2014년 전국을 떠들썩하게 했던 카드3사 개인정보 유출 사건의 대법원 판결이 2019. 9. 26. 2018다222303 사건으로 선고되었다. 핵심 쟁점은 카드3사의 보호조치 의무가 적법한지 여부였지만, 이미 이 부분에 대하여는 카드3사가 패소한 바가 있기 때문에 결론은 크게 흥미는 없었다.

다만 이 사건에서는 정보통신망법의 핵심적인 쟁점 중의 하나인 그 개인정보 보호대상에 대하여 명확한 결론을 내린 바가 있어서 이 점을 설명하고자 한다.

아시다시피 개인정보보호법은 특별한 이용계약을 전제로 하지 않고 모든 정보주체에 대하여 보호를 해 주고 있다. 반면 정보통신망법은 이용자와 정보통신서비스제공자 라는 단어에서 알 수 있듯이 이용계약을 전제로 이용자의 개인정보만을 보호대상으로 하고 있다.

그런데 카드3사 사건의 경우는 하청업체의 과실로 카드3사의 개인정보가 유출되었다. 피해자는 카드3사에 대하여는 전자금융감독규정시행세칙 제9조 제1항 제7호 위반을 문제삼을 수 있고 실제로 승소했다. 하지만 하청업체는 전자금융업체가 아니므로 전자금융감독규정시행세칙을 주장을 할 수 없다. ​

그래서 피해자들은 정보통신망법 위반을 주장했다. 하지만 대법원은 피해자들은 하청업체에 대하여 정보통신망법 위반을 주장할 수 없다고 결론내렸다. ​

그 이유는 "정보통신망을 활용하여 정보를 제공받거나 정보 제공의 매개 서비스를 이용하는 모든 이용자를 통틀어 정보통신망법에서 예정한 정보통신서비스 이용자에 해당한다고 할 수는 없다."는 이유에서 이다. ​

그렇다면 피해자들은 하청업체에게 전혀 책임을 물을 수 없는가? 결론적으로 가능하다. 민법상의 불법행위 책임은 주장 가능하다는 게 대법원의 판시 내용이다. 즉 "甲 회사와 丁 등 사이에 정보통신망법상 정보통신서비스 제공자와 이용자의 관계가 성립되었다고 볼 수 없으므로, 위 개인정보 유출사고에 정보통신망법이 적용된다고 할 수 없으나, 甲 회사는 乙 회사에 FDS 업데이트에 관한 용역을 의뢰하고 乙 회사의 직원들에게 신용카드 회원의 개인정보를 제공하여 취급하도록 하는 과정에서 개인정보의 유출을 막기 위한 조치를 취할 주의의무를 다하지 아니한 잘못이 인정되므로 민법상 불법행위에 따른 손해배상책임을 부담한다"는 것이다. ​

아래는 관련 쟁점에 대한 대법원 판례를 그대로 옮겨 놓았다. ​

대법원 2019. 9. 26. 선고 2018다222303, 222310, 222327 판결​

[2] 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라고 한다)은 정보통신분야의 개인정보 보호를 위해 제정된 법률이다. 여기서 규정하는 개인정보 보호조항은 기본적으로 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 상대방으로서의 정보주체를 보호하기 위한 것이다. 정보통신망법 제28조 제1항은 정보통신서비스 제공자가 정보통신서비스 이용자의 개인정보를 취급할 때에 개인정보의 안전성 확보에 필요한 기술적⋅관리적 조치를 취하여야 할 법률적 의무를 규정하고 있다.

정보통신서비스 제공자가 정보주체로부터 개인정보를 최초로 수집할 때 반드시 정보통신서비스를 이용하여 수집하여야 하는 것은 아니다. 그러나 정보통신서비스 제공자가 정보통신망법 제28조 제1항에 따라 부담하는 개인정보 보호조치의무는 불특정 다수의 개인정보를 수집⋅이용하는 경우를 전제로 하는 것이 아니라, 해당 정보통신서비스를 이용하는 이용자의 개인정보 취급에 관한 것이고, 여기서 정보통신서비스라 함은 정보통신서비스 제공자가 정보통신망을 통하여 행하는 각종 정보의 게시⋅전송⋅대여⋅공유 등 일련의 정보 제공 행위를 직접 행하거나 정보를 제공하려는 자와 제공받으려는 자를 연결시켜 정보의 제공이 가능하도록 하는 매개행위를 말한다.

