개인정보 유출 사건은 최근에도 빈번하게 발생하고 있는데, 특히 2014년에 1분기에는 KB국민카드 등 카드사 개인정보 유출 사건을 시작으로, KT, KB국민카드 2차 유출, 공공기관 채용과정 등 대형 개인정보 유출 사건이 발생하였다. 또한 신용평가업체인 코리아크레딧뷰로(KCB)의 박모(39)차장이 KB국민카드 5천300만명, 롯데카드 2천600만명, NH농협카드 2천500만명 등 1억400만여명의 고객 개인정보를 이동식저장장치(USB)에 불법 복사하는 방법으로 유출하였다. 유출된 개인정보에는 고객의 이름, 휴대전화번호, 직장명, 주소 등을 비롯해 신용카드 사용과 관련한 신용정보도 일부 포함되어 있어, 외부로 유통됐다면 카드복제, 금융사기 등 2차 피해의 우려 또한 제기되고 있다.
2. 기존 「개인정보 보호법」에 따른 손해배상과 문제점
「개인정보 보호법」은 개인정보 유출 등으로 인한 손해에 대하여 개인정보처리자에게 손해를 배상하도록 하고 있다. 즉, 이 법 제39조 제1항은 “정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다.”고 규정하고, 그 단서에서 “이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.”라고 하여 고의․과실에 대한 입증책임을 개인정보 유출로 인한 피해자가 아닌 개인정보처리자에게 부담시키고 있다. 또한 개인정보 보호법은 의무 준수와 관련하여 안전조치의무, 개인정보 처리방침의 수립 및 공개, 개인정보책임자의 지정, 개인정보파일의 등록 및 공개, 개인정보영향평가, 개인정보 유출 통지 등을 규정하고 있다.
한편 제39조 제2항은 “개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리하지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상책임을 감경받을 수 있다.”고 하여 개인정보처리자에 대한 손해 감경을 규정하고 있다.
한편 「개인정보 보호법」은 각 개인정보처리자 등에 대하여 고의․과실이 없음을 입증하도록 하여 입증책임을 전환하고 있다. 따라서 개인정보 유출 등으로 인하여 피해자가 손해배상을 받기 용이한 것으로 보이지만, 고의․과실 이외에 손해와 인과관계에 대한 입증책임은 여전히 피해자가 부담하여야 하므로, 실제 배상을 받는 것이 용이한 것은 아니다. 더구나 기존 「개인정보 보호법」 제39조 제2항은 개인정보처리자에 대한 손해배상의 감경을 규정하고 있는데, 개인정보보호법에 따라 개인정보처리자 등이 안전조치의무, 개인정보 처리방침의 수립 및 공개, 개인정보책임자의 지정, 개인정보파일의 등록 및 공개, 개인정보영향평가, 개인정보 유출 통지 등의 기준을 준수함은 물론 상당한 주의와 감독을 게을리하지 아니할 것으로 보이기 때문에 손해배상의 감경이 예상된다. 결국 개인정보 유출의 피해자는 「개인정보 보호법」에 따라 손해와 인과관계에 대하여 입증하여야 하며, 손해를 입증하였다 하더라도 개인정보처리자는 개인정보보호법에 따라 손해배상을 감경받을 수 있는바, 개인정보 유출에 따른 손해배상을 받기가 상당히 곤란하다.
3. 기존 개인정보 유출 사건에 대한 판례
개인정보의 유출 또는 침해에 대해 불법행위로 인한 손해배상을 청구하기 위해서는 개인정보보호의무, 그에 대한 위반과 그로 인한 손해의 발생 및 위 위반과 손해 사이의 인과관계를 입증하여야 한다.
개인정보는 누군가에 의해 창조된 권리의 객체라기보다는, 권리주체인 개인의 인격적 표상의 성격이 강한 권리로서 재산적 이익도 부수적으로 보호되는 특수한 인격권이라고 할 수 있다.
우리나라 개인정보 침해 관련 소송의 경우 원고는 대부분 개인정보가 인격권의 일종임을 전제로 정신적 손해에 대한 배상을 구하고 있으며, 법원도 위자료의 지급을 명령하고 있다.
인격권의 일종인 개인정보가 유출 또는 침해된 경우, 그 정신적 손해에 대한 배상에 관하여, 개인정보의 유출이나 침해 등의 위법한 행위로 인하여 정보주체에게 정신적․재산적 손해를 입힌 경우에는 개인정보에 관한 인격권이 침해된 것으로 볼 수 있고, 이 경우 피해자는 손해배상을 청구할 수 있는바, 법원은 적절한 수준의 손해배상을 인정하여야 한다고 주장하는 분이 있다.
