‘1㎜ 깨알고지’ 후 개인정보 넘긴 홈플러스…대법 “4명만 배상 인정”

서울 서초구 대법원 청사 전경. 뉴스1

경품행사를 통해 입수한 고객 정보를 보험사에 팔아넘긴 홈플러스가 고객들에게 일부 손해를 배상해야 한다는 법원 판단이 나왔다. 다만 보험사로 개인정보를 유출했다는 사실을 제대로 증명하지 못한 고객들의 배상 청구는 받아들여지지 않았다.

17일 대법원 2부(주심 신숙희 대법관)는 김모 씨 등 283명이 홈플러스 주식회사를 상대로 낸 손해배상 청구 상고심에서 원고 일부 승소한 원심을 확정했다. 이에 따라 고객 4명이 각 5만~30만 원씩 손해배상을 받게 됐다.

홈플러스는 2011년부터 2014년까지 경품행사를 통해 수집한 712만 건의 개인정보를 148억 원을 받고 보험사 7곳에 판매했다. 또 ‘패밀리카드’ 회원을 모집한다며 개인정보 1694만 건을 수집한 뒤 보험사 2곳에 83억여 원을 받고 팔았다.

홈플러스는 경품행사에 응모한 고객들에게 이름, 전화번호, 생년월일, 자녀 수, 부모 동거 여부 등을 적게 했다. 응모권 뒷면과 인터넷 응모 화면에는 개인정보 활용 내용을 1㎜ 글자 크기로 넣었다.

홈플러스가 경품행사와 패밀리카드 가입을 통해 모은 개인정보를 위탁업체에 넘기면, 위탁업체가 고객들에게 전화해 개인정보 제3자 제공을 동의하는지 물었다. 동의하는 고객들의 명단은 보험사에 넘겨졌다. 보험사는 그중 이미 보험에 가입한 고객들을 제외하는 등 ‘선별 작업’을 거쳐 남은 고객들의 개인정보에 대해서만 홈플러스에 수수료를 지급했다.

그런데 이런 선별 작업을 거치면 남는 고객이 거의 없어 수익성이 크지 않자, 홈플러스는 순서를 뒤바꿔 보험사에 먼저 개인정보 제3자 제공 동의를 하지 않은 고객들을 대상으로 ‘선별 작업’을 하자고 제안했다. 이는 보험사가 선별 작업으로 수수료를 받을 수 있는 고객 정보를 걸러주면, 홈플러스가 이 고객들을 대상으로 개인정보 제3자 제공 동의를 받는 식이다.

즉, 개인정보 제공에 동의하지 않은 고객들의 명단도 한꺼번에 보험사에 넘어간 것이다. 이 같은 범죄는 2015년 개인정보 범죄 정부합동수사단의 수사로 밝혀졌다.

소비자 425명은 홈플러스가 개인정보를 팔아 손해를 봤다며 1인당 50만∼70만 원의 배상을 요구하는 소송을 냈다. 개인정보보호법에 따라 정보 주체는 개인정보 처리자의 위법 행위로 손해를 입으면 손해배상을 청구할 수 있다. 개인정보 처리자는 고의·과실이 없음을 증명하지 못하면 배상 책임을 지게 된다.

재판의 쟁점은 홈플러스에서 보험사로 개인정보가 넘어간 사실을 누가 증명할지였다. 일부를 제외한 대부분의 소비자는 개인정보 유출 사실을 명확하게 증명하지 못했다.

1심 법원은 ‘개인정보를 제공하지 않았다’는 점을 증명할 책임이 홈플러스에 있다고 보고, 손해배상을 명령했다. 응모 사실이 명확히 확인되고 제3자 제공에 동의하지 않은 284명으로 대상자를 한정했다.

반면 2심은 ‘개인정보가 제공됐다’는 점을 소비자들이 증명해야 한다고 보고, 이를 증명하지 못한 소비자들에게는 홈플러스가 배상할 필요가 없다고 판결했다. 이에 따라 손해배상 대상자를 152명만 인정했다.

대법원에선 손해배상 인정 대상자가 더 줄었다. 대법은 “4명의 청구 부분에 관해서는 ‘위자료로 배상할 만한 정신적 손해가 발생했다’고 판단한다”며 “나머지 원고들의 개인정보가 보험사에 제공됐다는 사실에 관한 구체적·개별적 증명이 없는 이상 피고의 개인정보 보호법 위반행위를 인정할 수 없다”고 판결했다. 이에 따라 4명만 각 5만~30만 원씩 배상을 받게 됐다.

대법은 “개인정보 처리자가 개인정보 보호법을 위반한 행위를 했다는 사실 자체는 정보 주체가 주장·증명해야 한다”고 밝혔다.

이혜원 동아닷컴 기자 hyewon@donga.com

ⓒ 동아일보 & donga.com, 무단 전재 및 재배포 금지