서울중앙지방법원 제31민사부 판결 【사건】 2015가합541763 손해배상(기) 【원고】 별지1 표 중 원고 목록 기재와 같다., 원고들 소송대리인 법무법인 지향, 담당변호사 이상희, 이은우, 양성우 【피고】 1. 홈플러스 주식회사(대표이사 임○○, 소송대리인 변호사 김성욱, 이정석), 2. 라이나생명보험 주식회사(대표이사 미합중국인, 소송대리인 변호사 이승윤, 구태언, 이상희), 3. 신한생명보험 주식회사(대표이사 이○○, 소송대리인 변호사 강경태, 김도형, 조성훈) 【변론종결】 2017. 11. 2. 【판결선고】 2018. 1. 18. 【주문】 1. 피고 홈플러스 주식회사는 별지2 목록 기재 원고들에게 각 200,000원, 별지3, 4 목록 기재 원고들에게 각 50,000원, 피고 홈플러스 주식회사와 공동하여 위 돈 중 피고 라이나생명보험 주식회사는 별지3 목록 기재 원고들에게 각 50,000원, 피고 신한생명보험 주식회사는 별지4 목록 기재 원고들에게 각 50,000원 및 각 이에 대한 2014. 9. 1.부터 2018. 1. 18.까지는 연 5%의, 그 다음날부터 다 갚는 날까지는 연 15%의 각 비율로 계산한 돈을 지급하라. 2. 별지2 내지 4 목목 기재 원고들의 피고 홈플러스 주식회사에 대한 나머지 청구, 별지3 목록 기재 원고들의 피고 라이나생명보험 주식회사에 대한 나머지 청구, 별지4 목록 기재 원고들의 피고 신한생명보험 주식회사에 대한 나머지 청구 및 별지5 목록 기재 원고들의 피고 홈플러스 주식회사에 대한 청구, 별지2 목록 기재 원고들의 피고 라이나생명보험 주식회사, 피고 신한생명보험 주식회사에 대한 각 청구를 모두 기각한다. 3. 소송비용 중 가. ① 별지2 내지 4 목록 기재 원고들에 모두 해당하는 원고들(별지1 표의 인용금액 중 ‘피고 홈플러스’란 기재 300,000원)과 피고 홈플러스 주식회사 사이에 생긴 부분은 위 피고가 부담하고, ② 별지2, 3 목록 기재 원고들에 모두 해당하는 원고들 또는 별지2, 4 목록 기재 원고들에 모두 해당하는 원고들(별지1 표의 인용금액 중 ‘피고 홈플러스’란 기재 250,000원)과 피고 홈플러스 주식회사 사이에 생긴 부분의 1/6은 위 원고들이, 나머지는 위 피고가 부담하며, ③ 별지2 목록 기재 원고들에만 해당하는 원고들(별지1 표의 인용금액 중 ‘피고 홈플러스’란 기재 200,000원)과 피고 홈플러스 주식회사 사이에 생긴 부분의 1/3은 위 원고들이, 나머지는 위 피고가 각 부담하고, ④ 별지3, 4 목록 기재 원고들에 모두 해당하는 원고들(별지1 표의 인용금액 중 ‘피고 홈플러스’란 기재 100,000원)과 피고 홈플러스 주식회사 사이에 생긴 부분의 2/3는 위 원고들이, 나머지는 위 피고가 각 부담하며, ⑤ 별지3 목록 기재 원고들 또는 별지4 목록 기재 원고들 중 하나에만 해당하는 원고들(별지1 표의 인용금액 중 ‘피고 홈플러스’란 기재 50,000원)과 피고 홈플러스 주식회사 사이에 생긴 부분의 5/6는 위 원고들이, 나머지는 위 피고가 각 부담하고, ⑥ 별지5 목록 기재 원고들과 피고 홈플러스 주식회사 사이에 생긴 부분은 위 원고들이 부담하며, 나. 별지3 목록 기재 원고들과 피고 라이나생명보험 주식회사 사이에 생긴 부분의 3/4은 위 원고들이, 나머지는 위 피고가 각 부담하고, 별지2 목록 기재 원고들과 피고 라이나생명보험 주식회사 사이에 생긴 부분은 위 원고들이 각 부담하며, 다. 별지4 목록 기재 원고들과 피고 신한생명보험 주식회사 사이에 생긴 부분의 3/4은 위 원고들이, 나머지는 위 피고가 각 부담하고, 별지2 목록 기재 원고들과 피고 신한생명보험 주식회사 사이에 생긴 부분은 위 원고들이 각 부담한다. 4. 제1항은 가집행할 수 있다. 【청구취지1)】 1. 피고 홈플러스 주식회사(이하 ‘피고 홈플러스’라 한다)는 별지2 내지 5 목록 기재 원고들에게 각 300,000원 및 이에 대한 별지2 내지 4 목록 기재 원고들은 2014. 9. 1.부터, 별지5 목록 기재 원고들은 2015. 1. 30.부터 각 이 사건 소장 부본 송달일까지는 연 5%의, 그 다음날부터 다 갚는 날까지는 연 15%의 각 비율로 계산한 돈을 지급하라. 2. 피고 라이나생명보험 주식회사(이하 ‘피고 라이나생명’이라 한다)는 피고 홈플러스와 연대하여 별지2. 3 목록 기재 원고들에게 위 제1항 기재 금원 중 각 200,000원 및 이에 대한 2014. 9. 1.부터 이 사건 소장 부본 송달일까지는 연 5%의, 그 다음날부터 다 갚는 날까지는 연 15%의 각 비율로 계산한 돈을 지급하라. 3. 피고 신한생명보험 주식회사(이하 ‘피고 신한생명’이라 한다)는 피고 홈플러스와 연대하여 별지2, 4 목록 기재 원고들에게 위 제1항 기재 금원 중 각 200,000원 및 이에 대한 2014. 9. 1.부터 이 사건 소장 부본 송달일까지는 연 5%의, 그 다음날부터 다 갚는 날까지는 연 15%의 각 비율로 계산한 돈을 지급하라. [각주1] 별지1 표가 추가된 점과 아래 판단 순서를 고려하여 이 사건 2016. 8. 23.자 청구취지 및 청구원인 변경신청시에 기재된 ① 별지1 ‘신한생명보험에 개인정보가 불법제공된 원고 목록’은 별지4 ‘목록(사전필터링을 위해 피고 신한생명에게 개인정보가 제공된 원고 목록)’으로 ② 별지2 ‘라이나생명보험에 개인정보가 불법제공된 원고 목록은 별지3 ‘목록(사전필터링을 위해 피고 라이나생명에게 개인정보가 제공된 원고 목록으로, 별지3 ‘신한생명보험, 라이나생명보험 등에 개인정보가 불법제공된 원고 목록’은 별지2 ‘목록(경품행사에 응모한 원고 목록)’으로 별지4 ‘개인정보 열람을 거부당한 원고 목록’은 별지5 ‘목록(개인 정보 열람을 거부당하였다고 주장하는 원고 목록)'으로 그 순서를 변경하였다. 【이유】 1. 기초사실 가. 당사자의 지위 1) 피고 홈플러스는 1999. 4. 20. 하이퍼마켓 상점의 개발과 운영 등을 비롯한 물류·유통 등을 영위할 목적으로 설립된 회사이고, 전국적으로 139개의 대형마트, 286개의 직영점(익스프레스), 8개의 물류유통센터, 인터넷 쇼핑몰 등을 운영하고 있다. 2) 피고 라이나생명과 피고 신한생명은 보험업법에 따른 보험업을 영위할 목적으로 설립된 회사들이다(이하 위 피고들을 통틀어 칭할 때 ‘피고 보험회사들’이라 한다) 3) 원고들은, 피고 홈플러스의 패밀리 멤버십 카드 회원(이하 ‘FMC 회원’이라 한다)이거나 피고 홈플러스가 개최한 경품행사에 응모한 사람들이다. 나. 피고 홈플러스의 경품행사 개최 및 개인정보 수집·판매 1) 피고 홈플러스는 2000년경부터 FMC 회원을 모집하면서 회원정보를 수집하였고, 2003년경부터 개인정보의 제3자 제공에 동의한 고객들에 대한 정보를 제휴카드사업자에게 제공하였으며, 2007년경부터 보험회사들에게 고객들의 개인정보를 판매하였다. 2) 피고 홈플러스는 FMC 회원 가입신청서의 양식이 변경되는 등의 이유로 보험회사들에게 판매할 개인정보가 부족해지자, 신유통서비스본부 산하 보험서비스팀 주관으로 경품행사를 통해 개인정보를 수집하여 이를 판매하는 사업을 기획하였고, 이에 따라 2009년경부터 고객들에 대한 경품행사를 시작하였다. 3) 피고 홈플러스는 2011. 10. 27.경 피고 라이나생명과, 2010. 6. 17.경 피고 신한생명과 피고 홈플러스 고객들의 개인정보를 1건당 1,980원에 판매하기로 하는 업무제휴 약정을 체결하였다. 이어서 피고 홈플러스는 2011년 12월경부터 2014년 6월경까지 11회에 걸쳐 경품행사(이하 ‘이 사건 경품행사’라 한다)를 실시하였는데, 이를 통하여 경품행사에 응모한 고객들의 개인정보(성명, 생년월일 또는 주민등록번호, 휴대전화번호, 자녀 수, 부모님과 동거 여부 등) 합계 약 712만 건을 수집하고 그 처리(제3자 제공)에 관한 동의를 받았으며, 그 중 약 600만 건을 피고 라이나생명, 신한생명 등에 판매함으로써 약 119억 원을 지급받았다. 4) 이 사건 경품행사는 벤츠 승용차, 다이아몬드 반지 등을 경품으로 내걸었고, 피고 홈플러스 매장을 방문하거나 물건을 구매하지 않는 사람도 참여할 수 있도록 되어 있다. 피고 홈플러스는 전단지, 인터넷 홈페이지, 물품구매 영수증 등을 통해 경품행사를 광고하였는데(이하 ‘이 사건 광고’라 한다), 이 사건 광고 및 응모권(15cm × 7cm 크기) 앞면에는 경품 사진과 함께 커다란 글씨로 ‘창립 14주년 고객감사 대축제’, ‘그룹 탄생 5주년 기념’, ‘브라질 월드컵 승리 기원’, ‘홈플러스가 올해도 10대를 쏩니다’ 등의 문구가 기재되어 있고, 응모권 뒷면과 인터넷 응모 화면에는 [개인정보 수집, 취급위탁, 이용동의]라는 제목 하에 ‘수집/이용목적’은 ‘경품 추첨 및 발송, 보험마케팅을 위한 정보 제공, 홈플러스 제휴상품 소개 및 제휴사에 대한 정보 제공 동의 업무' 등이, [개인정보 제3자 제공]이라는 제목 하에 ‘개인정보를 제공받는 자’는 ‘피고 라이나생명, 신한생명' 등이, ‘이용목적’은 ‘보험상품 등의 안내를 위한 전화 등 마케팅자료로 활용됩니다.’라는 내용 등이 약 1mm 크기의 글씨로 기재되어 있으며, 말미에는 '기재/동의 사항 일부 미기재, 미동의, 서명 누락시 경품추첨에서 제외됩니다.'라는 사항이 붉은 글씨로 인쇄되어 있다. 5) 원고들 중 별지2 목록 기재 원고들은 이 사건 경품행사에 응모한 사람둘인데 피고 홈플러스가 위 원고들의 개인정보를 피고 라이나생명, 신한생명 등 보험회사들에게 판매하였다(이하 별지2 목록 기재 원고들을 ‘경품행사 응모 원고들’이라 한다). 다. 피고 홈플러스의 피고 보험회사들에 대한 FMC 회원 개인정보의 제공 1) 피고 홈플러스는 FMC 회원 중 가입과징에서 개인정보 제3자 제공에 동의한 고객(이하 ‘동의 FMC 회원’이라 한다)의 정보를 피고 보험회사들에게 제공해 오다가, FMC 회원 중 아직 개인정보 제3자 제공에 동의하지 않은 고객(이하 ‘미동의 FMC 회원’이라 한다)에 대하여도 피고 홈플러스와 위탁계약이 체결된 와이엘코리아 주식회사(이하 ‘와이엘코리아’라고만 한다)의 상담원들이 전화를 걸어 제3자 제공 동의를 얻은 후(이하 ‘퍼미션 콜’이라 한다) 제3자 제공에 동의한 고객들의 데이터베이스(이하 ‘퍼미션 DB’라 한다)를 피고 보험회사들에게 제공하여 왔다. 이후 피고 보험회사들은 피고 홈플러스로 부터 제공받은 퍼미션 DB를 자신들이 보유한 개인정보 데이터베이스와 비교·분석하여, 그 중 ① 피고 보험회사들에게 보험 안내 전화를 받지 않겠다는 의사를 밝힌 고객, ② 피고 보험회사들과 이미 보험계약을 체결한 고객, ③ 최근 3~6개월 내에 보험 텔레마케팅 통화를 한 적이 있는 고객, ④ 피고 보험회사들의 블랙리스트에 등록된 고객 등을 걸러내는 이른바 필터링 작업을 수행하고, 남은 고객들에 대해서만 피고 홈플러스에게 수수료를 지급하고 그들을 대상으로 보험 텔레마케팅 영업을 하였다. 2) 피고 홈플러스는 퍼미션 콜 업무를 와이엘코리아에게 위탁하고, 개인정보 제3자 제공에 관한 동의를 반은 고객 1인당 1,700원을 수수료로 지급하기로 하였으나, 피고 보험회사들의 필터링을 통해 걸러진 개인정보에 대해서는 수수료를 지급하지 않았다. 3) 피고 홈플러스는 피고 라이나생명과 2009. 2. 27.자 업무제휴계약, 2009. 10. 1.자 업무제휴 부속계약, 2010. 6. 11.자 업무제휴 부속계약을 체결하였고, 피고 신한생명과 2011. 6. 20.자 업무제휴계약 부속약정을 체결하였다. 위 각 계약 또는 약정에는 퍼미션 콜 업무가 피고 보험희사들의 텔레마케팅을 위하여 필요한 ‘보험 텔레마케팅 자원 업무’로 규정되어 있었다. 그 구체적인 내용은, 피고 보험회사들이 피고 홈플러스의 고객들을 상대로 보험 텔레마케팅을 할 수 있도록, 피고 홈플러스가 자신의 고객들에게 피고 보험회사들로부터 보험 관련 상담을 받을 의사가 있는지 여부와 개인정보 제3자 제공에 동의하는지 여부를 확인하여 그에 동의한 고객의 개인정보를 건당 2,800원에 피고 보힘회사들에게 제공하는 것이다. 다만, 이미 피고 보험회사들과 보험계약이 체결 되어 있거나 3~6개월 내에 보험 텔레마케팅 통화를 한 적이 있는 고객 등은 수수료 산정에서 제외하였다. 4) 위와 같은 수수료 산정 방식으로 인하여 피고 홈플러스는 피고 보험회사들에게 제공한 퍼미션 DB 중 피고 보험회사들이 필터링을 통하여 걸러내는 개인정보의 비율을 줄이기 위하여 피고 보험회사들에게 필터링 조건을 완화해 달라고 요구하는 등 노력을 하였으나, 필터링을 거치고 남은 유효 데이터베이스의 비율이 점차 줄어드는 등 수익성이 악화되었다. 이에 피고 홈플러스는 피고 보험회사들에게 이른바 사전 필터링을 제안하게 되었는데, 그 내용은 피고 홈플러스의 입장에서는 종전에 피고 보험회사들이 제3자 제공 동의를 받은 개인정보 데이터베이스를 건네받은 이후에 시행하던 필터링 절차를 고객들로부터 제3자 제공 동의를 받기 이전에 시행하게 되면 불필요한 퍼 미션 콜 절차를 줄일 수 있는 이점이 있고, 피고 보험회사들로서도 어차피 거쳐야 할 필터링 절차를 미리 시행하는 불편밖에 없으니 필터링을 사전에 시행하도록 해달라는 것이었다. 피고 보험회사들은 위와 같은 요청을 받아들였다. 5) 이에 따라 피고 홈플러스는 사전필터링을 위해 피고 라이나생명에게 별지3 목록 기재 원고들의 개인정보를, 피고 신한생명에게 별지4 목록 기재 원고들의 개인정보를 각 제공하였다. 피고 보험화사들은 피고 홈플러스의 웹하드를 통하여 제공받은 개인정보 데이터베이스를 사전필터링하여 다시 위 웹하드에 업로드하였고, 피고 홈플러스는 그 데이터베이스를 가지고 퍼미션 콜 작업을 수행한 후 동의를 받은 고객들의 개인정보를 다시 피고 보험회사들에게 제공하였다. 한편, 피고 보험회사들은 사전필터링을 마친 개인정보 데이터베이스를 피고 홈플러스의 웹하드에 업로드한 후 자신들의 시스템에서는 이를 모두 삭제하였다. 6) 원고들 중 별지3, 4 목록 기재 원고들은 미동의 FMC 회원들인데, 피고 홈플러스가 사전필터링을 위하여 위 원고들의 개인정보를 피고 보험회사들에게 제공하였다(이하 별지3, 4 목록 기재 원고들을 합하여 ‘미동의 FMC 원고들’이라 한다). 라. 피고들에 대한 형사소송 진행 경과 1) 개인정보범죄 정부합동수사단은 2015. 1. 30. ① 피고 홈플러스와 피고 홈플러스의 임직원에 대하여 보험회사에 판매할 목적으로 고객들의 개인정보를 수집하면서도 경품이벤트를 내세워 응모고객들의 개인정보 약 712만 건을 불법수집하였다는 혐의(부정한 방법에 의한 개인정보 취득 등으로 인한 개인정보보호법위반)와 ② 피고 홈플러스와 피고 홈플러스의 직원, 피고 보험회사들의 직원에 대하여 회원정보 약 1,694만 건을 회원의 동의 없이 사전필터링을 위해 불법제공하거나 제공받았다는 혐의[미동의 개인정보 제공으로 인한 개인정보보호법위반 및 정보통신망이용촉진및정보보호등에관한법률위반(개인정보누설등)]로 기소하였다. 2) 제1심 법원은 2016. 1. 8. 피고 홈플러스의 임직원이 거짓 그 밖의 부정한 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받았다고 보기 어렵고, 피고 보험회사들은 개인정보 보호법 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라 한다)에서 규정하는 제3자가 아니라 피고 홈플러스를 위하여 피고 홈플러스의 퍼미션 콜 업무의 일부를 수행하는 수탁자로서의 지위를 가진다는 이유로 피고 홈플러스와 피고 홈플러스의 임직원, 피고 보험회사들의 직원에 대하여 모두 무죄를 선고하였다(서울중앙지방법원 2015고단510). 이에 대하여 검사가 항소하였으나 항소심 법원은 2016. 8. 12. 항소를 기각하였고(서울중앙지방법원 2016노223), 이에 대하여 검사가 상고하였다. 3) 대법원은 2017. 4. 7. 피고 홈플러스의 임직원이 이 사건 경품행사를 진행하면서 고객들의 개인정보를 수집한 것은 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받은 경우’에 해당하고, 피고 홈플러스의 직원이 피고 보험회사들의 직원에게 사전 필터링을 위해 미동의 FMC 회원들의 개인정보를 제공한 것은 피고 홈플러스의 업무를 피고 보험회사들에게 ‘처리위탁’한 것이 아니라 개인정보 보호법 제17조와 정보통신망 법 제24조의2에서 말하는 개인정보의 ‘제3자 제공’에 해당한다는 이유로 위 항소심 판결을 파기환송하였다(대법원 2016도13263). 4) 현재 파기환송심(서울중앙지방법원 2017노1296)이 진행 중이다. 마. 피고 홈플러스 등에 대한 공정거래위원회의 행정제재 및 행정소송 진행 경과 1) 공정거래위원회는 2015. 5. 1. 피고 홈플러스와 홈플러스스토어즈 주식회사에 대하여 ‘경품행사에 대해 광고하면서 소비자의 개인정보를 수집하여 제3자에게 제공하는 것을 조건으로 경품을 지급한다는 사실을 숨기고 마치 고객 사은행사의 일환으로 경품을 지급하는 것처럼 소비자를 속이거나 소비자로 하여금 잘못 알게 할 우려가 있는 기만적인 광고행위를 하였다’는 이유로 시정명령과 과징금납부명령을 부과하였다. 2) 피고 홈플러스와 홈플러스스토어즈 주식회사는 이에 대하여 취소소송을 제기하였으나, 법원은 2016. 10. 19. 피고 홈플러스의 경품행사 광고가 표시·광고의 공정화에 관한 법률(이하 ‘표시광고법’이라 한다) 재3조 제1항 제2호의 기만적인 광고행위에 해당하는 이유로 청구를 기각하였고(서울고등법원 2015누45177), 이에 피고 홈플러스 등이 상고하였으나, 대법원은 2017. 4. 7. 상고를 기각하였다(대법원 2016두61242). [인정근거] 다툼 없는 사실, 갑 제7 내지 10, 15, 16호증(가지번호 있는 증거는 가지 번호 포함, 이하 같다), 을가 제 1, 2, 3, 8호증, 을나 제1호증, 을다 제1, 2, 4호증의 각 기재, 변론 전체의 취지 2. 피고 홈플러스에 대한 청구에 관한 판단 가. 당사자들의 주장 1) 원고들의 주장 가) 경품행사를 통해 개인정보를 수집·판매한 행위 피고 홈플러스는 이 사건 경품행사를 광고하면서 피고 홈플러스가 원고들의 개인정보를 수집하여 피고 보험회사들에게 판매한다는 점을 숨기고 마치 고객 사은행사의 일환으로 경품을 지급하는 것처럼 기만적인 광고행위를 하고, 이 사건 경품행사 응모권에 명확하게 고지되어야 하는 사항들인 개인정보 보호법 제15조 제2항에 따른 개인정보의 수집·이용 목적 등의 사항이나 같은 법 제17조 제2항에 따른 개인정보를 제공받는 자 등의 사항을 약 1mm의 읽기 어려운 작은 글씨로 기재하였다. 이러한 행위는 개인정보 보호법 제22조 제1항, 표시광고법 제3조 제1항 제2호 위반에 해당한다. 피고 홈플러스는 이 사건 경품행사 응모에 있어서 불필요한 항목인 주민등록번호 또는 생년월일, 성별, 자녀 수, 부모님 동거 여부 등의 개인정보를 수집하고, 추가 정보에 대해 동의를 하지 않는 경우에는 경품 당첨 기회를 박탈하였다. 이러한 행위는 개인정보 보호법 제16조 위반에 해당한다. 피고 홈플러스가 위와 같은 방법으로 이 사건 경품행사를 통해 경품행사 응모 원고들의 개인정보를 취득하고 그 처리에 관한 동의를 받은 행위는 개인정보 보호법 제59조 제1호 위반에 해당한다. 따라서 피고 홈플러스는 개인정보보호법 제39조, 민법 제756조에 따라 손해를 배상할 책임이 있다. 