법정손해배상제도와 징벌적 손해배상제도 도입에 따른 쟁점이슈들
[보안뉴스= 김세중 김·장 법률사무소 변호사] 2014년 초 이른바 카드3사 개인정보 유출사건 이후 개인정보 관련 법령은 여러 분야에서 개정이 이루어졌는데 개인정보 유출로 인한 손해배상책임 영역도 중요한 변화가 있었다.
또한, 법원에서는 2016 년 초부터 카드3사 개인정보 유출 사건들에 관한 1심 판결을 순차적으로 선고하고 있는데, 이론적으로나 실무적으로 판결의 내용을 음미해보아야 할 부분이 상당하다. 여기에서는 위와 같은 법령개정사항 과 최근 판결들을 토대로 개인정보 유출로 인한 손해배상책임의 최근 동향에 대해 살펴보도록 한다.
개인정보 유출로 인한 손해배상책임에 관한 법령 개정
우리나라의 손해배상책임법제는 피해자가 입은 실 손해를 금전적으로 전보(塡補)하는 구조이다. 따라서 손해배상책임이 인정되기 위해서는 피해자가 입은 손해가 금전으로 특정돼야 하며, 피해자가 입은 손해를 초과한 손해배상금은 인정되지 않는 것이 원칙이다. 그런데 카드3사 개인정보 유출사건을 계기로 개인정보 유출사고를 예방하고 피해자들의 피해구제를 강화하는 차원에서 개인정보보호법, 정보통신망 이용촉진 및 정보보호에 관한 법률(이하 정보통신망법)과 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법)을 개정, 법정손해배상제도와 징벌적 손해배상제도를 도입했다.
법정손해배상제도란 개인정보가 유출된 경우 피해자가 자신이 입은 실제 손해액을 입증하지 않더라도 법원이 300만 원 이하의 범위에서 정한 상당한 금액을 손해액으로 인정할 수 있도록 하는 제도이다(개 인정보보호법 제39조의2, 정보통신망법 제32조의2 및 신용정보법 제43조의2 참조).
다음으로 징벌적 손해배상제도란 개인정보가 유출돼 피해자에게 손해가 발생한 경우 법원이 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있도록 하는 제도이다(개인정보보호법 제 39조 제3항, 정보통신망법 제32조 제2항 및 신용정보법 제43조 제2항 참조).
법정손해배상제도와 징벌적 손해배상제도가 도입된 배경에는 개인정보 유출로 인해 피해자가 입는 손해가 크지만 손해액을 증명하기 어려워 피해자들이 충분한 손해배상을 받지 못하고 있다는 인식이 깔려 있는 것으로 이해된다.
그런데 개인정보 유출사건에서 피해자가 입은 손해란, 일상생활에서 광고성 전화를 빈번하게 받게 되는 불편함 혹은 유출된 자신의 악용될지도 모른다는 불안감인 경우가 보통이다. 이러한 불안감이나 불편함은 이른바 비재산적 손해인데, 후술하는 것처럼 이를 두고 ‘위자료로 배상할 만한’ 손해가 발생했다고 볼 수 있는지, 더 나아가 이러한 비재산적 손해가 금전적으로 얼마 인지 평가하는 것은 쉬운 일이 아니다.
그런데 법원은 예전부터 여러 사정을 참작해 비재산적 손해에 대한 위자료 액수를 재량에 의해 확정할 수 있다는 법리를 인정해 왔고(대법원 2002. 11. 26. 선고 2002다43165 판결 등 다수), 실무적으로도 제반 사정을 고려한 적정한 손해액(위자료 액수)을 산정해 왔다.
그동안의 개인정보 유출사건에서도 피해자의 구체적인 손해액의 입증이 없더라도 10~30만 원 내외의 위자료가 인정되기도 했다. 이미 손해액에 대한 입증이 부족하더라도 법원의 재량에 의해 위자료 액수가 산정되고 있는 상황에서 법정손해배상제도와 징벌적 손해배상제도가 개인정보 유출로 인한 위자료 배상 실무에 어떠한 변화를 가져오게 될지 추이가 주목된다.
2016년 1월경부터 카드3사 개인정보 유출로 인한 손해배상책임에 관한 1심 판결이 선고되고 있다. 그런데 법원은 A카드회사에 대한 민사소송에서 어느 원고들에게는 손해배상책임을 인정하고 어느 원고들에게는 손해배상책임을 부인하는 판결을 선고하고 있다. 같은 회사에서 발생한 개인정보 유출사고에 대해 원고마다 결론이 다른 것인데 그 이유는 무엇일까?
