공공정책 위키(Public Policy Wiki)에 오신 것을 환영합니다
개인정보 분쟁조정 손해배상제
개인정보 분쟁조정 손해배상제 개요
개인정보 분쟁조정 손해배상제는 인정보에 관한 분쟁이 발생하였을 때 비용이 많이 들고 시간이 오래 걸리는 소송제도의 대안으로서 비용 없이 신속하게 분쟁을 해결할 수 있는 조정을 통해 개인정보 침해를 당한 국민의 피해를 신속하고 원만하게 구제하는 것을 목적으로 하는 제도이다. 개인정보분쟁조정위원회의 조정 결정에 대해 신청인과 상대방이 이를 수락하여 조정이 성립된 경우에는 조정서를 작성하게 되며, 조정서의 내용은 「개인정보 보호법」 제47조 제5항 규정에 따라 "재판상 화해"의 효력 (민사소송법상 확정판결과 동일한 효력)이 부여됩니다. 이것은 조정성립 후 당사자가 결정내용을 이행하지 않을 경우에 법원으로부터 집행문을 부여받아 강제집행을 할 수 있는 강력한 효력이 있습니다. 개인정보 처리와 관련하여 당사자 사이에 분쟁이 있을 때 분쟁의 조정을 원하는 자는 누구든지 신청이 가능하며, 신청의 내용은 법령 위반행위의 중지, 피해에 대한 손해배상의 청구 뿐만 아니라 개인정보 열람요구권, 정정요구권, 삭제요구권 등과 같은 적극적 권리 행사도 포함됩니다. 이와 같은 내용은 아래에서 설명하는 집단분쟁조정에서도 동일하게 적용됩니다. 개인정보에 관한 분쟁조정은 웹사이트, 우편 등을 통해 신청인이 직접 또는 대리로 신청할 수 있으며, 분쟁조정사건이 접수되면 신청자와 상대방에게 접수사실이 통보됩니다. 사건담당자는 전화, 우편, 전자우편 등 다양한 수단을 이용한 자료 수집을 통해 분쟁조정 사건에 대한 사실조사를 실시하고, 사실조사가 완료되면 이를 토대로 사실조사보고서를 작성하여 본 사건을 위원회에 회부합니다. 개인정보분쟁조정위원회는 조정에 들어가기 앞서 당사자간의 자율적인 노력에 의해 원만히 분쟁이 해결될 수 있도록 합의를 권고할 수 있으며, 합의권고에 의해 당사자간의 합의가 성립하면 사건이 종결됩니다. 조정 전 합의가 이루어지지 않으면 위원회를 통해 조정절차가 진행됩니다. 조정절차가 진행되면 당사자의 의견 청취, 증거수집, 전문가의 자문, 현장조사 등 필요한 절차를 거쳐 쌍방에게 합당한 조정안을 제시하고 이를 받아들일 것을 권고하며, 이 경우 사건의 신청자나 상대방은 위원회의 회의에 참석하여 자신의 의견을 개진할 수 있습니다. 개인정보분쟁조정위원회의 조정을 통해 내려진 결정에 대하여 조정안을 제시받은 날부터 15일 이내에 신청인과 상대방이 이를 수락한 경우에는 조정이 성립됩니다. 이때, 조정안에 대한 수락 여부를 알리지 않으면 조정안을 수락한 것으로 보아 절차를 진행합니다. 당사자가 위원회의 조정안을 수락하고자 하는 경우, 위원회가 송부한 조정서에 기명날인하여 위원회에 제출합니다. 양 당사자가 모두 조정안을 수락하면 조정이 성립되어 조정서가 작성되고 조정절차가 종료됩니다. 당사자 중 일방이 조정안을 수락하지 않을 경우, 민사소송을 제기하는 등 다른 구제절차를 진행할 수 있습니다. 개인정보분쟁조정위원회의 조정 결정에 대해 신청인과 상대방이 이를 수락하여 조정이 성립된 경우, 「개인정보 보호법」 제47조제5항의 규정에 따라 양 당사자간의 조정서는 재판상 화해와 같은 효력을 갖게 됩니다. 한편 피해 또는 권리침해를 입은 정보주체의 수가 50명 이상이고, 사건의 중요한 쟁점 (피해의 원인이나 결과)이 사실상 또는 법률상 공통될 경우 집단 분쟁조정 신청이 가능합니다. 집단분쟁조정을 의뢰 또는 신청받은 개인정보분쟁조정위원회는 위원회의 의결로 집단분쟁조정의 절차를 개시할 수 있고, 이 경우 개인정보분쟁조정위원회는 인터넷 홈페이지 또는 일간지에 14일 이상 그 절차의 개시를 공고하여야 합니다. 