나) 사전필터링율 위해 개인정보를 제공한 행위 피고 홈플러스는 사전필터링을 위하여 미동의 FMC 원고들의 개인정보를 위 원고들의 동의 없이 피고 보험회사들에게 제공하였고, 피고 보험회사들의 사전필터링을 거친 후 선별된 원고들의 개인정보를 피고 보험회사들로부터 다시 제공받아 이를 위 원고들에 대한 정보에 축적·연동·기록·저장하였으며, 위 정보를 이용하여 와이엘코리아를 통해 퍼미션 콜 절차를 수행하였다. 이러한 행위는 개인정보 보호법 제17조, 정보통신망법 제24조의2를 위반한 것이다. 따라서 피고 홈플러스는 개인정보보호법 제39조, 민법 제756조에 따라 손해를 배상할 책임이 있다. 다) 그 밖의 행위 피고 홈플러스는 사전필터링 및 경품행사 관련하여 정보주체의 동의를 받지 않고 불법적으로 개인정보를 유출하였음에도 원고들에게 그 사실을 통지하지 않았으므로 개인정보 보호법 제34조 및 정보통신망법 제27조의3을 위반하였다. 또한 피고 홈플러스는 원고들의 개인정보 열람신청을 부당하게 거부하였으므로 개인정보보호법 제35조를 위반하였다. 따라서 피고 홈플러스는 개인정보보호법 제39조, 민법 제756조에 따라 손해를 배상할 책임이 있다. 2) 피고 홈플러스의 주장 가) 경품행사를 통해 개인정보를 수집·판매한 행위 원고들의 개인정보자기결정권이 침해되었다고 하여 곧바로 정신적 손해가 발생하는 것은 아니다. 정신적 손해가 인정되더라도 피고 홈플러스의 위법성에 대한 인식이 미약하였고, 정보주체가 입은 현실적 손해가 적으므로 손해액이 감경되어야 한다. 나) 사전필터링을 위해 개인정보를 제공한 행위 피고 홈플러스가 사전필터링을 위해 미동의 FMC 원고들의 개인정보를 피고 보험회사들에게 제공한 행위는 개인정보의 ‘제3자 제공’이 아니라 ‘처리위탁'에 해당하므로 정보주체의 별도의 동의가 필요하지 않다. 설령 위 행위가 개인정보의 ‘제3자 제공’에 해당하여 정보주체의 동의가 필요하다고 하더라도, 피고 보험회사들은 제공받은 개인정보를 자체적으로 보유하고 있는 데이테베이스와 기계적으로 단순 대조하여 퍼미션 콜 대상자를 선별하는 사전필터링 목적으로만 사용하였을 뿐 위 개인정보를 다른 용도로 이용하지 않았고, 사전필터링 수행 후 제공받은 개인정보를 즉시 삭제하여 제3자의 열람가능성이나 추가적인 법익 침해 가능성이 없었으며, 오히려 원고들은 불필요한 퍼미션 콜을 반지 않게 되는 이익을 얻었고, 피고 홈플러스가 사전필터링에 대한 대가를 받은 것도 없으므로, 피고 홈플러스의 위 행위로 인해 정보주체인 원고들이 입은 정신 적 손해가 없다. 따라서 피고 홈플러스는 손해배상책임을 부담하지 않는다. 다) 그 밖의 행위 개인정보의 유출에 해당하지 않으므로 피고 홈플러스는 통지의무가 없고, 원고들의 개인정보 열람신청에 대하여 확인 가능한 범위 내에서 모두 회신하였으므로, 피고 홈플러스는 원고들에 대하여 손해배상책임을 부담하지 않는다. 나. 불법행위 성립 여부 1) 경품행사를 통해 개인정보를 수집·판매한 행위(별지2 목록 기재 원고들) 가) 관련 법리 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 그러한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다(대법원 2014. 7. 24. 선고 2012다49933 판결. 대법원 2016. 8. 17. 선고 2014다235080 판결 등 참조). 개인정보 보호법은 ‘개인정보를 처리하거나 처리하였던 자가 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받는 행위’를 금지하고(제59조 제1호). 이를 위반하여 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 개인정보 처리에 관한 동의를 받는 행위를 한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자’를 3년 이하의 징역 또는 3천만 원 이하의 벌금에 처하도록 규정하고 있다(제72조 제2호). 이와 같은 개인정보자기결정권의 법적 성질, 개인정보 보호법의 입법 목적, 개인정보 보호법상 개인정보 보호 원칙 및 개인정보처리자가 개인정보를 처리함에 있어서 준수하여야 할 의무의 내용 등을 고려하여 볼 때, 개인정보 보호법 제72조 제2호에 규정된 ‘거짓이나 그 밖의 부정한 수단이나 방법’이라 함은 개인정보를 취득하거나 또는 그 처리에 관한 동의를 받기 위하여 사용하는 위계 기타 사회통념상 부정한 방법이라고 인정되는 것으로서 개인정보 취득 또는 그 처리에 동의할지 여부에 관한 정보주체의 의사결정에 영향을 미칠 수 있는 적극적 또는 소극적 행위를 뜻한다고 봄이 타당하다. 그리고 거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 그 처리에 관한 동의를 받았는지 여부를 판단함에 있어서는 개인정보처리자가 그에 관한 동의를 받는 행위 그 자체만을 분리하여 개별적으로 판단하여서는 안 되고, 개인정보처리자가 개인정보를 취득하거나 처리에 관한 동의를 받게 된 전 과정을 살펴보아 거기에서 드러난 개인정보 수집 등의 동기와 목적, 수집 목적과 수집 대상인 개인정보의 관련성, 수집 등을 위하여 사용한 구체적인 방법, 개인정보 보호법 등 관련 법령을 준수하였는지 여부 및 취득한 개인정보의 내용과 규모, 특히 민감정보·고유식별정보 등의 포함 여부 등을 종합적으로 고려하여 사회통념에 따라 판단하여야 한다(대법원 2017. 4. 7. 선고 2016도13263 판결 등 참조). 나) 개인정보 보호법 제22조 제1항, 표시광고법 제3조 제1항 제2호 위반 여부 (1) 관련 규정 (2) 판단 이 사건 경품행사의 주된 목적이 경품 당첨을 기대하고 응모하는 고객들의 개인정보를 수집하여 이를 보험회사들에게 대가를 받고 판매하는 데 있었던 사실, 이 사건 광고 및 응모권 앞면에서는 경품행사를 광고하였을 뿐, 피고 홈플러스가 고객의 개인정보를 수집하고 이를 제3자에게 제공한다는 점에 관한 기재가 누락되어 있는 사실, 이 사건 경품행사의 응모권 뒷면에 기재된 동의 관련 사항은 약 1mm 크기의 글씨로 기재 되어 있는 사실은 앞서 인정한 바와 같다. 일반적인 소비자가 이 사건 광고를 접하면 오로지 고객에 대한 사은행사의 일환으로 경품행사를 실시하는 것으로 받아들일 가능성이 큰데, 소비자의 입장에서는 이 사건 경품행사가 아무런 대가 없이 이루어지는 단순 사은행사인지 자신의 개인정보를 수집하여 보험회사 등에게 제공하는 대가로 경품을 제공하는 행사인지 여부가 이 사건 경품행사에 응모할지 여부에 영향을 미치는 중대한 요소라고 보인다. 그러나 응모권 뒷면에 기재된 동의 관련 사항은 소비자의 입장에서 그 내용을 읽기가 쉽지 않아 원고들 의 입장에서는 짧은 시간 동안 응모권을 작성하거나 응모화면에 입력을 하면서 그 내용을 정확히 파악하여 잘못된 인식을 바로잡기가 어려웠을 것으로 보인다. 이와 같은 사정을 종합하면, 피고 홈플러스의 위와 같은 행위는 개인정보처리자가 정보주체의 동의를 반을 때에는 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 하여야 산다는 개인정보 보호법 제22조 제1항에 위배되고, 소비자를 속이거나 소비자로 하여금 잘못 알게 할 우려가 있는 기만적인 표시·광고를 금지하고 있는 표시광고법 제3조 제1항 제2호에도 위배된다. 다) 개인정보 보호법 제16조 위반 여부 (1) 관련 규정 (2) 판단 이 사건 경품행사에 응모한 고객들은 응모권 뒷면과 인터넷 응모화면에 기재되어 있는 ‘개인정보 수집 및 제3자 제공 동의’ 등 사항이 경품행사 진행을 위하여 필요한 것으로 받아들일 가능성이 크다. 그런데 이 사건 경품행사의 응모권에 따라서는 경품추첨 사실을 알리는 데 필요한 개인정보와 관련 없는 ‘응모자의 성별, 자녀 수, 동거 여부’ 등 사생활의 비밀에 관한 정보와 심지어는 주민등록번호와 같은 고유식별정보까지 수집하면서 이에 관한 동의를 하지 않을 때에는 응모가 되지 아니하거나 경품 추첨에서 제외된다고 고지하고 있다. 이는 개인정보처리자가 개인정보를 수집하는 경우 그 목적에 필요한 최소한의 개인정보 수집에 그쳐야 하고 이에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 안 된다는 개인정보 보호법 제16조에 위배된다. 라) 개인정보 보호법 제59조 제1호 위반 여부 (1) 관련 규정 (2) 판단 앞서 인정한 바와 같이 피고 홈플러스가 이 사건 광고 및 경품행사의 주된 목적을 숨긴 채 사은행사를 하는 것처럼 원고들을 오인하게 한 다음 경품행사와 무관한 개인정보까지 수집하여 이를 제3자에게 제공한 점, 피고 홈플러스가 이러한 행위를 하면서 개인정보 보호법상의 제반 의무를 위반한 점, 피고 홈플러스가 수집한 개인정보에는 사생활의 비밀에 관한 정보나 고유식별정보 등도 포함되어 있는 점 등을 종합하여 보면, 피고 홈플러스는 개인정보 보호법 제59조 제1호를 위반하여 ‘거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위’를 하였다고 할 것이다. 마) 소결 이와 같은 사정을 종합하면, 피고 홈플러스가 경품행사를 통해 개인정보를 수집·판매한 행위는 경품행사에 참가한 원고들의 개인정보자기결정권을 침해한 불법행위로서, 피고 홈플러스는 경품행사 응모 원고들에게 이로 인한 손해배상책임을 부담한다. 2) 사전필터링을 위해 개인정보를 제공한 행위(별지3, 4 목록 기재 원고들) 가) 관련 규정 나) 관련 법리 개인정보 보호법 제71조 제1호는 제17조 제1항 제1호를 위반하여 정보주체의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알고 개인정보를 제공받은 자를 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다고 규정하고 있다. 그리고 정보통신망법 제71조 제3호는 제24조의2 제1항을 위반하여 이용자의 동의를 받지 아니하고 개인정보를 제3자에게 제공한 자 및 그 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받은 자를, 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다고 규정하고 있다. 한편 개인정보 보호법 제26조와 정보통신망법 제25조는 개인정보처리자와 정보통신서비스 제공자의 개인정보 처리업무 위탁에 관한 내용을 정하고 있다. 위 각 법률 조항의 문언 및 취지에 비추어 보면, 개인정보 보호법 제17조와 정보통신망법 제24조의2에서 말하는 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우인 반면, 개인정보 보호법 제26조와 정보통신망법 제25조에서 말하는 개인정보의 ‘처리위탁’은 본래의 개인정보 수집·이용 목직과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미한다. 개인정보 처리위탁에 있어 수탁자는 위탁자로부터 위탁사무 처리에 따른 대가를 지급받는 것 외에는 개인정보 처리에 관하여 독자적인 이익을 가지지 않고, 정보제공자의 관리·감독 아래 위탁받은 범위 내에서만 개인정보를 처리하게 되므로, 개인정보 보호법 제17조와 정보통신망법 제24조의2에서 정한 ‘제3자’에 해당하지 않는다. 한편, 어떠한 행위가 개인정보의 제공인지 아니면 처리위탁인지는 개인정보의 취득 목적과 방법, 대가 수수 여부, 수탁자에 대한 실질적인 관리·감독 여부, 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향 및 이러한 개인정보를 이용할 필요 가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 한다(대법원 20]7. 4. 7. 선고 2016도13263 판결 등 참조). 다) 판단 (1) 앞서 본 사실관계 및 변론 전체의 취지를 종합하여 인정되는 다음과 같은 사정에 비추어 보면, 피고 보험회사들은 단순한 수탁자로서가 아니라 자신들의 독자적인 이익과 업무 처리를 위하여 피고 홈플러스로부터 미동의 FMC 원고들의 개인정보를 제공받은 ‘제3자’에 해당하고, 피고 홈플러스가 피고 보험회사들에게 사전필터링을 위해 미동의 FMC 원고들의 개인정보를 이전해 준 행위는 개인정보 보호법 및 정보통신망법에서 말하는 개인정보의 재3자 제공에 해당한다. (가) FMC 회원들의 성명·주민등록번호·연락처 등 개인정보는 실질적으로 보험회 사들인 피고 보험회사들이 보험마케팅 영업을 하는 데 필요한 것이다. (나) 피고 보험회사들이 한 필터링은 보험상품 판매에 적합한 대상자를 선정함으로써 보험 텔레마케팅의 효율을 높이기 위한 것이므로 피고 보험회사들의 업무에 해당하고, 사전필터링의 경우에도 위와 같은 필터링 업무의 목적이나 성격 자체가 변한다고 보기 어렵다. 또한 퍼미션 콜 업무도 피고 보험회사들의 보험 텔레마케팅 업무를 분담·지원하는 성격을 가지므로, 설령 사전필터링을 퍼미션 콜 업무의 부수업무로 보더라도 이를 온전히 피고 홈플러스의 업무라고 보기는 어렵다. 사전필터링 업무는 피고 홈플러스의 업무임과 동시에 피고 보험회사들의 업무로서의 성격을 가지고, 피고 보험회사들은 위와 같은 업무 처리에 관하여 독자적인 이익을 가진다고 볼 수 있다. (다) 피고 보험회사들의 담당 직원들은 일단 사전필터링에 필요한 개인정보 데이터 베이스를 각자의 업무용 컴퓨터에 다운로드 받은 후에는 이를 자유롭게 복사, 편집, 이용, 전송할 수 있었고, 피고 홈플러스는 그에 관하여 아무런 관리·감독을 하지 않았던 것으로 보이며, 피고 홈플러스가 피고 보험회사들에게 명확한 필터링 기준을 정해준 것으로 보이지도 않는다. 따라서 피고 홈플러스가 미동의 FMC 원고들의 동의 없이 위 원고들의 개인정보를 피고 보험회사들에게 제공한 행위는 개인정보 보호법 제17조 및 정보통신망법 제24조의2에 위배되고 위 원고들의 개인정보자기결정권을 침해한 불법행위로서, 피고 홈플러스는 위 원고들에게 이로 인한 손해배상책임을 부담한다. (2) 한편 원고들은 피고 홈플러스가 피고 보험회사들의 사전필터링을 거친 후 선별된 원고들의 개인정보를 피고 보험회사들로부터 다시 제공받아 이를 원고들에 대한 정보에 축적하여 연동·기록·저장·보유하고, 그 후 위 정보를 이용하여 와이엘코리아를 통해 퍼미션 콜 업무를 수행한 것이 별도의 불법행위라는 취지로 주장한다. 그러나 피고 홈플러스가 피고 보험회사들의 사전필터링을 거친 후 원고들의 개인정보를 다시 제공받은 것은 앞서 불법행위로 인정된 미동의 FMC 원고들의 개인정보를 제공한 행위에 수반되는 행위로서 별도의 불법행위에 해당한다고 보기 어렵고, 그 후 피고 홈플러스가 와이엘코리아를 통해 퍼미션 콜 업무를 수행한 것은 개인정보의 ‘처리위탁’에 해당하는 것으로서 FMC 회원가입 당시 고지하거나 동의를 받은 부분이므로 불법행위에 해당한다고 단정할 수 없다. 따라서 원고들의 이 부분 주장은 이유 없다. 3) 그 밖의 행위(별지5 목록 기재 원고들) 가) 개인정보 보호법 제34조 및 정보통신망법 제27조의3 위반 여부 (1) 관련 규정 (2) 판단 개인정보 보호법과 정보통신망법은 개인정보처리자가 정보주체의 동의를 받지 않고 개인정보를 제3자에게 제공하는 것(개인정보 보호법 제17조, 정보통신망법 제24조의2)과 개인정보가 유출된 경우(개인정보 보호법 제34조, 정보통신망법 제27조의3)를 구분하여 규정하고, 각 위반시 제재 또한 달리 규정하고 있다. 또한 행정안전부 제정 표준 개인정보보호지침 제26조에 따르면, 개인정보의 유출이란 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보 처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 것을 의미한다. 위 관련 규정의 내용 등에 비추어 볼 때, 피고 홈플러스가 피고 보험회사들에게 미동의 FMC 원고들의 개인정보를 이전하거나 경품행사 응모 원고들의 개인정보를 제공한 것은 개인정보 처리자인 피고 홈플러스의 의사에 기한 것이므로 개인정보 보호법 제34조, 정보통신망법 제27조의3에서 규정한 개인정보의 유출로 볼 수 없다. 따라서 원고들의 이 부분 청구는 이유 없다. 나) 개인정보 보호법 제35조 위반 여부 (1) 관련 규정 (2) 판단 원고들이 피고 홈플러스의 협조에 따라 피고 홈플러스가 피고 보험회사들에게 미동의 FMC 원고들의 개인정보를 제공한 내역, 이 사건 경품행사를 통해 경품행사 응모원고들의 개인정보를 수집한 내역 등율 확인하고 이에 따라 별지2 내지 4 목록 기재와 같이 불법행위 유형별로 원고들을 특정한 점 등에 비추어 보면, 피고 홈플러스는 원고들의 개인정보 열람 신청에 대하여 가능한 범위 내에서 협조한 것으로 볼 수 있고, 갑 제2, 4, 5호증의 각 기재만으로는 피고 홈플러스가 정당한 사유 없이 원고들의 열람을 거부하였다거나 그로 인해 원고들이 손해를 입었다고 인정하기 부족하며, 달리 이를 인정할 증거가 없다. 따라서 원고들의 이 부분 청구 또한 이유 없다. 다. 손해의 발생 여부(별지2 내지 4 목록 기재 원고들) 1) 개인정보를 처리하는 자가 수집한 개인정보를 그 피용자가 해당 개인정보의 정보 주체의 의사에 반하여 유출한 경우, 그로 인하여 그 정보주체에게 위자료로 배상할 만 ㅎ한 정신적 손해가 발생하였는지 여부는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보의 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 그 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보의 유출로 추가적인 법익침해의 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보의 유출로 인한 피해의 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다(대법원 2012. 12. 26. 선고 2011다59834, 59858, 59841 판결 등 참조). 2) 앞서 인정한 사실관계 및 변론 전체의 취지를 종합하여 인정되는 다음과 같은 사정을 종합해 보면, 원고들이 앞서 인정한 피고 홈플러스의 불법행위로 인하여 정신적 고통을 받았을 것임은 경험칙에 따라 인정할 수 있다. 가) 피고 홈플러스가 경품행사 과정에서 수집한 원고들의 개인정보는 원고들의 이름, 생년월일, 성별, 휴대전화번호, 자녀수, 부모님 동거 여부 등이고, 사전필터링을 위해 피고 보험회사들에게 제공한 원고들의 개인정보는 원고들의 이름, 휴대전화번호, 생년월일, 이메일 주소 등이다. 위 정보 자체는 개인정보 보호법 제23조, 정보통신망법 제23조에서 처리를 원칙적으로 금지하고 있는 사상·신념·정치적 견해·건강 등에 관한 정보와 같이 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보는 아니지만, 정보주체를 식별할 수 있는 주요한 내용을 포함하고 있는 보호가치가 높은 정보이다. 사전필터링을 위해 제공된 개인정보 또한 제공된 개인정보의 종류가 많지 않았다고 하더라도, 위 개인정보는 피고 보험회사들의 사전필터링에 이용될 것임이 예정되어 있었으므로, 피고 보험회사들이 피고 홈플러스로부터 위 개인정보를 제공받으면 곧바로 자신들이 보유한 데이터베시으에 저장된 개인정보와 결합하여 해당 정보주체를 식별할 수 있는 중요한 정보라고 할 것이다(불법 수집·제3자 제공된 개인정보의 종류와 성격). 