|
비슷한 시기에 B가상화폐 거래소에서도 유사한 개인정보 유출 사고가 있었다. 원인은 마찬가지로 해킹이었다. 그런데 B거래소는 “개인정보 유출이 확인된 모든 회원에게 10만원의 보상금을 지급하겠으며, 2차 피해에 대해서도 전액 보상하겠다”고 공식 발표했다. 개인정보 유출 그 자체를 피해로 규정하고 그에 상응하는 보상을 결정한 것이다.
유출 당사자들의 입장에서는 “개인정보가 유출된 것만으로도 이미 피해가 발생한 것이니, 당연히 보상을 받아야 하는 것이 아니냐”고 생각할 수 있다. 그러나 아주 간단치만은 않은 문제다. 두 회사의 엇갈린 결정에는 나름의 이유가 있다. 통상 2차 피해가 발생하지 않는 이상 개인정보 유출로 인한 손해는 정신적 손해가 대부분인데, 우리 법원은 “유출된 개인정보로 인한 추가적인 법익침해 가능성이 없고, 피해확산 방지를 위한 충분한 조치가 취해졌다면, 개인정보 유출로 인해 정신적 손해가 발생했다고 보기 어렵다”는 입장이다. 또 유출 당시 요구되는 수준의 기술적 보호조치가 취해졌음에도 해킹을 당한 경우에는 개인정보처리자에게 과실이 없으므로 배상책임이 없다는 것이 법원 입장이다. A투자선물의 경우도 “필요한 기술적 보호조치를 다했고 추가적인 피해확산 가능성이 없다”는 이유로 보상을 거절한 것으로 보인다.
그러나 최근 개인정보 보호가 강화되고 있는 추세여서 A투자선물의 판단이 옳다고 단정하기 어렵다. 첫째, 개인정보 유출로 인한 피해구제를 강화하기 위해 개인정보보호법에 법정손해배상제도가 도입돼 2016년 7월 25일부터 시행됐다. 유출 피해자가 손해액을 입증하지 않아도 법에서 정한 한도(300만원) 내에서 손해배상을 청구할 수 있고, 법원도 상당한 범위 내에서 재량으로 손해액을 결정할 수 있도록 한 제도다. 둘째, 최근 법원의 판결도 개인정보보호 강화 추세에 부합하는 흐름에 있어 주목해 볼 필요가 있다. 최근 카드사 3사와 KT 개인정보 유출 사건에서, 법원은 개인정보 유출에 따른 피해 보상(각 10만원)을 명했다. ‘스팸문자’ 등을 받게 되는 등의 상황도 정신적 피해의 일종으로 볼 수 있다며 위자료 인정 범위를 넓게 해석한 것이 주목할 만한 부분이다. 개인정보처리자에게 높은 수준의 기술적 보호조치의무를 부여하는 최근의 경향도 반영됐다. 개별 사안마다 달리 해석될 가능성이 있지만, 개인정보 유출 사실만으로도 피해보상을 받을 수 있는 가능성이 과거보다 높아진 것만은 사실이다. B거래소의 결정 역시 이러한 경향을 반영힌 것이다.
여기저기서 걸려오는 스팸전화나 문자가 우리의 바쁜 일상을 괴롭히고 있다. 도용한 개인정보를 이용한 지능형 범죄 또한 날로 심각해지고 있다. 개인정보처리자에게 보다 높은 수준의 사회적 책임이 요구되는 때다. 무엇보다 개인정보에 대한 정보주체의 권리의식 또한 성장해야 한다. 그런 점에서 개인정보 유출 자체를 ‘보상이 요구되는 피해 현상’으로 인식하는 사회적 분위기가 조성되고 있다는 것은 반가운 일이다. <허종 법무법인 지평 변호사>
