개인정보 보호와 손해배상 그리고 빅데이터

선영은 현재 다니는 회사보다 보수와 근무조건이 좋은 회사로의 이직을 결심하였다. 그래서 선영은 통근하기도 용이하고 기존 업무와의 연속성이 있으면서도 급여 조건이 좋은 M회사로 이직하기로 결심하였다.  M전자회사는 2017년 10월1일부터 10월 15일까지 홈페이지의 인재채용란을 통하여 입사지원서를 받았는데, 선영은 10월 8일에 이 홈페이지에서 입사지원서를 작성하여 제출하였다. 즉 선영은 먼저 지원서작성 버튼을 클릭하고 자신의 성명, 주민등록번호, 이메일 주소를 입력한 다음 등록버튼을 클릭하여 지원서작성 페이지로 이동, 입사지원서의 구체적인 내용을 작성하였다. M전자회사는 10월 20일 서류전형 합격자를 발표하였는데, 이 서류전형에서 불합격통지를 받은 사람이 포털사이트의 취업관련 정보공유 카페의 게시판에 특정 지원자들의 입사지원서를 열람할 수 있는 프로그램을 만들어 링크파일을 첨부하여 게시하였다. 이 게시물은 조회수 10,000건에 달하였고, 위 링크파일을 실행하면 입사지원자들의 기본인적사항(성명, 주민등록번호, 전화번호, 주소, 병역사항, 희망근무지·직무)과 상세인적사항(학력사항, 대학교 및 대학원의 경우 학점 포함, 어학성적)은 물론 자기소개, 경력/인턴, 연구실적 등도 열람할 수 있었다. 선영의 입사지원서도 다수의 회원들에게 조회된 것으로 밝혀지자 선영은 M전자회사에 대하여 개인정보 보호 위반을 원인으로 손해배상을 청구하려고 하고 있다.

대학가에서는 요즈음 취업을 위한 인·적성 시험 및 면접으로 홍역을 치르고 있다. 취업스터디와 동아리를 통하여 자기소개서를 서로 교정해주는가 하면 모의 면접을 실시하고 평가도 시행하고 있다. 학생들의 표정은 너무나 비장하여 강의 시간에 농담을 건네기가 미안할 정도이다. 이러한 분위기 속에 정부도 취업에 있어 불공정을 최소화하기 위하여 노력하고 있으며, 공정한 기회를 부여하기 위해 블라인드 채용 등 새로운 방법들의 실행도 독려하고 있다. 그렇지만 취업을 위해서는 상당한 개인정보가 제공되고 있는바 각 기업과 기관들은 취업에 제공되는 개인정보를 철저히 보호하여야 한다.개인정보의 유출 또는 침해에 대해 불법행위로 인한 손해배상을 청구하기 위해서는 개인정보보호의무, 그에 대한 위반과 그로 인한 손해의 발생 및 위 위반과 손해 사이의 인과관계를 입증하여야 한다. 개인정보는 누군가에 의해 창조된 권리의 객체라기보다는, 권리주체인 개인의 인격적 표상의 성격이 강한 권리로서 재산적 이익도 부수적으로 보호되는 특수한 인격권이라고 할 수 있다. 우리나라 개인정보 침해 관련 소송의 경우 원고는 대부분 개인정보가 인격권의 일종임을 전제로 정신적 손해에 대한 배상을 구하고 있으며, 우리 법원은 개인정보의 침해 또는 유출로 인한 불법행위책임의 성립과 관련하여 정신적 손해의 발생과 배상을 상대적으로 관대하게 인정하고 있다. 이른바 “리니지 Ⅱ 개인정보유출 사건”에서 법원은 게임사용자의 ID와 비밀번호도 이용자들의 개인정보에 해당하고 게임사업자의 과실에 의해 그 개인정보가 유출되었다면 그 개인정보 유출로 인한 경제적 손실이 발생하지 않았다 하더라도 사업자는 피해자에게 정신적 손해에 대한 위자료를 지급하여야 한다고 하면서 1인당 위자료 액수를 50만원으로 산정하였다.

