회사 다면평가 열람용 인터넷 주소 일부 숫자를 바꿔 입력하는 방법을 반복해 다른 직원의 평가 결과를 열람하고 이를 캡처해 타인에게 전송했더라도 정보통신망법 위반으로 볼 수 없다는 취지의 대법원 판결이 나왔다. 다면평가 결과가 게시된 인터넷 페이지에 별도의 개인인증 절차 없이 주소만 입력해 접속할 수 있었다면, 페이지 접근권한을 임직원 본인으로 제한했다고 보기 어렵다는 판단이다. 대법원 형사1부(주심 오경미 대법관)는 지난달 26일 정보통신망이용촉진및정보보호법률 위반 혐의로 기소된 A 씨에게 징역형의 집행유예를 선고한 원심을 파기하고 사건을 수원지법으로 돌려보냈다(2023도1086). A 씨는 경기도의 B 아트센터에 근무하는 직원이다. B 센터는 직원 인사관리를 위해 매년 직원 간 다면평가를 실시했는데 직원들은 개인별로 부여된 인터넷 주소에 접속해 본인의 평가 결과를 열람할 수 있었다. A 씨는 자신의 다면평가 열람 페이지 주소 마지막 숫자 2자리를 다르게 입력하는 방법을 반복해 B 센터 임직원 51명의 평가 결과를 일일이 열어 보고 그 화면을 캡처한 뒤, 캡처 사진을 B 센터 본부장에게 전송한 혐의를 받았다. 1심은 "A 씨가 정당한 접근권한 없이 정보통신망에 침입해 타인의 비밀을 침해하고 누설했다"며 A 씨에게 징역 8개월에 집행유예 2년을 선고했다. B 센터와 용역계약을 맺고 다면평가 온라인 링크 개발과 조사를 진행하고 직원들에게 평가 결과 주소를 전송한 C 업체와 대표이사 D 씨에게는 "B 센터 임직원의 개인정보 유출을 방지하기 위한 조치를 취하지 않아 개인정보보호법을 위반했다"며 각각 벌금 500만 원을 부과했다. 2심도 A 씨의 항소를 기각하고 1심 판결을 유지했다. 하지만 대법원 판단은 달랐다. 대법원은 "정당한 접근권한 없이 또는 허용된 접근권한을 넘어 정보통신망에 침입하는 것을 금지한 정보통신망법 제48조 제1항은 정보통신망 자체의 안정성과 정보의 신뢰성을 보호하기 위한 것이므로 접근권한을 부여하거나 허용되는 범위를 설정하는 주체는 서비스제공자"라며 "서비스제공자로부터 권한을 부여받은 이용자가 아닌 제3자가 정보통신망에 접속한 경우 그에게 접근권한이 있는지 여부는 서비스제공자가 부여한 접근권한을 기준으로 판단해야 하며, 서비스제공자가 접근권한을 제한하는지 여부는 보호조치나 이용약관 등 객관적으로 드러난 여러 사정을 종합적으로 고려해 신중하게 판단해야 한다"고 전제했다. 이어 "평가결과 열람 인터넷 페이지는 별도의 로그인이나 개인인증 절차 없이 접속이 가능했으며 △주소 마지막이 숫자 2자리로 단순하게 구성돼 있었으며 주소가 암호화돼 있지 않은 점 △C 업체가 임직원들에게 평가 결과 주소를 전송한 이메일과 문자메시지에서 다른 임직원의 열람을 제한하는 것으로 볼 만한 내용을 포함시키지 않은 점에 따라 C 업체와 D 씨는 안정성 확보에 필요한 조치를 취하지 않았다는 이유로 유죄 판결을 확정 받았다"고 밝혔다. 그러면서 "C 업체가 B 센터 임직원들에게 본인의 다면평가 결과가 게시된 인터넷 페이지의 주소만을 개별적으로 전달했다 하더라도, 아무런 보호조치 없이 다면평가 결과가 게시된 인터넷 주소를 입력하는 방법만으로도 다면평가 결과를 열람할 수 있도록 한 이상, 인터넷 페이지 접근권한을 임직원 본인으로 제한했다고 보기 어렵다"며 "A 씨가 인터넷 주소의 일부 숫자를 바꿔 넣는 방법으로 다른 사람의 평가 결과가 게시된 페이지에 접속했다 하더라도 정보통신망법 제48조 제1항이 금지하는 정보통신망 침입 행위에 해당한다고 할 수 없다"고 판단했다. A 씨가 다른 임직원의 평가열람 페이지에 접속해 타인에게 비밀을 누설했다는 혐의에 대해서도 대법원은 "A 씨가 인터넷 주소 일부를 변경해 입력한 것 외에 별도로 부정한 수단 또는 방법으로 볼 만한 행위를 하지 않았으므로 다면평가 결과를 부정한 수단 또는 방법으로 취득하거나 누설했다고 할 수 없다"고 판시했다.

