전기통신사업법 제83조 3항이 규정하고 있는 '통신자료 제공' 제도에 대해 헌법재판소가 헌법불합치 결정을 내렸다. 통신자료 제공은 법원 또는 검사나 수사관서·정보기관의 장 등이 수사나 재판, 형의 집행 또는 국가안전보장에 대한 위해를 방지하기 위해 △이용자의 성명 △주민번호 △주소 △전화번호 △아이디 등 이용자의 개인정보를 전기통신사업자에게 요구할 수 있도록 한 제도다. 통신비밀보호법 제13조 등이 규정하고 있는 통신사실확인자료제공과 달리 법원의 허가가 필요 없다. 전기통신사업자가 통신자료 제공 사실을 이용자에게 알려줘야 할 의무도 없다. 이용자 본인이 직접 통신사와 포털업체에 자신에 대한 통신자료제공 사실이 있었는지 여부를 확인해야만 알 수 있다. 이 때문에 영장주의 원칙 위반 및 남용 논란이 계속됐고, 지난해 특히 고위공직자범죄수사처가 언론사 기자와 정치인 등을 대상으로 무차별적이고 광범위한 '통신자료 조회'를 해온 사실이 드러나 도마에 오르기도 했다. 헌재는 21일 전기통신사업법 제83조 제3항 등에 대한 헌법소원 사건(2016헌마388 등)에서 재판관 전원 일치 의견으로 헌법불합치 결정했다. 이 조항은 헌재가 법 개정 시한으로 못박은 2023년 12월 31일까지만 효력이 유지된다. 헌재는 "통신자료 제공 요청이 있는 경우, 정보 주체인 이용자에게는 통신자료 제공 요청이 있었다는 점이 사전에 고지되지 않으며 전기통신사업자가 수사기관 등에 통신자료를 제공한 경우도 이런 사실이 이용자에게 별도로 통지되지 않는다"며 "효율적인 수사와 정보수집의 신속성, 밀행성 등을 고려해 사전에 이용자에게 내역을 통지하도록 하는 것이 적절하지 않다면 수사기관 등이 통신자료를 취득한 후 수사 등 정보수집의 목적에 방해가 되지 않는 범위 내에서 통신자료의 취득사실을 이용자에게 통지하는 것은 얼마든지 가능한데, 해당 조항은 통신자료 취득에 대한 사후통지절차를 두지 않아 적법절차원칙에 위배돼 개인정보자기결정권을 침해한다"고 판단했다. 헌재는 다만 수사기관 등이 통신자료를 받으면서 영장을 제시하지 않는 것 자체는 문제가 아니라고 판단했다. 헌법상 영장주의는 체포·구속·압수수색 등 기본권을 제한하는 강제처분에 적용되므로, 강제력이 개입되지 않은 임의수사에 해당하는 수사기관 등의 통신자료 취득에는 영장주의가 적용되지 않는다는 취지다. 또 제공 요청을 할 수 있는 정보의 범위가 성명, 주민등록번호, 주소 등 피의자나 피해자를 특정하기 위한 최소한의 기초 정보에 한정돼 있고 민감한 정보를 포함하고 있지 않아 과잉금지원칙 위배도 아니라고 봤다. 한편 이석태, 이영진, 김기영, 문형배, 이미선 헌법재판관은 "통신자료 취득행위의 공권력 행사성은 인정되나 그 근거 법률조항에 대해 본안 판단에 나아가는 이상 심판의 이익이 없다"는 별개의견을, 이종석 재판관은 "해당 조항이 적법절차원칙 뿐만 아니라 과잉금지원칙에도 위배된다"는 별개의견을 냈다. 이번 헌법소원은 민주사회를 위한 변호사모임과 참여연대 등이 2016년 청구했다. 이후 지난해 공수처가 '고발 사주 의혹' 등 사건 수사 명목으로 기자와 시민, 정치인의 통신자료를 광범위하게 수집한 것을 문제 삼는 헌법소원도 제기됐는데, 헌재는 이들 모두를 병합해 심리했다. 공수처 관계자는 "헌재 헌법불합치 결정에 따른 후속 조치로 이뤄질 국회 법 개정 논의에 적극 참여해 전기통신사업자로부터 통신자료를 제공받는 과정에서 국민의 기본권을 보호하는 동시에 수사상 목적도 달성할 수 있는 최선의 방안을 모색하겠다"며 "법 개정 전에는 통신자료 조회 심사 등 지난 4월부터 시행한 자체 통제방안을 통해 적법성을 넘어 적정성을 지속적으로 확보해 가겠다"라고 말했다.

