1항의 입법 취지 및 정보주체가 위 조항에 따른 법정손해배상을 청구하기 위하여 부담하는 주장·증명책임의 내용
[3] 개인정보처리자가 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하지 아니하였음을 주장·증명하여 개인정보 보호법 제39조의2 제1항에 따른 법정손해배상책임을 면할 수 있는지 여부(적극) / 정보주체가 개인정보처리자를 상대로 개인정보 보호법 제39조의2 제1항에 따른 법정손해배상청구를 하는 사안에서 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하지 않았다는 개인정보처리자의 주장을 판단하는 방법
【판결요지】
[1] 소액사건에 적용되는 법령의 해석에 관한 대법원 판례가 명확하지 않고, 그 법령이 적용되는 다수의 사건이 하급심에 계속되는 등 특별한 사정이 있는 경우에는 소액사건에 관한 상고이유 중 ‘대법원의 판례에 상반되는 판단을 한 때’의 요건을 갖추지 아니하였더라도 법령해석의 통일이라는 대법원의 본질적 기능에 비추어 실체법의 해석과 적용에 관하여 판단할 수 있다.
[2] 개인정보 보호법은 ‘손해배상책임’이라는 제목 아래 제39조 제1항에서 "정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다."라고 규정하여 정보주체가 손해를 입을 것을 청구요건으로 명시하고 있다. 이와 달리 개인정보 보호법 제39조의2 제1항에서는 ‘법정손해배상의 청구’라는 제목으로 "제39조 제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 300만 원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다."라고 규정하여 정보주체의 손해 부분을 청구요건에서 제외하고 있다. 개인정보 보호법 제39조의2 제1항의 입법 취지는 개인정보의 광범위한 처리가 일반화된 현대사회에서 개인정보 유출 등의 법익침해가 있을 경우에 손해에 관한 증명이 곤란하더라도 정보주체로 하여금 개인정보처리자로부터 일정한 한도의 법정금액을 배상받을 수 있도록 함으로써 피해자가 쉽게 권리구제를 받을 수 있도록 하는 데에 있다.
위와 같은 문언의 내용과 입법 취지 등을 고려해 보면, 정보주체는 개인정보처리자를 상대로 개인정보 보호법 제39조의2 제1항에 따른 법정손해배상을 청구하기 위하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손되었다는 사실만 주장·증명하면 되고 손해의 발생 사실을 구체적으로 주장·증명할 필요는 없다고 보아야 한다.
[3] 손해가 발생하지 않은 것이 분명한 경우까지 손해배상의무를 인정하려는 것이 개인정보 보호법 제39조의2 제1항의 취지는 아니므로, 정보주체가 위자료 배상을 청구하는 경우 개인정보처리자로서는 정보주체에 위자료로 배상할 만한 정신적 손해가 발생하지 아니하였음을 주장·증명함으로써 위 규정에 따른 법정손해배상책임을 면할 수 있다.
나아가 개인정보처리자가 처리하는 개인정보가 정보주체의 의사에 반하여 유출되어 이를 이유로 개인정보 보호법 제39조의2에 따른 법정손해배상청구를 하는 사안에서, 그러한 유출로 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생한 것은 아니라는 개인정보처리자의 주장을 판단할 때에는, 유출된 개인정보의 종류와 성격, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 장래의 열람 가능성 유무, 유출된 개인정보의 확산 범위, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보처리자의 개인정보 관리 상황과 개인정보 유출의 경위, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 취해진 조치의 내용 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하되, 손해에 관한 증명 없이 피해자의 권리구제가 가능하게 하려는 법정손해배상제도의 취지가 형해화되지 않도록 주의하여야 한다.
【참조조문】
[1] 소액사건심판법 제3조 제2호
[2] 개인정보 보호법 제39조 제1항, 제39조의2, 민사소송법 제288조[증명책임]
[3] 개인정보 보호법 제39조의2, 민사소송법 제288조[증명책임]
【참조판례】
[1] 대법원 2018. 9. 13. 선고 2017다16778 판결(공2018하, 1970), 대법원 2023. 4. 27. 선고 2022다297014 판결
【전문】
【원고, 상고인】
원고 (소송대리인 법무법인 소울 담당변호사 양남주)
【피고, 피상고인】
주식회사 ○○○
【원심판결】
서울남부지법 2023. 12. 7. 선고 2023나55205 판결
【주 문】
상고를 기각한다. 상고비용은 원고가 부담한다.
