Ⅰ. 서론 최근 ICT 의눈부신성장을바탕으로빠르게인터넷생태계가변화하고있다. PC 끼리만인 FOCUS 터넷으로연결이되던인터넷 1.0시대를지나모바일디바이스로사람들끼리도연결이가능한인터넷 2.0시대까지오게되었다. 또한, 최근에는사물인터넷 (IoT) 을통해언제어디서든사람과사물을

F O C U S 1 개인정보침해에대한손해배상의근거와피해구제제도 * 진대화 ** 최근카드 3사유출, 대형포털사의개인정보유출등여러가지개인정보침해사건이발생하고있다. 이러한사건이발생함에따라개인정보유출의실질적인피해자라고할수있는정보주체들의손해배상과피해구제에대한관심이높아지게되었다. 이에개인정보침해에대한손해배상의근거를살펴보고이를해결하기위한구제방법까지알아보고자한다. Ⅰ. 서론 Ⅱ. 개인정보침해현황및특성 1. 개인정보침해사고현황 2. 개인정보침해에따른피해의특성 3. 개인정보침해에따른손해배상의필요성 Ⅲ. 현행개인정보보호법에서의손해배상 1. 개인정보법제39조의해석 2. 개인정보침해에서의손해배상의내용 3. 징벌적손해배상의도입가능성검토 Ⅳ. 개인정보침해에관한피해구제제도 1. 서설 2. 법정손해배상제도 3. 단체소송제도 4. 분쟁조정제도 Ⅴ. 결론 ** 본고는한국인터넷진흥원이인하대학교산학협력단에위탁한 종합지원시스템의개인정보분쟁조정기능강화방안마련 을참조하여작성되었습니다. ** 한국인터넷진흥원개인정보기술지원팀주임연구원 (dhjin@kisa.or.kr) 4 INTERNET & SECURITY FOCUS July 2014

Ⅰ. 서론 최근 ICT 의눈부신성장을바탕으로빠르게인터넷생태계가변화하고있다. PC 끼리만인 FOCUS 터넷으로연결이되던인터넷 1.0시대를지나모바일디바이스로사람들끼리도연결이가능한인터넷 2.0시대까지오게되었다. 또한, 최근에는사물인터넷 (IoT) 을통해언제어디서든사람과사물을구별하지않고인터넷으로연결할수있는인터넷 3.0시대의장을열게되었다. 그러나이러한인터넷생태계의편리함의이면에부작용이존재하기마련이다. 부작용의대표적인예로서는개인정보침해를들수있다. 인터넷 1.0시대에서 PC만으로개인정보를침해하였다면인터넷 2.0시대에서는언제어느장소에서든모바일디바이스를이용해서개인정보를침해할수있게되었으며또한, 인터넷 3.0시대에서는연결되어있는사물들로인해자신이인지하지못하는순간에도타인에개인정보를침해하는시대가도래하게되었다. 이때문에개인정보침해사건이증가하게되었으며, 이에관련법률과제도도발맞추어변해가고있지만아래와같이개인정보침해건수는날이갈수록늘어가는추세에있다. 한국인터넷진흥원개인정보침해신고센터통계에따르면 2010년 54,832건이였던침해신고및상담이 2011년 122,215건, 2012년 166,801건, 2013년 177,736건으로급증한것을알수있다. 이와같이피해사건이증가하고있는바이의피해를구제해줄필요성이대두되고있다. 이에본고에서는개인정보침해사고에있어서손해배상의근거를살펴보고자한다. 특히개인정보보호법에서의손해배상근거를확인하고, 마지막으로발전적인개인정보침해에따른피해구제제도에대해서확인하고검토해보기로한다. [ 그림 1] 개인정보침해신고상담건수 5

Ⅱ. 개인정보침해현황및특성 1. 개인정보침해사고현황 최근개인정보의가치증대및해킹기술등의진화로끊임없이매스컴을통해서개인정보유출사고소식이들리고있다. 이로인한피해자의수와피해금액은날로증가하고있다. 1.25인터넷침해사고부터시작하여게임업체부터은행그리고최근이슈가되었던카드3사개인정보유출까지끊임없는사고들이발생하고있다. 개인정보보호법, 정보보호강화대책등여러가지정책과법률의개정을통해서개인정보침해사고를방지하려고했으나아이러니하게도개인정보유출로인한사고는점차많아지고그피해액도증가하고있다. 이러한피해와같이소송도발생하게되어서소송현황을정리해보면아래와같다. < 표 1> 대량의개인정보유출사고및소송현황 (2013. 10. 기준 ) 1 사업자명사고일시피해자수 엔씨소프트리니지 1인당소송청구액재판결과 1인당배상액 2005.5 40~50 만명 500 만원 10 만원 1 심, 50 만원 2006.2 28 만명 100 만원원고패소 국민은행 2006.3 32,277 명 100 만원 10 만원 1 심, 7 만원 비고 300 만원 20 만원 1 심, 10 만원 LG 전자 2006.9 400 명 2,000 만원 30 만원 1 심, 70 만원 옥션 2008.2 1,863 명 100~200 만원원고패소소비자분쟁조정 5~10 만원 2 심진행중 하나로텔레콤 2008.4 600 만명 100 만원 10~20 만원 LG 텔레콤 2008.4 800 만명 100 만원원고패소 다음 2008.7 55 만명 30 만원원고패소 GS 칼텍스 2008.9 1,151 만명 100 만원원고패소 현대캐피탈 2011.4 175 만명소송움직임 SK 커뮤니케이션즈 2011.6 3,500 만명 100 만원 1 심일부승소진행중 / 1 심, 20 만원 넥슨메이플스토리 2011.11 1,320 만명 KT 2012.7 873 만명 30~50 만원진행중 보험개발원 협회 2009.9-2012.3/2013.11 800 만건 증거불충분무혐의 / 소송움직임 금감위조사및징계조치 1 인하대학교산학협력단. 종합지원시스템의개인정보분쟁조정기능강화방안마련 8-9 면참조. 6 INTERNET & SECURITY FOCUS July 2014

