홈플러스 '1㎜ 깨알고지' 개인정보 장사... 대법 "4명만 배상 인정"

입력
2024.05.17 18:55
6면
깨알고지 후 개인정보 무단으로 넘겨
"위법 행위 증명, 소비자 몫" 첫 판시

'1㎜ 깨알고지' 후 경품행사로 입수한 고객의 개인정보를 보험사에 팔아 거액의 수익을 올린 홈플러스가 일부 소비자에게 손해를 배상해야 한다는 판결이 확정됐다. 다만 대법원은 위법 행위를 입증할 책임이 소비자에게 있다고 봐 대다수 청구인은 배상을 받지 못했다.

대법원 2부(주심 신숙희 대법관)는 강모씨 등 소비자 283명이 홈플러스 주식회사를 상대로 낸 손해배상 청구 소송에서 17일 상고를 기각하고 원고 일부 승소한 원심 판결을 확정했다.

홈플러스는 2011~2014년 경품행사를 통해 수집한 개인정보 712만 건을 148억 원을 받고 보험사 7곳에 판매했다. 패밀리카드 회원을 모집한다며 얻은 개인정보 1,694만 건을 보험사 2곳에 팔아 83억 원을 취득하기도 했다. 당시 홈플러스는 개인정보 제공 동의에 대한 설명을 1㎜ 크기의 작은 글씨로 고지해, 이른바 깨알고지 논란이 일었다.

쟁점은 홈플러스에서 보험사로 개인정보가 넘어간 것을 어떻게 증명하느냐였다. 소비자들은 홈플러스가 경품행사 등을 통해 모은 개인정보를 보험사에 넘겨 선별작업을 하게 하고, 보험사가 보험에 가입하지 않은 고객을 상대로 제3자 정보 동의를 받아 피해자가 더 늘었다고 주장했다.

1심에선 개인정보 제공과 관련한 증명 책임이 업체 측에 있다고 봤지만, 2심 판단은 달랐다. 2심 재판부는 입증 책임이 소비자에게 있다며 배상 대상자를 줄였다.

대법원도 개인정보가 유출된 사실을 소비자가 증명하는 게 맞는다고 판단했다. 개인정보보호법에도 개인정보처리자(홈플러스)가 고의나 과실로 정보주체(소비자)의 손해를 발생시킬 경우 배상 책임이 있지만, 개인정보처리자의 법 위반 사실은 소비자가 입증하도록 돼 있다. 결과적으로 원고 4명에 대해서만 배상 책임을 인정했다.

대법원은 "개인정보처리자의 고의나 과실을 증명하는 것이 곤란한 점을 감안해 증명책임을 처리자에 전환하는 것일 뿐"이라면서 "개인정보처리자가 법을 위반했다는 사실 자체는 정보 주체가 주장·증명해야 한다"고 해석했다. 이 때문에 개인정보가 제공됐다는 사실을 증명하지 못한 소비자들에게 배상하지 않아도 된다는 판단은 유지됐다. 대법원 관계자는 "개인정보보호법 위반 행위를 했다는 사실 자체는 정보 주체가 주장 및 증명해야 한다는 점을 최초로 판시한 사례"라고 설명했다. 이날 대법원 2부(주심 김상환 대법관)도 쟁점이 같은 홈플러스의 개인정보 판매 사건을 심리했고, 동일한 결론을 내렸다.

앞서 도성환 전 홈플러스 사장을 비롯한 전·현직 임원 6명은 개인정보보호법 위반 등 혐의로 형사처벌을 받았다. 2019년 도 전 사장에게는 징역 10개월에 집행유예 2년이, 법인에는 벌금 7,500만 원이 확정됐다.

이근아 기자
세상을 보는 균형, 한국일보 Copyright © Hankookilbo