이 글은 최앤리 법률사무소 문재식 변호사의 기고문입니다. 스타트업을 위한 양질의 콘텐츠를 기고문 형태로 공유하고자 하는 분이 있다면 벤처스퀘어 에디터 팀 editor@venturesquare.net으로 연락 주시기 바랍니다.
최근 SK텔레콤(이하 ‘SKT’) 유심 정보 유출 사건은 국민들에게 큰 충격을 안겼습니다. 우리의 소중한 개인정보가 외부로 흘러나갔다는 사실에 불안감과 분노를 안겨주었는데요. 무엇보다도 유출된 개인정보가 어디로 흘러갔는지, 어떤 목적으로 사용될지 전혀 알 수 없다는 점에서 나중에 어떠한 피해가 우리에게 닥쳐올지도 모르는 상황이고 그로 인한 불안감은 더욱 클 수밖에 없습니다.
이렇게 개인정보가 유출되었다는 것은 분명 SKT의 잘못이 있었다는 것인데, 이번 편에서는 이용자들은 SKT 상대로 손해배상 청구가 가능한지, 얼만큼 배상을 받을 수 있을지 살펴보도록 하겠습니다.
1. 일반 민법 조항에 근거한 손해배상 청구 및 그 한계
통상적으로 손해배상 청구는 아래와 같은 두 개의 민법 조항에 근거합니다.
– 제390조(채무불이행과 손해배상) 채무자가 채무의 내용에 좇은 이행을 하지 아니한 때에는 채권자는 손해배상을 청구할 수 있다. 그러나 채무자의 고의나 과실없이 이행할 수 없게 된 때에는 그러하지 아니하다.
– 제750조(불법행위의 내용) 고의 또는 과실로 인한 위법행위로 타인에게 손해를 가한 자는 그 손해를 배상할 책임이 있다.
쉽게 말해, 민법 제750조는 가해자가 법을 위반하거나 범죄행위를 하는 등으로 발생한 손해에 대한 배상책임, 민법 제390조는 계약관계에서 계약을 위반하거나 불이행한 경우로 인해 발생한 손해에 대한 배상책임의 근거 규정입니다.
위와 같은 민법 조항들을 근거로 하여 이번 사건의 피해자들도 손해배상을 청구할 수 있습니다. 그러나 개인정보의 유출 등 개인정보에 관한 사건의 경우, 실제 개인정보처리자의 위법행위 또는 과실, 그로 인해 발생한 손해 등 위 민법상 조항이 요구하는 요건들을 입증하는 것이 사실상 불가능하기 때문에, 위 조항에 근거해서는 배상책임을 인정받기 어렵습니다.
2. 개인정보 보호법 제39조에 따른 손해배상 청구
그래서 개인정보 보호법은 위 민법상 조항들의 요건을 완화한 손해배상 책임 근거 조항을 특별히 마련해 두고 있습니다. 먼저 개인정보 보호법 제39조는, 정보주체가 개인정보처리자의 개인정보 보호법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있도록 하고, 개인정보처리자의 고의 또는 과실(또는 중과실)에 관한 입증책임은 정보주체가 아닌 개인정보처리자가 부담하도록 하고 있습니다. 위 민법 조항과 비교하여 피해자의 입증책임 부담을 경감해 준 것입니다. 위 민법 조항에 근거한 것보다 수월하게 손해배상 청구가 가능하겠습니다.
3. 손해가 없는 경우에도 손해배상 청구가 가능한지
그런데 위 민법 및 개인정보 보호법 제39조 규정들을 보면, 손해배상 청구를 위해서는 개인정보처리자의 위반행위로 인한 손해의 발생을 요건으로 하고 있습니다. 이번 사건 같은 경우에도 개인정보 유출 사실은 명백한데 나에게 실질적인 손해가 발생하지 않는 경우라 실제 손해배상 청구가 가능할까요.
개인정보 보호법은 이러한 경우를 대비하여, 손해 발생을 요건으로 정해두지 않고, 손해가 발생하지 않더라도 일정한 금액을 손해액으로 하여 배상을 청구할 수 있도록 하고 있습니다. 개인정보 보호법 제39조의2에 따라 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있겠습니다.