집단분쟁조정의 당사자가 아닌 정보주체 또는 개인정보처리자가 추가로 집단분쟁조정의 당사자로 참가하려면 해당 사건의 집단분쟁조정 절차에 대한 공고에서 정하는 기간 내에 문서로 신청 가능합니다. 개인정보분쟁조정위원회는 집단분쟁조정의 당사자 중에서 공동의 이익을 대표하기에 적합한 1인 또는 수인을 대표당사자로 선임할 수 있고, 분쟁조정위원회는 대표당사자를 상대로 조정절차를 진행합니다. 조정위원회는 집단분쟁조정절차 개시 공고가 종료된 날의 다음 날부터 60일 이내에 그 분쟁조정을 마쳐야 하며, 부득이한 사정이 있는 경우에는 조정기한을 연장할 수 있습니다. 조정안은 당사자에게 제시되고, 당사자가 제시받은 날부터 15일 이내에 조정안에 대한 수락 여부를 위원회에 알려야 하며, 15일 이내에 수락 여부를 알리지 않으면 조정안을 수락한 것으로 봅니다. 개인정보분쟁조정위원회는 피신청인이 분쟁조정위원회의 집단분쟁조정의 내용을 수락한 경우에 집단분쟁조정의 당사자가 아닌 자로서 피해를 입은 정보주체에 대한 보상계획서를 작성하여 조정위원회에 제출하도록 권고할 수 있습니다. 보상계획서 제출을 권고 받은 개인정보처리자는 그 권고를 받은 날부터 15일 이내에 권고의 수락 여부를 위원회에 알려야 합니다. 분쟁조정위원장은 집단분쟁조정 절차에 참가하지 못한 정보주체가 보상계획서에 따라 피해보상을 받을 수 있도록 사업자가 제출한 보상계획서를 일정한 기간 동안 인터넷 홈페이지 등을 통해 알릴 수 있습니다.
외부링크
- 공식자료: 개인정보 분쟁조정 제도 (개인정보분쟁조정위원회)
- 네이버 지식백과: 개인정보 분쟁 (지식백과 내 판례와 사례로 보는 생활법률)
근거법령
- 개인정보 보호법: 공포일 2023.03.14 시행일 2023.09.15
제43조(조정의 신청 등) ① 개인정보와 관련한 분쟁의 조정을 원하는 자는 분쟁조정위원회에 분쟁조정을 신청할 수 있다.
② 분쟁조정위원회는 당사자 일방으로부터 분쟁조정 신청을 받았을 때에는 그 신청내용을 상대방에게 알려야 한다.
③ 개인정보처리자가 제2항에 따른 분쟁조정의 통지를 받은 경우에는 특별한 사유가 없으면 분쟁조정에 응하여야 한다.
제47조(분쟁의 조정) ① 분쟁조정위원회는 다음 각 호의 어느 하나의 사항을 포함하여 조정안을 작성할 수 있다.
1. 조사 대상 침해행위의 중지
2. 원상회복, 손해배상, 그 밖에 필요한 구제조치
3. 같거나 비슷한 침해의 재발을 방지하기 위하여 필요한 조치
② 분쟁조정위원회는 제1항에 따라 조정안을 작성하면 지체 없이 각 당사자에게 제시하여야 한다.
③ 제2항에 따라 조정안을 제시받은 당사자가 제시받은 날부터 15일 이내에 수락 여부를 알리지 아니하면 조정을 수락한 것으로 본다.
④ 당사자가 조정내용을 수락한 경우(제3항에 따라 수락한 것으로 보는 경우를 포함한다) 분쟁조정위원회는 조정서를 작성하고, 분쟁조정위원회의 위원장과 각 당사자가 기명날인 또는 서명을 한 후 조정서 정본을 지체 없이 각 당사자 또는 그 대리인에게 송달하여야 한다. 다만, 제3항에 따라 수락한 것으로 보는 경우에는 각 당사자의 기명날인 및 서명을 생략할 수 있다.
⑤ 제4항에 따른 조정의 내용은 재판상 화해와 동일한 효력을 갖는다.
제49조(집단분쟁조정) ① 국가 및 지방자치단체, 개인정보 보호단체 및 기관, 정보주체, 개인정보처리자는 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우로서 대통령령으로 정하는 사건에 대하여는 분쟁조정위원회에 일괄적인 분쟁조정(이하 “집단분쟁조정”이라 한다)을 의뢰 또는 신청할 수 있다.
