이창범 ([email protected])

연세대 법무대학원 겸임교수
동국대학교 국제정보보호대학원 객원교수

Ⅰ. 개인정보 손해배상 보장제도의 의의

“인터넷 시대”라고 불리던 2000년대 초반까지만 하여도 개인정보의 활용분야는 주로 전자상거래 및 전자정부 분야에 머물렀으나 2010년 이후 사물인터넷, 인공지능, 빅데이터, 클라우드 등 데이터 기반의 기술과 서비스가 새롭게 등장하면서 개인정보의 활용분야가 신기술·신서비스 분야로 급격히 확대되고 있다. 경제의 체질 자체가 데이터 특히 개인데이터 중심으로 전환되는 이른바 “데이터 경제시대”로 전환됨에 따라 개인정보의 수집·이용 및 유통이 확대될 수밖에 없고, 데이터 저장 기술의 발전과 비용의 저렴화로 경제주체들에 의한 개인정보의 저장·보관도 반영구화되고 있는 추세이다.

「개인정보 보호법」은 개인정보의 유출, 오남용 등으로 인한 정보주체의 피해를 보다 간편·신속하고 충분하게 구제하기 위하여 「개인정보 보호법」 위반으로 인한 손해배상책임에 있어서 고의 또는 과실이 없었음을 개인정보처리자가 입증하도록 함으로써 입증책임을 피해를 주장하는 정보주체로부터 개인정보처리자로 전환하고 있다(제39조 제1항). 더 나아가 개인정보처리자의 “고의 또는 중대한 과실”로 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우로서 정보주체에게 손해가 발생한 때에는 법원은 징벌적인 차원에서 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있도록 하는 징벌적 손해배상제도를 도입하고 있으며(제39조 제3항), 개인정보처리자의 “고의 또는 과실로” 인하여 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손된 경우에는 정보주체가 손해의 존재나 손해액을 입증하지 않아도 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있는 법정손해배상제도를 도입하고 있다(제29조의2).

정보통신기술의 특성상 개인정보처리자가 최선을 다했더라도 순간의 실수만으로 개인정보의 유출 또는 오남용 사건은 언제든 발생할 수 있어 대다수 개인정보처리자에게 개인정보의 유출 또는 오남용 사고는 피할 수 없는 현실이고, 이에 따른 대규모 손해배상책임은 기업의 생존을 좌우할 수 있는 심각한 경영상 리스크가 되고 있다. 개인정보 유출이나 오남용 피해는 대부분 집단적 성경을 띄기 때문에 단 한번의 사고만으로도 해당 개인정보처리자는 천문학적인 배상책임을 져야 할 경우가 많을 것이다. 특히 사물인터넷, 인공지능 등 신기술·신산업은 주로 중소규모 기업 단위에서 제공되는 경우가 많아 보유·활용하고 있는 개인정보의 규모나 이용자의 수에 비하여 경제적인 측면에서 손해배상 능력이 부족한 기업이 적지 아니할 수 있다.

이에 따라 정부는 2019년 6월 정보통신망법을 일부 개정하여 개인정보 손해배상 보장제도를 도입하고, 2019년 12월 31일까지 계도기간을 거쳐 손해배상책임 이행보장제도를 본격적으로 시행하고 있다. 개인정보 손해배상책임 이행보장제도는 한편으로는 개인정보 유출, 오남용 등의 사고 발생시 개인정보처리자의 손해배상 능력 유무에 관계없이 정보주체가 충분한 배상을 받을 수 있도록 해주고, 다른 한편으로는 개인정보처리자의 손해배상 위험을 분산함으로써 예상하지 못한 사고 발생에도 불구하고 배상능력을 갖출 수 있게 하여 안정적인 기업 경영과 기업의 영속성을 보장하는데 기여할 것이다.

다만, 지금까지 손해배상능력의 부족으로 인해 정보주체가 개인정보 유출 등의 사고로 인한 피해를 구제받지 못하거나 해당 기업이 파산한 사례가 없고, 외국의 개인정보보호법제에서도 개인정보 손해배상책임 이행보장제도를 의무화하거나 권장하고 있는 사례를 발견하기 어려운 현실에서, 개인정보 손해배상책임 이행보장제도가 개인정보처리자에게 불필요한 규제로 작용하여 경제적 부담을 가중시키고 보험회사들의 배만 불리는 과잉규제가 될 수 있다는 비판을 받지 않기 위해서는 개인정보처리자의 부담을 최소화 하는 방향으로 운영되어야 할 것이다.

Ⅱ. 손해배상책임 보장조치 의무 대상자의 범위 문제

1. 정보통신서비스 제공자

「개인정보 보호법」은 개인정보 손해배상 보장조치의 의무대상을 “정보통신서비스 제공자등”으로 한정하고 있다. 정보통신망법 상 “정보통신서비스 제공자”란 「전기통신사업법」 제2조 제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다(제2조 제1항 제3호). 개인정보 손해배상 보장제도는 구 정보통신망법에 의해서 도입된 것이고, 2020년 3월 이른바 “데이터 3법” 개정시 의무대상자의 변경 없이 개정 「개인정보 보호법」 제39조의9에 특례규정으로 이전하였다. 따라서 정보통신서비스 제공자가 아닌 일반 개인정보처리자는 손해배상책임 이행 보장조치 등의 의무 대상자가 아니다.

그러나 현실적으로 순수한 오프라인 사업자나 온라인 사업자는 소수에 불과하고 많은 사업자들이 온라인 사업과 오프라인 사업을 겸영하고 있고 오프라인 사업자들도 대부분 정보통신망을 통해서 개인정보를 처리하고 있는 현실에서 온라인 사업자에 대해서만 손해배상책임 이행 보장조치를 취하도록 하는 것은 배상책임능력 확보라는 맥락에서 타당성과 공평성에 대해 의문이 제기될 수 있다. 또한 금융회사들은 대부분 영리를 목적으로 전기통신사업자가 제공하는 전기통신역무를 이용하여 금융서비스를 제공하고 있으므로 정보통신망법상 전형적인 정보통신서비스 제공자의 정의에 포함되고 있음에도 불구하고, 규제기관은 금융회사가 「개인정보 보호법」상 개인정보 손해배상책임 이행보장조치의 의무 대상인지 여부를 명확히 밝히지 않고 있다. 신용정보법은 ‘신용정보의 이용 및 보호에 관하여 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따르고, 개인정보의 보호에 관하여 이 법에 특별한 규정이 있는 경우를 제외하고는 「개인정보 보호법」에서 정하는 바에 따른다’라고 규정하고 있다(제3조의2).

2. 정보통신서비스 제공자 등

정보통신서비스 제공자로부터 개인정보를 제공받은 제3자(정보통신서비스 제공자등)는 정보통신서비스 제공자가 아니라도 손해배상 보상조치의 의무 대상자에 포함된다. 이 경우 정보통신서비스 제공자로부터 개인정보를 제공받은 제3자는 “이론상으로는” 반드시 업무 목적으로 개인정보를 처리하는 “개인정보처리자”이어야 할 필요는 없다. 다만, 전년도(법인의 경우에는 전 사업연도를 말한다)의 매출액이 5천만원 이상이고 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자수가 일일평균 1천명 이상이어야 하므로 실질적으로는 업무 목적으로 개인정보를 제공받은 자만이 의무 대상자가 된다.

