대법 "개인정보 장사 홈플러스, 고객에 일부 배상해야"

by성주원 기자
2024.05.17 11:57:55

개인정보 장사한 홈플러스 상대 손해배상소송
'제3자 제공사실 증명책임 누구에 있나' 쟁점
대법 "개인정보 위반사실 증명책임은 정보주체"

[이데일리 성주원 기자] 경품행사를 통해 입수한 고객 개인 정보를 보험사에 판매한 홈플러스를 상대로 고객인 소비자들이 제기한 손해배상 청구 소송에 대해 대법원은 홈플러스가 소비자들에게 일부 배상해야 한다고 결론내렸다.

대법원은 이번 판결을 통해 “개인정보처리자가 ‘개인정보 보호법’을 위반한 행위를 했다는 사실 자체는 정보주체가 주장·증명해야 한다”는 점을 처음으로 판시했다.

[이데일리 방인권 기자]대법원
대법원 2부(주심 신숙희 대법관)는 17일 오전 원고 283명이 홈플러스를 상대로 낸 손해배상청구 소송 상고심 선고기일을 열고 원고 일부 승소 판결한 원심판단을 수긍해 확정했다고 밝혔다.

대형 유통회사인 홈플러스는 위탁업체 상담원을 통해 패밀리 멤버십 카드 회원 중 가입과정에서 개인정보 제3자 제공에 동의하지 않은 고객(미동의 FMC 회원)을 상대로 제3자 제공 동의 여부를 확인한 후, 제3자 제공에 동의한 고객들의 개인정보 데이터베이스를 보험회사들에 판매해왔다.

보험회사들은 홈플러스로부터 제공받은 고객 정보를 분석해 그중 보험상품 설명을 위한 전화 받기를 원하지 않는 고객, 이미 보험계약을 체결한 고객, 최근에 텔레마케팅 통화를 한 적이 있는 고객 등을 걸러내는 이른바 ‘필터링 작업’을 수행한 후, 남은 고객들에 대해서만 홈플러스에게 수수료를 지급하고 그들을 대상으로 보험 텔레마케팅 영업을 했다.

그런데 보험회사들에 제공한 개인정보 데이터베이스(DB) 중 보험회사들의 필터링을 거치고 남은 유효 DB의 비율이 점차 줄어들어 개인정보 판매의 수익성이 악화되자, 홈플러스는 미동의 FMC 회원으로부터 제3자 제공 동의를 받기 전에 그들의 개인정보 DB를 보험회사들에 건네줘 보험회사들로 하여금 종전에 제3자 제공 동의를 받은 개인정보 DB에 대해 시행하던 필터링 작업을 미리 시행하는 이른바 ‘사전필터링’을 하도록 했다.

이에 미동의 FMC 회원인 원고들은, 홈플러스의 사전필터링을 위한 회원정보 제공이 ‘개인정보 보호법’ 등을 위반했다고 주장하면서 불법행위로 인한 손해배상을 청구했다. 원고들은 자신들의 개인정보가 사전필터링을 위해 보험회사에 제공된 사실에 관한 증명이 있는 원고들(원고들①)과 그렇지 않은 원고들(원고들②)로 구분됐다.

1심은 원고 일부 승소 판결했다. 1심 재판부는 홈플러스가 원고들의 개인정보를 사전필터링을 위해 보험사에 제공하지 않았다는 점에 관한 증명책임이 피고(홈플러스)에게 있다고 봤다. 원고들이 홈플러스의 행위로 인해 정신적 고통을 받았을 것임은 경험칙에 따라 인정할 수 있고 홈플러스도 이를 예견할 수 있었다고 봐야 한다고도 했다.

2심 역시 원고 일부 승소 판결했다. 다만 2심 재판부는 1심과 달리 “‘사전필터링을 위해 원고들의 개인정보가 보험사에 제공됐다는 사실의 부존재’에 관해서까지 피고에게 증명책임을 지우기는 어렵다”며 “원고들②로부터 자신의 개인정보가 사전필터링을 위해 보험회사에 제공됐다는 사실에 관한 구체적·개별적인 증명이 없는 이상, 원고들②가 불법행위로 인한 피해자에 해당한다고 단정할 수 없다”고 판시했다.



그러면서 원고들①에게만 위자료로 배상할 만한 정신적 손해가 발생했다고 인정할 수 있다고 봤다.

이에 원고들과 피고는 각각 자신의 패소 부분에 대해 불복해 상고했다.

대법원은 이 사건의 쟁점인 △개인정보 보호와 관련해 개인정보의 제3자 제공사실에 관한 증명책임의 분배 △사전필터링을 위해 고객의 동의 없이 보험회사에 개인정보를 제공한 경우, 고객에게 위자료로 배상할 만한 정신적 손해가 발생하는지 여부를 집중적으로 살펴본 뒤 상고를 기각했다.

대법원은 원고들①과 관련해서는 “상고이유서를 제출하지 않아 원고들①의 상고를 기각하고, 원고들①에게 위자료로 배상할 만한 정신적 손해가 발생했다고 본 원심판단에 잘못이 없기에 피고의 상고를 기각한다”고 판시했다.

이어 원고들②에 대해서는 “개인정보처리자가 ‘개인정보 보호법’을 위반한 행위를 했다는 사실 자체는 정보주체가 주장·증명해야 한다”며 “원고들의 개인정보가 보험회사에 제공됐다는 사실에 관한 구체적·개별적인 증명이 없는 이상 피고의 ‘개인정보 보호법’ 위반행위를 인정할 수 없다고 본 원심의 판단에 잘못이 없다”며 원고들②의 상고를 기각했다.

대법원 관계자는 “이번 판결은 ‘개인정보 보호법’ 제39조 제1항은 정보주체가 개인정보처리자의 ‘개인정보 보호법’ 위반행위로 입은 손해의 배상을 청구하는 경우에 개인정보처리자의 고의나 과실을 증명하는 것이 곤란한 점을 감안해 그 증명책임을 개인정보처리자에게 전환하는 것일 뿐이고, 개인정보처리자가 ‘개인정보 보호법’을 위반한 행위를 했다는 사실 자체는 정보주체가 주장·증명해야 한다는 점을 최초로 판시한 사례”라고 설명했다.

한편 대법원은 이 사건과 같은 쟁점을 놓고 다퉈온 다른 2건의 손해배상 청구 소송도 이날 함께 선고했다.

대법원 2부(주심 김상환 대법관)은 원고들의 개인정보가 보험사에 제공됐다는 사실에 관한 구체적·개별적인 증명이 없는 이상 홈플러스의 ‘개인정보 보호법’ 위반행위를 인정할 수 없다고 보아 원고들의 청구를 기각한 원심의 판단을 수긍해 2건의 상고를 모두 기각했다.