② 제1항에 따라 집단분쟁조정을 의뢰받거나 신청받은 분쟁조정위원회는 그 의결로써 제3항부터 제7항까지의 규정에 따른 집단분쟁조정의 절차를 개시할 수 있다. 이 경우 분쟁조정위원회는 대통령령으로 정하는 기간 동안 그 절차의 개시를 공고하여야 한다.
③ 분쟁조정위원회는 집단분쟁조정의 당사자가 아닌 정보주체 또는 개인정보처리자로부터 그 분쟁조정의 당사자에 추가로 포함될 수 있도록 하는 신청을 받을 수 있다.
④ 분쟁조정위원회는 그 의결로써 제1항 및 제3항에 따른 집단분쟁조정의 당사자 중에서 공동의 이익을 대표하기에 가장 적합한 1인 또는 수인을 대표당사자로 선임할 수 있다.
⑤ 분쟁조정위원회는 개인정보처리자가 분쟁조정위원회의 집단분쟁조정의 내용을 수락한 경우에는 집단분쟁조정의 당사자가 아닌 자로서 피해를 입은 정보주체에 대한 보상계획서를 작성하여 분쟁조정위원회에 제출하도록 권고할 수 있다.
⑥ 제48조제2항에도 불구하고 분쟁조정위원회는 집단분쟁조정의 당사자인 다수의 정보주체 중 일부의 정보주체가 법원에 소를 제기한 경우에는 그 절차를 중지하지 아니하고, 소를 제기한 일부의 정보주체를 그 절차에서 제외한다.
⑦ 집단분쟁조정의 기간은 제2항에 따른 공고가 종료된 날의 다음 날부터 60일 이내로 한다. 다만, 부득이한 사정이 있는 경우에는 분쟁조정위원회의 의결로 처리기간을 연장할 수 있다.
⑧ 집단분쟁조정의 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
제39조(손해배상책임) ① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
② 삭제 <2015. 7. 24.>
③ 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 5배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 개인정보처리자가 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.
④ 법원은 제3항의 배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다.
1. 고의 또는 손해 발생의 우려를 인식한 정도
2. 위반행위로 인하여 입은 피해 규모
3. 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익
4. 위반행위에 따른 벌금 및 과징금
5. 위반행위의 기간ㆍ횟수 등
6. 개인정보처리자의 재산상태
7. 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도
제39조의2(법정손해배상의 청구) ① 제39조제1항에도 불구하고 정보주체는 개인정보처리자의 고의 또는 과실로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 이 경우 해당 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
② 법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의 결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.
③ 제39조에 따라 손해배상을 청구한 정보주체는 사실심(事實審)의 변론이 종결되기 전까지 그 청구를 제1항에 따른 청구로 변경할 수 있다.
39조의9(손해배상의 보장) ① 정보통신서비스 제공자등은 제39조 및 제39조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.
② 제1항에 따른 가입 대상 개인정보처리자의 범위, 기준 등에 필요한 사항은 대통령령으로 정한다.
해외사례
- 미국: 현재 미국은 자국민의 개인정보 보호에 관하여 단일 규제 기관이 존재하지 않는다. 연방법에 의하여는 각 정부기관이 산업 섹터 별로 규제 중이며, 주법의 경우 개인 소비자들의 개인정보를 보호하는 데에 집중하고 있다. 연방 의회의 법령이나 규제를 위반할 경우 해당 규제 기관에게 벌과금을 지불하는 구조로 설계되었으며, 그와 별개로 각 주의 검찰청 검사장(Attorney General)이나 개인 및 단체의 訴因(cause of action)은 유지될 수 있다. 미 연방거래위원회(Federal Trade Commission)는 연방거래위원회법(Federal Trade Commission Act: FTC Act)의 권한 하에 소비자에게 불공평하거나 소비자를 속이는 행위를 넓게 규제하며, 연방 개인정보 규제를 집행한다. 대표적인 관련 법률로, 아동 온라인 프라이버시 보호에 관한 법률(Children’s Online Privacy Protection Act: COPPA)가 있다. COPPA는 1998년에 제정, 2000년에 시행되었다. 