이번 기고문에서는 최근 해킹 등 사이버 공격으로 인한 개인정보 유출 사고가 잇따르는 상황에서, 개인정보 보호법상 법정손해배상 제도의 적용 범위와 기업의 책임 한계를 둘러싼 법적 쟁점을 살펴보고, 대법원의 최신 판결을 중심으로 법정손해배상제도의 의미와 한계를 짚고 있습니다.

김경환 변호사는 개인정보 보호법 제39조의2에 따른 법정손해배상제도가 피해자의 입증 부담을 완화하기 위한 제도이지만, 개인정보 유출이 있었다는 사정만으로 곧바로 배상 책임이 인정되는 것은 아니라고 설명합니다. 대법원은 정보주체에게 위자료로 평가할 수 있는 정신적 손해가 실제로 발생하지 않았음이 입증되는 경우, 기업이 배상 책임을 면할 수 있다고 판시했습니다.

기고문에서는 약 40만 명의 회원 정보가 유출된 실제 사건을 소개하며, 암호화된 비밀번호와 이메일 주소만 유출된 점, 개인 식별 가능성이 낮았던 점, 2차 피해가 발생하지 않은 점 등을 근거로 기업의 책임이 부정된 이유를 구체적으로 분석합니다. 특히 사고 이후 기업의 신속한 신고와 피해 확산 방지 조치도 중요한 판단 요소로 작용했음을 짚었습니다.

나아가 김경환 변호사는 대법원이 제시한 판단 기준으로서 유출 정보의 성격, 결합 가능성, 제3자 열람 여부, 추가 피해 가능성, 기업의 관리·사후 조치 등을 종합적으로 고려해야 한다는 점을 강조합니다. 이는 법정손해배상제도가 자동적·징벌적으로 적용되는 것을 경계한 취지라는 설명입니다.

법무법인 민후 김경환 변호사는 이번 기고를 통해 개인정보 보호의 중요성을 전제로 하되, 실질적 피해가 없는 경우까지 과도한 책임을 부과해서는 안 된다는 법원의 입장을 강조하며, 기업의 합리적인 보안 조치와 신속한 대응의 중요성을 짚는 내용으로 기고를 마무리했습니다.

기고 전문은 우측 상단의 [기사바로보기]를 통해 확인하실 수 있습니다.