「개인정보 보호법」은 정보통신서비스 제공자로부터 개인정보를 제공받은 제3자(정보통신서비스 제공자등)도 정보통신서비스 제공자와 동일하게 손해배상책임 보장조치 의무 대상자에 포함하고 있으나, 정보통신서비스 제공자등은 정보통신서비스 제공자로부터 개인정보를 제공받았다는 것 이외에 정보통신서비스 제공자와 어떤 공통점도 가지고 있지 않다. 따라서 정보통신서비스 제공자로부터 개인정보를 제공받은 제3자를 정보통신서비스 제공자와 동일하게 손해배상책임 이행보장조치의 의무 대상자에 포함하기 위해서는 그에 합당한 논거가 필요할 것이나 합리적인 논거를 찾기 어렵다.

3. 개인정보처리업무 수탁자

「개인정보 보호법」상 개인정보 손해배상책임 이행 보장조치의 의무 대상자는 “정보통신서비스 제공자등”이므로 개인정보처리업무 수탁자는 원칙적으로 의무 대상자가 아니다. 그러나 개인정보처리업무 수탁자는 여러 사업자들의 개인정보를 대신해서 처리하고 있어 개인정보 유출, 오남용 등의 위험이 상대적으로 크고, 유출, 오남용 등의 사고가 발생하면 정보통신서비스 제공자등보다 더 큰 손해배상책임에 직면해야 할 가능성이 크다고 할 수 있다.

또한, 개인정보처리업무 수탁자는 원칙적으로 의무 대상자가 아니지만, 수탁자가 정보통신망법상 정보통신서비스 제공자인 경우에는 「개인정보 보호법」에 따라 손해배상책임 이행보장조치를 하여야 한다. 다만, 이 경우 정보통신서비스 제공자인 수탁자가 손해배상책임 이행보장조치를 해야 하는 기준은 자사 매출액 및 이용자수를 기준으로 하여야 할 것이고, 자사 이용자를 위한 보장 조치이므로 위탁사의 이용자는 보호 받지 못할 것이다. 즉, 수탁사가 가입한 보험, 공제 등은 수탁사와 거래관계가 있는 이용자만을 보호하기 위한 것이고 위탁사의 이용자를 위한 것은 아니다. 따라서 수탁사의 고의 또는 과실이 분명한 경우에도 위탁사의 이용자는 수탁사에 대해서 보험, 공제, 준비금 등으로부터 보상을 받을 수 없다.

정보통신망법은 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 보도록 하여 위탁자인 개인정보처리자에게 손해배상을 청구할 수 있도록 하고 있으나, 개인쇼핑몰, 소기업 등 영세한 개인정보처리자는 대규모 개인정보 유출 등 사고 발생시 손해배상능력이 없는 경우가 많다. 또한 이들 영세사업자들의 경우 거의 모든 개인정보처리를 수탁자에게 의존하고 있어 개인정보를 안전하게 저장·보관할 능력도 없고, 수탁자에게 맡겨 놓은 개인정보에 유출 등의 사고가 발생한 경우 자신에게 손해배상책임이 있다는 인식조차 하지 못하는 경우가 많다.

4. 문제점 및 개선방안

개인정보 유출이나 오남용 사고 위험은 정보통신서비스 제공자에게만 특별히 크다거나 빈번하다고 할 수 없다. 개인정보를 업무 목적으로 이용하는 모든 개인정보처리자에게 공통적으로 발생할 수 있는 사고이며, 개인정보 유출 등의 사고 위험은 정보통신기술을 이용하여 개인정보를 처리하는 자에게는 똑같이 발생할 수 있는 위험이다. 특히 영리 목적으로 이용자에게 정보를 제공하거나 정보의 제공을 매개하는 자는 아니지만 정보통신시스템에 대한 업무 의존도가 매우 높은 의료기관, 금융기관, 교육기관 등의 경우 고도의 민감정보를 대량으로 취급하고 있는 바, 단지 영리 목적이 아니라는 이유로 손해배상책임 이행 보장조치 의무 대상자의 범위에서 제외하는 것은 산업간 또는 업종간 형평성 문제를 야기할 수 있다.

따라서 원칙적으로 개인정보처리자라면 누구든지 「개인정보 보호법」 제39조 및 제39조의2에 따른 손해배상책임 이행 능력을 보장하도록 하여야 한다. 손해배상책임 이행에 필요한 조치를 강구해야 할 의무 대상자를 정보통신서비스 제공자등으로만 제한할 것은 아니다. 즉, 정보주체의 입장에서 볼 때 개인정보 유출, 오남용 등의 사고 발생시 개인정보처리자의 손해배상 능력이 문제되는 것은 정보통신서비스 제공자등에 한정되는 것은 아니며, 오프라인 사업자에게도 똑같은 배상 능력이 문제 될 수 있으므로, 정보주체의 신속하고 공정한 피해구제를 받을 권리를 보장한다는 측면에서 오프라인 개인정보처리자나 비영리 개인정보처리자도 원칙적으로 손해배상책임 보장조치 의무 대상자에 포함시키는 것이 합리적이다.

특히 영세한 개인정보처리자의 개인정보 유출 등의 사고로 인한 손해배상능력을 제고한다는 측면에서 개인정보처리업무 수탁자에 대해서도 일정한 범위 내에서 손해배상책임 이행 보장조치를 하도록 의무화하는 것이 바람직하다. 오히려 수탁자의 손해배상책임 이행 보장조치를 의무화 하고, 대신 영세 개인정보처리자의 손해배상책임 이행 보장조치 의무를 면제하여 주는 것이 현실에 부합하고 정보주체의 신속하고 간편한 피해구제를 받을 권리를 보호할 수 있는 방법이 될 것이다. 참고로, 개인정보처리업무 수탁자와 유사한 지위에 있는 집적정보통신시설(IDC) 사업자는 「정보통신망법」에 의하여 집적된 정보통신시설의 멸실, 훼손, 그 밖의 운영장애로 발생한 피해를 보상하기 위하여 대통령령으로 정하는 바에 따라 보험에 가입하도록 의무화 되어 있다(제46조제2항).

다만, 법률에 의하여 예산의 지원 근거가 마련되어 있는 정부기관이나 공공기관의 경우 특별히 배상책임 능력이 문제되지는 않을 것이므로 정부기관이나 공공기관까지 의무 대상자에 포함시킬 필요는 없어 보인다. 또한, 정보주체의 자기 책임 하에 자율적 규제를 원칙으로 하고 있는 동호회 등 친목단체, 봉사단체, 자선단체 등까지 의무 대상자에 포함시킬 필요가 있는지 여부에 대해서는 별도의 검토가 필요하다. 그밖에 정보보호인증이 모든 정보보호관련 사고를 막아주지는 못하지만 ISMS-P 등 신뢰할 수 있는 정보보호인증을 받은 개인정보처리자의 경우 보장조치 의무를 면제하는 것도 고려해야 할 것이다.