1990년대에 이르러 온라인을 통한 개인정보의 공유가 활발해졌으나 미성년자, 특히 만 14세 미만의 어린이들의 개인정보를 보호하는 체제는 아직 존재하지 아니하였다. 이에, 연방거래위원회는 FTC Act 5조에 의하여 어린이의 온라인 개인정보 보호를 위한 법령인 COPPA를 제정하였고, 이후 그에 따라 집행하고 있다. COPPA의 주요 내용은 만 14세 미만의 웹사이트 사용자들의 개인 정보를 수집 및 저장하는 데에 있어 웹사이트 별로 각자의 개인정보 취급방침(Privacy Policy)을 따라야 하며, 부모 혹은 보호자의 동의가 없는 경우 만 14세 미만 유저의 정보를 판매할 수 없다는 것이다. 미 통화감독국(Office of the Comptroller of the Currency)은 재무부 산하에서 국립은행법(The National Banking Acts of 1863 & 1864)에 따라 미국 국내 은행 및 협동조직 금융기관을 설립 인가, 규제 및 감독한다. 대표적인 관련 법률로, 그램-리치-바일리법(Gramm-Leach-Biley Act:GLBA)이 있다. 미 보건복지부(Department of Health and Human Services) 산하 인권담당실(Office for Civil Rights)은 의료 인권, 의료정보, 보안 관련 법령 등을 규제 및 감독한다. 대표적인 관련 법률로 건강보험이전 및 책임에 관한 법률(Health Insurance Portability and Accountability Act:HIPAA)이 있다. 연방법의 규제에 더불어 주법을 통한 보완도 이루어지고 있다. 그 예로 의료정보기밀유지법(Confidentiality of Medical Information Act)이 있다. 캘리포니아 주의 의료정보기밀유지법은 연방 HIPAA를 보완하는 주 법령으로써, 캘리포니아 주 내 의료서비스 제공자들에게 HIPAA 정보 공개 기준보다 엄격한 기준을 요구한다. HIPAA가 주 연관 법령의 적용을 배제하지 않고 기준 미국 연방 전체에 적용되는 최소한의 기준으로서 그보다 엄격한 기준 및 강력한 벌금이나 손해배상금 등을 명시적으로 허용하고 있으므로 그 존재 가치가 있다.
- 영국: 영국의 경우 자국민의 개인정보 보호 및 보안 관련을 관장, 규제하는 기관으로 정보위원회사무국(Information Commissioner’s Office)이 있다. ICO는 새로 시행된 DPA 2018 뿐만이 아닌, 정보자유법(Freedom of Information Act: FIA), 프라이버시 및 정보통신 규정(Privacy and Electronic Communications Regulations: PECR), 환경 정보 규정(Environmental Information Regulations: EIR), 공간정보 기반시설 규정(INSPIRE Regulations) 및 공공분야 정보 재활용에 관한 규정(The Re-Use of Public Sector Information Regulations) 등의 자국 내 각종 개인정보보호법을 집행하는 기관이다. 본래 ICO는 영국 국왕에게 직접 권한을 부여받는 비정부부문 공공기구(Non-departmental Public Body)로서 사기업이나 공공기관이 개인정보보호법을 위반하였을 경우 법원을 통하여 위반 통고(Enforcement Notice)를 하는 정도의 집행력 밖에 주어지지 않았으나, 2010년 4월부터 행정 벌금 과금 및 평가 통고(Assessment Notice)도 가능해져 이전보다 넓은 영역에서 집행력을 행사하고 있다. 영국의 경우 개인정보 유출에 관련하여 최근 Morrison 슈퍼마켓 개인정보 불법 유출 건까지(2017년) 단체 소송이 진행된 적이 없으며, 해킹이나 과실로 인한 대량의 개인정보 유출 시 ICO 행정벌금을 통하여 규제가 이루어졌다. 영국 ICO는 유럽연합의 GDPR 가이드라인에 따라 광범위한 행정벌금 과금이 가능하며, 2018년 5월 25일 GDPR 시행 이후 매주 약 500 여 건의 개인정보 유출 및 관련 규제 위반 신고를 접수할 정도로 영국 내 개인정보침해에 관하여 중심적인 역할을 맡고 있다. 현재 영국 ICO 역시 DPA 2018을 통하여 여타 유럽 국가들의 관리기관과 마찬가지로 GDPR의 “2016/679 규제 위반 시 행정벌금 적용과 과금에 관한 지침”(Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679)에 따라 행정벌금을 적용하고 있으며, 이 지침의 적용에 있어 ICO 집행력의 범위는 GDPR Article 58(2)에 표기된 권한의 범위에 부합하도록 되어 있다. 그 범위에서 보여지듯 영국 내 개인정보 보호에 있어 ICO는 포괄적인 권한을 지니며, 실질적으로 영국 내 개인정보 대량 유출 시 사법적 대응을 대체하는 행정 조치를 취하고 있다.
