개인정보가 유출됐더라도 정황상 위자료로 배상할 만한 정신적 손해가 인정되기 어렵다면 개인정보처리자의 법정 손해배상 책임을 인정하지 않아도 된다는 대법원 판결이 나왔다. 법률상 배상 청구가 정당한 개인정보 유출 사건이라도 손해가 발생하지 않은 것이 분명한 경우에는 이를 인정하지 않아도 된다고 구체적으로 판시한 첫 사례다.
대법원 2부(주심 오경미 대법관)는 지난달 4일 온라인 지식거래 서비스를 운영하는 해피캠퍼스의 개인정보 유출 사고와 관련해 회원 A씨가 제기한 손해배상 청구 소송 상고심에서 원고 패소 판결을 확정했다고 14일 밝혔다.
이번 사건은 온라인 지식거래 서비스 해피캠퍼스가 2021년 9월께 해킹을 당해 원고를 포함한 가입자 40만3298명의 이메일 주소와 비밀번호 등 개인정보가 유출되면서 불거졌다. A씨는 해킹으로 이메일 주소와 비밀번호가 유출돼 스팸메일을 받았고, 보이스피싱 등 2차 피해 우려로 정신적 손해를 입었다며 해피캠퍼스 측에 30만원을 청구했다.
개인정보보호법 제39조의2 제1항에 따르면 정보주체는 손해를 입은 경우 개인정보처리자에게 최대 300만원의 법정 손해배상금을 청구할 수 있다. 당시 해피캠퍼스는 해킹과 관련해 적절한 조치를 취하지 않아 안전조치 의무를 위반한 것으로 인정된 상태였다.
하지만 1심과 2심은 모두 회사 측 손을 들어주며 원고 청구를 기각했다. 유출된 정보가 정보주체를 식별하기 어려운 암호화된 비밀번호와 이메일 주소에 불과하고 2차 피해도 없었던 만큼, 피고에게 손해배상을 명할 정도의 중대한 과실이 있다고 보기 어렵다는 이유에서다.
대법원도 이같은 원심 판단에 법리 오해가 없다고 보고 상고를 기각했다. 재판부는 “손해가 발생하지 않은 것이 분명한 경우까지 손해배상 의무를 인정하라는 것이 개인정보보호법 제39조의2 제1항의 취지는 아니다”며 “정보주체가 위자료 배상을 청구하는 경우 개인정보처리자는 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하지 않았음을 주장·증명함으로써 위 규정에 따른 법정 손해배상 책임을 면할 수 있다”고 판시했다.
정희원 기자 tophee@hankyung.com
관련뉴스