2012년 발생한 KT 개인정보 유출 사고에서 회사의 책임을 인정한 1심 판결이 항소심에서 뒤집혔다. 인터넷이라는 특성상 모든 사이트가 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖추기는 어렵다는 취지다. 서울중앙지법 민사4부(재판장 송인권 부장판사)는 강모씨 등 KT 가입자 81명이 KT를 상대로 낸 손해배상청구소송(2015나61155)에서 원고일부승소 판결한 1심을 깨고 최근 원고패소 판결했다. 재판부는 "KT가 개인정보 유출방지에 관한 기술적·관리적 보호조치를 이행하지 않은 과실로 인해 사고가 발생했다고 보기 어렵다"고 밝혔다. 그러면서 "KT는 규정을 준수해 접속기록을 확인해왔다"며 "해커가 정상적 서버를 우회해 접속기록을 남기지 않고 정보를 유출했을 가능성을 예상하기 어려웠다"고 판시했다. 앞서 1심은 "KT가 고객정보를 보호하기 위한 노력을 다하지 못했다"며 "강씨 등에게 10만원씩을 지급하라"고 판결했다. 2012년 해커 2명에 의해 KT 가입자 870만명의 개인정보가 무분별하게 유출되는 사고가 발생했다. 해커들은 고객정보를 몰래 조회할 수 있는 프로그램을 만들어 이름과 주민등록번호를 비롯해 휴대전화 가입일, 고객 번호, 사용 요금제, 기기 변경일 등의 개인정보를 빼냈다. KT는 이러한 유출 사태를 5개월간 파악하지 못하다 뒤늦게 내부 보안점검을 통해 해킹 사실을 파악하고 경찰에 수사를 의뢰했다. 이에 강씨 등은 "KT의 관리·감독 부실로 개인정보가 유출됐다"며 "1인당 30만원을 배상하라"며 소송을 냈다.

사내 전산망에 공개된 노동조합원의 개인정보를 노조 임원선거 출마자에게 제공한 혐의로 기소된 전 노조위원장이 항소심에서 무죄 판결을 받았다. 개인정보 주체인 노조원의 사전동의가 있었다고 인정되는 범위에 속하는 개인정보는 별도 동의 절차를 생략하더라도 수집·이용·제공될 수 있다고 본 것이다. 울산지법 형사2부(재판장 이동식 부장판사)는 개인정보 보호법 위반 혐의로 기소된 A(55·변호인 민병환·조정민 변호사)씨에게 벌금 300만원을 선고한 원심을 파기하고 최근 무죄를 선고했다(2017노622). 울산의 한 대기업 정유업체 노조위원장을 지낸 A씨는 지난해 3월 노조 임원선거에 출마한 B씨의 선거활동을 돕기 위해 노조원 2569명의 개인정보를 제공한 혐의로 기소됐다. 파일 형태로 사내 전산망에 게시돼 임직원에게 공개된 해당 개인정보에는 조합원들의 성명과 사(社)번, 휴대전화 번호, 이메일 주소 등이 기재됐다. 조합원의 사진이나 집 주소, 주민등록번호 등은 포함되지 않은 것으로 조사됐다. 재판부는 "이미 공개된 개인정보의 동의 범위가 외부에 표시되지 않았다는 이유만으로 또다시 정보주체의 별도 동의를 받을 것을 요구한다면 정보주체의 공개의사에 부합하지 않고 도리어 무의미한 동의 절차를 밟기 위한 비용부담을 가중시키는 결과가 된다"고 밝혔다. 