개인정보 유출로 인한 정신적 손해와 관련하여
개인정보가 유출되면 당연하게도 정신적 손해가 발생할 것이다. 언젠가 발생할 수 있는 피해에 대한 두려움이 있기 때문이다. 그런데 정신적 손해라는 것은 어느 분야에서나 입증하기 힘든 영역이다. 따라서 그간의 판례, 해외의 사례를 토대로 정신적 손해에 대한 기준에 대해 탐구하도록 한다.
사례 1. 리니지Ⅱ 이용자 개인정보 유출 사건(대법원 2008)
피고 회사 직원의 실수로 이용자의 ID, PW가 유출되는 사고가 발생하였고, 이에 피고 회사는 로그파일이 자동 삭제되도록 시스템 패치를 하는 한편, 모든 이용자가 주민등록번호를 통한 본인확인 진행 후 비밀번호를 반드시 변경하도록 조치하였다.
여기서 PC방을 이용해 리니지Ⅱ를 플레이한 사람과 본인의 집에서 개인 PC를 이용해 리니지를 플레이한 사람이 나뉘게 된다. 피고 회사 측에서는 후자의 경우 개인정보 유출의 염려가 없다고 주장하였으나, 법원은 그 주장을 받아들이지 않았다. 로그파일이 본인의 컴퓨터에 저장되었다고 해도, 개인정보 유출의 위험이 전혀 없다고 볼 수 없기 때문이다.
리니지Ⅱ 개인정보 유출 사건에 대한 '정신적 손해 발생 판단기준'을 대입하여 검토한 결과는 다음과 같다.
① 유출된 개인정보의 종류와 성격
유출된 정보는 ID와 PW로, 게임 서비스에 직접적으로 접근할 수 있는 정보다. 유출된 정보의 성격상 원고들이 정신적 손해를 입을 가능성이 높다고 할 수 있다.
② 정보주체의 식별가능성 발생 여부
원고들이 사용한 ID와 PW는 특정 개인을 식별할 수 있는 정보로, 제3자가 원고들을 특정할 수 있는 정보다. 따라서 이 기준에 따라 원고들은 정신적 손해를 입을 수 있는 상황에 놓였다.
③ 제3자의 열람여부 또는 열람가능성
이용자의 ID와 PW는 사용한 컴퓨터의 하드디스크에 로그파일로 저장되며, 로그파일의 저장 위치를 알고 있는 제3자라면 언제든 열람을 할 수 있다. 특히 PC방의 경우 보통 PC를 종료하면 사용자의 히스토리가 삭제되지만, 하드디스크의 경로에 대해서는 삭제 범위 밖에 있는 것이라면 더욱 열람가능성이 커질 수 있을 것이다.
④ 유출된 개인정보의 확산 범위
유출된 로그파일이 이용자가 접속한 모든 컴퓨터에 저장되기 때문에 개인정보의 확산 범위가 상당히 넓다고 볼 수 있다. 이는 여러 이용자에게 영향을 미칠 수 있으며, 원고들의 정신적 불안이 커질 것이다.
⑤ 추가적 법익침해 가능성
유출된 개인정보를 제3자가 불법적으로 악용할 경우 추가적인 피해를 초래할 가능성이 있으며, 이는 원고들의 정신적 고통을 더욱 심화시키는 요소가 된다.
⑥ 개인정보를 처리하는 자가 개인정보를 관리해 온 실태와 개인정보가 유출된 구체적인 경위
이는 처리자의 개인정보 관리 소홀로 인한 것이며, 사고 발생 후 신속한 조치를 하였지만 이미 정보는 유출된 상태였다. 따라서 조치의 한계로 인해 원고들의 정신적 피해를 완전히 방지할 수는 없다고 볼 수 있다.
사례 2. GS 칼텍스 보너스카드 회원 개인정보 유출 (대법원 2012)
GS 칼텍스(피고1)은 고객서비스센터 운영 업무를 GS 넥스테이션(피고2)에게 위탁하였다. 피고2의 관리팀 직원 A는 직원 B등과 공모하여 보너스카드 회원의 개인정보를 빼내어 시중에 판매하거나, 집단소송을 의뢰받을 편호사에게 판매하기로 하였다. 이후 A, B는 고객정보를 저장매체에 저장하고 복제한 후, 집단소송에 활용할 목적으로 고객정보가 저장된 저장매체를 언론관계자들에게 제공했다.
이 사건에 대해 대법원은 개인정보의 유출은 인정하였으나, 원고들의 정신적 손해 발생을 인정하지는 않았다. GS 칼텍스는 유출된 고객정보가 수록된 CD, DVD, US, 외장형 하드디스크 및 관련 컴퓨터와 노트북을 모두 압수하고 폐기하는 등의 조치를 취하였고, 대법원은 원고들이 경험한 정신적 고통을 고려하지는 않았다.