위에정리한대량의개인정보유출사고와그에따른소송내용을사고원인별로보면크게 내부의관리소홀로인한유출과고의적인불법행위로인한유출로나눌수있다. 그리고불 법행위로인한유출의경우는해킹에의한유출, 범죄목적의유출및목적범위외사용을위 FOCUS 한유출로나누어진다. 이유출원인에따라민사소송이직접적으로제기되거나검찰의조사가먼저진행되기도하였다. 구체적인침해사건을보면, 관리소홀로인한유출사건에는리니지 ( 앤씨소프트 ) 사건, 국민은행사건, LG전자사건, LG텔레콤사건, 다음 ( 포털사이트 ) 사건이이에해당하고목적범위외의사용을위한유출에는하나로텔레콤사건이이에해당한다. 또한해킹에의한유출에는옥션사건과현대캐피탈 농협사건, SK 커뮤니케이션즈사건, 넥슨메이플스토리사건및 KT 사건이있으며범죄목적을위한유출로는 GS칼텍스사건이있다. 2 2. 개인정보침해에따른피해의특성 대량의정보처리와유통이가속화되는최근의정보통신상황은개인정보의불법이용과유통을증가시키고있으며, 이에따라개인정보보호가더욱중요하게인식되고있다. 특히모바일인터넷과소셜미디어의등장으로폭증하는데이터가경제적재산이되는 빅데이터시대 가도래하면서개인정보피해가여러특징을가지고발생하고있다. 개인정보침해의특징으로첫째는개인정보침해는다른피해사고와는달리한번의사고로다수의피해자가동시에발생한다. 쉽게말하면물가에돌을떨어뜨리는것과같은원리이다. 개인정보라는돌을떨어뜨리는한번의실수로인하여그파장이계속발생하게되며이러한한번에행위가거대한파장을불러오게된다. 둘째는, 피해사실을인식하기어렵다는것이다. 주로발생하는 2 유형별소송사례를표로보면다음과같다. 관리소홀로인한유출 - 리니지사건 - 국민은행사건 - LG전자사건 - LG텔레콤사건 - 다음사건 고의적인불법행위로인한유출 목적범위외사용을위한유출 해킹에의한유출 범죄목적을위한유출 - 하나로텔레콤 ( 현 SK브로드 - 옥션사건 - GS칼텍스사건 밴드 ) 사건 - 현대캐피탈 / 농협사건 - SK 커뮤니케이션즈 / 네이트 사건 - 넥슨메이플스토리사건 - KT 사건 FOCUS 1 개인정보침해에대한손해배상의근거와피해구제제도 7

