경품행사 등을 통해 얻은 고객 개인 정보를 보험사에 판매한 홈플러스에 대해 피해자 일부에 대한 손해배상 책임이 인정된다는 대법원 판단이 나왔다.
대법원 2부(주심 신숙희 대법관)는 17일 강모씨 등 283명이 홈플러스를 상대로 낸 손해배상 청구 소송에서 상고를 기각하고 원심의 원고일부승소 판결을 확정했다.
다만, 개인정보 유출로 인해 피해를 보상 받으려면 법 위반 사실에 대한 증명 책임이 피해자에게 있다고 판단했다. 이런 이유로 해당 사건에서는 소비자 4명에 대해서만 원심의 배상책임을 인정했고 나머지 원고들의 청구는 받아들이지 않았다.
홈플러스는 2011년부터 2014년 7월까지 경품행사를 통해 712만건의 개인정보를 수집하고 이를 148억원을 받고 보험사 7곳에 넘긴 것으로 드러났다. 또 패밀리 카드 회원을 모집한다며 개인정보 1694만건을 수집한 뒤 보험사 2곳에 팔아 83억여원을 받은 것으로 파악됐다.
홈플러스는 경품행사 응모권 뒷면 등에 약 1㎜ 크기의 작은 글씨로 개인정보 제공 동의에 대한 설명을 고지해 '깨알고지' 논란이 일었다.
당시 홈플러스는 경품행사와 패밀리카드 가입을 통해 개인정보를 모으고 제3자 정보제공에 동의하는 고객 명단을 보험사에 넘겼다. 보험사는 이미 보험에 가입한 고객들을 제외하는 등의 선별 작업을 거쳐 유효한 고객들의 개인정보에 대해서만 수수료를 지급했다.
그런데 선별 작업을 거치고 남은 유효한 고객이 비율이 점차 줄어 수익성이 크지 않자, 홈플러스는 선별 작업을 먼저 진행한 후, 이들을 대상으로 제3자 정보 제공 동의를 받는 식으로 순서를 바꾸게 된다. 이 과정에서 정보 제공에 동의하지 않은 고객들의 명단도 보험사에 넘어가는 문제가 생기게 됐다.
이에 소비자들은 홈플러스가 개인정보를 팔아넘겨 손해를 봤다며 1인당 50만~70만 원의 배상을 요구하는 소송을 냈다.
연합뉴스쟁점은 개인정보 보호와 관련해 개인정보가 제3자에 넘어갔다는 사실은 누가 증명할지 그 책임의 분배였다.
1심은 홈플러스의 불법성을 인정해 원고 일부 승소 판결을 내렸다. 당시 법원은 '개인정보를 제공하지 않았다'는 점을 증명할 책임이 홈플러스에 있다고 보고 손해배상을 명령했다.
하지만 2심은 '개인정보가 제공되었다'는 점을 소비자들이 증명해야 한다고 달리 판단했다. 이를 증명하지 못한 소비자들에게는 홈플러스가 배상할 필요가 없다고 본 것이다.
대법원도 이러한 원심의 판단을 받아들였다. 대법원은 "원고들의 개인정보가 보험회사에 제공되었다는 사실에 관한 구체적·개별적인 증명이 없는 이상 피고의 개인정보 보호법상 위반행위를 인정할 수 없다고 본 원심의 판단에 잘못이 없다"고 했다.
개인정보 보호법상 개인정보처리자에게는 유출에 고의 또는 과실이 없음을 입증할 책임만 있을 뿐 유출 사실 자체는 피해자가 증명해야 한다는 의미다.
대법원 관계자는 "정보처리자가 개인정보보호법을 위반했다는 사실을 정보주체가 주장·증명해야 한다고 판시한 최초 사례"라고 짚었다.
이날 대법원 2부(주심 김상환 대법관)도 쟁점이 같은 홈플러스의 개인정보 판매 사건을 심리해 같은 결론을 내렸다.
홈플러스는 2019년 개인정보보호법 위반 혐의로 기소돼 벌금 7500만 원이 확정됐다.