경쟁사인 '야놀자'의 제휴 숙박업소 목록 등을 무단으로 복제한 혐의로 기소된 '여기어때' 창업자 심명섭 전 대표에게 무죄가 확정됐다. 대법원 형사2부(주심 이동원 대법관)는 12일 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반, 저작권법 위반, 컴퓨터 등 장애 업무방해 혐의로 기소된 심 전 대표와 여기어때 직원들에게 무죄를 선고한 원심을 확정했다(2021도1533). 심 전 대표와 직원들은 크롤링(Crawling, 검색엔진 로봇을 이용한 데이터 수집 방법) 프로그램을 이용해 정보를 호출하는 명령구문을 서버에 입력하는 방식으로 경쟁사인 야놀자가 운영하는 서버에 접근해 숙박업소 목록 등 정보를 복제하고 대량 정보 호출을 발생시킨 혐의 등으로 기소됐다. 여기어때와 야놀자는 숙박업체 예약 서비스를 제공하는 회사다. 심 전 대표 등은 2016년 6~10월 야놀자의 모바일 앱용 API(Application Programming Interface) 서버에 1594만여회 이상 정당한 접근 권한 없이 침입하고, 2016년 1~6월에는 야놀자의 제휴숙박 업소명이나 주소, 할인금액, 입·퇴실시간 등 정보를 264회 무단복제한 혐의를 받았다. 이들은 또 크롤링 프로그램을 이용해 반경 1000㎞ 내의 모든 숙박업소 정보를 요청하는 방법으로 통상적인 이용 범위를 초과한 대량 정보 호출을 발생시켜 다섯 차례에 걸쳐 이용자들이 서버에 접속하지 못하도록 하는 등 야놀자의 숙박 예약 업무를 방해한 혐의도 받았다. 1심은 "피고인들은 야놀자와의 경쟁관계에서 우위를 점하기 위해 상당 기간 크롤링 프로그램을 이용해 서버에 침입, 숙박업소에 관한 정보를 복제했다"며 일부 혐의를 유죄로 판단해 심 전 대표에게 징역 1년 2개월에 집행유예 2년을 선고했다. 또 직원들에게는 징역형의 집행유예와 벌금형 등을 선고했다. 하지만 2심은 이들에게 무죄를 선고했다. 2심은 정보통신망 침입으로 인한 정보통신망법 위반 혐의에 대해 "심 전 대표 등이 야놀자의 모바일 애플리케이션을 통하지 않고 서버에 접속했다거나 크롤링, 명령어의 확장 등을 통해 정보를 수집한 사정만으로 접근권한이 없거나 접근권한을 넘어 야놀자 정보통신망에 침입했다고 보기 어렵다"고 판단했다. 또 데이터베이스 복제로 인한 저작권법 위반 혐의에 대해서도 "검사가 제출한 증거만으로는 이들이 수집한 데이터가 야놀자 데이터베이스의 전부나 상당 부분에 해당한다고 인정하기 부족하고, 데이터베이스 복제가 통상적인 이용과 충돌하거나 피해자 이익을 부당하게 해치는 경우에 해당한다고 보기 어렵다"며 무죄로 판단했다. 아울러 컴퓨터 등 장애 업무방해 혐의도 "검사 제출 증거만으로는 심 전 대표 등이 정보처리장치에 부정한 명령을 입력해 장애가 발생하게 해 야놀자의 숙박 예약 업무를 방해하거나 업무를 방해할 고의가 있었다고 인정하기 부족하다"며 무죄 판결했다. 대법원도 이같은 원심 판단이 옳다고 봤다. 재판부는 "일반 이용자들은 야놀자 회원으로 가입하지 않고도 모바일 애플리케이션을 통해 자유롭게 이 사건 서버에 접근할 수 있었다"며 "접근을 막는 별도 보호조치가 서버에 없었던 점 등을 보면 심 전 대표 등의 접근이 정보통신망 침입으로 인정되지 않는다"고 밝혔다. 모바일 앱을 통한 회원 가입 없이 서버에 접근하는 것에 대한 객관적 제한이 없었던 이상, 그 외의 방법으로 접근했더라도 정보통신망법이 처벌 대상으로 정하고 있는 '침입행위'에 해당하지 않는다는 취지다. 저작권법 위반에 대해서는 "심 전 대표 등이 수집한 정보들은 이미 상당히 알려진 정보로서 수집에 상당한 비용이나 노력이 들 것으로 보이지 않는다"며 "데이터베이스의 전부 또는 상당한 부분이 복제됐다거나 통상적 이용과 충돌했거나 피해자 회사의 이익을 부당하게 해치는 경우에 해당한다고 보기 어렵다"고 설명했다. 더불어 컴퓨터 등 장애 업무방해 부분에 대해서도 "심 전 대표 등이 입력한 숙박업소 관련 정보의 검색 명령구문들이 이 사건 서버의 본래 목적과 상이한 부정 명령이라 보기 어렵다"며 "크롤링 프로그램 사용으로 서버에 장애가 발생했다고 단정하기 어렵다"고 판시했다.