침해유형은카드 3사사례에서볼수있듯이대부분내부자의무단유출또는제3자에의한해킹등에의하여발생하고있다. 따라서개인정보침해가발생하였다고하더라도정보주체는침해사실을인식하지못하고있다. 그결과개인정보유출이언론등에공개되거나개인정보유출이라는 1차적피해에따른 2차적피해가발생한경우에비로소자신의개인정보침해사실을알게된다. 셋째, 개인정보침해는비단개인정보침해뿐만아니라다양한확대손해를유발할수있다. 개인정보의무단수집, 목적외이용, 제3자의불법유출등은개인정보에대한침해뿐만아니라불법적으로수집한정보를활용하여핸드폰을개설하거나소액결제를진행하는등의경우금전적인피해라는 2차적피해가발생할수있다는점에서문제의소지가크다고할수있다. 넷째, 개인정보침해는국외에서도발생할수있다. 인터넷은시 공간의제약이없기때문에언제어디서나개인정보를수집 이용할수있다. 물론시장규모의확대는사업자와소비자모두에게이점을부여하지만, 피해가발생할경우피해구제에있어서곤란성을야기하고있다. 특히, 이러한문제는개인정보침해에있어서극명하게나타나고있다. 현재대규모의개인정보유출사건은주로해외에서이루어지고있으며, 침해행위자의적발및처벌이곤란한실정이다. 또한해외로유출된개인정보가누구에게어떠한방식으로활용될것인가에대하여는예상하기곤란하기때문에심각한피해가발생할수있다. 3 3. 개인정보침해에따른손해배상의필요성 IT강국을외치며과학기술의발전을위해달려온우리나라로서는사실개인정보에대한문제제기나관심도는적었다. 그러나위에서살펴본것과같이점차빈번하고대형화되며다양한형태의피해가발생하게되면서개인정보보호의기능을강화하기위해서 1995년에 개인정보보호법 이제정 시행되었다. 시행이후에개인정보의수집 유출 오남용으로부터국민들을보호하고권리와이익증진에큰역할을하게되었다. 그러나개인정보침해로인한손해배상및구제제도에대해서는법체계의상충과사회적인분위기때문에많은합의점과논의를하지못하였다. 이에정보주체의권리를강화하고개인정보침해를위한손해배상제도의검토와구제제도에대한논의가필요하다. 3 고형석 (2011). 개인정보침해와피해구제에관한연구, 법조 통권 661 호, 280-281 면참조. 8 INTERNET & SECURITY FOCUS July 2014

Ⅲ. 현행개인정보보호법에서의손해배상 1. 개인정보보호법제 39 조의해석 FOCUS 1) 서설개인정보보호법제39조제1항전단은개인정보처리자에게손해배상책임을규정한다. 그리고동항후단은개인정보처리자에게고의또는과실에대한귀책사유의입증책임을지우면서, 입증이없으면손해배상책임을면할수없다고규정한다. 이는불법행위에대한손해배상원칙을의미하고있지만, 과실책임주의에입각한통상의손해배상책임을규정하지않았다. 개인정보보호법은개인정보처리자가귀책사유없음을입증하지못하면책임을면할수없다고규정함으로써입증책임을전환하였다. 입증책임의전환은불법행위사례에서원고 ( 피해자 ) 는피고의귀책사유를입증하지않는다는점에서원고를두텁게보호하고자하는입법취지를드러낸것이다. 이는개인정보보호원칙을규정한법제3조제8항및정보주체의권리를규정한법제4조제5호를명확하게밝힌것이다. 귀책사유에대한입증책임을피고에게전환한규정은정보통신망법제32조의규정과같다. 이외에신용정보법제43조의손해배상규정도같다. 하지만, 개인정보보호법제 39조제2항에서법률에정한의무를준수하고, 상당한주의와감독을해태하지아니하였음에도책임을면할수없도록규정한것은다른법률과구별된다. 2) 본조제1항이규정에대하여제1항은과실책임의원칙에따른규정이며, 정보주체를위하여고의또는과실에대한입증책임을전환한것이라고하면서, 제2항에서개인정보처리자가주의의무를다한경우에는손해배상책임을감경할수있도록규정한것은무과실책임을전제로한규정이라고하여제1항과제2항은상호모순이라고비판하는견해가있다. 4 이에대하여전자거래분야에서개인정보침해에대한손해배상책임의법리에는위험책임법리를적용할것이라는견해가있다. 5 동견해는, 정보침해를유형화하여거래의성립과이행 4 고형석 (2011). 308-309 면참조. 5 양재모 (2010). 전자거래상개인정보보호에대한민사적접근, 사이버커뮤니케이션학보 제 27 권제 2 호, 사이버커뮤니케이 FOCUS 1 개인정보침해에대한손해배상의근거와피해구제제도 9

에본질적인정보또는필수불가결한정보에대한정보의유출의경우사업자가무과실임을입증한경우면책을인정하지만, 법령에서수집을인정하고있는경우를제외하고거래의편익또는사업자요구정보나절대적개인정보의경우에는위험책임이적용되어야한다고한다. 6 이두개의주장은나름대로타당성을가지지만, 해석론을다르게전개할수도있다. 두개의주장은제39조의손해배상책임을불법행위책임으로전제하고서논리를전개한다. 불법행위책임에의하면, 불법행위의성립요건으로서가해자의고의또는과실에대한입증책임은피해자가입증하여야한다. 다만법률의규정이나해석론에의하여그입증책임이가해자에게전환되는경우가있을뿐이다. 이러한불법행위책임론에기초하면제39조제1항은일반불법행위에서입증책임을전환한규정으로파악하는해석론은타당한해석론이된다. 동시에제2항은무과실책임을전제한것으로책임감경사유를규정한것이라는해석론도타당한해석론이된다. 제39조제1항의해석과관련하여두방향에서접근해볼수있다. 하나는계약책임론이고또하나는규율범위를명확하게하여불법행위로접근하는방법이다. 첫째계약책임론에기초하여해석론을전개한다. 통상적으로개인정보보호법상분쟁조정의당사자로서정보주체와정보처리자와의관계는일정한계약관계에의하여성립한다. 계약관계를맺는과정에서정보주체의정보가제공되고, 정보처리자는업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체및개인등으로서 ( 법제2항제5호참조 ), 개인정보의수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ), 그밖에이와유사한행위를하는자 ( 법제2항제2호참조 ) 의지위를갖게된다. 즉개인정보처리자는 업무를목적으로 그가처리하는정보는정보주체와의계약관계에서동의를얻어수집, 이용등의목적으로처리되고, 이처리과정에서선량한관리자의주의의무를지는것이다. 따라서자신이처리하는개인정보를침해하는처리를하는것은계약상의무를위반한것이된다. 이러한개인정보처리자의손해배상책임을규정한본조제1항전단은계약책임으로서손해배상책임을규정한것이고, 계약책임에서는채무자의고의또는과실 션학회, 110-114 면참조. 6 양재모 (2010). 114 면참조. 10 INTERNET & SECURITY FOCUS July 2014

