타인의 개인정보를 사적인 목적으로 조회해 징계 처분을 받고 불복 소송을 낸 경찰관이 해당 소송을 담당한 다른 경찰과 경북경찰청장을 상대로 “소송 기록과 개인정보를 법원에 누설했다”며 손해배상을 청구했으나 1심에 이어 항소심에서도 패소했다. 법원은 소송 담당 경찰이 징계 처분을 받은 경찰의 사건 자료 등을 법원에 제출한 것은 정당한 방어권 행사였다고 판단했다. 대구지법 민사항소4-2부(재판장 신안재 부장판사)는 경찰관 A 씨가 경북경찰청 청문감사담당관실에 근무한 B 씨, 전직 경북경찰청장 C 씨를 상대로 제기한 손해배상 청구소송 항소심(2023나310158)에서 A 씨의 항소를 지난달 28일 기각했다. 앞서 1심도 원고패소 판결했다. 경북의 한 경찰서에서 근무하던 A 씨는 타인의 개인정보를 사적인 목적으로 조회하고 이용했다는 이유로 2014년 8월 경북경찰청장으로부터 정직 1개월의 징계처분을 받았다. 이에 불복한 A 씨는 소청심사를 청구했으나 기각되자 정직처분 취소소송을 냈고, 2016년 8월 대구지법은 A 씨에 대한 징계처분을 취소했다. B 씨는 A 씨가 제기한 정직처분 취소소송이 진행되던 당시 경북경찰청 청문감사담당관실에 근무하며 해당 소송 업무를 수행했다. A 씨는 B 씨가 자신에 대한 허위사실을 적시한 서면을 제출하는 등의 불법행위를 했다는 이유로 2019년 4월 B 씨를 상대로 손해배상 소송을 청구했으나 패소했다. 해당 손해배상 소송에서 B 씨는 A 씨의 징계기록 및 소청심사 기록, 관련 행정소송 기록 등을 자신의 소송대리인을 통해 법원에 제출했는데, A 씨는 이를 문제 삼았다. A 씨는 “B 씨가 다른 경찰서로 전출하며 경찰청장의 승인을 받지 않고 소송자료를 복사해 외부로 유출했고 민사소송 대리인을 통해 법원에 사건 자료를 제출해 내용을 누설했다”며 이 사건 소송을 냈다. 또 C 씨에 대해서는 “경찰청장으로서 사건 자료를 관리할 의무가 있음에도 A 씨에게 개인정보가 유출됐음을 통지하지 않아 개인정보보호법을 위반했으며, B 씨에 대한 수사의 필요성이 명백함에도 불송치 결정을 해 수사권을 남용함으로써 B 씨의 개인정보 유출 범죄를 숨겨줬다”고 주장했다. 하지만 법원은 B 씨의 행위가 불법행위에 해당되지 않는다고 보고 A 씨의 청구를 모두 기각했다. 재판부는 “A 씨의 주민등록번호, 연락처, 직업, 주거 등과 A 씨가 징계처분을 받았다는 사실, 범죄전력 등의 개인정보는 A 씨가 관련 민사소송 소장과 증거를 제출함으로써 B 씨의 소송대리인 및 법원에 대부분 이미 알려진 내용”이라며 “B 씨가 A 씨가 제기한 관련 민사소송에 대응하고자 징계에 관련 자료를 소송대리인을 통해 법원에 제출한 것을 개인정보 누설이라 보긴 어렵다”고 밝혔다. 또 “설령 A 씨가 소송대리인을 통해 법원에 사건 자료를 제출한 것이 개인정보의 누설에 해당된다 하더라도, B 씨는 행정소송에서의 소송수행자로서 수행한 업무가 정당한지에 대해 증명하고자 해당 자료를 소송대리인을 통해 법원에 제출해 방어권 행사를 한 것이므로 사회상규에 위배되지 않는 정당행위에 해당돼 위법성이 조각된다”고 판시했다. C 씨에 대해서도 “B 씨에 의한 위법한 개인정보 유출이 있었다고 볼 수 없는 이상 책임을 물을 수 없다”고 판단했다.