Ⅲ. 손해배상 보장조치 의무 대상자의 선정기준 문제

1. 이용자수

「개인정보 보호법」 시행령 제48조의7은 이용자수와 매출액을 기준으로 하여 개인정보 손해배상책임 이행 보장조치 의무 대상자의 범위를 정하고 있다. 우선, 전년도 말 기준 직전 3개월간 저장ㆍ관리되고 있는 개인정보의 이용자수가 일일평균 1천명 이상인 자에 한해서 손해배상책임 이행 보장조치가 의무화 된다. 이 경우 이용자수는 저장·관리되고 있는 이용자의 수를 의미하므로 반드시 멤버십에 가입한 회원이어야 할 필요는 없다. 회원에 가입하지 않은 1회성 이용자도 이용자수에 포함된다. 웹사이트 접속 건수나 방문 건수와도 구분되며, 페이지뷰 건수와도 다르다. 따라서 동일한 이용자가 하루 10번을 접속했더라도 이용자수는 1명으로 계산된다. 개인정보보호위원회가 발간한 ‘개인정보 손해배상책임 보장제도 안내서’(2020.11)에서도 ‘이용자수’는 사업자가 개인정보를 “저장·보관”하는 이용자수를 기준으로 산정해야 하고, 일일 방문자수를 의미하는 것이 아니며, 페이지뷰수(PV:page view)나 순방문자수(UV:unique visitor)와는 무관하다고 설명하고 있다(3쪽).

문제는 개인정보 손해배상책임 이행 보장조치 제도의 국외 개인정보처리자에 대한 적용과 관련하여 이용자수에 국외 이용자도 포함되는지 여부가 문제되고 있다. 국외 이용자가 이용자수의 범위에 포함되는지 여부에 대해서 「개인정보 보호법」과 개인정보보호위원회 안내서(2020.11)에서 구체적인 규정을 두거나 설명을 하고 있지 않다. 법령에 특별한 규정이 없는 한 이용자수에는 국내 이용자만 포함된다고 보아야 할 것이다. 개인정보 손해배상책임 이행 보장조치 제도는 국내 이용자의 피해구제를 목적으로 하는 것이라고 보아야 하므로 원칙적으로 국내 법원에 소를 제기할 수 있는 국내 이용자만 이용자수에 포함되고 해외 이용자는 포함되지 않는다고 보는 것이 합리적이다.

그럼에도 불구하고 손해배상책임 이행 보장조치 의무 대상자 선정의 또다른 기준의 하나인 매출액의 경우 규제기관은 국외 매출도 포함되는 것으로 보고 있어 실무상 국외 이용자도 이용자수에 포함되는 것이 아닌가 하는 의문을 갖게 하고 있다. 법리상이나 논리적으로 이용자수는 물론 매출액도 국내 이용자수 및 국내 매출액으로 한정되는 것으로 해석하는 것이 타당하나, 그 둘 사이에 차이를 두어 해석하고자 한다면 명확히 법률에 그렇게 해석할 수 있는 근거 또는 취지를 반영하여야 할 것이며 해석으로 해결할 문제는 아니다.

국내 기업이 저장ㆍ관리하고 있는 해외 이용자에 대해서도 해석상 마찬가지의 의문이 들 수 있다(국내 게임서비스나 음악 서비스를 이용하는 해외 이용자). 이들은 국외 이용자이지만 개인정보 유출 등의 사고발생시 국내 개인정보처리자에게 손해배상을 청구할 수 있으므로 이용자수에 포함된다고 보는 것이 보다 합리적이라는 해석도 가능하다. 따라서 개인정보 손해배상책임 이행 보장조치 제도의 국외 적용을 인정하는 경우 의무 대상자의 범위 또는 선정 기준에 대해서 국내 이용자에 한정되는 것인지 국외 이용자도 포함되는 것이지 여부에 대하여 명확한 기준 제시가 필요하다.

또한, 정보통신서비스 제공자와 이용관계에 있는 이용자만 의무 대상자에 포함되므로 정보통신서비스제공자와 이용자 관계가 없는 자사 임직원은 이용자수에 포함되지 않는다. 따라서 사업자간 거래(B2B)에 있어서 기업 이용자인 거래 상대방 회사의 임직원은 당연히 이용자수에 포함될 것이나, 현실적으로는 B2B의 경우 정보통신서비스 제공자와 이용자 관계에 있는지 여부가 모호한 경우가 적지 않다. 정보통신서비스 제공자와 벤더사, 계열사 등의 관계가 대표적이다. 예컨대, A지주사가 있고 B, C, D, E 등 계열사(자회사)가 있는 경우 대부분 계열사들은 지주사인 A사의 계정을 이용한다. 이 경우 B, C, D, E 등은 정보통신망법상 A사와 이용자관계에 있다고 볼 수 있다. ⁽¹⁾ 또한, 벤더사 또는 협력사의 경우에도 본사가 제공하는 정보통신시스템(앱, 플랫폼, 전자우편 등)을 이용하고 있는 경우 역시 정보통신망법상 이용자 관계에 있다고 볼 여지가 없지 않다. 이 경우 계열사, 벤더사, 협력사 등의 임직원을 이용사수에 포함시켜야 하는지 여부가 문제 된다.

참고로, 온·오프라인 사업을 겸영하고 있는 정보통신서비스 제공자등이 제공하는 재화 또는 서비스를 구입·이용하고 있는 소비자라도 오프라인 부분의 재화 또는 서비스만을 이용하고 있는 고객은 이용자에서 제외된다고 보아야 한다. 온·오프라인 사업을 겸영하고 있는 사업자가 제공하는 재화 또는 서비스를 구입했다는 이유만으로, 오프라인을 통해서만 재화 또는 서비스를 구입·이용하고 있는 고객이 정보통신망법상 이용자가 될 수는 없기 때문이다. 그러나 구 방송통신위원회는 오프라인 사업(매장)과 온라인 서비스를 여러 개 운영하고 있는 경우 오프라인 사업과 온라인 사업을 별개의 서비스로 각각 회원 가입을 받고 있는 경우에 대해서조차 오프라인 서비스 이용자를 이용자수에 포함시켜야 한다고 해석함으로써 논란을 낳았다.⁽²⁾ 2020년 11월에 개인정보보호위원회가 개정·발간한 안내서는 이를 바로 잡아 다행이지만, 현행 「개인정보 보호법」의 관련 규정이 모호한 부분이 많아 지나치게 해석에 의존하다보니 경계를 넘는 해석이 이루어지고 있다.