사례 2-1. 일본 우치시 주민대장정보 유출 (고등재판소 2001)
우치시는 주민기본대장 등의 데이터(주민등록번호, 주소, 이름, 성별, 생년월일, 전입일, 세대주명, 세대주와의 친족관계 등의 개인정보)를 활용하여 유아검진시스템 개발을 계획하였다. 그러나 이를 위탁하고, 위탁한 회사에서 임의로 재위탁을 하였으며, 재위탁을 받은 회사에서 데이터를 복사하여 명부판매업자에게 판매를 한 사실이 있다.
오사카 고등재판소는 데이터가 유출되어 구매광고에 인터넷에 게재된 것에 대해 원고들의 권리 침해가 있었고, 자신의 데이터가 불특정 사람에게 언제 구매되고 어떠한 목적으로 이용되는지 모른다는 불안감을 갖게 되었으므로, 위자료를 배상할 만한 정신적 고통을 받았다고 판결하였다.
사례2에서는 정신적 고통이 인정되지 않았고, 사례3에서는 정신적 고통이 인정되었는데, 이는 다음과 같은 차이가 있다고 볼 수 있을 것이다.
GS의 경우, 관련 데이터를 모두 회수하고 폐기하는 조치를 취했으나, 일본 우치시의 경우 데이터를 모두 회수하지는 못했다는 점이다. 허나 그렇다 하더라도, 제3자의 열람 여부와 열람 가능성을 중점적으로 고려한다면, 대법원의 판단은 상당히 아쉬운 부분이 있다. 조치를 다 했다고 해서 정신적 고통이 해소되는 것은 아니니 말이다.
그런데 앞서 말했듯, 정신적 손해를 어떻게 '객관적'으로 입증할 것이냐가 관건이 된다. 이를 위해서는 스트레스 호르몬 수치의 변화를 분석한 생리적 반응 측정이나, 피해자가 사회적 활동을 줄이고 외출을 회피하는 등 행동 변화 기록을 제출하는 것이 정신적 고통의 직접적인 증거가 될 수 있을 것이다.
사례 3. LG 유플러스 개인정보 유출 (대법원 2014)
주식회사 A가 개인휴대통신서비스를 제공하는 주식회사 B로부터 서버와 연동하는 웹사이트의 시스템 점검을 위하여 서버와 연동할 수 있는 아이디와 비밀번호를 임시로 부여받았으나, 시스템 점검 후 아이디와 비밀번호를 삭제하지 않아 휴대폰 번호를 입력하면 가입자의 개인정보가 서버로부터 전송되는 상태에 놓이게 되었다.
대법원은 휴대폰 번호를 입력하기 전에는 개인정보는 서버에 그대로 보관한 채 아무런 접근이 이루어지지 않으며, 회사 B가 관리․통제권을 행사하여 위 웹사이트와 서버가 더 이상 연동하지 않도록 함으로써 병 등의 개인정보에 대한 접근과 전송 가능성을 없앨 수 있었던 상태에 있었으므로, 휴대폰 번호가 위 웹사이트의 휴대폰 정보 조회 페이지에 입력되었는지가 확인되지 않은 상황에서 위 웹사이트와 서버가 연동하고 있었다 하더라도 개인정보가 B 회사의 관리․통제권을 벗어나 제3자가 내용을 알 수 있는 상태에 이르게 되었다고 볼 수 없다고 판단했다. 따라서 정신적 손해의 배상을 인정하지 않았다.
사례 3-1. 일본 야후 BB 개인정보 유출 사건 (오사카지방법원 2004)
일본의 경우에도, 내부 직원에의해 개인정보가 유출되었으나 그 유출정보가 제3자에게 전달되기전 범인들이 검거되어 추가 유통이 차단되었던 사례가 있었다. 그런데 일본의 법원은 원고당 5,500엔의 정신적 손해를 인정했다. 이는 우리나라의 ‘GS칼텍스 판결’과 정반대의 결론이다.
일본 야후(Yahoo!)의 자회사 BB테크놀러지에서 이용자 471만명 및 650만 명 고객의 성명, 주소, 전화번호, 이메일, 야후 ID 등이 내부 직원에 의해 위 공범들이 일본 야후 측에 접촉하여 유출한 개인정보를 유통하겠다고 협박하던 중에 공갈미수 혐의로 검거되면서 유출정보가 모두 회수되었다. 이용자들이 제기한 손해배상청구소송에서 피고 BB테크놀러지는 유출된 개인정보의 2차 유출이 없어 원고들의 정신적 손해가 없다고 항변했다. 그럼에도 오사카지방법원은 정신적 피해를 인정한 것이다.
여기서 오사카지방법원의 판결문의 내용이 참 피해자들의 공감을 불러일으킨다. “개인정보를 자기가 원치 않는 타인에게 함부로 이를 공개되기 싫다고생각하는 것은 자연스러운 일이며, 그러한 기대는 보호받아야 마땅"하다는 것이다. 이 '기대'라는 것이 우리나라 민법에서도 분명 자주 쓰이는 개념인데, 기대를 배신한다는 것을 개인정보보호법 판례에서는 찾기 어렵다.