- 일본: 일본은 2003년 (평성 15년) 5월 23일 「개인정보의 보호에 관한 법률」(個人情報の保護に関する法律, 약칭 「개인정보보호법」, 본 절에서는 ‘개인정보보호법’으로 부른다)을 제정하였고, 사기업에 대한 벌칙 조항 등 4장 내지 6장의 규정을 제외하고 바로 시행되었다. 그리고 2015년 4월 1일에 전면 시행하였다. 동법은 인터넷 등 국제적 테이터 유통의 본격화와 더불어 각 국가의 개인정보 보호제도가 상이하여 개인정보의 국제유통을 저해하고 있다는 점에 관한 인식으로부터 시작하였고, 더불어 개인정보침해에 대한 불안을 해결하고자 마련되었다. 따라서 단순히 개인정보의 보호에 그 입법 목적이 제한된 것은 아니었다. 개인식별부호에 관한 내용이 추가되었고 빅 데이터의 활용을 위한 근거조항(“익명가공정보”- 특정 개인을 식별할 수 없도록 개인 정보를 가공하여 얻는 개인에 관한 정보로 해당 개인 정보를 복원할 수 없도록 한 것)에 관한 내용도 포함되었다. 한편 제3자 제공에 관한 규정도 포함되어 보다 강력한 개인정보 보호를 도모하고 있다. 또한 개인정보 취급의 글로벌화도 규정되어 해외의 법제도와의 균형을 고려하고 있다는 점도 명시되어 있다. 2015년 개정 중 가장 주목할 부분은 개인정보보호위원회의 신설이다. 개정법에 의해서 신설된 각종 제도 등에 대해서는 개인정보보호위원회가 규칙으로서 구체적 내용을 정하도록 되어 있는 것이 많다. 또 현지 조사권을 포함한 강한 권한이 부여되도록 규정되어 있고, 기존에 각 산업 분야마다 주무장관(主務大臣)이 가지던 감독 업무를 일원적으로 집약하여 맡게 되었다. 유럽에서는 EU데이터보호지침에 의해서 각국의 데이터 보호 기관에는 이러한 강한 권한이 주어지고 있으므로 국제적인 밸런스도 고려된 것으로 보인다. 일본 개인정보보호법제의 특징은 법률에서 원칙적인 기준을 제시하고, 세부적인 내용은 분야별(예: 은행, 증권업, 생보, 손보, 투신, 신탁 등)로 가이드라인을 두고 있다는 점이다. 이는 일본의 다른 산업 규제 방식에서도 자주 등장하는데, 실제 일본에서는 산업별 자율규제가 상당한 영향력을 행사한다.
- 독일: 독일에서는 연방정보보호감찰관(혹은 ‘연방정보보호관’으로도 번역된다, 이하 ‘감찰관’으로 통일한다)을 두고 해당 기구로 하여금 연방공공기관을 관리하도록 한다(제24조). 감찰관은 정부가 임명하는데, 5년의 임기를 가진다. 임무수행에 있어 독립적이고 법률만을 따르도록 되어 있다(제22조). 독일의 경우 논리적으로 개인정보보호법 위반 그 자체로 인한 손해배상 사건이 존재하기가 매우 어렵다. 또한 위자료 책임이 쉽게 인정되지 않는 법체계상의 특징으로 인하여 일반적으로 물질적 손해가 주로 문제되고, 정신적 손해는 다루어지지 않는다. 독일에서는 우리가 상정하는 바와 같은 민사적 위자료 책임보다는 행정적인 규제가 우선시 되는 것으로 이해할 수 있다. 이와 같은 결론은 사전적인 리스크 관리를 위해 행정적 규제체계를 마련하는 것이 독일법 체계의 1차적 목적이었기 때문으로 보인다. 개인정보 침해를 이유로 하는 손해배상은 보통 독일 민법 제823조 제1항에 따른 일반적 인격권 침해를 기초로 제기되고 또 판단되는 것으로 보인다. 다만 그 사례가 많지 아니하여 그를 두고 어떠한 경향성을 인정하는 것은 쉽지 않은 것으로 생각된다. 따라서 인정된 위자료 액수에 관하여는 일률적으로 파악하기가 아니하다. 한편으로 일반적 인격권 침해로 문제된 사안에서 침해가 경미함을 이유로 위법성이 부정된 사안도 적지 않은 것으로 이해된다. 예컨대, 개인정보를 제3자에 위법하게 전달한 때에도 관계인에게 부정적인 결과가 발생하지 않아 위자료가 부정된 것으로 BAG VersR 1986, 176 = NJW 1986, 341 판결이 있다. 반면 위법한 개인정보 수집의 경우 이자를 제외하고 246.33 유로를 인정한 사례도 있다.