온라인 쇼핑몰 위메프가 18억5200만 원의 과징금을 취소해달라며 낸 행정소송에서 최종 승소했다. 대법원 특별3부(주심 안철상 대법관)는 12일 위메프가 개인정보보호위원회를 상대로 낸 시정명령 등 처분 취소소송(2022두68923)에서 원고일부승소 판결한 원심을 확정했다. 2018년 11월 위메프의 '블랙프라이스데이' 이벤트 과정에서 쇼핑몰 이용자 20명의 개인정보가 다른 이용자 29명에게 노출되는 사고가 발생했다. 당시 이벤트는 별도의 페이지에 한시적으로 접속이 가능했는데, 캐시 정책을 잘못 설정하면서 쇼핑몰 이용자 20명의 개인정보가 노출된 것이다. 현장조사를 실시한 방송통신위원회는 위메프가 정보통신망법을 위반했다고 판단, 과징금 18억5200만 원과 시정명령 부과 처분을 의결했다. 이후 방통위 사무 중 개인정보보호 사무는 개인정보보호위원회에 승계됐다. 위메프는 과징금 처분에 불복해 개인정보위를 상대로 취소소송을 냈다. 1심은 "이벤트로 인한 매출액이 아닌 이 사건 쇼핑몰 전체의 연매출액을 기준으로 하여 과징금의 액수를 산정하는 것은 과도하다"며 "연매출액을 기준으로 산정한 이 사건 과징금의 액수는 이 사건 사고의 정도나 피해의 규모에 비해 과중하다"고 판단했다. 과징금 처분을 취소하라고 선고했다. 개인정보위는 항소했지만, 2심도 1심 판단을 유지했다. 대법원도 "과징금을 산정하기 위한 관련 매출액은 해당 개인정보 데이터베이스를 보유·관리하는 서비스인 위메프 쇼핑몰 서비스 전체의 매출액으로 봐야한다"며 "원심의 매출액 계산은 잘못됐다"고 판시했다. 다만 "이같은 사정을 감안하더라도 이 사건 과징금액은 제재적 성격이 지나치게 강조돼 위반행위의 위법성의 정도에 비해 과중하게 산정됐다. 과징금 처분에 재량권을 일탈·남용한 잘못이 있다고 본 원심의 결론은 정당하다"면서 원심을 확정했다.

경찰 내부망을 통해 동료의 휴대전화번호를 알아내 고소장에 기재해 기소된 경찰이 무죄를 확정받았다. 대법원 형사2부(주심 이동원 대법관)는 지난달 15일 개인정보보호법 위반 혐의로 기소된 A 씨의 상고심에서 무죄를 선고한 원심을 확정했다(2021도9346). A 씨는 2018년 초 경찰내부망에 올라온 자신에 대한 성추행 의혹 글에 비판하는 댓글을 단 22명이 자신의 명예를 훼손하거나 자신을 모욕하는 행위라고 판단해 수사기관에 고소하기로 마음을 먹고, 내부망에서 이들의 휴대전화번호를 알아내 별도의 동의 없이 고소장에 기재해 5개 수사기관에 제출했다. A 씨는 개인정보를 처리하거나 처리했던 자로서 내부망을 통해 알아낸 22명의 개인정보를 권한 없이 유출한 혐의로 기소됐다. A 씨는 "내부망에 공개된 전화번호를 단지 고소장에 기재한 것"이라며 "자신은 개인정보처리자에 해당하지 않고, 고소장에 기재한 것만으로는 누설 또는 유출에 해당하지 않는다"고 주장했다. 이에 대해 검찰 측은 "A 씨는 업무상 전산시스템에서 개인정보를 처리했던 자로서 내부망에 등재된 전화번호를 사적 용도로 고소장에 기재한 것은 개인정보의 유출 내지 누설에 해당한다"고 반박했다. 1심은 A 씨의 행위가 개인정보 유출에 해당하지 않는다고 판단해 무죄를 선고했다. 1심은 "A 씨는 동료들을 명예훼손죄로 수사기관에 고소할 때 피고소인의 연락처 기재란에 알아낸 전화번호를 적은 것으로, 이를 A 씨가 개인정보를 처리하는 업무와 관련해 알게 된 개인정보로 보기는 어렵다"며 "형사소송법에 따라 고소를 하는 경우 관련 법령상 당사자를 특정할 수 있는 정보를 기재해야 하므로 형사 절차에 따라 수사기관에 제출하는 것은 적법한 절차에 따른 것이고, 제출된 개인정보는 국가에서 엄격하게 관리돼 다른 제3자가 접근할 수도 없으므로 이를 개인정보의 누설이라고 볼 수 없다"고 설명했다. 2심은 "허용된 권한을 초과해 다른 사람의 개인정보를 유출한 행위에 해당한다고 볼 수 없다"며 검찰의 항소를 기각했다. 대법원도 이를 그대로 확정했다.

