【판례해설<손해배상>】《정보주체의 동의 없이 개인 위치정보를 수집한 경우 손해배상책임(대법원 2018. 5. 30. 선고 2015다251539, 251546, 251553, 251560, 251577 판결)》
1. 사안의 요지
1) 피고 애▽ 인코포레이티드(이하 '피고 애▽'이라고만 한다)는 아▽△▼iPhone) 3G, ♡×@ 3GS, ◑♤♤ 4, ▣@×드(i□▲d) Wi-Fi+3G 등(이하 모두 합쳐서 '이 사건 기기'라고 한다)을 제조하여 판매하는 다국적 기업이다. 피고 애□□리아 유한회사는 피고 애▽의 자회사로서, 구 위치정보법 제5조에 따른 위치정보사업자로 허가를 받아 피고 애▽이 제작한 이사건 기기를 국내에 판매하고 그 사후관리 등을 하고 있다.
2) 피고들은 이 사건 기기의 사용자가 이동통신사에 가입할 당시 사용자들로부터 위치정보 수집 및 서비스 제공 이용약관에 대한 동의를 받았고, 이 사건 기기를 사용등록하거나이 사건 기기 운영체제인 iOS(iPhone Operating System) 버전을 업그레이드할 때 위치정보 수집 및 제공에 관한 내용이 포함된 아이폰 소프트웨어 사용권 계약에 대한 동의를 받았다.
3) 원고들은 피고들로부터 이 사건 기기를 구매한 후, 케이티 주식회사 또는 에스케이텔레콤 주식회사와 사이에 이동통신 등에 관한 서비스 이용계약을 체결하고, 이 사건 기기를사용하였거나 사용하고 있다.
4) 피고 애▽은 위치정보시스템을 구축하고 사용자의 요청이 있을 경우 위치정보서비스를 제공하는데, 수많은 사용자로부터 이 사건 기기 자체의 위치정보를 지속해서 전송받아축적, 비교함으로써 위치정보시스템의 정확도를 개선하였다.
5) 피고 애▽이 2010. 6. 21. 출시한 iOS 4.0이 적용된 이 사건 기기에서 아래와 같은 버그가 발생하였다.
① 사용자가 위치서비스 기능을 “끔”으로 설정하였음에도 이 사건 기기의 위치정보와 주변 통신기지국 등의 식별정보가 피고 애▽의 서버에 주기적으로 전송됨으로써 이 사건 기기의 위치정보를 수집하였다.
② 사용자가 위치기반서비스 애▽리케이션을 동작시킬 경우, 위치서비스 기능을 “켬”으로전환하지 않더라도 이 사건 기기가 피고 애▽의 위치정보시스템에 실시간으로 접속하여 현재 위치정보를 계산한 뒤 기기 내 데이터베이스(consolidated.db)에 저장함으로써 사용자의개인위치정보를 수집하였다.
6) 이 사건 기기의 위치정보를 수집하는 버그는 피고 애▽이 2010. 9. 8. iOS 4.1을 배포하여 이 사건 기기에 적용될 때까지, 사용자의 개인위치정보를 수집하는 버그는 2011. 5. 4.iOS 4.3.3.을 배포하여 이 사건 기기에 적용될 때까지 계속되었다.
2. 판시사항
[1] 정보주체의 동의를 얻지 아니하고 개인의 위치정보를 수집한 경우, 손해배상책임이 인정되는지 판단하는 기준
[2] 甲 외국법인은 휴대폰 등을 제조하여 판매하는 다국적 기업이고, 乙 유한회사는 甲 법인이 제작한 휴대폰 등을 국내에 판매하고 사후관리 등을 하는 甲 법인의 자회사인데, 甲 법인이 출시한 휴대폰 등에서 사용자가 위치서비스 기능을 “끔”으로 설정하였음에도 甲 법인이 휴대폰 등의 위치정보와 사용자의 개인위치정보를 수집하는 버그가 발생하자, 甲 법인과 乙 회사로부터 휴대폰 등을 구매한후 이를 사용하는 丙 등이 손해배상을 구한 사안에서, 甲 법인과 乙 회사의 위치정보 또는 개인위치정보의 수집으로 인하여 丙 등에 대한 손해배상책임이 인정된다고 보기 어렵다고 한 사례
3. 판결요지
[1] 정보주체의 동의를 얻지 아니하고 개인의 위치정보를 수집한 경우, 그로 인하여 손해배상책임이 인정되는지는 위치정보 수집으로 정보주체를 식별할 가능성이 발생하였는지, 정보를 수집한 자가 수집된 위치정보를 열람 등 이용하였는지, 위치정보가 수집된 기간이 장기간인지, 위치정보를 수집하게 된 경위와 그 수집한 정보를 관리해 온실태는 어떠한지, 위치정보 수집으로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다(대법원 2016. 9. 28. 선고 2014다56652 판결 참조).