에대해서는채무자가입증하여야하기때문에동항후단은주의적규정이된다. 개인정보를침해한개인정보처리자는계약상의채무자로서계약상의무위반에대하여자 신에게고의또는과실이없음을입증하여야하는것은당연한법리가되고, 제 1 항후단은주 FOCUS 의적규정이되는것이다. 7 이렇게제39조제1항의손해배상책임을계약책임으로이론구성하여해석하게되면그자체모순없이해석될수도있고, 오히려주의적규정이되는동항후단은삭제해도무방하게된다. 그런데해석론은계약책임과불법행위책임의경합을인정하고두가지책임이경합하는경우에는청구권경합설 ( 이중효긍정설 ) 을취하는것이통설과판례이다. 통설과판례이론에따라제39조제1항전단의손해배상책임을불법행위책임으로해석할수도있고, 불법행위책임으로해석하면제1항후단의규정은입증책임을전환한규정으로해석된다. 사실개인정보침해를일률적으로계약책임이나불법행위책임으로이론구성하기는어렵다. 그침해의태양에따라달라질수있기때문이다. 이를정리하면다음과같다. < 표 2> 개인정보침해유형에따른책임구성 개인정보침해의유형 1 동의얻어수집한정보의부정처리 책임구성 계약책임 - 계약상주된의무위반불법행위책임 2 동의없이개인정보수집처리불법행위책임 3 제 3 자의해킹등에의한침해 4 기술적문제에의한침해 5 개인정보처리자의피용자에의한침해 계약책임 - 계약상부수의무위반 ( 정보의보관, 관리상의무위반 ) 계약책임 - 계약상부수의무위반 ( 정보의보관, 관리상의무위반 ) 계약책임 - 계약상주된의무위반불법행위책임 위의표에서침해유형 1, 3, 4, 5의경우계약책임으로이론구성이가능한태양이고, 침해유형 1, 2, 5는불법행위책임으로이론구성이가능한태양이된다. 이중계약책임으로만구성할수있는경우 ( 침해유형 3, 4) 와불법행위로만구성할수있는경우 ( 침해유형 2) 가있기때문에어느하나로만책임의성질을파악하기어렵게된다. 7 노종천 (2011). 채권법 [ 제 2 판 ], 법문사, 73 면참조. FOCUS 1 개인정보침해에대한손해배상의근거와피해구제제도 11

침해유형 5와관련해서판례는 개인정보를처리하는자가수집한개인정보를피용자가정보주체의의사에반하여유출한경우, 그로인하여정보주체에게위자료로배상할만한정신적손해가발생하였는지는유출된개인정보의종류와성격이무엇인지, 개인정보유출로정보주체를식별할가능성이발생하였는지, 제3자가유출된개인정보를열람하였는지또는제 3자의열람여부가밝혀지지않았다면제3자의열람가능성이있었거나앞으로열람가능성이있는지, 유출된개인정보가어느범위까지확산되었는지, 개인정보유출로추가적인법익침해가능성이발생하였는지, 개인정보를처리하는자가개인정보를관리해온실태와개인정보가유출된구체적인경위는어떠한지, 개인정보유출로인한피해발생및확산을방지하기위하여어떠한조치가취하여졌는지등여러사정을종합적으로고려하여구체적사건에따라개별적으로판단하여야한다 고설시하고있다. 8 이판례는손해배상으로위자료의배상여부만을다루고있지만, 불법행위를전제로한것으로판단된다. 3) 본조제2항제39조제2항의해석에서, 이규정은무과실책임을전제로한규정으로서과실책임을규정한제1항과모순관계에있다는해석론 9 을검토해본다. 제39조제2항의책임은 개인정보침해에대한책임 이아니라제3자또는기술적문제등에의하여개인정보의보관 관리상문제가생긴경우에정보처리자가정보주체에게져야하는책임을규정한것이다. 즉규정상책임의내용은 개인정보의분실 도난 유출 변조또는훼손으로인한손해배상책임 이라고명시하고있다. 제1항의책임은정보처리자가적극적으로개인정보보호법을위반하여정보주체의개인정보를침해한것에대한책임인것이고, 제2항의책임은정보처리자의소극적정보의보존 관리의무위반에따른책임인것이다. 정보처리자가수집처리하는개인정보가제3자의침해나기술적인문제로분실 도난 유출 변조또는훼손된경우에도, 정보처리자가적극적으로개인정보를침해한것과동일한책임을묻는것은헌법상비례의원칙에도반하는것이며형평을잃게된다. 이러한이유로제2항은정보처리자가개인정보보호법에따른의무를준수하고상당한주의와감독을게을리하지아니하였음에도, 개인정보가분실 도난 유출 변 8 대법원 2012. 12. 26. 선고 2011 다 59834, 59858,59841 판결. 9 고형석 (2011). 308-309 면참조. 12 INTERNET & SECURITY FOCUS July 2014

