[판례로 보는 세상] ​동의 없는 위치정보 수집 시 손해배상책임의 판단 기준은?

대법원 2018. 5. 30. 선고 2015다251539 판결

  • 프린트
  • 글씨작게
  • 글씨크게
1.들어가며

2011년 4월 아이폰이 사용자의 위치정보를 무단으로 수집한다는 의혹이 전세계적으로 언론보도 되면서 사생활 침해 여부가 논란이 되었다.

2011년 7월 방송통신위원회는 위치정보 불법 수집 논란을 조사하기 위해 미국 애플 본사를 방문하였고, 8월에는 애플코리아 유한회사에 대해 과태료 3백만원과 시정 명령을 내리기도 하였다. 당시 방송통신위원회의 발 빠른 대처는 2005년 1월 27일 제정되어 7월 28일 실시된 위치정보의 보호 및 이용 등에 관한 법률(이하 ‘위치정보법’) 덕분인 것으로 보인다.

위치정보법은 위치정보의 수집, 이용 또는 제공을 전반적으로 규제하는 개별 법률이다. 개인정보보호법과 다르게 개인 위치정보 뿐만 아니라 이동성 있는 물건의 위치정보, 즉 사물의 위치정보도 규제하는 특징이 있다. 2011년 당시 위치정보법은 누구든지 개인 또는 소유자의 동의를 얻지 아니하고 개인 또는 이동성 있는 물건의 위치정보를 수집, 이용 또는 제공하여서는 아니된다고 정하고, 이를 위반한 경우 형사처벌 하고 있었다. 그렇다면 동의 없는 위치정보 수집시 민사 상 손해배상 책임은 어떤 기준으로 판단을 하게 될까?

2.사실관계

가. 당사자들의 지위

피고 애플 인코포레이티드(이하 ‘애플’이라고만 함)는 미국에 소재한 외국법인으로서 아이폰 3G, 아이폰3GS, 아이폰4, 아이패드 등(이하 모두 합쳐서 ‘이 사건 기기’)를 제조하여 판매하는 다국적 기업이고, 피고 애플코리아 유한회사는 애플의 자회사로서 구 위치정보법 제5조에 따른 위치정보사업자로 허가를 받아 애플이 제작한 이 사건 기기를 국내에 판매하고 그 사후관리 등을 하고 있었다. 피고들은 이 사건 기기의 사용자가 이동통신사에 가입할 당시 사용자들로부터 위치정보 수집 및 서비스 제공 이용약관에 대한 동의를 받았고, 이 사건 기기를 사용 등록하거나 이 사건 기기 운영체제인 iOS(iPhone Operating System) 버전을 업그레이드 할 때 위치정보 수집 및 제공에 관한 내용이 포함된 아이폰 소프트웨어 사용권 계약에 대한 동의를 받았다.

원고들은 피고들로부터 이 사건 기기를 구매한 후 케이티 주식회사 등의 이동통신사와 이동통신 서비스 이용계약을 체결하고 이 사건 기기를 사용하였다.

나. 위치정보 시스템의 구축 및 서비스 제공

애플은 2008년 1월 경부터 고객들에게 위치정보 서비스를 제공하기 시작하였는데, 이 사건 기기의 iOS 1.1.3 버전부터 iOS 3.1 버전까지는 구글(Google) 등의 외부 사업자가 구축한 위치정보시스템을 이용하다가, 위치정보 서비스 수요가 증가하자 iOS 3.2 버전부터는 직접 구축한 위치정보시스템을 기반으로 위치정보 서비스를 제공하였다. 그리고 수많은 사용자로부터 이 사건 기기 자체의 위치정보를 지속해서 전송 받아 축적, 비교함으로써 위치정보시스템의 정확도를 개선하였다.

구체적으로 보면 애플은 휴대폰 기지국에 관한 정보(기지국 위치, 셀 고유번호, 기지국 신호 강도)과 와이파이 무선접속장치(Wireless Fidelity Access Point. 이하 ‘Wi-Fi AP’)에 관한 정보(무선접속장치 위치, MAC 주소, 무선접속장치 신호 강도와 속도)를 수집하였다. 그리고 수집된 각 정보에 대응하는 위도, 경도 및 고도 등을 이 사건 기기 내에 캐쉬파일 형태로 저장하고, 12시간 간격으로 Wi-Fi 연결을 통하여 애플의 서버에 전송하였다.