나이와 거주지, 직장 등 환자 개인정보가 담긴 코로나19 확진자 보고 문건을 사진으로 찍어 자신의 가족에게 사적으로 보낸 공무원의 행위는 개인정보보호법 위반에는 해당하지만 공무상비밀누설죄로 보기는 어렵다는 대법원 판결이 나왔다. 코로나 확진자 개인정보 유출과 관련한 첫 대법원 판단이다. 대법원 형사2부(주심 조재연 대법관)는 최근 개인정보보호법 위반, 공무상비밀누설 혐의로 기소된 A씨 등에게 각각 벌금 100만원의 선고를 유예한 원심을 최근 확정했다(2021도14654). 선고유예란 경미한 범죄를 저지른 범인에 대해 형의 선고를 유예하고, 2년간 특정한 사고 없이 경과하면 면소된 것으로 간주하는 제도다. 군청 공무원인 A씨 등 4명은 2020년 1월 코로나19 확진자의 성별과 나이, 가족관계 및 접촉자의 거주지, 직장 등 개인정보가 기재된 '신종코로나 바이러스 감염증 관련 보고' 문건을 촬영해 자신의 가족들에게 카카오톡으로 전송한 혐의로 기소됐다. 1심은 A씨 등의 개인정보보호법위반 혐의를 유죄로 판단해 각각 벌금 100만원을 선고했다. 다만 공무상비밀누설 혐의에 대해서는 "확진자와 접촉자 주소, 직장은 감염증 예방을 위해 필요한 정보이고 이들의 인적사항이 업무상 비밀로 보호할 가치 있는 것으로 보기 어렵다"며 "정보 유출로 감염병 예방 및 관리 등에 관한 국가의 기능이 위협받는다고 보기도 어렵다"며 무죄로 판단했다. 2심도 1심과 같이 판단했지만, 1심의 형이 너무 무겁다며 A씨 등에게 벌금 100만원의 선고를 유예했다. 검사는 무죄 판결이 난 공무상비밀누설 혐의에 대해 상고했지만, 대법원은 "원심이 공무상 비밀누설죄의 직무상 비밀에 관한 법리를 오해한 잘못이 없다"며 원심을 확정했다.

신용카드 개인정보 유출 사고 피해를 당한 고객들이 농협은행을 상대로 낸 손해배상소송 1심에서 승소했다. 서울중앙지법 민사206단독 류희현 판사는 지난 2일 김모씨 등 579명이 농협은행을 상대로 낸 손해배상청구소송(2020가단5253587)에서 "농협은행은 소를 취하한 피해자 87명을 제외하고, 김씨 등 492명에게 위자료 10만원씩을 지급하라"며 원고일부승소 판결했다. 농협은행은 2009년 외주업체인 A사를 통해 카드사고 분석 시스템(Fraud Detection System, FDS)을 도입했다. 농협은행은 2012년 5월 FDS를 업그레이드 하기 위해 다시금 A사와 개발용역계약을 맺었다. 이 과정에서 농협은행은 A사에 변환되지 않은 카드 고객 정보를 제공했는데, 2012년 5월부터 같은 해 12월까지 A사에서 개발작업을 수행하던 직원 B씨는 카드 고객 정보를 USB 메모리에 복사하는 방법으로 빼냈다. B씨는 이 같은 방식으로 2012년 6월 2431만 명에 대한 개인정보를, 같은 해 10월 2511만 명에 대한 개인정보를 빼돌려 대출중개업체 등에 전달했다. 이렇게 유출된 정보는 성명, 주민등록번호, 휴대전화번호, 이메일, 직장정보, 신용한도 등 15개 항목에 달했다. 이에 김씨 등 피해자 579명은 2020년 9월 농협은행을 상대로 소송을 냈다. 류 판사는 "농협은행은 개인정보처리자가 개인정보 등을 위해 준수해야 할 개인정보 보호법 등 관련법상의 의무를 위반해 개인정보 유출 사고 원인을 제공했다"며 "불법행위자로서 유출 사고로 김씨 등이 입은 손해를 배상할 책임이 있다"고 밝혔다. 이어 "유출된 개인정보는 개인을 식별할 수 있을 뿐만 아니라 개인 사생활과 밀접한 관련이 있다"며 "(특히) 2차 범죄에 악용될 수 있는 정보로서, 전파와 확산 과정에서 이미 제3자에 의해 열람됐거나 앞으로 열람될 가능성이 매우 크다"고 설명했다. 그러면서 "김씨 등에게 사회통념상 유출 사고로 인한 정신적 손해가 현실적으로 발생했다고 봄이 타당하다"고 판시했다.

