[법무법인 화우 이근우 파트너변호사] 개인정보 보호법 제39조 제1항은 “정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다”라고 규정하고 있다.

위 규정을 얼핏 보면 정보주체가 개인정보처리자의 위반행위로 인한 손해배상 청구를 할 때 개인정보처리자가 위반행위를 하지 않았다는 점을 입증해야 하는 것으로 읽힐 수도 있고, 일반인 입장에서는 충분히 그렇게 생각할 만하다. 특히 개인정보처리자가 개인정보 보호법 위반과 관련된 일련의 정보를 다 갖고 있다는 점에서 그 증명책임의 전환 내지 완화의 필요성이 있다고 보는 입장에서는 더욱 그렇게 생각할 수 있다. 

이에 대해 최근 대법원이 개인정보 보호법 제39조 제1항의 의미에 대해 법리적으로 명확한 판단을 내렸기에 이를 소개하고자 한다.

개인정보 보호법에서 서면 동의시 중요한 내용(재화나 서비스 홍보 또는 판매 권유를 위해 개인정보를 이용 정보주체에 연락할 수 있다는 사실, 제공받는 자의 보유 및 이용기간, 제공 받는 자 및 그 자의 이용 목적 등)에 대해서는 글자 크기나 색깔, 굵기 등을 달리해 내용을 명확히 표시하도록 하는 규율(개인정보 보호법 제22조 제2항, 동법 시행령 제17조 제3항, 개인정보 처리 방법에 관한 고시 제4조)을 하게 된 것은 대형유통회사가 고객의 정보를 보험회사에 판매하기로 하고 경품행사를 진행하면서 경품행사 응모권에 제3자 제공에 관한 설명을 약 1mm로 기재해 식별이 어려웠던 사건으로 촉발됐다는 것은 널리 알려진 사실이다.

해당 사건과 관련해서 보험회사에 고객 정보를 제공하는 일련의 과정에서 대형유통회사는 제3자 제공을 받지 않은 상태에서 보험회사에 개인정보를 제공해 보험회사가 필요로 하는 정보인지를 확인하는 사전필터링을 하면서, 보험회사에 사전필터링을 위한 개인정보 목록을 제공하기도 했다.

그러한 사전필터링으로 개인정보가 제공된 것이 확인된 정보주체들도 있었고, 사전필터링으로 개인정보가 제공된 것 자체가 확인되지 않은 정보주체들도 있었는데, 각 정보주체들은 대형유통회사의 사전필터링을 위한 동의 없는 개인정보 제공으로 정신적 고통을 받았다는 점을 주장하면서 손해배상을 청구했다. 

앞서 언급한 것과 같이 개인정보 보호법 제39조 제1항은 “정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다”고 규정하고 있다. 사전필터링으로 자신의 개인정보가 보험회사에 제공된 것이 확인된 정보주체들은 위 규정에 근거해서 손해배상을 청구하는데 문제가 없으나, 사전필터링으로 개인정보가 보험회사에 제공된 것 자체가 확인되지 않은 정보주체들(이하 원고들)까지도 위 규정에 근거해서 손해배상을 청구할 수 있는지가 소송에서 쟁점이 됐다. 

이와 관련해서 원고들은 개인정보 보호법 제39조 제1항의 입법취지 등을 고려하면, 대형유통회사가 자신들의 개인정보를 사전필터링을 위해 보험회사에 제공하지 않았다는 점에 관한 증명책임을 부담한다고 주장했다. 그리고 1심에서도 그러한 원고들의 논리를 인정했다. 하지만 서울고등법원(서울고등법원 2018년 7월 11일 선고 2017나2055054 판결)은 ‘사전필터링을 위해 원고들의 개인정보가 보험회사에 제공됐다는 사실의 부존재’에 관해서까지 피고인 대형유통회사에 그 증명책임을 지우기는 어렵고, 따라서 원고들이 자신의 개인정보가 사전필터링을 위해 보험회사에 제공됐다는 사실에 대해 증명을 해야 하는데, 그러한 점에 대해 구체적‧개별적인 증명이 없는 이상, 원고들이 불법행위로 인한 피해자에 해당한다고 단정할 수 없다’고 판시했다.

이에 대해 대법원(대법원 5월 17일 선고 2018다262103 판결)은 위 개인정보 보호법 제39조 제1항의 의미에 대해 “이 규정은 정보주체가 개인정보처리자의 ‘개인정보 보호법’ 위반행위로 입은 손해의 배상을 청구하는 경우에 개인정보처리자의 고의나 과실을 증명하는 것이 곤란한 점을 감안해 그 증명책임을 개인정보처리자에게 전환하는 것일뿐이고, 개인정보처리자가 ‘개인정보 보호법’을 위반한 행위를 했다는 사실 자체는 정보주체가 주장·증명해야 한다”라고 판시했다. 그에 따라 1심이 취했고 원고들이 주장하는 ‘개인정보 보호법 제39조 제1항에 따라 개인정보처리자가 ‘개인정보 보호법’ 위반행위를 했다는 사실에 관한 증명책임을 사실상의 추정 또는 간접반증이론에 따라 전환하거나 완화해야 한다’는 취지의 법리 내지 주장을 배척했다. 

결국 대법원은 ‘개인정보 보호법’ 제39조 제1항은 정보주체가 개인정보처리자의 ｢개인정보 보호법｣ 위반행위로 입은 손해의 배상을 청구하는 경우에 개인정보처리자의 고의나 과실을 증명하는 것이 곤란한 점을 감안해 그 증명책임을 개인정보처리자에게 전환하는 것일 뿐이고, 개인정보처리자가 ‘개인정보 보호법’을 위반한 행위를 했다는 사실 자체는 정보주체가 주장·증명해야 한다는 점을 최초로 판시한 것이다.

법리적인 측면에서 대법원의 판단은 문제가 없어 보이나, 정보주체 입장에서는 아쉬운 결론일 수 있으며, 그 아쉬움은 추후 입법적인 수단으로 보완되길 바란다.

<이근우 변호사 약력>

(현)법무법인(유) 화우 파트너변호사

(현)개인정보보호위원회 자문변호사

(현)대한변호사협회 ESG 특별위원회 위원

(현)산업통상자원부 산업기술분쟁조정위원회 위원

(현)한국정보법학회 회원

(현)산업기술보호협회 영업비밀보호 전문위원(강사)

(현)법무부 해외진출 중소기업 법률자문단 자문위원