본문 바로가기

판례

정보주체의 동의를 얻지 아니하고 개인의 위치정보를 수집한 경우, 손해배상책임이 인정되는지 판단하는 기준

아래 판례는 애플코리아의 위치정보수집과 관련된 대법원 판례입니다. 판례의 취지는 정보주체의 동의를 얻지 아니하고 개인의 위치정보를 수집했다고 하더라도 곧바로 손해배상책임이 인정되는 것은 아니라 여러 가지 요건이 필요하다는 것인데, 자세한 내용은 판례를 참고하시기 바랍니다.

대법원 2018. 5. 30. 선고 2015다251539, 251546, 251553, 251560, 251577 판결

[손해배상(기)]정보주체의 동의 없는 위치정보 수집에 따른 손해배상을 구하는 사건[공2018하,1174]

【판시사항】

 

[1] 정보주체의 동의를 얻지 아니하고 개인의 위치정보를 수집한 경우, 손해배상책임이 인정되는지 판단하는 기준

 

 

[2] 갑 외국법인은 휴대폰 등을 제조하여 판매하는 다국적 기업이고, 을 유한회사는 갑 법인이 제작한 휴대폰 등을 국내에 판매하고 사후관리 등을 하는 갑 법인의 자회사인데, 갑 법인이 출시한 휴대폰 등에서 사용자가 위치서비스 기능을 “끔”으로 설정하였음에도 갑 법인이 휴대폰 등의 위치정보와 사용자의 개인위치정보를 수집하는 버그가 발생하자, 갑 법인과 을 회사로부터 휴대폰 등을 구매한 후 이를 사용하는 병 등이 손해배상을 구한 사안에서, 갑 법인과 을 회사의 위치정보 또는 개인위치정보의 수집으로 인하여 병 등에 대한 손해배상책임이 인정된다고 보기 어렵다고 한 사례

 

【판결요지】

 

[1] 정보주체의 동의를 얻지 아니하고 개인의 위치정보를 수집한 경우, 그로 인하여 손해배상책임이 인정되는지는 위치정보 수집으로 정보주체를 식별할 가능성이 발생하였는지, 정보를 수집한 자가 수집된 위치정보를 열람 등 이용하였는지, 위치정보가 수집된 기간이 장기간인지, 위치정보를 수집하게 된 경위와 그 수집한 정보를 관리해 온 실태는 어떠한지, 위치정보 수집으로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다.

 

 

[2] 갑 외국법인은 휴대폰 등을 제조하여 판매하는 다국적 기업이고, 을 유한회사는 갑 법인이 제작한 휴대폰 등을 국내에 판매하고 사후관리 등을 하는 갑 법인의 자회사인데, 갑 법인이 출시한 휴대폰 등에서 사용자가 위치서비스 기능을 “끔”으로 설정하였음에도 갑 법인이 휴대폰 등의 위치정보와 사용자의 개인위치정보를 수집하는 버그가 발생하자, 갑 법인과 을 회사로부터 휴대폰 등을 구매한 후 이를 사용하는 병 등이 손해배상을 구한 사안에서, 휴대폰 등으로부터 전송되는 정보만으로는 해당 통신기지국 등의 식별정보나 공인 아이피(IP)만 알 수 있을 뿐, 특정 기기나 사용자가 누구인지를 알 수는 없고, 휴대폰 등의 데이터베이스에 저장된 정보는 기기의 분실·도난·해킹 등이 발생하는 경우 외에는 외부로 유출될 가능성이 없는 점, 휴대폰 등의 사용자들은 갑 법인과 을 회사가 위치정보를 수집하여 위치서비스제공에 이용하는 것을 충분히 알 수 있었던 점, 위 버그가 갑 법인과 을 회사가 휴대폰 등의 위치정보나 사용자의 개인위치정보를 침해하기 위한 목적으로 이루어진 것으로 보이지 않는 점, 갑 법인은 버그가 존재한다는 사실이 알려지자 신속하게 새로운 운영체계를 개발하여 배포하는 등 그로 인한 피해 발생이나 확산을 막기 위해 노력한 점, 수집된 위치정보나 개인위치정보가 수집목적과 달리 이용되거나 제3자에게 유출된 것으로 보이지 않는 점에 비추어, 갑 법인과 을 회사의 위치정보 또는 개인위치정보의 수집으로 인하여 병 등에 대한 손해배상책임이 인정된다고 보기 어렵다고 한 사례.