조또는훼손된경우에는책임감경을규정한것으로이해된다. 판례도 개인정보를처리하는자가수집한개인정보를피용자가정보주체의의사에반하 여유출한경우, 그로인하여정보주체에게위자료로배상할만한정신적손해가발생하였는 FOCUS 지는유출된개인정보의종류와성격이무엇인지, 개인정보유출로정보주체를식별할가능성이발생하였는지, 제3자가유출된개인정보를열람하였는지또는제3자의열람여부가밝혀지지않았다면제3자의열람가능성이있었거나앞으로열람가능성이있는지, 유출된개인정보가어느범위까지확산되었는지, 개인정보유출로추가적인법익침해가능성이발생하였는지, 개인정보를처리하는자가개인정보를관리해온실태와개인정보가유출된구체적인경위는어떠한지, 개인정보유출로인한피해발생및확산을방지하기위하여어떠한조치가취하여졌는지등여러사정을종합적으로고려하여구체적사건에따라개별적으로판단하여야한다. 10 고하여동일한법리를제시한다. 다만, 개인정보처리자가소속직원또는수탁자를통하여타인의개인정보를처리하면서법에서규정한의무를준수하고업무처리에대한감독등을게을리하지않았다면통상사법상사용자책임을문의할때사용자 ( 개인정보처리자 ) 는사용자책임을부담하지않는다. 그런데개인정보보호법제39조제2항은개인정보의분실, 도난, 유출, 변조또는훼손으로인한손해배상에대한개인정보처리자의책임을무겁게지으려는의도가명백히드러나지않았지만, 그책임을면할수는없다. 법문에따를때사법상의사용자책임의일반론과상이하다. 이책임의성질을불법행위책임으로이론구성하면무과실책임으로이해될것이지만, 계약책임으로파악하면개인정보의보관의무위반에따른책임으로이해할수있다. 다만상당한주의와감독을게을리하지아니하였다는사실을정보처리자가입증하면손해배상책임을감경받을수있다고하여법원에대해책임감경재량권을부여한것으로해석된다. 2. 개인정보침해에서의손해배상의내용 앞에서와같이제 39 조의책임을계약책임으로이해하면, 손해배상의범위에대한논의가 따르게된다. 손해에는통상손해와특별손해가있다. 통상손해란특별한사정이없는경우 10 대법원 2012. 12. 26. 선고 2011 다 59834, 59858, 59841 판결. FOCUS 1 개인정보침해에대한손해배상의근거와피해구제제도 13

그런종류의채무불이행이있으면사회일반의관념에따라통상적으로발생하는것으로생각되는범위의손해이고, 특별손해란당사자사이에존재하는개별적이고도구체적인사정에기초한손해가특별손해이다. 개인정보의침해결과로발생된피해도통상손해를기본적인배상범위로하는만큼통상손해와특별손해의구별은필수적이다. 일반적으로개인정보침해에서통상손해로볼수있는것은이용자의동의없이가입된서비스이용료나이용자의개인정보를도용하여구입한재화의대금과같은경제적손해와자신의개인정보가타인에게누출됨으로써느끼는불안감과같은정신적손해일것이다. 실제로개인정보침해에관한판례이론이나, 분쟁조정위원회의조정례에서손해배상액은정신적손해로써위자료를인정하고있다. 개인정보침해로인하여정보주체가입게되는 1차적손해는정신적고통에따른손해가현실적이다. 개인정보가유출되어 2차적으로재산상손해가생긴경우에, 유출된개인정보와그로인하여발생한재산상의손해사이에인과관계를입증하는것은현실적으로불가능한것이다. 따라서분쟁조정신청이인용되어손해배상결정을하는경우에정신적고통에따른위자료지급내용으로결정하는것이일반적이다. 이러한내용을종합하여개인정보침해에대한손해배상책임을계약책임으로이론구성하면, 재산적손해배상을배상범위로하게되고, 정신적손해에대한위자료배상에대한법리구성이어려울수있다는해석이가능하다. 그러나정신적손해로서위자료를인정하는것은반드시불법행위책임에서만가능한것은아니다. 계약책임에서도재산적손해의전보가어려운경우정신적손해에대한배상을통하여구제하는것이종래의판례이론이며, 일관된판례의해석론이다. 판례에의하면, 정신적고통에따른위자료에대하여 재산적손해의발생이인정되는데도입증곤란등의이유로그손해액의확정이불가능하여그배상을받을수없는경우에이러한사정을위자료의증액사유로참작할수는있다고할것이나, 이러한위자료의보완적기능은재산적손해의발생이인정되는데도손해액의확정이불가능하여그손해전보를받을수없게됨으로써피해회복이충분히이루어지지않는경우에이를참작하여위자료액을증액함으로써손해전보의불균형을어느정도보완하고자하는것 11 이라고하여재산상손해의입증이어려운경우피해회복수단으로위자료를인정할수있다는취지를판시하고있다. 11 대법원 2007. 12. 13. 선고 2007 다 18959 판결. 14 INTERNET & SECURITY FOCUS July 2014

