우리나라에서 개인정보 보호에 관한 첫 입법은 1995년 1월 시행된 「공공기관의 개인정보 보호에 관한 법률」이었다. 1992년 정부가 국회에 법안을 제출하며 기재한 제안이유를 보면, “국가주요업무에 대한 전자화의 확대추진과 전국적 행정전산망의 구축등으로 개인정보의 부당사용 또는 무단유출로 인한 개인사생활의 침해등 각종 부작용이 우려됨”이라고 써 있다. 당시 정보화, 전산화의 이면에 사생활 침해에 대한 우려가 있었음을 드러내는 대목이다. 이후 1998년 「정보통신망이용촉진등에관한법률」(정보통신망법)이 입법되어 민간의 개인정보 보호에 관한 기본적인 틀이 마련되었다. 2011년 「개인정보 보호법」의 입법에 따라 개인정보 보호위원회가 출범했고, 공공영역과 민간영역의 개인정보 관련 법제가 통합되어 일관된 개인정보 보호의무가 마련되었다.
헌법의 영역에서도 2005년 무렵 개인정보 자기결정권이라는 말이 공식적인 헌법상 기본권으로서 자리잡게 되었다. 헌법재판소는 “개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리, 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리”라고 하면서, “새로운 독자적 기본권으로서의 개인정보자기결정권을 헌법적으로 승인”한다고 밝혔다(헌재 2005. 5. 26. 99헌마513).
개인정보 자기결정권은 개인이 자신의 정보를 누군가에게 제공함으로써 작동하게 된다. 개인정보를 수집한 사람은 관련 법령에 따라 그 정보를 보호해야 할 의무를 가진다. 이 의무가 실효적으로 작동하기 위해서는, 이 의무를 위반했을 때 엄정한 제재가 뒤따라야 한다.
사업자의 관리 소홀로 인하여 개인정보 유출이 이루어졌다면, 다른 특별한 사정이 없는 한 행정상 과징금 부과와 민사상 손해배상책임이 이어질 수 있다. 과징금 부과를 담당하는 개인정보 보호위원회는 정원 170명도 안 되는 소규모 조직에 불과하며, 조사보다는 정책을 주로 담당하는 조직이다. 게다가 정부가 세상만사에 전부 개입할 수도 없는 노릇이므로, 개별 기업들이 개인정보 관리를 얼마나 충실하게 할 것인가는 결국 민사책임 제도가 얼마나 활발하게 작동할 수 있는가에 따라 달라질 수밖에 없다.
그런데 실제 재판사례를 보면, 법원은 개인정보 유출사고에서 개인정보관리자의 민사책임을 인정하는 데에 인색하다.
2008년 주유 관련 보너스카드 회원정보 약 1,152만 건이 개인정보 관리를 담당하는 업체 직원에 의하여 유출되었던 사건이 있었다. 이 사건에서 법원은 개인정보 유출로 인하여 위자료로 배상할 만한 정신적 손해가 발생했다고 보기는 어렵다며, 사업자의 손해배상책임을 인정하지 않았다(2011다59834).
2008년 유명 온라인 쇼핑몰이 해킹을 당해 고객정보 약 1,800만 건이 유출된 사건, 2011년 유명 포털사이트와 SNS가 해킹을 당해 이용자정보 약 3,500만 건이 유출된 사건에서 법원은 각각 ‘사업자가 당시 정보통신망법상 요구되는 기술적·관리적 보호조치를 다 하였다면, 사업자에게 손해배상책임을 물을 수는 없다’는 취지로 판결했다(2013다43994, 2015다24904).
2013년에는 3개 신용카드 회사 회원정보 약 1억 4백만 건이 용역업체 직원에 의해 유출된 사건이 있었다. 이 사건에서 관련 법령상 요구되는 기술적·관리적 보호조치를 다 하였다는 취지의 카드회사 측 항변이 있었지만, 법원은 카드회사가 그러한 조치를 다 하지 않았다고 보았다. 이 사건의 경우 유출된 개인정보가 대출중개업체 등에 전달되어 텔레마케팅 등 영업에 활용되었다는 사실이 인정되었음에도 고객 1인당 고작 10만 원 수준의 배상액이 인정되었을 뿐이다(2018다214142, 2018다222303 등).
법원이 개인정보 유출에 따른 손해배상에 지나치게 인색하다는 평가가 계속되자, 2015년 「개인정보 보호법」 개정 당시 ‘개인정보처리자의 고의·과실로 인하여 개인정보가 유출된 경우 300만 원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다’는 조항이 신설되었다(제39조의2). 그러나 현재까지 300만 원은커녕 50만 원을 넘는 손해배상액이 인정되었다는 사례도 알려진 바 없다.
개인정보 유출에 따른 불이익이 이 정도 수준이라면, 우리나라에서는 기업들이 개인정보 관리를 엄격하게 할 유인이 부족하다고 볼 수밖에 없다. 최근 대형 이동통신사와 온라인 플랫폼의 고객정보 유출 사고가 잇따라 터지는 구조적인 원인이 결국 법원에 있는 것 아닌가 하는 인상을 지울 수 없다.
개인정보의 부당사용 또는 무단유출로 인한 개인사생활의 침해 등 각종 부작용이 우려된다는 사정은, 1990년대나 지금이나 다르지 않다. 오히려 IT기술이 발달하면서 빅데이터의 중요성은 날로 더 부각되고 있다. 법원은 홀로 외딴 권력기관이 아니며, 국가 시스템을 구성하는 하나의 축이다. 개인정보 유출사고에 대해 입법취지에 충실히 부합하는 판결이 내려지기를 기대한다.
권태준 변호사