4. 그럼 실제 손해배상을 얼만큼 받을 수 있을까
만일 손해가 발생한 것이 있으면, 개인정보 유출과 인과관계가 인정되는 범위에서 손해배상책임이 인정될 것이고, 손해가 발생하지 않더라도 위 개인정보 보호법 제39조의2에 따라 300만원 이하의 범위에서 손해배상액이 인정될 것입니다. 한편, 만일 개인정보처리자의 고의 또는 중과실로 인해 개인정보가 유출되어 손해가 발생할 경우에는 개인정보 보호법 제39조 제2항에 따라 손해액의 5배까지 징벌적 손해배상책임도 인정될 수 있습니다.
그러면 실제 사안에서 얼만큼의 손해배상이 인정되었을까요. 손해배상책임 범위의 산정은 개인정보가 유출된 경위, 유출된 개인정보의 종류와 성격, 개인정보처리자의 개인정보 관리 실태 및 과실 정도 등을 여러 사정을 종합적으로 고려하여 법원의 재량에 의해 정해집니다.
구체적 사례를 살펴보면, 외주직원이 카드사의 주민등록번호 등 카드고객정보를 고의로 유출한 사건에서는 1인당 7만원 손해배상책임이 인정되었고(서울고등법원 2019. 11. 28. 선고 2016나2057183, 2016나2057176 판결), 2016년 인터파크 회원들의 아이디, 비밀번호, 전화번호 등 개인정보가 유출된 사건에서는 1인당 10만원의 손해배상책임이 인정되었습니다. 피해를 당한 개인 입장에서는 상당히 아쉬운 금액일 수밖에 없고, 아직 법원은 손해배상책임 인정에 있어 소극적인 태도를 보이고 있는 것 같습니다.
개인정보 유출은 우리에게 직접적인 피해가 가시화되진 않지만 각종 피싱이나 사기 범죄의 원인이 될 수 있는 심각한 문제입니다. 다행히 개인정보 보호법은 피해자에게 보다 유리한 구조로 손해배상 청구할 수 있는 길을 열어두고 있으나 현재까지 법원의 입장은 다소 보수적이어서 아쉽습니다. 그럼에도 불구하고, 이러한 법적 대응을 통해 기업의 책임을 물어 향후 유사한 사태의 재발을 막을 필요는 있다고 생각됩니다. 여러분들도 개인정보 침해를 피해를 입은 경우, 법률 전문가의 도움을 받아 적극적으로 권리를 행사할 것을 고려할 수 있겠습니다.
- 관련 칼럼 더보기
How much compensation can I receive for personal information infringement?
This article is a contribution by Attorney Jaesik Moon of Choi & Lee Law Firm. If you would like to share quality content for startups in the form of a contribution, please contact the Venture Square editor team at editor@venturesquare.net.
The recent SK Telecom (hereinafter referred to as 'SKT') SIM card information leak incident shocked the public. It brought about anxiety and anger at the fact that our precious personal information was leaked to the outside. Above all, since we have no idea where the leaked personal information went or what purpose it will be used for, we are in a situation where we do not know what kind of damage we may suffer in the future, and the anxiety caused by this is bound to be even greater.
The fact that personal information was leaked in this way clearly means that SKT was at fault. In this episode, we will examine whether users can claim compensation from SKT and how much compensation they can receive.
1. Claims for damages based on general civil law provisions and their limitations
Typically, claims for damages are based on two civil law provisions:
– Article 390 (Non-performance of obligation and compensation for damages) If the debtor fails to perform the obligation in accordance with the terms of the obligation, the creditor may claim compensation for damages. However, this does not apply if the performance became impossible without the debtor’s intent or negligence.
– Article 750 (Contents of illegal acts) A person who causes damage to another person through an illegal act intentionally or negligently shall be liable for compensation for the damage.
Simply put, Article 750 of the Civil Act is the basis for liability for damages caused by a perpetrator's violation of the law or criminal act, and Article 390 of the Civil Act is the basis for liability for damages caused by a breach or nonperformance of a contract in a contractual relationship.
Based on the above civil law provisions, the victims of this incident can also claim compensation for damages. However, in the case of personal information leaks and other personal information-related incidents, it is virtually impossible to prove the requirements of the above civil law provisions, such as the illegal acts or negligence of the actual personal information processor and the resulting damages, so it is difficult to recognize compensation liability based on the above provisions.