 

【참조조문】

[1] 위치정보의 보호 및 이용 등에 관한 법률 제2조 제1호제2호구 위치정보의 보호 및 이용 등에 관한 법률(2012. 5. 14. 법률 제11423호로 개정되기 전의 것) 제15조 제1항제18조 제1항제39조제40조 [2] 위치정보의 보호 및 이용 등에 관한 법률 제2조 제1호제2호구 위치정보의 보호 및 이용 등에 관한 법률(2012. 5. 14. 법률 제11423호로 개정되기 전의 것) 제15조 제1항제18조 제1항제39조제40조

【참조판례】

[1] 대법원 2016. 9. 28. 선고 2014다56652 판결(공2016하, 1585)

【전 문】

【원고, 상고인】 별지 원고들 명단 기재와 같다. (소송대리인 법무법인 미래로 담당변호사 김형석 외 3인)

【피고, 피상고인】 애플코리아 유한회사 외 1인 (소송대리인 변호사 손지열 외 5인)

【원심판결】 부산고법 2015. 11. 5. 선고 (창원)2014나21277, (창원)21284, (창원)21291, (창원)21307, (창원)21314 판결

【주 문】

상고를 모두 기각한다. 상고비용은 원고들이 부담한다.

【이 유】

상고이유(상고이유서 제출기간이 지난 후에 제출된 참고서면 기재는 상고이유를 보충하는 범위 내에서)를 판단한다.

1. 상고이유 제1점에 관하여

가. ‘위치정보’는 이동성이 있는 물건 또는 개인이 특정한 시간에 존재하거나 존재하였던 장소에 관한 정보로서 「전기통신사업법」 제2조 제2호 및 제3호에 따른 전기통신설비 및 전기통신회선설비를 이용하여 수집된 것을 말한다(위치정보의 보호 및 이용 등에 관한 법률 제2조 제1호).

‘개인위치정보’는 특정 개인이 특정한 시간에 존재하거나 존재하였던 장소에 관한 정보로서 위치정보만으로는 특정 개인의 위치를 알 수 없는 경우에도 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알 수 있는 것을 포함한다(같은 법 제2조 제1호제2호).

구 위치정보의 보호 및 이용 등에 관한 법률(2012. 5. 14. 법률 제11423호로 개정되기 전의 것, 이하 ‘구 위치정보법’이라 한다)은 누구든지 개인 또는 소유자의 동의를 얻지 아니하고 당해 개인 또는 이동성이 있는 물건의 위치정보를 수집하여서는 아니 되고, 위치정보사업자 역시 개인위치정보를 수집하고자 하는 경우에는 개인위치정보주체의 동의를 얻도록 규정하고, 이를 위반한 경우 형사처벌하고 있다(제15조 제1항제18조 제1항제39조제40조 참조).

정보주체의 동의를 얻지 아니하고 개인의 위치정보를 수집한 경우, 그로 인하여 손해배상책임이 인정되는지는 위치정보 수집으로 정보주체를 식별할 가능성이 발생하였는지, 정보를 수집한 자가 수집된 위치정보를 열람 등 이용하였는지, 위치정보가 수집된 기간이 장기간인지, 위치정보를 수집하게 된 경위와 그 수집한 정보를 관리해 온 실태는 어떠한지, 위치정보 수집으로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다(대법원 2016. 9. 28. 선고 2014다56652 판결 참조).

나. 원심이 확정한 사실관계는 다음과 같다.

1) 피고 애플 인코포레이티드(이하 ‘피고 애플’이라고만 한다)는 아이폰(iPhone) 3G, 아이폰 3GS, 아이폰 4, 아이패드(iPad) Wi-Fi+3G 등(이하 모두 합쳐서 ‘이 사건 기기’라고 한다)을 제조하여 판매하는 다국적 기업이다. 피고 애플코리아 유한회사는 피고 애플의 자회사로서, 구 위치정보법 제5조에 따른 위치정보사업자로 허가를 받아 피고 애플이 제작한 이 사건 기기를 국내에 판매하고 그 사후관리 등을 하고 있다.

2) 피고들은 이 사건 기기의 사용자가 이동통신사에 가입할 당시 사용자들로부터 위치정보 수집 및 서비스 제공 이용약관에 대한 동의를 받았고, 이 사건 기기를 사용등록하거나 이 사건 기기 운영체제인 iOS(iPhone Operating System) 버전을 업그레이드할 때 위치정보 수집 및 제공에 관한 내용이 포함된 아이폰 소프트웨어 사용권 계약에 대한 동의를 받았다.

3) 원고들은 피고들로부터 이 사건 기기를 구매한 후, 케이티 주식회사 또는 에스케이텔레콤 주식회사와 사이에 이동통신 등에 관한 서비스 이용계약을 체결하고, 이 사건 기기를 사용하였거나 사용하고 있다.

4) 피고 애플은 위치정보시스템을 구축하고 사용자의 요청이 있을 경우 위치정보서비스를 제공하는데, 수많은 사용자로부터 이 사건 기기 자체의 위치정보를 지속해서 전송받아 축적, 비교함으로써 위치정보시스템의 정확도를 개선하였다.