이어 "개인정보를 처리하거나 처리했던 자는 정당한 권한없이 다른 사람에게 개인정보를 유출해서는 안 되지만 정보주체의 동의가 있었다고 인정되는 범위에서는 별도의 동의가 불필요하다고 봐야 한다"며 "동의가 있었다고 인정되는 범위는 공개된 정보의 성격, 형태와 대상, 의도와 목적 등을 객관적으로 판단해야 한다"고 설명했다. 그러면서 "해당 정보는 회사 임직원 누구나 사내 전산망에 접속해 열람할 수 있었고, A씨가 이를 개인적·상업적 용도로 사용하지 않았을뿐만 아니라 노조원이 아닌 제3자에게 제공·유출한 사실도 없다"며 "특히 정보체인 조합원들이 이를 문제 삼은 사실이 없어, A씨가 정보주체로부터 별도의 동의를 받지 않고 개인정보를 제3자에게 제공하거나 정당한 권한 없이 다른 사람의 개인정보를 유출했다고 볼 수 없다"고 판시했다. 앞서 1심은 "정보주체인 근로자들의 묵시적 동의 여부를 판단할 때는 엄격한 기준을 적용해야 한다"며 "A씨는 회사가 효율적인 업무수행을 위해 사내 전산망에 게시한 사원의 정보를 노조 활동이나 개인적인 활용 목적으로 B씨에게 제공해 위법행위를 저질렀다"고 유죄 판결을 내렸다.

개인정보 불법 수집 여부를 둘러싸고 의사와 환자들이 약학정보원 등을 상대로 소송을 냈지만 1심에서 패소했다. 서울중앙지법 민사26부(재판장 박상구 부장판사)는 김모씨 등 의사와 환자 1876명이 대한약사회와 약학정보원, 한국아이엠에스(IMS)헬스 주식회사를 상대로 낸 손해배상청구소송(2014가합508066)에서 최근 원고패소 판결했다. 김씨 등은 2014년 2월 "약사회와 약학정보원이 약국에 설치된 'PM2000' 프로그램을 통해 처방전에 기재된 성명과 주민등록번호 등 개인정보를 불법 수집하고, 이를 통계 처리 회사인 IMS에 제공했다"며 "의사 1인당 300만원, 환자 1인당 200만원 등 위자료 총 54억여원을 배상하라"며 소송을 냈다. 약사회 등은 "개인의 고유 정보를 수집 단계부터 암호화해 식별되지 않는 만큼 개인정보보호법 위반에 해당하지 않는다"고 맞섰다. 재판부는 의사나 환자들의 동의가 없는 정보 수집은 개인정보 보호법 위반 소지가 있지만, 실제 손해가 발생된 부분이 증명되지 않았다며 배상책임을 인정하지 않았다. 재판부는 "약사회는 약국의 처방관리 프로그램인 'PM2000'의 저작권자라는 사정만으로 불법행위를 했다고 볼 수 없다"며 "증거가 부족해 그 책임을 인정할 수 없다"고 밝혔다. 이어 "약학정보원이 식별성이 완전히 제거되지 않은 정보를 정보주체의 동의 없이 한국IMS헬스에 제공한 것은 개인정보보호법 위반에 해당한다"면서도 "해당 정보가 약학정보원과 한국IMS헬스에 제공된 이외에 다른 곳으로 유출되거나 제3자가 열람했을 가능성이 있다고 보기는 어렵다"고 설명했다. 또 "2014년 6월 이후 암호화된 정보를 보면 한국IMS헬스가 복구하는 것이 원천적으로 불가능하고 통계 작성을 위해 허용된 것으로 개인정보 보호법 위반에 해당하지 않는다"고 판시했다. 한편 약학정보원과 IMS헬스 임직원들은 개인정보 보호법 위반 혐의로 형사재판도 받고 있는데, 현재 결심까지 진행돼 선고 절차만 남겨두고 있다.