또한 정보통신수단이 고도로 발달된 현대사회에서는 일상생활에서 대부분의 개인정보처리가 정보통신망을 통하여 이루어지고 이를 통해 수시로 정보전송이 일어나는데, 개인정보 보호법을 비롯하여 금융, 전자거래, 보건의료 등 각 해당 분야의 개인정보를 다루는 개별 법령과의 관계나 정보통신망법의 입법 취지와 관련 규정의 내용에 비추어 보면, 이처럼 정보통신망을 활용하여 정보를 제공받거나 정보 제공의 매개 서비스를 이용하는 모든 이용자를 통틀어 정보통신망법에서 예정한 정보통신서비스 이용자에 해당한다고 할 수는 없다.

[3] 신용카드 등 발행⋅관리 등의 사업을 영위하는 甲 주식회사가 乙 주식회사에 카드사고분석시스템(Fraud Detection System, 이하 ‘FDS’라 한다)의 업데이트에 관한 용역을 의뢰하고, 업무상 필요를 이유로 乙 회사의 직원들에게 신용카드 회원의 개인정보를 제공하였는데, 乙 회사의 직원인 丙이 甲 회사의 사무실에서 업무용 하드디스크에 丁 등을 비롯한 신용카드 회원의 개인정보를 저장하여 사용한 뒤 업무용 하드디스크를 포맷하지 않고 몰래 숨겨서 가지고 나와 자신의 컴퓨터에 위 개인정보를 저장한 후 대출중개 영업 등에 개인정보를 활용할 의도를 가지고 있는 戊에게 전달하였고, 이에 丁 등이 甲 회사를 상대로 개인정보 유출 등으로 인한 손해의 배상을 구한 사안에서, 乙 회사의 직원들이 작업을 위하여 반입한 하드디스크는 甲 회사의 업무상 필요에 따라 甲 회사의 지배 영역에서 관리되고 있었으므로, 甲 회사가 하드디스크의 수량을 파악하거나 포맷 작업을 수행 또는 감독하지 않은 것은 구 전자금융감독규정시행세칙(2012. 5. 24. 전부 개정되기 전의 것) 제9조 제1항 제7호의 위반에 해당하고, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’이라고 한다) 제28조 제1항과 같은 법 시행령 제15조에서 규정하고 있는 정보통신서비스 제공자의 기술적⋅관리적 보호조치 위반에 따른 민법상 불법행위 책임은 정보통신서비스 제공자와 이용자 사이의 정보통신서비스의 이용관계를 전제로 하는데, 유출된 丁 등의 개인정보는 甲 회사와 신용카드 등에 대한 사용 및 금융거래계약을 맺고 신용카드 등을 발급받아 사용하기 위한 목적으로 수집⋅이용된 개인정보로서 甲 회사의 사무실에 FDS 업데이트를 위하여 반입된 업무용 하드디스크에 저장되어 있다가 유출된 것이므로, 이러한 사실관계만으로는 甲 회사와 丁 등 사이에 정보통신망법상 정보통신서비스 제공자와 이용자의 관계가 성립되었다고 볼 수 없으므로, 위 개인정보 유출사고에 정보통신망법이 적용된다고 할 수 없으나, 甲 회사는 乙 회사에 FDS 업데이트에 관한 용역을 의뢰하고 乙 회사의 직원들에게 신용카드 회원의 개인정보를 제공하여 취급하도록 하는 과정에서 개인정보의 유출을 막기 위한 조치를 취할 주의의무를 다하지 아니한 잘못이 인정되므로 민법상 불법행위에 따른 손해배상책임을 부담한다고 한 사례.

* 법무법인 민후 김경환 대표변호사 작성, 블로그(2019. 11. 25.) 기고.