비밀번호나 화면보호기 등 보안장치가 설정돼 있지 않은 컴퓨터에 해킹프로그램을 몰래 설치해 타인의 카카오톡 등 계정 아이디와 비밀번호를 알아낸 것은 전자기록 등 내용 탐지죄에 해당하지 않는다는 대법원 판결이 나왔다. 대법원 형사2부(주심 민유숙 대법관)는 최근 전자기록 등 내용 탐지 등의 혐의로 기소된 A씨에게 카카오톡 등의 아이디와 비밀번호를 알아낸 행위에 대해서는 무죄로 판단하고, 나머지 혐의에 대해 유죄로 판단해 징역 10개월에 집행유예 2년을 선고한 원심을 확정했다(2021도8900). A씨는 2018년 8월부터 한달간 경기도에 있는 한 회사 사무실에서 직장 동료인 B(여)씨의 노트북에 해킹 프로그램을 몰래 설치해 B씨의 네이트온, 카카오톡, 구글 아이디와 비밀번호를 알아냈다. A씨는 이를 이용, B씨의 계정에 접속해 B씨가 다른 사람들과 나눈 대화 내용, 메시지, 사진을 다운받는 등 총 40회에 걸쳐 정당한 접근권한 없이 정보통신망에 침입하고 정보통신망에 의해 처리·보관 또는 전송되는 피해자의 비밀을 침해한 혐의 등으로 기소됐다. 검찰은 A씨가 해킹프로그램을 이용해 B씨의 아이디와 비밀번호를 알아낸 것에 대해서는 전자기록 등 내용 탐지 혐의로, 이 같은 수법을 통해 알아낸 아이디와 비밀번호로 B씨 계정에 접속한 행위와 대화 내용 등을 다운로드 받은 행위에 대해서는 정보통신망 침해죄 및 전자기록 등 내용 탐지 혐의로 기소했다. 1심은 A씨의 혐의를 모두 유죄로 판단해 징역 2년을 선고했다. 하지만 2심은 A씨가 해킹프로그램을 이용해 B씨의 아이디와 비밀번호를 알아낸 혐의에 대해서는 무죄로 판단하고 나머지 혐의는 유죄로 인정해 징역 10개월에 집행유예 2년을 선고했다. 2심은 "형법 제316조 2항의 전자기록 등 내용 탐지죄는 봉함 기타 비밀장치한 사람의 편지, 문서, 도화 또는 전자기록등 특수매체기록을 기술적 수단을 이용해 그 내용을 알아내는 행위를 처벌하는 죄"라며 "'전자기록 등 특수매체기록'이 되기 위해서는 특정인의 의사가 표시돼야 하는데, 이 사건 아이디와 비밀번호 자체는 특정인의 의사를 표시한 것으로 보기 어려운 만큼 특수매체기록으로 볼 수 없으므로 A씨가 B씨의 아이디와 비밀번호를 알아낸 것은 특수매체기록을 탐지한 것에 해당하지 않는다"고 설명했다. 대법원은 원심 결론은 유지하면서도 세부 판단은 달리했다. 아이디와 비밀번호도 '전자기록 등 특수매체기록'에는 해당하지만, 보안장치가 설정되지 않은 노트북은 '봉함 기타 비밀장치한' 것으로 볼 수 없어 구성요건 해당성이 없다고 본 것이다. 형법 제316조 2항은 '봉함 기타 비밀장치한 사람의 편지, 문서, 도화 또는 전자기록등 특수매체기록을 기술적 수단을 이용하여 그 내용을 알아낸 자는 3년 이하의 징역이나 금고 또는 500만원 이하의 벌금에 처한다'고 규정하고 있다. 재판부는 우선 "개정 형법이 전자기록 등 특수매체기록을 범죄의 행위 객체로 신설·추가한 입법취지, 전자기록 등 내용 탐지죄의 보호법익과 그 침해행위의 태양 및 가벌성 등에 비춰 볼 때, 피해자의 아이디와 비밀번호는 전자방식에 의해 피해자의 노트북 컴퓨터에 저장된 기록으로서 형법 제316조 2항의 '전자기록 등 특수매체기록'에 해당한다"고 밝혔다. 