한편 법원은 개인정보 유출 시 위자료로 배상할 만한 정신적 손해가 발생하였는지에 대한 판단기준을 제시하였다. 즉, 법원은 개인정보를 처리하는 자가 수집한 개인정보를 피용자가 정보주체의 의사에 반하여 유출한 경우, 그로 인하여 정보주체에게 위자료로 배상할 만한 정신적 손해가 발생하였는지는 유출된 개인정보의 종류와 성격이 무엇인지, 개인정보 유출로 정보주체를 식별할 가능성이 발생하였는지, 제3자가 유출된 개인정보를 열람하였는지 또는 제3자의 열람 여부가 밝혀지지 않았다면 제3자의 열람 가능성이 있었거나 앞으로 열람 가능성이 있는지, 유출된 개인정보가 어느 범위까지 확산되었는지, 개인정보 유출로 추가적인 법익침해 가능성이 발생하였는지, 개인정보를 처리하는 자가 개인정보를 관리해온 실태와 개인정보가 유출된 구체적인 경위는 어떠한지, 개인정보 유출로 인한 피해 발생 및 확산을 방지하기 위하여 어떠한 조치가 취하여졌는지 등 여러 사정을 종합적으로 고려하여 구체적 사건에 따라 개별적으로 판단하여야 한다고 하였다.

위 선영의 사례는 서울고등법원 2008. 11. 25. 선고 2008나25888 판결을 정리하여 재구성한 것이다. 이 사례에서 법원은 M전자회사가 그 신입사원의 채용을 위한 목적으로 보관중인 개인정보의 분실·도난·누출 등 방지에 필요한 보안조치를 강구하여야 할 주의의무 있음에도 이를 위반하여 일반인들도 쉽게 이 채용사이트에 접속하여 선영 등의 입사지원정보를 열람하게 되는 결과가 발생하였므로, 선영 등의 입사지원자들은 입사지원의 목적으로 제공한 개인정보가 불특정 다수인들에 의하여 열람당함으로써 정신적 고통을 받았을 것임은 경험칙상 쉽게 인정할 수 있으므로, M 전자회사로 하여금 선영 등에 대하여 300,000원을 위자료로 지급하라고 판결하였다. 원래 이 사건에서 선영 등의 입사지원자들은 20,000,000원을 지급할 것을 주장하였다.이와 같이 개인정보 유출 사태의 경우 위자료에 의한 손해배상액이 상대적으로 미약한 반면에, 대형 개인정보 유출 사건이 지속적으로 발생하여 국민적 공분을 일으킴에 따라 국회는 개인정보 보호 위반에 대하여 징벌적 손해배상을 도입하였다. 개인정보 보호법 제39조제3항에 따라 법원은 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있게 되었다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.

한편 인터넷과 정보통신기술의 발달로 우리의 삶은 매우 편리해졌지만 개인정보 유출과 그로 인한 피해 또한 지속적인 사회 문제로 대두되고 있다. 스마트 폰과 SNS의 발달은 개인정보의 유출과 그 피해의 가능성을 더욱 증가시키고 있다. 더구나 사회·경제적 문제를 해결하고 자원배분의 효율성을 달성하기 위하여 각국은 빅데이터 산업의 활성화를 추진하고 있는데 이를 위해서는 개인정보 보호가 전제되어야 한다. 이러한 상황 하에서 ‘민주화를 위한 변호사 모임’과 ‘참여연대’ 등11개 시민단체는 지난 11월 9일 한국인터넷진흥원, 한국정보화진흥원, 금융보안원, 한국신용정보원 등이 비식별 전문기관으로 지정된 20여개 기업으로부터 고객 정보를 넘겨받고 정보집합물 결합서비스(비식별화 조치를 거친 개인정보를 기업 등이 마케팅에 활용할 수 있도록 한 일종의 빅데이터 활성화 정책을 말한다.)를 거친 3억4000여만건의 개인정보결합물을 기업 등에 제공하였다고 하면서 이들을 개인정보보호법 등 위반 혐의로 고발하였는데, 이에 대하여 검찰과 법원이 어떠한 판단을 할지에 대하여 귀추가 주목되고 있다.

빅데이터를 통하여 사회의 현상과 트랜드를 파악하고 장래의 변화를 예측하며 새로운 지식을 창출하고 개인별 맞춤 서비스를 제공할 수 있다. 특히 의료, 교통, 세제 등 공공분야는 빅데이터 분석으로 사회적 비용을 감소시키고 효율성을 증가시킬 수 있으며, 금융, 제조, 유통 등 민간 분야는 빅데이터를 통해 시장을 신속하게 이해하고 대응함으로써 새로운 부가가치를 창출할 것이다. 결국 제4차 산업혁명시대에 있어 개인정보의 축적과 처리에 기초한 빅데이터의 분석과 이용은 거부할 수 없을 것으로 보인다. 그러므로 개인정보 보호와 빅데이터의 효율적 활용 사이에서 적당한 균형점을 찾아 법제와 정책으로 반영하는 것이 필요하다.오일석

고려대학교 법학박사

(현) 고려대학교 연구교수(현) 사이버안전훈련센터 겸임교수

(현) 한국정치커뮤니케이션학회 총무이사

(현) 한국사이버안보법정책학회 연구이사

(현) 한국에너지법정책연구소 연구실장