관련 판결문을 분석해 보면 ‘원고들에게 정신적 손해가 발생한 것으로 볼 수 있는지’가 중요한 판단요소로 작용했음을 알 수 있다. 즉, ①유출된 개인정보가 대출중개업체에 전달돼 텔레마케팅 등 영업에 활용될 수 있는 상태에 놓인 경우 손해배상책임을 인정하면서도 ②유출된 개인정보가 얼마 지나지 않아 수사기관에 그대로 압수돼 유통되지 아니한 경우에는 원고들에게 위자료로 배상할 만한 정신적 손해가 발생했다고 보기 어렵다고 판단했다.
사실 대법원도 B정유회사의 적립카드 회원정보를 유출한 사람이 개인정보를 DVD, USB 등의 형태로 저장해 보관하던 중 수사기관에 의해 검거되고 저장매체들도 압수 및 폐기된 사안에서 B정유회사의 손해배상책임을 부정한 바 있다(대법원 2012. 12. 26. 선고 2011다59834 판결).
이러한 판결들의 근간에는 개인정보에 대한 위법한 침해행위가 있었다고 해 당연히 위자료로 배상할 만한 정신적 손해가 인정되는 것은 아니며, 유출된 개인정보의 제3자 열람가능성 또는 유통가능성을 고려해 정신적 손해가 현실적으로 발생했는지를 따져보아야 한다는 고려가 깔려 있다.
위 법리에 따르면, 개인정보 유출사고가 발생한 경우 유출된 정보의 확산을 방지하고 고객의 2차 피해방지를 위해 상당한 노력을 기울였던 사정은 손해배상책임을 감경하거나 면제할 수도 있는 사유로 작용할 수 있다. 따라서 개인정보 유출사고를 맞닥뜨린 기업들은 유출경로를 확인하고 유관기관 신고 및 협조 등을 통해 조기에 추가적인 피해발생과 정보확산을 방지하는 것이 무엇보다 중요하다고 할 수 있다.
또한, 앞으로 법정손해배상제도가 활성화되는 경우 기업들이 유출된 정보의 제3자 열람가능성이 없다는 이유로 손해가 발생하지 않았다고 주장해 다툴 수 있는지도 쟁점이 될 것으로 예상되는 바, 개인정보 보호, 기업의 부담 및 일반적 손해배상법제 사이에서 조화로운 해석이 모색되길 기대한다.
[글_ 김세중 김·장 법률사무소 변호사]
[보안뉴스= 김세중 김·장 법률사무소 변호사] 2014년 초 이른바 카드3사 개인정보 유출사건 이후 개인정보 관련 법령은 여러 분야에서 개정이 이루어졌는데 개인정보 유출로 인한 손해배상책임 영역도 중요한 변화가 있었다.
또한, 법원에서는 2016 년 초부터 카드3사 개인정보 유출 사건들에 관한 1심 판결을 순차적으로 선고하고 있는데, 이론적으로나 실무적으로 판결의 내용을 음미해보아야 할 부분이 상당하다. 여기에서는 위와 같은 법령개정사항 과 최근 판결들을 토대로 개인정보 유출로 인한 손해배상책임의 최근 동향에 대해 살펴보도록 한다.
개인정보 유출로 인한 손해배상책임에 관한 법령 개정
우리나라의 손해배상책임법제는 피해자가 입은 실 손해를 금전적으로 전보(塡補)하는 구조이다. 따라서 손해배상책임이 인정되기 위해서는 피해자가 입은 손해가 금전으로 특정돼야 하며, 피해자가 입은 손해를 초과한 손해배상금은 인정되지 않는 것이 원칙이다. 그런데 카드3사 개인정보 유출사건을 계기로 개인정보 유출사고를 예방하고 피해자들의 피해구제를 강화하는 차원에서 개인정보보호법, 정보통신망 이용촉진 및 정보보호에 관한 법률(이하 정보통신망법)과 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법)을 개정, 법정손해배상제도와 징벌적 손해배상제도를 도입했다.
법정손해배상제도란 개인정보가 유출된 경우 피해자가 자신이 입은 실제 손해액을 입증하지 않더라도 법원이 300만 원 이하의 범위에서 정한 상당한 금액을 손해액으로 인정할 수 있도록 하는 제도이다(개 인정보보호법 제39조의2, 정보통신망법 제32조의2 및 신용정보법 제43조의2 참조).
다음으로 징벌적 손해배상제도란 개인정보가 유출돼 피해자에게 손해가 발생한 경우 법원이 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있도록 하는 제도이다(개인정보보호법 제 39조 제3항, 정보통신망법 제32조 제2항 및 신용정보법 제43조 제2항 참조).