2. 매출액

「개인정보 보호법」 시행령 제48조의7은 개인정보 손해배상책임 이행 보장조치 의무 대상자의 선정 기준으로 이용자수 이외에 정보통신서비스 제공자등의 매출액을 포함하고 있다. 매출액의 경우 전년도(법인의 경우에는 전 사업연도를 말한다) 매출액이 5천만원 이상이면 보장조치 의무 대상자에 포함된다. 다만, 영 제48조의7는 “매출액”이라고만 표현하고 있어 이것이 정보통신 관련 매출액을 의미하는 것인지 정보통신서비스 제공자등의 전체 매출액을 의미하는 것인지 여부가 분명하지 않다. 정보통신부문 매출액이라고 되어 있지는 않지만 정보통신서비스 이용자의 피해구제를 목적으로 한 것이므로 정보통신부문 매출만을 의미한다고 해석될 여지가 없지 않다.

하지만, 개인정보보호위원회가 발간한 안내서(2020.11)는 매출액의 범위는 정보통신서비스 부문에 한정되지 않으며, 법인(기업)의 총 매출액을 의미하고, 전년도(법인의 경우 전 사업연도) 매출액은 손익계산서 상 총매출액을 기준으로 한다고만 설명하고 있다(4쪽). 이와 같은 해석에 따르면 개인정보처리자가 각각의 사업자등록증을 가지고 여러 브랜드의 사업부문을 각기 분리해서 경영하더라도 전 사업부문의 매출액을 기준으로 하게 되어 매출액의 타당성에 의문이 제기될 수 있다. 또한, 법문상으로는 해당 매출액이 국내에서 거둬들인 매출만을 의미하는 것인지 글로벌 매출까지 포함한 것인지 여부도 분명하지 않다.

3. 문제점 및 개선방안

「개인정보 보호법」상 손해배상 보장조치 제도는 같은 법 제39조 및 제39조의2에 따른 손해배상책임의 이행을 확보하기 위한 것이다. 이 경우 「개인정보 보호법」 제39조 및 제39조의2에 따라 정보통신서비스 제공자등이 부담해야 할 손해배상 총액은 이용자수에 따라 비례하며, 정보통신서비스 제공자의 매출액에 따라 손해배상을 해야 할 배상액 총액이 달라지는 것은 아니다. 따라서 보험 또는 공제에 가입하거나 준비금을 적립할 때 최저가입금액 또는 최소적립금액의 산출근거는 원칙적으로 이용자수가 중심이 되어야 할 것이나, 「개인정보 보호법」 시행령 제48조의7은 이용자수뿐만 아니라 매출액을 함께 고려하도록 하고 있고, 특히 시행령 [별표1의4]는 이용자수보다는 매출액 중심으로 해서 최저가입금액 또는 최소적립금액을 산정하도록 하고 있다.

물론, 법원은 징벌적손해배상액을 정할 때에는 1) 고의 또는 손해 발생의 우려를 인식한 정도, 2) 위반행위로 인하여 입은 피해 규모, 3) 위법행위로 인하여 개인정보처리자가 취득한 경제적 이익, 4) 위반행위에 따른 벌금 및 과징금, 5) 위반행위의 기간ㆍ횟수 등, 6) 개인정보처리자의 재산상태, 7) 개인정보처리자가 정보주체의 개인정보 분실ㆍ도난ㆍ유출 후 해당 개인정보를 회수하기 위하여 노력한 정도, 8) 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도 등을 고려하도록 규정하고 있어(제39조 제4항) 매출액도 고려의 대상이 될 수는 있게지만, 손해배상 총액은 궁극적으로는 유출, 분실 등이 된 이용자수에 따라 비례하게 된다.

법원이 손해배상액을 결정할 때에는 개인정보처리자의 재산상태 등을 고려하지 않을 수 없으므로 손해배상책임 이행 보장조치 의무 대상자를 정하거나 최저가입금액 또는 최소적립금액의 산출기준을 정함에 있어서 정보통신서비스 제공자등의 매출액을 고려해야 한다고 하더라도 중심 기준은 원칙적으로 “이용자수”가 되어야 할 것이다. 이용자수만 손해배상 보장조치 의무 대상자의 산출 기준을 삼을 경우 불합리한 결과가 초래되는 경우에 한해서 매출액은 이용자수를 보완·보충하는 기준으로만 활용되어야 할 것이다. 이용자수를 기준으로 할 경우 불요불급한 개인정보의 파기를 촉진하는 데에도 기여할 것으로 보인다.

아울러 정보통신서비스 제공자등의 매출액을 산정 기준에 포함시키고자 한다면, 매출액의 범위를 합리적으로 제한할 필요가 있다. 즉, 사업부문이 완전히 분리되어 운영되거나 독립채산제로 운영되고 있어 동일한 법인 내라도 개인정보가 해당 사업부문 밖으로 이전하거나 다른 사업부문을 위한 목적으로 이용될 가능성이 희박한 경우에는 해당 사업부문의 매출액으로 제한하는 것이 합리적이라 할 것이다. 예컨대, A라는 법인 사업자 산하에 건설부문, 무역부문, 통신부문, 유통부문이 각기 독립적으로 운영되고 있다면, 매출액과 이용자수를 사업부문별로 나누어 계산한 후 사업부문 단위로 손해배상 보장조치를 취하는 방법과 전체 매출액과 전체 이용자수를 통합해서 하나로 계산한 후 법인 단위로 손해배상 보장조치를 취하는 방법 중에서 개인정보처리자에게 선택권을 부여하는 방안을 검토할 필요가 있다.

또한, 검색서비스, 사회관계망서비스, 게임서비스, 전자상거래 등 글로벌 인터넷사업자들의 국내 시장 점유율이 크게 확대되고 있고 국내 기업들의 해외 매출도 증가하고 있는 추세를 고려하여, 해당 매출액이 국내 매출만을 의미하는 것인지 해외 매출액까지 포함하는 것인지 여부를 명확히 할 필요가 있다. 법률상 해외 매출까지 포함한다는 내용이 명확히 적시되어 있지 아니하는 한 국내 매출액만을 의미하는 것으로 해석될 여지가 높기 때문이다. 단지 매출액으로 표시되어 있다고 해서 그것만 가지고 전세계 매출액을 의미한다고 해석하기는 어려울 것으로 보인다.

손해배상책임 이행 보장조치 제도는 국내 이용자의 신속·공정한 피해구제를 위한 것이고 법률은 특별한 사유가 없는 한 국내에만 그 효력이 미친다고 보아야 하므로, 비록 정보통신망법상 정보통신서비스 제공자의 정의 또는 범위에 해외 사업자가 포함된다고 해석하더라도⁽³⁾, 국외 사업자든 국내 사업자든 해외에서 발생하는 매출액까지 「개인정보 보호법」 시행령 제48조의7에서 규정하고 있는 매출액의 범위에 포함된다고 보기는 어려울 것이고 같은 이유로 해외 이용자까지 이용자의 범위에 포함된다고 해석하는 것도 어려울 것이다.

현실적으로 글로벌 기업의 국내 매출액 파악이 어려워서 불가피하게 글로벌 매출을 기준으로 할 수밖에 없다면 국내·외 기업을 불문하고 “전세계 매출액”으로 명확히 규정하여야 할 것이다. 그러나 국내법이 적용되지 않은 해외에서 발생한 매출에 대해서까지 매출액에 포함시키는 것이 적절한 입법인지는 여전히 의문으로 남는다. 정보통신서비스 제공자등으로 하여금 국내 매출액을 입증하도록 하고 국내 매출액을 입증하지 못하는 경우에 한해서 전세계 매출의 전부 또는 일정비율을 매출액으로 간주하는 방안도 고려해 볼 수 있을 것이다.