해킹에 의한 개인정보 유출 사고로 피해를 입은 고객들이 케이티(KT)를 상대로 낸 손해배상 청구소송에서 법원이 엇갈린 판결을 내려 항소심 판단이 주목된다. 인터넷이라는 특성상 모든 사이트가 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖춘다는 것은 어렵다고 판단한 재판부가 있는 반면, 정보통신업체는 사회통념상 요구되는 수준 이상의 보호조치를 다해야 한다면서 보다 큰 책임을 강조한 재판부도 있다. 서울중앙지법 민사6단독 심창섭 판사는 17일 A씨 등 39명이 KT를 상대로 낸 손해배상 청구소송(2014가소413127)에서 "KT는 1인당 10만원씩 지급하라"며 원고일부승소 판결했다. 2013년 8월부터 2014년 2월까지 KT가 운영하는 마이올레 홈페이지에서 해킹 사고가 발생해 개인정보가 대거 유출됐다. 해커는 이 홈페이지 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력하는 해킹프로그램으로 KT 가입고객의 9자리 고유번호를 맞춰 개인정보를 빼냈다. 이에 A씨 등은 2014년 5월 "KT의 관리감독 부실로 개인정보가 유출됐다"며 "1인당 20만원을 배상하라"며 소송을 냈다. 심 판사는 "정보통신서비스 제공자는 사회통념상 합리적으로 기대 가능한 기술수준으로 개인정보를 관리하고 있지만 해커들은 항상 기술수준을 뛰어넘는 방법을 사용한다"며 "KT가 해킹 등 침해사고 당시 사회통념상 합리적으로 기대 가능한 기술적·관리적 보호조치를 한 것만으로 개인정보의 안전성 확보에 필요한 조치를 다했다고 볼 수 없다"고 밝혔다. 이어 "KT는 7개월간에 걸쳐 1170만건의 개인정보 유출이 이뤄졌는데도 이를 확인하지 못했다"며 "보안관련 인력을 보강하거나 서버를 외부접속용과 내부 접속용으로 분리하는 등 해킹 사고를 방지하기 위한 조치도 취하지 않았다"고 지적했다. 그러나 지난달 20일 서울중앙지법 민사22부(재판장 전지원 부장판사)는 B씨 등 같은 피해를 당한 3645명이 KT를 상대로 낸 손해배상 청구소송(2014가합553622)에서 원고패소 판결했다. 재판부는 "정보통신서비스 제공자가 법에서 정하고 있는 기술적·관리적 보호조치를 다했다면 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 보기 어렵다"고 밝혔다. 이어 "하루 접속 건수가 3300만여건에 이르는 마이올레 홈페이지의 시스템과 같이 방대한 규모의 모든 웹서버 접속 로그 기록을 실시간 분석하거나 상시적으로 사후 분석하는 것은 현실적으로 불가능하다"며 "해커 접속(34만건)은 1% 미만이어서 이상행위를 탐지하기도 어려웠다"고 설명했다. 그러면서 "개인정보 등을 송·수신할 때 암호화의 대상 범위는 일반인이 접근 가능한 인터넷 공중망을 의미한다"며 "해커가 암호화되지 않은 주민등록번호를 확인한 곳은 대리점 PC 내부 영역으로 정보통신망법상 암호화가 요구되는 영역이 아니다"라고 판시했다. 정보통신망법 시행령 제6조 3항은 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다고 규정하고 있다. 앞서 대법원은 2015년 2월 KT와 유사하게 해킹에 의해 개인정보가 유출된 경매업체 옥션 사건에서 "온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 업체에 개인정보 유출에 대한 책임을 지우기 어렵다"고 판결했다(2013다43994). 한편 한국소비자원(원장 한견표)은 지난 20일 개인정보 유출 피해를 입은 KT 고객들이 "위약금 없이 서비스를 해지할 수 있도록 해달라"며 신청한 조정을 각하했다. 당시 KT는 개인정보 유출 피해를 본 고객들이 서비스를 해지하겠다고 하자 위약금을 규정대로 물려 사회적 비난을 받았다. 경실련은 2014년 7월 피해고객 57명과 함께 소비자원에 위약금을 물리지 않도록 집단분쟁조정을 신청했다. 그러나 소비자원은 "법에서 정한 최소한의 기술적·관리적 보호조치를 취했으므로 이용계약 해지에 귀책사유가 없고, 개인정보 유출로 재산적 피해는 발생하지 않았다"는 이유로 각하 결정했다. 이에 경실련은 "소비자원은 합리적 설명 없이 절차를 개시하지 않은 채 사건을 장기간 방치해, 다수 피해자가 어쩔 수 없이 해지 위약금을 부담하거나 남은 약정 기간을 채울 수밖에 없었다"며 소비자원에 대한 공익감사 청구와 행정소송 제기를 검토하겠다고 밝혔다.