다만 "전자기록 등 내용 탐지죄는 봉함 기타 비밀장치한 전자기록 등 특수매체기록을 기술적 수단을 이용해 그 내용을 알아낸 자를 처벌하는 규정이기에 전자기록 등 특수매체기록에 해당하더라도 봉함 기타 비밀장치가 되어 있지 않은 것은 이를 기술적 수단을 동원해서 알아냈더라도 전자기록 등 내용 탐지죄가 성립하지 않는다"고 설명했다. 그러면서 "A씨가 B씨의 노트북에 해킹 프로그램을 몰래 설치했고 해당 프로그램이 컴퓨터의 사용자가 키보드로 입력하는 내용이나 방문한 웹사이트 등을 탐지해 이를 텍스트 파일 형식으로 저장한 후 이메일 등의 방법으로 프로그램 설치자에게 전송해 주는 속칭 '키로그' 프로그램인데다, A씨가 프로그램을 통해 B씨가 각 계정에 접속하는 과정에서 컴퓨터 키보드에 입력한 아이디 등을 알아낸 사실을 알 수 있지만 그렇다고 하더라도 아이디 등이 기록된 텍스트 파일에 봉함 기타 비밀장치가 되어 있는 것으로 볼 수 없고 오히려 B씨의 노트북 컴퓨터 그 자체에는 비밀번호나 화면보호기 등 별도의 보안장치가 설정되어 있지 않았다"며 "아이디 등이 형법 제316조 2항에 규정된 전자기록 등 특수매체기록에는 해당하더라도 별도의 보안장치가 설정되어 있지 않은 등 비밀장치가 된 것으로 볼 수 없는 이상 전자기록 등 내용 탐지죄가 성립하지 않는다"고 판시했다. 한편 A씨가 해킹으로 알아낸 정보를 바탕으로 B씨의 계정에 접속하고 B씨의 대화 내용 등을 다운로드 받은 행위에 대해 유죄로 판시한 원심 부분은 A씨와 검사가 상고하지 않아 항소심에서 그대로 확정됐었다.

시장점유율을 유지하기 위해 고객정보를 무단으로 이용해 선불폰(요금을 미리 내고 쓰는 휴대전화) 요금을 임의로 충전한 SK텔레콤에 벌금형이 확정됐다. 대법원 형사1부(주심 이기택 대법관)는 11일 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 기소된 SK텔레콤에 벌금 5000만원을 선고한 원심을 확정했다(2016도10102). 관련 업무를 담당한 이 회사 전·현직 팀장급 직원 2명에게는 징역 2년에 집행유예 3년이 확정됐다. SK텔레콤은 2010년 1월부터 2014년 8월까지 휴대전화 대리점 등과 공모해 이용정지 상태인 선불폰에 87만 차례에 걸쳐 임의로 요금을 충전하면서 고객 15만여명의 이름과 전화번호 등 개인정보를 무단 이용한 혐의를 받았다. 장기간 선불요금이 충전되지 않아 이용계약이 자동해지될 것으로 예상되는 선불폰을 임의로 충전해 가입회선을 유지하기 위한 목적이었다. 1,2심은 "SK텔레콤의 행위는 고객정보의 보유 기간 등 변경에 해당하는 것으로 이는 이용자에게 사전에 알리고 동의를 받아야 하는 부분"이라며 "이용자의 의사에 반해 선불폰 이용계약을 연장한 것은 고객의 개인정보자기결정권을 침해한 것"이라며 유죄 판결을 내렸다. 대법원 관계자는 "선불폰 이용계약 체결시 동의한 개인정보 수집·이용의 목적 범위에는 이동통신사가 임의로 이용자의 선불요금을 충전해 계약기간을 연장하는 것이 포함되지 않음을 명확히 하는 한편 이용자의 개인정보를 수집한 정보통신서비스 제공자가 직접 그 정보를 사용했더라도 목적 외 이용으로 처벌될 수 있음을 보여준 사례"라고 설명했다.