2. Claim for damages pursuant to Article 39 of the Personal Information Protection Act
Therefore, the Personal Information Protection Act has specially prepared a provision on the basis of liability for damages that relaxes the requirements of the above Civil Act provisions. First, Article 39 of the Personal Information Protection Act allows the data subject to claim damages from the personal information processor if the data subject suffers damages due to the personal information processor’s violation of the Personal Information Protection Act, and the burden of proof regarding the personal information processor’s intent or negligence (or gross negligence) is borne by the personal information processor, not the data subject. Compared to the above Civil Act provisions, this reduces the burden of proof on the victim. It will be easier to claim damages than based on the above Civil Act provisions.
3. Is it possible to claim compensation even if there is no damage?
However, looking at the provisions of Article 39 of the Civil Act and the Personal Information Protection Act, it is required that damages be caused by a violation by the personal information processor in order to claim compensation. In this case, the fact that personal information was leaked is clear, but since I did not suffer actual damages, is it possible to claim actual compensation?
The Personal Information Protection Act, in preparation for such cases, does not prescribe the occurrence of damage as a requirement, and allows for a claim for compensation of a certain amount of damage even if no damage occurs. According to Article 39-2 of the Personal Information Protection Act, if personal information is lost, stolen, leaked, forged, altered, or damaged due to the intentional or negligent act of the personal information processor, compensation may be claimed for a reasonable amount of damage up to 3 million won.
4. So how much actual compensation can I receive?
If damage occurs, liability for damages will be recognized to the extent that a causal relationship with the personal information leak is recognized, and even if no damage occurs, compensation for damages will be recognized within the range of 3 million won or less in accordance with Article 39-2 of the Personal Information Protection Act. On the other hand, if damage occurs due to the leak of personal information due to the intentional or gross negligence of the personal information processor, punitive damages of up to 5 times the amount of damages may also be recognized in accordance with Article 39, Paragraph 2 of the Personal Information Protection Act.
Then, how much damages were awarded in actual cases? The scope of damages liability is determined at the discretion of the court, taking into account various factors, such as the circumstances in which personal information was leaked, the type and nature of the leaked personal information, the personal information management status of the personal information processor, and the degree of negligence.
Looking at specific cases, in a case where an outsourced employee intentionally leaked card customer information such as the card company's resident registration number, compensation liability of 70,000 won per person was recognized (Seoul High Court Decision 2016na2057183, 2016na2057176, November 28, 2019), and in a case where personal information such as Interpark members' IDs, passwords, and phone numbers were leaked in 2016, compensation liability of 100,000 won per person was recognized. From the perspective of the individuals who suffered damages, this cannot help but be a very regrettable amount, and the courts still seem to be taking a passive stance in recognizing liability for damages.
Personal information leakage is a serious problem that may not cause direct damage to us, but may be the cause of various phishing and fraud crimes. Fortunately, the Personal Information Protection Act opens the way for victims to claim damages in a more favorable structure, but the court's position so far has been somewhat conservative, which is unfortunate. Nevertheless, I think it is necessary to prevent similar incidents from recurring in the future by holding companies accountable through these legal responses. If you have suffered a personal information infringement, you may want to consider actively exercising your rights by getting help from a legal expert.
