'개인정보 유출' 손해 없었다면…대법 "개인정보처리자 배상 책임 없어"

[이데일리 남궁민관 기자] 암호화된 비밀번호와 이메일 등 개인정보가 유출됐더라도 이에 따른 정신적 손해가 발생하지 않았다면, 개인정보처리자에 손해배상책임을 물을 수 없다는 대법원 판단이 나왔다. 개인정보처리자가 유출된 정보주체에 위자료 배상할 만한 정신적 손해가 발생하지 않았음을 증명했다면 배상 책임도 면할 수 있다는 취지다.

대법원.(이데일리DB)

13일 법조계에 따르면 대법원 2부(주심 오경미 대법관)는 개인정보 유출 피해자 A씨가 온라인 지식거래 사이트 해피캠퍼스를 상대로 제기한 손해배상 청구 소송 상고심에서 원고 상고를 기각하고, 원고 패소 판결한 원심을 확정했다.

앞서 A씨는 2001년 4월 해피캠퍼스 회원으로 가입하면서 ID와 비밀번호, 성명, 생년월일, 성별, 전화번호, 이메일 주소 등 개인정보를 제공했다. 다만 해피캠퍼스는 2021년 9월 신원미상의 해커로부터 해킹을 당해 A씨를 포함한 가입자 40만 3298명의 개인정보가 유출됐다. 이 사건으로 유출된 A씨 개인정보는 암호화된 비밀번호와 이메일 주소였다.

A씨는 “개인정보처리시스템에 대한 외부의 접근통제를 소홀히 한 고의 또는 중과실로 개인정보를 유출했다. 이후 스팸메일을 받고 있고 비밀번호가 유출돼 보이스피싱 등 2차 피해 발생도 우려되는 등 정신적 손해를 입었다”며 해피캠퍼스에 법정손해배상금 30만원 및 이에 대한 지연손해금을 지급할 의무가 있다고 소송을 제기했다.

다만 1·2심에 이어 대법원까지 이같은 A씨 주장을 받아들이지 않았다.

대법원은 “정보주체는 개인정보처리자를 상대로 개인정보보호법에 따른 법정손해배상을 청구하기 위해 개인정보가 분실·도난·유출·위조·변조 또는 훼손됐다는 사실만 주장·증명하면 되고, 손해의 발생 사실을 구체적으로 주장·증명할 필요는 없다고 봐야 한다”고 강조했다.

그러면서도 “그러나 손해가 발생하지 않은 것이 분명한 경우까지 손해배상의무를 인정하려는 것

이 개인정보보호법의 취지는 아니다”라며 “정보주체가 위자료 배상을 청구하는 경우 개인정보처리자로서는 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하지 않았음을 주장·증명함으로써 앞선 규정에 따른 법정손해배상책임을 면할 수 있다”고 설명했다.

A씨 사건을 두고는 “유출된 이 사건 사이트 비밀번호의 경우 암호화돼 있었기에 제3자가 그 내용을 파악하거나 이용했을 가능성은 매우 낮다”며 “이메일 주소가 성명 등 다른 개인정보와 결합된 상태로 유출되지 않았고, 추가적인 정보가 없는 한 유출된 이메일 주소 그 자체만으로는 정보주체가 누구인지 식별하기 어렵다”고 지적했다.

이어 “ 실제로 이 사건 발생일부터 2년 넘게 지난 원심 변론종결일까지 이와 연관된 스팸메일의 증가가 확인되지 않고, 추가적인 법익침해나 2차 피해 발생에 관한 자료도 없다”며 “이 사건으로 인해 원고에게 위자료로 배상할 만한 정신적 손해가 발생했다고 보기 어렵다고 보아 원고의 청구를 배척한 원심의 결론은 정당해 수긍할 수 있다”고 판시했다.