매년 발생된 개인정보유출 사례가 올해에도 어김없이 반복되었습니다. 지난 1월 카드 3사에서 보유하고 있던 약 1억 400만 명의 개인정보가 유출된 것에 이어, 지난 3월에도 통신서비스업체가 보유하고 있던 약 1,200만 명의 개인정보가 유출된 것으로 확인되었습니다. 이쯤 되면 정보가 유출되지 않은 국민이 있을까 싶을 정도입니다. 최근에는 직장 주소, 카드 결제계좌, 카드 유효기간, 카드 결제일, 서비스 가입정보, 유심카드번호 등 유출되는 개인정보의 범위가 광범위해졌을 뿐만 아니라 텔레마케팅, 보이스 피싱 등 2차 피해까지 발생하여 개인정보 유출은 이제 심각한 사회문제가 되었습니다.
개인정보란 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말합니다(개인정보보호법 제2조 제1호). 즉, 성명, 주민등록번호가 아니더라도 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 인터넷 포털사이트 아이디, 비밀번호, 휴대폰 번호, 이메일 주소 등도 개인정보에 해당합니다. 개인정보가 유출되는 근본적인 원인은 개인정보가 갖는 경제적 가치 때문입니다. 텔레마케팅사에 고객정보를 제공하여 판촉에 활용하는 방법, 대출 모집인에게 개인정보를 넘겨 그 대가를 받는 방법 등 개인정보를 활용하여 경제적 이익을 취하는 방법은 다양합니다. 그렇다면 유출된 정보의 소유자, 즉 그 개인 당사자는 어떠한 법적 구제를 받을 수 있는지 관련 법령과 판례를 살펴보도록 하겠습니다.
개인정보보호법 제39조 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제32조에 의하면 정보주체(이용자)는 개인정보처리자(정보통신서비스 제공자등)가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있는데, 이 경우 고의 또는 과실 없음을 입증하지 못하면 책임을 면할 수 없습니다. 따라서 고객 정보가 유출된 카드사는 개인정보 유출에 어떠한 고의나 과실이 없음을 입증해야 손해배상책임을 면할 수 있습니다. 하지만 그 전에 개인정보 유출로 어떤 손해가 발생했는지, 카드사의 과실과 피해자의 손해 사이에 인과관계가 있는지, 그 손해액은 얼마인지 등은 모두 피해자들이 입증해야 할 사항입니다. 즉, 일반적으로 개인정보가 유출되더라도 실제 어떤 손해가 발생하지 않은 이상, 그리고 그 손해를 입증하지 못하는 이상 손해배상책임을 묻는 것은 쉽지 않습니다. 따라서 개인정보 유출 사건이 발생할 때마다 피해자들이 집단으로 소송을 제기하였음에도 불구하고 실제로 배상을 받은 피해자들은 얼마 되지 않았던 것입니다. ‘유출된 개인정보가 범죄에 이용될까봐 불안하였다’, ‘스팸문자가 많이 와서 불편을 겪었다’는 등의 경우 정신적 손해가 발생한 것으로 볼 수 있는지, 그렇다면 그 손해액은 얼마인지 입증하는 것은 쉽지 않습니다. 그런데 이용자 동의 없는 개인정보 취급 위탁 및 개인정보의 목적 외 이용을 한 정보통신서비스업체를 상대로 한 손해배상청구사건에서 서울고등법원 2012. 9. 5. 선고 2011나75166판결은 다음과 같이 정신적 손해를 인정하였기에 의미 있는 판결이라 할 수 있습니다.
“정보통신서비스업체는 원고들로부터 개인정보수집·이용에 관한 유효한 동의를 받지 않았거나 동의를 받은 범위 외의 수탁자에게 위 원고들의 개인정보를 제공하여 개인정보자기결정권을 침해하였고, 위와 같은 정보통신서비스업체의 행위로 인하여 정신적 고통을 받았을 것임을 경험칙에 따라 인정할 수 있고, 원고들에게 배상하여야 할 손해의 범위에 관하여는 정신적 손해에 따른 위자료를 산정함에 있어 쌍방의 참작사유를 고려하여 ○○으로 정한다.”최근에는 정보통신망 이용촉진 및 정보보호 등 에 관한 법률이 개정되어 피해자들이 현실적으로 구체적인 손해액을 입증하기 어려운 점을 해결해주고자 ‘법정손해배상제도(피해자가 손해 입증이 없더라도 300만 원 이하의 범위에서 법원이 손해배상금을 정할 수 있는 제도)’를 인정하는 등 피해자의 권리구제에 새로운 길을 열었습니다. 하지만 현실적으로 피해자의 권리구제에 도움을 주려면 고의·과실과 손해 사이의 인과관계 등 입증책임전환이 필요합니다. ‘법정손해배상제도’가 인정되더라도 개인정보 유출에 있어 과실과 손해 발생사이의 인과관계를 입증하지 못하면 손해배상책임을 물을 수가 없기 때문입니다.
아직은 미비하다고 볼 수 있겠으나, 그래도 최근에는 과거에 비하여 진일보된 구제 방안들이 도입되고 있습니다. 하지만 보다 근본적인 문제해결을 위해서는 개인정보 유출을 사전에 방지할 수 있는 방안이 시급합니다. 이는 비단 정부, 기업의 노력으로만 이루어지는 것이 아니라 우리 모두가 개인정보 유출을 심각한 사회문제로 인식하고, 예방을 위해 적극적으로 나서야 가능하다 할 것입니다. 개인정보 보호를 위해 여러분들은 어떤 노력을 하고 계신가요?
내 정보는 내가 지킨다