3. 징벌적손해배상의도입가능성검토 징벌적손해배상이라함은가해자가악의적으로불법행위를함으로써피해자에게손해를 FOCUS 입혔을경우, 피해자가입은실손해이외에추가적으로징벌적의미를추가하여배상하는제도를말한다. 12 징벌적손해배상은피해자의손해를보상하는것을목적으로하는것이아니라가해자의악의적또는의도적고의에대하여징벌을함으로써가해자및제3자가동일하거나유사한행위를반복하지않도록예방하는것을목적으로한다. 13 원칙적으로불법행위로인한손해배상은피해자가입은현실적인손해만을전보하는것인데반해징벌적손해배상은가해자의행위가폭력적또는억압적이거나악의, 기망, 중과실, 부주의한경시등특별히그사정이가중될만한사유를수반하는때에는가해자가현실로입은손해를초과하는손해배상액의지급을명할수있는것이다. 즉, 모든불법행위에대하여징벌적배상을부과하는것이아니라악의적불법행위로인한경우에만징벌적손해배상을부과하는것이다. 14 이러한징벌적손해배상제도는불법행위에대한처벌과동시에그행위의억제를목적으로하고있으므로이러한면에서보면형벌과비슷한측면을가지고있다. 즉민법과형법의전통적인구조가혼합되어있다고할수있다. 15 개인정보침해 유출건수, 사업자의자산규모 매출액, 침해 유출항목등에따라차등화된손해배상기준을도입할수있는가를검토한다. 대륙법계와영미법계의차이점가운데대표적인것이영미법계는징벌적배상주의, 무제한배상주의를취하는것이일반적입법례이다. 반면대륙법계는전보배상주의, 제한배상주의를취한다. 개인정보침해 유출건수, 침해 유출항목등에따라차등화된손해배상기준을도입하는것은헌법상의비례의원칙에반하지않는것으로판단된다. 따라서이러한기준에따라차등화된손해배상기준을마련하는것은분쟁해결의사전적합의를유도하는장치로써기능 12 김상찬 이충은 (2009). 징벌적손해배상제도의도입을위한비교법적고찰, 법학연구 제 35 집, 한국법학회, 165 면참조. 13 정해상 (2004). 손해배상의법리와징벌적손해배상의관계, 중앙법학 제 6 집제 4 호, 중앙법학회, 246 면참조. 14 김도형 (2008). 징벌적손해배상제도도입에관한소고, 경성법학 제 17 집제 1 호, 경성대학교법학연구소, 185 면참조. 15 류근홍 (2006). 징벌적손해배상제도에관한연구도입필요성과그적용한계를중심으로, 박사학위논문, 청주대학교대학원, 7 면참조. FOCUS 1 개인정보침해에대한손해배상의근거와피해구제제도 15

할수있을것으로도입가능성을검토해볼수있는사항이다. 그러나사업자의자산규모 매출액에따라차등화된손해배상기준을도입하는것은징벌적배상주의를취하지않는한법리상어렵다고판단된다. 우리나라의법체계는대륙법계에속하고전보배상주의와제한배상주의를취하고있기때문이다. Ⅳ. 개인정보침해에관한피해구제제도 1. 서설 개인정보침해현황과개인정보보호법에서의손해배상의근거에대해서논의하여보았다. 이처럼개인정보보호법에서규정하는사항만으로도손해배상의근거가충분하다는부분을검토하였고, 이러한손해배상의근거를통해서정보주체가침해에대한구제를받을수있는피해구제제도에대해서논의하고자한다. 법정손해배상, 집단소송등현재국회에서손해배상제도도입에대한많은논의가진행되고있지만법체계의상충과사회적인합의부족으로실질적인피해구제제도를도입하지는못하였다. 이에아래에서피해구제제도현황에대해서알아보고합리적인방안에대해검토하고자한다. 2. 법정손해배상제도 법정손해배상제도는권리침해로인한손해를입증하지않더라도법률에규정된손해배상액의규정에근거하여배상을받을수있도록하는제도로침해사실만있으면사실상손해가발생하지않더라도손해배상을받을수있다는제도이다. 원고가피해금액을입증하기어려운경우법원이제반사정을고려하여손해배상금액을정하게됨으로서신속한피해구제가가능하다는장점이있으며반면에최근개인정보유출규모를고려할때기업의심각한부담이발생한다는단점이있는제도이다. 법정손해배상제도는미국에서처음도입된제도로, 저작권법에규정이되어있으며, 750달러이상 3만달러이하의범위에서실제손해에갈음하여손해배상을청구할수있으며, 고의에의한침해라는것을입증하여법원이인정하는경우에는 15만달러까지손해배상이가능 16 INTERNET & SECURITY FOCUS July 2014