또한, 이용자수와 매출액은 외부에 공개가 되어 있지 않거나 규제당국이 그 규모를 파악하기 어려운 경우가 많고, 일부 기업의 경우 이용자수와 매출액을 제공하는 것을 꺼려 하여 그 진위를 확인하기 어려운 경우도 있을 수 있다. 그 결과 손해배상책임 이행 보장 조치가 오로지 정보통신서비스 제공자등의 양심에 맡길 수밖에 없게 될 우려가 있다. 따라서 좀 더 객관적이고 합리적인 기준으로 평균 이용횟수 또는 평균 접속횟수(페이지뷰수)를 기준으로 하는 방안도 고려할 필요가 있다. 페이지뷰를 기준으로 할 경우 보다 공정하고 객관적인 법집행이 가능할 것으로 보인다.

Ⅳ. 최저가입액 또는 최소적립금 산출 기준 문제

1. 보험 또는 공제 가입

「개인정보 보호법」 상 정보통신서비스 제공자등이 법 제39조 및 제39조의2에 따른 손해배상책임 이행 보장조치 의무를 이행하기 위한 방법으로 보험 또는 공제 가입, 준비금 적립 등이 있다. 「개인정보 보호법」은 정보통신서비스 제공자등가 이 세 가지 조치 중 하나의 조치를 취하거나 이들 조치를 병합해서 필요한 조치를 취할 수 있도록 하고 있다. 이때 가입 대상 개인정보처리자가 보험 또는 공제에 가입하거나 준비금을 적립할 경우 최저가입금액(준비금을 적립하는 경우 최소적립금액을 말한다.)의 기준은 「개인정보 보호법」 시행령 별표 1의4에서 상세히 규정하고 있다.

다만, 가입 대상 개인정보처리자가 보험 또는 공제 가입과 준비금 적립을 병행하는 경우에는 보험 또는 공제 가입금액과 준비금 적립금액을 합산한 금액이 별표 1의4에서 정한 최저가입금액의 기준 이상이어야 한다(제48조의7 제2항). 또한, 가입 대상 개인정보처리자가 다른 법률에 따라 법 제39조 및 제39조의2에 따른 손해배상책임의 이행을 보장하는 보험 또는 공제에 가입하거나 준비금을 적립한 경우에는 법 제39조의9제1항에 따른 보험 또는 공제에 가입하거나 준비금을 적립한 것으로 보게 된다(제48조의7 제3항).

[별표1의4] 손해배상책임의 이행을 위한 최저가입금액(최소적립금액)의 기준(제48조의7제2항 관련)

「개인정보 보호법」 시행령 제48조의7은 보험 또는 공제 가입이나 준비금 적립의 주체를 가입 대상 개인정보처리자로 하고 있으나, 「개인정보 보호법」 제39조의9는 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다고 규정하고 있으므로, 개인정보처리자가 직접 자신의 명의로 보험 등에 가입하지 않았더라도 본사나 지주사가 가입 대상 개인정보처리자를 피보험자로 하여 보험에 가입하거나 단체보험 형태로 가입하는 것도 가능하다고 하여야 할 것이다.

2. 임의 준비금의 적립

정보통신서비스 제공자등은 보험 또는 공제에 가입한 대신에 정관 또는 주주총회의 결의에 따라 준비금을 적립할 수 있다. 준비금의 설정·폐지·변경·적립방법은 언제든지 정관이나 주주총회의 결의로써 자유로이 정할 수 있으나, 준비금의 용도를 「개인정보 보호법」 제39조의9의 의무 이행을 위한 것임을 명확히 하여야 하고, 준비금을 폐지·변경하려면 보험 또는 공제로 미리 이를 보충하여야 한다. 최저가입금액 또는 최소적립금액을 유지하는 범위 내에서 일부는 보험 또는 공제로 하고 일부는 준비금으로 할 수도 있다.

3. 문제점 및 개선방안

손해배상책임 이행보장조치를 보험, 공제, 준비금 중 하나를 선택하거나 이들을 병행할 수 있도록 한 것은 정보통신서비스 제공자의 선택권을 확대해 준다는 측면에서 바람직하다. 다만, 개인정보보호위원회는 해외에 소재한 보험사의 상품에 가입하는 것은 보험업법 제3조에 따라 불가능하다는 입장이나(안내서, Q5-5, 14~15쪽), 해외에 소재한 본사가 국내 소재 자회사를 피보험자로 하는 해외 보험 상품의 가입까지 금지된다고 보기는 어렵다. 보험업법상 보험업은 허가를 받아야만 경영할 수 있으므로(제4조), 당연히 개인정보처리자는 국내에서 허가받지 않은 해외 소재 보험회사의 보험 상품에 가입하는 것은 금지된다고 보아야 할 것이나, 해외 개인정보처리자가 국내 자회사를 피보험자로 하는 보험 가입까지 부정할 일은 아니다. 다만, 이 경우에도 해당 상품이 「개인정보 보호법」 제39조 및 제39조의2에 따른 손해배상책임을 보장하는 지에 대하여 입증할 수 있어야 할 것이다.

Ⅴ. 「개인정보 보호법」 개정안의 주요내용 및 평가

1. 손해배상책임 보장조치 의무 대상자의 범위 확대

개인정보 보호위원회가 2021년 1월 6일 입법 예고한 「개인정보 보호법」 일부 개정법률(안)은 손해배상책임 이행 보장조치 의무 대상자를 기존의 “정보통신서비스 제공자등”에서 “개인정보처리자”로 확대하고 있다. 따라서 개인정보처리자라면 정보통신서비스 제공자등뿐만 아니라 업종을 불문하고 모든 개인정보처리자가 손해배상책임 이행보장조치의 의무 대상자가 되며, 영리 또는 비영리도 불문한다. 개인정보 유출이나 오남용 사고 위험은 정보통신서비스 제공자에게만 특별한 것이 아니고 정보통신망을 통해서 개인정보를 처리하는 자에게는 모두 똑같은 크기와 빈도로 발생할 수 있는 위험이라는 측면에서 올바른 개정 방향이라고 할 수 있다.

다만, 개인정보처리자만 의무 대상자로 할지 일정규모 이상의 개인정보처리업무 수탁자도 의무 대상자에 포함시킬지 여부에 대해서 재검토가 필요하다. 대다수 개인정보처리업무 수탁자들은 적개는 수십 개에서 많게는 수만 개에 이르는 개인정보처리자들의 개인정보를 위탁받아 처리하고 있다는 점에서 개인정보처리자보다 더 큰 위험에 노출되어 있다. 그럼에도 불구하고 개인정보처리자가 의무 대상이라는 이유로 수탁자를 배제하면 배상 능력이 없거나 부족한 개인정보처리자의 개인정보가 유출 등의 피해를 입은 경우 정보주체는 손해배상을 받을 길이 없게 되어 손해배상책임 이행 보장제도 도입의 취지를 살리기 어렵다.