그리고 이 사건 기기 사용자들이 위치정보 기반 어플을 구동하면, 이 사건 기기와 가장 근접한 기지국 또는 Wi-Fi AP의 고유 정보를 무선 연결을 통하여 애플에게 전송하고, 애플은 위치정보스스템에 기초하여 전송 받은 기지국 또는 Wi-Fi AP의 고유 정보에 해당하는 위도, 경도 및 고도 등의 정보를 이 사건 기기로 전송하며, 이 사건 기기는 전송된 정보를 이용하여 현재 기기의 위치를 산정함으로써 위치정보 기반 어플이 사용자들에게 위치기반 서비스를 제공할 수 있도록 하였다.

다. 버그 발생

2010년 6월 21일 출시한 iOS 4.0이 적용된 이 사건 기기에서 버그가 발생하였다. 2010년 6월 22일부터 2011년 5월 4일 경까지 이 사건 기기 중 일부에서 (1) 사용자가 위치서비스 기능을 ‘끔’으로 설정하였음에도 이 사건 기기의 위치정보와 주변 통신기지국 등의 식별정보가 애플의 서버에 주기적으로 전송됨으로써 이 사건 기기의 위치정보를 수집하였다. (2) 사용자가 위치기반 서비스 어플리케이션을 동작시킬 경우, 위치서비스 기능을 ‘켬’으로 전환하지 않더라도 이 사건 기기가 애플의 위치정보시스템에 실시간으로 접속하여 현재 위치 정보를 계산한 뒤 기기 내 데이터베이스에 저장함으로써 사용자의 개인위치정보를 수집하였다.

한편 애플은 위치정보의 수집, 이용 및 제공 등에 관해 (1) 이동통신사 가입신청서 상 위치정보 관련 이용약관 (2) 초기 아이폰 활성화 시 소프트웨어 사용계약서 (3) 아이폰에서 위치기반 어플을 최초 구동 시 현재 위치 확인 등으로 동의를 받고 있었다.

라. 원고들의 소 제기

방송통신위원회는 2011년 8월 3일 전체회의를 개최하여 애플코리아 유한회사에 대해 사용자 동의 없이 위치정보를 수집했다며 과태료 300만원을 부과하고 시정조치 명령을 내렸다. 이후 아이폰 사용자인 원고들은 애플의 동의 없는 위치정보 수집으로 정신적 피해를 입었다고 주장하며 1인당 1백만원의 위자료를 청구하는 소송을 제기하였다.


3. 판결요지

가. 원심 : 부산고등법원 2015. 11. 5. 선고 (창원)2014나21277 등
    1심과 2심 모두 애플의 손해배상 책임은 없다고 판결하였다

나.  이 사건 판결 : 대법원 2018. 5. 30. 선고 2015다51539 등
     3심 역시 애플의 손해배상 책임은 없다고 판결하였다.

대법원은 정보주체의 동의를 얻지 아니하고 개인의 위치정보를 수집한 경우 그로 인하여 손해배상책임이 인정되는지는 위치정보 수집으로 정보주체를 식별할 가능성이 발생하였는지정보를 수집한 자가 수집된 위치 정보를 열람 등 이용하였는지위치정보가 수집된 기간이 장기간인지위치정보를 수집하게 된 경위와 그 수집한 정보를 관리해 온 실태는 어떠한지위치정보 수집으로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다는 입장을 취하고 있다(대법원 2016.9.28. 선고 2014다56652 판결 참고).

대법원은 위와 같은 법리로 볼 때 이 사건 기기로부터 전송되는 정보만으로는 특정 기기나 사용자가 누구인지 알 수 없고이 사건 기기 내 데이터베이스에 저장된 정보는 기기의 분실해킹 등이 발생하지 않는 경우 외에는 외부로 유출될 가능성이 없다는 점 사용자들은 피고들이 위치정보를 수집하여 위치서비스 제공에 이용하는 것을 충분히 할 수 있었다는 점 버그가 예외적인 상황에서 일시적으로 발생했고이는 기술의 개발 및 정착단계에서 발생한 시행착오에 불과하고위치정보나 개인위치정보를 침해하기 위한 목적은 없던 것으로 보인다는 점 버그가 존재하는 사실이 알려지자 신속하게 새로운 를 개발하여 배포하는 등 피해발생이나 확산을 막기 위한 노력을 기울인 점 수집된 위치정보나 개인위치정보는 위치정보시스템의 정확도를 높이기 위하여 사용되었을 뿐수집목적과 달리 이용되거나 제자에게 유출된 것으로 보이지 않는다는 점을 판단의 근거로 삼았다.