하도록되어있다. 우리나라의경우에는한 미 FTA 에저작권및상표권침해에대한법정손 해배상을보장해야한다는내용이포함되어, 이를이행하기위해저작권법과상표법에손해 배상을신설하였다 (2011 년 12 월 ). 그러나미국과달리우리나라법정손해배상은하한이없으 FOCUS 며, 저작권법은 1천만원, 상표법은 5천만원이하의범위에서손해배상청구가가능하다. 우리나라에서도최근 정보통신망이용촉진및정보보호에관한법률 개정안에서명시적으로법정손해배상을청구할수있도록도입하였다.(32조의2) 주요내용은개인정보침해가발생하는경우자신이피해입은손해액을구체적으로입증하지않더라도 300만원이하의범위에서손해배상을청구할수있다는내용이다. 그동안피해자가손해배상을청구하기위해서는직접손해의규모를증명하고손해액을입증했어야했지만이번개정으로개인정보침해로인한입증어려움해소에도움이될것이라고본다. 그러나앞서이야기한것과같이기업에큰부담이될수있고입증책임에관하여도문제의소지가있으므로앞으로의경과를지켜봐야한다. 3. 단체소송제도 소액다수의피해가따르는환경소송, 소비자소송등에있어서피해를일괄구제하기위해서일정한요건하에피해자 1인또는수인이대표당사자로나서피해자집단의구성원전원을위해소송수행하는손해배상청구소송을말한다. 판결의효력이피해자전체에미치기때문에단한번의판결만으로모든피해자에게실질적인보상이가능하다는장점이있으나당사자주의원칙을규정하는국내민사소송법에저촉되고최근빈번하게발생하고있는개인정보유출규모를고려할때기업의심각한부담이발생할가능성이있는제도이다. 4. 분쟁조정제도 분쟁조정 (ADR) 은소송이외의방식으로이루어지는분쟁해결방식으로사법절차에비하여 간이한절차와신속한분쟁해결이가장큰장점으로인식된다. 16 이외에도비용이최소화될 16 류승훈 (2009). 대체적분쟁해결제도 (ADR) 의발전과그의미, 언론중재, 8 면 ( 여기에서는 ADR 의공통적인특성으로서 ⅰ) 신속하고저렴한분쟁해결, ⅱ) 분쟁처리과정에서의법원개입의가급적배제, ⅲ) 당사자의사결정의존중과변호사역할의감소, ⅳ) 최소한의형식적인절차, ⅴ) 공개적이거나공공적이아닌사적인절차진행, ⅵ) 새로운재판규범의형성과실 FOCUS 1 개인정보침해에대한손해배상의근거와피해구제제도 17