- See more related columns
個人情報侵害損害賠償はいくらまで受けることができるか
この記事はチェ・アンリ法律事務所のムン・ジェシク弁護士の投稿です。スタートアップのための質の高いコンテンツを投稿フォームで共有したい人がいる場合は、ベンチャースクエアエディタチームeditor@venturesquare.netまでご連絡ください。
最近、SKテレコム(以下「SKT」)の有心情報流出事件は、国民に大きな衝撃を与えました。私たちの大切な個人情報が外部に流れ出たという事実に不安感と怒りを抱いてくれました。何よりも漏洩した個人情報がどこに流れたのか、どの目的に使われるのか全く分からないという点で、後でどのような被害が私たちに襲われるかもしれない状況であり、それによる不安感はさらに大きくなるしかありません。
このように個人情報が漏洩したことは明らかにSKTの誤りがあったということですが、今回は利用者はSKT相手に損害賠償請求が可能かどうか、どのくらい賠償を受けることができるかを見てみましょう。
1. 一般民法条項に基づく損害賠償請求及びその限界
通常、損害賠償請求は、以下の2つの民法条項に基づいています。
第390条(債務不履行と損害賠償)債務者が債務の内容に追いついた履行をしないときは、債権者は損害賠償を請求することができる。しかし、債務者の故意や過失なく履行できなくなったときは、この限りでない。
第750条(不法行為の内容)故意又は過失による違法行為で他人に損害を加えた者は、その損害を賠償する責任がある。
簡単に言えば、民法第750条は、加害者が法に違反したり犯罪行為をするなどで発生した損害に対する賠償責任、民法第390条は、契約関係で契約に違反または不履行した場合により発生した損害に対する賠償責任の根拠規定です。
上記の民法条項を踏まえ、今回の事件の被害者も損害賠償を請求することができます。しかし、個人情報の流出等個人情報に関する事件の場合、実際の個人情報処理者の違法行為又は過失、それにより発生した損害等、上記民法上条項が要求する要件を立証することが事実上不可能なため、上記条項に基づいては賠償責任を認められません。
2. 個人情報保護法第39条による損害賠償請求
そのため、個人情報保護法は上記民法上条項の要件を緩和した損害賠償責任根拠条項を特別に設けています。まず、個人情報保護法第39条は、情報主体が個人情報処理者の個人情報保護法に違反した行為で損害を受けると、個人情報処理者に損害賠償を請求することができるようにし、個人情報処理者の故意又は過失(又は重過失)に関する立証責任は情報主体ではない個人情報処理者が負担する。上記民法条項と比較して被害者の立証責任負担を軽減してくれたのです。上記民法条項に基づくものよりも容易に損害賠償請求が可能です。
3. 損害がない場合でも損害賠償請求が可能か
ところが、上記民法及び個人情報保護法第39条の規定をみると、損害賠償請求のためには、個人情報処理者の違反行為による損害の発生を要件としています。今回の事件のような場合でも、個人情報の流出事実は明らかであるが、私に実質的な損害が発生しない場合であり、実際の損害賠償請求が可能でしょうか。
個人情報保護法はこのような場合に備えて、損害発生を要件として定めず、損害が発生しなくても一定の金額を損害額として賠償を請求できるようにしています。個人情報保護法第39条の2により個人情報処理者の故意または過失により個人情報が紛失・盗難・流出・偽造・改造または毀損された場合には、300万ウォン以下の範囲で相当の金額を損害額として賠償を請求することができます。
4. では、実際の損害賠償をどれだけ受けることができるか
万が一損害が発生したことがあれば、個人情報流出と因果関係が認められる範囲で損害賠償責任が認められ、損害が発生しなくても上記個人情報保護法第39条の2により300万ウォン以下の範囲で損害賠償額が認められます。一方、万が一個人情報処理者の故意又は重過失により個人情報が流出して損害が発生する場合には、個人情報保護法第39条第2項により損害額の5倍まで懲罰的損害賠償責任も認められる場合があります。
では、実際の事案でどれだけの損害賠償が認められたのでしょうか。損害賠償責任範囲の算定は、個人情報が流出した経緯、流出された個人情報の種類と性格、個人情報処理者の個人情報管理実態及び過失程度などを複数の事情を総合的に考慮し、裁判所の裁量により定められます。
具体的な事例を見ると、外注職員がカード会社の住民登録番号などカード顧客情報を故意に流出した事件では、1人当たり7万ウォン損害賠償責任が認められ(ソウル高等裁判所2019.11.28.宣告2016や2057183,20 2016年インターパーク会員のID、パスワード、電話番号など個人情報が流出した事件では、1人当たり10万ウォンの損害賠償責任が認められました。被害を受けた個人の立場では、かなり残念な金額になるしかなく、まだ裁判所は損害賠償責任認定において消極的な態度を見せているようです。
個人情報の漏洩は私たちに直接的な被害が可視化されていませんが、各種フィッシングや詐欺犯罪の原因となる可能性がある深刻な問題です。幸い、個人情報保護法は被害者により有利な構造で損害賠償請求できる道を開いておいていますが、現在まで裁判所の立場はやや保守的で残念です。それにもかかわらず、これらの法的対応を通じて企業の責任を求め、今後同様の事態の再発を防ぐ必要があると考えられます。皆さんも個人情報の侵害を被った場合、法律専門家の助けを借りて積極的に権利を行使することを考慮することができます。
- 関連列をさらに表示
侵犯个人信息能获得多少赔偿?
