가까운 개인정보침해, 너무도 먼 피해구제
개인정보의 가치
7만원, 10만원, 50만원. 개인정보 자기결정권 침해 혹은 개인정보보호 관련법 위반에 따라 법원이 인정한 손해배상 액수이다. 정보주체인 국민은 법원이 인정한 손해액을 기준으로 자신의 개인정보의 가치를 판단할 것이다. 자신의 개인정보의 가치가 10만원 내외인 것을 알면 무슨 생각을 할까? 어차피 얼마 되지도 않는데, 누구든지 내 개인정보를 활용하도록 내버려둘까? 아님 어차피 얼마 못 받을 거 아예 활용하지 못하도록 할까? 이런 경우를 당해본 사람이라면 잠시라도 이런 의문이 들 수 있다. 하지만 10만원 내외의 배상액이라도 받은 것이 요행일 수 있다. 개인정보 유출이나 오남용과 같은 침해가 발생한 경우에도 실제 손해가 인정되어야 그나마 이 정도의 액수라도 배상받을 수 있기 때문이다.
급증하는 침해사고
1000만명(2008년), 3500만명(2011년), 5300만명(2014년), 5억명(2018). 국내외에서 개인정보가 유출되었던 피해자의 숫자를 보면, 향후 개인정보 침해 사고 시에 피해의 규모가 얼마나 더 커질 것인가는 충분히 짐작할 수 있다. 개인정보 침해 사고로 인한 피해자의 숫자는 기하급수적으로 늘어가지만, 실제 손해배상을 받기까지에는 너무나 길고 험난한 길이 가로막고 있다. 첫 번째 관문은 개인정보의 유출이나 오남용이 법위반이나 권리침해에 해당하는지를 증명하는 길이다. 다행히 우리 법제는 개인정보 침해로 인한 손해배상에서 고의나 과실의 증명책임을 피해자가 아니 가해자에게로 돌려놓았다. 그러나 여전히 위법한 행위라는 것을 피해자가 증명해야 한다. 위법행위가 증명되었다고 해도 손해배상을 받기 위해서는 그 위법행위의 결과 손해가 발생했다는 인과관계를 증명해야 하고, 더 나아가 실제 손해가 발생했다는 것도 증명해야 한다. 그런데 개인정보가 수집·처리되는 과정을 살펴보면, 피해자가 몇 푼 안 되는 손해배상을 받기 위해서 그 험난한 과정을 넘어 증명해내는 것은 애초 기대할 수 없다. 더욱이 대부분의 손해는 재산적 손해보다는 정신적 고통에 대한 위자료인 경우가 많은데, 법원이 제반 사정을 참작하여 직권에 속하는 재량으로 구체적인 위자료 액수를 정할 수 있다고 하더라도, 실제로는 국민이 기대했던 액수에 크게 미치지 못한다. 이에 대한 반성으로 다시 법을 개정하여 손해액에 대한 증명의 부담을 완화하기 위하여 법정 손해배상 제도를 도입하여 300만원의 범위 내에서 상당한 금액을 손해액으로 인정할 수 있지만, 아직 본격적으로 활용되고 있지는 못하다. 징벌적 손해배상도 실효성 있는 구제수단이 되지 못하고 있는 것 또한 사실이다. 입법취지를 충분히 살려서 법정 손해배상을 통한 실질적 피해구제를 실현하기 위한 정부와 법원의 노력이 필요하다.
피해구제 인프라 개선
이 모든 과정을 거쳐 법원에서 손해배상책임을 인정받았다고 하더라도, 문제는 가해자의 배상능력이다. 한 두 명이라면 적은 액수여서 별 문제 되지 않지만, 1000만명, 5억명이라면 이야기가 달라진다. 이 때문에 예외적인 경우이지만 일정 규모 이상의 정보통신서비스 제공자인 경우에 배상책임 이행을 위한 보험·공제 가입 또는 준비금 적립 등을 의무화 한 제도가 도입되어 시행된 지 1년여가 흘렀다. 피해구제의 실효성을 담보하면서도, 예측하지 못한 대규모 배상으로 개인정보처리자의 존립이 위태로워질 수 있는 상황에 대비하기 위한 최소한의 인프라다. 그러나 우리 사회가 최소한의 인프라를 갖춰가고 있는지는 의문이며, 작년 말로 설정했던 계도기간도 끝난 만큼 데이터 3법 개정으로 위상이 강화된 개인정보 보호위원회는 빈틈없이 점검하고 홍보하여 데이터 중심 사회에서 발생하는 각종 개인정보 침해사고로부터 국민들이 신속하게 피해구제 받을 수 있는 환경을 조성해야 한다. 나아가 국민들이 쉽고 편리하게 피해구제에 이를 수 있도록 개인정보분쟁조정이나 집단분쟁조정 제도 또한 개선하여야 한다.
침해와 구제의 간극
데이터 시대가 심화 되면서 개인정보 침해는 점점 더 국민에게 가까워오고 있는 만큼 피해구제가 멀어지지 않도록 지속적으로 손해배상책임 제도를 보강하고 구제 절차를 정비해 나가는 것만이 침해와 피해구제 사이의 거리를 좁히는 길이다. (끝)
- 발행일 : 2020년 10월 20일
- 발행처 : 개인정보연구원(IPDR)
- 발행인 : 김도승
※ KAPP 칼럼은 (www.newsprime.co.kr)”와 함께 합니다.