지방자치단체는 모욕죄나 명예훼손죄의 피해자가 될 수 없다는 대법원 첫 판결이 나왔다. 설사 주민이 허위 사실에 근거해 지자체의 사업 등을 비판하더라도 이를 명예훼손 범죄로 처벌할 수 없다는 것으로, 국민의 표현의 자유를 한층 더 보장한 판결이라는 평가다. 대법원 형사1부(주심 김신 대법관)는 전남 고흥군을 모욕하고 명예훼손한 혐의로 기소된 김모씨에게 벌금 250만원을 선고한 원심을 파기하고 최근 사건을 서울중앙지법으로 돌려보냈다(2014도15290). 재판부는 "형법이 명예훼손죄 또는 모욕죄를 처벌함으로써 보호하고자 하는 법익은 사람의 가치에 대한 평가인 외부적 명예로 개인적 법익"이라며 "국민의 기본권을 보호 내지 실현해야 할 책임과 의무를 지고 있는 공권력의 행사자인 국가나 지방자치단체는 기본권의 수범자일뿐 기본권의 주체가 아니다"라고 밝혔다. 이어 "국가나 지자체의 정책결정이나 업무수행과 관련된 사항은 항상 국민의 광범위한 감시와 비판의 대상이 돼야 하며 이러한 감시와 비판은 그에 대한 표현의 자유가 충분히 보장될 때 비로소 정상적으로 수행될 수 있다"며 "따라서 국가나 지자체는 국민에 대한 관계에서 형벌의 수단을 통해 보호되는 외부적 명예의 주체가 될 수 없고, 명예훼손죄나 모욕죄의 피해자가 될 수 없다"고 설명했다. 김씨는 2010년 3월 고흥군청 홈페이지(www.goheung.go.kr) 자유게시판에 '고흥나들목 고흥분담금 재협상하시라'라는 제목하에 "고흥군은 수차례 고흥나들목 추가 설치에 따르는 타당성 조사를 하였다고 하나 거짓임을 스스로 인정하고 있다"는 등의 글을 2011년 8월까지 5회에 걸쳐 올린 혐의로 기소됐다. 하지만 김씨의 주장과 달리 고흥군은 나들목 추가 설치에 대한 타당성 조사를 실시했었다. 앞서 1,2심은 지자체도 모욕죄나 명예훼손죄의 피해자가 될 수 있다는 전제 하에 김씨에게 벌금형을 선고했다.