뿐만아니라당해분쟁사건에있어전문가들로구성되어있는분쟁조정기구의위원들이중립성을유지하면서당사자간분쟁에대한조정이나조언등을해줄수있다는점에서보다합리적인결과를도출해낼수도있고, 나아가당사자중누가책임이있느냐의선택적사항이아닌당사자가서로양보하여합의점을만들어갈수있기때문에분쟁조정의신청인과피신청인의관계도이러한절차를통해극단적인상태에가지않고해결이가능하기도하다. 17 그러나조정은당사자간그조정내용에대해서수락을한경우에만효력이있기때문에당사자를구속하지못한다. 또한피신청인의성실한태도를강제하지못하기때문에분쟁조정사건에대한조사나판단이충분히이루어지지못하는경우도있어당사자간의조정의본래목적을달성하기어려운제도이다. 18 Ⅴ. 결론 본고에서는개인정보침해현황과개인정보보호법에서손해배상근거에대해서살펴보고이를구제할수있는방법이무엇인가에대해서살펴보았다. 본문에서이야기한것과같이 ICT의발전으로새로운개인정보침해사건및피해가발생하고있다. 특히사물인터넷시대에접어들면서자신이인지하지못하는순간에도개인정보를침해하는시대가되었다. 그렇기때문에이러한침해사건들로인해서개인정보침해를예방하고침해를금지하는것도중 체법에대한구속으로부터의회피등을들고있다 ). 17 류승훈 (2009). 8 면 ( 마찬가지로 ADR 의기능으로서는 ⅰ) 소송당사자들의법정에서의부담과비용의경감및시간의절약, ⅱ) 법원의부담과중으로인한분쟁해결의지연방지, ⅲ) 그로인한분쟁해결의질적저하의방지, ⅳ) 법적분쟁으로인한사회적분열에대한신속한안정, ⅴ) 사법적시스템에대한공적만족감의충족, ⅵ) 국민의분쟁해결제도에대한접근의용이함, ⅶ) 일도양단적 ( 一刀兩斷的 ) 인패소에의한굴욕감의완화등을들고있다 ). 18 류승훈 (2009). 13 면 ( 특히 ADR 의절차상문제점을보면, ⅰ) ADR 이효과적인증거발견절차를결하고있기때문에충분한사실발견이이루어지기어렵다는점, ⅱ) ADR 이생생한증거의제시와같은절차를거치지않기때문에부정확한판단을초래할수있다는점을들고있으며이러한문제점의원인은첫째, ADR 이소송과같이상세하게세부적내용을갖고있는것은아니어서교호신문내지선서하의증언, 증거법칙의적용등통상의소송절차를결하고있으므로진실발견에있어어려움이있을수있다는데기인한것둘째, ADR 절차에서는엄격한의미의법관이존재하지않기때문에공적인신뢰를구축할수없다는점, 셋째, ADR 절차에서는변호사의대리가없이도효과적으로분쟁을해결할수있으며이러한점이장점으로부각되고있지만, 이는변호사의역할을과소평가한것이라고지적되는점, 넷째, ADR 은공적이익에관련된사건에는적합하지않다는것으로이는 ADR 에의해얻은결과는당사자가반드시증거에기한주장을하지않는경우가많고당사자의개인적이익에의해좌우되는경우가많아공익을객관적기준에의해유지함으로인한공적소송의목적을달성하기곤란하다는점을들고있다 ). 18 INTERNET & SECURITY FOCUS July 2014

요하지만그손해에대해서적절한손해배상및피해구제제도를운영하는것이중요하다고 할수있다. 앞에서살펴본법정손해배상, 단체소송을제외하고징벌적손해배상의논의단 체소송에손해배상을포함하는등의여러가지국가적인논의가계속되고있다. 그러나이러 FOCUS 한소송이나제도를계속만들고수정하기보다는기존의있는분쟁조정제도를활용하는방안이제일합리적인방향이라고생각한다. 모든분쟁은법원의판단을통해서해결된다는것이사법의기본적인원리로볼수있다. 하지만소송을진행하기위해서는많은시간과비용이소모되는것이사실이다. 개인정보침해에있어서개인정보분쟁조정을구제수단으로한다면여러긍정적인부분이존재한다. 첫째로소송의진행에있어서비용의경감및시간을절약할수있다. 개인정보분쟁조정위원회의조정사건은무료로진행되며또한총 60일이라는기한내에사건을해결하기때문에법원에비해서저렴하고신속한절차라고볼수있다. 둘째로개인정보분야의각계각층의전문위원들이조정서를발급하기때문에보다전문적인결정이가능하다는장점이있다. 셋째로양당사자의합의를도출하는행위로서당사자간의패소에대한부담을완화할수있는장점이있다. 또한양당사자가합의한조정서는재판상화해와동일한효력을갖게된다. 이처럼개인정보침해사건에서의국민의권리를재판이전단계에서보호할수있는개인정보분쟁조정절차를통해서개인정보피해사건을구제받는것이좋은방법으로보인다. 참고문헌 김도형 (2008). 징벌적손해배상제도도입에관한소고, 경성법학 제17집제1호, 경성대학교법학연구소. 김상찬 이충은 (2009). 징벌적손해배상제도의도입을위한비교법적고찰, 법학연구 제35집, 한국법학회. 고형석 (2011). 개인정보침해와피해구제에관한연구, 법조 통권661호. 노종천 (2011). 채권법 [ 제2판 ], 법문사. 대법원 2012. 12. 26. 선고 2011다59834, 59858,59841 판결. 대법원 2007. 12. 13. 선고 2007다18959 판결. 류근홍 (2006). 징벌적손해배상제도에관한연구도입필요성과그적용한계를중심으로, 박사학위논문, 청주대학교대학원. FOCUS 1 개인정보침해에대한손해배상의근거와피해구제제도 19

류승훈 (2009). 대체적분쟁해결제도 (ADR) 의발전과그의미, 언론중재. 양재모 (2010). 전자거래상개인정보보호에대한민사적접근, 사이버커뮤니케이션학보 제27권제2 호, 사이버커뮤니케이션학회. 인하대학교산학협력단. 종합지원시스템의개인정보분쟁조정기능강화방안마련 정해상 (2004). 손해배상의법리와징벌적손해배상의관계, 중앙법학 제6집제4호, 중앙법학회. 20 INTERNET & SECURITY FOCUS July 2014