개인정보가 침해되었을 때 구제 방법은?

 

 

 

개인정보란 개인을 식별할 수 있는 모든 정보를 의미하며, 정보화 시대라는 이름에 걸맞게 그 중요성이 날로 커지고 있다. 개인정보는 개인의 생활, 사회활동, 경제활동 등에서 필수적인 요소로, 개인의 자기결정권과 사생활 보호의 측면에서 중요한 가치를 지닌다.

 

 

그러나 개인정보는 무단으로 수집되고, 이용되며, 제공되고, 공유되는 등의 침해를 받을 가능성이 농후하다. 개인정보의 침해는 개인의 권익을 침해할 뿐만 아니라, 경제적 또는 정신적 피해를 초래할 수 있다.

 

 

따라서 개인정보 침해에 대한 구제수단은 개인정보의 침해로 인해 권익을 침해받은 피해자들의 권익을 보호하기 위한 중요한 수단이다. 구제수단은 크게 형사적 구제수단, 민사적 구제수단, 행정적 구제수단으로 나눌 수 있는데, 형사적 구제수단은 개인정보 침해를 한 자를 처벌하고 앞으로 이러한 침해가 일어나지 않도록 하는 징벌적인 구제수단이 대부분인 것에 비해, 민사적 구제수단은 침해당한 피해자의 권익을 다시 회복시킬 수 있다는 점에서 형사적 구제수단보다 민사적 구제수단이 개인정보 침해에 대한 더 근본적인 구제수단이라고 평가된다.

 

 

 

어디까지가 개인정보일까?

 

 

개인정보란 개별 개인을 식별하거나 그 개인의 정체성을 파악할 수 있는 정보를 의미한다. 개인에 관한 정보에는 이름, 가족관계, 생년월일 등의 개인의 신상에 관한 정보와 직업이나 금융정보 등의 개인의 사실에 관한 정보가 포함된다. 그러나 모든 정보가 개인과 관련이 있는 것은 아니고, 앞서 언급한 개인에 대한 신상정보나 개인의 사실에 관한 정보로부터 개개인을 알아볼 수 있는, 다시 말해 식별할 수 있는 때에 비로소 '개인정보'라 할 수 있다.

 

 개인정보보호법
제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.
1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)
…(이하생략)…

 

개인정보의 개념과 관련하여 「개인정보보호법」 제2조 제1호에서 ""개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보, 해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 말한다"고 규정하고 있다. 여기에서 "알아볼 수 있는 정보"라는 것은 그 정보에 대하여 어떤한 처리를 하지 않고도 그 개인이 누구인지 "알아볼 수 있는 정보"를 의미한다. 따라서 개인을 알아볼 수 없는 정보, 즉 개인의 식별이 불가능한 익명 정보는 "개인정보"로서의 의미를 가지지 못한다.

 

 

개인정보 침해, 어떻게 판단할까?

개인정보 침해의 유형은 다양하게 분류할 수 있지만, 여기에서는 크게 물리적 침해, 기술적 침해, 사회적 침해로 나누려고 한다.

 

물리적 침해란 개인정보가 보관되어 있는 서류나 장비 등에 대한 물리적 접근으로 인해 침해가 이루어지는 것을 말한다. 개인정보 보관 장소에 물리적 침입이나, 시스템의 오작동 등이 이에 속한다. 기술적 침해란 개인정보를 보관하고 있는 시스템의 취약점을 이용한 침해를 말한다. 즉, 해킹 또는 악성코드 감염 등이 대표적인 사례이고, 이를 통해 시스템이 마비되거나 데이터가 손상 될 수 있다. 마지막으로 사회적 침해는 개인정보의 유출로 인한 침해, 즉 개인정보를 악용하는 것에 의한 침해이다. 이를 통해 2차적으로 사기, 협박 등의 각종 범죄가 발생할 수 있다.

 

 

국내외 개인정보 보호규정 알아보기

 

 

본격적으로 민사적인 구제방법을 알아보기 전에 각 나라의 개인정보 보호규정에 대해 간략하게 소개하려 한다. 먼저 대한민국의 개인정보보호법이다. 개인정보보호법이란 '개인정보의 처리와 보호에 관한 법률'로 주로 개인정보를 수집하고, 저장하고, 처리하고, 제공하는 조직이나 개인의 권리 또는 의무를 규제하는 법률을 말한다. 개인정보보호법은 이러한 사항들을 규정하여 개인정보의 보호와 활용을 균형 있게 도모함으로써 국민의 이익과 권리를 보호하고 나아가 개인의 존엄과 가치를 구현하는 것을 목적으로 하는 법률이다.

