|
[정보보호법바로알기 38] 개인정보 손해배상제도의 문제점과 개선방향①
피해자, 기업의 고의·과실 입증 어려워...피해구제 권리보장 미흡
[보안뉴스=법률사무소 민후 김경환 대표변호사] 기업의 개인정보보호법을 위반한 행위로 인하여 정보주체에게 손해가 발생한 경우, 정보주체는 기업을 상대로 민사상 손해배상청구를 해 자신이 입은 손해를 보전받을 수 있다.
이렇듯 정보주체가 기업을 상대로 손해배상청구를 할 수 있는 근거 조문은 개인정보보호법 제39조(또는 정보통신망법 제32조, 신용정보법 제43조)인데, 개인정보보호법 제39조는 아래와 같이 규정되어 있다.
「제39조(손해배상책임) ①정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. ②개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리 하지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상책임을 감경 받을 수 있다.」
위 규정에 대해 일반적으로 입증책임을 전환함으로써 피해를 입은 정보주체에게 신속·공정한 피해구제를 받을 권리를 실질적으로 보장하고 있다고 설명되고 있다. 과연 그러할까? 이 규정이 현실적으로 소송에서 피해자인 원고들에게 도움이 되는 규정일까? 이에 대해 자세하게 살펴보기로 한다.
제1항은 입증책임의 전환규정인가?
개인정보보호법 제39조 제1항의 본문은 ‘법위반사실’과 ‘손해발생’에 대해 규정하고 있고, 단서는 ‘고의·과실’에 대해 규정하고 있다.
입증책임의 분배는, 피해자인 정보주체가 위 세 가지 중 ‘법위반사실’과 ‘손해발생’에 대하여 입증하도록 되어 있고(본문), 기업이 위 세 가지 중 자신의 ‘고의·과실’ 없음에 대해 입증하도록 되어 있다(단서).
그런데 개인정보 유출사고 소송과정을 살펴보면, 입증활동의 핵심은 위 세 가지 중 ‘법위반 사실’에 있다. 예컨대 해킹사고의 경우 피해자인 원고는 기업이 기술적·관리적 보호조치 의무를 위반했는지, 예컨대 접근제한 조치를 제대로 했는지, 암호화 조치를 제대로 했는지, 악성프로그램 방지 조치를 제대로 했는지 등을 스스로 입증해야 하는 것이다.
위 세 가지 중 ‘손해발생’은 유출 자체로 인한 정신적 손해를 청구하는 경우에는 아예 문제되지 아니하고(뒤에서 검토함), 기업의 ‘고의·과실’ 없음의 입증이란 ‘법을 위반했으나 고의·과실은 없다는 사실’을 입증하라는 것을 의미하는데, 이 부분이 소송에서 현실적으로 문제되는 경우는 전혀 없고, 실제로 이런 상황은 존재하기 힘들다. 결국 입증의 핵심은 ‘법위반 사실’이다.
정리하면, 예컨대 해킹사고에 의한 개인정보 유출의 경우, 원고는 피고기업이 기술적·관리적 보호조치 의무를 다하지 못했음을 입증해야만 원하는 손해배상을 받게 되는 것이다.
그러나 ‘기술적·관리적 보호조치’라는 것이 일반인이 접근하기 어려운 전문적인 내용으로 가득 차 있고, ‘기술적·관리적 보호조치 위반’이라는 것은 소송과정에서 피고 기업이 자신이 소지한 증거자료를 충분히 자발적으로 제출해 주지 아니하면 전혀 입증할 수 없기 때문에, 원고가 ‘법위반 사실’ 입증에 성공하기는 하늘의 별따기만큼 어렵게 되어 있다.
사정이 이러한데도, 개인정보보호법 제39조 제1항이 ‘입증책임을 전환함으로써 피해를 입은 정보주체에게 신속·공정한 피해구제를 받을 권리를 실질적으로 보장하고 있다’고 할 수 있는가?
접근하기도 쉽지 않고 내용 자체도 극히 어려우며 손해배상소송에서 가장 핵심적인 ‘법위반사실’을 피해자인 원고에게 입증부담시켜 놓고, 실제 소송에서 전혀 문제된 적도 없고 그러한 경우를 상상하기도 어려운 ‘법을 위반했는데 고의·과실이 없는 경우’를 피고기업에게 입증토록 한 조치가, 과연 진정으로 피해를 입은 정보주체에게 신속·공정한 피해구제를 받을 권리를 실질적으로 보장하는 조치인가?
개인정보보호법 제39조 제1항을 근거로 소송을 하게 되면, 피해자인 원고가 소송진행면에서 또는 입증부담 측면에서 이익을 볼 것은 전혀 없다. 민법 제750조의 일반불법행위책임 규정으로 소송할 때와 다르지 않다.