연구동향
- 권수진(2019)의 연구는 개인정보 집단분쟁해결제도에 관하여 살펴보고, 특히 개인정보 집단분쟁조정제도와 개인정보 단체소송의 활성화를 위한 법제개선 방향을 제시하고자 한다. 현대사회에서 정보통신기술의 발달함에 따라 개인정보에 대한 중요성이 강조되고 있다. 개인정보의 유출은 대규모로 일어나며 수많은 피해자에게 정신적 재산적 피해를 입힐 수 있다. 개개인의 정보주체는 사전에 자신의 개인정보의 침해나 유출을 인지하고 통제하기 어렵고, 일단 개인정보 침해가 일어나면 후속피해로 확산될 수 있을 뿐 아니라 사후적 구제조치를 통한 원상회복도 거의 불가능하다. 이러한 개인정보의 침해와 유출은 정보주체가 가지는 헌법이 보장하는 기본권인 개인정보자기결정을 침해한다. 다수의 피해자가 발생하는 점, 재산적 피해도 함께 입을 수 있다는 점, 시장경제질서에 영향을 미치는 점에서 개인정보의 보호는 중요한 사회적 문제이다. 대규모 정보유출과 피해를 방지하고 분쟁의 조속한 해결과 개인정보처리자의 불법 오 남용으로 인한 피해를 막기 위하여 우리나라는 개인정보 집단분쟁조정제도를 도입하였다. 개인정보 집단분쟁조정제도를 통하여 정보주체의 권익 보호에 기여하고자 하였다. 그러나 기존의 입법취지와는 다르게 실제 개인정보 집단분쟁해결제도의 이용실적은 매우 저조한 것이 현실이다. 집단분쟁조정제도의 활성화를 위하여 제도를 개선하기 위한 노력이 필요하며 우리나라의 현실에 맞는 집단소송제도의 도입을 논의하여야 한다.
- 고형석(2011)의 연구는 개인정보침해와 피해구제에 관한 연구를 수행하였다. 시간이 경과할수록 개인정보침해가 급증하고 있기 때문에 개인정보에 대한 보호 역시 중요시 되고 있다. 이러한 상황에서 모든 분야에서의 개인정보보호를 목적으로 하는 개인정보보호법의 제정은 매우 바람직하다고 할 것이다. 그러나 동법의 구체적인 내용에 있어서 과연 동법의 입법목적이 충분히 달성될 수 있는가에 대하여는 의문이 제기되고 있으며, 이에 대한 조속한 보완이 이루어져야 할 것이다. 이를 간략하게 제시하면 다음과 같다. 첫째, 단체소송제도는 제도적 취지와 무관하게 집단분쟁조정절차가 경료된 이후에 제기하도록 규정하고 있기 때문에 이의 요건은 반드시 삭제하여야 한다. 또한 단체소송을 규정하고 있는 소비자기본법과 비교하여 최소한 제소요건을 이와 동일하게 규정하여 동법상 단체소송제도의 실효성을 확보하여야 할 것이다. 둘째, 손해배상책임과 관련하여 동법에서는 과실책임주의원칙과 무과실책임주의 원칙을 혼용하여 채택한 결과 개인정보보호에 주의의무를 다한 개인정보처리자가 손해배상책임을 부담하는지에 대한 의문이 제기되고 있다. 이러한 문제점을 해소하기 위하여 동법 제39조 제2항은 삭제되어야 할 것이다. 셋째, 분쟁조정제도와 관련하여 조정을 통한 분쟁해결을 회피하기 위하여 소를 제기하는 경우에 있어서 해결방안으로 법원에 의한 조정허가제도를 신설할 필요가 있으며, 분쟁조정의 신청에 대하여도 시효중단의 효과를 인정하여야 할 것이다.
- 임종인과 이숙연(2008)의 연구는 현재까지 발생하였던 개인정보분쟁의 소송사례를 바탕으로 개인정보 침해사고의 유형을 분석하고, 손해배상책임의 근거와 위자료산정의 지표를 검토하였다. 또한, 개인정보분쟁조정위원회의 현황과 성과 및 조정사례를 살펴보고, 2008. 10. 발의된 개인정보보호법안에 포함된 집단분쟁조정제도를 소개하였다. 더 나아가 집단적 분쟁해결을 위한 대안으로, 현재 도입되어 있는 집단소송 및 소 비자단체소송을 비교하고, 개인정보 집단분쟁에서의 도입가능성을 검토하여 보았다.