마. 판결의 의의

이 사건 판결은 앞서 대법원 선고 다판결개인택시 위치정보를 차량번호와 함께 실시간으로 수집 얻지 아니하고 개인의 위치정보를 수집한 경우 손해배상 책임의 판단 기준을 확인했다는 점에 이의가 있다
우리 법원은 개인정보가 무단으로 유출된 경우라 하여도 그로 인하여 곧바로 위자료로 배상할 만한 정신적 손해가 발생하였다고는 인정하지 않는 입장을 취하고 있다.

2008년 GS칼텍스 사건(자회사 직원이 고객정보를 빼내 DVD 등에 저장했지만 회수되어 유통되지는 않은 사건 임)에서도 GS의 손해배상 책임을 인정하지 않았다. 이 사건에서는 (1) 유출된 개인정보의 종류와 성격 (2) 정보주체를 식별할 가능성 (3) 제3자가 개인정보를 열람했거나 또는 앞으로 열람 가능성이 있는지 (4) 유출된 개인정보의 확산 범위 (5) 추가적인 법익 침해 가능성의 발생 여부 (6) 개인정보를 관리해 온 실태와 개인정보가 유출된 구체적인 경위 (7) 피해발생 및 확산을 방지하기 위해 취해진 조치 등 여러 사정을 종합적으로 고려하여 구체적 사전에 따라 개벌적으로 판단하여야 한다는 기준을 제시하였다(대법원 2012. 12. 26. 선고 2011다59834 판결).

한편 하나로텔레콤 사건에서는 정신적 고통을 당한 사실을 인정하여 위자료를 인정하였다이 사건에서도 개인정보가 이용자의 동의 없이 위탁업체에 제공되어 개인정보 자기결정권이 침해되었다고 하더라도 그러한 사정만으로 곧바로 그 개인에게 사회통념상 수인한도를 초과하여 금전으로 위자할 만한 정신적 손해가 발생하였다고 할 수는 없다고 보았다다만 개인정보를 넘겨 받은 업체들의 텔레마케팅 실시 등으로 인해 원고들에게 수인한도를 넘는 정신적 고통이 발생하였다고 인정하여 만원 또는 만원의 손해배상 책임을 인정하였다(서울고등법원 2012. 9. 5. 선고 2011나75166 판결).

바. 나가며

위치정보는 노출될 경우 사생활 비밀 등이 침해될 우려가 크기 때문에 일반 개인정보에 비해 규제의 필요가 있다반면에 위치정보를 이용한 서비스의 발전이나 긴급한 구조 상황 등에서의 활용을 위해 이용이 활성화 되어야 하는 측면도 있다.

위치정보법 시행 이후 년 월 일 개인정보 보호법이 제정되어 년 월 일부터 시행되었다우리 나라의 개인정보 법령 체계는 관련 법령이 중복 적용되는 구조를 가진다온라인 상에서는 정보통신망 이용촉진 및 정보보호에 관한 법률이 특별법으로 적용되고온라인과 오프라인에서 처리되는 모든 개인정보에 관한 일반법으로 개인정보 보호법이 적용된다위치정보법 역시 특별법에 해당된다.

온라인과 오프라인이 결합된 서비스가 계속하여 등장하는데 중복 적용되는 법률은 또 다른 규제로 적용할 우려가 있다위치정보법을 개인정보 활용을 규제하는 또 하나의 법령으로 유지하기 보다는 개인정보 보호법 등으로 규제를 통일화 하는 방안도 필요하다고 본다특히 개인의 위치정보가 아닌 사물의 위치정보는 개인정보와는 다른 성격을 가지므로 규제 보다는 이용을 활성화는 방안으로 이분화 해서 접근하는 방식을 고려할 필요가 있지 않을까 한다.
 

[사진=서승원 변호사 제공]