이동통신사들이 이용자들의 주민등록번호를 수집·이용하는 것은 개인정보에 대한 자기결정권을 침해하는 것이 아니라는 헌법재판소 결정이 나왔다. 헌재는 지난달 25일 추모씨가 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정통망법) 제23조의2 제1항 제1호에 대해 "휴대전화서비스 계약을 체결할 때 주민등록번호를 제공하는 것은 이용자의 개인정보자기결정권을 침해하는 것"이라며 청구한 헌법소원심판(2014헌마463)에서 재판관 전원일치로 합헌 결정을 내렸다. 2012년 2월 개정된 정통망법에 따르면 정보통신서비스 제공자들은 원칙적으로 이용자들의 주민등록번호를 수집하거나 이용할 수 없다. 그러나 본인확인기관으로 지정된 SK텔레콤, KT, LG유플러스 등 이동통신사들은 예외적으로 이용자의 주민등록번호를 수집하거나 이용할 수 있도록 규정하고 있다. 헌재는 "본인을 확인할 때 주민번호를 이용하는 것이 가장 정확하고 신뢰성이 높은데다 이렇게 수집한 주민번호는 이용자가 동의한 기간에만 한정된 목적에 따라 이용되기 때문에 해당 법률이 이용자들의 개인정보 자기결정권을 침해한다고 보기 어렵다"고 밝혔다. 이어 "해당 법률이 본인확인업무의 안전성과 신뢰성을 확보하기 위한 여러 조치도 마련하고 있다"고 설명했다. 2010년부터 KT를 이용한 추씨는 자신의 주민번호가 유출된 사실을 알고 통신사를 바꾸기로 했지만, 다른 이동통신사 역시 가입 때 주민번호를 요구하자 헌법소원을 냈다.

온라인상거래업체의 회원 개인정보가 유출되는 사고가 벌어졌다 해도 업체가 미리 충분한 정보보호 조치를 취한 것으로 인정된다면 해당 업체에게 개인정보 유출에 대한 책임을 지우기 어렵다는 대법원의 첫 판결이 나왔다. 대법원 민사1부(주심 고영한 대법관)는 간모씨 등 개인정보가 유출된 옥션 고객 2만2650명이 옥션을 운영하는 ㈜이베이(소송대리 김앤장 법률사무소)와 이 회사의 보안관리업체 인포섹(소송대리 법무법인 남산)을 상대로 낸 손해배상 청구소송 상고심(2013다43994)에서 원고패소 판결한 원심을 12일 확정했다. 재판부는 "옥션의 보안기술 수준과 보안조치를 보면 회원들의 개인정보를 안전하게 지키기 위해 필요한 보호조치를 모두 다 한 것으로 보이기 때문에 회원 개인정보 유출에 대한 손해배상 책임을 인정하기 어렵다"고 밝혔다. 이에 대해 "인터넷의 특성상 모든 사이트는 해커의 불법적인 침입에 노출될 수밖에 없고, 완벽한 보안을 갖춘다는 것도 어렵다"고 설명했다. 옥션은 2008년 1월 중국인 해커로부터 회원 1800만명의 이름과 주민등록번호, 주소, 아이디, 계좌번호 등 개인정보를 모두 해킹당했다. 옥션 회원 14만6601명은 "1명당 20만원씩 배상하라"며 역대 최대 규모의 집단소송을 냈다. 1·2심은 "옥션은 해킹사고를 방지하기 위해 기술적인 보호 조치를 다 했다"며 원고패소 판결했고 고객 2만2650명만이 상고했다.