- 권홍과 김태성(2010)의 연구는 조정을 원활하게 할 뿐 아니라 피해 발생 기업이나 조직의 입장에서도 피해규모를 파악하는데 활용할 수 있을 것이다. 이러한 목적으로 본고에서는 원단위(Basic Unit) 접근법을 통한 정량적 모델인 JNSA(Japan Network Security Association)의 JO(JNSA Damage Operation Model for Individual Information Leak)모델과, 맥브라이드표의 방식과 이노우에 시게끼 판사의 명예훼손에 의한 위자료 산정 방식을 혼합하여 제안한 KISA(Korea Internet & Security Agency) 산하 개인정보분쟁조정위원회의 정신적 손해배상액 산정 모델을 중심으로 개인정보 침해사고에 대한 정량적 위자료 산정에 대한 접근방법과 기준에 대해 논의해 보고자 하였다. 더불어 실제 판례와 비교 연구를 통해 타당성과 적용가능성을 타진해 보고, 산출 값의 적정성을 검증하기 위한 향후 연구의 방향에 대해서도 모색하였다.
- 송재일(2014)의 연구는 개인정보침해에 따른 민사법상 쟁점과 그 피해예방 및 구제방안에 대하여 살펴보았다. 먼저 개인정보 보호에 관한 권리는 미국의 경우, 프라이버시권에서 확장된 정보 프라이버시 개념으로 인정되었다. 독일의 경우, 일반적 인격권에 의해 자기결정권을 보호해 왔고 이것이 발전하여 일반적 인격권의 내용으로 정보자기결정권으로 인정되었다. 개인정보는 그 자체가 정보주체와 분리되어 독립된 가치를 갖는 것은 아니므로 개인정보를 재산권이 대상으로 파악하는 것은 부적절하다. 오히려 개인정보의 공개와 이용이 인격의 발현과 인간의 존엄성에 직접 영향을 미칠 수 있으므로, 개인정보에 관한 자기결정권은 인격권으로 파악해야 할 것이다. 개인정보에 관한 인격권이 침해되었는지 여부는 우선 법률에 규정된 절차 등이 제대로 준수되었는지를 기준으로 판단해야 할 것이다. 그리고 이러한 법률이 직접 적용되지 않는 사안에서는 다른 이익과의 형량을 통하여 그 침해 여부를 판단해야 할 것이다. 개인정보에 관한 인격권이 침해된 경우, 사후적 구제로서 손해배상청구권뿐만 아니라 사전예방적 구제로서 금지청구권을 인정하는 것이 타당하다. 개인정보보호법에 규정된 열람요구권, 정정 ? 삭제요구권, 처리정지요구권 등도 금지청구권과 관련된 것으로 보인다. 또한 개인정보에 관한 인격권이 침해된 경우 피해자는 계약책임 또는 불법행위책임으로 손해배상을 청구할 수 있다. 개인정보에 관한 인격권이 침해되면 항상 정신적 손해에 대한 배상책임이 인정되는지 문제된다. 최근 이를 부정하는 취지의 판결이 선고되기도 하였으나, 정보주체의 결정권 자체가 침해된 것이므로 이로 인한 정신적 손해를 인정하는 것이 타당하다. 개인정보보호법상 피해예방 및 피해구제방안은 단체소송, 손해배상책임 및 분쟁조정으로 구성된다. 그러나 피해예방 및 피해구제의 실효성을 높이기 위해 해석론에서는 입증책임전환에서는 사업자가 실질적인 보호조치를 하였는지 여부를 판단하고, 정보안전조치에 대한 인증을 갖춘 경우 경감하는 해석 등으로 사업자의 주의의무를 환기시키는 것이 필요하다. 입법론으로는 분쟁조정의 활성화, 단체소송제도의 개선, 기금 및 보험 등의 도입도 적극적으로 고려할 필요가 있다.