수백 명의 개인정보를 불법으로 구매해 인터넷 게시글의 추천 수를 조작한 혐의로 재판에 넘겨진 30대 남성에게 징역형이 선고됐다. 인천지법 형사5단독 장성욱 판사는 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 위반 혐의로 기소된 A(33)씨에게 최근 징역 1년에 집행유예 2년을 선고하고 80시간의 사회봉사를 명령했다(2017고단9501). A씨는 지난해 5월 자신이 다니던 회사 사무실에서 '스카이프 메신저'를 통해 불법 인터넷 ID 매매 브로커로부터 네이버 계정과 패스워드, 이름과 연락처 등 640명의 개인정보 파일을 건당 400원에 구매한 뒤 이 계정들을 이용해 '네이버 지식인' 보험 관련 글에 집중적으로 추천을 달아 추천수를 조작한 혐의를 받고 있다. 장 판사는 "A씨는 불특정 다수인 640명의 이름과 아이디, 패스워드 등을 돈을 주고 구매한 후 이러한 개인정보를 이용해 인터넷 사이트에 홍보글을 작성하거나 추천했다"며 "취득한 개인정보의 양 및 내용, 범행 동기 등에 비춰 볼 때 죄질이 매우 좋지 않다"고 밝혔다. 이어 "A씨는 공무원 시험을 준비중이기 때문에 금고형 이상을 받을 경우 공무원이 될 수 없다며 선처를 바라지만, 2014년 개인정보 290건을 영리목적으로 제공받아 벌금 70만원의 약식명령을 받은 적이 있고, 2016년에도 인터넷 검색순위를 조작한 혐의로 벌금 300만원의 약식명령을 받은 전력이 있다"며 징역형 선고 이유를 설명했다.

2012년 발생한 KT 개인정보 유출 사고에서 회사의 책임을 인정한 1심 판결이 항소심에서 뒤집혔다. 인터넷이라는 특성상 모든 사이트가 해커의 불법적인 침입에 노출될 수밖에 없고 완벽한 보안을 갖추기는 어렵다는 취지다. 서울중앙지법 민사4부(재판장 송인권 부장판사)는 강모씨 등 KT 가입자 81명이 KT를 상대로 낸 손해배상청구소송(2015나61155)에서 원고일부승소 판결한 1심을 깨고 최근 원고패소 판결했다. 재판부는 "KT가 개인정보 유출방지에 관한 기술적·관리적 보호조치를 이행하지 않은 과실로 인해 사고가 발생했다고 보기 어렵다"고 밝혔다. 그러면서 "KT는 규정을 준수해 접속기록을 확인해왔다"며 "해커가 정상적 서버를 우회해 접속기록을 남기지 않고 정보를 유출했을 가능성을 예상하기 어려웠다"고 판시했다. 앞서 1심은 "KT가 고객정보를 보호하기 위한 노력을 다하지 못했다"며 "강씨 등에게 10만원씩을 지급하라"고 판결했다. 2012년 해커 2명에 의해 KT 가입자 870만명의 개인정보가 무분별하게 유출되는 사고가 발생했다. 해커들은 고객정보를 몰래 조회할 수 있는 프로그램을 만들어 이름과 주민등록번호를 비롯해 휴대전화 가입일, 고객 번호, 사용 요금제, 기기 변경일 등의 개인정보를 빼냈다. KT는 이러한 유출 사태를 5개월간 파악하지 못하다 뒤늦게 내부 보안점검을 통해 해킹 사실을 파악하고 경찰에 수사를 의뢰했다. 이에 강씨 등은 "KT의 관리·감독 부실로 개인정보가 유출됐다"며 "1인당 30만원을 배상하라"며 소송을 냈다.

