개인정보 유출이 곧 손해인가? 개인정보 유출로 인한 피해는 개인정보 유출 자체로 인한 개인정보 자기결정권 침해(1차적 피해)와 유출된 개인정보의 TM, 보이스피싱, 스팸 등의 불법이용으로 인한 피해(2차적 피해)로 나눌 수 있다.
피해자인 정보주체가 개인정보보호법 제39조에 근거하여 손해배상을 받으려면, 1차적 피해만 입증하면 되는가 아니면 2차적 피해까지 입증하여야만 손해배상을 받을 수 있을까?
피해자인 정보주체는 1차적 피해만 입증하면 손해배상을 받을 수 있고, 추가 손해(=2차적 피해)까지 배상받으려는 의도가 아닌 경우에는 2차적 피해는 주장조차 하지 않은 상태이기 때문에 당연히 입증할 필요가 없다.
지금까지 우리나라에서 존재했던 모든 개인정보 유출 소송에서 2차적 피해를 주장했던 원고는 없다. 모든 피해자 원고는 1차적 피해로서 정신적 손해배상(위자료)을 청구했지, 2차적 피해를 주장하지는 않았다. 따라서 ‘개인정보 유출이 곧 손해인가’의 주제는 1차적 피해로 한정된다.
본론으로 넘어가서, 개인정보 유출만 입증하면 곧 손해입증에 성공한 것인가? 아니면 개인정보 유출 이외에 별도의 입증을 하여야만 손해입증에 성공한 것인가? 이 문제에 대하여 법원의 입장은 두 가지 분류로 나누어진다.
첫째로, GS칼텍스 사건에서 담당재판부는 “개인정보가 외부로 누출됨으로써 원고들의 개인정보가 불특정 다수에게 공개되어 이를 열람할 수 있는 상태 또는 원고들의 의사에 반하여 원고들의 개인정보가 수집·이용될 수 있는 상태에 이르러 원고들의 개인정보 자기결정권이 침해되었다거나 침해될 상당한 위험이 발생하였다는 점이 인정되어야 한다고 할 것이다”라고 판시했다.
나아가 “정○○ 등으로부터 저장매체 등은 모두 조기에 압수되거나 폐기된 점, 기자들이 소지하던 저장매체도 모두 회수된 점, 정○○ 등이 빼낸 고객정보가 다른 경로로 누출된 흔적이 발견되지 아니한 점 등에 비추어 보면, 원고들의 개인정보가 누출됨으로써 불법행위자인 정○○ 등 이외의 불특정 다수에게 공개되어 이를 열람할 수 있는 상태 또는 원고들의 의사에 반하여 원고들의 개인정보가 수집·이용될 수 있는 상태에 이르러 원고들의 개인정보자기결정권이 침해되었거나 침해될 상당한 위험성이 발생해 원고들에게 정신적 손해가 발생했다는 점을 인정하기 어렵다”고 판시했다.
즉, 개인정보의 유출뿐만 아니라 그 유출된 개인정보가 ‘불법행위자 이외’의 불특정 다수에게 공개되어 열람 또는 수집·이용될 수 있는 상태까지 입증해야만 손해를 인정할 수 있는 바, 개인정보가 유출됐다 하더라도 불법행위자 외에 불특정 다수에게까지 이르기 전에 회수되었다면 손해를 인정할 수 없다는 것이다.
둘째로, 국민은행 사건에서 담당재판부는 “피고(국민은행)가 원고들의 성명, 주민등록번호, 이메일 주소 등을 누출함에 따라 원고들은 자신들의 위와 같은 개인정보를 제3자가 알게 되거나 이를 도용 또는 악용할지도 모를 위험에 노출되었다 할 것이므로, 이 사건 사고로 인해 원고들이 정신적 고통을 받았을 것임은 경험칙상 인정할 수 있다”고 판시했다.
나아가 “비록 피고가 신속하게, 전송된 이메일의 회수라는 사후조치를 취하여 결과적으로 원고들의 성명, 주민등록번호 및 이메일 주소가 악용 또는 도용됐다는 사실이 없는 것으로 판명되다 하더라도, 이러한 사정들은 위자료 액수의 산정 과정에서 참작할 요소에 불과할 뿐, 이를 이유로 인격권을 침해받은 원고들에게 정신적 손해가 발생하지 않는다고 볼 수는 없다 할 것이다”라고 판시했다.
위 사건은 불법행위자가 유출한 개인정보를 불특정 다수가 열람하기 전에 미리 회수를 마친 사안인 바, 정리하면, 개인정보가 일단 유출된 이후 사후조치를 통하여 회수되었다고 하더라도, 손해배상의무가 없다고는 할 수 없고, 다만 사후조치 부분은 위자료 산정에 참작될 뿐이라는 것이다. 즉 개인정보가 유출된 이후 사후에 회수되었다고 하더라도 손해배상 의무가 없는 것은 아니라는 것이다.
한편, 서울대학교 김재형 교수는 GS칼텍스 사건의 판시에 대하여 “우리 민법에서는 다른 나라와는 달리 정신적 손해에 대한 위자료를 쉽게 인정하고 있는데다가 위자료의 산정단계에서도 법원의 폭넓은 재량을 인정하고 있다. 개인정보가 한정된 범위에서 유출된 경우에 피해자들의 정신적 손해 자체가 발생하지 않았다고 볼 수 있는지는 의문이다. 자신도 모르는 사이에 사진이 찍힌 것만으로도 정신적 손해를 인정할 수도 있기 때문이다”라고 하면서 “주민등록번호와 같은 정보가 이메일과 함께 범죄를 저지르려는 사람의 손에 들어갔다면 그 자체로 손해가 발생했다고 볼 여지가 있다. 손해 자체를 부정하는 방법으로 해결하는 것보다는 손해억지의무 또는 손해경감의무를 이행했다고 보아 손해배상책임을 감면하는 방법으로 해결하는 것이 바람직하다”라고 평석을 한 바 있다(법률신문 2013. 2. 28.).
우리나라 손해배상 제도에 따르면 미국의 손해배상 제도와 달리 현실적 손해(actual damage)까지 입증하지 않아도 된다는 점을 고려하면, 일단 기업의 지배영역·통제권을 벗어나거나 불법행위자 손에 들어갔다면 이미 유출에 해당하고, 유출의 개념을 불법행위자 이외의 제3자의 손에 들어간 경우로 제한할 근거는 없으며, 이렇게 유출의 개념을 설정하면 불법행위자가 개인정보를 직접 이용한 경우는 고려하지 못할 수 있는 바, 유출 이후의 사후조치는 손해경감의무로 처리하는 게 법리상 깔끔하고 타당해 보인다. 필자는 김재형 교수의 견해에 동의한다.
이상 우리나라 개인정보보호법에 규정되어 있는 손해배상제도에 대하여 몇 가지 문제점과 그 개선방안에 대하여 살펴보았다. 민사적 손해배상제도가 정보주체의 피해구제 제도에 있어 핵심이라 할 수 있다.
이러한 점을 고려하여 문제점을 수정하고 법조문을 개선시켜 정보주체에게 필요한 실질적인 피해구제 제도가 정착되기를 기원한다.
* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2013. 6. 4.) 기고.