홈페이지를 해킹당해 1천만여건의 고객 개인정보 유출 사고가 발생한 KT에 7000만원의 과징금을 부과한 것은 위법하다는 대법원 판결이 나왔다. 대법원 특별3부(주심 안철상 대법관)는 KT가 개인정보보호위원회(경정 전 피고 방송통신위원회)를 상대로 낸 과징금 부과처분 취소소송(2018두56404)에서 원고승소 판결한 원심을 최근 확정했다. KT는 2013년 8월부터 2014년 2월까지 마이올레 홈페이지를 해킹당해 고객의 이름과 주민등록번호, 주소 등 개인정보 1170만여건이 유출됐다. 또다른 해커의 침입으로 8만3000여건의 개인정보도 추가로 유출됐다. 방통위는 KT가 △일단 로그인을 하면 타인의 고객서비스계약번호(9자리)를 입력하더라도 인증단계 없이 타인의 정보(이름 등)까지 조회 가능했고 △특정 IP에서 일 최대 수십만 건의 개인정보를 조회했는데도 비정상적인 접근을 탐지·차단하지 못했다는 이유 등으로 2014년 6월 과징금 7000만원을 부과했다. KT는 "개인정보 유출 방지를 위한 조치들을 취했었다"며 소송을 냈다. 방통위는 "해커가 공격 때 사용한 '파라미터 변조'를 탐지하지 못했고 동일 IP에서 개인정보가 포함된 요금명세서를 대량 조회하는 것은 이상행위인데 이를 탐지하지 못했다"고 맞섰다. 1심은 "KT는 침입탐지방지 시스템 등을 설치·운영하고 상시로 모의 해킹을 수행하는 등 침입탐지 시스템을 적절히 운영했는데, 파라미터 변조는 취약점이 널리 알려진 해킹 수법이지만 수많은 웹 서버마다 각기 다른 파라미터가 존재하고 파라미터에 할당할 수 있는 값도 달라질 수 있어 항상 일정한 형태로 고정되는 것이 아니어서 사전에 탐지해 차단하기가 쉽지 않다"고 밝혔다. 이어 "해커가 마이올레 홈페이지에 하루 최대 34만 번 접속했는데, 마이올레 홈페이지 하루 접속 건수가 3300만여건에 이르는 점에 비추면 보면, 해커의 접속은 1% 미만이어서 이를 '이상행위'를 탐지하기 어려웠을 것"이라며 "해킹이 발생했던 당시에는 방통위의 개인정보 보호 조치 기준도 구체화되지 않았다"고 설명했다. 다만 "퇴직자 ID의 개인정보처리시스템에 대한 접근 권한을 말소하지 않은 것은 KT의 잘못"이라고 덧붙였다. 그러면서 "KT가 방통위 고시인 개인정보의 기술적·관리적 보호조치 기준 제4조 2항을 위반한 것은 맞지만 고시 제4조 5항과 9항을 위반했다고 볼 수는 없기 때문에 방통위가 제4조 5항과 9항을 위반했음을 전제로 한 이 사건 처분은 재량권의 일탈·남용으로 위법하다"며 "처분이 방통위의 재량행위에 해당하는 이상 법원은 재량권 일탈·남용 유무만 판단할 수 있을 뿐 재량권의 범위 내에서 어느 정도가 적정한지 판단할 수 없으므로 처분 전부를 취소할 수밖에 없다"고 판시했다. 개인정보의 기술적·관리적 보호조치 기준 제4조 2항은 '정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다'고 규정하고 있다. 같은 조 5항은 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 침입탐지방지 시스템 등을 의무적으로 설치·운영하도록 했다. 9항은 정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통해 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터 등에 조치를 취해야 한다는 내용이다. 2심도 방통위 측 항소를 기각하고 KT의 손을 들어줬다. 대법원도 "KT가 자신이 취급 중인 개인정보가 해킹 등 침해사고에 의해 유출되지 않도록 개인정보처리시스템과 개인정보취급자의 컴퓨터에 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치를 다하지 않았다고 단정하기 어렵다"며 원심을 확정했다.

