개인정보침해 손해배상 얼마까지 받을 수 있을까

[graybox]이 글은 최앤리 법률사무소 문재식 변호사의 기고문입니다. 스타트업을 위한 양질의 콘텐츠를 기고문 형태로 공유하고자 하는 분이 있다면 벤처스퀘어 에디터 팀 editor@venturesquare.net으로 연락 주시기 바랍니다.[/graybox] 최근 SK텔레콤(이하 ‘SKT’) 유심 정보 유출 사건은 국민들에게 큰 충격을 안겼습니다. 우리의 소중한 개인정보가 외부로 흘러나갔다는 사실에 불안감과 분노를 안겨주었는데요. 무엇보다도 유출된 개인정보가 어디로 흘러갔는지, 어떤 목적으로 사용될지 전혀 알 수 없다는 점에서 나중에 어떠한 피해가 우리에게 닥쳐올지도 모르는 상황이고 그로 인한 불안감은 더욱 클 수밖에 없습니다. 이렇게 개인정보가 유출되었다는 것은 분명 SKT의 잘못이 있었다는 것인데, 이번 편에서는 이용자들은 SKT 상대로 손해배상 청구가 가능한지, 얼만큼 배상을 받을 수 있을지 살펴보도록 하겠습니다. 1. 일반 민법 조항에 근거한 손해배상 청구 및 그 한계 통상적으로 손해배상 청구는 아래와 같은 두 개의 민법 조항에 근거합니다. - 제390조(채무불이행과 손해배상) 채무자가 채무의 내용에 좇은 이행을 하지 아니한 때에는 채권자는 손해배상을 청구할 수 있다. 그러나 채무자의 고의나 과실없이 이행할 수 없게 된 때에는 그러하지 아니하다. - 제750조(불법행위의 내용) 고의 또는 과실로 인한 위법행위로 타인에게 손해를 가한 자는 그 손해를 배상할 책임이 있다. 쉽게 말해, 민법 제750조는 가해자가 법을 위반하거나 범죄행위를 하는 등으로 발생한 손해에 대한 배상책임, 민법 제390조는 계약관계에서 계약을 위반하거나 불이행한 경우로 인해 발생한 손해에 대한 배상책임의 근거 규정입니다. 위와 같은 민법 조항들을 근거로 하여 이번 사건의 피해자들도 손해배상을 청구할 수 있습니다. 그러나 개인정보의 유출 등 개인정보에 관한 사건의 경우, 실제 개인정보처리자의 위법행위 또는 과실, 그로 인해 발생한 손해 등 위 민법상 조항이 요구하는 요건들을 입증하는 것이 사실상 불가능하기 때문에, 위 조항에 근거해서는 배상책임을 인정받기 어렵습니다. 2. 개인정보 보호법 제39조에 따른 손해배상 청구 그래서 개인정보 보호법은 위 민법상 조항들의 요건을 완화한 손해배상 책임 근거 조항을 특별히 마련해 두고 있습니다. 먼저 개인정보 보호법 제39조는, 정보주체가 개인정보처리자의 개인정보 보호법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있도록 하고, 개인정보처리자의 고의 또는 과실(또는 중과실)에 관한 입증책임은 정보주체가 아닌 개인정보처리자가 부담하도록 하고 있습니다. 위 민법 조항과 비교하여 피해자의 입증책임 부담을 경감해 준 것입니다. 위 민법 조항에 근거한 것보다 수월하게 손해배상 청구가 가능하겠습니다. 3. 손해가 없는 경우에도 손해배상 청구가 가능한지 그런데 위 민법 및 개인정보 보호법 제39조 규정들을 보면, 손해배상 청구를 위해서는 개인정보처리자의 위반행위로 인한 손해의 발생을 요건으로 하고 있습니다. 이번 사건 같은 경우에도 개인정보 유출 사실은 명백한데 나에게 실질적인 손해가 발생하지 않는 경우라 실제 손해배상 청구가 가능할까요. 개인정보 보호법은 이러한 경우를 대비하여, 손해 발생을 요건으로 정해두지 않고, 손해가 발생하지 않더라도 일정한 금액을 손해액으로 하여 배상을 청구할 수 있도록 하고 있습니다. 개인정보 보호법 제39조의2에 따라 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있겠습니다. 4. 그럼 실제 손해배상을 얼만큼 받을 수 있을까 만일 손해가 발생한 것이 있으면, 개인정보 유출과 인과관계가 인정되는 범위에서 손해배상책임이 인정될 것이고, 손해가 발생하지 않더라도 위 개인정보 보호법 제39조의2에 따라 300만원 이하의 범위에서 손해배상액이 인정될 것입니다. 한편, 만일 개인정보처리자의 고의 또는 중과실로 인해 개인정보가 유출되어 손해가 발생할 경우에는 개인정보 보호법 제39조 제2항에 따라 손해액의 5배까지 징벌적 손해배상책임도 인정될 수 있습니다. 그러면 실제 사안에서 얼만큼의 손해배상이 인정되었을까요. 손해배상책임 범위의 산정은 개인정보가 유출된 경위, 유출된 개인정보의 종류와 성격, 개인정보처리자의 개인정보 관리 실태 및 과실 정도 등을 여러 사정을 종합적으로 고려하여 법원의 재량에 의해 정해집니다. 구체적 사례를 살펴보면, 외주직원이 카드사의 주민등록번호 등 카드고객정보를 고의로 유출한 사건에서는 1인당 7만원 손해배상책임이 인정되었고(서울고등법원 2019. 11. 28. 선고 2016나2057183, 2016나2057176 판결), 2016년 인터파크 회원들의 아이디, 비밀번호, 전화번호 등 개인정보가 유출된 사건에서는 1인당 10만원의 손해배상책임이 인정되었습니다. 피해를 당한 개인 입장에서는 상당히 아쉬운 금액일 수밖에 없고, 아직 법원은 손해배상책임 인정에 있어 소극적인 태도를 보이고 있는 것 같습니다. 개인정보 유출은 우리에게 직접적인 피해가 가시화되진 않지만 각종 피싱이나 사기 범죄의 원인이 될 수 있는 심각한 문제입니다. 다행히 개인정보 보호법은 피해자에게 보다 유리한 구조로 손해배상 청구할 수 있는 길을 열어두고 있으나 현재까지 법원의 입장은 다소 보수적이어서 아쉽습니다. 그럼에도 불구하고, 이러한 법적 대응을 통해 기업의 책임을 물어 향후 유사한 사태의 재발을 막을 필요는 있다고 생각됩니다. 여러분들도 개인정보 침해를 피해를 입은 경우, 법률 전문가의 도움을 받아 적극적으로 권리를 행사할 것을 고려할 수 있겠습니다. 관련 칼럼 더보기 https://www.venturesquare.net/965448