내 개인정보, 유출됐지만 보상은 못 받는다고?

개인정보 유출 사고는 끊이지 않고 발생하고 있습니다. 그런데 유출 사고가 발생해도 실제 보상을 받기는 쉽지 않다는 사실, 알고 계셨나요? 오늘은 개인정보 유출 사고와 관련된 법원 판결을 통해 보상 기준에 대해 알아보겠습니다.

사건의 개요

GS칼텍스 주유 보너스카드 회원 약 1,150만 명의 개인정보(성명, 주민등록번호, 주소, 전화번호, 이메일 주소 등)가 GS칼텍스의 고객센터 운영 업무를 위탁받은 회사 직원에 의해 유출되었습니다. 이 직원은 동료 및 지인들과 공모하여 개인정보를 빼낸 후, 금전적인 이득을 취하려 했습니다. 이들은 변호사에게 판매하거나 집단소송을 유도하는 등의 방법을 계획했고, 언론에 제보하여 사회적 이슈를 만들려고 시도했습니다. 언론에 "쓰레기 더미에서 GS칼텍스 고객정보 CD 발견" 기사가 보도된 직후, 관련자들은 검거되었고 유출된 정보가 담긴 저장매체들은 모두 회수되거나 폐기되었습니다. 이에 피해자들은 정신적 손해배상을 청구했습니다.

법원의 판단

법원은 피해자들에게 정신적 손해배상을 하지 않아도 된다고 판결했습니다. 그 이유는 다음과 같습니다.

• 유출된 정보의 확산 정도: 유출된 정보는 한정된 범위의 사람들에게만 전달되었고, 언론 보도 후 곧바로 관련 저장매체가 회수 또는 폐기되어 추가 유출 가능성이 낮았습니다.
• 제3자 열람 가능성: 범인과 언론 관계자 외 제3자가 정보를 열람했을 가능성이 매우 낮았습니다. 범인들은 정보를 판매하기 위한 준비 과정에서 열람했을 뿐, 정보 자체를 이용할 의도는 없었던 것으로 보입니다. 언론 관계자 역시 보도 목적으로 정보의 존재와 규모 등을 확인하기 위해 열람했을 뿐, 개별 정보 내용을 알아내거나 악용할 의도는 없었던 것으로 판단됩니다.
• 추가 피해 발생 가능성: 유출로 인해 원고들에게 신원확인, 명의도용 등의 추가 피해가 발생했다는 증거가 없었습니다.

즉, 개인정보가 유출되긴 했지만, 실질적으로 피해자들에게 추가적인 피해가 발생할 가능성이 낮다는 이유로 손해배상 책임을 인정하지 않은 것입니다.

개인정보 유출, 손해배상 기준은?

이 판례는 개인정보 유출로 인한 정신적 손해배상 여부를 판단할 때 다음과 같은 요소들을 종합적으로 고려해야 한다는 것을 보여줍니다.

• 유출된 개인정보의 종류 및 성격
• 정보주체를 식별할 가능성
• 제3자의 열람 여부 및 가능성
• 유출된 정보의 확산 정도
• 추가 법익 침해 가능성
• 개인정보 관리 실태 및 유출 경위
• 피해 방지를 위한 조치

관련 법조항: 민법 제750조(불법행위에 대한 손해배상), 제751조(재산 이외의 손해에 대한 배상)

이번 판례는 개인정보 유출 사고 발생 시, 단순 유출 사실만으로는 손해배상을 받기 어려울 수 있다는 것을 시사합니다. 실제로 추가적인 피해 가능성이 존재하는지, 유출된 정보의 범위와 확산 정도, 그리고 이를 방지하기 위한 조치들이 적절했는지 등을 종합적으로 고려하여 판단한다는 점을 기억해야 할 것입니다.