그런 의미에서 정보통신망법이 집적정보통신시설 사업자의 보험 가입을 의무화하고 있는 것과 같이 개인정보처리업무 수탁자의 경우에도 손해배상책임 이행 보장조치를 의무화하는 방향으로 개정되어야 한다. 다만, 수탁자를 손해배상책임 이행 보장조치의 의무 대상자에 포함하기 위해서는 제39조와 제39조의2의 손해배상책임 주체에도 수탁자를 포함하여야 할 것이다. 유럽연합 GDPR은 개인정보처리자(controller)뿐만 아니라 수탁자(processor)도 사법적 구제의 대상임을 명백히 하고 있다(제79조).

「개인정보보호법」 개정안에 대한 수정 대안

현 행	개정안	수정안
제39조의9(손해배상의 보장) ① 정보통신서비스 제공자등은 제39조 및 제39조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.	제39조의16(손해배상의 보장) ① 개인정보처리자는 제39조 및 제39조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.	제39조의16(손해배상의 보장) ① 개인정보처리자(이하 이 조에서 “수탁자”를 포함한다.)는 제39조 및 제39조의2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.

「개인정보보호법」 추가 개정(안)

현 행	개정(안)
제39조(손해배상책임) ① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.	제39조(손해배상책임) ① 정보주체는 개인정보처리자(이하 이 조 및 제39조의2에서 “수탁자”를 포함한다)가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

2. 손해배상책임 이행 보장조치 의무의 면제

개정안은 손해배상책임 이행 보장조치 의무 대상자를 기존의 “정보통신서비스 제공자등”에서 “개인정보처리자”로 확대하면서 동시에 일정한 개인정보처리자에 대해서는 손해배상책임 이행보장조치 의무를 면제하고 있다. 면제 대상은 ① 공공기관, ② 제1항에 따라 필요한 조치를 한 수탁자에게 개인정보 처리를 위탁한 「소상공인기본법」 제2조 제1항에 따른 소상공인, ③ 매출액, 개인정보 보유규모 등을 고려하여 대통령령으로 정하는 영세한 개인정보처리자이다.

첫째, 「개인정보 보호법」에서 말하는 공공기관은 모두 국가 및 지방자치단체이거나 법령에 의해서 설립된 기관이므로 배상책임 능력이 없거나 부족하다고 보기는 어려우므로 의무 대상에서 제외하는 것은 일응 타당하다고 할 수 있다. 「개인정보 보호법」상 “공공기관”이란 ① 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체 또는 ② 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관(제2조 제6호)을 말한다.

대통령령으로 정하는 공공기관(영 제2조)

1. 「국가인권위원회법」 제3조에 따른 국가인권위원회 1의2. 「고위공직자범죄수사처 설치 및 운영에 관한 법률」 제3조제1항에 따른 고위공직자범죄수사처 2. 「공공기관의 운영에 관한 법률」 제4조에 따른 공공기관 3. 「지방공기업법」에 따른 지방공사와 지방공단 4. 특별법에 따라 설립된 특수법인 5. 「초ㆍ중등교육법」, 「고등교육법」, 그 밖의 다른 법률에 따라 설치된 각급 학교

둘째, 개인정보 손해배상책임 이행보장조치를 한 수탁자에게 개인정보처리업무를 위탁한 「소상공인기본법」 제2조 제1항에 따른 소상공인도 면제 대상에 포함하는 것으로 하고 있다. 따라서 소상공인은 대량의 개인정보를 저장ㆍ관리하고 있더라도 수탁자가 손해배상책임 이행보장조치를 취한 경우에는 별도로 보장조치를 하지 않아도 된다. 소상공인의 부담을 줄여주기 위한 것으로 그 필요성을 충분히 이해할 수 있다. 개인정보 피해의 대부분은 유출 등에 의한 피해이고, 유출 등의 책임은 일반적으로 수탁자의 고의 또는 과실일 가능성이 크므로 개정안은 타당한 측면이 있다.

다만, 수탁자가 손해배상책임 이행 보장조치를 취했다고 하더라도 그 보장조치에 따라 정보주체가 배상 또는 보상을 받을 수 있는 피해는 수탁자 자신의 고의 또는 과실에 의해서 발생한 피해에 한해서 보호를 받을 수 있다. 따라서 소상공인 자신의 고의 또는 과실에 따른 손해에 대해서는 보장이 되지 않는다는 한계가 있다. 소상공인 자신의 고의 또는 과실에 따른 손해배상까지 보장하기 위해서는 소상공인이 별도로 손해배상 보장조치를 취하거나 수탁자가 소상공인(위탁자)의 고의 또는 과실에 의한 책임까지 떠안아야 한다. 하지만, 수탁자가 소상공인(위탁자)의 고의 또는 과실에 의한 책임까지 떠안는다는 것은 기대하기 어렵다.

또한, 「개인정보 보호법」 제39조 및 제39조의2에 따른 손해배상책임은 개인정보처리자에 대해서만 적용되고 수탁자에 대해서는 적용되지 않는다. 따라서 수탁자가 손해배상책임 이행 보장조치를 취했다고 하더라도 그것은 어디까지나 민법상 불법행위책임만 커버할 뿐이고, 「개인정보 보호법」 제39조 및 제39조의2에 따른 손해배상책임까지 커버하는 것은 아니다(물론, 수탁사가 고객을 유치하기 위하여 보험회사 등과 특약으로 책임범위를 제39조 및 제39조의2로까지 확대하는 보험계약을 체결할 수 있겠지만 법적으로 의무화하지 않는 한 그것은 기대하기 힘들다). 따라서 개정안 제39조의16 제2항 제2호가 의미를 갖기 위해서는 최소한 제39조 및 제39조의2의 손해배상책임 주체에 수탁자를 포함하여야 할 것이다.

「소상공인기본법」상 “소상공인”이란 「중소기업기본법」 제2조제2항에 따른 소기업(小企業) 중 ① 상시 근로자 수가 10명 미만이거나 ② 업종별 상시 근로자 수 등이 대통령령으로 정하는 기준⁽⁴⁾에 해당하여야 한다. 소상공인의 경우 대부분은 영세 사업자이겠지만, 인터넷기업의 경우에는 IT경제의 특성상 10명 미만의 직원으로도 수억 또는 수십억명의 이용자를 보유할 수 있고, 수백억원의 매출을 올릴 수도 있다. 따라서 대통령령으로 정하는 일정 규모이하의 이용자수를 보유하고 있는 소상공인만 면제 대상에서 제외할 수 있도록 하는 것이 바람직할 것이다(예컨대 연평균 이용자수 1만명 이하인 경우). 「중소기업기본법」상 소기업의 평균매출액은 업종에 따라 10억 이하~120억 이하이다.

