개인정보유출 손배 소송, 연이은 패소 왜?

GS칼텍스, 옥션, SK커뮤니케이션즈 등에서 개인정보를 유출 당한 피해자들이 해당 회사를 상대로 제기한 손해배상 소송이 연이어 패소판결을 받았다. 피해자가 분명하고, 유출된 개인정보가 수십만명에서 수천만명에 이르지만 최근 손해배상소송에서는 원고가 이긴 사례를 찾기는 힘들다.

이에 대해 27일 법조계 및 정부 관계자들은 손해배상 소송의 경우, 유출된 개인정보가 해당 회사나 이용자의 개인정보 관리 및 통제권을 벗어나 제3자가 알 수 있는 상태에 이르렀는지에 대해 입증하기 어렵기 때문이라고 밝혔다.

■개인정보 유출 손해배상 소송 살펴보니

지난 26일 GS칼텍스를 상대로 개인정보유출 피해자 2만8천여명이 제기한 손해배상소송 2심에 대해 대법원은 1심과 마찬가지로 원고 패소 판결을 내렸다. 대법원은 새어나간 정보가 성명, 주민등록번호, 전화번호 등 개인 식별 정보일 뿐 경제적 이익을 침해할 정보에 해당하지 않는다며 항소를 기각했다. 개인식별 정보가 피해자에게 금전적 피해를 입혔는지에 대해 입증되지 않았다는 것이다.

또 지난달 23일 SK커뮤니케이션즈(SK컴즈)를 상대로 개인정보유출 피해자 2천847명이 제기한 손해배상 청구소송에서도 서울중앙지법 민사합의32부(부장판사 서창원)는 이 회사의 책임을 인정하기 어렵다고 판결했다. 앞서 지난해 7월 26일 SK컴즈는 해커의 공격을 받아 네이트, 싸이월드 회원 3천500만명의 아이디, 이메일, 주민등록번호 등의 개인정보가 유출된 바 있다.

■손해배상 소송 승리의 3원칙

테크앤로 구태언 변호사에 따르면 손해배상 소송에서 원고가 승소하려면 3단계의 과정을 모두 충족시켜야 한다.

우선 피고 측이 실제로 법을 위반했는지가 입증돼야 한다. GS칼텍스의 경우 IT분야 협력사 직원이 개인정보를 유출했다. 이 경우 GS칼텍스는 관리감독상 사용자 과실에 의해 법을 위반한 것으로 판단된다. 그러나 SK컴즈의 경우는 다르다. 이 경우 해킹을 통해 정보가 유출됐다고 하더라도 사용자가 기술적/관리적 보호조치를 다했다는 점에서 법을 위반했다고 판단하기 힘들다는 판결을 받았다.

위법행위가 인정되면 그 다음에는 실제로 피해자들이 어떤 손해를 입었는지에 대해 입증해야 한다. 그러나 GS칼텍스 사건의 경우 위법한 행위는 인정됐으나 이것이 개인정보가 유출된 피해자들에게 어떤 피해를 입혔는지가 입증되지 않았다. 이 때문에 대법원은 증거불충분을 이유로 원고패소판결을 내렸다.

GS칼텍스에서 유출된 정보가 단순 개인 식별 번호라는 점도 패소이유다. 앞서 지난 2008년 LG전자 신입사원 응시원서 유출사건의 경우 서울고등법원은 일부 원고에 대해 1인당 30만원 배상을 인정하는 판결을 내렸다. 이 경우 유출된 개인정보는 가족관계나 열심히 일해서 경쟁사를 따라 잡겠다는 등의 내용으로 실제 당사자에게 피해를 줄 수 있기 때문에 법적으로 민감한 정보라는 점이 입증됐다. 반면 GS칼텍스의 경우 개인식별번호만으로는 민감한 정보로 볼 수 없다는 것이 사법부의 판단이었다.

만약 실제 피해자들이 손해를 입은 내용이 입증되더라도, 피고측이 법을 위반해서 피해자들이 손해를 입었다는 내용 사이에 인과관계가 확인돼야 한다. 구 변호사는 예를 들어 이미 창문이 깨져있는데 여기에 돌을 던졌다고 해서 돌을 던진 사람이 배상해야 하는 것이 아닌 것과 같다고 밝혔다. 단순히 개인정보 유출에 따른 불안감에 대해 법적으로 손해배상을 해 줄 수는 없다는 것이다.

■정부 더 강력히 책임 추궁해야

최근 지속되고 있는 손해배상 소송 패소에 대해 행정안전부 개인정보보호과 한순기 과장은 사법부의 판단에 따라야 하나 유출사례에 대해 책임을 지는 문화나 풍토가 필요하다고 밝혔다.