나) 피고 홈플러스가 이 사건 경품행사를 통해 수집한 개인정보를 피고 보험회사들에게 판매하고 사전필터링을 위해 미동의 FMC 회원들의 개인정보를 피고 보험회사들에게 제공함에 따라 이러한 개인정보를 제공받은 피고 보험회사들이 정보주체를 식별할 가능성이 발생하였다(정보주체 식별 가능성). 다) 피고 홈플러스로부터 개인정보를 제공받은 피고 보험회사들은 경품행사 응모 고객들의 개인정보를 이용하여 보험 마케팅 영업을 하였고, 미동의 FMC 회원들의 개인 정보를 이용하여 사전필터링 작업을 수행하였으며, 보험 마케팅 영업 내지 사전필터링 작업에 이용하기 위해 그 목적에 부합하는 특정한 개인정보를 식별하고 구체적인 내용을 인식하였다(제3자의 열람 여부 또는 열람 가능성). 대법원 2012. 12. 26. 선고 2011다59834, 59841, 59858 판결은, 개인정보가 유출된 후 공범 등에게 저장매체에 저장된 상태로 전달 또는 복제되고 언론 관계자 등에게 유출된 사실은 있지만, 범인들의 열람은 이틀 저장·편집·복사하는 과정에서 이루어진 것으로 지득하거나 이용할 의사가 있었다고 보기 어렵고, 언론 관계자들도 언론 보도를 위한 취재 및 보도과정에서 개인정보의 존재 자체와 규모, 그 정확성을 확인할 목적으로 열람한 것이어서 그 구체적 내용을 인식한 것으로는 보이지 않으며, 위와 같은 열람만으로는 특정한 개인정보를 식별하거나 알아내는 것은 매우 어려울 것으로 보인다는 점 등을 이유로 개인정보의 유출은 인정하면서도 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하지 않았다고 판단하였다. 그러나 앞서 인정한 피고 보험회사들의 개인정보에 대한 구체적인 인식, 식별가능성, 이용 의사 등에 비추어 볼 때, 이 사건과 위 대법원 판결의 사안이 완전히 동일하다고 볼 수 없다. 라) 피고 홈플러스가 경품행사 응모 원고들로부터 개인정보 수집·이용·제3자 제공에 관한 동의를 받기는 하였으나, 그 과정에서 피고 홈플러스는 의도적으로 응모권 내 개인정보 제3자 제공에 관한 부분의 글씨를 작게 하는 방법으로 원고들이 경품행사의 주된 목적을 제대로 인식하지 못하도록 하였으므로, 실질적으로는 유효한 동의가 있다고 보기 어렵다. 피고 홈플러스는 사전필터링이 법적으로 문제될 수 있다는 사실을 알면서도 오로지 퍼미션 콜 과정에서 발생하는 비용을 절감하고 개인정보 판매 수수료 수익을 높이기 위한 목적으로 원고들의 동의를 받지 아니한 채 사전필터링을 위해 원고들의 개인정보를 피고 보험회사들에게 제공하였다. 즉, 개인정보처리자의 개인정보 보존·관리상의 과실이 경합하여 개인정보가 유출된 경우와 달리, 이 사건은 피고 홈플러스가 원고들로부터 기만적인 또는 부정한 방법으로 개인정보를 취득하거나, 원고들로부터 개인정보 수집·이용에 관한 유효한 동의가 없음에도 고의로 원고들의 개인정보를 마케팅 등을 위해 제휴업체에 제공하였다는 점에서 불법성이 크다(개인정보 수집 및 제3자 제공 경위) 마) 피고 홈플러스는 피고 보험회사들에게 경품행사에서 수집한 약 600만 건의 개인 정보를 제공하고, 사전필터링을 위하여 약 1,800만 건의 개인정보를 제공하였는바, 경품행사에서의 고객 동의를 유효한 동의라고 보기 어려운 점은 앞서 본 바와 같고 사전필터링에 제공된 개인정보에 대하여는 아무런 동의를 받지 않았으므로, 피고 홈플러스가 원고들의 개인정보를 제휴업체들에게 제공함에 따라 원고들로서는 자신들이 원하지 않는데도 불구하고 자신들의 개인정보를 제3자가 알게 될 수 있다는 불안감 또는 이를 영업에 활용함으로써 자신들이 영리행위의 대상으로만 취급되고 있다는 불쾌감을 갖는 상황에 처하게 되었다. 실제로도 경품행사 응모 원고들의 개인정보는 피고 보험회사들의 보험 마케팅에 이용되었고, 미동의 FMC 원고들의 개인정보는 피고 보험회사들에 의하여 단순히 열람된 것에 그치지 않고 위 개인정보를 통해 퍼미션 콜 대상자로 적합한 고객을 걸러내는 사전필터링 작업에 이용되었다(추가적인 법익 침해의 가능성). 바) 피고 홈플러스는 고객의 개인정보를 취급함에 있어 ‘개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.’는 원칙(개인정보 보호법 제3조 제1항)을 준수하여야 함에도 불구하고 고객의 동의를 받지 않거나 유효하지 않은 동의만을 받은 개인정보를 제3자에게 제공하였고, ‘개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.’는 원칙(개인정보 보호법 제3조 제4항)에도 불구하고 제3자에게 정보를 제공한 이후 당해 정보의 취급에 관하여 별다른 관리·감독을 하지 않았다. 또한 개인정보 저13자 제공에 동의하지 않았음에도 보험회사 등으로부터 마케팅 전화를 받은 고객들이 피고 홈플러스에게 항의를 하는 일이 빈번하였음에도 불구하고 피고 홈플러스는 위법행위를 중단하거나 피해 확대를 방지하기 위한 적극적인 조치를 하지 않고 민원을 제기한 일부 고객에게 금전적인 보상을 하는데 그쳤다. 이 사건은 피고 홈플러스의 직원들이 이 사건 경품행사에서 경품 추첨을 조작하여 자신들의 지인들이 당첨되도록 한 다음 교부받은 경품을 판매하여 판매대금을 나누어 가진 사실이 밝혀지면서 피고 홈플러스의 개인정보 보호법 위반 등까지 문제가 된 것으로, 만약 수사과정에서 위와 같은 사실이 밝혀지지 않았다면 피고 홈플러스는 앞서 인정한 위법행위를 지속하여 그로 인한 피해의 발생과 확산이 계속되었을 가능성이 높다(개인정보 관리 실태 및 피해의 발생과 확산을 방지하기 위한 조치 여부). 라. 손해배상의 범위(별지2 내지 4 목록 기재 원고들) 1) 앞서 든 증거에 변론 전체의 취지를 종합하면 다음과 같은 사정을 알 수 있다. 가) ① 경품행사 옹모 원고들이 피고 홈플러스의 보험회사들에 대한 개인정보 제공을 명확하게 인식하지 못한 상태에서 이에 동의한 데에는 경품 당첨에 대한 기대감으로 인해 개인정보 수집 및 이용 목적, 개인정보 제3자 제공 대상 등 각각의 동의 사항을 면밀히 살피지 않은 부주의도 그 원인이 되었다고 보이는 점, ② 피고 보험회사들은 피고 홈플러스로부터 미동의 FMC 원고들의 개인정보를 제공받은 다음 사전필터링을 마친 개인정보 데이터베이스를 피고 홈플러스의 웹하드에 업로드한 후 자신들의 시스템에서는 이를 모두 삭제한 점, ③ 보험회사들에게 개인정보가 제공된 것 외에 제3자에게 개인정보가 유출되지는 않은 점 등은 피고 홈플러스의 위자료를 산정함에 있어 유리한 사정이다. 나) 그러나 한편, ① 피고 홈플러스는 100여 개가 넘는 대형마트를 운영하는 사업자이자 1,000만 명이 넘는 FMC 회원의 개인정보를 취급하는 개인정보처리자로서 그에 대한 고객들의 신뢰도 또한 높은 점, ② 피고 홈플러스는 개인정보 보호법에 따라 개인정보의 처리 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하고 적합하게 개인정보를 처리하여야 할 의무를 부담함에도 오로지 영리적인 동기에서 의도적으로 원고들의 동의를 얻지 않거나 유효하다고 보기 어려운 동의를 얻어 보험회사들에게 개인정보를 제공한 점, ③ 피고 홈플러스의 행위는 경품행사의 원활한 수행을 위해서 또는 회원의 직정한 관리만을 위해서 개인정보를 이용하고 다른 목적으로는 개인정보를 이용하고 다른 목적으로는 개인정보를 이용하지 않을 것이라는 원고들의 신회를 저버린 행위로서 그로 인한 원고들의 정신적 고통은 개인정보처리자의 과실이 경합하여 발생한 개인정보 유출로 인한 정신적 고통에 비하여 결코 적다고 할 수 없는 점, ④ 특히 경품행사를 빙자하여 개인정보를 수집하고 이를 보험회사들에게 판매한 행위의 경우 소비자들의 피고 홈플러스에 대한 인지도와 신뢰도, 경품 당첨에 대한 기대감 등을 이용하여 부정한 방법으로 개인정보를 취득하고 개인정보 처리에 관한 동의를 받은 것으로서, 단순히 개인정보처리자의 과실로 개인정보가 유출된 경우보다 그 위법성이 크다고 보이는 점 등은 피고 홈플러스의 위자료를 산정함에 있어 불리한 사정이다. 2) 이와 같은 사정과 이 사건 변론과정에 나타난 제반사정을 종합적으로 고려해 보면, 피고 홈플러스가 별지2 목록 기재 원고들(경품행사 응모 원고들)에게 배상하여야 할 위자료는 각 200,000원, 별지3, 4 목록 기재 원고들(미동의 FMC 원고들)에게 배상하여야 할 위자료는 각 50,000원으로 정함이 상당하다. 3) 위 위자료 액수를 반영하여 피고 홈플러스가 별지2 내지 4 목록 기재 원고들에게 배상하여야 할 최종 금액은 벌지1 표의 인용금액 중 ‘피고 홈플러스’란 기재와 같다. 마. 소결론 피고 홈플러스는 별지2 목록 기재 원고들에게 각 200,000원, 별지3, 4 목록 기재 원고들에게 각 50,000원 및 각 이에 대한 위 원고들이 구하는 바에 따라 최종 불법행위일 다음날인 2014. 9. 1.부터 피고 홈플러스가 그 이행의무의 존재 여부 및 범위에 관하여 항쟁하는 것이 타당하다고 인정되는 이 판결 선고일인 2018. 1. 18.까지는 민법이 정한 연 5%의, 그 다음날부터 다 갚는 날까지는 소송촉진 등에 관한 특례법이 정한 연 15%의 각 비율로 계산한 지연손해금을 지급할 의무가 있다. 3. 피고 보험회사들에 대한 청구에 관한 판단 가. 경품행사를 통해 개인정보를 수집·제공받은 행위(별지2 목록 기재 원고들) 1) 원고들의 주장 요지 피고 보험회사들은 이 사건 경품행사가 위법하다는 것을 알면서도 피고 홈플러스로 부터 경품행사 응모 원고들의 개인정보를 제공받았으므로, 피고 보험회사들은 피고 홈플러스의 개인정보 보호법 위반행위를 공모 또는 방조하였다. 따라서 피고 보험회사들은 피고 홈플러스와 공동하여 손해배상책임을 부담한다. 2) 판단 가) 앞서 본 사실관계와 을가 제1호증, 을다 제2, 3호증의 각 기재에 따르면 다음 사실을 인정할 수 있다. (1) 피고 홈플러스는 2010. 6. 17.경 피고 신한생명과, 2011. 10. 27.경 피고 라이나 생명과, 피고 홈플러스가 경품행사 및 마케팅활동을 통하여 취득한 고객들의 개인정보를 1건당 1,980원(부가가치세 포함)에 판매하는 다음과 같은 내용의 업무제휴 계약을 체결하였다. (2) 피고 홈플러스는 위 업무제휴 계약에 따라 2011년 12월경부터 2014년 6월경까지 이 사건 경품행사를 실시하였고, 이를 통하여 경품행사에 응모한 고객들의 개인정보(이름, 생년월일, 성별, 휴대전화번호, 자녀 수, 부모님과 동거 여부 등) 합계 약 712만 건을 수집하고 위 개인정보의 제3자 제공에 관한 동의를 받았다. (3) 피고 홈플러스는 위와 같이 수집한 경품행사 응모 원고들의 개인정보를 피고 보험회사들에게 판매하였다. 나) 앞서 본 사실관계와 변론 전체의 취지를 종합하면 다음 사정을 알 수 있다. (1) 앞서 본 바와 같이 피고 홈플러스가 이 사건 경품행사를 통해 경품행사 응모 원고들의 개인정보를 수집한 행위가 위법하다고 판단한 것은 경품행사를 통해 개인정보를 수집하여 이를 피고 보험회사들에게 관매한 행위 자체가 위법하다고 본 것이 아니라 정보주채로부터 개인정보 수집 및 이용, 제3자 제공 등에 관한 동의를 받음에 있어 위와 같은 경품행사의 주된 목적을 숨긴 채 정보주체로 하여금 각각의 동의 사항을 명확하게 인지할 수 없는 상태에서 그에 관한 동의를 하도록 하고, 경품행사와 무관한 개인정보까지 수집하면서 그에 관한 동의를 하지 않을 경우 경품 추첨에서 제외하는 등 개인정보를 취득하고 그 처리에 관한 동의를 받는 과정에서 거짓이나 부정한 수단이 개입되었다고 판단하였기 때문이다. (2) 이 사건 경품행사를 진행함에 있어 어떤 방식으로 경품행사 광고를 하여 개인정보를 수집할 것인지, 개인정보 수집 및 이용, 제3자 제공 등에 관한 동의를 받을 것인지, 응모권의 크기와 구성, 응모권에 기재할 구체적인 내용, 글자 크기 등은 모두 피고 홈플러스가 정하였고, 피고 보험회사들은 피고 홈플러스가 진행하는 경품행사 시기, 규모, 수집할 개인정보의 내용 등과 관련된 일반적인 사항 외에 개인정보 수집 및 동의 방법 등과 관련된 구체적인 사항에 대해서는 관여를 하지 않았다. (3) 피고 보험회사들이 위 업무제휴 계약을 통해 피고 홈플러스가 경품행사를 통해 취득한 고객들의 개인정보를 자신들에게 판매한다는 점을 알고 있었고, 위 경품행사를 통하여 수집할 개인정보의 내용 등에 관하여 협의를 하기는 하였으나, 피고 보험회사들은 피고 홈플러스로부터 개인정보 보호법 및 정보통신망법 등을 준수하여 고객들의 개인정보를 취득하고 그 처리에 관한 동의를 받은 다음 적법하게 수집한 고객들의 개인정보만을 제공받기로 약정하였고, 그 후 피고 보험회사들은 피고 홈플러스가 개인정보를 수집하거나 동의를 받는 과정에는 관여하지 않았으며, 그에 관한 민·형사상의 책임도 부담하지 않기로 하였다. 이러한 사실관계에 비추어 보면, 피고 보험회사들로서는 피고 홈플러스가 적법한 방법을 통해 개인정보 제3자 제공에 대한 동의를 받은 고객들의 개인정보를 자신들에게 제공한 것으로 신뢰한 것으로 볼 수 있고, 달리 피고 보험회사들이 피고 홈플러스가 개인정보를 취득하고 수집 및 이용, 제3자 제공 등에 관한 동의를 받는 과정에서 개인정보 보호법 및 정보통신망법상의 제반 의무를 위반한 사실을 알고 있었거나 그 위반행위를 용이하게 하였다고 볼 만한 자료가 없다. (4) 관련 형사사건에서도 피고 보험회사들의 직원은 사전필터링 목적으로 동의를 받지 않은 FMC 회원들의 개인정보를 제공받은 행위와는 달리 피고 홈플러스가 이 사건 경품행사를 통해 개인정보를 취득하고 그 처리(제3자 제공)에 관한 동의를 받은 행위와 관련하여서는 개인정보보호법위반죄 등의 공범 내지 방조범으로 기소되지 않았다. 다) 이와 같은 사정을 종합하면, 피고 보험회사들은 피고 홈플러스의 개인정보 보호법 위반행위에 공모 또는 방조하였다고 보기 어렵고, 달리 이를 인정할 증거가 없다. 따라서 원고들의 이 부분 청구는 이유 없다. 나. 사전필터링을 위해 개인정보를 제공받은 행위(별지3, 4 목록 기재 원고들) 1) 당사자들의 주장 가) 원고들의 주장 피고 보험회사들은 피고 홈플러스가 사전필터링을 위해 미동의 FMC 원고들의 동의 없이 위 개인정보를 제공한다는 사정을 알면서도 위 개인정보를 제공받았고, 이후 사전필터링 절차를 거처 선별된 위 원고들의 개인정보를 다시 피고 홈플러스에게 제공하였으며, 결과적으로 위 정보를 이용하여 보험 판매 영업을 하였다. 이러한 행위는 개인정보 보호법 제71조 제1호 등을 위반한 것이다. 따라서 피고 보험회사들은 피고 홈플러스와 공동하여 손해배상책임을 부담한다. 나) 피고 보험회사들의 주장 피고 보험회사들은 피고 홈플러스로부터 동의받은 개인정보만을 제공받기로 약정하였으므로, 피고 홈플러스로부터 사전필터링을 위해 제공받은 개인정보 또한 정보주체의 동의를 받은 것으로 알고 있었고 이를 알지 못한 데 과실도 없다. 또한 피고 보험회사들이 사전필터링을 위해 제공받은 개인정보는 대부분 성명과 전화번호 등으로 민감정보나 고유식별정보는 없었고, 위 개인정보는 사전필터링 수행 후 즉시 삭제하였으며, 오히려 정보주체들은 사전필터링으로 인해 불필요한 퍼미션 콜을 받지 않게 되는 이익을 얻었을 뿐 정신적 손해를 입지 않았다. 따라서 피고 보험회사들은 손해배상책임을 부담하지 않는다. 2) 판단 가) 불법행위 성립 여부 (1) 피고 홈플러스가 피고 보험회사들에게 사전필터링을 위해 개인정보를 제공한 행위는 개인정보의 ‘처리위탁’이 아니라 ‘제3자 제공’에 해당하므로 정보주체의 동의가 필요하고, 피고 홈플러스가 미동의 FMC 원고들의 동의를 받지 아니하고 위 원고들의 개인정보룰 피고 보험회사들에게 제공한 사실은 앞서 본 바와 같다. 이하에서는 피고 보험회사들이 이러한 사정을 알고 미동의 FMC 원고들의 개인정보를 제공받았는지 여부에 관하여 본다. (가) 앞서 본 사실과 갑 제7호증의 59, 82, 102의 각 기재 및 변론 전체의 취지에 의 하면 다음 사실을 알 수 있다. ① 피고들은, 피고 홈플러스가 FMC 회원 중 가입과정에서 개인정보 제3자 제공에 동의한 고객들의 정보(이하 ‘FMC DB’라 한다)를 피고 보험회사들에게 제공하는 계약(이하 ‘FMC DB 공급계약’이라 한다)과 피고 홈플러스가 FMC 회원 중 가입과정에서 개인정보 제3자 제공에 동의하지 않은 고객들을 상대로 수탁업체인 와이엘코리아를 통해 퍼미션 콜을 수행한 다음 개인정보 제3자 제공에 동의한 고객들의 정보(이하 ‘퍼미션 DB’라 한다)룰 피고 보험회사들에게 제공하는 계약(이하 ‘퍼미션 DB 공급계약’이라 한다)을 별도로 체결하였다. ② 피고 홈플러스의 내부 품의서에 따르면 위 퍼미션 DB 공급계약의 목적은 ‘FMC 고객 중 개인정보 제3자 제공에 동의하지 않은 고객들을 대상으로 퍼미션(동의 획득) TM을 통해 신규수익을 창출하기 위함’이라는 점이 여러 차례 언급되고 있고, 피고 홈플러스의 직원들은 수사과정에서 퍼미션 DB는 FMC 회원 중 개인정보 제3자 제공에 동의하지 않은 고객들을 대상으로 사후 동의를 받아 이를 보험회사에 제공하는 것이며 피고 보험회사들의 직원들도 이러한 사실을 알고 있었다고 진술하였다. ③ 피고 홈플러스는 위 퍼미션 DB 공급계약에 따라 피고 보험회사들에게 퍼미션 DB를 제공하였고, 그 후 피고 보험회사들은 퍼미션 DB에 대한 사후필터링을 수행하여 기보험계약자, 블랙리스트에 등록된 고객 등을 제외한 나머지 고객들에 대하여만 피고 홈플러스에게 수수료를 지급하였다. 위와 같은 피고 보험회사들의 사후필터링 방식으로 인해 개인정보가 걸러짐에 따라 피고 홈플러스는 퍼미션 콜을 통해 개인정보 제3자 제공 동의를 받은 고객들의 수에 비해 수수료 수익이 많지 않자, 퍼미션 콜에 소요되는 시간과 비용을 줄이고 수수료 수익을 높이기 위해 피고 보험회사들에게 사전필터링을 제안하게 되었다. ④ 피고 라이나생명의 직원 김AA, 피고 신한생명의 직원 이BB은 피고 홈플러스의 직원이 미동의 FMC 원고들의 동의를 받지 아니하고 위 원고들의 개인정보를 제공한다는 사정을 알면서 그 개인정보를 제공받았다는 범죄사실로 기소되었다. 피고 라이나생명의 직원 김AA은 수사과정에서 2013년 2월경부터 사전필터링을 위해 피고 홈플러스로부터 고객들의 개인정보를 이전받았고, 2013년 4월경 위 개인정보가 개인정보 제3자 제공에 동의하지 않은 고객들의 개인정보라는 사실을 알았다고 진술하였다. ⑤ 피고 신한생명의 직원 이BB은 수사과정에서 퍼미션 콜은 개인정보 제3자 제공에 동의한 고객들을 상대로 다시 한번 더 보험사에 대한 동의 여부를 확인하기 위한 인지강화용이었고, 퍼미션 DB가 개인정보 제3자 제공에 동의하지 않은 고객들을 대상으로 퍼미션 콜을 수행한 DB임을 몰랐다고 진술하였으나, 이BB이 2012. 2. 23. 피고 홈플러스의 직원 최CC에게 보낸 퍼미션 DB 정산내용에 관한 이메일에는 “퍼미션 스크립트에는 미동의에 대한 고지내용 검토가 필요한 것 같습니다. 그리고 개인정보보호 법 강화로 정보제공동의를 강화하였는데 전화동의 스크립트도 강화해야 하지 않나요?”라고 기재되어 있는바, 위 내용에 따르면 이BB은 퍼미션 콜의 대상에 개인정보 제3자 제공에 동의하지 않은 고객이 포함되어 있음을 인식하고 있었다고 볼 수 있다. (나) 이러한 사실관계에 비추어 보면, 피고 홈플러스가 수행한 퍼미션 콜은 FMC 회원 중 개인정보 제3자 제공에 동의하지 않은 고객들을 상대로 개인정보 제3자 제공에 대한 동의 여부를 묻기 위해 실사된 것이라고 봄이 타당하고, 피고 보험회사들이 주장하는 것처럼 개인정보 제3자 제공에 동의한 고객들을 대상으로 인지를 강화하기 위한 차원에서 다시 한번 더 동의를 받기 위해 실시된 것이라고 보기 어렵다. 