인터파크가 해커에 의한 개인정보 유출 사고와 관련해 피해를 입은 회원들에게 1인당 10만원씩 배상해야 한다는 판결이 나왔다. 서울중앙지법 민사30부(재판장 한성수 부장판사)는 A씨 등 2400여명이 인터파크를 상대로 낸 손해배상청구소송(2016가합563586)에서 최근 "인터파크는 회원들에게 1인당 10만원씩 지급하라"며 원고일부승소 판결했다. 인터넷 쇼핑몰인 인터파크에선 지난 2016년 5월 인적사항을 알 수 없는 해커에 의해 내부 전산망이 해킹 당하는 사고가 발생했다. 이 사고로 인터파크가 관리하고 있던 회원들의 비밀번호와 생년월일, 휴대전화 번호 등 개인정보가 유출됐다. 방송통신위원회는 해커의 공격을 지능형 지속가능 위협(APT)으로 보고, 민관합동조사단을 구성해 인터파크의 개인정보처리시스템 등에 남아있는 접속기록 등을 토대로 개인정보 처리 및 운영 실태를 조사했다. 지능형 지속가능 위협은 해커가 다양한 보안 위협을 만들어 특정 기업이나 조직의 네트워크에 지속적으로 가하는 공격을 말한다. 그 결과 해커는 인터파크 직원의 네이버 계정을 불법적으로 도용해 접속한 뒤 악성코드를 심은 이메일을 보내 컴퓨터를 감염시키고, 회원들의 개인정보가 저장돼 있던 DB서버에 접속해 이를 모두 빼간 것으로 조사됐다. 이에 인터파크 회원 A씨 등은 "1인당 30만원을 배상하라"며 소송을 냈다. 재판부는 "정보통신서비스 제공자인 인터파크가 회원들의 개인정보를 보호하기 위해 옛 정보통신망법 등 관련 법령상 어떠한 조치를 해야 하는지 확인하고 이를 이행할 의무가 있음에도 이를 게을리 해 최대접속시간 제한 조치 및 비밀번호의 암호화를 위한 조치를 취하지 않았다"면서 "개인정보 유출을 안 때로부터 24시간 이내에 회원들에게 이를 알리지 않았으므로 인터파크에게 옛 정보통신망법 제28조 등을 위반한 과실이 인정된다"고 밝혔다. 옛 정보통신망법 제28조는 '정보통신서비스 제공자 등이 개인정보를 처리할 때에는 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위해 대통령령으로 정하는 기준에 따라 기술적·관리적 조치를 해야 한다'고 규정하고 있다. 재판부는 이어 "유출된 회원들의 개인정보는 모두 개인을 식별할 수 있을 뿐만 아니라 사생활과 밀접한 관련이 있어 이를 도용한 2차 피해 발생과 확대의 가능성을 배제하기 어렵다"면서 "인터파크는 같은 해 7월 회원들의 개인정보가 유출됐음을 인지했음에도 그로부터 14일 뒤에야 비로소 이를 통지해 회원들이 개인정보 유출에 신속히 대응할 수 있는 기회를 상실하게 만들었다"고 설명했다. 다만 "회원들의 개인정보가 불특정 다수에게 공개됐거나 명의가 도용되는 등 추가적 법익침해가 발생했다고 볼 자료는 제출되지 않았다"면서 "기업이 소비자에게 유익한 서비스를 제공함에 있어 부득이 고객의 일정한 개인정보를 수집·보관하는 것이 필요한 현실적인 제약을 고려할 때 손해배상액을 1인당 각 10만원으로 정함이 상당하다"고 판시했다.