本文由 Choi & Lee 律师事务所的 Jaesik Moon 律师撰写。如果您想以投稿的形式分享适合初创企业的优质内容,请联系 Venture Square 编辑团队,邮箱:editor@venturesquare.net。
近日,SK电讯(以下简称“SKT”)SIM卡信息泄露事件震惊了业界。我们宝贵的个人信息被泄露出去,让我们感到焦虑和愤怒。最重要的是,我们不知道泄露的个人信息去了哪里,会被用于什么目的,因此我们不确定以后会给我们带来什么损害,由此产生的焦虑必然会更大。
个人信息以这种方式泄露,显然SKT存在错误。在本集中,我们将探讨用户是否可以向 SKT 索赔以及可以获得多少赔偿。
1.基于一般民法规定的损害赔偿请求及其限制
通常,损害赔偿要求基于两项民法规定:
– 第390条(债务的履行不履行及损害赔偿)债务人未按照债权证规定的条件履行债务时,债权人可以请求损害赔偿。但非因债务人的故意或者过失,造成履行不能的,不在此限。
– 第750条 (违法行为的内容) 因故意或者过失实施违法行为,给他人造成损害的,应当承担损害赔偿责任。
简单来说,《民法》第750条是行为人违反法律或者犯罪行为造成损害赔偿责任的依据,《民法》第390条是合同关系中违反或者不履行合同造成损害赔偿责任的依据。
根据上述民法规定,此次事件的受害者还可以请求损害赔偿。但在发生个人信息泄露等涉及个人信息的事件中,由于几乎无法证明实际个人信息处理者的违法行为、过失或者由此造成的损害等上述民法规定的要求,因此难以依据上述规定认定损害赔偿责任。
2. 根据《个人信息保护法》第39条提出的损害赔偿请求
因此,个人信息保护法对损害赔偿责任的依据作出了专门规定,放宽了上述民法条款的要求。首先,《个人信息保护法》第39条规定,如果个人信息主体因个人信息处理者违反《个人信息保护法》而遭受损失,信息主体可以向个人信息处理者请求损害赔偿,并将个人信息处理者故意或者过失(或重大过失)的举证责任置于个人信息处理者而非信息主体。与上述民法规定相比,受害人的举证责任减轻了。索赔将比依据上述民法规定更加容易。
3.即使没有损坏,也可以要求赔偿吗?
但根据《民法》第39条及《个人信息保护法》的规定,请求损害赔偿,必须因个人信息处理者的违法行为造成损害。即使是像这种案件,个人信息泄露的事实是显而易见的,但是由于我没有受到任何实际损失,是否可以要求实际损失赔偿?
《个人信息保护法》针对此类情况,规定不要求发生损害,即使没有发生损害,也可以要求一定金额的赔偿。根据《个人信息保护法》第39-2条规定,因个人信息处理者的故意或过失,造成个人信息丢失、被盗、泄露、伪造、变造或毁损时,处理者可以请求300万韩元以下的合理损害赔偿。
4.那么我实际能得到多少赔偿呢?
若发生损害,在确认与个人信息泄露有因果关系的范围内认定损害赔偿责任,即使未发生损害,也将根据《个人信息保护法》第39-2条规定,在300万韩元以下的范围内认定损害赔偿。同时,如果因个人信息处理者的故意或重大过失导致个人信息泄露并造成损害的,可以根据《个人信息保护法》第39条第2款的规定,认定为损害赔偿金额五倍以下的惩罚性赔偿。
那么实际案件中赔偿金额是多少呢?损害赔偿责任的范围由法院综合考虑个人信息泄露的情况、泄露的个人信息的种类和性质、个人信息处理者对个人信息的管理状况、过失程度等因素酌情确定。
从具体案例来看,外包员工故意泄露信用卡公司居民登记号码等信用卡客户信息的案件中,判定每人承担7万韩元的赔偿责任(首尔高等法院判决2016na2057183、2016na2057176,2019年11月28日),2016年泄露Interpark会员ID、密码、电话号码等个人信息的案件中,判定每人承担10万韩元的赔偿责任。从遭受损害的个人角度来看,这个数额不能不令人感到遗憾,而法院在认定损害赔偿责任方面似乎仍持消极态度。
虽然个人信息泄露不会给我们造成直接的损害,但它是一个严重的问题,可能导致各种网络钓鱼和欺诈犯罪。幸运的是,《个人信息保护法》为受害者以更有利于他们的结构要求赔偿开辟了道路,但法院迄今为止的立场有些保守,这是令人遗憾的。尽管如此,我认为有必要通过这些法律行动追究公司的责任,并防止类似事件再次发生。如果您是隐私泄露的受害者,您可能需要考虑寻求法律专业人士的帮助来积极行使您的权利。
- 查看更多相关专栏
Quel montant d’indemnisation puis-je recevoir en cas de violation des renseignements personnels ?