5) 피고 애플이 2010. 6. 21. 출시한 iOS 4.0이 적용된 이 사건 기기에서 아래와 같은 버그가 발생하였다.

① 사용자가 위치서비스 기능을 “끔”으로 설정하였음에도 이 사건 기기의 위치정보와 주변 통신기지국 등의 식별정보가 피고 애플의 서버에 주기적으로 전송됨으로써 이 사건 기기의 위치정보를 수집하였다.

② 사용자가 위치기반서비스 애플리케이션을 동작시킬 경우, 위치서비스 기능을 “켬”으로 전환하지 않더라도 이 사건 기기가 피고 애플의 위치정보시스템에 실시간으로 접속하여 현재 위치정보를 계산한 뒤 기기 내 데이터베이스(consolidated.db)에 저장함으로써 사용자의 개인위치정보를 수집하였다.

6) 이 사건 기기의 위치정보를 수집하는 버그는 피고 애플이 2010. 9. 8. iOS 4.1을 배포하여 이 사건 기기에 적용될 때까지, 사용자의 개인위치정보를 수집하는 버그는 2011. 5. 4. iOS 4.3.3.을 배포하여 이 사건 기기에 적용될 때까지 계속되었다.

다. 위와 같은 사실관계를 앞서 본 법리에 비추어 살펴보면, 이 사건 위치정보 또는 개인위치정보의 수집으로 인하여 원고들에 대한 손해배상책임이 인정된다고 보기는 어렵다. 그 이유는 다음과 같다.

1) 이 사건 기기로부터 전송되는 정보만으로는 해당 통신기지국 등의 식별정보나 공인 아이피(IP)만 알 수 있을 뿐, 특정 기기나 사용자가 누구인지를 알 수는 없고, 이 사건 기기 내 데이터베이스에 저장된 정보는 기기의 분실·도난·해킹 등이 발생하는 경우 외에는 외부로 유출될 가능성이 없다.

2) 이 사건 기기의 사용자들은 피고들이 위치정보를 수집하여 위치서비스제공에 이용하는 것을 충분히 알 수 있었다.

3) 위 버그는 예외적인 상황에서 일시적으로 발생하였다. 이는 위치기반서비스 기술의 개발 및 정착 단계에서 발생한 시행착오에 불과하고, 피고들이 이 사건 기기의 위치정보나 사용자의 개인위치정보를 침해하기 위한 목적으로 이루어진 것으로 보이지 않는다.

4) 피고 애플은 위 각 버그가 존재한다는 사실이 알려지자 신속하게 새로운 iOS를 개발하여 배포하는 등 그로 인한 피해 발생이나 확산을 막기 위한 노력을 기울였다.

5) 수집된 위치정보나 개인위치정보는 위치정보시스템의 정확도를 높이기 위하여 사용되었을 뿐, 수집목적과 달리 이용되거나 제3자에게 유출된 것으로 보이지 않는다.

라. 같은 취지에서 원고들에 대한 손해배상책임이 인정되지 않는다고 판단한 원심판단에 상고이유 주장과 같이 논리와 경험의 법칙을 위반하여 자유심증주의의 한계를 벗어나거나 구 위치정보법의 손해배상에 관한 법리를 오해한 위법이 없다.

2. 상고이유 제2점에 관하여

원심은 피고들이 사용자로부터 위치정보 수집 및 서비스 제공 이용약관과 위치정보 수집 및 제공에 관한 내용이 포함된 아이폰 소프트웨어 사용권 계약에 대한 동의를 받았고, 이는 개인위치정보 수집에 관하여 사전동의를 받은 것으로 봄이 타당하다고 판단하였다. 이 부분 원심의 이유 설시에 일부 적절하지 않거나 미흡한 부분이 있으나, 피고들이 개인위치정보 수집에 관하여 사전동의를 받았다는 원심의 결론은 수긍할 수 있고, 거기에 논리와 경험의 법칙을 위반하여 자유심증주의의 한계를 벗어나거나 구 위치정보법 제18조의 동의에 관한 법리를 오해한 잘못이 없다.

그리고 상고이유 제2점 중 원고들의 동의 사실이 입증되지 않았다는 취지의 주장은 결국 사실심인 원심의 증거의 취사선택이나 사실인정을 탓하는 것으로서 적법한 상고이유로 볼 수 없다.

3. 결론

그러므로 상고를 모두 기각하고 상고비용은 패소자들이 부담하도록 하여, 관여 대법관의 일치된 의견으로 주문과 같이 판결한다.

[[별 지] 원고 명단: 생략]

대법관   김재형(재판장) 김창석(주심) 조희대 민유숙