현행 개인정보보호법 제39조 규정을 보면 다음과 같다.

「제39조(손해배상책임) ①정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. ②개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리하지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상책임을 감경 받을 수 있다.」

제1항과 제2항의 관계

이처럼 개인정보보호법 제39조 제1항에 의하면, 기업이 ‘개인정보보호법을 위반’하여야만 피해자인 원고가 손해배상을 받을 수 있다.

하지만 ‘개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리 하지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상책임을 감경받을 수 있다’라고 되어 있는 제39조 제2항에 따르면, 기업이 ‘개인정보보호법에 따른 의무를 준수’했다 하더라도 손해배상책임이 ‘면제’되는 것이 아니라 ‘감경’되는 것이므로, 결국 피해자인 원고에게 손해배상책임 자체는 이행하여야만 한다.

간략하게 정리하면, 기업이 ‘개인정보보호법을 위반’하면 피해자인 원고는 제1항에 의하여 손해배상을 받을 수 있고. 기업이 ‘개인정보보호법에 따른 의무를 준수’하였다면 피해자인 원고는 제2항에 의하여 감경된 손해배상을 받을 수 있는 것이다.

기업이 개인정보보호법을 위반했건 반대로 개인정보보호법을 준수하였건 상관없이 기업에게는 손해배상 의무가 생기는 것이다. 원고가 제1항과 제2항을 모두 청구원인 근거로 삼아 손해배상을 청구하게 되면 기업은 손해배상 의무에서 벗어날 수가 없게 되어 있다.

나아가, 제1항에 따르면 ‘법위반사실’은 피해자인 원고가 입증하도록 되어 있는데 제2항에 따르면 ‘법을 준수한 사실 및 일반적 주의의무를 위반하지 아니한 사실’은 기업이 입증하도록 되어 있어 사실상 거의 동일한 사실에 대한 입증책임을 제1항과 제2항이 반대로 규정하고 있다.

개인정보보호법을 아래와 같이 개정해야 입증책임의 전환 효과도 발생하고 제1항과 제2항의 관계가 정립될 것으로 보인다.

「제39조(손해배상책임) ①개인정보처리자는 정보주체의 개인정보를 처리함에 있어서 정보주체에게 손해가 발생한 경우에 그 손해를 배상해야 한다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. ②개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리 하지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상책임을 감경받을 수 있다.」

고시가 민사책임을 제한할 수 있는가?

원고는 피고기업의 ‘법위반 사실’을 입증해야 하고, 특히 해킹사고에 의한 개인정보 유출 사건의 경우에는 원고가 피고기업의 법위반사실과 관련하여 안전행정부 고시인 ‘개인정보의 안전성 확보조치 기준’ 위반을 입증해야 한다.

위 고시는 정보통신망법에 따른 방통위 고시인 ‘개인정보의 기술적·관리적 보호조치 기준’과 사실상 내용이 동일하다. 다만 그 해설서는 방통위의 ‘개인정보의 기술적·관리적 보호조치 기준’에 대한 해설서가 보다 내용면에서 자세하므로 아래에서는 방통위 고시의 해설서를 참조하여 설명하기로 한다.

‘개인정보의 기술적·관리적 보호조치 기준’의 해설서에 따르면, ‘개인정보의 기술적·관리적 보호조치 기준’의 성격에 관해 형사적·행정적 책임 부과를 염두에 두고 만든, 기업이 반드시 준수해야 하는 최소한의 기준으로 보고 있다. 즉 ‘개인정보의 기술적·관리적 보호조치 기준’을 준수하면 형사적·행정적 책임을 면제받을 수 있다는 의미이다.

그런데 피고기업이 ‘개인정보의 기술적·관리적 보호조치 기준’만 준수하면, 피고기업의 형사적·행정적 책임은 별론으로 하고, 민사적 책임으로서의 손해배상 책임도 면제되는가?

그렇지 않다. ‘개인정보의 기술적·관리적 보호조치 기준’만 준수하면 민사책임까지 면제된다고 보아야 할 법적인 근거가 전혀 없다.

오히려, 개인정보보호법 제39조 제2항은 ‘개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리 하지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상책임을 감경받을 수 있다’라고 되어 있는바, 이 규정에 따르면 기업은 ‘개인정보보호법에 따른 의무’ 준수 외에 ‘상당한 주의·감독 의무’까지 준수했을 때, 민사책임을 ‘면제’도 아니고 겨우 ‘감경’만 받을 수 있게 되어 있다.

여기서 ‘상당한 주의·감독 의무’라는 것은 ‘개인정보보호법에 따른 의무’ 외에 신의칙상 또는 사회생활상 발생하는 일반적인 주의의무를 의미하는 바, 결론적으로 기업은 ‘개인정보의 기술적·관리적 보호조치 기준’를 준수했다고 하여 완전히 민사책임이 면제되는 것은 아니고, 나아가 ‘개인정보의 기술적·관리적 보호조치 기준’의 준수에 더하여 ‘상당한 주의·감독 의무’까지도 어기지 않았다는 점을 입증해야만 민사책임의 부담을 줄일 수 있다.

결론적으로, ‘개인정보의 기술적·관리적 보호조치 기준’의 준수가 있다 하더라도, 피고기업의 형사적·행정적 책임은 별론으로 하고, 민사적 책임으로서 손해배상책임이 면제되는 것은 아니라고 보아야 할 것이다. 이러한 점은 고시에 명확히 기술되는 것이 바람직하다.

고시만 ‘형식적’으로 지키면 법적 책임이 면제되는가?

‘개인정보의 기술적·관리적 보호조치 기준’은 내부관리계획의 수립·시행, 접근통제, 접속기록의 위·변조방지, 개인정보의 암호화, 악성프로그램 방지, 출력·복사시 보호조치, 개인정보 표시 제한 보호조치를 기업의 기술적·관리적 보호조치 의무로 규정하고 있다.

여기서 문제점은, 기업이 예컨대 접근통제 시스템을 구축만 해놓고 제대로 이 시스템을 운용하지 않은 경우에 위 ‘개인정보의 기술적·관리적 보호조치 기준’을 준수하였으므로 법적 책임이 면제된다고 보아야 하는가, 또는 기업이 개인정보의 암호화 조치를 취했는데, 암호화 조치가 구식으로서 누구나 풀 수 있는 경우에 위 ‘개인정보의 기술적·관리적 보호조치 기준’을 준수했으므로 법적 책임이 면제된다고 보아야 하는가이다.

시스템만 갖추어 놓고 그 기능을 살리지 않은 경우, 암호화 조치를 취하였으나 누구나 그 암호화를 풀 수 있는 경우까지 형식적으로 판단해서 ‘개인정보의 기술적·관리적 보호조치 기준’을 준수했다고 볼 수는 없을 것이다.

시스템을 갖추어 놓고 그 기능을 제대로 살려서 접근통제를 효율적으로 했을 때, 그리고 암호화 조치를 기술발전 수준에 맞추어 업데이트를 했을 때에 비로소 ‘개인정보의 기술적·관리적 보호조치 기준’를 준수했다고 판단해야 할 것이다.

형식적으로 ‘개인정보의 기술적·관리적 보호조치 기준’를 준수했다고 판단해서는 안 된다. 실질적으로 ‘개인정보의 기술적·관리적 보호조치 기준’를 준수했는지 여부를 판단하는 것이 중요한 것이다. 이러한 점에 대하여는 고시의 보완이 이루어져야 할 것으로 본다.

* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2013. 5. 28.) 기고.