오는 25일 개인정보보호법의 일부 내용에 대한 개정이 예정돼 있다. 그 내용은 개인정보를 다루는 많은 업체들의 변화를 요구한다. 개인정보를 다루는 업체와 소비자에게 가장 밀접한 배상과 관련된 부분의 변화이기 때문이다.
실제 개인정보를 가장 많이 다루고 있는 금융업계에서 그 개정 법안에 맞춰 이미 발 빠르게 변화의 행보를 보이기 시작한 상황이다.
먼저 수탁업체에 대한 교육, 그리고 개인정보배상책임보험금액을 최대한 늘리고 있는 중이다. 지금까지 개인정보보호법이 개정되면서 발생했던 변화 중 가장 큰 변화로 보인다.
현재의 변화에 대해서 논하기 위해서는 과거의 개인정보보호법상의 문제점에 대한 이해가 필요하다. 과거 개인정보보호법에서는 피해자인 정보주체가 법 위반사실과 손해발생에 대하여 입증하도록 돼 있고, 기업은 기업 스스로의 고의·과실 없음에 대해 입증하도록 돼 있었다는 것이다.
이 내용의 핵심은 해킹사고가 발생해 개인정보가 유출되는 사고가 발생했을 경우 배상을 받기 위해 피해자는 해당 기업이 기술적, 관리적 보호조치 의무를 위반 했는지 등을 입증을 해야 했다는 것.
결국 과거 법률을 기준으로 개인이 소송과정을 통해 기업의 개인정보 유출로 인한 부분에 대하여 소송 등을 통해 배상을 받는 결과물을 얻어내기 어려웠던 구조였다.
결론적으로 보면 기업의 해킹사고로 인해 개인의 피해가 발생했을 때 개인은 해당 기업이 기술적, 관리적 보호조치 의무를 다하지 못했음을 입증해야만 원하는 손해배상을 받을 수 있었다는 것이다.
하지만 일반인인 개인이 그것을 현실적으로 입증하는 것은 불가능에 가까운 일이다. 기술적·관리적 조치라는 것이 개인이 학문적으로 접근해서 입증을 해나갈 수 없는 전문적인 내용의 분야다. 기업의 내부에서 발생하고 있는 문제에 대해서 기업이 공개해주지 않는 한 그것을 입증해낼 수 방법은 없었다.
하지만 개정되는 개인정보보호법의 핵심은 결국 피해자에게 요구됐던 기업의 법 위반 사실과 손해에 대한 입증책임을 면하게 해준다는 데 의의가 있다. 그리고 과거에는 사실상 피해입증이 어려워 보상을 받기 어려웠던 정신적 피해를 포함해 배상한다. 이 내용이 바로 법정 손해배상제도의 도입에 관한 내용이다.
또한, 추가적으로 법정손해배상제도와 함께 강화되는 부분은 징벌적 손해배상제도의 도입이다.
아직 피해액에 대해서 피해자가 입증해야 한다는 문제가 있지만 기업의 고의 또는 중과실로 인해 피해가 발생한 경우 실제 피해액의 3배까지 배상을 해야 한다는 내용이다. 결국 법정 손해배상제도 및 징벌적 손해배상제도의 도입을 통해 기업의 개인정보보호 노력을 강화시키겠다는 정부의 의지를 엿볼 수 있다.
대표적인 사례는 KT 870만명 개인정보 유출사건에 대한 10만원 배상 판결과 NH 및 KB 카드사의 8000만건 유출사건에 대한 10만원 배상 판결이다.
또한 네이트 3,500만명 회원 개인정보 유출에 대한 1심에서 20만원 배상으로 판결한 후, 항소심서 배상금 패소한 사건이다. 과거에 발생한 사례들의 특징은 미흡했던 개인정보보호법 아래에서 기업의 손을 들어준 사례들로 볼 수 있다.
유출사고마다 많은 개인정보가 유출됐지만 기업이 적절한 조치를 취했다고 인정해 배상책임이 없다는 판결을 내리거나 배상금액이 개인이 예상했던 배상금액에 턱없이 부족한 것이 현실이었다.
하지만 이번에 개정되는 개인정보보호법은 과거 개인정보보호법의 이러한 문제점들을 보완하기 위한 법률로 볼 수 있다. 결국 7월 25일 해당 법률이 시행되는 시점 이후 개인정보 유출사고는 기업의 입장에서 매우 위험한 요소가 될 것이다.
과거 KT 및 카드사 개인정보 유출 사고의 대표적인 배상책임 기준인 10만원의 배상금이 변화하고, 피해자의 입증과정도 생략된 채, 300만원으로 올라갈 수 있는 길이 열린 것이다. 예를 들어 과거 KT사고를 기준으로 870만명에 대하여 법원이 300만원의 배상 판결을 내릴 수 있다고 가정한다면, 그 배상금액은 더 이상 KT가 사업을 영위할 수 게 없게 만드는 금액이 될 수 있다.
법정·징벌적 손해배상제도의 도입은 개인정보보호법 도입 이후 기업의 과실에 대해 실질적 책임을 물을 수 있는 도구가 될 것으로 보인다.
과거 기업은 개인정보보호법이라는 법률에 의거 다양한 시스템을 갖췄고 그 시스템과 규정에 맞춰 업무를 수행한 경우 개인정보 유출사고에 대한 책임을 면하는 경우가 대다수였다.
하지만 법정·징벌적 손해배상제도의 도입은 아직도 이러한 생각을 가지고 있는 기업들과 직원들에게 이제 긴 잠에서 깨어날 때가 된 것을 알리는 경종이 될 전망이다.
