2025년 독일 연방대법원(BGH) 가이드라인과 라이프치히 지방법원 판결
디지털 환경에서 개인정보의 대규모 유출과 그로 인한 법적 책임의 범위는 정보 주체의 인격권 보호와 플랫폼 기업의 경제적 이해관계가 격돌하는 최전선이다. 2024년 11월 18일 독일 연방대법원(BGH)이 선고한 두 개의 기념비적 판결(VI ZR 10/24 및 VI ZR 110/24)과 이를 근거로 2025년 7월 4일 라이프치히 지방법원(LG Leipzig)이 내린 배상 결정은, 이용자의 데이터가 무단으로 스크레이핑 된 경우 플랫폼 기업이 지는 법적 책임의 수위를 획기적으로 높였다. 이 판결들은 특히 GDPR 제82조 제1항에 따른 손해배상의 문턱을 낮추고, 데이터 유출 그 자체가 가져오는 ‘통제권의 상실'(Kontrollverlust)을 실질적인 손해로 인정했다는 점에서 의미가 있다. 또한 경쟁법적 관점에서는 지배적 플랫폼이 보안 의무를 소홀히 함으로써 이용자의 데이터를 착취적 상황에 방치한 행위에 대해 강력한 금전적 제재를 가했다는 점에서 시장 지배적 사업자의 관리 책무를 재정립하고 있다. 본 판결은 데이터가 단순한 상품이 아니라 인격의 연장선이며, 그 보호의 실패가 곧 기업의 경제적 징벌로 이어져야 함을 천명한 사례이다.
사건의 핵심은 2018년과 2019년에 발생한 페이스북의 ‘연락처 찾기’ 기능을 악용한 대규모 스크레이핑 사건에 대한 책임 소재였다. 연방대법원은 이용자가 자신의 전화번호 등 데이터가 어떻게 처리되고 노출되는지에 대한 통제권을 잃어버린 상태 그 자체만으로도 GDPR상 비재산적 손해가 성립할 수 있음을 명시하였다(VI ZR 10/24, paras. 24-31). 나아가 VI ZR 110/24 판결에서는 이용자가 실제적인 피해(예컨대, 스팸 전화, 피싱)를 당하지 않았더라도, 자신의 정보가 암시장에 유통되고 있다는 인지만으로 느끼는 ‘불안과 우려’가 배상 가능한 손해의 범주에 포함됨을 확인하였다(VI ZR 110/24, paras. 18-25). 이는 과거 사법부가 요구했던 구체적인 정신적 고통의 엄격한 입증 없이도, 헌법상 개인정보 자기결정권의 침해 사실만으로 손해배상을 청구할 수 있는 길을 열어준 것이다. 라이프치히 지방법원은 이러한 대법원의 법리를 수용하여, 메타가 보안 조치를 충분히 강구하지 않아 이용자를 잠재적 위험에 노출시킨 것은 단순한 부주의를 넘어선 중대한 권리 침해라고 판단하였다.
쾰른 고등법원이 AI 학습을 위한 데이터 활용에 다분히 친기업적인 태도를 보였던 것과 달리, 연방대법원과 라이프치히 지방법원은 데이터의 ‘보안’과 ‘정보 주체의 의사’를 법치의 중심에 세웠다(paras. 42-49). 법원은 플랫폼이 제공하는 기능이 이용자의 의도와 다르게 악용될 수 있음을 사전에 인지하고도 이를 방치한 것을 헌법적 보호 의무의 위반으로 보았다. 이는 디지털 주권이 형해화된 시대에 사법부가 개인의 인격적 영역을 기술 권력으로부터 보호하기 위한 최소한의 방어선을 구축한 것으로 평가할 수 있다.
언론법적 시각에서 본 판결은 데이터 유출이 초래하는 ‘침묵 효과'(chilling effect)에 주목한다. 이용자의 연락처와 프로필 정보가 무단으로 스크레이핑되어 암시장에서 거래될 경우, 개인은 온라인상에서의 자유로운 표현과 소통에 위축을 느끼게 된다. 연방대법원은 이러한 잠재적 위험이 민주적 담론의 장인 소셜 미디어의 기능을 저해할 수 있음을 간접적으로 시사하였다(VI ZR 110/24, paras. 35-42). 특히 언론인이나 공적 인물의 경우 데이터 유출이 물리적 위협이나 디지털 스토킹으로 이어질 수 있다는 점에서, 플랫폼의 보안 실패는 단순한 약관 위반을 넘어 언론의 자유와 신변 안전을 위협하는 사회적 해악으로 규정된다.