피고 보험회사들은 피고 홈플러스가 불필요한 퍼미션 콜을 줄여 수수료 수익을 높이기 위해 사전필터링을 제안한다는 점과 피고 홈플러스의 퍼미션 콜 전에 사전필터링을 실시하는 것임을 알고 있었으므로, 퍼미션 콜 전에 이전되는 고객들의 정보는 FMC 회원 중 개인정보 제3자 제공에 동의하지 않은 고객들의 정보라는 점을 충분히 알 수 있었다고 할 것이다. (다) 따라서 피고 보험회사들은 피고 홈플러스가 미동의 FMC 원고들의 동의를 받지 아니하고 위 원고들의 개인정보를 제공한다는 사정을 알면서도 사전필터링을 위해 위 개인정보를 이전받았으므로, 이러한 행위는 개인정보 보호법 제71조 제1호, 제17조 제1항을 위반함으로써 위 원고들의 개인정보자기결정권을 침해한 불법행위에 해당한다. (2) 이에 대하여 피고 라이나생명은, 피고 홈플러스가 사전필터링을 위해 개인정보를 이전한 것은 개인정보 보호법상 허용된 퍼미션 콜을 수행하기 위한 것으로 ‘법률에 의한 이용’에 해당하므로 그 정보 이전에 대해 별도의 동의가 필요 없다고 주장한다. 그러나 피고 홈플러스가 퍼미션 콜을 수행하기 위해 와이엘코리아에게 개인정보를 이전하는 것과 사전필터링을 수행하기 위해 피고 보험회사들에게 개인정보를 이전하는 것은 그 행위의 성격, 상대방의 법률상 지위, 수행하는 업무 등이 다른 별개의 행위인 점, 피고 홈플러스가 사전필터링을 위해 피고 보험회사들에게 개인정보를 제공한 행위는 개인정보의 ‘처리위탁’이 아니라 ‘제3자 제공’에 해당하므로 정보주체의 동의가 필요한 점, 피고 홈플러스는 FMC 회원들로부터 와이엘코리아 등 수탁업체에게 개인정보를 위탁하여 처리하는 것에 대해서는 동의를 받았으나 피고 보험회사들에게 사전필터링 목적으로 개인정보를 제공하는 것에 대해서는 동의를 받지 않은 점 등에 비추어 보면 피고 홈플러스가 사전필터링을 위해 개인정보를 이전한 것이 ‘법률에 의한 이용’에 해당한다고 볼 수 없다. 따라서 피고 라이나생명의 이 부분 주장은 이유 없다. (3) 한편 원고들은 피고 보험회사들이 사전필터링 절차를 거친 후 선별된 원고들의 개인정보를 다시 피고 홈플러스에 제공하고, 그 후 위 정보를 이용하여 보험 판매 영업을 한 것이 별도의 불법행위라는 취지로 주장한다. 그러나 피고 보험회사들이 사전 필터링 절차를 거친 후 원고들의 개인정보를 다시 피고 홈플러스에게 제공한 것은 앞서 불법행위로 인정된 미동의 FMC 원고들의 개인정보를 제공받은 행위에 수반되는 행위로서 별도의 불법행위에 해당한다고 보기 어렵고, 그 후 피고 보험회사들이 보험 판매 영업을 한 것은 피고 홈플러스가 와이엘코리아를 통하여 퍼미션 콜 절차를 거친 후 개인정보 제3자 제공에 동의를 한 고객들을 상대로 보험 판매 영업을 한 것이므로 불법행위에 해당한다고 단정할 수 없다. 따라서 원고들의 이 부분 주장은 이유 없다. 나) 손해의 발생 및 범위 피고 보험회사들은 피고 홈플러스와 공동하여 위 원고들의 개인정보자기결정권을 침해하는 불법행위를 저질렀고, 그로 인하여 위 원고들이 정신적 고통을 받았을 것임은 경험칙에 따라 충분히 인정할 수 있다. 따라서 피고 보험회사들은 피고 홈플러스와 공동하여 미동의 FMC 원고들이 입은 정신적 손해를 배상할 의무가 있고, 그 위자료는 각 50,000원으로 정함이 상당하다. 위 위자료 액수를 반영하여 피고 라이나생명이 별지3 목록 기재 원고들에게 배상하여야 할 최종 금액은 별지1 표의 인용금액 중 ‘피고 라이나생명’란 기재와 같고, 피고 신한생명이 별지4 목록 기재 원고들에게 배상하여야 할 최종금액은 별지1 표의 인용금액 중 ‘피고 신한생명’란 기재와 같다. 다) 소결론 피고 홈플러스와 공동하여, 피고 라이나생명은 별지3 목록 기재 원고들에게 각 50,000원, 피고 신한생명은 별지4 목록 기재 원고들에게 각 50,000원 및 각 이에 대한 위 원고들이 구하는 바에 따라 최종 불법행위일 다음날인 2014. 9. 1.부터 위 피고들이 그 이행의무의 존재 여부 및 범위에 관하여 항쟁하는 것이 타당하다고 인정되는 이 판결 선고일인 2018. 1. 18.까지는 민법이 정한 연 5%의, 그 다음날부터 다 갚는 날까지 는 소송촉진 등에 관한 특례법이 정한 연 15%의 각 비율로 계산한 지연손해금을 지급 할 의무가 있다. 4. 결론 그렇다면 별지2 내지 4 목록 기재 원고들의 피고 홈플러스에 대한 청구, 별지3 목록 기재 원고들의 피고 라이나생명에 대한 청구, 별지4 목록 기재 원고들의 피고 신한생명에 대한 청구는 위 인정 법위 내에서 이유 있어 인용하고 나머지 청구는 이유 없어 기각하며, 별지5 목록 기재 원고들의 피고 홈플러스에 대한 청구, 별지2 목록 기재 원고들의 피고 라이나생명, 피고 신한생명에 대한 청구는 이유 없어 각 기각하기로 하여 주문과 같이 판결한다. 판사 김정운(재판장), 이고은, 송인석

서울중앙지방법원 제4민사부 판결 【사건】2015나61155 손해배상(기) 【원고, 피항소인】 별지1 원고들 목록 기재와 같다.,원고들 소송대리인 변호사 이흥엽 【피고, 항소인】 주식회사 케이티(대표이사 황○○),소송대리인 법무법인(유한) 태평양,담당변호사 김광준, 김태균, 홍기태, 윤주호 【제1심판결】서울중앙지방법원 2015. 10. 6. 선고 2013가단5033204 판결 【변론종결】2017. 12. 15. 【판결선고】2018. 1. 17. 【주문】 1. 제1심판결 중 피고 패소부분을 취소하고, 그 취소부분에 해당하는 원고들의 청구를 각 기각한다. 2. 소송총비용은 원고들이 부담한다. 【청구취지 및 항소취지】 1. 청구취지 피고는 원고들에게 각 300,000원 및 이에 대하여 2012. 2. 1.부터 이 사건 소장 부본 송달일까지는 연 5%, 그 다음날부터 다 갚는 날까지는 연 20%의 각 비율로 계산한 돈을 지급하라. 2. 항소취지 주문과 같다. 【이유】 1. 기초사실 이 법원이 이 부분에 설시할 이유는 제1심판결문 제9면 제12행에 아래 ‘바. 방송통신위원회의 행정처분’을 추가하고 ‘[인정근거]’에 ‘을 제37호증의 기재’를 추가하는 외에는 제1심판결의 ‘1. 인정사실' 부분 기재와 같으므로, 민사소송법 제420조 본문에 의하여 이를 그대로 인용한다. [ 바. 방송통신위원회의 행정처분 방송통신위원회는 2012. 12. 21. 피고가 “이용자 개인정보 및 인증정보를 송수신할 때 대리점 PC와 VPN이 연결되는 구간에서 실사용자의 주민번호를 암호화하지 않았고, 침입차단장치 등이 설치되어 있으나 ESB 시스템의 경우 인증토큰에 대한 유효성 검증이 미흡하다”는 사실 등으로 과징금 부과처분을 하였고, 위 항목 중 개인정보 및 인증정보 송수신시 모든 구간에서 암호화하여야 한다고 시정조치 명령을 하였으며, 침입차단시스템 등이 정상적으로 설치되어 있어 정보통신망법 위반은 아니나 ESB 서버에서 인증토큰에 대한 검증이 미흡한 것에 대하여는 개선할 것을 권고하였다. ] 2. 원고들의 주장 피고는 원고들로부터 서비스 이용계약에 따른 개인정보를 제공받은 계약당사자, 또는 정보통신망법에 따라 정보통신서비스 이용자인 원고들의 개인정보를 취급하는 정보통신서비스 제공자로서 피고가 보유하고 있는 원고들의 개인정보가 분실·도난·누출·변조되지 않도록 개인정보를 보호·관리하고 그에 필요한 기술적 조치를 다하여야 할 주의의무가 있음에도 다음과 같이 그 의무를 위반하여 이 사건 정보유출사고를 통해 원고들의 개인정보가 유출되도록 하였다. 원고들은 이 사건 정보유출사고로 인하여 헌법에 보장된 기본권인 인격권이 침해되었으므로 피고는 원고들에게 정신적인 피해에 대하여 위자료를 지급할 의무가 있다. 가. 피고의 N-STEP 시스템은 전반부에서 접속권한에 대한 인증이 이루어지지만 ESB 서버 이후에는 인증토큰의 유효성 체크 등 접속권한에 대한 인증이 이루어지지 않는 취약점이 있는바, 피고는 정보통신망법 제28조 제1항 제2호, 같은 법 시행령 제15조 제2항, 이 사건 고시 제4조 제5항을 위반하였다. 나. 이 사건 해킹프로그램은 퇴사한 자의 N-STEP 계정을 이용하여 ESB 서버에 접속을 하였는바, 피고는 개인정보취급자가 퇴직을 하였음에도 불구하고 접근권한을 말소하지 아니하여 이 사건 고시 제4조 제2항을 위반하였다. 다. 이 사건 정보유출사고 당시 특정 IP로 일일 최대 수십만 건의 개인정보가 조회 되었고 사용중지된 퇴직자의 N-STEP ID로 개인정보가 조회되었는데 피고는 이러한 비정상적인 접근을 탐지·차단하지 못하였는바, 피고가 이상 징후를 모니터링하여 분석하였다면 개인정보 유출의 확대를 막을 수 있었다고 할 것이므로 정보통신망법 제28조 제1항 제3호, 같은 법 시행령 제15조 제3항, 이 사건 고시 제5조 제1항을 위반하였다. 라. 피고는 N-STEP 시스템에서 개인정보를 전송하는 경우에 주민등록번호 등을 암호화하지 않았고, 암호화한 개인정보에 관하여는 암호화키를 소홀히 관리하였는바 개인정보 암호화에 대한 이 사건 고시 제6조 제3항을 위반하였다. 3. 관련 법령 정보통신망법, 구 정보통신망법 시행령(2012. 8. 17. 대통령령 제24047호로 개정되기 전의 것, 이하 ‘정보통신망법 시행령’이라 한다), 개인정보의 기술적·관리적 보호조치 기준(2012. 8. 23. 방송통신위원회 고시 저]2012-50호로 개정되기 전의 것, 이하 ‘이 사건 고시’라 한다) 중 이 사건과 관련된 규정은 별지2 ‘관련 법령’ 기재와 같다(정보통신망법, 정보통신망법 시행령 및 이 사건 고시를 통틀어 ‘정보통신망 관련 법령’이라 한다). 4. 판단 가. 관련 법리 정보통신망법 제28조 제1항은 “정보통신서비스 제공자 등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다.”고 규정하면서, 그 기술적·관리적 조치로서 ‘개인정보를 안전하게 취급하기 위한 내부관리계획의 수립·시행(제1호)’, ‘개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영(제2호)’, ‘접속기록의 위조·변조 방지를 위한 조치(제3호)’, ‘개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치(제4호)’, ‘백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치(제5호)’, ‘그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치(제6호가를 규정하고 있다. 따라서 정보통신서비스 제공자는 정보통신망법 제28조 제1항 각 호에서 정하고 있는 개인정보의 보호를 위하여 필요한 기술적·관리적 조치를 취하여야 할 법률상 의무를 부담한다. 나아가 정보통신서비스 제공자가 정보통신서비스를 이용하려는 이용자와 정보통신서비스 이용계약을 체결하면서, 이용자로 하여금 이용약관 등을 통해 개인정보 등 회원정보를 필수적으로 제공하도록 요청하여 이를 수집하였다면, 정보통신 서비스 제공자는 위와 같이 수집한 이용자의 개인정보 등이 분실·도난·누출·변조 또는 훼손되지 않도록 개인정보 등의 안전성 확보에 필요한 보호조치를 취하여야 할 정보통신서비스 이용계약상의 의무를 부담한다. 그런데 정보통신서비스가 ‘개방성’을 특징으로 하는 인터넷을 통하여 이루어지고 정보통신서비스 제공자가 구축한 네트워크나 시스템 및 그 운영체제 등은 불가피하게 내재적인 취약점을 내포하고 있어서 이른바 ‘해커' 등의 불법적인 침입행위에 노출 될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 기술의 발전 속도나 사회 전체적인 거래비용 등을 고려할 때 기대하기 쉽지 아니한 점, 해커 등은 여러 공격기법을 통해 정보통신서비스 제공자가 취하고 있는 보안조치를 우회하거나 무력화하는 방법으로 정보통신서비스 제공자의 정보통신망 및 이와 관련된 정보시스템에 침입하고, 해커의 침입 행위를 방지하기 위한 보안기술은 해커의 새로운 공격방법에 대하여 사후적으로 대응하여 이를 보완하는 방식으로 이루어지는 것이 일반적인 점 등의 특수한 사정이 있으므로, 정보통신서비스 제공자가 정보통신망법 제28조 제1항이나 정보통신서비스 이용 계약에 따른 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지 여부를 판단함에 있어서는 해킹 등 침해사고 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 정보통신서비스 제공자의 업종·영업규모와 정보통신서비스 제공자가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피 가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 사정을 종합적으로 고려하여 정보통신서비스 제공자가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다하였는지 여부를 기준으로 판단하여야 한다. 특히 정보통신망법 시행령 제15조는 정보통신망법 제28조 제1항 각 호에 규정된 각 기술적·관리적 조치의 기준으로 제1항 내지 제5항에서 구체적인 보호조치를 정하고 있을 뿐만 아니라, 제6항에서 “방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조 제1항 제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.”라고 규정하고 있고, 이에 따라 방송통신위원회가 마련한 이 사건 고시는 해킹 등 침해사고 당시의 기술수준 등을 고려하여 정보통신서 비스 제공자가 정보통신망법 제28조 제1항, 정보통신망법 시행령 제15조 제6항에 따라 준수해야 할 기술적·관리적 보호조치의 구체적인 기준을 규정하고 있으므로, 정보통신서비스 제공자가 이 사건 고시에서 정하고 있는 기술적·관리적 보호조치를 다하였다면, 특별한 사정이 없는 한, 정보통신서비스 제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다(대법원 2015. 2. 12. 선고 2013다43994, 44003 판결 등 참조). 나. 정보통신망 관련 법령 위반 여부 1) 접근통제의 불완전성에 대한 판단(이 사건 고시 저H조 제5항 위반 여부) 정보통신망법 제28조 제1항 제2호에 의하면, 정보통신서비스 제공자 등은 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치를 설치·운영하여야 하고, 이 사건 고시 제4조 제1항에 의하면 정보통신서비스 제공자 등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여하여야 하며, 이 사건 고시 제4조 제5항에 의하면 정보통신서비스 제공자 등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 시스템을 설치·운영하여야 하는데 이러한 시스템은 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한하고, 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지하는 기능이 포함되어야 한다. 살피건대 , 피고의 개인정보처리 시스템인 N-STEP 시스템은 순차적인 접속방식을 취하면서 진입단계인 N-STEP 포털 및 AUT 서버에만 접속권한의 인증절차를 두고 있고, ESB 서버 이후에는 달리 접속권한의 인증절차를 두고 있지 않은데, 최○○가 N-STEP 이의 네트워크 패킷을 분석한 후 N-STEP 내의 사용자 계정, MAC 주소, AUT 서버로부터 발급받은 인증토큰의 값 등을 알아내어 피고의 VPN에 접속되어 있기만 하면 N-STEP 포털의 인증과 N-STEP 내를 통한 AUT 서버의 인증을 거칠 필요 없이 곧 바로 ESB 서버와 통신을 할 수 있는 이 사건 해킹프로그램을 개발한 사실은 앞서 본 바와 같다. 그런데 위 고시 규정은 개인정보처리시스템에 접속권한을 제한하여 인가받지 않은 접근을 제한하라고 규정하고 있을 뿐, 개인정보처리시스템에 대한 접근통제장치가 반드시 협의의 개인정보처리시스템 내부에 존재하여야 한다고 정한 것은 아니고, 또한 개인정보처리시스템을 구성하는 각 서버들이 진입단계에 있는 접근통제장치와 순차적으로 접속되는 방식 대신 접근통제장치와 각각 직렬로 접속되는 방식을 요구한다거나, 순차적인 접속방식을 취하는 시스템의 경우 진입 단계에서 접근통제장치를 갖추는 것에서 더 나아가 한 번의 접근통제장치를 거친 이후에 연결된 다른 서버의 매 단계마다 접근통제장치를 갖출 것까지 요한다고 해석하기는 어렵다. 여기에, ① 외부 사용자가 N-STEP을 통해 고객의 정보를 조회하기 위해서는 ㉠ VPN 계정 및 비밀번호를 통한 접속, ㉡ N-STEP 계정 및 비밀번호를 통한 인증, ㉢ MAC 주소 인증, ㉣ AUT로부터 발급받은 토큰의 인증의 4단계를 거쳐야 하는데, MAC 주소는 IP주소와 유사하게 사용자의 PC에 고유하게 부여되어 있는 것으로서 N-STEP 시스템의 접근통제는 사용자가 알고 있는 N-STEP 사용자 계정 및 비밀번호로 이루어질 뿐만 아니라 사용자가 소지하고 있는 MAC 주소를 통한 추가적인 인증절차를 두고 있고, ② N-STEP 내는 접속된 인증토큰의 유효성을 10분에 한 번씩 확인하여 유효한 토큰이 아닐 경우에 접속을 차단하는 기능을 갖고 있는 점 등을 보태어 보면 N-STEP 시스템의 접근통제 장치가 불완전한 것으로서 이 사건 고시 제4조 제5항에서 정하는 기술적·관리적 보호조치를 다하지 못한 것이라고 보기는 어렵다. 2) 퇴직자의 사용자계정 말소에 관한 부분(이 사건 고시 제4조 제2항 위반 여부) 이 사건 고시 제4조 제2항은 전보 또는 퇴직 등 인사이동이 발생하여 개인 정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 한다고 규정하고 있는데, 앞서 든 증거에 의하면 최○○는 퇴직자의 N-STEP 正)인 ‘5088080’가 포함된 데이터를 전송하여 ESB 서버에 접속을 하는 프로그램을 개발하였고, 위 프로그램으로 ESB 서버에 서비스 호출을 하여 응답을 받은 사실 을 인정할 수 있다. 그러나 을 제45, 50, 51호증의 각 기재 및 변론 전체의 취지를 통해 알 수 있는 다음과 같은 사정들에 비추어 보면, 피고가 퇴직자의 개인정보처리시스템에 대한 접근권한을 말소하지 않았거나 그로 인하여 피고가 이 사건 고시 제4조 제2항을 위반함으로써 이 사건 정보유출사고 발생을 초래하였다고 볼 수 없다. 가) 개인정보처리시스템은, 개인정보의 생성, 기록, 저장, 검색, 이용과정 등 데이터베이스 관리시스템(DBMS, Database Management System) 전체를 의미하므로1)N-STEP 포털 서버와 AUT 서버를 포함한 N-STEP 시스템 전체를 개인정보처리시스템으로 보아야 할 것이다. [각주1] 정보통신망법 시행령 제15조 제2항 제1호와 이 사건 고시 제2항 제3호는 ‘개인정보처리시스템’을 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스 시스템이라고 규정하고 있다 . 나) 피고의 개인정보처리시스템인 N-STEP 시스템은 순차적인 접속방식을 취하면서 진입단계인 N-STEP 포털 및 AUT 서버에만 접속권한의 인증절차를 두고 있고 ESB 서버 이후에는 달리 접속권한의 인증절차를 두고 있지 않은데, 앞서 본 바와 같이 이러한 구조 자체가 불합리하다고 보지 않는 이상 피고가 퇴직한 자의 N-STEP 계정에 대해 AUT 서버에 더 이상 접근할 수 없도록 하였다면 위 고시 규정을 위반하였다고 볼 수 없다. 