이와 유사한 사건에서도 피해자들의 공동소송은 반복됐지만 더 안좋은 결과가 나온 경우도 찾아볼 수 있다. 2008년 옥션(개인정보 1863만명 유출)과 GS칼텍스(1100만명), 2011년 SK커뮤니케이션즈(3500만명), 2012·2014년 KT(각각 870만명·980만명) 등은 아예 손해배상 책임이 인정되지 않았다.
서울 시내 한 쿠팡 물류센터 앞에 주차돼 있는 쿠팡 배송트럭 너머로 경찰청이 보이고 있다.(사진=뉴스1)
사법부 뿐만 아니라 입법부에 대한 비판도 나오고 있다. 특히 낮은 액수의 위자료라도 전체 피해자가 구제 받을 수 있도록 하는 ‘제외신고형(Opt-out) 집단소송제’ 관련 제정안이 이미 5건이나 발의됐지만 국회 문턱을 넘지 못하고 있다. 정치권 또한 ‘뒷짐’ 풀고 관련 입법에 적극 나서야 한다는 지적이 함께 나온다.
◇“책임 다하는 비용보다 소송비용이 싸다는 인식 위험”
법조계에선 다수 공동소송 결과 1인당 최고 10만원으로 굳어진 위자료 액수가 지나치게 낮다고 입을 모은다. 개인정보 침해 사건의 경우 피해자들 간 접점이 거의 없다보니 공동소송 참가자를 모집하기 쉽지 않다. 더욱이 위자료 액수가 사실상 소액이라 참여 유인마저 떨어뜨리고 있다. 개인정보 유출 사태를 빚은 기업 입장에선 공동소송에서 패소해도 소수 피해자들에 소액의 위자료만 지급하면 되는 셈이다.
박정문 법무법인 일로 대표변호사는 “기업들이 개인정보 유출에 소극적으로 대응하는 가장 큰 이유는 보안에 투자하는 등 자신의 책임을 다하는 것보다 소송비용이 더 싸다는 인식이 있기 때문”이라며 “법원이 기존 10만원이라는 관행적 판결결과를 깨뜨리는 명확한 신호를 줄 필요가 있다”고 꼬집었다.
하희봉 로피드 법률사무소 대표변호사는 “대법원은 과거 GS칼텍스 사건 등에서 개인정보가 유출됐더라도 일반인에게 널리 유포되지 않았거나 구체적인 2차 피해가 입증되지 않으면 피해자의 불안감을 법적 손해로 인정하지 않는 등 현실적 손해여부에 지나치게 집중했다”며 “옥션 사건에서는 법령상 최소한의 개인정보 관리 기준을 지켰다면 면책을 허용하는 등 책임을 좁게 해석했다”고 지적했다. 이어 “이는 개정 개인정보보호법의 취지를 반영하지 못한 낡은 시각”이라며 “현행법은 입증책임을 기업으로 전환하고, 징벌적 손해배상과 법정손해배상 제도를 도입해 구체적인 금전 피해가 입증되지 않더라도 유출 그 자체만으로 정신적 손해배상 책임이 성립함을 명확히 하고 있다. 사법부가 책임을 다하지 못한 기업에게 면죄부를 주어서는 안 되는 이유”라고 강조했다.
(그래픽= 문승용 기자, 사진= 연합뉴스)
공동소송 외 피해를 구제받을 제도가 마땅하지 않다는 점도 문제다. 개인정보 침해 관련 피해구제를 위해 소비자보호법 및 개인정보보호법상 ‘집단분쟁조정’, ‘단체소송’ 제도를 두고 있지만 사실상 유명무실해서다.
집단분쟁조정은 강제력이 없어 기업과 피해자 등 당사자 중 한쪽이라도 조정안을 거부하면 조정이 어렵다. 단체소송이라는 수단이 있지만 피해자들이 아닌 소비자단체 등 일정 요건을 갖춘 단체만 해당 소송을 제기할 수 있을 뿐만 아니라 손해배상 청구가 아닌 권리침해행위의 금지·중지만 구할 수 있도록 해 사실상 피해구제 수단도 아니다. 지난 4월 2300만명의 개인정보를 유출한 SK텔레콤은 개인정보 분쟁조정위원회의가 1인당 30만원씩 손해배상금을 지급하라고 중재했지만 이를 거부했다.
법조계에서는 공동소송제도는 한계가 명확해 제외신고형 집단소송제 도입을 대안으로 주목하고 있다.
법무법인 지향의 이은우 변호사가 지난 15일 ‘한국형 집단구제 피해제도 강화방안 모색’ 토론회에서 발표한 자료에 따르면 경제협력개발기구(OECD) 38개 회원국 중 금전적 손해배상을 포함한 집단구제 제도를 도입하지 않은 곳은 우리나라와 스위스, 튀르키예 등 3개국에 불과하다. 다른 35개국들은 △일부 피해자가 제기한 소송의 효력이 제외신고를 하지 않은 모든 피해자에게 미치는 제외신고형 △참가신고를 한 피해자에게만 효력이 미치는 참가신고형(Opt-in) 등 방식을 각국 상황에 따라 단독 또는 혼합 적용해 집단소송제를 도입하고 있다.
국내 개인정보 침해 관련 집단소송제 도입시 제외신고형을 적용해야 한다는 의견이 주를 이룬다. 제외신고형 집단소송제를 원칙으로 하는 대표적 국가 미국 사례를 보면 2021년 미국 T모바일에서 7660만명의 개인정보 유출 사태로 집단소송이 진행되면서 총 5억달러(약 7179억원) 규모 합의가 이뤄졌다. 1인당 최대 2500달러(약 359만원) 규모다.
하 변호사는 “입법을 통해 법정 한도인 5배 배상을 실제 판결에 과감히 적용하는 등 징벌적 손해배상을 현실화 해야 한다”며 “한국형 디스커버리(증거개시) 제도를 도입해 소송 시 기업 내부 자료를 강제 공개토록 할 필요가 있다”고 강조했다. 이어 “전체 매출액의 3%까지 부과 가능한 과징금 제도를 과감히 적용해 ‘보안 사고는 곧 파산’이라는 인식을 심어줘야 한다”고 덧붙였다.
◇‘변호사 배불리나’…집단소송 요건 엄격하게
다만 집단소송제를 도입하더라도 세심하게 제반조건을 마련해야 한다고 입을 모았다.
이원화 법무법인 로엘 대표변호사는 “집단소송제도 도입시 남소우려, 기업 부담 증가, 변호사들의 과도한 수임경쟁 등이 부작용으로 나타날 수 있다”며 “다만 다수 피해자가 개별적으로 손해 입증이 어려운 개인정보 침해 등 특정 분야에 국한해 소송남발을 방지할 수 있는 장치를 만들어 예외적으로 도입해야 한다”고 설명했다.
박소영 국회입법조사처 입법조사관은 “대규모 개인정보 유출 사건의 경우 획일적 내용의 동일 피해가 발생해 손해액 산정도 객관적일 가능성이 높이 집단소송 도입 장점이 크다”면서도 “개인정보 무단수집·오남용의 경우 피해자 동의 및 손해 발생 경위·액수를 명확하게 구분하기 어려워 집단소송이 적절하지 않다는 의견이 있다. 집단소송 허용 범위와 요건에 대한 정책적 판단을 먼저 해야한다”고 강조했다. 이어 “이미 마련한 기존 단체소송 및 과징금의 존치 여부와 역할 조정, 집단분쟁조정제도 및 과징금 부과와의 연계 등 구제·제재 수단들과 중복되지 않도록 해야 한다”고 덧붙였다.