사내 전산망에 공개된 노동조합원의 개인정보를 노조 임원선거 출마자에게 제공한 혐의로 기소된 전 노조위원장이 항소심에서 무죄 판결을 받았다. 개인정보 주체인 노조원의 사전동의가 있었다고 인정되는 범위에 속하는 개인정보는 별도 동의 절차를 생략하더라도 수집·이용·제공될 수 있다고 본 것이다. 울산지법 형사2부(재판장 이동식 부장판사)는 개인정보 보호법 위반 혐의로 기소된 A(55·변호인 민병환·조정민 변호사)씨에게 벌금 300만원을 선고한 원심을 파기하고 최근 무죄를 선고했다(2017노622). 울산의 한 대기업 정유업체 노조위원장을 지낸 A씨는 지난해 3월 노조 임원선거에 출마한 B씨의 선거활동을 돕기 위해 노조원 2569명의 개인정보를 제공한 혐의로 기소됐다. 파일 형태로 사내 전산망에 게시돼 임직원에게 공개된 해당 개인정보에는 조합원들의 성명과 사(社)번, 휴대전화 번호, 이메일 주소 등이 기재됐다. 조합원의 사진이나 집 주소, 주민등록번호 등은 포함되지 않은 것으로 조사됐다. 재판부는 "이미 공개된 개인정보의 동의 범위가 외부에 표시되지 않았다는 이유만으로 또다시 정보주체의 별도 동의를 받을 것을 요구한다면 정보주체의 공개의사에 부합하지 않고 도리어 무의미한 동의 절차를 밟기 위한 비용부담을 가중시키는 결과가 된다"고 밝혔다. 이어 "개인정보를 처리하거나 처리했던 자는 정당한 권한없이 다른 사람에게 개인정보를 유출해서는 안 되지만 정보주체의 동의가 있었다고 인정되는 범위에서는 별도의 동의가 불필요하다고 봐야 한다"며 "동의가 있었다고 인정되는 범위는 공개된 정보의 성격, 형태와 대상, 의도와 목적 등을 객관적으로 판단해야 한다"고 설명했다. 그러면서 "해당 정보는 회사 임직원 누구나 사내 전산망에 접속해 열람할 수 있었고, A씨가 이를 개인적·상업적 용도로 사용하지 않았을뿐만 아니라 노조원이 아닌 제3자에게 제공·유출한 사실도 없다"며 "특히 정보체인 조합원들이 이를 문제 삼은 사실이 없어, A씨가 정보주체로부터 별도의 동의를 받지 않고 개인정보를 제3자에게 제공하거나 정당한 권한 없이 다른 사람의 개인정보를 유출했다고 볼 수 없다"고 판시했다. 앞서 1심은 "정보주체인 근로자들의 묵시적 동의 여부를 판단할 때는 엄격한 기준을 적용해야 한다"며 "A씨는 회사가 효율적인 업무수행을 위해 사내 전산망에 게시한 사원의 정보를 노조 활동이나 개인적인 활용 목적으로 B씨에게 제공해 위법행위를 저질렀다"고 유죄 판결을 내렸다.