물론, 개인정보가 모두 회수되었기에 원고당 5,500엔이라는 소액만 받게 되었으나, 핵심은 소액이라도 손해를 인정을 했다는 데 있다. 이는 개인정보 유출에 대한 국내 법원과 일본 법원의 차이를 단적으로 보여주는 사례다.
따라서 국내의 개인정보보호법에서는 실제 유출이 발생했을 때만 기대라는 것의 배신 혹은 정신적인 부분에 대해서 고려한다고 보는 것이 옳을 것이다.
민법 제751조 제1항은 “타인의 신체, 자유 또는 명예를 해하거나 기타 정신상 고통을 가한 자는 재산 이외의 손해에 대하여도배상할 책임이 있다.”라고 규정한다. 제751조는 신체 · 자유 · 명예를 침해당하거나 기타 정신상 고통을 입은 자는 위자료청구권을가지는 것으로 규정하고 있는데, 동조는 정신적 손해를 입은 직접적 피해자가 제750조에 의하여 위자료청구권을 행사할 수 있음을주의적으로 규정한 것에 지나지 않는다. 따라서 제751조에 열거된신체 · 자유 · 명예 · 침해 이외의 불법행위의 경우에도 정신적 손해를 입은 자는 위자료청구권을 가지게 되며 어느 경우든 청구권의근거는 제750조가 된다.
개인정보 보호법(제39조), 정보통신망법(제32조)에서는 정보통신서비스 제공자 등이 법을 위반하여 개인정보가 유출되어 손해가 발생한 경우 해당 정보주체에 대해 손해배상청구를 인정하고있다. 이 경우 역시 그 본질은 인격권 침해에 따른 손해배상(위자료)의 청구라 할 것이고, 다만 피해자 구제 차원에서 고의․과실에 대한 증명책임을 전환하고 있다. 개인정보의 유출은 개인정보자기결정권을 침해하는 것으로 개인정보자기결정권은 인격권의 일종이다. 결과적으로 개인정보의 유출은 적법하게 정보를수집하여 저장 · 관리 중이던 개인정보처리자가 정보주체의 개인정보 자기결정권을 침해한 것으로, 따라서 이러한 침해는 인격권에대한 침해라 할 것으로 민법상의 위자료청구의 대상 및 개인정보보호법상 손해배상청구의 대상이 된다고 할 수 있다.
그러나 현실에서는 구체적인 손해보다 개인정보의 유출 그 자체로 손해배상의 대상이 되는 손해인지가 더 중요한 문제로 나타난다. 개인정보 유출의 경우에는 그에 따른 위험성이 증가하는데, 이를 곧바로 인정할 것인지, 아니면 개인정보 유출 그 자체로 정신적 고통이 발생한 것으로 보아 손해의 발생을 인정할 것인지가 문제된다. 그리고 그간의 판례로 보건대, 현재까지는 유출 그 자체로 정신적 고통이 발생한 것으로 볼 수 없다는 것이 법원의 입장이다.
유출이 발생했을 때, 그때 위에서 기재한 ①~⑦을 따지는 것이 현재의 방식이라고 볼 수 있을 것이나, 이 부분에 대해서는 반드시 개선이 필요하다. 사실 국내법은 일본법의 영향을 많이 받았고, 그렇기에 우리나라와 일본 사이에 법률상 공통점이 많은 것이 사실이다. 물론, 일본을 비롯한 다른 나라의 법률적 태도가 반드시 옳다고는 할 수 없으나, 참고할 만한 사항이 있다면 언제든 참고하는 것이 좋다.
개인정보의 유출로 인해 발생하는 대다수의 손해는 재산상의 손해보다 정신적 손해가 더 큰 비중을 차지하여, 피해자들이겪는 심리적 충격이 광범위하다. 일단 개인정보가 유출되면, 피해자들이 떠올리는 것들로는 신분도용(대포통장 등), 보이스피싱 등이 있을 것이며, 실제로 수개월 혹은 수년 후 범죄가 일어났다고 한들, 개인 입장에서 앞서 일어난 개인정보 유출과 본인이 겪은 사고의 연관성을 입증하는 것은 실질적으로 불가하다. 이것이 현재 국내 판례상 개인정보보호법에서 갖는 대표적인 문제일 것이며, 따라서 정신적손해의 인정과 배상 방안에 대한 논의는 더욱 필요하다.
정신적 손해의 범위와 깊이를 늘리는 것이 앞으로의 과제일 것이며, 이를 위해서는 개인의 기본적인 권리와 자유를 보장받고자 하는 사회적 인식이 높아져야만 할 것이다. 피해자들이 개인정보 유출로 인한 정신적 고통을 최소화할 수 있도록, 법적 및 사회적 차원에서의 강화가 필요할 것이다.