개인정보보호프라이버시

[빅데이터 신화, 개인정보는 봉인가?④] 당신이라면 소비자 집단소송에 동참하시겠습니까{/}승소금액은 알아서 받아가시오, 아, 소송비용은 별도

By 2019/06/27 No Comments

편집자주 :

문재인 정부에서도 과거 박근혜 정부와 마찬가지로 빅데이터, 인공지능 산업 활성화를 명분으로 개인정보의 상업적 활용 정책을 내놓고 있습니다. 주요 보수 언론 및 경제지는 국내 개인정보 보호제도가 빅데이터 산업의 발목을 잡고 있다고 비판하며 노골적으로 개인정보 규제 완화를 요구하고 있습니다. 그러나 한국의 개인정보 보호수준이 높다는 것은 허구입니다. 수많은 개인정보 유출 사고에도 불구하고 제대로 된 처벌과 보상조차 이루어지고 있지 않습니다.
이번 연재를 통해 빅데이터 시대, 개인정보를 둘러싼 주요 쟁점에 대해 인권 및 소비자권리 관점에서 비판하고 대안을 제시하고자 합니다.
작성 : 서치원 (안산소비자단체협의회)


▲ 인터넷과 스마트폰이 발달하면서 개인정보 침해가 꾸준히 늘어나고 있다.
ⓒ sxc

– 2008년: 하나로텔레콤(600만 명), 옥션(1,800만 명), GS칼텍스(1,100만 명)
– 2010년: 신세계몰(800만 명)
– 2011년: 싸이월드(3,500만 명), 넥슨(1,300만 명)
– 2012년: KT(870만 명)
– 2014년: 3개 카드사(2,000만 명), KT(1,200만 명), SKT, LG U+(1,230만 명), 국토교통부(2,000만 명)
– 2016년: 인터파크(1,000만 명)

업체별 고객 수를 정리한 것이 아니다. 주요 개인정보 유출 피해자 수를 정리한 것이다. 누적 인원 수는 1억 7400만 명. 5천만 전 국민의 개인정보가 빠져나갔다는 말도 과장이 아니다.

건수로 따지면 숫자는 더 불어난다. 참여연대는 2007년부터 2017년까지 개인정보 침해사례 44건의 개인정보 누적건수가 60억 건을 넘는다고 밝혔다.

개인정보 유출 기업의 법적 책임은?

그렇다면 수천만 명의 개인정보를 유출한 기업(개인정보처리자)은 어떤 책임을 졌을까? 금융감독기관은 은행이나 카드사에 600만 원의 과태료 처분을 한 바 있다. 방송통신위원회는 1천만 명의 개인정보를 유출한 인터파크에 44억8천만 원의 과징금을 부과했는데 현재까지 가장 많은 금액이다.


▲ 개인정보보호 위반 행정처분 현황 행정안전부가 발표한 개인정보 실태 점검 및 행정 처분 사례(2013-2017)
ⓒ 행정안전부

과태료나 과징금은 행정처분이므로 기업이 그것을 이행하더라도 침해를 당한 당사자인 소비자, 즉 개인정보주체에게는 어떠한 피해도 보상되지 않는다. 피해를 입은 소비자는 민사 손해배상을 구할 수밖에 없다.

소비자가 민사 손해배상을 청구하는 방법에는 집단분쟁조정신청과 민사소송이 있다. 집단분쟁조정신청은 기업측에서 응할 의무가 없어 민사소송이 사실상 유일한 구제방법이 된다. 그런데 소비자 집단소송은 쉽지 않다.

– 옥션(개인정보 1,800만 건 유출) 소비자 집단소송 패소(2013다43994)
– 싸이월드(개인정보 3,500만 건 유출) 소비자 집단소송 패소(2015다24904)
– KT(개인정보 870만건 유출) 소비자 집단소송 패소(2017다207994)

패소 판결과 더불어 소를 제기하지 않은 99% 피해자들의 권리는 사장되었다.