경품행사로 대량 수집한 고객 정보를 당사자 동의 없이 보험사에 판매한 유통업체 홈플러스가 피해 고객들에게 10만원씩 배상하라는 판결이 나왔다. 대법원이 올 4월 대형마트 등이 1㎜ 크기의 작은 글씨로 개인정보 제공 동의를 받고 이를 영리 목적으로 이용한 행위는 개인정보보호법 위반이라고 판시(2016도13263)한 이래 민사소송에서도 업체의 배상책임을 인정하는 판결이 잇따르고 있다. 서울중앙지법 민사11부(재판장 박미리 부장판사)는 김모씨 등 4명(소송대리인 정관영 변호사)이 홈플러스를 상대로 낸 손해배상소송(2016나83466)에서 최근 원고패소 판결한 1심을 뒤집고 홈플러스의 배상 책임을 인정했다. 재판부는 "홈플러스가 경품행사 당시 회원들에게서 개인정보 제3자 제공에 관한 동의를 받긴 했으나, 의도적으로 관련 부분의 글씨를 작게 해 김씨 등이 행사의 주된 목적을 인식하지 못하게 했다"며 "고객들의 개인정보 자기결정권을 침해했다"고 밝혔다. 이어 "김씨 등은 홈플러스의 고의적 위법행위에 본인의 정보가 판매할 목적에 수집됐고, 그중 일부가 보험사의 마케팅에 활용됐다는 점을 인식했을 때 기업으로부터 영리 대상으로 취급되고 있다고 느낄 수 있어 상당한 분노나 불쾌감을 느꼈을 것으로 보인다"고 설명했다. 다만 "추가적 개인정보 제공이나 유출이 없었고, 김씨 등의 성급함과 부주의도 원인이 됐다"며 위자료를 10만원으로 정했다. 앞서 1심은 지난해 12월 "해당 경품행사에 응모한 고객들 중 30% 정도는 개인정보 제공에 동의하지 않아 경품 추첨 대상에서 배제된 사실을 인정할 수 있다"며 "김씨 등도 경품 당첨 기회를 얻으려면 개인정보가 보험사 영업에 사용될 것이라는 점을 인식했다고 볼 수 있다"며 홈플러스의 손을 들어줬다. 김씨 등은 지난 2015년 "홈플러스가 2011년부터 2014년까지 7월까지 경품행사로 모은 개인정보와 패밀리카드 회원정보 2400만여건을 보험사에 231억7000여만원에 팔아 개인정보를 침해당했다"며 "1인당 100만원씩을 배상하라"며 소송을 냈다. 검찰도 같은해 2월 개인정보 보호법 위반 등의 혐의로 홈플러스 법인과 전현직 임원 8명을 기소했다. 이 사건의 1,2심은 "홈플러스가 경품 응모권에 '개인 정보가 보험회사 영업에 활용될 수 있다'는 내용의 고지 사항을 1㎜ 크기로 적어뒀고, 이 정도 글자 크기는 복권이나 의약품 사용설명서 등의 약관에서도 통용된다"며 무죄를 선고했다. 그러나 대법원은 지난 4월 "1㎜ 크기의 작은 글씨로 개인정보 제공 동의를 받은 경우 정상적으로 개인 정보 활용 동의를 받은 것이라고 볼 수 없다"며 무죄를 선고한 원심을 파기하고 사건을 유죄 취지로 서울중앙지법으로 돌려보냈다(2016도13263). 대법원 판결 이후 민사소송에서 배상판결이 이어지고 있다. 수원지법 안산지원 민사2부(재판장 우관제 부장판사)도 지난 8월 피해 고객 284명에게 홈플러스가 1인당 5~12만원씩 총 2306만원을 배상하라고 판결했다(2015가합1847).

개인정보 불법 수집 여부를 둘러싸고 의사와 환자들이 약학정보원 등을 상대로 소송을 냈지만 1심에서 패소했다. 서울중앙지법 민사26부(재판장 박상구 부장판사)는 김모씨 등 의사와 환자 1876명이 대한약사회와 약학정보원, 한국아이엠에스(IMS)헬스 주식회사를 상대로 낸 손해배상청구소송(2014가합508066)에서 최근 원고패소 판결했다. 김씨 등은 2014년 2월 "약사회와 약학정보원이 약국에 설치된 'PM2000' 프로그램을 통해 처방전에 기재된 성명과 주민등록번호 등 개인정보를 불법 수집하고, 이를 통계 처리 회사인 IMS에 제공했다"며 "의사 1인당 300만원, 환자 1인당 200만원 등 위자료 총 54억여원을 배상하라"며 소송을 냈다. 약사회 등은 "개인의 고유 정보를 수집 단계부터 암호화해 식별되지 않는 만큼 개인정보보호법 위반에 해당하지 않는다"고 맞섰다. 재판부는 의사나 환자들의 동의가 없는 정보 수집은 개인정보 보호법 위반 소지가 있지만, 실제 손해가 발생된 부분이 증명되지 않았다며 배상책임을 인정하지 않았다. 재판부는 "약사회는 약국의 처방관리 프로그램인 'PM2000'의 저작권자라는 사정만으로 불법행위를 했다고 볼 수 없다"며 "증거가 부족해 그 책임을 인정할 수 없다"고 밝혔다. 이어 "약학정보원이 식별성이 완전히 제거되지 않은 정보를 정보주체의 동의 없이 한국IMS헬스에 제공한 것은 개인정보보호법 위반에 해당한다"면서도 "해당 정보가 약학정보원과 한국IMS헬스에 제공된 이외에 다른 곳으로 유출되거나 제3자가 열람했을 가능성이 있다고 보기는 어렵다"고 설명했다. 또 "2014년 6월 이후 암호화된 정보를 보면 한국IMS헬스가 복구하는 것이 원천적으로 불가능하고 통계 작성을 위해 허용된 것으로 개인정보 보호법 위반에 해당하지 않는다"고 판시했다. 한편 약학정보원과 IMS헬스 임직원들은 개인정보 보호법 위반 혐의로 형사재판도 받고 있는데, 현재 결심까지 진행돼 선고 절차만 남겨두고 있다.