제39조 제1항이 진정으로 입증책임을 전환시켜 피해자인 정보주체에게 입증상의 부담을 덜어주려면 아래 정보통신망법 제60조 제1항의 ‘통신과금서비스제공자의 손해배상책임’과 같은 형식처럼 되어 있어야 한다.
「제60조(손해배상 등) ①통신과금서비스제공자는 통신과금서비스를 제공함에 있어서 통신과금서비스이용자에게 손해가 발생한 경우에 그 손해를 배상하여야 한다. 다만, 그 손해의 발생이 통신과금서비스이용자의 고의 또는 중과실로 인한 경우에는 그러하지 아니하다.」
위 정보통신망법 제60조 제1항의 규정에 따르면, 피해자인 원고는 ‘손배발생’만 입증하면 되고 피고기업이 ‘고의·중과실 없음’을 입증하도록 되어 있다. 개인정보보호법 제39조 제1항이 원고에게 ‘법위반사실’과 ‘손해발생’까지 입증토록 하는 점과는 확연히 구별된다.
정보통신망법 제60조 제1항처럼 규정되어 있지 않은 현재의 개인정보 손해배상 규정인 개인정보보호법 제39조 제1항에 의하면, 실제 소송과정에서 피해자인 원고는 아무런 이익을 얻지 못한다.
[글_법률사무소 민후 김 경 환 대표변호사(hi@minwho.kr)]
[정보보호법바로알기 39] 개인정보 손해배상제도의 문제점과 개선방향② |
법 준수 위한 형식적 조치보다 실질적 조치 중요...고시 보완 필요
[보안뉴스=법률사무소 민후 김경환 대표변호사] 현행 개인정보보호법 제39조 규정을 보면 다음과 같다.
「제39조(손해배상책임) ①정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. ②개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리하지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상책임을 감경 받을 수 있다.」
제1항과 제2항의 관계
이처럼 개인정보보호법 제39조 제1항에 의하면, 기업이 ‘개인정보보호법을 위반’하여야만 피해자인 원고가 손해배상을 받을 수 있다.
하지만 ‘개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리 하지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상책임을 감경받을 수 있다’라고 되어 있는 제39조 제2항에 따르면, 기업이 ‘개인정보보호법에 따른 의무를 준수’했다 하더라도 손해배상책임이 ‘면제’되는 것이 아니라 ‘감경’되는 것이므로, 결국 피해자인 원고에게 손해배상책임 자체는 이행하여야만 한다.
간략하게 정리하면, 기업이 ‘개인정보보호법을 위반’하면 피해자인 원고는 제1항에 의하여 손해배상을 받을 수 있고. 기업이 ‘개인정보보호법에 따른 의무를 준수’하였다면 피해자인 원고는 제2항에 의하여 감경된 손해배상을 받을 수 있는 것이다.
기업이 개인정보보호법을 위반했건 반대로 개인정보보호법을 준수하였건 상관없이 기업에게는 손해배상 의무가 생기는 것이다. 원고가 제1항과 제2항을 모두 청구원인 근거로 삼아 손해배상을 청구하게 되면 기업은 손해배상 의무에서 벗어날 수가 없게 되어 있다.
나아가, 제1항에 따르면 ‘법위반사실’은 피해자인 원고가 입증하도록 되어 있는데 제2항에 따르면 ‘법을 준수한 사실 및 일반적 주의의무를 위반하지 아니한 사실’은 기업이 입증하도록 되어 있어 사실상 거의 동일한 사실에 대한 입증책임을 제1항과 제2항이 반대로 규정하고 있다.
개인정보보호법을 아래와 같이 개정해야 입증책임의 전환 효과도 발생하고 제1항과 제2항의 관계가 정립될 것으로 보인다.
「제39조(손해배상책임) ①개인정보처리자는 정보주체의 개인정보를 처리함에 있어서 정보주체에게 손해가 발생한 경우에 그 손해를 배상해야 한다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. ②개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리 하지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상책임을 감경받을 수 있다.」
고시가 민사책임을 제한할 수 있는가?
원고는 피고기업의 ‘법위반 사실’을 입증해야 하고, 특히 해킹사고에 의한 개인정보 유출 사건의 경우에는 원고가 피고기업의 법위반사실과 관련하여 안전행정부 고시인 ‘개인정보의 안전성 확보조치 기준’ 위반을 입증해야 한다.
위 고시는 정보통신망법에 따른 방통위 고시인 ‘개인정보의 기술적·관리적 보호조치 기준’과 사실상 내용이 동일하다. 다만 그 해설서는 방통위의 ‘개인정보의 기술적·관리적 보호조치 기준’에 대한 해설서가 보다 내용면에서 자세하므로 아래에서는 방통위 고시의 해설서를 참조하여 설명하기로 한다.