소비자 집단소송 과연 할 만할까?

물론 모든 소송에서 소비자들이 패소하는 것은 아니다. 최근 대법원은 카드3사의 개인정보 유출 사건 피해자에게 1인당 10만 원의 위자료를 지급하라는 판결을 선고했다. 피해자들이 청구한 금액은 100만 원이었는데 4년이 넘게 걸려 내려진 결론이다. 그밖에 홈플러스의 고객 개인정보 판매사건에서도 법원은 소비자들의 손을 들어주었다(현재 대법원에서 상고심을 진행중이다).

개인정보 유출 사건에서 소비자가 무조건 승소해야 할 이유는 없다. 하지만 지금의 제도로는 승소하기가 너무 어렵다. 실제 소비자의 민사 소송과정을 살펴보면 현행 제도와 법원의 태도가 어떤 문제가 있는지 분명해질 것이다.

개인정보 유출 사실을 증명하시오

소비자들은 대부분 언론보도를 통해 간접적으로 자신의 개인정보 침해사실을 접하게 된다. 소비자는 정보주체로서 개인정보처리자인 기업에 자신의 개인정보 열람을 요구할 수 있으므로(법 제35조), 이를 통해 자신의 피해사실을 확인하게 된다.

그런데 개인정보처리자인 기업이 이미 개인정보를 삭제했다는 이유로 열람에 불응하는 경우 제재할 방법이 없다. 소비자의 피해를 입증할 증거도 확보할 수 없게 된다.

개인정보 침해를 확인한 소비자는 더욱 효과적인 피해구제를 위해 단체소송을 원한다. 그런데 현행법상 소송당사자가 아니어도 피해구제를 받을 수 있는 본래의미의 단체소송은 없다. 소비자는 수천 명 혹은 수만 명의 원고 중 한 명으로 소를 제기해야만 한다.

수만 명의 원고 중 누락되거나 인적사항을 잘못 기재하면 그 불이익은 소비자가 받게 된다. 원고는 소송 중간에 추가할 수가 없으므로 누락되면 다시 소를 제기해야만 하고, 아주 드물게는 승소 판결문에 기재된 원고와 소장에 기재된 원고의 인적사항이 불일치하기도 한다. 이때 손해배상은 받을 수 없다.


▲ 24일 서울 서초구 대법원 앞 법원기가 바람에 날리고 있다.
ⓒ 연합뉴스

당신이 누구인지 증명하시오

민사소송의 원고가 된 소비자는 일반적인 민사소송 절차에 따라 재판해야만 한다. 개인정보 침해 사건은 대부분의 증거가 피고인 기업 측에 있다. 기업측은 자신에게 불리한 사실이므로 감추려 든다.

원고는 법원에 문서제출명령을 신청해 피고로부터 문서를 제출받을 수 있는데 수천만 건의 개인정보 중 자신의 개인정보는 어떤 것인지 원고가 특정하여 증거로 제출해야 한다. 때로는 관련 형사사건이나 행정사건의 소송기록이나 판결문을 참조할 수도 있는데, 이때도 역시 수천~수만 페이지 기록 중 자신과 관련 있는 부분이 어떤 것인지 원고가 특정하여 증거로 제출해야만 한다.

당신의 정신적 고통을 증명하시오

개인정보 보호법은 3배 이내의 징벌적 손해배상 책임을 규정하고 개인정보처리자에게 고의나 과실의 입증책임을 전환하고 있다(법 제39조). 하지만 개인정보 보호법 위반으로 인한 손해배상책임은 불법행위 책임이므로 손해의 발생사실은 여전히 소비자가 입증해야 한다.

대부분의 사례에서 재산상 피해를 수반하는 경우는 드물기 때문에 정신적 피해가 인정되는지가 쟁점이 된다. 다시 말해 소비자가 자신의 정신적 고통, 정신적 피해사실을 입증해야만 (징벌적) 손해배상을 인정받을 여지가 생긴다.