지난 2013년 1억건이 넘는 고객정보 유출 사건과 관련해 당시 고객정보를 제대로 보호하지 않은 혐의로 기소된 KB국민·농협은행·롯데카드 등 카드 3사에 벌금형이 확정됐다. 대법원 형사2부(주심 박상옥 대법관)는 개인정보 보호법 위반 등의 혐의로 기소된 KB국민카드와 농협은행에 벌금 1500만원을, 롯데카드에 벌금 1000만원을 선고한 원심을 최근 확정했다(2020도2432). 이들 카드 3사는 2012∼2013년 신용카드 부정사용예방시스템(FDS) 개발과정에서 용역업체 직원이 고객정보를 마음대로 빼가도록 업무관리를 소홀히 한 혐의로 기소됐다. 당시 개발 용역업체 직원 박모씨는 카드사로부터 암호화되지 않은 개인정보를 전달 받고, 이를 회사 밖으로 가지고 나갈 때도 아무런 통제도 받지 않은 것으로 조사됐다. 유출된 정보는 이름과 주민·휴대전화·신용카드 번호, 카드 한도·이용액 등으로, 박씨가 빼돌린 고객정보는 KB국민카드 5378만건, 롯데카드 2689만건, 농협은행 2259만건 등 총 1억326만건에 달했다. 박씨는 이중 일부를 대부중개업자에게 1650만원을 받고 팔아넘긴 것으로 드러났다. 1심은 "정보 유출 피해를 당한 주체에게 정신적 고통을 줄 뿐만 아니라 2차 피해를 가져올 수 있는 대단히 중대하고 심각한 문제"라며 KB국민카드와 농협은행에 벌금 1500만원을, 롯데카드에 벌금 1000만원을 각각 선고했다. 2심도 "카드사들이 이동식저장매체(USB) 반·출입 통제 및 보안프로그램 관련 관리·감독은 물론 안전성 확보 조처 의무 등을 다하지 않았다"며 1심을 유지했다. 대법원도 카드 3사와 검찰의 상고를 기각하고 원심을 확정했다.

직계혈족이면 누구나 가족관계증명서를 청구해 개인정보를 확인할 수 있도록 한 가족관계의 등록 등에 관한 법률은 위헌이라는 헌법재판소 결정이 나왔다. 직계혈족이라도 가정폭력 가해자라면 가족관계증명서류 발급을 제한해 가족의 개인정보에 접근을 차단할 필요가 있다는 것이다. 헌재는 28일 가정폭력 피해자 A씨가 "가족관계의 등록 등에 관한 법률 제14조 1항은 위헌"이라며 낸 헌법소원(2018헌마927) 사건에서 재판관 전원일치 의견으로 헌법불합치 결정했다. 헌재는 내년 12월 31일까지 해당 조항을 개정하라고 입법개선 시한을 못박았다. A씨는 배우자 B씨의 가정폭력 때문에 이혼했다. 이 과정에서 법원은 "B씨는 A씨에 대해 접근금지 및 전기통신을 이용한 접근을 금지한다"고 결정했다. 하지만 B씨가 이를 지키지 않고 전화를 걸거나 문자 메시지로 협박을 계속하자 A씨는 자신의 주소를 알 수 없도록 이름을 바꾸려고 했다. 그런데 A씨는 자신이 개명을 해도 전 배우자가 자녀 명의로 가족관계증명서를 떼 양육자인 자신의 개인정보를 알아낼 수 있다는 사실을 알게 됐다. 이에 A씨는 "가정폭력을 일삼는 전 배우자가 아이를 기준으로 하는 가족관계증명서를 뗄 수 없도록 제한하는 조항을 만들지 않은 입법부작위는 위헌"이라며 헌법소원을 냈다. 헌재는 "가족이라는 이유만으로 다른 가족의 개인정보를 알게 해서는 안 되고, 오남용과 유출 우려를 차단할 수 있는 장치가 필요하다"며 "가정폭력 피해자의 개인정보 보호를 위한 별도의 조치를 마련하고 있지 않아 가해자는 언제든지 그 자녀 명의의 가족관계증명서 및 기본증명서를 교부받아 피해자의 개인정보를 획득할 수 있다"고 지적했다. 이어 "가정폭력 가해자라고 하더라도 자녀의 이익이나 정당한 알권리의 충족 등을 이유로 자녀 명의의 가족관계증명서와 기본증명서를 청구하는 경우 등 부당한 목적이 없음을 구체적으로 소명한 경우에만 발급하도록 하고 이 경우에도 피해자의 개인정보를 삭제하도록 하는 등의 대안적 조치를 마련함으로써 해결이 충분히 가능하다" 설명했다. 다만 "이 조항에 대해 단순 위헌 결정을 할 경우 가정폭력 가해자가 아닌 직계혈족까지도 가족관계증명서를 발급하지 못하게 되므로 2021년 12월 31일을 시한으로 입법자가 위헌성을 제거하고 합리적인 내용으로 법률을 개정할 때까지 이를 계속 적용할 필요가 있다"고 덧붙였다.