'GS칼텍스 회원정보유출 사고' 피해자들이 GS칼텍스를 상대로 낸 집단소송에서 최종 패소했다. GS칼텍스 회원정보 유출사건은 1100만명이 넘는 사람들의 주민등록번호와 주소, 전화번호 등이 유출돼 사상 최대 규모의 개인정보 유출사고로 기록됐던 사건이다. 대법원 민사2부(주심 이상훈 대법관)는 26일 개인정보 유출 피해자 중 1,2심 판결에 불복해 상고한 김모씨 등 2200여명이 "개인정보 유출로 인한 위자료를 1인당 100만원씩 지급하라"며 GS칼텍스와 자회사 GS넥스테이션을 상대로 낸 손해배상 청구소송 상고심(2011다59834)에서 원고패소 판결한 원심을 확정했다. 재판부는 판결문에서 "김씨 등의 개인정보는 정모씨에 의해 유출된 후 편집과정을 거쳐 판매처 물색 부탁을 위한 목적으로 타인에게 전달 또는 복제됐고, 이후 집단소송을 위한 사전작업으로 언론관계자 등에게 유출됐지만 언론보도 직후 개인정보가 저장된 저장매체 등을 소지하고 있던 사건 관련자들로부터 모두 압수, 임의제출되거나 폐기됐다"며 "개인정보 저장매체가 유출됐다가 회수되거나 폐기되기까지 정씨 등 개인정보를 유출한 범인들이나 언론관계자들이 일부를 열람한 적은 있으나 그들 스스로 개인정보의 내용을 지득하거나 이용할 의사가 있었다고 보기는 어렵다"고 설명했다. 이어 "개인정보 유출로 인해 김씨 등에게 신원확인, 명의도용이나 추가적인 개인정보 유출 등 후속 피해가 발생했다고 볼만한 상황이 발견되지 않는 점 등을 고려하면 김씨 등에게 위자료로 배상할 만한 정신적 손해가 발생했다고 볼 수 없다"고 밝혔다. GS넥스테이션 직원이던 정씨는 2008년 7월 회사 서버에 접속해 보너스카드 회원 1151만여명의 이름, 주민번호 등 회원정보를 사무용 컴퓨터에 내려받은 뒤 DVD에 복사해 집단소송을 의뢰받은 변호사 등 몇몇 지인에게 건넸다. 정씨 등 정보유출에 관여한 5명은 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 기소돼 실형 또는 집행유예가 확정됐다. 이후 정보 유출 피해자 2만8000여명은 GS칼텍스가 개인정보를 허술하게 관리해 정신적 피해를 봤다며 소송을 냈다. 1,2심은 "김씨 등의 개인정보 자기결정권이 침해됐거나 침해될 상당한 위험성이 발생했다는 점을 인정하기 어렵다"며 원고패소 판결했다.

인터넷 게시판을 설치·운영하는 사업자에게 실명과 주민등록번호 등을 확인하도록 한 '인터넷 실명제법'에 대해 위헌 결정이 내려졌다. 2007년 7월 악성댓글 등에 따른 사회적 폐해 방지를 위해 포털 게시판 등을 중심으로 도입된 인터넷 실명제는 5년여 만에 효력을 상실했다. 헌법재판소는 23일 인터넷 언론사인 '인터넷 미디어오늘'과 손모씨 등 3명이 일일 평균 이용자 수가 10만명 이상인 인터넷 사이트 게시판에 인적사항을 등록한 뒤에야 댓글 또는 게시글을 남길 수 있도록 한 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신 보호법) 제44조1항에 대해 제기한 헌법소원사건(☞2010헌마47등)에서 재판관 8명 전원의 일치된 의견으로 위헌 결정을 내렸다. 헌재는 결정문에서 "표현의 자유를 사전 제한하려면 공익의 효과가 명확해야 한다"라며 "인터넷 실명제 시행 이후 불법 게시물이 의미있게 감소하지 않고 오히려 이용자들이 해외사이트로 도피했다는 점, 국내·외 사업자 간 역차별 문제가 발생했다는 점 등을 고려하면 공익을 달성하고 있다고 보기 어렵다"고 밝혔다. 헌재는 이어 "정보통신 보호법이 자유로운 의사 표현을 위축시키고 주민등록번호가 없는 외국인의 인터넷 게시판 이용을 어렵게 한다는 점, 게시판 정보의 외부 유출 가능성이 증가했다는 점을 고려하면 불이익이 공익보다 작다고 할 수 없어 법익의 균형성 역시 인정되지 않는다"고 덧붙였다. 손모씨 등 청구인들은 본인 확인 과정을 거친 뒤에야 인터넷 게시판에 댓글 등을 게시할 수 있도록 한 법 조항이 표현의 자유 등을 침해한다며 2010년 헌법소원을 냈다. 인터넷 미디어오늘 역시 2010년부터 방송통신위원회가 미디어오늘을 본인확인조치의무 대상자로 공시하자 언론의 자유 등을 침해한다며 헌법소원을 냈다.