[2] 甲 외국법인은 휴대폰 등을 제조하여 판매하는 다국적 기업이고, 乙 유한회사는 甲 법인이 제작한 휴대폰 등을 국내에 판매하고 사후관리 등을 하는 甲 법인의 자회사인데, 甲 법인이 출시한 휴대폰 등에서 사용자가 위치서비스 기능을 “끔”으로 설정하였음에도 甲 법인이 휴대폰 등의 위치정보와 사용자의 개인위치정보를 수집하는 버그가 발생하자, 甲 법인과 乙 회사로부터 휴대폰 등을 구매한 후 이를 사용하는 丙 등이손해배상을 구한 사안에서, 휴대폰 등으로부터 전송되는 정보만으로는 해당 통신기지국 등의 식별정보나 공인 아이피(IP)만 알 수 있을 뿐, 특정 기기나 사용자가 누구인지를 알 수는 없고, 휴대폰 등의 데이터베이스에 저장된 정보는 기기의 분실⋅도난⋅해킹 등이 발생하는 경우 외에는 외부로 유출될 가능성이 없는 점, 휴대폰 등의 사용자들은 甲 법인과 乙 회사가 위치정보를 수집하여 위치서비스제공에 이용하는 것을 충분히 알 수 있었던 점, 위 버그가 甲 법인과 乙 회사가 휴대폰 등의 위치정보나 사용자의 개인위치정보를 침해하기 위한 목적으로 이루어진 것으로 보이지 않는 점, 甲 법인은 버그가 존재한다는 사실이 알려지자 신속하게 새로운 운영체계를 개발하여 배포하는 등 그로 인한 피해 발생이나 확산을 막기 위해 노력한 점, 수집된 위치정보나 개인위치정보가 수집목적과 달리 이용되거나 제3자에게 유출된 것으로 보이지 않는 점에 비추어, 甲 법인과 乙 회사의 위치정보 또는 개인위치정보의 수집으로 인하여 丙등에 대한 손해배상책임이 인정된다고 보기 어렵다고 한 사례.
4. 판례 해설
2011년 아이폰 사용자들이 자신들의 위치정보를 무단 수집한 애플을 상대로 민사소송을 냈지만 7년의 소송전 끝에 최종 패소한 사건이다.
이 사건 위치정보 또는 개인위치정보의 수집으로 인하여 원고들에 대한 손해배상책임이 인정된다고 보기는 어렵다.
그 이유는 다음과 같다.
1) 이 사건 기기로부터 전송되는 정보만으로는 해당 통신기지국 등의 식별정보나 공인아이피(IP)만 알 수 있을 뿐, 특정 기기나 사용자가 누구인지를 알 수는 없고, 이 사건 기기내 데이터베이스에 저장된 정보는 기기의 분실․도난․해킹 등이 발생하는 경우 외에는 외부로 유출될 가능성이 없다.
2) 이 사건 기기의 사용자들은 피고들이 위치정보를 수집하여 위치서비스제공에 이용하는 것을 충분히 알 수 있었다.
3) 위 버그는 예외적인 상황에서 일시적으로 발생하였다.
이는 위치기반서비스 기술의 개발 및 정착 단계에서 발생한 시행착오에 불과하고, 피고들이 이 사건 기기의 위치정보나사용자의 개인위치정보를 침해하기 위한 목적으로 이루어진 것으로 보이지 않는다.
4) 피고 애▽은 위 각 버그가 존재한다는 사실이 알려지자 신속하게 새로운 iOS를 개발하여 배포하는 등 그로 인한 피해 발생이나 확산을 막기 위한 노력을 기울였다.
5) 수집된 위치정보나 개인위치정보는 위치정보시스템의 정확도를 높이기 위하여 사용되었을 뿐, 수집목적과 달리 이용되거나 제3자에게 유출된 것으로 보이지 않는다.
