"신(信)이 죽었다" 개인정보 유출에 임하는 미국 법원의 자세
-
기사 스크랩
-
공유
-
댓글
-
클린뷰
-
프린트
독일 철학자 니체는 일찍이 “신(神)은 죽었다”고 설파했습니다. 혹자는 이번 신용카드 회사들의 개인정보 유출사건에 대해 “신(信)이 죽었다”고 했습니다. 믿을 ’신(信)‘)자와 쓸 ’용(用)‘자로 구성된 신용카드에서 '믿음'이 천길 낭떠러지로 추락한 까닭에서 입니다.
사회적으로 信의 붕괴를 자초한 카드사들은 앞으로 ‘어떤 식이든’ 책임에서 벗어나지는 못할 전망입니다. 벌써부터 집단소송의 움직임이 가시화하고 있어서입니다. 유영근 미국 변호사는 이와 관련, 1월 21일 기자와의 통화에서 ‘미국에서는 개인 신용정보 유출 이슈에대해선 엄격한 법적 책임을 묻는다“고 강조했습니다. 때문에 “국내에서도 엄중한 대처 필요성이 제기된다”고 했습니다. 그의 설명을 기초로 이 같은 유형의 사건에 대한 미국의 법적 처리 현황을 파악해 보았습니다.
#개인 정보 유출 사례는? = 오늘날 개인 정보는 ‘사생활‘ 문제가 아닌 중요한 ‘자산적 가치’를 갖는다. 자산적 가치에는 어김없이 ‘검은 손’이 접근한다. 미국에서도 ‘identity theft’(개인정보 탈취)라고 하는 개인정보 관련 범죄가 최근 증가하는 추세다.
지난해 2013년 12월, 1800개의 매장을 가진 미국 대형 소매 체인업체 ‘타깃’ (Target)의 고객 개인 신용정보 해킹사건은 가장 최근에 발생한 대표적 사례로 불린다. 4000만명에 이르는 고객 정보가 유출됐다. (유출정보가 1억건에 이른다는 얘기도 나온다.) 이는 미국 고객 개인정보 유출 사건 사상 두 번째로 큰 규모로 파악된다. 최대 사건은 저가 체인매장인 JTX의 7500만건 유출사건이 손꼽힌다.
타깃측은 사건 발생 후 즉각 고객들에게 “개인정보보호를 위한 새로운 모니터 시스템을 제공하겠다”고 밝혔다. 사죄를 위한 할인 행사도 진행했다.
그러나 타깃을 현재 상대로 한 60~70건의 집단 및 개별 소송이 법원 접수를 기다리는 상태다. 노스다코타주 타깃 고객들은 지난 1월 15일 500만달러를 청구하는 소장을 연방법원에 접수했다.
#법적 책임을 묻는 근거는? = 미국에서 개인정보를 모아 카드를 발급하고 결제수단으로 한 업체가 이를 유출했 (당했)을 경우 소비자들이 법적인 책임을 물을 수 있는 근거로는 연방법 ‘Stored Communication Act’(저장 정보 보호법)가 지적된다.
주별로도 법이 있다. 미조리주에는 ‘Merchandising Practice Act’(상행위 관련법) 일리노이주는 ‘Personal Information Protection Act’(개인정보보호법)을 두고 있다. 법적 근거 외에 피해 고객은 ‘Payment Card Industry Security Standards Council Data Security Standard’ (제 카드 관련 정보보호에 관한 기준)를 따를 수 있다.
고객은 이 때 “과연 해당 기업이 고객정보를 비슷한 기업들에서 세우고 있는 기준에 맞을 정도로 조심스럽게 다루었는가”를 따져 볼 수 있다. 유출 피해 당사자는 또 일반적인 민사소송의 근거가 되는 과실로 책임을 물을 수도 있다. 비록 명시적 계약은 없었지만 고객의 정보를 보호하겠다는 암묵적 계약이 있었다고 가정하고 암묵적 계약 위반 책임을 물을 수도 있다.
#피해 고객의 보상 범위는? = 미국에서 소송에 참가한 소비자들은 소송을 통해 유출 정보로 인한 금전적 피해 보상을 받는데 그치지 않는다.정보에 안전장치를 더하기 위해 들인 비용과 카드 교체를 위해 투자한 비용과 시간, 카드 교체로 인해 해당 카드와 연결된 자동지급 시스템 변경을 위해 투입한 시간 등에 대한 보상도 청구할 수 있다.
#소비자가 전부 이기나? = 2006년 Acxiom이라는 회사에서 개인정보가 유출돼 제기된 집단소송에서 미국 연방법원은 피고 Acxiom의 손을 들어 주었다. 피고가 정보에 대해 주의를 기울여 다루지 못한 것은 사실이나 원고가 정보 유출로 인해 남용 피해를 구체적으로 입증하지 못했기 때문.
당시 정보를 빼낸 사람은 8년 징역형은 선고 받았다. 그러나 민사소송에서 ‘구체적 피해 입증의 결여’가 된 것이다. 이는 ‘피해 가능성’이 아니라 ‘실제 피해’가 있어야 보상받을 수 있다는 얘기다. 민사소송의 기본에 충실한 판결로 보인다.
유영근 미국 변호사는 결론적으로 “미국에서 개인정보 유출 관련 범죄행위가 증가하며 현지의 법원의 판례도 적지 않게 쌓이고 있다”고 설명했습니다. 미국 법원은 개인 정보를 수집 보관한 곳 (기업 또는 기관)에 대해 책임을 묻는 기준으로 다음과 같은 사항을 중점적으로 들여다 보고 있다고 분석했습니다.