나아가 개인정보가 침해된 경우 정보주체가 누군가에 의해 자신의 개인정보가 훼손, 도용되기 전단계인 개인정보의 유출만으로도 정보주체에게 자신의 개인정보가 누군가에 의해 악용될지도 모른다는 불안감으로 인한 정신적 손해를 발생시킨다고 주장하는 분도 있다.
그런데 인격권의 일종인 개인정보가 침해되었다고 하여 논리 필연적으로 정신적 손해가 바로 발생하는 것은 아니며 개인정보권이 침해되었지만 정신적 손해는 발생되지 않을 수도 있다.
그러나 우리 법원은 개인정보의 침해 또는 유출로 인한 불법행위책임의 성립과 관련하여 정신적 손해의 발생과 배상을 상대적으로 관대하게 인정하고 있다. 즉 이른바 “리니지 Ⅱ 개인정보유출 사건”
에서 법원은 게임사용자의 ID와 비밀번호도 이용자들의 개인정보에 해당하고 게임사업자의 과실에 의해 그 개인정보가 유출되었다면 그 개인정보 유출로 인한 경제적 손실이 발생하지 않았다 하더라도 사업자는 피해자에게 정신적 손해에 대한 위자료를 지급하여야 한다고 하면서 1인당 위자료 액수를 50만원으로 산정하였다.
또한 이른바 국민은행 사건에서도 법원은 정신적 손해를 이유로 위자료 배상을 판결하였다. 이 사건은 복권서비스 이용계약을 체결한 고객 중 일부에 대한 서비스 안내메일을 발송하는 과정에서 원고들을 포함한 32,277명의 성명, 주민등록번호, 이메일 주소, 최근접속일자가 수록된 텍스트 파일이 이메일 첨부파일란에 첨부되어 발송된 결과 고객정보가 유출되었다.
이 사건에서 피고인 국민은행은 위 이메일을 통해 (다른 사람의) 개인정보를 받은 고객들이 다시 이를 유출할 가능성이 희박하고, 실제로 그 정보가 유출되어 인적 사항이 실제로 도용되었다는 점도 드러나지 않았으며, 개인정보의 유출로 스팸메일이 증가하더라도 대부분의 매일 시스템이 스팸메일 제한 장치를 두고 있어 구체적인 피해가 있다고 보기 어렵다는 점을 들어 구체적인 정신적인 손해가 발생하지 않았다고 주장하였다. 그러나 법원은 국민은행이 원고들의 개인정보가 유출되지 않도록 할 관리상의 주의의무를 위반하였고, 피고의 주장과 같은 사정은 위자료 액수의 산정과정에 참작할 요소에 불과한 것일 뿐이며 정신적 손해가 발생하지 아니하였다고 할 수 없으므로, 국민은행은 개인정보의 유출로 인한 원고들의 정신적 고통에 대한 손해배상으로써 위자료 지급의무를 부담한다고 판시하였다. 아울러 이 사건에서 법원은 피고 위 국민은행으로 하여금 성명, 주민등록번호, 이메일 주소의 정보가 노출된 피해자들에 대하여는 각 100,000원의 위자료의 지급을, 성명과 이메일 주소의 정보만 노출된 피해자들에 대하여는 각 70,000원의 위자료 지급을 명하였다.
아울러 법원은 이른바 엘지전자 입사지원사이트 정보 유출 사건
에서, 피고 엘지 전자는 입사지원을 위하여 등록한 정보를 스스로 유출하지 않아야 할 뿐만 아니라, 제3자에 의한 침해나 유출에 대비하여 충분한 보안조치를 다함으로써 이를 방지하여야 할 의무가 있음에도 불구하고 이를 방치함으로써 원고들의 등록정보가 열람되도록 하여 위 주의의무를 위반하였다고 하면서, 입사지원 관련 정보를 열람당한 원고에 대하여, 입사지원을 위하여 등록한 정보가 열람 당함으로써 정신적 고통을 받았을 것임을 경험칙상 인정할 수 있으므로 피고인 엘지전자는 불법행위책임으로서 위 원고들의 정신적 고통을 금전으로나마 위자할 의무가 있다고 판시하였다.