심리상담센터가 피상담자의 허락 없이 심리상담 내용이 담긴 녹취록을 세미나 자료 등으로 사용했다면 배상책임을 져야 한다는 판결이 나왔다. 서울중앙지법 민사3부(재판장 신헌석 부장판사)는 A씨가 심리상담가 양성과정을 운영하는 모 심리상담센터 설립자이자 실질적 운영자인 B씨와 센터 대표인 B씨의 아내 C씨를 상대로 낸 손해배상청구소송(2019나31794)에서 1심과 같이 "B씨 등은 A씨에게 1000만원을 지급하라"며 원고일부승소 판결했다. A씨는 2014년 11월 B씨 등이 운영하는 심리상담센터를 방문해 심리상담을 받았다. B씨는 휴대폰으로 상담내용을 녹음해 음성파일을 녹취록 형태로 보관했다. 녹취한 내용에는 A씨의 나이와 가족관계, 학력 뿐 아니라 성장기, 유학과정의 경험담, 스스로에 대한 가치관, 현재 직종과 근무 회사의 성격, 직장 상사와의 관계, 연애 성향과 이성관, 역사와 종교관, 각종 고민거리 등 내밀한 신상정보가 포함돼 있었다. 비밀엄수 의무·상담자 신뢰보호 등 심각하게 몰각 이듬해 4월 센터는 유료 세미나의 사례분석 자료로 활용하기 위해 다수의 세미나 참석자에게 A씨의 상담내용이 담긴 녹취록을 메일로 발송했는데, 이 녹취록에는 성(姓)이 생략된 A씨의 이름이 남아 있었고 최소 2명에게는 익명화되지 않은 녹취록이 전송됐다. 이 센터에서 전문가 과정을 이수한 D씨는 A씨의 상담내용이 포함된 자료를 이용해 책자로 만들어 시중에 판매하기도 했다. 2017년 7월 자신의 상담내용이 녹취록으로 만들어져 세미자 자료로 배포되거나 책자로 유통되고 있다는 사실을 알게 된 A씨는 소송을 냈다. 재판부는 "B씨는 센터를 실질적으로 운영하며 업무를 목적으로 A씨의 개인정보에 해당하는 상담내용을 스스로 또는 타인을 통해 수집·저장·편집·제공 등 처리한 사람이고, C씨는 센터 대표이므로 개인정보보호법 제2조 5호가 정한 개인정보처리자에 해당하고, A씨가 B씨에게 털어놓은 상담내용은 그의 사생활을 현저히 침해할 우려가 있는 민감정보로서 법이 보호하는 개인정보에 해당한다"고 밝혔다. 서울중앙지법, 상담센터 운영자에 1000만원 지급 판결 이어 "B씨는 A씨의 동의 없이 이러한 정보를 수집해 여러 사람에게 유출했고, 센터에서 전문가 과정을 이수한 D씨가 A씨의 상담 내용이 포함된 자료를 이용해 만든 책 머리말에 발간사를 쓰기도 한 점을 보면, D씨가 독단으로 A씨의 정보를 유출했다고 보이지 않는다"며 "B씨와 C씨는 법에 위반해 A씨의 개인정보를 수집·이용하고 그 유출을 초래한 개인정보처리자로서 개인정보보호법 제39조 1항에 따라 정보주체인 A씨가 입은 정신적 손해를 배상할 책임이 있다"고 설명했다. 그러면서 "A씨가 민감정보 유출로 상당한 정신적 충격을 받았을 것으로 보인다"며 "상담자의 비밀엄수의무와 내담자의 신뢰보호에 대한 몰각의 정도가 심각할 뿐 아니라 제3자에게 전파된 개인정보에 대한 식별가능성의 정도, 책자 배포로 이어진 2차 유출 경위 등 제반사정에 비춰 위자료를 1000만원으로 정한다"고 판시했다.