개인정보 유출 반복과 법정손해배상제도
시작에 앞서
동생이 경북대에 다닌다. 동생이 보여주기로는 이 사건으로 당시 경북대 에브리타임이 엄청 난리났었는데 글 쓰려고 기사 찾아보니 네이버에 남은 기사가 얼마 없다. 동생은 정말 하나도 빠짐없이 다 유출되었던데 경북대는 개인정보 유출보다 언론보도를 더 열심히 막은 것일까.
반복되는 개인정보 유출과 손해배상
대한민국 사람이라면 '내 개인정보는 이미 공공재다'라는 말에 익숙할 수도 있다. 이미 개인정보 유출 사건을 너무 많이 봐서 내 개인정보는 이미 따로 털어갈 가치조차 없을지도 모른다. 한 때는 사건이 있을 때마다 분노했지만 전혀 나아지지 않는 모습에 사람들은 무기력함을 느낀 것 같다. 디지털, 데이터 사회에서 유출 사건을 완전히 방지하는 것은 불가능할 수도 있다. 공격자와 방어자의 싸움에서 언제나 앞서나가는 것은 공격자니까. 하지만 유출 사건이 발생했을 때 실질적으로 자신이 배상받은 것이 없다는 사실이 사람들을 더 무기력하게 했을 것이다. 개인정보가 유출되는 것은 분명히 기분나쁜 일이지만 그 자체만으로는 손해의 발생과 그 액수를 증명하기 힘들기 때문이다. 민사상 불법행위에 의한 손해배상을 청구하려면 가해행위, 위법성, 상대방의 고의 또는 과실, 손해발생과 손해액수, 가해행위와 손해발생 사이 인과관계를 청구자가 입증해야 한다. 따라서 일반적인 민사 손해배상제도로는 손해와 손해액 증명이 힘들어 포기할 수밖에 없다.
개인정보유출과 법정손해배상제도
개인정보보호법
제39조(손해배상책임) ① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
제39조의2(법정손해배상의 청구)
① 제39조제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
② 법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다
그리고 지금껏 '개인정보 유출이 발생해도 손해 입증이 힘들어서 실질적으로 손해배상 하는 것은 불가능하겠지.' 하고 살고 있었는데 최근 이 사건 때문에 개인정보보호법을 보니 법정손해배상제도가 2015년에 신설되었더라.
39조는 손해배상책임을 규정하고 있는데, 입증책임 완화 규정이다. 원래 청구하는 사람이 상대방의 고의 또는 과실을 입증해야 하는데 상대방(개인정보처리자)이 자기에게 고의 또는 과실이 없음을 입증하지 못하면 손해배상 책임을 져야 한다. 그러나 앞서 말한 가장 중요한 것, 손해액을 입증하는 문제는 여전히 남아있다. 이 때 제39조의2는 청구하는 사람이 손해액을 입증할 필요 없이 300만원 이하 범위에서 청구만 하면 된다. 물론 청구한다고 다 받아들여지는 것은 아니고 법원이 그 청구 범위에서 상당한 손해액을 인정해줄 수 있다.
입법자들은 피해자들이 유출로 인한 피해를 입은 것은 분명하나 손해와 손해액 입증이 어려워 배상을 받지 못하는 일이 많다고 생각했던 것으로 보인다. 일반적인 민사 손해배상청구의 방식이라면 그럴 수 있다. 그래서 신설된 이 법정손해배상제도의 조문에 따르면 일단 손해가 발생할만한 개인정보유출이 발생했고, 피해자들이 손해배상을 청구할 경우 전문성이 있는 법원이 그 손해액을 판단해보도록 하는 것이 된다. 법적인 손해 개념과 입증방법을 알기 어려운 일반인들 대신 법원에게 손해를 분석할 권한과 책임을 쥐어주는 것이다.
그런데 기존에 손해 입증이 어려웠던 것은 개인정보 유출로 인한 손해가 재산적 손해가 아니라는 점에 있다. 재산상 손해는 가시적이고 정량적이므로 애매한 부분을 더해도 산출에는 큰 무리가 없다. 그러나 개인정보가 유출된 경우의 피해는 재산적 손해가 아니다. 내 개인정보가 어떻게 악용될지도 모른다는 불안감 그 자체, 내 전화번호로 각종 광고 전화나 문자가 오는 불편함이 손해라고 할 것이다. 실제로 경북대 개인정보유출 이후 광고 전화가 부쩍 늘었다는 학생의 인터뷰도 있었다. 이런 불편함에서 오는 고통은 정신적 손해, 즉 위자료로 배상해야 할 것인데, 가능하다고 해도 재산적 손해에 비해 수월하지는 않아보인다. 그런데 법정손해배상제도를 통해 좀 더 명확히 손해배상청구권의 근거가 뒷받침 될 수 있을 것으로 보인다.
인터파크 개인정보 유출 배상
그리고 이와 관련하여 주목할만한 판례가 있다. 개인정보 유출 피해자에게 이 법정손해배상제도로 인터파크가 1인당 10만원씩 배상하게 된 사건이다(서울중앙지방법원 2020. 10. 29. 선고 2016가합563586 판결 / 항소심에서는 서울고등법원 2021. 11. 9.자 2020나2046807로 조정이 성립되었다.). 이 사건에서는 구 정보통신망법 제32조의2 제1항이 적용되었는데, 정보통신망법 중 개인정보에 관한 부분은 개인정보보호법으로 통합되어서 결국 지금 다루고 있는 조문과 같은 내용이 적용된 것으로 볼 수 있다. 이 사건에서는 법원이 유출로 인한 피해를 '개인 식별 가능한 사생활 밀접한 정보 유출로 인한 2차 피해 발생 가능성'과 '유출 사실을 늦게 통지해서 피해자들이 대응할 기회를 상실'한 피해로 정리했다. 정신적 손해로 분석한 것은 아니지만 어쨌든 유출로 피해가 발생해 손해배상책임이 있다는 것을 인정했고, 법정손해배상제도가 적용되어 청구자들이 별도로 손해액을 입증하지 않아도 법원이 배상액을 판단했다는데 이의가 있다. 1인당 배상액은 10만원이지만 단체 소송이었으므로 유출 기업에게는 충분한 강제력이 될 수 있고 개인 소송에 비해 상대적으로 저렴한 비용으로 배상을 받을 수 있었을 것이다.
아직 로스쿨생인 입장에서는 제도를 겉에서 분석할뿐 실무적으로 어떤 영향이 있을지는 알 수 없다. 그러나 무기력해진 개인정보 유출 문제에서 변화를 일으킬 수 있는 제도가 될 수 있을 것이라고 생각한다.