경품행사 등으로 수집한 고객의 개인정보 수천만건을 보험사 등에 팔아 넘긴 홈플러스에 손해배상책임을 인정한 판결이 나왔다. 다만 재판부는 426명의 원고들이 요구한 배상액 2억4500여만원 중 경품응모 사실 등이 명확히 확인되는 284명에 대한 배상액 2300여만원만을 인정했다. 수원지법 안산지원 민사2부(재판장 우관제 부장판사)는 강모씨 등 고객 426명이 "개인정보 유출피해를 입었다"며 홈플러스를 상대로 제기한 손해배상 청구소송에서 '284명에게 총 2306만원을 배상하라'며 원고일부승소 판결했다(2015가합1847). 재판부는 "홈플러스는 경품행사 등을 통해 취득한 개인정보를 유상으로 제3자에게 제공한다는 취지를 명시하지 않는 등 원고들의 개인정보자기결정권을 침해했다"며 "원고들이 피고의 행위로 인하여 정신적 고통을 받았을 것이 인정되고, 피고도 이를 예견할 수 있었다"고 밝혔다. 이어 "홈플러스는 경품행사에 참가한 원고들로부터 동의를 받긴 했지만, 응모권 뒷면에 제3자 제공 동의 관련 사항을 약 1㎜ 글씨로 작게 넣는 등 소비자가 내용을 정확히 파악하기 어렵게 했다"며 "실질적으로 원고들의 유효한 동의가 있다고 보기 어렵다"고 설명했다. 또 "피고가 제휴업체에 원고들의 개인정보를 제공해 원고들은 자신들의 개인정보가 제3자에게 노출됐다는 불안감 또 자신들이 영리행위의 대상으로 취급되고 있다는 불쾌감을 갖는 상황에 처하게 됐다"며 "피고의 행위는 회원관리를 위해 개인정보를 이용하고 다른 목적으로는 이용하지 않을 것이라는 원고들의 신뢰를 저버린 행위"라고 판시했다. 다만 재판부는 그 대상을 경품응모 사실이 명확히 확인되고 '3자 제공 미동의'란에 표시를 한 284명으로 한정했다. 그러면서 패밀리카드 회원가입과 경품응모 두 과정 모두에 개인정보를 낸 피해자(73명)에게는 12만원, 경품응모 피해자(75명)는 10만원, 패밀리카드 회원 피해자(136명)에게는 5만원을 각각 배상하라고 판시했다. 강씨 등은 지난 2015년 홈플러스가 2011년부터 2014년까지 7월까지 경품행사로 모은 개인정보와 패밀리카드 회원정보 2400만여 건을 보험사에 231억7000여 만원에 팔아 개인정보를 침해당했다며 1인당 50만~70만원(총 2억4480만원)을 배상하라며 소송을 냈다. 한편 검찰도 지난 2015년 2월 개인정보보호법 위반 등 혐의로 홈플러스 법인과 전현직 임원 8명을 기소했다. 홈플러스 등은 응모권의 고지사항을 1㎜ 크기 글자로 기재해 알아보기 어렵게 하는 편법 등을 동원하며 2011~2014년 10여 차례 경품행사 등으로 모은 개인정보 2400만여 건을 보험사에 231억7000만원에 판매한 혐의를 받았다. 1,2심은 "홈플러스가 경품 응모권에 '개인 정보가 보험회사 영업에 활용될 수 있다'는 내용의 고지 사항을 1㎜ 크기로 적어뒀고, 이 정도 글자 크기는 복권이나 의약품 사용설명서 등의 약관에서도 통용된다"며 무죄를 선고했다. 그러나 대법원은 지난 4월 "1㎜ 크기의 작은 글씨로 개인정보 제공 동의를 받은 경우 정상적으로 개인 정보 활용 동의를 받은 것이라고 볼 수 없다"며 파기환송했다.