Cet article est une contribution de l'avocat Jaesik Moon du cabinet d'avocats Choi & Lee. Si vous souhaitez partager du contenu de qualité pour les startups sous forme de contribution, veuillez contacter l'équipe éditoriale de Venture Square à editor@venturesquare.net.
Le récent incident de fuite d'informations sur la carte SIM de SK Telecom (ci-après dénommé « SKT ») a choqué le public. Le fait que nos précieuses informations personnelles aient été divulguées à l’extérieur nous a causé de l’anxiété et de la colère. Surtout, nous n’avons aucune idée de l’endroit où sont passées les informations personnelles divulguées ni de l’usage qui en sera fait. Nous ne savons donc pas quels dommages pourraient nous être causés plus tard, et l’anxiété qui en résultera sera forcément encore plus grande.
Le fait que des informations personnelles aient été divulguées de cette manière signifie clairement que SKT était en faute. Dans cet épisode, nous examinerons si les utilisateurs peuvent réclamer une indemnisation auprès de SKT et quel montant d'indemnisation ils peuvent recevoir.
1. Demandes de dommages et intérêts fondées sur les dispositions générales du droit civil et leurs limitations
En règle générale, les demandes de dommages et intérêts sont fondées sur deux dispositions de droit civil :
– Article 390 (Inexécution de l'obligation et indemnisation des dommages) Si le débiteur ne remplit pas son obligation conformément aux termes de l'obligation, le créancier peut réclamer une indemnisation des dommages. Toutefois, ceci ne s’applique pas si l’exécution devient impossible sans intention ou négligence du débiteur.
– Article 750 (Contenu des actes illicites) Quiconque cause un dommage à autrui par un acte illicite, intentionnellement ou par négligence, est tenu de réparer le dommage.
En termes simples, l'article 750 du Code civil constitue la base de la responsabilité pour les dommages causés par la violation de la loi ou par un acte criminel par un auteur, et l'article 390 du Code civil constitue la base de la responsabilité pour les dommages causés par une violation ou une non-exécution d'un contrat dans une relation contractuelle.
Sur la base des dispositions de droit civil susmentionnées, les victimes de cet incident peuvent également réclamer une indemnisation pour les dommages causés. Toutefois, dans le cas d'incidents liés aux informations personnelles tels que les fuites d'informations personnelles, il est pratiquement impossible de prouver les exigences des dispositions de droit civil ci-dessus, telles que les actes illégaux ou la négligence du responsable du traitement des informations personnelles ou les dommages qui en résultent, il est donc difficile de reconnaître la responsabilité des dommages sur la base des dispositions ci-dessus.
2. Demande de dommages et intérêts en vertu de l'article 39 de la loi sur la protection des renseignements personnels
Par conséquent, la Loi sur la protection des renseignements personnels contient une disposition spéciale sur la base de la responsabilité en matière de dommages qui assouplit les exigences des dispositions de droit civil susmentionnées. Premièrement, l’article 39 de la Loi sur la protection des renseignements personnels permet à une personne concernée de réclamer une indemnisation pour dommages au responsable du traitement des renseignements personnels si elle subit un dommage en raison de la violation de la Loi sur la protection des renseignements personnels par le responsable du traitement des renseignements personnels, et impose la charge de la preuve concernant l’intention ou la négligence (ou la négligence grave) du responsable du traitement des renseignements personnels au responsable du traitement des renseignements personnels, et non à la personne concernée. Par rapport aux dispositions de droit civil susmentionnées, la charge de la preuve pesant sur la victime est réduite. Il sera plus facile de réclamer des dommages et intérêts que sur la base des dispositions de droit civil susmentionnées.