주된 업종별 평균매출액등의 소기업 규모 기준(제8조제1항 관련)

셋째, 매출액, 개인정보 보유규모 등을 고려하여 대통령령으로 정하는 영세한 개인정보처리자도 손해배상 보장조치 의무의 면제 대상이다. 창업회사, 1인 기업 등 영세한 사업자에 대해서까지 손해배상책임 이행보장조치를 취하도록 의무화하는 것은 영세 사업자들에게 과도한 부담을 주게 됨으로 의무 대상에서 제외하는 것은 불가피하다고 할 수 있다. 현행 「개인정보 보호법」 시행령 제48조의7은 ① 전년도(법인의 경우에는 전 사업연도를 말한다)의 매출액이 5천만원 이상이고, ② 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자수가 일일평균 1천명 이상이면 누구든지 손해배상책임 이행 보장조치 의무 대상이다.

그러나 영세 사업자의 경우에도 대다수 사업자의 연간 매출액은 5천만원을 상회하고 IT기업의 경우는 물론 오프라인 기업의 경우에도 사업 년도가 1~2년만 넘으면 대다수 사업자의 일일 평균 고객수(개인정보가 저장·관리되고 있는 수)는 1천명을 넘을 것으로 예상된다. 이에 따라 손해배상책임 이행 보장조치 의무를 면제받을 수 있는 대상 영세 사업자의 수는 극히 소수에 불과할 것으로 보인다. 따라서 면제 대상 영세 사업자의 기준을 경제 현실 및 물가 수준에 맞게 어느 정도 상향 조정할 필요가 있다(예컨대, 이용자수 3천명 이하이면서 연매출 1억원 이하인 영세 사업자).

마지막으로, 비영리단체 또는 비영리법인임과 동시에 구성원 간 자율규제를 특징으로 하는 동호회, 동창회 등 친목단체, 학술단체, 봉사단체, 자선단체 등도 손해배상 보장조치 의무 대상에 포함시킬지 여부를 검토해야 한다. 「개인정보 보호법」 제58조 제3항은 개인정보처리자가 동창회, 동호회 등 친목 도모를 위한 단체를 운영하기 위하여 개인정보를 처리하는 경우에는 제15조, 제30조 및 제31조를 적용하지 아니한다고 규정하고 있으나 제39조 및 제39조의2에 대해서는 적용을 면제하고 있지 아니하다. 자기책임을 특성으로 하는 비영리 단체 및 법인은 그 스스로가 가해자임과 동시에 피해자에 해당하므로 손해배상책임 이행 보장조치 의무 대상에서 제외하는 것이 타당할 것이다.

반면, 「개인정보 보호법」 제58조 제1항 제4호는 ‘언론, 종교단체, 정당이 각각 취재ㆍ보도, 선교, 선거 입후보자 추천 등 고유 목적을 달성하기 위하여 수집ㆍ이용하는 개인정보’에 대해서는 같은 법 제3장부터 제7장까지를 적용하지 아니한다고 규정하고 있어 같은 법 제39조 및 제39조의2의 적용도 면제되고 개정안 제39조의16도 적용이 면제받게 된다. 그러나 ‘언론, 종교단체, 정당이 각각 취재ㆍ보도, 선교, 선거 입후보자 추천 등 고유 목적을 달성하기 위하여 수집ㆍ이용하는 개인정보’라고 하더라도 손해배상 책임 규정 및 손해배상책임 이행 보장 규정의 적용까지 면제하는 것은 바람직하지 않다.

이상의 문제점과 개선방안을 기초로 하여 「개인정보 보호법」 개정안에 대한 수정안을 제시하면 아래와 같다.

「개인정보보호법」 개정안에 대한 수정 대안

현 행	개정안	수정안
신 설	제39조의16(손해배상의 보장) ② 제2항에도 불구하고 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 조치를 아니할 수 있다. 1. 공공기관 2. 제1항에 따라 필요한 조치를 한 수탁자에게 개인정보 처리를 위탁한 「소상공인기본법」 제2조 제1항에 따른 소상공인   <신 설>       3. 매출액, 개인정보 보유규모 등을 고려하여 대통령령으로 정하는 영세한 개인정보처리자	제39조의16(손해배상의 보장) ② 제2항에도 불구하고 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 조치를 아니할 수 있다 .1. 공공기관 2. 제1항에 따라 필요한 조치를 한 수탁자에게 개인정보 처리를 위탁한 「소상공인기본법」 제2조 제1항에 따른 소상공인으로서 대통령령으로 정한 자 3. 친목단체, 학술단체, 자선단체 등 대통령령으로 정하는 비영리 단체 및 법인 4. 매출액, 개인정보 보유규모 등을 고려하여 대통령령으로 정하는 영세한 개인정보처리자

3. 최저가입금액 또는 최소적립금액의 산출 기준

「개인정보 보호법」은 매출액과 이용자수를 기준으로 하여 최저가입금액 또는 최소적립금액을 산출하도록 규정하고 있다(영 제48조의7제2항). 그러나 개인정보 유출, 오남용 등에 의한 손해배상의 규모는 피해를 입은 정보주체의 수에 비례할 뿐 개인정보처리자의 매출액은 그다지 중요하지 않다. 손해배상액의 결정에 영향을 미치는 것에는 여러 가지가 있겠으나, 피해를 입은 정보주체의 수를 제외하고는, 해당 개인정보의 성격이 배상액 결정에 많은 영향을 미칠 수밖에 없다. 예컨대, 개인정보처리자가 주민등록번호, 범죄정보, 바이오정보, 금융정보, 의료정보 등 이른바 고유식별정보나 민감정보를 보유하고 있는 경우 유출, 오남용 등의 사고 발생시 피해도 그만큼 클 가능성이 높으므로 1인당 손해배상액에 큰 영향을 미치게 된다.

따라서 개인정보처리자의 매출액은 손해배상책임 이행 보장조치 의무 대상자 선정 기준으로만 활용하고, 최저가입금액 또는 최소적립금액의 산출기준은 매출액 대신 고유식별정보 또는 민감정보의 보유 여부와 이용자수로만 산출하는 것이 바람직할 것이다. 고유식별정보 또는 민감정보의 보유 여부 및 보유량은 손해배상액의 결정에 있어서 큰 영향을 미치게 되는데 고유식별정보 등의 보유 여부를 따지지 않고 단지 연간 매출액이 적다는 이유만으로 최저가입금액 또는 최소적립금액을 낮춘다면 손해배상책임 이행 보장조치로서의 의의는 크게 반감될 것이다.

현행 그대로 매출액을 최저가입금액 또는 최소적립금액의 산출기준에 포함시키더라도 손해배상액 결정에 지대한 영향을 미칠 수 있는 고유식별정보와 민감정보의 보유 여부를 가중 또는 감경 기준으로 추가하는 방안을 고려해 볼 필요가 있다. 개인정보처리자로 하여금 고유식별정보 또는 민감정보의 처리를 자제하도록 한다는 측면에서도 최저가입금액 또는 최소적립금액 산출시 고유식별정보 또는 민감정보의 처리 여부를 고려하도록 하는 것이 바람직할 것이다.