그런데 피고는 2011. 11. 10. 퇴직자 이○○의 ‘5088080’ 계정을 AUT 서버에서 인증할 수 없도록 폐기한 것으로 보인다. 다) 이 사건 해킹프로그램은 N-STEP 포털의 인증과 N-STEP 이를 통한 AUT 서버의 인증을 거치지 않고 직접 ESB 서버에 접속하는 방식으로 설계되었는데, 앞서 본 바와 같이 N-STEP 시스템은 ESB 서버 이후에 접속권한의 인증절차를 두고 있지 않았으므로, 이 사건 해킹프로그램에서 서비스 호출을 위하여 ESB 서버에 전송하는 데이터에 N-STEP ID가 아닌 임의의 7자리 숫자를 넣었더라도 ESB 서버와의 통신 이 가능하였을 것으로 보인다. 또한, 이 사건 해킹프로그램에는 퇴직한 자의 N-STEP 계정인 ‘5088080’ 외에도 피고의 다른 대리점 계정인 ‘6823830’과 피고의 현장직원 계정인 ‘922665834’가 사용되기도 하였다. 따라서 설령 피고가 ‘5088080' 계정을 말소하지 않았다고 하더라도 그것과 이 사건 정보유출사고의 발생은 인과관계가 없다고 할 것이다. 3) 모니터링 시스템에 관한 부분(이 사건 고시 제5조 제1항 위반 여부) 정보통신망법 시행령 제15조 제3항 제1호에 의하면 정보통신서비스 제공자 등은 접속기록의 위조·변조 방지를 위하여 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이에 대한 확인·감독을 하여야 한다고 규정하고 있다. 이 사건 고시 제5조 제1항은 정보통신서비스 제공자 등은 개인정보취급자가 개인정보시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 한다고 규정하고 있는바, 이러한 규정은 개인정보처리시스템에 대한 접속기록의 위조·변조를 막기 위한 조치이나, 이는 궁극적으로 정보통신망법 제28조 제1항상 개인정보의 분실·누출·변조 등을 방지하기 위하여 요구되는 기술적·관리적 조치의 일환으로서 개인정보의 누출 방지 등 보호를 위하여 개인정보처리시스템에서 개인정보를 처리한 내역을 확인하고 감독하여야 한다는 주의의무가 포함되는 규정이라 할 것이다. 을 제47 내지 52호증의 각 기재 및 변론 전체의 취지를 통해 알 수 있는 다음과 같은 사정들에 비추어 보면 피고가 이 사건 고시 제5항 제1항을 위반하였다는 점을 인정하기에 부족하고, 달리 이를 인정할 증거가 없다. 가) N-STEP 시스템 전체를 개인정보처리시스템으로 보는 이상, 위 고시 규정에 따라 피고가 확인, 감독하여야 할 “개인정보처리시스템에 접속한 기록”이 반드시 실제 개인정보가 저장되고 관리되는 OM DB에 접속한 기록만을 의미하는 것이라고 볼 수 없고, N-STEP 시스템에 접속한 기록을 의미하는 것으로 보아야 할 것이다. 나) N-STEP 시스템의 사용자가 고객정보를 조회하는 경우 N-STEP 시스템의 접속경로인 N-STEP 대에서 접속기록이 생성되어 N-STEP 시스템의 인증서버인 AUT 서버 중 로그 서버 데이터베이스에 저장되고, 피고는 AUT 서버 단계에서 1일 1,000건이 넘는 고객정보 조회 내역이 탐지되는 경우 경고 메시지를 보내는 등 로그 서버 데이터베이스에 저장된 접속기록을 관리해 왔다. 앞서 본 바와 같이 N-STEP 시스템은 N-STEP 포털 및 AUT 서버에서 적법하게 인증을 거친 사용자에 대해서만 ESB 서버에 접근할 수 있도록 순차적인 구조로 설계되어 있었으므로, 피고는 위와 같이 AUT 서버 단계에서 저장된 접속기록을 확인, 감독함으로써 위 고시 규정을 준수하였다고 볼 수 있다. 비록 피고가 OM DB에 대한 신용정보 접속기록을 확인할 방법이 있었고 이를 확인하였더라면 이 사건 정보유출사고를 조기에 발견할 수 있었다고 하더라도, 피고로서는 우연히 이 사건 정보유출사고를 확인하기 전까지는 제3자가 정상적인 AUT 서버를 우회하여 로그 서버 데이터베이스에 접속기록을 남기지 않은 채 정보를 유출하였을 가능성을 예상하기 어려웠을 것으로 보이므로, 그러한 사유만으로 곧바로 피고가 기술적·관리적 보호조치를 다하지 못한 잘못이 있다고 볼 수는 없다. 다) 한편, N-STEP에 시스템의 성능을 모니터링하는 도구(JENNIFER)가 있는데, 이는 서버의 과부하를 막기 위하여 N-STEP 시스템의 전체 정보조회량을 실시간으로 모니터링하여 일정한 수치를 넘어가는 경우 그에 대한 경고를 제공하는 프로그램으로서, 부수적으로 특정 ID를 지정한 후 해당 ID로 조회되는 정보의 양이 어느 정도 인지를 확인하는 기능이 있을 뿐, 실시간으로 발생하는 사용자들의 서비스 호출을 확인할 수 있는 것으로는 보이지 않는다, 4) 암호화에 관한 부분(이 사건 고시 제6조 제3항 위반 여부) 정보통신망법 시행령 제15조 제4항 제2호 및 이 사건 고시 제6조 제3항에 의하면 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화할 의무가 있다. 을 제28 내지 32호증, 제50호증의 각 기재 및 변론 전체의 취지를 통해 알 수 있는 다음과 같은 사정들에 비추어 보면 피고가 이 사건 고시 제6조 제3항에서 요구하는 암호화에 관한 기술적·관리적 보호조치를 위반하였다는 점을 인정하기에 부족 하고, 달리 이를 인정할 증거가 없다. 가) 이 사건 고시 제6조 제3항은 개인정보 및 인증번호를 정보통신망을 통해 외부로 송·수신할 경우 해당 데이터 내용을 확인할 수 없도록 암호화한다는 내용으로서, 개인정보 등을 송·수신할 때 암호화의 대상 범위는 개인정보처리시스템의 외부망, 즉 일반인이 접근 가능한 인터넷 공중망을 의미한다고 할 것이다(즉 이 사건 고시 제6조 제3항의 취지는, 제3자가 탐지할 수 있는 외부 인터넷망을 통해 개인정보를 송·수신하는 경우 개인정보를 암호화하라는 것이다). 나) 피고의 N-STEP 시스템과 대리점 PC(외부사용자)가 VPN으로 연결되어 있으므로, 개인정보를 전송할 경우 암호화해야 하는 구간은 ‘인터넷 공중망인 VPN 장비부터 대리점 PC의 VPN 장비까지’라고 할 것인바, 피고는 피고 회사의 VPN 장비부터 대리점 PC의 VPN 장비까지 개인정보를 전송함에 있어서 IPSec2)의 방식으로 암호화하여 전송하였고, 3-DES 방식으로도 암호화하여 전송하였다. [각주2] IP security protocol : IPSec 방식은 이 사건 고시 제6조 제3항 제1호에서 예시로 규정한 ‘SSL 인증서’ 방식에 준하는 유효한 방식이다 따라서 대리점 PC의 VPN 장비를 거친 후(즉 인터넷공중망을 거친 후) IPSec으로 암호화된 데이터가 복호화되어 패킷상에 암호화되지 않은 실사용자 주민등록번호가 평문으로 노출되었다고 하더라도[최○○는 관련 민사사건(서울중앙지방법원 2012가단216564)에서 ‘N-STEP 시스템에 고객명 등 일부 정보만 암호화되어 있을 뿐 주민등록번호는 암호화하지 않았다’고 진술하였고, 피고도 N-STEP 초기 구축 당시 개발자의 실수로 실사용자 주민등록번호가 3-DES 암호화 대상에서 누락하였음을 인정하고 있는바, VPN 구간을 지나 대리점 PC에 이르는 단계에서는 개인정보가 3-DES 방식으로 암호화되는데, 피고가 개인정보 중 실사용자 주민등록번호에 대하여는 3-DES 암호화 방식을 누락하여 실사용자 주민등록번호가 노출된 것으로 보인다], 이 사건 제6조 제3항의 ‘정보통신망'은 외부로 연결되는 인터넷통신망을 의미하는 것으로 보이는 점에 비추어, 피고가 위 규정을 위반한 것으로 보기는 어렵다(즉, 최○○가 암호화되지 않은 주민등록번호를 확인한 곳은 대리점 PC의 VPN 장비를 거친 이후의 대리점 PC 내부 영역이므로 위 규정에 따라 암호화가 요구되는 영역이 아니라고 할 것이다). 다. 소결론 위에서 본 바와 같이, 이 사건 정보유출사고 당시 정보통신망 관련 법령에서 정한 기술적·관리적 보호조치의 내용, 당시 보편적으로 알려져 있는 정보보안의 기술 수준, 피고가 취하고 있던 전체적인 보안조치의 내용, 정보보안에 필요한 경제적 비용 및 그 효용의 정도, 해킹기술의 수준과 정보보안기술의 발전 정도에 따른 피해발생의 회피가능성, 정보통신서비스 제공자가 수집한 개인정보의 내용과 개인정보의 누출로 인하여 이용자가 입게 되는 피해의 정도 등의 제반사정을 종합적으로 고려하면, 피고가 이 사건 정보유출사고와 관련하여 원고들이 주장하는 바와 같은 정보통신망 법령에 따른 이 사건 고시 위반사실이 있다거나 피고가 개인정보 유출방지에 관한 기술적·관리적 보호조치를 이행하지 아니한 과실로 인하여 이 사건 정보유출사고가 발생하였다고 보기 어렵다. 이와 달리 피고가 정보통신망 관련 법령상의 기술적·관리적 보호조치를 위반하였음을 전제로 한 원고들의 이 사건 청구는 더 나아가 살필 필요 없이 이유 없다. 5. 결론 그렇다면 원고들의 청구는 이유 없어 이를 각 기각할 것인바, 제1심판결은 이와 결론을 일부 달리하여 부당하므로 제1심판결 중 피고 패소부분을 취소하고, 그 취소부분에 해당하는 원고들의 청구를 각 기각하기로 하여 주문과 같이 판결한다. 판사 송인권(재판장), 김연경, 신지은

서울중앙지방법원 판결 【사건】2016가단5146446 손해배상(기) 【원고】김○○, 소송대리인 법무법인 씨앤유, 담당변호사 박철용 【피고】*** 주식회사(대표이사 노○○), 소송대리인 법무법인 민서, 담당변호사 김정덕 【변론종결】 2017. 8. 7. 【판결선고】 2017. 11. 6. 【주문】 1. 피고는 원고에게 14,240,450원 및 이에 대하여 2016. 4. 30.부터 2017. 11. 6.까지는 연 5%의, 그 다음 날부터 다 갚는 날까지는 연 15%의 각 비율로 계산한 돈을 지급하라. 2. 원고의 나머지 청구를 기각한다. 3.소송비용 중 50%는 원고가, 50%는 피고가 각 부담한다. 4. 제1항은 가집행할 수 있다. 【청구취지】 피고는 원고에게 31,680,900원 및 이에 대하여 이 사건 소장 부본 송달 다음 날부터 다 갚는 날까지 연 15%의 비율로 계산한 돈을 지급하라. 【이유】 1. 기초 사실 가. 피고는 2004년경부터 주식회사 ◇◇◇◇의 인터넷 쇼핑몰 사이트를 구축하여 관리해 주었고, 위 사이트에서 위 회사의 가맹점들도 자신들의 물건을 판매하고 있었다. 나. 2012년 9월경 주식회사 ◇◇◇◇가 영업을 중단하자 ◇◇◇◇ 노원점을 운영하는 김AA과 일산점을 운영하는 원고 등 5명(이하 ‘가맹점주들’이라 한다)은 ◇◇◇◇라는 상호를 이용한 인터넷 쇼핑몰 사이트를 계속 운영하기로 하였고, 기존 사이트의 관리업체인 피고와 새로이 사이트 구축계약을 체결하기로 하였다. 다. 김AA은 2012. 9. 24. 피고와 ‘◇◇◇◇ 쇼핑몰 웹사이트(이하 ‘이 사건 사이트’라 한다) 구축계약‘을 체결하였는데 시스템 구축비용은 10,000,000원으로, 피고가 시스템을 운영하기 위한 서버 호스팅과 유지보수 서비스를 제공하고 김AA은 이에 대한 대가로 매월 600,000원(부가가치세 별도)을 지급하기로, 각 정하였고, 위 계약에서 정한 구축범위에는 주문과 관련하여 ‘장바구니, 주문결제, 주문완료’가 포함되어 있었다. 라. 가맹점주들은 돈을 모아 이 사건 사이트의 구축비용을 지급하였고, 피고가 2013년 2월경까지 구축을 완료하였으며, 가맹점주인 김□□의 계좌로부터 월 660,000원이 피고의 계좌로 송금되었다. 마. 이 사건 사이트의 주요 화면에는 가맹점주들이 운영하는 5개의 가맹점들이 구분되어 표시되어 있었다. 바. 이 사건 사이트에서 물건의 주문·결제는 아래와 같은 순서와 방식으로 진행되었다. ① 구매자가 이 사건 사이트에서 물건을 선택하여 주문·결제를 하면서 결제와 관련된 개인정보를 입력 ② 이 사건 사이트에서 전자결제대행업체인 주식회사 한국사이버결제(이하 ‘한국사이버결제’라 한다)에 결제 승인요청을 하고, 위 회사가 해당 카드사에 결제승인을 요청 ③ 해당 카드사가 거래 승인 응답을 하면 한국사이버결제는 이 사건 사이트에 승인 응답을 하고, 이를 받은 이 사건 사이트는 관리자 페이지의 주문관리 항목에 물건의 주문 내역을 등록 ④ 관리자 페이지에서 주문 내역을 확인한 후 가맹점이 주문·결제 내역에 따라 상품을 구매자에게 배송 사. 원고는 2016. 3. 29. 이 사건 사이트에서 31,700,000원 상당의 물품(시계 3개, 이하 ‘이 사건 물품’이라 한다)이 주문·결제된 내역을 확인하고 그 다음 날 물건을 배송 하였는데 실제 결제된 금액은 19,100원에 불과한 사고(이하 ‘이 사건 사고'라 한다)가 발생하였다. [인정 근거] 다툼 없는 사실, 갑 1~5호증, 을 2, 3호증(가지번호 있는 것은 가지번호 포함, 이하 같다)의 각 기재, 증인 김AA, 김BB의 각 증언, 변론 전체의 취지 2. 당사자의 주장 가. 원고의 주장 한국사이버결제에 전달되는 주문서 페이지에 표시되는 결제금액이 해킹에 의하여 실제 상품가격과 다르게 위·변조되거나 시스템에 오류가 발생하면 실제 상품가격과 한국사이버결제로부터 승인 응답을 받은 금액이 불일치하는 이 사건 사고와 같은 부당한 거래가 발생할 가능성이 있다. 이 사건 계약에 정해진 구축범위에는 주문과 관련하여 ‘장바구니, 주문결제, 주문완료'가 포함되어 있었으므로, 피고는 이 사건 사고를 방지하기 위한 결제시스템을 이 사건 사이트에 구축할 계약상의 채무가 있었다. 피고가 위와 같은 채무이행을 게을리하여 이 사건 사고가 발생하였으므로 그로 인한 손해를 원고에게 배상하여야 한다. 나. 피고의 주장 피고는 김AA과 이 사건 계약을 체결하였으므로 계약의 당사자가 아닌 원고가 이 사건 계약상의 채무불이행을 이유로 피고에게 손해배상을 구할 수 없다. 이 사건 계약에 따르면 피고의 채무는 이 사건 사이트를 구축해 주는 것일 뿐이지 보안 시스템을 구축하는 것이 아니고, 이 사건 사고는 제3자의 해킹으로 인하여 발생한 보안사고이므로, 피고에게 책임을 물을 수 없다. 3. 판단 가. 원고가 이 사건 계약의 당사자인지 여부 앞서 채택한 증거들, 갑 11~14호증의 각 기재와 변론 전체의 취지에 의하여 인정되고, 앞서 본 기초 사실로부터 알 수 있는 다음과 같은 사실 및 사정들 즉, ① 피고는 이 사건 계약 체결 이전에 오랫동안 주식회사 ◇◇◇◇의 인터넷 쇼핑몰 사이트를 구축하고 관리하였으므로 원고를 포함한 가맹점주들이 위 사이트를 이용하였던 것을 알았다고 보이는 점, ② 위 주식회사가 영업을 중단하자 가맹점주들이 ◇◇◇◇의 상호를 이용한 사이트를 구축하기 위하여 피고와 교섭하였던 점, ③ 피고는 가맹점주인 김□□의 계좌로부터 이 사건 계약에 정해진 이 사건 사이트의 유지 보수 비용을 지속적으로 송금받았고 이에 대하여 특별한 이의를 제기하지 않았는바, 피고는 이 사건 계약의 당사자가 김AA에 한정된다고 생각하지 않았던 것으로 보이는 점 등을 종합해 보면, 이 사건 계약 체결을 위한 계약서에 김AA만 표시되었다 하더라도 이는 가맹점주들을 대표하는 것을 의미할 뿐이고 실제로는 가맹점주들 모두가 이 사건 계약의 당사자이고 이를 피고도 계약 체결 당시에 알고 있었다고 봄이 타당하다. 나. 손해배상 책임의 인정 여부 앞서 채택한 증거들, 증인 변CC의 증언, 한국사이버결제에 대한 사실조회결과와 변론 전체의 취지에 의하여 인정되는 다음과 같은 사실 및 사정들을 종합해 보면, 피고는 이 사건 계약에 의한 채무의 내용에 따른 이행을 하지 아니하였다고 봄이 타당하므로, 이러한 채무불이행으로 인하여 원고가 입은 손해를 배상할 책임이 있다. ① 해킹으로 인하여 이 사건 사이트와 같은 인터넷 쇼핑몰 사이트의 주문 페이지에서 결제금액이 위·변조되어 결제시스템 서비스 회사로 제공되는 사고가 자주 발생하였다. 한국사이버결제는 2006년경부터 서비스이용자들이 한국사이버결제로부터 제공 받은 결제금액으로 정산을 하면서 실제 상품가격과 결제금액이 다른 경우를 확인하면 결제를 자동으로 취소할 수 있는 기능을 서비스 이용자들에게 제공하기 시작하였고, 2012년 4월경부터는 서비스이용자들이 상품가격 정보를 제공해 주면 위 가격과 결제가 요청된 금액을 비교해서 다를 경우 결제 요청을 거절하는 기능(이하 위 기능들을 총칭하여 ‘위·변조 방지기능’이라 한다)을 서비스이용자들에게 무료로 제공하였고 이러한 기능을 서비스이용자들에게 지속적으로 안내하였다. ② 피고는 주식회사 ◇◇◇◇의 인터넷 쇼핑몰 사이트를 구축할 때부터 한국사이버결제의 결제시스템 서비스를 이용하였는데 위 회사가 사이트를 이용할 당시에도 위·변조 방지기능을 결제시스템에 구현하지 않았다. 주식회사 ◇◇◇◇가 한국사이버결제의 결제시스템 서비스를 이용하다가 2013. 8. 29. 이 사건 사이트의 운영을 위해서 김AA이 위 서비스의 이용을 양도받았다. 주식회사 ◇◇◇◇의 인터넷 사이트를 관리하였던 김BB이 이 사건 사이트를 관리하기로 하였고 한국사이버결제는 2013. 9. 2.경 김BB에게 서비스이용자들을 구별하기 위한 사이트 코드(site code)와 사이트 키(site key)를 전자우편으로 송부하였고, 김BB은 2013. 9. 23. 위와 같이 전달받은 전자우편 을 피고에게 전달하였다. ③ 사정이 이러하다면 인터넷 쇼핑몰 사이트를 구축할 수 있는 전문성을 갖춘 피고는 인터넷을 이용한 결제시스템의 작동 방식과 취약점에 대해 잘 알고 있었고, 한국사이버결제가 위·변조 방지기능을 제공하고 있고 위 기능이 이 사건 사이트의 운영에 반드시 필요하고 중요한 기능이라는 점을 알았거나 알 수 있었을 것으로 판단되는 점, 이 사건 계약에 따라 이 사건 사이트 제작의무를 부담하는 피고에게는 위 사이트가 원활히 운영될 수 있도록 시스템을 구축할 의무가 있고, 원활한 운영을 위해서는 안전한 결제시스템의 도입이 필수적인 것으로 보이는 점 등에 비추어 보면, 피고가 이 사건 사이트를 제작할 당시 이미 한국사이버결제가 제공하고 있던 위·변조 방지기능을 이 사건 사이트에 적용하는 것은 피고가 이행해야 할 채무의 범위에 해당한다고 봄이 타당하다. 다. 손해배상의 범위 갑 9, 10호증의 각 기재에 의하면, 원고는 이 사건 물품을 합계 28,500,000원에 구입한 후 이에 이익을 붙여 합계 31,700,000원에 판매하려고 한 사실이 인정되는바, 이 사건 사고로 인하여 원고가 입은 손해는 위 구입가액을 기준으로 산정하는 것이 타당 하므로, 원고가 입은 손해는 28,480,900원(= 28,500,000원 - 결제된 19,100원)이다. 다만, 이 사건 사이트를 관리하였던 김BB이 한국사이버결제로부터 위·변조 방지기능에 대하여 전자우편을 통해 안내를 받았으나 위와 같은 기능을 이 사건 사이트에 적용해 달라고 피고에게 요구하지 않았고, 원고는 피고가 제공하는 관리시스템에 접속하여 결제와 관련된 내역을 확인할 수 있었는데 실제로 결제된 금액을 확인하지 않고 이 사건 물품을 배송하였던 잘못이 있다 할 것이고, 이러한 원고 측의 과실은 이 사건 손해 발생의 상당한 원인으로 작용하였다고 판단되므로, 이러한 점을 참작하여 피고가 배상하여야 할 손해액을 50%로 제한하기로 한다. 라. 소결 따라서 피고는 원고에게 14,240,450원(= 28,480,900원 × 50%) 및 이에 대하여 원고가 구하는 바에 따라 이 사건 소장 부본 송달 다음 날임이 기록상 명백한 2016. 4. 30.부터 피고가 이행의무의 존부 및 범위에 관하여 다투는 것이 타당한 이 판결선고일인 2017. 11. 6.까지는 민법에 정해진 연 5%의, 그 다음 날부터 다 갚는 날까지는 소송촉진 등에 관한 특례법에 정해진 연 15%의 각 비율로 계산한 지연손해금을 지급할 의무가 있다. 4. 결론 그렇다면, 원고의 이 사건 청구는 위 인정 범위 내에서 이유 있어 이를 일부 인용하고, 나머지 청구는 이유 없어 이를 기각하기로 하여, 주문과 같이 판결한다. 판사 심병직