【이 유】
1. 사안의 개요
원심판결 이유와 기록에 의하면 아래와 같은 사실을 알 수 있다.
가. 피고는 온라인 지식거래 서비스를 제공하는 인터넷 사이트인 ‘△△△’(이하 ‘이 사건 사이트’라고 한다)를 운영하면서, 가입자들의 개인정보파일을 운용하기 위하여 개인정보를 처리하는 개인정보처리자이다.
나. 원고는 2001. 4. 10. 이 사건 사이트에 회원으로 가입하면서, 피고에게 ID, 비밀번호, 성명, 생년월일, 성별, 전화번호, 이메일 주소 등 개인정보를 제공하였다.
다. 2021. 9. 10.부터 2021. 9. 13.까지 사이에 신원미상의 해커가 이 사건 사이트를 해킹하여 원고를 포함한 가입자 403,298명의 개인정보가 유출되었다(이하 ‘이 사건 사고’라고 한다). 이 사건 사고로 유출된 원고의 개인정보는 암호화된 비밀번호와 이메일 주소이다.
라. 개인정보 보호위원회는 2022. 9. 14. 피고가 이 사건 사고에 관하여 「개인정보 보호법」(이하 ‘개인정보보호법’이라고 한다) 제29조, 구 개인정보보호법 시행령(2023. 9. 12. 대통령령 제33723호로 삭제) 제48조의2 제1항 제2호에서 정한 안전조치의무를 위반하였다고 판단하여 피고에게 과징금 및 과태료를 부과하였다.
2. 소액사건에서 상고이유의 판단이 필요한 경우
소액사건에 적용되는 법령의 해석에 관한 대법원 판례가 명확하지 않고, 그 법령이 적용되는 다수의 사건이 하급심에 계속되는 등 특별한 사정이 있는 경우에는 소액사건에 관한 상고이유 중 ‘대법원의 판례에 상반되는 판단을 한 때’의 요건을 갖추지 아니하였더라도 법령해석의 통일이라는 대법원의 본질적 기능에 비추어 실체법의 해석과 적용에 관하여 판단할 수 있다(대법원 2018. 9. 13. 선고 2017다16778 판결, 대법원 2023. 4. 27. 선고 2022다297014 판결 등 참조).
이 사건에서 쟁점이 되고 있는 개인정보보호법 제39조의2에 따른 법정손해배상책임에서, 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하지 아니하였다는 이유로 개인정보처리자의 손해배상책임을 부정할 수 있는지에 관하여 판례의 입장이 명확하지 않으므로, 법령해석의 통일을 위하여 판단한다.
3. 피고의 개인정보보호법상 법정손해배상책임 성립 여부
가. 관련 법리
1) 개인정보보호법은 ‘손해배상책임’이라는 제목 아래 제39조 제1항에서 "정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다."라고 규정하여 정보주체가 손해를 입을 것을 청구요건으로 명시하고 있다. 이와 달리 개인정보보호법 제39조의2 제1항에서는 ‘법정손해배상의 청구’라는 제목으로 "제39조 제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 300만 원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다."라고 규정하여 정보주체의 손해 부분을 청구요건에서 제외하고 있다. 개인정보보호법 제39조의2 제1항의 입법 취지는 개인정보의 광범위한 처리가 일반화된 현대사회에서 개인정보 유출 등의 법익침해가 있을 경우에 손해에 관한 증명이 곤란하더라도 정보주체로 하여금 개인정보처리자로부터 일정한 한도의 법정금액을 배상받을 수 있도록 함으로써 피해자가 쉽게 권리구제를 받을 수 있도록 하는 데에 있다.
위와 같은 문언의 내용과 입법 취지 등을 고려해 보면, 정보주체는 개인정보처리자를 상대로 개인정보보호법 제39조의2 제1항에 따른 법정손해배상을 청구하기 위하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손되었다는 사실만 주장·증명하면 되고 손해의 발생 사실을 구체적으로 주장·증명할 필요는 없다고 보아야 한다.