경쟁법적 담론에서 라이프치히 지방법원이 확정한 1인에 대한 5,000유로(한화로 약 760만원)의 배상액은 플랫폼 독점에 대한 ‘사적 집행'(private enforcement)의 새로운 지평을 열었다. 이는 단순히 한 명의 이용자에 대한 배상이 아니라, 수백만 명의 이용자에게 적용될 경우 메타와 같은 빅테크 기업에 천문학적인 경제적 타격을 줄 수 있는 규모로서, ‘데이터 수집’의 비용을 현실화하는 조치이다(paras. 85-92). 그동안 플랫폼 기업들은 낮은 보안 비용과 무분별한 데이터 수집을 통해 부당한 비용 절감을 향유해 왔으나, 이제는 데이터 보호 실패가 직접적인 재무적 리스크로 치환됨으로써 시장 내 공정 경쟁의 조건이 재설정된 것이다.
또한 본 판결은 지배적 플랫폼이 누리는 ‘데이터 네트워크 효과’의 어두운 이면을 법적으로 포착했다. 거대 플랫폼은 이용자 데이터를 독점하여 지배력을 강화하지만, 그에 상응하는 보안 책임은 외주화하거나 회피하려는 경향이 있다. 연방대법원은 메타가 ‘연락처 찾기’ 기능의 편리함만을 강조하고 그로 인한 스크레이핑 위험을 사용자에게 명확히 고지하지 않은 점을 지적하였다(VI ZR 10/24, paras. 98-105). 이는 지배적 사업자가 정보의 비대칭성을 이용하여 이용자에게 불리한 위험을 전가하는 ‘착취적 남용’의 변형된 형태로 볼 수 있으며, 사법부는 배상액 산정을 통해 이러한 불균형을 교정하고자 하였다.
나아가 법원은 GDPR 제82조의 배상금이 단순한 보상을 넘어 ‘억제적 효과'(deterrent effect)를 가져야 함을 명확히 하였다. 라이프치히 지방법원은 메타의 거대한 수익 규모와 데이터 침해의 광범위성을 고려할 때, 소액의 배상금으로는 기업의 행태 변화를 이끌어낼 수 없다고 판단하였다(paras. 112-119). 이는 경쟁 당국의 과징금 부과와 유사한 효과를 노린 것으로, 개별 소송을 통해 거대 플랫폼의 데이터 관리 방식을 근본적으로 수정하도록 강제하는 강력한 사법적 도구가 된다. 헌법상 기본권 보호가 경제적 제재와 결합할 때 비로소 실효성을 갖게 됨을 입증한 것이다.
결론적으로 2024년 연방대법원의 두 가이드라인 판결과 2025년 라이프치히 지방법원의 배상 판결은 데이터 경제의 무법지대에 울리는 경종이다. 사법부는 데이터가 단순한 기업의 자산이 아니라 이용자의 인격적 권리가 응축된 지점임을 재확인하였으며, 그 보호의 실패에 대해 ‘통제권 상실’과 ‘불안감’이라는 법리적 잣대로 엄중한 책임을 물었다. 이는 쾰른 고등법원의 판결이 보여준 기술 중심주의적 편향을 견제하고, 디지털 시대의 법치가 결국 인간의 존엄과 자유를 수호하는 데 목적이 있음을 보여준 판례이다.
이제 글로벌 플랫폼 기업들은 데이터 수집을 통한 수익 창출만큼이나, 그 데이터를 지키지 못했을 때 치러야 할 ‘배상의 비용’을 심각하게 고려해야 하는 시대에 직면했다. 라이프치히의 5,000유로는 단순히 한 명의 이용자가 얻은 승리가 아니라, 빅테크의 데이터 독점과 오남용에 맞선 정보 주권의 승리이다. 앞으로 이 판례는 한국을 포함한 전 세계 사법부가 데이터 유출 사건을 다룰 때, 기본권 침해의 가치를 어떻게 경제적으로 환산하고 기업의 책임을 물을 것인지에 대한 결정적인 표준이 될 것이다.