서울서부지방법원 판결 【사건】2014고단1305 정보통신망이용촉진및정보보호등에관한법률위반(명예훼손) 【피고인】홍○○ (******-1), 승려 【검사】김민정(기소), 박지원(공판) 【변호인】법무법인 덕수, 담당변호사 송상교, 김진영, 정민영 【판결선고】 2017. 9. 22. 【주문】 피고인은 무죄. 피고인에 대한 판결의 요지를 공시한다. 【이유】 1. 공소사실 피고인은 피해자 박○○ 전 대통령을 비방할 목적으로 2013. 11. 29. 불상지에서 닉네임 ‘梧鳳수좌', 아이디 ‘@dph0108'로 트위터 계정에 접속하여 마치 피해자에게 자식이 있는 것처럼「아 참 미스가 아니제...처녀가 아니면서 처녀행세 한다고 했제...김○○이가 자식이 있다고 했으니 믿을만 한기라~지구촌민 여러분! 미스박은 미스가 아니라 51.6%똥테년 입니다. 51.6% 똥테년이 누런 똥테를 금테인양 세상을 현혹시키고 있음다 속지 마십시오」라는 허위사실을 적시한 것을 비롯하여 별지 범죄일람표 기재와 같이 2013. 11. 29.경부터 2013. 12. 8.경까지 8회에 걸쳐 피해자를 비방할 목적으로 정보통신망을 통하여 공공연하게 거짓의 사실을 드러내어 피해자의 명예를 훼손하였다. 2. 법리 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률' 제70조 제2항의 정보통신망을 통한 허위사실 적시에 의한 명예훼손죄가 성립하려면 그 적시하는 사실이 허위이어야 할 뿐 아니라, 피고인이 그와 같은 사실을 적시함에 있어 적시사실이 허위임을 인식하여야 하고, 이러한 허위의 점에 대한 인식 즉 범의에 대한 입증책임은 검사에게 있다(대법원 1994. 10. 28. 선고 94도2186 판결,대법원 2010. 10. 28. 선고 2009도4949 판결 등 참조). 그런데 행위자가 적시된 사실이 허위라는 것을 인식하였는지 여부는 성질상 외부에서 이를 알거나 증명하기 어려우므로, 공표된 사실의 내용과 구체성, 소명자료의 존재 및 내용, 피고인이 밝히는 사실의 출처 및 인지 경위 등을 토대로 피고인의 학력, 경력, 사회적 지위, 공표 경위, 시점 및 그로 말미암아 예상되는 파급효과 등의 여러 객관적 사정을 종합하여 판단할 수밖에 없다(대법원 2005. 7. 22. 선고 2005도2627 판결, 대법원 2014. 3. 13. 선고 2013도12430 판결 등의 취지 참조). 3. 판단 가. 먼저, 피고인이 박○○ 전 대통령에게 자식이 있는 것처럼 허위사실을 적시하였다는 부분에 관하여 본다. 이 부분과 관련하여 피고인이 트위터에 트윗(게시)한 내용은 “아 참 미스가 아니제...처녀가 아니면서 처녀행세를 한다고 했제...김○○이가 자식이 있다고 했으니 믿을만 한 기라~”이다. 검사는 이 부분에 관하여 피고인이 ‘박○○ 전 대통령에게 자식이 있다.'는 허위사실을 적시한 것으로 보아 공소를 제기하였으나, 위 표현의 취지는 ‘김○○이 박○○ 전 대통령에게 자식이 있다고 하였다. 김○○의 말이니 믿을 만하다.'라는 것으로 판단된다. 그런데 ‘김○○의 말이니 믿을 만하다.'라는 부분은 의견 표명에 해당하여 (허위)사실적시에 해당한다고 보기 어렵다. ‘김○○이 박○○ 전 대통령에게 자식이 있다고 하였다.'라는 부분에 관하여 보면, 이 법원이 채택·조사한 증거들에 의하여 알 수 있는 바와 같이 당시 ‘선데이저널'이라는 미국 소재 한국계 언론사에서 위와 같은 내용으로 인터넷 기사를 게재하였던 사실이 있을 뿐만 아니라(두 시간 만에 기사를 삭제하기는 하였다), 그러한 탓인지 위와 같은 내용이 인터넷 등을 통하여 널리 퍼져 있었던 점 등에 비추어 볼 때, 피고인이 당시 김○○이 박○○ 전 대통령에게 자식이 있다는 말을 한 적이 있는 것으로 믿고 있었을 수 있고, 서울서부지방검찰청 검찰주사보의 수사보고서(피해자 사생활 관련 사항 썬데이저널의 정정보도 사실)만으로는 피고인이 이를 허위라고 인식하고 있었다고 인정하기에 부족하며 달리 피고인이 이를 허위라고 인식하고 있었다거나 박○○ 전 대통령에게 자식이 있다는 허위사실을 적시하였다고 인정할 증거가 없다. 나. 다음으로, 피고인이 박○○ 전 대통령이 부정선거로 당선되었다는 취지의 허위사실을 적시하였다는 부분에 관하여 본다. ‘부정선거로 당선되었다'라는 내용은 단순한 사실의 적시라기보다는 다분히 평가적인 성격도 가지고 있음을 전제로 하고 보자면, 이 법원이 채택·조사한 증거들에 의하여 인정되는 바와 같이 피고인이 별지 범죄일람표 기재 각 문구를 게시할 당시는 이미 원○○ 전 국가정보원장에 대하여 ‘2012년 대통령선거에 관하여 국가정보원 3차장 산하 심리전단 직원들에게 특정한 여론 조성을 목적으로 특정 정당과 특정 정치인에 대한지지·찬양 또는 반대·비방 의견을 유포하도록 지시하는 등으로 선거에 개입하고(공직선거법위반) 정치에 관여하였다는(국가정보원법위반) 혐의'로 공소가 제기된 이후이므로, 피고인으로서는 박○○ 전 대통령이 당선되었던 2012년 대통령선거가 국가정보원 등이 개입된 부정선거라는 의심을 가질 충분한 이유가 있었다고 할 수 있고, 피고인이 이를 허위로 인식하고 있었다고 볼 만한 아무런 증거가 없다. ‘속임수를 써서 공직을 차지하였다'는 것도 위와 같은 맥락의 표현으로 보이고, 부정 선거에는 그 자체에 ‘조작'이나 사후적 ‘은폐' 등의 요소를 내포하는 것이어서 ‘부정선거를 은폐·조작하였다'는 것도 위와 같은 의미의 표현으로 해석되므로, 위와 마찬가지로 피고인에게 허위의 인식이 있었음에 대한 입증이 없다고 할 것이다. 다. 피고인이 박○○ 전 대통령이 부정선거를 무마하기 위하여 고의로 시간을 끄는 것처럼 허위사실을 적시하였다는 부분은, 별지 범죄일람표에 기재된 표현 내용이 “12. 19.부정선거를 재판이 끝날때까지 기다려보자는 미친년의 노림수는 지애비처럼 거짓으로나마 공직자로 죽어 국모 소리듣고 국립공원 지애비 옆에 묻히는 거다”, “…… 버티며 발광하는 자작쑈”라는 것으로서 박○○ 전 대통령이 특정한 목적을 가지고 선거에 관한 재판을 고의로 지연시키고 있다는 취지로 해석될 여지는 있으나, 그 의미가 다소 불분명하고, 박○○ 전 대통령의 의도를 추측하는 내용으로 되어 있어서, 이를 명예훼손에 관한 죄에서 말하는 ‘(허위)사실의 적시'라고 보기 어렵고, 달리 피고인이 박○○ 전 대통령이 부정선거를 무마하기 위하여 고의로 시간을 끈다는 취지의 허위사실을 적시하였음을 인정할 증거가 없다. 4. 결론 그렇다면 이 사건 공소사실은 모두 범죄의 증명이 없는 경우에 해당하므로 형사소송 법 제325조 후단에 의하여 무죄를 선고하고, 형법 제58조 제2항 본문에 따라 판결의 요지를 공시하기로 한다. 판사 남현

대전지방법원 판결 【사건】2017고단2175 위치정보의보호및이용등에관한법률위반 【피고인】A 【검사】김형록(기소), 김태희(공판) 【변호인】변호사 B(국선) 【판결선고】 2017. 8. 25. 【주문】 피고인을 벌금 4,000,000원에 처한다. 피고인이 위 벌금을 납입하지 아니하는 경우 금 100,000원을 1일로 환산한 기간 피고인을 노역장에 유치한다. 압수된 증제1, 2호를 피고인으로부터 몰수한다. 【이유】 범 죄 사 실 누구든지 개인 또는 소유자의 동의를 얻지 아니하고 당해 개인 또는 이동성이 있는 물건의 위치정보를 수집, 이용 또는 제공하여서는 아니됨에도 불구하고, 피고인은 자신이 사귀던 C가 같은 아파트에 거주하는 남자인 D를 사귀는 것으로 의심하여 그 사실 관계를 파악하기 위해 인터넷에서 구입한 위치추적기를 자동차에 부착하는 방법으로 이들의 위치정보를 몰래 수집하기로 마음먹었다. 1. 피고인은 2017. 4. 22.경 세종시 E로에 있는 위 C가 거주하는 아파트 지하주차장에서 C가 운행하는 65보****호 K9 승용차의 차체 뒷부분 하단에 위치추적기를 부착하는 방법으로 그 때부터 같은 해 5. 24.경까지 사이에 위 K9 승용차의 위치정보를 자신의 휴대폰으로 전송받아 C의 동의를 얻지 아니하고 그 위치정보를 수집하였다. 2. 피고인은 같은 해 5. 17.경 세종시 E로에 있는 위 D가 거주하는 아파트 지하주차 장에서 F가 운행하는 60구****호 벤츠 승용차의 차체 뒷부분 하단에 위치추적기(지퍼)를 부착하는 방법으로 그 때부터 같은 해 5. 24.경까지 사이에 위 벤츠 승용차의 위치 정보를 자신의 휴대폰으로 전송받아 D의 동의를 얻지 아니하고 그 위치정보를 수집하였다. 증거의 요지 1. 피고인의 법정진술 1. 피고인에 대한 검찰 피의자신문조서 1. C에 대한 사경 진술조서 1. D의 진술서 1. 압수조서 법령의 적용 1. 범죄사실에 대한 해당법조 및 형의 선택 ○ 위치정보의 보호 및 이용 등에 관한 법률 제40조 제4호, 제15조 제1항(각 벌금형 선택. 피고인이 초범이고 자신의 잘못을 깊이 뉘우치는 기색을 보이며 피해자들과 원만히 합의한 사정 등 참작함) 1. 경합범가중 형법 제37조 전단, 제38조 제1항 제2호, 제50조 1. 노역장유치 형법 제70조 제1항, 제69조 제2항 1. 몰수 형법 제48조 제1항 제1호 이상의 이유로 주문과 같이 판결한다. 판사 민성철

인천지방법원 판결 【사건】2017고정1357 컴퓨터등장애업무방해 【피고인】A(**-1), 중고차매매업 【검사】조수영(기소), 조진용(공판) 【변호인】변호사 임현화(국선) 【판결선고】 2017. 8. 18. 【주문】 피고인을 벌금 3,000,000원에 처한다. 피고인이 위 벌금을 납입하지 아니하는 경우 100,000원을 1일로 환산한 기간 피고인을 노역장에 유치한다. 위 벌금에 상당한 금액의 가납을 명한다. 【이유】 범 죄 사 실 피고인은 ‘B' 프로그램이 부정하게 트래픽을 발생시키고, 기계적인 방법으로 F 서버를 공격하여 블로그의 순위를 내리거나 순위에 영향을 미치는 프로그램이라는 사실을 알고 있었음에도 B 프로그램 판매자인 C에게 한 개 프로그램 가격으로 40만 원 상당의 금원을 지급하고 접속ID ‘D'와 패스워드를 제공받아 자신과 경쟁 관계인 업체 등에 대해 운영하는 F 블로그의 순위를 하위노출 시키고자 마음먹었다. 피고인은 2016. 5. 27. 11:22경 자신이 근무하고 있는 사무실에서, E의 IP주소로 D26의 키를 운영하여 ‘인스타그램 팔로워 늘리기'의 블로그에 접속한 뒤 자동실행 시켜 부정한 명령 등으로 인해 F 검색 어뷰징 시스템에 고의적으로 노출 되도록 동일 IP로 반복 접속하는 등의 방법으로 타겟팅 한 블로그의 순위를 하위에 노출시켰다. 피고인은 위 범죄사실 비롯하여 1개의 IP주소(E)로 B(D26) 프로그램을 이용하여 경쟁업체인 ‘인스타그램 팔로워 늘리기'의 F 블로그에 그 무렵부터 2016. 5. 31.경까지 별지 범죄일람표(3) 기재와 같이 합계 4587회에 걸쳐 허위 정보 및 부정한 명령을 입력함으로써 F 검색 어뷰징시스템 정보처리 장치에 장애를 발생하게 하여 정상적인 F 인터넷 포털사이트 운영자의 업무를 방해하였다. 증거의 요지 1. 피고인의 법정진술(제2회 공판기일에서의 것) 1. C에 대한 경찰피의자신문조서(제1, 2회) 1. B 분석보고서 법령의 적용 1. 범죄사실에 대한 해당법조 및 형의 선택 형법 제314조 제2항, 제1항, 제313조(포괄하여), 벌금형 선택 1. 노역장유치 형법 제70조 제1항, 제69조 제2항 1. 가납명령 형사소송법 제334조 제1항 판사 전경욱

수원지방법원 성남지원 제2민사부 판결 【사건】2015가합206504 정직처분무효확인 등 【원고】 A(소송대리인 법무법인, 담당변호사) 【피고】 주식회사 ☆(소송대리인 법무법인, 담당변호사) 【변론종결】 2017. 2. 28. 【판결선고】 2017. 4. 4. 【주문】 1. 피고의 원고에 대한 2015. 5. 23.자 정직 1월의 징계처분 및 2015. 7. 3.자 전직명령은 각 무효임을 확인한다. 2. 피고는 원고에게 2,405,163원 및 그 중 2,093,380원에 대하여는 2015. 11. 3.부터, 192,883원에 대하여는 2015. 12. 25.부터, 나머지 118,900원에 대하여는 2016. 12. 26.부터 각 2017. 4. 4.까지는 연 6%의, 그 다음날부터 다 갚는 날까지는 연 15%의 비율로 계산한 금원을 지급하라. 3. 원고의 나머지 청구를 기각한다. 4. 소송비용은 피고가 부담한다. 5. 제2항은 가집행할 수 있다. 【청구취지】 주문 제1항 및 피고는 원고에게 2,405,163원 및 이에 대하여 이 사건 소장부본 송달 다음날부터 다 갚는 날까지 연 15%의 비율로 계산한 금원을 지급하라. 【이유】 1. 기초사실 가. 피고는 통신서비스업 등을 목적으로 하는 회사이고, 원고는 1995. 7. 3.부터 피고 회사에 입사하여 근무하여 오다가, 2014. 5. 12. 업무지원단으로 발령받아 ** 업무 지원부 **지원*팀에서 근무하여 왔다. 나. (1) 피고 회사는 2014년경 무선통신의 품질을 측정하기 위하여 안드로이드 운영체제(OS) 기반의 이동통신용 Smart DM(Diagnostic Monitoring) 애플리케이션(Application)(이하 ‘이 사건 애플리케이션’이라고 한다)을 업그레이드하면서 2014. 10월경 원고를 비롯한 업무지원단 소속 직원들을 대상으로 이 사건 애플리케이션의 설치방법, 주요기능 및 정보 등에 관한 교육을 실시한 뒤, 업무지원단 소속 직원 283명 중 일부 직원(원고 포함)에게 이 사건 어플리케이션의 설치 및 무선품질 측정업무(이하 ‘이 사건 업무’라고 한다)를 지시하였다(이 사건 업무 이전에 업무지원단은 그룹사 상품판매, 임대단말 회수, 케이블 순회 점검업무를 수행하고 있었는데, 케이블 순회 점검업무가 마무리 되고, 이 사건 업무가 업무지원단의 새로운 업무로 배정되었고, 2015. 4. 1. 현재 업무지원단 직원 283명 중 85여명 정도에게는 이 사건 업무가, 나머지 198여명은 임대단말 회수업무가 각 배정되었다). (2) 당시 피고 회사는 노사간의 단체교섭을 통하여 피고 회사가 피고 회사의 업무 구분 제한 없이 임직원들에게 업무용 단말기를 지원하는 등의 내용을 포함한 통신보조비 지원 합의를 하였는데, 피고 회사의 ‘업무용·사업용 회선(무선) 및 단말기 지원업무 운영지침’의 주된 내용은 다음과 같다. 업무용·사업용 회선(무선) 및 단말기 지원업무 운영지침 1. 목적 업무용·사업용 회선(무선) 및 단말기 지원에 대한 기준 명확화 2. 용어 정의 가. 업무용 회선/단말기 : 임직원 업무 지원을 위해 지급되는 이동전화 1회선, I-PAD(회선 및 단말기) 나. 사업용 회선/단말기 : 각 부서 업무(TEST, 시연 등)를 위해 지원되는 회선/단말기 3. 유관부서 R&R ... (생략) ... 4. 업무용 회선/단말기 운영기준 가. 지원 대상 1) 정규적, 청원경찰, 전문경력직, ☆ 재적 교류근무자(이하 ‘정규직’) 2) 상무보, 임원, 사외이사, 고문(이하 ‘임원’) 3) 파견계약직 및 기타 나. 지원 항목 1) 정규직 가) 이동전화 : 통화·메시지·데이터/부가서비스 : 캐치콜, 링투유(업무시간 CM송) ...(후략)... 다. 지원 조건 1) 명의 : 법인(㈜☆) 2) 전화번호(앞자리) - 신규 개통시 : (생략) - 기존 번호 사용 희망자는 해지 후 법인 명의로 재가입(위약금 발생 가능) 3) 실사용자 정보 등록 - 이름, 주문등록번호, 요금청구(납부)정보 4) 임직원 본인만 사용 ... (후략) ... 라. 지원 조건 위반시 처리 1) 지원 즉시 중단 2) 업무용 회선번호 - 인사 DB 연락처 불일치자 적발시 윤리경영실 즉시 통보 5. 사업용 회신/단말기 운영기준 가. 원칙 1) 관리책임은 신청자와 그 소속 부서 팀장에게 있다. 2) 신청사유(부서 업무) 외 용도로의 사용은 금지한다. ... (후략) ... 나. 지원항목 : ... (생략) ... 라. 용도별 지원기간 (3) 피고 회사가 이 사건 업무를 지시할 당시 안드로이드 OS 기반의 이동통신단말기를 업무용 단말기로 보유하고 있던 업무지원단 직원에게는 별도 단말기 지원없이 기존에 보유하고 있던 업무용 단말기에 이 사건 어플리케이션을 설치하도록 지시하였고, 안드로이드 OS 기반이 아닌 다른 OS 기반의 이동통신단말기를 업무용 단말기로 보유하고 있던 업무지원단 직원에게는 이 사건 업무수행을 위하여 사업용 단말기를 따로 지원하였다. 다. 이 사건 어플리케이션을 설치하는 과정에서 아래와 같은 내용의 공지가 반복되자, 원고를 포함한 업무지원단 직원 일부가 개인정보 침해가 우려된다는 이유로 이 사건 어플리케이션을 자신의 업무용 단말기에 설치할 것을 거부하였다. 그 과정에서 원고는 피고 회사에 이 사건 업무수행을 위한 사업용 단말기를 따로 지급해주거나, 또는 이 사건 업무 이외의 업무인 임대단말 회수업무를 배정해줄 것을 요청하였다. 라. 그러나 피고 회사는 원고의 운전 미숙 등을 이유로 위 요청을 모두 거절하고, 2015. 4월경까지 지속적으로 원고에게 사무실에 대기할 것을 지시하는 한편 이 사건 업무수행을 촉구하였다. 그럼에도 원고가 개인정보 침해를 이유로 이 사건 어플리케이션을 자신의 업무용 단말기에 설치할 것을 거부하면서 이 사건 업무수행을 하지 아니 하자, 피고 회사는 2015. 4. 14. 원고에게 ‘원고가 다른 직원들과의 차별이나 개인정보보호를 이유로 업무수행을 거부하는 것은 정당한 업무지시에 불응하는 것이고, 원고의 업무수행 거부 및 근무태만은 중대한 비위행위로서 피고 회사는 징계 등 인사조치를 검토할 수 밖에 없다’는 취지의 업무수행촉구서를 전달하였다. 마. 이에 원고는 2015. 4. 30., 2015. 5. 15. 두 차례에 걸쳐 피고 회사 대표이사에게 이 사건 업무수행을 위한 사업용 단말기를 지급해줄 것을 요구하는 내용의 전자메일 및 우편을 발송하였다. 바. 피고 회사는 2015. 5. 20. 원고가 출석한 가운데 인사위원회를 개최하여 원고가 아래와 같은 징계사유에 해당하는 행위를 하였음을 이유로 인사규정 제38조, 인사규정 시행세칙 제58조를 적용하여 정직 1월을 결정하였고(이하 ‘이 사건 징계처분’이라고 한다), 2015. 6. 3. 원고에게 위 인사위원회 결과를 통보하였다. 1. 성실의 의무 위반 - 혐의자(원고)는 인사규정 제26조(성실의무) 및 취업규칙 제14조(성실의 의무)에 따라 법령과 회사의 제규정을 준수하여 성실히 직무를 수행해야 함에도 2015. 1. 15.부터 업무지시된 무선품질 측정업무를 현재까지도 지속적으로 거부하고 있음 2. 조직 내 질서존중의 의무 위반 - 혐의자는 업무거부를 하는 과정 속에서 해당 팀장이 업무참여를 당부하는 면담을 수차례 진행하였고, 회사로부터 업무수행 촉구이행서를 받았음에도 현재까지 업무수행을 거부하며 CEO에게 항의성 내용증명 문건을 보내는 등 조직질서에 위배되는 행위를 하였음 사. 원고는 이에 불복하여 재심신청을 하였으나, 피고 회사는 2015. 7. 3. 중앙인사 위원회를 개최하여 원고의 재심신청을 기각한다는 결정을 하였고, 같은 날 원고에게 위 중앙위원회 결과를 통보하였다. 아. 피고 회사는 위 정직 1월의 기간이 경과한 후 2015. 7. 3. 인사규정 제40조의2 제1항에 의거하여 원고를 **업무지원부 **지원*팀에서 **업무지원부 **지 원--팀으로 전보발령하였다(이하 ‘이 사건 전직명령’이라고 한다). 자. 이 사건과 관련된 피고 회사의 취업규칙, 인사규정 및 인사규정세칙과 개인정보보호법 규정은 별지 관련규정와 같다. [인정근거] 다툼이 없는 사실, 갑 제1 내지 8, 19, 33, 36호증, 을 제1 내지 13, 16호증(가지번호 있는 것은 가지번호 포함), 변론 전체의 취지 2. 