 

 

두번째로 GDPR이 있는데, GDPR은 유럽 연합 일반 데이터 보호규정(General Data Protection Regulation)으로 2018년 5월 25일부터 시행된 유럽연합의 개인정보 보호규정이다. GDPR은 유럽연합 회원국 뿐만 아니라 유럽 연합 내에서 개인정보를 다루는 모든 기업과 기관에도 적용된다.

 

 

마지막으로 CCPA라는 규정도 있는데, 이는 미국 캘리포니아주의 민법에 개인정보에 대한 권리를 강화하기 위한 법률로, 2018년 6월 28일에 제정되었고, 2020년 1월 1일에 발효되었다. CCPA의 특징은 개인정보에 관한 정의 중에서도 개인정보의 범위를 가장 넒게 보고 있다는 것이다.

 

 

 

 

개인정보 침해, 어떻게 구제받을 수 있을까?

앞에서 말했다시피 개인정보의 침해로 인해 피해를 받는 자의 권리를 구제하는 것이 범죄자를 처벌하는 것보다 더 중요하다 따라서 우리나라에서는 대표적으로 손해배상청구를 규정하고 있고, 추가적으로 부당이득반환청구와 금지청구의 방법을 시도해 볼 수 있다.

 

개인정보보호법 제39조 제1항은 "정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다"고 규정하고 있다.

 

 개인정보보호법
제39조(손해배상책임) ① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

 

 

개인정보 침해로 인한 손해는 경제적이고 현실적인 손해가 발생하였다는 것을 증명하기가 매우 곤란하여 정신적 손해배상인 위자료를 청구하는 방법을 사용한다. 판례는 정신적 손해의 발생의 판단기준에 대해,

 

 

"유출된 개인정보의 종류와 성격이 무엇인지,
개인정보의 유출로 정보주체를 식별할 가능성이 발생하였는지,
제3자가 유출된 개인정보를 열람하였는지
또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나
앞으로 그 열람 가능성이 있는지,
유출된 개인정보가 어느 범위까지 확산되었는지,
개인정보의 유출로 추가적인 법익침해의 가능성이 발생하였는지,
개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지,
개인정보의 유출로 인한 피해의 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등
여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단"

 

 

한다고 판시한 바 있다.

 

 

 

부당이득반환청구권은 개인정보의 침해로 인해 개인정보 침해자가 얻은 이익을 침해당한 자가 반환을 청구할 수 있는 권리이다. 개인정보 침해로 인해 침해자가 얻은 이익은 침해자가 개인정보를 이용하여 얻은 재산적 이익뿐만 아니라 침해자가 개인정보를 이용하여 얻은 명예나 신용 등의 무형적 이익도 포함하고 있다.

 

 

금지청구권은 침해금지청구권으로 볼 수 있고, 이는 개인정보를 위법하게 침해하는 경우에 정보주체가 불법행위 자체를 금지시킬 수 있는 권리를 말한다. 손해배상청구권이 사후적 구제수단이라면 침해금지청구권은 사전적이고 예방적인 구제수단이다.

 

 

부당이득반환청구권과 침해금지청구권에 대해 자세한 설명이 없는 것은 이 두가지의 구제수단은 어디까지나 보완적 수단인 것이기 때문이다. 개인정보 침해와 관련된 어떤 판례도 이 두가지의 수단을 사용한 판례는 찾아볼 수 없다. 따라서 이 구제수단은 이론적으로만 가능한 것이지 실무에서는 잘 사용되지 않는 것으로 보이기 때문에 구체적인 언급을 자제하였다.

