# 소 잃고 외양간 고쳐 봐야 소용없는 개인정보 유출, 사전에 막는 것이 최선이다

개인정보는 한 번 유출되면 걷잡을 수 없다는 특징을 가지고 있다. 일단 ‘봉인해제’된 개인정보는 그 이후부터는 누구든 이용 가능한 ‘공공재’로 전락해 버리기 때문이다. 이에 개인정보는 유출되기 전에 사전에 막는 것이 최선이다. 개인정보보호법은 개인정보를 처리하는 자가 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손 되지 않도록 내부 관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하도록 의무를 부과하고 있는데(제29조 참조), 보다 구체적으로 개인정보를 처리하는 자는 개인정보 처리 방침을 수립하고 이를 공개해야 하고(제30조 참조), 개인정보 보호책임자를 지정해야 한다(제31조 참조).

한편 당사자인 정보주체로서도 개인정보를 처리하는 자에 대하여 적극적으로 개인정보 열람을 요청하거나 정정, 삭제 및 처리정지를 요구할 수 있다(제35조 내지 제37조 참조). 특히 최근 사회적으로 관심이 높아가고 있는 이른바 ‘잊혀질 권리’는 아직 국내에서 본격적인 입법이 이루어지지는 않은 상태지만, 현행 개인정보보호법 제36조 상의 개인정보 정정, 삭제 청구권을 통해 이미 도입된 것으로 볼 수 있지 않느냐는 견해도 있어 향후 실무와 학계의 논의가 필요한 상태다.

 

# 개인정보가 유출되었을 때의 구체적인 대응방안은?

만약 개인정보가 유출되었다는 사실이 확인되면, 우선 개인정보를 처리하는 자는 지체 없이 해당 정보주체에게 유출된 개인정보의 항목(제1호), 유출된 시점과 그 경위(제2호), 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보(제3호), 개인정보처리자의 대응조치 및 피해 구제절차(제4호), 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처(제5호)를 알려야 하고(제34조 제1항), 특히 그것이 1천명 이상의 정보주체의 개인정보가 유출되는 대규모 사태인 경우에는 행정안전부장관 또는 한국인터넷진흥원에 신고를 해야 한다(제34조 제3항 참조).

한편 개인정보에 관한 권리 또는 이익을 침해받은 사람은 행정안전부장관에게 그 침해 사실을 신고할 수 있고(제62조 참조), 관련한 분쟁에 대해서는 개인정보 분쟁조정위원회를 이용할 수 있다(제40조 이하 참조). 더 나아가 이미 발생한 개인정보 유출 사태에 대해서는 정보주체가 개인정보를 처리하는 자를 상대로 민사상 손해배상 청구를 할 수도 있는데, 이 때 개인정보처리자는 고의 또는 과실이 없음을 스스로 입증을 해야 비로소 책임을 면할 수 있다(제39조 제1항 참조). 이는 불법행위에 따른 손해배상책임을 청구할 때 고의 또는 과실이 존재한다는 사실을 피해를 입은 측에서 입증해야 하는 일반적인 경우와 달리 고의 또는 과실 없음을 개인정보를 처리하는 자가 입증하도록 하고 있어 피해자 측에 유리하도록 입증책임을 전환한 것으로 보인다. 다만, 실무적으로 보면, 법원은 이른바 ‘옥션의 개인정보 유출 사건’에서 정보통신서비스제공자가 고시에서 정하고 있는 기술적, 관리적 보호조치를 다하였다면, 특별한 사정이 없는 한, 정보통신서비스제공자가 개인정보의 안전상 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였다고 보기는 어렵다(대법원 2015. 2. 12. 선고 2013다43994 판결)는 취지로 옥션 측에 유리하게 판시한 바 있어 적어도 개인정보 유출과 관련해 기업 쪽에 유리한 판례가 형성되어 있는 것으로 보인다.

2014년 카드사의 개인정보 유출 사고 이후 이른바 징벌적 손해배상과 법정손해배상책임 제도가 도입된 것도 눈여겨 볼만하다. 이에 따르면 기업의 고의, 중과실로 개인정보가 유출되거나 동의 없이 활용하여 피해가 발생한 경우에는 실제 피해액의 3배 이내에서 재산상 정신적 피해가 배상되고(제39조 제3항 참조), 기업의 고의, 과실로 개인정보가 분실, 도난, 유출되었으나 사실상 피해입증이 어려운 경우라 하더라도 법원은 300만원 이하의 범위에서 각 피해자들에게 상당한 손해액을 인정하고 있다(제39조의 2 참조). 이는 피해자들이 개인정보 유출에 따른 손해배상청구를 할 때 발생하는 입증의 어려움을 덜어주고, 비록 손해배상청구를 위한 입증을 다하지 못하더라도 피해자들이 최소한의 금액이라도 배상받을 수 있도록 한 정책적 고려인 것으로 보인다. 그 밖에 개인정보보호법은 개인정보 유출 발생 시 단체소송을 할 수 있는 길을 열어주고 있는 것도 특이할만한 점이다(제51조 참조).

IT기술의 발전과 개인의 프라이버시에 대한 인식 제고로 개인정보 보호에 대한 논의는 나날이 성숙하고 있으나, 법제도의 정비는 아직 이를 쫓아가고 있지 못한 형편이다. 개인정보를 필요 이상으로 보호하는 것은 제4차 산업혁명 시대의 새로운 산업 발전을 가로막는 장애물이 될 수 있지만, 지나치게 느슨한 규율은 ‘빅브라더’ 논란을 야기할 수 있다는 점에서 개인정보보호와 관련한 사회적 논의와 합의, 이를 바탕으로 한 법제도 마련이 시급해 보인다.    

키워드

#이코노믹리뷰 #조태진 법조전문기자/변호사