2024-03-29 22:30 (금)
[한국사회를 변화시킨 9대 개인정보 유출사고 판례 분석⑧] 글로벌 기업 사례
상태바
[한국사회를 변화시킨 9대 개인정보 유출사고 판례 분석⑧] 글로벌 기업 사례
  • 길민권 기자
  • 승인 2019.06.24 16:19
이 기사를 공유합니다

글로벌 기업에게 개인정보를 제3자에게 제공한 내역을 정보주체에게 제공하도록 명한 판결

castle-979597_640.jpg
한국개인정보법제연구회의 도움으로 한국사회를 변화시킨 9건의 개인정보 유출 사고와 해당 판례를 분석한 기고문을 게재합니다. 대량 개인정보 유출 사건을 중심으로 살펴보고 이 사건들이 우리나라 개인정보보호법에 어떤 영향을 미쳤는지 그리고 기업들은 어떤 부분을 주의해야 하는지 독자들과 공유하고 실무에 도움이 되는 시간이 되길 바랍니다. 의미있는 자료를 데일리시큐에 기고해 주신 한국개인정보법제연구회에 깊은 감사의 말씀을 전합니다. -편집자주-

◇관련 판결

1심: 서울중앙지방법원 2015. 10. 16. 선고 2014가합38116 판결

2심: 서울고등법원 2017. 2. 16. 선고 2015나2065729 판결

1. 사건의 발생 경위

가. 당사자의 관계

이 사건의 원고 6명 중 원고 4명은 F사의 메일서비스 등에 가입한 이용자들이고, 원고 2명은 F사의 기업메일 서비스에 가입한 이용자들입니다.

피고 F사는 미국에 설립된 법인으로서 메일 등의 서비스를 전세계적으로 제공하고 있고, 피고 F코리아 유한회사는 온라인 광고상품 및 서비스와 다이렉트 마케팅 상품 및 서비스의 판매 및 마케팅 등의 사업을 영위하는 회사입니다.

나. 원고들 청구의 주요 내용

원고들은 2014. 2. 경 피고들에게, 자신들의 개인정보와 서비스 이용 정보를 제3자에 제공했는지 여부와 그 내역을 알려달라고 요청하였습니다. 정보통신망법 제 30조 제 2항, 제 4항에 따라 정보주체가 요구하는 경우 정보통신서비스 제공자는 정보주체에게 개인정보 이용 현황과 제3자에게 제공한 현황을 알려줄 의무가 있습니다. 그러나 피고들은 위 요청에 대해 답변을 하지 않았고 원고들은 이 사건 소를 제기하면서 원고들의 개인정보와 서비스 이용 내역을 제3자에게 제공한 내역을 원고들에게 제공하고 원고들에게 각 50만원의 손해배상금을 지급할 것을 청구하였습니다.

2. 사건의 주요 쟁점

이 사건 재판은 피고들이 정보통신망법상 정보통신서비스 제공자에 해당하여 관련 의무를 부담하는지를 판단하기 위하여 우선 대한민국 법원이 관할권이 있는지와 대한민국 법률인 정보통신망법이 재판에 적용되는지 여부가 쟁점이 되었습니다. F사 서비스 약관과 기업메일 약관에는 미국 캘리포니아주 법원이 관할하도록 전속적 국제재판관할 합의가 되어 있음에도 원고들이 대한민국 법원에 제소한 것이 적법한지 문제되었습니다.

또한 피고들이, F코리아는 F인코퍼레이티드로부터 개인정보를 제공받지 않았고 단지 보조적 업무를 할 뿐이므로 정보통신서비스제공자로서의 의무가 없다고 주장하였습니다. 이에 따라 F코리아의 의무가 인정되지 않는지 여부가 문제되었습니다.

나아가 피고들이 원고들에게 제공해야 할 정보의 범위에 관하여 쟁점이 되었으며 피고들이 원고들에게 정보 제공 내역을 공개하지 않은 것으로 원고들에게 손해가 발생하였는지 여부가 쟁점이 되었습니다.

3. 판결의 요지

가. 대한민국 법원에 제소한 것이 적법한지(전속관할 합의 관련)

이 사건에서 F사 약관에는 모든 소송은 미국 캘리포니아주 법원의 관할로 하도록 되어 있는데 원고들이 대한민국 법원에 소송을 제기한 것이 부적법한지가 문제되었습니다.