한편 대법원은 주유 관련 보너스카드 회원으로 가입한 고객들의 개인정보를 데이터베이스로 구축하여 관리하면서 이를 이용하여 고객서비스센터를 운영하는 갑 주식회사로부터 고객서비스센터 운영업무 등을 위탁받아 수행하는 을 주식회사 관리팀 직원 병이, 정 등과 공모하여 무 등을 포함한 보너스카드 회원의 고객정보를 빼내어 DVD 등 저장매체에 저장된 상태로 전달 또는 복제한 후 개인정보유출사실을 언론을 통하여 보도함으로써 집단소송에 활용할 목적으로 고객정보가 저장된 저장매체를 언론관계자들에게 제공한 사안에서, 무 등에게 위자료로 배상할 만한 정신적 손해가 발생하였다고 보기는 어렵다고 판결하면서, 개인정보 유출 시 위자료로 배상할 만한 정신적 손해가 발생하였는지에 대한 판단기준을 제시하였다.
대법원은 개인정보를 처리하는 자가 수집한 개인정보를 피용자가 정보주체의 의사에 반하여 유출한 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지,
개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다고 하였다.
4. 개인정보 보호를 위한 징벌적 손해배상 제도의 도입
가. 개인정보 보호법 개정안의 제출 배경
개인정보 보호의 문제는 단순히 정보의 유출만의 문제가 아니며, 보안 관련 기술적인 측면에서 이해될 것이 아니라, 개인정보 자기결정권이라는 헌법상의 권리로서 자신의 개인정보가 어디에서 어디로 흘러가고 있는지 그 전반적인 유통의 흐름을 통제할 수 있어야 한다. 한편 지난 2014년 1월부터 대형 개인정보 유출 사건이 발생하여 국민적 공분을 일으킴에 따라 우리 사회에는 과도한 개인정보의 수집과 공유, 허술한 개인정보의 관리 또는 무분별한 마케팅, 주민번호의 문제 등 여러 가지 정보처리 전반에 대하여 검토할 시점이 되었다는 인식이 증대하였다. 이에 국회도 개인정보 보호를 위한 각종 입법안을 제안하였는데
특히 징벌적 손해배상 제도를 도입하고자 하였다.
나. 징벌적 손해배상에 대한 이해
징벌적 손해배상(punitive damage)란 영미의 보통법에서 발전된 제도로서 미국 불법행위법 제2차 리스테이트먼트에 의하면 징벌적 손해배상은 전보적(compensatory) 또는 명목상(nominal)의 배상 이외의 손해배상으로서 가해자의 지나치게 불법적인 행위(outrageous conduct)를 이유로 가해자를 처벌하고, 가해자 및 가해자와 유사한 다은 사람이 추후 유사한 행위를 하는 것을 억제(deter)하기 위하여 가해자에게 부과되는 손해배상이라고 하고 있다.
다시 말해 징벌적 손해배상
이란 “사회적으로 용인할 수 없는 행위(outrageous conduct)를 행한 자를 처벌하고 그 행위자 및 다른 자가 장래에 유사한 행위를 하는 것을 억제하기 위한 손해배상으로, 전보적(compensatory) 또는 명목상(nominal)의 손해배상이 아닌 것”을 말한다.
징벌적 손해배상은 보통법상 판례에 의해 인정된 것이므로 전통적으로 배심원에 의해 산정된다.
미국에 있어서 손해배상법상의 배상범위도 우리와 마찬가지로 전보배상(compensatory damages)이 원칙이다. 다만 예외적으로 일정한 경우에 전보배상을 초과하여 징벌적 손해배상이 인정되고 있다.
판례상 징벌적 손해배상이 인정되는 사건들은 매우 다양하며 폭행(battery)사건, 환경사건, 충실의무(fiduciary duty)의 위반, 사기, 난폭운전, 의료과오, 불법구금 등 거의 모든 민사사건에 대하여 인정되고 있다.
특히 제조물책임의 경우와 같이 기업을 상대로 한 사건들이나, 개인적 만족을 위해 반사회적 행위를 한 개인들을 상대로 한 경우 등에서 주로 인정된다. 원칙적으로 징벌적 손해배상은 불법행위(torts)소송의 경우에만 인정되므로,
성문법률(statute)
로 달리 규정하고 있지 않는 한, 채무불이행과 같은 계약책임에 대해서는 징벌적 손해배상이 인정되지 않는다.