 

 

 

법적 구제를 통한 개인정보 보호

개인정보의 보호에 관한 문제는 현대 사회에서 매우 중요한 이슈로 자리 잡고 있다. 따라서 개인정보의 침해로 인한 피해는 점점 늘어나고 있는 추세이다. 이에 따라 법적인 구제를 통한 개인정보의 보호가 절실해 보인다. 결과적으로 개인정보 침해에 대한 민사적 구제수단은 개인정보의 침해로 인한 피해자의 권리 구제와 손해의 회복을 위한 중요한 수단이다. 또한 이러한 문제점을 개선하기 위해 개인정보의 보호와 관련된 법규나 규정은 계속적으로 발전하고 수정되고 있으며, 개인정보 보호 담당 기관도 확대되고 있다. 이로써 민사적인 구제수단을 사용하여 개인정보의 침해 사건을 해결하는 것은 더욱 수월해졌다.

 

그러나 민사적 구제라는 것은 개인정보의 적당한 보호라는 과제를 수행하기 위한 여러 도구 중 하나에 불과하다. 또한 현행법상 개인정보 침해에 대한 구제수단은 피해자의 권리 보호에 충분하지 않다는 지적이 있다.

 

우선, 손해배상액 산정이 어렵다. 개인정보침해로 인한 손해는 정신적 손해, 재산적 손해, 기회 손실 등 다양한 형태로 발현될 수 있다. 그러나 이러한 손해를 정확하게 산정하는 것은 어렵기 때문에, 피해자는 실제로 피해를 입었음에도 불구하고 충분한 손해배상을 받지 못하는 경우가 많다.

 

둘째로, 침해행위를 금지하는 법적인 수단이 미흡하다. 개인정보침해에 대한 민사소송은 피해자가 침해행위를 한 자를 상대로 손해배상을 청구하는 방식으로 진행된다. 따라서 침해행위를 금지하거나 중지하는 구제수단은 제한적일뿐이다.

 

셋째, 피해자에 대한 배상책임이 불명확하다는 지적도 있다. 현행 민법상 개인정보침해에 대한 손해배상책임은 침해행위를 한 자에게만 있다. 그러나 개인정보침해는 기업의 내부 통제 미흡이나, 정부의 정책적인 실패 등 다양한 원인으로 발생할 수 있다. 따라서 침해행위를 한 자에 대한 배상책임만을 강조하는 것은 피해자 보호에 충분하지 않다.

 

 

 

 

이러한 문제점을 해결하기 위해서는 다음과 같은 개선 방향이 필요해 보인다.

 

 

첫째, 손해배상액 산정을 위한 구체적인 기준이 마련되어야 한다. 개인정보의 침해로 인한 손해의 유형별로 구체적인 산정 기준을 마련함으로써 피해자가 실제로 피해를 입었음에도 불구하고 충분한 손해배상을 받지 못하는 것에 대한 문제를 해결할 수 있을 것이다.

 

 

둘째, 침해행위를 금지하는 구제수단을 강화해야 한다. 침해행위를 한 자를 상대로 손해배상을 청구하는 방식과 더불어, 침해행위를 금지하거나 중지하는 구제수단을 도입하여 피해자의 권리보호를 강화할 수 있다.

 

 

셋째, 침해행위에 대한 배상책임을 확대한다. 개인정보침해에 대한 손해배상 책임을 침해행위를 한 자 뿐만 아니라 기업이나 정부 등에게까지 확대함으로써, 피해자에 대한 보호를 강화할 수 있다.

 

 

개인정보에 대한 민사적 구제수단의 개선은 개인정보의 보호 실효성을 높임과 동시에 피해자의 권리 보호를 강화하는 것에 중요한 역할을 할 것이다. 그러나 마냥 법적인 구제수단의 개선을 기다리기보다 우리 스스로 개인정보에 대한 보호 의식을 높이고, 법률적 규정을 각자가 준수함으로써 우리 사회는 더 안전하고 신뢰할 수 있는 공간을 조성할 수 있을 것이라 기대한다.

 

 

 

 

참고문헌
김용학, "개인정보 침해 행위에 대한 처벌제도 개선 연구: 형사정책의 지도이념을 통한 검증을 중심으로", 숭실대학교 대학원, 2019.08
김정화, "개인정보침해에 대한 사법적 구제에 관한 연구", 숭실대학교 대학원, 2013.02.
엄동섭, "불법행위법의 개정", "민사법학" 제60권, 2012
이윤호, "개인정보 침해와 권리구제 방안에 대한 연구", 홍익대학교 대학원, 2015.08
정상조, "개인정보의 보호와 민사적 구제수단", 법조협회, 2009.03.01

 

 

 

글 = 제15기 법무부 국민기자단 손정민(대학부)