이에 관하여 1심 판결은 국제사법을 근거로 대한민국 법원의 관할을 인정하였습니다. 국제사법 제27조 제1항에 의하면 소비자가 직업 또는 영업활동 외의 목적으로 체결한 계약의 경우 전속적 관할합의가 있더라도 상거소지가 있는 국가에 소를 제기할 수 있습니다. 1심 판결은 원고 6명 중 4명은 개인적인 용도로 F사 계정을 생성하여 F사 서비스를 이용하고 있어 국제사법 제27조의 소비자에 해당한다고 보았습니다. 따라서 대한민국 법원의 국제재판관할권을 배제하기로 하는 합의는 효력이 없으므로 이 사건 소송제기가 적법하다고 보았습니다.

그러나 원고 중 2명은 F사의 기업메일 서비스를 이용하는 자이므로 국제사법 제27조의 소비자계약에 관한 규정이 적용되지 않아 대한민국 법원에 제소한 것은 적법하지 않다고 판시하였습니다.

한편 2심 판결은 위 1심 판결 중 원고 2명에 대한 부분에 관하여 판단을 달리 하였습니다. 1심 판결에서 소비자계약에 해당한다고 본 4명의 원고 중 2명은 개인 메일 계정을 근무지에서 사용하기 위한 목적으로 개설하였으므로 영리 목적에 해당한다고 보고 이 2명은 국제사법상 전속관할 합의 예외 사유에 해당하지 않으므로 관할을 위반하였다고 판시하였습니다.

나. 정보통신망법을 적용할 수 있는지 여부(준거법)

피고들은, F사 약관상 서비스 관련 분쟁은 미국 캘리포니아주 법률에 따르기로 되어 있으므로 대한민국 법률인 정보통신망법에 따라 정보공개를 구하는 원고들의 청구는 타당하지 않다고 주장하였습니다.

이에 관하여 1 ․ 2심 판결은, 국제사법 제27조 제1항의 소비자 계약의 경우 준거법을 정하였더라도 소비자의 상거소지가 있는 국가의 강행규정에 의하여 소비자에게 부여되는 보호를 박탈할 수 없다고 본 다음, 정보통신망법 관련 조문은 위반 시 과태료 또는 형사 처벌이 규정되어 있는 점 등을 볼 때 강행규정에 해당하므로 이 사건에서 적용될 수 있다고 판시하였습니다. 다만 기업메일 이용자나(1 ․ 2심 판결) 개인메일을 영리 목적으로 이용한 원고들(2심 판결)에 대하여는 국제사법 제27조 및 제8조 등의 보호 규정이 적용되기 어렵다고 보았습니다.

다. 피고 F사가 개인정보 제공 내역을 원고들에게 공개해야 하는지 여부

원고들은 정보통신망법 제30조를 근거로 피고 F사가 원고들로부터 수집・보유하고 있는 원고들의 개인정보 및 서비스 이용내역을 제3자에게 제공한 현황을 원고들에게 제공해야 한다고 주장하였습니다.

이에 관하여 1심 판결은, 피고가 원고들에게 개인정보 및 서비스이용내역을 제3자에게 제공하였는지 여부 및 그 내용을 위 원고들에게 공개할 의무가 있다고 보았습니다.

다만 정당한 사유가 있는 경우에는 공개하지 않아도 되는 경우가 있을 수 있다고 판시하면서, 피고가 미국 국가 안보에 대한 위협 또는 해외 정보 감시법상 관련 기관의 요청이 있는 경우 수신한 자가 요청한 사실을 공개할 수 없다는 법령의 준수를 위한 경우와, 기타 개인정보 제공현황에 관하여 비공개 의무를 규정하고 있는 법령의 준수를 위한 경우에는 예외적으로 원고들에게 공개하지 않아도 된다고 판시하였습니다.

이에 관하여 2심은 피고 F사의 개인정보 및 서비스이용내역 제공 내역 공개 의무를 인정하면서, 다만 1심에서 피고측 주장에 따라 ‘그 밖에 개인정보 제공 현황에 관하여 비공개 의무를 규정하고 있는 법령’은 명확하지 않으므로 위 예외는 인정하지 않았습니다.

한편 피고 F사는 비식별정보는‘개인정보’에 포함되지 않는다고 주장하였습니다. 이에 관하여 2심 판결은, “정보통신망법 제2조 제1항 제6호에서 해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보도 개인정보에 포함한다고 규정하고 있으므로 피고는 비식별정보 중 위에 해당하는 정보에 관하여는 원고들에게 제공하여야 한다.”고 판시하였습니다.