3. Est-il possible de demander une indemnisation même s’il n’y a pas de dommage ?
Toutefois, au vu des dispositions de l’article 39 de la Loi civile et de la Loi sur la protection des renseignements personnels, une demande de dommages-intérêts exige que les dommages soient causés par une violation par le responsable du traitement des renseignements personnels. Même dans des cas comme celui-ci, le fait que des informations personnelles aient été divulguées est clair, mais comme je n'ai subi aucun dommage réel, est-il possible de réclamer des dommages réels ?
La Loi sur la protection des renseignements personnels, en prévision de tels cas, n’exige pas que des dommages soient causés et permet de demander une indemnisation d’un certain montant même si aucun dommage ne survient. Conformément à l'article 39-2 de la loi sur la protection des informations personnelles, si des informations personnelles sont perdues, volées, divulguées, falsifiées, modifiées ou endommagées en raison de l'intention ou de la négligence du responsable du traitement des informations personnelles, le responsable du traitement peut réclamer une indemnisation pour un montant raisonnable de dommages et intérêts pouvant aller jusqu'à 3 millions de KRW.
4. Quel est le montant réel de l’indemnisation que je peux recevoir ?
Si un dommage survient, la responsabilité des dommages sera reconnue dans la mesure où une relation de cause à effet avec la fuite d'informations personnelles est reconnue, et même si aucun dommage ne survient, une indemnisation des dommages sera reconnue dans la fourchette de 3 millions de KRW ou moins conformément à l'article 39-2 de la loi sur la protection des informations personnelles. Entre-temps, si des informations personnelles sont divulguées et que des dommages surviennent en raison d'une négligence intentionnelle ou grave du responsable du traitement des informations personnelles, des dommages-intérêts punitifs pouvant aller jusqu'à cinq fois le montant des dommages-intérêts peuvent être reconnus conformément à l'article 39, paragraphe 2 de la loi sur la protection des informations personnelles.
Alors, quel est le montant des dommages et intérêts accordés dans les cas réels ? L'étendue de la responsabilité en matière de dommages est déterminée à la discrétion du tribunal en tenant compte de manière exhaustive de divers facteurs, notamment les circonstances dans lesquelles les renseignements personnels ont été divulgués, le type et la nature des renseignements personnels divulgués, le statut de gestion des renseignements personnels par le responsable du traitement des renseignements personnels et le degré de négligence.
En examinant des cas spécifiques, dans un cas où un employé externalisé a intentionnellement divulgué des informations sur un client de carte, telles que le numéro d'enregistrement de résident de la société émettrice de la carte, une responsabilité en matière d'indemnisation de 70 000 wons par personne a été reconnue (décision de la Haute Cour de Séoul 2016na2057183, 2016na2057176, 28 novembre 2019), et dans un cas où des informations personnelles telles que les identifiants, les mots de passe et les numéros de téléphone des membres d'Interpark ont été divulgués en 2016, une responsabilité en matière d'indemnisation de 100 000 wons par personne a été reconnue. Du point de vue de la personne qui a subi des dommages, ce montant ne peut qu’être regrettable, et les tribunaux semblent toujours adopter une position passive dans la reconnaissance de la responsabilité des dommages.
Bien que la fuite d’informations personnelles ne nous cause pas de dommages directs, il s’agit d’un problème grave qui peut conduire à divers délits d’hameçonnage et de fraude. Heureusement, la Loi sur la protection des renseignements personnels ouvre la voie aux victimes pour réclamer des dommages-intérêts dans une structure qui leur est plus favorable, mais la position des tribunaux jusqu'à présent a été quelque peu conservatrice, ce qui est regrettable. Néanmoins, je crois qu’il est nécessaire de tenir les entreprises responsables par le biais de ces actions en justice et d’empêcher que des incidents similaires ne se reproduisent à l’avenir. Si vous avez été victime d’une atteinte à la vie privée, vous pourriez envisager de demander l’aide d’un professionnel du droit pour exercer activement vos droits.
- Voir plus de colonnes connexes
You must be logged in to post a comment.