끝으로, 손해배상책임 이행보장조치 의무 대상자 선정기준 또는 최저가입금액 또는 최소적립금액 산출기준 중 이용자수를 정보주체수로 전환할 경우 정보주체수에는 임직원을 포함할지 여부에 대해서도 고려하여야 한다. 또한, 공공기관에 해당하지 않은 사립대학, 사립학교 등의 경우 손해배상책임 이행 보장조치 의무 대상에 포함시켜야 할지 여부와 함께, 의무 대상에 포함시킨다고 할 경우 교직원, 재학생 및 졸업생을 정보주체의 범위에 포함시킬지 여부를 함께 고민하여야 할 것이다.

VI. 맺음말

「개인정보 보호법」상 손해배상책임 이행 보장 제도는 제39조 및 제39조의2에 따른 정보통신서비스 제공자등의 손해배상책임 이행을 보장하기 위한 것이나, 현행 제도는 그 의무 대상자가 정보통신서비스 제공자등으로 제한되어 있다는 점에서, 특별한 이유나 근거 없이 산업 또는 업종에 따른 차별을 두고 있는 것이라서 손해배상 보장조치 의무 대상자를 모든 개인정보처리자로 확대하여 개인정보처리자간 형평성과 공정성을 확보하고 모든 정보주체에게 공평하고 공정한 피해구제를 받을 기회를 제공하여야 한다.

또한, 현행 손해배상책임 이행보장제도는 주로 정보주체의 수에 비례해서 손해배상액이 결정되는 개인정보 손해배상 제도의 취지와 달리, 이용자수 이외에 매출액을 손해배상책임 이행 보장 조치 의무 대상자 선정의 기준으로 삼고 있으며, 더 나아가 최저가입액 또는 최저적립액의 산출 기준으로 삼고 있으나, 매출액을 손해배상책임 이행 보장조치 의무 대상자 선정 기준으로 삼는 것을 넘어, 최저가입액 등의 산출 기준으로 삼는 것은 타당성이 부족하다. 최저가입액 등의 산출 기준은 매출액 대신 고유식별정보 또는 민감정보의 보유 여부 및 보유량에 따라 차등을 두도록 하는 것이 더 바람직하다.

한편, 「개인정보 보호법」 제39조 및 제39조의2에 따른 손해배상책임은 개인정보처리자(위탁자)에 대해서만 물을 수 있고, 개인정보처리업무 수탁자에 대하여는 제39조 및 제39조의2에 따른 손해배상책임을 물을 수 없다. 수탁자에 대해서는 민법에 따른 손해배상책임을 물을 수밖에 없다. 제39조 및 제39조의2에 따른 손해배상책임의 주체를 수탁자로 확대하고, 일정 규모 이상의 수탁자에 대해서는 개인정보 손해배상책임 이행보장조치도 의무화 하는 것이 바람직하다. 개인정보처리업무의 특성상 위탁자의 영역보다는 수탁자의 영역에서 유출 등의 사고가 발생할 위험이 더 크며, 위탁자가 중소기업 또는 소상공인인 경우 위탁자보다 수탁자가 더 배상능력이 큰 경우가 대부분이다.

「개인정보 보호법」 개정안 제39조의16 제2항 제2호는 손해배상책임 이행에 필요한 조치를 한 수탁자에게 개인정보 처리업무를 위탁한 경우 「소상공인기본법」 제2조 제1항에 따른 소상공인으로서 대통령령으로 정한 자를 손해배상책임 보장 조치 의무 대상자에서 제외하고 있으나, 개정안에 따르면 소기업에 해당하기만 하면 저장·관리되고 있는 이용자수에 관계없이 모든 소상공인이 면제받게 되어 불합리한 결과가 초래된다. 또한, 언론, 종교단체, 정당은 그 고유 목적을 달성하기 위하여 개인정보를 수집·이용한다는 이유로 보장조치 의무가 면제되는 반면, 친목단체, 학술단체, 봉사단체, 자선단체 등 비영리·자율단체는 보장조치의무가 면제되어 있지 않다. 보장조치의무 면제 기준과 면제 대상을 경제·사회 현실에 맞게 조정할 필요가 있다.

「개인정보 보호법」 개정안에 따라 정보통신서비스 제공자등의 이용자수를 개인정보처리자의 정보주체수로 개정할 경우, 자사 임직원 또는 계열사 임직원을 이용자수에 포함시킬지 여부 및 사립대학이나 사립학교의 경우 교직원, 재학생, 졸업생 등을 정보주체의 수에 포함시킬지 여부에 대해서도 고민이 필요하다. 임직원, 교직원, 재학생, 졸업생 등도 개인정보 유출시 언제라도 피해를 입을 수 있고, 고용주 또는 학교가 「개인정보 보호법」을 위반하여 개인정보를 처리할 수 있으므로 보장조치의 의무대상에 포함시키는 것이 형평성에 맞겠으나, 근로자 또는 졸업생의 개인정보는 대부분 적어도 수년에서 수십년 이상 누적해서 보관을 하게 되므로 개인정보처리자의 부담을 고려하지 않을 수 없다.

현행 「개인정보 보호법」은 연간 매출액이 5천만원 미만이고 개인정보가 저장·관리되고 있는 이용자수가 연평균 1천명을 넘지 아니한 경우에 한해서 손해배상책임 이행보장조치 의무를 면제하고 있으나, 연간 매출액 5천만원 미만이고 연간 이용자수가 1천명 미만인 영세 사업자의 수는 극히 소수에 불과할 것으로 보인다. 따라서 면제 대상 영세 사업자의 기준을 경제 현실 및 물가 수준에 맞게 어느 정도 상향 조정할 필요가 있다. 정부의 관리·감독 능력도 함께 고려하여야 할 것이다.

마지막으로, 개인정보 손해배상책임 이행보장제도의 역외 적용을 인정할 경우 해외에 소재한 개인정보처리자의 경우 국외 매출도 포함할 것인지 여부 및 해외 이용자수를 포함할 것인지 여부를 법령에 명시할 필요가 있다. 또한, 국내에 소재한 개인정보처리자의 경우, 국외에서 발생한 매출도 매출액에 포함할지 여부 및 국외의 이용자도 이용자수에 포함할 것인지 여부에 대해서, 국외 사업자와 형평성에서 문제가 발생하지 않도록 행정기관의 해석에 맡기지 말고 법령에 명시하는 것이 추후 법적 다툼을 없을 수 있을 것으로 보인다. 그밖에 산정 및 산출 기준을 법인의 전체 매출액으로 하더라도 브랜드별 또는 사업단별로 구분해서 독립채산제 형태로 경영하고 있는 경우까지 전체 매출로 할지에 대해서도 재검토가 필요하다(끝).

본 원고는 KISA Report에서 발췌된 것으로 한국인터넷진흥원 홈페이지(https://www.kisa.or.kr/public/library/IS_List.jsp)에서도 확인하실 수 있습니다.

KISA Report에 실린 내용은 필자의 개인적 견해이므로, 한국인터넷진흥원의 공식 견해와 다를 수 있습니다.

KISA Report의 내용은 무단 전재를 금하며, 가공 또는 인용할 경우 반드시 [한국인터넷진흥원,KISA Report]라고 출처를 밝혀주시기 바랍니다.