법정손해배상제도와 징벌적 손해배상제도가 도입된 배경에는 개인정보 유출로 인해 피해자가 입는 손해가 크지만 손해액을 증명하기 어려워 피해자들이 충분한 손해배상을 받지 못하고 있다는 인식이 깔려 있는 것으로 이해된다.
그런데 개인정보 유출사건에서 피해자가 입은 손해란, 일상생활에서 광고성 전화를 빈번하게 받게 되는 불편함 혹은 유출된 자신의 악용될지도 모른다는 불안감인 경우가 보통이다. 이러한 불안감이나 불편함은 이른바 비재산적 손해인데, 후술하는 것처럼 이를 두고 ‘위자료로 배상할 만한’ 손해가 발생했다고 볼 수 있는지, 더 나아가 이러한 비재산적 손해가 금전적으로 얼마 인지 평가하는 것은 쉬운 일이 아니다.
그런데 법원은 예전부터 여러 사정을 참작해 비재산적 손해에 대한 위자료 액수를 재량에 의해 확정할 수 있다는 법리를 인정해 왔고(대법원 2002. 11. 26. 선고 2002다43165 판결 등 다수), 실무적으로도 제반 사정을 고려한 적정한 손해액(위자료 액수)을 산정해 왔다.
그동안의 개인정보 유출사건에서도 피해자의 구체적인 손해액의 입증이 없더라도 10~30만 원 내외의 위자료가 인정되기도 했다. 이미 손해액에 대한 입증이 부족하더라도 법원의 재량에 의해 위자료 액수가 산정되고 있는 상황에서 법정손해배상제도와 징벌적 손해배상제도가 개인정보 유출로 인한 위자료 배상 실무에 어떠한 변화를 가져오게 될지 추이가 주목된다.
2016년 1월경부터 카드3사 개인정보 유출로 인한 손해배상책임에 관한 1심 판결이 선고되고 있다. 그런데 법원은 A카드회사에 대한 민사소송에서 어느 원고들에게는 손해배상책임을 인정하고 어느 원고들에게는 손해배상책임을 부인하는 판결을 선고하고 있다. 같은 회사에서 발생한 개인정보 유출사고에 대해 원고마다 결론이 다른 것인데 그 이유는 무엇일까?
관련 판결문을 분석해 보면 ‘원고들에게 정신적 손해가 발생한 것으로 볼 수 있는지’가 중요한 판단요소로 작용했음을 알 수 있다. 즉, ①유출된 개인정보가 대출중개업체에 전달돼 텔레마케팅 등 영업에 활용될 수 있는 상태에 놓인 경우 손해배상책임을 인정하면서도 ②유출된 개인정보가 얼마 지나지 않아 수사기관에 그대로 압수돼 유통되지 아니한 경우에는 원고들에게 위자료로 배상할 만한 정신적 손해가 발생했다고 보기 어렵다고 판단했다.
사실 대법원도 B정유회사의 적립카드 회원정보를 유출한 사람이 개인정보를 DVD, USB 등의 형태로 저장해 보관하던 중 수사기관에 의해 검거되고 저장매체들도 압수 및 폐기된 사안에서 B정유회사의 손해배상책임을 부정한 바 있다(대법원 2012. 12. 26. 선고 2011다59834 판결).
이러한 판결들의 근간에는 개인정보에 대한 위법한 침해행위가 있었다고 해 당연히 위자료로 배상할 만한 정신적 손해가 인정되는 것은 아니며, 유출된 개인정보의 제3자 열람가능성 또는 유통가능성을 고려해 정신적 손해가 현실적으로 발생했는지를 따져보아야 한다는 고려가 깔려 있다.
위 법리에 따르면, 개인정보 유출사고가 발생한 경우 유출된 정보의 확산을 방지하고 고객의 2차 피해방지를 위해 상당한 노력을 기울였던 사정은 손해배상책임을 감경하거나 면제할 수도 있는 사유로 작용할 수 있다. 따라서 개인정보 유출사고를 맞닥뜨린 기업들은 유출경로를 확인하고 유관기관 신고 및 협조 등을 통해 조기에 추가적인 피해발생과 정보확산을 방지하는 것이 무엇보다 중요하다고 할 수 있다.
또한, 앞으로 법정손해배상제도가 활성화되는 경우 기업들이 유출된 정보의 제3자 열람가능성이 없다는 이유로 손해가 발생하지 않았다고 주장해 다툴 수 있는지도 쟁점이 될 것으로 예상되는 바, 개인정보 보호, 기업의 부담 및 일반적 손해배상법제 사이에서 조화로운 해석이 모색되길 기대한다.
[글_ 김세중 김·장 법률사무소 변호사]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