다. 징벌적 손해배상제도의 입법
조원진의원안, 이찬열의원안, 이상직의원안에서 징벌적 손해배상제도의 도입을 규정하고 있는데, 징벌적 손해배상 요건과 관련돼서 조원진 의원안에서는 개인정보처리자의 고의․중과실로 개인정보가 분실․도난․유출․변조․훼손되어 정보주체에 손해가 발생한 경우를 규정하고 있고, 이찬열의원안과 이상직의원안에서는 각각 경과실도 포함을 시키고 있지만, 손해배상액 규모는 손해액의 3배로 각 개정안들이 같았다. 다만, 배상액 산정 시 고려기준에 대해서 조원진 의원안에서는 법원은 배상액을 정할 때 피해 규모, 위반행위로 인한 경제적 이익 등을 고려하도록 하는 내용을 담고 있지만, 나머지 두 개정안에서는 별도 규정을 두고 있지 않다고 설명하였다. 국회는 징벌적손해배상 제도의 도입 필요성은 타당성이 있으며, 하도급거래 공정화에 관한 법률 등 입법례에서 볼 때 발생한 손해액의 3배 이내의 배상액은 적정하다고 하였다.
국회는 개인정보 보호법에 징벌적 손해배상제도를 도입하는 것에 관하여 조원진의원안을 중심으로 대안을 마련하였고, 이 법률안은 법제사법위원회 심사
를 거쳐, 본회의
에서 가결되었다.
가. Strength
앞에서 살펴본 바와 같이 개인정보 보호의 문제는 단순히 정보의 유출만의 문제가 아니며, 보안 관련 기술적인 측면에서 이해될 것이 아니라, 개인정보 자기결정권이라는 헌법상의 권리로서 자신의 개인정보가 어디에서 어디로 흘러가고 있는지 그 전반적인 유통의 흐름을 통제할 수 있어야 한다.
따라서 개인정보 보호를 위하여 징벌적 손해배상 제도를 도입한 것은 개인정보처리자 등으로 하여금 개인정보 보호의무를 보다 충실히 준수하도록 할 것이다. 이를 기초로 개인정보에 대한 자기결정권을 강화하여 실현할 수 있도록 할 것이다. 또한 개인정보 유출로 인한 피해자에 대한 보호를 두텁게 할 수 있다.
나. Weak Point
우리 대법원은 최근 이른바 “옥션 사건”에 대한 판결에서 정보통신서비스제공자는 개인정보의 안전성 확보에 필요한 기술적․관리적 조치를 취하여야할 법률상 의무 및 정보통신서비스 이용계약상의 의무를 부담한다고 인정하면서도, 정보통신서비스제공자가 법규
에서 정하고 있는 기술적․관리적 보호조치를 다하였다면, 특별한 사정이 없는 한, 정보통신서비스제공자가 개인정보의 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다고 하였다.
다시 말해 대법원은 개인정보 보호에 대한 법률상 및 계약상 의무는 인정되지만, 법규에서 정한 정보보호 조치를 이행하였다면 그 의무를 위반하였다고 할 수 없다는 것이다.
따라서 개인정보처리자는 정부가 제시한 고시나 지침 등을 준수하였다는 사실을 입증함으로써 고의 과실이 없음을 입증하여 징벌적 손해배상책임을 면할 수 있다. 결국 국회가 개인정보 유출 등과 관련된 피해자의 권리구제를 극대화하기 위하여 징벌적 손해배상 제도를 도입하였지만, 대법원이 개인정보처리자가 정부에서 정한 법규나 지침을 준수하는 경우 개인정보 보호의무에 대한 “위반”이 있다고 할 수 없다고 판단하면, 피해자는 징벌적 손해배상을 청구할 수 없게 된다.
또한 징벌적 손해배상 제도는 민형사법이 구분되지 않는 영미법계의 산물이므로 우리 법체계와 맞지 않다.
다. Opportunity
입법자의 의사가 피해자의 권리구제 강화에 있다면 법원은 해당 법을 적용함에 있어 입법자의 의자를 존중하여야 할 것이다.
따라서 개인정보 침해로 인한 피해자에 대한 현실적인 구제가 가능할 것으로 보인다. 개인정보 보호 조치를 강화함으로써 기업 이미지를 제고할 수 있다.
라. Threat
기업들의 입장에서는 개인정보 보호를 위한 관리체계 및 안전조치를 보다 강화하여야 하는 부담이 더욱 증가된다. 또한 개인정보 유출로 인한 피해 발생의 경우 손해배상책임이 증가하여 비용의 증가가 예상되며, 기업의 평판에도 좋지 않은 영향을 미칠 것으로 보인다.
나아가 빅데이터 분석을 통한 새로운 시장과 부가가치의 창출에 있어 개인정보 보호 조치에 따라 사업 수행이 난관에 봉착할 수도 있다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지