당사자들의 주장 가. 원고의 주장 (1) 이 사건 징계처분 무효확인 부분 피고 회사의 이 사건 업무지시는 다음과 같이 개인정보 보호법을 위반한 것이므로 원고가 이를 거부하였다는 것만으로 이를 징계사유로 삼을 수 없다. ① 이 사건 업무수행을 위해서는 이 사건 애플리케이션의 설치가 필수적인데, 설치과정에서 개인정보의 수집에 관한 동의절차가 있기는 하나, 그에 관한 동의를 거부 할 경우 이 사건 애플리케이션의 설치가 불가능하여 결국 이 사건 업무수행이 불가능 하게 된다. 이는 실질적으로 원고의 개인정보 수집에 관한 동의권을 보장하지 아니한 것으로 개인정보 보호법 제15조를 위반한 것이다. ② 이 사건 애플리케이션은 필요최소한의 범위를 넘어 원고의 업무용 단말기에 저장된 모든 정보를 접근대상으로 삼고 있을 뿐만 아니라, 필요한 최소한의 정보 이외의 개인정보 수집에는 동의하지 아니할 수 있음을 구체적으로 알리고 이를 수집하여야 함에도 그러한 고지절차를 거치지 아니하였고, 원고가 이 사건 애플리케이션의 설치에 관한 동의를 하지 않음을 이유로 피고 회사는 원고에게 따로 사업용 단말기를 지급하지 아니하였으므로, 이는 개인정보 보호법 제16조를 위반한 것이다. ③ 이 사건 애플리케이션의 설치과정에서 각각의 개인정보항목에 대한 개별적 동의절차가 없었으므로, 이는 개인정보 보호법 제22조 제1항을 위반한 것이다. 또한 원고가 피고 대표이사에게 이 사건 업무수행을 위한 사업용 단말기를 지급 해줄 것을 요구하는 내용의 전자메일 및 우편을 발송한 것은 위법·부당한 이 사건 업무지시에 대한 정당한 요구이므로, 이 또한 징계사유가 될 수 없다. 따라서 이 사건 징계처분은 정당한 징계사유 없이 이루어져 위법한 것으로 무효이다. (2) 이 사건 전직명령 무효확인 부분 이 사건 징계처분이 무효인 이상, 인사규정 제40조의2 제1항에 따라 이루어진 이 사건 전직명령은 무효일 뿐만 아니라, 이 사건 전직명령은 징계로서의 성격을 가지고 있음에도 징계절차를 준수하지 않아 그 절차적 정당성이 인정되지 아니한다. 만약 이 사건 전직명령이 단순한 인사명령의 일종이라고 하더라도, 이 사건 전직명령에 관한 피고 회사의 업무상 필요성과 이 사건 전직명령에 따른 원고의 생활상 불이익을 비교 형량해 볼 때, 원고의 생활상 불이익이 훨씬 크므로, 이 사건 전직명령은 부당하다. (3) 임금 청구 부분 이 사건 징계처분이 무효인 이상, 피고 회사는 원고에게 이 사건 징계처분으로 인한 임금의 차액인 2,405,163원 및 이에 대한 지연손해금을 지급할 의무가 있다. 나. 피고 회사의 주장 (1) 이 사건 징계처분 무효확인 부분 이 사건 업무지시는 피고 회사가 원고에게 지급한 업무용 단말기를 통하여 수행할 것을 지시한 것인데, 업무용 단말기는 그 명의가 피고 회사로 되어 있을 뿐만 아니라, 업무에 사용될 목적으로 제공된 이상 적어도 근무시간 중에는 직원이 업무를 위한 사용 요구를 거부할 수 없다. 그리고 이 사건 애플리케이션이 수집하는 정보는 개인정보에 해당하지 않거나, 개인정보와 관련된 것이 있다고 하더라도 피고 회사는 개인정보 보호법을 모두 준수하였다. 피고 회사는 원고에게 이 사건 애플리케이션이 필요 이상의 개인정보가 무분별하게 수집되는 일이 없음을 설명하였을 뿐만 아니라, 원고 소속의 업무지원단 팀장이 공단말기를 지급하면서까지 원고에게 이 사건 업무수행을 촉구하였으나, 원고는 정당한 이유 없이 이 사건 업무수행을 거부하였다. 또한 원고는 부당하게 이 사건 업무수행을 거부하면서 피고 대표이사에게 항의성 전자메일 및 우편을 보낸 것은 조직 내 질서 존중의무를 위반한 것이다. 따라서 원고의 위와 같은 행위들 은 인사규정상 징계사유에 해당하고, 원고의 징계전력 및 이 사건 업무수행의 거부가 고의적으로 행하여 진 것을 감안하면 이 사건 징계처분의 징계양정 또한 타당하다. 따라서 이 사건 징계처분은 적법하다. (2) 이 사건 전직명령 무효확인 부분 인사규정 제40조의2 제1항에 의거하여 행하여진 이 사건 전직명령은 피고 회사가 징계를 받은 직원에 대하여 업무상 필요한 범위 내에서 이루어진 인사정책에 따른 것으로 정당한 인사권 행사에 따른 인사명령일 뿐이이고, 이 사건 전직명령에 따른 원고의 생활상 불이익은 그리 크지 아니하다. 따라서 이 사건 전직명령은 정당하다. (3) 임금 청구 부분 이 사건 징계처분이 적법한 이상, 원고의 임금 청구는 이유 없다. 3. 판단 가. 이 사건 징계처분 무효확인 부분에 관한 판단 (1) 성실의무 위반 징계사유 부분 (가) 업무용 단말기에 저장된 개인정보 또는 업무용 단말기를 통하여 알 수 있는 개인정보가 개인정보 보호법의 보호대상인지 여부 원고는, 원고가 사용하는 업무용 단말기 내에 저장된 원고의 개인정보에 관한 권리가 침해된다는 이유로 이 사건 업무수행을 거부한 것이 정당하다고 주장한다. 이에 대하여 피고 회사는 원고가 사용하는 업무용 단말기는 업무 용도의 목적으로 제공 되었으므로 원고가 이 사건 업무수행을 거부할 수 없다는 취지로 주장한다. 결국 원고와 피고 회사의 주장은 원고가 사용하고 있는 업무용 단말기 내에 저장된 원고의 개인정보 또는 업무용 단말기를 통하여 알 수 있는 개인정보가 개인정보 보호법의 보호대상에 해당하는지 여부에 관한 것이라고 할 수 있다. 따라서 원고가 사용하고 있는 업무용 단말기 내에 저장된 원고의 개인정보 또는 업무용 단말기를 통하여 알 수 있는 원고의 개인정보가 개인정보 보호법의 보호대상인지 여부를 먼저 판단한 다음, 이 사건 업무지시의 개인정보 보호법 위반 여부를 판단하도록 한다. 살피건대, 피고 회사가 원고에게 지급한 업무용 단말기는 업무 지원을 목적으로 하고 있고, 그 명의가 피고 회사로 되어 있으며, 단말기 일부 금액 및 통신비 전액을 피고 회사가 부담하고 있는 사실은 당사자 사이에 다툼이 없다. 그러나 한편 앞서 본 바와 같이 위 업무용 단말기는 피고 회사의 노사간의 단체교섭을 통하여 임금 분야와 관련하여 피고 회사가 피고 회사의 업무 구분의 제한 없이 통신보조비를 전액 지원하기로 합의함에 따라 지급된 것으로 임금보전적·복리후생적 성격이 있는 점, 업무용 단말기에 실사용자를 등록하도록 하고 있고, 지원 조건에 있어서도 직원 본인이 사용 하는 것 이외에 다른 제한 조건이 없을 뿐만 아니라, 피고 회사 직원들이 업무용 단말기를 사실상 개인용으로 사용하고 있고, 피고 회사 또한 그러한 사용을 허용하고 있는 것으로 보이는 점 등을 종합하면, 원고에게 제공된 업무용 단말기에 업무 목적이 있다는 이유만으로 원고가 사용하고 있는 업무용 단말기 내에 저장된 원고의 개인정보 또는 위 업무용 단말기를 통하여 알 수 있는 원고의 개인정보가 개인정보 보호법의 보호 대상이 아니라고는 할 수 없다. (나) 이 사건 업무지시가 개인정보 보호법에 위배되는 것인지 여부 살피건대, 갑 제6호증, 을 제22호증의 각 영상, 이 법원의 주식회사 ##에 대한 감정촉탁결과 및 변론 전체의 취지에 의하면, 이 사건 애플리케이션이 설치되면서 이 사건 애플리케이션이 실행되기 위해서 필요한 접근권한의 내용이 표시되고, 이후 개인 정보의 수집 및 이용목적에 동의 여부를 묻는 내용이 표시되는 사실, 동의 여부를 묻는 내용에는 피고 회사 무선통신망 분석을 위하여 최소한의 필요절차로 개인정보를 수집하고 이를 전송한다는 내용과 함께 수집하는 항목 및 수집되는 정보의 보관기간이 명시되어 있고, 그 아래에 ‘동의를 거부할 권리가 있으나, 거부시 어플리케이션의 설치 및 관련 업무가 불가능합니다’라는 문구가 포함되어 있는 사실, 이 사건 애플리케이션이 실행되면서 수집·전송된 정보는 전화번호, 단말기정보, 위치정보, 측정시간, 네트워크 정보, LTE 정보 등인 사실을 인정할 수 있고, 위 인정사실과 을 제22호증의 영상 및 변론 전체의 취지에 의하여 알 수 있는 다음과 같은 사정, 즉 ① 이 사건 애플리케이션의 실행을 위하여 업무용 단말기 내 상당한 범위의 개인정보에 접근할 수 있는 권한이 요구되기는 하나, 위 접근권한은 이 사건 업무를 위하여 필요한 것으로 보이는 점, ② 이 사건 애플리케이션이 접근하는 정보 이외에 이 사건 어플리케이션이 실제 수집·전송하는 정보는 전화번호, 단말기정보, 위치정보, 측정시간, 네트워크 정보, LTE 정보 등인데, 개인정보의 수집 및 이용목적에 동의 여부를 묻는 내용에서 표시된 수집하는 항목과 일치하고, 위와 같이 수집된 정보는 이 사건 업무를 위하여 필요한 것들인 점, ③ 이 사건 애플리케이션이 이 사건 업무에 필요한 위와 같은 정보 이외의 다른 개인 정보를 수집한다고 인정할 다른 자료가 없는 점, ④ 개인정보 보호법 제22조 제1항의 ‘각각의 동의 사항’은 규정 취지 및 형식으로 볼 때 수집·이용 동의(같은 법 제15조 제1항 제1호), 제3자 제공 동의(제17조 제1항 제1호), 국외 제3자 제공 동의(제17조 제3항), 목적외 이용·제공 동의(제18조 제2항 제1호), 마케팅 목적 처리 동의(제22조 제3항), 법정대리인의 동의(제22조 제5항), 민감 정보 처리 동의(제23조 제1항 제1호), 고유식별 처리 동의(제24조 제1항 제1호)에 관한 사항이라고 볼 것인데, 이 사건 애플리케이션의 경우 개인정보의 수집·이용만을 위한 것인 점, ⑤ 원고는 개인정보의 수집에 관한 동의를 거부할 경우 결국 이 사건 업무수행이 불가능하게 되어 실질적으로 개인정보 수집에 관한 동의권을 보장하지 않은 것이라고 주장하나, 이는 아래에서 보는 바와 같이 동의 거부에 따른 불이익으로서의 징계처분에 실체적 하자가 있는지 여부의 판단문제로 볼 것이지, 동의권을 보장하지 않은 것이라고 평가하기는 어려운 점 등을 종합하면, 이 사건 업무지시가 자체로서 개인정보 보호법이 정하고 있는 동의절차 및 범위를 위배하였다고 보기는 어렵다. (다) 개인정보보호권과 업무지시권의 이익형량 1) 근로자의 개인정보자기결정권 사람은 개인정보자기결정권을 가지고 있는데, 이는 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다. 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 내밀한 영역이 나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다. 또한 그러한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다. 개인정보자기결정권은 헌법 제17조의 사생활의 비밀과 자유, 헌법 제10조 제1문의 인간의 존엄과 가치 및 행복추구권, 그 밖에 헌법상의 국민주권의 원리, 자유민주적 기본질서 등을 이념적 기초로 하는 독자적 기본권으로서 헌법에 명시되지 아니한 기본권이다{헌법재판소 2005. 5. 26. 선고 99헌마513, 2004헌마190(병합) 결정, 헌법재판소 2009. 10. 29. 선고 2008헌마257 결정 등 참조}. 이 사건의 경우 피고 회사가 원고에게 원고가 사실상 개인용으로 사용하도록 허용되어진 업무용 단말기를 통하여 이 사건 애플리케이션을 설치하도록 요구받았고, 이 사건 애플리케이션의 실행을 위하여 업무용 단말기 내의 상당한 범위의 개인정보에 접근할 수 있는 권한이 요구되고 있음은 앞서 본 바와 같은바, 이러한 접근권한의 요구는 개인정보를 대상으로 한 조사·수집·보관·처리·이용과 같이 원고의 개인정보 자기결정권에 대한 제한에 해당한다고 할 것이다.1) 한편 과학기술의 진보에 따라 기업의 근로감시활동이 전자장비와 결합한 채 확대됨에 따라 근로자의 인격권 내지 사생활 침해우려가 고조되고 있는 현실적인 상황과 애플리케이션을 이용하는 대다수의 이용자가 서비스 제공자가 본인 단말기의 정보를 얼마나 수집하고 어디까지 활용할 수 있는 지 정확히 알지 못하는 현실을 고려하면, 근로자는 가능한 한 개인정보자기결정권의 침해방지를 위하여 업무수행의 과정, 방법 또는 정도 등과 관련하여 보호받아야 할 자신의 개인정보자기결정권을 사용자가 존중해 줄 것을 요구할 수 있다고 보아야 할 것이다. [각주] 1) 정보통신망 이용촉진 및 정보보호 등에 관한 법률이 2016. 3. 22. 법률 제14080호로 개정되면서, 제22조의2(접근권한에 대한 동의)의 신설을 통하여 이동통신단말장치 내 접근권한과 관련한 이용자 보호를 위한 구체적인 법적 규율이 마련되었다. 2) 사용자의 재산권, 영업의 자유 및 업무지시권과 비교형량의 필요성 한편, 근로자가 개인정보자기결정권을 가지는 것처럼 사용자 또한 이에 대응하는 권리로서 헌법질서에 따른 재산권, 영업의 자유를 가질 뿐만 아니라, 이를 토대로 근로자에 대한 업무지시권을 가진다고 할 것인바, 근로관계의 양 당사자인 사용자와 근로자는 위와 같이 대립·상충되는 권리관계에 놓여 있게 된다고 할 것이다. 결국 이와 같은 권리관계 상황에서 근로자의 업무지시 불이행이 성실의무 위반의 징계사유가 되는지 여부는 사용자와 근로자의 대립되는 이해관계의 이익형량에 따라 결정된다고 보아야 한다. 이러한 이익형량을 통해 근로자의 개인정보자기결정권의 제한이라는 불이익이 더 크다고 판단되는 경우에는 비록 사용자의 업무지시가 적법한 것이라고 하더라도 근로자가 개인정보자기결정권의 제한에 관한 동의를 거부하였다는 이유만으로 이를 징계처분할 수 없고, 반대로 사용자의 업무지시의 필요성이 더 크다고 판단될 때에는 근로자의 동의거부로 인한 업무지시 불이행은 성실의무 위반의 징계사유로 삼을 수 있다고 봄이 상당하다. 3) 성실의무 위반의 징계사유 존부 이 사건으로 돌아와 보건대, 앞서 본 기초사실과 갑 제35, 37호증, 을 제3, 5, 6, 25 내지 32호증의 각 기재 및 변론 전체의 취지에 의하여 알 수 있는 아래와 같은 사정들을 고려하면, 비록 이 사건 업무지시가 앞서 본 바와 같이 개인정보 보호법을 위배하지 않은 것이었고, 통신서비스업 등을 목적으로 하는 피고 회사로서 무선품질 측정업무 자체가 당연히 필요하였다고 하더라도, 원고가 이 사건 애플리케이션의 설치를 거절하여 이 사건 업무수행을 하지 못하였다는 것만으로 성실의무 위반이라는 징계 사유가 있다고 볼 수 없고, 달리 피고 회사의 이 사건 업무지시의 필요성이 원고의 개인정보자기결정권에 대한 제한의 불이익보다 더 크다고 볼 수 없다. ① 피고 회사가 업무지원단 직원들을 대상으로 한 이 사건 애플리케이션에 관한 교육에서 전송되는 정보에 관한 내용이 있기는 하나, 실제 이 사건 애플리케이션 을 설치할 당시 전송되는 정보의 범위 이외의 업무용 단말기 내 상당한 범위의 개인정보에 접근할 수 있는 권한이 요구된다는 공지가 반복되었고, 위 공지 내용에 따르면 이 사건 업무와는 무관한 개인정보에 관한 수집이 발생할 수도 있다는 우려를 낳기에 충분하다. ② 피고 회사가 업무지원단 팀장을 통하여 필요최소한도의 개인정보만을 수집한다고 설명하는 절차를 취하기는 하였으나, 이는 교육내용과 같은 수준의 반복 및 이 사건 업무수행의 반복된 촉구에 그쳤고, 원고와 피고 회사 사이의 신뢰관계가 그리 좋은 상황이 아니었음에도 불구하고, 보다 설득력 있거나 객관적인 근거를 제시한다든 가의 조치가 없었다. ③ 업무용·사업용 회선(무선) 및 단말기 지원업무 운영지침에 따르면, 업무용 단말기의 경우는 일반적인 임직원의 업무 지원을 목적으로 하고 있고, 사업용 단말기의 경우의 경우는 각 부서업무(TEST, 시연 등)을 그 목적으로 하고 있을 뿐만 아니라, 그 용도에 망 품질 TEST를 포함하고 있으며, 실제로 피고 회사가 안드로이드 OS 기반이 아닌 다른 OS 기반의 이동통신단말기를 업무용 단말기로 보유하고 있던 업무 지원단 직원에게는 이 사건 업무수행을 위하여 사업용 단말기를 지원한 것을 고려하면, 피고 회사가 이 사건 업무를 위하여 사업용 단말기를 지원하는 것이 위 운영지침에도 부합할 뿐만 아니라, 개인정보 침해를 우려하는 원고에게 사업용 단말기를 지급함으로써 간단히 피고 회사와 원고 사이의 대립문제를 해결할 수 있었을 것으로 보이고, 달리 피고 회사가 사업용 단말기를 지급하는 것이 상당히 곤란하거나 불가능한 상황이었던 것으로 보이지도 않는다. 따라서 사업용 단말기의 지급을 구하는 원고의 요구가 부당하다고 할 수 없다. ④ 이 사건 업무지시 당시 업무지원단 소속 직원들의 업무로는 이 사건 업무 이외에 그룹사 상품판매, 임대단말 회수업무가 있었는데, 원고가 이 사건 업무 이외에 임대단말 회수 업무를 부여해줄 것을 요청하였음에도 불구하고, 피고 회사는 원고의 요청을 거절한 채 이 사건 징계처분시까지 여러 달 동안 원고를 사무실에 대기시키면서까지 이 사건 업무만을 수행할 것을 요구하였다. 피고 회사는 원고가 여성인데다가 운전이 미숙하다는 이유로 원고의 요청을 거절한 것으로 타당한 이유가 있다고 주장하나, 임대단말 회수 업무와 이 사건 업무는 언제든 대체적으로 인력을 투입할 수 있는 성질의 업무이고, 달리 전문성을 요하는 것으로 보이지 아니한다. 나아가 피고 회사는 원고 이외에 이 사건 업무를 수행하고자 하는 다른 업무지원단 직원을 찾아보려는 노력을 전혀 하지 아니하였고, 이 사건 업무가 2015. 12월말까지 수행되고 종료된 이후 업무지원단의 업무로 그룹사 상품판매와 임대단말 회수 업무가 남게 됨에 따라 현재 원고가 임대단말 회수업무를 수행하고 있는 것으로 보인다. 이러한 사정들을 고려하면, 피고 회사가 원고의 요청을 거절한 것이 정당하다고 보이지는 아니하고, 오히려 원고를 징계처분하기 위해 이 사건 업무만을 수행할 것을 강요한 것으로 볼 여지도 있다. ⑤ 피고 회사는 원고에게 공단말기를 구해주면서 이 사건 업무를 수행할 것을 권고한 사실이 있다. 이는 원고의 업무용 단말기에 있는 유심칩을 꺼내어 공단말기에 갈아 끼워가면서 업무를 수행하라는 취지라고 할 것인바, 유심칩에 저장된 개인정보에 관한 접근권한 및 유출 우려의 문제가 여전히 남아 있어 온전한 해결방법이라고 볼 수 없고, 기왕 공단말기를 지급할 것이라면 이에 더하여 유심칩까지 함께 지급하는 것이 기술적으로나 비용 면에서 전혀 어려운 것이라고 할 수 없다. (라) 소결 이상에서 살핀 바와 같이 피고 회사의 이 사건 업무지시의 필요성이 원고의 개인정보자기결정권에 대한 제한의 불이익보다 더 크다고 볼 수 없으므로 피고 회사가 주장하는 성실의무 위반의 징계사유가 존재한다고 보기 어렵고, 그 밖에 원고가 성실 의무를 위반하였다거나 그 밖의 법령이나 피고 회사의 복무규정 및 인사규정에 위반되었다고 보기도 어렵다. (2) 조직 내 질서존중 의무 위반 징계사유 부분 앞서 본 바와 같이 피고 회사가 주장하는 성실의무 위반의 징계사유가 존재한다고 보기 어렵고, 위 기초사실과 갑 제8호증, 갑 제36호증의1, 2, 을 제5, 6호증의 각 기재 및 변론 전체의 취지에 의하여 알 수 있는 다음과 같은 사정, 즉 ① 원고가 업무지 원단의 책임자에게 여러 차례 사업용 단말기를 지원해 주거나, 임대단말 회수업무로 전환하여 달라고 요청하였던 점, ② 원고의 위와 같은 거듭된 요구가 번번히 거절되자, 원고는 피고 대표이사에게 사업용 단말기를 지원해 줄 것을 요청하는 전자메일 및 우편을 보내게 된 점, ③ 원고가 발송한 전자메일 및 우편의 내용에는 사업용 단말기를 지원해줄 것을 요구하는 내용 이외에 여타 다른 내용을 찾아보기 어려운 점 등을 종합 하면, 피고 회사가 주장하는 조직 내 질서존중 의무 위반의 징계사유가 존재한다고 보기 어렵고, 그 밖에 원고가 허위사실 유포 등 회사질서에 악영향을 주는 행위를 하였다거나 기타 조직 내 질서 존중의무 위반하였다고 보기도 어렵다. (3) 소결 따라서 이 사건 징계처분에는 피고 회사가 주장하는 징계사유가 존재한다고 볼 수 없으므로, 이 사건 징계처분은 그 효력을 인정할 수 없을 만한 중대한 하자가 있다고 할 것인바, 이 사건 징계처분은 효력이 없다. 