대한민국 피해자가 반드시 알아야 할 법적 구제 수단
최근 몇 년간 대한민국은 그야말로 개인정보 유출의 '망국' 시대를 경험하고 있으며, 쿠팡, 지마켓, SKT를 비롯한 대형 플랫폼과 통신사를 막론하고 전 국민의 민감한 개인정보가 연쇄적으로 털리는 사태가 반복되고 있다. 이는 기업들의 안일한 보안 관리 시스템과 개인정보 관리의 허점을 명백히 드러낸다. 수천만 명의 이름, 전화번호, 주소, 구매 기록 등이 이미 공공연히 유통되고 있다는 현실은 더 이상 개인의 사생활 보호를 넘어 국가적 재난 수준의 위협으로 인식되어야 한다. 이러한 무책임한 관리 행태에도 불구하고, 현재의 법적 구제 시스템을 제대로 알지 못해 피해자들이 소극적으로 대응하는 경우가 많다. 따라서 개인정보가 유출된 피해자들이 기업에게 정당한 책임을 물을 수 있는 권리와 방법을 명확히 아는 것이 시급하다.
개인정보 유출 피해자가 기업에게 손해배상을 청구할 때 적용되는 핵심 법조항은 개인정보 보호법의 제39조 (손해배상책임)와 제39조의2(법정손해배상의 청구) 두 가지이다. 제39조는 일반적인 민사상 손해배상 원칙에 따른 것으로, 피해자는 기업의 법 위반 행위로 인해 발생한 실제 손해액을 입증해야 한다. 다만, 이 조항은 개인정보 침해 소송의 어려움을 감안하여 입증책임의 전환을 규정하고 있다. 즉, 기업이 스스로 고의 또는 과실이 없었음을 입증하지 못하면 책임을 면할 수 없도록 하여 피해자의 입증 부담을 덜어준다. 더욱 강력한 조항은 제39조 제3항인데, 기업의 고의 또는 중대한 과실이 인정될 경우, 법원이 손해액의 5배를 넘지 않는 범위에서 배상액을 정할 수 있도록 하는 징벌적 손해배상 규정을 포함하고 있다.
반면, 제39조의2는 법정손해배상 제도로, 피해자가 실제 손해액을 입증하기 어려운 경우를 위해 마련되었다. 이 조항은 개인정보가 분실, 도난, 유출 등 침해된 사실만 입증하면, 손해액의 입증 없이도 300만 원 이하의 범위에서 법원이 상당하다고 인정하는 금액을 배상받을 수 있도록 한다. 이 역시 제39조와 동일하게 기업이 고의 또는 과실이 없음을 입증하지 못하면 책임을 져야 하는 입증책임 전환의 원칙이 적용된다. 즉, 두 조항 모두 입증 책임은 같지만, 제39조는 실제 피해액 입증을 요구하는 대신 징벌적 배상(5배)의 가능성을 열어두고, 제39조의2는 손해액 입증 없이도 배상(최대 300만 원)을 쉽게 받을 수 있는 간편 구제에 초점을 맞추고 있다는 점에서 차이가 있다.
피해자들이 기업을 상대로 취할 수 있는 법적 행동은 집단소송, 단체소송, 공동소송(다수당사자소송)으로 나뉜다. 이 중 집단소송(Class Action)은 대표자 1인이 소송하면 소송에 참여하지 않은 모든 피해자에게 판결 효력이 미치고 손해배상도 일괄적으로 받는 가장 강력한 수단이지만, 현재 개인정보 침해 분야에는 법적 근거가 없어 적용할 수 없다. 반면, 단체소송은 소비자단체 등 공익 단체가 기업의 위법행위 '금지 및 중지'를 청구하는 소송으로, 이겨도 피해자 개개인이 금전적 손해배상을 받을 수는 없다. 특히 단체소송을 제기하기 위해서는 개인정보 보호법 제66조에 따라 집단분쟁조정 절차를 먼저 거치도록 의무화되어 있다. 이는 분쟁조정 전치주의라고 불리며, 법원 소송에 앞서 행정기관을 통해 합의로 문제를 해결할 기회를 먼저 부여하기 위함이다. 이 집단분쟁조정은 개인정보 보호위원회 산하의 분쟁조정위원회에 50명 이상의 정보주체가 동일하거나 유사한 피해를 입었음을 주장하며 신청할 수 있으며, 소송보다 신속하고 간편하게 배상에 관한 합의를 시도할 수 있는 절차이다. 그러나 조정이 결렬되거나 기업이 거부할 경우 결국 소송으로 나아가게 된다.
따라서 피해자들이 실질적인 손해배상을 받기 위해 가장 흔하게 활용하는 방법은 로펌을 통해 피해자들을 모아 진행하는 공동소송(다수당사자소송)이다. 결국 다수의 피해자가 실질적인 손해배상을 받기 위해서는 변호사를 선임하여 피해자들을 원고로 모집하여 공동소송을 제기할 수밖에 없다. 이러한 공동소송이 제기되면 기업들은 대형 로펌을 선임하여 방어할 것이고, 손해배상액은 최소화되버리는 기존의 관행을 이번에는 깨야 한다. 대형 로펌들이 소비자 편에서 적극적으로 개인정보 보호법 제39조 제3항의 징벌적 손해배상을 강력히 주장할 필요가 있다. 그런데 문제는 대형 로펌들은 대부분 기업들을 방어하는 데 집중하는 경향이 강한데, 기업 편에 서는 것이 여러모로 로펌의 이익에 훨씬 더 부합하기 때문일 것이다. 그러나 대규모 로펌의 자원과 전문성이 국민 대다수인 피해자 집단에 투입된다면, 유출의 고의나 중대한 과실이 없음을 입증하지 못하면 책임을 면할 수 없다는 법의 원칙을 최대한 활용하여 기업의 무책임한 관리 태도에 효과적으로 경종을 울릴 수 있다.
미국의 법률 시스템은 우리나라와는 달리 집단소송 제도가 폭넓게 인정되고 있으며, 특히 개인정보 유출 사건의 주요한 구제 수단으로 활용된다. 대표적으로, 미국의 신용정보 회사 에퀴팩스(Equifax)는 2017년 대규모 개인정보 유출 사고 이후, 연방거래위원회(FTC) 등과의 합의를 통해 피해자들에게 최소 5억 7,500만 달러(약 7,500억 원) 이상을 배상하기로 합의한 바 있다. 이처럼 천문학적인 배상금은 단순한 피해 보상을 넘어, 기업들에게 보안 관리가 곧 기업의 생존과 직결된다는 강력한 경각심을 심어준다. 대한민국 역시 개인정보 유출 피해자들이 적극적인 공동소송과 징벌적 배상 청구를 통해, 무책임한 기업들을 응징하고 국민의 개인정보를 지켜낼 '소비자 주도형 보안 혁신'의 계기를 마련해야 한다. 더 이상 '개인정보 유출 망국'이라는 오명 속에 침묵하지 않고, 법적 권리를 행사하여 기업들의 태도를 근본적으로 변화시키는 것이 시대적 요구이다.