그러나 손해가 발생하지 않은 것이 분명한 경우까지 손해배상의무를 인정하려는 것이 개인정보보호법 제39조의2 제1항의 취지는 아니므로, 정보주체가 위자료 배상을 청구하는 경우 개인정보처리자로서는 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하지 아니하였음을 주장·증명함으로써 위 규정에 따른 법정손해배상책임을 면할 수 있다.
2) 나아가 개인정보처리자가 처리하는 개인정보가 정보주체의 의사에 반하여 유출되어 이를 이유로 개인정보보호법 제39조의2에 따른 법정손해배상청구를 하는 사안에서, 그러한 유출로 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생한 것은 아니라는 개인정보처리자의 주장을 판단할 때에는, 유출된 개인정보의 종류와 성격, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 장래의 열람 가능성 유무, 유출된 개인정보의 확산 범위, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보처리자의 개인정보 관리 상황과 개인정보 유출의 경위, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 취해진 조치의 내용 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하되, 손해에 관한 증명 없이 피해자의 권리구제가 가능하게 하려는 법정손해배상제도의 취지가 형해화되지 않도록 주의하여야 한다.
나. 이 사건에 관한 판단
1) 앞서 본 사실관계와 기록에 의하여 알 수 있는 다음과 같은 사정을 위 법리에 비추어 살펴보면, 이 사건 사고로 인하여 원고에게 위자료로 배상할 만한 정신적 손해가 발생하지 않았다고 봄이 타당하다.
가) 이 사건 사고로 유출된 이 사건 사이트 비밀번호의 경우 암호화되어 있었기에 제3자가 그 내용을 파악하거나 이용하였을 가능성은 매우 낮다.
나) 이 사건 사고에서 이메일 주소가 성명 등 다른 개인정보와 결합된 상태로 유출되지 아니하였고, 이 사건의 경우 추가적인 정보가 없는 한 유출된 이메일 주소 그 자체만으로는 정보주체가 누구인지 식별하기 어렵다.
다) 이 사건 사이트는 지식공유 사이트로서 가입자의 유형이 매우 폭넓고 다양하여 가입자의 가입 시기나 이용내역 등이 함께 유출되지 않은 이상, 이 사건 사이트에서 유출된 이메일 주소만으로 해당 가입자의 성향이나 수요 등을 파악하기 어렵다는 특징이 있다. 이러한 점을 고려하면 이 사건에서 이메일 주소가 유출되었다고 하여 정보주체에게 사생활·명예의 침해나 재산적 피해 등이 발생할 위험성은 낮고, 유출된 개인정보가 마케팅 등 영리 목적으로 이용되거나 확산될 위험성도 높지 않아 보인다.
라) 실제로 이 사건 사고 발생일부터 2년 넘게 지난 원심 변론종결일까지 이 사건 사고와 연관된 스팸메일의 증가가 확인되지 않고, 추가적인 법익침해나 2차 피해 발생에 관한 자료도 없다.
마) 피고에게 이 사건 사고에 관한 고의·중과실이 있다고 보기 어렵다. 피고는 이 사건 사고를 인지한 후 유출 정보 내역을 확인한 다음 개인정보 보호위원회와 사이버경찰청에 사고 발생사실을 신고하는 한편, 원고에게도 정보유출사실을 통보하고 비밀번호 변경을 요청하는 등 피해 발생 및 확산을 방지하기 위한 조치를 취하였다.
2) 원심의 이유 설시에 일부 적절하지 않은 부분이 있지만, 이 사건 사고로 인하여 원고에게 위자료로 배상할 만한 정신적 손해가 발생하였다고 보기 어렵다고 보아 원고의 청구를 배척한 원심의 결론은 정당하여 수긍할 수 있다. 거기에 개인정보보호법상 법정손해배상의 요건에 관한 법리오해 등으로 판결에 영향을 미친 잘못이 없다.
4. 결론
상고를 기각하고, 상고비용은 패소자가 부담하도록 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.