기업의 개인정보보호법을 위반한 행위로 인하여 정보주체에게 손해가 발생한 경우, 정보주체는 기업을 상대로 민사상 손해배상청구를 해 자신이 입은 손해를 보전받을 수 있다.

이렇듯 정보주체가 기업을 상대로 손해배상청구를 할 수 있는 근거 조문은 개인정보보호법 제39조(또는 정보통신망법 제32조, 신용정보법 제43조)인데, 개인정보보호법 제39조는 아래와 같이 규정되어 있다.

「제39조(손해배상책임) ①정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. ②개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리 하지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상책임을 감경 받을 수 있다.」

위 규정에 대해 일반적으로 입증책임을 전환함으로써 피해를 입은 정보주체에게 신속·공정한 피해구제를 받을 권리를 실질적으로 보장하고 있다고 설명되고 있다. 과연 그러할까? 이 규정이 현실적으로 소송에서 피해자인 원고들에게 도움이 되는 규정일까? 이에 대해 자세하게 살펴보기로 한다.

제1항은 입증책임의 전환규정인가?

개인정보보호법 제39조 제1항의 본문은 ‘법위반사실’과 ‘손해발생’에 대해 규정하고 있고, 단서는 ‘고의·과실’에 대해 규정하고 있다.

입증책임의 분배는, 피해자인 정보주체가 위 세 가지 중 ‘법위반사실’과 ‘손해발생’에 대하여 입증하도록 되어 있고(본문), 기업이 위 세 가지 중 자신의 ‘고의·과실’ 없음에 대해 입증하도록 되어 있다(단서).

그런데 개인정보 유출사고 소송과정을 살펴보면, 입증활동의 핵심은 위 세 가지 중 ‘법위반 사실’에 있다. 예컨대 해킹사고의 경우 피해자인 원고는 기업이 기술적·관리적 보호조치 의무를 위반했는지, 예컨대 접근제한 조치를 제대로 했는지, 암호화 조치를 제대로 했는지, 악성프로그램 방지 조치를 제대로 했는지 등을 스스로 입증해야 하는 것이다.

위 세 가지 중 ‘손해발생’은 유출 자체로 인한 정신적 손해를 청구하는 경우에는 아예 문제되지 아니하고(뒤에서 검토함), 기업의 ‘고의·과실’ 없음의 입증이란 ‘법을 위반했으나 고의·과실은 없다는 사실’을 입증하라는 것을 의미하는데, 이 부분이 소송에서 현실적으로 문제되는 경우는 전혀 없고, 실제로 이런 상황은 존재하기 힘들다. 결국 입증의 핵심은 ‘법위반 사실’이다.

정리하면, 예컨대 해킹사고에 의한 개인정보 유출의 경우, 원고는 피고기업이 기술적·관리적 보호조치 의무를 다하지 못했음을 입증해야만 원하는 손해배상을 받게 되는 것이다.

그러나 ‘기술적·관리적 보호조치’라는 것이 일반인이 접근하기 어려운 전문적인 내용으로 가득 차 있고, ‘기술적·관리적 보호조치 위반’이라는 것은 소송과정에서 피고 기업이 자신이 소지한 증거자료를 충분히 자발적으로 제출해 주지 아니하면 전혀 입증할 수 없기 때문에, 원고가 ‘법위반 사실’ 입증에 성공하기는 하늘의 별따기만큼 어렵게 되어 있다.

사정이 이러한데도, 개인정보보호법 제39조 제1항이 ‘입증책임을 전환함으로써 피해를 입은 정보주체에게 신속·공정한 피해구제를 받을 권리를 실질적으로 보장하고 있다’고 할 수 있는가?

접근하기도 쉽지 않고 내용 자체도 극히 어려우며 손해배상소송에서 가장 핵심적인 ‘법위반사실’을 피해자인 원고에게 입증부담시켜 놓고, 실제 소송에서 전혀 문제된 적도 없고 그러한 경우를 상상하기도 어려운 ‘법을 위반했는데 고의·과실이 없는 경우’를 피고기업에게 입증토록 한 조치가, 과연 진정으로 피해를 입은 정보주체에게 신속·공정한 피해구제를 받을 권리를 실질적으로 보장하는 조치인가?

개인정보보호법 제39조 제1항을 근거로 소송을 하게 되면, 피해자인 원고가 소송진행면에서 또는 입증부담 측면에서 이익을 볼 것은 전혀 없다. 민법 제750조의 일반불법행위책임 규정으로 소송할 때와 다르지 않다.

제39조 제1항이 진정으로 입증책임을 전환시켜 피해자인 정보주체에게 입증상의 부담을 덜어주려면 아래 정보통신망법 제60조 제1항의 ‘통신과금서비스제공자의 손해배상책임’과 같은 형식처럼 되어 있어야 한다.

「제60조(손해배상 등) ①통신과금서비스제공자는 통신과금서비스를 제공함에 있어서 통신과금서비스이용자에게 손해가 발생한 경우에 그 손해를 배상하여야 한다. 다만, 그 손해의 발생이 통신과금서비스이용자의 고의 또는 중과실로 인한 경우에는 그러하지 아니하다.」

위 정보통신망법 제60조 제1항의 규정에 따르면, 피해자인 원고는 ‘손배발생’만 입증하면 되고 피고기업이 ‘고의·중과실 없음’을 입증하도록 되어 있다. 개인정보보호법 제39조 제1항이 원고에게 ‘법위반사실’과 ‘손해발생’까지 입증토록 하는 점과는 확연히 구별된다.

정보통신망법 제60조 제1항처럼 규정되어 있지 않은 현재의 개인정보 손해배상 규정인 개인정보보호법 제39조 제1항에 의하면, 실제 소송과정에서 피해자인 원고는 아무런 이익을 얻지 못한다.

* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2013. 5. 22.) 기고.