라. F코리아가 개인정보 제공 내역을 원고들에게 공개해야 하는지 여부

원고들은, F코리아는 F사의 한국 지사로서 국내에서 수집되는 개인정보에 관하여는 F코리아가 관리하고 있으므로 정보통신서비스제공자에 해당하므로 피고 F코리아 역시 원고들에게 개인정보 제3자 제공 내역 등을 공개할 의무가 있다고 주장하였습니다.

이에 관하여 피고는, F코리아는 F사 서비스 제공 주체가 아니고 광고를 수주하는 정도의 활동을 할 뿐 개인정보를 수집하거나 제공받지 않으므로 정보통신서비스제공자에 해당하지 않는다고 항변하였습니다.

이에 관하여 1심은, 약관에는 서비스 주체가 F사로 되어 있고 F코리아는 국내 이용자들을 위한 업무 또는 국내 이용자들의 개인정보 처리에 관한 업무를 일부 담당하고 있으며, 국내 이용자들을 위한 서비스 도메인 주소의 등록 명의자가 피고 F코리아로 되어 있지만 이는 피고 F사에 대해 보조적인 역할을 하는 것으로 볼 수 있다고 보아 원고들의 피고 F코리아에 대한 청구를 기각하였습니다.

2심에서는 원고들이 F코리아가 위치정보서비스 및 위치기반서비스에 관한 정보통신서비스 제공자에 해당한다고 주장하였습니다. 이에 따라 2심 판결은 위치기반서비스사업 신고 등을 F코리아가 한 점 등을 들어 F코리아가 위치정보서비스 및 위치기반서비스 등에 대한 정보통신서비스 제공자에 해당한다고 판시하였습니다. 따라서 F코리아가 원고들에 대하여 관련 서비스 이용 내역 및 개인정보 제3자 제공 내역을 제공할 의무가 있다고 판시하였습니다.

마. 피고들에 대한 손해배상 청구에 관한 판단

원고들의 손해배상 청구에 관하여 이 사건 1, 2심 판결은, “피고가 원고들의 개인정보 등 제3자 제공 여부를 알려달라는 요청에 대하여 지체 없이 필요한 조치를 하지 않았다는 사정만으로 위 원고들에게 재산적 손해가 발생하였다고 보기 어렵고, 피고들이 원고들의 요구에 대해 소극적인 태도를 취하기는 하였으나 적극적인 가해행위가 없었고 설령 원고들이 정신상의 고통을 입었다고 하더라도 이는 피고들이 해당 정보를 공개함으로써 회복될 수 있는 것으로 보인다.”는 취지로 원고들의 손해배상 청구를 인정하지 않았습니다.

4. 이 사건 판결의 의의

많은 글로벌 기업들이 국내 이용자의 개인정보를 수집・보유・활용하고 있으나 본사가 국외에 있거나 한국에 사업장이 없어 국내법의 준수를 강제하기 어려운 실정입니다. 이러한 환경에서 이 사건 판결은 국외에 있는 기업이 국내법상의 개인정보보호 규정을 준수하도록 하였다는 점에서 의의가 있습니다.

특히 글로벌 기업의 한국 지사는 개인정보처리 권한이 없다고 주장할 수 있는데 이 사건 판결은 한국 지사도 정보통신사업자에 해당한다고 보아 관련 의무를 부담하도록 하였다는 점에서 시사점이 있습니다.

다만 이 사건 판결은 국제사법상 소비자 계약의 경우에만 전속적 국제관할 합의와 준거법 합의에도 불구하고 국내 법원과 법령을 적용할 수 있었던 것이라는 점을 유의하여야 합니다. 원고들 중 영리 목적이 없는 상태로 서비스를 이용한 원고들에 대하여만 관할 및 준거법이 인정될 수 있었습니다.

한편 이 사건 판결은 원고들에게 손해가 발생하지 않았다고 보았습니다. 이는 2008년에 발생했던 수탁사 직원에 의한 유출 사고와 2012년에 발생한 카드 3사 유출 사건 등에서 유출된 개인정보가 제3자에게 제공되거나 유통되지 않았다면 손해가 발생하였다고 보지 않은 판례의 태도와 맥락을 같이 하는 것으로 볼 수 있습니다.

이 사건은 원고들과 피고들이 모두 상고하여 현재 대법원에 계류 중입니다.

[글. 한국개인정보법제연구회 / 블로그 https://blog.naver.com/kadp02 / 페이스북 https://www.facebook.com/kadp02/이메일 kadp02@naver.com]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

관련기사