“불필요한 정보까지 수집하여 너무 오랜 기간 보관하고 있었던 것은 아닌지, 그러한 정보를 다루는 직원들에 대한 교육을 적절히 하였는지, 관련 컴퓨터 시스템에 보안장치가 적절하게 설치되었는지.“
한경닷컴 뉴스국 윤진식 편집위원 jsyoon@hankyung.com
사회적으로 信의 붕괴를 자초한 카드사들은 앞으로 ‘어떤 식이든’ 책임에서 벗어나지는 못할 전망입니다. 벌써부터 집단소송의 움직임이 가시화하고 있어서입니다. 유영근 미국 변호사는 이와 관련, 1월 21일 기자와의 통화에서 ‘미국에서는 개인 신용정보 유출 이슈에대해선 엄격한 법적 책임을 묻는다“고 강조했습니다. 때문에 “국내에서도 엄중한 대처 필요성이 제기된다”고 했습니다. 그의 설명을 기초로 이 같은 유형의 사건에 대한 미국의 법적 처리 현황을 파악해 보았습니다.
#개인 정보 유출 사례는? = 오늘날 개인 정보는 ‘사생활‘ 문제가 아닌 중요한 ‘자산적 가치’를 갖는다. 자산적 가치에는 어김없이 ‘검은 손’이 접근한다. 미국에서도 ‘identity theft’(개인정보 탈취)라고 하는 개인정보 관련 범죄가 최근 증가하는 추세다.
지난해 2013년 12월, 1800개의 매장을 가진 미국 대형 소매 체인업체 ‘타깃’ (Target)의 고객 개인 신용정보 해킹사건은 가장 최근에 발생한 대표적 사례로 불린다. 4000만명에 이르는 고객 정보가 유출됐다. (유출정보가 1억건에 이른다는 얘기도 나온다.) 이는 미국 고객 개인정보 유출 사건 사상 두 번째로 큰 규모로 파악된다. 최대 사건은 저가 체인매장인 JTX의 7500만건 유출사건이 손꼽힌다.
타깃측은 사건 발생 후 즉각 고객들에게 “개인정보보호를 위한 새로운 모니터 시스템을 제공하겠다”고 밝혔다. 사죄를 위한 할인 행사도 진행했다.
그러나 타깃을 현재 상대로 한 60~70건의 집단 및 개별 소송이 법원 접수를 기다리는 상태다. 노스다코타주 타깃 고객들은 지난 1월 15일 500만달러를 청구하는 소장을 연방법원에 접수했다.
#법적 책임을 묻는 근거는? = 미국에서 개인정보를 모아 카드를 발급하고 결제수단으로 한 업체가 이를 유출했 (당했)을 경우 소비자들이 법적인 책임을 물을 수 있는 근거로는 연방법 ‘Stored Communication Act’(저장 정보 보호법)가 지적된다.
주별로도 법이 있다. 미조리주에는 ‘Merchandising Practice Act’(상행위 관련법) 일리노이주는 ‘Personal Information Protection Act’(개인정보보호법)을 두고 있다. 법적 근거 외에 피해 고객은 ‘Payment Card Industry Security Standards Council Data Security Standard’ (제 카드 관련 정보보호에 관한 기준)를 따를 수 있다.
고객은 이 때 “과연 해당 기업이 고객정보를 비슷한 기업들에서 세우고 있는 기준에 맞을 정도로 조심스럽게 다루었는가”를 따져 볼 수 있다. 유출 피해 당사자는 또 일반적인 민사소송의 근거가 되는 과실로 책임을 물을 수도 있다. 비록 명시적 계약은 없었지만 고객의 정보를 보호하겠다는 암묵적 계약이 있었다고 가정하고 암묵적 계약 위반 책임을 물을 수도 있다.
#피해 고객의 보상 범위는? = 미국에서 소송에 참가한 소비자들은 소송을 통해 유출 정보로 인한 금전적 피해 보상을 받는데 그치지 않는다.정보에 안전장치를 더하기 위해 들인 비용과 카드 교체를 위해 투자한 비용과 시간, 카드 교체로 인해 해당 카드와 연결된 자동지급 시스템 변경을 위해 투입한 시간 등에 대한 보상도 청구할 수 있다.
#소비자가 전부 이기나? = 2006년 Acxiom이라는 회사에서 개인정보가 유출돼 제기된 집단소송에서 미국 연방법원은 피고 Acxiom의 손을 들어 주었다. 피고가 정보에 대해 주의를 기울여 다루지 못한 것은 사실이나 원고가 정보 유출로 인해 남용 피해를 구체적으로 입증하지 못했기 때문.
당시 정보를 빼낸 사람은 8년 징역형은 선고 받았다. 그러나 민사소송에서 ‘구체적 피해 입증의 결여’가 된 것이다. 이는 ‘피해 가능성’이 아니라 ‘실제 피해’가 있어야 보상받을 수 있다는 얘기다. 민사소송의 기본에 충실한 판결로 보인다.
유영근 미국 변호사는 결론적으로 “미국에서 개인정보 유출 관련 범죄행위가 증가하며 현지의 법원의 판례도 적지 않게 쌓이고 있다”고 설명했습니다. 미국 법원은 개인 정보를 수집 보관한 곳 (기업 또는 기관)에 대해 책임을 묻는 기준으로 다음과 같은 사항을 중점적으로 들여다 보고 있다고 분석했습니다.
“불필요한 정보까지 수집하여 너무 오랜 기간 보관하고 있었던 것은 아닌지, 그러한 정보를 다루는 직원들에 대한 교육을 적절히 하였는지, 관련 컴퓨터 시스템에 보안장치가 적절하게 설치되었는지.“
한경닷컴 뉴스국 윤진식 편집위원 jsyoon@hankyung.com