정신적 고통은 외부에서 객관적으로 측정하기 어렵다. 그래서 개인정보 자기결정권 침해여부를 중요한 기준으로 삼아야 한다. 개인정보 자기결정권이란, 정보주체가 자신의 개인정보 중 어떠한 항목을 누구에게 어느 범위까지 알리거나 이용하도록 할 것인지 스스로 결정할 수 있는 권리인데, 헌법상 정신적 기본권에 해당한다. 정신적 기본권이 침해된 경우 정신적 고통이 있다고 보는 것은 당연하다.

이와 달리 개인정보가 불특정 다수에게 유출되었다거나 가공되어 범죄에 이용되었다는 등의 사정은 이미 침해된 기본권을 둘러싼 사후사정에 불과하다. 그런데 우리 법원은 개인정보 자기결정권 침해사실보다는 침해 이후의 사정을 중요하게 여기는 것으로 보인다.

옥션, 싸이월드, KT 사건 등은 외부의 해킹에 의한 것이었는데 기업의 관리 소홀이 인정되지 않으므로 책임을 인정할 수 없다거나, GS칼텍스 사건에서 불특정 다수에게 개인정보가 유통되지 않았다는 이유로 원고 패소판결한 것은 이런 맥락에서 이해된다.

이것은 개인정보 자기결정권 침해와는 무관한 사후사정을 토대로 기업의 책임을 지나치게 축소하는 판결로 부당하다.

피해금액 지급받기도 어려워

실제 피해금액을 지급받는 과정도 만만치 않다. 승소한다 해도 최소 3~4년이 걸리기 때문에 그 사이 본인이 소송을 제기했다는 사실을 잊기도 한다. 많지 않은 승소금액을 찾아가기 위해 소비자단체 등에 연락하고 지급받는 과정도 번거롭다. 수천 수만 명의 원고에게 연락을 해야 하니 상당한 시간이 걸린다.

덧붙여 소송비용 문제도 발생한다. 100만 원을 청구했는데 10만 원만 인정되었다면 적어도 소송비용의 과반은 원고가 부담하게 된다. 최근 대법원 규칙상 100만 원짜리 소송의 변호사 보수는 10만 원이 되는데, 2심은 1.5배, 3심은 2배가 가산되므로 총 변호사보수는 45만 원이 된다.

아직까지 기업 측에서 수만 명의 소비자들에게 소송비용까지 청구한 예는 없는 것으로 보이지만, 소송비용 부담은 원고의 몫이므로 이론상 청구인용 금액 이상의 패소비용(기업측의 변호사보수 상당액 중 일부)을 부담하게 될 여지도 있다.

99%가 무시 당하는 현실, 소비자 집단소송법 도입이 답이다

소비자들이 권리를 구제받기 어렵다는 말은 반대로 기업이 책임에서 자유롭다는 얘기다. 소송을 제기하는 소비자가 전체 피해자의 1%에도 미치지 못하니 나머지 99%의 소비자들에게는 법적으로 책임질 아무런 이유가 없다.

몇 년 후 소송에서 패하더라도 1인당 10만 원씩만 쥐여주면 손해배상 책임에서 자유로워진다. 행정제재와 형사처벌도 기업규모에 비하여 그리 신경쓸 만한 수준이 아니다. 계속해서 수천만 명 규모의 개인정보 침해가 발생하는 이유다.

개인정보 유출을 예방하고 통제하기 위해 행정제재를 강화하고 적극적인 법집행을 해야 한다. 솜방망이 처벌로는 기업의 이윤추구 동기를 이기기 어렵다. 이를 위해 법집행 기구를 일원화하고 조사권을 강화할 필요가 있다.

무엇보다 개인정보주체가 손쉽게 권리를 실현할 수 있도록 하는 집단소송제도 도입이 시급하다. 99%의 권리가 아무렇지도 않게 무시되는 현실은 분명 잘못 된 게 아닌가.