‘개인정보의 기술적·관리적 보호조치 기준’의 해설서에 따르면, ‘개인정보의 기술적·관리적 보호조치 기준’의 성격에 관해 형사적·행정적 책임 부과를 염두에 두고 만든, 기업이 반드시 준수해야 하는 최소한의 기준으로 보고 있다. 즉 ‘개인정보의 기술적·관리적 보호조치 기준’을 준수하면 형사적·행정적 책임을 면제받을 수 있다는 의미이다.
그런데 피고기업이 ‘개인정보의 기술적·관리적 보호조치 기준’만 준수하면, 피고기업의 형사적·행정적 책임은 별론으로 하고, 민사적 책임으로서의 손해배상 책임도 면제되는가?
그렇지 않다. ‘개인정보의 기술적·관리적 보호조치 기준’만 준수하면 민사책임까지 면제된다고 보아야 할 법적인 근거가 전혀 없다.
오히려, 개인정보보호법 제39조 제2항은 ‘개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리 하지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상책임을 감경받을 수 있다’라고 되어 있는바, 이 규정에 따르면 기업은 ‘개인정보보호법에 따른 의무’ 준수 외에 ‘상당한 주의·감독 의무’까지 준수했을 때, 민사책임을 ‘면제’도 아니고 겨우 ‘감경’만 받을 수 있게 되어 있다.
여기서 ‘상당한 주의·감독 의무’라는 것은 ‘개인정보보호법에 따른 의무’ 외에 신의칙상 또는 사회생활상 발생하는 일반적인 주의의무를 의미하는 바, 결론적으로 기업은 ‘개인정보의 기술적·관리적 보호조치 기준’를 준수했다고 하여 완전히 민사책임이 면제되는 것은 아니고, 나아가 ‘개인정보의 기술적·관리적 보호조치 기준’의 준수에 더하여 ‘상당한 주의·감독 의무’까지도 어기지 않았다는 점을 입증해야만 민사책임의 부담을 줄일 수 있다.
결론적으로, ‘개인정보의 기술적·관리적 보호조치 기준’의 준수가 있다 하더라도, 피고기업의 형사적·행정적 책임은 별론으로 하고, 민사적 책임으로서 손해배상책임이 면제되는 것은 아니라고 보아야 할 것이다. 이러한 점은 고시에 명확히 기술되는 것이 바람직하다.
고시만 ‘형식적’으로 지키면 법적 책임이 면제되는가?
‘개인정보의 기술적·관리적 보호조치 기준’은 내부관리계획의 수립·시행, 접근통제, 접속기록의 위·변조방지, 개인정보의 암호화, 악성프로그램 방지, 출력·복사시 보호조치, 개인정보 표시 제한 보호조치를 기업의 기술적·관리적 보호조치 의무로 규정하고 있다.
여기서 문제점은, 기업이 예컨대 접근통제 시스템을 구축만 해놓고 제대로 이 시스템을 운용하지 않은 경우에 위 ‘개인정보의 기술적·관리적 보호조치 기준’을 준수하였으므로 법적 책임이 면제된다고 보아야 하는가, 또는 기업이 개인정보의 암호화 조치를 취했는데, 암호화 조치가 구식으로서 누구나 풀 수 있는 경우에 위 ‘개인정보의 기술적·관리적 보호조치 기준’을 준수했으므로 법적 책임이 면제된다고 보아야 하는가이다.
시스템만 갖추어 놓고 그 기능을 살리지 않은 경우, 암호화 조치를 취하였으나 누구나 그 암호화를 풀 수 있는 경우까지 형식적으로 판단해서 ‘개인정보의 기술적·관리적 보호조치 기준’을 준수했다고 볼 수는 없을 것이다.
시스템을 갖추어 놓고 그 기능을 제대로 살려서 접근통제를 효율적으로 했을 때, 그리고 암호화 조치를 기술발전 수준에 맞추어 업데이트를 했을 때에 비로소 ‘개인정보의 기술적·관리적 보호조치 기준’를 준수했다고 판단해야 할 것이다.
형식적으로 ‘개인정보의 기술적·관리적 보호조치 기준’를 준수했다고 판단해서는 안 된다. 실질적으로 ‘개인정보의 기술적·관리적 보호조치 기준’를 준수했는지 여부를 판단하는 것이 중요한 것이다. 이러한 점에 대하여는 고시의 보완이 이루어져야 할 것으로 본다.
[글_법률사무소 민후 김 경 환 대표변호사(hi@minwho.kr)]
[출처] 보안뉴스(http://www.boannews.com/)
카페 소개 : 정보보안기사 카페(다음 정보보안기사 대표 카페)
카페 주소 :http://cafe.daum.net/Security-no1클릭
교재 소개 : 알기쉬운 정보보안기사.산업기사(이론편,문제편[1,200제])
|