- 권수진과 김일환(2017)의 연구는 재판 외 분쟁해결절차의의의 및 유형을 분석하고 그 중에서도 특히 개인정보분쟁조정제도에 대한 현황과 문제점 및 법제정비 방안을 고찰하여 당사자의 권리침해에 대한 신속하고 효과적인 해결을 도모할 수 있는 해결방안을 제시하고자 한다. 첨단과학기술사회에 있어 사회, 경제, 정치, 의료, 교육 등 다양한 분야에 있어 당사자들 간의 갈등과 분쟁은 그 형태와 양상이 매우 다양하게 나타나고 있다. 따라서 종래 법원을 통한 재판, 소송과 같은 갈등해결 방식으로는 헌법상 보장된 기본권을 충분히 보호할 수 없음이 드러나고 있다. 이러한 전통적인 갈등해결 방식이 가지는 문제점에 대한 대체적 방안으로 재판 외 분쟁해결절차(Alternative Dispute Resolution, 이하 ‘ADR’이라 한다)가 주목을 받고 있다. 재판외 분쟁해결절차는 법원을 통한 소송제도에 비하여 시간이 적게 걸리며 비용이 상대적으로 저렴하고 누구나 쉽게 접근할 수 있다는 장점이 있고 효율적인 분쟁해결 수단이다. 재판 외 분쟁해결제도의 헌법상 재판청구권 침해나 분쟁조정제도의 실효성 등에 관한 논의가 존재하나, 기본권의 효율적 보호를 위하여 다양한 권리보호수단을 마련하는 것은 법치주의 원리상 타당하다. 재판 외 분쟁해결절차의 종류 중 하나인 분쟁 조정제도의 필요성도 높아지고 있다.
- 전승재와 권헌영(2018)의 연구는 신용카드 개인정보 유출 소송을 통해 불거 진 개인정보 침해 관련 손해배상 제도상의 쟁점에 대해 논한다. 서울고등법원은 유출된 개인정보가 유출범인 이외의 제3자에게 유통되었다면 위자료 배상을, 그렇지 않았다면 원고청구 기각 판결을 선고했다. 이는 Leading Case인 ‘GS칼텍스 판결’을 따른 것이다. 그러나 정보주체의 관점에서는 금융기관을 믿고 맡긴 개인정보가 권한 없는 제3자에게 유출되었다는 것 자체로 법익침해 및 손해가 발생했다고 볼 여지도 있다. 향후에도 유출정보의 추가 유통이 없는 사안을 법의 사적집행 대상에서 제외하고 공법적 규제로써만 다루고자 한다면, 이를 해석론으로만 관철할 것이 아니라 사회적 합의를 거쳐 입법화하는 것이 바람직하다. 한편, 이번 소송에서는 유출정보의 ‘내용’은 현출되지 않은 상태에서 단지 그 ‘항목’만을 기초로 재판이 진행되어, 정보주체들이 현재 얼마나 현실적인 위험에 처해 있는지에 대해 심도 있는 심리가 이루어질 기회가 없었다. 정보주체가 유출 당한 정보의 내용을 모르는 상태에서는 카드사들의 각종 후속조치에도 불구하고 당초의 불안감을 덜기 어려웠다. 유출정보 내용 통지 제도를 도입할 필요가 있다. 이번 사건 후 개인정보 침해에 관한 법정손해배상 및 징벌적 손해배상 특칙규정이 입법되었으나, 개인정보 유출 사건에서는 재산적 손해가 아니라 정신적 손해가 주로 문제되기 때문에 이들의 활용 여지가 적다. 입증책임 전환규정에 관한 소송법상 쟁점 등은 여전히 해결되지 않은 문제로 남아있어 입법적 개선을 요한다.
참고문헌
- 한승수 외. (2018). 개인정보 분쟁조정 손해배상에 관한 연구. 개인정보보호위원회 연구용역보고서.
- 권수진. (2019). 개인정보 집단분쟁해결제도에 관한 연구. 미국헌법연구, 30(3), 151-188.
- 고형석. (2011). 개인정보침해와 피해구제에 관한 연구. 법조, 60(10), 272-317.
- 임종인, & 이숙연. (2008). 개인정보관련분쟁의 사례분석과 대안의 모색. 정보법학, 12(2), 214-251.
- 권홍, & 김태성. (2010, June). 개인정보 침해사고에 대한 정량적 위자료 산정 모델 고찰. In KMIS International Conference (pp. 432-436).
- 송재일. (2014). 개인정보보호의 민사법적 쟁점. 법학연구, 54, 35-60.
- 권수진, & 김일환. (2017). 개인정보 분쟁조정제도의 활성화를 위한 헌법상 연구. 미국헌법연구, 28(1), 1-40.
- 전승재, & 권헌영. (2018). 개인정보 유출로 인한 손해배상 제도에 관한 고찰: 신용카드 개인정보 유출 소송을 통해 드러난 제도적 한계를 중심으로. 경제규제와 법, 11(1), 28-51.