개인정보침해사례, 위자료 10만 원이 현실… 300만 원 받을 길은 있다
개인정보침해사례, 위자료 10만 원이 현실… 300만 원 받을 길은 있다
일상으로 파고든 개인정보 불법 수집과 유출
실손해 입증 어려운 피해자를 위한 법적 구제 수단 총정리
개인정보 유출 피해 시 입증이 어려운 실손해 대신 최대 300만 원까지 청구 가능한 법정손해배상 제도를 적극 활용해야 한다. /본문의 이해를 돕기 위해 생성형 AI로 만든 이미지
믿고 맡긴 내 개인정보가 누군가의 돈벌이 수단으로 전락하거나 낯선 이들이 모인 온라인 채팅방에 굴러다니고 있다.
개인정보 유출 범죄가 교묘해지면서 기업과 기관에 정보를 제공한 '정보주체(피해자)'와 이를 관리해야 할 의무가 있는 '개인정보처리자(기업, 병원 등)', 그리고 권한 없이 정보를 빼돌리는 '내부 직원 및 제3자' 사이의 갈등이 연일 법정 다툼으로 이어지는 추세다.
개인정보 침해 사건의 사실관계를 들여다보면, 외부 해킹보다 개인정보처리자 내부의 관리 소홀이나 직원의 일탈이 뼈아픈 결과를 낳는 경우가 많다.
대표적으로 모 카드사 직원이 고객정보를 몰래 USB에 담아 외부로 유출한 사건(서울중앙지방법원 2016. 11. 18. 선고 2014가단82666 판결), 텔레마케터가 무작위 전화를 걸어 취득한 개인정보를 정보주체의 동의 없이 제3자에게 넘긴 사건(의정부지방법원 2015. 10. 8. 선고 2015고정1670 판결) 등이 있다.
가장 충격적인 사례 중 하나는 병원 직원이 환자의 주민등록번호 등 민감한 진료 관련 정보가 고스란히 담긴 화면을 온라인 오픈채팅방에 무단으로 게시한 사건이다.
아파트 관리사무소 직원이 소송 상대방에게 제공할 목적으로 CCTV 출입 정보를 빼돌린 사건(서울동부지방법원 2017. 10. 26. 선고 2017가합103021 판결) 역시 내부자의 일탈이 빚어낸 심각한 사생활 침해 피해였다.
이처럼 명백한 사실관계와 가해자가 존재함에도 불구하고, 막상 피해자들이 입은 정신적 고통에 비해 법원이 인정하는 손해배상액은 턱없이 부족하다는 비판이 쏟아지고 있다.
유출된 내 정보, 위자료는 고작 7만~10만 원 수준?
개인정보 보호법에 따라 피해자는 개인정보처리자를 상대로 손해배상을 청구할 수 있으며, 이때 개인정보처리자가 자신에게 고의나 과실이 없음을 입증하지 못하면 책임을 져야 한다. 입증 책임을 기업에 지워 피해자를 보호하려는 취지다.
하지만 현실의 벽은 높다. 대법원은 개인정보가 유출되었다는 사실 자체만으로 곧바로 정신적 손해배상(위자료)이 인정되는 것은 아니라고 선을 그었다.
유출된 정보의 민감성, 제3자의 실제 열람 가능성, 명의도용 등 2차 피해 발생 여부 등을 종합적으로 따져봐야 한다는 것이다(대법원 2012. 12. 26. 선고 2011다59834,59858,59841 판결).
실제로 광범위한 금융정보가 빠져나간 대규모 카드사 고객정보 유출 사건에서 대법원이 인정한 위자료는 1인당 10만 원에 불과했다(대법원 2018. 10. 25. 선고 2018다223214 판결).
이메일 발송 실수로 성명과 주민등록번호가 유출된 피해자에게도 10만 원, 이메일 주소만 유출된 경우에는 7만 원이 선고됐다(서울중앙지방법원 2007. 2. 8. 선고 2006가합33062,53332 판결).
다만 앞서 언급한 병원 오픈채팅방 유출 사건의 경우, 불특정 다수에게 민감한 의료 정보와 주민번호가 노출된 심각성을 인정받아 환자 본인에게 150만 원, 부모에게 각 20만 원의 위자료가 인정되기도 했다(의정부지방법원 2025. 8. 29. 선고 2024나208330 판결). 결국 2차 피해라는 명확한 실손해를 피해자가 직접 증명하지 못하면 돌아오는 보상은 푼돈에 그치는 실정이다.
실손해 입증 어렵다면 '법정손해배상' 제도가 훌륭한 타개책
눈에 보이지 않는 개인정보의 특성상 피해자가 구체적인 금전적 손실을 증명하기란 불가능에 가깝다. 이러한 억울함을 해소하기 위해 마련된 강력한 무기가 바로 '법정손해배상' 제도다.
피해자는 기업의 고의나 과실로 정보가 유출되었다는 사실만 증명하면, 구체적인 피해 액수를 입증하지 않아도 300만 원 이하의 범위에서 상당한 금액을 청구할 수 있다. 대법원 역시 피해자가 손해 발생 사실을 구체적으로 주장하거나 증명할 필요가 없다고 명확히 판시하며 제도의 실효성을 뒷받침했다(대법원 2025. 12. 4. 선고 2023다311184 판결).
이미 소송을 진행 중이더라도 사실심 변론 종결 전까지는 기존의 일반 손해배상 청구를 법정손해배상 청구로 변경할 수 있어, 실무적으로 매우 유용한 구제 수단으로 평가받는다.
솜방망이 논란 피할 수 없는 '징벌적 손해배상'과 형사처벌의 한계
민사적 배상 외에도 우리 법은 불법행위를 저지른 자에게 강도 높은 처벌을 내리고 있다. 동의 없이 개인정보를 제3자에게 제공하거나 목적 외로 이용한 자, 또는 부정한 목적으로 이를 사들인 자는 최고 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해진다.
네이버 지식인 추천 수를 늘리려고 유출된 개인정보를 640명분이나 구매한 사례(인천지방법원 2018. 5. 4. 선고 2017고단9501 판결) 등이 이에 해당하여 처벌을 받았다.
또한 기업이 개인정보 보호를 위한 안전성 확보 조치를 게을리하여 정보가 유출된 경우, 전체 매출액에 비례하는 무거운 과징금 철퇴를 맞을 수 있으며 최대 3천만 원의 과태료 처분도 받게 된다.
나아가 기업의 '고의 또는 중대한 과실'로 피해가 발생했다면 실제 손해액의 최대 5배까지 물어내야 하는 징벌적 손해배상 제도도 존재한다. 하지만 실무에서는 기업의 '중대한 과실'을 입증하는 것이 매우 까다로워 실제 적용되는 사례가 드물다는 맹점이 있다.
기업들은 안전 장치 마련에 비용을 아끼지 말아야 하며, 개인정보가 유출된 피해자는 막연히 분통을 터뜨리기보다 입증 책임이 완화된 법정손해배상 등 다양한 법적 제도를 적극적으로 활용해 정당한 권리를 되찾아야 할 때다.