또한 이 사건 징계처분에 의하여 그 직무에서 배제되고 그 기간 동안 감봉 및 승진 또는 승급에서의 불이익을 입게 되는 원고로서는 위와 같이 하자 있는 징계처분의 무효 확인을 받는 것이 현재의 권리에 현존하는 위험이나 불안을 제거하기 위한 유효·적절한 수단이라고 할 것이므로 확인의 이익도 인정된다. 나. 이 사건 전보명령 무효확인 부분에 관한 판단 근로자에 대한 전보나 전직은 원칙적으로 인사권자인 사용자의 권한에 속하므로 업무상 필요한 범위 내에서는 상당한 재량을 인정하여야 할 것이지만, 그것이 근로기준법 등에 위반하거나 권리남용에 해당하는 등의 특별한 사정이 있는 경우에는 허용되지 않는다고 할 것인바, 전직처분이 정당한 인사권의 범위 내에 속하는지 여부는 전직명령의 업무상의 필요성과 전직에 따른 근로자의 생활상의 불이익과의 비교 교량, 근로자 본인과의 협의 등 전직명령을 하는 과정에서 신의칙상 요구되는 절차를 거쳤는지의 여부 등에 의하여 결정되어야 한다(대법원 1997. 12. 12. 선고 97다36316 판결, 대법원 2009. 4. 23. 선고 2007두20157 판결 등 참조). 살피건대, 이 사건 징계처분은 중대한 하자로 인하여 효력이 없음은 앞서 본 바와 같으므로, 원고에게 피고 회사가 주장하는 이 사건 전직명령의 원인사유가 있다고 볼 수 없고, 을 제14, 15, 19, 20, 21호증의 각 기재만으로는 이 사건 전직명령을 할 업무상 필요성이 있었음을 인정하기 부족하고, 달리 이를 인정할 증거가 없다. 오히려 이 사건 전직명령은 그 과정에 있어서도 원고에게 신의칙상 요구되는 사전 통보나 의사 반영의 기회를 제공하지 않는 등 필요성의 범위를 일탈한 인사권의 남용에 해당된다. 따라서 이 사건 전직명령은 무효이고, 피고 회사가 이 사건 전직명령의 유효성을 다투고 있는 이상 그 확인의 이익 또한 존재한다. 다. 임금 청구 부분에 관한 판단 앞서 본 바와 같이 이 사건 징계처분은 중대한 하자로 인하여 무효이므로, 피고 회사는 원고에게 정직기간 동안 받지 못한 임금을 지급할 의무가 있고, 갑 제21 내지 26 호증(가지번호 있는 것은 가지번호 포함)의 각 기재 및 변론 전체의 취지에 의하면, 원고가 1개월의 정직기간 동안 받지 못한 임금액이 2,405,163원{= 정기급여 차액 1,748,380원(2015. 6월 정기급여 차액 1,635,340원 + 2015. 7월 정기급여 차액 113,040 원) + 급식통근비 차액 345,000원(2015. 6월 급식통근비 차액 319,000원 + 2015. 7월 급식통근비 차액 26,000원) + 2015. 12. 24. 임금인상소급액 차액 101,423원 + 2015. 12. 24. 기타지급 차액 91,460원 + 2016. 1. 25. 특별성과급 차액 118,900원}인 사실이 인정된다. 따라서 피고 회사는 원고에게 위 2,405,163원 및 그 중 정기급여 차액 및 급식통근비 차액 합계 2,093,380원에 대하여는 각 임금 지급의무 발생 이후로 원고가 구하는 이 사건 소장부본 송달 다음날인 2015. 11. 3.부터, 2015. 12. 24.자 임금인상소급액 및 기타지급 차액 합계 192,883원에 대하여는 위 소급액 및 기타지급의 각 지급일 다음날인 2015. 12. 25.부터, 2016. 1. 25.자 특별성과급 차액 118,900원에 대하여는 위 특별 성과급 지급일 다음날인 2016. 12. 26.부터 피고 회사가 이행의무의 존부 및 범위에 관하여 항쟁함이 상당하다고 인정되는 이 판결선고일인 2017. 4. 4.까지는 상법이 정하는 연 6%의, 그 다음날부터 다 갚는 날까지 소송촉진 등에 관한 특례법이 정하는 연 15%의 비율로 계산한 지연손해금을 지급할 의무가 있다(원고는 지연손해금과 관련하여 미지급 차액 전부에 대하여 이 사건 소장부본 송달 다음날부터의 지연손해금을 구하고 있으나, 정기급여 차액 및 급식통근비 차액을 제외한 나머지 임금의 지급일은 이 사건 소장부본 송달 다음날보다 이후이므로, 원고의 이 부분 청구는 기각한다). 4. 결론 그렇다면, 원고의 청구는 위 인정범위 내에서 이유 있어 이를 인용하고, 나머지 청구는 이유 없어 기각하기로 하여 주문과 같이 판결한다. 판사 김상호(재판장), 손승우, 조형목

서울중앙지방법원 제12민사부 판결 【사건】2016가합506330 손해배상(기) 【원고】1. 한국방송공사(사장 고○○), 2. 주식회사 문화방송(대표이사 안○○), 3. 주식회사 에스비에스(대표이사 박○○), 원고들 소송대리인 법무법인 세종, 담당변호사 박교선, 임상혁, 김우균 【피고】박○○, 소송대리인 변호사 박준상 【변론종결】2016. 10. 14. 【판결선고】2016. 11. 18. 【주 문】 1. 피고는, 가. 원고 한국방송공사에게 9,401,700원, 나. 원고 주식회사 문화방송에게 9,097,000원, 다. 원고 주식회사 에스비에스에게 7,419,500원 및 각 이에 대한 2016. 3. 12.부터 2016. 11. 18.까지는 연 5%, 그 다음날부터 다 갚는 날까지는 연 15%의 각 비율에 의한 돈을 지급하라. 2. 원고들의 피고에 대한 각 나머지 청구를 기각한다. 3. 소송비용 중 10%는 피고가, 나머지는 원고들이 각 부담한다. 4. 제1항은 가집행할 수 있다. 【청구취지】 피고는 원고들에게 각 100,000,000원 및 이에 대한 이 사건 소장 부본 송달 다음날부터 다 갚는 날까지 연 15%의 비율에 의한 돈을 지급하라. 【이 유】 1. 기초사실 가. 원고들의 방송 프로그램에 대한 권리 원고 한국방송공사는 [별지 1] 목록 제목란 기재 각 방송 프로그램 총 8,547개, 원고 주식회사 문화방송은 [별지 2] 목록 제목란 기재 각 방송 프로그램 총 8,270개, 원고 주식회사 에스비에스는 [별지 3] 목록 제목란 기재 각 방송 프로그램 총 6,745개(이하 [별지 1] 내지 [별지 3] 목록 제목란 기재 각 방송 프로그램 23,562개1)를 모두 통틀어 ‘이 사건 각 방송 프로그램’이라 한다)를 각 직접 제작하였거나 이를 제작한 사람으로부터 저작재산권을 양수하였다. [각주1] 일부 방송 프로그램이 중복되어 있으나, 원고들이 제출한 위 별지들에 다툼이 없으므로 그대로 인정한다. 나. 피고의 게시물 작성 해외에 서버를 두고 있는 ‘******.net’ 사이트 등(이하 ‘해외 동영상 공유 사이트’라 한다)의 운영자 또는 사용자 등은 원고들의 허락을 받지 않고 이 사건 각 방송 프로그램을 복제하여 위 사이트에 게시하고 있는바, 피고는 2013. 12.경 무렵부터 ‘AA69(www.AA69.com)’, ‘BB닷컴(www.BB.com)’, ‘CC69(www.CC69.com)', ‘DD69(www.DD69.com)’, ‘EE닷컴(EE.com)’, ‘FF69(www.FF69.com)', ‘GG69(www.GG69.com)’, ‘HH(www.HH69.com)', ‘II69(www.II69.com)', ‘JJ닷컴(www.JJ.com)’, ‘KK(www.KK.com)' 사이트(이하 ‘피고 개설 사이트'라 한다)를 각 개설한 다음, 위 각 사이트에서 해외 동영상 공유 사이트에 게시된 이 사건 각 방송 프로그램을 아무런 제한 없이 직접 재생할 수 있도록 해외 동영상 공유 사이트에 게시된 이 사건 각 방송 프로그램을 임베디드 링크(embedded link, 일반적인 링크와는 달리 링크에 연결된 사이트를 찾아가지 않고도 직접 재생할 수 있는 방식)한 내용의 게시물(이하 ‘이 사건 각 게시물’이라 한다)을 작성하였다. [인정근거] 다툼 없는 사실, 갑 제7 내지 11호증(가지번호 있는 것은 가지번호 포함, 이하 같다), 을 제1, 7 내지 12호증의 각 기재 또는 영상, 변론 전체의 취지 2. 손해배상책임의 성립 여부에 관한 판단 원고들은 주위적으로, 피고가 이 사건 각 프로그램에 관한 저작재산권인 공중송신권을 침해하였다고 주장하므로, 우선 이에 관하여 살펴본다. 가. 일반적인 링크에 관한 관련 법리 인터넷 링크(Internet link)는 인터넷에서 링크하고자 하는 웹페이지나, 웹사이트 등의 서버에 저장된 개개의 저작물 등의 웹 위치 정보나 경로를 나타낸 것에 불과하여, 비록 인터넷 이용자가 링크 부분을 클릭함으로써 링크된 웹페이지나 개개의 저작물에 직접 연결된다 하더라도 링크를 하는 행위는 저작권법이 규정하는 복제, 공중송신 및 전송에 해당하지 아니하고, 인터넷 이용자가 링크 부분을 클릭함으로써 저작권자에게서 이용 허락을 받지 아니한 저작물을 게시하거나 인터넷 이용자에게 그러한 저작물을 송신하는 등의 방법으로 저작권자의 복제권이나 공중송신권을 침해하는 웹페이지 등에 직접 연결된다고 하더라도 침해행위의 실행 자체를 용이하게 한다고 할 수는 없으므로, 이러한 링크 행위만으로는 저작재산권 침해행위의 방조행위에 해당한다고 볼 수 없다(대법원 2015. 3. 12. 선고 2012도13748 판결 등 참조). 나. 임베디드 링크를 사용한 이 사건에 관한 판단 기초사실에 의하면, 이 사건 각 게시물은 그 내용이 일반적인 링크(직접 링크 혹은 심층 링크 포함)가 아니라, 해외 동영상 공유 사이트에 게시된 이 사건 각 방송 프로그램을 임베디드 링크한 것으로서, 피고 개설 사이트의 이용자는 클릭 등의 추가 조치 없이도 이 사건 각 게시물을 통해 이 사건 각 방송 프로그램을 제한 없이 직접 재생할 수 있다. 비록 위와 같은 방식으로 재생되는 이 사건 각 방송 프로그램이 복제되어 저장된 곳은 피고가 지배하는 서버가 아닌 해외 동영상 공유 사이트이기는 하지만, 그러한 점을 고려하더라도, 저작물인 이 사건 각 방송 프로그램을 공중이 수신하거나 접근하게 할 목적으로 무선 또는 유선 통신의 방법에 의하여 이용에 제공하는 행위, 즉 공중송신한 자는 이 사건 각 게시물을 작성한 피고라고 봄이 타당하다. 결국 피고는 원고들의 이 사건 각 방송 프로그램에 대한 저작재산권인 공중송신권을 직접 침해하였다고 할 것이므로, 원고들에게 이에 따른 손해를 배상할 책임이 있다(만일 이러한 피고의 행위가 저작권법에서 정한 공중송신에 해당하지 아니한다고 하여도, 적어도 해외 동영상 공유 사이트를 통한 이 사건 각 방송 프로그램에 대한 저작재산권 침해에 따른 손해를 확대시키는 행위인바, 민법상 불법행위에 해당하므로, 피고는 여전히 손해배상책임을 부담한다. 한편 원고들의 위와 같은 주장들이 이유 있는 이상, 예비적으로 주장한 것으로 보이는 저작재산권 침해 방조 주장과 부정경쟁방지 및 영업 비밀보호에 관한 법률 제2조 제1호 차목에 관한 주장은 따로 판단하지 않는다). 3. 손해배상의 범위에 관한 판단 가. 당사자들의 주장 1) 원고들 원고들은 저작권법 제125조 제2항에 따른 손해액의 산정을 구하는바, 피고 개설 사이트 중 ‘AA69(www.AA69.com)'를 통해 이 사건 각 방송 프로그램의 저작권이 침해된 횟수는 [별지 1] 내지 [별지 3] 목록 조회수란 기재 횟수와 같고, 위 사이트를 제외한 다른 피고 개설 사이트에서의 침해 횟수도 같을 것인데, 원고들이 이 사건 각 방송 프로그램을 다시보기 서비스로 제공할 때 얻는 수익은 한 건 당 1,100원 또는 1,150원(일부 예능프로그램의 경우, 이용료 1,650원 중 1,150원을 수익)이므로, 피고는 원고들에게 각 위 조회수에 1,100원 또는 1,150원과 피고 개설 사이트의 수 11개를 곱한 금액 내에서 원고들이 구하는 바에 따라 100,000,000원 및 이에 대한 지연손해금을 지급하여야 한다. 2) 피고 가) 위 조회수는 피고가 피고 개설 사이트에 많은 사람들이 방문하는 것처럼 보이게 하기 위한 목적으로 조작한 것이므로, 이를 기초로 손해배상액을 산정할 수는 없다. 나) 피고는 이 사건 각 게시물을 포함한 피고 개설 사이트의 모든 페이지에 평균 18개의 배너 광고를 설치해 놓고 있었는데, 피고 개설 사이트의 모든 페이지 중 이 사건 각 게시물의 수가 차지하는 비율은 약 10% 정도이고, 이 사건 각 게시물이 조회된 경우 중 약 10% 정도만 이 사건 각 방송 프로그램의 전송이 실제로 일어났다고 볼 수 있다. 한편 피고 개설 사이트에서 배너 광고가 노출된 횟수의 총합은 8,174,542회이므로, 실제 저작권 침해 횟수는 4,541회(= 배너 광고 노출 횟수 총합 8,174,542회 수 페이지당 배너 광고의 평균 개수 18개 × 피고 개설 사이트의 모든 페이지 중 이 사건 각 게시물의 수가 차지하는 비율 10% × 이 사건 각 게시물이 조회된 경우 중 이 사건 각 방송 프로그램의 전송이 실제로 일어난 비율 10%)정도이어서, 총 손해배상액 또한 4,995,100원(= 4,541회 × 1,100원) 정도에 불과하다2). [각주2] 손해배상액의 산정에 관한 피고의 주장이 일관되지 않는바, 피고의 2016. 9. 5.자 준비서면에 기재된 내용을 기준으로 하고 피고가 배너 광고를 통해 얻은 수익이 많지 않다는 취지의 주장 등은 이 사건과 별다른 관련이 없으므로, 이를 별도로 판단하지 않는다. 나. 판단 1) 먼저 원고들의 주장을 살피건대, ① 원고들이 주장하는 이 사건 각 방송 프로그램의 저작재산권이 침해된 횟수, 즉 [별지 1] 내지 [별지 3] 목록 조회수란 기재 횟수는 피고 개설 사이트의 규모나 수준에 비추어볼 때 과다한 것으로 보이는 점, ② 갑 제8 내지 10호증의 각 기재만으로는 위 조회수만큼의 조회가 실제로 일어났다는 사실을 인정하기 어렵고, 달리 이를 인정할 증거가 없을 뿐만 아니라, 을 제1, 7호증의 기재 또는 영상에 변론 전체의 취지를 종합하면 피고가 실제로 위 조회수를 조작한 사실 이 인정되는 점, ③ 위와 같이 조작된 것으로 보이는 조회수마저도 ‘AA69(www.AA69.com)’에 대한 것이 전부인 점 등을 고려하면, 이 사건에서의 손해배상액을 원고들의 주장과 같이 산정할 수는 없다. 2) 다음으로 피고의 주장을 살피건대, 이 법원의 주식회사 ****소프트에 대한 각 사실조회결과에 의하면, 피고 개설 사이트에서 배너 광고가 노출된 횟수의 총합이 8,174,542회인 사실이 인정되는바, 위 배너 광고 노출 수 총합을 일응 피고 개설 사이트 총 페이지 뷰 수(피고 개설 사이트 내의 페이지를 열어본 수)의 최하한을 산정하는 기준으로 삼을 수는 있을 것으로 보이나, ① 을 제8 내지 12호증의 각 기재 또는 영상, 이 법원의 주식회사 ****소프트에 대한 2016. 8. 23.자 사실조회결과만으로는 피고 개설 사이트의 모든 페이지의 평균 배너 광고 수가 18개라는 사실을 인정하기 부족하고, 달리 이를 인정할 증거가 없는 점, ② 피고 개설 사이트 내의 페이지를 열었다고 하여 모든 배너 광고가 반드시 다 노출된다는 보장도 없고(기술적으로 광고를 차단 할 수도 있다), 노출된 배너 광고가 반드시 위 8,174,542회에 합산된다는 보장은 없으므로, 피고 개설 사이트의 총 페이지 뷰 수의 상한을 산정하는 기준으로 삼기는 적절 하지 않은 점, ③ 피고 개설 사이트의 모든 페이지 중 이 사건 각 게시물의 수가 차지하는 비율이 10% 정도라고 하더라도, 피고 개설 사이트를 방문한 사람이 피고 개설 사이트의 모든 페이지를 동등하게 열어본다는 보장이 없고, 저작권을 침해하는 자료에 더욱 가치를 두는 것이 보통이라 할 것이므로, 피고 개설 사이트 총 페이지 뷰 수의 10%가 이 사건 각 게시물을 본 수라고 단정할 수는 없는 점, ④ 이 사건 각 게시물이 조회된 경우 중 약 10% 정도만 이 사건 각 방송 프로그램의 전송이 실제로 일어났다고 보아야 한다고 인정할 만한 근거가 없는 점(원고들이 이 사건 소를 제기하면서 총 조회수의 1/10만을 손해배상액 산정의 기초로 삼은 듯한 태도를 보인 것은 원고들의 편의상 그런 것이고, 이를 직접 인정한 것으로 보이지 않을 뿐만 아니라, 원고들이 이를 인정한다고 하여 그렇게 계산하여야만 하는 것도 아니다) 등을 고려하면, 이 사건에서의 손해배상액을 피고의 주장과 같이 산정할 수도 없다. 3) 그러나 법원은 손해가 발생한 사실은 인정되나 저작권법 제125조의 규정에 따른 손해액을 산정하기 어려운 때는 변론의 취지 및 증거조사의 결과를 참작하여 상당 한 손해액을 인정할 수 있는바(저작권법 제126조), 앞서 본 바와 같은 사정에 을 제1, 7 내지 12호증의 각 기재 또는 영상에 변론 전체의 취지를 종합하여 인정할 수 있는 아래와 같은 사정을 종합하면, 이 사건 각 방송 프로그램 1개 당 손해배상액을 1,100 원으로 정함이 타당하다(피고의 행위가 저작재산권 침해가 아닌 민법상 불법행위 혹은 부정 경 쟁 행위 에 해 당한다고 하더라도 마찬가지이다). ① 피고의 책임 원인이 저작재산권 침해든, 일반적인 불법행위든, 이 사건 각 게시물을 통해 손해가 발생한 부분에 한하여 책임을 지는 것이 타당하다고 할 것인데, 원칙적으로 그 범위는 원고들의 주장과 같이 이 사건 각 게시물의 조회수를 기준으로 하여야 하는바, 이는 손해배상을 청구하는 원고들이 입증하여야 하는 사항이다. 피고도 손해배상책임의 성립 자체를 부정하지는 않으나, 피고 개설 사이트를 지배한 사람은 피고이고, 위와 같은 조회수의 조작도 피고의 행위에 의한 결과로서, 피고만이 조작 범위를 알 수 있을 것임에도, 이 사건 각 게시물의 조회수가 조작된 범위를 명백히 밝히지 않고, 이전에는 조작된 조회수가 157~947회라고 주장(피고의 2016. 4. 21.자 준비서면 및 을 제1호증의 기재)하다가 이후에는 10,000회 이상까지도 조작하였다고 주장하여 일관성을 결여하고 있는바, 이를 고려하면 손해배상책임의 범위가 불명확하게 된 부분에 대해 피고가 최소한의 책임을 지는 것이 공평의 원칙에 부합한다. ② 피고 개설 사이트에서 배너 광고가 노출된 횟수 8,174,542회를 피고가 주장하는 한 페이지의 평균 배너 광고 수 18개로 나누면 총 페이지 뷰 수로 454,141회(= 8,174,542 ÷ 18, 소수점 미만 버림)가 나오는데, 이는 앞서 살펴본 바와 같이 총 페이지 뷰 수 최하한으로 볼 수 있다. ③ 원고들이 이 사건 각 방송 프로그램을 다시보기 서비스로 제공할 때 얻는 수익이 한 건 당 1,100원 또는 1,150원(일부 예능프로그램의 경우, 이용료 1,650원 중 약 70%에 해당하는 1,150원을 수익)인 사실은 당사자 사이에 다툼이 없는바, 이 중 적은 금액인 1,100원을 일을 손해액의 기준으로 할 수 있다. 다. 소결론 결국 피고는, 원고 한국방송공사에게 9,401,700원(= 8,547개 × 1,100원), 원고 주식회사 문화방송에게 9,097,000원(= 8,270개 × 1,100원), 원고 주식회사 에스비에스에게 7,419,500원(= 6,745개 × 1,100원) 및 각 이에 대하여 피고가 원고들의 저작재산권을 침해한 날 이후로서 원고가 구하는 바에 따라 피고가 이 사건 소장 부본을 송달받은 다음날인 2016. 3. 12.부터 2016. 11. 18.까지는 연 5%, 그 다음날부터 다 갚는 날 까지는 연 15%의 각 비율에 의한 지연손해금을 지급할 의무가 있다. 4. 결론 그렇다면 원고들의 각 청구는 위 인정범위 내에서 이유 있어 이를 인용하고, 각 나머지 청구는 이유 없어 이를 기각하기로 하여 주문과 같이 판결한다. 판사 이태수(재판장), 김병만, 임현준