「개인정보 보호법」 39조 1항은 "정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다"고 규정하고 있다. 이 규정은 정보주체가 개인정보처리자의 「개인정보 보호법」 위반행위로 입은 손해의 배상을 청구하는 경우에 개인정보처리자의 고의나 과실을 증명하는 것이 곤란한 점을 감안하여 그 증명책임을 개인정보처리자에게 전환하는 것이다. 다만, 개인정보처리자가 「개인정보 보호법」을 위반한 행위 즉, 개인정보 무단 제공 사실 자체는 정보주체가 주장 · 증명해야 한다는 첫 대법원 판결이 나왔다.
대법원 제2부(주심 신숙희 대법관)는 5월 17일 홈플러스의 패밀리 멤버십 카드(FMC) 회원 283명이 "홈플러스가 자신들의 동의 없이 개인정보를 보험회사에 제공했다"고 주장하며 홈플러스를 상대로 개인정보 보호법 등에 따른 손해배상을 청구한 소송의 상고심(2018다262103)에서 이같이 판시, 원고들 중 홈플러스의 개인정보 제공이 증명된 4명의 청구만 받아들여 이들 4명에게 각 위자료 10만원씩을 지급하라고 판결하고, 나머지 279명의 청구는 기각한 원심을 확정했다.
대법원은 "원심은, 개인정보처리자가 「개인정보 보호법」 위반 행위를 하였다는 사실에 관한 증명책임을 사실상의 추정 또는 간접반증이론에 따라 전환하거나 완화하여야 한다는 취지의 원고들 주장을 배척한 다음, 사전필터링을 위한 회원정보 불법제공과 관련하여 기소된 최종 개인정보 건수는 약 443만건으로 전체 FMC 회원 863만명의 50% 남짓인 점, 이 부분 원고들과 동일한 상황에 있는 다른 사건의 원고들은 피고의 협조 아래 수사기록 등을 통해 자신들의 개인정보 제공 내역을 확인 · 특정할 수 있었던 점 등에 비추어 원고들의 개인정보가 사전필터링을 위해 보험회사들에 제공되었음을 인정할 증거가 없다고 판단하였다"며 "원고들의 개인정보가 보험회사에 제공되었다는 사실에 관한 구체적 · 개별적인 증명이 없는 이상 피고의 「개인정보 보호법」 위반행위를 인정할 수 없다고 본 원심의 판단은 정당하고, 거기에 증명책임과 사실상의 추정에 관한 법리를 오해한 잘못이 없다"고 판시했다.
홈플러스는 위탁업체 상담원을 통해 홈플러스의 FMC 회원 중 가입과정에서 개인정보 제3자 제공에 동의하지 않은 고객(미동의 FMC 회원)을 상대로 제3자 제공 동의 여부를 확인한 후, 제3자 제공에 동의한 고객들의 개인정보 데이터베이스를 라이나생명보험과 신한생명보험에 판매해 왔다. 라이나생명과 신한생명은 홈플러스로부터 제공받은 고객 정보를 분석하여 그중 보험상품 설명을 위한 전화 받기를 원하지 않는 고객, 이미 보험계약을 체결한 고객, 최근에 텔레마케팅 통화를 한 적이 있는 고객 등을 걸러내는 이른바 '필터링 작업'을 수행한 후, 남은 고객들에 대해서만 홈플러스에게 수수료를 지급하고 그들을 대상으로 보험 텔레마케팅 영업을 했다.
그런데 라이나생명과 신한생명에 제공한 개인정보 데이터베이스 중 라이나생명과 신한생명의 필터링을 거치고 남은 유효 데이터베이스의 비율이 점차 줄어들어 개인정보 판매의 수익성이 악화되자, 홈플러스는 미동의 FMC 회원으로부터 제3자 제공 동의를 받기 전에 그들의 개인정보 데이터베이스를 라이나생명과 신한생명에 건네주어 라이나생명과 신한생명으로 하여금 종전에 제3자 제공 동의를 받은 개인정보 데이터베이스에 대해 시행하던 필터링 작업을 미리 시행하는 이른바 '사전필터링'을 하도록 했다. 이에 미동의 FMC 회원인 원고들이 홈플러스의 사전필터링을 위한 회원정보 제공이 「개인정보 보호법」 등을 위반했다고 주장하며 소송을 냈다.
법무법인 상록과 법무법인 원곡이 상고심에서 원고들을 대리했다. 홈플러스는 김앤장이 대리했다.
리걸타임즈 김덕성 기자(dsconf@legaltimes.co.kr)
